住宅自动化设施的安全配置的制作方法
本发明涉及包括一个或更多个控制点以及被这些控制点控制的一个或更多个致动器的住宅自动化设施的配置方法。本发明还涉及住宅自动化设施的致动器的运行方法。本发明最后还涉及相关联的配置装置、致动器和住宅自动化设施。
背景技术:
在住宅自动化设施中,致动器是用于操纵住宅自动化设备的元件,所述住宅自动化设备诸如关闭、遮光、防晒或投影屏,或照明、取暖或空调装置之类。它们被一个或更多个控制点控制。
控制点可以是可移动的或固定的,并能够通过无线或有线连接以单向或双向的方式与致动器通信。
致动器能够按照具备不同安全机制的至少二种通信模式进行通信。
一种通信模式使用加密钥匙,也叫做密钥。该通信模式尤其用于进行需要基于通信加密的高度安全的配置操作。
另一种更简单的通信模式摆脱使用密钥。在这种情况下,安全性例如基于以下机制:
在预先配置时,在住宅自动化设施的每个元件中存储允许该元件与它们合作的其它元件的标识符;发送时,每个元件将它的标识符插入到所传送的消息中;接收时,元件验证包含在接收到的每个消息中的发送器的标识符,并且只在它知道接收到的标识符的情况下考虑消息的内容。
在这种情况下,安全性建立在通过接收器验证消息的发送器的标识符的基础上,接收器应预先知道该标识符。
使用该更简单的通信模式的控制点比使用基于消息加密的通信模式的控制点更便宜。因此它们在经济上对客户更有利。
为了配置包括致动器以及一个或更多个控制点的住宅自动化设施,已知使用配置装置,诸如somfy公司的设施工具“set&go
然而,为了配置只具有使用更简单通信模式的控制点的住宅自动化设施,该配置装置具有功能局限性。尤其是不能实施在交换时需要传送具有高度安全性的配置数据的以下功能:
-重命名致动器;
-在致动器处取回设施数据;
-修改由致动器操纵的住宅自动化设备的调节,例如重新调节遮帘的马达。
因此,与具有密钥的控制点相比,使用更简单通信模式的控制点更便宜,但具有不那么先进的功能。
现在,存在两种允许安装者向致动器赋予密钥的方案。
根据第一方案,安装者使用设施自己专用的控制点。该控制点具有它专用的传送给待配置的(一个或更多个)致动器的密钥。当安装者离开住宅自动化设施时,将与他的控制点和相关联的密钥一起离开。这是有问题的,因为,以后当另一安装者到来以便在需要时重新配置住宅自动化设施时,由于不知道初始使用的密钥,他将不能发现该密钥。
根据第二方案,安装者使用具有密钥的控制点,并且当他离开时将该控制点留在住宅自动化设施中。该第二方案是昂贵的。另外,该方案需要求助于受过培训的安装者以便以后在需要时改变配置。
技术实现要素:
本发明旨在改进该状况。为此,本发明涉及一种住宅自动化设施的配置方法,所述住宅自动化设施包括:
-用于按照第一通信模式通信的至少一个第一类型控制点,和
-至少一个致动器:
-用于在以使用模式运行时,在执行配置方法结束时,按照第一通信模式与至少一个第一类型控制点通信,并且
-能够在以配置模式运行时,按照借助密钥保证安全的第二通信模式与配置装置通信,
所述配置方法由配置装置实施,并且所述配置方法至少包括:
-确定能够被配置的至少一个致动器的确定步骤,
-获得具有有限有效期的临时密钥的获得步骤,
-向能够被配置的至少一个致动器发送包含临时密钥的消息的发送步骤,
-按照借助临时密钥保证安全的第二通信模式与以配置模式运行的至少一个致动器通信的第一通信步骤。
根据本发明,配置装置向一个或更多个致动器传送临时密钥。该临时密钥可以由配置装置本身生成,或者可能地由另一个实体生成。“临时”密钥定义为具有有限有效期的密钥。该有效期可以是预定的,即提前固定的。在这种情况下,可以通过配置装置将该有效期与临时密钥一起传送给致动器。作为变型,可以通过向致动器发送来自配置装置的有效性结束消息来确定该有效期。有效性结束消息指示密钥有效性的结束,有利地,致动器一接收到该消息就生效。该临时密钥用于保证配置装置与致动器之间的通信安全,例如通过借助传送的全部或部分数据的密钥来进行加密。向一个或更多个致动器分配临时密钥允许配置装置达到更先进的功能,尤其是需要高度安全的配置功能。所述配置功能可以重新命名致动器、在致动器处取回设施的信息、修改被操纵的住宅自动化设备的运行参数等。另外,因为该密钥是临时的,在超出它的有效性后,从致动器的存储器删除该密钥。因此,致动器一旦被配置,就被重置为无密钥的未触动(intact)状态。在删除临时密钥后,住宅自动化设施是原始状态的,并且以后可以被任何其它安装者发现。
在具体实施方式中,所述配置方法的特征在于:
-按照借助临时密钥保证安全的第二通信模式,至少一个致动器与配置装置进行发送通信和接收通信,以及
-所述配置方法还包括从至少一个致动器接收确认临时密钥有效性结束的消息的接收步骤。
使用借助密钥保证安全的通信模式的通信可以是双向的。这里该双向通信模式定性为“2w”类型(英文“2-way”双向)。
已经接收并然后删除临时密钥的一个或更多个致动器通过向配置装置发送确认有效性结束的消息来证实即确认删除密钥。配置装置可以验证已经接收了密钥的一个或更多个致动器是否在该密钥的有效期结束后正确地删除了该密钥。如果致动器不确认删除临时密钥,则配置装置可以触发适当动作。
有利地,确定步骤包括接收从至少一个致动器发送的至少一个消息的子步骤。
确定能够被配置的至少一个致动器的确定步骤可以包括,根据来自致动器的消息(并且每个消息包含致动器的特征),从住宅自动化设施的一个或更多个致动器中确定能够管理临时密钥的一个或更多个致动器。
根据具体实施变型,所述配置方法在确定步骤之前包括触发至少一个致动器以配置模式运行的触发步骤。有利地,触发步骤包括针对以下第一类型控制点进行预定的动作:至少一个致动器要与所述第一类型控制点通信。例如,安装者可以按压与致动器配对的控制点的“编程”类型的特定按钮,以触发切换到配置模式的请求的发送。
在具体实施方式中,所述配置方法的特征在于,
-住宅自动化设施还包括能够按照借助第二类型控制点专用的密钥保证安全的第二类型通信模式通信的至少一个所述第二类型控制点,
-至少一个致动器在以使用模式运行时,还能够按照借助至少一个第二类型控制点专用的密钥保证安全的第二通信模式与至少一个第二类型控制点通信,以及
-所述配置方法还包括按照借助临时密钥保证安全的第二通信模式与至少一个致动器通信的第二通信步骤。
在第二通信步骤时,有利地,配置装置向至少一个致动器传送管理所述第二类型控制点专用的密钥的管理数据。例如,管理数据可以包括删除控制点的密钥或由另一个第二类型控制点专用的密钥取代该密钥的指令。
该实施方式允许通过转换一个或更多个致动器的通信模式来重新配置住宅自动化设施。当一个或更多个致动器与之配对的第二类型控制点被第一类型控制点替代时,可实现这种重新配置。要指出的是,致动器可以是“混合”的,即它按照更简单的第一通信模式与和它配对的第一类型控制点通信,并按照借助密钥保证安全的第二通信模式与和它配对的第二类型控制点通信。
在权利要求中,术语“第一”和“第二”只用于识别涉及的步骤。它们完全不表示对顺序的限制,尤其是时间或数字顺序。
本发明还涉及一种致动器的运行方法,所述致动器属于住宅自动化设施,并且
-用于在以使用模式运行时,按照第一通信模式与属于住宅自动化设施的至少一个第一类型控制点通信,并且
-能够在以配置模式运行时,按照借助密钥保证安全的第二通信模式与配置装置通信,
所述运行方法由致动器实施,并且所述运行方法至少包括:
-接收来自配置装置的包含具有有限有效期的临时密钥的消息的接收步骤,
-按照借助临时密钥保证安全的第二通信模式与配置装置通信的通信步骤。
有利地,按照安全的第二通信模式,致动器与配置装置进行发送通信和接收通信,以及所述运行方法还包括向配置装置发送确认临时密钥有效性结束的消息的发送步骤。
本发明还涉及一种住宅自动化设施的配置装置,所述住宅自动化设施包括:
-用于按照第一通信模式通信的至少一个第一类型控制点,和
-至少一个致动器:
-用于在以使用模式运行时,按照第一通信模式与至少一个第一类型控制点通信,并且
-能够在以配置模式运行时,按照借助密钥保证安全的第二通信模式与配置装置通信,
配置装置包括管理具有有限有效期的至少一个临时密钥的至少一个管理元件,管理临时密钥的所述管理元件被布置为确定能够被配置的至少一个致动器、获得临时密钥、向能够被配置的至少一个致动器发送包含临时密钥的消息。
本发明还涉及一种用于住宅自动化设施的致动器,所述住宅自动化设施包括用于按照第一通信模式通信的至少一个第一类型控制点,所述致动器
-用于在以使用模式运行时,按照第一通信模式与至少一个第一类型控制点通信,并且
-能够在以配置模式运行时,按照借助密钥保证安全的第二通信模式与配置装置通信,
其特征在于,所述致动器包括通信模块,所述通信模块(52)被布置为接收来自配置装置的包含具有有限有效期的临时密钥的消息,并按照借助临时密钥保证安全的第二通信模式与配置装置通信。
有利地,所述通信模块被布置为在所述临时密钥的有效期到期时删除所述临时密钥。
本发明最后涉及住宅自动化设施,所述住宅自动化设施包括
-用于按照第一通信模式通信的至少一个第一类型控制点,和
-至少一个如前述定义的致动器。
附图说明
参照附图,借助下面根据本发明的不同具体实施方式以及相关联的配置装置、致动器和住宅自动化设施对住宅自动化设施的配置方法和住宅自动化设施的致动器的运行方法的描述,将更好地理解本发明,附图中:
-图1示意性地表示按照本发明第一具体实施例的住宅自动化设施;
-图2a和2b示意性地分别表示在配置前和配置后,按照本发明第二具体实施例的住宅自动化设施;
-图3表示按照本发明具体实施方式的配置装置的功能框图;
-图4表示按照本发明具体实施方式的致动器的功能框图;
-图5表示按照本发明第一实施方式的住宅自动化设施的配置方法的步骤的流程图;
-图6表示按照图5方法的实施变型的住宅自动化设施的配置方法的步骤的流程图;
-图7表示按照本发明第二实施方式的住宅自动化设施的配置方法的步骤的流程图;
-图8表示按照本发明的具体实施方式的致动器的运行方法的步骤的流程图;
具体实施方式
首先要指出的是,在不同的图中,除非专门相反指出,相似或对应的元件或步骤带有相同的附图标记。
在图1上,表示了按照本发明第一具体实施例的住宅自动化设施1。住宅自动化设施1包括控制点3a、4a和致动器5a、6a。控制点3a、4a可以是遥控器,例如是可移动的和无线的。致动器5a、6a用于操纵相关联的住宅自动化设备,诸如机动卷帘、照明设备、取暖设备、通风设备和空调设备之类。例如遥控器3a用于控制两个致动器5a和6a,并且遥控器4a用于只控制致动器6a。因此,遥控器3a与两个致动器5a、6a配对或相关联,而遥控器4a与单一致动器6a配对或相关联。
这里术语“配对”表示将用于彼此通信的控制点与致动器进行配对的动作,尤其是用于控制致动器和相关联的住宅自动化设施的使用。
每个控制点3a(相应地4a)和与之配对的致动器5a、6a(相应地6a)用于按照第一通信模式彼此通信。因此,它们叫做“第一类型”。更确切地说,由于能够按照第一通信模式与任何其它通信实体尤其是致动器通信,控制点3a和4a叫做“第一类型”。由于能够在以使用模式运行时按照第一通信模式通信,所述致动器叫做“第一类型”。
“以使用模式运行”是指当致动器用于操纵与之相关联或配对的住宅自动化设备并使所述设备运行时致动器的运行。例如在机动卷帘的致动器的情况下,以使用模式运行尤其对应于卷帘的打开和/或关闭。
致动器与控制点之间的第一通信模式例如具有以下特征:
-致动器与控制点之间的通信是单向的:控制点可以只发送消息,并且致动器可以只接收消息;
-致动器在存储器中具有允许该致动器与(一个或更多个)控制点通信的所述(一个或更多个)控制点的标识符idpdc;
-由控制点发送的以致动器为目的地的控制消息包含控制点的标识符idpdc;
-致动器验证包含在接收到的控制消息中的标识符,并且只在它知道控制点的标识符idpdc的情况下执行指令。
这里第一通信模式是单向的,它还被定性为“1w”(英文“oneway”,单向)。
第一通信模式具有第一级安全性,这里该第一级安全性基于验证已传送控制消息的控制点的身份。因此,它可定性为安全通信模式。
但是第一通信模式可以具有全部地或部分地与上面所述特征不同的特征。
致动器5a、6a在以配置模式运行时,还能够按照第二通信模式与配置装置2通信。
“以配置模式运行”是指在配置致动器时,即当对致动器编程和/或确定参数以保证所希望的运行时致动器的运行。例如在机动卷帘的致动器的情况下,以配置模式运行允许在致动器内安装软件更新、调节与卷帘的打开和/或关闭有关的致动器参数、还或者配置致动器与一个或更多个控制点的通信。
第二通信模式具有高于第一通信模式的安全级别。它使用密钥。该密钥用于实现用于使两个通信实体之间尤其是致动器与控制点之间的通信安全的加密操作。例如,密钥是由两个通信实体共享的秘密钥匙,并用于对这两个实体之间传送的消息加密。根据第二通信模式,两个通信实体可以按以下方式彼此通信:
-单向方式,实体中的一个实体(例如控制点)只以发送的方式通信,并且另一个实体(例如致动器)只以接收的方式通信;
-或者是双向方式,每个实体可以同时以发送和接收通信。
在前者情况下(单向),第二通信模式可以被定性为“1w”(英文“1-way”)。在第二种情况下(双向),第二通信模式可以被定性为“2w”(英文“2-way”,双向)。在这里描述的具体实施例中,由通信装置2使用的用于与致动器5a、6a通信的第二通信模式是双向的或2w。
第一和第二通信模式可以使用相同的通信协议,例如io-homecontrol(注册商标)。
可以从配置装置2配置第一类型致动器5a、6a。
现在参照图5将描述按照本发明的住宅自动化设施1的配置方法e100的第一实施方式。从配置装置2实现配置。可以由装备有配置装置2的用户,例如住宅自动化设施安装者来实现配置。在图5上,虚线框中的步骤(e110、e142、e155、e160)为可选的。
方法包括触发致动器5a和6a的以配置模式也叫做“发现”模式运行的第一触发步骤e110。触发致动器5a(相应地6a)的配置模式包括针对致动器要与其通信即与其配对的控制点3a(相应地3a或4a)执行预定的动作。例如触发动作可以包括用户按压控制点的特定按钮,诸如如“编程”(“programmatiom”)按钮之类。随后控制点向与其配对的一个或更多个致动器发送请求切换到发现模式或配置模式的消息。接收请求后,致动器3a和4a转入发现模式(或配置模式)。例如,用户按压控制点3a的“编程”按钮,这使得这两个致动器5a、6a转入发现模式。当致动器5a和6a在配置模式时,它们能够以双向方式与配置模块2通信。而且,在切换到配置模式后,致动器5a和6a中的每一个发送发现消息m_dcv5a、m_dcv6a(步骤s110)。
但是该步骤e110是可选的,因为致动器可以自发地发送发现消息,例如在当它们被供电时、或者以定期的方式、或者在空白致动器的情况下当它们还未被配置时。
致动器的发现消息包含与该致动器有关的特征数据,尤其是产品特征,这些特征可以包括致动器的标识符idact、致动器的制造商标识符、在致动器中实现的软件版本指示、致动器类型(这里是“第一类型”)。
通过确定能够被配置的至少一个致动器的确定步骤e120继续该方法。在该步骤e120时,配置装置2接收来自住宅自动化设施1的致动器5a、6a的发现消息。配置装置2根据这些消息验证致动器管理临时密钥的能力,即它们是否能够识别、存储、使用以及从它们的存储器删除(即使没有删除的显性指令)临时密钥。然后确定能够管理临时密钥并因此能够被配置的一个或更多个第一类型致动器。这里,在步骤e120时,配置装置2确定两个致动器5a和6a能够被配置。
作为变型,通过配置装置2的人-机接口21或通过预先传送给配置装置2的配置文件,可以通过用户执行的动作来实现确定能够被配置的至少一个致动器的确定步骤e120。
该方法随后包括获得临时密钥kti的获得步骤e130。在该步骤e130时,配置装置2生成有限有效期为δt_kti的临时密钥kti。字母“i”表示临时密钥的下标:每次生成,并更一般地每次获得新的临时密钥,下标i以1递增。有效期δt_kti可以预先确定,即提前固定。在这种情况下,例如它可以等于x分钟,例如60分钟。临时密钥kti用于保证在步骤e120确定的致动器5a、6a与配置装置2之间在这些致动器的配置期间的通信安全。因此预定的有效期δt_kti被调整用于覆盖这种配置操作的持续时间。
作为变型,临时密钥kti可以由配置装置2本身,或者由用于向配置装置2提供临时密钥的另一个实体(例如可通过通信网接入的安全服务器)已经预先生成,即提前生成。在这种情况下,配置装置2可以在存储器中存储批量(batch)的预先计算的临时密钥。一旦批量临时密钥中的所有临时密钥都已被分配,配置装置2就可以以安全方式获得并存储新批量的临时密钥。
在步骤e130之后,在发送步骤e140时,配置装置2通过向每个致动器5a、6a传送包含密钥kti的消息m_kt将临时密钥kti分配给在步骤e120时确定的致动器5a、6a。配置装置2还传送密钥kti的有效期δt_kti。这里传送临时密钥kti的消息m_kt还包含该密钥的有效期δt_kti。还可考虑将不同的临时密钥例如kti和kti+1分别传送给不同致动器5a、6a。对于所有临时密钥有效期可以是相同的。
作为变型,致动器5a、6a可以在存储器中存储临时密钥的预定的有效期δt_kt。该期限δt_kt可以在配置时和/或在工厂制造结束时被每个致动器预先记录。在这种情况下,配置装置2不需要传送临时密钥的预定的有效期。
在步骤s140时,致动器5a、6a接收在消息m_kt中传送的临时密钥kti和此处预定的有效期δt_kti,并将这些数据记录在存储器中。接收密钥kti时,每个致动器5a、6a启动计时器,以计时从接收密钥kti起经过的时间,并监督期限δt_kti的到期。
通过由配置装置2实施的通信步骤e150继续该方法,配置装置2按照第二通信模式与每个致动器5a、6a通信。该步骤允许装置2配置每个致动器5a、6a。配置装置2和每个致动器5a、6a以双向的方式彼此通信。借助临时密钥kti保证通信安全。在该步骤e150时,装置2以已知的方式,尤其是通过向5a、6a传送配置数据来配置致动器5a、6a,所述配置数据诸如为由致动器操纵的住宅自动化设备的运行参数、安装在致动器中的软件更新、或任何其它类型的配置数据。用标记s150表示由每个致动器5a、6a实施的相应通信步骤。
在配置e150之后,先前在接收到临时密钥kti时由每个致动器5a、6a触发的计时器达到预定的有效期δt_kti。在期限δt_kti到期时,每个致动器5a、6a自主地并因此以自动的方式从它的存储器中删除或取消临时密钥kti。
可以考虑在步骤s160时,每个致动器5a、6a向配置装置2传送确认密钥kti有效期结束的消息“m-end-val”,确认有效地删除密钥kti。在这种情况下,配置装置2可以验证致动器5a、6a在步骤e160时是否已正确地确认删除其临时密钥。在致动器没有确认删除临时密钥kti的情况下,配置装置2可以触发用于管理故障致动器的动作,例如:
-在屏幕22上显示故障致动器的标识符,以便允许用户采取适当措施(例如根据配置装置2的显式指令触发密钥删除),并且/或者
-通过通信网向管理服务器传送故障致动器的标识符,以便将其加入到被判断为故障或不兼容(non-compliant)致动器的“黑”名单中。
在上面的描述中,临时密钥kti的有效期δt_kti是预先确定的,并通过配置装置2传送给能够被配置的致动器5a、6a。这构成删除临时密钥kti的隐式命令。在该有效期δt_kti到期时,每个致动器自发地从它的存储器中删除临时密钥。
根据实施变型,通过向已接收到密钥kti的致动器5a、6a发送来自配置装置2的有效期结束消息来确定有效期δt_kti。在这种情况下,在接收到来自配置装置2的显式消息时触发由之前已经接收并储存了临时密钥kti的致动器5a、6a删除临时密钥kti。该消息包含删除指令和/或临时密钥kti有效期结束的指示。在这两种情况下,该消息构成删除密钥kti的请求。因此临时密钥kti可以被传送给确定的致动器5a、6a而不传送预定的有效期。在致动器5a、6a的配置e150后,在步骤e155时,配置装置2向每个致动器5a、6a传送请求删除临时密钥kti的消息。在接收到删除请求时,每个致动器5a、6a从它的存储器中删除该临时密钥kti。
配置装置2还可在传送临时密钥kti后在步骤e142时存储已经通过发送确认消息ack_kti确认接收到密钥kti的致动器的标识符。随后,在配置步骤e150后,并且在发送删除密钥kti的请求e155时,已经有效删除了它们的密钥的致动器5a、6a可以向配置装置2传送确认密钥有效性结束的消息,如前面解释的。随后配置装置2可以在步骤e160时验证已经接收到密钥kti的致动器是否已经正确地确认密钥删除。在致动器没有确认临时密钥kti删除的情况下,配置装置2可以触发用于管理故障致动器的动作(在屏幕22上显示并且/或者向管理服务器传送故障致动器的标识符)。
如前面指出的,步骤e110、e142、e155和e160是可选的。图6表示按照图5方法的另一个实施变型的方法e100,它与参照图5描述的实施方式(和其变型)的不同在于加入了其它可选步骤e105和e125。为了清楚起见,下面只描述这些可选步骤。步骤e105和e125可以彼此独立地加入。
在步骤e110之前实施的步骤e105是在配置装置的屏幕22上显示它适合激励(即它必须对其进行动作)的控制点的指示的步骤,以便触发致动器向发现模式切换。在这里描述的例子中,屏幕22显示应当对控制点3a进行动作,以便触发致动器5a和/或6a切换到发现模式,并且对控制点3b进行动作,以便触发致动器6a切换到发现模式。这些配对消息由配置装置2在与控制点3a和4a或与致动器5a和6a通信时预先获得。
在步骤e120后和在步骤e130前实施的步骤e125包括在屏幕22上显示发现致动器的结果,即发现的致动器和与之配对的控制点。
本发明还涉及一种属于住宅自动化设施的致动器的运行方法。该运行方法包括由致动器(5a或6a)实施的上述步骤。参照图8,该方法尤其包括以下相继步骤:
-发送发现消息m_dcv的发送步骤s110;
-接收来自配置装置的包含临时密钥kti和此处预定的有限有效期δt_kti的消息的接收步骤s140;
-按照借助临时密钥kti保证安全的第二通信模式与配置装置2通信,尤其以便配置致动器5a(或6a)的通信步骤s150;以及
-有利地,从致动器5a(或6a)的存储器中删除临时密钥kti的删除步骤s157;
-另外有利地,发送确认临时密钥kti有效性结束的消息,确认删除临时密钥kti的发送步骤s160。
当然,上述可选步骤可以全部或部分地整合到致动器5a(6a)的运行方法中。
现在将参照图2a、2b和7描述配置方法e100的第二实施方式。
图2a表示在配置前,按照本发明的住宅自动化设施的第二具体实施例。该住宅自动化设施1包括三个部分1a、1b和1c。所述将设施1分为三个部分纯粹是虚拟的,并用于更好地理解本发明。
住宅自动化设施1的部分1a包括图1a的实体,即两个第一类型控制点3a、4a,和两个第一类型致动器5a、6a。控制点3a与两个致动器5a和6a配对,并且控制点4a只与致动器6a配对。
住宅自动化设施1的部分1b包括控制点3b和4b以及致动器5b和6b。控制点3b、4b和与之配对的致动器5b、6b用于按照第二通信模式互相通信,并因此叫做“第二类型”。更确切地说,由于控制点3b和4b能够按照第二通信模式通信,因此控制点3b和4b称作“第二类型”。由于致动器5b和6b在以使用模式运行时能够按照第二通信模式通信,因此致动器5b和6b称作“第二类型”。在图1b所示例子中,每个控制点5b(相应地6b)与两个致动器5b、6b配对。要提起的是,第二通信模式使用密钥以保证通信安全,并且这里第二通信模式是双向(或2w)的。每个第二类型控制点3b(相应地4b)具有其专用的密钥,记作k_pdc3b(相应地k_pdc4b)。用于与该控制点3b(相应地4b)通信的致动器5b、6b具有存储在存储器中的控制点的密钥k_pdc3b(相应地k_pdc4b)。致动器5b、6b也适于通过使用密钥按照第二通信模式与配置装置(如装置2)通信,以保证致动器与配置装置之间的通信安全。
在配置前(图2a),第三部分1c与第二部分1b类似。它包括两个第二类型控制点3c、4c以及第二类型致动器5c和6c。每个致动器5c(相应地6c)与两个控制点3c、4c配对。每个控制点3c(相应地4c)具有其专用的密钥k_pdc3c(k_pdc4c)。致动器5c、6c中的每一个在存储器中具有这两个密钥k_pdc3c和k_pdc4c。
要强调的是,致动器可以是“混合的”,即同时是第一类型和第二类型,并且因此也同时是1w和2w。尤其当致动器与至少一个第一类型控制点x和至少一个第二类型控制点y配对时就是这种情况。因此致动器对控制点x是第一类型,并且对控制点y是第二类型。相反,控制点是第一类型的或者是第二类型的,并因此是1w或者是2w。
参照图7,配置方法包括通过配置装置2针对设施1的第一类型致动器5a、6a实施的步骤e120、e130和e140(与参照图5描述的相应步骤类似)。当然,如果住宅自动化设施1包括其它第一类型致动器,尤其是在设施的其它部分中,例如混合致动器(即对控制点x为第一类型,并对另一控制点y为第二类型),则还针对该其它混合致动器执行步骤e120、e130和e140。因此,在已确定设备1的能够被配置的第一类型致动器(步骤e120)后,配置装置1获得临时密钥ktj(步骤e130),并将该密钥ktj和相关联的预定的有效期δt_ktj分配给确定为能够被配置的第一类型致动器5a、6a(步骤e140)。上述可选步骤的全部或部分,尤其是步骤e110和e142(出现在图6上),还有步骤e105和e125a可以按附加方式针对第一类型致动器5a、6a实施。
配置方法还包括允许将一个或更多个第二类型致动器(与第二类型控制点相对)转换为第一类型致动器(与另一第一类型控制点相对)的步骤(e144、e146和e148)。例如可以当第一类型控制点代替第二类型控制点时,在改变控制点时实现该转换。该转换允许与一个或更多个第二类型控制点相对的第二类型致动器转换为只与一个或更多个新的第一类型控制点相对的第一类型致动器,或者转换为“混合”致动器,即与一个或更多个第二类型控制点相对的第二类型并与一个或更多个新的第一类型控制点相对的第一类型。
例如,假设第二类型控制点4c被新的第一类型控制点4c’替代。在这种情况下,恰当的是将初始时只是第二类型的致动器5c、6c转化为混合致动器5c、6c,它们对控制点3c是第二类型,并对替代的控制点4c’是第一类型。
步骤e144允许配置装置2确定能够被配置的第二类型致动器。该步骤e144与步骤e120类似,区别在于步骤e144针对住宅自动化设施1的第二类型致动器实施。因此,在步骤e144时,配置装置2接收来自住宅自动化设施1的第二类型控制点3b、4b、3c、4c和/或第二类型致动器5b、6b、5c、6c的发现消息。可能已经触发了由第二类型致动器发送这些发现消息,用户通过在这些致动器与之配对的第二类型控制点例如控制点3b、3c上实现预定动作(按压“程序”按钮)来进行所述触发。根据这些发现消息,配置装置2验证第二类型致动器管理临时密钥的能力(即它们是否能够识别、存储、使用、并从它们的存储器中删除临时密钥,即使在没有显式删除指令的情况下)。然后配置装置2确定能够管理临时密钥并因此能够被配置的一个或更多个第二类型致动器。这里,在步骤e144时,配置装置2确定四个第二类型致动器5b、6b、5c、6c能够被配置。
通过选择步骤e146继续该方法,从在步骤e144期间确定的第二类型致动器中,即从5b、6b、5c、6c中选择用于转换为(一个或更多个)第一类型致动器的一个或更多个致动器。可以由用户通过配置装置2的人-机接口进行输入来实现该选择。作为变型,还可通过阅读或根据预先传送给配置装置2的配置文件的数据来实现该选择。在这里描述的例子中,第二类型控制点4c(图2a)被第一类型控制点4c’替代(图2b)。在这个背景下,恰当的是将致动器5c、6c转换为与控制点4c’相对的第一类型致动器。当然,致动器5c、6c可以保持与第二类型控制点3c相对的第二类型。因此,在步骤e146时,配置装置2选择致动器5c和6c。这些被选择的致动器5c、6c用于在执行配置方法之后,当它们以使用模式运行时,按照第一通信模式通信,尤其是与新的第一类型控制点4c’通信。它们被称为被选择的第二类型致动器。
然后方法转入到将临时密钥ktj发送给被选择的第二类型致动器的步骤e148。在该步骤e148时,配置装置2向被选择的第二类型致动器5c、6c中的每一个传送临时密钥ktj以及此处它的预定的有效期δt_ktj。临时密钥的这些数据包含在消息m_kt中。接收到该消息时,每个被选择的第二类型致动器5c、6c存储临时密钥ktj和它的有效期δt_ktj。该消息m_kt还可包含用临时密钥ktj替代控制点4c专用的记作k_pdc4c的密钥的指令。在这种情况下,临时密钥ktj替代之前记录的密钥k_pdc4c被存储,即替代被取消的控制点4c的密钥。
通过实施第一和第二通信步骤e150、e250继续该方法,这两个步骤分别允许配置确定的第一类型致动器5a、6a和被选择的第二类型致动器5c、6c。该方法还可具有用于在需要时配置致动器5b、6b的通信步骤。步骤e150与前面参照图5描述的步骤类似。配置装置2与确定的第一类型致动器5a、6a中的每一个交换配置数据。通信步骤e250也与前面描述的步骤e150类似,区别在于,配置装置2与被选择的第二类型致动器5c、6c中的每一个交换配置数据。另外,在第二通信步骤e250时,配置装置2可以向致动器5c、6c传送管理第二类型控制点4c专用的密钥k_pdc4c的管理数据,例如删除指令(如果该指令还未传送)。借助临时密钥ktj保证配置装置2与不同致动器之间的不同通信e150、e250的安全。
要指出的是,可以按特定的时间关联(correlation)例如以同时或相继的方式,或者它们之间不具有时间关联来实现通信步骤e150、e250。这些通信步骤e150、e250可以最终分别包括一方面配置装置2与另一方面不同致动器之间的不同通信。这些不同通信可以看作是通信的不同步骤或子步骤,所述不同通信步骤或子步骤可以按特定的时间关联例如以同时或相继的方式,或者它们之间不具有时间关联来实现。
作为变型,可以在与将临时密钥kti分配给第一类型致动器有关的步骤e120、e130和e140之前或并行地实施与将第二类型致动器转换为第一类型致动器有关的步骤e144、e146、e148。
接收到临时密钥ktj时,每个致动器5a、6a、5c、6c触发计时器,以监督临时密钥ktj的有效期。在有效期δt_ktj到期时,致动器自动从它们的存储器中删除该临时密钥kti。如前面参照图5描述的,可以通过从配置装置2向涉及的致动器发送有效性结束消息来确定临时密钥ktj的有效性结束,所述有效性结束消息显式地请求删除临时密钥。
配置方法还可包括旨在将第一类型致动器(相对第一类型控制点)转换为第二类型致动器(相对另一第二类型控制点)的步骤。假设例如希望将第一类型致动器6a(图2a)与第二类型控制点3b(图2b)配对。换句话说,希望在配置步骤e100后,第一类型致动器6a在以使用模式运行时能够按照借助控制点3b专用的密钥k_pdc3b保证安全的第二通信模式与第二类型控制点3b通信。
为此,参照图2b,在配置方法e100的执行结束时,在确定能够被配置的第一类型致动器的e120后,以及将临时密钥ktj和它的有效期δt_ktj发送给确定的第一类型致动器的e140后,该方法包括选择步骤147,该选择步骤147从能够被配置的第一类型致动器5a、6a中选择至少一个致动器,所述至少一个致动器用于当以使用模式运行时,按照借助控制点专用的密钥来保证安全的第二通信模式通信。在该步骤e147时,被选择的致动器称作被选择的第一类型致动器。在该示例中,在步骤e147中,配置装置2将致动器6a选择作为被选择的第一类型致动器。
选择步骤e147之后是前面描述的通信步骤e150。在该步骤e150时,配置装置2按照借助临时密钥ktj保证安全的第二通信模式与致动器6a(至于它的使用模式运行,仍然是第一类型)通信。装置2和致动器6a交换配置数据,以便配置致动器6a。因此,通过致动器6a与配置装置2之间借助临时密钥ktj保证安全的双向通信来实现被选择的第一类型致动器6a的配置。
在通信步骤e150之后,该方法可以包括发送步骤e152,该发送步骤通过配置装置2向被选择的第一类型致动器6a(或必要时向多个被选择的第一类型致动器)发送包含用控制点3b专用的密钥k_pdc3b替代临时密钥ktj的指令的消息。有利地,该发送步骤e152可借助临时密钥ktj保证安全。在接收到该消息时,致动器6a从它的存储器中删除临时密钥ktj,并用密钥k_pdc3b替代临时密钥ktj。作为变型,配置装置2可以传送临时密钥有效性结束的消息,以便命令由致动器6a删除临时密钥ktj。还是作为变型,临时密钥ktj可以在它的预定的有效期δt_ktj结束时自动删除。在这两个变型中,配置装置可以有利地按借助临时密钥ktj保证安全的方式向致动器6a传送请求记录控制点的密钥k_pdc3b的消息。
参照图3、4,本发明还涉及住宅自动化设施的配置装置,和属于该住宅自动化设施的致动器。该住宅自动化设施尤其包括部分1a,该部分包括:
-一个或更多个用于按照第一通信模式通信的第一类型控制点3a、4a,和
-至少一个致动器5a、6a:
-用于在以使用模式运行时按照第一通信模式与至少一个第一类型控制点3a、4a通信,并且
-能够在以配置模式运行时按照借助密钥保证安全的第二通信模式与配置装置通信。
所述设施还可包括上面描述的住宅自动化设施1的部分1b和1c。
参照图4,符合本发明具体实施方式的致动器,如致动器5a,主要包括住宅自动化设备的操纵模块50以及这里以无线电方式通信的通信模块52,操纵模块50整合有存储住宅自动化设备的运行参数的存储器51,通信模块52整合有存储通信参数的存储器53。通信模块52包括这里以无线电方式发送数据的发送元件54、这里以无线电方式接收数据的接收元件55、和管理与控制点和/或与配置装置通信的管理元件56。通信模块52尤其适于:
-用于在以使用模式运行时按照第一通信模式与至少一个第一类型控制点通信;
-能够在以配置模式运行时按照借助密钥保证安全的第二通信模式与配置装置通信。
根据它的配置,在以使用模式运行时,通信模块52还能够借助记录在存储器52中的控制点专用的密钥按照第二通信模式通信。
通信模块52,尤其是管理元件56还被调整用于管理临时密钥,尤其是:
-接收并处理来自配置装置的包含具有有限有效期的临时密钥(kti、ktj等)的消息,并将该临时密钥以及在必要时该临时密钥的有效期存储在存储器53中;
-通过使用接收到的临时密钥按照第二通信模式与配置装置2通信,以保证与配置装置2的通信安全;
-在临时密钥的有效期到期时删除该临时密钥,在有效期为预先确定的情况下以自动的方式删除,或者在接收到来自配置装置的有效性结束消息时删除,该消息构成删除临时密钥的显式指令;
-并且有利地,一旦临时密钥被删除,就向配置装置发送确认临时密钥有效性结束的消息。
在预先确定有效期的情况下,可以在方法e100时通过配置装置2传送有效期,或者该有效期已经预先存储在存储器中(在预先配置时或者在制造过程中)。
参照图3,符合本发明具体实施方式的配置装置2包括这里以无线电方式接收数据的接收元件24和这里以无线电方式发送数据的发送元件25。配置装置2还包括人机接口21。该接口优选地包括屏幕22和键盘23。可以通过触摸屏实现键盘23和屏幕22的整体。配置装置2还包括用于存储一个或更多个密钥的存储器27、配置模块28和临时密钥生成器29。元件21-29与中央控制单元26连接,在该示例中,中央控制单元26是微处理器,用于控制这些元件的运行。生成模块或临时密钥生成器29这里是存储在存储器中的用于生成密钥的软件模块,由于这些密钥是临时的,并因此与在时间上有限的有效期相关联。这里,临时密钥一旦生成就被用于与和它们的有效期有关的数据一起记录在存储器27中。配置模块28在存储器中包括计算机程序,该计算机程序包括计算机程序的代码指令,所述代码指令适于在由中央控制单元26执行该程序时实现通过配置装置2实施的本发明配置方法的步骤。配置模块28尤其包括管理具有有限有效期的至少一个临时密钥的管理元件30。管理元件30尤其被布置为确定能够被配置的至少一个致动器、获得临时密钥、控制将包含临时密钥的消息发送给能够被配置的至少一个致动器。一般地,管理元件30被布置为实施由配置装置2实施的并与临时密钥(kti或ktj)的管理有关的上述步骤。
- 还没有人留言评论。精彩留言会获得点赞!