安全管理設備及提供網絡認證信息的方法

2023-07-28 02:16:46 3

專利名稱：安全管理設備及提供網絡認證信息的方法
技術領域：
本發明涉及利用網絡進行的客戶機設備的安全認證。
背景技術：
網絡設備的認證、授權和管理對於管理網絡安全來說至關重要，並隨著網絡在安全性和複雜性兩方面需求的增加而成為用戶更大的負擔。 認證描述了在客戶機設備與網絡之間針對網絡識別客戶機的信息的傳送。授權描述了通過網絡向客戶機授予許可以加入網絡以及對文件或服務的訪問等級的分配。管理描述了對可以許可何人或何物加入網絡進行控制以及對所許可的文件或服務的訪問的行為或等級進行控制的管理行為。 隨著無線網絡的到來，利用無線網絡安全地認證和授權客戶機設備的需要變得更加重要。需要不僅確保客戶機設備與網絡之間的通信業務而且確實地建立客戶機設備正在訪問正確的無限網絡，因為通常多個無線網絡在特定位置運行。 在現有無線網絡協議(諸如藍牙)中，通過結合網絡的兩"端"來調用"配對"程序(即，客戶機設備想要加入，並且設備形成網絡結構的一部分，諸如伺服器或主機)。這種方式滿足了上面針對網絡安全性和明確客戶機認證的需求，因為僅特定客戶機設備將結合在配對程序中。程序自身導致客戶機設備與主機設備之間可靠連接的建立，因為連接的兩端必需參與到配對程序中。然而，如果網絡在多個用戶之間共享，則這種類型的配對程序是不適合的且難以管理。 無線區域網(W-LAN)產業採用了不同的實施方式，其中，客戶機必需正確地輸入共享密鑰(已知WEP密鑰)，使其可以加入網絡。然而，該認證方法會帶來網絡密鑰被偷竊的危險。此外，由於在無線網絡上執行操作，所以不能確保確定的網絡連接(然而，不同類型的密鑰(已知WPA密鑰)不能對此進行改進)。此外，輸入網絡密鑰要求對設備(例如，其可以是懸掛式投影器)進行直接的物理訪問，並且要求在設備上存在鍵盤和/或簡單的屏幕，對於現有的消費電子設備增加了成本。 此外，在這種類型的系統中，不可能確保正確的客戶機設備(從網絡的視點出發)或網絡(從客戶機設備的視點出發)被認證，因為在客戶機設備和網絡之間沒有物理連接，而這又是唯一已知的確保設備"A"加入網絡"B"的方法。 在針對該問題的一些解決方案中，為了確定地使客戶機加入特定網絡，經由臨時的有線連接進行客戶機設備與目標網絡中的主機設備之間的物理"配對"。在又一實施方式中，通過配對按鈕的同時按壓來正確地識別兩個設備。儘管該認證方法保證了正確的兩個設備被"配對"，但其仍然要求對兩個設備進行物理訪問。 這些實施方式都不容易用於較大網絡，因此，需要一種認證方法，允許在客戶機設備與主機網絡之間快速安全地傳送信息，能夠利用簡單的用戶接口使客戶機無線地加入給定網絡。

發明內容
根據本發明的第一方面，提供了一種安全管理設備，包括存儲器，用於存儲用於 網絡的網絡認證信息；以及發射機，用於無線地將所存儲的網絡認證信息傳輸至將連接至 第二設備的設備。 根據本發明的又一方面，提供了一種設備，包括接收機，用於從安全管理設備無 線地接收用於網絡的網絡認證信息，該設備用於使用所接收的網絡認證信息連接至第二設 備。 根據本發明的又一方面，提供了一種方法，包括以下步驟將網絡認證信息從安全 管理設備無線地傳輸至將連接至第二設備的設備。


現在，將參照附圖僅通過實例描述本發明，其中 圖1是根據本發明的無線網絡的框圖； 圖2是根據本發明實施例的安全管理設備的框圖； 圖3是根據本發明實施例的普通客戶機設備的框圖； 圖4是根據本發明實施例的配置安全管理設備的方法的流程圖；以及 圖5是根據本發明實施例的建立網絡的方法的流程圖。
具體實施例方式
圖l示出了根據本發明建立的無線網絡的框圖。無線網絡2包括網絡伺服器4，其 如現有技術一樣管理和控制無線網絡2。儘管將管理和控制伺服器示出為集中式單元，但其 完全可以利用該功能的分布式實施。無線網絡接入點6經由有線連接8連接至網絡伺服器 4，並提供了通過其可以將客戶機設備10、12和14無線連接至網絡2的方式。應該理解，網 絡伺服器4可以替換地經由無線連接而連接至無線網絡接入點6。儘管包括在該應用中的 本發明具體應用於無線連接的設備，但其同樣可應用於有線網絡。在所示實施例中，客戶機 設備包括膝上型電腦10、個人數字助理12和懸掛式投影器14。 如上所述，當客戶機設備10、 12或14中的一個想要第一次連接至無線網絡2時， 傳統方法要求客戶機設備10、12或14和無線網絡接入點6結合在配對程序中(要求用戶 具有與設備的直接物理接觸)，或者需要手動地將預定網絡密鑰輸入至客戶機設備10、12 或14(要求用戶與客戶機設備具有直接物理接觸，並且還在客戶機設備上具有合適的輸入 裝置用於輸入網絡密鑰)。 然而，根據本發明，設置了安全管理設備16，以為客戶機設備提供諸如網絡識別符 和網絡密鑰的網絡認證信息，而不要求用戶與客戶機設備直接物理接觸。在一個實施例中， 存儲在安全管理設備16中的網絡認證信息可以使用光源(例如，相干或非相干光源(包括 雷射器)或簡單調製的光束(例如，在可見或紅外光譜內))而提供給客戶機設備，以及在 可選實施例中，可以使用近場傳輸技術來提供。可選地，應該理解，可以使用其他合適的無 線通信技術。 由於聚焦光束的簡單方法或者小心地控制無線傳輸的範圍，從安全管理設備16 到客戶機設備10需要視線範圍或非常近的距離(在使用調製的光或雷射的情況下)，或者安全管理設備16必需非常接近於客戶機設備10(在使用近場傳輸技術的情況下)，用戶可 以確定地確認客戶機設備10設置有關於正確網絡2的信息。 圖2示出了根據本發明的安全管理設備16的框圖。安全管理設備16包括存儲
器20，用於存儲針對網絡2的網絡認證信息；合適的發射機22，用於將網絡認證信息傳輸至
客戶機設備(10，12，14);以及處理器24，用於控制安全管理設備16的操作。 在所示實施例中，安全管理設備16還包括鍵盤26，用於接收來自安全管理設備
16的用戶的輸入(諸如新的網絡認證信息或PIN)以對用戶進行授權；顯示器28 ;以及一些
驗證裝置30，用於驗證用戶被授權使用安全管理設備16。優選地，驗證裝置30為包括至少
一種類型的生物傳感器(例如，指紋讀取器、虹膜掃描器等)的生物驗證裝置30。 在又一實施例中，安全管理設備16可包括諸如USB接口的外部輸入/輸出接口，
用於從伺服器或主機4接收新的網絡認證信息。如果客戶機設備不支持以本文所述方式無
線接收網絡認證信息，或者如果客戶機設備10易於訪問並且安全管理設備16的網絡管理
員或其他用戶想要使用直接物理連接來傳送網絡認證信息，則外部輸入/輸出接口還可以
用於直接將安全管理設備16連接至客戶機設備10。 優選地，安全管理設備16為小型手持設備，並且大小可以使其附接至鑰匙圈或類 似物。在具體實施例中，安全管理設備16的形式或形狀可以類似於鑰匙鏈、雷射筆或存儲 卡。 圖3示出了根據本發明實施例的客戶機設備10。如上所述，客戶機設備10可以為 膝上型電腦，其包括處理器36、顯示器38、小鍵盤或鍵盤40、存儲器42和無線網絡收發器 44。無線網絡收發器44可包括用在任意合適的網絡(諸如W-LAN、藍牙或任意其他普通無 線網絡)中的收發器。根據本發明，客戶機設備10還包括接收機46，其為適當的類型以從 安全管理設備16中的發射機22接收網絡認證信息。因此，如果發射機22使用紅外光或可 見光，則接收機46包括適當的光傳感器。應該指出，在大多數聯網的設備中，諸如紅外遠程 控制信號傳感器的光傳感器已經內置在設備中。 諸如網絡伺服器的主機設備4可具有與如3所示的客戶機設備10、12或14相同 的基本結構。 圖4示出了根據本發明實施例的安全管理設備16的配置方法。在步驟101中，例 如通過按壓"電源"按鈕等啟動安全管理設備16。在步驟103中，安全管理設備的用戶身份 被認證或驗證。這可以通過用戶向安全管理設備16的鍵盤輸入適當的PIN或者通過確定 用戶的生物數據並將其與存儲在安全管理設備16的存儲器20中的先前確定的生物數據進 行比較來執行。 一旦確認了用戶的身份，該方法就前進到步驟105，從中確定網絡認證信息。
如上所述，網絡認證信息可以包括諸如網絡標識符、網絡密鑰、網絡的各種設定 (例如，所使用的無線電頻率、無線電傳輸格式等)的信息，其中，通過將使用的安全管理設 備16的類型來確定信息的準確類型。可基於已經存在於所建立無線網絡2或期望將被建 立的網絡的設定或信息，通過安全管理設備16的用戶使用鍵盤26輸入安全管理設備16來 確定信息。可選地，如果安全管理設備16包括外部輸入/輸出接口，則信息可以從另一個 電子設備(例如個人計算機)經由該接口傳送至安全管理設備16。 應該理解，可以以如果安全管理設備16被竊防止恢復信息的方式來加密或保護 存儲在安全管理設備16上的信息。可以使用任何適當的技術(包括PIN)。
6
在本發明的一個實施例中，安全管理設備16還可包括用於所標識用戶的安全等 級，其表示用戶被許可訪問網絡的等級，和/或用戶在設備之間設置網絡連接的管理特權 的等級。例如，具有最高安全等級的用戶(例如管理員)能夠使用安全管理設備16來設 置整個網絡(即，將網絡認證信息提供給任意類型的設備)，以修改所要求的網絡認證信息 等。具有最低安全等級的用戶(例如網絡的訪問用戶)只能使用安全管理設備16來設置 一個具體類型的連接(例如，在它們的具體客戶機設備與網絡之間)或者只能修改它們具 體的PIN或其他識別信息。 在又一實施例中，安全管理設備16的用戶被驗證的等級(即，所要求的PIN或更 強的生物識別符)取決於用戶的安全等級。因此，安全管理設備16的低安全等級用戶只能 被要求輸入簡單的PIN，而高安全等級用戶(例如網絡管理員)可以被要求輸入生物信息或 複雜的PIN。使用幾種不同的密鑰或信息來訪問網絡(諸如"完備秘密"密鑰)的這些方法 對本領域的技術人員來說是已知的。 在本發明的又一實施例中，確定網絡認證信息的步驟可包括通過將"標準"網絡 密鑰(即，密碼短語或字符的隨機選擇)與安全管理設備16的用戶所特有的信息(諸如它 們的PIN或從它們的生物概況中取得的信息)相結合以形成最終的認證密鑰，來確定網絡 密鑰(即，用於訪問網絡或對網絡中的通信進行加密的密鑰或密碼短語)。用於執行該組合 的方法對本領域的技術人員來說是已知的。然後，設備可使用認證密鑰的最終傳送來訪問 網絡和/或加密通信。該認證密鑰使安全管理設備16的用戶確保客戶機設備連接至正確 的網絡2，因為密鑰對於用戶和最終的主機和/或客戶機設備來說基本上是唯一的。
—旦確認了網絡認證信息，該方法就前進到步驟107，其中，在安全管理設備16的 存儲器20中存儲網絡認證信息。 圖5是使用安全管理設備16來在包括主機設備4的多個設備(諸如網絡伺服器 和至少一個客戶機設備10、12或14)之間建立新網絡2的方法的流程圖。在步驟121中， 例如通過按壓"電源"按鈕等啟動安全管理設備16。在步驟122中，如上面參照步驟103所 描述的，驗證用戶的身份。
0037] 當驗證了安全管理設備16的用戶的身份時，隨後，在步驟123中，根據圖4所示方 法確定並存儲在安全管理設備16的存儲器20中的網絡認證信息被依次傳輸至多個設備中 的每一個。如上所述，使用發射機22 (可包括可見光源或紅外調製光源、或近場無線通信發 射機)，從安全管理設備16傳輸網絡認證信息。因此，在發射機22為可見光源或紅外光源 的情況下，安全管理設備16必須依次指向每個設備(10、 12或14)上的接收機46，或者在使 用近場通信技術的發射機22的情況下，安全管理設備必須設置為接近設備10。
如果新網絡中的主機設備4還不具有用於新網絡的網絡認證信息(例如，如果用 戶將網絡認證信息直接輸入安全管理設備16)，則安全管理設備16可用於以與對於客戶機 設備10相同的方式將網絡認證信息傳輸至主機設備4(步驟124)。 因此，通過僅使用存儲在安全管理設備16上的信息，能以這種方式建立包括全新
設備(在集中式網絡的情況下包括主機設備)的安全網絡。 在步驟125中，在主機和客戶機設備中存儲網絡認證信息。 在步驟127中，主機設備4使用所接收的網絡認證信息並根據在由主機和客戶機 設備4和1Q、12或14支持的網絡類型中使用的通用程序依次建立與每個客戶機設備10的連接。 因此，由於無線地將網絡認證信息提供給客戶機設備10、12和14以及不要求用戶 與客戶機設備物理接觸，所以安全管理設備16允許無線連接且快速容易地建立無線網絡。
例如，考慮向現有WLAN網絡添加多個新設備。可以利用網絡ID(名為 "CompanyName")和網絡密碼(名為"Secretl")來設置安全管理設備16。然後，在將該信 息傳送給每個新設備之後，設備可以使用信息建立適當連接。因此，安全管理設備16不參 與設備之間任何的實際數據信號傳輸。 可以以上面參照圖5描述的相同方式使用根據本發明的安全管理設備16，以向現 有網絡2添加新的永久或臨時的客戶機設備10、12和14。在這種情況下，安全管理設備16 具有用於現有網絡2的存儲在存儲器20中的適當網絡認證信息(從主機設備4接收或通 過安全管理設備16的用戶直接輸入)，並使用發射機22傳輸至新的客戶機設備10、 12或 14。 在一些實施例中，網絡認證信息可包括新客戶機設備10所特有的信息，諸如將提 供給該客戶機10的服務等級(包括帶寬、下載/上載限制、用於訪問網絡2的優先權、可被 用作向商業無線網絡支付的電子貨幣的訪問信用等級、固有ID碼等)。該設備特有等級信 息可包括與適當服務等級相關聯的網絡認證信息中的存取碼。可基於客戶機設備的用戶是 否是已知的網絡2訂戶或成員或者用戶是否為網絡2的臨時訪問者，來提供不同的服務等 級。 網絡認證信息還可以隨時間發生變化(包括改變客戶機設備10的專用服務等 級)。在這種情況下，即使這些設備已經連接至網絡2，安全管理設備16可用於將該新的網 絡認證信息傳送至客戶機設備10、12和14。在這種情況下，一旦接收到新的網絡認證信息， 客戶機設備10就可以適當地調整連接參數，或者使用新信息重新連接至網絡2。
通過使用光學裝置來傳輸網絡認證信息，安全管理設備16可以從遠方指向客戶 機或主機設備，並且通過照射安裝在被添加至網絡的設備上或設置中的接收設備(諸如投 影器、接入點等)以安全方式傳達網絡認證信息。因此，通過利用安全管理設備16在客戶 機設備上照射適當點來確定地識別客戶機設備。 通過免除直接使每個客戶機設備經由鍵盤或類似的物理人機接口人工輸入網絡 認證信息的需要，安全管理設備16允許無線地設置新網絡。
權利要求
一種安全管理設備，包括存儲器，用於存儲用於網絡的網絡認證信息；以及發射機，用於將所存儲的網絡認證信息無線地傳輸至將被連接至第二設備的設備。
2. 根據權利要求1所述的安全管理設備，其中，所述發射機包括光源，用於照射在連接至所述網絡的所述設備上的接收機。
3. 根據權利要求2所述的安全管理設備，其中，所述光源包括調製光源或雷射光源。
4. 根據權利要求2或3所述的安全管理設備，其中，所述光源發射可見光。
5. 根據權利要求2或3所述的安全管理設備，其中，所述光源發射紅外光。
6. 根據權利要求1所述的安全管理設備，其中，所述發射機包括近場無線通信發射機。
7. 根據前述權利要求中任一項所述的安全管理設備，還包括驗證設備，用於驗證所述安全管理設備的用戶的身份。
8. 根據權利要求7所述的安全管理設備，其中，所述驗證設備為生物驗證設備。
9. 根據權利要求7或8所述的安全管理設備，還包括處理裝置，用於使用針對所述驗證設備的用戶輸入來確定所述網絡認證信息的至少一部分。
10. 根據前述權利要求中任一項所述的安全管理設備，其中，所述網絡認證信息包括網絡標識、網絡密鑰和用於用戶的服務等級中的至少一個。
11. 根據前述權利要求中任一項所述的安全管理設備，還包括輸入裝置，用於使用戶將所述網絡認證信息輸入所述安全管理設備。
12. 根據權利要求1至11中任一項所述的安全管理設備，還包括輸入/輸出接口 ，用於從主機設備接收所述網絡認證信息。
13. —種設備，包括接收機，用於無線地從安全管理設備接收用於網絡的網絡認證信息；所述設備用於使用所接收的網絡認證信息連接至第二設備。
14. 根據權利要求13所述的設備，其中，所述接收機包括光傳感器。
15. 根據權利要求14所述的設備，其中，所述光傳感器包括調製光傳感器或雷射傳感器。
16. 根據權利要求14或15所述的設備，其中，所述光傳感器用於感測可見光。
17. 根據權利要求14或15所述的設備，其中，所述光傳感器用於感測紅外光。
18. 根據權利要求13所述的設備，其中，所述接收機包括近場無線通信接收機。
19. 根據權利要求13至18中任一項所述的設備，還包括無線網絡收發機，用於使用所接收的網絡認證信息建立與所述第二設備的連接。
20. 根據權利要求13至19中任一項所述的設備，其中，所述設備為主機設備。
21. 根據權利要求13至19中任一項所述的設備，其中，所述設備為客戶機設備。
22. 根據權利要求13至21中任一項所述的設備，其中，所述網絡認證信息包括網絡標識、網絡密鑰和用於用戶的服務等級中的至少一個。
23. —種方法，包括無線地從安全管理設備向將連接至第二設備的設備傳輸網絡認證信息。
24. 根據權利要求23所述的方法，還包括使用由所述設備接收的所述網絡認證信息，以將所述設備連接至第二設備。
25. 根據權利要求23或24所述的方法，其中，傳輸網絡認證信息的步驟包括使用所述安全管理設備中的光源傳輸信息並照射在將連接至所述網絡的所述設備上的光傳感器。
26. 根據權利要求25所述的方法，其中，所述光源包括調製光源或雷射光源。
27. 根據權利要求25或26所述的方法，其中，所述光源發射可見光。
28. 根據權利要求25或26所述的方法，其中，所述光源發射紅外光。
29. 根據權利要求25所述的方法，其中，傳輸網絡認證信息的步驟包括使用所述安全管理設備中的近場無線通信發射機將信息傳輸至將連接至所述網絡的所述設備中的相應接收機。
30. 根據權利要求23至29中任一項所述的方法，還包括在將所述網絡認證信息傳輸至所述設備之前，驗證所述安全管理設備的用戶的身份。
31. 根據權利要求30所述的方法，其中，驗證步驟包括驗證所述安全管理設備的用戶的生物信息。
32. 根據權利要求30或31所述的方法，還包括使用來自所述驗證步驟的用戶輸入來確定所述網絡認證信息的至少一部分。
33. 根據權利要求23至32中任一項所述的方法，其中，所述網絡認證信息包括網絡標識、網絡密鑰和用於用戶的服務等級中的至少一個。
全文摘要
提供了一種安全管理設備及提供網絡認證信息的方法，允許設備之間的網絡連接的安全建立，該安全管理設備包括存儲器，用於存儲用於網絡的網絡認證信息；以及發射機，用於將所存儲的網絡認證信息無線地傳輸至將被連接至第二設備的設備。
文檔編號H04L29/06GK101711471SQ200880016314
公開日2010年5月19日 申請日期2008年5月9日 優先權日2007年5月24日
發明者鄧肯·布萊姆納 申請人:Iti蘇格蘭有限公司