CN100592739C - 提供安全通信的方法和装置 - Google Patents
提供安全通信的方法和装置 Download PDFInfo
- Publication number
- CN100592739C CN100592739C CN200480036049A CN200480036049A CN100592739C CN 100592739 C CN100592739 C CN 100592739C CN 200480036049 A CN200480036049 A CN 200480036049A CN 200480036049 A CN200480036049 A CN 200480036049A CN 100592739 C CN100592739 C CN 100592739C
- Authority
- CN
- China
- Prior art keywords
- equipment
- client devices
- voucher
- user
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/305—Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/81—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer by operating on the power supply, e.g. enabling or disabling power-on, sleep or resume operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
Abstract
简言之,根据本发明的一个实施例,提供了一种用于提供认证和安全通信的装置和方法。在一个示例中,该方法可包括发送第一设备的机器凭证,其中机器凭证用来认证第一设备,以使第一设备在响应于其从另一个设备接收的命令而从第一功率状态转移到第二功率状态之后能与第二设备通信,其中第一设备在第一功率状态中的功耗低于第一设备在第二功率状态中的功耗。该第一设备可在有线或无线网络中使用。
Description
背景
系统设计者在不断地寻找更好的方法,来通过保护通信系统中的话务来提供安全通信。在某些系统中,可使用认证和加密来保护在两个设备之间(例如,在网络或系统中的诸如便携式膝上型计算机和服务器等两个计算设备之间)发送的信息。认证可指确定某人或某事物是否事实上是其所声称的该人或该事物的过程。在设备被认证之后,便可在设备之间共享加密密钥以对信息加密/解密,并提供设备之间的安全通信。
在某些系统中,可通过使用由用户提供的用户口令来提供认证。但是,可能出现的一个问题是,当用户不可及时,可能无法进行认证,而如果需要用户凭证才能协商用于保护通信链路的加密密钥,则可能无法进行安全通信。
因此,一直以来都需要替换的方法以在通信系统中提供安全通信。
附图简述
本发明的主题在本说明书的结论部分中特别指出并清楚地声明。但是,就本发明组织和操作方法,及其目的、特征和优点而言,本发明最好是在配合附图一起阅读时,通过参考以下详细描述来理解,附图中:
图1是示出根据本发明的一个实施例的网络的框图;以及
图2是示出根据本发明的一个实施例的一种提供认证和安全通信的方法的流程图。
可以认识到,为说明的简单和清楚起见,附图中所示的元素未必按比例绘制。例如,为清楚起见,扩大了其中某些元素相对于其它元素的尺寸。此外,在认为适当的场合,在附图中重复参考标号以示对应或类似的元素。
详细描述
在以下详细描述中,为了提供对本发明的详尽了解而阐述了许多具体细节。但是,本领域技术人员可以理解,无需这些具体细节也可实施本发明。在其它实例中,为免混淆本发明,没有详细描述公知的方法、过程、组件和电路。
在以下描述和所附权利要求书中,可能会使用术语“包括”和“包含”及其派生词,并旨在视它们互为同义词。此外,在以下描述和所附权利要求书中,可能会使用术语“耦合”和“连接”及其派生词。应当理解,并不旨在视这些术语互为同义词。相反,在具体实施例中,可使用“连接”来指示两个或多个元素相互直接物理或电接触。“耦合”可能意味着两个或多个元素直接物理或电接触。但是“耦合”也可能意味着两个或多个元素不是直接相互接触,但仍相互合作或交互。
在以下描述和所附权利要求书中,可能会使用术语“数据”来指数据和指令。此外,可能会使用术语“信息”来指数据和指令。
图1是示出根据本发明的一个实施例的网络100的框图。网络100可包括客户机设备110、接入点(AP)120、以及认证服务器130。如可理解,网络100可包括更多的组件或设备,但是为简单起见,图1中没有示出这些组件和设备。
尽管本发明的范围在这方面并不受限制,但是客户机设备110可以是无线设备,诸如个人数字助理(PDA)、具无线能力的便携式计算机(例如,膝上型或笔记本计算机)、web图形输入板、无线电话(例如,无绳或蜂窝电话)、寻呼机、即时消息通信设备、数字音乐播放器、数码相机、或可适用于无线地发送和/或接收信息的其它设备。客户机设备110可在以下任何系统中使用:无线个人区域网(WPAN)系统、无线局域网(WLAN)系统、无线城域网(WMAN)系统、或诸如蜂窝系统等无线广域网(WWAN)系统。
WLAN系统的一个示例包括实质上基于工业电气和电子工程师(IEEE)802.11标准的系统。WMAN系统的一个示例包括实质上基于工业电气和电子工程师(IEEE)802.16标准的系统。WPAN系统的一个示例包括实质上基于BluetoothTM(蓝牙)标准(Bluetooth是蓝牙特殊利益集团的注册商标)的系统。WPAN的另一个示例包括例如实质上基于IEEE 802.15.3a规范的系统等超宽带(UWB)系统。
在其它实施例中,客户机设备110可能不具有无线能力,并且可能是使用有线连接耦合到网络的工作站。在各种应用中,客户机设备110可被称为对等设备、请求方、无线设备、或无线台。在各种实施例中,网络100可以是有线或无线的以太局域网(LAN)。如果网络100是有线网络,则诸网络设备可使用有线连接来相互耦合。
在一个实施例中,客户机设备110可以是适用于使用诸如2000年1月20日公布的IEEE Std 802.11b-1999标准等IEEE 802.11协议来无线地发送和接收信息的便携式计算机,尽管本发明的范围在这个方面并不受限制。接入点(AP)120也可适用于使用IEEE 802.11协议来无线地发送和接收信息。
认证服务器130可以是远程认证拨入用户业务(RADIUS)服务器。在一个实施例中,通过将客户机设备110、AP 120和服务器130设计成实质上符合2001年7月13日公布的IEEE 802.1X标准来使它们实现认证,尽管本发明的范围在这个方面并不受限制。在这一实施例中,可将客户机设备110称为请求方,并可将接入点120称为认证方。请求方可以指在客户机设备110上运行的软件客户程序。
在一个实施例中,一般可在网络100中实现认证如下:客户机设备110可与AP 120通信并请求认证,然后AP 120可向认证服务器130发送该请求。认证服务器130可经由AP 120向客户机设备110发送认证质询。即,为认证客户机设备110,服务器130可向AP 120发送质询,而AP 120随即可将该质询传递给客户机设备110。响应于该质询,可从客户机设备110向服务器130发送凭证。如果服务器130认证了客户机设备110所发送的凭证,则服务器130可授权客户机设备110在网络上通信。例如,服务器130可打开网络端口以允许客户机设备110与网络100中的其它设备通信。
在替换实施例中,例如,在有线网络中,可能不包括接入点120,且认证服务器130和客户机设备110可直接通信,或是通过其它网络设备间接通信,以认证客户机设备110,尽管本发明的范围在这个方面并不受限制。在另一个实施例中,网络100可包括认证设备,其中该认证设备既起到认证方的作用,又起到认证服务器的作用。例如,网络100可包括认证设备,该认证设备可包含接入点120和认证服务器130。
网络100可具有物理或逻辑的网络端口。逻辑端口也可称为虚拟端口。诸如客户机设备110等设备可以被耦合到这些端口,并且这些端口可以被打开或关闭,以允许网络中的设备之间的通信。例如,在耦合到网络的设备已通过认证之后,该设备可被授权,且网络端口可被“打开”,以允许该设备经由或通过所打开的端口与其它设备通信。反过来,如果耦合到网络的设备没有通过认证,则该端口可被“关闭”,以阻断或阻止往来该未经认证的设备的通信。
在一个实施例中,在网络100中既可使用用户认证,又可使用机器认证。换言之,既可使用用户凭证(例如,客户机设备110的用户的用户口令),又可使用机器凭证(例如,诸如存储在客户机设备110中的序列号等可被用来唯一地标识客户机设备110的机器标识)在网络100中提供认证。例如,认证客户机设备110可包括在某些时候使用用户凭证,而在其它时候使用机器凭证。机器凭证的其它示例可包括某种类型的密码资料或证书。
在一个实施例中,如果客户机设备110响应于其所接收的用户输入,从非活动功率状态(例如,低功率状态)转移到活动功率状态(例如,“苏醒”状态),则响应于来自服务器130的认证质询,客户机设备110的用户的用户凭证可从客户机设备110发送到服务器130,尽管本发明的范围在这个方面并不受限制。
低功率状态的示例可包括睡眠、休眠、挂起或待机状态。与处于睡眠状态时相比,客户机设备110在苏醒状态可能消耗相对较多的功率。苏醒状态也可被称为高功率、较高功率或活动状态,而睡眠、休眠、挂起和待机状态可被称为低功率、较低功率或非活动状态。
用户输入可包括客户机设备110所接收的指示用户在场的任何输入。用户输入的示例可包括键盘输入、鼠标移动、鼠标点击等等。在一个实施例中,客户机设备110在可指示用户不在场的一段时间的不活动之后,可从苏醒状态转移到低功率状态。不活动的时段可使用“超时”计数器来确定。此外,用户输入可引起功率状态转移,例如从关机状态进入休眠状态。
如果客户机设备110响应于除用户输入以外的其它事物,例如功率转移命令(诸如客户机设备110从网络100中的另一个不同的设备(未示出)接收的唤醒命令等)而从低功率状态转移到苏醒状态,则响应于来自服务器130的认证质询,客户机设备110的机器凭证可从客户机设备110发送到服务器130。唤醒命令的示例可包括发送到客户机设备110的网络唤醒请求。这可能在例如系统管理员向客户机设备110“推送”软件补丁时发生。在此例中,用户可能不在场,从而不能认证客户机设备110,并且在此例中,存储在客户机设备110中的机器凭证可用来认证客户机设备110,以使客户机设备110可向网络100中的其它设备发送及从其接收信息。来自其它网络设备的唤醒命令的其它示例可包括对等唤醒命令和远程唤醒命令,并且这些命令可被称为外部命令,因为它们可由客户机设备110外部的设备生成。
在用户不在场时使用机器凭证可允许以诸如远程唤醒、对等唤醒、或客户机警示等操作来对话务进行保护。远程或网络唤醒可允许LAN内连接(或是可经由广域网(WAN)连接来建立到LAN的连接)的管理控制台对连接到该LAN,但在此时可能开机也可能关机的个人计算机(PC)执行维护功能或远程控制。在对等网络连接中,客户机可与连接到LAN的其它客户机共享其资源。可使用唤醒命令,从而即使某些客户机进入待机状态,所有对等设备的资源仍将可用并可被共享。警示可包括生成警报消息,这些警报消息允许客户机(例如,PC或工作站)发信号通知管理控制台其物理或操作环境中存在某个问题,例如,过热、风扇停转、电源问题等等。在不牺牲安全通信的同时,在设备进入待机状态且没有用户在场之后允许这些操作可能是有利的。如上所述,这可通过在没有用户凭证可用时使用机器凭证来进行认证来实现。
在某些实施例中,基于是提供了机器凭证还是用户凭证来进行认证,可使用不同的加密密钥,尽管本发明的范围在这个方面并不受限制。
在一个实施例中,当客户机设备110处于用户操作的苏醒状态时,可使用“苏醒”加密密钥,来以密码手段保护客户机设备110与网络100的其它设备之间所传送的信息。苏醒密钥可基于来自客户机设备110的用户的凭证。
当客户机设备110转移到低功率状态,即睡眠状态时,它可协商可被称为“睡眠”密钥的另一个加密密钥。该睡眠密钥可基于客户机设备110的机器凭证。如果客户机设备110是使用来自另一个设备的网络唤醒命令或请求来唤醒的,并且没有用户在场,则可使用睡眠密钥来保护客户机设备110与网络100中的其它设备之间的话务。
如果客户机设备110由于用户交互(例如,键击、鼠标移动、鼠标点击等)而从睡眠状态转移到苏醒状态,则客户机设备110可丢弃睡眠密钥,并请求用户给出用户凭证以协商苏醒密钥。
如果客户机设备110由于网络唤醒命令而从睡眠状态转移到苏醒状态,则客户机设备110可继续使用该睡眠密钥来保护话务,直至发生任何用户交互(例如,键盘输入、鼠标移动、鼠标点击),在那时客户机设备110可丢弃该睡眠密钥,并请求用户使用用户凭证来协商新的苏醒密钥。如果客户机设备110由于例如由系统超时所确定的系统不活动而转移回到睡眠状态,则客户机设备110可协商新的睡眠密钥。
在替换实施例中,不是使用不同的加密密钥(例如,睡眠密钥和苏醒密钥),而是可使用同一个加密密钥,无论客户机设备110是响应于网络唤醒命令还是用户输入而从较低功率状态转移到较高功率状态。
转到图2,图中所示是示出根据本发明的一个实施例的一种提供认证和安全通信的方法200的流程图。方法200可在以上参考图1所讨论的网络100中使用。方法200可包括将客户机设备110从睡眠状态转移到苏醒状态的操作(框210)。在转移到苏醒状态之后,即可确定功率状态转移是由于来自另一个网络设备的网络唤醒命令,还是由于来自客户机设备110的用户的用户输入(菱形220)。
如果确定转移是由于网络唤醒命令,则可使用客户机设备110的机器凭证来向网络100认证客户机设备110。此外,可使用这些机器凭证来获得或选择用来对来自客户机设备110的传输数据加密、以及对客户机设备110所接收的传输数据解密的睡眠密钥(框230)。
如果确定转移是由于客户机110接收到来自客户机设备110的用户的用户输入,则可使用客户机设备110的用户的用户凭证来向网络110认证客户机设备110。此外,可使用这些用户凭证来获得可被用来对往来客户机设备110的传输数据解密/加密的苏醒密钥(框240)。
客户机设备110与网络100的其它设备之间的传输数据可使用基于唤醒事件(例如,网络唤醒或用户输入)选择的适当加密密钥来保护(框250)。接下来,客户机设备110可通过例如用户命令,或由于系统不活动而从苏醒状态转移到睡眠状态(框260)。
由此,如上所述,本发明提供了用于提供认证和安全通信的方法、装置和系统。在一个实施例中,一种方法可包括从客户机设备110接收通过网络端口访问网络100的请求,向耦合到该网络端口的客户机设备100发送质询,然后接收客户机设备110的机器凭证,其中客户机设备110试图经由该网络端口来获得网络100的访问或授权。该方法还可包括如果机器凭证被网络100的认证服务器130通过认证,则打开该网络端口以允许客户机设备110与网络100的另一个网络设备(未示出)之间通过该网络端口的通信。
在此实施例中,该方法还可包括如果机器凭证未通过认证,则关闭该网络端口以阻断从客户机设备110到另一个网络设备的通信。如果不能从客户机设备的用户得到用户凭证,则可使用机器凭证来认证客户机设备110。该方法还可包括在客户机设备110响应于其从另一个设备接收的命令而从较低功率状态(例如,待机状态)转移到较高功率状态(例如,苏醒状态)的情况下,或在客户机设备110的用户不可及的情况下,若机器凭证通过认证,则使用睡眠密钥来对从客户机设备110接收的信息解密。
在此实施例中,该方法还可包括接收客户机设备110的用户在场的指示,向客户机设备110发送质询,接收响应于该质询的用户凭证,以及如果用户凭证通过认证,则允许网络设备与该客户机设备之间通过该网络端口的通信。该方法还可包括如果用户凭证通过认证,并且如果客户机设备110响应于客户机设备110从用户接收的输入而从较低功率状态(例如,待机状态)转移到较高功率状态(例如,苏醒状态),则使用苏醒密钥来对从客户机设备110接收的信息解密。
在另一个实施例中,一种方法可包括响应于从认证服务器130接收到认证质询,从客户机设备110向认证服务器130发送存储在客户机设备110中的机器凭证,其中客户机设备110被耦合到网络100的物理或逻辑端口。该方法还可包括仅当认证服务器130认证了机器凭证时从客户机设备110向该端口发送信息,以及仅当认证服务器130认证了机器凭证时客户机设备110通过该端口从网络100的另一个设备接收信息。
该方法还可包括使用机器凭证来获得用于保护客户机设备110与网络100之间通过该端口的话务的睡眠密钥。睡眠密钥可在客户机设备由于不同于用户输入的某事物而从睡眠状态转移到苏醒状态之后使用。
在另一个实施例中,一种方法可包括从客户机设备110向认证服务器130发送客户机设备110的机器凭证,其中机器凭证至少用来认证客户机设备110,以使在客户机设备110响应于由第一设备从第一设备外部的不同网络设备接收的功率转移命令而从较低功率状态转移到较高功率状态之后,并在客户机设备110接收到来自用户的输入之前,客户机设备110能够与网络100的另一个设备(未示出)通信。在较低功率状态操作的客户机设备110的功耗低于处于第二功率状态的客户机设备110的功耗。举例而言,较低功率状态可以是待机状态,而较高功率状态可以是苏醒状态。认证服务器130可接收机器凭证,认证机器凭证,并基于机器凭证来确定是否要授权客户机设备110与网络100的另一个网络设备(未示出)通信。
举例而言,客户机设备110可包括用于实现此实施例的方法的操作的电路(未示出)。例如,客户机设备110可包括一个或多个处理器、非易失性和/或易失性存储器、输入/输出(I/O)设备、无线收发器以及天线,尽管本发明的范围在这个方面并不受限制。
在此实施例中,该方法还可包括从客户机设备110向认证服务器130发送客户机设备110的用户的用户凭证,其中用户凭证被用来认证客户机设备110,以使客户机设备110在响应于从第一设备的用户接收用户输入而从较低功率状态转移到较高功率状态之后能与另一个网络设备(未示出)通信,其中用户输入指示用户在场并能提供用户凭证。
在此实施例中,该方法还可包括使用苏醒加密密钥来对从客户机设备110发送的信息加密,并对客户机设备110所接收的信息解密。苏醒加密密钥可基于用户凭证,并可在第一设备响应于客户机设备110所接收的指示用户到场的用户输入而从较低功率状态转移到较高功率状态的情况下使用。
在此实施例中,该方法还可包括使用和苏醒密钥不同的加密密钥来对从客户机设备110发送的信息加密,并对客户机设备110所接收的信息解密。此加密密钥可基于机器凭证,并可在客户机设备110响应于其从另一个网络设备接收的功率转移命令而从较低功率状态转移到较高功率状态的情况下使用。
在此实施例中,该方法还包括将客户机设备110从较高功率状态转移到较低功率状态,其中机器凭证从客户机设备110的发送可在确定客户机设备要从较高功率状态转移到较低功率状态之后发生。在一个示例中,机器凭证的发送可在客户机设备110从较高功率状态转移到较低功率状态之前发生。在另一个示例中,发送机器凭证可在第一设备开始从较高功率状态转移到较低功率状态之后,并在客户机设备110到达较低功率状态之前发生。
在此实施例中,客户机设备110可被耦合到网络100的网络端口,并且该方法还可包括如果认证服务器130认证了客户机设备10的机器凭证,则从客户机设备110经由该网络端口向另一个网络设备发送信息。该方法还可包括如果认证服务器130认证了机器凭证,则通过该网络端口从另一个网络设备接收信息。
尽管本文中已说明和描述了本发明的某些特征,但是本领域技术人员至此将可以想到许多修改、替换、改变和等效方案。因此,要理解所附权利要求书旨在覆盖落入本发明真正精神实质的所有这些修改和改变。
Claims (35)
1.一种用于提供安全通信的方法,包括:
接收耦合到网络端口的客户机设备的机器凭证;以及
如果所述机器凭证通过认证,则打开所述网络端口以允许网络设备与所述客户机设备之间的通信;
其中所述机器凭证用来认证所述客户机设备以使得所述客户机设备能够在响应于所述客户机设备从另一个设备接收的命令而从第一功率状态转移到第二功率状态之后与网络设备通信,其中所述客户机设备在所述第一功率状态中的功耗低于所述客户机设备在所述第二功率状态中的功耗。
2.如权利要求1所述的方法,其特征在于,还包括:
如果所述机器凭证没有通过认证,则关闭所述网络端口以阻断来自所述客户机设备的通信。
3.如权利要求1所述的方法,其特征在于,还包括:在接收耦合到网络端口的客户机设备的机器凭证之前:
从所述客户机设备接收通过所述网络端口访问网络的请求;以及
响应于所述请求,向所述客户机设备发送质询。
4.如权利要求3所述的方法,其特征在于,接收机器凭证包括响应于所述质询,并且如果不可从所述客户机设备的用户得到用户凭证,则接收所述客户机设备的机器凭证,其中所述客户机设备是适用于无线地发送和接收信息的无线设备,并且其中所述客户机设备符合2001年7月13日公布的电气和电子工程师协会(IEEE)802.1X标准。
5.如权利要求1所述的方法,其特征在于,还包括在所述机器凭证通过认证之后,并且如果所述客户机设备响应于所述客户机设备从另一个设备接收的命令而从第一功率状态转移到第二功率状态,且如果所述客户机设备没有可用的用户,则使用睡眠密钥来对从所述客户机设备接收的信息解密。
6.如权利要求1所述的方法,其特征在于,还包括:在如果所述机器凭证通过认证,则打开所述网络端口以允许网络设备与所述客户机设备之间的通信之后:
接收所述客户机设备的用户在场的指示;
向所述客户机设备发送质询;
响应于所述质询,接收所述用户的用户凭证;以及
如果所述用户凭证通过认证,则允许所述网络设备与所述客户机设备通过所述网络端口的通信。
7.如权利要求6所述的方法,其特征在于,还包括如果所述用户凭证通过认证,并且如果所述客户机设备响应于所述客户机设备从所述用户接收的输入而从较低功率状态转移到较高功率状态,则使用苏醒密钥来对从所述客户机设备接收的信息解密。
8.一种用于提供安全通信的方法,包括:
响应于从网络的认证服务器接收质询,从客户机设备发送所述客户机设备的机器凭证,其中所述客户机设备被耦合到所述网络的端口;以及
如果所述认证服务器认证了所述机器凭证,则通过所述端口从所述网络接收信息;
其中所述机器凭证用来认证所述客户机设备以使得所述客户机设备能够在响应于所述客户机设备从另一个设备接收的命令而从第一功率状态转移到第二功率状态之后与网络设备通信,其中所述客户机设备在所述第一功率状态中的功耗低于所述客户机设备在所述第二功率状态中的功耗。
9.如权利要求8所述的方法,其特征在于,还包括:
如果所述认证服务器认证了所述机器凭证,则从所述客户机设备通过所述端口向所述网络发送信息;以及
将所述客户机设备从睡眠状态转移到苏醒状态,其中发送信息包括从所述客户机设备通过所述端口向所述网络的接入点(AP)发送所述信息。
10.如权利要求8所述的方法,其特征在于,发送机器凭证包括从所述客户机设备无线地发送所述机器凭证。
11.如权利要求8所述的方法,其特征在于,所述客户机设备是便携式计算设备。
12.如权利要求8所述的方法,其特征在于,还包括使用睡眠密钥来对从所述客户机设备通过所述端口向所述网络发送的信息加密,并对由所述客户机设备通过所述端口从所述网络接收的信息解密,其中所述睡眠密钥是在所述客户机设备根据功率转移命令从睡眠状态转移到苏醒状态之后使用的。
13.如权利要求8所述的方法,其特征在于,所述客户机设备是无线设备,并且其中,发送机器凭证包括响应于从所述认证服务器接收所述质询,从所述无线设备发送存储在所述无线设备中的机器凭证。
14.一种用于提供安全通信的方法,包括:
发送第一设备的机器凭证,其中所述机器凭证用来认证所述第一设备以使得所述第一设备能够在响应于所述第一设备从另一个设备接收的命令而从第一功率状态转移到第二功率状态之后与第二设备通信,其中所述第一设备在所述第一功率状态中的功耗低于所述第一设备在所述第二功率状态中的功耗。
15.如权利要求14所述的方法,其特征在于,发送第一设备的机器凭证包括:
响应于来自认证服务器的认证质询,从所述第一设备向所述认证服务器发送所述第一设备的机器凭证;
其中所述认证服务器认证所述机器凭证,并基于所述机器凭证来确定是否要授权所述第一设备与所述网络的第二设备通信。
16.如权利要求15所述的方法,其特征在于,在发送第一设备的机器凭证之后:
发送所述第一设备的用户的用户凭证,其中所述用户凭证用来认证所述第一设备,以使所述第一设备在响应于从所述第一设备的用户接收输入而从第一功率状态转移到第二功率状态之后能够与所述第二设备通信,其中来自所述用户的输入指示所述用户在场以提供所述用户凭证。
17.如权利要求16所述的方法,其特征在于,发送所述第一设备的用户的用户凭证包括:
响应于来自所述认证服务器的认证质询而从所述第一设备发送所述第一设备的用户的用户凭证,其中所述认证服务器接收所述用户凭证并认证所述用户凭证;
其中,所述第一功率状态是睡眠功率状态或待机功率状态,而所述第二功率状态是苏醒状态。
18.如权利要求16所述的方法,其特征在于,还包括:
使用第一加密密钥来对从所述第一设备发送的信息加密,并对所述第一设备所接收的信息解密,其中,所述第一加密密钥基于所述用户凭证,并且其中,如果所述第一设备响应于从所述第一设备的用户所接收的指示所述用户在场的输入而从所述第一功率状态转移到所述第二功率状态,则使用所述第一加密密钥;
使用第二加密密钥来对从所述第一设备发送的信息加密,并对所述第一设备所接收的信息解密,其中,所述第二加密密钥基于所述机器凭证,并且其中,如果所述第一设备响应于所述第一设备从所述另一个设备接收的命令而从所述第一功率状态转移到所述第二功率状态,则使用所述第二加密密钥。
19.如权利要求14所述的方法,其特征在于,发送机器凭证包括从所述第一设备向认证服务器发送所述机器凭证,其中所述第一设备是无线设备,并且所述方法还包括:
在所述机器凭证通过认证之后从所述第一设备发送经加密的信息,其中所述经加密的信息是使用通过使用所述机器凭证而确定的加密密钥来生成的。
20.如权利要求14所述的方法,其特征在于,发送机器凭证包括从所述第一设备向认证服务器发送所述机器凭证,其中所述第一设备是适用于使用无线局域网协议来发送和接收信息的无线设备。
21.如权利要求20所述的方法,其特征在于,所述无线局域网协议是符合工业电气和电子工程师(IEEE)802.11标准的通信协议。
22.如权利要求14所述的方法,其特征在于,发送机器凭证包括从所述第一设备向认证服务器发送所述机器凭证,其中所述第一设备符合2001年7月13日公布的电气和电子工程师协会(IEEE)802.1X标准。
23.如权利要求14所述的方法,其特征在于,还包括将所述第一设备从所述第二功率状态转移到所述第一功率状态,其中发送机器凭证是在确定所述第一设备从所述第二功率状态向所述第一功率状态转移之后发生的。
24.如权利要求14所述的方法,其特征在于,发送第一设备的机器凭证包括:
响应于从网络的认证服务器接收到的质询,从所述第一设备发送所述第一设备的机器凭证;
其中所述第一设备被耦合到所述网络的一个端口,并且所述第二设备被耦合到所述网络的所述端口;
所述方法还包括:如果所述认证服务器认证了所述机器凭证,则从所述第一设备经由所述端口向所述第二设备发送信息;以及
如果所述认证服务器认证了所述机器凭证,则从所述第二设备通过所述端口接收信息。
25.一种客户机设备,包括:
适用于发送客户机设备的机器凭证的电路,其中所述机器凭证用来认证所述客户机设备,以使所述客户机设备能够在响应于所述客户机设备从不同的设备接收到的命令而客户机设备从第一功率状态转移到第二功率状态之后与网络设备通信,其中所述客户机设备在所述第一功率状态中的功耗低于所述客户机设备在所述第二功率状态中的功耗。
26.如权利要求25所述的客户机设备,其特征在于,所述第二功率状态是苏醒状态,并且所述第一功率状态是挂起、睡眠、休眠或待机状态。
27.如权利要求25所述的客户机设备,其特征在于,所述客户机设备符合2001年7月13日公布的电气和电子工程师协会(IEEE)802.1X标准。
28.一种用于提供安全通信的系统,包括:
无线设备,它适用于发送所述无线设备的机器凭证,其中所述机器凭证用来认证所述无线设备,以使所述无线设备在响应于所述无线设备从所述系统的不同设备接收的命令而从第一功率状态转移到第二功率状态之后能够与所述系统的网络设备通信,其中所述无线设备在所述第一功率状态中的功耗低于所述无线设备在所述第二功率状态中的功耗。
29.如权利要求28所述的系统,其特征在于,还包括耦合到所述系统的一个网络端口的认证设备,其中所述无线设备被耦合到所述网络端口。
30.如权利要求29所述的系统,其特征在于,所述认证设备包括认证服务器,所述认证服务器用于接收并认证所述机器凭证,并用于在所述机器凭证通过认证的情况下打开所述网络端口以允许所述无线设备与所述另一个设备之间通过所述网络端口的通信。
31.如权利要求30所述的系统,其特征在于,所述认证服务器是远程认证拨入用户业务(RADIUS)服务器,并且所述认证设备还包括耦合在所述无线设备与所述认证服务器之间的无线接入点,以使信息可在所述无线设备与所述认证服务器之间经由所述无线接入点发送。
32.如权利要求28所述的系统,其特征在于,所述无线设备适用于使用无线局域网(WLAN)协议来发送和接收信息,并且其中,所述无线设备符合2001年7月13日公布的电气和电子工程师协会(IEEE)802.1X标准。
33.如权利要求32所述的系统,其特征在于,所述无线局域网协议是符合工业电气和电子工程师(IEEE)802.11标准的通信协议。
34.一种用于提供安全通信的设备,包括:
用于发送第一设备的机器凭证的装置,其中所述机器凭证用来认证所述第一设备,以使所述第一设备在响应于所述第一设备从另一个设备接收的命令而从第一功率状态转移到第二功率状态之后能与第二设备通信,其中所述第一设备在所述第一功率状态中的功耗低于所述第一设备在所述第二功率状态中的功耗。
35.如权利要求34所述的设备,其特征在于,还包括:
用于发送所述第一设备的用户的用户凭证的装置,其中所述用户凭证用来认证所述第一设备,以使所述第一设备在响应于从所述第一设备的用户接收输入而从第一功率状态转移到第二功率状态之后能够与所述第二设备通信,其中来自所述用户的输入指示所述用户在场以提供所述用户凭证;以及
其中,发送机器凭证包括响应于来自所述认证服务器的质询而从所述第一设备向网络的认证服务器发送所述第一设备的机器凭证,所述认证服务器认证所述机器凭证,并基于所述机器凭证来确定是否要授权所述第一设备与所述网络的第二设备通信。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/742,385 US7457953B2 (en) | 2003-12-18 | 2003-12-18 | Method and apparatus to provide secure communication |
| US10/742,385 | 2003-12-18 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101592763A Division CN101631125B (zh) | 2003-12-18 | 2004-12-01 | 提供安全通信的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1890940A CN1890940A (zh) | 2007-01-03 |
| CN100592739C true CN100592739C (zh) | 2010-02-24 |
Family
ID=34678435
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101592763A Expired - Fee Related CN101631125B (zh) | 2003-12-18 | 2004-12-01 | 提供安全通信的方法和装置 |
| CN200480036049A Expired - Fee Related CN100592739C (zh) | 2003-12-18 | 2004-12-01 | 提供安全通信的方法和装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101592763A Expired - Fee Related CN101631125B (zh) | 2003-12-18 | 2004-12-01 | 提供安全通信的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7457953B2 (zh) |
| EP (2) | EP1998528B1 (zh) |
| CN (2) | CN101631125B (zh) |
| WO (1) | WO2005062577A1 (zh) |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4411225B2 (ja) * | 2005-02-15 | 2010-02-10 | キヤノン株式会社 | 通信装置及び通信方法 |
| US7733906B2 (en) * | 2005-06-30 | 2010-06-08 | Intel Corporation | Methodology for network port security |
| EP2667344A3 (en) * | 2005-10-06 | 2014-08-27 | C-Sam, Inc. | Transactional services |
| US20070089163A1 (en) * | 2005-10-18 | 2007-04-19 | International Business Machines Corporation | System and method for controlling security of a remote network power device |
| US7787627B2 (en) * | 2005-11-30 | 2010-08-31 | Intel Corporation | Methods and apparatus for providing a key management system for wireless communication networks |
| US8352323B2 (en) * | 2007-11-30 | 2013-01-08 | Blaze Mobile, Inc. | Conducting an online payment transaction using an NFC enabled mobile communication device |
| US7797435B2 (en) * | 2007-01-31 | 2010-09-14 | Hewlett-Packard Development Company, L.P. | Foregoing user credential collection if sending system is in an unauthenticated mutually exclusive connection state |
| US8201231B2 (en) * | 2007-02-21 | 2012-06-12 | Microsoft Corporation | Authenticated credential-based multi-tenant access to a service |
| US8316158B1 (en) | 2007-03-12 | 2012-11-20 | Cypress Semiconductor Corporation | Configuration of programmable device using a DMA controller |
| US8010778B2 (en) * | 2007-06-13 | 2011-08-30 | Intel Corporation | Apparatus and methods for negotiating a capability in establishing a peer-to-peer communication link |
| US10181055B2 (en) | 2007-09-27 | 2019-01-15 | Clevx, Llc | Data security system with encryption |
| US10778417B2 (en) | 2007-09-27 | 2020-09-15 | Clevx, Llc | Self-encrypting module with embedded wireless user authentication |
| US11190936B2 (en) * | 2007-09-27 | 2021-11-30 | Clevx, Llc | Wireless authentication system |
| GB2459328A (en) * | 2008-04-22 | 2009-10-28 | Paul Anderson | Dynamic access control to a computer network's switch port |
| US8307231B2 (en) | 2008-11-19 | 2012-11-06 | Qualcomm Incorporated | Method and apparatus for adaptive bluetooth low power discovery and wake up |
| DE102009005187A1 (de) | 2009-01-20 | 2010-07-22 | Siemens Aktiengesellschaft | Verfahren zum Aktivieren eines Netzwerkknotens |
| JP5304345B2 (ja) * | 2009-03-11 | 2013-10-02 | 富士通株式会社 | コンテンツ処理装置、コンテンツ処理システム、およびコンテンツ処理プログラム |
| US8462955B2 (en) * | 2010-06-03 | 2013-06-11 | Microsoft Corporation | Key protectors based on online keys |
| US8813198B2 (en) * | 2011-07-05 | 2014-08-19 | Apple Inc. | Configuration of accessories for wireless network access |
| US9049593B2 (en) * | 2012-06-28 | 2015-06-02 | Qualcomm Incorporated | Method and apparatus for restricting access to a wireless system |
| US20140362991A1 (en) * | 2013-06-10 | 2014-12-11 | Whirlpool Corporation | Method of connecting an appliance to a wifi network |
| WO2015038126A1 (en) * | 2013-09-12 | 2015-03-19 | Intel Corporation | Techniques for device power management in a local wireless network |
| CN103560998A (zh) * | 2013-10-09 | 2014-02-05 | 中国科学院信息工程研究所 | 一种无线传感器网络抵抗DoS攻击的方法及系统 |
| US10997592B1 (en) * | 2014-04-30 | 2021-05-04 | Wells Fargo Bank, N.A. | Mobile wallet account balance systems and methods |
| US11461766B1 (en) | 2014-04-30 | 2022-10-04 | Wells Fargo Bank, N.A. | Mobile wallet using tokenized card systems and methods |
| US11615401B1 (en) | 2014-04-30 | 2023-03-28 | Wells Fargo Bank, N.A. | Mobile wallet authentication systems and methods |
| US11748736B1 (en) | 2014-04-30 | 2023-09-05 | Wells Fargo Bank, N.A. | Mobile wallet integration within mobile banking |
| US9652770B1 (en) | 2014-04-30 | 2017-05-16 | Wells Fargo Bank, N.A. | Mobile wallet using tokenized card systems and methods |
| US11288660B1 (en) | 2014-04-30 | 2022-03-29 | Wells Fargo Bank, N.A. | Mobile wallet account balance systems and methods |
| US11610197B1 (en) | 2014-04-30 | 2023-03-21 | Wells Fargo Bank, N.A. | Mobile wallet rewards redemption systems and methods |
| US10445739B1 (en) | 2014-08-14 | 2019-10-15 | Wells Fargo Bank, N.A. | Use limitations for secondary users of financial accounts |
| US9705752B2 (en) * | 2015-01-29 | 2017-07-11 | Blackrock Financial Management, Inc. | Reliably updating a messaging system |
| US11853919B1 (en) | 2015-03-04 | 2023-12-26 | Wells Fargo Bank, N.A. | Systems and methods for peer-to-peer funds requests |
| US10127406B2 (en) * | 2015-03-23 | 2018-11-13 | Intel Corporation | Digital rights management playback glitch avoidance |
| CN105068759B (zh) * | 2015-07-24 | 2018-05-15 | 吴中林 | 个人-家庭用独立智能大数据量存储系统 |
| US20190066422A1 (en) * | 2016-02-26 | 2019-02-28 | Huf Hülsbeck & Fürst Gmbh & Co. Kg | Module unit comprising an interface for a communication device |
| JP2017191508A (ja) * | 2016-04-14 | 2017-10-19 | 富士通株式会社 | 情報処理装置および接続情報設定プログラム |
| US11468414B1 (en) | 2016-10-03 | 2022-10-11 | Wells Fargo Bank, N.A. | Systems and methods for establishing a pull payment relationship |
| US11295297B1 (en) | 2018-02-26 | 2022-04-05 | Wells Fargo Bank, N.A. | Systems and methods for pushing usable objects and third-party provisioning to a mobile wallet |
| US11074577B1 (en) | 2018-05-10 | 2021-07-27 | Wells Fargo Bank, N.A. | Systems and methods for making person-to-person payments via mobile client application |
| US11775955B1 (en) | 2018-05-10 | 2023-10-03 | Wells Fargo Bank, N.A. | Systems and methods for making person-to-person payments via mobile client application |
| US11551190B1 (en) | 2019-06-03 | 2023-01-10 | Wells Fargo Bank, N.A. | Instant network cash transfer at point of sale |
| EP3863316A1 (en) * | 2020-02-07 | 2021-08-11 | Continental Teves AG & Co. OHG | Authentication method |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5826015A (en) | 1997-02-20 | 1998-10-20 | Digital Equipment Corporation | Method and apparatus for secure remote programming of firmware and configurations of a computer over a network |
| US6493824B1 (en) | 1999-02-19 | 2002-12-10 | Compaq Information Technologies Group, L.P. | Secure system for remotely waking a computer in a power-down state |
| AU5084500A (en) * | 1999-05-21 | 2000-12-12 | International Business Machines Corporation | Method and apparatus for initializing secure communications among, and for exclusively pairing wireless devices |
| US7257836B1 (en) | 2000-04-24 | 2007-08-14 | Microsoft Corporation | Security link management in dynamic networks |
| JP2002014872A (ja) | 2000-06-29 | 2002-01-18 | Fujitsu Ltd | 暗号制御装置 |
| CN1270248C (zh) * | 2000-09-27 | 2006-08-16 | 索尼株式会社 | 家庭网络系统 |
| AU2002229629A1 (en) * | 2000-12-08 | 2002-06-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for power save in a mobile terminal |
| US20030009660A1 (en) * | 2001-07-09 | 2003-01-09 | Walker Mark R. | Method and ystem for establishing and bridging of semi-private peer networks |
| US20030093663A1 (en) * | 2001-11-09 | 2003-05-15 | Walker Jesse R. | Technique to bootstrap cryptographic keys between devices |
| CN100399840C (zh) | 2002-05-13 | 2008-07-02 | 汤姆森特许公司 | 无缝公共无线局域网用户认证 |
| US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
| US7444507B2 (en) * | 2002-06-30 | 2008-10-28 | Intel Corporation | Method and apparatus for distribution of digital certificates |
| US20040006705A1 (en) * | 2002-07-05 | 2004-01-08 | Walker Jesse R. | Secure two-message synchronization in wireless networks |
| US7395427B2 (en) * | 2003-01-10 | 2008-07-01 | Walker Jesse R | Authenticated key exchange based on pairwise master key |
| US20040163008A1 (en) * | 2003-02-19 | 2004-08-19 | Kim Roy Moon | Remote system management and operation services in a computer network |
| US20050048951A1 (en) * | 2003-08-25 | 2005-03-03 | Saito William H. | Method and system for alternative access using mobile electronic devices |
-
2003
- 2003-12-18 US US10/742,385 patent/US7457953B2/en not_active Expired - Fee Related
-
2004
- 2004-12-01 EP EP08010998A patent/EP1998528B1/en not_active Not-in-force
- 2004-12-01 CN CN2009101592763A patent/CN101631125B/zh not_active Expired - Fee Related
- 2004-12-01 CN CN200480036049A patent/CN100592739C/zh not_active Expired - Fee Related
- 2004-12-01 EP EP04817008A patent/EP1723765A1/en not_active Withdrawn
- 2004-12-01 WO PCT/US2004/040140 patent/WO2005062577A1/en not_active Application Discontinuation
Also Published As
| Publication number | Publication date |
|---|---|
| WO2005062577A1 (en) | 2005-07-07 |
| EP1723765A1 (en) | 2006-11-22 |
| CN101631125A (zh) | 2010-01-20 |
| EP1998528A1 (en) | 2008-12-03 |
| EP1998528B1 (en) | 2012-09-19 |
| US7457953B2 (en) | 2008-11-25 |
| CN1890940A (zh) | 2007-01-03 |
| CN101631125B (zh) | 2012-12-12 |
| US20050138377A1 (en) | 2005-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100592739C (zh) | 提供安全通信的方法和装置 | |
| Vainio | Bluetooth security | |
| US10652738B2 (en) | Authentication module | |
| CN101296086B (zh) | 接入认证的方法、系统和设备 | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| KR101820323B1 (ko) | 전력선 메시지를 사용한 보안 무선 장치 연결 | |
| CN102571702A (zh) | 物联网中的密钥生成方法、系统和设备 | |
| EP1844573A1 (en) | Wireless network system and communication method for external device to temporarily access wireless network | |
| JP2006109449A (ja) | 認証された無線局に暗号化キーを無線で提供するアクセスポイント | |
| Alkalbani et al. | Comparison between RSA hardware and software implementation for WSNs security schemes | |
| KR100523058B1 (ko) | 무선랜 시스템에서의 동적 그룹키 관리 장치 및 그 방법 | |
| Hager et al. | Demonstrating vulnerabilities in bluetooth security | |
| KR20190134924A (ko) | 하드웨어 보안 모듈 | |
| US7409550B2 (en) | Method for binding networked devices | |
| CN100574192C (zh) | 一种基于usb协议的信息安全设备及其通信方法 | |
| KR100601405B1 (ko) | 통신단말기를 이용한 인증정보 관리시스템 및 그 방법 | |
| Abbood et al. | Intelligent hybrid technique to secure bluetooth communications | |
| Tsai et al. | An enhanced secure mechanism of access control | |
| Jinlong et al. | A Hybrid Transmission System Based on NFC-Enabled Mobile Phones. | |
| Herrera-Joancomartí et al. | A personal authentication scheme using mobile technology | |
| Gupta et al. | Efficient security mechanism to counter the malicious attack in wireless sensor networks | |
| CN112528302A (zh) | 一种量子移动存储设备及其工作方法 | |
| CA2539993A1 (en) | Sharing cryptography information | |
| Hasan | Provide Simple Protection for Bluetooth Connection in Wireless Personal Area Network | |
| Allayla | Provide Simple Protection for Bluetooth Connection in Wireless Personal Area Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100224 Termination date: 20171201 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |