专利名称:生成和分布网络安全参数的制作方法
生成和分布网络安全参数相关申请的交叉引用本申请要求于2011年6月I日提交的美国临时专利申请61/492,240、2011年6月28日提交的美国实用专利申请13/170,979的优先权,其全部内容结合于此作为参考。
背景技术:
家庭联网中存在多种不同类型的技术。一些家庭具有运行至不同位置的超5类或更好的非屏蔽双绞线(UTP)布线,在这种类型的电缆上可运行电气与电子工程师协会(IEEE)802.3以太网。然而,许多家庭可能不能连接到以太网,并且添加这种线路可能成本太高。IEEE 802. IlWi-Fi为允许进行无线家庭联网的替代品,但是由于干扰、距离、视线阻碍等等,其性能容易降低。家庭私人网络适配器(HPNA)以及同轴电缆多媒体联盟(MoCA)分别提供通过普通老式电话服务(POTS)电缆和同轴电缆(这些可能已经存在于电话和/或电视服务房间内)进行联网的标准。电源线通信(PLC)标准,例如IEEE 1901、HomePlug AV等 等,提供通过交流(AC)电源线进行的联网,在任何电源插座处均可用。由于各种联网技术的特征不同,家庭可采用多种技术。
发明内容
一种系统,包括多个网络装置,通过采用多种异构链路层技术的聚合式数据通信网络进行数据通信;并且其中,所述网络装置中的至少一个网络装置包括到所述聚合式数据通信网络的多个网络接口,所述网络接口中的第一网络接口采用所述异构链路层技术中的第一异构链路层技术,所述网络接口中的第二网络接口采用所述异构链路层技术中的第二异构链路层技术,并且所述网络装置中的所述至少一个网络装置进一步包括网络安全参数管理逻辑,所述网络安全参数管理逻辑被配置为获得聚合式网络密码;以及通过至少部分地基于所述聚合式网络密码、使用相应的一种异构链路层技术的本地配对协议为所述网络接口中的一个网络接口配对,连接至所述聚合式数据通信网络。
参照以下附图可更好地理解本公开的多个方面。附图中的组件不必按比例绘出,而是重点是清楚地示出本发明的原理。而且,在附图中,相似的参考标号在全部多幅图中表示相应的部件。图I为根据本公开的各种实施方式的聚合式网络的图。图2为提供根据本公开的各种实施方式的图I的聚合式网络中所采用的网络装置的一个实例图示的示意性框图。图3为提供根据本公开的各种实施方式的图I的聚合式网络中所采用的网关的一个实例图示的示意性框图。图4为根据本公开的各种实施方式的表示图I的聚合式网络中所采用的分层网络模型的示图。
图5至图8为示出被实现为根据本公开的各种实施方式的作为图I的聚合式网络中的网络装置中执行的密钥管理逻辑和/或密钥分布逻辑的部分的功能性实例的流程图。图9A至图9C为示出根据本公开的各种实施方式的图I的聚合式网络中使用由网关集中的网络密钥分布的网络装置之间的网络密钥分布的序列图。图10为示出根据本公开的各种实施方式的图I的聚合式网络中使用分散的网络密钥分布的网络装置之间的网络密钥分布的序列图。图11为示出根据本公开的各种实施方式图I的聚合式网络中关于配对事件在网络装置之间进行配对的序列图。
具体实施例方式本公开涉及在采用多个异构链路层技术的聚合式数据通信网络中生成和分布网络安全参数。电气与电子工程师协会(IEEE) P1905. I为讨论中的一个标准,该标准能够使 用多个不同链路层联网技术(例如IEEEP1901电源线通信(PLC)、IEEE 802. llffi-Fi, IEEE802.3以太网、同轴电缆多媒体联盟(MoCA) I. I和/或其他联网技术),在家庭网络或其他网络中连接装置。IEEE P1905. I限定了抽象层,该层为异构联网技术提供通用数据和控制服务接入点,以便提供无缝用户体验。由于家庭中网络装置的位置、网络装置的性能、应用程序的特定质量服务需要和/或其他原因,可采用不同的联网技术。本公开的各种实施方式有助于在IEEE P1905. I网络和/或相似的网络内生成和分布网络安全参数。在一个实施方式中,用户可提供单个聚合式网络密码,用于每个支持的链路技术的本地安全/保密协议的各个安全和保密参数可源自该密码。这种本地协议的实例可包括IEEE P1901简单连接,Wi-Fi受保护设置(WPS :Wi-Fi Protected Setup)等等。在另一个实例中,可使用利用密钥分布的按钮配对(push-button pairing)将任何网络装置配对至聚合式数据通信网络。在一时间段内,在新装置上可按下按钮并且在聚合式网络上的任何其他装置上可按下另一按钮,以有助于配对,即使这两个装置不共享相同链路层联网技术的共同链路。术语“配对”此处用于表示将网络装置认证至通过加密和/或其他安全/保密控制进行保护的聚合式网络。在各种实施方式中,配对交换网络密钥,而非交换密码,而且密码不能源自密钥。而且,可保持网络分离,使得来自一个聚合式网络的密钥不被分布给不同的聚合式网络的装置。在下面的讨论中,大致描述该系统和其部件,然后讨论其操作。参看图1,示出了根据各种实施方式的聚合式网络100的一个实例。聚合式网络100有助于在多个终端103、多个中继器106、网关109以及网络112之间进行数据通信。网络112例如包括因特网、内部网、外部网、广域网(WAN)、局域网(LAN)、有线网、无线网或者其他合适的网络等,或者两个以上这种网络的任何组合。虽然图I中示出了网关109以及网络112,但是聚合式网络100的其他实例中可能没有网关109和/或网络112。终端103和中继器106对应于聚合式网络装置,可包括任何类型的计算装置。每个终端103和中继器106对应于一个聚合式网络装置,包括其逻辑链路控制(LLC)层和下面的异构链路层(媒体访问控制/物理层(MAC/PHY))之间的抽象层。每个终端103能够将聚合式网络管理帧中继到其他聚合式网络装置中。每个中继器106能够将聚合式网络管理帧以及数据帧中继到其他聚合式网络装置中。
在图I的实例中,聚合式网络100采用五种异构链路层技术以太网、PLC、MoCA,电话线上HomePNA (HPNA)连接以及Wi_Fi。图I中所示的联网技术仅构成聚合式网络100中可采用的异构联网技术的一个非限制性实例。使用图I的图例中的各个标记,在图I中示出了终端103、中继器106以及网关109之间的连接。利用异构联网技术中的每种所具有的各自的形状,在图I中描绘了各聚合式网络接口。方形表示以太网接口,三角形表示PLC接口,五角形表示MoCA接口,圆形表示HPNA接口以及菱形表示Wi-Fi接口。网关109可包括网关系统115、密钥分布逻辑118以及其他可执行的应用程序和/或数字逻辑。网关109可存储数据,例如网络密钥121、网络拓扑124和/或其他数据。在通常情况下,通过电缆调制解调器、数字用户线(DSL)、WiMAX、普通老式电话服务(POTS)拨号、综合业务数字网(ISDN)、T1、和/或另一种连接,网关系统115为终端103和中继器106提供对WAN网络112的访问。网关系统115可包括路由功能、防火墙功能、网络地址转换(NAT)功能和/或其他功能。在一个实施方式中,密钥分布逻辑118为聚合式网络100提供集中式密钥分布功能。用于聚合式网络100的对应于不同的联网技术的区段或部分的网络密钥121可被保持 在网关109中。此外,在网关109中可保持用于聚合式网络100的网络拓扑124,以便密钥分布逻辑118分布合适的网络密钥121。在另一个实施方式中,可在所有聚合式网络装置中执行密钥分布逻辑118,以便提供将要描述的分散式密钥分布功能。而且,在另一个实施方式中,可从网关109在不同的聚合式网络装置中执行密钥分布逻辑118,以提供集中式密钥分布功能。现转向图2,示出了根据本公开的一个实施方式的网络装置200的示意性框图。网络装置200可对应于聚合式网络100 (图I)中的终端103 (图I)或中继器106 (图I)。网络装置200包括至少一个处理器电路,例如具有处理器203和存储器206,均耦合到本地接口 209。为此,网络装置200例如可包括至少一个通用计算装置、至少一个嵌入式计算装置、路由器、交换机和/或可耦合到聚合式网络100中的任何其他装置。可理解,本地接口 209例如可包括具有伴随的地址/控制总线或其他总线结构的一条或多条数据总线。多个网络接口 212a…212N和一个配对装置215也可耦合到本地接口 209。网络接口 212对应于聚合式网络100的MAC/PHY接口,聚合式网络100在某些情况下可采用不同的MAC/PHY联网技术。配对装置215可对应于按钮配对装置、发起配对的通用串行总线(USB)电子狗、生物(biometric)配对装置、基于软件的虚拟配对装置和/或任何其他协调系统,以发起到聚合式网络100的认证并且与聚合式网络进行配对,而无需手动指定网络密码。可由处理器203执行的数据和若干组件均储存在存储器206中。具体地,MAC抽象层218、密钥管理逻辑221以及潜在的其他应用程序储存在存储器206中并且可由处理器203执行。网络密钥224和其他数据也可储存在存储器206中。此外,操作系统可储存在存储器206中,并且也可由处理器203执行。在各种实施方式中,所有或部分MAC抽象层218和/或密钥管理逻辑221可对应于不单独由处理器203执行的数字逻辑。执行MAC抽象层218,以便给各种异构联网技术提供通用数据和控制服务接入点。MAC抽象层218可支持动态接口选择,用于传输来自任何网络接口 212或上协议层的数据包。MAC抽象层218也可支持端对端服务质量(QoS)。在各种实施方式中可执行密钥管理逻辑221,以便生成网络密钥224、与其他网络装置200共享网络密钥224、从其他网络装置200获得网络密钥224和/或执行其他功能。继续看图3,示出了根据本公开的一个实施方式的网关109的示意性框图。网关109包括至少一个处理器电路,例如具有处理器303和存储器306,均耦合到本地接口 309。为此,网关109例如可包括至少一个通用计算装置、至少一个嵌入式计算装置、路由器、交换机和/或可耦合至聚合式网络100 (图I)的任何其他装置。可理解,本地接口 309例如可包括具有伴随的地址/控制总线或其他总线结构的一条或多条数据总线。多个网络接口212a…212N (图2)、一个配对装置215 (图2)以及WAN接口 312也可耦合到本地接口 309。WAN接口 312用于将网关109连接到网络112 (图I)。可由处理器303执行的数据和若干组件均储存在存储器306中。具体地,网关系统115、MAC抽象层218、密钥管理逻辑221、密钥分布逻辑118以及潜在的其他应用程序储存在存储器306并且可由处理器303执行。网络拓扑124、网络密钥121和其他数据也可储存在存储器306中。此外,操作系统可储存在存储器306中,并且也可由处理器303执行。在各种实施方式中,所有或部分网关系统115、MAC抽象层218、密钥管理逻辑221和/或密钥分布逻辑118可对应于不单独由处理器303执行的数字逻辑。 继续看图4,示出了根据本公开的各种实施方式的表示聚合式网络100 (图I)中采用的分层网络模式400的示图。在分层网络模式400中,上层实体403将数据传送给MAC抽象层218,用于发送到聚合式网络100,并且通过MAC抽象层218从聚合式网络100中获得数据。根据开放式系统互连(OSI)模式,上层实体403可对应于第三层或更高的层。例如,上层实体403可对应于互联网协议(IP)、用户数据报协议(UDP)、传输控制协议(TCP)和/或其他上层实体403。MAC抽象层218为上层实体403提供与MAC无关的单个统一的接口。MAC抽象层218可为网络接口 212(图2和图3)提供一个或多个到抽象层的MAC专用接口。在图4中,多个MAC类型406a、406b... 406N被示出为结合多个PHY类型409a、409b... 409N。每个PHY类型耦合到多个网段412a、412b…412N中的各自的一个。网段412可分别对应于Wi_Fi、IEEE 1901、MoCA、以太网和/或其他类型的网段412。从网络装置200 (图I)中的操作系统的观点来看,MAC抽象层218可被视为输出数据和控制服务接入点(SAP)的单个装置。MAC地址(例如48比特地址或某个其他长度)可被分配给MAC抽象层218。MAC地址对于每个聚合式网络100而言可以是唯一的。现在参看图I至图4,提供了聚合式网络100的各组件的操作的总体描述。首先,假定的家庭设置被用于描述图I的各种组件。例如,假设网关109为小型集成路由器/交换机装置,位于房屋的底层,靠近网络112电路的终端。在该实例中,网关109具有HomePNA网络接口 212以及对应于可桥接或可不桥接的独立端口的多个以太网接口 212。通过IEEE802. IAE (MACsec)或另一标准,以太网可被保护或者可不被保护。通过Wi-Fi保护接入2 (WPA2)或另一标准,Wi-Fi网络可被保护。例如,假设终端103a为膝上型电脑,有时可靠近家庭中以太网端口或电话插座。通过到网关109的HomePNA网络接口 212和/或通过到网关109的以太网接口 212,将终端103a连接到聚合式网络100。例如,假设终端103b为台式电脑,该电脑也物理上位于家庭的底层。通过到网关109的以太网接口 212,将终端103b连接到聚合式网络100。例如,假设中继器106a为底层中的装置,被配置成通过以太网接口 212在网关109之间中继网络流量以及通过PLC网络接口 212和MoCA网络接口 212将网络流量中继到其他网络装置200。因此,通过房屋的其他房间中现有的同轴电缆和/或电源线,这些装置可连接到聚合式网络100,无需使用Cat5e或其他电缆布线。例如,假设中继器106b位于家庭的主要楼层,并且被用于将Wi-Fi网络上的潜在装置连接到聚合式网络100。为此,中继器106b可包括PLC网络接口 212和Wi-Fi网络接口 212。例如,假设中继器106c为机顶盒,具有两个MoCA网络接口 212和一个Wi-Fi网络接口 212。假设中继器106c位于具有同轴电缆插座的家庭的较高楼层的卧室中。中继器106c可通过Wi-Fi连接到中继器106b,以及通过MoCA连接到中继器106a。例如,假设终端103c为数字电视,也位于较高层的卧室中。假设终端103c的MoCA网络接口 212通过同轴电缆连接到中继器106c,并且终端103c的PLC网络接口 212通过家庭的电源线连接到中继器106a和中继器106b。除了连接具有不同联网技术的网络接口 212的网络装置200,在图I中可看出,在聚合式网络100中可提供冗余路径。这种冗余路径可由MAC抽象层218进行平衡,以增大 网络装置200之间的吞吐量。作为非限制性实例,终端103a和网关109之间的HomePNA链路可提供20兆位每秒的数据率,同时终端103a和网关109之间的IO-Base-T链路可提供10兆位每秒的数据率。MAC抽象层218可被配置成对链路进行组合,以在终端103a和网关109之间提供高达30兆位每秒的总数据率。而且,当一个链路的连接性减弱或丢失时,聚合式网络100的冗余路径可用于提供可靠的连接。作为非限制性实例,在家庭中操作电力装置时,PLC连接容易受到脉冲噪音和/或其他干扰的影响。因此,当终端103c和中继器106a之间的PLC链路减弱、过载、不可使用等时,可代替PLC链路而在两个MoCA链路上路由终端103c和中继器106a之间的网
络流量。通过用户密码配置或按钮配置方法,可将网络装置200配对至聚合式网络100。在用户密码配置中,用户为每个网络装置200手动提供相同的聚合式网络密码。每个所支持的链路层技术的本地安全/保密协议的单个安全/保密参数(例如网络密钥224)源自这一单个聚合式网络密码。作为非限制性实例,可采用散列(hash)函数为每个所支持的链路层技术生成单个密码。作为另一个非限制性实例,可采用散列函数生成任何一个链路层技术所需要的最大密码尺寸,并且可将该密码缩短(截短),以便为其他链路层技术创建较小的密码。一旦链路层密码源自聚合式网络密码,那么每个网络接口 212执行其自身的本地安全协议并且可获得额外的安全参数。利用按钮配置方法,每当通过配对装置215在网络装置200中发生配对事件时,网络装置200广播配对事件,以将聚合式网络100通知给其他网络装置200。一旦获得配对事件,网络装置200在每个其所支持的网络接口 212上发起本地按钮配对协议。网络装置200通过本地按钮配对协议进行配对。如果通过多个链路类型连接新的网络装置200,那么执行每个链路的本地按钮配对协议,以获得每个链路类型的共享网络密钥224。网络密钥224可通过集中式密钥分布方法或分散式密钥分布方法来分布。要注意的是,可物理上或逻辑上驱动配对装置215。即,可按压网络装置200上的物理按钮,或者可通过软件来驱动逻辑配对装置215。而且,可使用除按钮外的其他类型的配对装置215,例如USB电子狗、生物扫描仪等等。
在某些情况下,在同一聚合式网络100内可结合基于密码的配对使用按钮配对。在第一种情况下,假设两个网络装置D1和D2通过本地配对事件协议进行配对,并且生成Key1A。假设网络装置D3仅支持一个用户密码。在配对D3之前,用户在01 (或D2)上输入密码。D1从用户密码中获得Key2A、Key2B以及Key2C。D1将Key2A、Key2B以及Key2c广播给D2。Key2A、Key2B以及Key2。可重写先前的任何密钥,例如Key1A。用户输入密码之后,D3被配对至聚合式网络。D3从用户密码中获得相同的Key2A、Key2B以及Key2C。假设网络装置D4支持本地配对事件协议,但不支持基于密码的配对。D4通过本地配对事件协议获得Key2A、Key2B和/ Key2Co在第二种情况下,假设用户在网络装置D1和D2中输入密码。D1和D2从用户密码中获得Key2A、Key2B以及Key2C。假设网络装置D3支持本地配对事件协议,而不支持基于密码的配对。如果D1或D2支持本地配对事件协议,那么D3可通过该本地配对事件协议从D1或02中获得Key2A、Key2I^P /或Key2C。接下来结合图5至图11,进一步讨论聚合式网络100中的配对。
接下来参看图5,示出了提供根据各种实施方式的密钥管理逻辑221 (图2)的一部分的操作的一个实例的流程图。具体地,图5涉及使用用户密码配置在聚合式网络100(图O中提供配对的实施方式。应理解,图5的流程图提供可用于实施文中所述的密钥管理逻辑221的一部分的操作的多种不同类型的功能配置的仅仅一个实例。作为替换,图5的流程图可被视为描述根据一个或多个实施方式的网络装置200 (图2)中所实施的方法步骤的实例。从框503开始,密钥管理逻辑221通过用户获得网络配置和聚合式网络密码。例如,用户可打开由网络装置200的操作系统提供的图形用户接口配置对话。或者,网络装置200可具有集成的屏幕和输入装置,以便用户指定网络配置和聚合式网络密码。在框506中,密钥管理逻辑221从聚合式网络密码生成用于一个网络接口 212的接口密码。网络装置200的不同网络接口 212可具有不同的密码尺寸要求。在一个实施方式中,密钥管理逻辑221首先使用散列函数生成一个具有所要求的最大尺寸的密码,其次对于各网络接口 212根据需要缩短密码。在另一个实施方式中,密钥管理逻辑221使用散列函数从单个聚合式网络密码中为每个不同的网络接口 212生成单独的密码。所使用的散列函数可为单向散列,使得从接口密码不可得到聚合式网络密码。在各种实施方式中,相同网络类型的所有网段412 (图4)可采用相同的接口密码,但在其他实施方式中,对于相同网络类型的不同网段412可采用不同的接口密码。在框509中,使用至少部分从聚合式网络密码生成的接口密码来配对网络接口212。使用网络接口 212的链路层技术的本地安全/保密协议来配对网络接口 212。通过本地安全/保密协议可获得额外的安全参数,并且该参数可由密钥管理逻辑221储存在网络密钥224中。在框512中,密钥管理逻辑221确定另一个网络接口 212在网络装置200中是否有效。如果另一个网络接口 212有效,那么密钥管理逻辑221返回框506,并且生成用于要配对的下一个网络接口 212的接口密码。否则,结束密钥管理逻辑221的该部分。现在转向图6,示出了提供根据各种实施方式的密钥管理逻辑221 (图2)的一部分的操作的另一实例的流程图。具体地,图6涉及利用按钮配对和密钥分布在聚合式网络100(图I)中提供配对的实施方式。应理解,图6的流程图提供了可用于实施文中所述的密钥管理逻辑221的一部分的多种不同类型的功能配置的仅仅一个实例。作为替换,图6的流程图可被视为描述根据一个或多个实施方式的网络装置200 (图2)中所实施的方法步骤的实例。从框603开始,密钥管理逻辑221从网络装置200的配对装置215(图I)中获得配对事件,例如物理或逻辑按钮的按下等。在框606中,密钥管理逻辑221使用网络接口 212所使用的链路层技术的本地配对协议为网络接口 212 (图I)进行配对。通过该任务,可为网络接口 212生成网络密钥224 (图I)。在框609中,密钥管理逻辑221确定是否已经发生超时。例如,虽然在网络装置200中可生成配对事件,但是情况可能如下,在预定的时间长度到期之前,从聚合式网络100的远程网络装置200接收不到相应的配对事件。如果发生超时,则链路配对失效,密钥管理逻辑221的该部分结束。 如果不发生超时,那么密钥管理逻辑221继续至框612。在框612中,密钥管理逻辑221确定是否使用了集中式密钥分布。如果使用了集中式密钥分布,那么密钥管理逻辑221继续至框615,并且将配对产生的任何网络密钥224提供给网关109 (图I)。在框618中,密钥管理逻辑221可从网关109获得网络密钥224,用于网络装置200的其他有效网络接口 212。密钥管理逻辑221继续至框621。如果密钥管理逻辑221在框612中确定未使用集中式密钥分布,那么代替使用了密钥分布的分散式方式,并且密钥管理逻辑221从框612转换至框624。在框624中,密钥管理逻辑221向与其配对的其他网络装置200公告该网络装置200的网络密钥224。在框627中,密钥管理逻辑221为网络装置200的未配对链路请求网络密钥224。该请求可通过聚合式网络100从网络装置200传播开。最后,密钥管理逻辑221通过已配对的中继器106(图I)获得丢失的网络密钥224。密钥管理逻辑221继续至框621。在框621中,密钥管理逻辑221确定是否存在可利用新的可用的网络密钥224被配对的网络装置200的其他网络接口 212。如果是的话,在框633中密钥管理逻辑221发起网络接口 212的配对。密钥管理逻辑221继续至框636。如果没有其他的网络接口 212进行配对,那么密钥管理逻辑221也继续至框636。在框636中,密钥管理逻辑221确定网络装置200的另一个网络接口 212是否变得有效。例如,用户可将USB Wi-Fi网络接口 212或者其他可插入式网络接口 212插入网络装置200。如果另一个网络接口 212已经变得有效,那么密钥管理逻辑221返回至框612,并且继续获得用于网络接口 212的网络密钥224。否则,密钥管理逻辑221的该部分结束。继续看图7,示出了提供根据各种实施方式的密钥分布逻辑118 (图I)的一部分的操作的一个实例的流程图。应理解,图7的流程图提供可用于实现文中所述的密钥分布逻辑118的一部分的操作的多种不同类型的功能配置的仅仅一个实例。作为替换,图7的流程图可被视为描述根据一个或多个实施方式的网关109 (图I)中所实施的方法步骤的实例。从框703开始,密钥分布逻辑118发现新的网络装置200 (图2),该装置已经添加到聚合式网络100 (图I)的网络拓扑124 (图I)中。在框706中,密钥分布逻辑118获得通过配对新的网络装置200而得到的网络密钥224 (图2)。网络密钥224可储存在网络密钥121 (图I)中,该网络密钥121可将网络密钥224映射到网络拓扑124中。在框709中,密钥分布逻辑118确定新的网络装置200是否具有其他未配对的网络接口 212(图2)。例如,密钥分布逻辑118可从网络装置200获得对用于其未配对的网络接口 212的网络密钥224的请求。如果是的话,密钥分布逻辑118将合适的网络密钥224提供给新的网络装置200,如果可用的话,用于新的网络装置200所支持的其他网络接口 212。密钥分布逻辑118继续至框715。如果新的网络装置200没有其他未配对的网络接口 212,则密钥分布逻辑118也从框709继续至框715。在框715中,作为配对新的网络装置200的结果,密钥分布逻辑118确定新的网络密钥224是否已经添加到网络密钥121中。如果已经添加了新的网络密钥224,那么密钥分布逻辑118为连接到聚合式网络100的其他网络装置200提供新的网络密钥224,其他网络装置200支持与新的网络密钥224相关的各种网络接口 212。密钥分布逻辑118继续至框721。如果未添加新的网络密钥224,那么密钥分布逻辑118从框715转换到框721。在框721中,密钥分布逻辑118确定另一个新的网络装置200是否已经添加到聚合式网络100中。如果已经添加了另一个新的网络装置200,那么密钥分布逻辑118返回至框703。如果没有添加新的网络装置200,那么密钥分布逻辑118的该部分结束。 继续看图8,示出了提供根据各种实施方式的密钥管理逻辑221 (图2)的一部分的操作的另一个实例的流程图。具体地,图8涉及基于配对事件的获得来中继配对事件以及发起配对。应理解,图8的流程图提供了可用于实施文中所述的密钥管理逻辑221的一部分的操作的多种不同类型的功能配置的仅仅一个实例。作为替换,图8的流程图可被视为描述根据一个或多个实施方式的网络装置200 (图2)中实施的方法步骤的实例。从框803开始,密钥管理逻辑221获得配对事件。配对事件可为本地物理或逻辑按钮的按下,或者可从聚合式网络100 (图I)上的另一个网络装置200获得。在框806中,密钥管理逻辑221通过网络装置200的其他网络接口 212 (图2)中继配对事件。在框809中,密钥管理逻辑221确定是否存在连接到网络装置200的未配对的网络装置200。如果不存在连接到网络装置200的未配对的网络装置200,那么密钥管理逻辑221的该部分结束。另外,如果存在连接到网络装置200的未配对的网络装置200,那么取而代之密钥管理逻辑221前进至框812。在框812中,密钥管理逻辑221确定在超时之前,是否从未配对的网络装置200获得相应的配对事件。可在框803中获得的配对事件之前或之后获得这种相应的配对事件,但是两个配对事件之间的时间长度限于预定的时间长度。如果发生超时,那么密钥管理逻辑221的该部分结束,而不为未配对的网络装置200配对。如果未发生超时,那么取而代之密钥管理逻辑221转换至框815,并且使用其他网络装置200的未配对的网络接口 212的本地配对事件协议(例如按钮配对协议或其他协议)与其他网络装置200进行配对。要注意的是,未配对的网络装置200可具有多个网络接口212。在各种实施方式中,未建立任何配对优先级。一旦一个网络接口 212被配对,那么对应于未配对的网络接口 212的网络密钥224可通过被配对的网络接口 212分布给其他网络装置200。之后,密钥管理逻辑221的该部分结束。参看图9A至图9C,示出了在聚合式网络100 (图I)中使用由网关109 (图I)集中的网络密钥分布的网络装置200 (图2)之间的网络密钥分布的一个实例的序列图。采用图I的实例中给出的聚合式网络100的样本拓扑。在图9A至图9C中,矩形表示以太网接口 212 (图2),三角形表示PLC网络接口 212,菱形表示Wi-Fi网络接口 212,五角形表示MoCA网络接口 212。各个形状内的“K”表示配对的接口,而各个形状内没有“K”表示未配对的接口。从图9A开始,最初通过以太网接口 212在聚合式网络100中配对网关109和中继器106a。中继器106a也具有未配对的PLC和MoCA网络接口 212。在时间900处,中继器106b加入聚合式网络100。中继器106b最初具有未配对的PLC和Wi-Fi网络接口 212。在时间903处,中继器106b经由PLC网络接口 212的本地配对协议与中继器106a配对。生成和交换网络密钥224 (图2)。在时间906处,用于PLC网段412 (图4)的网络密钥224被发送回网关109。这样,在时间906后,网络密钥121包括用于以太网和PLC网络接口的安全/保密参数。接下来,在图9B中,在时间912处,中继器106c加入聚合式网络100。最初,中继器106c具有未配对的MoCA和Wi-Fi网络接口 212。在时间915处,中继器106c通过Wi-Fi网络接口 212的本地配对协议与中继器106b配对。生成和交换网络密钥224。在时间918处,通过中继器106a将用于Wi-Fi网段412的网络密钥224发送回网关109。这样,在时间918后,网络密钥121包括用于以太网、PLC以及Wi-Fi网络接口 212的安全/保密参数。 在图9C中,在时间921处,终端103c加入聚合式网络100。最初,终端103c具有未配对的MoCA和PLC网络接口 212。在时间924处,终端103c经由MoCA网络接口 212的本地配对协议与中继器106c配对。生成和交换网络密钥224。在时间927处,通过中继器106a和中继器106b将用于MoCA网段412的网络密钥224发送回网关109。这样,在时间927后,网络密钥121包括用于以太网、PLC、Wi-Fi以及MoCA网络接口的安全/保密参数。在时间930处,网关109为中继器106a提供MoCA安全/保密参数。在时间933处,中继器106a的MoCA网络接口 212使用网关109所提供的安全/保密参数,与中继器106c的MoCA网络接口 212配对。在时间936处,网关109为终端103c提供PLC安全/保密参数。在时间939处,终端103c的PLC网络接口 212使用网关109所提供的安全/保密参数,与中继器106a的PLC网络接口 212配对。要注意的是,可在时间930处传送MoCA参数之前,在时间936处传送PLC参数,以及可在时间933处进行配对之前,在时间939处进行配对。而且,虽然在图9A至图9C中按顺序示出了某些任务,但是应理解,在其他实施方式中,它们可并行地或者以其他的顺序发生。参看图10,示出了在聚合式网络100 (图I)中使用分散的网络密钥分布的网络装置200 (图2)之间的网络密钥分布的一个实例的序列图。使用图I的实例中给出的聚合式网络100的样本拓扑。在图10中,矩形表示以太网接口 212(图2),三角形表示PLC网络接口 212,菱形表示Wi-Fi网络接口 212,五角形表示MoCA网络接口 212。各个形状内的“K”表示配对的接口,各个形状内没有“K”表示未配对的接口。最初,在时间1000处,在聚合式网络100中配对了中继器106a、106b和106c。中继器106a具有配对的以太网和PLC网络接口 212以及未配对的MoCA网络接口 212。中继器106b具有配对的PLC和Wi-Fi网络接口 212。中继器106c具有配对的Wi-Fi网络接口212和未配对的MoCA网络接口 212。终端103c具有未配对的PLC和MoCA网络接口 212。在时间1003处,通过将其MoCA网络接口 212与中继器106c的MoCA网络接口 212配对,终端103c加入聚合式网络100。生成和交换网络密钥224。在时间1006处,通过聚合式网络100,用于MoCA网段412 (图4)的安全/保密参数被传送给中继器106b和中继器106a。也传送对PLC安全/保密参数的请求。在时间1009处,使用在时间1006处传送的用于MoCA网段412的安全/保密参数,中继器106a的MoCA网络接口 212被配对。在时间1012处,中继器106b响应于对PLC安全/保密参数的请求,并且通过中继器106c将PLC参数发送给终端103c。在时间1015处,终端103c的PLC网络接口 212使用在时间1012处获得的PLC参数进行了配对。虽然在图10中按照顺序示出了某些任务,但是可理解,在其他实施方式中,它们可并行地或者以其他的顺序发生。继续看图11,示出了说明在聚合式网络100(图I)中关于配对事件在网络装置200(图2)之间进行配对的序列图。采用图I的实例中给出的聚合式网络100的样本拓扑。在图11中,矩形表示以太网接口 212 (图1),五角形表示MoCA网络接口 212。各个形状内的“K”表示配对的接口,各个形状内没有“K”表示未配对的接口。最初,在时间1100处,通过以太网和MoCA网络接口 212,在聚合式网络100中,将网关109和中继器106a和106b进行配对。在时间1100处,在未配对的终端103c中产生配对事件(例如物理或逻辑按钮的按下等)。在时间1103处,在网关109中生成配对事件并 且通过以太网链路将该配对事件发送给中继器106a。在时间1106处,中继器106a复制配对事件并且通过MoCA链路将其转发给中继器106b。在时间1109处,中继器106b从中继器106a获得配对事件。假设时间1100和时间1109之间的时间不满足超时阈值,则在时间1112处中继器106b使用MoCA接口的本地配对协议与终端103c进行配对。可生成用于MoCA网段412(图I)的安全/保密参数。在时间1115处,终端103c的MoCA网络接口被配对至聚合式网络 100。返回看图2和图3,应理解,可存在其他应用程序,这些应用程序储存在存储器206,306中,并且可由处理器203、303执行,如可意识到的那样。当以软件的形式执行文中所讨论的任何组件时,可使用多种程序语言中的任何一种语言,例如C、C++、C#、ObjectiveC、Java' JavaScript 、Perl、PHP、Visual Basic 、Python 、Ruby、Delphi 、Flash ,
或者其他程序语目。多个软件组件储存在存储器206、306中,并且可由处理器203、303执行。在这方面,术语“可执行”表示程序文件,该程序文件具有最终可由处理器203、303运行的形式。可执行的程序的实例例如可为编译程序,该编译程序可转换成机器代码,该机器代码具有可被加载进存储器206、306的随机存取部分中的形式并且可由处理器203、303运行;该编译程序还可转换成可用适当的格式表达的源代码,例如能够被加载进存储器206、306的随机存取部分中并且由处理器203、303执行的目标代码;或者该编译程序可转换成可由另一可执行程序解释的源代码,以在存储器206、306的随机存取部分中生成指令,从而由处理器203、303执行;等等。可执行程序可储存在存储器206、306的任何部分或组件中,存储器206、306例如包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器、固态驱动器、USB闪存盘、存储卡、光盘(例如压缩盘(CD)或数字化通用磁盘(DVD))、软盘、磁带或其他存储器组件。存储器206、306文中限定为包括易失性和非易失性存储器和数字储存组件。易失性组件为那些掉电时不保留数据值的组件。非易失性组件为那些掉电时保留数据值的组件。因此,存储器206、306例如可包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器、固态驱动器、USB闪存盘、通过读卡器访问的存储卡、通过相关联的软盘驱动器访问的软盘、通过光盘驱动器访问的光盘、通过合适的磁带驱动器访问的磁带和/或其他存储器组件、或这些存储器组件中的两个以上组件的组合。此外,RAM例如可包括静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)或磁性随机存取存储器(MRAM)以及其他这种装置。ROM例如可包括可编程只读存储器(PR0M)、可擦可编程只读存储器(EPR0M)、电可擦可编程只读存储器(EEPROM)或者其他类似的存储器装置。同样,处理器203、303可表示多个处理器203、303,并且存储器206、306可表示分别在并行处理电路中操作的多个存储器206、306。在这种情况下,本地接口 209、309可为合适的网络,该网络有助于在多个处理器203、303的任何两个之间、任何处理器203、303和任何存储器206、306之间、或者任何两个存储器206、306之间等进行通信。本地接口 209、309可包括被设计成协调该通信的其他系统,例如包括执行负载平衡。处理器203、303可为电力或一些其他可用的结构。虽然网关系统115、MAC抽象层218、密钥管理逻辑221、密钥分布逻辑118以及文中所述的各种其他系统可被实现为上述通用硬件执行的软件或代码,但是作为选择,也可 被实现为专用硬件或软件/通用硬件和专用硬件的组合。如果实现为专用硬件,则每个均可被实施为采用多种技术中的任何一种技术或多种技术的组合的电路或状态机。这些技术可包括但不限于,具有用于在被施加一个或多个数据信号时实施各种逻辑功能的逻辑门的离散逻辑电路、具有适当的逻辑门的专用集成电路,或其他组件等。本领域技术人员通常熟知这样的技术,因此文中不详述。图5至图8的流程图示出了密钥管理逻辑221和密钥分布逻辑118的一部分的实施形式的功能和操作。如果实现为软件,则每个块可表示代码的一个模块、区段或部分,该代码包括程序指令,以实施特定的逻辑功能。程序指令可被实现为源代码或机器代码的形式,源代码包括以编程语言或机器代码编写的人类可读的语句,机器代码包括适当的执行系统(例如计算机系统中的处理器203、303或其他系统)可识别的数字指令。可从源代码等转换机器代码。如果实现为硬件,那么每个块可表示一个电路或多个互连的电路,以便执行特定的逻辑功能。虽然图5至图8的流程图示出了特定的执行顺序,但是应理解,该执行顺序可与所描绘的顺序不同。例如,相对于所示出的顺序,两个或更多个块的执行顺序可被打乱。并且,可同时或部分同时执行图5至图8中连续示出的两个或更多个块。此外,在一些实施方式中,可跳过或省略图5至图8中示出的一个或多个块。此外,为了增强效用、进行结算、性能测量或帮助排除故障等,可将任何数量的计数器、状态变量、警告信号机或消息添加到文中所述的逻辑流中。应理解,所有这种变化均在本公开的范围内。并且,文中所述的包括软件或代码的任何逻辑或应用程序可被实现为任何非瞬态计算机可读介质,由指令执行系统使用或结合指令执行系统(例如计算机系统中的处理器203,303或其他系统)使用,该逻辑或应用程序包括网关系统115、MAC抽象层218、密钥管理逻辑221以及密钥分布逻辑118。从这个意义上来说,逻辑例如可包括包含指令和声明的语句,这些语句可从计算机可读介质中取得并且可由指令执行系统执行。在本公开的背景下,“计算机可读介质”可为任何可包含、储存或维持文中所述的逻辑或应用程序的介质,由指令执行系统使用或结合指令执行系统使用。计算机可读介质可包括多种物理介质(例如磁性、光学或半导体介质)中的任何一种。适当的计算机可读介质更具体的实例包括但不限于,磁带、磁性软盘、磁性硬盘驱动器、存储卡、固态驱动器、USB闪存盘或光盘。并且,计算机可读介质可为随机存取存储器(RAM),例如包括静态随机存取存储器(SRAM)和动态随机存取存储器(DRAM),或磁性随机存取存储器(MRAM)。此外,计算机可读介质可为只读存储器(ROM)、可编程只读存储器(PR0M)、可擦可编程只读存储器(EPR0M)、电可擦可编程只读存储器(EEPROM)或者其他类型的存储器装置。要强调的是,本公开的上述实施方式仅是为了清楚地理解本公开的原理而提出的 实现方式的可能实例。上述实施方式可进行多种变化和修改,而本质上不背离本公开的精神和原理。文中所有这些修改和变化均意在包含在本公开的范围内,并且由所附权利要求保护。
权利要求
1.一种系统,包括 多个网络装置,通过采用多种异构链路层技术的聚合式数据通信网络进行数据通信;并且 其中,所述网络装置中的至少一个网络装置包括到所述聚合式数据通信网络的多个网络接口,所述网络接口中的第一网络接口采用所述异构链路层技术中的第一异构链路层技术,所述网络接口中的第二网络接口采用所述异构链路层技术中的第二异构链路层技术,并且所述网络装置中的所述至少一个网络装置进一步包括网络安全参数管理逻辑,所述网络安全参数管理逻辑被配置为 获得聚合式网络密码;以及 通过至少部分地基于所述聚合式网络密码、使用相应的一种异构链路层技术的本地配对协议为所述网络接口中的一个网络接口配对,连接至所述聚合式数据通信网络。
2.根据权利要求I所述的系统,其中,所述网络安全参数管理逻辑进一步被配置为 至少部分地基于所述聚合式网络密码,生成用于所述网络接口中的所述第一网络接口的第一网络密码;以及 至少部分地基于所述聚合式网络密码,生成用于所述网络接口中的所述第二网络接口的第二网络密码。
3.根据权利要求2所述的系统,其中,通过将各自的散列函数应用于所述聚合式网络密码,单独地生成所述第一网络密码和所述第二网络密码。
4.根据权利要求2所述的系统,其中,通过将散列函数应用于所述聚合式网络密码来生成所述第一网络密码,并且通过缩短所述第一网络密码来生成所述第二网络密码。
5.根据权利要求I所述的系统,其中,所述网络接口中的所述一个网络接口是所述网络接口中的所述第一网络接口,所述网络安全参数管理逻辑进一步被配置为通过至少部分地基于所述聚合式网络密码、使用所述异构链路层技术中的第二异构链路层技术的另一本地配对协议为所述网络接口中的所述第二网络接口配对,连接至所述聚合式数据通信网络。
6.根据权利要求I所述的系统,其中,所述网络接口中的所述一个网络接口是所述网络接口中的所述第一网络接口,并且所述网络安全参数管理逻辑进一步被配置为 通过所述网络接口中的所述第一网络接口,获得网络安全参数,用于为所述网络接口中的所述第二网络接口配对;以及通过至少部分地基于所述网络安全参数为所述网络接口中的所述第二网络接口配对,连接至所述聚合式数据通信网络。
7.根据权利要求I所述的系统,其中,所述网络装置中的所述至少一个网络装置进一步包括抽象层,所述抽象层被配置为 从网络层获得第一数据帧和第二数据帧; 通过所述网络接口中的所述第一网络接口将所述第一数据帧路由至目的地;以及 通过所述网络接口中的所述第二网络接口将所述第二数据帧路由至所述目的地。
8.根据权利要求7所述的系统,其中,媒体访问控制(MAC)地址被分配给所述抽象层,并且所述媒体访问控制地址在所述聚合式数据通信网络内是唯一的。
9.根据权利要求I所述的系统,其中,所述网络装置中的所述至少一个网络装置进一步包括网络安全参数分布逻辑,所述网络安全参数分布逻辑被配置为获得对于网络安全参数的请求,所述请求源自所述网络装置中的另一网络装置; 确定所述网络安全参数是否与所述网络接口中的至少一个网络接口相关; 当所述网络安全参数与所述网络接口中的所述至少一个网络接口相关时,通过所述聚合式数据通信网络将所述网络安全参数发送至所述网络装置中的所述另一网络装置;以及当所述网络安全参数与所述网络接口中的所述至少一个网络接口不相关时,将所述请求在所述聚合式数据通信网络中从所述网络装置中的所述另一网络装置传播开。
10.一种系统,包括 多个网络装置,通过采用多种异构链路层技术的聚合式数据通信网络进行数据通信;以及 网关装置,对应于所述网络装置中的第一网络装置,所述网关装置包括网络安全参数分布逻辑,所述网络安全参数分布逻辑被配置为 获得用于所述聚合式数据通信网络的多个网络部分中的每一个、采用所述异构链路层技术中的第一异构链路层技术的所述网络部分中的第一网络部分、采用所述异构链路层技术中的第二异构链路层技术的所述网络部分中的第二网络部分的网络安全参数,每个所述网络安全参数有助于到所述网络部分中的相应一个网络部分的受认证连接; 获得源自所述网络装置中的第二网络装置的对于所述网络安全参数中的至少一个网络安全参数的请求;以及 通过所述聚合式数据通信网络将所述网络安全参数中的所述至少一个网络安全参数提供给所述网络装置中的第二网络装置。
11.根据权利要求10所述的系统,其中,所述网关装置进一步包括维持连接至所述聚合式数据通信网络的所述网络装置的拓扑的逻辑。
12.根据权利要求10所述的系统,其中,所述网关装置被配置为将数据从所述聚合式数据通信网络路由至另一网络。
13.根据权利要求10所述的系统,其中,所述请求从所述网络装置中的第三网络装置获得,并且通过所述网络装置中的所述第三网络装置将所述网络安全参数中的所述至少一个网络安全参数提供给所述网络装置中的第二网络装置。
14.根据权利要求10所述的系统,其中,所述网络装置中的至少一个网络装置对应于具有多个第一网络接口的中继网络装置,所述网络装置中的至少一个网络装置对应于具有多个第二网络接口的终端网络装置,所述中继网络装置被配置为在所述第一网络接口之间中继管理帧和数据帧,所述终端网络装置被配置为在所述第二网络接口之间中继管理帧而不中继数据帧。
15.一种方法,包括以下步骤 在多个网络装置中的第一网络装置中生成配对事件; 通过多种异构链路层技术中的第一异构链路层技术,在所述网络装置中的所述第一网络装置中将所述配对事件分布至所述聚合式数据通信网络; 通过所述聚合式数据通信网络,在所述多个网络装置中的第二网络装置中获得所述配对事件; 使用所述异构链路层技术中的第二异构链路层技术的本地配对事件协议,通过所述异构链路层技术中的所述第二异构链路层技术,在所述网络装置中的所述第二网络装置中发起与所述网络装置中的所述第三网络装置的配对;以及 其中,所述配对被配置为通过所述异构链路层技术中的所述第二异构链路层技术将所述网络装置中的所述第三网络装置连接至所述聚合式数据通信网络。
16.根据权利要求15所述的方法,其中所述配对事件对应于按钮事件,响应于用户按下所述网络装置中的所述第一网络装置的按钮,在所述网络装置中的所述第一网络装置中生成所述按钮事件。
17.根据权利要求15所述的方法,进一步包括以下步骤在所述网络装置中的所述第三网络装置中请求所述聚合式数据通信网络上的网络安全参数,用于将所述网络装置中的所述第三网络装置与所述网络装置中的第四网络装置配对。
18.根据权利要求15所述的方法,进一步包括以下步骤 在所述网络装置中的所述第三网络装置中生成另一配对事件; 在所述网络装置中的所述第三网络装置中,通过所述异构链路层技术中的所述第二异构链路层技术,将所述另一配对事件发送至所述网络装置中的所述第二网络装置;以及 其中,所述网络装置中的所述第二网络装置被配置为执行以下步骤响应于在预定长度的时间内获得所述配对事件和所述另一配对事件,发起配对。
19.根据权利要求15所述的方法,进一步包括以下步骤 在多个网络装置中的第四网络装置中,通过所述聚合式数据通信网络获得所述配对事件; 使用所述异构链路层技术中的第三异构链路层技术的本地配对事件协议,通过所述异构链路层技术中的所述第三异构链路层技术,在所述网络装置中的所述第四网络装置中发起与所述网络装置中的所述第三网络装置的另一配对;以及 其中,所述另一配对被配置为通过所述异构链路层技术中的所述第三异构链路层技术将所述网络装置中的所述第三网络装置连接至所述聚合式数据通信网络。
20.根据权利要求15所述的方法,进一步包括以下步骤 使用所述异构链路层技术中的第三异构链路层技术的本地配对事件协议,通过所述异构链路层技术中的所述第三异构链路层技术,在所述网络装置中的所述第二网络装置中发起与所述网络装置中的所述第三网络装置的另一配对;以及 其中,所述另一配对被配置为通过所述异构链路层技术中的所述第三异构链路层技术将所述网络装置中的所述第三网络装置连接至所述聚合式数据通信网络。
全文摘要
本发明所公开的各种实施方式有助于在包含多种异构链路层联网技术的聚合式网络内生成和分布网络安全参数。所提供的实施方式使用聚合式网络密码通过多种异构链路层联网技术连接网络装置。所提供的实施方式使用配对事件协议通过多种异构链路层联网技术连接网络装置,该协议例如为按钮协议。
文档编号H04L29/06GK102811216SQ20121018054
公开日2012年12月5日 申请日期2012年6月1日 优先权日2011年6月1日
发明者菲利普·克莱因, 阿维·克利格尔 申请人:美国博通公司