分布式設備撤銷的製作方法

2023-10-08 19:44:34 2

專利名稱：分布式設備撤銷的製作方法
技術領域：
以下涉及分布式數據採集、處理及相關技術。尤其涉及相互無線通信 的醫學設備的分布式網絡的安全性，其被配置為監控病人的生命特徵或其 它在診斷上有重大意義的生理參數，給病人提供受控制的藥物傳送，給病 人提^^流量受控的靜脈注射液傳送等，並藉助對此的具體參考來加以描述。 以下總體上更多地涉及任何種類的自主設備節點的分布式網絡的安全性， 不論自主設備節點是以無線方式連接還是以有線方式連接，所述自主設備 節點被配置為執行醫學應用、控制應用(例如分布式建築物燈光的控制或
氣候控制通風調節裝置(climate control register))等。在另一個普遍方案中， 以下總體上涉及分布式網絡的安全性，在該分布式網絡中能夠以ad hoc方 式增加或移除自主設備節點，例如電子設備的藍牙網絡、膝上型電腦或其 它具備WiFi性能的設備可以以ad hoc方式連接及斷開連接的WiFi熱點、 分布式對等文件共享網絡等。
背景技術：
自主無線互聯醫療設備正越來越多的在醫院及其它醫療機構使用。這 種設備消除了有線通信連接，例如電纜和導線，否則它們會妨礙醫務人員 和病人的行動。這種無線自主醫療設備可以互相連接以構成ad hoc分布式 網絡，其有助於根據病人變化的醫療位置來增加和去除醫療設備。互聯為 分布式網絡的無線自主設備的使用還可以提供了計算資源的有效分布，提 高了在發生設備故障時的冗餘性，提高了數據存儲的冗餘性，這在一個設 備丟失了其存儲內容的情況下會是有優勢的，等等。
分布式網絡暗示了大量的安全性問題。每一個自主設備都代表可能危 及分布式網絡安全性的點。該設備的自主本質的結果是原則上任何單個設 備都可能被惡意軟體接管(例如病毒、木馬、蠕蟲等)。 一旦入侵者接管了 其中一個自主設備，入侵者就可以使用受危害的設備中斷分布式網絡或竊取醫學數據。例如在1996年美國醫療保險攜帶(流通)和責任法案(HIPAA) 通過了給予醫療數據的法律保護證明了保持病人醫療數據的完整性和隱私 權的重要性。如果分布式網絡包括為病人提供治療的設備(例如靜脈注射 液流量計、藥物傳送系統等)，分布式網絡的這個危害甚至會直接傷害病人。
確保網絡安全性的兩個方式是(1)避免任何節點受到危害，或者(2) 檢測受危害的節點，並將其從網絡中去除。本文是針對第二個選擇，在後 一方案中，檢測受危害的節點，撤銷其網絡特權，從而將這個受危害的節 點與網絡隔離。這個方案將受危害的節點可以造成的損害限制在受危害節 點直接控制下的區域中。
在集中式網絡中，中央伺服器節點控制通信，並具有針對網絡的其它 節點的權限。因此，在集中式網絡中，任何指定節點的撤銷(除了中央服 務器節點以外)都是直接的並且僅僅涉及使支配性的中央伺服器節點撤銷 受危害的節點的網絡特權。然而，在分布式網絡中，撤銷困難得多，因為 不存在可配置為授權進行撤銷的中央節點。同時，分布式網絡的設備的自 主本質提高了在單一節點受到危害時所涉及的風險，因為受危害的節點不 受集中控制，並且相對更自由地執行惡意的或破壞性的操作。

發明內容
根據一個方案，公開了一種分布式撤銷方法，包括在分布式網絡的 至少三個自主設備節點之間，進行對於是否應將分布式網絡的可疑自主設 備節點從分布式網絡中去除的投票，並且響應於所述投票滿足撤銷標準， 通過以下操作來停止在可疑自主設備節點與分布式網絡的其它自主設備節 點之'間的通信通過分布在分布式網絡中除了該可疑自主設備節點之外的 至少一些自主設備節點中的、用於撤銷該可疑自主設備節點的局部撤銷信 息進行合併來構成撤銷消息，在所涉及的分布式網絡的自主設備節點之間 互相傳送該撤銷消息，並可任選地，將該撤銷消息轉發到其它分布式網絡 中的其它自主設備節點。
根據另一個方案，公開了一種分布式網絡，其包括多個自主設備節點， 每一個自主設備節點都被配置為與其它自主設備節點安全地通信以便定 義分布式網絡；以及和與該自主設備節點進行安全通信的其它自主設備節點協作以執行在前段落中的分布式撤銷方法。
根據另一個方案，公開了一種自主設備節點，其被配置為與分布式網 絡中的其它自主設備節點安全地通信，並和與該自主設備節點進行安全通 信的其它自主設備節點協作以執行分布式撤銷方法，該方法包括(i)在分 布式網絡的至少三個自主設備節點之間進行關於是否應將分布式網絡的可 疑自主設備節點從分布式網絡中去除的投票，並基於表示分布式網絡中該 可疑自主設備節點的可信度的信任因子對所述投票進行加權，以及(ii)響 應於所述投票滿足撤銷標準，停止與可疑自主設備節點的通信。
根據另一個方案，公開了一種分布式撤銷方法，包括實施時間上受
限制的撤銷期間(session),在該撤銷期間中對多個自主設備節點各自的決 定進行合併以便決定是否應將可疑自主設備節點從分布式網絡中去除；並 且響應於贊同去除的撤銷期間決定，將可疑自主設備節點從分布式網絡中 去除。
根據另一個方案，公開了一種自主設備節點，其被配置為與分布式網 絡中其它自主設備節點安全地通信，並和與該自主設備節點進行安全通信 的其它自主設備節點協作以執行在前段落中闡述的分布式撤銷方法。
根據另一個方案，公開了分布式醫學監控網絡中的多個節點。對每一 個節點進行編程以便與該網絡的其它節點協商並民主地決定是否撤銷與被 檢測到參與一個或多個可疑活動的節點之間的網絡通信。
根據另一個方案，公開了一種包括多個節點的分布式網絡。每一個節
點都被配置為(i)隨機產生並向其它節點分發局部撤銷投票，所述局部撤
銷投票可以被合併以構成針對該節點的撤銷消息，以便被分發到一個其它
節點的所述局部撤銷投票不能由另一個節點進行複製或偽造；以及(ii)存 儲從其它節點接收的局部撤銷投票。
一個優點在於，通過提供對可疑自主設備節點的網絡特權的撤銷來提 高分布式網絡的安全性。
另一個優點在於，禁止分布式網絡的受危害的自主設備節點妨礙將該 自主設備節點從網絡撤銷。
另一個優點在於，減小了將正確運行的自主設備節點或分布式網絡的 所分配密鑰(distributed key)從分布式網絡不正確去除的可能性。本領域普通技術人員在閱讀並理解了以下詳細說明後會意識到本發明 更進一步的優點。


本發明會採取多種組件和組件布置以及多個步驟及步驟安排的形式。 附圖僅是用於示出優選實施例的目的，而不應解釋為限制本發明。
圖1以圖解方式顯示了用於監控並治療病人的醫學設備的分布式網絡， 其中將所述設備配置為執行分布式設備撤銷方法。
圖2以圖解方式顯示了適於由圖1的分布式網絡或由另一個分布式網 絡執行的分布式設備撤銷方法。
圖3以圖解方式顯示了二叉樹。 圖4以圖解方式顯示了 Merkle樹。
圖5以圖解方式顯示了示例性的分布式設備撤銷系統數據結構。 圖6以圖解方式顯示了用於兩個相鄰撤銷期間的相對時序。
具體實施例方式
參考圖1，在分布式網絡8的實例應用中，監控及可任選地治療病人 10。分布式網絡10包括多個自主設備節點，例如實例示出的設置在胸部的 傳感器12、 14、 16，設置在手腕的傳感器18，靜脈(IV)注射液滴注流量 計20，和安裝在天花板上的顯示監視器22。自主設備節點12、 14、 16、 18、 20、 22執行多種醫療功能，例如由設置在胸部的和設置在手腕的傳感器 12、 14、 16、 18執行的對監控病人10的生命特徵或其它在診斷上有重大意 義的生理參數的監控；執行治療功能，例如由流量計20控制從IV包24向 病人10傳送靜脈注射液流體；執行輔助任務，例如由顯示監視器22顯示 由傳感器12、 14、 16、 18採集的生命特徵數據；等等。監視器22的實例 顯示是顯示適合於由設置在胸部的傳感器12、 14、 16之一採集的脈搏信息 26以及由設置在手腕的傳感器18採集的血液氧合(Sp02)數據28。
自主設備節點12、 14、 16、 18、 20、 22是藉助於適合的無線協議，例 如藍牙、Zigbee、 WiFi等，相互通信的無線設備。可替換地，可以使用經 由有線網絡相互通信的有線設備，例如可以使用有線乙太網網絡，儘管電纜走線存在電纜連接會妨礙醫務人員和病人的行動的缺陷。自主設備節點
12、 14、 16、 18、 20、 22是自主的，因為每一個設備都可以獨立於集中控 制而運行。然而，在一些情況下，當從某些其它設備斷開連接時，自主設 備會喪失一些功能。例如，傳感器12、 14、 16、 18會具有有限的數據存儲， 很少的或沒有顯示能力。通常，這些傳感器12、 14、 16、 18與顯示監控器 22—起操作，顯示監控器22提供了大面積顯示以便示出趨勢數據等，並且 還會具有更大的數據存儲器。如果病人IO移出或被移出房間以致於傳感器 12、 14、 16、 18脫離了與安裝在天花板上的監視器22的無線接觸，那麼顯 示監視器22就暫時退出分布式網絡8，並且傳感器12、 14、 16、 18就喪失 了它們的一些功能。然而，自主傳感器12、 14、 16、 18繼續在分布式網絡 8中以降低後的功能級別操作，以採集並存儲數據，至少直到板載存儲器耗 盡為止。可任選地，在這種情況下可以改變數據採集速率、解析度或其它 參數，以便減小存儲器使用的速率。類似地，IV流量計20通常可以與醫院 網絡相連接，以便為護士站提供與IV輸送狀態有關的信息。如果病人移出 或被移出醫院網絡的範圍，那麼就喪失了這個與護士站通信的功能。然而， 在這個功能降低的狀態，自主流量計20繼續操作，以控制到病人10的IV 流體的流動。分布式網絡8是ad hoc網絡，在該網絡中，設備節點隨時可 以加入或退出。然而，如本文所述的，與分布式設備撤銷系統有關的特定 協議對於新加入分布式網絡8的設備節點而言是必不可少的。
每一個自主設備節點通常都對應於一個自主設備，儘管並不總是這樣 的情況。例如，在一些情況下，單個自主設備會定義兩個或更多個設備節 點，例如在同時實現兩個或更多個虛擬機的單個計算機的情況下。
分布式網絡8是adhoc網絡，在該網絡中，按照病人狀況、病人位置、 病人的治療進程、設備的可用性等所指示的，可以增加或去除設備。例如， 在圖1中，安裝在天花板上的顯示監視器22是分布式網絡8的一部分；然 而，如果病人移出或被移出房間並脫離顯示計時器22的範圍，那麼顯示監 視器22就會退出分布式網絡8，至少直到病人10回到或被移回無線通信範 圍中為止。
為了保持分布式網絡8的安全性和完整性，使用了適合的安全性協議。 這個協議包括使用密鑰保護的通信協議，在該協議中，分布式網絡8的自主設備僅從分布式網絡8中包含適當驗證密鑰或其它適當驗證信息的其它 自主設備接受數據。這種驗證可以基於安全性密鑰，例如分級確定性對偶 密鑰預分配方案(HDPKPS)中的密鑰，或者共/私密鑰對等等，或者基本 上任何其它類型的安全通信。
分布式網絡8的自主設備節點12、 14、 16、 18、 20、 22的自主本質提 出了額外的安全性問題。例如，其中一個自主設備節點會由於被惡意病毒 或其它惡意軟體代碼感染，或者由未授權的人登入等等而受到危害。這個 受危害的自主設備節點會繼續被配置為與分布式網絡8的其它自主設備節 點進行授權的通信，因為它會繼續用識別的共/私密鑰對協議或其它安全通 信協議進行通信。因此，這個受危害的設備造成了顯著的安全性威脅。
因此，分布式網絡8的自主設備節點12、 14、 16、 18、 20、 22還可操 作地執行分布式撤銷方法，其能夠實現將受危害的自主設備從自主網絡8 排除。為了確保受危害的設備不能針對未受危害的設備使用該分布式撤銷 方法，該撤銷方法包括在設備節點之間的民主交互。如果針對可疑設備的 投票滿足撤銷標準，那麼未受危害的設備就停止與可疑的並被撤銷的自主 設備進行通信。假定大多數自主設備沒有受到危害，這個分布式撤銷方案 確保了受危害的自主設備不能撤銷未受危害的設備，並且不能阻撓對其本 身的撤銷，因為在未受危害的設備在得票數上會勝過它。
參考圖2，描述了分布式撤銷過程。在設置操作40，將能夠實現安全 的相互通信的安全性信息配置給每一個自主節點12、 14、 16、 18、 20、 22。 例如，可以使用密鑰管理方案，其提供並管理加密密鑰以便能夠實現安全 性服務，例如驗證、保密性和完整性。結合實例撤銷系統而操作的密鑰管 理方案包括兩個組件密鑰分配和密鑰撤銷。密鑰分配描述如何在自主節 點之間分發安全信息，以便引導安全通信。分布式撤銷方法能夠實現對己 經受危害的可疑自主節點的撤銷，或者以可信的方式表明對可能的危害的 指不。
本文公開的分布式撤銷方案的特點展現了一些或全部以下特點。首先， 撤銷方案是分布式撤銷方案。分布式網絡8是不具有集中伺服器或控制器 節點的adhoc網絡，從而使得分布式撤銷方案是有優勢的。其次，分布式 撤銷方案利用了分布式網絡8的自主節點的協作。自主節點12、 14、 16、18、 20、 22協作，以民主的方式發現受危害或明顯受危害的自主節點，並 從分布式網絡8將其驅除。第三，撤銷是受到驗證的。該分布式設備撤銷 方法使自主設備節點的任何足夠大的子集在對任何可疑自主設備節點的撤 銷發生之前，在在該撤銷上取得一致意見。為了避免撤銷系統排除正確運 行的自主設備節點的誤用情況，至少藉助於那些投票驅除可疑自主設備節 點的設備來構成撤銷消息，這個撤銷消息被配置為在分布式網絡8的任何 自主設備節點受到驗證，以便設備節點能夠驗證針對可疑自主設備節點的 撤銷消息的真實性。
第四，該撤銷方法可任選地使用基於可疑設備的可信度的加權。在自 主設備節點之間的信任可以不同。作為醫學領域中的實例，考慮監控病人 生命特徵的一組自主傳感器設備。如果一個明顯不同的(例如不是傳感器 設備')新的傳感器請求允許加入該網絡，則傳感器設備節點就可以不信任 它。如果已經在該網絡中的設備節點不信任該新的候選節點，那麼撤銷就 用選擇的信任度因子加權該新節點，從而提高了撤銷可能性。因此，在一 些實施例中，設備撤銷方案包括對於不同節點的不同信任度因子，其表示 在節點之間的信任的不同程度，以便構建靈活的加權撤銷方案。
第五個可任選的特點涉及分布式撤銷方案的魯棒性。任何一個給定的 自主節點都會表現出偶然的行為，它會被另一個節點視為可疑的。例如， 自主傳感器設備節點由於假信號(glitch)而傳送錯誤的測量值，或者傳送 在該測量的預期範圍之外的真實測量值。這種行為會使得接收方自主節點 斷定發送節點受到危害，使得接收方節點投票贊成撤銷該發送節點。隨著 時間過去，會認識到這種偶然的不常見的行為會累積到用於撤銷的足夠票 數的點，使得撤銷系統排除正確運行的設備節點，該設備節點沒有受到危 害但表現出偶然的異常行為。為了應付這個可能性，分布式撤銷系統可任 選地使用時間上受限的撤銷期間，每一個投票都基於在該時間上受限的撤 銷期間中觀察到的行為。這個方案避免了在較長的時間段上的偶然異常行 為的累積導致不準確撤銷的情況。撤銷期間是限制了針對一個設備的撤銷 信息的有效性的時間段。
圖2的分布式撤銷方案可以分為兩個階段，即由設置操作40體現的部 署前階段，和部署後階段。在部署前階段或設置操作40中，伺服器或其它設置控制器(未示出)產生安全性密碼資料(keying material)或其它安全 性資料，並分發給要併入分布式網絡中的每一個自主設備節點。分發的安 全性資料包括用於每一個節點的撤銷信息，其能夠在部署後階段期間實現 設備撤銷。
在網絡建立操作42中，設法加入分布式網絡的每一個自主設備節點通 過向其它節點分發撤銷信息來與至少一些其它設備節點進行交互。這種撤 銷信息的成功分發是與分布式網絡建立通信的先決條件。因此，每一個自 主設備節點都向分布式網絡的其它設備節點散布撤銷信息。網絡建立操作 42可以還包括其它操作，例如交換公鑰以便能夠實現安全通信，確定相互 兼容的通信協議等等。在建立操作42結束時，建立了分布式網絡8，並且 每一個自主節點都在該分布式網絡的至少一些其它自主節點之間分發了其 撤銷信息。
用於驗證投票和撤銷消息的一些適合的驗證方案使用單向函數。例如， 可以使用散列函數h，其至少具有以下兩個特性(i)壓縮特性，其中，散 列函數h將任意有限比特長度的輸入x映射到固定比特長度n的輸出h(x); 以及(ii)易於計算的特性，在於指定h和輸入x,易於計算出h(x)。單向 散列函數是這樣的散列函數對它難以找到散列到預先指定的散列值的輸 入。通常單向散列函數具有預映射和第二預映射抵抗性(pre-image resistance )o
簡要參考圖3， 二叉樹也可以用於驗證。高度H的完整的二叉樹T具 有2H個葉子和2H-1個內部節點。如在圖3的圖解實例中(其中在該實例中 H=3)，每一個內部節點都具有兩個孩子，標記為"0"(左)和"1"(右)， 由三個比特標記每一個葉子節點，例如"000"、 "001"等。依據這個命名 約定、自然地排序葉子並按照從根到該葉子的路徑的二進位表示進行索引， 如圖3所示。
簡要參考圖4，高度H的Merkle樹是對每一個內部節點和葉子分配了 /個比特的位串的二叉樹。如下確定位串(i)葉子值(Lj，j=l，"',2H-l)是 一些葉子預映射(mj)的單向散列函數，以使得La-h(ma);以及(ii)內部節 點是孩子節點或葉子的單向散列函數，以使得I =/KAgK)或者 Ww "(Aj4) 。Merkle樹可用於以有效的方式驗證預映射值一隻需要H個值和散列計算來驗證2H個預映射。例如，為了驗證圖4所示的Merkle樹的個 別的mo，可以計算，(乖(w。)l^)liV23)liV47)並將結果與樹根N。7進行比較。
改進驗證Merkle樹(MAMT)適用於識別Merkle樹的路徑。為此，如 下確定位串(i)由1=—lAgAgicO或iV。,-;z(4L。llAj力給出內部節點(對 應於圖3中標記為N^的節點)；以及(ii)由4=/<4 。)給出葉子節點(對 應於圖3中標記為"Li", i=0-7的節點)。MAMT的使用還避免了生曰攻 擊(birthday attack )。
依據這些定義，定義了散列鏈形式(m1，…,ms)，它是多個值的集合，以 便每一個值mk (除了最後一個值ms以外)都是下一個值的單向散列函數。 就是說，mk+1=h(mk)，其中h是單向散列函數。在一些實施例中，將給定 的散列鏈第(k+l)個元素，即元素附、+ 1)，計算為wA(/t + i)"(4^A:)。以這 個方式構建散列鏈有利地避免了生日攻擊。
回來參考圖2，節點設置操作40產生分布式設備撤銷系統密碼資料。 在實例實施例中，這個資料包括撤銷信息，本文有時也稱為局部撤銷值或 投票.。這個信息是向相鄰自主設備節點公開的信息，它是網絡設置的一部 分。相鄰自主設備節點可以協作利用該局部撤銷投票信息來撤銷可疑的自 主設備節點。通常每一個自主設備節點都擁有t(s+l)個局部撤銷投票，其中 t指代每一個撤銷期間的局部撤銷投票的數量，(s+l)指代撤銷期間的數量。 在該實例實施例中，每一個自主設備節點的局部撤銷值由t個隨機撤銷值以 及從每一個隨機撤銷值中產生的長度為s的t個散列鏈的集合組成。
在撤銷期間中，如果進行投票並決定贊成撤銷一個可疑自主設備節點， 那麼就產生撤銷投票或撤銷消息，其明確地指示要撤銷該可疑自主設備節 點。這個撤銷投票或消息明確地確定要在撤銷期間k中撤銷該可疑自主設 備節點，並且其只能通過利用該可疑設備節點的第k個撤銷期間的局部撤 銷投票或信息來產生，該局部撤銷投票或信息已經在先前在網絡設置42期 間分發給其它設備節點。
在實例實施例中，分布式設備撤銷系統密碼資料還包括用於驗證局部 撤銷投票或信息的局部撤銷投票MAMT，以及用於驗證撤銷投票或信息的 撤銷投票MAM。該局部撤銷MAMT包括用於驗證局部撤銷投票的兩個 MAMT: (i)第一MAMT是撤銷驗證樹(RAT，本文有時也表示為用於設備i的局部撤銷投票驗證樹PMi )，其用於驗證一個設備節點的局部撤銷投
票，以及(ii)第二 MAMT是全局撤銷驗證樹(GRAT，本文有時也表示為 全局局部撤銷投票驗證樹GPM)，其用於驗證全部網絡設備的RAT。撤銷 投票MAMT由兩個另外的MAMT組成，其功能是驗證設備節點的撤銷投 票或信息。
繼續參考圖2，並進一步參考圖5，在實例實施例中，在節點設置40 期間如下產生分布式設備撤銷系統密碼資料。密碼資料的產生具有兩個主 要階段(i)用於每一個設備的密碼資料產生；以及(ii)全局MAMT產 生。圖5描繪了為自主設備節點55產生的分布式設備撤銷系統密碼資料， 以及兩個全局MAMT56、 57。
在第一階段，為每一個設備節點產生密碼資料。局部撤銷投票信息的 產生如下。產生一組隨機撤銷投票。每一個隨機撤銷投票都具有長度/個比 特，並由ry來表示，其中i表示設備，j表示設備節點中的第j個隨機撤銷 投票。在圖5中，用於設備i的隨機撤銷投票位於用於自主設備節點55的 分布式設備撤銷系統信息的最後一行。對於每一個隨機撤銷投票rij，設置 伺服器(未示出)都產生長度s的散列鏈。本文將散列元素稱為散列撤銷投 票，並由m。表示，其中i表示設備節點，k和j表示用於撤銷期間k的設備 節點中的第j個散列撤銷投票。按如下從隨機撤銷投票中產生散列撤銷投 票附L^/^，,)， 並推廣到第s個值，《"(m(;1)。在圖5中，
散列撤銷投票<;由用於自主設備節點55的分布式設備撤銷系統密碼資料 內的t個s個元素的列來進行符號表示。
如下產生撤銷值或信息。該設置包括產生表示為《的s+l個撤銷值， 其中i標識設備節點，k表示第k個撤銷期間。這些值由以下給出對於k-0 的值，《=^卜,2||.+,,)，對於hl，…，s， C《ll《l…l《)來給出這些值。 在圖5中，撤銷值60顯示在用於自主設備節點55的分布式設備撤銷系統 密碼資料的右側。
局部撤銷投票MAMT的計算如下。這個MAMT驗證一個設備節點所 具有的局部撤銷投票。設備i的局部撤銷投票MAMT具有表示為Laij， j-l，…，t的t個葉子。將每一個葉子計算為丄。,,;=/<4<,)。本文將用於設備i 的局部撤銷投票MAMT的根表示為PMi。在圖5中局部撤銷投票MAMT 61顯示在用於自主設備節點55的分布式設備撤銷系統密碼資料上方，並稱為 PM。
撤銷投票MAMT的計算如下。這個MAMT驗證一個設備所具有的撤 銷投票或信息。用於設備i的撤銷投票MAMT具有s+l個葉子化4，k-0，…，s。 將每一個葉子計算為^ =。用於設備i的撤銷投票MAMT的根稱為 RMi。撤銷投票MAMT 62在圖5中顯示在撤銷值60的右側。
密碼資料產生的第二個主要階段是全局MAMT56、 57的產生。表示為 GPM 56的全局局部撤銷投票MAMT驗證網絡設備節點的局部撤銷投票。 GPM具有n個葉子，其值為丄諷=一|"7;)， i=l,"*,n。表示為GRM57的全 局撤銷投票MAMT (有時也稱為全局撤銷投票驗證樹(GRCT))驗證全部 網絡設備節點的撤銷投票。GRM具有n個葉子，其值為丄gc,;/^,C7;)， i=l,"*，n，其中RCTi表示用於設備i的撤銷投票驗證樹。
繼續參考圖2和5，作為節點設置40的一部分，設置伺服器向每一個 自主設備節點分發以下分布式設備撤銷系統密碼資料(i)用於自主設備節 點的分布式設備撤銷系統密碼資料55，其包括t個隨機撤銷投票構成的組 {riJ},j=l，，，，，t以及從所述隨機撤銷投票中產生的t個散列撤銷投票或者散列 鏈(《》一l，…，t, k=l，"'，s構成的組；(ii)與該隨機撤銷投票和散列鏈的組 相關聯的局部撤銷投票MAMT 61; (iii)與從隨機撤銷投票和散列撤銷投 票中產生的撤銷投票或信息相關聯的撤銷投票MAMT62; (iv) GPM 56的 路徑，其使設備節點i能夠驗證隨機撤銷投票和散列撤銷投票；以及(v) GRM57的路徑，其能夠實現對撤銷投票的驗證。
參考圖2，在網絡建立操作42中，每一個設備節點都向其相鄰設備節 點公開了足夠的撤銷信息，以允許相鄰設備節點能夠協作實現對該設備節 點的撤銷。這個公開是加入該分布式網絡的先決條件。每一個相鄰設備節 點都接收用於當前撤銷期間的局部撤銷信息，它是在用於期間k的t個可能 的局部撖銷投票中選擇的，即{</} j=l...t。所公開的信息對於每一個相鄰 設備節點都是不同的。例如，如果t-8，F2，當前期間是5，設備節點#7具 有四個鄰居，那麼設備節點#7會分別向第一、第二、第三和第四相鄰設備
節點公開formula see original document page 17}。每一個相鄰設備節
點還接收局部撤銷投票MAMT和GPM 56的值，其驗證一個設備節點向相鄰設備節點公開的局部撤銷投票。每一個相鄰設備節點還接收撤銷投票
MAMT 62和全局撤銷投票MAMT (GRM) 57的值，其驗證當前撤銷期間k的撤銷投票。注意，這些值對於任何單個相鄰設備節點撤銷可疑的設備節點而言是不夠的，因為沒有公開對於該節點的撤銷投票。撤銷投票只能通過共享所公開的局部撤銷投票信息而藉助於在相鄰設備節點之間的合作來產生。
繼續參考圖2， 一旦由操作40、 42建立了網絡，它就運行以執行其預期的功能，例如圖1以圖解方式描繪的實例醫學分布式網絡8的醫學監控和治療功能。在這種操作期間，多個自主設備節點通過彼此發送安全的消息來進行相互通信。在撤銷期間70期間，每一個自主設備節點都監控它與其它設備節點的通信，其目的在於檢測在另一個設備節點上的可疑性質或行為，其可能暗示另一個設備節點是某種方式受到危害的可疑的自主設備節點。可疑性質或行為的一些實例可以包括例如發送明顯不正確的數據值；請求未授權的服務或操作；拒絕對授權請求的響應；對授權請求的不正確或非預期的響應；用無效安全性信息進行通信；等等。從而每一個設備節點都在撤銷期間70期間對是否投票撤銷可疑節點作出各自的決定。為了針對撤銷進行投票，設備節點向其它設備節點公開其針對可疑節點的局部撤銷信息。
繼續參考圖2，在撤銷期間70中的任意時間，設備節點能夠進行關於是否排除可疑設備節點的投票。通常，當公開了針對可疑設備的所有局部撤銷投票投票時，發生關於撤銷的投票。在決定74，決定投票是否滿足撤銷標準，例如針對可疑設備的所有局部撤銷投票的公開。如果不是，那麼撤銷期間70就繼續，直到其時間間隔終止為止。在該撤銷期間終止時，丟棄76任何公開的局部撤銷投票，且新的撤銷期間開始。撤銷標準例如可以是根據贊成去除可疑自主設備節點的投票數的閾值標準。例如，如果對於可疑設備存在T個分布式局部撤銷投票，那麼T個設備節點就必然投票贊成撤銷，以便使決定74贊成撤銷。在其它實施例中，使用了多數決定原則標準，它基於贊成撤銷的投票與自主設備節點的總數的比值。在多數決定原則方案中，隨著增加的節點的增多，用於撤銷的閾值T增大。也可以使用其它撤銷標準。在一些實施例中，將節點可信度加權78併入到撤銷標準中。體現在節點可信度加權78中的節點可信度與可疑設備節點是否表現出可疑的行為無關，而是與設備節點的使得它具有或多或少的可信度的內在方面有關。這些內在方面可以包括，例如，可疑設備節點與分布式網絡的其它設備節點的共同性或區別，假定極為不同的設備節點更有可能是受危害的節點，有可能是由惡意第三方引入來獲得對分布式網絡的訪問。例如，如果將用於執行非醫學功能的設備節點引入圖1的醫學分布式網絡8中，則為這個非醫學設備節點分配表示該設備節點不應輕易認為是可信的節點可信度加權78的值，就會是合理的。
會影響分配的節點可信度加權78的設備節點的另一個內在方面是可疑設備節點是否被配置為與分布式網絡以外的設備通信，假定這種外部通信提供了危害可疑設備節點的機會。針對圖1的醫學分布式網絡8進行考慮，如果安裝在天花板上的顯示監視器22與醫院外的網絡或與網際網路連接，那麼為這個顯示監視器22分配表示該設備節點不應輕易認為是可信的節點可信度加權78的值，就會是合理的。相反，如果設置在胸部的傳感器節點12、14、 16僅與分布式網絡8的其它設備節點通信，那麼為這些傳感器節點12、14、16分配表示這些設備節點更易於認為是可信的節點可信度加權78的值，就會是合理的。
會影響分配的節點可信度加權78的設備節點的另一個內在方面是可疑自主設備節點運行的獨立控制或作業系統的類型。如果作業系統是不太安全且更易於受到危害的類型，那麼為這個設備節點分配表示該設備節點不應輕易認為是可信的節點可信度加權78的值，就會是合理的。相反，如果作業系統是被認為是更安全且難以受到危害的類型，那麼為這個內在上更安全的設備節點分配表示該設備更易於認為是可信的節點可信度加權78的值，就會是合理的。
影響節點可信度加權78的各種因素對總節點可信度加權78會具有不同的影響。例如，對信息不適當的請求對節點可信度會具有較重的權重，而超出範圍的測量值輸出會對節點可信度具有較輕的權重。在一些實施例中，將各種因素的每一個對節點可信度的影響存儲在每一個節點上的或中央伺服器中的資料庫中。圖6以圖解方式顯示了一個實例，其示出了使用所述撤銷期間方案的優勢。在圖6中，以黑點80來表示可疑節點的可疑異常行為的每一次出現。在第一撤銷期間70,中，兩個這種可疑事件80出現，使得兩個相鄰設備節點分別決定撤銷該可疑設備節點(假定由兩個不同相鄰設備節點觀察到這兩個可疑事件)。這兩個設備節點分別投票贊成撤銷，但沒有觀察到可疑行為的剩餘設備節點投票多於它們。作為集體，投票反對撤銷。在第一撤銷期間70,結束時，丟棄這兩個贊成撤銷的個別決定。大約在第一撤銷期間7(h的終點，第二撤銷期間702開始。
在圖6中，第二撤銷期間702在時間上與第一撤銷期間70,交疊一個較小的時間間隔T。ve^ (就是說，相對於撤銷期間70，、 702的持續時間來說較小)。如果下一個撤銷期間精確地在上一個撤銷期間結束時開始，這會導致協議故障，例如如果一個撤銷過程在一個撤銷期間的終點開始，但撤銷消息(它只對該撤銷期間有效)在下一個撤銷期間的某個時間才會到達網絡的其餘部分。通過提供相鄰撤銷期間的時間交疊T。v^p，消除了撤銷過程的
這個可能的異常終止，或者降低了其可能性。在交疊時間間隔T。ve鄉期間，撤銷過程根據以下規則進行(i)分布式網絡的成員使用來自最新撤銷期間(就是說，用於圖6的交疊時間間隔T。venap的撤銷期間702)的局部撤銷投
票針對要被撤銷的節點投局部票；但(ii)節點可能會接收並驗證來自最新撤銷期間(圖6的期間702)或來自前一個撤銷期間(圖6中的期間70》的合併撤銷投票一在任一情況下驗證了的時候就撤銷可疑節點。儘管交疊時間間隔T。veriap具有某些優點，但預期是沒有交疊，即T。veriap=0 。
繼續參考圖6，在第二撤銷期間702期間觀察到單個可疑事件，使得單一相鄰設備節點單獨決定撤銷該可疑設備節點。因此在撤銷期間702的投票中，集合的投票再一次反對撤銷。在不使用撤銷期間的情況下，其結果會是贊成撤銷的投票會隨時間累積，最終導致該可疑設備節點的撤銷。這個結果不是所希望的，因為沒有受到危害的正常運行的設備節點仍會偶爾表現出被相鄰節點認為是可疑的行為，例如偶然的假信號，其導致了明顯無效的數據輸出等等。
儘管撤銷期間的使用通常是有利的，但在一些實施例中可以省略撤銷期間並允許在延長的時間上累積撤銷投票。在另一個變化例中，不是簡單地在撤銷期間的終點丟棄所公開的局部撤銷投票，而是可以將那些局部撤
銷投票用於調整節點可信度加權78。例如，如果幾個節點通過公開其局部撤銷投票來投票撤銷可疑節點，但沒有足夠的未受危害的節點投票贊成撤銷以啟動撤銷操作，針對該可疑設備節點的幾個所公開的局部撤銷投票的存在可以用於調整該可疑設備節點的節點可信度加權78。這個方案反映了這些局部撤銷投票公開表示了該可疑節點存在某些問題，即使在撤銷期間中累積的投票不足以撤銷該可疑節點。
回來參考圖2，如果在決定74中確定投票滿足撤銷標準，那麼設備節點在操作84中協作來合併與被撤銷的可疑設備節點有關的所公開的局部撤銷信息，以構成撤銷消息(例如重建存儲在被撤銷的可疑設備節點上的撤銷投票)。構成的撤銷消息隨後在操作86中通過分布式網絡相互傳送，並接收到該撤銷消息的每一個設備節點停止與被撤銷的可疑設備節點的通信。這個相互通信86的結果是將被撤銷的可疑設備節點從分布式網絡中排除。可任選地，撤銷消息可以包括超出驗證該撤銷消息所必需的內容之外的額外信息，例如觀察到的異常行為的列表或標識，用於幫助技術人員進行隨後的診斷。
可任選地，響應於分布式網絡中接收到並驗證了該撤銷消息的至少一個自主設備節點(通常除了該可疑自主設備節點之外)與中央控制節點的連接，將該撤銷消息傳送到中央控制節點。中央控制節點可任選地採取進一步的操作，例如向人員通知與被撤銷的可疑設備節點有關的可能的安全性問題，或者採取措施以確保被撤銷的可疑設備節點不會加入其它分布式網絡，撤銷相關密鑰，等等。在一些實施例中，預期中央控制器可任選地重新配置並重新接納可疑節點回到網絡中。這種重新接納是可任選地，以對可疑節點的後續行為的觀察為條件，並可以包括向重新接納的節點分配較低的信任因子。
操作84、 86組成設備節點撤銷階段，只在由投票決定74確定要撤銷一個可疑設備節點時才會發生。在此情況下，可疑設備節點的相鄰節點啟動針對它的撤銷過程84、 86。為此，相鄰設備節點交換它們在網絡建立階段42期間從可疑設備節點接收到的、並且它們用RAT和GRAT值驗證過的局部撤銷投票。此刻已經公開了用於撤銷期間k的全部t個局部撤銷投票(m^,nC/,…,m^)，被撤銷的可疑設備節點的任何相鄰設備節點都能夠通過計算用於當前期間k的t個良好排列的局部撤銷投票的散列值(i f =W《1<;1...|<"))，來計算針對可疑設備節點的撤銷投票。為了驗證計算的撤銷投票或信息以便核對撤銷可疑設備節點的授權，相鄰設備節點將計算的撤銷投票與驗證該撤銷投票的撤銷投票驗證樹(RCT)和全局撤銷投票驗證樹(GRCT)的值一起廣播。
所述分布式設備撤銷系統在與當前密鑰分配系統結合時，還可以用於提供密鑰撤銷。用於撤銷受危害的密鑰的方案適合取決於所用的密鑰預分配方案(KPS)的類型。對於隨機KPS，可以通過刪除受危害的密鑰來實現密鑰撤銷。例如， 一旦一組設備節點投票撤銷可疑設備節點，並啟動了針對它的撤銷過程84、 86，分布式網絡中的所有設備節點都可以刪除與被撤銷的設備節點的共用密鑰。然而，這個方案導致安全鏈路數量的減少，並減小了網絡的連接性。為了避免這個問題，可任選地更新受危害的密鑰而不是刪除它。在基於Blundo多項式的確定性KPS中，例如HDPKPS方案，不能刪除密碼資料，因為這種刪除會引起網絡連接性的顯著降低。一旦一個設備受到危害，在此類密鑰分配方案中的密鑰撤銷可任選地更新受危害的密碼資料。這個方案包括安全設置伺服器或中央控制節點的協作。
可以基於表示可疑的所分配密鑰的可信度的信任因子，以類似於使用節點信任度加權78的方式，來偏移在密鑰撤銷系統中的投票。這裡，由個別自主設備節點進行的投票贊成撤銷的個別決定適合基於可疑的所分配密鑰的可疑使用。關於是否撤銷所分配密鑰的集合投票可以基於信任因子，其值與可疑的所分配密鑰的長度或密鑰的表示其它安全性級別的特性有關，或者其值與發出該所分配密鑰的設備節點的可信度有關，等等。
現有KPS方案可覺察到藉助於節點複製、女巫攻擊等造成的危害。在基於密鑰的隨機分配或Blundo多項式的密鑰預分配方案中可以找到多個實例。在隨機KPS中，攻擊者可以使用來自幾個設備節點的密碼資料來得到新的密碼資料，攻擊者從而可以偽造新的身份。在基於Blundo多項式的KPS中，攻擊者通過捕獲大於用以成功進行危害的閾值數量的多個設備，可以偽造許多身份，隨後讀出密碼資料，並重建密碼資料。本文公開的分布式設備撤銷方案可以用於避免這種複製攻擊。這個避免的實現原因在於不能複製或偽造分布式設備撤銷系統密碼資料，因為局部撤銷投票是隨機
產生的，並且只由每一個接收設備節點獲知。而且，可以通過使用MAMT來驗證局部撤銷投票。因此，因為不能重建分布式設備撤銷系統的密碼信息，本文公開的分布式設備撤銷方案避免了身份偽造。
在醫學分布式網絡8中，檢測可疑性質或行為，依據適合的投票結果，能夠導致可疑設備節點的撤銷。醫學分布式網絡8中的這個可疑性質或行為通常涉及覺察到的或實際的安全性威脅，其中可疑設備節點被覺察到或實際上已經受到入侵者的危害，例如通過數字病毒、木馬、蠕蟲，或其它惡意軟體或可執行數字代碼的媒介。然而更普遍的，將可疑自主設備節點的"可疑"性質或行為廣泛地解釋為被認為是與分布式網絡的福利或目的相反的任何特性或行為。
例如，本文公開的分布式設備撤銷方案的另一個預期的應用是對等文件共享網絡，例如基於網際網路的對等音樂共享網絡、對等電影共享網絡等。在這個應用中，可疑行為可以包括違反適用的版權法或道德方面的考慮，試圖共享(即發送、企圖發送或請求)有版權的資料。例如，每一個合法的自主節點(例如個人計算機、可攜式音樂播放器、有網際網路連接能力的立體聲或娛樂系統，或其它消費者音樂設備)可以保留有版權的歌曲的列表。如果合法的自主設備節點被另一個自主節點連接，該另一個自主節點請求或企圖發送在該合法的自主節點的有版權的歌曲的列表上的歌曲，那麼該合法的自主節點就適當地做出個別決定所述另一個自主節點是可疑自主節點，應撤銷其在對等共享網絡上的接入特權。
注意該個別決定不必包括人為幹預-相反，該合法的自主節點可以檢測所述請求或企圖發送，識別到它涉及有版權的歌曲，並且拒絕所述企圖並記錄該個別決定以便在無需任何人為幹預的情況下進行撤銷。可替換地，可以請求人為幹預，例如通過顯示該請求並向用戶請求關於是否貫徹用以撤銷的投票的決定。
在預期的分布式對等文件共享應用中，對等網絡偶爾會保持撤銷期間，在其中，正在線的自主設備節點(假定為大部分是合法的自主節點，就是說，由守法的用戶操作的)對可疑自主節點(在此適合定義為至少一個個別投票贊成對其撤銷特權的任何自主節點)的撤銷進行投票。再一次，這個投票通常是自動的，儘管可任選地首先請求用戶授權參與，或者請求用 戶授權用以撤銷的特定投票，或者請求用戶進行幹預。
通過當前在對等網絡上在線的那些自主設備節點的投票表決，確保了 不能任意由單個在線的自主節點撤銷合法的節點；相反，這個撤銷只能是 投票的結果，其中足夠數量的當前在線的自主節點投票贊成撤銷，其表示 該可疑自主節點有可能是複製版權觸犯者。而且，可以任選地使用本文闡 述的其它可選的規定。例如，可以通過將使得用於撤銷的個別決定在特定 時間段之後結束來引入撤銷期間的概念，以便避免起因於幾個無意的不適 當歌曲請求在幾年中累積而造成的對合法用戶的特權的撤銷。然而，由於 在對等網絡中在投票時實際在線的可用的設備節點的比例會較低，因此在 兩個或更多個撤銷期間中保留用以撤銷的個別投票以增加這種個別投票的 持續性是有利的。類似的，可以使用基於可信度的加權，其基於適合的標 準，例如適於分配給以前的觸犯者的試用狀態，該觸犯者在試用的基礎上 被重新接納到對等網絡中。撤銷消息可任選地包括超出足以驗證該撤銷消 息的內容之外的額外信息，例如觀察到的斷定的或明顯的版權侵犯的詳細 列表，其構成了撤銷的基礎，以便允許斷定的版權侵犯者回顧證據，並且 如果想要的話，對撤銷進行申訴(例如在審查者面前)。
在這個對等文件共享網絡應用中，"可疑"性質或行為的概念可以超出 版權侵犯行為而擴展到其它方面，例如共享或試圖共享被檢測為包含病毒 的文件，或者文件共享網絡的過度使用等。而且，儘管描述了可疑設備節 點的撤銷，但該方案還可以用於撤銷與特定設備節點不相關的可疑的所分 配密鑰。例如，可疑的所分配密鑰可以是與歌曲相關聯的數字籤名。
已經參考優選實施例描述了本發明。其他人在閱讀並理解了在前詳細 描述後會想到修改和變更。其旨在將本發明構造為包括所有這種修改和變 更，只要它們在所附權利要求或其等價物的範圍內。
權利要求
1、一種分布式撤銷方法，包括在分布式網絡的至少三個自主設備節點之間進行關於是否應將所述分布式網絡的可疑自主設備節點從所述分布式網絡中去除的投票；以及響應於所述投票滿足撤銷標準，藉助於以下操作來停止在所述可疑自主設備節點與所述分布式網絡的其它自主設備節點之間的通信(i)通過合併用於撤銷所述可疑自主設備節點的局部撤銷信息來構成撤銷消息，所述局部撤銷信息分布在所述分布式網絡上除了所述可疑自主設備節點之外的至少一些所述自主設備節點之間，以及(ii)在所述分布式網絡的所述自主設備節點之間互相傳送所述撤銷消息。
2、 如權利要求1所述的分布式撤銷方法，還包括-將所述撤銷消息轉發到其它分布式網絡中的其它自主設備節點。
3、 如權利要求1所述的分布式撤銷方法，還包括通過將由單向函數處理的所述撤銷消息的第一部分與所述撤銷消息的 第二部分進行比較，來驗證在自主設備節點上接收的所述撤銷消息。
4、 如權利要求1所述的分布式撤銷方法，還包括通過將由散列函數處理的所述撤銷消息的第一部分與所述撤銷消息的 第二部分進行比較，來驗證在自主設備節點上接收的所述撤銷消息。
5、 如權利要求1所述的分布式撤銷方法，還包括 響應於將用於新的自主設備節點的局部撤銷信息從所述新的自主設備 節點傳送到己經存在於所述分布式網絡中的多個自主設備節點，將所述新 的自主設備節點併入所述分布式網絡中。
6、 如權利要求1所述的分布式撤銷方法，其中，基於信任因子對所述 投票進行加權，所述信任因子表示所述可疑自主設備節點在所述分布式網絡中的可信度。
7、 如權利要求1所述的分布式撤銷方法，其中，所述投票在時間上受 限的撤銷期間中重複進行，在先前撤銷期間中的投票不計入隨後的撤銷期 間中。
8、 如權利要求1所述的分布式撤銷方法，還包括用所述分布式網絡上的至少一些所述自主設備節點執行多個醫學功
9、 一種分布式網絡，包括多個自主設備節點，每一個自主設備節點都被配置為與其它自主設備 節點安全地通信以便定義所述分布式網絡，並和與該自主設備節點進行安 全通信的其它自主設備節點協作以執行如權利要求1所述的分布式撤銷方 法。
10、 一種數字介質，其被編程用於執行如權利要求1所述的方法。
11、 一種自主設備節點，其被配置為與分布式網絡中的其它自主設備 節點安全地通信，並和與該自主設備節點進行安全通信的其它自主設備節點協作以執行一種分布式撤銷方法，該方法包括(i)在分布式網絡的至少三個自主設備節點之間進行關於是否應將所述分布式網絡的可疑自主設備節點從所述分布式網絡中去除的投票，並且(ii)響應於所述投票滿足撤銷 標準，停止與所述可疑自主設備節點的通信。
12、 如權利要求ll所述的自主設備節點，還包括數據存儲器，用於存儲用於其它自主設備節點的局部撤銷信息，所述 自主設備節點進一步被配置為響應於所述投票滿足所述撤銷標準，與其它 自主設備節點協作以便將存儲在所述數據存儲器中的用於所述可疑自主設 備節點的局部撤銷信息與存儲在其它自主設備節點上的用於所述可疑自主設備節點的局部撤銷信息進行合併來構成撤銷消息，將所述撤銷消息在所 述自主設備節點之間傳送，以實現停止與所述可疑自主設備的通信。
13、 如權利要求12所述的自主設備節點，還包括數據存儲器，用於存儲完整的撤銷信息，所述自主設備節點進一步被 配置為執行一種分布式網絡加入方法，該方法包括將從所述完整撤銷信 息中得到的局部撤銷信息傳送到多個其它自主設備節點，被傳送到其他每 一個自主設備節點的所述局部撤銷信息是(i)自身不足以重建所述完整撤 銷信息，但(ii)可以與傳送到其它自主設備節點的所述局部撤銷信息合併 來重建所述完整撤銷信息。
14、 如權利要求ll所述的自主設備節點，其中，基於信任因子對所述 投票進行加權，所述信任因子表示所述可疑自主設備節點在所述分布式網 絡中的可信度。
15、 一種分布式撤銷方法，包括實施時間上受限的撤銷期間，在所述撤銷期間中，將多個自主設備節 點的個別決定進行合併，以決定是否應將可疑自主設備節點從分布式網絡 中去除；以及響應於所述撤銷期間決定支持去除，將所述可疑自主設備節點從所述 分布式網絡中去除。
16、 如權利要求15所述的分布式撤銷方法，還包括-對在時間上交疊的後續撤銷期間重複所述撤銷期間的所述實施。
17、 如權利要求15所述的分布式撤銷方法，還包括對後續撤銷期間重複所述撤銷期間的所述實施。
18、 如權利要求17所述的分布式撤銷方法，還包括當一個撤銷期間期滿時，丟棄在該撤銷期間中做出的所述個別決定。
19、如權利要求15所述的分布式撤銷方法，其中，將所述可疑自主設 備節點從所述分布式網絡中去除的步驟包括根據以前在所述分布式網絡的至少一些所述自主設備節點之間分發的 撤銷信息，構成撤銷消息；以及在所述分布式網絡中除了所述可疑自主設備節點之外的其他所述自主 設備節點之間相互傳送所述撤銷消息。
20、如權利要求19所述的分布式撤銷方法，其中，將所述可疑自主設 備節點從所述分布式網絡中去除的步驟還包括在除了所述可疑自主設備節點之外的接收到所述撤銷消息的每一個自 主設備節點上驗證所述撤銷消息；以及響應於對接收到的所述撤銷消息的成功驗證，停止在所述可疑自主設 備節點與接收到所述撤銷消息的自主設備節點之間的通信。
21、 如權利要求19所述的分布式撤銷方法，還包括 響應於將用於新的自主設備節點的撤銷信息在已經存在於所述分布式網絡中的至少一些所述自主設備節點之間的分發，將所述新的自主設備節 點併入所述分布式網絡中。
22、 如權利要求15所述的分布式撤銷方法，其中，所述撤銷期間的所 述實施包括基於表示所述可疑自主設備節點的可信度的信任因子，偏移所述決定。
23、 一種自主設備節點，其被配置為與分布式網絡中的其它自主設備 節點安全地通信，並和與該自主設備節點進行安全通信的其它自主設備節 點協作以執行如權利要求15所述的分布式撤銷方法。
24、 在一種分布式醫學監控網絡中的多個節點，每一個節點都被編程為與所述網絡的其它節點民主地協商和決定是否撤銷與被檢測到參與一 個或多個可疑活動的節點之間的網絡通信。
25、 如權利要求24所述的多個節點，還包括資料庫，其存儲多個因子中的每一個對節點可信度的影響，由被檢測 到參與所述一個或多個可疑活動的節點的、基於存儲在所述資料庫中的所 述因子所計算的可信度來偏移所述協商和決定。
26、 一種包括多個節點的分布式網絡，每一個節點都被配置為(i) 隨機產生並向其它節點分發局部撤銷投票，以使得分發到一個其 它節.點的所述局部撤銷投票不能被另一個節點複製或偽造，所述局部撤銷投票可以被合併以構成針對該節點的撤銷消息；以及(ii) 存儲從其它節點接收的局部撤銷投票。
27、 如權利要求26所述的分布式網絡，其中，所述節點包括對等文件 共享網絡的成員。
28、 如權利要求27所述的分布式網絡，其中，每一個節點還包括 有版權的文件的列表，每一個節點都被配置為響應於檢測到另一個節點對所述有版權的文件列表中包含的文件的非法交易，公開該節點針對所 述另一個節點的局部撤銷投票。
29、 如權利要求26所述的分布式網絡，其中，所述節點包括分布式醫 學監控網絡的成員，並且每一個節點都被配置為響應於檢測到另一個節點 的可疑活動，公開該階段針對所述另一個節點的局部撤銷投票。
全文摘要
在一種分布式撤銷方法中，在分布式網絡的多個自主設備節點中的每一個上單獨決定是否應將分布式網絡的一個可疑自主設備節點或可疑的所分配密鑰從分布式網絡中去除。實施投票期，在投票期中將多個自主設備節點的單獨決定進行合併，用以決定是否應將可疑自主設備節點或可疑的所分配密鑰從分布式網絡中去除。響應於投票期決定支持去除，從分布式網絡去除可疑自主設備節點或可疑的所分配密鑰。
文檔編號H04L9/00GK101529795SQ200780040384
公開日2009年9月9日 申請日期2007年10月31日 優先權日2006年11月2日
發明者H·巴爾杜斯, O·加西亞 申請人:皇家飛利浦電子股份有限公司