具有終端設備識別的網狀網絡的製作方法

2023-06-08 18:22:26

專利名稱：具有終端設備識別的網狀網絡的製作方法
技術領域：
本揭示一般涉及網狀網絡，尤其作為示例而非局限，涉及在給定的網狀網絡鄰域中令附屬於一個路由器的終端設備能由其它網狀路由器識別。
背景技術：
無線網絡越來越多地用於語音和數據通信。這一無線通信通過從發送器向接收器傳播無線信號來完成。發送器和接收器可組成無線網絡的節點。例如，傳統的蜂窩無線網絡中的節點包括固定的基站和移動站。移動站通過固定的基站訪問蜂窩無線網絡。基站由設計蜂窩網絡的網絡服務提供商操縱，並能夠控制無線網絡的訪問和/或採用安全措施。換言之，單個實體操作大規模基礎上的多個基站，並因此能提供某一程度的組織和安全措施，以及某一級別的對蜂窩無線網絡的整體網絡管理。
其它類型的無線網絡，如自發無線網絡，通常不需要這一大規模的計劃、組織或管理。例如，特別(ad hoc)無線網絡由相互決定共同加入以形成無線網絡的節點的多個設備創建，一般在此之前或之後不需要在多個設備的所有者之間的明確同意。因此，沒有控制全局的操作員或其它實體來實施網絡訪問規則、處理安全問題、監控基於標準的需求或確保一般能接受的無線網絡行為。因此，這類特別網絡的合法和不合法參與方可粗心地、不加選擇地或甚至是惡意地行動，而不服從重要的約束或任何真實的相互作用。
因此，需要一種能夠將某一程度的控制和/或責任性引入到自發形成的無線網絡中的模式和/或技術。

發明內容
在示例性路由器實現中，一路由器包括至少一個處理器；以及包括能夠由該至少一個處理器執行的處理器可執行指令的一個或多個媒質，該處理器可執行指令適用於指導該路由器執行以下行動從一終端設備接受至少一個證書，該至少一個證書由另一路由器籤發；確認其它路由器是否為預定鄰域的成員；確定該至少一個證書是否有效；如果確認其它路由器為預定鄰域的成員，且確定該至少一個證書是有效的，則識別該終端設備為具有特許的狀態；該特許狀態涉及服務級別。
在示例性網狀路由器實現中，一網狀路由器能夠與其它網狀路由器建立無線網狀網絡，該網狀路由器還能夠指定一鄰域管理員網狀路由器；該網狀路由器適用於當特定的網狀路由器是指定的鄰域管理員網狀路由器的鄰域的成員時，向與由該特定的網狀路由器籤發的特定證書相關聯的特定的終端設備授予特許狀態。
在另一示例性網狀路由器實現中，一網狀路由器被配置成執行以下行動通過無線鏈路與一終端設備建立連接；從該終端設備接收至少一個證書，該至少一個證書具有籤名；在該至少一個證書的籤名上執行籤名核實過程；如果籤名核實過程成功，則向該終端設備授予優選的訪問權限；如果籤名核實過程失敗，則向該終端設備授予標準訪問權限。
本發明將描述其它方法、系統、方式、裝置、路由器、設備、媒質、過程、方案等實現。


貫穿附圖，相同的標號表示相同和/或相應的方面、特徵和組件。
圖1是包括網狀路由器層和終端設備層的示例性無線網狀網絡。
圖2示出了網狀路由器層的示例性公鑰基礎結構(PKI)，其中，每一網狀路由器與一證書相關聯。
圖3示出了網狀路由器層的PKI對分組通信的示例性使用。
圖4示出了對無線網狀網絡的示例性鄰域建立。
圖5示出了對於違法網狀路由器/證書的示例性排除機制的一個方面。
圖6示出了對於違法網狀路由器/證書的示例性排除機制的另一方面。
圖7所示是用於在無線網狀網絡中實現排除能力的示例性方法的流程圖。
圖8示出了對於終端設備的示例性識別機制的一個方面。
圖9示出了對於終端設備的示例性識別機制的另一方面。
圖10所示是用於在無線網狀網絡中實現終端設備識別的示例性方法的流程圖。
圖11示出了對於參與鄰域間移動的終端設備的另一示例性識別機制。
圖12示出了能夠(全部或部分地)實現本發明所描述的網狀網絡的至少一個方面的示例性計算(或通用裝置)操作環境。
具體實施例方式
圖1是包括網狀路由器層和終端設備層的示例性無線網狀網絡100。網狀路由器層由網狀路由器102形成，它創建了無線網狀網絡100的網狀路由器網絡部分。終端設備層由終端設備104形成。終端設備104可通過網狀路由器網絡的一個或多個網狀路由器102彼此通信。
如圖所示，五個網狀路由器102(A)、102(B)、102(C)、102(D)和102(E)形成了網狀路由器網絡，以實現多跳(multihop)無線網絡的至少一部分。然而，兩個或多個網狀路由器102(可能是幾十個、幾百個或幾千個等)可形成網狀路由器網絡。每一網狀路由器102能夠使用如無線發送器和/或接收器(如，收發器)進行無線通信。
網狀路由器102(A)具有與網狀路由器102(B)的無線鏈路108AB，以及與網狀路由器102(D)的無線鏈路108AD。網狀路由器102(B)另外還有分別與網狀路由器102(C)和102(E)的無線鏈路108BC和108BE。類似地，網狀路由器102(C)也通過無線鏈路108CE與網狀路由器102(E)進行無線通信，網狀路由器102(E)也通過無線鏈路108DE與網狀路由器102(D)進行無線通信。
儘管示出每一網狀路由器102與一到三個終端設備104進行無線通信，然而其每一個可選地與任意數量個終端設備104進行通信。網狀路由器102(A)分別通過無線鏈路110(A1)和110(A2)與兩個終端設備104(A1)和104(A2)進行無線通信。網狀路由器102(B)通過無線鏈路110(B1)與一個終端設備104(B1)進行無線通信。網狀路由器102(C)通過分別通過無線鏈路110(C1)和110(C2)與兩個終端設備104(C1)和104(C2)進行無線通信。類似地，網狀路由器102(E)具有與三個終端設備104(E1)、104(E2)和104(E3)的無線鏈路110(E)。網狀路由器102(D)具有分別與兩個終端設備104(D1)和104(D2)的無線鏈路110(D1)和110(D2)。
在所描述的實現中，從操作觀點來看，網狀路由器102包括一組相對標準的設備。例如，每一網狀路由器102具有類似的(或甚至是同樣)的硬體和/或軟體。硬體能夠進行無線通信並執行軟體(包括固件)。
網狀路由器102由實體設計和/或製造成具有至少一組基線互操作能力。例如，從第一版本的硬體和軟體觀點來看，第一產品可得到同樣的網狀路由器102。可用(如，包括硬體的軟體)更新可得到提供可任選額外能力的第二及隨後的版本。第二產品可得到不同於先前的版本但仍可向後兼容的較新版本的網狀路由器102。簡言之，生產網狀路由器102的實體具有某些關於其硬體和軟體組件的確定標準。
相反，終端設備104包括一組相對多樣的設備，這些設備可具有擁有偶然可操作能力的任意的硬體和軟體。終端設備104的每一個可以是膝上計算機、行動電話、個人數字助理(PDA)、家庭計算機、娛樂設備或其它設備等等。終端設備104可執行各種作業系統、應用程式、管理程序編碼等的任一個。儘管有所不同，這些終端設備104能夠使用接受的協議通過網狀路由器102訪問無線網狀網絡100。
生產網狀路由器102的實體創建它們，以使一穩定且可預測的網狀路由器網絡被相對自動地建立。當然，無線網狀路由器網絡的穩定性和可預測性受無線通信的反覆無常的行為所限制，這是由於受發送器和接收器之間的距離、幹擾、無線媒質的變化等的影響。然而，當網狀路由器102被激活時，它試圖通過與範圍內的任何網狀路由器102通信來加入無線網狀網絡100。建立無線網狀網絡100在後文具體參考圖2和3進一步描述。由於生產網狀路由器102的實體確定其可操作能力、因此可某一程度上減少惡意或不適當的網絡行為。
另一方面，終端設備104實際上能夠執行任意和/或系統的惡意行動，因為其可操作能力不被集中式控制。然而，可在某一程度上限制終端設備104的行動，因為終端設備104通過網狀路由器102連接到無線網狀網絡100，如由無線鏈路110所示的。應當注意，支配(i)用於終端設備104到網狀路由器102的通信的無線鏈路110，以及(ii)用於網狀路由器102之間的通信的無線鏈路108的無線訪問協議可以相同或不同。
作為示例，如果終端設備104(A1)試圖向終端設備104(C1)發送通信，則終端設備104(A1)通過無線鏈路110(A1)向網狀路由器102(A)發送通信。網狀路由器102(A)通過網狀路由器102(B)或網狀路由器102(D)和102(E)將該通信路由到網狀路由器102(C)。網狀路由器102(C)然後通過無線鏈路110(C1)將該通信發送到終端設備104(C1)。
如圖所示，終端設備104(C1)包括資源106(C1)。儘管僅示出了一個資源106，然後在無線網狀網絡100中在同一或不同的網狀路由器102上可存在多個資源106。例如，每一資源106可以是本地伺服器或信息儲存庫(如，用於細分)、網際網路接入點(ITap)、多媒體數據集合(如，小團體所感興趣的)等等。
圖2示出了網狀路由器層上的示例性公鑰基礎結構(PKI)，其中，每一網狀路由器102與一證書202相關聯。具體示出了三個示例性網狀路由器102(A)、102(B)和102(C)。如圖所示，每一網狀路由器102包括證書202、公鑰(PbK)204、私鑰(PvK)206、根鑰208。每一證書202包括名字210、籤名212和對應的公鑰204。網狀路由器「A」102(A)特別地用於描述網狀路由器層上的示例性PKI的這些通用方面。
在網狀路由器102(A)的所描述的實現中，生產實體與籤署密鑰(未示出)和根密鑰208相關聯，它們共同形成了用於該生產實體的公鑰-私鑰對。生產實體通過在名字A 210(A)上執行操作用籤署私鑰來籤署證書202(A)，以創建籤名212(A)。證書202(A)證明公鑰204(A)被綁定到名字A 210(A)，它是網狀路由器102(A)的名字。例如，名字A 210(A)可以是網狀路由器102(A)的序列號。
證書202(A)表示網狀路由器102(A)是由與根鑰208相關聯的生產實體證明的有效網狀路由器102。因此，證書202(A)表明網狀路由器102(A)應當被允許加入無線網狀網絡100(圖1)。除證書202(A)之外，網狀路由器102(A)包括(如，儲存)公鑰204(A)、私鑰206(A)和根鑰208(A)。私鑰206(A)對應於公鑰204(A)，並且與其共同形成了與網狀路由器102(A)相關聯的公鑰-私鑰對。根鑰208(A)是儲存在網狀路由器102(A)上的生產實體的根鑰208的副本。
簡言之，每一網狀路由器102用一關聯的證書202「出廠」。因此，網狀路由器「B」102(B)包括證書202(B)，網狀路由器「C」102(C)包括證書202(C)。證書202(B)包括名字B210(B)、籤名212(B)和公鑰204(B)，以表明網狀路由器102(B)是來自生產實體的有效網狀路由器102，並且它被綁定到對應於公鑰204(B)的私鑰206(B)。同樣，證書202(C)包括名字C 210(C)、籤名212(C)和公鑰204(C)，以表明網狀路由器102(C)是來自生產實體的有效網狀路由器102，並且它被綁定到對應於公鑰204(C)的私鑰206(C)。
當網狀路由器102被激活時，它試圖聯繫其它網狀路由器102以建立(如，加入)無線網狀網絡100。當已被激活的網狀路由器102聯繫另一網狀路由器102時，已被激活的網狀路由器102和其它網狀路由器102執行驗證/密鑰交換協議。這兩個網狀路由器102通過籤名核實過程使用根鑰208交換證書，以向對方表明其每一個都是來自生產實體的有效網狀路由器102。
網狀路由器102之一或兩者然後使用另一個的公鑰204以建立僅已被激活的網狀路由器102和另一網狀路由器102可共享的機密對稱密鑰。該機密密鑰可通過密鑰傳輸過程或密鑰協定過程來建立。共享的機密密鑰然後用於彼此驗證每一網狀路由器102。共享機密密鑰也可用於確保兩個網狀路由器102之間的通信中的信息的保密性。
作為示例，在網狀路由器102(A)被激活之後，它查找並找出在範圍內且可能為近鄰的其它網狀路由器102。對於網狀路由器102(B)，網狀路由器102(A)和102(B)交換證書202(A)和202(B)。在機密密鑰建立過程之後，密鑰AB 214被創建並在網狀路由器102(A)和102(B)之間共享。
在網狀路由器102(A)處，密鑰AB 214(A)結合網狀路由器「B」儲存和/或映射到網狀路由器「B」。例如，這些網狀路由器-密鑰映射可被儲存在一數據結構中。在網狀路由器102(B)處，密鑰AB 214(B)結合網狀路由器「A」儲存和/或映射到網狀路由器「A」。密鑰AB 214可用於向網狀路由器102(B)驗證網狀路由器102(A)，並且反之依然，也可任選地通過加密來確保通信內容的保密性。
同樣，網狀路由器102(A)和102(C)交換證書202(A)和202(C)。在機密密鑰建立過程之後，密鑰AC 216被創建並在網狀路由器102(A)和102(C)之間共享。密鑰AC 216(A)被映射到網狀路由器102(A)處的網狀路由器「C」，密鑰AC 216(C)被映射到網狀路由器102(C)處的網狀路由器「A」。網狀路由器102(A)和102(C)之間的這一驗證/密鑰交換協議和密鑰建立過程可在無線網狀網絡100的網狀路由器網絡部分出現(如，通過諸如網狀路由器102(B)等一個或多個網狀路由器102)，即使網狀路由器102(A)和102(C)不在對方的無線範圍內。類似地，在交換了證書202(B)和202(C)以及密鑰建立過程之後，密鑰BC 218被創建並在網狀路由器102(B)和102(C)之間共享。密鑰BC 218(B)被映射到網狀路由器102(B)處的網狀路由器「C」，密鑰BC 218(C)被映射到網狀路由器102(C)處的網狀路由器「B」。
圖3示出了網狀路由器層上的PKI對分組302的通信的示例性使用。網狀路由器102(A)正在向預期的接收方網狀路由器102(B)發送分組302。分組302可由網狀路由器102(A)從另一網狀路由器102、從終端設備104(A)等接收；可最初在網狀路由器102(A)處制定；等等。網狀路由器102(A)用消息驗證碼(MAC)為分組302加標籤。
由於分組302被從網狀路由器102(A)發送到網狀路由器102(B)，網狀路由器102(A)在數據結構(如，表)中查找網狀路由器「B」，並確定在它們之間共享的機密密鑰。在本示例中，網狀路由器102(A)所檢索的共享機密密鑰是密鑰AB214(A)。因此，網狀路由器102(A)使用密鑰AB 214(A)來創建MAC-AB 302(AB)。MAC-AB 302(AB)然後在發送之前被作為標籤加到分組302上。在接收分組302後，網狀路由器102(B)訪問其機密密鑰數據結構的網狀路由器「A」的條目，以檢索被映射到其上的共享機密密鑰-密鑰AB 214(B)。網狀路由器102(B)使用密鑰AB214(B)以及MAC-AB 302(AB)來驗證分組302是從網狀路由器102(A)發送的，該網狀路由器102(A)是有效且未洩密的網狀路由器102。
在本示例中，分組302最終的目的地是終端設備104(C1)上的資源106(C1)，終端設備104(C1)在網狀路由器102(C)處耦合至無線網狀網絡100(並可被認為是其一部分)。具有用於無線網狀網絡100的路由能力的網狀路由器102(B)確定分組302要被發送到網狀路由器102(C)。因此，網狀路由器102(B)確定密鑰BC 218(B)被映射到網狀路由器「C」，並使用密鑰BC 218(B)來創建MAC-BC 302(BC)。MAC-BC 302(BC)被作為標籤加到分組302上，並發送到網狀路由器102(C)。網狀路由器102(C)使用其儲存的密鑰BC 218(C)來驗證分組302是從已知且可信的網狀路由器102(B)接收的。
由此，驗證是在逐段轉接(hop-by-hop)的基礎上執行的。也可在逐段轉接的基礎上執行通信信息內容的保密(如，通過加密)，使得每一通信由每一對相鄰的網狀路由器102的共享機密密鑰來加密。可選地，加密可在端對端的基礎上執行。例如，由於網狀路由器102(A)和102(C)建立了共享機密密鑰AC 216，則分組302的內容可使用密鑰AC 216來加密。因此，幹預諸如網狀路由器102(B)等網狀路由器102無法理解分組302的內容，因為它是用端對端加密在無線網狀網絡100中路由的。
圖4示出了對無線網狀網絡100的示例性鄰域建立。無線網狀網絡100最初可以任意速率不受控制地增長，至一較大的、實際上無邊界的尺寸。此外，沒有集中式的整體網絡管理員來確保網絡能繼續平滑地其作用。因此，授權網狀路由器102在任命或指定意見一致的鄰域管理員404的相對民主的基礎上建立準官方鄰域。
如圖4所示，網狀路由器102(A)也建立與網狀路由器102(D)的共享機密密鑰AC 402。密鑰AD 402(A)被映射到網狀路由器102(A)處的網狀路由器「D」，密鑰AD 402(D)被映射到網狀路由器102(D)處的網狀路由器「A」。每一網狀路由器-機密密鑰映射數據結構中包括的橢圓表示可能存在額外條目。這一額外的條目可被定向到圖4所示的其它網狀路由器102和圖4中未具體包括的其它網狀路由器102。
在描述的實現中，網狀路由器102(C)將其本身呈現或提供為無線網狀網絡100中用於若干網狀路由器102的鄰域管理員404。每一網狀路由器102具有一個人管理員(未示出)，如管理最初由生產實體提供並啟用的準許能力的界限(有希望地)之內的各自的網狀路由器102的功能的所有者。
網狀路由器102的每一個人管理員可選擇指定鄰域管理員。儘管未在圖4中示出，鄰域管理員可能不物理地位於所管理的鄰域中；例如，鄰域管理員實際上可以是網際網路服務。無論物理位置如何，鄰域管理員可被信任來管理對於管理決策的至少一個子集的局部鄰域。該管理決策子集包括違法網狀路由器102/證書202的排除，如後文具體參考圖5-7進一步描述的。局部鄰域的大小可由鄰域管理員的預定(但可改變)數量的中繼段來界定。
在圖4的示例中，網狀路由器102(C)是可用的鄰域管理員404。網狀路由器102(A)、102(B)、102(D)和102(E)的每一個分別在406A、406B、406D和406E處將網狀路由器「C」指定為鄰域管理員。因此，在鄰域管理員指定取消之前，網狀路由器102(A)、102(B)、102(D)和102(E)對管理決策的子集聽從網狀路由器102(C)。可任選地，每一相應的個別的個人管理員還可標識相應的網狀路由器102要向聽從的管理決策子集的所選擇的之一。
圖5示出了對於違法網狀路由器/證書的示例性排除機制的一個方面。網狀路由器102可以在規定的網絡行為的邊界之外惡意並故意地、不經意地並偶然地、其某一組合等行動。在任一情況下，參與所禁止的網絡行為的網狀路由器102可被認為是違法的。因此，與該違法的網狀路由器102相關聯的證書202也被認為是違法的。
在描述的實現中，違法行為包括但不限於(i)超出允許速率發送；(ii)試圖在給定時間周期內在網狀網絡上發送超出最大允許數量的分組；(iii)拒絕與有效網狀路由器通信；(iv)丟棄，包括不轉發合法分組；(v)發動對網絡的攻擊；(vi)其組合，等等。可任選地，本地鄰域和/或鄰域管理員可選擇性地確定被承認為違法的活動，尤其是來自生產實體所公布列表的那些活動。例如，違法網狀路由器可使用安全跟蹤路由、物理測量、通信流量監控、專用網狀管理工具(如，統計分析)、來自其它鄰域管理員的通知、其某一組合等等來發現。
在圖5所示的示例中，網狀路由器102(A)被發現為違法。因此，網狀路由器102(C)如502(C)處所示的排除證書202(A)。排除指示與網狀路由器「A」相關聯和/或被映射到網狀路由器「A」。排除指示可包括在儲存共享機密密鑰的同一數據結構或不同的數據結構中。
生產實體最初籤發證書202(A)以表明網狀路由器102(A)的有效性，並向其綁定其公私鑰。然而，證書202(A)的排除導致網狀路由器102(C)(i)為無線網狀網絡100目的考慮證書202(A)無效，以及(ii)拒絕從相關聯的網狀路由器102(A)路由通信量。
作為鄰域管理員404的網狀路由器102(C)具有向其鄰域中的網狀路由器102傳播排除確定的能力(如果不是責任的話)。網狀路由器102(C)向其鄰域中的網狀路由器102廣播排除消息504。排除消息-網狀路由器A 504包括網狀路由器202(A)和/或證書202(A)的標識符。該標識符包括，例如所有或部分證書202(A)的名字-A 210(A)(圖2)，等等。
如圖5所示，網狀路由器102(B)、102(D)和102(E)接收排除消息-網狀路由器A 504。可任選地，可向網狀路由器102(A)發送排除消息-網狀路由器A 504*以向網狀路由器102(A)及其個人管理員通知證書202(A)的排除以及網狀路由器102(A)的排除。排除消息-網狀路由器A 504可選地可適用某一帶外途徑發送到網狀路由器102和/或其個人管理員。這一途徑包括電子郵件、常規郵件、即時消息、電話呼叫等等。
圖6示出了對於違法的網狀路由器102(A)/證書202(A)的示例性排除機制的另一方面。如上文參考圖5所描述的，網狀路由器102(B)、102(D)和102(E)的每一個從網狀路由器102(C)接收排除消息-網狀路由器A 504。響應於接收排除消息-網狀路由器A 504，網狀路由器102(B)、102(D)和102(E)的每一個分別將排除指示與502(B)、502(D)和502(E)處的網狀路由器「A」和/或證書202(A)相關聯和/或將排除指示映射到網狀路由器「A」和/或證書202(A)。
如果在接收排除消息-網狀路由器A 504之前已建立了與網狀路由器102(A)的共享機密密鑰，則該共享機密密鑰將在未來被忽略。例如，在排除指示502(B)和502(D)上，密鑰AB 214(B)和密鑰AD 402(D)可被呈現為不相關的。可任選地，如果這些密鑰隨後不用於例如跟蹤目的，則密鑰AB 214(B)和密鑰AD 402(D)可被刪除。
如截斷無線鏈路108AB和108AD所表示的，網狀路由器102(A)被從網狀路由器102(C)為鄰域管理員404的鄰域中排除。例如，如果網狀路由器102(B)接收用MAC-AB 302(AB)加標籤的分組302，則網狀路由器102(B)拒絕進一步路由分組302(至另一網狀路由器102或終端設備104(B1))。
另一方面，如果在接收排除消息-網狀路由器A 504之前尚未建立與網狀路由器102(A)的共享機密密鑰，則該排除揭示可被映射到網狀路由器102(A)和/或證書202(A)的標識符(如果在消息中提供)。例如，該標識符可以是名字-A 210(A)(圖2)，或證書202(A)的全部或部分。如圖6所示，網狀路由器102(E)的數據結構的條目602(E)將網狀路由器「A」的標識符映射到排除指示502(E)。如果網狀路由器102(A)隨後試圖與網狀路由器102(E)通信並提供證書202(A)作為有效性和可信性的指示，則網狀路由器102(E)拒絕執行與網狀路由器102(A)的驗證/密鑰交換協議。
圖7所示是用於在無線網狀網絡中實現排除能力的示例性方法的流程圖700。流程圖700包括六個(6)塊702-712。儘管塊702-712的行動可在其它實現和環境中執行，然而圖2-6特別地用於闡明該方法的某些方面。例如，流程圖700被劃分成兩個部分網狀路由器「C」102(C)和網狀路由器「B」102(B)。如圖所示，網狀路由器「C」102(C)執行三個(3)塊702-706的行動，網狀路由器「B」102(B)執行三個(3)塊708-712的行動。
在塊702，建立鄰域管理員狀態。例如，網狀路由器「C」102(C)可提議為鄰域管理員404，並且至少一個其它網狀路由器102將網狀路由器「C」102(C)指定為鄰域管理員404。例如，有價值的資源106的所有者可提議其自己的網狀路由器102為鄰域管理員404。
在塊704，檢測違法網狀路由器。例如，可通過上文描述的機制的一個或多個檢測網狀路由器102(A)為違法的。在塊706，向鄰域網狀路由器通知違法的網狀路由器。例如，網狀路由器「C」102(C)可如通過在消息中包括證書202(A)來廣播標識網狀路由器202(A)的排除消息-網狀路由器A 504。排除消息-網狀路由器A504可通過無線網狀網絡100或通過某一帶外途徑發送。
對於網狀路由器「B」102(B)，由網狀路由器在塊708指定鄰域管理員。例如，網狀路由器「B」102(B)可將網狀路由器「C」102(C)指定為其被指定的鄰域管理員406B。實行該指定的通信交換向網狀路由器「C」102(C)通知網狀路由器「B」102(B)已加入其鄰域。結果，由網狀路由器「C」102(C)提供(如發送)的排除通知被定向到網狀路由器「B」102(B)。
在塊710，網狀路由器從指定的鄰域管理員接收違法網狀路由器的通知。例如，網狀路由器「B」102(B)可從網狀路由器「C」102(C)接收標識網狀路由器102(A)的證書202(A)的排除消息-網狀路由器A 504。排除消息-網狀路由器A 504可由網狀路由器「C」102(C)籤署，使得網狀路由器「B」102(b)可驗證排除通知始發於其指定的鄰域管理員404。
在塊712，網狀路由器基於與標識的違法網狀路由器相關聯的證書排除所標識的違法網狀路由器。例如，網狀路由器「B」102(B)可拒絕與網狀路由器102(A)通信，包括拒絕轉發或路由用證書202(A)或與其建立的機密密鑰所驗證的分組。
證書202(A)由網狀路由器102的生產實體向網狀路由器102(A)籤發。網狀路由器102(C)向網狀路由器102(B)通知證書202(A)的排除狀態。網狀路由器102(B)因此基於該通知排除證書202(A)。該排除影響網狀路由器102(A)或試圖將證書202(A)呈現為有效性和可信性的指示的任一網狀路由器102。由此，網狀路由器102(B)基於來自由網狀路由器102(B)指定具有該排除權限的非籤發實體，即網狀路由器102(C)的通知，有效地將證書202(A)處理為廢除和/或無效。
圖8示出了對於終端設備104(B1)的示例性識別機制的一個方面。終端設備104(B1)通過無線鏈路110(B1)與網狀路由器102(B)通信。示例性識別機制令終端設備104(B1)能夠由給定鄰域內的多個網狀路由器102特別地識別。例如，終端設備104(B1)附屬於作為網狀路由器102(C)的鄰域的成員的網狀路由器102(B)。當終端設備104(B1)移動到作為同一鄰域的一部分的另一網狀路由器102，如網狀路由器102(E)時，該其它網狀路由器102將終端設備104(B1)識別為特許的終端設備104。這一移動到網狀路由器102(E)並由其識別在後文參考圖9更詳細描述。
如圖8所示，網狀路由器102(E)被明確地示出為包括證書202(E)。證書202(E)包括名字-E 210(E)、籤名212(E)和公鑰204(E)。公鑰204(E)對應於網狀路由器102(E)的私鑰206(E)(未明確示出)。證書202在上文已參考圖2一般描述。終端設備104(B1)被示出為包括證書202(B1)和證書202(B)(的副本)。
在所描述的實現中，網狀路由器102(C)是對給定鄰域所建立的鄰域管理員404。網狀路由器102(C)的鄰域包括網狀路由器102(B)、網狀路由器102(E)、網狀路由器102(D)(如，圖1、4和5)、網狀路由器102(A)(如，如果未排除)以及未具體示出的可能的其它網狀路由器102。網狀路由器102(C)的鄰域的網狀路由器102在406指定網狀路由器「C」為它們的鄰域管理員。
形成鄰域是能夠實現上文描述的排除能力的一種方法。鄰域形成也能夠在給定鄰域的網狀路由器102之間和之中實現另一種協作。例如，可由網狀路由器102向附屬於同一鄰域的其它網狀路由器102的終端設備104給予特許訪問。
在描述的實現中，終端設備104被授予不同特許/優先級別上對無線網狀網絡100(如圖1)的訪問。例如，可向終端設備104授予標準訪問權限或優選訪問權限。默認訪問情形令任一終端設備104能夠以標準訪問級別訪問無線網狀網絡100。提升的訪問情形令附屬於給定鄰域的特定網狀路由器102的終端設備104能夠以優選訪問級別訪問給定鄰域的任一網狀路由器102。至少部分地使用網狀路由器層的PKI提供終端設備104附屬於給定鄰域的特定網狀路由器102的證明。
終端設備104(B1)附屬於網狀路由器102(B)。例如，網狀路由器102(B)的個人管理員可知道或實際上就是終端設備104(B1)的所有者。因此，個人管理員可希望向終端設備104(B1)授予至少通過網狀路由器102(B)對無線網狀網絡100的優選訪問權限。為向終端設備104(B1)提供這一附屬的證明，網狀路由器102(B)向終端設備104(B1)籤發由證書202(B)籤署的證書202(B1)。
換言之，向終端設備104(B1)籤發由證書202(B)籤署的證書202(B1)，並將其與證書202(B1)相關聯。因此，證書202(B1)的名字標識終端設備104(B1)。證書202(B1)的公鑰對應於私鑰，所得的公鑰-私鑰對與終端設備104(B1)相關聯。證書202(B1)的籤名由私鑰操作使用網狀路由器102(B)的私鑰206(B)(圖2)生成。終端設備104(B1)可使用證書202(B1)以及證書202(B)來向網狀路由器102(B)證明它附屬於網狀路由器102(B)。
向終端設備104籤發的證書，如證書202(B1)可用到期日來籤發，因為它們不如由生產實體向網狀路由器102，如網狀路由器102(B)籤發的證書安全。網狀路由器102(B)也可向終端設備104(B1)委託證書籤發權限。終端設備104(B1)隨後可向其它終端設備104籤發額外的證書202，以創建證書鏈。證書鏈可用於證明終端設備104的附屬，並保護來自非附屬網狀路由器102的識別。
如果給定網狀路由器102個人管理員認識到由其給定的網狀路由器102籤發的特定終端設備證書202是可疑的(如，由於關聯的終端設備104被洩密)，則個人管理員或其給定的網狀路由器102請求排除該可疑的終端設備證書202。該請求對鄰域管理員404作出，鄰域管理員404然後可廣播標識該可疑終端設備證書202的排除通知消息。
終端設備104(B1)可使用證書202(B1)以及證書202(B)來證明它也被授予對網狀路由器102(C)的鄰域中的非附屬網狀路由器102的優選訪問權限。例如，如果網狀路由器102(B)是非功能性的，和/或如果終端設備104(B1)移動出網狀路由器102(B)的範圍，則可出現這一情況。例如，終端設備104(B1)可移動到網狀路由器102(E)的範圍之內。
圖9示出了對於終端設備104(B1)的示例性識別機制的另一方面。與圖8相比，終端設備104(B1)移動到網狀路由器102(E)的範圍之內。終端設備104(B1)通過無線鏈路110(E/B1)與網狀路由器102(E)通信。示例性識別機制令終端設備104(B1)能夠由作為網狀路由器102(C)的鄰域的一部分的網狀路由器102(E)特別地識別。
網狀路由器102(E)包括列出或枚舉作為鄰域成員的網狀路由器102的數據結構902。在本示例中，枚舉的鄰域成員是在406B、406E等處將網狀路由器102(C)指定為其鄰域管理員的那些網狀路由器102。數據結構902列出網狀路由器「B」[102(B)]；網狀路由器「C」[102(C)]，它可被標識為鄰域管理員(NA)；網狀路由器「D」[102(D)]；等等。
數據結構902可以是其它數據結構的一部分和/或包括其它數據結構，如儲存共享機密密鑰的那些數據結構、儲存排除指示的那些數據結構等等。儘管未在圖9中示出，作為網狀路由器102(C)的鄰域的成員的每一網狀路由器102(如網狀路由器102(B))也包括類似於數據結構902的數據結構。
在操作中，終端設備104(B1)和網狀路由器102(E)建立其之間的無線鏈路110(E/B1)。終端設備104(B1)向網狀路由器102(E)提供證書202(B)和證書202(B1)。基於證書202(B)，網狀路由器102(E)訪問數據結構902以確認命名的網狀路由器-網狀路由器102(B)-是否為網狀路由器102(E)所屬的網狀路由器102(C)的鄰域的成員。如果數據結構902包括被排除的網狀路由器102，則網狀路由器102(E)也檢查以確保網狀路由器102(B)未被排除。
由於網狀路由器102(B)是網狀路由器102(C)的鄰域的成員，並由此在鄰域成員數據結構902中列出，則網狀路由器102(E)分析證書202(B)。如果網狀路由器102(E)和網狀路由器102(B)先前已執行了證書/密鑰建立過程，並且如果網狀路由器102(E)儲存了證書202(B)的副本，則網狀路由器102(E)可僅將儲存的證書202(B)的副本與由終端設備104(B1)提供的證書202(B)的副本相比較，以確保證書202(B)的合法性。如果不是，則網狀路由器102(E)使用其儲存的根鑰208(E)(未明確示出)在證書202(B)上執行籤名核實過程，以確認證書202(B)。
在網狀路由器102(E)確認網狀路由器102(B)是同一鄰域的成員，且呈現的證書202(B)合法/有效之後，網狀路由器102(E)分析證書202(B1)。分析證書202(B1)以確保證書202(B1)由與證書202(B)相關聯的網狀路由器102(B)籤發。由此，網狀路由器102(E)使用證書202(B)的公鑰204(B)在證書202(B1)的籤名上執行籤名核實過程，以核實證書202(B1)的籤名由鄰域成員網狀路由器102(B)的對應的私鑰206(B)籤署。
如果該籤名核實過程成功，則網狀路由器102(E)確定證書202(B1)有效，且終端設備104(B1)附屬於作為網狀路由器102(C)的鄰域的鄰域成員的網狀路由器102(B)。因此，網狀路由器102(E)向終端設備104(B1)授予優選訪問權限而非標準訪問權限。網狀路由器102(E)和終端設備104(B1)也可執行密鑰建立過程以建立共享的機密密鑰，用於兩個節點之間的驗證/加密通信。
特許狀態涉及諸如被授予優選訪問權限而非僅標準訪問權限的服務級別。優選訪問和標準訪問分別可包括較快的數據率以及較慢的數據率、有保證的吞吐量和最佳成果吞吐量、發送/接收的較高優先級和發送/接收的較低優先級、其某一組合等等。服務級別也可包括兩個以上不同的服務/狀態級別。
應當注意，傳遞的信息量的優選訪問和標準訪問(或更多的不同服務級別)可貫穿無線網狀網絡100通過對通信量加標籤來兌現。例如，路由器102可按其個別確定的類別(如，「標準訪問速率」或「優選訪問速率」)對其發送的分組加標籤。結果，可貫穿無線網狀網絡100考慮分組中的差異，而非僅在終端設備104將分組引入到無線網狀網絡100且作出分類確定的路由器102上考慮。
因此，該示例性識別機制令附屬於特定網狀路由器102(B)的終端設備104(B1)能夠由作為由網狀路由器102(C)管理的同一鄰域的成員的其它網狀路由器102特別地識別。結果，第一層的對等體(如，網狀路由器102)可分層次地向可由第一層的其它對等體識別的第二不同層(如，向終端設備104)籤發證書202。
圖10所示是用於在無線網狀網絡中實現終端設備識別的示例性方法的流程圖1000。流程圖1000包括十個(10)塊1002-1020。儘管塊1002-1020的行動可在其它實現和環境中執行，然而圖2、8和9用於特別地闡明本方法的某些方面。例如，流程圖1000被劃分成三個部分網狀路由器「B」102(B)、網狀路由器「B」的終端設備104(B1)和網狀路由器「E」102(E)。如圖所示，網狀路由器「B」102(B)執行塊1002的行動，網狀路由器「B」的終端設備104(B1)執行五個(5)塊1004-1012的行動，網狀路由器「E」102(E)執行四個(4)塊1014-1020的行動。
在塊1004，終端設備與所附屬的網狀路由器連接。例如，終端設備104(B1)可通過無線鏈路110(B1)與網狀路由器102(B)連接。如果網狀路由器102(B)的個人管理員知道或信任終端設備104(B1)的所有者/操作者，則終端設備104(B1)可附屬於網狀路由器102(B)。
在塊1002，所附屬的網狀路由器向終端設備籤發終端設備證書，它由所附屬的網狀路由器的網狀路由器證書籤署。例如，網狀路由器102(B)可使用其關聯的證書202(B)來籤署向終端設備104(B1)籤發的證書202(B1)。兩個證書-證書202(B)和202(B1)都可通過無線鏈路110(B1)從網狀路由器102(B)提供給終端設備104(B1)。
在塊1006，終端設備證書和網狀路由器證書由終端設備儲存。例如，證書202(B1)和證書202(B)可由終端設備104(B1)儲存。在塊1008，終端設備移動到一新位置。例如，在從網狀路由器102(B)斷開之後，終端設備104(B1)可從網狀路由器102(B)的範圍內移動到網狀路由器102(E)的範圍內。如星號(*)所示的，這是可任選的行動，因為終端設備104(B1)可從單個位置同時位於網狀路由器102(B)和102(E)的範圍之內，並能夠無線地與它們通信。
在塊1010，終端設備與鄰域(但非附屬)網狀路由器連接。例如，終端設備104(B1)可通過無線鏈路110(E/B1)與網狀路由器102(E)連接。網狀路由器102(E)是與終端設備104(B1)所附屬的網狀路由器102(B)的同一鄰域的成員。換言之，網狀路由器102(B)和網狀路由器102(E)指定了網狀路由器102(C)中的同一鄰域管理員404。
在塊1012，終端設備提供終端設備證書以及用於向非附屬鄰域網狀路由器籤署終端設備證書的網狀路由器證書。例如，終端設備104(B1)可向網狀路由器102(E)提供證書202(B1)和證書202(B)。可選地，如果網狀路由器102(E)儲存了其鄰域中每一網狀路由器102的關聯的證書202的副本，則終端設備104(B1)可僅向網狀路由器102(E)發送證書202(B1)和網狀路由器102(B)的標識符，該標識符可包括在證書202(B1)中。
在塊1014，鄰域網狀路由器確認與網狀路由器證書相關聯的網狀路由器是否為鄰域成員。例如，網狀路由器102(E)可訪問鄰域成員數據結構902以確定是否存在定向到/包括網狀路由器102(B)的實體。如果沒有，則在塊1020，鄰域網狀路由器授予終端設備標準訪問權限。例如，網狀路由器102(E)可向終端設備104(B1)授予標準訪問權限。
另一方面，如果鄰域網狀路由器確實確認了與網狀路由器證書相關聯的網狀路由器為鄰域成員(在塊1014)，則方法繼續到塊1016。在塊1016，鄰域網狀路由器確定終端設備是否有效。例如，網狀路由器102(E)可能結合對證書202(B)的分析來分析證書202(B1)，以確定證書202(B1)是否由合法網狀路由器102(B)的私鑰206(B)籤發。該分析可涉及證書202(B1)的籤名上的籤名核實過程的至少一個公鑰204(B)操作。
如果未確定終端設備證書有效(在塊1016)，則在塊1020由鄰域網狀路由器向終端設備授予標準訪問權限。另一方面，如果鄰域網狀路由器確實確定終端設備證書有效(在塊1016)，則方法繼續到塊1018。在塊1018，鄰域網狀路由器向終端設備授予優選訪問權限。例如，網狀路由器102(E)可向終端設備104(B1)授予優選訪問權限。由此，該示例性方法實現了無線網狀網絡中的終端設備識別，使得終端設備可從作為該終端設備所附屬的網狀路由器的同一鄰域的成員的非附屬網狀路由器接收特許的訪問。
圖11示出了對於參與鄰域間移動的終端設備104(B1)的另一示例性識別機制。終端設備104(B1)可從具有所附屬的網狀路由器102(B)作為其成員的第一鄰域移動到第二鄰域。採用圖11所示的這一其它示例性識別機制，終端設備104(B1)可由作為第二鄰域的成員的網狀路由器102特別地識別。
如圖所示，在404C指示網狀路由器「C」102(C)為第一鄰域的鄰域管理員。網狀路由器102(B)是網狀路由器102(C)的第一鄰域的成員。在404G指示網狀路由器「G」102(G)為另一第二領域的領域管理員。網狀路由器102(F)是網狀路由器102(G)的第二鄰域的成員。網狀路由器102(F)在406F指定網狀路由器「G」為鄰域管理員。網狀路由器102(F)與證書202(F)相關聯，網狀路由器102(G)與證書202(G)相關聯。
在所描述的實現中，網狀路由器102(C)和102(G)各自的鄰域管理員404C和404G同意互易識別1102。換言之，網狀路由器102(C)和網狀路由器102(G)的每一個同意特別地識別附屬於彼此的成員網狀路由器102的終端設備104。可選地，識別協定可以是單邊的而非互易或雙邊的。
網狀路由器102(G)通過無線鏈路108FG與網狀路由器102(F)通信。通過無線鏈路108FG，網狀路由器102(G)向網狀路由器102(F)發送可信網狀路由器「C」消息1104。換言之，網狀路由器102(G)表明網狀路由器102(C)操作較好和/或可信的鄰域。網狀路由器102(G)也指令網狀路由器102(F)特別地識別附屬於網狀路由器102(C)的鄰域的網狀路由器102的終端設備104，以履行作為網狀路由器102(G)的鄰域中正確的網狀路由器102的義務。
網狀路由器102(F)包括列出或枚舉將被信任的鄰域管理員的數據結構1106。響應於可信網狀路由器「C」消息1104，網狀路由器102(F)添加包括/標識網狀路由器「C」[102(C)]的條目。數據結構1106也可包括由橢圓指示的額外條目。此外，可信鄰域管理員數據結構1106也可與其它數據結構相組合，包括本發明中另外描述的數據結構。儘管未在圖11中示出，網狀路由器102(B)也包括當識別協定1102互易時枚舉網狀路由器「G」[102(G)]的類似的可信鄰域管理員數據結構1106。
在描述的實現中，在時刻T＝X，終端設備104(B1)通過無線鏈路110(B1)與網狀路由器102(B)通信。終端設備104(B1)與由證書202(B)籤署的證書202(B1)相關聯並包括該證書，它也由終端設備104(B1)儲存。網狀路由器102(B)也向終端設備104(B1)提供由證書202(C)籤署的成員資格證書202(CB)。成員資格證書202(CB)和證書202(C)從網狀路由器102(C)提供到網狀路由器102(B)。
數字證書也可用於證明實體具有特定屬性。表示實體具有某一屬性的證書被稱為屬性證書。當屬性是成員資格時，屬性證書可用術語成員資格證書來稱呼。成員資格證書202(CB)表示網狀路由器102(B)是網狀路由器102(C)的鄰域的成員。成員資格證書202(CB)由作為鄰域管理員404C的網狀路由器102(C)用證書202(C)來籤署。
在時刻T＝X+1，終端設備104(B1)從網狀路由器102(C)的鄰域的網狀路由器102(B)的範圍之內移動到網狀路由器102(G)的鄰域的網狀路由器102(F)的範圍之內。網狀路由器102(F)和終端設備104(B1)通過無線鏈路110(F/B1)建立連接。通過無線鏈路110(F/B1)，終端設備104(B1)向網狀路由器102(F)發送證書202(B1)、證書202(B)、成員資格證書202(CB)和證書202(C)。在替換的實現中，成員資格證書202(CB)和/或證書202(C)可從網狀路由器102(G)提供到網狀路由器102(F)。
網狀路由器102(F)使用證書202(B1)和證書202(B)通過籤名核實過程來確保終端設備104(B1)是實際上附屬於網狀路由器102(B)的有效網狀路由器102。網狀路由器102(F)使用成員資格證書202(CB)和證書202(C)來確保網狀路由器102(B)實際上是網狀路由器102(C)的鄰域的成員。
在訪問可信鄰域管理員數據結構1106並定位了包括/定向到網狀路由器「C」[102(C)]的條目之後，網狀路由器102(F)確定附屬於作為網狀路由器102(C)的鄰域的成員的網狀路由器102的終端設備104將被授予專門的識別。因此，網狀路由器102(F)向終端設備104(B1)A授予特殊識別。例如，終端設備104(B1)可被授予優選的訪問狀態。
參考圖8-10，應當注意，屬性證書202也可用於鄰域內移動實現來替代鄰域成員數據結構902方法。例如，在圖9的移動的這一實現中，終端設備104(B1)除證書202(B1)和證書202(B)之外向網狀路由器102(E)發送成員資格屬性證書202(CB)(並可能發送證書202(C))。網狀路由器102(E)然後分析證書202來替代訪問(或儲存)數據結構902。
圖1-11的路由器、設備、行動、方面、特徵、組件等在被劃分成多個塊的圖中示出。然而，描述和/或示出圖1-11的順序、互連、相互關係、布局等並不意味著被解釋為局限，任意數量的塊可以實現用於網狀網絡實現的一個或多個系統、方法、設備、過程、媒體、應用編程接口(API)、裝置、排列等的方式被修改、組合、重排列、增加、省略等等。此外，儘管本發明的描述包括對具體實現(以及下文圖12的示例性操作環境)的參考，然而所示出和/或所描述的實現可以任一合適的硬體、軟體、固件或其組合，並使用任一合適的設備、體系結構、編碼範例、通信途徑、無線空中接口模式等來實現。
圖12示出了能夠(完全或部分地)實現用於本發明所描述的網狀網絡實現的至少一個系統、路由器、設備、裝置、組件、排列、協議、途徑、方法、過程、媒體、API、其某一組合等的示例性計算(或通用設備)操作環境1200。操作環境1200可在下文描述的計算機和網絡體系結構中使用。
示例性操作環境1200僅為環境的一個示例，並非暗示對適用的設備(包括計算機、諸如路由器或終端設備等網絡節點、娛樂設備、行動裝置、一般電子設備等)體系結構的使用範圍或功能的局限。也不應將操作環境1200(或其設備)解釋為對圖12所示的任一組件或其組合具有依賴或需求。
另外，網狀網絡實現可用眾多其它通用或專用裝置(包括計算或無線系統)環境或配置來實現。適合適用的眾所周知的裝置、系統、環境和/或配置的示例包括但不限於，個人計算機、伺服器計算機、薄客戶機、厚客戶機、個人數字助理(PDA)或行動電話、手錶、手持式或膝上設備、多處理器系統、基於微處理器的系統、機頂盒、可編程消費者電子產品、視頻遊戲機、遊戲控制臺、可攜式或手持式遊戲單元、網絡PC、小型機、大型機、有線或無線網絡節點(包括通用或專用路由器)、包括上述系統或設備的任一個的分布式或多處理計算環境、其某一組合等等。
對網狀網絡的實現可在處理器可執行指令的一般上下文中描述。一般而言，處理器可執行指令包括例程、程序、模塊、協議、對象、接口、組件、數據結構等，它們執行和/或啟用特定的任務和/或實現特定的抽象數據類型。本發明的某些實施例中所描述的網狀網絡實現也可在分布式處理環境中實現，其中，任務由通過通信鏈路和/或網絡連接的遠程連結處理設備執行。尤其但非窮盡地在分布式計算環境中，處理器可執行指令可位於單獨的存儲媒質上、由不同的處理器執行、和/或通過傳輸媒質傳播。
示例性操作環境1200包括計算機1202形式的通用計算裝置，它可包括具有計算/處理能力的任一(如，電子)設備。計算機1202的組件可包括但不限於，一個或多個處理器或處理單元1204、系統存儲器1206以及將包括處理器1204的各種系統組件耦合至系統存儲器1206的系統總線1208。
處理器1204不受形成它們的材料或本發明所採用的處理機制的限制。例如，處理器1204可包括半導體和/或電晶體(如，電子集成電路(IC))。在這一上下文中，處理器可執行指令可以是電可執行指令。可選地，處理器1204以及計算機1202的機制可包括但不限於，量子計算、光學計算、機械計算(如，使用納米技術)等等。
系統總線1208表示眾多類型的有線或無線總線結構的任一種的一個或多個，包括存儲器總線或存儲器控制器、點對點連結、交換光纖、外圍設備總線、加速圖形埠以及使用各種總線體系結構的任一種的處理器或局部總線。作為示例，這類體系機構可包括工業標準體系結構(ISA)總線、微通道體系結構(MCA)總線、增強ISA(EISA)總線、視頻電子技術標準協會(VESA)局部總線、外圍部件互連(PCI)總線(也稱為Mezzanine總線)、其某一組合等等。
計算機1202通常包括各種處理器可訪問媒質。這類媒質可以是可由計算機1202或另一(如，電子)設備訪問的任一可用媒質，並包括易失和非易失媒質、可移動和不可移動媒質、以及存儲和傳輸媒質。
系統存儲器1206包括易失存儲器(如，隨機存取存儲器(RAM)1240)和/或非易失存儲器(如，只讀存儲器(ROM)1212)形式的處理器可訪問存儲媒質。基本輸入/輸出系統(BIOS)1214包含如在啟動時幫助在計算機1202內的元件之間傳輸信息的基本例程，通常儲存在ROM 1212中。RAM 1210通常包含處理單元1204立即可訪問或者當前正在操作的數據和/或程序模塊。
計算機1202也可包括其它可移動/不可移動和/或易失/非易失存儲媒質。作為示例，圖12示出了用於(通常)對不可移動、非易失磁媒質(未單獨示出)進行讀寫的硬碟驅動器或盤驅動器陣列1216；(通常)用於對可移動、非易失磁碟1220(如，「軟盤」)進行讀寫的磁碟驅動器1218；以及(通常)用於對諸如CD、DVD或其它光媒質等可移動、非易失光碟1224進行讀寫的光碟驅動器1222。硬碟驅動器1216、磁碟驅動器1218和光碟驅動器1222的每一個都通過一個或多個存儲媒質接口1226連接到系統總線1208。可選地，硬碟驅動器1216、磁碟驅動器1218和光碟驅動器1222可通過一個或多個其它單獨或組合的接口(未示出)連接到系統總線1208。
盤驅動器及其關聯的處理器可訪問媒質為計算機1202提供了諸如數據結構、程序模塊和其它數據等處理器可執行指令的非易失存儲。儘管示例性計算機1202示出了硬碟1216、可移動磁碟1220和可移動光碟1224，可以理解，其它類型的處理器可訪問媒質可儲存可由設備訪問的指令，如磁帶盒或其它磁存儲設備、快閃記憶體卡、光碟(CD)、數字多功能盤(DVD)或其它光存儲、RAM、ROM、電可擦除可編程只讀存儲器(EEPROM)等等。這類媒質也可包括所謂的專用或硬布線IC晶片。換言之，任一處理器可訪問媒質可用於實現示例性操作環境1200的存儲媒質。
任意數量的程序模塊(或其它單元或指令/代碼集)可儲存在硬碟1216、磁碟1220、光碟1224、ROM 1212和/或RAM 1240中，作為一般的示例包括作業系統1228、一個或多個應用程式230、其它程序模塊1232和程序數據1234。這類指令可包括用於加入並參與用於實現將PKI擴展到終端設備層、映射數據結構等排除機制、模塊的無線網狀網絡、模塊的模塊。
用戶可通過輸入設備，如鍵盤1236和定位設備1238(如，「滑鼠」)向計算機1202輸入命令和/或信息。其它輸入設備1240(未具體示出)可包括麥克風、操縱杆、遊戲墊、圓盤式衛星天線、串行埠、掃描儀和/或其類似物。這些和其它輸入設備通過耦合至系統總線1208的輸入/輸出接口1242連接到處理單元1204。然而，輸入設備和/或輸出設備可替代地通過其它接口和總線結構連接，如並行埠、遊戲埠、通用串行總線(USB)埠、紅外埠、IEEE 1394(「火線」)接口、IEEE 802.11或其它通用無線接口、Bluetooth(藍牙)接口等等。
監視器/視圖屏幕1244或其它類型的顯示設備也通過接口，如視頻適配器1246連接到系統總線1208。視頻適配器1246(或另一組件)可以是或可包括用於處理圖形密集型計算和用於處理高要求的顯示需求的圖形卡。通常，圖形卡包括圖形處理單元(GPU)、視頻RAM(VRAM)等，以方便圖形的快速顯示和圖形操作的執行。除監視器1244之外，其它數據外圍設備可包括諸如揚聲器(未示出)和印表機1248等組件，可通過輸入/輸出接口1242連接到計算機1202。
計算機1202可以在使用到一個或多個遠程計算機，如遠程計算裝置1250的邏輯連接的網絡化環境中操作。作為示例，遠程計算裝置1250可以是個人計算機、可攜式計算機(如，膝上計算機、圖形輸入板計算機、PDA、移動站等等)、掌上或袖珍計算機、手錶、遊戲設備、伺服器、路由器、網絡計算機、對等設備、另一網絡節點、或上文列出的另一設備類型等等。然而，示出遠程計算裝置1250為可攜式計算機，它可包括本發明參考計算機1202所描述的許多或所有元件和特徵。
計算機1202和遠程計算機1250之間的邏輯連接被描述為區域網(LAN)1252和一般廣域網(WAN)1254。這類網絡環境常見於辦公室、企業範圍計算機網絡、內聯網、網際網路、固定和行動電話網絡、特別(ad-hoc)和基礎結構無線網絡、其它無線網絡、遊戲網絡、其某一組合等等。這類網絡和通信連接是傳輸媒質的示例。
當在LAN網絡環境中實現時，計算機1202通常通過網絡接口或適配器1256連接到LAN 1252。當在WAN網絡環境中實現時，計算機1202通常包括數據機1208或其它組件，用於通過WAN 1254建立通信。數據機1258可以對計算機1202是內置或外置的，可通過輸入/輸出接口1242或任一其它合適的機制連接到系統總線1208。可以理解，所示的網絡連接是示例性的，也可採用用於在計算機1202和1250之間建立通信鏈路，包括無線鏈路的其它方式。
在諸如用作業系統1200所示出的網絡化環境中，相對計算機1202所描述的程序模塊或其它指令或其部分可完全或部分地儲存在遠程媒質存儲設備中。作為示例，遠程應用程式1260駐留在遠程計算機1250的存儲器組件中，但也可通過計算機1202使用或訪問。同樣，為說明目的，應用程式1230和其它處理器可執行指令，如作業系統1228被示出為離散的塊，但是可以認識到，這類程序、組件和其它指令在不同的時刻駐留在計算裝置1202(和/或遠程計算裝置1250)的不同存儲組件中，並由計算機1202的處理器1204(和/或遠程計算裝置1250的處理器)執行。
儘管以對結構、邏輯、算法和功能特徵和/或圖表專用的語言描述了系統、媒體、路由器、設備、方法、過程、裝置、技術、API、模式、途徑、程序、排列和其它實現，應當理解，所附權利要求書中所定義的本發明不必要限於所描述的具體特徵或圖表。相反，揭示了具體特徵和圖表作為實現本發明的示例性形式。
權利要求
1.一種路由器，其特徵在於，它包括至少一個處理器；以及包括能夠由所述至少一個處理器執行的處理器可執行指令的一個或多個媒質，所述處理器可執行指令適用於指導所述路由器執行以下行動從一終端設備接收至少一個證書，所述至少一個證書由另一路由器籤發；確認所述其它路由器是否為預定鄰域的成員；確定所述至少一個證書是否有效；以及如果所述其它路由器被確認為所述預定鄰域的成員，且所述至少一個證書被確定為有效，則識別所述終端設備為具有特許狀態；所述特許狀態涉及服務級別。
2.如權利要求1所述的路由器，其特徵在於，所述路由器還包括一能夠與終端設備和/或其它路由器進行無線通信的無線收發器。
3.如權利要求1所述的路由器，其特徵在於，所述接收行動包括從所述終端設備接收至少一個證書以及一所述其它路由器的標識。
4.如權利要求1所述的路由器，其特徵在於，所述接收動作包括從所述終端設備接收所述至少一個證書以及另一證書；其中，所述其它證書與所述其它路由器相關聯，並且對應於所述其它證書的公鑰的私鑰用於籤署所述至少一個證書。
5.如權利要求1所述的路由器，其特徵在於，所述接收行動包括從所述終端設備接收(i)所述至少一個證書；(ii)與所述其它路由器相關聯且籤署所述至少一個證書的另一證書；(iii)一指示所述其它路由器是所述預定鄰域的成員的成員資格證書；以及(iv)一所述預定鄰域的鄰域管理員證書，其中，所述鄰域管理員證書籤署所述成員資格證書。
6.如權利要求1所述的路由器，其特徵在於，所述一個或多個媒質還包括一數據結構，它枚舉作為所述路由器也是其成員的鄰域的成員的多個路由器；並且其中，所述確認動作包括訪問所述數據結構；以及核查所述其它路由器是否在所述數據結構中枚舉。
7.如權利要求6所述的路由器，其特徵在於，所述數據結構還將與所述路由器建立的各自的共享機密密鑰映射到所述多個路由器的至少一部分的相應的路由器。
8.如權利要求1所述的路由器，其特徵在於，所述確認行動包括確認所述其它路由器是否為所述預定鄰域的成員，其中，所述預定鄰域由所述路由器也是其成員的鄰域組成。
9.如權利要求1所述的路由器，其特徵在於，所述確認行動包括確認所述其它路由器是否為所述預定鄰域的成員，其中，所述預定鄰域包括具有由所述路由器也是其成員的鄰域的鄰域管理員信任的鄰域管理員的鄰域。
10.如權利要求1所述的路由器，其特徵在於，所述確定行動包括在所述至少一個證書的籤名上執行籤名核實過程。
11.如權利要求1所述的路由器，其特徵在於，所述確定行動包括使用來自與所述其它路由器相關聯的另一證書的公鑰在所述至少一個證書上執行公鑰操作。
12.如權利要求1所述的路由器，其特徵在於，所述識別行動包括識別所述終端設備為附屬於所述其它路由器，其中，所述其它路由器是鄰域成員。
13.如權利要求1所述的路由器，其特徵在於，所述識別行動包括識別所述終端設備為附屬於所述其它路由器，其中，所述其它路由器是具有與所述路由器對其為成員的鄰域的互易識別的鄰域的成員。
14.如權利要求1所述的路由器，其特徵在於，所述識別行動包括向所述終端設備授予對無線網狀網絡的優選訪問權限。
15.如權利要求1所述的路由器，其特徵在於，所述處理器可執行指令適用於促使所述路由器還執行以下行動如果所述其它路由器不被確認為所述預定鄰域的成員，或所述至少一個證書不被確定為有效，則向所述終端設備授予對無線網狀網絡的標準訪問權限。
16.如權利要求1所述的路由器，其特徵在於，所述處理器可執行指令適用於促使所述路由器還執行以下行動向一不同的終端設備籤發一不同的證書，所述不同的證書能夠由所述其它路由器識別；其中，所述路由器和所述其它路由器是無線網狀網絡內的對等體。
17.一種啟用終端設備識別的裝置，其特徵在於，所述裝置包括用於從一終端設備接收至少一個證書的接收器裝置，其中，所述至少一個證書由所述終端設備所附屬的路由器向所述終端設備籤發；用於確認所述路由器是否為預定鄰域的成員的確認裝置；用於確定所述至少一個證書是否有效的確定裝置；以及用於響應於所述確認裝置和所述確定裝置識別所述終端設備為具有特許狀態的識別裝置。
18.如權利要求17所述的裝置，其特徵在於，如果所述確認裝置確認所述路由器是所述預定鄰域的成員，且如果所述確定裝置確定所述至少一個證書有效，則所述識別裝置適用於識別所述終端設備為具有所述特許狀態。
19.如權利要求17所述的裝置，其特徵在於，所述識別裝置包括用於響應於所述確認裝置和所述確定裝置向所述終端設備授予優選訪問權限的裝置。
20.如權利要求17所述的裝置，其特徵在於，所述確認裝置包括用於儲存鄰域成員的數據結構裝置；以及用於檢查所述路由器是否在所述數據結構裝置中枚舉的訪問裝置。
21.如權利要求17所述的裝置，其特徵在於，所述確認裝置包括用於儲存可信鄰域管理員的數據結構裝置；以及用於檢查由一成員資格證書所指示的所述路由器的鄰域管理員是否在所述數據結構裝置中枚舉的訪問裝置。
22.如權利要求17所述的裝置，其特徵在於，所述確定裝置包括用於在所述至少一個證書的籤名上執行籤名核實過程的核實裝置。
23.如權利要求17所述的裝置，其特徵在於，所述確定裝置包括用於使用來自與所述終端設備所附屬的所述路由器相關聯的另一證書的公鑰在所述至少一個證書上執行公鑰操作的操作裝置。
24.如權利要求17所述的裝置，其特徵在於，所述裝置包括(i)一網狀路由器以及(ii)一個或多個處理器可訪問媒質的至少一個。
25.一種網狀路由器，其特徵在於，它被配置成執行以下行動通過無線鏈路與一終端設備建立連接；從所述終端設備接收至少一個證書，所述至少一個證書具有一籤名；在所述至少一個證書的籤名上執行籤名核實過程；如果所述籤名核實過程成功，則向所述終端設備授予優選訪問權限；以及如果所述籤名核實過程失敗，則向所述終端設備授予標準訪問權限。
26.如權利要求25所述的網狀路由器，其特徵在於，所述網狀路由器被配置成還執行以下行動接收向所述終端設備籤發所述至少一個證書的另一網狀路由器的標識符；以及對於所述標識符，確認籤發所述至少一個證書的所述其它網狀路由器是否為所述網狀路由器也是其成員的鄰域的成員。
27.如權利要求25所述的網狀路由器，其特徵在於，所述接收行動包括接收所述至少一個證書和另一證書；其中，所述至少一個證書與所述終端設備相關聯，所述其它證書與另一網狀路由器相關聯。
28.如權利要求25所述的網狀路由器，其特徵在於，所述接收行動包括從所述終端設備接收至少一個證書；其中，所述至少一個證書與所述終端設備相關聯，並且所述籤名是使用與另一網狀路由器相關聯的私鑰的私鑰操作的結果。
29.一種能夠與其它網狀路由器建立無線網狀網絡的網狀路由器，其特徵在於，所述網狀路由器還能夠指定一鄰域管理員網狀路由器；當一特定網狀路由器是所指定的鄰域管理員網狀路由器的鄰域的成員時，所述網狀路由器適用於向一與由所述特定網狀路由器籤發的特定證書相關聯的特定終端設備授予特許狀態。
30.如權利要求29所述的網狀路由器，其特徵在於，與所述特定終端設備相關聯的所述特定證書包括(i)所述特定終端設備的名字、(ii)與所述特定終端設備相關聯的公鑰—私鑰對的公鑰、以及(iii)由與所述特定網狀路由器相關聯的公鑰—私鑰對的私鑰籤署的籤名。
31.如權利要求29所述的網狀路由器，其特徵在於，所述網狀路由器還適用於向關於所述網狀路由器形成節點的無線網狀網絡的所述特定終端授予優選訪問權限。
32.如權利要求29所述的網狀路由器，其特徵在於，所述網狀路由器還適用於識別由對等於所述網狀路由器以及預定鄰域的成員的所述其它網狀路由器向終端設備分層次地籤發的證書。
33.如權利要求32所述的網狀路由器，其特徵在於，所述預定鄰域包括以下的至少一個(i)所指定的鄰域管理員網狀路由器的鄰域，以及(ii)具有一可信鄰域管理員網狀路由器的鄰域。
34.如權利要求29所述的網狀路由器，其特徵在於，所述網狀路由器還適用於當一給定網狀路由器是具有可信鄰域管理員網狀路由器的鄰域的成員時，向一與由所述給定的網狀路由器籤發的給定證書相關聯的給定終端設備授予特許狀態。
35.一種啟用終端設備識別的方法，其特徵在於，所述方法包括從一終端設備接收至少一個證書，所述至少一個證書由一特定路由器籤發；確認所述特定路由器是否為預定鄰域的成員；如果所述特定路由器不是所述預定鄰域的成員，則向所述終端設備授予標準訪問權限；如果所述特定路由器是所述預定鄰域的成員，則確定所述至少一個證書是否有效；以及如果所述至少一個證書有效，則識別所述終端設備為具有特許狀態。
36.如權利要求35所述的方法，其特徵在於，它還包括由所述特定路由器使用所述特定路由器的私鑰籤署所述至少一個證書；以及由所述特定路由器向所述終端設備籤發所述至少一個證書。
37.如權利要求35所述的方法，其特徵在於，它還包括由所述終端設備連接到一鄰域路由器；以及由所述終端設備向所述鄰域路由器提供所述至少一個證書和所述特定路由器的證書；其中，所述鄰域路由器執行所述接收、所述確認、所述確定和所述識別。
38.包括處理器可執行指令的一個或多個處理器可訪問媒質，其特徵在於，當執行所述指令時，指導一路由器執行權利要求35所述的方法。
39.如權利要求35所述的方法，其特徵在於，所述確認包括訪問一枚舉以下的至少一個的數據結構(i)作為同一鄰域的成員的路由器，以及(ii)可信鄰域管理員。
40.如權利要求35所述的方法，其特徵在於，所述確認包括訪問一參考一成員資格證書枚舉可信鄰域管理員的數據結構，所述成員資格證書表示所述特定路由器是具有給定鄰域管理員的鄰域的成員。
全文摘要
一種示例性路由器執行以下行動從一終端設備接收至少一個證書，該至少一個證書由另一路由器籤發；確認該其它路由器是否為預定鄰域的成員；確定該至少一個證書是否有效；以及如果該其它路由器被確認為預定鄰域的成員，且該至少一個證書被確定為有效，則識別該終端設備為特許。一種示例性網狀路由器能夠與其它網狀路由器建立無線網狀網絡，該網狀路由器還能夠指定一鄰域管理員網狀路由器；該網狀路由器適用於當一特定網狀路由器是所指定的鄰域管理員網狀路由器的鄰域的成員時，向與由該特定網狀路由器籤發的特定證書相關聯的特定終端設備授予特許狀態。
文檔編號H04L12/56GK1630269SQ200410097500
公開日2005年6月22日 申請日期2004年11月29日 優先權日2003年12月17日
發明者D·R·西蒙, H·J·王, P·巴爾 申請人:微軟公司