專利名稱:配置節(jié)點的方法�、相關節(jié)點和配置服務器的制作方法
配置節(jié)點的方法、相關節(jié)點和配置服務器
背景技術:
本發(fā)明涉及節(jié)點配置�。此處的"節(jié)點"理解為能夠與至少另一個節(jié)點通信的
任何設備或系統(tǒng)。其包括非?����;镜男酒?�、RFID (射頻標識芯片)標簽��、傳感 器�����、移動電話���、PDA (個人數(shù)字助理)、基站�����、服務器��、網(wǎng)關�、或甚至整個電信網(wǎng) 絡。作為非限定性示例,節(jié)點可以是環(huán)境網(wǎng)絡的接入點���。
為了能與其環(huán)境交互��,節(jié)點需要某種配置�。當然����,這樣的配置取決于節(jié)點的 性質可能不同。但其還可取決于該節(jié)點可能遇到的各種各樣的可能環(huán)境��。環(huán)境甚至 可能隨時間變化����,尤其是關注進入無線電環(huán)境的移動節(jié)點時。
帶寬�、功率、IP版本�����、IP地址��、安全密鑰�����、代理服務器地址是配置參數(shù)的一 些示例,節(jié)點為了通信應該知道其更新版本��。
由于以上提及的節(jié)點和環(huán)境的多樣性��,因此不容易在建立節(jié)點時就一次性地 在任何節(jié)點中以及為所有節(jié)點存儲相關和恰適配置參數(shù)��。
因此���,需要向任何種類的節(jié)點提供相關和恰適配置參數(shù)����。
發(fā)明概述
本發(fā)明提出一種用于配置節(jié)點的方法�,所述節(jié)點保持取決于與所述節(jié)點相關 的標識符的公鑰��、相關密鑰以及為相應節(jié)點存儲配置參數(shù)集的配置服務器的地址����, 該方法包括在配置服務器上實現(xiàn)的以下步驟
-通過使用計及所述公鑰和密鑰的基于身份的標識算法來標識所述節(jié)點;以及
-當所述節(jié)點已被成功標識時���,檢索為所述節(jié)點存儲的所述配置參數(shù)集并將所 述配置參數(shù)集傳送給所述節(jié)點����。
以此方式,該節(jié)點初始不必存儲太多信息或非常具體的信息��,因為僅需要公 鑰����、密鑰和配置服務器的地址。而且��,由于公鑰取決于所述標識符這一事實��,所存 儲的信息相比于例如傳統(tǒng)的X.509證書是尤其少的�。節(jié)點還可以在被配置服務器簡 單標識之后在任何時間獲得這些配置參數(shù)。由此可非常容易地獲得配置參數(shù)的經(jīng)更 新版本��。本發(fā)明還提出一種節(jié)點����,其保持取決于與所述節(jié)點相關的標識符的公鑰、相 關密鑰以及為相應節(jié)點存儲配置參數(shù)集的配置服務器的地址��,所述節(jié)點包括
-用于由配置服務器通過使用計及所述公鑰和密鑰的基于身份的標識算法來 標識的裝置����;以及
-用于在所述節(jié)點已被成功標識時接收來自配置服務器的配置參數(shù)集的裝置�。
本發(fā)明還提出一種存儲為相應節(jié)點存儲配置參數(shù)集的配置服務器�����,每一節(jié)點 保持取決于與所述節(jié)點相關的相應標識符的相應公鑰��、相應相關密鑰以及配置服務 器的地址��,所述配置服務器關于所述節(jié)點中的任一個包括
-用于通過使用計及與所述節(jié)點相關的所述公鑰和密鑰的基于身份的標識算 法來標識所述節(jié)點的裝置���;以及
-用于在用于標識的裝置已成功標識所述節(jié)點時檢索為所述節(jié)點存儲的所述 配置參數(shù)集的裝置以及將所述配置參數(shù)集傳送給所述節(jié)點的裝置�����。
以上各方面中由從屬權利要求指示的優(yōu)選特征可以恰適地組合在一起�����,并且 可以與本發(fā)明的以上各方面中的任一方面組合,這對本領域技術人員而言將是明顯 的�。
附圖簡要描述
圖1是實現(xiàn)本發(fā)明的系統(tǒng)的示意圖2是根據(jù)本發(fā)明的節(jié)點與配置服務器之間的主要交換的示意圖3是使用Shamir的基于身份的標識算法的配置的第一示例;以及
圖4是使用Fischer-Micali-Rackoff的基于身份的標識算法的配置的第二示例�����。
優(yōu)選實施例的描述
圖1示出構成可為例如環(huán)境網(wǎng)絡的一部分的相應各個節(jié)點的計算機設備la、 移動電話lb和RFID標簽lc��。
如以下將更詳細地解釋的�,這些節(jié)點中的每一個出于配置目的保持最少所需 參數(shù)。
圖1還示出包含用于包括節(jié)點la�、 lb和lc的不同節(jié)點的配置參數(shù)的配置服 務器2。
在本發(fā)明中���,節(jié)點la�、 lb和lc很可能通過可包含其他節(jié)點的通信網(wǎng)絡3接 收來自配置服務器2的相關和恰適配置參數(shù)��。由于節(jié)點la����、 lb和lc從配置服務器2取得相應配置參數(shù),因此它們初始可 能包含非常少的信息����。這在建立此類節(jié)點時可能是有利的。其還允許這些節(jié)點在需 要時��,例如當進入無線電環(huán)境時能取得經(jīng)更新的配置參數(shù)�。
圖2更詳細地示出可如何根據(jù)本發(fā)明的實施例配置節(jié)點。在本插圖中���,節(jié)點1 ��, 即移動電話將被配置�����。
初始��,即剛好造好并售給其用戶之后�����,節(jié)點1可保持僅3個參數(shù)關于節(jié)點l 的標識符(圖2中的id)——即標識或者節(jié)點自身或者其用戶并且可如下將解釋地 用作節(jié)點1的公鑰�����;所述標識符的函數(shù)(圖2中的Ks(id))——其可如下將解釋地 用作節(jié)點1的密鑰�����;以及例如IP地址之類的配置服務器2的地址(圖2中的鄉(xiāng)P)��。
作為變形��,節(jié)點1可以保持標識符id的單向函數(shù)h (h(id))來代替標識符id 本身�����。例如�,該單向函數(shù)可以是散列函數(shù),諸如SHA-1 (由NIST在"安全散列簽 名標準(SHS)"中指定(參見FIPS PUB 180-2))或MD5 (參見由因特網(wǎng)工程 任務組(IETF)發(fā)布的請求注解1319-121)���。當然���,其他單向函數(shù)也可能適用。
有利地����,所述標識符id對于每一節(jié)點和/或用戶是唯一性的。其可以明確地定 義節(jié)點和/或用戶�。作為非限定性示例,標識符id可包括以下串名.姓.城市@域名����。
或者,標識符可包括用于其他目的的標識符��。例如�,當在節(jié)點與配置服務器 之間使用的路由協(xié)議為IP (網(wǎng)際協(xié)議)以及IP地址的分配為固定時,標識符id可 包括節(jié)點的IP地址。
同樣��,當節(jié)點是例如移動電話時�����,其耦合至表征該移動電話的用戶的SIM(訂 戶身份模塊)卡�。該SIM卡包含稱為IMSI (國際移動訂戶身份)的用戶身份,其 根據(jù)本發(fā)明可出于配置目的而被包含在標識符id中��。
盡管節(jié)點1可僅保持以上提及的3個參數(shù)���,但其也可以保持附加參數(shù)��。然而 將理解�,旨在由節(jié)點1使用的絕大多數(shù)或所有配置參數(shù)(例如����,帶寬、功率��、IP 版本��、IP地址����、安全密鑰����、代理服務器地址等)初始并未存儲在該節(jié)點中�����。
可以用許多不同方式將密鑰Ks(id)提供給節(jié)點l�����。在圖2所圖解的示例中���,密 鑰發(fā)生器18是通過向關于節(jié)點1的標識符id(或h(id))應用陷門函數(shù)來生成Ks(id) 的實體。密鑰發(fā)生器18隨后將生成的密鑰發(fā)送給節(jié)點1 (步驟4)��。
另一方面�,配置服務器2可訪問可能內(nèi)置或外置的數(shù)據(jù)庫2a。數(shù)據(jù)庫2a存儲 用于分別由id,����、 id2.....idn標識的相應各節(jié)點的配置參數(shù)集CPi、 CP2�����、 ...CPn。
在步驟5中����,配置服務器2通過使用基于身份的標識算法來標識節(jié)點1。此標 識步驟可由節(jié)點1請求����。在此步驟期間,節(jié)點1和配置服務器2交換消息�����。由于節(jié)點1知道配置服務器2的地址(^IP這一事實�����,消息可從節(jié)點1發(fā)送給配置服務器2���。
基于身份的標識算法的非限定性示例將在以下參考圖3和4來描述���。此類算 法的特性在于它們計及取決于與要標識的實體相關的標識符的公鑰。它們還計及也 取決于所述標識符的相關密鑰���,因為密鑰是通過使用陷門函數(shù)從公鑰導出的�����。
在標識步驟5的起始�����,節(jié)點l將其標識符id (或h(id))發(fā)送給配置服務器2�����。 配置服務器2隨后認證節(jié)點1是否確實為帶有所述標識符id的節(jié)點��。
當配置服務器2已成功標識節(jié)點1時��,其能夠根據(jù)標識符id (或h(id))檢索 數(shù)據(jù)庫2a中的對應配置參數(shù)集CP��。其隨后可將CP傳送給節(jié)點1 (步驟6)���。如 以上所提及的,標識符id可包括諸如節(jié)點的IP地址之類的路由地址���,后者允許 CP從配置服務器2發(fā)送給節(jié)點1�。以此方式,節(jié)點1最終保持所需配置參數(shù)�����,其 使得節(jié)點1能夠與其他節(jié)點恰當?shù)赝ㄐ拧?br>
配置參數(shù)CP從配置服務器2到節(jié)點1的傳輸可以用明文或加密方式來實現(xiàn)��。 加密可以用不同方式來執(zhí)行�。第一種可能性是如公知地在配置服務器2與節(jié)點1 之間建立安全隧道。第二種可能性是使用基于身份的加密算法�,諸如在文章"An Identity Based Encryption Scheme Based on Quadratic Residues (基于二次乘!j余的基于 身份的加密方案)",密碼術和編碼����,第8次IMA國際會議,2001年�,第360-363 頁中描述的Cocks的算法、或"根據(jù)Wdl配對的基于身份的加密"����,密碼學的進 步一密碼學學報2001 (2001)的Boneh-Franklin的算法。
當使用基于身份的加密算法時���,配置服務器2使用可能與用于標識節(jié)點1的 公鑰不同的公鑰來加密CP的傳輸�。典型地�����,此第二公鑰可使用與h不同的散列函 數(shù)h'。第二公鑰也可以補充于或代替與節(jié)點1相關的標識符id而取決于配置服務 器2的標識符����。在這種情形中,節(jié)點1最初還應保持第二密鑰以解密從配置服務器 2接收到的消息�。
應注意,使用基于身份的標識算法來標識節(jié)點確實是有利的���,因為一些節(jié)點 可能具有非常低的功率/存儲器,這可能阻止這些節(jié)點嵌入傳統(tǒng)上用于標識或認證
目的的較重的乂.509證書����。還避免了較重的PKI (公鑰基礎設施)基礎設施。而且���,
節(jié)點于配置服務器之間的交換非常少并由此與低帶寬系統(tǒng)兼容��。
圖3示出節(jié)點1的配置����,其包括使用在"Identity-based cryptosystems and signature schemes(基于身份的加密系統(tǒng)和簽名方案)"�����,密碼學學報84, LNCS 196���, 第47-53頁���,Springer-Verlag, 1984中描述的Shamir的算法的基于身份的標識�����。
在本示例中����,節(jié)點1的公鑰包括標識符id。有利地�����,公鑰還可以納入其他信息����,諸如配置節(jié)點1的有效期,在這種情形中,配置參數(shù)可以僅在當前日期不晚于
此有效期的情況下才發(fā)送給節(jié)點1�。此公鑰是由節(jié)點1發(fā)送給配置服務器2的id。 而且�,節(jié)點1已被提供Ks氣id)d [n]作為密鑰,其中[.]表示模運算���,n-p.q�, p
和q是兩個大質數(shù)以及d是整數(shù)�����,以使得ed-l[(p-l)(q-l)]為另一個整數(shù)���。e和
n是公開的���,而p和q不是(即���,n的因式分解不公開)�����。
節(jié)點1生成隨機數(shù)r并計算t=re [n]和S=Ks.rf(t���,m) [n],其中f是可能為以上提及
的函數(shù)h的單向函數(shù)���,例如諸如SHA-1或MD5之類的散列函數(shù),以及m是已知
消息�。有利地,m可以被設為id��。節(jié)點1隨后將t和s發(fā)送給配置服務器2 (步驟
7和8)�����。
配置服務器2計算se=(Ks)e.re'f(t���,m) [n]并檢查其是否等于id.tf(t��,m) [n]�。如果檢查 是肯定性的���,則配置服務器2推斷節(jié)點1確實是與標識符id相關的節(jié)點���,這意味 著節(jié)點1已被成功標識。配置服務器2隨后可檢索對應于此id的配置參數(shù)CP并將 其返回給節(jié)點l (步驟9)�。
圖4示出節(jié)點1的配置的另一個示例,包括使用1984年在EuroCrypt 84發(fā)表 的"A secure protocol for the oblivious transfer (用于不經(jīng)意傳輸?shù)陌踩珔f(xié)議)"中 描述的Fischer-Micali-Rackoff的算法的基于身份的標識。
節(jié)點1保持h(id)作為公鑰并將其(或id)發(fā)送給配置服務器2����。與在先前示
例中相同,公鑰還可以納入其他信息���,諸如用于配置節(jié)點1的有效期���。
節(jié)點1還保持Ks :VRi^[n]作為密鑰,其中n=p.q�����, p和q是兩個秘密大質數(shù)�。
盡管h(id)的公開的,但第三方不能輕易獲得Ks����,因為平方根的計算需要知道n的
因式分解(中國剩余定理)。
節(jié)點1選取隨機數(shù)r��,計算x^2 [n]并將x發(fā)送給配置服務器2 (步驟11)�����。 配置服務器2向節(jié)點1返回質詢"0"或"1"(步驟12)�。
如果節(jié)點1接收到"0",則節(jié)點1將r發(fā)送給配置服務器2 (步驟13)�。在 這種情形中,配置服務器2計算r2并檢査其是否等于x [n](步驟14)��。
如果節(jié)點1接收到"1"�,則節(jié)點1將ys.Ks發(fā)送給配置服務器2 (步驟15)。 在這種情形中���,配置服務器2計算yZ并檢查其是否等于x.h(id)[n](步驟16)�,這 可能是因為公鑰h(id)是配置服務器2已知的�。如果檢查是肯定性的,則意味著節(jié) 點1已被成功標識�����,配置服務器2檢索對應于id的配置參數(shù)CP并將其返回給節(jié)點 1�����。
配置服務器2在將相關參數(shù)CP傳送給1之前可以有利地將包括相繼質詢"0"或"1"的序列(例如���, 一個"0"以及然后一個"1")傳送給節(jié)點1�。
在本發(fā)明的應用的非限定性示例中,將被配置的節(jié)點可以是家庭網(wǎng)關
(HGW) �����。 HGW提供與蜂窩基礎設施類似的無線電接口并與蜂窩網(wǎng)絡接口 �。 HGW 的覆蓋可被認為是它被完全集成到的網(wǎng)絡的蜂窩小區(qū)。對于這樣的節(jié)點����,將由配置 服務器提供的配置參數(shù)可包括無線電網(wǎng)絡控制器地址、加擾碼����、定位區(qū)域碼、路由 區(qū)域碼����、參考宏蜂窩小區(qū)身份等。
當然�����,本發(fā)明也可應用于各種其他類型的節(jié)點�。
權利要求
1.一種用于配置節(jié)點的方法,所述節(jié)點保持取決于與所述節(jié)點相關的標識符的公鑰�、相關密鑰以及為相應節(jié)點存儲配置參數(shù)集的配置服務器的地址,所述方法包括在所述配置服務器上實現(xiàn)的以下步驟-通過使用計及所述公鑰和密鑰的基于身份的標識算法來標識所述節(jié)點���;以及-當所述節(jié)點已被成功標識時��,檢索為所述節(jié)點存儲的所述配置參數(shù)集并將所述配置參數(shù)集傳送給所述節(jié)點�。
2. 如權利要求1所述的方法����,其特征在于,所述節(jié)點在其被所述配置服務器 標識之前不保持除所述公鑰�����、所述密鑰以及所述配置服務器的所述地址之外的其他 參數(shù)�����。
3. 如權利要求1所述的方法��,其特征在于����,所述公鑰包括所述標識符的單向 函數(shù),諸如所述標識符的散列函數(shù)�。
4. 如權利要求l所述的方法�,其特征在于����,所述密鑰由知道所述標識符的密 鑰發(fā)生器提供給所述節(jié)點。
5. 如權利要求1所述的方法�,其特征在于,將所述配置參數(shù)集傳送給所述節(jié) 點是以加密方式實現(xiàn)的�����。
6. 如權利要求5所述的方法�����,其特征在于�����,所述加密方式使用基于身份的加 密算法�����。
7. —種節(jié)點����,所述節(jié)點保持取決于與所述節(jié)點相關的標識符的公鑰��、相關密 鑰以及為相應節(jié)點存儲配置參數(shù)集的配置服務器的地址���,所述節(jié)點包括-用于由所述配置服務器通過使用計及所述公鑰和密鑰的基于身份的標識算 法來標識的裝置��;以及-用于在所述節(jié)點已被成功標識時接收來自所述配置服務器的配置參數(shù)集的 裝置�����。
8. 如權利要求7所述的節(jié)點���,其特征在于����,所述節(jié)點在其被所述配置服務器 標識之前不保持除所述公鑰��、所述密鑰以及所述配置服務器的所述地址之外的其他參數(shù)���。
9. 如權利要求7所述的節(jié)點����,其特征在于���,所述公鑰包括所述標識符的單向 函數(shù)���,諸如所述標識符的散列函數(shù)�����。
10. 如權利要求7所述的節(jié)點���,其特征在于,還包括用于接收來自知道所述標 識符的密鑰發(fā)生器的所述密鑰的裝置���。
11. 如權利要求7所述的節(jié)點�,其特征在于��,所述接收裝置接收到的所述配置 參數(shù)集是加密的��,所述節(jié)點進一步包括用于解密所述經(jīng)解密的配置參數(shù)集的裝置�。
12. 如權利要求11所述的節(jié)點,其特征在于��,所述用于解密所述經(jīng)解密的配 置參數(shù)集的裝置使用基于身份的解密算法���。
13. 如權利要求7所述的節(jié)點��,其特征在于��,所述節(jié)點是環(huán)境網(wǎng)絡的一部分��。
14. 如權利要求7所述的節(jié)點����,其特征在于���,所述節(jié)點是家庭網(wǎng)關����。
15. —種為相應節(jié)點存儲配置參數(shù)集的配置服務器�����,每一節(jié)點保持取決于與所 述節(jié)點相關的相應標識符的相應公鑰�����、相應相關密鑰以及所述配置服務器的地址�, 所述配置服務器關于所述節(jié)點中的任一個包括-用于通過使用計及與所述節(jié)點相關的所述公鑰和密鑰的基于身份的標識算 法來標識所述節(jié)點的裝置;以及-用于在用于標識的裝置已成功標識所述節(jié)點時檢索為所述節(jié)點存儲的所述 配置參數(shù)集的裝置以及將所述配置參數(shù)集傳送給所述節(jié)點的裝置。
16. 如權利要求15所述的配置服務器���,其特征在于����,與所述節(jié)點相關的所述 公鑰包括所述標識符的單向函數(shù)���,諸如所述標識符的散列函數(shù)��。
17. 如權利要求15所述的配置服務器���,其特征在于,所述用于傳送的裝置被 安排成以加密方式將所述配置參數(shù)集傳送給所述節(jié)點��。
18. 如權利要求17所述的配置服務器��,其特征在于����,所述加密方式使用基于 身份的加密算法。
全文摘要
一種用于配置節(jié)點的方法���,所述節(jié)點保持取決于與所述節(jié)點相關的標識符的公鑰��、相關密鑰以及為相應節(jié)點存儲配置參數(shù)集的配置服務器的地址���,所述方法包括在該配置服務器上實現(xiàn)的以下步驟-通過使用計及所述公鑰和密鑰的基于身份的標識算法來標識所述節(jié)點��;以及-當所述節(jié)點已被成功標識時�,檢索為所述節(jié)點存儲的所述配置參數(shù)集并將所述配置參數(shù)集傳送給所述節(jié)點����。
文檔編號H04L12/24GK101563888SQ200780038950
公開日2009年10月21日 申請日期2007年10月17日 優(yōu)先權日2006年10月18日
發(fā)明者T·盧西達米 申請人:諾泰網(wǎng)絡有限公司