專利名稱:用以基于接近度來部署動態(tài)憑證基礎(chǔ)結(jié)構(gòu)的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明大體上涉及計算機網(wǎng)絡(luò)通信���,且更具體來說��,涉及用于基于接近度來部署動 態(tài)憑證基礎(chǔ)結(jié)構(gòu)的方法��。
背景技術(shù):
隨著商業(yè)的量通過例如因特網(wǎng)等網(wǎng)絡(luò)而持續(xù)增加����,安全性成為很大的問題。遺憾的 是�����,例如傳輸控制協(xié)議/因特網(wǎng)協(xié)議(TCP/IP)等因特網(wǎng)以之為基礎(chǔ)的協(xié)議未經(jīng)設(shè)計以提 供安全數(shù)據(jù)傳輸����。因特網(wǎng)最初是學(xué)術(shù)界和科學(xué)界理想上設(shè)計的���,且其假定網(wǎng)絡(luò)的用戶將 在非對抗性協(xié)作方式中工作�����。隨著因特網(wǎng)開始擴展到公共網(wǎng)絡(luò)中��,這些團體以外的用途 相對有限�����,其中新用戶中的大多數(shù)位于大公司中�。這些公司具有計算設(shè)施來以各種安全 性程序(例如防火墻)保護其用戶的數(shù)據(jù),所述安全性程序不要求將安全性建立到因特 網(wǎng)本身中�。然而,在過去的若干年中���,因特網(wǎng)用途已經(jīng)迅猛發(fā)展?�,F(xiàn)在數(shù)百萬的人定期 地使用因特網(wǎng)和萬維網(wǎng)���。(下文中,同義地使用術(shù)語"因特網(wǎng)"和"萬維網(wǎng)"����,除非另外 指示。)從交換電子郵件消息到搜索信息以執(zhí)行商務(wù)交易�����,這些用戶執(zhí)行廣泛多種任務(wù)�����。 這些用戶可從家里�����、從其蜂窩式電話、或從安全性程序通常不可用的若干其它環(huán)境訪問 因特網(wǎng)�。
為支持因特網(wǎng)上的商務(wù)(常稱為"電子商務(wù)"或簡單稱為"e商務(wù)")的增長,不得 不開發(fā)容易訪問且廉價的安全性程序�。第一種通常使用的安全性措施涉及公鑰基礎(chǔ)結(jié)構(gòu) (下文稱為"PKI")。 PKI利用證書作為安全性基礎(chǔ)結(jié)構(gòu)的基礎(chǔ)���。證書利用公鑰和第三方 驗證實體來允許服務(wù)器對客戶端傳輸進行解碼且鑒定客戶端的身份�。在操作中���,網(wǎng)絡(luò)中 的第一節(jié)點可用其自身的私鑰加密消息�。所述消息可由第二節(jié)點用第一節(jié)點的公鑰進行讀取����。公鑰可僅用于解密由私鑰創(chuàng)建的消息��,且無法用于加密消息�����。因此����,第一節(jié)點自 由地分布其公鑰����。分布公鑰的一種方式是將其包含在證書中��。存在若干用于證書的標準���, 包含X0.509標準�����,其界定證書的標準格式���。X0.509是ITU推薦及國際標準,其界定用 于提供鑒定的框架�。(參見"ITU推薦X0.509 (1997)信息技術(shù)——開放系統(tǒng)互連一 目錄"鑒定框架",1993年11月"���。此信息還公開于國際標準ISDO/IEC 9594-8 (1995) 中����。)此標準中界定證書格式��。根據(jù)此國際標準以界定的格式創(chuàng)建的證書被稱為"X0.509 證書"。
發(fā)明內(nèi)容
在各種實施例中����,提供用于基于接近度部署動態(tài)憑證基礎(chǔ)結(jié)構(gòu)的方法、系統(tǒng)和裝置��。 實施例包含建立近距離或近場通信鏈路且在所述通信鏈路上發(fā)送憑證信息����。可使用另一 單獨憑證(例如密碼或生物計量數(shù)據(jù))驗證用戶的身份��。多種無線的接近度有限通信技 術(shù)可用于移動裝置(例如���,手機��、PDA和其它無線裝置)以建立對等(P2P)數(shù)據(jù)鏈路�����。 在P 2 P鏈路已配置有無線的接近度有限的通信之后,可經(jīng)由所述鏈路傳送安全性憑證信 息�,其可用于保障或鑒定另一無線通信技術(shù),例如BlueTooth⑧或Wi-Fi��,所述另一無線 通信技術(shù)可用于較長距離通信或用于傳送較大量的數(shù)據(jù)。由于無線的接近度有限通信技 術(shù)限于短距離�����,因此這種自建立的無線通信鏈路為用戶提供了在通過使兩個或兩個以上 移動裝置緊密接近而傳送憑證信息之前或在其期間鑒定移動裝置的直觀機制��。
并入本文且構(gòu)成本說明書的部分的
本發(fā)明的示范性實施例�,且連同上文給 出的一般描述和下文給出的詳細描述一起用以闡釋本發(fā)明的特征。
圖1是包含實施于若干移動裝置上的短距離無線通信的無線蜂窩式網(wǎng)絡(luò)的系統(tǒng)框圖���。
圖2是適合于將裝置加入信任域的實施例方法的過程流程圖����。 圖是用于建立圖2中所說明的信任域的實施例的消息流程圖��。 圖4是適合于建立信任域的另一實施例方法的過程流程圖���。 圖5是用于建立圖4中所說明的信任域的實施例的消息流程圖�。 圖6是適合于建立信任域的另一實施例方法的過程流程圖�����。 圖7是適合于建立信任域的另一實施例方法的過程流程圖��。圖8是用于建立圖7中所說明的信任域的實施例的消息流程圖。
圖9是適合于在若干裝置之間建立信任域的實施例方法的過程流程圖�。
圖IO是用于建立圖9中所說明的信任域的實施例的消息流程圖。
圖11是適合于建立信任域的另一實施例方法的過程流程圖�。
圖12是用于建立圖11中說明的信任域的實施例的消息流程圖。
圖13是適合于從信任域移除裝置的實施例方法的過程流程圖�����。
圖14是用于從圖13中所說明的信任域移除裝置的實施例的消息流程圖�。
圖15是適合于與各種實施例一起使用的實例性移動裝置的電路框圖。
圖16是適合于與各種實施例一起使用的實例性計算機或其它經(jīng)編程裝置的電路框圖�。
圖17是適合于與各種實施例一起使用的實例性服務(wù)器的電路框圖。 圖18是根據(jù)實施例的無線患者監(jiān)視系統(tǒng)的系統(tǒng)框圖�����。
圖19是適合于連接圖18所示的患者監(jiān)視系統(tǒng)內(nèi)的組件的實施例方法的過程流程圖��。
圖20是適合于與各種實施例一起使用的實例性虛擬電纜連接器裝置的電路框圖���。 圖21是適合于使用圖20所示的虛擬電纜連接器裝置連接圖18所示的患者監(jiān)視系 統(tǒng)內(nèi)的組件的實施例方法的過程流程圖�。
具體實施例方式
將參看附圖詳細描述各種實施例�����。只要可能���,便在整個圖式中使用相同的參考標號 來指代相同或類似部分����。對特定實例和實施方案做出的參考是用于說明性目的�,且不希 望限制本發(fā)明或權(quán)利要求書的范圍。
詞"示范性"在本文中意味著"用作實例����、例子或說明"。在本文中描述為"示范 性"的實施方案不一定闡釋為比其它實施方案優(yōu)選或有利�。
如本文使用,術(shù)語"移動裝置"和"手持式裝置"指代以下任一者或全部蜂窩式
電話���、個人數(shù)據(jù)助理(PDA)����、掌上型計算機���、無線電子郵件接收器和蜂窩式電話接收 器(例如��,Blackberry⑧和Treo㊣裝置)��、多媒體因特網(wǎng)啟用的蜂窩式電話(例如��,iPhone⑧) 以及類似的包含可編程處理器和存儲器���、近距離通信收發(fā)器和能夠連接到無線網(wǎng)絡(luò)的另 一通信收發(fā)器的個人電子裝置�����。如本文使用�����,術(shù)語"裝置"�、"通信裝置"�、"無線裝置" 以及"無線通信裝置"可互換使用以指代包含近距離通信收發(fā)器、第二收發(fā)器(可為有 線或無線的)以及耦合到所述兩個收發(fā)器的處理器的電子裝置����,所述處理器配置有參與實施例系統(tǒng)且執(zhí)行實施例方法的某些步驟的軟件指令。下文參看圖1����、 15到17和20更 詳細地描述合適裝置的一些實例,但希望廣義上闡釋術(shù)語����,因為實施例適用于超過實例 性實施例的范圍的較廣范圍的應(yīng)用和實施方案。^些實施例涉及包含此些網(wǎng)絡(luò)的小區(qū)塔 的蜂窩式電話網(wǎng)絡(luò)系統(tǒng)��,本發(fā)明和權(quán)利要求書的范圍涵蓋任何有線或無線的通信系統(tǒng)�����, 包含例如以太網(wǎng)����、WiFi、 WiMax和其它無線數(shù)據(jù)網(wǎng)絡(luò)通信技術(shù)���。
如本文所使用�,術(shù)語"信任域(trust domain)"指代一組裝置����,其擁有共同或相關(guān) 憑證以使得所述裝置可相互"信任"而以安全方式共享機密信息和交換通信。信任域的 實例是共享由相同證書授權(quán)方(CA)簽發(fā)的一組X0.509證書(即��,PKI)的一對(或 更多)裝置��。信任域的另一實例是共享對稱憑證的一對(或更多)裝置��。為了將信任域 擴展到另一裝置,接收裝置需要被驗證為有效的新成員��,且需要安全地交換憑證�。
各種實施例利用無線的接近度有限通信技術(shù)來強加使兩個電子裝置進行鑒定且隨 后交換憑證信息的需要,所述憑證信息例如為數(shù)字證書���、加密密鑰以及可用于部署憑證 基礎(chǔ)結(jié)構(gòu)(例如PKI)以用于兩個或兩個以上裝置之間的安全有線或無線通信的其它憑 證數(shù)據(jù)�����。多種無線的接近度有限通信技術(shù)可用于此目的����。舉例來說����,可使用近場通信 (NFC)協(xié)議技術(shù)。NFC技術(shù)裝置在13.56 MHz的未經(jīng)調(diào)整的RF帶巾操作�,且完全符合 現(xiàn)存的非接觸式智能卡技術(shù)、標準和協(xié)議��,例如FeliCa和Mifare�����。 NFC啟用的裝置可與 非接觸式智能卡和符合這些協(xié)議的智能卡讀卡器互操作。NFC協(xié)議通信的有效范圍大約 為0-20 cm (直到8英寸)�����,且數(shù)據(jù)通信通過來自使用鏈路的應(yīng)用程序的命令或在通信的 裝置移動到范圍之外時終止�。
通過從非接觸式�����、識別和聯(lián)網(wǎng)技術(shù)的組合進行演變�,NFC協(xié)議成為短距離無線連接 性標準。已為NFC協(xié)議建立若干國際標準����,包含例如ISO/IEC 14443、 ISO/IEC 15693����、 ISO/IEC 18092、 ISO/IEC 21481���、 ISO/IEC 22536��、 ISO/IEC 23917�����、 ISO/IEC DIS 28361 �����、 ECMA-340 (稱為NFCIP-1)��、 ECMA-352 (稱為NFCIP隱2)�、 ECMA-356、 ECMA-362��、 ECMA-373�、 ECMA/TC32-TG19/2006/057、 NFC-WI以及NFC-FEC����。
然而,實施例和權(quán)利要求書不一定限于NFC協(xié)議中的任一者或全部�����,而是可涵蓋 任何近距離(即�����,接近度有限)的無線通信鏈路?���?稍谀承嵤├惺褂萌魏螣o線的接 近度有限通信技術(shù)。除了上文列出的NFC協(xié)議以外����,可使用其它近距離通信媒體建立 無線的接近度有限通信鏈路�,所述媒體包含例如射頻識別(RFID)標簽和紅外數(shù)據(jù)協(xié)會 (1rDA)協(xié)議。而且���,可開發(fā)其它近距離無線協(xié)議和標準且可以與NFC協(xié)議裝置相同的 方式用于各種實施例中��。此外��,較長距離無線技術(shù)和協(xié)議可與出于相互識別電子裝置的 目的而限制其有效范圍的修改或添加一起使用����。舉例來說���,WiFi�、 BlueTooth (使用2.4GHz頻帶通信)、超寬帶(UWB)���、 IEEE 802.15.4和Zigbee⑧無線通信協(xié)議和標準也可 與范圍限制特征組合使用���。舉例來說,可針對鑒定通信限制發(fā)射器的功率����,使得兩個裝 置必須相對靠近(例如,相互在幾英尺以內(nèi))以便發(fā)送和接收通信�。作為另一實例,可 強加往返行程通信延遲限制�����,使得鑒定通信可僅在此些信號的往返行程小于用以抑制從 大約數(shù)英尺以外發(fā)送的信號的閾值設(shè)置(可如同二到三英尺間隔那樣短)的情況下發(fā)生��。
在日益增加地采用射頻識別(RFID)非接觸式智能卡支持廣范圍應(yīng)用(例如��,訪問�、 支付和檢票)以及例如手機等NFC協(xié)議裝置的商業(yè)可用性的情況下,具有RFID的移動 裝置的集中正在獲得關(guān)注�。
為了參考的簡單,各種實施例和權(quán)利要求書提及"近距離通信"和"近場通信"以 便涵蓋任何和全部無線的接近度有限通信技術(shù)��。除了通信技術(shù)將不會在約三米(約十二 英尺)以外交換憑證信息之外,本文對"近距離通信鏈路(CRCL)"和"近場通信"的 參考不希望以任何方式限制描述內(nèi)容或權(quán)利要求書的范圍��。在優(yōu)選實施例中���,將通信范 圍限制于小于約一米(約三英尺)��,在更優(yōu)選實施例中��,將通信范圍限于小于約一英尺�����, 且在一些實施例中���,將通信范圍限于大約0-20cm (直到8英寸)���。為了反映此差異性�, 將使用具有大約0-20 cm (直到8英寸)的通信范圍的鏈路的實施例的描述稱為"NFC 協(xié)議"鏈路���。因此����,對"近場通信協(xié)議"和"NFC協(xié)議"通信的參考希望限于具有由上 文列出的各種NFC協(xié)議和標準提供的范圍的通信收發(fā)器和技術(shù),但也可包含具有類似 有限通信范圍的RFID收發(fā)器和技術(shù)�。
在近距離通信(例如NFC協(xié)議裝置)的情況下,可將任何兩個裝置相互連接以容 易地且安全地交換信息或訪問內(nèi)容和服務(wù)�����。解決方案提供商指出NFC協(xié)議系統(tǒng)的直觀 操作使得技術(shù)特別容易供消費者使用("僅觸摸進行(touch and go)")�����,而由其非常短的 通信范圍帶來的固有安全性使得此些系統(tǒng)理想地用于移動支付和金融交易應(yīng)用����。NFC協(xié) 議技術(shù)的常見應(yīng)用是在建筑物安全系統(tǒng)、大量客運票卡系統(tǒng)以及僅需要靠近銷售讀取器 的點便可完成交易的智能信用卡中使用的電子萬能鑰匙(electronic pass key)��。
隨著移動裝置和消費者電子裝置變得更加有能力且可在售后提供許多服務(wù)����,在部署 憑證基礎(chǔ)結(jié)構(gòu)(例如PKI)和類似的憑證后期制作的可縮放方法變得日益重要?�?墒褂?多種己證實的方法處置憑證信息的交換����,所述方法可涉及復(fù)雜的保護以防止竊聽���、偽造 和侵占。然而�����,存在以下情況兩個裝置可放置成緊密接近以允許固有地信任用戶(即�, 用戶關(guān)注正確的裝置行為),或在信任的環(huán)境中(例如在銀行的出納臺)建立接近條件��, 或使用額外的憑證來允許將信任域擴展到新裝置��。因此��,各種實施例提供較簡單的系統(tǒng) 和方法來通過均衡由接近度提供的固有安全性而擴展現(xiàn)存的憑證基礎(chǔ)結(jié)構(gòu)的信任域���?���?偟膩砜?��,各種實施例均衡近距離通信以交換憑證信息,以便確保在創(chuàng)建或擴展信 任域之前的物理認知��。近距離近場通信技術(shù)的使用在己處于信任域中的裝置與待添加的 新裝置之間建立物理認知,因為裝置需要緊密接觸(例如�����,在NFC協(xié)議裝置情況下為8 英寸以內(nèi))���。在此接近事件之后��,信任域內(nèi)的裝置使用無線協(xié)議來向新裝置發(fā)送憑證信 息����。雖然近距離通信和NFC協(xié)議鏈路允許以最小的被攔截或干擾的風(fēng)險不受阻礙地交 換憑證�,但也可依據(jù)實施方案而使用完整性受保護和/或機密性受保護的通信。NFC協(xié) 議技術(shù)限于此些短距離�����,使得用戶必須使兩個裝置觸碰或幾乎觸碰在一起以建立通信鏈 路����。本文稱為接近事件的此物理動作因此提供用于建立對等(P2P)無線通信鏈路的直 觀機制;如果用戶希望將新裝置加入信任域��,那么其僅須將新裝置觸碰信任域的成員����。 在各種實施例中�����,對此觸碰通信機制進行均衡以提供用于用戶使移動裝置在交換憑證數(shù) 據(jù)之前或同時進行相互鑒定的直觀手段��。一旦兩個(或兩個以上)裝置建立較近距離P2P 鏈路且交換憑證數(shù)據(jù)��,那么便可使用憑證基礎(chǔ)結(jié)構(gòu)建立較長距離無線(或有線)網(wǎng)絡(luò)安 全且信任的通信����。除了添加安全性層以外��,各種方法避免了對形成信任群組或向信任群 組添加成員所涉及的安全性和鑒定協(xié)議的需要�����。近距離P2P鏈路的有限范圍使其大體上 不容易遭受竊聽�,且避免了非所要的裝置嘗試經(jīng)由長距離無線鏈路侵入信任的通信的問 題。
作為交換憑證信息的部分或除了交換憑證信息以外���,短距離通信鏈路也可用于交換 建立由信任域使用的第二有線或無線通信鏈路所需的信息。舉例來說�,兩個裝置可交換 實現(xiàn)在沒有進一步同步活動或用戶動作的情況下立即建立BlueTooth⑧無線數(shù)據(jù)鏈路所 必要的地址和裝置識別符信息����。作為另一實例�,兩個裝置可交換因特網(wǎng)協(xié)議(IP)或局 域網(wǎng)地址信息以實現(xiàn)經(jīng)由WiFi無線或基于以太網(wǎng)的網(wǎng)絡(luò)的通信。以此方式����,接近事件 確保兩個裝置能夠安全地進行通信而不需要任何進一步用戶動作。因此���,各種實施例使 得用戶能夠僅通過將兩個或兩個以上裝置帶入成緊密接近而起始安全的信任域通信�����。
在一實施例中���,信任域可利用接近事件和相關(guān)聯(lián)的近距離通信鏈路來接受新成員作 為有效裝置,以將信任域擴展到新成員���。這可能使用戶通知成為必需��?;蛘撸湃斡蚩?結(jié)合用戶確認而利用接近度檢測方法來接受新成員作為有效裝置�,以將信任域擴展到新 成員。下文參看圖2到圖3更詳細地闡釋此實施例�。
在另一實施例中,信任域利用接近事件和相關(guān)聯(lián)的近距離通信鏈路加上另一單獨憑 證來接受新成員作為有效裝置��,以將信任域擴展到新成員�����。此實施例可能必須使用密碼����、 生物計量測量和其它外部提供的憑證。下文參看圖4到圖5更詳細闡釋此實施例�����。
在另一實施例中���,信任域利用接近事件和相關(guān)聯(lián)的近距離通信鏈路加上已在新裝置上建立的另一憑證(例如�����,提供裝置制造商或服務(wù)提供者的PK1以驗證新成員的由來)��, 同時使用接近度條件來進一步鑒定新裝置且傳送新服務(wù)的憑證���。下文參看圖6到圖8更 詳細地闡釋此實施例。
在一實施例中�,信任域利用兩個后續(xù)裝置(例如在某一時間限制內(nèi))的接近事件和 相關(guān)聯(lián)的近距離通信鏈路來接受新成員作為有效裝置,以將信任域擴展到新成員�。第一 裝置接觸建立物理上安全的環(huán)境(例如,銀行的顧客服務(wù)臺)�����,而第二裝置接觸(即����, 接近事件)建立憑證以用于建立信任域。此實施例可在提供實體經(jīng)由其它非電子/非密碼 裝置(例如����,以合同方式經(jīng)由所有權(quán)等)而受到服務(wù)實休信任時為有用的。下文參看圖 9到圖IO更詳細地闡釋此實施例��。
在各種實施例中�,當(dāng)在接近度條件中發(fā)現(xiàn)新成員時,信任域內(nèi)的憑證集合可能預(yù)先 存在��。在此些環(huán)境中,信任域可將現(xiàn)存的憑證集合擴展到新裝置����。或者�,信任域的成員 可產(chǎn)生通過在接近度條件中發(fā)現(xiàn)新成員而觸發(fā)的新的憑證集合。下文參看圖11到圖12 更詳細地闡釋此替代方案����。
在各種實施例中,也可將接近事件用作從信任域移除裝置的部分�����。下文參看圖13 到圖14更詳細地闡釋此實施例���。
各種實施例可用于多種有線和無線網(wǎng)絡(luò)���,包含例如采用蜂窩式數(shù)據(jù)通信鏈路的無線 網(wǎng)絡(luò)。舉例來說�,圖1展示包含蜂窩式網(wǎng)絡(luò)的信任域通信網(wǎng)絡(luò)10的框圖,其中一些移 動蜂窩式裝置具有充當(dāng)例如NFC協(xié)議和RFID通信等近距離無線通信的讀取器的額外能 力�����。網(wǎng)絡(luò)10可包含終端12,其在所說明的系統(tǒng)中配置有用于發(fā)射和接收去往/來自蜂窩 式基站(BS) 16的蜂窩式信號2的網(wǎng)絡(luò)天線和收發(fā)器�����。終端12還包含近距離通信收發(fā) 器�����。在此實例性網(wǎng)絡(luò)10中��,基站16是蜂窩式網(wǎng)絡(luò)的一部分��,其包含操作網(wǎng)絡(luò)所需的元 件�����,例如移動交換中心(MSC) 18�。在操作中��,MSC 18能夠在終端12正在做出和接收 蜂窩式數(shù)據(jù)呼叫時經(jīng)由基站16向終端12和從終端12路由呼叫和消息���。MSC 18還在終 端12處于呼叫中時提供到電話陸上線路干線(未圖示)的連接�����。此外��,MSC可以(但 無需)耦合到服務(wù)器網(wǎng)關(guān)22��,所述服務(wù)器網(wǎng)關(guān)22耦合到因特網(wǎng)24����。
MSC 18還可通過例如局域網(wǎng)(LAN)、城域網(wǎng)(MAN)和/或廣域網(wǎng)(WAN)等有 線網(wǎng)絡(luò)連接1耦合到網(wǎng)絡(luò)19�����。 MSC 18可直接通過有線網(wǎng)絡(luò)連接1耦合到網(wǎng)絡(luò)19�,或者 如果系統(tǒng)包含網(wǎng)關(guān)22 (如圖示),那么MSC可經(jīng)由網(wǎng)關(guān)22耦合到網(wǎng)絡(luò)19����,所述網(wǎng)關(guān)22 具有到阿絡(luò)19的有線網(wǎng)絡(luò)連接1。在典型實施例中���,MSC 18耦合到網(wǎng)關(guān)22��,且網(wǎng)關(guān)22 耦合到因特網(wǎng)24�����。而且��,例如膝上型計算機30 (如圖示)或任何其它處理元件(例如�, 個人計算機、服務(wù)器計算機等)等電子裝置可借助于其自身的因特網(wǎng)連接9��,經(jīng)由因特網(wǎng)24耦合到終端10����。在又一實施例中,與源服務(wù)器26相關(guān)聯(lián)的一個或一個以上處理元 件可借助于因特網(wǎng)24耦合到此網(wǎng)絡(luò)10��。
除了蜂窩式網(wǎng)絡(luò)通信2以外�,終端12可經(jīng)裝備以經(jīng)由局部無線網(wǎng)絡(luò)3和近距離通 信鏈路4與例如移動裝置28����、 29、 30等其它裝置通信�����。舉例來說����,在圖l實施例中�, 終端12經(jīng)配置以與第一移動裝置28��、第二移動裝置29以及膝上型計算機30通信��,第 一移動裝置28�、第二移動裝置29以及膝上型計算機30各裝備有內(nèi)部NFC協(xié)議收發(fā)器 (例如,NFCIP-2收發(fā)器)��。終端12還經(jīng)配置以經(jīng)由例如BlueTooth⑥或其它局域無線鏈 路3等另一較長距離無線通信鏈路與這些裝置28�����、 29�����、 30通信��。舉例來說�,終端12可 包含NFCIP-2 NFC收發(fā)器和正EE 802.1 lg無線數(shù)據(jù)網(wǎng)絡(luò)收發(fā)器。類似地����,將移動裝置 28、 29和膝上型計算機30說明為配置有兼容的NFC協(xié)議和局域(或廣域)無線收發(fā)器。
終端12和其它網(wǎng)絡(luò)裝置28��、 29����、 30中的近距離通信收發(fā)器可為能夠根據(jù)若干不同 的近距離技術(shù)(例如上文列出的NFC協(xié)議和標準中定義)中的任一者來發(fā)射和/或接收 數(shù)據(jù)的若干不同已知收發(fā)器(包含(例如)RFID標簽)中的任一者。舉例來說�,NFC 收發(fā)器可為NFCIP-1或NFCIP-2收發(fā)器、RFID收發(fā)器或RFID標簽����,或使用BlueTooth (即,2.4 GHz頻帶中的通信)���、紅外����、紅外數(shù)據(jù)協(xié)會(IrDA)����、超寬帶(UWB)或其它 無線通信鏈路����。
終端12和網(wǎng)絡(luò)裝置28、 29�、 30還包含可用于在信任域內(nèi)安全地傳輸數(shù)據(jù)的第二數(shù) 據(jù)通信鏈路����。舉例來說���,如圖l所說明����,第二數(shù)據(jù)通信鏈路可為例如根據(jù)IEEE 802.11g 標準的局域無線鏈路3�。此第二數(shù)據(jù)通信鏈路無需是無線的,且可為有線局域網(wǎng)(未圖 示)�����,例如令牌環(huán)形網(wǎng)絡(luò)或以太網(wǎng)網(wǎng)絡(luò)��。
除了移動裝置28��、 29和膝上型計算機30以外�,網(wǎng)絡(luò)10還可包含或替代地包含若 干不同電子裝置中的任一者,包含其它移動終端�、無線附件(例如,大容量存儲裝置�����、 聯(lián)網(wǎng)的打印機、監(jiān)視器等)����、便攜式數(shù)字助理(PDA)、尋呼機��、桌上型計算機���、醫(yī)療裝 置�����、數(shù)據(jù)傳感器和其它類型的電子系統(tǒng)�。
圖1說明可作為信任域的成員的裝置���。舉例來說���,可在終端12����、移動裝置28、 29 和膝上型計算機30之間建立信任域。此信任域的實例可為使用終端12作為用于管理信 任域的集線器的辦公室網(wǎng)絡(luò)連接計算機系統(tǒng)�����。作為另一實例����,信任域可包含移動裝置28、 29以用于通過與巾央數(shù)據(jù)處理器和通信集線器(例如��,終^ 12)進行通信而遠程處理 信用卡�����。作為又一實例�,信任域可包含移動醫(yī)師助理PDA28、 29和遠程終端30以用于 從中央數(shù)據(jù)處理器和通信集線器(例如�,終端12)分布患者記錄以及向中央數(shù)據(jù)處理器 和通信集線器(例如,終端12)傳輸患者信息��。在此些實例中����,信任域能夠經(jīng)由由無線數(shù)據(jù)鏈路3傳輸?shù)陌踩⒃谛湃蔚难b置內(nèi)共享數(shù)據(jù)。此些信任域傳輸可為例如在移動 裝置28與移動裝置29之間說明的對等鏈路��,或例如在移動裝置28、 29與膝上型計算 機30之間說明的經(jīng)由終端12的間接網(wǎng)絡(luò)通信��。此信任域也可例如通過終端12經(jīng)由蜂 窩式數(shù)據(jù)通信鏈路2與耦合到因特網(wǎng)24的基站16或直接連接到因特網(wǎng)24的膝上型計 算機30 (如所說明)通信����,來與外部網(wǎng)站和數(shù)據(jù)源通信。類似地��,移動裝置28�、 29中 的一者或一者以上也可能能夠例如通過蜂窩式數(shù)據(jù)通信鏈路2與基站16直接通信。
圖1中所說明的架構(gòu)還支持包含較遠的元件(例如耦合到因特網(wǎng)24的服務(wù)器26) 的信任域��。舉例來說�����,信任域可由CA服務(wù)器26經(jīng)由因特網(wǎng)24管理�。既定用于信任域 的消息可經(jīng)由因特網(wǎng)24從CA服務(wù)器26傳輸?shù)交?6且隨后傳輸?shù)浇K端12,如所說 明�。信任域消息可從終端12經(jīng)由局部無線通信鏈路3再廣播到其它群組部件28、 29����、 30。來ft信任域的任何成員的消息隨后可以反向方式被路由到CA服務(wù)器26�。類似地, 信任域可包含位于終端12的范圍以外的計算裝置�,例如耦合到因特網(wǎng)24的計算機?�??使用IP地址和因特網(wǎng)技術(shù)中眾所周知的尋址方案��,將去往信任域成員和信任域成員之 間的消息引導(dǎo)到每一成員裝置�����。
雖然用于向信任域����、從信任域和在信任域內(nèi)通信的協(xié)議和方法是眾所周知的,但各 種實施例提供用于建立信任域或用于將新成員加入現(xiàn)存信任域的新機制�����。通過將近距離 通信收發(fā)器添加到終端12和成員移動裝置28�����、 29�����、 30,使此些收發(fā)器的接近度限制均 衡��,以使得兩個不相關(guān)的裝置(例如終端12和移動裝置28)相互了解���。因此���,為了將 第一移動裝置28添加到包含終端12的信任域,使第一移動裝置非常緊密接近終端12���。 通過使用已知的近距離通信技術(shù)中的一者�,第一移動裝置28和終端12建立近距離數(shù)據(jù) 鏈路4�����。通過使用近距離數(shù)據(jù)鏈路4��,第一移動裝置28可向終端12發(fā)送加入信任域的 請求���。也可在此點尋址例如裝置尋址�����、用戶通知和/或信任域參與確認等額外信息��。
在一實施例中�����,第一移動裝置28和終端12具有經(jīng)由完全不同的物理鏈路的數(shù)據(jù)連 接性����,所述物理鏈路為除了近距離通信鏈路4以外的例如802.11g無線鏈路3和CDMA 蜂窩式數(shù)據(jù)通信鏈路2�。在此實施例中���,可使用802.11g無線鏈路3����、 CDMA蜂窩式數(shù) 據(jù)通信鏈路2或兩者來建立信任域。在又一實施例中���,群組裝置中的一者或一者以上(例 如,膝上型計算機30)可包含可用于信任域通信的有線網(wǎng)絡(luò)鏈路1。
每-裝置12�、 28、 29��、 30可使用其近距離通信收發(fā)器與新裝置通信,且使用其安 全通信鏈路(例如,有線����、無線和/或蜂窩式鏈路1�、 2或3)向信任域的其它成員通知 新裝置已加入或請求加入信任域��,且因此擴展信任域。因此����, 一旦已建立信任域����,群組 的具有近距離通信能力的任何成員便可通過放置成與新裝置足以建立近距離通信鏈路4的緊密接近度中而將另一裝置加入到群組。由于聯(lián)網(wǎng)鑒定是通過使兩個裝置緊密接近而 建立�����,且憑證���、網(wǎng)絡(luò)和信任域地址以及設(shè)置信息是經(jīng)由近距離通信鏈路4而傳送��,因此 將新裝置加入經(jīng)建立的信任域可對用戶完全透明�。
圖l所說明的網(wǎng)絡(luò)10實現(xiàn)移動裝置28、 29與網(wǎng)絡(luò)上的其它計算裝置(例如,膝上 型計算機30)之間的多種連接。舉例來說����,信任域可借助于蜂窩式通信網(wǎng)絡(luò)2�����、通過局 部無線網(wǎng)絡(luò)3、通過經(jīng)由經(jīng)由MSC 18和網(wǎng)絡(luò)19到基站16的蜂窩式通信鏈路2訪問的 有線網(wǎng)絡(luò)連接l�����、以及通過因特網(wǎng)連接9經(jīng)由因特網(wǎng)24進行通信。以虛線通信符號相對 于膝上型計算機30說明此網(wǎng)絡(luò)連接的靈活性���。 一旦信任域己由本文所描述的短距離通 信鏈路4程序鑒定���,那么信任域裝置便可通過安全對等鏈路直接相互通信,或經(jīng)由網(wǎng)絡(luò) 1�、 2、 3�、 9或24間接相互通信。
雖然圖1將終端12展示為非移動終端����,但此裝置本身可為移動裝置,例如移動裝 置29�、膝上型計算機或移動車輛上的個人計算機。舉例來說����,移動裝置29可充當(dāng)包含 其本身、移動裝置28和膝上型計算機30的信任域的集線器���,其中網(wǎng)絡(luò)通信包含蜂窩式 數(shù)據(jù)網(wǎng)絡(luò)鏈路2和局域無線鏈路3����。在此實例中, 一旦通過使第二移動裝置28充分靠近 第一移動裝置29以建立近距離通信鏈路4而確認信任域成員關(guān)系���,那么去往信任域��、 來自信任域和在信任域之間的通信可根據(jù)眾所周知的信任域通信方法和協(xié)議而繼續(xù)進 行���。
可加入信任域的每一裝置可配置有應(yīng)用程序軟件以在任何兩個裝置緊密接近時自 動協(xié)商信任域的創(chuàng)建。類似地����,裝置可配置有應(yīng)用程序軟件以在兩個裝置緊密接近時將 一個裝置自動加入另一裝置已是其成員的經(jīng)建立信任域。此些使用近距離通信收發(fā)器的 通信能力的應(yīng)用可消除建立安全信任域的大部分復(fù)雜性���。用戶將群組識別和通信鏈路信 息輸入一個或一個以上裝置的需要被兩個裝置觸碰(或幾乎觸碰)在一起的要求取代��。 以此方式��,可通過簡單地依序?qū)⒏鞣N成員裝置觸碰在一起來快速配置擴展的信任域�。
除了提供用于建立或擴展信任域的簡單機制以外��,各種實施例還提供用于交換信任 域通信�、識別和地址信息的安全機制����。由于近距離通信鏈路4在定義上是非常短距離的���, 因此其不易受到竊聽和來自其它裝置的干擾。舉例來說�,圖1展示移動裝置28充分靠 近終端12以建立NFC鏈路4,而群組的其它成員(例如移動裝置29和膝上型計算機 30)無法接收或干擾所述通信��。由于未經(jīng)由廣域通信鏈路2��、 3交換憑證安全性和尋址 信息�����,因此裝置的無意加入或向竊聽者揭露憑證信息的風(fēng)險較低��。因此�,可在用戶不必 參加繁瑣的安全性程序的情況下在公共位置中快速形成安全的信任域。
雖然上文將圖1描述為基于蜂窩式數(shù)據(jù)網(wǎng)絡(luò)����,但可用其它無線網(wǎng)絡(luò)技術(shù)(例如WiFi或WiMax網(wǎng)絡(luò))實施相同的基本架構(gòu)。在此些替代的無線技術(shù)中����,基站16將為WiFi 或WiMax (例如)基站�。此網(wǎng)絡(luò)10的其它元件將大體上與圖1所示以及上文所述相同�����, 但不同的是終端12和其它網(wǎng)絡(luò)元件28����、 29、 30將經(jīng)配置以使用WiFi (或其它)無線通 信協(xié)議進行通信���。因此�����,用于描繪替代性無線和有線通信技術(shù)網(wǎng)絡(luò)的單獨圖式是不必要 的���,且使用圖l所示的參考標號對后續(xù)圖中的組件進行參考是希望涵蓋蜂窩式以及其它 有線和無線網(wǎng)絡(luò)元件兩者。類似地���,終端12可通過有線連接(類似于以耦合到膝上型 計算機30的方式展示的有線網(wǎng)絡(luò)連接1)耦合到局域網(wǎng)19�����,且無需包含蜂窩式網(wǎng)絡(luò)收 發(fā)器��。
在圖2和3中所說明的第一實施例中����,新裝置28連接到移動裝置29和終端12之 間的現(xiàn)存信任域�����。此信任域可基于此項技術(shù)中眾所周知的共享的憑證信息(例如�,加密 密鑰憑證的PKI集合)。當(dāng)新裝置28將要被加入信任群組時���,使其與終端12或另一移 動裝置29緊密接近�,使得自動建立近距離通信鏈路(步驟IOO�,消息34)。建立近距離 通信鏈路4的過程可涉及消息34內(nèi)涵蓋的一系列信號交換通信交換����。舉例來說,可采 用已知的NFC協(xié)議鏈路建立方法中的任一者��。經(jīng)由建立的近距離通信鏈路4�,新裝置 28可例如通過傳輸其裝置ID和標準請求消息(消息36)來請求向信任域進行登記(步 驟102)。作為響應(yīng),接收裝置(無論是終端12還是移動裝置29)可經(jīng)由近距離通信鏈 路4向新裝置28發(fā)送安全性憑證以及詢問消息(步驟106����,消息38)。此消息也可包含 用于安全性憑證的種子數(shù)據(jù)(在使用此加密技術(shù)的情況下)����。在接收到憑證和詢問消息 之后,新裝置可存儲憑證信息且隨后計算對詢問的適當(dāng)響應(yīng)���,且經(jīng)由近距離通信鏈路4 將響應(yīng)發(fā)送回到終端或移動裝置29 (步驟108���,消息40)。接收裝置(無論是終端12還 是移動裝置29)核査詢問響應(yīng)消息以確認值是正確的(測試110)����。如果值正確,那么 這指示憑證曾被準確接收且正由新裝置28適當(dāng)處理�,從而使得信任域能夠被擴展到新 裝置28,因此安全通信可經(jīng)由信任域數(shù)據(jù)鏈路而開始(步驟112)��。然而如果詢問響應(yīng) 不正確�,指示憑證未被適當(dāng)接收,那么終端12或移動裝置29可重新發(fā)送憑證�����,重復(fù)步 驟106且重新發(fā)送消息38。
在發(fā)送信任域憑證(步驟106)之前���,終端12或移動裝置29的用戶可被請求執(zhí)行 確認和授權(quán)登記的動作(任選步驟104)�。這可呈請求用戶確認許可新裝置28的意圖的 形式�,所述確認例如是通過按下小鍵盤上的字母"Y"���,或輸入密碼或向生物計量掃描器 進行提交以確認用戶是可授權(quán)將信任域擴展到新裝置28的人�����。
作為此過程的部分(例如在經(jīng)由信任域通信鏈路建立通信的過程中的步驟(步驟 112))���,可向新裝置28的用戶通知裝置正在被添加到信任域。此通知可呈在移動裝置顯示器上呈現(xiàn)的消息的形式���。類似地���,許可新裝置28到信任群組的裝置可例如通過傳送 將在每一裝置的顯示器上呈現(xiàn)的消息,而向信任域內(nèi)的其它裝置通知以及向用戶通知正 在添加新裝置��。
在一實施例中,接收裝置(即���,終端12或移動裝置29)可提供憑證和詢問(步驟 106和消息38)����,而無需從新裝置28接收登記請求����。在此實施例中,建立近距離通信鏈 路的過程(步驟100和消息34)提示接收裝置擴展信任域憑證����。
從用戶的觀點來看,將新裝置28加入信任群組的步驟僅由使新裝置28觸碰或幾乎 觸碰作為信任群組的部分的裝置(例如終端12或移動裝置29)(步驟100)組成����。隨后 很快地,新裝置28的用戶接收通知己啟用安全通信的通知(例如����,裝置的任選的顯示 通知或操作)(步驟112)。因此�,對于用戶來說,將新裝置28加入信任群組的過程幾乎 無法變得更容易����。即使如下文更詳細地描述的實施例中用戶被提示輸入密碼或生物計量 掃描��,部署和驗證憑證且確認安全通信能力的復(fù)雜性也是用戶所不知道的�。
在一實施例中�,信任域可由信任域內(nèi)的服務(wù)器(例如CA服務(wù)器26)管理。圖4和 5中說明用于許可新裝置28到此信任域的實例性過程和消息�����。在此實例中����,已在信任域 的成員(例如��,終端12和移動裝置29)與CA服務(wù)器26之間建立安全通信(消息42a)���。 類似于上文所述的實施例�����,當(dāng)新裝置28待添加到經(jīng)建立的信任域時����,使新裝置28緊密 接近信任域的成員(例如,終端12和移動裝置29)以建立近距離或NFC通信鏈路(步 驟IOO��,消息34)��。在近距離通信鏈路得以建立的情況下�����,新裝置28請求向信任域進行 登記(步驟102��,消息36)���。在此實施例中��,信任域內(nèi)的成員關(guān)系由CA服務(wù)器26管理�����, 因此在接收到登記請求后��,接收裝置(例如���,終端12或移動裝置29)將請求轉(zhuǎn)發(fā)到CA 服務(wù)器26(步驟1H,消息44)�����。由于接收裝置在信任域內(nèi),因此可使用安全無線或有 線網(wǎng)絡(luò)通信將轉(zhuǎn)發(fā)登記請求的消息發(fā)送到CA服務(wù)器26���。 CA服務(wù)器26接收請求�����,確認 連同請求一起提供的任何裝置信息��,且確認將新裝置28添加到信任域的請求(步驟116)���。
由于CA服務(wù)器26沒有緊密接近新裝置28或與新裝置28通信接觸�����,因此其可向轉(zhuǎn) 發(fā)登記請求的裝置(例如��,終端12和移動裝置29)發(fā)送請求����,請求所述裝置的用戶輸 入另一憑證以指示同意加入新裝置28 (步驟118,消息46)����?�?墒褂眯湃稳航M的安全通 信鏈路來傳輸此對來自信任域內(nèi)的用戶的第二憑證的請求����。此請求可針對簡單的用戶確 認動作(例如���,如果用戶同意��,按下字母"Y"鍵的請求)�、輸入CA服務(wù)器26已知的 密碼��、輸入生物計量掃描(例如�,將用戶手指掃描經(jīng)過包含在用戶裝置內(nèi)的指紋掃描器 的請求),或CA服務(wù)器26可辨識為指示用戶同意將新裝置28添加到信任域的某個其它 憑證���。作為響應(yīng)���,用戶執(zhí)行請求的動作(步驟118),其被傳輸?shù)紺A服務(wù)器26 (消息48)。而且���,可經(jīng)由信任域的安全通信網(wǎng)絡(luò)而傳輸此第二用戶憑證�。
CA服務(wù)器26隨后確認用戶的第二憑證(步驟120)??墒褂枚喾N已知方法確認第二 憑證。舉例來說�,如果第二憑證是密碼,那么CA服務(wù)器26可將接收到的密碼與指派給 被授權(quán)許可新裝置到信任域的個體的密碼列表(例如��,數(shù)據(jù)庫列表)進行比較�。舉例來 說,組織中的某些個體�,例如銀行的信貸員或公司內(nèi)的信息技術(shù)(IT)專業(yè)人員,可被 授權(quán)將憑證信息分布給新裝置��,例如膝上型計算機或新硬件安裝�。為了確保向信任域添 加新裝置是由信任的個體起始,CA服務(wù)器可配置有指派給此些個體的密碼列表�����。為提 供較高等級的安全性���,指派給此些信任的個體的移動裝置可配置有具有存儲于CA服務(wù) 器26上的數(shù)據(jù)庫中的經(jīng)授權(quán)用戶的生物計量數(shù)據(jù)的生物計量傳感器,例如指紋掃描器 179(見圖15)��。在此些實施方案中�����,CA服務(wù)器26可通過將從用戶移動裝置29接收的 生物計量數(shù)據(jù)與存儲在CA服務(wù)器26上所維持的或可由CA服務(wù)器26訪問的數(shù)據(jù)庫中 的經(jīng)授權(quán)用戶的生物計量數(shù)據(jù)進行比較,來驗證請求將新裝置28添加到信任域的用戶 被授權(quán)進行此操作�。
如果CA服務(wù)器26確認用戶的第二憑證,那么其傳輸待傳遞到新裝置28的憑證(步 驟122���,消息50)��。將此憑證消息發(fā)送到信任域的接收到初始登記請求的成員(例如終 端12或移動裝置29)�����?����;蛘?����,CA服務(wù)器26可簡單地授權(quán)接收裝置(例如����,終端12和 移動裝置29)以轉(zhuǎn)發(fā)用于建立信任域的憑證。所述裝置隨后向新裝置28發(fā)送憑證以及 詢問消息(步驟106�����,消息3S)�。由于新裝置28還不是信任域的成員,因此經(jīng)由近距離 通信鏈路發(fā)送憑證和詢問消息����。如上文參看圖2所述,新裝置28存儲憑證����,計算對詢 問的適當(dāng)響應(yīng),且將詢問響應(yīng)發(fā)送回到信任域中的緊密接近的成員(例如����,終端12或 移動裝置29)(步驟108,消息40)����。接收裝置核查詢問響應(yīng)消息以確認值正確(測試 110)。如果值正確��,那么這指示憑證曾被準確接收且正由新裝置28適當(dāng)處理����,從而使 得信任域能夠擴展到新裝置28,因此安全通信可經(jīng)由信任域數(shù)據(jù)鏈路而開始(步驟112�, 消息42a、 42b)��。然而�����,如果詢問響應(yīng)不正確�,從而指示憑證未被適當(dāng)接收,那么終端 12或移動裝置29可重新發(fā)送憑證��,重復(fù)步驟106且重新發(fā)送消息38���。
在一實施例中�����,接收裝置(即��,終端12或移動裝置29)可將新裝置28的登記的請 求轉(zhuǎn)發(fā)到CA服務(wù)器26 (步驟114和消息44),而無需從新裝置28接收登記請求���。在此 實施例中��,建立近距離通信鏈路的過程(步驟IOO�����,消息34)可提示接收裝置向CA服 務(wù)器26通知新裝置28正在嘗試加入信任域�����。此自動通知可足以使得CA服務(wù)器26能夠 確認新裝置28的添加(步驟116),且請求接收裝置輸入憑證以便同意將裝置28添加到 信任域(步驟118)�。在某些實例中���,新的移動裝置28可包含由原始設(shè)備制造商或服務(wù)提供者存儲在裝 置中的憑證信息��,例如數(shù)字簽名���。此憑證信息可有用于使得信任域管理者(例如CA服 務(wù)器26)能夠確定是否應(yīng)將新裝置添加到信任域?����?墒褂萌魏渭褐姆椒?包含(例如) PKI方法)驗證此憑證信息��。因此��,在圖6到圖8中說明的實施例中,作為決定是否將 裝置添加到信任域的過程的部分而確認存儲在新裝置28上的憑證���。參看圖6,在一個實 施方案中��,使新移動裝置28與經(jīng)建立的信任域的成員緊密接近�����,以便建立近距離通信 鏈路(步驟100)����。新裝置28隨后經(jīng)由近距離通信鏈路向經(jīng)建立的信任域的成員發(fā)送其 預(yù)加載的憑證以及登記請求(步驟102)。此消息類似于圖3中所說明的登記請求消息 36���,但添加了裝置的憑證信息�。在接收到憑證后��,信任域的成員(例如CA服務(wù)器26) 使用例如PKI方法等己知方法確認憑證(步驟124)��。如果憑證有效����,那么信任域(例如 CA服務(wù)器26)可確認新裝置28的由來�����,且繼續(xù)發(fā)出憑證信息以及詢問請求(步驟106)����。 此方法隨后以上文參看圖2和3針對步驟108���、 110和112描述的方式繼續(xù)�����。
在第二實施方案中�,新裝置28可使用其預(yù)加載的憑證信息來保障與CA服務(wù)器26 的第一通信鏈路�,且隨后請求進入信任域以接收新服務(wù)。如圖7和圖8中所說明��,新裝 置28可使用其預(yù)加載的憑證建立與CA服務(wù)器26的安全有線或無線通信鏈路(步驟126���, 消息52)����。通過使用此安全鏈路��,新裝置28隨后可請求針對新服務(wù)的登記(步驟128, 消息54)����。作為響應(yīng),CA服務(wù)器26可確認新裝置28的憑證(步驟130)�����。如果新裝置 28憑證得以確認�,那么CA服務(wù)器26可向新裝置28和信任域內(nèi)的包含新服務(wù)的另一裝 置(例如終端12)發(fā)送進入近距離通信鏈路的指令(步驟132���,消息56a和56b)���。接收 到建立近距離通信鏈路的指令的新裝置28的用戶(和/或終端12的用戶)隨后可使裝置 與終端12緊密接近(步驟100,消息34)�。 一旦近距離通信鏈路得以建立,新裝置28 便可經(jīng)由近距離通信鏈路向終端12發(fā)送登記請求(步驟102���,消息36)�。終端12隨后 可向CA服務(wù)器26轉(zhuǎn)發(fā)指示已發(fā)生與新裝置28的接近事件的確認消息(步驟115����,消 息58)���。作為響應(yīng),CA服務(wù)器26可向終端12提供將由新裝置28使用的憑證(步驟122��, 消息60)����。在此點,方法和消息大體上如上文參看圖4和圖5所述繼續(xù)進行���,以將信任 域擴展到包含新裝置28����。
在又一實施例中�����,本文描述的方法和系統(tǒng)可用于將信任域從CA服務(wù)器26擴展到第 一裝置29�,且隨后繼續(xù)擴展到第二裝置28 (依此類推)。如圖9到圖IO所說明��,可使 第一移動裝置29與CA服務(wù)器26緊密接近以便建立近距離通信鏈路(步驟100a����,消息 34a)����。第一裝置29可請求向CA服務(wù)器26進行登記(步驟102a和消息36a)�����,且作為 響應(yīng)���,CA服務(wù)器26發(fā)送憑證和詢問消息(步驟106a和消息38a)����。信任服務(wù)器26可發(fā)送憑證和詢問消息(步驟106a���,消息38a)而無需來自第一裝置29的提示,而是依賴 于近距離通信鏈路的建立(步驟100a)�����。如上文參看圖2和圖3所述�,第一移動裝置29 存儲憑證,計算對詢問請求的響應(yīng)�����,且將詢問響應(yīng)傳輸回到信任服務(wù)器26 (步驟108a, 消息40a)���。信任服務(wù)器26驗證詢問響應(yīng)有效(測試110a)���,且如果響應(yīng)并不有效則重復(fù) 發(fā)送憑證和詢問請求的步驟(步驟106a)。
如果新裝置29成功接收到憑證(即����,測試110a二 "是"),則新裝置29在信任域內(nèi) 移動且現(xiàn)在可用于將信任域擴展到其它裝置�����。舉例來說����,第一裝置29的用戶可使其緊 密接近第二裝置28,以便建立另一近距離通信鏈路(步驟100b�,消息34b)。請求登記 以及發(fā)送憑證�����、確認憑證被適當(dāng)接收且經(jīng)由信任域通信鏈路開始安全通信的過程(步驟 102b到112)隨后以與上文參看圖2和圖3描述的以類似方式標記的步驟大體上相同的 方式繼續(xù)進行。
此實施例具有用于將移動裝置29用作用于將若千其它裝置鏈接到信任域中的裝置 來分布憑證的若干有用的應(yīng)用�。
已將前述實施例描述為將現(xiàn)存的憑證從經(jīng)建立的信任域擴展到新裝置28。然而��,在 另一實施例中�,CA服務(wù)器26可在新裝置28請求加入信任域時發(fā)布新的憑證。此實施 例在新裝置28的進入要求不同等級的安全性或需要避免向新裝置28揭露先前憑證時可 為有用的��。
在圖11和圖12中所說明的此實施例中���,新裝置28以類似于上文參看圖4和圖5 所述方式的方式尋求通過建立近距離通信鏈路而加入信任域(步驟100和消息34)�����,且 向信任域的成員傳輸?shù)怯浾埱?步驟102和消息36)�。接收到來自新裝置28的登記請求 的成員裝置(例如�����,終端12或移動裝置29)將請求傳遞到CA服務(wù)器26 (步驟114和 消息44)�。在接收到中繼的登記請求后�,CA服務(wù)器26可產(chǎn)生將用于建立信任域的新憑 證(步驟134)。此新憑證將取代由信任域的成員所使用的當(dāng)前憑證�,使得可許可新裝置 28到所述信任域。為此,CA服務(wù)器26向信任域的每一成員發(fā)送新憑證以及詢問請求(步 驟106a和消息62)��。圖11展示正從CA服務(wù)器26傳遞到信任域的成員的新憑證信息的 遞送�,但新憑證也可以類似于上文參看圖9和圖10所述方式的方式從一個成員傳遞到 下一成員。如上文針對其它實施例所述����,接收到新憑證的每一裝置存儲憑證,計算對詢 問請求的適當(dāng)響應(yīng)�,且將所述詢問響應(yīng)傳輸回到提供憑證的裝置(步驟108a和消息64)。 核查詢問響應(yīng)的有效性(測試110a)����,使得如果憑證未被適當(dāng)遞送,則可將其重新傳輸 (步驟106a)��。由于信任域的成員己建立安全通信�,因此可使用所述鏈路進行新憑證的傳 輸(如圖12所示),而無需在信任域內(nèi)的每一對裝置之間建立近距離通信鏈路����。雖然圖11和圖12說明將憑證僅傳遞到信任域的單個成員,但可重復(fù)各個步驟��,直到信任域的 全部成員都已接收到新憑證為止����。
一旦己在信任域內(nèi)部署新憑證���,信任域的成員中的一者便可使用經(jīng)建立的近距離通 信鏈路將憑證傳遞到新裝置28。這可以與上文參看圖9和圖IO針對類似標號的步驟和 消息所述大體上相同的方式在步驟106b-112以及消息38和40中完成�����。
在上述實施例中的任一者中��,作為許可新裝置28到信任域的過程的部分�����,可提示 新裝置28的用戶輸入識別憑證�,例如密碼或生物計量識別符,以便確認用戶的身份或 加入信任域的先前授權(quán)�。此提示可作為建立近距離通信鏈路的過程(步驟100)的部分 而產(chǎn)生,且可在新裝置28的顯示器上呈現(xiàn)給用戶����。如果用戶被提示輸入密碼�����,那么用 戶可通過使用新裝置28上的小鍵盤或鍵盤來進行此操作。如果用戶被提示輸入生物計 量識別符����,那么用戶可使用新裝置28上的生物計量傳感器來使得新裝置能夠獲得其可 轉(zhuǎn)發(fā)到請求裝置的生物計量信息。舉例來說�,新裝置28可包含指紋掃描器179 (參見圖 15),使得用戶能夠提供指紋圖像或掃描作為生物計量識別符���。作為另-一實例���,用戶可 向新裝置28的麥克風(fēng)說出密碼短語,以便提供適合于聲紋識別的聲紋或音頻文件�。也 可使用其它生物計量憑證?����?勺鳛榈怯浾埱蟮牟糠?步驟102和消息36)或作為單獨的 步驟和消息(未圖示)�����,經(jīng)由近距離通信鏈路4將用戶識別符信息(密碼��、生物計量識 別符或其它憑證)傳遞到信任域內(nèi)的請求裝置�����。如上文參看圖4所述,CA服務(wù)器26可 基于密碼�����,通過將接收到的密碼與指派給經(jīng)授權(quán)向信任域進行登記的個體的密碼列表進 行比較來確認用戶的身份�����。類似地����,CA服務(wù)器26可基于生物計量數(shù)據(jù),通過將接收到 的生物計量數(shù)據(jù)與經(jīng)授權(quán)向信任域進行登記的個體的生物計量數(shù)據(jù)進行比較來確認用 戶的身份�。
在一實施例中,也可將接近事件用作從信任域移除裝置的過程的部分����。舉例來說, 如圖13和14中所說明�,作為信任域的成員的移動裝置28能夠經(jīng)由由域加密憑證啟用 的有線或無線通信鏈路而參加安全通信(步驟134和消息66)。為了移除移動裝置28�, 用戶可使裝置緊密接近信任域的另一成員(例如終端12),其自動引起近距離通信鏈路 的建立(步驟136和消息68)��。移動裝置28隨后可經(jīng)由近距離通信鏈路向終端12發(fā)送 通告離開信任域的要求的消息(步驟138和消息70)���。在接收到所述消息后���,終端12可 經(jīng)由信任域通信鏈路發(fā)送向信任域的其它成員通知移動裝置28將要離開的消息(步驟 140)。終端12也可從CA服務(wù)器26接收移動裝置28的離開被許可的確認�����。在此點���,終 端12可向離開的移動裝置28發(fā)送確認或確認己接收到離開請求的消息(步驟142和消 息72)��。在該點����,移動裝置28可檢測密鑰憑證(步驟144)�,進而使其自身離開信任域。在一實施例中�����,CA服務(wù)器26可能想要向信任域內(nèi)的其余成員傳輸新的憑證���,以便確保 正在離開的移動裝置28不能夠在不重復(fù)各種實施例的憑證部署方法的情況下重新建立 安全性通信�����。在此實施例的變化形式中����,可由正在離開的移動裝置28使用安全通信鏈 路將離開信任域的要求的指示傳輸?shù)叫湃斡虻钠渌蓡T。離開信任域的要求隨后可由正 在離開的移動裝置28使用近距離通信鏈路4傳送到終端12�����。終端12隨后可向信任域的 其余成員通知第一移動裝置28不再是群組的成員���。
包含創(chuàng)建近距離通信鏈路以便從信任域移除裝置的步驟提供了增加的呈物理移動 形式的安全性層(即��,使遠離的裝置與終端12緊密接近)�����。此添加的步驟減少了裝置無 意中從信任域掉離的機會��。當(dāng)然���,裝置也可通過被關(guān)閉或經(jīng)由經(jīng)建立的信任域通信鏈路 傳輸傳達離開域的要求的消息來退出信任域����。
上文所述的實施例可實施于多種移動手持機中的任一者上�����,例如膝上型計算機��、蜂 窩式電話�����、具有蜂窩式電話的個人數(shù)據(jù)助理(PDA)��、移動電子郵件接收器�、移動網(wǎng)絡(luò) 訪問裝置���,以及其它可能在未來開發(fā)出的連接到無線網(wǎng)絡(luò)的裝備有處理器的裝置�����。通常����, 此些移動手持機將共同具有圖15中所說明的組件。舉例來說�����,移動手持機170可包含 耦合到內(nèi)部存儲器172和顯示器173的處理器171���。另外����,移動手持機170將具有用于 發(fā)送和接收電磁輻射的天線174��,其連接到無線數(shù)據(jù)鏈路和/或連接到耦合到處理器171 的蜂窩式電話收發(fā)器175����。在一些實施方案中,收發(fā)器175以及處理器171和存儲器172 的用于蜂窩式電話通信的部分被稱為空中接口 ��,因為其經(jīng)由無線數(shù)據(jù)鏈路提供數(shù)據(jù)接 口�。另外,移動手持機170將包含能夠例如使用近場通信協(xié)議中的一者建立和傳送近距 離通信鏈路的近距離收發(fā)器178�����。在一些實施例中,移動手持機170將包含可獲得用戶 的生物計量圖像且將數(shù)據(jù)傳遞到處理器171的例如指紋掃描器179等生物計量傳感器���。 移動手持機通常包含小鍵盤176或微型鍵盤以及菜單選擇按鈕或搖臂開關(guān)177以用于接 收用戶輸入�����。
上文描述的實施例也可實施于多種其它計算裝置中的任一者上���,例如圖16中說明 的個人計算機180��、裝備有處理器的組件(例如�����,圖18所示的IV泵214或ECG監(jiān)視器 216)以及其它智能裝置��。此個人計算機180通常包含耦合到存儲器182以及例如磁盤 驅(qū)動器183等大容量存儲器的處理器181��。計算機180也可包含用于將處理器耦合到有 線網(wǎng)絡(luò)的網(wǎng)絡(luò)連接電路184����。另外,計算機180可包含例如WiFi或BlueTooth⑧收發(fā)器 等中等到長距離無線收發(fā)器185���,所述中等到長距離無線收發(fā)器耦合到處理器181以用 于經(jīng)由無線數(shù)據(jù)網(wǎng)絡(luò)發(fā)射和接收數(shù)據(jù)�����。而且����,在各種實施例中所使用的計算機180包含 近距離通信收發(fā)器188,所述近距離通信收發(fā)器經(jīng)配置以經(jīng)由非常短距離無線數(shù)據(jù)鏈路發(fā)送和接收數(shù)據(jù)。舉例來說��,近距離通信收發(fā)器188可為NFC協(xié)議收發(fā)器或RFID讀取 器��。經(jīng)如此配置���,計算機180可建立與其它裝置(例如圖15所示的移動裝置170)的近 距離通信鏈路以便完成各種實施例的方法����。
上文所述的實施例也可實施于多種服務(wù)器和網(wǎng)絡(luò)管理者系統(tǒng)中的任一者(例如��,圖 17中所說明的網(wǎng)絡(luò)服務(wù)器l卯)上���。此服務(wù)器190通常包含耦合到存儲器192以及例如 磁盤驅(qū)動器193等大容量存儲器的處理器191�����。服務(wù)器190也可包含用于將處理器耦合 到有線網(wǎng)絡(luò)(例如因特網(wǎng))的多個網(wǎng)絡(luò)連接電路I94a-194d�����。任選地��,服務(wù)器190也可 包含例如WiFi收發(fā)器等中等到長距離無線收發(fā)器195�,其耦合到處理器191以用于經(jīng)由 無線數(shù)據(jù)網(wǎng)絡(luò)發(fā)射和接收數(shù)據(jù)。而且�����,服務(wù)器190任選地可包含近距離通信收發(fā)器198, 其經(jīng)配置以經(jīng)由非常短距離無線數(shù)據(jù)鏈路發(fā)送和接收數(shù)據(jù)����。舉例來說��,近距離通信收發(fā) 器198可為NFC協(xié)議收發(fā)器或RFID讀取器�。經(jīng)如此配置,服務(wù)器190可建立與其它裝 置(例如圖15所示的移動裝置180或圖16所示的計算機180)的近距離通信鏈路以便 完成各種實施例的方法�。
各種實施例實現(xiàn)簡單地支持加密通信以外的多種應(yīng)用。圖18中說明實例性應(yīng)用�����, 其展示可在醫(yī)院內(nèi)(例如在重病監(jiān)護室中)采用的傳感器、數(shù)據(jù)采集和數(shù)據(jù)庫系統(tǒng)����。各 種實施例實現(xiàn)虛擬電纜(本文稱為"V電纜")的創(chuàng)建以使用靈活的無線通信鏈路將各 種醫(yī)療裝置鏈接到網(wǎng)絡(luò),進而取代目前用于從裝置到監(jiān)視器到數(shù)據(jù)采集節(jié)點傳送數(shù)據(jù)的 電纜����。此系統(tǒng)可包含含有上文參看圖16所述的組件的患者監(jiān)視計算機212,其經(jīng)配置以 與例如BlueTooth②協(xié)議數(shù)據(jù)鏈路等中等距離無線數(shù)據(jù)鏈路222以及近距離通信鏈路224 通信�。另外,患者監(jiān)視計算機212可裝備有長距離無線收發(fā)器�,其能夠經(jīng)由例如WiFi 數(shù)據(jù)鏈路等長距離無線數(shù)據(jù)鏈路226進行通信,以便連接到醫(yī)院大型計算機220�。或者���, 患者監(jiān)視計算機可通過有線網(wǎng)絡(luò)224耦合到醫(yī)院大型計算機220���。某些患者監(jiān)視裝各可 位于患者的重病監(jiān)護室內(nèi),例如靜脈(IV)泵214和心電圖(ECG)監(jiān)視器216��。此患 者監(jiān)視裝備214�、 216通常將包含耦合到存儲器D、中等距離無線收發(fā)器B以及近距離 無線收發(fā)器C的處理器A����。經(jīng)如此裝備����,每一醫(yī)療裝置將能夠建立在各種實施例中采用 的近距離通信鏈路224�����,以便接收足以經(jīng)由中等距離無線網(wǎng)絡(luò)222建立安全通信的憑證 信息����。各種實施例可進一步用于使用在各種實施例中采用的中等距離無線網(wǎng)絡(luò)222和近 距離通信鏈路224兩者,傳送來自例如便攜式電極218等傳感器的患者數(shù)據(jù)�����。為了連接 沒有裝備近距離和中等距離通信收發(fā)器的醫(yī)療裝置�����,可使用虛擬電纜連接器200將此些 裝置連接到患者監(jiān)視器計算機212�。下文參看圖20提供關(guān)于虛擬電纜連接器200的更多 細節(jié)���?���?赏ㄟ^考慮開始監(jiān)視新患者所需的步驟的實例來了解圖18所示的系統(tǒng)的操作。如 圖19中說明���,可接通患者監(jiān)視器計算機212并登錄醫(yī)院網(wǎng)絡(luò)和大型計算機220 (步驟 250)��。依據(jù)實施方案�,醫(yī)院大型計算機220可向患者監(jiān)視器計算機212發(fā)送憑證信息以 及用于加密無線傳輸?shù)娜魏畏N子數(shù)據(jù)(步驟252)��。為了將ECG監(jiān)視器216連接到患者 監(jiān)視器計算機212,可如前述實施例屮所述使監(jiān)視器緊密接近計算機以建立近距離通信 鏈路且接收憑證信息(步驟254)��?�?纱_認將ECG監(jiān)視器216連接到患者監(jiān)視器計算機 212的數(shù)據(jù)鏈路的適當(dāng)操作(步驟256)�,且在必要時重復(fù)過程(步驟258)。隨后����,每一 ECG傳感器218可經(jīng)配置以僅通過使每一傳感器218觸碰監(jiān)視器來向ECG監(jiān)視器216 發(fā)送數(shù)據(jù)(步驟260)??纱_認ECG傳感器到監(jiān)視器的數(shù)據(jù)鏈路的適當(dāng)操作(步驟262), 其中在必要時重復(fù)過程(步驟264)��。類似地��,可僅通過使IV泵24與計算機緊密接近來 將其耦合到患者監(jiān)視器計算機212 (步驟266)。而且����,可確認泵到計算機的數(shù)據(jù)鏈路(步 驟26S),且在必要時重復(fù)過程(步驟270)���。此觸碰以連接各種醫(yī)療裝置的過程可持續(xù)�����, 直到所有裝置都己鏈接到患者監(jiān)視器計算機212為止����。在該點�,使用圖18所示系統(tǒng)的 患者監(jiān)視可開始(步驟272)。
圖19中所說明的方法假定每一醫(yī)療裝置包含近距離無線(例如�����,NFC)和中等距 離無線(例如BlueTooth )收發(fā)器兩者����。然而�,也可用經(jīng)配置以用于通過使用V電纜 連接器200 (圖20中說明其實例)進行常規(guī)電纜連接的醫(yī)療裝置來實施所述系統(tǒng)����。V電 纜連接器200可包含耦合到存儲器202和電源(例如電池203)的處理器201�。 V電纜 連接器200可包含耦合到處理器201和天線204的中等距離收發(fā)器205,所述天線204 經(jīng)配置以例如使用BlueTooth⑧協(xié)議來建立中等距離無線通信��。另外��,V電纜連接器200 可包含連接到處理器201和天線209的近距離通信收發(fā)器208���。舉例來說����,近距離收發(fā) 器208可為RFID裝置或NFC協(xié)議收發(fā)器�����。另外���,V電纜連接器200可包含經(jīng)由同軸電 纜207耦合到連接器的連接器插頭206�。連接器插頭206經(jīng)配置以匹配用于將醫(yī)療裝置 連接在一起且連接到患者監(jiān)視器計算機212的電纜的標準插頭配置�。V電纜連接器200 可被封閉在外殼210內(nèi)以提供單一裝置,其可簡單地插入醫(yī)療裝置的電纜端口內(nèi),恰如 同其為電纜一樣���。處理器201可配置有可存儲在存儲器202中的軟件指令���,以致使處理 器操作收發(fā)器205、 208以執(zhí)行根據(jù)各種實施例的步驟��。經(jīng)如此配置���,V電纜連接器200 包含能夠使用安全無線通信網(wǎng)絡(luò)將一個移動裝置連接到另一裝置(其具有V電纜連接器 200或內(nèi)部收發(fā)器)(如同所述連接是由電纜形成)所需的所有通信元件����。
可通過考慮組裝系統(tǒng)以便監(jiān)視新患者所需的步驟的實例來了解使用V電纜連接器 200的醫(yī)院系統(tǒng)的操作�����。如圖21中所說明��,可接通患者監(jiān)視器計算機212并登錄醫(yī)院網(wǎng)絡(luò)和大型計算機220 (步驟250)�。依據(jù)實施方案,醫(yī)院大型計算機220可向患者監(jiān)視器 計算機212發(fā)送憑證信息以及用于加密無線傳輸?shù)娜魏畏N子數(shù)據(jù)(步驟252)��。為了連接 使用V電纜連接器200的各種醫(yī)療裝置�����,將一個連接器觸碰患者監(jiān)視器計算機212以建 立近距離通信鏈路222以便接收憑證信息(步驟280)�。可確認連接器到計算機的數(shù)據(jù)鏈 路(步驟282)����,且在必要時重復(fù)過程(步驟284)。在數(shù)據(jù)鏈路得以建立的情況下��,將V 電纜連接器200插入例如ECG監(jiān)視器216等醫(yī)療裝置中(步驟286)�����。隨后為了將若干 ECG傳感器連接到ECG監(jiān)視器216��,將相等數(shù)目的V電纜連接器200插入ECG監(jiān)視器 216中(步驟288)����。如果ECG傳感器218裝備有無線收發(fā)器(如圖18所說明),那么 可通過使每一傳感器218觸碰插入ECG監(jiān)視器216中的V電纜連接器200中的相應(yīng)一 者而將傳感器鏈接到ECG監(jiān)視器216 (步驟2卯)�。可確認傳感器到連接器的數(shù)據(jù)鏈路 (步驟292),且在必要時重復(fù)過程(步驟294)����。在傳感器以電子方式鏈接到監(jiān)視器的情 況下�,隨后可將其施加于患者(步驟294)��?���?赏ㄟ^使V電纜連接器200觸碰計算機而 類似地將IV泵連接到患者監(jiān)視器計算機212 〔步驟296),從而驗證連接器到計算機的 數(shù)據(jù)鏈路(步驟298)(且在必要時重復(fù)過程�����,步驟300)�����,且隨后將V電纜連接器200 插入IV泵中(步驟302)����。在此點,患者監(jiān)視可開始(步驟272)����。
如可了解,各種實施例可實現(xiàn)使用虛擬電纜快速且簡單地取代物理電纜的多種其它 應(yīng)用��。關(guān)于中等到長距離通信鏈路的加密憑證的使用將防止其它V電纜連接的干擾��,且 保護數(shù)據(jù)免于遭受竊聽(如物理電纜會發(fā)生的)。通過使用各種實施例�����,用于建立此些 特設(shè)的信任域的過程可經(jīng)簡化為簡單地使組件和虛擬連接器觸碰在一起以便建立所需 數(shù)據(jù)鏈路和安全性布置的直觀過程����。
在各種裝置����、組件和服務(wù)器中,處理器171�����、 181�、 191和201可為任何可編程微處 理器、微型計算機或多個處理器芯片或可由軟件指令(應(yīng)用程序)配置以執(zhí)行多種功能 (包含上文所述各種實施例的功能)的一或多個多處理器芯片����。在一些裝置中��,可提供 多個處理器17K 181�、 191�����、 201,例如一個處理器專用于無線通信功能��,且一個處理器 專用于運行其它應(yīng)用程序�。通常��,軟件應(yīng)用程序可在其被訪問且加載到處理器171����、 181�����、 191����、 201中之前存儲在內(nèi)部存儲器172��、 182、 192�����、 202中�。在一些裝置中����,處理器171、 181���、 191����、 201可包含足以存儲應(yīng)用程序軟件指令的內(nèi)部存儲器��。出于此描述的目的, 術(shù)語存儲器指代可由處理器171����、 181、 191�、 201存取的所有存儲器�����,包含內(nèi)部存儲器 172��、 182、 192���、 202和處理器171、 181���、 191����、 201本身內(nèi)的存儲器�����。用戶數(shù)據(jù)文件通 常存儲在存儲器172���、 182�����、 192�����、 202中���。在許多移動裝置中�����,存儲器172�����、 182����、 192�、 202可為易失性或非易失性存儲器(例如快閃存儲器)��,或兩者的混合物�。在一個或一個以上示范性實施例中�,所描述的功能可以硬件����、軟件����、固件或其任何 組合實施�����。如果以軟件實施�����,那么功能可作為一個或一個以上指令或代碼在計算機可讀 媒體上存儲或傳輸���。計算機可讀媒體包含計算機存儲媒體和通信媒體兩者,包含促進將 計算機程序從一個地方傳送到另一個地方的任何媒體���。存儲媒體可為可由計算機存取的 任何可用媒體���。以舉例而非限制的方式,此計算機可讀媒體可包括RAM��、 ROM、 EEPROM����、 CD-ROM或其它光盤存儲裝置�����、磁盤存儲裝置或其它磁性存儲裝置�����,或任何 其它可用于載運或存儲呈指令或數(shù)據(jù)結(jié)構(gòu)的形式的所需程序代碼且可由計算機存取的 媒體���。而且���,將任何連接適當(dāng)?shù)胤Q為計算機可讀媒體��。舉例來說�,如果使用同軸電纜、 光纖電纜��、雙絞線、數(shù)字訂戶線(DSL)或例如紅外����、無線電和微波等無線技術(shù)來從網(wǎng) 站�、服務(wù)器或其它遠程源傳輸軟件,那么所述同軸電纜�、光纖電纜、雙絞線�����、DSL或例 如紅外����、無線電和微波等無線技術(shù)均包含在媒體的定義中。如本文所使用的磁盤和光盤 包含壓縮光盤(CD)�、激光光盤、光學(xué)光盤����、數(shù)字通用光盤(DVD)、軟盤和藍光光盤�, 其中磁盤通常以磁性方式再現(xiàn)數(shù)據(jù),而光盤用激光以光學(xué)方式再現(xiàn)數(shù)據(jù)�����。上述組合也應(yīng) 包含在計算機可讀媒體的范圍內(nèi)��。
提供所揭示實施例的先前描述以使得所屬領(lǐng)域的技術(shù)人員能夠制作或使用本發(fā)明���。 所屬領(lǐng)域的技術(shù)人員將容易明白對這些實施例的各種修改����,且在不脫離本發(fā)明的精神或 范圍的情況下本文所定義的一般原理可適用于其它實施例。因此�����,不希望本發(fā)明限于本 文所示的實施例����,而是將賦予其與本文揭示的原理和新穎特征一致的最廣范圍。
權(quán)利要求
1.一種用于部署憑證基礎(chǔ)結(jié)構(gòu)的方法�,其包括在第一裝置與第二裝置之間建立近距離通信鏈路;在所述近距離通信鏈路上發(fā)送憑證信息����;以及在經(jīng)由不同于所述近距離通信鏈路的另一通信鏈路所傳輸?shù)乃龅谝谎b置與所述第二裝置之間的通信中使用所述憑證信息。
2. 根據(jù)權(quán)利要求l所述的方法����,其進一步包括向用戶通知所述憑證信息的接收。
3. 根據(jù)權(quán)利要求l所述的方法����,其進一步包括確認使用另一單獨憑證的用戶的身份����。
4. 根據(jù)權(quán)利要求3所述的方法��,其中所述單獨憑證是密碼。
5. 根據(jù)權(quán)利要求3所述的方法�,其中所述單獨憑證是生物計量數(shù)據(jù)����。
6. 根據(jù)權(quán)利要求1所述的方法,其中所述近距離通信鏈路是近場通信(NFC)協(xié)議通 信鏈路����。
7. 根據(jù)權(quán)利要求1所述的方法,其進一步包括從所述第一裝置向所述第二裝置發(fā)送向 信任域進行登記的請求����,g巾所述第二裝置已是所述信任域的成員;且所述憑證信息用于保障所述信任域內(nèi)的通信���。
8. 根據(jù)權(quán)利要求7所述的方法���,其進一步包括從所述第二裝置將所述向所述信任域進行登記的請求轉(zhuǎn)發(fā)到信任域管理者; 從所述信任域管理者向所述第二裝置發(fā)送所述憑證信息�����,其中轉(zhuǎn)發(fā)所述憑證信息在所述近距離通信鏈路上發(fā)送憑證信息包括所述第二裝 置在所述近距離通信鏈路上向所述第一裝置轉(zhuǎn)發(fā)所述接收到的憑證信息����。
9. 根據(jù)權(quán)利要求8所述的方法���,其進一步包括提示所述第二裝置的用戶向所述信任域管理者提供單獨憑證; 向所述信任域管理者傳輸所述單獨憑證���;以及 在所述信任域管理者處驗證所述單獨憑證��,其中響應(yīng)于在所述信任域管理者處驗證所述單獨憑證而完成所述向所述第二裝 置發(fā)送所述憑證信息的步驟�。
10. 根據(jù)權(quán)利要求l所述的方法�,其進一步包括從所述第一裝置向所述第二裝置發(fā)送裝置憑證;以及 驗證所述裝置憑證�,其中響應(yīng)于驗證所述裝置憑證而完成所述在所述近距離通信鏈路上發(fā)送憑證信 息的步驟。
11. 根據(jù)權(quán)利要求l所述的方法��,其進一步包括在所述第一裝置與第三裝置之間建立近距離通信鏈路����;以及 在所述近距離通信鏈路上從所述第一裝置向所述第三裝置發(fā)送所述憑證信息。
12. —種移動裝置�,其包括處理器;第一收發(fā)器����,其耦合到所述處理器�;第二收發(fā)器�,其耦合到所述處理器,所述第二收發(fā)器是近距離通信收發(fā)器����;以及 存儲器����,其耦合到所述處理器,其中所述處理器配置有用以執(zhí)行包括如下步驟的軟件指令經(jīng)由所述第二收發(fā)器在所述移動裝置與第一通信裝置之間建立近距離通信鏈 路�����;經(jīng)由所述近距離通信鏈路從所述第一通信裝置接收憑證信息����;以及 在所述移動裝置與所述第一通信裝置之間的使用所述第一收發(fā)器的通信中使 用所述憑證信息。
13. 根據(jù)權(quán)利要求12所述的移動裝置���,其中所述處理器配置有用以執(zhí)行進一步包括如 下步驟的軟件指令向所述移動裝置的用戶通知所述憑證信息的接收��。
14. 根據(jù)權(quán)利要求12所述的移動裝置�����,其中所述處理器配置有用以執(zhí)行進一步包括如 下步驟的軟件指令經(jīng)由所述近距離通信鏈路向所述第一通信裝置發(fā)送單獨憑證以識別所述移動裝 置的用戶�����。
15. 根據(jù)權(quán)利要求12所述的移動裝置��,其中所述處理器配置有用以執(zhí)行進一步包括如 下步驟的軟件指令從所述移動裝置的用戶接收密碼�;以及經(jīng)由所述近距離通信鏈路向所述第一通信裝置發(fā)送所述密碼。
16. 根據(jù)權(quán)利要求12所述的移動裝置����,其中所述處理器配置有用以執(zhí)行進一步包括如 下步驟的軟件指令接收關(guān)于所述移動裝置的用戶的生物計量數(shù)據(jù);以及 經(jīng)由所述近距離通信鏈路向所述第一通信裝置發(fā)送所述生物計量數(shù)據(jù)����。
17. 根據(jù)權(quán)利要求12所述的移動裝置,其進一步包括耦合到所述處理器的指紋掃描器��,其中所述處理器配置有用以執(zhí)行步驟的軟件指令��,所述步驟進一步包括 從所述指紋掃描器接收指紋掃描數(shù)據(jù)���;以及經(jīng)由所述近距離通信鏈路向所述第一通信裝置發(fā)送所述指紋掃描數(shù)據(jù)���。
18. 根據(jù)權(quán)利要求12所述的移動裝置���,其中所述處理器配置有用以執(zhí)行進一步包括如 下步驟的軟件指令經(jīng)由所述近距離通信鏈路從所述第一裝置向所述第一通信裝置發(fā)送向信任域進 行登記的請求。
19. 根據(jù)權(quán)利要求12所述的移動裝置�����,其中所述處理器配置有用以執(zhí)行進一步包括如下步驟的軟件指令經(jīng)由所述近距離通信向所述第一通信裝置發(fā)送所述移動裝置的裝置憑證����。
20. 根據(jù)權(quán)利要求12所述的移動裝置,其中所述處理器配置有用以執(zhí)行進一步包括如下步驟的軟件指令在所述移動裝置與第二通信裝置之間建立近距離通信鏈路�;以及 在所述近距離通信鏈路上從所述移動裝置向所述第二通信裝置發(fā)送所述憑證信 息�。
21. 根據(jù)權(quán)利要求20所述的移動裝置,其中所述處理器配置有用以執(zhí)行進一步包括如 下步驟的軟件指令從所述第二通信裝置接收向信任域進行登記的請求�����; 將所述登記請求轉(zhuǎn)發(fā)到所述第一通信裝置���; 接收向所述第一通信裝置提供用戶憑證的請求�����;以及 向所述第一通信裝置發(fā)送所述用戶憑證��。
22. —種有形的存儲媒體����,其上存儲有經(jīng)配置以致使處理器執(zhí)行包括如下步驟的處理器 可執(zhí)行軟件指令經(jīng)由第二收發(fā)器在所述處理器與第一通信裝置之間建立近距離通信鏈路; 經(jīng)由所述近距離通信鏈路從所述第一通信裝置接收憑證信息�;以及 在經(jīng)由不同于所述近距離通信鏈路的通信鏈路所傳輸?shù)乃鎏幚砥髋c所述第一 通信裝置之間的通信中使用所述憑證信息。
23. 根據(jù)權(quán)利要求22所述的有形的存儲媒體��,其中所述有形的存儲媒體具有經(jīng)配置以 致使處理器執(zhí)行包括如下進一步步驟的處理器可執(zhí)行軟件指令向包含所述處理器的裝置的用戶通知所述憑證信息的接收��。
24. 根據(jù)權(quán)利要求22所述的有形的存儲媒體���,其中所述有形的存儲媒體具有經(jīng)配置以 致使處理器執(zhí)行包括如下進一步步驟的處理器可執(zhí)行軟件指令經(jīng)由所述近距離通信鏈路向所述第一通信裝置發(fā)送單獨憑證以識別包含所述處 理器的裝置的用戶���。
25. 根據(jù)權(quán)利要求22所述的有形的存儲媒體,其中所述有形的存儲媒體具有經(jīng)配置以 致使處理器執(zhí)行包括如下進一步步驟的處理器可執(zhí)行軟件指令從包含所述處理器的裝置的用戶接收密碼���;以及 經(jīng)由所述近距離通信鏈路向所述第一通信裝置發(fā)送所述密碼����。
26. 根據(jù)權(quán)利要求22所述的有形的存儲媒體��,其中所述有形的存儲媒體具有經(jīng)配置以 致使處理器執(zhí)行包括如下進一步步驟的處理器可執(zhí)行軟件指令接收關(guān)于包含所述處理器的裝置的用戶的生物計量數(shù)據(jù);以及 經(jīng)由所述近距離通信鏈路向所述第一通信裝置發(fā)送所述生物計量數(shù)據(jù)��。
27. 根據(jù)權(quán)利要求22所述的有形的存儲媒體��,其中所述有形的存儲媒體具有經(jīng)配置以 致使處理器執(zhí)行包括如下進一步步驟的處理器可執(zhí)行軟件指令從指紋掃描器接收指紋掃描數(shù)據(jù)���;以及經(jīng)由所述近距離通信鏈路向所述第一通信裝置發(fā)送所述指紋掃描數(shù)據(jù)�����。
28. 根據(jù)權(quán)利要求22所述的有形的存儲媒體�,其中所述有形的存儲媒體具有經(jīng)配置以 致使處理器執(zhí)行進一步步驟的處理器可執(zhí)行軟件指令���,所述進一步步驟包括經(jīng)由所 述近距離通信鏈路從所述第一裝置向所述第一通信裝置發(fā)送向信任域進行登記的 請求��。
29. 根據(jù)權(quán)利要求22所述的有形的存儲媒體,其中所述有形的存儲媒體具有經(jīng)配置以 致使處理器執(zhí)行進一步步驟的處理器可執(zhí)行軟件指令���,所述進一步步驟包括經(jīng)由所 述近距離通信向所述第一通信裝置發(fā)送包含所述處理器的裝置的裝置憑證�����。
30. 根據(jù)權(quán)利要求22所述的有形的存儲媒體����,其中所述有形的存儲媒體具有經(jīng)配置以 致使處理器執(zhí)行包括如下進一步步驟的處理器可執(zhí)行軟件指令在所述移動裝置與第二通信裝置之間建立近距離通信鏈路;以及 在所述近距離通信鏈路上從所述移動裝置向所述第二通信裝置發(fā)送所述憑證信 息��。
31. 根據(jù)權(quán)利要求22所述的有形的存儲媒體�����,其中所述有形的存儲媒體具有經(jīng)配置以 致使處理器執(zhí)行包括如下進一步步驟的處理器可執(zhí)行軟件指令從所述第二通信裝置接收向信任域進行登記的請求�����; 將所述登記請求轉(zhuǎn)發(fā)到所述第一通信裝置�; 接收向所述第一通信裝置提供用戶憑證的請求;以及 向所述第一通信裝置發(fā)送所述用戶憑證���。
32. —種移動裝置�,其包括用于在所述移動裝置與第一通信裝置之間建立近距離通信鏈路的裝置���; 用于經(jīng)由所述近距離通信鏈路從所述第一通信裝置接收憑證信息的裝置�����;以及 用于在經(jīng)由不同于所述近距離通信鏈路的另一通信鏈路所傳輸?shù)乃鲆苿友b置 與所述第一通信裝置之間的通信中使用所述憑證信息的裝置�。
33. 根據(jù)權(quán)利要求32所述的移動裝置,其進一步包括用于向所述移動裝置的用戶通知 所述憑證信息的接收的裝置����。
34. 根據(jù)權(quán)利要求32所述的移動裝置,其進一步包括用于經(jīng)由所述近距離通信鏈路向 所述第一通信裝置發(fā)送單獨憑證以識別所述移動裝置的用戶的裝置�。
35. 根據(jù)權(quán)利要求32所述的移動裝置,其進一步包括用于從所述移動裝置的用戶接收密碼的裝置��;以及用于經(jīng)由所述近距離通信鏈路向所述第一通信裝置發(fā)送所述密碼的裝置����。
36. 根據(jù)權(quán)利要求32所述的移動裝置,其進一步包括用于接收關(guān)于所述移動裝置的用戶的生物計量數(shù)據(jù)的裝置��;以及 用于經(jīng)由所述近距離通信鏈路向所述第一通信裝置發(fā)送所述生物計量數(shù)據(jù)的裝 置��。
37. 根據(jù)權(quán)利要求32所述的移動裝置���,其進一步包括-用于掃描用戶的指紋以獲得指紋掃描數(shù)據(jù)的裝置����;以及用于經(jīng)由所述近距離通信鏈路向所述第一通信裝置發(fā)送所述指紋掃描數(shù)據(jù)的裝 置���。
38. 根據(jù)權(quán)利要求32所述的移動裝置�,其進一步包括用于經(jīng)由所述近距離通信鏈路從 所述第一裝置向所述第一通信裝置發(fā)送向信任域進行登記的請求的裝置��。
39. 根據(jù)權(quán)利要求32所述的移動裝置����,其進一步包括用于經(jīng)由所述近距離通信向所述 第一通信裝置發(fā)送所述移動裝置的裝置憑證的裝置。
40. 根據(jù)權(quán)利要求32所述的移動裝置����,其進一步包括用于在所述移動裝置與第二通信裝置之間建立近距離通信鏈路的裝置;以及 用于在所述近距離通信鏈路上從所述移動裝置向所述第二通信裝置發(fā)送所述憑 證信息的裝置�����。
41. 根據(jù)權(quán)利要求32所述的移動裝置�����,其進一步包括用于從所述第二通信裝置接收向信任域進行登記的請求的裝置�; 用于將所述登記請求轉(zhuǎn)發(fā)到所述第一通信裝置的裝置; 用于接收向所述第一通信裝置提供用戶憑證的請求的裝置����;以及 用于向所述第一通信裝置發(fā)送所述用戶憑證的裝置。
42. —種計算機�,其包括處理器����,第一收發(fā)器���,其耦合到所述處理器����;第二收發(fā)器����,其耦合到所述處理器,所述第二收發(fā)器是近距離通信收發(fā)器�; 存儲器,其耦合到所述處理器��;以及 網(wǎng)絡(luò)接口��,其耦合到所述處理器����,其中所述處理器配置有用以執(zhí)行包括如下步驟的軟件指令經(jīng)由第二收發(fā)器在所述計算機與第一通信裝置之間建立近距離通信鏈路; 經(jīng)由所述近距離通信鏈路向所述第一通信裝置提供憑證信息�����;以及 在所述移動裝置與所述第一通信裝置之間的使用所述第一收發(fā)器的通信中使用所述憑證信息���。
43. 根據(jù)權(quán)利要求42所述的計算機��,其中所述處理器配置有用以執(zhí)行包括如下步驟的 軟件指令經(jīng)由所述近距離通信鏈路從所述第一通信裝置接收識別所述第一通信裝置的用 戶的單獨憑證�;以及在向所述第一通信裝置提供所述憑證信息之前驗證所述單獨憑證����。
44. 根據(jù)權(quán)利要求43所述的計算機,其中所述單獨憑證是密碼���;以及驗證所述單獨憑證包括將所述密碼與被授權(quán)向信任域登記裝置的用戶的密碼列 表進行比較�����。
45. 根據(jù)權(quán)利要求43所述的計算機����,其中所述單獨憑證是生物計量數(shù)據(jù)��;以及驗證所述單獨憑證包括將所述接收到的生物計量數(shù)據(jù)與被授權(quán)向信任域登記裝 置的用戶的生物計量數(shù)據(jù)進行比較����。
46. 根據(jù)權(quán)利要求42所述的計算機����,其中所述處理器配置有用以執(zhí)行進一步包括如下 步驟的軟件指令經(jīng)由所述第一收發(fā)器或所述網(wǎng)絡(luò)接口接收向所述信任域登記第二通信裝置的請 求�;經(jīng)由所述第一收發(fā)器或所述網(wǎng)絡(luò)接口向所述第一通信裝置發(fā)送對與所述第一通 信裝置相關(guān)的單獨憑證的請求;經(jīng)由所述第一收發(fā)器或所述網(wǎng)絡(luò)接口接收所述單獨憑證��; 驗證所述單獨憑證�;以及如果所述單獨憑證通過驗證,則經(jīng)由所述第一收發(fā)器或所述網(wǎng)絡(luò)接口向所述第一 通信裝置發(fā)送所述憑證信息以中繼到所述第二通信裝置�。
47. 根據(jù)權(quán)利要求42所述的計算機,其中所述計算機是耦合到網(wǎng)絡(luò)的服務(wù)器����。
48. 根據(jù)權(quán)利要求47所述的計算機,其中所述服務(wù)器被配置為證書管理者�����。
49. 根據(jù)權(quán)利要求42所述的計算機�,其中所述計算機是醫(yī)療裝置。
50. —種有形的存儲媒體����,其上存儲有經(jīng)配置以致使處理器執(zhí)行包括如下步驟的處理器 可執(zhí)行軟件指令經(jīng)由第二收發(fā)器在所述處理器與第一通信裝置之間建立近距離通信鏈路�����; 經(jīng)由所述近距離通信鏈路向所述第一通信裝置發(fā)送憑證信息��;以及 在經(jīng)由不同于所述近距離通信鏈路的通信鏈路所傳輸?shù)乃鎏幚砥髋c所述第一 通信裝置之間的通信中使用所述憑證信息。
51. 根據(jù)權(quán)利要求50所述的有形的存儲媒體���,其中所述有形的存儲媒體具有經(jīng)配置以 致使處理器執(zhí)行包括如下進一步步驟的處理器可執(zhí)行軟件指令經(jīng)由所述近距離通信鏈路從所述第一通信裝置接收識別所述第一通信裝置的用 戶的單獨憑證�����;以及在向所述第一通信裝置提供憑證信息之前驗證所述單獨憑證�。
52. 根據(jù)權(quán)利要求50所述的有形的存儲媒體���,其中所述有形的存儲媒體具有經(jīng)配置以 致使處理器執(zhí)行包括如下進一步步驟的處理器可執(zhí)行軟件指令經(jīng)由所述近距離通信鏈路從所述第一通信裝置接收密碼����;以及在向所述第一通信裝置提供憑證信息之前��,通過將所述密碼與被授權(quán)向信任域登 記裝置的用戶的密碼列表進行比較來驗證所述密碼���。
53. 根據(jù)權(quán)利要求50所述的有形的存儲媒體���,其中所述有形的存儲媒體具有經(jīng)配置以 致使處理器執(zhí)行包括如下進一步步驟的處理器可執(zhí)行軟件指令-經(jīng)由所述近距離通信鏈路從所述第一通信裝置接收生物計量數(shù)據(jù)�����;以及 在向所述第一通信裝置提供所述憑證信息之前��,通過將所述生物計量數(shù)據(jù)與被授 權(quán)向信任域登記裝置的用戶的生物計量數(shù)據(jù)進行比較來驗證所述生物計量數(shù)據(jù)�。
54. 根據(jù)權(quán)利要求50所述的有形的存儲媒體���,其中所述有形的存儲媒體具有經(jīng)配置以 致使處理器執(zhí)行包括如下進一步步驟的處理器可執(zhí)行軟件指令接收向所述信任域登記第二通信裝置的請求��;向所述第一通信裝置發(fā)送對與所述第一通信裝置相關(guān)的單獨憑證的請求���;接收所述單獨憑證;驗證所述單獨憑證�����;以及如果所述單獨憑證通過驗證���,則向所述第一通信裝置發(fā)送所述憑證信息以中繼到 所述第二通信裝置����。
55. —種計算機,其包括用于在所述計算機與第一通信裝置之間建立近距離通信鏈路的裝置��; 用于經(jīng)由所述近距離通信鏈路向所述第一通信裝置提供憑證信息的裝置��;以及 用于在經(jīng)由不同于所述近距離通信鏈路的另一通信鏈路所傳輸?shù)乃鲆苿友b置與所述第一通信裝置之間的通信中使用所述憑證信息的裝置�。
56. 根據(jù)權(quán)利要求55所述的計算機,其進一步包括用于經(jīng)由所述近距離通信鏈路從所述第一通信裝置接收識別所述第一通信裝置 的用戶的單獨憑證的裝置��;以及用于在向所述第一通信裝置提供所述憑證信息之前驗證所述單獨憑證的裝置����。
57. 根據(jù)權(quán)利要求55所述的計算機�����,其中所述單獨憑證是密碼����,所述計算機進一步包 括用于驗證所述單獨憑證的裝置包括將所述密碼與被授權(quán)向信任域登記裝置的用 戶的密碼列表進行比較。
58. 根據(jù)權(quán)利要求55所述的計算機��,其中所述單獨憑證是生物計量數(shù)據(jù)���,所述計算機 進一步包括用于驗證所述單獨憑證的裝置包括將所述接收到的生物計量數(shù)據(jù)與被授權(quán)向信任域登記裝置的用戶的生物計量數(shù)據(jù)進行比較����。
59. 根據(jù)權(quán)利要求55所述的計算機,其進一步包括-用于接收向所述信任域登記第二通信裝置的請求的裝置��;用于向所述第一通信裝置發(fā)送對與所述第一通信裝置相關(guān)的單獨憑證的請求的 裝置�����;用于接收所述單獨憑證的裝置�; 用于驗證所述單獨憑證的裝置;以及用于如果所述單獨憑證通過驗證則向所述第一通信裝置發(fā)送所述憑證信息以中 繼到所述第二通信裝置的裝置���。
60. 根據(jù)權(quán)利要求55所述的計算機��,其進一步包括用于連接到網(wǎng)絡(luò)的裝置�����,其中所述 計算機被配置為服務(wù)器��。
61. —種醫(yī)療監(jiān)視系統(tǒng)�����,其包括計算機���,所述計算機包含 計算機處理器�;存儲器��,其耦合到所述處理器��;第一收發(fā)器���,其耦合到所述處理器�;以及第二收發(fā)器���,其耦合到所述處理器,所述第二收發(fā)器是近距離通信收發(fā)器����, 其中所述計算機處理器配置有用以執(zhí)行包括如下步驟的軟件指令經(jīng)由所述第二收發(fā)器在所述計算機與第一通信裝置之間建立近距離通信鏈 路,經(jīng)由所述近距離通信鏈路向所述第一通信裝置提供憑證信息�,以及 在所述移動裝置與所述第一通信裝置之間的使用所述第一收發(fā)器的通信中使用所述憑證信息; 醫(yī)療裝置��,其包含處理器���;第三收發(fā)器��,其耦合到所述處理器��;以及第四收發(fā)器�,其耦合到所述處理器,所述第四收發(fā)器是近距離通信收發(fā)器�����, 其中所述處理器配置有用以執(zhí)行包括如下步驟的軟件指令經(jīng)由所述第四收發(fā)器在所述醫(yī)療裝置與計算機之間建立近距離通信鏈路�����; 經(jīng)由所述近距離通信鏈路從所述計算機接收憑證信息�;以及 在所述醫(yī)療裝置與所述計算機之間的使用所述第三收發(fā)器的通信中使用所 述憑證信息。
62. 根據(jù)權(quán)利要求61所述的醫(yī)療監(jiān)視系統(tǒng)���,其進一步包括醫(yī)院服務(wù)器��,所述醫(yī)院服務(wù) 器包括服務(wù)器處理器���;以及網(wǎng)絡(luò)連接電路,其耦合到網(wǎng)絡(luò)且經(jīng)配置以向所述計算機發(fā)送信號和從所述計算機 接收數(shù)據(jù)��,其中所述服務(wù)器處理器配置有用以執(zhí)行包括如下步驟的軟件指令 經(jīng)由所述網(wǎng)絡(luò)向所述計算機提供憑證信息;以及在經(jīng)由所述網(wǎng)絡(luò)的所述服務(wù)器與所述計算機之間的通信中使用所述憑證信息���。
63. —種虛擬電纜裝置���,其包括電纜連接器插頭,其經(jīng)配置以建立與電纜插口的電連接�����; 處理器�,其以電子方式耦合到所述電纜連接器插頭; 無線網(wǎng)絡(luò)收發(fā)器���,其耦合到所述處理器��;以及近場通信無線收發(fā)器�,其耦合到所述處理器�, 其中所述處理器配置有用以執(zhí)行包括如下步驟的軟件指令經(jīng)由所述近場通信無線收發(fā)器在所述虛擬電纜裝置與另一通信裝置之間建立 近場通信鏈路���;經(jīng)由所述近場通信鏈路從其它通信裝置接收憑證信息����;以及 在所述虛擬電纜裝置與所述其它通信裝置之間的使用所述無線網(wǎng)絡(luò)收發(fā)器的 通信中使用所述憑證信息�����。
64. 根據(jù)權(quán)利要求63所述的虛擬電纜裝置,其中所述處理器配置有用以執(zhí)行進一步包 括如下步驟的軟件指令從所述其它通信裝置向所述電纜連接器插頭插入其中的第二裝置傳送經(jīng)由所述 無線網(wǎng)絡(luò)收發(fā)器所接收的信息�����。
65. 根據(jù)權(quán)利要求63所述的虛擬電纜裝置�,其中所述處理器配置有用以執(zhí)行進一步包 括如下步驟的軟件指令經(jīng)由所述無線網(wǎng)絡(luò)收發(fā)器從所述電纜連接器插頭插入其中的第二裝置向所述其 它通信裝置傳送經(jīng)由所述電纜連接器插頭所接收的信息。
66. 根據(jù)權(quán)利要求63所述的虛擬電纜裝置����,其中所述其它通信裝置是另一虛擬電纜裝 置。
67. —種虛擬電纜裝置��,其包括用于向無線網(wǎng)絡(luò)無線傳送數(shù)據(jù)的裝置���;用于經(jīng)由近場通信無線收發(fā)器在所述虛擬電纜裝置與另一通信裝置之間建立近場通信鏈路的裝置��;用于經(jīng)由所述近場通信鏈路從其它通信裝置接收憑證信息的裝置����;以及 用于在所述虛擬電纜裝置與所述其它通信裝置之間的使用所述用于向無線網(wǎng)絡(luò)無線傳送數(shù)據(jù)的裝置的通信中使用所述憑證信息的裝置�����。
68. 根據(jù)權(quán)利要求67所述的虛擬電纜裝置,其進一步包括用于從所述其它通信裝置向所述電纜連接器插頭插入其中的第二裝置傳送經(jīng)由第一收發(fā)器所接收的信息的裝置��。
69. 根據(jù)權(quán)利要求67所述的虛擬電纜裝置�����,其進一步包括用于經(jīng)由所述用于向無線網(wǎng)絡(luò)無線傳送數(shù)據(jù)的裝置從所述電纜連接器插頭插入 其中的第二裝置向所述其它通信裝置傳送經(jīng)由所述電纜連接器插頭所接收的信息的裝置����。
70, —種系統(tǒng),其包括網(wǎng)絡(luò)��;第一通信裝置����,其包含第一收發(fā)器和第二收發(fā)器,其中所述第一收發(fā)器經(jīng)配置以 經(jīng)由所述網(wǎng)絡(luò)進行通信����,且所述第二收發(fā)器是近距離通信收發(fā)器;以及第二通信裝置�����,其包含第三收發(fā)器和第四收發(fā)器�����,其中所述第三收發(fā)器經(jīng)配置以 經(jīng)由所述網(wǎng)絡(luò)進行通信�,且所述第四收發(fā)器是近距離通信收發(fā)器,其中所述第一和第二通信裝置經(jīng)配置以經(jīng)由所述第二和第四收發(fā)器在所述第一與第二通信裝置之間建立近距離通信鏈路��;經(jīng)由所述近距離通信鏈路在所述第一與第二通信裝置之間交換憑證信息���;以及 基于所述交換的憑證信息����,經(jīng)由所述第一和第三收發(fā)器在所述第一與第二通信 裝置之間建立通信�。
全文摘要
本發(fā)明的裝置和方法使用例如近場通信(NFC)鏈路等近距離通信鏈路使通信裝置相互鑒定,以創(chuàng)建信任域或?qū)⑿卵b置加入信任域���。一旦兩個裝置建立近距離通信對等鏈路�����,所述裝置便交換為所述信任域提供基礎(chǔ)結(jié)構(gòu)的憑證信息��。中等或長距離無線或有線網(wǎng)絡(luò)通信鏈路可隨后用于安全且信任的通信�。所述近距離通信P2P鏈路的接近度限制使得能夠在裝置間假定相互信任,從而向擴展信任域的過程提供增加的安全性且減少對安全性和鑒定信令的需要�。實施例提供用于在裝置間擴展憑證基礎(chǔ)結(jié)構(gòu)的多種方法。實施例進一步使得能夠簡單地使用虛擬電纜��,所述虛擬電纜可提供僅通過使兩個通信裝置觸碰在一起而配置的安全點對點通信�。
文檔編號G07C9/00GK101617346SQ200880005643
公開日2009年12月30日 申請日期2008年2月25日 優(yōu)先權(quán)日2007年2月23日
發(fā)明者奧利弗·米凱利斯 申請人:高通股份有限公司