用于對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證的裝置和方法
【專利摘要】公開了用于對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證的裝置和方法�。所公開的裝置可以包括(1)答復(fù)接收模塊,被存儲在存儲器中���,所述答復(fù)接收模塊從衛(wèi)星設(shè)備接收認(rèn)證答復(fù)�����,所述認(rèn)證答復(fù)包括由聚合設(shè)備使用所述聚合設(shè)備的私鑰進(jìn)行數(shù)字簽名的原始認(rèn)證消息�,并且所述認(rèn)證答復(fù)由所述衛(wèi)星設(shè)備使用所述衛(wèi)星設(shè)備的私鑰進(jìn)行數(shù)字簽名�,(2)轉(zhuǎn)發(fā)模塊,被存儲在存儲器中��,所述轉(zhuǎn)發(fā)模塊向網(wǎng)絡(luò)管理服務(wù)器轉(zhuǎn)發(fā)所述認(rèn)證答復(fù)���,(3)驗證接收模塊����,被存儲在存儲器中����,所述驗證接收模塊響應(yīng)于轉(zhuǎn)發(fā)所述認(rèn)證答復(fù)來從所述網(wǎng)絡(luò)管理服務(wù)器接收驗證消息�����,以及(4)認(rèn)證模塊���,被存儲在存儲器中�,所述認(rèn)證模塊至少部分基于接收到所述驗證消息來對所述衛(wèi)星設(shè)備進(jìn)行認(rèn)證。
【專利說明】用于對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證的裝置和方法
[0001]通討引用并入
[0002]本申請通過引用并入與信息公開聲明一起同時提交到美國專利和商標(biāo)局的以下文檔:
[0003]可在http://standards.1eee.0rg/findstds/standard/802.lBR_2012.htm(2015 年 3 月 9 日訪問)獲得的 802.1BR IEEE 標(biāo)準(zhǔn)文檔(“802.1BR-2012-1EEEStandard for Local and metropolitan area networks—Virtual Bridged Local AreaNetworks—Bridge Port Extens1n���,���,);
[0004]可在http://standards.1eee.0rg/findstds/standard/802.lAR_2009.html (2015 年 3 月 9 日訪問)獲得的 802.1AR IEEE 標(biāo)準(zhǔn)文檔(“802.1AR-2009-1EEEStandard for Local and metropolitan area networks-Secure Device Identity�����,�,);
[0005]可在 http://www.trustedcomputinggroup.0rg/files/static_page_files/OCF910BE-lA4B-B294-D0C0B3924A9E4E97/TPM_Keys_for_Platfor m_Identity_v0_09_r9_PublicReview.pdf (2015 年 3 月 9 日訪問)獲得的“TCG Infrastructure WG TPM Keys forPlatform Identity for TPM1.2”�����。
技術(shù)領(lǐng)域
[0006]本發(fā)明涉及網(wǎng)絡(luò)設(shè)備認(rèn)證,并且更具體地����,涉及用于對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證的裝置和方法。
【背景技術(shù)】
[0007]計算機網(wǎng)絡(luò)協(xié)議的持續(xù)演進(jìn)對當(dāng)今的企業(yè)組織提出了新的挑戰(zhàn)���。在一些示例中�����,企業(yè)組織可以將兩個單獨的計算網(wǎng)絡(luò)互連以創(chuàng)建方便的單個網(wǎng)絡(luò)��。將單獨的計算網(wǎng)絡(luò)互連的設(shè)備可以被稱為“橋”����。類似地�����,企業(yè)組織還可以在相同橋接網(wǎng)絡(luò)內(nèi)的采用物理計算資源和諸如虛擬機的虛擬計算資源兩者����。
[0008]計算機聯(lián)網(wǎng)協(xié)議中的一個期望特征是對網(wǎng)橋的端口進(jìn)行擴展以創(chuàng)建擴展的橋的能力。擴展的端口可以提供對除了物理計算機系統(tǒng)之外的虛擬機的訪問���。用于對橋的端口進(jìn)行擴展以實現(xiàn)該功能和其他功能的一個標(biāo)準(zhǔn)是802.1BR���,其對應(yīng)于由IEEE標(biāo)準(zhǔn)協(xié)會的IEEE802項目建立的“橋端口擴展”協(xié)議�。
[0009]根據(jù)802.1BR協(xié)議����,衛(wèi)星設(shè)備(例如,網(wǎng)絡(luò)邊緣設(shè)備)可以嘗試連接到由網(wǎng)絡(luò)管理服務(wù)器管理的網(wǎng)絡(luò)��。在一些情形下�,衛(wèi)星設(shè)備可以能夠僅通過作為中介節(jié)點的聚合設(shè)備連接到網(wǎng)絡(luò)管理服務(wù)器��。遺憾的是����,聚合設(shè)備和衛(wèi)星設(shè)備可能還沒有用于確保在彼此之間的受信連接的建立方法。因此�,本公開標(biāo)識并解決對于用于對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證的附加的和改進(jìn)的裝置和方法的需求。
【發(fā)明內(nèi)容】
[0010]如下面將更詳細(xì)描述的�,本公開總體上涉及用于對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證的裝置和方法。在一個示例中���,一種用于完成這樣的任務(wù)的裝置或聚合設(shè)備可以包括(I)答復(fù)接收模塊��,所述答復(fù)接收模塊被存儲在存儲器中����,所述答復(fù)接收模塊從衛(wèi)星設(shè)備接收認(rèn)證答復(fù),所述認(rèn)證答復(fù):(A)包括由所述聚合設(shè)備使用所述聚合設(shè)備的私鑰進(jìn)行數(shù)字簽名的原始認(rèn)證消息���,并且(B)由所述衛(wèi)星設(shè)備使用所述衛(wèi)星設(shè)備的私鑰進(jìn)行數(shù)字簽名�����,(2)轉(zhuǎn)發(fā)模塊���,所述轉(zhuǎn)發(fā)模塊被存儲在存儲器中,所述轉(zhuǎn)發(fā)模塊向網(wǎng)絡(luò)管理服務(wù)器轉(zhuǎn)發(fā)所述認(rèn)證答復(fù)�,(3)驗證接收模塊,所述驗證接收模塊被存儲在存儲器中��,所述驗證接收模塊響應(yīng)于轉(zhuǎn)發(fā)所述認(rèn)證答復(fù)來從所述網(wǎng)絡(luò)管理服務(wù)器接收驗證消息�����,所述驗證消息:(A)包括由所述網(wǎng)絡(luò)管理服務(wù)器使用所述聚合設(shè)備的公鑰進(jìn)行解密的所述原始認(rèn)證消息��,(B)包括由所述網(wǎng)絡(luò)管理服務(wù)器使用所述衛(wèi)星設(shè)備的公鑰進(jìn)行解密的所述認(rèn)證答復(fù)��,并且(C)由所述網(wǎng)絡(luò)管理服務(wù)器使用所述網(wǎng)絡(luò)管理服務(wù)器的私鑰進(jìn)行數(shù)字簽名,(4)認(rèn)證模塊���,所述認(rèn)證模塊被存儲在存儲器中���,所述認(rèn)證模塊至少部分基于接收到所述驗證消息來對所述衛(wèi)星設(shè)備進(jìn)行認(rèn)證,以及(5)至少一個物理處理器��,所述至少一個物理存儲器被配置為執(zhí)行所述答復(fù)接收模塊��、所述轉(zhuǎn)發(fā)模塊���、所述驗證接收模塊����、以及所述認(rèn)證模塊���。
[0011]類似地,一種對應(yīng)的方法可以包括(I)從衛(wèi)星設(shè)備接收認(rèn)證答復(fù)���,所述認(rèn)證答復(fù):(A)包括由網(wǎng)絡(luò)內(nèi)的聚合設(shè)備使用所述聚合設(shè)備的私鑰進(jìn)行數(shù)字簽名的原始認(rèn)證消息�����,并且(B)由所述衛(wèi)星設(shè)備使用所述衛(wèi)星設(shè)備的私鑰進(jìn)行數(shù)字簽名��,(2)向網(wǎng)絡(luò)管理服務(wù)器轉(zhuǎn)發(fā)所述認(rèn)證答復(fù)��,(3)響應(yīng)于轉(zhuǎn)發(fā)所述認(rèn)證答復(fù)來從所述網(wǎng)絡(luò)管理服務(wù)器接收驗證消息���,所述驗證消息:(A)包括由所述網(wǎng)絡(luò)管理服務(wù)器使用所述聚合設(shè)備的公鑰進(jìn)行解密的所述原始認(rèn)證消息����,(B)包括由所述網(wǎng)絡(luò)管理服務(wù)器使用所述衛(wèi)星設(shè)備的公鑰進(jìn)行解密的所述認(rèn)證答復(fù)���,并且(C)由所述網(wǎng)絡(luò)管理服務(wù)器使用所述網(wǎng)絡(luò)管理服務(wù)器的私鑰進(jìn)行數(shù)字簽名�,以及(4)至少部分基于接收到所述驗證消息來對所述衛(wèi)星設(shè)備進(jìn)行認(rèn)證����。
[0012]在一些示例中,上述方法可以被編碼為非瞬態(tài)計算機可讀介質(zhì)上的計算機可讀指令�����。例如�,一種計算機可讀介質(zhì)可以包括一條或多條計算機可讀指令,所述一條或多條計算機可讀指令當(dāng)由計算設(shè)備的至少一個處理器執(zhí)行時可以使得所述計算設(shè)備(I)從衛(wèi)星設(shè)備接收認(rèn)證答復(fù),所述認(rèn)證答復(fù):(A)包括由網(wǎng)絡(luò)內(nèi)的聚合設(shè)備使用所述聚合設(shè)備的私鑰進(jìn)行數(shù)字簽名的原始認(rèn)證消息�,并且(B)由所述衛(wèi)星設(shè)備使用所述衛(wèi)星設(shè)備的私鑰進(jìn)行數(shù)字簽名,(2)向網(wǎng)絡(luò)管理服務(wù)器轉(zhuǎn)發(fā)所述認(rèn)證答復(fù)���,(3)響應(yīng)于轉(zhuǎn)發(fā)所述認(rèn)證答復(fù)來從所述網(wǎng)絡(luò)管理服務(wù)器接收驗證消息答復(fù)����,所述驗證消息:(A)包括由所述網(wǎng)絡(luò)管理服務(wù)器使用所述聚合設(shè)備的公鑰進(jìn)行解密的所述原始認(rèn)證消息���,(B)包括由所述網(wǎng)絡(luò)管理服務(wù)器使用所述衛(wèi)星設(shè)備的公鑰進(jìn)行解密的所述認(rèn)證答復(fù)��,并且(C)由所述網(wǎng)絡(luò)管理服務(wù)器使用所述網(wǎng)絡(luò)管理服務(wù)器的私鑰進(jìn)行數(shù)字簽名����,以及(4)至少部分基于接收到所述驗證消息來對所述衛(wèi)星設(shè)備進(jìn)行認(rèn)證�����。
[0013]根據(jù)本文中描述的總體原理���,來自上述實施例中的任何實施例的特征可以彼此組合來使用。在結(jié)合附圖和權(quán)利要求書閱讀下文的詳細(xì)描述時將更完全地理解這些和其他實施例�、特征以及優(yōu)點。
【附圖說明】
[0014]附圖圖示了多個示例性實施例并且是說明書的一部分。與下文描述一起���,這些【附圖說明】和解釋本公開的各種原理���。
[0015]圖1是用于對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證的示范性聚合設(shè)備的框圖。
[0016]圖2是用于對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證的示范性系統(tǒng)的框圖���。
[0017]圖3是用于對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證的示范性方法的流程圖�。
[0018]圖4是圖不了用于對網(wǎng)絡(luò)設(shè)備進(jìn)彳丁認(rèn)證的時序的不范性時序圖��。
[0019]圖5是能夠?qū)嵤┍疚闹忻枋龊?或圖示的實施例中的一個或多個實施例和/或結(jié)合本文中描述和/或圖示的實施例中的一個或多個實施例被使用的示例性計算系統(tǒng)的框圖�����。
[0020]在附圖中�����,相同的附圖標(biāo)記和描述指示相似但不一定相同的元件���。盡管本文中描述的示例性實施例易受到各種修改和備選形式的影響��,但是特定實施例已經(jīng)通過舉例的方式在附圖中示出并且將在本文中被詳細(xì)描述�。然而,本文中描述的示例性實施例不旨在限于所公開的具體形式�。相反,本公開內(nèi)容涵蓋落入所附的權(quán)利要求的范圍內(nèi)的所有修改����、等價以及備選。
【具體實施方式】
[0021]本公開描述用于對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證的各種裝置���、方法��、以及計算機可讀介質(zhì)�����。如下面將更詳細(xì)解釋的��,本公開的實施例可以使得聚合設(shè)備和衛(wèi)星設(shè)備能夠根據(jù)橋接擴展協(xié)議(諸如802.1BR協(xié)議的經(jīng)修改或未經(jīng)修改的版本)建立受信網(wǎng)絡(luò)連接,甚至在既不是聚合設(shè)備也不是衛(wèi)星設(shè)備處理用于對其他網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證的加密密鑰時�����。因此�����,本公開的實施例可以使得網(wǎng)絡(luò)或網(wǎng)絡(luò)管理員能夠?qū)⒓用苊荑€維護(hù)在集中式網(wǎng)絡(luò)管理服務(wù)器內(nèi)而非將加密密鑰的冗余副本放置在網(wǎng)絡(luò)上的每個聚合設(shè)備和/或衛(wèi)星設(shè)備內(nèi)����。因此�����,如下面進(jìn)一步討論的���,本公開的實施例可以通過使得聚合設(shè)備和衛(wèi)星設(shè)備能夠通過集中式網(wǎng)絡(luò)管理服務(wù)器進(jìn)行認(rèn)證來最小化網(wǎng)絡(luò)管理員上的負(fù)擔(dān)��。
[0022]下文將參考圖1-2來提供可以執(zhí)行用于對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證的公開的方法中的全部或部分方法的示范性聚合設(shè)備���、衛(wèi)星設(shè)備、以及網(wǎng)絡(luò)管理服務(wù)器的示例�,如下面所討論的。類似地�,還將結(jié)合圖3-4來提供對應(yīng)的計算機實施的方法的詳細(xì)描述。最后�����,對應(yīng)于圖5的討論將提供可以包括圖1-4中示出的部件的系統(tǒng)的多個示例����。
[0023]圖是用于對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證的示范性聚合設(shè)備00的框圖�����。如該圖中所圖示的���,示范性聚合設(shè)備00可以包括用于執(zhí)行一個或多個任務(wù)的一個或多個模塊02。例如�,并且如下面將更詳細(xì)解釋的,示范性聚合設(shè)備00可以包括從衛(wèi)星設(shè)備接收認(rèn)證答復(fù)的答復(fù)接收模塊04���,所述認(rèn)證答復(fù):(A)包括由所述聚合設(shè)備使用所述聚合設(shè)備的私鑰124進(jìn)行數(shù)字簽名的原始認(rèn)證消息����,并且(B)由所述衛(wèi)星設(shè)備使用所述衛(wèi)星設(shè)備的私鑰進(jìn)行數(shù)字簽名���。聚合設(shè)備00還可以包括轉(zhuǎn)發(fā)模塊06��,所述轉(zhuǎn)發(fā)模塊向網(wǎng)絡(luò)管理服務(wù)器轉(zhuǎn)發(fā)所述認(rèn)證答復(fù)���。
[0024]此外,聚合設(shè)備100還可以包括驗證接收模塊108�,所述驗證接收模塊響應(yīng)于轉(zhuǎn)發(fā)所述認(rèn)證答復(fù)從所述網(wǎng)絡(luò)管理服務(wù)器接收驗證消息,所述驗證消息:(A)包括由所述網(wǎng)絡(luò)管理服務(wù)器使用所述聚合設(shè)備的公鑰進(jìn)行解密的所述原始認(rèn)證消息�����,(B)包括由所述網(wǎng)絡(luò)管理服務(wù)器使用所述衛(wèi)星設(shè)備的公鑰進(jìn)行解密的所述認(rèn)證答復(fù),并且(C)由所述網(wǎng)絡(luò)管理服務(wù)器使用所述網(wǎng)絡(luò)管理服務(wù)器的私鑰進(jìn)行數(shù)字簽名���。此外,聚合設(shè)備100還可以包括認(rèn)證模塊110�����,所述認(rèn)證模塊至少部分基于接收到所述驗證消息來對所述衛(wèi)星設(shè)備進(jìn)行認(rèn)證�。另外,聚合設(shè)備100可以包括簽名模塊112��,如下面進(jìn)一步討論的��,所述簽名模塊可以對所述原始認(rèn)證消息進(jìn)行數(shù)字簽名����。
[0025]另外,聚合設(shè)備100還可以包括受信平臺模塊120���,所述受信平臺模塊可以存儲聚合設(shè)備100的私鑰124以及所述網(wǎng)絡(luò)管理服務(wù)器的公鑰122的副本����。受信平臺模塊120可以包括安全加密處理器,所述安全加密處理器通過將至少一個加密密鑰集成到聚合設(shè)備中來使聚合設(shè)備安全����。在一些示例中,受信平臺模塊120可以滿足由被稱為受信計算組(TRUSTED COMPUTING GROUP)的計算機工業(yè)協(xié)會建立的規(guī)范��。
[0026]如圖2所示��,聚合設(shè)備100可以構(gòu)成較大系統(tǒng)290的部分����。如該圖中所示,除了聚合設(shè)備100之外�����,系統(tǒng)290還可以包括衛(wèi)星設(shè)備200和網(wǎng)絡(luò)管理服務(wù)器230����。在一個實施例中,聚合設(shè)備100可以聚合一個或多個其他邏輯或物理設(shè)備���,諸如網(wǎng)絡(luò)交換機����,使得聚合設(shè)備100將網(wǎng)絡(luò)交換機管理作為聚合設(shè)備100的邏輯線路卡。在進(jìn)一步的示例中�����,一個或多個衛(wèi)星設(shè)備或網(wǎng)絡(luò)邊緣設(shè)備�,諸如衛(wèi)星設(shè)備200,可以試圖連接到由網(wǎng)絡(luò)管理服務(wù)器230管理的網(wǎng)絡(luò)��。在這些示例中���,衛(wèi)星設(shè)備200可以通過作為網(wǎng)絡(luò)內(nèi)的中介節(jié)點的聚合設(shè)備100嘗試連接到網(wǎng)絡(luò)。
[0027]在以上示例中���,聚合設(shè)備100和衛(wèi)星設(shè)備200可以不具有對彼此進(jìn)行認(rèn)證以創(chuàng)建受信網(wǎng)絡(luò)連接的任何建立能力��。例如����,如圖2所示�,聚合設(shè)備100可以僅擁有聚合設(shè)備100的私鑰124和網(wǎng)絡(luò)管理服務(wù)器230的公鑰122。類似地���,衛(wèi)星設(shè)備200還可以僅在對應(yīng)的受信平臺模塊220內(nèi)包含其自身的私鑰224和網(wǎng)絡(luò)管理服務(wù)器230的公鑰122的另一副本��。
[0028]為了便于討論和圖示��,圖2還顯示了初始地在圖1中示出的模塊102中的每個模塊�����,而沒有示出衛(wèi)星設(shè)備200和網(wǎng)絡(luò)管理服務(wù)器230內(nèi)的對應(yīng)模塊�。然而,衛(wèi)星設(shè)備200和/或網(wǎng)絡(luò)管理服務(wù)器230兩者都可以包括與聚合設(shè)備100內(nèi)的模塊102中的每個模塊平行的一個或多個模塊���。例如���,衛(wèi)星設(shè)備200可以包括傳輸模塊,所述傳輸模塊對應(yīng)于答復(fù)接收模塊104并且傳輸由答復(fù)接收模塊104接收的認(rèn)證答復(fù)���。在圖2中示出的其他計算網(wǎng)絡(luò)設(shè)備還可以包含用于執(zhí)行下面關(guān)于圖3-4討論的方法的步驟中的任何步驟的任何其他數(shù)量的對應(yīng)模塊�。類似地����,還如圖2中所示,網(wǎng)絡(luò)管理服務(wù)器230可以包括與受信平臺模塊120和受信平臺模塊220平行的受信平臺模塊232���。在圖2的示例中����,網(wǎng)絡(luò)管理服務(wù)器230內(nèi)的受信平臺模塊232可以包括聚合設(shè)備100的公鑰234和衛(wèi)星設(shè)備200的公鑰236兩者。
[0029]如本文中所使用的�,術(shù)語“公鑰”和“私鑰”一般指代非對稱加密密鑰對?����?傮w上��,在每一對中的每個密鑰可以在不知道另一密鑰的情況下對針對(或來自)另一方的消息進(jìn)行加密或解密�����。例如���,公鑰可以在不知道私鑰的情況下對由對應(yīng)私鑰加密的消息進(jìn)行解密。術(shù)語“公鑰”可以是指來自每一對的比另一密鑰具有更低的安全度的一個密鑰����。類似地,術(shù)語“私鑰”可以指代來自每一對的具有對應(yīng)較高的安全度的另一密鑰���。在示范性實施例中�����,公鑰可以自由地被公開和交換��,然而私鑰可以由擁有者保持絕對秘密�。
[0030]類似地,公鑰可以充當(dāng)隱喻性存儲鎖具(metaphorical storage locker)���,其使得任何人能夠在鎖具中留下消息但是僅僅允許私鑰的擁有者讀取該鎖具內(nèi)的消息的內(nèi)容����。類似地��,私鑰可以充當(dāng)隱喻性簽名���,其使得任何人能夠讀取經(jīng)簽名的消息并且對如由私鑰的擁有者簽名的消息進(jìn)行認(rèn)證�。換言之��,公鑰可以提供保密性��,而私鑰可以提供真實性����。
[0031]總體上����,一些系統(tǒng)可以使用公鑰基礎(chǔ)架構(gòu)內(nèi)的非對稱密鑰對��,公鑰基礎(chǔ)架構(gòu)利用證書授權(quán)機構(gòu)(Certificate Authority)來將公鑰綁定到對應(yīng)的私鑰擁有者�����。例如�����,標(biāo)識用于解密的特定公鑰的使用私鑰簽名的消息的接收方可能想要核實該公鑰實際上對應(yīng)于消息的名義作者���。否則����,冒名頂替者能夠使用該冒名頂替者自己的非對稱密鑰對來對該冒名頂替者的消息進(jìn)行簽名并且之后將對應(yīng)的公鑰提供給接收方以對該消息進(jìn)行解密�����。因此���,公開且可信的證書授權(quán)機構(gòu)可以向?qū)?yīng)的擁有者注冊公鑰�,并且之后發(fā)布由證書授權(quán)機構(gòu)進(jìn)行簽名的公鑰證書以證實(如在公鑰證書中示出的)公鑰的名義擁有者是公鑰的實際擁有者����。然后,消息的接收方可以對于使用公鑰感到自信��,以使用所提供的公鑰來將答復(fù)消息發(fā)送到原始消息的原始發(fā)送者���。
[0032]作為對比����,如果公鑰的擁有者具有用于確保對應(yīng)于公鑰的名義身份準(zhǔn)確的備選方法��,則證書授權(quán)機構(gòu)和對應(yīng)的公鑰基礎(chǔ)架構(gòu)可能是不必要的��。在圖2的示例中�,每個受信平臺模塊可以提供用于確保對應(yīng)于每個公鑰的名義身份準(zhǔn)確的備選方法,如下面所討論的��。因此�����,系統(tǒng)290可以不涉及針對方法300的全部或一部分的證書授權(quán)機構(gòu)或公鑰基礎(chǔ)架構(gòu)。類似地�����,在一些備選實施例中�,系統(tǒng)290可以使用對稱密鑰對代替非對稱密鑰對。
[0033]返回到圖2��,所公開的裝置和方法可以例如以以下方式對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證�����。答復(fù)接收模塊104可以從衛(wèi)星設(shè)備200接收認(rèn)證答復(fù)252��,認(rèn)證答復(fù)252包括由聚合設(shè)備100使用聚合設(shè)備100的私鑰124進(jìn)行數(shù)字簽名的原始認(rèn)證消息240 (例如��,由簽名模塊112進(jìn)行數(shù)字簽名的�����,如由簽名242示出的)����。認(rèn)證答復(fù)252還可以由衛(wèi)星設(shè)備200使用衛(wèi)星設(shè)備200的私鑰224進(jìn)行數(shù)字簽名���,如由圖2中的簽名250示出的��。轉(zhuǎn)發(fā)模塊106可以向網(wǎng)絡(luò)管理服務(wù)器230轉(zhuǎn)發(fā)認(rèn)證答復(fù)252���。驗證接收模塊208可以響應(yīng)于轉(zhuǎn)發(fā)認(rèn)證答復(fù)252來從網(wǎng)絡(luò)管理服務(wù)器230接收驗證消息260��,驗證消息260(A)包括由網(wǎng)絡(luò)管理服務(wù)器230使用聚合設(shè)備100的公鑰234進(jìn)行解密的原始認(rèn)證消息240���,(B)包括由網(wǎng)絡(luò)管理服務(wù)器230使用衛(wèi)星設(shè)備200的公鑰236進(jìn)行解密的認(rèn)證答復(fù)252,并且(C)由網(wǎng)絡(luò)管理服務(wù)器230使用網(wǎng)絡(luò)管理服務(wù)器230的私鑰進(jìn)行數(shù)字簽名(未在圖3中示出)��。此外��,認(rèn)證模塊110可以至少部分基于接收到驗證消息260來對衛(wèi)星設(shè)備200進(jìn)行認(rèn)證����。如下面進(jìn)一步討論的,認(rèn)證模塊110和衛(wèi)星設(shè)備200可以類似地至少部分基于接收到驗證消息260來建立在聚合設(shè)備100與衛(wèi)星設(shè)備200之間的受信網(wǎng)絡(luò)連接(即���,可以對彼此進(jìn)行認(rèn)證和驗證)����。
[0034]圖3是用于對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證的示范性計算機實施的方法300的流程圖����。圖3中示出的步驟可以通過任何合適的計算機可執(zhí)行代碼和/或計算系統(tǒng)來執(zhí)行��。在一些實施例中�����,圖3中示出的步驟可以通過圖1中的聚合設(shè)備100�����、圖2中的系統(tǒng)290�、和/或圖5中的示范性計算系統(tǒng)500的部分的部件中的一個或多個部件來執(zhí)行�。
[0035]如圖3所示,在步驟310����,本文中描述的系統(tǒng)中的一個或多個系統(tǒng)可以從衛(wèi)星設(shè)備接收認(rèn)證答復(fù),所述認(rèn)證答復(fù)包括由聚合設(shè)備使用所述聚合設(shè)備的私鑰進(jìn)行數(shù)字簽名的原始認(rèn)證消息���,并且所述認(rèn)證答復(fù)由所述衛(wèi)星設(shè)備使用所述衛(wèi)星設(shè)備的私鑰來進(jìn)行數(shù)字簽名�����。例如���,答復(fù)接收模塊104可以作為聚合設(shè)備100的部分從衛(wèi)星設(shè)備200接收認(rèn)證答復(fù)252,認(rèn)證答復(fù)252包括由聚合設(shè)備100使用聚合設(shè)備100的私鑰124進(jìn)行數(shù)字簽名的原始認(rèn)證消息240����。
[0036]如本文中使用的,術(shù)語“衛(wèi)星設(shè)備”一般指代嘗試通過作為中介節(jié)點的聚合設(shè)備來建立與由網(wǎng)絡(luò)管理服務(wù)器管理的網(wǎng)絡(luò)的網(wǎng)絡(luò)連接的任何網(wǎng)絡(luò)設(shè)備��,如以上討論的和下面進(jìn)一步討論的��。在一些示例中���,衛(wèi)星設(shè)備可以構(gòu)成僅僅具有通過作為中介節(jié)點的聚合設(shè)備到網(wǎng)絡(luò)的連接的網(wǎng)絡(luò)邊緣設(shè)備�。在進(jìn)一步的示例中�,衛(wèi)星設(shè)備可以包括交換機或路由器,該交換機或路由器根據(jù)諸如(以上討論的)802.1BR的橋接擴展器協(xié)議連接到聚合設(shè)備����,使得聚合設(shè)備將衛(wèi)星設(shè)備視為線路卡。此外����,如本文中使用的,短語“執(zhí)行動作的設(shè)備”一般指代被物理配置或編程為執(zhí)行所述動作的設(shè)備。
[0037]此外��,如本文中使用的���,術(shù)語“原始認(rèn)證消息” 一般指代在認(rèn)證答復(fù)之前傳輸?shù)木W(wǎng)絡(luò)消息�����,如以上討論的并且如下面進(jìn)一步討論的���。總體上�����,原始認(rèn)證消息和/或認(rèn)證答復(fù)可以構(gòu)成網(wǎng)絡(luò)握手過程的部分��,通過網(wǎng)絡(luò)握手過程衛(wèi)星設(shè)備嘗試連接到網(wǎng)絡(luò)�����。在一些示例中�,聚合設(shè)備100可以響應(yīng)于來自衛(wèi)星設(shè)備200的請求傳輸原始認(rèn)證消息以獲得對由網(wǎng)絡(luò)管理服務(wù)器管理的網(wǎng)絡(luò)的訪問。類似地��,如本文中使用的,術(shù)語“認(rèn)證答復(fù)”一般指代響應(yīng)于原始認(rèn)證消息而傳輸?shù)拇饛?fù)消息����。在一些示例中,原始認(rèn)證消息和/或認(rèn)證答復(fù)可以被數(shù)字簽名���。此外,可以根據(jù)諸如802.1BR的橋接擴展器協(xié)議來傳輸原始認(rèn)證消息和/或認(rèn)證答復(fù)�。
[0038]答復(fù)接收模塊104可以以各種方式來接收認(rèn)證答復(fù)252。為了進(jìn)一步解釋所公開的方法�����,圖4示出了圖示根據(jù)圖3中的方法300的時序的示范性時序圖400����。如圖4所示,在步驟402�����,聚合設(shè)備100可以向衛(wèi)星設(shè)備200傳輸原始認(rèn)證消息240����。如以上討論的,聚合設(shè)備100可以響應(yīng)于接收到來自衛(wèi)星設(shè)備200的網(wǎng)絡(luò)訪問請求來向衛(wèi)星設(shè)備200傳輸原始認(rèn)證消息240。接下來����,如下面進(jìn)一步討論的,在步驟404�����,步驟404可以對應(yīng)于方法300的步驟310�,聚合設(shè)備100內(nèi)的答復(fù)接收模塊104可以接收認(rèn)證答復(fù)252。
[0039]總體上�����,為了對消息進(jìn)行數(shù)字簽名���,諸如聚合設(shè)備100和/或衛(wèi)星設(shè)備200的計算設(shè)備可以首先獲取私鑰���。在一些示例中,原始認(rèn)證消息240可以包括或?qū)?yīng)于用于聚合設(shè)備100的安全設(shè)備標(biāo)識符����。類似地,認(rèn)證答復(fù)252可以包括或?qū)?yīng)于用于衛(wèi)星設(shè)備200的安全設(shè)備標(biāo)識符����。如本文中使用的�����,術(shù)語“安全設(shè)備標(biāo)識符”一般指代與被綁定給設(shè)備并且用于斷定設(shè)備的身份的加密身份����。在一些示例中�����,安全設(shè)備標(biāo)識符基于唯一或秘密的值����,該唯一或秘密的值以致使某人偽造或轉(zhuǎn)移安全設(shè)備標(biāo)識符不可行的方式被緊密集成在設(shè)備內(nèi)��。在進(jìn)一步的示例中����,安全加密處理器可以生成和/或保護(hù)安全設(shè)備標(biāo)識符。如以上討論的���,安全加密處理器符合由受信計算組建立的受信平臺模塊的規(guī)范�。
[0040]在進(jìn)一步的示例中,安全設(shè)備標(biāo)識符可以包括或?qū)?yīng)于根據(jù)由IEEE標(biāo)準(zhǔn)協(xié)會的802項目建立的802.1AR ( “安全設(shè)備身份”)協(xié)議的DEVID����。如在2009年12月22日的針對802.1AR協(xié)議的IEEE標(biāo)準(zhǔn)文檔的ANNEX B中概述的,設(shè)備可以使用受信平臺模塊來實施DEVID安全標(biāo)識符����。總體上�,如以上討論的,DEVID可以構(gòu)成或?qū)?yīng)于加密密鑰的非對稱對�,具體包括公鑰和私鑰。因此�,試圖將經(jīng)加密的通信發(fā)送到具有DEVID的另一網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)設(shè)備可以使用DEVID的公鑰部分來對那些通信進(jìn)行加密,從而確保僅僅所述設(shè)備可以使用所述設(shè)備的私鑰對所述通信進(jìn)行解密�。類似地,網(wǎng)絡(luò)設(shè)備能夠信任經(jīng)數(shù)字簽名的網(wǎng)絡(luò)通信源自于使用設(shè)備的私鑰對那些通信進(jìn)行簽名的網(wǎng)絡(luò)設(shè)備����。網(wǎng)絡(luò)設(shè)備可以使用這些技術(shù)中的一個或兩者來使用相應(yīng)的DEVID對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證。例如�����,網(wǎng)絡(luò)可以根據(jù)在2009年12月22日的針對802.1AR協(xié)議的IEEE標(biāo)準(zhǔn)文檔的ANNEXC中概述的握手情形中的一種握手情形基于設(shè)備的DEVID對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證���?���?傮w上,網(wǎng)絡(luò)設(shè)備必須對它們的私鑰保密以確保成功加密�����。如以上討論的����,例如,網(wǎng)絡(luò)設(shè)備可以在受信平臺模塊內(nèi)對它們的私鑰保密����。
[0041]如在安全套接字層(“SSL”)和傳輸層安全性(“TLS”)加密協(xié)議中那樣�����,802.1AR協(xié)議可以以與傳統(tǒng)公鑰基礎(chǔ)架構(gòu)系統(tǒng)平行的方式作用��,除了 802.1AR使得能夠?qū)W(wǎng)絡(luò)設(shè)備而非諸如網(wǎng)站的其他對象進(jìn)行認(rèn)證��。因此����,802.1AR協(xié)議指定DEVID (例如��,DEVID憑證或公鑰證書)采取X.509憑證或公鑰證書的版本的形式�,類似于在SSL和TLS內(nèi)使用的證書��。類似地����,在使用802.1AR協(xié)議的系統(tǒng)中,證書授權(quán)機構(gòu)可以對公鑰證書進(jìn)行數(shù)字簽名以使得網(wǎng)絡(luò)設(shè)備能夠信任指定的公鑰對應(yīng)于(例如����,被注冊到)公鑰和相關(guān)聯(lián)的DEVID的所聲稱的擁有者。
[0042]DEVID可以采取至少兩種不同的形式中的一種形式����。初始DEVID或IDEVID可以指定將網(wǎng)絡(luò)設(shè)備與其制造商聯(lián)系起來的唯一序列號或其他值。換言之�,安全設(shè)備標(biāo)識符可以對應(yīng)于以下的安全設(shè)備標(biāo)識符:(I)向聚合設(shè)備指派的聚合設(shè)備的制造商以及(2)利用制造商的私鑰被簽名以驗證聚合設(shè)備的聚合設(shè)備的制造商。制造商可以在制造期間建立IDEVID或管理員可以在網(wǎng)絡(luò)內(nèi)供應(yīng)網(wǎng)絡(luò)設(shè)備(例如��,與制造商的證書授權(quán)機構(gòu)通信)期間建立IDEVID��。例如��,制造商可以建立遠(yuǎn)程證書授權(quán)機構(gòu),所述遠(yuǎn)程證書授權(quán)機構(gòu)可以提供來自建立網(wǎng)絡(luò)設(shè)備的身份的制造商的公鑰證書�。例如,在供應(yīng)網(wǎng)絡(luò)設(shè)備時���,管理員可以諸如通過從證書授權(quán)機構(gòu)請求公鑰證書和/或通過使用制造商的公鑰來對對應(yīng)的公鑰證書的簽名進(jìn)行解密來基于IDEVID核實網(wǎng)絡(luò)設(shè)備的身份��。
[0043]作為第二示例�����,DEVID可以采取本地安全設(shè)備標(biāo)識符或LDEVID的形式�����。LDEVID可以可選地使用相同的私鑰作為IDEVID��,其將繼續(xù)將網(wǎng)絡(luò)設(shè)備與通過制造建立的身份聯(lián)系起來(即���,使得人能夠?qū)⒕W(wǎng)絡(luò)設(shè)備追溯到其在制造商處的原產(chǎn)地)����。備選地,LDEVID可以使用與IDEVID不同的私鑰(S卩��,防止人將網(wǎng)絡(luò)設(shè)備追溯到其在制造商處的原產(chǎn)地)。尤其�,激活的DEVID模塊包含一個IDEVID但是可以包含零個或任何數(shù)量的LDEVID,因為這些LDEVID是可選的���。本文中公開的裝置和方法可以使用IDEVID或LDEVID��。尤其���,針對DEVID的X.509證書可以不指定DEVID是否構(gòu)成IDEVID或LDEVID。
[0044]如以上所討論的���,本文中公開的裝置和方法可以不完全地利用證書授權(quán)機構(gòu)或公鑰基礎(chǔ)架構(gòu)�����。例如��,在可選地如以上所討論的使用制造商的IDEVID來對網(wǎng)絡(luò)設(shè)備的身份進(jìn)行核實之后�����,網(wǎng)絡(luò)管理員可以供應(yīng)DEVID公鑰和私鑰�����,如圖2中所示���,從而在諸如受信平臺模塊的安全位置內(nèi)使這些密鑰安全���。如以上所討論的,在一個示例中�,網(wǎng)絡(luò)管理員可以從DEVID模塊獲得DEVID公鑰證書和/或生成新的LDEVID非對稱密鑰對。在生成非對稱密鑰對中��,DEVID模塊可以與受信平臺模塊交互�����。在獲得針對每個網(wǎng)絡(luò)設(shè)備的至少一個公鑰之后�����,網(wǎng)絡(luò)管理員和/或?qū)?yīng)的網(wǎng)絡(luò)管理模塊(例如��,在圖2中未示出的管理模塊114)可以在那些網(wǎng)絡(luò)設(shè)備的未來對手方內(nèi)使公鑰安全�,從而使得對手方能夠?qū)碜跃W(wǎng)絡(luò)設(shè)備的經(jīng)數(shù)字簽名的消息進(jìn)行解密并且核實其作者身份。此外����,如圖2所示,并且如下面進(jìn)一步討論的���,在缺少證書授權(quán)機構(gòu)的情況下���,本文中使用的DEVID憑證(例如,X.509證書的版本)可以省略來自DEVID憑證的公鑰并且相反保持公鑰“準(zhǔn)私有”或秘密(例如�,在接收方的受信平臺模塊內(nèi))。類似地���,DEVID憑證可以由DEVID憑證的發(fā)送者(例如�����,DEVID憑證的擁有者)進(jìn)行簽名而非由證書授權(quán)機構(gòu)進(jìn)行簽名�。
[0045]如圖2所示�,網(wǎng)絡(luò)管理員可以在(聚合設(shè)備100內(nèi)的)受信平臺模塊120和(衛(wèi)星設(shè)備200內(nèi)的)受信平臺模塊220中的每個受信平臺模塊內(nèi)使網(wǎng)絡(luò)管理服務(wù)器230的公鑰122的副本安全。類似地��,網(wǎng)絡(luò)管理員可以在(網(wǎng)絡(luò)管理服務(wù)器230內(nèi)的)受信平臺模塊232內(nèi)使聚合設(shè)備100的公鑰234和衛(wèi)星設(shè)備200的公鑰236安全���。當(dāng)然�����,如以上所討論的����,每個設(shè)備可以將它自己的私鑰維護(hù)在它自己的受信平臺模塊內(nèi),并且這些私鑰應(yīng)當(dāng)決不被共享否則加密安全性將可能受到損害����。
[0046]DEVID的示例僅僅是示范性的。IDEVID的一個關(guān)鍵優(yōu)點在于如由制造商的證書授權(quán)機構(gòu)核實的����,IDEVID將網(wǎng)絡(luò)設(shè)備與其在制造商處的原產(chǎn)地聯(lián)系起來。然而�����,所公開的裝置和方法可以不使用如以上所討論的證書授權(quán)機構(gòu)�����。因此����,安全設(shè)備標(biāo)識符可以構(gòu)成任何指定的�����、隨機的、唯一的(例如�����,全局唯一標(biāo)識符)和/或網(wǎng)絡(luò)設(shè)備的序列號或其他值�。制造商和/或網(wǎng)絡(luò)管理員可以指定安全設(shè)備標(biāo)識符。如以上所討論的���,當(dāng)供應(yīng)各種公鑰時�����,網(wǎng)絡(luò)管理員可以類似地映射或指定對應(yīng)于每個公鑰的對應(yīng)的網(wǎng)絡(luò)設(shè)備名�����、標(biāo)識符和/或序列號��。如以上討論的�����,當(dāng)接收待指定網(wǎng)絡(luò)設(shè)備名����、標(biāo)識符和/或序列號的公鑰證書時,接收設(shè)備可以然后嘗試使用在供應(yīng)過程期間由網(wǎng)絡(luò)管理員映射或指定的公鑰(其可以與在公鑰證書中指定的公鑰相同)來對公鑰證書(或其他消息)的簽名部分進(jìn)行解密����。
[0047]在一些示例中,安全設(shè)備標(biāo)識符可以簡單地對應(yīng)于網(wǎng)絡(luò)管理員用于索引多個公鑰內(nèi)的公鑰(或以其他方式標(biāo)識公鑰的擁有者)的索引值���,所述多個公鑰諸如網(wǎng)絡(luò)管理服務(wù)器230內(nèi)的公鑰(例如�����,用于聚合設(shè)備100的公鑰“I”和用于衛(wèi)星設(shè)備200的公鑰“2”)����。在其他示例中����,安全設(shè)備標(biāo)識符可以包括或?qū)?yīng)于DEVID X.509憑證的“主題(subject) ”域的值?�!爸黝}”域的值可以被格式化為唯一的X.500可區(qū)分的名稱(“DN”)����,其可以包括由制造商指派的唯一設(shè)備序列號(例如���,具有“序列號”屬性)或發(fā)行者優(yōu)選的任何其他合適的唯一 DN值。
[0048]在其他示例中����,原始認(rèn)證消息和認(rèn)證答復(fù)可以不包括或不對應(yīng)于安全設(shè)備標(biāo)識符��。更確切地說�,這些消息可以包含用于根據(jù)本文中討論的方法和技術(shù)對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證的任何任意或隨機消息。明顯地�,在圖2中的任何設(shè)備能夠簡單地通過使用其他網(wǎng)絡(luò)設(shè)備的公鑰成功對來自其他網(wǎng)絡(luò)設(shè)備的消息進(jìn)行解密從而核實其他網(wǎng)絡(luò)設(shè)備使用其私鑰對消息進(jìn)行簽名來在沒有獲得另一設(shè)備的安全設(shè)備標(biāo)識符的情況下對另一網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證。此外�����,DEVID模塊和受信平臺模塊兩者都能夠包含隨機數(shù)生成器���,通過指定�,其使得制造商和/或網(wǎng)絡(luò)管理員能夠向網(wǎng)絡(luò)設(shè)備指派唯一安全設(shè)備標(biāo)識符��。
[0049]尤其�����,針對圖2和圖4中示出的消息中的任何一個或多個消息,消息可以采取兩種不同的形式中的一種形式���。第一����,消息可以包括原始內(nèi)容和原始內(nèi)容的簽名(或原始內(nèi)容的哈希的簽名)�,其可以被附加到原始內(nèi)容。在這種情況下���,消息的接收者可以通過對簽名進(jìn)行解密來對消息的發(fā)送者進(jìn)行認(rèn)證���。這種形式的消息還具有使得接收者能夠確認(rèn)原始內(nèi)容和附加的簽名彼此一致地匹配的益處。然而�,這種形式的消息具有將原始內(nèi)容披露給獲得所述消息的任何網(wǎng)絡(luò)設(shè)備的潛在缺點。換言之��,甚至在不解密簽名的情況下����,接收消息的任何網(wǎng)絡(luò)設(shè)備將獲悉非加密的原始內(nèi)容。在圖2的示例中���,聚合設(shè)備100已經(jīng)通過將簽名242包含在原始認(rèn)證消息240內(nèi)使用了這種形式的消息��。
[0050]此外��,包括內(nèi)容的非加密版本連同數(shù)字簽名的這種形式的消息可以具有使得聚合設(shè)備100和/或衛(wèi)星設(shè)備200能夠核實認(rèn)證答復(fù)252和/或原始認(rèn)證消息240的經(jīng)解密的版本對應(yīng)于原始發(fā)送到網(wǎng)絡(luò)管理服務(wù)器230的經(jīng)數(shù)字簽名的版本�。換言之,在不包括具有認(rèn)證答復(fù)252和/或原始認(rèn)證消息240的內(nèi)容的非加密版本的情況下�,缺少針對對應(yīng)消息的公鑰的網(wǎng)絡(luò)設(shè)備則可以不能夠核實由網(wǎng)絡(luò)管理服務(wù)器230簽名的經(jīng)解密的版本實際上對應(yīng)于原始傳輸?shù)暮徒?jīng)加密的版本。
[0051]備選地��,可以在不暴露內(nèi)容的非加密版本的情況下對整個消息進(jìn)行數(shù)字簽名�。這種形式的消息使得消息的傳輸者核實消息的接收者擁有發(fā)送者的公鑰���。尤其����,盡管傳統(tǒng)公鑰可以被自由地披露����,但是圖2的公鑰可以在它們可以被安全地存儲在相應(yīng)的受信平臺模塊內(nèi)或以其他方式安全地保持的意義上是“準(zhǔn)私有”的。這些公鑰的“準(zhǔn)私有”性質(zhì)可以使得消息的傳輸者能夠通過核實接收者擁有相應(yīng)的公鑰(否則接收者將不能夠?qū)?jīng)加密的消息進(jìn)行解密并將以解密的形式發(fā)送回經(jīng)加密的消息)來對接收者進(jìn)行認(rèn)證����。例如��,聚合設(shè)備100可以在不傳輸非加密版本的情況下對原始認(rèn)證消息240進(jìn)行加密���,并且類似地,衛(wèi)星設(shè)備200可以在不傳輸非加密版本的情況下對認(rèn)證答復(fù)252進(jìn)行加密���。在圖2的示例中���,衛(wèi)星設(shè)備200已經(jīng)通過對認(rèn)證答復(fù)252的整體進(jìn)行簽名250來使用了這種形式的消息。因此�����,聚合設(shè)備100和衛(wèi)星設(shè)備200可以通過獲得具有驗證消息260的那些消息的經(jīng)解密的版本來核實網(wǎng)絡(luò)管理服務(wù)器230擁有相應(yīng)的公鑰(S卩����,公鑰234和公鑰236)。尤其�����,在這種情況下��,聚合設(shè)備100和/或衛(wèi)星設(shè)備200可能不想要使用另一網(wǎng)絡(luò)設(shè)備能夠在不擁有對應(yīng)公鑰的情況下容易預(yù)測(諸如簡單網(wǎng)絡(luò)設(shè)備名、標(biāo)識符和/或序列號)的消息�����。更確切地說�,聚合設(shè)備100和/或衛(wèi)星設(shè)備200可能優(yōu)選發(fā)送任意的、隨機的��、和/或否則不可預(yù)測的值(例如�����,由DEVID模塊和/或受信平臺模塊的隨機數(shù)生成器部件生成的數(shù))以確保加密通信的完整性�����。
[0052]在不對整個消息進(jìn)行加密的情況下�,聚合設(shè)備100和/或衛(wèi)星設(shè)備200在不核實網(wǎng)絡(luò)管理服務(wù)器230實際上使用相應(yīng)的公鑰來對其消息進(jìn)行解密的情況下必須依靠網(wǎng)絡(luò)管理服務(wù)器230的私有簽名(例如��,圖2中的簽名262)�。換言之�,通過對消息的整體進(jìn)行加密,而不附加消息的經(jīng)解密的版本����,聚合設(shè)備100和/或衛(wèi)星設(shè)備200防止網(wǎng)絡(luò)管理服務(wù)器230在甚至不嘗試對消息的經(jīng)加密的內(nèi)容進(jìn)行解密的情況下(例如���,在冒名頂替者設(shè)備在沒有擁有公鑰的情況下冒充網(wǎng)絡(luò)管理服務(wù)器230的情況下,或在網(wǎng)絡(luò)管理服務(wù)器230受到損害和/或已經(jīng)丟失公鑰234和/或公鑰236的情況下)簡單地對消息的非加密內(nèi)容進(jìn)行簽名��。
[0053]返回到圖3���,在步驟310�,答復(fù)接收模塊104可以響應(yīng)于傳輸經(jīng)數(shù)字簽名的原始認(rèn)證消息240來接收認(rèn)證答復(fù)252 ο此外��,如以上所討論的��,響應(yīng)于接收到來自衛(wèi)星設(shè)備200在嘗試連接到網(wǎng)絡(luò)中的網(wǎng)絡(luò)訪問請求�����,聚合設(shè)備100可以具有初始傳輸?shù)脑颊J(rèn)證消息240��。
[0054]尤其�,認(rèn)證答復(fù)252包括在其自身內(nèi)嵌入和簽名的原始認(rèn)證消息240。通過對原始認(rèn)證消息240進(jìn)行簽名�,衛(wèi)星設(shè)備200可以確保聚合設(shè)備100在接收到認(rèn)證答復(fù)252之后并且向網(wǎng)絡(luò)管理服務(wù)器230轉(zhuǎn)發(fā)認(rèn)證答復(fù)252之前能夠不妨礙或干擾原始認(rèn)證消息240的內(nèi)容(即,因為聚合設(shè)備100沒有擁有衛(wèi)星設(shè)備200的公鑰或準(zhǔn)私有密鑰并且因此不能夠?qū)φJ(rèn)證答復(fù)252進(jìn)行解密)�����。
[0055]返回到圖3,在步驟320��,本文中描述的系統(tǒng)中的一個或多個系統(tǒng)可以向網(wǎng)絡(luò)管理服務(wù)器轉(zhuǎn)發(fā)認(rèn)證答復(fù)�����。例如��,轉(zhuǎn)發(fā)模塊106可以作為聚合設(shè)備100的部分向網(wǎng)絡(luò)管理服務(wù)器230轉(zhuǎn)發(fā)認(rèn)證答復(fù)252��。
[0056]如本文中使用的����,術(shù)語“網(wǎng)絡(luò)管理服務(wù)器”一般指代至少部分管理計算機網(wǎng)絡(luò)的任何服務(wù)器。具體地����,網(wǎng)絡(luò)管理服務(wù)器可以包括管理對網(wǎng)絡(luò)的訪問的集中式服務(wù)器?�?傮w上���,網(wǎng)絡(luò)管理服務(wù)器230可以維護(hù)用于聚合設(shè)備、衛(wèi)星設(shè)備和/或試圖訪問網(wǎng)絡(luò)的其他設(shè)備的公鑰并且使用這些公鑰(或如以上所討論的“準(zhǔn)私有”密鑰)來對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證并向它們授予網(wǎng)絡(luò)訪問權(quán)。
[0057]轉(zhuǎn)發(fā)模塊106可以以各種方式向網(wǎng)絡(luò)管理服務(wù)器230轉(zhuǎn)發(fā)認(rèn)證答復(fù)252���。在一些實施例中��,轉(zhuǎn)發(fā)模塊106可以在不增加引導(dǎo)內(nèi)容的情況下轉(zhuǎn)發(fā)認(rèn)證答復(fù)252���。在這些實施例中,網(wǎng)絡(luò)管理服務(wù)器230可以被配置為將以認(rèn)證答復(fù)252的格式被格式化的消息解釋為對應(yīng)的認(rèn)證答復(fù)����,從而觸發(fā)網(wǎng)絡(luò)管理服務(wù)器230嘗試使用對應(yīng)的公鑰對那些消息進(jìn)行解密。備選地�����,轉(zhuǎn)發(fā)模塊106可以附加解釋認(rèn)證答復(fù)252的性質(zhì)和/或請求網(wǎng)絡(luò)管理服務(wù)器230嘗試對包括嵌入的原始認(rèn)證消息240的認(rèn)證答復(fù)252進(jìn)行認(rèn)證的一個或多個引導(dǎo)消息或數(shù)據(jù)域����。返回圖4的示例,在步驟406��,步驟406可以對應(yīng)于方法300的步驟320���,聚合設(shè)備100內(nèi)的轉(zhuǎn)發(fā)模塊106可以向網(wǎng)絡(luò)管理服務(wù)器230轉(zhuǎn)發(fā)認(rèn)證答復(fù)252�����。
[0058]返回到圖3���,在步驟330��,本文中描述的系統(tǒng)中的一個或多個系統(tǒng)可以響應(yīng)于轉(zhuǎn)發(fā)驗證答復(fù)而從網(wǎng)絡(luò)管理服務(wù)器接收驗證消息��。所述驗證消息可以(A)包括由網(wǎng)絡(luò)管理服務(wù)器使用聚合設(shè)備的公鑰進(jìn)行解密的原始認(rèn)證消息�,并且(B)包括由網(wǎng)絡(luò)管理服務(wù)器使用衛(wèi)星設(shè)備的公鑰進(jìn)行解密的認(rèn)證答復(fù)�����,并且(C)由網(wǎng)絡(luò)管理服務(wù)器使用網(wǎng)絡(luò)管理服務(wù)器的私鑰進(jìn)行數(shù)字簽名�����。例如�,在步驟330���,驗證接收模塊108可以作為聚合設(shè)備100的部分接收圖2中示出的驗證消息260����。如本文中使用的�����,術(shù)語“驗證消息”一般指代從網(wǎng)絡(luò)管理服務(wù)器接收到的消息���,��,所述消息包括以解密的形式的原始認(rèn)證消息和認(rèn)證答復(fù)兩者����,從而如下面進(jìn)一步討論的對對應(yīng)的聚合設(shè)備和衛(wèi)星設(shè)備進(jìn)行認(rèn)證或驗證����。
[0059]驗證接收模塊108可以以各種方式來接收驗證消息260?��?傮w上�,無論積極或消極�,驗證接收模塊108可以接收網(wǎng)絡(luò)管理服務(wù)器230基于對認(rèn)證答復(fù)252進(jìn)行解密的進(jìn)一步嘗試對聚合設(shè)備100和/或衛(wèi)星設(shè)備200進(jìn)行認(rèn)證的嘗試的結(jié)果。網(wǎng)絡(luò)管理服務(wù)器230可以使用聚合設(shè)備100的公鑰234和衛(wèi)星設(shè)備200的公鑰236來對認(rèn)證答復(fù)252進(jìn)行解密����。具體地,網(wǎng)絡(luò)管理服務(wù)器230可以首先使用聚合設(shè)備100的公鑰234來對認(rèn)證答復(fù)252進(jìn)行解密,在認(rèn)證答復(fù)252中嵌入了原始認(rèn)證消息240�����。接下來�,網(wǎng)絡(luò)管理服務(wù)器230可以使用聚合設(shè)備100的公鑰234來對嵌入在由衛(wèi)星設(shè)備200進(jìn)行簽名的認(rèn)證答復(fù)252內(nèi)的原始認(rèn)證消息240進(jìn)行解密����。
[0060]在一些示例中����,網(wǎng)絡(luò)管理服務(wù)器230可以基于在附加到認(rèn)證答復(fù)252的非加密內(nèi)容內(nèi)指示的原始認(rèn)證消息240和/或認(rèn)證答復(fù)252的作者的所聲稱的或名義的身份來選擇公鑰234和/或公鑰236。例如�����,網(wǎng)絡(luò)管理服務(wù)器230可以(例如��,在受信平臺232內(nèi))索引具有對應(yīng)的網(wǎng)絡(luò)設(shè)備的身份的公鑰���。換言之���,在一些示例中�����,聚合設(shè)備100和/或衛(wèi)星設(shè)備200可以將其身份的指示附加到原始認(rèn)證消息240和/或認(rèn)證答復(fù)252,從而指定網(wǎng)絡(luò)管理服務(wù)器230應(yīng)當(dāng)使用哪個公鑰來嘗試解密對應(yīng)的消息����。
[0061]在其中聚合設(shè)備100和/或衛(wèi)星設(shè)備200分別傳輸原始認(rèn)證消息240和/或認(rèn)證答復(fù)252的非加密版本的實施例中��,網(wǎng)絡(luò)管理服務(wù)器230可以將解密的結(jié)果與內(nèi)容的非加密版本進(jìn)行比較。備選地���,在一些示例中,如以上所討論的���,原始認(rèn)證消息240和/或認(rèn)證答復(fù)252的經(jīng)解密的版本可以指定網(wǎng)絡(luò)設(shè)備名或標(biāo)識符,網(wǎng)絡(luò)管理服務(wù)器230可以檢查所述網(wǎng)絡(luò)設(shè)備姓名或標(biāo)識符以看其是否與用于解密對應(yīng)消息的公鑰匹配���。
[0062]網(wǎng)絡(luò)管理服務(wù)器230可以單獨地向聚合設(shè)備100傳輸驗證消息260���。在這種情況下��,聚合設(shè)備100可以被配置為單獨地將對驗證消息260的接收解釋為對聚合設(shè)備100和衛(wèi)星設(shè)備200兩者的認(rèn)證�。換言之,驗證消息260指示網(wǎng)絡(luò)管理服務(wù)器230擁有用于對來自聚合設(shè)備100和/或衛(wèi)星設(shè)備200的消息進(jìn)行解密的對應(yīng)公鑰��,因為驗證消息260包括來自這些設(shè)備的消息的經(jīng)解密的版本(例如�,如以上所討論的�,在原始認(rèn)證消息240和認(rèn)證答復(fù)252沒有與其內(nèi)容的非加密副本一起被傳輸?shù)那闆r下)�。額外地或備選地��,驗證消息260指示網(wǎng)絡(luò)管理服務(wù)器230信任聚合設(shè)備100和/或衛(wèi)星設(shè)備200�,因為網(wǎng)絡(luò)管理服務(wù)器230使用其私鑰對驗證消息260進(jìn)行了數(shù)字簽名。類似地���,聚合設(shè)備100和/或衛(wèi)星設(shè)備200可以信任驗證消息260真正地由網(wǎng)絡(luò)管理服務(wù)器230授權(quán),因為網(wǎng)絡(luò)管理服務(wù)器230對驗證消息260進(jìn)行了數(shù)字簽名����,其他設(shè)備能夠證明這一點,因為它們使用其公鑰的副本對驗證消息260進(jìn)行解密���。在圖4的示例中,驗證接收模塊108可以在步驟408從網(wǎng)絡(luò)管理服務(wù)器230接收驗證消息260,步驟408可以對應(yīng)于方法300中的步驟330��。
[0063]返回到圖3���,在步驟340,本文中描述的系統(tǒng)中的一個或多個系統(tǒng)可以至少部分基于接收到驗證消息來對衛(wèi)星設(shè)備進(jìn)行認(rèn)證�����。例如��,認(rèn)證模塊110可以作為聚合設(shè)備100的一部分至少部分基于接收到驗證消息260來對衛(wèi)星設(shè)備200進(jìn)行認(rèn)證�。如本文中使用的,詞語對設(shè)備進(jìn)行“認(rèn)證” 一般指代如以上所討論的在諸如經(jīng)修改的或未經(jīng)修改的802.1BR和/或802.1AR認(rèn)證握手的計算網(wǎng)絡(luò)協(xié)議的上下文內(nèi)建立與對應(yīng)設(shè)備的受信網(wǎng)絡(luò)連接���。
[0064]認(rèn)證模塊110可以以各種方式對衛(wèi)星設(shè)備200進(jìn)行認(rèn)證。在一些示例中,認(rèn)證模塊110可以從嘗試對衛(wèi)星設(shè)備200進(jìn)行認(rèn)證的模式切換到允許衛(wèi)星設(shè)備200使用聚合設(shè)備100作為中介節(jié)點來訪問計算網(wǎng)絡(luò)的模式(例如,代替丟棄��、阻塞、和/或抑制來自衛(wèi)星設(shè)備200的普通網(wǎng)絡(luò)分組)��。在進(jìn)一步的示例中,認(rèn)證模塊110可以通過完成安全的連接握手和/或傳輸用于進(jìn)一步的網(wǎng)絡(luò)通信的對稱加密密鑰來對衛(wèi)星設(shè)備200進(jìn)行認(rèn)證���。
[0065]尤其�����,模塊106-110中的任何一個或多個模塊可以向衛(wèi)星設(shè)備200轉(zhuǎn)發(fā)驗證消息260���。在圖4的示例中,在步驟410,模塊106-110中的一個或多個模塊可以向衛(wèi)星設(shè)備200轉(zhuǎn)發(fā)驗證消息260��。然后����,衛(wèi)星設(shè)備200可以以與在方法300的步驟340處聚合設(shè)備100怎樣對衛(wèi)星設(shè)備200進(jìn)行認(rèn)證平行的方式基于接收到驗證消息260來對聚合設(shè)備100進(jìn)行認(rèn)證。具體地��,衛(wèi)星設(shè)備200可以基于網(wǎng)絡(luò)管理服務(wù)器230對原始認(rèn)證消息240進(jìn)行解密的被證明的能力和/或基于對驗證消息260進(jìn)行數(shù)字簽名的網(wǎng)絡(luò)管理服務(wù)器230來對聚合設(shè)備100進(jìn)行認(rèn)證���,從而證實聚合設(shè)備100和衛(wèi)星設(shè)備200兩者都被網(wǎng)絡(luò)管理服務(wù)器230所信任����。換言之����,網(wǎng)絡(luò)管理服務(wù)器230可以被配置為使得服務(wù)器將僅僅對驗證消息進(jìn)行數(shù)字簽名以證實原始認(rèn)證消息和認(rèn)證答復(fù)兩者的作者被信任�。
[0066]在以上示例中,所公開的裝置和方法可以使得網(wǎng)絡(luò)管理服務(wù)器和/或網(wǎng)絡(luò)管理員(或?qū)?yīng)網(wǎng)絡(luò)管理模塊)能夠通過將密鑰集中在網(wǎng)絡(luò)管理服務(wù)器內(nèi)而非將其冗余副本填充在多個聚合設(shè)備和/或衛(wèi)星設(shè)備內(nèi)來更有效地管理非對稱加密密鑰對。此外,如以上所討論的���,所公開的裝置和方法可以消除對繁瑣的證書授權(quán)機構(gòu)和/或公鑰基礎(chǔ)架構(gòu)的使用���。
[0067]然而�����,在備選實施例中,網(wǎng)絡(luò)管理服務(wù)器和/或網(wǎng)絡(luò)管理員可以充當(dāng)證書授權(quán)機構(gòu)�。具體地,在當(dāng)網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)管理服務(wù)器例如通過創(chuàng)建新LDEVID來供應(yīng)非對稱加密密鑰對時的初始時間段期間���,網(wǎng)絡(luò)管理員和/或網(wǎng)絡(luò)管理服務(wù)器可以簡單地對用于聚合設(shè)備和/或衛(wèi)星設(shè)備的公鑰證書進(jìn)行簽名����。然后��,這些設(shè)備可以在它們嘗試建立受信網(wǎng)絡(luò)連接時將這些公鑰證書發(fā)送給彼此和其他設(shè)備��。附加地或備選地�����,消息接收方可以從本地證書授權(quán)機構(gòu)(例如,網(wǎng)絡(luò)管理服務(wù)器230)和/或制造商證書授權(quán)機構(gòu)取得公鑰證書�����。這些公鑰證書(例如�����,使用網(wǎng)絡(luò)管理員和/或充當(dāng)證書授權(quán)機構(gòu)的網(wǎng)絡(luò)管理服務(wù)器的私鑰進(jìn)行數(shù)字簽名的DEVID X.509公鑰證書)的接收方可以通過將對于網(wǎng)絡(luò)管理員和/或網(wǎng)絡(luò)管理服務(wù)器可廣泛獲得的公鑰來對證書進(jìn)行認(rèn)證����。例如,在圖2的示例中�,聚合設(shè)備100和衛(wèi)星設(shè)備200兩者都已經(jīng)包含網(wǎng)絡(luò)管理服務(wù)器的公鑰的相應(yīng)的副本����。這些設(shè)備中的每個設(shè)備可以使用所述公鑰對從其他設(shè)備接收到的公鑰證書進(jìn)行認(rèn)證,從而確保(如在公鑰證書內(nèi)指定的)針對每個設(shè)備的公鑰實際上對應(yīng)于傳輸設(shè)備。在這些示例中�����,聚合設(shè)備和衛(wèi)星設(shè)備可以在不與網(wǎng)絡(luò)管理服務(wù)器聯(lián)系的情況下對彼此進(jìn)行認(rèn)證����。
[0068]圖5是能夠?qū)嵤┍疚闹忻枋龊?或圖示的實施例中的一個或多個實施例和/或結(jié)合本文中描述和/或圖示的實施例中的一個或多個實施例使用的示例性計算系統(tǒng)500的框圖。在一些實施例中�,計算系統(tǒng)500的全部或部分可以單獨地或與其他元件組合地執(zhí)行結(jié)合圖5描述的步驟中的一個或多個步驟,或者是用于單獨地或與其他元件組合地執(zhí)行結(jié)合圖5描述的步驟中的一個或多個步驟的裝置。計算系統(tǒng)500的全部或部分還可以執(zhí)行本文中描述和/或圖示的任何其他步驟���、方法���、或過程�,或者是用于執(zhí)行和/或?qū)嵤┍疚闹忻枋龊?或圖示的任何其他步驟、方法、或過程的裝置���。在一個示例中,計算系統(tǒng)500可以包括來自圖1的裝置100���。
[0069]計算系統(tǒng)500廣泛地表示任何類型或形式的電力負(fù)載����,包括能夠執(zhí)行計算機可讀指令的單處理器或多處理器計算設(shè)備�����。計算系統(tǒng)500的示例包括但不限于:網(wǎng)絡(luò)設(shè)備(例如����,無線WLAN控制器��、主AP等)�、工作站、筆記本計算機����、客戶端側(cè)終端����、服務(wù)器、分布式計算系統(tǒng)����、移動設(shè)備�����、網(wǎng)絡(luò)交換機�、網(wǎng)絡(luò)路由器(例如�����,骨干路由器����、邊緣路由器�、核心路由器、移動服務(wù)路由器�、寬帶路由器)����、網(wǎng)絡(luò)設(shè)備(例如��,網(wǎng)絡(luò)安全設(shè)備�����、網(wǎng)絡(luò)控制設(shè)備、網(wǎng)絡(luò)計時設(shè)備、SSL VPN(安全套接字層虛擬專用網(wǎng)絡(luò))設(shè)備等)���、網(wǎng)絡(luò)控制器��、網(wǎng)關(guān)(例如�����,服務(wù)網(wǎng)關(guān)、移動分組網(wǎng)關(guān)、多路接入網(wǎng)關(guān)����、安全網(wǎng)關(guān)等)��、和/或任何其他類型或形式的計算系統(tǒng)或設(shè)備�。
[0070]計算系統(tǒng)500可以被編程��、被配置、和/或被設(shè)計為符合一個或多個網(wǎng)絡(luò)協(xié)議���。根據(jù)某些實施例�,計算系統(tǒng)500可以被設(shè)計為對開放式系統(tǒng)互連(OSI)參考模型的一個或多個層有效的協(xié)議����,諸如物理層協(xié)議��、鏈路層協(xié)議�����、網(wǎng)絡(luò)層協(xié)議�����、傳輸層協(xié)議��、會話層協(xié)議�����、表示層協(xié)議和/或應(yīng)用層協(xié)議���。例如��,計算系統(tǒng)500可以包括根據(jù)以下協(xié)議配置的網(wǎng)絡(luò)設(shè)備:通用串行總線(USB)協(xié)議、電氣和電子工程師學(xué)會(IEEE) 1394協(xié)議、以太網(wǎng)協(xié)議��、Tl協(xié)議���、同步光學(xué)網(wǎng)絡(luò)(SONET)協(xié)議��、同步數(shù)字系列(SDH)協(xié)議���、綜合服務(wù)數(shù)字網(wǎng)絡(luò)(ISDN)協(xié)議��、異步傳輸模式(ATM)協(xié)議�、點對點協(xié)議(PPP)、以太網(wǎng)上的點對點協(xié)議(PPPoE)、ATM上的點對點協(xié)議(PPPoA)���、藍(lán)牙協(xié)議���、IEEE 802.XX協(xié)議����、幀中繼協(xié)議、令牌環(huán)協(xié)議��、生成樹協(xié)議���、和/或任何其他合適的協(xié)議。
[0071]計算系統(tǒng)500可以包括各種網(wǎng)絡(luò)和/或計算部件��。例如�,計算系統(tǒng)500可以包括至少一個處理器514和系統(tǒng)存儲器516。處理器514 —般表示能夠處理數(shù)據(jù)或解譯并執(zhí)行指令的任何類型或形式的處理單元��。例如��,處理器514可以表示專用集成電路(ASIC)�、片上系統(tǒng)(例如,網(wǎng)絡(luò)處理器)、硬件加速器�����、通用處理器���、和/或任何其他合適的處理元件����。
[0072]處理器514可以根據(jù)以上討論的網(wǎng)絡(luò)協(xié)議中的一個或多個網(wǎng)絡(luò)協(xié)議來處理數(shù)據(jù)。例如��,處理器514可以執(zhí)行或?qū)嵤﹨f(xié)議棧的部分���,可以處理分組���,可以執(zhí)行存儲操作(例如,對分組進(jìn)行排對以用于稍后處理)����,可以執(zhí)行終端用戶應(yīng)用,和/或可以執(zhí)行任何其他處理任務(wù)���。
[0073]系統(tǒng)存儲器516—般表示能夠存儲數(shù)據(jù)和/或其他計算機可讀指令的任何類型或形式的易失性或非易失性存儲設(shè)備或介質(zhì)�。系統(tǒng)存儲器516的示例包括但不限于:隨機訪問存儲器(RAM)�����、只讀存儲器(ROM)���、閃速存儲器�����、或任何其他合適的存儲設(shè)備�����。盡管不被要求���,但是在特定實施例中��,計算系統(tǒng)500可以包括易失性存儲單元(例如��,系統(tǒng)存儲器516)和非易失性存儲單元(例如��,如下面更詳細(xì)描述的主存儲設(shè)備532)�����。系統(tǒng)存儲器516可以在網(wǎng)絡(luò)設(shè)備中被實施為共享存儲器和/或分布式存儲器�����。另外���,系統(tǒng)存儲器516可以存儲在網(wǎng)絡(luò)操作中使用的分組和/或其他信息�����。
[0074]在某些實施例中��,示例性計算系統(tǒng)500還可以包括除了處理器514和系統(tǒng)存儲器516之外的一個或多個部件或元件���。例如,如圖5所示�,計算系統(tǒng)500可以包括存儲器控制器518、輸入/輸出(I/O)控制器520以及通信接口 522���,其中的每個可以經(jīng)由通信基礎(chǔ)架構(gòu)512相互連接����。通信基礎(chǔ)架構(gòu)512 —般表示能夠促進(jìn)在計算設(shè)備的一個或多個部件之間的通信的任何類型或形式的基礎(chǔ)架構(gòu)��。通信基礎(chǔ)架構(gòu)512的示例包括但不限于:通信總線(例如���,串行ATA(SATA)����、工業(yè)標(biāo)準(zhǔn)架構(gòu)(ISA)、外圍部件互連(PCI)���、PCI快速(PCIe)和/或任何其他合適的總線)�、以及網(wǎng)絡(luò)��。
[0075]存儲器控制器518 —般表示能夠處理存儲器或數(shù)據(jù)或者控制在計算系統(tǒng)500中的一個或多個部件之間的通信的任何類型或形式的設(shè)備�����。例如�����,在特定實施例中��,存儲器控制器518可以控制經(jīng)由通信基礎(chǔ)架構(gòu)512在處理器514���、系統(tǒng)存儲器516���、以及I/O控制器520之間的通信�����。在一些實施例中,存儲器控制器518可以包括可以向鏈路適配器或者從鏈路適配器傳送數(shù)據(jù)(例如��,分組)的直接存儲器訪問(DMA)單元���。
[0076]I/O控制器520 —般表示能夠協(xié)調(diào)和/或控制計算設(shè)備的輸入和輸出功能的任何類型或形式的設(shè)備或模塊��。例如�,在某些實施例中��,I/O控制器520可以控制或促進(jìn)數(shù)據(jù)在計算系統(tǒng)500的諸如處理器514���、系統(tǒng)存儲器516�����、通信接口 522����、以及存儲接口 530的一個或多個元件之間的傳輸。
[0077]通信接口 522廣泛地表示能夠促進(jìn)在示例性計算系統(tǒng)500與一個或多個附加的設(shè)備之間的通信的任何類型或形式的通信設(shè)備或適配器��。例如��,在某些實施例中�,通信接口522可以促進(jìn)在計算系統(tǒng)500與包括附加的計算系統(tǒng)的專用網(wǎng)絡(luò)或公共網(wǎng)絡(luò)之間的通信。通信接口 522的示例包括但不限于:鏈路適配器����、有線網(wǎng)絡(luò)接口(例如網(wǎng)絡(luò)接口卡)、無線網(wǎng)絡(luò)接口(例如無線網(wǎng)絡(luò)接口卡)����、以及任何其他合適的接口。在至少一個實施例中��,通信接口 522可以經(jīng)由到諸如因特網(wǎng)的網(wǎng)絡(luò)的直接鏈路來提供到遠(yuǎn)程服務(wù)器的直接連接�����。通信接口 522還可以通過例如局域網(wǎng)(例如以太網(wǎng))��、個人局域網(wǎng)���、廣域網(wǎng)�����、專用網(wǎng)絡(luò)(例如���,虛擬專用網(wǎng)絡(luò))����、電話或線纜網(wǎng)絡(luò)���、蜂窩電話連接、衛(wèi)星數(shù)據(jù)連接�����、或任何其他合適的連接間接地來提供這樣的連接���。
[0078]在某些實施例中����,通信接口 522還可以表示被配置為促進(jìn)經(jīng)由外部總線或通信信道在計算系統(tǒng)500與一個或多個附加的網(wǎng)絡(luò)或存儲設(shè)備之間的通信的主機適配器����。主機適配器的示例包括但不限于:小型計算機系統(tǒng)接口(SCSI)主機適配器、通用串行總線(USB)主機適配器、IEEE 1394主機適配器�、高級技術(shù)附加裝置(ATA)、并行ATA (PATA)��、串行(SATA)以及外部SATA(eSATA)主機適配器�����、光纖信道接口適配器��、以太網(wǎng)適配器等����。通信接口 522還可以使得計算系統(tǒng)500能夠參與到分布式計算或遠(yuǎn)程計算中。例如�����,通信接口522可以從遠(yuǎn)程設(shè)備接收指令或者向遠(yuǎn)程設(shè)備發(fā)送指令以用于執(zhí)行��。
[0079]如圖5所示����,示例性計算系統(tǒng)500還可以包括經(jīng)由存儲接口 530耦合到通信基礎(chǔ)架構(gòu)512的主存儲設(shè)備532和/或備份存儲設(shè)備534。存儲設(shè)備532和534 —般表示能夠存儲數(shù)據(jù)和/或其他計算機可讀指令的任何類型或形式的存儲設(shè)備或介質(zhì)���。例如���,存儲設(shè)備532和534可以表示磁盤驅(qū)動器(例如����,所謂的硬盤驅(qū)動器)�、固態(tài)驅(qū)動器、軟盤驅(qū)動器���、磁帶驅(qū)動器、光盤驅(qū)動器��、閃速驅(qū)動器等���。存儲接口 530 —般表示用于在存儲設(shè)備532和534與計算系統(tǒng)500的其他部件之間傳送數(shù)據(jù)的任何類型或形式的接口或設(shè)備����。
[0080]在特定實施例中���,存儲設(shè)備532和534尅被配置為從可移動存儲單元讀取和/或?qū)懭氲娇梢苿哟鎯卧?,所述可移動存儲單元被配置為存儲計算機軟件����、數(shù)據(jù)或其他計算機可讀信息����。合適的可移動存儲單元的示例包括但不限于��,軟盤�����、磁帶���、光盤���、閃速存儲設(shè)備等等。存儲設(shè)備532和534還可以包括用于允許計算機軟件�����、數(shù)據(jù)或其他計算機可讀指令被加載到計算系統(tǒng)500中的其他類似的結(jié)構(gòu)或設(shè)備�。例如,存儲設(shè)備532和534可以被配置為讀取和寫入軟件����、數(shù)據(jù)�、或其他計算機可讀信息���。存儲設(shè)備532和534可以是計算系統(tǒng)500的一部分或可以是通過其他接口系統(tǒng)訪問的單獨的設(shè)備�。
[0081]許多其他設(shè)備或子系統(tǒng)可以連接到計算系統(tǒng)500�����。相反地�����,圖5中圖示的所有部件和設(shè)備不必需被呈現(xiàn)以實踐本文中所描述和/或所圖示的實施例��。以上提及的設(shè)備和子系統(tǒng)也可以以與圖5中示出的設(shè)備和子系統(tǒng)不同的方式相互連接��。計算系統(tǒng)500也可以采用任何數(shù)目的軟件�、固件和/或硬件配置����。例如,本文中公開的示例性實施例中的一個或多個可以被編碼為在計算機可讀介質(zhì)上的計算機程序(也稱為計算機軟件��、軟件應(yīng)用�����、計算機可讀指令、或計算機控制邏輯)��。術(shù)語“計算機可讀介質(zhì)” 一般是指能夠存儲或承載計算機可讀指令的任何形式的設(shè)備����、載體、或介質(zhì)���。計算機可讀介質(zhì)的示例包括但不限于:諸如載波的傳輸型介質(zhì)��、以及諸如磁性存儲介質(zhì)(例如�,硬磁盤驅(qū)動器和軟盤)��、光存儲介質(zhì)(例如��,緊湊盤(CD)和數(shù)字視頻盤(DVD))��、電子存儲介質(zhì)(例如���,固態(tài)驅(qū)動器和閃速介質(zhì))的非瞬態(tài)型介質(zhì)�、以及其他分布系統(tǒng)��。
[0082]盡管前面的公開使用特定框圖、流程圖����、以及示例闡述各種實施例,但是本文中描述和/或說明的每個框圖�、部件、流程圖的步驟��、操作�����、和/或部件可以使用廣泛的硬件����、軟件、或固件(或其任何組合)配置單獨地和/或聯(lián)合地被實施��。另外�,在其他部件內(nèi)包含的部件的任何公開應(yīng)當(dāng)被認(rèn)為實際上是示范性的�����,因為許多其他體系結(jié)構(gòu)能夠被實施以實現(xiàn)相同的功能���。
[0083]在一些示例中���,圖1中的聚合設(shè)備00的全部或一部分可以表示云計算和基于網(wǎng)絡(luò)的環(huán)境的部分�。云計算和基于網(wǎng)絡(luò)的環(huán)境可以經(jīng)由因特網(wǎng)提供各種服務(wù)和應(yīng)用�。這些云計算和基于網(wǎng)絡(luò)的服務(wù)(例如,軟件即服務(wù)��、平臺即服務(wù)���、基礎(chǔ)架構(gòu)即服務(wù)等)可以通過網(wǎng)頁瀏覽器或其他遠(yuǎn)程接口可訪問�。本文中描述的各種功能還可以提供網(wǎng)絡(luò)交換能力�、網(wǎng)關(guān)接入能力、網(wǎng)絡(luò)安全功能�����、針對網(wǎng)絡(luò)的內(nèi)容高速緩存和遞送服務(wù)����、網(wǎng)絡(luò)控制服務(wù)、和/或其他聯(lián)網(wǎng)功能��。
[0084]另外,本文中描述的所述模塊中的一個或多個可以將數(shù)據(jù)�、物理設(shè)備、和/或物理設(shè)備的表示從一種形式轉(zhuǎn)變到另一種形式�����。例如���,本文中敘述的所述模塊中的一個或多個可以接收要被變換的網(wǎng)絡(luò)消息�����、通過地網(wǎng)絡(luò)消息進(jìn)行修改�����、封裝���、數(shù)字簽名、和/或解密來變換網(wǎng)絡(luò)消息����、將所述變換的結(jié)果輸出到接收方網(wǎng)絡(luò)設(shè)備、使用所述變換的結(jié)果來對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證并保護(hù)終端用戶的安全性��、并且將所述變換的結(jié)果存儲到存儲設(shè)備或存儲器�。額外地或備選地,本文中敘述的所述模塊中的一個或多個可以通過運行在計算設(shè)備上����、將數(shù)據(jù)存儲在計算設(shè)備上、和/或以其他方式與計算設(shè)備交互來將處理器�����、易失性存儲器����、非易失性存儲器、和/或物理計算設(shè)備的任何其他部分從一種形式轉(zhuǎn)變到另一種形式�。
[0085]本文中描述和/或圖示的過程參數(shù)和步驟的順序僅僅通過舉例的方式給出并且能夠根據(jù)需要而變化。例如��,盡管本文中描述和/或圖示的步驟可以以特定順序被示出或被討論��,但是這些步驟無需以圖示或討論的順序執(zhí)行���。本文中描述和/或圖示的各種示例性方法也可以省略本文中描述和/或圖示的步驟中的一個或多個步驟或包括除了公開的那些步驟之外的步驟����。
[0086]已經(jīng)提供了前面的描述以使得本領(lǐng)域技術(shù)人員能夠最好地利用本文中公開的示例性實施例的各個方面。該示例性描述并不旨在窮舉或限于所公開的任何精確形式��。在不偏離本公開寧日的精神和范圍的情況下能夠進(jìn)行許多修改和變型�。本文中公開的實施例應(yīng)當(dāng)在各方面被認(rèn)為是說明性的而非限制性的。在確定本公開內(nèi)容的范圍時應(yīng)當(dāng)參考所附的權(quán)利要求書及其等價物�����。
[0087]除非另行指出�����,如在本說明書和權(quán)利要求書中使用的��,術(shù)語“連接到”和“耦合到”應(yīng)被解釋為允許(即�����,經(jīng)由其他元件或部件)直接連接和間接連接兩種�。另外,如在本說明書和權(quán)利要求書中使用的術(shù)語“一”或“一個”不應(yīng)被解釋為指“至少一個”��。最后����,為了便于使用����,如在本說明書和權(quán)利要求書中使用的術(shù)語“包含”和“具有”(以及其衍生詞)可與詞語“包含”互換并且具有與詞語“包含”相同的含義���。
【主權(quán)項】
1.一種聚合設(shè)備,包括: 答復(fù)接收模塊�����,所述答復(fù)接收模塊被存儲在存儲器中�,所述答復(fù)接收模塊從衛(wèi)星設(shè)備接收認(rèn)證答復(fù),所述認(rèn)證答復(fù): 包括由所述聚合設(shè)備使用所述聚合設(shè)備的私鑰進(jìn)行數(shù)字簽名的原始認(rèn)證消息�;并且 由所述衛(wèi)星設(shè)備使用所述衛(wèi)星設(shè)備的私鑰進(jìn)行數(shù)字簽名; 轉(zhuǎn)發(fā)模塊����,所述轉(zhuǎn)發(fā)模塊被存儲在存儲器中,所述轉(zhuǎn)發(fā)模塊向網(wǎng)絡(luò)管理服務(wù)器轉(zhuǎn)發(fā)所述認(rèn)證答復(fù)�; 驗證接收模塊,所述驗證接收模塊被存儲在存儲器中�����,所述驗證接收模塊響應(yīng)于轉(zhuǎn)發(fā)所述認(rèn)證答復(fù)來從所述網(wǎng)絡(luò)管理服務(wù)器接收驗證消息�����,所述驗證消息: 包括由所述網(wǎng)絡(luò)管理服務(wù)器使用所述聚合設(shè)備的公鑰進(jìn)行解密的所述原始認(rèn)證消息; 包括由所述網(wǎng)絡(luò)管理服務(wù)器使用所述衛(wèi)星設(shè)備的公鑰進(jìn)行解密的所述認(rèn)證答復(fù);并且由所述網(wǎng)絡(luò)管理服務(wù)器使用所述網(wǎng)絡(luò)管理服務(wù)器的私鑰進(jìn)行數(shù)字簽名�����;以及認(rèn)證模塊�,所述認(rèn)證模塊被存儲在存儲器中,所述認(rèn)證模塊至少部分基于接收到所述驗證消息來對所述衛(wèi)星設(shè)備進(jìn)行認(rèn)證�;以及 至少一個物理處理器,所述至少一個物理存儲器被配置為執(zhí)行所述答復(fù)接收模塊�����、所述轉(zhuǎn)發(fā)模塊�����、所述驗證接收模塊以及所述認(rèn)證模塊�。2.根據(jù)權(quán)利要求1所述的聚合設(shè)備,還包括簽名模塊����,所述簽名模塊被存儲在存儲器中,所述簽名模塊使用所述聚合設(shè)備的所述私鑰對所述原始認(rèn)證消息進(jìn)行數(shù)字簽名�����。3.根據(jù)權(quán)利要求2所述的聚合設(shè)備,其中所述答復(fù)接收模塊至少部分通過響應(yīng)于向所述衛(wèi)星設(shè)備傳輸經(jīng)數(shù)字簽名的所述原始認(rèn)證消息而從所述衛(wèi)星設(shè)備接收所述認(rèn)證答復(fù)來從所述衛(wèi)星設(shè)備接收所述認(rèn)證答復(fù)�。4.根據(jù)權(quán)利要求1所述的聚合設(shè)備,其中所述原始認(rèn)證消息包括所述聚合設(shè)備的安全設(shè)備標(biāo)識符���。5.根據(jù)權(quán)利要求4所述的聚合設(shè)備,其中所述安全設(shè)備標(biāo)識符對應(yīng)于以下的安全設(shè)備標(biāo)識符: 向所述聚合設(shè)備指派的所述聚合設(shè)備的制造商�;并且 利用所述制造商的私鑰被簽名以驗證所述聚合設(shè)備的所述聚合設(shè)備的所述制造商。6.根據(jù)權(quán)利要求1所述的聚合設(shè)備���,其中以下的至少一項成立: 所述聚合設(shè)備將所述聚合設(shè)備的所述私鑰存儲在受信平臺模塊內(nèi)����,所述受信平臺模塊包括安全加密處理器����,所述安全加密處理器通過將至少一個加密密鑰集成到所述聚合設(shè)備中來使所述聚合設(shè)備安全;以及 所述衛(wèi)星設(shè)備將所述衛(wèi)星設(shè)備的所述私鑰存儲在受信平臺模塊內(nèi)���,所述受信平臺模塊包括安全加密處理器��,所述安全加密處理器通過將至少一個加密密鑰集成到所述衛(wèi)星設(shè)備中來使所述衛(wèi)星設(shè)備安全���。7.根據(jù)權(quán)利要求1所述的聚合設(shè)備���,其中: 所述網(wǎng)絡(luò)管理服務(wù)器包括受信平臺模塊,所述受信平臺模塊包括安全加密處理器�����,所述安全加密處理器通過將至少一個加密密鑰集成到所述網(wǎng)絡(luò)管理服務(wù)器中來使所述網(wǎng)絡(luò)管理服務(wù)器安全�;以及 所述網(wǎng)絡(luò)管理服務(wù)器將所述聚合設(shè)備的所述公鑰和所述衛(wèi)星設(shè)備的所述公鑰存儲在所述受信平臺模塊內(nèi)。8.根據(jù)權(quán)利要求1所述的聚合設(shè)備����,其中所述認(rèn)證模塊至少部分基于接收到所述驗證消息來建立與所述衛(wèi)星設(shè)備的受信網(wǎng)絡(luò)連接。9.根據(jù)權(quán)利要求1所述的聚合設(shè)備���,其中所述認(rèn)證答復(fù)包括所述衛(wèi)星設(shè)備的安全設(shè)備標(biāo)識符����。10.根據(jù)權(quán)利要求9所述的聚合設(shè)備�,其中所述安全設(shè)備標(biāo)識符根據(jù)802.1AR協(xié)議的版本而被格式化。11.一種方法����,包括: 從衛(wèi)星設(shè)備接收認(rèn)證答復(fù)��,所述認(rèn)證答復(fù): 包括由網(wǎng)絡(luò)內(nèi)的聚合設(shè)備使用所述聚合設(shè)備的私鑰進(jìn)行數(shù)字簽名的原始認(rèn)證消息���;并且 由所述衛(wèi)星設(shè)備使用所述衛(wèi)星設(shè)備的私鑰進(jìn)行數(shù)字簽名; 向網(wǎng)絡(luò)管理服務(wù)器轉(zhuǎn)發(fā)所述認(rèn)證答復(fù)��; 響應(yīng)于轉(zhuǎn)發(fā)所述認(rèn)證答復(fù)來從所述網(wǎng)絡(luò)管理服務(wù)器接收驗證消息�,所述驗證消息: 包括由所述網(wǎng)絡(luò)管理服務(wù)器使用所述聚合設(shè)備的公鑰進(jìn)行解密的所述原始認(rèn)證消息; 包括由所述網(wǎng)絡(luò)管理服務(wù)器使用所述衛(wèi)星設(shè)備的公鑰進(jìn)行解密的所述認(rèn)證答復(fù);并且 由所述網(wǎng)絡(luò)管理服務(wù)器使用所述網(wǎng)絡(luò)管理服務(wù)器的私鑰進(jìn)行數(shù)字簽名�����;以及 至少部分基于接收到所述驗證消息來對所述衛(wèi)星設(shè)備進(jìn)行認(rèn)證����。12.根據(jù)權(quán)利要求11所述的方法�,還包括使用所述聚合設(shè)備的所述私鑰對所述原始認(rèn)證消息進(jìn)行數(shù)字簽名。13.根據(jù)權(quán)利要求12所述的方法���,其中從所述衛(wèi)星設(shè)備接收所述認(rèn)證答復(fù)包括響應(yīng)于向所述衛(wèi)星設(shè)備傳輸經(jīng)數(shù)字簽名的所述原始認(rèn)證消息來從所述衛(wèi)星設(shè)備接收所述認(rèn)證答復(fù)����。14.根據(jù)權(quán)利要求11所述的方法�����,其中所述原始認(rèn)證消息包括所述聚合設(shè)備的安全設(shè)備標(biāo)識符。15.一種包括一條或多條計算機可讀指令的非瞬態(tài)計算機可讀介質(zhì)�����,所述一條或多條計算機可讀指令當(dāng)由計算設(shè)備的至少一個處理器執(zhí)行時�,使得所述計算設(shè)備: 從衛(wèi)星設(shè)備接收認(rèn)證答復(fù),所述認(rèn)證答復(fù): 包括由網(wǎng)絡(luò)內(nèi)的聚合設(shè)備使用所述聚合設(shè)備的私鑰進(jìn)行數(shù)字簽名的原始認(rèn)證消息����;并且 由所述衛(wèi)星設(shè)備使用所述衛(wèi)星設(shè)備的私鑰進(jìn)行數(shù)字簽名; 向網(wǎng)絡(luò)管理服務(wù)器轉(zhuǎn)發(fā)所述認(rèn)證答復(fù)����; 響應(yīng)于轉(zhuǎn)發(fā)所述認(rèn)證答復(fù)來從所述網(wǎng)絡(luò)管理服務(wù)器接收驗證消息,所述驗證消息: 包括由所述網(wǎng)絡(luò)管理服務(wù)器使用所述聚合設(shè)備的公鑰進(jìn)行解密的所述原始認(rèn)證消息; 包括由所述網(wǎng)絡(luò)管理服務(wù)器使用所述衛(wèi)星設(shè)備的公鑰進(jìn)行解密的所述認(rèn)證答復(fù)����;并且 由所述網(wǎng)絡(luò)管理服務(wù)器使用所述網(wǎng)絡(luò)管理服務(wù)器的私鑰進(jìn)行數(shù)字簽名;以及至少部分基于接收到所述驗證消息來對所述衛(wèi)星設(shè)備進(jìn)行認(rèn)證��。
【文檔編號】H04L29/06GK106027456SQ201510615899
【公開日】2016年10月12日
【申請日】2015年9月24日
【發(fā)明人】R·C·卡納卡拉簡, V·薩迪舍蒂
【申請人】瞻博網(wǎng)絡(luò)公司