用于通过无线网络与匿名主机建立安全通信会话的协议的制作方法
所述的实施方案涉及无线通信,包括用于通过无线网络与匿名主机建立安全通信会话的协议。
背景技术:
物联网(iot)已经导致消费设备激增,这些消费设备被配置为连接到无线网络并且与可经由无线网络访问的其他设备(例如,经由互联网等与网络进行通信的智能电话、台式计算机、服务器)进行交互。常见的iot设备包括无线安全摄像头、扬声器、恒温器、火警警报器、安全传感器、电视、机顶盒等。通常,用户会在家中安装无线接入点,将服务集标识符(ssid)分配给由无线接入点实现的无线接口,并且配置设备以连接到与ssid相关联的无线网络。
然而,一旦各种设备连接到无线网络,仍然需要建立设备之间的通信信道。例如,设备可被配置为访问位于可通过无线网络上的网关/无线路由器访问的互联网连接上的远程服务器。另选地,设备可注册可通过无线设备访问的服务,使得位于无线网络上的其他设备可发现并访问该服务。传统的网络发现技术通常需要无线网络的管理员来配置设备以注册与设备相关联的可用服务。另外,可提供各种协议,使得客户端可自动发现连接到网络的不同主机,并且客户端可向主机发送消息以获得主机提供的服务列表。
这种经由无线网络访问服务的广泛配置阻碍了由非无线网络管理员拥有或管理的设备随意使用经由无线网络可用的服务。此外,可减轻无线网络管理员的这种负担的协议可在无线网络中引入安全漏洞。例如,此类协议可发布与连接到无线网络的设备相对应的互联网协议(ip)地址,这可允许未授权用户访问无线网络。因此,期望存在通过无线网络在设备之间建立通信的技术,该技术保持网络设备对未授权用户的匿名性,并且不需要设备用户的广泛干预来配置设备以访问无线网络的选择服务。
技术实现要素:
本申请描述了涉及通过无线网络与匿名主机建立安全通信会话的各种实施方案。描述了由匿名无线主机执行的过程,该过程包括通告由匿名无线主机实现的通过无线网络可用的服务、接收与无线客户端建立安全通信会话的邀请、向无线客户端传输接受以及通过通信信道建立安全通信会话。经由无线网络的广播地址或组播地址,从无线客户端接收邀请并且向无线客户端传输接受。安全通信会话被配置为在服务与无线客户端之间交换加密数据。
在一些实施方案中,描述了由无线客户端执行的过程,该过程包括发现通过无线网络可用的通告的至少一个服务、选择由匿名无线主机实现的至少一个服务中的服务、向匿名无线主机传输与服务建立安全通信会话的邀请、接收来自匿名无线主机的接受以及通过通信信道建立安全通信会话。将邀请传输给匿名无线主机,并且经由无线网络的广播地址或组播地址从匿名无线主机接收接受。安全通信会话被配置为在服务与无线客户端之间交换加密数据。
在一些实施方案中,通告通过无线网络可用的服务可由匿名无线主机通过经由无线网络的广播地址或组播地址传输通告消息来执行。在一些实施方案中,无线客户端被配置为监视广播地址或组播地址,以便侦听指示服务通过无线网络可用的通告消息。在各种实施方案中,与匿名无线主机和无线客户端分开且不同的组播域名系统响应器被配置为响应于经由组播地址接收到注册服务请求而监视组播地址并注册该服务。响应于接收到注册服务请求,组播域名系统(mdns)响应器创建多个域名系统(dns)记录,其可包括存储在组播域名系统响应器可访问的存储器中的服务记录、指针记录和文本记录中的一者或多者。然后,无线客户端可通过向组播域名系统响应器发送查询来发现经由无线网络可用的服务。
在一些实施方案中,发现通过无线网络可用的通告的至少一个服务可由无线客户端通过经由无线网络的广播地址或组播地址传输发现请求来执行。在一些实施方案中,匿名无线主机被配置为监视广播地址或组播地址,以便侦听来自无线客户端的发现请求以发现通过无线网络可用的服务。在各种实施方案中,与匿名无线主机和无线客户端分开且不同的组播域名系统响应器被配置为监视组播地址,并且用无线网络上的一个或多个主机利用组播域名系统响应器注册的服务列表来响应发现请求。
在一些实施方案中,无线客户端经由广播地址或组播地址传输的邀请可为包括由无线客户端为安全通信会话创建的公钥、无线客户端的ip地址和无线客户端为安全通信会话分配的端口号的消息。邀请还可包括与无线客户端相关联的凭据。在各种实施方案中,由匿名无线主机传输的接受包括由匿名无线主机为安全通信会话创建的公钥。由匿名无线主机和无线客户端创建的公钥和对应的私钥可为短暂的256字节密钥,该密钥在安全通信会话终止时被丢弃。
在一些实施方案中,建立安全通信会话包括创建与对应于匿名无线主机的地址的网络接口相关联的套接字、将该套接字连接到无线客户端的对应套接字以及在该套接字与该对应套接字之间建立隧道。在一些示例性实施方案中,建立安全通信会话包括创建与对应于无线客户端的地址的网络接口相关联的套接字、将该套接字配置为侦听与网络接口的端口号相关联的分组以及在该套接字与匿名无线主机的对应套接字之间建立隧道。在各种实施方案中,隧道可通过中继服务器建立,使得套接字和对应套接字不直接连接,而是通过中继服务器上经由中继服务器内的中继连接相关联的一对另外的套接字间接连接。
在一些实施方案中,被配置为执行上述过程的匿名无线主机和无线客户端连接到包括一个或多个网关的无线网络,其中每个网关耦接到一个或多个接入点。无线客户端可经由无线客户端的无线接口连接到第一接入点。匿名无线主机可经由匿名无线主机的无线接口连接到第一接入点。在各种实施方案中,匿名无线主机可经由匿名无线主机的无线接口连接到第二接入点而不是第一接入点。第一接入点和第二接入点可连接到单个网关。另选地,第一接入点和第二接入点连接到不同的网关,并且第一网关被配置为与第二网关建立网络隧道,以用于将从无线客户端传输的数据分组中继到匿名无线主机。在各种实施方案中,被包括在无线网络中或者可通过外部网络访问的中继服务器被配置为分配中继连接以通过中继服务器建立安全通信会话。
根据结合以举例的方式示出所述实施方案的原理的附图而进行的以下详细描述,本文所述的各种实施方案的其他方面和优点将变得显而易见。
提供本发明内容仅用于概述一些示例性实施方案的目的,以便提供对本文所述主题的一些方面的基本理解。于是,应当了解,上述特征仅为示例,并且不应解释为以任何方式缩窄本文所描述的主题的范围或实质。本文所描述的主题的其它特征、方面和优点将通过以下具体实施方式、附图和权利要求书而变得显而易见。
附图说明
通过以下结合附图的具体实施方式将易于理解本公开,在附图中类似的附图标记表示类似的结构元件。
图1示出了根据一些实施方案的示例性无线网络。
图2示出了根据一些实施方案的可在无线设备中实现的示例性装置的框图。
图3示出了根据一些实施方案的用于通过无线网络在无线客户端与匿名无线主机之间建立安全通信会话的示例性协议。
图4示出了根据一些实施方案的企业网络的示例。
图5示出了根据一些实施方案的用于通过企业网络在无线设备之间建立安全通信会话的示例性协议。
图6示出了根据一些实施方案的用于与匿名无线主机建立安全通信会话的示例性方法的流程图。
图7示出了根据一些实施方案的用于与无线客户端匿名地建立安全通信会话的示例性方法的流程图。
图8示出了根据一些实施方案的可被用于实现本文所述的各种部件的示例性计算设备的详细视图。
具体实施方式
在该部分中描述了根据本申请的方法与装置的代表性应用。提供这些示例仅旨在添加上下文并有助于理解所述的实施方案。因此,对于本领域的技术人员而言将显而易见的是,可在没有这些具体细节中的一些或全部的情况下实践所述实施方案。在其他情况下,为了避免不必要地模糊所述实施方案,未详细描述熟知的处理步骤。其他应用是可能的,使得以下示例不应被当作是限制性的。
在以下详细描述中,参考了形成说明书的一部分的附图,并且在附图中以例示的方式示出了根据所述实施方案的具体实施方案。虽然这些实施方案被描述得足够详细,以使本领域的技术人员能够实践所述实施方案,但是应当理解,这些示例不是限制性的;使得可以使用其他实施方案,并且可以在不脱离所述实施方案的实质和范围的情况下作出修改。
网络管理员可在无线网络内采取安全措施,以防止无线网络上的某些设备被其他设备发现。缺少与设备地址相关的信息可能使得利用设备配置中的安全漏洞变得更加困难,从而防止个人利用这些漏洞。从安全角度来看,禁用网络发现可能存在一定意义,但其也可能使得向网络用户提供服务变得更加困难。例如,网络管理员可能需要手动配置网络上的设备以与提供服务的特定网络主机连接。如果可禁用网络发现,同时还允许连接到无线网络的设备能够查看托管在无线网络上的服务并能够在不需要关于实现服务的主机的信息的情况下与服务连接,则这将是有利的。
如本文所述,连接到无线网络的客户端设备可利用协议来发现由匿名主机实现的服务,并且可利用协议来协商建立用于在客户端设备和由匿名主机提供的服务之间传输加密数据的安全通信会话。协商可包括使用无线网络的广播地址或组播地址向服务的匿名主机发送邀请以协商建立安全通信会话。关于由客户端设备为安全通信会话创建的套接字的信息可经由广播地址或组播地址从客户端设备传递到匿名主机。另外,可使用广播地址或组播地址来交换用于在安全通信会话期间加密客户端设备与由匿名主机提供的服务之间传输的数据的公钥。一旦协商完成且匿名主机已经接受从客户端接收的邀请,则匿名主机可与由客户端设备创建的套接字连接,以通过通信信道建立安全通信会话。仅在匿名主机与套接字连接时,才向客户端设备显示匿名主机的地址。在一些实施方案中,即使在建立安全通信会话之后,诸如当服务利用中继服务器在由匿名主机提供的服务与客户端设备之间转发数据时,匿名主机的地址也可保持匿名。
在一些实施方案中,客户端设备和匿名主机均可利用组播域名系统响应器来经由无线网络的组播地址至少部分地实现协商。匿名主机可利用组播域名系统响应器来注册通过无线网络可用的服务,并且客户端设备可查询组播域名系统响应器以发现可用服务。组播域名系统响应器可由匿名主机实现,并且可被配置为监视组播地址,以用于获得建立安全通信会话的邀请并将对邀请的接受传输给客户端设备。在组播域名系统响应器由连接到无线网络的另一主机实现的各种实施方案中,匿名主机可实现被配置为监视组播地址以用于获得建立安全通信会话的邀请并将对邀请的接受传输给客户端设备的单独过程。
下文参考图1至图8来论述这些实施方案和其他实施方案;然而,本领域的技术人员将容易地理解,本文相对于这些附图的所给出的详细描述仅出于说明性目的并且不应理解为限制性的。
根据本文所述的各种实施方案,术语“无线通信设备”、“无线设备”、“移动设备”、“移动站”、“客户端设备”、“客户端”和“用户设备(ue)”在本文中可互换使用,以描述能够执行与本公开的各种实施方案相关联的过程的一个或多个普通的消费电子设备。根据各种具体实施,这些消费电子设备中的任一种消费电子设备可涉及:蜂窝电话或智能电话、平板电脑、膝上型计算机、笔记本计算机、个人计算机、上网本计算机、媒体播放器设备、电子书设备、
在一些实施方案中,无线通信设备还可作为无线通信系统的一部分来操作,该无线通信系统可包括也可被称为站、客户端无线设备、或客户端无线通信设备的一组客户端设备,其被互连到接入点(ap)例如作为wlan的一部分,和/或彼此互连例如作为wpan和/或“自组织”无线网络的一部分。在一些实施方案中,客户端设备可为能够经由wlan技术(例如,根据无线局域网通信协议)来进行通信的任何无线通信设备。在一些实施方案中,wlan技术可包括wi-fi(或更一般地,wlan)无线通信子系统或无线电部件,该wi-fi无线电部件可实施电气电子工程师协会(ieee)802.11技术,诸如以下中的一种或多种:ieee802.11a;ieee802.11b;ieee802.11g;ieee802.11-2007;ieee802.11n;ieee802.11-2012;ieee802.11ac;或其他当前或将来开发的ieee802.11技术。
另外,应当理解,本文所述的ue可被配置作为还能够经由不同的第三代(3g)和/或第二代(2g)rat进行通信的多模无线通信设备。在这些情况下,多模ue可被配置为与提供较低数据速率吞吐量的其他3g传统网络相比更偏好附接到提供较快数据速率吞吐量的lte网络。例如,在一些实施方式中,多模ue可被配置为在lte和lte-a网络以其他方式不可用时回退到3g传统网络,例如演进型高速分组接入(hspa+)网络、或码分多址(cdma)2000演进-仅数据(ev-do)网络。
图1示出了根据一些实施方案的无线网络100的示例。无线网络100在本文中可称为wlan、专用网络、专用wlan、wpan等。如图1所示,无线网络100包括多个无线设备110-0至110-(n-1)。每个无线设备110包括无线接口(诸如,射频收发器)和用于经由无线通信协议(诸如,ieee802.11协议)连接到通信信道的一个或多个天线。每个无线设备110可包括处理器和用于存储指令的存储器,其中指令用于实现硬件和/或软件中的各种功能。
在一些实施方案中,无线设备110可被配置为经由无线接口102与一个或多个ap150-0至150-1进行通信。每个ap150可包括射频收发器和用于经由无线通信协议(诸如,ieee802.11协议)连接到无线接口102的一个或多个天线。ap150可被配置为网络交换机,使得连接到第一ap150-0的一个或多个无线设备110可与连接到第二ap150-1的一个或多个无线设备110进行通信。
在一些实施方案中,一个或多个ap150可经由网络接口104连接到网关170,网络接口104可为有线网络接口(例如,ieee802.3-以太网)或无线网络接口(例如,ieee802.11–wi-fi)。在具有两个或更多个ap150的实施方案中,每个ap150可经由网络接口106连接到一个或多个其他ap150,网络接口106可以是有线的或无线的。如图1所示,第一ap150-0经由有线网络接口106连接到第二ap150-1。另选地,第一ap150-0可不与第二ap150-1共享直接连接。然而,以太网帧可通过网关170从第一ap150-0转发到第二ap150-1。
网关170是允许数据经由网络接口108在无线网络100和外部网络180之间中继的设备。在一些实施方案中,网关170为网络路由器。网络路由器可被配置为将源自无线网络100内的互联网协议(ip)分组中继到外部网络180诸如互联网内的设备。在一些实施方案中,网络路由器还可被配置为执行网络地址转换(nat),其将一个地址空间中(例如,私有ipv4地址空间,诸如192.168.0.0/16)的主机地址映射到另一个地址空间(例如,公共单播ipv4地址空间),使得从无线网络100内转发到外部网络180的分组对外部设备而言看起来源自与网关170用于连接到外部网络180的网络接口108相关联的单个网络地址处。
在一些实施方案中,网关170通过调制设备诸如数字用户环路(dsl)调制解调器或电缆调制解调器连接到外部网络180。在另一实施方案中,网关170通过蜂窝网络连接到外部网络180,其中蜂窝网络利用射频收发器和一个或多个天线来与蜂窝网络的基站(例如,enodeb、nodeb等)连接。应当理解,网关170可使用不同的网络接口连接到两个或更多个外部网络。
尽管未明确示出,但作为对图1中所示的设备的补充或替代,无线网络100还可包括其他设备。这些设备可包括但不限于另外的设备诸如一个或多个服务器、工作站、膝上型电脑、机顶盒、智能电话、可穿戴设备、物联网(iot)消费电子设备等,其可经由各种有线或无线接口连接到无线网络100。这些设备还可包括但不限于另外的网络硬件诸如一个或多个另外的交换机、一个或多个另外的网关、一个或多个另外的接入点等。
在一些实施方案中,网关170的功能与ap150可组合成单个设备,其可被称为住宅无线路由器。设备可包括一个或多个有线网络接口(诸如以太网端口)和一个或多个无线网络接口(诸如支持wi-fi的无线电)。在一些实施方案中,多个收发器/天线可被配置为向两个不同的无线接口提供ap,诸如在2.4ghz频带上实现ieee802.11n协议的ap和在5ghz频带上实现ieee802.11n协议的ap。
图2示出了根据一些实施方案的可在无线设备110中实现的示例性装置200的框图。就这一点而言,当被包括在计算设备诸如无线设备110中时,装置200可使得计算设备能够根据一个或多个实施方案在无线网络100内操作。应当理解,图2中所示以及相对于图2所述的部件、设备或元件可能不是必需的,并且因此在某些实施方案中可省略一些部件、设备或元件。另外,作为对图2中所示以及相对于图2所述的那些部件、设备或元件的补充或替代,一些实施方案可包括不同的部件、设备或元件。
在一些实施方案中,装置200可包括处理电路210,该处理电路可被配置为根据本文所公开的一个或多个实施方案执行动作。就这一点而言,处理电路210可被配置为根据各种实施方案来执行和/或控制装置200的一个或多个功能的执行,因此可提供用于根据各种实施方案执行装置200的功能的装置。处理电路210可被配置为根据一个或多个实施方案来执行数据处理、应用执行和/或其他处理和管理服务。
在一些实施方案中,装置200或其一个或多个部分或一个或多个部件诸如处理电路210可包括一个或多个芯片组,该一个或多个芯片组各自可包括一个或多个芯片。在一些情况下,装置200的处理电路210和/或一个或多个其他部件可因此被配置为在包括一个或多个芯片的芯片组上实现实施方案。在一些将装置200的一个或多个部件实现为芯片组的实施方案中,芯片组能够使得在其实现在计算设备上或其可操作地耦接到计算设备时计算设备能够在无线网络100中操作。因此,例如,装置200的一个或多个部件可提供被配置为使计算设备能够利用一种或多种无线网络技术进行通信的芯片组。
在一些实施方案中,处理电路210可包括处理器212,并且在一些实施方案中,诸如在图2所示的实施方案中,其还可包括存储器214。处理电路210可与收发器216和/或匿名通信模块218进行通信或以其他方式控制收发器216和/或匿名通信模块218。
处理器212可以多种形式实现。例如,处理器212可实现为各种基于处理硬件的装置,诸如微处理器、协处理器、控制器或包括集成电路的各种其他计算或处理设备,其中集成电路诸如专用集成电路(asic)、现场可编程门阵列(fpga)、它们的一些组合等。尽管被示出为单个处理器,但应当理解,处理器212可包括多个处理器。多个处理器彼此之间可操作性地通信,并且可被共同配置为执行如本文所述的装置200的一个或多个功能。在一些实施方案中,处理器212可被配置为执行可存储在存储器214中的或者可以其他方式供处理器212访问的指令。因此,无论是由硬件来配置,还是由硬件和软件的组合来配置,当处理器212被相应地配置时,该处理器能够根据各个实施方案来执行操作。
在一些实施方案中,存储器214可包括一个或多个存储器设备。存储器214可包括固定式和/或可移除存储器设备。在一些实施方案中,存储器214可提供非暂态计算机可读存储介质,该非暂态计算机可读存储介质可存储可由处理器212执行的计算机程序指令。就这一点而言,存储器214可被配置为存储用于使得装置200能够根据一个或多个实施方案来执行各种功能的信息、数据、应用程序、指令等。在一些实施方案中,存储器214可经由一条或多条总线与处理器212、收发器216或匿名通信模块218中的一者或多者进行通信以用于在装置200的部件之间传递信息。
装置200还可包括收发器216。收发器216可被配置为使得装置200能够根据一种或多种无线技术发送和接收无线信号,该一种或多种无线技术诸如ieee802.11无线通信协议的一个或多个版本、蜂窝技术(例如,cdma、gsm、lte等)等等。因此,收发器216可使得装置200能够利用对应的收发器向相邻设备发送信号并且从相邻设备接收信号。
装置200还可包括匿名通信模块218。匿名通信模块218可实现为各种装置诸如电路、硬件、包括存储在计算机可读介质(例如,存储器214)上并由处理设备(例如,处理器212)执行的计算机可读程序指令的计算机程序产品,或者它们的一些组合。在一些实施方案中,处理器212(或处理电路210)可包括或者以其他方式控制匿名通信模块218。
一些实施方案的匿名通信模块218可被配置为在装置200和对应的无线设备之间建立安全通信会话。当装置200被配置为由处理器212实现的服务的主机时,匿名通信模块218利用某协议来建立安全通信会话,该协议允许装置200对客户端设备保持匿名直到装置200建立与客户端设备的安全通信会话。当装置200被配置为由主机实现的服务的客户端时,匿名通信模块218利用某协议来建立安全通信会话,该协议允许即使在主机对客户端设备保持匿名直到建立安全通信会话的情况下装置200也可与服务连接。如本文所述,主机的匿名性是指客户端设备与主机通信,但不使用唯一地标识无线网络上的主机的地址。例如,主机可保持匿名,其中通信通过无线网络指向广播地址或组播地址,而不是使用分配给主机的单播地址。即使可利用标签、主机名或其他唯一标识符唯一地标识服务,服务的标识信息也不会显示主机的地址,如果显示主机地址,则可能将安全漏洞引入到无线网络中。例如,可防止连接到无线网络的访客发现连接到无线网络的设备,但通告由主机实现的服务的地址将固有地公开主机地址,这可能会破坏通过禁用网络发现安装的安全措施。因此,匿名通信模块218允许连接到无线网络的客户端设备实现用于与主机建立安全通信会话的协议,其中主机对客户端设备保持匿名,直到主机接受建立安全通信会话的邀请并与客户端设备连接。
图3示出了根据一些实施方案的用于通过无线网络100在无线客户端与匿名无线主机之间建立安全通信会话的示例性协议300。如图3所示,协议300可由无线主机310结合无线客户端320来实现。另选地,协议300可由无线客户端320结合无线主机310来实现。
在一些实施方案中,无线主机310是无线网络100内的第一无线设备110,无线客户端320是无线网络100内的第二无线设备110。无线主机310和无线客户端320各自均可连接到无线网络100的ap150,并且各自均可在无线网络100上被分配唯一地址。在一些实施方案中,动态主机配置协议(dhcp)服务器在无线网络100内实现,并且设备可被配置为在每个设备均连接到无线网络100时从dhcp服务器请求ip地址。在一些实施方案中,当设备连接到无线网络100时,设备利用链路本地寻址协议来分配ip地址。在又一实施方案中,可以手动配置设备,并且可为其发布静态ip地址以在连接到无线网络100时使用。
无线主机310可为通过无线网络100向其他设备提供服务的任何无线设备。无线客户端320可为可被配置为访问由无线主机310实现的服务的任何无线设备。无线主机310和无线客户端320可连接到单个ap150或者连接到分开的多个ap150。例如,在一些实施方案中,无线主机310可连接到第一ap150-0,并且无线客户端320可连接到第二ap150-1。另选地,无线主机310和无线客户端320二者均可连接到第一ap150-0。
常规来讲,通过无线网络诸如无线网络100,无线客户端320通过侦听特定无线频率上的信标帧来搜索无线客户端320的范围内的可用无线网络。ap可被配置为周期性地传输信标帧,以通知特定ap范围内的任何设备存在无线网络。信标帧可包括与无线网络相关联的服务集标识符(ssid)、时间戳、信标间隔、能力信息和其他参数等。无线客户端320可使用信标帧中包含的信息来访问无线网络。当无线网络例如通过使用有线等效加密(wep)、wi-fi网络安全存取(wpa)等被配置为安全无线网络时,无线客户端320的用户可向无线网络的管理员询问凭证(例如,加密密钥)以便访问无线网络。
一旦无线客户端320连接到无线网络100,则无线客户端320可尝试发现通过无线网络100可用的其他设备和/或服务。在一些实施方案中,无线客户端320的用户可能需要请求管理员向用户提供特定设备的ip地址,并且用户可手动配置无线客户端320以通过手动输入与特定设备相关联的ip地址来访问特定设备。另选地,无线网络的管理员可为无线网络实现本地域名系统(dns)服务器,使得本地dns服务器将本地域内的主机名映射到无线网络内的对应私有ip地址。管理员可向无线客户端320的用户提供主机名而不是ip地址,无线客户端320可通过该主机名访问特定设备。当在设备通过dhcp服务器连接到无线网络时为设备分配动态ip地址时,使用dns服务器可能是有利的。由设备实现的各种服务可向使用每当设备连接到无线网络时即被重新映射到新ip地址的静态域名来访问的本地dns服务器注册。
应当理解,这些常规技术对于无线客户端320的用户而言(特别是当用户不是无线网络的管理员时)可能是繁琐的。当用户是无线网络的管理员时,该配置也可能是繁琐的,因为管理员需要手动配置网络以使得无线客户端320可访问由无线主机310提供的服务。然而,当用户不是无线网络的管理员时,常规技术可能阻止无线客户端320访问由无线主机310提供的服务(例如,当无法联系到管理员以获得与服务相关联的配置信息时)。例如,可向用户提供访问无线网络100的密码,但用户可能无法连接到与无线网络连接的无线扬声器,以在不需要另外的配置信息(例如,ip地址、端口、凭证等)来访问通过无线扬声器实现的服务的情况下通过扬声器播放音频数据。
理想地,无线客户端320应该能够与无线主机310建立连接,而不需要知道任何特定配置信息。例如,无线网络100的管理员可能想要将无线主机310添加到无线网络100中并且想要使用连接到无线网络100的设备来向访客提供对由无线主机310实现的服务的访问。然而,管理员可能倾向于发布有限量的信息,该有限量的信息公开地表明服务通过无线网络100可用并且使得访客设备能够与无线主机310连接并访问服务。例如,在一些实施方案中,无线客户端320可简单地通过使用与服务绑定的主机名来请求访问由无线主机310实现的服务。
如图3所示,协议300可由无线主机310在301处发起,其中无线主机310通告服务通过无线网络100可用。在一些实施方案中,可利用广播地址向无线网络100上的设备广播通告消息。例如,可通过利用主机的ip地址(例如,192.168.1.10|(~255.255.0.0))执行子网掩码的补码的按位或来创建使用ipv4地址的本地子网的广播地址。通告消息的有效载荷可使用与服务相关联的主机名来标识由无线主机310实现的服务。在一些实施方案中,可利用组播地址向无线网络100上的设备组播通告消息。尽管连接到无线网络100的所有设备均侦听发送到广播地址的数据分组,但仅连接到无线网络100的无线设备的子集可侦听发送到特定组播地址的数据分组。在一些实施方案中,无线主机310可通过向无线网络100上的服务器注册服务来通告服务。通告消息可经由单播地址直接传输到由服务器实现的注册服务,该注册服务可被配置为保持无线网络100上可用的所有服务的记录。在一些实施方案中,记录存储在注册服务可访问的存储器中的数据库中。
在无线主机310通过无线网络100通告服务之后,在302处,无线客户端320发现通过无线网络100可用的服务。在一些实施方案中,发现可包括监视广播地址或组播地址以接收包括有效载荷的数据分组,该有效载荷将服务标识为通过无线网络100可用。在一些实施方案中,发现可包括将发现请求传输到服务器以返回通过无线网络100可用的服务的列表。
一旦无线客户端320已经接收到可用服务的列表,则在303处,无线客户端320确定与可用服务列表中的服务相关联的路由。确定路由可包括选择由无线客户端320发现的可用服务的列表中标识的服务之一。在一些实施方案中,利用可用于指代服务的唯一标识符来通告每个服务。标识符可包括用于指代服务的字符串。在一些实施方案中,标识符包括与服务相关联的主机名,并且未明确地列出与无线主机310相关联的ip地址。例如,由无线扬声器实现的音频再现服务的标识符可包括字符串“my_speaker._airplay._tcp.local.”,该字符串唯一地标识用于经由无线扬声器从无线网络100的本地子网内的任何设备播放由服务接收到的音频的服务。
在一些实施方案中,无线客户端320基于与发现的服务相关联的能力自动确定特定路由。例如,服务标识符可包括指示由无线主机310结合服务实现的一个或多个能力的服务类型。无线客户端320可被配置为:根据服务类型自动过滤可用服务,然后基于另外的标准(诸如,优先级或通告消息中包括的其他信息)选择过滤后的服务中的一者。在一些实施方案中,无线客户端320可被配置为存储先前由无线客户端320访问的特定服务的记录,并且无线客户端320可被配置为自动选择先前已由无线客户端320访问的服务作为特定路由。
在一些实施方案中,无线客户端320通过至少从可用服务列表中选择服务来提示无线客户端320的用户确定特定路由。例如,当一个或多个无线主机310通告可通过无线网络100访问的音频再现服务时,蜂窝电话上的语音呼叫应用程序可提示用户选择用于通过无线扬声器路由音频的特定服务。用户可使用显示在蜂窝电话的屏幕上的用户界面从路由列表中手动确定特定路由。
为了与由无线主机310实现并通告给无线客户端320的服务建立安全通信会话,在304处,无线客户端320邀请无线主机310与无线客户端320建立安全通信会话。在一些实施方案中,无线客户端320使用无线网络100的广播地址向无线主机310传输邀请消息。无线主机310包括被配置为侦听经由广播地址传输的邀请消息的过程。由无线客户端320传输的邀请消息包括由无线客户端320创建的用于在安全通信会话期间加密在服务与无线客户端320之间传输的数据的公钥以及与由无线客户端320为安全通信会话创建的套接字相关联的ip地址和端口号。公钥可为与非对称密码加密/解密算法相关联的k位字符串,其中非对称密码加密/解密算法用于在无线客户端320与无线主机310之间传输加密数据,并且用于使用对应的私钥在任一端上解密数据。在一些实施方案中,公钥可为由无线客户端320创建的短暂的256字节(例如,2048位)密钥,该密钥用于与特定通信会话一起使用。换句话讲,公钥仅可用于单个通信会话,并且可在通信会话终止时被丢弃。公钥还可与和公钥配对的对应私钥相关联,但不与无线主机310共享。
在一些实施方案中,无线客户端320使用无线网络100的组播地址向无线主机310传输邀请消息。无线主机310包括被配置为侦听经由组播地址传输的邀请消息的过程。应当理解,经由广播地址或经由组播地址传输邀请消息允许无线客户端320请求在由无线主机310实现的服务与无线客户端320之间建立安全通信会话,而不需要向无线客户端320泄露关于无线主机310的任何标识信息,诸如分配给无线主机310的ip地址。该功能使得可通过本地域内的无线网络100向无线网络100上的访客设备通告服务,而不损害无线网络100的安全性,这可能发生在例如发布与无线网络100上的可用服务相关联的ip地址和/或端口号的列表时。
在305处,无线主机310接收邀请消息并验证邀请消息的真实性。在一些实施方案中,使用与无线客户端320相关联的数字证书签署邀请消息。可使用与各种证书颁发机构相关联的公钥来独立地验证数字证书。无线主机310还可确定是否允许无线客户端320访问邀请消息请求的服务。例如,无线主机310可阻止无线网络100内的特定ip地址或端口访问服务。因此,无线主机310可被配置为基于邀请消息中提供的信息来确定是否允许无线客户端320访问服务。如果无线主机310确定无线客户端320被拒绝访问服务,则无线主机310避免响应于邀请消息而向无线客户端320发送接受消息。无线客户端320可设置用于确定邀请消息应在何时到期的定时器。如果定时器在从无线主机310接收到接受消息之前到期,则无线客户端320可解除邀请消息并从可用服务列表中确定不同的路由。
然而,如果无线主机310确定无线客户端320被授权访问服务,则在306处,无线主机310将接受消息传输到无线客户端320。在一些实施方案中,无线主机310使用无线网络100的广播地址向无线客户端320传输接受消息。无线客户端320可包括被配置为侦听经由广播地址传输的接受消息的过程。在一些实施方案中,无线主机310使用无线网络100的组播地址向无线客户端320传输接受消息。无线客户端320可包括被配置为侦听经由组播地址传输的接受消息的过程。
接受消息可包括与无线主机310相关联的公钥。公钥可为与非对称密码加密/解密算法相关联的k位字符串,其中非对称密码加密/解密算法用于在无线主机310与无线客户端320之间传输加密数据,并且用于使用对应的私钥在任一端上解密数据。在一些实施方案中,公钥可为由无线主机310创建的短暂的256字节(例如,2048位)密钥,该密钥用于与特定通信会话一起使用。公钥还可与和公钥配对的对应私钥相关联,但不与无线客户端320通信。
在307处,无线主机310建立经由通信信道的安全通信会话。可根据实现用于认证和加密的非对称密码的协议来建立安全通信会话。在一些实施方案中,安全通信会话创建建立在与无线主机310相关联的套接字和与无线客户端320相关联的套接字之间的网络隧道。与无线客户端320相关联的套接字可与由邀请消息中的无线客户端320提供的ip地址和端口号绑定。与无线主机310相关联的套接字可与无线主机310的ip地址和分配给由无线主机310为安全通信会话实现的服务实例的端口号绑定。
如本文所用,网络隧道是指一种连接,通过该连接加密数据分组并将其作为有效载荷封装在另一数据分组内。无线客户端320可创建用于经由网络隧道传输的一个或多个数据分组,该一个或多个数据分组包括未加密的数据作为该一个或多个数据分组中的一个或多个有效载荷。可使用用于无线客户端320的私钥和用于无线主机310的公钥,根据加密算法对一个或多个数据分组中的每个数据分组进行加密。每个加密分组均可作为另一数据分组的有效载荷被封装到另一数据分组中,其还可包括用于经由通信信道将另一数据分组传输给无线主机310的未加密分组报头。在接收到另一数据分组之后,无线主机310可从另一数据分组中提取有效载荷,并使用由邀请消息中的无线客户端320提供的公钥和无线主机310的私钥来解密有效载荷。然后,无线主机310可如处理正常的未加密的数据分组一样来处理解密的数据分组。通过使用用于无线主机310的私钥和用于无线客户端320的公钥来加密数据分组、将加密的数据分组封装到另外的数据分组中、将该另外的数据分组传输给无线客户端320,无线主机310可以类似的方式将数据分组传输给无线客户端320,其中无线客户端可被配置为使用由接受消息中的无线主机310提供的公钥和无线客户端320的私钥来解密该另外的数据分组。
应当理解,上述协议300允许无线网络上的访客设备发现无线网络100上可用的服务并请求访问那些服务,而无需在无线网络100上显示关于那些服务的主机的任何识别信息。当禁用网络发现时,该匿名特征可用于保护wlan的安全措施。
在一些实施方案中,无线主机310和无线客户端320包括用于实现零配置联网的软件,其通常是指用于执行ip地址分配、主机名解析和服务发现的一组协议。这组协议可包括:链路本地寻址协议的实现,该链路本地寻址协议指定在主机连接到无线网络时如何将地址分配给主机;组播dns协议的实现,该组播dns协议指定如何使用ip组播地址执行dns查询;以及dns服务发现协议的实现,该dns服务发现协议指定主机如何注册服务以及客户端如何发现通过无线网络可用的服务。
当主机连接到无线网络时,链路本地寻址协议为主机从一系列保留的地址中随机选择一个地址。例如,可为地址块169.254.0.0/16中的链路本地地址保留一系列ipv4地址,并且可为地址块fe80::/64中的链路本地地址保留一系列ipv6地址。在使用随机选择的地址之前,主机探测无线网络以确定无线网络上的另一主机是否已在使用该地址。如果接收到对探测的回复,则该地址正在使用中,主机将从一系列保留的地址中随机选择另一地址并重复该过程。如果未接收到回复,则该地址可供主机使用。
组播dns(mdns)协议为局域网(例如,无线网络100)中的主机名保留“.local”伪顶级域(tld)。主机名是分配给位于网络上的特定设备的标签(例如,唯一标识符)。主机名可被构造成不同的域,其中主机名中的每个子域由句点分开。域名系统使用保存将主机名映射到设备地址(例如,ip地址)的记录的注册器。每个注册器实现一个或多个dns服务器,这些dns服务器被配置为接受dns查询以将给定主机名转换为ip地址。因此,设备可通过将dns查询发送到dns服务器的已知ip地址来将主机名转换为ip地址。与标准dns相反,mdns协议通过将dns查询传输到组播地址(例如,保留的组播ipv4地址224.0.0.251、保留的组播ipv6地址ff02::fb等)而不是通过将dns查询传输到与dns服务器相关联的已知单播ip地址来执行dns查找。网络上的其他设备可被配置为实现mdns响应器,该mdns响应器为在一个或多个主机中实现的被配置为监视dns查询的组播地址并解析dns查询中包括的主机名的过程。在检测到dns查询并随后成功解析dns查询中包括的主机名之后,mdns响应器向dns查询传输包括与dns查询中的主机名相对应的ip地址的响应。这使得可经由.local伪tld上的主机名对网络上的设备进行寻址,而无需在网络上实现传统的dns服务器来解析.localtld主机名。
dns服务发现协议使得连接到网络的各种主机能够通告由主机实现的服务,并且使得连接到网络的客户端能够发现由一个或多个主机通告的服务。在连接到本地网络之后,每个主机均可在主机网络接口的特定端口上发起服务,可经由上文所讨论的手动配置(例如,静态ip)、dhcp或链路本地寻址协议为其分配网络地址。一旦主机启动服务,则主机将该服务通告给网络上的任何mdns响应器。更具体地讲,主机周期性地并且以指数衰减的方式经由组播地址传输注册服务记录。侦听网络上的组播地址的任何mdns响应器均可接收注册服务请求,并根据注册服务记录中包含的服务的主机名注册服务。客户端可使用针对指定服务类型的特定主机名的dns查询来向mdns响应器查询本地子网内哪些服务可用。
在一些实施方案中,在301处,无线主机310使用dns服务发现协议在无线网络100上通告服务。无线主机310可通过组播地址向由无线网络100上的一个或多个主机实现的被配置为监视组播地址的任何mdns响应器传输注册服务请求。一个或多个mdns响应器可接收注册服务请求并为服务创建多个dns记录(包括服务记录、指针记录和文本记录)。
服务记录可包括标识服务的两个信息:主机名和端口号。端口号标识服务的用户数据报协议(udp)或传输控制协议(tcp)端口,主机名表示标识服务的域名。主机名可包括根据以下约定格式化的子域的结构化列表:“<instancename>.<servicetype>.<domain>”。<domain>字符串可为标准dns域,对于限于本地链接的服务,可将其列为“local.”。<servicetype>可为标准ip协议名称(如由iana-互联网号码分配局注册的标准ip协议名称),其前面加有下划线,后面随附前面加有下划线的主机到主机传输协议(例如,tcp或udp)。<instancename>字符串可为特定服务实例的唯一标识符。
指针记录类似于服务记录,但指针记录将服务类型(例如,<servicetype>.<domain>)映射到服务主机名和端口号。指针记录通过根据服务类型查询mdns响应器来提供容易的服务发现。
文本记录类似于服务记录,但其可包含另外的信息,诸如位于相同ip地址和端口号处的相同服务类型的多个服务到不同服务名称的映射,这可称为服务名称别名。
在一些实施方案中,无线主机310本地实现mdns响应器,并通过向本地mdns响应器注册服务来在网络上通告服务,从而在无线主机310的存储器内创建dns记录。然后,本地mdns响应器可使用本地记录解析通过组播地址进行的dns查询中的主机名。
在302处,无线客户端320经由组播地址传输服务发现请求。例如,无线客户端320可向监视无线网络100上的组播地址的任何mdns响应器传输请求,以返回基于特定服务类型(例如,“_printer._tcp”、“_music._tcp”等)匹配查询的服务的列表。无线网络100上的mdns响应器可返回与查询匹配的任何指针记录。在303处,无线客户端320通过选择与返回的指针记录之一相关联的服务的特定实例来确定特定路由。
在304处,无线客户端320经由与mdns响应器相关联的组播地址向无线主机310传输邀请消息。邀请消息包括无线客户端320的ip地址和由无线客户端320分配的用于与无线主机310建立连接的端口号。应当理解,指针记录中返回的服务的主机名可与无线主机310的主机名不同。此外,尽管在一些情况下,服务的主机名可包括可使用通过组播地址传输的dns查询映射到特定ip地址的域,但无线主机310可通过使用“local.”域保持匿名,其中“local.”域无法直接映射到无线主机310的特定ip地址。
在305处,无线主机310验证从无线客户端320接收到的邀请。验证可包括认证的任何方法,包括检查与无线客户端320相关联的凭证(例如,证书验证)。可诸如通过使用证书来签署邀请,或者通过在邀请内包含无线客户端320的用户名和密码以及公钥、ip地址和端口号,在邀请中传输凭证。应当理解,在一些实施方案中,305处的操作是任选的,并且可从协议300中省略。
在一些实施方案中,认证是指确保无线客户端320由与匿名无线主机310相同的制造商生产,从而可仅授权由相同制造商生产的设备与无线主机310建立安全通信会话。例如,制造商可以在无线主机310和无线客户端320中均包含的软件中对认证凭证进行硬编码。认证凭证可由无线客户端320与无线主机310共享,其中无线主机可针对存储在无线主机310中的对应认证凭证检查由无线客户端320提供的认证凭证。用于验证无线客户端320由与无线主机310相同的制造商生产的其他技术被认为是在协议300的本描述的范围内。
在306处,无线主机310使用组播地址将接受消息传输给无线客户端320。无线客户端320包括被配置为响应于经由组播地址发送的邀请消息而侦听由无线主机310发送的接受消息的组播地址的过程。接受消息包括与无线主机310相关联的公钥。公钥可以是短暂的并且可被生成用于与无线客户端320建立特定通信会话。
在307处,无线主机310与无线客户端320建立安全通信会话。可根据实现用于认证和加密的非对称密码的通信协议来建立安全通信会话。在一些实施方案中,安全通信会话使用建立在与无线主机310相关联的套接字和与无线客户端320相关联的套接字之间的网络隧道。与无线客户端320相关联的套接字可与由邀请消息中的无线客户端320提供的ip地址和端口号绑定。与无线主机310相关联的套接字可与无线主机310的ip地址和分配给由无线主机310为安全通信会话实现的服务实例的端口号绑定。
应当理解,协议300是客户端与匿名主机之间的握手协议,其用于在由匿名主机实现的服务与客户端之间建立安全通信会话。例如,mdns协议和dns服务发现协议可用于启动客户端与匿名主机之间的网络隧道。协议300允许无线主机310保持匿名,直到主机决定通过与无线客户端320建立安全通信会话来与无线客户端320连接。
应当理解,无线网络100可表示用于住宅环境中的典型wlan。通常,无线网络100可包括少量(例如,一个或两个)无线ap150和单个网关170(或路由器),其中网关诸如通过dsl调制解调器经由电缆调制解调器耦接到外部网络180并且/或者连接到服务提供方的混合光纤同轴(hfc)宽带网络。无线网络100可具有数十个连接到无线网络100的设备。然而,协议300不限于住宅环境。协议300可在商业环境诸如机场、多建筑园区或竞技场/体育场中实现,该商业环境中可包括更多的接入点和网关,并且可被配置为处理数千个连接的设备。此外,该协议可被实现用于企业网络,该企业网络包括在经由外部网络诸如互联网连接的世界周围的各个位置处的多个网关。
图4示出了根据一些实施方案的示例性企业网络400。企业网络400包括多个网关470,每个网关470经由网络接口408连接到外部网络480。第一ap450-0经由网络接口404连接到第一网关470-0,第二ap450-1经由网络接口404连接到第二网关470-1。第一ap450-0和第一网关470-0可位于第一位置,诸如公司在第一城市中的第一园区,第二ap450-1和第二网关470-1可位于第二位置,诸如该公司在第二城市中的第二园区。授权无线设备410可经由无线接口402在范围内的任何位置处连接到ap450。
第一网关470-0经由外部网络480与第二网关470-1通信。在大多数住宅无线网络中,单个网关提供对连接到无线网络的设备的互联网访问,与之不同,在企业网络400中,网关470可被配置为在不同位置处的多个相关无线网络之间中继数据。在一些实施方案中,网关470被配置为通过经由外部网络480建立的隧道在网关470之间中继数据分组。隧道允许通过外部网络通信耦接的多个无线网络用作单个公共无线网络。因此,第一无线设备410-0和第二无线设备410-1可进行通信,好像第一无线设备410-0和第二无线设备410-1连接到被配置为交换机的单个ap150、通过有线网络接口106直接连接的两个ap150或通过一个或多个其他网络硬件设备(诸如交换机或路由器)间接连接的两个ap150。
在一些实施方案中,企业网络400包括经由网络接口408连接到外部网络480的第三网关470-2。服务器490经由网络接口404连接到第三网关470-2。服务器490为计算设备,其可包括但不限于工作站、容纳在底座中的刀片式服务器或托管在共享硬件资源上的虚拟机(vm)。服务器490向企业网络400的客户端提供一个或多个服务。例如,服务器490可实现为用于在主机连接到企业网络400时将ip地址分配给主机的dhcp服务器。又如,服务器490可实现为用于决定与企业网络400相关联的主机名的dns服务器。网络管理员可利用特定主机名手动配置企业网络内的各种设备,并向dns服务器注册这些主机名。服务器490还可实现其他类型的服务,诸如托管用于内联网的网站、为在无线设备410上执行的客户端应用提供虚拟机、结合硬件存储资源提供虚拟存储解决方案等等。
应当理解,当通告消息、邀请消息和接受消息可桥接多个网关470之间的连接时,上文所述的协议300可与企业网络400一起工作。例如,经由特定子网内的广播地址和/或组播地址传输的分组通常不由路由器在该子网外中继(例如,分组在网关和外部网络之间的网络接口处将停止中继)。然而,当网关470被配置为通过外部网络480经由隧道中继分组时,此类组播分组可被封装在网关470处,并且可作为另一数据分组中的有效载荷通过隧道传输以在另一网关处被解密,并被转发到不同无线网络中的组播地址。因此,广播或组播消息可到达相同企业网络400内的不同无线网络上的设备410。
重新参考图3,只要无线主机310和无线客户端320位于无线网络100上或者位于相同企业网络400内的不同无线网络上,则协议300可用于在无线主机310和无线客户端320之间建立加密的通信信道。然而,一旦无线主机310在其自身的套接字与由无线客户端320建立的套接字之间建立连接,则无线主机310不再是匿名的,因为无线客户端320可检查经由该加密的通信信道到达的数据分组的源地址。在一些部署中,可能期望将无线主机310与无线客户端320进一步隔离,从而允许无线主机310即使在建立加密通信信道之后也可对无线客户端320保持完全匿名,并且可通过使用第三方服务器来中继无线主机310和无线客户端320之间的加密通信来实现这种匿名性。
图5示出了根据一些实施方案的用于通过企业网络400在无线设备之间建立安全通信会话的协议500的示例。如图5所示,协议500可由无线主机510和无线客户端520结合中继服务器530来执行。在一些实施方案中,无线主机510连接到企业网络400的第一ap450-0,无线客户端520连接到企业网络400的第二ap450-1,并且中继服务器530连接到企业网络400的第三网关470-2。在另选的实施方案中,中继服务器530未包括在企业网络400中,但可经由外部网络480访问。例如,中继服务器530的功能可由第三方作为可通过互联网访问的服务提供。
协议500在501处开始,其中无线主机510通告服务通过企业网络400可用。在一些实施方案中,无线主机510使用企业网络400的广播地址或组播地址来传输通告消息。可在第一网关470-0处接收通告消息并且经由隧道将其中继到第二网关470(1)。在一些实施方案中,无线主机510通过使用组播地址将注册服务记录传输到由企业网络400上的一个或多个主机实现的被配置为监视组播地址的任何mdns响应器来通告服务通过企业网络400可用。一个或多个mdns响应器可接收注册服务请求并为服务创建多个dns记录(包括服务记录、指针记录和文本记录)。应当理解,mdns响应器可在无线主机510、无线客户端520、服务器490和/或连接到企业网络400的各种另外主机内实现。
在502处,无线客户端520发现服务通过企业网络400可用。在一些实施方案中,发现可包括监视广播地址或组播地址以接收包括有效载荷的数据分组,该有效载荷将服务标识为通过企业网络400可用。在一些实施方案中,发现可包括将请求传输到服务器,从该服务器接收通过企业网络400可用的服务的列表。在一些实施方案中,发现可包括使用企业网络400的广播地址或组播地址传输查询一个或多个服务器的请求,以返回企业网络400上的可用服务的列表。
无线客户端520可向监视企业网络400上的组播地址的任何mdns响应器传输请求,以获得基于特定服务类型匹配查询的服务的列表。企业网络400上的mdns响应器可返回与查询匹配的任何指针记录。应当理解,mdns响应器可不位于与无线客户端520相同的无线网络上。例如,无线主机510可在与第一网关470-0相关联的无线网络内实现mdns响应器,而无线客户端520可位于与第二网关470-1相关联的不同无线网络上。另选地,mdns响应器可连接到第三网关470-2,并且可以不是与第一网关470-0相关联的无线网络或与第二网关470-1相关联的无线网络的一部分。
在接收到可用服务列表之后,无线客户端520在503处确定与可用服务列表中的服务相关联的路由。确定路由可包括选择由无线客户端520发现的可用服务的列表中标识的服务之一。
在504处,无线客户端520邀请无线主机510与无线客户端520建立连接。不要求传输给无线主机510的邀请消息中存在无线客户端520的公钥、无线客户端520的ip地址以及由无线客户端520为通信会话分配的端口号,但在一些实施方案中,邀请消息仍可包括该信息。在一些实施方案中,邀请消息可包括中继服务器530的主机名和/或由中继服务器530提供的中继服务,其标识与安全通信会话相关联的中继服务器530。在协议300中,无线客户端320将该信息传输给无线主机310,使得无线主机310可为加密的通信信道建立连接,与之不同,协议500仅要求通知无线主机510无线客户端(例如,无线客户端520)在企业网络400内请求通信会话。可使用企业网络400的广播地址或组播地址来传输邀请消息。
在505处,无线主机510将接受消息传输给无线客户端520。在一些实施方案中,无线主机510使用无线网络400的广播地址或组播地址向无线客户端520传输接受消息。接受消息可包括与无线主机510相关联的公钥。在一些实施方案中,公钥可为由无线主机510创建的短暂的256字节(例如,2048位)密钥,该密钥用于与特定通信会话一起使用。
在506处,无线客户端520将请求传输给中继服务器530以分配用于安全通信会话的中继连接。在一些实施方案中,中继服务器530与公知的ip地址或者与可由企业网络400内的常规dns服务器或mdns响应器解析的主机名相关联。无线客户端520和无线主机510可被配置为使用中继服务器530来通过连接到中继服务器530的一对通信信道在无线主机510和无线客户端520之间中继数据分组。在一些实施方案中,无线客户端520可选择中继服务器530以用于安全通信会话,并且可在给无线主机510的邀请消息中包括与中继服务器530相关联的地址或主机名。在一些实施方案中,从无线客户端520传输到中继服务器530的请求包括与无线主机510相关联的公钥以及与无线客户端520相关联的公钥。
在507处,中继服务器530向无线客户端520传输对请求的响应,该响应包括与中继连接相关联的一对令牌。每个令牌可标识由中继服务器530为安全通信会话分配的特定套接字。中继服务器530可维护将所发布的令牌与中继服务器530中包括的网络接口的特定套接字相关联的表,并且该表还可将每个令牌与为中继连接的特定实例分配的对应令牌相关联。
在一些实施方案中,中继服务器530使用与无线主机510相关联的公钥和与中继服务器530相关联的私钥来加密第一令牌(t_a),并使用与中继服务器530相关联的证书来签署加密的第一令牌。另外,中继服务器530使用与无线客户端520相关联的公钥和与中继服务器530相关联的私钥来加密第二令牌(t_b),并使用与中继服务器530相关联的证书来签署加密的第二令牌。然后,中继服务器530将签署并加密的令牌传输给无线客户端520。在一些实施方案中,令牌被加密但未用证书签署。
应当理解,在一些实施方案中,分配中继连接的请求和对请求的响应可经由单播地址而不是经由广播或组播地址传输给中继服务器530。如上文所述,无线客户端520可被预先配置为使用与已知单播ip地址相关联的特定中继服务器。另选地,无线客户端520可被预先配置为使用与已知主机名相关联的特定中继服务器。无线客户端520可被配置为,通过使用单播ip地址向dns服务器发送dns查询或者通过使用企业网络400的组播地址向mdns响应器发送dns查询,将用于中继服务器530的已知主机名转换为单播ip地址。在一些实施方案中,分配中继连接的请求和对请求的响应可经由企业网络400的广播地址或组播地址传输给中继服务器530。然而,应当理解,在经由组播地址传输请求的一些实施方案中,中继服务器530包括mdns响应器并且必须位于企业网络400内。
在508处,无线客户端520将令牌传输给无线主机510。在506处,无线客户端520从中继服务器530接收到两个令牌:与无线主机510相关联的第一令牌,以及与无线客户端520相关联的第二令牌。在一些实施方案中,无线客户端520使用与证书相关联的公钥来认证签署并加密的第二令牌。与证书相关联的公钥可由证书颁发机构维护,或者如果证书是自签署的,则其可由中继服务器530提供。如果加密的第二令牌被认证,则无线客户端520使用与无线客户端520相关联的私钥和与中继服务器530相关联的公钥来解密第二令牌(t_b)。应当理解,与证书相关联的公钥与用于加密第二令牌的公钥不同。与证书相关联的公钥用于使用证书进行认证的所有通信会话。相反,用于加密第二令牌的公钥可以是为特定通信会话创建的短暂密钥,并且在通信会话终止之后被丢弃。
尽管无线客户端520可使用用于由无线客户端520创建并已知的特定通信会话的私钥来解密第二令牌(t_b),但无线客户端520无法解密第一令牌(t_a),因为第一令牌(t_a)由中继服务器530使用与无线主机510相关联的公钥来加密。因此,无线客户端520将签署并加密的第一令牌传输给无线主机510,其中无线主机510使用与证书相关联的公钥来认证签署并加密的第一令牌。如果加密的第一令牌被认证,则无线主机510使用与无线主机510相关联的私钥和与中继服务器530相关联的公钥来解密第一令牌(t_a)。
在509处,无线主机510和无线客户端520各自建立与中继服务器530的连接。在一些实施方案中,无线主机510将第一令牌(t_a)作为连接请求消息的一部分传输给中继服务器530。中继服务器530在与第一令牌相关联的第一套接字和无线主机510之间建立连接。独立地,无线客户端520将第二令牌(t_b)作为另一连接请求消息的一部分传输给中继服务器530。中继服务器530在与第二令牌相关联的第二套接字和无线客户端520之间建立连接。同样,当令牌如相对于507所述创建时,中继服务器530将第一套接字与第一令牌相关联,并且将第二套接字与第二令牌相关联。然后,中继服务器530配置中继连接,使得第一套接字将分组中继到第二套接字,并且第二套接字将分组中继到第一套接字。
然后,无线主机510和无线客户端520可经由通过中继服务器530建立的通信信道传输安全加密的数据分组。可使用由无线主机510和无线客户端520为安全通信会话创建的公钥和私钥来加密数据分组。然而,无线主机510将数据分组寻址到由中继服务器530创建的第一套接字,并且无线客户端520将数据分组寻址到由中继服务器530创建的第二套接字。中继服务器530无法解密数据分组的有效载荷,因为中继服务器530不知道由无线主机510和无线客户端520为安全通信会话创建的私钥。类似地,无线客户端520不知道无线主机510的地址,并且在504处如果无线客户端520未在传输给无线主机510的邀请消息内提供地址,则无线主机510可能不知道无线客户端520的地址。
图6示出了根据一些实施方案的用于与匿名无线主机建立安全通信会话的示例性方法600的流程图。方法600可通过硬件或软件或者硬件和软件的一些组合(包括但不限于被配置为执行使得执行方法的指令的处理器)来实现。在各种实施方案中,方法600可由无线客户端320或无线客户端520执行。
在602处,至少一个服务被发现为通过无线网络可用。在一些实施方案中,无线客户端接收指示特定服务通过无线网络可用的通告消息。在另一实施方案中,无线客户端将服务发现请求发送到无线网络的广播地址或组播地址,并且无线客户端监视该广播地址或该组播地址,以用于对服务发现请求进行响应。响应可包括指示通过无线网络可用的各种服务的多个指针记录。应当理解,响应于单个服务发现请求,可接收到来自多个响应器的多个响应(例如,无线网络上的多个mdns响应器可响应单个服务发现请求),每个响应包括一个或多个指针记录。
在604处,从被发现为通过无线网络可用的至少一个服务中选择由匿名无线主机实现的服务。在一些实施方案中,无线客户端自动地从在无线网络上发现的可用服务列表中选择服务。在一些实施方案中,无线客户端提示用户从可用服务列表中选择服务。
在606处,向匿名无线主机发送与服务建立安全通信会话的邀请。在一些实施方案中,邀请包括无线客户端的ip地址和由无线客户端为安全通信会话分配的端口号。可建立安全通信会话,以便与由无线客户端的处理器执行的过程或应用程序以及由匿名无线主机实现的服务交换数据。邀请还可包括由无线客户端生成的公钥,其作为用于加密安全通信会话内的数据的非对称私钥/公钥对的一部分。
在608处,从匿名无线主机接收接受。在一些实施方案中,无线客户端监视广播地址或组播地址,以用于响应经由广播地址或组播地址发送的邀请。可经由广播地址或组播地址从匿名无线主机接收该接受。因此,无线客户端可在无线客户端不了解与匿名无线主机相关联的地址的情况下接收该接受,例如,接受可不包括分组报头中的匿名无线主机的源地址。
在610处,与由匿名无线主机实现的服务建立安全通信会话。在一些实施方案中,无线客户端创建与传输到匿名无线主机的邀请中包括的无线接口的地址和端口号相关联的套接字。套接字被配置为在用于由匿名无线主机创建的连接的端口号处侦听。在向无线客户端传输接受之后,匿名无线主机被配置为创建与为安全通信会话分配的匿名无线主机的无线接口的地址和端口号相关联的套接字。匿名无线主机利用由邀请中的无线客户端提供的地址和端口号,在与匿名无线主机的无线接口相关联的套接字和与无线客户端的无线接口相关联的套接字之间创建连接。
图7示出了根据一些实施方案的用于与无线客户端匿名地建立安全通信会话的示例性方法700的流程图。方法700可通过硬件或软件或者硬件和软件的一些组合(包括但不限于被配置为执行使得执行方法步骤的指令的处理器)来实现。在各种实施方案中,方法700可由无线主机310或无线主机510执行。
在702处,服务被通告为经由无线网络可用。在一些实施方案中,无线主机经由广播地址或者经由无线网络的组播地址传输指示服务通过无线网络可用的通告消息。在一些实施方案中,无线主机将服务与服务发现服务一起注册为通过无线网络可用。
在704处,从无线客户端接收到经由通信信道与服务建立安全通信会话的邀请。在一些实施方案中,邀请包括无线客户端的ip地址和由无线客户端为经由通信信道建立的安全通信会话分配的端口号。可建立安全通信会话,以便与由无线客户端的处理器执行的过程或应用程序以及由匿名无线主机实现的服务交换数据。邀请还可包括由无线客户端生成的公钥,其作为用于加密安全通信会话内的数据的非对称私钥/公钥对的一部分。
在706处,验证邀请的真实性。在一些实施方案中,邀请由无线客户端使用证书签署,并且无线主机被配置为仅响应用该证书签署邀请的授权无线客户端。在一些实施方案中,无线客户端在邀请中包含用户名和密码,并且匿名无线客户端被配置为仅响应提供确保无线客户端的真实性的注册凭证的授权无线客户端。
在708处,将接受传输到指示匿名无线主机将经由通信信道建立安全通信会话的无线客户端。在一些实施方案中,匿名无线主机经由广播地址或组播地址将接受传输到无线客户端。邀请还可包括由无线主机生成的公钥,其作为用于加密安全通信会话内的数据的非对称私钥/公钥对的一部分。
在710处,安全通信会话通过通信信道建立。在一些实施方案中,无线主机创建被分配用于与无线客户端进行安全通信会话的与无线接口的地址和端口号相关联的套接字。通过通信信道建立为匿名无线主机分配的套接字与在邀请中由无线客户端在由无线客户端提供的ip地址和端口号处创建的套接字之间的连接。在邀请和接受中交换的公钥可用于加密经由通信信道在安全通信会话中传输的数据。
代表性实施方案
在一些实施方案中,用于与匿名无线主机建立安全通信会话的方法包括无线客户端:(i)发现通过无线网络可用的通告的至少一个服务;(ii)从该至少一个服务中选择由匿名无线主机实现的服务;(iii)经由无线网络的广播地址或组播地址,向匿名无线主机传输与服务建立安全通信会话的邀请;(iv)经由广播地址或组播地址从匿名无线主机接收接受;以及(v)通过通信信道建立安全通信会话,其中安全通信会话用于在所选服务和无线客户端之间交换加密数据。
在一些实施方案中,无线客户端至少通过使用广播地址或组播地址来传输发现请求,以发现通过无线网络可用的通告的该至少一个服务。在一些实施方案中,无线客户端使用组播地址将发现请求传输到组播域名系统(mdns)响应器。在一些实施方案中,邀请包括消息,该消息包括:由无线客户端创建的公钥、无线客户端的ip地址以及由无线客户端为安全通信会话分配的端口号。在一些实施方案中,由无线客户端创建的公钥被创建用于安全通信会话。在一些实施方案中,由无线客户端创建的公钥是用于安全通信会话且随后停用(例如,被丢弃)的短暂公钥。在一些实施方案中,邀请还包括与无线客户端相关联的凭据。在一些实施方案中,接受包括消息,该消息包括由匿名无线主机创建的公钥。在一些实施方案中,由匿名无线主机创建的公钥被创建用于安全通信会话。在一些实施方案中,由匿名无线主机创建的公钥是用于安全通信会话且随后停用(例如,被丢弃)的短暂公钥。在一些实施方案中,由无线客户端创建的公钥与由无线客户端创建的对应私钥相关联。在一些实施方案中,由匿名无线主机创建的公钥与由匿名无线主机创建的对应私钥相关联。在一些实施方案中,公钥和私钥被创建用于安全通信会话。在一些实施方案中,公钥和私钥是被创建用于安全通信会话且随后停用(例如,被丢弃)的短暂秘钥。在一些实施方案中,由无线客户端和匿名无线主机两者创建的公钥和对应的私钥包括短暂的256字节密钥,当安全通信会话终止时,该密钥被丢弃。在一些实施方案中,无线客户端至少通过以下方式建立安全通信会话:(i)创建与对应于无线客户端的地址的网络接口相关联的套接字;(ii)配置该套接字以侦听与网络接口的端口号相关联的分组;以及(iii)在该套接字和匿名无线主机的对应套接字之间建立隧道。在一些实施方案中,安全通信会话通过中继服务器建立。
在一些实施方案中,客户端包括用于连接到无线网络的无线接口、处理器和存储指令的存储器,其中指令当由处理器执行时,使得客户端通过以下方式与主机建立安全通信会话:(i)使用无线网络的广播地址或组播地址传输发现请求;(ii)接收对发现请求的响应,该响应指示通过无线网络可用的至少一个服务;(iii)从该至少一个服务中选择由主机实现的服务;(iv)经由广播地址或组播地址,向主机传输与服务建立安全通信会话的邀请;(v)经由广播地址或组播地址从主机接收接受;以及(vi)通过通信信道建立安全通信会话,其中安全通信会话用于在服务和客户端之间交换加密数据。
在一些实施方案中,无线网络包括耦接到一个或多个接入点的一个或多个网关;客户端经由客户端无线接口连接到一个或多个接入点中的第一接入点;并且主机经由主机的无线接口连接到一个或多个接入点中的第一接入点或第二接入点。在一些实施方案中,当(i)主机连接到第二接入点,(ii)第一接入点经由第一接入点的网络接口耦接到一个或多个网关中的第一网关,并且(iii)第二接入点经由第二接入点的网络接口耦接到一个或多个网关中的第二网关时,第一网关被进一步配置为与第二网关建立网络隧道,通过该网络隧道中继从客户端传输到主机的数据分组。在一些实施方案中,无线网络包括至少一个组播域名系统(mdns)响应器,该组播域名系统响应器被配置为注册通过无线网络可用的服务并经由组播地址将对发现请求的响应返回给客户端。在一些实施方案中,该至少一个mdns响应器中的第一mdns响应器被配置为从主机接收与服务相关联的注册服务请求,并响应于注册服务请求,生成包括服务记录、指针记录和文本记录的多个dns记录,其中多个dns记录存储在第一mdns响应器可访问的存储器中。在一些实施方案中,中继服务器被配置为分配中继连接以通过中继连接在客户端与主机之间建立安全通信会话。
在一些实施方案中,非暂态计算机可读介质存储指令,其中指令当由处理器执行时,使得无线客户端通过以下方式与匿名无线主机建立安全通信会话:(i)发现通过无线网络可用的通告的至少一个服务;(ii)从该至少一个服务中选择由匿名无线主机实现的服务;(iii)经由无线网络的广播地址或组播地址,向匿名无线主机传输与服务建立安全通信会话的邀请;(iv)经由广播地址或组播地址从匿名无线主机接收接受;以及(v)通过通信信道建立安全通信会话,其中安全通信会话用于在服务和无线客户端之间交换加密数据。
在一些实施方案中,无线客户端至少通过使用广播地址或组播地址来传输发现请求,以发现通过无线网络可用的通告的该至少一个服务。在一些实施方案中,使用组播地址将发现请求传输到组播域名系统(mdns)响应器。在一些实施方案中,邀请包括消息,该消息包括:(i)由无线客户端创建的公钥、(ii)无线客户端的ip地址,以及(iii)由无线客户端为安全通信会话分配的端口号。在一些实施方案中,由无线客户端创建的公钥被创建用于安全通信会话。在一些实施方案中,由无线客户端创建的公钥是用于安全通信会话且随后停用(例如,被丢弃)的短暂公钥。在一些实施方案中,接受包括消息,该消息包括由匿名无线主机创建的公钥。在一些实施方案中,由匿名无线主机创建的公钥被创建用于安全通信会话。在一些实施方案中,由匿名无线主机创建的公钥是用于安全通信会话且随后停用(例如,被丢弃)的短暂公钥。在一些实施方案中,由无线客户端创建的公钥与由无线客户端创建的对应私钥相关联。在一些实施方案中,由匿名无线主机创建的公钥与由匿名无线主机创建的对应私钥相关联。在一些实施方案中,公钥和私钥被创建用于安全通信会话。在一些实施方案中,公钥和私钥是被创建用于安全通信会话且随后停用(例如,被丢弃)的短暂秘钥。在一些实施方案中,由无线客户端和匿名无线主机两者创建的公钥和对应的私钥包括短暂的256字节密钥,当安全通信会话终止时,该密钥被丢弃。在一些实施方案中,无线网络包括耦接到一个或多个接入点的一个或多个网关,其中无线客户端经由无线客户端的无线接口连接到一个或多个接入点中的第一接入点,并且其中匿名无线主机经由匿名无线主机的无线接口连接到一个或多个接入点中的第一接入点或第二接入点。
在一些实施方案中,用于由匿名无线主机与无线客户端匿名地建立安全通信会话的方法包括匿名无线主机:(i)通告由匿名无线主机实现的通过无线网络可用的服务;(ii)经由无线网络的广播地址或组播地址,接收与无线客户端建立安全通信会话的邀请;(iii)经由广播地址或组播地址向无线客户端传输接受;以及(iv)通过通信信道建立安全通信会话,其中安全通信会话用于在服务和无线客户端之间交换加密数据。
在一些实施方案中,匿名无线主机至少通过使用无线网络的广播地址或组播地址来传输通告消息,以通告通过无线网络可用的服务。在一些实施方案中,使用组播地址将通告消息传输到组播域名系统(mdns)响应器。在一些实施方案中,邀请包括消息,该消息包括:由无线客户端创建的公钥、无线客户端的ip地址以及由无线客户端为安全通信会话分配的端口号。在一些实施方案中,邀请还包括与无线客户端相关联的凭据。在一些实施方案中,由无线客户端创建的公钥被创建用于安全通信会话。在一些实施方案中,由无线客户端创建的公钥是用于安全通信会话且随后停用(例如,被丢弃)的短暂公钥。在一些实施方案中,接受包括消息,该消息包括由匿名无线主机创建的公钥。在一些实施方案中,由匿名无线主机创建的公钥被创建用于安全通信会话。在一些实施方案中,由匿名无线主机创建的公钥是用于安全通信会话且随后停用(例如,被丢弃)的短暂公钥。在一些实施方案中,由无线客户端创建的公钥与由无线客户端创建的对应私钥相关联。在一些实施方案中,由匿名无线主机创建的公钥与由匿名无线主机创建的对应私钥相关联。在一些实施方案中,公钥和私钥被创建用于安全通信会话。在一些实施方案中,公钥和私钥是被创建用于安全通信会话且随后停用(例如,被丢弃)的短暂秘钥。在一些实施方案中,由无线客户端和匿名无线主机两者创建的公钥和对应的私钥包括短暂的256字节密钥,当安全通信会话终止时,该密钥被丢弃。在一些实施方案中,匿名无线主机至少通过以下方式建立安全通信会话:(i)创建与对应于匿名无线主机的网络地址的网络接口相关联的套接字;(ii)将该套接字连接到无线客户端的对应套接字;以及(iii)在该套接字与该对应套接字之间建立隧道。在一些实施方案中,通过中继服务器建立安全通信会话。
在一些实施方案中,主机包括用于连接到无线网络的无线接口、处理器和存储指令的存储器,其中指令当由处理器执行时,使得主机通过以下方式与客户端建立安全通信会话:(i)通告通过无线网络可用的服务;(ii)经由无线网络的广播地址或组播地址,接收与客户端建立安全通信会话的邀请;(iii)经由广播地址或组播地址向客户端传输接受;以及(iv)通过通信信道建立安全通信会话,其中安全通信会话用于在服务和客户端之间交换加密数据。
在一些实施方案中,无线网络包括耦接到一个或多个接入点的一个或多个网关,其中无线客户端经由客户端的无线接口连接到一个或多个接入点中的第一接入点,并且其中主机经由主机的无线接口连接到一个或多个接入点中的第一接入点或第二接入点。在一些实施方案中,(i)主机连接到第二接入点,(ii)第一接入点经由第一接入点的网络接口耦接到一个或多个网关中的第一网关,并且(iii)第二接入点经由第二接入点的网络接口耦接到一个或多个网关中的第二网关,并且(iv)第一网关被进一步配置为与第二网关建立网络隧道,通过该网络隧道中继从客户端传输到主机的数据分组。在一些实施方案中,无线网络包括被配置为注册通过无线网络可用的服务的至少一个组播域名系统(mdns)响应器。在一些实施方案中,该至少一个mdns响应器中的第一mdns响应器被配置为(i)从主机接收与服务相关联的注册服务请求,并且(ii)响应于注册服务请求,生成包括服务记录、指针记录和文本记录的多个dns记录,其中多个dns记录存储在第一mdns响应器可访问的存储器中。在一些实施方案中,中继服务器被配置为分配中继连接以通过中继连接在主机与客户端之间建立安全通信会话。
在一些实施方案中,非暂态计算机可读介质存储指令,其中指令当由处理器执行时,使得匿名无线主机通过以下方式与无线客户端建立安全通信会话:(i)通告通过无线网络可用的服务;(ii)经由无线网络的广播地址或组播地址,接收与无线客户端建立安全通信会话的邀请;(iii)经由广播地址或组播地址向无线客户端传输接受;以及(iv)通过通信信道建立安全通信会话,其中安全通信会话用于在服务和无线客户端之间交换加密数据。
在一些实施方案中,匿名无线主机至少通过使用广播地址或组播地址来传输消息,以通告通过无线网络可用的服务。在一些实施方案中,消息为使用组播地址传输到组播域名系统(mdns)响应器的注册服务请求。在一些实施方案中,主机接收的邀请包括消息,该消息包括:由无线客户端创建的公钥、无线客户端的ip地址以及由无线客户端为安全通信会话分配的端口号。在一些实施方案中,接受包括消息,该消息包括由匿名无线主机创建的公钥。在一些实施方案中,由匿名无线主机创建的公钥被创建用于安全通信会话。在一些实施方案中,由匿名无线主机创建的公钥是用于安全通信会话且随后停用(例如,被丢弃)的短暂公钥。在一些实施方案中,由无线客户端创建的公钥与由无线客户端创建的对应私钥相关联。在一些实施方案中,由匿名无线主机创建的公钥与由匿名无线主机创建的对应私钥相关联。在一些实施方案中,公钥和私钥被创建用于安全通信会话。在一些实施方案中,公钥和私钥是被创建用于安全通信会话且随后停用(例如,被丢弃)的短暂秘钥。在一些实施方案中,由无线客户端和匿名无线主机两者创建的公钥和对应的私钥包括短暂的256字节密钥,当安全通信会话终止时,该密钥被丢弃。在一些实施方案中,无线网络包括耦接到一个或多个接入点的一个或多个网关,其中无线客户端经由无线客户端的无线接口连接到一个或多个接入点中的第一接入点,并且其中匿名无线主机经由匿名无线主机的无线接口连接到一个或多个接入点中的第一接入点或第二接入点。
图8示出了根据一些实施方案的可被用于实现本文所述的各种装置和/或方法的示例性计算设备800的详细视图。具体地讲,该详细视图示出了可被包括在图1至图7所示和/或本文所述的计算设备中的各种部件。例如,一个或多个无线设备110/410、一个或多个接入点150/450、一个或多个网关170/470、一个或多个服务器490、一个或多个无线客户端310/510、一个或多个无线主机320/520或任何其他设备中的一者或多者可被至少部分地实现为包括计算设备800的部件。如图8所示,计算设备800可包括表示用于控制计算设备800的总体操作的微处理器或控制器的处理器802。计算设备800还可包括用户输入设备808,该用户输入设备允许计算设备800的用户与计算设备800进行交互。例如,用户输入设备808可采用多种形式,诸如按钮、小键盘、拨号盘、触摸屏、音频输入接口、视觉/图像捕获输入接口、传感器数据形式的输入等。更进一步地讲,计算设备800可包括可由处理器802控制的向用户呈现视觉信息的显示器810(屏幕显示器)。数据总线816可促进至少存储设备840、处理器802和控制器813之间的数据传输。控制器813可用于通过装置控制总线814与不同的装置进行交互并对不同的装置进行控制。计算设备800还可包括耦接至数据线812的网络/总线接口811。在无线连接的情况下,网络/总线接口811可包括无线收发器。
计算设备800还包括存储设备840,该存储设备可包括单个磁盘或多个磁盘(例如,硬盘驱动器),并且包括管理存储设备840内的一个或多个分区的存储管理模块。在一些实施方案中,存储设备840可包括闪存存储器、半导体(固态)存储器等。计算设备800还可包括随机存取存储器(ram)820和只读存储器(rom)822。rom822可存储将以非易失性方式执行的程序、实用程序或过程。ram820可提供易失性数据存储,并存储与计算设备800的操作相关的指令。
可单独地或以任何组合使用所述实施方案的各个方面、实施方案、具体实施或特征。可由软件、硬件或硬件与软件的组合来实施所述实施方案的各个方面。所述实施方案也可体现为计算机可读介质上的计算机可读代码。计算机可读介质为可存储数据的任何数据存储设备,其后该数据可由计算机系统读取。计算机可读介质的示例包括只读存储器、随机存取存储器、cd-rom、hdd、dvd、磁带和光学数据存储设备。计算机可读介质也可分布在网络耦接的计算机系统中,使得计算机可读代码以分布的方式被存储和执行。
为了说明的目的,前述描述使用具体命名以提供对所述实施方案的彻底理解。然而,对于本领域的技术人员而言将显而易见的是,不需要具体细节,以便实践所述实施方案。因此,具体实施方案的前述描述被呈现用于例示和描述的目的。前述描述不旨在为穷举性的或将所述的实施方案限制为所公开的精确形式。对于本领域的普通技术人员而言将显而易见的是,鉴于上面的教导内容,许多修改和变型是可能的。
- 还没有人留言评论。精彩留言会获得点赞!