专利名称:一种实现设备分组及分组设备间交互的方法
技术领域:
本发明涉及设备管理技术,尤指一种对网络上设备进行分组并实现分组设备之间交互的方法。
背景技术:
目前,在很多网络中,为了便于对同类型的、或具有共同特征的设备进行管理,通常将网络中的设备按照某种特性进行分组,比如按照设备地址、按照所提供的服务等等。
但是,现有的设备分组管理存在一些缺陷1)同一个设备不能以不同的身份加入多个组,一旦某个设备被划分到某个组中,其身份就固定了。2)在同一组内或不同组间的任意两个设备之间不存在信任关系,而当前所需的业务又要求提供安全认证的情况下,这两个设备之间就无法进行通信,那么,这两个设备之间也就不可能实现资源共享。
可见,现有技术中的设备分组方案不能提供设备间的灵活交互,也不能保证任意两个设备之间的安全通信和资源共享。
发明内容
有鉴于此,本发明的主要目的在于提供一种实现设备分组及分组设备间交互的方法,在便于设备管理的同时,能支持同一设备加入不同分组,并且能实现任意设备间基于安全认证的通信交互。
为达到上述目的,本发明的技术方案是这样实现的一种实现设备分组及分组设备间交互的方法,关键在于,网络中创建设备组的设备向网络发送携带有自身所属设备组标识信息的宣告消息,需加入相应设备组的网络设备在收到宣告消息后,加入相应宣告消息所标识的设备组,当两个网络设备进行交互时,该方法还包括发起设备向被访问设备发送访问请求,收到访问请求的设备判断发出请求的设备是否为自己信任的设备,如果是,则双方进行交互;否则,被访问设备直接拒绝发起设备的访问请求或与发起设备确定共同的可信第三方,发起设备从所确定的共同可信第三方获取被访问设备的密钥信息,用所获取的密钥信息与被访问设备进行交互。
上述方案中,所述设备组为对等设备组,则所述加入宣告消息所标识的设备组为请求加入设备组的网络设备在自身设备组标识中添加宣告消息所携带的设备组标识。
上述方案中,所述设备组为主从设备组,则所述加入宣告消息所标识的设备组为请求加入设备组的网络设备向所要加入设备组中的主设备发送加入请求;主设备根据预置信息确定是否允许当前发起请求的设备加入,并向当前发起请求的设备返回携带有授权结果的响应消息。其中,所述响应消息中的授权结果为拒绝加入,则该消息中进一步携带有拒绝原因信息。
上述方案中,所述被访问设备属于主从设备组,所述发起设备与被访问设备确定共同可信第三方具体为发起设备判断自身是否与被访问设备属于同一主从设备组,如果是,则将主设备作为共同可信第三方;否则,发起设备作为从设备加入被访问设备所属的主从设备组,然后将所加入的主从设备组的主设备作为共同可信第三方。
上述方案中,所述发起设备属于主从设备组且被访问设备属于对等设备组,所述发起设备与被访问设备确定共同可信第三方具体为被访问设备作为从设备加入发起设备所属的主从设备组,然后将所加入的主从设备组的主设备作为共同可信第三方。
发起设备或被访问设备加入新的主从设备组之前,进一步包括发起设备或被访问设备从对方设备获取对方设备的描述信息。
上述方案中,所述发起设备和被访问设备均属于对等设备组,则所述发起设备与被访问设备确定共同可信第三方具体为发起设备将自身所有的可信第三方通知被访问设备,被访问设备判断发起设备的所有可信第三方中是否存在与自身相同的可信第三方,如果有,则选择一个确定为共同可信第三方。
该方法还包括发起设备获取被访问设备的密钥信息后,将密钥信息发送给被访问设备。
上述方案中,发起设备从共同可信第三方同时获取由共同可信第三方与发起设备之间共享密钥加密的加密密钥,以及由共同可信第三方与被访问设备之间共享密钥加密的加密密钥;然后将由共同可信第三方与被访问设备之间共享密钥加密的加密密钥发送给被访问设备。
本发明所提供的实现设备分组及分组设备间交互的方法,在现有的网络体系结构基础上,将各种加入网络的设备,如PC、笔记本、PDA、打印机、投影仪、电视、手机等设备进行分组管理。当需要进行通信或资源共享的两个设备不属于同一分组时,可以让其中一个设备同时加入另一个设备所属的分组中,从而将两个分组之间的交互变为一个分组内部的交互,为分组设备之间的通信交互和资源共享提供了灵活的机制。另外,当需要进行通信或服务调用的两个设备之间不存在信任关系时,这两个设备可以寻找一个双方均可信赖的第三方,通过第三方的安全认证建立这两个设备之间的通信交互。
上述以不同身份同时加入不同设备组的方案,以及通过第三方认证实现任意设备间安全通信的方案,可以适用于需要同时交互的、任意的多个设备。换句话说,本发明提供了一种相应的设备群组生成和管理的方法,可以根据用户的不同需求,形成不需要集中管理的自组织网络或有集中管理需求的网络结构,进而实现任意分组设备之间的安全通信和资源共享。
图1为对等设备组的建立过程;图2为主从设备组的建立过程;
图3为对等设备组内设备间交互的实施例图;图4为主从设备组内设备间交互的实施例图;图5为任意两设备通过可信第三方进行交互的一实施例图;图6为任意两设备通过可信第三方进行交互的另一实施例图;图7为本发明方法一具体应用实施例图。
具体实施例方式
本发明将网络上的设备按照某种规则划分为不同逻辑结构的设备群组,比如生成对等结构的设备群组或主从结构的设备群组。在每种设备组中,设备遵循的规则不同,设备间的交互方法不同,设备间关系不同,满足不同的网络设备管理需求。本发明是将设备组作为一种设备管理机制,设备组对设备的管理作用表现在以下几个方面1)设备组对外呈现为设备的集合,是一个整体。设备组中的设备之间可以根据不同的协同交互规则来共同向外提供一些功能,并通过设备组的描述将组内设备协同实现的功能向网络上宣告,用户可以通过查找相应的设备组来得到其所希望的功能。
2)设备组中的某个设备作为该设备组中其他设备与组外联系的接口。
3)设备组中的某个设备作为该设备组中所有设备的可信赖的第三方,为组内设备间的交互提供安全支持。
本发明中,主要提出了两种类型的设备分组一种是对等设备组,另一种是主从设备组,每个设备组均有唯一的设备组标识。其中,对等设备组是指组内各个设备为对等关系的设备组,对等设备组中任意两个设备之间的交互是直接的,不需要受其他设备的控制。其主要目的是对设备进行分组管理,希望加入对等设备组的设备不需要进行任何身份认证过程,只要将设备中的设备组标识设置成目标设备组的标识即可。对等设备组在生命周期内应不间断的向网络上宣告自己的信息,以便被网络上其他设备发现,发起该宣告的设备可以是创建该对等设备组的设备。
主从设备纽是指纽内存在一个主设备的设备组,主设备管理设备组的创建、解散并控制从设备的加入,主设备可以获取管理该设备组内所有设备及设备上资源的信息。主从设备组在生命周期内应不间断的向网络上宣告自己的信息,以便被网络上其他设备发现,发起该宣告的设备可以是该设备组的主设备。
某个设备在没有加入任何一个设备组时,设备之间的交互是对等的。该设备可以发现网络上其它处于某个设备组内和/或设备组外的设备,以及当前存在的对等和主从设备组。一个设备可以根据需求加入一个或多个对等和/或主从设备组。
本发明提出了设备组的概念,那么,就涉及到设备组建立、设备组解散、设备组宣告以及设备组内或组间设备交互等流程。其中,设备组建立和宣告的过程如图1、图2所示,图1为对等设备组的建立过程,图2为主从设备组的建立过程。某个设备首先创建一个对等或主从设备组;之后,该设备向网络进行设备组宣告;收到设备组宣告的设备可以通过设置自身参数或发请求的方式随时加入所需的设备组。
网络中的任何一个设备均可创建一个对等设备组,对等设备组的创建标志就是网络中不间断的有包含该设备组标识的宣告消息存在,该宣告消息可以由创建该设备组的设备发送,这样其他设备在收到该设备组宣告后,可以决定是否加入该对等设备组。
由于对等设备组的特点是加入该设备组的设备不需要经过任何的身份认证,所以当某个设备试图加入某个对等设备组时,只需将本设备中的设备组标识设置为当前要加入的设备组标识即可。如果某个设备同时加入几个不同的对等设备组,就会同时设置多个设备组标识。在实际操作中,每个对等设备中可以设置一个设备组标识列表,该对等设备每加入一个对等设备组就会在设备组标识列表中增加一个记录。
如图1所示,假定网络中存在三个设备设备11、设备12和设备13,首先设备11创建了一个对等设备组;之后,设备11向网络中的设备12和设备13发送本设备组的宣告消息,设备12和设备13收到宣告消息后,如果希望加入该对等设备组,则配置自身的参数。这里,对等设备组宣告消息的组成结构如表一所示。
表一表一中,设备组标识DeviceGroupId唯一标识一个设备组,对等设备组的宣告消息中,设备组类型DeviceGroupType为对等设备组。表一中,设备组标识和设备组名称从创建该对等设备组的设备自己生成,比如通过某种已有算法生成设备组标识,或直接简单的将本地MAC地址+设备组创建时间作为设备组标识等等;设备组宣告有效时间由创建对等设备组的设备来确定,该有效时间也可以随时更新。
对等设备组内各个设备之间的访问安全由各个设备自身负责,对等设备组外的设备也可以访问对等设备组内的设备,设备组外设备与设备组内设备之间的访问安全由各自设备自身负责。
对于主从设备组,网络中的任何一个设备均可创建一个主从设备组,主从设备组的创建标志就是网络中不间断的有包含该设备组标识的宣告消息存在,该宣告消息可以由创建该设备组的设备发送,该设备作为该主从设备组的主设备,其他设备收到该宣告消息后可以决定是否加入该主从设备组。这里,主从设备组宣告消息的组成结构如表二所示。
表二当某个设备试图加入某个主从设备组时,该设备需要向该主从设备组的主设备发起加入设备组请求,两个设备进行相互的身份认证后,主设备根据加入设备组的授权检查允许或拒绝该设备加入设备组的请求,并将是否允许加入的结果发送给发出请求的设备。如果允许,则相应设备作为从设备加入该主从设备组,并且,从设备会在自身增加相应的设备组标识,主设备也会记录相应从设备的相关信息。其中,加入设备组请求消息和加入设备组响应消息的组成结构,分别如表三和表四所示。
表三
表四如图2所示,假定网络中存在三个设备设备21、设备22和设备23,设备21创建了一个主从设备组,此时,设备21作为该主从设备组的主设备;之后,设备21向设备22和设备23发送设备组宣告消息,设备22和设备23收到后,希望加入该主从设备组,则设备22和设备23分别向设备21发送加入设备组请求,设备21分别与设备22和设备23之间经过身份认证后,设备21根据预先设置的条件确定是否允许设备22和设备23加入本设备组,并将结果通过加入设备组响应发给设备22和设备23,如果拒绝加入,响应消息中可进一步携带拒绝原因。其中,可以将所有允许加入的设备的标识形成一个列表,放置于主设备中。
在主从设备组中,主从设备组内的各从设备都将主设备看作可信赖的第三方,由主设备提供认证服务。
主从设备组外的设备也可以访问主从设备组内的设备,设备组外设备与设备组内设备之间的访问安全由各自设备自身负责;主从设备组内的设备间进行交互时,访问安全可以由各自设备自身负责,也可以由主设备提供的可信第三方的认证服务来负责,这里,可信第三方可以是主设备自身。
对应设备组的建立,存在设备组的解散。对于对等设备组的解散,是指当网络中没有某个对等设备组的宣告消息时,该对等设备组即呈解散状态,可能的原因是该设备组内没有设备存在。通常,对等设备组的宣告由创建该对等设备组的设备进行,该对等设备组的其他设备此时不进行本设备组的宣告。当该对等设备组的其他设备收不到本设备组的宣告后,可以根据一定的规则,重新选举出一个设备来负责进行本设备组的宣告。所以,彻底没有该对等设备组的宣告时,可能就是该设备组内不再存在设备。
对于主从设备组的解散,当网络中没有某个主从设备组的宣告消息时,该主从设备组即呈解散状态,可能的原因是该主从设备组的主设备退出网络。通常,主从设备组的宣告由主从设备组中的主设备进行,该主从设备组的其他设备此时将不进行本设备组的宣告。
对等设备组内设备间的交互如图3所示,图3所示实施例中包括三个对等设备对等设备1、对等设备2和对等设备3,对等设备1与对等设备2之间存在信任关系,对等设备1与对等设备3之间不存在信任关系。当对等设备1要访问对等设备2时,对等设备1向对等设备2发送访问请求消息,对等设备2发现对方是自己信任的设备,则向对等设备1返回允许访问的响应,双方开始交互,在交互过程中,两设备间的安全认证均由两设备自己负责。当对等设备1要访问对等设备3时,对等设备1向对等设备3发送访问请求消息,对等设备3发现对方不是自己信任的设备,则向对等设备1返回拒绝访问的响应。
在两个对等设备之间不存在信任关系的情况下,如果这两个对等设备之间要实现安全通信,也可以通过一个可信第三方。那么,以对等设备1要访问不存在信任关系的对等设备2为例,这两个对等设备之间确认共同可信第三方的过程可以是这样对等设备1将自己当前拥有的所有可信第三方的设备信息通知对等设备2,对等设备2收到后,判断其中是否有某个或某几个设备也是自己的可信第三方,如果有,则对等设备2从中任意选择一个作为双方共同的可信第三方,然后将选定的设备信息反馈给对等设备1,对等设备1从选定的可信第三方获取访问对等设备2的授权,进一步访问对等设备2;如果没有,则对等设备2向对等设备1返回失败信息或通知不能找到共同可信第三方的信息。当然,上述确认共同可信第三方的过程也可以将对等设备1和对等设备2的位置对换,即由对等设备2通知,对等设备1判断并选定共同可信第三方。
在主从设备组中,主设备会缓存本设备组中所有从设备上的资源信息,某个从设备可以在主设备上找到本组内其他从设备上的资源信息。主从设备组内从设备间进行交互时,可以借助于主设备这个所有从设备共同的可信第三方提供的认证服务,在原来不具备信任关系的从设备间建立基于共同可信第三方的信任关系,使得任意两个从设备间能通过信任检查而实现交互。当然,两个从设备之间如果存在除主设备以外的共同可信第三方,同样,可利用两从设备之间的任意一个共同可信第三方完成信任检查、实现交互。
如图4所示,主从设备组中的从设备41与从设备42之间不存在信任关系,但存在共同的可信第三方--主设备40,那么,当从设备41要访问从设备42时,包括以下步骤步骤401~402从设备41向从设备42发起访问请求;从设备42发现从设备41不是自己信任的设备,所以返回一个拒绝其访问的响应。
步骤403~404从设备41向从设备42发出获取从设备42设备描述信息的请求;从设备42收到后,将自身的设备描述信息发给从设备41,其中包括自身可信第三方的信息,从设备42的描述信息示例如下<DeviceDescription>
<DeviceId>从设备42Id</DeviceId>
<DeviceSecurityDescription>
<DeviceSecurityId>
urn3rdPartyAuthenService3rdAuthProtocol_Kerberosv5RSA-1024AuthenServiceProvider主设备标识提供的认证服务标识AES-128-128MD5</DeviceSecurityId>
</DeviceSecurityDescription>
步骤405从设备41根据从设备42的设备描述中提供的可信第三方设备的标识和认证服务标识,向可信第三方设备的认证服务发起获取访问从设备42的授权请求。本实施例中,可信第三方设备就是主设备40。
基于可信第三方的认证、消息传输加密及消息认证机制的认证请求消息的组成结构如表五所示。
表五本实施例中,表五中的目标设备标识就是主设备40的标识,源设备标识为设备41的标识,从设备41标识和从设备42标识分别为要进行交互的两个设备的标识。
步骤406由于主设备40与从设备41和从设备42都有信任关系,所以主设备40返回给从设备41一个用于从设备41和从设备42之间进行安全交互的消息加密密钥key,并用主设备40和从设备41之间事先拥有的共享密钥加密key1将key加密;同时用主设备40和从设备42之间的共享密钥加密key2将key加密,然后将两个分别加密过的key通过认证响应消息发给从设备41。
基于可信第三方的认证、消息传输加密及消息认证机制的认证响应消息的组成结构如表六所示。
表六步骤407~409从设备41将用key2加密过的key发给从设备42,并将共同可信第三方设备即当前主从设备组中主设备40的标识发给从设备42,从设备42可以根据主设备40的标识确认从设备41是从自身哪个可信第三方设备获得的密钥,从而进行解密得到key;从设备42给从设备41发出确认收到key的消息,并将从设备41设置成可信设备;从设备41对key1进行解密得到key,并用key将请求消息加密发给从设备42,从设备42用key解密,并将响应消息用key加密返回给从设备41,从设备41用key进行解密,从而完成交互。
对等设备组内的一个对等设备为了能与一个与之没有信任关系的主从设备组中的从设备进行交互,可以主动加入该主从设备组,并通过可信第三方,如主设备的帮助实现交互。本实施例中,对等设备1要访问从设备52,对等设备1与从设备52之间没有信任关系,如图5所示,其实现过程包括以下步骤步骤501~502对等设备1向从设备52发起访问请求;从设备52因对等设备1不是自己信任的设备,所以返回一个拒绝其访问的响应。
步骤503~504对等设备1向从设备52发出获取从设备52设备描述信息的请求;从设备52将自身的设备描述信息发给对等设备1,其中包括自身可信第三方的信息,从设备52的描述信息示例如下<DeviceDescription>
<DeviceId>从设备52Id</DeviceId>
<DeviceSecurityDescription>
<DeviceSecurityId>
urn3rdPartyAuthenService3rdAuthProtocol_Kerberosv5RSA-1024AuthenServiceProvider主设备标识提供的认证服务标识AES-128-128MD5</DeviceSecurityId>
</DeviceSecurityDescription>
步骤505为了能访问从设备52,对等设备1根据从设备52设备描述中提供的可信第三方设备的标识和认证服务标识,向从设备52所在主从设备组的主设备50发起加入该主从设备组的请求。本实施例中,可信第三方设备就是主设备50。
步骤506对等设备1与主设备50间存在两两间的信任关系,通过认证后,主设备50同意其加入本设备组,成为从设备51。
步骤507从设备51因与从设备52同处于一个主从设备组内,所以,从设备51向主设备50请求获取与从设备52交互的授权。
步骤508由于主设备50与从设备51和从设备52都有信任关系,所以返回给从设备51一个用于从设备51和从设备52之间进行安全交互的消息加密密钥key,并用主设备50和从设备51之间事先拥有的共享密钥加密key1将key加密;同时用主设备50和从设备52之间的共享密钥加密key2将key加密,然后将两个分别加密过的key发给从设备51。
步骤509~511从设备51将用key2加密过的key发给从设备52,并将共同可信第三方设备即当前主从设备组中主设备50的标识发给从设备52,从设备52可以根据主设备50的标识确认从设备51是从自身哪个可信第三方设备获得的密钥,从而进行解密得到key;从设备52给从设备51发出确认收到key的消息,并将从设备51设置成可信设备;从设备51对key1进行解密得到key,并用key将请求消息加密发给从设备52,从设备52用key解密,并将响应消息用key加密返回给从设备51,从设备51用key进行解密,从而完成交互。
如果是从设备52要访问对等设备1,同样是让对等设备1加入从设备52所在的主从设备组,处理过程与步骤501~511的描述类似。
一个主从设备组内的主或从设备为了能与一个与之没有信任关系的另一个主从设备组内的从设备进行交互,可以主动加入该主从设备组,并通过可信第三方,如主设备的帮助实现交互。本实施例中,从设备1’属于主从设备组A,从设备62属于主从设备组B,从设备1’要访问从设备62,从设备1’与从设备62之间没有信任关系,如图6所示,其实现过程包括以下步骤步骤601~602从设备1’向从设备62发起访问请求;从设备62因设备1’不是自己信任的设备,所以返回一个拒绝其访问的响应。
步骤603~604从设备1’向设备62发出获取从设备62的设备描述信息的请求;从设备62将自身的设备描述信息发给从设备1’,其中包括自身可信第三方的信息,从设备62的描述信息示例如下
<DeviceDescription>
<DeviceId>从设备62Id</DeviceId>
<DeviceSecurityDescription>
<DeviceSecurityId>
urn3rdPartyAuthenService3rdAuthProtocol_Kerberosv5RSA-1024AuthenServiceProvider主设备标识提供的认证服务标识AES-128-128MD5</DeviceSecurityId>
</DeviceSecurityDescription>
步骤605为了能访问从设备62,从设备1’根据从设备62的设备描述中提供的可信第三方设备的标识和认证服务标识,向从设备62所在主从设备组B的主设备60发起加入该主从设备组的请求。本实施例中,可信第三方设备就是主从设备纽B中的主设备60。
步骤606从设备1’与主设备60间存在两两间的信任关系,通过认证后,主设备60同意其加入本设备组,成为主从设备组B中的从设备61。
步骤607~608由于主设备60与从设备61和从设备62都有信任关系,所以返回给从设备61一个用于从设备61和从设备62之间进行安全交互的消息加密密钥key,并用主设备60和从设备61之间事先拥有的共享密钥加密key1将key加密;同时用主设备60和从设备62之间的共享密钥加密key2将key加密,然后将两个分别加密过的key发给从设备61。
步骤609~611从设备61将用key2加密过的key发给从设备62,并将共同可信第三方设备即当前主从设备组中主设备60的标识发给从设备62,从设备62可以根据主设备60的标识确认从设备61是从自身哪个可信第三方设备获得的密钥,从而进行解密得到key;从设备62给从设备61发出确认收到key的消息,并将从设备61设置成可信设备;从设备61对key1进行解密得到key,并用key将请求消息加密发给从设备62,从设备62用key解密,并将响应消息用key加密返回给从设备61,从设备61用key进行解密,从而完成交互。
图7为本发明方法的一个具体应用实例,如图7所示,网络上的三个设备笔记本、投影仪和打印机构成一个设备组A,该设备组能提供将接收的文本或图片信息在大屏幕上显示并打印出来的功能。该设备组可以存在于会议室或家庭中,该设备组可以是主从设备组,也可以是对等设备组,这里以主从设备组为例。
由于主从设备组A已建立,所以,网络中会不间断的存在主从设备组A的宣告消息,同时,该主从设备组A会将自身提供的功能通过组播或广播的方式在网络上宣告,比如可以在宣告消息中携带该主从设备组A的输入接口参数,表明该主从设备组A可以显示并打印输入文本/JPEG图像。
该主从设备组A中的输入接口通过笔记本上的一个程序实现,输出通过笔记本上的另一个程序控制投影仪和打印机来实现,笔记本与投影仪、打印机之间的交互属于设备组内部的交互,组外设备看不到。在该主从设备组内部,笔记本、投影仪、打印机三个设备之间通过HTTP协议进行互通,其中,笔记本作为HTTP Server端,投影仪和打印机作为HTTP Client端。
手机作为一个对等设备,希望将其拍摄的内容投放显示出来共享并打印成照片,也就是说,手机需要访问主从设备组A。由于本实施例中所使用的手机是蓝牙手机,所以,图7中的代理(Proxy)用于实现蓝牙到以太网协议之间的转换。
手机通过侦听组播消息得到主从设备组A的输入接口及该接口所在的设备后,可以向该设备发起对该设备的调用,这里,具体说就是手机向笔记本发起调用,通过HTTP POST将拍下的图片发给笔记本上实现输入接口的应用程序监听的地址端口。笔记本上实现输入接口的程序在通过其监听的地址端口收到图片后,通过控制命令要求投影仪使用HTTP GET命令将指定的JPEG图片取走,并显示出来;同时,通过控制命令要求打印机使用HTTP GET命令将指定的JPEG图片取走,并打印出来。
本实施例中,如果手机与笔记本之间不存在信任关系,则手机需要先加入主从设备组A,再以从设备身份与笔记本进行交互。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种实现设备分组及分组设备间交互的方法,其特征在于,网络中创建设备组的设备向网络发送携带有自身所属设备组标识信息的宣告消息,需加入相应设备组的网络设备在收到宣告消息后,加入相应宣告消息所标识的设备组,当两个网络设备进行交互时,该方法还包括发起设备向被访问设备发送访问请求,收到访问请求的设备判断发出请求的设备是否为自己信任的设备,如果是,则双方进行交互;否则,被访问设备直接拒绝发起设备的访问请求或与发起设备确定共同的可信第三方,发起设备从所确定的共同可信第三方获取被访问设备的密钥信息,用所获取的密钥信息与被访问设备进行交互。
2.根据权利要求1所述的方法,其特征在于,所述设备组为对等设备组,则所述加入宣告消息所标识的设备组为请求加入设备组的网络设备在自身设备组标识中添加宣告消息所携带的设备组标识。
3.根据权利要求1所述的方法,其特征在于,所述设备组为主从设备组,则所述加入宣告消息所标识的设备组为请求加入设备组的网络设备向所要加入设备组中的主设备发送加入请求;主设备根据预置信息确定是否允许当前发起请求的设备加入,并向当前发起请求的设备返回携带有授权结果的响应消息。
4.根据权利要求3所述的方法,其特征在于,所述响应消息中的授权结果为拒绝加入,则该消息中进一步携带有拒绝原因信息。
5.根据权利要求1所述的方法,其特征在于,所述被访问设备属于主从设备组,所述发起设备与被访问设备确定共同可信第三方具体为发起设备判断自身是否与被访问设备属于同一主从设备组,如果是,则将主设备作为共同可信第三方;否则,发起设备作为从设备加入被访问设备所属的主从设备组,然后将所加入的主从设备组的主设备作为共同可信第三方。
6.根据权利要求1所述的方法,其特征在于,所述发起设备属于主从设备组且被访问设备属于对等设备组,所述发起设备与被访问设备确定共同可信第三方具体为被访问设备作为从设备加入发起设备所属的主从设备组,然后将所加入的主从设备组的主设备作为共同可信第三方。
7.根据权利要求5或6所述的方法,其特征在于,发起设备或被访问设备加入新的主从设备组之前,进一步包括发起设备或被访问设备从对方设备获取对方设备的描述信息。
8.根据权利要求1所述的方法,其特征在于,所述发起设备和被访问设备均属于对等设备组,则所述发起设备与被访问设备确定共同可信第三方具体为发起设备将自身所有的可信第三方通知被访问设备,被访问设备判断发起设备的所有可信第三方中是否存在与自身相同的可信第三方,如果有,则选择一个确定为共同可信第三方。
9.根据权利要求1所述的方法,其特征在于,该方法还包括发起设备获取被访问设备的密钥信息后,将密钥信息发送给被访问设备。
10.根据权利要求1或9所述的方法,其特征在于,发起设备从共同可信第三方同时获取由共同可信第三方与发起设备之间共享密钥加密的加密密钥,以及由共同可信第三方与被访问设备之间共享密钥加密的加密密钥;然后将由共同可信第三方与被访问设备之间共享密钥加密的加密密钥发送给被访问设备。
全文摘要
本发明公开了一种实现设备分组及分组设备间交互的方法,网络中创建设备组的设备向网络发送携带有自身所属设备组标识信息的宣告消息,需加入相应设备组的网络设备在收到宣告消息后加入相应宣告消息所标识的设备组,两个网络设备进行交互时,该方法包括发起设备向被访问设备发送访问请求,收到访问请求的设备判断发出请求的设备是否为自己信任的设备,如果是,则双方进行交互;否则拒绝该访问请求或与发起设备确定共同的可信第三方,发起设备从所确定的共同可信第三方获取被访问设备的密钥信息,用所获取的密钥信息与被访问设备进行交互。该方法在便于设备管理的同时,能支持同一设备加入不同分组,并且能实现任意设备间基于安全认证的通信交互。
文档编号H04L12/24GK1691603SQ200410037708
公开日2005年11月2日 申请日期2004年4月28日 优先权日2004年4月28日
发明者罗予晋, 刘洋, 郭明亮 申请人:联想(北京)有限公司