通信网络上的网络元件认证制造技术

在实施例中，公开了一种使得能够对连接到网络的设备进行认证的方法。所述方法还使得设备能够使用私钥对网络上的通信进行数字签名。当新设备被添加到网络时，移动设备可以连接到新设备。移动设备从新设备接收标识并通过公共网络向授权服务器发送所述标识。移动设备还可以向授权服务器发送针对私钥的请求。授权服务器包括被授权通过网络进行通信的设备的目录。如果新设备的标识存在于目录中，则授权服务器通过公共网络向移动设备发送私钥。移动设备向新设备转发私钥。

【技术实现步骤摘要】
【国外来华专利技术】
该
一般地涉及网络安全。
技术介绍
网络服务可以提供例如从客户网络到另一计算机网络(例如互联网)的连接。随着针对连接的客户需求增加，需要扩大网络覆盖范围。扩大网络覆盖范围可以包括添加新的网络设备。为了防止将新设备未经授权添加到网络，当任何新设备连接到网络时，网络可以验证其标识。例如，网络服务器可以包括被授权连接到网络的设备的目录(inventory)。该目录可以是例如被授权在网络上进行通信的设备的物理地址列表。为了进一步提高安全性，网络可能还需要设备加密其在网络上的通信。此类加密可以通过加密密钥发生。因此，新设备可以仅当其具有有效密钥时与网络的其余部分进行通信。然而，希望高效并安全的通过网络创建和分发加密密钥。对于连接到网络的经过授权的新设备，快速且高效的获得密钥的方法也是让人期待的。
技术实现思路
在一个实施例中，公开了一种用于在第一网络上认证新交换机的方法。在一些实施例中，所述方法在移动设备处通过到新交换机的直接连接接收标识新交换机的标识符。然后方法经由第二网络向认证服务器发送标识符，该认证服务器基于标识符确定新交换机是否被授权在第一网络上路由数据。在一些实施例中，第二网络是本文档来自技高网...

【技术保护点】
一种用于在第一网络上认证新交换机的方法，包括：在移动设备处通过到所述新交换机的直接连接接收标识所述新交换机的标识符；通过第二网络向认证服务器发送标识符，所述认证服务器基于所述标识符确定所述新交换机是否被授权在所述第一网络上路由数据，其中，所述第二网络是公共网络；当所述认证服务器确定所述新交换机被授权在所述第一网络上路由数据时，通过第二、公共网络接收针对第一网络上的发现分组的私钥，所述发现分组通告如何在所述第一网络上路由数据；以及通过所述直接连接，使用所述私钥配置所述新交换机，以使得所述新交换机能够对所述发现分组进行数字签名，其中，所述新交换机在所述第一网络上将经过数字签名的发现分组发送到另一网...

【技术特征摘要】
【国外来华专利技术】2014.02.11 US 14/178,0361.一种用于在第一网络上认证新交换机的方法，包括：在移动设备处通过到所述新交换机的直接连接接收标识所述新交换机的标识符；通过第二网络向认证服务器发送标识符，所述认证服务器基于所述标识符确定所述新交换机是否被授权在所述第一网络上路由数据，其中，所述第二网络是公共网络；当所述认证服务器确定所述新交换机被授权在所述第一网络上路由数据时，通过第二、公共网络接收针对第一网络上的发现分组的私钥，所述发现分组通告如何在所述第一网络上路由数据；以及通过所述直接连接，使用所述私钥配置所述新交换机，以使得所述新交换机能够对所述发现分组进行数字签名，其中，所述新交换机在所述第一网络上将经过数字签名的发现分组发送到另一网络元件，所述另一网络元件使用所述数字签名认证所述发现分组，并且，当所述另一网络元件认证了所述发现分组时，所述另一网络元件开始向所述新交换机路由数据。2.根据权利要求1所述的方法，其中，所述私钥是对称的。3.根据权利要求2所述的方法，其中，所述配置包括：使用所述私钥配置所述新交换机，以使得所述新交换机能够对来自所述另一网络元件的发现分组进行解密，所述经过解密的发现分组向所述新交换机指示如何在所述第一网络上路由数据。4.根据权利要求3所述的方法，其中，所述另一网络元件是控制器，所述控制器针对数据流确定通过所述第一网络的路径，并配置所述第一网络上的多个交换机沿所确定的路径路由所述数据流。5.根据权利要求4所述的方法，其中，所述发现分组标识邻近所述新交换机的附加交换机，其中，所述控制器使用所述发现分组来对所述第一网络的拓扑结构进行建模并基于所建模的拓扑结构确定所述路径。6.根据权利要求4所述的方法，其中，响应于接收所述发现分组，
\t所述新交换机请求创建到所述控制器的路径。7.根据权利要求4所述的方法，其中，所述发现分组来自所述控制器并且包括新私钥，所述新私钥使得所述新交换机能够对来自所述控制器的附加发现分组进行解密。8.根据权利要求7所述的方法，其中，所述新私钥具有期满时间。9.根据权利要求8所述的方法，还包括：由所述授权服务器在所述新私钥的期满时间之前生成另一私钥；以及将所述另一私钥包括在另一发现分组中。10.根据权利要求1所述的方法，其中，所述直接连接是USB、火线、或蓝牙连接。11.根据权利要求1所述的方法，其中，所述标识符是所述新交换机的介质接入控制地址。12.根据权利要求1所述的方法，其中，所述发送标识符包括向所述认证服务器发送请求，其中，所述认证服务器将所述请求认证为来自可信用户。13.一种用于对附着到第一网络的设备进行认证的系统，包括：新交换机，位于所述第一网络上，通过直接连接发送标识所述新交换机的标识符；移动设备，通过所述直接连接接收所述标识符并通过第二网络发送所述标识符，其中，所述第二网络是公共网络；授权服务器，通过所述第二、公共网络从所述移动设备接收所述标识符，所述授权服务器包括：目录模块，基于所述标识符确定所述新交换机是否被授权在所述第一网络上路由数据，以及密钥模块，当所述认证服务器确定所述新交换机被授权在所述第一网络上路由数据时，通过所述第二、公共网络向所述移动设备发送针对所述第一网络上的发现分组的私钥，所述发现分组通告如何在所述第一网络上路由数据，其中，所述移动设备通过所述直接连接，使用所述私钥配置所述
\t新交换机，以使得所述新交换机能够对所述发现分组进...

【专利技术属性】
技术研发人员：威廉姆·托马斯·塞拉，詹姆斯·麦克尔·塞拉，
申请(专利权)人：第三雷沃通讯有限责任公司，
类型：发明
国别省市：美国;US