一种操作为对等组中的控制器的无线计算设备,其被配置为为加入该组的每个设备生成独特的主密钥。该无线计算设备可以使用所述独特的主密钥来选择性地将远程设备从组中移除,使得该远程设备稍后不能重新加入该组。每个具有保持有效的主密钥的其它远程设备可以从该组断开连接,并且可以稍后重新连接到该组而无需表达用户动作。为了支持这样的行为,无线设备可以提供用户界面,通过该用户界面,用户通过提供选择性地将远程设备从组中断开连接或移除的命令,可以管理所连接的远程设备。
【技术实现步骤摘要】
对等网络的安全协议
技术介绍
如今的许多计算机具有支持无线通信的无线电设备。无线通信被用来例如连接到网络的接入点。通过与接入点相关联,无线计算机可以访问该网络上的设备、或者通过该网络可到达的其他网络(诸如因特网)上的设备。因此,无线计算机可以与许多其他设备交换数据,使能了许多有用的功能。为了使得计算机能够被配置为与接入点相关联,通常接入点根据标准来操作。用于连接到接入点的设备的常见标准被称为Wi-Fi。该标准由Wi-Fi联盟颁布,并且在便携式计算机中被广泛使用。存在该标准的多个版本,但是它们中任一个都可以被用来支持通过接入点的连接。无线通信还可以被用来形成无需使用接入点的、直接到其他设备的连接。这些连接有时被称为“对等”连接,并且可以被用来例如允许将计算机无线地连接到鼠标或键盘。 更一般地,对等连接可以被用来建立可以在无需要求基础设施的情况下进行通信的任何类型的一组设备。用于这些直接连接的无线通信也已经被标准化。用于这种无线通信的常见标准被称为BLUETOOTH8 (蓝牙)。在一些情况下,无线计算机可以通过接入点并发地连接到其他设备,并且作为参加对等通信的一组中的一部分。为了支持这种并发通信,一些计算机具有多个无线电设备。 最近,已经提出了一种被称为直接Wi-Fi (ffi-FI Direct)的标准,其使能作为具有使用单个无线电设备可以处理的相似无线通信的对等组的一部分的基础设施连接和通信两者。该标准也是由Wi-Fi联盟公布的,其针对基于基础设施的通信扩展流行的Wi-Fi通信标准以便支持直接连接。预期装备计算设备以支持直接连接,以便扩展其中无线计算设备可以连接到其他无线设备的情形。例如,在一起工作的计算机用户可能更加容易在无需任何具体基础设施的情况下形成允许用户共享数据的组。类似地,计算机可能更加容易无线地连接到打印机、 照相机、或提供其他期望服务的设备。
技术实现思路
通过配置能够操作为对等组的控制器的设备以为加入该组的每个远程设备提供独特的主密钥,在对等组中利用非常低的用户负担来实现安全通信。组控制器通过选择性地使主密钥对于要移除的设备无效,可以选择性地从该组中移除一个或多个远程设备。其它远程设备可以不被分解地或者无需重新形成组而继续在该对等组中。在从组中移除一设备时,组控制器除了使与该设备相关联的主密钥无效之外,还可以使从该主密钥生成的其它密钥无效。如果被移除的设备试图进一步作为该组的一部分进行通信,其通信将不被识别,这是因为组控制器不具有将解密这些通信的密钥。如果被移除的设备试图重新加入该组,则组控制器将不识别由该远程设备使用的主密钥。当未被识别的设备试图在没有被识别的主密钥的情况下加入该组时,组控制器可以拒绝访问,要求用户输入或采取其它安全动作。然而,保持其主密钥的远程设备可以继续在该组中。这样的设备甚至可以与该组断开连接,并且使用其保持有效的主密钥与该组重新连接。上面是由所附权利要求限定的本专利技术的非限制性的总结。附图说明附图不意图被按比例绘制。在附图中,由相似的标号来表示在各个图中图示的每个相同或近似相同的组件。为了简化,在每个图中可以不标记出每个组件。在附图中,图IA是第一时间的例示性对等组的略图IB是在一设备已经被从该组中移除时在第二时间的例示性对等组的略图; 图IC是用户可以通过其输入用于从对等组移除设备的命令的图形用户界面的略图; 图2是可以充当图IA的组的组控制器的例示性计算设备的高级框图; 图3是在图2的计算设备内控制与该组中的远程设备的交互的组件的例示性实施例的框图4A是图3的密钥存储器的例示性实施例的示意性表示; 图4B是图3的密钥存储器的替代实施例的示意性表示;图5A和5B在被标记为A的点处连接时形成了控制对等组的计算设备的操作的例示性方法的流程图;以及图6是可以在其中实现本专利技术实施例的例示性计算设备的功能性框图。具体实施例方式专利技术人已经认识并理解到需要增强对等组中的安全性。由于对等组变得更为普遍并且被利用诸如Wi-Fi Direct协议之类的更强能力的协议来形成,因此使用方案可能产生敏感的安全问题。然而,不希望增强安全性,而干扰对等组使用的容易性。因此,专利技术人已经认识并理解到解决安全问题而没有对用户造成显著影响的技术。在对等组中,通过装备能够充当该组的控制器的设备来为连接到该组的每个远程设备生成独特的主密钥,可以增强安全性。控制设备还可以被配置为选择性地将要从该组中移除的设备的主密钥无效,由此避免被移除的设备稍后重新连接到该组并且有可能访问不意图被该被移除的设备的用户观看的数据或产生其它安全问题。其它的远程设备(主密钥对其保持有效)可以保持在对等组中,并且甚至可以在该组中断开连接并且稍后重新连接。使用用于实现控制对等组的设备的已知技术,以及用于支持独特的主密钥的生成、分发和选择性无效和用于支持选择用于验证远程设备的适当的独特的主密钥的修改, 可以容易地实现这样的控制设备。可以包括用于提供用户界面的组件,通过该用户界面,用户可以控制主密钥的选择性无效。然而,每个远程设备可以以传统方式接收并使用其独特的主密钥,使得即使利用具有传统配置的远程设备也能够提供增强的安全性。作为使用传统的对等技术可能怎样出现敏感的安全问题的示例,图1例示了依据对等协议形成的对等组。这样的对等协议可以在不要求任何基础设施的情况下允许多个无线设备连接。在图IA的示例中,五个设备已经依据该协议加入了组110A。在该示例设备120中,一个设备充当为该组的控制器。该控制器可以执行允许其它无线设备加入该组的功能。 这些功能可以包括例如为组中每个设备供应组地址,使得可以向所述设备路由信息。另外, 组控制器可以为该组中的其它无线设备供应安全信息,所述安全信息允许在那些设备加入或重新加入该组时验证它们。此外,可以使用安全信息来加密在控制该组的设备和该组中的其它设备之间的通信。任何合适的设备可以控制组。在图IA所例示的实施例中,设备120是通用计算设备,诸如膝上型计算机。这样的设备可以被容易地配置为执行如这里所描述的控制操作。例如,通过适当地配置计算设备中的通信软件,这样的计算设备可以被配置为执行与对等组的控制相关联的操作。然而,应理解,控制该组的计算设备的形式对于本专利技术而言不是至关重要的。相反,依据一些对等协议(包括Wi-Fi Direct协议)可以通过在寻求形成组的设备之间进行协商来标识控制组的设备,使得任何适当装备的设备可以充当组控制器。在图1的示例中,远程设备132、134、136和140已经与计算设备120 —起加入组 IlOA0作为依据对等协议在这些设备之间协商的结果、或者基于任何其它合适选择准则,已经确定计算设备120为组IlOA的控制器,已经确定远程设备132、134、136和140为客户端。 因此,计算设备120已经为远程设备132、134、136和140每一个供应了用于与作为对等组 IlOA的一部分的计算设备120通信的地址和密钥。可以依据已知标准或以任何其它合适方式执行组IlOA的形成和操作。作为示例,计算设备120可以生成用于远程设备132、134、136和140每一个的主密钥。传统地,为被组IlOA承认的每个设备提供相同的主密钥。可以使用协议将主密钥分发给被授权加入组IlOA的每个设备本文档来自技高网...
【技术保护点】
【技术特征摘要】
2010.12.16 US 12/9701591.一种操作被配置为对等组中的控制设备的无线计算设备(120)的方法,该方法包括利用第一设备执行密钥生成处理(544),由此将第一主密钥提供给第一设备; 利用第二设备执行密钥生成处理,由此将第二主密钥提供给第二设备,第二主密钥与第一主密钥不同;形成包括第一无线设备和第二无线设备作为客户端(530)的对等组,该形成包括 基于第一主密钥验证第一无线设备, 基于第一主密钥生成第一瞬时密钥, 基于第二主密钥验证第二无线设备,以及基于第二主密钥生成第二瞬时密钥;与作为该对等组的一部分的第一无线设备和第二无线设备交换数据(532),该交换包括利用第一瞬时密钥对发送到第一无线设备的数据进行加密,以及利用第二瞬时密钥对发送到第二无线设备的数据进行加密。2.如权利要求1所述的方法,还包括使第一主密钥和第一瞬时密钥无效,由此从该对等组中移除第一无线设备。3.如权利要求2所述的方法,还包括在使第一主密钥和第一瞬时密钥无效之后,与作为该对等组的一部分的第二无线设备交换数据。4.如权利要求1所述的方法,还包括与至少第一无线设备执行组拥有者协商,由此该无线计算设备被选择为组拥有者。5.如权利要求2所述的方法,其中该方法还包括将第一主密钥和第二主密钥存储在密钥存储设备中;以及使第一主密钥无效包括从该密钥存储设备中删除...
【专利技术属性】
技术研发人员:AA哈桑,MK德赛,Y古普塔,H费尔盖拉斯,
申请(专利权)人:AA哈桑,MK德赛,Y古普塔,H费尔盖拉斯,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。