專利名稱:配置方法�、配置設(shè)備、計算機程序產(chǎn)品和控制系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種配置方法���,用于在控制系統(tǒng)中配置主機設(shè)備����。此外����,本發(fā)明涉及一種對應(yīng)的配置設(shè)備、一種對應(yīng)的計算機程序產(chǎn)品和一種對應(yīng)的控制系統(tǒng)���。
背景技術(shù):
現(xiàn)代建筑物控制系統(tǒng)包括大量的設(shè)備�����,例如傳感器��、燈���、閥門����、HVAC設(shè)備和安全設(shè)備���。在本發(fā)明的背景下,這些設(shè)備被稱為主機設(shè)備�����。最先進的建筑物正在接近每平方米安裝一個主機設(shè)備���。建筑物控制系統(tǒng)的調(diào)試(commissioning)越來越多地是勞動密集的,并且容易出錯�。例如�,已經(jīng)示出了在荷蘭70%的公共建筑物中的技術(shù)安裝沒有根據(jù)規(guī)范運行,造成了 25%的能量消耗增加����。建筑物控制系統(tǒng)的調(diào)試涉及所述主機設(shè)備的配置。其中(amongst others),所述主機設(shè)備的配置包括配置設(shè)備與所述主機設(shè)備之間配置數(shù)據(jù)的交換���,以便配置所述主機設(shè)備���。例如,所述配置設(shè)備可以是·安裝設(shè)備,所述安裝設(shè)備將配置數(shù)據(jù)經(jīng)由RFID連接發(fā)送至主機設(shè)備���。這些配置數(shù)據(jù)可以包括網(wǎng)絡(luò)參數(shù)�����,所述網(wǎng)絡(luò)參數(shù)能夠使所述主機設(shè)備經(jīng)由另一個通信鏈路接入網(wǎng)絡(luò)���,例如W1-Fi網(wǎng)絡(luò)。此外�,例如��,所述配置數(shù)據(jù)可以包括配置參數(shù)���,所述配置參數(shù)對于使設(shè)備配對或者在設(shè)備之間建立控制關(guān)系是必要的����。諸如接入網(wǎng)絡(luò)、使設(shè)備配對以及在設(shè)備之間建立控制關(guān)系的操作被稱為配置操作�����。應(yīng)當(dāng)注意的是在本發(fā)明的背景下�����,包括了例如傳感器、驅(qū)動器和用于控制建筑物中HVAC�����、照明�����、安保(security)和安全(safety)的控制器在內(nèi)的整個系統(tǒng)被稱為建筑物控制系統(tǒng)(BCS)����。用于初始地調(diào)試所述BCS以及可能稍后(部分地)重新調(diào)試BCS的所述BCS的部件(例如計算機)或者子系統(tǒng)被稱作建筑物調(diào)試系統(tǒng)��。典型地����,耦合至所述主機設(shè)備的射頻識別(RFID)標(biāo)簽方便了所述配置數(shù)據(jù)的交換。這種RFID標(biāo)簽可以是已連接標(biāo)簽或未連接標(biāo)簽�����,所述已連接標(biāo)簽具有與所述主機設(shè)備的微控制器(主機控制器)的有線數(shù)據(jù)連接�,所述未連接標(biāo)簽沒有這種有線數(shù)據(jù)連接。在已連接標(biāo)簽的情況下,典型地通過安裝設(shè)備經(jīng)由RFID連接將網(wǎng)絡(luò)參數(shù)寫入所述標(biāo)簽���。隨后��,所述主機控制器經(jīng)由所述有線數(shù)據(jù)連接讀取所述網(wǎng)絡(luò)參數(shù)��。然后所述主機控制器可以經(jīng)由另一個通信鏈路(例如W1-Fi連接)使用所述網(wǎng)絡(luò)參數(shù)用于接入所述網(wǎng)絡(luò)�。在未連接標(biāo)簽的情況下���,典型地通過安裝設(shè)備經(jīng)由RFID連接從所述標(biāo)簽中讀取網(wǎng)絡(luò)參數(shù)�。隨后��,所述安裝設(shè)備經(jīng)由另一個通信線路(例如W1-Fi連接)安全地將所述主機設(shè)備合并到所述網(wǎng)絡(luò)中��。然而���,在這兩種情況下����,惡意方均可獲取對所述網(wǎng)絡(luò)參數(shù)的訪問��,這對所述網(wǎng)絡(luò)的整體安全是不利的�。幾種攻擊場景是可能的��。例如����,正在訪問公共建筑物的未經(jīng)授權(quán)的人可以從主機設(shè)備(例如傳感器)讀出建筑物控制系統(tǒng)(的一部分)的網(wǎng)絡(luò)密鑰��,從而獲取對所述網(wǎng)絡(luò)以及也可能在這個網(wǎng)絡(luò)中周圍發(fā)送的機密信息的訪問����。類似地�����,惡意訪問者可以使設(shè)備從合法的建筑物網(wǎng)絡(luò)中斷開并且將它們接入他自己的網(wǎng)絡(luò)���,從而取得對部分或者整個建筑物控制網(wǎng)絡(luò)的控制��,并且逐漸地修改所述現(xiàn)有網(wǎng)絡(luò)的行為和/或提取關(guān)于所述建筑物和/或其居民的信息����。
發(fā)明內(nèi)容
本發(fā)明的一個目的是改善所闡述類型的配置方法的安全性�,更具體地是包括在配置設(shè)備與主機設(shè)備之間的配置數(shù)據(jù)交換以便配置所述主機設(shè)備的配置方法。這是由權(quán)利要求1所限定的配置方法�、權(quán)利要求17所限定的對應(yīng)的配置設(shè)備�、權(quán)利要求18所限定的對應(yīng)的計算機程序產(chǎn)品和權(quán)利要求19所定義的對應(yīng)的控制系統(tǒng)來實現(xiàn)�����。根據(jù)本發(fā)明的一個方面���,構(gòu)想了一種配置方法�����,用于在控制系統(tǒng)中�����、更具體地是建筑物控制系統(tǒng)中配置主機設(shè)備�,其中已授權(quán)的配置設(shè)備與耦合至所述主機設(shè)備的射頻識別標(biāo)簽交換機密配置數(shù)據(jù)���,其中在已經(jīng)交換所述機密數(shù)據(jù)并且已經(jīng)執(zhí)行對應(yīng)的配置操作之后����,阻止由未經(jīng)授權(quán)的配置設(shè)備對所述機密配置數(shù)據(jù)的訪問����。根據(jù)本發(fā)明的示例實施例�,通過對所述機密配置數(shù)據(jù)進行加密來阻止對所述機密配置數(shù)據(jù)的訪問�����。根據(jù)本發(fā)明的另一個示例實施例�,所述已授權(quán)的配置設(shè)備對所述機密配置數(shù)據(jù)進行加密,并且用所述已加密的機密配置數(shù)據(jù)蓋寫所述射頻識別標(biāo)簽中的所述機密配置數(shù)據(jù)����。 根據(jù)本發(fā)明的另一個示例實施例,所述已授權(quán)的配置設(shè)備將密鑰發(fā)送至所述射頻識別標(biāo)簽�����,并且所述射頻識別標(biāo)簽對所述機密配置數(shù)據(jù)進行加密�����。根據(jù)本發(fā)明的另一個示例實施例��,所述已授權(quán)的配置設(shè)備將加密密鑰發(fā)送至所述主機控制器���,并且所述主機控制器對所述機密配置數(shù)據(jù)進行加密,并且用所述已加密的機密配置數(shù)據(jù)蓋寫所述射頻識別標(biāo)簽中的所述機密配置數(shù)據(jù)��。根據(jù)本發(fā)明的另一個示例實施例,所述已授權(quán)的配置設(shè)備通過從所述射頻識別標(biāo)簽中刪除所述機密配置數(shù)據(jù)并且通過存儲所述機密配置數(shù)據(jù)的備份副本�����,來阻止對所述機密配置數(shù)據(jù)的訪問�����。根據(jù)本發(fā)明的另一個示例實施例�����,所述已授權(quán)的配置設(shè)備或者另一個已授權(quán)的配置設(shè)備通過在所述射頻識別標(biāo)簽中恢復(fù)所述機密配置數(shù)據(jù)來重新初始化(re-virginize)所述主機設(shè)備�。根據(jù)本發(fā)明的另一個示例實施例,只有所述主機設(shè)備沒有處在已配置狀態(tài)時����,才能交換所述機密配置數(shù)據(jù)并且執(zhí)行對應(yīng)的配置操作。根據(jù)本發(fā)明的另一個示例實施例���,只有所述已授權(quán)的配置設(shè)備已經(jīng)成功地向所述主機設(shè)備認證自己時�����,才能交換所述機密配置數(shù)據(jù)并且執(zhí)行對應(yīng)的配置操作��。根據(jù)本發(fā)明的另一個示例實施例����,所述已授權(quán)的配置設(shè)備通過鎖定所述射頻識別標(biāo)簽的存儲單元來阻止對所述機密配置數(shù)據(jù)的訪問,其中所述鎖定包括設(shè)置用于訪問所述存儲單元的認證密鑰�����。根據(jù)本發(fā)明的另一個示例實施例���,通過禁用所述射頻識別標(biāo)簽來阻止對所述機密配置數(shù)據(jù)的訪問�����。根據(jù)本發(fā)明的另一個示例實施例,通過關(guān)斷所述射頻識別標(biāo)簽來禁用所述射頻識別標(biāo)簽�。
根據(jù)本發(fā)明的另一個示例實施例,通過將所述射頻識別標(biāo)簽與其天線去耦合來禁用所述射頻識別標(biāo)簽���。根據(jù)本發(fā)明的另一個示例實施例��,通過解鎖后門以便將所述主機設(shè)備復(fù)位至“初始”(virgin)狀態(tài)來重新初始化所述主機設(shè)備��。根據(jù)本發(fā)明的另一個示例實施例�,用于解鎖所述后門的條件包括下述集合的至少之一:推動在所述主機設(shè)備上的隱藏按鈕、關(guān)斷所述主機設(shè)備的電源���、所述主機設(shè)備不可達網(wǎng)絡(luò)�����、已經(jīng)將所述主機設(shè)備從其插座上拔掉���、所述主機設(shè)備已經(jīng)接收到斷開消息、已經(jīng)給所述主機設(shè)備提供制造商定義的解鎖代碼��。根據(jù)本發(fā)明的另一個示例實施例��,配置所述主機設(shè)備包括使得所述主機設(shè)備能夠接入網(wǎng)絡(luò)��,并且所述機密配置數(shù)據(jù)包括接入所述網(wǎng)絡(luò)所需的網(wǎng)絡(luò)參數(shù)����。根據(jù)本發(fā)明的另一個方面,構(gòu)想了一種配置設(shè)備��,更具體地是便攜式配置設(shè)備���,用作所述配置方法中已授權(quán)配置設(shè)備���。根據(jù)本發(fā)明的另一個方面�,構(gòu)想了一種計算機程序產(chǎn)品�����,所述計算機程序產(chǎn)品包括由所述已授權(quán)的配置設(shè)備或者所述主機設(shè)備可執(zhí)行的程序元件���,其中每一個程序元件均包括程序指令���,當(dāng)由所述已授權(quán)的配置設(shè)備或者所述主機設(shè)備執(zhí)行所述程序指令時,所述程序指令使所述已授權(quán)的配置設(shè)備和主機設(shè)備執(zhí)行或者控制所述配置方法的各個步驟�����。根據(jù)本發(fā)明的另一個方面���,構(gòu)想了一種控制系統(tǒng),更具體地是建筑物控制系統(tǒng)��,所述控制系統(tǒng)包括主機設(shè)備和已授權(quán)的配置設(shè)備���,其中所述已授權(quán)的配置設(shè)備設(shè)置用于與耦合至所述主機設(shè)備的射頻識別標(biāo)簽交換機密配置數(shù)據(jù)��,其中所述控制系統(tǒng)設(shè)置用于在已經(jīng)交換所述機密配置數(shù)據(jù)并且·已經(jīng)執(zhí)行對應(yīng)的配置操作之后����,阻止由未經(jīng)授權(quán)的配置設(shè)備對所述機密配置數(shù)據(jù)的訪問。
下面將參考附圖更詳細地描述本發(fā)明�,其中:圖1闡釋了一種控制系統(tǒng),其中使用了一種用于配置主機設(shè)備的常規(guī)方法�;圖2闡釋了一種控制系統(tǒng),其中使用了一種用于配置主機設(shè)備的替代的常規(guī)方法;圖3闡釋了在控制系統(tǒng)中的安全漏洞����,其中使用了一種用于配置主機設(shè)備的常規(guī)方法;圖4闡釋了一種控制系統(tǒng)�����,其中使用了一種根據(jù)本發(fā)明所述的用于配置主機設(shè)備的方法�����。
具體實施例方式圖1闡釋了一種控制系統(tǒng)���,其中使用了一種用于配置主機設(shè)備的常規(guī)方法�。對于簡化無線設(shè)備的配置(包括安裝),RFID技術(shù)是一種重要的工具���。通過簡單地使兩個設(shè)備相互靠近����,即“接觸”����,這些設(shè)備在彼此之間建立了一種(安全的)網(wǎng)絡(luò)連接和/或控制關(guān)系?���?梢栽诜浅6痰木嚯x上交換網(wǎng)絡(luò)參數(shù),包括加密密鑰�,這使得竊聽困難,即使沒有使用信道加密����。圖1示出了一種利用所謂的已連接RFID標(biāo)簽102將主機設(shè)備100接入網(wǎng)絡(luò)的方法。例如��,這種方法能夠使傳感器接入建筑物控制網(wǎng)絡(luò)����。首先,可以從所述已連接標(biāo)簽102讀出設(shè)備信息���,以及隨后可以將設(shè)備專用網(wǎng)絡(luò)配置數(shù)據(jù)寫入所述標(biāo)簽102�����,從而使得所述主機設(shè)備100能夠接入所述網(wǎng)絡(luò)�。作為示例���,所述主機設(shè)備100可以是“參與者”(Εμ.ο11θθ)��,如在W1-Fi聯(lián)盟的W1-Fi簡單配置標(biāo)準(zhǔn)(W1-Fi聯(lián)盟��,“W1-Fi簡單配置����,技術(shù)規(guī)范��,版本
2.00”���,2010年12月)中所定義的����,以及所述配置設(shè)備124可以是如在所述標(biāo)準(zhǔn)中所定義的“登錄者"(Registrar)。所述配置設(shè)備124例如可以是NFC使能移動安裝設(shè)備�,所述移動安裝設(shè)備能夠在NFC標(biāo)準(zhǔn)操作頻率(13.56MHz)下建立與所述RFID標(biāo)簽的RFID連接。圖1所示的控制系統(tǒng)包括以下元件�����。主機設(shè)備100包括主機處理器110���。所述主機處理器包括主機存儲器112�����、主機控制器114以及無線網(wǎng)絡(luò)接口 116��,用于建立無線網(wǎng)絡(luò)連接120���。射頻識別(RFID)標(biāo)簽102經(jīng)由主機連接118耦合至所述主機設(shè)備100,更具體地耦合至所述主機控制器114����,所述主機連接是有線數(shù)據(jù)連接。由于所述RFID標(biāo)簽102具有這種連接至所述主機控制器114的有線數(shù)據(jù)連接���,因此被稱作“已連接標(biāo)簽”�����。所述RFID標(biāo)簽102包括非易失性存儲器104�����、標(biāo)簽控制器108以及RFID接口 106��,用于建立與已授權(quán)的配置設(shè)備124的RFID連接122�����。所述已授權(quán)的配置設(shè)備包括用于建立所述RFID連接122的NFC接口設(shè)備或者主動式RFID設(shè)備126�����、控制器128和存儲器130��。在操作中�����,通過以下方式將尚未接入網(wǎng)絡(luò)的新主機設(shè)備100接入網(wǎng)絡(luò)�����。所述已授權(quán)的配置設(shè)備124經(jīng)由所述RFID連接122從所述已連接標(biāo)簽102讀取信息(例如設(shè)備標(biāo)識符)�,并且基于這個信息創(chuàng)建網(wǎng)絡(luò)接入信息。然后�,它將所述網(wǎng)絡(luò)接入信息寫入所述已連接RFID標(biāo)簽102。然后���,所述主機·控制器114將經(jīng)由所述主機連接118從所述已連接RFID標(biāo)簽102讀取所述網(wǎng)絡(luò)接入信息��。所述主機設(shè)備100現(xiàn)在能夠經(jīng)由所述無線網(wǎng)絡(luò)連接120接入所述無線網(wǎng)絡(luò)�����,即所述主機控制器114可以利用所述網(wǎng)絡(luò)接入信息實現(xiàn)接入操作�。圖2闡釋了一種控制系統(tǒng)��,其中使用了一種用于配置主機設(shè)備的替代的常規(guī)方法�����。在這種情況下���,所述RFID標(biāo)簽102在某種意義上是未連接標(biāo)簽�����,它不具有與所述主機控制器114的有線數(shù)據(jù)連接�����。這種用于配置主機設(shè)備的替代的常規(guī)方法對應(yīng)于在W1-Fi聯(lián)盟的W1-Fi簡單配置(WSC)標(biāo)準(zhǔn)中所描述的網(wǎng)絡(luò)接入情況��。根據(jù)這種情況�����,主機設(shè)備100(被稱作參與者)打算接入現(xiàn)有W1-Fi網(wǎng)絡(luò)���,所述現(xiàn)有W1-FI網(wǎng)絡(luò)由被稱作登錄者的第二設(shè)備管理,所述第二設(shè)備對應(yīng)于所述已授權(quán)的配置設(shè)備124��。根據(jù)所述方法的一種實施方法(稱作“密碼令牌”(Password Token)),貼附至所述參與者外殼的(被動式)RFID標(biāo)簽包含所述參與者的網(wǎng)絡(luò)證書(例如MAC地址����,公共密鑰)。配備有NFC接口設(shè)備或者主動式RFID設(shè)備的所述登錄者可以讀取這些證書��,并且在所述W1-Fi網(wǎng)絡(luò)上隨后的帶內(nèi)通信中利用它們��,以便最終將所述參與者安全地接入所述W1-Fi網(wǎng)絡(luò)���。圖3闡釋了在控制系統(tǒng)中的安全漏洞��,其中使用了一種用于配置主機設(shè)備的常規(guī)方法�����。在這個示例中����,未經(jīng)授權(quán)的配置設(shè)備300能夠經(jīng)由RFID連接308從所述RFID標(biāo)簽102讀取機密設(shè)備專用信息和/或蓋寫存儲在所述RFID標(biāo)簽102中的網(wǎng)絡(luò)接入信息。所述未經(jīng)授權(quán)的配置設(shè)備300還包括NFC接口設(shè)備或者主動式RFID設(shè)備302����、控制器304和存儲器306。除了所述網(wǎng)絡(luò)配置數(shù)據(jù)之外����,所述RFID標(biāo)簽102可以包含機密設(shè)備專用信息,需要所述機密設(shè)備專用信息將所述主機設(shè)備100接入網(wǎng)絡(luò)和/或稍后配對所述主機設(shè)備100與其他設(shè)備�����。這種機密設(shè)備專用信息的一個示例是對稱密鑰�,稍后其他網(wǎng)絡(luò)設(shè)備需要所述對稱密鑰來驗證(利用消息驗證碼)所述主機設(shè)備100,例如使能諸如配對的操作。這種信息應(yīng)當(dāng)只在接入之前是可訪問的��,使得所述已授權(quán)的配置設(shè)備124可以讀取這個信息并且將它安全地存儲在所述網(wǎng)絡(luò)的其他地方�����。在接入之后�����,所述信息應(yīng)當(dāng)不再是可訪問的�����,以防止未經(jīng)授權(quán)的設(shè)備驗證所述主機設(shè)備100���。應(yīng)當(dāng)注意,在安裝之后��,未經(jīng)授權(quán)人員通常將會容易地物理訪問所述主機設(shè)備100和耦合至所述主機設(shè)備的所述RFID標(biāo)簽102�。例如,在公共建筑物中建筑物控制網(wǎng)絡(luò)的情況下����,將在每個房間中安裝所述設(shè)備,并且任何人都將有機會進入這些房間。此外�,在所述主機設(shè)備100已經(jīng)接入網(wǎng)絡(luò)之后,如果沒有采取措施防止惡意人員將新的網(wǎng)絡(luò)配置信息寫入所述主機設(shè)備標(biāo)簽102�,那么他將能夠?qū)⒅鳈C設(shè)備100從合法網(wǎng)絡(luò)(網(wǎng)絡(luò)A)中移除,并且替代地將所述設(shè)備接入他自己的網(wǎng)絡(luò)(網(wǎng)絡(luò)B)���。這樣���,惡意訪問者可以接管部分或者整個網(wǎng)絡(luò),并且不知不覺地修改它的行為和/或從它提取信息����。例如,如果網(wǎng)絡(luò)A是建筑物控制網(wǎng)絡(luò)��,所述攻擊者能夠提取關(guān)于所述建筑物和/或其居民的信息��。圖4闡釋了一種控制系統(tǒng)����,其中使用了一種根據(jù)本發(fā)明所述的用于配置主機設(shè)備的方法。根據(jù)本發(fā)明����,在已經(jīng)在所述已授權(quán)的配置設(shè)備124與所述RFID標(biāo)簽102之間交換所述機密配置數(shù)據(jù)并且已經(jīng)執(zhí)行對應(yīng)的配置操作之后���,阻止未經(jīng)授權(quán)的配置設(shè)備300訪問機密配置數(shù)據(jù)。因此�����,在已經(jīng)在所述已授權(quán)的配置設(shè)備124與所述RFID標(biāo)簽102之間交換所述機密配置數(shù)據(jù)并且已經(jīng)執(zhí)行對應(yīng)的配置操作之后�����,所述RFID標(biāo)簽102可以被視為“鎖定的”��。例如����,在已經(jīng)交換網(wǎng)絡(luò)參數(shù)并且已經(jīng)執(zhí)行網(wǎng)絡(luò)接入操作之后,所述RFID標(biāo)簽102可以是鎖定的��。 根據(jù)本發(fā)明的一個示例實施例���,可以通過對所述機密配置數(shù)據(jù)進行加密并且用相同參數(shù)的已加密版本蓋寫所述RFID標(biāo)簽102中的所述機密配置數(shù)據(jù),實現(xiàn)鎖定所述RFID標(biāo)簽102�。用于加密所述信息的密鑰通常是只有在所述網(wǎng)絡(luò)內(nèi)的已授權(quán)的配置設(shè)備知道的密鑰。所述已授權(quán)的配置設(shè)備組包括所述已授權(quán)的配置設(shè)備124和另一個已授權(quán)的配置設(shè)備����。由于只有這種已授權(quán)的配置設(shè)備知道所述密鑰�,因此從那時起只有它們能夠讀取所述參數(shù)���。所述RFID標(biāo)簽102將不會以有意義的方式響應(yīng)沒有所述密鑰的設(shè)備�,即未經(jīng)授權(quán)的配置設(shè)備的任何讀取嘗試���。因此根據(jù)本發(fā)明�,RFID標(biāo)簽將具有至少兩種狀態(tài):(I)初始狀態(tài)和(2)網(wǎng)絡(luò)的一部分�。諸如網(wǎng)絡(luò)接入的配置操作將使RFID標(biāo)簽102從狀態(tài)(I)移至狀態(tài)⑵。此外����,根據(jù)本發(fā)明的另一個示例實施例,所述已授權(quán)的配置設(shè)備124或者另一個已授權(quán)的配置設(shè)備通過在所述RFID標(biāo)簽102上恢復(fù)所述機密配置數(shù)據(jù)來重新初始化所述主機設(shè)備100�。只有已授權(quán)的配置設(shè)備的明確動作才能使所述標(biāo)簽從狀態(tài)(2)移回至狀態(tài)
(I)。這種動作例如可以是再次通過所述RFID連接用純文本信息蓋寫所述已加密信息�。對于具有已連接標(biāo)簽的主機設(shè)備,一種替代的實施方法是所述已授權(quán)的配置設(shè)備以安全的方式將所述密鑰發(fā)送至所述主機控制器114�����,然后所述主機控制器114在所述RFID標(biāo)簽102中再次解密所述機密配置數(shù)據(jù)��。—種配置方法的示例步驟如下��,所述方法包括通過加密所述參數(shù)在網(wǎng)絡(luò)接入之后防止機密配置數(shù)據(jù)的讀取:1�����、所述已授權(quán)的配置設(shè)備124從所述RFID標(biāo)簽102讀取所述機密配置數(shù)據(jù)���。
2���、所述已授權(quán)的配置設(shè)備124用密鑰對所述機密配置數(shù)據(jù)進行加密,所述密鑰對于所述網(wǎng)絡(luò)是唯一的(這是“共享秘密”并且可以簡單地是所述網(wǎng)絡(luò)密鑰)�����。替代地�����,所述已授權(quán)的配置設(shè)備124經(jīng)由所述無線網(wǎng)絡(luò)連接120將所述密鑰發(fā)送至所述主機控制器114并且所述主機控制器114對所述機密配置數(shù)據(jù)進行加密���。3、所述已授權(quán)的配置設(shè)備124用所述機密配置數(shù)據(jù)的已加密版本在所述RFID標(biāo)簽102上蓋寫所述機密配置數(shù)據(jù)�。替代地���,在所述主機控制器114對所述機密配置數(shù)據(jù)進行加密的情況下,所述主機控制器114經(jīng)由所述主機連接118執(zhí)行所述蓋寫操作���。根據(jù)另一個示例�,所述RFID標(biāo)簽102可以具有內(nèi)置支持���,以便對其非易失性存儲器104(的一部分)進行加密和解密�。在所述RFID標(biāo)簽102支持這種機制的情況下���,可以通過簡單地將密鑰發(fā)送至所述RFID標(biāo)簽102����,例如所述網(wǎng)絡(luò)密鑰或者基于所述網(wǎng)絡(luò)密鑰的信息��,來替代上述三個步驟�,然后所述RFID標(biāo)簽102將利用所述密鑰來對所述機密配置數(shù)據(jù)的那部分所述非易失性存儲器104進行加密。當(dāng)所述主機設(shè)備100稍后必須從所述網(wǎng)絡(luò)去除(斷開)并且接入新的網(wǎng)絡(luò)時����,擁有所述加密密鑰的已授權(quán)的配置設(shè)備可以通過再次對所述RFID標(biāo)簽102中的所述機密配置數(shù)據(jù)進行解密來“解鎖”所述RFID標(biāo)簽102。根據(jù)本發(fā)明的另一個示例實施例���,可以在已經(jīng)在所述已授權(quán)的配置設(shè)備124與所述RFID標(biāo)簽102之間交換所述機密配置數(shù)據(jù)并且已經(jīng)執(zhí)行對應(yīng)的配置操作之后�����,通過刪除所述數(shù)據(jù)來阻止對所述RFID標(biāo)簽102上所述機密配置數(shù)據(jù)的訪問���。例如�,在所述配置數(shù)據(jù)是用于接入網(wǎng)絡(luò)的網(wǎng)絡(luò)參數(shù)的情況下��,在所述主機設(shè)備100已經(jīng)接入所述網(wǎng)絡(luò)之后從所述RFID標(biāo)簽102刪除所述網(wǎng)絡(luò)參數(shù)�����。
為了允許所述主機設(shè)備100稍后接入不同的網(wǎng)絡(luò)����,所述已授權(quán)的配置設(shè)備124應(yīng)當(dāng)安全地存儲備份。這對于已連接和未連接標(biāo)簽可以以相同的方式實現(xiàn)���。一種配置方法的示例步驟如下��,所述方法包括通過刪除所述參數(shù)防止在網(wǎng)絡(luò)接入之后機密配置數(shù)據(jù)的讀取:1���、所述已授權(quán)的配置設(shè)備124從所述RFID標(biāo)簽102讀取所述數(shù)據(jù)。2����、所述已授權(quán)的配置設(shè)備124在其自己的非易失性存儲器130或者在網(wǎng)絡(luò)其他地方的存儲器中安全地存儲所述機密配置數(shù)據(jù)。3���、所述已授權(quán)的配置設(shè)備124從所述RFID標(biāo)簽102上刪除所述機密配置數(shù)據(jù)�����。當(dāng)所述主機設(shè)備100稍后必須從所述網(wǎng)絡(luò)去除(斷開)并且接入新的網(wǎng)絡(luò)時�,所述已授權(quán)的配置設(shè)備124可以將所述機密配置數(shù)據(jù)再次復(fù)制到所述RFID標(biāo)簽102中��。需要其他措施通過在所述RFID標(biāo)簽102中蓋寫所述機密配置數(shù)據(jù)來防止惡意用戶將主機設(shè)備100接入他自己的網(wǎng)絡(luò)并且接管所述主機設(shè)備100的控制�����。例如�,假定一種網(wǎng)絡(luò)接入情況,其中所述惡意用戶不需要從所述主機設(shè)備的RFID標(biāo)簽102中讀取設(shè)備專用信息�����,以便將所述主機設(shè)備100接入網(wǎng)絡(luò)。在這種情況下���,惡意用戶可以采用未經(jīng)授權(quán)的配置設(shè)備300來在所述RFID標(biāo)簽102中蓋寫所述機密配置數(shù)據(jù)��,從而將所述主機設(shè)備100接入他的網(wǎng)絡(luò)�����。根據(jù)本發(fā)明的另一個示例實施例��,只有當(dāng)它還不是網(wǎng)絡(luò)的一部分時(即如果所述主機設(shè)備100處在“初始”狀態(tài))�,可以通過允許所述主機設(shè)備的微控制器�、即所述主機控制器114參與網(wǎng)絡(luò)接入,來防止這種惡意的動作��。
根據(jù)本發(fā)明的一個替代示例實施例��,通過利用令牌對可以防止這種惡意的動作��,所述兩個令牌的第一個被存儲在所述RFID標(biāo)簽102中以及第二個令牌被安全地存儲在所述主機設(shè)備的微控制器�����,即所述主機控制器114中或者在主機存儲器112中��,所述主機控制器114可以對其訪問。在所述主機設(shè)備將要接受所述新的配置數(shù)據(jù)之前��,所述配置設(shè)備124需要向所述主機設(shè)備100呈現(xiàn)某些形式的證明����,證明它知道所述第一令牌的數(shù)值��。在此�,我們假定所述主機設(shè)備100將不時地(例如周期性地或者在復(fù)位/斷電之后)從所述已連接RFID標(biāo)簽102讀取所述配置數(shù)據(jù)。這種方法使得所述主機設(shè)備100仍然可以經(jīng)由RFID通信接入不同的網(wǎng)絡(luò)�����。一種配置方法的示例步驟如下����,所述方法包括在所述主機設(shè)備100將要接受新的配置數(shù)據(jù)之前向所述主機設(shè)備呈現(xiàn)令牌:1、所述已授權(quán)的配置設(shè)備124從所述RFID標(biāo)簽102讀取所述第一令牌���。2����、所述已授權(quán)的配置設(shè)備124將所述新的配置數(shù)據(jù)寫入所述RFID標(biāo)簽102����,優(yōu)選地以加密的形式����,隨著某些證明�,證明它知道所述第一令牌的數(shù)值。3���、所述已授權(quán)的配置設(shè)備124在所述RFID標(biāo)簽102中蓋寫所述第一令牌����。所述第二步驟是重要的���,因為只有當(dāng)所述主機設(shè)備100證明它知道所述第一令牌時���,所述主機設(shè)備100才會接受所述新的配置數(shù)據(jù)。下面將描述驗證所述證明和所述令牌種類的各種實施方法���。由于在所述第三步驟中蓋寫所述第一令牌�����,惡意人員不能后續(xù)執(zhí)行所述第二步驟�。因此,由這個人寫入·所述RFID標(biāo)簽102的任何配置數(shù)據(jù)將不會被所述主機設(shè)備100接受�。為了允許在稍后的時間點上將所述主機設(shè)備100接入不同的網(wǎng)絡(luò),所述已授權(quán)的配置設(shè)備124可以保存所述令牌的副本��。例如���,所述已授權(quán)的配置設(shè)備124可以以加密的形式在所述RFID標(biāo)簽102中存儲所述令牌�����,優(yōu)選地在與所述原始令牌相同的位置,從而自動地用無意義的數(shù)據(jù)蓋寫所述原始數(shù)據(jù)(在這個意義上已授權(quán)的配置設(shè)備300不能解釋這些數(shù)據(jù))��。替代地����,所述已授權(quán)的配置設(shè)備124可以在其自己的非易失性存儲器130中或者在網(wǎng)絡(luò)其他地方的存儲器中保存所述原始令牌。有了這個副本�,所述已授權(quán)的配置設(shè)備124總是可以在所述RFID標(biāo)簽102中恢復(fù)所述原始令牌,從而允許所述主機設(shè)備100在稍后的時間點上接入不同的網(wǎng)絡(luò)�����。所述令牌對例如可以被實現(xiàn)如下: 所述第一令牌可以是隨機的(不可預(yù)測的)數(shù)字以及所述第二令牌可以是所述第一令牌的副本����。在這種情況下�����,所述主機設(shè)備100可以簡單地在步驟2中比較所述第一令牌的數(shù)值與其自己的令牌(所述第二令牌)���。 所述第一令牌可以是對稱密鑰以及所述第二令牌可以是所述第一令牌的副本。在這種情況下�,對于步驟2有至少三種可能的實施方法:-可以在步驟2中將作為所述配置數(shù)據(jù)和對稱密鑰輸入的所述消息驗證碼(MAC)與所述配置數(shù)據(jù)一起寫入所述RFID標(biāo)簽102中。所述主機設(shè)備100可以通過計算作為所述配置數(shù)據(jù)輸入的第二 MAC及其自己的對稱密鑰副本來驗證這個MAC���,然后比較這兩個MAC���。-替代地,在步驟2中將所述配置數(shù)據(jù)寫入所述RFID標(biāo)簽102中之前�,所述已授權(quán)的配置設(shè)備124用它在步驟I中已經(jīng)讀取的對稱密鑰對所述配置數(shù)據(jù)進行加密;所述主機設(shè)備100可以用其自己的對稱密鑰副本對所述配置數(shù)據(jù)進行解密���,并且檢查所述已解密的數(shù)據(jù)是否包含有效的配置數(shù)據(jù)(而不是無意義的數(shù)據(jù))��。-作為第三種替代����,可以結(jié)合這兩種實施方法,即所述對稱密鑰可以用于對所述數(shù)據(jù)進行并且用于增加MAC�。 所述第一和第二令牌可以形成公共密鑰對。在這種情況下�,對于步驟2再次有至少三種可能的實施方法:-可以在步驟2中將作為所述配置數(shù)據(jù)輸入的簽名和所述第一(或者私人)密鑰與所述配置數(shù)據(jù)一起寫入所述RFID標(biāo)簽102中。通過利用所述第二(或者公共)密鑰對所述簽名進行解密并且對所述結(jié)果的加密散列碼與它在已接收的配置數(shù)據(jù)上自己計算出的加密散列碼進行比較����,所述主機設(shè)備100可以驗證這個簽名。-替代地�,在步驟2中將所述配置數(shù)據(jù)寫入所述RFID標(biāo)簽102中之前,所述已授權(quán)的配置設(shè)備124用它在步驟I中已經(jīng)讀取的對稱密鑰對所述配置數(shù)據(jù)進行加密���。所述主機設(shè)備100可以用其自己的密鑰對所述配置數(shù)據(jù)進行解密并且檢查所述已解密的數(shù)據(jù)是否包含有效的配置數(shù)據(jù)(而不是無意義的數(shù)據(jù))���。-作為第三種替代��,可以結(jié)合這兩種實施方法����,即所述第一(或者私人)密鑰可以用于對所述數(shù)據(jù)進行加密并且用于增加簽名。利用對稱密鑰或者公共密 鑰對的優(yōu)勢在于可以使所述配置數(shù)據(jù)模糊(通過加密)以及可以分別利用所述MAC或者所述簽名檢測未經(jīng)授權(quán)的修改(例如經(jīng)由中間人攻擊)����。如果只有主機設(shè)備微控制器它還不是網(wǎng)絡(luò)的一部分時(即如果所述主機設(shè)備100處在“初始”狀態(tài))才允許所述主機設(shè)備微控制器(即所述主機控制器114)參與網(wǎng)絡(luò)接入�����,那么所述主機設(shè)備100需要存儲在其他地方的主動式配置數(shù)據(jù)的副本�����。否則�����,所述惡意用戶仍然可以通過用無意義的數(shù)據(jù)在所述RFID標(biāo)簽102中蓋寫所述配置數(shù)據(jù)來使所述主機設(shè)備100從其現(xiàn)有網(wǎng)絡(luò)斷開�,從而致使所述主機設(shè)備100無用(即破壞其服務(wù))����。當(dāng)所述主機設(shè)備100在稍后的時間點必須從所述網(wǎng)絡(luò)去除(斷開)并且接入新的網(wǎng)絡(luò)時,知道所述密鑰的已授權(quán)的配置設(shè)備可以通過再次對所述RFID標(biāo)簽102中的令牌進行解密來“解鎖”所述RFID標(biāo)簽102�。有一些類型的RFID標(biāo)簽,諸如所述MIFARE超輕C或者IC0DESL1-C標(biāo)簽���,所述標(biāo)簽支持驗證來鎖定(部分)所述存儲器�����。根據(jù)本發(fā)明的另一個示例實施例��,所述實施例可用于這些類型的RFID標(biāo)簽�����,通過鎖定問題RFID標(biāo)簽102中的存儲器單元104可以阻止對所述機密配置數(shù)據(jù)的訪問�����。更具體地����,所述存儲器單元104的鎖定包括設(shè)置驗證密鑰,所述驗證密鑰用于訪問所述RFID標(biāo)簽102上的所述存儲器單元104�。所述驗證密鑰例如可以是網(wǎng)絡(luò)密鑰或者基于所述網(wǎng)絡(luò)密鑰的信息。如果設(shè)置了這種驗證密鑰����,只有屬于所述網(wǎng)絡(luò)的設(shè)備才能讀取或者蓋寫在所述RFID標(biāo)簽102中的(部分)數(shù)據(jù)。再次�����,只有知道所述加密密鑰的網(wǎng)絡(luò)成員可以通過復(fù)位所述驗證密鑰至其默認的(已知的)數(shù)值�����,例如全零數(shù)值�,來去除所述RFID標(biāo)簽102的使用限制。根據(jù)本發(fā)明的另一個示例實施例����,可以在已經(jīng)在所述已授權(quán)的配置設(shè)備124與所述RFID標(biāo)簽102之間交換所述參數(shù)并且已經(jīng)執(zhí)行對應(yīng)的配置操作之后,例如在所述主機設(shè)備100已經(jīng)接入所述網(wǎng)絡(luò)之后����,通過完全禁用所述RFID標(biāo)簽102來阻止對所述RFID標(biāo)簽102上所述機密配置數(shù)據(jù)的訪問。在這種情況下�,所述已授權(quán)的配置設(shè)備124通過自己寫入所述標(biāo)簽或者通過向所述主機設(shè)備100發(fā)送控制消息完全禁用所述主機設(shè)備RFID標(biāo)簽102。對于已連接RFID標(biāo)簽�����,這兩種選擇都是可能的�。所述控制系統(tǒng)可以指示所述RFID標(biāo)簽102關(guān)閉。替代地�,例如,所述已授權(quán)的配置設(shè)備124可以直接地禁用所述已連接標(biāo)簽��,以及在稍后時間點上重新使能所述標(biāo)簽只能通過所述主機設(shè)備的控制系統(tǒng)完成����。應(yīng)當(dāng)注意��,總是需要所述控制系統(tǒng)來重新使能所述標(biāo)簽�����,因為根據(jù)定義不能再經(jīng)由其RFID接口使用已經(jīng)被禁用的標(biāo)簽����。對于未連接標(biāo)簽�����,可以構(gòu)想從RFID標(biāo)簽的天線去耦所述RFID標(biāo)簽�����,例如通過增加晶體管����,所述晶體管在所述微控制器、即所述主機控制器114的PIO引腳的控制下���。應(yīng)當(dāng)注意,這使得所述標(biāo)簽在一定程度上是已連接標(biāo)簽,因為在所述主機控制器114與所述RFID標(biāo)簽102之間需要單個“天線使能”導(dǎo)線�。應(yīng)當(dāng)注意,此示例實施例的使用限于初始網(wǎng)絡(luò)接入����,可能包括主機設(shè)備的初始配對。不可能在稍后的時間點上經(jīng)由所述RFID標(biāo)簽102執(zhí)行另外的操作����,諸如配對。例如�����,將燈接觸至開關(guān)的配對情況���,在配對之后所述開關(guān)從所述RFID標(biāo)簽102讀出所述燈的標(biāo)識符���,不再是可能的。然而�,對于某些應(yīng)用,這種方法是足夠的��。只有所述已授權(quán)的配置設(shè)備124或者對所述相同網(wǎng)絡(luò)有效的另一個安裝設(shè)備可以通過向所述主機設(shè)備100發(fā)送控制消息來重新使能所述RFID標(biāo)簽102的讀取�,即再次使所述主機設(shè)備100進入所述“初始”狀態(tài)。如果應(yīng)用根據(jù)本發(fā)明所述的配置方法,那么以某種方式修改所述RFID標(biāo)簽102和/或所述主機控制器114的狀態(tài)����,以避免它們被沒有網(wǎng)絡(luò)秘密(即所述密鑰、設(shè)備令牌的備份副本等)的任何人使用��。如果出于某種原因所述網(wǎng)絡(luò)已經(jīng)不復(fù)存在��,那么其秘密將丟失����。如果在所述網(wǎng)絡(luò)不復(fù)存在之前沒有適當(dāng)?shù)刂匦鲁跏蓟鼍W(wǎng)絡(luò)內(nèi)的所述主機設(shè)備,那么所述主機設(shè)備將是無用的���。因此��,如果網(wǎng)絡(luò)不復(fù)存在����,可以執(zhí)行另外的措施來重新初始化主機設(shè)備�����。這些措施是基于在本發(fā)明所述的配置方法和對應(yīng)的控制系統(tǒng)中構(gòu)建所述后門的想法����。
訪問后門的難易依賴于所述應(yīng)用和所述相關(guān)的威脅(攻擊向量)����??梢詮囊韵聴l件中選擇來為后門定義解鎖條件�,以便將主機設(shè)備復(fù)位至其“初始”狀態(tài): 推動隱藏按鈕:在所述設(shè)備上的隱藏按鈕用于將所述設(shè)備復(fù)位至其“初始”狀態(tài)。顯然�,這個按鈕不能和所述RFID標(biāo)簽一樣容易地被公眾訪問。 關(guān)斷所述主機設(shè)備的電源:所述電源需要能夠關(guān)斷并且再次接通�����。實際上���,這可以通過擰松燈或者取出傳感器節(jié)點的電池來完成�。顯然�,自己關(guān)斷電源在許多情況下是不夠的。例如����,在關(guān)斷電源是正常工作的一部分(例如在夜間)的情況下,它會導(dǎo)致出現(xiàn)問題���。此外���,在停電的情況下它會造成重大問題���。 所述網(wǎng)絡(luò)是不可達的:所述設(shè)備所屬網(wǎng)絡(luò)必須是不可達的。 從插座上拔掉所述主機設(shè)備:例如,在W0/2010/116327中描述了一種方法,所述方法確定改裝燈是否從標(biāo)準(zhǔn)插座(例如E14�、E27)拔掉,即使當(dāng)不能信賴所述插座是永久供電的��。 發(fā)送斷開消息:經(jīng)由現(xiàn)有網(wǎng)絡(luò)或者經(jīng)由具有默認的或者預(yù)先確定的配置數(shù)據(jù)的網(wǎng)絡(luò)����,向所述主機設(shè)備發(fā)送斷開消息。 提供制造商定義的解鎖代碼:經(jīng)由所述網(wǎng)絡(luò)和/或所述標(biāo)簽本身向所述標(biāo)簽提供解鎖代碼�。例如,向所述設(shè)備的制造商(提供的網(wǎng)絡(luò)服務(wù))發(fā)送包含所述設(shè)備唯一標(biāo)識(例如序列號)的請求�����。作為相同請求的一部分�,還提供了所述請求者的證書(例如信用卡支付可能會這樣運用),以便使能可追溯性�����。所述制造商(網(wǎng)絡(luò)服務(wù))用所述解鎖代碼響應(yīng)(類似于PUK代碼,當(dāng)SM卡被禁用時�,需要PUK代碼來解鎖SM卡)。替代地���,也可以由另外的可信方(“在線備份供應(yīng)商”)提供這種服務(wù)��,假定該可信方能夠訪問這些數(shù)據(jù)。本領(lǐng)域普通技術(shù)人員應(yīng)當(dāng)理解上述列舉不是詳盡的����,并且還可以構(gòu)想其他條件。此外�����,可以選擇上述條件的任何子集�,來定義需要得到滿足的復(fù)合條件,以便解鎖所述后門并且將所述主機設(shè)備復(fù)位至其“初始”狀態(tài)���。此外��,可以選擇需要滿足這些條件的具體序列���,以及這些條件或者事件的持續(xù)時間�����,或者必須滿足這些條件的時間窗口�����。例如����,可以定義以下的復(fù)合后門條件: 首先�����,應(yīng)當(dāng)關(guān)斷電源����。 然后,所述網(wǎng)絡(luò)應(yīng)當(dāng)超過半個小時是不可達的�。 最后,需要推動按鈕����。 所有這些應(yīng)當(dāng)發(fā)生在清晨的2點至3點之間。假定在所述標(biāo)簽102中沒有配置數(shù)據(jù)已經(jīng)被蓋寫或者刪除�����,或者所述主機控制器114已經(jīng)在其他地方存儲了所述配置數(shù)據(jù)的副本。在已經(jīng)被重新初始化之后���,所述主機控制器114應(yīng)當(dāng)恢復(fù)所述標(biāo)簽102的原·始內(nèi)容�����,即所述配置數(shù)據(jù)����。在所述標(biāo)簽102是已連接標(biāo)簽的情況下�,所述主機控制器114可以經(jīng)由所述有線主機連接118自主地恢復(fù)所述標(biāo)簽的原始內(nèi)容�����。在所述標(biāo)簽是未連接標(biāo)簽的情況下�,所述主機控制器114應(yīng)當(dāng)向配置設(shè)備暴露所述配置數(shù)據(jù),例如在其無線網(wǎng)絡(luò)接口 116上�,所述配置設(shè)備后續(xù)可以通過將所述配置數(shù)據(jù)寫回給所述標(biāo)簽來對所述標(biāo)簽102重新編程。應(yīng)當(dāng)注意�����,根據(jù)本發(fā)明所述的安全特征可以用于各種客戶端產(chǎn)品,所述產(chǎn)品包括但不限于無線傳感器節(jié)點����、照明器材和智能家電。在建筑物控制系統(tǒng)的情況下�,根據(jù)本發(fā)明所述的安全特征是特別有用的。然而�����,根據(jù)本發(fā)明所述的安全特征在其他的控制系統(tǒng)中也可以加以利用���。上述實施例闡釋而非限制了本發(fā)明�,并且本領(lǐng)域普通技術(shù)人員將能夠在不背離所附權(quán)利要求范圍的情況下設(shè)計出許多替代的實施例���。在所述權(quán)利要求中�����,置于括號之間的任何參考符號不應(yīng)被理解為限制所述權(quán)利要求����。詞語“包括”不排除除了權(quán)利要求中所列舉出的元件或者步驟之外的元件或者步驟的存在。元件前面的詞語“一個”不排除多個這種元件的存在����。利用包括若干不同元件的硬件或者利用適當(dāng)編程的處理器可以實現(xiàn)本發(fā)明。在列舉了若干手段設(shè)備權(quán)利要求中�����,這些手段中的一些可以由一個相同項目的硬件實施����。在互不相同的從屬權(quán)利要求中列舉出某些方法的事實不表示這些方法的組合不能被加以利用。參考符號列表100主機設(shè)備102RFID 標(biāo)簽104非易失性存儲器106RFID 接口108標(biāo)簽控制器110主機處理器
112主機存儲器114主機控制器116無線網(wǎng)絡(luò)接口118主機連接120無線網(wǎng)絡(luò)連接122RFID 連接124已授權(quán)的配置設(shè)備126NFC接口設(shè)備或者主動式RFID設(shè)備128控制器130存儲器200無線網(wǎng)絡(luò)接口202無線網(wǎng)絡(luò)連接
300未經(jīng)授權(quán)的配置設(shè)備302NFC接口設(shè)備或者主動式RFID設(shè)備304控制器306存儲器308RFID 連接
權(quán)利要求
1.一種配置方法�,用于在控制系統(tǒng)中配置主機設(shè)備(100),更具體地是在建筑物控制系統(tǒng)中�, 其中已授權(quán)的配置設(shè)備(124)與耦合至所述主機設(shè)備(100)的射頻識別標(biāo)簽(102)交換機密配置數(shù)據(jù), 其中在已經(jīng)交換所述機密數(shù)據(jù)并且已經(jīng)執(zhí)行對應(yīng)的配置操作之后��,阻止由未經(jīng)授權(quán)的配置設(shè)備(300)對所述機密配置數(shù)據(jù)的訪問����。
2.根據(jù)權(quán)利要求1所述的配置方法�����, 其中通過對所述機密配置數(shù)據(jù)進行加密來阻止對所述機密配置數(shù)據(jù)的訪問。
3.根據(jù)權(quán)利要求2所述的配置方法���, 其中所述已授權(quán)的配置設(shè)備(124)對所述機密配置數(shù)據(jù)進行加密���,并且用已加密的機密配置數(shù)據(jù)蓋寫所述射頻識別標(biāo)簽(102)中的所述機密配置數(shù)據(jù)。
4.根據(jù)權(quán)利要求2所述的配置方法����, 其中所述已授權(quán)的配置設(shè)備(124)將加密密鑰發(fā)送至所述射頻識別標(biāo)簽(102),并且其中所述射頻識別標(biāo)簽(102)對所述機密配置數(shù)據(jù)進行加密���。
5.根據(jù)權(quán)利要求2所述的配置方法�����, 其中所述已授權(quán)的配置設(shè)備(124)將加密密鑰發(fā)送至主機控制器(114)�,并且所述主機控制器(114)對所述機密配置數(shù)據(jù)進行加密���,并且用已加密的機密配置數(shù)據(jù)蓋寫所述射頻識別標(biāo)簽(102)中的所述機密配置數(shù)據(jù)����。
6.根據(jù)權(quán)利要求1所述的配置方法����, 其中所述已授權(quán)的配置設(shè)備(124)通過從所述射頻識別標(biāo)簽(102)中刪除所述機密配置數(shù)據(jù)并且通過存儲所述機密配置數(shù)據(jù)的備份副本���,來阻止對所述機密配置數(shù)據(jù)的訪問。
7.根據(jù)權(quán)利要求2至6中任一項所述的配置方法���, 其中所述已授權(quán)的配置設(shè)備(124)或者另一個已授權(quán)的配置設(shè)備通過在所述射頻識別標(biāo)簽(102)中恢復(fù)所述機密配置數(shù)據(jù)來重新初始化所述主機設(shè)備(100)����。
8.根據(jù)權(quán)利要求1所述的配置方法�, 其中只有所述主機設(shè)備(100)沒有處在已配置狀態(tài)時,才能交換所述機密配置數(shù)據(jù)并且執(zhí)行對應(yīng)的配置操作�����。
9.根據(jù)權(quán)利要求1所述的配置方法����, 其中只有所述已授權(quán)的配置設(shè)備(124)已經(jīng)成功地向所述主機設(shè)備(100)認證自己時,才能交換所述機密配置數(shù)據(jù)并且執(zhí)行對應(yīng)的配置操作�。
10.根據(jù)權(quán)利要求1所述的配置方法�, 其中所述已授權(quán)的配置設(shè)備(124)通過鎖定所述射頻識別標(biāo)簽(102)的存儲單元(104)來阻止對所述機密配置數(shù)據(jù)的訪問,以及其中所述鎖定包括設(shè)置用于訪問所述存儲單元(104)的認證密鑰�����。
11.根據(jù)權(quán)利要求1所述的配置方法, 其中通過禁用所述射頻識別標(biāo)簽(102)來阻止對所述機密配置數(shù)據(jù)的訪問���。
12.根據(jù)權(quán)利要求11所述的配置方法���, 其中通過關(guān)斷所述射頻識別標(biāo)簽(102)來禁用所述射頻識別標(biāo)簽(102)。
13.根據(jù)權(quán)利要求11所述的配置方法�����,其中通過將所述射頻識別標(biāo)簽(102)與其天線去耦合來禁用所述射頻識別標(biāo)簽(102)����。
14.根據(jù)權(quán)利要求1所述的配置方法, 其中通過解鎖后門以便將所述主機設(shè)備(100)復(fù)位至“初始”狀態(tài)來重新初始化所述主機設(shè)備(100)�。
15.根據(jù)權(quán)利要求14所述的配置方法, 其中用于解鎖所述后門的條件包括下述至少之一:推動所述主機設(shè)備(100)上的隱藏按鈕�����,關(guān)斷所述主機設(shè)備(100)的電源�、所述主機設(shè)備(100)不可達到網(wǎng)絡(luò)、已經(jīng)將所述主機設(shè)備(100)從其插座上拔掉�、所述主機設(shè)備(100)已經(jīng)接收到斷開消息����、已經(jīng)給所述主機設(shè)備(100)提供制造商定義的解鎖代碼��。
16.根據(jù)權(quán)利要求1所述的配置方法��, 其中配置所述主機設(shè)備(100)包括使得所述主機設(shè)備(100)能夠接入網(wǎng)絡(luò)�����,以及其中所述機密配置數(shù)據(jù)包括接入所述網(wǎng)絡(luò)所需的網(wǎng)絡(luò)參數(shù)����。
17.—種配置設(shè)備,更具體地是便攜式配置設(shè)備����,用作根據(jù)權(quán)利要求1至16中任一項所述配置方法中的已授權(quán)的配置設(shè)備(124)。
18.一種計算機程序產(chǎn)品����, 所述計算機產(chǎn)品包括由已授權(quán)的配置設(shè)備(124)或者主機設(shè)備(100)可執(zhí)行的程序元件,其中每一個程序元件均包括程序指令�,當(dāng)由所述已授權(quán)的配置設(shè)備(124)或者所述主機設(shè)備(100)執(zhí)行所述程序指令時,所述程序指令使所述已授權(quán)的配置設(shè)備(124)和主機設(shè)備(100)執(zhí)行或者控制根據(jù)權(quán)利要求1至16中任一項所述配置方法的各個步驟��。
19.一種控制系統(tǒng)��,更具體地是建筑物控制系統(tǒng)����,所述控制系統(tǒng)包括主機設(shè)備(100)和已授權(quán)的配置設(shè)備(124)�����, 其中所述已授權(quán)的配置設(shè)備(124)用于與耦合至所述主機設(shè)備(100)的射頻識別標(biāo)簽(102)交換機密配置數(shù)據(jù)����, 其中所述控制系統(tǒng)用于在已經(jīng)交換所述機密配置數(shù)據(jù)并且已經(jīng)執(zhí)行對應(yīng)的配置操作之后�����,阻止由未經(jīng)授權(quán)的配置設(shè)備(300)對所述機密配置數(shù)據(jù)的訪問���。
全文摘要
根據(jù)本發(fā)明的一個方面,構(gòu)想了一種配置方法����,所述配置方法用于在控制系統(tǒng)中��、更具體地是建筑物控制系統(tǒng)中配置主機設(shè)備���,其中已授權(quán)的配置設(shè)備利用耦合至所述主機設(shè)備的射頻識別標(biāo)簽交換機密配置數(shù)據(jù)�����,其中在已經(jīng)交換所述機密配置數(shù)據(jù)并且已經(jīng)執(zhí)行對應(yīng)的配置操作之后,阻止由未經(jīng)授權(quán)的配置設(shè)備對所述機密配置數(shù)據(jù)的訪問��。根據(jù)本發(fā)明的另一方面����,構(gòu)想了一種對應(yīng)的配置設(shè)備�����、一種對應(yīng)的計算機程序產(chǎn)品和一種對應(yīng)的控制系統(tǒng)���。
文檔編號G05B19/04GK103227776SQ20131003205
公開日2013年7月31日 申請日期2013年1月28日 優(yōu)先權(quán)日2012年1月31日
發(fā)明者蒂莫·范雷蒙德, 伊沃特·布蘭德斯瑪, 馬丁·克里斯蒂安·佩寧, 艾利·阿莫爾·邊赫迪 申請人:Nxp股份有限公司