【技术实现步骤摘要】
【国外来华专利技术】用于进行安全通信的网络系统
本专利技术涉及一种用于在区域中的网络设备之间进行无线通信的网络系统,所述网络系统被布置用于根据安全协议来进行安全通信。本专利技术一般涉及现场无线联网(例如Wi-Fi),具体涉及以安全方式配置无线网络。
技术介绍
过去几十年来,已经在很多地方提供了无线网络。为对网络的使用、访问或网络上的数据业务提供一定程度的安全性是常见的要求。想要使用网络的新设备(即,寻求加入无线网络的设备)通常被称为登记者(enrollee)。登记者需要具有一些证书,而网络必须保持跟踪网络访问。这样的功能可以由所谓的注册器或配置器(即,具有发布和撤销对网络的访问的权限的设备)来执行,所谓的注册器或配置器可以被集成到无线接入点(AP)中,或者被提供为单独的设备。该接入点可以用作注册器与登记者之间的代理。然而,如果经由无线通信交换这样的证书,则也接收消息的第三方可以访问证书并且能够操纵访问权限,和/或获得对登记者的私有信息以及在网络与登记者之间交换的另外的数据的不想要的访问。例如,像餐馆和咖啡馆这样的公共场所可以运营这样的网络。为了获得对这种相当开放的网络的安全访问,已经提出了用于交换身份和/或证书以获得对网络的访问的各种选项。例如,这样的证书可以包括针对网络选择的密码,并且通常被保密,但是被披露给登记者的用户,以便被输入到登记者。这种密码可以用来生成登记者与网络之间的共享密钥。更高级的安全系统可以使用密钥数据的成对集合(通常称为公钥和私钥)的公知系统,例如RSA公钥系统。RSA公钥系统被广泛用于安全数据传输。在这样的密码系统中,加密密钥是公开的,并且与被保密的解 ...
【技术保护点】
1.一种用于在被布置用于在区域中的网络设备之间进行无线通信(150、150')并且用于根据安全协议进行安全通信的网络系统中使用的登记者设备,所述网络系统包括:‑被布置为根据所述安全协议用作登记者设备(110)的网络设备,其用于获得对所述网络的访问,以及‑被布置为根据所述安全协议用作配置器设备(130)的网络设备,其用于使得所述登记者设备能够访问所述网络;其中,所述配置器设备包括:配置器通信单元(132),其被布置为根据所述安全协议从所述登记者设备接收网络访问请求,所述网络访问请求包括编码的第二登记者公钥和第一登记者公钥;以及包括存储器的配置器处理器(131),其被布置为具有针对所述配置器设备的配置器公钥和对应的配置器私钥并且被布置为具有针对所述网络系统的网络公钥和对应的网络私钥,所述配置器处理器被布置为:‑基于所述网络私钥和所述第一登记者公钥来导出第一共享密钥,‑使用所述第一共享密钥来对所述编码的第二登记者公钥进行解码,‑验证所述编码的第二登记者公钥是否由所述第一共享密钥编码,如果是这样,则‑使用所述第二登记者公钥和所述配置器私钥来生成安全数据,‑基于所述第一登记者公钥、所述第二登记者 ...
【技术特征摘要】
【国外来华专利技术】2015.12.21 EP 15201664.81.一种用于在被布置用于在区域中的网络设备之间进行无线通信(150、150')并且用于根据安全协议进行安全通信的网络系统中使用的登记者设备,所述网络系统包括:-被布置为根据所述安全协议用作登记者设备(110)的网络设备,其用于获得对所述网络的访问,以及-被布置为根据所述安全协议用作配置器设备(130)的网络设备,其用于使得所述登记者设备能够访问所述网络;其中,所述配置器设备包括:配置器通信单元(132),其被布置为根据所述安全协议从所述登记者设备接收网络访问请求,所述网络访问请求包括编码的第二登记者公钥和第一登记者公钥;以及包括存储器的配置器处理器(131),其被布置为具有针对所述配置器设备的配置器公钥和对应的配置器私钥并且被布置为具有针对所述网络系统的网络公钥和对应的网络私钥,所述配置器处理器被布置为:-基于所述网络私钥和所述第一登记者公钥来导出第一共享密钥,-使用所述第一共享密钥来对所述编码的第二登记者公钥进行解码,-验证所述编码的第二登记者公钥是否由所述第一共享密钥编码,如果是这样,则-使用所述第二登记者公钥和所述配置器私钥来生成安全数据,-基于所述第一登记者公钥、所述第二登记者公钥和所述网络私钥来导出第二共享密钥,-使用所述第二共享密钥来密码地保护所述安全数据和所述配置器公钥中的至少一个,并且-根据所述安全协议来生成网络访问消息,所述网络访问消息包括受保护的安全数据和受保护的配置器公钥中的至少一个;所述登记者设备包括:登记者无线通信单元(112),其被布置用于进行无线通信;登记者传感器(113),其被布置为:-经由带外信道获取数据模式(140),所述数据模式被提供在所述区域中并且表示所述网络公钥;以及包括存储器的登记者处理器(111),其被布置为具有所述第一登记者公钥和对应的第一登记者私钥并且被布置为具有所述第二登记者公钥和对应的第二登记者私钥,所述登记者处理器(111)被布置为:-基于所述网络公钥和所述第一登记者私钥来导出所述第一共享密钥,-使用所述第一共享密钥来对所述第二登记者公钥进行编码,-根据所述安全协议来生成网络访问请求,所述网络访问请求包括所述编码的第二登记者公钥和所述第一登记者公钥,并且-经由所述登记者无线通信单元将所述网络访问请求传送到所述配置器设备;所述登记者处理器还被布置为:-经由所述登记者无线通信单元从所述配置器接收所述网络访问消息,-基于所述第一登记者私钥、所述第二登记者私钥和所述网络公钥来导出所述第二共享密钥,-验证所述受保护的安全数据和所述受保护的配置器公钥中的至少一个是否被所述第二共享密钥密码地保护,并且如果是这样,则-基于所述第二登记者私钥和所述安全数据来进行所述安全通信。2.根据权利要求1所述的登记者设备,其中:-所述登记者处理器(111)被布置为生成临时登记者公钥和对应的临时登记者私钥,这些密钥构成所述第一登记者公钥和所述对应的第一登记者私钥;并且/或者-所述登记者处理器被布置为生成另外的临时登记者公钥和对应的另外的临时登记者私钥,这些密钥构成所述第二登记者公钥和所述对应的第二登记者私钥。3.根据权利要求1或2所述的登记者设备,所述配置器处理器(131)还被布置为通过以下操作来生成所述安全数据:-提供配置器会话密钥,并将所述配置器会话密钥传送给所述登记者;其中,所述登记者处理器(111)还被布置为:-接收所述配置器会话密钥,并且-基于所述配置器会话密钥来进行所述安全通信。4.根据前述权利要求中的任一项所述的登记者设备,所述配置器(131)处理器还被布置为:-生成配置器会话公钥和对应的配置器会话私钥,-基于所述配置器会话私钥和所述第二登记者公钥来导出第三共享密钥,并且-将所述配置器会话公钥传送给所述登记者;其中,所述登记者处理器(111)还被布置为:-接收所述配置器会话公钥,-基于所述第二登记者私钥和所述配置器会话公钥来导出所述第三共享密钥,并且-基于所述第三共享密钥来进行安全通信。5.根据前述权利要求中的任一项所述的登记者设备,所述网络系统包括另外的网络设备(120),所述另外的网络设备被布置为:-接收所述第二登记者公钥和所述安全数据,-提供会话网络公钥和对应的会话网络私钥,-基于所述会话网络私钥和所述第二登记者公钥来导出第五共享密钥,并将所述会话网络公钥传送给所述登记者;其中,所述登记者处理器(111)还被布置为:-接收所述会话网络公钥,-基于所述第二登记者私钥和所述会话网络公钥来导出所述第五共享密钥,并且-基于所述第五共享密钥来与所述另外的网络设备安全地进行通信。6.根据前述权利要求中的任一项所述的登记者设备,所述配置器处理器(131)还被布置为:-通过利用所述配置器私钥对所述第二登记者公钥进行数字签名来生成包括数字签名的所述安全数据,-将所述数字签名传送给第三设备和/或登记者以使得能够在所述登记者与所述第三设备之间进行安全通信;其中,所述登记者处理器(111)还被布置为:-接收所述数字签名,-基于所述数字签名和所述配置器公钥来验证所述第二登记者公钥是否被正确地签名,如果是这样,则-基于所述第二登记者私钥来进行所述安全通信。7.根据权利要求6所述的登记者设备,其中:所述网络系统包括另外的网络设备(120),所述另外的网络设备被布置为:-获得所述配置器公钥,-接收所述数字签名和所述第二登记者公钥,-基于所述数字签名和所述配置器公钥来验证所述第二登记者公钥是否被正确地签名,如果是这样,则-基于所述第二登记者公钥来与所述登记者设备进行所述安全通信。8.根据前述权利要求中的任一项所述的登记者设备,所述配置器处理器(131)还被布置为通过利用所述配置器私钥对另外的网络设备的另外的公钥进行数字签名来生成包括另外的数字签名的另外的安全数据;其中,所述登记者处理器(111)还被布置为通过以下操作来使用所述另外的安全数据:-接收所述另外的公钥和所述另外的数字签名,-基于所述另外的数字签名和所述配置器公钥来验证所述另外的公钥是否被正确地签名,如果是这样,则-使用所述第二登记者私钥和所述另外的公钥来与所述另外的网络设备安全地进行通信。9.根据前述权利要求中的任一项所述的登记者设备,所述配置器处理器(131)还被布置为:-使用所述第二共享密钥来对编码的登记者测试数据进行解码,-验证所述登记者测试数据是否由所述登记者处的所述第二共享密钥编码,其中,所述登记者处理器(111)还被布置为:-生成所述登记者测试数据,-使用所述第二共享密钥来对所述登记者测试数据进行编码,-将编码的登记者测试数据传送到所述配置器。10.根据前述权利要求中的任一项所述的登记者设备,所述配置器处理器(131)还被布置为:-生成配置器测试数据,-使用所述第二共享密钥来对所述配置器测试数据进行编码,-将编码的配置器测试数据传送给所述登记者;其中,所述登记者处理器(111)还被布置为:-使用所述第二共享密钥来对所述编码的配置器测试数据进行解码,-验证所述配置器测试数据是否由所述配置器处的所述第二共享密钥编码。11.一种用于在被布置用于在区域中的网络设备之间进行无线通信(150、150')并且用于根据安全协议进行安全通信的网络系统中使用的登记者方法,所述网络系统包括:-运行所述登记者方法以根据所述安全协议用作登记者设备(110)的网络设备,其用于获得对所述网络的访问,以及-被布置为根据所述安全协议用作配置器设备(130)的网络设备,其用于使得所述登记者设备能够访问所述网络;其中,所述配置器设备包括:配置器通信单元(132),其被布置为根据所述安全协议从所述登记者设备接收网络访问请求,所述网络访问请求包括编码的第二登记者公钥和第一登记者公钥;以及包括存储器的配置器处理器(131),其被布置为具有针对所述配置器设备的配置器公钥和对应的配置器私钥并且被布置为具有针对所述网络系统的网络公钥和对应的网络私钥,所述配置器处理器被布置为:-基于所述网络私钥和所述第一登记者公钥来导出第一共享密钥,-使用所述第一共享密钥来对所述编码的第二登记者公钥进行解码,-验证所述编码的第二登记者公钥是否由所述第一共享密钥编码,如果是这样,则-使用所述第二登记者公钥和所述配置器私钥来生成安全数据,-基于所述第一登记者公钥、所述第二登记者公钥和所述网络私钥来导出第二共享密钥,-使用所述第二共享密钥来密码地保护所述安全数据和所述配置器公钥中的至少一个,并且-根据所述安全协议来生成网络访问消息,所述网络访问消息包括受保护的安全数据和受保护的配置器公钥中的至少一个;所述登记者方法包括:-存储所述第一登记者公钥和对应的第一登记者私钥以及所述第二登记者公钥和对应的第二登记者私钥,-经由带外信道获取数据模式(140),所述数据模式被提供在所述区域中并且表示所述网络公钥;-基于所述网络公钥...
【专利技术属性】
技术研发人员:J·A·C·伯恩森,
申请(专利权)人:皇家飞利浦有限公司,
类型:发明
国别省市:荷兰,NL
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。