利用能力评估进行安全的装置引入制造方法及图纸

本发明专利技术论述了在环境中引入、管理和限制装置的过程，包括：如何安全引入装置，如何在装置之间建立信任，如何管理装置的带宽需求和其他资源需求，在环境内的多个装置参与共同任务时如何聚合资源的使用，以及如何限制装置对环境资源的访问。公开了包括人工和自动方案的各种技术。

【技术实现步骤摘要】
【国外来华专利技术】
概括而言，本专利技术涉及向环境中安全地引入装置，具体而言，本专利技术涉及在被引入环境中的装置之间确立关系、管理所述装置的数据通信以及限制所述装置进行资源访问。
技术介绍
随着灵活而高性价比的基础设施变得可用，计算装置之间的有线和无线通信得到了广泛应用和显著增长。例如，诸如WiFi(电子及电气工程师协会“IEEE”提出的几种相关标准的通用名称)、蓝牙、红外编码数据等的吉比特以太网和无线技术允许经由无线信号或快速有线数据路径进行数据传输。然而，尽管新标准和改进的设备具有提高的网络数据速率，但技术仍然具有尚未得到满意解决的问题，例如容易而安全地引入装置，以及一旦引入之后配置装置并在装置间建立信任(在需要时)。除了对引入环境中的装置配置有困难之外，另一个问题是带宽管理或分配，如经常发生的情况那样，在一个环境中的多个装置与环境外部的装置参与共同任务时，这可能是一个问题。一个范例是多个装置参与数据下载、对等数据传输、召开会议或电话通信会话等。另一个问题是在各种装置(例如会议参与方)之间建立信任和身份。又一个问题是为访问装置在环境中确定适当的权限范围。附图说明从本专利技术的以下详细说明中，本专利技术的特征和优点将变得显而易见，其中：图1示出了根据本专利技术实施例的示范性网络环境。图2为根据本专利技术实施例的示范性协议事务的流程图。图3示出了根据一个实施例用于在装置之间建立初始信任关系并传送-->这些信任关系的框架。图4示出了根据一个实施例向环境中引入装置的流程图。图5示出了在诸如数字家庭或办公室LAN环境的个人或商业网络环境中存在的两种不同但普遍的装置配置。图6示出了根据本专利技术的各实施例工作的装置的系统。图7示出了实施本专利技术某些方面的适当计算环境。具体实施方式应当明白的是，本文要解决几个不同的问题，其中之一是如何向诸如上述数字家庭、数字办公室等环境中安全地引入装置，在这种环境下一些或全部装置可以通过无线通信信道工作。另一个问题是如何在装置之间建立信任，例如使装置能够建立可信赖的多方关系、多媒体会议和通过安全通信信道在装置间共享媒体，并使装置能够对会议中的其他端点的可靠性有信心。应当明白的是，与公共装置建立起信任关系的端点至少部分地基于其他端点已类似地与公共装置建立起信任关系这一事实而间接地与其他端点建立信任。另一个问题是在环境中的多个装置参与共同任务的时候使带宽需求最小化，因此将通信汇聚到进出环境的公共通信是有利的。另一个问题是智能带宽分配，使得识别出低带宽装置，而不会不必要地为其提供对其他高带宽装置不利的带宽。本文还解决了其他问题，从以下描述中它们将变得明了。在诸如局域网(LAN)或无线LAN(WLAN)和/或其他通信环境的环境中引入装置时，应当明白的是，各装置可以在环境内传递凭证(credential)，在这么做的同时，装置还可以传送其能力和资源要求，以帮助配置该装置使其用于该环境中。凭证可以是获准访问网络资源需要的口令或加密密钥，或是操作装置所使用或必需的其他配置信息。可以使用该装置提供的(和/或根据装置身份确定的)能力和要求来帮助协调环境内装置与环境外装置的高效通信，例如将交迭的通信会话汇聚为环境和外部通信端点之间的单个公共会话，以及通过对发送到装置的数据进行代码转换来帮助进行智能带宽分配，以及分开一些装置以(在需要时)限制它们对环境资源的访问等。-->图1示出了包括接入点(“AP”)102的环境100，在很多WLAN中接入点都是中心元件，因为其可以与使用该无线网络的一个或多个站点104、106相通信，并可以向传统有线网络108拷贝数据包或从传统有线网络108拷贝数据包，使得站点104和106能够与诸如缺少无线接口的服务器110的装置相通信。如果WEP(有线等效加密)、WPA(Wi-Fi安全存取)、IEEE802.11i或其他安全措施是有效的，则诸如站点104和106之类的装置与AP102共享加密密钥。在该图中，用粗虚线112表示受保护的WEP/WPA连接。应当明白的是，环境100的装置可以参与任何种类的网络活动，例如客户端装置访问因特网、内联网等上的网络数据、视频流传输，参与视频和/或数据会议、下载等。如果诸如膝上型电脑WLAN客户端114的装置的用户希望使用无线网络通过AP102来访问其他无线或有线节点上的资源，则必需要获得有效的加密密钥并将其输入到无线装置的配置中。传统上，无线网络的管理员会提供密钥，用户会将其键入配置表格中。然而，对于用户而言该方式是不方便的，并且对于管理员而言是麻烦的。此外，未授权用户可以从该用户获得密钥拷贝并使用其访问网络。改变WLAN的配置来拒绝接纳这种未授权的用户可能需要对所有其他未授权的装置进行重新配置。管理WLAN访问的另一种方法可以使用根据本专利技术实施例的注册协议。例如，可以使用一种协议来允许WLAN客户端114通过经AP102的通信向称为注册器116的网络实体进行注册。尽管被视为独立实体，但在另一个实施例中，注册器可以与AP集成在一起，其他实施例可以使用若干个注册器。在一些实施例中，还可以有媒体网关装置(MGD)，其可以是独立的装置或如所示的实施例中所假设的，并入注册器内。将MGD配置成执行各种任务，例如协调环境内的多个装置(参与共同通信任务(例如视频会议)的)与环境外的多个装置(例如因特网上的装置)的通信，或对内容进行代码转换以提供兼容性或减少带宽，或阻止该环境内的装置想要访问未对其授权的通信特征的企图。在一些实施例中，向新环境中引入装置可以使用相对安全的带外(OOB)信道来从现有装置(诸如该环境中的注册器或其他装置)向被引入的新装置开始转移数据。例如，可以使用该数据至少临时建立安全通信-->信道，随后可以在该安全通信信道上对新装置进行配置。可以使用实现注册协议的应用框架来为新装置配置提供公共框架。在一个实施例中，用于该装置的应用软件在应用框架中注册，该框架和注册器(或其他现有装置)及新装置相协调以便在引入新装置时自动对其进行配置。注册器116可以通过有线网络108、无线(无线电)连接或两者与AP102通信。注册器可以提供管理设施来监测WLAN和管理加密密钥。在图示的实施例中，新的WLAN客户端114具有称为装置口令的关联秘密信息，可以将装置口令用作OOB数据来传输，以建立安全的通信信道。可以将该口令刻在装置上或印在标签上，或者可以由装置或由与该装置本文档来自技高网...

【技术保护点】
一种向环境中引入装置并管理被引入装置以便建立配套关系、限制资源访问和建立对等装置信任的方法，所述方法包括：　向所述环境中引入第一装置，所述引入包括在所述装置和将所述第一装置通信地耦合到所述环境的连接点之间建立临时链路，以及交换安全凭证 以通过所述临时链路建立安全链路；以及　与所述引入同时地判断是否向所述第一装置施加操作限制或功能聚合。

【技术特征摘要】
【国外来华专利技术】US 2006-9-1 11/514,4521、一种向环境中引入装置并管理被引入装置以便建立配套关系、限制
资源访问和建立对等装置信任的方法，所述方法包括：
向所述环境中引入第一装置，所述引入包括在所述装置和将所述第一
装置通信地耦合到所述环境的连接点之间建立临时链路，以及交换安全凭
证以通过所述临时链路建立安全链路；以及
与所述引入同时地判断是否向所述第一装置施加操作限制或功能聚
合。
2、根据权利要求1所述的方法，还包括：
向所述环境中引入第二装置；
将通信地耦合至所述环境的第二装置的相应能力与所述第一装置的能
力进行比较；以及
至少部分地基于所述比较，确定需要进行代码转换，以便通信地结合
所述第一装置的所述能力和所述第二装置的所述能力。
3、根据权利要求1所述的方法，其中，所述操作限制包括：选择性限
制所述第一装置对所述环境资源的访问或限制所述第一装置的通信。
4、根据权利要求3所述的方法，其中，限制所述第一装置的通信包括
从下列各项选择的一项：
阻止来自所述第一装置的对应于受限通信的网络业务，或
指示所述第一装置禁用对应于受限通信的操作特征。
5、根据权利要求1所述的方法，还包括：
提供用户界面(UI)，其具有用于至少对指定操作限制或功能聚合进行
配置的控制部分。
6、根据权利要求5所述的方法，其中，在引入所述第一装置期间自动
调用所述UI。
7、根据权利要求1所述的方法，还包括：
在所述第一装置和所述环境外部的第二装置和第三装置及所述环境内
的第四装置之间建立共同通信任务；以及
聚合来自所述第二装置、所述第三装置和所述第四装置的至少对应于
所述共同通信任务的网络通信。
8、根据权利要求1所述的方法，还包括：
识别出与所述第一装置通信地耦合的多个装置与所述第一装置共享公
共功能；以及
聚合来自所述多个装置的对应于所述公共功能的网络通信，并将聚合
的通信路由到所述第一装置。
9、根据权利要求8所述的方法，其中，所述公共功能为会议功能。
10、根据权利要求9所述的方法，其中，所述会议功能包括视听会议，
所述方法还包括：
在所述聚合之前，对来自所述多个装置的所述网络通信进行代码转换
以减少视频带宽。
11、根据权利要求1所述的方法，其中，注册器处理所述环境中的装
置引入，所述方法还包括：
向所述环境中引入第二装置；以及
在所述第一装置和所述第二装置之间建立信任，所述建立信任包括所
述注册器为所述第一装置提供所述第二装置的凭证，以及所述注册器为所
述第二装置提供所述第一装置的凭证；
其中，所述第一装置和所述第二装置都信任由所述注册器提供的凭证。
12、一种具有位于环境内外且与环境通信地耦合的装置的系统，所述
系统包括：
至少一个外部端点，用于共同通信任务；以及
多个内部端点，用于所述共同通信任务，所述内部端点与媒体网关装
置通信地耦合，所述媒体网关装置将所述内部端点用于所述共同通信任务
的数据进行聚合，并将所述内部端点与至少一个外部端点加以通信地耦合。
13、根据权利要求12所述的系统，
其中，所述共同通信任务希望使用全配套的通信链路，所述全配套的
通信链路是指所...

【专利技术属性】
技术研发人员：RS纳贾拉，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：US[美国]