專利名稱:用于無線網絡的安全系統的制作方法
技術領域:
本發明涉及一種用于無線網絡的安全系統。本發明還涉及一種用于管理無線本地網絡中訪客密鑰記錄的設備和方法。
未來,消費電子裝置將經由數字本地網絡互相連接。該無線傳輸技術已經帶來了巨大的進步,并將最終帶來大量的無線本地網絡。最初,本地網絡的用戶將具有閉合網絡,其提供所需的服務(包括因特網接入),被保護不受任何外部接入。這是一種技術挑戰,尤其對于無線本地網絡。需要確保該無線傳輸被保護,免受未授權的接入或竊聽。
這種本地網絡的用戶將需要以受控的方式提供訪客接入的功能。訪客將經常攜帶他自己的裝置,并希望將其連到本地網絡。那么就要解決以下問題。在訪客裝置和本地網絡之間的連接是以簡單的、安全的方式建立的。接入時間以及訪客接入權限應該可控制的。此外,在訪客接入情況下的網絡安全應當具有與在閉合網絡情況相同的級別。尤其是在保護無線網絡免受所發送信息的未授權或疏忽的竊聽,以及免受未授權接入網絡從而接入其資源的時候更加必要。此外,對于希望與在無線電傳輸范圍內的多個網絡中的給定網絡相關聯的裝置是應當可以進行網絡的明確識別。
WO 2004/014040A1公開了一種安全系統,其提供網絡識別和在訪客裝置與網絡的裝置之間以用戶友好方式進行的數據交換的加密。為此,密鑰記錄被存儲在便攜式單元中。該記錄包括作為主要組成的秘密密鑰碼。該密鑰記錄經由發送單元通過信息的短范圍發送被發送到訪客裝置的接收單元。從而,該密鑰記錄免受網絡中任何無線裝置的竊聽。
產生所謂的訪客密鑰記錄的密鑰產生器被提供專門用于訪客裝置。該訪客密鑰記錄被用來保證訪客接入網絡資源。為此,訪客裝置(例如,膝上型筆記本)可以與本地網絡中的相關裝置通信所使用的訪客密鑰記錄被提供到本地網絡中的所有裝置(即,提供到允許與訪客裝置連接使用的裝置)以及被提供到訪客裝置(其不屬于本地網絡)。
為了防止之前訪客未授權的使用訪客密鑰記錄,該密鑰產生器在最后一個訪客密鑰記錄發送之后在固定時間段(例如60分鐘)之后根據隨機原理自動地產生新的訪客密鑰記錄。因此,新的訪客接收一個不同于之前的訪客密鑰記錄,這樣就可以確保之前的訪客不能利用出現的新訪客來未授權地接入本地網絡。
上述已知安全系統使用兩個密鑰記錄,即,一個本地密鑰記錄(存儲在短密鑰發送器SKT中)和訪客密鑰記錄(存儲在訪客密鑰發送器GKT中)。SKT和GKT是可傳送單元,基本上包括用于存儲密鑰記錄的存儲器和用于發送和接收密鑰記錄的發送和接收單元。雖然本地密鑰記錄對于非常長的一段時間都是有效的(可能是本地網絡的整個使用期),但是訪客密鑰記錄只應當對訪客訪問的一段時間有效并且因此在每次訪問之后都應該改變。為此,在對本地網絡裝置(以下稱為本地裝置)訪問之后需要移除訪客配置。為此,上述文件提出了在固定時間段之后自動擦除本地裝置中的訪客密鑰記錄,或者通過用戶交互來擦除。替換地,用戶交互可以被執行來擦除訪客密鑰記錄,例如通過再一次引入當前的本地密鑰記錄,在相關本地裝置上按下特殊的鍵或者在這些本地裝置中的其中一個之上按下一個特殊的鍵,其隨后自動通知所有其他相關的本地裝置。
本發明的目的是提供一種用于管理訪客密鑰記錄的設備,其使得可以動態地修改訪客密鑰記錄并也適于在接入任何一個訪客裝置終止之后從該裝置和網絡中其他相關裝置中移除該訪客配置。
該目的是通過一種設備來解決,該設備包括至少一個接口,用于連接訪客密鑰發送器(GKT),密鑰產生器和發送單元,用于發送所產生的密鑰記錄到GKT。
本發明提供一種設備,用于管理在無線本地網絡中的訪客密鑰記錄,通過此獲得預想的目標。
在本發明的另一個實施例中,該設備包括檢測單元,用于檢測GKT連接到接口以及GKT從接口斷開連接。這提供在使用隨后的傳輸將GKT連接到GKT之后自動地產生新的訪客密鑰記錄的可能性,而不需要任何進一步用戶的交互。將GKT從接口斷開連接的檢測還可以被用來在本地裝置上安裝訪客配置。
有利地,檢測單元以這樣的方式形成,在檢測到將GKT連接到接口之后,觸發密鑰產生器產生新的密鑰記錄以及發送新的密鑰記錄到GKT。這抵消了在訪客裝置終止接入之后密鑰記錄的濫用。
在另一個實施例中,該接口包括保持元件,用于固定GKT,例如,機械的或磁的保持元件。通過固定GKT到接口,那么就可以避免由于失敗的接觸而導致的數據傳輸錯誤。
該設備包括另一個接口,經由該接口,就可連接到本地裝置。信號通知網絡的其他裝置該GKT是否連接到設備由該連接提供。該信號可以被用來觸發將訪客配置從本地裝置中移除。
在有利實施例中,該設備可以集成在本地裝置中。本地裝置的處理器單元的普通使用在該情況中是可能的。
該本地裝置優選地是無線基站(接入點)。當不止一個家庭裝置要被配置時,該接入點可以經由標準協議發送相應的重新配置消息到該本地裝置。
該目的進一步通過一種用于無線網絡的安全系統解決,該安全系統包括-便攜式訪客單元。用于訪客密鑰記錄(GKT)的短范圍傳輸,-根據本發明的設備的至少一個上述實施例,和-至少一個接收單元,用于接收在網絡的至少一個無線本地裝置和/或接入點中的密鑰記錄。
該網絡的至少一個無線裝置包括用于安裝和/或移除訪客配置的模塊。因此可以建立裝置的初始配置(在借助GKT安裝訪客裝置之前進行配置)。借助例如軟件程序,該模塊可以存儲在該裝置上。替換地,其可以借助固定配線來連接。
根據本發明,該模塊優選地以這樣的方式形成,即無論何時GKT連接到該設備就觸發訪客配置的移除。這提供了在訪客接入終止之后本地裝置面向結果的重新配置的可能性。
該目的也可以通過一種方法來解決,其中-如上文所述,根據本發明的設備的一個實施例產生至少一個密鑰記錄,
-該密鑰記錄隨后經由接口被發送到GKT,-通過短范圍傳輸的方式,該密鑰記錄或者該密鑰記錄的一部分從GKT被發送到訪客裝置,-基于該密鑰記錄,在訪客裝置和本地網絡之間建立加密連接,并且在網絡的至少一個本地裝置和/或接入點上安裝至少一個訪客配置,以及-在終止訪客裝置接入之后通過重新配置至少一個本地裝置和/或接入點來移除訪客配置。
在本地裝置和/或接入點上的訪客配置的安裝通過從設備移除GKT而觸發的。這增強了該方法的用戶友好度。本地裝置和/或接入點的重新配置優選地是通過連接GKT到該設備而觸發的。
在本發明的另一個實施例中,該本地裝置由短密鑰發送器(SKT)重新配置。這確保了重新配置數據的傳輸免受竊聽。
在另一個實施例中,本地裝置的重新配置是通過激活在該裝置上提供的開關而觸發的。重新配置所需的數據被永久地存在于本地網絡的存儲器中。
在另一個實施例中,本地裝置的重新配置是通過從具有集成設備的接入點分發所需的配置信息而觸發的。替換地,所需的重新配置數據可以存儲在本地裝置中。
其他實施例被定義在剩余的從屬權利要求中。
本發明的這些和其他方面可以通過參考以下描述的實施例而變得顯而易見并且被闡述。
附圖中
圖1示意性示出了安全系統。
在該實施例中,根據本發明的安全系統包括無線本地網絡1,該網絡1由接入點2和兩個本地裝置3構成。
接入點2對應于IEEE 802.11標準,并且具有相應的無線點接口22。以“GKT保持器”21形式的用于訪客密鑰管理的設備被集成在接入點2中并且經由內部接口214數據技術連接。GKT保持器21包括用于連接GKT5的接口211。在該實施例中,接口211被形成為卡片槽,GKT5被形成為相應的卡片,在該卡片上設置了RF標簽51。GKT保持器21包括處理單元212和標簽寫入器213。該處理單元212尤其包括密鑰產生器。不使用獨立的處理單元212,還可以使用接入點2的處理單元(共享處理)。替換地,GKT5可以被設計為雙向紅外線的系統,在其中,GKT保持器21具有相應的紅外鏡頭。本地裝置3和訪客裝置4包括接收單元31,41,用于由GKT5發送的密鑰記錄6的短范圍傳輸。此外,裝置3,4包括根據IEEE 802.11標準運行的無線電接口32,42,用于在本地網絡中發送有用的數據流。
GKT5被插入GKT保持器21的槽211中。接入點2的處理單元212產生隨機密鑰記錄6,其通過GKT保持器21的標簽寫入器213寫在GKT5的RF標簽51上。當訪客裝置4希望連接到本地網絡1上時,就借助以連接到網絡1的方式從GKT5的發送單元52發送到接收單元31,41的密鑰記錄6來配置訪客裝置4。
在結束訪客裝置4的接入之后,GKT5被重新插入GKT保持器21,這樣GKT5的RF標簽51經由標簽寫入器213被寫入由處理單元212產生的新密鑰記錄6。同時,GKT保持器21的檢測單元(未示出)檢測GKT5插進槽211并將該信息經由接口214傳遞到接入點2,其重新配置自身,并且如果需要的話就信號通知本地裝置3來執行重新配置,這樣在這些裝置上的訪客設置就被移除。這足以僅僅重新配置接入點2(例如,根據IEEE 802.11I標準的接入點)。替換地,裝置3的重新配置可以通過從GKT保持器21移除GKT5來觸發。重新配置所需的原始數據或者永久地存儲在本地裝置3中或者經由短范圍傳輸借助SKT(未示出)來確定,其中,這些數據可以永久存儲。
當多個本地裝置3要被配置用于連接訪客裝置4時,該密鑰記錄6可以經由接入點2分發在本地裝置3上。為了重新配置這些裝置,原始的配置數據可以根據本地裝置3經由接入點2來發送。在該實施例中,重新配置是借助相應的用于本地裝置3的程序來執行的。當GKT5被重新插進槽211中時,所有本地裝置3的重新配置可以自動地以這種方式觸發,這樣網絡1就是閉合的。
只要GKT5連接到GKT保持器21(該保持器被集成在接入點2中),那么本地網絡就位于其“本地配置”中。當GKT5從GKT保持器21中移除時,那么接入點2就內部地改變訪客配置。密鑰記錄6被發送到訪客裝置4,其然后獲得接入到本地網絡。當訪客裝置4的接入已經結束時,那么GKT5就被重新插入到GKT保持器21,這由接入點2檢測。接入點變回本地配置(網絡1被閉合)并且GKT保持器21在GKT5上寫入新的(隨機)密鑰記錄6。
權利要求
1.一種用于管理無線本地網絡(1)中的訪客密鑰記錄(6)的設備(21),包括至少一個接口(211),用于連接訪客密鑰發送器(GKT)(5),密鑰產生器(212)和發送單元(213),用于發送所產生的密鑰記錄(6)到GKT(5)。
2.根據權利要求1所述的設備,其特征在于該設備(21)包括檢測單元,用于檢測GKT(5)連接到接口(211)以及GKT(5)從接口(211)斷開連接。
3.根據權利要求1或2所述的設備,其特征在于檢測單元以這樣的方式形成,在檢測到將GKT(5)連接到接口(211)之后,觸發密鑰產生器(212)產生新的密鑰記錄(6)以及發送新的密鑰記錄(6)到GKT(5)。
4.根據權利要求1到3中任一權利要求所述的設備,其特征在于該接口(211)包括保持元件,用于固定GKT(5)。
5.根據之前任一個權利要求所述的設備,其特征在于該設備(21)包括另一個接口(214),經由該接口,就可連接到網絡(1)的裝置(2,3)。
6.根據之前任一權利要求所述的設備,其特征在于該設備可以集成在網絡(1)的裝置(2,3)中。
7.根據權利要求5或6所述的設備,其特征在于裝置(2)是接入點。
8.一種用于無線網絡的安全系統,該安全系統包括便攜式訪客單元(5),用于訪客密鑰記錄(GKT)的短范圍傳輸,根據權利要求1到7任一權利要求的至少一個設備(21),和至少一個接收單元(31),用于接收在網絡(1)的至少一個無線本地裝置(3)和/或接入點(2)中的密鑰記錄(6)。
9.根據權利要求8所述的安全系統,其特征在于網絡(1)的至少一個無線裝置(3)和/或接入點(2)包括用于安裝和/或移除訪客配置的模塊。
10.根據權利要求9所述的安全系統,其特征在于該模塊以這樣的方式形成,即無論何時GKT(5)連接到該設備(21)就觸發訪客配置的移除。
11.一種在無線本地網絡(1)中的動態密鑰管理的方法,其中-根據權利要求1到7中任一權利要求的設備(21)產生至少一個密鑰記錄(6),-該密鑰記錄(6)隨后經由接口(213)被發送到GKT(5),-通過短范圍傳輸的方式,該密鑰記錄(6)或者該密鑰記錄(6)的一部分從GKT(5)被發送到訪客裝置(4),-基于該密鑰記錄(6),在訪客裝置(4)和本地網絡(1)之間建立加密連接,并且在網絡(1)的至少一個本地裝置(3)和/或接入點(2)上安裝至少一個訪客配置,以及-在終止訪客裝置(4)接入之后通過重新配置至少一個本地裝置(3)和/或接入點(2)來移除訪客配置。
12.根據權利要求11所述的方法,其特征在于在本地裝置(3)和/或接入點(2)上的訪客配置的安裝是通過從設備(21)移除GKT(5)而觸發的。
13.根據權利要求11所述的方法,其特征在于本地裝置(3)和/或接入點(2)的重新配置是由連接GKT(5)到該設備(21)而觸發的。
14.根據權利要求11所述的方法,其特征在于本地裝置(3)由短密鑰發送器(SKT)重新配置。
15.根據權利要求11所述的方法,其特征在于本地裝置(3)的重新配置是通過激活在該裝置上提供的開關而觸發的。
16.根據權利要求11所述的方法,其特征在于本地裝置(3)的重新配置是通過從具有集成設備(21)的接入點(2)分發所需的配置信息而觸發的。
全文摘要
本發明涉及一種用于管理無線本地網絡(1)中的訪客密鑰記錄(6)的設備(21),包括至少一個接口(211),用于連接訪客密鑰發送器(GKT)(5),密鑰產生器(212)和發送單元(213),用于發送所產生的密鑰記錄(6)到GKT(5)。本發明還涉及一種用于無線網絡的安全系統,該安全系統包括便攜式訪客單元(5),用于訪客密鑰記錄(GKT)的短范圍傳輸,根據本發明的至少一個設備(21)和至少一個接收單元(31),用于接收在網絡(1)的至少一個無線本地裝置(3)和/或接入點(2)中的密鑰記錄(6)。本發明還涉及一種在無線本地網絡(1)中的動態密鑰管理的方法,其中根據本發明的設備(21)產生至少一個密鑰記錄(6),該密鑰記錄(6)隨后經由接口(213)被發送到GKT(5);通過短范圍傳輸的方式,該密鑰記錄(6)或者該密鑰記錄(6)的一部分從GKT(5)被發送到訪客裝置(4);基于該密鑰記錄(6),在訪客裝置(4)和本地網絡(1)之間建立加密連接;并且在網絡(1)的至少一個本地裝置(3)和/或接入點(2)上安裝至少一個訪客配置,以及在終止訪客裝置(4)接入之后通過重新配置至少一個本地裝置(3)和/或接入點(2)來移除訪客配置。
文檔編號H04L12/56GK1985495SQ200580023833
公開日2007年6月20日 申請日期2005年7月11日 優先權日2004年7月15日
發明者O·施雷耶, B·厄爾德曼 申請人:皇家飛利浦電子股份有限公司