CN115769203A - 用于将设备并入到局域网中的装置和方法 - Google Patents
用于将设备并入到局域网中的装置和方法 Download PDFInfo
- Publication number
- CN115769203A CN115769203A CN202180040167.9A CN202180040167A CN115769203A CN 115769203 A CN115769203 A CN 115769203A CN 202180040167 A CN202180040167 A CN 202180040167A CN 115769203 A CN115769203 A CN 115769203A
- Authority
- CN
- China
- Prior art keywords
- certificate
- access point
- lan
- access
- network element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
描述一种用于将设备(130)并入到LAN(111)中的方法(300),其中,所述设备(130)具有从设备参考证书(211)中导出的证书(213)。该方法(300)包括:核查(301)所述设备(130)的证书(213)是否与在到第一LAN(111)的第一接入点(110)上可供使用的至少一个参考证书(201)匹配。另外,该方法(300)包括:当求取出所述设备(130)的证书(213)与在所述第一接入点(110)上可供使用的至少一个参考证书(201)匹配时,将所述设备(130)并入(302)到所述第一LAN(111)中。
Description
技术领域
本发明涉及有效率、可靠且方便地将设备、尤其是家用设备并入(Einbindung)到局域网(LAN)中。
背景技术
当用户将兼容LAN的新设备、尤其是新家用设备带回家时,用户通常首先需要以相对长的时间花费将该设备并入到用户的LAN中。
发明内容
本发明涉及如下技术任务:能够特别方便、可靠且安全地将兼容LAN的设备并入到LAN中。
该任务分别通过独立权利要求的主题来解决。有利的实施方式尤其在从属权利要求中限定、在下面的说明书中描述或者在所附附图中示出。
根据本发明的一方面,描述一种(必要时由计算机实现的)用于将设备并入到局域网(LAN)、尤其是无线LAN中的方法。该设备尤其可以是家用设备,例如烤箱、冰箱、炉灶、洗碗机、洗衣机、烘干机、食物处理机、咖啡机等。该设备可以包括通信模块,该通信模块构造用于,构建到接入点(英语:Access Point)的有线的和/或无线的LAN连接(尤其根据IEEE802.11)。该方法可以通过(第一)接入点来实施。
该设备具有从设备参考证书中导出的证书。在此,该证书可以是沿着设备证书链经由一个或者多个中间证书从设备参考证书中推导出的。在此,设备参考证书可以分配给确定的实体(例如该设备的制造商)。然后,可以从设备参考证书中为该实体的不同设备生成不同的证书,并且可以在相应的设备上提供所述证书。在此,证书可以分别储存在相应的设备的存储器单元上,尤其是储存在可信平台模块(TPM)或者别的被评估为安全的存储器解决方案上。该设备可以构造用于从该设备的证书中求取设备证书链,和/或该设备可以设置用于完全地或者部分地提供设备证书链。设备证书链可以例如储存在该设备上。
实体的参考证书可以是该实体的根证书或者从该实体的根证书导出的证书。在本文件中,术语设备的“设备参考证书”应理解为实体的参考证书,设备的证书(即储存在该设备上的和/或分派给该设备的证书)是从该参考证书中导出的。因此,设备参考证书是确定的实体(尤其是如下确定的实体:该设备被分配给该确定的实体)的确定的参考证书。
该方法包括:核查该设备的证书是否与在到第一(W)LAN的第一接入点上可供使用的至少一个参考证书匹配。尤其是,可以基于该设备的证书核查所述设备参考证书(即如下参考证书:该设备的证书是从该参考证书中导出的)在第一接入点上是否可供使用,尤其是所述设备参考证书是否储存在第一接入点的存储器单元上,例如是否储存在第一接入点的TPM或者别的被评估为安全的存储器解决方案上。
例如,在第一接入点上,具有一个或者多个(必要时,不同实体的)参考证书的列表可以是可供使用的。可以例如在制造第一接入点时在第一接入点中提供该列表。尤其是,具有一个或者多个参考证书的列表可以储存在第一接入点的存储器单元上、尤其是储存在第一接入点的TPM上。然后,可以以有效率且可靠的方式核查,设备参考证书是否包含在具有一个或者多个参考证书的列表中,和/或设备的证书是否是(沿着参考链)从列表中的参考证书中的一个参考证书导出的。
此外,该方法包括:当求取出设备的证书是从在第一接入点上可供使用的至少一个参考证书导出时,将设备并入到第一(W)LAN中。当、尤其是只有当确定设备参考证书(即如下参考证书:该设备的证书是从该参考证书中导出的)包含在具有一个或者多个参考证书的列表中时,或当、尤其是只有当求取出设备参考证书在第一接入点上可供使用时,或当、尤其是只有当求取出设备的证书是从在第一接入点上可供使用的参考证书导出时(并且在信息安全性意义上有效时),可以将设备并入到第一LAN中。
该方法实现:以有效率、方便且安全的方式将设备并入到(W)LAN中。在此,该并入可以自动进行,而无需由用户输入到LAN的接入数据(例如预共享密钥(PSK))。该并入可以例如自动地在设备投入使用时进行。
该方法可以包括:求取如下一个或者多个网络单元:对于所述一个或者多个网络单元,存在该设备的、经由第一LAN的访问权限。在此,所述一个或者多个网络单元布置在(例如因特网中的)第一LAN以外的广域网(WAN)中。可以在储存在第一接入点上的列表中列举所述一个或者多个网络单元。所述一个或者多个网络单元可以由实体运行或提供,该实体被分配有设备参考证书。
可以将该设备到第一LAN中的并入限制为对所述一个或者多个网络单元的访问。尤其是,可以通过第一接入点引起:该设备只可以访问所述一个或者多个网络单元,并且除此之外不具有对第一LAN的部件或者对WAN的别的部件的另外的访问。如此,可以进一步提高设备的(自动的)并入的安全性。
所述方法可以包括:提供该设备与所述一个或者多个网络单元之间的、经由第一接入点、尤其是经由第一接入点的路由器的通信连接。然后,该通信连接可以例如用于设备的远程维护(从一个或者多个网络单元出发)。因此,可以使设备的制造商能够以有效率且可靠的方式访问设备(因为设备自动地与制造商的一个或者多个网络单元(例如服务器)连接)。
如上所述,具有一个或者多个参考证书的列表可以是在第一接入点上可供使用的、尤其是可以储存在第一接入点上。该列表可以为所述参考证书中的每个参考证书(并且为与此相关的每个实体)分别显示如下至少一个网络单元:对于所述至少一个网络单元,具有与相应的参考证书匹配的证书的设备具有访问权限。如此,可以以有效率且安全的方式使不同实体能够访问相应的实体的设备。
该方法可以包括:求取设备的证书与设备参考证书之间的设备证书链,其中,该设备证书链显示设备的证书与设备参考证书之间的一个或者多个中间证书。设备证书链可以完全地或部分地例如从设备发送给第一接入点并且由第一接入点接收。然后,可以以特别有效率且精确的方式基于该设备证书链核查,设备的证书是否与在到第一LAN的第一接入点上可供使用的至少一个参考证书匹配。
第一接入点必要时可以是如下任意的接入点:设备位于该接入点的接收区域中。例如,在城市环境中,第一接入点可以由设备的用户的邻居运行。通过第一接入点可以实现到LAN的和经由该LAN到WAN的第一(临时的和/或受到限制的)接入。对于到LAN的和/或到WAN的完全接入,可能需要将设备(自动地)与第二接入点(例如与用户的接入点)连接。
如上所述,所述方法包括,求取如下至少一个网络单元:对于所述至少一个网络单元,存在该设备的、经由第一LAN的访问权限。在此,该网络单元可以显示到第二LAN的至少一个第二接入点。该信息例如可以储存在设备的用户在该网络单元上的用户账户中。在该用户账户中可以储存有到第二接入点的接入数据(例如到第二接入点的PSK)。
然后,可以构建设备与网络单元之间的、经由第一接入点的通信连接,以便使该设备能够从该网络单元获取到第二接入点的接入数据。如此,然后可以实现设备从第一LAN到第二LAN的自动“转挂
”,尤其是以便使该设备在第二LAN内能够实现到LAN的和/或到WAN(例如因特网)的、必要时不受限制的接入。通过自动的到第二LAN中的并入,可以进一步提高用户的舒适度。例如可以执行到第二LAN中的并入,以便使用户能够远程控制该设备(例如借助应用者设备,例如用户的并入到第二LAN中的智能手机)。
例如,在该方法的框架中可以核查,是否应通过应用者设备进行对设备的远程控制。然后,可以求取如下LAN:应用者设备并入到该LAN中。尤其可以求取,应用者设备经由第二接入点并入到第二LAN中。进而可以自动促使,将该设备并入到第二LAN中,以便通过应用者设备实现对设备的远程控制。所述方法步骤例如可以通过接入点和/或通过设备来实施。
根据本发明的另一方面,描述一种(必要时由计算机实现的)用于将设备并入到LAN中的方法。该方法可以通过该设备来实施。在此,该设备(例如在TPM上)具有从设备参考证书中导出的证书。
该方法包括:辨认用于第一LAN的第一接入点,在该第一接入点上参考证书是可供使用的,该参考证书与设备的证书匹配、尤其是相应于设备参考证书。换言之,可以寻找适合的第一接入点,该第一接入点具有匹配的参考证书。对适合的第一接入点的寻找在此可以自动地由该设备启动(无需用户交互),例如在设备第一次投入运行时。
另外,该方法包括:经由第一接入点将设备并入到第一LAN中。为此目的,该设备可以与第一接入点连接。然后,可以从接入点实现到第一LAN的和/或到WAN的(必要时受到限制的)接入。如此,可以实现设备到LAN的和/或到WAN的方便且安全的接入。
该方法包括:经由第一接入点访问网络单元。在此,该网络单元(如上所述)可以显示到第二LAN的至少一个第二接入点。然后,可以从该网络单元获取到第二接入点的接入数据(例如PSK)。
然后,在使用到第二接入点的接入数据的情况下,可以(自动地)经由第二接入点将设备并入到第二LAN中另一方面,设备可以(自动地)从第一接入点注销。如此,可以以特别方便且安全的方式实现到第二LAN(例如到用户的LAN)的和经由该第二LAN到WAN的(必要时完整的)接入。
该方法可以包括:构建与网络单元的、经由第一接入点的通信连接。另外,该方法可以包括:通过网络单元经由第一接入点对设备的访问,引起对设备的维护措施。因此,可以使实体(例如设备的制造商)能够以有效率且安全的方式执行维护措施。
根据本发明的另一方面,描述一种到LAN的接入点(即装置),其中,该接入点设置用于,核查应并入到LAN中的设备的证书是否与在接入点上可供使用的参考证书匹配。此外,该接入点设置用于,当求取出设备的证书与在第一接入点上可供使用的参考证书匹配时,将设备并入到LAN中。另外,该接入点可以设置用于,实现到WAN的受到限制的至少一个接入(例如限制为网络单元(例如服务器和/或URL(Uniform Resource Locator,统一资源定位符))的受到限制的列表)。
如下资源可以在接入点上和/或在LAN的别的路由部件上与相应的参考证书固定关联:所述资源能够使用LAN中的和/或WAN中的、具有实体的确定的证书的设备(例如具有一个或者多个确定的参数的连接,所述参数例如是IP地址、URL、协议变体、端口号和类似物)。因此,可以基于设备与实体的从属关系对接入进行自动化地限制。例如,家用设备可以只有权与因特网中的单个的服务器构建连接,所述单个的服务器例如是该家用设备的制造商的后台。
在适合的使用者接口中,可以向用户或者网络管理员展示如下概览:在接入点上哪些参考证书可供使用。另外,在该展示中可以显示相应关联的权限(URL、服务器、协议变体和类似物)。
通过用户接口可以向用户或者管理员提供如下可能性:下载、安装、删除、激活和/或停用(确定的实体的)确定的参考证书。随着参考证书的停用或移除,当前与该接入点连接的所有设备(所述设备分配给所删除的参考证书)的任何权限通常都立即过期。尤其是,对于所述设备,可以中断与LAN的连接。
根据本发明的另一方面,描述一种设备,该设备具有从设备参考证书中导出的证书。设备设置用于,辨认用于第一LAN的第一接入点,在该第一接入点上参考证书是可供使用的,该参考证书与设备的证书匹配、尤其是相应于该设备参考证书。此外,该设备设置用于,响应于此,引起经由第一接入点到第一LAN中的并入。
应注意,本文件中所描述的方法和装置的任何方面都可以以多种方式相互结合。尤其是,权利要求的特征可以以多种方式相互结合。
附图说明
下面,根据在所附附图中示出的实施例更详细地描述本发明。在此示出:
图1示出用于将设备并入到LAN中的系统的方框图;
图2a示出示例性证书列表;
图2b示出示例性证书链;
图3a和图3b示出用于将设备并入到LAN中的示例性方法的流程图。
具体实施方式
如开头所述,本文件涉及方便、安全且可靠地将设备、尤其是家用设备并入到LAN中。在这种背景下,图1示出具有兼容LAN的设备130的示例性系统100。系统100包括到第一(W)LAN 111的第一接入点110(例如路由器)和到第二(W)LAN 121的第二接入点120(例如路由器)。设备130可以包括通信模块132,该通信模块实现将设备130并入到第一LAN111(用于第一LAN连接112)和/或第二LAN 121(用于第二LAN连接122)中。另外,设备130可以具有控制模块131,该控制模块构造用于控制设备130的动作。
接入点110、120可以设置用于,分别构建与广域网WAN(例如因特网)中的网络单元102(例如具有服务器,例如在云中)的通信连接113、123。LAN 111、121可以包括、尤其可以是无线LAN(WLAN)。
在本文件中描述一种方法,在该方法中,网络设备130自动获得网络接入、必要时自动获得完整的网络接入,并且自动获得到远程网络单元102(例如到设备130的制造商的网络单元102)的至少一个接入。这种自动构建的网络接入可以用于通过网络单元102提供一个或者多个服务,例如设备130的固件更新。这必要时可以自动地设置和/或提供,而无需与用户交互,例如在设备130(必要时在用户同意之后才)首次投入使用的情况下。
尤其在城市环境中(例如在多户住宅中)可以是有利的是,至少在第一步骤中根据需要经由辅助LAN 111、例如经由邻居的LAN 111实现到网络单元102的接入。如此,可以拓宽用于并入设备130的、可供使用的网络覆盖。在此,辅助接入点110可以限制为实现设备130与网络单元102的连接。
在另一步骤中,设备130可以通过一种方法、例如OAUTH(Open Authorization,开放授权)设备授权来与用户(在网络单元102上)的一个或者多个用户账户关联。在此,设备130必要时也可以获得关于用户的网络基础设施、尤其是接入点120的接入信息。尤其是,可以将设备130并入到用户的LAN 121中。先前可能被隔离的和/或受到限制的、经由辅助接入点110的(W)LAN接入可以由此转变为设备130的经由第二接入点120的不受限制的接入。然后,设备是用户的(W)LAN 121中的完整的、被认证的网络设备。
因此,描述一种方法,借助该方法,兼容网络的设备130必要时可以在初始时并入到(辅助)网络111中,而无需与用户交互,并且自动化地获得访问确定的资源102的一个或者多个权限,所述确定的资源例如是因特网中的确定的计算装置。尤其是,在此可以向用户介绍哪个设备130访问哪个资源102。
通过实体,例如通过设备130的制造商或者通过WIFI联盟,可以提供用于私人秘钥的基础设施,通过该基础设施发布证书。所发布的证书在此优选相应于普遍标准,例如x.509。然后,证书可以(以适合编码的方式)保存在所涉及的部件上,尤其保存在一个或者多个设备130上和一个或者多个接入点110、120上。私人秘钥可以以安全的方式保存在所谓的可信平台模块(Trusted-Platform-Modules,TPM)上,并且必要时可以在相应的TPM上产生。
在PKI(Public Key Intrastructure,公共秘钥基础设施)内,必要时仅存在根证书,该根证书具有尽可能长的使用寿命,例如30年。所有其他证书可以从该根证书通过一个或者多个中间证书(必要时还多级地)导出。如此,对于设备130的不同组(例如对于设备130的不同制造商),可以分别创建证书树,该证书树对于相应组的设备130而言是明确唯一的,并且该证书树的叶可以分配给确定的子树(例如“工厂1”、“工厂2”、...)。实体(例如制造商)的证书树在此可以具有根证书,从该根证书导出该实体的设备130的组的所有证书。
证书和/或中间证书可以借助适合的元数据来创建,通过所述元数据例如提供关于相应的证书的相应的签发主体的信息。
通过适合的协议和/或服务,例如OCSP(Online Certificate Status Protocol,在线证书状态协议)响应和/或OCSP装订,可以随时核查证书的有效性。另外,可以通过适合的、必要时标准化的方法来实现不同网络设备130中的证书的交换。
网络设备130可以例如在制造期间配备有数字身份和至少一个证书。该证书在此可以被证书树的相应的子树的中间证书中的一个中间证书签名,并且可以在设备中与私人秘钥一起安全地保存在适合的存储器(例如TPM)内。
另外,直到根证书为止的或者直到从根证书导出的参考证书为止的证书链可以保存在设备130中,并且可以例如在构建连接时传输至接入点110、120,或可以通过别的机制告知给接入点110、120。在设备130的证书中还可以储存有,在哪个因特网地址下能够调用相应的根证书。
可以在一个或者多个接入点或者路由器110、120中提供用于设备130的组的根证书或从该根证书导出的参考证书。尤其是,参与该系统100的制造商或WIFI联盟可以通过适合的方式将其相应的根证书(或者从该根证书导出的参考证书)的副本传输到接入点或者路由器110、120中。与网络浏览器的证书存储器类似地,接入点因此获得关于信任位置的信息,所述信任位置必要时可以在制造接入点110、120时就已经确定。
图2a示出具有用于相应的一个或者多个实体(例如制造商)的一个或者多个根证书或者参考证书201的示例性列表200。对于每个实体,在此必要时可以在列表200中显示可以通过接入点110、120来访问的至少一个网络单元102(例如至少一个因特网服务器)。在列表200内,可以在用于访问权的字段202中列举所述一个或者多个网络单元102。
图2b示出具有实体的设备参考证书211与设备130的证书213之间的一个或者多个中间证书212的示例性证书链210。证书链210可以储存在设备130上。所有中间证书212和设备证书213按顺序从设备参考证书211中导出。实体(例如设备制造商)的设备参考证书211可以是例如该实体的根证书。如通过图2b中的箭头所示出的那样,可以从参考证书211中和/或从中间证书212中导出用于不同设备130的不同设备证书213。
一旦给设备130供电,该设备必要时就可以开始通过适合的方式、例如设备供应协议(Device-Provisioning-Protocol,DPP)寻找适合的接入点110,在该接入点中存放有关于设备130的证书213的根证书或参考证书210、211。准确的处理方式在此由相应使用的协议预给定。
当找到适合的接入点110时,可以借助公共秘钥建立到接入点110的安全的LAN连接112,并且可以传输相应的证书链210。所提供的证书链210在此具有足够的深度,以便使接入点110能够将由设备130提供的证书链210分配给存在于内部的根证书201。如果可以成功分配证书链210,则可以为设备130释放至少一个资源102。
一旦在网络层级上实现设备130与接入点110之间的连接,就可以为待集成到网络111中的设备130供应更高协议层的、动态确定的数据。为此所需要的权限可以例如通过共同的秘密来提供(然而这需要事先交换秘密、例如密码)。
在存在接入点110已知的根证书或参考证书201、211的情况下,可以自动(无需事先交换秘密)给予接入权限。如此,可以以特别方便且有效率的方式实现连接构建。尤其是,可以在接通设备130之后自动地构建到接入点110的连接112,并且接入点110进而自动地授予到更高的协议的接入和/或到一个或者多个确定的路由目标102的接入。
尤其是,可以自动地为因特网中的(至少或者恰好)一个网络单元102开启接入点110已知的制造商的网络设备130,该网络单元例如在根证书或者参考证书201、211中明确标明。对于对网络单元102的访问而言,在此不需要用户交互。另一方面,可以禁止对别的资源、例如本地内部网络110和/或因特网中的别的目标/端点的访问。
例如,在根证书或参考证书201、211的x.509扩展中可以记录,确定的根认证部门的或确定的实体的设备130应访问哪个或者哪些因特网地址(“域名”)。然后,通过接入点110可以将该访问限制为明确标明的因特网地址。然后,从设备130发出的、到别的地址的或者通过别的协议的数据通信(Datenverkehr)可以自动化地被接入点110摒弃。
如果未通过存放在接入点110上的、已知的认证部门的列表200授权的设备130尝试到接入点110的连接构建,则该设备130的数据通信可以自动地被接入点110阻拦。替代地或者补充地,可以向用户提供如下选择:是否应手动地对受影响的设备130进行授权。
如果具有相应的权限的多个接入点110、120位于设备130的作用范围中,则设备130可以按照适合的方法(例如根据相应最高的信号强度和/或相应最大的数据传输率)选择优选的接入点110、120。在此,必要时也可以实现,选择不通过用户(而是例如通过邻居)运行的接入点110、120。
在(受到限制地)并入到第一LAN 111中之后,可以进行后来的到另外的第二LAN121中的并入(例如以便实现不受限制的并入和/或不受限制的访问)。第二LAN 121在此可以是由用户运行的LAN。为此目的,可以使用WPS(Wi-Fi Protected Setup,Wi-Fi保护设置),可以输入WIFI密码和/或必要时也可以使用任意其他方法,例如强制门户和软接入点(Captive-Portal-und Soft-Access-Point)。
在一个优选的例子中,可以向网络单元102上的用户提供用户账户,在该用户账户上注册例如该用户的接入点120。在该用户账户中,可以管理接入点分配,该接入点分配包括用户的一个或者多个网络设备130到确定的接入点120的接入数据。在此可以实现,将最初通过外部接入点110与网络单元102连接的设备130并入到用户账户中。为此,可以使用例如OAUTH设备授权方法。
一旦建立了设备130到用户账户的关联,网络单元102就可以为该设备130选择适合的接入点120(例如根据可能的接入点120的、通过网络设备130观察到的信号强度)。然后,到所选择的接入点120的接入所需要的接入数据可以传输给网络设备130。然后,设备130可以自动地与接入点120连接。
替代于或补充于自动提供根证书或参考证书201、211和与此关联的对网络单元102的访问权地,可以使用户能够手动地配置接入点110、120(通过使用者接口)。例如,可以使用户能够通过应用者设备140(例如智能手机或者计算机)对接入点110、120进行访问(例如经由LAN连接124),以便编辑具有一个或者多个根证书或参考证书201、211和/或具有用于对一个或者多个网络单元102的访问权的条目202的列表200。
接入点110、120可以向用户提供例如概览(例如通过使用者接口),该概览例如具有如下信息和/或具有如下可能性:
·可以显示已安装的一个或者多个根证书或参考证书201;
·可以显示用于每个根证书或参考证书201的一个或者多个参数或用于此的必要权限,例如:因特网中的端点102、数据传输率、服务、协议、所需要的资源等;
·对于每个网络设备130编辑、采取或者取消一个或者多个限制的可能性:
o对确定的端点102的访问,所述确定的端点例如是制造商的基础设施;
o协议(IP*、http*、...);
o服务(例如时间服务器);
o其他参数(数据传输率、访问的时间限制、...);
·可以显示每个网络设备130的状态,例如激活的连接、当前的数据传输率、累积的数据量、所使用的服务(“制造商后台”、“时间服务器”、...)、故障状态(“根证书或参考证书过期”、...);和/或
·当新的设备130已通过所描述的方法连接或者期望构建连接时,可以进行一般设置,例如通知设置。
该信息必要时可以在本地网络111、121中通过例如uPNP或者HTTP的方法和协议而是能调用的,并且必要时可以由适合的代理、移动设备140、网络浏览器或者类似物来分析处理和改变。
通过在本文件中所描述的措施可以使设备130的用户能够以特别方便且安全的方式将设备130并入到LAN 111、121中,并且必要时与WAN中的网络单元102连接(例如用于维护工作、用于固件更新等)。
图3a示出用于将设备130并入到局域网(LAN)111中并且必要时经由该局域网并入到WAN中的示例性方法300的流程图,该设备尤其是家用设备,例如食物处理机、烤箱、洗衣机、炉灶、冰箱、洗碗机、烘干机等。该方法300可以通过到LAN 111的接入点110(尤其通过路由器)来实施。在此,接入点110可以构造用于提供无线LAN(WLAN)。
设备130可以具有从设备参考证书211中导出的证书213。在此,设备130的证书213可以是经由证书链210(具有一个或者多个中间证书212)从设备参考证书211中生成的。设备130可以构造用于提供证书链210。设备的证书213以及可能提供的证书链210可以储存在设备130的可信平台模块(TPM)上。
该方法300包括:核查301设备130的证书213是否与在到第一LAN 111的第一接入点110上可供使用的至少一个参考证书201匹配。尤其可以核查,在第一接入点110上实体的设备参考证书211(即如下参考证书201、211:设备130的证书213是从该参考证书中导出的)是否可供使用。具有一个或者多个参考证书201的列表200(例如用于设备130的相应的一个或者多个制造商)可以储存在第一接入点110的存储器单元、尤其是TPM上。对于每个参考证书201,可以标明至少一个网络单元102(作为列表条目202),对于所述至少一个网络单元,当设备130具有与相应的参考证书201匹配的证书213时,实现经由第一接入点110的访问。因此,可以提供如下接入点110(尤其是路由器):所述接入点为所选择的设备130实现自动的(受到限制的)LAN访问并且必要时实现自动的(受到限制的)因特网访问。
此外,方法300包括:当(必要时只有当)求取出设备130的证书213与在第一接入点110上可供使用的至少一个参考证书201匹配时,将设备130并入302到第一LAN 111中。在此,所述并入302可以自动进行,而设备130的用户不必进行输入。因此,可以实现对LAN 111和/或对WAN中的网络单元102的方便且安全的访问。
图3b示出用于将设备130并入到LAN 111、121中和/或WAN中的示例性方法310的流程图。该方法310可以以与方法300互补的方式通过设备130实施。在此,设备130具有从实体的设备参考证书211中导出的证书213。
方法310包括:辨认311用于第一LAN 111的第一接入点110,在该第一接入点上实体的参考证书201是可供使用的,该参考证书与设备130的证书213匹配,尤其是,该参考证书相应于设备参考证书211。为此目的,设备130必要时可以与多个不同的接入点110、120联系。然后,可以分别将设备130的证书213(尤其是设备130的证书链210)发送给相应的接入点110、120。然后,相应的接入点110、120可以核查,与证书213匹配的参考证书201(尤其是设备参考证书211)在相应的接入点110、120上是否是可供使用的。在此,辨认311适合的接入点110的过程可以自动地由设备130启动(无需用户的输入),例如在设备130投入运行时。
此外,方法310包括:经由(经辨认的)第一接入点110将设备130并入312到第一LAN111中。如此,可以实现到LAN 111(尤其是WLAN)的方便且安全的接入。
本发明不限于所示实施例。尤其应注意,说明书和附图仅旨在说明所提出的方法和装置的原理。
Claims (15)
1.一种用于将设备(130)并入到局域网(111)中的方法(300),所述局域网缩写为LAN;其中,所述设备(130)具有从设备参考证书(211)中导出的证书(213);其中,所述方法(300)包括,
-核查(301)所述设备(130)的证书(213)是否与在到第一LAN(111)的第一接入点(110)上可供使用的至少一个参考证书(201)匹配;
-当求取出所述设备(130)的证书(213)与在所述第一接入点(110)上可供使用的至少一个参考证书(201)匹配时,将所述设备(130)并入(302)到所述第一LAN(111)中。
2.根据权利要求1所述的方法(300),其中,
-具有一个或者多个参考证书(201)的列表(200)在所述第一接入点(110)上可供使用;
-所述方法(300)包括,
-确定所述设备参考证书(211)是否包含在具有一个或者多个参考证书(201)的列表(200)中;
-当、尤其是只有当确定所述设备参考证书(211)包含在具有一个或者多个参考证书(201)的列表(200)中时,将所述设备(130)并入(302)到所述第一LAN(111)中。
3.根据权利要求2所述的方法(300),其中,具有一个或者多个参考证书(201)的列表(200)储存在所述第一接入点(110)的存储器单元、尤其是可信平台模块上。
4.根据上述权利要求中任一项所述的方法(300),其中,
-所述核查(301)包括:基于所述设备(130)的证书(213)核查,所述设备参考证书(211)在所述第一接入点(110)上是否可供使用,尤其是所述设备参考证书(211)是否储存在所述第一接入点(110)的存储器单元上;
-当、尤其是只有当求取出所述设备参考证书(211)在所述第一接入点(110)上可供使用时,经由所述第一接入点(110)将所述设备(130)并入到所述第一LAN(111)中。
5.根据上述权利要求中任一项所述的方法(300),其中,所述方法(300)包括,
-求取如下一个或者多个网络单元(102):对于所述一个或者多个网络单元,存在所述设备(130)的、经由所述第一LAN(111)的访问权限;
-将所述设备(130)到所述第一LAN(111)中的并入限制为对所述一个或者多个网络单元(102)的访问。
6.根据权利要求5所述的方法(300),其中,
-所述一个或者多个网络单元(102)布置在所述第一LAN(111)以外的广域网中,所述广域网缩写为WAN;
-所述方法(300)包括,经由所述第一接入点(110)、尤其是经由所述第一接入点(110)的路由器提供所述设备(130)与所述一个或者多个网络单元(102)之间的通信连接。
7.根据权利要求5至6中任一项所述的方法(300),其中,
-具有一个或者多个参考证书(201)的列表(200)在所述第一接入点(110)上可供使用;
-所述列表(200)针对所述参考证书(201)中的每个参考证书分别显示如下至少一个网络单元(102):对于所述至少一个网络单元(102),具有与相应的参考证书(201)匹配的证书(213)的设备(130)具有访问权限。
8.根据上述权利要求中任一项所述的方法(300),其中,所述方法(300)包括,
-求取所述设备(130)的证书(213)与所述设备参考证书(211)之间的设备证书链(210);其中,所述设备证书链(210)显示所述设备(130)的证书(213)与所述设备参考证书(211)之间的一个或者多个中间证书(212);
-基于所述设备证书链(210)核查,所述设备(130)的证书(213)是否与在到所述第一LAN(111)的第一接入点(110)上可供使用的至少一个参考证书(201)匹配。
9.根据上述权利要求中任一项所述的方法(300),其中,所述方法(300)包括,
-求取如下网络单元(102):对于所述网络单元,存在所述设备(130)的、经由所述第一LAN(111)的访问权限;其中,所述网络单元(102)显示到第二LAN(121)的至少一个第二接入点(120);
-构建所述设备(130)与所述网络单元(102)之间的、经由所述第一接入点(110)的通信连接,以便使所述设备(130)能够从所述网络单元(102)获取到所述第二接入点(120)的接入数据。
10.一种用于将设备(130)并入到局域网(111,121)中的方法(310),所述局域网缩写为LAN;其中,所述设备(130)具有从设备参考证书(211)中导出的证书(213);其中,所述方法(310)包括,
-辨认(311)用于第一LAN(111)的第一接入点(110),在所述第一接入点上参考证书(201)是可供使用的,所述参考证书与所述设备(130)的证书(213)匹配,尤其是,所述参考证书相应于所述设备参考证书(211);
-经由所述第一接入点(110)将所述设备(130)并入(312)到所述第一LAN(111)中。
11.根据权利要求10所述的方法(310),其中,所述方法(310)包括,
-经由所述第一接入点(110)访问网络单元(102);其中,所述网络单元(102)显示到第二LAN(121)的至少一个第二接入点(120);
-从所述网络单元(102)获取到所述第二接入点(120)的接入数据。
12.根据权利要求11所述的方法(310),其中,所述方法(310)包括,
-在使用到所述第二接入点(120)的接入数据的情况下,经由所述第二接入点(120)将所述设备(130)并入到所述第二LAN(121)中;和/或
-从所述第一接入点(110)注销所述设备(130)。
13.根据权利要求10至12中任一项所述的方法(310),其中,所述方法(310)包括,
-构建与网络单元(102)的、经由所述第一接入点(110)的通信连接;
-通过所述网络单元(102)经由所述第一接入点(110)对所述设备(130)进行访问,引起对所述设备(130)的维护措施。
14.一种到局域网(111)的接入点(110),所述局域网缩写为LAN;其中,所述接入点(110)设置用于,
-核查应并入到所述LAN(111)中的设备(130)的证书(213)是否与在所述接入点(110)上可供使用的参考证书(201)匹配;
-当求取出所述设备(130)的证书(213)与在所述接入点(110)上可供使用的参考证书(201)匹配时,将所述设备(130)并入到所述LAN(111)中。
15.一种设备(130),所述设备具有从设备参考证书(211)中导出的证书(213);其中,所述设备(130)设置用于,
-辨认用于第一LAN(111)的第一接入点(110),在所述第一接入点上参考证书(201)是可供使用的,所述参考证书与所述设备(130)的证书(213)匹配;
-响应于此,引起经由所述第一接入点(110)的、到所述第一LAN(111)中的并入。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102020207033.4 | 2020-06-04 | ||
| DE102020207033.4A DE102020207033B4 (de) | 2020-06-04 | 2020-06-04 | Vorrichtungen und Verfahren zur Einbindung eines Geräts in ein Local Area Network |
| PCT/EP2021/063792 WO2021244890A1 (de) | 2020-06-04 | 2021-05-25 | Vorrichtungen und verfahrenen zur einbindung eines geräts in ein local area network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115769203A true CN115769203A (zh) | 2023-03-07 |
Family
ID=76250294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180040167.9A Pending CN115769203A (zh) | 2020-06-04 | 2021-05-25 | 用于将设备并入到局域网中的装置和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20230198976A1 (zh) |
| EP (1) | EP4162378A1 (zh) |
| CN (1) | CN115769203A (zh) |
| DE (1) | DE102020207033B4 (zh) |
| WO (1) | WO2021244890A1 (zh) |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102004034363B4 (de) | 2004-07-16 | 2007-06-28 | Datenlotsen Informationssysteme Gmbh | Verfahren zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke |
| DE102014102168A1 (de) | 2014-02-20 | 2015-09-03 | Phoenix Contact Gmbh & Co. Kg | Verfahren und System zum Erstellen und zur Gültigkeitsprüfung von Gerätezertifikaten |
| US10020988B2 (en) * | 2014-11-12 | 2018-07-10 | Arris Enterprises Llc | Auto-configuration of wireless network extender |
| EP3311510A4 (en) * | 2015-06-18 | 2018-11-07 | Andium Inc. | Identity verification of wireless beacons based on a chain-of-trust |
| US10291477B1 (en) * | 2016-06-06 | 2019-05-14 | Amazon Technologies, Inc. | Internet of things (IoT) device registration |
| US11190942B2 (en) * | 2016-12-30 | 2021-11-30 | British Telecommunications Public Limited Company | Automatic pairing of devices to wireless networks |
| DE102017214359A1 (de) | 2017-08-17 | 2019-02-21 | Siemens Aktiengesellschaft | Verfahren zum sicheren Ersetzen eines bereits in ein Gerät eingebrachten ersten Herstellerzertifikats |
-
2020
- 2020-06-04 DE DE102020207033.4A patent/DE102020207033B4/de active Active
-
2021
- 2021-05-25 WO PCT/EP2021/063792 patent/WO2021244890A1/de unknown
- 2021-05-25 CN CN202180040167.9A patent/CN115769203A/zh active Pending
- 2021-05-25 US US18/007,591 patent/US20230198976A1/en active Pending
- 2021-05-25 EP EP21729436.2A patent/EP4162378A1/de active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20230198976A1 (en) | 2023-06-22 |
| WO2021244890A1 (de) | 2021-12-09 |
| DE102020207033B4 (de) | 2022-03-24 |
| EP4162378A1 (de) | 2023-04-12 |
| DE102020207033A1 (de) | 2021-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10791506B2 (en) | Adaptive ownership and cloud-based configuration and control of network devices | |
| US11129021B2 (en) | Network access control | |
| KR102137276B1 (ko) | 자동 장치 탐지, 장치 관리 및 원격 지원을 위한 시스템들 및 방법들 | |
| US9154378B2 (en) | Architecture for virtualized home IP service delivery | |
| US9253031B2 (en) | System, method and computer program product for identifying, configuring and accessing a device on a network | |
| EP2154825B1 (en) | Systems and methods for provisioning network devices | |
| US7542572B2 (en) | Method for securely and automatically configuring access points | |
| US9204345B1 (en) | Socially-aware cloud control of network devices | |
| US20120008529A1 (en) | Configuring a secure network | |
| US20180198786A1 (en) | Associating layer 2 and layer 3 sessions for access control | |
| TW201739284A (zh) | 網路級智慧型居家保全系統及方法 | |
| WO2010061296A1 (en) | Method and system for operating a wireless access point for providing access to a network | |
| GB2507256A (en) | Configuring an IP phone via a provisioning server | |
| US11297049B2 (en) | Linking a terminal into an interconnectable computer infrastructure | |
| CN112313984B (zh) | 建立接入授权的方法、辅助系统、用户设备以及存储器 | |
| JP2005236394A (ja) | ネットワークシステム及びネットワーク制御方法 | |
| Nguyen et al. | An SDN‐based connectivity control system for Wi‐Fi devices | |
| JP4775154B2 (ja) | 通信システム、端末装置、プログラム、及び、通信方法 | |
| WO2019121043A1 (en) | Device authentication | |
| CN115769203A (zh) | 用于将设备并入到局域网中的装置和方法 | |
| EP3206423A1 (en) | Device and method for connecting devices to a network | |
| KR101471880B1 (ko) | 클라이언트 인증 시스템 | |
| GB2569804A (en) | Device authentication | |
| WO2008039481A1 (en) | System, method and computer program product for identifying, configuring and accessing a device on a network | |
| IL308275A (en) | A communication method for IoT nodes or IoT devices on a local network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |