專利名稱:確定設備之間的認證優(yōu)先權(quán)的系統(tǒng)及相關(guān)方法
技術(shù)領(lǐng)域:
本發(fā)明的實施例通常涉及通信系統(tǒng)安全,并且,更特別地涉及確定設備之間的認證優(yōu)先權(quán)的系統(tǒng)及相關(guān)方法。
背景技術(shù):
在通信系統(tǒng)中,通常需要或至少希望確認正在與之通信的遠程設備的身份。事實上,很多通信系統(tǒng)標準會要求通信中的用戶雙方認證彼此的身份。認證中的上述等級通常被稱為雙路、相互或雙向的認證。
實現(xiàn)上述相互認證的傳統(tǒng)方法需要使用至少兩個信息序列,第一個促使用戶A認證用戶B,第二個促使用戶B認證用戶A。然而,可能會有這樣的情況,用戶中的一個或更多個不想對其他用戶展示其身份,除非其他用戶先展示自己的身份。在這種情況下,可能永遠不會發(fā)生認證,并且失去了通信的機會。
通過實例而不是限定的方式圖解說明了本發(fā)明的實施例,在附圖中相同的附圖標記指示相同的部件,并且其中附圖1是通信環(huán)境的實例的方塊圖,其中可以實現(xiàn)本發(fā)明的講授;附圖2是根據(jù)本發(fā)明的僅僅一個示范性實施例的示范性安全代理的方塊圖,經(jīng)由其可以建立認證優(yōu)先權(quán);附圖3是根據(jù)本發(fā)明僅僅一個示范性實施例的用于確定認證優(yōu)先權(quán)的示范性方法的流程圖;附圖4是展示了根據(jù)一個示范性實施例的用于確定認證優(yōu)先權(quán)的方法的通信流程圖;附圖5是展示了根據(jù)一個示范性實施例的用于確定認證優(yōu)先權(quán)的方法的通信流程圖;附圖6是展示了根據(jù)一個示范性實施例的用于確定認證優(yōu)先權(quán)的方法的通信流程圖;而且附圖7是產(chǎn)品的示范性項目的方塊圖,其中包括內(nèi)容,當設備訪問該內(nèi)容時,該內(nèi)容促使設備實現(xiàn)本發(fā)明的一個或更多實施例的一個或更多方面。
具體實施例方式
這里一般地介紹了用于在設備之間確定認證優(yōu)先權(quán)的系統(tǒng)和相關(guān)方法的實施例。在這點上,根據(jù)本發(fā)明的僅僅一個示范性實施例的講授,引進了安全代理作為認證的預報器,有選擇地改變認證策略的至少一個子集。安全代理比較所接收到的遠程設備的認證策略的至少一個子集和本地認證策略的至少一個子集,以確定相關(guān)的認證優(yōu)先權(quán),也就是,哪個設備必須先向另一個設備認證。
涉及整個上述說明書的“一個實施例”或“實施例”意味著所描述的關(guān)于該實施例的特定特點、結(jié)構(gòu)或特征是包括在本發(fā)明的至少一個實施例中。因而,遍布本說明書不同地方的詞句“一個實施例中”或“實施例中”的出現(xiàn),并不一定都指的是相同的實施例。此外,在一個或多個實施例中,特定的特點、結(jié)構(gòu)或特征可能以任何適合的方式結(jié)合。
網(wǎng)絡環(huán)境的實例附圖1圖解說明了示例性通信環(huán)境的方塊圖,在該環(huán)境中可以實行本發(fā)明的實施例。根據(jù)附圖1所示的示例性實施例,兩個或更多設備102和104被描述為在經(jīng)由一個或更多無線通信信道106的可選的通信中。為了便于上述通信,設備102、104中的每個被描述為包括一個或更多收發(fā)器元件108、110,每個所述收發(fā)器元件包括至少一個發(fā)射器和至少一個接收器,然而本發(fā)明并不限于該方面。
根據(jù)本發(fā)明的講授,設備102、104中的一個或更多可以包括安全代理的實施例,例如112和/或114,以確定用于在設備之間認證的相關(guān)次序(即認證優(yōu)先權(quán))。根據(jù)一個示范性實施例,一個或更多安全代理112、114可以與遠程設備交換認證策略的至少一個子集,比較所接收到的認證信息(或者其子集)和本地認證策略的至少一個子集,并且至少部分基于比較結(jié)果,確定設備102、104中的哪個應該開始實際認證過程,該實施例將在后面更充分地描述。該認證策略的確定、以及解決認證策略沖突的機制的實例將在后面更充分地展開。
根據(jù)下面的描述,很明顯在本發(fā)明范圍內(nèi)的大量可選實施例的任何一個實施例中都可以很好地實現(xiàn)創(chuàng)新性的安全代理。實例的實現(xiàn)可以適當?shù)匕ㄔ诰W(wǎng)絡接口卡上的收發(fā)器(例如,在媒體訪問控制器(MAC)中,并未特別地示出)中的配置(例如,收發(fā)器110中的代理114),作為設備中的軟件應用設備(未特別地示出),或者作為對訪問設備來說可用的服務器(未特別地示出),然而本發(fā)明的范圍并不限于此方面。
本領(lǐng)域的技術(shù)人員將會理解,通信環(huán)境100可以適當?shù)乇硎救魏伪绢I(lǐng)域已知的多個有線或無線的通信和/或數(shù)據(jù)網(wǎng)絡。在這方面,如果沒有與創(chuàng)新性的安全代理的關(guān)聯(lián),設備102和設備104將會表示本領(lǐng)域包括的廣泛范圍的電子應用設備中的任意一個,而不限于無線通信設備(例如,蜂窩電話、個人通信設備等)、具有通信性能的計算設備(例如膝上型電腦、掌上型電腦、個人數(shù)字助理)、網(wǎng)絡基礎結(jié)構(gòu)裝備(基站、用戶站、網(wǎng)絡集線器、路由器等)等,或其中的任意組合。
類似的,如果沒有安全代理(參見,例如114)的可能性整合,收發(fā)器108和110意圖表示現(xiàn)有技術(shù)中廣泛范圍的任何收發(fā)器、或完全不同的發(fā)射器/接收器對中的任何一個。在這方面,該收發(fā)器可以適當?shù)赜蔁o線電頻率收發(fā)器元件、光學收發(fā)器元件、次RF電收發(fā)器等等,或者其中的任意組合構(gòu)成。類似地,通信信道106意圖表示根據(jù)收發(fā)器108、110的操作參數(shù)和特征所設置的一個或多個無線通信信道。
為了解說的方便,并且非限定性地,在無線通信系統(tǒng)應用的范圍內(nèi)展開創(chuàng)新性安全代理的示范性實施例,然而本發(fā)明的范圍并不限于該方面。更具體地,依照僅僅一個示范性實施例,根據(jù)電氣和電子工程師協(xié)會(IEEE)中的發(fā)展中的802.16標準,通信環(huán)境100可以表示為在基站(104)和一個或更多用戶站102之間的無線城域網(wǎng)(WMAN)通信環(huán)境。在這方面,收發(fā)器108、110可以表示對生成由新興802.6物理層(PHY)標準所定義的通信信道106來說是必需的收發(fā)器元件(發(fā)射器和/或接收器),然而本發(fā)明并不限于此(參見,例如,IEEE Std.802.16-2001.;用于本地和城域網(wǎng)的IEEE標準;篇16固定寬帶無線訪問系統(tǒng)的空中接口)。
安全代理體系結(jié)構(gòu)的實例附圖2示出了根據(jù)本發(fā)明僅一個示范性實施例的安全代理體系結(jié)構(gòu)200的實例的方塊圖。根據(jù)附圖2所示的示范性實施例,安全代理200如所述包括一個或更多個控制邏輯202、認證引擎204、存儲器206和一個或更多輸入/輸出(I/O)接口208,每個如圖所示地連接。
存儲器206如所述包括一個或更多個安全參數(shù)210、認證策略212,以及可選的,一個或更多個應用設備(例如,認證應用設備、安全應用設備、用戶接口或支持上述的任何通信應用設備)214??梢岳斫獍踩?00可以適當?shù)匾杂布④浖?、固件或其任意組合實現(xiàn)。此外,雖然被描述為很多分離的元件,本領(lǐng)域的技術(shù)人員可以理解,在本發(fā)明的范圍和實質(zhì)中可以預料到復雜性更高或更低、但是仍然在實際認證之前確定認證的相對優(yōu)先權(quán)的安全代理。
如這里所使用的,控制邏輯202可以控制安全代理200的全部操作。如下所述,響應于內(nèi)部或外部的刺激,邏輯控制202可以有選擇地調(diào)用認證引擎204的實例以確定相對的優(yōu)先權(quán)。在這方面,如果沒有其與安全代理200的創(chuàng)新性特征的相關(guān)聯(lián)的使用,邏輯控制202意圖表示廣泛范圍的邏輯控制中的任意一個,邏輯控制的范圍包括但不限于微處理器、控制器、現(xiàn)場可編程門陣列(FPGA)等等、實現(xiàn)上述功能的軟件,或其組合。
相似地,若不是存儲器206的使用是根據(jù)安全代理200的示范性實施例,存儲器206意圖表示廣泛范圍的存儲技術(shù)的任何一個,該存儲技術(shù)包括但不限于易失存儲器、非易失存儲器、可編程存儲器(例如,可變的等)、通信信道存儲器(例如傳播的信號等)等等,然而本發(fā)明不限于此方面。如這里使用的,安全參數(shù)210可以包括一個或更多個安全設置、安全策略、安全密鑰等等。根據(jù)本發(fā)明的一個實施例,安全參數(shù)210包括一個或更多個(例如,三個)密鑰,安全代理200在實現(xiàn)一個或更多個通信信息的3倍數(shù)據(jù)加密標準(3DES)密碼術(shù)時有選擇地使用該密鑰,然而本發(fā)明不限于此方面。
輸入輸出(I/O)接口208使能一個或更多個元件(202-206)與(例如,主機設備的)外部和/或遠程元件通信。根據(jù)一個示范性實施例,安全代理200可以與通過上述I/O接口208與本地收發(fā)器通信,以生成、發(fā)出和接收對于在該安全代理和該遠程設備之間確定認證優(yōu)先權(quán)來說是必需的一個或更多個信息。在這方面,I/O接口意圖表示技術(shù)領(lǐng)域中公知的很多種有線或無線通信接口中的任意一個。
認證引擎204可以被控制邏輯202有選擇地調(diào)用,以在本地設備和遠程設備之間確定相對的認證優(yōu)先權(quán)。在這方面,認證引擎204生成并且發(fā)出(例如,通過I/O接口208和相關(guān)聯(lián)的收發(fā)器)包括本地認證策略的至少一個子集的一個或更多個信息到遠程設備。根據(jù)一個示范性實施例,認證策略212可以與設備整體相關(guān)聯(lián),或者與設備中的個別代理/線程相關(guān)聯(lián)。
認證策略212可以包括表示認證優(yōu)先級的內(nèi)容,該認證優(yōu)先級表示本地設備是否需要遠程設備的優(yōu)先認證作為認證本地設備的先決條件(即,實質(zhì)上需要遠程設備先展示其身份)。根據(jù)一個示范性實施例,認證優(yōu)先權(quán)可以由單個比特表示(0)本地優(yōu)先權(quán),或者(1)遠程優(yōu)先權(quán)(或者隨意的)。該認證優(yōu)先權(quán)指示器可以適當?shù)厍度氡簧捎糜谙蜻h程設備傳送的信息(或數(shù)據(jù)報)的頭標題字段、安全字段、有效載荷字段或特殊的認證字段中。在可替換的實施例中,更高或更低復雜度的認證優(yōu)先權(quán)的指示可以適當?shù)卦诒景l(fā)明的范圍和實質(zhì)中使用。
根據(jù)一個示范性實施例,認證策略212還可以包括與發(fā)送設備相關(guān)的設備類別的指示。根據(jù)一個示范性實施例,設備類別的指示器(或有效位)可以用于解決設備之間的優(yōu)先權(quán)等級方面的任何沖突(即,兩個設備都宣稱自己具有高于對方的認證優(yōu)先權(quán))。在兩個認證策略(本地和遠程)都指示相同的認證優(yōu)先權(quán)等級的情況下,認證引擎204因而可以瀏覽與兩個設備相關(guān)的設備類別指示器,以解決該沖突。如上所述,可以適當?shù)厥褂脝蝹€比特標志符,例如(0)用于低有效位或(1)用于高有效位,然而本發(fā)明不限于此方面。在特定的實施例中,可以使用兩比特字段,其中一個比特與認證策略相關(guān)而另一個比特與設備的有效位相關(guān),然而本發(fā)明并不限于此方面。
對于某些內(nèi)部或外部的刺激,安全代理200可以有選擇地調(diào)用認證引擎204的實例,以確定至少兩個設備-本地設備和遠程設備之間的相對的認證優(yōu)先權(quán)。在此方面,認證引擎204可以生成并且發(fā)出包括本地認證策略212的至少一個子集的信息(或者數(shù)據(jù)報)到遠程設備。如這里所使用的,內(nèi)部和外部的刺激可以包括一個或更多個周期性的或隨機的指示,以完成來自主機設備的認證、來自遠程設備的信息(例如,廣播信標、無線電尋呼信號或顯像信號)接收等等。本地認證策略212的子集可以由通過一個或更多個通信信道(帶內(nèi)和/或帶外的)從本地設備發(fā)送到遠程設備的已生成的數(shù)據(jù)報(例如,信息包、字、字節(jié)等)的頭標題字段、安全字段、認證字段或有效負荷字段中的任何一個或多個來表示。
可能是響應認證引擎204所發(fā)出的信息,認證引擎204還可以從遠程設備接收信息(或數(shù)據(jù)報),其包括與遠程設備相關(guān)的認證策略的至少一個子集。對于從遠程設備接收到的認證策略的至少一個子集,認證引擎204可以比較該信息的內(nèi)容與本地認證策略212的至少一個子集,以確定設備之間相對的認證優(yōu)先權(quán)。根據(jù)一個實施例,認證引擎204可以比較一個或更多個認證優(yōu)先權(quán)的指示和可選的設備類別,以確定接下來哪個認證策略會控制雙向認證過程,也就是哪個設備將不得不開始認證,首先揭露自己的身份。
如這里所用到的,在認證策略212(例如,認證優(yōu)先權(quán)、設備類別等)和/或安全參數(shù)210內(nèi)的一個或更多個認證信息的確定和總數(shù)可以以任何方式的方向和時間發(fā)生。根據(jù)一個實施例,在設備的制造期間確定內(nèi)容(210,212)。根據(jù)一個實施例,安全參數(shù)210可以在制造期間被確定,而認證策略212可以由終端用戶(例如,管理員)建立,或反之亦然。上述的任何數(shù)量上的改變在本發(fā)明的實質(zhì)和范圍內(nèi)都是可預料的。
安全代理操作的實例已經(jīng)介紹了安全代理200的體系結(jié)構(gòu)和操作環(huán)境的示范性實施例,現(xiàn)在把注意力指向附圖3,其中展示了根據(jù)一個示范性實施例的、用于確定兩個或更多個設備之間的相對認證優(yōu)先權(quán)的示范性方法的流程圖。為了說明的方便,并且不是限定性的,附圖3的方法的展開在適當?shù)臅r候繼續(xù)引用附圖1和2。不過,顯而易見的是,附圖3的講授可以適當?shù)匾蕴鎿Q的體系結(jié)構(gòu)和/或通信環(huán)境實現(xiàn),而不背離本發(fā)明的實質(zhì)和范圍。
附圖3是根據(jù)本發(fā)明的一個示范性實施例的、用于確定兩個或更多個設備的相對認證優(yōu)先權(quán)的示范性方法的流程圖。根據(jù)附圖3所示的示范性實施例,該方法開始于塊302,其中第一設備102(例如,如上所述的WMAN范例中的用戶站)識別要與其建立通信的遠程設備104(例如,基站)。根據(jù)一個示范性實施例,該識別可以是從遠程設備104接收信標或無線電信號的結(jié)果??商鎿Q地,設備102可以時常決定去再)認證可訪問的設備(例如,104)。不管該動力是內(nèi)部或外部刺激的結(jié)果,設備102在實際認證開始之間,調(diào)用安全代理112的實例,以確定設備(102,104)之間的相對認證優(yōu)先權(quán)。
在塊304,安全代理112可以有選擇地開始與遠程設備104交換其自身認證策略212的至少一個子集。更具體地,如上所述,安全代理112的控制邏輯202可以調(diào)用認證引擎204的一個實例,以生成并向遠程設備發(fā)送信息,該信息包括認證策略的至少一個子集。根據(jù)一個示范性實施例,該信息可以包括認證信息,例如一個或更多個認證優(yōu)先權(quán)和/或與設備102相關(guān)的設備有效位。由認證引擎204生成的該信息經(jīng)由I/O接口208被傳送到相關(guān)的收發(fā)器108,最終至少傳送到遠程設備104。
在塊306中,安全代理112的認證引擎204可以比較與設備104相關(guān)的認證信息和本地認證策略信息,以鑒定哪個設備(102,或104)享有高于另一個設備的認證優(yōu)先權(quán)(即哪個設備必須開始認證,先公開自身的身份)。
更具體地,根據(jù)一個示范性實施例,認證引擎204可以從遠程設備104接收響應信息,該響應信息包括與遠程設備104的認證策略212的至少一個子集相關(guān)的認證信息(例如,認證優(yōu)先權(quán)、設備類別等)。本地設備102和/或遠程設備104兩者之一或兩者的認證引擎204響應認證信息的交換,可以確定是設備102的認證策略還是設備104的認證策略控制了哪個設備必須先認證。特別地,在一個或更多個設備102、104中的認證引擎204比較該認證信息,以確定是否上述設備中的一個具有更高的認證優(yōu)先權(quán)和/或設備類別。
根據(jù)一個實施例,如果來自兩個設備的認證信息享有共同的優(yōu)先權(quán),設備中的認證代理204可以通過設備有效位指示器的分析來打斷該“連接”。
示范性應用和實施例這里所描述的上述方法的示范性實施例是參照下面附圖4-6的通信流程圖的進一步闡述。特別地,下面的通信流程圖闡述了根據(jù)一個示范性WMAN實施方案的三個替換的方案。在第一個方案(附圖4)中,本地設備102(例如,用戶站)和遠程設備104(例如,基站)中的每一個都享有相同的認證優(yōu)先權(quán)等級。在第二個方案(附圖5)中,本地設備102具有較高的認證優(yōu)先權(quán)。第三個方案(附圖6)是代表這樣一種情形,其中本地設備102希望開始認證而不管遠程設備104的認證優(yōu)先權(quán)。
參照附圖4,通信流程圖展示了根據(jù)一個示范性實施例的用于確定認證優(yōu)先權(quán)的方法。如上所述,附圖4的通信流程圖是一種情形的代表,其中設備102、104中的每一個享有相同的認證優(yōu)先權(quán),也就是,兩個設備的認證策略都要求另一個設備開始認證(即首先揭示它的身份)。
如上所述,附圖4的過程開始于信息402的生成和發(fā)出,信息402包括與發(fā)送設備相關(guān)的認證策略的至少一個子集。根據(jù)一個實施例,該認證策略的子集包括認證信息,例如認證優(yōu)先權(quán)等級和/或設備類別信息的一個或者多個。根據(jù)一個示范性實施例,該發(fā)送設備是期望與基站104認證的用戶站102。
對于信息402的接收,遠程設備104中的安全代理114響應信息404,該信息404包括與遠程設備104相關(guān)的認證策略的至少一個子集。如上所述,該信息可以包括認證信息,該認證信息包括與遠程設備例如104相關(guān)的一個或更多個認證優(yōu)先權(quán)等級和/或設備類別信息。
對于從遠程設備104接收認證策略的至少一個子集,安全代理112調(diào)用認證引擎204的一個實例,以比較從遠程設備104接收到的認證信息和包括在本地認證策略中的認證信息。特別地,認證引擎204比較遠程設備104的認證優(yōu)先權(quán)等級和本地設備102的認證優(yōu)先權(quán)等級。類似地,遠程設備104中的安全代理114調(diào)用認證引擎204以獨立地執(zhí)行該分析并且識別哪個設備享有認證優(yōu)先權(quán)。根據(jù)該示范性方案,它們都是相同的(例如“0”),每個設備都要求另一個設備開始認證。根據(jù)示范性實施例,該過程可以在該點終止,而沒有后繼的認證過程-也就是一個僵局。
在可替換實施例中(由虛線表示的),如上所述,安全代理112、114中的認證引擎204沒有屈從現(xiàn)在的僵局,而是可以比較遠程設備和本地設備的設備類別指示,以解決該沖突。在該情況下,安全代理112、114至少部分基于較高的設備類別,確定本地設備102享有認證優(yōu)先權(quán),并且遠程設備用一個或更多個信息406開始認證過程。一旦遠程設備104被本地設備102認證,本地設備102通過發(fā)出一個或更多個認證信息408完成相互的認證。
附圖5是展示了根據(jù)一個示范性實施例的、用于確定認證優(yōu)先權(quán)的方法的通信流程圖。更具體地,如上所述,附圖5展示了一種情況,其中本地設備102享有比遠程設備104高的認證優(yōu)先權(quán)等級,要求該遠程設備開始認證過程(在本地設備對遠程設備104認證之前,對本地設備102認證其自身)。
簡單地說,如上所述,本地設備102生成并向遠程設備104發(fā)出信息502,該信息502包括與本地設備102相關(guān)的認證策略的至少一個子集。認證策略的子集可以包括一個或更多個認證優(yōu)先權(quán)等級和/或設備類別信息。在該實例中,設備104中的安全代理114調(diào)用認證引擎204的一個實例,以分析在所接收的信息中嵌入的認證策略的子集,并且確定設備102享有比設備104高的認證優(yōu)先權(quán)。因此,設備104在設備102之前開始認證信息504,因而完成與信息506的相互認證。
附圖6是展示了根據(jù)一個示范性實施例、用于確定認證優(yōu)先權(quán)的方法的流程圖。
更具體地,如上所述,附圖6表示了一種情形,其中本地設備102不要求遠程設備開始認證。在這種情況下,本地設備102可以生成并發(fā)出信息602,其包括在開始認證之前的認證策略212的至少一個子集,但是并不需要這樣做。換句話說,由于設備102的認證策略212并不要求遠程設備104的在先認證,本地設備102可以只根據(jù)其自身的協(xié)議開始認證,如信息604所表示的。如所示出的,在(或并行于)設備102對設備104的認證時,設備104生成并發(fā)送信息606以完成設備104到設備102的相互認證。
可替換實施例附圖7是示出了包括某個內(nèi)容的示范性存儲媒介的方塊圖,當該內(nèi)容被訪問時,會促使某個電子應用設備實現(xiàn)安全代理200和/或相關(guān)的方法300-600的一個或更多個方面。在此方面,存儲媒介700包括內(nèi)容702(例如,指令、數(shù)據(jù)或其任意組合),如上所述,當內(nèi)容702被執(zhí)行時會使得該應用設備實現(xiàn)安全代理200的一個或更多個方面。
機器可讀(存儲)媒介700可以包括但是不限于軟盤、光盤、CD-ROM和磁光盤、ROM、RAM、EPROM、EEPROM、磁或光卡、閃存或適用于存儲電指令的其他類型的媒體/機器可讀媒介。此外,本發(fā)明還可以作為計算機程序產(chǎn)品下載,其中該程序經(jīng)由通信線路(例如,調(diào)制解調(diào)器、無線或網(wǎng)絡連接)作為體現(xiàn)為載波或其他傳播媒介的數(shù)字信號從遠程計算機傳送到請求的計算機。
如上所述,為了解釋的目的,闡述了很多特定的細節(jié)以提供對本發(fā)明的詳盡理解。然而,對于本領(lǐng)域的技術(shù)人員來說顯而易見的是,沒有某些上述的特定細節(jié),本發(fā)明也可以實現(xiàn)。在其他實例中,公知的結(jié)構(gòu)和設備以方塊圖的形式示出。
本發(fā)明的實施例可以在多種應用設備中使用。雖然本發(fā)明并不限于該方面,在其他的電子的部件中,其中所公開的電路可以在微處理器、通用微處理器、數(shù)字信號處理器(DPS)、精簡指令集計算機(RISC)、復雜指令集計算機(CISC)中使用。然而,可以理解的是本發(fā)明的范圍并不限于上述實例。
本發(fā)明的實施例還可以包括在稱為磁心存儲器、高速緩沖存儲器或其他類型存儲器的集成電路模塊中,上述其他類型的存儲器存儲由微處理器執(zhí)行的電子的指令,或存儲可以在算術(shù)操作中使用的數(shù)據(jù)。通常,根據(jù)所聲明的主題使用多級多米諾邏輯的實施例可以為微處理器提供好處,而且特別地,可以被并入存儲器設備的地址解碼器。注意上述實施例可以被并入無線電系統(tǒng)或手持便攜式設備,尤其是當設備依賴于減少功耗時。因而,膝上型電腦、蜂窩無線電話通信系統(tǒng)、雙向無線電通信系統(tǒng)、單向?qū)ず魴C、雙向?qū)ず魴C、個人通信系統(tǒng)(PCS)、個人數(shù)字助理(PDA)、照相機和其他產(chǎn)品都可以包括在本發(fā)明的范圍內(nèi)。
本發(fā)明包括多種的操作。本發(fā)明的操作可以由硬件部件執(zhí)行,或可以包含在機器可執(zhí)行內(nèi)容(例如,指令)中,其可以用于使得通用或特殊用途處理器或者用指令編程的邏輯電路執(zhí)行該操作??商鎿Q地,該操作可以由硬件和軟件的組合來實現(xiàn)。此外,雖然在計算應用設備的范圍中描述了本發(fā)明,本領(lǐng)域的技術(shù)人員可以理解,上述功能可以在任意數(shù)量的可替換實施例中體現(xiàn),例如,整合在通信應用設備(例如,蜂窩電話)中。
很多方法是從它們最基本的形式來描述的,但是可以向上述方法中的任何一個添加操作,或從中刪除操作,并且可以向上述任一信息添加信息,或者從中減去信息,而不背離本發(fā)明的基本范圍。在本發(fā)明的范圍和實質(zhì)中可以預料到本發(fā)明內(nèi)容的任意數(shù)量的變化。在此方面,提供特定所述示范性實例不是為了限定本發(fā)明,而僅僅是為了解釋本發(fā)明。因此,本發(fā)明的范圍不能由上面所提供的特定實例確定,而只能由附屬的權(quán)利要求限定。
權(quán)利要求
1.一種方法,包括從遠程設備接收與認證策略相關(guān)的認證信息;比較所接收到的認證信息和與本地設備中的認證策略相關(guān)的認證信息;并且至少部分基于認證信息的比較結(jié)果,確定本地設備和遠程設備之間的認證優(yōu)先權(quán)。
2.如權(quán)利要求1所述的方法,其中認證信息包括與設備相關(guān)的優(yōu)先權(quán)等級的指示。
3.如權(quán)利要求2所述的方法,其中展示較高優(yōu)先權(quán)等級的認證策略將控制本地設備和遠程設備中的哪個設備開始認證。
4.如權(quán)利要求3所述的方法,其中認證信息還包括設備類別的指示,其中通過分析與本地設備和遠程設備相關(guān)的設備類別的指示,分辨設備之間優(yōu)先權(quán)等級中的聯(lián)系。
5.根據(jù)權(quán)利要求4所述的方法,其中設備類別的指示表示該設備是否是基站、用戶站和/或客戶站中的一個。
6.根據(jù)權(quán)利要求5所述的方法,其中基站具有比用戶站高的設備類別。
7.根據(jù)權(quán)利要求1所述的方法,還包括至少部分基于所確定的認證優(yōu)先權(quán),選擇遠程設備或本地設備中的一個以開始認證。
8.根據(jù)權(quán)利要求7的方法,還包括由所選擇的遠程設備或本地設備的一個來開始認證過程。
9.一個包括內(nèi)容的存儲媒體,當該內(nèi)容被電子應用設備訪問時,使得該電子應用設備執(zhí)行權(quán)利要求1所述的方法。
10.一個裝置,包括發(fā)射器,用于有選擇地與遠程設備通信;以及安全代理,用于與本地設備相關(guān)并且與發(fā)射器連接,從遠程設備接收與認證策略相關(guān)的認證信息,并且比較所接收的認證信息和與本地設備中的認證策略相關(guān)的認證信息,至少部分基于認證信息的比較結(jié)果,識別本地設備和遠程設備之間的相對認證優(yōu)先權(quán)。
11.根據(jù)權(quán)利要求10的裝置,該裝置還包括存儲器,其響應于安全代理,接收并且保持與一個設備相關(guān)的認證策略。
12.根據(jù)權(quán)利要求11的裝置,所述認證策略包括認證信息,該認證信息包括與該設備相關(guān)的認證優(yōu)先權(quán)等級的指示。
13.根據(jù)權(quán)利要求12的裝置,其中展示了較高的優(yōu)先權(quán)等級的認證策略將控制在本地設備和遠程設備之間的哪個設備開始認證。
14.根據(jù)權(quán)利要求13的裝置,該存儲器還包括認證策略中的設備類別的指示,其中通過與本地設備和遠程設備相關(guān)的設備類別的指示的比較結(jié)果,由安全代理分辨在設備之間的優(yōu)先權(quán)等級的聯(lián)系。
15.根據(jù)權(quán)利要求14的裝置,其中設備類別的指示表示該設備是否是基站、用戶站和/或客戶站中的一個。
16.根據(jù)權(quán)利要求15的裝置,其中基站具有比用戶站高的設備類別。
17.根據(jù)權(quán)利要求10的裝置,其中收發(fā)器有選擇地建立與遠程設備之間的通信信道,通過該通信信道,收發(fā)器接收與遠程設備相關(guān)的認證策略的至少一個子集。
18.根據(jù)權(quán)利要求17的裝置,其中收發(fā)器是無線收發(fā)器,并且其中通信信道是根據(jù)無線城域網(wǎng)(WMAN)通信標準的無線通信信道。
19.根據(jù)權(quán)利要求10的裝置,其中安全代理至少部分基于所確定的認證優(yōu)先權(quán),選擇遠程設備或本地設備中的一個來開始認證。
20.根據(jù)權(quán)利要求19的裝置,其中安全代理通過選擇的遠程設備或本地設備中的一個來開始認證過程。
21.一個系統(tǒng),包括一個或更多個偶級天線;收發(fā)器,用于響應一個或更多個偶極天線,有選擇地與遠程設備通信;以及安全代理,用于與本地設備相關(guān)并且連接到發(fā)射器,從遠程設備接收與認證策略相關(guān)的認證信息,并且比較所接收的認證信息和與本地設備中的認證策略相關(guān)的認證信息,至少部分基于認證信息的比較結(jié)果,識別本地設備和遠程設備之間的相對認證優(yōu)先權(quán)。
22.根據(jù)權(quán)利要求21的系統(tǒng),還包括存儲器,用于響應安全代理,接收并保持與一個設備相關(guān)的認證策略。
23.根據(jù)權(quán)利要求22的系統(tǒng),所述認證策略包括認證信息,該認證信息包括與該設備相關(guān)的認證優(yōu)先權(quán)等級的一個指示。
24.根據(jù)權(quán)利要求23的系統(tǒng),其中展示了較高優(yōu)先權(quán)等級的認證策略將控制在本地設備和遠程設備之間的哪個設備將開始認證。
25.根據(jù)權(quán)利要求24的系統(tǒng),該存儲器還包括認證策略中的設備類別的指示,其中通過與本地設備和遠程設備相關(guān)的設備類別的指示的比較結(jié)果,由安全代理分辨在設備之間的優(yōu)先權(quán)等級的聯(lián)系。
全文摘要
通常描述了一種確定在兩個或者多個設備之間的認證優(yōu)先權(quán)的系統(tǒng)和方法。
文檔編號H04L12/56GK1846422SQ200480025382
公開日2006年10月11日 申請日期2004年8月25日 優(yōu)先權(quán)日2003年9月4日
發(fā)明者D·約翰斯頓 申請人:英特爾公司