法律状态公告日
法律状态信息
法律状态
2018-05-01
未缴年费专利权终止 IPC(主分类):H04L29/06 授权公告日:20110420 终止日期:20170410 申请日:20060410
专利权的终止
2011-04-20
授权
授权
2008-06-25
实质审查的生效
实质审查的生效
2008-04-23
公开
公开
技术领域
本发明一般地涉及安全网络,并且具体涉及将一个或多个具有简单用户接口的设备插入安全群落(community)中。
背景技术
计算机网络的一个重要的安全问题是牵涉到人。管理这样的网络需要普通用户很少拥有的专业知识。由于这一原因,面对复杂用户接口的用户往往选择最低的安全等级,有时候甚至完全去除安全等级。因此,可以清楚地认识到:需要一种容易的方式来在将安全性保持在可接受的等级上的同时尽可能地使用户的任务容易。
欧洲专利申请EP 1411674 A1提供了一种解决方案,其中,当简单地点击按钮时,中心点限制它发送的无线电波的覆盖范围。然后,用户激活减小的覆盖区域内的设备上的功能,以便将其插入中心点的网络中。这一解决方案的缺点是它相当容易受到各种攻击,例如众所周知的中间人攻击(man-in-the-middle attack)。
本发明试图弥补与现有技术相关的安全顾虑中的至少一些,同时使得用户能够建立可配备有非常简单的用户接口的设备的安全群落。
发明内容
在第一方面中,本发明针对一种将至少一个设备引入安全网络中的方法,所述安全网络包括被指示将所述至少一个设备插入该安全网络中的中心点。该方法适合于在所述至少一个设备和中心点不具有另一方的预先知识时执行。用户指示所述至少一个设备请求从中心点插入安全网络中。所述至少一个设备请求从中心点插入安全网络中,由此中心点在将所述至少一个设备插入安全网络中之前验证(verify)预期数目的设备已经请求插入该安全网络中。
在优选实施例中,用户已经指示所述中心点将所述至少一个设备插入安全网络中。
有利的是,用于将至少一个设备插入安全网络中的指令包括要插入的设备的数目。
还有利的是,用于将至少一个设备插入安全网络中的指令被提供给根据该指令而开始充当中心点的设备。被指示的设备优选地确保在它开始充当中心点之前在网络中没有起作用的中心点。它通过在预定时间内等待来自网络中的中心点的消息、并且如果在该预定时间期间没有接收到消息则判定在网络中没有起作用的中心点来进行这一操作。
在另一优选实施例中,在所述验证步骤之前,用户指示中心点继续进行所述插入。
在另一优选实施例中,用户经由简单的用户接口来给出指令。
在第二方面中,本发明针对一种被适配为将至少一个设备引入安全网络中的中心点。该中心点已经被指示将至少一个设备插入安全网络中,但是不一定具有所述至少一个设备的任何预先知识。该中心点包括:通信单元,其被适配为与所述至少一个设备通信,并且从所述至少一个设备接收对于插入安全网络中的请求;处理器,其被适配为与通信单元通信并将所述至少一个设备插入安全网络中,并且在将所述至少一个设备插入该网络中之前验证预期数目的设备已经请求插入该安全网络中。
在优选实施例中,所述中心点被适配为从用户接收用于将所述至少一个设备插入安全网络中的指令。
有利的是,用于将所述至少一个设备插入安全网络中的指令包括关于要插入的设备的数目的信息。
还有利的是,所述中心点被适配为在接收到用于将所述至少一个设备插入安全网络中的指令之前充当设备。优选的是,所述处理器还被适配为确保在网络中没有起作用的中心点。这是通过在预定时间内等待来自网络中的中心点的消息、并且如果在该预定时间期间通信单元没有接收到消息则判定在网络中没有起作用的中心点来实现的。
在另一优选实施例中,所述中心点包括被适配为从用户接收用于继续进行所述插入的指令的用户接口。
有利的是,所述中心点包括被适配为接收用于将所述至少一个设备插入所述网络中的指令的用户接口。
有利的是,所述用户接口包括被适配为接收所述指令的按钮。还有利的是,所述用户接口包括被适配为向用户发信号通知中心点状态的LED。
在第三方面中,本发明针对一种安全网络中的装置。该设备被适配为:当用户发出指令时,如果安全网络不包括起作用的中心点,则充当被适配为将至少一个设备插入安全网络中的中心点,而没有所述至少一个设备的预先知识;而如果安全网络包括起作用的中心点,则充当设备。
在第四方面中,本发明针对一种配置安全网络中的装置的方法。当接收到来自用户的指令时,所述设备验证在安全网络中是否存在中心点;如果不存在中心点,则它开始充当被适配为将至少一个设备插入安全网络中的中心点,而没有所述至少一个设备的预先知识。
在第五方面中,本发明针对一种用于将至少一个设备引入安全网络中的系统,所述安全网络包括被指示将所述至少一个设备插入该安全网络中的中心点。所述至少一个设备和中心点不需要具有彼此的任何预先知识。所述至少一个设备被适配为从用户接收用于请求从中心点插入安全网络中的指令,并且请求从中心点插入安全网络中。所述中心点被适配为在已验证了预期数目的设备已经请求插入安全网络中之后将所述至少一个设备插入该安全网络中。
在第六方面中,本发明针对一种由中心点将给定数目的设备引入安全网络中的方法。该中心点被指示将给定数目的设备引入安全网络中,该中心点不一定具有对所述给定数目的设备的任何预先知识。该中心点从至少一个设备接收对于插入安全网络中的请求,验证给定数目的设备已经请求插入安全网络中,并且将给定数目的设备插入安全网络中。
附图说明
现在将参照附图作为示例来描述本发明的优选特征,在附图中:
图1图示了使用本发明的示例群落;
图2图示了用于与本发明一起使用的示例简单用户接口;
图3图示了根据本发明的用于设备插入的方法的流程图;以及
图4图示了与图3所示的方法相对应的两个设备的状态图。
具体实施方式
图1图示了使用本发明的示例群落100。群落100包括中心点110和设备B 130。应当注意:在优选实施例中,中心点是仅在插入期间充当中心点的设备,在插入之后,其停止充当中心点。用户(未示出)将要把设备A 120引入群落100中。中心点110、设备A 120和设备B130(其全部可被共同称为“设备”)分别具有用户接口115、125和135。用户接口优选为简单用户接口,其包括按钮和至少一个LED,如在图2中进一步描述的那样。
中心点110包括通过天线示出的通信单元119,用于与其它设备交互。通信单元优选地使用无线电技术来进行通信,但是也可以使用其它通信手段,例如红外光。此外,中心点110包括存储器(未示出)以及用于计算、验证且用于控制中心点的处理器115。
图2图示了用于与本发明一起使用的示例简单用户接口。该图示出了在遵循图3所述的方法将设备A 120插入群落100中期间的中心点110的用户接口115以及设备A 120的用户接口125。为了便于说明,将假设这两个用户接口是相同的。每个用户接口115、125包括分别按钮116、126以及两个LED117、118和127、128。按钮116、126可以是真实的按钮,但是它也可以是例如在屏幕上模拟的、或者被语音激活;无论它是怎么实现的,它都在被激活时引发要执行的特定功能。词语“按下按钮”应当被解释为“执行动作”,所述执行动作是使得执行所述功能所必需的。如将在下文中进一步描述的那样,第一LED 117、127指示设备的状态,而第二LED 118、128被适配为指示任何错误。在所述方法开始之前,两个设备110和120的两个LED 117、127和118、128都是不起作用的,这由参考标号210来指示。
现在,将参照图2(用户接口)、图3(方法流程图)和图4(状态图)来描述将设备插入群落中的方法。应当注意:与图1中的示例相反,当该方法开始时,中心点110是与其它设备没有任何连接的“普通”设备,而在执行所述方法期间,中心点110成为中心点。
所述过程有3个大致的部分:
i选择部分(图3中的302-312):在此部分期间,选择中心点。
ii“打招呼(hello)”部分(图3中的314-328):在此部分期间,发起中心点和要插入的所述至少一个设备之间的通信。对于要插入的每个设备,重复这一部分。
iii“检查”部分(图3中的330-344):在此部分期间,确定(confirm)所述至少一个关联。
现在将详细描述所述方法。当用户140按下中心点110的按钮116时,该方法开始步骤302“动作”(由图2中的箭头205指示)。在步骤304,中心点110首先在预定时间(优选为2秒)内等待广播ID消息。每个中心点每两秒广播一次这样的消息,因此如果中心点110在该时间内没有接收到广播ID消息,则在其附近没有(起作用的)中心点。当然,如果中心点以不同于每2秒的另一时间间隔广播这些消息,则应当相应地调整所述预定时间。另一方面,如果中心点110接收到广播ID消息,则它将作为普通设备而被插入广播该消息的中心点的群落中,即,它代替设备A(并且,步骤302实际上是步骤314,如将在下文中针对该设备进一步描述的那样)。
换言之,在步骤304期间,所述设备查明是否存在中心点。如果存在中心点,则它充当简单设备;如果不存在中心点,则它担当中心点的角色。这一安排确保在给定时间在网络中仅仅有单个起作用的中心点。
在预定的等待之后,在步骤306,中心点110从初始状态(图4中的401)进入中心点状态(图4中的402)——通过第一LED 117的缓慢闪烁来指示(对角线条纹;图2中的220)——并且成为真正的中心点。作为中心点,它开始广播广播ID消息308。该广播消息308被此时处于初始状态401的设备A忽略。
然后,在步骤310,用户140检查中心点110的用户接口115,并且在步骤312注意到该用户接口115正确地指示中心点110处于中心点状态402。
当用户140对中心点110处于正确状态感到满意时,他走向处于初始状态401的设备A 120,并且在步骤314按下按钮(图2中的230)。一旦被这样激活,在步骤316,设备A 120就在预定时间内等待来自中心点的广播ID消息308。在此情况下,由于用户140已经使中心点110进入中心点状态402,因此在所述预定时间结束之前,广播ID消息308被广播和被接收。
然后,设备A 120发送请求关联消息320,以便指示它希望进入中心点110的群落,当接收到此消息时,中心点110以确认消息322响应。当设备A120接收到确认322时,在步骤324,它进入被选中状态403,这通过第一LED117的快速闪光而在用户接口125上被指示出(328,在图2-240中通过垂直条纹示出)。
正在等待(步骤326)这一指示的用户140现在返回中心点110,并且在步骤330再次按下按钮116(图2中的250)。中心点110在验证了(步骤331)它已经接收到来自预期数目的设备——在此情况中为1个——的请求并且向该预期数目的设备发送了确认之后,随后将确定尝试消息332发送给设备A 120,设备A 120以确定334回复。然后,中心点110进入关联状态404,并且将终止消息338发送给设备A 120,以便指示已经正确地执行了关联,并且已经将设备A 120适当地插入群落100中。
设备A 120接收终止消息338,等待预定时间(在下文中进一步描述),并且在步骤340进入关联状态404。在图2中,参考标号260图示了中心点110和设备A 120两者均经由它们的用户接口115、125而通过第一LED 117的连续绿光来指示它们处于关联状态404。在步骤342中,用户140检查中心点110的状态,并且满意于看到设备A 120向中心点110的群落100中的插入是成功的,如用户接口指示(344)的那样。
尽管如上文所述的方法说明了将一个设备引入群落中,但是本发明也提供了引入很多设备的可能性。除了使用所述方法来一次引入一个设备以外,还可以使这一过程更容易。应当注意:下文中的描述可能省略了已经在上文中解释过的部分。
假设用户140希望将N个设备120、130引入中心点110的群落100中,如已经解释过的那样,当所述方法开始时,中心点110可能是普通设备。对于N个设备,可以说该方法包括一个选择部分(与在上文中描述的选择部分略微不同)、N个打招呼部分、以及一个检查部分。应当注意:如果在群落中有一个起作用的中心点,则已经执行了所述选择部分,而不需要再次进行该部分。
用户140通过走向(未来的)中心点110并且将按钮116按下N次而开始,其中在每次按下之间最好少于2秒。在最后一次按下按钮116之后,中心点110在两秒期间等待广播ID消息,并且如果没有接收到这样的消息则进入中心点状态。
用户140使用用户接口115来检查中心点110已经适当地达到中心点状态。然后,依次对于N个设备中的每一个,用户按下所述按钮并且检查该设备进入被选中状态。用户返回中心点,再次按下所述按钮,并且验证中心点进入关联状态。
用户已经成功地将这N个设备引入中心点的群落中。
在步骤331,中心点110对应该引入其群落中的设备的数目进行计数,因此它能够验证所引入的设备的数目是正确的。
如果存在过多的设备,则这可能意味着黑客已经试图将一个或多个设备引入该群落中,中心点进入错误状态405,并且拒绝在当前引入会话中引入的每一个设备。
另一方面,如果存在过少的设备,则这可能意味着用户忘记了一个或多个设备或者一设备与错误的中心点进行了通信。在此情况下,中心点也进入错误状态405,并且拒绝在当前引入会话中引入的每一个设备。
如果一设备检测到安全问题,例如如果所述设备检测到由另一设备发送的具有所述设备的标识符的分组,或者如果检测到第二中心点,则所述设备将失败消息发送给其中心点。该中心点在适当时将失败消息发送或转发给在当前引入过程中要引入的所有设备。当在适当时接收到或发送了失败消息时,所述所有设备进入错误阶段405,优选地通过第二LED 118、128上的红光指示。
存在若干种可能的方式来使设备离开错误阶段,将给出所述方式的两个示例。第一种方式是等待预定时间,例如1分钟,然后进入初始状态401。第二种方式是使所述设备保持在错误阶段405中,直到用户按下按钮116、126为止,并且仅在那时进入初始状态401。
为了使设备允许随后的安全相互认证(secure mutual authentication),本发明提出了以下优选消息方案:
表1:消息格式和内容
报头区分消息的类型。X表示中心点的公钥的可证明的身份,例如公钥的160位散列信息(hash)。Y表示所述设备的公钥的可证明的身份,例如公钥的160位散列信息。
替代实施例使用专用中心点和专用设备。在此情况下,可以简化所述方法和所述设备的接口。由于中心点始终是中心点,因此通常不需要所述方法的第一部分302-312,要不然在所述第一部分中设备将查明它应当充当中心点还是“普通”设备,尽管用户仍然可以检查中心点处于中心点状态而不是处于错误状态。此外,可以从所述设备去除按钮和第二LED,因为设备的复位或通电可以触发动作314,并且可以在中心点上看到任何错误。
如部分地在上文中提到的那样,本发明能抵抗来自黑客的攻击。如果黑客企图引入伪装的设备,则中心点将注意到设备数目不正确并且发送失败消息。如果黑客企图使用伪装的中心点来与设备相关联,则该设备将意识到它从两个不同的中心点接收到广播ID消息并且发送失败消息。即使伪装的中心点复制了来自真正的中心点的广播ID消息,由于所述消息与预期的两倍一样频繁地到达,所以该设备也意识到它从多于一个的中心点接收到广播ID消息。为了对抗伪装的终止消息,所述设备在接收到这种消息时,在进入关联状态之前等待预定时间。这给中心点提供了接收该伪装消息、意识到该消息是伪装的、并且将失败消息发送给尚未处于关联状态的设备的时间。
将认识到的是,本方法也适合于在两个设备(一个充当中心点,另一个充当要插入的设备)不具有彼此的预先知识时使用。
应当注意:即使一个设备在逻辑上不是安全网络的一部分,因为该设备将被插入到该安全网络中,在说明书和权利要求书中描述该设备是该安全网络的一部分,词语“网络的一部分”应当被解释为“能够与该安全网络通信并且推断出是否在其中存在起作用的中心点”。
因此,可以认识到,本发明通过提供一种用于将主要具有简单用户接口的设备引入群落中的安全方式来改进现有技术。
将理解的是,纯粹作为示例而描述了本发明,并且可以在不背离本发明的范围的情况下进行细节的修改。
可以单独地或者以任何适当的组合来提供在说明书和(在适当时)权利要求书以及附图中公开的每个特征。在适当时,可以以硬件、软件或二者的组合来实现特征。在可行时,可以作为无线连接或者有线(不一定为直接或专用的)连接来实现连接。
在权利要求中出现的参考标号仅仅是作为说明,并且对权利要求的范围没有任何限制性影响。
权利要求书(按照条约第19条的修改)
1. 一种由第一设备(110)将给定数目的其它设备(120、130)引入安全网络(100)中的方法,该方法包括以下步骤:在第一设备处,
从多个其它设备中的每一个接收(320)对于插入所述安全网络中的请求;以及
将所述给定数目的其它设备插入(338)所述安全网络中,
其特征在于:
在所述接收请求的步骤之前,接收(302)用于将所述给定数目的其它设备插入所述安全网络中的指令的步骤;以及
在所述插入步骤之前,验证(331)所接收的请求的数目等于其它设备的所述给定数目的步骤。
2. 如权利要求1所述的方法,在所述验证步骤(331)之前,还包括以下步骤:由所述第一设备接收(330)用于继续进行所述给定数目的其它设备的插入的指令。
3. 如权利要求1或2所述的方法,其中,经由简单用户接口来接收指令。
4. 一种被适配为将给定数目的其它设备(120、130)引入安全网络(100)中的第一设备(110),该第一设备包括:
通信单元(119),其被适配为与其它设备通信,并且从多个设备中的每一个接收对于插入所述安全网络中的请求(320);
处理器(114),其被适配为与所述通信单元通信,并将所述给定数目的设备插入所述安全网络中;
其特征在于:
所述第一设备还包括被适配为接收用于将给定数目的其它设备插入所述安全网络中的指令的接口(115);以及
所述处理器(114)还被适配为验证所接收的请求的数目等于其它设备的所述给定数目。
5. 如权利要求4所述的第一设备,其中,所述接口(115)还被适配为接收用于继续进行所述插入的指令。
6. 如权利要求5所述的第一设备,其中,所述接口包括被适配为接收所述指令的按钮(116)。
7. 如权利要求5所述的第一设备,其中,所述接口包括被适配为指示所述第一设备的状态的LED(118)。
机译: 用于将具有简单用户界面的设备引入安全网络社区的方法和装置
机译: 用于将具有简单用户界面的设备引入安全网络社区的方法和装置
机译: 用于将具有简单用户界面的设备引入安全网络社区的方法和装置
