CN101523798A - 利用能力评估进行安全的装置引入 - Google Patents
利用能力评估进行安全的装置引入 Download PDFInfo
- Publication number
- CN101523798A CN101523798A CNA2007800284497A CN200780028449A CN101523798A CN 101523798 A CN101523798 A CN 101523798A CN A2007800284497 A CNA2007800284497 A CN A2007800284497A CN 200780028449 A CN200780028449 A CN 200780028449A CN 101523798 A CN101523798 A CN 101523798A
- Authority
- CN
- China
- Prior art keywords
- environment
- polymerization
- communication
- register
- introducing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2807—Exchanging configuration information on appliance services in a home automation network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2816—Controlling appliance services of a home automation network by calling their functionalities
- H04L12/2821—Avoiding conflicts related to the use of home appliances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2838—Distribution of signals within a home automation network, e.g. involving splitting/multiplexing signals to/from different paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1023—Media gateways
- H04L65/1026—Media gateways at the edge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1083—In-session procedures
- H04L65/1094—Inter-user-equipment sessions transfer or sharing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/42—Systems providing special services or facilities to subscribers
- H04M3/56—Arrangements for connecting several subscribers to a common circuit, i.e. affording conference facilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Automation & Control Theory (AREA)
- Multimedia (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明论述了在环境中引入、管理和限制装置的过程,包括:如何安全引入装置,如何在装置之间建立信任,如何管理装置的带宽需求和其他资源需求,在环境内的多个装置参与共同任务时如何聚合资源的使用,以及如何限制装置对环境资源的访问。公开了包括人工和自动方案的各种技术。
Description
技术领域
概括而言,本发明涉及向环境中安全地引入装置,具体而言,本发明涉及在被引入环境中的装置之间确立关系、管理所述装置的数据通信以及限制所述装置进行资源访问。
背景技术
随着灵活而高性价比的基础设施变得可用,计算装置之间的有线和无线通信得到了广泛应用和显著增长。例如,诸如WiFi(电子及电气工程师协会“IEEE”提出的几种相关标准的通用名称)、蓝牙、红外编码数据等的吉比特以太网和无线技术允许经由无线信号或快速有线数据路径进行数据传输。然而,尽管新标准和改进的设备具有提高的网络数据速率,但技术仍然具有尚未得到满意解决的问题,例如容易而安全地引入装置,以及一旦引入之后配置装置并在装置间建立信任(在需要时)。
除了对引入环境中的装置配置有困难之外,另一个问题是带宽管理或分配,如经常发生的情况那样,在一个环境中的多个装置与环境外部的装置参与共同任务时,这可能是一个问题。一个范例是多个装置参与数据下载、对等数据传输、召开会议或电话通信会话等。另一个问题是在各种装置(例如会议参与方)之间建立信任和身份。又一个问题是为访问装置在环境中确定适当的权限范围。
附图说明
从本发明的以下详细说明中,本发明的特征和优点将变得显而易见,其中:
图1示出了根据本发明实施例的示范性网络环境。
图2为根据本发明实施例的示范性协议事务的流程图。
图3示出了根据一个实施例用于在装置之间建立初始信任关系并传送这些信任关系的框架。
图4示出了根据一个实施例向环境中引入装置的流程图。
图5示出了在诸如数字家庭或办公室LAN环境的个人或商业网络环境中存在的两种不同但普遍的装置配置。
图6示出了根据本发明的各实施例工作的装置的系统。
图7示出了实施本发明某些方面的适当计算环境。
具体实施方式
应当明白的是,本文要解决几个不同的问题,其中之一是如何向诸如上述数字家庭、数字办公室等环境中安全地引入装置,在这种环境下一些或全部装置可以通过无线通信信道工作。另一个问题是如何在装置之间建立信任,例如使装置能够建立可信赖的多方关系、多媒体会议和通过安全通信信道在装置间共享媒体,并使装置能够对会议中的其他端点的可靠性有信心。应当明白的是,与公共装置建立起信任关系的端点至少部分地基于其他端点已类似地与公共装置建立起信任关系这一事实而间接地与其他端点建立信任。另一个问题是在环境中的多个装置参与共同任务的时候使带宽需求最小化,因此将通信汇聚到进出环境的公共通信是有利的。另一个问题是智能带宽分配,使得识别出低带宽装置,而不会不必要地为其提供对其他高带宽装置不利的带宽。本文还解决了其他问题,从以下描述中它们将变得明了。
在诸如局域网(LAN)或无线LAN(WLAN)和/或其他通信环境的环境中引入装置时,应当明白的是,各装置可以在环境内传递凭证(credential),在这么做的同时,装置还可以传送其能力和资源要求,以帮助配置该装置使其用于该环境中。凭证可以是获准访问网络资源需要的口令或加密密钥,或是操作装置所使用或必需的其他配置信息。可以使用该装置提供的(和/或根据装置身份确定的)能力和要求来帮助协调环境内装置与环境外装置的高效通信,例如将交迭的通信会话汇聚为环境和外部通信端点之间的单个公共会话,以及通过对发送到装置的数据进行代码转换来帮助进行智能带宽分配,以及分开一些装置以(在需要时)限制它们对环境资源的访问等。
图1示出了包括接入点(“AP”)102的环境100,在很多WLAN中接入点都是中心元件,因为其可以与使用该无线网络的一个或多个站点104、106相通信,并可以向传统有线网络108拷贝数据包或从传统有线网络108拷贝数据包,使得站点104和106能够与诸如缺少无线接口的服务器110的装置相通信。如果WEP(有线等效加密)、WPA(Wi-Fi安全存取)、IEEE802.11i或其他安全措施是有效的,则诸如站点104和106之类的装置与AP102共享加密密钥。在该图中,用粗虚线112表示受保护的WEP/WPA连接。应当明白的是,环境100的装置可以参与任何种类的网络活动,例如客户端装置访问因特网、内联网等上的网络数据、视频流传输,参与视频和/或数据会议、下载等。
如果诸如膝上型电脑WLAN客户端114的装置的用户希望使用无线网络通过AP102来访问其他无线或有线节点上的资源,则必需要获得有效的加密密钥并将其输入到无线装置的配置中。传统上,无线网络的管理员会提供密钥,用户会将其键入配置表格中。然而,对于用户而言该方式是不方便的,并且对于管理员而言是麻烦的。此外,未授权用户可以从该用户获得密钥拷贝并使用其访问网络。改变WLAN的配置来拒绝接纳这种未授权的用户可能需要对所有其他未授权的装置进行重新配置。
管理WLAN访问的另一种方法可以使用根据本发明实施例的注册协议。例如,可以使用一种协议来允许WLAN客户端114通过经AP102的通信向称为注册器116的网络实体进行注册。尽管被视为独立实体,但在另一个实施例中,注册器可以与AP集成在一起,其他实施例可以使用若干个注册器。在一些实施例中,还可以有媒体网关装置(MGD),其可以是独立的装置或如所示的实施例中所假设的,并入注册器内。将MGD配置成执行各种任务,例如协调环境内的多个装置(参与共同通信任务(例如视频会议)的)与环境外的多个装置(例如因特网上的装置)的通信,或对内容进行代码转换以提供兼容性或减少带宽,或阻止该环境内的装置想要访问未对其授权的通信特征的企图。
在一些实施例中,向新环境中引入装置可以使用相对安全的带外(OOB)信道来从现有装置(诸如该环境中的注册器或其他装置)向被引入的新装置开始转移数据。例如,可以使用该数据至少临时建立安全通信信道,随后可以在该安全通信信道上对新装置进行配置。可以使用实现注册协议的应用框架来为新装置配置提供公共框架。在一个实施例中,用于该装置的应用软件在应用框架中注册,该框架和注册器(或其他现有装置)及新装置相协调以便在引入新装置时自动对其进行配置。注册器116可以通过有线网络108、无线(无线电)连接或两者与AP102通信。注册器可以提供管理设施来监测WLAN和管理加密密钥。
在图示的实施例中,新的WLAN客户端114具有称为装置口令的关联秘密信息,可以将装置口令用作OOB数据来传输,以建立安全的通信信道。可以将该口令刻在装置上或印在标签上,或者可以由装置或由与该装置相关联的软件加以显示。如果通过这种方式显示装置口令,口令可以是动态的(例如,所显示的口令可以在一段时间内有效,或直到某些事件出现有效,然后可以选择并显示新的装置口令)。在一些实施例中,可以由新客户端附近的读取装置读出装置口令。例如,近场通信(“NFC”)装置可以在短距离内以无线方式交换数据,从而装置口令可以存储在NFC令牌中并由NFC读取器读取。在另一个实施例中,新WLAN客户端可以装备红外或其他光信号发射机,并且能够在瞄准近程内向注册器的光接收机发送装置口令。可以使用这些和其他已知的技术在环境中的新装置和现有装置(例如注册器)之间进行OOB数据传输,以帮助建立安全通信信道。
如上所述,假设可能(或已经)影响到带内通信信道。高风险带内信道的典型范例是公用无线“热点”,例如提供公用网接入的地方或旅馆房间的网络连接。为了避免新装置在引入时受到影响,在各实施例中,与新装置进行初始OOB数据传输以引导建立安全通信信道,然后通过安全通信信道配置新装置。例如,假设OOB数据包含密码系统数据,新装置和注册器或其他现有装置、代理服务器等使用该密码系统数据与新装置建立安全通信信道。应当明白的是,可以使用各种加密协议和技术;在一些实施例中,新装置可以请求注册器、框架协议栈(例如图4的实施例)或其他实体或程序构造充当加密认证授权方(CA),例如X.509型认证。
图2示出了根据一个实施例的流程图200,用于安全地将诸如WEP密钥的凭证从注册器转移到客户端。注册器116、AP102和客户端114可以根据图2所示交互作用。可以在带内(例如通过无线通信信道)发送所有消息,或者可以通过不同信道发送一些消息。参考该图描述的实施例使用了如因特网工程任务组(“IETF”)的2004年6月编号为3748的请求注解(“RFC”)中所述的可扩展鉴别协议(“EAP”)作为收发协议中的很多消息的框架。然而,应当明白的是,可以将根据本发明实施例的消息用于其他通信框架,或作为原始数据通过任一种通信信道发送。还应当明白的是,以下对图2的讨论是高层次的,为了清楚起见,在表达中省去了某些加密细节。
首先,将客户端的装置口令提供给注册器202。这可以通过从客户端的标签或显示器读取口令并通过注册器用户接口输入口令,通过将客户端放在注册器附近从而使注册器能够自动读取客户端的NFC令牌或经由一些其他OOB方法来实现。接下来,在初始化EAP事务(未示出)之后,客户端发送第一消息(“M1”)(封装在EAP消息内)以便利用注册器初始化引入协议204。M1包含第一随机数N1和客户端的公钥PKE,也可以包含其他信息(下文所述)。M1由注册器接收206。
注册器通过发送第二消息(“M2”)来响应M1,第二消息包含第二随机数N2和注册器的公钥PKR208。客户端接收M2 210。事务继续进行,客户端发送消息Mn 212,注册器以消息Mn+1做出响应214。每个消息的诸部分可以用客户端和注册器都知道的密钥进行加密,或用其中一方的公钥或私钥进行加密。消息可以附加消息鉴别码(“HMAC”)来允许接收方验证另一方是否正确接收了前一消息且在传输过程中没有第三方篡改了消息,该消息鉴别码包含前一消息的密码散列和在MAC之前的当前消息的一部分。
利用应当与客户端自己的装置口令相匹配的装置口令来鉴别用于计算来自注册器的一个或多个消息中的HMAC的密钥。这允许客户端验证其正在从授权的注册器接收凭证(而不是例如从企图欺骗客户端连接到有敌意的无线网络的欺诈注册器进行接收)。来自注册器的一条或多条消息包含诸如WEP或WPA密钥之类的凭证,客户端可以使用这些密钥通过AP访问无线LAN。可以利用密钥加密密钥对凭证进行加密以防止窃听者恢复凭证。当客户端接收到包含凭证的消息时,客户端利用其自身装置口令的信息对HMAC进行验证以确保该消息来自注册器216,例如在一个实施例中,进行测试以确保接收到经相互证实的装置口令信息。如果口令是不同的,则客户端通过发送否认(“NACK”)消息来中止EAP事务218。如果HMAC正确验证了装置口令的信息,则客户端可以对凭证解密并将其存储在配置数据库中供将来使用220。
一旦客户端成功接收到凭证,就在EAP环境中终止该会话。例如,可以通过向注册器发送“完成”响应来进行这一操作222,注册器接收“完成”消息224,并以EAP“失效”消息做出响应226。客户端随后接收到该“失效”消息228。注意在该环境中,失效消息并不表示客户端必需重复EAP事务以获得凭证。该消息仅表明该事务用于提供凭证而不是允许客户端立即使用无线LAN。在客户端试图通过AP访问网络时,可以使用其稍后接收的凭证230。例如,客户端可以根据凭证中的数据来更新其配置,或可以使用该凭证来完成用于提供网络访问的新认证协议事务。
在与被引入的装置成功建立起通信之后,如下文所述,还可以配置该装置的通信参数和通信配置。例如,通过在装置和注册器之间建立信任,可以在装置间交换凭证以帮助在装置间建立信任。或者,可以配置装置的带宽需求以控制装置的相互通信以及与环境外部场所的通信。
图3示出了根据一个实施例用于在装置之间建立初始信任关系并(例如在各种操作系统、装置驱动器和应用软件组件之间)传送这些信任关系的框架300。
在一个实施例中,在诸如上文参考图1-2所述的那些装置引入机制上建立应用框架302。在一个实施例中,在发送“完成”消息之后并在利用“失效”消息做出响应并终止EAP会话之前,对应用框架进行初始化。本领域的普通技术人员应当明白的是,图1-2中的EAP论述是示范性的,可以使用任何消息传输协议进行凭证设置。所示的应用框架可以由任何应用或装置用来引导安全通信信道。还应明白的是,可以使用装置发现技术,例如无线或有线网络发现数据探测、通用即插即用(UPnP)操作或其他发现技术来宣告环境中新装置的存在、对环境的注册器或其他装置进行定位并管理组网装置。也可以定义应用程序设计接口(API)或软件开发工具包(SDK)来提供功能,以执行本文所述的用于在环境内发现、注册和配置装置的操作和技术。
在图示的实施例中,可以由技术规范对线304下方的组件306-312进行标准化或使其定义明确,技术规范例如是“Wi-Fi Simple Config Proposal”中所描述的规范,现在最新的版本为2006年2月10日的修订版1.0a。线304下方的组件306-312包括带内媒体管理器306,用于管理常规通信连接,例如蓝牙链接、电气和电子工程师协会(IEEE)802.x型的WLAN链接等。假设这种带内通信信道是容易受到攻击的。
还有带外(OOB)媒体管理器308,用于管理OOB通信信道,例如上文所述的各种示范性通信信道。假设OOB通信信道难以受到攻击,因此认为其是可信任的,可用于初始数据交换以便越过不可信赖的带内信道建立安全的通信。
在一个实施例中,注册器或其他管理装置可以具有关联的策略,该策略控制着可以允许新装置的什么特性或特征变为激活的。例如,在新装置支持即时消息时,可以将注册器配置成忽略新装置的这种软件特征和/或不配置新装置的这种软件特征。这使得用户或其他环境管理员能够选择性地允许资源存取,例如,实现“过客”访问。应当明白的是,可以根据自动采用的策略(或它们的等同物)以及通过与用户或其他环境管理员交互来限制访问。应当明白的是,在为装置授予权限时,可以将诸如装置类型、装置所有人、带宽或其他资源要求、在环境中表现良好的时间等各种装置特性作为决定因子。于是,例如可以将电话装置引入环境中并仅允许其自动访问与装置本性相兼容的资源,例如访问会议数据流、视听数据的音频部分等。
除了环境限制装置的访问之外,装置本身也有其自身的访问限制,例如保护自身不受入侵或使其工作持续时间最大化。例如,尽管环境可以支持和/或允许某种活动,例如访问流媒体介质,但特定装置也可以具有其自身的本地策略,使得即使该环境中存在该活动且该活动可用,该装置也不使用该活动。例如,即使在特定环境中提供一项活动,例如在公共接入网热点中提供文件共享,但有安全意识的装置所有者也不允许这种活动。或者,如果电池电量低,可以将装置配置成忽略环境中可用的电池强度特征。
在一个实施例中,可以在界面(未示出)(诸如用于接收用户输入的图形用户界面(GUI))中识别在例如应用框架302中注册(或已经注册)的每个应用,或到自动界面处理注册,其中该界面为用户或自动注册处理器提供机会,使得本地策略或用户允许、拒绝或修改应用的注册。例如,在引入装置期间,通过识别出其是外来装置并检查规则、策略等的适用性,并(如果需要的话)通过GUI或其他界面提示用户具有访问该新装置的权限,这样就可以针对被引入环境的该装置交互地实施上述“过客”访问。于是,可以为拜访朋友的过客装置赋予环境中受限的访问,例如仅允许其参与特定类型的通信,例如允许或拒绝因特网访问,允许或拒绝音乐流媒体,对访问该环境的时间加以限制等。
图4示出了根据一个实施例的流程图400,用于注册和监控向环境中引入的装置。应当明白的是,装置可以具有在图1的注册器116注册的多个软件和/或硬件应用或功能402。
在图示的实施例中,进行测试以检查新加的装置,以便查看是否对该装置施加多个限制404。应当明白的是,某些装置可以绕过限制检查,这些装置例如是先前在系统中注册过的装置,或具有某种特性的装置,所述特性例如为数字安全信任证书或由诸如CA(认证授权方)或环境认可的其他授权方的可信任方认证的其他可信任特性。如果对新装置或功能施加限制404,就可以设立业务访问限制和装置配置406-410。应当明白的是,尽管406-410各项被依次示出,但可以并行地或以不同于图示的次序进行操作,在一些情况下可以仅执行选定的操作。
如上所述且如下文进一步参考图5和图6所述,期望对被引入的装置设立有限权限或过客访问权限406,例如禁止局域网(LAN)文件访问,限制对消耗带宽的业务的访问等。如上所述,可以通过GUI或其他界面自动地和/或交互地施加限制。例如,可能存在如下情况:用户或环境管理员希望仅允许对网络进行临时性装置访问,例如在访客带有诸如个人数字助理(PDA)、音乐播放器、照相机等装置时,且访客希望访问的装置连接到因特网,与用户共享文件,在具有立体音响系统功能的无线或有线局域网(LAN)上从音乐播放器播放歌曲,从照相机共享图片,在环境中的打印机上打印图片等。
为了让访客执行这些任务,用户和/或管理员需要为访客的装置授予必需的凭证,使其在该环境中执行期望的任务,例如,允许其进行网络访问和/或访问主环境中的装置。然而,应当明白的是,用户或环境管理员不希望授予访问装置不受限的环境访问权,而是希望小心控制访客装置所接收的网络访问限度。如以上参考图3所述,在向环境引入装置时可以确定过客访问或其他装置限制。
在一个实施例中,利用接入点(AP)、路由器、网关或获得网络访问的其他装置上实现的动态过滤器来实施限制。在一个实施例中,可以通过经AP、路由器、网关等连接到的环境装置和资源自身的物理和/或逻辑网络来访问环境装置和资源。当在本实施例中注册过客装置时,用户或环境管理员具有在新装置上施加访问限制的选项。应当明白的是,可以为通常的兴趣,例如因特网访问、文件访问等分配默认值。可以由注册器直接管理访问权限,且/或可以由注册器将默认值和装置特性限制发送给AP、路由器、网关等,装置特性限制用于限制环境访问并能够在需要时建立限制访问所必需的存取控制表(ACL)、过滤器等。
从而,应当明白的是,在完成向环境注册装置之后,如果过客装置希望访问特定的资源,例如原本未授予访问权的共享资源或装置,用户或环境管理员可以经注册器启用这种访问。例如,如上所述,可以使用GUI来交互地控制初始装置访问,这种GUI也可以用来改变访问许可。在一个实施例中,将注册器配置为枚举出环境中可用的资源,例如网络上的共享资源或输入和/或输出装置,例如打印机、立体音响系统、扬声器等。用户或管理员可以选择过客装置可以访问的装置和共享资源。如果访问不是由注册器直接管理的,则注册器向正在控制访问的AP、路由器、网关等发送访问变动,且其设置对应于改变后的访问权限的适当ACL、过滤器等。
应当注意的是,取决于注册器、AP、路由器、网关等限制对环境资源访问的能力,ACL可以简单地为IP和/或MAC地址和/或基于端口的过滤器,或可以是较高级的。过客装置获得了仅仅访问网络中指定部分的权力,将不能够查看或访问用户网络中的其他资源。应当明白的是,可以将过客访问权配置成自动到期,例如超时停止,或在特定条件下取消,例如在过客装置离开环境时取消访问权。
除了设立访问权406之外,可能还希望设立通信限制408。例如,在引入装置并注册其应用和/或功能402时,在注册过程期间可以跟踪或记录装置的特性,例如该装置为仅具有音频功能的装置(例如电话),仅具有黑白屏幕,具有有限处理能力等信息。例如,在仅具音频功能的情况下,可以根据该装置的特性来设立该装置可发现的或以其他方式可访问的通信特征。例如,如果仅具音频功能的装置试图加入基于视听的会议,可以将该装置作为仅具音频的装置引入会议,其中自动禁用所有视频功能,具体而言,不尝试向仅具音频功能的装置发送视频数据。这种智能数据路由可以显著降低仅具音频功能装置的带宽需求,并为需求较繁重的其他装置改善带宽或其他资源性能。
除了设立通信限制408之外,还可以进行通信汇聚410。如下文参考图5和图6所述,如果多个装置参与共同的任务,则常规设置通常会要求每个装置在参与共同任务时逐个建立必要的连接。共同的任务例如包括传输音频数据流(诸如音乐或语音通信)、传输视频数据(诸如涉及电影展示、视频会议、视频电话等的视频数据)、网络电话(VoIP)、即时消息、协作应用等。如将要参考图5所述的,在使得多个装置全都尝试逐个与每一其他装置相通信时可能会浪费大量带宽。作为这种交叉通信的替代,在各种配置中可以进行通信汇聚以简化通信需求。在一个实施例中,在若干装置通过诸如网关、路由器、防火墙等的公共通信连接点参与共同任务时,可以使用交叉连接的装置,通信是经由所述交叉连接的装置进行的,并维持代表装置使用该连接点的多条通信线路。于是这样简化了装置的工作,因为它们仅需要维持与连接点的通信,装置将从连接点接收来自所有其他装置的通信。除了释放带宽之外,这种简化还降低了成本并帮助了家电型装置。
一旦注册了装置402并处理了限制406-410,就记录装置及其硬件或其他软件装置(他们需要知道装置引入)之间的关联性412,并对加入环境中的新装置进行监测414。在图示的实施例中,图3的应用框架监测装置的引入。在另一个实施例中,图1的注册器116监测装置引入。在引入装置时,在完成引入时,通报新装置的已经注册的应用(如果有的话),使得它们能够参与数据交换,从而实现新装置的自动配置。
在图示的实施例中,逻辑上处理继续进行,检查是否有新装置引入416。如果未发现新装置416,则处理循环返回,监测装置的引入414。循环416被示为虚线,暗示该处理可能不是字面意义上的直接循环返回,因为实现图示实施例的系统可以在返回监测414之前执行其他未示出的任务和/或过程。如果引入新装置416,则进行检查418,以判断其是否具有相关联的(注册的)应用。如果是这样420,则通知那些应用422以触发它们对引入的响应动作,例如配置该装置或采取一些其他动作。如果没有新装置416,或如果没有关联的应用420,或在通知关联的应用之后422,该过程循环返回到新装置的监测414。
通过在装置引入时提供自动应用触发,这在以下方面减轻了终端用户的负担:终端用户需要知道运行什么软件来配置新装置以使其在现有网络中工作,尝试什么命令来使用该软件,如何有效限制过客装置对网络的访问等。类似地,通过提供一种方式来自动询问被引入的装置,以识别和处理限制406-410,终端用户能够较简单地限制装置对用户网络的访问,且还有机会汇聚装置(如果可能的话)以使用户资源的负担和消耗最小化。应当注意的是,多个应用可以注册到一个装置,优先级和/或执行次序数据可以与应用和/或限制相关联以获取多个应用之间可能存在的相关性,例如,指定一个应用需要在另一个之前运行,或根据限制条件来限制应用访问。
应当明白的是,可以通过特定环境中的注册器或其他装置和/或软件可用的API来提供本文所述的各种特征和功能,例如图3所示的操作系统中的应用软件316、318,或执行上述操作的另一应用。在一个实施例中,可以由图3的应用框架302使用具有适当规则集的专家系统来分析,根据新装置的引入是否能够和/或应当修改现有装置配置,例如利用现在可从新装置得到的服务。如果需要的话,在一个装置存在多个应用注册时,也可以使用专家系统来控制相关应用的执行次序。
应当明白的是,可以用种种方法引入装置,例如,激活无线收发器,按下“安装”按钮或开关,将装置插入与应用框架通信耦合的总线等。在识别出新装置,例如图4的416时,在注册器和/或新装置的用户界面上激活安装“向导”。在利用API来实现执行本文所述操作的功能的实施例中,可以调用回叫功能来触发适当应用程序的执行414。安装向导本身应针对所有装置事先注册了其本身402。在需要的时候,一旦激活了向导,其可以为用户提供指令和/或配置问题以辅助安装新装置。在一些情况下不需要用户介入,从而使用户的事情非常简单,在其他情况下,例如在分配装置限制、配置通信汇聚时,或引入无线接入点时,可以分别希望提示用户出示访问权、聚合参数、SSID(业务设置识别符)或其他个性化数据以便与新装置相关联等。
图5示出了存在诸如数字家庭或办公室LAN环境的个人或商业网络环境中的两种不同但普遍的装置配置。图5A示出了典型的对等(P2P)型会议500,其中每个装置502-506(例如会议端点)需要与会议中的每一其他装置(例如外部端点508-512)建立通信连接。如图所示,由于装置502-512之间很多交叉的通信线路514,从而导致了大量的交叉通信、带宽消耗和通信复杂性。
在如下一些配置中这种开销尤其繁重:多个装置参与共同任务(例如会议),共享公共网络接入(例如网关、防火墙或其他装置516),如图5B所示。在图5B的实施例中,所有装置502-512都需要建立通往每一其他装置的通信连接,不过,由于若干装置502-506位于诸如网关、防火墙等的公共通信连接点516后面,因此装置516承担了传递内部装置502-506和外部装置508-512之间所有通信的负担,这也可能会使连接点516成为瓶颈。组合相关的通信和/或其他数据传输可以显著地方便参与共同任务的多个装置的通信。
于是,在一个实施例中,不是让多个装置502-506独立工作,而是当在环境中注册/引入装置时(例如上文参考图4所述的),可以评估装置,查看如果这种装置参与共同任务,它们是否支持可以将其与其他装置聚合的功能。例如,如图6的装置系统600所示,如果装置602-606全部支持特定任务,例如召开会议(包括音频和/或视频会议、数据会议等),则指示装置在注册或引入期间使用聚合通信模式而不是常规的通信模式。在图示的实施例中,装置全都通过网络608可通信地耦合在一起并通过公共通信连接点610进行通信,在此将连接点610称为例如媒体网关装置(MGD)。如图所示,MGD还合并了注册器,例如图1中的116,装置即被引入该注册器。应当明白的是,连同下文讨论的聚合特征(如果有的话,还有注册器特征)一起,MGD还并入了网关、防火墙等的数据处理能力。
于是,与图5的配置相对比(在图5的配置中装置502-512之间具有复杂的通信线路514),对于共享MGD或作为公共通信连接点的等同装置的装置602-606而言,各装置例如通过它们的本地有线和/或无线网络608建立与MGD 610的个别通信连接612-616。MGD然后在需要时建立通往外部(例如相对于局域网608而言的外部)端点622-626的连接618。应当注意的是,全部三个内部装置602-606与外部端点的通信仅需要如图所示的三个连接,类似地,在外部装置622-626需要常规的繁重通信线路620来彼此通信时,它们仅需要与MGD建立通信,以便与内部端点602-606一起参与到共同任务。在一个实施例中,外部端点注意到MGD,并因此遵循端点和MGD同意的协议,每个外部端点(例如)都建立经由可通信地耦合端点602-606、622-626的因特网或其他网络628通往MGD的单个通信线路620,在此基础上,MGD将在需要时向内部端点传输数据。在另一个实施例中,每一个图示的通信线路620都代表从每个外部端点到每个内部端点的三条通信线路,然而,这些通信线路的每一条都路由到MGD,因为其仍然是内部端点的公共通信连接点。
在一个实施例中,根据装置502-506的特性,MGD可以为装置建立更理想的通信,以及通过MGD或其他网关、防火墙、路由器等与外部端点622-626进行通信。例如,如果装置602为仅具音频功能的电话,即使电话挂接到视听会议上,MGD也可以自动剥离来自其他与会者的视频数据,以简化电话需要处理的数据612。对于电话的这种代理类型还允许MGD充当代码转换器,以允许不兼容的装置参与通常不支持的活动,例如在仅具音频功能的装置上进行视频会议。应当明白的是,在注册或引入装置时可以确定各种装置特性,例如网络接口卡(NIC)速度、音频能力或相关联的编解码器、视频能力或相关联的编解码器、屏幕尺寸、分辨率、输出能力、摄像机技术规格、文本能力、特定应用的支持(SkypeTM、即时消息、VoIP应用、协作应用等)以及针对聚合、代码转换做的决策等。
考虑数字家庭的情形,其中MGD610用于为希望加入会议电话的内部家庭装置602-606建立与外部端点之间的这些呼叫。在这种情形中,MGD还起到家庭媒体服务器的作用,因此能够将媒体流传输到家庭中的端点装置。应当明白的是,各装置可以具有到MGD的有线和/或无线连接。一旦装置已经注册并被授权访问网络608的资源,则MGD就会检查新引入装置的被发现的能力。应当明白的是,如果利用注册器进行配置,则MGD可以直接接收这些能力,或者在成功注册或引入装置之后将该信息(例如通过推送或牵引机制)传递到MGD。还可以配置MGD以利用环境中的装置(例如在端点602-606上执行的通信软件)查询对被监测的某些应用(例如在图3的应用层302中)的执行进行响应的能力。
如以上参考图1-2所述,在向注册器注册期间,注册者和注册器交换加密数据,使得装置能够在它们自身和MGD之间建立安全的通信会话,例如传输层安全(TLS)、网际协议安全(IPSec)等会话。在一个实施例中,MGD建立起与外部实体的电话会议,例如在外部端点622-626和数字家庭内部装置602-606之间的电话会议。在图示的实施例中有单个MGD;应当明白的是,可以有多个MGD,每个MGD都可通信地耦合,以便将装置的多个子网络连接到一起。逻辑上,多个MGD(如果有的话)可以作为单个MGD工作。在图示的实施例中,每个装置都与MGD建立会话,MGD依次复用所有媒体流并将它们发送到参与共同通信任务(例如电话会议)的外部装置。
在一个实施例中,一旦通过MGD为装置之一建立起共同通信任务,其他装置也可以选择通过MGD参与其中。在另一装置进入呼叫时,MGD使用装置加入网络时(例如在注册或引入期间)提供和/或发现的装置能力信息来调节媒体流量,确定将什么数据和/或媒体流发送到特定装置,并转换代码或以其他方式转换数据,例如为小屏幕尺寸(例如手机)降低高分辨率图像,或完全消除视频,以降低音频比特速率等。然而,因为参与共同通信任务的功能较强大的装置(诸如台式计算机或膝上型计算机)能够支持较高的能力,因此这种装置能接收到完整的媒体流。在一个实施例中,MGD充当着端点通信的复用器/解复用器。在一个实施例中,MGD合并从装置602-606输入的流并将它们作为单个流输出到外部端点622-626。类似地,在本实施例中,MGD从每个外部端点接收共同通信任务的数据并将它们组合成单个数据流,提供到每个内部端点。
在一些实施例中,对于共享的任务,例如上文讨论的会议范例,可能重要的问题是能够在与会者之间建立安全连接,以防止会议被窃听,以及使每一方都能确信会议中其他各方的真实性。应当明白的是,这种安全信息可以在装置注册或引入期间被建立并与其他与会者共享。具体而言,在一个实施例中,接受装置注册的注册器(或合并了注册器的MGD)充当着本地认证授权方(CA),因此可以充当环境内的装置身份的授权方,从而使环境内的装置能够获得所期望的其他装置的身份。应当明白的是,与会者或其他端点可以与MGD建立信任关系,并至少部分地基于其他与会者或端点已经类似地与MGD建立起信任关系这一事实,间接地与其他与会者或端点建立信任。
图7和以下论述是要对可以实施所例示的某些方面的适当环境做简略而一般性的描述。本文所使用的术语“机器”一词意在宽泛地涵盖单个机器或由可通信地耦合在一起的多个机器或一起工作的多个装置组成的系统。示范性的机器包括诸如个人计算机、工作站、服务器、便携式计算机的计算装置,诸如个人数字助理(PDA)、电话、书写板等的手持装置以及诸如私人或公共运输,如汽车、火车、出租车等的运输装置。
通常,该环境包括机器700,机器700包括系统总线702,通过系统总线连接处理器704、内存706(诸如随机存取存储器(RAM)、只读存储器(ROM)或其他状态保持介质)、存储装置708、视频接口710和输入/输出接口端口712。该机器至少部分可以受到来自常规输入装置(诸如键盘、鼠标等)的输入的控制,也受到从另一机器接收的指令、与虚拟现实(VR)环境的交互、生物测定反馈或其他输入源或信号的控制。
该机器可以包括嵌入式控制器,例如可编程或不可编程逻辑器件或阵列、专用集成电路、嵌入式计算机、智能卡等。该机器可以使用(例如经由网络接口718、调制调解器720或其他通信耦合)到一个或多个远程机714、716的一个或多个连接。可以通过物理和/或逻辑网络722(诸如图1的网络108、内联网、因特网、局域网和广域网)将机器互连起来。本领域的普通技术人员应当明白的是,与网络722的通信可以利用各种有线和/或无线短距离或长距离载体和协议,包括射频(RF)、卫星、微波、电气和电子工程师协会(IEEE)802.11、蓝牙、光学、红外、电缆、激光等。
可以参考或结合诸如功能、流程、数据结构、应用程序等相关数据来描述本发明,在机器访问这些数据时,使机器执行任务或定义抽象数据类型或低电平硬件关联。关联数据可以存储在例如易失性和/或非易失性存储器706或存储装置708和/或关联的存储介质以及更特殊的介质(例如机器可访问生物状态保护存储器)中,关联存储介质包括常规硬盘驱动器、软盘、光存储器、磁带、闪存、存储棒、数字视频盘等。可以用数据包、串行数据、并行数据、扩散信号等形式在包括网络722的传输环境上传送关联数据,并可以采用压缩或加密格式来使用。关联数据可以用于分布式环境中,并在本地和/或远程存储,以供单处理器或多处理器机器访问。关联数据可以由嵌入式控制器使用或与之协作;因此在本发明中,“逻辑”一词意在一般性地指代关联数据和/或嵌入式控制器的可能组合。
于是,例如,对于例示的实施例而言,假设机器700体现了图1的注册器,那么远程机714、716分别可以是图1的客户端114和站点104。应当明白的是,可以像机器700那样配置远程机714、716,因此远程机包括针对机器700讨论的很多或全部元件。
已经参考例示的实施例描述和例示了本发明的原理,应当明白的是,在不脱离这种原理的情况下可以对例示的实施例进行设置和细节修改。而且,尽管以上论述都集中在特定实施例上,但也可以想到其他配置。具体而言,尽管在本文中使用了诸如“在一个实施例中”、“在另一个实施例中”等表达,但这些短语意在一般性地指代实施例的可能性,并非要将本发明限制在特定实施例配置上。如本文所使用的,这些表述可以指相同或不同的实施例,可以将这些实施例组合到其他实施例中。
因此,鉴于本文所述的实施例有很多种变化,该详细说明仅仅意在例示,不应视为限制本发明范围。因此,本发明所主张的是可能落在权利要求及其等同物范围和精神之内的所有这样的修改。
Claims (25)
1、一种向环境中引入装置并管理被引入装置以便建立配套关系、限制资源访问和建立对等装置信任的方法,所述方法包括:
向所述环境中引入第一装置,所述引入包括在所述装置和将所述第一装置通信地耦合到所述环境的连接点之间建立临时链路,以及交换安全凭证以通过所述临时链路建立安全链路;以及
与所述引入同时地判断是否向所述第一装置施加操作限制或功能聚合。
2、根据权利要求1所述的方法,还包括:
向所述环境中引入第二装置;
将通信地耦合至所述环境的第二装置的相应能力与所述第一装置的能力进行比较;以及
至少部分地基于所述比较,确定需要进行代码转换,以便通信地结合所述第一装置的所述能力和所述第二装置的所述能力。
3、根据权利要求1所述的方法,其中,所述操作限制包括:选择性限制所述第一装置对所述环境资源的访问或限制所述第一装置的通信。
4、根据权利要求3所述的方法,其中,限制所述第一装置的通信包括从下列各项选择的一项:
阻止来自所述第一装置的对应于受限通信的网络业务,或
指示所述第一装置禁用对应于受限通信的操作特征。
5、根据权利要求1所述的方法,还包括:
提供用户界面(UI),其具有用于至少对指定操作限制或功能聚合进行配置的控制部分。
6、根据权利要求5所述的方法,其中,在引入所述第一装置期间自动调用所述UI。
7、根据权利要求1所述的方法,还包括:
在所述第一装置和所述环境外部的第二装置和第三装置及所述环境内的第四装置之间建立共同通信任务;以及
聚合来自所述第二装置、所述第三装置和所述第四装置的至少对应于所述共同通信任务的网络通信。
8、根据权利要求1所述的方法,还包括:
识别出与所述第一装置通信地耦合的多个装置与所述第一装置共享公共功能;以及
聚合来自所述多个装置的对应于所述公共功能的网络通信,并将聚合的通信路由到所述第一装置。
9、根据权利要求8所述的方法,其中,所述公共功能为会议功能。
10、根据权利要求9所述的方法,其中,所述会议功能包括视听会议,所述方法还包括:
在所述聚合之前,对来自所述多个装置的所述网络通信进行代码转换以减少视频带宽。
11、根据权利要求1所述的方法,其中,注册器处理所述环境中的装置引入,所述方法还包括:
向所述环境中引入第二装置;以及
在所述第一装置和所述第二装置之间建立信任,所述建立信任包括所述注册器为所述第一装置提供所述第二装置的凭证,以及所述注册器为所述第二装置提供所述第一装置的凭证;
其中,所述第一装置和所述第二装置都信任由所述注册器提供的凭证。
12、一种具有位于环境内外且与环境通信地耦合的装置的系统,所述系统包括:
至少一个外部端点,用于共同通信任务;以及
多个内部端点,用于所述共同通信任务,所述内部端点与媒体网关装置通信地耦合,所述媒体网关装置将所述内部端点用于所述共同通信任务的数据进行聚合,并将所述内部端点与至少一个外部端点加以通信地耦合。
13、根据权利要求12所述的系统,
其中,所述共同通信任务希望使用全配套的通信链路,所述全配套的通信链路是指所述共同通信任务的一个端点和每一其他端点之间的通信链路,并且
其中,所述媒体网关装置有助于使内部端点的通信链路少于所述全配套的通信链路。
14、根据权利要求13所述的系统,其中,所述内部端点维持通向所述媒体网关装置的一个通信链路,所述媒体网关装置用于聚合通过所述一个通信链路来自其他端点的通信。
15、根据权利要求13所述的系统,其中,所述通信任务的外部端点维持所述全配套的通信链路。
16、根据权利要求12所述的系统,还包括:
认证授权方,其与所述内部端点通信地耦合,并用于促进至少所述内部端点之间的信任。
17、根据权利要求16所述的系统,其中,所促进的信任包括身份验证。
18、根据权利要求16所述的系统,还包括注册器,其用于处理所述多个内部端点的每一个内部端点向所述环境中的引入,并在所述引入期间识别所述多个内部端点的装置功能以便加以聚合。
19、根据权利要求18所述的系统,其中,所述认证授权方设置于所述注册器内。
20、一种具有相关指令的机器可访问物理介质,所述相关指令用于向环境中引入装置并管理被引入的装置,以便建立配套关系、限制资源访问以及建立对等装置信任,所述指令在受到访问时使一个或多个机器执行如下操作:
向所述环境中引入第一装置,所述引入包括在所述装置和将所述第一装置通信地耦合到所述环境的连接点之间建立临时链路,以及交换安全凭证以通过所述临时链路建立安全链路;以及
与所述引入操作同时地判断是否向所述第一装置施加操作限制或功能聚合。
21、根据权利要求20所述的介质,其中,所述指令包括在受到访问时使一个或多个机器执行如下操作的其他指令:
向所述环境中引入第二装置;
将通信地耦合至所述环境的第二装置的相应能力与所述第一装置的能力进行比较;以及
至少部分地基于所述比较,确定需要进行代码转换,以便通信地结合所述第一装置的所述能力和所述第二装置的所述能力。
22、根据权利要求20所述的介质,其中,所述指令包括在受到访问时使一个或多个机器执行如下操作的其他指令:
提供用户界面(UI),其具有用于至少对指定操作限制或功能聚合进行配置的控制部分,在引入所述第一装置期间自动调用所述UI。
23、根据权利要求20所述的介质,其中,所述指令包括在受到访问时使一个或多个机器执行如下操作的其他指令:
在所述第一装置和所述环境外部的第二装置和第三装置及所述环境内的第四装置之间建立共同通信任务;以及
聚合来自所述第二装置、所述第三装置和所述第四装置的对应于至少所述共同通信任务的网络通信。
24、根据权利要求20所述的介质,其中,所述指令包括在受到访问时使一个或多个机器执行如下操作的其他指令:
识别出与所述第一装置通信地耦合的多个装置与所述第一装置共享公共功能;以及
聚合来自所述多个装置的对应于所述公共功能的网络通信,并将聚合的通信路由到所述第一装置。
25、根据权利要求24所述的介质,其中,所述公共功能包括视听会议,所述指令包括在受到访问时使一个或多个机器执行如下操作的其他指令:
在所述聚合之前,对来自所述多个装置的所述网络通信进行代码转换,以降低所述网络通信的数据传输需求。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/514,452 | 2006-09-01 | ||
US11/514,452 US20080072292A1 (en) | 2006-09-01 | 2006-09-01 | Secure device introduction with capabilities assessment |
PCT/US2007/076633 WO2008105922A2 (en) | 2006-09-01 | 2007-08-23 | Secure device introduction with capabilities assessment |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101523798A true CN101523798A (zh) | 2009-09-02 |
CN101523798B CN101523798B (zh) | 2012-02-29 |
Family
ID=39190197
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007800284497A Expired - Fee Related CN101523798B (zh) | 2006-09-01 | 2007-08-23 | 利用能力评估进行安全的装置引入 |
Country Status (4)
Country | Link |
---|---|
US (2) | US20080072292A1 (zh) |
EP (2) | EP2677788B1 (zh) |
CN (1) | CN101523798B (zh) |
WO (1) | WO2008105922A2 (zh) |
Families Citing this family (63)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8146142B2 (en) | 2004-09-03 | 2012-03-27 | Intel Corporation | Device introduction and access control framework |
US8326296B1 (en) | 2006-07-12 | 2012-12-04 | At&T Intellectual Property I, L.P. | Pico-cell extension for cellular network |
US9233301B2 (en) | 2006-09-07 | 2016-01-12 | Rateze Remote Mgmt Llc | Control of data presentation from multiple sources using a wireless home entertainment hub |
US8935733B2 (en) * | 2006-09-07 | 2015-01-13 | Porto Vinci Ltd. Limited Liability Company | Data presentation using a wireless home entertainment hub |
US9319741B2 (en) | 2006-09-07 | 2016-04-19 | Rateze Remote Mgmt Llc | Finding devices in an entertainment system |
US8005236B2 (en) | 2006-09-07 | 2011-08-23 | Porto Vinci Ltd. Limited Liability Company | Control of data presentation using a wireless home entertainment hub |
US9386269B2 (en) * | 2006-09-07 | 2016-07-05 | Rateze Remote Mgmt Llc | Presentation of data on multiple display devices using a wireless hub |
US8607281B2 (en) | 2006-09-07 | 2013-12-10 | Porto Vinci Ltd. Limited Liability Company | Control of data presentation in multiple zones using a wireless home entertainment hub |
US8966545B2 (en) * | 2006-09-07 | 2015-02-24 | Porto Vinci Ltd. Limited Liability Company | Connecting a legacy device into a home entertainment system using a wireless home entertainment hub |
US20080061578A1 (en) * | 2006-09-07 | 2008-03-13 | Technology, Patents & Licensing, Inc. | Data presentation in multiple zones using a wireless home entertainment hub |
US8806027B2 (en) * | 2007-02-14 | 2014-08-12 | Microsoft Corporation | Nearby media device tracking |
US8204910B2 (en) * | 2007-02-14 | 2012-06-19 | Microsoft Corporation | Media device presence management |
US8799648B1 (en) * | 2007-08-15 | 2014-08-05 | Meru Networks | Wireless network controller certification authority |
US20090172776A1 (en) | 2007-12-31 | 2009-07-02 | Petr Makagon | Method and System for Establishing and Managing Trust Metrics for Service Providers in a Federated Service Provider Network |
EP2081354B1 (en) * | 2008-01-15 | 2011-08-17 | Axis AB | Method and devices for handling access privileges |
US8819422B2 (en) * | 2008-04-22 | 2014-08-26 | Motorola Mobility Llc | System and methods for access control based on a user identity |
US9065656B2 (en) * | 2008-04-22 | 2015-06-23 | Google Technology Holdings LLC | System and methods for managing trust in access control based on a user identity |
US8719420B2 (en) | 2008-05-13 | 2014-05-06 | At&T Mobility Ii Llc | Administration of access lists for femtocell service |
US8522312B2 (en) | 2008-05-13 | 2013-08-27 | At&T Mobility Ii Llc | Access control lists and profiles to manage femto cell coverage |
US8374159B2 (en) | 2008-05-21 | 2013-02-12 | Microsoft Corporation | Wireless network host in silent mode |
US8504032B2 (en) | 2008-06-12 | 2013-08-06 | At&T Intellectual Property I, L.P. | Femtocell service registration, activation, and provisioning |
US8855087B2 (en) * | 2008-12-18 | 2014-10-07 | Microsoft Corporation | Wireless access point supporting control by multiple applications |
US9979737B2 (en) | 2008-12-30 | 2018-05-22 | Genesys Telecommunications Laboratories, Inc. | Scoring persons and files for trust in digital communication |
JP5335479B2 (ja) * | 2009-02-26 | 2013-11-06 | キヤノン株式会社 | 通信装置、通信装置の制御方法、及び該制御方法をコンピュータに実行させるためのプログラム |
US8023406B2 (en) * | 2009-02-27 | 2011-09-20 | Research In Motion Limited | Route reflector for a communication system |
US20110060816A1 (en) * | 2009-04-17 | 2011-03-10 | Prem Jothipragasam Kumar | Parameter management in a personal distributed network |
US8018943B1 (en) | 2009-07-31 | 2011-09-13 | Anue Systems, Inc. | Automatic filter overlap processing and related systems and methods |
US8934495B1 (en) * | 2009-07-31 | 2015-01-13 | Anue Systems, Inc. | Filtering path view graphical user interfaces and related systems and methods |
US8098677B1 (en) | 2009-07-31 | 2012-01-17 | Anue Systems, Inc. | Superset packet forwarding for overlapping filters and related systems and methods |
US8510801B2 (en) | 2009-10-15 | 2013-08-13 | At&T Intellectual Property I, L.P. | Management of access to service in an access point |
US8792392B2 (en) * | 2010-02-10 | 2014-07-29 | Qualcomm Incorporated | Method and apparatus for in-band provisioning of a device at a closed subscriber group |
US9407718B2 (en) * | 2010-07-01 | 2016-08-02 | Broadcom Corporation | Method and system for service discovery and deployment in an IP multimedia network |
US20120170559A1 (en) * | 2011-01-05 | 2012-07-05 | Feinberg Eugene M | Method and system for out-of-band delivery of wireless network credentials |
US9544396B2 (en) * | 2011-02-23 | 2017-01-10 | Lookout, Inc. | Remote application installation and control for a mobile device |
US20130080520A1 (en) * | 2011-09-22 | 2013-03-28 | Nokia Corporation | Method and apparatus for provisioning resource credentials based on social networking data |
WO2013086695A1 (en) * | 2011-12-14 | 2013-06-20 | Nokia Corporation | Method and apparatus for providing optimization framework for task-oriented event execution |
EP2845403A4 (en) * | 2012-04-26 | 2016-03-02 | Nokia Technologies Oy | METHOD AND APPARATUS FOR CONTROLLING SHARING ACCESS PARAMETERS TO A WIRELESS NETWORK |
US8818276B2 (en) * | 2012-05-16 | 2014-08-26 | Nokia Corporation | Method, apparatus, and computer program product for controlling network access to guest apparatus based on presence of hosting apparatus |
JP5880316B2 (ja) * | 2012-07-02 | 2016-03-09 | 富士通株式会社 | プログラム、プロセス実行方法およびプロセス実行コンピュータ |
KR101736174B1 (ko) * | 2012-08-23 | 2017-05-17 | 한국전자통신연구원 | 미디어 전달장치를 포함하는 양방향 방송 서비스 제공 시스템 및 그 방법 |
EP2741465B1 (en) * | 2012-12-04 | 2021-03-17 | Orange | Method and device for managing secure communications in dynamic network environments |
KR20140087829A (ko) * | 2012-12-31 | 2014-07-09 | 삼성전자주식회사 | 촬상 장치가 이동 통신 단말로부터 연결 정보를 수신하는 방법, 상기 방법을 기록한 컴퓨터 판독 가능 저장매체 및 디지털 영상 장치 |
US9277401B2 (en) | 2013-01-22 | 2016-03-01 | Qualcomm Incorporated | Device utilizing an optical signal to access an access point |
US20140279597A1 (en) * | 2013-03-14 | 2014-09-18 | General Instrument Corporation | Automated transfer of a unique identifier for a consumer electronics device |
US20140273956A1 (en) * | 2013-03-15 | 2014-09-18 | Jim S. Baca | Motion initiated teleconference |
US11991176B2 (en) | 2013-11-13 | 2024-05-21 | Dmitri Dozortsev | Controlled method and system for secure information sharing |
FR3018979A1 (fr) * | 2014-03-21 | 2015-09-25 | Orange | Acces temporaire controle a un reseau local |
US10470225B2 (en) | 2014-03-26 | 2019-11-05 | Qualcomm Incorporated | System and method for enhance the user experience of applications for proximity-based peer-to-peer mobile computing |
WO2015155780A1 (en) | 2014-04-08 | 2015-10-15 | Hewlett-Packard Development Company, L.P. | Providing device functionality utilizing authorization tokens |
US9467385B2 (en) | 2014-05-29 | 2016-10-11 | Anue Systems, Inc. | Cloud-based network tool optimizers for server cloud networks |
US9781044B2 (en) | 2014-07-16 | 2017-10-03 | Anue Systems, Inc. | Automated discovery and forwarding of relevant network traffic with respect to newly connected network tools for network tool optimizers |
US10050847B2 (en) | 2014-09-30 | 2018-08-14 | Keysight Technologies Singapore (Holdings) Pte Ltd | Selective scanning of network packet traffic using cloud-based virtual machine tool platforms |
CN107078917B (zh) * | 2014-12-17 | 2021-03-19 | 惠普发展公司,有限责任合伙企业 | 托管电话会议 |
US9197673B1 (en) * | 2015-05-18 | 2015-11-24 | A2Zlogix, Inc. | System and method for reception and transmission optimization of secured video, image, audio, and other media traffic via proxy |
US9992134B2 (en) | 2015-05-27 | 2018-06-05 | Keysight Technologies Singapore (Holdings) Pte Ltd | Systems and methods to forward packets not passed by criteria-based filters in packet forwarding systems |
CN105045609A (zh) * | 2015-05-28 | 2015-11-11 | 深圳光启智能光子技术有限公司 | 在应用程序中执行和集成无线光通信应用功能的方法 |
US9584518B1 (en) | 2015-09-09 | 2017-02-28 | Callware Technologies, Inc. | Dynamic communications controller |
US10116528B2 (en) | 2015-10-02 | 2018-10-30 | Keysight Technologies Singapore (Holdings) Ptd Ltd | Direct network traffic monitoring within VM platforms in virtual processing environments |
US10652112B2 (en) | 2015-10-02 | 2020-05-12 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Network traffic pre-classification within VM platforms in virtual processing environments |
US10142212B2 (en) | 2015-10-26 | 2018-11-27 | Keysight Technologies Singapore (Holdings) Pte Ltd | On demand packet traffic monitoring for network packet communications within virtual processing environments |
US9996397B1 (en) * | 2015-12-09 | 2018-06-12 | International Business Machines Corporation | Flexible device function aggregation |
US10320920B2 (en) * | 2017-05-23 | 2019-06-11 | Bank Of America Corporation | Automatic migration of communication sessions using a private cloud-cloud technology |
CN111491277B (zh) * | 2020-04-08 | 2021-06-08 | 金茂智慧科技(广州)有限公司 | 无线物联网异常处理方法、智能网关及相关装置 |
Family Cites Families (41)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5621729A (en) * | 1995-06-07 | 1997-04-15 | Geophonic Networks, Inc. | Receiver controlled communication system |
US5822523A (en) * | 1996-02-01 | 1998-10-13 | Mpath Interactive, Inc. | Server-group messaging system for interactive applications |
US6011782A (en) * | 1997-05-08 | 2000-01-04 | At&T Corp. | Method for managing multicast addresses for transmitting and receiving multimedia conferencing information on an internet protocol (IP) network |
US6850985B1 (en) * | 1999-03-02 | 2005-02-01 | Microsoft Corporation | Security and support for flexible conferencing topologies spanning proxies, firewalls and gateways |
US7075918B1 (en) * | 1999-12-30 | 2006-07-11 | At&T Corp. | BRG with PBX capabilities |
WO2002001807A2 (en) * | 2000-06-28 | 2002-01-03 | Broadcom Corporation | Multi-mode controller |
US20030059434A1 (en) * | 2000-08-09 | 2003-03-27 | Andrew Grupe | Methods and compositions for treating gastrointestinal tract mucin production associated disease conditions |
US7594030B2 (en) * | 2000-11-22 | 2009-09-22 | Microsoft Corporation | Locator and tracking service for peer to peer resources |
US6948065B2 (en) * | 2000-12-27 | 2005-09-20 | Intel Corporation | Platform and method for securely transmitting an authorization secret |
US6873988B2 (en) * | 2001-07-06 | 2005-03-29 | Check Point Software Technologies, Inc. | System and methods providing anti-virus cooperative enforcement |
EP1309181A1 (en) * | 2001-11-06 | 2003-05-07 | Thomson Licensing S.A. | Device, method and system for multimedia content adaption |
US7610366B2 (en) * | 2001-11-06 | 2009-10-27 | Canon Kabushiki Kaisha | Dynamic network device reconfiguration |
US20030095510A1 (en) * | 2001-11-16 | 2003-05-22 | Motorola, Inc. | Use and management of groups defined according to a call initiation protocol |
US20030149874A1 (en) * | 2002-02-06 | 2003-08-07 | Xerox Corporation | Systems and methods for authenticating communications in a network medium |
US7539486B2 (en) * | 2002-05-06 | 2009-05-26 | Avaya Inc. | Wireless teleconferencing system |
US7370350B1 (en) * | 2002-06-27 | 2008-05-06 | Cisco Technology, Inc. | Method and apparatus for re-authenticating computing devices |
US6801612B2 (en) * | 2002-11-21 | 2004-10-05 | International Business Machines Corporation | System and method for conference call consolidation |
US7076562B2 (en) * | 2003-03-17 | 2006-07-11 | July Systems, Inc. | Application intermediation gateway |
US20050060411A1 (en) * | 2003-09-16 | 2005-03-17 | Stephane Coulombe | System and method for adaptation of peer-to-peer multimedia sessions |
US20050086346A1 (en) * | 2003-10-17 | 2005-04-21 | Meyer Jeffrey D. | Access point coupling guests to the internet |
US7346773B2 (en) * | 2004-01-12 | 2008-03-18 | Cisco Technology, Inc. | Enabling stateless server-based pre-shared secrets |
US7549048B2 (en) * | 2004-03-19 | 2009-06-16 | Microsoft Corporation | Efficient and secure authentication of computing systems |
US20050239445A1 (en) * | 2004-04-16 | 2005-10-27 | Jeyhan Karaoguz | Method and system for providing registration, authentication and access via broadband access gateway |
US7567270B2 (en) * | 2004-04-22 | 2009-07-28 | Insors Integrated Communications | Audio data control |
US7530098B2 (en) * | 2004-04-28 | 2009-05-05 | Scenera Technologies, Llc | Device ownership transfer from a network |
US7881235B1 (en) * | 2004-06-25 | 2011-02-01 | Apple Inc. | Mixed media conferencing |
US8146142B2 (en) * | 2004-09-03 | 2012-03-27 | Intel Corporation | Device introduction and access control framework |
US8130958B2 (en) * | 2004-09-14 | 2012-03-06 | Qualcomm Incorporated | Transmit power control for wireless security |
JP4027360B2 (ja) * | 2004-11-08 | 2007-12-26 | キヤノン株式会社 | 認証方法及びシステムならびに情報処理方法及び装置 |
US7403497B2 (en) * | 2004-11-12 | 2008-07-22 | Intel Corporation | Data transport between a media gateway and server |
US7669121B2 (en) * | 2005-01-19 | 2010-02-23 | Microsoft Corporation | Transcode matrix |
US20060183462A1 (en) * | 2005-02-11 | 2006-08-17 | Nokia Corporation | Managing an access account using personal area networks and credentials on a mobile device |
US7720018B2 (en) * | 2005-04-21 | 2010-05-18 | Microsoft Corporation | Low power transmission provisioning for wireless network devices |
US8861701B2 (en) * | 2005-04-28 | 2014-10-14 | Apple Inc. | Multi-participant conference adjustments |
KR101248906B1 (ko) * | 2005-05-27 | 2013-03-28 | 삼성전자주식회사 | 무선 랜에서의 키 교환 방법 |
US7657255B2 (en) * | 2005-06-23 | 2010-02-02 | Microsoft Corporation | Provisioning of wireless connectivity for devices using NFC |
US8117290B2 (en) * | 2005-07-25 | 2012-02-14 | Cisco Technology, Inc. | Simple home networking |
US20070055752A1 (en) * | 2005-09-08 | 2007-03-08 | Fiberlink | Dynamic network connection based on compliance |
US20070094366A1 (en) * | 2005-10-20 | 2007-04-26 | Ayoub Ramy P | System and method for real-time processing and distribution of media content in a network of media devices |
US7827545B2 (en) * | 2005-12-15 | 2010-11-02 | Microsoft Corporation | Dynamic remediation of a client computer seeking access to a network with a quarantine enforcement policy |
US7788707B1 (en) * | 2006-05-23 | 2010-08-31 | Sprint Spectrum L.P. | Self-organized network setup |
-
2006
- 2006-09-01 US US11/514,452 patent/US20080072292A1/en not_active Abandoned
-
2007
- 2007-08-23 WO PCT/US2007/076633 patent/WO2008105922A2/en active Application Filing
- 2007-08-23 EP EP13004539.6A patent/EP2677788B1/en not_active Not-in-force
- 2007-08-23 CN CN2007800284497A patent/CN101523798B/zh not_active Expired - Fee Related
- 2007-08-23 EP EP07873783A patent/EP2076994A4/en not_active Withdrawn
-
2011
- 2011-12-27 US US13/337,666 patent/US8464322B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US8464322B2 (en) | 2013-06-11 |
WO2008105922A3 (en) | 2009-03-12 |
CN101523798B (zh) | 2012-02-29 |
EP2677788B1 (en) | 2015-03-04 |
EP2076994A4 (en) | 2012-07-25 |
EP2076994A2 (en) | 2009-07-08 |
EP2677788A1 (en) | 2013-12-25 |
US20080072292A1 (en) | 2008-03-20 |
US20120096141A1 (en) | 2012-04-19 |
WO2008105922A2 (en) | 2008-09-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101523798B (zh) | 利用能力评估进行安全的装置引入 | |
JP4911480B2 (ja) | 複数のアドホック・デバイスによるセルラー支援型セキュア通信を行う方法およびシステム | |
CN100541476C (zh) | 用于径上信令的加密对等体发现、认证和授权 | |
CN101023685B (zh) | 基于集中化信息平衡无线接入的方法和装置 | |
CN101112038B (zh) | 通信系统中的用户认证和授权 | |
CN101123498B (zh) | 一种实现接入认证的方法、设备及系统 | |
US20160285891A1 (en) | Creating Three-Party Trust Relationships for Internet of Things Applications | |
CN102111766B (zh) | 网络接入方法、装置及系统 | |
EP1826979A1 (en) | A system and method for establishing a secure group of entities in a computer network | |
GB2518257A (en) | Methods and systems for operating a secure mobile device | |
KR20070014162A (ko) | 장치 그룹화 및 그룹화 된 장치들 사이 상호작용을구현하는 방법 | |
EP2234438B1 (en) | Wireless personal area network accessing method | |
US20040010713A1 (en) | EAP telecommunication protocol extension | |
US9509670B2 (en) | System and method for managing secure communications in an Ad-Hoc network | |
EP1059014A1 (en) | Authentication method and authentication device for secured communications between an atm mobile terminal and an atm access node of a wireless atm radio communication network | |
CN104113547B (zh) | 一种sip安全防范视频监控入网控制系统 | |
CN102893579B (zh) | 用于在通信系统中发放票据的方法、节点和设备 | |
JP2009532959A (ja) | ユーザネットワークにおける通信方法および通信システム | |
US20050240760A1 (en) | Broker-based interworking using hierarhical certificates | |
US20090044258A1 (en) | Communication method and service in personal area network | |
CN112887339B (zh) | 一种终端设备的分布式分组管理方法 | |
del Campo et al. | Providing security services in a multiprotocol service discovery system for ubiquitous networks | |
Ghorbel et al. | Secured and trusted service provision in pervasive environment | |
Ioannidis et al. | An XML-Based Platform for E-Government Services Deployment. | |
WO2024100677A1 (en) | A system for lora based lightweight blockchain financial network for offline payments and method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120229 Termination date: 20190823 |