受信设备对新设备的认证制造技术

本发明专利技术大体涉及受信设备对新设备的认证，涉及设备网络中的设备的认证，更具体地涉及一个受信设备提出问题(“质询”)、另一方必须提供要认证的有效应答(“响应”)的质询－响应认证。该质询包括通过专用集成电路ASIC处理数据。

Authentication of new equipment by trusted equipment

The present invention relates generally to the trusted device for new equipment certification, related equipment in the network equipment certification, more specifically relates to a trusted device question (\question\), the other party must provide a valid response to certification (\response\) - challenge response authentication. The challenge includes processing data through a dedicated integrated circuit ASIC.

【技术实现步骤摘要】
受信设备对新设备的认证
本申请大体涉及设备网络中的设备的认证，更具体地涉及一种质询－响应认证，在该质询－响应认证中，一个受信设备提出问题(“质询”)，另一方必须提供要被认证的有效应答(“响应”)的。
技术介绍
连接网络的设备变得越来越常见。在许多应用中，出于安全原因，了解并控制网络中新设备的来源、硬件及功能至关重要。这随之带来了涉及网络中的新设备认证的新问题和挑战。存在许多此类网络中的设备的对安全认证问题加密的解决方案。然而，此类解决方案依赖于加密密钥的分发，其可能产生逻辑安全问题。因此，需要在此领域内进行改进。
技术实现思路
鉴于上述情况，本专利技术的目的是解决或至少降低上面讨论的一个或几个缺陷。通常，上述目的通过所附的独立专利权利要求来实现。根据第一方面，本专利技术通过由受信设备执行的、用于新设备认证的方法实现，该方法包括：检索认证数据，传送认证数据和处理参数集给新设备，通过使用受信设备的专用集成电路ASIC和处理参数集来处理认证数据，生成处理后的认证数据，仅在以下情况下认证新设备：-接收来自新设备的响应，其中该响应包括数据，并且-处理后的认证数据与该响应中包含的数据之间的差不超过阈值差。在本说明书的上下文中，术语“受信设备”应该理解为已被认证且已知例如在连接设备的网络内可靠的设备。在本说明书的上下文中，术语“认证数据”应该理解为能够使用ASIC处理的一组值。此类数据优选为例如使用特定(伪)随机函数生成的，这样每次检索它时它都不同。在本说明书的上下文中，术语“ASIC”应该理解为为特定用途(例如以特定方式处理特定数据)定制的特别设计的计算机芯片。专利技术人意识到如此上下文中所用的ASIC可以提供除非已知ASIC的硬件设计、否则不易复制的操作(数据的处理)。在一些或所有连接的设备各应该具有相同硬件设计的ASIC的网络中，验证新设备时，这可以有利地用作密码机制的等同物。确定新设备的可信实性时，受信设备将发送质询给新设备，要求新设备使用其ASIC和处理参数集对认证数据执行操作。如果从新设备接收到响应，可以将那一响应中包含的数据与预期的结果进行比较。受信设备知道该预期的结果，因为它已经通过使用它自己的ASIC和发送给新设备的同一处理参数集来处理认证数据，生成此类结果。如果处理后的认证数据与响应中包含的数据之间的差不超过阈值差，则新设备可被认证，因此被受信设备(和已连接到受信设备并受其信任的任一其它设备)信任。允许的阈值差可以是预定的，例如表示为能够在响应的数据和处理后的认证数据之间相异的允许的若干比特(例如，汉明间距，或L2-范数)，。可以使用确定两个数据集之差的其它方法，诸如方差分析(ANOVA)、相关性、协方差、柱状图分析、比较数据长度(响应的数据和处理后的认证数据中的比特数)。在其它实现方式中，允许的差可以因时间而异。例如，如果受信设备和新设备之间的连接(Wi-Fi，有线等)不稳定，考虑到从新设备接收的响应中丢失的比特，允许的差可以较大。根据一些实施方式，仅在以下情况下认证新设备：-接收到来自新设备的响应，其中该响应包括数据，-在从传送认证数据和处理参数集给新设备起的阈值时间跨度内接收到响应，并且-处理后的认证数据和响应中包含的数据之间的差不超过阈值差。将具有特定硬件设计及功能的ASIC，即为以特定方式处理特定类型数据设计的，用于处理认证数据，对于不访问此类ASIC的设备，复制的计算代价可能是昂贵的。这意味着即使欺诈设备(即，试图担当应该受信的设备的设备)以特定方式知道应该如何处理从受信设备接收的质询中的数据，它也很难以与“可信”受信设备相同的速度进行此类处理。出于这一原因，受信设备还可以测量接收响应所花的时间，并基于可信受信设备处理认证数据应该花费多长时间，将响应时间与阈值时间跨度进行比较。此阈值时间跨度可以是预定的，或基于受信设备生成处理后的认证数据所花的时间。该阈值时间跨度还可以基于关于网络(受信设备与新设备之间的连接)的数据，例如比特率等。因此，即使新设备正确地对来自受信设备的质询进行响应，对于要认证的新设备，也要求在特定的时间跨度内从新设备接收响应。根据一些实施方式，该方法进一步包括受信设备与新设备之间的认证过程。上面讨论的实施方式(以及下面讨论的实施方式)可能仅是认证过程的一部分。如果新设备以正确的方式对受信设备的质询进行质询，根据一些实施方式，新设备可以要求对新设备进行进一步认证以信任它，例如使用证书或其它公知的安全措施。此实施方式叫做多因子认证。根据一些实施方式，ASIC选自包括图像处理管道，视频分析管道和音频处理管道的组中。通过将诸如图像处理管道、视频分析管道或音频处理管道的专有ASICIP用于处理认证数据，欺诈设备非常难以复制对质询的正确响应。根据一些实施方式，检索认证数据的步骤包括从受信设备的计算机存储器读取认证数据。认证数据可以在受信设备由随机函数生成，或存储器可以包括一组认证数据，从中针对每个认证过程选择一个认证数据。根据一些实施方式，受信设备为相机，其中检索认证数据的步骤包括使用相机的图像传感器捕获图像数据，并将至少部分图像数据用作认证数据。图像数据可以视为随机数据，因为由于存在图像噪声，两个捕获的图像决不会相同。根据一些实施方式，ASIC包括第一版本号，其中从新设备接收的响应包括第二版本号，其中该方法进一步包括：基于第一版本号和第二版本号确定阈值差。不同版本的专有ASIC处理数据时可能具有不同的数值精度。结果，为了允许受信设备间不同的ASIC版本，基于对受信设备和新设备的版本号进行比较，适配阈值差可能是有利的。通常，受信设备和新设备的版本号不同可能导致受信设备的处理后的认证数据与接收的响应中包含的数据有较高的允许的差。根据一些实施方式，ASIC包括第一版本号，其中从新设备接收的响应包括第二版本号，其中该方法进一步包括：基于第一版本号和第二版本号确定阈值时间跨度。出于如上的相同原因，ASIC的较低版本号可能导致不同的数据处理速度。例如，旧版本的ASIC相较于新版本的ASIC，可能处理数据更慢。根据其它实施方式，新版本的ASIC相较于旧版本的ASIC，可能以不同的方式处理数据，这可能导致较慢的处理速度。在第二方面，本专利技术提供一种被配置为认证新设备的设备，该设备包括：专用集成电路ASIC，处理器，被配置为：接收认证数据，通过使用ASIC和处理参数集来处理认证数据，生成处理后的认证数据，数字网络模块，被配置为传送认证数据和处理参数集给新设备，并从新设备接收响应，其中处理器配置为仅在以下情况下认证新设备：通过数字网络模块接收到来自新设备的响应，其中该响应包括数据，处理后的认证数据与该响应中包含的数据之间的差不超过阈值差。根据一些实施方式，处理器被配置为仅在以下情况下认证新设备：通过数字网络模块接到收来自新设备的响应，其中该响应包括数据，在从数字网络模块传送认证数据和处理参数集给新设备起的阈值时间跨度内接收到该响应，处理后的认证数据和该响应中包含的数据之间的差不超过阈值差。根据一些实施方式，第二方面的设备为网络相机。在第三方面，本专利技术提供一种设备，包括：数字网络模块，被配置为从第二设备接收质询，该质询包括认证数据和处理参数集，专用集成电路，ASIC，处理器，被配置为通过使用ASIC和本文档来自技高网...

【技术保护点】
一种由受信设备(102)执行的用于新设备(104)的认证的方法，该方法包括：检索(S404)认证数据(304)，传送(S406)所述认证数据和处理参数(306)集给新设备，通过使用所述受信设备的专用集成电路ASIC(202，202a)和所述处理参数集来处理认证数据，生成(S408)处理后的认证数据(312)，仅在以下情况下认证(S418)所述新设备：接收到(S410)来自所述新设备的响应(315)，其中该响应包括数据(314)，并且所述处理后的认证数据与该响应中包含的数据之间的差不超过阈值差。

【技术特征摘要】
2016.10.07 EP 16192717.31.一种由受信设备(102)执行的用于新设备(104)的认证的方法，该方法包括：检索(S404)认证数据(304)，传送(S406)所述认证数据和处理参数(306)集给新设备，通过使用所述受信设备的专用集成电路ASIC(202，202a)和所述处理参数集来处理认证数据，生成(S408)处理后的认证数据(312)，仅在以下情况下认证(S418)所述新设备：接收到(S410)来自所述新设备的响应(315)，其中该响应包括数据(314)，并且所述处理后的认证数据与该响应中包含的数据之间的差不超过阈值差。2.根据权利要求1所述的方法，其中，仅在以下情况下认证所述新设备：接收到来自所述新设备的响应，其中该响应包括数据，在从传送所述认证数据和处理参数集给所述新设备起的阈值时间跨度内接收到该响应，并且所述处理后的认证数据与该响应中包含的数据之间的差不超过阈值差。3.根据权利要求1所述的方法，其中该方法进一步包括：所述受信设备与新设备之间的认证过程。4.根据权利要求1所述的方法，其中所述ASIC选自于包括图像处理管道，视频分析管道和音频处理管道的组中。5.根据权利要求1所述的方法，其中检索所述认证数据的步骤包括：从所述受信设备的计算机存储器读取所述认证数据。6.根据权利要求1所述的方法，其中所述受信设备为相机，其中检索所述认证数据的步骤包括：由所述相机的图像传感器捕获图像数据，并将所述图像数据中的至少部分用作所述认证数据。7.根据权利要求1所述的方法，其中所述ASIC包括第一版本号，其中接收到的来自所述新设备的所述响应包括第二版本号，其中该方法进一步包括：基于所述第一版本号和所述第二版本号确定所述阈值差。8.根据权利要求2所述的方法，其中所述ASIC包括第一版本号，其中接收到的来自所述新设备的所述响应包括第二版本号，其中该方法进一步包括：基于所述第一版本号和所述第二版...

【专利技术属性】
技术研发人员：米卡埃尔·林德贝里，
申请(专利权)人：安讯士有限公司，
类型：发明
国别省市：瑞典,SE