技術領域

本發明涉及用于使裝置安全關聯的方法。特別地，本發明涉及在之前IP使能的裝置還未連接時在它們之間形成安全關聯。

背景技術

目前對于低成本的IP使能裝置還沒有簡單的方法用于在之前它們還未連接時建立對等安全關聯（SA）（共享密鑰和算法、驗證裝置身份、連接信息、端口和協議）。

可考慮在制造時用共享密鑰或證書預配置這樣的裝置，但該方法無法外推以在其他遺留裝置或已經用不同的密鑰/證書預配置的裝置之間允許有配合操作。

在下面的討論中，術語“IP型”SA指兩個IP使能的同位體之間的安全關聯。示例包括在IPSec級、TLS級或應用級處的關聯。

相對高端的裝置使用IPSec來建立這樣的SA是可能的，假設：

a）它們具有現有的證書或共享密鑰并且

b）它們是IP可尋址的并且已經發現彼此的IP。在許多網絡中這將不適用。

SA的形式還可以在TLS會話中建立，假設裝置中的至少一個是可尋址的（服務器）但對于證書或預共享密鑰/密碼存在相似的要求。

局域網通過手動輔助（加載WEP、WPA、藍牙PIN輸入的密鑰）或通過未驗證的橢圓曲線Diffie?Helman（希望附近沒有中間人）（藍牙v2.1“Just?Works”配對）來建立子IP?SA也是可能的。

沒有容易的方法來執行對這樣的連接的授權控制（例如，關于哪些裝置可以連接到哪些其他裝置、支持什么協議、壽命極限、連接密鑰是否被托管等的網絡級策略）。此外，沒有容易的方法來建立IP型SA。

因此，本發明的目的是避免或至少減輕前面提到的問題。

發明內容

根據本發明的第一方面，提供有用于在IP使能的裝置之間形成安全關聯的方法，該方法包括：

在所述裝置的第一個與第一網絡服務器之間建立第一關聯，

接收從訂戶驗證存儲部件到網絡的所述裝置的第二個的所有權聲明，

將網絡領域身份分配給第二裝置；

將驗證詢問發送到訂戶驗證存儲部件；

響應驗證詢問而接收驗證信息；

將驗證信息傳遞到第二裝置，

根據傳遞的驗證信息促進第二裝置與第二網絡服務器之間的第二關聯，

在第一和第二網絡服務器之間建立安全連接，所述安全連接具有對應的安全關聯信息，以及

分別使用第一和第二關聯將所述對應的安全關聯信息傳遞到第一和第二裝置兩者，由此在第一與第二IP使能的裝置之間提供必要的關聯。

從而為了在之前IP使能的裝置未連接時在它們之間實現安全關聯的形成，就是說，方法需要由始發裝置的訂戶作出目標裝置的所有權聲明并且憑借SIM卡來驗證訂戶給出該聲明。始發裝置建立到第一服務器的安全連接。目標裝置建立到第二服務器的安全連接。假設第一和第二服務器可以建立常規的IP型SA（例如，使用IPSec或TLS），在這兩個裝置之間有安全關聯鏈。該鏈然后用于在始發裝置與目標裝置之間建立新的安全關聯。第一和第二服務器從而分別充當兩個裝置的代理并且代表它們協商安全關聯。它們然后使用現有的安全關聯鏈將新的安全關聯信息安全地傳遞到裝置。

優選地，分配網絡領域身份的步驟包括使用制造商提供的身份來驗證第二裝置。

根據本發明的另外的方面，提供有用于在IP使能的裝置之間形成安全關聯的系統，該系統包括第一網絡服務器和第二網絡服務器，所述第一網絡服務器和第二網絡服務器能操作以在其之間建立安全的IP型關聯，所述安全關聯具有對應的安全關聯信息，其中第一網絡服務器包括：用于建立與所述裝置中的第一個的第一關聯的部件；用于從訂戶驗證存儲部件接收所述裝置的第二個的所有權聲明的部件；用于將網絡領域身份分配給第二裝置的部件；用于將驗證詢問發送到訂戶驗證存儲部件的部件；用于響應該驗證詢問而接收驗證信息的部件；以及用于將驗證信息傳遞到第二裝置的部件；

第二網絡服務器具有用于根據傳遞的驗證信息建立與第二裝置的第二關聯的部件，

其中第一網絡服務器使用第一關聯將所述對應的安全關聯信息傳遞到第一裝置并且第二網絡服務器使用第二關聯將所述對應的安全關聯信息傳遞到第二裝置，由此在第一和第二IP使能的裝置之間提供必要的關聯。

附圖說明

為了更好地理解本發明，現在將僅通過示例來參考附圖，其中：

圖1圖示根據本發明的裝置注冊的步驟；

圖2圖示根據本發明將服務器間SA建立為橋的步驟；以及

圖3圖示根據本發明由代理建立裝置間SA的步驟。