CN101816201A - 用于授权的分布式协议 - Google Patents
用于授权的分布式协议 Download PDFInfo
- Publication number
- CN101816201A CN101816201A CN200880109891A CN200880109891A CN101816201A CN 101816201 A CN101816201 A CN 101816201A CN 200880109891 A CN200880109891 A CN 200880109891A CN 200880109891 A CN200880109891 A CN 200880109891A CN 101816201 A CN101816201 A CN 101816201A
- Authority
- CN
- China
- Prior art keywords
- equipment
- trust
- data
- authorize
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 38
- 230000004044 response Effects 0.000 claims description 38
- 238000000034 method Methods 0.000 claims description 30
- 238000004891 communication Methods 0.000 claims description 12
- 238000012546 transfer Methods 0.000 claims description 4
- 230000003247 decreasing effect Effects 0.000 claims description 2
- 230000001419 dependent effect Effects 0.000 claims 2
- HEFNNWSXXWATRW-UHFFFAOYSA-N Ibuprofen Chemical compound CC(C)CC1=CC=C(C(C)C(O)=O)C=C1 HEFNNWSXXWATRW-UHFFFAOYSA-N 0.000 abstract description 27
- 238000013459 approach Methods 0.000 abstract description 3
- 230000005540 biological transmission Effects 0.000 description 5
- 241001674048 Phthiraptera Species 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000001228 spectrum Methods 0.000 description 2
- 230000002269 spontaneous effect Effects 0.000 description 2
- 239000000654 additive Substances 0.000 description 1
- 230000000996 additive effect Effects 0.000 description 1
- 229910002056 binary alloy Inorganic materials 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
执行授权的分散分布式方法涉及在例如“Carol”的业务提供设备中接收授权请求,然后从网络中的其他对等设备恢复信用信息。所收集的信息由设备“Carol”用来做出明智的授权决定。
Description
技术领域
本发明涉及用于授权的分布式协议,尤其涉及用于无线通信网络(诸如,超带宽通信网络)中的对等(peer-to-peer)授权的递归分布式协议。
背景技术
超宽带(ultra-wideband)是在非常宽的频率范围(3.1至10.6GHz)内传输数字数据的无线电技术。通过在大带宽上散布RF能量,所传输的信号实际上不能被传统的频率选择RF技术检测到。然而,低传输功率将通信距离限制为通常小于10至15米。
对于UWB存在两种方法:时域方法,其根据具有UWB性能的脉冲波形构建信号;以及频域调制方法,在多(频)带上使用传统的基于FFT的正交频分复用(OFDM),称为MB-OFDM。这两种UWB方法导致覆盖频谱内的非常宽带宽的频谱成分,因此称为术语超宽带,从而带宽占用百分之二十以上的中心频率,通常为至少500MHz。
超宽带的这些性能(与非常宽带宽结合)意味着UWB是用于在家庭或办公室环境中提供高速无线通信的理想技术,从而正在通信的设备在另一设备的10至15m的范围内。
图1示出了用于超宽带通信的多带正交频分复用(MB-OFDM)***中的频带布置。MB-OFDM***包括每个均为528MHz的14个子带,并且在子带之间使用每312.5ns的跳频作为接入方法。在每个子带内,采用OFDM和QPSK或DCM编码来传输数据。注意,5GHz周围的子带(目前为5.1-5.8GHz)被保留为空值,以避免与现有窄带***(例如,802.11aWLAN***,安全机构通信***或航空工业)的干扰。
14个子带被组织成五个带组,四个带组具有三个528MHz的子带,一个带组具有两个528MHz的子带。如图1所示,第一带组包括子带1、子带2和子带3。典型UWB***将在带组的子带之间采用跳频,使得第一数据符号在带组的第一频率子带内在第一312.5ns持续时间间隔内被传输,第二数据符号在带组的第二频率子带内在第二312.5ns持续时间间隔内被传输,以及第三数据符号在带组的第三频率子带内在第三312.5ns持续时间内被传输。从而,在每个时间间隔期间,数据符号在具有528MHz带宽的各自子带内被传输,例如,具有以3960MHz为中心的528MHz基带信号的子带2。
发送每个数据符号的三个频率序列表示时频码(TFC)信道。第一TFC信道可以遵循序列1、2、3、1、2、3,其中,1为第一子带,2为第二子带,以及3为第三子带。第二和第三TFC信道可以分别遵循序列1、3、2、1、3、2和1、1、2、2、3、3。根据ECMA-368规格,七个TFC信道被限定用于前四个带组中的每一个,两个TFC信道被限定用于第五个带组。
超带宽的技术性能意味着其被部署用于数据通信领域内的应用。例如,存在集中于以下环境中的电缆替换的多种应用:
-PC和***设备之间的通信,即,诸如硬盘驱动器、CD刻录器、打印机、扫描仪等的***设备。
-家庭娱乐,诸如电视和通过无线装置、无线扬声器等连接的设备。
-手持设备和PC之间的通信,例如移动电话和PDA、数字相机和MP3播放器等。
在诸如UWB网络的无线网络中,一个或多个设备在信标(beacon)周期期间传输信标帧。信标帧的主要目的在于提供关于媒体的定时结构,即,将时间划分为所谓的超帧,并且允许网络设备与它们的相邻设备同步。
UWB***的基本定时结构为如图2所示的超帧。根据欧洲计算机制造商协会标准(ECMA)的超帧(ECMA-3682nd版本)由256个媒体接入时隙(MAS)构成,其中,每个MAS都具有限定的持续时间(例如256μs)。每个超帧都以信标周期开始,其持续一个或多个连续MAS。形成信标周期的每个MAS都包括三个信标时隙,设备在信标时隙中传输它们各自的信标帧。信标周期中的第一MAS的开始已知为信标周期开始时间(BPST)。用于特定设备的信标组被限定为具有与特定设备共享的信标周期开始时间(±1μs)的设备组,并且其在特定设备的传输范围内。
诸如上述UWB***的无线***越来越多地用在自组(ad-hoc)对等配置中。这意味着网络在不具有中心控制或组织的情况下也存在,每个设备都潜在地与范围内的所有其他设备进行通信。这种方法具有多种优点,诸如自发和灵活的交互。然而,这种灵活配置还带来了需要解决的其他问题。
与传统学术、商业和工业联网方案相比,更小规模的网络很可能逐渐成长起来,并且通常包括访问来自朋友或商业往来的设备。该计划外方式不能很好地迎合传统网络安全规范。
计划外网络中的一个密钥安全问题是授权。授权是做出允许或不允许对网络、设备或业务进行访问的处理的决定。传统上,该决定集中被处理或实现,以及AAA(认证、授权、记账)服务器做出决定或提供必须这样做的所有信息。在自发生长的网络中,或在设备存在为高度动态的网络中,该是不合适的。这是因为没有设备能够被必然依赖以用作该服务器,并且它不可能具有使用所必须的所有信息。
由Clifford Neuman和Theodore Kerberos于1994年9月发表的名为“AnAuthentication Service for Computer Networks”,IEEE通信,32(9)pp33-38的论文描述了认证协议,其在版本5中还可以被用于授权。这允许多个业务提供设备与单个被信任认证服务器接触,以确定是否允许对业务的访问。然而,协议要求单个被信任中心服务器,因此不满足上述自组网络的需要。
从而,本发明的目标是提供一种可以被用于自组网络中的授权方法和装置。
发明内容
根据本发明的第一方面,提供了一种在无线通信网络中的第一设备和第二设备之间执行授权的方法。该方法包括以下步骤:将授权请求从第一设备发送至第二设备;将查询消息从第二设备发送到至少一个第三设备;将响应消息从至少一个第三设备返回给第二设备;其中,响应消息包括授权数据,在第二设备确定是否授权第一设备时使用授权数据。
在权利要求中限定的本发明采用新的分散式分布方法以解决授权问题。详细的授权信息可以从整个可到达网络获得,由控制对网络、设备或业务进行访问的设备集中。然后,该信息被访问控制设备使用以做出明智的授权决定。
本发明还具有提供一次使新的无线设备成对,然后使用分布式授权建立与网络中的任何其他设备的安全关联的能力的优点。
根据本发明的又一方面,提供了一种无线网络,包括:第一设备,用于将授权请求发送至第二设备;第二设备,用于将查询消息发送到至少一个第三设备;其中,第二设备还用于确定是否响应于接收到查询消息使用由一个或多个第三设备中发送至第二设备的授权数据来授权第一设备。
根据本发明的又一方面,提供了一种用在无线网络中的设备,该设备用于:响应于接收到来自还未被授权的在网络中使用的未授权设备的授权请求,将查询消息发送至网络中的至少一个其他设备;以及使用从至少一个其他设备中的一个或多个接收的授权数据来确定是否授权未授权设备。
附图说明
为了更好地理解本发明并且更清楚地示出如何使其作用,现在仅通过实例对以下附图做出参考,其中:
图1示出了在用于超宽带通信的多带正交频分复用(MB-OFDM)***中的频带的布置;
图2示出了UWB***中的超帧的基本定时结构;
图3示出了根据本发明实施例的分布式授权协议。
具体实施方式
本发明将关于UWB无线网络进行描述。然而,应该想到,本发明同样可应用于执行分布式授权的任何无线网络。
图3示出了具有多个无线设备30的无线网络10。为了说明目的,在该实例中,无线设备30由它们的用户名识别。例如,图3中的无线网络10具有标记为Alice、Carol、Bob、Dave、Eve、Dan、Dick和Doug的无线设备30。如以下所描述的,用于执行分布式授权的协议包括多个阶段,这些阶段中的一些又具有多个步骤。
在图3的实例中,用于执行分布式授权的方法包括五个主要步骤,步骤2和步骤3具有多个消息。
在步骤1中,例如Alice的未授权用户请求对由业务提供设备(例如Carol)控制的网络、设备或业务进行访问。通过发送请求消息1请求访问。在以下描述中,未授权设备Alice还被称为“第一设备”,而业务提供设备Carol还被称为“第二设备”。在步骤2中,Carol将查询消息2发送至其一个或多个逻辑对等体,在这种情况下为Eve、Dave和Bob(为Carol的邻近设备)。查询消息2包括未授权用户(即,Alice)的标识。
在图3的实施例提供的实例中,Carol将查询消息2发送至每个对等设备Eve、Dave和Bob,它们在下文中还被称为“第三设备”。第二设备Carol可以在查询消息中设置关于查询消息2应该被对等设备Eve、Dave和Bob转发到它们各自邻近的对等设备的次数或“跳数”的计数值“N”。换句话说,计数值N确定查询消息2在从一个对等设备到“更低级”对等设备(即,根据其在链中的位置)的特定链(例如,从Dave到Dan,从Dan到Dan的对等设备(未示出)等)上被转发的次数。从而,计数值确定查询消息通过自组网络传送的“深度”来试图对业务请求设备进行授权。
当接收查询消息2时,对等设备(例如,Eve、Dave或Bob)对查询消息2进行响应它是否具有做出关于第一设备(即,Alice)的断言(assertion)。另外,如果所接收的计数值为合适的值,则对等设备将查询消息2转发至其各自的对等体。例如,如果计数值为零,则对等设备不将查询消息2转发至任何其对等体。如果计数值等于或大于1,则对等设备递减计数值,并将查询消息2(附着或包括有递减的计数值)转发至其一个或多个对等设备。应该想到,关于是否将查询消息2转发至更低等级对等设备的决定可以根据其他计数值做出,即,不同于上述“零”决定。
注意,计数值N可以被预先设置用于特定***或网络。可选地,计数值N可根据做出对业务的特定请求的设备类型来设定。应该想到,本发明还包括用于设定计数值N的其他准则。
在图3中,仅简单示出了用于无线设备Dave的对等设备,但是应该想到,无线设备Eve和Bob还可能具有各自的对等设备。在以下描述中,对等设备(诸如Dan),即,第三设备的对等设备还被称为“第四”设备。
可响应于所转发的查询消息2的对等设备(即,它们具有做出关于第一设备Alice的断言)通过网络上的相同路径发送回它们的响应消息3。为了简单,在图3中,示出了无线设备Dan发送响应消息3(ResponseDAN)到Carol。响应消息ResponseDAN经由对等设备Dave被转发至Carol。应该想到,如果具有关于第一设备Alice的断言,则例如Bob、Eve、Dick或Doug的其他设备还可以发送它们各自的响应消息。
用于传输查询消息2和响应消息3的每条链路优选是安全的,例如,在无线设备之间的数据传输中使用数据加密。从而,在被转发时,路径上的每个对等设备优选地对查询消息2进行加密和解密。同时,与对等设备(为其转发查询消息)的关系包括在消息的“设备证明”部分中。例如,响应于从无线设备Carol接收到查询消息2,无线设备Dave对查询消息2进行解密,将Dave和Carol之间的关系包括在查询消息2的设备鉴证明部分中,并在将查询消息2转发至其对等设备Dan、Dick和Doug之前对查询消息2进行加密。
根据本发明的又一方面,除了对等设备发送响应消息3到Carol或朝Carol发送之外,对等设备还可以发送“通知消息”4到做出对授权的原始请求的未授权设备(即,Alice)。为了简单,在图3中,无线设备Dan被示出发送通知消息4到Alice。然而,应该想到,将响应消息3发送至Carol的其他设备还可以发送通知消息4到Alice。
通知消息4可以包括由未授权设备(即,第一设备)Alice利用Carol进行认证使用的认证数据。关于根据本发明这方面的进一步详情可以在本发明的申请人做出的名为“Authentication Method and Framework”(UWB0031)的共同未决申请中找到。根据本发明的这一方面,认证设备Carol能够将从Alice接收到的认证数据(其在通知消息4中从Dan接收到)与在响应消息3中从Dan接收到的认证数据进行比较。这允许授权和认证的结合在一个协议流中执行。
在授权协议中来自对等设备的响应消息3(即,来自第三设备、第四设备等中的任何一个)包括关于未授权设备(即,第一设备Alice)的零个或更多个二进制断言。与这些预定断言中的每一个均相关联的是第一和第二信任分数值,其可以被业务提供设备(即,第二设备Carol)使用以计算响应的总分数。
下表示出了断言和它们的相应第一和第二信任值的实例。
| 断言 | T(真) | F(假) |
| C:共有 | 3 | 0 |
| P:成对 | 2 | 0 |
| T:已经使用该业务 | 2 | 0 |
| A:已经使用一个业务 | 1 | 0 |
| S:不应该被信任 | -1 | 1 |
在以上实例中,断言类型“C”表示未授权设备是否为共有设备,即,第一设备和做出该断言的对等设备具有共同的拥有人,如果是这样的,则该断言被分配为3的第一信任值(真),如果不是这样,则该断言被分配为0的第二信任值(假)。
断言类型“P”表示第一设备是否与做出该断言的对等设备成对,如果是这样,则被分配为2的第一信任值(真),如果不是这样,则被分配为0的第二信任值(假)。
断言类型“T”表示对等设备是否知道第一设备先前已经使用了该业务,如果是这样,则被分配为2的第一信任值(真),如果不是这样,则被分配为0的第二信任值(假)。例如,如果在Alice和Dan之间先前已经使用了由Alice从Carol请求的业务,则第一设备被认为“已经使用了该业务”。
断言类型“A”表示对等设备是否知道第一设备已经使用了一个业务,如果是这样,则被分配为1的第一信任值(真),如果不是,则被分配为0的第二信任值(假)。例如,如果对等设备Dan先前已经提供了一些形式的业务给Alice,但不同于Alice当前从Carol请求的业务,则第一设备被认为“已经使用了一个业务”。
断言类型“S”表示对等设备是否认为第一设备应该被信任,如果是这种情况,它被分配-1的第一信任值(真),如果不是这种情况,则被分配为1的第二信任值(假)。
这些断言可以以预定方式由第二设备(即,Carol)结合,以给出每个相应的信任分数。例如,对于前四个断言C、P、T和A的信任分数可以被结合到一起,并且总分乘以最后的断言S的信任分数。这产生了正或负分数,并且相对于信任量的权重由相应的对等设备分给未授权设备。例如,注意,结合信任分数值的步骤可包括将用于多种断言类型的信任分数值加在一起的步骤。可选地,结合信任分数值的步骤可包括乘以用于多种断言类型的信任分数值的步骤。
应该想到,本发明可利用任何数量的预定断言,具有不同的断言类型设置,以及具有不同权重值(即,信任分数值,如上表所示的那些)。而且,本发明意在包括基于从对等设备接收的数据确定信任分数的其他方法。
根据一个实施例,业务提供设备Carol可基于仅从一个对等设备接收到的数据中获得的仅一个信任分数来做出授权决定。例如,如果从对等设备Dave发送的响应消息3显示未授权设备Alice由对等设备Dave共有(即,断言类型“C”具有为3的第一信任值(真)),然后这可以足够使设备Carol做出有效授权决定。
根据可选实施例,为了做出决定,业务提供设备Carol可以要求两个或更多信任分数。换句话说,在最终授权决定做出之前,可由业务提供设备Carol接收这些推荐信任分数中的多个,并且用于将它们适当结合的方法被作为本发明的一部分进行描述。
包括在转发的响应消息3中或从链路层收集的设备元数据被用于确定每种推荐(recommendation)被信任的程度。然后,它们可根据公式被加权,并且求和以在任何给定时间给出总分。
所得到的分数可以与业务提供设备Carol要求的一些阈值或目标分数进行比较,在接收到一些或所有响应之后,如果所得到的分数满足或超过目标分数,则可以对未授权设备进行授权,并提供业务。注意,阈值等级或目标分数可根据接收或可以接收多少响应消息来选择性地改变。例如,当基于来自仅一个对等设备的响应消息做出授权决定时,可以使用第一阈值等级,而当基于从两个或多个对等设备接收的响应消息做出授权决定时,可以使用第二阈值等级。
此外,如上所述,作为协议的一部分,业务提供设备还可以已经从业务请求设备接收了一个或多个认证消息,其还可被用于在两个设备之间建立安全配对。
应该想到,上述本发明包括:用于从网络中存在的设备恢复授权信息的协议;授权信息本体,以确保设备可以了解彼此的信息;以及基于分数做出决定的处理,以处理该信息。
分布式授权可以被用于多个目的。一种传统使用是用于控制对业务的访问,诸如打印机共享或文件传送。另一个是更换进行网络访问的正常密码或共享密钥方法。本发明在缓慢成长的网络中也是非常有用的,这是由于它提供使用授权协议以允许设备在不要求任何手动认证过程的情况下执行安全配对。
本发明允许任何业务提供设备收集来自其网络对等体的详细信息,然后其可被用于做出复杂的授权决定。这一切都可以使在没有直接用户交互和非专用认证服务器的情况下实现。
用于恢复授权信息的协议能够进行多等级查询,这允许松散连接的网格网络中的业务提供设备查询多于仅其直接对等体。为了避免过多的网络利用,查询应该被转发到的等级是可控制的。换句话说,控制授权的设备(即,Carol)将保存计数值,其表示查询消息应该被转发的等级。
由于协议可以执行认证以及授权,所以本发明具有不要求任何中心认证服务器的优点。另外,授权决定由于从网络设备恢复的额外信息而更加有效。授权基于从其他设备的过去经历获得的信任等级,而不是预定的和任意特权。
这能够获得授权的新方法,其将更加精确地估计用于认可的设备,并且在不需要明确用户干涉来更新特权表情况下动态地适应滥用。
新的设备可以一次成对,然后使用本发明更多地收集与其他联网设备的更多安全关联。这要求极大地减少来自设备拥有者的影响。从而,本发明要求最少的设定和用户交互,这样做是确保网络、设备和业务安全的高效使用方法。本发明还能够进行具有对自组网络条件的复杂授权要求的安全业务,诸如商务会议和商谈。
虽然描述了优选实施例对于每种断言类型具有第一和第二信任分数值,但应该想到,一个或多个断言类型可以仅具有一个信任分数值。
应该注意,上述实施例示出了而不限制本发明,并且本领域技术人员将能够在不脱离所附权利要求的范围的情况下设计多种可选实施例。词“包括”不排除除权利要求中所列的那些之外出现的元件或步骤,“一”或“一个”不排除多个,并且单个处理器或其他单元可以实现权利要求中所述的多个单元的功能。权利要求中的任何参考标记将不构成对其范围的限制。
Claims (27)
1.一种用于在无线通信网络中的第一设备和第二设备之间执行授权的方法,所述方法包括以下步骤:
将授权请求从所述第一设备发送至所述第二设备;
将查询消息从所述第二设备发送到至少一个第三设备;
将响应消息从所述至少一个第三设备返回给所述第二设备;
其中,所述响应消息包括授权数据,所述授权数据被所述第二设备用于确定是否授权所述第一设备。
2.根据权利要求1所述的方法,还包括以下步骤:
将查询消息从第三设备转发至第四设备;
将响应消息从所述第四设备返回给所述第二设备;
其中,来自所述第四设备的响应消息包括授权数据,所述授权数据被所述第二设备用于确定是否授权所述第一设备。
3.根据权利要求2所述的方法,其中,所述响应消息经由所述第三设备从所述第四设备返回至所述第二设备。
4.根据前述权利要求中任一项所述的方法,其中,所述授权数据包括与所述第一设备相关的一个或多个预定断言。
5.根据权利要求4所述的方法,其中,所述预定断言与一个设备和所述第一设备之间的历史数据相关。
6.根据权利要求4或5所述的方法,其中,所述预定断言包括至少一个信任值。
7.根据权利要求4或5所述的方法,其中,所述预定断言包括第一信任值和第二信任值。
8.根据权利要求6或7所述的方法,还包括以下步骤:
基于在一个或多个响应消息中接收的一个或多个信任值在所述第二设备中确定信任分数;以及
使用所确定的信任分数在所述第二设备中执行授权决定。
9.根据权利要求8所述的方法,其中,所述授权决定包括以下步骤:将所述信任分数与阈值进行比较,以及如果所述信任分数高于或等于所述阈值则授权所述第一设备。
10.根据前述权利要求中任一项所述的方法,还包括以下步骤:
将认证数据包括在从一个设备发送至所述第二设备的响应消息中;
将相应认证数据从所述一个设备发送至所述第一设备;以及
使用所述认证数据在所述第二设备处中在所述第一设备和所述第二设备之间执行认证。
11.根据前述权利要求中任一项所述的方法,还包括:以安全的方式在设备之间传输消息的步骤。
12.根据权利要求11所述的方法,其中,以安全方式传输消息的步骤包括:将所传输的数据加密以及将所接收的数据解密的步骤。
13.根据前述权利要求中任一项所述的方法,还包括:在查询消息中提供计数值的步骤,其中,所述计数值用于控制是否将查询消息从特定设备转发至另一设备。
14.一种无线网络,包括:
第一设备,用于将授权请求发送至第二设备;
所述第二设备,用于将查询消息发送到至少一个第三设备;
其中,所述第二设备还用于确定是否响应于接收到所述查询消息使用由一个或多个所述第三设备发送至所述第二设备的授权数据来授权所述第一设备。
15.根据权利要求14所述的无线网络,其中,第三设备用于将从所述第二设备接收到的查询消息转发至第四设备,并且所述第四设备用于将响应消息返回给所述第二设备,所述响应消息包括被所述第二设备用于确定是否授权所述第一设备的授权数据。
16.根据权利要求15所述的无线网络,其中,所述第四设备用于经由所述第三设备将所述响应消息返回给所述第二设备。
17.根据权利要求14至16中任一项所述的无线网络,其中,所述授权数据包括与所述第一设备相关的一个或多个预定断言。
18.根据权利要求17所述的无线网络,其中,所述预定断言与一个设备和所述第一设备之间的历史数据相关。
19.根据权利要求17或18所述的无线网络,其中,所述预定断言包括至少一个信任值。
20.根据权利要求17或18所述的无线网络,其中,所述预定断言包括第一信任值和第二信任值。
21.根据权利要求19或20所述的无线网络,其中,所述第二设备还用于:
基于在一个或多个响应消息中接收的一个或多个信任值确定信任分数;以及
使用所确定的信任分数执行授权决定。
22.根据权利要求21所述的无线网络,其中,所述第二设备用于将所确定的信任分数与阈值进行比较,并且如果所述信任分数高于或等于所述阈值则授权所述第一设备。
23.根据权利要求14至22中任一项所述的无线网络,其中,所述网络还用于:
在从一个设备发送至所述第二设备的响应消息中传送授权数据;
将相应授权数据从所述一个设备发送至所述第一设备;以及
在所述第二设备中使用所述授权数据,以在所述第一设备和所述第二设备之间执行授权。
24.根据权利要求14至23中任一项所述的无线网络,其中,所述网络用于以安全方式在设备之间传输消息。
25.根据权利要求24所述的无线网络,其中,设备用于对所传输的数据进行加密以及对所接收的数据进行解密。
26.根据权利要求14至26中任一项所述的无线网络,其中,设备用于:
检验所接收消息中的计数值;
确定所述计数值是否等于预定值,如果不等于,则递减所述计数值并将所接收的消息转发至所连接的另一设备。
27.一种在无线网络中使用的设备,所述设备用于:
响应于接收来自还未被授权在所述网络中使用的未授权设备的授权请求,将查询消息发送至所述网络中的至少一个其他设备;以及
确定是否使用从所述至少一个其他设备中的一个或多个接收的授权数据来授权所述未授权设备。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0719583.7 | 2007-10-05 | ||
| GB0719583A GB2456290B (en) | 2007-10-05 | 2007-10-05 | Distributed protocol for authorisation |
| PCT/GB2008/003324 WO2009044132A2 (en) | 2007-10-05 | 2008-10-02 | Distributed protocol for authorisation |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101816201A true CN101816201A (zh) | 2010-08-25 |
Family
ID=38739266
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880109891A Pending CN101816201A (zh) | 2007-10-05 | 2008-10-02 | 用于授权的分布式协议 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US20100313246A1 (zh) |
| EP (1) | EP2196044A2 (zh) |
| JP (1) | JP2010541444A (zh) |
| KR (1) | KR20100087708A (zh) |
| CN (1) | CN101816201A (zh) |
| AU (1) | AU2008306693A1 (zh) |
| GB (1) | GB2456290B (zh) |
| MX (1) | MX2010003481A (zh) |
| TW (1) | TW200917786A (zh) |
| WO (1) | WO2009044132A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109196841A (zh) * | 2016-06-03 | 2019-01-11 | 格马尔托股份有限公司 | 用于在移动电信网络的分布式数据库中发布断言以及用于个性化物联网设备的方法和装置 |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9118699B2 (en) * | 2009-01-26 | 2015-08-25 | Qualcomm Incorporated | Communications methods and apparatus for use in communicating with communications peers |
| US9082127B2 (en) | 2010-03-31 | 2015-07-14 | Cloudera, Inc. | Collecting and aggregating datasets for analysis |
| US9081888B2 (en) | 2010-03-31 | 2015-07-14 | Cloudera, Inc. | Collecting and aggregating log data with fault tolerance |
| US8874526B2 (en) | 2010-03-31 | 2014-10-28 | Cloudera, Inc. | Dynamically processing an event using an extensible data model |
| US9338008B1 (en) * | 2012-04-02 | 2016-05-10 | Cloudera, Inc. | System and method for secure release of secret information over a network |
| US9813423B2 (en) * | 2013-02-26 | 2017-11-07 | International Business Machines Corporation | Trust-based computing resource authorization in a networked computing environment |
| US9342557B2 (en) | 2013-03-13 | 2016-05-17 | Cloudera, Inc. | Low latency query engine for Apache Hadoop |
| US9934382B2 (en) | 2013-10-28 | 2018-04-03 | Cloudera, Inc. | Virtual machine image encryption |
| US9654458B1 (en) * | 2014-09-23 | 2017-05-16 | Amazon Technologies, Inc. | Unauthorized device detection in a heterogeneous network |
| CN105991600B (zh) | 2015-02-25 | 2019-06-21 | 阿里巴巴集团控股有限公司 | 身份认证方法、装置、服务器及终端 |
| US10097557B2 (en) * | 2015-10-01 | 2018-10-09 | Lam Research Corporation | Virtual collaboration systems and methods |
| US10346428B2 (en) | 2016-04-08 | 2019-07-09 | Chicago Mercantile Exchange Inc. | Bilateral assertion model and ledger implementation thereof |
| US11048723B2 (en) | 2016-04-08 | 2021-06-29 | Chicago Mercantile Exchange Inc. | Bilateral assertion model and ledger implementation thereof |
| US10404469B2 (en) * | 2016-04-08 | 2019-09-03 | Chicago Mercantile Exchange Inc. | Bilateral assertion model and ledger implementation thereof |
| US9888007B2 (en) | 2016-05-13 | 2018-02-06 | Idm Global, Inc. | Systems and methods to authenticate users and/or control access made by users on a computer network using identity services |
| US10187369B2 (en) * | 2016-09-30 | 2019-01-22 | Idm Global, Inc. | Systems and methods to authenticate users and/or control access made by users on a computer network based on scanning elements for inspection according to changes made in a relation graph |
| US10965668B2 (en) | 2017-04-27 | 2021-03-30 | Acuant, Inc. | Systems and methods to authenticate users and/or control access made by users based on enhanced digital identity verification |
| US11276022B2 (en) | 2017-10-20 | 2022-03-15 | Acuant, Inc. | Enhanced system and method for identity evaluation using a global score value |
| US11146546B2 (en) | 2018-01-16 | 2021-10-12 | Acuant, Inc. | Identity proofing and portability on blockchain |
| CN112005230B (zh) | 2018-04-30 | 2024-05-03 | 谷歌有限责任公司 | 通过统一的安全区接口管理安全区创建 |
| EP4155996A1 (en) * | 2018-04-30 | 2023-03-29 | Google LLC | Enclave interactions |
| CN112005237B (zh) | 2018-04-30 | 2024-04-30 | 谷歌有限责任公司 | 安全区中的处理器与处理加速器之间的安全协作 |
| US11023490B2 (en) | 2018-11-20 | 2021-06-01 | Chicago Mercantile Exchange Inc. | Selectively replicated trustless persistent store |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1426201A (zh) * | 2002-12-16 | 2003-06-25 | 北京朗通环球科技有限公司 | 在无线访问点上实现接入控制器功能的方法 |
| WO2004004197A1 (en) * | 2002-06-28 | 2004-01-08 | Nokia Corporation | Method and device for authenticating a user in a variety of contexts |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1102430A1 (en) * | 1999-10-27 | 2001-05-23 | Telefonaktiebolaget Lm Ericsson | Method and arrangement in an ad hoc communication network |
| DE60314871T2 (de) * | 2002-05-24 | 2008-03-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters |
| US7042867B2 (en) * | 2002-07-29 | 2006-05-09 | Meshnetworks, Inc. | System and method for determining physical location of a node in a wireless network during an authentication check of the node |
| US20050152305A1 (en) * | 2002-11-25 | 2005-07-14 | Fujitsu Limited | Apparatus, method, and medium for self-organizing multi-hop wireless access networks |
| US8561161B2 (en) * | 2002-12-31 | 2013-10-15 | International Business Machines Corporation | Method and system for authentication in a heterogeneous federated environment |
| JPWO2004107656A1 (ja) * | 2003-05-29 | 2006-07-20 | 松下電器産業株式会社 | アドホックネットワークに収容可能な移動体通信装置 |
| US7350074B2 (en) * | 2005-04-20 | 2008-03-25 | Microsoft Corporation | Peer-to-peer authentication and authorization |
| WO2007030517A2 (en) * | 2005-09-06 | 2007-03-15 | Ironkey, Inc. | Systems and methods for third-party authentication |
| US20070140145A1 (en) * | 2005-12-21 | 2007-06-21 | Surender Kumar | System, method and apparatus for authentication of nodes in an Ad Hoc network |
| JP4864094B2 (ja) * | 2006-02-06 | 2012-01-25 | パナソニック株式会社 | 通信制御システム |
| US20070203852A1 (en) * | 2006-02-24 | 2007-08-30 | Microsoft Corporation | Identity information including reputation information |
| US7561551B2 (en) * | 2006-04-25 | 2009-07-14 | Motorola, Inc. | Method and system for propagating mutual authentication data in wireless communication networks |
| US7788707B1 (en) * | 2006-05-23 | 2010-08-31 | Sprint Spectrum L.P. | Self-organized network setup |
| US8862881B2 (en) * | 2006-05-30 | 2014-10-14 | Motorola Solutions, Inc. | Method and system for mutual authentication of wireless communication network nodes |
| US8161283B2 (en) * | 2007-02-28 | 2012-04-17 | Motorola Solutions, Inc. | Method and device for establishing a secure route in a wireless network |
| GB2453383A (en) * | 2007-10-05 | 2009-04-08 | Iti Scotland Ltd | Authentication method using a third party |
-
2007
- 2007-10-05 GB GB0719583A patent/GB2456290B/en not_active Expired - Fee Related
-
2008
- 2008-10-02 JP JP2010527521A patent/JP2010541444A/ja active Pending
- 2008-10-02 KR KR1020107009945A patent/KR20100087708A/ko not_active Application Discontinuation
- 2008-10-02 EP EP08806473A patent/EP2196044A2/en not_active Withdrawn
- 2008-10-02 CN CN200880109891A patent/CN101816201A/zh active Pending
- 2008-10-02 WO PCT/GB2008/003324 patent/WO2009044132A2/en active Application Filing
- 2008-10-02 MX MX2010003481A patent/MX2010003481A/es not_active Application Discontinuation
- 2008-10-02 AU AU2008306693A patent/AU2008306693A1/en not_active Abandoned
- 2008-10-02 US US12/680,151 patent/US20100313246A1/en not_active Abandoned
- 2008-10-03 TW TW097138084A patent/TW200917786A/zh unknown
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004004197A1 (en) * | 2002-06-28 | 2004-01-08 | Nokia Corporation | Method and device for authenticating a user in a variety of contexts |
| CN1426201A (zh) * | 2002-12-16 | 2003-06-25 | 北京朗通环球科技有限公司 | 在无线访问点上实现接入控制器功能的方法 |
Non-Patent Citations (1)
| Title |
|---|
| ANDR´E WEIMERSKIRCH AND GILLES THONET: "《A Distributed Light-Weight Authentication Model for Ad-hoc Networks》", 《THE 4TH INTERNATIONAL CONFERENCE ON INFORMATION SECURITY AND CRYPTOLOGY(ICISC 2001)》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109196841A (zh) * | 2016-06-03 | 2019-01-11 | 格马尔托股份有限公司 | 用于在移动电信网络的分布式数据库中发布断言以及用于个性化物联网设备的方法和装置 |
| CN109196841B (zh) * | 2016-06-03 | 2021-06-04 | 格马尔托股份有限公司 | 用于在移动电信网络的分布式数据库中发布断言以及用于个性化物联网设备的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW200917786A (en) | 2009-04-16 |
| JP2010541444A (ja) | 2010-12-24 |
| GB2456290A (en) | 2009-07-15 |
| GB2456290B (en) | 2011-03-30 |
| WO2009044132A2 (en) | 2009-04-09 |
| EP2196044A2 (en) | 2010-06-16 |
| KR20100087708A (ko) | 2010-08-05 |
| WO2009044132A3 (en) | 2009-06-18 |
| MX2010003481A (es) | 2010-04-14 |
| US20100313246A1 (en) | 2010-12-09 |
| GB0719583D0 (en) | 2007-11-14 |
| AU2008306693A1 (en) | 2009-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101816201A (zh) | 用于授权的分布式协议 | |
| US11229023B2 (en) | Secure communication in network access points | |
| JP2011503926A (ja) | 認証方法および認証フレームワーク | |
| US8429404B2 (en) | Method and system for secure communications on a managed network | |
| CN107113594B (zh) | 设备到设备通信***的安全发送和接收发现消息的方法 | |
| Debbah et al. | Wireless physical layer security | |
| Lu et al. | Proactive eavesdropping in UAV-aided mobile relay systems | |
| Chandra et al. | Wireless networking: Know it all | |
| CN108684037A (zh) | 一种联合子载波配对和信号反转的ofdm安全传输方法 | |
| Vanhala | Security in ad hoc networks | |
| Kumar et al. | Transmitter authentication using hierarchical modulation in dynamic spectrum sharing | |
| Loganathan et al. | Physical layer security using an adaptive modulation scheme for improved confidentiality | |
| Bonior et al. | Implementation of a wireless time distribution testbed protected with quantum key distribution | |
| Lebold et al. | Wireless technology study and the use of smart sensors for intelligent control and automation | |
| Cao et al. | A novel wireless covert channel for MIMO system | |
| Amanna et al. | Realizing physical layer authentication using constellation perturbation on a software-defined radio testbed | |
| Sankhe | Overlaying Control Signal over Standard-Compliant Frames: From Energy Harvesting to Deep Learning | |
| TWI459779B (zh) | 在確保無線通信中使用的b節點 | |
| Mohammed et al. | Rand-OFDM: A Secured Wireless Signal | |
| Shiler et al. | Complex security problems of the internet of things | |
| Kesavulu et al. | Enhanced packet delivery techniques using crypto-logic riddle on jamming attacks for wireless communication medium | |
| Abubaker | Channel Based Relay Attack Detection Protocol | |
| WO2023107078A1 (en) | Channel-decomposition based secure channel state information sharing for physical layer security for future wireless networks | |
| Sasaoka et al. | Secret key agreement techniques based on multipath propagation characteristics | |
| WO2022055448A1 (en) | A communication system for multiuser down-link transmission method using auxiliary signals superposition for internet of things (iot) devices in massive machine type communications (mmtc) scenarios and its method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100825 |