RU2575689C1 - Безопасный способ удаленного предоставления прав на функционирование - Google Patents
Безопасный способ удаленного предоставления прав на функционирование Download PDFInfo
- Publication number
- RU2575689C1 RU2575689C1 RU2014141363/08A RU2014141363A RU2575689C1 RU 2575689 C1 RU2575689 C1 RU 2575689C1 RU 2014141363/08 A RU2014141363/08 A RU 2014141363/08A RU 2014141363 A RU2014141363 A RU 2014141363A RU 2575689 C1 RU2575689 C1 RU 2575689C1
- Authority
- RU
- Russia
- Prior art keywords
- trusted
- key
- blocking
- message
- key device
- Prior art date
Links
- 230000000903 blocking Effects 0.000 claims description 143
- 238000004590 computer program Methods 0.000 claims description 15
- 239000000126 substance Substances 0.000 abstract 1
- 230000000875 corresponding Effects 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 6
- 230000015572 biosynthetic process Effects 0.000 description 2
- 238000005755 formation reaction Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- XCCTYIAWTASOJW-XVFCMESISA-N Uridine-5'-Diphosphate Chemical compound O[C@@H]1[C@H](O)[C@@H](COP(O)(=O)OP(O)(O)=O)O[C@H]1N1C(=O)NC(=O)C=C1 XCCTYIAWTASOJW-XVFCMESISA-N 0.000 description 1
- 230000002457 bidirectional Effects 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000001419 dependent Effects 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 235000010384 tocopherol Nutrition 0.000 description 1
- 235000019731 tricalcium phosphate Nutrition 0.000 description 1
Images
Abstract
Изобретение относится к удаленному предоставлению прав на управление исполнительными устройствами. Технический результат - защищенное предоставление прав во время удаленного управления исполнительными устройствами. Способ установления новых доверенных взаимосвязей между ключевыми устройствами и/или блокирующими устройствами, используемыми в виртуальной частной сети в системе дистанционного управления исполнительными устройствами жилища, в котором: доверенное ключевое устройство передает сообщение, зашифрованное секретным ключом шифрования доверенного ключевого устройства, в по меньшей мере одно блокирующее устройство, причем сообщение содержит сертификат доверенного ключевого устройства и сертификат по меньшей мере одного другого устройства, с которым принимающее блокирующее устройство должно установить доверенную взаимосвязь, и определения операций, выполняемых при установлении доверенной взаимосвязи; блокирующее устройство открывает и подтверждает с использованием известного открытого ключа шифрования доверенного ключевого устройства подлинность отправителя сообщения, принятого указанным блокирующим устройством; блокирующее устройство сохраняет сертификаты устройств, относящихся к сообщению, переданному идентифицированным устройством, в своей памяти; блокирующее устройство устанавливает доверенную взаимосвязь с по меньшей мере одним другим устройством, указанным в сообщении. 3 н. и 6 з.п. ф-лы, 4 ил.
Description
Область техники
Настоящее изобретение относится к операции защищенного предоставления права функционирования для использования в способе дистанционного управления и в системе дистанционного управления исполнительными устройствами в жилище.
Уровень техники
Дистанционно управляемые устройства и системы все чаще устанавливаются в жилых помещениях и домах. Целью установки таких систем является обеспечение безопасности в жилищах и/или поддержание удобных и безопасных условий для жизни.
В продаже имеются система дистанционного управления для технических устройств в жилище и способ дистанционного управления, использующий данную систему дистанционного управления, в которых для дистанционного использования внутридомовых служб и видеонаблюдения используется уже имеющееся в жилищах и домах соединение с Интернетом в неизменном виде. В указанной системе дистанционного управления применяются парные дистанционно управляемые устройства. Пользователь носит с собой портативное ключевое устройство, а в жилище устанавливается блокирующее устройство, посредством которого оконечное подключение жилища модифицируется таким образом, что в исходном виде становится пригодным для дистанционного использования. Уже имеющие функции сетевого соединения для передачи данных в конечной точке подключения и интранет в конечной точке подключения при этом не затрагиваются.
В указанной системе дистанционного управления блокирующее устройство, стационарно установленное в жилище, и ключевое устройство, носимое лицом, осуществляющим контроль за жилищем, выполнены с возможностью устанавливать через Интернет защищенную двунаправленную виртуальную частную сеть (VPN) на основании контактной информации, получаемой из сетевого сервера дистанционного управления, входящего в состав указанной системы дистанционного управления. Установленное в жилище блокирующее устройство, к которому подключены устройства, подлежащие дистанционному управлению или дистанционному наблюдению в жилище, соединено с установленным в жилище интерфейсным устройством сети передачи данных/ сетевым терминалом, например, с модемом.
Парные устройства дистанционного управления в указанной системе образуют заранее определенную уникальную пару устройств или группу устройств, которые находят друг друга в сети. Благодаря указанному способу идентификации, ключевое устройство, носимое пользователем, или компьютерная программа, установленная на некотором устройстве обработки данных и осуществляющая функции ключевого устройства, устанавливает сетевое соединение только со своим собственным уникальным блокирующим устройством, при этом соответствующее соединение не может установлено с каким-либо другим сетевым устройством. Таким образом, ключевое устройство служит надежным ключом защиты «сетевых ворот» жилища.
Пара сетевых устройств дистанционного управления, используемая в указанной системе дистанционного управления, может создаваться либо при изготовлении указанных устройств, либо позднее при вводе в эксплуатацию. В обоих случаях пара устройств создается путем соединения блокирующего устройства и ключевого устройства между собой, например, через порт USB ключевого устройства, при этом одно из устройств или оба устройства принимают идентификационный код, сертификат устройства своего парного устройства.
Текущие IP-адреса блокирующего устройства и ключевого устройства сохраняются в сетевом сервере дистанционного управления, входящем в состав указанной системы, и используются для установления соединения между названными устройствами. Благодаря используемым способам установления соединения оба названных устройства могут быть подключены к некоторой частной, необщедоступной сети, и в то же время сохраняют возможность устанавливать между собой защищенное соединение для передачи данных через Интернет. Для установления соединения для передачи данных через Интернет между мобильным ключевым устройством и стационарным блокирующим устройством достаточно, чтобы названные устройства, несмотря на наличие у них лишь необщедоступных IP-адресов, также получили из некоторой точки установленного соединения общедоступный IP-адрес. Сетевой сервер дистанционного управления после передачи IP-адресов устройств для их использования устройствами не участвует в установлении соединения для передачи данных.
В названной системе дистанционного управления для объединения блокирующего устройства и ключевого устройства в пару требуется физическое соединение указанных устройств между собой. В указанной системе имеется возможность добавлять новые ключевые устройства параллельно или подчиненно уже используемым устройствам. Это может быть осуществлено так же, как осуществлялось формирование первой пары ключевого устройства и блокирующего устройства: путем подключения нового ключевого устройства к порту USB блокирующего устройства. При этом на практике может потребоваться поездка на несколько сотен километров от того, кто осуществляет подключение нового ключа к системе дистанционного управления.
Одно ключевое устройство может управлять несколькими отдельными дистанционно управляемыми объектами через несколько отдельных блокирующих устройств. Изменение взаимных управляющих связей между этими блокирующими устройствами невозможно. Определенное блокирующее устройство нельзя назначить ведущим устройством для другого блокирующего устройства, которое служило бы ведомым блокирующим устройством для блокирующего устройства, служащего ведущим устройством.
Раскрытие изобретения
Целью настоящего изобретения является предложение новой операции предоставления прав функционирования или новому ключевому устройству, или блокирующему устройству, используемой в системе дистанционного управления жилищем и имеющей возможность выполнения посредством дистанционного доступа к блокирующему устройству (устройствам).
Цели настоящего изобретения достигаются использованием операции, в которой сертификат ключевого устройства, подписанный действительным секретным ключом PKI (Public Key Infrastructure, инфраструктура открытых ключей) ключевого устройства, передается из используемого устройства обработки данных через сеть передачи данных в блокирующее устройство (устройства), после чего и ключ PKI, и сертификат нового ключевого устройства, принятые в блокирующем устройстве (устройствах), идентифицируются, а затем в блокирующем устройстве выполняется добавление или изменение права функционирования, определенного для нового идентифицированного ключевого устройства. Если одно ключевое устройство управляет несколькими отдельными блокирующими устройствами, то общая взаимосвязь между блокирующими устройствами может быть соответствующим образом изменена путем передачи им сообщений об изменении, подписанных секретным ключом PKI.
Преимущество способа и системы в соответствии с настоящим изобретением состоит в том, что предоставление прав функционирования новому ключевому устройству может осуществляться без необходимости физического соединения нового ключевого устройства с целевым блокирующим устройством.
Кроме того, преимущество настоящего изобретения состоит в том, что общие управляющие взаимосвязи нескольких блокирующих устройств, подчиненных ключевому устройству, могут быть изменены посредством дистанционного доступа.
Кроме того, преимущество настоящего изобретения состоит в том, что с использованием дистанционного доступа посредством ключевого устройства между двумя или более блокирующими устройствами может быть установлена виртуальная частная сеть, при этом одно блокирующее устройство используется как устройство для соединения с Интернетом.
Способ в соответствии с настоящим изобретением отличается тем, что
- доверенное ключевое устройство передает сообщение, зашифрованное секретным ключом шифрования доверенного ключевого устройства, в по меньшей мере одно блокирующее устройство, причем сообщение содержит сертификат доверенного ключевого устройства и сертификат по меньшей мере одного другого устройства, с которым принимающее блокирующее устройство должно установить доверенную взаимосвязь, и определения операций, выполняемых при установлении доверенной взаимосвязи;
- блокирующее устройство открывает и подтверждает с использованием известного открытого ключа шифрования доверенного ключевого устройства подлинность отправителя сообщения, принятого указанным блокирующим устройством;
- блокирующее устройство сохраняет сертификаты устройств, соотносящихся к сообщению, переданному идентифицированным устройством, в своей памяти;
- блокирующее устройство устанавливает доверенную взаимосвязь с по меньшей мере одним другим устройством, указанным в сообщении.
Процессор, память и сохраненный в ней компьютерный программный код в соответствии с настоящим изобретением характеризуются тем, что ключевое устройство выполнено с возможностью
- передачи из доверенного ключевого устройства сообщения, зашифрованного секретным ключом шифрования доверенного ключевого устройства, в по меньшей мере одно блокирующее устройство, причем сообщение содержит сертификат доверенного ключевого устройства и сертификат по меньшей мере одного другого устройства, с которым принимающее блокирующее устройство должно установить доверенную взаимосвязь, и определения операций, выполняемых при установлении доверенной взаимосвязи;
- приема и сохранения в своей памяти подтверждающего сообщения об установлении доверенной взаимосвязи из по меньшей мере одного блокирующего устройства.
Компьютерная программа в соответствии с настоящим изобретением, предназначенная для осуществления функций ключевого устройства в системе дистанционного управления исполнительными устройствами в жилище, характеризуется тем, что содержит
- кодовые средства для передачи из ключевого устройства сообщения, зашифрованного секретным ключом шифрования доверенного ключевого устройства, в по меньшей мере одно блокирующее устройство, причем сообщение содержит сертификат доверенного ключевого устройства и сертификат по меньшей мере одного другого ключевого устройства или еще одного блокирующего устройства, с которым принимающее блокирующее устройство должно установить доверенную взаимосвязь, и определения операций, выполняемых при установлении доверенной взаимосвязи, и
- кодовые средства для приема подтверждающего сообщения об установлении доверенной взаимосвязи блокирующего устройства из по меньшей мере одного блокирующего устройства и для сохранения сертификата блокирующего устройства, передавшего сообщение, по меньшей мере в памяти доверенного ключевого устройства.
Некоторые предпочтительные варианты осуществления настоящего изобретения раскрыты в зависимых пунктах формулы изобретения.
Основная идея настоящего изобретения состоит в следующем: для осуществления дистанционного управления в некотором жилище существует пара устройств, блокирующее устройство и ключевое устройство, и в указанной паре устройств имеется по меньшей мере одно блокирующее устройство и по меньшей мере одно ключевое устройство, которые могут образовывать соединение для передачи данных на основе виртуальной частной сети только между собой.
Блокирующее устройство в жилище, подлежащем дистанционному управлению, подключается к существующей сети интранет или сети Интернет в жилище, подлежащем управлению. Оно создает одну подсеть, сеть интранет управления, в интранете или Интернете, и с этой сетью интранет управления через проводное или беспроводное соединение для передачи данных соединяются разнообразные исполнительные устройства, используемые в контроле и управлении жилищем.
В одном предпочтительном варианте осуществления настоящего изобретения одно ключевое устройство или несколько ключевых устройств могут функционировать как пара устройств из двух или более блокирующих устройств в разных жилищах. Собственный идентификационный код, сертификат, секретный и открытый ключи PKI блокирующего устройства и ключевого устройства сохраняются в указанных устройствах при их изготовлении. Используя сертификаты, блокирующее устройство и ключевое устройство могут устанавливать двунаправленное защищенное соединение для передачи данных между собой.
При запуске оба устройства определяют необходимую для установления соединения информацию о маршруте (информацию маршрутизации) от своего местоположения в сети до сетевого терминала, соединенного с Интернетом. Эта информация о маршруте сохраняется в сетевом сервере дистанционного управления, соединенном с Интернетом.
В операции создания доверенной взаимосвязи в соответствии с настоящим изобретением ключевое устройство может быть соединено с некоторым устройством передачи данных, выполненным с возможностью установления соединения для передачи данных с Интернетом. Возможными устройствами передачи данных могут быть, например, персональный компьютер, планшетный компьютер или смартфон.
В одном предпочтительном варианте осуществления настоящего изобретения компьютерная программа, осуществляющая функции ключевого устройства, сохраняется в портативном устройстве хранения данных, например, в малогабаритном USB-накопителе, из которого компьютерная программа, подлежащая использованию при дистанционном управлении, может, при необходимости, быть установлена на подходящее устройство обработки данных. Таким образом, компьютерная программа, установленная на устройство обработки данных, выполняет необходимые функции ключевого устройства.
В предпочтительном варианте осуществления ключевое устройство USB соединено с устройством передачи данных, соединенным с локальной сетью. При этом ключевое устройство USB сначала определяет собственный маршрут через различные подсети к сетевому серверу дистанционного управления. Когда маршрут определен, текущая информация о маршруте ключевого устройства USB сохраняется в сетевом сервере дистанционного управления в соответствии с настоящим изобретением.
Когда новое ключевое устройство должно быть соединено с существующей системой дистанционного управления, как уже используемое ключевое устройство USB, так и новое, добавляемое, ключевое устройство USB, соединяют с используемым устройством передачи данных. В данной ситуации блокирующие устройства, которыми управляет используемое ключевое устройство USB, отображаются на экране используемого устройства обработки данных. Из указанного списка пользователь выбирает блокирующие устройства, ключом которых будет служить новое ключевое устройство USB, подключаемое к системе. После того как выбор сделан, в выбранные блокирующие устройства передается сообщение запроса установления доверенной взаимосвязи, подтвержденное сертификатом уже используемого ключевого устройства USB и зашифрованное секретным ключом PKI доверенного ключевого устройства USB. Каждое блокирующее устройство открывает принятое сообщение с использованием открытого ключа PKI доверенного ключевого устройства USB. Затем каждое блокирующее устройство проверяет, что принятый сертификат соответствует сертификату ключевого устройства USB, парного блокирующему устройству, и который поэтому известен. В случае успешной идентификации сертификат нового ключевого устройства USB, полученный вместе с сертификатом доверенного ключевого устройства USB, и его открытый ключ PKI сохраняются в соответствующем блокирующем устройстве. Сообщение об успешной идентификации и установлении доверенной взаимосвязи передается в ключевое устройство USB, передавшее сообщение, а указанное ключевое устройство сохраняет на основании принятого сообщения сертификат известного блокирующего устройства в памяти нового ключевого устройства USB. После этого соответствующим блокирующим устройством можно управлять с помощью обоих ключевых устройств USB. Когда запрошенные новые права функционирования (доверенные взаимосвязи с блокирующими устройствами) для нового ключевого устройства USB были успешно предоставлены, оно может быть отключено от устройства обработки данных и отправлено, например, почтой, лицу, имеющему право использовать указанное новое ключевое устройство.
Краткое описание чертежей
Далее настоящее изобретение описывается подробно. В нижеследующем описании делаются ссылки на сопровождающие чертежи, где
фиг. 1 представляет пример системы дистанционного управления, в которой может быть установлено двунаправленное соединение для передачи данных между клиентским устройством, осуществляющим дистанционное управление, и индивидуальным устройством контроля или управления жилищем;
фиг. 2 представляет пример схемы предоставления прав функционирования новому ключевому устройству;
фиг. 3 представляет пример схемы установления виртуальной частной сети между двумя блокирующими устройствами; и
фиг. 4 посредством примера иллюстрирует ключевое устройство USB в соответствии с настоящим изобретением.
Осуществление изобретения
Варианты осуществления в дальнейшем раскрытии даны лишь в качестве примеров, и специалист в данной области может осуществить основную идею настоящего изобретения и способом, отличным от приведенного в настоящем раскрытии. Хотя в некоторых местах раскрытие может ссылаться на определенный вариант или варианты осуществления изобретения, это не означает, что указанная ссылка может быть применима только к описанному варианту осуществления или что описываемое свойство может быть использовано только в одном описанном варианте осуществления. Отдельные свойства двух или более вариантов осуществления изобретения могут быть объединены, тем самым могут быть предложены новые варианты осуществления настоящего изобретения.
Фиг. 1 представляет предпочтительный вариант 1 осуществления системы дистанционного управления. В примере на фиг. 1 с использованием одного ключевого устройства 34 USB устанавливается соединение для передачи данных, использующее устройство 32 обработки данных, с одним блокирующим устройством 61, расположенным где-либо в жилище. Однако ключевое устройство 32 USB может предпочтительно функционировать и с отдельными блокирующими устройствами, расположенными в двух или более жилищах (не показаны на фиг. 1).
На фиг. 1 Интернет обозначен номером 2. С Интернетом 2 соединена определенная общедоступная сеть или интранет, номер 3. Сеть 3 может быть стационарной или беспроводной сетью передачи данных. На фиг. 1 клиентское устройство 32, осуществляющее дистанционное управление, подключается к сети 3. Для осуществления соединения для дистанционного управления ключевое устройство 34 USB соединено с портом 33 USB клиентского устройства.
Внутридомовой интранет жилища, подлежащего дистанционному управлению, на фиг. 1 обозначен номером 5. С сетью 5 домового интранета жилища в качестве примера соединены устройства 55 и 56 обработки данных, выбранные в качестве примера. Кроме того, с сетью 5 домового интранета соединена другая сеть 6 передачи данных, интранет управления домом. Исполнительные устройства 62-65, подлежащие дистанционному управлению в жилище, соединены с интранетом 6 управления домом посредством либо беспроводного соединения для передачи данных, либо проводного соединения.
Ключевому устройству 34 USB и блокирующему устройству 61, чтобы иметь возможность установить между собой сквозное соединение для передачи данных на основе канального уровня или сетевого уровня, например, на фиг. 1, соединение 41 VPN для передачи данных, необходима информация о маршруте друг к другу через Интернет 2. Определенная таким образом информация о маршруте реального времени сохраняется как ключевым устройством 34 USB, так и блокирующим устройством 61 в сетевом сервере 21 дистанционного управления в Интернете через соединение 42.
Чтобы установление соединения для передачи данных стало возможным, и ключевое устройство 34 USB, и блокирующее устройство 61 должны определить свой фактический сетевой маршрут из своей сети по меньшей мере в Интернет 2. Это определение сетевого маршрута может быть сделано несколькими известными способами, при этом, предпочтительно, эти способы могут использовать ключевое устройство 34 USB и блокирующее устройство 61.
В примере на фиг. 1 межсетевые экраны NAT 31 (FW2) и 51 (FW1), отделяющие локальные сети от Интернета, предпочтительно, не ограничивают исходящий трафик UDP (User Datagram Protocol, протокол передачи пользовательских данных). Таким образом, в примере на фиг. 1 на канальном уровне может быть установлено соединение уровня Ethernet между ключевым устройством 34 дистанционного управления и блокирующим устройством 61, если указанным устройствам известны IP-адреса друг друга.
В случаях, когда межсетевой экран 31 и/или 51 ограничивает исходящий трафик по меньшей мере в некоторых операциях соединения, указанные межсетевые экраны можно обойти с использованием других подходящих протоколов трафика, и посредством указанных протоколов между ключевым устройством 34 USB и блокирующим устройством 61 может быть установлено соединение для передачи данных.
Когда в системе 1 дистанционного управления в соответствии с фиг. 1 возникает необходимость установления виртуальной частной сети (VPN) 41 между устройством 32 обработки данных, соединенным с ключевым устройством 34 USB, и блокирующим устройством 61, то на первом шаге оба устройства 34 и 61 загружают из сетевого сервера 21 дистанционного управления информацию о маршруте, сохраненную в нем соответствующим парным устройством, через соединение 42 для передачи данных. Прежде чем предоставить информацию о маршруте, сетевой сервер 21 дистанционного управления проверяет, что запрос в самом деле поступил из допустимой пары ключевое устройство USB - блокирующее устройство. Затем с использованием загруженной информации о маршруте ключевое устройство 34 USB и блокирующее устройство 61 устанавливают прямое соединение 41 VPN между собой. Когда соединение 41 VPN установлено, устройство 32 обработки данных в сети 3 передачи данных может установить соединение с одним или более устройствами 62, 63, 64 или 65 в сети 6 управления домом.
Фиг. 2 представляет пример схемы использования существующего ключевого устройства USB при предоставлении прав функционирования, так называемой доверенной взаимосвязи, новому параллельному ключевому устройству USB. Далее эти ключевые устройства обозначаются как ключевое устройство 1 USB и ключевое устройство 2 USB. Ключевое устройство 1 USB также может обозначаться номером 34 на фиг. 1. В указанном способе установления доверенной взаимосвязи используются сообщения, зашифрованные секретным ключом PKI (способ криптографии с использованием открытых ключей). Устройства передают друг другу сообщения, зашифрованные собственным секретным ключом PKI, и указанные сообщения могут быть открыты принимающим устройством с использованием известного открытого ключа PKI передающего устройства. Отправитель сообщения подтверждается с использованием известного принимающему устройству сертификата отправителя, соотносящегося к принятому сообщению. Указанные сертификат, секретный ключ шифрования и открытый ключ шифрования вместе образуют информацию, необходимую при использовании способа PKI.
Шаг 200 описывает ситуацию, в которой система дистанционного управления исправна и используется. Таким образом, с системой 1 дистанционного управления 1 соединено по меньшей мере одно блокирующее устройство 61. В этом состоянии блокирующее устройство 61 постоянно готово принимать сообщения как из своего ключевого устройства 34 USB (ключевого устройства 1 USB), так и из сетевого сервера 21 дистанционного управления, показанного на фиг. 1.
На шаге 210 начинается установление доверенной взаимосвязи нового ключевого устройства 2 USB с блокирующим устройством 61 параллельно существующему ключевому устройству 1 (поз. 34 на фиг. 1). Оба ключевых устройства 1 и 2 USB относятся к типу, допускающему соединение с портами USB используемого устройства 32 передачи данных. Операция установления доверенной взаимосвязи начинается, когда одновременно как ключевое устройство 1 USB, так и ключевое устройство 2 USB, для которых требуются права функционирования с по меньшей мере одним блокирующим устройством, соединяются с двумя портами USB устройства 32 обработки данных. Затем с использованием устройства 32 обработки данных запускается программное обеспечение, используемое при дистанционном управлении. Программное обеспечение может быть заранее установлено в устройстве 32 обработки данных, либо устройство обработки данных запускает выполнение указанной программы на ключевом устройстве 34 USB (ключевом устройстве 1 USB).
На данном шаге все блокирующее устройства, с которыми ключевое устройство 1 USB образовало пару (то есть с которыми имеется доверенная взаимосвязь), отображаются на экране устройства 32 обработки данных. Из указанного списка выбирается блокирующее устройство или блокирующие устройства, с которыми новое ключевое устройство 2 USB должно образовать пару. Создается индивидуальное сообщение о выборе для каждого блокирующего устройства, участвующего в формировании пары, содержащее сертификат и открытый ключ PKI нового ключевого устройства 2 USB. Сообщение, подлежащее передаче, подписывается секретным ключом PKI ключевого устройства 1 USB. Созданное сообщение может быть, например, таким:
Куда: блокирующее устройство 61
Откуда: ключ 1
Сообщение: разрешить соединение из ключа 2
Разрешение на формирование пары: нет
Режим установления: блокирующее устройство
Сертификат: <сертификат ключа 2>
Подпись: <подпись ключа 1>.
На шаге 220 программное обеспечение дистанционного управления, работающее в устройстве 32 обработки данных, передает в блокирующее устройство 61 сообщение, созданное на шаге 210, подпись которого зашифрована секретным ключом шифрования ключевого устройства 1 USB.
На шаге 230 блокирующее устройство 61 сначала принимает сообщение из ключевого устройства 1 USB. Затем с использованием известного открытого ключа PKI ключевого устройства 1 USB оно открывает сообщение и подпись соответствующего ключевого устройства 1. Далее блокирующее устройство 61 считывает также сертификат другого ключевого устройства 2 USB, содержащийся в указанном сообщении.
На шаге 240 блокирующее устройство 61 сравнивает сертификат, относящийся к принятой подписи ключевого устройства 1 USB, с сертификатом ключевого устройства 1 USB, сохраненным в его собственной памяти. Если совпадения при сравнении нет, то операция завершается на шаге 28.
Если результат сравнения на шаге 240 показывает, что сообщение было передано ключевым устройством 1 USB, то операция продолжается на шаге 250.
На шаге 250 блокирующее устройство 61 устанавливает запрошенную доверенную взаимосвязь с новым ключевым устройством 2 USB и, таким образом, сохраняет сертификат ключевого устройства 2 USB в своей памяти. Затем блокирующее устройство 61 передает подтверждение образованной доверенной взаимосвязи в ключевое устройство 1 USB.
На шаге 260 ключевое устройство 1 USB сначала принимает сообщение об установлении доверенной взаимосвязи, переданное из блокирующего устройства 61, а затем сохраняет сертификат известного блокирующего устройства 61 в памяти ключевого устройства 2 USB.
После этого ключевое устройство 2 USB может использоваться в качестве ключевого устройства блокирующего устройства 61, шаг 270.
Фиг. 3 представляет пример схемы использования существующего ключевого устройства USB при установлении доверенной взаимосвязи между двумя отдельными блокирующими устройствами, каждое из которых имеет существующую доверенную взаимосвязь с одним и тем же ключевым устройством USB. Далее ключевые устройства обозначаются как ключевое устройство USB, а блокирующие устройства - как блокирующее устройство 1 и блокирующее устройство 2. Ключевое устройство USB также может обозначаться номером 34 на фиг. 1. Способ установления доверенной взаимосвязи основан на использовании секретных и открытых ключей PKI (способ с открытым криптографическим ключом). Как ключевое устройство, так и блокирующие устройства 1 и 2 передают друг другу сообщения, подписанные своим секретным ключом PKI, причем принимающее устройство может открыть сообщение с использованием соответствующего известного открытого ключа PKI передающего устройства. Принимающее устройство с использованием соотносящегося к сообщению сертификата передающего устройства проверяет, что указанное сообщение действительно передано из подписавшего доверенного устройства.
Шаг 300 описывает ситуацию, в которой система дистанционного управления исправна и используется. Таким образом, с системой 1 дистанционного управления соединены по меньшей мере блокирующие устройства 1 и 2. В этом состоянии блокирующие устройства 1 и 2 постоянно готовы принимать сообщения как из своего ключевого устройства 34 USB (ключевого устройства USB), так и из сетевого сервера 21 дистанционного управления, показанного на фиг. 1.
На шаге 310 начинается установление доверенной взаимосвязи между блокирующими устройствами 1 и 2. Операция установления доверенной взаимосвязи начинается, когда ключевое устройство USB, с использованием которого требуется установить доверенную взаимосвязь между блокирующими устройствами 1 и 2, соединяется с портом USB устройства 32 обработки данных. Затем с использованием устройства 32 обработки данных запускается программное обеспечение, используемое при дистанционном управлении блокирующими устройствами. Программное обеспечение может быть заранее установлено на устройстве 32 обработки данных, либо устройство обработки данных запускает выполнение указанной программы на ключевом устройстве USB.
На данном шаге все блокирующее устройства, с которыми соответствующее ключевое устройство USB образовало пару (то есть с которыми имеется доверенная взаимосвязь), отображаются на экране устройства 32 обработки данных. В примере на фиг. 3 из указанного списка выбраны блокирующее устройство 1 и блокирующее устройство 2, между которыми требуется установить доверенную взаимосвязь. Одновременно определяется характер доверенной взаимосвязи, то есть способ, посредством которого указанные блокирующие устройства будут позже устанавливать сети между собой. В примере на фиг. 3 целью установления доверенной взаимосвязи является установление соединения VPN для передачи данных между блокирующими устройствами 1 и 2. После выбора блокирующих устройств создается индивидуальное сообщение для обоих блокирующих устройств, содержащее характер устанавливаемой доверенной взаимосвязи. Сообщения, подлежащее передаче, подписываются секретным ключом PKI ключевого устройства USB, а сертификат передающего ключевого устройства USB включается в сообщение.
На шаге 320 с использованием программного обеспечения дистанционного управления, работающего в устройстве 32 обработки данных, создаются необходимые для установления доверенной взаимосвязи сообщения в блокирующие устройства 1 и 2.
Сообщение для блокирующего устройства 1, которое далее будет служить сервером, может формироваться, предпочтительно, следующим образом:
Куда: блокирующее устройство 1
Откуда: ключ
Команда: разрешить соедиение из блокирующего устройства 2
Разрешение на формирование пары: нет
Режим установления: блокирующее устройство
Сертификат: <сертификат блокирующего устройства 2>
Подпись: <подпись ключа>.
Сообщение для блокирующего устройства 2, служащего клиентским устройством (ведомым устройством) блокирующего устройства 1, которое далее будет служить сервером, может формироваться, предпочтительно, следующим образом:
Куда: блокирующее устройство 2
Откуда: ключ
Команда: разрешить соединение из блокирующего устройства 1
Разрешение на формирование пары: нет
Режим установления: подчиненное блокирующее устройство
Сертификат: <сертификат блокирующего устройства 1>
Подпись: <подпись ключа>.
В конце шага 320 программное обеспечение дистанционного управления, работающее в устройстве 32 обработки данных, передает в блокирующие устройства 1 и 2 сообщения, созданные для установления доверенной взаимосвязи, зашифрованные секретным ключом PKI ключевого устройства USB. При передаче сообщений используется, предпочтительно, так называемая служба поиска пары (Matchmaking).
На шаге 330 блокирующие устройства 1 и 2 сначала принимают сообщение об установлении доверенной взаимосвязи, переданное ключевым устройством USB в соответствующее блокирующее устройство. Затем они открывают указанное сообщение с использованием известного открытого ключа PKI ключевого устройства USB. Блокирующие устройства проверяют, что подпись передающего ключевого устройства USB соответствует подписи ключевого устройства USB в их памяти. Затем блокирующие устройства также считывают сертификат другого блокирующего устройства, содержащийся в сообщении.
На шаге 340 блокирующие устройства 1 и 2 сравнивают принятый сертификат ключевого устройства USB, соотносящийся к подписи ключевого устройства USB, с сертификатом ключевого устройства USB, сохраненным в собственной памяти. Если совпадения при сравнении нет, то операция завершается на шаге 280.
Если результат сравнения на шаге 340 показывает, что сообщение было передано ключевым устройством USB, то операция продолжается на шаге 350 в обоих блокирующих устройствах 1 и 2.
На шаге 350 блокирующие устройства 1 и 2 устанавливают между собой требуемую доверенную взаимосвязь и, соответственно, сохраняют сертификат другого устройства в своей памяти. Затем блокирующие устройства передают подтверждение образования доверенной взаимосвязи и в ключевое устройство USB.
На шаге 360 блокирующее устройство 1 и блокирующее устройство 2 с использованием известных сертификатов соответствующего парного устройства образуют между собой сеть VPN, в которой блокирующее устройство 1 служит серверным устройством (ведущим устройством). Операция установления частной сети VPN между двумя блокирующими устройствами аналогична операции, описанной со ссылкой на фиг. 1, где частная сеть VPN устанавливается между одним ключевым устройством USB и одним блокирующим устройством.
После этого все сообщения из ключевого устройства USB всегда передаются в блокирующее устройство 2 через блокирующее устройство 1, шаг 370.
Все шаги операций, показанных на фиг. 2 и 3, могут быть осуществлены командами компьютерной программы, выполняемой пригодным для этой цели процессором общего назначения или специального назначения. Указанные компьютерные команды могут быть сохранены на машиночитаемом носителе информации, например, в дисковом хранилище данных или в памяти, откуда процессор может считывать указанные команды компьютерной программы и исполнять их. Таким машиночитаемым носителем информации могут, например, быть и специализированные компоненты, например, программируемые запоминающие устройства на флэш-памяти с интерфейсом USB, перепрограммируемые логические матрицы (Field-programmable logic array, FPLA), специализированные интегральные схемы (application-specific integrated circuit, ASIC) и (цифровые) сигнальные процессоры (digital signal processor, DSP).
Фиг. 4 представляет основные функциональные элементы ключевого устройства 34 USB. Ключевое устройство 34 USB может содержать один или несколько криптопроцессоров 342. Процессор или процессорное устройство может содержать арифметико-логическое устройство, группу регистров разного назначения и схемы управления. Криптопроцессор 342, предпочтительно, содержит внутренний модуль памяти, в котором сохраняется индивидуальный секретный ключ 3421 шифрования.
С процессорным устройством соединяется система 342 хранения данных, например модуль флэш-памяти или запоминающее устройство, в котором может храниться машиночитаемая информация, программы или информация пользователя. Запоминающее устройство 342, как правило, содержит модули памяти, допускающие как считывание, так и запись информации (оперативное запоминающее устройство, RAM), и модули памяти, содержащие энергонезависимую память, из которой возможно только считывание данных (постоянное запоминающее устройство, ROM). Сертификат ключевого устройства 34 USB, секретный и открытый ключи PKI, текущая информация о сетевом маршруте ключевого устройства USB, информация идентификации блокирующих устройств, являющихся парными ему устройствами, сертификаты, открытые ключи PKI парных устройств и все программы, необходимые для функционирования ключевого устройства 34 USB при установлении соединения VPN, хранятся, предпочтительно, в запоминающем устройстве 342.
Некоторыми примерами программ, сохраняемых в памяти ключевого устройства 34 дистанционного управления, являются операционная система (к примеру, Linux), программы TCP/IP, программа VPN (к примеру OpenVPN), клиентская/серверная программа DHCP (к примеру, ISC DHCP), программа базы данных (к примеру, SQLite), программа управления сертификатами и их подтверждения (к примеру, GPG) и библиотека пользовательского интерфейса (к примеру, LuCl).
Ключевое устройство 34 USB также содержит интерфейсные элементы, которые включают ввод/вывод или средство 343 ввода/вывода для приема или передачи информации. Информация, принятая средством ввода, передается для обработки в процессорное устройство 342 ключевого устройства 34 дистанционного управления. Интерфейсные элементы 343 ключевого устройства 34 USB используются, предпочтительно, для передачи информации из памяти 342 ключевого устройства 34 USB во внешнее устройство 32 обработки данных или в блокирующее устройство 61 (в примере на фиг. 1). Соответственно, информация или команды могут быть приняты через интерфейсные элементы, например, из устройства 32 обработки данных, с которым соединено ключевое устройство 34 USB.
Что касается уровней прав функционирования, то существуют по меньшей мере два уровня описанных выше ключевых устройств 34 USB, например, ключевые устройства уровня администратора и уровня обычного пользователя. Пользователь/владелец с более высоким уровнем права функционирования (к примеру, администратор) имеет право управления всеми объектами пользователей (например, обычных пользователей) ключевых устройств 14 дистанционного управление на нижележащем уровне (например, обычных пользователей). С другой стороны, владелец ключевого устройства с более низким уровнем прав функционирования не имеет доступа к объектам управления с более высоким уровнем права функционирования, чем у его собственных объектов.
Выше были описаны некоторые предпочтительные варианты осуществления способа и устройства в соответствии с настоящим изобретением. Настоящее изобретение не ограничено вышеприведенными вариантами, и основная идея изобретения может быть использована различными способами без выхода за пределы объема формулы настоящего изобретения.
Claims (9)
1. Способ установления новых доверенных взаимосвязей между ключевыми устройствами (34) и/или блокирующими устройствами (61), используемыми в виртуальной частной сети (41, VPN) в системе (1) дистанционного управления исполнительными устройствами жилища, в котором:
- доверенное ключевое устройство (34) электрически соединяют (210, 310) с устройством (32) обработки данных, которое соединено с Интернетом (2);
- доверенное ключевое устройство (34) определяет свой сетевой маршрут в Интернет (2) и сохраняет свой сетевой маршрут в сервере (21), соединенном с Интернетом (2);
- доверенное ключевое устройство (34) принимает информацию о сетевом маршруте по меньшей мере одного блокирующего устройства (61); и
- доверенное ключевое устройство (34) образует виртуальную частную сеть (41) с по меньшей мере одним блокирующим устройством (61);
отличающийся тем, что
- доверенное ключевое устройство (34) передает (220, 320) сообщение, зашифрованное секретным ключом шифрования доверенного ключевого устройства (34), в по меньшей мере одно блокирующее устройство (61), причем сообщение содержит сертификат доверенного ключевого устройства и сертификат по меньшей мере одного другого устройства, с которым принимающее блокирующее устройство (61) должно установить доверенную взаимосвязь, и определения операций, выполняемых при установлении доверенной взаимосвязи;
- блокирующее устройство (61) открывает и подтверждает (230, 330) с использованием известного открытого ключа шифрования доверенного ключевого устройства (34) подлинность отправителя сообщения, принятого указанным блокирующим устройством;
- блокирующее устройство (240, 340) сохраняет сертификаты устройств, относящихся к сообщению, переданному идентифицированным устройством, в своей памяти;
- блокирующее устройство (61) устанавливает доверенную взаимосвязь (250, 350) с по меньшей мере одним другим устройством, указанным в сообщении.
- доверенное ключевое устройство (34) электрически соединяют (210, 310) с устройством (32) обработки данных, которое соединено с Интернетом (2);
- доверенное ключевое устройство (34) определяет свой сетевой маршрут в Интернет (2) и сохраняет свой сетевой маршрут в сервере (21), соединенном с Интернетом (2);
- доверенное ключевое устройство (34) принимает информацию о сетевом маршруте по меньшей мере одного блокирующего устройства (61); и
- доверенное ключевое устройство (34) образует виртуальную частную сеть (41) с по меньшей мере одним блокирующим устройством (61);
отличающийся тем, что
- доверенное ключевое устройство (34) передает (220, 320) сообщение, зашифрованное секретным ключом шифрования доверенного ключевого устройства (34), в по меньшей мере одно блокирующее устройство (61), причем сообщение содержит сертификат доверенного ключевого устройства и сертификат по меньшей мере одного другого устройства, с которым принимающее блокирующее устройство (61) должно установить доверенную взаимосвязь, и определения операций, выполняемых при установлении доверенной взаимосвязи;
- блокирующее устройство (61) открывает и подтверждает (230, 330) с использованием известного открытого ключа шифрования доверенного ключевого устройства (34) подлинность отправителя сообщения, принятого указанным блокирующим устройством;
- блокирующее устройство (240, 340) сохраняет сертификаты устройств, относящихся к сообщению, переданному идентифицированным устройством, в своей памяти;
- блокирующее устройство (61) устанавливает доверенную взаимосвязь (250, 350) с по меньшей мере одним другим устройством, указанным в сообщении.
2. Способ по п. 1, отличающийся тем, что другое ключевое устройство электрически соединяют (240) с устройством (32) обработки данных, сертификат которого включен доверенным ключевым устройством (34) в сообщение, переданное в по меньшей мере одно блокирующее устройство (61).
3. Способ по п. 2, отличающийся тем, что доверенное ключевое устройство (34) принимает подтверждающее сообщение об установлении доверенной взаимосвязи из по меньшей мере одного блокирующего устройства (61), а доверенное ключевое устройство (34) сохраняет в памяти другого ключевого устройства сертификат блокирующего устройства (61), из которого было принято сообщение, подтверждающее установление доверенной взаимосвязи.
4. Способ по п. 1, отличающийся тем, что ключевое устройство (34) передает в по меньшей мере два блокирующих устройства отдельные индивидуальные сообщения, содержащие сертификат по меньшей мере одного другого блокирующего устройства и описание функциональной взаимосвязи между блокирующими устройствами, упомянутыми в сообщении.
5. Способ по п. 1, отличающийся тем, что по меньшей мере два блокирующих средства, используя сертификаты, принятые из ключевого устройства (34), устанавливают между собой виртуальную частную сеть, в которой одно блокирующее устройство служит серверным устройством, а по меньшей мере одно другое блокирующее устройство служит клиентским устройством для сервера.
6. Ключевое устройство (34) исполнительных устройств системы дистанционного управления жилищем, содержащее
- интерфейсные элементы сетевого соединения, которые включают средства (343) ввода/вывода для соединения ключевого устройства с устройством (32) обработки данных, соединенным с Интернетом;
- процессор (341); и
- память (342), содержащую компьютерный программный код,
отличающееся тем, что процессор, память и сохраненный в ней компьютерный программный код сконфигурированы с возможностью
- передачи (220, 320) из доверенного ключевого устройства (34) сообщения, зашифрованного секретным ключом шифрования доверенного ключевого устройства (34), в по меньшей мере одно блокирующее устройство (61), причем сообщение содержит сертификат доверенного ключевого устройства и сертификат по меньшей мере одного другого устройства, с которым принимающее блокирующее устройство должно установить доверенную взаимосвязь, и определения операций, выполняемых при установлении доверенной взаимосвязи;
- приема и сохранения (260, 360) в своей памяти подтверждающего сообщения об установлении доверенной взаимосвязи из по меньшей мере одного блокирующего устройства (61).
- интерфейсные элементы сетевого соединения, которые включают средства (343) ввода/вывода для соединения ключевого устройства с устройством (32) обработки данных, соединенным с Интернетом;
- процессор (341); и
- память (342), содержащую компьютерный программный код,
отличающееся тем, что процессор, память и сохраненный в ней компьютерный программный код сконфигурированы с возможностью
- передачи (220, 320) из доверенного ключевого устройства (34) сообщения, зашифрованного секретным ключом шифрования доверенного ключевого устройства (34), в по меньшей мере одно блокирующее устройство (61), причем сообщение содержит сертификат доверенного ключевого устройства и сертификат по меньшей мере одного другого устройства, с которым принимающее блокирующее устройство должно установить доверенную взаимосвязь, и определения операций, выполняемых при установлении доверенной взаимосвязи;
- приема и сохранения (260, 360) в своей памяти подтверждающего сообщения об установлении доверенной взаимосвязи из по меньшей мере одного блокирующего устройства (61).
7. Ключевое устройство по п. 6, отличающееся тем, что процессор, память и сохраненный в ней компьютерный программный код сконфигурированы с возможностью включения в сообщение, передаваемое в по меньшей мере одно блокирующее устройство (61), сертификата другого ключевого устройства, электрически соединенного (240) с устройством обработки данных.
8. Ключевое устройство по п. 7, отличающееся тем, что процессор, память и сохраненный в ней компьютерный программный код сконфигурированы с возможностью приема из по меньшей мере одного блокирующего устройства (61) подтверждающего сообщения об установлении доверенной взаимосвязи, а доверенное ключевое устройство (34) выполнено с возможностью сохранения в памяти другого ключевого устройства сертификата блокирующего устройства (61), из которого было принято сообщение, подтверждающее установление доверенной взаимосвязи.
9. Машиночитаемый носитель с сохраненными на нем компьютерными программными кодовыми средствами для осуществления функций ключевого устройства системы дистанционного управления исполнительными устройствами или для установления доверенной взаимосвязи между по меньшей мере двумя блокирующими устройствами, причем компьютерные программные кодовые средства содержат
- кодовые средства для определения сетевого маршрута от ключевого устройства (34), используемого для установления доверенной взаимосвязи, в Интернет (2) и для сохранения сетевого маршрута в сервере (21) дистанционного управления, соединенном с Интернетом (2);
- кодовые средства для приема информации о сетевом маршруте по меньшей мере одного блокирующего устройства (61) из сетевого сервера (21) дистанционного управления;
- кодовые средства для образования виртуальной частной сети (41) с по меньшей мере одним блокирующим устройством (61) с использованием информации о сетевом маршруте и сертификата блокирующего устройства (61),
отличающийся тем, что компьютерная программа дополнительно содержит
- кодовые средства для передачи (220, 320) из ключевого устройства (34) сообщения, зашифрованного секретным ключом шифрования доверенного ключевого устройства (34), в по меньшей мере одно блокирующее устройство (61),
причем сообщение содержит сертификат доверенного ключевого устройства и сертификат по меньшей мере одного другого ключевого устройства или другого блокирующего устройства, с которым принимающее блокирующее устройство (61) должно установить доверенную взаимосвязь, и определения операций, выполняемых при установлении доверенной взаимосвязи; и
- кодовые средства для приема (260, 360) подтверждающего сообщения об установлении доверенной взаимосвязи блокирующего устройства из по меньшей мере одного блокирующего устройства (61) и для сохранения сертификата блокирующего устройства (61), передавшего сообщение, по меньшей мере в памяти доверенного ключевого устройства (34).
- кодовые средства для определения сетевого маршрута от ключевого устройства (34), используемого для установления доверенной взаимосвязи, в Интернет (2) и для сохранения сетевого маршрута в сервере (21) дистанционного управления, соединенном с Интернетом (2);
- кодовые средства для приема информации о сетевом маршруте по меньшей мере одного блокирующего устройства (61) из сетевого сервера (21) дистанционного управления;
- кодовые средства для образования виртуальной частной сети (41) с по меньшей мере одним блокирующим устройством (61) с использованием информации о сетевом маршруте и сертификата блокирующего устройства (61),
отличающийся тем, что компьютерная программа дополнительно содержит
- кодовые средства для передачи (220, 320) из ключевого устройства (34) сообщения, зашифрованного секретным ключом шифрования доверенного ключевого устройства (34), в по меньшей мере одно блокирующее устройство (61),
причем сообщение содержит сертификат доверенного ключевого устройства и сертификат по меньшей мере одного другого ключевого устройства или другого блокирующего устройства, с которым принимающее блокирующее устройство (61) должно установить доверенную взаимосвязь, и определения операций, выполняемых при установлении доверенной взаимосвязи; и
- кодовые средства для приема (260, 360) подтверждающего сообщения об установлении доверенной взаимосвязи блокирующего устройства из по меньшей мере одного блокирующего устройства (61) и для сохранения сертификата блокирующего устройства (61), передавшего сообщение, по меньшей мере в памяти доверенного ключевого устройства (34).
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI20120110 | 2012-04-05 |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2575689C1 true RU2575689C1 (ru) | 2016-02-20 |
Family
ID=
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11477194B2 (en) | Machine-to-machine and machine to cloud end-to-end authentication and security | |
CN106664311B (zh) | 支持异构电子设备之间差异化的安全通信 | |
JP5795696B2 (ja) | 操作の権利をリモート付与するためのセキュアな方法 | |
CN106576096B (zh) | 用于对具有不等能力的设备的认证的装置、方法及介质 | |
RU2584752C2 (ru) | Устройство и способ реализации сети передачи данных, используемой для удаленного управления жилищем | |
JP2005236939A (ja) | ピアツーピア型匿名プロキシにおける安全性の高い匿名通信路の検証及び構築する方法 | |
EP2715983B1 (en) | Device arrangement for implementing remote control of properties | |
RU2575689C1 (ru) | Безопасный способ удаленного предоставления прав на функционирование | |
EP3206423A1 (en) | Device and method for connecting devices to a network | |
KR102500080B1 (ko) | 공동 주택 단지에서의 앱 보안 처리 방법 및 시스템 |