利用生物特征安全保护物联网设备的IPv6链路本地安全网络制造技术

本发明专利技术涉及利用生物特征安全保护物联网设备的IPv6链路本地安全网络。公开了一种方法、计算机可读记录介质以及多功能外围设备，其保护使用链路本地网络用于数据的传输的设备。方法包括以下步骤：在因特网协议版本6(IPv6)链路本地网络中从物联网(IOT)设备启动IPv6网络初始化；根据IOT设备的第一公钥得到用于IOT设备的链路本地IPv6地址的标识符；将链路本地IPv6地址与标识符从IOT设备发送至第一主机设备，以用于链路本地IPv6网络中的重复地址检测(dad)；以及利用私钥来认证第一主机设备上的链路本地IPv6地址。

【技术实现步骤摘要】
利用生物特征安全保护物联网设备的IPv6链路本地安全网络
本专利技术涉及用于保护物联网(IOT)设备例如移动设备、智能电话、个人计算机、摄像机、医疗设备或装置、多功能外围设备(MFP)或打印机的因特网协议版本6(IPv6)链路本地安全网络，并且更具体地涉及使用来自用户的生物特征信息例如以用于传输IOT设备之间的敏感数据的IPv6链路本地安全网络。
技术介绍
网络通过允许一个个人计算机使用电子消息通过网络(或网络连接)与另一个人计算机和/或其他联网设备进行通信而增强了我们传送和访问信息的能力。当在个人计算机或联网设备之间传送电子消息时，电子消息将经常通过对电子消息中的数据执行操作(例如打包、路由和流量控制)的协议栈。寻址结构的第一主要版本——因特网协议版本4(IPv4)——仍然是因特网的主要协议，尽管后继者——因特网协议版本6(IPv6)——正在全球范围内积极部署。IPv6网络协议规定，当使用ICMPv6邻居发现消息(即，邻居发现协议或NDP)连接至IPv6网络时，IPv6主机或主机设备(例如，图像形成装置和其他设备)可以自动地配置它们自身(即，无状态地址自动配置)。IPv6地址被表示为八个组，每组四个十六进制数字，其中组由冒号分隔。IPv6数据包有两个部分：包头和有效载荷。包头由固定部分组成，固定部分后面跟有可选扩展以实现特殊特征。固定包头占用IPv6数据包的前40个八位字节(320位)并且包括源地址和目的地址、流量分类选项、跃点计数器(hopcounter)以及跟随包头的有效负载或可选扩展的类型。扩展包头带有可用于网络中的数据包的特殊处理的选项，例如，用于路由、分段存储(fragmentation)以及用于使用因特网协议安全性(IPsec)框架的安全性。当首次连接至网络时，IPv6主机(或节点)发送链路本地多播邻居征求请求，该链路本地多播邻居征求请求通告其用于重复地址检测(dad)的暂时链路本地地址，并且如果没有遇到问题，则主机使用该链路本地地址。发送路由器征求(或根据定时接收路由器通告)，以获得网络层配置参数，并且路由器利用包含网络层配置参数的路由器通告数据包来响应于这样的请求。
技术实现思路
将期望具有与IOT设备(例如移动电话、智能电话、个人计算机、路由器、摄像机、MFP或打印机或者医疗设备或装置)相关联的应用，其创建用于敏感数据的传输的具有生物特征安全的IPv6链路本地安全链路本地网络。公开了保护使用链路本地网络以用于数据的传输的设备的方法，方法包括：为用户生成私钥；根据私钥创建一个或更多个公钥；将一个或更多个公钥施加于物联网(IOT)设备作为第一公钥，IOT设备被配置成供用户使用；将私钥和至少两个公钥提供给第一主机设备；在IPv6链路本地网络中从IOT设备启动因特网协议版本6(IPv6)网络初始化；根据IOT设备的第一公钥得到用于IOT设备的链路本地IPv6地址的标识符；将链路本地IPv6地址与标识符从IOT设备发送至第一主机设备，以用于链路本地IPv6网络中的重复地址检测(dad)；以及利用私钥来认证第一主机设备上的链路本地IPv6地址。公开了用于存储计算机程序的计算机可读记录介质，其保护使用链路本地网络以用于数据的传输的设备。计算机程序被配置成使计算机执行包括以下步骤的处理：为用户生成私钥；根据私钥创建一个或更多个公钥；将一个或更多个公钥施加于物联网(IOT)设备作为第一公钥，IOT设备被配置成供用户使用；将私钥和至少两个公钥提供给第一主机设备；在IPv6链路本地网络中从IOT设备启动因特网协议版本6(IPv6)网络初始化；根据IOT设备的第一公钥得到用于IOT设备的链路本地IPv6地址的标识符；将链路本地IPv6地址与标识符从IOT设备发送至第一主机设备，以用于链路本地IPv6网络中的重复地址检测(dad)；以及利用私钥来认证第一主机设备上的链路本地IPv6地址。公开了多功能外围设备(MFP)，其保护使用链路本地网络以用于数据的传输的设备，多功能外围设备包括：处理器，被配置成：在从IOT设备进行IPv6网络初始化期间，从IOT设备接收链路本地因特网协议版本6(IPv6)地址，以用于链路本地IPv6网络中的重复地址检测(dad)，该链路本地IPv6地址根据来自IOT设备的第一公钥的标识符而得到；以及利用与IOT设备的公钥对应的私钥来认证第一主机设备上的链路本地IPv6地址。应当理解的是，前面的一般描述和下面的详细描述都是示例性和说明性的，并且旨在提供对所要求保护的本专利技术的进一步说明。附图说明附图被包括以提供对本专利技术的进一步理解，并且被并入且构成本说明书的一部分。附图示出了本专利技术的实施方式，并且与说明书一起用于说明本专利技术的原理。在附图中，图1是根据示例性实施方式的用于使用来自用户的生物特征信息为IOT设备创建安全链路本地网络例如以用于敏感数据的传输的系统的图。图2是根据示例性实施方式的用于创建IOT设备的具有生物特征安全的IPv6链路本地安全网络的网络栈的图。图3是根据另一示例性实施方式的用于使用来自用户的生物特征信息为IOT设备创建安全链路本地网络例如以用于敏感数据的传输的系统的图。图4是示出根据示例性实施方式的用于使用来自用户的生物特征信息为IOT设备创建安全链路本地网络例如以用于敏感数据的传输的处理的流程图。具体实施方式现在将详细参考本专利技术的优选实施方式，其示例在附图中示出。在任何可能情况下，在附图和说明书中使用相同的附图标记来指代相同或相似的部件。根据示例性实施方式，由于IOT设备例如MFP和医疗设备通常不被保护或者可能根本不被保护，因此将期望具有以下系统和方法：该系统和方法可以例如向通过网络(例如公众可用的网络连接例如因特网)的个人信息的传输提供额外安全性。另外，连接至网络的任何设备都有潜在的漏洞，并且可能危害通过网络提供的信息。根据示例性实施方式，将期望：例如通过创建将物理地分布在用户的住所与可信第三方(例如医疗机构)之间的独立可变密钥来具有物理安全性。根据示例性实施方式，公开了系统和方法，其可以包括以下可变密钥，该可变密钥将能够对从IOT初始数据收集到第三方机构而其间没有安全漏洞的所有流量加密。根据示例性实施方式，如果链路本地网络被隔离，则如所公开的方法和系统可以提供不需要用于验证的网络的机制。然而，公用网络能够传送应当被加密的数据，例如，只能由具有私钥的可信方下载和读取的数据。根据示例性实施方式，将期望：使用来自创建的用户的生物特征信息为IOT设备创建安全链路本地网络例如以用于敏感数据的传输。根据示例性实施方式，如在本文中公开的方法和系统可以用于符合例如公司、工业和/或政府标准和规定的数据的传输和存储，并且其中对数据的访问受到限制以保持数据的安全。例如，如所公开的方法和系统可以用于符合各种规定(例如工业和/或政府规定)的电子病历和数字化测试结果的存储。图1是根据示例性实施方式的用于使用来自用户的生物特征信息为IOT设备创建安全链路本地网络例如以用于敏感数据的传输的系统100的图。如图1所示，系统100可以包括具有多个IOT设备(主机和客户端设备)112、114、116的第一IPv6链路本地网络110、具有至少一个IOT设备(主机设备)122的第二IPv6链路本地网络本文档来自技高网...

【技术保护点】
1.一种保护使用链路本地网络用于数据的传输的设备的方法，所述方法包括以下步骤：为用户生成私钥；根据所述私钥创建一个或更多个公钥；将所述一个或更多个公钥施加于物联网IOT设备作为第一公钥，所述IOT设备被配置成供所述用户使用；将所述私钥和至少两个公钥提供至第一主机设备；在因特网协议版本6IPv6链路本地网络中从所述IOT设备启动IPv6网络初始化；根据所述IOT设备的第一公钥得到用于所述IOT设备的链路本地IPv6地址的标识符；将所述链路本地IPv6地址与所述标识符从所述IOT设备发送至所述第一主机设备，以用于所述链路本地IPv6网络中的重复地址检测(dad)；以及利用所述私钥认证所述第一主机设备上的链路本地IPv6地址。

【技术特征摘要】
2017.03.31 US 15/475,2611.一种保护使用链路本地网络用于数据的传输的设备的方法，所述方法包括以下步骤：为用户生成私钥；根据所述私钥创建一个或更多个公钥；将所述一个或更多个公钥施加于物联网IOT设备作为第一公钥，所述IOT设备被配置成供所述用户使用；将所述私钥和至少两个公钥提供至第一主机设备；在因特网协议版本6IPv6链路本地网络中从所述IOT设备启动IPv6网络初始化；根据所述IOT设备的第一公钥得到用于所述IOT设备的链路本地IPv6地址的标识符；将所述链路本地IPv6地址与所述标识符从所述IOT设备发送至所述第一主机设备，以用于所述链路本地IPv6网络中的重复地址检测(dad)；以及利用所述私钥认证所述第一主机设备上的链路本地IPv6地址。2.根据权利要求1所述的方法，包括以下步骤：在所述IOT设备与所述第一主机设备之间建立连接；将具有数据的IPv6数据包从所述IOT设备发送至所述第一主机设备，所述IPv6数据包包括具有利用所述第一公钥加密的散列和的扩展选项；以及在所述第一主机设备上接收所述IPv6数据包，并在所述第一主机设备上利用所述私钥对具有所述散列和的扩展选项进行认证和解密。3.根据权利要求2所述的方法，包括以下步骤：在所述第一主机设备上执行从所述IOT设备接收到的所述IPv6数据包上的数据。4.根据权利要求2所述的方法，包括以下步骤：通过全局IPv6网络将具有数据的IPv6数据包发送至第二主机设备；在所述第二主机设备上接收具有数据的IPv6数据包，并利用第二私钥对所述IPv6数据包进行认证和解密；以及在所述第二主机设备上执行从所述IOT设备接收到的所述IPv6数据包上的数据。5.根据权利要求1所述的方法，包括以下步骤：在所述IOT设备与所述第一主机设备之间建立连接；将具有数据的IPv6数据包从所述IOT设备发送至所述第一主机设备；在所述第一主机设备上认证具有数据的IPv6数据包；在所述第一主机设备上根据具有数据的IPv6数据包生成具有数据的全局IPv6数据包；通过全局IPv6网络将具有数据的全局IPv6数据包从所述第一主机设备发送至第二主机设备，具有数据的全局IPv6数据包包括具有利用第二公钥和公钥扩展包头加密的散列和的扩展选项；在所述第二主机设备上接收具有数据的全局IPv6数据包，并在所述第二主机设备上利用私钥认证具有所述散列和的扩展选项；以及在所述第二主机设备上执行从所述第一主机设备接收到的所述全局IPv6数据包上的数据。6.根据权利要求5所述的方法，包括以下步骤：在所述第二主机设备上丢弃从所述第一主机设备接收到的不包括相应公钥的任何全局IPv6数据包。7.根据权利要求1至6中任一项所述的方法，包括以下步骤：收集所述用户的生物特征数据；以及基于所述用户的生物特征数据生成用于所述用户的私钥。8.根据权利要求1至7中任一项所述的方法，包括以下步骤：禁用在所述第一主机设备上从所述IOT设备接收到的不包括所述第一公钥的任何链路本地IPv6地址；以及向所述IOT设备发送伪链路本地地址数据包响应。9.根据权利要求1至8中任一项所述的方法，其中，所述IOT设备是医疗设备，并且所述第二主机设备是医疗机构中的多功能外围设备MFP，并且还包括以下步骤：在所述医疗机构中的MFP上打印或存储医疗记录。10.根据权利要求1至9中任一项所述的方法，包括以下步骤：通过使用IPsec或利用所述第一公钥对所述数据加密来将数据从所述IOT设备发送至所述第一主机设备。11.一种计算机可读记录介质，具有存储在其中的计算机程序，用于保护使用链路本地网络以用于数据的传输的设备，所述程序被配置成使计算机执行包括以下步骤的处理：为用户生成私钥；根据所述私钥创建一个或更多个公钥；将所述一个或更多个公钥施加于物联网IOT设备作为第一公钥，所述IOT设备被配置成供所述用户使用；将所述私钥和至少两个公钥提供至第一主机设备；在因特网协议版本6IPv6链路本地网络中从所述IOT设备启动IPv6网络初始化；根据所述IOT设备的第一公钥得到用于所述IOT设备的链路本地IPv6地址的标识符；将所述链路本地IPv6地址与所述标识符...

【专利技术属性】
技术研发人员：里沙·库达拉亚，玛丽亚·佩雷斯，
申请(专利权)人：柯尼卡美能达美国研究所有限公司，
类型：发明
国别省市：美国,US