生成和分布网络安全参数制造技术

本发明专利技术所公开的各种实施方式有助于在包含多种异构链路层联网技术的聚合式网络内生成和分布网络安全参数。所提供的实施方式使用聚合式网络密码通过多种异构链路层联网技术连接网络装置。所提供的实施方式使用配对事件协议通过多种异构链路层联网技术连接网络装置，该协议例如为按钮协议。

【技术实现步骤摘要】
生成和分布网络安全参数相关申请的交叉引用本申请要求于2011年6月1日提交的美国临时专利申请61/492,240、2011年6月28日提交的美国实用专利申请13/170,979的优先权，其全部内容结合于此作为参考。
技术介绍
家庭联网中存在多种不同类型的技术。一些家庭具有运行至不同位置的超5类或更好的非屏蔽双绞线（UTP）布线，在这种类型的电缆上可运行电气与电子工程师协会（IEEE）802.3以太网。然而，许多家庭可能不能连接到以太网，并且添加这种线路可能成本太高。IEEE802.11Wi-Fi为允许进行无线家庭联网的替代品，但是由于干扰、距离、视线阻碍等等，其性能容易降低。家庭私人网络适配器（HPNA）以及同轴电缆多媒体联盟（MoCA）分别提供通过普通老式电话服务（POTS）电缆和同轴电缆（这些可能已经存在于电话和/或电视服务房间内）进行联网的标准。电源线通信（PLC）标准，例如IEEE1901、HomePlugAV等等，提供通过交流（AC）电源线进行的联网，在任何电源插座处均可用。由于各种联网技术的特征不同，家庭可采用多种技术。
技术实现思路
一种系统，包括：多个网络装置，通过采用多种异构链路层技术的聚合式数据通信网络进行数据通信；并且其中，所述网络装置中的至少一个网络装置包括到所述聚合式数据通信网络的多个网络接口，所述网络接口中的第一网络接口采用所述异构链路层技术中的第一异构链路层技术，所述网络接口中的第二网络接口采用所述异构链路层技术中的第二异构链路层技术，并且所述网络装置中的所述至少一个网络装置进一步包括网络安全参数管理逻辑，所述网络安全参数管理逻辑被配置为：获得聚合式网络密码；以及通过至少部分地基于所述聚合式网络密码、使用相应的一种异构链路层技术的本地配对协议为所述网络接口中的一个网络接口配对，连接至所述聚合式数据通信网络。附图说明参照以下附图可更好地理解本公开的多个方面。附图中的组件不必按比例绘出，而是重点是清楚地示出本专利技术的原理。而且，在附图中，相似的参考标号在全部多幅图中表示相应的部件。图1为根据本公开的各种实施方式的聚合式网络的图。图2为提供根据本公开的各种实施方式的图1的聚合式网络中所采用的网络装置的一个实例图示的示意性框图。图3为提供根据本公开的各种实施方式的图1的聚合式网络中所采用的网关的一个实例图示的示意性框图。图4为根据本公开的各种实施方式的表示图1的聚合式网络中所采用的分层网络模型的示图。图5至图8为示出被实现为根据本公开的各种实施方式的作为图1的聚合式网络中的网络装置中执行的密钥管理逻辑和/或密钥分布逻辑的部分的功能性实例的流程图。图9A至图9C为示出根据本公开的各种实施方式的图1的聚合式网络中使用由网关集中的网络密钥分布的网络装置之间的网络密钥分布的序列图。图10为示出根据本公开的各种实施方式的图1的聚合式网络中使用分散的网络密钥分布的网络装置之间的网络密钥分布的序列图。图11为示出根据本公开的各种实施方式图1的聚合式网络中关于配对事件在网络装置之间进行配对的序列图。具体实施方式本公开涉及在采用多个异构链路层技术的聚合式数据通信网络中生成和分布网络安全参数。电气与电子工程师协会（IEEE）P1905.1为讨论中的一个标准，该标准能够使用多个不同链路层联网技术（例如IEEEP1901电源线通信（PLC）、IEEE802.11Wi-Fi、IEEE802.3以太网、同轴电缆多媒体联盟（MoCA）1.1和/或其他联网技术），在家庭网络或其他网络中连接装置。IEEEP1905.1限定了抽象层，该层为异构联网技术提供通用数据和控制服务接入点，以便提供无缝用户体验。由于家庭中网络装置的位置、网络装置的性能、应用程序的特定质量服务需要和/或其他原因，可采用不同的联网技术。本公开的各种实施方式有助于在IEEEP1905.1网络和/或相似的网络内生成和分布网络安全参数。在一个实施方式中，用户可提供单个聚合式网络密码，用于每个支持的链路技术的本地安全/保密协议的各个安全和保密参数可源自该密码。这种本地协议的实例可包括IEEEP1901简单连接，Wi-Fi受保护设置（WPS：Wi-FiProtectedSetup）等等。在另一个实例中，可使用利用密钥分布的按钮配对（push-buttonpairing）将任何网络装置配对至聚合式数据通信网络。在一时间段内，在新装置上可按下按钮并且在聚合式网络上的任何其他装置上可按下另一按钮，以有助于配对，即使这两个装置不共享相同链路层联网技术的共同链路。术语“配对”此处用于表示将网络装置认证至通过加密和/或其他安全/保密控制进行保护的聚合式网络。在各种实施方式中，配对交换网络密钥，而非交换密码，而且密码不能源自密钥。而且，可保持网络分离，使得来自一个聚合式网络的密钥不被分布给不同的聚合式网络的装置。在下面的讨论中，大致描述该系统和其部件，然后讨论其操作。参看图1，示出了根据各种实施方式的聚合式网络100的一个实例。聚合式网络100有助于在多个终端103、多个中继器106、网关109以及网络112之间进行数据通信。网络112例如包括因特网、内部网、外部网、广域网（WAN）、局域网（LAN）、有线网、无线网或者其他合适的网络等，或者两个以上这种网络的任何组合。虽然图1中示出了网关109以及网络112，但是聚合式网络100的其他实例中可能没有网关109和/或网络112。终端103和中继器106对应于聚合式网络装置，可包括任何类型的计算装置。每个终端103和中继器106对应于一个聚合式网络装置，包括其逻辑链路控制（LLC）层和下面的异构链路层（媒体访问控制/物理层（MAC/PHY））之间的抽象层。每个终端103能够将聚合式网络管理帧中继到其他聚合式网络装置中。每个中继器106能够将聚合式网络管理帧以及数据帧中继到其他聚合式网络装置中。在图1的实例中，聚合式网络100采用五种异构链路层技术：以太网、PLC、MoCA、电话线上HomePNA（HPNA)连接以及Wi-Fi。图1中所示的联网技术仅构成聚合式网络100中可采用的异构联网技术的一个非限制性实例。使用图1的图例中的各个标记，在图1中示出了终端103、中继器106以及网关109之间的连接。利用异构联网技术中的每种所具有的各自的形状，在图1中描绘了各聚合式网络接口。方形表示以太网接口，三角形表示PLC接口，五角形表示MoCA接口，圆形表示HPNA接口以及菱形表示Wi-Fi接口。网关109可包括网关系统115、密钥分布逻辑118以及其他可执行的应用程序和/或数字逻辑。网关109可存储数据，例如网络密钥121、网络拓扑124和/或其他数据。在通常情况下，通过电缆调制解调器、数字用户线（DSL）、WiMAX、普通老式电话服务（POTS）拨号、综合业务数字网（ISDN）、T1、和/或另一种连接，网关系统115为终端103和中继器106提供对WAN网络112的访问。网关系统115可包括路由功能、防火墙功能、网络地址转换（NAT）功能和/或其他功能。在一个实施方式中，密钥分布逻辑118为聚合式网络100提供集中式密钥分布功能。用于聚合式网络100的对应于不同的联网技术的区段或部分的网络密钥121可被保持在网关109中。此外本文档来自技高网...

【技术保护点】
一种系统，包括：多个网络装置，通过采用多种异构链路层技术的聚合式数据通信网络进行数据通信；并且其中，所述网络装置中的至少一个网络装置包括到所述聚合式数据通信网络的多个网络接口，所述网络接口中的第一网络接口采用所述异构链路层技术中的第一异构链路层技术，所述网络接口中的第二网络接口采用所述异构链路层技术中的第二异构链路层技术，并且所述网络装置中的所述至少一个网络装置进一步包括网络安全参数管理逻辑，所述网络安全参数管理逻辑被配置为：获得聚合式网络密码；以及通过至少部分地基于所述聚合式网络密码、使用相应的一种异构链路层技术的本地配对协议为所述网络接口中的一个网络接口配对，连接至所述聚合式数据通信网络。

【技术特征摘要】
2011.06.01 US 61/492,240;2011.06.28 US 13/170,9791.一种聚合式数据通信系统，包括：多个网络装置，通过采用多种异构链路层技术的聚合式数据通信网络进行数据通信；并且其中，所述网络装置中的至少一个网络装置包括到所述聚合式数据通信网络的多个网络接口，所述网络接口中的第一网络接口采用所述异构链路层技术中的第一异构链路层技术，所述网络接口中的第二网络接口采用所述异构链路层技术中的第二异构链路层技术，并且所述网络装置中的所述至少一个网络装置进一步包括网络安全参数管理逻辑，所述网络安全参数管理逻辑被配置为：获得聚合式网络密码；所述至少一个网络装置经配置以使用所述聚合式网络密码将所述多个网络接口中的每一者配对到使用与所述网络接口相关的本地配对协议的所述聚合式数据通信网络；以及通过至少部分地基于所述聚合式网络密码、使用相应的一种异构链路层技术的本地配对协议为所述网络接口中的一个网络接口配对，连接至所述聚合式数据通信网络。2.根据权利要求1所述的系统，其中，所述网络安全参数管理逻辑进一步被配置为：至少部分地基于所述聚合式网络密码，生成用于所述网络接口中的所述第一网络接口的第一网络密码；以及至少部分地基于所述聚合式网络密码，生成用于所述网络接口中的所述第二网络接口的第二网络密码。3.根据权利要求2所述的系统，其中，通过将各自的散列函数应用于所述聚合式网络密码，单独地生成所述第一网络密码和所述第二网络密码。4.根据权利要求2所述的系统，其中，通过将散列函数应用于所述聚合式网络密码来生成所述第一网络密码，并且通过缩短所述第一网络密码来生成所述第二网络密码。5.根据权利要求1所述的系统，其中，所述网络接口中的所述一个网络接口是所述网络接口中的所述第一网络接口，所述网络安全参数管理逻辑进一步被配置为：通过至少部分地基于所述聚合式网络密码、使用所述异构链路层技术中的第二异构链路层技术的另一本地配对协议为所述网络接口中的所述第二网络接口配对，连接至所述聚合式数据通信网络。6.根据权利要求1所述的系统，其中，所述网络接口中的所述一个网络接口是所述网络接口中的所述第一网络接口，并且所述网络安全参数管理逻辑进一步被配置为：通过所述网络接口中的所述第一网络接口，获得网络安全参数，用于为所述网络接口中的所述第二网络接口配对；以及通过至少部分地基于所述网络安全参数为所述网络接口中的所述第二网络接口配对，连接至所述聚合式数据通信网络。7.根据权利要求1所述的系统，其中，所述网络装置中的所述至少一个网络装置进一步包括抽象层，所述抽象层被配置为：从网络层获得第一数据帧和第二数据帧；通过所述网络接口中的所述第一网络接口将所述第一数据帧路由至目的地；以及通过所述网络接口中的所述第二网络接口将所述第二数据帧路由至所述目的地。8.根据权利要求7所述的系统，其中，媒体访问控制(MAC)地址被分配给所述抽象层，并且所述媒体访问控制地址在所述聚合式数据通信网络内是唯一的。9.根据权利要求1所述的系统，其中，所述网络装置中的所述至少一个网络装置进一步包括网络安全参数分布逻辑，所述网络安全参数分布逻辑被配置为：获得对于网络安全参数的请求，所述请求源自所述网络装置中的另一网络装置；确定所述网络安全参数是否与所述网络接口中的至少一个网络接口相关；当所述网络安全参数与所述网络接口中的所述至少一个网络接口相关时，通过所述聚合式数据通信网络将所述网络安全参数发送至所述网络装置中的所述另一网络装置；以及当所述网络安全参数与所述网络接口中的所述至少一个网络接口不相关时，将所述请求在所述聚合式数据通信网络中从所述网络装置中的所述另一网络装置传播开。10.一种聚合式数据通信系统，包括：多个网络装置，通过采用多种异构链路层技术的聚合式数据通信网络进行数据通信；以及网关装置，对应于所述网络装置中的第一网络装置，所述网关装置包括网络安全参数分布逻辑，所述网络安全参数分布逻辑被配置为：获得用于所述聚合式数据通信网络的多个网络部分中的每一个、采用所述...

【专利技术属性】
技术研发人员：菲利普·克莱因，阿维·克利格尔，
申请(专利权)人：美国博通公司，
类型：发明
国别省市：