用于將客戶端注冊到服務(wù)器的方法和設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明一般地涉及聯(lián)網(wǎng)設(shè)備的安全注冊領(lǐng)域����。更具體地,本發(fā)明涉及用于將客戶端注冊到實現(xiàn)網(wǎng)絡(luò)地址訪問控制的服務(wù)器的方法和設(shè)備����。
【背景技術(shù)】
[0002]本節(jié)旨在向讀者介紹可以與下面描述和/或請求保護的本發(fā)明的各個方面相關(guān)的領(lǐng)域的各個方面。本討論被認為有助于向讀者提供背景信息以便更好地理解本發(fā)明的各個方面。因此���,應(yīng)當(dāng)理解的是�,這些陳述應(yīng)當(dāng)從這個角度被閱讀��,而不是被認為是對現(xiàn)有技術(shù)的承認�。
[0003]保護網(wǎng)絡(luò)上的信息和秘密要求使用安全方法來向網(wǎng)絡(luò)添加新設(shè)備。已知的安全方法實現(xiàn)網(wǎng)絡(luò)地址訪問控制策略�,并提出了新設(shè)備的注冊問題。新設(shè)備由新的網(wǎng)絡(luò)地址標(biāo)識�����。有可能通過干擾設(shè)備向網(wǎng)絡(luò)的注冊過程來破壞網(wǎng)絡(luò)安全并獲得對網(wǎng)絡(luò)信息和秘密的訪問�。用于防止安全威脅的已知方法是默認拒絕策略,其中�����,沒有明確地被允許的內(nèi)容即被禁止���。這種默認拒絕策略被用于控制使用設(shè)備網(wǎng)絡(luò)地址訪問安全網(wǎng)絡(luò)��,來自未知的網(wǎng)絡(luò)地址的任何通信被忽略�。因此,對于實現(xiàn)基于網(wǎng)絡(luò)地址的默認拒絕訪問控制策略的服務(wù)或?qū)S镁W(wǎng)絡(luò)�����,新設(shè)備不能直接連接并發(fā)送注冊憑證到這種服務(wù)或?qū)S镁W(wǎng)絡(luò)����。此外,根據(jù)這種方法�,從未知的網(wǎng)絡(luò)地址接收到的任何有效負載被忽略。
[0004]這種系統(tǒng)需要注冊新設(shè)備的網(wǎng)絡(luò)地址并在該設(shè)備能夠首次連接之前準許訪問�����。有幾種已知的方法來相應(yīng)地注冊新設(shè)備的網(wǎng)絡(luò)地址���。第一種解決方案是手動注冊。設(shè)備的用戶從他的設(shè)備檢索網(wǎng)絡(luò)地址并將網(wǎng)絡(luò)地址發(fā)送到注冊該地址的服務(wù)管理員���。第二種解決方案是使用專用服務(wù)(比如���,Web服務(wù))。專用服務(wù)針對注冊的唯一目的被提供�。通過專用服務(wù)�,用戶被給予連接用于安全地提供他的網(wǎng)絡(luò)地址的服務(wù)的憑證��。
[0005]上述注冊過程存在缺點���。手動過程痛苦且需要關(guān)于聯(lián)網(wǎng)的最起碼的知識��。如果網(wǎng)絡(luò)地址相當(dāng)長(比如����,IPV6地址)���,則在復(fù)制該地址時存在很高的錯誤風(fēng)險����。當(dāng)專用服務(wù)針對注冊的唯一目的打開到互聯(lián)網(wǎng)的服務(wù)時�,使能新的互聯(lián)網(wǎng)服務(wù)會增大攻擊面,因而必須盡可能避免����。
[0006]需要解決的技術(shù)問題是提供用于在既不打開/實現(xiàn)專用注冊服務(wù),也不翻譯注冊消息的有效負載的情況下注冊新地址的自動化解決方案����。
[0007]本發(fā)明提供了這種解決方案�。
【發(fā)明內(nèi)容】
[0008]在第一方面��,本發(fā)明涉及用于將客戶端注冊到通過網(wǎng)絡(luò)連接的服務(wù)器的方法��,該客戶端被分配以確定的網(wǎng)絡(luò)地址����。該方法包括:由客戶端向服務(wù)器發(fā)送包括至少一個網(wǎng)絡(luò)地址的序列中的第一網(wǎng)絡(luò)地址的請求的步驟;由服務(wù)器拒絕包括至少一個網(wǎng)絡(luò)地址的序列中的第一網(wǎng)絡(luò)地址的請求的步驟�;隨后是由客戶端向服務(wù)器發(fā)送包括第二網(wǎng)絡(luò)地址的請求的步驟;以及當(dāng)?shù)诙W(wǎng)絡(luò)地址是從確定的網(wǎng)絡(luò)地址得出時并且當(dāng)至少一個網(wǎng)絡(luò)地址的序列中的第一網(wǎng)絡(luò)地址是使用客戶端與服務(wù)器之間的共享秘密和客戶端的確定的網(wǎng)絡(luò)地址從第一函數(shù)得出時���,由服務(wù)器準許包括第二網(wǎng)絡(luò)地址的請求的步驟����。因此����,服務(wù)器適于執(zhí)行序列中所使用的連續(xù)的網(wǎng)絡(luò)地址是使用共享秘密從第一函數(shù)得出的驗證以及執(zhí)行連接地址的驗證�����。
[0009]根據(jù)有利特征��,針對至少一個網(wǎng)絡(luò)地址的序列中的每個連續(xù)的網(wǎng)絡(luò)地址,第一和第二步驟被迭代地重復(fù)��,因此至少一個網(wǎng)絡(luò)地址的序列中的連續(xù)的網(wǎng)絡(luò)地址是使用共享秘密和至少一個網(wǎng)絡(luò)地址的序列中的在前的網(wǎng)絡(luò)地址從第一函數(shù)得出的����。
[0010]在第一變型中,第二網(wǎng)絡(luò)地址(即�,由客戶端發(fā)送的最后的地址,其也是連接地址)是使用客戶端的確定的網(wǎng)絡(luò)地址從第二函數(shù)得出的�。在第二變型中,第二地址是使用至少一個網(wǎng)絡(luò)地址的序列中的地址從第二函數(shù)得出的���。在第三變型中���,第二地址是使用來自至少一個網(wǎng)絡(luò)地址的序列的最后的地址從第二函數(shù)得出的。實際上�����,來自客戶端和服務(wù)器的任何已知的地址適于作為用于連接的基地址�����。有利的是�����,這種已知地址是從確定的地址得出的。
[0011]根據(jù)特定特征�,第二函數(shù)是相等函數(shù)(equal funct1n)、散列函數(shù)����。
[0012]根據(jù)另一特定特征,第一函數(shù)是單向函數(shù)���,比如散列函數(shù)����。在一個變型中��,第一函數(shù)是可逆加密函數(shù)����。這種變型有利地允許服務(wù)器檢索客戶端的確定的網(wǎng)絡(luò)地址并且使用第二散列函數(shù)計算連接地址。
[0013]在第一優(yōu)選實施例中��,包括第二網(wǎng)絡(luò)地址的請求被加密或被保護��,從而有利地保護第二網(wǎng)絡(luò)地址不被竊聽�����。在第二實施例中�,包括第一網(wǎng)絡(luò)地址或者來自該序列的地址的請求進一步被加密或者被保護,從而進一步保護該序列網(wǎng)絡(luò)地址中的地址不被竊聽��。
[0014]在第二實施例中����,一旦客戶端的網(wǎng)絡(luò)地址已經(jīng)被準許訪問服務(wù)器,該方法從在先的連接地址開始被迭代��。也就是說�,該方法包括用于注冊第三網(wǎng)絡(luò)地址的被重復(fù)的四個步驟,其中����,至少一個網(wǎng)絡(luò)地址的序列中的第一網(wǎng)絡(luò)地址是從客戶端與服務(wù)器之間的共享秘密以及客戶端的先前被服務(wù)器準許的第二網(wǎng)絡(luò)地址得出的,并且其中�,第三網(wǎng)絡(luò)地址是從確定的網(wǎng)路地址得出的。有利的是�,一旦第三地址被授權(quán)訪問服務(wù)器,在先的地址連接被拒絕訪問服務(wù)器���。
[0015]在第三實施例中�,服務(wù)器在注冊網(wǎng)絡(luò)地址時應(yīng)用默認拒絕。
[0016]在第二方面����,本發(fā)明涉及用于根據(jù)先前所描述的方法在網(wǎng)絡(luò)中注冊客戶端設(shè)備的服務(wù)器設(shè)備。該服務(wù)器設(shè)備包括:用于從客戶端設(shè)備接收包括網(wǎng)絡(luò)地址的請求的裝置�;用于將來自所接收到的每個請求的每個網(wǎng)絡(luò)地址存儲為至少一個網(wǎng)絡(luò)地址的序列的裝置;用于存儲客戶端設(shè)備與服務(wù)器設(shè)備之間所共享的秘密的裝置�;用于驗證至少一個網(wǎng)絡(luò)地址的序列中的連續(xù)的網(wǎng)絡(luò)地址是使用共享秘密和至少一個網(wǎng)絡(luò)地址的序列中的在先的網(wǎng)絡(luò)地址從第一函數(shù)得出的裝置;用于當(dāng)對至少一個地址的序列的驗證成功時���,發(fā)送準許來自從客戶端接收到的最后的請求的網(wǎng)絡(luò)地址的注冊的響應(yīng)的裝置�����。
[0017]在第二方面�,本發(fā)明涉及用于在訪問由服務(wù)器設(shè)備控制的網(wǎng)絡(luò)中根據(jù)先前所描述的方法請求注冊的客戶端設(shè)備���。該客戶端設(shè)備包括:用于存儲確定的網(wǎng)絡(luò)地址的裝置����,其中���,確定的網(wǎng)絡(luò)地址是至少一個地址的序列中的第一網(wǎng)絡(luò)地址��;用于存儲客戶端設(shè)備與服務(wù)器設(shè)備之間所共享的秘密的裝置����;用于迭代地計算至少一個網(wǎng)絡(luò)地址的序列中的連續(xù)的網(wǎng)絡(luò)地址的裝置�����,其中���,至少一個網(wǎng)絡(luò)地址的序列中的連續(xù)的網(wǎng)絡(luò)地址是使用共享秘密和至少一個網(wǎng)絡(luò)地址的序列中的在先的網(wǎng)絡(luò)地址從第一函數(shù)得出的����;用于向服務(wù)器設(shè)備發(fā)送包括網(wǎng)絡(luò)地址的請求的裝置�,其中,網(wǎng)絡(luò)地址屬于該至少一個網(wǎng)絡(luò)地址的序列并且在第二網(wǎng)絡(luò)地址之前�����;用于從服務(wù)器設(shè)備接收準許來自第二網(wǎng)絡(luò)地址的網(wǎng)絡(luò)地址的注冊的響應(yīng)���。
[0018]所描述的針對注冊方法的任何特征或者實施例與旨在通過所公開的方法被注冊的網(wǎng)絡(luò)設(shè)備是兼容的����。
【附圖說明】
[0019]現(xiàn)在將參考附圖通過非限制性示例描述本發(fā)明的優(yōu)選特征,其中:
[0020]圖1示出了在其中本發(fā)明可以被使用的示例網(wǎng)絡(luò)��;
[0021]圖2示出了根據(jù)本發(fā)明的優(yōu)選實施例的示例服務(wù)器設(shè)備�;
[0022]圖3示出了根據(jù)本發(fā)明的優(yōu)選實施例的示例客戶端設(shè)備;
[0023]圖4示出了根據(jù)本發(fā)明的第一實施例的客戶端設(shè)備中的注冊方法的步驟���;
[0024]圖5示出了根據(jù)本發(fā)明的優(yōu)選實施例的注冊方法的步驟���。
[0025]具體實現(xiàn)方式
[0026]在下面的描述中,客戶端/服務(wù)器模型被公開�,其中,訪