CN114026824A - 向本地连接的边缘设备延伸网络安全 - Google Patents
向本地连接的边缘设备延伸网络安全 Download PDFInfo
- Publication number
- CN114026824A CN114026824A CN202080049116.8A CN202080049116A CN114026824A CN 114026824 A CN114026824 A CN 114026824A CN 202080049116 A CN202080049116 A CN 202080049116A CN 114026824 A CN114026824 A CN 114026824A
- Authority
- CN
- China
- Prior art keywords
- network
- edge device
- address
- node
- manager
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims description 88
- 238000000034 method Methods 0.000 claims description 30
- 230000008569 process Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 9
- 238000005259 measurement Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 230000005012 migration Effects 0.000 description 3
- 238000013508 migration Methods 0.000 description 3
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000005096 rolling process Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001143 conditioned effect Effects 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
在一些实施例中,通过将网络安全延伸到网络的网络节点和附接到网络节点的边缘设备之间的本地连接来提供安全的该本地连接。附接到网络节点的边缘设备与网络的网络管理器通信以获得用于边缘设备的安全密钥和安全证书。使用安全密钥和安全证书,边缘设备能够经由本地连接在网络节点和边缘设备之间建立安全信道。边缘设备进一步与网络管理器通信以交换路由信息并且获得用于边缘设备的网络地址。边缘设备于是能够使用安全密钥、安全证书和网络地址通过网络节点与网络中的其它网络节点通信。
Description
相关申请的交叉引用
本申请要求2019年5月6日提交的题为“Extending Network Security toLocally Connected Edge Devices (向本地连接的边缘设备延伸网络安全)”的美国临时申请No. 62/843,764的优先权,该美国临时申请被通过该引用在其整体上合并于此。
技术领域
本公开一般涉及数据通信,并且更特别地涉及通过保护经本地连接到边缘设备的通信来保护网络端点内的通信。
背景技术
网络允许网络中的节点彼此通信。例如,计量网络可以被用于在资源提供方和家庭或其它位置中监控和控制诸如电力的资源的设备之间进行通信。计算机网络允许计算设备彼此交换数据。节点之间的网络链路典型地是安全的,从而可以保护网络节点之间的通信以免受各种攻击。
网络节点有时通过本地连接(诸如USB连接)附接到边缘设备(例如,计量网络无线电收发装置被附接到计量设备)。这些本地连接通常在没有任何安全控制的情况下存在并且因此容易受攻击。进一步地,如果允许边缘设备与网络上的其它网络节点进行通信,则边缘设备和网络节点之间的本地连接成为容易受到攻击的目标。如果本地连接处于非安全,则网络的安全将受损害。因此,保护网络节点和它们相应的边缘设备之间的本地连接是重要的。
发明内容
公开了用于通过将网络的安全延伸到网络中的网络节点和附接到网络节点的边缘设备之间的本地连接来提供安全的本地连接的系统和方法。在一个示例中,附接到网络节点的边缘设备与网络的网络管理器通信以获得用于边缘设备的安全密钥和安全证书。使用安全密钥和安全证书,边缘设备可以建立经由本地连接的在网络节点和边缘设备之间的安全信道。边缘设备进一步地与网络管理器通信以交换路由信息并且获得用于边缘设备的网络地址。边缘设备然后可以使用安全密钥、安全证书和网络地址通过网络节点与网络中的其它网络节点通信。
在另一示例中,一种方法包括:由通过本地连接连接到网络的网络节点的边缘设备对于网络的网络管理器认证该边缘设备;并且由边缘设备接收由网络管理器基于认证发出的设备证书和网络密钥。方法进一步包括:由边缘设备和网络节点使用网络节点和边缘设备的设备证书和网络密钥创建在边缘设备和网络节点之间的安全通道;由边缘设备建立与网络的数据链路;以及由边缘设备经由网络节点并且基于数据链路与网络上的其它设备通信。
在附加的示例中,一种系统包括:网络管理器,其被配置用于管理网络的网络设备之间的通信;以及端点设备,其通过网络与网络管理器连接并且由网络管理器管理。网络设备包括网络节点和边缘设备。端点设备包括被连接到网络并且被配置为与网络管理器和其它网络设备通信的网络节点。网络节点具有第一网络地址。端点设备进一步包括边缘设备,边缘设备经由本地连接连接到网络节点并且被配置为通过本地连接与网络节点通信。边缘设备被配置用于:与网络管理器通信以获得边缘设备的安全密钥和安全证书;使用安全密钥和安全证书建立经由本地连接的在网络节点和边缘设备之间的安全信道;与网络管理器通信以交换路由信息并且获得用于边缘设备的第二网络地址;以及使用安全密钥、安全证书和第二网络地址与网络中的另外的网络设备通信。
提及这些说明性的方面和特征不是要限制或限定本发明而是提供示例以帮助理解本申请中公开的发明构思。在回顾整个申请之后,本发明的其它方面、优点和特征将变得显而易见。
附图说明
当参照随附附图阅读以下详细描述时更好地理解本公开的这些和其它特征、方面和优点,其中:
图1是图示根据本公开的一些实施例的网络的示例的示图,该网络将网络安全延伸到在网络节点和边缘设备之间的本地连接上;
图2是图示根据本公开的一些实施例的用于将网络安全延伸到网络节点和边缘设备之间的本地连接的处理的示例的流程图;
图3是图示根据本公开的一些实施例的网状网络的示例的示图,网状网络具有对于网状网络的端点内的通信模块和计量模块之间的本地连接的延伸的网络安全;
图4是图示网络管理设备和端点之间以及网卡和端点中的边缘设备之间的消息交换的示图;以及
图5是描绘适合于实现在此提出的技术和工艺的各方面的端点的示例的示图。
具体实施方式
提供了用于保护网络中的网络节点和附接到网络节点的边缘设备之间的本地连接的系统和方法。诸如安全密钥和安全证书的网络安全机制跨网络节点和边缘设备之间的本地连接而延伸到边缘设备。利用这些安全证书和安全密钥,边缘设备能够安全地与网络上的其它设备交互,好像边缘设备是网络中的网络节点一样。作为结果,网络节点和边缘设备之间的通信以及边缘设备和其它网络设备之间的通信被与网络上的其余通信一样安全地保护。
在一个示例中,网络包括通过网络彼此通信的多个网络节点。网络可以是网状网络、Wi-Fi网络、蜂窝网络、电力线载波网络或任何其它有线或无线网络。网络进一步包括网络管理器,其除了其它方面之外还被配置用于管理网络的安全方面,诸如安全密钥和安全证书等。当边缘设备被通过本地连接(诸如USB连接、RS232串行端口连接、对等(peer topeer) 900Mhz RF连接、蓝牙连接或数字芯片间连接)附接到网络节点时,网络节点将该网络通告给边缘设备。边缘设备联系网络管理器以获得用于网络的安全密钥和用于边缘设备的安全证书。利用安全密钥和安全证书,在网络节点和边缘设备之间建立安全通道,其中在安全通道上传输网络节点和边缘设备之间的通信。
为了使边缘设备能够与网络上的其它网络节点或设备通信,边缘设备通过与网络管理器通信以交换路由信息并且获得网络地址(诸如互联网协议(IP)地址、局域网(LAN)地址或其组合)来将其自身关联于网络。在获得网络地址并且设定路由信息之后,边缘设备可以被作为网络上的节点处理,并且可以通过边缘设备所连接到的网络节点与网络上的其它网络节点或设备安全地通信。以此方式,网络节点充当用于路由指向边缘设备或来自边缘设备的网络流量的网络路由器。
通过将网络安全延伸到网络节点和附接到该网络节点的边缘设备之间的本地连接,从而显著地降低或者甚至消除网络和本地连接的脆弱性。因此显著地增加经由本地连接的通信的安全以及网络中的通信的安全。进一步地,只需要对网络节点作出微小改变以便支持安全的本地连接通信(例如改变网络节点中的路由信息从而指向边缘设备的流量可以被递送到该边缘设备)。此外,在此描述的技术可以应用于各种各样的网络和本地连接。
给出这些说明性的示例以向读者介绍在此讨论的一般的主题内容并且不意图限制所公开的构思的范围。下面的部分参照附图描述各种附加的方面和示例,在附图中同样的标号指示同样的要素。
在此讨论的特征不限制于任何特定的硬件架构或配置。计算设备可以包括提供以一个或多个输入为条件的结果的组件的任何合适的布置。合适的计算设备包括访问所存储的软件的基于微处理器的多用途计算机系统,所述软件将计算系统从通用计算设备编程或配置为实现本主题的一个或多个方面的专用计算设备。任何合适的编程、脚本或其它类型的语言或语言的组合可以被用于以要被使用于编程或配置计算设备的软件来实现在此包含的教导。
现在参照附图,图1是图示根据本公开的一些实施例的操作环境100的示例的示图,在操作环境100中网络102支持包括网络节点和边缘设备的网络设备之间的安全通信。网络102包括多个端点114A-114C(其在此可以被单独地称为端点114或总体上称为端点114)。端点114包括被配置为与网络102上的其它网络节点直接通信的网络节点116。网络节点116可以是网卡、无线电收发装置、或者可以与网络102的其它网络节点通信的任何其它类型的设备。
网络102可以是射频(RF)网状网络(诸如IEEE 802.15.4网络)、Wi-Fi网络、蜂窝网络、电力线载波网络、或任何其它有线或无线网络。对应地,网络节点116可以是RF无线电收发装置、计算机、移动设备、电力线网络设备、或者可以直接与网络102上的其它设备通信的另外类型的设备。
端点114还可以包括通过本地连接130附接到网络节点116的边缘设备118。在网状网络的一个示例中,边缘设备118可以是计量仪,用于测量在其处安装有该计量仪的房屋处所使用的诸如电、气或水的资源。在Wi-Fi网络的另一示例中,边缘设备118可以是插入到网络节点116中的计算机或其它设备。取决于网络节点116和边缘设备118的类型,本地连接130可以是USB连接、RS232串行端口连接、对等900Mhz RF连接、蓝牙连接、数字芯片间连接或任何类型的连接。
如在此使用的那样,“端点”114包括网络节点116和本地连接到网络节点116的(多个)边缘设备118。并非所有的端点114具有本地连接的边缘设备118。一些端点114可以具有本地连接到网络节点116的多个边缘设备118。虽然边缘设备118与其所附接到的网络节点116被包括在同一端点114中,但是通过实现在此提出的技术,边缘设备118呈现为网络102上的独立的网络设备。像这样,网络节点116和边缘设备118在以下的描述中均可以被称为“网络设备”。在一些实现中,边缘设备118具有其自身的IP地址或其自身的LAN地址或这两者的组合。在其它实现中,边缘设备118被配置为在IP网络之外操作,并且利用消息访问控制(MAC)层消息进行通信。
为了有利于网络设备之间的安全通信,网络102还包括网络管理器104。网络管理器104可以包括安全模块108以维持用于网络设备的安全证书110并且管理在网络102中使用的网络密钥112。安全模块108还可以被配置为执行各种安全操作,诸如向网络设备发出安全证书和网络密钥并且当网络设备加入网络102时对网络设备进行认证、在需要时更新和撤销安全证书和网络密钥、从网络102中移除网络设备等。网络管理器104还可以被配置为管理网络流量的路由。例如,当新的网络设备加入网络时,网络管理器104可以与新的网络设备通信以建立路由信息并且为新的网络设备分配网络地址,从而网络102能够路由指向新的网络设备的网络流量,诸如IP地址、LAN地址或其组合。在一些实现中,网络管理器104是网络102的接入点、认证服务器或这两者的组合。
在一些配置中,当边缘设备118被连接到在端点114处的网络节点116时,边缘设备118通过网络节点116联系网络管理器104以获得用于边缘设备118的设备证书120和网络密钥122。使用边缘设备118的设备证书120和网络密钥122以及网络节点116的设备证书和网络密钥,可以建立在网络节点116和边缘设备118之间的安全通道以用于经由本地连接130的安全通信。换言之,针对网络102创建的设备证书和网络密钥被使用于经由本地连接130的通信中,由此将网络安全延伸到本地连接130。
为了允许边缘设备118作为网络102上的网络设备进行通信,边缘设备118进一步通过网络节点116与网络管理器104通信以获得网络配置、路由信息和网络地址。因为边缘设备118可能不具有在网络102上直接通信的能力,所以边缘设备118和其它网络设备之间的通信可以通过网络节点116。例如,边缘设备118可以是被配置用于测量在一定位置处消耗的资源的计量设备,并且可能未被配置有无线电收发装置或通信模块。为了使计量设备将测量数据和其它数据传输到其它计量仪或头端系统,计量设备被附接到能够与网络中(例如900MHz RF网状网络中)的其它无线电收发装置通信的无线电收发装置。类似地,在其它位置处的其它计量设备可以被附接到相应的无线电收发装置以用于经由网状网络进行通信。
在这些情形中,即使边缘设备118从网络102获得设备证书120和网络密钥122,去往和来自边缘设备118的网络流量仍然通过网络节点116。换句话说,指向边缘设备118的网络流量首先被由网络节点116从网络102接收并且然后通过网络节点116和边缘设备118之间的安全通道传输到边缘设备118。同样,源自边缘设备118的网络流量首先被由网络节点116通过安全通道接收并且然后由网络节点116传输到网络102中的目的地。为了实现这一点,网络102的路由信息可以指定为边缘设备118是通过网络节点116可到达的。对于网络102来说,网络节点116表现得像路由器并且网络102上的其它网络设备可以如正常那样与边缘设备118通信。在下面关于图1至图4提供有关将网络安全延伸到网络节点和边缘设备之间的本地连接的附加细节。
图2描绘图示根据本公开的一些实施例的用于将网络安全延伸到端点114的网络节点116和边缘设备118之间的本地连接的处理200的示例的流程图。一个或多个设备(例如,网络节点116和边缘设备118)通过执行合适的程序代码来实现图2中描绘的操作。为了说明的目的,参照各图中描绘的一些示例描述处理200。然而,其它实现是可能的。
在框202处,网络节点116通过遵从由网络102中实现的网络协议限定的正常操作和通信来加入网络102,所述正常操作和通信包括例如网络通告、网络节点认证、网络密钥交换、网络节点关联等。在框204处,网络节点116将网络102通告给已经通过本地连接130连接到其的边缘设备118。通告可以包括网络102的标识和关于网络的信息,诸如所支持的数据速率、安全要求等。
基于包含在网络通告中的信息,在框206处,边缘设备118能够标识网络管理器104并且与网络管理器104通信以认证其自身。网络管理器104在认证边缘设备118时可以发出设备证书并且将在网络102中使用的网络密钥发送到边缘设备118。利用设备证书120和网络密钥122,网络节点116和边缘设备118可以在它们之间创建安全通道,从而保护经由本地连接130的通信。
在框208处,边缘设备118将其自身与网络102关联,即在边缘设备118和网络102之间建立数据链路。例如,边缘设备118可以从网络管理器104获得配置数据,与网络管理器104交换路由信息,并且从网络管理器104获得网络地址。在边缘设备118与网络102关联之后,在框210处,边缘设备118开始与网络102上的其它设备通信。
图3示出图示根据本公开的一些实施例的具有到网状网络的端点内的通信模块和计量模块之间的本地连接的延伸的网络安全的网状网络300的示例的示图。图3中示出的网状网络300可以与资源分发网络关联,资源分发网络诸如为水分发网络、电网或燃气分发网络。端点314A至314G(其在此可以被单独地称为端点314或被统称为端点314)被安装在资源分发网络的各个位置处。
每个端点314包括计量模块318和通信模块316。端点314中的计量模块318被配置为测量与分发网络关联的各种特性,诸如功率消耗、电力峰值电压等。计量模块318可以是公用网络中的任何类型的计量仪,诸如电计量仪、燃气计量仪、水计量仪、蒸汽计量仪等。端点314中的通信模块316被配置为经由网状网络300将由计量模块318获得的测量数据递送到根节点304。计量模块318和通信模块316通过本地连接330连接,本地连接330诸如为USB连接、RS232串行端口连接、蓝牙连接、数字芯片间连接或它们的组合。在该示例中,计量模块318是边缘设备118并且通信模块316是网络节点116,如在上面参照图1描述的那样。
端点314中的通信模块316通过网状网络300将所收集的数据传输到根节点304,根节点304可以进一步经由一个或多个附加的网络(图3中未示出)将所收集的测量数据传输到头端系统。根节点304可以是个人局域网(PAN)协调器、网关或能够与头端系统通信的任何其它设备。在一些配置中,根节点304还被配置为网状网络300的网络管理器以管理网状网络300的安全,如在上面关于图1描述的那样。
例如,根节点304可以被配置为发出和维持用于端点314的通信模块以及还用于已经通过如在此所公开的安全的本地连接加入网状网络300的计量模块的安全证书和网络密钥。根节点304还可以被配置为在端点314的通信模块和计量模块加入网状网络300时对它们进行认证、更新和撤销安全证书和网络密钥、从网状网络300移除网络设备等。根节点304还可以被配置为管理的网络流量的路由并且与通信模块和计量模块通信以建立路由信息,并且可以为新的网络设备分配网络地址,诸如IP地址、LAN地址或其组合。应当注意,网状网络300可以包括多个根节点,其中的每个可以具有与其关联的多个端点,如上面描述那样。
图4描绘图示用于将网络安全延伸到对于网状网络300而言的端点的边缘设备和网络节点之间的本地连接的处理400的示例的信号流程图。在图4中示出的示例中,通信模块316是网络节点并且计量模块318是边缘设备。根节点304被配置为执行网络管理器的功能。取决于网络配置,网状网络300中的其它节点或设备也可以被配置为网络管理器。如在图4中示出那样,为了将网络安全延伸到端点314内的本地连接,在根节点304和端点314之间以及在端点314内的通信模块316和计量模块318之间交换各种消息。
处理400包括四个阶段:通信模块加入阶段402、网络通告阶段404、认证阶段406和关联阶段408。在通信模块加入阶段402处,通信模块316通过遵从由在网络300中实现的网络协议限定的正常操作和通信来加入网络300。该阶段包括在通信模块316和根节点304之间交换通告消息从而通信模块316可以标识要加入的适当网络。通信模块316和根节点304进一步交换用于认证通信模块316和用于将通信模块316与网络300关联的消息。
在通信模块316加入网络300之后,处理400前进到网络通告阶段404。在该阶段中,计量模块318通过本地连接330而不是网络300来本地地加入通信模块316。以此方式,通信模块316(即,网络节点)如用于加入处理的用于计量模块318(即,边缘设备)的代理那样动作。通信模块316发送通告消息(在图4中表示为“PAN AD”消息)以将网络通告给计量模块318。与其它类型的网络设备的加入处理不同,通告是经由本地连接330而不是网络300来进行的。在认证阶段406处,计量模块318与根节点304通信以认证其自身。在图4中示出的示例中,计量模块318和根节点304通过遵从可扩展认证协议(EAP)传输层安全(TLS)认证协议来交换消息,以认证计量模块318并且在计量模块318上发出和安装配对的主密钥(PMK)。PMK可以是用于一个或多个通信会话的共享机密密钥并且可以被用于得出这些会话中的其它类型的密钥。
计量模块318和根节点304进一步通信EAPOL(LAN上的EAP)密钥帧以在它们之间交换密钥。例如,计量模块318和根节点304可以参与四路握手处理以建立用于对两个网络设备之间的流量进行加密的配对的瞬态密钥(PTK)和用于对多播和广播流量进行解密的组临时密钥(GTK)。这些密钥可以包括由网络300上的多个设备共享的公共密钥或用于计量模块318的独特密钥。一旦密钥被建立并且安装在计量模块318上,网络层安全就已经通过安全证书和网络密钥延伸到计量模块318。通信模块316和计量模块318可以使用它们相应的网络密钥经由本地连接330彼此通信,由此在它们之间建立安全通道。利用所建立的安全通道,通信模块316(网络节点)和计量模块318(边缘设备)可以在网络300外部通信,但是以利用网络安全密码控制(例如加密、完整性检查等)的安全方式进行通信。在一些示例中,在没有安全通道的情况下,通信模块和计量模块之间的通信是以明文进行的,而没有对通信的加密或完整性检查。像这样,在一些实现中,直到建立了安全通道才允许通信模块和计量模块之间的通信。然而,在其它实现中,允许这样的非安全通信以确保在建立安全通道之前由通信模块(网络节点)收集来自计量模块(边缘设备)的数据。
在关联阶段408处,交换用于计量模块318的路由信息并且建立计量模块318和网络300之间的数据链路。数据链路指示计量模块318和网络300上的其它网络设备之间的通信总是通过通信模块316。在该阶段中,计量模块318发送消息416以从根节点304请求关于网络配置的信息。根节点304利用网络配置信息418进行回复从而计量模块318被在网络上适当地配置。通信模块316进一步向计量模块318发送RPL(用于低功率和有损网络的IPv6路由协议)DIO(面向目的地的有向非循环图信息对象)消息420,以提醒计量模块318在网络300上周期性地通告其自身。该RPL DIO消息也可以是从根节点304或被配置为网络管理器的另外的节点发送的。
作为响应,计量模块318向根节点304发送RPL目的地通告对象(DAO)消息410,以将其目的地信息(例如计量模块318的地址)传播到网络,从而网络300上的其它节点或设备知道计量模块318的当前地址并且可以确定到计量模块的路由。将目的地信息发送到根节点304允许根节点304维持路由信息。在其它示例中,通告不传播到根节点并且路由是被本地维持的。在任一情况下,路由将总是通过计量模块318(边缘设备)所连接到的通信模块316(网络节点)。在确定了路由信息之后,计量模块318可以在网络300上通信。计量模块318进一步通过动态主机配置协议版本6(DHCPV6)请求消息412从根节点304请求IP地址,并且根节点304使用DHCPV6回复消息414来利用所分配的IP地址进行回复。一旦计量模块318被分配了IP地址,计量模块318就与网络300上的其它网络设备互连并且是通过IP寻址而由网络300上的其它网络设备可到达的,所述其它网络设备包括其它通信模块316和已经如上面描述那样与网络300关联的计量模块318。除了与计量模块318的通信通过通信模块316发生之外,计量模块318可以与其它网络设备类似地操作。像这样,诸如对等通信的一些通信不能被在其它网络设备和计量模块316之间执行。在其中网络300是专有公用网络的一些情形下,计量模块318不连接到公共互联网。在其中网络300中的网络设备连接到公共互联网的其它情形下,计量模块318也可以被连接到公共互联网。为了防止不合期望的通信,与计量模块(即边缘设备)关联的通信模块(即网络节点)可以被配置为仅允许从经授权的地址列表进行路由以防止与不合期望的设备进行远程通信或交互。
应当领会的是虽然处理400是关注于网状网络300、计量模块和通信模块描述的,但是其可以应用于其它类型的网络、网络节点、边缘设备和本地连接。取决于网络的类型和所采用的网络协议,在网络节点、边缘设备和根节点/网络管理器之间通信的消息可能是不同的。进一步地,虽然以上讨论关注于其中计量模块318在IP网络内操作的情形,但是类似的处理可以应用于其中计量模块318在IP网络外操作并且被配置为与MAC层消息通信的情形。
在一些情形中,诸如当网络节点离开网络或网络节点加入网络时,需要更新网络的路由信息。网络节点的移动可以发生在例如网络迁移中,即设备从一个网络迁移到另一网络,或者与诸如断电的网络故障有关。在这些情形中,可以针对受迁移或断电影响的那些网络节点执行上面描述的处理400。换句话说,网络节点及其连接的边缘设备可以通过遵从处理400来加入新的网络或重新加入网络。
可以通过向边缘设备发送安全更新(例如密钥滚动(key rolling)、在线证书撤销、在线证书滚动)来执行对网络安全的更新。可以通过由网络管理器例如从网络移除关于边缘设备的IP地址和路由信息来执行从网络移除边缘连接的设备。注意,如果连接到边缘设备的网络节点被移除,则边缘设备不再能够从网络接收信息并且因此被有效地从网络移除。
在一些情形中,需要撤销本地连接的边缘设备的安全证书。例如,如果边缘设备受损害,则网络管理器可以被配置为撤销边缘设备的安全证书以保护网络的安全。在一个示例中,网络管理器为除了边缘设备之外的所有网络设备生成新的密钥和新的安全证书,从而用于边缘设备的安全证书被撤销。在另一示例中,网络管理器可以向网络上的每个其它网络设备广播消息以指令那些设备不与边缘设备通信。网络管理器还可以通过不向边缘设备发出新的证书来撤销边缘设备。网络管理器可以利用各种其它机制来撤销边缘设备的安全证书。注意,如果连接到边缘设备的网络节点被撤销,则边缘设备不再能够从网络接收信息,并且因此被有效地撤销。
应当注意,撤销边缘设备不同于从网络移除设备。从网络移除设备可以包括从网络移除设备的IP地址以及与设备相关的路由信息。作为结果,被移除的设备不再能够与网络上的任何其它设备通信。撤销设备未必包括移除IP地址和路由信息。像这样,被撤销的设备仍然可以向网络通信或以其它方式听候信息。例如,如果通过撤销用于边缘设备的网络安全证书来执行撤销边缘设备,则边缘设备可能仍然具有允许其与网络上的一些节点通信——诸如听候网络上的广播或多播流量——的有效密钥。作为结果,被撤销的边缘设备不立即被从网络移除。然而,注意,如果用于网络的密钥被更新,则被撤销的设备将不再具有用以接收更新的密钥的证书。此时,被撤销的设备不再能够参与或听候被通过加密消息传送而受保护的网络流量。
参照图5,其示出描绘适合于实现在此提出的技术和工艺的各方面的端点314的示例的示图。端点314包括通过本地连接330连接的通信模块316和计量模块318。这两个模块可以被容纳在分离的板上的同一单元中,因此本地连接330可以是板上插座。替换地,模块可以被分离地容纳并且因此本地连接330可以是诸如USB线缆的通信线缆或另外的导体。由于这两个组件可以是物理上分离的,因此通信模块316和计量模块318可以被彼此独立地移除或更换。通信模块316的功能包括通过网络300接收和发送消息。计量模块318的功能包括管理资源——特别是允许访问资源和测量所使用的资源——所需要的功能。通信模块316可以包括诸如天线和无线电收发装置的通信设备512。替换地,通信设备512可以是允许进行无线或有线通信的任何设备。通信模块316还可以包括处理器513和存储器514。通信设备512被用于通过网络300接收和发送消息。处理器513控制由通信模块316执行的功能并且处理器513如所需要的那样利用存储器514。
计量模块318可以包括处理器521、存储器522和测量电路523。计量模块318中的处理器521控制由计量模块318执行的功能并且在必要时利用存储器522。测量电路523处理资源的测量,并且还可以处理所取得的测量的记录。通信模块316和计量模块318这两者可以包括存储在存储器或另外的类型的计算机可读介质中的计算机可执行指令,并且模块内的一个或多个处理器可以执行指令以提供在此描述的功能。
概括考虑
虽然已经关于本主题的特定方面详细描述了本主题,但是将领会的是本领域技术人员在获得对前述内容的理解后,可以容易地产生对这样的方面的更改、变化和等效。因此,应当理解,本公开是出于示例而非限制的目的而呈现的,并且不排除包括对于本领域普通技术人员来说将是容易地显见的对本主题的这样的修改、变化和/或添加。例如,虽然为了说明而已经使用了计量实现,但是本发明可以延伸到包括通信模块和与通信模块分离的第二模块的任何类型的网络端点。
Claims (20)
1.一种网络端点设备,包括:
网络节点,其连接到网络并且被配置为与网络管理器和网络的其它网络节点通信,网络节点具有第一网络地址;以及
边缘设备,其经由本地连接连接到网络节点并且被配置为通过本地连接与网络节点通信,其中边缘设备被配置用于:
与网络管理器通信以获得边缘设备的安全密钥和安全证书;
使用安全密钥和安全证书经由本地连接在网络节点和边缘设备之间建立安全信道;
与网络管理器通信以交换路由信息并且获得用于边缘设备的第二网络地址;以及
使用安全密钥、安全证书和第二网络地址与网络中的另外的网络节点通信。
2.根据权利要求1所述的网络端点设备,其中第一网络地址和第二网络地址均包括互联网协议(IP)地址或局域网(LAN)地址中的一个或多个。
3.根据权利要求1所述的网络端点设备,其中:
网络是与资源分发网络关联的网状网络;
网络节点是网状网络的网络端点设备的通信模块;以及
边缘设备是网络端点设备的被配置用于测量与资源分发网络关联的特性的计量模块。
4.根据权利要求1所述的网络端点设备,其中由边缘设备与网络管理器和另外的网络节点进行通信是通过网络节点来执行的。
5.根据权利要求1所述的网络端点设备,其中经由本地连接在网络节点和边缘设备之间建立的安全信道进一步基于网络节点的安全密钥和安全证书。
6.根据权利要求1所述的网络端点设备,其中路由信息指定边缘设备是通过网络节点可到达的。
7.根据权利要求1所述的网络端点设备,其中第一网络地址和第二网络地址是不同的。
8.一种方法,包括:
由通过本地连接连接到网络的网络节点的边缘设备对于网络的网络管理器认证该边缘设备;
由边缘设备接收由网络管理器基于认证发出的设备证书和网络密钥;
由边缘设备和网络节点使用网络节点和边缘设备的设备证书和网络密钥来创建边缘设备和网络节点之间的安全通道;
由边缘设备建立与网络的数据链路;以及
由边缘设备经由网络节点并且基于数据链路与网络上的其它设备进行通信。
9.根据权利要求8所述的方法,进一步包括:
由网络节点向边缘设备发送通告消息以通告网络,其中网络管理器被由边缘设备基于通告消息而标识。
10.根据权利要求8所述的方法,其中建立与网络的数据链路包括:
从网络管理器获得配置数据;
与网络管理器交换路由信息;以及
从网络管理器获得用于边缘设备的网络地址。
11.根据权利要求10所述的方法,其中网络地址包括互联网协议IP地址或局域网(LAN)地址中的一个或多个。
12.根据权利要求10所述的方法,其中用于边缘设备的网络地址与网络节点的网络地址不同。
13.根据权利要求10所述的方法,其中:
网络是与资源分发网络关联的网状网络;
网络节点是网状网络的端点的通信模块;以及
边缘设备是端点的被配置用于测量与资源分发网络关联的特性的计量模块。
14.一种系统,包括:
网络管理器,其被配置用于管理网络的网络设备之间的通信,网络设备包括网络节点和边缘设备;
端点设备,其通过网络与网络管理器连接并且由网络管理器管理,端点设备包括:
网络节点,其连接到网络并且被配置为与网络管理器和其它网络设备通信,网络节点具有第一网络地址;以及
边缘设备,其经由本地连接连接到网络节点并且被配置为通过本地连接与网络节点通信,其中边缘设备被配置用于:
与网络管理器通信以获得边缘设备的安全密钥和安全证书;
使用安全密钥和安全证书经由本地连接在网络节点和边缘设备之间建立安全信道;
与网络管理器通信以交换路由信息并且获得用于边缘设备的第二网络地址;以及
使用安全密钥、安全证书和第二网络地址与网络中的另外的网络设备通信。
15.根据权利要求14所述的系统,其中网络地址包括互联网协议(IP)地址或局域网(LAN)地址中的一个或多个。
16.根据权利要求14所述的系统,其中第一网络地址和第二网络地址是不同的。
17.根据权利要求14所述的系统,其中路由信息指定端点设备的边缘设备是通过端点设备的网络节点可到达的。
18.根据权利要求14所述的系统,其中:
网络是与资源分发网络关联的网状网络;
网络节点是网状网络的端点设备的通信模块;以及
边缘设备是端点设备的被配置用于测量与资源分发网络关联的特性的计量模块。
19.根据权利要求14所述的系统,其中网络管理器被进一步配置为通过从网络移除边缘设备来更新网络的安全,进行移除包括从网络移除边缘设备的网络地址和路由信息。
20.根据权利要求14所述的系统,其中网络管理器被进一步配置用于撤销边缘设备的安全证书,包括如下中的一个或多个:
为网络的除了边缘设备之外的网络设备生成新的密钥和新的安全证书;
向网络的除了边缘设备之外的网络设备广播消息,以指令网络设备不与边缘设备通信;或者
避免向边缘设备发出新的证书。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201962843764P | 2019-05-06 | 2019-05-06 | |
| US62/843764 | 2019-05-06 | ||
| PCT/US2020/031517 WO2020227317A1 (en) | 2019-05-06 | 2020-05-05 | Extending network security to locally connected edge devices |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114026824A true CN114026824A (zh) | 2022-02-08 |
Family
ID=70805212
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080049116.8A Pending CN114026824A (zh) | 2019-05-06 | 2020-05-05 | 向本地连接的边缘设备延伸网络安全 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US11411953B2 (zh) |
| EP (1) | EP3967016B1 (zh) |
| JP (1) | JP2022533548A (zh) |
| CN (1) | CN114026824A (zh) |
| AU (1) | AU2020267745A1 (zh) |
| BR (1) | BR112021022207A2 (zh) |
| WO (1) | WO2020227317A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11448698B1 (en) * | 2021-03-30 | 2022-09-20 | Landis+Gyr Innovations, Inc. | Enabling isolated development mode in utility end points |
| US11646992B1 (en) * | 2022-05-24 | 2023-05-09 | Uab 360 It | Updating meshnet internet protocol maps in a mesh network |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6751729B1 (en) * | 1998-07-24 | 2004-06-15 | Spatial Adventures, Inc. | Automated operation and security system for virtual private networks |
| CN108810887A (zh) * | 2017-05-01 | 2018-11-13 | 线性技术有限责任公司 | 多个管理器或接入点在无线网络中的不相交安全 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5874903A (en) | 1997-06-06 | 1999-02-23 | Abb Power T & D Company Inc. | RF repeater for automatic meter reading system |
| JP2004348377A (ja) | 2003-05-21 | 2004-12-09 | Toshiba Corp | 無線検針システム |
| US8036221B2 (en) * | 2004-06-14 | 2011-10-11 | Cisco Technology, Inc. | Method and system for dynamic secured group communication |
| WO2006063118A2 (en) * | 2004-12-07 | 2006-06-15 | Pure Networks, Inc. | Network management |
| US20060206433A1 (en) | 2005-03-11 | 2006-09-14 | Elster Electricity, Llc. | Secure and authenticated delivery of data from an automated meter reading system |
| JP2006268411A (ja) | 2005-03-24 | 2006-10-05 | Nomura Research Institute Ltd | リモートアクセスするユーザを生体データを利用して認証する方法及びシステム、及びユーザ装置 |
| US20060288209A1 (en) | 2005-06-20 | 2006-12-21 | Vogler Dean H | Method and apparatus for secure inter-processor communications |
| NZ579331A (en) | 2007-02-02 | 2012-12-21 | Aztech Associates Inc | Utility monitoring device, system and method |
| US20090088907A1 (en) | 2007-10-01 | 2009-04-02 | Gridpoint, Inc. | Modular electrical grid interface device |
| JP5311459B2 (ja) | 2008-08-19 | 2013-10-09 | 株式会社メガチップス | 情報収集システムおよび外部アクセス装置 |
| EP2506392A4 (en) | 2009-11-26 | 2014-02-19 | Toshiba Kk | ENERGY MANAGEMENT DEVICE AND ENERGY MANAGEMENT SYSTEM |
| US8611540B2 (en) * | 2010-06-23 | 2013-12-17 | Damaka, Inc. | System and method for secure messaging in a hybrid peer-to-peer network |
| JP2012113670A (ja) | 2010-11-29 | 2012-06-14 | Renesas Electronics Corp | スマートメータ及び検針システム |
| EP2543974B1 (en) | 2011-07-06 | 2014-02-26 | Nxp B.V. | Metering system having improved security |
| US20130254881A1 (en) | 2012-03-23 | 2013-09-26 | Infineon Technologies Austria Ag | Method to Detect Tampering of Data |
| PL2648170T3 (pl) | 2012-04-06 | 2015-05-29 | Kapsch Trafficcom Ag | Sposób wykrywania przekroczenia dozwolonej prędkości przez pojazd |
| US10069332B2 (en) | 2012-06-05 | 2018-09-04 | Centurylink Intellectual Property Llc | Electrical power status indicator |
| US20170201382A1 (en) * | 2013-04-03 | 2017-07-13 | Ty Lindteigen | Secure Endpoint Devices |
| US9635054B2 (en) | 2013-10-03 | 2017-04-25 | Landis+Gyr Innovations, Inc. | Securing communication within a network endpoint |
-
2020
- 2020-05-05 EP EP20727885.4A patent/EP3967016B1/en active Active
- 2020-05-05 US US16/867,345 patent/US11411953B2/en active Active
- 2020-05-05 BR BR112021022207A patent/BR112021022207A2/pt unknown
- 2020-05-05 JP JP2021565903A patent/JP2022533548A/ja active Pending
- 2020-05-05 CN CN202080049116.8A patent/CN114026824A/zh active Pending
- 2020-05-05 AU AU2020267745A patent/AU2020267745A1/en active Pending
- 2020-05-05 WO PCT/US2020/031517 patent/WO2020227317A1/en unknown
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6751729B1 (en) * | 1998-07-24 | 2004-06-15 | Spatial Adventures, Inc. | Automated operation and security system for virtual private networks |
| CN108810887A (zh) * | 2017-05-01 | 2018-11-13 | 线性技术有限责任公司 | 多个管理器或接入点在无线网络中的不相交安全 |
Non-Patent Citations (2)
| Title |
|---|
| KEUNTAE LEE等: "Secure DNS Name Autoconfiguration for IPv6 Internet-of-Things Devices", 《IEEE》, pages 1 - 6 * |
| OSCAR GARCIA-MORCHON等: "Securing the IP-based Internet of Things with DTLS draft-keoh-lwig-dtls-iot-02", 《IETF》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022533548A (ja) | 2022-07-25 |
| WO2020227317A1 (en) | 2020-11-12 |
| EP3967016B1 (en) | 2023-10-04 |
| BR112021022207A2 (pt) | 2021-12-28 |
| EP3967016A1 (en) | 2022-03-16 |
| US20200358767A1 (en) | 2020-11-12 |
| AU2020267745A1 (en) | 2022-01-06 |
| US11411953B2 (en) | 2022-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11272361B2 (en) | Zero-touch onboarding in a network | |
| JP6508688B2 (ja) | エンドツーエンドサービス層認証 | |
| US9294286B2 (en) | Computerized system and method for deployment of management tunnels | |
| US20040103275A1 (en) | Methods and apparatus for secure, portable, wireless and multi-hop data networking | |
| KR20100059953A (ko) | 네트워크 및 안전한 네트워크를 확립하기 위한 방법 | |
| US11411953B2 (en) | Extending network security to locally connected edge devices | |
| Hoeper et al. | Key revocation for identity-based schemes in mobile ad hoc networks | |
| Martignon et al. | Design and implementation of MobiSEC: A complete security architecture for wireless mesh networks | |
| US11516687B2 (en) | Monitoring secured network using network tap devices | |
| Martignon et al. | DSA‐Mesh: a distributed security architecture for wireless mesh networks | |
| Shah et al. | A novel symmetric key cryptographic authentication for cooperative communication in cognitive radio networks | |
| US20230308868A1 (en) | Method, devices and system for performing key management | |
| Madhavan et al. | Effective path discovery among clusters for secure transmission of data in MANET | |
| Tapaswi et al. | Securing Nodes in MANETs Using Node Based Key Management Scheme | |
| Wang et al. | Pairwise key establishments without key pre-distribution for mobile ad hoc network environment | |
| Boukerche et al. | A secure key management scheme for wireless and mobile Ad hoc networks using frequency-based approach: proof and correctness | |
| Ahmed et al. | Advanced Analysis of KTM and Security Issues in Mobile Ad Hoc Networks | |
| Tounsi et al. | A public key-based authentication framework for multi-hop ad hoc networks | |
| Singh | Secure ID-Based Routing for Data Communication in IoT | |
| Graarud et al. | A New Dawn for the Dark Knight: Securing BATMAN | |
| Martignon et al. | Design and implementation of MobiSEC: A complete security | |
| Oualha | Network Security in Industrial Wireless Sensor Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20240205 Address after: Georgia, USA Applicant after: Landis+Gail Technology Co.,Ltd. Country or region after: U.S.A. Address before: American Georgia Applicant before: LANDIS+GYR INNOVATIONS, Inc. Country or region before: U.S.A. |
|
| TA01 | Transfer of patent application right |