用于實現(xiàn)在資產的遠程控制中使用的數(shù)據(jù)傳輸網絡的設備布置和方法
【專利摘要】在根據(jù)本發(fā)明的遠程控制方法中,在資產中的遠程控制系統(tǒng)的家庭控制網絡密鑰和家庭控制網絡設備之間建立虛擬專用網絡。為了建立虛擬專用網絡,家庭控制網絡密鑰和家庭控制網絡設備二者都確定從它們所連接到的數(shù)據(jù)傳輸網絡到因特網的它們的網絡路徑(201)。所確定的網絡路徑存儲(202)在因特網上的家庭控制網絡服務器中。當期望形成虛擬專用網絡時,家庭控制網絡服務器向家庭控制網絡密鑰和家庭控制網絡設備提供所存儲的網絡路徑。通過利用所接收的網絡路徑,家庭控制網絡密鑰和家庭控制網絡設備使用它們已知的若干數(shù)據(jù)傳輸連接的建立方法來開始在它們之間建立虛擬專用網絡(55)。
【專利說明】用于實現(xiàn)在資產的遠程控制中使用的數(shù)據(jù)傳輸網絡的設備 布置和方法
[0001] 本發(fā)明涉及用于提供在資產中的遠程可控制致動器所需的數(shù)據(jù)傳輸網絡的方法。
[0002] 遠程可控制設備和系統(tǒng)越來越多地被安裝在資產和家庭中。系統(tǒng)的目的是保護和 /或維護資產中的這樣的條件,使得在其中居住是既安全又舒適的。遠程控制或遠程監(jiān)控 設備的范圍很廣。同一資產可具有來自若干供應商的設備。這些設備常常不能彼此直接通 信。每個系統(tǒng)具有其操作邏輯也很常見,操作邏輯的遠程控制需要特定的數(shù)據(jù)通信解決方 案的使用。
[0003] 建筑物服務供應商最近已通過從運營商為客戶針對其自己的目標訂購、單獨地花 費附加連接來開始非常一般性地解決問題,該附加連接包含某些目標特定的約定特征并且 必須經由電話網絡或寬帶網絡被單獨地維護,該寬帶網絡可以是永久的無線2G/3G網絡寬 帶連接。大多數(shù)供應商已經發(fā)現(xiàn)這是此刻對于他們最容易的操作模式,即使它包含若干問 題點。
[0004] 如果為該目標提供新的附加連接,則常常必須單獨就數(shù)據(jù)通信問題與本地內聯(lián)網 的管理者達成一致。內聯(lián)網管理者可能不得不對于該連接進行附加網絡配置,使得建立遠 程連接可以成功。
[0005] 人們還可利用專用解決方案來試圖解決對目標的遠程使用。因此,設備供應商可 從運營商購買其自己的無線電網絡并且在該無線電網絡中形成私人接入點名稱(APN),私 人接入點名稱(APN)確定在GPRS (通用分組無線電服務)和HSDPA (高速下行鏈路分組接 入)/HSUPA (高速上行鏈路分組接入)網絡中的數(shù)據(jù)通信設置。通過使用APN設置,經由無 線2G/3G/4G網絡將因特網連接提供給目標中的設備。在這樣的情形中,用戶必須分別為該 連接和為實現(xiàn)其遠程使用的接口調制解調器和程序支付費用。通常這樣的附加連接不能或 不可以為多于一種使用目的而被使用,例如,用于建筑服務供應商提供的設備的遠程使用。 另外,運營商如今通常限制在這樣的連接中數(shù)據(jù)傳遞的最大量,其當被超出時可引起對于 連接擁有者的大的附加費用。
[0006] 在具有若干資產的房屋業(yè)主團體類型目標中,可將資產連接到僅在資產之間形成 的內聯(lián)網內發(fā)生的"遠程使用"。如果遠程聯(lián)系用戶在物理上處于除了在內聯(lián)網中的正被討 論的資產中的一個以外的其它地方,則對于這樣的目標不會獲得真正的遠程聯(lián)系。
[0007] 本發(fā)明的目的是提供資產中的技術設備的遠程控制布置所需要的新的加密數(shù)據(jù) 傳輸布置,其中在資產和家庭中已經存在的因特網連接同樣地利用在對建筑服務和監(jiān)視的 遠程使用中。使用根據(jù)本發(fā)明的數(shù)據(jù)通信連接的建立方法,將資產的目標連接變更為同樣 地適合于遠程使用。在目標中的數(shù)據(jù)網絡連接的已經存在的功能和目標中的內聯(lián)網沒有變 更。
[0008] 本發(fā)明的目的使用數(shù)據(jù)傳輸連接的建立方法來實現(xiàn),其中以固定的方式安裝在資 產中的家庭控制網絡設備和實現(xiàn)資產的監(jiān)控的人的家庭控制網絡密鑰基于它們從根據(jù)本 發(fā)明的家庭控制網絡服務器接收的聯(lián)系信息來在因特網上建立安全的雙向連接。在資產中 要受遠程控制或遠程監(jiān)控的設備所連接到的資產中的家庭控制網絡設備連接到資產中的 數(shù)據(jù)網絡接口設備/網絡終端,例如調制解調器。
[0009] 家庭控制網絡設備的當前IP地址和家庭控制網絡密鑰被保持在與本發(fā)明相關的 家庭控制網絡服務器中,該IP地址用于建立在所述設備之間的連接。由于根據(jù)本發(fā)明的連 接建立方法,所述設備可連接到某個私人的、非公用網絡,并且它們可仍然在因特網上建立 在它們自己當中的安全數(shù)據(jù)傳輸連接。有利地,所述設備在所建立的連接中的某個點處還 獲得公用IP地址足以在因特網上建立在移動家庭控制網絡密鑰與固定安裝的家庭控制網 絡設備之間的數(shù)據(jù)傳輸連接,即使家庭控制網絡設備和家庭控制網絡密鑰僅同時具有非公 用IP地址。在本發(fā)明的優(yōu)選實施例中,在家庭控制網絡服務器已經向設備發(fā)送設備可用的 IP地址之后,它不參與實際數(shù)據(jù)傳輸連接的建立。
[0010] 在資產中的根據(jù)本發(fā)明的遠程控制系統(tǒng)中利用的數(shù)據(jù)傳輸連接的建立方法的優(yōu) 點是,家庭控制網絡設備對中的兩個設備均可搜索它們從它們的放置位置到連接到因特網 的資產的設備的IP地址的路由,并且將搜索到的路由存儲在因特網上的單獨家庭控制網 絡服務器中以用于設備對的識別和IP地址。
[0011] 本發(fā)明的另一優(yōu)點是,根據(jù)本發(fā)明的每個家庭控制網絡設備對在它們自己當中獨 立地形成預先確定的唯一設備對或設備組,其在待建立的數(shù)據(jù)傳輸網絡中識別彼此。由于 該識別方法,用戶攜帶的家庭控制網絡密鑰或安裝在一些數(shù)據(jù)處理設備中的計算機程序只 與其自己的唯一家庭控制網絡設備對建立網絡連接,并且不能與任何其它網絡設備建立連 接,該計算機程序實現(xiàn)家庭控制網絡密鑰的功能。
[0012] 本發(fā)明的又一優(yōu)點是,根據(jù)本發(fā)明的遠程控制系統(tǒng)的設備對可借助于家庭控制網 絡服務器的地址信息通過服務的本地網絡設備和因特網(VPN:虛擬專用網絡)來在它們自 己當中根據(jù)直接雙向安全0SI模型(開放系統(tǒng)互連參考模型)獨立地建立數(shù)據(jù)鏈路層(層2) 級或還有網絡層(層3)級數(shù)據(jù)傳輸連接。
[0013] 本發(fā)明的又一優(yōu)點是,家庭控制網絡設備對可以也通過這樣的防火墻在它們自己 當中建立安全數(shù)據(jù)傳輸連接,防火墻有時候改變其源或目標端口。
[0014] 根據(jù)本發(fā)明的在家庭控制網絡的兩個網絡終端之間的虛擬專用網絡的建立方法 特征在于, -形成預定網絡終端對的第一網絡終端和第二網絡終端二者都不時地將輪詢發(fā)送到 家庭控制網絡服務器,預定網絡終端對的成員被只允許與彼此通信,其中家庭控制網絡服 務器被詢問設備對的另一設備是否連接數(shù)據(jù)傳輸網絡,且如果是,則 -第一網絡終端和第二網絡終端二者連接到家庭控制網絡服務器以建立虛擬專用網 絡并從家庭控制網絡服務器請求路由信息,以便建立在所述網絡終端之間的端對端數(shù)據(jù)傳 輸連接。
[0015] -在家庭控制網絡服務器檢查出網絡終端是預定網絡終端對之后,家庭控制網絡 服務器向第一網絡終端和第二網絡終端二者都發(fā)送所請求的路由信息,以及 -第一網絡終端和第二網絡終端使用虛擬專用網絡的若干已知的建立方法開始端對 端數(shù)據(jù)傳輸連接的建立過程,以便提供至少一個虛擬專用網絡。
[0016] 要連接到虛擬專用網絡的根據(jù)本發(fā)明的家庭控制網絡密鑰特征在于,它可包括處 理器、存儲器和存儲在其中的計算機程序代碼,其配置成: -不時地將輪詢發(fā)送到家庭控制網絡服務器,其中它被詢問家庭控制網絡設備是否連 接到數(shù)據(jù)傳輸網絡,家庭控制網絡設備被預先確定為家庭控制網絡密鑰的網絡終端對,且 家庭控制網絡密鑰被允許與家庭控制網絡設備通信,且如果家庭控制網絡設備連接到數(shù)據(jù) 傳輸網絡,貝1J : -連接到家庭控制網絡服務器并從家庭控制網絡服務器請求家庭控制網絡設備的路 由信息,以便建立到家庭控制網絡設備的虛擬專用網絡, -從家庭控制網絡服務器接收家庭控制網絡設備的路由信息,以及 -使用虛擬專用網絡的若干已知的建立方法開始端對端數(shù)據(jù)傳輸連接的建立過程,以 便提供與家庭控制網絡設備的至少一個虛擬專用網絡。
[0017] 在資產中的根據(jù)本發(fā)明并連接到虛擬專用網絡的家庭控制網絡設備特征在于,它 的處理器、存儲器和存儲在其中的計算機代碼配置成: -不時地將輪詢發(fā)送到家庭控制網絡服務器,其中它被詢問家庭控制網絡密鑰是否連 接到數(shù)據(jù)傳輸網絡,家庭控制網絡密鑰被預先確定為家庭控制網絡設備的網絡終端對,且 家庭控制網絡設備被只允許與家庭控制網絡密鑰通信,且如果家庭控制網絡密鑰連接到數(shù) 據(jù)傳輸網絡,則: -連接到家庭控制網絡服務器并從家庭控制網絡服務器請求家庭控制網絡密鑰的路 由信息,以便建立到家庭控制網絡密鑰的虛擬專用網絡, -從家庭控制網絡服務器接收家庭控制網絡密鑰的路由信息,以及 -使用虛擬專用網絡的若干已知的建立方法開始端對端數(shù)據(jù)傳輸連接的建立過程,以 便提供與家庭控制網絡密鑰的至少一個虛擬專用網絡。
[0018] 在家庭控制網絡密鑰中利用的根據(jù)本發(fā)明的計算機程序特征在于,它包括: -用于不時地將輪詢發(fā)送到家庭控制網絡服務器的代碼模塊,其中家庭控制網絡服務 器被詢問家庭控制設備是否連接到數(shù)據(jù)傳輸網絡,家庭控制網絡密鑰與家庭控制設備形成 預定終端對,預定終端對的成員被允許僅與彼此通信,且如果家庭控制網絡設備連接到數(shù) 據(jù)傳輸網絡,則: -用于連接到家庭控制網絡服務器并從家庭控制網絡服務器請求家庭控制網絡設備 的路由信息以便建立到家庭控制網絡設備的虛擬專用網絡的代碼模塊, -用于從家庭控制網絡服務器接收家庭控制網絡設備的路由信息的代碼模塊,以及 -用于使用虛擬專用網絡的若干已知的建立方法開始端對端數(shù)據(jù)傳輸連接的建立過 程以便提供與家庭控制網絡設備的至少一個虛擬專用網絡的代碼模塊。
[0019] 在家庭控制網絡設備中利用的根據(jù)本發(fā)明的計算機程序特征在于,它包括: -用于不時地將輪詢發(fā)送到家庭控制網絡服務器的代碼模塊,其中家庭控制網絡服務 器被詢問家庭控制網絡密鑰是否連接到數(shù)據(jù)傳輸網絡,家庭控制網絡設備與家庭控制網絡 密鑰形成預定終端對,預定終端對的成員被允許僅與彼此通信,且如果家庭控制網絡密鑰 連接到數(shù)據(jù)傳輸網絡,則: -用于連接到家庭控制網絡服務器并從家庭控制網絡服務器請求家庭控制網絡密鑰 的路由信息以便建立到家庭控制網絡密鑰的虛擬專用網絡的代碼模塊, -用于從家庭控制網絡服務器接收家庭控制網絡密鑰的路由信息的代碼模塊,以及 -用于使用虛擬專用網絡的若干已知的建立方法開始端對端數(shù)據(jù)傳輸連接的建立過 程以便提供與家庭控制網絡密鑰的至少一個虛擬專用網絡的代碼模塊。
[0020] 在從屬權利要求中給出了本發(fā)明的一些有利的實施例。
[0021] 本發(fā)明的基本思想如下:為了實現(xiàn)在一些資產中的遠程控制,制造了設備對一 家庭控制網絡設備和家庭控制網絡密鑰(設備),其中至少一個家庭控制網絡設備和至少一 個家庭控制網絡密鑰(設備)可只與彼此建立安全的數(shù)據(jù)傳輸連接。所述家庭控制網絡密鑰 (設備)可以是為了這個目的而制造的單獨電子設備,或它也可以是某個數(shù)據(jù)處理設備,其 中安裝根據(jù)本發(fā)明的計算機程序,所述程序實現(xiàn)家庭控制網絡密鑰功能。
[0022] 要受遠程控制的在資產中的家庭控制網絡設備安裝在要控制的在資產中的現(xiàn)有 內聯(lián)網網絡或因特網網絡中。它在內聯(lián)網或因特網網絡中建立一個子網絡--控制內聯(lián)網 網絡,在資產中要控制的各種致動器使用有線或無線數(shù)據(jù)傳輸連接來連接到控制內聯(lián)網網 絡。
[0023] 在本發(fā)明的一個有利的實施例中,單獨家庭控制網絡密鑰或若干家庭控制網絡密 鑰可以起在不同資產中的兩個或更多個家庭控制網絡設備的設備對的作用。家庭控制網絡 設備和家庭控制網絡密鑰的識別代碼結合其制造存儲在所述設備中,或所述設備在它們第 一次被連接在例如其USB端口處時改變其識別代碼。通過使用識別代碼,家庭控制網絡設 備和家庭控制網絡密鑰在它們之間建立雙向安全數(shù)據(jù)傳輸連接。
[0024] 結合啟動,這兩個設備確定從其局部網絡一直到連接到因特網的網絡終端的設備 的路由信息,該路由信息是連接建立所需的。這個路由信息存儲在連接到因特網的根據(jù)本 發(fā)明的家庭控制網絡服務器中。當家庭控制網絡密鑰(設備)想建立經由因特網到在某個資 產中的其設備對的數(shù)據(jù)傳輸連接時,它從家庭控制網絡服務器檢索起其設備對的作用的家 庭控制網絡設備的路由信息。通過利用所得到的路由信息,家庭控制網絡密鑰開始直接端 對端數(shù)據(jù)傳輸連接的建立過程,通過該過程安全的虛擬專用網絡(VPN)在家庭控制網絡密 鑰和家庭控制網絡設備之間被有利地建立。在數(shù)據(jù)傳輸連接的該建立中,按需要使用適當 的數(shù)據(jù)傳輸協(xié)議。
[0025] 可試圖有利地建立端對端數(shù)據(jù)傳輸連接首先作為基于TCP的數(shù)據(jù)傳輸連接或作 為基于UDP的數(shù)據(jù)傳輸連接,如果這是在設備之間的數(shù)據(jù)傳輸網絡部件所允許的。
[0026] 如果要建立的數(shù)據(jù)傳輸連接具有偶爾改變其源和/或目標端口以便防止網絡攻 擊的網絡部件(例如防火墻),則除了上面提到的以外還通過使用UDP端口掃描來試圖有利 地建立端對端數(shù)據(jù)傳輸連接。除了 UDP端口掃描以外,還可試圖也通過使用ICMP協(xié)議建立 端對端數(shù)據(jù)傳輸連接。
[0027] 如果由于一個原因或其它原因,不能使用上面提到的協(xié)議來建立直接端對端數(shù)據(jù) 傳輸連接,則通過與本發(fā)明有關的家庭控制網絡服務器來建立基于TCP協(xié)議的安全隧道。 在這個實施例中,家庭控制網絡服務器不對它所接收的安全消息加密,而是同樣地將它們 直接傳遞到接收設備。如果在該建立的TCP中繼連接期間發(fā)現(xiàn)將可能建立VPN數(shù)據(jù)傳輸連 接,則數(shù)據(jù)傳輸有利地改變到該另一雙向端對端數(shù)據(jù)傳輸連接。
[0028] 當建立通過家庭控制網絡服務器中繼的直接數(shù)據(jù)傳輸連接或數(shù)據(jù)傳輸連接時,在 資產中的家庭控制網絡密鑰和家庭控制網絡設備之間建立直接VPN數(shù)據(jù)傳輸連接。
[0029] 在與資產的控制和管理有關的現(xiàn)有內部數(shù)據(jù)傳輸網絡和將業(yè)務從資產中繼到因 特網的網絡終端之間要受遠程控制的資產的內部數(shù)據(jù)傳輸網絡中安裝根據(jù)本發(fā)明的家庭 控制網絡設備。與資產控制有關的所有設備連接到家庭控制網絡設備的輸入,且家庭控制 網絡設備的輸出連接到意欲用于中繼因特網業(yè)務的網絡終端的內聯(lián)網設備的輸入。
[0030] 在根據(jù)本發(fā)明的家庭控制網絡系統(tǒng)中,家庭控制網絡密鑰是無線地或通過電纜連 接而連接的網絡終端的設備和適當?shù)臄?shù)據(jù)處理設備。
[0031] 在根據(jù)本發(fā)明的另一實施例中,家庭控制網絡密鑰可連接到某個數(shù)據(jù)處理設備, 其連接到因特網。可能的數(shù)據(jù)處理設備是例如PC、平板計算機或智能電話。在這個實施例 中,可例如借助于LAN接口(局域網)、WLAN接口(無線LAN)、WAN接口(廣域網)、USB接口(通 用串行總線)或天線接口來完成家庭控制網絡密鑰到數(shù)據(jù)處理設備的連接。
[0032] 在本發(fā)明的一個有利的實施例中,實現(xiàn)家庭控制網絡密鑰的功能的計算機程序存 儲在便攜式數(shù)據(jù)存儲裝置(例如USB棒)中,計算機程序可從便攜式數(shù)據(jù)存儲裝置安裝到適 當?shù)臄?shù)據(jù)處理設備中。安裝在數(shù)據(jù)處理設備中的程序模擬家庭控制網絡密鑰的所有功能。
[0033] 在下文中,將詳細描述本發(fā)明。在本描述中,參考附圖,其中: 圖la作為例子示出可如何在處理遠程控制的客戶端設備和資產的單獨控制或管理設 備之間建立根據(jù)本發(fā)明的雙向數(shù)據(jù)傳輸連接, 圖lb示出根據(jù)本發(fā)明的另一例子,其中可在處理遠程控制的客戶端設備和資產的單 獨控制或管理設備之間建立雙向數(shù)據(jù)傳輸連接, 圖2示出如何建立在客戶端設備和資產中的設備之間的數(shù)據(jù)傳輸連接的示例性流程 圖, 圖3a作為例子示出包括在圖2中的步驟201中的部分步驟, 圖3b作為例子示出包括在圖2中的步驟206中的建立步驟, 圖4作為例子示出根據(jù)本發(fā)明的家庭控制網絡設備, 圖5a作為例子示出根據(jù)本發(fā)明的家庭控制網絡密鑰, 圖5b作為例子示出根據(jù)本發(fā)明的另一家庭控制網絡密鑰, 圖6作為例子示出根據(jù)本發(fā)明的家庭控制網絡服務器,以及 圖7示出在家庭控制網絡系統(tǒng)中利用的根據(jù)本發(fā)明的連接層。
[0034] 在下面的描述中的實施例僅作為例子被給出,且本領域中的技術人員也可以用不 同于在本描述中所描述的一些其它方式實現(xiàn)本發(fā)明的基本思想。雖然本描述在若干地方中 可以參考某個實施例或某些實施例,這并不意味著參考將只針對一個所描述的實施例或所 描述的特性將只在一個所述實施例中可用。可組合兩個或更多個實施例的單獨特性,并可 因此提供本發(fā)明的新的實施例。
[0035] 圖la和lb示出根據(jù)本發(fā)明的遠程控制系統(tǒng)的兩個有利的實施例1A和1B。在圖 la和lb的例子中,由軟件轉換成家庭控制網絡密鑰的數(shù)據(jù)處理設備41c或一個家庭控制網 絡密鑰42、42b用于建立到同一資產中的一個家庭控制網絡設備61的數(shù)據(jù)傳輸連接。轉換 成根據(jù)本發(fā)明的家庭控制網絡密鑰的數(shù)據(jù)處理設備41c或家庭控制網絡密鑰42、42b然而 也可有利地與在兩個或更多個資產中的單獨家庭控制網絡設備一起起作用。
[0036] 在圖la和lb的兩個實施例中,數(shù)據(jù)傳輸網絡主要具有相同的基本網絡結構。在 這兩個附圖中,用附圖標記2示出因特網。某個公用網絡或內聯(lián)網(附圖標記3)也連接到 因特網2。網絡3可以是固定或無線數(shù)據(jù)傳輸網絡。在圖la中,第一數(shù)據(jù)傳輸網絡4-- 資產的房屋控制遠程網絡--連接到網絡3,實現(xiàn)遠程控制的客戶端設備(附圖標記41a)可 連接到房屋控制遠程網絡。在圖lb中,家庭控制網絡密鑰42b連接到數(shù)據(jù)處理設備41c,其 又連接到公用網絡/內聯(lián)網網絡3。
[0037] 當家庭控制網絡設備61或家庭控制網絡密鑰42、42b連接到其自己的本地數(shù)據(jù)傳 輸網絡時,它不時地將輪詢發(fā)送到屬于遠程控制系統(tǒng)的家庭控制網絡服務器21,以便找出 它自己的對應設備是否連接到網絡。如果從家庭控制網絡服務器21所發(fā)送的回復中對應 設備連接到其自己的數(shù)據(jù)傳輸網絡變得明顯,則設備對的兩個成員通過下面描述的過程開 始虛擬專用網絡(VPN數(shù)據(jù)傳輸連接)的建立過程。
[0038] 在圖la和lb中用附圖標記5指明要受遠程控制的資產中的房屋內聯(lián)網。第二數(shù) 據(jù)傳輸網絡6--房屋控制內聯(lián)網--連接到房屋內聯(lián)網網絡5。資產中的要受遠程控制 的致動器62-65連接到房屋控制內聯(lián)網。
[0039] 對本領域中的技術人員很明顯,在根據(jù)本發(fā)明的家庭控制網絡設備61和/或家庭 控制網絡密鑰42、42b或41c和因特網2之間也可以有比在圖la和lb中所示的更多的子 網絡。
[0040] 在圖la和lb的例子中,根據(jù)本發(fā)明的第二網絡終端--家庭控制網絡設備61 (HCND)--連接到房屋內聯(lián)網網絡10. 〇.〇. 0/24 (附圖標記5)。房屋內聯(lián)網網絡5使用 網絡終端51連接到因特網2。網絡終端51可以是路由器、調制解調器或防火墻,其還可包 括網絡地址轉換器NAT。圖la和lb的例子中,房屋內聯(lián)網5在包含NAT功能的防火墻FW1 (附圖標記51)后面。在圖la和lb的例子中的防火墻FW1的公用IP地址是240. 1. 1. 2。在 房屋內聯(lián)網5中,防火墻FW1的內部IP地址是10. 0. 0. 1。兩個示例性其它數(shù)據(jù)處理設備也 連接到房屋內聯(lián)網網絡5,這兩個數(shù)據(jù)處理設備在房屋內聯(lián)網網絡中的IP地址是10. 0. 0. 3 和 10. 0· 0· 4。
[0041] 房屋控制內聯(lián)網網絡172. 17. 0.0/24 (HCI)(附圖標記6)經由家庭控制網絡設備 61連接到房屋內聯(lián)網網絡5。家庭控制網絡設備61在房屋控制內聯(lián)網網絡中的IP地址是 172. 17. 0. 1,而在房屋內聯(lián)網網絡中是10. 0. 0. 2。在圖la和lb的例子中,四個示例性設備 /服務器62、63、64和65連接到房屋控制內聯(lián)網6。設備/服務器可使用永久連接或無線 數(shù)據(jù)傳輸連接而連接到房屋控制內聯(lián)網6。
[0042] 附圖標記62示出照明控制web服務器,其在房屋控制內聯(lián)網網絡中的IP地址是 172. 17. 0. 5。對于遠程用戶,照明控制web服務器62被看作設備HCND4。
[0043] 附圖標記63示出熱控制web服務器,其在房屋控制內聯(lián)網網絡中的IP地址是 172. 17. 0. 4。對于遠程用戶,熱控制web服務器63被看作設備HCND1。
[0044] 附圖標記64示出監(jiān)視攝像機web服務器,其在房屋控制內聯(lián)網網絡中的IP地址 是172. 17. 0. 3。對于遠程用戶,監(jiān)視攝像機web服務器62被看作設備HCND2。
[0045] 附圖標記65示出空調web服務器,其在房屋控制內聯(lián)網網絡中的IP地址是 172. 17. 0. 2。對于遠程用戶,空調web服務器65被看作設備HCND3。
[0046] 在圖la的例子中,根據(jù)本發(fā)明的第一網絡終端--家庭控制網絡密鑰42 (HCNK)--連接到房屋控制遠程網絡172. 17. 0. 0/24 (附圖標記4)。房屋控制遠程網絡4 在內聯(lián)網3的防火墻FW2 (附圖標記31)后面。NAT防火墻31的公用IP地址在本例中是 240. 2. 1. 2,且NAT防火墻的內部IP地址是10. 0. 1. 1。
[0047] 房屋控制遠程網絡172. 17. 0· 0/24 (HCRN)(附圖標記4)經由根據(jù)本發(fā)明的家庭 控制網絡密鑰42連接到數(shù)據(jù)傳輸網絡3。家庭控制網絡密鑰42的IP地址在內聯(lián)網網絡中 是10. 0. 1.2而在房屋控制遠程網絡中是172. 17. 0.6。在圖la和lb的例子中,示例性數(shù) 據(jù)處理設備41a連接到房屋控制遠程網絡4,數(shù)據(jù)處理設備在房屋控制遠程網絡4中的IP 地址是172. 17. 0. 7。當期望遠程地控制連接到房屋控制內聯(lián)網網絡6的設備/服務器62、 63、64或65時,這個數(shù)據(jù)處理設備41a被使用。
[0048] 根據(jù)本發(fā)明的家庭控制網絡密鑰42和家庭控制網絡設備61需要彼此的路由信 息,以便使它們能夠基于數(shù)據(jù)鏈路層或基于網絡層在它們之間建立數(shù)據(jù)傳輸連接,在圖la 和lb的例子中是VPN數(shù)據(jù)傳輸連接55。所確定的路由信息由根據(jù)本發(fā)明的家庭控制網絡 密鑰42和家庭控制網絡設備61存儲在因特網上的家庭控制網絡服務器21 (HCNS)中。
[0049] 在圖la的例子中,NAT防火墻不完全限制外發(fā)的UDP通信。它們在一種狀態(tài)中是 所謂的NAT防火墻,且"具有存儲器",這也不會不可預知地改變UDP (用戶數(shù)據(jù)報協(xié)議)連 接的源端口號,如果它們不是必須的話。在圖la的例子中,目的是在數(shù)據(jù)鏈路層中建立在 家庭控制網絡密鑰42和家庭控制網絡設備61之間的以太網級連接。
[0050] 當在根據(jù)圖la的遠程控制系統(tǒng)1A中時,期望在設備之間建立屬于虛擬專用網絡 (VPN)的數(shù)據(jù)傳輸連接55,然后設備42和61二者都通過對應設備從家庭控制網絡服務器 21檢索存儲在其中的路由信息。在移交路由信息之前,家庭控制網絡服務器21檢查出它實 際上是被允許的家庭控制網絡密鑰/家庭控制網絡設備對的問題。借助于所檢索的路由信 息,家庭控制網絡密鑰42和家庭控制網絡設備61在它們之間建立直接VPN連接。當VPN 連接55完成時,在房屋控制遠程網絡4中的數(shù)據(jù)處理設備41a可與在房屋控制網絡6中的 設備62、63、64或65進行聯(lián)系。
[0051] 為了使建立數(shù)據(jù)傳輸連接變得可能,家庭控制網絡密鑰42和家庭控制網絡設備 61必須確定從它們自己的網絡至少到因特網2的其網絡路徑。在下文中,所述網絡路徑信 息由術語路由信息指代。這個網絡路徑確定可例如以家庭控制網絡密鑰42和家庭控制網 絡設備61有利地利用的下列方式做出。
[0052] 在圖la的例子中,網絡路由由家庭控制網絡密鑰42和家庭控制網絡設備61確 定。這些設備將所發(fā)現(xiàn)的網絡路徑存儲在家庭控制網絡服務器21上,家庭控制網絡服務器 21將它們存儲在其存儲器中。
[0053] 根據(jù)本發(fā)明的家庭控制網絡密鑰42和家庭控制網絡設備61也有利地具有確定自 由網絡空間的能力。所述設備配置成通過利用在家庭控制網絡服務器21上的網絡路徑信 息來自動為它們自己確定可用網絡空間。所述設備請求家庭控制網絡服務器21給出網絡 空間的一些自由部分。家庭控制網絡服務器21檢查它接收到的網絡路徑并返回某個網絡 塊,其中甚至沒有一個地址在由此已知的任何設備的網絡路徑中被提到。
[0054] 家庭控制網絡設備61也在其自己的子網絡4和6中為連接到這些子網絡的設備 有利地提供DHCP和DNS服務。此外,家庭控制網絡密鑰42和家庭控制網絡設備61起連接 到子網絡的設備的默認網關的作用。
[0055] 圖lb示出根據(jù)本發(fā)明的另一遠程控制系統(tǒng)1B。在圖lb中,由用戶利用的數(shù)據(jù)處 理設備41c連接到以附圖標記3描繪的數(shù)據(jù)傳輸網絡。圖lb的實施例不同于圖la的實施 例之處在于圖la的家庭控制網絡密鑰42的功能用包括USB存儲器42e的家庭控制網絡密 鑰42b代替,家庭控制網絡密鑰42b可連接到由客戶端利用的數(shù)據(jù)處理設備41c。在這個實 施例中,數(shù)據(jù)處理設備41c和設備42b共同起家庭控制網絡密鑰的作用。
[0056] 在本發(fā)明的另一有利的實施例中,實現(xiàn)根據(jù)本發(fā)明的家庭控制網絡密鑰的功能的 計算機程序被安裝到數(shù)據(jù)處理設備41c??赏ㄟ^將USB記憶棒附接到在數(shù)據(jù)處理設備41c 中的USB端口,來例如從USB記憶棒將計算機程序有利地存儲在數(shù)據(jù)處理設備41c中。對 于本領域中的技術人員很明顯,某個其它現(xiàn)有技術數(shù)據(jù)存儲裝置也可用作計算機程序的存 儲裝置。在這個實施例中,數(shù)據(jù)處理設備41c使用安裝在其中的計算機程序模擬根據(jù)本發(fā) 明的家庭控制網絡密鑰。
[0057] 在圖lb的例子中,圖la的家庭控制網絡密鑰42在用戶的數(shù)據(jù)處理設備41c中被 全部或部分地模擬。用戶在其數(shù)據(jù)處理設備41c中使用瀏覽器與這個模擬軟件進行聯(lián)系, 或可替代地,模擬軟件在數(shù)據(jù)處理設備41c中打開瀏覽器窗口。通過在數(shù)據(jù)處理設備41c 中發(fā)動根據(jù)本發(fā)明的模擬程序來開始模擬,該模擬程序通過軟件實現(xiàn)物理家庭控制網絡密 鑰42的所有功能。
[0058] 在這個實施例中,通過利用用戶的數(shù)據(jù)處理設備41c來實現(xiàn)圖la的家庭控制網絡 密鑰42的所有功能--通信、啟動和連接建立,由此,根據(jù)圖la的物理上分離的家庭控制 網絡密鑰42對建立到資產中的設備對61的連接是不需要的。
[0059] 如果由于某個原因上面描述的直接VPN隧道的建立在圖la和lb中呈現(xiàn)的家庭控 制網絡密鑰42、42b或41c和家庭控制網絡設備61之間不是成功的或它僅僅是偶爾成功的 (例如,如果網絡部件偶爾改變源和/或目標端口),則遠程控制布置可利用結合圖3b描述 的其它訪問協(xié)議。此外在這種情況下,對于客戶端設備用戶,遠程控制系統(tǒng)以與在圖la或 圖lb中呈現(xiàn)的遠程控制系統(tǒng)中相同的方式起作用。
[0060] 下面是在圖la的例子中根據(jù)本發(fā)明的遠程控制系統(tǒng)1A的操作的例子。
[0061] 家庭控制網絡設備61: 家庭控制網絡設備61例如通過將電纜附接到家庭控制網絡設備61的WAN端口來連接 到10. 0. 0. 0/24網絡(房屋內聯(lián)網5)。家庭控制網絡設備61使用DHCP過程自動檢索其IP 設置。在房屋內聯(lián)網網絡5中的防火墻FW1有利地起DHCP服務器的作用,該防火墻將在24 比特網絡掩碼(255. 255. 255. 0)中的IP地址10. 0. 0. 2給予家庭控制網絡設備61。DHCP服 務器還給予默認路由器地址10. 0. 0. 1和DNS服務器地址10. 0. 0. 1。
[0062] 家庭控制網絡設備61通過借助于DNS服務器查明家庭控制網絡服務器21的IP 地址(HCNS、DNS地址etahallinta.fi)來開始通信。DNS服務器10. 0. 0. 1將IP地址為 240. 1. 1. 1給予家庭控制網絡服務器21。
[0063] 家庭控制網絡設備61使用TCP或UDP協(xié)議在因特網上與家庭控制網絡服務器21 進行聯(lián)系240. 1. 1. 1。家庭控制網絡設備61使用結合制造確定的證書和/或口令來認證與 家庭控制網絡服務器21的相互操作權限。這個數(shù)據(jù)傳輸連接例如使用SSL/TLS加密被有 利地加密。家庭控制網絡服務器21從進入的連接看到家庭控制網絡設備61的公用IP地 址,其在圖la的例子中是240. 1. 1. 2。家庭控制網絡設備61將它自己的地址和網絡掩碼 (10. 0. 0. 2/24)通知給家庭控制網絡服務器21。家庭控制網絡服務器21將這個信息存儲 在其Tosibox數(shù)據(jù)庫中。
[0064] 家庭控制網絡設備61還有利地執(zhí)行對于家庭控制網絡服務器21的跟蹤路由操 作,并將所發(fā)現(xiàn)的網絡路徑報告給家庭控制網絡服務器21。家庭控制網絡服務器21將家庭 控制網絡設備61的所接收的網絡路徑存儲在其Tosibox數(shù)據(jù)庫中。
[0065] 接著家庭控制網絡設備61還有利地執(zhí)行ICMP記錄路由操作,并將所發(fā)現(xiàn)的路由 報告給家庭控制網絡服務器21。家庭控制網絡服務器21將從家庭控制網絡設備61接收的 路由存儲在其Tosibox數(shù)據(jù)庫中。
[0066] 其后,家庭控制網絡設備61通過將查詢發(fā)送到家庭控制網絡服務器21來執(zhí)行 自由網絡空間的自動確定。在圖la和lb的例子中,家庭控制網絡服務器21將網絡空間 172. 17. 0. 0/24返回到家庭控制網絡設備61。
[0067] 家庭控制網絡設備61對其內聯(lián)網6利用網絡空間,且家庭控制網絡設備61取 172. 17. 0. 1作為其自己的IP地址。家庭控制網絡設備61通知家庭控制網絡服務器21關 于該利用,服務器將信息存儲在其Tosibox數(shù)據(jù)庫中。
[0068] 在圖la和lb中,家庭控制網絡設備61被示出為其自己的單獨設備,其建立它自 己的子網絡用于控制資產中的設備。對本領域中的技術人員很明顯,家庭控制網絡設備61 的功能可被集成為計算機化或房屋工程設備的一部分,計算機化或房屋工程設備具有足夠 的處理器和存儲器容量以及用于使用有線數(shù)據(jù)傳輸連接或無線數(shù)據(jù)傳輸連接來將各種技 術裝置連接到計算機化或房屋工程設備的連接裝置。
[0069] 家庭控制網絡密鑰42 : 在圖la的例子中,家庭控制網絡密鑰42的WAN端口連接到10. 0. 1. 0/24網絡(數(shù)據(jù)傳 輸網絡3)。家庭控制網絡密鑰42從DHCP服務器檢索IP地址信息,防火墻FW2起DHCP服 務器(附圖標記31)的作用。家庭控制網絡密鑰得到IP地址10. 0.1. 2。家庭控制網絡密鑰 42的默認路由器31的地址是10. 0. 1. 1,且DNS服務器31的地址是10. 0. 1. 1,其從DHCP服 務器得到。
[0070] 家庭控制網絡密鑰42通過借助于DNS服務器查明家庭控制網絡服務器21的IP 地址(HCNS、DNS地址hens, fi)來開始通信。在圖1和2的例子中,DNS服務器10. 0. 1. 1給 出240. 1. 1. 1作為家庭控制網絡服務器21的IP地址。
[0071] 其后,家庭控制網絡密鑰42主要使用UDP協(xié)議其次使用TCP協(xié)議在因特網上聯(lián)系 在地址240. 1. 1. 1上的家庭控制網絡服務器21。家庭控制網絡密鑰42使用預先分配的證 書和/或口令來認證與家庭控制網絡服務器21的相互操作權限。該數(shù)據(jù)傳輸連接例如使 用SSL/TLS加密被有利地加密。家庭控制網絡服務器21從進入的連接看到家庭控制網絡 密鑰42的公用IP地址240. 2. 1. 2。家庭控制網絡密鑰42此外將它自己的地址和網絡掩碼 10. 0. 1. 2/24通知給家庭控制網絡服務器21。家庭控制網絡服務器21將這個信息存儲在 其Tosibox數(shù)據(jù)庫中。
[0072] 接著,家庭控制網絡密鑰42執(zhí)行跟蹤路由操作,并將所發(fā)現(xiàn)的網絡路徑報告給家 庭控制網絡服務器21,家庭控制網絡服務器21將信息存儲在其Tosibox數(shù)據(jù)庫中。
[0073] 家庭控制網絡密鑰42還有利地執(zhí)行ICMP記錄路由操作,并將所發(fā)現(xiàn)的網絡路徑 報告給家庭控制網絡服務器21,家庭控制網絡服務器21將信息存儲在其Tosibox數(shù)據(jù)庫 中。
[0074] 家庭控制網絡服務器21檢查所接收的路由信息,且如果存在重疊,則家庭控制網 絡服務器21將它們報告給家庭控制網絡密鑰42,家庭控制網絡密鑰42在必要時再次執(zhí)行 自由網絡空間的自動確定。
[0075] 數(shù)據(jù)處理設備41c作為家庭控制網絡密鑰: 在根據(jù)圖lb的實施例1B中,家庭控制網絡密鑰42可以用家庭控制網絡密鑰42b或用 戶的數(shù)據(jù)處理設備41c代替,其中包括家庭控制網絡密鑰的功能的計算機程序從適當?shù)臄?shù) 據(jù)存儲裝置(例如USB記憶棒)被存儲。所述家庭控制網絡密鑰42b可以有利地是包括USB 連接的所謂的電子設備。在圖lb的實施例中,家庭控制網絡密鑰42的上述功能由從USB 記憶棒安裝到用戶的數(shù)據(jù)處理設備41c中的計算機程序執(zhí)行。
[0076] 在根據(jù)圖lb的實施例中,可結合制造或在最終使用目標處確定家庭控制網絡密 鑰42b和家庭控制網絡設備61的配對。如果配對確定在最終使用目標處完成,則家庭控制 網絡密鑰42b在根據(jù)圖lb的實施例中暫時連接到家庭控制網絡設備61。該連接有利地通 過設備的USB端口或經由無線無線電網絡來實現(xiàn)。
[0077] 經由耦合,家庭控制網絡密鑰42b和家庭控制網絡設備61可接收其設備對的識別 代碼,并將它自己的識別代碼發(fā)送到其設備對。其后,這兩個設備可只與彼此建立數(shù)據(jù)傳輸 連接。
[0078] 有利地如下實現(xiàn)家庭控制網絡密鑰計算機程序到用戶的用戶終端41c的傳輸。
[0079] 當家庭控制網絡密鑰42b通過其到數(shù)據(jù)處理設備41c的連接暫時被附接時,于是 包含在具有其單獨識別代碼的家庭控制網絡密鑰42b中的計算機程序被安裝在用戶的數(shù) 據(jù)處理設備41c中(附圖標記42e)。結合該安裝,數(shù)據(jù)處理設備41c的用戶被詢問他是否想 利用設備和/或程序的保護功能。如果期望激活保護功能,則在這種情況下,家庭控制網絡 密鑰安裝程序請求用戶只向用戶的數(shù)據(jù)處理設備41c或向所安裝的程序或如果需要的話 向這兩者給予他的口令。
[0080] 如果期望,家庭控制網絡密鑰與其程序、單獨識別代碼和口令一起也可例如存儲 在被很好地保護的內部網絡服務器上,當必要時,它可從內部網絡服務器移動回到新的家 庭控制網絡密鑰(例如,如果原始密鑰設備被破壞或丟失)。
[0081] 在本發(fā)明的有利實施例中,包含在家庭控制網絡密鑰42b中的程序與其識別代碼 一起也可存儲在若干數(shù)據(jù)處理設備41c上,這些數(shù)據(jù)處理設備41c可因此與第一數(shù)據(jù)處理 設備并行地起作用。
[0082] 在本發(fā)明的有利實施例中,包含在家庭控制網絡密鑰42b中的計算機程序例如也 可位于因特網上的服務器上,它可從該服務器被檢索。在這個有利的實施例中,物理的家庭 控制網絡密鑰42b本身可只包括識別設備對所需的識別代碼。
[0083] 圖2作為示例性流程圖示出在家庭控制網絡密鑰42或42b和家庭控制網絡設備 61 -起配對之后根據(jù)本發(fā)明的遠程控制方法的操作。
[0084] 當家庭控制網絡設備61或家庭控制網絡密鑰42、42b連接到其自己的本地數(shù)據(jù)傳 輸網絡時,它/它們不時地將輪詢(所謂的進行輪詢)發(fā)送到屬于遠程控制系統(tǒng)的家庭控制 網絡服務器21,以便找出它自己的對應設備對是否連接到網絡。如果從家庭控制網絡服務 器21發(fā)送的回復中對應設備對連接到其自己的數(shù)據(jù)傳輸網絡變得明顯,則設備對的兩個 成員都通過稍后描述的過程開始虛擬專用網絡(VPN數(shù)據(jù)傳輸連接)的建立過程。
[0085] 在步驟200中,家庭控制網絡設備61連接到房屋內聯(lián)網網絡5,且家庭控制網絡密 鑰42或支持或模擬家庭控制網絡密鑰4ab的數(shù)據(jù)處理設備41c也有利地連接到內聯(lián)網網 絡3。在資產中的要受遠程控制的所有設備使用永久連接或無線連接來連接到家庭控制網 絡設備61。
[0086] 在步驟201中,家庭控制網絡設備61和家庭控制網絡密鑰42、42b或模擬家庭控 制網絡密鑰41c的數(shù)據(jù)處理設備41c二者確定它們到家庭控制網絡服務器21的網絡路徑, 如果它們的當前網絡路徑信息不是最新的。在圖3a中更詳細示出在步驟201中使用的過 程。
[0087] 在步驟302中,家庭控制網絡設備和/或家庭控制網絡密鑰42、4a或模擬家庭控 制網絡密鑰的數(shù)據(jù)處理設備41c二者都在家庭控制網絡服務器21上存儲它們的所確定的 網絡路徑,如果最新的網絡路徑信息能夠被確定。
[0088] 在步驟203中,要在遠程控制中被利用的根據(jù)本發(fā)明的設備42、42a或41c和61 接收下列信息:他們的設備對已向家庭控制網絡服務器21注冊或注冊遺漏。如果屬于設備 對之一的根據(jù)本發(fā)明的設備42、42b或41c和61的最新網絡路徑信息遺漏,則遠程控制系 統(tǒng)1A或1B在指定延遲212之后移動到家庭控制網絡服務器連接的偵聽和檢查步驟213。
[0089] 在連接建立開始時,家庭控制網絡密鑰42/42b和家庭控制網絡設備61二者在步 驟204中從家庭控制網絡服務器21請求對應方的最新網絡路徑信息。家庭控制網絡服務 器21檢查出它是預先確定的被允許的設備對的問題,且在檢查之后它在步驟205中將網絡 路徑信息發(fā)送到這兩個設備。其后,家庭控制網絡服務器21釋放到這兩個設備42/42b和 61的連接,且因此它不再是正形成的VPN隧道55的一部分。
[0090] 在步驟206中,家庭控制網絡密鑰42/42b/42c和家庭控制網絡設備61在它們之 間形成VPN隧道55。在圖3b中更詳細描述了包括在步驟206中的部分步驟。
[0091] 在步驟207中,在資產中的用戶的客戶端設備41a或41c和目標設備62-65二者 都連接到所建立的VPN網絡。
[0092] 在圖la的實施例中,用戶的客戶端設備41a通過家庭控制網絡密鑰42連接到VPN 網絡。在圖lb的實施例中,連接到用戶的數(shù)據(jù)處理設備41c的家庭控制網絡密鑰42b是 VPN網絡的端點之一。在目標中的要受遠程控制的設備62-65通過家庭控制網絡設備61連 接到VPN網絡。
[0093] 在步驟208中,用戶的客戶端設備41a或41c和在資產中的要控制的設備62-65 是同一 VPN網絡的部分,由此,它們可在彼此之間交換信息。在遠程控制系統(tǒng)中規(guī)定的延遲 之后,步驟209包括檢查在客戶端設備41a或41c和目標設備62-65之間的數(shù)據(jù)傳輸連接 是否仍然是活動的。如果數(shù)據(jù)傳輸連接是活動的,則過程返回到步驟208,且數(shù)據(jù)傳輸被允 許繼續(xù)。
[0094] 如果在步驟209中發(fā)現(xiàn)VPN連接不再是活動的,則在步驟210中做出關于在建立 連接時的可能的新嘗試的決定。
[0095] 如果在步驟210中決定在建立連接時進行新嘗試,則過程分支到步驟214。在步 驟214中,檢查成員是否知道對應方的最新網絡路徑。如果網絡路徑信息是最新的,則過程 分支到步驟205,其中家庭控制網絡服務器將對應方的最新網絡路徑信息發(fā)送到用于建立 VPN隧道的根據(jù)本發(fā)明的設備。
[0096] 如果在步驟214中發(fā)現(xiàn)網絡路徑細節(jié)之一遺漏或不是最新的,則過程返回到步驟 201,其中根據(jù)本發(fā)明的設備中的一個或兩個的網絡路徑信息的確定被更新。
[0097] 在這個替代中,過程有利地還包括用于釋放VPN連接的必要過程,使得根據(jù)本發(fā) 明的連接過程本身可被成功地更新。根據(jù)預定的數(shù)量來嘗試連接建立。
[0098] 如果在步驟210中決定建立VPN連接的新嘗試將不再被做出,因為進行了預定數(shù) 量的連接建立嘗試或由于某個其它原因不期望建立VPN連接,則過程移動到步驟211。在步 驟211中,釋放所使用的VPN數(shù)據(jù)傳輸網絡。這是例如當家庭控制網絡密鑰被關閉時的情 況。
[0099] 在VPN數(shù)據(jù)傳輸網絡被釋放之后,預定的延遲212在遠程控制系統(tǒng)1A或1B中利 用的過程中跟著發(fā)生。在延遲212之后,過程移動到家庭控制網絡服務器的偵聽功能213。 在那里至少當前攜帶的家庭控制網絡設備61不時地將連接請求發(fā)送到家庭控制網絡服務 器21。
[0100] 家庭控制網絡設備61有利地發(fā)送連接請求,直到家庭控制網絡服務器21將最新 網絡路徑信息發(fā)送給它為止。當網絡路徑信息被接收到時,VPN連接的建立過程在步驟201 中開始。
[0101] 分支到步驟212也可從步驟203發(fā)生。這在一個或兩個設備的網絡路徑信息不能 夠被確定并存儲在家庭控制網絡服務器上時發(fā)生。此外,過程的這個分支在步驟231和214 之后返回到步驟201,其中參與遠程控制的至少一個設備嘗試確定其網絡路徑信息并將它 存儲在家庭控制網絡服務器21上。
[0102] 在圖3a中更詳細描述了在步驟201中使用的搜索過程。
[0103] 在步驟2011中利用DHCP協(xié)議(動態(tài)主機配置協(xié)議),可檢索數(shù)據(jù)處理設備的網絡 接口的IP設置。使用DHCP過程可得到的設置至少包括數(shù)據(jù)處理設備的IP地址、網絡掩碼、 默認網關和DNS服務器(域名系統(tǒng)),其將域名轉換成IP地址。
[0104] 在步驟2012中利用的跟蹤路由過程是使用TCP/IP協(xié)議的工具,其查明分組通過 哪個路由或網絡路徑移動到所確定的機器。在跟蹤路由過程中,連接到網絡的數(shù)據(jù)傳輸設 備通過添加分組的生存時間值(TTL)來查明網絡路徑,其從零開始一次發(fā)送一個生存時間 值(TTL)。
[0105] 查明網絡路徑一般以下面的方式出現(xiàn)。數(shù)據(jù)處理設備使用TTL值"0"將具有在外 部網絡中的某個目標地址的IP分組發(fā)送到默認網關。默認網關用TTL過期的消息對此做 出響應。例如默認網關的IP地址、延遲等從該消息中變得清楚。
[0106] 其后,數(shù)據(jù)處理設備使用TTL值"1"將具有在外部網絡中的某個目標地址的IP分 組發(fā)送到默認網關。在默認網關之后的路由器再次用消息"TTL過期"做出響應,從該消息 中,該后續(xù)(第二)路由器的IP地址變得清楚。該傳輸/響應過程通過增加 TTL值來繼續(xù), 直到到達期望目標。在因特網的情況中,一般在TTL值為6-15的情況下到達最終目標。最 終結果是,數(shù)據(jù)處理設備知道到外部世界(例如因特網)的網絡路徑。
[0107] ICMP協(xié)議(因特網控制消息協(xié)議)可在查明外部地址時被利用。在ICMP過程中使 用ICMP分組的記錄路由標記,該標記請求在網絡路徑上的設備的操作系統(tǒng)在ICMP分組的 標題中記錄發(fā)送路由器的IP地址。
[0108] 圖3b示出實現(xiàn)VPN隧道的建立并在圖2中的步驟206中利用的連接建立過程 2060-2064中的一些。在圖3b中,可選的連接建立過程被示為同時利用的并行過程。然而 本發(fā)明不限于這個實施例,而是連接建立過程也可根據(jù)應用以適當?shù)姆绞奖粚崿F(xiàn)為連續(xù)的 連接建立過程。在這個實施例中,即使在VPN隧道的一個連接建立之后,也不一定嘗試利用 其它連接建立方法。
[0109] 圖3b的例子示出VPN隧道的五個可能的建立方法。使用附圖標記2060示出通過 使用TCP協(xié)議來建立VPN隧道。如果在家庭控制網絡設備和家庭控制網絡密鑰之間的通信 網絡的元件允許連接建立,則它在步驟2060a中被查明。如果不能建立連接,則有利地再次 嘗試連接建立。
[0110] 使用附圖標記2061示出通過使用UDP協(xié)議來建立VPN隧道。如果在家庭控制網 絡設備和家庭控制網絡密鑰之間的通信網絡的元件允許連接建立,則它在步驟2061a中被 查明。如果不能建立連接,則有利地再次嘗試連接建立。
[0111] 使用附圖標記2062示出通過使用稍后描述的UDP端口掃描來建立VPN隧道。如 果在家庭控制網絡設備和家庭控制網絡密鑰之間的通信網絡的元件允許連接建立,則它在 步驟2062a中被查明。如果不能建立連接,則有利地再次嘗試連接建立。
[0112] 使用附圖標記2063示出通過使用稍后描述的ICMP過程來建立VPN隧道。如果在 家庭控制網絡設備和家庭控制網絡密鑰之間的通信網絡的元件允許連接建立,則它在步驟 2063a中被查明。如果不能建立連接,則有利地再次嘗試連接建立。
[0113] 使用附圖標記2064示出通過使用稍后描述的TCP中繼過程來建立VPN隧道。有 利地,當在家庭控制網絡設備和家庭控制網絡密鑰之間的通信網絡元件不允許直接端對端 VPN隧道的建立時利用這個過程。此外在這個過程中,在步驟2060a中查明安全的數(shù)據(jù)傳輸 連接是否在家庭控制網絡設備和家庭控制網絡密鑰之間已被成功地建立。如果不能建立連 接,則有利地再次嘗試連接建立。
[0114] 每個連接建立過程2060-2064可提供在家庭控制網絡設備61和家庭控制網絡密 鑰42或42b之間的VPN數(shù)據(jù)傳輸連接。在步驟2069中,選擇一個或多個VPN隧道,其用作 數(shù)據(jù)傳輸連接。
[0115] 使用程序命令來實現(xiàn)圖2、3a和3b所示的所有過程步驟,程序命令在適當?shù)耐ㄓ?或專用處理器中被執(zhí)行。程序命令存儲在由家庭控制網絡設備61和家庭控制網絡密鑰42 利用的存儲介質(例如存儲器)上,處理器可從該存儲介質檢索并實現(xiàn)它們。對計算機可讀 介質的提及可例如還包含特殊部件,例如可編程USB閃速存儲器、邏輯陣列(FPLA)、專用集 成電路(ASIC)和信號處理器(DSP)。
[0116] 通過使用UDP協(xié)議來建立VPN隧道的例子,在圖la的布置中的附圖標記2061 : 家庭控制網絡密鑰42開始配對過程。它通知家庭控制網絡服務器21它想有利地通過 使用m)P協(xié)議建立到家庭控制網絡設備61的數(shù)據(jù)傳輸連接。家庭控制網絡服務器21決定 所請求的數(shù)據(jù)傳輸連接應使用下面的端口號來建立: -家庭控制網絡密鑰:UDP源端口 10500、UDP目標端口 10501、目標IP地址240. 1. 1. 2 -家庭控制網絡設備:UDP源端口 1050UUDP目標端口 10500、目標IP地址240. 2. 1.2 家庭控制網絡服務器21將這個信息報告給家庭控制網絡密鑰42和家庭控制網絡設備 61。
[0117] 其后,家庭控制網絡密鑰42將UDP分組發(fā)送到在源端口 10500到目標端口 10501 上的地址240. 1. 1.2。所發(fā)送的分組通過包含NAT功能的防火墻FW2,因為外發(fā)業(yè)務沒有被 強烈地限制。FW2防火墻31記住UDP分組作為在接下來的X秒內與聯(lián)系信息10. 0. 0. 2、 240. 1. 1. 2、10500 和 10501 的連接。
[0118] UDP分組到達在家庭控制網絡設備61前面的FW1防火墻,該防火墻不允許進入的 業(yè)務且它丟掉分組。分組不到達地址10. 0. 0. 2。
[0119] 家庭控制網絡設備61將UDP分組發(fā)送到在源端口 10501到目標端口 10500上的 地址240. 2. 1. 2。所發(fā)送的UDP分組通過FW1 NAT防火墻51,因為外發(fā)業(yè)務未被限制。FW1 防火墻51記住UDP分組作為在接下來的X秒內與聯(lián)系信息10. 0. 0. 2、240. 2. 1. 2、10501和 10501的連接。
[0120] UDP分組到達FW2防火墻31。FW2防火墻31記住IP地址10. 0. 1. 2已建立到在源 端口 10500和目標端口 10501上的地址240. 1. 1.2的UDP連接。因為UDP分組來自在源端 口 10501和到目標端口 10500上的所述源地址240. 2. 1. 2, FW2防火墻31將分組解釋為與設 備10. 0. 1. 2所建立的連接有關的返回通信。防火墻FW2其后執(zhí)行地址改變操作。它將UDP 分組的目標地址改變?yōu)?0. 〇. 1. 2。其后,F(xiàn)W2防火墻31將UDP分組路由到地址10. 0. 1. 2。 現(xiàn)在,家庭控制網絡密鑰42從家庭控制網絡設備61接收消息。從家庭控制網絡設備61到 家庭控制網絡密鑰42的單向數(shù)據(jù)傳輸連接現(xiàn)在存在。
[0121] 現(xiàn)在,家庭控制網絡密鑰42將UDP分組發(fā)送到在源端口 10500到目標端口 10501 上的地址240. 1. 1. 2。UDP分組到達FW1防火墻51。FW1防火墻51記住IP地址10. 0. 1. 2 已建立到在源端口 10501和目標端口 10500上的地址240. 2. 1. 2的UDP連接。因為UDP分 組來自在源端口 10501上和到目標端口 10500的所述源地址240. 2. 1. 2, FW2防火墻51將 所接收的分組解釋為與設備10. 〇. 〇. 2所建立的連接有關的返回通信。FW1防火墻51執(zhí)行 地址改變,即,將分組的目標地址改變?yōu)?0. 0. 0. 2。其后,F(xiàn)W1防火墻51將分組路由到地址 10. 0· 0· 2。
[0122] 現(xiàn)在,在家庭控制網絡密鑰42和家庭控制網絡設備61之間的雙向UDP連接存 在。這些設備可彼此雙向地通信。家庭控制網絡設備61和家庭控制網絡密鑰42使用例如 OpenVPN軟件在它們之間有利地形成數(shù)據(jù)鏈路層級VPN隧道。
[0123] 家庭控制網絡設備61有利地使所創(chuàng)建的VPN隧道55與它所管理的房屋控制遠程 網絡172. 17. 0. 0/24 (附圖標記6)橋接。以相同的方式,家庭控制網絡密鑰42使所創(chuàng)建的 VPN隧道55與其LAN端口橋接,所以它能夠在數(shù)據(jù)鏈路層級上提供在網絡172. 17. 0. 0/24 中的內聯(lián)網接口。在這些操作之后,房屋控制遠程網絡4和房屋控制內聯(lián)網6通過因特網 2形成專用VPN網絡。
[0124] 通過使用UDP端口掃描來建立VPN隧道的例子,在圖la的布置中的附圖標記 2062 : 如果數(shù)據(jù)傳輸網絡中的一個元件偶爾改變源或目標端口,則UDP端口掃描可被利用。 下面描述的方法的步驟根據(jù)下列事實而彼此不同:偶爾改變源或目標端口的元件是否在發(fā) 送或接收構件前面。
[0125] 1.在源端口上掃描: 在家庭控制網絡設備61前面的防火墻51只改變發(fā)送分組的源地址,源端口沒有改變。
[0126] 家庭控制網絡設備61開始發(fā)送具有下列信息的UDP分組:源端口 5000、源IP 10. 0. 0. 2、目標IP 5. 5. 5. 5、例如在1024->1054之間的目標端口(30個不同的源端口)。每 個UDP分組的數(shù)據(jù)(有效載荷)包括所選擇的目標端口,例如1024。借助于此,它在接收端 中是已知的,所發(fā)送的分組穿過防火墻31去往該端口。
[0127] UDP分組的發(fā)送頻率有利地是200毫秒。首先例如,在源端口 1024上發(fā)送UDP分 組,在200 ms內在源端口 1025上發(fā)送另一 UDP分組,等等。在最后一個源端口 1054上發(fā)送 了 UDP分組之后(在大約6秒之后),家庭控制網絡設備61再次以相同的順序從源端口 1024 開始發(fā)送UDP分組。
[0128] 其后,家庭控制網絡密鑰42也開始發(fā)送具有下列信息的UDP分組:源IP 10. 0· 1. 2、目標 IP 6. 6. 6. 6、目標端口 5000、例如在 1024->65535 之間的源端口(64511 個 不同的源端口)。UDP分組的發(fā)送頻率有利地是50毫秒。也就是說,首先例如,在源端口 1024 上發(fā)送UDP分組,在50 ms內在源端口 1025上發(fā)送另一 UDP分組,等等。每個UDP分組的 有效載荷包括所使用的源端口,例如1024。這個信息在它穿過NAT防火墻51時可用于識別 所使用的源端口中的哪個改變到哪個源端口。
[0129] 目的是在這個步驟期間,由家庭控制網絡密鑰42發(fā)送的UDP分組通過防火墻51, 或由家庭控制網絡設備61發(fā)送的UDP分組通過家庭控制網絡密鑰42的防火墻31。當設備 中的一個或另一個看到UDP分組安然通過時,對于與UDP分組被標記為來自于的位置相同 的源端口做出對該Μ)Ρ分組的響應。其后,可開始VPN連接的建立。
[0130] 分組的發(fā)送繼續(xù),直到使連接工作或取消連接建立為止。
[0131] 2.在目標端口上掃描: 在家庭控制網絡密鑰42前面的NAT防火墻31改變所發(fā)送的數(shù)據(jù)分組的源地址和源端 口。一般,源端口偶爾改變,例如源端口 1024可例如改變成源端口 16431。
[0132] 家庭控制網絡密鑰42開始發(fā)送具有下列信息的UDP分組:源端口 5000、源IP 10. 0. 1.2、目標端口 6. 6. 6. 6、例如在1024->1054之間的源端口(30個不同的源端口)。每 個UDP分組的數(shù)據(jù)(有效載荷)包括源端口,例如1024。借助于此,它在接收端中是已知的, 從源端口發(fā)送的UDP分組穿過防火墻31。
[0133] UDP分組的發(fā)送頻率有利地是200毫秒。首先例如,在源端口 1024上發(fā)送UDP分 組,在200 ms內在源端口 1025上發(fā)送UDP分組,等等。在最后一個源端口 1054上發(fā)送UDP 分組之后(在大約6秒之后),家庭控制網絡密鑰42再次以相同的順序從源端口 1024開始 發(fā)送UDP分組。
[0134] 其后,家庭控制網絡設備61開始發(fā)送具有下列信息的UDP分組:源IP 10. 0. 0. 2、 目標IP 5. 5. 5. 5、源端口 5000、例如在1024->65535之間的目標端口(64511個不同的目標 端口)。分組的發(fā)送頻率有利地是50毫秒。首先,UDP分組在目標端口 1024上被發(fā)送,在 50 ms內在目標端口 1025上被發(fā)送,等等。每個UDP分組的有效載荷包括由分組使用的目 標端口,例如1024。這個信息在它穿過NAT防火墻31時可用于識別所使用的目標端口中的 哪個改變成哪個目標端口。
[0135] 目的是在這個步驟期間,由家庭控制網絡密鑰42發(fā)送的UDP分組通過在家庭控制 網絡設備61前面的防火墻51,或由家庭控制網絡設備61發(fā)送的UDP分組通過在家庭控制 網絡密鑰42前面的防火墻31。當設備之一看到UDP分組通過時,對于與分組看起來來自于 的相同的源端口做出對該分組的響應。
[0136] 分組的發(fā)送繼續(xù),直到使連接工作或取消連接建立為止。
[0137] 在兩種上面提到的情況中,VPN連接的建立可如下開始: 與VPN連接一起使用的三個一組的端口: _由家庭控制網絡設備61使用的源端口(hostl_real_source_port)。
[0138] -由家庭控制網絡設備的NAT防火墻51轉換的源端口,其與由家庭控制網絡密鑰 42 使用的目標端口(hostl_translated_source_port)相同。
[0139] -由家庭控制網絡密鑰42使用的目標端口(host2_real_source_port)。
[0140] 家庭控制網絡設備61打開VPN連接: -目標 IP 6. 6. 6. 6 _ 源端口 hostl_real_source_port _ 源端口 host2_real_source_port 家庭控制網絡密鑰42打開VPN連接: -目標 IP 5. 5. 5. 5 _ 源端口 host2_real_source_port -目標端口 hostl_translated_source_port NAT防火墻31和51二者都認為連接從其自己的內聯(lián)網建立,由此,UDP連接穿過NAT 防火墻31和51被路由。
[0141] 通過使用ICMP協(xié)議建立VPM隧道的例子,在圖la的布置中的附圖標記2063 : 如果在數(shù)據(jù)傳輸網絡中的網絡元件允許ICMP ECHO和ICMP ECHO REPLY型分組的通信, 則可利用IP協(xié)議的控制協(xié)議。
[0142] ICMP 方法 1 :永久 ICMP ECHO ID : 當數(shù)據(jù)傳輸網絡中的防火墻不對TTL過期消息做出反應時,這個實施例是可能的。
[0143] 家庭控制網絡密鑰42經由路由器10. 0. 1. 1發(fā)送具有下列信息的IP分組:目標IP 6. 6. 6. 6、源 IP 10. 0.1. 2、TTL 1、類型 ICMP、ICMP 型 ECHO REQUEST、ID 1234、序列 1,且分 組的有效載荷是空的。
[0144] 所發(fā)送的分組穿過NAT防火墻31,由此,分組的源IP改變->5. 5. 5. 5,分組的TTL 改變1->0。NAT防火墻31記住,使用ID號1234,源IP 10. 0. 1. 2改變成1回波請求。
[0145] 在因特網2中的路由器(沒有在圖la中示出)接收IP分組,該路由器的示例性IP 地址為3. 1. 1. 1,該IP分組的TTL為0。這個路由器用"ICMP TTL生存時間過期"消息回復 防火墻31。
[0146] 防火墻31接收"ICMP TTL生存時間過期"消息,但然而不對它做出反應。
[0147] 家庭控制網絡設備61通過路由器10. 0. 1. 1發(fā)送具有下列信息的IP分組:目標IP 5. 5. 5. 5、源 IP 10. 0· 0.2、TTL 255、類型 ICMP、ICMP 型 ECHO REPLY、ID 1234、序列 1,且分 組的有效載荷有利地包括VPN通信的30-1400個字節(jié)。
[0148] 所發(fā)送的ICMP ECHO分組穿過防火墻51,由此,分組的源IP改變->6. 6. 6. 6。ICMP 分組到達防火墻31。防火墻31記住具有ICMP ECHO ID號1234的請求較早被發(fā)送。防火 墻31記住請求的發(fā)送方是設備10. 0. 1. 2。防火墻51將分組進一步路由到地址10. 0. 1. 2。 分組的目標IP改變5. 5. 5. 5->10. 0. 1. 2。
[0149] 家庭控制網絡密鑰42接收ICMP ECHO分組,且因此家庭控制網絡設備61將自由 形式數(shù)據(jù)的分組成功地發(fā)送到家庭控制網絡密鑰42。
[0150] 分別地,家庭控制網絡密鑰42繼續(xù)發(fā)送ICMP ECHO REQUEST分組,且家庭控制網 絡設備61繼續(xù)發(fā)送ICMP ECHO REPLY消息。家庭控制網絡密鑰42和家庭控制網絡設備61 在它們本身之間形成單向數(shù)據(jù)傳輸連接。
[0151] 接著,家庭控制網絡密鑰42和家庭控制網絡設備61還形成另一反向ICMP連接。 該連接如上所述被建立。只有連接建立的方向改變。在連接建立過程結束時,家庭控制網絡 設備61接收由家庭控制網絡密鑰42發(fā)送的ICMP分組,該分組的有效載荷有利地包括VPN 通信的30-1400個字節(jié)。
[0152] 家庭控制網絡密鑰42和家庭控制網絡設備61繼續(xù)如上所述向彼此發(fā)送請求。因 此,雙向連接現(xiàn)在存在于家庭控制網絡密鑰42和家庭控制網絡設備61之間。ECHO REPLY 消息包括VPN連接的TLS加密通信,使得穿透NAT防火墻31和51的直接VPN連接在家庭 控制網絡密鑰42和家庭控制網絡設備61之間成功地形成。
[0153] ICMP 方法 2 :可變 ICMP ECHO ID : 數(shù)據(jù)傳輸連接可具有以新的ICMP ECHO REQUEST是必要的那種方式處理TTL消息(生 存時間過期)的網絡元件,例如防火墻,使得ICMP ECHO REPLY將通過。因而每個"TTL過期" 消息"耗盡(eat)" 一個ICMP ECHO REPLY分組的位置。當這種類型的網絡元件看到"TTL 過期"消息時,它不再將"ICMP ECHO REPLY"消息路由到目標。
[0154] 該方法與永久ICMP ECHO ID的情況的差異是,ICMP ECHO ID在每個ICMP ECHO REQUEST 和 ICMP ECHO REPLY 分組對中是不同的。ICMP ECHO REQUEST 和 ICMP ECHO REPLY 分組對的發(fā)送在時間的基礎上同步地發(fā)生,使得ICMP ECHO REQUEST和ICMP ECHO REPLY 基本上同時被發(fā)送。因而ICMP ECHO REQUEST離開發(fā)送構件的NAT防火墻,之后其它設備 的ICMP ECHO REPLY到達同一防火墻上。
[0155] 有利地,大值用作TTL值,使得在防火墻從另一端的防火墻接收到"TTL過期"或 "錯誤"、"ICMP ECHO REPLY"之前,ICMP ECHO REQUEST分組將盡可能長地停留在途中。
[0156] 在下文中是在圖la的情況下的這個IMPC ECHO方法的例子: 家庭控制網絡密鑰42經由路由器10. 0. 0. 1發(fā)送具有下列信息的IP分組:目標IP 6. 6. 6. 6、源 IP 10. 0.1. 2、TTL 255、類型 ICMP、ICMP 型 ECHO REQUEST、ID 1000、序列 1,且 分組的有效載荷是空的。
[0157] 同時,家庭控制網絡設備61發(fā)送具有下列信息的IP分組:目標IP 5. 5. 5. 5、源IP 10.0.(X2、TTL 255、類型 ICMP、ICMP 型 ECHO REPLY、ID 1000、序列 1。分組的有效載荷在它 起始部分中包括數(shù)字"2000",然后跟隨ICMP ECHO REQUEST的所請求的發(fā)送頻率(例如500 ms),且其后是有利地為30-1400字節(jié)的自由形成的VPM通信。
[0158] 由家庭控制網絡密鑰42發(fā)送的ICMP ECHO REQUEST分組穿過NAT防火墻31。因而 分組的源IP改變->5. 5. 5. 5。NAT防火墻31記住,在ID號1000的情況下,源IP 10. 0. 0. 2 變成一個 ICMP ECHO REQUEST。
[0159] 同時,由家庭控制網絡設備61發(fā)送的ICMP ECHO REQUEST分組穿過NAT防火墻 51。因而分組的源IP改變->6. 6. 6. 6。NAT防火墻51記住,在ID號1000的情況下,源IP 10. 0·0· 2 變成 ICMP ECHO REQUEST。
[0160] 所發(fā)送的ICMP ECHO REQUEST分組在因特網2中"穿過"彼此,S卩,兩個分組在操 作員的網絡中同時都在途中。
[0161] ICMP ECHO REQUEST分組到達防火墻51,且防火墻51對其回復?;貜偷慕Y果不是 明顯的,因為在由防火墻51發(fā)送的ICMP ECHO REPLY分組之前已經發(fā)送由家庭控制網絡設 備61發(fā)送的ICMP ECHO REPLY。如果防火墻51不回復ICMP ECHO REQUES分組,這也不重 要。
[0162] 由家庭控制網絡設備61發(fā)送的ICMP ECHO REPLY分組到達防火墻31。防火墻31 記住,具有ID號1000的ICMP ECHO分組被較早發(fā)送。防火墻31記住,請求的發(fā)送方是設 備10. 0. 1. 2。防火墻31通過改變分組的目標IP 5. 5. 5. 5->10. 0. 1. 2將分組進一步路由 到地址10. 0· 1. 2。
[0163] 家庭控制網絡密鑰42接收ICMP分組,且因此家庭控制網絡設備61將自由形式數(shù) 據(jù)的ICMP分組成功地發(fā)送到家庭控制網絡密鑰42。
[0164] 接著,家庭控制網絡密鑰42和家庭控制網絡設備61還形成另一反向ICMP連接。 該連接如上所述被建立。只有連接建立的方向改變。在連接建立過程結束時,家庭控制網 絡密鑰42接收分組,該分組的有效載荷包括有利地為30-1400字節(jié)的VPN通信。
[0165] 家庭控制網絡設備61和家庭控制網絡密鑰42繼續(xù)發(fā)送ICMP ECHO REQUEST和 ICMP ECHO REPLY分組對,使得每個ICMP分組對具有不同的ECHO ID。因此,由防火墻31 和51發(fā)送的ICMP ECHO REPLY或TTL生存時間超過消息不阻礙通信。
[0166] 家庭控制網絡設備61和家庭控制網絡密鑰42在它們自己當中首先借助于單獨 的家庭控制網絡服務器21且當在ICMP ECHO REPLY分組的有效載荷的開始部分中建立 直接到彼此的數(shù)據(jù)傳輸連接時約定ECHO ID號和發(fā)送頻率。在ICMP REPLY分組的開始 部分中,在每個分組中,通知由相應的設備發(fā)送的前面的ECHO REQUEST ID和由設備對 ECHO REQUEST分組請求的發(fā)送頻率。因此,兩個設備都知道那個ECHO ID需要在下一 ECHO REQUEST分組中被發(fā)送,以及下一 ECHO REQUEST何時需要被發(fā)送。如果例如在ECHO REPLY 分組中,所請求的發(fā)送頻率是500 ms,則總是當以毫秒為單位的從連接建立的時刻起的時 間可除盡500時,設備才發(fā)送它的ECHO REQUEST分組。
[0167] 通過使用TCP協(xié)議來建立VPN隧道的例子,在圖la的布置中的附圖標記2064 : 輔助TCP中繼連接在相應于任何其它連接(例如在兩個設備之間的正常直接UDP連接) 的數(shù)據(jù)安全的意義上起作用。與所使用的TCP中繼服務器的VPN連接沒有打開,但加密發(fā) 生在建立連接的終端設備中。強行進入TCP中繼服務器不能破壞所建立的VPN連接,且根 據(jù)本發(fā)明的家庭控制網絡密鑰不能被欺騙而連接到錯誤的設備。
[0168] TCP中繼連接建立的例子: 家庭控制網絡密鑰42的公用IP地址是5. 5. 5. 5,家庭控制網絡設備61的公用IP地址 是6. 6. 6. 6,以及TCP中繼服務器(家庭控制網絡服務器21)的公用IP地址是7. 7. 7. 7。
[0169] 家庭控制網絡密鑰42做出到地址7. 7. 7. 7和到其端口 443的TCP連接。TCP中繼 服務器看到所請求的連接并接受它。TCP握手發(fā)生且TCP信道打開。家庭控制網絡密鑰42 沿著TCP信道將連接的唯一信息(例如連接ID)發(fā)送到TCP中繼服務器。
[0170] TCP中繼服務器接收信息,且借助于此可稍后將所接收的連接鏈接到正確的家庭 控制網絡設備61。
[0171] 家庭控制網絡設備61做出到地址7. 7. 7. 7、到端口 443的TCP連接。TCP中繼服 務器看到所請求的連接并接受它。TCP握手發(fā)生且TCP信道打開。家庭控制網絡設備61沿 著TCP信道將連接的唯一信息(例如連接ID)發(fā)送到TCP中繼服務器。
[0172] TCP中繼服務器接收信息,且借助于此,TCP中繼服務器稍后知道家庭控制網絡設 備61要連接到哪個家庭控制網絡密鑰42。
[0173] TCP中繼服務器開始在家庭控制網絡密鑰42和家庭控制網絡設備61之間在TCP 連接之間發(fā)送消息。TCP中繼服務器從來自家庭控制網絡密鑰42的TCP連接讀取數(shù)據(jù),并 同樣地將數(shù)據(jù)發(fā)送到家庭控制網絡設備61的TCP連接。相應地,TCP中繼服務器從家庭控 制網絡設備61的連接讀取數(shù)據(jù),并同樣地將讀取的數(shù)據(jù)發(fā)送到家庭控制網絡密鑰42的TCP 連接。數(shù)據(jù)傳輸雙向地繼續(xù),直到另一 TCP連接被中斷為止。當另一 TCP連接被中斷時,另 一 TCP連接也由TCP中繼服務器中斷。
[0174] 圖4示出根據(jù)本發(fā)明的家庭控制網絡設備61的功能主要部件。家庭控制網絡設 備61具有電源621。它可以是蓄電池或基于饋路電流(mains current)的電源。家庭控制 網絡設備的所有電氣部件從電源621得到它們的操作電壓。
[0175] 家庭控制網絡設備61具有一個或多個處理器622。處理器或處理器裝置可包括 算術邏輯單元、一組不同的寄存器和控制電路。計算機可讀信息或程序或用戶信息可被存 儲于其上的數(shù)據(jù)存儲布置623 (例如存儲器單元或存儲器裝置)連接到處理器裝置。存儲 器裝置623 -般包含允許讀取和寫入功能二者的存儲器單元(隨機存取存儲器,RAM)和包 含僅可從中讀取數(shù)據(jù)的非易失性存儲器的存儲器單元(只讀存儲器,ROM)。設備寄存器、在 VPN連接的建立中被利用的證書、當前網絡路徑信息和家庭控制網絡設備61的操作所需的 所有程序有利地存儲在所述存儲器裝置中。
[0176] 存儲在家庭控制網絡設備61的存儲器中的程序的一些例子是操作系統(tǒng)(例如 Linux)、TCP/IP程序、VPN程序(例如OpenVPN)、DHCP客戶端設備/服務器程序(例如ISC DHCP)、DNS服務器程序(例如dnsmasq)、數(shù)據(jù)庫程序(例如SQLite)、遠程控制程序(例如 OpenSSH)、證書管理/確認程序(例如GPG)和用戶接口庫(例如LuCI)。
[0177] 家庭控制網絡設備61還包括接口元件,其包括用于接收或發(fā)送信息的輸入/輸出 或輸入/輸出裝置624、625、626、627和628。使用輸入裝置接收的信息被傳輸以由家庭控 制網絡設備61的處理器裝置622處理。家庭控制網絡設備的接口元件將信息傳輸?shù)綌?shù)據(jù) 傳輸網絡或外部數(shù)據(jù)處理設備。家庭控制網絡設備61的接口元件有利地是WAN端口 624、 一個或多個LAN端口 625、天線端口 626、USB端口 627和控制端口 628。家庭控制網絡設備 61和家庭控制網絡密鑰42或41c的配對可有利地例如經由USB端口 627來完成。
[0178] 對本領域中的技術人員很明顯,家庭控制網絡設備61的功能可被集成為計算機 化或房屋工程設備的一部分,計算機化或房屋工程設備具有足夠的處理器和存儲器容量以 及用于使用有線數(shù)據(jù)傳輸連接或無線數(shù)據(jù)傳輸連接來將各種技術裝置連接到計算機化或 房屋工程設備的連接裝置。這個計算機化設備(其中集成家庭控制網絡設備的功能)連接到 某個數(shù)據(jù)傳輸網絡5,存在從該數(shù)據(jù)傳輸網絡5對公共因特網的訪問。
[0179] 圖5a示出根據(jù)本發(fā)明的家庭控制網絡密鑰42的功能主要部件。家庭控制網絡設 備42具有電源421。它可以是蓄電池或基于饋路電流的電源。家庭控制網絡設備的所有電 氣部件從電源421得到它們的操作電壓。
[0180] 家庭控制網絡密鑰42可包括一個或多個處理器422。處理器或處理器裝置可包括 算術邏輯單元、一組不同的寄存器和控制電路。計算機可讀信息或程序或用戶信息可被存 儲于其上的數(shù)據(jù)存儲布置423 (例如存儲器單元或存儲器裝置)連接到處理器裝置。存儲 器裝置423 -般包含允許讀取和寫入功能二者的存儲器單元(隨機存取存儲器,RAM)和包 含僅可從中讀取數(shù)據(jù)的非易失性存儲器的存儲器單元(只讀存儲器,ROM)。要在VPN連接的 建立中被利用的證書、當前網絡路徑信息和家庭控制網絡密鑰42的操作所需的所有程序 有利地存儲在所述存儲器裝置中。
[0181] 存儲在家庭控制網絡密鑰42的存儲器中的程序的一些例子是操作系統(tǒng)(例如 Linux)、TCP/IP程序、VPN程序(例如OpenVPN)、DHCP客戶端設備/服務器程序(例如ISC DHCP)、DNS服務器程序(例如dnsmasq)、數(shù)據(jù)庫程序(例如SQLite)、遠程控制程序(例如 OpenSSH)、證書管理/確認程序(例如GPG)和用戶接口庫(例如LuCI)。
[0182] 家庭控制網絡密鑰42還包括接口元件,其包括用于接收或發(fā)送信息的輸入/輸出 或輸入/輸出裝置424、425、426、427和428。使用輸入裝置接收的信息被傳輸以由家庭控 制網絡密鑰42的處理器裝置422處理。家庭控制網絡設備的接口元件將信息傳輸?shù)綌?shù)據(jù) 傳輸網絡或外部數(shù)據(jù)處理設備。家庭控制網絡設備42的接口元件有利地是WAN端口 424、 一個或多個LAN端口 425、天線端口 426、USB端口 427和控制端口 428。
[0183] 圖5b示出根據(jù)本發(fā)明的第二實施例的家庭控制網絡密鑰42b的功能主要部件。根 據(jù)這個實施例的家庭控制網絡密鑰42b可包括一個或幾個密碼處理器422b。處理器或處理 器裝置可包括算術邏輯單元、一組不同的寄存器和控制電路。密碼處理器422b有利地包括 內部存儲器單元,其中存儲單獨的專用密碼密鑰。
[0184] 計算機可讀信息或程序或用戶信息可被存儲于其上的數(shù)據(jù)存儲布置423b(例如閃 速存儲器單元或存儲器裝置)連接到處理器裝置。存儲器裝置423b -般包含允許讀取和寫 入功能二者的存儲器單元(隨機存取存儲器,RAM)和包含僅可從中讀取數(shù)據(jù)的非易失性存 儲器的存儲器單元(只讀存儲器,ROM)。家庭控制網絡密鑰42b的識別信息、其當前網絡路 徑、要在VPN連接的建立中被利用的證書、當前網絡路徑信息、起其設備對的作用的家庭控 制網絡設備61的識別信息和家庭控制網絡密鑰42b的操作所需的所有程序有利地存儲在 所述存儲器裝置中。
[0185] 存儲在家庭控制網絡密鑰42b的存儲器中的程序的一些例子是操作系統(tǒng)(例如 Linux)、TCP/IP程序、VPN程序(例如OpenVPN)、DHCP客戶端設備/服務器程序(例如ISC DHCP )、數(shù)據(jù)庫程序(例如SQLite )、證書管理/確認程序(例如GPG)和用戶接口庫(例如 LuCI)。
[0186] 家庭控制網絡密鑰42還包括接口元件,其包括用于接收或發(fā)送信息的輸入/輸出 或輸入/輸出裝置426b。使用輸入裝置接收的信息被傳輸以由家庭控制網絡密鑰42b的處 理器裝置422b處理。家庭控制網絡設備的接口元件有利地用于將來自家庭控制網絡密鑰 的存儲器423b的信息傳輸?shù)酵獠繑?shù)據(jù)處理設備41c或家庭控制網絡設備61。相應地,信息 或命令可經由接口元件例如從數(shù)據(jù)處理設備被接收,家庭控制網絡密鑰42b連接到該數(shù)據(jù) 處理設備。
[0187] 關于它們的訪問權限級別,存在至少兩個級別的上述家庭控制網絡密鑰42或 42b,例如管理員和基本用戶級別密鑰設備。較高訪問權限級別密鑰設備用戶/所有者(例 如管理員)具有對較低級別的家庭控制網絡密鑰用戶(例如基本用戶)的所有控制目標的控 制權限。另一方面,較低級別密鑰設備訪問權限級別的所有者不能訪問任何其他比他自己 的目標更高訪問權限級別的控制目標。
[0188] 圖6示出家庭控制網絡服務器21的功能主要部件。家庭控制網絡服務器21有利 地也起TCP中繼服務器的作用。家庭控制網絡服務器21包括電源611。它可以是蓄電池或 基于饋路電流的電源。家庭控制網絡服務器21的所有電氣部件從電源611得到它們的操 作電壓。
[0189] 家庭控制網絡服務器21具有一個或多個處理器212。處理器或處理器裝置可包 括算術邏輯單元、一組不同的寄存器和控制電路。計算機可讀信息或程序或用戶信息可被 存儲于其上的數(shù)據(jù)存儲布置613 (例如存儲器單元或存儲器裝置)連接到處理器裝置。存 儲器裝置613 -般包含允許讀和寫功能二者的存儲器單元(隨機存取存儲器,RAM)和包含 僅可從中讀取數(shù)據(jù)的非易失性存儲器的存儲器單元(只讀存儲器,ROM)。在遠程控制系統(tǒng) (Tosibox寄存器)中的設備對的識別信息、每個設備對的當前網絡路徑信息、建立要在設備 對和Tosibox數(shù)據(jù)庫之間建立的VPN數(shù)據(jù)傳輸連接所需的所有程序有利地存儲在所述存儲 器裝置中。
[0190] 存儲在家庭控制網絡服務器21的存儲器中的程序的一些例子是操作系統(tǒng)(例如 Linux)、TCP/IP程序、DHCP服務器/客戶端設備程序(例如ISC DHCP)、DNS服務器程序(例 如bind)、數(shù)據(jù)庫程序(例如SQLite)、證書管理/確認程序(例如GPG)和用戶接口庫(例如 LuCI)。
[0191] 家庭控制網絡服務器21還包括接口元件,其包括用于接收或發(fā)送信息的輸入/輸 出或輸入/輸出裝置614。使用輸入裝置接收的信息被傳輸以由家庭控制網絡服務器21的 處理器裝置612處理。家庭控制網絡服務器的接口元件將信息傳輸?shù)綌?shù)據(jù)傳輸網絡或外部 數(shù)據(jù)處理設備。家庭控制網絡服務器21的接口元件有利地是WAN端口 614。
[0192] 家庭控制網絡服務器21有利地還包括用戶接口(在圖6中未示出),其包括用于從 服務器21的用戶接收信息的裝置。用戶接口可包括鍵盤、觸摸屏、智能電話和揚聲器。
[0193] 圖7示出在家庭控制網絡設備61、家庭控制網絡密鑰42、42b和家庭控制網絡服務 器21之間的數(shù)據(jù)傳輸中利用的數(shù)據(jù)鏈路層(Tosibox層)。
[0194] 物理Tosibox層包括對建立在參與遠程控制的兩個設備之間的物理數(shù)據(jù)傳輸連 接的替代。數(shù)據(jù)傳輸連接可例如通過將它們的以太網端口處的設備耦合到具有到因特網的 連接的本地以太網網絡來建立。可替代地,數(shù)據(jù)傳輸連接可被建立到局部WLAN網絡中,存 在從本地WLAN網絡到因特網的連接。第三替代是形成2G或3G數(shù)據(jù)傳輸連接。在這個實 施例中,建立2G或3G連接的終端設備連接到家庭控制網絡設備和/或家庭控制網絡密鑰 的USB端口。
[0195] Tosibox數(shù)據(jù)鏈路層包括可在與VPN數(shù)據(jù)傳輸連接耦合的分組中利用的連接建 立過程。替代或并行的連接建立過程包括在構件之間的直接TCP數(shù)據(jù)傳輸連接、在構件之 間的直接UDP數(shù)據(jù)傳輸連接、通過使用端口掃描建立的數(shù)據(jù)傳輸連接、基于在構件之間的 ICMP ECHO消息的數(shù)據(jù)傳輸連接,或通過家庭控制網絡服務器(TCP中繼構件)建立的中繼 數(shù)據(jù)傳輸連接。
[0196] VPN加密層包括家庭控制網絡設備61已知的加密過程(家庭控制網絡密鑰的個 人、私人密碼密鑰和公用密碼密鑰)和家庭控制網絡密鑰42、42b已知的加密過程(家庭控制 網絡設備的個人、私人密碼密鑰和公鑰)。使用這些加密過程,家庭控制網絡設備61和家庭 控制網絡密鑰42、42b能夠通過使用PKI加密過程(公鑰基礎設施)來建立安全的VPN數(shù)據(jù) 傳輸連接。
[0197] 上面描述了在建立根據(jù)本發(fā)明的遠程控制系統(tǒng)的VPN數(shù)據(jù)傳輸連接時利用的一 些過程。此外,描述了在遠程控制系統(tǒng)中實現(xiàn)這些過程的部件的有利實施例。本發(fā)明不限 于上面描述的解決方案,并且創(chuàng)造性思想可以在權利要求的范圍內用很多方式來應用。
【權利要求】
1. 一種用于提供在資產中的遠程控制系統(tǒng)的致動器的第一網絡終端(42,42b)和第二 網絡終端(61)之間的虛擬專用網絡(55, VPN)的方法,其特征在于 -形成預定網絡終端對的所述第一網絡終端(42,42b)和所述第二網絡終端(61)二者 都不時地將輪詢發(fā)送到家庭控制網絡服務器(21),所述預定網絡終端對的成員被只允許與 彼此通信,其中所述家庭控制網絡服務器被詢問設備對的另一設備是否連接到數(shù)據(jù)傳輸網 絡,且如果是,則 -所述第一網絡終端(42,42b)和所述第二網絡終端(61)二者都連接(201)到所述家 庭控制網絡服務器(21)以便建立虛擬專用網絡并從所述家庭控制網絡服務器(21)請求 (204)路由信息,以便建立在所述網絡終端之間的端對端數(shù)據(jù)傳輸連接, -在所述家庭控制網絡服務器檢查出所述網絡終端(42,42b,61)是所述預定網絡終端 對之后,所述家庭控制網絡服務器(21)向所述第一網絡終端(42,42b)和所述第二網絡終 端(61)二者發(fā)送(205)所請求的路由信息(205),以及 -所述第一網絡終端(42,42b)和所述第二網絡終端(61)使用虛擬專用網絡的若干 已知的建立方法開始端對端數(shù)據(jù)傳輸連接的建立過程,以便提供至少一個虛擬專用網絡 (55)。
2. 如權利要求1所述的遠程控制方法,其特征在于,所述虛擬專用網絡作為在網絡終 端(2060,2060a)之間的直接TCP數(shù)據(jù)傳輸連接、作為在網絡終端(2061,206la)之間的直接 UDP數(shù)據(jù)傳輸連接、通過使用在網絡終端(2062, 2062a)之間的UDP端口掃描、通過利用IP 控制協(xié)議的ICMP ECHO消息(2063,2063a)或使用經由所述家庭控制網絡服務器(21)中繼 的TCP數(shù)據(jù)傳輸連接(2064, 2064a)來建立。
3. 如權利要求2所述的方法,其特征在于,如果也使用建立虛擬專用網絡的另一方法 建立了所述虛擬專用網絡(55),則釋放至少中繼虛擬TCP專用網絡。
4. 一種用于在資產中的致動器的家庭控制網絡密鑰(42,42b),包括: -網絡接口元件,其包括用于網絡接口( 3,4 )的輸入/輸出裝置(424,425,426,426b, 427,428), -處理器(422,422b),以及 -存儲器(423,423b),其包含計算機程序代碼, 其特征在于,所述處理器、所述存儲器和存儲在其中的所述計算機程序代碼配置成: -不時地將輪詢發(fā)送到家庭控制網絡服務器(21),其中它被詢問家庭控制網絡設備 (61)是否連接到數(shù)據(jù)傳輸網絡,所述家庭控制網絡設備被預先確定為家庭控制網絡密鑰 (42,42b)的網絡終端對,所述家庭控制網絡密鑰(42,42b)只被允許與所述家庭控制網絡設 備通信,且如果所述家庭控制網絡設備連接到所述數(shù)據(jù)傳輸網絡,則: -連接(201)到所述家庭控制網絡服務器(21)并從所述家庭控制網絡服務器(21)請 求(204)所述家庭控制網絡設備(61)的路由信息,以便建立到所述家庭控制網絡設備(61) 的虛擬專用網絡, -從所述家庭控制網絡服務器(21)接收所述家庭控制網絡設備(61)的所述路由信 息,以及 -使用虛擬專用網絡的若干已知的建立方法開始端對端數(shù)據(jù)傳輸連接的建立過程,以 便提供與所述家庭控制網絡設備(61)的至少一個虛擬專用網絡(55)。
5. 如權利要求4所述的家庭控制網絡密鑰,其特征在于,它配置成建立虛擬專用網絡 作為到所述家庭控制網絡設備(61)的直接TCP數(shù)據(jù)傳輸連接(2060,2060a)、建立虛擬專用 網絡作為到所述家庭控制網絡設備(61)的直接UDP數(shù)據(jù)傳輸連接(2061,206la)、通過使用 Μ)Ρ端口掃描(2062, 2062a)建立與所述家庭控制網絡設備(61)的虛擬專用網絡、通過利用 IP控制協(xié)議的ICMP ECHO消息(2063,2063a)建立與所述家庭控制網絡設備(61)的虛擬 專用網絡,或配置成建立經由所述家庭控制網絡服務器(21)中繼到所述家庭控制網絡設備 (61)的TCP數(shù)據(jù)傳輸連接(2064, 2064a)。
6. 如權利要求5所述的家庭控制網絡密鑰,其特征在于,它配置成如果也使用建立虛 擬專用網絡的另一方法建立了所述虛擬專用網絡(55)則釋放至少中繼虛擬TCP專用網絡。
7. -種用于在資產中的致動器的家庭控制網絡設備(61),包括: -網絡接口元件,其包括用于網絡接口(5)的輸入/輸出裝置(624,625,626,627, 628), -處理器(622),以及 -存儲器(623),其包含計算機程序代碼, 其特征在于,所述處理器、所述存儲器和存儲在其中的所述計算機程序代碼配置成: -不時地將輪詢發(fā)送到家庭控制網絡服務器(21),其中它被詢問家庭控制網絡密鑰 (42,42b)是否連接到數(shù)據(jù)傳輸網絡,所述家庭控制網絡密鑰被預先確定為家庭控制網絡設 備(61)的網絡終端對,所述家庭控制網絡設備(61)只被允許與所述家庭控制網絡密鑰通 信,且如果所述家庭控制網絡密鑰連接到所述數(shù)據(jù)傳輸網絡,則: -連接(201)到所述家庭控制網絡服務器(21)并從所述家庭控制網絡服務器(21)請 求(204)所述家庭控制網絡密鑰(42,42b)的路由信息,以便建立到所述家庭控制網絡密鑰 (42,42b)的虛擬專用網絡, -從所述家庭控制網絡服務器(21)接收所述家庭控制網絡密鑰(42,42b)的所述路由 /[目息,以及 -使用虛擬專用網絡的若干已知的建立方法開始端對端數(shù)據(jù)傳輸連接的建立過程,以 便提供與所述家庭控制網絡密鑰(42,42b)的至少一個虛擬專用網絡(55)。
8. 如權利要求7所述的家庭控制網絡設備,其特征在于,它配置成建立虛擬專用網絡 作為到所述家庭控制網絡密鑰(42,42b )的直接TCP數(shù)據(jù)傳輸連接(2060,2060a)、建立虛擬 專用網絡作為到所述家庭控制網絡密鑰(42,42b )的直接UDP數(shù)據(jù)傳輸連接(2061,206la)、 通過使用Μ)Ρ端口掃描(2062, 2062a)建立與所述家庭控制網絡密鑰(42,42b)的虛擬專用 網絡、通過利用IP控制協(xié)議的ICMP ECHO消息(2063, 2063a)建立與所述家庭控制網絡密 鑰(42,42b)的虛擬專用網絡,或配置成建立經由所述家庭控制網絡服務器(21)中繼到所 述家庭控制網絡密鑰(42,42b )的TCP數(shù)據(jù)傳輸連接(2064,2064a)。
9. 如權利要求8所述的家庭控制網絡設備,其特征在于,它配置成如果也使用建立虛 擬專用網絡的另一方法建立了所述虛擬專用網絡(55)則釋放至少中繼虛擬TCP專用網絡。
10. -種家庭控制網絡服務器(21),包括: -網絡接口元件,其包括輸入/輸出裝置(614), -處理器(612),以及 -存儲器(613),其包含計算機程序代碼, 其特征在于,所述處理器、所述存儲器和存儲在其中的所述計算機程序代碼配置成: -在所述家庭控制網絡服務器的所述存儲器中存儲用于資產的遠程控制的由兩個網 絡終端形成的網絡終端對(42,42b,62)的識別信息, -從所述網絡終端對(42,42b,62)接收由它們確定的網絡路徑信息, -從第一網絡終端(42,42a)接收其網絡終端對的路由信息請求, -檢查哪個是充當進行所述路由信息請求的所述第一網絡終端的預定網絡終端對的 另一網絡終端(61),所述第一網絡終端(42,42a)只被允許與第二網絡終端通信, -將所述網絡終端對的所述路由信息發(fā)送到所述第一網絡終端(42,42a)和所述第二 網絡終端(61)二者,如果它們二者都連接到數(shù)據(jù)傳輸網絡, -接收結合所述網絡終端對(42,42b,61)使用的網絡空間信息,并將被允許的網絡空 間信息發(fā)送到所述家庭控制網絡設備(61),以及 -當至少一個直接虛擬專用網絡(55)在所述網絡終端對(42,42b,61)之間已被成功 地建立時,釋放到所述網絡終端對(42,42a,61)的數(shù)據(jù)傳輸連接。
11. 一種包括存儲在計算機可讀存儲裝置上的計算機程序代碼模塊的計算機程序,所 述計算機程序用于提供家庭控制網絡設備功能,包括用于確定從家庭控制網絡密鑰(42, 42b)到因特網(2)的路由信息的代碼模塊,其特征在于,所述計算機程序還包括: -用于不時地將輪詢發(fā)送到家庭控制網絡服務器(21)的代碼模塊,其中所述家庭控 制網絡服務器被詢問家庭控制設備(61)是否連接到數(shù)據(jù)傳輸網絡,所述家庭控制網絡密鑰 (42,42b)與家庭控制設備(61)形成預定終端對,所述預定終端對的成員被允許僅與彼此通 信,且如果所述家庭控制設備連接到所述數(shù)據(jù)傳輸網絡,則: -用于連接(201)到所述家庭控制網絡服務器(21)并從所述家庭控制網絡服務器 (21)請求(204)所述家庭控制網絡設備(61)的路由信息以便建立到所述家庭控制網絡設 備(61)的虛擬專用網絡的代碼模塊, -用于從所述家庭控制網絡服務器(21)接收所述家庭控制網絡設備(61)的所述路由 信息的代碼模塊,以及 -用于使用虛擬專用網絡的若干已知的建立方法開始端對端數(shù)據(jù)傳輸連接的建立過 程以便提供與所述家庭控制網絡設備(61)的至少一個虛擬專用網絡(55)的代碼模塊。
12. 如權利要求11所述的計算機程序,其特征在于,它還包括配置成以下的代碼模塊: 建立虛擬專用網絡作為到所述家庭控制網絡設備(61)的直接TCP數(shù)據(jù)傳輸連接(2060, 2060a)、建立虛擬專用網絡作為到所述家庭控制網絡設備(61)的直接UDP數(shù)據(jù)傳輸連接 (2061,2061a)、通過使用UDP端口掃描(2062, 2062a)建立與所述家庭控制網絡設備(61)的 虛擬專用網絡、通過利用IP控制協(xié)議的ICMP ECHO消息(2063, 2063a)建立與所述家庭控 制網絡設備(61)的虛擬專用網絡,或配置成建立經由所述家庭控制網絡服務器(21)中繼 到所述家庭控制網絡設備(61)的TCP數(shù)據(jù)傳輸連接(2064, 2064a)。
13. 如權利要求12所述的計算機程序,其特征在于,它還包括配置成以下的代碼模塊: 如果也使用建立虛擬專用網絡的另一方法建立了所述虛擬專用網絡(55)則釋放至少中繼 虛擬TCP專用網絡。
14. 一種包括存儲在計算機可讀存儲裝置上的計算機程序代碼模塊的計算機程序,所 述計算機程序用于提供家庭控制網絡設備功能,包括用于確定從家庭控制網絡設備(61)到 因特網(2)的路由信息的代碼模塊,其特征在于,所述計算機程序還包括: -用于不時地將輪詢發(fā)送到家庭控制網絡服務器(21)的代碼模塊,其中所述家庭控 制網絡服務器被詢問家庭控制密鑰(42,42b)是否連接到數(shù)據(jù)傳輸網絡,所述家庭控制網絡 設備(61)與所述家庭控制密鑰形成預定終端對,所述預定終端對的成員被允許僅與彼此通 信,且如果所述家庭控制密鑰連接到所述數(shù)據(jù)傳輸網絡,則: -用于連接(201)到所述家庭控制網絡服務器(21)并從所述家庭控制網絡服務器 (21)請求所述家庭控制網絡密鑰(42,42b)的路由信息以便建立到所述家庭控制網絡密鑰 (42,42b)的虛擬專用網絡的代碼模塊, -用于從所述家庭控制網絡服務器(21)接收所述家庭控制網絡密鑰(42,42b)的所述 路由信息的代碼模塊,以及 -用于使用虛擬專用網絡的若干已知的建立方法開始端對端數(shù)據(jù)傳輸連接的建立過 程以便提供與所述家庭控制網絡密鑰(42,42b)的至少一個虛擬專用網絡(55)的代碼模 塊。
15. 如權利要求14所述的計算機程序,其特征在于,它還包括配置成以下的代碼模 塊:建立虛擬專用網絡作為到所述家庭控制網絡密鑰(42,42b)的直接TCP數(shù)據(jù)傳輸連接 (2060,2060a)、建立虛擬專用網絡作為到所述家庭控制網絡密鑰(42,42b )的直接UDP數(shù)據(jù) 傳輸連接(2061,206la)、通過使用UDP端口掃描(2062,2062a)建立與所述家庭控制網絡密 鑰(42,42b)的虛擬專用網絡、通過利用IP控制協(xié)議的ICMP ECHO消息(2063, 2063a)建立 與所述家庭控制網絡密鑰(42,42b)的虛擬專用網絡,或用于建立經由所述家庭控制網絡服 務器(21)中繼到所述家庭控制網絡密鑰(42,42b)的TCP數(shù)據(jù)傳輸連接(2064,2064a)。
16. 如權利要求15所述的計算機程序,其特征在于,它還包括配置成以下的代碼模塊: 如果也使用建立虛擬專用網絡的另一方法建立了所述虛擬專用網絡(55)則釋放至少中繼 虛擬TCP專用網絡。
【文檔編號】H04L29/06GK104160677SQ201380012759
【公開日】2014年11月19日 申請日期:2013年1月7日 優(yōu)先權日:2012年1月9日
【發(fā)明者】V.伊里馬蒂莫 申請人:托西博克斯有限公司