[发明专利]将第一设备与第二设备相关联的方法和设备

说明书

技术领域

本发明总体涉及无线网络，具体涉及在这样的网络中设备的关联。

背景技术

本部分意在向读者介绍与下面说明和/或要求的本发明的各个方 面相关的本领域各个方面。相信本讨论有助于向读者提供背景信息， 以便于更好地理解本发明各个方面。相应地，应当理解，这些陈述用 于阅读，而不作为对现有技术的认可。

计算机网络的重要安全问题在于涉及人类。管理这样的网络需要 一般用户很少拥有的专业知识。因此，面对复杂用户接口的用户常常 选择最低的安全等级，有时甚至完全去掉安全等级。因此，可以清楚 理解，需要一种简单的方式来尽可能方便用户执行任务，同时将安全 性保持在可接受的等级，特别是在无线网络中，无线网络本质上容易 窃听并使用在这样网络中并非出于例如黑客等目的而发送的信息。

许多现有解决方案需要用户访问他希望使其关联的两个设备。用 户可以例如指示每个设备仅与另一设备相关联。例如，欧洲专利申请 EP 1411674 A1提出了一种解决方案，其中，在单击按钮时，中心点限 制其发送的无线电波的覆盖范围。然后，用户激活已缩小的覆盖区域 内的设备上的功能，以将该设备插入到中心点的网络中。该解决方案 的缺点在于非常容易受到各种攻击，例如众所周知的中间人攻击。本 领域技术人员还将理解的是，例如，如果中心点不是物理可达的，则 对于用户来说不是始终可能同时访问两个设备。

其他解决方案需要用户知道要关联的设备的秘密，例如，设备的 标识或秘密网络密钥。由于这样的了解常常难以记住——特别地，如 果并不经常像正常情况那样执行关联，尤其是在家庭网络中——则用 户可能被诱导在系统中留下安全漏洞。如果用户写下了信息、选择了 非常简单的网络密钥或仅使密钥通过设备传递(这可能意味着网络密 钥为“0”并因此实际上没有提供任何保护)，则这样的安全漏洞就可 能出现。

本发明试图解决与现有技术有关的至少一些问题，同时使用户能 够创建配备有简单用户接口的设备的安全群组，其中至少一些设备可 能是物理不可达的。

发明内容

在第一方面中，本发明涉及一种将第一设备插入知道用户的登录 和密码验证器的至少一个设备的群组中的方法。第一设备接收用户的 登录和密码、搜索可达设备、询问至少一个可达设备是否该可达设备 知道用户的登录、并接收至少一个响应。在响应为肯定的情况下，第 一设备对进行了响应的设备执行安全远程密码(SRP)认证，SRP认 证向进行了响应的设备证明第一设备知道用户的密码，并向第一设备 证明进行了响应的设备知道用户的密码验证器。如果认证成功，则第 一设备计算和存储用户的密码验证器；并接收和存储秘密群组密钥。

在一优选实施例中，在执行SRP认证的步骤与计算和存储用户的 密码验证器的步骤之间，第一设备还与进行了响应的设备建立安全信 道。

在另一优选实施例中，第一设备进而对提供了肯定响应的每一设 备执行SRP认证，直到至少一个SRP认证成功为止。

在另一优选实施例中，询问步骤包括：发送包括用户的登录的安 全盐散列的消息。

在又一优选实施例中，通过广播消息来执行询问步骤。

在第二方面中，本发明涉及第一设备，所述第一设备适于被插入 知道用户的登录和密码验证器的至少一个设备的群组中。第一设备包 括：用户接口，适于接收用户的登录和密码；通信单元，适于搜索可 达设备、询问至少一个可达设备是否该可达设备知道用户的登录、并 接收至少一个响应。第一设备还包括处理器，所述处理器适于在接收 到的响应为肯定的情况下，经由通信单元对进行了响应的设备执行安 全远程密码(SRP)认证，所述SRP认证向进行了响应的设备证明第 一设备知道用户的密码，并向第一设备证明进行了响应的设备知道用 户的密码验证器；所述处理器还适于计算和存储用户的密码验证器。 通信单元还适于从进行了响应的设备接收秘密群组密钥。

在一优选实施例中，处理器还适于计算用户的登录的安全盐散 列，并且通信单元适于使用该安全盐散列来询问该至少一个可达设备 是否该可达设备知道用户的登录。

在另一优选实施例中，处理器还适于针对提供了肯定响应的每一 设备重复SRP认证，直到至少一个SRP认证成功为止。

附图说明

现在将参照附图来说明本发明及其优选实施例的各个特征和优 点，附图意在示出而不限制本发明的范围，在附图中：