[发明专利]用于将客户端设备与网络相连的系统和方法

说明书

技术领域

下文涉及用于将客户端设备与网络相连的系统和方法。

背景技术

在网络环境中，希望加入网络的客户端设备首先发现网络，然后加入所发现的网络。通常由路由器、服务器或其他网络控制器或接入设备(下文中，称作“信任中心”)来执行针对网络的接受。在一些网络环境中，加入网络并且通过网络进行通信的客户端设备使用少量用户接口或不使用用户接口来进行操作。尽管这种客户端设备的接口有限，然而客户端设备应当能够不仅加入网络，而且加入正确网络。类似地，信任中心应当能够只允许可接受的客户端设备加入其网络。

诸如家域网(HAN)等的网络可以将安全协商协议(例如传输层安全(TLS)协议或其前身(安全套接层(SSL)协议))用作该网络的基本安全协议。TLS协议是提供通信私密性和数据完整性并且允许客户端/服务器应用以设计为防止或禁止窃听、篡改和消息伪造的方式进行通信的公知通信协议。

在使用TLS或SSL协议的环境(包括向客户端设备预配置数字证书(下文中，“证书”)的环境)中，可能难以向正在加入的客户端设备指示它应当加入哪个网络和信任中心。还可能难以提取来自正在加入的客户端设备的信息并且访问信任中心以限定哪些客户端设备应当加入。通常将这种困难称作“操纵问题(steering problem)”。

为了解决操纵问题，典型模型在于向信任中心提供与将加入网络的客户端设备有关的少量标识信息。通常，标识信息应具有允许人们通过终端或键盘容易输入的形式。一旦该信息在信任中心是已知的，信任中心就进入“允许加入”模式。此时，经验证的正在加入的客户端设备可以证明它是与标识信息相关联的设备，并且被允许加入网络。

该模型的安全问题在于：欺诈信任中心可以在混杂模式下接受加入，从而欺骗正在加入的客户端设备加入错误网络。另一安全问题在于：欺诈客户端设备可以在允许加入阶段期间和在预期设备能够加入之前尝试通过信任中心加入网络。

发明内容

在一个方面，提供了一种使客户端设备能够与网络相连的方法，所述方法包括：通过不同于网络的通信信道获得授权码，所述授权码与客户端设备相对应；以及在检测到由客户端设备发起安全协商协议之后，将所述授权码用于至少一个安全协商操作。

在另一方面，提供了一种与网络相连的方法，所述方法包括：客户端设备发起与网络的服务器设备的安全协商协议；以及将授权码用于至少一个安全协商操作，所述授权码已经通过不同于网络的通信信道提供给服务器设备，所述授权码与客户端设备相对应。

在另一方面，提供了一种使客户端设备能够与网络相连的方法，所述方法包括：通过不同于网络的通信信道向客户端设备提供授权码，所述授权码与客户端设备相对应；以及在检测到由客户端设备发起安全协商协议之后，将所述授权码用于至少一个安全协商操作。

在另一方面，提供了一种计算机可读存储介质，包括用于使客户端设备能够与网络相连的计算机可执行指令，所述计算机可执行指令包括用于以下操作的指令：通过不同于网络的通信信道获得授权码，所述授权码与客户端设备相对应；以及在检测到由客户端设备发起安全协商协议之后，将所述授权码用于至少一个安全协商操作。

在另一方面，提供了一种计算机可读存储介质，包括用于与网络连接的计算机可执行指令，所述计算机可执行指令包括用于以下操作的指令：客户端设备发起与网络的服务器设备的安全协商协议；以及将授权码用于至少一个安全协商操作，所述授权码已经通过不同于网络的通信信道提供给服务器设备，所述授权码与客户端设备相对应。

在另一方面，提供了一种计算机可读存储介质，包括用于使客户端设备能够与网络相连的计算机可执行指令，所述计算机可执行指令包括用于以下操作的指令：通过不同于网络的通信信道向客户端设备提供授权码，所述授权码与客户端设备相对应；以及在检测到由客户端设备发起安全协商协议之后，将所述授权码用于至少一个安全协商操作。

在另一方面，提供了一种包括处理器和存储器的服务器设备，所述存储器包括计算机可执行指令，所述计算机可执行指令用于通过操作所述处理器执行以下操作来使客户端设备能够与网络相连：通过不同于网络的通信信道获得授权码，所述授权码与客户端设备相对应；以及在检测到由客户端设备发起安全协商协议之后，将所述授权码用于至少一个安全协商操作。