[发明专利]根据多级别安全协议配对计算设备

说明书

技术领域

实施例涉及多个计算设备之间的安全连接。

背景技术

在当今的计算环境中，许多用户拥有多个计算设备。尽管这些设备中的一些设备可以经由配对技术彼此通信，但是设备的安全配对要求用户与每个设备交互。这种设备的手动配对对于用户来说是不方便的并且会不期望地影响用户体验。此外，在受信任环境中的多个设备的耦合是容易出现错误以及安全漏洞的。

附图说明

图1是根据本发明的一个实施例的在以用户为中心的多级别安全环协议中配对多个设备的示意图。

图2是根据一个实施例的用于以用户为中心的设备配对的高级别方法的流程图。

图3是根据本发明的另一实施例的方法的流程图。

图4是根据一个实施例的自动配对设备标识的示意图。

图5是根据一个实施例的自动信任协商(ATN)过程的示例。

图6是根据一个实施例的共享密钥创建协议的示意图。

图7是根据一个实施例的根据以用户为中心的多级别环协议的设备配对的示意图。

图8是根据本发明的一个实施例的系统的部分的框图。

图9是根据本发明的一个实施例的系统布置的框图。

图10是实施例可以与其一起使用的另一示例系统的框图。

图11是根据本发明的另一实施例的系统的框图。

具体实施方式

在各种实施例中，多个与用户相关联的计算设备可以自动且无缝地配对(经常以对于用户来说透明的方式)。另外，可以执行设备的配对以使设备在合适的安全特权级别能彼此耦合与交互，该合适的安全特权级别取决于认证参数与策略(例如，涉及用户和/或设备认证)。

更具体地，实施例提供用于与一个或多个用户相关联的计算设备的多级别以用户为中心的配对的技术。该技术的多级别方面用于多个安全级别，使得基于各个认证参数与策略，两个设备可以在特定的安全级别或环互相耦合，以使设备能根据给定的安全级别通信与共享信息。此外，该技术以用户为中心的方面使设备配对的特权级别至少部分地基于设备的用户的认证。

为此，实施例可以使用设备类型以及用户与设备的关系以在合适的信任级别透明且安全地将设备与一个或多个其他设备配对。多级别的信任允许两个平台基于设备之间所要求的共享与交互的级别彼此配对。为实现设备之间的配对与连接，在各种实施例中可以利用广泛的设备能力。例如，在一些实施例中，可以使用可用的无线协议，诸如无线局域网通信协议，例如，根据电气与电子工程师协会802.11标准(例如，所谓的Wi-Fi^TM协议)。此外，类似地可以使用诸如Bluetooth^TM协议或近场通信(NFC)协议的其他无线协议。

实施例提供了一组基于多级别安全技术的配对协议，该组配对协议允许不同用户与资源的独立于传输的发现。可将实施例应用到各种使用情况以使设备能在合适的安全级别自发地配对。在一个示例中，用户在不同的设备上可以具有不同的角色。考虑用户Alice正在工作并且想将她的工作电话配对到她的工作膝上型计算机。她具有在两个设备上建立的一个身份，该身份指示对单独地访问她的雇主的公司数据的许可(例如，如经由企业网络访问专用企业系统或远程地访问基于云的服务提供者)。然而，在没有本发明实施例的情况下，这些设备不能透明地确定它们是否具有相同的主用户使得他们可以安全地配对。另外，如果主用户的情境在设备之间没有被识别为是相同的，例如，办公室工作人员Alice相对于在家的Alice，可能发生设备之间不同类型的配对。

一些实施例可以使用发现服务，其中设备的可发现的属性可以被放置在代表第一设备行动的第二设备上的注册表中。此类发现服务的使用允许第一设备进入低功率/睡眠模式的同时仍然允许第三设备发现它的存在。在各种实施例中，发现服务可以通过对外部级别发现查询隐藏内部安全级别资源来支持多级别发现。如此，只有当发现设备认证其自身对于发现服务具有足够的特权级别，它才可以获悉第一设备的附加能力。在这种情况下，唤醒第一设备的协议，诸如LAN-唤醒技术，可以被发现服务或第三设备用来发起与睡眠的第一设备的交互。然而，考虑到如果较低级别的实体对高灵敏度级别资源的认知构成安全违规则需要与该资源交互，需注意确保不强制使用唤醒高安全能力。