1.本发明一般涉及通信网络的信任管理,并且更具体地,涉及基于区块链的用于综合网络的信任管理框架。
背景技术:
2.第5代移动网络和无线系统(简称5g)的时期已经到来。5g即将商用。现在,研究人员和从业者已经开始讨论后5g(beyond 5g)和6g电信技术。2018年12月在芬兰举行了6g峰会,以收集关于6g的基本概念、提案和建议,并撰写成白皮书。6g可以是大规模异构网络(ls-hetnet),其集成空间卫星网络、地面网络、海洋网络等不同类型的网络以合并成大规模的综合网络。这种网络可以真正支持随时随地组网,并高度保证移动用户期望的服务质量。此外,itu-t规定应当提供可信组网,这促使我们寻求支持综合hetnet中的可信组网的信任管理解决方案。
3.ls-hetnet将不同类型的网络合并成一个综合网络系统,以便提供无缝的一个世界网络覆盖。从这个角度来看,hetnet可以涉及最重要的网络,包括互联网、移动蜂窝网络、卫星网络、海洋网络等。与传统的同构网络和其他hetnet不同,ls-hetnet(例如也称为天地海综合网络)具有诸如异构性、分布性、多运营商域、动态拓扑、自组织、开放性、高延迟和可扩展性等特征。这些特定特征给网络管理引入了新的挑战,并在许多方面和不同的层(诸如身份管理、可信网络接入和切换、安全可信路由、认证/授权/计费(aaa)管理、安全数据传输和密钥管理等,尤其是例如端到端安全通信)对安全、隐私和信任造成严重威胁。除此之外,为了保护用户身份隐私、个人信息隐私和通信数据隐私,隐私保护变得至关重要。此外,高度预期可信移动终端支持安全且高效的hetnet通信。然而,目前的文献通常侧重于特定类型的hetnet,诸如无线hetnet、传感器hetnet和蜂窝hetnet,缺乏对通用性和普遍性的支持。现有的解决方案通常采用集中式网络管理框架,以通过依靠一些可信方来实现安全的认证和管理,并因此无法承受单点攻击和内部黑客攻击。它们不能以具有高扩展性的统一方式支持对网络节点信任、用户身份和路由信任的认证。在实践中,这种设计很难得到所有相关网络运营商的支持,并难以在世界范围内被实际部署。后5g的ls-hetnet需要具有通用性、普遍性、可扩展性和可信赖性的去中心化且高效的网络管理。
4.区块链是用于去中心化信任管理的很有前途的技术,它提供通过加密方法确保的透明和一致的数据存储。它具有诸如容错性高、数据一致性和不可否认性、以及信息可追溯性等优点。应用区块链以实现ls-hetnet管理和安全保护正成为有趣且重要的课题,因为它可以简化和统一网络管理及其在aaa、密钥管理、路由和网络功能扩展方面的安全管理,并克服一些潜在的网络攻击。然而,在hetnet(尤其是ls-hetnet)中采用区块链机制仍然面临许多技术挑战和限制。例如,如何设计高效且轻量级的区块链系统来实现hetnet管理和安全保护,如何在属于不同运营商的多个网络域存在时保护用户隐私,如何用区块链支持安全且可信的路由。此外,区块链技术仍处于起步阶段,在应用于hetnet时可能面临新的问题和挑战。
5.因此,提供用于综合网络(诸如ls-hetnet)的信任管理框架会是一种进步。
技术实现要素:
6.为了克服上述问题,并克服在阅读和理解现有技术时显而易见的局限性,本公开提供了一种关于基于区块链的综合网络中的信任管理的方法和装置。这种综合网络也被称为异构网络。
7.根据本公开的一个方面,提供了一种用于综合网络中的信任管理的方法。综合网络包括多个不同的通信网络,并且多个不同的通信网络中的每一个通信网络包括至少一个矿工节点、至少一个认证节点和至少一个网络节点。该方法包括由综合网络中的第一通信网络中的第一矿工节点与综合网络中的至少一个第二通信网络中的矿工节点构成区块链系统。该方法进一步包括由第一矿工节点获取区块链系统的区块链的区块,其中,该区块包括区块链的前一区块的身份、生成该区块的时间戳、包含多个不同的通信网络中的至少一个网络节点中的每一个网络节点的信任值的信任值列表、以及用于评估信任值列表中的信任值的信任相关数据的哈希码。该方法进一步包括在第一通信网络内共享区块。
8.在示例性实施例中,该方法可以进一步包括:将可信执行环境认证为用于区块链系统的信任核心。
9.在示例性实施例中,信任值列表可以包含基于网络节点的假名的网络节点的信任值。该方法可以进一步包括:从第一矿工节点向可信执行环境发送网络节点的一对信任值和第一假名;响应于发送,由第一矿工节点从可信执行环境接收网络节点的一对信任值和第二假名,其中,第二假名是由可信执行环境基于第一假名而验证的网络节点的更新假名;由第一矿工节点生成包括网络节点的一对信任值和第二假名的区块。网络节点的假名可以是网络节点的公钥。
10.在示例性实施例中,区块可以进一步包括多个不同的通信网络中的至少一个网络节点的安全参数。该方法可以进一步包括:由第一矿工节点从第一通信网络中的认证节点接收第一通信网络中的第一网络节点的安全参数;将第一网络节点的安全参数记录到区块链的下一个区块中。该方法可以进一步包括:从区块中提取第二通信网络中的第二网络节点的安全参数;以及将安全参数发送到第一通信网络中的认证节点,以用安全参数验证第二网络节点的证书的有效性。
11.在示例性实施例中,区块可以进一步包括多个不同的通信网络中的至少一个网络节点的公钥。该方法可以进一步包括:由第一矿工节点从第一通信网络中的认证节点接收第一通信网络中的第一网络节点的公私密钥对中的公钥;以及将第一网络节点的公钥记录到下一个区块中。
12.在示例性实施例中,区块可以进一步包括多个不同的通信网络中的至少一个通信网络的系统安全参数和公钥。该方法可以进一步包括:由第一矿工节点从第一通信网络中的认证节点接收第一通信网络的系统安全参数和公私密钥对中的公钥;以及将第一通信网络的系统安全参数和公钥记录到区块链的下一个区块中。
13.在示例性实施例中,至少一个网络节点可以是路由器。路由器的信任值与路由器的路由性能相关联。该方法可以进一步包括:由第一矿工节点接收指示路由器的路由性能的性能信息;基于性能信息,评估路由器的信任值;以及将路由器的信任值记录到区块链的
下一个区块中。
14.在示例性实施例中,区块可以进一步包括指示在生成区块链的前一区块后的跨域访问和使用记录的信息。跨域访问和使用记录可被用于计算跨域通信的成本。
15.在示例性实施例中,区块可以进一步包括记录跨综合网络中的不同网络的通信成本的交易。
16.根据另一方面,提供了一种用于综合网络中的信任管理的方法。综合网络包括多个不同的通信网络,并且多个不同的通信网络中的每一个通信网络包括至少一个矿工节点、至少一个认证节点和至少一个网络节点。该方法包括从第一通信网络中的第一矿工节点获取区块链系统的区块链的区块。在第一矿工节点和综合网络中的至少一个第二通信网络中的矿工节点之间构成区块链系统。区块链的区块包括区块链的前一区块的身份、生成该区块的时间戳、包含多个不同的通信网络中的至少一个网络节点中的每一个网络节点的信任值的信任值列表、以及用于评估信任值列表中的至少一个信任值的信任相关数据的哈希码。该方法进一步包括从区块中提取网络节点的信任值。
17.在示例性实施例中,信任值列表可以包含基于网络节点的假名的网络节点的信任值。该方法可以进一步包括从认证节点向由矿工节点认证的可信执行环境发送网络节点的最新假名和新假名,以用于在下一个区块中更新最新假名。最新假名和新假名由与最新假名对应的私钥来签名,以便由可信执行环境进行验证。网络节点的假名可以是网络节点的公钥。
18.在示例性实施例中,区块可以进一步包括多个不同的通信网络中的至少一个网络节点的安全参数。该方法可以进一步包括:由第一通信网络的认证节点为第一通信网络中的第一网络节点分配证书;以及由认证节点向矿工节点发送验证第一网络节点的证书的安全参数,以使得安全参数被记录在区块链的区块中。该方法可以进一步包括:由认证节点接收第二通信网络中的第二网络节点的证书;从区块中提取第二网络节点的安全参数;以及通过使用第二网络节点的安全参数来验证第二节点的证书。
19.在示例性实施例中,该方法可以进一步包括:从区块中提取第二网络节点的信任值;以及通过使用第二网络节点的信任值来验证第二网络节点的信任。
20.在示例性实施例中,区块可以进一步包括多个不同的通信网络中的至少一个网络节点的公钥。该方法可以进一步包括:从认证节点向矿工节点发送网络节点的公私密钥对中的公钥,以使得网络节点的公钥被记录在区块中。
21.在示例性实施例中,区块可以进一步包括多个不同的通信网络的系统安全参数和公钥。该方法可以进一步包括:由第一通信网络的认证节点生成用于第一通信网络的系统安全参数和公私密钥对;以及从认证节点向矿工节点发送系统安全参数和公私密钥对中的公钥,以使得第一通信网络的系统安全参数和公钥被记录在区块中。该方法可以进一步包括:从认证节点向由矿工节点认证的可信执行环境发送第一通信网络的第一网络节点的经加密的公钥,其中,用用于第一通信网络的公私密钥对中的私钥对第一网络节点的公钥进行加密;由认证节点从可信执行环境接收经加密的会话密钥,以用于保护第一网络节点与综合网络中的至少一个第二通信网络中的至少一个第二网络节点之间的通信,其中,用第一网络节点的公钥对会话密钥进行加密;以及向第一网络节点发送经加密的会话密钥。该方法可以进一步包括从认证节点向可信执行环境发送至少一个第二网络节点的标识。
22.在示例性实施例中,通信可以是在第一网络节点与至少一个第二通信网络中的多个第二网络节点之间。该方法可以进一步包括从认证节点向可信执行环境发送标识多个第二网络节点中的一组的组标识。
23.在示例性实施例中,该方法可以进一步包括:从由矿工节点认证的可信执行环境接收用于提供第一通信网络的第一网络节点的公钥的请求;以及响应于该请求,从认证节点向可信执行环境发送第一网络节点的经加密的公钥。
24.在示例性实施例中,至少一个网络节点可以是路由器。路由器的信任值可以与路由器的路由性能相关联。该方法可以进一步包括:从区块中提取沿着候选路由的至少两个路由器的信任值;以及基于至少两个路由器的信任值来选择路由。选择路由可以包括:基于沿着候选路由的路由器的信任值,计算候选路由的信任值。
25.根据另一方面,提供了一种用于综合网络中的信任管理的方法。综合网络包括多个不同的通信网络,并且多个不同的通信网络中的每一个通信网络包括至少一个矿工节点、至少一个认证节点和至少一个网络节点。该方法包括:使可信执行环境被区块链系统中的一个或多个矿工节点认证,其中,在综合网络中的第一通信网络中的矿工节点和至少一个第二通信网络中的矿工节点之间构成区块链系统。该方法进一步包括由可信执行环境从区块链系统中的矿工节点获取区块链系统的区块链的区块。区块链的区块包括区块链的前一区块的身份、生成区块的时间戳、包含多个不同的通信网络中的至少一个网络节点中的每一个网络节点的信任值的信任值列表、以及用于评估信任值列表中的信任值的信任相关数据的哈希码。
26.在示例性实施例中,信任值列表可以包含基于网络节点的假名的网络节点的信任值。该方法可以进一步包括:由可信执行环境接收第一通信网络中的网络节点的最新假名和新假名以及由与最新假名对应的私钥签名的最新假名和新假名的签名;由可信执行环境基于最新假名来验证所接收到的最新假名和所接收到的新假名的签名;由可信执行环境从矿工节点接收网络节点的一对信任值和最新假名;用新假名替换该对中的最新假名;以及从可信执行环境向矿工节点发送网络节点的一对信任值和新假名。网络节点的假名可以是网络节点的公钥。
27.在示例性实施例中,区块可以进一步包括多个不同的通信网络的系统安全参数和公钥。该方法可以进一步包括:由可信执行环境从第一通信网络中的第一认证节点接收用多个通信网络中的第一通信网络的私钥加密的第一网络节点的公钥;由可信执行环境生成用于第一网络节点与至少一个第二通信网络中的至少一个第二网络节点之间的通信的会话密钥;由可信执行环境从区块中提取第一通信网络的公钥;用第一通信网络的公钥解密第一网络节点的经加密的公钥;以及从可信执行环境向第一节点发送用第一网络节点的公钥加密的会话密钥。
28.在示例性实施例中,该方法可以进一步包括:由可信执行环境向至少一个第二通信网络中的相应的认证节点发送用于提供至少一个第二网络节点中的每一个第二网络节点的相应公钥的请求;响应于该请求,由可信执行环境从相应的认证节点接收至少一个第二网络节点中的每一个第二网络节点的相应的经加密的公钥,其中,用至少一个第二网络节点中的一个第二网络节点的通信网络的私钥加密至少一个第二网络节点中的该一个第二网络节点的公钥;由可信执行环境从区块链的区块中提取与至少一个第二网络节点中的
每一个第二网络节点的相应通信网络的私钥对应的相应公钥;用相应通信网络的公钥解密至少一个第二网络节点中的每一个第二网络节点的相应的经加密的公钥;以及从可信执行环境向至少一个第二网络节点中的每一个第二网络节点发送经加密的会话密钥,其中,用至少一个第二网络节点的一个第二网络节点的相应公钥加密被发送到至少一个第二网络节点中的该一个第二网络节点的会话密钥。
29.在示例性实施例中,该方法可以进一步包括由可信执行环境从第一认证节点接收至少一个第二网络节点的标识。
30.在示例性实施例中,通信可以是在第一网络节点与至少一个第二通信网络中的多个第二网络节点之间。该方法可以进一步包括由可信执行环境从第一认证节点接收标识多个第二网络节点的组的组标识。
31.根据另一方面,提供了一种用于综合网络中的信任管理的装置。综合网络包括多个不同的通信网络,并且多个不同的通信网络中的每一个通信网络包括至少一个矿工节点、至少一个认证节点和至少一个网络节点。该装置包括:至少一个处理器;至少一个存储器,其包括计算机程序代码。存储器和计算机程序代码被配置为与处理器一起使该装置至少执行以下操作:由综合网络中的第一通信网络中的该装置与综合网络中的至少一个第二通信网络中的矿工节点构成区块链系统;获取区块链系统的区块链的区块,其中,该区块包括区块链的前一区块的身份、生成该区块的时间戳、包含多个不同的通信网络中的至少一个网络节点中的每一个网络节点的信任值的信任值列表、以及用于评估信任值列表中的信任值的信任相关数据的哈希码;以及在第一通信网络内共享该区块。
32.根据另一方面,提供了一种用于综合网络中的信任管理的装置。综合网络包括多个不同的通信网络,并且多个不同的通信网络中的每一个通信网络包括至少一个矿工节点、至少一个认证节点和至少一个网络节点。该装置包括:至少一个处理器;至少一个存储器,其包括计算机程序代码。存储器和计算机程序代码被配置为与处理器一起使该装置至少执行以下操作:从第一通信网络中的第一矿工节点获取区块链系统的区块链的区块,其中,在第一矿工节点和综合网络中的至少一个第二通信网络中的矿工节点之间构成区块链系统,并且其中,区块链的区块包括区块链的前一区块的身份、生成区块的时间戳、包含多个不同通信网络中的至少一个网络节点中的每一个网络节点的信任值的信任值列表、以及用于评估信任值列表中的信任值的信任相关数据的哈希码;以及从区块中提取网络节点的信任值。
33.根据另一个方面,提供了一种用于综合网络中的信任管理的装置。综合网络包括多个不同的通信网络,并且多个不同的通信网络中的每一个通信网络包括至少一个矿工节点、至少一个认证节点和至少一个网络节点。该装置包括:至少一个处理器;至少一个存储器,其包括计算机程序代码。存储器和计算机程序代码被配置为与处理器一起使该装置至少执行以下操作:使可信执行环境被区块链系统中的一个或多个矿工节点认证,其中,在综合网络中的第一通信网络中的矿工节点和至少一个第二通信网络中的矿工节点之间构成区块链系统;由可信执行环境从区块链系统中的矿工节点获取区块链系统的区块链的区块。区块链的区块包含区块链的前一区块的身份、生成区块的时间戳、包含多个不同的通信网络中的至少一个网络节点中的每一个网络节点的信任值的信任值列表、以及用于评估信任值列表中的信任值的信任相关数据的哈希码。
34.根据又一方面,提供了一种存储指令的非暂时性计算机可读存储介质,该指令当由一个或多个处理器执行时使处理器执行根据上述方法的方法。
35.仅通过说明许多特定实施例和实施方式(包括预期用于实施本发明的最佳模式),本发明的其他方面、特征和优点从以下具体实施方式中显而易见。本发明还能够具有其他不同的实施例,并且其若干细节可以在各种明显的方面进行修改,而所有这些均不背离本发明的精神和范围。因此,附图和描述本质上应被认为是说明性的,而不是限制性的。
附图说明
36.在附图中通过示例而非限制的方式图示本发明的实施例:
37.图1图示了根据本公开的实施例的用于综合网络中的信任管理的系统模型;
38.图2图示了根据本公开的实施例的用于综合网络中的信任管理的方法;
39.图3图示了根据本公开的实施例的用于综合网络中的信任管理的方法;
40.图4图示了根据本公开的实施例的区块链系统的设置过程;
41.图5图示了根据本公开的实施例的用于综合网络中的信任管理的区块链的区块的示例性结构;
42.图6图示了根据本公开的实施例的用于综合网络中的假名更新的示例性过程;
43.图7图示了根据本公开的实施例的用于综合网络中的假名更新和区块链公告的方法;
44.图8图示了根据本公开的实施例的用于综合网络中的假名更新和区块链公告的方法;
45.图9图示了根据本公开的实施例的用于综合网络中的假名更新和区块链公告的方法;
46.图10图示了根据本公开的实施例的用于综合网络中的匿名跨域认证的示例性过程;
47.图11图示了根据本公开的实施例的用于匿名跨域认证的方法;
48.图12图示了根据本公开的实施例的综合网络中的端到端安全性建立的示例性过程;
49.图13图示了根据本公开的实施例的用于综合网络中的端到端安全性建立的方法;
50.图14图示了根据本公开的实施例的用于综合网络中的端到端安全性建立的方法;
51.图15图示了根据本公开的实施例的综合网络中的可信路由的过程;
52.图16图示了根据本公开的实施例的基于信任的路由选择的示例性方法;
53.图17图示了可以在其上实施本公开的实施例的装置;以及
54.图18图示了可用于实现本公开的实施例的芯片集。
具体实施方式
55.公开了用于综合网络中的信任管理的方法和装置的示例。在以下描述中,出于解释的目的,阐述了许多具体细节以提供对本公开的实施例的透彻理解。然而,对于本领域技术人员来说显然,本发明的实施例可以在没有这些具体细节或在具有等效布置的情况下实施。在其他情况下,众所周知的结构和设备以框图形式示出以避免不必要地混淆本发明的
实施例。
56.大部分现有的关于信任管理的工作是针对特定单一网络进行的,它分析了网络的安全威胁和安全需求,以便设计安全保障方案。例如,在安全标准化方面,国际互联网工程任务组(ietf)提出了ipsec协议和tls协议以保护互联网网络层的安全。第三代合作伙伴计划(3gpp)以移动通信网络(3g、4g和5g)的安全认证和密钥协议为目标,提出了eps-aka(演进型分组系统-认证和密钥协议)协议。另一方面,空间网络标准化组织(ccsds)提出了用于卫星网络安全的scps-sp协议(空间通信协议标准-安全协议)。可以看出,它缺乏用于不同类型的网络的统一安全保护协议,或者缺乏对不同协议的整合。
57.为了解决在移动通信网络和无线局域网的上下文中的hetnet中的安全接入和切换问题,ietf提出将aaa(认证、授权、计费)技术引入移动ipv6切换,以解决安全切换和接入的问题。在这方面还有一些其他的建议和解决方案。例如,有一种基于双线性加密方案的新型安全切换认证协议,它实现了无需证书聚合签名的签名验证,提高了签名验证的效率,并实现了低开销的安全切换。在卫星网络中,有一种基于ipv6的分布式切换管理解决方案,被命名为dips;以及在延迟容忍网络中的启发式安全切换方案,该方案可以有效提高切换的成功率。然而,在过去的工作中很少研究跨多种类型的网络和多个网络域的可信切换。
58.针对安全路由,存在一种基于节点信任来执行安全路由的解决方案。已提出了一种在卫星通信网络中基于信任等级的安全路由方案,该方案能够有效地检测恶意路由节点的存在,并快速响应以排除恶意节点。此外,也已提出了一些用于自组网(ad-hoc network)的路由协议,诸如基于dsr(动态源路由)的asr(自适应选择路由)协议和基于aodv(自组网按需距离矢量路由)的saodv(安全aodv)协议,这些协议可以有效地保证路由信息的安全性。此外,已经提出了一种基于信任管理和能量感知的无线多跳异构网络安全路由协议。该协议通过引入奖励机制来鼓励路由节点的信任行为,以保证路由信息的安全性和可靠性。
59.关于密钥管理,存在几种现有的解决方案。例如,在一个解决方案中,已经提出了基于身份的卫星网络组密钥管理方案。该解决方案提高了密钥管理的效率和安全性。存在基于网络分层和多域的特征的另一种解决方案。在该解决方案中,提出了一种新的基于代理重加密的组密钥管理方案。该组密钥管理方案有效提高了卫星网络密钥管理的可扩展性。此外,还提出了一种面向多资源的传感器网络密钥管理系统,以有效提高密钥管理方案在传感器网络中的适用性。但是,上述的解决方案只适用于特定类型的网络,并且不适合保证综合异构网络的安全。
60.但是,目前的关于网络安全的工作存在以下问题:
61.(1)特异性:针对特定类型的网络提出了特定的安全解决方案。这些解决方案缺乏通用性,并且不能应用于集成了不同类型的网络的综合网络,诸如ls-hetnet。
62.(2)集中式:当前的解决方案采用集中式安全认证或安全架构,这依赖于网络中的“可信”节点。它不能以通用且保护隐私的方式统一支持hetnet的源地址认证、用户身份认证和路由信息认证。然而,ls-hetnet期望去中心化的信任管理以用自动化和自组织支持可信的认证、路由、数据传输等。
63.(3)单一性:目前的工作集中于一种类型的hetnet,诸如无线hetnet、传感器hetnet、蜂窝hetnet,因此,无法保证多类型异构网络(诸如ls-hetnet)的安全性。因此,在当前工作中提出的解决方案缺乏普遍性。
64.(4)脆弱性:在目前的工作中,并没有真正考虑所谓“可信”节点的单点漏洞和内部攻击。然而,下一代网络的安全设计可基于零信任模型,其中在系统中不存在任何完全可信的节点,并且每个以信任为中心的网络域或网络节点在利益驱动下按自己的方式行事。因此,在当前工作中提出的解决方案无法确保真正的可靠性。
65.综上所述,目前关于hetnet的安全解决方案在通用性、普遍性、可扩展性和可信性方面缺乏必要的支持。迫切需要去中心化且有效的网络信任管理框架来无缝地支持综合ls-hetnet。
66.本公开提出了基于区块链的用于综合网络的信任管理框架。例如,综合网络可以是6g网络,其被假设是高度异构和集成的。在6g网络(也称为6g hetnet)中,不同类型的网络可以协同工作,以便提供具有智能和自动化的高能力和高质量的网络服务。
67.6g hetnet具有诸如网络异构性、动态拓扑、自组织、通信链路开放性、高延迟和可扩展性等特性。这导致在跨多个网络域的不同方面和各种层的安全威胁。不可能运行完全可信实体来管理整个网络的信任,因为网络的每个部分由具有不同组网理论和功能的不同运营商运营。不同的运营商不能相互信任。信任管理应当由多个利益相关者处理,以便实现预期可靠性。然而,文献和行业仍然缺乏在综合网络中的通用的、统一的和自组织的信任管理框架来实现或支持预期特征。例如,这些预期特征包括在由不同运营商运行的多个网络域之间并且跨不同类型的网络的安全且可信的网络接入和切换、跨多个不同类型的网络的可信路由、以及用于端到端安全的安全数据传输和密钥管理。
68.本公开提出了基于区块链的用于未来综合网络的自组织的信任管理框架/解决方案/方法。例如,综合网络可以是高度异构和集成的6g网络(或下一代网络)。在综合网络中,不同类型的网络相互协作,以提供具有智能、自动化并且最重要的具有嵌入式可信性的高能力和高质量的网络服务。下一代网络的安全设计可以基于零信任模型,其中在下一代网络中不存在任何完全可信节点,并且下一代网络的每个以信任为中心的网络域在利益驱动下按自己的方式行事。
69.所提出的该信任管理框架可以提供信任管理即服务(tmas)。例如,信任管理可以支持在以下方面中的一个或多个方面的服务:1)跨不同类型的网络的安全且可信的网络接入和切换,其中在由不同的运营商运行的不同类型的网络之间具有隐私保护;2)可信路由;3)支持端到端的通信安全的安全数据传输和密钥管理。
70.具体地,本公开通过开发许可区块链系统来提出用于综合网络(诸如ls-hetnet)的去中心化且高效的信任管理框架。综合网络包括多个不同的网络,它们可以由不同的运营商运营。区块链系统的矿工节点可以由从多个不同的网络中选择的可靠网关节点扮演。例如,多个不同的网络中的每一个网络可以包括区块链系统的至少一个矿工节点。区块链系统将信任评估嵌入到区块链共识中,以便对于多个不同的网络中的网络节点达成信任共识。信任评估可以由矿工节点例如基于数据传输质量、流量分析和节点异常检测来执行。所评估的每个网络节点的信任值被记录在区块链系统的具有共识的区块链中。在这方面,矿工节点可以收集与网络节点的信任值相关联的数据。当收集到足够的数据时,区块链系统基于新收集的数据通过生成新区块并在新区块中记录新的信任值来更新网络节点的信任值。
71.在任何综合网络中的被授权方可访问区块链。在这方面,综合网络内的网络中的
被授权方可以从网络中的矿工节点获取区块链。因此,可以通过获取在区块链中记录的信任值来对网络节点信任执行全网认证。在实践中,通过允许快速节点信任检查和假名认证,区块链的新区块可被推送到综合网络内的每个网络的至少一个网络边缘设备中,以便在网络边缘设备处支持对在网络接入和切换中的信任的有效节点认证。因此,可以防止不受信任节点接入网络或切换到另一个网络中。
72.此外,可以利用tee(可信执行环境)技术来建立区块链系统的信任核心,以用于处理具有隐私保护的信息。例如,信任核心可以是理具有隐私保护的信息。例如,信任核心可以是sgx(软件保护扩展)技术支持的飞地(enclave)。稍后描述信任核心的细节。
73.在实施例中,可以基于网络节点的假名,在区块链中记录网络节点的信任值和相关信息,以支持隐私。可以根据由网络节点或其代理(诸如知道网络节点的假名和/或ip地址的归属认证节点)向区块链系统的信任核心发送的更新信号来更新假名。信任核心可以在区块生成期间通过采用tee来进一步以隐私保护的方式将新假名与其信任值相链接。
74.在实施例中,可以例如由ue的归属认证节点向ue(其被视为网络节点)发出匿名可信身份证书。用于验证证书的对应安全参数被记录在区块链中,以支持跨域身份认证和授权。例如,在ue从其归属网络到外地网络的切换和网络切换期间,外地网络中的认证节点可以从ue接收匿名可信身份证书,从区块中提取ue的对应的安全参数,并使用安全参数来验证证书。此外,外地网络中的认证节点可以从区块中提取ue的信任值,并检查信任值以阻挡由不可信节点发起的恶意入侵。
75.在实施例中,可以通过使用区块链系统的信任核心生成会话密钥,并将其分发到端到端通信的所有相关方。在这方面,可以向综合网络中的每个网络提供系统安全参数和公私密钥对,以用于保护网络中的传输。系统安全参数和公私密钥对中的公钥可以被记录在区块链中。信任核心可以从区块链中提取系统安全参数和公钥,并使用它们来解密来自端到端通信的每个端节点的安全密钥。安全密钥可用于保护会话密钥从信任核心到端到端通信的每个端节点的分发。这样,可以确保端到端通信安全。
76.在实施例中,路由器的信任值可以例如基于与相应路由器的路由性能相关的数据来评估。路由选择节点可以查询区块链以提取路由器的信任值,并基于沿着相应路由的路由器的信任值计算不同路由的信任值。然后,可以基于与信任相关的策略(诸如源和/或目的地的信任策略)选择最佳路由。在实施例中,对于可信路由,也可以进行可信性能监视和可信数据收集。
77.在上述的实施例中,通过将信任评估嵌入区块生成中,基于区块链进行可信和匿名的身份认证,并且通过区块链查询来选择用于信息传输的最可信路由,可以实现综合网络中的可信组网。下面将描述综合网络中的信任管理的细节。
78.图1示出了根据本公开的实施例的用于综合网络中的信任管理的系统结构和安全模型。如图1所示,通过集成由不同运营商运行的多个不同类型的通信网络来形成hetnet。如图1所示,综合网络1000包括移动蜂窝网络1100、互联网1200、卫星网络1300、高空平台1400和海洋网络1500。由专用运营商运营的一种通信网络可以形成以信任为中心的网络域(tcnd)。tcnd是由具有一定信任等级的管理特征表征的网络的抽象,并且tcnd中的所有成员基于这种基于信任的技术而具有互信关系。由不同运营商运行的通信网络不能完全相互信任。因此,应当应用特定技术以提供跨不同tcnd的可信组网。
79.根据本公开的实施例,可以针对整个综合网络1000构成信任管理系统。信任管理系统主要包括几类节点:矿工,各种tcnd的认证节点,以及各种网络节点。网络节点包括各种通信节点,诸如用户设备(ue)、路由器、交换机、网络服务器、网络边缘节点等。通信的最终用户是通信网络的ue,诸如网络1100中的移动终端、网络1200中的计算机终端、网络1400中的飞行器、物联网(iot)设备等。
80.矿工通过使用特殊的可靠网络构成区块链系统。矿工节点可以是来自相应tcnd的被授权节点。在图1所示的示例中,矿工节点1101、1201、1301、1401、1501可以分别选自网络1100、1200、1300、1400和1500,并且构成区块链系统1600。为了清楚起见,在图1中,针对每个网络只分配一个矿工节点。然而,应当理解,在区块链系统1600中,对于一个网络可以有超过一个矿工节点。可以使用已建立的共识机制来维护区块链系统。例如,共识机制可以基于用于矿工节点的全局信任评估,这将在后面详细描述。
81.所生成的区块链可以被存储在每个网络的网络节点中,诸如区块链数据存储服务器1104、1204、1304、1404和1504。区块链数据可用于在不同tcnd之间在综合网络中的安全且可靠的信息共享和信息发布。例如,网络1100中的被授权方(诸如认证节点1102,或其他未示出的网络节点)可以访问区块链数据存储服务器1104以获取区块链或者查询区块链的区块中的信息。类似地,网络1200中的被授权方(诸如认证节点1202,或其他未示出的网络节点)可以访问区块链数据存储服务器1204以获取区块链或者查询区块链的区块中的信息。
82.每个tcnd可以有一个或多个认证节点,该认证节点负责将网络节点(包括ue)注册到tcnd,并分发密钥和其他参数(例如,跨域的假名可信凭证)。认证节点可以维护本地数据库(未示出)以存储已注册节点的身份信息、授权信息、计费信息、密钥信息。认证节点可以进一步获取区块链系统1600的区块链,并将区块链或从区块链数据中提取的信息存储在本地数据库中。认证节点可以通过区块链与同一通信网络中的各个网络节点共享信息。
83.在该信任管理系统中,矿工节点是特殊的设备,并被假定为是将不执行不可信行为的正常矿工,因为它们是具有维护和管理区块链的能力和可靠性的被选择和推荐的节点。但是,矿工节点可能出现故障或受到攻击者的攻击,这可导致异常操作,因此,它们不能是完全可信的。考虑到这一点,可以在区块链系统的设置过程中采取对应的机制,这将在后面描述。
84.虽然某些类型的网络的认证节点具有很强的安全防御能力,但是,它们也可能遭受诸如内部攻击的安全威胁。它们可以在未被攻击时在自己的tcnd中认证ue的各种信息(诸如许可、消费权限等)。然而,属于不同tcnd的认证节点和网络节点不是互信的,并且可能在跨tcnd的通信期间出现恶意行为。信任管理系统被设计为基于区块链在不同的tcnd中的认证节点之间实现安全且可靠的通信。
85.图2图示了根据本公开的实施例的用于综合网络中的信任管理的方法200。该方法由矿工节点执行,诸如图1所示的矿工1101、1201、1301、1401、1501中的任何一个。综合网络包括多个不同的通信网络。多个不同的通信网络中的每一个通信网络包括至少一个矿工节点、至少一个认证节点和至少一个网络节点。该方法包括:在210处,由综合网络(诸如hetnet1000)中的第一通信网络(诸如1100)中的第一矿工节点(诸如矿工1101)与综合网络中的至少一个第二通信网络(诸如相应的网络1200、1300、1400、1500)中的矿工节点(诸如
矿工1201、1301、1401、1501)构成区块链系统(诸如区块链系统1600)。在构成区块链系统时可涉及超过两个通信网络。换句话说,构成区块链系统的矿工节点可来自超过两个通信网络。该方法进一步包括:在220处,由第一矿工节点(诸如矿工1101)获取区块链系统的区块链的区块。区块包括区块链的前一区块的身份、生成区块的时间戳、包含多个不同的通信网络中的至少一个网络节点中的每一个网络节点的信任值的信任值列表、以及用于评估信任值列表中的信任值的信任相关数据的哈希码。该方法进一步包括:在230处,由第一矿工节点(诸如矿工1101)在第一通信网络(诸如1100)内共享区块。在区块链的每个区块中,网络节点的信任值是基于网络节点的网络性能而新更新的信任值。这样,对包括属于不同通信网络的网络节点的网络节点的信任管理可以基于相应的网络节点的信任值来执行。
86.图3图示了根据本公开的实施例的用于综合网络中的信任管理的方法300。该方法由认证节点执行,诸如如图1中所示的认证节点1102、1202、1302、1402、1502中的任何一个。方法300包括:例如由第一通信网络(诸如网络1100)中的认证节点(诸如认证节点1102)从第一通信网络中的第一矿工节点(诸如矿工1101)获取区块链系统(诸如区块链系统1600)的区块链的区块,如在310处所示。在该方法中,在第一矿工节点和综合网络中的至少一个第二通信网络中的矿工节点之间构成区块链系统。在该方法中,区块链的区块包括区块链的前一区块的身份、生成区块的时间戳、包含多个不同的通信网络中的至少一个网络节点中的每一个网络节点的信任值的信任值列表、以及用于评估信任值列表中的信任值的信任相关数据的哈希码。方法300进一步包括:由认证节点从区块中提取网络节点的信任值,如在320处所示。网络节点可以属于与第一通信网络不同的网络。在区块链的每个区块中,网络节点的信任值是例如基于网络节点的网络性能而新更新的信任值。认证节点可以利用信任值来执行对网络节点的信任管理。
87.根据各种实施例,应用多种关键技术来实现信任管理平台,如下文详细描述的。
88.1.基于许可区块链的去中心化信任管理
89.考虑到区块链系统的效率和可靠性以及异构网络的集成,应用许可区块链(协作区块链)来构建用于信任管理的平台。具体地,专用的区块链网络系统可被嵌入综合网络中,并由从相应的tcnd中选择的矿工维护。在示例中,矿工可以由相应的tcnd识别和授权。区块链系统经由区块链与每个tcnd的认证节点共享信息。认证节点可以维护一个或多个信息共享服务器。在每个tcnd的信息共享服务器之间共享的信息可以保存区块链的数据概要(data summary)。通过区块链系统中的共识机制来保证在区块链中记录的数据的可信性和一致性。
90.在一些实施例中,不同tcnd中的矿工的信任值也可以被记录在区块链中。区块链系统可以通过动态信任保证机制来动态地保证矿工的信任值的可信性和一致性,在动态信任保证机制中,每个矿工的信任值被计算并聚合以用于认证相应的矿工(例如,对一组矿工设备的远程证明)。它应用基于信任评估的共识机制,并且可以提供区块链系统的安全性、吞吐量和效率,以及确保去中心化。
91.此外,区块链数据可以被发给在所有级别的网络节点。例如,区块链数据可以被发给在每个网络的边缘的网络边缘节点,以便支持快速的网络接入和切换。下面描述区块链系统的更多细节。
92.区块链系统设置
93.图4图示了根据本公开的实施例的区块链系统的设置过程。在该实施例中,过程400可包括以下步骤:
94.在步骤410处,执行策略和算法约定。在示例中,在该步骤,综合网络(诸如hetnet 1000)中的网络的所有相关运营商同意区块链系统的信任控制策略、预期的信任评估算法、共识机制和其他可信系统软件。
95.在步骤420处,在区块链系统的矿工节点中安装在步骤410处同意的预期的软件和算法。在示例中,矿工节点可以安装包括预期的信任评估和共识机制的区块链系统软件。
96.在步骤430处,矿工节点执行互信认证,并嵌入在步骤410处同意的信任控制策略。在示例中,矿工节点可以相互远程证明信任,并在所有远程矿工设备的根信任模块中嵌入预期且统一的信任控制策略,以确保矿工节点在以后的合作中相互信任。
97.在步骤440处,针对区块链系统建立信任核心。在示例中,所有的矿工节点可认证和证明可信执行环境的信任,然后,将其作为信任核心,以运行预期的可信代码以处理区块链系统的信任敏感信息。例如,可信执行环境可以是位于服务器中的飞地。
98.在步骤450处,可以执行动态信任保证机制。在这方面,每个矿工节点的根信任模块可以监视相应矿工节点的配置和行为,并判断该配置和行为是否与在步骤430处被嵌入的信任控制策略不匹配。如果存在任何不匹配或违反,则设备的动作将被拒绝。在矿工节点无法满足其他矿工节点的信任要求或者在步骤410处同意的策略的特定情况下,该矿工节点的根信任模块可以自动通知其他矿工节点它的不信任。稍后,该矿工节点可以被踢出区块链系统,或者它的信任值可以被设置为零,这意味着它对区块共识的贡献将被其他区块忽略。
99.在步骤460处,执行对新矿工的信任证明和保证。在新的矿工节点加入区块链系统的情况下,该矿工设备可以被其他矿工远程证明。此外,信任控制策略可以被嵌入到它的根信任模块中。然后,过程进行到步骤450,在该步骤中,新的矿工节点可以执行动态信任保证机制。
100.基于信任评估的共识机制
101.在区块链的每个区块中,网络节点的信任值是基于网络节点的网络性能而新更新的信任值。提出了许多用于对每个网络节点的信任评估的方法。例如,通过检测网络中不需要的流量和节点异常,矿工节点可以收集网络中的所有网络节点的信息。因此,矿工节点可以对节点的信任执行评估。例如,每个矿工可以通过应用常见算法来计算网络节点的信任值,以便在生成和批准新区块时促进对网络节点的信任值达成共识。网络节点的新更新的信任值被记录在新区块中。同时,用于评估信任值的数据的哈希码也被记录在新区块中。
102.在实施例中,可以应用信任加权的实用拜占庭容错(pbft)来作为用于区块链系统的区块链共识机制。根据该共识机制,当所有的区块批准矿工的信任值之和达到足够时,矿工节点可以批准新区块。通过这种方式,可以降低区块共识的通信成本,从而提高区块链系统的效率。
103.区块结构
104.在图5中图示了根据实施例的区块链的区块的示例性结构。如图5所示,第k个区块包括前一区块(即第k-1个区块)的身份(id)501和生成第k个区块的时间戳502。第k个区块还包括信任值列表507(其包含多个tcnd中的网络节点的信任值)以及用于评估在底层区块
中记录的信任值的信任相关数据的哈希码506。哈希码506可以是用于评估在底层区块中记录的信任值的所有信任相关数据。
105.在一些实施例中,区块可以进一步包括每个tcnd的系统参数和每个用户的用于匿名跨域认证的参数,如503所示。例如,系统参数包括每个tcnd的系统安全参数和公钥。tcnd的认证节点可以生成用于它的tcnd的系统安全参数和公钥私钥对,并将系统安全参数和公钥发送到它的tcnd的矿工节点。然后,系统安全参数和公钥可以被记录在区块链中,并相应地可通过区块链公布,以便任何被授权节点(包括其他tcnd中的认证节点和信任核心)可以检索系统安全参数和公钥。
106.此外,认证节点可以针对被注册到认证节点的每个用户(或ue)生成公钥私钥对,并将每个用户的公钥发送到它的tcnd的矿工节点。然后,每个用户的公钥可以被记录在区块链中,并相应地可通过区块链公布,这样,任何被授权节点可以快速地检索每个用户(包括被注册到与被授权节点的tcnd不同的tcnd的用户)的公钥。
107.在一些实施例中,区块可以进一步包括在生成第k-1个区块后并相应地在生成第k个区块之前的跨域网络访问和使用记录,如504所示。可替代地,这些跨域网络访问和使用记录可以通过将这些记录的哈希留在区块中来在链下存储。在示例中,这些记录可用于计算跨域网络访问和使用的通信成本。
108.基于区块链系统,可以设计一种货币(coin)(例如,被称为hetnetcoin)来以hetnetcoin交易的形式记录用户在区块链中的跨域通信成本,如图5中的505所示。各种tcnd或网络之间的支付可以用hetnetcoin定期结算。
109.2.基于区块链的综合网络中的认证和密钥管理
110.节点隐私增强
111.为了支持网络节点的隐私,应用假名。例如,网络节点的公钥可以充当它的假名。在实施例中,每个网络节点的信息基于它在区块链中的假名而被记录。例如,在区块链中记录的网络节点的信任值可以基于相应节点的假名。如图5中的507所示,在第k个区块的信任值列表中,(例如由n_id标识的)tcnd中的网络节点(被表示为节点j)的信任值以一对信任值和公钥的形式被记录,其被表示为(tv
j,k,n_id
,pkj)。
112.可以针对每个网络节点周期性地更新假名。假名更新对于矿工节点和任何其他节点是隐藏的。在实施例中,可以应用诸如英特尔sgx tee的可信执行环境以允许矿工节点更新节点的假名,同时保护节点的隐私。图6示出了用于假名更新的示例过程。
113.假名更新可以由网络节点或网络节点的可信代理直接处理。在图6所示的实施例中,在步骤620处,tcnd的ue 602可以通过ue 602与信任核心603之间的安全通道(其在步骤610处被建立)向信任核心603发送用于假名更新的请求。在另一个实施例中,tcnd的认证节点可以通过认证节点与信任核心603之间的安全通道向信任核心603发送用于假名更新的请求。例如,ue可以是图1所示的网络节点1203,认证节点可以是图1所示的认证节点1202。信任核心603可以是在云上运行的飞地。在网络节点的假名是网络节点的公钥的示例中,请求可以包括由ue的私钥sk
j,old
签名的ue(例如,被表示为网络节点j)的旧公钥和新公钥(例如,被分别表示为pk
j,new
和pk
j,old
)。
114.在步骤630处,信任核心603验证用于假名更新的请求。可以通过使用pk
j,old
验证由sk
j,old
签名的签名来验证该请求。pk
j,old
可以由请求提供。信任核心603可以检查pk
j,old
在区
块链中的存在。如果验证是肯定的,则信任核心603可以记录有效请求。
115.当在步骤640处生成新区块时,矿工将联系信任核心以检索网络节点的新假名。如在步骤650所示,矿工601将ue 602的一对信任值(tv
j,k,n_id
)和假名(例如,旧公钥pk
j,old
)发送到信任核心603。信任核心603可以检查针对对应的假名更新请求的记录。
116.如果确定存在用于更新ue 602的pk
j,old
的有效请求,则步骤650处,信任核心603会用有效pk
j,new
替换对(tv
j,k,n_id
,pk
j,new
)中的pk
j,old
,并在步骤660处,向矿工601返回最新有效的一对信任值和假名(tv
j,k,n_id
,pk
j,new
)。接下来在步骤670处,矿工601在下一个区块中公告最新有效的一对信任值和假名(tv
j,k,n_id
,pk
j,new
)。
117.图7图示了根据本公开的实施例的用于假名更新和区块链公告的方法700。方法700可以由矿工节点执行,诸如图6中所示的矿工601。在步骤710处,矿工节点可以将网络节点(例如,图6中的ue 602)的一对信任值和第一假名发送到可信执行环境。第一假名可以是网络节点的公钥。例如,公钥可以是ip地址,诸如图1中所示的ue 1203的ip地址。在步骤720处,响应于该发送,矿工可以从可信执行环境(诸如信任核心603)接收网络节点的一对信任值和第二假名。第二假名是用于替换网络节点的第一假名的更新假名。第二假名已经被可信执行环境基于第一假名来验证。然后,在步骤730处,矿工节点生成具有网络节点的一对信任值和第二假名的新区块,以使得可以公告网络节点的信任值和假名的最新有效链接。
118.图8图示了根据本公开的实施例的用于假名更新和区块链公告的方法800。方法800可以由网络节点或其代理(例如认证节点)执行,诸如图6中所示的ue或ue代理602。在步骤810处,网络节点或其代理将网络节点的最新假名和新假名发送到可信执行环境,诸如图6中所示的信任核心,以用于在区块链中用新假名更新最新假名。最新假名和新假名可以由于最新假名对应的私钥进行签名,以便由可信执行环境用最新假名进行验证。
119.图9图示了根据本公开的实施例的用于假名更新和区块链公告的方法900。方法900可以由可信执行环境执行,诸如图6中所示的信任核心603。在步骤910处,可信执行环境从认证节点或网络节点(诸如ue或ue代理602)接收网络节点的最新假名和新假名。最新假名和新假名可以由与最新假名对应的私钥来签名。在步骤920处,可信执行环境基于最新假名验证最新假名和新假名。在步骤930处,可信执行环境从矿工节点(诸如图6中的矿工601)接收网络节点的一对信任值和最新假名。作为响应,在步骤940处,可信执行环境用新假名替换该对中的最新假名。接下来在步骤950处,可信执行环境将网络节点的一对信任值和新假名发送到矿工节点,以使得网络节点的该对信任值和新假名可以通过区块链的下一个区块来公告。
120.匿名跨域认证
121.当用户(或用户的ue)在综合网络中的不同网络或网络域之间切换时,出于数据安全和用户隐私的考虑,他们的归属网络的认证节点不能与其他网络共享他们的身份信息。因此,在本公开中提出了一种基于区块链的跨域假名身份认证机制,以使得tcnd的认证节点能够认证另一个tcnd的用户的身份。
122.图10图示了用于匿名跨域认证的示例过程10000。如在步骤10100处所示,当ue 10001向其归属网络(例如被表示为tcnd1)的认证节点10002注册时,ue可以从认证节点10002获取匿名可信身份证书。该证书可以指定用于ue 10001的通信许可。例如,通信许可可以指示ue是否被许可以执行跨域通信、所允许的跨域通信的级别或权限等。
123.认证节点10002可以向区块链发出验证ue 10001的合法性所需的安全参数。在这方面,在步骤10200处,认证节点10002可以向tcnd1中的矿工10003发送针对ue 10001所发出的安全参数。可以在区块链系统10006的区块链中记录和公告安全参数,如在步骤10300处所示。
124.当ue 10001切换到外地网络(被表示为tcdn2)时,它将它的可信身份证书发送给切换后的外地网络(tcnd2)的认证节点或边缘认证节点10005,如在步骤10400处所示。认证节点或边缘认证节点10005可以从区块链系统的区块链中(例如从tcnd2中的矿工10004)检索用于ue 10001的安全参数。然后,认证节点或边缘认证节点10005可以使用安全参数来验证ue 10001的证书的有效性和所指定的通信许可。
125.由此,可以实现对网络节点的身份的认证和各种跨域通信所涉及的服务的授权。通过这种方式,可以显著减少跨域认证的响应时间。
126.在实施例中,在网络节点正接入网络或处于切换时,可以在两个级别上执行对网络节点的认证,即,用户身份认证和用户信任认证。在这方面,除了通过如参考图10所示的使用安全参数来认证用户身份认证和ue的身份的合法性之外,验证节点10005可以进一步认证ue的信任。例如,认证节点10005可以从区块链中检索ue的信任值,并检查该信任值是否满足预定义标准。这样,可以识别有效用户,并阻挡网络安全入侵。
127.类似地,ue 10001也可以通过使用如参考图10所示的类似方法来认证外部tcnd节点(诸如认证节点10005)的有效性。因此,可以实现相互认证。
128.下面描述用户身份认证的一种实现方式:
129.设gi(i=1,2,...,i)是素数阶(prime order)pi的乘法循环群,gi是gi的生成器。在两个群上定义的高效可计算的双线性映射e:gi×gi
→gi’满足双线性配对的基本性质:
[0130]-双线性:对于所有a,b∈zp,存在e(g
ia
;g
ib
)=e(gi;gi)
ab
[0131]-非退化性:e(gi;gi)≠1
[0132]-可计算性:对于任何u,v∈gi,存在计算e(u;v)的有效算法。
[0133]
关于gi的系统参数可以针对特定网络(例如表示为tcndi)来设置。
[0134]
对于ue
j,i
,ue属于tcndi,tcndi的认证节点向ue
j,i
发出可信身份证书g
il/sj
,并对应地向区块链发出验证ue
j,i
的合法性所需的对应安全参数(被表示为g
isj
)。在跨域认证期间,认证节点可以访问区块链以得到g
isj
。然后,认证节点可以计算e(g
isj
;g
il/sj
)=e(gi;gi)
l
,以便知道ue
j,i
的许可级别。如果ue
j,i
的许可级别通过关于跨域网络访问的协议,则访问将被发给具有对应的许可级别的ue
j,i
。
[0135]
在此,安全参数g
isj
被记录在区块链中。gi(i=1,2,
…
,i)、pi和e(gi;gi)
l
可以被预先存储在每个网络域的认证节点中。
[0136]
图11图示了用于匿名跨域认证的方法11000。方法11000可以由认证节点执行,诸如图10中所示的认证节点10002和10005。在步骤11100处,第一通信网络中的认证节点可以针对第一通信网络中的第一网络节点分配证书。第一通信网络可以是第一网络节点的归属网络。在步骤11200处,认证节点可以将网络节点的安全参数发送到区块链系统的矿工节点,以使得安全参数可被记录在区块链系统的区块链的区块中。在步骤11300处,认证节点可以接收用于第二通信网络中的第二网络节点的证书。第二网络节点正从不同的网络切换到第一通信网络。然后,如在步骤11400处所示,认证节点可以从区块中提取第二网络节点
的安全参数。在这方面,第二网络节点的安全参数可以被第二网络节点的归属网络的另一个认证节点记录到区块中。通过利用第二网络节点的安全参数,认证节点可以验证第二节点的证书的有效性。
[0137]
基于区块链的去中心化密钥管理
[0138]
用于异构网络的大多数传统的密钥管理方案是基于集中式认证机构。认证机构负责管理和协调每个tcnd的密钥生成、分发、存储、更新和撤销。
[0139]
本公开提出了一种用于基于区块链的去中心化密钥管理的方案。在该方案中,每一个网络的认证节点可以通过区块链系统连接,以取代传统的中央认证机构。这样,可以避免由于对中央认证机构的攻击而导致的整个网络密钥管理的崩溃。
[0140]
在实施例中,每个网络的认证节点可以针对相应的网络生成系统安全参数和公私密钥对,并将系统安全参数和公私密钥对的公钥公布到区块链上,以使得每个网络的系统安全参数和公钥可以凭借区块链而与其他网络中的节点共享。此外,网络的每个认证节点可以在区块链上公布用户(或ue)的公钥,以使得异构网络的任何节点可以快速地检索相应用户的公钥。在示例中,可以由ue生成与用户或ue的公钥对应的公私密钥对,并且从ue向认证节点提供公钥。在另一个示例中,可以在用户或ue注册到网络时,由认证节点生成与用户或ue的公钥对应的公私密钥对。
[0141]
当系统安全参数、网络的公私密钥对、或者用户或ue的公私密钥被更新或撤销时,认证节点重新生成或撤销对应的安全参数和密钥,并及时发布它们。可以通过与上述的用于更新假名的过程类似的过程来更新区块链中的安全参数和公钥。在该过程中,通过生成下一个区块,通过矿工共识可以实现对密钥生成、分发、存储、更新和撤销的统一且高效的管理。
[0142]
端到端安全性
[0143]
在本公开的实施例中,通过在综合网络中设计基于区块链的ike协议和ipsec协议来保护ip分组的安全性和完整性。在这方面,可以在区块链上记录跨域安全信道的公共安全参数和算法信息。一个示例性实施方式在下面进行描述并在图12中示出。
[0144]
图12图示了综合网络中的端到端安全性建立的示例过程12000。在示例中,端到端通信将要在网络(被表示为tcnd1)中的源ue(被表示为ue1 12001)与另一个网络(被表示为tcnd2)中的目的地ue(被表示为ue2 12005)之间建立。
[0145]
在步骤12020处,tcnd1的认证节点12002可以联系区块链系统12006的信任核心12003,以发送ue1的公钥以用于ue1与ue2之间的会话的端到端安全性。在步骤12020处,ue2的标识(例如,ue2的id)可以与ue1的公钥一起被发送。出于隐私保护的目的,公钥可以由ue1的归属域(例如tcnd1)的私钥进行加密。
[0146]
在步骤12040处,信任核心12003可以通知目的地ue2 12005的目的地认证节点(例如,认证节点12004)以将目的地ue2 12005的公钥传递到信任核心12003。作为响应,目的地ue2 12005的公钥被发送到信任核心12003,如在步骤12050处所示。出于隐私保护的目的,ue2的公钥也由ue2的归属域(例如tcnd2)的私钥进行加密。
[0147]
在步骤12060处,信任核心12003可以生成秘密,并将其视为两个通信节点ue1和ue2之间的端到端会话的会话密钥;
[0148]
在步骤12070处,信任核心12003可以访问区块链系统12006的区块链,以检索相关
的系统参数(例如,两个ue的归属域tcnd1和tcnd2的公钥);用tcnd1的公钥解密ue1的经加密的公钥,并且用tcnd2的公钥解密ue2的经加密的公钥;然后,分别用两个ue的公钥加密会话密钥。
[0149]
然后,信任核心12003将受保护的会话密钥分发给ue1和ue2。如在步骤12080处所示,信任核心12003可以将用ue1的公钥加密的会话密钥发送到认证节点12002。接着在步骤12090处,认证节点12002可以将经加密的会话密钥转发到ue1。如在步骤12100处所示,信任核心12003可以将用ue2的公钥加密的会话密钥发送到认证节点12004。接着,认证节点12004可以将经加密的会话密钥转发到ue2 12005。
[0150]
然后,两个终端ue都得到会话密钥。会话密钥用相应的ue的公钥来加密。只有持有对应私钥的ue才能解密经加密的会话密钥。如在步骤12120处所示,ue1可以用ue1的私钥解密其所接收到的经加密的会话密钥,并因此获得会话密钥。在步骤12130处,ue2可以用ue2的私钥解密它所接收到的经加密的会话密钥,并因此获得相同的会话密钥。然后,它们可以使用相同的会话密钥来保护它们之间的端到端通信,如在步骤12140处所示。但是,其他各方(包括矿工、在其上执行信任核心的服务器以及每个ue的认证节点)无法知道会话密钥。因此,可以实现端到端通信安全。同时,由于信任核心的保护,包含信任核心的服务器无法知道谁将相互通信。
[0151]
也可以通过使用信任核心来与多个ue共享会话密钥,以类似的方式生成组会话密钥。在实施例中,源ue的认证节点可以将组会话的相关标识发送到信任核心12003,以指示需要组会话密钥。例如,在步骤12020处,认证节点12002可以发送用于标识会话组的组id和该组中的多个目的地ue的ue id的集合。然后,以与在步骤12040和12050所示的类似的方式,信任核心可以通知这些目的地ue的相应认证节点将这些目的地ue的公钥传递到信任核心。所接收到的组中的多个ue的公钥由这些ue的相应tcnd的私钥进行加密。信任核心可以分别用相应tcnd的对应公钥来解密这些经加密的公钥。组会话密钥可以分别用每个ue的公钥进行加密,然后被发送到相应的ue。
[0152]
在实施例中,信任核心还可以同时为不同的ue对生成多个会话密钥。为了支持大规模通信,可以在不同的服务器上建立多个具有相同功能的信任核心,以并行处理上述处理任务。
[0153]
在过程12000中,每个tcnd的认证节点可以知道相应tcnd中的ue的公钥。例如,在步骤12010和12020处,ue1和ue2的公钥可以分别被发送到它们的认证节点12002和12004。ue的公钥可以是ue的ip地址或者真实标识符,也可以是底层链接的公钥,例如假名等。
[0154]
图13图示了根据本公开的实施例的用于端到端安全性建立的方法13000。方法13000可以由认证节点执行,诸如图12中所示的认证节点12002和12004。在步骤13100处,第一通信网络(诸如tcnd1)的认证节点(诸如认证节点12002)将第一网络节点(诸如ue1 12001)的经加密的公钥发送到区块链系统(诸如区块链系统12006)的可信执行环境(诸如信任核心12003)。用第一通信网络的公私密钥对中的私钥对网络节点的公钥进行加密。在步骤13200处,认证节点接收用于在综合网络中保护第一网络节点与至少一个第二通信网络(诸如tcnd2)中的至少一个第二网络节点(诸如ue2 12005)之间的通信的经加密的会话密钥。用第一网络节点的公钥对会话密钥进行加密。然后,在步骤13300处,认证节点将经加密的会话密钥发送到第一网络节点。
[0155]
在实施例中,认证节点可以进一步从可信执行环境接收用于提供第一通信网络的第一网络节点的公钥的请求,如在步骤13400处所示。响应于该请求,第一通信网络的第一网络节点的公钥被发送到可信执行环境。
[0156]
图14图示了根据本公开的实施例的用于端到端安全性建立的方法14000。方法14000可以由区块链系统(诸如区块链系统12006)的可信执行环境执行,诸如图12中所示的信任核心12003。可以在服务器上安装和运行可信执行环境。在步骤14100处,可信执行环境从第一通信网络(诸如tcnd1)中的第一认证节点(诸如认证节点12002)接收第一网络节点(诸如ue1 12001)的经加密的公钥。用第一通信网络的私钥对第一网络节点的公钥进行加密。在步骤14200,可信执行环境从相应的认证节点(诸如认证节点12004)接收至少一个第二通信网络(诸如tcnd1)中的至少一个第二网络节点(诸如ue2 12005)的经加密的公钥。用至少一个第二网络节点中的一个第二网络节点的通信网络的私钥对至少一个第二网络节点中的该一个第二网络节点的公钥进行加密。
[0157]
在步骤14300处,可信执行环境生成用于第一网络节点与至少一个第二网络节点之间的通信的会话密钥。
[0158]
在步骤14400处,可信执行环境从区块链系统的区块链的区块中提取第一通信网络的公钥和至少一个第二通信网络的公钥。
[0159]
在步骤14500处,可信执行环境用第一通信网络的公钥解密第一网络节点的经加密的公钥,并用相应的通信网络的公钥解密至少一个第二网络节点中的每一个第二网络节点的经加密的公钥。
[0160]
在步骤14600处,可信执行环境将用第一网络节点的公钥加密的会话密钥发送到第一网络节点,例如经由第一认证节点。在步骤14700处,可信执行环境将用至少一个第二网络节点中的每一个第二网络节点的相应公钥加密的会话密钥分别发送到至少一个第二网络节点中的每一个第二网络节点。
[0161]
3.可信路由
[0162]
不同的路由器具有用于智能信息传输的不同质量和效率。存在对hetnet中的路由的安全威胁和攻击。因此,对路由的信任评估对于指导路由选择变得至关重要。本公开提出了一种基于路径的信任、智能信息传输的质量和有效性的路由选择方案。图15图示了综合网络中的可信路由的过程15000。
[0163]
如在步骤15100处所示,过程15000证明至少一个监视节点的信任。在实施例中,监视节点的可信性可以由区块链系统远程证明。例如,可以使用基于可信计算的信任保证机制或sgx技术来确保在监视节点处所收集的数据的可信性。
[0164]
如在步骤15200处所示,监视节点监视网络中的路由器的性能。在示例中,可信监视节点可以观察网络路由器的各种性能,诸如吞吐量、延迟、丢包率和内容重传率,并将观察结果提供给矿工。
[0165]
如在步骤15300处所示,基于观察结果来评估路由器的信任值。在示例中,矿工可以基于可用性、质量优化和效率的性能来评估每个路由器的信任。(例如用信任值指示的)它的信任程度通过区块共识被记录在区块链中。
[0166]
如在步骤15400处所示,可以由路由选择节点基于所评估的路由器的信任来执行路由选择。图16图示了基于信任的路由选择的示例性方法16000。在示例中,路由选择节点
可以查询区块链以聚合信任值。如图16所示,在步骤16100处,它可以从矿工或认证节点获取区块链的区块。在步骤16200处,路由选择节点可以从区块中提取沿着候选路由的路由器的信任值。候选路由可以跨越经过若干网络或tcnd。在实施例中,认证节点可以将每个路由器的ip地址映射到它假名,并请求矿工检索路由器的当前信任值。
[0167]
在步骤16300处,路由选择节点可以基于用于路由器的信任值来选择路由。在实施例中,路由选择节点可以基于沿着候选路由的路由器的信任值来计算候选路由的信任值,如在步骤16400处所示。例如,用于候选路由的信任值可以是沿着候选路由的所有路由器的信任值的平均值。可以优先选择平均信任值高的候选路由。
[0168]
本公开的实施例具有以下优点:
[0169]
去中心化:信任管理平台可以通过应用区块链技术以去中心化的方式实现hetnet网络管理。本公开的实施例适用于在没有任何一方可以完全信任的综合hetnet中应用。
[0170]
高容错/容故障:本公开的实施例可以避免单点故障。即使区块链系统的某一部分受到攻击或出现故障,区块链系统仍然可以以可信的方式工作。因此,它可以支持高容错组网。
[0171]
信息一致性和防篡改:本公开的实施例在整个综合网络中的具有共识的区块链中记录在不同认证节点之间共享的信息,并因而确保共享信息的一致性。区块链的防篡改特性在本质上确保了区块链数据的可信性。
[0172]
可追溯性和不可否认性:所有敏感和重要的数据(例如,aaa相关的数据)被记录在区块链中。一旦发生任何责任纠纷,在区块链中记录的信息可以提供充分的证据。
[0173]
丰富的网络功能:与传统的网络功能相比,本公开的实施例可以支持许多新颖的功能。下面列出了其中一些:
[0174]
1)高效的跨域认证和授权。在本公开的实施例中,ue的授权和认证信息可以被记录在区块链中,并被提前加载到每个认证节点上,或者可以被存储在网络或网域的边缘节点处。因此,ue跨域认证过程不需要访问它的归属网络的认证节点。因此,本公开的实施例可以简化认证过程并减少通信开销。
[0175]
2)跨域通信隐私保护。本公开的实施例不允许非归属网络获取ue的真实身份信息,并且可以通过区块链实现匿名身份认证。因此,可以保护ue的隐私。另一方面,在信任核心的帮助下,可以实现跨域的端到端通信安全。
[0176]
3)轻松计费。在ue的计费信息被写入区块链后,可以方便每个网域的定期支付结算。
[0177]
4)支持前向兼容性和后向扩展。基于区块链的信任管理平台不影响传统网络的认证、授权和计费机制,但在跨域通信中起着至关重要的作用。它支持前向兼容性,并且还通过支持将新功能参与到综合hetnet中来适用于向后扩展。
[0178]
图17图示了在其上可以实施本公开的实施例的装置1700。尽管装置1700是相对于特定设备或设备来描绘的,但可以设想,图17内的其他设备或装置(例如,矿工节点、认证节点、网络节点、在其上执行可信执行环境的服务器等)可以部署系统1700的所示硬件和组件。装置1700被设计并被编程(例如,经由计算机程序代码或指令)以用于如本文所述的综合网络中的信任管理,并且包括用于在装置1700的其他内部组件与外部组件之间传递信息的通信机制,诸如总线1710。信息(也称为数据)被表示为可测量现象的物理表达,通常是电
压,但在其他实施例中,包括诸如磁、电磁、压力、化学、生物、分子、原子、亚原子和量子互动的现象。装置1700或其一部分构成虚拟化网络中的用于执行安全和信任技术和解决方案的一个或多个步骤的装置。
[0179]
总线1710包括一个或多个并行的信息导体,以使得信息在被耦合到总线1710的设备之间快速传送。用于处理信息的一个或多个处理器1702与总线1710耦合。
[0180]
处理器1702执行对与如本文所述的分布式网络中的去中心化信任评估相关的如计算机程序代码所指定的信息的一组操作。计算机程序代码是一组指令或语句,提供用于处理器和/或计算机系统的操作的指令以执行指定的功能。例如,代码可以用被编译成处理器的本机指令集的计算机编程语言来编写。也可以使用本机指令集(例如机器语言)直接编写代码。该组操作包括从总线1710中引入信息和将信息放置在总线1710上。该组操作通常还包括比较两个或更多个信息单元,移动信息单元的位置,以及诸如通过加法或乘法或逻辑运算(如“或”、“异或(xor)”和“与”)来组合两个或更多个信息单元。可以由处理器执行的一组操作中的每个操作通过被称为指令的信息(诸如一个或多个数字的操作码)向处理器表示。将要由处理器1702执行的一系列操作(诸如一系列操作码)构成处理器指令,也称为计算机系统指令或者简称为计算机指令。处理器可以被单独或组合实现为机械、电、磁、光学、化学或量子组件等。
[0181]
装置1700还包括耦合到总线1710的存储器1704。存储器1704(诸如随机存取存储器(ram)或其他动态存储设备)存储包括用于如本文所述的分布式网络中的去中心化信任评估的处理器指令的信息。动态存储器允许在其中存储的信息被装置1700改变。ram允许在被称为存储器地址的位置处存储的信息单元与在相邻地址处的信息无关地存储和检索。存储器1704还被处理器1702用于在执行处理器指令期间存储临时值。装置1700还包括耦合到总线1710的只读存储器(rom)1706或其他静态存储设备,用于存储不被装置1700改变的静态信息,包括指令。一些存储器由易失性存储装置组成,其在断电时丢失在其上存储的信息。耦合到总线1710的还有非易失性(永久)存储设备1708,诸如磁盘、光盘或闪存卡,用于存储即使在装置1700被关闭或以其他方式断电时也继续存在的的信息,包括指令。
[0182]
包括用于如本文所述的综合网络中的信任管理的指令的信息从外部输入设备1712(诸如包含由人类用户操作的字母数字键的键盘或传感器)提供给总线1710以供处理器使用。耦合到总线1710的主要用于与人类交互的其他外部设备包括显示设备1714,诸如阴极射线管(crt)或液晶显示器(lcd),或者用于呈现文本或图像的等离子体屏幕或打印机,以及用于控制在显示器1714上呈现的小光标图像的位置并发出与在显示器1714上呈现的图形元素相关联的命令的定点设备1716,诸如鼠标或轨迹球或光标方向键或运动传感器。在一些实施例中,例如,在装置1700自动执行所有功能而无需人类输入的实施例中,省略了外部输入设备1712、显示设备1714和定点设备1716中的一个或多个。
[0183]
在所示的实施例中,诸如专用集成电路(asic)1720的专用硬件被耦合到总线1710。专用硬件被配置为针对特殊目的足够快地执行处理器1702未执行的操作。专用ic的示例包括用于生成用于显示器1714的图像的图形加速卡、用于加密和解密通过网络发送的消息的密码板、语音识别、以及与特殊外部设备(诸如重复执行在硬件中更有效实现的一些复杂操作序列的机械臂和医疗扫描设备)的接口。
[0184]
装置1700还包括耦合到总线1710的通信接口1770的一个或多个实例。通信接口
1770提供与用自己的处理器操作各种外部设备(诸如打印机、扫描仪和外部磁盘)的单向或双向通信耦合。通常,耦合是用被连接到具有自己的处理器的各种外部设备所连接到的本地网络的网络链路。例如,通信接口1770可以是个人计算机上的并行端口或串行端口或通用串行总线(usb)端口。在一些实施例中,通信接口1770是综合业务数字网络(isdn)卡或者数字用户线(dsl)卡或者提供与对应类型的电话线的信息通信连接的电话调制解调器。在一些实施例中,通信接口1770是电缆调制解调器,其将总线1110上的信号转换成用于通过同轴电缆的通信连接的信号或者用于通过光纤电缆的通信连接的光信号。作为另一个示例,通信接口1770可以是局域网(lan)卡,以提供到可兼容lan(诸如以太网)的数据通信连接。也可以实现无线链路。对于无线链路,通信接口1770发送或者接收或者发送和接收电、声或电磁信号,包括红外和光信号,这些信号携带诸如数字数据的信息流。例如,在无线手持设备(诸如移动电话,像蜂窝电话)中,通信接口1770包括被称为无线电收发机的无线电频带电磁发射机和接收机。在某些实施例中,通信接口1770使得能够连接到用于如本文所述的分布式网络中的去中心化信任评估的虚拟化网络。
[0185]
如本文所使用的,术语“计算机可读介质”是指参与向处理器1702提供信息(包括用于执行的指令)的任何介质。这种介质可以采取多种形式,包括但不限于计算机可读存储介质(例如,非易失性介质、易失性介质)和传输介质。诸如非易失性介质的非暂时性介质包括例如的光盘或磁盘,诸如存储设备1708。易失性介质包括例如动态存储器。传输介质包括例如同轴电缆、铜线、光纤电缆和穿过没有电线或电缆的空间的载波,诸如声波和电磁波,包括无线电波、光波和红外波。信号包括通过传输介质传输的人为的幅度、频率、相位、极化或其他物理特性的瞬态变化。计算机可读介质的常见形式包括例如软盘、软磁盘、硬盘、磁带、任何其他磁性介质、cd-rom、cdrw、dvd、任何其他光学介质、穿孔卡片、纸带、光学标记片、具有孔图案或其他光学可识别标记的任何其他物理介质、ram、prom、eprom、flash-eprom、任何其他存储芯片或盒、载波、或计算机可以读取的任何其他介质。本文所使用的术语计算机可读存储介质是指除了传输介质之外的任何计算机可读介质。
[0186]
在一个或多个有形介质中被编码的逻辑包括计算机可读存储介质上的处理器指令和专用硬件(诸如asic 1720)中的一者或两者。
[0187]
本公开的至少一些实施例涉及使用装置1700来实施本文所描述的一些或所有技术。根据本公开的一个实施例,这些技术由装置1700响应于处理器1702执行在存储器1704中包含的一个或多个处理器指令的一个或多个序列而执行。这种指令(也称为计算机指令、软件和程序代码)可以从另一个计算机可读介质(诸如存储设备1708或网络链路)读入存储器1704中。执行在存储器1704中包含的指令序列使处理器1702执行本文所描述的一个或多个方法步骤。在替代实施例中,可以使用诸如asic 1720的硬件来代替软件或与软件结合以实现本发明。因此,本发明的实施例不限于硬件和软件的任何特定组合,除非本文另有明确说明。
[0188]
通过通信接口1770在网络链路和其他网络上传输的信号携带去往和来自装置1700的信息。装置1700可以通过网络、通过通信接口1770发送和接收信息,包括程序代码。所接收到的代码可以在它被接收到时由处理器1702执行,或者可以被存储在存储器1704或存储设备1108或其他非易失性存储器中以供以后执行,或者两者兼而有之。以这种方式,装置1100可以获取采用载波上的信号形式的应用程序代码。
[0189]
图18图示了可以在其上实现本公开的实施例的芯片集或电路1800。芯片集1800被编程用于如本文所述的综合网络中的信任管理,并且包括例如结合在一个或多个物理封装(例如芯片)中的关于图18描述的处理器和存储器组件。作为示例,物理封装包括一个或多个材料、组件和/或电线在结构组件(例如,基线板)上的布置,以提供一个或多个特性,诸如物理强度、尺寸保护、和/或电相互作用的限制。设想在某些实施例中,芯片集可以在单个芯片中实现。芯片集1800或其一部分构成用于执行在相同通信会话中执行多种形式的通信的一个或多个步骤的装置。
[0190]
在一个实施例中,芯片集1800包括用于在芯片集1800的元件之间传递信息的通信机制,诸如总线1801。处理器1803连接到总线1801以执行指令并处理在例如存储器1805中存储的信息。处理器1803可以包括一个或多个处理核,每个核被配置为独立地执行。多核处理器能够实现在单个物理封装内的多处理。多核处理器的示例包括两个、四个、八个或更多数量的处理核。可替代地或附加地,处理器1803可以包括一个或多个微处理器,其经由总线1801串联被配置为能够独立执行指令、流水线和多线程。处理器1803还可以伴随有执行特定处理功能和任务的一个或多个专用组件,诸如一个或多个数字信号处理器(dsp)1807,或一个或多个专用集成电路(asic)1809。dsp 1807通常被配置为独立于处理器1803而实时处理真实世界信号(例如,声音)。类似地,asic 1809可以被配置为执行通用处理器不容易执行的专用功能。帮助执行本文所述的发明功能的其他专用组件包括一个或多个现场可编程门阵列(fpga)(未示出)、一个或多个控制器(未示出)、或一个或多个其他专用计算机芯片。
[0191]
处理器1803和伴随的组件经由总线1801连接到存储器1805。存储器1805包括动态存储器(例如,ram、磁盘、可写光盘等)和静态存储器(例如,rom、cd-rom等)两者,以用于存储可执行指令,这些指令在被执行时执行本文所描述的创造性步骤,以在相同通信会话中执行多种形式的通信。存储器1805还存储与创造性步骤的执行相关联的或由该执行产生的数据。
[0192]
如在本技术中所使用的,术语“电路”是指以下所有内容:
[0193]
(a)仅硬件电路实现方式(例如,仅采用模拟电路和/或数字电路的实现方式),
[0194]
(b)电路和软件(和/或固件)的组合,诸如(如适用):(i)(一个或多个)处理器的组合,或者(ii)(一个或多个)处理器/软件(包括(一个或多个)数字信号处理器)、软件和(一个或多个)存储器的一起工作以使装置(诸如移动电话或服务器)执行各种功能的部分,以及
[0195]
(c)需要软件或固件以操作的电路,诸如(一个或多个)微处理器或(一个或多个)微处理器的一部分,即使软件或固件实际上并不存在。
[0196]“电路”的定义适用于本技术中对该术语的所有使用,包括在任何权利要求中。作为进一步的示例,如在本技术中使用的,术语“电路”也涵盖仅(一个或多个)处理器或者处理器的一部分及其随附的软件和/或固件的实现方式。例如,如果适用于特定要求保护的元素,术语“电路”还将涵盖用于移动电话的基带集成电路或应用处理器集成电路、或者服务器、蜂窝网络设备或其他网络设备中的类似集成电路。
[0197]
图中所示的框可以表示方法中的步骤和/或计算机程序中的代码段。框的特定顺序的图示并不一定意味着对于框存在所需的或优选的顺序,并且框的顺序和布置可以改变。此外,可以省略一些框。
[0198]
附图中的流程图和框图示出了根据本公开的各种实施例的系统、方法和计算机程序产品的可能实施方式的架构、功能和操作。在这方面,流程图或框图中的每个框可以表示代码的模块、元件、段或部分,其包括用于实现指定的(一个或多个)逻辑功能的至少一个可执行指令。还需指出,在一些替代实施方式中,框中标记的功能可以不按图中所示的顺序发生。例如,连续示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反的顺序执行,这取决于所涉及的功能。还需指出,框图和/或流程图的每个框以及框图和/或流程图中的框的组合可以由执行特定功能或动作的基于专用硬件的系统或者专用硬件和计算机指令的组合来实现。
[0199]
本公开包括本文明确公开的任何新颖特征或特征的组合或其任何概括。鉴于前面的描述,当结合附图阅读时,对本公开的前述示例性实施例的各种修改和改编对于相关领域的技术人员来说变得显而易见。然而,任何和所有修改仍将落在本发明的非限制性和示例性实施例的范围内。
再多了解一些
本文用于创业者技术爱好者查询,仅供学习研究,如用于商业用途,请联系技术所有人。
