專利名稱:用于授權的分布式協(xié)議的制作方法
技術領域:
本發(fā)明涉及用于授權的分布式協(xié)議��,尤其涉及用于無線通信網絡(諸如���,超帶寬 通信網絡)中的對等(peer-to-peer)授權的遞歸分布式協(xié)議��。
背景技術:
超寬帶(ultra-wideband)是在非常寬的頻率范圍(3. 1至10. 6GHz)內傳輸數(shù)字 數(shù)據(jù)的無線電技術����。通過在大帶寬上散布RF能量��,所傳輸?shù)男盘枌嶋H上不能被傳統(tǒng)的頻率 選擇RF技術檢測到。然而�,低傳輸功率將通信距離限制為通常小于10至15米。對于UWB存在兩種方法時域方法����,其根據(jù)具有UWB性能的脈沖波形構建信號; 以及頻域調制方法�,在多(頻)帶上使用傳統(tǒng)的基于FFT的正交頻分復用(OFDM),稱為 MB-0FDM����。這兩種UWB方法導致覆蓋頻譜內的非常寬帶寬的頻譜成分,因此稱為術語超寬 帶��,從而帶寬占用百分之二十以上的中心頻率��,通常為至少500MHz��。超寬帶的這些性能(與非常寬帶寬結合)意味著UWB是用于在家庭或辦公室環(huán)境 中提供高速無線通信的理想技術����,從而正在通信的設備在另一設備的10至15m的范圍內。圖1示出了用于超寬帶通信的多帶正交頻分復用(MB-OFDM)系統(tǒng)中的頻帶布置����。 MB-OFDM系統(tǒng)包括每個均為528MHz的14個子帶�,并且在子帶之間使用每312. 5ns的跳頻作 為接入方法�����。在每個子帶內��,采用OFDM和QPSK或DCM編碼來傳輸數(shù)據(jù)����。注意,5GHz周圍的 子帶(目前為5. 1-5. 8GHz)被保留為空值��,以避免與現(xiàn)有窄帶系統(tǒng)(例如�����,802. IlaWLAN系 統(tǒng)����,安全機構通信系統(tǒng)或航空工業(yè))的干擾��。14個子帶被組織成五個帶組�,四個帶組具有三個528MHz的子帶,一個帶組具有兩 個528MHz的子帶�����。如圖1所示,第一帶組包括子帶1�����、子帶2和子帶3��。典型UWB系統(tǒng)將在 帶組的子帶之間采用跳頻����,使得第一數(shù)據(jù)符號在帶組的第一頻率子帶內在第一 312. 5ns持 續(xù)時間間隔內被傳輸,第二數(shù)據(jù)符號在帶組的第二頻率子帶內在第二 312. 5ns持續(xù)時間間 隔內被傳輸�,以及第三數(shù)據(jù)符號在帶組的第三頻率子帶內在第三312. 5ns持續(xù)時間內被傳 輸。從而����,在每個時間間隔期間,數(shù)據(jù)符號在具有528MHz帶寬的各自子帶內被傳輸���,例如�����, 具有以3960MHz為中心的528MHz基帶信號的子帶2�����。發(fā)送每個數(shù)據(jù)符號的三個頻率序列表示時頻碼(TFC)信道����。第一 TFC信道可以遵 循序列1、2�、3、1�����、2��、3,其中,1為第一子帶���,2為第二子帶,以及3為第三子帶。第二和第三 TFC信道可以分別遵循序列1���、3��、2、1�、3、2和1�、1、2�����、2����、3、3�。根據(jù)ECMA-368規(guī)格,七個TFC 信道被限定用于前四個帶組中的每一個���,兩個TFC信道被限定用于第五個帶組�����。超帶寬的技術性能意味著其被部署用于數(shù)據(jù)通信領域內的應用����。例如����,存在集中 于以下環(huán)境中的電纜替換的多種應用-PC和外圍設備之間的通信�����,S卩��,諸如硬盤驅動器�、⑶刻錄器�、打印機、掃描儀等的外圍設備�。-家庭娛樂,諸如電視和通過無線裝置�、無線揚聲器等連接的設備。-手持設備和PC之間的通信�����,例如移動電話和PDA����、數(shù)字相機和MP3播放器等。
在諸如UWB網絡的無線網絡中�,一個或多個設備在信標(beacon)周期期間傳輸信 標幀。信標幀的主要目的在于提供關于媒體的定時結構��,即�,將時間劃分為所謂的超幀,并 且允許網絡設備與它們的相鄰設備同步�����。UffB系統(tǒng)的基本定時結構為如圖2所示的超幀�����。根據(jù)歐洲計算機制造商協(xié)會標準 (ECMA)的超幀(ECMA-3682nd版本)由256個媒體接入時隙(MAS)構成����,其中,每個MAS都 具有限定的持續(xù)時間(例如256 μ S)����。每個超幀都以信標周期開始,其持續(xù)一個或多個連續(xù) MAS�。形成信標周期的每個MAS都包括三個信標時隙,設備在信標時隙中傳輸它們各自的信 標幀�����。信標周期中的第一 MAS的開始已知為信標周期開始時間(BPST)����。用于特定設備的信 標組被限定為具有與特定設備共享的信標周期開始時間(士 IP s)的設備組���,并且其在特 定設備的傳輸范圍內。諸如上述UWB系統(tǒng)的無線系統(tǒng)越來越多地用在自組(ad-hoc)對等配置中�����。這意 味著網絡在不具有中心控制或組織的情況下也存在����,每個設備都潛在地與范圍內的所有其 他設備進行通信。這種方法具有多種優(yōu)點����,諸如自發(fā)和靈活的交互。然而�,這種靈活配置還 帶來了需要解決的其他問題。與傳統(tǒng)學術�����、商業(yè)和工業(yè)聯(lián)網方案相比����,更小規(guī)模的網絡很可能逐漸成長起來��,并 且通常包括訪問來自朋友或商業(yè)往來的設備�����。該計劃外方式不能很好地迎合傳統(tǒng)網絡安全 規(guī)范。計劃外網絡中的一個密鑰安全問題是授權��。授權是做出允許或不允許對網絡����、設 備或業(yè)務進行訪問的處理的決定。傳統(tǒng)上�����,該決定集中被處理或實現(xiàn)��,以及AAA(認證�����、授 權��、記賬)服務器做出決定或提供必須這樣做的所有信息����。在自發(fā)生長的網絡中��,或在設備 存在為高度動態(tài)的網絡中�����,該是不合適的�����。這是因為沒有設備能夠被必然依賴以用作該服 務器�����,并且它不可能具有使用所必須的所有信息���。由 Clifford Neuman 和 Theodore Kerberos 于 1994 年 9 月發(fā)表的名為 "AnAuthentication Service for Computer Networks", IEEE fflff,32(9)pp33-38 Wi^ ; 描述了認證協(xié)議����,其在版本5中還可以被用于授權。這允許多個業(yè)務提供設備與單個被信 任認證服務器接觸�����,以確定是否允許對業(yè)務的訪問。然而�����,協(xié)議要求單個被信任中心服務 器����,因此不滿足上述自組網絡的需要���。從而��,本發(fā)明的目標是提供一種可以被用于自組網絡中的授權方法和裝置���。
發(fā)明內容
根據(jù)本發(fā)明的第一方面,提供了一種在無線通信網絡中的第一設備和第二設備之 間執(zhí)行授權的方法���。該方法包括以下步驟將授權請求從第一設備發(fā)送至第二設備�����;將查 詢消息從第二設備發(fā)送到至少一個第三設備����;將響應消息從至少一個第三設備返回給第二 設備;其中����,響應消息包括授權數(shù)據(jù),在第二設備確定是否授權第一設備時使用授權數(shù)據(jù)�����。在權利要求中限定的本發(fā)明采用新的分散式分布方法以解決授權問題�����。詳細的授 權信息可以從整個可到達網絡獲得����,由控制對網絡、設備或業(yè)務進行訪問的設備集中�。然 后,該信息被訪問控制設備使用以做出明智的授權決定�。本發(fā)明還具有提供一次使新的無線設備成對,然后使用分布式授權建立與網絡中 的任何其他設備的安全關聯(lián)的能力的優(yōu)點�����。
根據(jù)本發(fā)明的又一方面,提供了一種無線網絡���,包括第一設備�,用于將授權請求發(fā)送至第二設備����;第二設備,用于將查詢消息發(fā)送到至少一個第三設備�;其中,第二設備還 用于確定是否響應于接收到查詢消息使用由一個或多個第三設備中發(fā)送至第二設備的授 權數(shù)據(jù)來授權第一設備�����。根據(jù)本發(fā)明的又一方面���,提供了一種用在無線網絡中的設備,該設備用于響應于 接收到來自還未被授權的在網絡中使用的未授權設備的授權請求��,將查詢消息發(fā)送至網絡 中的至少一個其他設備�;以及使用從至少一個其他設備中的一個或多個接收的授權數(shù)據(jù)來 確定是否授權未授權設備。
為了更好地理解本發(fā)明并且更清楚地示出如何使其作用�����,現(xiàn)在僅通過實例對以下 附圖做出參考,其中圖1示出了在用于超寬帶通信的多帶正交頻分復用(MB-OFDM)系統(tǒng)中的頻帶的布 置����;圖2示出了 UWB系統(tǒng)中的超幀的基本定時結構;圖3示出了根據(jù)本發(fā)明實施例的分布式授權協(xié)議���。
具體實施例方式本發(fā)明將關于UWB無線網絡進行描述����。然而�����,應該想到�����,本發(fā)明同樣可應用于執(zhí)行 分布式授權的任何無線網絡�。圖3示出了具有多個無線設備30的無線網絡10。為了說明目的��,在該實例中���,無 線設備30由它們的用戶名識別����。例如,圖3中的無線網絡10具有標記為Alice�����、Carol, Bob�����、Dave, Eve����、Dan、Dick和Doug的無線設備30����。如以下所描述的,用于執(zhí)行分布式授權 的協(xié)議包括多個階段�,這些階段中的一些又具有多個步驟�。在圖3的實例中,用于執(zhí)行分布式授權的方法包括五個主要步驟����,步驟2和步驟3 具有多個消息�。在步驟1中�����,例如Alice的未授權用戶請求對由業(yè)務提供設備(例如Carol)控制 的網絡�����、設備或業(yè)務進行訪問����。通過發(fā)送請求消息1請求訪問。在以下描述中�����,未授權設備 Alice還被稱為“第一設備”�,而業(yè)務提供設備Carol還被稱為“第二設備”。在步驟2中�����, Carol將查詢消息2發(fā)送至其一個或多個邏輯對等體����,在這種情況下為Eve���、Dave和Bob (為 Carol的鄰近設備)。查詢消息2包括未授權用戶(即�,Alice)的標識。在圖3的實施例提供的實例中��,Carol將查詢消息2發(fā)送至每個對等設備Eve�、 Dave和Bob,它們在下文中還被稱為“第三設備”�����。第二設備Carol可以在查詢消息中設置 關于查詢消息2應該被對等設備Eve�、Dave和Bob轉發(fā)到它們各自鄰近的對等設備的次數(shù) 或“跳數(shù)”的計數(shù)值“N”。換句話說��,計數(shù)值N確定查詢消息2在從一個對等設備到“更低 級”對等設備(即�,根據(jù)其在鏈中的位置)的特定鏈(例如,從Dave到Dan���,從Dan到Dan 的對等設備(未示出)等)上被轉發(fā)的次數(shù)��。從而,計數(shù)值確定查詢消息通過自組網絡傳 送的“深度”來試圖對業(yè)務請求設備進行授權�。當接收查詢消息2時�����,對等設備(例如�����,Eve���、Dave或Bob)對查詢消息2進行響應它是否具有做出關于第一設備(即,Alice)的斷言(assertion)��。另外��,如果所接收的計數(shù) 值為合適的值���,則對等設備將查詢消息2轉發(fā)至其各自的對等體�。例如����,如果計數(shù)值為零, 則對等設備不將查詢消息2轉發(fā)至任何其對等體�����。如果計數(shù)值等于或大于1,則對等設備遞 減計數(shù)值�,并將查詢消息2 (附著或包括有遞減的計數(shù)值)轉發(fā)至其一個或多個對等設備。 應該想到���,關于是否將查詢消息2轉發(fā)至更低等級對等設備的決定可以根據(jù)其他計數(shù)值做 出��,即��,不同于上述“零”決定����。
注意�,計數(shù)值N可以被預先設置用于特定系統(tǒng)或網絡?����?蛇x地�����,計數(shù)值N可根據(jù)做 出對業(yè)務的特定請求的設備類型來設定�����。應該想到�����,本發(fā)明還包括用于設定計數(shù)值N的其 他準則����。在圖3中,僅簡單示出了用于無線設備Dave的對等設備�����,但是應該想到���,無線設備 Eve和Bob還可能具有各自的對等設備�。在以下描述中�����,對等設備(諸如Dan)����,即,第三設 備的對等設備還被稱為“第四”設備?�?身憫谒D發(fā)的查詢消息2的對等設備(S卩��,它們具有做出關于第一設備Alice 的斷言)通過網絡上的相同路徑發(fā)送回它們的響應消息3���。為了簡單��,在圖3中���,示出了無 線設備Dan發(fā)送響應消息3 (ResponseDAN)到Carol。響應消息ResponseDAN經由對等設備 Dave被轉發(fā)至Carol�����。應該想到�,如果具有關于第一設備Alice的斷言,則例如Bob�����、Eve��、 Dick或Doug的其他設備還可以發(fā)送它們各自的響應消息����。用于傳輸查詢消息2和響應消息3的每條鏈路優(yōu)選是安全的�����,例如�����,在無線設備之 間的數(shù)據(jù)傳輸中使用數(shù)據(jù)加密。從而�,在被轉發(fā)時,路徑上的每個對等設備優(yōu)選地對查詢消 息2進行加密和解密���。同時���,與對等設備(為其轉發(fā)查詢消息)的關系包括在消息的“設備 證明”部分中。例如�,響應于從無線設備Carol接收到查詢消息2,無線設備Dave對查詢消 息2進行解密�����,將Dave和Carol之間的關系包括在查詢消息2的設備鑒證明部分中�����,并在 將查詢消息2轉發(fā)至其對等設備Dan、Dick和Doug之前對查詢消息2進行加密��。根據(jù)本發(fā)明的又一方面����,除了對等設備發(fā)送響應消息3到Carol或朝Carol發(fā) 送之外,對等設備還可以發(fā)送“通知消息”4到做出對授權的原始請求的未授權設備(即�, Alice)。為了簡單�,在圖3中,無線設備Dan被示出發(fā)送通知消息4到Alice�����。然而���,應該想 至IJ����,將響應消息3發(fā)送至Carol的其他設備還可以發(fā)送通知消息4到Alice�����。通知消息4可以包括由未授權設備(即,第一設備)Alice利用Carol進行認證使 用的認證數(shù)據(jù)�����。關于根據(jù)本發(fā)明這方面的進一步詳情可以在本發(fā)明的申請人做出的名為 "Authentication Method and Framework" (UWB0031)的共同未決申請中找到��。根據(jù)本發(fā) 明的這一方面����,認證設備Carol能夠將從Alice接收到的認證數(shù)據(jù)(其在通知消息4中從 Dan接收到)與在響應消息3中從Dan接收到的認證數(shù)據(jù)進行比較。這允許授權和認證的 結合在一個協(xié)議流中執(zhí)行�����。在授權協(xié)議中來自對等設備的響應消息3(即�����,來自第三設備���、第四設備等中的任 何一個)包括關于未授權設備(即,第一設備Alice)的零個或更多個二進制斷言��。與這些 預定斷言中的每一個均相關聯(lián)的是第一和第二信任分數(shù)值����,其可以被業(yè)務提供設備(即����, 第二設備Carol)使用以計算響應的總分數(shù)���。下表示出了斷言和它們的相應第一和第二信任值的實例����。T(真)Γη¥) C 共有 3 O P 成對 2 O T 已經使用該業(yè)務 2 O A 已經使用一個業(yè)務~~I O S 不應該被信任 ~ I在以上實例中�,斷言類型“C”表示未授權設備是否為共有設備,S卩����,第一設備和做 出該斷言的對等設備具有共同的擁有人,如果是這樣的�����,則該斷言被分配為3的第一信任 值(真)����,如果不是這樣,則該斷言被分配為0的第二信任值(假)��。斷言類型“P”表示第一設備是否與做出該斷言的對等設備成對,如果是這樣�����,則被 分配為2的第一信任值(真)����,如果不是這樣,則被分配為0的第二信任值(假)����。斷言類型“T”表示對等設備是否知道第一設備先前已經使用了該業(yè)務,如果是這 樣�����,則被分配為2的第一信任值(真)����,如果不是這樣��,則被分配為0的第二信任值(假)���。 例如����,如果在Alice和Dan之間先前已經使用了由Alice從Carol請求的業(yè)務,則第一設備 被認為“已經使用了該業(yè)務”���。斷言類型“A”表示對等設備是否知道第一設備已經使用了一個業(yè)務�����,如果是這樣��, 則被分配為1的第一信任值(真)����,如果不是�����,則被分配為0的第二信任值(假)��。例如���,如 果對等設備Dan先前已經提供了一些形式的業(yè)務給Alice��,但不同于Alice當前從Carol請 求的業(yè)務�����,則第一設備被認為“已經使用了一個業(yè)務”��。
斷言類型“S”表示對等設備是否認為第一設備應該被信任�����,如果是這種情況�,它被 分配-1的第一信任值(真),如果不是這種情況����,則被分配為1的第二信任值(假)。這些斷言可以以預定方式由第二設備(即����,Carol)結合,以給出每個相應的信任 分數(shù)���。例如,對于前四個斷言C��、P�、T和A的信任分數(shù)可以被結合到一起�����,并且總分乘以最后 的斷言S的信任分數(shù)�。這產生了正或負分數(shù)����,并且相對于信任量的權重由相應的對等設備 分給未授權設備。例如���,注意�����,結合信任分數(shù)值的步驟可包括將用于多種斷言類型的信任分 數(shù)值加在一起的步驟����??蛇x地,結合信任分數(shù)值的步驟可包括乘以用于多種斷言類型的信 任分數(shù)值的步驟����。應該想到,本發(fā)明可利用任何數(shù)量的預定斷言,具有不同的斷言類型設置���,以及具 有不同權重值(即�,信任分數(shù)值����,如上表所示的那些)。而且����,本發(fā)明意在包括基于從對等設 備接收的數(shù)據(jù)確定信任分數(shù)的其他方法。根據(jù)一個實施例����,業(yè)務提供設備Carol可基于僅從一個對等設備接收到的數(shù)據(jù)中 獲得的僅一個信任分數(shù)來做出授權決定。例如��,如果從對等設備Dave發(fā)送的響應消息3 顯示未授權設備Alice由對等設備Dave共有(S卩�,斷言類型“C”具有為3的第一信任值 (真)),然后這可以足夠使設備Carol做出有效授權決定���。
根據(jù)可選實施例�����,為了做出決定���,業(yè)務提供設備Carol可以要求兩個或更多信任 分數(shù)。換句話說����,在最終授權決定做出之前,可由業(yè)務提供設備Carol接收這些推薦信任分 數(shù)中的多個��,并且用于將它們適當結合的方法被作為本發(fā)明的一部分進行描述��。包括在轉發(fā)的響應消息3中或從鏈路層收集的設備元數(shù)據(jù)被用于確定每種推薦 (recommendation)被信任的程度���。然后���,它們可根據(jù)公式被加權,并且求和以在任何給定時 間給出總分��。所得到的分數(shù)可以與業(yè)務提供設備Carol要求的一些閾值或目標分數(shù)進行比較�����, 在接收到一些或所有響應之后��,如果所得到的分數(shù)滿足或超過目標分數(shù),則可以對未授權 設備進行授權���,并提供業(yè)務�。注意���,閾值等級或目標分數(shù)可根據(jù)接收或可以接收多少響應消 息來選擇性地改變����。例如�,當基于來自僅一個對等設備的響應消息做出授權決定時,可以使 用第一閾值等級�,而當基于從兩個或多個對等設備接收的響應消息做出授權決定時,可以 使用第二閾值等級����。此外,如上所述���,作為協(xié)議的一部分���,業(yè)務提供設備還可以已經從業(yè)務請求設備接 收了一個或多個認證消息,其還可被用于在兩個設備之間建立安全配對���。應該想到��,上述本發(fā)明包括用于從網絡中存在的設備恢復授權信息的協(xié)議�����;授 權信息本體��,以確保設備可以了解彼此的信息��;以及基于分數(shù)做出決定的處理��,以處理該信 肩�����、ο分布式授權可以被用于多個目的�。一種傳統(tǒng)使用是用于控制對業(yè)務的訪問��,諸如 打印機共享或文件傳送���。另一個是更換進行網絡訪問的正常密碼或共享密鑰方法����。本發(fā)明 在緩慢成長的網絡中也是非常有用的,這是由于它提供使用授權協(xié)議以允許設備在不要求 任何手動認證過程的情況下執(zhí)行安全配對�。本發(fā)明允許任何業(yè)務提供設備收集來自其網絡對等體的詳細信息,然后其可被用 于做出復雜的授權決定����。這一切都可以使在沒有直接用戶交互和非專用認證服務器的情況 下實現(xiàn)。用于恢復授權信息的協(xié)議能夠進行多等級查詢��,這允許松散連接的網格網絡中的 業(yè)務提供設備查詢多于僅其直接對等體���。為了避免過多的網絡利用���,查詢應該被轉發(fā)到的 等級是可控制的。換句話說�����,控制授權的設備(即����,Carol)將保存計數(shù)值,其表示查詢消息 應該被轉發(fā)的等級��。由于協(xié)議可以執(zhí)行認證以及授權�,所以本發(fā)明具有不要求任何中心認證服務器的 優(yōu)點����。另外����,授權決定由于從網絡設備恢復的額外信息而更加有效。授權基于從其他設備 的過去經歷獲得的信任等級���,而不是預定的和任意特權。這能夠獲得授權的新方法�����,其將更加精確地估計用于認可的設備��,并且在不需要 明確用戶干涉來更新特權表情況下動態(tài)地適應濫用����。新的設備可以一次成對,然后使用本發(fā)明更多地收集與其他聯(lián)網設備的更多安全 關聯(lián)����。這要求極大地減少來自設備擁有者的影響。從而��,本發(fā)明要求最少的設定和用戶交 互,這樣做是確保網絡���、設備和業(yè)務安全的高效使用方法�����。本發(fā)明還能夠進行具有對自組網 絡條件的復雜授權要求的安全業(yè)務����,諸如商務會議和商談�����。雖然描述了優(yōu)選實施例對于每種斷言類型具有第一和第二信任分數(shù)值���,但應該想 至IJ�,一個或多個斷言類型可以僅具有一個信任分數(shù)值��。
應該注意��,上述實施例示出了而不限制本發(fā)明����,并且本領域技術人員將能夠在不脫離所附權利要求的范圍的情況下設計多種可選實施例����。詞“包括”不排除除權利要求中 所列的那些之外出現(xiàn)的元件或步驟����,“一”或“一個”不排除多個,并且單個處理器或其他單 元可以實現(xiàn)權利要求中所述的多個單元的功能�。權利要求中的任何參考標記將不構成對其 范圍的限制。
權利要求
一種用于在無線通信網絡中的第一設備和第二設備之間執(zhí)行授權的方法����,所述方法包括以下步驟將授權請求從所述第一設備發(fā)送至所述第二設備����;將查詢消息從所述第二設備發(fā)送到至少一個第三設備;將響應消息從所述至少一個第三設備返回給所述第二設備�;其中,所述響應消息包括授權數(shù)據(jù)�,所述授權數(shù)據(jù)被所述第二設備用于確定是否授權所述第一設備。
2.根據(jù)權利要求1所述的方法���,還包括以下步驟 將查詢消息從第三設備轉發(fā)至第四設備�����; 將響應消息從所述第四設備返回給所述第二設備�;其中,來自所述第四設備的響應消息包括授權數(shù)據(jù)��,所述授權數(shù)據(jù)被所述第二設備用 于確定是否授權所述第一設備��。
3.根據(jù)權利要求2所述的方法����,其中,所述響應消息經由所述第三設備從所述第四設 備返回至所述第二設備���。
4.根據(jù)前述權利要求中任一項所述的方法�,其中�,所述授權數(shù)據(jù)包括與所述第一設備 相關的一個或多個預定斷言。
5.根據(jù)權利要求4所述的方法��,其中�,所述預定斷言與一個設備和所述第一設備之間 的歷史數(shù)據(jù)相關。
6.根據(jù)權利要求4或5所述的方法����,其中,所述預定斷言包括至少一個信任值。
7.根據(jù)權利要求4或5所述的方法��,其中��,所述預定斷言包括第一信任值和第二信任值��。
8.根據(jù)權利要求6或7所述的方法�����,還包括以下步驟基于在一個或多個響應消息中接收的一個或多個信任值在所述第二設備中確定信任 分數(shù)����;以及使用所確定的信任分數(shù)在所述第二設備中執(zhí)行授權決定。
9.根據(jù)權利要求8所述的方法�,其中,所述授權決定包括以下步驟將所述信任分數(shù)與 閾值進行比較���,以及如果所述信任分數(shù)高于或等于所述閾值則授權所述第一設備。
10.根據(jù)前述權利要求中任一項所述的方法���,還包括以下步驟將認證數(shù)據(jù)包括在從一個設備發(fā)送至所述第二設備的響應消息中�����; 將相應認證數(shù)據(jù)從所述一個設備發(fā)送至所述第一設備���;以及使用所述認證數(shù)據(jù)在所述第二設備處中在所述第一設備和所述第二設備之間執(zhí)行認證��。
11.根據(jù)前述權利要求中任一項所述的方法�,還包括以安全的方式在設備之間傳輸 消息的步驟�。
12.根據(jù)權利要求11所述的方法,其中����,以安全方式傳輸消息的步驟包括將所傳輸?shù)?數(shù)據(jù)加密以及將所接收的數(shù)據(jù)解密的步驟。
13.根據(jù)前述權利要求中任一項所述的方法��,還包括在查詢消息中提供計數(shù)值的步 驟���,其中��,所述計數(shù)值用于控制是否將查詢消息從特定設備轉發(fā)至另一設備�����。
14.一種無線網絡���,包括第一設備�����,用于將授權請求發(fā)送至第二設備��;所述第二設備�����,用于將查詢消息發(fā)送到至少一個第三設備��;其中���,所述第二設備還用于確定是否響應于接收到所述查詢消息使用由一個或多個所 述第三設備發(fā)送至所述第二設備的授權數(shù)據(jù)來授權所述第一設備。
15.根據(jù)權利要求14所述的無線網絡��,其中����,第三設備用于將從所述第二設備接收到 的查詢消息轉發(fā)至第四設備,并且所述第四設備用于將響應消息返回給所述第二設備���,所 述響應消息包括被所述第二設備用于確定是否授權所述第一設備的授權數(shù)據(jù)。
16.根據(jù)權利要求15所述的無線網絡�����,其中,所述第四設備用于經由所述第三設備將 所述響應消息返回給所述第二設備�。
17.根據(jù)權利要求14至16中任一項所述的無線網絡,其中���,所述授權數(shù)據(jù)包括與所述 第一設備相關的一個或多個預定斷言���。
18.根據(jù)權利要求17所述的無線網絡,其中��,所述預定斷言與一個設備和所述第一設 備之間的歷史數(shù)據(jù)相關���。
19.根據(jù)權利要求17或18所述的無線網絡�,其中����,所述預定斷言包括至少一個信任值。
20.根據(jù)權利要求17或18所述的無線網絡�,其中,所述預定斷言包括第一信任值和第 二信任值�。
21.根據(jù)權利要求19或20所述的無線網絡,其中�����,所述第二設備還用于基于在一個或多個響應消息中接收的一個或多個信任值確定信任分數(shù);以及使用所確定的信任分數(shù)執(zhí)行授權決定�。
22.根據(jù)權利要求21所述的無線網絡,其中����,所述第二設備用于將所確定的信任分數(shù) 與閾值進行比較,并且如果所述信任分數(shù)高于或等于所述閾值則授權所述第一設備�。
23.根據(jù)權利要求14至22中任一項所述的無線網絡,其中�,所述網絡還用于在從一個設備發(fā)送至所述第二設備的響應消息中傳送授權數(shù)據(jù);將相應授權數(shù)據(jù)從所述一個設備發(fā)送至所述第一設備�����;以及在所述第二設備中使用所述授權數(shù)據(jù)�����,以在所述第一設備和所述第二設備之間執(zhí)行授權�����。
24.根據(jù)權利要求14至23中任一項所述的無線網絡�,其中,所述網絡用于以安全方式 在設備之間傳輸消息��。
25.根據(jù)權利要求24所述的無線網絡�,其中,設備用于對所傳輸?shù)臄?shù)據(jù)進行加密以及 對所接收的數(shù)據(jù)進行解密��。
26.根據(jù)權利要求14至26中任一項所述的無線網絡����,其中,設備用于檢驗所接收消息中的計數(shù)值�����;確定所述計數(shù)值是否等于預定值����,如果不等于,則遞減所述計數(shù)值并將所接收的消息 轉發(fā)至所連接的另一設備�。
27.一種在無線網絡中使用的設備,所述設備用于響應于接收來自還未被授權在所述網絡中使用的未授權設備的授權請求�����,將查詢消息 發(fā)送至所述網絡中的至少一個其他設備����;以及確定是否使用從所述至少一個其他設備中的一個或多個接收的授權數(shù)據(jù)來授權所述 未授權設備�����。
全文摘要
執(zhí)行授權的分散分布式方法涉及在例如“Carol”的業(yè)務提供設備中接收授權請求��,然后從網絡中的其他對等設備恢復信用信息��。所收集的信息由設備“Carol”用來做出明智的授權決定����。
文檔編號H04L29/06GK101816201SQ200880109891
公開日2010年8月25日 申請日期2008年10月2日 優(yōu)先權日2007年10月5日
發(fā)明者詹姆斯·歐文, 阿利斯代爾·邁克蒂安米德 申請人:Iti蘇格蘭有限公司