專利名稱:利用能力評(píng)估進(jìn)行安全的裝置引入的制作方法
利用能力評(píng)估進(jìn)行安全的裝置引入技術(shù)領(lǐng)域概括而言�����,本發(fā)明涉及向環(huán)境中安全地引入裝置��,具體而言��,本發(fā)明 涉及在被引入環(huán)境中的裝置之間確立關(guān)系�、管理所述裝置的數(shù)據(jù)通信以及 限制所述裝置進(jìn)行資源訪問(wèn)。
背景技術(shù):
隨著靈活而高性價(jià)比的基礎(chǔ)設(shè)施變得可用����,計(jì)算裝置之間的有線和無(wú)線通信得到了廣泛應(yīng)用和顯著增長(zhǎng)。例如�����,諸如WiFi (電子及電氣工程師 協(xié)會(huì)"IEEE"提出的幾種相關(guān)標(biāo)準(zhǔn)的通用名稱)、藍(lán)牙����、紅外編碼數(shù)據(jù)等的吉 比特以太網(wǎng)和無(wú)線技術(shù)允許經(jīng)由無(wú)線信號(hào)或快速有線數(shù)據(jù)路徑進(jìn)行數(shù)據(jù)傳 輸。然而���,盡管新標(biāo)準(zhǔn)和改進(jìn)的設(shè)備具有提高的網(wǎng)絡(luò)數(shù)據(jù)速率�����,但技術(shù)仍 然具有尚未得到滿意解決的問(wèn)題��,例如容易而安全地引入裝置�,以及一旦 引入之后配置裝置并在裝置間建立信任(在需要時(shí))�。除了對(duì)引入環(huán)境中的裝置配置有困難之外�����,另一個(gè)問(wèn)題是帶寬管理或 分配��,如經(jīng)常發(fā)生的情況那樣���,在一個(gè)環(huán)境中的多個(gè)裝置與環(huán)境外部的裝 置參與共同任務(wù)時(shí)�,這可能是一個(gè)問(wèn)題。 一個(gè)范例是多個(gè)裝置參與數(shù)據(jù)下 載���、對(duì)等數(shù)據(jù)傳輸����、召開(kāi)會(huì)議或電話通信會(huì)話等����。另一個(gè)問(wèn)題是在各種裝 置(例如會(huì)議參與方)之間建立信任和身份。又一個(gè)問(wèn)題是為訪問(wèn)裝置在 環(huán)境中確定適當(dāng)?shù)臋?quán)限范圍�。
從本發(fā)明的以下詳細(xì)說(shuō)明中,本發(fā)明的特征和優(yōu)點(diǎn)將變得顯而易見(jiàn)�����, 其中-圖1示出了根據(jù)本發(fā)明實(shí)施例的示范性網(wǎng)絡(luò)環(huán)境�。圖2為根據(jù)本發(fā)明實(shí)施例的示范性協(xié)議事務(wù)的流程圖。圖3示出了根據(jù)一個(gè)實(shí)施例用于在裝置之間建立初始信任關(guān)系并傳送這些信任關(guān)系的框架���。圖4示出了根據(jù)一個(gè)實(shí)施例向環(huán)境中引入裝置的流程圖���。 圖5示出了在諸如數(shù)字家庭或辦公室LAN環(huán)境的個(gè)人或商業(yè)網(wǎng)絡(luò)環(huán)境 中存在的兩種不同但普遍的裝置配置。圖6示出了根據(jù)本發(fā)明的各實(shí)施例工作的裝置的系統(tǒng)。 圖7示出了實(shí)施本發(fā)明某些方面的適當(dāng)計(jì)算環(huán)境�。
具體實(shí)施方式
應(yīng)當(dāng)明白的是,本文要解決幾個(gè)不同的問(wèn)題��,其中之一是如何向諸如 上述數(shù)字家庭��、數(shù)字辦公室等環(huán)境中安全地引入裝置�,在這種環(huán)境下一些 或全部裝置可以通過(guò)無(wú)線通信信道工作。另一個(gè)問(wèn)題是如何在裝置之間建 立信任����,例如使裝置能夠建立可信賴的多方關(guān)系、多媒體會(huì)議和通過(guò)安全 通信信道在裝置間共享媒體���,并使裝置能夠?qū)?huì)議中的其他端點(diǎn)的可靠性 有信心���。應(yīng)當(dāng)明白的是,與公共裝置建立起信任關(guān)系的端點(diǎn)至少部分地基 于其他端點(diǎn)已類似地與公共裝置建立起信任關(guān)系這一事實(shí)而間接地與其他 端點(diǎn)建立信任��。另一個(gè)問(wèn)題是在環(huán)境中的多個(gè)裝置參與共同任務(wù)的時(shí)候使 帶寬需求最小化����,因此將通信匯聚到進(jìn)出環(huán)境的公共通信是有利的�����。.另一 個(gè)問(wèn)題是智能帶寬分配,使得識(shí)別出低帶寬裝置�,而不會(huì)不必要地為其提 供對(duì)其他高帶寬裝置不利的帶寬。本文還解決了其他問(wèn)題���,從以下描述中 它們將變得明了�。在諸如局域網(wǎng)(LAN)或無(wú)線LAN (WLAN)和/或其他通信環(huán)境的環(huán) 境中引入裝置時(shí)�����,應(yīng)當(dāng)明白的是�,各裝置可以在環(huán)境內(nèi)傳遞憑證 (credential),在這么做的同時(shí),裝置還可以傳送其能力和資源要求����,以幫 助配置該裝置使其用于該環(huán)境中。憑證可以是獲準(zhǔn)訪問(wèn)網(wǎng)絡(luò)資源需要的口 令或加密密鑰����,或是操作裝置所使用或必需的其他配置信息?��?梢允褂迷?裝置提供的(和/或根據(jù)裝置身份確定的)能力和要求來(lái)幫助協(xié)調(diào)環(huán)境內(nèi)裝 置與環(huán)境外裝置的高效通信��,例如將交迭的通信會(huì)話匯聚為環(huán)境和外部通 信端點(diǎn)之間的單個(gè)公共會(huì)話��,以及通過(guò)對(duì)發(fā)送到裝置的數(shù)據(jù)進(jìn)行代碼轉(zhuǎn)換 來(lái)幫助進(jìn)行智能帶寬分配�����,以及分開(kāi)一些裝置以(在需要時(shí))限制它們對(duì) 環(huán)境資源的訪問(wèn)等����。8圖1示出了包括接入點(diǎn)("AP") 102的環(huán)境100,在很多WLAN中接 入點(diǎn)都是中心元件�����,因?yàn)槠淇梢耘c使用該無(wú)線網(wǎng)絡(luò)的一個(gè)或多個(gè)站點(diǎn)104�����、 106相通信�����,并可以向傳統(tǒng)有線網(wǎng)絡(luò)108拷貝數(shù)據(jù)包或從傳統(tǒng)有線網(wǎng)絡(luò)108 拷貝數(shù)據(jù)包�,使得站點(diǎn)104和106能夠與諸如缺少無(wú)線接口的服務(wù)器110 的裝置相通信。如果WEP (有線等效加密)�、WPA (Wi-Fi安全存取)、IEEE 802.11i或其他安全措施是有效的���,則諸如站點(diǎn)104和106之類的裝置與AP 102共享加密密鑰�����。在該圖中��,用粗虛線112表示受保護(hù)的WEP/WPA連接����。 應(yīng)當(dāng)明白的是����,環(huán)境100的裝置可以參與任何種類的網(wǎng)絡(luò)活動(dòng),例如客戶 端裝置訪問(wèn)因特網(wǎng)���、內(nèi)聯(lián)網(wǎng)等上的網(wǎng)絡(luò)數(shù)據(jù)���、視頻流傳輸,參與視頻和/或 數(shù)據(jù)會(huì)議�、下載等。
如果諸如膝上型電腦WLAN客戶端114的裝置的用戶希望使用無(wú)線網(wǎng) 絡(luò)通過(guò)AP 102來(lái)訪問(wèn)其他無(wú)線或有線節(jié)點(diǎn)上的資源����,則必需要獲得有效的 加密密鑰并將其輸入到無(wú)線裝置的配置中�����。傳統(tǒng)上�����,無(wú)線網(wǎng)絡(luò)的管理員會(huì) 提供密鑰�����,用戶會(huì)將其鍵入配置表格中���。然而,對(duì)于用戶而言該方式是不 方便的�,并且對(duì)于管理員而言是麻煩的。此外�����,未授權(quán)用戶可以從該用戶 獲得密鑰拷貝并使用其訪問(wèn)網(wǎng)絡(luò)��。改變WLAN的配置來(lái)拒絕接納這種未授 權(quán)的用戶可能需要對(duì)所有其他未授權(quán)的裝置進(jìn)行重新配置����。
管理WLAN訪問(wèn)的另一種方法可以使用根據(jù)本發(fā)明實(shí)施例的注冊(cè)協(xié) 議���。例如�����,可以使用一種協(xié)議來(lái)允許WLAN客戶端114通過(guò)經(jīng)AP 102的 通信向稱為注冊(cè)器116的網(wǎng)絡(luò)實(shí)體進(jìn)行注冊(cè)���。盡管被視為獨(dú)立實(shí)體�����,但在 另一個(gè)實(shí)施例中�����,注冊(cè)器可以與AP集成在一起�,其他實(shí)施例可以使用若干 個(gè)注冊(cè)器�。在一些實(shí)施例中,還可以有媒體網(wǎng)關(guān)裝置(MGD),其可以是獨(dú) 立的裝置或如所示的實(shí)施例中所假設(shè)的���,并入注冊(cè)器內(nèi)�。將MGD配置成執(zhí) 行各種任務(wù),例如協(xié)調(diào)環(huán)境內(nèi)的多個(gè)裝置(參與共同通信任務(wù)(例如視頻 會(huì)議)的)與環(huán)境外的多個(gè)裝置(例如因特網(wǎng)上的裝置)的通信���,或?qū)?nèi) 容進(jìn)行代碼轉(zhuǎn)換以提供兼容性或減少帶寬����,或阻止該環(huán)境內(nèi)的裝置想要訪 問(wèn)未對(duì)其授權(quán)的通信特征的企圖�����。
在一些實(shí)施例中���,向新環(huán)境中引入裝置可以使用相對(duì)安全的帶外 (OOB)信道來(lái)從現(xiàn)有裝置(諸如該環(huán)境中的注冊(cè)器或其他裝置)向被引 入的新裝置開(kāi)始轉(zhuǎn)移數(shù)據(jù)�����。例如�����,可以使用該數(shù)據(jù)至少臨時(shí)建立安全通信信道���,隨后可以在該安全通信信道上對(duì)新裝置進(jìn)行配置。可以使用實(shí)現(xiàn)注 冊(cè)協(xié)議的應(yīng)用框架來(lái)為新裝置配置提供公共框架��。在一個(gè)實(shí)施例中��,用于 該裝置的應(yīng)用軟件在應(yīng)用框架中注冊(cè)���,該框架和注冊(cè)器(或其他現(xiàn)有裝置)
及新裝置相協(xié)調(diào)以便在引入新裝置時(shí)自動(dòng)對(duì)其進(jìn)行配置����。注冊(cè)器116可以 通過(guò)有線網(wǎng)絡(luò)108�����、無(wú)線(無(wú)線電)連接或兩者與AP 102通信����。注冊(cè)器可 以提供管理設(shè)施來(lái)監(jiān)測(cè)WLAN和管理加密密鑰��。
在圖示的實(shí)施例中���,新的WLAN客戶端114具有稱為裝置口令的關(guān)聯(lián) 秘密信息���,可以將裝置口令用作OOB數(shù)據(jù)來(lái)傳輸,以建立安全的通信信道。 可以將該口令刻在裝置上或印在標(biāo)簽上���,或者可以由裝置或由與該裝置相 關(guān)聯(lián)的軟件加以顯示����。如果通過(guò)這種方式顯示裝置口令��,口令可以是動(dòng)態(tài) 的(例如�,所顯示的口令可以在一段時(shí)間內(nèi)有效,或直到某些事件出現(xiàn)有 效�,然后可以選擇并顯示新的裝置口令)。在一些實(shí)施例中�,可以由新客戶 端附近的讀取裝置讀出裝置口令。例如����,近場(chǎng)通信("NFC")裝置可以在短 距離內(nèi)以無(wú)線方式交換數(shù)據(jù),從而裝置口令可以存儲(chǔ)在NFC令牌中并由 NFC讀取器讀取��。在另一個(gè)實(shí)施例中����,新WLAN客戶端可以裝備紅外或其 他光信號(hào)發(fā)射機(jī),并且能夠在瞄準(zhǔn)近程內(nèi)向注冊(cè)器的光接收機(jī)發(fā)送裝置口 令����?��?梢允褂眠@些和其他己知的技術(shù)在環(huán)境中的新裝置和現(xiàn)有裝置(例如 注冊(cè)器)之間進(jìn)行OOB數(shù)據(jù)傳輸,以幫助建立安全通信信道�。
如上所述,假設(shè)可能(或已經(jīng))影響到帶內(nèi)通信信道���。高風(fēng)險(xiǎn)帶內(nèi)信 道的典型范例是公用無(wú)線"熱點(diǎn)"����,例如提供公用網(wǎng)接入的地方或旅館房間的 網(wǎng)絡(luò)連接�����。為了避免新裝置在引入時(shí)受到影響����,在各實(shí)施例中����,與新裝置 進(jìn)行初始OOB數(shù)據(jù)傳輸以引導(dǎo)建立安全通信信道,然后通過(guò)安全通信信道 配置新裝置�。例如,假設(shè)OOB數(shù)據(jù)包含密碼系統(tǒng)數(shù)據(jù),新裝置和注冊(cè)器或 其他現(xiàn)有裝置�、代理服務(wù)器等使用該密碼系統(tǒng)數(shù)據(jù)與新裝置建立安全通信 信道。應(yīng)當(dāng)明白的是��,可以使用各種加密協(xié)議和技術(shù)����;在一些實(shí)施例中, 新裝置可以請(qǐng)求注冊(cè)器���、框架協(xié)議棧(例如圖4的實(shí)施例)或其他實(shí)體或 程序構(gòu)造充當(dāng)加密認(rèn)證授權(quán)方(CA)���,例如X.509型認(rèn)證。
圖2示出了根據(jù)一個(gè)實(shí)施例的流程圖200�����,用于安全地將諸如WEP密 鑰的憑證從注冊(cè)器轉(zhuǎn)移到客戶端�。注冊(cè)器116、 AP 102和客戶端114可以 根據(jù)圖2所示交互作用����。可以在帶內(nèi)(例如通過(guò)無(wú)線通信信道)發(fā)送所有消息�,或者可以通過(guò)不同信道發(fā)送一些消息���。參考該圖描述的實(shí)施例使用
了如因特網(wǎng)工程任務(wù)組("IETF")的2004年6月編號(hào)為3748的請(qǐng)求注解 ("RFC")中所述的可擴(kuò)展鑒別協(xié)議("EAP")作為收發(fā)協(xié)議中的很多消息 的框架。然而��,應(yīng)當(dāng)明白的是���,可以將根據(jù)本發(fā)明實(shí)施例的消息用于其他 通信框架�,或作為原始數(shù)據(jù)通過(guò)任一種通信信道發(fā)送�����。還應(yīng)當(dāng)明白的是���, 以下對(duì)圖2的討論是高層次的����,為了清楚起見(jiàn)�,在表達(dá)中省去了某些加密 細(xì)節(jié)��。
首先�����,將客戶端的裝置口令提供給注冊(cè)器202。這可以通過(guò)從客戶端的 標(biāo)簽或顯示器讀取口令并通過(guò)注冊(cè)器用戶接口輸入口令�,通過(guò)將客戶端放 在注冊(cè)器附近從而使注冊(cè)器能夠自動(dòng)讀取客戶端的NFC令牌或經(jīng)由一些其 他OOB方法來(lái)實(shí)現(xiàn)。接下來(lái)��,在初始化EAP事務(wù)(未示出)之后��,客戶 端發(fā)送第一消息("Ml")(封裝在EAP消息內(nèi))以便利用注冊(cè)器初始化引 入?yún)f(xié)議204���。 Ml包含第一隨機(jī)數(shù)N1和客戶端的公鑰PKE�,也可以包含其 他信息(下文所述)���。Ml由注冊(cè)器接收206���。
注冊(cè)器通過(guò)發(fā)送第二消息("M2")來(lái)響應(yīng)Ml,第二消息包含第二隨 機(jī)數(shù)N2和注冊(cè)器的公朗PKk208�����??蛻舳私邮誐2 210。事務(wù)繼續(xù)進(jìn)行,客 戶端發(fā)送消息Mn212,注冊(cè)器以消息Mn+l做出響應(yīng)214。每個(gè)消息的諸 部分可以用客戶端和注冊(cè)器都知道的密鑰進(jìn)行加密��,或用其中一方的公鑰 或私鑰進(jìn)行加密��。消息可以附加消息鑒別碼("HMAC")來(lái)允許接收方驗(yàn)證 另一方是否正確接收了前一消息且在傳輸過(guò)程中沒(méi)有第三方篡改了消息����, 該消息鑒別碼包含前一消息的密碼散列和在MAC之前的當(dāng)前消息的一部 分。
利用應(yīng)當(dāng)與客戶端自己的裝置口令相匹配的裝置口令來(lái)鑒別用于計(jì)算 來(lái)自注冊(cè)器的一個(gè)或多個(gè)消息中的HMAC的密鑰�����。這允許客戶端驗(yàn)證其正 在從授權(quán)的注冊(cè)器接收憑證(而不是例如從企圖欺騙客戶端連接到有敵意 的無(wú)線網(wǎng)絡(luò)的欺詐注冊(cè)器進(jìn)行接收)�����。來(lái)自注冊(cè)器的一條或多條消息包含諸 如WEP或WPA密鑰之類的憑證����,客戶端可以使用這些密鑰通過(guò)AP訪問(wèn) 無(wú)線LAN??梢岳妹荑€加密密鑰對(duì)憑證進(jìn)行加密以防止竊聽(tīng)者恢復(fù)憑證。 當(dāng)客戶端接收到包含憑證的消息時(shí)�����,客戶端利用其自身裝置口令的信息對(duì) HMAC進(jìn)行驗(yàn)證以確保該消息來(lái)自注冊(cè)器216��,例如在一個(gè)實(shí)施例中���,進(jìn)行測(cè)試以確保接收到經(jīng)相互證實(shí)的裝置口令信息���。如果口令是不同的,則
客戶端通過(guò)發(fā)送否認(rèn)("NACK")消息來(lái)中止EAP事務(wù)218���。如果HMAC 正確驗(yàn)證了裝置口令的信息����,則客戶端可以對(duì)憑證解密并將其存儲(chǔ)在配置 數(shù)據(jù)庫(kù)中供將來(lái)使用220�。
一旦客戶端成功接收到憑證,就在EAP環(huán)境中終止該會(huì)話�����。例如����,可 以通過(guò)向注冊(cè)器發(fā)送"完成"響應(yīng)來(lái)進(jìn)行這一操作222,注冊(cè)器接收"完成"消 息224����,并以EAP"失效"消息做出響應(yīng)226?��?蛻舳穗S后接收到該"失效"消 息228��。注意在該環(huán)境中����,失效消息并不表示客戶端必需重復(fù)EAP事務(wù)以 獲得憑證。該消息僅表明該事務(wù)用于提供憑證而不是允許客戶端立即使用 無(wú)線LAN����。在客戶端試圖通過(guò)AP訪問(wèn)網(wǎng)絡(luò)時(shí),可以使用其稍后接收的憑 證230�����。例如�,客戶端可以根據(jù)憑證中的數(shù)據(jù)來(lái)更新其配置,或可以使用該 憑證來(lái)完成用于提供網(wǎng)絡(luò)訪問(wèn)的新認(rèn)證協(xié)議事務(wù)����。
在與被引入的裝置成功建立起通信之后,如下文所述���,還可以配置該 裝置的通信參數(shù)和通信配置�。例如,通過(guò)在裝置和注冊(cè)器之間建立信任�, 可以在裝置間交換憑證以幫助在裝置間建立信任��?�;蛘?���,可以配置裝置的 帶寬需求以控制裝置的相互通信以及與環(huán)境外部場(chǎng)所的通信。
圖3示出了根據(jù)一個(gè)實(shí)施例用于在裝置之間建立初始信任關(guān)系并(例 如在各種操作系統(tǒng)�����、裝置驅(qū)動(dòng)器和應(yīng)用軟件組件之間)傳送這些信任關(guān)系 的框架300��。
在一個(gè)實(shí)施例中���,在諸如上文參考圖1-2所述的那些裝置引入機(jī)制上建 立應(yīng)用框架302���。在一個(gè)實(shí)施例中,在發(fā)送"完成"消息之后并在利用"失 效"消息做出響應(yīng)并終止EAP會(huì)話之前���,對(duì)應(yīng)用框架進(jìn)行初始化�。本領(lǐng)域 的普通技術(shù)人員應(yīng)當(dāng)明白的是,圖1-2中的EAP論述是示范性的��,可以使 用任何消息傳輸協(xié)議進(jìn)行憑證設(shè)置���。所示的應(yīng)用框架可以由任何應(yīng)用或裝 置用來(lái)引導(dǎo)安全通信信道����。還應(yīng)明白的是��,可以使用裝置發(fā)現(xiàn)技術(shù)����,例如 無(wú)線或有線網(wǎng)絡(luò)發(fā)現(xiàn)數(shù)據(jù)探測(cè)、通用即插即用(UPnP)操作或其他發(fā)現(xiàn)技 術(shù)來(lái)宣告環(huán)境中新裝置的存在��、對(duì)環(huán)境的注冊(cè)器或其他裝置進(jìn)行定位并管 理組網(wǎng)裝置��。也可以定義應(yīng)用程序設(shè)計(jì)接口(API)或軟件開(kāi)發(fā)工具包(SDK) 來(lái)提供功能���,以執(zhí)行本文所述的用于在環(huán)境內(nèi)發(fā)現(xiàn)����、注冊(cè)和配置裝置的操 作和技術(shù)�����。
12在圖示的實(shí)施例中,可以由技術(shù)規(guī)范對(duì)線304下方的組件306-312進(jìn)行 標(biāo)準(zhǔn)化或使其定義明確��,技術(shù)規(guī)范例如是"Wi-Fi Simple Config Proposal"中 所描述的規(guī)范����,現(xiàn)在最新的版本為2006年2月10日的修訂版l.Oa����。線304 下方的組件306-312包括帶內(nèi)媒體管理器306,用于管理常規(guī)通信連接��,例 如藍(lán)牙鏈接�、電氣和電子工程師協(xié)會(huì)(IEEE) 802.x型的WLAN鏈接等。 假設(shè)這種帶內(nèi)通信信道是容易受到攻擊的�����。
還有帶外(OOB)媒體管理器308���,用于管理OOB通信信道��,例如上 文所述的各種示范性通信信道�����。假設(shè)OOB通信信道難以受到攻擊����,因此認(rèn) 為其是可信任的,可用于初始數(shù)據(jù)交換以便越過(guò)不可信賴的帶內(nèi)信道建立
安全的通信�。
在一個(gè)實(shí)施例中,注冊(cè)器或其他管理裝置可以具有關(guān)聯(lián)的策略�,該策 略控制著可以允許新裝置的什么特性或特征變?yōu)榧せ畹摹@?���,在新裝置 支持即時(shí)消息時(shí),可以將注冊(cè)器配置成忽略新裝置的這種軟件特征和/或不 配置新裝置的這種軟件特征���。這使得用戶或其他環(huán)境管理員能夠選擇性地 允許資源存取��,例如��,實(shí)現(xiàn)"過(guò)客"訪問(wèn)��。應(yīng)當(dāng)明白的是����,可以根據(jù)自動(dòng)采用 的策略(或它們的等同物)以及通過(guò)與用戶或其他環(huán)境管理員交互來(lái)限制 訪問(wèn)。應(yīng)當(dāng)明白的是�����,在為裝置授予權(quán)限時(shí)�����,可以將諸如裝置類型�����、裝置 所有人�����、帶寬或其他資源要求�、在環(huán)境中表現(xiàn)良好的時(shí)間等各種裝置特性 作為決定因子�����。于是���,例如可以將電話裝置引入環(huán)境中并僅允許其自動(dòng)訪 問(wèn)與裝置本性相兼容的資源�,例如訪問(wèn)會(huì)議數(shù)據(jù)流、^!聽(tīng)數(shù)據(jù)的音頻部分 等��。
除了環(huán)境限制裝置的訪問(wèn)之外��,裝置本身也有其自身的訪問(wèn)限制�,例 如保護(hù)自身不受入侵或使其工作持續(xù)時(shí)間最大化。例如����,盡管環(huán)境可以支 持和/或允許某種活動(dòng),例如訪問(wèn)流媒體介質(zhì)�����,但特定裝置也可以具有其自 身的本地策略�,使得即使該環(huán)境中存在該活動(dòng)且該活動(dòng)可用,該裝置也不 使用該活動(dòng)����。例如,即使在特定環(huán)境中提供一項(xiàng)活動(dòng)�����,例如在公共接入網(wǎng) 熱點(diǎn)中提供文件共享����,但有安全意識(shí)的裝置所有者也不允許這種活動(dòng)���。或 者��,如果電池電量低����,可以將裝置配置成忽略環(huán)境中可用的電池強(qiáng)度特征。
在一個(gè)實(shí)施例中�,可以在界面(未示出)(諸如用于接收用戶輸入的圖 形用戶界面(GUI))中識(shí)別在例如應(yīng)用框架302中注冊(cè)(或已經(jīng)注冊(cè))的每個(gè)應(yīng)用,或到自動(dòng)界面處理注冊(cè)���,其中該界面為用戶或自動(dòng)注冊(cè)處理器 提供機(jī)會(huì),使得本地策略或用戶允許����、拒絕或修改應(yīng)用的注冊(cè)。例如����,在 引入裝置期間,通過(guò)識(shí)別出其是外來(lái)裝置并檢査規(guī)則����、策略等的適用性��,
并(如果需要的話)通過(guò)GUI或其他界面提示用戶具有訪問(wèn)該新裝置的權(quán) 限���,這樣就可以針對(duì)被引入環(huán)境的該裝置交互地實(shí)施上述"過(guò)客"訪問(wèn)。于是����, 可以為拜訪朋友的過(guò)客裝置賦予環(huán)境中受限的訪問(wèn),例如僅允許其參與特 定類型的通信��,例如允許或拒絕因特網(wǎng)訪問(wèn)����,允許或拒絕音樂(lè)流媒體,對(duì) 訪問(wèn)該環(huán)境的時(shí)間加以限制等�����。
圖4示出了根據(jù)一個(gè)實(shí)施例的流程圖400�����,用于注冊(cè)和監(jiān)控向環(huán)境中引 入的裝置。應(yīng)當(dāng)明白的是���,裝置可以具有在圖1的注冊(cè)器116注冊(cè)的多個(gè) 軟件和/或硬件應(yīng)用或功能402�。
在圖示的實(shí)施例中�,進(jìn)行測(cè)試以檢査新加的裝置,以便査看是否對(duì)該 裝置施加多個(gè)限制404���。應(yīng)當(dāng)明白的是�����,某些裝置可以繞過(guò)限制檢査����,這些 裝置例如是先前在系統(tǒng)中注冊(cè)過(guò)的裝置����,或具有某種特性的裝置��,所述特 性例如為數(shù)字安全信任證書或由諸如CA (認(rèn)證授權(quán)方)或環(huán)境認(rèn)可的其他 授權(quán)方的可信任方認(rèn)證的其他可信任特性��。如果對(duì)新裝置或功能施加限制 404���,就可以設(shè)立業(yè)務(wù)訪問(wèn)限制和裝置配置406-410���。應(yīng)當(dāng)明白的是���,盡管 406-410各項(xiàng)被依次示出,但可以并行地或以不同于圖示的次序進(jìn)行操作��, 在一些情況下可以僅執(zhí)行選定的操作����。
如上所述且如下文進(jìn)一步參考圖5和圖6所述,期望對(duì)被引入的裝置 設(shè)立有限權(quán)限或過(guò)客訪問(wèn)權(quán)限406���,例如禁止局域網(wǎng)(LAN)文件訪問(wèn)����,限 制對(duì)消耗帶寬的業(yè)務(wù)的訪問(wèn)等����。如上所述,可以通過(guò)GUI或其^il界面自動(dòng) 地和/或交互地施加限制�����。例如,可能存在如下情況用戶或環(huán)境管理員希 望僅允許對(duì)網(wǎng)絡(luò)進(jìn)行臨時(shí)性裝置訪問(wèn)����,例如在訪客帶有諸如個(gè)人數(shù)字助理 (PDA)、音樂(lè)播放器����、照相機(jī)等裝置時(shí),且訪客希望訪問(wèn)的裝置連接到因 特網(wǎng)��,與用戶共享文件�,在具有立體音響系統(tǒng)功能的無(wú)線或有線局域網(wǎng) (LAN)上從音樂(lè)播放器播放歌曲,從照相機(jī)共享圖片��,在環(huán)境中的打印 機(jī)上打印圖片等�����。
為了讓訪客執(zhí)行這些任務(wù)�����,用戶和/或管理員需要為訪客的裝置授予必 需的憑證�,使其在該環(huán)境中執(zhí)行期望的任務(wù),例如�����,允許其進(jìn)行網(wǎng)絡(luò)訪問(wèn)
14和/或訪問(wèn)主環(huán)境中的裝置����。然而,應(yīng)當(dāng)明白的是��,用戶或環(huán)境管理員不希 望授予訪問(wèn)裝置不受限的環(huán)境訪問(wèn)權(quán)���,而是希望小心控制訪客裝置所接收
的網(wǎng)絡(luò)訪問(wèn)限度�����。如以上參考圖3所述��,在向環(huán)境引入裝置時(shí)可以確定過(guò) 客訪問(wèn)或其他裝置限制����。
在一個(gè)實(shí)施例中�,利用接入點(diǎn)(AP)、路由器�、網(wǎng)關(guān)或獲得網(wǎng)絡(luò)訪問(wèn)的 其他裝置上實(shí)現(xiàn)的動(dòng)態(tài)過(guò)濾器來(lái)實(shí)施限制。在一個(gè)實(shí)施例中��,可以通過(guò)經(jīng) AP、路由器���、網(wǎng)關(guān)等連接到的環(huán)境裝置和資源自身的物理和/或邏輯網(wǎng)絡(luò)來(lái) 訪問(wèn)環(huán)境裝置和資源��。當(dāng)在本實(shí)施例中注冊(cè)過(guò)客裝置時(shí)�����,用戶或環(huán)境管理 員具有在新裝置上施加訪問(wèn)限制的選項(xiàng)����。應(yīng)當(dāng)明白的是����,可以為通常的興 趣,例如因特網(wǎng)訪問(wèn)����、文件訪問(wèn)等分配默認(rèn)值??梢杂勺?cè)器直接管理訪 問(wèn)權(quán)限,且/或可以由注冊(cè)器將默認(rèn)值和裝置特性限制發(fā)送給AP����、路由器����、 網(wǎng)關(guān)等�,裝置特性限制用于限制環(huán)境訪問(wèn)并能夠在需要時(shí)建立限制訪問(wèn)所 必需的存取控制表(ACL)�����、過(guò)濾器等���。
從而�����,應(yīng)當(dāng)明白的是�,在完成向環(huán)境注冊(cè)裝置之后���,如果過(guò)客裝置希 望訪問(wèn)特定的資源����,例如原本未授予訪問(wèn)權(quán)的共享資源或裝置��,用戶或環(huán) 境管理員可以經(jīng)注冊(cè)器啟用這種訪問(wèn)�����。例如,如上所述����,可以使用GUI來(lái) 交互地控制初始裝置訪問(wèn),這種GUI也可以用來(lái)改變?cè)L問(wèn)許可�。在一個(gè)實(shí) 施例中,將注冊(cè)器配置為枚舉出環(huán)境中可用的資源�����,例如網(wǎng)絡(luò)上的共享資 源或輸入和/或輸出裝置����,例如打印機(jī)、立體音響系統(tǒng)����、揚(yáng)聲器等。用戶或 管理員可以選擇過(guò)客裝置可以訪問(wèn)的裝置和共享資源�����。如果訪問(wèn)不是由注 冊(cè)器直接管理的���,則注冊(cè)器向正在控制訪問(wèn)的AP���、路由器�����、網(wǎng)關(guān)等發(fā)送訪 問(wèn)變動(dòng),且其設(shè)置對(duì)應(yīng)于改變后的訪問(wèn)權(quán)限的適當(dāng)ACL�����、過(guò)濾器等�。
應(yīng)當(dāng)注意的是,取決于注冊(cè)器���、AP�����、路由器��、網(wǎng)關(guān)等限制對(duì)環(huán)境資源 訪問(wèn)的能力����,ACL可以簡(jiǎn)單地為IP禾n/或MAC地址和/或基于端口的過(guò)濾 器,或可以是較高級(jí)的�。過(guò)客裝置獲得了僅僅訪問(wèn)網(wǎng)絡(luò)中指定部分的權(quán)力, 將不能夠查看或訪問(wèn)用戶網(wǎng)絡(luò)中的其他資源���。應(yīng)當(dāng)明白的是�,可以將過(guò)客 訪問(wèn)權(quán)配置成自動(dòng)到期����,例如超時(shí)停止,或在特定條件下取消�,例如在過(guò) 客裝置離開(kāi)環(huán)境時(shí)取消訪問(wèn)權(quán)。
除了設(shè)立訪問(wèn)權(quán)406之外�,可能還希望設(shè)立通信限制408。例如�,在引 入裝置并注冊(cè)其應(yīng)用和/或功能402時(shí),在注冊(cè)過(guò)程期間可以跟蹤或記錄裝置的特性���,例如該裝置為僅具有音頻功能的裝置(例如電話)�,僅具有黑白 屏幕���,具有有限處理能力等信息�����。例如�,在僅具音頻功能的情況下,可以 根據(jù)該裝置的特性來(lái)設(shè)立該裝置可發(fā)現(xiàn)的或以其他方式可訪問(wèn)的通信特 征����。例如,如果僅具音頻功能的裝置試圖加入基于視聽(tīng)的會(huì)議�����,可以將該 裝置作為僅具音頻的裝置引入會(huì)議�,其中自動(dòng)禁用所有視頻功能��,具體而 言����,不嘗試向僅具音頻功能的裝置發(fā)送視頻數(shù)據(jù)。這種智能數(shù)據(jù)路由可以 顯著降低僅具音頻功能裝置的帶寬需求���,并為需求較繁重的其他裝置改善 帶寬或其他資源性能�����。
除了設(shè)立通信限制408之外��,還可以進(jìn)行通信匯聚410��。如下文參考圖 5和圖6所述�,如果多個(gè)裝置參與共同的任務(wù),則常規(guī)設(shè)置通常會(huì)要求每個(gè) 裝置在參與共同任務(wù)時(shí)逐個(gè)建立必要的連接����。共同的任務(wù)例如包括傳輸音 頻數(shù)據(jù)流(諸如音樂(lè)或語(yǔ)音通信)、傳輸視頻數(shù)據(jù)(諸如涉及電影展示���、視 頻會(huì)議���、視頻電話等的視頻數(shù)據(jù))、網(wǎng)絡(luò)電話(VoIP)�、即時(shí)消息、協(xié)作應(yīng) 用等���。如將要參考圖5所述的����,在使得多個(gè)裝置全都嘗試逐個(gè)與每一其他 裝置相通信時(shí)可能會(huì)浪費(fèi)大量帶寬��。作為這種交叉通信的替代,在各種配 置中可以進(jìn)行通信匯聚以簡(jiǎn)化通信需求���。在一個(gè)實(shí)施例中����,在若干裝置通 過(guò)諸如網(wǎng)關(guān)��、路由器���、防火墻等的公共通信連接點(diǎn)參與共同任務(wù)時(shí)���,可以 使用交叉連接的裝置,通信是經(jīng)由所述交叉連接的裝置進(jìn)行的��,并維持代 表裝置使用該連接點(diǎn)的多條通信線路��。于是這樣簡(jiǎn)化了裝置的工作�����,因?yàn)?它們僅需要維持與連接點(diǎn)的通信���,裝置將從連接點(diǎn)接收來(lái)自所有其他裝置 的通信。除了釋放帶寬之外,這種簡(jiǎn)化還降低了成本并幫助了家電型裝置��。
一旦注冊(cè)了裝置402并處理了限制406-410����,就記錄裝置及其硬件或其 他軟件裝置(他們需要知道裝置引入)之間的關(guān)聯(lián)性412,并對(duì)加入環(huán)境中 的新裝置進(jìn)行監(jiān)測(cè)414�����。在圖示的實(shí)施例中����,圖3的應(yīng)用框架監(jiān)測(cè)裝置的引 入。在另一個(gè)實(shí)施例中�,圖1的注冊(cè)器116監(jiān)測(cè)裝置引入。在引入裝置時(shí)���, 在完成引入時(shí)�����,通報(bào)新裝置的已經(jīng)注冊(cè)的應(yīng)用(如果有的話)��,使得它們能 夠參與數(shù)據(jù)交換�����,從而實(shí)現(xiàn)新裝置的自動(dòng)配置��。
在圖示的實(shí)施例中�����,邏輯上處理繼續(xù)進(jìn)行���,檢查是否有新裝置引入416���。 如果未發(fā)現(xiàn)新裝置416,則處理循環(huán)返回��,監(jiān)測(cè)裝置的引入414�����。循環(huán)416 被示為虛線��,暗示該處理可能不是字面意義上的直接循環(huán)返回��,因?yàn)閷?shí)現(xiàn)圖示實(shí)施例的系統(tǒng)可以在返回監(jiān)測(cè)414之前執(zhí)行其他未示出的任務(wù)和/或過(guò) 程�����。如果引入新裝置416���,則進(jìn)行檢查418��,以判斷其是否具有相關(guān)聯(lián)的(注 冊(cè)的)應(yīng)用���。如果是這樣420,則通知那些應(yīng)用422以觸發(fā)它們對(duì)引入的響 應(yīng)動(dòng)作�����,例如配置該裝置或采取一些其他動(dòng)作����。如果沒(méi)有新裝置416,或如 果沒(méi)有關(guān)聯(lián)的應(yīng)用420�,或在通知關(guān)聯(lián)的應(yīng)用之后422,該過(guò)程循環(huán)返回到 新裝置的監(jiān)測(cè)414�����。
通過(guò)在裝置引入時(shí)提供自動(dòng)應(yīng)用觸發(fā)��,這在以下方面減輕了終端用戶 的負(fù)擔(dān)終端用戶需要知道運(yùn)行什么軟件來(lái)配置新裝置以使其在現(xiàn)有網(wǎng)絡(luò) 中工作,嘗試什么命令來(lái)使用該軟件�,如何有效限制過(guò)客裝置對(duì)網(wǎng)絡(luò)的訪 問(wèn)等。類似地�����,通過(guò)提供一種方式來(lái)自動(dòng)詢問(wèn)被引入的裝置����,以識(shí)別和處 理限制406-410,終端用戶能夠較簡(jiǎn)單地限制裝置對(duì)用戶網(wǎng)絡(luò)的訪問(wèn)����,且還 有機(jī)會(huì)匯聚裝置(如果可能的話)以使用戶資源的負(fù)擔(dān)和消耗最小化。應(yīng) 當(dāng)注意的是��,多個(gè)應(yīng)用可以注冊(cè)到一個(gè)裝置���,優(yōu)先級(jí)和/或執(zhí)行次序數(shù)據(jù)可 以與應(yīng)用和域限制相關(guān)聯(lián)以獲取多個(gè)應(yīng)用之間可能存在的相關(guān)性���,例如, 指定一個(gè)應(yīng)用需要在另 一個(gè)之前運(yùn)行���,或根據(jù)限制條件來(lái)限制應(yīng)用訪問(wèn)����。
應(yīng)當(dāng)明白的是���,可以通過(guò)特定環(huán)境中的注冊(cè)器或其他裝置和/或軟件可 用的API來(lái)提供本文所述的各種特征和功能��,例如圖3所示的操作系統(tǒng)中 的應(yīng)用軟件316��、 318����,或執(zhí)行上述操作的另一應(yīng)用��。在一個(gè)實(shí)施例中�����,可 以由圖3的應(yīng)用框架302使用具有適當(dāng)規(guī)則集的專家系統(tǒng)來(lái)分析����,根據(jù)新 裝置的引入是否能夠和/或應(yīng)當(dāng)修改現(xiàn)有裝置配置,例如利用現(xiàn)在可從新裝 置得到的服務(wù)�����。如果需要的話,在一個(gè)裝置存在多個(gè)應(yīng)用注冊(cè)時(shí)����,也可以 使用專家系統(tǒng)來(lái)控制相關(guān)應(yīng)用的執(zhí)行次序。
應(yīng)當(dāng)明白的是�����,可以用種種方法引入裝置����,例如,激活無(wú)線收發(fā)器�, 按下"安裝"按鈕或開(kāi)關(guān),將裝置插入與應(yīng)用框架通信耦合的總線等�。在識(shí)別 出新裝置,例如圖4的416時(shí)�����,在注冊(cè)器和/或新裝置的用戶界面上激活安 裝"向?qū)?���。在利用API來(lái)實(shí)現(xiàn)執(zhí)行本文所述操作的功能的實(shí)施例中����,可以 調(diào)用回叫功能來(lái)觸發(fā)適當(dāng)應(yīng)用程序的執(zhí)行414。安裝向?qū)П旧響?yīng)針對(duì)所有裝 置事先注冊(cè)了其本身402���。在需要的時(shí)候, 一旦激活了向?qū)?�,其可以為用?提供指令和/或配置問(wèn)題以輔助安裝新裝置�。在一些情況下不需要用戶介入, 從而使用戶的事情非常簡(jiǎn)單,在其他情況下�,例如在分配裝置限制、配置通信匯聚時(shí)���,或引入無(wú)線接入點(diǎn)時(shí)����,可以分別希望提示用戶出示訪問(wèn)權(quán)���、
聚合參數(shù)���、SSID (業(yè)務(wù)設(shè)置識(shí)別符)或其他個(gè)性化數(shù)據(jù)以便與新裝置相關(guān) 聯(lián)等。
圖5示出了存在諸如數(shù)字家庭或辦公室LAN環(huán)境的個(gè)人或商業(yè)網(wǎng)絡(luò)環(huán) 境中的兩種不同但普遍的裝置配置��。圖5A示出了典型的對(duì)等(P2P)型會(huì) 議500,其中每個(gè)裝置502-506 (例如會(huì)議端點(diǎn))需要與會(huì)議中的每一其他 裝置(例如外部端點(diǎn)508-512)建立通信連接��。如圖所示���,由于裝置502-512 之間很多交叉的通信線路514���,從而導(dǎo)致了大量的交叉通信、帶寬消耗和通 信復(fù)雜性����。
在如下一些配置中這種開(kāi)銷尤其繁重多個(gè)裝置參與共同任務(wù)(例如 會(huì)議),共享公共網(wǎng)絡(luò)接入(例如網(wǎng)關(guān)�����、防火墻或其他裝置516)���,如圖5B 所示���。在圖5B的實(shí)施例中,所有裝置502-512都需要建立通往每一其他裝 置的通信連接���,不過(guò)��,由于若干裝置502-506位于諸如網(wǎng)關(guān)����、防火墻等的公 共通信連接點(diǎn)516后面,因此裝置516承擔(dān)了傳遞內(nèi)部裝置502-506和外部 裝置508-512之間所有通信的負(fù)擔(dān)�����,這也可能會(huì)使連接點(diǎn)516成為瓶頸����。組 合相關(guān)的通信和/或其他數(shù)據(jù)傳輸可以顯著地方便參與共同任務(wù)的多個(gè)裝置 的通信�。
于是,在一個(gè)實(shí)施例中�����,不是讓多個(gè)裝置502-506獨(dú)立工作�����,而是當(dāng)在 環(huán)境中注冊(cè)/引入裝置時(shí)(例如上文參考圖4所述的)��,可以評(píng)估裝置����,査看 如果這種裝置參與共同任務(wù)���,它們是否支持可以將其與其他裝置聚合的功 能。例如���,如圖6的裝置系統(tǒng)600所示��,如果裝置602-606全部支持特定任 務(wù)�,例如召開(kāi)會(huì)議(包括音頻和/或視頻會(huì)議�����、數(shù)據(jù)會(huì)議等)���,則指示裝置在 注冊(cè)或引入期間使用聚合通信模式而不是常規(guī)的通信模式��。在圖示的實(shí)施 例中����,裝置全都通過(guò)網(wǎng)絡(luò)608可通信地耦合在一起并通過(guò)公共通信連接點(diǎn) 610進(jìn)行通信�����,在此將連接點(diǎn)610稱為例如媒體網(wǎng)關(guān)裝置(MGD)。如圖所 示���,MGD還合并了注冊(cè)器�,例如圖1中的116����,裝置即被引入該注冊(cè)器。 應(yīng)當(dāng)明白的是��,連同下文討論的聚合特征(如果有的話��,還有注冊(cè)器特征) 一起����,MGD還并入了網(wǎng)關(guān)��、防火墻等的數(shù)據(jù)處理能力��。
于是����,與圖5的配置相對(duì)比(在圖5的配置中裝置502-512之間具有復(fù) 雜的通信線路514),對(duì)于共享MGD或作為公共通信連接點(diǎn)的等同裝置的裝置602-606而言�����,各裝置例如通過(guò)它們的本地有線和/或無(wú)線網(wǎng)絡(luò)608建 立與MGD 610的個(gè)別通信連接612-616。 MGD然后在需要時(shí)建立通往外部 (例如相對(duì)于局域網(wǎng)608而言的外部)端點(diǎn)622-626的連接618�。應(yīng)當(dāng)注意 的是,全部三個(gè)內(nèi)部裝置602-606與外部端點(diǎn)的通信僅需要如圖所示的三個(gè) 連接��,類似地�����,在外部裝置622-626需要常規(guī)的繁重通信線路620來(lái)彼此通 信時(shí)�����,它們僅需要與MGD建立通信�,以便與內(nèi)部端點(diǎn)602-606—起參與到 共同任務(wù)。在一個(gè)實(shí)施例中��,外部端點(diǎn)注意到MGD�,并因此遵循端點(diǎn)和 MGD同意的協(xié)議,每個(gè)外部端點(diǎn)(例如)都建立經(jīng)由可通信地耦合端點(diǎn) 602-606�、622-626的因特網(wǎng)或其他網(wǎng)絡(luò)628通往MGD的單個(gè)通信線路620, 在此基礎(chǔ)上�,MGD將在需要時(shí)向內(nèi)部端點(diǎn)傳輸數(shù)據(jù)。在另一個(gè)實(shí)施例中���, 每一個(gè)圖示的通信線路620都代表從每個(gè)外部端點(diǎn)到每個(gè)內(nèi)部端點(diǎn)的三條 通信線路�,然而,這些通信線路的每一條都路由到MGD���,因?yàn)槠淙匀皇莾?nèi) 部端點(diǎn)的公共通信連接點(diǎn)�����。
在一個(gè)實(shí)施例中���,根據(jù)裝置502-506的特性,MGD可以為裝置建立更 理想的通信�,以及通過(guò)MGD或其他網(wǎng)關(guān)、防火墻���、路由器等與外部端點(diǎn) 622-626進(jìn)行通信。例如�����,如果裝置602為僅具音頻功能的電話���,即使電話 掛接到視聽(tīng)會(huì)議上��,MGD也可以自動(dòng)剝離來(lái)自其他與會(huì)者的視頻數(shù)據(jù)����,以 簡(jiǎn)化電話需要處理的數(shù)據(jù)612。對(duì)于電話的這種代理類型還允許MGD充當(dāng) 代碼轉(zhuǎn)換器�����,以允許不兼容的裝置參與通常不支持的活動(dòng)��,例如在僅具音 頻功能的裝置上進(jìn)行視頻會(huì)議�����。應(yīng)當(dāng)明白的是���,在注冊(cè)或引入裝置時(shí)可以 確定各種裝置特性��,例如網(wǎng)絡(luò)接口卡(NIC)速度��、音頻能力或相關(guān)聯(lián)的編 解碼器��、視頻能力或相關(guān)聯(lián)的編解碼器�、屏幕尺寸、分辨率����、輸出能力、 攝像機(jī)技術(shù)規(guī)格���、文本能力����、特定應(yīng)用的支持(SkypeTM���、即時(shí)消息�、VoIP 應(yīng)用��、協(xié)作應(yīng)用等)以及針對(duì)聚合����、代碼轉(zhuǎn)換做的決策等。
考慮數(shù)字家庭的情形����,其中MGD610用于為希望加入會(huì)議電話的內(nèi)部 家庭裝置602-606建立與外部端點(diǎn)之間的這些呼叫��。在這種情形中��,MGD 還起到家庭媒體服務(wù)器的作用,因此能夠?qū)⒚襟w流傳輸?shù)郊彝ブ械亩它c(diǎn)裝 置��。應(yīng)當(dāng)明白的是��,各裝置可以具有到MGD的有線和/或無(wú)線連接�����。 一旦 裝置已經(jīng)注冊(cè)并被授權(quán)訪問(wèn)網(wǎng)絡(luò)608的資源�����,則MGD就會(huì)檢查新引入裝置 的被發(fā)現(xiàn)的能力���。應(yīng)當(dāng)明白的是�,如果利用注冊(cè)器進(jìn)行配置��,則MGD可以直接接收這些能力����,或者在成功注冊(cè)或引入裝置之后將該信息(例如通過(guò)
推送或牽引機(jī)制)傳遞到MGD。還可以配置MGD以利用環(huán)境中的裝置(例 如在端點(diǎn)602-606上執(zhí)行的通信軟件)查詢對(duì)被監(jiān)測(cè)的某些應(yīng)用(例如在圖 3的應(yīng)用層302中)的執(zhí)行進(jìn)行響應(yīng)的能力����。
如以上參考圖1-2所述��,在向注冊(cè)器注冊(cè)期間�,注冊(cè)者和注冊(cè)器交換加 密數(shù)據(jù)����,使得裝置能夠在它們自身和MGD之間建立安全的通信會(huì)話,例如 傳輸層安全(TLS)��、網(wǎng)際協(xié)議安全(IPSec)等會(huì)話���。在一個(gè)實(shí)施例中��, MGD建立起與外部實(shí)體的電話會(huì)議�,例如在外部端點(diǎn)622-626和數(shù)字家庭 內(nèi)部裝置602-606之間的電話會(huì)議��。在圖示的實(shí)施例中有單個(gè)MGD;應(yīng)當(dāng) 明白的是����,可以有多個(gè)MGD,每個(gè)MGD都可通信地耦合�����,以便將裝置的 多個(gè)子網(wǎng)絡(luò)連接到一起。邏輯上���,多個(gè)MGD (如果有的話)可以作為單個(gè) MGD工作。在圖示的實(shí)施例中��,每個(gè)裝置都與MGD建立會(huì)話�����,MGD依 次復(fù)用所有媒體流并將它們發(fā)送到參與共同通信任務(wù)(例如電話會(huì)議)的 外部裝置��。
在一個(gè)實(shí)施例中���, 一旦通過(guò)MGD為裝置之一建立起共同通信任務(wù)���,其 他裝置也可以選擇通過(guò)MGD參與其中。在另一裝置進(jìn)入呼叫時(shí)����,MGD使 用裝置加入網(wǎng)絡(luò)時(shí)(例如在注冊(cè)或引入期間)提供和/或發(fā)現(xiàn)的裝置能力信 息來(lái)調(diào)節(jié)媒體流量,確定將什么數(shù)據(jù)和/或媒體流發(fā)送到特定裝置����,并轉(zhuǎn)換 代碼或以其他方式轉(zhuǎn)換數(shù)據(jù)�,例如為小屏幕尺寸(例如手機(jī))降低高分辨 率圖像�,或完全消除視頻,以降低音頻比特速率等�����。然而�,因?yàn)閰⑴c共同 通信任務(wù)的功能較強(qiáng)大的裝置(諸如臺(tái)式計(jì)算機(jī)或膝上型計(jì)算機(jī))能夠支 持較高的能力,因此這種裝置能接收到完整的媒體流�。在一個(gè)實(shí)施例中, MGD充當(dāng)著端點(diǎn)通信的復(fù)用器/解復(fù)用器����。在一個(gè)實(shí)施例中,MGD合并從 裝置602-606輸入的流并將它們作為單個(gè)流輸出到外部端點(diǎn)622-626���。類似 地���,在本實(shí)施例中,MGD從每個(gè)外部端點(diǎn)接收共同通信任務(wù)的數(shù)據(jù)并將它 們組合成單個(gè)數(shù)據(jù)流�,提供到每個(gè)內(nèi)部端點(diǎn)。
在一些實(shí)施例中�����,對(duì)于共享的任務(wù),例如上文討論的會(huì)議范例��,可能 重要的問(wèn)題是能夠在與會(huì)者之間建立安全連接�,以防止會(huì)議被竊聽(tīng),以及 使每一方都能確信會(huì)議中其他各方的真實(shí)性�����。應(yīng)當(dāng)明白的是��,這種安全信 息可以在裝置注冊(cè)或引入期間被建立并與其他與會(huì)者共享��。具體而言��,在一個(gè)實(shí)施例中���,接受裝置注冊(cè)的注冊(cè)器(或合并了注冊(cè)器的MGD)充當(dāng)著 本地認(rèn)證授權(quán)方(CA),因此可以充當(dāng)環(huán)境內(nèi)的裝置身份的授權(quán)方��,從而使 環(huán)境內(nèi)的裝置能夠獲得所期望的其他裝置的身份���。應(yīng)當(dāng)明白的是���,與會(huì)者 或其他端點(diǎn)可以與MGD建立信任關(guān)系���,并至少部分地基于其他與會(huì)者或端 點(diǎn)已經(jīng)類似地與MGD建立起信任關(guān)系這一事實(shí),間接地與其他與會(huì)者或端 點(diǎn)建立信任����。
圖7和以下論述是要對(duì)可以實(shí)施所例示的某些方面的適當(dāng)環(huán)境做簡(jiǎn)略 而一般性的描述。本文所使用的術(shù)語(yǔ)"機(jī)器"一詞意在寬泛地涵蓋單個(gè)機(jī)器或 由可通信地耦合在一起的多個(gè)機(jī)器或一起工作的多個(gè)裝置組成的系統(tǒng)���。示 范性的機(jī)器包括諸如個(gè)人計(jì)算機(jī)���、工作站、服務(wù)器���、便攜式計(jì)算機(jī)的計(jì)算 裝置�,諸如個(gè)人數(shù)字助理(PDA)���、電話�����、書寫板等的手持裝置以及諸如私 人或公共運(yùn)輸��,如汽車����、火車、出租車等的運(yùn)輸裝置��。
通常����,該環(huán)境包括機(jī)器700,機(jī)器700包括系統(tǒng)總線702�����,通過(guò)系統(tǒng)總 線連接處理器704���、內(nèi)存706 (諸如隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器 (ROM)或其他狀態(tài)保持介質(zhì))�����、存儲(chǔ)裝置708�����、視頻接口 710和輸入/輸出 接口端口 712����。該機(jī)器至少部分可以受到來(lái)自常規(guī)輸入裝置(諸如鍵盤��、鼠 標(biāo)等)的輸入的控制���,也受到從另一機(jī)器接收的指令、與虛擬現(xiàn)實(shí)(VR) 環(huán)境的交互�、生物測(cè)定反饋或其他輸入源或信號(hào)的控制。
該機(jī)器可以包括嵌入式控制器���,例如可編程或不可編程邏輯器件或陣 列����、專用集成電路���、嵌入式計(jì)算機(jī)�、智能卡等�����。該機(jī)器可以使用(例如經(jīng) 由網(wǎng)絡(luò)接口 718����、調(diào)制調(diào)解器720或其他通信耦合)到一個(gè)或多個(gè)遠(yuǎn)程機(jī) 714�、 716的一個(gè)或多個(gè)連接�����?����?梢酝ㄟ^(guò)物理和/或邏輯網(wǎng)絡(luò)722 (諸如圖1 的網(wǎng)絡(luò)108��、內(nèi)聯(lián)網(wǎng)�����、因特網(wǎng)���、局域網(wǎng)和廣域網(wǎng))將機(jī)器互連起來(lái)。本領(lǐng)域 的普通技術(shù)人員應(yīng)當(dāng)明白的是���,與網(wǎng)絡(luò)722的通信可以利用各種有線和/或 無(wú)線短距離或長(zhǎng)距離載體和協(xié)議�,包括射頻(RF)����、衛(wèi)星����、微波��、電氣和電 子工程師協(xié)會(huì)(IEEE) 802.11��、藍(lán)牙���、光學(xué)����、紅外���、電纜����、激光等��。
可以參考或結(jié)合諸如功能����、流程、數(shù)據(jù)結(jié)構(gòu)、應(yīng)用程序等相關(guān)數(shù)據(jù)來(lái) 描述本發(fā)明�,在機(jī)器訪問(wèn)這些數(shù)據(jù)時(shí),使機(jī)器執(zhí)行任務(wù)或定義抽象數(shù)據(jù)類 型或低電平硬件關(guān)聯(lián)���。關(guān)聯(lián)數(shù)據(jù)可以存儲(chǔ)在例如易失性和/或非易失性存儲(chǔ) 器706或存儲(chǔ)裝置708和/或關(guān)聯(lián)的存儲(chǔ)介質(zhì)以及更特殊的介質(zhì)(例如機(jī)器可訪問(wèn)生物狀態(tài)保護(hù)存儲(chǔ)器)中�����,關(guān)聯(lián)存儲(chǔ)介質(zhì)包括常規(guī)硬盤驅(qū)動(dòng)器�、軟 盤�����、光存儲(chǔ)器�����、磁帶����、閃存�����、存儲(chǔ)棒、數(shù)字視頻盤等�����??梢杂脭?shù)據(jù)包、串
行數(shù)據(jù)���、并行數(shù)據(jù)�、擴(kuò)散信號(hào)等形式在包括網(wǎng)絡(luò)722的傳輸環(huán)境上傳送關(guān) 聯(lián)數(shù)據(jù)���,并可以采用壓縮或加密格式來(lái)使用�。關(guān)聯(lián)數(shù)據(jù)可以用于分布式環(huán) 境中����,并在本地和/或遠(yuǎn)程存儲(chǔ),以供單處理器或多處理器機(jī)器訪問(wèn)���。關(guān)聯(lián) 數(shù)據(jù)可以由嵌入式控制器使用或與之協(xié)作�����;因此在本發(fā)明中�����,"邏輯"一詞意 在一般性地指代關(guān)聯(lián)數(shù)據(jù)和/或嵌入式控制器的可能組合���。
于是�����,例如���,對(duì)于例示的實(shí)施例而言,假設(shè)機(jī)器700體現(xiàn)了圖1的注 冊(cè)器�����,那么遠(yuǎn)程機(jī)714�����、 716分別可以是圖1的客戶端114和站點(diǎn)104�。應(yīng) 當(dāng)明白的是,可以像機(jī)器700那樣配置遠(yuǎn)程機(jī)714��、 716����,因此遠(yuǎn)程機(jī)包括 針對(duì)機(jī)器700討論的很多或全部元件。
已經(jīng)參考例示的實(shí)施例描述和例示了本發(fā)明的原理����,應(yīng)當(dāng)明白的是, 在不脫離這種原理的情況下可以對(duì)例示的實(shí)施例進(jìn)行設(shè)置和細(xì)節(jié)修改����。而 且,盡管以上論述都集中在特定實(shí)施例上��,但也可以想到其他配置��。具體 而言����,盡管在本文中使用了諸如"在一個(gè)實(shí)施例中"、"在另一個(gè)實(shí)施例中" 等表達(dá)�,但這些短語(yǔ)意在一般性地指代實(shí)施例的可能性,并非要將本發(fā)明 限制在特定實(shí)施例配置上�。如本文所使用的,這些表述可以指相同或不同 的實(shí)施例�����,可以將這些實(shí)施例組合到其他實(shí)施例中。
因此���,鑒于本文所述的實(shí)施例有很多種變化�,該詳細(xì)說(shuō)明僅僅意在例 示���,不應(yīng)視為限制本發(fā)明范圍����。因此����,本發(fā)明所主張的是可能落在權(quán)利要 求及其等同物范圍和精神之內(nèi)的所有這樣的修改。
2權(quán)利要求
1���、一種向環(huán)境中引入裝置并管理被引入裝置以便建立配套關(guān)系����、限制資源訪問(wèn)和建立對(duì)等裝置信任的方法��,所述方法包括向所述環(huán)境中引入第一裝置���,所述引入包括在所述裝置和將所述第一裝置通信地耦合到所述環(huán)境的連接點(diǎn)之間建立臨時(shí)鏈路�����,以及交換安全憑證以通過(guò)所述臨時(shí)鏈路建立安全鏈路�;以及與所述引入同時(shí)地判斷是否向所述第一裝置施加操作限制或功能聚合�。
2、 根據(jù)權(quán)利要求1所述的方法��,還包括 向所述環(huán)境中引入第二裝置�����;將通信地耦合至所述環(huán)境的第二裝置的相應(yīng)能力與所述第一裝置的能 力進(jìn)行比較�;以及至少部分地基于所述比較,確定需要進(jìn)行代碼轉(zhuǎn)換����,以便通信地結(jié)合 所述第一裝置的所述能力和所述第二裝置的所述能力。
3����、 根據(jù)權(quán)利要求1所述的方法,其中��,所述操作限制包括選擇性限 制所述第一裝置對(duì)所述環(huán)境資源的訪問(wèn)或限制所述第一裝置的通信�����。
4、 根據(jù)權(quán)利要求3所述的方法�,其中,限制所述第一裝置的通信包括 從下列各項(xiàng)選擇的一項(xiàng)阻止來(lái)自所述第一裝置的對(duì)應(yīng)于受限通信的網(wǎng)絡(luò)業(yè)務(wù)��,或 指示所述第一裝置禁用對(duì)應(yīng)于受限通信的操作特征���。
5����、 根據(jù)權(quán)利要求1所述的方法�,還包括提供用戶界面(UI),其具有用于至少對(duì)指定操作限制或功能聚合進(jìn)行配置的控制部分���。
6�����、 根據(jù)權(quán)利要求5所述的方法�����,其中��,在引入所述第一裝置期間自動(dòng)調(diào)用所述UI����。
7、 根據(jù)權(quán)利要求1所述的方法�,還包括在所述第一裝置和所述環(huán)境外部的第二裝置和第三裝置及所述環(huán)境內(nèi) 的第四裝置之間建立共同通信任務(wù)����;以及聚合來(lái)自所述第二裝置、所述第三裝置和所述第四裝置的至少對(duì)應(yīng)于 所述共同通信任務(wù)的網(wǎng)絡(luò)通信��。
8�����、 根據(jù)權(quán)利要求1所述的方法��,還包括識(shí)別出與所述第一裝置通信地耦合的多個(gè)裝置與所述第一裝置共享公共功能���;以及聚合來(lái)自所述多個(gè)裝置的對(duì)應(yīng)于所述公共功能的網(wǎng)絡(luò)通信�,并將聚合 的通信路由到所述第一裝置�����。
9、 根據(jù)權(quán)利要求8所述的方法�,其中,所述公共功能為會(huì)議功能���。
10���、 根據(jù)權(quán)利要求9所述的方法,其中�����,所述會(huì)議功能包括視聽(tīng)會(huì)議�, 所述方法還包括在所述聚合之前,對(duì)來(lái)自所述多個(gè)裝置的所述網(wǎng)絡(luò)通信進(jìn)行代碼轉(zhuǎn)換 以減少視頻帶寬��。
11��、 根據(jù)權(quán)利要求1所述的方法�,其中,注冊(cè)器處理所述環(huán)境中的裝 置引入���,所述方法還包括向所述環(huán)境中引入第二裝置���;以及在所述第一裝置和所述第二裝置之間建立信任�,所述建立信任包括所 述注冊(cè)器為所述第一裝置提供所述第二裝置的憑證��,以及所述注冊(cè)器為所述第二裝置提供所述第一裝置的憑證��;其中��,所述第一裝置和所述第二裝置都信任由所述注冊(cè)器提供的憑證���。
12�����、 一種具有位于環(huán)境內(nèi)外且與環(huán)境通信地耦合的裝置的系統(tǒng),所述系統(tǒng)包括至少一個(gè)外部端點(diǎn)���,用于共同通信任務(wù)����;以及多個(gè)內(nèi)部端點(diǎn)�,用于所述共同通信任務(wù),所述內(nèi)部端點(diǎn)與媒體網(wǎng)關(guān)裝 置通信地耦合�����,所述媒體網(wǎng)關(guān)裝置將所述內(nèi)部端點(diǎn)用于所述共同通信任務(wù) 的數(shù)據(jù)進(jìn)行聚合,并將所述內(nèi)部端點(diǎn)與至少一個(gè)外部端點(diǎn)加以通信地耦合�����。
13�、 根據(jù)權(quán)利要求12所述的系統(tǒng),其中����,所述共同通信任務(wù)希望使用全配套的通信鏈路,所述全配套的 通信鏈路是指所述共同通信任務(wù)的一個(gè)端點(diǎn)和每一其他端點(diǎn)之間的通信鏈 路��,并且其中�,所述媒體網(wǎng)關(guān)裝置有助于使內(nèi)部端點(diǎn)的通信鏈路少于所述全配 套的通信鏈路。
14��、 根據(jù)權(quán)利要求13所述的系統(tǒng)�,其中,所述內(nèi)部端點(diǎn)維持通向所述 媒體網(wǎng)關(guān)裝置的一個(gè)通信鏈路����,所述媒體網(wǎng)關(guān)裝置用于聚合通過(guò)所述一個(gè) 通信鏈路來(lái)自其他端點(diǎn)的通信。
15���、 根據(jù)權(quán)利要求13所述的系統(tǒng)���,其中��,所述通信任務(wù)的外部端點(diǎn)維 持所述全配套的通信鏈路�����。
16�、 根據(jù)權(quán)利要求12所述的系統(tǒng)�����,還包括認(rèn)證授權(quán)方�,其與所述內(nèi)部端點(diǎn)通信地耦合,并用于促進(jìn)至少所述內(nèi) 部端點(diǎn)之間的信任�����。
17����、 根據(jù)權(quán)利要求16所述的系統(tǒng)����,其中��,所促進(jìn)的信任包括身份驗(yàn)證�����。
18�、 根據(jù)權(quán)利要求16所述的系統(tǒng)�,還包括注冊(cè)器,其用于處理所述多 個(gè)內(nèi)部端點(diǎn)的每一個(gè)內(nèi)部端點(diǎn)向所述環(huán)境中的引入����,并在所述引入期間識(shí) 別所述多個(gè)內(nèi)部端點(diǎn)的裝置功能以便加以聚合。
19��、 根據(jù)權(quán)利要求18所述的系統(tǒng)��,其中��,所述認(rèn)證授權(quán)方設(shè)置于所述 注冊(cè)器內(nèi)�。
20、 一種具有相關(guān)指令的機(jī)器可訪問(wèn)物理介質(zhì)����,所述相關(guān)指令用于向 環(huán)境中引入裝置并管理被引入的裝置�,以便建立配套關(guān)系�、限制資源訪問(wèn) 以及建立對(duì)等裝置信任,所述指令在受到訪問(wèn)時(shí)使一個(gè)或多個(gè)機(jī)器執(zhí)行如 下操作-向所述環(huán)境中弓I入第一裝置��,所述引入包括在所述裝置和將所述第一 裝置通信地耦合到所述環(huán)境的連接點(diǎn)之間建立臨時(shí)鏈路�,以及交換安全憑 證以通過(guò)所述臨時(shí)鏈路建立安全鏈路;以及與所述引入操作同時(shí)地判斷是否向所述第一裝置施加操作限制或功能麥A
21��、 根據(jù)權(quán)利要求20所述的介質(zhì)�����,其中����,所述指令包括在受到訪問(wèn)時(shí)使一個(gè)或多個(gè)機(jī)器執(zhí)行如下操作的其他指令 向所述環(huán)境中引入第二裝置;將通信地耦合至所述環(huán)境的第二裝置的相應(yīng)能力與所述第一裝置的能 力進(jìn)行比較�;以及至少部分地基于所述比較,確定需要進(jìn)行代碼轉(zhuǎn)換�����,以便通信地結(jié)合 所述第一裝置的所述能力和所述第二裝置的所述能力��。
22����、 根據(jù)權(quán)利要求20所述的介質(zhì),其中�����,所述指令包括在受到訪問(wèn)時(shí) 使一個(gè)或多個(gè)機(jī)器執(zhí)行如下操作的其他指令提供用戶界面(UI)����,其具有用于至少對(duì)指定操作限制或功能聚合進(jìn)行 配置的控制部分,在引入所述第一裝置期間自動(dòng)調(diào)用所述UI����。
23、 根據(jù)權(quán)利要求20所述的介質(zhì)��,其中�,所述指令包括在受到訪問(wèn)時(shí) 使一個(gè)或多個(gè)機(jī)器執(zhí)行如下操作的其他指令在所述第一裝置和所述環(huán)境外部的第二裝置和第三裝置及所述環(huán)境內(nèi) 的第四裝置之間建立共同通信任務(wù);以及聚合來(lái)自所述第二裝置�����、所述第三裝置和所述第四裝置的對(duì)應(yīng)于至少 所述共同通信任務(wù)的網(wǎng)絡(luò)通信���。
24����、 根據(jù)權(quán)利要求20所述的介質(zhì),其中����,所述指令包括在受到訪問(wèn)時(shí) 使一個(gè)或多個(gè)機(jī)器執(zhí)行如下操作的其他指令識(shí)別出與所述第一裝置通信地耦合的多個(gè)裝置與所述第一裝置共享公 共功能;以及聚合來(lái)自所述多個(gè)裝置的對(duì)應(yīng)于所述公共功能的網(wǎng)絡(luò)通信�,并將聚合 的通信路由到所述第一裝置。1
25���、 根據(jù)權(quán)利要求24所述的介質(zhì)��,其中���,所述公共功能包括視聽(tīng)會(huì)議, 所述指令包括在受到訪問(wèn)時(shí)使一個(gè)或多個(gè)機(jī)器執(zhí)行如下操作的其他指令在所述聚合之前����,對(duì)來(lái)自所述多個(gè)裝置的所述網(wǎng)絡(luò)通信進(jìn)行代碼轉(zhuǎn)換, 以降低所述網(wǎng)絡(luò)通信的數(shù)據(jù)傳輸需求����。
全文摘要
本發(fā)明論述了在環(huán)境中引入、管理和限制裝置的過(guò)程��,包括如何安全引入裝置���,如何在裝置之間建立信任����,如何管理裝置的帶寬需求和其他資源需求���,在環(huán)境內(nèi)的多個(gè)裝置參與共同任務(wù)時(shí)如何聚合資源的使用���,以及如何限制裝置對(duì)環(huán)境資源的訪問(wèn)。公開(kāi)了包括人工和自動(dòng)方案的各種技術(shù)����。
文檔編號(hào)H04L9/28GK101523798SQ200780028449
公開(kāi)日2009年9月2日 申請(qǐng)日期2007年8月23日 優(yōu)先權(quán)日2006年9月1日
發(fā)明者R·S·納賈拉 申請(qǐng)人:英特爾公司