使用短距离无线通信的网络安全配置制造技术

本文公开了用于配置通信网络中的网络设备((109)、(113)、(117))的配置设备。该配置设备通过短距离通信连接发起与网络设备的配对操作(302)。该配置设备确定网络设备是处于注册状态还是未注册状态(304)。如果该配置设备确定网络设备处于未注册状态，则该配置设备在该配置设备与该网络设备之间建立安全短距离通信信道(306)。该配置设备通过安全短距离通信信道向网络设备发送网络密钥，以配置该网络设备通信地连接到所述通信网络(308)。如果该配置设备确定网络设备处于注册状态，则该配置设备确定是否将该网络设备注销(314)。

【技术实现步骤摘要】
【国外来华专利技术】使用短距离无线通信的网络安全配置相关申请本申请要求享受于2012年3月20日提交的美国临时申请No.61/613,438、2012年4月23日提交的美国临时申请No.61/637,234以及2013年3月15日提交的美国申请No.13/843,395的优先权的权益。
技术介绍
概括的说，本专利技术主题的实施例涉及通信网络领域，更具体地说，涉及使用短距离无线通信的网络安全配置。在通信网络中，通信网络中设备之间的安全关联可以使用按钮配置和/或用户配置的密码/密钥等来完成。在按钮配置中，用户可以在特定时间内在每一设备上按下按钮，则这些设备可以彼此相关联。在用户配置的密码/密钥技术中，用户可以利用指定的规则输入经ASCII编码的密码，该经ASCII编码的密码可以被转换成通信网络密钥或直接地被配置作为网络密钥。然而，将用户配置的密码/密钥手动地输入多个网络设备是麻烦的。此外，用户配置的密码易受字典式攻击，且网络密钥经常太复杂而不能手动配置。按钮配置不是非常安全，且在物理地接入网络中的设备的情况下，能够触发按钮以在恶意用户控制下关联设备，以与网络中的设备相关联并从而获得与该网络相关联的安全设置。
技术实现思路
公开了用于配置网络设备的各个实施例。在一些实施例中，一种用于使用中间配置设备来配置网络设备的方法包括：由配置设备通过与网络设备的短距离通信连接发起与通信网络的所述网络设备的配对操作；由所述配置设备确定所述网络设备是处于注册状态还是未注册状态；以及如果确定所述网络设备处于未注册状态，则在所述配置设备与所述网络设备之间建立短距离通信信道，以及通过所述短距离通信信道向所述网络设备发送网络密钥，以配置所述网络设备通信地连接到所述通信网络。在一些实施例中，所述方法还包括如果确定所述网络设备处于注册状态，则确定是否将所述网络设备注销。在一些实施例中，所述确定是否将所述网络设备注销包括：确定所述网络设备是向所述配置设备还是不同的配置设备注册了；以及响应于确定所述网络设备是向所述配置设备注册了并确定将所述网络设备注销，通过所述短距离通信信道向所述网络设备发送至少一个消息以将所述网络设备注销。在一些实施例中，所述发送至少一个消息以将所述网络设备注销包括发送至少一个指令，以删除在所述配对操作期间在所述网络设备上所存储的数据。在一些实施例中，所述发起与所述网络设备的配对操作包括以下各项中的一项：通过交换及存储所述网络设备的设备标识符和多个密钥来与网络设备配对；以及使用非对称加密方案与所述网络设备配对。在一些实施例中，所述使用所述非对称加密方案与所述网络设备进行所述配对包括在所述网络设备处存储所述配置设备的公共密钥。在一些实施例中，所述确定所述网络设备是处于注册状态还是未注册状态包括：从所述配置设备向所述网络设备发送包含第一信息的第一消息；以及基于响应于所述第一消息而接收第二消息来确定所述网络设备是处于所述注册状态还是所述未注册状态。在一些实施例中，所述短距离通信连接是近场通信(NFC)连接。在一些实施例中，所述短距离通信连接是蓝牙通信连接、ZigBee通信连接、和无线局域网(WLAN)通信连接中的一个。在一些实施例中，所述短距离通信信道包括支持完整性、加密和重放保护的安全的短距离通信信道。在一些实施例中，所述重放保护是使用序列号来实现的。在一些实施例中，所述重放保护是使用时间戳来实现的。在一些实施例中，一种用于配置网络设备的方法包括：通过短距离通信连接，在通信网络的网络设备处接收来自配置设备的用于向所述配置设备注册的请求；确定所述网络设备是处于注册状态还是未注册状态；以及如果确定所述网络设备是处于未注册状态，则向所述配置设备发送响应，以指示所述网络设备处于未注册状态，在所述网络设备与所述配置设备之间建立短距离通信信道，以及通过所述短距离通信信道从所述配置设备接收至少一个密钥以向所述配置设备进行注册。在一些实施例中，所述注册的请求包括所述配置设备的标识符。在一些实施例中，所述注册的请求包括所述配置设备的公共密钥。在一些实施例中，所述注册的请求包括针对随机数的请求，或随机数。在一些实施例中，响应于在所述网络设备处接收所述随机数，计算在所述网络设备处存储的至少一个密钥的哈希值，并向所述配置设备发送所述哈希值。在一些实施例中，响应于在所述网络设备处接收针对所述随机数的请求，向所述配置设备发送随机数。在一些实施例中，所述确定所述网络设备是处于注册状态还是所述非注册状态包括将存储在所述网络设备处的至少一个参数与从所述配置设备接收的参数进行比较。在一些实施例中，所述向所述配置设备发送所述响应还包括向所述配置设备发送存储在所述网络设备处的所述通信网络的网络密钥。在一些实施例中，所述发送所述存储在所述网络设备处的所述通信网络的所述网络密钥还包括向所述配置设备发送所述网络密钥的哈希值。在一些实施例中，所述建立所述短距离通信信道包括执行密钥协商、密钥导出和密钥确认过程，以建立安全的短距离通信信道。在一些实施例中，所述方法还包括在所述网络设备处从所述配置设备接收注销请求；确定所述网络设备是处于所述注册状态还是所述非注册状态；如果确定所述网络设备是处于所述注册状态，则确定所述网络设备是否向发送所述注销请求的所述配置设备注册了；以及如果确定所述网络设备向发送所述注销请求的所述配置设备注册了，则删除存储在所述网络设备中的所述至少一个密钥。在一个实施例中，所述确定所述网络设备是向发送所述注销请求的所述配置设备注册了包括：将在所述注销请求中接收的至少一个参数与在注册操作期间存储在所述网络设备中的参数进行比较。在一些实施例中，所述确定所述网络设备是向发送所述注销请求的所述配置设备注册了包括：确定从所述配置设备接收的信息中包含的完整性字段是有效的还是无效的。在一些实施例中，一种用于使用中间配置设备来配置网络设备的方法包括：在配置设备处发起与所述网络设备的消息交换，以注册所述网络设备；基于从所述网络设备接收的响应中所接收的至少一个参数确定所述网络设备是处于注册状态还是未注册状态；如果确定所述网络设备是处于所述未注册状态，则发送至少一个密钥，以将所述网络设备向所述配置设备进行注册；确定所述通信网络的网络密钥是否存储在所述网络设备处；如果确定所述网络密钥存储在所述网络设备处，则从所述网络设备接收所述网络密钥；以及如果确定所述网络密钥不存储在所述网络设备处，则向所述网络设备发送网络密钥。在一些实施例中，来自所述网络设备的所述响应包括存储在所述网络设备处的至少一个密钥的哈希值。在一些实施例中，所述确定所述网络设备是处于所述注册状态还是所述未注册状态包括以下各项中的一个或多个：当从所述网络设备接收的至少一个密钥的哈希值为空时，确定所述网络设备处于所述非注册状态；当从所述网络设备接收的至少一个密钥的所述哈希值不为空时，确定所述网络设备处于所述注册状态；以及当从所述网络设备接收的至少一个密钥的所述哈希值与存储在所述配置设备处的至少一个密钥的哈希值匹配时，确定所述网络设备向所述配置设备注册了。在一些实施例中，所述方法还包括发起与所述网络设备的消息交换，以通过安全的短距离通信信道注册所述网络设备。在一些实施例中，在所述配置设备处，发起与所述网络设备的第二消息交换以将所述网络设备注销；基本文档来自技高网...

【技术保护点】
一种用于使用中间配置设备来配置网络设备的方法，所述方法包括：由配置设备通过与所述网络设备的短距离通信连接来发起与通信网络的所述网络设备的配对操作；由所述配置设备确定所述网络设备是处于注册状态还是未注册状态；如果确定所述网络设备处于所述未注册状态，则在所述配置设备与所述网络设备之间建立短距离通信信道；以及通过所述短距离通信信道向所述网络设备发送网络密钥，以便配置所述网络设备通信地连接到所述通信网络。

【技术特征摘要】
【国外来华专利技术】2012.03.20 US 61/613,438;2012.04.23 US 61/637,234;1.一种用于使用配置设备来配置网络设备的方法，所述方法包括：由所述配置设备通过与所述网络设备的短距离通信连接来发起与所述网络设备的配对操作；由所述配置设备确定所述网络设备关于所述配置设备和其它配置设备是处于已注册状态还是未注册状态；如果确定所述网络设备处于所述未注册状态，则在所述配置设备与所述网络设备之间建立短距离通信信道；以及通过所述短距离通信信道向所述网络设备发送网络密钥，以便配置所述网络设备通信地连接到通信网络。2.根据权利要求1所述的方法，还包括：如果确定所述网络设备关于所述配置设备和其它配置设备处于未注册状态，则向所述配置设备注册所述网络设备。3.根据权利要求1所述的方法，还包括如果确定所述网络设备处于所述已注册状态，则：确定所述网络设备是向所述配置设备注册的；确定是否将所述网络设备注销；并且响应于确定所述网络设备是向所述配置设备注册的以及确定将所述网络设备注销，通过所述短距离通信信道向所述网络设备发送至少一个消息以将所述网络设备注销。4.根据权利要求3所述的方法，其中发送至少一个消息以将所述网络设备注销包括：发送至少一个指令，以删除在所述配对操作期间在所述网络设备处存储的数据。5.根据权利要求1所述的方法，其中发起与所述网络设备的配对操作包括以下操作中的一项：通过交换并存储所述网络设备的设备标识符和多个配对密钥来与所述网络设备配对；以及使用非对称加密方案与所述网络设备进行配对。6.根据权利要求5所述的方法，其中使用所述非对称加密方案与所述网络设备进行配对包括：在所述网络设备处存储所述配置设备的公共密钥。7.根据权利要求1所述的方法，其中确定所述网络设备是处于所述已注册状态还是所述未注册状态包括：从所述配置设备向所述网络设备发送包含第一信息的第一消息；以及基于响应于所述第一消息接收的第二消息来确定所述网络设备是处于所述已注册状态还是所述未注册状态。8.根据权利要求1所述的方法，其中，所述短距离通信连接是近场通信(NFC)连接。9.根据权利要求1所述的方法，其中所述短距离通信连接是以下各项中的一项：蓝牙通信连接、ZigBee通信连接、和无线局域网(WLAN)通信连接。10.根据权利要求1所述的方法，其中所述短距离通信信道包括支持完整性、加密和重放保护的安全的短距离通信信道。11.根据权利要求1所述的方法，其中所述短距离通信信道是使用第一频带的带外通信信道，其中通过所述短距离通信信道发送所述网络密钥给所述网络设备是为了配置所述网络设备使用与所述第一频带不同的第二频带通信地连接到所述通信网络。12.根据权利要求1所述的方法，还包括：提供所述配置设备的标识符给所述网络设备，以注册所述网络设备；以及在所述配置设备处接收所述网络设备的标识符并保存所述网络设备的所述标识符。13.一种用于配置网络设备的方法，所述方法包括：在所述网络设备处，通过短距离通信连接接收来自配置设备的用以向所述配置设备进行注册的请求；确定所述网络设备关于所述配置设备和其它配置设备是处于已注册状态还是未注册状态；如果确定所述网络设备处于所述未注册状态，则向所述配置设备发送响应，以指示所述网络设备处于所述未注册状态；在所述网络设备与所述配置设备之间建立短距离通信信道；通过所述短距离通信信道从所述配置设备接收至少一个密钥，以向所述配置设备进行注册；通过所述短距离通信信道从所述配置设备接收网络密钥，以便配置所述网络设备通过通信网络进行通信；以及使用所述网络密钥通过所述通信网络进行通信。14.根据权利要求13所述的方法，其中所述注册请求包括所述配置设备的标识符。15.根据权利要求13所述的方法，其中所述注册请求包括所述配置设备的公共密钥。16.根据权利要求13所述的方法，其中所述短距离通信信道是使用第一频带的带外通信信道，所述第一频带不同于通信网络使用的第二频带。17.根据权利要求13所述的方法，其中，进行注册的所述请求包括随机数，并且响应于在所述网络设备处接收到所述随机数，计算在所述网络设备处存储的至少一个密钥的哈希值，并将所述哈希值发送给所述配置设备。18.根据权利要求16所述的方法，其中，进行注册的所述请求包括对随机数的请求，并且响应于在所述网络设备处接收到针对所述随机数的所述请求，向所述配置设备发送随机数。19.根据权利要求13所述的方法，其中确定所述网络设备是处于所述已注册状态还是所述未注册状态包括：将存储在所述网络设备处的至少一个参数与从所述配置设备接收的参数进行比较。20.根据权利要求13所述的方法，其中向所述配置设备发送所述响应还包括：向所述配置设备发送存储在所述网络设备处的所述通信网络的网络密钥。21.根据权利要求20所述的方法，其中发送存储在所述网络设备处的所述通信网络的所述网络密钥还包括：向所述配置设备发送所述网络密钥的哈希值。22.根据权利要求13所述的方法，其中所述通信网络包括一个或多个其它网络设备。23.根据权利要求13所述的方法，还包括：在所述网络设备处接收来自所述配置设备的注销请求；确定所述网络设备是处于所述已注册状态还是所述未注册状态；如果确定所述网络设备是处于所述已注册状态，则确定所述网络设备是否是向发送所述注销请求的所述配置设备注册的；以及如果确定所述网络设备是向发送所述注销请求的所述配置设备注册的，则删除存储在所述网络设备中的所述至少一个密钥。24.根据权利要求23所述的方法，其中确定所述网络设备是向发送所述注销请求的所述配置设备注册的包括：将在所述注销请求中接收的至少一个参数与在注册操作期间存储在所述网络设备中的参数进行比较。25.根据权利要求23所述的方法，其中确定所述网络设备是向发送所述注销请求的所述配置设备注册的包括：确定从所述配置设备接收的消息中包含的完整性字段是有效的还是无效的。26.一种用于使用配置设备来配置网络设备的方法，所述方法包括：由所述配置设备发送消息给所述网络设备以发起向所述网络设备的注册操作；基于在从所述网络设备接收的响应中所接收的至少一个参数，确定所述网络设备关于所述配置设备和其它配置设备是处于已注册状态还是未注册状态；如果确定所述网络设备是处于所述未注册状态，则发送至少一个密钥，以将所述网络设备向所述配置设备进行注册；确定通信网络的网络密钥是否存储在所述网络设备处；如果确定所述网络密钥存储在所述网络设备处，则从所述网络设备接收所述网络密钥；以及如果确定所述网络密钥不存储在所述网络设备处，则向所述网络设备发送所述网络密钥，以便配置所述网络设备通信地连接到所述通信网络。27.根据权利要求26所述的方法，其中，来自所述网络设备的所述响应包括：存储在所述网络设备处的至少一个密钥的哈希值。28.根据权利要求26所述的方法，其中确定所述网络设备是处于所述已注册状态还是所述未注册状态包括以下操作中的一项或多项：当从所述网络设备接收的至少一个密钥的哈希值为空时，确定所述网络设备处于所述未注册状态；当从所述网络设备接收的至少一个密钥的所述哈希值不为空时，确定所述网络设备处于所述已注册状态；以及当从所述网络设备接收的至少一个密钥的所述哈希值与存储在所述配置设备处的至少一个密钥的哈希值匹配时，确定所述网络设备是向所述配置设备注册的。29.根据权利要求26所述的方法，还包括，通过安全的短距离通信信道发送所述消息给所述网络设备。30.根据权利要求26所述的方法，还包括：由所述配置设备发送第二消息给所述网络设备，以确定是否将所述网络设备注销；基于在来自所述网络设备的第二响应中接收的至少一个参数，确定所述网络设备是否是向所述配置设备注册的；以及如果确定所述网络设备是向所述配置设备注册的，则发送至少一个指令以将所述网络设备注销。31.根据权利要求30所述的方法，其中，来自所述网络设备的所述第二响应包括：存储在所述网络设备处的至少一个参数的哈希值。32.根据权利要求30所述的方法，其中来自所述网络设备的所述第二响应包括所述网络设备的状态，其中，所述状态指示所述网络设备是否是向所述配置设备注册的。33.一种用于配置网络设备的配置设备，所述配置设备包括：网络接口；密钥管理单元，其配置成：通过与所述网络设备的短距离通信连接来发起与所述网络设备的配对操作；确定所述网络设备关于所述配置设备和其它配置设备是处于已注册状态还是未注册状态；如果确定所述网络设备处于所述未注册状态，则在所述配置设备与所述网络设备之间建立短距离通信信道；以及通过所述短距离通信信道向所述网络设备发送网络密钥，以便配置所述网络设备通信地连接到通信网络。34.根据权利要求33所述的配置设备，其中所述密钥管理单元还配置成：如果确定所述网络设备关于所述配置设备和其它配置设备处于未注册状态，则向所述配置设备注册所述网络设备。35.根据权利要求33所述的配置设备，如果确定所述网络设备处于所述已注册状态，所述密钥管理单元进一步被配置成：确定所述网络设备是向所述配置设备注册的还是向不同的配置设备注册的；确定是否将所述网络设备注销；以及响应于确定所述网络设备是向所述配置设备注册的以及确定将所述网络设备注销，通过所述短距离通信信道向所述网络设备发送至少一个消息以将所述网络设备注销。36.根据权利要求35所述的配置设备，其中所述密钥管理单元配置成发送至少一个消息以将所述网络设备注销包括所述密钥管理单元配置成：发送至少一个指令以删除在所述配对操作期间在所述网络设备处存储的数据。37.根据权利要求33所述的配置设备，其中所述密钥管理单元配置成发起与所述网络设备的配对操作包括所述密钥管理单元配置成以下操作中的一项：通过交换并存储所述网络设备的设备标识符和多个配对密钥来与所述网络设备配对；以及使用非对称加密方案与所述网络设备进行配对。38.根据权利要求37所述的配置设备，其中所述密钥管理单元配置成使用所述非对称加密方案与所述网络设备配对包括所述密钥管理单元配置成：在所述网络设备存储所述配置设备的公共密钥。39.根据权利要求33所述的配置设备，其中所述...

【专利技术属性】
技术研发人员：O·J·贝诺伊特，A·帕拉尼恭德尔，S·Y·D·何，A·佩雷斯，B·P·莫汉蒂，E·G·科恩，
申请(专利权)人：高通股份有限公司，
类型：发明
国别省市：美国;US