配置目标设备的制作方法

1.本公开内容涉及设备配置领域，具体涉及使用用户设备来配置目标设备。


背景技术：

2.可以以许多不同的方式来执行设备的配置。最常见的方式是提供设备的用户接口以允许用户由此配置设备的各种参数。
3.另一种方式是让设备由另一设备配置。此处将要配置的设备表示为目标设备，并且将执行配置的设备表示为用户设备。这样的布置在许多情况下都行之有效。然而，一些目标设备特别重要。例如，配置影响人员安全的目标设备(也称为安全关键设备)需要其中配置会话不能被另一实体劫持的安全的方式来配置。


技术实现要素：

4.一个目的是提高由用户设备对目标设备进行的配置的安全性。
5.根据第一方面，提供了一种用于配置目标设备的方法。该方法包括由用户设备执行的以下步骤：向目标设备发送配置请求消息，配置请求消息包括配置请求和请求签名，其中，请求签名基于配置请求；从目标设备接收配置响应消息，配置响应消息包括配置响应和响应签名，其中，响应签名基于配置响应和请求签名；基于配置响应、请求签名和目标设备的公共密钥，验证响应签名以确定配置响应消息是否有效；以及仅当配置响应消息有效时向目标设备发送配置提交消息，配置提交消息包括配置提交指示符和提交签名，其中，提交签名基于配置提交指示符和响应签名。
6.该方法还可以包括以下步骤：从目标设备接收配置确认消息，配置确认消息包括配置确认和确认签名，其中，确认签名基于配置确认和提交签名；以及基于配置确认、提交签名和目标设备的公共密钥，验证确认签名以确定配置确认消息是否有效。
7.每个签名可以被应用于签名的输入数据的散列值。
8.所有消息都可以包括相同的单个远程过程调用rpc标识符。
9.发送配置请求消息的步骤可以包括基于用户设备的秘密密钥来生成请求签名，并且发送配置提交消息的步骤可以包括基于用户设备的秘密密钥来生成提交签名。
10.根据第二方面，提供了一种用于配置目标设备的用户设备。该用户设备包括：处理器；以及存储器，其存储指令，指令在由处理器执行时使用户设备执行以下操作：向目标设备发送配置请求消息，配置请求消息包括配置请求和请求签名，其中，请求签名基于配置请求；从目标设备接收配置响应消息，配置响应消息包括配置响应和响应签名，其中，响应签名基于配置响应和请求签名；基于配置响应、请求签名和目标设备的公共密钥，验证响应签名以确定配置响应消息是否有效；以及仅当配置响应消息有效时向目标设备发送配置提交消息，配置提交消息包括配置提交指示符和提交签名，其中，提交签名基于配置提交指示符和响应签名。
11.根据第三方面，提供了一种用于配置目标设备的计算机程序。该计算机程序包括
计算机程序代码，计算机程序代码在用户设备上运行时使用户设备执行以下操作：向目标设备发送配置请求消息，配置请求消息包括配置请求和请求签名，其中，请求签名基于配置请求；从目标设备接收配置响应消息，配置响应消息包括配置响应和响应签名，其中，响应签名基于配置响应和请求签名；基于配置响应、请求签名和目标设备的公共密钥，验证响应签名以确定配置响应消息是否有效；以及仅当配置响应消息有效时向目标设备发送配置提交消息，配置提交消息包括配置提交指示符和提交签名，其中，提交签名基于配置提交指示符和响应签名。
12.根据第四方面，提供了一种计算机程序产品，该计算机程序产品包括根据第三方面的计算机程序以及其上存储有所述计算机程序的计算机可读装置。
13.根据第五方面，提供了一种用于配置目标设备的方法。该方法包括由目标设备执行的以下步骤：从用户设备接收配置请求消息，配置请求消息包括配置请求和请求签名，其中，请求签名基于配置请求；基于配置请求和用户设备的公共密钥，验证请求签名以确定配置请求消息是否有效；仅当配置请求消息有效时向用户设备发送配置响应消息，配置响应消息包括配置响应和响应签名，其中，响应签名基于配置响应和请求签名；仅当配置请求消息有效时从用户设备接收配置提交消息，配置提交消息包括配置提交指示符和提交签名，其中，提交签名基于配置提交指示符和响应签名；以及基于配置提交指示符、响应签名和用户设备的公共密钥，验证提交签名以确定配置提交消息是否有效。
14.该方法还可以包括在接收配置提交消息的步骤之后的以下步骤：基于配置提交指示符、响应签名和用户设备的公共密钥，验证提交签名以确定配置提交消息是否有效。
15.该方法还可以包括以下步骤：对目标设备应用根据配置请求的配置；以及向用户设备发送配置确认消息，配置确认消息包括配置确认和确认签名，其中，确认签名基于配置确认和配置提交签名。
16.发送配置确认消息的步骤可以包括：基于目标设备的秘密密钥来生成确认签名。
17.每个签名可以被应用于签名的输入数据的散列值。
18.所有消息都可以包括相同的单个远程过程调用rpc标识符。
19.发送配置响应消息的步骤可以包括：基于目标设备的秘密密钥来生成响应签名。
20.根据第六方面，提供了一种目标设备，包括：处理器；以及存储器，其存储指令，指令在由处理器执行时使目标设备执行以下操作：从用户设备接收配置请求消息，配置请求消息包括配置请求和请求签名，其中，请求签名基于配置请求；基于配置请求和用户设备的公共密钥，验证请求签名以确定配置请求消息是否有效；仅当配置请求消息有效时向用户设备发送配置响应消息，配置响应消息包括配置响应和响应签名，其中，响应签名基于配置响应和请求签名；仅当配置请求消息有效时从用户设备接收配置提交消息，配置提交消息包括配置提交指示符和提交签名，其中，提交签名基于配置提交指示符和响应签名；以及基于配置提交指示符、响应签名和用户设备的公共密钥，验证提交签名以确定配置提交消息是否有效。
21.根据第七方面，提供了一种用于配置目标设备的计算机程序。该计算机程序包括计算机程序代码，计算机程序代码在目标设备上运行时使目标设备执行以下操作：从用户设备接收配置请求消息，配置请求消息包括配置请求和请求签名，其中，请求签名基于配置请求；基于配置请求和用户设备的公共密钥，验证请求签名以确定配置请求消息是否有效；
仅当配置请求消息有效时向用户设备发送配置响应消息，配置响应消息包括配置响应和响应签名，其中，响应签名基于配置响应和请求签名；以及仅当配置请求消息有效时从用户设备接收配置提交消息，配置提交消息包括配置提交指示符和提交签名，其中，提交签名基于配置提交指示符和响应签名；以及基于配置提交指示符、响应签名和用户设备的公共密钥，验证提交签名以确定配置提交消息是否有效。
22.根据第八方面，提供了一种计算机程序产品，该计算机程序产品包括根据第七方面的计算机程序以及其上存储有所述计算机程序的计算机可读装置。
23.通常，除非在本文中另有明确定义，否则权利要求中所使用的所有术语应当根据其在本技术领域中的普通含义来解释。除非另有明确说明，否则所有对“一/一个/该元件、装置、部件、手段、步骤等”的引用应被公开解释为指代元件、装置、部件、手段、步骤等的至少一个实例。除非明确说明，否则本文中公开的任何方法的步骤不必以所公开的确切顺序执行。
附图说明
24.现在参照附图，通过示例的方式描述各方面和实施方式，在附图中：
25.图1是示出其中可以应用本文提出的实施方式的环境的示意图；
26.图2是示出图1中的用户设备与目标设备之间的通信的序列图；
27.图3a至图3d是示出图2所示消息的内容的示意图；
28.图4是示出在用户设备中执行的用于配置图1的目标设备的方法的实施方式的流程图；
29.图5是示出在目标设备中执行的用于配置图1的目标设备的方法的实施方式的流程图；
30.图6是示出图1的目标设备和用户设备的部件的示意图；以及
31.图7示出了包括计算机可读装置的计算机程序产品的一个示例。
具体实施方式
32.现在将在下文中参照附图更全面地描述本公开内容的各方面，在附图中示出了本发明的某些实施方式。然而，这些方面可以以许多不同的形式来体现并且不应被解释为限制性的；而是，这些实施方式通过示例的方式被提供，使得本公开内容将是透彻且完整的，并且以便将本发明的所有方面的范围充分传达给本领域技术人员。在整个说明书中，相同的附图标记表示相同的元件。
33.图1是示出其中可以应用本文提出的实施方式的环境的示意图。目标设备3是可以由用户设备2配置的设备。目标设备3是在应用任何配置时以及通过其应用任何配置时需要对其进行保护的设备。例如，目标设备3可以是存在某些安全要求的设备，例如操作者在场的工业设备。目标设备的一个具体示例是工业门。对于工业门，这样的配置参数可以例如是电机扭矩和/或电机速度。
34.用户设备2是具有允许用户5提供关于在目标设备3处要配置的内容以及要应用的配置参数的用户接口的任何合适的设备。例如，用户设备2可以是可穿戴式设备、智能电话、平板计算机、笔记本计算机、台式计算机等。
35.存在通信链路4，使得用户设备2与目标设备3之间能够进行数据通信。通信链路4可以是例如通过蓝牙、ble(低功耗蓝牙)、ieee 802.11x标准中的任何一种等的本地通信链路。替选地或附加地，通信链路4基于具有更大覆盖范围的网络，例如蜂窝网络和/或因特网。通信链路可以基于基于ip(互联网协议)的通信。通信链路4可以基于用户设备2和/或目标设备中的虚拟端口，以使得能够在单个传输层上的同时通信会话之间进行区分。
36.通信链路4使用户设备2能够控制目标设备3的配置，如下面更详细描述的那样。
37.图2是示出图1中的用户设备2与目标设备3之间的通信的序列图。还将参照图3a至图3d来描述该序列，图3a至图3d是示出图2中所示消息的内容的示意图。
38.在序列开始之前，用户以任何合适的方式控制用户设备2以设置要由目标设备3应用的一个或更多个配置参数。这可以例如使用用户设备2的用户接口来实现。
39.首先，在用户设备2与目标设备3之间建立19安全信道。这包括例如使用基于ip的tcp(传输控制协议)(tcp over ip)来建立传输层会话。遵循加密协议，使得用户设备2和目标设备3二者都证明其身份并且可以就用于加密/解密和确保后续通信的完整性的共享秘密达成一致。用户设备2向目标设备3证明用户设备2拥有与用于建立安全信道的公共密钥对应的秘密密钥。反之亦然，即目标设备3向用户设备2证明目标设备3拥有与用于建立安全信道的公共密钥对应的秘密密钥。此后，在用户设备2与目标设备3之间建立安全且可靠的信道，并且设备2、设备3二者都具有其各自对应方的公共密钥。安全信道可以用于后续消息传递。
40.为了开始序列，用户设备2向目标设备3发送配置请求消息20。配置请求消息20包括配置请求20a和请求签名20b，如图3a所示。配置请求指示用户设备2请求要由目标设备3应用的配置。配置请求包括定义了被请求应用的配置的一个或更多个配置参数。请求签名20b由用户设备2应用并且基于配置请求20a和用户设备2的秘密密钥。由于配置参数形成配置请求20a的一部分，因此这些配置参数也被请求签名20b保护。
41.在一个实施方式中，配置请求例如通过包括唯一的请求标识符或会话标识符而在每个配置会话中是不同的。这样，如果第三方检测到通信并试图重放相同的数据，目标设备就可以检测到，并阻止重放配置。换言之，目标设备可以被配置成检测会话标识符并且如果会话标识符在之前已被用于配置目标设备，则阻止配置。
42.本文中描述的这个和所有签名是基于非对称密码学的加密签名。执行签名的实体基于其秘密密钥应用签名。任何人都可以使用执行签名的实体的公共密钥(来自安全信道建立19)来验证签名。
43.目标设备3验证配置请求消息20并确定是否接受所请求的配置。如果不接受所请求的配置，则序列结束或者目标设备3可选地通知用户设备2被拒绝的配置请求。如果接受配置请求，则目标设备3用配置响应消息21进行响应。配置响应消息21包括配置响应21a和响应签名21b，如图3b所示。配置响应21a指示目标设备3接受所请求的配置并准备好应用该配置。响应签名21b由目标设备3应用并且基于配置响应21a、请求签名20b和目标设备3的秘密密钥。例如，可以通过在加密签名操作中使用目标设备3的秘密密钥，基于配置响应21a和请求签名20b的串接来得到响应签名21b。
44.用户设备2验证配置响应消息21并且确定是否继续并提交配置。这可以例如通过使用用户设备2的用户接口询问用户是否提交来确定。如果用户设备2确定不提交配置，则
序列结束或者用户设备2可选地通知目标设备3不存在提交。如果确定提交，则用户设备2向目标设备3发送配置提交消息22。配置提交消息22包括配置提交指示符22a和提交签名22b，如图3c所示。配置提交指示符指示用户设备2提交要由目标设备3应用的配置。提交签名22b由用户设备2应用并且基于配置提交指示符22a、响应签名21b和用户设备2的秘密密钥。例如，可以通过在加密签名操作中使用用户设备2的秘密密钥，基于配置提交指示符22a和响应签名21b的串接来得到提交签名22b。
45.目标设备3验证配置提交消息22并且应用25根据配置参数的配置。一旦应用了配置，目标设备3可选地发送配置确认消息23。配置确认消息23包括配置确认23a和确认签名23b，如图3d所示。配置确认23a指示目标设备3已经应用了所请求的配置。确认签名23b由目标设备3应用并且基于配置确认23a、提交签名22b和目标设备3的秘密密钥。
46.图4是示出在用户设备中执行的用于配置图1的目标设备的方法的实施方式的流程图。该方法的步骤基本上对应于上述图2所示的用户设备的动作。
47.在发送配置(configuration)请求(request)步骤40中，用户设备向目标设备发送配置请求消息。如上所述，配置请求消息包括配置请求和请求签名。请求签名基于配置请求以及用户设备的秘密密钥。
48.在接收配置响应步骤42中，用户设备从目标设备接收配置响应消息。如上所述，配置响应消息包括配置响应和响应签名。响应签名基于配置响应和请求签名以及目标设备的秘密密钥。
49.在条件响应有效步骤43中，用户设备验证响应签名以确定配置响应消息是否有效。该验证基于配置响应、请求签名和目标设备的公共密钥。如果验证是肯定的，即配置响应有效，则该方法继续到发送配置提交步骤44。否则，该方法结束。
50.在发送配置提交步骤44中，用户设备向目标设备发送配置提交消息。如上所述，配置提交消息包括配置提交指示符和提交签名。提交签名基于配置提交指示符和响应签名以及用户设备的秘密密钥。
51.在可选的接收配置确认(acknowledgement)步骤46中，用户设备从目标设备接收配置确认消息。如上所述，配置确认消息包括配置确认和确认签名。确认签名基于配置确认和提交签名以及目标设备的秘密密钥。
52.在可选的条件确认有效步骤47中，用户设备验证确认签名以确定配置确认消息是否有效。验证基于配置确认、提交签名和目标设备的公共密钥。如果验证是肯定的，即配置确认有效，则该方法进行到可选的ok步骤48。否则，该方法结束。
53.可选地，将上述每个签名应用于签名的输入数据的散列值。这比在没有中间散列的情况下基于输入数据来计算签名的计算效率更高。
54.上述所有消息包括相同的单个远程过程调用rpc标识符。
55.在可选的ok步骤48中，用户设备处理成功的配置。这可以例如包括：存储从目标设备接收到的消息。在这个阶段，由于已经接收到有效的配置确认，因此用户设备确定该配置已经被应用到目标设备中。
56.图5是示出在目标设备中执行的用于配置图1的目标设备的方法的实施方式的流程图。该方法的步骤基本上对应于上述图2中所示的目标设备的动作。
57.在接收配置请求步骤50中，目标设备从用户设备接收配置请求消息。配置请求消
息包括配置请求和请求签名。请求签名基于配置请求以及用户设备的秘密密钥。
58.在条件请求有效步骤51中，目标设备验证请求签名以确定配置请求消息是否有效。验证基于配置请求和用户设备的公共密钥。可选地，仅当消息中的会话标识符是目标设备以前未见过的会话标识符时，才认为配置请求消息有效。在一个实施方式中，会话标识符不是rpc标识符，因为rpc标识符可以由客户端自由设置并且不需要是唯一的。在这样的实施方式中，会话标识符被生成为全局唯一的，或者以非常高的概率至少是全局唯一的。如果验证是肯定的，即配置请求消息有效，则该方法进行到发送配置响应步骤52。否则，该方法结束。
59.在发送配置响应步骤52中，目标设备向用户设备发送配置响应消息。配置响应消息包括配置响应和响应签名。响应签名基于配置响应和请求签名以及目标设备的秘密密钥。
60.在接收配置提交消息步骤54中，目标设备从用户设备接收配置提交消息。配置提交消息包括配置提交指示符和提交签名。提交签名基于配置提交指示符和响应签名以及用户设备的秘密密钥。可选地，如果在从发送配置响应消息时起的预定时间内没有接收到配置提交消息，则触发超时，并且该方法结束。这结束了配置会话，以允许相同或其他用户设备在需要时启动新的配置会话。
61.在条件提交有效步骤55中，目标设备验证提交签名以确定配置提交消息是否有效。该验证基于配置提交指示符、响应签名以及用户设备的公共密钥。这里使用的公共密钥与用于验证配置请求消息的公共密钥相同，因此只有发送了配置请求消息的用户设备才能发送有效的配置提交消息。当提交有效时，该方法可选地进行到应用配置步骤56，或者以知道了有效消息流结束。当提交无效时，该方法以知道了无效提交和无效消息流结束。
62.在可选的应用配置步骤56中，目标设备为目标设备应用根据配置请求的配置。
63.在可选的发送配置确认步骤58中，目标设备向用户设备发送配置确认消息。配置确认消息包括配置确认和确认签名。确认签名基于配置确认和配置提交签名以及目标设备的秘密密钥。配置确认的发送向用户设备指示配置已被成功应用。
64.如上所述，每个签名可选地应用于签名的输入数据的散列值。此外，所有消息都可以包括相同的单个远程过程调用rpc标识符。
65.每个签名(第一个消息除外)都基于先前消息的签名。这是提供两个实体(用户设备和目标设备)的动作的确定性的有效方式。此外，另一用户设备无法故意或无意地劫持配置会话，因为该另一用户设备无法访问配置会话的用户设备的秘密密钥。
66.用户设备和目标设备中的每一个都可以存储包括签名的消息，从而具有所涉及的实体和配置的不可否认的记录。这样，可以在更后面的阶段证明例如执行配置的用户设备(以及可选的用户)的身份以及被应用的配置。
67.图6是示出图1的目标设备3和用户设备2中的每一个的部件的示意图。使用能够执行存储在存储器64——其因此可是是计算机程序产品——中的软件指令67的合适的中央处理单元(cpu)、多处理器、微控制器、数字信号处理器(dsp)等中的一个或更多个的任意组合来提供处理器60。处理器60可以替选地使用专用集成电路(asic)、现场可编程门阵列(fpga)等来实现。处理器60可以被配置成执行参照图4(对于用户设备2)和上面的图5(对于目标设备)描述的方法。
68.存储器64可以是随机存取存储器(ram)和/或只读存储器(rom)的任何组合。存储器64还包括永久存储装置，该永久存储装置例如可以是磁存储器、光学存储器、固态存储器或甚至远程安装的存储器中的任意单个存储器或组合。
69.还提供了数据存储器66以用于在处理器60中执行软件指令期间读取和/或存储数据。数据存储器66可以是ram和/或rom的任意组合。
70.设备1、2还包括用于与外部实体和/或内部实体进行通信的i/o接口62。可选地，i/o接口62还包括用户接口。
71.设备1、2的其他部件被省略，以免混淆本文中提出的构思。
72.图7示出了包括计算机可读装置的计算机程序产品90的一个示例。在该计算机可读装置上可以存储计算机程序91，该计算机程序可以使处理器执行根据本文描述的实施方式的方法。在该示例中，计算机程序产品是光盘例如cd(致密盘)或dvd(数字多功能盘)或蓝光盘。如上所述，也可以在设备的存储器例如图6的计算机程序产品64中体现计算机程序产品。虽然计算机程序91在此被示意性地示出为所描绘的光盘上的轨道，但是计算机程序可以以适合于诸如可移除固态存储器(例如，通用串行总线(usb)驱动器)的计算机程序产品的任何方式存储。
73.上面主要参照几个实施方式描述了本公开内容的各方面。然而，如由本领域技术人员容易理解的，在如由所附专利权利要求限定的本发明的范围内，除了上面公开的实施方式之外的其他实施方式同样是可能的。因此，虽然在本文中已经公开了各个方面和实施方式，但是其他方面和实施方式对于本领域技术人员而言将是明显的。本文中公开的各个方面和实施方式是出于说明的目的，而不旨在进行限制，其中真实范围和精神由所附权利要求指示。