专利名称:安全管理设备及提供网络认证信息的方法
技术领域:
本发明涉及利用网络进行的客户机设备的安全认证。
背景技术:
网络设备的认证、授权和管理对于管理网络安全来说至关重要,并随着网络在安全性和复杂性两方面需求的增加而成为用户更大的负担。 认证描述了在客户机设备与网络之间针对网络识别客户机的信息的传送。授权描述了通过网络向客户机授予许可以加入网络以及对文件或服务的访问等级的分配。管理描述了对可以许可何人或何物加入网络进行控制以及对所许可的文件或服务的访问的行为或等级进行控制的管理行为。 随着无线网络的到来,利用无线网络安全地认证和授权客户机设备的需要变得更加重要。需要不仅确保客户机设备与网络之间的通信业务而且确实地建立客户机设备正在访问正确的无限网络,因为通常多个无线网络在特定位置运行。 在现有无线网络协议(诸如蓝牙)中,通过结合网络的两"端"来调用"配对"程序(即,客户机设备想要加入,并且设备形成网络结构的一部分,诸如服务器或主机)。这种方式满足了上面针对网络安全性和明确客户机认证的需求,因为仅特定客户机设备将结合在配对程序中。程序自身导致客户机设备与主机设备之间可靠连接的建立,因为连接的两端必需参与到配对程序中。然而,如果网络在多个用户之间共享,则这种类型的配对程序是不适合的且难以管理。 无线局域网(W-LAN)产业采用了不同的实施方式,其中,客户机必需正确地输入共享密钥(已知WEP密钥),使其可以加入网络。然而,该认证方法会带来网络密钥被偷窃的危险。此外,由于在无线网络上执行操作,所以不能确保确定的网络连接(然而,不同类型的密钥(已知WPA密钥)不能对此进行改进)。此外,输入网络密钥要求对设备(例如,其可以是悬挂式投影器)进行直接的物理访问,并且要求在设备上存在键盘和/或简单的屏幕,对于现有的消费电子设备增加了成本。 此外,在这种类型的系统中,不可能确保正确的客户机设备(从网络的视点出发)或网络(从客户机设备的视点出发)被认证,因为在客户机设备和网络之间没有物理连接,而这又是唯一已知的确保设备"A"加入网络"B"的方法。 在针对该问题的一些解决方案中,为了确定地使客户机加入特定网络,经由临时的有线连接进行客户机设备与目标网络中的主机设备之间的物理"配对"。在又一实施方式中,通过配对按钮的同时按压来正确地识别两个设备。尽管该认证方法保证了正确的两个设备被"配对",但其仍然要求对两个设备进行物理访问。 这些实施方式都不容易用于较大网络,因此,需要一种认证方法,允许在客户机设备与主机网络之间快速安全地传送信息,能够利用简单的用户接口使客户机无线地加入给定网络。
发明内容
根据本发明的第一方面,提供了一种安全管理设备,包括存储器,用于存储用于 网络的网络认证信息;以及发射机,用于无线地将所存储的网络认证信息传输至将连接至 第二设备的设备。 根据本发明的又一方面,提供了一种设备,包括接收机,用于从安全管理设备无 线地接收用于网络的网络认证信息,该设备用于使用所接收的网络认证信息连接至第二设 备。 根据本发明的又一方面,提供了一种方法,包括以下步骤将网络认证信息从安全 管理设备无线地传输至将连接至第二设备的设备。
现在,将参照附图仅通过实例描述本发明,其中 图1是根据本发明的无线网络的框图; 图2是根据本发明实施例的安全管理设备的框图; 图3是根据本发明实施例的普通客户机设备的框图; 图4是根据本发明实施例的配置安全管理设备的方法的流程图;以及 图5是根据本发明实施例的建立网络的方法的流程图。
具体实施例方式
图l示出了根据本发明建立的无线网络的框图。无线网络2包括网络服务器4,其 如现有技术一样管理和控制无线网络2。尽管将管理和控制服务器示出为集中式单元,但其 完全可以利用该功能的分布式实施。无线网络接入点6经由有线连接8连接至网络服务器 4,并提供了通过其可以将客户机设备10、12和14无线连接至网络2的方式。应该理解,网 络服务器4可以替换地经由无线连接而连接至无线网络接入点6。尽管包括在该应用中的 本发明具体应用于无线连接的设备,但其同样可应用于有线网络。在所示实施例中,客户机 设备包括膝上型电脑10、个人数字助理12和悬挂式投影器14。 如上所述,当客户机设备10、 12或14中的一个想要第一次连接至无线网络2时, 传统方法要求客户机设备10、12或14和无线网络接入点6结合在配对程序中(要求用户 具有与设备的直接物理接触),或者需要手动地将预定网络密钥输入至客户机设备10、12 或14(要求用户与客户机设备具有直接物理接触,并且还在客户机设备上具有合适的输入 装置用于输入网络密钥)。 然而,根据本发明,设置了安全管理设备16,以为客户机设备提供诸如网络识别符 和网络密钥的网络认证信息,而不要求用户与客户机设备直接物理接触。在一个实施例中, 存储在安全管理设备16中的网络认证信息可以使用光源(例如,相干或非相干光源(包括 激光器)或简单调制的光束(例如,在可见或红外光谱内))而提供给客户机设备,以及在 可选实施例中,可以使用近场传输技术来提供。可选地,应该理解,可以使用其他合适的无 线通信技术。 由于聚焦光束的简单方法或者小心地控制无线传输的范围,从安全管理设备16 到客户机设备10需要视线范围或非常近的距离(在使用调制的光或激光的情况下),或者安全管理设备16必需非常接近于客户机设备10(在使用近场传输技术的情况下),用户可 以确定地确认客户机设备10设置有关于正确网络2的信息。 图2示出了根据本发明的安全管理设备16的框图。安全管理设备16包括存储
器20,用于存储针对网络2的网络认证信息;合适的发射机22,用于将网络认证信息传输至
客户机设备(10,12,14);以及处理器24,用于控制安全管理设备16的操作。 在所示实施例中,安全管理设备16还包括键盘26,用于接收来自安全管理设备
16的用户的输入(诸如新的网络认证信息或PIN)以对用户进行授权;显示器28 ;以及一些
验证装置30,用于验证用户被授权使用安全管理设备16。优选地,验证装置30为包括至少
一种类型的生物传感器(例如,指纹读取器、虹膜扫描器等)的生物验证装置30。 在又一实施例中,安全管理设备16可包括诸如USB接口的外部输入/输出接口,
用于从服务器或主机4接收新的网络认证信息。如果客户机设备不支持以本文所述方式无
线接收网络认证信息,或者如果客户机设备10易于访问并且安全管理设备16的网络管理
员或其他用户想要使用直接物理连接来传送网络认证信息,则外部输入/输出接口还可以
用于直接将安全管理设备16连接至客户机设备10。 优选地,安全管理设备16为小型手持设备,并且大小可以使其附接至钥匙圈或类 似物。在具体实施例中,安全管理设备16的形式或形状可以类似于钥匙链、激光笔或存储 卡。 图3示出了根据本发明实施例的客户机设备10。如上所述,客户机设备10可以为 膝上型电脑,其包括处理器36、显示器38、小键盘或键盘40、存储器42和无线网络收发器 44。无线网络收发器44可包括用在任意合适的网络(诸如W-LAN、蓝牙或任意其他普通无 线网络)中的收发器。根据本发明,客户机设备10还包括接收机46,其为适当的类型以从 安全管理设备16中的发射机22接收网络认证信息。因此,如果发射机22使用红外光或可 见光,则接收机46包括适当的光传感器。应该指出,在大多数联网的设备中,诸如红外远程 控制信号传感器的光传感器已经内置在设备中。 诸如网络服务器的主机设备4可具有与如3所示的客户机设备10、12或14相同 的基本结构。 图4示出了根据本发明实施例的安全管理设备16的配置方法。在步骤101中,例 如通过按压"电源"按钮等启动安全管理设备16。在步骤103中,安全管理设备的用户身份 被认证或验证。这可以通过用户向安全管理设备16的键盘输入适当的PIN或者通过确定 用户的生物数据并将其与存储在安全管理设备16的存储器20中的先前确定的生物数据进 行比较来执行。 一旦确认了用户的身份,该方法就前进到步骤105,从中确定网络认证信息。
如上所述,网络认证信息可以包括诸如网络标识符、网络密钥、网络的各种设定 (例如,所使用的无线电频率、无线电传输格式等)的信息,其中,通过将使用的安全管理设 备16的类型来确定信息的准确类型。可基于已经存在于所建立无线网络2或期望将被建 立的网络的设定或信息,通过安全管理设备16的用户使用键盘26输入安全管理设备16来 确定信息。可选地,如果安全管理设备16包括外部输入/输出接口,则信息可以从另一个 电子设备(例如个人计算机)经由该接口传送至安全管理设备16。 应该理解,可以以如果安全管理设备16被窃防止恢复信息的方式来加密或保护 存储在安全管理设备16上的信息。可以使用任何适当的技术(包括PIN)。
6
在本发明的一个实施例中,安全管理设备16还可包括用于所标识用户的安全等 级,其表示用户被许可访问网络的等级,和/或用户在设备之间设置网络连接的管理特权 的等级。例如,具有最高安全等级的用户(例如管理员)能够使用安全管理设备16来设 置整个网络(即,将网络认证信息提供给任意类型的设备),以修改所要求的网络认证信息 等。具有最低安全等级的用户(例如网络的访问用户)只能使用安全管理设备16来设置 一个具体类型的连接(例如,在它们的具体客户机设备与网络之间)或者只能修改它们具 体的PIN或其他识别信息。 在又一实施例中,安全管理设备16的用户被验证的等级(即,所要求的PIN或更 强的生物识别符)取决于用户的安全等级。因此,安全管理设备16的低安全等级用户只能 被要求输入简单的PIN,而高安全等级用户(例如网络管理员)可以被要求输入生物信息或 复杂的PIN。使用几种不同的密钥或信息来访问网络(诸如"完备秘密"密钥)的这些方法 对本领域的技术人员来说是已知的。 在本发明的又一实施例中,确定网络认证信息的步骤可包括通过将"标准"网络 密钥(即,密码短语或字符的随机选择)与安全管理设备16的用户所特有的信息(诸如它 们的PIN或从它们的生物概况中取得的信息)相结合以形成最终的认证密钥,来确定网络 密钥(即,用于访问网络或对网络中的通信进行加密的密钥或密码短语)。用于执行该组合 的方法对本领域的技术人员来说是已知的。然后,设备可使用认证密钥的最终传送来访问 网络和/或加密通信。该认证密钥使安全管理设备16的用户确保客户机设备连接至正确 的网络2,因为密钥对于用户和最终的主机和/或客户机设备来说基本上是唯一的。
—旦确认了网络认证信息,该方法就前进到步骤107,其中,在安全管理设备16的 存储器20中存储网络认证信息。 图5是使用安全管理设备16来在包括主机设备4的多个设备(诸如网络服务器 和至少一个客户机设备10、12或14)之间建立新网络2的方法的流程图。在步骤121中, 例如通过按压"电源"按钮等启动安全管理设备16。在步骤122中,如上面参照步骤103所 描述的,验证用户的身份。
0037] 当验证了安全管理设备16的用户的身份时,随后,在步骤123中,根据图4所示方 法确定并存储在安全管理设备16的存储器20中的网络认证信息被依次传输至多个设备中 的每一个。如上所述,使用发射机22 (可包括可见光源或红外调制光源、或近场无线通信发 射机),从安全管理设备16传输网络认证信息。因此,在发射机22为可见光源或红外光源 的情况下,安全管理设备16必须依次指向每个设备(10、 12或14)上的接收机46,或者在使 用近场通信技术的发射机22的情况下,安全管理设备必须设置为接近设备10。
如果新网络中的主机设备4还不具有用于新网络的网络认证信息(例如,如果用 户将网络认证信息直接输入安全管理设备16),则安全管理设备16可用于以与对于客户机 设备10相同的方式将网络认证信息传输至主机设备4(步骤124)。 因此,通过仅使用存储在安全管理设备16上的信息,能以这种方式建立包括全新
设备(在集中式网络的情况下包括主机设备)的安全网络。 在步骤125中,在主机和客户机设备中存储网络认证信息。 在步骤127中,主机设备4使用所接收的网络认证信息并根据在由主机和客户机 设备4和1Q、12或14支持的网络类型中使用的通用程序依次建立与每个客户机设备10的连接。 因此,由于无线地将网络认证信息提供给客户机设备10、12和14以及不要求用户 与客户机设备物理接触,所以安全管理设备16允许无线连接且快速容易地建立无线网络。
例如,考虑向现有WLAN网络添加多个新设备。可以利用网络ID(名为 "CompanyName")和网络密码(名为"Secretl")来设置安全管理设备16。然后,在将该信 息传送给每个新设备之后,设备可以使用信息建立适当连接。因此,安全管理设备16不参 与设备之间任何的实际数据信号传输。 可以以上面参照图5描述的相同方式使用根据本发明的安全管理设备16,以向现 有网络2添加新的永久或临时的客户机设备10、12和14。在这种情况下,安全管理设备16 具有用于现有网络2的存储在存储器20中的适当网络认证信息(从主机设备4接收或通 过安全管理设备16的用户直接输入),并使用发射机22传输至新的客户机设备10、 12或 14。 在一些实施例中,网络认证信息可包括新客户机设备10所特有的信息,诸如将提 供给该客户机10的服务等级(包括带宽、下载/上载限制、用于访问网络2的优先权、可被 用作向商业无线网络支付的电子货币的访问信用等级、固有ID码等)。该设备特有等级信 息可包括与适当服务等级相关联的网络认证信息中的存取码。可基于客户机设备的用户是 否是已知的网络2订户或成员或者用户是否为网络2的临时访问者,来提供不同的服务等 级。 网络认证信息还可以随时间发生变化(包括改变客户机设备10的专用服务等 级)。在这种情况下,即使这些设备已经连接至网络2,安全管理设备16可用于将该新的网 络认证信息传送至客户机设备10、12和14。在这种情况下,一旦接收到新的网络认证信息, 客户机设备10就可以适当地调整连接参数,或者使用新信息重新连接至网络2。
通过使用光学装置来传输网络认证信息,安全管理设备16可以从远方指向客户 机或主机设备,并且通过照射安装在被添加至网络的设备上或设置中的接收设备(诸如投 影器、接入点等)以安全方式传达网络认证信息。因此,通过利用安全管理设备16在客户 机设备上照射适当点来确定地识别客户机设备。 通过免除直接使每个客户机设备经由键盘或类似的物理人机接口人工输入网络 认证信息的需要,安全管理设备16允许无线地设置新网络。
权利要求
一种安全管理设备,包括存储器,用于存储用于网络的网络认证信息;以及发射机,用于将所存储的网络认证信息无线地传输至将被连接至第二设备的设备。
2. 根据权利要求1所述的安全管理设备,其中,所述发射机包括光源,用于照射在连接至所述网络的所述设备上的接收机。
3. 根据权利要求2所述的安全管理设备,其中,所述光源包括调制光源或激光光源。
4. 根据权利要求2或3所述的安全管理设备,其中,所述光源发射可见光。
5. 根据权利要求2或3所述的安全管理设备,其中,所述光源发射红外光。
6. 根据权利要求1所述的安全管理设备,其中,所述发射机包括近场无线通信发射机。
7. 根据前述权利要求中任一项所述的安全管理设备,还包括验证设备,用于验证所述安全管理设备的用户的身份。
8. 根据权利要求7所述的安全管理设备,其中,所述验证设备为生物验证设备。
9. 根据权利要求7或8所述的安全管理设备,还包括处理装置,用于使用针对所述验证设备的用户输入来确定所述网络认证信息的至少一部分。
10. 根据前述权利要求中任一项所述的安全管理设备,其中,所述网络认证信息包括网络标识、网络密钥和用于用户的服务等级中的至少一个。
11. 根据前述权利要求中任一项所述的安全管理设备,还包括输入装置,用于使用户将所述网络认证信息输入所述安全管理设备。
12. 根据权利要求1至11中任一项所述的安全管理设备,还包括输入/输出接口 ,用于从主机设备接收所述网络认证信息。
13. —种设备,包括接收机,用于无线地从安全管理设备接收用于网络的网络认证信息;所述设备用于使用所接收的网络认证信息连接至第二设备。
14. 根据权利要求13所述的设备,其中,所述接收机包括光传感器。
15. 根据权利要求14所述的设备,其中,所述光传感器包括调制光传感器或激光传感器。
16. 根据权利要求14或15所述的设备,其中,所述光传感器用于感测可见光。
17. 根据权利要求14或15所述的设备,其中,所述光传感器用于感测红外光。
18. 根据权利要求13所述的设备,其中,所述接收机包括近场无线通信接收机。
19. 根据权利要求13至18中任一项所述的设备,还包括无线网络收发机,用于使用所接收的网络认证信息建立与所述第二设备的连接。
20. 根据权利要求13至19中任一项所述的设备,其中,所述设备为主机设备。
21. 根据权利要求13至19中任一项所述的设备,其中,所述设备为客户机设备。
22. 根据权利要求13至21中任一项所述的设备,其中,所述网络认证信息包括网络标识、网络密钥和用于用户的服务等级中的至少一个。
23. —种方法,包括无线地从安全管理设备向将连接至第二设备的设备传输网络认证信息。
24. 根据权利要求23所述的方法,还包括使用由所述设备接收的所述网络认证信息,以将所述设备连接至第二设备。
25. 根据权利要求23或24所述的方法,其中,传输网络认证信息的步骤包括使用所述安全管理设备中的光源传输信息并照射在将连接至所述网络的所述设备上的光传感器。
26. 根据权利要求25所述的方法,其中,所述光源包括调制光源或激光光源。
27. 根据权利要求25或26所述的方法,其中,所述光源发射可见光。
28. 根据权利要求25或26所述的方法,其中,所述光源发射红外光。
29. 根据权利要求25所述的方法,其中,传输网络认证信息的步骤包括使用所述安全管理设备中的近场无线通信发射机将信息传输至将连接至所述网络的所述设备中的相应接收机。
30. 根据权利要求23至29中任一项所述的方法,还包括在将所述网络认证信息传输至所述设备之前,验证所述安全管理设备的用户的身份。
31. 根据权利要求30所述的方法,其中,验证步骤包括验证所述安全管理设备的用户的生物信息。
32. 根据权利要求30或31所述的方法,还包括使用来自所述验证步骤的用户输入来确定所述网络认证信息的至少一部分。
33. 根据权利要求23至32中任一项所述的方法,其中,所述网络认证信息包括网络标识、网络密钥和用于用户的服务等级中的至少一个。
全文摘要
提供了一种安全管理设备及提供网络认证信息的方法,允许设备之间的网络连接的安全建立,该安全管理设备包括存储器,用于存储用于网络的网络认证信息;以及发射机,用于将所存储的网络认证信息无线地传输至将被连接至第二设备的设备。
文档编号H04L29/06GK101711471SQ200880016314
公开日2010年5月19日 申请日期2008年5月9日 优先权日2007年5月24日
发明者邓肯·布莱姆纳 申请人:Iti苏格兰有限公司