收藏
下载资源 加入会员免费下载

用于设备到站的关联的协议.pdf

上传人:e2 文档编号:974035 上传时间:2018-03-22 格式:PDF 页数:31 大小:758.46KB
返回 下载 相关 举报
摘要
申请专利号:

CN200980131666.8

 申请日:

2009.07.24
公开号:

CN102119391A

 公开日:

2011.07.06
当前法律状态:

授权

 有效性:

有权
法律详情:

专利权的转移IPC(主分类):H04L 29/06变更事项:专利权人变更前权利人:微软公司变更后权利人:微软技术许可有限责任公司变更事项:地址变更前权利人:美国华盛顿州变更后权利人:美国华盛顿州登记生效日:20150717|||授权|||实质审查的生效IPC(主分类):G06F 21/20申请日:20090724|||公开
IPC分类号:

G06F21/20; H04L29/06; G06F13/10; G06F15/16

 主分类号:

G06F21/20
申请人:

微软公司
发明人:

N·加纳帕锡
地址:

美国华盛顿州
优先权:

2008.08.14 US 12/191,752
专利代理机构:

上海专利商标事务所有限公司 31100

 代理人:

钱静芳
PDF下载: PDF下载
内容摘要

一种使得便携式设备能够与多个计算机自动关联的技术。创建计算机能用于在创建与便携式设备的关联之前认证便携式设备并建立可信关系的信息并将其存储在可被多个计算机访问的数据存储中且与便携式设备的用户相关联。当计算机发现它尚未关联的这一便携式设备时,计算机可标识登录到计算机的用户并使用标识该用户的信息来检索独立于设备且预期由便携式设备提交来认证它的认证信息,并允许自动关联。

权利要求书

1: 至少一个用多个指令编码的计算机可读存储介质 (1302), 所述指令在由计算机 (905a) 执行时执行一种向所述计算机 (905a) 认证便携式设备 (901) 的方法, 所述方法包括 以下动作 : (A) 标识登录到所述计算机 (905a) 的用户的身份 ; (B) 在所述计算机 (905a) 处接收来自所述便携式设备 (901) 的至少一个第一通信, 所 述至少一个第一通信包括所述便携式设备 (901) 的标识符和第一安全认证信息 ; (C) 使用登录到所述计算机 (905a) 的用户的身份和所述便携式设备 (901) 的标识符来 检索至少一个第一密钥资料 (909) ; 以及 (D) 通过使用所述至少一个第一密钥资料 (909) 来处理所述第一安全认证信息, 来确 定所述至少一个第一通信是否认证所述便携式设备 (901)。
2: 如权利要求 1 所述的至少一个计算机可读存储介质, 其特征在于, 所述第一认证信 息包括使用所述便携式设备的秘密密钥生成的数字签名, 且所述至少一个第一密钥资料 (1909) 包括所述便携式设备的公钥。
3: 如权利要求 1 所述的至少一个计算机可读存储介质 (1302), 其特征在于, 所述用户 是第一用户, 所述便携式设备 (901) 是第一便携式设备, 并且其中 : 所述至少一个第一通信还包括唯一地标识由某一用户和某一便携式设备构成的对的 至少一个标识符 ; 以及 所述确定所述至少一个第一通信是否认证所述便携式设备 (901) 的动作包括确定所 述至少一个标识符是否唯一地标识包括所述第一用户和所述第一便携式设备的对。
4: 如权利要求 1 所述的至少一个计算机可读存储介质 (1302), 其特征在于, 还包括以 下动作 : 当在所述动作 (D) 中确定所述便携式设备 (901) 已被认证时, 在所述计算机 (905a) 和 所述便携式设备 (910) 之间建立至少一个共享密钥 ; 以及 使用至少部分地从所述至少一个共享密钥生成的一个或多个密钥来加密所述计算机 (905a) 和所述便携式设备 (901) 之间的至少一个进一步的通信。
5: 如权利要求 4 所述的至少一个计算机可读存储介质 (1302), 其特征在于, 所述至少 一个共享密钥是通过将所述计算机 (905a) 生成并被发送到所述便携式设备 (901) 的第一 密钥与所述便携式设备 (901) 生成并被发送到所述计算机 (905a) 的第二密钥进行组合来 计算的。
6: 如权利要求 1 所述的至少一个计算机可读存储介质 (1302), 其特征在于, 还包括 在接收所述第一安全认证信息之前向所述便携式设备 (901) 发送标识登录到所述计算机 (905a) 的用户的至少一个在先通信的动作。
7: 如权利要求 1 所述的至少一个计算机可读存储介质 (1302), 其特征在于, 还包括以 下动作 : 从所述计算机 (905a) 向所述便携式设备 (901) 发送包括第二安全认证信息的至少一 个第二通信 ; 以及 由所述便携式设备 (901) 通过使用存储在所述便携式设备 (901) 上的至少一个第二密 钥资料来处理所述第二安全认证信息以确定所述至少一个第二通信是否认证所述计算机 (905a)。 2
8: 如权利要求 7 所述的至少一个计算机可读存储介质 (1302), 其特征在于, 所述用户 是第一用户, 所述便携式设备 (901) 是第一便携式设备, 并且其中 : 所述至少一个第二通信还包括唯一地标识由某一用户和某一便携式设备构成的对的 至少一个标识符 ; 以及 所述确定所述至少一个第二通信是否认证所述计算机 (905a) 的动作包括确定所述至 少一个标识符是否唯一地标识包括所述第一用户和所述第一便携式设备的对。
9: 一种便携式设备 (901), 包括 : 至少一个处理器 (1301), 其被编程为 : 从计算机 (905a) 接收标识登录到所述计算机 (905a) 的用户的身份的至少一个第一通 信; 检索第一密钥资料, 所述第一密钥资料与所述计算机 (905a) 可访问且与所述用户相 关联的第二密钥资料相关联 ; 以及 向所述计算机 (905a) 发送至少一个第二通信, 所述至少一个第二通信包括所述便携 式设备 (901) 的标识符, 所述至少一个第二通信还包括至少一个第一信息片断, 所述第一 信息片断由所述第一密钥资料保护, 以使所述计算机 (905a) 能通过使用所述第二密钥资 料来处理由所述第一密钥资料保护的所述至少一个第一信息片断以确定所述至少一个第 二通信是否认证所述便携式设备 (901)。
10: 如权利要求 9 所述的便携式设备 (901), 其特征在于, 所述至少一个处理器 (1301) 还被编程为 : 使用所述用户的身份来进一步获得唯一地标识由所述用户和所述便携式设备 (901) 构成的对的至少一个标识符 ; 以及 向所述计算机 (905a) 发送所述至少一个标识符和 / 或至少部分地使用所述至少一个 标识符生成的信息。
11: 如权利要求 9 所述的便携式设备, 其特征在于, 所述至少一个处理器 (1301) 还被编 程为 : 从所述计算机 (905a) 接收至少一个第三通信, 所述第三通信包括由第三密钥资料保 护的至少一个第二信息片断, 所述第三密钥资料与存储在所述便携式设备 (901) 上的第四 密钥资料相关联 ; 以及 通过使用所述第四密钥资料来处理由所述第三密钥资料保护的至少一个第二信息片 断, 来确定所述至少一个第三通信是否认证所述计算机 (905a)。
12: 如权利要求 11 所述的便携式设备 (901), 其特征在于, 所述用户是第一用户, 所述 便携式设备 (901) 是第一便携式设备, 并且其中 : 所述至少一个第三通信还包括唯一地标识由某一用户和某一便携式设备构成的对的 至少一个标识符 ; 以及 所述确定所述至少一个第三通信是否认证所述计算机 (905a) 的动作包括确定所述至 少一个标识符是否唯一地标识包括所述第一用户和所述第一便携式设备的对。
13: 如权利要求 9 所述的便携式设备 (901), 其特征在于, 所述第一密钥资料是所述便 携式设备 (901) 的秘密密钥, 所述至少一个处理器 (1301) 被编程为通过用所述便携式设备 (901) 的秘密密钥对至少一个信息片断进行数字签名来保护所述至少一个信息片断, 且所 3 述第二密钥资料是所述便携式设备 (901) 的公钥。
14: 如权利要求 11 所述的便携式设备 (901), 其特征在于, 所述至少一个处理器 (1301) 还被编程为 : 当确定所述至少一个第三通信认证所述计算机 (905a) 时, 计算在所述计算机 (905a) 和所述便携式设备 (901) 之间共享的至少一个共享密钥 ; 以及 使用至少部分地从所述至少一个共享密钥生成的一个或多个密钥来加密发送到所述 计算机 (905a) 的至少一个进一步的通信。
15: 如权利要求 14 所述的便携式设备 (901), 其特征在于, 所述至少一个共享密钥是通 过将所述计算机 (905a) 生成并被发送到所述便携式设备 (901) 的第一密钥与所述便携式 设备 (901) 生成并被发送到所述计算机 (905a) 的第二密钥进行组合来计算的。

说明书


用于设备到站的关联的协议

    背景
     本发明涉及用于安全地将便携式电子设备与一个或多个计算设备进行关联 ( 或 配对 ) 的系统和方法。
     用户越来越多地将许多不同类型的便携式电子设备 ( 例如, 无线头戴式耳机、 数 码相机、 个人数字助理 (PDA)、 移动电话、 鼠标等 ) 与他们的计算机一起操作。 许多便携式电 子设备允许诸如蓝牙、 超宽带 (UWB)、 无线通用串行总线 (USB)、 和近场通信 (NFC) 等短程无 线技术, 而其他一些则可经由物理有线连接来与计算设备通信。
     短程无线技术和有线连接允许仅在位于彼此附近的设备之间的通信。 由于物理邻 近性的这一限制, 某种程度上缓解了安全威胁。 即, 攻击设备需要在物理上连接到目标计算 设备或在其传输范围内, 以便能够截取和 / 或注入通信。尽管如此, 通常采用安全特征来确 保计算设备仅与可信且授权的设备关联并通信。
     常规上, 在将便携式设备与计算设备进行关联之前, 执行一过程来确保该便携式 设备是可信的。例如, 允许无线技术的计算设备可执行发现协议来获得启用相同技术且在 通信范围内的其他设备的列表。 该计算设备然后可自动地或者在用户请求时发起与所发现 的设备之一的通信。 为了在两个设备之间建立信任, 通常提示用户与设备之一或两者交互。 例如, 每一设备可显示一数字值, 且提示用户在两个显示的数字值匹配时在设备之一或两 者上输入 “是” , 以便验证该用户正在控制这两个设备从而使得该便携式设备是可信的。这 一用户辅助认证过程一般被称为 “手动配对” , 因为它需要用户的肯定性手动动作。
     作为常规的手动配对过程的一部分, 一旦用户确认了连接是在可信设备之间的, 设备存储安全信息 ( 例如, 密码密钥资料 ) 以便在后续通信中使用, 使得设备之间的将来的 关联可由设备自动执行而不需要用户动作。 由此, 如果这两个相同的设备在将来发现彼此, 则可检索并交换所存储的安全信息来允许设备将彼此认可为可信的, 而无需执行另一手动 配对过程。
     概述
     本发明的各方面涉及用于自动将便携式设备 ( 例如, 诸如移动电话、 MP3 播放器、 无线头戴式耳机等无线设备 ) 与两个或更多不同的计算机进行关联的改进的技术。使用常 规技术, 便携式设备需要手动地与计算机配对来在它们之间建立可信关系以便于后续的自 动关联, 并且该手动配对过程需要对用户希望与便携式设备一起使用的每一计算机单独执 行。例如, 购买新的无线头戴式耳机且试图将其与工作计算机和家庭计算机一起使用的用 户常规上需要对这些计算机中的每一个进行手动配对过程来与该无线头戴式耳机建立可 信关系。作为该手动配对过程的一部分, 在计算机和便携式设备 ( 例如, 无线头戴式耳机 ) 之间交换可在将来用于允许设备彼此认证且形成自动关联的认证信息。因此, 在设备与计 算机手动配对了一次之后, 当设备在将来被带入通信范围内时, 它们可彼此认证来建立可 信关系并自动建立通信。
     常规技术的一个缺点是它们对于便携式设备和与其一起使用的每一计算机需要 单独的手动配对操作, 这对于用户而言可能是麻烦的, 尤其是对于将大量便携式设备与多
     个计算机一起操作的用户而言。根据本发明的一个实施例, 克服了对执行多个手动配对操 作的需要。这能够以若干方式中的任一种来完成。在一方面, 在与第一计算机的手动配对 操作期间, 在便携式设备和该设备与其进行手动配对的计算机的用户之间建立认证信息。 该认证信息然后被存储在可被任何数量的计算机全局地访问的数据存储中。由此, 在建立 了认证信息之后, 当用户试图将该便携式设备与任何新的计算机 ( 包括先前未与其进行手 动配对的计算机 ) 一起使用时, 该计算机可从基于登录到该计算机的用户的身份从全局可 访问存储中检索认证信息, 并且可使用该认证信息来使得该新的计算机和便携式设备能够 自动彼此认证并建立关联而无需它们被手动配对。这是有利的, 因为用户只需手动地将便 携式设备与一个计算机配对, 并且使得该设备之后能够与用户登录到的任何计算机自动关 联, 而不需要用户对该用户试图与便携式设备一起使用的每一计算机进行后续的手动配对 操作。
     在一替换方面, 可在全局可访问存储中建立并提供认证信息, 而不需要便携式设 备与任何特定计算机手动配对。
     本发明的另一实施例涉及一种协议, 该协议用于使用绑定到计算机的用户而非具 体计算机本身的认证信息来向计算机认证认证便携式设备, 使得该认证信息可由用户登录 到的任何计算机来使用。 附图简述
     附图不旨在按比例绘制。在附图中, 各个附图中示出的每一完全相同或近乎完全 相同的组件由同样的标号来表示。出于简明的目的, 不是每一个组件在每张附图中均被标 号。在附图中 :
     图 1 示出了根据本发明的一个实施例的移动设备与单个计算机的手动配对操作, 以及之后与其他计算机的自动关联。
     图 2 示出了根据本发明的一个实施例的计算机系统, 该计算机系统包括全局可访 问数据存储, 该全局可访问数据存储包括供一个或多个计算机自动认证并关联便携式设备 的信息 ;
     图 3 是根据本发明的一个实施例的用于创建并使用认证信息来将便携式设备与 计算机自动关联的示例性过程的流程图 ;
     图 4 是根据本发明的一个实施例的用于为便携式设备创建认证信息并以使其可 被多个计算机访问的方式来存储该认证信息的过程 ;
     图 5 是根据本发明的一个实施例的用于通过标识登录到计算机的用户并检索与 该用户相关联的认证信息以认证便携式设备来将便携式设备与计算机自动关联的过程 ;
     图 6 是用于执行认证的设备关联的常规过程 ;
     图 7 示出了根据本发明的一个实施例的用于将计算机与便携式设备手动配对来 创建认证信息的过程 ;
     图 8 示出了根据本发明的一个实施例的包括关于多个用户和便携式设备的认证 信息的数据存储的示例性实现 ;
     图 9 示出了便携式设备上包括用于基于计算机的用户的身份来向计算机认证便 携式设备的信息的数据存储的示例性实现 ;
     图 10 示出了根据本发明的一个实施例的用于获得用于认证便携式设备和计算机
     的简档的过程 ;
     图 11 是示出根据本发明的一个实施例的用于在计算机和便携式设备之间进行通 信以便手动认证计算机和便携式设备并使它们之间能够进行自动关联的协议的示例的图 示; 以及
     图 12 是可实现本发明的各方面的示例性计算机的示意图。
     详细描述
     如上所述, 常规的设备关联协议依赖于手动用户干预来最初在两个设备之间建立 信任。在早先的手动配对过程期间建立或交换的认证信息 ( 例如, 加密密钥资料 ) 然后可 在稍后用于使得过去已经关联的两个设备能够在没有用户干预的情况下自动关联。然而, 必须执行手动配对过程至少一次来建立先前从未关联过的任何两个设备的所需安全信息 的交换。
     申请人明白, 一些用户采用两个或更多不同的计算设备 ( 例如, 一个在家中, 另一 个在工作处 ), 用户可能希望将相同的一个或多个便携式设备 ( 例如, 头戴式耳机、 MP3 播放 器、 移动电话等 ) 与这些不同计算设备进行关联。申请人还明白, 该手动配对过程对于设备 用户而言可能是耗时且麻烦的, 尤其是在需要为相同的便携式设备多次重复该手动配对过 程来将该便携式设备与多个计算设备进行关联的时候。 由此, 根据概念上在图 1 中示出的本发明的一个实施例, 用户可以将便携式设备 ( 例如, 移动电话 210) 与一个计算机 ( 例如, 家庭台式机 220) 手动配对一次 ( 例如, 在 221 处 ), 并且该便携式设备稍后可以自动与同一用户使用的其他计算机 ( 例如, 如 231 处所示 的膝上型计算机 230, 或 241 处所示的办公室台式机 240) 自动关联。 如此处所使用的, 所称 的便携式设备被自动关联是指计算机和便携式设备的用户不需要采取任何动作来向计算 机认证便携式设备或向便携式设备认证计算机并且促进它们之间的关联。
     本发明的涉及允许便携式设备和该便携式设备先前未与其手动配对的计算机之 间的自动关联的方面可以用任何合适的方式来实现, 其不限于任何特定的实现技术。根据 本发明的一个说明性实施例, 采用了一种技术来用于能够与两个或多个计算机关联的便携 式设备。创建认证该便携式设备的认证信息, 并且该认证信息被存储在可被两个或多个计 算机访问的数据存储中, 且以将该认证信息与便携式设备的用户相关联的方式来存储。一 旦创建了该认证信息并将其存储在该便携式设备先前未关联的计算机可访问的数据存储 中, 该计算机可访问并使用该认证信息来自动认证该便携式设备, 而不需要手动配对操作。 这能够以任何合适的方式来完成。
     例如, 根据本发明的另一实施例, 当计算设备发现它尚未关联的至少一个便携式 设备时, 该计算设备可标识登录到该计算设备的用户, 使用标识登录用户的信息来检索关 于该便携式设备的认证信息, 并使用检索到的认证信息来认证该便携式设备并将其自动与 该计算设备进行关联。
     从以上内容中应当理解, 申请人已经认识到常规的用于将便携式设备与多个计算 设备关联的技术的缺点是当在便携式设备和计算设备之间交换认证信息时, 可用于在将来 认证该便携式设备以便允许自动关联的信息常规上是由计算设备以该信息只能被该计算 设备本地访问的方式来存储的。根据本发明的一个实施例, 关于便携式设备的认证信息以 使该信息可被一个或多个计算设备, 甚至是未用于与便携式设备通信来建立认证信息的计
     算设备更全局地访问的方式来存储。 结果, 当这种计算设备首次发现该便携式设备时, 该计 算设备可访问该数据存储, 检索该认证信息, 并使用该认证信息来认证并自动关联该便携 式设备, 即使该计算设备先前从未参与过与该便携式设备的手动配对。这在图 2 中概念性 地示出, 其中便携式设备 901 可以在如虚线 903a 和 903b 所指示的不同时间与两个或更多 计算机 905a 和 905b 关联。可用于认证便携式设备 901 的认证信息 909 被存储在可被两个 或更多计算机 905a-b 访问的数据存储 907 中。由此, 当计算机 905a-b 中的任一个, 包括便 携式设备 901 先前未与其手动配对来建立认证信息的计算机, 发现便携式设备 901 时, 计算 机 905a-b 可访问数据存储 907 来检索认证信息 909 并使用该认证信息来向计算机认证便 携式设备 901 并自动将其与计算机关联。
     在图 2 所示的配置中, 数据存储 907 被示为可被计算机 905a-b 中的每一个经由网 络 911 来访问。根据本发明的一个实施例, 网络 911 可以是任何合适的网络 ( 例如, 因特 网 ), 且数据存储 907 可以与不同于计算机 905a-b 中的任一个的计算设备 ( 例如, 数据库服 务器或其他类型的计算设备 ) 关联。然而, 应当理解, 此处描述的本发明的各方面在这一点 上不受限制。 例如, 数据存储 907 可以在计算机 905a-b 中的一个上提供或与计算机 905a-b 中的一个相关联, 并且可由计算机 905a-b 经由 USB 闪存钥匙或任何其他合适的通信介质来 访问。 根据以下讨论的本发明的一个实施例, 认证信息 909 是通过便携式设备 901 与计 算机 905a-b 中的一个的手动配对来形成的, 然后被存储在数据存储 907 中, 数据存储 907 可以是执行该手动配对的计算机或另一计算机上的数据存储。 然而, 应当理解, 此处描述的 本发明的各方面在这一点上不受限制, 认证信息可以用任何合适的方式来开发并存储在数 据存储 907 中。例如, 在本发明的一替换实施例中, 认证信息 ( 例如, 密钥资料 ) 可以在不 执行手动配对操作的情况下生成。之后, 该密钥资料中要由便携式设备在自动关联期间使 用的一 ( 诸 ) 部分可以用任何合适的方式直接存储在便携式设备上, 并且该密钥资料中要 由一个或多个计算机使用的一 ( 诸 ) 部分可以被存储在全局可访问存储中。
     从以上内容中应当理解, 本发明的一个实施例涉及图 3 所示类型的用于将便携式 设备与计算机关联的过程。 最初, 在动作 1001, 将便携式设备与第一计算机 ( 例如, 图 2 中的 计算机 905a) 手动配对来创建可用于认证该便携式设备的认证信息 ( 例如, 认证信息 909)。 应当理解, 如上所述, 认证信息可另选地用其他方式来建立。在动作 1003, 将认证信息存储 在可被另一计算机 ( 例如, 计算机 905b) 访问的数据存储 ( 例如, 数据存储 907) 中并将其与 便携式设备 901 的用户相关联。在这一点上, 根据本发明的一个实施例, 认证信息以将其与 便携式设备的用户相关联的方式存储在数据存储中, 使得发现该便携式设备的计算机能够 标识计算机的用户并使用该信息来标识要从数据存储中检索什么认证信息。在这一点上, 根据本发明的某些实施例, 数据存储 ( 例如, 数据存储 907) 可包括关于任何数量的便携式 设备和 / 或任何数量的一个或多个用户的认证信息, 使得当存储了关于多个用户的设备的 信息时, 发现该便携式设备的计算机的用户的身份可用于标识关于该用户的设备的适当的 认证信息。 然而, 应当理解, 并非所有实施例都限于使用标识用户的信息来标识要使用什么 认证信息来认证便携式设备, 可采用任何合适的技术。
     在动作 1005, 除了与便携式设备手动配对来创建认证信息的计算机之外的计算 机 ( 例如, 第二计算机, 如计算机 905b) 可访问数据存储来检索认证信息 ( 例如, 认证信息
     909)。该动作可以响应于计算机发现便携式设备或在任何其他合适的时间执行。
     最终, 在动作 1007, 计算机可使用检索到的认证信息 ( 例如, 认证信息 909) 来认证 便携式设备 901, 并且在成功认证时将该便携式设备与计算机 ( 例如, 905b) 自动关联。以 此方式, 便携式设备可以与计算机 ( 例如, 计算机 905b) 自动关联, 而无需曾经与该计算机 手动配对。
     从以上内容中应当理解, 图 3 所示的过程与常规的用于将便携式设备与一个或多 个计算机关联的技术的不同之处在于存储认证信息的方式 ( 例如, 存储在其他计算机可访 问的数据存储中, 而非仅可供执行了手动配对过程来获得认证信息的计算机本地使用 ) 以 及当计算机首次发现它先前未关联的便携式设备时所执行的过程 ( 例如, 通过从数据存储 中获得认证信息, 而非执行手动配对操作 )。
     在这一点上, 图 4 示出了根据本发明的一个实施例的过程, 该过程涉及使得关于 便携式设备的认证信息对先前未与该便携式设备关联的一个或多个计算机可用。在动作 1101, 创建可用于认证便携式设备的认证信息。 如上所讨论的, 该认证信息可通过将便携式 设备与计算机手动配对或以任何其他合适的方式来创建, 此处描述的本发明的各方面不限 于用于创建认证信息的任何特定技术。
     在动作 1103, 使用任何合适的技术, 以使得认证信息可被多个计算机访问的方式 来存储该认证信息, 而非以仅可被单个计算机访问的本地化方式来存储该认证信息, 这些 技术的示例在此处有描述。根据本发明的一个实施例, 该认证信息以如上讨论的将其与便 携式设备的用户相关联来便于检索的方式来存储。
     图 5 示出了计算机可根据本发明的一个实施例执行来自动将其自身与便携式设 备进行关联的过程。图 5 的过程可以响应于计算机发现便携式设备或响应于任何其他合适 的事件来发起。在动作 1201, 该过程标识登录到计算机的用户。之后, 在动作 1203, 该过程 从数据存储中检索与该便携式设备相关联并且也与在动作 1201 中被标识为登录到计算机 的用户相关联的认证信息。这可以用任何合适的方式来完成, 其示例在此处讨论。在动作 1205 中, 计算机使用该认证信息来作出关于便携式设备 ( 例如, 便携式设备 901) 是否能够 成功将其自身认证为可信设备的判定。这可以用任何合适的方式来完成, 其示例在下文中 讨论。当在动作 1205 确定便携式设备不能将其自身认证为可信设备时, 该过程终止, 且不 将该便携式设备与计算机进行关联。另选地, 当在动作 1205 确定便携式设备能够成功地将 其自身认证为可信设备时, 该过程前进到动作 1207, 在那里将该便携式设备自动与计算机 进行关联, 从而无需执行任何手动配对操作。
     如上所讨论的, 可存储在可被多个计算机访问的数据存储中的认证信息 ( 例如, 图 2 中的 909) 可采取任何合适的形式。例如, 该认证信息可包括不能公共地访问的某种信 息 ( 此处为方便起见称为 “秘密” ), 并且使用该认证信息来认证便携式设备的计算机预期 仅与该认证信息相关联的可信便携式设备能够提供这一秘密。
     或者, 根据本发明的其他实施例, 该认证信息可包括一个或多个密钥资料, 这些密 钥资料能由检索这些密钥资料的计算机用来根据一个或多个安全协议与便携式设备进行 通信。 例如, 在一个非限制实施例中, 该密钥资料的一部分可由计算机用于验证伴随通信的 数字签名, 从而查明该通信实际上是由可信便携式设备发送的, 因为只有与该认证信息相 关联的可信便携式设备才能够连同有效数字签名来发送这一通信。在另一示例中, 该密钥资料的一部分可由计算机用于对便携式设备所加密的通信进行解密。
     在本说明书中, 短语 “密钥资料” 用于指可用于保护通信安全的目的的任何信息, 例如, 用于维持消息的私密性和完整性, 和 / 或用于认证消息源。密钥资料的示例包括公 钥 - 私钥对 ( 在非对称密钥加密和电子签名中使用 )、 秘密密钥 ( 在对称密钥加密中使用 )、 现时值 ( 即, 使用一次然后被丢弃的随机值 )、 以及校验和 / 散列 ( 通常通过密码散列函数 生成并用于诸如完整性校验和 / 或承诺等不同目的 )。这些仅是可用于建立根据此处描述 的某些实施例使用的认证信息的密钥资料的示例。 另外, 应当理解, 存储在数据存储中的认 证信息可包含使得访问该信息的计算机能够以任何合适的方式来认证便携式设备的任何 信息, 此处描述的本发明的各方面不限于采用任何特定类型的密钥资料或其他认证信息。
     根据本发明的一个实施例, 采取步骤以便不仅在允许自动关联之前向计算机认证 便携式设备, 而且还在便携式设备允许计算机自动与其关联之前向类似地向便携式设备认 证计算机和 / 或其用户。由此, 以下描述的本发明的某些实施例实现了用于在使得便携式 设备和计算机之间能够自动关联之前除了向计算机认证便携式设备之外还向便携式设备 认证计算机和 / 或其用户的技术。然而, 应当理解, 本发明的全部方面在这一点上不受限 制, 此处所描述的技术可用于仅向计算机认证便携式设备来允许自动关联。 用于自动设备关联的常规技术要求每一计算机为该计算机能够与其进行自动关 联的每一便携式设备存储单独的一组密钥资料 ( 在手动配对期间形成 )。 同样, 便携式设备 常规上必须为该设备可自动关联的每一计算机存储单独的一组密钥资料 ( 同样在手动配 对期间形成 )。 这是因为在现有的设备关联技术中, 作为将两个设备手动配对的结果所形成 的密钥资料是设备专用的且绑定到设备。
     作为常规关联技术的一个示例, 图 6 示出了蓝牙简单配对协议的简化版本。最初, 在动作 310, 两个启用蓝牙的设备发现彼此, 并且在 320, 它们建立非安全通信信道。接着, 在动作 330 中, 两个参与设备交换其公钥。在动作 340 中, 基于所交换的公钥和 / 或参与设 备的蓝牙地址来计算确认值, 并且在动作 350, 中, 使用参与设备的蓝牙地址来计算用于维 持配对的链接密钥, 并且在动作 360 中, 使用该链接密钥来参与加密通信。
     从以上内容中应当理解, 使用蓝牙简单配对建立的密钥资料被绑定到参与设备的 蓝牙地址。 结果, 在一对设备之间建立的密钥资料通常不重复用于关联另一对设备, 即使这 两对设备具有共同的一个设备和 / 或密钥资料可以从一个设备传输到另一设备。例如, 如 果使用为便携式设备和具有第一蓝牙地址的第一计算机建立的密钥资料来试图关联第二 计算机和该便携式设备, 则该便携式设备可拒绝与第二计算机进行关联, 因为密钥资料被 绑定到第一蓝牙地址且便携式设备会识别该第二计算机具有不同的蓝牙地址。由此, 根据 本发明的一个实施例, 采用独立于设备的密码密钥资料, 使得它们可被不同计算机容易且 安全地共享来用于设备关联的目的。
     在一个实施例中, 经由手动配对过程或其他过程, 并非在便携式设备和任何特定 计算机之间, 而是在便携式设备和其用户之间创建独立于设备的密钥资料。因此, 不像使 用常规的设备关联协议形成的密钥资料, 该密钥资料不被绑定到任何特定计算机, 且因此 可用于将该便携式设备与任何计算机或计算机组进行关联。根据本发明的一个实施例, 采 用了使用独立于设备的密钥资料来将便携式设备与计算机进行关联的关联协议。然而, 此 处描述的密钥资料、 关联协议和其他技术在这一点上不受限制, 并且可用于执行任何类型
     的任何两个或多个设备之间的关联, 包括不仅在便携式设备和常规上被称为计算机的设备 ( 例如, 膝上型或个人计算机 ) 之间, 而且在任何类型的任何两个设备之间。另外, 应当理 解, 对计算机或计算设备 ( 这些术语在本文中互换使用 ) 的引用在此处用于指具有编程的 处理器的任何设备, 包括可能常规上不被称为计算机的设备。 另外, 此处描述的技术可用于 在设备组之间执行关联。例如, 此处所描述的技术可在广播或多播场景中使用来使得共享 第一组密钥资料的一组设备能够与共享第二组密钥资料的另一组设备进行关联。
     可以使根据一个实施例使用的独立于设备的密钥资料对任何计算机可用来用于 关联便携式设备的目的。这能够以任何合适的方式来完成。例如, 密钥资料可被存储在与 便携式设备关联的第一计算机上, 并且稍后在用户请求时或响应于来自第二计算机的自动 请求而被传递到第二计算机。 或者, 第一计算机可以将密钥资料存储在全局可访问存储中, 使得第二计算机可从中检索密钥资料。 该全局可访问存储可以在第一计算机或一单独的计 算机上, 和 / 或可以使用任何合适的接口, 如 web 接口、 网络文件系统接口或任何其他合适 的接口来检索。
     根据以下描述的本发明的一个实施例, 要被多个计算机用于关联便携式设备的独 立于设备的密钥资料是使用用户和便携式设备两者的唯一标识符 (ID) 来生成的。这些唯 一标识符可以用任何合适的方式来建立, 本发明的采用这些 ID 来生成密钥资料的各方面 在这一点上不受限制。例如, 该唯一用户 ID 可以是用户的电子邮件地址、 或经由提供唯一 标识符的服务提供的唯一标识符, 如可从微软公司获得的 Windows Live ID 或任何其他服 务, 或可以用任何其他合适的方式来提供。类似地, 便携式设备可以使用任何合适的技术, 如全局唯一标识符 (GUID) 或任何其他合适的技术, 经由唯一标识符来表示。 参考图 7, 以消息图表的形式示出了根据本发明的一个实施例的用于将便携式设 备和计算机手动配对来建立独立于设备的密钥资料的过程。图 7 所示的过程可以在便携式 设备 410 和计算机 420 发现了彼此并且以任何合适的方式建立了通信信道 ( 例如, 非安全 信道 ) 之后开始。例如, 在蓝牙的情况下, 便携式设备 410 可能已经被置于可被发现模式, 并且计算机 420 可能已经执行了扫描来发现便携式设备 410 且可能已经发起了与便携式设 备 410 的通信。 取决于底层通信方法, 图 7 中所示的通信交换可以在发现和通信建立期间执 行, 或在两个参与设备之间的任何合适的通信阶段期间执行, 本发明在这一点上不受限制。
     在动作 430 中, 计算机 420 将第一信息集合发送给便携式设备 410, 该第一信息集 合包括用户的 ID(ID 用户 )、 该用户的公钥 (PK 用户 )、 以及为用户和便携式设备 310 之间的关 联生成的随机值 (R 用户, 设备 )。随机值 R 用户, 设备是唯一地标识用户和便携式设备 410 之间的关 联的一条秘密信息。如以下所讨论的, 根据一个实施例, R 用户, 设备可用于提供针对重放攻击 的安全措施, 在重放攻击中, 设备试图不正确地表示其自身来建立自动关联。
     然而, 应当理解, 本发明的涉及形成独立于设备的密钥资料的协议的该方面不限 于采用诸如 R 用户, 该信息在某些实施 设备 等一条额外的秘密信息来针对这一攻击进行防护, 例中可被省略 ( 例如, 如果相信这一攻击的风险是最小的 )。另外, 尽管在一个实施例中该 秘密信息是按照随机数来提供的, 但应当理解, 可采用任何技术来建立该秘密信息, 其不限 于是随机数。
     在一个实施例中, 采用一种技术来保护随机数到便携式设备的传递。这能够以任 何合适的方式来完成。例如, 该传递可以经由 USB 设备或诸如 NFC 等邻近性无线技术来发
     生, 这种传递具有小传输范围来使得另一设备要进行窃听实际上是不可能的。
     在动作 440 中, 便携式设备 410 将第二信息集合发送到计算机 420, 该第二信息集 合包括便携式设备 410 的 ID(ID 设备 ) 以及便携式设备 410 的公钥 (PK 设备 )。
     应当理解, 此处描述的技术不限于在动作 430 和 440 期间交换的信息的精确组合, 也不限于图 7 所示的通信的数量和次序。例如, 在一个实施例中, 公钥可以在计算机 420 和 便携式设备 410 之间在便携式设备 410 和计算机 420 都信任的授权机构签名的证书中发送 来增强安全性, 但这并非必需的。此外, 该信息可以用任何合适的方式来交换, 包括将动作 430 和 440 分解成多个通信并以任何合适的次序来交错通信。
     在动作 450 中, 便携式设备 410 在其显示器上显示计算机 420 所提供的或从中导 出的信息中的至少某一些, 并且计算机 420 类似地在其显示器上显示从便携式设备 410 接 收的信息或从中导出的信息中的至少某一些, 来使用户能够确认进行通信的设备是正确的 设备且由此确立通信是可信的。 要显示的信息是用户将能够验证为已由其他设备提供来建 立可信关系的信息。这可以用任何合适的方式来完成, 其示例在下文中讨论。例如, 在一个 实施例中, 便携式设备 410 可以显示 ID 用户, 而计算机 420 可以显示 ID 设备, 且用户类似地能 够从每一设备查看发送到另一个的 ID( 例如, 用户能够在便携式设备 410 上查看 ID 设备, 并 且从计算机 420 查看 ID 用户 ), 使得用户能够验证每一设备正确地显示了从另一个发送的标 识符。 某些设备 ( 例如, 便携式设备 410) 可能没有能够显示信息来向用户提供可视化该 信息并确认该信息的机会的显示器或用户界面。 根据本发明的一个实施例, 对于此类设备, 可省略在该便携式设备上显示信息的步骤。 省略该步骤可阻止用户验证便携式设备正在与 所需计算机 ( 例如, 420) 交换信息。然而, 如果用户愿意接受从中导致的降低的安全性, 则 可完全省略该步骤。 或者, 在这一情况下, 用于在便携式设备和计算机之间交换信息的通信 介质可以是不会留下关于两个可信设备正在通信的任何疑问的通信介质。例如, 通信可通 过有线连接、 通过诸如 USB 闪存设备等便携式通信介质、 或使用诸如 NFC 等具有非常小的传 输范围且消除了第三计算设备截取和 / 或注入通信的可能性的通信技术来执行。
     在动作 460, 用户通过与便携式设备 410 和计算机 420 之一或两者进行交互来确认 配对和信息交换是在可信设备之间发生的。例如, 如果动作 450 中显示的 ID 是正确的, 则 用户可操作便携式设备 410 和计算机 420 的用户界面来指示这一点。当如此指示时, 计算 机 420 和便携式设备 410 将以如下所述的方式来继续。或者, 如果用户无法指示信息是在 可信设备之间交换的, 则该过程将终止, 并且将不存储关联信息。
     应当理解, 可用任何合适的方式向用户告知预期在计算机 420 和便携式设备 410 上显示的信息。例如, 每一设备 ( 例如, 便携式设备 410 和计算机 420) 可以提供一用户界 面, 藉此它可向用户显示其自己的 ID 或其他信息, 使得用户能记录预期在另一设备上看见 的信息来验证可信关系。 例如, 如上所述, 便携式设备可在其自己的用户界面上向用户显示 其 ID, 使得用户能知道预期由计算机 420 显示什么信息来确认计算机 420 与正确的便携式 设备 410 配对。然而, 这仅是一个示例, 可以用任何合适的方式向用户告知预期在配对设备 之一或两者上显示的信息。
     如上所讨论的, 当用户通过与便携式设备 410 和计算机 420 之一或两者进行交互 来确认关系可信时, 便携式设备 410 和计算机 420 存储在步骤 430 和 440 接收到的信息中
     的至少某一些和 / 或从中导出的信息。例如, 便携式设备 410 可以将简档 存储在便携式设备中可用的任何内部存储 ( 例如, 简档 存储在全局可访问存储中与用户相关联的位置。可获得并在 这些简档中存储另外的和 / 或另选的信息, 此处所描述的技术不限于所交换的任何特定信 息。也可采用其他合适类型的信息。图 7 中创建的简档可用于向一个或多个计算机 ( 包括 除了计算机 420 之外的计算机 ) 认证便携式设备并方便自动关联的方式的一个说明性示例 在以下描述。
     图 8 示出了用于存储使用图 7 所示的协议和信息为多个用户 ( 用户 1 到用户 N) 建立的设备简档的全局可访问数据存储 801 的示例性配置。如上所述, 这些简档仅是说明 性的, 使得全局可访问数据存储可以用其他方式组织来存储其他类型的信息。在图 8 所示 的实施例中, 每一用户能够与多个设备相关联。例如, 所存储的且与用户 1 相关联的信息包 括三个条目 805a-c, 每一条目对应于与用户 1 相关联的一不同设备。例如, 条目 805a-c 可 对应于移动电话、 MP3 播放器以及无线头戴式耳机组, 所有这些都属于同一用户, 但这些仅 是示例, 与用户相关联的便携式设备可以是任何合适的便携式设备。
     应当理解, 同一便携式设备可被多个用户共享。因此, 根据图 8 所示的本发明的一 个实施例, 在数据存储 801 中, 同一设备可以与多个用户相关联。这例如通过由标识符 ID 设 备 1 标识的设备经由条目 805a 与用户 1 相关联且经由条目 807a 还与用户 2 相关联来示出。
     如可在图 8 中看到的, 根据一个实施例, 条目 805a 和 807a 是不相同的, 因为标识 用户和便携式设备之间的关联的值是不同的 ( 即, R 用户 1, 设备 1 和 R 用户 2, 设备 1)。
     根据本发明的一个实施例, 对标识某一用户和某一设备之间的关联的不同值的使 用可用于针对非可信用户的潜在重放攻击进行保护。 在这一点上, 应当理解, 此处所描述的 技术可以用于可被多个用户共享的计算机和其他设备。 由此, 根据本发明的一个实施例, 对 标识用户和便携式设备之间的关联的唯一值的使用可用于防止非可信用户所策划的重放 攻击。这类攻击可采取任一或若干形式。例如, 从上述内容应当理解, 在计算机和某一便携 式设备 ( 本示例中称为设备 1) 之间交换认证信息的过程中, 设备 1 将接收计算机发送以认 证登录到该计算机的用户的身份的信息 ( 例如, 用与该用户相关联的密钥签名的 ID 用户 )。 由此, 该信息可被存储在便携式设备 ( 例如, 本示例中的设备 1) 上。如果另一用户获得对 该便携式设备 ( 例如, 设备 1) 的控制, 则存在这样的风险 : 该用户可能会导致该便携式设备 重放从计算机接收的信息, 从而该便携式设备能本质上假扮它是第一用户 ( 例如, 用户 1) 所登录到的计算机并试图作为用户 1 自动与另一设备 ( 例如, 设备 2) 进行关联, 而实际上 该便携式设备是在不同用户 ( 例如, 用户 2) 的控制下的。
     应当理解, 存在类似的风险, 即参与用于认证便携式设备的信息的交换的计算机 将接收该便携式设备用于认证其自身的信息 ( 例如, 用该便携式设备的密钥签名的、 该便 携式设备的唯一标识符 ), 并且该信息可被存储在计算机上且可能被计算机重放来在试图 形成与除了用户 1 之外的用户 ( 例如, 用户 2) 所登录到的另一计算机或其他类型的设备的 关联时假扮该便携式设备的身份。例如, 在计算机和设备 1 之间交换认证信息的过程中, 计 算机将接收设备 1 发送以认证其自身的信息 ( 例如, 由与设备 1 相关联的密钥签名的 ID 设 由此, 该信息可被存储在计算机上。 如果敌方实体要获得对该计算机的控制, 则存在这 备 )。 样的风险 : 该敌方实体将导致该计算机重放从设备 1 接收的信息, 使得计算机可本质上假扮它是设备 1 且试图作为设备 1 来自动与另一用户 ( 例如, 用户 2) 进行关联。
     根据本发明的一个实施例, 在设备之间交换的认证信息中包括唯一地标识某一用 户与某一设备之间的关联的值防止了上述类型的重放攻击。例如, 为使设备能够正确地认 证从据称有某一用户登录到其上的计算机接收到的通信, 设备将进行检查来确保接收到了 标识其自身 ( 即, 特定设备 ) 和用户之间的关联的特定唯一值。因此, 尽管接收来自计算机 的认证信息的设备具有它认证登录到该计算机的用户的身份所需的全部信息, 但它未接收 任何其他设备认证用户会需要的信息, 因为每一设备具有其自己的与其自身和用户之间的 关联相关的唯一值。因此, 接收来自用户的认证信息的设备 ( 例如, 上述示例中的设备 1) 不能成功地假扮有用户登录到其上的计算机的身份来与另一设备 ( 例如, 上述示例中的设 备 2) 进行关联, 因为尝试这一重放攻击的设备不拥有另一设备 ( 例如, 设备 2) 期望接收来 认证用户的身份的特定值。
     类似地, 对专门标识某一用户和某一设备之间的关联的值的使用可用于防止接收 了来自任何设备 ( 例如, 设备 1) 的认证信息以与登录的用户相关联的计算机试图假扮该设 备的身份并形成与不同用户登录到的另一计算机或其他设备的关联。例如, 为使计算机正 确地认证从据称与登录到计算机的用户相关联的便携式设备接收到的通信, 计算机将进行 检查来确保其接收到标识该便携式设备和登录到计算机的用户之间的关联的特定唯一值。 因此, 尽管接收来自便携式设备的认证信息以与第一用户相关联的计算机具有向第一用户 认证该便携式设备的身份所需的全部信息, 但它未接收需要被给出以向第二用户认证便携 式设备的信息, 因为每一用户具有与每一用户和便携式设备之间的关联相关的唯一值。因 此, 接收来自便携式设备 ( 例如, 本示例中的设备 1) 以与第一用户 ( 例如, 上述示例中的用 户 1) 相关联的计算机不能成功地假扮设备 1 的身份来与其上有另一用户 ( 例如, 上述示例 中的用户 2) 登录的另一计算机进行关联, 因为尝试这一重放攻击的计算机不拥有该另一 用户 ( 例如, 用户 2) 预期接收来认证该便携式设备的身份的特定值。
     在一个实施例中, 唯一地标识关联的值被存储在一个或多个安全和防篡改位置 中。或者, 值可用加密形式存储, 而解密密钥被存储在一个或多个安全和防篡改位置中。
     此外, 应当理解, 代替或除了上述简档, 其他类型的信息可被存储在全局可访问存 储中。例如, 在图 11 所示的协议中使用的用户的公钥和秘密密钥可被存储在全局可访问存 储中。然而, 这并非必需的, 用户可从其他存储位置, 例如在用户登录到的计算机上的本地 存储位置中检索公钥和秘密密钥。
     图 9 示出了便携式设备的存储器的示例性配置, 包括为该便携式设备的多个用户 建立的多个简档 903a-b。尽管图 9 中仅示出了两个简档 903a-b, 应当理解, 可存储任何合 适数量的简档。每一简档可以对应于便携式设备的一不同用户, 或者用户可定义多个简档 以便在不同上下文中使用, 使得同一个体可被系统识别为不同用户 ( 例如, 通过不同用户 ID)。在一示例性场景中, 用户可使用 ID 用户 1 来登录到一个或多个家庭计算机, 并使用 ID 用 即用于 ID 用户 户 2 来登录到一个或多个工作计算机。有了存储在便携式设备上的两个简档, 允许便携式设备使用任一用户 ID 与用户登录到的 1 的一个简档和用于 ID 用户 2 的另一简档, 任何计算机自动关联。应当理解, 本发明不限于可同时与一便携式设备相关联的用户的数 量。在某些实施例中, 该便携式设备可允许一次仅与一个用户相关联, 而在其他实施例中, 该便携式设备可允许一次与一个以上用户相关联 ( 例如, 便携式设备可具有该便携式设备可以同时关联的用户数量的上限 )。
     再次, 应当理解, 代替或除了图 9 所示的简档, 其他类型的信息可被存储在便携式 设备的存储器中。例如, 可以存储在图 11 所示的协议中使用的便携式设备的公钥和秘密密 钥。
     一旦建立了简档并将其存储在便携式设备和全局可访问数据存储中 ( 如此处所 使用的, 所称的全局可访问的数据存储意味着该数据存储不绑定于单个计算机, 并且可以 被两个或更多不同的计算机访问 ), 包含在其中的信息可用于手动地认证便携式设备和计 算机并方便了使用任何合适的技术的自动关联, 其示例在下文中讨论。然而, 应当理解, 简 档信息 ( 或可用于如上所述的认证目的的任何其他类型的秘密或密钥资料 ) 可以用除了使 用图 7 的手动配对过程之外的方式来形成。例如, 如上所讨论的, 根据本发明的一个实施 例, 秘密信息可以在不经历便携式设备和任何计算机之间的手动配对操作的情况下建立。 这一类型的示例性过程在图 10 中示出, 以便与以上结合图 8 和 9 讨论的具体简档一起使 用。 然而, 应当理解, 本发明的能够在没有手动配对的情况下形成密钥资料的方面不限于与 图 8 和 9 所示的简档中包括的具体类型的密钥资料一起使用。
     在图 10 的过程中, 在动作 710, 为用户并为便携式设备获得包括公钥 - 私钥对和随 机值的密钥资料。公钥 - 私钥对和随机数可以在动作 710 中新生成, 或者可以检索预先存 在的公钥 - 私钥对和随机数值。可使用任何合适的计算设备来获得密钥资料, 本发明在这 一点上不受限制。 在动作 720, 密钥资料中要存储在便携式设备上的一 ( 诸 ) 部分用任何合适的方式 来传递到便携式设备 ( 例如, 从具有密钥资料的计算机传递, 并且通过有线或无线连接、 经 由可附连到便携式设备来下载密钥信息的便携式计算机可读介质等将它们传递到便携式 设备 )。所存储的信息可包括便携式设备提供给计算机来认证其自身的信息 ( 例如, ID 设备、 PK 设备和 R 用户, 与传递给该设备可自动关联的计算机的公钥形成公钥 - 私钥对的该设备 设备 )、 的私钥 ( 例如, SK 设备 )、 以及对于便携式设备的每一用户的预期要从计算机传递给便携式设 备以使得便携式设备能够认证计算机或其用户的信息 ( 例如, ID 用户、 PK 用户、 R 用户, 设备 )。
     在动作 730, 将计算机用于认证便携式设备并启用自动关联的信息存储在全局可 访问数据存储中并且与用户相关联 ( 例如, 如图 8 所示 )。由此, 在图 8 所示的实施例中, 为 与用户相关联的每一设备存储设备简档
     应当理解, 动作 710、 720 和 730 可以按任何逻辑上一致的次序来执行, 并且每一动 作可以被分解成多个动作, 且这些动作可以交错或以任何逻辑上一致的次序执行。 另外, 如 上所讨论的, 图 8 所示的具体密钥信息仅是说明性的, 可采用使用不同密钥信息的本发明 的其他实施例。
     图 11 示出了根据本发明的一个实施例的先前未手动配对的计算机和便携式设备 可用于彼此认证以建立方便自动关联的可信关系的示例性协议。具体地, 在成功地执行了 图 11 的协议之后, 便携式设备 810 将已经向计算机 820 证明该便携式设备 820 实际上是它 声称的设备 ( 即, 标识符 ID 设备所标识的设备 ), 且计算机 820 将已经验证了到 ID 设备所标识 的设备的连接被 ID 用户所标识的用户接受。另外, 计算机 820 将已经向便携式设备证明计算 机 820 正被 ID 用户所标识的用户使用, 且便携式设备 810 将已经验证 ID 用户所标识的用户是 在便携式设备 810 接受与其自动连接的用户之中的。
     如同图 7 所示的过程一样, 图 11 的协议可在便携式设备 810 和计算机 820 已经发 现了彼此并且已经用任何合适的方式建立了通信信道之后进行。然而, 应当理解, 图 11 所 示的通信可以在发现和通信建立期间执行, 或在便携式设备 810 和计算机 820 之间的通信 的任何合适的阶段期间执行, 图 11 所示的实施例在这一点上不受限制。
     图 11 示出了便携式设备 810 和计算机 820 可用于使用图 8-9 所示类型的先前建 立的简档来彼此认证的示例性协议。应当理解, 本发明不限于与图 8-9 所示类型的简档一 起使用来实现计算机和便携式设备之间的手动认证, 可使用任何合适类型的简档来向计算 机认证便携式设备和 / 或向便携式设备认证计算机。此外, 图 11 的协议导致在便携式设备 810 和计算机 820 之间建立共享密钥。该共享密钥可直接或简介用于获得用于加密和解密 便携式设备 810 和计算机 820 之间的通信的对称加密密钥。然而, 本发明不限于一旦建立 可信关系之后即建立任何特定类型的密钥资料来允许安全通信, 或甚至在一旦建立可信关 系之后不保护通信的系统中使用。
     在动作 830 中, 计算机 820 向便携式设备 810 通知便携式设备 810 要与其相关联 的用户的身份 ( 例如, 基于登录到计算机 820 的用户的身份 )。在动作 840, 便携式设备 810 使用在动作 830 接收到的标识用户的信息 ( 例如, ID 用户 ) 来 ( 例如, 从其存储器中 ) 检索 该便携式设备为该用户存储的简档, 在所示示例中该简档包括 PK 用户和 R 用户, 设备。如果不能 定位与 ID 用户相关联的简档, 这指示该便携式设备当前不接受与 ID 用户所标识的用户的连接, 则便携式设备 810 可以例如通过终止协议来拒绝连接。或者, 便携式设备可以发起手动配 对过程 ( 未示出 )。如果能定位到用户的简档, 则从该简档检索信息, 使得该信息可连同便 携式设备 810 的秘密密钥 SK 设备一起使用来在动作 850 期间将秘密提供回计算机 820 以便 如下所讨论地认证便携式设备 810。 另外, 在图 11 所示的实施例中, 所检索的信息包括使得 便携式设备 810 能够以如下讨论的方式类似地认证计算机 820 的信息。
     在所示实施例中, 便携式设备 810 的秘密密钥 SK 设备是在动作 840 期间检索的。然 而, 本发明不限于检索秘密密钥 SK 设备的时间。例如, 秘密密钥 SK 设备可以在从计算机 820 接 收 ID 用户之前检索。类似地, 在所示实施例中在动作 840 期间生成新鲜的密钥 K 设备 ( 其使用 在下文中描述 ), 但是该密钥还可以在动作 840 之前生成, 本发明在这一点上不受限制。
     在动作 850 中, 便携式设备 810 使用 SK 设备对 ID 设备进行电子签名, 来获得第一签 名 ( 图 11 中表示为签名 SK 设备 (ID 设备 )), 并且组装第一消息, 第一消息包括 : 第一签名、 R用 ID 设备、 和 K 设备。然后使用 PK 用户来加密第一消息并将其发送给计算机 820。执行加密 户, 设备、 以使得只有拥有 SK 用户 ( 即, 对应于 PK 用户的秘密密钥 ) 的实体能够访问第一消息的内容。 这 防止传输范围内的任何其他计算机捕捉该第一消息的内容, 包括第一签名。可能期望防止 第三方捕捉该第一签名, 因为第三方可稍后使用该第一签名来 “假扮” 便携式设备 820。
     在动作 860, 计算机 820 生成新鲜的密钥 K 用户 ( 其使用在下文中描述 ) 并检索 SK 用 同样, 这两个动作可以按任一次序来执行, 并且可在动作 860 之前执行, 本发明在这一点 户。 上不受限制。 计算机 820 使用 SK 用户来解密加密的第一消息。 如果用户实际上是第一消息的 预期接收者 ( 即, 便携式设备 820 期望与 ID 用户所标识的用户相关联, 且便携式设备 810 使 用了 PK 用户来加密该第一消息使得只有拥有 SK 用户的设备能解密它 ), 则解密成功, 且计算机 820 可以从第一消息中提取 ID 设备。 或者, ID 设备可通过某种其他手段, 例如, 经由先前在便携 式设备 810 和计算机 820 之间的信息交换来获得。使用 ID 设备, 计算机 820 可以从全局可访问存储的与由 ID 用户所标识的用户相关联的位置处检索简档 , 包含在检索到的简档中的信息可用于验证便携式设备 820 实际上是它所声称的设备 ( 即, 由标识符 ID 设备所标识的设备 ), 且与由 ID 设备所标识的设备的连接被 ID 用户所标识的用户接 受。
     在一个实施例中, 可要求计算机 820 向全局可访问存储认证来访问为 ID 用户所标识 的用户建立的设备简档。例如, 计算机 820 可能需要向全局可访问存储提交某些用户凭证, 这些用户凭证可以由计算机 820 在 ID 用户所标识的用户登录到计算机 820 时自动获得。或 者, ID 用户所标识的用户可在登录之后的某一时刻提供所需凭证。
     如果在全局可访问存储上不能定位与 ID 设备和 ID 用户相关联的简档, 这指示出该 ID 则计算机 820 可以例如通过终 用户所标识的用户当前不接受与便携式设备 810 的自动连接, 止协议来拒绝连接。或者, 计算机 820 可以发起手动配对过程 ( 未示出 )。
     如果在全局可访问存储上不能定位设备简档 , 820 检索简档并从中提取 PK 设备。它然后从第一消息中提取第一签名, 并使用 PK 设备来验证 第一签名。 用于生成第一签名的签名算法是使得仅当签名是使用对应于公钥的秘密密钥来 生成时该签名才能使用公钥被验证为有效的算法。 在所示实施例中, 只有拥有 SK 设备的实体 才能生成在 PK 设备下被验证为有效的签名。以此方式, 便携式设备 810 向计算机 820 证明便 携式设备 820 实际上是它所声称的设备 ( 即, 标识符 ID 设备所标识的设备 )。
     为了防止如上所讨论的重放攻击, 计算机 820 还检验消息中接收到的随机值是否 与从全局可访问存储检索到的值 R 用户, 设备相同。
     由此, 如果第一签名有效且 R 用户, 则计算机 820 信任便携式设备 810 并 设备值正确, 继而出于如下讨论的原因计算共享密钥为 K 设备 +K 用户。否则, 计算机 820 可例如通过终止协 议来拒绝连接。此外, 如果第一签名有效, 则计算机 820 使用 SK 用户对 ID 用户进行电子签名来 生成第二签名, 并且可组装包括以下各项的第二消息 : 第二签名 ( 在图 11 中表示为签名 SK R 用户, ID 用户、 和 K 用户。该第二消息然后使用 PK 设备来加密并在动作 870 中发 用户 (ID 用户 ))、 设备、 送到便携式设备。同样, 执行该加密以使得只有拥有 SK 设备的实体能访问第二消息的内容。 否则, 传输范围内的任何计算机可捕捉第二消息的内容, 包括第二签名。 可能期望防止第三 方捕捉该第二签名, 因为第三方可稍后使用该第二签名来 “假扮” ID 用户所标识的用户。
     在动作 880, 便携式设备 810 使用 SK 设备来解密经加密的第二消息。 便携式设备 810 然后从第二消息中提取第二签名, 并使用 PK 用户来验证第二签名。便携式设备 810 还检验该 消息中所接收到的随机值是否与从其存储器中检索的值 R 用户, 设备相同。如果第二签名有效 且 R 用户, 则便携式设备 810 信任 ID 用户所标识的用户要授权的计算机 820, 因 设备值是正确的, 为只有拥有 SK 用户的实体才能生成了使用 PK 用户验证为有效的签名且获得了正确的 R 用户, 设备 值。否则, 便携式设备可例如通过终止协议来拒绝连接。
     从上述内容中应当理解, 图 11 的协议由此使得便携式设备 810 和计算机 820 能够 彼此相互认证并建立可信关系, 即使这两个设备从未手动配对过。 之后, 这两个设备能以任 何所需方式来参与可信通信, 此处描述的本发明的各方面在这一点上不受限制。根据图 11 所示的实施例, 新鲜的密钥 K 设备和 K 用户如上文所讨论的那样来形成。 根据一个实施例, 当第 二签名和 R 用户, 便携式设备 810 计算共享密钥为 K 设备 +K 用户。此时, 计算机 820 设备值有效时, 和便携式设备 810 都有了正确计算的 K 设备 +K 用户作为共享密钥, 该共享密钥进而可用于导出用于保护便携式设备 810 和计算机 820 之间的通信信道的加密密钥。然而, 应当理解, 此处 描述的本发明的各方面不限于以此方式来形成共享密钥, 计算机 820 和便携式设备 810 之 间的通信可以用任何合适的方式来保护, 或不被保护, 此处描述的本发明的各方面在这一 点上不受限制。
     应当理解, 图 11 所示的协议可以由便携式设备 810 和计算机 820 自动执行而无需 用户干预。例如, 计算机 820 可在发现便携式设备 810 并与便携式设备 810 建立通信信道 时自动执行动作 830。 动作 860 也可被自动执行, 只要计算机 820 能够访问用于从全局可访 问存储中检索设备简档的凭证。
     此外, 动作 830-880 可用任何合适的次序来执行, 包括分解成多个动作并以任何 合适的次序来交错各动作。
     如上所讨论的, 此处描述的本发明的各方面可与具有可被编程为采取上述动作中 的任一个的处理器的任何计算机或设备来一起使用。图 12 是其上可实现本发明的各方面 的示例性计算机 1300 的示意图。计算机 1300 包括处理器或处理单元 1301, 以及可包括易 失性和非易失性存储器两者的存储器 1302。除系统存储器 1302 之外, 计算机 1300 还包括 存储 ( 可移动存储 1304 和不可移动存储 1305)。存储器 1302 可存储用于对处理单元 1301 编程来执行此处所描述的各功能中的任一个的一个或多个指令。如上所述, 此处所称的计 算机可包括具有编程的处理器的任何设备, 包括机架安装计算机、 台式计算机、 膝上型计算 机、 平板计算机、 或可能一般不被视为计算机的多种设备中的任一种, 它们包括编程的处理 器 ( 例如, PDA、 MP3 播放器、 移动电话、 无线头戴式耳机等等 )。
     同样, 计算机可具有一个或多个输入和输出设备, 如图 13 所示的设备 1306-1307。 这些设备主要可被用来呈现用户界面。 可被用来提供用户界面的输出设备的示例包括用于 可视地呈现输出的打印机或显示屏和用于可听地呈现输出的扬声器或其他声音生成设备。 可被用于用户界面的输入设备的示例包括键盘和诸如鼠标、 触摸板和数字化输入板等定点 设备。作为另一示例, 计算机可以通过语音识别或以其他可听格式来接收输入信息。
     可以用多种方式中的任一种来实现本发明的上述实施例。 例如, 可使用硬件、 软件 或其组合来实现各实施例。当使用软件实现时, 该软件代码可在无论是在单个计算机中提 供的还是在多个计算机之间分布的任何合适的处理器或处理器集合上执行。
     此外, 应当理解, 此处略述的各种方法或过程可被编码为可在采用各种操作系统 或平台中的任何一种的一个或多个处理器上执行的软件。此外, 这样的软件可使用多种合 适的程序设计语言和 / 或程序设计或脚本工具中的任何一种来编写, 而且它们还可被编译 为可执行机器语言代码或在框架或虚拟机上执行的中间代码。
     就此, 此处描述的本发明的某些方面可被具体化为用一个或多个程序编码的一个 或多个计算机可读介质 ( 例如, 计算机存储器、 一个或多个软盘、 紧致盘、 光盘、 磁带、 闪存、 现场可编程门阵列或其它半导体器件中的电路配置、 或其他有形计算机存储介质 ), 当这 些程序在一个或多个处理器上执行时, 它们执行实现以上讨论的本发明的各个实施例的方 法。这一个或多个计算机可读介质可以是便携的, 使得其上存储的一个或多个程序可被加 载到一个或多个不同的计算机或其他处理器上以便实现本发明上述的各个方面。
     此处以一般的意义使用术语 “程序” 或 “软件” 来指可被用来对计算机或处理器编 程以实现以上讨论的本发明的各个方面的任何类型的计算机代码或计算机可执行指令集,并且可包括任何计算机程序微码等等。 此外, 应理解, 当被执行时执行本发明的方法的一个 或多个计算机程序不必驻留在单个计算机或处理器上, 而是可以用分布在多个不同的计算 机或处理器之中以实现本发明的各方面。
     计算机可执行指令可以具有可由一个或多个计算机或其他设备执行的各种形式, 诸如程序模块。程序模块可包括执行特定任务或实现特定抽象数据类型的例程、 程序、 对 象、 组件、 数据结构等。程序模块的功能可按需在各实施例中组合或分布。
     而且, 数据结构能以任何合适的形式存储在计算机可读介质上。 为简化说明, 数据 结构可被示为具有通过该数据结构中的位置而相关的字段。 这些关系同样可以通过对各字 段的存储分配传达各字段之间的关系的计算机可读介质中的位置来得到。然而, 可以使用 任何合适的机制来在数据结构的各字段中的信息之间建立关系, 包括通过使用指针、 标签、 或在数据元素之间建立关系的其他机制。
     本发明的各方面可以单独、 组合、 或以任何合适的安排或组合来使用, 包括以上未 具体讨论的那些方式。例如, 可使用任何方式将一个实施例中描述的各方面与其他实施例 中描述的各方面组合。
     在权利要求书中使用诸如 “第一” 、 “第二” 、 “第三” 等序数词来修饰权利要求元素 本身并不意味着一个权利要求元素较之另一个权利要求元素的优先级、 先后次序或顺序、 或者方法的各动作执行的时间顺序, 而仅用作将具有某一名字的一个权利要求元素与 ( 若 不是使用序数词则 ) 具有同一名字的另一元素区分开的标签以区分各权利要求元素。
     同样, 此处所使用的短语和术语是出于描述的目的而不应被认为是限制。此处对 “包括” 、 “包含” 、 或 “具有” 、 “含有” 、 “涉及” 及其变型的使用旨在包括其后所列的项目及其 等效物以及其他项目。
     至此描述了本发明的至少一个实施例的若干方面, 可以理解, 本领域的技术人员 可容易地想到各种更改、 修改和改进。 这些更改、 修改和改进旨在落入本发明的精神和范围 内。因此, 上述描述和附图仅用作示例。

用于设备到站的关联的协议.pdf_第1页
第1页 / 共31页
用于设备到站的关联的协议.pdf_第2页
第2页 / 共31页
用于设备到站的关联的协议.pdf_第3页
第3页 / 共31页
点击查看更多>>
资源描述

《用于设备到站的关联的协议.pdf》由会员分享,可在线阅读,更多相关《用于设备到站的关联的协议.pdf(31页珍藏版)》请在专利查询网上搜索。

1、10申请公布号CN102119391A43申请公布日20110706CN102119391ACN102119391A21申请号200980131666822申请日2009072412/191,75220080814USG06F21/20200601H04L29/06200601G06F13/10200601G06F15/1620060171申请人微软公司地址美国华盛顿州72发明人N加纳帕锡74专利代理机构上海专利商标事务所有限公司31100代理人钱静芳54发明名称用于设备到站的关联的协议57摘要一种使得便携式设备能够与多个计算机自动关联的技术。创建计算机能用于在创建与便携式设备的关联之前认证便。

2、携式设备并建立可信关系的信息并将其存储在可被多个计算机访问的数据存储中且与便携式设备的用户相关联。当计算机发现它尚未关联的这一便携式设备时,计算机可标识登录到计算机的用户并使用标识该用户的信息来检索独立于设备且预期由便携式设备提交来认证它的认证信息,并允许自动关联。30优先权数据85PCT申请进入国家阶段日2011021186PCT申请的申请数据PCT/US2009/0516282009072487PCT申请的公布数据WO2010/019370EN2010021851INTCL19中华人民共和国国家知识产权局12发明专利申请权利要求书3页说明书15页附图12页CN102119397A1/3页2。

3、1至少一个用多个指令编码的计算机可读存储介质1302,所述指令在由计算机905A执行时执行一种向所述计算机905A认证便携式设备901的方法,所述方法包括以下动作A标识登录到所述计算机905A的用户的身份;B在所述计算机905A处接收来自所述便携式设备901的至少一个第一通信,所述至少一个第一通信包括所述便携式设备901的标识符和第一安全认证信息;C使用登录到所述计算机905A的用户的身份和所述便携式设备901的标识符来检索至少一个第一密钥资料909;以及D通过使用所述至少一个第一密钥资料909来处理所述第一安全认证信息,来确定所述至少一个第一通信是否认证所述便携式设备901。2如权利要求1所。

4、述的至少一个计算机可读存储介质,其特征在于,所述第一认证信息包括使用所述便携式设备的秘密密钥生成的数字签名,且所述至少一个第一密钥资料1909包括所述便携式设备的公钥。3如权利要求1所述的至少一个计算机可读存储介质1302,其特征在于,所述用户是第一用户,所述便携式设备901是第一便携式设备,并且其中所述至少一个第一通信还包括唯一地标识由某一用户和某一便携式设备构成的对的至少一个标识符;以及所述确定所述至少一个第一通信是否认证所述便携式设备901的动作包括确定所述至少一个标识符是否唯一地标识包括所述第一用户和所述第一便携式设备的对。4如权利要求1所述的至少一个计算机可读存储介质1302,其特征。

5、在于,还包括以下动作当在所述动作D中确定所述便携式设备901已被认证时,在所述计算机905A和所述便携式设备910之间建立至少一个共享密钥;以及使用至少部分地从所述至少一个共享密钥生成的一个或多个密钥来加密所述计算机905A和所述便携式设备901之间的至少一个进一步的通信。5如权利要求4所述的至少一个计算机可读存储介质1302,其特征在于,所述至少一个共享密钥是通过将所述计算机905A生成并被发送到所述便携式设备901的第一密钥与所述便携式设备901生成并被发送到所述计算机905A的第二密钥进行组合来计算的。6如权利要求1所述的至少一个计算机可读存储介质1302,其特征在于,还包括在接收所述第。

6、一安全认证信息之前向所述便携式设备901发送标识登录到所述计算机905A的用户的至少一个在先通信的动作。7如权利要求1所述的至少一个计算机可读存储介质1302,其特征在于,还包括以下动作从所述计算机905A向所述便携式设备901发送包括第二安全认证信息的至少一个第二通信;以及由所述便携式设备901通过使用存储在所述便携式设备901上的至少一个第二密钥资料来处理所述第二安全认证信息以确定所述至少一个第二通信是否认证所述计算机905A。权利要求书CN102119391ACN102119397A2/3页38如权利要求7所述的至少一个计算机可读存储介质1302,其特征在于,所述用户是第一用户,所述便携。

7、式设备901是第一便携式设备,并且其中所述至少一个第二通信还包括唯一地标识由某一用户和某一便携式设备构成的对的至少一个标识符;以及所述确定所述至少一个第二通信是否认证所述计算机905A的动作包括确定所述至少一个标识符是否唯一地标识包括所述第一用户和所述第一便携式设备的对。9一种便携式设备901,包括至少一个处理器1301,其被编程为从计算机905A接收标识登录到所述计算机905A的用户的身份的至少一个第一通信;检索第一密钥资料,所述第一密钥资料与所述计算机905A可访问且与所述用户相关联的第二密钥资料相关联;以及向所述计算机905A发送至少一个第二通信,所述至少一个第二通信包括所述便携式设备9。

8、01的标识符,所述至少一个第二通信还包括至少一个第一信息片断,所述第一信息片断由所述第一密钥资料保护,以使所述计算机905A能通过使用所述第二密钥资料来处理由所述第一密钥资料保护的所述至少一个第一信息片断以确定所述至少一个第二通信是否认证所述便携式设备901。10如权利要求9所述的便携式设备901,其特征在于,所述至少一个处理器1301还被编程为使用所述用户的身份来进一步获得唯一地标识由所述用户和所述便携式设备901构成的对的至少一个标识符;以及向所述计算机905A发送所述至少一个标识符和/或至少部分地使用所述至少一个标识符生成的信息。11如权利要求9所述的便携式设备,其特征在于,所述至少一个。

9、处理器1301还被编程为从所述计算机905A接收至少一个第三通信,所述第三通信包括由第三密钥资料保护的至少一个第二信息片断,所述第三密钥资料与存储在所述便携式设备901上的第四密钥资料相关联;以及通过使用所述第四密钥资料来处理由所述第三密钥资料保护的至少一个第二信息片断,来确定所述至少一个第三通信是否认证所述计算机905A。12如权利要求11所述的便携式设备901,其特征在于,所述用户是第一用户,所述便携式设备901是第一便携式设备,并且其中所述至少一个第三通信还包括唯一地标识由某一用户和某一便携式设备构成的对的至少一个标识符;以及所述确定所述至少一个第三通信是否认证所述计算机905A的动作包。

10、括确定所述至少一个标识符是否唯一地标识包括所述第一用户和所述第一便携式设备的对。13如权利要求9所述的便携式设备901,其特征在于,所述第一密钥资料是所述便携式设备901的秘密密钥,所述至少一个处理器1301被编程为通过用所述便携式设备901的秘密密钥对至少一个信息片断进行数字签名来保护所述至少一个信息片断,且所权利要求书CN102119391ACN102119397A3/3页4述第二密钥资料是所述便携式设备901的公钥。14如权利要求11所述的便携式设备901,其特征在于,所述至少一个处理器1301还被编程为当确定所述至少一个第三通信认证所述计算机905A时,计算在所述计算机905A和所述便。

11、携式设备901之间共享的至少一个共享密钥;以及使用至少部分地从所述至少一个共享密钥生成的一个或多个密钥来加密发送到所述计算机905A的至少一个进一步的通信。15如权利要求14所述的便携式设备901,其特征在于,所述至少一个共享密钥是通过将所述计算机905A生成并被发送到所述便携式设备901的第一密钥与所述便携式设备901生成并被发送到所述计算机905A的第二密钥进行组合来计算的。权利要求书CN102119391ACN102119397A1/15页5用于设备到站的关联的协议0001背景0002本发明涉及用于安全地将便携式电子设备与一个或多个计算设备进行关联或配对的系统和方法。0003用户越来越多。

12、地将许多不同类型的便携式电子设备例如,无线头戴式耳机、数码相机、个人数字助理PDA、移动电话、鼠标等与他们的计算机一起操作。许多便携式电子设备允许诸如蓝牙、超宽带UWB、无线通用串行总线USB、和近场通信NFC等短程无线技术,而其他一些则可经由物理有线连接来与计算设备通信。0004短程无线技术和有线连接允许仅在位于彼此附近的设备之间的通信。由于物理邻近性的这一限制,某种程度上缓解了安全威胁。即,攻击设备需要在物理上连接到目标计算设备或在其传输范围内,以便能够截取和/或注入通信。尽管如此,通常采用安全特征来确保计算设备仅与可信且授权的设备关联并通信。0005常规上,在将便携式设备与计算设备进行关。

13、联之前,执行一过程来确保该便携式设备是可信的。例如,允许无线技术的计算设备可执行发现协议来获得启用相同技术且在通信范围内的其他设备的列表。该计算设备然后可自动地或者在用户请求时发起与所发现的设备之一的通信。为了在两个设备之间建立信任,通常提示用户与设备之一或两者交互。例如,每一设备可显示一数字值,且提示用户在两个显示的数字值匹配时在设备之一或两者上输入“是”,以便验证该用户正在控制这两个设备从而使得该便携式设备是可信的。这一用户辅助认证过程一般被称为“手动配对”,因为它需要用户的肯定性手动动作。0006作为常规的手动配对过程的一部分,一旦用户确认了连接是在可信设备之间的,设备存储安全信息例如,。

14、密码密钥资料以便在后续通信中使用,使得设备之间的将来的关联可由设备自动执行而不需要用户动作。由此,如果这两个相同的设备在将来发现彼此,则可检索并交换所存储的安全信息来允许设备将彼此认可为可信的,而无需执行另一手动配对过程。0007概述0008本发明的各方面涉及用于自动将便携式设备例如,诸如移动电话、MP3播放器、无线头戴式耳机等无线设备与两个或更多不同的计算机进行关联的改进的技术。使用常规技术,便携式设备需要手动地与计算机配对来在它们之间建立可信关系以便于后续的自动关联,并且该手动配对过程需要对用户希望与便携式设备一起使用的每一计算机单独执行。例如,购买新的无线头戴式耳机且试图将其与工作计算机。

15、和家庭计算机一起使用的用户常规上需要对这些计算机中的每一个进行手动配对过程来与该无线头戴式耳机建立可信关系。作为该手动配对过程的一部分,在计算机和便携式设备例如,无线头戴式耳机之间交换可在将来用于允许设备彼此认证且形成自动关联的认证信息。因此,在设备与计算机手动配对了一次之后,当设备在将来被带入通信范围内时,它们可彼此认证来建立可信关系并自动建立通信。0009常规技术的一个缺点是它们对于便携式设备和与其一起使用的每一计算机需要单独的手动配对操作,这对于用户而言可能是麻烦的,尤其是对于将大量便携式设备与多说明书CN102119391ACN102119397A2/15页6个计算机一起操作的用户而言。

16、。根据本发明的一个实施例,克服了对执行多个手动配对操作的需要。这能够以若干方式中的任一种来完成。在一方面,在与第一计算机的手动配对操作期间,在便携式设备和该设备与其进行手动配对的计算机的用户之间建立认证信息。该认证信息然后被存储在可被任何数量的计算机全局地访问的数据存储中。由此,在建立了认证信息之后,当用户试图将该便携式设备与任何新的计算机包括先前未与其进行手动配对的计算机一起使用时,该计算机可从基于登录到该计算机的用户的身份从全局可访问存储中检索认证信息,并且可使用该认证信息来使得该新的计算机和便携式设备能够自动彼此认证并建立关联而无需它们被手动配对。这是有利的,因为用户只需手动地将便携式设。

17、备与一个计算机配对,并且使得该设备之后能够与用户登录到的任何计算机自动关联,而不需要用户对该用户试图与便携式设备一起使用的每一计算机进行后续的手动配对操作。0010在一替换方面,可在全局可访问存储中建立并提供认证信息,而不需要便携式设备与任何特定计算机手动配对。0011本发明的另一实施例涉及一种协议,该协议用于使用绑定到计算机的用户而非具体计算机本身的认证信息来向计算机认证认证便携式设备,使得该认证信息可由用户登录到的任何计算机来使用。0012附图简述0013附图不旨在按比例绘制。在附图中,各个附图中示出的每一完全相同或近乎完全相同的组件由同样的标号来表示。出于简明的目的,不是每一个组件在每张。

18、附图中均被标号。在附图中0014图1示出了根据本发明的一个实施例的移动设备与单个计算机的手动配对操作,以及之后与其他计算机的自动关联。0015图2示出了根据本发明的一个实施例的计算机系统,该计算机系统包括全局可访问数据存储,该全局可访问数据存储包括供一个或多个计算机自动认证并关联便携式设备的信息;0016图3是根据本发明的一个实施例的用于创建并使用认证信息来将便携式设备与计算机自动关联的示例性过程的流程图;0017图4是根据本发明的一个实施例的用于为便携式设备创建认证信息并以使其可被多个计算机访问的方式来存储该认证信息的过程;0018图5是根据本发明的一个实施例的用于通过标识登录到计算机的用户。

19、并检索与该用户相关联的认证信息以认证便携式设备来将便携式设备与计算机自动关联的过程;0019图6是用于执行认证的设备关联的常规过程;0020图7示出了根据本发明的一个实施例的用于将计算机与便携式设备手动配对来创建认证信息的过程;0021图8示出了根据本发明的一个实施例的包括关于多个用户和便携式设备的认证信息的数据存储的示例性实现;0022图9示出了便携式设备上包括用于基于计算机的用户的身份来向计算机认证便携式设备的信息的数据存储的示例性实现;0023图10示出了根据本发明的一个实施例的用于获得用于认证便携式设备和计算机说明书CN102119391ACN102119397A3/15页7的简档的过。

20、程;0024图11是示出根据本发明的一个实施例的用于在计算机和便携式设备之间进行通信以便手动认证计算机和便携式设备并使它们之间能够进行自动关联的协议的示例的图示;以及0025图12是可实现本发明的各方面的示例性计算机的示意图。0026详细描述0027如上所述,常规的设备关联协议依赖于手动用户干预来最初在两个设备之间建立信任。在早先的手动配对过程期间建立或交换的认证信息例如,加密密钥资料然后可在稍后用于使得过去已经关联的两个设备能够在没有用户干预的情况下自动关联。然而,必须执行手动配对过程至少一次来建立先前从未关联过的任何两个设备的所需安全信息的交换。0028申请人明白,一些用户采用两个或更多不。

21、同的计算设备例如,一个在家中,另一个在工作处,用户可能希望将相同的一个或多个便携式设备例如,头戴式耳机、MP3播放器、移动电话等与这些不同计算设备进行关联。申请人还明白,该手动配对过程对于设备用户而言可能是耗时且麻烦的,尤其是在需要为相同的便携式设备多次重复该手动配对过程来将该便携式设备与多个计算设备进行关联的时候。0029由此,根据概念上在图1中示出的本发明的一个实施例,用户可以将便携式设备例如,移动电话210与一个计算机例如,家庭台式机220手动配对一次例如,在221处,并且该便携式设备稍后可以自动与同一用户使用的其他计算机例如,如231处所示的膝上型计算机230,或241处所示的办公室台。

22、式机240自动关联。如此处所使用的,所称的便携式设备被自动关联是指计算机和便携式设备的用户不需要采取任何动作来向计算机认证便携式设备或向便携式设备认证计算机并且促进它们之间的关联。0030本发明的涉及允许便携式设备和该便携式设备先前未与其手动配对的计算机之间的自动关联的方面可以用任何合适的方式来实现,其不限于任何特定的实现技术。根据本发明的一个说明性实施例,采用了一种技术来用于能够与两个或多个计算机关联的便携式设备。创建认证该便携式设备的认证信息,并且该认证信息被存储在可被两个或多个计算机访问的数据存储中,且以将该认证信息与便携式设备的用户相关联的方式来存储。一旦创建了该认证信息并将其存储在该。

23、便携式设备先前未关联的计算机可访问的数据存储中,该计算机可访问并使用该认证信息来自动认证该便携式设备,而不需要手动配对操作。这能够以任何合适的方式来完成。0031例如,根据本发明的另一实施例,当计算设备发现它尚未关联的至少一个便携式设备时,该计算设备可标识登录到该计算设备的用户,使用标识登录用户的信息来检索关于该便携式设备的认证信息,并使用检索到的认证信息来认证该便携式设备并将其自动与该计算设备进行关联。0032从以上内容中应当理解,申请人已经认识到常规的用于将便携式设备与多个计算设备关联的技术的缺点是当在便携式设备和计算设备之间交换认证信息时,可用于在将来认证该便携式设备以便允许自动关联的信。

24、息常规上是由计算设备以该信息只能被该计算设备本地访问的方式来存储的。根据本发明的一个实施例,关于便携式设备的认证信息以使该信息可被一个或多个计算设备,甚至是未用于与便携式设备通信来建立认证信息的计说明书CN102119391ACN102119397A4/15页8算设备更全局地访问的方式来存储。结果,当这种计算设备首次发现该便携式设备时,该计算设备可访问该数据存储,检索该认证信息,并使用该认证信息来认证并自动关联该便携式设备,即使该计算设备先前从未参与过与该便携式设备的手动配对。这在图2中概念性地示出,其中便携式设备901可以在如虚线903A和903B所指示的不同时间与两个或更多计算机905A和。

25、905B关联。可用于认证便携式设备901的认证信息909被存储在可被两个或更多计算机905AB访问的数据存储907中。由此,当计算机905AB中的任一个,包括便携式设备901先前未与其手动配对来建立认证信息的计算机,发现便携式设备901时,计算机905AB可访问数据存储907来检索认证信息909并使用该认证信息来向计算机认证便携式设备901并自动将其与计算机关联。0033在图2所示的配置中,数据存储907被示为可被计算机905AB中的每一个经由网络911来访问。根据本发明的一个实施例,网络911可以是任何合适的网络例如,因特网,且数据存储907可以与不同于计算机905AB中的任一个的计算设备例。

26、如,数据库服务器或其他类型的计算设备关联。然而,应当理解,此处描述的本发明的各方面在这一点上不受限制。例如,数据存储907可以在计算机905AB中的一个上提供或与计算机905AB中的一个相关联,并且可由计算机905AB经由USB闪存钥匙或任何其他合适的通信介质来访问。0034根据以下讨论的本发明的一个实施例,认证信息909是通过便携式设备901与计算机905AB中的一个的手动配对来形成的,然后被存储在数据存储907中,数据存储907可以是执行该手动配对的计算机或另一计算机上的数据存储。然而,应当理解,此处描述的本发明的各方面在这一点上不受限制,认证信息可以用任何合适的方式来开发并存储在数据存储。

27、907中。例如,在本发明的一替换实施例中,认证信息例如,密钥资料可以在不执行手动配对操作的情况下生成。之后,该密钥资料中要由便携式设备在自动关联期间使用的一诸部分可以用任何合适的方式直接存储在便携式设备上,并且该密钥资料中要由一个或多个计算机使用的一诸部分可以被存储在全局可访问存储中。0035从以上内容中应当理解,本发明的一个实施例涉及图3所示类型的用于将便携式设备与计算机关联的过程。最初,在动作1001,将便携式设备与第一计算机例如,图2中的计算机905A手动配对来创建可用于认证该便携式设备的认证信息例如,认证信息909。应当理解,如上所述,认证信息可另选地用其他方式来建立。在动作1003,。

28、将认证信息存储在可被另一计算机例如,计算机905B访问的数据存储例如,数据存储907中并将其与便携式设备901的用户相关联。在这一点上,根据本发明的一个实施例,认证信息以将其与便携式设备的用户相关联的方式存储在数据存储中,使得发现该便携式设备的计算机能够标识计算机的用户并使用该信息来标识要从数据存储中检索什么认证信息。在这一点上,根据本发明的某些实施例,数据存储例如,数据存储907可包括关于任何数量的便携式设备和/或任何数量的一个或多个用户的认证信息,使得当存储了关于多个用户的设备的信息时,发现该便携式设备的计算机的用户的身份可用于标识关于该用户的设备的适当的认证信息。然而,应当理解,并非所有。

29、实施例都限于使用标识用户的信息来标识要使用什么认证信息来认证便携式设备,可采用任何合适的技术。0036在动作1005,除了与便携式设备手动配对来创建认证信息的计算机之外的计算机例如,第二计算机,如计算机905B可访问数据存储来检索认证信息例如,认证信息说明书CN102119391ACN102119397A5/15页9909。该动作可以响应于计算机发现便携式设备或在任何其他合适的时间执行。0037最终,在动作1007,计算机可使用检索到的认证信息例如,认证信息909来认证便携式设备901,并且在成功认证时将该便携式设备与计算机例如,905B自动关联。以此方式,便携式设备可以与计算机例如,计算机9。

30、05B自动关联,而无需曾经与该计算机手动配对。0038从以上内容中应当理解,图3所示的过程与常规的用于将便携式设备与一个或多个计算机关联的技术的不同之处在于存储认证信息的方式例如,存储在其他计算机可访问的数据存储中,而非仅可供执行了手动配对过程来获得认证信息的计算机本地使用以及当计算机首次发现它先前未关联的便携式设备时所执行的过程例如,通过从数据存储中获得认证信息,而非执行手动配对操作。0039在这一点上,图4示出了根据本发明的一个实施例的过程,该过程涉及使得关于便携式设备的认证信息对先前未与该便携式设备关联的一个或多个计算机可用。在动作1101,创建可用于认证便携式设备的认证信息。如上所讨论。

31、的,该认证信息可通过将便携式设备与计算机手动配对或以任何其他合适的方式来创建,此处描述的本发明的各方面不限于用于创建认证信息的任何特定技术。0040在动作1103,使用任何合适的技术,以使得认证信息可被多个计算机访问的方式来存储该认证信息,而非以仅可被单个计算机访问的本地化方式来存储该认证信息,这些技术的示例在此处有描述。根据本发明的一个实施例,该认证信息以如上讨论的将其与便携式设备的用户相关联来便于检索的方式来存储。0041图5示出了计算机可根据本发明的一个实施例执行来自动将其自身与便携式设备进行关联的过程。图5的过程可以响应于计算机发现便携式设备或响应于任何其他合适的事件来发起。在动作12。

32、01,该过程标识登录到计算机的用户。之后,在动作1203,该过程从数据存储中检索与该便携式设备相关联并且也与在动作1201中被标识为登录到计算机的用户相关联的认证信息。这可以用任何合适的方式来完成,其示例在此处讨论。在动作1205中,计算机使用该认证信息来作出关于便携式设备例如,便携式设备901是否能够成功将其自身认证为可信设备的判定。这可以用任何合适的方式来完成,其示例在下文中讨论。当在动作1205确定便携式设备不能将其自身认证为可信设备时,该过程终止,且不将该便携式设备与计算机进行关联。另选地,当在动作1205确定便携式设备能够成功地将其自身认证为可信设备时,该过程前进到动作1207,在那。

33、里将该便携式设备自动与计算机进行关联,从而无需执行任何手动配对操作。0042如上所讨论的,可存储在可被多个计算机访问的数据存储中的认证信息例如,图2中的909可采取任何合适的形式。例如,该认证信息可包括不能公共地访问的某种信息此处为方便起见称为“秘密”,并且使用该认证信息来认证便携式设备的计算机预期仅与该认证信息相关联的可信便携式设备能够提供这一秘密。0043或者,根据本发明的其他实施例,该认证信息可包括一个或多个密钥资料,这些密钥资料能由检索这些密钥资料的计算机用来根据一个或多个安全协议与便携式设备进行通信。例如,在一个非限制实施例中,该密钥资料的一部分可由计算机用于验证伴随通信的数字签名,。

34、从而查明该通信实际上是由可信便携式设备发送的,因为只有与该认证信息相关联的可信便携式设备才能够连同有效数字签名来发送这一通信。在另一示例中,该密钥说明书CN102119391ACN102119397A6/15页10资料的一部分可由计算机用于对便携式设备所加密的通信进行解密。0044在本说明书中,短语“密钥资料”用于指可用于保护通信安全的目的的任何信息,例如,用于维持消息的私密性和完整性,和/或用于认证消息源。密钥资料的示例包括公钥私钥对在非对称密钥加密和电子签名中使用、秘密密钥在对称密钥加密中使用、现时值即,使用一次然后被丢弃的随机值、以及校验和/散列通常通过密码散列函数生成并用于诸如完整性校。

35、验和/或承诺等不同目的。这些仅是可用于建立根据此处描述的某些实施例使用的认证信息的密钥资料的示例。另外,应当理解,存储在数据存储中的认证信息可包含使得访问该信息的计算机能够以任何合适的方式来认证便携式设备的任何信息,此处描述的本发明的各方面不限于采用任何特定类型的密钥资料或其他认证信息。0045根据本发明的一个实施例,采取步骤以便不仅在允许自动关联之前向计算机认证便携式设备,而且还在便携式设备允许计算机自动与其关联之前向类似地向便携式设备认证计算机和/或其用户。由此,以下描述的本发明的某些实施例实现了用于在使得便携式设备和计算机之间能够自动关联之前除了向计算机认证便携式设备之外还向便携式设备认。

36、证计算机和/或其用户的技术。然而,应当理解,本发明的全部方面在这一点上不受限制,此处所描述的技术可用于仅向计算机认证便携式设备来允许自动关联。0046用于自动设备关联的常规技术要求每一计算机为该计算机能够与其进行自动关联的每一便携式设备存储单独的一组密钥资料在手动配对期间形成。同样,便携式设备常规上必须为该设备可自动关联的每一计算机存储单独的一组密钥资料同样在手动配对期间形成。这是因为在现有的设备关联技术中,作为将两个设备手动配对的结果所形成的密钥资料是设备专用的且绑定到设备。0047作为常规关联技术的一个示例,图6示出了蓝牙简单配对协议的简化版本。最初,在动作310,两个启用蓝牙的设备发现彼。

37、此,并且在320,它们建立非安全通信信道。接着,在动作330中,两个参与设备交换其公钥。在动作340中,基于所交换的公钥和/或参与设备的蓝牙地址来计算确认值,并且在动作350,中,使用参与设备的蓝牙地址来计算用于维持配对的链接密钥,并且在动作360中,使用该链接密钥来参与加密通信。0048从以上内容中应当理解,使用蓝牙简单配对建立的密钥资料被绑定到参与设备的蓝牙地址。结果,在一对设备之间建立的密钥资料通常不重复用于关联另一对设备,即使这两对设备具有共同的一个设备和/或密钥资料可以从一个设备传输到另一设备。例如,如果使用为便携式设备和具有第一蓝牙地址的第一计算机建立的密钥资料来试图关联第二计算机。

38、和该便携式设备,则该便携式设备可拒绝与第二计算机进行关联,因为密钥资料被绑定到第一蓝牙地址且便携式设备会识别该第二计算机具有不同的蓝牙地址。由此,根据本发明的一个实施例,采用独立于设备的密码密钥资料,使得它们可被不同计算机容易且安全地共享来用于设备关联的目的。0049在一个实施例中,经由手动配对过程或其他过程,并非在便携式设备和任何特定计算机之间,而是在便携式设备和其用户之间创建独立于设备的密钥资料。因此,不像使用常规的设备关联协议形成的密钥资料,该密钥资料不被绑定到任何特定计算机,且因此可用于将该便携式设备与任何计算机或计算机组进行关联。根据本发明的一个实施例,采用了使用独立于设备的密钥资料。

39、来将便携式设备与计算机进行关联的关联协议。然而,此处描述的密钥资料、关联协议和其他技术在这一点上不受限制,并且可用于执行任何类型说明书CN102119391ACN102119397A7/15页11的任何两个或多个设备之间的关联,包括不仅在便携式设备和常规上被称为计算机的设备例如,膝上型或个人计算机之间,而且在任何类型的任何两个设备之间。另外,应当理解,对计算机或计算设备这些术语在本文中互换使用的引用在此处用于指具有编程的处理器的任何设备,包括可能常规上不被称为计算机的设备。另外,此处描述的技术可用于在设备组之间执行关联。例如,此处所描述的技术可在广播或多播场景中使用来使得共享第一组密钥资料的一。

40、组设备能够与共享第二组密钥资料的另一组设备进行关联。0050可以使根据一个实施例使用的独立于设备的密钥资料对任何计算机可用来用于关联便携式设备的目的。这能够以任何合适的方式来完成。例如,密钥资料可被存储在与便携式设备关联的第一计算机上,并且稍后在用户请求时或响应于来自第二计算机的自动请求而被传递到第二计算机。或者,第一计算机可以将密钥资料存储在全局可访问存储中,使得第二计算机可从中检索密钥资料。该全局可访问存储可以在第一计算机或一单独的计算机上,和/或可以使用任何合适的接口,如WEB接口、网络文件系统接口或任何其他合适的接口来检索。0051根据以下描述的本发明的一个实施例,要被多个计算机用于关。

41、联便携式设备的独立于设备的密钥资料是使用用户和便携式设备两者的唯一标识符ID来生成的。这些唯一标识符可以用任何合适的方式来建立,本发明的采用这些ID来生成密钥资料的各方面在这一点上不受限制。例如,该唯一用户ID可以是用户的电子邮件地址、或经由提供唯一标识符的服务提供的唯一标识符,如可从微软公司获得的WINDOWSLIVEID或任何其他服务,或可以用任何其他合适的方式来提供。类似地,便携式设备可以使用任何合适的技术,如全局唯一标识符GUID或任何其他合适的技术,经由唯一标识符来表示。0052参考图7,以消息图表的形式示出了根据本发明的一个实施例的用于将便携式设备和计算机手动配对来建立独立于设备的。

42、密钥资料的过程。图7所示的过程可以在便携式设备410和计算机420发现了彼此并且以任何合适的方式建立了通信信道例如,非安全信道之后开始。例如,在蓝牙的情况下,便携式设备410可能已经被置于可被发现模式,并且计算机420可能已经执行了扫描来发现便携式设备410且可能已经发起了与便携式设备410的通信。取决于底层通信方法,图7中所示的通信交换可以在发现和通信建立期间执行,或在两个参与设备之间的任何合适的通信阶段期间执行,本发明在这一点上不受限制。0053在动作430中,计算机420将第一信息集合发送给便携式设备410,该第一信息集合包括用户的IDID用户、该用户的公钥PK用户、以及为用户和便携式设。

43、备310之间的关联生成的随机值R用户,设备。随机值R用户,设备是唯一地标识用户和便携式设备410之间的关联的一条秘密信息。如以下所讨论的,根据一个实施例,R用户,设备可用于提供针对重放攻击的安全措施,在重放攻击中,设备试图不正确地表示其自身来建立自动关联。0054然而,应当理解,本发明的涉及形成独立于设备的密钥资料的协议的该方面不限于采用诸如R用户,设备等一条额外的秘密信息来针对这一攻击进行防护,该信息在某些实施例中可被省略例如,如果相信这一攻击的风险是最小的。另外,尽管在一个实施例中该秘密信息是按照随机数来提供的,但应当理解,可采用任何技术来建立该秘密信息,其不限于是随机数。0055在一个实。

44、施例中,采用一种技术来保护随机数到便携式设备的传递。这能够以任何合适的方式来完成。例如,该传递可以经由USB设备或诸如NFC等邻近性无线技术来发说明书CN102119391ACN102119397A8/15页12生,这种传递具有小传输范围来使得另一设备要进行窃听实际上是不可能的。0056在动作440中,便携式设备410将第二信息集合发送到计算机420,该第二信息集合包括便携式设备410的IDID设备以及便携式设备410的公钥PK设备。0057应当理解,此处描述的技术不限于在动作430和440期间交换的信息的精确组合,也不限于图7所示的通信的数量和次序。例如,在一个实施例中,公钥可以在计算机42。

45、0和便携式设备410之间在便携式设备410和计算机420都信任的授权机构签名的证书中发送来增强安全性,但这并非必需的。此外,该信息可以用任何合适的方式来交换,包括将动作430和440分解成多个通信并以任何合适的次序来交错通信。0058在动作450中,便携式设备410在其显示器上显示计算机420所提供的或从中导出的信息中的至少某一些,并且计算机420类似地在其显示器上显示从便携式设备410接收的信息或从中导出的信息中的至少某一些,来使用户能够确认进行通信的设备是正确的设备且由此确立通信是可信的。要显示的信息是用户将能够验证为已由其他设备提供来建立可信关系的信息。这可以用任何合适的方式来完成,其示。

46、例在下文中讨论。例如,在一个实施例中,便携式设备410可以显示ID用户,而计算机420可以显示ID设备,且用户类似地能够从每一设备查看发送到另一个的ID例如,用户能够在便携式设备410上查看ID设备,并且从计算机420查看ID用户,使得用户能够验证每一设备正确地显示了从另一个发送的标识符。0059某些设备例如,便携式设备410可能没有能够显示信息来向用户提供可视化该信息并确认该信息的机会的显示器或用户界面。根据本发明的一个实施例,对于此类设备,可省略在该便携式设备上显示信息的步骤。省略该步骤可阻止用户验证便携式设备正在与所需计算机例如,420交换信息。然而,如果用户愿意接受从中导致的降低的安全。

47、性,则可完全省略该步骤。或者,在这一情况下,用于在便携式设备和计算机之间交换信息的通信介质可以是不会留下关于两个可信设备正在通信的任何疑问的通信介质。例如,通信可通过有线连接、通过诸如USB闪存设备等便携式通信介质、或使用诸如NFC等具有非常小的传输范围且消除了第三计算设备截取和/或注入通信的可能性的通信技术来执行。0060在动作460,用户通过与便携式设备410和计算机420之一或两者进行交互来确认配对和信息交换是在可信设备之间发生的。例如,如果动作450中显示的ID是正确的,则用户可操作便携式设备410和计算机420的用户界面来指示这一点。当如此指示时,计算机420和便携式设备410将以如。

48、下所述的方式来继续。或者,如果用户无法指示信息是在可信设备之间交换的,则该过程将终止,并且将不存储关联信息。0061应当理解,可用任何合适的方式向用户告知预期在计算机420和便携式设备410上显示的信息。例如,每一设备例如,便携式设备410和计算机420可以提供一用户界面,藉此它可向用户显示其自己的ID或其他信息,使得用户能记录预期在另一设备上看见的信息来验证可信关系。例如,如上所述,便携式设备可在其自己的用户界面上向用户显示其ID,使得用户能知道预期由计算机420显示什么信息来确认计算机420与正确的便携式设备410配对。然而,这仅是一个示例,可以用任何合适的方式向用户告知预期在配对设备之一。

49、或两者上显示的信息。0062如上所讨论的,当用户通过与便携式设备410和计算机420之一或两者进行交互来确认关系可信时,便携式设备410和计算机420存储在步骤430和440接收到的信息中说明书CN102119391ACN102119397A9/15页13的至少某一些和/或从中导出的信息。例如,便携式设备410可以将简档存储在便携式设备中可用的任何内部存储例如,存储器中,而计算机420可将简档存储在全局可访问存储中与用户相关联的位置。可获得并在这些简档中存储另外的和/或另选的信息,此处所描述的技术不限于所交换的任何特定信息。也可采用其他合适类型的信息。图7中创建的简档可用于向一个或多个计算机包。

50、括除了计算机420之外的计算机认证便携式设备并方便自动关联的方式的一个说明性示例在以下描述。0063图8示出了用于存储使用图7所示的协议和信息为多个用户用户1到用户N建立的设备简档的全局可访问数据存储801的示例性配置。如上所述,这些简档仅是说明性的,使得全局可访问数据存储可以用其他方式组织来存储其他类型的信息。在图8所示的实施例中,每一用户能够与多个设备相关联。例如,所存储的且与用户1相关联的信息包括三个条目805AC,每一条目对应于与用户1相关联的一不同设备。例如,条目805AC可对应于移动电话、MP3播放器以及无线头戴式耳机组,所有这些都属于同一用户,但这些仅是示例,与用户相关联的便携式。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 物理 > 计算;推算;计数


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1