[发明专利]网络访问控制

说明书

一种用于允许远程装置访问安全网络的装置，该装置包括：无线收发器；存储器，其存储与安全网络相关联的网络密钥；以及控制模块，其中，该控制模块被配置为：形成第一网络和形成安全网络；在检测到远程装置具有与第一网络相关联的网络密钥时允许远程装置加入第一网络，其中与第一网络相关联的该网络密钥也被存储在所述存储器中；以及在远程装置已经加入第一网络时，控制模块被配置为：经由无线收发器接收从远程装置发送的远程装置的唯一标识符；根据所述唯一标识符确定远程装置是否被授权访问该安全网络；并根据所述确定，经由所述无线收发器以加密的形式向远程装置发送与该安全网络相关联的网络密钥，以允许远程装置访问该安全网络。

技术领域

本发明涉及控制对网络的访问。具体地，本发明涉及控制对Zigbee网络的访问。

背景技术

ZigBee是标准化的无线网络协议。IEEE802.15.4定义了物理层和媒体访问控制层(media access control，MAC)的规范，ZigBee联盟定义了包括网络层和应用层的标准的上层规范。

被称为网络协调器的装置(另外本文也称为集线器装置)形成Zigbee网络。Zigbee网络通常被称为个人局域网(personal area network，PAN)。通过让网络协调器向新装置开放网络，节点能够加入Zigbee网络。这包括以未加密的形式从网络协调器向加入节点装置传输网络密钥(使得能够加密通信)。

发明内容

发明人已经认识到，这种传输导致短时间帧的可利用性，其中未加密网络密钥可以被随后可加入网络的非期望的节点获得。因此，尽管时间有限，但这表示了安全风险。发明人还认识到，用网络密钥预编程节点装置(例如在制造时)损害了网络密钥的安全性，因为易于被未授权的人访问，并且使系统运营商跟踪装置、网络和密钥的制造和后勤问题变得复杂。

根据本发明的一个方面，提供了用于允许远程装置访问安全网络的装置，该装置包括：无线收发器；存储器，存储与安全网络相关联的网络密钥；以及控制模块，其中，该控制模块被配置为：形成第一网络和形成安全网络；在检测到远程装置具有与第一网络相关联的网络密钥时允许远程装置加入第一网络；其中，与第一网络相关联的网络密钥也被存储在所述存储器中；以及在远程装置已经加入第一网络时，控制模块被配置为：经由所述无线收发器接收从远程装置发送的远程装置的唯一标识符；根据所述唯一标识符确定远程装置是否被授权访问安全网络；并且根据所述确定，以加密的形式经由所述无线收发器向远程装置发送与安全网络相关联的网络密钥，以允许远程装置访问安全网络。

控制模块可以被配置为：经由所述无线收发器向认证服务器发送唯一标识符；经由所述无线收发器从认证服务器接收认证响应；并且根据所述认证响应确定远程装置是否被授权访问安全网络。

存储器可以包括白名单，该白名单被布置为存储由认证服务器认证成功的远程装置的唯一标识符，并且控制模块可以被配置为查询白名单，并且基于唯一标识符存在于白名单中来确定所述远程装置被授权访问安全网络。

控制模块还可以被配置为响应于确定唯一标识符未存在于白名单中，经由所述无线收发器向认证服务器发送唯一标识符；经由所述无线收发器从认证服务器接收认证响应；并且根据所述认证响应确定远程装置是否被授权访问安全网络。

存储器可以包括黑名单，该黑名单被布置成存储由认证服务器已认证失败的远程装置的唯一标识符，并且控制模块还可以被配置成响应于确定唯一标识符未存在于白名单中，查询黑名单并基于唯一标识符存在于黑名单中来确定所述远程装置未被授权访问安全网络。

控制模块还可以被配置为响应于确定唯一标识符未存在黑名单中，经由所述无线收发器向认证服务器发送唯一标识符；经由所述无线收发器从认证服务器接收认证响应；并且根据所述认证响应确定远程装置是否被授权访问安全网络。

控制模块可以被配置为响应于确定远程装置被授权访问安全网络，将唯一标识符添加到白名单。