[0001] 背景
[0002] 领域
[0003] 本文所公开的各种特征一般涉及对等覆盖网络,并且至少一些特征涉及用于促成对等覆盖网络中对数据对象的群访问控制的设备和方法。
[0004] 背景
[0005] 对等(或即P2P)和其他类似覆盖网络包括在各对等方之间划分任务或工作负载的分布式应用架构。此类对等覆盖网络可被构建在底层网络(诸如利用网际协议(IP)的网络)之上。
[0006] 典型情况下,对等方是应用中特权相同的、均等的参与者,并且通常被称为形成对等
节点网络。各个对等节点彼此协作以既提供服务又维护该网络。对等节点通常使得它们的资源(诸如处理能
力、盘存储或网络带宽)的一部分直接可供其他网络参与者使用,而无需
服务器或稳定主机的集中协调。一般而言,对等节点既是资源的提供者又是资源的消费者,这与只有服务器提供而客户端消费的传统客户端-服务器模型形成对比。
[0007]
对等网络和类似覆盖网络可出于应用的低成本可伸缩性和易于部署而被用在许多环境中。典型情况下,此类网络是相对开放的,从而允许各设备(即,节点)随意加入和离开。在此类网络的一些实现中,用户的数据可按分布式方式存储在该网络中的远程节点上,这对用户而言可以是已知或未知的。结果,一些用户可能不完全信任该覆盖的数据存储能力,除非能保证用户的数据将不会以未授权方式被访问(例如,读取和/或
修改)。数据所有者因而可以能够
指定定义谁能访问所存储的数据对象的访问控制。
[0008] 常规情况下,存储在对等覆盖网络中的每个数据对象具有相应的访问控制列表,其指示关于该特定数据对象的访问控制策略。例如,相应的访问控制列表可指示哪些用户或用户群具有对该数据对象的指定类型的访问。然而,在可能有或可能没有任何中央权威机构以基于群成员关系来实施访问控制的对等覆盖网络中提供高效的基于群的访问控制可能是有挑战的。例如,在没有中央权威机构的情况下,可能难以认证对等节点是有效的群成员。因此,需要用于在对等覆盖网络中管理和认证对等节点间的群成员关系的系统、设备和/或方法。
[0009] 概述
[0010] 各种特征提供用于促成对等覆盖网络中基于群的访问控制的对等节点。一种或多种特征提供了群管理员对等节点,其可包括各自耦合到处理
电路的通信
接口和存储介质。
通信接口可适配成促成对等覆盖网络上的通信。存储介质可包括与群管理员对等节点相关联的私钥和公钥对。
[0011] 根据各种实现,处理电路可适配成创建对等群,该群将一个或多个对等节点定义为该群的成员。该处理电路可进一步向作为该群的成员的群成员对等节点指派因对等方而异的证书,该因对等方而异的证书适配成向对等覆盖网络中的其他对等节点认证在该群中的成员关系,并且包括群身份、群成员对等节点的身份、颁发装置的身份、以及通过颁发装置的私钥在该因对等方而异的证书的一个或多个组成部分上的签名。
[0012] 还提供了在群管理员对等节点中操作的方法。根据此类方法的一种或多种实现,可获得与群管理员对等节点相关联的公钥和私钥对。可在对等覆盖网络中创建对等群,其中该群将一个或多个对等节点定义为该群的成员。可向作为该群的成员的群成员对等节点指派因对等方而异的证书,其中该因对等方而异的证书适配成向对等覆盖网络中的其他对等节点认证在该群中的成员关系。该因对等方而异的证书可包括群身份、群成员对等节点的身份、颁发装置的身份、以及通过颁发装置的私钥在该因对等方而异的证书的一个或多个组成部分上的签名。
[0013] 至少一个其他特征提供了群成员对等节点,其可包括各自耦合到处理电路的通信接口和存储介质。通信接口可适配成促成对等覆盖网络上的通信。存储介质可包括与群成员对等节点相关联的私钥和公钥对。
[0014] 根据各种实现,处理电路可适配成经由通信接口接收因对等方而异的群证书。该因对等方而异的群证书可从群管理员对等节点颁予群成员对等节点,并且可包括群身份、群成员对等节点的身份、群管理员对等节点的身份、以及通过群管理员对等节点的私钥在该因对等方而异的群证书的一个或多个组成部分上的签名。该处理电路可进一步经由通信接口将该因对等方而异的群证书发送给证实方对等节点。该处理电路还可经由通信接口将认证数据发送给证实方对等节点。该认证数据可以是使用与群成员对等节点相关联的私钥来签名的。
[0015] 还提供了在群成员对等节点中操作的方法。根据此类方法的一种或多种实现,可获得与群成员对等节点相关联的公钥和私钥对。可接收从群管理员对等节点颁予群成员对等节点的因对等方而异的群证书。该因对等方而异的群证书可包括群身份、群成员对等节点的身份、群管理员对等节点的身份、以及通过群管理员对等节点的私钥在该因对等方而异的群证书的一个或多个组成部分上的签名。可将该因对等方而异的群证书发送给证实方对等节点以认证该群成员对等节点为群成员,其中该因对等方而异的群证书适配成由证实方对等节点来认证。还可将认证数据发送给证实方对等节点,其中该认证数据是使用与该群成员对等节点相关联的私钥来签名的。
[0016] 附加特征提供了证实方对等节点,其可包括:通信接口,其适配成促成对等覆盖网络上的通信;以及处理电路,其耦合到该通信接口。根据各种实现,该处理电路可适配成经由通信接口从寻求认证为群的成员的群成员对等节点接收因对等方而异的群证书。该因对等方而异的群证书可包括群身份、群成员对等节点的身份、群管理员对等节点的身份、以及通过群管理员对等节点的私钥在该因对等方而异的群证书的一个或多个组成部分上的签名。该处理电路可从对等覆盖网络获得群令牌。该群令牌可包括通过群管理员对等节点的私钥进行的签名,并且可作为由群身份来标识的数据对象被存储在对等覆盖网络中。该处理电路可使用群管理员对等节点的公钥来验证该群令牌的签名,以证实该群管理员对等节点获授权颁发该因对等方而异的群证书,并且可使用与群管理员对等节点相关联的公钥来验证该因对等方而异的群证书。
[0017] 还提供了在证实方对等节点中操作的方法。根据此类方法的一种或多种实现,可从寻求认证为群的成员的群成员对等节点接收因对等方而异的群证书。该因对等方而异的群证书可包括群身份、群成员对等节点的身份、群管理员对等节点的身份、以及通过群管理员对等节点的私钥在该因对等方而异的群证书的一个或多个组成部分上的签名。可从对等覆盖网络获得群令牌。该群令牌可包括通过群管理员对等节点的私钥进行的签名,并且可作为由群身份来标识的数据对象被存储在对等覆盖网络中。可使用群管理员对等节点的公钥来验证该群令牌的签名,以证实该群管理员对等节点获授权颁发该因对等方而异的群证书,并且可使用与群管理员对等节点相关联的公钥来验证该因对等方而异的群证书。
[0019] 图1是解说包括对等覆盖网络的网络的
框图,其中数据对象可被存储在该覆盖网络的各节点之间。
[0020] 图2是解说根据至少一个示例的用于从受信任权威机构向对等覆盖网络的对等节点提供节点证书的过程的
流程图。
[0021] 图3是针对不由服务器或稳定主机集中式地协调的覆盖网络解说用于促成群管理和成员认证的网络环境的框图。
[0022] 图4(包括图4A和4B)是解说根据对群成员对等节点采用因对等方而异的群证书的至少一种实现的群管理和成员认证的流程图。
[0023] 图5(包括图5A和5B)是解说根据对群成员对等节点采用因对等方而异的节点证书的至少一种实现的群管理和成员认证的流程图。
[0024] 图6是解说根据至少一种实现的被用作群管理员的对等节点的组件选集的框图。
[0025] 图7是解说可在群管理员对等节点上操作的用于促成对等覆盖网络中的群成员关系认证的方法的至少一种实现的示例的流程图。
[0026] 图8是解说根据至少一种实现的被用作意图访问数据对象的群成员的对等节点的组件选集的框图。
[0027] 图9是解说可在群成员对等节点上操作的用于促成对等覆盖网络中的群成员关系认证的方法的至少一种实现的示例的流程图。
[0028] 图10是解说根据至少一种实现的被用于证实另一对等节点的群成员关系的对等节点的组件选集的框图。
[0029] 图11是解说可在证实方对等节点上操作的用于促成对等覆盖网络中的群成员关系认证的方法的至少一种实现的示例的流程图。
[0030] 详细描述
[0031] 在以下描述中,给出了具体细节以提供对所描述的实现的透彻理解。然而,本领域普通技术人员将理解,没有这些具体细节也可实践各种实现。例如,电路可能以框图形式示出,以免使这些实现湮没在不必要的细节中。在其他实例中,公知的电路、结构和技术可能被详细示出以免湮没所描述的实现。
[0032] 措辞“示例性”在本文中用于表示“用作示例、实例或解说”。本文中描述为“示例性”的任何实现或
实施例不必被解释为优于或胜过其他实施例或实现。同样,术语“实施例”并不要求所有实施例都包括所讨论的特征、优点、或工作模式。本文中使用的术语“对等覆盖网络”和“对等节点”旨在被宽泛地解释。例如,“对等覆盖网络”可以指不由服务器或稳定主机集中式地协调的且包括在各对等方之间划分任务或工作负载的分布式应用架构的覆盖网络。此外,“对等节点”可以指促成对等覆盖网络上的通信的设备。“对等节点”的示例可包括
打印机、平板计算机、电视机、
移动电话、
个人数字助理、个人媒体播放器、膝上型计算机、笔记本计算机、台式计算机等。
[0033] 综览
[0034] 一个特征促成对等覆盖网络内的群访问控制。可由用户在对等覆盖网络中形成群。群被给予群名称,群在对等覆盖网络中由群名称来标识,并且群名称可以是与该对等覆盖网络中的其他群和/或数据对象相异的。群管理员(其可以是创建该群的对等节点或用户)可管理该群的成员关系。群管理员可向每个群成员指派因对等方而异的证书。在一些实现中,群管理员可通过自己颁发证书来指派因对等方而异的证书。在其他实现中,群管理员可
请求受信任权威机构为每个群成员颁发因对等方而异的证书。
[0035] 根据一种特征,具有因对等方而异的证书的每个群成员可使用该证书来认证其自己为该群的有效成员。此类认证规程可分布在覆盖网络的各对等节点间。例如,证实方对等节点可从群成员接收因对等方而异的证书,并且可证实该群成员以认证该群成员是该证书的合法拥有者。证实方对等节点使用该证书被颁予的节点的公钥来证实该群成员,该公钥要么被包括在该证书中,要么可根据与该证书中所包括的公钥相关联的该对等节点的身份来
定位。另外,证实方对等节点还可使用颁发该证书的装置的公钥来证实该证书本身,以认证该因对等方而异的群证书是被正当地颁发的。
[0036] 示例性网络环境
[0037] 图1是示出包括不由服务器或稳定主机集中式地协调的覆盖网络的网络100的框图,其中数据对象可存储在该覆盖网络的各节点间。该覆盖网络可包括对等覆盖网络102。此类对等覆盖网络102可利用任何类型的底层网络(诸如网际协议网络)以允许覆盖网络
102上的多个对等节点104A-104F彼此通信。底层网络可包括任何数量的网络类型,诸如广域网(WAN)、局域网(LAN)、无线网络(例如,WWAN、WLAN)和/或任何其他类型的网络。
[0038] 对等节点104A-104F可包括适于经由对等覆盖网络102通信的任何设备。此类设备可包括适于促成经由对等覆盖网络102的通信的
中间件层。作为示例而非限定,对等节点104A-104F可包括诸如打印机、平板计算机、电视机、移动电话、个人数字助理、个人媒体播放器、膝上型和笔记本计算机、和/或台式计算机之类的设备以及其他设备。
[0039] 根据本文描述的一种或多种实现,向每个对等节点104A-104F提供私钥和公钥对。私钥由相应的对等节点104A-104F保密,并且只有它自己知道。公钥可被分发给其他对等节点。每个对等节点104A-104F进一步从受信任权威机构(例如,登记服务器)获得节点证书。
每个节点证书可包括相应的对等节点的身份和/或用户身份、对等节点的公钥、颁发该节点证书的受信任权威机构的身份、以及该受信任权威机构的签名。受信任权威机构的公钥可被分发给每个对等节点104A-104F以用于验证由该受信任权威机构所签名的证书。
[0040] 图2是解说用于从受信任权威机构202向对等节点104(例如,图1的对等节点104A-104F中的任一者)提供节点证书的过程的至少一个示例的流程图。可向加入对等覆盖网络(例如,图1的对等覆盖网络102)的对等节点104或其用户提供唯一性的包括公钥(PbK-Peer)和私钥(PvK-Peer)的密钥对,如204处所示。在其他实现中,此类密钥对可由受信任权威机构202颁发。受信任权威机构202(诸如登记服务器)具有身份(TA-ID)并且还具有唯一性的私钥和公钥对(PvK-TA,PbK-TA),如206处所示。
[0041] 对等节点104可向受信任权威机构202发送传输208以请求节点证书。如果先前向对等节点104提供了公钥(PbK-Peer),则该传输可包括该对等节点的公钥(PbK-Peer)。在收到该请求之后,受信任权威机构202生成对等方身份(Peer ID)(210)。如本文中所使用的,对等方身份可包括对等设备的身份和/或对等设备的用户的身份。受信任权威机构202随后可为对等节点104生成节点证书(Node Cert)(212),并将该节点证书发送(214)给对等节点104。该节点证书包括对等节点104的对等方身份(Peer ID)、该对等节点的公钥(PbK-Peer)、受信任权威机构的身份(TA-ID)、以及通过受信任权威机构的公钥进行的签名(SigPvK-TA)。根据各种实现,通过该受信任权威机构的公钥进行的签名(SigPvK-TA)可包括对整个节点证书的签名(如图所示),或对该节点证书中所包括的一个或多个个体数据片(或组成部分)的签名。受信任权威机构202的公钥(PbK-TA)可被分发给该对等覆盖网络上的每个对等节点以用于验证节点证书。
[0042] 节点证书可相应地被用来认证对等节点104。例如,证实方对等节点可接收来自对等节点104的节点证书。使用该证书中所包括的对等节点104的公钥(PbK-Peer),证实方对等节点可执行质询响应以验证对等节点104是该节点证书的真正拥有者。另外,证实方对等节点可使用受信任权威机构的身份(TA-ID)来检索受信任权威机构202的公钥。使用受信任权威机构202的公钥,证实方对等节点还可证实该节点证书的签名(SigPvK-TA),这指示该节点证书是由该受信任权威机构202颁发的。
[0043] 再次参照图1,每个对等节点104A-104F能够经由对等覆盖网络102与其他对等节点104A-104F进行通信,而无需由服务器或稳定主机进行的集中协调。例如,每个对等节点104A-104F可使其资源(例如,处理能力、盘存储、网络带宽)的一部分可供另一对等节点使用,并且可利用另一对等节点的资源的一部分,而无需服务器或稳定主机进行集中协调。在至少一些实现中,至少一些对等节点104A-104F可将数据对象存储在对等覆盖网络102中。
当数据对象被存储在对等覆盖网络102中时,与该数据对象相关联的标识符被用来在需要访问该数据对象时在对等覆盖网络中定位该数据对象。随后通过将该数据对象存储在其他对等节点104A-104F之一处来将该数据对象存储在对等覆盖网络102内。
[0044] 数据对象的所有者可指定对存储在对等网络覆盖102中的数据对象的访问控制。例如,对等节点104和/或其用户可指定获授权访问其已存储在对等覆盖网络102中的数据对象的对等节点群和/或用户群。此类获授权对等节点群和/或用户群可在本文中被一般性地称为群。
[0045] 促成群管理和成员认证
[0046] 转到图3,针对不由服务器或稳定主机集中式地协调的覆盖网络示出了用于促成群管理和成员认证的网络环境。在该示例中,来自图1的对等节点104A-104F被用于解说目的。当对等节点104A和/或其用户指定(或创建)群时,该对等节点104A和/或其用户可在对等覆盖网络102中管理该群的成员关系,并且可在本文中被称为群管理员。如贯穿本公开所使用的,对群管理员对等节点(例如,群管理员对等节点104A)的引述是指该对等节点设备和/或其用户。根据一种特征,群管理员对等节点104A可向作为该群成员的每个对等节点104和/或用户指派因对等方而异的证书。在一些实现中,因对等方而异的证书可包括由群管理员对等节点104A颁发的因对等方而异的群证书。在其他实现中,因对等方而异的证书可包括由受信任权威机构在来自群管理员对等节点104A的授权之后颁予每个群成员的因对等方而异的节点证书。
[0047] 作为该群成员的对等节点和/或用户(例如,对等节点104B)可随后请求经由对等覆盖网络102访问所存储的数据对象。如本文所使用的,访问请求可包括对各级访问之一的请求,包括但不限于读取访问或读取/修改访问(即读/写访问)。作为该群成员并请求访问数据对象的对等节点和/或用户在本文中可被称为群成员对等节点(例如,群成员对等节点104B)或访问方对等节点。访问控制可指定该群的成员被允许某些访问,但是可期望证实群成员对等节点104B确实是该群的成员。
[0048] 根据一种特征,群访问控制的实施可分布在覆盖网络的各对等节点间。例如,一对等节点可被用来证实群成员对等节点104B实际上是该群的成员,如群成员对等节点104B所声称的。认证或证实群成员对等节点104B的群成员关系的此类对等节点可在本文中被称为证实方对等节点104C。根据一种或多种实现,群成员对等节点104B可将其因对等方而异的证书(例如,因对等方而异的群证书、因对等方而异的节点证书)发送给证实方对等节点104C。证实方对等节点104C随后可使用要么是在该因对等方而异的证书中所包括的、要么是根据该因对等方而异的证书中所包括的其他信息(例如,群成员对等节点104B的身份)定位的公钥来证实群成员对等节点104B。证实方对等节点104C还可使用颁发该证书的装置(例如,在因对等方而异的群证书的情形中为群管理员对等节点、在因对等方而异的节点证书的情形中为受信任权威机构)的公钥来证实该因对等方而异的证书。根据一种特征,证实方对等节点104C能够独立地证实群成员对等节点104B是群的成员。即,证实方对等节点
104C可自主地证实群成员对等节点104B的群成员关系,而不必采用另一对等节点或中央服务器来提供证实信息或执行一个或多个证实功能。
[0049] 应注意,尽管根据所解说的实现将群管理员对等节点104A、群成员对等节点104B和证实方对等节点104C描绘为不同的对等节点,但是在各种实现中,一对等节点可执行多个所描绘的对等节点的轮转。例如,群管理员对等节点104A也可以是请求访问数据对象的群成员对等节点104B并由证实方对等节点104C来证实。在另一示例中,群管理员对等节点104A可被用来证实请求访问数据对象的群成员对等节点104B,在这种情形中,群管理员对等节点104A还将是证实方对等节点104C。在又一示例中,群成员对等节点104B在被用来证实另一群成员对等节点时也可作为证实方对等节点104C而操作。
[0050] 图4和5是解说根据本公开的各种实现的群管理和成员认证的一些示例的流程图。首先转到图4(包括图4A和4B),示出了解说根据对群成员对等节点采用因对等方而异的群证书的至少一种实现的群管理和成员认证的流程图。在该示例中,参照图1所描述的群管理员对等节点104A、群成员对等节点104B和证实方对等节点104C被用于解说目的。
[0051] 最初,群管理员对等节点A104A可从受信任权威机构(例如,图2中的受信任权威机构202)获得节点证书(Node Cert-A)402。节点证书402包括对等节点A的身份(Peer-A ID)、对等节点A的公钥(PbK-A)、受信任权威机构的身份(TA-ID)、以及受信任权威机构的签名,并且可按与以上参照图2所描述的类似的方式来获得。
[0052] 在404,对等节点A104A可创建群并给予该群一名称(例如,群X)。群名称是用于标识该群的唯一性名称。为了确保群名称是唯一性的,对等节点A104A可生成群令牌并且可在对等覆盖网络中将该群令牌存储在该群名称之下(406)。群令牌(图4A中示为群令牌408)可使用单值模型来存储,其中在对等覆盖网络中在任何特定名称下只能存储一个数据对象。相应地,如果另一数据对象或群已在使用该群名称作为标识符,则使用重复名称的群令牌
408将由对等覆盖网络路由至与该另一同样地命名的对象相同的存储方对等节点,从而导致该存储方对等节点处的名称冲突。当发生此类冲突时,可向群管理员对等节点A104A通知要选取不同的群名称。当没有发生名称冲突时,可向群管理员对等节点A104A确保所选群名称是唯一的。
[0053] 群令牌408可包括该群(例如,Group-X)的描述、群管理员的身份、该群的成员的身份和/或其他信息。群令牌还可包括使用群管理员对等节点A104A的私钥生成的签名(Group-X令牌(SigPvK-A))。
[0054] 在创建了群并且群令牌被存储在对等覆盖网络中之后,群管理员对等节点A104A可为该群的每个成员生成因对等方而异的群证书(410),并且可将相应的因对等方而异的群证书发送给每个成员对等节点(412)。例如,可在410为对等节点B104B生成因对等方而异的群证书(例如,Group-X_Certpeer-B),并随后在412将其发送给对等节点B104B。因对等方而异的群证书(Group-X_Certpeer-B)可包括群名称(Group-X)、群管理员对等节点A104A的身份(Peer-A ID)、以及接收方对等节点的身份(Peer-B ID)。根据至少一些实现,因对等方而异的群证书(Group-X_Certpeer-B)还可包括接收方对等节点的公钥(PbK-B)。群管理员对等节点A104A可使用其私钥来对该因对等方而异的群证书进行签名(SigPvK-A)。例如,可使用诸如RSA签名、椭圆曲线签名、或其他已知的
算法等签名方案来对因对等方而异的群证书进行签名。尽管图4将通过私钥进行的签名(SigPvK-A)示为包括对整个因对等方而异的群证书(Group-X_Certpeer-B)的签名,但在其他实现中,签名(SigPvK-A)可包括对因对等方而异的群证书(Group-X_Certpeer-B)中所包括的任何一个或多个个体数据片的签名。对等节点B104B可在414接收并存储该因对等方而异的群证书以供将来用于将其自己标识为群X的成员。
[0055] 转到图4B,当群成员对等节点B104B希望访问要求群成员关系的某个数据对象时,该对等覆盖网络中的另一对等节点可被用来证实该群成员对等节点在该群中的成员关系。在图4中所示的示例中,对等节点C104C被用作证实方对等节点。证实方对等节点C104C可以是存储群成员对等节点B104B正请求访问的数据对象的同一个对等节点,或者证实方对等节点C104C可以是该网络中的另一对等节点。为了证实群成员对等节点B104B的群成员关系,群成员对等节点B104B可将因对等方而异的群证书(Group-X_Certpeer-B)发送给证实方对等节点C104C。
[0056] 采用来自该因对等方而异的群证书(Group-X_Certpeer-B)的信息,证实方对等节点C104C可认证对等节点B104B是群X的有效成员。例如,证实方对等节点C104C可验证群成员对等节点B104B是该因对等方而异的群证书(Group-X_Certpeer-B)的合法拥有者,并且该证书是由群管理员对等节点A104A合法地颁发的。
[0057] 如图4B中所示,证实方对等节点C104C可获得与使用群成员对等节点B104B的私钥所签名的数据片相对应的数字签名,以验证群成员对等节点B104B拥有要么是与该因对等方而异的群证书中的公钥相对应的、要么是与关联于该因对等方而异的群证书中所包括的对等节点B身份(Peer-B ID)的公钥相对应的私钥。例如,证实方对等节点C104C可向群成员对等节点B104B发送(418)随机质询。群成员对等节点B104B可使用其私钥对该随机质询进行签名并在步骤420将经签名的随机质询(SigPvK-B(随机质询))发送给证实方对等节点C104C。证实方对等节点C104C随后可使用该因对等方而异的群证书(Group-X_Certpeer-B)中所包括的因对等方而异的公钥(PbK-B)来证实该经签名的响应(421)。
[0058] 在其他实现中,证实方对等节点C104C可使用来自因对等方而异的群证书的群成员对等节点B104B的身份(Peer-B ID)从对等覆盖网络获得因对等方而异的公钥(PbK-B)。例如,证实方对等节点C104C可使用来自该群证书的身份Peer-B ID直接从群成员对等节点B104B获得公钥。在其他实现中,证实方对等节点C104C可使用身份Peer-B ID获得对等节点B104B的节点证书,该节点证书包括如上所述的其公钥并且还提供进一步的信任,因为它是由受信任权威机构所颁发和签名的。
[0059] 证实方对等节点C104C还可验证群管理员对等节点A104A确实是群管理员、以及该因对等方而异的群证书的签名,以验证该证书是由群管理员对等节点A104A签名的。例如,证实方对等节点C104C可获得(422)群管理员对等节点A104A的节点证书(Node Cert-A),其可以从受信任权威机构的签名(SigPvK-TA)得到认证。在至少一个示例中,证实方对等节点C104C可使用来自因对等方而异的群证书(Group-X_Certpeer-B)的群管理员对等节点的身份(Peer-A ID)来检索群管理员对等节点104A的节点证书(Node Cert-A)。在因对等方而异的群证书中可能不包括群管理员的身份的至少另一个示例中,证实方对等节点C104C可使用群名称(Group-X)从对等覆盖网络获得群令牌,以发现群管理员的身份。
[0060] 若证实方对等节点C104C尚未访问群令牌,则可从对等覆盖网络检索该群令牌(424),并且来自节点证书(Node Cert-A)的群管理员对等节点A104A的公钥(PbK-A)可被用于验证该群令牌的签名,以验证对等节点A104A是群管理员并且获授权颁发该因对等方而异的群证书和/或对该因对等方而异的群证书进行签名(426)。使用来自群管理员对等节点A104A的节点证书(NodeCert-A)的公钥(PbK-A),证实方对等节点C104C还可验证随该因对等方而异的群证书(Group-X_Certpeer-B)所包括的签名(SigPvK-A)(428)。
[0061] 如果证实方对等节点C104C成功验证了群成员对等节点B104B是该因对等方而异的群证书(Group-X_Certpeer-B)的合法拥有者并且该证书是由群管理员对等节点A104A合法地颁发的,则群成员对等节点B104B的群成员关系得到验证(430),并且证实方对等节点C104C可准予对所请求的数据对象的访问(432)。如果任何验证步骤失败,则群成员对等节点B104B的群成员关系不被确立并且对该数据对象的访问可被拒绝。
[0062] 根据至少一些实现,证实方对等节点C104C可高速缓存群管理员对等节点A104A的身份(Peer-A ID)和公钥(PbK-A)、连同群名称,以供将来验证同一个群的其他成员。在参照图4所描述的实现中,群成员关系管理和因对等方而异的证书颁发是由群管理员对等节点执行的。因此,受信任权威机构不参与群管理过程,但参与通过向各个对等节点颁发节点证书来提供附加的信任层,这些节点证书可被用来验证公钥和身份,如本文中所陈述的。
[0063] 现在转到图5(包括图5A和5B),示出了解说根据对群成员对等节点采用因对等方而异的节点证书的至少一种实现的群管理和成员认证的流程图。在该示例中,受信任权威机构负责向群成员颁发因对等方而异的证书,而对群访问控制的实施仍分布在对等覆盖网络的所有对等节点间。如图所示,参照图1所描述的群管理员对等节点A104A、群成员对等节点B104B、和证实方对等节点C104C,以及参照图2描述的受信任权威机构202被用于解说目的。在图5中所示的实现中,并非由群管理员对等节点A104A自己生成因对等方而异的证书,而是群管理员对等节点A104A与受信任权威机构202通信,而受信任权威机构202为每个群成员生成因对等方而异的节点证书。
[0064] 初始参照图5A,群管理员对等节点A104A可从受信任权威机构202获得节点证书(Node Cert-A)502,并且对等节点B104B可从受信任权威机构202获得节点证书(Node Cert-B)504。对等节点A的节点证书包括对等节点A的身份(Peer-A ID)、对等节点A的公钥(PbK-A)、受信任权威机构的身份(TA-ID)、以及由受信任权威机构202进行的签名(SigTA)。类似地,对等节点B的节点证书包括对等节点B的身份(Peer-B ID)、对等节点B的公钥(PbK-B)、受信任权威机构的身份(TA-ID)、以及由受信任权威机构202进行的签名(SigTA)。各相应的节点证书可按与以上参照图2所描述的类似的方式来获得。
[0065] 在506,对等节点A104A可创建群并给予该群一名称(例如,群X)。群名称是用于标识该群的唯一性名称。在该示例中,群管理员对等节点A104A将该群向受信任权威机构202注册(508)在该群名称下。受信任权威机构202检查和确保该群名称的唯一性。受信任权威机构202可维持所有群名称的记录以及每个群的群管理员的身份。在一些实现中,向受信任权威机构202注册该群也可协同将群令牌存储在对等覆盖网络上来使用,在这种情形中,受信任权威机构202可通过验证存储在该覆盖上的信息来验证该群名称的唯一性,如以上参照图4所描述的。
[0066] 当对等节点或其用户希望加入群时,可向群管理员发送请求。例如,若对等节点B104B希望加入group-X(群-X),则加入group-X的请求510可被发送给群管理员对等节点A104A。加入group-X的请求包括对等节点B104B的节点证书(Node Cert-B)。群管理员对等节点A104A可批准或拒绝该请求。若加入group-X的请求被批准,则群管理员对等节点A104A为对等节点B104B指派因对等方而异的证书。例如,群管理员对等节点A104A可通过向受信任权威机构202发送请求512以要求受信任权威机构202将对等节点B104B添加为group-X的成员并向对等节点B104B颁发因对等方而异的节点证书来指派因对等方而异的证书。添加对等节点B104B的请求可包括将对等节点B104B的节点证书(Node Cert-B)转发给受信任权威机构202。
[0067] 在收到来自群管理员对等节点A104A的请求时,受信任权威机构202认证群管理员对等节点A104A的节点身份(Peer-A ID),并且验证该节点身份(Peer-A ID)匹配其群记录中的该群管理员的身份(514)。若该验证成功,则受信任权威机构202向对等节点B104B颁发(516)新的节点证书(新的Node Cert-B)。该新的节点证书包括旧的证书(Node Cert-B)中的所有信息加上该对等方新近加入的群名称。例如,该新的节点证书(新的Node Cert-B)包括对等节点B的身份(Peer-B ID)、对等节点B的公钥(PbK-B)、受信任权威机构的身份(TA-ID)、和由受信任权威机构202进行的签名(SigTA)、以及群名称(Group-X),以指示对等节点B104B是群Group-X的成员。该新的节点证书(新的Node Cert-B)可直接从受信任权威机构202发送给对等节点B104B,或者经由群管理员对等节点A104A发送给对等节点B104B。如本文中所使用的,指示群成员关系的新的节点证书也可被称为因对等方而异的节点证书。
[0068] 转到图5B,当对等节点B104B希望访问要求群(例如,Group-X)中的成员关系的某个数据对象时,该对等覆盖网络中的另一对等节点可被用来证实该群成员对等节点在该群中的成员关系。在图5中所示的示例中,对等节点C104C被用作证实方对等节点。应注意,出于清楚起见,图5A中所示的受信任权威机构202未在图5B中示出,而对等节点A104A和对等节点B104B被解说为继续到图5B上。带圈‘A’和带圈‘B’被示为描绘对等节点A104A和对等节点B104B从图5A继续到图5B上。还应注意,在图5B中解说了对等节点C104C,其在图5A中没有解说。
[0069] 如所陈述的,图5B中所示的证实方对等节点C104C被用来证实群成员对等节点B104B是群的成员。证实方对等节点C104C可以是存储群成员对等节点B104B正请求访问的数据对象的同一个对等节点,或者证实方对等节点C104C可以是该网络中的另一对等节点。为了证实群成员对等节点B104B的群成员关系,群成员对等节点B104B可将其因对等方而异的节点证书(新的Node Cert-B)发送(518)给证实方对等节点C104C。
[0070] 采用来自该因对等方而异的节点证书(新的Node Cert-B)的信息,证实方对等节点C104C可认证群成员对等节点B104B是群X的有效成员。例如,证实方对等节点C104C可验证群成员对等节点B104B是该因对等方而异的节点证书(新的Node Cert-B)的合法拥有者,并且该证书确实是由受信任权威机构202颁发的。
[0071] 为了验证群成员对等节点B104B是该因对等方而异的节点证书(新的Node Cert-B)的合法拥有者,证实方对等节点C104C可获得与使用群成员对等节点B104B的私钥来签名的数据片相对应的数字签名。证实方对等节点C104C可使用该数字签名来验证群成员对等节点B104B拥有与该因对等方而异的节点证书(新的Node Cert-B)中的公钥相对应的私钥。例如,证实方对等节点C104C可向群成员对等节点B104B发送随机质询520。群成员对等节点B104B可使用其私钥对该随机质询进行签名并在步骤522将经签名的随机质询(SigPvK-B(随机质询))发送给证实方对等节点C104C。证实方对等节点C104C随后可使用因对等方而异的公钥(PbK-B)来证实该经签名的响应(524)。若该响应得到证实,则证实方对等节点C104C确信群成员对等节点B104B拥有与该因对等方而异的节点证书(新的Node Cert-B)相关联的私钥。
[0072] 证实方对等节点C104C还可验证该因对等方而异的节点证书(新的Node Cert-B)的签名,以验证该证书是由受信任权威机构202颁发的。例如,证实方对等节点C104C可检索受信任权威机构202的公钥(PbK-TA)。在某些实例中,证实方对等节点C104C可能已经具有受信任权威机构的公钥(PbK-TA)的副本,或者证实方对等节点C104C可使用该因对等方而异的节点证书(新的Node Cert-B)中所包括的受信任权威机构202的身份(Peer-A ID)来检索受信任权威机构的公钥(PbK-TA)。使用受信任权威机构202的公钥(PbK-TA),证实方对等节点C104C可验证随该因对等方而异的节点证书(新的Node Cert-B)所包括的签名(SigTA)(526)。
[0073] 如果证实方对等节点C104C成功验证了群成员对等节点B104B是该因对等方而异的节点证书(新的Node Cert-B)的合法拥有者并且该证书是由受信任权威机构202合法地颁发的,则群成员对等节点B104B的群成员关系得到验证(528),并且证实方对等节点C104C可准予对所请求的数据对象的访问(530)。如果任何验证步骤失败,则群成员对等节点B104B的群成员关系不被确立并且对该数据对象的访问可被拒绝。
[0074] 示例性群管理员对等节点
[0075] 图6是解说根据至少一种实现的被用作群管理员的对等节点600的组件选集的框图。群管理员对等节点600在本文中也可被称为群主对等节点。对等节点600可包括耦合至存储介质604和通信接口606的处理电路602。
[0076] 处理电路602一般被安排成获得、处理和/或发送数据,控制数据访问和存储,发布命令,以及控制其他期望操作,并且在至少一个实施例中可包括被配置成实现由恰适的介质(诸如存储介质604)提供的期望编程的电路系统。
[0077] 存储介质604可表示用于存储诸如处理器可执行代码或指令(例如,
软件、
固件)、
电子数据、
数据库、或其他数字信息之类的编程和/或数据的一个或更多个设备。存储介质604可被耦合至处理电路602以使得处理电路602能从/向存储介质604读取信息和写入信息。在替换方案中,存储介质604可被整合到处理电路602。
[0078] 群管理员对等节点600的存储介质604可包括其中存储的私钥608、公钥610和节点证书612。私钥608被用于使用常规签名算法来对由群管理员对等节点600传达的数据进行签名,并且通常是仅该群管理员对等节点600知道(即,不被传达给其他对等节点)。公钥610被分发给其他对等节点并且用于验证用私钥608签名的数据。
[0079] 存储介质604可附加地包括其中存储的群创建操作614和因对等方而异的证书指派操作616。群创建操作614可由处理电路602在例如群创建器模
块618中实现以创建群。因对等方而异的证书指派操作616可由处理电路602在例如证书指派器模块620中实现以向所创建的群的每个成员指派因对等方而异的证书。在一些实现中,因对等方而异的证书指派操作616可被适配成为每个群成员生成因对等方而异的群证书。在其他实现中,因对等方而异的证书指派操作616可被适配成请求受信任权威机构向每个群成员颁发因对等方而异的节点证书。
[0080] 通信接口606被配置成促成对等节点600的无线和/或有线通信。例如,通信接口606可被配置成关于对等覆盖网络中的其他对等节点双向地传达信息。通信接口606可耦合到天线并且可包括无线收发机电路,和/或可包括网络接口卡(NIC)、串行或并行连接、通用
串行总线(USB)接口、火线接口、Thunderbolt(雷电)接口、或用于与公共和/或私有网络进行通信的任何其他合适的安排,其中无线收发机电路包括用于与对等覆盖网络进行无线通信的至少一个发射机622和/或至少一个接收机624(例如,一个或多个发射机/接收机链)。
[0081] 根据被实现为群管理员的对等节点600的一个或多个特征,处理电路602可被适配成执行与上文参照图3-5描述的各种群管理员对等节点(例如,群管理员对等节点104A)有关的任何或所有过程、功能、步骤和/或例程。如本文中所使用的,与处理电路602相关的术语“适配”可以是指处理电路602被进行了配置、采用、实现、或编程中的一者或多者以执行根据各种特征的特定过程、功能、步骤和/或例程。
[0082] 图7是解说可在对等节点(诸如群管理员对等节点600)上操作的方法的至少一种实现的示例的流程图。参照图6和7两者,在步骤702,对等节点可获得公钥和私钥对。例如,对等节点600可获得公钥610和私钥608。如上所述,公钥610可被分发给其他对等节点并且可用于验证用私钥608签名的数据。另一方面,私钥608可以仅为该对等节点600所知。在至少一些实现中,该私钥和公钥对可通过(例如由制造商)向对等节点600供应此类密钥来获得,或者这些密钥可由对等节点600使用常规的密钥生成技术和算法来生成。
[0083] 在步骤704,可创建对等群,其中该群定义作为该群的成员的一个或多个对等节点。如上所述,对一个或多个群对等节点的引述可以指对等节点和/或用户。作为示例,处理电路602可采用来自存储介质的群创建操作614来创建群。例如,可由处理电路602的群创建器模块618通过选择群名称以及通过将一个或多个对等节点定义为该群的成员来创建该群。在一些实现中,作为群创建操作614的一部分,处理电路602还可生成群令牌,其中群令牌由对等节点600存储为对等覆盖网络中由群身份标识的数据对象。即,群令牌可被存储为对等覆盖网络中在该群的名称下的数据对象。群令牌被适配成向对等覆盖网络中的其他对等节点(例如,证实方对等节点)认证该群管理员对等节点600获授权向群成员对等节点颁发因对等方而异的群证书。
[0084] 群管理员对等节点随后可向作为该群的成员的群成员对等节点(例如,图3-5中的群成员对等节点104B)指派因对等方而异的证书(706)。因对等方而异的证书被适配成指示该群中的成员关系,并且一般可包括群身份、群成员对等节点的身份、颁发装置的身份、以及通过颁发装置的私钥在该因对等方而异的证书的一个或多个组成部分上的签名。在一些实现中,因对等方而异的证书还可包括群成员对等节点的公钥。根据至少一个示例,处理电路602可被适配成(例如,在证书指派器模块620中)实现存储介质604中的因对等方而异的证书指派操作616,以向群成员对等节点指派因对等方而异的证书。
[0085] 在至少一种实现中,因对等方而异的证书指派操作616可包括适配成使处理电路602(例如,证书指派器模块620)通过为群成员对等节点生成因对等方而异的群证书来指派因对等方而异的证书的指令。在处理电路602处生成的因对等方而异的群证书可包括群身份、群成员对等节点的身份、群管理员对等节点的身份、以及通过群管理员对等节点600的私钥608在该因对等方而异的群证书的一个或多个组成部分上的签名。在一些实现中,因对等方而异的群证书还可包括群成员对等节点的公钥。作为示例,通过私钥608进行的签名可由处理电路602采用常规的签名方案(诸如RSA签名算法或椭圆曲线签名算法等)来执行。在此类实现中,因对等方而异的证书指派操作616可进一步包括适配成使处理电路602经由通信接口606将因对等方而异的群证书发送给群成员对等节点的指令。
[0086] 在至少另一种实现中,因对等方而异的证书指派操作616可包括适配成使处理电路602(例如,证书指派器模块620)通过经由通信接口606向受信任权威机构发送请求以向群成员对等节点颁发因对等方而异的节点证书来指派因对等方而异的证书的指令。由受信任权威机构颁发的因对等方而异的节点证书可包括群身份、群成员对等节点的身份、受信任权威机构的身份、以及通过受信任权威机构的私钥在该因对等方而异的节点证书的一个或多个组成部分上的签名。因对等方而异的节点证书还可包括群成员对等节点的公钥。
[0087] 被指派了因对等方而异的证书的群成员对等节点可随后由证实方对等节点(例如,图3-5中的证实方对等节点104C)通过以下操作来认证:使用要么是在该因对等方而异的证书中所包括的、要么是利用该群成员对等节点的身份从对等覆盖网络获得的该群成员对等节点的公钥来验证该群成员对等节点,以及使用与该因对等方而异的证书中的颁发装置的身份相关联的公钥(例如,使用公钥610或受信任权威机构的公钥)来验证该因对等方而异的证书。
[0088] 示例性群成员对等节点(即,访问方对等节点)
[0089] 图8是解说根据至少一种实现的被用作意图访问数据对象的群成员的对等节点800的组件选集的框图。群成员对等节点800在本文中也可被称为访问方对等节点800。对等节点800可包括耦合至存储介质804和通信接口804的处理电路802。
[0090] 处理电路802一般被安排成获得、处理和/或发送数据,控制数据访问和存储,发布命令,以及控制其他期望操作,并且在至少一个实施例中可包括被配置成实现由恰适的介质(诸如存储介质804)提供的期望编程的电路系统。
[0091] 存储介质804可表示用于存储诸如处理器可执行代码或指令(例如,软件、固件)、电子数据、数据库、或其他数字信息之类的编程和/或数据的一个或更多个设备。存储介质804可被耦合至处理电路802以使得处理电路802能从/向存储介质804读取信息和写入信息。在替换方案中,存储介质804可被整合到处理电路802。
[0092] 群成员对等节点800的存储介质804可包括其中存储的私钥808和公钥810。私钥808被用于对由群成员对等节点800传达的数据进行签名,并且通常仅为该群成员对等节点
800所知(即,不被传达给其他对等节点)。公钥810被分发给其他对等节点并且用于验证用私钥808签名的数据。
[0093] 存储介质804还包括其中存储的因对等方而异的证书812。根据各种实现,因对等方而异的证书812可包括因对等方而异的群证书或因对等方而异的节点证书(即,新的节点证书)。
[0094] 通信接口806被配置成促成群成员对等节点800的无线和/或有线通信。例如,通信接口806可被配置成关于对等覆盖网络中的其他对等节点双向地传达信息。通信接口806可耦合到天线并且可包括无线收发机电路,和/或可包括网络接口卡(NIC)、串行或并行连接、
通用串行总线(USB)接口、火线接口、Thunderbolt(雷电)接口、或用于与公共和/或私有网络进行通信的任何其他合适的安排,其中无线收发机电路包括用于与对等覆盖网络进行无线通信的至少一个发射机814和/或至少一个接收机816(例如,一个或多个发射机/接收机链)。
[0095] 根据群成员对等节点800的一个或多个特征,处理电路802可适配成执行与上文参照图3-5描述的各种群成员对等节点(例如,群成员对等节点104B)有关的任何或所有过程、功能、步骤和/或例程。如本文中所使用的,与处理电路802相关的术语“适配”可以是指处理电路802被进行了配置、采用、实现、或编程中的一者或多者以执行根据各种特征的特定过程、功能、步骤和/或例程。
[0096] 图9是解说可在对等节点(诸如群成员对等节点800)上操作的方法的至少一种实现的示例的流程图。参照图8和9两者,在步骤902,对等节点可获得公钥和私钥对。例如,对等节点800可获得公钥810和私钥808。如上所述,公钥810可被分发给其他对等节点并且可用于验证用私钥808使用常规签名算法来签名的数据。另一方面,私钥808可以仅为该对等节点800所知。在至少一些实现中,与群成员对等节点800相关联的该私钥和公钥对可通过(例如由制造商)向对等节点800供应此类密钥来获得,或者这些密钥可由对等节点800使用常规的密钥生成技术和算法来生成。
[0097] 在步骤904,对等节点800可接收因对等方而异的证书。例如,处理电路802可经由通信接口806接收因对等方而异的证书812。因对等方而异的证书812被适配成向对等覆盖网络中的其他对等节点(例如,证实方对等节点)指示群中的成员关系。因对等方而异的证书812一般可包括群身份、群成员对等节点800的身份、颁发装置的身份、以及通过颁发装置的私钥在该因对等方而异的证书812的一个或多个组成部分上的签名。因对等方而异的证书812可进一步包括公钥810。在一些实现中,因对等方而异的证书812可以是响应于从对等节点800发送给群管理员对等节点的请求而被接收到的。
[0098] 在至少一种实现中,因对等方而异的证书812可包括从群管理员对等节点颁发的因对等方而异的群证书。此类因对等方而异的群证书可包括群身份、群成员对等节点800的身份、群管理员对等节点的身份、以及通过群管理员对等节点的私钥在该因对等方而异的群证书的一个或多个组成部分上的签名。因对等方而异的群证书还可包括公钥810。在因对等方而异的证书812包括因对等方而异的群证书的实现中,该因对等方而异的群证书中所包括的群身份可被适配成定位作为由该群身份来标识的数据对象被存储在对等覆盖网络中的群令牌。如本文中所述,群令牌可被适配成认证群管理员对等节点获授权颁发因对等方而异的群证书和对因对等方而异的群证书进行签名。
[0099] 在另一实现中,因对等方而异的证书812可包括从受信任权威机构颁发的因对等方而异的节点证书(或新的节点证书)。此类因对等方而异的节点证书(或新的节点证书)可包括群身份、群成员对等节点800的身份、颁发该因对等方而异的节点证书的受信任权威机构的身份、以及通过受信任权威机构的私钥在该因对等方而异的节点证书的一个或多个组成部分上的签名。因对等方而异的节点证书还可包括公钥810。在采用因对等方而异的节点证书(或新的节点证书)的实现中,因对等方而异的节点证书(或新的节点证书)可取代先前接收到的可能存储在对等节点800的存储介质804中的节点证书。
[0100] 对等节点800可随后采用该因对等方而异的证书来认证其自己是该群的成员。相应地,在步骤906,群成员对等节点800可向证实方对等节点(例如,图3-5中的证实方对等节点104C)发送因对等方而异的证书以认证其自己是该群的成员。例如,处理电路802可经由通信接口806向证实方对等节点发送传输,其中该传输包括因对等方而异的证书812(例如,因对等方而异的群证书或因对等方而异的节点证书)。
[0101] 在步骤908,对等节点800可向证实方对等节点发送认证数据,该认证数据是使用私钥808来签名的。例如,处理电路802可使用常规的签名算法(诸如RSA签名算法或椭圆曲线签名算法等)来对该认证数据进行签名。经签名的认证数据可由处理电路802经由通信接口806发送给证实方对等节点。
[0102] 对等节点800的群成员关系可由证实方对等节点通过以下操作来认证:使用从该因对等方而异的证书或对等网络获得的公钥810以证实经签名的认证数据来验证对等节点800。另外,证实方对等节点可通过采用与颁发装置的身份相关联的公钥(例如,使用群管理员对等节点的公钥、或受信任权威机构的公钥)来验证由对等节点800发送的因对等方而异的证书812,颁发装置的身份被包括在因对等方而异的证书812中。
[0103] 示例性证实方对等节点
[0104] 图10是解说根据至少一种实现的被用于证实另一对等节点的群成员关系的对等节点1000的组件选集的框图。证实方对等节点1000可包括耦合至存储介质1004和通信接口1006的处理电路1002。
[0105] 处理电路1002一般被安排成获得、处理和/或发送数据,控制数据访问和存储,发布命令,以及控制其他期望操作,并且在至少一个实施例中可包括被配置成实现由恰适的介质(诸如存储介质1004)提供的期望编程的电路系统。
[0106] 存储介质1004可表示用于存储诸如处理器可执行代码或指令(例如,软件、固件)、电子数据、数据库、或其他数字信息之类的编程和/或数据的一个或更多个设备。存储介质1004可被耦合至处理电路1002以使得处理电路1002能从/向存储介质1004读取信息和写入信息。在替换方案中,存储介质1004可被整合到处理电路1002。
[0107] 存储介质1004可包括其中存储的群成员验证操作1008和因对等方而异的证书验证操作1010。群成员验证操作1008和因对等方而异的证书验证操作1010两者可由处理电路1002例如在对等方及证书认证器模块1012中实现,以证实群成员对等节点(例如,图3-5中的群成员对等节点104B)的群成员关系。在至少一些实现中,存储介质1004可包括其中存储的对等覆盖网络的数据对象1011,并且群成员关系证实可以是响应于群成员对等节点请求作为获授权访问数据对象1011的群的成员来访问数据对象1011。
[0108] 通信接口1006被配置成促成证实方对等节点1000的无线和/或有线通信。例如,通信接口1006可被配置成关于对等覆盖网络中的其他对等节点双向地传达信息。通信接口1006可耦合到天线并且可包括无线收发机电路,和/或可包括网络接口卡(NIC)、串行或并行连接、通用串行总线(USB)接口、火线接口、Thunderbolt(雷电)接口、或用于与公共和/或私有网络进行通信的任何其他合适的安排,其中无线收发机电路包括用于与对等覆盖网络进行无线通信的至少一个发射机1014和/或至少一个接收机1016(例如,一个或多个发射机/接收机链)。
[0109] 根据证实方对等节点1000的一个或多个特征,处理电路1002可被适配成执行与上文参照图3-5描述的各种证实方对等节点(例如,证实方对等节点104C)有关的任何或所有过程、功能、步骤和/或例程。如本文中所使用的,与处理电路1002相关的术语“适配”可以是指处理电路1002被进行了配置、采用、实现、或编程中的一者或多者以执行根据各种特征的特定过程、功能、步骤和/或例程。
[0110] 图11是解说可在对等节点(诸如证实方对等节点1000)上操作的用于促成对等覆盖网络中的群成员关系认证的方法的至少一种实现的示例的流程图。参照图10和11两者,在步骤1102,对等节点可从正寻求认证为群的成员的群成员对等节点接收因对等方而异的证书。例如,处理电路1002可经由通信接口1004从群成员对等节点(例如,图3-5中的群成员对等节点104B)接收因对等方而异的证书。一般而言,因对等方而异的证书可包括群名称、群成员对等节点的身份、颁发装置的身份、以及通过颁发装置的私钥在该因对等方而异的证书的一个或多个组成部分上的签名。因对等方而异的证书还可包括群成员对等节点的公钥。
[0111] 在至少一种实现中,所接收到的因对等方而异的证书包括由群管理员对等节点向该群成员对等节点颁发的因对等方而异的群证书。在此情形中,因对等方而异的群证书可包括群身份、群成员对等节点的身份、群管理员对等节点的身份、以及通过群管理员对等节点的私钥在该因对等方而异的群证书的一个或多个组成部分上的签名。因对等方而异的群证书也可任选地包括群成员对等节点的公钥。
[0112] 在另一实现中,所接收到的因对等方而异的证书包括由受信任权威机构颁发的因对等方而异的节点证书。在此情形中,因对等方而异的节点证书可包括群身份、群成员对等节点的身份、受信任权威机构的身份、以及通过受信任权威机构的私钥在该因对等方而异的节点证书的一个或多个组成部分上的签名。因对等方而异的节点证书也可任选地包括群成员对等节点的公钥。
[0113] 在步骤1108(注意,步骤1104和1106在下文讨论),证实方对等节点1000可从群成员对等节点接收认证数据,其中该认证数据是通过该群成员对等节点的私钥来签名的。例如,处理电路1002可经由通信接口1004接收包括通过该群成员对等节点的私钥来签名的认证数据的传输。
[0114] 在收到经签名的认证数据时,在步骤1110,证实方对等节点1000可使用与该群成员对等节点相关联的公钥来验证该认证数据的签名。与群成员对等节点相关联的公钥可要么是从该因对等方而异的证书获得的(若其中包括该公钥)、要么是使用随该因对等方而异的证书所包括的群成员对等节点的身份从对等覆盖网络获得的。例如,群成员对等节点的身份可被用于获得该群成员对等节点的节点证书,该节点证书包括与该群成员对等节点相关联的公钥并且因该节点证书是由受信任权威机构颁发和签名而格外值得信任。例如,处理电路1002(例如,对等方及证书认证器模块1012)可采用群成员验证操作1008用来自该因对等方而异的证书的该群成员对等节点的公钥来验证该签名。根据各种实现,群成员验证操作1008可被适配成采用常规签名算法来验证该签名,诸如RSA签名算法、椭圆曲线签名算法、或任何其他已知的签名算法。
[0115] 在步骤1112,证实方对等节点1000还可使用与在该因对等方而异的证书中发现的颁发装置的身份相关联的公钥来验证该因对等方而异的证书。例如,处理电路1002可使用该因对等方而异的证书中所包括的颁发装置的身份来检索与该颁发装置的身份相关联的公钥(例如,群管理员对等节点的公钥、或受信任权威机构的公钥)。利用该颁发装置的公钥,处理电路1002(例如,对等方及证书认证器模块1012)可采用因对等方而异的证书验证操作1010来验证随该因对等方而异的证书所包括的签名。根据各种实现,因对等方而异的证书验证操作1010可被适配成使用常规签名算法(诸如RSA签名算法、椭圆曲线签名算法、或任何其他已知的签名算法)来验证该签名。
[0116] 在采用因对等方而异的群证书的实现中,证实方对等节点1000可从对等覆盖网络获得群令牌,如任选步骤1104中所解说的。例如,处理电路1002可采用该因对等方而异的群证书中的群身份来获得作为由该群身份来标识的数据对象被存储在对等覆盖网络中的群令牌。如先前所述,群令牌包括通过群管理员对等节点的私钥进行的签名。相应地,证实方对等节点1000可使用群管理员对等节点的公钥来验证该群令牌的签名,以证实该群管理员对等节点是群管理员和/或获授权颁发该因对等方而异的群证书,如任选步骤1106中解说的。
[0117] 此外,在采用因对等方而异的群证书的实现中,证实方对等节点(例如,处理电路1002)可通过从对等覆盖网络获得群管理员对等节点的节点证书来检索群管理员对等节点的公钥。如本文中所述,对等节点的节点证书包括其相应的对等节点的公钥并且由受信任权威机构签名。
[0118] 尽管群管理员对等节点和受信任权威机构已在本文中被描述为分开的设备,但是应注意,群管理员和受信任权威机构的
角色可以是完全逻辑性的。相应地,在至少一些实现中,群管理员和受信任权威机构可包括驻留在同一物理设备上的两个代码片。在此类实现中,群管理员与受信任权威机构之间的通信和认证可被简化并且可依赖于编程API(应用编程接口)。
[0119] 此外,本公开中的群概念可映射到对等覆盖网络中的服务,其中每个服务提供者可用作群管理员并且其中可以存在一个或多个受信任权威机构来服务所有服务提供者。在此类实现中,在每个对等节点加入群之前,服务提供者可要求来自每个对等节点的
费用。受信任权威机构也可由与每个服务提供者有某种(某些)商业协定的企业实体来运作。
[0120] 图1、2、3、4、5、6、7、8、9、10和/或11中解说的组件、步骤、特征和/或功能中的一个或多个可以被重新安排和/或组合成单个组件、步骤、特征或功能,或可以实施在数个组件、步骤、或功能中。还可添加更多的元件、组件、步骤、和/或功能而不会脱离本公开的范围。图1、3、6、8和/或10中解说的装置、设备、和/或组件可以被配置成执行图2、4、5、7、9和/或11中描述的方法、特征、或步骤中的一个或多个。本文中描述的新颖算法还可以高效地实现在软件中和/或嵌入在
硬件中。
[0121] 另外,注意到至少一些实现是作为被描绘为流图、流程图、结构图、或框图的过程来描述的。尽管流程图可能会把诸操作描述为顺序过程,但是这些操作中有许多能够并行或并发地执行。另外,这些操作的次序可以被重新安排。过程在其操作完成时终止。过程可以对应于方法、函数、规程、子例程、子程序等。当过程对应于函数时,其终止对应于该函数返回到调用方函数或主函数。
[0122] 此外,各实施例可由硬件、软件、固件、中间件、微代码、或其任何组合来实现。当在软件、固件、中间件或
微码中实现时,执行必要任务的程序代码或代码段可被存储在诸如存储介质之类的机器可读介质或其它存储中。处理器可以执行这些必要的任务。代码段可表示规程、函数、子程序、程序、例程、子例程、模块、
软件包、类,或是指令、数据结构、或程序语句的任何组合。通过传递和/或接收信息、数据、自变量、参数、或
存储器内容,一代码段可被耦合到另一代码段或硬件电路。信息、自变量、参数、数据等可以经由包括存储器共享、消息传递、令牌传递、网络传输等的任何合适的手段被传递、转发、或传输。
[0123] 本文描述的各种处理电路602、802和1002一般被安排成获得、处理和/或发送数据,控制数据访问和存储,发布命令,以及控制其他期望操作。在至少一个实施例中,此类处理电路可包括配置成实现由恰适介质,诸如存储介质(例如,存储介质604、804、1004),提供的期望编程的电路系统。例如,处理电路可被实现为处理器、
控制器、多个处理器和/或被配置成执行包括例如软件和/或固件指令的可执行指令的其他结构、和/或硬件电路系统中的一者或更多者。处理电路的实施例可包括被设计成执行本文中所描述的功能的通用处理器、数字
信号处理器(DSP)、
专用集成电路(ASIC)、现场可编程
门阵列(FPGA)或其他可编程逻辑组件、分立的门或晶体管逻辑、分立的硬件组件、或其任何组合。通用处理器可以是
微处理器,但在替换方案中,处理器可以是任何常规的处理器、控制器、
微控制器、或状态机。处理器还可以实现为计算组件的组合,诸如DSP与微处理器的组合、数个微处理器、与DSP核心协作的一个或多个微处理器、或任何其他此类配置。处理电路的这些示例是为了解说,并且本公开范围内的其他合适的配置也被构想。
[0124] 本文描述的各种存储介质604、804和1004可各自表示用于存储诸如处理器可执行代码或指令(例如,软件、固件)、电子数据、数据库、或其他数字信息之类的编程和/或数据的一个或多个设备。存储介质可以是能被通用或专用处理器访问的任何可用介质。作为示例而非限定,存储介质可包括
只读存储器(例如,ROM、EPROM、EEPROM)、
随机存取存储器(RAM)、磁盘存储介质、光存储介质、闪存设备、和/或其他用于存储信息的非瞬态计算机可读介质。
[0125] 术语“机器可读介质”、“计算机可读介质”、和/或“处理器可读介质”可包括,但不限于,便携或固定的存储设备、光学存储设备、以及能够存储、包含或携带指令和/或数据的各种其他非瞬态介质。因此,本文中描述的各种方法可部分或全部地由可存储在“机器可读介质”、“计算机可读介质”和/或“处理器可读介质”中并由一个或多个处理器、机器和/或设备执行的指令和/或数据来实现。
[0126] 结合本文中公开的示例描述的方法或算法可直接在硬件中、在能由处理器执行的
软件模块中、或在这两者的组合中以处理单元、编程指令、或其他指示的形式实施,并且可包含在单个设备中或跨多个设备分布。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、
硬盘、可移动盘、CD-ROM、或本领域内已知的任何其他形式的存储介质中。存储介质可被耦合到处理器以使得该处理器能从/向该存储介质读取和写入信息。在替换方案中,存储介质可以被整合到处理器。
[0127] 本领域技术人员将可进一步领会,结合本文中公开的实施例描述的各种解说性逻辑块、模块、电路、和算法步骤可被实现为电子硬件、计算机软件、或两者的组合。为清楚地解说硬件与软件的这一可互换性,各种解说性组件、框、模块、电路、和步骤在上面是以其功能性的形式作一般化描述的。此类功能性是被实现为硬件还是软件取决于具体应用和施加于整体系统的设计约束。
[0128] 本文中所描述的实施例的各种特征可实现于不同系统中而不会脱离本公开的范围。应注意,以上实施例仅是示例,且并不应被解释成限定本公开。这些实施例的描述旨在解说,而并非旨在限定
权利要求的范围。由此,本
发明的教导可以现成地应用于其他类型的装置,并且许多替换、修改、和
变形对于本领域技术人员将是显而易见的。
