[发明专利]使用组加密密钥的用于大规模可伸缩动态多点虚拟私有网络的系统、装置和方法

说明书

在一个实施例中，集线器逻辑用于：为与多个设备的功能相关联的动态多点虚拟私有网络(DMVPN)组供应多个组私钥，向多个设备提供用于DMVPN组的组公钥，以及向多个设备中的一个设备供应多个组私钥中的每一个组私钥，以使得多个设备的一个或多个子集能够在不与具有集线器逻辑的系统交互的情况下协商业务加密密钥。描述并要求保护了其他实施例。

技术领域

实施例涉及增强网络环境中的安全性。

背景技术

在当前网络环境中创建动态安全网络组在技术上具有挑战性，这是因为专用基础设施通常用于针对多个计算设备支持组成员资格。该专用基础设施为组成员执行密钥管理活动，以便允许他们安全地通信。

建立虚拟私有网络(VPN)的基础设施动态保护隧道的常用方法是经由动态多点VPN(DMVPN)。关于该实施方式的复杂性的一个问题是密钥管理协议，其使用密钥管理服务器作为专用基础设施来处理成员之间的认证密钥以及消息完整性和机密性密钥的分发。该中央密钥管理方法增加了复杂性并暴露了中心故障点。因为动态成员-成员隧道的创建，所以系统实际上包括指数的(O(N²))不同的连接，这可能会不期望地增加复杂性。

附图说明

图1是根据本发明的实施例的网络的框图。

图2是根据本发明的一个实施例的方法的流程图。

图3是根据本发明另一实施例的方法的流程图。

图4是根据本发明又一实施例的方法的流程图。

图5是利用其实施例可以被使用的示例性系统的框图。

图6是根据本发明另一实施例的系统的框图。

图7是根据本发明另一实施例的系统的框图。

具体实施方式

在各种实施例中，可以使用组密钥经由对等模型来实现设备网络内的密钥管理活动，而不是基于多个辐条-集线器(spoke-hub)通信的仲裁密钥管理。更具体而言，组认证密钥管理方案可以用于建立设备组(并且在一些实施例中，由这样的设备内的功能形成的组)，并且提供组密钥材料以使得能够认证组中的成员资格(在许多情况下同时保护个体设备的隐私)。在本文描述的特定实施例中，组密钥可以基于增强型隐私标识符(EPID)系统。以该方式，基于对等的密钥生成模型允许组成员全部使用相同的组公钥来直接验证成员之间的消息认证代码，而无需参考中央实体，例如证书目录/仲裁者。然而，每个组成员拥有唯一的组私钥，以确保每个成员的消息的组不可否认性。

虽然本发明的范围不限于此，但是实施例适用于许多不同类型的计算网络。在一些情况下特别感兴趣的是物联网(IoT)网络，其中，各种不同的计算设备、一些可能最低限度地计算密集设备(例如，传感器和致动器等)在给定网络或其部分中耦合在一起。特别是在这样的IoT设备之间通信的实施例中，组成员资格以及因此认证技术可以至少部分地基于设备类型或类，以便验证器理解配套设备的预期行为。在特定实施例中，设备组可以与设备中的每一个设备可以执行的特定功能相关联。这样，个体IoT设备可以被包括在多个组中，其中，这样的设备包括多个功能，而每个这样的组与这些功能中的不同功能相关联。进一步理解，在其他情况下，设备可以灵活且动态地加入和退出组，并且实施例预期了来自给定组的设备的动态添加/减去以及相关联密钥或其他证书的对应撤销。