在双向对象之间传送信息的方法转让专利
申请号 : CN200510064598.1
文献号 : CN1684011B
文献日 : 2010-04-07
发明人 : C·奥特雷 , J·M·奥尔萨 , F·佩拉林
申请人 : 法国尚飞公司
摘要 :
第一命令发送器和第二命令发送器之间信息的安全传送,例如家庭自动系统中采用的用于远程控制致动器例如打开和关闭窗户、防晒、通风、卷帘、车库门等等,通过首先相对于第三对象对所述第一命令发送器进行认证而实现,所述第三对象优选地组成已有网络的一部分,例如为命令接收器或者命令发送器并且仅在对所述第一命令发送器的认证成功时才将信息传送到所述第二命令发送器。所述方法特别应用于需要在家庭自动化网络上安装新的第二命令发送器的情况,所述第二命令发送器具有与已有的第一命令发送器相同的权限和功能。
权利要求 :
1.一种用于在第一双向命令发送器和第二双向命令发送器(40,50)之间传送信息的方法,所述第一双向命令发送器和所述第二双向命令发送器(40,50)为相同的类型,所述方法包括步骤:——在所述第一双向命令发送器(40)和第三双向对象(60)之间建立认证,并且如果认证成功那么;
——从所述第一双向命令发送器(40)传送信息到所述第二双向命令发送器(50);
——将所述信息存储到所述第二双向命令发送器(50);
其中,所述第三双向对象(60)为第三命令发送器,该方法还包括预先步骤,在该预先步骤中所述第三双向对象被指定,在此期间所述第三命令发送器(60)对其他的命令发送器(40,50)发出命令以将所述第三命令发送器(60)指定为第三双向对象。
2.根据权利要求1所述的方法,其特征在于在所述传送步骤中,部分信息通过所述第三双向对象(60)从所述第一双向命令发送器(40)传送到所述第二双向命令发送器(50)。
3.根据权利要求1所述的方法,其特征在于在所述传送步骤中,所有信息从第一双向命令发送器(40)传送到第二双向命令发送器(50)。
4.根据权利要求1所述的方法,其特征在于所述方法进一步包括第二认证步骤。
5.根据权利要求4所述的方法,其特征在于所述第二认证步骤包括分析用户的生物特征数据。
6.根据权利要求4所述的方法,其特征在于所述第二认证步骤包括分析用户做出的手动动作。
7.根据前述权利要求5或6所述的方法,其特征在于所述分析在所述第三双向对象(60)中进行。
8.根据权利要求1所述的方法,其特征在于所述信息为对象配置信息,所述对象配置信息是公共钥匙和/或双向对象标识。
9.一种通信网络,包括:
——第一和第二双向对象(40,50),所述第一和第二双向对象(40,50)是相同类型的第一和第二命令发送器,——第三双向对象(60),
所述第二双向对象适合于存储通过根据权利要求1的信息传送方法而接收到的信息。
10.根据权利要求9所述的通信网络,其特征在于所述信息为对象配置信息,所述对象配置信息是公共钥匙和/或双向对象标识。
11.根据权利要求9或10所述的通信网络,其特征在于所述第一命令发送器包括存储另一双向对象的标识的存储器,其中认证程序针对所述另一双向对象进行。
说明书 :
在双向对象之间传送信息的方法
技术领域
[0001] 本发明一般的涉及远程控制致动领域并且尤其涉及对楼房中提供舒适和安全的家庭自动系统中采用的致动器的无线控制,所述系统例如为照明、开关窗户、防晒、通风以及空调系统等等。
背景技术
[0002] 在这类系统的现有设计中,形成命令接收器或者从属单元的所述致动器和/或相关传感器通过控制单元或者形成命令传送站的命令点或者主控单元进行远程控制;而且,致动器或传感器和控制单元能够通过双向链接以发送和接收模式进行通信,典型的为无线电链接。 我们可以一般地将这些致动器或传感器或控制单元限定为“双向对象”。 两个命令发送点以及两个命令接收器之间直接的无线电频率通信也是可能的。 每个元件被看作是如此组成的通信网络上的一个点或者节点。 致动器或者传感器常常位于安装人员难于触及的区域,更不用说对于用户。
[0003] 控制点为单向或者双向,移动或者固定的。 通常,固定控制点由自身电池供电,这样避免了连线。 当控制点安装了收发器时,接收功能可以仅在接收到命令后或者间歇地被激活,以限制电源消耗。
[0004] 匹配使得可以将公共标识关联到致动器和控制点组成的一对。 共享公共的标识使得致动器可以识别从控制点发出的命令从而对其响应。 匹配可以被复制以从单个控制点对若干个致动器进行控制,或者使得单个致动器响应若干个控制点。
[0005] 考虑到具有关闭或锁定功能元件的致动器的存在,对命令发出和接收点之间的通信进行认证是很重要的。 网络中每个元件携带一个对其特定的标识,附加一个对于该装置特定的标识,称为“门钥”( “house key”)或者公共钥匙。 对该系统的描述可以在国际申请WO-A-02 47038或者申请人的国际申请WO-A-030 81352中找到。
[0006] 命令发出点还包括与其匹配的若干命令接收器的标识列表,换句话说即是其被授权发出命令的若干命令接收器,并且这些命令接收器准备好执行这些命令。 为了简化起见,我们在此认为标识列表包括关于通过特定命令发送器控制特定命令接收器的所有信息。 由此这还可以包括对于该对元件特定的密钥或者对于发送或者执行命令有用的任何加密数据。
[0007] 为了方便若干用户使用通过命令接收器远程控制的单元而毋须再次进行整个单独的匹配操作序列,需要能够从已经形成网络一部分的命令发送器传送所有或者部分加密信息(门钥、标识列表等等)到新的命令发送器。
[0008] 现有技术公开了在命令发送器之间进行直接复制的多种方法。
[0009] 美国专利4,652,860公开了一种传送信息以遥控打开车门的方式。控制点之间的通信例如可以通过红外线并且在很短距离内进行(控制点并行)。 因此传送被安全进行,使得一定距离外的黑客在授权用户不知情的情况下不能够访问所发送的信息并且在其特定的同等命令发送器中对其进行复制。 然而,这种方法很昂贵,因为它采用了针对从一个命令发送器复制到另一个的单个相位的通信设备。
[0010] 在此需要能够经济地采用单个无线电频率通信设备用于传送加密信息或者发送命令到命令接收器,对怀有恶意的第三方接收到信息的危险性进行度量是合理的。 然而加密信息在其被发送的精确瞬间被接收是几乎不可能的,除非在一定范围内很长时间段内隐藏了一台高度精密复杂的记录设备用于收集通信网络上发送的所有信息。 从旧的远程控制端复制信息到新的远程控制端是很少有的情况。 相反的,远程控制端遗失或者被盗反而是更频繁的情况。
[0011] 国际申请WO-A-030 81352提出了通过修改门钥方法而减轻安全被侵犯的后果,但是这仅是补救方法而非预防措施。
[0012] 然而这种补救措施仅在用户很快察觉到遗失或者被盗的前提下是有效并且简单的。 了解后种情况,藏匿了允许访问房屋的命令发送器的窃贼想尽各种方法以减轻其恐惧,为了避免用户改变门钥。 因此,他会设法尽快“返还”命令发送器从而它会很快被找到,使用户相信这是无意中从用户口袋中掉出来或者掉在某个其他地方。
[0013] 同时,显然窃贼会将加密编码复制到新的命令发送器或者他从其他来源获得的至少一个没有任何安全密钥的命令发送器,然后他可能会在几周以后用户不在家中时返回。 由此可见,以相同标准工作并且使用相同的通信协议的命令发送器可以随意访问,这种危险更应当考虑在内。
[0014] 因此,当全部或者部分加密信息在双向对象之间传送时总是存在安全问题,并且在这样的传送中总是涉及成本问题。
发明内容
[0015] 为了解决这个问题,本发明提供了一种方法用于在第一双向命令发送器和第二双向命令发送器之间传送信息,所述方法包括步骤:
[0016] ——在所述第一命令发送器和第三双向对象之间建立认证,并且如果认证成功则
[0017] ——从所述第一命令发送器传送信息到所述第二命令发送器,
[0018] ——将所述信息存储到所述第二命令发送器。
[0019] 所述第三对象可以为命令接收器。 则该命令接收器负责控制可开启构件例如门或者窗帘的致动器。
[0020] 所述第三对象也可以为第三命令发送器。
[0021] 所述方法可以进一步包括预先步骤,在该步骤中所述第三对象被指定,在此期间所述第三命令发送器对其他的命令发送器发出命令以将其指定为第三对象。
[0022] 在一个实施例中,在所述传送步骤中,部分信息通过所述第三对象从第一命令发送器传送到第二命令发送器。
[0023] 可替换地,所有信息可以在所述传送步骤中从第一命令发送器传送到第二命令发送器。
[0024] 所述方法可以进一步包括第二认证步骤。 所述第二认证步骤可以包括分析用户的生物特征数据,或者分析用户做出的手动动作,该分析例如可以在所述第三对象中进行。
[0025] 被传送的所述信息可以为对象配置信息,例如公共钥匙和/或双向对象标识。
[0026] 还提供了一种通信网络,包括:
[0027] ——第一和第二双向对象,例如第一和第二命令发送器,
[0028] ——第三双向对象,
[0029] 所述第二对象适合于存储通过根据前述权利要求之一的信息传送方法而接收的信息。
[0030] 还提供了双向命令发送器,包括与另一个双向对象的认证程序和对另一个双向命令发送器的信息传送程序,所述传送程序仅在所述认证程序产生了确认结果时才能够被进行。 被传送的信息可以为对象配置信息,例如公共钥匙和/或双向对象标识。
[0031] 所述命令发送器可以包括存储所述双向对象的标识的存储器,所述认证程序对该双向对象进行。
[0032] 本发明的其他特征和优点可以通过下面的结合某些实施例并且参考附图的详细描述而变得更清楚,这些实施例仅仅以示例方式提供。
附图说明
[0033] 图1显示了应用本发明的家庭自动网络;
[0034] 图2和图6显示了该网络中的两种认证程序;
[0035] 图3显示了本发明方法的一个实施例;以及
[0036] 图4和图5显示了信息传送程序中的变动。
具体实施方式
[0037] 下面我们将基于在家庭自动系统中应用匹配的示例而描述本发明;但是本发明并不限于这种系统。 我们将使用以下术语“命令发送器”和“命令接收器”以指示具有发送或者接收用户给定指令的功能的对象;命令发送器通常也称为控制单元,而命令接收器为传感器,用于控制致动器开启某物,或者例如操作卷帘。 这些名称并不表示“发送器”或者“接收器”功能,从信号观点来看,这些对象能够同时发送和接收。 这正是我们讨论“双向对象”的原因,换言之,即能够发送和接收的对象。 为了清楚说明,我们使用术语“发送器”或者“接收器”,但这仅是给定的双向对象被指定的特定用途。
[0038] 双向对象可以包括初始化步骤,以初始化传送信息到其他对象或后者的某一个,以及用于对与运行初始化和认证步骤的逻辑单元的所述对象接触的对象进行认证的步骤。 所述对象还包括包含在逻辑单元中执行的程序以及特别是对象的工作程序的存储器。 如下所述,对象的存储器也可以包括至少一个公共钥匙;所述对象还可以包括匹配信息,例如存储在其存储器中的其他对象的标识。
[0039] 图1显示了实施所述方法的通信网络,例如家庭自动网络。 所述网络包括已经安装在所述家庭自动网络中的三个命令接收器或者从站SL。 标示为10的命令接收器SL #1包括表示为天线101的双向无线电通信装置,并且连接到微控制器类型的处理逻辑单元,为了简化起见,仅显示了处理逻辑单元的两个存储器位置102和103。 第一存储器位置102包括公共钥匙IDM,而第二存储器位置103包括指定给命令接收器10的标识ID #1。
[0040] 命令接收器10还可以包括信息输入装置104。 所述装置例如为按钮或者行程终端开关(end-of-travel switch),或者近邻探测器(proximity detector)或者其他设备,其功能在正常操作中可能与特定匹配或者编程模式中不同。 并非所有的命令接收器都必须包括信息输入装置104。 应当看到也可能所有的命令接收器都包括这些装置。
[0041] 最后,命令接收器10被指示促动标示为LD #1的负荷106,它通过线路链接105连接到负荷106,所述线路链接105用于传送命令指示和/或操作负荷例如卷帘所需的电源。 对负荷供电的电源和电子开关装置均没有显示。
[0042] 命令接收器SL #2,标示为20,与前者等同,唯一区别在于它不包括信息输入装置。 而且,接收器20具有位于第二存储器位置的不同的标识ID#2。 第一存储器位置包括与命令接收器SL #1相同的公共钥匙IDM。 命令接收器SL #3,标示为30,等同于命令接收器10,除了其标识为ID #3。
[0043] 在图1中,还显示了第一命令发送器MA #1,标示为参考数字40。 命令发送器40包括显示为天线401的双向无线电频率通信装置,并且连接到微控制器类型的处理逻辑单元,为了简化起见,仅显示了处理逻辑单元的第三存储器位置402和第四存储器位置403。 第三存储器位置402包括公共钥匙IDM,而第四位置403包括所有对命令发送器MAI #1发出的命令进行响应的命令接收器的标识ID。
[0044] 作为示例方式,在所述第四存储器位置403具有标识ID #1和ID #3,换句话说命令发送器40适合于单独或者同时的通过命令接收器10和30控制负荷LD #1和LD #3。另一方面,命令发送器40没有编程为通过命令接收器20操作负荷LD #2,因为该命令发送器在位置403没有包括标识ID#2。 很显然这仅是一种示例配置。
[0045] 命令发送器40还可以包括装置404用于输入命令,例如连接到微控制器的键盘KB。
[0046] 还显示了第二命令发送器MA #X,参考数字50,具有与第一命令发送器相同的类型。 然而,第一命令发送器40已经属于所述网络,而第二命令发送器50是待安装到网络上的新设备。 并且因此第三存储器位置502和第四存储器位置503是空的。
[0047] 为了描述本发明,假定我们需要赋予第二命令发送器与第一命令发送器等同的权限。
[0048] 图1最后显示了特定类型的指令发送器MAS,参考数字60。该命令发送器包括与前述命令发送器相同的参考数字为601-603的元件,但是具有特别的特征,优选地,它通常并不用于发出命令,而是保存在安全地点。 该命令发送器在第三存储器位置包括门钥并且优选地在第四存储器位置包括所有命令接收器的标识以在必要时对其进行操作。优选地它还可以包括特定程序,使其可以禁止命令接收器中并非此种类型命令发送器发出的任何重新初始化功能,如同申请人的法国专利申请02-14093中所公开的。
[0049] 为了避免这种特定类型的命令发送器与其他命令发送器混淆,它具有特别的形状。 最后它可以包括特别的键盘604和/或生物特征识别传感器605。
[0050] 图2描述了通信网络中在主控单元MA或者命令发送器40依赖于网络设置需要从属单元SL或者命令接收器10、30执行命令时采用的一种认证程序AUTH。 该程序可以在用户在命令发送器40键盘上执行动作USA后启动,其结果在初始化步骤MA-S1结束时作为命令发送器40上的命令CMD发出。
[0051] 一旦接收到该命令,命令接收器10、30启动第一认证步骤SL-S1,其中确定待执行的命令是否需要认证。 如果答复为是,则接收器10、30选择随机数字CHL发送到发送器40。 然后接收器10、30采用特定算法和随机数字CHL启动计算步骤SL-S2。 特定算法从通用算法和门钥得到:因此它是特定于属于该网络的所有元件的。 通过图2可以看到命令发送器40也能够接收信号并且命令接收器10、30也能够发出信号。
[0052] 并行地,一旦接收到随机数字CHL,发送器40使用相同算法和随机数字CHL开始计算步骤MA-S2,并且结果RES在计算步骤MAE-S2结束时发送到接收器10、30。一旦接收到结果RES,从属单元开始比较步骤SL-S3,将RES与其自身结果比较。 如果两个结果一致,应答ACK被发送到发送器40,表示成功的认证。
[0053] 在改进版本中,所述过程以相反方向重复进行以实现互相识别。 所述算法还可以得到先前在命令发送器和命令接收器之间交换的元素并且因此变得特定于每个所涉及的对。
[0054] 在某些情况下,所述认证过程也可以仅以相反方式进行,也就是说命令发送器40使用认证过程AUTH*要求命令接收器10、30对其自身进行认证,如图6所示。 该过程与图2所示过程对称。 所述过程可以在用户在命令发送器40键盘上执行USB动作后启动,其效果是导致在初始化步骤MA-S10结束时在命令发送器40上发送命令CMD*。
在此情况下,随机数字CHL可以在命令CMD*中发送以请求认证。 然后发送器40使用一定算法和随机数字CHL启动计算步骤MA-S20以得到结果。 与此并行,一旦接收到随机数字CHL,接收器10、30使用相同的特定算法和随机数字CHL启动计算步骤SL-S10以得到结果,并且结果RES*在计算步骤SL-S10结束时被发送到发送器40。一旦接收到结果RES*,发送器启动比较步骤MAE-S30,将RES*与其自身结果比较。如果两个结果一致,应答ACK*被发送到接收器10、30,表示成功的认证。
在此情况下,随机数字CHL可以在命令CMD*中发送以请求认证。 然后发送器40使用一定算法和随机数字CHL启动计算步骤MA-S20以得到结果。 与此并行,一旦接收到随机数字CHL,接收器10、30使用相同的特定算法和随机数字CHL启动计算步骤SL-S10以得到结果,并且结果RES*在计算步骤SL-S10结束时被发送到发送器40。一旦接收到结果RES*,发送器启动比较步骤MAE-S30,将RES*与其自身结果比较。如果两个结果一致,应答ACK*被发送到接收器10、30,表示成功的认证。
[0055] 所述相对复杂的认证程序对于理解本发明没有影响,重要的是所述程序足以确保所述命令发送器和/或接收器的标识。
[0056] 图3显示了用于在参考数字为40的第一命令发送器MAE #1和参考数字为50的第二命令发送器MA #X之间传送信息的程序的一个实施例。所述程序包括使用第三双向对象,所述第三双向对象依赖于是否为第一或第二实施例而可以为特定类型的命令接收器30或者命令接收器60。 所述第三对象是所述网络中进行传送所要求存在的第三方对象。举例来说,这样可以避免发送器40被临时拿走以在安全地点传送数据并在此后将发送器40返还。 因此信息仅可以在特定情况下被传送。
[0057] 所述程序的剩下部分将参考作为所述第三方的命令接收器30进行解释,对应于第一实施例的“可替换实施例1”。在此,指令接收器30适合于接收来自命令发送器40的命令。
[0058] 所述程序包括在第一命令发送器40和第三双向对象30例如命令接收器30之间的第一认证步骤。 该步骤由第一命令发送器40在S-11执行并且由命令接收器30在步骤S-31执行。该认证步骤使得可以在信息被传送前确保命令接收器30存在。这样排除了将信息传送到未经认证的双向对象的可能性。 所述认证步骤可以按照图2的描述而执行。优选地,可以采用图6的反向认证AUTH*。
[0059] 然后所述步骤包括从第一接收器40到第二对象50的配置信息CONF传送步骤。在该步骤中,关于发送器40配置的加密信息被发送到发送器50以对后者进行配置。 在图3中,所述传送步骤由第一发送器40通过发送EMT在步骤S-14执行并且由第二发送器50通过接收RCV在步骤S-21执行。 所述信息传送步骤仅在认证步骤成功时才执行。
依赖于所采用的认证程序,如果第一命令接收器40被认证,或者换言之如果第一发送器
40被识别并且被授权传送它所包含的信息,则所述认证步骤成功;优选地,如果命令接收器30被认证则所述认证步骤成功。 信息传送使得可以将第一发送器40包含的信息传送到第二发送器50。 在该步骤中,第一发送器40的全部或者部分信息从第一发送器40传送到第二发送器50。 这样避免了在网络上的第二发送器50和命令接收器10、30之间进行整个单独的匹配操作序列,所述命令接收器10、30已经与第一命令发送器40匹配。
所述传送使得可以在第二命令发送器50中复制第一命令发送器40上执行的程序。 由此命令发送器50拥有与指定给命令发送器40相同的访问权限。
依赖于所采用的认证程序,如果第一命令接收器40被认证,或者换言之如果第一发送器
40被识别并且被授权传送它所包含的信息,则所述认证步骤成功;优选地,如果命令接收器30被认证则所述认证步骤成功。 信息传送使得可以将第一发送器40包含的信息传送到第二发送器50。 在该步骤中,第一发送器40的全部或者部分信息从第一发送器40传送到第二发送器50。 这样避免了在网络上的第二发送器50和命令接收器10、30之间进行整个单独的匹配操作序列,所述命令接收器10、30已经与第一命令发送器40匹配。
所述传送使得可以在第二命令发送器50中复制第一命令发送器40上执行的程序。 由此命令发送器50拥有与指定给命令发送器40相同的访问权限。
[0060] 传送可以包括从一个对象复制或者拷贝信息到另一个对象。 这种情况在需要若干命令发送器以相同方式控制网络时存在。 还可以包括从一个命令发送器传送信息到另一个,命令发送器40丢失所传送的信息并且命令发送器50成为能够控制网络的唯一对象。 这种情况在需要新的命令发送器时存在,而前一个命令发送器变得不可用。
[0061] 所述信息可以是网络上对象的配置信息。 所述配置信息使得可以识别对象的标识(标识ID ##)并且识别对象是否属于给定网络(门钥或者公共钥匙IDM)。 所传送的信息就其允许控制网络来说是加密的。 举例来说,所述信息允许物体例如卷帘或者车库门打开,这一般地允许访问房屋。
[0062] 然后所述程序包括将所述信息存储到第二命令发送器50中的步骤。该步骤效果是使得第二命令发送器50可以工作,因为现在它已经与命令接收器10、30相匹配,所述命令接收器10、30先前与第一命令发送器40相匹配。 在图1中,存储表现为存储器位置502和503被命令发送器40提供的信息所占据。 在此情况下,存储器位置502存储门钥IDM并且存储器位置503存储对应于接收器10和30的标识ID #1和ID #3。
[0063] 因此所述程序使得可以将信息以安全方式从一个命令发送器传送到另一个。 这在用户希望以新的命令发送器替换旧的命令发送器时是很有利的,因为他自己可以通过简单方式将新的命令发送器与网络上的接收器进行匹配。 用户可能还希望传送信息以匹配第二命令发送器,允许两位用户控制网络。 传送是具有最低成本的,因为对象间的信息传送是通过对象中已经实现的装置进行的,即通过RF而不是通过实现附加装置例如红外线。
[0064] 为了改进所述第一实施例的“可替换实施例1”的效率,其中采用命令接收器作为第三方,优选地命令接收器30是唯一的并且提供在房屋内。例如我们可以假定仅有一个特定模型的命令接收器包括信息输入装置104。
[0065] 然而,为了避免不同产品混淆并且防止特定命令接收器被识别,所有命令接收器均可以安装所述装置。 在此情况下,采用硬件或者软件程序以使在住处外部可以访问的命令接收器上的装置失效,或者还可以使除了一个命令接收器之外的所有命令接收器上的装置失效。
[0066] 还可以通过在属于所述网络的每个命令发送器上注册将被采用为第三方的命令接收器的标识而避免所述失效程序。 注册可以在特定存储器中完成或者如图3中情况,通过提前确定第四存储器403中的标识ID #3和ID #1中的第一个ID#3被命令接收器30作为第三方。 因此,在传送操作中仅包括单个命令接收器并且房屋主人是了解该命令接收器的唯一一个人,由此提高传送安全。 举例来说,利用命令发送器键盘的特定操作,特定命令接收器标识的注册处理为匹配操作。
[0067] 现在我们更详细的描述所述传送程序。 在图3的实施例中,所述程序在第二命令发送器50上启动用户USA1部分的第一动作以启动接收器50的安全接收初始化步骤S-20。 举例来说,动作USA1通过键盘504上的特定按键组合而进行。 类似的,用户USA2部分的第二动作在第一命令发送器40上执行,以初始化对于第二命令发送器50的传送程序,包括通过命令发送器40的安全传送初始化步骤S-10。然后启动命令接收器30的第一认证步骤S-11。 对于命令接收器30,第一认证步骤具有参考S-31。 然后在认证成功时所述命令发送器可以发送第一应答信号ACK;然后该信号可以由第一命令发送器40在步骤S-12中测试。
[0068] 根据一个实施例,采用了互相认证。对此,不仅第一命令发送器40被命令接收器30认证,而且接收器30也被发送器40认证。 该步骤确保属于所述网络的对象的存在和识别。 这样提高了传送安全性。
[0069] 优选地,所述程序还包括第二认证步骤。 可选择的,所述第二步骤仅在第一认证步骤成功时才进行。 确保特定命令接收器的存在确实是有利的,然而通常认证是专门设计于验证命令发送器的标识。因此为了简化起见,也可能所采用的协议不包括反向和/或互相认证功能。 作为克服这种缺陷的方式,并且为了确保辅助的安全性,提供了第二认证程序。 这显示于第二认证步骤S-32,其中第三用户动作USA3被测试。
[0070] 第二认证步骤依赖于各种实施例而具有不同的复杂度。 它可以包括生物特征分析例如对用户指纹进行分析;它可以包括分析用户的手动动作例如用户使用命令接收器30的输入装置,例如其按钮PB。 这些分析以简单方式实现。 优选地,用户操作第三方对象。 这样确保用户在后者上做出物理动作从而防止信息在所述第三方对象不在场的地方被传送。这样可以增强安全性。 依赖于所需的安全度,用户的识别码甚至可以由使用该装置的用户发送,但是要求在预定的命令接收器上进行简单动作的简单事实已经足以避免上面讨论的大多数风险。
[0071] 在所述第二认证步骤结束时,第二应答信号ACK2可以由命令接收器32发送到第一命令发送器,所述第一命令发送器在第二测试步骤S-13中对其进行测试之后可以在所述第二测试成功时宣告传送有效(反向或者互相认证和应答均是可能的)。
[0072] 在此阶段,如同水平虚线TRF VALID所示,可以进行加密配置信息传送步骤。可以设想各种实施例用于进行所述传送和存储步骤。 在图1中TRF VALID线下方显示的第一实施例中,配置传送步骤S-14由第一命令发送器40启动,第一命令发送器40以CONF消息的形式传送第一存储器402和第二存储器403中存储的加密信息。 然后该信息由第二命令发送器50在配置接收步骤S-21中存储。 在所述第一可替换实施例中,所有信息从第一命令发送器40直接传送到命令发送器50。所述信息并不通过所述第三对象
30、60传送。 这样避免了对第三对象进行编程以使其可以加入信息的实际传送的需要。
该实施例是传送和存储信息的简化方式。
30、60传送。 这样避免了对第三对象进行编程以使其可以加入信息的实际传送的需要。
该实施例是传送和存储信息的简化方式。
[0073] 图4和图5显示了信息传送和存储的第二和第三可替换实施例。 在图4和图5中,三个对象30、40、50、60与虚线TRF VALID一起显示,表明在此线以上等同于图3中的整个程序,而在此后不同。
[0074] 图4显示了第二可替换实施例,其中作为第三方的命令接收器30也起到对于待传送到命令发送器50的所有信息的中介站的作用。 配置传送步骤S-15由第一命令发送器40启动,第一命令发送器40以CONF消息形式传送其第一存储器402和第二存储器403中存在的加密信息。 该替换实施例的特征在于接收器30接收所有信息,这发生于步骤S-33。 然后配置传送步骤S-34由命令接收器30以CONF消息的形式启动,从而再次将所述信息传送到命令发送器50。然后该信息由第二命令发送器50在配置接收步骤S-22中进行存储。 该替换实施例的优点在于它增强了传送程序的安全性,因为传送和存储步骤均必须在第三对象存在时才能进行,这样排除了命令发送器40被暂时从房屋取走以传送和存储其信息的可能性。
[0075] 图5显示了第二可替换实施例,其中作为第三方的命令接收器30也起到对于待传送到命令发送器50的部分信息的中介站的作用。 传送步骤S-16由第一命令发送器40启动,第一命令发送器40仅传送所述信息的一部分。在图5的示例中,这是关于与命令发送器40匹配的命令接收器10、30的标识的信息。 然后所述关于标识的信息由第二命令发送器50在配置接收步骤S-23中进行存储。进一步,传送步骤S-35由第三对象30启动,第三对象30仅传送其余部分的信息。在图5的示例中,这是关于门钥IDM的信息。然后所述关于门钥的信息由第二命令发送器50在配置接收步骤S-24中存储。 显然,可以对第一命令发送器40和第三对象30传送的信息进行反向。 该实施例的优点在于它很安全并且简单,首先,传送和存储步骤必须在第三对象存在时才能进行,第二,每个命令发送器40和对象30仅传送其中一个存储器位置中的信息。
[0076] 所述程序的第二实施例“可替换实施例2”包括采用命令发送器作为所述第三方。 采用标准类型的命令发送器是完全可能的,也就是说等同于第一或第二命令发送器,但是优选地,采用了如同上面描述的特定命令发送器MAS;这在图1中以参考数字16显示。
[0077] 所述程序类似于参考图3、4、5所描述的,但是在“可替换实施例2”中特定MAS类型的命令发送器作为第三方。 除此以外,该程序中的步骤与所述第一实施例的完全等同。
[0078] 选择特定类型的命令发送器的一个好处是它可以避免必须在命令接收器上提供信息输入装置,一般的说,它通过可选择的添加允许第二认证的装置而避免产生命令接收器过多的成本费用。
[0079] 由于特定类型MAS的命令发送器在所述装置中是完全不同的,它可以包括复杂元件例如具有比通常命令发送器更多按键数量的特别键盘KBS,这样有利于用户输入加密码,并且/或者它可以包括生物特征识别传感器从而确保使用的高度安全性。
[0080] 可以在所述装置已经运行于非安全模式之后使用所述特定类型的命令发送器。例如,如同在现有技术中,命令发送器一般可以在其接收到特定命令时被复制,所述特定命令仅能由特定类型的发送器发出,并且除非所述特定类型的命令发送器包含公共钥匙,否则所述特定命令会被装置中的命令发送器所忽略。 一旦接收到所述特定命令,所述装置中的命令发送器不再能够被复制,并且根据本发明第二可替换实施例变得能够被复制,所述第三方即是发出所述特定命令的特定类型的命令发送器。
[0081] 尽管采用了特定类型MAS的命令发送器,也可以设想所述程序包括预先步骤,在该步骤中指定第三对象。在该步骤中,所述特定类型的第三命令发送器60发送命令将其指定为针对其他命令发送器40、50的第三方。该步骤在特定类型的命令发送器在所述装置已经工作于非安全模式之后投入使用的情况下非常有用。 在此情况下,第三命令发送器的标识在特定存储器中注册或者注册为在已经属于网络的每个命令发送器的第四存储器403中存储的第一标识。 还可以设想作为第三方的所述对象是“通用”对象;举例来说,这可以是商家或者安装者拥有的编程双向对象,允许实现所述信息传送程序。 然而,该对象决不是商业流通的。
[0082] 本发明还包括上述通信网络,所述通信网络包括上述双向对象,两个所述对象可以为命令发送器。 在该网络中,所述其中一个发送器的信息可以通过如上所述的第三对象的介入而传送到另一个。其中一个命令发送器存储所接收到的信息。 传送在所述网络中处于安全模式。
[0083] 本发明还包括双向命令发送器例如发送器40。 所述发送器可以包括信息传送初始化程序。这样,所述对象可以置于一定位置以执行上述程序。 所述发送器包括与另一个双向对象的认证程序,允许参与所述传送程序的对象的存在和标识被检查。 所述另一个对象是前面描述的第三方,可以为命令发送器或者接收器。 所述发送器还包括对另一个双向命令发送器的信息传送程序,所述传送程序仅在所述认证程序成功或者给出确认结果时才能够执行。而且,命令发送器40可以包括存储器403用于存储作为所述认证程序执行对象的双向对象的标识。
[0084] 所述发送器特别地提供为用于紧跟所述程序唯一地传送例如公共钥匙或者双向对象标识等信息。 而且,上述程序可以作为命令发送器40的操作程序的一部分。
[0085] 显然,本发明并不限于上述实施例。 我们仅给出了发送器和接收器之间的无线电传送作为示例,但是这是可以修改的。 本发明可以显著应用而不管所述发送器和接收器是否采用单个频率或者每个在其自身频率处发送,或者是否采用跳频或具有不同的调制。 所述程序只要所述命令发送器或者接收器为能够发送和接收的“双向对象”时均可应用。
[0086] 使用本领域公知的技术显然可以对所述消息或者标识进行编码或者加密。