防止安全系統(tǒng)和組件的劫持的系統(tǒng)和方法
【專利摘要】防止安全系統(tǒng)和組件的劫持的系統(tǒng)和方法����。例如通過區(qū)域監(jiān)測系統(tǒng)提供一種去集中化的組件作為用于如所表示的集中化系統(tǒng)架構(gòu)的過渡。去集中化的組件為通信的附加認(rèn)證提供替換的監(jiān)測服務(wù)�����。在去集中化的組件的代理檢測到存在未認(rèn)證的監(jiān)測服務(wù)的情況下,可以生成消息或者采取其它動作以響應(yīng)該監(jiān)測服務(wù)�。
【專利說明】
防止安全系統(tǒng)和組件的劫持的系統(tǒng)和方法
技術(shù)領(lǐng)域
[0001]本申請屬于防止具有集中化架構(gòu)的安全系統(tǒng)的劫持的系統(tǒng)和方法。更特別地����,本申請屬于提供去集中化的組件的這樣的系統(tǒng)和方法,去集中化的組件包括看門狗代理��,以監(jiān)測并認(rèn)證與被替換的監(jiān)測服務(wù)的通信��。
【背景技術(shù)】
[0002]安全系統(tǒng)監(jiān)測服務(wù)彼此競爭訂戶��。結(jié)果��,對于這些服務(wù)而言并非罕見的是對退出安全系統(tǒng)安裝的組件進(jìn)行修改�、替換或添加以從競爭者獲取(即,劫持)訂戶����。這是特別破壞性的,因?yàn)楸O(jiān)測服務(wù)經(jīng)常補(bǔ)貼安全系統(tǒng)組件和初始安裝的成本�����。
[0003]已知的被監(jiān)測的安全系統(tǒng)經(jīng)常利用集中化架構(gòu)��,以使得系統(tǒng)的命令和控制源自于監(jiān)測服務(wù)。這種架構(gòu)依賴于利用所監(jiān)測的安裝來保持安全通信信道的監(jiān)測服務(wù)����。如果該信道被競爭服務(wù)劫持,則競爭服務(wù)也可以劫持關(guān)聯(lián)的訂戶的賬戶和關(guān)聯(lián)的收入�。該過程經(jīng)常被提及為‘中間人’網(wǎng)絡(luò)攻擊(cyber attack)。這樣的實(shí)踐經(jīng)常違反為初始安裝付費(fèi)的監(jiān)測服務(wù)與該安裝的訂戶之間的在先合同�����。同樣地����,在安全系統(tǒng)的設(shè)計中使用的網(wǎng)絡(luò)威脅(cyber threat)模型中�����,它們也被賦予高優(yōu)先級��。
【發(fā)明內(nèi)容】
[0004]—種系統(tǒng)���,包括:通用控制元件���;多個輸入或輸出檢測器�����,耦接至所述元件�����,所述多個檢測器中的成員包括狀況傳感器�、安全傳感器或建筑自動化相關(guān)的傳感器中的至少一些;和至少一個監(jiān)測單元��,其中所述監(jiān)測單元針對指示去往或來自所述控制元件或所述多個檢測器中的成員的所選擇的通信中的至少一些為發(fā)出自未被認(rèn)證的源的一個或多個模式來評估所述通信���。
【附圖說明】
[0005]圖1圖解根據(jù)本文的系統(tǒng)的框圖��。
【具體實(shí)施方式】
[0006]盡管公開的實(shí)施例可以采取很多不同的形式����,但是在附圖中示出了其具體實(shí)施例�,并將在本公開要被看作為其原理的例證和實(shí)踐該原理的最佳模式并且并非意圖將本申請或權(quán)利要求限制于所圖解的具體實(shí)施例的理解下在此詳細(xì)描述具體實(shí)施例。
[0007]在一個方面中��,一種為了防止上面提及的未授權(quán)的劫持的目的對于上面提及的主要是集中化的系統(tǒng)架構(gòu)的去集中化組件�。更一般地,其提供了對中間人網(wǎng)絡(luò)攻擊的添加的防護(hù)。
[0008]在公開的實(shí)施例中��,去集中化的組件是通過將‘看門狗’代理設(shè)計到安全系統(tǒng)的組件(尤其是位于系統(tǒng)架構(gòu)之下的網(wǎng)絡(luò)的邊緣處的那些組件(例如��,傳感器����、設(shè)備控制點(diǎn)、訂戶接口設(shè)備����,等等))內(nèi)來實(shí)現(xiàn)的。根據(jù)本文�,看門狗代理連續(xù)地為通信的附加認(rèn)證提供監(jiān)測服務(wù)。代理還可以采用單機(jī)形式實(shí)現(xiàn)并被安裝在感興趣區(qū)域中���。
[0009]如果組件的看門狗確定通信不再是可信的,則那么該組件可以例如發(fā)起對所牽涉的各方的通知和/或以排除針對劫持的誘因這樣的方式來停止起作用或劣化其性能��。還可以提供本地認(rèn)證軟件和/或線路來評估從代理接收到的消息����。
[0010]圖1圖解根據(jù)本文的系統(tǒng)10的如上面所討論的各方面。在沒有限制的情況下�����,系統(tǒng)10的關(guān)聯(lián)類型至少包括區(qū)域安全和/或環(huán)境狀況監(jiān)測系統(tǒng)、或者建筑自動化系統(tǒng)�����。
[0011]示例性系統(tǒng)10包括系統(tǒng)控制元件(或者面板)12���。元件12可以包括多個I/O接口12a���、本地控制電路12b、認(rèn)證軟件和/或線路12c以及具有音頻/視頻輸入和輸出以使得本地用戶能夠檢查系統(tǒng)操作�、輸入注釋或參數(shù)、或如需要那樣執(zhí)行通信的本地用戶接口 12d���。
[0012]如本領(lǐng)域技術(shù)人員將理解的那樣����,元件12能夠經(jīng)由接口12a與一般地在14處指示的多個檢測器��、輸入或輸出設(shè)備通信�����。多個14(例如14i)的設(shè)備在沒有限制的情況下可以包括諸如侵入檢測器的環(huán)境狀況檢測器、諸如煙或火檢測器的狀況感測檢測器�����、以及報警指不輸入或輸出設(shè)備����。
[0013]多個14的成員可以經(jīng)由一般地在16處指示的有線或無線媒介與控制元件12通信。多個14的成員將如適當(dāng)?shù)哪菢颖话惭b在正被監(jiān)測并且控制的區(qū)域R中����。
[0014]控制元件12可以經(jīng)由一個或多個有線或無線媒介(諸如20a、b和計算機(jī)網(wǎng)絡(luò)20c)與監(jiān)測服務(wù)設(shè)施22通信����,監(jiān)測服務(wù)設(shè)施22通常不與系統(tǒng)10位于一處。設(shè)施22是被意圖經(jīng)由系統(tǒng)10提供與區(qū)域R相關(guān)的安全�����、監(jiān)測或控制功能的可信的設(shè)施����。設(shè)施22可以基于經(jīng)由本地控制元件12采集的信號和信息來評估區(qū)域R中的狀況�����。取決于環(huán)境,設(shè)施22能夠經(jīng)由網(wǎng)絡(luò)20c把關(guān)于區(qū)域R的信息或消息通信給用戶的通信設(shè)備(電話或計算機(jī))24�����。
[0015]在概念上����,將理解的是,諸如系統(tǒng)10的系統(tǒng)可以特征為具有類樹結(jié)構(gòu)�。節(jié)點(diǎn)位于樹根(下面提及為‘根’或‘根節(jié)點(diǎn)’)并且位于表示通用于安全、火情檢測或房屋自動化系統(tǒng)(下面提及為‘系統(tǒng)’)的功能的每個分支點(diǎn)���。在這種配置中����,分支表示各節(jié)點(diǎn)之間的通信流�����。
[0016]距離根最遠(yuǎn)的終端或邊緣節(jié)點(diǎn)(下面提及為‘多個邊緣’或‘邊緣’)的終端典型地表示傳感器��、設(shè)備控制點(diǎn)����、訂戶接口設(shè)備�,等等�。
[0017]根與邊緣之間的節(jié)點(diǎn)被提及為中間節(jié)點(diǎn)或簡單地提及為‘中間點(diǎn)’。根和邊緣之間的樹的結(jié)構(gòu)基于系統(tǒng)設(shè)計要求和約束不同而變化�。中間點(diǎn)典型地表示一個或多個控制面板、電源�、通信中繼器/集線器,等等�����。
[0018]根節(jié)點(diǎn)通常在物理上不與中間節(jié)點(diǎn)及邊緣節(jié)點(diǎn)的安裝地點(diǎn)位于一處��。同樣地���,中間節(jié)點(diǎn)及邊緣節(jié)點(diǎn)的邏輯分組可以在物理上被安裝在分離的地點(diǎn)��。
[0019]在系統(tǒng)安裝完成之后����,樹的根節(jié)點(diǎn)表示監(jiān)測��、命令和控制點(diǎn)����,諸如在系統(tǒng)內(nèi)具有最高權(quán)威的監(jiān)測設(shè)施22。根典型地由我們提及為監(jiān)測服務(wù)的內(nèi)容所擁有��。
[0020]監(jiān)測服務(wù)主要負(fù)責(zé)基于包括樹的各個節(jié)點(diǎn)/功能的狀態(tài)的改變來確保把被通信回根的事件通知給受影響的各方��。根所有者的次級服務(wù)是保持和/或改變系統(tǒng)的配置和功能�。
[0021]在系統(tǒng)安裝期間,根可以暫時地由系統(tǒng)的賣方和/或安裝者擁有�����。在這種情況下����,根的命令和控制功能被用于使系統(tǒng)的配置適合于安裝地點(diǎn),并且檢驗(yàn)和測試系統(tǒng)��。在安裝完成之后��,根所有權(quán)轉(zhuǎn)移至監(jiān)測服務(wù)���,雖然在某些情況下����,命令和控制功能的所有權(quán)可以由安裝服務(wù)保留或者為了維護(hù)所安裝的設(shè)備(即,地點(diǎn)維護(hù)服務(wù))的目的而轉(zhuǎn)移至分離的服務(wù)���。
[0022]在這里的實(shí)施例中����,提供防護(hù)以防止競爭單元-圖1中用虛線圖解的劫持服務(wù)器30-替換可信設(shè)施22并且與系統(tǒng)10通信��。劫持服務(wù)30可以處在遠(yuǎn)離系統(tǒng)10的任何部分或可信服務(wù)設(shè)施22的位置處����,例如存在網(wǎng)絡(luò)云連接的任何地方。
[0023]一般地在34處指示的多個代理可以被安裝在區(qū)域R中����。代理可以被實(shí)現(xiàn)為單機(jī)設(shè)備,諸如34a����、34b……34η。替換地��,代理可以被實(shí)現(xiàn)為耦接至多個14的成員的附件或模塊���,如被圖解為36a�����、b��、c......r�����。
[0024]將理解的是���,代理36可以與元件12中的認(rèn)證軟件和/或電路12c(其可以利用執(zhí)行該軟件的一個或多個微處理器實(shí)現(xiàn))彼此通信,或經(jīng)由網(wǎng)絡(luò)20c與可信的監(jiān)測服務(wù)22通信���。
[0025]代理36至少部分地實(shí)現(xiàn)次級的去集中化的監(jiān)管系統(tǒng)�,其疊加于如上面討論的更集中化的監(jiān)測系統(tǒng)10之上��。這樣的代理可被視為駐留在系統(tǒng)10的中間節(jié)點(diǎn)和/或邊緣節(jié)點(diǎn)中����。中間節(jié)點(diǎn),如本領(lǐng)域技術(shù)人員將理解那樣��,可以包括一個或多個控制面板�����、電源、通信設(shè)備或中繼器���,或者在沒有限制的情況下所有類似物�����。在完全沒有限制的情況下����,邊緣節(jié)點(diǎn)可以包括檢測器���、設(shè)備控制點(diǎn)��、報警指示傳送站(alarm indicting pull stat1n)���、用戶接口設(shè)備。
[0026]在一個方面中�����,代理可以被動地監(jiān)測在相應(yīng)的節(jié)點(diǎn)內(nèi)的起源自本地的事件。替換地����,相應(yīng)的代理可以監(jiān)測系統(tǒng)寬度的事件。代理搜索指示系統(tǒng)根權(quán)威例如監(jiān)測服務(wù)設(shè)施22已經(jīng)受危害的模式��。在另一方面中�,代理可以主動地引發(fā)可以指示服務(wù)設(shè)施22由于正被劫持服務(wù)設(shè)施30替換而已經(jīng)受危害的本地事件以及系統(tǒng)寬度的事件�。
[0027]如果代理確定根權(quán)威已經(jīng)受危害(例如,被競爭服務(wù)提供者劫持)�,則其發(fā)起要由掌控上面提及的(多個)節(jié)點(diǎn)和(多個)代理的設(shè)備執(zhí)行的反擊措施動作(下面提及為‘反擊措施’)。反擊措施的細(xì)節(jié)和嚴(yán)厲度是通過考慮系統(tǒng)安裝及其用戶的特性而確定的��。
[0028]如果居住賬戶已受危害/被劫持����,則那么把用戶不滿意朝向劫持者的服務(wù)引導(dǎo)的更恰當(dāng)且模糊的響應(yīng)可能是適宜的。該響應(yīng)可以允許系統(tǒng)繼續(xù)工作���,但通過劫持者的服務(wù)來生成在地點(diǎn)訪問上要求高昂的間歇的�、偽造的��、并且討厭的診斷消息����。
[0029]另一方面�,如果系統(tǒng)是安裝在銀行中的���,則響應(yīng)可以包括對用戶的生硬警告:由于系統(tǒng)的網(wǎng)絡(luò)安全已經(jīng)受危害�,因此系統(tǒng)已停止操作�����。
[0030]上面描述的示例響應(yīng)可以由諸如用戶接口或傳感器的邊緣設(shè)備發(fā)起并且自主地實(shí)現(xiàn)����。
[0031]上面圖解了本文的去集中化的且存在細(xì)微差別的方面。同樣地��,其如何增強(qiáng)對付系統(tǒng)劫持者和網(wǎng)絡(luò)威脅的集中化的方面�。
[0032]根據(jù)前述,將察覺到在不脫離本發(fā)明的精神和范圍的情況下��,很多的變形和修改可以被執(zhí)行���。要理解的是�����,并非意圖或者不應(yīng)當(dāng)推斷出關(guān)于在此圖解的特定裝置進(jìn)行限制����。當(dāng)然,意圖的是通過所附權(quán)利要求來覆蓋落在權(quán)利要求的范圍內(nèi)的所有這樣的修改�。進(jìn)一步地,圖中描繪的邏輯流程不要求所示出的特定順序或順次的順序來實(shí)現(xiàn)想要的結(jié)果����。可以提供其它的步驟����,或者可以從所描述的流程中消除步驟����,并且可以添加其它的組件,或者從所描述的實(shí)施例中移除組件����。
【主權(quán)項(xiàng)】
1.一種系統(tǒng),包括: 通用控制元件���; 多個輸入或輸出檢測器��,耦接至所述元件����,所述多個檢測器中的成員包括狀況傳感器、安全傳感器或建筑自動化相關(guān)的傳感器中的至少一些;和 至少一個監(jiān)測單元���,其中所述監(jiān)測單元針對指示去往或來自所述控制元件或所述多個檢測器中的成員的所選擇的通信中的至少一些為發(fā)出自未被認(rèn)證的源的一個或多個模式來評估所述通信���。2.如權(quán)利要求1所述的系統(tǒng),其中所述源包括與所述控制元件或所述多個檢測器中的成員中的至少一些通信的監(jiān)測服務(wù)設(shè)施����。3.如權(quán)利要求2所述的系統(tǒng),其中在監(jiān)測單元感測到未被認(rèn)證的源的情況下��,實(shí)現(xiàn)生成通知消息���、或更改至少一個系統(tǒng)組件的性能中的至少一個�����。4.如權(quán)利要求2所述的系統(tǒng)�����,其中響應(yīng)于成功的認(rèn)證�,監(jiān)測單元更新本地日志。5.如權(quán)利要求4所述的系統(tǒng)���,其中所述單元將認(rèn)證標(biāo)記傳送至所述控制元件����。6.如權(quán)利要求1所述的系統(tǒng)�����,其包括多個監(jiān)測單元���,其中所述單元能夠監(jiān)測在系統(tǒng)中引發(fā)的事件����,或者引發(fā)事件以確定響應(yīng)從而確定任何事件或?qū)τ谄涞捻憫?yīng)是否發(fā)出自認(rèn)證的源�。7.如權(quán)利要求5所述的系統(tǒng)���,其包括多個監(jiān)測單元����,其中所述單元能夠監(jiān)測在系統(tǒng)中引發(fā)的事件,或者引發(fā)事件以確定響應(yīng)從而確定任何事件或?qū)τ谄涞捻憫?yīng)是否發(fā)出自認(rèn)證的源�����。8.如權(quán)利要求6所述的系統(tǒng)�����,其中所述監(jiān)測單元包括去集中化的組件��,所述去集中化的組件至少間歇地嘗試認(rèn)證與所述控制元件或檢測器中的一個或多個通信的源��。9.如權(quán)利要求8所述的系統(tǒng)���,其中在認(rèn)證的源的情況下����,所述控制元件繼續(xù)將本地感測到的狀況通信給所述源�。10.如權(quán)利要求9所述的系統(tǒng),其中在不能被認(rèn)證的源的情況下����,所述單元對至少所述控制元件提供指示所檢測到的未認(rèn)證的源的標(biāo)記。
【文檔編號】H04L29/06GK105871818SQ201610169414
【公開日】2016年8月17日
【申請日】2016年2月5日
【發(fā)明人】T·P·施米特
【申請人】霍尼韋爾國際公司