專利名稱:用于裝置在引入連網(wǎng)環(huán)境時(shí)的自動配置的方法�����、設(shè)備和制品的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及裝置在引入連網(wǎng)環(huán)境時(shí)的配置���,更具體來
說,涉及無線裝置在引入連網(wǎng)環(huán)境時(shí)的自動配置�。
背景技術(shù):
今天,如果你想要將裝置加入連網(wǎng)環(huán)境��,例如將無線裝置 加入無線網(wǎng)絡(luò)��,并且你不希望向入侵者公開你的網(wǎng)絡(luò)�����,則必須深入研 究安全系統(tǒng)的工作�,諸如基于WEP(有線等效保密或者有時(shí)稱作有線 等效協(xié)議)、WPA (Wi-Fi保護(hù)接入)�、EAP(可擴(kuò)展鑒權(quán)協(xié)議)、正EE(電 氣和電子工程師協(xié)會)的802.11i等的那些系統(tǒng)���?�?上?����,在無線裝置及其關(guān)聯(lián)接入點(diǎn)中建立適當(dāng)?shù)膽{證可能 很難�����,并且容易出錯(cuò)�����。而且����,通常需要人工進(jìn)行,以證明在裝置引入 連網(wǎng)環(huán)境期間對裝置的所有權(quán)和/或控制權(quán)�����。也就是i兌���,例如另外要求 讓裝置最初一^開操作(如在一些消費(fèi)品中進(jìn)行的那樣)����,使裝置在可受 到保護(hù)之前易受到損害��,并且安裝該裝置的人冒著它^皮錯(cuò)誤地與不正 確的連網(wǎng)環(huán)境關(guān)聯(lián)的風(fēng)險(xiǎn)����。
4艮據(jù)以下對本發(fā)明的詳細(xì)描述,本發(fā)明的特征和優(yōu)點(diǎn)將變 得明顯���,附圖包括圖1示出可按照本文公開的實(shí)施例的原理進(jìn)行操作的裝置 的一個(gè)示范系纟克����。圖2示出根據(jù)一個(gè)實(shí)施例用于配置引入圖1系統(tǒng)的裝置的 方法�。圖3示出根據(jù)一個(gè)實(shí)施例用于配置引入包括接入點(diǎn)的連網(wǎng) 環(huán)境的無線裝置的方法。圖4示出根據(jù)一個(gè)實(shí)施例用于使接入點(diǎn)或其它裝置配置引 入連網(wǎng)環(huán)境的圖3無線裝置的方法�。圖5示出可實(shí)現(xiàn)本發(fā)明的某些方面的適當(dāng)計(jì)算環(huán)境。
具體實(shí)施例方式本發(fā)明的所示實(shí)施例允許在裝置引入連網(wǎng)環(huán)境時(shí)安全地
配置���。此外��,在各種實(shí)施例中����,本文所述的安裝和配置技術(shù)提供在將 裝置自動安裝到連網(wǎng)環(huán)境中之前確認(rèn)對該裝置的訪問權(quán)�、控制權(quán)和/或 所有權(quán)�。訪問權(quán)��、控制權(quán)和/或所有權(quán)的這種確認(rèn)允許防止新裝置偶然 地-波安裝到不正確的連網(wǎng)環(huán)境中�����。在彼此附近存在多個(gè)"數(shù)字辦y^室" 或"數(shù)字家庭"環(huán)境的情況下�,可能發(fā)生這種問題。例如����,假定公寓大樓里的多個(gè)住戶獲得配置成按照本文所
述進(jìn)行操作的裝置, 一個(gè)人的裝置自動將它自己配置成與其他人的連 網(wǎng)環(huán)境一起工作將是不方便的�����。當(dāng)連網(wǎng)環(huán)境中存在潛在的交疊時(shí)��,這 種事件可能發(fā)生��,例如可能發(fā)生在無線連網(wǎng)環(huán)境和/或有線環(huán)境����,諸如
家庭插電聯(lián)盟(參見因特網(wǎng)統(tǒng)一 資源定位符(URL) ww-homeplug-org; 注意,為了防止非故意的超鏈接���,用連字號代替前面的URL中的句點(diǎn))�; 在這兩種連網(wǎng)環(huán)境中,要安裝的裝置可以是比預(yù)期更廣譜性的人和/或 裝置可訪問的���。為了避免這類問題,如上所述�����,將自動安裝調(diào)整到首先參 與某種活動����,它表明對于要配置到連網(wǎng)環(huán)境中的裝置的訪問權(quán)、控制 權(quán)和/或所有權(quán)�����。各種實(shí)施例可使用提供這種證明的各種技術(shù)�����,包括在 裝置上顯示特殊標(biāo)識符(ID)����、個(gè)人標(biāo)識號(PIN)或其它數(shù)據(jù)��,或者在附 于裝置的標(biāo)簽上或在條碼中或在RFDD(射頻標(biāo)識)標(biāo)記或者其它專用短 程通信(DSRC)裝置中提供ID���、 PIN等,或者通過例如藍(lán)牙發(fā)射器等短 程收發(fā)器或者通過軟件狗或便攜閃速存儲器存儲裝置�����、例如結(jié)合到基
于USB的便攜存儲器裝置中的那些傳送它�。要理解,這些只是用于證明對裝置的訪問權(quán)�、控制權(quán)和/ 或所有權(quán)同時(shí)還提供可以至少部分用來至少初始配置裝置以便用在連 網(wǎng)環(huán)境中的數(shù)據(jù)的幾種示范技術(shù)。在以下的說明書和權(quán)利要求書中��, 術(shù)語"配置密鑰"將用于總起來表示可用來提供這種證明連同數(shù)據(jù)以便 于配置裝置的這些及其它方式�。在所示實(shí)施例中,配置密鑰可用在有線和無線連網(wǎng)環(huán)境 中�����,而無需裝置所連接到的裝置或接入點(diǎn)����、路由器、集線器����、其它裝 置等所需的任何特殊硬件�����。也就是說�����,可完全通過軟件或者經(jīng)由加載 到通用硬件中的指令來實(shí)施本發(fā)明的實(shí)施例。圖1示出可按照本文公開的實(shí)施例的原理進(jìn)行操作的裝置 的一個(gè)示范系統(tǒng)100���。所示的是網(wǎng)絡(luò)102�,它可以是任何類型的基于有 線和/或無線的網(wǎng)絡(luò)���。如果我們假定網(wǎng)絡(luò)的有線基礎(chǔ)如通常那樣�,則所 示的是無線接入點(diǎn)104(或"基站")�����,例如在通信上將有線和無線網(wǎng)絡(luò)耦 合在一起的裝置�����。眾所周知的無線系統(tǒng)包括基于正EE(電氣和電子工 程師協(xié)會)發(fā)布用于無線LAN(局域網(wǎng))技術(shù)的正EE 802.11x系列規(guī)范的 系統(tǒng)。IEEE802.il規(guī)定無線裝置106與接入點(diǎn)之間的空中接口("基礎(chǔ) 設(shè)施"通信模式)�����,以及兩個(gè)或更多無線客戶機(jī)之間的通信("自組"通信 模式)�����。假定無線裝置106是設(shè)計(jì)成通過網(wǎng)絡(luò)102接收流式傳輸給 它的音樂的音樂播^t器��,并且將這個(gè)播;^文器引入系統(tǒng)100,預(yù)期它將 與現(xiàn)有視聽處理設(shè)備108例如立體聲�����、視頻處理器��、電視����、投影儀、 放大器�����、媒體處理器/修改器/交換機(jī)等進(jìn)行交互作用,并通過現(xiàn)有無線 揚(yáng)聲器110^是供音樂輸出�。網(wǎng)絡(luò)還可包括其它裝置,例如計(jì)算機(jī)系統(tǒng) 112系統(tǒng)����、DVR(數(shù)字錄像機(jī))114以及未示出的其它裝置。要理解�,無 線家庭插電(Home Plug)和常規(guī)有線網(wǎng)絡(luò)具有許多可能的裝置,它們在 其上操作�����,并且可在系統(tǒng)100中互連以執(zhí)行各種預(yù)期任務(wù)���。如上所述,在將無線音樂裝置106引入系統(tǒng)100時(shí)�����,為了
證明對裝置106的訪問權(quán)����、控制權(quán)和/或所有權(quán),同時(shí)還防止與錯(cuò)誤網(wǎng) 絡(luò)的非故意關(guān)聯(lián)或者對裝置的有意攻擊��,假定該裝置上電到自動配置 模式,如上所述�,這將使數(shù)據(jù)被提供給裝置用戶,供配置裝置之用���。 訪問權(quán)/控制權(quán)/所有權(quán)被認(rèn)為由有權(quán)訪問在自動配置期間提供的數(shù)據(jù) 的一方來證明�����。注意��,本文中4叚定自動配置是成功的����,沒有詳細(xì)論述 失敗情況�。要理解,如果自動配置失敗和/或^皮取消���,則常規(guī)技術(shù)當(dāng)然 可用于配置引入系統(tǒng)100的新裝置����。相對于以下附圖更詳細(xì)地描述裝 置的配置�����。圖2示出根據(jù)一個(gè)實(shí)施例用于配置例如引入圖1的連網(wǎng)系 統(tǒng)100的裝置106的方法。在所示實(shí)施例中��,裝置被上電202�,并缺省進(jìn)入204自動 配置才莫式,在其中裝置提供206可用于配置裝置的配置密鑰�。在一個(gè) 實(shí)施例中,通過在例如LCD(液晶顯示器)���、TFT(薄膜晶體管)���、LED(發(fā) 光二^l管)陣列等屏幕或其它輸出上顯示配置密鑰,來提供配置密鑰���。 在一個(gè)實(shí)施例中�����,隨機(jī)生成配置密鑰,因此允許在全球制造和發(fā)運(yùn)實(shí) 質(zhì)上相同的裝置�����。在一個(gè)實(shí)施例中����,響應(yīng)裝置的上電而自動生成配置����, 直到自動或人工配置該裝置�����,或者直到禁用自動配置���。在一個(gè)備選實(shí) 施例中�����,如上所述���,配置密鑰可以是或者可基于某個(gè)永久標(biāo)識符或者 裝置的其它特性、諸如序列號��、MAC(媒體接入控制)地址���,并且通過 各種不同方式來提供���。 —旦已經(jīng)提供206密鑰���,則可在負(fù)責(zé)配置該裝置的第二裝 置輸入208密鑰。記得以下4叚設(shè)在非預(yù)計(jì)方可有權(quán)訪問在例如無線 網(wǎng)絡(luò)或基于家庭插電的有線網(wǎng)絡(luò)等網(wǎng)絡(luò)上傳輸?shù)姆纸M的方面�����,裝置被 引入的連網(wǎng)環(huán)境可能不安全���。由此���,當(dāng)引入裝置時(shí),預(yù)期連網(wǎng)環(huán)境的 現(xiàn)有裝置負(fù)責(zé)配置新裝置��。這可能是網(wǎng)絡(luò)上的任何當(dāng)前裝置����。在無線 網(wǎng)絡(luò)中,負(fù)責(zé)裝置通常是例如裝置通過其附連到網(wǎng)絡(luò)的無線接入點(diǎn)���。 注意��,連網(wǎng)環(huán)境可工作在安全(加密)模式或者不安全(未加密)模式;假 定網(wǎng)絡(luò)的第二裝置與新裝置通信�����,而不管網(wǎng)絡(luò)的安全狀態(tài)如何。在第二裝置輸入208密鑰之后��,建立210臨時(shí)安全通信信 道����。注意,預(yù)期這種安全性由于配置鑰匙不提供可從中得出臨時(shí)安全 性的許多數(shù)據(jù)而可能很弱�����。也就是說��,為了具有可由一個(gè)人易于管理 的密鑰�����,例如一個(gè)人可看見和記住以便輸入208到笫二裝置的東西���, 提供206幾個(gè)字符的較短密鑰�����;用戶的這種便利的不利方面在于����,從 密碼角度來看,越短的密鑰表示安全密碼密鑰基礎(chǔ)越少���。然而����,目標(biāo) 是創(chuàng)建足夠安全的安全通信信道��,使得破壞臨時(shí)安全信道的安全性即 使不是不可能����,但也是不實(shí)際的。例如���,通過在密鑰中重復(fù)一個(gè)或多 個(gè)字符��,三個(gè)字符配置密鑰可用于確定40位密碼密鑰��。在一個(gè)實(shí)施例 中���,為了允許在第二裝置確定PIN輸入208的準(zhǔn)確性,可創(chuàng)建密鑰的 額外數(shù)位,作為配置密鑰的校驗(yàn)和�。要理解,任意密鑰長度都源于密 鑰的字符����,取決于多少位固有地由字符來表示��,和/或通過作為輸入的 密鑰字符的重復(fù)或函數(shù)來表示���。由此����, 一旦建立了 210臨時(shí)安全通信信道�,它就用于安全 地傳送可編程212到裝置中的永久安全憑證。通過常規(guī)加密方式����,永 久憑證足夠長,以便提供用永久憑證加密的比較安全的任何信道��。因 此��,可將新裝置引入連網(wǎng)環(huán)境�,在其中一些或所有網(wǎng)絡(luò)被認(rèn)為是不安 全的,但其中裝置可在進(jìn)入連網(wǎng)環(huán)境時(shí)被自動配置,同時(shí)還確保(通過 要求對所提供206配置密鑰的訪問權(quán))一方具有對裝置的適當(dāng)訪問權(quán)��、 控制權(quán)和/或所有權(quán)�。圖3示出根據(jù)一個(gè)實(shí)施例用于配置例如被引入包括接入點(diǎn) 的連網(wǎng)環(huán)境的無線裝置的方法。在所示實(shí)施例中����,在例如通過對無線裝置上電、按下配置 按鈕等來激活302無線裝置之后���,裝置進(jìn)入304自動配置^^莫式��,在其 中裝置顯示306可用于配置該裝置的配置密鑰����。如上所述��,各種技術(shù) 可用于顯示或者以其它方式呈現(xiàn)配置密鑰�����。 一旦已經(jīng)顯示了 306密鑰��, 已知函數(shù)就用于根據(jù)配置密鑰來生成SSID(服務(wù)設(shè)置標(biāo)識符)或者類似 的標(biāo)識符��,并設(shè)置308這個(gè)SSID由裝置的無線硬件來使用,例如將裝
置配置成使用這個(gè)唯一 SSID���。預(yù)期該函數(shù)至少對無線裝置和第二裝置
如接入點(diǎn)是已知的����,其將用永久安全憑證對新裝置編程��。在設(shè)置308 SSID之后�����,另一個(gè)已知函數(shù)用來生成加密密鑰 (例如用于WEP��、 WPA等)���,并且將該加密設(shè)置310由裝置使用。操作 308���、 310的"已知函數(shù)"的提法是指任何轉(zhuǎn)換都可用于根據(jù)配置密鑰來 生成SSE)和WEP/WPA密鑰�����。只要新裝置和負(fù)責(zé)配置新裝置的第二 裝置都使用同一轉(zhuǎn)換函數(shù)����,具體轉(zhuǎn)換就不相關(guān)。例如�,可通過使預(yù)定 基本詞語如"init"與配置密鑰的一個(gè)或多個(gè)字符串聯(lián)來生成SSID,并且 通過將一些或所有配置密鑰字符轉(zhuǎn)換成對應(yīng)的WEP/WPA十六進(jìn)制序 列來確定WEP/WPA。 —旦裝置設(shè)置了 308����、 310其SSED和WEP/WPA,它就可 例如經(jīng)由基礎(chǔ)設(shè)施;f莫式或自組來與負(fù)責(zé)用永久安全憑證對該裝置進(jìn)行 編程314的接入點(diǎn)或其它裝置建立312臨時(shí)安全信道��。圖4示出根據(jù)一個(gè)實(shí)施例用于使接入點(diǎn)或其它裝置配置引 入連網(wǎng)環(huán)境的圖3無線裝置的方法�����。假定圖3的項(xiàng)302-310已經(jīng)發(fā)生或者被執(zhí)行�����,例如圖1的 項(xiàng)104的接入點(diǎn)可準(zhǔn)備管理新裝置�,并用適當(dāng)?shù)陌踩珣{證對它編程。 注意�����,安全憑證可不只包括密碼數(shù)據(jù)����,并且還可包括本地策略�、規(guī)則�����、 服務(wù)項(xiàng)���、計(jì)帳率等���,其可傳送給新裝置�,適合于新裝置被引入的連網(wǎng) 環(huán)境。在所示實(shí)施例中���,在需要時(shí)�,保存402接入點(diǎn)的當(dāng)前無線配置�����, 例如它的SSID和WEP或WPA密鑰��。要理解��,在筒檔管理器或等效 體可用的某些環(huán)境下,保存該配置可能是不必要的���,在這種情況下��, 不是替換當(dāng)前配置��,而是根據(jù)新裝置的配置密鑰來創(chuàng)建更高優(yōu)先級的 新臨時(shí)簡檔���。在根據(jù)需要保存402當(dāng)前配置之后,提示404用戶輸入配 置密鑰���,該配置密鑰被顯示306在新裝置上�。如上所述��,對這個(gè)密鑰 的訪問證明對新裝置的訪問權(quán)����、控制權(quán)和/或所有權(quán),因而確保確實(shí)應(yīng) 當(dāng)允許這個(gè)裝置進(jìn)入連網(wǎng)環(huán)境�。在對圖3操作308、310的補(bǔ)充方式中���,
4矣入點(diǎn)設(shè)置406�����、 408它的SSID和WEP/WPA加密密鑰作為裝置的配 置密鑰的函數(shù)����。 一旦設(shè)置了,接入點(diǎn)就建立410對圖3操作312的補(bǔ) 充的臨時(shí)安全信道����。注意,可采用各種技術(shù)將接入點(diǎn)重新配置成與新 裝置通信���。在一個(gè)實(shí)施例中��,接入點(diǎn)可具有內(nèi)置其中的簡單用戶界面, 以便輸入配置密鑰�。在另一個(gè)實(shí)施例中,軟件可運(yùn)行于在通信上與該 接入點(diǎn)耦合的計(jì)算機(jī)或其它機(jī)器上�,其中這個(gè)計(jì)算機(jī)或機(jī)器對接入泉 重新編程以便進(jìn)行操作406、 408�。 —旦建立了 312、 410臨時(shí)安全連接�����,就可用永久安全憑 證對新裝置編程。如同配置接入點(diǎn)那樣����,要理解,可采用各種技術(shù)對 新裝置編程��。例如�����,在一個(gè)實(shí)施例中��,接入點(diǎn)可具有通過臨時(shí)安全信 道自動將其永久無線憑證推送到新裝置的內(nèi)置功能性�。或者�����,在另一 個(gè)實(shí)施例中��,軟件可運(yùn)行于在通信上與接入點(diǎn)耦合的計(jì)算機(jī)或其它機(jī) 器上�����,其中這個(gè)計(jì)算機(jī)或機(jī)器用永久安全憑證對新裝置進(jìn)行編程����,以 便執(zhí)行操作412�����。 —旦用永久憑證對新裝置進(jìn)行了編程��,就不再需要臨時(shí)通 信信道����,并且接入點(diǎn)可返回414到其常規(guī)(例如所保存402)無線配置����。 在如上所述使用簡檔管理器或等效體的一個(gè)實(shí)施例中,返回只需要刪 除用于與新裝置通信所創(chuàng)建的臨時(shí)簡檔�。在另一個(gè)實(shí)施例中,返回可 要求重新設(shè)置接入點(diǎn)的SSID和WEP/WPA密鑰���。如上所述����,接入點(diǎn) 本身可編程為恢復(fù)其狀態(tài)��,或者外部計(jì)算機(jī)或其它機(jī)器可操縱其狀態(tài)���。由此���,可將新裝置引入連網(wǎng)環(huán)境,在其中裝置可在進(jìn)入時(shí) 自動配置��,同時(shí)還確保(通過要求對所顯示306配置密鑰的訪問權(quán))一方 具有對新裝置的適當(dāng)訪問權(quán)��、控制權(quán)和/或所有權(quán)����。圖5和以下論述意在提供可實(shí)現(xiàn)所示本發(fā)明的某些方面的 適當(dāng)環(huán)境的簡要一般描述。下文所使用的術(shù)語"機(jī)器"意在廣泛地包括 單個(gè)機(jī)器或者共同操作的����、在通信上耦合的機(jī)器或裝置的系統(tǒng)。示范 機(jī)器包括例如個(gè)人計(jì)算機(jī)��、工作站����、服務(wù)器、便攜計(jì)算機(jī)等計(jì)算裝置����、 例如個(gè)人數(shù)字助理(PDA)����、電話�����、書寫板等手持裝置以及例如私用或公
用運(yùn)輸如汽車���、火車����、出租車等運(yùn)輸裝置�����。通常�����,該環(huán)境包括機(jī)器500,其包括系統(tǒng)總線502���、附連 到系統(tǒng)總線502的處理器504�����、例如隨機(jī)存取存儲器(RAM)�、只讀存 儲器(ROM)或其它狀態(tài)保存介質(zhì)等存儲器506�����、存儲裝置508���、視頻接 口 510以及輸/v/輸出接口端口 512���。可至少部分通過來自例如鍵盤�、 鼠標(biāo)等常規(guī)輸入裝置的輸入、以及通過從另一個(gè)機(jī)器所接收的指示�、 與虛擬現(xiàn)實(shí)(VR)環(huán)境的交互、生物統(tǒng)計(jì)反饋或其它輸入源或信號來控 制該機(jī)器�。該機(jī)器可包括嵌入控制器,例如可編程或非可編程邏輯裝 置或陣列���、專用集成電路����、嵌入計(jì)算才幾、智能卡等����。該^L器可使用到 一個(gè)或多個(gè)遠(yuǎn)程機(jī)器514、 516的一個(gè)或多個(gè)連接��,例如通過網(wǎng)絡(luò)^接口 518����、調(diào)制解調(diào)器520或其它通信耦合?�?赏ㄟ^例如圖1的網(wǎng)絡(luò)102等 物理和/或邏輯網(wǎng)絡(luò)522��、內(nèi)聯(lián)網(wǎng)�����、因特網(wǎng)�、局域網(wǎng)和廣域網(wǎng)來互連機(jī) 器。本領(lǐng)域的技術(shù)人員將會理解��,與網(wǎng)絡(luò)522的通信可使用各種有線 和/或無線短程或遠(yuǎn)程載波和協(xié)議�,包括射頻(RF)、衛(wèi)星��、;微波�、電氣 和電子工程師協(xié)會(正EE)802.U、藍(lán)牙�����、光�����、紅外線��、電纜��、激光等����?�?蓞⒄栈蚪Y(jié)合關(guān)聯(lián)數(shù)據(jù)來描述本發(fā)明�����,關(guān)聯(lián)數(shù)據(jù)例如有函 數(shù)����、過程��、數(shù)據(jù)結(jié)構(gòu)���、應(yīng)用程序等,它們在由機(jī)器訪問時(shí)使機(jī)器執(zhí)行 任務(wù)或定義抽象數(shù)據(jù)類型或者低級硬件上下文�。關(guān)聯(lián)數(shù)據(jù)可存儲在例 如易失性和/或非易失性存々者器506中,或者存儲在存儲裝置508和/ 或關(guān)聯(lián)的存儲介質(zhì)中��,包括常規(guī)硬盤驅(qū)動器���、軟盤�、光存儲裝置���、帶����、 閃速存儲器��、存儲棒�����、數(shù)字視頻盤等,以及例如機(jī)器可存取的生物狀 態(tài)保存存儲裝置之類的更外來介質(zhì)���。關(guān)聯(lián)數(shù)據(jù)可通過包括網(wǎng)絡(luò)522在 內(nèi)的傳輸環(huán)境��、采取分組�、串行數(shù)據(jù)�、并行數(shù)據(jù)��、傳播信號等形式進(jìn) 行傳送��,并且可用于壓縮或加密格式����。關(guān)聯(lián)數(shù)據(jù)可用于分布式環(huán)境, 并且本地和/或遠(yuǎn)程存儲�����,以便由單或多處理器機(jī)器訪問����。關(guān)聯(lián)數(shù)據(jù)可 由嵌入控制器使用或與其結(jié)合使用;因此���,在以下權(quán)利要求書中��,術(shù) 語"邏輯"意在一般表示關(guān)聯(lián)數(shù)據(jù)和/或嵌入控制器的可能組合���。因此���,例如,相對于所示實(shí)施例���,^^定機(jī)器500實(shí)施圖1 的新裝置106�����,則遠(yuǎn)程機(jī)器514�����、 516可分別是圖1的4姿入點(diǎn)104和計(jì) 算機(jī)112�。要理解���,遠(yuǎn)程機(jī)器514�����、 516可像機(jī)器500那樣配置����,因此 包括針對機(jī)器所述的許多或全部元件。已經(jīng)參照所示實(shí)施例描述和說明了本發(fā)明的原理��,要認(rèn)識 到����,所示實(shí)施例可對布置和細(xì)節(jié)進(jìn)行修改,而沒有背離這種原理���。并 且,雖然以上論述集中于具體實(shí)施例�,^f旦也考慮了其它配置。具體來 說�����,即使本文使用例如"在一個(gè)實(shí)施例中"���、"在另一個(gè)實(shí)施例中"等表 述����,但是這些詞語是指一般參考實(shí)施例可能性,并不是要將本發(fā)明限 制于具體實(shí)施例配置��。本文所使用的這些術(shù)語可以指可組合到其它實(shí) 施例中的相同或不同的實(shí)施例�����。從而���,考慮到對本文所述實(shí)施例的大量置換����,這個(gè)詳細(xì)描 述意在只是說明性的����,而不應(yīng)當(dāng)視為限制本發(fā)明的范圍。因此�����,本發(fā) 明所要求的權(quán)益是可落入以下權(quán)利要求書及其等效體的范圍和精神之 內(nèi)的所有這類修改���。
權(quán)利要求
1.一種方法�,包括第一機(jī)器進(jìn)入配置模式;在所述配置模式期間確定配置密鑰�����;基于所述配置密鑰來確定第一密碼密鑰�;基于所述第一密碼密鑰與第二機(jī)器協(xié)商臨時(shí)安全信道,所述第二機(jī)器配置有用于輸入所述配置密鑰的輸入����,并且還配置成基于提供給所述輸入的密鑰來便于所述協(xié)商所述臨時(shí)安全信道;以及通過所述臨時(shí)安全信道接收所述第一機(jī)器的配置�。
2. 如權(quán)利要求l所述的方法,其中所述配置密鑰包括第一部分和 基于所述第一部分的第二部分�����,所述第二部分可用于驗(yàn)證所述第一部 分����。
3. 如權(quán)利要求1所述的方法�,還包括所述第二機(jī)器配置成執(zhí)行 確定所述輸入接收的輸入密鑰的對應(yīng)第一部分和對應(yīng)第二部分; 基于所述第一和第二部分來驗(yàn)證所述輸入密鑰��;基于所述輸入密鑰來確定第二密碼密鑰����;基于所述第二密碼密鑰與所述第一機(jī)器協(xié)商所述臨時(shí)安全信道�。
4. 如權(quán)利要求l所述的方法�,其中所述配置包括要應(yīng)用于所述第 一機(jī)器、與所述第 一機(jī)器的人工設(shè)置對應(yīng)的數(shù)據(jù)�����,以及用于在至少所述第一和第二機(jī)器之間建立安全信道的密碼密鑰�����。
5. 如權(quán)利要求l所述的方法���,還包括 根據(jù)所述配置來確定接入點(diǎn)標(biāo)識符���; 根據(jù)所述配置來確定第二密碼密鑰; 將所述第一機(jī)器與所述接入點(diǎn)標(biāo)識符關(guān)聯(lián)��;以及 基于所述接入點(diǎn)標(biāo)識符和所述第二密碼密鑰與所述第二^/L器建立安全信道�����。2
6. 如權(quán)利要求1所述的方法�����,還包括所述第 一機(jī)器響應(yīng)對所述第 一機(jī)器上電而進(jìn)入所述配置才莫式。
7. 如權(quán)利要求IO所述的方法�,還包括 響應(yīng)所述協(xié)商所述臨時(shí)安全信道而等待適當(dāng)響應(yīng);以及 如果沒有接收到所述適當(dāng)響應(yīng)��,則進(jìn)入人工配置模式���。
8. —種方法��,包括接收與在第一機(jī)器的配置才莫式期間確定的所述第一機(jī)器的配置密 鑰對應(yīng)的輸入配置密鑰�;基于所述配置密鑰來確定第一密碼密鑰��;基于所述第一密碼密鑰與所述第一機(jī)器協(xié)商臨時(shí)安全信道�;以及 通過所述臨時(shí)安全信道向所述第 一機(jī)器提供配置,所述配置包括 用于建立安全通信信道的第二密碼密鑰���。
9. 如權(quán)利要求8所述的方法����,其中所述輸入配置密鑰具有第一部 分和基于所述第一部分的第二部分,所述方法還包括至少部分基于所 述第二部分來驗(yàn)證所述第一部分的輸入����。
10. 如權(quán)利要求8所述的方法,還包括所述第一機(jī)器響應(yīng)以下 所選一項(xiàng)而進(jìn)入所述配置^t式對所述第一機(jī)器上電�,或者進(jìn)入所述 第一機(jī)器的復(fù)位。
11. 如權(quán)利要求8所述的方法���,還包括通過以下所選一項(xiàng)^矣收 所述輸入配置密鑰短程無線傳輸���,掃描所述第一機(jī)器的標(biāo)記,檢測 所述配置密鑰的射頻標(biāo)識符(RFID)編碼���,以及在小鍵盤上輸入所述輸 入配置密鑰����。
12. 如權(quán)利要求8所述的方法���,還包括 存儲當(dāng)前接入點(diǎn)標(biāo)識符和當(dāng)前密碼密鑰�����;以及使用根據(jù)所述配置密鑰確定的臨時(shí)接入點(diǎn)標(biāo)識符和笫二密碼密鑰�����。
13. 如權(quán)利要求8所述的方法�����,還包括使用根據(jù)所述配置密鑰確定的臨時(shí)接入點(diǎn)標(biāo)識符和第二密碼密 鑰�,從包括當(dāng)前接入點(diǎn)標(biāo)識符和當(dāng)前密碼密鑰的當(dāng)前無線筒檔切換到 臨時(shí)配置。
14. 一種包括機(jī)器可存取介質(zhì)的制品�,所述機(jī)器可存取介質(zhì)具有 用于使第一機(jī)器與第二機(jī)器協(xié)商臨時(shí)安全信道的一個(gè)或多個(gè)關(guān)聯(lián)指 令,其中所述一個(gè)或多個(gè)指令在被執(zhí)行時(shí)致使所述第一機(jī)器執(zhí)行進(jìn)入配置模式����;在所述配置才莫式期間確定所述配置密鑰; 基于所述配置密鑰來確定第一密碼密鑰����;基于所述第一密碼密鑰與所述第二機(jī)器協(xié)商所述臨時(shí)安全信道, 所述第二機(jī)器配置有用于輸入所述配置密鑰的輸入�����,以便于所述協(xié)商所述臨時(shí)安全信道��;以及通過所述臨時(shí)安全信道從所述第二機(jī)器接收配置���。
15. 如權(quán)利要求14所述的介質(zhì)���,其中所述機(jī)器可存取介質(zhì)還包括 指令���,所述指令在^皮執(zhí)行時(shí)致使所述第一機(jī)器執(zhí)行根據(jù)所述配置來確定接入點(diǎn)標(biāo)識符����; 根據(jù)所述配置來確定第二密碼密鑰; 將所述第一機(jī)器與所述接入點(diǎn)標(biāo)識符關(guān)聯(lián)��;以及 基于所述接入點(diǎn)標(biāo)識符和所述第二密碼密鑰與所述第二機(jī)器建立 安全信道�����。
16. 如權(quán)利要求14所述的介質(zhì)���,其中所述機(jī)器可存取介質(zhì)還包括 指令����,所述指令在纟支執(zhí)行時(shí)致使所述第一機(jī)器執(zhí)行將所述配置存儲在 以下所選一個(gè)中用于靜態(tài)配置所述第一機(jī)器的非易失性配置存儲器�����, 或者用于臨時(shí)配置所述第一機(jī)器的易失性配置存儲器��。
17. —種包括機(jī)器可存取介質(zhì)的制品����,所迷機(jī)器可存取介質(zhì)具有 用于使第二機(jī)器與笫一機(jī)器協(xié)商臨時(shí)安全信道的一個(gè)或多個(gè)關(guān)聯(lián)指 令�,其中所述一個(gè)或多個(gè)指令在^皮執(zhí)行時(shí)致使所述第二機(jī)器執(zhí)行接收與在所述第 一機(jī)器的配置才莫式期間確定的所述第 一機(jī)器的配 置密鑰對應(yīng)的輸入配置密鑰��; 基于所述配置密鑰來確定第一密碼密鑰��;基于所述第 一密碼密鑰與所述第 一機(jī)器協(xié)商所述臨時(shí)安全信道��;以及通過所述臨時(shí)安全信道向所述第 一機(jī)器提供配置�,所述配置包括 用于建立安全通信信道的第二密碼密鑰。
18. 如權(quán)利要求18所述的制品���,其中所述輸入配置密鑰具有第一 部分和基于所述第一部分的第二部分�����,并且其中所述機(jī)器可存取^h質(zhì) 還包括指令��,所述指令在被執(zhí)行時(shí)致使所述第二機(jī)器執(zhí)行至少部分 基于所述第二部分來驗(yàn)證所述第一部分的輸入����。
19. 如權(quán)利要求18所述的制品����,其中所述機(jī)器可存取介質(zhì)還包括 指令�����,所述指令在被執(zhí)行時(shí)致使所述第二機(jī)器執(zhí)行通過以下所選一項(xiàng)接收所述輸入配置密鑰短程無線傳輸�,掃描 所述第一機(jī)器的標(biāo)記�����,檢測所述配置密鑰的射頻標(biāo)識符(RFID;)編碼��, 以及在小鍵盤上輸入所述輸入配置密鑰����。
20. 如權(quán)利要求18所述的制品���,其中所述機(jī)器可存取介質(zhì)還包括 指令�����,所述指令在^皮執(zhí)行時(shí)致使所述第二機(jī)器執(zhí)行存儲當(dāng)前沖矣入點(diǎn)標(biāo)識符和當(dāng)前密碼密鑰���;以及 使用根據(jù)所述配置密鑰確定的臨時(shí)接入點(diǎn)標(biāo)識符和第二密碼密鑰。
21. 如權(quán)利要求18所述的制品���,其中所述機(jī)器可存取^"h質(zhì)還包括 指令�,所述指令在被執(zhí)行時(shí)致使所述第二機(jī)器執(zhí)行使用根據(jù)所迷配置密鑰確定的臨時(shí)接入點(diǎn)標(biāo)識符和第二密碼密 鑰,從包括當(dāng)前接入點(diǎn)標(biāo)識符和當(dāng)前密碼密鑰的當(dāng)前無線簡檔切換到 臨時(shí)配置���。
22. —種系統(tǒng)���,包括部件,用于使配置成進(jìn)入配置才莫式的第一機(jī)器確定配置密鑰和基 于所述配置密鑰的第一密碼密鑰����,并協(xié)商臨時(shí)安全信道;以及第二機(jī)器�����,包括用于輸入所述配置密鑰的輸入��,所述第二機(jī)器配置成基于提供給所述輸入的輸入密鑰來便于所述協(xié)商所述臨時(shí)安全信 道����,并通過所述臨時(shí)安全信道來提供所述第一機(jī)器的配置。
23. 如權(quán)利要求23所述的系統(tǒng)��,還包括用于使所述第一機(jī)器響應(yīng) 以下所選一項(xiàng)而進(jìn)入所述配置模式的部件所述第一機(jī)器的上電,或 者所述第一機(jī)器的復(fù)位�����。
24. 如權(quán)利要求23所述的系統(tǒng)�����,還包括用于使所述配置包括用于 建立具有比所述臨時(shí)安全信道更強(qiáng)密碼安全性的安全信道的數(shù)據(jù)的部 件��。
全文摘要
裝置在引入連網(wǎng)環(huán)境時(shí)的自動配置例如可通過以下方式來實(shí)現(xiàn)使裝置隨機(jī)生成一系列字母和/或數(shù)字���,例如生成可對臨時(shí)憑證進(jìn)行編碼的PIN(個(gè)人標(biāo)識號),其除了通過有權(quán)訪問PIN來證明對裝置的所有權(quán)和/或控制權(quán)之外���,還允許根據(jù)PIN來創(chuàng)建臨時(shí)安全通信信道�����,通過該臨時(shí)安全通信信道可將永久安全憑證傳遞給裝置�����,以便于供應(yīng)它��,從而在連網(wǎng)環(huán)境中安全通信��。在無線情況下����,可將唯一SSID和加密密鑰(WEP或WPA)確定為PIN的函數(shù),其中裝置及其接入點(diǎn)都使用PIN來建立臨時(shí)安全通信信道���??墒褂酶鞣N技術(shù)來建立對裝置的所有權(quán)和/或控制權(quán)�����,以防止裝置與錯(cuò)誤連網(wǎng)環(huán)境的非故意關(guān)聯(lián)��。
文檔編號H04L29/08GK101366259SQ200680049938
公開日2009年2月11日 申請日期2006年12月19日 優(yōu)先權(quán)日2005年12月30日
發(fā)明者G·L·米勒 申請人:英特爾公司