專利名稱:確定設(shè)備之間的認(rèn)證優(yōu)先權(quán)的系統(tǒng)及相關(guān)方法
技術(shù)領(lǐng)域:
本發(fā)明的實施例通常涉及通信系統(tǒng)安全�,并且��,更特別地涉及確定設(shè)備之間的認(rèn)證優(yōu)先權(quán)的系統(tǒng)及相關(guān)方法�����。
背景技術(shù):
在通信系統(tǒng)中����,通常需要或至少希望確認(rèn)正在與之通信的遠(yuǎn)程設(shè)備的身份。事實上�����,很多通信系統(tǒng)標(biāo)準(zhǔn)會要求通信中的用戶雙方認(rèn)證彼此的身份。認(rèn)證中的上述等級通常被稱為雙路�����、相互或雙向的認(rèn)證��。
實現(xiàn)上述相互認(rèn)證的傳統(tǒng)方法需要使用至少兩個信息序列����,第一個促使用戶A認(rèn)證用戶B���,第二個促使用戶B認(rèn)證用戶A��。然而�,可能會有這樣的情況��,用戶中的一個或更多個不想對其他用戶展示其身份�����,除非其他用戶先展示自己的身份���。在這種情況下�,可能永遠(yuǎn)不會發(fā)生認(rèn)證,并且失去了通信的機會�����。
通過實例而不是限定的方式圖解說明了本發(fā)明的實施例����,在附圖中相同的附圖標(biāo)記指示相同的部件,并且其中附圖1是通信環(huán)境的實例的方塊圖��,其中可以實現(xiàn)本發(fā)明的講授��;附圖2是根據(jù)本發(fā)明的僅僅一個示范性實施例的示范性安全代理的方塊圖�����,經(jīng)由其可以建立認(rèn)證優(yōu)先權(quán)��;附圖3是根據(jù)本發(fā)明僅僅一個示范性實施例的用于確定認(rèn)證優(yōu)先權(quán)的示范性方法的流程圖���;附圖4是展示了根據(jù)一個示范性實施例的用于確定認(rèn)證優(yōu)先權(quán)的方法的通信流程圖��;附圖5是展示了根據(jù)一個示范性實施例的用于確定認(rèn)證優(yōu)先權(quán)的方法的通信流程圖�;附圖6是展示了根據(jù)一個示范性實施例的用于確定認(rèn)證優(yōu)先權(quán)的方法的通信流程圖;而且附圖7是產(chǎn)品的示范性項目的方塊圖�,其中包括內(nèi)容,當(dāng)設(shè)備訪問該內(nèi)容時��,該內(nèi)容促使設(shè)備實現(xiàn)本發(fā)明的一個或更多實施例的一個或更多方面�。
具體實施例方式
這里一般地介紹了用于在設(shè)備之間確定認(rèn)證優(yōu)先權(quán)的系統(tǒng)和相關(guān)方法的實施例。在這點上���,根據(jù)本發(fā)明的僅僅一個示范性實施例的講授,引進(jìn)了安全代理作為認(rèn)證的預(yù)報器���,有選擇地改變認(rèn)證策略的至少一個子集��。安全代理比較所接收到的遠(yuǎn)程設(shè)備的認(rèn)證策略的至少一個子集和本地認(rèn)證策略的至少一個子集�,以確定相關(guān)的認(rèn)證優(yōu)先權(quán)�����,也就是�����,哪個設(shè)備必須先向另一個設(shè)備認(rèn)證。
涉及整個上述說明書的“一個實施例”或“實施例”意味著所描述的關(guān)于該實施例的特定特點����、結(jié)構(gòu)或特征是包括在本發(fā)明的至少一個實施例中。因而�����,遍布本說明書不同地方的詞句“一個實施例中”或“實施例中”的出現(xiàn)��,并不一定都指的是相同的實施例���。此外�,在一個或多個實施例中���,特定的特點�、結(jié)構(gòu)或特征可能以任何適合的方式結(jié)合�。
網(wǎng)絡(luò)環(huán)境的實例附圖1圖解說明了示例性通信環(huán)境的方塊圖,在該環(huán)境中可以實行本發(fā)明的實施例��。根據(jù)附圖1所示的示例性實施例�����,兩個或更多設(shè)備102和104被描述為在經(jīng)由一個或更多無線通信信道106的可選的通信中。為了便于上述通信��,設(shè)備102��、104中的每個被描述為包括一個或更多收發(fā)器元件108�、110,每個所述收發(fā)器元件包括至少一個發(fā)射器和至少一個接收器��,然而本發(fā)明并不限于該方面��。
根據(jù)本發(fā)明的講授�,設(shè)備102、104中的一個或更多可以包括安全代理的實施例����,例如112和/或114�,以確定用于在設(shè)備之間認(rèn)證的相關(guān)次序(即認(rèn)證優(yōu)先權(quán))。根據(jù)一個示范性實施例�,一個或更多安全代理112、114可以與遠(yuǎn)程設(shè)備交換認(rèn)證策略的至少一個子集�����,比較所接收到的認(rèn)證信息(或者其子集)和本地認(rèn)證策略的至少一個子集����,并且至少部分基于比較結(jié)果��,確定設(shè)備102��、104中的哪個應(yīng)該開始實際認(rèn)證過程�,該實施例將在后面更充分地描述����。該認(rèn)證策略的確定、以及解決認(rèn)證策略沖突的機制的實例將在后面更充分地展開�����。
根據(jù)下面的描述���,很明顯在本發(fā)明范圍內(nèi)的大量可選實施例的任何一個實施例中都可以很好地實現(xiàn)創(chuàng)新性的安全代理�。實例的實現(xiàn)可以適當(dāng)?shù)匕ㄔ诰W(wǎng)絡(luò)接口卡上的收發(fā)器(例如�,在媒體訪問控制器(MAC)中,并未特別地示出)中的配置(例如����,收發(fā)器110中的代理114),作為設(shè)備中的軟件應(yīng)用設(shè)備(未特別地示出)�����,或者作為對訪問設(shè)備來說可用的服務(wù)器(未特別地示出),然而本發(fā)明的范圍并不限于此方面���。
本領(lǐng)域的技術(shù)人員將會理解����,通信環(huán)境100可以適當(dāng)?shù)乇硎救魏伪绢I(lǐng)域已知的多個有線或無線的通信和/或數(shù)據(jù)網(wǎng)絡(luò)���。在這方面���,如果沒有與創(chuàng)新性的安全代理的關(guān)聯(lián),設(shè)備102和設(shè)備104將會表示本領(lǐng)域包括的廣泛范圍的電子應(yīng)用設(shè)備中的任意一個��,而不限于無線通信設(shè)備(例如�����,蜂窩電話���、個人通信設(shè)備等)、具有通信性能的計算設(shè)備(例如膝上型電腦���、掌上型電腦��、個人數(shù)字助理)���、網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)裝備(基站���、用戶站、網(wǎng)絡(luò)集線器�����、路由器等)等�����,或其中的任意組合���。
類似的�,如果沒有安全代理(參見��,例如114)的可能性整合��,收發(fā)器108和110意圖表示現(xiàn)有技術(shù)中廣泛范圍的任何收發(fā)器�、或完全不同的發(fā)射器/接收器對中的任何一個����。在這方面�����,該收發(fā)器可以適當(dāng)?shù)赜蔁o線電頻率收發(fā)器元件��、光學(xué)收發(fā)器元件�����、次RF電收發(fā)器等等�����,或者其中的任意組合構(gòu)成�。類似地,通信信道106意圖表示根據(jù)收發(fā)器108����、110的操作參數(shù)和特征所設(shè)置的一個或多個無線通信信道。
為了解說的方便��,并且非限定性地�,在無線通信系統(tǒng)應(yīng)用的范圍內(nèi)展開創(chuàng)新性安全代理的示范性實施例,然而本發(fā)明的范圍并不限于該方面����。更具體地,依照僅僅一個示范性實施例�,根據(jù)電氣和電子工程師協(xié)會(IEEE)中的發(fā)展中的802.16標(biāo)準(zhǔn),通信環(huán)境100可以表示為在基站(104)和一個或更多用戶站102之間的無線城域網(wǎng)(WMAN)通信環(huán)境�����。在這方面���,收發(fā)器108����、110可以表示對生成由新興802.6物理層(PHY)標(biāo)準(zhǔn)所定義的通信信道106來說是必需的收發(fā)器元件(發(fā)射器和/或接收器)���,然而本發(fā)明并不限于此(參見�����,例如�����,IEEE Std.802.16-2001.����;用于本地和城域網(wǎng)的IEEE標(biāo)準(zhǔn);篇16固定寬帶無線訪問系統(tǒng)的空中接口)���。
安全代理體系結(jié)構(gòu)的實例附圖2示出了根據(jù)本發(fā)明僅一個示范性實施例的安全代理體系結(jié)構(gòu)200的實例的方塊圖�����。根據(jù)附圖2所示的示范性實施例��,安全代理200如所述包括一個或更多個控制邏輯202����、認(rèn)證引擎204���、存儲器206和一個或更多輸入/輸出(I/O)接口208����,每個如圖所示地連接��。
存儲器206如所述包括一個或更多個安全參數(shù)210、認(rèn)證策略212��,以及可選的�����,一個或更多個應(yīng)用設(shè)備(例如�,認(rèn)證應(yīng)用設(shè)備���、安全應(yīng)用設(shè)備��、用戶接口或支持上述的任何通信應(yīng)用設(shè)備)214���。可以理解安全代理200可以適當(dāng)?shù)匾杂布?�、軟件���、固件或其任意組合實現(xiàn)�。此外��,雖然被描述為很多分離的元件�,本領(lǐng)域的技術(shù)人員可以理解,在本發(fā)明的范圍和實質(zhì)中可以預(yù)料到復(fù)雜性更高或更低、但是仍然在實際認(rèn)證之前確定認(rèn)證的相對優(yōu)先權(quán)的安全代理���。
如這里所使用的���,控制邏輯202可以控制安全代理200的全部操作。如下所述��,響應(yīng)于內(nèi)部或外部的刺激�,邏輯控制202可以有選擇地調(diào)用認(rèn)證引擎204的實例以確定相對的優(yōu)先權(quán)。在這方面�����,如果沒有其與安全代理200的創(chuàng)新性特征的相關(guān)聯(lián)的使用����,邏輯控制202意圖表示廣泛范圍的邏輯控制中的任意一個,邏輯控制的范圍包括但不限于微處理器�����、控制器���、現(xiàn)場可編程門陣列(FPGA)等等����、實現(xiàn)上述功能的軟件,或其組合�����。
相似地����,若不是存儲器206的使用是根據(jù)安全代理200的示范性實施例�,存儲器206意圖表示廣泛范圍的存儲技術(shù)的任何一個,該存儲技術(shù)包括但不限于易失存儲器����、非易失存儲器、可編程存儲器(例如���,可變的等)��、通信信道存儲器(例如傳播的信號等)等等���,然而本發(fā)明不限于此方面。如這里使用的���,安全參數(shù)210可以包括一個或更多個安全設(shè)置����、安全策略、安全密鑰等等�����。根據(jù)本發(fā)明的一個實施例����,安全參數(shù)210包括一個或更多個(例如,三個)密鑰���,安全代理200在實現(xiàn)一個或更多個通信信息的3倍數(shù)據(jù)加密標(biāo)準(zhǔn)(3DES)密碼術(shù)時有選擇地使用該密鑰����,然而本發(fā)明不限于此方面�。
輸入輸出(I/O)接口208使能一個或更多個元件(202-206)與(例如,主機設(shè)備的)外部和/或遠(yuǎn)程元件通信��。根據(jù)一個示范性實施例���,安全代理200可以與通過上述I/O接口208與本地收發(fā)器通信��,以生成���、發(fā)出和接收對于在該安全代理和該遠(yuǎn)程設(shè)備之間確定認(rèn)證優(yōu)先權(quán)來說是必需的一個或更多個信息�。在這方面���,I/O接口意圖表示技術(shù)領(lǐng)域中公知的很多種有線或無線通信接口中的任意一個�。
認(rèn)證引擎204可以被控制邏輯202有選擇地調(diào)用��,以在本地設(shè)備和遠(yuǎn)程設(shè)備之間確定相對的認(rèn)證優(yōu)先權(quán)����。在這方面�����,認(rèn)證引擎204生成并且發(fā)出(例如��,通過I/O接口208和相關(guān)聯(lián)的收發(fā)器)包括本地認(rèn)證策略的至少一個子集的一個或更多個信息到遠(yuǎn)程設(shè)備��。根據(jù)一個示范性實施例��,認(rèn)證策略212可以與設(shè)備整體相關(guān)聯(lián)���,或者與設(shè)備中的個別代理/線程相關(guān)聯(lián)��。
認(rèn)證策略212可以包括表示認(rèn)證優(yōu)先級的內(nèi)容�����,該認(rèn)證優(yōu)先級表示本地設(shè)備是否需要遠(yuǎn)程設(shè)備的優(yōu)先認(rèn)證作為認(rèn)證本地設(shè)備的先決條件(即��,實質(zhì)上需要遠(yuǎn)程設(shè)備先展示其身份)���。根據(jù)一個示范性實施例���,認(rèn)證優(yōu)先權(quán)可以由單個比特表示(0)本地優(yōu)先權(quán),或者(1)遠(yuǎn)程優(yōu)先權(quán)(或者隨意的)���。該認(rèn)證優(yōu)先權(quán)指示器可以適當(dāng)?shù)厍度氡簧捎糜谙蜻h(yuǎn)程設(shè)備傳送的信息(或數(shù)據(jù)報)的頭標(biāo)題字段�、安全字段�����、有效載荷字段或特殊的認(rèn)證字段中�����。在可替換的實施例中,更高或更低復(fù)雜度的認(rèn)證優(yōu)先權(quán)的指示可以適當(dāng)?shù)卦诒景l(fā)明的范圍和實質(zhì)中使用�。
根據(jù)一個示范性實施例,認(rèn)證策略212還可以包括與發(fā)送設(shè)備相關(guān)的設(shè)備類別的指示��。根據(jù)一個示范性實施例���,設(shè)備類別的指示器(或有效位)可以用于解決設(shè)備之間的優(yōu)先權(quán)等級方面的任何沖突(即�,兩個設(shè)備都宣稱自己具有高于對方的認(rèn)證優(yōu)先權(quán))���。在兩個認(rèn)證策略(本地和遠(yuǎn)程)都指示相同的認(rèn)證優(yōu)先權(quán)等級的情況下��,認(rèn)證引擎204因而可以瀏覽與兩個設(shè)備相關(guān)的設(shè)備類別指示器����,以解決該沖突���。如上所述,可以適當(dāng)?shù)厥褂脝蝹€比特標(biāo)志符�,例如(0)用于低有效位或(1)用于高有效位,然而本發(fā)明不限于此方面�����。在特定的實施例中,可以使用兩比特字段���,其中一個比特與認(rèn)證策略相關(guān)而另一個比特與設(shè)備的有效位相關(guān)�,然而本發(fā)明并不限于此方面�����。
對于某些內(nèi)部或外部的刺激��,安全代理200可以有選擇地調(diào)用認(rèn)證引擎204的實例����,以確定至少兩個設(shè)備-本地設(shè)備和遠(yuǎn)程設(shè)備之間的相對的認(rèn)證優(yōu)先權(quán)。在此方面�,認(rèn)證引擎204可以生成并且發(fā)出包括本地認(rèn)證策略212的至少一個子集的信息(或者數(shù)據(jù)報)到遠(yuǎn)程設(shè)備。如這里所使用的�����,內(nèi)部和外部的刺激可以包括一個或更多個周期性的或隨機的指示����,以完成來自主機設(shè)備的認(rèn)證、來自遠(yuǎn)程設(shè)備的信息(例如����,廣播信標(biāo)���、無線電尋呼信號或顯像信號)接收等等。本地認(rèn)證策略212的子集可以由通過一個或更多個通信信道(帶內(nèi)和/或帶外的)從本地設(shè)備發(fā)送到遠(yuǎn)程設(shè)備的已生成的數(shù)據(jù)報(例如��,信息包��、字����、字節(jié)等)的頭標(biāo)題字段、安全字段��、認(rèn)證字段或有效負(fù)荷字段中的任何一個或多個來表示�����。
可能是響應(yīng)認(rèn)證引擎204所發(fā)出的信息���,認(rèn)證引擎204還可以從遠(yuǎn)程設(shè)備接收信息(或數(shù)據(jù)報),其包括與遠(yuǎn)程設(shè)備相關(guān)的認(rèn)證策略的至少一個子集��。對于從遠(yuǎn)程設(shè)備接收到的認(rèn)證策略的至少一個子集��,認(rèn)證引擎204可以比較該信息的內(nèi)容與本地認(rèn)證策略212的至少一個子集,以確定設(shè)備之間相對的認(rèn)證優(yōu)先權(quán)�。根據(jù)一個實施例,認(rèn)證引擎204可以比較一個或更多個認(rèn)證優(yōu)先權(quán)的指示和可選的設(shè)備類別��,以確定接下來哪個認(rèn)證策略會控制雙向認(rèn)證過程�����,也就是哪個設(shè)備將不得不開始認(rèn)證��,首先揭露自己的身份��。
如這里所用到的�����,在認(rèn)證策略212(例如�,認(rèn)證優(yōu)先權(quán)、設(shè)備類別等)和/或安全參數(shù)210內(nèi)的一個或更多個認(rèn)證信息的確定和總數(shù)可以以任何方式的方向和時間發(fā)生����。根據(jù)一個實施例,在設(shè)備的制造期間確定內(nèi)容(210���,212)�。根據(jù)一個實施例,安全參數(shù)210可以在制造期間被確定��,而認(rèn)證策略212可以由終端用戶(例如��,管理員)建立�,或反之亦然。上述的任何數(shù)量上的改變在本發(fā)明的實質(zhì)和范圍內(nèi)都是可預(yù)料的�����。
安全代理操作的實例已經(jīng)介紹了安全代理200的體系結(jié)構(gòu)和操作環(huán)境的示范性實施例�,現(xiàn)在把注意力指向附圖3,其中展示了根據(jù)一個示范性實施例的��、用于確定兩個或更多個設(shè)備之間的相對認(rèn)證優(yōu)先權(quán)的示范性方法的流程圖��。為了說明的方便�,并且不是限定性的,附圖3的方法的展開在適當(dāng)?shù)臅r候繼續(xù)引用附圖1和2�。不過,顯而易見的是���,附圖3的講授可以適當(dāng)?shù)匾蕴鎿Q的體系結(jié)構(gòu)和/或通信環(huán)境實現(xiàn),而不背離本發(fā)明的實質(zhì)和范圍。
附圖3是根據(jù)本發(fā)明的一個示范性實施例的���、用于確定兩個或更多個設(shè)備的相對認(rèn)證優(yōu)先權(quán)的示范性方法的流程圖���。根據(jù)附圖3所示的示范性實施例,該方法開始于塊302����,其中第一設(shè)備102(例如,如上所述的WMAN范例中的用戶站)識別要與其建立通信的遠(yuǎn)程設(shè)備104(例如��,基站)�����。根據(jù)一個示范性實施例����,該識別可以是從遠(yuǎn)程設(shè)備104接收信標(biāo)或無線電信號的結(jié)果?����?商鎿Q地��,設(shè)備102可以時常決定去再)認(rèn)證可訪問的設(shè)備(例如,104)�。不管該動力是內(nèi)部或外部刺激的結(jié)果,設(shè)備102在實際認(rèn)證開始之間���,調(diào)用安全代理112的實例���,以確定設(shè)備(102,104)之間的相對認(rèn)證優(yōu)先權(quán)��。
在塊304�,安全代理112可以有選擇地開始與遠(yuǎn)程設(shè)備104交換其自身認(rèn)證策略212的至少一個子集。更具體地��,如上所述�����,安全代理112的控制邏輯202可以調(diào)用認(rèn)證引擎204的一個實例���,以生成并向遠(yuǎn)程設(shè)備發(fā)送信息����,該信息包括認(rèn)證策略的至少一個子集��。根據(jù)一個示范性實施例,該信息可以包括認(rèn)證信息��,例如一個或更多個認(rèn)證優(yōu)先權(quán)和/或與設(shè)備102相關(guān)的設(shè)備有效位����。由認(rèn)證引擎204生成的該信息經(jīng)由I/O接口208被傳送到相關(guān)的收發(fā)器108���,最終至少傳送到遠(yuǎn)程設(shè)備104��。
在塊306中����,安全代理112的認(rèn)證引擎204可以比較與設(shè)備104相關(guān)的認(rèn)證信息和本地認(rèn)證策略信息�����,以鑒定哪個設(shè)備(102�����,或104)享有高于另一個設(shè)備的認(rèn)證優(yōu)先權(quán)(即哪個設(shè)備必須開始認(rèn)證�,先公開自身的身份)。
更具體地����,根據(jù)一個示范性實施例�����,認(rèn)證引擎204可以從遠(yuǎn)程設(shè)備104接收響應(yīng)信息�,該響應(yīng)信息包括與遠(yuǎn)程設(shè)備104的認(rèn)證策略212的至少一個子集相關(guān)的認(rèn)證信息(例如��,認(rèn)證優(yōu)先權(quán)��、設(shè)備類別等)���。本地設(shè)備102和/或遠(yuǎn)程設(shè)備104兩者之一或兩者的認(rèn)證引擎204響應(yīng)認(rèn)證信息的交換����,可以確定是設(shè)備102的認(rèn)證策略還是設(shè)備104的認(rèn)證策略控制了哪個設(shè)備必須先認(rèn)證����。特別地,在一個或更多個設(shè)備102�、104中的認(rèn)證引擎204比較該認(rèn)證信息,以確定是否上述設(shè)備中的一個具有更高的認(rèn)證優(yōu)先權(quán)和/或設(shè)備類別���。
根據(jù)一個實施例����,如果來自兩個設(shè)備的認(rèn)證信息享有共同的優(yōu)先權(quán),設(shè)備中的認(rèn)證代理204可以通過設(shè)備有效位指示器的分析來打斷該“連接”����。
示范性應(yīng)用和實施例這里所描述的上述方法的示范性實施例是參照下面附圖4-6的通信流程圖的進(jìn)一步闡述。特別地�����,下面的通信流程圖闡述了根據(jù)一個示范性WMAN實施方案的三個替換的方案�����。在第一個方案(附圖4)中�,本地設(shè)備102(例如����,用戶站)和遠(yuǎn)程設(shè)備104(例如,基站)中的每一個都享有相同的認(rèn)證優(yōu)先權(quán)等級���。在第二個方案(附圖5)中��,本地設(shè)備102具有較高的認(rèn)證優(yōu)先權(quán)��。第三個方案(附圖6)是代表這樣一種情形�,其中本地設(shè)備102希望開始認(rèn)證而不管遠(yuǎn)程設(shè)備104的認(rèn)證優(yōu)先權(quán)。
參照附圖4��,通信流程圖展示了根據(jù)一個示范性實施例的用于確定認(rèn)證優(yōu)先權(quán)的方法��。如上所述�����,附圖4的通信流程圖是一種情形的代表����,其中設(shè)備102、104中的每一個享有相同的認(rèn)證優(yōu)先權(quán)���,也就是�,兩個設(shè)備的認(rèn)證策略都要求另一個設(shè)備開始認(rèn)證(即首先揭示它的身份)�。
如上所述,附圖4的過程開始于信息402的生成和發(fā)出�,信息402包括與發(fā)送設(shè)備相關(guān)的認(rèn)證策略的至少一個子集。根據(jù)一個實施例�����,該認(rèn)證策略的子集包括認(rèn)證信息,例如認(rèn)證優(yōu)先權(quán)等級和/或設(shè)備類別信息的一個或者多個�����。根據(jù)一個示范性實施例�����,該發(fā)送設(shè)備是期望與基站104認(rèn)證的用戶站102�。
對于信息402的接收,遠(yuǎn)程設(shè)備104中的安全代理114響應(yīng)信息404��,該信息404包括與遠(yuǎn)程設(shè)備104相關(guān)的認(rèn)證策略的至少一個子集���。如上所述,該信息可以包括認(rèn)證信息����,該認(rèn)證信息包括與遠(yuǎn)程設(shè)備例如104相關(guān)的一個或更多個認(rèn)證優(yōu)先權(quán)等級和/或設(shè)備類別信息。
對于從遠(yuǎn)程設(shè)備104接收認(rèn)證策略的至少一個子集�,安全代理112調(diào)用認(rèn)證引擎204的一個實例,以比較從遠(yuǎn)程設(shè)備104接收到的認(rèn)證信息和包括在本地認(rèn)證策略中的認(rèn)證信息�。特別地,認(rèn)證引擎204比較遠(yuǎn)程設(shè)備104的認(rèn)證優(yōu)先權(quán)等級和本地設(shè)備102的認(rèn)證優(yōu)先權(quán)等級����。類似地�,遠(yuǎn)程設(shè)備104中的安全代理114調(diào)用認(rèn)證引擎204以獨立地執(zhí)行該分析并且識別哪個設(shè)備享有認(rèn)證優(yōu)先權(quán)��。根據(jù)該示范性方案���,它們都是相同的(例如“0”)��,每個設(shè)備都要求另一個設(shè)備開始認(rèn)證���。根據(jù)示范性實施例,該過程可以在該點終止����,而沒有后繼的認(rèn)證過程-也就是一個僵局。
在可替換實施例中(由虛線表示的)���,如上所述�����,安全代理112���、114中的認(rèn)證引擎204沒有屈從現(xiàn)在的僵局�����,而是可以比較遠(yuǎn)程設(shè)備和本地設(shè)備的設(shè)備類別指示��,以解決該沖突���。在該情況下,安全代理112�、114至少部分基于較高的設(shè)備類別,確定本地設(shè)備102享有認(rèn)證優(yōu)先權(quán)���,并且遠(yuǎn)程設(shè)備用一個或更多個信息406開始認(rèn)證過程����。一旦遠(yuǎn)程設(shè)備104被本地設(shè)備102認(rèn)證�,本地設(shè)備102通過發(fā)出一個或更多個認(rèn)證信息408完成相互的認(rèn)證�。
附圖5是展示了根據(jù)一個示范性實施例的、用于確定認(rèn)證優(yōu)先權(quán)的方法的通信流程圖����。更具體地,如上所述,附圖5展示了一種情況���,其中本地設(shè)備102享有比遠(yuǎn)程設(shè)備104高的認(rèn)證優(yōu)先權(quán)等級����,要求該遠(yuǎn)程設(shè)備開始認(rèn)證過程(在本地設(shè)備對遠(yuǎn)程設(shè)備104認(rèn)證之前�����,對本地設(shè)備102認(rèn)證其自身)����。
簡單地說,如上所述��,本地設(shè)備102生成并向遠(yuǎn)程設(shè)備104發(fā)出信息502�����,該信息502包括與本地設(shè)備102相關(guān)的認(rèn)證策略的至少一個子集�����。認(rèn)證策略的子集可以包括一個或更多個認(rèn)證優(yōu)先權(quán)等級和/或設(shè)備類別信息�。在該實例中���,設(shè)備104中的安全代理114調(diào)用認(rèn)證引擎204的一個實例,以分析在所接收的信息中嵌入的認(rèn)證策略的子集�����,并且確定設(shè)備102享有比設(shè)備104高的認(rèn)證優(yōu)先權(quán)����。因此,設(shè)備104在設(shè)備102之前開始認(rèn)證信息504��,因而完成與信息506的相互認(rèn)證��。
附圖6是展示了根據(jù)一個示范性實施例���、用于確定認(rèn)證優(yōu)先權(quán)的方法的流程圖���。
更具體地,如上所述���,附圖6表示了一種情形,其中本地設(shè)備102不要求遠(yuǎn)程設(shè)備開始認(rèn)證�。在這種情況下��,本地設(shè)備102可以生成并發(fā)出信息602����,其包括在開始認(rèn)證之前的認(rèn)證策略212的至少一個子集�,但是并不需要這樣做。換句話說�,由于設(shè)備102的認(rèn)證策略212并不要求遠(yuǎn)程設(shè)備104的在先認(rèn)證,本地設(shè)備102可以只根據(jù)其自身的協(xié)議開始認(rèn)證�,如信息604所表示的。如所示出的�,在(或并行于)設(shè)備102對設(shè)備104的認(rèn)證時,設(shè)備104生成并發(fā)送信息606以完成設(shè)備104到設(shè)備102的相互認(rèn)證���。
可替換實施例附圖7是示出了包括某個內(nèi)容的示范性存儲媒介的方塊圖���,當(dāng)該內(nèi)容被訪問時,會促使某個電子應(yīng)用設(shè)備實現(xiàn)安全代理200和/或相關(guān)的方法300-600的一個或更多個方面���。在此方面�����,存儲媒介700包括內(nèi)容702(例如�,指令、數(shù)據(jù)或其任意組合)����,如上所述,當(dāng)內(nèi)容702被執(zhí)行時會使得該應(yīng)用設(shè)備實現(xiàn)安全代理200的一個或更多個方面�����。
機器可讀(存儲)媒介700可以包括但是不限于軟盤�����、光盤�����、CD-ROM和磁光盤��、ROM�����、RAM�、EPROM、EEPROM���、磁或光卡��、閃存或適用于存儲電指令的其他類型的媒體/機器可讀媒介�。此外����,本發(fā)明還可以作為計算機程序產(chǎn)品下載,其中該程序經(jīng)由通信線路(例如����,調(diào)制解調(diào)器、無線或網(wǎng)絡(luò)連接)作為體現(xiàn)為載波或其他傳播媒介的數(shù)字信號從遠(yuǎn)程計算機傳送到請求的計算機�。
如上所述,為了解釋的目的��,闡述了很多特定的細(xì)節(jié)以提供對本發(fā)明的詳盡理解��。然而��,對于本領(lǐng)域的技術(shù)人員來說顯而易見的是�����,沒有某些上述的特定細(xì)節(jié)����,本發(fā)明也可以實現(xiàn)����。在其他實例中�,公知的結(jié)構(gòu)和設(shè)備以方塊圖的形式示出。
本發(fā)明的實施例可以在多種應(yīng)用設(shè)備中使用�����。雖然本發(fā)明并不限于該方面�����,在其他的電子的部件中��,其中所公開的電路可以在微處理器�����、通用微處理器�、數(shù)字信號處理器(DPS)、精簡指令集計算機(RISC)�����、復(fù)雜指令集計算機(CISC)中使用。然而�,可以理解的是本發(fā)明的范圍并不限于上述實例。
本發(fā)明的實施例還可以包括在稱為磁心存儲器����、高速緩沖存儲器或其他類型存儲器的集成電路模塊中����,上述其他類型的存儲器存儲由微處理器執(zhí)行的電子的指令,或存儲可以在算術(shù)操作中使用的數(shù)據(jù)���。通常����,根據(jù)所聲明的主題使用多級多米諾邏輯的實施例可以為微處理器提供好處�,而且特別地,可以被并入存儲器設(shè)備的地址解碼器��。注意上述實施例可以被并入無線電系統(tǒng)或手持便攜式設(shè)備��,尤其是當(dāng)設(shè)備依賴于減少功耗時����。因而�,膝上型電腦�����、蜂窩無線電話通信系統(tǒng)�、雙向無線電通信系統(tǒng)、單向?qū)ず魴C��、雙向?qū)ず魴C��、個人通信系統(tǒng)(PCS)�、個人數(shù)字助理(PDA)、照相機和其他產(chǎn)品都可以包括在本發(fā)明的范圍內(nèi)�����。
本發(fā)明包括多種的操作���。本發(fā)明的操作可以由硬件部件執(zhí)行�����,或可以包含在機器可執(zhí)行內(nèi)容(例如�����,指令)中���,其可以用于使得通用或特殊用途處理器或者用指令編程的邏輯電路執(zhí)行該操作�??商鎿Q地,該操作可以由硬件和軟件的組合來實現(xiàn)�。此外���,雖然在計算應(yīng)用設(shè)備的范圍中描述了本發(fā)明��,本領(lǐng)域的技術(shù)人員可以理解�,上述功能可以在任意數(shù)量的可替換實施例中體現(xiàn)����,例如,整合在通信應(yīng)用設(shè)備(例如���,蜂窩電話)中�����。
很多方法是從它們最基本的形式來描述的����,但是可以向上述方法中的任何一個添加操作,或從中刪除操作��,并且可以向上述任一信息添加信息�,或者從中減去信息,而不背離本發(fā)明的基本范圍�����。在本發(fā)明的范圍和實質(zhì)中可以預(yù)料到本發(fā)明內(nèi)容的任意數(shù)量的變化����。在此方面,提供特定所述示范性實例不是為了限定本發(fā)明����,而僅僅是為了解釋本發(fā)明。因此����,本發(fā)明的范圍不能由上面所提供的特定實例確定,而只能由附屬的權(quán)利要求限定��。
權(quán)利要求
1.一種方法,包括從遠(yuǎn)程設(shè)備接收與認(rèn)證策略相關(guān)的認(rèn)證信息��;比較所接收到的認(rèn)證信息和與本地設(shè)備中的認(rèn)證策略相關(guān)的認(rèn)證信息����;并且至少部分基于認(rèn)證信息的比較結(jié)果,確定本地設(shè)備和遠(yuǎn)程設(shè)備之間的認(rèn)證優(yōu)先權(quán)��。
2.如權(quán)利要求1所述的方法����,其中認(rèn)證信息包括與設(shè)備相關(guān)的優(yōu)先權(quán)等級的指示。
3.如權(quán)利要求2所述的方法����,其中展示較高優(yōu)先權(quán)等級的認(rèn)證策略將控制本地設(shè)備和遠(yuǎn)程設(shè)備中的哪個設(shè)備開始認(rèn)證���。
4.如權(quán)利要求3所述的方法�,其中認(rèn)證信息還包括設(shè)備類別的指示�����,其中通過分析與本地設(shè)備和遠(yuǎn)程設(shè)備相關(guān)的設(shè)備類別的指示����,分辨設(shè)備之間優(yōu)先權(quán)等級中的聯(lián)系��。
5.根據(jù)權(quán)利要求4所述的方法���,其中設(shè)備類別的指示表示該設(shè)備是否是基站、用戶站和/或客戶站中的一個�����。
6.根據(jù)權(quán)利要求5所述的方法����,其中基站具有比用戶站高的設(shè)備類別。
7.根據(jù)權(quán)利要求1所述的方法�����,還包括至少部分基于所確定的認(rèn)證優(yōu)先權(quán)�,選擇遠(yuǎn)程設(shè)備或本地設(shè)備中的一個以開始認(rèn)證。
8.根據(jù)權(quán)利要求7的方法�,還包括由所選擇的遠(yuǎn)程設(shè)備或本地設(shè)備的一個來開始認(rèn)證過程。
9.一個包括內(nèi)容的存儲媒體��,當(dāng)該內(nèi)容被電子應(yīng)用設(shè)備訪問時�����,使得該電子應(yīng)用設(shè)備執(zhí)行權(quán)利要求1所述的方法。
10.一個裝置���,包括發(fā)射器�,用于有選擇地與遠(yuǎn)程設(shè)備通信��;以及安全代理���,用于與本地設(shè)備相關(guān)并且與發(fā)射器連接���,從遠(yuǎn)程設(shè)備接收與認(rèn)證策略相關(guān)的認(rèn)證信息,并且比較所接收的認(rèn)證信息和與本地設(shè)備中的認(rèn)證策略相關(guān)的認(rèn)證信息����,至少部分基于認(rèn)證信息的比較結(jié)果����,識別本地設(shè)備和遠(yuǎn)程設(shè)備之間的相對認(rèn)證優(yōu)先權(quán)。
11.根據(jù)權(quán)利要求10的裝置��,該裝置還包括存儲器�����,其響應(yīng)于安全代理,接收并且保持與一個設(shè)備相關(guān)的認(rèn)證策略����。
12.根據(jù)權(quán)利要求11的裝置,所述認(rèn)證策略包括認(rèn)證信息�,該認(rèn)證信息包括與該設(shè)備相關(guān)的認(rèn)證優(yōu)先權(quán)等級的指示。
13.根據(jù)權(quán)利要求12的裝置�����,其中展示了較高的優(yōu)先權(quán)等級的認(rèn)證策略將控制在本地設(shè)備和遠(yuǎn)程設(shè)備之間的哪個設(shè)備開始認(rèn)證�����。
14.根據(jù)權(quán)利要求13的裝置���,該存儲器還包括認(rèn)證策略中的設(shè)備類別的指示�����,其中通過與本地設(shè)備和遠(yuǎn)程設(shè)備相關(guān)的設(shè)備類別的指示的比較結(jié)果�����,由安全代理分辨在設(shè)備之間的優(yōu)先權(quán)等級的聯(lián)系����。
15.根據(jù)權(quán)利要求14的裝置,其中設(shè)備類別的指示表示該設(shè)備是否是基站�����、用戶站和/或客戶站中的一個����。
16.根據(jù)權(quán)利要求15的裝置,其中基站具有比用戶站高的設(shè)備類別����。
17.根據(jù)權(quán)利要求10的裝置,其中收發(fā)器有選擇地建立與遠(yuǎn)程設(shè)備之間的通信信道�,通過該通信信道,收發(fā)器接收與遠(yuǎn)程設(shè)備相關(guān)的認(rèn)證策略的至少一個子集���。
18.根據(jù)權(quán)利要求17的裝置�����,其中收發(fā)器是無線收發(fā)器����,并且其中通信信道是根據(jù)無線城域網(wǎng)(WMAN)通信標(biāo)準(zhǔn)的無線通信信道���。
19.根據(jù)權(quán)利要求10的裝置���,其中安全代理至少部分基于所確定的認(rèn)證優(yōu)先權(quán),選擇遠(yuǎn)程設(shè)備或本地設(shè)備中的一個來開始認(rèn)證��。
20.根據(jù)權(quán)利要求19的裝置���,其中安全代理通過選擇的遠(yuǎn)程設(shè)備或本地設(shè)備中的一個來開始認(rèn)證過程���。
21.一個系統(tǒng),包括一個或更多個偶級天線��;收發(fā)器�����,用于響應(yīng)一個或更多個偶極天線����,有選擇地與遠(yuǎn)程設(shè)備通信�����;以及安全代理�����,用于與本地設(shè)備相關(guān)并且連接到發(fā)射器���,從遠(yuǎn)程設(shè)備接收與認(rèn)證策略相關(guān)的認(rèn)證信息,并且比較所接收的認(rèn)證信息和與本地設(shè)備中的認(rèn)證策略相關(guān)的認(rèn)證信息�,至少部分基于認(rèn)證信息的比較結(jié)果,識別本地設(shè)備和遠(yuǎn)程設(shè)備之間的相對認(rèn)證優(yōu)先權(quán)��。
22.根據(jù)權(quán)利要求21的系統(tǒng)����,還包括存儲器,用于響應(yīng)安全代理���,接收并保持與一個設(shè)備相關(guān)的認(rèn)證策略����。
23.根據(jù)權(quán)利要求22的系統(tǒng),所述認(rèn)證策略包括認(rèn)證信息����,該認(rèn)證信息包括與該設(shè)備相關(guān)的認(rèn)證優(yōu)先權(quán)等級的一個指示����。
24.根據(jù)權(quán)利要求23的系統(tǒng),其中展示了較高優(yōu)先權(quán)等級的認(rèn)證策略將控制在本地設(shè)備和遠(yuǎn)程設(shè)備之間的哪個設(shè)備將開始認(rèn)證�����。
25.根據(jù)權(quán)利要求24的系統(tǒng)����,該存儲器還包括認(rèn)證策略中的設(shè)備類別的指示,其中通過與本地設(shè)備和遠(yuǎn)程設(shè)備相關(guān)的設(shè)備類別的指示的比較結(jié)果����,由安全代理分辨在設(shè)備之間的優(yōu)先權(quán)等級的聯(lián)系。
全文摘要
通常描述了一種確定在兩個或者多個設(shè)備之間的認(rèn)證優(yōu)先權(quán)的系統(tǒng)和方法����。
文檔編號H04L12/56GK1846422SQ200480025382
公開日2006年10月11日 申請日期2004年8月25日 優(yōu)先權(quán)日2003年9月4日
發(fā)明者D·約翰斯頓 申請人:英特爾公司