移动自组织网络中用于数据安全的方法和装置 |
|||||||
| 申请号 | CN201380055383.6 | 申请日 | 2013-10-25 | 公开(公告)号 | CN104737493A | 公开(公告)日 | 2015-06-24 |
| 申请人 | 诺基亚技术有限公司; | 发明人 | M·图鲁宁; K·莱佩宁; H·哈尔考斯; P·金兹布尔格; P·尼米; | ||||
| 摘要 | 描述了用于移动自组织网络中的密钥管理的系统和技术。为移动自组织网络的群成员定义了 假名 ,从而使得仅可由发送设备和消息接收方来确定性地伴随发送设备一起标识消息中的假名。由群管理员(U.)实施用于群的密钥管理,并且密钥管理可以包括密钥再生和撤销。通过群管理员来实施密钥再生,其中所述群管理员使用一组 配对 假名(q..),其包括管理员与每个群成员之间的配对假名。密钥再生采用了用于加密经更新的群密钥的再生密钥,并且群管理员通过向附近的每个群成员传送消息来更新所述群密钥(402),其中使用所述管理员与所述群成员的配对假名来标识所述消息。 | ||||||
| 权利要求 | 1.一种装置,其包括: |
||||||
| 说明书全文 | 移动自组织网络中用于数据安全的方法和装置技术领域[0001] 本发明一般涉及数据通信和安全。更具体地,本发明涉及移动自组织(ad hoc)群网络中的密钥管理。 [0002] 定义 [0004] AcM 确认消息 [0005] Dk 采用密钥k用于Ek的解密函数 [0006] Ek 采用密钥k的认证加密函数(AES-EAX) [0007] F HMAC-SHA-256哈希函数 [0009] FUKi 用于导出针对Ui的认证密钥(ΚΑ,Ι)和用户假名(zi)的哈希函数[0010] ΚΑ,i 用于Ui的认证密钥 [0011] Kg1 用于群1的群加密密钥 [0012] KQ,i,j 用于成对的(Ui,Uj)的配对加密密钥 [0013] lookup 对存储的表格进行搜索的函数 [0014] MAC 消息认证码 [0015] max 可能的设备假名的数目 [0016] PPMi 用于Ui的隐私保护机制 [0017] Qi,j 用于成对的(Ui,Uj)的配对标识符 [0018] Qj,i 用于成对的(Uj,Ui)的配对标识符 [0019] qi,j,1 用于(Ui,Uj)的第一配对假名 [0020] qi,j,2 用于(Ui,Uj)的第二配对假名 [0021] RKi,j 用于(Ui,Uj)的再生密钥 [0022] RKj,i 用于(Uj,Ui)的再生密钥 [0023] RnM 密钥再生消息 [0024] salt 公开的固定串(在已知系统范围内) [0025] SeAcM 对用户搜索消息的确认 [0026] SeM 用户搜索消息 [0027] t 当前时间段 [0028] Ui 用户i的静态用户标识符 [0029] UKi 用于Ui的用户密钥 [0030] Verify MAC验证函数 [0031] xg 群g的群假名 [0032] zi Ui的用户假名 [0033] < 串比较函数 背景技术[0034] 移动通信设备的激增伴随着用户对于其通信的灵活性不断增加的需求。一种广泛使用的方案是形成移动设备的多个群;这类群的形成允许移动设备之间进行通信,而不需要基站参与组织或管理群。通常使用所有当前群成员都知道的共享对称密钥来确保群成员之间的数据的安全。群管理可以通过适当地简称为群管理员的群成员之一来完成。群管理员将密钥分发给加入群的新成员,并且当设备离开群或者是从群中撤销时再生该密钥。每个移动设备可以属于多个群,并且群管理员可以管理多个群。 [0035] 例如可以通过无线多跳广播介质来实施群通信。对于群的组织典型地允许群成员之间进行通信而无需预先规划,从而使得难以预测群成员之间的集会时间以及群成员的可用性。当密钥需要被再生时,可能只有群成员的子集是可获得的,而其他的群成员却在范围之外或者是关闭的。附图说明 [0036] 图1示出了根据本发明实施例的系统; [0037] 图2-图7示出了根据本发明实施例的示例性过程;以及 [0038] 图8示出了根据本发明实施例的用户设备。 发明内容[0039] 在本发明的一个实施例中,一种装置包括至少一个处理器和存储程序指令的存储器。存储程序指令的所述存储器被配置为与所述至少一个处理器一起使得所述装置至少:定义用于无线设备的一组用户假名;定义至少部分地基于所述用户假名而从用户密钥导出的认证密钥;以及通过传送至少一个消息而参与通信,其中与所述设备相关联的每个消息采用至少部分地基于用户假名而从用户密钥导出的认证密钥。 [0040] 在本发明的另一实施例中,一种装置包括至少一个处理器和存储程序指令的存储器。存储程序指令的所述存储器被配置为与所述至少一个处理器一起使得所述装置至少:定义相关联的配对设备所独有的配对假名,其中所述配对设备是与由共享密钥加密的群通信消息有关的无线设备;以及在要被传送至所述配对设备之一的消息中包括至少部分地基于所述配对假名而标识出的密钥更新信息。 [0041] 在本发明的另一实施例中,一种装置包括至少一个处理器和存储程序指令的存储器。存储程序指令的所述存储器被配置为与所述至少一个处理器一起使得所述装置至少:存储标识了其最近检测到来自无线设备群中的用户的认证消息的数据,在所述无线设备群中的特定无线设备是管理员,其中所述群中的所述无线设备利用共享密钥进行通信,并且每个所述无线设备具有用于在标识和认证消息时使用的至少一个相关联的用户假名,其中所述无线设备中的特定无线设备是管理员;以及通过将自从检测到来自所述用户的消息以来所经过的持续时间与期满时间段进行比较,确定所述用户是否在附近。 [0042] 在本发明的另一实施例中,一种装置包括至少一个处理器和存储程序指令的存储器。存储程序指令的所述存储器被配置为与所述至少一个处理器一起使得所述装置至少:发送含有无线设备群中的所有无线设备的假名的用户搜索消息,在所述无线设备群中的特定无线设备是管理员,其中所述群中的所述无线设备利用共享密钥进行通信,每个所述无线设备具有用于在标识和认证消息时使用的至少一个相关联的用户假名,其中所述假名是未能确认所述群管理员的最新密钥再生消息以及在预定的时间段内未被检测到的设备的假名;以及在接收到搜索确认消息时,利用新密钥来更新数据库,以及启动密钥再生。 [0043] 在本发明的另一实施例中,一种方法包括:定义至少部分地基于用户假名而从用户密钥导出的认证密钥;以及通过传送至少一个消息来参与通信,其中与设备相关联的每个消息采用至少部分地基于用户假名而从用户密钥导出的认证密钥。 [0044] 在本发明的另一实施例中,一种方法包括:定义相关联的配对设备所独有的配对假名;以及在要被传送至所述配对设备之一的消息中包括至少部分地基于所述配对假名而标识的密钥更新信息。 [0045] 在本发明的另一实施例中,一种方法包括:存储标识了其最近检测到来自无线设备群中的无线设备的认证消息的数据,在所述无线设备群中的特定无线设备是管理员,其中所述群中的所述无线设备利用共享密钥进行通信,其中每个所述无线设备具有用于在标识和认证消息时使用的至少一个相关联的用户假名,所述无线设备中的特定无线设备是管理员;以及通过将自从检测到来自所述用户的消息以来所经过的持续时间与期满时间段进行比较,确定所述无线设备是否在附近。 [0046] 在本发明的另一实施例中,一种方法包括:发送含有无线设备群中的所有无线设备的假名的用户搜索消息,在所述无线设备群中的特定无线设备是管理员,其中所述群中的所述无线设备利用共享密钥进行通信,并且每个所述无线设备具有用于在标识和认证消息时使用的至少一个相关联的用户假名,其中所述假名是未能确认所述群管理员的最新密钥再生消息以及在预定的时间段内未被检测到的设备的假名;以及在接收到搜索确认消息时,利用新密钥来更新数据库,以及启动密钥再生。 [0047] 在本发明的另一实施例中,一种计算机可读介质存储有程序指令,处理器对所述程序指令的执行将装置配置为至少:定义用于无线设备的一组用户假名;定义至少部分地基于所述用户假名而从用户密钥导出的认证密钥;以及通过传送至少一个消息来参与通信,其中与所述设备相关联的每个消息采用至少部分地基于用户假名而从用户密钥导出的认证密钥。 [0048] 在本发明的另一实施例中,一种计算机可读介质存储有程序指令,处理器对所述程序指令的执行将装置配置为至少:定义相关联的配对设备所独有的配对假名,其中所述配对设备是与由共享密钥加密的群通信消息有关的无线设备;以及在要被传送至所述配对设备之一的消息中包括至少部分地基于所述配对假名而标识的密钥更新信息。 [0049] 在本发明的另一实施例中,一种计算机可读介质存储有程序指令,处理器对所述程序指令的执行将装置配置为至少:存储标识了其最近检测到来自无线设备群中的无线设备的认证消息的数据,在所述无线设备群中的特定无线设备是管理员,其中所述群中的所述无线设备利用共享密钥进行通信,并且每个所述无线设备具有用于在标识和验证消息时使用的至少一个相关联的用户假名,在所述无线设备中的特定无线设备是管理员;以及通过将自从检测到来自所述用户的消息以来所经过的持续时间与期满时间段进行比较,确定所述无线设备是否在附近。 [0050] 在本发明的另一实施例中,一种计算机可读介质存储有程序指令,处理器对所述程序指令的执行将装置配置为至少:发送含有无线设备群中的所有无线设备的假名的用户搜索消息,在所述无线设备群中的特定无线设备是管理员,其中所述群中的所述无线设备利用共享密钥进行通信,并且每个所述无线设备具有用于在标识和认证消息时使用的至少一个相关联的用户假名,其中所述假名是未能确认所述群管理员的最新密钥再生消息以及在预定的时间段内未被检测到的设备的假名;以及在接收到搜索确认消息时,利用新密钥来更新数据库,以及启动密钥再生。 [0051] 在本发明的另一实施例中,一种装置包括:用于定义至少部分地基于用户假名而从用户密钥导出认证密钥的模块;以及用于通过传送至少一个消息来参与通信的模块,其中与所述设备相关联的每个消息采用至少部分地基于用户假名而从用户密钥导出的认证密钥。 [0052] 在本发明的另一实施例中,一种装置包括:用于定义相关联的配对设备所独有的配对假名的模块;以及用于在要被传送至所述配对设备之一的消息中包括至少部分地基于所述配对假名而标识的密钥更新信息的模块。 [0053] 在本发明的另一实施例中,一种装置包括:用于存储标识了其最近检测到来自无线设备群中的无线设备的认证消息的数据的模块,在所述无线设备群中的特定无线设备是管理员,其中所述群中的所述无线设备利用共享密钥进行通信,并且每个所述无线设备具有用于在标识和认证消息时使用的至少一个相关联的用户假名,在所述无线设备中的特定无线设备是管理员;以及用于通过将自从检测到来自所述用户的消息以来所经过的持续时间与期满时间段进行比较,确定所述无线设备是否在附近的模块。 [0054] 在本发明的另一实施例中,一种装置包括:用于发送含有无线设备群中的所有无线设备的假名的用户搜索消息的模块,在所述无线设备群中的特定无线设备是管理员,其中所述群中的无线设备利用共享密钥进行通信,并且每个所述无线设备具有用于在标识和认证消息时使用的至少一个相关联的用户假名,其中所述假名是未能确认所述群管理员的最新密钥再生消息以及在预定的时间段内未被检测到的设备的假名;以及用于在接收到搜索确认消息时利用新密钥来更新数据库以及启动密钥再生的模块。 具体实施方式[0055] 本发明的实施例认识到:大量特征增加了群网络的可用性和安全性并减少了资源消耗。例如,期望设备的操作使用尽可能少的计算、存储以及通信开销。另外,如果节点被撤销,立即在未来进行保密是所期望的,在撤销之后,被撤销的节点应当不能安全地发送或接收群消息。也就是说,被撤销的节点应当不能发送受到该群的安全信息保护的消息,并且应当不能读取受到该群的安全信息保护的消息。 [0056] 另外,还期望短的再生等待时间,以及在群管理员所进行的群密钥改变以及群密钥分发至可用成员之间的时间最小。 [0057] 本发明的实施例进一步认识到群管理员需要保证密钥再生中目标节点的匿名性。因此,如果群管理员需要用新密钥来更新设备Ui,则除了群管理员和设备Ui之外的任何一方都应当不能确定性地判定密钥再生消息源自群管理员并且包括了用于Ui的更新。每个用户Ui可以通过一组假名IDi来标识自身。 [0058] 这样的方法可以实现预防被撤销节点获知它们已经被排除出群,并且还可以实现预防外部窃听者获知属于相同群的任何两个节点。另外,该方法防止了群成员从密钥信息的更新中获取其他群成员的身份的信息。 [0059] 通过元组(源、目的地、群)来标识密钥更新消息。如果不要求匿名性,则这些字段可以按照明文显式地被全部包含在该消息中,从而使得目标设备检测到相关消息。在任何匿名网络内,相互竞争的目标造成了以下两者之间的冲突:(1)明确地包括这些字段,导致将通信方暴露给窃听者,以及(2)在消息中包括加密字段,从而要求每个节点对于任何这样的消息都要实施解密操作以便知道其是否为目标。 [0060] 此外,在这种移动网络中,设备对于群管理员来说可能并不总是可访问的,并且没有对群成员设置具体的集会时间。另外,这些设备可出于隐私原因而改变较低层标识符。因此难以安排设备之间的密钥更新。 [0061] 在移动自组织网络中的每个群中的管理员GM负责群成员的密钥。每个成员具有用户标识符Ui、用户假名zi和单独的用户密钥UKi。从Ui和UKi推导出zi,进而又在一方面的管理员和另一方面的每个成员之间共享Ui和UKi(反之亦然:每个成员与GM共享其密钥)。 [0062] 在本发明的一个或多个实施例中,群管理员与每个成员共享被称为配对标识符Qi,j的标识符以及被称为再生密钥RKi,j的对称密钥。通过以下方式来对新的群密钥K'g进行更新:广播根据从RKi,j导出的密钥而对新的群密钥所进行的加密。再生消息是通过包括从配对标识符和再生密钥导出的配对假名Qi,j,l来进行标识的。当检测到用户在附近时,对这些密钥再生更新进行反应性的广播。目标用户在相反方向上广播确认(ack)。 [0063] 如果出现以下情况,则设备Ui假设Uj在附近: [0064] (1)在时间Texpiry内,Uj已经发送已被Uj在特定群中验证的数据消息,或者[0065] (2)Uj已经发送了特定的用户搜索消息,该消息包括标识符Qj,i的配对假名。 [0066] 如果Ui的特征在于满足下列条件则Uj将用户搜索消息发送到Ui:“没有来自于用户Ui的对应于Uj的上次密钥再生消息的确认,并且自从上次看到Ui已经过去了一段时间Tmax”。 [0067] 图1示出了包括多个无线设备102A、102B、…102N的系统100,所述多个无线设备被适当地配备以便当在彼此的无线电范围内时进行对等通信。设备102A-102E还可以被配备成通过基站104进行通信。设备102A-102D可以属于第一群106,并且设备102D-102F可以属于第二群108,其中设备102D被指定为两个群106和108的群管理员。 [0068] 一般而言,诸如系统100这样的系统中的每个设备可以对应于具有静态标识符Ui的单个用户。系统可以包括形成集合U1、U2、…Un的n个用户。 [0069] 设备102A-102E中的每个设备可以采用诸如媒体访问控制(MAC)地址的链路层标识符、诸如网际协议(IP)地址的网络层标识符,以及应用层标识符。作为隐私保护机制(PPM)的一部分,这些标识符均可以在期望点处被改变。 [0070] 每个用户Ui属于固定数目的群ng。群的整个集合被定义为{G1,G2,…,Gm,…,Gmax},其中max是系统中群的总数,并且Gm是第m个群的静态标识符。群Gm进一步包括共享了秘密群密钥Kg的一组用户Gm={Ui}。 [0071] 在一个例子中,本发明的实施例可以被认为是针对离散时间系统,该系统在时间t=0被初始化,并且在本讨论中用户可以被认为处于离散时刻t,或者处在从t到t+1的时间段内适当的点。从实际系统的观点看,可以在被PPM设置的特定时钟时间段过去之后递增t。例如,这样的时间段可以是1小时、1天或另一期望的时间段。本发明的实施例还针对PPM在每个新时间段所实施的运算的添加。 [0072] 在一个或多个实施例中,本发明针对的是用户匿名性、在避免过多的计算和信令复杂性的同时保持了匿名性的密钥再生,以及在面临用户标识符的改变时的邻近检测。 [0073] 用户匿名性 [0074] 在一个或多个实施例中,用户可以表示为可适当地被称为用户假名的一组标识符,并且该组标识符可以允许随时间改变。假设IDi(t)是在时间t时Ui的一组用户假名,并且IDi(t)={zi,l},,其中zi,l是第l个用户假名的索引。此外,用户Ui最初具有秘密用户密钥UKi。每个群管理员将其Ui和UKi与所有的群成员共享。反过来,每个群成员通过外部成对安全信道来将其对应的用户标识符和密钥与所述管理员共享。 [0075] 在每个群中被安全地交换的数据消息可以采取这样的格式:U_k→G_m:z_(i,j)|p_(m,l)|msg,其中p_(m,l)是特定的群假名,并且msg是使用群密钥来加密和认证的消息,并且还可使用其他密钥进行加密、认证,或者二者皆有。 [0076] 存在来自其他层的标识符,这使得确定性地将两个用户假名链接到相同用户。理论上,伴随每个被发送的认证消息,在时间段t中,应该存在从一组用户假名IDi(t)得到的用户假名。 [0077] 然而,如果不同的用户假名来自IDi(t),而其他标识符保持不变,那么相对于用户假名与用户标识符的不可链接性来说就没有什么优点可以实现。根据PPM那些标识符进而只在新的时间段改变。因此,如果用户假名仅在递增t时被改变,就不会牺牲真正的优势。因此,本发明的一个或多个实施例在每个新的时间段t采用以下方法来管理用户Ui的用户假名: [0078] ο设置IDi(t)={zi},其中zi=FUK(Ui,t,salt2),F是哈希函数(例如HMAC-SHA-256),而salt2是由系统设置并由所有设备使用的串。 [0079] ο根据用户密钥UK将用于消息认证的认证密钥KA导出为KA,i=FUKi(Ui,t,salt1),其中salt1是由系统设置并由所有设备使用的串。作为PPM的一部分,该认证密钥也随着每个新的时间段而改变,而UK是仅当一个用户决定防止先前授权的节点验证其消息时才被改变。仅Ui保持恒定。在这一方面,每个用户的验证方集合都可被认为是该系统中的群,类似于普通的群,但是在该群中群密钥是用户密钥而群管理员是用户自己。 [0080] 密钥再生 [0081] 本发明的一个或多个实施例认识到诸如系统100这样的系统中多个群的存在需要用于标识密钥再生消息的源和目的地的技术。本发明的实施例进一步认识到,明确地包括用户标识符违反了密钥更新的匿名性,但是将这些标识符完全移除需要每个设备实施针对每个这样的消息的解密操作。在每种情况下都实施解密操作是很浪费的,因为该操作消耗资源并且在大多数情况下是不需要的。 [0082] 本发明的实施例通过以下方式解决克服这些和其他困难: [0083] ο使用广播消息,其中目的地标识符并未被包括在任何层。发送方标识符通常不被省略,因为有可能将其从其他层推导出来。群标识符可以与新的群密钥一起被加密;以及[0084] ο为每一配对设备附加独有的配对假名,而不是明确的标识符或单独的假名。因此,本发明的一个或多个实施例采用并非表示一个节点而是表示具有所定义的关系的成对节点的标识符。 [0085] 在一个或多个实施例中,本发明采用在一个时刻标识一配对节点的标识符:管理员Ui和成员Uj。该标识符可被称为配对标识符Qi,j,允许群成员Uj验证来自管理员Ui的密钥再生消息。 [0086] 另外,排他性地在群管理员Ui和成员Uj之间共享被称为再生密钥Ri,j的单独密钥。在任何数目的群中,配对标识符和再生密钥这二者对于这一对来说都是相同的,只要Ui担任管理员角色而Uj担任成员角色。然而,当角色相反时,该标识符和密钥发生改变。(Qi,j≠Qj,i∩RKi,j≠RKj,i)。Qi,j可被称为Qj,i的反向配对。 [0087] 配对标识符和再生密钥是不可随便废除的。它们是表征配对节点之间的单独安全信道的基本信息,并且不需要改变它们,因为配对标识符和再生密钥的每个集合涉及单个通信。如果节点Ui被撤销,则用于该用户的配对标识符和再生密钥可以简单地被放弃;不需要替换标识符和密钥。 [0088] 然而,由于隐私原因,不应当传送配对标识符,因为它是通过未受保护的信道。这样一种方法允许对手识别出这一配对之间的所有消息,从而成为那些改变标识符的其它隐私保护机制。 [0089] 因而,每当Ui是群管理员而Uj是群成员时,本发明的一个或多个实施例采用配对假名qi,j,l(其中l对应于第l个配对假名)。在密钥共享步骤中(经由外部成对的安全通道),连同用户标识符和用户密钥,两个节点组成的每个配对交换配对标识符和密钥,如图2所示并且以下将另外详细讨论。 [0090] 如果Ui将用户标识符、用户密钥、Qi,j和RKi,j与Uj共享,并且如果Uj将用户标识符、用户密钥、Qj,i和RKj,i与Ui共享,则两个用户Ui和Uj被称为形成相互配对。配对再生密钥RKi,j不直接用于加密再生消息,从而避免暴露足以允许攻击者导出密钥的信息。被称为配对加密密钥Kqi,j的临时密钥因而可以定义如下: [0091] 其中F是哈希函数(例如HMAC-SHA-256),salt3是固定的、公共的、系统范围的串。更新该密钥是隐私保护模块(PPM)的一部分。 [0092] 配对假名被如此设计以便实现配对匿名性:对于任何配对(Ui,Uj),当且仅当对于Qi,j的所有假名qi,j,l,除了这两个节点以外没有其它节点可以确定性地验证qi,j,l是(Ui,Uj)的有效配对假名时,那么在时间t存在配对匿名性。 [0093] 如下生成假名: [0094] [0095] [0096] 本发明的实施例采用针对密钥再生的机制,其中,假名的生成满足如上定义的配对匿名性。Ui再生其群密钥的情况在图4中示出,并且将在下文中进一步论述。 [0097] 1.Ui通过向Uj广播新的群密钥K'g1来继续,该新的群密钥通过认证加密函数E(例如AES-EAX)进行加密,其中使用的密钥是配对加密密钥KQ,i,j。 [0098] 2.如果Uj针对所附加的假名qi,j,1发现匹配,则它利用新密钥来更新其数据库。如果Uj没有从其所有的群中阻止Ui,则它通过广播确认消息进行应答,该确认消息是用KQ,j,i加密的并且含有qj,i,2作为假名。如果Uj还具有新的群密钥K'g2要传送至Ui,则该加密消息含有该密钥以便节省新的密钥再生操作。 [0099] 3.继而,当Ui接收到消息时,其查找配对假名并进行解密以便发现该消息来自Uj。Ui记录Uj现在具有已更新的密钥。如果该消息还含有来自Uj的密钥,则Ui必须确认接收到该密钥。再者,其可以利用该消息以便另外包括还没有被Uj确认的新密钥K'g3。 [0100] 4.当Uj接收到该消息,并且发现它的来源,则通过对其进行解密来继续。如果它只具有ack(确认),则它在其数据库中进行记录;否则它在步骤2中形成应答来继续。 [0101] Uj对密钥进行再生的情况在图5中示出,并且沿相同路线进行描述。 [0102] 基于这些附图,显然: [0103] -Ui从不使用由Uj使用的加密密钥。 [0104] -Ui所使用的用于再生和ack消息这二者的假名与Uj所使用的是不同的。 [0105] -每个节点在其扮演成员角色时所使用的假名与扮演管理员角色的节点所使用的假名是不同的。 [0106] 因为所有消息是在没有目标地址的情况下被广播的,所以没有办法使用较低层标识符来将配对假名关联到配对节点Ui和Uj。此外,因为两个发送方所发送的两个消息不会具有相交部分(配对假名或加密消息),所以不可能从消息内容推断出假名所代表的实际节点。因此,配对匿名性得到保持。 [0107] 邻近检测 [0108] 本发明的一个或多个实施例认识到,在很多情况下不能预期节点之间的固定集会时间,因此就管理通信资源而言,节点在不知道目标节点处在附近的情况下发送密钥更新是低效的。此外,因为更新时刻和目标节点出现在附近之间没有相关性,这也可能非常不精确。因此,本发明的一个或多个实施例提供了邻近检测元件,其允许节点检测彼此的存在。在许多情况下,希望检测和标识用户并且所有其他标识符将由PPM进行改变,在较低层处的常规机制失效。本发明的实施例所呈现的可能方式是包括:使用配对假名来实施邻近检测或者使用用户假名来实施检测。 [0109] 为了使用配对假名来实施邻近检测,节点Ui周期性地广播信标消息,该信标消息含有其对应于节点Uj,Uj',Uj”…的配对假名qi,j,1,qi,j',1,qi,j”,1…的列表。 [0110] 对用于邻近检测的用户假名的使用利用了节点之间的相互配对的优势。由于节点之间的相互配对,Ui能够认证其群成员正在发送的消息。该信息可被用来确定用户Uj是否在附近。群管理员Ui维护记录了从其群中的每个用户接收到认证消息的最后时间的表格。当需要检查Uj是否在附近时,Ui实施查询以便将自从Uj上次出现以来已经经过的持续时间与定制的期满时间段Texpiry进行比较。 [0111] 这样的方法完成了邻近检测,而不需要额外的通信。然而,如果在附近的节点不具有要发送的消息,则可降低精确度。在一个或多个实施方案中,当节点是群成员但却没有任何内容要共享时,可以要求节点以用户假名zi发送经认证的存在信标。Ui的一个示例性信标格式为:zi|FKA,i(h),其中,F是类似或等同于上面所描述的哈希函数,并且h是根据报头信息和用户假名形成的。当节点发送存在信标时,它们将从其他节点接收密钥更新,并且将能够接收和解密内容。 [0112] 根据本发明的一个或多个实施例的机制进一步解决了关于邻近检测中改变密钥的影响。为了说明需要解决这样的影响,假设节点Ui和Uj形成相互的配对。进一步假设在某个时间t1两个设备停止集会。在t1和t2之间的时间,可能会出现三种可能性: [0113] 1.Ui更新其用户密钥UKi;Uj更新其用户密钥UKj,并且两者撤销彼此。 [0114] 2.Ui更新其用户密钥UKi;Uj更新其用户密钥UKj,但是这两个用户并没有撤销彼此。 [0115] 3.Ui更新其用户密钥UKi;Uj更新其用户密钥UKj,但是他们只有其中一个撤销了对方。 [0116] 如果这些设备在t2再次相遇,对于用户密钥的循环(circular)依赖性依然存在。如上面所讨论的,这些用户密钥本身可以是群密钥。 [0117] 对于第一种情况,不再需要两个用户之间的密钥再生消息。然而,对于其他两种情况,简单地使用基于用户假名的邻近检测会失效,因为用户假名依赖于被改变的用户密钥。我们将这称为死锁问题。 [0118] 对于其中两个密钥都被撤销的第二种情况,一个示例性的方案是:对于多方中的一方(例如Ui),采取类似于针对配对假名所使用的方法的那种方案,但却使用特定节点(例如Uj)的假名,这由下述条件表征: [0119] “Ui没有来自用户Uj的对应于最后的密钥再生消息的ack,并且自从Uj上次被看见以来已经经过了特定时间段Tmax”。 [0120] 搜索方发送被称为用户搜索消息的信标,其通常包含具有这样的条件的所有用户的多个配对假名,实施以下步骤: [0121] 1.Uj发送用户搜索消息,其包含具有上述条件的节点的假名(qi,j,1|qi,j',1|qi,j”,1…)。 [0122] 2.如果Uj找到用于所附假名之一qi,j,1的匹配,则它利用新密钥来更新其数据库。如果Uj没有阻止来自其所有群的Ui,则它通过广播搜索确认消息来进行应答,所述搜索确认消息被用KQ,j,i加密并且包含qi,j,2作为假名。如果Uj还具有新的群密钥K'g2要传送到Ui,则加密消息包含该密钥以便节省新的密钥再生操作。 [0123] 3.如上所述,Ui通过发起用于Uj的密钥再生来进行应答。 [0124] 在另一种方案中,可以采用诸如联机服务器这样的服务器来仅共享用户密钥更新。该服务器不必是可信的,但却可以简单地充当广播介质,其中当用户变得联机时可以传播用户密钥更新,以便解决密钥改变的问题并防止邻近检测受到这种密钥改变的损害。 [0125] 如上所述,另一种情形涉及到两个用户改变密钥但是只有一个用户被另一个撤销。假设用户Uj是被撤销的一方。不存在分布式且匿名的方式来通知Uj停止发送包括Ui的用户搜索消息—即,没有使用可信的第三方,或者不允许Uj获知它已被撤销,或者二者皆有。邻近检测可以被设计成在以下两者之间达成妥协(1)当最近并未见过的设备再次出现时由Uj检测到它们,以及(2)Uj持续地向曾经撤销它的、几乎很少见的设备发送信标。 [0126] 根据本发明实施例的示例性方法(其可应用于没有任何一方用户撤销另一方的情况以及一个用户撤销另一方的情况)将在特定时间段之后停止向特定用户发送所述用户搜索消息,并且需要用户的干预来恢复被共享的用户密钥。当在物理上注意到特定用户的存在但是却不能经由设备检测到他时,用户将手动触发对该特定用户的密钥再生操作。 [0127] 图2-图7示出了根据本发明的一个或多个实施例,在保持匿名性的同时所采取的用于共享、更新和撤销密钥的示例性过程。图2示出了相互配对过程200,其中用户i和j(102和104)交换所需的标识符和密钥。对于用户i和j来说,Ui和Uj是静态和永久的用户标识符。 [0128] UKi和UKj是特定于用户的秘密用户密钥。从用户密钥导出临时认证密钥KA,i和KA,j。在后来的消息交换期间当用户i和j发起的消息被(发射机)签名时以及被(接收机)验证时使用认证密钥。 [0129] Qi,j和Qj,i是配对标识符。配对标识符标识了一个用户到另一用户的特有绑定(Ui,Uj)和(Uj,Ui)。成对的配对标识符形成了两个用户之间的双向绑定。 [0130] RKi,j和RKj,i是静态再生密钥。从再生密钥推导出临时的配对加密密钥KQi,j和KQj,i。配对加密密钥用来加密再生消息。在这里所示的示例中,用户i(102)在传输202中传递Ui、UKi、Qi,j和RKi,j至用户j(104),并且用户j(104)在传输204中传递Ui、UKi、Qi,j和RKi,j给用户i(102)。 [0131] 图3示出了隐私保护机制300,其中在每个新的时间段(即,每次改变时间t、标记了间隔,或者当密钥改变时)更新密钥和假名。在过程301实施对较低级别标识符的更新,在过程302期间通过函数FUKi重新计算认证密钥(KA,i)和用户假名(zi)。用户表格304含有静态用户标识符(U0)、静态用户密钥(UK0)以及为每个已知用户在当前时间段t所计算的认证密钥和用户假名。当设备接收到含有用户假名zi的消息时,进行用户表格查找305,以便找到相应的用户以及用于该用户的认证密钥。在过程306通过函数FRKi,j再次计算配对加密密钥(KQ,i,j)和配对假名(qi,j,1)。 [0132] 配对表格308含有配对标识符(Qi,j,Qj,i)、再生密钥(RKi,j,RKj,i),以及针对当前时间段t所计算的配对加密密钥(KQ,i,j,KQ,j,i)和配对假名(例如qi,j,1)。当设备接收到含有配对假名的消息时便进行配对表格查找310,以便找到相应的配对信息。 [0133] 图4示出了由用户i(102)发起的密钥再生400。 [0134] 1.用户Ui拥有并管理群g1。用户Ui开始用于群g1的密钥再生过程。该用户的设备检测到属于群Kg1的用户Uj(104)在附近,并且Uj还没有对密钥再生进行确认。该设备实施对密钥再生消息RnM的传输402,密钥再生消息RnM含有配对假名qi,j,1以及经加密的消息内容。由于密钥再生的目标可以是用户密钥或群密钥,因此加密的部分含有假名和再生的密钥。对于用户来说,再生消息RnM如下所示: [0135] RnM:qi,j,1|EKQ,i,j(zi|UK’i)—针对用于用户Ui的经再生的用户密钥UK’i[0136] 对于群来说,再生消息RnM如下所示: [0137] RnM:qi,j,1|EKQ,i,j(xg|K’g)—针对用于群g的经再生的群密钥K’gUj可以通过检查经加密的假名来确定密钥再生的目标。如果它是Ui的用户假名,那么要再生用于Ui的用户密钥。如果它是群g的群假名,那么要再生用于群g的群密钥。 [0138] 2.当用户Uj的设备接收到含有配对假名的密钥再生消息时,该设备实施配对表格查找403以便找到所存储的配对信息。如果发现配对信息并且用户Ui没有被用户Uj撤销,那么该设备使用配对加密密钥KQ,i,j来解密再生消息内容。然后,该设备确定密钥再生的目标。对用户表格和群表格进行查找,以便发现是否存在与经加密的假名相匹配的用户或群。这里,经再生的密钥针对的是已知的群g1,因而该密钥是新的群密钥K’g1。然后该设备构建应答消息404。如果该设备检测到与群g2有关的用于Ui的任何待处理的密钥再生,那么所构建的应答消息含有经加密的新的群密钥K’g2以及对群g1的密钥再生的确认。确认含有用于群g1的群假名xg1。如果不需要再生群密钥,那么应答仅含有对于群g1的经加密的密钥再生确认。 [0139] 3.用户Uj的设备实施对确认消息AcM的传输406,确认消息AcM含有配对假名qj,i,2和所构建的应答。 [0140] 4.当用户Ui的设备接收到含有配对假名的密钥再生确认消息时,该设备进行配对表格查找408,以便发现所存储的配对信息。如果发现配对信息并且用户Uj没有被用户Ui撤销,那么该设备通过使用配对加密密钥KQ,j,i来解密应答消息。如果应答含有对群g1的密钥再生的确认,那么该设备更新用于Uj的用户表格元素。如果应答含有用于群g2的密钥再生,那么该设备将新密钥K’g2投入使用并且构建用于该群的密钥再生确认消息。 [0141] 5.如果Ui的设备已经构建了用于群g2的密钥再生确认消息(AcM),那么该设备实施对确认消息的传输410。 [0142] 6.用户Uj的设备接收应答消息。用于群g2的密钥再生确认消息指示Ui已经完成用于该群的密钥再生。用于群g3的密钥再生开始进行类似于上述步骤2中所给出的更新。用户Uj的设备实施配对表格查找412,并且如果有更多的群需要密钥再生,那么再生过程如在以上(2)中那样继续进行(通过返回到步骤404),直到所有的待处理的再生都已经完成。 [0143] 图5示出了具有标识符Uj的用户j(104)所发起的密钥再生。 [0144] 1.用户Uj拥有和管理群g2,并且启动用于群g2的密钥再生过程。用户的设备检测到属于群Kg2的用户Ui在附近并且Ui还没有对密钥再生进行确认。该设备实施对密钥再生消息RnM的传输,RnM消息含有配对假名qj,i,1以及使用配对加密密钥KQ,j,i来加密的新的群密钥K’g2。该步骤类似于图4中的步骤1,不同之处在于所使用的配对假名,并且配对加密密钥是来自方向(Uj,Ui)而不是(Ui,Uj)。 [0145] 2.用户Ui的设备通过配对假名qj,i,1和针对用户Uj的用户表格更新来实施查找504。该设备实施对应答消息AcM的构建506,应答消息AcM含有对于群g2的密钥再生确认和对于群g1的密钥再生。 [0146] 3.用户Ui的设备实施对应答消息的传输508,所述应答消息包括对g2密钥再生的确认和对g1的密钥再生。 [0147] 4.用户Uj的设备接收应答消息,根据配对假名qi,j,2和针对用户Ui的用户表格更新来实施查找510。用户Uj的设备构建对于群g1的密钥再生确认和对于群g4的密钥再生。 [0148] 5.用户Uj的设备实施对确认消息的传输512,所述确认消息包括对g1密钥再生的确认和对g4的密钥再生。 [0149] 6.用户Ui的设备接收该确认消息,并且基于配对假名qi,j,2和针对用户Uj的用户表格更新来实施查找514。用户Ui的设备构建针对群g4的密钥再生确认。如果有更多的群需要密钥再生,那么过程继续(通过返回到506),直到所有的群密钥已被更新。 [0150] 图6示出了例如由用户Ui的设备(102)所实施的邻近检测600,包括常规查询方案、偶发信标方案,以及搜索消息方案。 [0151] 用户表格602含有用于每个已知用户的密钥再生状态以及检测时间信息。例如在时间t=t1处,用户表格含有关于用户U0,Uj和Uj+1的下列信息: [0152] 1.在时间t=t1处的用户邻近检测信息∶ [0153] 用户U0上一次在时刻t1被检测到。该设备已经接收到来自U0的再生确认消息。该用户与用户U0之间的用户信息是最新的。 [0154] 2.用户Uj和Uj+1还未被检测到(或者它们已经在很长时间以前被检测到),因此该用户与用户Uj和Uj+1之间的用户信息不是最新的。 [0155] 3.在t=t2处,该设备接收到来自Uj的经认证的数据消息604。包括了在时间t=t2处的用户邻近检测信息606: [0156] 用户U0:自从t=t1以来没有发生改变。 [0157] 用户Uj上一次是在时间t2处被检测到的。自从上一密钥再生以来没有密钥再生确认。 [0158] 用户Uj+1:自从t=t1以来没有发生改变。 [0159] 4.在时间t=t3处,询问610用户Uj是否在附近。如果上一认证消息是在给定时间门限内接收到的(通过在612处将t3和t2之间的差与期满时间进行比较),那么认为用户Uj在附近;否则用户Uj不在附近。确定出用户Uj在附近可触发密钥再生。当从Uj接收到密钥再生确认消息或密钥再生时,可以知道Uj的用户信息是最新的。 [0160] 如以上结合图4所述,确定出用户Uj在附近范围内可触发密钥再生。当从Uj接收到密钥再生确认消息或密钥再生时,可以知道Uj的用户信息是最新的。 [0161] 用户邻近检测信息614在时间t=t3处可以是例如: [0162] 用户U0:自从t=t1以来没有发生改变。 [0163] 用户Uj上一次是在时间t4处被检测到的(例如,在从Uj接收到的确认616处)。用于用户Uj的用户信息是最新的。 [0164] 用户Uj+1:自从t=t1以来没有发生改变。 [0165] 其他方法包括使用信标和使用搜索消息。当在618经历低的消息发送速率时,该设备在620发送信标(诸如包括zi的伪认证消息),直到该速率增加。这样的方法允许其他设备来检测用户102的存在。 [0166] 还有一种方法是启动用户搜索过程622。如果设备已经实施了密钥再生,但在特定时间段内却还没有检测到受到该密钥再生影响的另一用户,则该设备可以实施对用户搜索消息的发送624。一旦发现设备,则用户102的设备可以在626实施密钥再生。 [0167] 图7示出了针对死锁(由于密钥改变引起的邻近检测失败)的解决方案的例子。 [0168] 1.用户Ui拥有并管理群g1。用户Ui已经实施了用于群g1的密钥再生。在预定的时间段内,Ui没有检测到Uj、Uj′和Uj″在附近。一个原因可能是这些用户已经更新其用户密钥(诸如UKj),而Ui没有收到再生的密钥(诸如UK'j)。因此,即使Ui已经例如从Uj接收到消息,Ui也不能够标识或验证Uj,因为用户假名zj对于Ui来说是未知的。Ui的设备可以开始用户搜索过程,以便发现何时用户Uj(和Uj'以及Uj″等)在附近。可以周期性地运行用户搜索,或者当用户知道Uj可能在附近时她可以请求启动用户搜索。 [0169] 2.用户Ui的设备实施对用户搜索消息(SeM)的传输702。用户搜索消息含有用户Ui想要知道其存在的那些用户的一组配对假名(qi,j,1,qi,j’,1,qi,j”,1,…)。因为配对标识符是静态的,所以用户Uj应当识别出配对标识符qi,j,1。 [0170] 3.Uj的设备接收用户搜索消息702。该设备实施配对表格查找704以便发现是否存在匹配的配对假名。如果找到匹配并且Uj已经撤销了相匹配的用户,那么该设备构建应答消息。应答消息可含有用于用户密钥或群密钥的附带的(piggybacked)密钥再生。例如,EKQ,j,i(xg2|K’g2|zj)含有用于群g2的附带的密钥再生(群假名xg2和新密钥K’g2)以及对于Uj的存在指示(用户假名zj)。使用配对加密密钥KQ,j,i来对应答消息进行加密。 [0171] 4.用户Uj的设备实施对用户搜索确认消息的传输706。 [0172] 5.Ui的设备接收用户搜索确认消息。该设备实施配对表格查找708,以便发现所存储的配对信息。如果发现配对信息并且用户Uj没有被用户Ui撤销,那么该设备使用配对加密密钥KQj,i,2来解密再生消息内容。通过经解密的用户假名zj,该设备知道用户Uj在附近。 [0173] 6.如果Ui已经再生了密钥并且Uj需要了解关于经再生的密钥的信息,则常规密钥再生过程710可以如在图4中所示和上文所讨论的那样开始。 [0174] 确定出用户Uj在附近可以触发例如图3和图4中所示的以及上面所讨论的密钥再生过程。当设备从Uj接收到密钥再生或密钥再生确认消息时,该设备知道Uj的用户信息是最新的。 [0175] 在时间t=t3处的用户邻近检测信息: [0176] 用户U0:自从t=t1以来没有发生改变。 [0177] 用户Uj上一次是在时间t4处被检测到的。该用户和用户Uj之间的用户信息是最新的。 [0178] 用户Uj+1:自从t=t1以来没有发生改变。 [0179] 如果设备没有自己的(经认证的)数据消息要传输,那么设备可以传输伪认证信标消息。这使得其他设备能够检测到该用户的存在。 [0180] 如果设备已经进行了密钥再生过程而且该设备在一段时间内还没有检测到受该密钥再生过程影响的另一用户,则该设备可以启动用户搜索过程。如果检测到用户,那么设备可以触发密钥再生过程。 [0181] 图8示出了根据本发明实施例的示例性用户设备800,其被配置成充当例如由诸如系统100这样的系统的用户(无论是数据所有者还是数据请求者)来控制的设备。可以认识到,在合适的环境下,在不同的时间,用户可以作为数据拥有者或数据请求者。在这里将该设备示为具有无线通信能力,但是应该认识到,这样的配置是示例性的,可以采用任何数目的配置。 [0182] 该用户设备包括数据处理器802和存储器804,其中存储器804适当地存储了数据806和软件808。用户设备800进一步包括发射机810、接收机812以及天线816。存储在存储器804中的软件806包括程序指令(软件(SW)),当所述程序指令由相关联的数据处理器802执行时,其使得用户设备能够根据本发明的示例性实施例进行操作。也就是说,本发明的示例性实施例可以至少部分地由这里示出的各种电子组件的DP 802可执行的计算机软件来实现,其中按照用于实施本发明所需要的任何数目、配置和布局来部署这样的组件和类似组件。本发明的各种实施例可通过硬件、或者通过软件和硬件(和固件)的组合来实现。 [0183] 图8还示出了允许由无线通信设备(例如,其可作为无线局域网或无线蜂窝网络的一部分)进行通信的示例性无线接入点820。接入点820例如可以采取无线蜂窝网络中的基站的形式,或者按照另一例子作为无线网络接入点。接入点820可以采取任何数目的其他实现方式。 [0184] 接入点820包括数据处理器822和存储器824,其中存储器824适当地存储了数据826和软件828。接入点820进一步包括发射机830、接收机832以及天线836。存储在存储器424中的软件826包括程序指令(软件(SW)),当所述程序指令由相关联的数据处理器 822执行时,其使得用户设备能够根据本发明的示例性实施例进行操作。也就是说,本发明的示例性实施例可以至少部分地由这里示出的各种电子组件的DP 802可执行的计算机软件来实现,其中按照用于实施本发明所需要的任何数目、配置和布局来部署这样的组件和类似组件。本发明的各种实施例可通过硬件、或者通过软件和硬件(和固件)的组合来实现。 [0185] 用户设备800的各种实施例可以包括但不限于:蜂窝电话、具有无线通信能力的个人数字助理(PDA)、具有无线通信能力的便携式计算机、具有无线通信能力的诸如数字照相机这样的图像捕获设备、具有无线通信能力的游戏设备、具有无线通信能力的音乐存储和回放装置、允许无线因特网访问和浏览的因特网设施,以及结合了这些功能的组合的便携式单元或终端。 [0186] 存储器804和824可以采用适于本地技术环境的任何类型并且可以使用任何适合的数据存储技术来实现,例如基于半导体的存储设备、闪存、磁存储设备和系统、光存储设备和系统、固定存储器和可装卸存储器。数据处理器802和822可以采用适于本地技术环境的任何类型,并且作为非限制性的例子,其可以包括一个或多个通用计算机、专用计算机、微处理器、数字信号处理器(DSP),以及基于多核处理器体系结构的处理器。 [0187] 在本发明的一个实施例中,一种装置包括至少一个处理器和存储程序指令的存储器,其中存储程序指令的所述存储器被配置为与所述至少一个处理器一起使得所述装置至少:定义用于无线设备的一组用户假名,其中与所述设备相关联的每个消息采用至少部分地基于用户假名而从用户密钥导出的认证密钥。 [0188] 在本发明的另一实施例中,所述认证密钥在定义的时间段序列中的每个定义的时间段之后被改变。 [0189] 在本发明的另一实施例中,从用户密钥导出所述认证密钥,其中,在确定要防止至少一个先前授权的设备验证来自所述无线设备的消息时,所述用户密钥被改变。 [0190] 在本发明的另一实施例中,一种装置包括至少一个处理器和存储程序指令的存储器,其中存储程序指令的所述存储器被配置为与所述至少一个处理器一起使得所述装置至少:定义相关联的配对设备所独有的配对假名。 [0191] 在本发明的另一实施例中,所述配对设备中的一员是群管理员,而所述配对中的另一员是群成员。 [0192] 在本发明的另一实施例中,所述装置还定义了在所述配对的成员之间共享的单独密钥。 [0193] 在本发明的另一实施例中,所述配对标识符被定义以便防止以下确定性验证:所述配对假名是对其进行共享的配对的有效配对假名。 [0194] 在本发明的另一实施例中,一种装置包括至少一个处理器和存储程序指令的存储器,其中存储程序指令的所述存储器被配置为与所述至少一个处理器一起使得所述装置至少:存储标识了其最近检测到来自群中的用户的认证消息的数据,其中在所述群中的特定无线设备是管理员;以及通过将自从检测到来自所述用户的消息以来所经过的持续时间与期满时间段进行比较,确定所述用户是否在附近。 [0195] 在本发明的另一实施例中,所述装置对于从没有要共享的内容的用户周期性发送的存在信标进行认证。 [0196] 在本发明的另一实施例中,一种装置包括至少一个处理器和存储程序指令的存储器,其中存储程序指令的所述存储器被配置为与所述至少一个处理器一起使得所述装置至少:发送含有用于所有以下节点的假名的用户搜索消息,即所述节点未能确认群管理员的最新密钥再生消息和在预定的时间段内未被检测到;以及在接收到搜索确认消息时,利用新密钥来更新数据库,以及启动密钥再生。 [0197] 在本发明的另一实施例中,所述装置在联机服务器处存储密钥信息。 [0198] 在本发明的另一实施例中,所述装置当在特定时间段内没有从所述用户接收到响应之后停止发送用户搜索消息。 [0199] 在本发明的另一实施例中,所述装置基于手动选择而实施用于所述用户的密钥再生操作。 [0200] 鉴于前面的描述,当结合附图阅读时,对于本发明的前述示例性实施例的各种修改和适配对于相关领域的技术人员来说将变得明显。然而,任何修改以及所有修改将仍然落在本发明的非限制性和示例性实施例的范围内。 [0201] 此外,可以有利地使用本发明的各种非限制性和示例性实施例的一些特征而无需相应使用其他特征。因此,以上描述应当被认为是仅仅说明了本发明的原理、教导和示例性实施例,而非对其的限制。 |
||||||
QQ群二维码
意见反馈
意见反馈