防止安全系統和組件的劫持的系統和方法
【專利摘要】防止安全系統和組件的劫持的系統和方法。例如通過區(qū)域監(jiān)測系統提供一種去集中化的組件作為用于如所表示的集中化系統架構的過渡����。去集中化的組件為通信的附加認證提供替換的監(jiān)測服務。在去集中化的組件的代理檢測到存在未認證的監(jiān)測服務的情況下���,可以生成消息或者采取其它動作以響應該監(jiān)測服務。
【專利說明】
防止安全系統和組件的劫持的系統和方法
技術領域
[0001]本申請屬于防止具有集中化架構的安全系統的劫持的系統和方法���。更特別地���,本申請屬于提供去集中化的組件的這樣的系統和方法,去集中化的組件包括看門狗代理��,以監(jiān)測并認證與被替換的監(jiān)測服務的通信�。
【背景技術】
[0002]安全系統監(jiān)測服務彼此競爭訂戶。結果����,對于這些服務而言并非罕見的是對退出安全系統安裝的組件進行修改、替換或添加以從競爭者獲取(即�,劫持)訂戶。這是特別破壞性的���,因為監(jiān)測服務經常補貼安全系統組件和初始安裝的成本�����。
[0003]已知的被監(jiān)測的安全系統經常利用集中化架構���,以使得系統的命令和控制源自于監(jiān)測服務���。這種架構依賴于利用所監(jiān)測的安裝來保持安全通信信道的監(jiān)測服務。如果該信道被競爭服務劫持����,則競爭服務也可以劫持關聯的訂戶的賬戶和關聯的收入。該過程經常被提及為‘中間人’網絡攻擊(cyber attack)����。這樣的實踐經常違反為初始安裝付費的監(jiān)測服務與該安裝的訂戶之間的在先合同。同樣地����,在安全系統的設計中使用的網絡威脅(cyber threat)模型中,它們也被賦予高優(yōu)先級����。
【發(fā)明內容】
[0004]—種系統��,包括:通用控制元件���;多個輸入或輸出檢測器,耦接至所述元件���,所述多個檢測器中的成員包括狀況傳感器���、安全傳感器或建筑自動化相關的傳感器中的至少一些;和至少一個監(jiān)測單元,其中所述監(jiān)測單元針對指示去往或來自所述控制元件或所述多個檢測器中的成員的所選擇的通信中的至少一些為發(fā)出自未被認證的源的一個或多個模式來評估所述通信���。
【附圖說明】
[0005]圖1圖解根據本文的系統的框圖。
【具體實施方式】
[0006]盡管公開的實施例可以采取很多不同的形式��,但是在附圖中示出了其具體實施例����,并將在本公開要被看作為其原理的例證和實踐該原理的最佳模式并且并非意圖將本申請或權利要求限制于所圖解的具體實施例的理解下在此詳細描述具體實施例。
[0007]在一個方面中�����,一種為了防止上面提及的未授權的劫持的目的對于上面提及的主要是集中化的系統架構的去集中化組件����。更一般地�,其提供了對中間人網絡攻擊的添加的防護�����。
[0008]在公開的實施例中�,去集中化的組件是通過將‘看門狗’代理設計到安全系統的組件(尤其是位于系統架構之下的網絡的邊緣處的那些組件(例如,傳感器�、設備控制點、訂戶接口設備��,等等))內來實現的��。根據本文��,看門狗代理連續(xù)地為通信的附加認證提供監(jiān)測服務�。代理還可以采用單機形式實現并被安裝在感興趣區(qū)域中。
[0009]如果組件的看門狗確定通信不再是可信的�����,則那么該組件可以例如發(fā)起對所牽涉的各方的通知和/或以排除針對劫持的誘因這樣的方式來停止起作用或劣化其性能��。還可以提供本地認證軟件和/或線路來評估從代理接收到的消息。
[0010]圖1圖解根據本文的系統10的如上面所討論的各方面�。在沒有限制的情況下,系統10的關聯類型至少包括區(qū)域安全和/或環(huán)境狀況監(jiān)測系統���、或者建筑自動化系統����。
[0011]示例性系統10包括系統控制元件(或者面板)12����。元件12可以包括多個I/O接口12a、本地控制電路12b����、認證軟件和/或線路12c以及具有音頻/視頻輸入和輸出以使得本地用戶能夠檢查系統操作、輸入注釋或參數��、或如需要那樣執(zhí)行通信的本地用戶接口 12d���。
[0012]如本領域技術人員將理解的那樣,元件12能夠經由接口12a與一般地在14處指示的多個檢測器���、輸入或輸出設備通信����。多個14(例如14i)的設備在沒有限制的情況下可以包括諸如侵入檢測器的環(huán)境狀況檢測器、諸如煙或火檢測器的狀況感測檢測器����、以及報警指不輸入或輸出設備。
[0013]多個14的成員可以經由一般地在16處指示的有線或無線媒介與控制元件12通信��。多個14的成員將如適當的那樣被安裝在正被監(jiān)測并且控制的區(qū)域R中�����。
[0014]控制元件12可以經由一個或多個有線或無線媒介(諸如20a��、b和計算機網絡20c)與監(jiān)測服務設施22通信��,監(jiān)測服務設施22通常不與系統10位于一處���。設施22是被意圖經由系統10提供與區(qū)域R相關的安全�����、監(jiān)測或控制功能的可信的設施���。設施22可以基于經由本地控制元件12采集的信號和信息來評估區(qū)域R中的狀況。取決于環(huán)境,設施22能夠經由網絡20c把關于區(qū)域R的信息或消息通信給用戶的通信設備(電話或計算機)24�。
[0015]在概念上,將理解的是����,諸如系統10的系統可以特征為具有類樹結構。節(jié)點位于樹根(下面提及為‘根’或‘根節(jié)點’)并且位于表示通用于安全�����、火情檢測或房屋自動化系統(下面提及為‘系統’)的功能的每個分支點���。在這種配置中����,分支表示各節(jié)點之間的通信流��。
[0016]距離根最遠的終端或邊緣節(jié)點(下面提及為‘多個邊緣’或‘邊緣’)的終端典型地表示傳感器���、設備控制點�、訂戶接口設備�,等等����。
[0017]根與邊緣之間的節(jié)點被提及為中間節(jié)點或簡單地提及為‘中間點’��。根和邊緣之間的樹的結構基于系統設計要求和約束不同而變化��。中間點典型地表示一個或多個控制面板���、電源、通信中繼器/集線器���,等等����。
[0018]根節(jié)點通常在物理上不與中間節(jié)點及邊緣節(jié)點的安裝地點位于一處�。同樣地,中間節(jié)點及邊緣節(jié)點的邏輯分組可以在物理上被安裝在分離的地點�����。
[0019]在系統安裝完成之后�,樹的根節(jié)點表示監(jiān)測、命令和控制點�,諸如在系統內具有最高權威的監(jiān)測設施22。根典型地由我們提及為監(jiān)測服務的內容所擁有��。
[0020]監(jiān)測服務主要負責基于包括樹的各個節(jié)點/功能的狀態(tài)的改變來確保把被通信回根的事件通知給受影響的各方。根所有者的次級服務是保持和/或改變系統的配置和功能�。
[0021]在系統安裝期間,根可以暫時地由系統的賣方和/或安裝者擁有��。在這種情況下�����,根的命令和控制功能被用于使系統的配置適合于安裝地點�,并且檢驗和測試系統。在安裝完成之后�,根所有權轉移至監(jiān)測服務,雖然在某些情況下�����,命令和控制功能的所有權可以由安裝服務保留或者為了維護所安裝的設備(即���,地點維護服務)的目的而轉移至分離的服務��。
[0022]在這里的實施例中����,提供防護以防止競爭單元-圖1中用虛線圖解的劫持服務器30-替換可信設施22并且與系統10通信����。劫持服務30可以處在遠離系統10的任何部分或可信服務設施22的位置處,例如存在網絡云連接的任何地方�����。
[0023]一般地在34處指示的多個代理可以被安裝在區(qū)域R中����。代理可以被實現為單機設備,諸如34a��、34b……34η���。替換地��,代理可以被實現為耦接至多個14的成員的附件或模塊��,如被圖解為36a����、b��、c......r�。
[0024]將理解的是����,代理36可以與元件12中的認證軟件和/或電路12c(其可以利用執(zhí)行該軟件的一個或多個微處理器實現)彼此通信����,或經由網絡20c與可信的監(jiān)測服務22通信。
[0025]代理36至少部分地實現次級的去集中化的監(jiān)管系統�,其疊加于如上面討論的更集中化的監(jiān)測系統10之上。這樣的代理可被視為駐留在系統10的中間節(jié)點和/或邊緣節(jié)點中�。中間節(jié)點,如本領域技術人員將理解那樣�,可以包括一個或多個控制面板、電源��、通信設備或中繼器��,或者在沒有限制的情況下所有類似物��。在完全沒有限制的情況下���,邊緣節(jié)點可以包括檢測器�����、設備控制點�、報警指示傳送站(alarm indicting pull stat1n)、用戶接口設備���。
[0026]在一個方面中��,代理可以被動地監(jiān)測在相應的節(jié)點內的起源自本地的事件。替換地��,相應的代理可以監(jiān)測系統寬度的事件�。代理搜索指示系統根權威例如監(jiān)測服務設施22已經受危害的模式。在另一方面中���,代理可以主動地引發(fā)可以指示服務設施22由于正被劫持服務設施30替換而已經受危害的本地事件以及系統寬度的事件����。
[0027]如果代理確定根權威已經受危害(例如�����,被競爭服務提供者劫持)����,則其發(fā)起要由掌控上面提及的(多個)節(jié)點和(多個)代理的設備執(zhí)行的反擊措施動作(下面提及為‘反擊措施’)。反擊措施的細節(jié)和嚴厲度是通過考慮系統安裝及其用戶的特性而確定的�。
[0028]如果居住賬戶已受危害/被劫持�,則那么把用戶不滿意朝向劫持者的服務引導的更恰當且模糊的響應可能是適宜的����。該響應可以允許系統繼續(xù)工作,但通過劫持者的服務來生成在地點訪問上要求高昂的間歇的�、偽造的、并且討厭的診斷消息����。
[0029]另一方面,如果系統是安裝在銀行中的�����,則響應可以包括對用戶的生硬警告:由于系統的網絡安全已經受危害�,因此系統已停止操作。
[0030]上面描述的示例響應可以由諸如用戶接口或傳感器的邊緣設備發(fā)起并且自主地實現�����。
[0031]上面圖解了本文的去集中化的且存在細微差別的方面�。同樣地,其如何增強對付系統劫持者和網絡威脅的集中化的方面�����。
[0032]根據前述,將察覺到在不脫離本發(fā)明的精神和范圍的情況下��,很多的變形和修改可以被執(zhí)行�。要理解的是,并非意圖或者不應當推斷出關于在此圖解的特定裝置進行限制����。當然��,意圖的是通過所附權利要求來覆蓋落在權利要求的范圍內的所有這樣的修改�。進一步地,圖中描繪的邏輯流程不要求所示出的特定順序或順次的順序來實現想要的結果��?�?梢蕴峁┢渌牟襟E��,或者可以從所描述的流程中消除步驟��,并且可以添加其它的組件��,或者從所描述的實施例中移除組件���。
【主權項】
1.一種系統�,包括: 通用控制元件; 多個輸入或輸出檢測器����,耦接至所述元件,所述多個檢測器中的成員包括狀況傳感器�、安全傳感器或建筑自動化相關的傳感器中的至少一些;和 至少一個監(jiān)測單元,其中所述監(jiān)測單元針對指示去往或來自所述控制元件或所述多個檢測器中的成員的所選擇的通信中的至少一些為發(fā)出自未被認證的源的一個或多個模式來評估所述通信���。2.如權利要求1所述的系統���,其中所述源包括與所述控制元件或所述多個檢測器中的成員中的至少一些通信的監(jiān)測服務設施。3.如權利要求2所述的系統��,其中在監(jiān)測單元感測到未被認證的源的情況下���,實現生成通知消息����、或更改至少一個系統組件的性能中的至少一個���。4.如權利要求2所述的系統��,其中響應于成功的認證����,監(jiān)測單元更新本地日志。5.如權利要求4所述的系統��,其中所述單元將認證標記傳送至所述控制元件��。6.如權利要求1所述的系統�����,其包括多個監(jiān)測單元��,其中所述單元能夠監(jiān)測在系統中引發(fā)的事件��,或者引發(fā)事件以確定響應從而確定任何事件或對于其的響應是否發(fā)出自認證的源��。7.如權利要求5所述的系統��,其包括多個監(jiān)測單元��,其中所述單元能夠監(jiān)測在系統中引發(fā)的事件�,或者引發(fā)事件以確定響應從而確定任何事件或對于其的響應是否發(fā)出自認證的源���。8.如權利要求6所述的系統����,其中所述監(jiān)測單元包括去集中化的組件,所述去集中化的組件至少間歇地嘗試認證與所述控制元件或檢測器中的一個或多個通信的源�����。9.如權利要求8所述的系統���,其中在認證的源的情況下����,所述控制元件繼續(xù)將本地感測到的狀況通信給所述源�����。10.如權利要求9所述的系統�����,其中在不能被認證的源的情況下��,所述單元對至少所述控制元件提供指示所檢測到的未認證的源的標記���。
【文檔編號】H04L29/06GK105871818SQ201610169414
【公開日】2016年8月17日
【申請日】2016年2月5日
【發(fā)明人】T·P·施米特
【申請人】霍尼韋爾國際公司