CN107094132A - 物联网的网络安全性 - Google Patents
物联网的网络安全性 Download PDFInfo
- Publication number
- CN107094132A CN107094132A CN201710072301.9A CN201710072301A CN107094132A CN 107094132 A CN107094132 A CN 107094132A CN 201710072301 A CN201710072301 A CN 201710072301A CN 107094132 A CN107094132 A CN 107094132A
- Authority
- CN
- China
- Prior art keywords
- wireless network
- network
- equipment
- message
- addressed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/15—Setup of multiple wireless link connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Small-Scale Networks (AREA)
Abstract
本公开内容涉及物联网的网络安全性。在本地网络中建立两个无线网络,一个用于不太安全的IoT设备并且一个用于传统上更安全的联网设备,用网桥在这两个网络之间建立连接性。定制这两个网络之间的消息交换以降低具有不太安全的IoT设备的网络中的安全性漏洞感染具有更安全的设备的网络的风险。
Description
技术领域
本申请大体上涉及物联网(IoT)设备的网络安全性。
背景技术
“物联网”(IoT)指的是迄今为止还没有被计算机化或者放置在网络上的装置在网络上增长的互联性。现在可以被计算机化并遵循网络通信能力的这种装置的示例包括家用电器(诸如电冰箱)、机动车、婴儿监视器、滑板、火器、灯泡、恒温器等。
发明内容
如本文所理解的那样,不像是传统联网的设备(诸如,个人计算机(PC)、平板计算机、智能电话、和音频视频显示设备(诸如TV)),IoT设备由于数种因素(包括缺乏一致的软件更新)而倾向于具有更低的安全性能力。还如本文所理解的那样,这种弱点可以以其它方式感染更安全的计算设备。因此,政府建议趋向不切实际的约束,诸如,限制自其购买IoT设备的制造商、限制家庭网络中自动的网络发现、购买更新的新设备并且抛弃较旧但是起作用的设备、强制频繁的密码改变等。这些建议没有考虑到它们令人讨厌的因素和伴随而来的难以相信会被采用。
当IoT设备如预期的那样工作时,它们可以使我们的生活更简单,并且可以通过更节省电力和水来为我们省钱。并且因此,将希望的是允许IoT设备存在于家中并且能够使用控制设备(诸如,PC和平板)控制它们,而如果设备被侵入的话减轻安全性后果。事实上,可以假设IoT设备将被侵入。
因此,装置包括不是瞬态信号并且包括指令的至少一个计算机存储器,指令可由至少一个处理器执行以与第一无线局域网建立通信。指令也可执行以与第二无线局域网建立通信。第一和第二局域无线网除了通过所述装置之外不与彼此通信。所述装置也可以具有到广域网(WAN)和因特网的连接。指令可执行以阻止来自第一无线网络并且寻址到第二无线网络和/或在第二无线网络上通信的一个或多个设备的第一类型消息被传递到第二无线网络。指令进一步可执行以允许来自第一无线网络并且寻址到第二无线网络和/或在第二无线网络上通信的一个或多个设备的第二类型消息被传递到第二无线网络。再进一步地,指令可执行以阻止来自第二无线网络并且寻址到第一无线网络和/或在第一无线网络上通信的一个或多个设备的第三类型消息被传递到第一无线网络。另外,指令可执行以允许来自第二无线网络并且寻址到第一无线网络和/或在第一无线网络上通信的一个或多个设备的第四类型消息被传递到第一无线网络。
在示例中,所述装置可以包括处理器并且还可以包括被配置用于与第一无线网络通信的第一网络接口和被配置用于与第二无线网络通信的第二网络接口。
在一些实施方式中,第一无线网络与第一设备通信并且由第一安全性表征,而第二无线网络与第二设备通信并且由第二安全性表征。第一安全性高于第二安全性。
在示例实施例中,第一和第四类型消息可以包括简单服务发现协议(SSDP)存在消息。另一方面,第二和第三类型消息可以包括以简单对象访问协议(SOAP)请求体现的对于信息的请求。
在另一方面中,装置包括不是瞬态信号并且包括指令的至少一个计算机存储器,指令可由至少一个处理器执行以与第一无线网络建立通信。指令也可执行以与第二无线网络建立通信。第一和第二无线网络除了通过所述装置之外不与彼此通信。指令可执行以执行以下处理中的至少一个:
阻止来自第一无线网络并且寻址到第二无线网络和/或在第二无线网络上通信的一个或多个设备的第一消息被传递到第二无线网络;或者
允许来自第一无线网络并且寻址到第二无线网络和/或在第二无线网络上通信的一个或多个设备的第二消息被传递到第二无线网络;或者
阻止来自第二无线网络并且寻址到第一无线网络和/或在第一无线网络上通信的一个或多个设备的第三消息被传递到第一无线网络;或者
允许来自第二无线网络并且寻址到第一无线网络和/或在第一无线网络上通信的一个或多个设备的第四消息被传递到第一无线网络。
在另一方面中,方法包括在第一网络上的相对安全的计算机化设备之间建立通信,并且在与第一网络不同的第二网络上的相对不安全的物联网(IoT)设备之间建立通信。方法考虑阻挡来自第一网络上的设备的存在消息到达第二网络上的设备并且允许来自第一网络上的设备的对于信息的请求到达第二网络上的设备。另一方面,方法包括将来自第二网络上的设备的存在消息传递到第一网络上的设备并且阻挡来自第二网络上的设备的对于信息的请求到达第一网络上的设备。这样,使得被侵入的IoT设备难以探测包括两个无线局域网的完整的家庭网络,以便寻找监控、攻击或危害的设备。
附图说明
参考附图能最佳地理解关于本申请结构和操作这两者的细节,其中相似的附图标记指的是相似的部分,并且其中:
图1是包括根据本原理的示例的示例系统的框图;
图2是在家庭网络中实现的示例IoT网络的示意图;
图3是示意性地图示消息处理的在家庭网络中实现的示例IoT网络的示意图;以及
图4是示例逻辑的流程图。
具体实施方式
本公开大体上涉及计算机生态系统,包括可以包括消费电子(CE)设备的计算机网络的方面。本文的系统可以包括服务器和客户端部件,通过网络连接使得可以在客户端和服务器部件之间交换数据。客户端部件可以包括一个或多个计算设备,包括便携式电视(例如,智能TV、能使用互联网的TV)、便携式计算机(诸如,膝上型计算机和平板计算机)以及其它移动设备(包括智能电话和在下面讨论的额外示例)。这些客户端设备可以在各种操作环境下操作。例如,一些客户端计算机可以采用,作为示例,来自Microsoft的操作系统、或Unix操作系统、或由Apple计算机或Google生产的操作系统。这些操作环境可以用于执行一个或多个浏览程序,诸如由Microsoft或Google或Mozilla制作的浏览器或者可以访问由在下面讨论的因特网服务器托管的网站的其它浏览器程序。
服务器和/或网关可以包括执行配置服务器以在网络(诸如,因特网)上接收和传输数据的指令的一个或多个处理器。或者,可以在本地内联网或虚拟私有网络上连接客户端和服务器。可以通过游戏控制台(诸如,Sony PlayStation(注册商标))、个人计算机等实例化服务器或控制器。
可以在网络上在客户端和服务器之间交换信息。为此并且为了安全性,服务器和/或客户端可以包括防火墙、负载平衡器、临时储存器、和代理、以及用于可靠性和安全性的其它网络基础设施。
如在本文中所使用的那样,指令指的是用于在系统中处理信息的计算机实现的步骤。指令可以以软件、固件或硬件实现并且包括由系统的部件采取的任意类型的程序化步骤。
处理器可以是可以通过各种线(诸如,地址线、数据线、和控制线)以及寄存器和移位寄存器执行逻辑的任何传统的通用单芯片处理器或多芯片处理器。
本文通过流程图和用户界面的方式描述的软件模块可以包括各种子例程、过程等。在不限制本公开的情况下,被声明将由特定模块执行的逻辑可以被重分配到其它软件模块和/或在单个模块中被组合在一起和/或变得在可共享的库中可用。
本文描述的本原理可以实现为硬件、软件、固件、或者它们的组合;因此,根据其功能阐述说明性的部件、块、模块、电路和步骤。
除了在上面已经略为提及的之外,可以用通用处理器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)或其它可编程逻辑设备(诸如,专用集成电路(ASIC))、离散门或晶体管逻辑、离散硬件部件、或被设计成执行本文所述的功能的它们的任意组合来实现或执行下面描述的逻辑块、模块和电路。
当以软件实现时,可以以合适的语言(诸如但不限制于C#或C++)编写下面描述的功能和方法,并且可以储存在计算机可读储存介质上或者通过计算机可读储存介质传输,计算机可读储存介质诸如随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、压缩盘只读存储器(CD-ROM)或者其它光盘储存器(诸如,数字多功能盘(DVD))、磁盘储存器或者其它磁储存设备(包括可移除拇指驱动器)等。连接可以建立计算机可读介质。这种连接可以包括,作为示例,包括光纤和同轴线和数字用户线(DSL)和双绞线的硬连线电缆。
包括在一种实施例中的部件可以以任意合适的组合使用在其它实施例中。例如,本文描述的和/或图中描绘的任意的各种部件可以组合、互换或者从其它实施例中排除。
“具有A、B和C中的至少一个的系统”(同样地,“具有A、B、或C中的至少一个的系统”和“具有A、B、C中的至少一个的系统”)包括单独具有A、单独具有B、单独具有C、一起具有A和B、一起具有A和C、一起具有B和C、和/或一起具有A、B、和C等的系统。
现在具体参考图1,示出示例生态系统10,其可以包括根据本原理的在上面提到并且在下面进一步描述的示例设备中的一个或多个。包括在系统10中的示例设备中的第一设备是被配置作为示例主显示设备的消费电子(CE)设备、并且在所示的实施例中为音频视频显示设备(AVDD)12,诸如但是不限制于,具有TV调谐器(等效地,控制TV的机顶盒)的能使用互联网的TV。AVDD 12可替代地还可以是计算机化的能使用因特网的(“智能”)电话、平板计算机、笔记本计算机、可穿戴计算机化的设备,例如计算机化的能使用互联网的手表、计算机化的能使用互联网的手镯、其它计算机化的能使用互联网的设备、计算机化的能使用互联网的音乐播放器、计算机化的能使用互联网的头戴耳机、计算机化的能使用互联网的可植入设备(诸如,可植入皮肤设备)等。不管怎样,要理解的是,本文描述的AVDD 12和/或其它计算机被配置成采取本原理(例如,与其它CE设备通信以采取本原理、执行本文描述的逻辑、和执行文本描述的任意其它功能和/或操作)。
因此,为了采取这种原理,可以通过图1中所示的部件中的一些或者全部来建立AVDD 12。例如,AVDD 12可以包括一个或多个显示器14,显示器14可以由高清晰度或超高清晰度“4K”或更高的平坦屏幕实现,并且可以是能进行触摸的,以用于经由显示器上的触摸接收用户输入信号。根据本原理,AVDD 12可以包括用于输出音频的一个或多个扬声器16,和至少一个额外的输入设备18(例如,用于例如向AVDD12输入可听命令以控制AVDD 12的音频接收器/麦克风)。示例AVDD 12还可以包括用于在一个或多个处理器24的控制下在至少一个网络22(诸如,因特网、WAN、LAN等)上通信的一个或多个网络接口20。因此,在没有限制的情况下,接口20可以是作为无线计算机网络接口的示例的Wi-Fi收发器,诸如但不限制于网状网络接收器。要理解的是,处理器24控制AVDD 12(包括本文描述的AVDD 12的其它元件)以采取本原理,例如控制显示器14以在其上呈现图像和从其接收输入。此外,注意网络接口20可以是例如有线或无线调制解调器或路由器、或者其它合适的接口,例如无线电话收发器、或在上面提到的Wi-Fi收发器等。
除了前述内容之外,AVDD 12还可以包括一个或多个输入端口26,输入端口26例如是高清晰度多媒体接口(HDMI)端口或USB端口以物理地连接(例如,使用有线连接)到另一个CE设备、和/或头戴耳机端口以将头戴耳机连接到AVDD 12从而通过头戴耳机将来自AVDD12的音频呈现给用户。例如,输入端口26可以经由线或无线地连接到音频视频内容的电缆或卫星源26a。因此,源26a可以是例如独立的或集成的机顶盒、或卫星接收器。或者,源26a可以是游戏控制台或者盘播放器,包含为了在下面进一步描述的信道分配的目的而可能由用户当作收藏的内容。
AVDD 12可以进一步包括不是瞬态信号的一个或多个计算机存储器28(诸如,基于盘的或固态储存器),在一些情况中计算机存储器28包含在AVDD的机架中作为单独的设备、或者作为AVDD的机架内部或外部的视频盘播放器或者个人视频记录设备(PVR)以用于回放AV节目、或者作为可移除存储器介质。并且在一些实施例中,AVDD 12可以包括位置或定位接收器(诸如但不限制于移动电话接收器、GPS接收器和/或高度计30),其被配置成例如从至少一个卫星或移动电话塔接收地理位置信息并且向处理器24提供该信息和/或连同处理器24一起确定AVDD 12被放置的海拔。然而,要理解的是,根据本原理可以使用除了移动电话接收器、GPS接收器和/或高度计之外的另一种合适的位置接收器,以例如确定在例如所有三个维度中AVDD 12的定位。
继续AVDD 12的描述,根据本原理,在一些实施例中,AVDD 12可以包括一个或多个相机32,其可以是例如热成像相机、数字相机(诸如网络相机)、和/或集成到AVDD 12中并且由处理器24可控制以收集图片/图像和/或视频的相机。还包括在AVDD 12上的可以是分别使用蓝牙和/或近场通信(NFC)技术用于与其它设备通信的蓝牙收发器34和其它NFC元件36。示例NFC元件可以是无线射频识别(RFID)元件。
再进一步地,AVDD 12可以包括向处理器24提供输入的一个或多个辅助传感器37(例如,运动传感器(诸如,加速度计、陀螺仪、里程计)、或者磁传感器、红外(IR)传感器、光学传感器、速度和/或节奏传感器、手势传感器(例如,用于感应手势命令)等)。AVDD 12可以包括用于接收OTH TV广播以向处理器24提供输入的空中(over-the-air)TV广播端口38。除了前述内容之外,注意的是AVDD 12还可以包括红外(IR)发射器和/或IR接收器和/或IR收发器42,诸如IR数据组织(IRDA)设备。可以提供电池(未示出)用于向AVDD 12供电。
仍然参考图1,除了AVDD 12之外,系统10还可以包括一个或多个其它计算机设备类型,其可以包括针对AVDD 12示出的部件中的一些或全部。在一种示例中,示出第一设备44和第二设备46,并且第一设备44和第二设备46可以包括与AVDD 12的部件中的一些或全部类似的部件。可以使用比示出的设备更少或更多的设备。
在示出的示例中,为了说明本原理,假设所有三个设备12、44、46是例如由虚线所示的住宅48中的本地网络的成员。
非限制性的示例第一设备44可以包括可以是能进行触摸的、以用于经由显示器上的触摸接收用户输入信号的一个或多个显示器50。第一设备44可以包括用于根据本原理输出音频的一个或多个扬声器52,和至少一个额外的输入设备54,例如,用于例如向第一设备44输入可听命令以控制设备44的音频接收器/麦克风。示例第一设备44还可以包括用于在一个或多个车辆处理器58(诸如,引擎控制模块(ECM))的控制下在网络22上通信的一个或多个网络接口56。因此,在没有限制的情况下,接口56可以是Wi-Fi收发器,其是无线计算机网络接口(包括网状网络接口)的示例。要理解的是,处理器58控制第一设备44(包括本文描述的第一设备44的其它元件)以采取本原理,例如控制显示器50以在其上呈现图像和从其接收输入。此外,注意网络接口56可以是例如有线或无线调制解调器或路由器、或其它合适的接口,例如无线电话收发器、或在上面提到的Wi-Fi收发器等。
除了前述内容之外,第一设备44还可以包括一个或多个输入端口60,输入端口60例如是HDMI端口或USB端口以物理地连接(例如,使用有线连接)到另一个计算机设备、和/或头戴耳机端口以将头戴耳机连接到第一设备44从而通过头戴耳机将音频从第一设备44呈现给用户。第一设备44可以进一步包括一个或多个有形的计算机可读储存介质62,诸如基于盘的或固态的储存器。并且在一些实施例中,第一设备44可以包括位置或定位接收器(诸如但是不限制于移动电话和/或GPS接收器和/或高度计64),其被配置成例如使用三角测量从至少一个卫星和/或蜂窝塔接收地理位置信息,并且向设备处理器58提供该信息和/或连同设备处理器58一起确定第一设备44被放置的海拔。然而,要理解的是,根据本原理,可以使用除了移动电话和/或GPS接收器和/或高度计之外的另一种合适的位置接收器,以例如确定在例如所有三个维度中第一设备44的定位。
继续第一设备44的描述,在一些实施例中,第一设备44可以包括一个或多个相机66,其可以是例如热成像相机、数字相机(诸如,网络相机)等。还包括在第一设备44上的可以是分别使用蓝牙和/或近场通信(NFC)技术与其它设备通信的蓝牙收发器68和其它NFC元件70。示例NFC元件可以是无线射频识别(RFID)元件。
再进一步地,第一设备44可以包括向CE设备处理器58提供输入的一个或多个辅助传感器72(例如,运动传感器(诸如,加速度计、陀螺仪、里程计)、或者磁传感器、红外(IR)传感器、光学传感器、速度和/或节奏传感器、手势传感器(例如,用于感应手势命令)等)。第一设备44可以包括向设备处理器58提供输入的再其它传感器,例如一个或多个气候传感器74(例如,气压计、湿度传感器、风传感器、光传感器、温度传感器等)和/或一个或多个生物传感器76。除了前述内容之外,注意的是在一些实施例中,第一设备44还可以包括红外(IR)发射器和/或IR接收器和/或IR收发器42,诸如IR数据组织(IRDA)设备。可以提供电池(诸如,车辆电池)(未示出)用于向第一设备44供电。设备44可以通过任意上述通信模式和相关的部件与AVDD 12通信。
第二设备46可以包括上述部件中的一些或者全部。
现在参考前面提到的至少一个服务器80,根据本原理,其包括至少一个服务器处理器82、至少一个计算机存储器84(诸如,基于盘的或固态储存器)、和至少一个网络接口86,该网络接口86在服务器处理器82的控制下允许用于在网络22上与图1的其它设备的通信,并且实际上可以促进服务器、控制器、和客户端设备之间的通信。注意的是网络接口86可以是例如有线或无线调制解调器或路由器、Wi-Fi收发器、或其它合适的接口,例如无线电话收发器。
因此,在一些实施例中服务器80可以是因特网服务器、并且在示例实施例中可以包括和执行“云”功能使得系统10的设备可以经由服务器80访问“云”环境。或者,可以通过与在图1中示出的其它设备相同的房间中或附近的游戏控制台或其它计算机实现服务器80。
图2示出两种类型的设备的双网络实现方式,每种类型的设备可以包括上面参考图1描述的设备12、44、46中的合适地选择的部件。在图2中,示出第一组一个或多个以计算机为中心的设备200,该第一组可以包括平板计算机202、智能电话204、个人计算机206、和视频显示设备(诸如,TV 208)。这些设备200可以全部与所示第一无线局域网(LAN 1)通信,LAN 1是例如住所或办公楼或商业办公室或其它建筑中的LAN。
还如图2中所示的那样,可以存在第二组一个或多个设备210。图2中第二组210中的每一个设备有标签“IoT”以表达它是传统上不以计算机为中心的设备,诸如但是不限制于婴儿监视器、火器、家用电器(诸如,电冰箱)、滑板、机动车、灯泡、恒温器等,并且由于IoT技术的出现,所述设备可以包括各自的处理器和无线收发器用于在所示的第二LAN(LAN 2)上通信。
要意识到的是,在LAN 2上通信的IoT设备210可以固有地没有在LAN 1上通信的设备200安全,两个LAN彼此不同。在一种实现方式中,LAN 1使用第一频率或频带,并且LAN 2使用与第一频率或频带不同的第二频率或频带。实际上,在一些非限制的示例中,两个LAN可以使用彼此不同的协议。例如,第一LAN 1可以是WiFi LAN,而第二LAN 2可以是蓝牙LAN或ZigBee(无线个域网)LAN。
通常,第一LAN 1采用第一计算机化的无线接入点(AP)212,而第二LAN 2采用第二计算机化的无线AP 214。AP 212、214这两者可以通过网络接口(诸如但是不限制于,电缆或直接用户线(DSL)调制解调器216)与因特网218通信,并且因此与图1中示出的云服务器80和其它服务器通信。
在图2中示出的示例中,两个LAN 1、2除了通过计算机化的网桥220之外不与彼此通信。网桥220,如同包括AP 212、214的图2中的其它设备,可以包括它自己的各自的一个或多个处理器、计算机存储器、内部计算机总线,和在图2的实施例中用于与第一和第二LAN1、2通信的各自的第一和第二网络接口220A、220B。网桥200中的网络接口按需要被配置为与LAN 1、2这两者通信。在示出的示例中,网桥220和AP 212、214都包含在单个设备外壳222中。在其它示例中,网桥220和AP 212、214三个中的两个包含在设备外壳222中,并且三个中的第三个包含在与外壳222分离的设备中。在另一种示例中,网桥220和AP 212、214这三个全部都包含在彼此不同的各自的设备或外壳中。在一些实施例中,可以在云服务器80中实现网桥220。在其它实施例中,可以在第一组中的设备200中的一个或者不太优选地在第二组中的设备210中的一个中实现网桥220。
应当注意的是,每一个LAN使用单独的安全性。被分配到一个LAN的设备没有被配置有访问其它LAN的安全性凭证(例如,密码或证书)并因此不具有所述安全性凭证。因此,行为不当的IoT设备(例如,已经被侵入的IoT设备)不能管理其它LAN的安全性,即使它可以管理频率和无线技术。
图3是图2的简化版本,并且交叉参考图4,图3说明网桥220在LAN 1、2之间传递某些类型的消息并且阻挡其它类型的消息,以降低对相对不安全的IoT LAN 2的侵入可能感染第一LAN 1上的相对更安全的设备的风险。图4中的块400指示建立更安全的LAN 1、块402指示建立相对不太安全的不安全LAN 2、以及LAN在块404通信地连接到网桥200。应当注意的是,没有LAN固有地不太安全。只是一个LAN被分配处理IoT设备。如果这些设备中的一个被侵入,那么在那个LAN上的其它设备将易受攻击,而不是不具有这些设备的其它LAN易受攻击。
如在图3中300和图4中块406所指示的那样,网桥200阻挡源自更安全的LAN 1中的任何设备200的存在消息(诸如,在一些示例实施例中存在消息可以体现为简单服务发现协议(SSDP)“存活(alive)”消息(在例如通用即插即用(UPnP)中实现))到达相对不安全的LAN2和/或其上的设备210。
另一方面,如在图3中302所示和如图4中块408所指示的那样,网桥200将源自更安全的LAN 1中的任何设备200的对于信息的请求(诸如,在一些示例实施方式中所述请求可以体现在简单对象访问协议(SOAP)请求中)传递到相对不安全的LAN 2和/或其上的设备210。与SOAP请求一起,M-搜索消息304和GET(获取)请求306被传递到请求所寻址到的不太安全的LAN 2上的设备210。
相反,如在图3中308所示和如在图4中块410所指示的那样,网桥200阻挡源自不太安全的LAN 2中的任何设备210的对于信息的请求(诸如,在一些示例实施方式中所述请求可以体现在SOAP请求中)到达相对安全的LAN 1和/或其上的设备200。类似地,网桥200阻挡来自LAN 2上的设备的M-搜索消息和GET请求到达LAN 1。然而,如在图3中310和在图4中块412所指示的那样,网桥200将源自不太安全的LAN 2中的任何设备210的存在消息(诸如,存在消息可以体现在SSDP“存活”消息中)传递到相对更安全的LAN 1和/或其上的设备200。
如果期望的话,网桥200可以在本文的设备中的一个或多个的显示器上呈现超文本标记语言(HTML)5用户界面以使得能够进行LAN设置和操作。网桥200可以执行为对于LAN2上的设备210的代理,特别是如果例如LAN 2使用非兼容的协议(诸如,ZigBee)的话,在该情况中网桥200为LAN 2上的设备210处理数字生活网络联盟(DLNA)和UPnP响应。
上面的方法可以实现为由处理器、合适地配置的专用集成电路(ASIC)或现场可编程门阵列(FPGA)模块、或将被本领域技术人员所理解的任意其它方便的方式所执行的软件指令。当被采用时,软件指令可以体现在非瞬态设备(诸如,CD-ROM或闪存)上。可以可替代地在瞬态布置(诸如,无线电或光学信号,或者经由互联网上的下载)中体现软件代码指令。
将理解的是,尽管已经参考一些示例实施例描述本原理,但是这些不是旨在限制,并且各种可替代的布置可以用于实现本文所要求保护的主题。
Claims (20)
1.一种装置,包括:
不是瞬态信号并且包括指令的至少一个计算机存储器,所述指令能够由至少一个处理器执行以:
与第一无线网络建立通信;
与第二无线网络建立通信,所述第一无线网络和第二无线网络除了通过所述装置之外不与彼此通信;
阻止来自所述第一无线网络、并且寻址到所述第二无线网络和/或在所述第二无线网络上通信的一个或多个设备的第一类型的消息被传递到所述第二无线网络;
允许来自所述第一无线网络、并且寻址到所述第二无线网络和/或在所述第二无线网络上通信的一个或多个设备的第二类型的消息被传递到所述第二无线网络;
阻止来自所述第二无线网络、并且寻址到所述第一无线网络和/或在所述第一无线网络上通信的一个或多个设备的第三类型的消息被传递到所述第一无线网络;以及
允许来自所述第二无线网络、并且寻址到所述第一无线网络和/或在所述第一无线网络上通信的一个或多个设备的第四类型的消息被传递到所述第一无线网络。
2.如权利要求1所述的装置,包括所述至少一个处理器。
3.如权利要求1所述的装置,包括被配置用于与所述第一无线网络通信的第一网络接口和被配置用于与所述第二无线网络通信的第二网络接口。
4.如权利要求1所述的装置,其中,所述第一无线网络与第一设备通信并且由第一安全性表征,所述第二无线网络与第二设备通信并且由第二安全性表征,所述第一设备和第二设备不共享各自的安全性凭证。
5.如权利要求1所述的装置,其中,所述第一类型的消息包括简单服务发现协议(SSDP)存在消息。
6.如权利要求1所述的装置,其中,所述第二类型的消息包括以简单对象访问协议(SOAP)请求体现的对于信息的请求。
7.如权利要求1所述的装置,其中,所述第三类型的消息包括以简单对象访问协议(SOAP)请求体现的对于信息的请求。
8.如权利要求1所述的装置,其中,所述第四类型的消息包括简单服务发现协议(SSDP)存在消息。
9.如权利要求1所述的装置,包括所述第一无线网络和第二无线网络。
10.如权利要求5所述的装置,包括在所述第一无线网络和第二无线网络上通信的设备。
11.一种装置,包括:
不是瞬态信号并且包括指令的至少一个计算机存储器,所述指令能够由至少一个处理器执行以:
与第一无线网络建立通信;
与第二无线网络建立通信,所述第一无线网络和第二无线网络除了通过所述装置之外不与彼此通信;
执行以下处理中的至少一个:
阻止来自所述第一无线网络、并且寻址到所述第二无线网络和/或在所述第二无线网络上通信的一个或多个设备的第一消息被传递到所述第二无线网络;
允许来自所述第一无线网络、并且寻址到所述第二无线网络和/或在所述第二无线网络上通信的一个或多个设备的第二消息被传递到所述第二无线网络;
阻止来自所述第二无线网络、并且寻址到所述第一无线网络和/或在所述第一无线网络上通信的一个或多个设备的第三消息被传递到所述第一无线网络;
允许来自所述第二无线网络、并且寻址到所述第一无线网络和/或在所述第一无线网络上通信的一个或多个设备的第四消息被传递到所述第一无线网络。
12.如权利要求11所述的装置,其中,所述指令能够被执行以:
阻止来自所述第一无线网络、并且寻址到所述第二无线网络和/或在所述第二无线网络上通信的一个或多个设备的第一消息被传递到所述第二无线网络。
13.如权利要求11所述的装置,其中,所述指令能够被执行以:
允许来自所述第一无线网络、并且寻址到所述第二无线网络和/或在所述第二无线网络上通信的一个或多个设备的第二消息被传递到所述第二无线网络。
14.如权利要求11所述的装置,其中,所述指令能够被执行以:
阻止来自所述第二无线网络、并且寻址到所述第一无线网络和/或在所述第一无线网络上通信的一个或多个设备的第三消息被传递到所述第一无线网络。
15.如权利要求11所述的装置,其中,所述指令能够被执行以:
允许来自所述第二无线网络、并且寻址到所述第一无线网络和/或在所述第一无线网络上通信的一个或多个设备的第四消息被传递到所述第一无线网络。
16.如权利要求12所述的装置,其中,所述第一消息包括存在消息。
17.如权利要求13所述的装置,其中,所述第二消息包括对于信息的请求。
18.如权利要求14所述的装置,其中,所述第三消息包括对于信息的请求。
19.如权利要求15所述的装置,其中,所述第四消息包括存在消息。
20.一种方法,包括:
在第一网络上的相对安全的计算机化设备之间建立通信;
在与所述第一网络不同的第二网络上的相对不安全的物联网(IoT)设备之间建立通信;
阻挡来自所述第一网络上的设备的存在消息到达所述第二网络上的设备,并且允许来自所述第一网络上的设备的对于信息的请求到达所述第二网络上的设备;以及
将来自所述第二网络上的设备的存在消息传递到所述第一网络上的设备,并且阻挡来自所述第二网络上的设备的对于信息的请求到达所述第一网络上的设备。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/045,463 | 2016-02-17 | ||
US15/045,463 US10104111B2 (en) | 2016-02-17 | 2016-02-17 | Network security for internet of things |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107094132A true CN107094132A (zh) | 2017-08-25 |
CN107094132B CN107094132B (zh) | 2020-04-07 |
Family
ID=58158794
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710072301.9A Active CN107094132B (zh) | 2016-02-17 | 2017-02-10 | 物联网的网络安全性 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10104111B2 (zh) |
EP (1) | EP3208991B1 (zh) |
JP (1) | JP6455687B2 (zh) |
CN (1) | CN107094132B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101936655B1 (ko) * | 2017-05-25 | 2019-04-03 | 연세대학교 산학협력단 | 하이퍼그래프 기반의 오버레이 네트워크 모델을 이용한 사물인터넷 객체 탐색 방법 및 장치 |
US11067968B2 (en) | 2017-11-03 | 2021-07-20 | Honeywell International Inc. | IIOT (industrial internet of things) communications interface |
DE102018100879A1 (de) * | 2017-11-07 | 2019-05-09 | Fujitsu Technology Solutions Intellectual Property Gmbh | IoT-Computersystem sowie Anordnung mit einem solchen IoT-Computersystem und einem externen System |
US11082837B2 (en) | 2018-01-05 | 2021-08-03 | At&T Intellectual Property I, L.P. | Drop-in probe that facilitates management and configuration of internet of things network connected devices |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005101741A (ja) * | 2003-09-22 | 2005-04-14 | Canon Inc | 通信装置、方法、機器制御装置、方法、及び、プログラム |
JP2008159024A (ja) * | 2006-11-28 | 2008-07-10 | Canon Inc | サービス公開抑制装置、方法、及び、プログラム |
WO2010019000A3 (en) * | 2008-08-14 | 2010-06-03 | Samsung Electronics Co., Ltd. | Method and system for providing input in home network using upnp |
US20110013775A1 (en) * | 2009-07-17 | 2011-01-20 | Chih-Lin Hu | System and method of mobile content sharing and delivery in an integrated network environment |
CN103347074A (zh) * | 2013-07-01 | 2013-10-09 | 中山司南物联网科技有限公司 | 一种多级物联网连接服务系统 |
US20150095933A1 (en) * | 2013-09-30 | 2015-04-02 | Microsoft Corporation | Device Pairing |
Family Cites Families (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0738599A (ja) * | 1993-07-20 | 1995-02-07 | Toshiba Corp | Lan間接続装置 |
US6266774B1 (en) * | 1998-12-08 | 2001-07-24 | Mcafee.Com Corporation | Method and system for securing, managing or optimizing a personal computer |
EP1586214B1 (en) * | 2003-01-16 | 2008-12-03 | Research In Motion Limited | System and method of exchanging identification information for mobile stations |
US8571222B1 (en) * | 2003-08-13 | 2013-10-29 | Verizon Corporate Services Group Inc. | System and method for wide area wireless connectivity to the internet |
US20050063333A1 (en) * | 2003-09-23 | 2005-03-24 | Sbc Knowledge Ventures, L.P. | System and method for accessing network and data services |
US20070140255A1 (en) * | 2005-12-21 | 2007-06-21 | Motorola, Inc. | Method and system for communication across different wireless technologies using a multimode mobile device |
US7715843B2 (en) * | 2006-04-20 | 2010-05-11 | At&T International Property I, L.P. | Electronic message exchange over multiple wireless communication networks with a single device |
US8312155B2 (en) * | 2006-11-28 | 2012-11-13 | Canon Kabushiki Kaisha | Service publication restriction apparatus, method, and computer-readable storage medium |
US20080250478A1 (en) | 2007-04-05 | 2008-10-09 | Miller Steven M | Wireless Public Network Access |
US8891483B2 (en) | 2009-08-19 | 2014-11-18 | Comcast Cable Communications, Llc | Wireless gateway supporting a plurality of networks |
US9032493B2 (en) * | 2011-03-31 | 2015-05-12 | Intel Corporation | Connecting mobile devices, internet-connected vehicles, and cloud services |
US8812670B2 (en) | 2011-10-11 | 2014-08-19 | Telefonaktiebolaget L M Ericsson (Publ) | Architecture for virtualized home IP service delivery |
JP5826090B2 (ja) * | 2011-10-13 | 2015-12-02 | Kddi株式会社 | ゲートウェイ、およびプログラム |
KR101373612B1 (ko) * | 2011-11-24 | 2014-03-13 | 전자부품연구원 | Nui 제공 방법 및 시스템 |
US8938785B2 (en) * | 2012-06-08 | 2015-01-20 | Time Warner Cable Enterprises Llc | Wireless session configuration persistence |
US20140073365A1 (en) * | 2012-09-07 | 2014-03-13 | Apple Inc. | Indicating inactivity on a first network in response to a directed page from a second network |
US9413827B2 (en) * | 2013-02-25 | 2016-08-09 | Qualcomm Incorporated | Context aware actions among heterogeneous internet of things (IOT) devices |
US9705957B2 (en) * | 2013-03-04 | 2017-07-11 | Open Garden Inc. | Virtual channel joining |
US9277402B2 (en) * | 2013-03-06 | 2016-03-01 | Qualcomm Incorporated | Systems and methods for secure high-speed link maintenance via NFC |
US20150006296A1 (en) * | 2013-06-26 | 2015-01-01 | Qualcomm Innovation Center, Inc. | NOTIFICATION DISMISSAL IN AN INTERNET OF THINGS (IoT) ENVIRONMENT |
KR101908618B1 (ko) * | 2013-08-30 | 2018-10-17 | 콘비다 와이어리스, 엘엘씨 | 디지털 홈에서의 스마트 객체 식별 |
CN105659634B (zh) * | 2013-09-20 | 2019-11-05 | 康维达无线有限责任公司 | 用于接近服务以及物联网服务的联合注册和注销的方法 |
US9860281B2 (en) | 2014-06-28 | 2018-01-02 | Mcafee, Llc | Social-graph aware policy suggestion engine |
US9832168B2 (en) | 2014-07-01 | 2017-11-28 | Cable Television Laboratories, Inc. | Service discovery within multi-link networks |
US20160100035A1 (en) * | 2014-10-06 | 2016-04-07 | Eggcyte, Inc. | Personal handheld web server and storage device |
KR101634295B1 (ko) * | 2014-12-16 | 2016-06-30 | 주식회사 윈스 | IoT 보안을 위한 인증 서비스 제공 시스템 및 방법 |
US9917843B2 (en) * | 2015-01-07 | 2018-03-13 | Kii, Inc. | Secure data management techniques |
WO2016126491A1 (en) * | 2015-02-02 | 2016-08-11 | Eero, Inc. | Systems and methods for intuitive home networking |
US9838390B2 (en) * | 2015-03-31 | 2017-12-05 | Afero, Inc. | System and method for automatic wireless network authentication |
US9351136B1 (en) * | 2015-08-28 | 2016-05-24 | Sprint Communications Company L.P. | Communication path settings for wireless messaging based on quality of service |
US10230681B2 (en) * | 2015-12-14 | 2019-03-12 | International Business Machines Corporation | Method and apparatus for unified message adaptation |
-
2016
- 2016-02-17 US US15/045,463 patent/US10104111B2/en active Active
-
2017
- 2017-02-09 EP EP17155491.8A patent/EP3208991B1/en active Active
- 2017-02-10 CN CN201710072301.9A patent/CN107094132B/zh active Active
- 2017-02-17 JP JP2017027445A patent/JP6455687B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005101741A (ja) * | 2003-09-22 | 2005-04-14 | Canon Inc | 通信装置、方法、機器制御装置、方法、及び、プログラム |
JP2008159024A (ja) * | 2006-11-28 | 2008-07-10 | Canon Inc | サービス公開抑制装置、方法、及び、プログラム |
WO2010019000A3 (en) * | 2008-08-14 | 2010-06-03 | Samsung Electronics Co., Ltd. | Method and system for providing input in home network using upnp |
US20110013775A1 (en) * | 2009-07-17 | 2011-01-20 | Chih-Lin Hu | System and method of mobile content sharing and delivery in an integrated network environment |
CN103347074A (zh) * | 2013-07-01 | 2013-10-09 | 中山司南物联网科技有限公司 | 一种多级物联网连接服务系统 |
US20150095933A1 (en) * | 2013-09-30 | 2015-04-02 | Microsoft Corporation | Device Pairing |
Also Published As
Publication number | Publication date |
---|---|
JP2017147728A (ja) | 2017-08-24 |
EP3208991B1 (en) | 2018-11-28 |
EP3208991A1 (en) | 2017-08-23 |
JP6455687B2 (ja) | 2019-01-23 |
US10104111B2 (en) | 2018-10-16 |
CN107094132B (zh) | 2020-04-07 |
US20170237763A1 (en) | 2017-08-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10374822B2 (en) | Home automation (HA) system including desired scene implementation based upon user-selectable list of addressable HA devices and related methods | |
EP3314820B1 (en) | Home automation system including device signature pairing and related methods | |
US9848375B2 (en) | Home automation system including device signature pairing and related methods | |
US10826716B2 (en) | Home automation system including cloud and home message queue synchronization and related methods | |
US10523690B2 (en) | Home automation system including device controller for terminating communication with abnormally operating addressable devices and related methods | |
KR102246267B1 (ko) | 근접 네트워크 구성 방법 및 그 전자 장치 | |
US10630649B2 (en) | Home automation system including encrypted device connection based upon publicly accessible connection file and related methods | |
US20160105292A1 (en) | Method and System for Controlling Internet of Things (IoT) Device | |
CN107094132A (zh) | 物联网的网络安全性 | |
US20150312394A1 (en) | Method and apparatus for providing services via a modular smart illumination device | |
CN111327759B (zh) | 电子设备及用于控制电子设备的方法 | |
CN105049922A (zh) | 用upnp对与主显示器在相同房间的候选同伴设备的接近检测 | |
CN104918106B (zh) | 邻近检测与主显示器处于相同房间内的候选伴侣显示设备 | |
US20190182067A1 (en) | Home automation system including designated user interface device to push downloaded media content and related methods | |
US20190182068A1 (en) | Home automation system including designated hub device to push downloaded media content and related methods | |
US10893467B2 (en) | Home automation system including selective operation of paired device based upon voice commands and related methods | |
US20230119043A1 (en) | Operating-system-level permission management for multi-ecosystem smart-home devices | |
US11336731B1 (en) | Methods and systems for identifying devices and positions of devices in an IoT environment | |
US10536291B2 (en) | Home automation system including hub device determined time slot wireless communications and related methods | |
US10637680B2 (en) | Home automation system including shareable capacity determining hub devices and related methods | |
US10805106B2 (en) | Home automation system including sleep to awake mode device switching and related methods | |
US10581630B2 (en) | Home automation system including autonomous hub determination of wireless communications link failure and related methods | |
EP4344139A1 (en) | Wearable electronic device for controlling plurality of internet-of-things devices, operation method thereof, and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |