无头电子装置的恢复的制作方法

本发明涉及一种恢复电子装置、特别是诸如网络相机的无头电子装置的方法。

背景技术：

无头电子装置(headlesselectronicdevice)是一种具有数据处理能力、但缺少诸如显示器的图形用户界面的电子装置；并且它还可能缺少直接与装置通信的工具，诸如键盘。示例包括网络附加存储(nas)、路由器、ip相机等，并且在以下说明中提供更多示例。虽然在本公开中，本发明将主要在视频监控和物理访问控制领域中进行了描述，但是本领域技术人员认识到可以将其用于其他无头装置。

可经由电缆或无线通信访问无头装置以进行控制和设置。而且，为了提高可靠性，通常具有物理开关以用于将无头装置恢复到出厂默认设置或其他预定的恢复设置。物理开关可以是专用按钮，但它也可以是与特定的按压模式组合的一个或多个按钮，或者可以是用磁性键可访问的磁性开关。

初始化恢复的常见原因是：丢失了密码，或者无头装置的配置已进入恢复优于手动重新配置或恢复是唯一选项的不需要的状态。

无头装置可以是电子保护的，从这种意义来说并非任何人都可以连接到设备并改变其设置。这可使用合适的一组证书、密码等来实现。然而，物理恢复是规避与装置进行常规通信的一种方式，因为其被设计为在这种通信的故障的情况下提供解决方案。因此，对于一些无头装置，因此足以物理访问无头设备以能够允许访问出厂恢复，并且一旦初始化出厂恢复，就可能会通过更改其设置来劫持装置，从而将用户特定的密码取消为默认密码。这种取消通常是恢复过程本身的一部分。

现有的解决上述问题的解决方案包括物理锁，诸如us2007/007114a1中公开的物理锁，其中路由器的恢复按钮受到可锁定盖的保护。使用物理锁对其所布置的装置的耐用性提出了要求，因此其可以不被用于任何装置，并且可以以可改写的方式，至少不会在很大程度上。通过us2003/005294a1的公开部分地规避了此问题，其中使用智能卡和使用可选引脚代码来恢复或清除安全终端。

在最坏情况下，可对产品进行物理访问的任何个人将有机会劫持无头装置，使得能够访问记录的数据(视频)、设置的更改等。这种情况不太可能的，尤其是考虑到它将不得不被系统的其余部分所保留，但改进仍然是有价值的。

技术实现要素：

鉴于以上，本发明的目的在于提供一种将无头电子装置恢复到出厂默认设置的改进的方法和装置。

根据本发明的第一方面，上述目的通过一种恢复网络连接装置上的设置的方法实现，该方法包括：

接收代表对恢复网络连接装置上的设置的请求的启动信号；

通过经由链路层协议传送授权请求，将恢复设置的授权请求传送给被布置为网络上的邻近节点的授权装置；其中授权请求是响应于接收到的启动信号而传送的；

响应于授权请求从授权装置接收完全或部分加密的恢复授权消息；

解密接收到的恢复授权消息；

验证恢复授权消息；

如果恢复授权消息被验证，则恢复网络连接装置上的设置。

该方法增加了安全特征，确保恢复是由授权的个人启动的，这是特别重要的特征，因为在恢复之后，任何人都可以访问访问网络连接装置。恢复授权消息可被完全加密，但在大部分情况下将足以能够确保消息是从授权源发出的。然后，完全加密的替代方案用于执行消息的部分加密，诸如例如向其添加数字签名。将在详细描述中讨论经由链路层协议进行通信的效果及优势，即，能够用其以太网地址直接寻址装置的方法。

在进一步的实施例中，授权请求可被完全或部分加密。

在一个或多个实施例中，可通过激活设置在网络连接装置上的恢复启动机构来触发启动信号；而在另一些实施例中，通过激活设置在授权装置上的恢复启动机构来触发启动信号。在实际设置中，可以组合这些可能性，以使得用户可选择最方便的解决方案。

在一个或若干个实施例中，网络连接装置可被设置为仅与专用授权装置通信。这可通过分别在网络连接装置和授权装置上设置匹配证书或者一对公钥/私钥来确保。另一选项可以是包括应该在授权装置处输入的密码或识别码，并发送给网络连接装置，以便完全授权恢复操作。识别码可以是密码，并且其还可包括识别要进行的恢复操作的类型的配置文件(profile)标识符。

在一个或多个实施例中，该方法可包括用外部装置访问授权装置。这将会使得能够使用更复杂的用户界面；如果要进行更复杂的操作，则这可能是有益的。

配置文件标识符还可包括用于若干个不同网络连接装置的标识符，使得能够扩展使用单个授权装置。

在任意实施例中，网络连接装置可经由以太网电缆连接至网络；优选地但并非必要地，使得能够以太网供电。而且，恢复操作可包括将网络连接装置恢复到恢复配置文件，恢复配置文件包括网络连接装置的预设状态，该预设状态与网络连接装置离厂的状态对应，或者与通过关键软件更新而改变的此类状态对应，包括恢复用于访问网络连接装置的密码。

在一个或若干个实施例中，该方法可包括：增加除出厂默认密码之外的密码。这可通过使用授权装置的键盘或用户界面或者通过对网络连接装置进行预设来执行。结果是，当完成恢复过程并且可再次访问网络时，将设定与默认密码不同的密码。这将通过关闭时间间隔来进一步提高安全性，在该时间间隔期间网络连接装置可能更容易受到未授权访问的攻击。

根据第二方面,本发明涉及一种在恢复网络连接装置上的设置的方法中使用的授权装置。授权装置包括控制器、用于软件和证书的非易失性存储器以及用于以太网通信并且可选地用于以太网供电的端口，并且该授权装置被配置为用于经由低级链路层数据包与网络连接装置通信。

在一个或多个实施例中，授权装置可包括用于指示恢复过程的状态的指示器。例如，其可指示与网络连接装置的成功配对、链路接触、正在进行或已完成的poe协商并/或指示恢复过程已完成。

在任意实施例中，授权装置可经由以太网供电或者内部电池供电。在前一种情况下，授权装置优选地可被配置为从最初设置为用于供应到网络连接装置的以太网电缆上的电力汲取(tap)电力。

在授权装置的一个或多个实施例中，授权装置可包括恢复启动机构，可选地与要恢复的网络连接装置的恢复启动机构直接通信。而且，授权装置可包括诸如数字键盘的代码输入装置，以用于输入识别码或者与授权装置通信。代码输入装置优选地集成在授权装置中作为其一部分。

授权装置可包括使得能够与多个网络连接装置通信的多个以太网端口。

根据第三方面，本发明涉及一种恢复网络连接装置的设置的系统，包括任何前述或后续描述的网络连接装置以及相关联的授权装置。该方面包括若干实施例，例如，网络连接装置可被配置为执行根据前述或后续描述中公开的一个或任意实施例的方法。

应注意的是，除非另外清楚指明，本发明涉及各特征的所有可能的组合。

附图说明

通过以下参照附图对本发明优选实施例的示意性且非限定性的详细描述，将能够更好地理解本发明的上述以及其他目的、特征和优势，附图中相同的参考标记将用于类似的元件，其中：

图1是连接有授权装置的网络连接装置的示意图；

图2是例示了本发明的方法的若干实施例的方法的流程图；

图3是根据本发明的实施例的授权装置的示意性平面图；以及

图4是根据本发明的进一步的实施例的以相机的形式连接至若干个网络连接装置的授权装置的示意图。

具体实施方式

图1是与网络装置104连接的授权装置102的示意图，在该特定情况下，网络装置104为网络相机104。相机104是一种无头装置，从这种意义来说，它不具有与操作者通信的显示器，但它可具有一组led组，可经由该组led实现某些程度的通信。

相机104经由以太网电缆106连接至以太网，并且优选地还提供以太网供电(poe)，使得能够相机104上只有单个连接器可用。使用poe在安装中具有必须提供单个网络电缆的直接的优势，因为以太网电缆106既通信电力，又使得能够将信息传送至相机并从相机传送信息。实际的优点可能在于：由于在使用poe时对产品的供电不被视为高电压，因此不适用高压调整，而且未接受训练的人员也可与设备一起工作并进行安装。

图1所示的设置还包括与相机106串联的授权装置102，授权装置102紧邻相机106的上游。实际上，将106引导到相机的以太网电缆已断开连接，反而连接到授权装置102，而由106’定义的另外的电缆现在连接授权装置102和相机104。

当使用poe时，授权装置102优选地可经由以太网电缆分流电力，使得可以维持对相机104的电力供应，并且还可维持与相机104的数据传送。在一个或若干个实施例中，经由授权装置的与网络连接装置的数据传送在恢复过程期间被阻止，从而防止在执行恢复之后立即进行未授权的访问。

授权装置102可从以太网电缆106汲取电力以用于自身功能，但其也可具有单独的电源或者可被设置有内部电源，诸如电池。从以太网电缆汲取电力的优势在于：包括在授权装置中的组件可以保持在最低限度。使用内部电池或其他电源也可具有一些优势。一个优势在于：使用不限于用poe供电的装置。在此类实施例中，授权装置将仅需要以太网连接器来连接网络连接装置，而不是直通(pass-through)端口。

在相机由除poe之外的外部源供电的另一实施例中，授权装置可经由相机供电，例如，经由从相机104引导到授权装置102的以太网电缆106’或者经由单独的连接器。经由以太网或以太网电缆将授权装置连接至相机的替代方案将会使用无线通信。此方案从灵活性的角度来看是有益的，因为可在不在物理上连接到相机的情况下提供访问。然而，从安全角度来看，这也可能被认为是缺陷。

再次参照图1，相机104被设置有恢复按钮108。在这种情况下，重要的是要注意，恢复按钮108表示功能而不是物理按钮。实际上，恢复按钮可以是专用恢复按钮108，但也可以是当按照特定顺序被按下时初始化恢复的一个或若干个通用按钮。在其他实施例中，恢复按钮可以被磁性激活或者电激活的，具有这样的优点：按钮可隐藏在相机外壳内，避免环境的影响并且某种程度上避免无意的激活。在一个或若干未示出的实施例中，可使用近场通信(nfc)启动恢复功能，其中相机必须被设置有利用nfc协议进行通信的工具。

相机被设置有出厂恢复的功能，使得能够恢复到与相机离厂的状态对应的状态，例如，由相机制造商推荐的设置。在实际情况下，用户启动恢复操作的主要原因是误置或丢失了密码，或者已将网络设置设置为非功能值。如果不存在这些问题，则通常认为经由网络和用户界面访问相机更方便。可能存在若干个级别的恢复，但恢复操作通常将导致所有用户配置被删除并由出厂默认值(factorydefault)替换。从相机离厂以来已经更新的一些参数可保留，诸如统计日志等，以便维持服务间隔。而且，可通过例如升级网络装置104的固件而更改与恢复状态对应的设置，由此建立新的出厂默认状态。

授权装置102被设置有处理单元，诸如微处理器或微控制器110，使得能够进行通信和处理，并且授权装置102被设置有用于对密码、证书进行非易失性存储并且可选地对一个或若干恢复配置文件或恢复配置文件标识符等进行非易失性存储的存储单元112。

图2例示了根据一个实施例的方法的功能性流程图，并且可与图1一起研究以便更好地理解。根据该方法，通过激活(某种类型的)恢复按钮而启动恢复操作(216)。通过相机与授权装置之间的通信而验证启动恢复操作的意图(218)。根据本实施例，先前安装的证书在相机中可用，而证书的另一部分被设置在授权装置中，并且通常涉及不对称的加密过程，其中私钥被布置在授权装置上，并且对应的密钥对的公钥被布置在相机上。

在本实施例或其他实施例中，启动信号以及随后的请求可包括：从相机向授权装置发送质询(challenge)。质询可以是加密的盐渍真相(saltedtruth)。然后，授权装置通过用私钥对质询进行解密并用私钥对带盐事实进行加密并且将其返给相机来提供符合质询的响应。由此，响应可优选地被数字签名或者被加密，使得相机能够推断响应是(在具体时间下)由特定的或者至少经验证的授权装置提供的，并且这将是目标，而不考虑使用哪种技术。这基本上遵循标准质询/响应授权。以此方式，可阻止再现攻击(replayattack)，即：以可疑目的在相机与授权装置之间使用旧通信。在从相机发送的质询或请求包含应保护的信息的情况下，可对其进行加密。如参照图1指出的，授权装置102设置为紧邻相机104的上游，从这种意义来说，其间不设置开关或路由器。相机将经由链路层协议与授权装置通信，由此可验证授权装置被布置在相机附近的直接网络中，即：在同一网络段上。然而，它允许经由接线板和电缆进行通信，这可以简化本发明的实际应用。由于这些类型的低级网络数据包不被路由，因此通信将保持在网段内。此方案将引起进一步的安全级别，因为操作者不仅必须访问适当的硬件，而且还必须访问适当的位置，以启动恢复操作。使用通过链路层进行通信的其他实际益处在于：网络参数可能已被设置为非工作状态，禁止通过高级协议进行通信。高级协议可能需要所谓的以太网地址，但装置可能会被错误配置，而使得以太网地址无法正确工作或者根本不知道。使用例如所谓的仅在一个网段内本地使用的mac地址的链路层上的通信将确保与设备的直接通信将始终是可以独立于设备配置的。

如果以上述方式验证了恢复启动，则将执行相机的恢复(222)。在该实施例或任意实施例中，恢复可以是恢复到出厂默认值，或者恢复到任意其他预设的恢复配置文件，如前所述。

如果证书或密码不匹配，或者如果检测到没有授权装置，则可启动若干个不同事件。在无意中激活了恢复按钮的情况下，特别是如果相同的按钮也用于激活其他功能，则合适的动作将是被简单地忽略恢复请求(224)，并且根本不采取任何动作。在其他实施例中，恢复请求可被忽略(224)、但被添加到系统日志和/或生成标记或事件或者甚至警报(226)，以通知操作者网络装置可能受到篡改。这在图2的虚线内被指示。

为了总结授权装置在一个或多个基本实施例中的动作，它将接收授权请求，如果需要，对其进行解密。随后，它将验证请求，构造授权响应，对其进行加密，并将其发送到网络连接装置。

恢复之后，授权装置可被断开，并且以太网电缆可被重新连接至网络连接装置，或者授权装置可选地可保持连接。在成功恢复之后，任何证书可能已从产品中被移除，并需要与所有其他系统特定设置(如ip设置和系统密码)一起被重新安装，除非使用包括新系统密码和/或证书的恢复配置文件。

图3是根据一个实施例的授权装置302的示意性平面图，实际上例示了可被组合以形成各种不同的实施例的多个可能特征。授权装置302可包括键盘328，实现密码保护功能。在此情况下，可以强调至少两种不同的功能。第一种是访问实际的授权装置可以受到pin码或类似物的保护，使得只有授权的人员才能够使用它。第二种是对相机的响应可包含pin码，使得如果代码未知，则恢复可能不会被实现。当然，这两种功能可单独使用或组合使用。键盘还可用于与授权装置通信，示例包括具体的恢复配置文件、输入pin码等的选择。特定恢复配置文件可指用于特定网络连接装置的单独的配置文件。特定网络连接装置可具有与其相关联的若干个恢复配置文件：一个是出厂恢复，建议为默认恢复；以及基于用户定义的设置或预先安装的设置的一些其他恢复配置文件。在一个或多个实施例中，恢复到不同于默认配置文件的配置文件包括：初始恢复到默认配置文件，随后对参数进行自动配置从而产生用户定义或定制的配置文件。

在一个或多个实施例中，可随着时间而更新默认配置文件。示例可包括与相机离厂的状态对应的默认配置文件。这将是默认配置文件，直到从制造商发布的软件被提供为止，随后用发布的软件或者至少其相关部分更新默认配置文件。

默认配置文件优选地被存储在相机上，并且任意其他配置文件也可被存储在那里，这意味着授权装置可能仅需要通信要使用哪个配置文件(或者仅确认应进行恢复)而不是整个配置文件。

授权装置可包括用于指示各种操作条件的诸如led的指示灯330。一个示例可以是匹配证书的(绿色)稳定光，或者指示正在进行的处理的脉冲(绿色)光。其他指示可以是确认相机已成功通过出厂默认值并且正确重启以及已安装默认配置文件的添加的一个或若干个信号。

授权装置上的按钮332可用于验证恢复，因为恢复启动要求激活按钮332以继续进行恢复。关于结合相机讨论的恢复按钮，恢复按钮332可具有其他形状或形式并且适用相同的示例。按钮332或者授权装置上的对应功能也可被配置为生成开始恢复过程的启动信号。这种设置的一个优势在于：操作者不必立即访问相机。监控相机通常可能位于难以接近的位置：杆的顶部、高速公路的上方、桥的下方、铁轨的上方、楼道里等。在这种实施例中，授权装置的按钮可以是硬连线的或者可被编程以承担相机的恢复功能的作用，但它也可生成传送给相机的第一信号，第一信号触发恢复过程的启动。

已参照图1讨论了授权装置102、302的其他特征。

图4例示了根据本发明的进一步的实施例的授权装置。在所示实施例中，最直接的区别在于授权装置402能够输出到若干个相机，即：它包含与关于前述实施例描述的相同类型的多个连接器，这使得多个通道可用于连接网络连接装置。在例示的实施例中存在三个这样的通道，但在实际情况下可能存在较低或更高的数量。当启动相机404、404’、404”的恢复时，授权装置402的功能也将与已经关于先前实施例描述的功能相同。操作者可经由用户界面进行通信，这可对应于敲入个人识别码、激活按钮，或者如果请求了验证，则类似于验证恢复过程。在一个实施例中，授权装置的每个通道与led灯相关联，使得来自相机的启动请求引起来自对应的led灯的信令，随后用户可通过按下授权装置的按钮来验证请求。每个通道也可具有一个这种按钮。

在可替代实施例中，经由连接至授权装置402的次级装置434实现用户界面。次级装置可以是便携式计算机、平板电脑或者其他手持装置。

在整个详细说明书中，给出的网络连接装置的唯一示例是相机。这不应被解释为对本发明的限制。容易理解的是，在不脱离本发明的范围的情况下，表征相机的特征对于本发明的功能不是必需的，并且“相机”一词可以被任何其他无头装置替代，包括已经提供的示例以及类似的装置。示例包括物理访问控制器、网络门站、网络读卡器、网络i/o继电器模块、视频编码器、路由器、开关、网络附加存储单元、人检测器、物体检测器、烟雾检测器、各种网络连接单元(诸如网络连接的恒温器)、灯、环境传感器、存在检测器、致动器、家用电器、麦克风、扬声器和健康监控器，即：基本上具有以太网连接和恢复按钮的任何无头装置，并且其中恢复按钮的激活将密码重置为出厂默认值。

应理解到的是，本领域技术人员可以以许多方式修改上述实施例并且仍可利用上述实施例所示的本发明的优势。因此，本发明不应限于所示实施例，而应仅由随附权利要求书限定。此外，技术人员应理解，所示实施例可进行组合。