TW201739284A - 網路級智慧型居家保全系統及方法 - Google Patents
網路級智慧型居家保全系統及方法Info
- Publication number
- TW201739284A TW201739284A TW106107807A TW106107807A TW201739284A TW 201739284 A TW201739284 A TW 201739284A TW 106107807 A TW106107807 A TW 106107807A TW 106107807 A TW106107807 A TW 106107807A TW 201739284 A TW201739284 A TW 201739284A
- Authority
- TW
- Taiwan
- Prior art keywords
- access
- gateway
- lan
- network
- home
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2816—Controlling appliance services of a home automation network by calling their functionalities
- H04L12/2818—Controlling appliance services of a home automation network by calling their functionalities from a device located outside both the home and the home network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/283—Processing of data at an internetworking point of a home automation network
- H04L12/2834—Switching of information between an external network and a home network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
描述了用於控制從廣域網路(WAN)到區域網路(LAN)的存取的系統和方法。在實施方式中,該方法由駐留在LAN和WAN之間的閘道實施。該閘道經由不包括WAN的第一本地通信路徑發送閘道LAN存取秘密到行動裝置。在發送閘道LAN存取秘密之後,該閘道僅允許來自由閘道維護的白名單上的IP位址的從WAN到LAN的訊務。該閘道經由WAN從行動裝置接收遠端存取資訊。該遠端存取資訊包括從閘道LAN存取秘密獲取的認證資訊和與行動裝置相關聯的一個或多個IP位址的IP位址範圍。該閘道驗證認證資訊並響應地將IP位址範圍添加至白名單。
Description
相關申請的交叉引用 本申請是2016年3月18日提交的且名為“System and Method for Network-Level Smart Home Security”的美國臨時申請No. 62/310,405之非臨時案,且基於35 U.S.C. §119(e)要求享有美國該臨時案的權益。
使用諸如HomeKit(來自蘋果)和Brillo/Weave(來自谷歌)的新智慧型家庭平臺,智慧型家庭技術快速地進入消費者意識主流。連接的裝置(其可以從大量的供應商獲得)包括HVAC控制裝置、照明裝置、家庭娛樂裝置、健康和保健裝置、居家保全等等。典型地,為了在智慧型家庭的環境下起作用,這些裝置被配置用於網路連接。
此外,這些裝置中的許多可以利用來自家庭網路之外的連接,以達到他們的全部潛能。例如,使用者可以在離開時控制照明裝置以威嚇竊賊或可以在到家之前啟動空調。為了實現這種遠端存取,許多智慧型居家裝置被暴露給公共網際網路以實現他們的全部功能,意味著從家庭網路的外部發起的訊務(traffic)可能需要被允許經過家庭的路由器/NAT閘道以及被路由至家庭網路的內部上的裝置。
在許多智慧型居家裝置中,這個過程經由諸如NAT-PMP或UPnP埠映射的機制或經由基於網路的轉發服務來促進,其允許連接的裝置告知路由器來自外部網路的訊務如何可以被路由至網路內部。然而,一旦在網路上,這些裝置被暴露給公共網際網路,意味著他們易受到埠掃描、密碼推測、惡意軟體攻擊以及其他安全風險的傷害。此外,儘管許多這樣的裝置可以具有密碼設定,但這些通常是弱的密碼、使用者未改變、且被供應商重複使用。
許多家庭網路在住所具有預設防火牆,其在他們的路由器處實施。防火牆的任務在於阻擋對在網路內部的裝置的存取。然而,為防火牆配置必要的存取控制以建立將允許選擇的訊務的小孔(pinhole)從使用者體驗角度來說既困難且需要使用者提前瞭解遠端網路的IP位址範圍,其可能需要在網路的內部存取智慧型居家裝置。
暴露智慧型居家裝置給整個公共網際網路的當前方法是允許遠端存取的非常粗粒化且危險的技術。與這樣的方法相關聯的風險可以因數量越來越多的智慧型居家裝置如果其被危害而呈現實體安全和隱私威脅這一事實而加重。例如,儘管家庭嬰兒攝影機可能是戶主合法地想要從家庭網路之外進行監測的裝置;如果被危害,該裝置會威脅在家中的人的隱私,因為其允許攻擊者在他們的家中觀察該家庭。
同樣地,儘管對諸如智慧門鎖或家庭警報系統的裝置的遠端存取提供了巨大的實用性(如戶主能夠在他們忘記鑰匙的情況下使他們自己進入,或在清洗服務或訪問者要求存取的情況下打開門),但如果攻擊者獲得對裝置的控制,同樣的遠端存取能夠呈現嚴重的安全威脅。通過針對安全性弱點遠端探查門鎖,攻擊者能夠發起能夠為他們提供對家庭的實體網站的存取的自動攻擊,通常是甚至戶主沒有意識到他們的安保已經被危害的事實。
該產業正開始變得意識到這些風險。例如,HP研究員近來的研究共同調查了10種流行的智慧型居家裝置並在這些裝置中發現超過250中安全缺陷。DH Kass,HP Study: IoT Smart Home Devices are Hackers’ Dream
,The VAR Guy (Aug. 5, 2014),http://thevarguy.com/network-security-and-data-protection-software-solutions/080514/hp-study-iot-smart-home-devices-are-hackers-。其他最近的文章強調了成長的威脅。Sean Michael Kerner,Home Invasion 2.0: Attacking the Smart Home
, eSecurity Planet (July 29, 2013),http://www.esecurityplanet.com/network-security/home-invasion-2.0-attacking-the-smart-home.html。
為了減輕這樣的風險,裝置供應商提供一些旨在確保僅戶主能夠遠端存取這些裝置的基本安全性原則。例如,裝置供應商可以使用密碼機制,由此儘管該裝置通過網際網路能夠在任何地方被接觸,但僅具有正確密碼的那些能夠登錄而對其存取。然而,該方法是有問題的,因為研究已經證明使用者經常選擇非常弱的密碼,或者—甚至更弱—未從預設設置改變密碼。大部分普通靈科(Linksys)路由器例如使用“admin/admin”的預設使用者名/密碼組合。許多其他裝置類似地使用弱的密碼,其通常對駭客已知。一些其他裝置可以使用安全殼(SSH)用於更安全的存取,但這樣的使用通常在所有裝置上具有相同的私密金鑰。這些差的安全實踐這樣做使得駭客甚至能夠通過簡單的谷歌搜索定位具有未改變的預設密碼的連接網際網路的裝置;書籍中已經寫入了關於如何這樣做(例如,參見Johnny Long et al., Google Hacking for Penetration Testers (3d ed. 2015))。
除了差的密碼安全,這些裝置還存在軟體漏洞的風險,其在攻擊者能夠通過網路達到他們的情況下使得可能允許他們被遠端危害。心臟出血(Heartbleed)、守門人(Gatekeeper)、以及其他最近發現的漏洞已經表明甚至桌上型級別電腦軟體能夠具有難於發現的潛伏錯誤。考慮到涉及的供應商的多樣性、安全軟體發展實踐的不同層次、以及—時常—一旦發現漏洞沒有可用的或容易應用的軟體修補,該威脅對於智慧型居家裝置更為嚴重。Dan Goodin,9 baby monitors wide open to hacks that expose users’ most private moments
, Ars Technica (Sept. 2, 2015), https://arstechnica.com/security/2015/09/9-baby-monitors-wide-open-to-hacks-that-expose-users-most-private-moments/.
儘管防火牆和其他軟體技術保護桌上型和本膝上型電腦不受某些類型的遠端存取,但這些技術通常不存在於低成本嵌入式智慧型居家裝置上。同樣,注意到典型的家庭網路安全建議,諸如在無線網路上啟用WPA加密,無法免受這些風險。這是因為即使家庭無線網路可以被保護,但智慧型居家裝置典型地被設計使得他們易可從安全網路之外存取。
最後,在至少一些場景下,防火牆存在兩個額外的挑戰。第一個是基於使用者體驗問題:配置用於家庭路由器的存取控制規則可能遠超過非技術性傾向的消費者(以及甚至許多技術性傾向的消費者)的能力。這通常要求確定路由器的IP位址、從瀏覽器對其連接、認證、導航至正確的標籤,以及理解圍繞遠端IP位址、網路範圍、埠轉發、DMZ限制等等的奧秘(arcana)。第二個挑戰在於:即使使用者不理解如何適當地配置他的或她的防火牆,但在一些場景下,遠端IP位址資訊必須被提前知道以執行該配置。換言之,如果使用者將在商務旅行中停留在旅館,通常沒有辦法在離開旅途之前正確設置防火牆,因為使用者不會知道旅館的遠端網路正使用的IP位址。
所需要的是一種提供對智慧型居家裝置遠端網路存取的方式,但具有遠端網路能夠從而存取那些裝置的更嚴格的控制。這些控制應當以非技術使用者易於使用的方式實施且不要求明確的額外配置(之前的研究表明:即使消費者關心安全性和隱私,他們通常也不願意進行明確的步驟來保護他們本身,如果這樣的步驟違背實用性或便利性)。
這裡揭露的系統和方法描述了一種增加智慧型家庭的安全的方法,特別是變得越來越流行的服務和連接的裝置。這裡描述的機制通過安全配置哪些遠端IP位址被允許存取來限制網路對家庭網路內部的裝置和服務的存取。由於該方法使用網路級(而不是應用級)機制,所以其甚至能夠保護可能具有弱的內置安全控制的智慧型居家裝置。
智慧型居家裝置典型地是可遠端存取的,然而傳統可用於允許這樣的遠端存取的唯一機制太粗粒化或太難使用,和/或將這些裝置暴露給整個公共網際網路。這可能使其成為埠掃描、惡意軟體注入和重複的密碼破解嘗試以及其他問題的目標。
一種減輕這些風險的方式將要限制網路級存取以便僅某些遠端IP位址被允許存取網路內部的裝置。這些配置有時稱為防火牆小孔,因為他們允許來自某個遠端IP位址的訊務僅存取網路內部的某些裝置。這將防止來自網際網路上任何地方的隨意攻擊者嘗試規避保全。但允許的遠端IP位址仍需要被指定。如今防火牆的常用方式是使用者顯式地將被允許連接至家庭網路裝置的所有可允許IP位址列為白名單。這樣的方法將不僅僅繁瑣和容易產生誤差(且可能對於非技術性傾向使用者而言不可行),而且很可能在一些情況下行不通,在這些情況中使用者並不提前知道他們將從哪裡存取系統。
因此,為了以實際可行的和可工作的方式限制對智慧型居家裝置的遠端存取,需要使用隱式機制,使用者能夠通過該隱式機制容易在需要時表明給定IP位址應當被允許存取家庭網路上的一些裝置或多個裝置。該機制之後將使得家庭網路能夠接受來自新認可的遠端IP位址的連接請求,並允許從其到家庭網路內部的裝置的連接。如果來自任何其他場所的任何其他IP位址嘗試連接,連接請求將被默默地丟棄,使得家庭裝置不會受到其他網路的遠端攻擊的傷害。
因為網路級的存取控制功能,這裡描述的各種實施方式中的至少一些能夠針對許多智慧型居家裝置實施且可以不依賴於那些裝置的供應商的支援或協作。這裡描述的各種實施方式中的至少一些特別有優勢,因為他們能夠通過在網路級限制對這些裝置的存取而保護可能具有非常差的應用級安全特徵(諸如預設密碼或軟體漏洞)的裝置。
至少一個實施方式工作如下。指派為存取裝置的一個裝置用來遠端配置對家庭網路的網路級存取(在這樣的存取被需要時)。例如,存取裝置可以為行動電話或膝上型電腦或其他任意的計算裝置。該存取裝置與家庭路由器上的軟體協作以根據需要安全供給存取。
該過程中的第一步驟,設置階段,可以僅發生一次,且是存取裝置和家庭路由器之間的安全關聯的產物。在該步驟期間(在該範例性實施方式中),簽名的數位憑證在這兩個裝置之間交換,該交換允許他們中的任一者在將來安全地且加密地驗證另一個的身份。憑證還可以用來加密或促進兩個裝置之間的加密網路通信。
憑證的這次交換(例如,一次交換)能夠使用各種各樣的機制發生,例如,近場通信(NFC)(存取裝置被帶入與路由器接觸)、藍牙、USB金鑰,和/或紅外線或基於音訊的通信,以及其他方法。
一旦該交換發生,存取裝置能夠與家庭路由器安全通信,並根據需要在遠端網路上對路由器認證其身份,甚至在裝置在家庭之外時(在遠端網路上)。
在此之後,家庭路由器創建家庭網路內部的服務和/或裝置的裝置清單,其最終可以用作入站網際網路訊務的目的地。該清單週期性地傳送至存取裝置以便其具有其能夠提供存取所到的智慧型居家裝置的最新資料庫。
在設置階段之後,使用者能夠通過將存取裝置帶入給定網路並運行安裝在裝置上的應用(在這裡有時稱為遠端存取app或app)來指定從給定網路應當被允許的遠端存取。該應用建立回到使用者的家庭網路的安全連接並連接到那裡的家庭路由器。存取裝置評估其當前IP位址和遠端網路的網路配置,並安全傳送該資訊回到家庭路由器。家庭路由器之後使用該資訊來添加存取控制規則,該存取控制規則允許來自遠端網路的訊務以傳輸路由器並連接至網路內部的智慧型居家裝置。
在至少該範例實施方式中,在存取裝置上簡單運行該應用收集並安全提供路由器用於配置其網路層安全存取控制規則的遠端存取資訊至該路由器。此時,遠端網路上的裝置被允許存取智慧型居家裝置。具有該遠端網路之外的IP位址的其他裝置,不被允許連接。
可選地,在該應用運行時,使用者能夠指定遠端網路是否應當被允許一直存取智慧型居家裝置(其可以是如果要給予諸如祖父母的遠端家庭成員對嬰兒監視器攝影機的存取的情況),或僅臨時對其存取(諸如可能是使用者正從旅館網際網路連接存取嬰兒攝影機的情況)。使用者還能夠可選地指定遠端網路能夠存取所有智慧型居家裝置,或僅僅是一組受限的裝置,和/或如隨後描述的配置其他策略。
一旦設置,家庭路由器默默地丟棄來自未授權遠端網路的任何連接請求。然而,已授權網路上的裝置被允許連接,且該路由器重寫入站和出站訊務兩者的標頭,以確保源位址和目的地位址以及埠被適當設置。新授權規則能夠在任意時間通過簡單將存取裝置帶入新網路並添加該網路作為可允許的源來添加。
建立這些基本步驟,存在許多可能的變體,這在該揭露中隨後詳細說明。
在許多情況下,這裡描述的各種實施方式存在安全和使用者介面兩種優勢。
從安全角度來講,這裡描述的實施方式中的至少一些實施方式是有利的,因為他們增強了對家庭網路上所有智慧型居家裝置的遠端存取的安全,甚至包括可能充滿其他安全問題的裝置。換言之,至少一些實施方式提供額外的安全層,無需供應商對他們的代碼修補或無需使用者設置強的密碼。通過解決網路層而不是應用層的問題,這裡描述的至少一些實施方式簡單地駁回來自未被使用者認可的遠端網路的存取。
這裡描述的至少一些實施方式還具有相比於可替換的方法他們更有效地抵禦智慧型居家裝置上的惡意軟體的優勢。甚至具有強健的認證校驗(例如強的密碼)的智慧型居家裝置典型地仍需要是通過網際網路可連接的,意味著—即使攻擊者從未嘗試對裝置認證—該裝置仍可能易受到可以是惡意軟體的媒介(vector)的安全相關的軟體錯誤的攻擊。甚至通過防止連接嘗試,這裡描述的至少一些實施方式有效地將這些易受攻擊的裝置置於防火牆之後,雖然其以不處理繁瑣且技術上複雜的網路配置螢幕而被配置。
從使用者介面的角度來看,這裡描述的至少一些實施方式因為他們的簡單相比於競爭方法是有優勢的。在這樣的實施方式中,在家庭路由器配置中沒有複雜的網路安全規則要管理,本揭露提供的保護等級還比得上良好配置的防火牆。此外,在存取需要時從遠端網路對裝置的存取可以被許可(例如,由系統),而不需要使用者記住預配置他們的網路配置規則。這意味著本揭露針對IP位址提前未知的遠端網路是可行的。
這裡描述的額外實施方式允許使用者命令從某些遠端網路的永久或暫時/短暫存取是否應當被許可,以及確定哪組裝置應當從哪個遠端網路可存取。通知還可以被用來允許使用者即時確定給定存取是否應當被許可。
一種防火牆上的外部開放埠的已知方法被稱為埠敲門(knocking),其涉及生成從防火牆外部到預先指定的封閉埠序列的連接嘗試的序列。一旦接收到連接嘗試的正確序列,防火牆規則被動態修改以允許發送連接嘗試的主機通過一個或多個特定埠連接。這不同於本系統和方法的方面,在至少一個實施方式中,其涉及在對特定服務埠的連接不受白名單影響時通過呈現經由防火牆的LAN側獲得的憑證/秘密添加外部IP位址到防火牆(例如,閘道)上的白名單。一旦合適的憑證/秘密已經被呈現,防火牆白名單被動態修改以允許從該連接的源IP位址到所有開放埠的訊務。
在本揭露的至少一些實施方式的優勢在於僅存取(控制)裝置和家庭閘道必須具有額外的智慧。也就是,在至少一個或多個實施方式中,本系統和方法使用已經行動至遠端網路的存取裝置(例如,行動裝置)以使得(使用共用秘密/憑證)該遠端網路上的一個或多個其他裝置能夠連接至在防火牆/閘道之後的LAN上的一個或多個裝置,而沒有那些在該遠端網路上必須以任何方式改變他們的配置的一個或多個其他裝置。本方法和系統的手段也沒有SSH埠轉發那麼複雜。
在至少一個實施方式中,根據本系統和方法的路由器預設配置為阻擋外部訊務,除非其來自白名單所列的位址。在至少一個實施方式中,根據本系統和方法的路由器預設配置為允許所有訊務直到本地憑證交換過程已經發生,且之後阻擋外部訊務,除非其來自白名單所列的位址。當然其他可能性也能夠在此列出。
這裡揭露的範例性實施方式提供了一種被用作存取裝置的行動電話。
在至少一個實施方式中,包括設置階段。第1A圖為示出了根據至少一個實施方式的範例設置階段的資料處理和/或資料流程的概述的流向圖。
所描述的實施方式包括家庭網路102、存取裝置104以及家庭路由器106。在至少一個實施方式中,設置階段針對存取裝置104執行至少一次。在至少一個實施方式中,該設置階段在存取裝置104存在於使用者的家庭網路102中時執行。
在至少一個實施方式中,該設置階段建立存取裝置104和家庭路由器106之間的通信和加密地安全的身份。在至少一個實施方式中,家庭路由器106收集家庭網路上的服務和裝置的裝置清單資訊以及週期性地利用該資料庫更新存取裝置104。
在該設置階段期間,在至少一個實施方式中,使用公共揭露金鑰加密演算法,存取裝置104和家庭路由器106每個生成加密金鑰(在120、122處)。例如,存取裝置104可以生成揭露金鑰/私密金鑰對和/或家庭路由器106可以生成揭露金鑰/私密金鑰對。
在至少一個實施方式中,揭露金鑰之後被捆綁用於每個裝置的數位憑證,之後其由每個裝置簽名(在124、126處)。
在至少一個實施方式中,這些數位憑證之後在兩個裝置之間交換,使得存取裝置104保留家庭路由器106的憑證的副本,而家庭路由器106保留存取裝置104的憑證的副本(在128、130處)。兩個裝置儲存生成的私密金鑰。
交換這些憑證所用的通信過程能夠改變。在至少一個實施方式中,一種提供一定程度的實體安全提供的方法—諸如使用近場通信(NFC)和/或其他限制位置的通信技術—被使用。當然,例如其他方法可以被使用,諸如,使用USB金鑰交換憑證、將他們用電子郵件發送至各個裝置、和/或經由表單介面(form interface)“手動”將他們填寫。
在該設置階段之後,在至少一個實施方式中,存取裝置104和家庭路由器106兩者能夠驗證另一個的身份,即使在家庭路由器106和存取裝置104彼此遠離時。在至少一個實施方式中,包含在憑證中且儲存在裝置上的揭露金鑰/私密金鑰資訊能夠用來安全加密二者之間的未來網路通信。
在至少一個實施方式中,裝置清單階段被包括。在至少一個實施方式中,家庭路由器106創建裝置清單(在132處)。在至少一個實施方式中,裝置清單詳述了家庭網路102內部的服務和/或裝置中的一些或全部,其最終可以用作入站網際網路訊務的目的地。例如,收集裝置清單資訊允許使用者在路由器106上創建期望的安全配置,如稍後所述。
在至少一個實施方式中,裝置清單資訊被週期性地傳送至存取裝置104(在134處)。該裝置清單資訊被傳送至存取裝置104,例如,使得存取裝置104能夠利用存取能夠被到的一些或全部可能的智慧型居家裝置(例如,通過存取裝置104)的最新清單創建使用者介面。並且,當然其他可能性也可以被實施。
在至少一個實施方式中,路由器106被配置成收集家庭網路上的每個用戶端裝置的MAC位址。在至少一個實施方式中,路由器106被配置成經由用於實施反向位址解析通信協定(RARP)、引導協定(BOOTP),或動態主機設定通信協定(DHCP)的鏈路層(MAC)位址的表格獲得該資訊,其中這些協定為現有家庭網路中公共協定,其提供從鏈路層到網路層位址(例如,從MAC位址到IP位址)的映射。在至少一個實施方式中,隨著新用戶端裝置連接至家庭網路102以及從家庭網路102分離,這些資料庫由路由器自動維護。在至少一個實施方式中,該表格在路由器上手動更新。
在至少一個實施方式中,資料庫清單階段產生將鏈路層位址映射到網路層位址的表格。下面緊接著為這樣的表格的範例性實施方式。
在至少一個實施方式中,掃描處理階段被包括。在至少一個實施方式中,在資料庫清單階段之後,路由器106被配置成掃描家庭網路102上的用戶端裝置以確定裝置名稱和裝置上的任意開放埠,其指示可用於連接的服務。在至少一個實施方式中,例如路由器106被配置成包括一個或多個網路掃描工具,諸如Nmap。例如路由器106可以被配置成至少部分通過運行網路掃描工具中的一個或多個特徵施行掃描處理階段,諸如目標規格、主機發現和/或埠掃描等等。在一個實施方式中,該資訊在表格中被代表,其藉由網路層位址被索引化且包含網路層位址與裝置的名稱和任意開放服務埠的關係映射。在至少一個實施方式中,具有多個開放服務埠的裝置在表格中使用多列而被代表。例如:
在至少一個實施方式中,從裝置清單階段和掃描處理階段獲得的資訊經由相關的連接結作組合,在路由器上創建從唯一鏈路層位址映射到裝置名稱和埠資訊的統一裝置清單資料庫。例如:
在至少一個實施方式中,每個裝置的鏈路層位址是不變的且因此能夠用作每個裝置的唯一裝置識別符。
更新的資料庫可以被儲存在若干媒體中的一個或多個媒體上。在至少一個實施方式中,更新的資料庫儲存在路由器106的記憶體或快閃儲存器中。在至少一個實施方式中,更新的資料庫被週期性地傳送至存取裝置104。在至少一個實施方式中,配置到存取裝置104和家庭路由器106兩者中的安全證書允許這些資料庫更新以安全且秘密地在將來在任意點被傳送。
在至少一個實施方式中,路由器106之後創建至少兩個額外資料庫(在136、138處)。額外的資料庫可以初始為空。在至少一個實施方式中,第一資料庫為轉換表(T/T)資料庫。轉換表資料庫可以用來維護關於如何將IP標頭資訊轉換為跨網路的內部和外部之間的封包的資訊。在至少一個實施方式中,第二資料庫為存取規則(A/R)資料庫。該存取規則資料庫可以包含關於哪些外部IP位址被允許連接的安全規則。
在至少一個實施方式中,隱式授權階段被包括。在至少一個實施方式中,轉換表資料庫和存取規則資料庫在隱式授權階段被更新且被用於在網路存取期間正確維護家庭網路和網際網路之間的訊務流,同時確保安全。
在至少一個實施方式中,在創建轉換表資料庫和存取規則資料庫之後,路由器106進入“穩定狀態”模式,其中從任意遠端IP位址的存取被路由器106自動阻擋,防止對家庭網路102上的任意裝置和服務的非有意圖的存取。
如上所述,隱式授權階段是收集用於配置家庭路由器106以安全准許(permit)對家庭網路102的存取的資訊,以及將該資訊安全傳送回到家庭路由器106的過程。第1B圖為示出了根據至少一個實施方式的範例隱式授權階段的資料處理和/或資料流程的概述的流向圖。第1B圖描述了存取裝置可以如何安全地提供(provision)從遠端網路上的裝置到家庭網路內部的裝置的存取。在至少一個實施方式中,存取裝置確定遠端網路、回到使用者的家庭網路中的認可的目的地裝置和使用者策略期望的配置,且將這些傳送至家庭路由器。路由器之後更新其轉換表資料庫和存取規則資料庫,允許同一遠端網路上的裝置作為存取裝置以建立至家庭網路內部的連接。
在至少一個實施方式中,在隱式授權階段期間,資訊在設置階段期間或之後由存取裝置104收集。該資訊可以被多次收集,例如,如果使用者想要提供從多個網路到家庭網路102上的裝置的遠端存取。
隱式授權過程內有多個實施方式。在至少一個實施方式中,存取裝置104確定“認可的”遠端IP位址—或遠端IP位址的範圍—其將被允許連接至家庭網路102內部的一個或多個裝置。在至少一個實施方式中,該資訊經由自動之一連串的步驟被收集以對遠端網路的網路配置進行分析(可選擇地利用使用者的輸入)。
在至少一個實施方式中,確定了將被允許存取家庭網路102內部的裝置的一個或多個認可的遠端IP位址。在隱式授權階段期間,在至少一個實施方式中,存取裝置104上的代碼執行一過程以確定遠端網路108的配置。從該遠端網路資訊,存取裝置104能夠計算以及之後為家庭路由器106提供將被允許存取家庭網路102的遠端IP位址(或多個位址)。
首先,注意到現今使用的不同類型的IP定址方案。對於大多數家庭網路,單個公共IP位址被使用且被指派給家庭路由器。該路由器“之後”的裝置—也就是在家庭網路的內部—典型地具有“私有的”或“不可路由的”IP位址,例如,其短時間內經由動態主機設定通信協定(DHCP)被提供給裝置。由於網路位址轉譯(NAT),來自這樣的裝置的連接將似乎具有家庭路由器的公共IP位址。其他網路,諸如企業網路或教育網路,典型地具有可路由的公共IP位址,且他們的網路將典型地被構建為多個個別的子網路。
在至少一個實施方式中,為了確定構成遠端網路108且其應當被允許存取他們的家庭網路102中的一個或多個使用者的裝置的IP位址的範圍,存取裝置104確定遠端網路108上的存取裝置IP位址。在至少一個實施方式中,如果存取裝置104確定遠端網路108上的存取裝置IP位址為私有位址,存取裝置104被配置成執行一組功能,且如果存取裝置確定遠端網路108上的存取裝置IP為公共位址,存取裝置104被配置成執行一組不同的功能。
在至少一個實施方式中,存取裝置IP位址為私有位址。該存取裝置確定其在NAT路由器之後,且在這樣的場景下,在該(遠端)網路上的任意其他裝置將似乎具有與路由器相同IP位址(如果它們存取使用者的家庭網路)。在該實施方式中,存取裝置聲明路由器使用的IP位址應當被認為允許至家庭網路的連接。這准許遠端網路108內部的任意裝置存取該家庭。
在至少一個實施方式中,存取裝置IP位址為公共位址。存取裝置確定其處於由其他公共IP位址組成的網路上。典型地,這些為大型企業網路,且可能不期望允許所有裝置在這樣的大型網路上存取家庭。該存取裝置確定該遠端網路的當前子網路遮罩,其指示為附近網路的一部分的IP位址的範圍。典型地,這將在企業中為給定部門或場所指示IP位址的範圍。基於遠端網路的內部結構,該過程提供更受限制的IP位址的範圍,其被允許存取家庭網路。
第2圖是描述了確定遠端網路配置參數這一過程的範例性實施方式的流程圖。
在202處,遠端網路上的存取裝置IP位址被確定。例如,存取裝置104可以被配置成確定其自己的IP位址。
在204處,存取裝置IP位址被確定為公共或私有的。在至少一個實施方式中,為了確定存取裝置IP位址是私有的還是公共的,存取裝置IP位址與一個或多個預先確定的IP位址集比較。這一個或多個預先確定的IP位址集可以表示用於標準私有IP定址的一個或多個範圍。例如,如果IP位址處於範圍10.0.0 – 10.255.255.255、172.16.0.0 – 172.31.255.255、或192.168.0.0 – 192.168.255.255內,則IP位址為私有的,否則IP位址為公共的。
如果存取裝置IP位址為私有的,則在206處,遠端路由器的WAN IP位址被確定。例如,存取裝置可以被配置成確定遠端路由器的WAN IP位址。在208處,該WAN IP位址被用作有效遠端源位址。
如果存取裝置IP位址為公共的,則在210處,遠端網路的子網路遮罩被確定。例如,存取裝置可以被配置成確定遠端網路的子網路遮罩。在212處,在該子網路內有效的一個或多個IP位址的範圍被確定。例如,存取裝置可以被配置成確定在該子網路內有效的一個或多個IP位址的範圍。在214處,該IP位址的範圍用作有效遠端源位址。
範例1(私有定址):作為範例性實施方式,假定使用者在鄰居的家庭網路上發起隱式授權過程,可能在所有者離開時允許該鄰居存取居家保全攝影機。家庭網路典型地建立有NAT路由器和私有IP位址。在至少一個實施方式中,存取裝置確定該遠端網路上的存取裝置IP位址為192.168.1.200,且因此為私有位址。由於私有定址正處於使用中,因為網路位址轉譯(NAT),嘗試存取原始家庭網路的遠端網路上的任意裝置將似乎是來自路由器的WAN IP位址。這意味著存取裝置的私有位址本身不能用來配置對家庭網路的存取。
在至少一個實施方式中,存取裝置確定其當前路由器的WAN IP位址(使用ICMP協定,諸如經由網際網路包探索器-r(ping-r)),以及安全地將其傳送至家庭路由器。在範例性實施方式中,存取裝置確定遠端路由器的WAN IP位址為130.207.14.1,且將使用其作為認可的遠端IP位址。
範例2(公共定址):在該範例性實施方式中假定使用者利用公共定址在網路上發起隱式授權過程。這將典型地為企業網路或大學網路。在至少一個實施方式中,存取裝置確定該網路上的存取裝置IP位址為128.61.31.11,其不是私有位址的標準化範圍中的一者;因此,其為公共的、可路由的IP位址。現今,存取裝置能夠使用該位址作為認可的遠端IP位址。然而,這將意味著僅存取裝置本身能夠存取家庭網路內部的服務(因為存取裝置為具有該特別IP位址的遠端網路上的唯一用戶端)。該存取裝置也許可以標記遠端網路上的IP位址的全部或子集為被認可用於存取家庭網路。
在至少一個實施方式中,存取裝置104確定遠端網路108的子網路遮罩。子網路遮罩通常用於將大型網路劃分為子網路,諸如以部門或實驗室劃分;其指示IP位址的哪個部分為網路前綴,以及哪個部分為主機號碼。具有相同網路前綴的IP位址被認為在同一子網路上。在該實施方式中,子網路遮罩被設置為255.255.240.0,其指示網路前綴為128.61.16.0/20,且因此為該子網路的一部分的IP位址的集合為128.61.16.1以上到128.61.31.254。該範圍(使用所謂的CIDR符號代表示128.61.16.0/20或範圍128.61.16.1-128.61.31.254)之後被安全地傳送至家庭路由器106。在至少一個實施方式中,該資訊被呈現給使用者用於驗證。例如,為子網路的一部分的IP位址的集合和/或該範圍中的一個或多個IP位址(例如,從子網路遮罩確定)經由存取裝置的使用者介面呈現給使用者。
將簡單地呈現IP位址和範圍取而代之的是,反向DNS查找可以被用來以更可讀的形式呈現這些細節。在至少一個實施方式中,該存取裝置被配置成執行反向DNS查找和/或接收產生自反向DNS查找的資訊。在範例性實施方式中,如果使用者想要配置從她的大學實驗室到她的家庭網路的遠端存取,存取裝置能夠執行以上步驟以產生針對她的實驗室的IP位址範圍,且之後存取裝置能夠在該位址上執行反向DNS查找以產生人類可讀的網路名稱。存取裝置可以用請求(例如,諸如“允許從網路hcilab.cc.gatech.edu存取你的家庭?”)質詢使用者。在至少一個實施方式中,較小型和/或較大型網路能額外或可替換地被呈現。例如,“允許從cc.gatech.edu或所有gatech.edu存取?”。
在至少一個實施方式中,存取裝置確定被這些位址允許連接的裝置之特定集合(在142)。在至少一個實施方式中,該資訊經由使用者的輸入在隱式授權過程被執行的時候收集。例如,存取裝置104可以經由使用者介面呈現遠端存取可以被許可到的一個或多個裝置,和/或存取裝置104可以經由使用者介面從使用者接收對應於遠端存取被許可到的一個或多個裝置的輸入。
在一些場景下,確定認可的遠端IP位址的集合可能是不夠的。在一些場景下,創建認可的遠端位址和家庭網路102上那些遠端位址被允許連接至的目的地裝置之間的映射可以是有利的。在範例性實施方式中,使用者可能不想要為鄰居提供對使用者的家庭網路102上的每個裝置的存取,但使用者可能想要限制對僅一個或多個特別裝置(例如,諸如保全攝影機)的存取。
該過程可以使用之前收集的裝置清單資料庫,並從家庭路由器106傳送到存取裝置104。該裝置清單資料庫為由唯一ID(諸如MAC位址)識別的所有智慧型居家裝置的清單,其帶有裝置名稱和關於那些裝置上針對接收入站連接開放的埠的資訊。
使用者可以涉及確定哪些裝置應當從遠端網路108可存取。在至少一個實施方式中,在存取裝置104收集遠端IP位址資訊之後,存取裝置104為使用者呈現使用者介面以允許使用者指示哪些智慧型居家裝置應當從遠端IP位址可存取。在至少一個實施方式中,使用者能夠指示哪些裝置應當可存取,以及可選的策略設置,諸如存取應當被允許多長時間的時間期間。(範例使用者介面(UI)和可選的策略設置的討論結合第3圖被描述)。
正如注意到的,使用者可以涉及指定回到使用者家庭網路102中的哪些裝置應當從給定遠端網路(例如,遠端網路108)可存取。作為一範例,在隱式授權階段期間,存取裝置104上的app可以允許使用者選擇哪些裝置將可被准許受連接至該裝置。在至少一個實施方式中,使用者介面允許使用者指定遠端網路上的裝置是否應當存取所有智慧型居家裝置。在至少一個實施方式中,使用者介面允許使用者指定遠端網路上的裝置是否應當有僅選擇家庭網路上的選擇裝置之存取。在至少一個實施方式中,特定裝置的名稱從存取裝置104上的裝置清單資訊擷取,其從家庭路由器106接收和/或從家庭路由器106週期性地傳送至存取裝置104。
在至少一個實施方式中,存取裝置104與使用者交互作用以可能地收集額外的存取策略資訊(在144處)。該資訊可以包括例如允許哪一者存取的期間或其他參數。
由於使用者針對遠端裝置(例如,其他遠端裝置112)可以如何連接進家庭網路102可以具有不同的偏好,存取裝置104上的代碼還可以在此時呈現使用者介面以從使用者收集額外的策略資訊。例如,存取裝置104可以被配置成呈現使用者可以提供關於額外策略資訊的輸入的使用者介面且該使用者介面可以為這裡描述的其他使用者介面的一部分或與該其他使用者介面分開。在至少一個實施方式中,該介面允許使用者指示當前遠端網路是否應當對智慧型居家裝置有永久存取(如可以為允許從祖父母的家庭網路存取嬰兒監視器的情況)或僅暫時存取(諸如在使用者正從公共WiFi網路存取她的嬰兒監視器時)。
額外地或可替換地,其他可選的配置是可能的。在至少一個實施方式中,使用者請求認可連接請求的選項(在它們被作成的時候)。例如,這能夠允許通知在每次傳入連接嘗試從給定遠端網路作出時被安全地遞送至使用者的電話;使用者之後能夠認可或不認可在那時對給定裝置的存取。
在至少一個實施方式中,一旦收集到,該資訊被傳送至家庭路由器106以在其存取控制規則表中提供逾時值。
在至少一個實施方式中,存取裝置104將新規則資訊傳送回家庭路由器106(在146處)。例如,存取裝置104經由公共網際網路114從遠端網路108傳送規則資訊至路由器106。
在至少一個實施方式中,路由器接收規則資訊並相應地更新轉換表和存取規則資料庫(在148、150處)。在至少一個實施方式中,這時候,家庭路由器106根據存取裝置104提供給其的新資訊開始處理來自遠端網路的連接請求。
在至少一個實施方式中,為了發起隱式授權階段,使用者簡單地將存取裝置104帶入遠端網路108,使用者期望從該遠端網路108中存取家庭並按壓“開始”按鈕。當然,使用者按壓“開始”按鈕以發起隱式授權階段僅被呈現用於範例性的目的,且任意可行的使用者輸入可以在一個或多個實施方式中應用。在至少一個實施方式中,存取裝置104被配置成在連接至遠端網路108時發起隱式授權階段。
第3圖描述了用於允許使用者指示存取策略的範例使用者介面300的圖解。在至少一個實施方式中,該系統為使用者呈現家庭網路上所有當前裝置的清單以及允許使用者指定哪個或哪些裝置存取正被提供。在第3圖描述的範例性實施方式中,使用者介面300呈現當前在存取可以被提供的家庭網路上的裝置的範例清單302。該範例列表302包括嬰兒攝影機、居家保全和Nest恆溫器。在所描述的實施方式中,嬰兒攝影機被選為存取被允許的裝置,而居家保全和Nest恆溫器未被選擇,且因此不被允許從遠端網路存取。在描述的使用者介面300的中間區域304中,該系統指示哪個遠端網路正被允許存取家庭。最後,在描述的使用者介面300的底部區域306中,使用者能夠指示被許可存取的期間的任意偏好和是否系統應當在許可存取之前通知使用者。
在至少一個實施方式中,在使用者交互作用結束時,存取裝置104上運行的代碼確定(1)使用者想要准許的一個或多個認可的遠端IP位址,(2)這些位址被允許接觸的家庭網路中可允許的目的地裝置(由使用者命名,且與他們的來自裝置清單資訊的唯一ID相關聯)。在一個或多個這樣的實施方式中,存取裝置104確定使用者提供的任意額外的策略資訊,諸如存取的臨時性、通知的要求等等。
在至少一個實施方式中,一旦收集到,存取裝置104安全地提供該資訊至家庭路由器106,使用在設置階段期間創建的安全憑證資訊來加密以及使用SSL或類似的加密網路連接認證至家庭路由器的連接。在至少一個實施方式中,兩個裝置經由他們的憑證驗證另一個的身份。存取裝置104之後傳送配置參數和策略資訊至家庭路由器106。
在至少一個實施方式中,從存取裝置104發送到家庭路由器106的消息具有與以下類似的格式(以及能夠以XML、JSON或其他代表來表達):
在至少一個實施方式中,該消息的前兩個部分添加新NAT轉換,指示路由器106如何處理起源於給定遠端位址且意圖在於指定埠的傳輸。路由器106被配置成使用該資訊將來自家庭路由器106的IP位址的任意連接請求的入站位址轉換為網路102內部的私有位址和埠號,以及被配置成使用該資訊將來自智慧型居家裝置110的私有位址的任意傳出(outgoing)通信的源位址轉換為家庭路由器106的WAN位址。
在至少一個實施方式中,在嘗試連接至指定埠時,該消息的後兩個部分配置存取規則(其可以被看作路由器的防火牆)以僅允許來自指定遠端IP位址或位址範圍的入站連接。該消息的後兩個部分中所示的是反映從使用者收集偏好(例如,在隱式授權時)之後做出的使用者策略決定的範例語句。在第一規則中,使用者已經指定存取將僅被允許到指定時間為止(例如,直到2015年12月7日),且因此存取規則反映該逾時週期。在第二規則中,使用者已經在存取被嘗試時請求通知。在至少一個實施方式中,函數REQUEST_APPROVAL_FROM_USER( )(請求_認可_來自_使用者( )),在路由器中執行時,將向使用者生成即時通知,其可以在存取被准許前證實。
一旦消息被接收,家庭路由器106更新其轉換表資料庫和其存取規則資料庫以包括從存取裝置104傳送的新規則,並根據這些規則開始處理連接嘗試。在至少一個實施方式中,對於使用者請求的時間週期,家庭路由器106被配置成允許從存取裝置104指定的一個或多個遠端網路的存取。在此之後,該遠端網路上的裝置能夠自由連接至指示的智慧型居家裝置。在至少一個實施方式中,來自非認可的遠端網路的其他裝置一直被家庭路由器106被拒給連接的能力。
在上述範例消息中,本地裝置被是他們的MAC位址的唯一ID識別。其他唯一識別符能夠被使用,但在一些場景下MAC位址最容易支持。
在至少一個實施方式中,在使用者已經授權遠端網路以准許對特定一組的家庭裝置存取之後,路由器如今被配置成拒絕所有其他存取,而准許(以及正確地轉換)來自認可的網路的入站訊務。在至少一個實施方式中,為了使其發生,存取裝置不需要保持駐留在遠端網路中。在至少一個實施方式中,路由器106評估違反其存取規則資料庫的每次嘗試連接。然後,轉換規則資料庫可以用來重寫傳入(incoming)封包以便他們被正確地遞送至範例智慧型居家裝置110。
第1C圖為示出了根據至少一個實施方式的入站和出站訊務的範例路由器的資料處理和/或資料流程的概述的流向圖。在至少一個實施方式中,第1C圖中描述的入站和出站訊務在設置階段和隱式授權階段之後發生。
在所描述的實施方式中,其他遠端裝置112處於遠端網路108上。
在至少一個實施方式中,當遠端網路(例如,遠端網路108)上的裝置(例如,其他遠端裝置112)嘗試連接至家庭網路(例如,家庭網路102)上的裝置(例如,智慧型居家裝置110)時,裝置發起TCP/IP連接請求(例如,經由SYN封包),其包含它的源IP位址和埠號以及包含目的地IP位址和埠號。連接請求可以經由公共網際網路114從其他遠端裝置112傳送至家庭路由器106(在152處)。
在至少一個實施方式中,當該封包到達家庭路由器106時,例如,路由器106評估其存取規則資料庫中的規則,以確定源IP位址和目的地埠號的組合是否被准許(在154處)。如果不被准許,連接請求被默默地丟棄,且遠端裝置不能連接。
如果存取規則資料庫中的規則允許從給定源位址/目的地埠對的連接嘗試,則路由器106從其轉換表資料庫擷取相關轉換規則(在156處)。在至少一個實施方式中,這些規則指定如何重寫入站和出站封包標頭兩者以便訊務能夠正確傳送家庭路由器106。為此,在至少一個實施方式中,路由器106檢查封包中包含的目的地埠號並使用其作為轉換表資料庫中的索引。資料庫包含從埠號到應當接收在該埠號被接收的封包的家庭網路102上的裝置112的鏈路層位址的映射。因為家庭網路上的裝置的IP位址可以隨著時間改變,例如,由於DHCP和其他公共家庭協定,在至少一個實施方式中,鏈路層位址被維護在轉換表中和/或用於映射至埠號。從該鏈路層位址,用於家庭裝置110的當前有效IP位址之後被查找。
此時,在至少一個實施方式中,路由器106重寫入站封包,用本地裝置IP位址代替原始目的地IP位址(其將是路由器的WAN IP位址)(在158處)。該封包之後被轉發至本地裝置110(在160處)。智慧型居家裝置110之後接受該連接(在162處)。
第4A圖是示出了根據至少一個實施方式的範例路由器的範例入站訊務的處理和/或流的流向圖。遠端裝置412通過發送包括源位址= 104.14.55.10、源埠= 2978、目的地位址= 130.207.14.1以及目的地埠= 2304的請求嘗試建立TCP連接(在420處)。
家庭路由器406,其(在該範例中)具有130.207.14.1的WAN IP位址,接收請求且分析關於來自存取規則資料庫的存取規則中的至少一些的請求中提供的資訊中的至少一些(在425處)。例如,家庭路由器406確定範例源位址、目的地埠組合是否是根據存取規則被允許的組合。
在該範例中,該組合被允許,因此一個或多個轉換規則從轉換表資料庫中被擷取(在430處)。範例轉換表指示埠2304被映射至鏈路層位址OO:13:10:OF:BC:29。對應於該鏈路層位址的本地IP位址被確定為129.168.2.55。
傳入封包之後可以被重寫(在435處)。例如,家庭路由器406可以被配置成用本地IP位址129.168.2.55代替WAN IP位址130.207.14.1。
在傳入封包被重寫之後,該封包可以被轉發至智慧型居家裝置(在4處)。例如,家庭路由器406可以被配置成轉發該寫入的封包至智慧型居家裝置410,其在該範例中為Nest恆溫器:客廳。
該連接之後可以被智慧型居家裝置410接受(在445處)。
返回第1C圖,出站訊務可以被類似地處理。在至少一個實施方式中,轉換表資料庫被用來重寫封包以在他們通過路由器106時具有正確的源位址。
在至少一個實施方式中,家庭裝置110嘗試發送應答至遠端裝置112(在164處)。家庭裝置110發送的應答可以在路由器106接收,其之後存取轉換表資料庫以能夠用適當的資訊重寫封包(在166處)。對於出站訊務,封包中的源IP位址(其將是智慧型居家裝置110的私有位址)被重寫為家庭路由器106的WAN位址(在168處)。該封包以這樣方式被重寫以便來自遠端裝置112的進一步回應被正確路由。路由器106之後轉發該封包至想要的遠端目的地(在170處),其可以隨後被遠端裝置接收。
第4B圖是示出了根據至少一個實施方式的範例路由器的出站訊務的處理和/或流的流向圖。
智慧型居家裝置410生成對遠端裝置412的應答(在450處)。在該範例中,源位址為智慧型居家裝置410本地IP位址,而目的地位址為家庭路由器406的WAN IP位址。
該應答被發送到家庭路由器406並被家庭路由器406接收。該家庭路由器406之後從轉換規則資料庫擷取轉換規則(在455處)。
在檢索到對應的轉換規則之後,傳出封包被重寫(在460處)。在該範例中,智慧型居家裝置410的本地源位址192.168.2.55被映射到路由器406的WAN IP位址130.7.207.14.1。
該封包之後可以通過家庭路由器406被轉發至遠端裝置412(在465處),且隨後被遠端裝置412接收(在470處)。
存取裝置中的差異:在這裡描述的範例性實施方式中,存取裝置作為最常見的行動電話被描述。這是因為電話是(由於其行動性)能夠容易地被帶入遠端網路的裝置,且經常與使用者一起。但其他裝置(或甚至多個裝置)能夠是各種不同實現中的存取裝置。在至少一個實施方式中,如果使用者的工作電腦利用家庭路由器通過初始設置過程而被拿取,其將能夠遠端提供對家庭網路的存取,即使工作電腦的IP位址改變。在這樣的至少一個實施方式中,這將允許從工作電腦對智慧型居家裝置的容易的遠端存取。在至少一個實施方式中,原始存取裝置(行動電話)能夠委託對一個或多個特定裝置的存取。
對標準的適用性:在至少一個實施方式中,存取裝置包括使用者運行以容易地提供存取的分別的應用。在至少一個實施方式中,該提供的代碼被“烘烤(baked in)”到供應商的遠端存取應用本身,意味著無論何時他們被運行,他們將安全地配置使用者的家庭路由器以允許從使用者當時實際正使用的網路的存取。在至少一個實施方式中,從其他網路的存取一直不被允許。這樣的方法可能作為供應商將採取的標準進行。
委託:如當前所述的,在至少一個實施方式中,每當新遠端網路被配置,存取裝置被使用。在一些場景下,該方法為家庭使用者提供最好的安保。但有時戶主希望其他人能夠提供從新網路的存取。在範例性實施方式中,祖父母希望有他們自己的存取裝置以便如果他們旅行、或使用公共WiFi網路,他們仍能夠存取他們的孫輩的嬰兒攝影機。在至少一個實施方式中,該功能通過允許存取證書的委託實現;戶主能夠傳送特殊的證書至祖父母的電話或其他裝置,其能夠隨後被用來在他們的家庭路由器上配置新遠端網路。在至少一個實施方式中,這些委託的證書允許對智慧型居家裝置的子集的存取:例如,允許祖父母設置對嬰兒攝影機而不是家庭報警系統的新存取。
撤銷:在至少一個實施方式中,該系統還能夠提供容易的方式來監測以及甚至取消存取。由於存取裝置能夠安全地與家庭路由器通信,在至少一個實施方式中,存取裝置從路由器請求當前存取規則的清單並將這些顯示給使用者,允許查看、編輯和/或移除之前許可的存取權。
額外使用者策略動作:如前提及的,使用者可以提供關於連接嘗試將被如何處理的額外策略資訊。在至少一個實施方式中,通知用來請求關於連接嘗試的使用者輸入。在至少一個實施方式中,由於路由器具有對存取裝置(例如,使用者的電話)的安全連接,路由器在某些連接被嘗試時可選地遞送通知。例如,這允許使用者認可或不認可每個連接(在其被做出的時候)。其他幾乎是任意的策略動作也能夠被包括,僅取決於路由器上運行的代碼和存取裝置上的UI的複雜性。在範例性實施方式中,選項可以被創建以記錄訊務、執行深度封包分析以准許某些內容流向遠端裝置,等等。
在該範例性實施方式使用情形場景中,Steve將要到他的公司在芝加哥的分支機搆去出差兩周且在那裡時將待在旅館裡。他還計畫在那裡時拜訪他的父母。
Steve剛剛安裝了居家保全系統和嬰兒攝影機。在離開之前,他對他的iPhone下載了遠端存取App,並使用該應用經由藍牙LE來將他的電話與他的家庭路由器配對。該app向他通知他準備在任意時間配置他的裝置的隱私和安全。
在到達芝加哥之後,Steve登記入住他的旅館並連接至旅館WiFi網路。他首先從他的電話試著查看嬰兒攝影機(例如,經由嬰兒攝影機應用),但存取被拒絕。他不能連接,因為該系統保護所有他的智慧型居家裝置不被未經他認可的任何遠端網路存取。他運行遠端存取App,其確定旅館的WiFi網路的必要網路資訊,且之後點擊“允許”。之後他返回嬰兒攝影機應用,現在其能夠馬上連接回家庭網路。Steve知道他將僅在這裡兩周,因此他將遠端存取App的期間選項設置為僅兩周。他還決定允許在離開時對他的居家保全系統的存取,以便他能夠在旅行時檢查報警狀態。
第二天Steve到公司分支機搆。他的公司膝上型電腦立即加入企業網路,但再一次,他不能從他的膝上型電腦存取嬰兒攝影機,因為所有未認可的網路預設被阻擋。為了實現存取,他拿出他的電話,並運行遠端存取App,其再次確定公司網路的網路資訊。遠端存取App預設最小允許的存取,其是Steve工作所在的特定部門。Steve在他電話上點擊認可,且現在能夠從他的膝上型電腦查看嬰兒攝影機,因為他的膝上型電腦在相同網路(其經同意)上。
那個週末,Steve終於有時間拜訪他的父母一頓推遲的晚餐。他為他們講述嬰兒攝影機,且他們很激動能夠看到他們的新孫女。在拜訪時,Steve再次提出遠端存取App,這次從祖父母的網路對嬰兒攝影機許可永久存取,意味著他們將能夠在他們希望的任意時間安全地查看他們的孫女。
因為這裡描述的範例性系統和方法的至少一個實施方式包括在其韌體中具有額外功能的家庭路由器(例如,能夠與存取裝置通信),售賣家庭網路設備的任意公司可以有動機實現這個。一個或多個系統和/或方法可以是家庭網路設備提供方的“附加價值”,因為其能夠以如下方式販售:使他們的整個智慧型家庭更安全,而無需替代/更新已有智慧型居家裝置,或對於路由器供應商甚至必須與其他家庭設備供應商合作。
出於類似的原因,網際網路服務提供方(ISP)還可以有動機採用這裡描述的系統和方法。大多數ISP現今典型地出租家庭路由器/閘道盒子給他們的客戶。“智慧居家保全”可以允許ISP對額外功能附加費用,該額外功能之後能夠被推入到閘道裝置的軟體更新。
在至少一個實施方式中,存取裝置上使用的應用不需要是獨立程式。在至少一個實施方式中,用於網路配置評價和使用者策略收集的功能整合在其他工具中,諸如智慧型家庭設備供應商或ISP和家庭網路裝備供應商所提供的。在至少一個實施方式中,谷歌(Google)的OnHub路由器附帶了稱為Google On的app(其用來控制路由器)。這裡描述的安全功能能夠被容易地整合到這樣的工具中。隨著在媒體中的智慧居家保全危害事件的增加,提供全面的安全解決方案將變得更受盼望。智慧型家庭設備供應商將很可能開始標榜他們的安全特徵作為賣點。
第5圖是示出了根據至少一個實施方式的對從廣域網路(WAN)到區域網路(LAN)的存取控制的流向圖。
在至少一個實施方式中,閘道506被配置成發送閘道LAN存取秘密至行動裝置504(在520處)。在至少一個實施方式中,在行動裝置504連接至家庭網路502時,閘道506被配置成發送閘道LAN存取秘密至行動裝置504。
在至少一個實施方式中,行動裝置504被配置成向閘道506發送包括認證資訊和IP範圍的遠端存取資訊(在530處)。在至少一個實施方式中,認證資訊從閘道LAN存取秘密獲取。在至少一個實施方式中,與行動裝置相關聯的一個或多個IP位址的IP位址範圍被確定。在至少一個實施方式中,行動裝置504在遠端網路508上時經由WAN發送遠端存取資訊。行動裝置504可能已經連接至遠端網路508,例如,在行動裝置504處於閘道506的LAN側時從閘道506接收閘道LAN存取秘密之後。
在至少一個實施方式中,閘道506維護被允許連接至家庭網路502的IP位址的白名單。在至少一個實施方式中,在閘道506發送閘道LAN存取秘密至行動裝置504之後,閘道506被配置成僅允許來自白名單上的IP位址的從WAN到LAN的訊務(在540處)。
在至少一個實施方式中,閘道506被配置成驗證認證資訊(在550處)。
在至少一個實施方式中,閘道506被配置成將IP範圍添加至白名單(在560處)。在IP範圍被添加至白名單之後,閘道506可以准許來自該範圍中的IP位址的訊務以進入家庭網路502。
第6圖描述了根據至少一個實施方式的控制從廣域網路(WAN)到區域網路(LAN)的存取的範例方法。在至少一個實施方式中,該方法由駐留在LAN和WAN之間的閘道實施。在至少一個實施方式中,閘道為家庭路由器106。
在方框602,閘道經由不包括WAN的第一本地通信路徑發送閘道LAN存取秘密至行動裝置。例如,閘道可以生成閘道LAN存取秘密和/或可以經由本地通信路徑提供生成的閘道LAN存取秘密至行動裝置。在至少一個實施方式中,閘道LAN存取秘密包括閘道LAN存取憑證。
在至少一個實施方式中,閘道經由第二本地通信路徑從行動裝置接收行動裝置LAN存取秘密。例如,行動裝置可以生成行動裝置LAN存取秘密和/或可以經由本地通信路徑提供生成的行動裝置LAN存取秘密至閘道。在至少一個實施方式中,行動裝置LAN存取秘密包括行動裝置LAN存取憑證。
在至少一個實施方式中,第一和第二本地通信路徑為同一本地通信路徑。
在至少一個實施方式中,第一和第二本地通信路徑中的一者或兩者包括LAN。
在方框604中,在閘道發送閘道LAN存取秘密之後,閘道僅允許來自閘道維護的白名單上的IP位址的從WAN到LAN的訊務。在至少一個實施方式中,在閘道發送閘道LAN存取秘密之前,閘道被配置成僅允許來自白名單上的IP位址的從WAN到LAN的訊務。在至少一個實施方式中,在閘道發送閘道LAN存取秘密之前,閘道未被配置成僅允許來自白名單上的IP位址的從WAN到LAN的訊務。
在方框606,閘道經由WAN從行動裝置接收遠端存取資訊。在至少一個實施方式中,遠端存取資訊包括從閘道LAN存取秘密獲取的認證資訊,且包括與行動裝置相關聯的一個或多個IP位址的IP位址範圍。在至少一個實施方式中,該遠端存取資訊還包括與IP位址範圍中的至少一個IP位址相關聯的埠特定資訊。在至少一個實施方式中,遠端存取資訊還包括與IP位址範圍中的至少一個IP位址相關聯的時間限制資訊。在至少一個實施方式中,遠端存取資訊還包括與IP位址範圍中的至少一個IP位址相關聯的LAN裝置限制資訊。在至少一個實施方式中,閘道在閘道的不受白名單影響的埠接收遠端存取資訊。
在方框608中,閘道驗證認證資訊並響應地添加IP位址範圍至白名單。
在至少一個實施方式中,閘道收集關於LAN上的一個或多個裝置的LAN裝置資訊,並傳送收集的LAN裝置資訊中的至少一些至行動裝置。
一個實施方式採取了一種通過連接至WAN和LAN的閘道控制從WAN上的存取裝置到LAN的存取的方法的形式,其包括(a)向存取裝置(並非經由WAN)發送用於從WAN到LAN的存取的閘道憑證,(b)從存取裝置(並非經由WAN)接收存取裝置憑證,(c)經由WAN從存取裝置接收:(i)從[閘道憑證和存取裝置憑證]獲取的資訊,以及(ii)關於與存取裝置相關聯的IP位址的資訊;以及對所接收的從[閘道憑證和存取裝置憑證]獲取的資訊[的驗證]的回應:(iii)將與裝置相關聯的IP位址添加到可允許的IP位址的列表,以及(iv)允許來自IP位址的從WAN到LAN的[未來]訊務。
在至少一個實施方式中,用於對LAN的存取的閘道憑證經由藍牙、USB檔拷貝等中的一者發送。
第二實施方式採取了一種認證從遠端網路到家庭網路的存取裝置的方法的形式,其包括(a)通過交換金鑰將存取裝置與家庭路由器相關聯,以及(b)確定存取裝置嘗試從其存取的IP位址包括(i)如果IP位址是私有的,確定路由器的IP位址並提供路由器IP位址作為“可允許的”遠端連接起源以及(ii)如果IP位址是公共的,確定子網路遮罩、計算該子網路內有效的IP位址的範圍、以及提供子網路IP位址作為“可允許的”遠端連接起源,其中(i)認證僅能夠應用於子網路遮罩的某一子域/某一裝置/某一時間幀以及(ii)存取裝置能夠委託在同一網路(從其遠端存取家庭網路)上的其他裝置的存取。
一個實施方式採取了一種包括採用存取裝置生成共用秘密憑證的方法的形式。該方法還包括發送裝置清單表至存取裝置。該方法還包括基於來自存取裝置的裝置清單表接收准許清單。該方法還包括基於共用秘密憑證確認該准許列表。該方法還包括基於確認的准許列表允許對至少一個家庭裝置的遠端存取。
另一實施方式採取了一種包括網路安保系統、處理器和儲存了當被處理器執行時可操作以執行包括至少那些在前述段落中所列的功能的指令的非暫態電腦可讀媒體的系統的形式。
在至少一個實施方式中,採用存取裝置生成共用秘密憑證包括:(i)生成路由器公共金鑰;(ii)通過區域網路反射式路由器公共金鑰到存取裝置;(iii)接收存取裝置公共金鑰;(iv)將路由器公共金鑰和存取裝置公共金鑰綁定到路由器數位憑證中以及(v)對路由器數位憑證簽名。
在至少一個實施方式中,裝置清單表包括至少一個家庭裝置和至少一個與該家庭裝置相關聯的埠。在至少一個實施方式中,該裝置清單還包括:用於維護關於如何轉換IP標頭資訊的資訊的轉換表資料庫,和包含關於哪些外部IP位址被允許連接的安全規則的存取規則資料庫。
在至少一個實施方式中,利用存取裝置基於共用秘密憑證確認准許列表包括利用與准許清單相關聯的存取裝置數位憑證確認路由器數位憑證。
在至少一個實施方式中,基於確認的准許列表允許對至少一個家庭裝置的遠端存取包括將與該確認的准許相關聯的至少一個IP位址添加到可允許的IP位址的列表。
另一實施方式採取了一種包括採用家庭路由器生成共用秘密憑證的方法的形式。該方法還包括從家庭路由器接收裝置清單表。該方法還包括確定存取家庭路由器的至少一個遠端IP位址。該方法還包括基於至少一個遠端IP位址和裝置清單表經由使用者介面生成准許清單。該方法還包括使用共用秘密憑證發送准許列表至家庭路由器以基於准許列表實現對至少一個家庭裝置的遠端存取。
另一實施方式採取了一種包括網路安保系統、處理器和儲存了當被處理器執行時可操作以執行包括至少那些在前述段落中所列的功能的指令的非暫態電腦可讀媒體的系統的形式。
在至少一個實施方式中,採用家庭路由器生成共用秘密憑證包括:(i)生成存取裝置公共金鑰;(ii)通過區域網路發送存取裝置公共金鑰到家庭路由器;(iii)接收路由器公共金鑰;(iv)將存取裝置公共金鑰和路由器公共金鑰綁定到存取裝置數位憑證;以及(v)對存取裝置數位憑證簽名。
在至少一個實施方式中,裝置清單表包括至少一個家庭裝置和與該家庭裝置相關聯的至少一個埠。
在至少一個實施方式中,確定存取家庭路由器的至少一個遠端IP位址包括確定存取裝置IP位址是私有IP位址。在至少一個這樣的實施方式中,確定存取裝置IP位址是私有IP位址包括確定與私有IP位址相關聯的閘道路由器IP位址。
在至少一個實施方式中,確定存取家庭路由器的至少一個遠端IP位址包括確定存取裝置IP位址是公共IP位址。在至少一個這樣的實施方式中,確定存取家庭路由器的至少一個遠端IP位址還包括基於公共IP位址的子網路遮罩確定IP位址的範圍。
在至少一個實施方式中,基於至少一個遠端IP位址和裝置清單表經由使用者介面生成准許清單包括經由使用者介面接收從使用者介面家庭裝置的清單對至少一個家庭裝置的選擇。在至少一個這樣的實施方式中,包括經由使用者介面接收至少一個選擇的家庭裝置的家庭裝置策略資訊。
在至少一個實施方式中,使用共用秘密憑證發送准許列表至家庭路由器包括傳送(i)共用秘密憑證,(ii)至少一個遠端IP位址,以及(iii)至少一個家庭裝置的識別符至家庭路由器。
另一實施方式採取了一種控制從廣域網路(WAN)到區域網路(LAN)的存取的方法的形式。該方法由駐留在LAN和WAN之間的閘道實施。該方法包括經由不包括WAN的第一本地通信路徑發送閘道LAN存取秘密到行動裝置。該方法還包括經由不包括WAN的第二本地通信網路從行動裝置接收行動裝置LAN存取秘密。該方法還包括在發送閘道LAN存取秘密和接收行動裝置LAN存取秘密之後,僅允許來自閘道維護的白名單上的IP位址的從WAN到LAN的訊務。該方法還包括經由WAN從行動裝置接收遠端存取資訊,其中遠端存取資訊包括(i)從閘道LAN存取秘密和行動裝置LAN存取秘密獲取的認證資訊以及(ii)與行動裝置相關聯的一個或多個IP位址的IP位址範圍。該方法還包括閘道驗證認證資訊和回應地將IP位址範圍添加至白名單。
在至少一個實施方式中,第一和第二本地通信路徑為同一本地通信路徑。
在至少一個實施方式中,第一和第二本地通信路徑為不同本能地通信路徑。
在至少一個實施方式中,第一和第二本地通信路徑中的一者或兩者包括LAN。
在至少一個實施方式中,第一和第二本地通信路徑中的一者或兩者包括閘道和行動裝置之間的通用序列匯流排(USB)連接。
在至少一個實施方式中,第一和第二本地通信路徑中的一者或兩者包括閘道和行動裝置之間的無線連接。在至少一個這樣的實施方式中,無線連接包括藍牙連接。
在至少一個實施方式中,閘道LAN存取秘密包括閘道LAN存取憑證。
在至少一個實施方式中,行動裝置LAN存取秘密包括行動裝置LAN存取憑證。
在至少一個實施方式中,在閘道發送閘道LAN存取秘密和接收行動裝置LAN存取秘密之前,閘道被配置成僅允許來自白名單上的IP位址的從WAN到LAN的訊務。
在至少一個實施方式中,在閘道發送閘道LAN存取秘密和接收行動裝置LAN存取秘密之前,閘道未被配置成僅允許來自白名單上的IP位址的從WAN到LAN的訊務。
在至少一個實施方式中,遠端存取資訊還包括與IP位址範圍中的至少一個IP位址相關聯的埠特定資訊。
在至少一個實施方式中,遠端存取資訊還包括與IP位址範圍中的至少一個IP位址相關聯的時間限制資訊。
在至少一個實施方式中,遠端存取資訊還包括與IP位址範圍中的至少一個IP位址相關聯的LAN裝置限制資訊。
在至少一個實施方式中,該方法還包括收集關於LAN上的一個或多個裝置的LAN裝置資訊以及傳送所收集的LAN裝置資訊中的至少一些至行動裝置。
注意到所描述的實施方式中的一個或多個的各種硬體元件指的是結合各個模組實施(即,執行、實行等)在這裡描述的各種功能的“模組”。如這裡使用的,模組包括相關領域技術人員視為適於給定實現的硬體(例如,一個或多個處理器、一個或多個微處理器、一個或多個微控制器、一個或多個微晶片、一個或多個專用積體電路(ASIC)、一個或多個現場可程式設計閘陣列(FPGA)、一個或多個記憶體裝置)。每個描述的模組還可以包括可執行用於實施描述為由各個模組實施的一個或多個功能的指令,且注意到那些指令能夠採取以下形式或包括以下內容:硬體(即,電路的)指令、韌體指令、軟體指令等等,並且可以儲存在一個或多個任意適當的非暫態電腦可讀媒體或媒體中,諸如通常被稱為RAM、ROM等等。
這裡揭露的範例性實施方式使用一個或多個有線和/或無線網路節點實施,諸如無線傳輸/接收單元(WTRU)或其他網路實體。
雖然上面以特定組合的方式描述了特徵和元素,但是本領域技術人員應當理解每個特徵或元素都可單獨使用,或與其他特徵和元素進行各種組合使用。此外,此處所述的方法可在結合至電腦可讀儲存媒體中的電腦程式、軟體或韌體中實現,以由電腦或處理器執行。電腦可讀儲存媒體的例子包括但不限於唯讀記憶體(ROM)、隨機存取記憶體(RAM)、暫存器、快取記憶體、半導體記憶裝置、例如內置硬碟和可移磁碟的磁媒體、磁光媒體和光媒體(例如CD-ROM碟片和數位多用途碟片(DVD))。與軟體相關聯的處理器可被用於實施在WTRU、UE、終端、基地台、RNC或任何主機中使用的射頻收發器。
第7圖是範例性WTRU 702的系統圖,其可以作為這裡描述的實施方式中的存取裝置使用。如第7圖所示,WTRU 702可以包括處理器718、包括收發器720的通信介面719、傳輸/接收元件722、揚聲器/麥克風724、小鍵盤726、顯示器/觸控板728、非可移記憶體730、可移記憶體732、電源734、全球定位系統(GPS)晶片組736、以及週邊設備738。應當理解的是在與實施方式保持一致的同時,WTRU 702可以包括前述元件的任意子組合。
處理器718可以是通用目的處理器、專用目的處理器、常規處理器、數位訊號處理器(DSP)、多個微處理器、與DSP核相關聯的一個或多個微處理器、控制器、微控制器、專用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)電路、任何其它類型的積體電路(IC)、狀態機等。處理器718可以執行信號解碼、資料處理、功率控制、輸入/輸出處理,和/或使得WTRU 702能夠操作在無線環境中的其他任何功能。處理器718可以耦合到收發器720,該收發器720可以耦合到傳輸/接收元件722。儘管第7圖中將處理器718和收發器720描述為分別的組件,但是應當理解的是處理器718和收發器720可以被一起整合到電子封裝或者晶片中。
傳輸/接收元件722可以被配置成通過空中介面716將信號發送到基地台,或者從基地台接收信號。例如,在一種實施方式中,傳輸/接收元件722可以是被配置成發射和/或接收RF信號的天線。例如,在另一種實施方式中,傳輸/接收元件722可以是被配置成發射和/或接收例如IR、UV或者可見光信號的發射器/檢測器。在又一種實施方式中,傳輸/接收元件722可以被配置成發射和接收RF信號和光信號兩者。應當理解,傳輸/接收元件722可以被配置成發射和/或接收無線信號的任意組合。
此外,儘管傳輸/接收元件722在第7圖中被描述為單個元件,但是WTRU 702可以包括任何數量的傳輸/接收元件722。更具體地,WTRU 702可以使用MIMO技術。由此,在一個實施方式中,WTRU 102可以包括兩個或更多個傳輸/接收元件722(例如,多個天線)以用於通過空中介面716發射和/或接收無線信號。
收發器720可以被配置成對將由傳輸/接收元件722發射的信號進行調變,並且被配置成對由傳輸/接收元件722接收的信號進行解調。如上所述,WTRU 702可以具有多模式能力。由此,收發器720可以包括多個收發器以用於使得WTRU 702能夠經由多個RAT進行通信,例如UTRA和IEEE 802.11。
WTRU 702的處理器718可以被耦合到揚聲器/麥克風724、小鍵盤726和/或顯示器/觸控板728(例如,液晶顯示(LCD)顯示單元或者有機發光二極體(OLED)顯示單元),並且可以從揚聲器/麥克風724、小鍵盤726和/或顯示器/觸控板728接收使用者輸入資料。處理器718還可以向揚聲器/麥克風724、小鍵盤726和/或顯示器/觸控板728輸出使用者資料。此外,處理器718可以存取來自任何類型的合適的記憶體中的資訊,以及向任何類型的合適的記憶體中儲存資料,該記憶體例如是非可移記憶體730和/或可移記憶體732。非可移除記憶體730可以包括隨機存取記憶體(RAM)、唯讀記憶體(ROM)、硬碟或者任何其他類型的記憶體儲存裝置。可移除記憶體732可以包括用戶身份模組(SIM)卡、記憶條、安全數位(SD)記憶卡等。在其他實施方式中,處理器718可以存取來自實體上未位於WTRU 702上(例如位於伺服器或者家庭電腦(未示出)上)的記憶體的資料,以及向上述記憶體中儲存資料。
處理器718可以從電源734接收電能,並且可以被配置成將該電能分配給WTRU 702中的其他組件和/或對至WTRU 702中的其他元件的電能進行控制。電源734可以是任何適用於給WTRU 702供電的裝置。例如,電源734可以包括一個或多個乾電池(鎳鎘(NiCd)、鎳鋅(NiZn)、鎳氫(NiMH)、鋰離子(Li-ion)等)、太陽能電池、燃料電池等。
處理器718還可以耦合到GPS晶片組736,該GPS晶片組736可以被配置成提供關於WTRU 702的當前位置的位置資訊(例如,經度和緯度)。WTRU 702可以通過空中介面716從基地台接收加上或取代GPS晶片組736資訊之位置資訊,和/或基於從兩個或更多個相鄰基地台接收到的信號的定時(timing)來確定其位置。應當理解,在與實施方式保持一致的同時,WTRU 702可以通過任何合適的位置確定方法來獲取位置資訊。
處理器718還可以耦合到其他週邊設備738,該週邊設備738可以包括提供附加特徵、功能和/或無線或有線連接的一個或多個軟體和/或硬體模組。例如,週邊設備738可以包括感測器,諸如加速度計、電子指南針(e-compass)、衛星收發器、數位相機(用於照片或者視頻)、通用序列匯流排(USB)埠、震動裝置、電視收發器、免持耳機、藍牙®模組、調頻(FM)無線電單元、數位音樂播放機、媒體播放機、視頻遊戲機模組、網際網路流覽器等等。
第8圖描述了可以在本揭露的實施方式中使用的範例性網路實體890,例如作為家庭路由器。如第8圖所描述的,網路實體890包括通信介面892、處理器894、以及非暫態資料儲存器896,他們中所有均通過匯流排、網路、或其他通信路徑898被通信地連結。
通信介面892可以包括一個或多個有線通信介面和/或一個或多個無線通信介面。關於有線通信,例如,通信介面892可以包括一個或多個諸如乙太網介面的介面。關於無線通信,通信介面892可以包括諸如一個或多個天線、為一個或多個類型的無線(例如,LTE)通信配置和設計的一個或多個收發器/晶片組、和/或相關領域技術人員視為合適的任意其他組件的組件。且進一步地關於無線通信,通信介面892可以按比例配備且配備有適於在無線通信(例如,LTE通信、WiFi通信等等)的與使用者端側相對的網路側動作的配置。因此,通信介面892可以包括適當的設備和電路(可能包括多個收發器)用於服務多個行動站、UE或覆蓋區域內的其他存取終端。
處理器894可以包括相關領域技術人員視為合適的任意類型的一個或多個處理器,一些範例包括通用目的微處理器和專用DSP。
資料儲存器896可以採取任意非暫態電腦可讀媒體或這樣的媒體的組合的形式,僅舉幾例,一些範例包括快閃記憶體、唯讀記憶體(ROM)、隨機存取記憶體(RAM),因為相關領域技術人員視為合適的任意一個或多個類型的非暫態資料儲存器能夠被使用。如第8圖所描述的,資料儲存器896包含處理器894可執行的用於實施這裡描述的各種網路實體功能的各種組合的程式指令897。
102、502‧‧‧家庭網路
104‧‧‧存取裝置
106、406‧‧‧家庭路由器
108、508‧‧‧遠端網路
110、410‧‧‧智慧型居家裝置
112‧‧‧其他遠端裝置
114‧‧‧公共網際網路
300‧‧‧使用者介面
302‧‧‧範例清單
304‧‧‧中間區域
306‧‧‧底部區域
412‧‧‧遠端裝置
504‧‧‧行動裝置
506‧‧‧閘道
602、604、606、608‧‧‧方框
702‧‧‧WTRU
716‧‧‧空中介面
718、894‧‧‧處理器
719、892‧‧‧通信介面
720‧‧‧收發器
722‧‧‧傳輸/接收元件
724‧‧‧揚聲器/麥克風
726‧‧‧小鍵盤
728‧‧‧顯示器/觸控板
730‧‧‧非可移記憶體
732‧‧‧可移記憶體
734‧‧‧電源
736‧‧‧全球定位系統(GPS)晶片組
738‧‧‧週邊設備
890‧‧‧網路實體
896‧‧‧資料儲存器
897‧‧‧指令
LAN‧‧‧區域網路
Nest‧‧‧耐施特
T/T‧‧‧轉換表
WAN‧‧‧廣域網路
104‧‧‧存取裝置
106、406‧‧‧家庭路由器
108、508‧‧‧遠端網路
110、410‧‧‧智慧型居家裝置
112‧‧‧其他遠端裝置
114‧‧‧公共網際網路
300‧‧‧使用者介面
302‧‧‧範例清單
304‧‧‧中間區域
306‧‧‧底部區域
412‧‧‧遠端裝置
504‧‧‧行動裝置
506‧‧‧閘道
602、604、606、608‧‧‧方框
702‧‧‧WTRU
716‧‧‧空中介面
718、894‧‧‧處理器
719、892‧‧‧通信介面
720‧‧‧收發器
722‧‧‧傳輸/接收元件
724‧‧‧揚聲器/麥克風
726‧‧‧小鍵盤
728‧‧‧顯示器/觸控板
730‧‧‧非可移記憶體
732‧‧‧可移記憶體
734‧‧‧電源
736‧‧‧全球定位系統(GPS)晶片組
738‧‧‧週邊設備
890‧‧‧網路實體
896‧‧‧資料儲存器
897‧‧‧指令
LAN‧‧‧區域網路
Nest‧‧‧耐施特
T/T‧‧‧轉換表
WAN‧‧‧廣域網路
第1A圖為示出了根據至少一個實施方式的範例設置階段的資料處理和/或資料流程的概述的流向圖; 第1B圖為示出了根據至少一個實施方式的範例隱式授權階段的資料處理和/或資料流程的概述的流向圖; 第1C圖為示出了根據至少一個實施方式的入站和出站訊務的範例路由器的資料處理和/或資料流程的概述的流向圖; 第2圖是描述了確定遠端網路配置參數這一過程的範例性實施方式的流程圖; 第3圖是根據至少一個實施方式的用於允許使用者指示存取策略的範例使用者介面的圖解; 第4A圖是示出了根據至少一個實施方式的範例路由器的入站訊務的處理和/或流的流向圖; 第4B圖是示出了根據至少一個實施方式的範例路由器的範例出站訊務的處理和/或流的流向圖; 第5圖是示出了根據至少一個實施方式的對從廣域網路(WAN)到區域網路(LAN)的存取控制的流向圖; 第6圖是描述了根據至少一個實施方式的控制從廣域網路(WAN)到區域網路(LAN)的存取的範例方法的流程圖; 第7圖示出了根據至少一個實施方式的可以作為存取裝置使用的範例性無線傳輸/接收單元(WTRU);以及 第8圖示出了根據至少一個實施方式的可以作為家庭路由器使用的範例性網路實體。
602、604、606、608‧‧‧方框
LAN‧‧‧區域網路
WAN‧‧‧廣域網路
Claims (15)
- 一種用於控制從一廣域網路(WAN)到一區域網路(LAN)的存取的方法,該方法由駐留在該LAN和該WAN之間的一閘道實施,該方法包括: 經由不包括該WAN的一第一本地通信路徑發送一閘道LAN存取秘密到一行動裝置; 在發送該閘道LAN存取秘密之後,僅允許來自由該閘道維護的白名單上的IP位址的從該WAN到該LAN的一訊務; 經由該WAN從該行動裝置接收遠端存取資訊,其中該遠端存取資訊包括(i)從該閘道LAN存取秘密獲取的認證資訊和(ii)與該行動裝置相關聯的一個或多個IP位址的一IP位址範圍;以及 該閘道驗證該認證資訊並響應地將該IP位址範圍添加至該白名單。
- 如申請專利範圍第1項所述的方法,該方法還包括: 經由不包括該WAN的一第二本地通信路徑從該行動裝置接收行動裝置LAN存取秘密, 其中該認證資訊還從該行動裝置LAN存取秘密獲取。
- 如申請專利範圍第2項所述的方法,其中該第一本地通信路徑和該第二本地通信路徑為同一本地通信路徑。
- 如申請專利範圍第2項所述的方法,其中該第一本地通信路徑和該第二本地通信路徑中的一者或兩者包括該LAN。
- 如申請專利範圍第2項所述的方法,其中該第一本地通信路徑和該第二本地通信路徑中的一者或兩者包括該閘道和該行動裝置之間的一通用序列匯流排(USB)連接或該閘道和該行動裝置之間的一無線連接。
- 如申請專利範圍第2項所述的方法,其中該行動裝置LAN存取秘密包括一行動裝置LAN存取憑證。
- 如申請專利範圍第1項所述的方法,其中該閘道LAN存取秘密包括一閘道LAN存取憑證。
- 如申請專利範圍第1項所述的方法,其中在該閘道發送該閘道LAN存取秘密之前,該閘道被配置成僅允許來自該白名單上的IP位址的從該WAN到該LAN的訊務。
- 如申請專利範圍第1項所述的方法,其中在該閘道發送該閘道LAN存取秘密之前,該閘道未被配置成僅允許來自該白名單上的IP位址的從該WAN到該LAN的訊務。
- 如申請專利範圍第1項所述的方法,其中該遠端存取資訊還包括與該IP位址範圍中的至少一個IP位址相關聯的埠特定資訊。
- 如申請專利範圍第1項所述的方法,其中該遠端存取資訊還包括與該IP位址範圍中的至少一個IP位址相關聯的時間限制資訊。
- 如申請專利範圍第1項所述的方法,其中該遠端存取資訊還包括與該IP位址範圍中的至少一個IP位址相關聯的LAN裝置限制資訊。
- 如申請專利範圍第1項所述的方法,該方法還包括: 收集關於該LAN上的一個或多個裝置的LAN裝置資訊;以及 將該所收集的LAN裝置資訊中的至少一些傳送至該行動裝置。
- 如申請專利範圍第1所述的方法,其中接收該遠端存取資訊包括在不受該白名單影響的該閘道的一埠接收該遠端存取資訊。
- 一種用於控制從一廣域網路(WAN)到一區域網路(LAN)的存取的系統,該系統包括: 一閘道,被配置成駐留在該LAN和該WAN之間; 一處理器;以及 一非臨時電腦可讀媒體,其儲存當被該處理器執行時可操作以執行功能的指令,該功能包括: 經由不包括該WAN的一第一本地通信路徑發送一閘道LAN存取秘密到一行動裝置; 在發送該閘道LAN存取秘密之後,僅允許來自由該閘道維護的一白名單上的IP位址的從該WAN到該LAN的訊務; 經由該WAN從該行動裝置接收遠端存取資訊,其中該遠端存取資訊包括(i)從該閘道LAN存取秘密獲取的認證資訊和(ii)與該行動裝置相關聯的一個或多個IP位址的一IP位址範圍;以及 該閘道驗證該認證資訊並響應地將該IP位址範圍添加至該白名單。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662310405P | 2016-03-18 | 2016-03-18 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW201739284A true TW201739284A (zh) | 2017-11-01 |
Family
ID=58387928
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106107807A TW201739284A (zh) | 2016-03-18 | 2017-03-09 | 網路級智慧型居家保全系統及方法 |
Country Status (2)
| Country | Link |
|---|---|
| TW (1) | TW201739284A (zh) |
| WO (1) | WO2017160557A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110278536A (zh) * | 2019-06-06 | 2019-09-24 | 浙江大华技术股份有限公司 | 配置参数的下发方法及系统、配置参数的接收方法 |
| CN110657472A (zh) * | 2019-09-05 | 2020-01-07 | 杭州电子科技大学 | 基于iOS的智能油烟机通信调度方法 |
| CN113726761A (zh) * | 2021-08-27 | 2021-11-30 | 深圳供电局有限公司 | 一种基于白名单的网络安全防护方法 |
| CN114710348B (zh) * | 2022-03-31 | 2023-07-04 | 湖北工业大学 | 用户使用家庭智能设备的授权认证与密钥协商方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4129783B2 (ja) * | 2002-07-10 | 2008-08-06 | ソニー株式会社 | リモートアクセスシステム及びリモートアクセス方法 |
| KR100754207B1 (ko) * | 2006-02-15 | 2007-09-03 | 삼성전자주식회사 | 무선 디바이스의 접근에 따라 자동으로 응용을 실행하는방법 및 장치 |
| US20100233960A1 (en) * | 2009-03-16 | 2010-09-16 | Brian Tucker | Service discovery functionality utilizing personal area network protocols |
-
2017
- 2017-03-08 WO PCT/US2017/021388 patent/WO2017160557A1/en active Application Filing
- 2017-03-09 TW TW106107807A patent/TW201739284A/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017160557A1 (en) | 2017-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10791506B2 (en) | Adaptive ownership and cloud-based configuration and control of network devices | |
| US8724515B2 (en) | Configuring a secure network | |
| US11343226B2 (en) | Systems and methods for micro network segmentation | |
| KR102021213B1 (ko) | 엔드 투 엔드 서비스 계층 인증 | |
| JP2018525935A (ja) | インターネットに接続可能なデバイスを用いた安全な通信 | |
| US10362000B2 (en) | Virtual Wi-Fi network and secure tunnel provisioning for reliable, persistent connection of energy devices at the customer's premises | |
| US11838269B2 (en) | Securing access to network devices utilizing authentication and dynamically generated temporary firewall rules | |
| US11302451B2 (en) | Internet of things connectivity device and method | |
| US20220210649A1 (en) | Systems and method for micro network segmentation | |
| TW201739284A (zh) | 網路級智慧型居家保全系統及方法 | |
| US20150249639A1 (en) | Method and devices for registering a client to a server | |
| US9531717B2 (en) | Method of securing access to data or services that are accessible via a device implementing the method and corresponding device | |
| JP4775154B2 (ja) | 通信システム、端末装置、プログラム、及び、通信方法 | |
| Gao et al. | SecT: A lightweight secure thing-centered IoT communication system | |
| EP3206423A1 (en) | Device and method for connecting devices to a network | |
| US20210136106A1 (en) | Ssl/tls spoofing using tags | |
| Sethi et al. | Secure network access authentication for IoT devices: EAP framework vs. individual protocols | |
| Zegzhda et al. | Protection of Wi-Fi network users against rogue access points | |
| Detken et al. | Leveraging trusted network connect for secure connection of mobile devices to corporate networks | |
| ŢEICAN et al. | A Smart-Phone Security Framework for Accessing Enterprise Wi-Fi Networks | |
| Mason | CCNP Security Secure 642-637 Quick Reference | |
| CN115769203A (zh) | 用于将设备并入到局域网中的装置和方法 | |
| Sequeira | CCSP IPS Quick Reference (Digital Short Cut) | |
| Matei | CCNP Security VPN 642-648 Quick Reference | |
| Stakenburg | Managing the Client-side Risks of IEEE 802.11 Networks |