用于在设备社区中加入新设备的方法

摘要

本发明涉及一种用于在设备社区中加入新设备(x)的方法，其中社区的每个设备能够存储从至少一个新设备接收的加入请求，并向由用户选择的社区设备(b)转发这些加入请求，从而确认加入社区的授权。

说明书

技术领域

本发明涉及数字网络和设备社区。

背景技术

设备社区是一组能够通信(永久地或周期性地)，并由可信关系链接的设备。参考“Secure Long Term Communities in Ad Hoc Networks，N.Prigent，C.Bidan，J.P.Andreaux，O.Heen，October 2003，1st ACMWorkshop on Security of Ad Hoc and Sensor Networks(SASN)”，可以查到对设备社区(community of devices)的解释。

社区通常存在于以下领域：对等网络、数字家庭网络、UPnPTM设备集群、个人局域网、安全无线网络(例如，根据IEEE 802.11标准带有WPA-Wifi受保护接入的网络)。

当必须在设备社区中加入新设备时，执行加入操作。在加入操作的最后，新设备属于社区。现有的设备加入方法要求至少一个用户行动，来授权新设备进入社区。

图1示出第一种已知方法，在有效设备加入之前获得用户授权。在以下地址：http://citeseer.nj.nec.com/stajano99resurrecting.html可获得的“Frank Stajano and Ross Anderson，The Resurrecting DucklingSecurity Issues for Ad-hoc Wireless Networks(1999)”中描述了这种使用可信设备的授权方法。

该方法有四个主要步骤：

在步骤2.1，“加入请求”，称作检测器的社区5的可信设备2检测来自称作新的新设备1的加入请求。

在步骤2.2，“用户请求”，检测器2向用户3要求授权。这个步骤要求必须使用现有技术方法(口令、生物特征...)对设备2进行用户认证。

在步骤2.3，“用户确认”，用户3明确授权新设备1的加入。

在步骤2.4，“加入确认”，向新设备1发送授权。

可以使用密码材料保护这四个主要步骤。在其之后可以有其它可选步骤，来交换附加密钥材料或与协议有关的信息。

应该注意，该方法不允许用户3选择用于授权加入的设备：只能是检测器2，即，能够使用社区中第一个检测到新设备1的设备。

图2示出第二种使用预定控制器授权的方法(直接方法)，例如，在以下地址：http://standards.ieee.org/getieee802/download/802.11-1999.pdf可获得的标准ANSI/IEEE Std 802.11[ISO/IEC DIS 8802-11]“Wireless LAN Medium Access Control(MAC)and Physical Layer(PHY)Specifications，1999”中描述了该方法。

该方法中有三个主要步骤：

在步骤3.1，“用户请求”，用户3使用社区5的预定控制器4的用户接口，直接请求设备加入。

在步骤3.2，“用户确认”，用户3明确授权在社区5中加入新设备1加入。

在步骤3.3，“加入确认”，向新设备1发送授权。

通常这三个主要步骤之后有其它步骤，其中来自用户的动作作用于新设备。在集中式情况下，以及当存在域共享密钥来保证社区设备之间可信时，使用该方法。这是针对带有WEP(有线等效私隐)密钥和用作控制器的接入点的802.11网络的情况。

应该注意，该方法不允许用户3选择用于授权加入的设备：只能使用控制设备4。

图3示出第三种使用预定控制器授权的方法(间接方法)，在“EdCallaway et al.：Home networking with IEEE 802.15.4：a developingstandard for low rate WPAN，IEEE Com.Mag.August 2002，pp.70-76”中描述了该方法。

该方法有六个主要步骤：

在步骤4.1，“加入请求”，称作检测器的社区5的可信设备2检测来自称作新的新设备的加入请求。

在步骤4.2，“转发请求”，向社区5的预定控制器4转发该请求。

在步骤4.3，“用户请求”，控制器4在接收到来自检测器设备2的请求时，通知用户3。

在步骤4.4，“用户确认”，用户3明确授权在社区5中加入新设备1加入。

在步骤4.5，“转发确认”，向检测器设备2转发回确认，然后，

在步骤4.6，“加入确认”，向新设备1确认加入。

应该注意，步骤4.5不是强制必需的；在改变的方法中，控制器4可以直接向新设备1确认加入。

可以使用一些密钥或其它密码材料来保护这六个步骤。之后可以有其它可选步骤，来交换附加密钥材料或与协议有关的信息。

但是与前述方法相似，该方法不允许用户3选择用于授权加入的设备。

考虑到上述方法，可见没有已知的现有技术方法允许用户选择他想使用的设备来授权新设备的加入。必须使用检测器设备或预定控制器。

发明内容

为改进上述现有技术方法，本发明提出一种在设备社区中加入新设备(x)的方法，其中，社区的每个设备存储从新设备接收的加入请求，并向由社区用户选择的设备(b)转发这些加入请求，从而确认加入社区的授权。

附图说明

现在参考附图描述本发明的多种特征和优点，以及其优选实施例，附图用于示出而不是限制本发明的范围，其中：

图1、2和3已被描述，示出使用可信设备(图1)或预定控制器(直接方法-图2或间接方法-图3)，在社区中授权新设备的一种示例。

图4到6示出了根据本发明的方法。

图7是实现本发明的设备的原理图。

图8是用于设备选择的接口示例。

图9到11示出了本发明方法的优选实施例的三个阶段。

图12示出了在本发明加入方法期间，设备和用户交互之间交换的网络消息。

图13和14示出了本发明特别有用的两种情况。

具体实施方式

本发明的一个思路是去除检测新设备与选择用于确认的社区特定设备之间的相互关系。只有在用户选择设备时，该设备才查询待处理的加入请求。

图4示出根据本发明，新的加入方法的头两个步骤。

在步骤5.1，新设备x发送加入请求“insreq(id_x)”，社区5的设备a检测该请求。在这个步骤，设备a只存储请求，以便将来使用。然后，在步骤5.2，用户3在社区5中选择任何设备，并查询待处理的加入请求。所选设备可以是设备a或另一设备(例如，在图4中，用户已选择了另一设备，称作b)。

因为新设备x的到来触发了第一步骤5.1，并且用户动作触发了第二步骤5.2，所以在两个步骤之间可能有任意长的延迟。因为是自由地选择设备b，所以并不是因为事先b知道来自设备x的加入请求5.1的存在。

根据本发明，加入方法的下两个步骤允许设备b收集待处理的加入请求。图5中示出这些步骤。

在步骤6.3，设备b(由用户3选择的)向所有可触及的社区设备要求待处理的加入请求。在步骤6.4，所有存储加入请求的可触及的社区设备回应b(这里，设备a回应)。

在步骤6.4的最后，通知设备b，设备x存在并请求加入。设备b可能接收了来自候选设备y、z...的其它加入请求。

根据本发明，方法的最后两个步骤是要通知设备x，其将由设备b加入。图6中示出这些步骤。

在步骤7.5，用户3从所有待处理的加入请求中选择必须要满足的一个。在图6，将满足从设备x来的请求。对于安全加入方法，还将这个步骤用来验证x声称的身份是正确的。然后，在步骤7.6，通知设备x，用户选择了设备b。这个步骤的目的是，当在类似受保护的长期社区中，互加入是必须的时，允许设备x在其社区中加入设备b。

应该注意，设备b能够直接或通过中继加入请求的另一设备(例如，图6中的设备a)，与设备x通信。这个特定方面不是本发明的一部分，但是使用现有的路由方法。

在图4到6所示的6个步骤的最后，以下状况保持：用户3已选择一个设备(b)来加入一个新设备(x)，并且两个设备都被告知对方的身份。这是要开始任何现有加入方法的所需状况。

图7中示出能够实现本发明的加入方法的设备10的示例。

该设备包括：

-CPU 11；

-存储器12，称作“lastreq”，能够存储至少一个待处理的加入请求。可以有存储时间限制(例如，一个小时或一天)，但本发明并不要求。可以擦除该存储器“lastreq”12，以擦除待处理的加入请求；

-网络接口13，接入至少一个带有广播或组播功能的网络协议。广播功能提供使用单个网络传输，与其它所有设备交谈的方法，组播功能提供使用单个网络传输，与特定设备组交谈的方法。社区所用的大多数协议中都有广播和组播功能。

-存储器14，用于在要求待处理的请求时，存储回应。在优选实施例中，该存储器可以包括设备标识符的列表。该列表称作“Pending_List”；要注意，存储器14和存储器12虽然在图7中分离地表示，但是它们可以是单个存储器；

-可选的用户接口15，允许用户从要求加入的多个设备中选择一个设备。该用户接口可以简单，与该设备的显示功能相适应。这种特征在至少一个社区设备上是必需的，但是对于其它设备，是可选的。图8中给出平面接口的示例，其中由十六进制数定义设备标识符。

现在更加详细地描述本发明的优选实施例。该描述使用前述文献“Secure Long Term Communities in Ad Hoc Networks，N.Prigent，C.Bidan，J.P.Andreaux，O.Heen，October 2003，1st ACM Workshop onSecurity of Ad Hoc and Sensor Networks(SASN)”中使用的并更加详细解释的符号。例如，设备x的设备标识符是表示为id_x。

在以下描述中，x是新设备，a是检测器之一，b是用户选择的设备。算法由设备执行来实现本发明，包括三部分，如下所述。

算法第一阶段

该阶段实现加入请求的发射、接收和存储。其开始对应于图4中的步骤5.1。该阶段不涉及用户。

图9示出设备a中执行的动作。如上所述，在该阶段，其它所有设备表现相似。以下解释本方法第一阶段的步骤501到510。

501：设备a空闲；网络空闲。执行转换到502。

502：设备a广播加入请求。执行转换到503。

503：设备a等待网络消息。如果在超时设定之后没有消息到来，则执行转换回到502。在示例实施例中，超时设定值设为10秒。

504：设备a接收到由设备x发送的加入请求“insreq(id_x)”。执行转换到505。

505：如果来自“insreq(id_x)”的x属于设备a的社区，则执行转换回到503。否则，执行转换到506。注意上述文献“Secure Long TermCommunities in Ad Hoc Networks”指示一种方法，用于设备a检查设备x是否输入其社区。

506：在设备a的“lastreq”存储器中存储来自设备x的加入请求。注意，如果存储“lastreq”的存储器只能存储一个条目，则“lastreq”前面的内容丢失。其它实施例可以管理更多复杂的存储器，例如可以存储多个加入请求的FIFO或阵列。

507：设备a刚刚接收到从用户选择的设备b来的“seek_pendings”消息。执行转换到508。

508：如果设备a的“lastreq”存储器为空，设备a不回应“seek_pendings”消息，执行转换回到502。否则，如果“lastreq”包含一个条目，则执行转换到509。

509：设备a用消息“is_pending(lastreq)”回应设备b。该消息包含先前向设备a发送加入请求的设备的身份，这些加入请求存储在a的“lastreq”存储器中。然后执行转换到510。

要注意，步骤507到509对应于图5所示的步骤6.3和6.4。

510：设备a的“lastreq”存储器已空。注意，该步骤不是强制的，但是防止将来不必要的消息交换。

在该步骤之后，执行转换到步骤503。

算法第二阶段

该阶段首先让用户选择将用来授权加入的设备(表示为b)。然后设备b从其它设备要求并获得待处理的加入请求。用户需要适当凭证来登录设备b。本方法的这个阶段对应于图4中的步骤5.2以及图5中的步骤6.3和6.4。

图10示出该阶段设备b的行为。以下解释本方法第二阶段的步骤601到607。

601：具有适当凭证的用户决定登录设备b。执行转换到602。

602：如果用户选择命令“开始加入！”，则执行转换到604。否则，转换到603。

603：用户正常使用设备b，然后退出。执行转换到601。

604：将“Pending_list”设置为设备b的“lastreq”存储器的值。对于处理已由设备b自身接收到的加入请求，该步骤十分有用。执行转换到605。

605：设备b在社区广播消息“seek_pendings”。执行转换到606。

606：设备b等待来自其它社区设备的回应。如果接收到回应，执行转换到607。在预定的超时设定之后，执行转换到图11中示出的算法的下一阶段。

607：接收到回应is_pending(id_x)。然后将id_x添加到“Pending_list”，执行转换回到606。

应该注意，“Pending_list”的大小有限。例如，对于“Pending_list”，16个元素的大小可在正规状况中避免过多的重试和不必要的消息传输。

算法第三阶段

该阶段允许用户选择一个待处理请求，并满足该请求。

该阶段对应于图6的步骤7.5和7.6。在这部分算法的最后，文献“Secure Long Term Communities in Ad Hoc Networks”中描述的标准加入方法正常地继续进行。

图11示出由设备b执行时，该阶段的执行步骤。以下解释本方法第二阶段的步骤701到703。

701：用户从设备b的“Pending_list”中选择一个待处理的加入请求。在这里描述的情况下，存在至少一个由设备x发出的加入请求。执行转换到702。

702：将设备x添加到社区成员的列表。例如，在可信设备的列表中加入id_x。这对应于上述文献中描述的正常加入方法的第一步骤。执行转换到703。

703：设备b向设备x传输加入请求，请求设备b进入设备x的社区。这可以多种方法实现：首先，可以从设备b向设备a传输加入请求和向设备x转发该请求的要求。即使在从设备b到设备x没有连接的情况下，这也允许加入。在可选的解决方案中，设备b可以允许设备a在一段时间内，周期性地广播消息“insreq(id_b)”。这个持续时间典型地是1分钟或2分钟的数量级，两次“insreq(id_b)”广播之间的超时设定应该与步骤503的超时设定的数量级相同。

在本方法的三个阶段的最后，用于开始上述文献中的标准加入协议的所有必要条件得到满足，这些条件是：

-设备b接收到设备x的身份，id_x。

-设备x接收到设备b的身份，id_b。

在本发明的优选实施例中，将设备身份长度设置为160比特。返是包含在设备中的公钥的安全散列。该公钥的长度为1024比特，优选的安全散列算法是SHA1。“lastreq”存储器的大小也设置为160比特，即“lastreq”能够一次存储一个待处理的请求。“Pending_list”的最大长度设置为3个条目。

图12示出在由设备a检测，并由设备b作为用户所选设备的新设备x的加入期间，交换的消息的序列。所有这些设备实现上述的本方法的三个阶段。

还表示了与设备b和x有关的用户动作。水平虚线表示用户动作之前的任意延迟。这些延迟不会干扰本方法：用户不必遵守动作之间的任何预定延迟。

出现在特定消息的参考数字12-1到12-6对应于图4、5和6中所示的步骤5.1、5.2、6.3、6.4、7.5和7.6。标记有“开始加入x”和“开始加入b”的粗线矩形表示有关设备可以开始其标准加入协议。

本发明具有以下优点。

本发明使得向社区中加入设备更加方便。当用户决定在社区中加入设备并遵守不修改现有协议的限定时，本发明给用户带来更多灵活性。

本发明允许用户选择用于新设备加入的最合适的设备，该设备的选择与首先检测到新设备的到来的设备无关。例如，当设备加入需要与用户进行视觉交互时，用户将优选具有良好屏幕功能的设备。此外，由用户选择来验证加入的设备不必与新设备直接通信。

在由多个用户使用社区的情况下，一个用户可能无法登录社区的所有设备。使用现有技术方法，只有在被授予对于预定控制器户检测器的登录凭证时，该用户才能加入新设备。采用本发明，这种限制不再适用：用户总是能够在社区中加入新设备。

在图13示出的下述情况中，本发明具有优点：当社区穿越(至少)一个开放网络时，例如因特网。例如，这对应于家庭网络的情况，家庭网络延展在用户的主要居所和度假居所之间，使用ADSL因特网接入将两个地点相连。在这种情况下，图13中一个称作“用户2”的用户带来新设备x，要在社区中加入。有可能不允许“用户2”在其当前环境中登录社区的任何设备。在这种情况下，现有技术方法不允许加入，并可能迫使“用户2”去获得登录凭证。使用本发明，“用户2”可以从远程“用户1”得到帮助，“用户1”将选择设备b，并开始执行加入方法。注意，“用户1”只需要登录设备b的凭证。这允许设备x加入，而不会向“用户2”显露任何凭证。

图14示出本发明的变体实施例，允许合并具有如前所述的相同优点的社区。合并是将两个不同社区变成单个社区的基本操作。在该操作的最后，每个社区中的设备输入一个相同社区。

在该实施例中，与图9-12所述的方法，有两处修改：

-第一，当设备接收到“seek_pendings”消息(步骤507)时，设备使用发送这个“seek_pendings”消息的设备的身份，产生消息“insreq(id)”，并在20秒数量级的持续时间内多次广播该消息(不知道稍后是否将被选择来执行加入)。两次广播之间的超时设定是在2秒数量级。

-第二，接收到“seek_pendings”消息的设备将在发送“is_pending()”消息之前，等待几十秒(在15秒的数量级)。

在两个社区的合并期间，这个变体实施例十分有用。它使要合并的两个社区能够受益于本发明的优点。

图14示出两个社区，每个社区一个用户。注意，检测器设备a1针对第一社区20，检测器设备a2针对第二社区30。注意，用户1选择加入设备b1，用户2选择加入设备b2。

用户1向b1要求加入。设备a1从b1接收“seek_pendings”消息，并开始广播带有设备b1身份的消息“insreq(id_b1)”。几乎同时，用户2向b2要求加入。设备a2从b2接收“seek_pendings”消息，并开始广播带有设备b2身份的消息“insreq(id_b2)”。由此，a2和a1将分别接收由对方广播的身份Id_b1和Id_b2。然后，a1将向b1返回“is_pending(Id_b2)”消息，a2将向b2返回“is_pending(Id_b1)”消息。由此，b1和b2都将知道对方的身份，并将能够彼此加入。

即使b1和b2不能直接彼此通信，这样做也允许b1和b2在彼此的社区中加入，从而允许合并各自的社区。