用于对网络设备进行认证的装置和方法 |
|||||||
| 申请号 | CN201510615899.2 | 申请日 | 2015-09-24 | 公开(公告)号 | CN106027456A | 公开(公告)日 | 2016-10-12 |
| 申请人 | 瞻博网络公司; | 发明人 | R·C·卡纳卡拉简; V·萨迪舍蒂; | ||||
| 摘要 | 公开了用于对网络设备进行认证的装置和方法。所公开的装置可以包括(1)答复接收模 块 ,被存储在 存储器 中,所述答复接收模块从卫星设备接收认证答复,所述认证答复包括由聚合设备使用所述聚合设备的私钥进行数字签名的原始认证消息,并且所述认证答复由所述卫星设备使用所述卫星设备的私钥进行数字签名,(2)转发模块,被存储在存储器中,所述转发模块向网络管理 服务器 转发所述认证答复,(3)验证接收模块,被存储在存储器中,所述验证接收模块响应于转发所述认证答复来从所述网络管理服务器接收验证消息,以及(4)认证模块,被存储在存储器中,所述认证模块至少部分基于接收到所述验证消息来对所述卫星设备进行认证。 | ||||||
| 权利要求 | 1.一种聚合设备,包括: |
||||||
| 说明书全文 | 用于对网络设备进行认证的装置和方法[0001] 通过引用并入 [0003] 可 在 http://standards.ieee.org/findstds/standard/802.1BR-2012.htm(2015年3月9日访问)获得的802.1BR IEEE标准文档(“802.1BR-2012-IEEE Standard for Local and metropolitan area networks--Virtual Bridged Local Area Networks--Bridge Port Extension”); [0004] 可 在 http://standards.ieee.org/findstds/standard/802.1AR-2009.html(2015年3月9日访问)获得的802.1AR IEEE标准文档(“802.1AR-2009-IEEE Standard for Local and metropolitan area networks-Secure Device Identity”); [0005] 可 在 http://www.trustedcomputinggroup.org/files/static_page_files/0CF910BE-1A4B-B294-D0C0B3924A9E4E97/TPM_Keys_for_Platfor m_Identity_v0_09_r9_PublicReview.pdf(2015年3月9日访问)获得的“TCG Infrastructure WG TPM Keys for Platform Identity for TPM1.2”。 技术领域[0006] 本发明涉及网络设备认证,并且更具体地,涉及用于对网络设备进行认证的装置和方法。 背景技术[0007] 计算机网络协议的持续演进对当今的企业组织提出了新的挑战。在一些示例中,企业组织可以将两个单独的计算网络互连以创建方便的单个网络。将单独的计算网络互连的设备可以被称为“桥”。类似地,企业组织还可以在相同桥接网络内的采用物理计算资源和诸如虚拟机的虚拟计算资源两者。 [0008] 计算机联网协议中的一个期望特征是对网桥的端口进行扩展以创建扩展的桥的能力。扩展的端口可以提供对除了物理计算机系统之外的虚拟机的访问。用于对桥的端口进行扩展以实现该功能和其他功能的一个标准是802.1BR,其对应于由IEEE标准协会的IEEE802项目建立的“桥端口扩展”协议。 [0009] 根据802.1BR协议,卫星设备(例如,网络边缘设备)可以尝试连接到由网络管理服务器管理的网络。在一些情形下,卫星设备可以能够仅通过作为中介节点的聚合设备连接到网络管理服务器。遗憾的是,聚合设备和卫星设备可能还没有用于确保在彼此之间的受信连接的建立方法。因此,本公开标识并解决对于用于对网络设备进行认证的附加的和改进的装置和方法的需求。 发明内容[0010] 如下面将更详细描述的,本公开总体上涉及用于对网络设备进行认证的装置和方法。在一个示例中,一种用于完成这样的任务的装置或聚合设备可以包括(1)答复接收模块,所述答复接收模块被存储在存储器中,所述答复接收模块从卫星设备接收认证答复,所述认证答复:(A)包括由所述聚合设备使用所述聚合设备的私钥进行数字签名的原始认证消息,并且(B)由所述卫星设备使用所述卫星设备的私钥进行数字签名,(2)转发模块,所述转发模块被存储在存储器中,所述转发模块向网络管理服务器转发所述认证答复,(3)验证接收模块,所述验证接收模块被存储在存储器中,所述验证接收模块响应于转发所述认证答复来从所述网络管理服务器接收验证消息,所述验证消息:(A)包括由所述网络管理服务器使用所述聚合设备的公钥进行解密的所述原始认证消息,(B)包括由所述网络管理服务器使用所述卫星设备的公钥进行解密的所述认证答复,并且(C)由所述网络管理服务器使用所述网络管理服务器的私钥进行数字签名,(4)认证模块,所述认证模块被存储在存储器中,所述认证模块至少部分基于接收到所述验证消息来对所述卫星设备进行认证,以及(5)至少一个物理处理器,所述至少一个物理存储器被配置为执行所述答复接收模块、所述转发模块、所述验证接收模块、以及所述认证模块。 [0011] 类似地,一种对应的方法可以包括(1)从卫星设备接收认证答复,所述认证答复:(A)包括由网络内的聚合设备使用所述聚合设备的私钥进行数字签名的原始认证消息,并且(B)由所述卫星设备使用所述卫星设备的私钥进行数字签名,(2)向网络管理服务器转发所述认证答复,(3)响应于转发所述认证答复来从所述网络管理服务器接收验证消息,所述验证消息:(A)包括由所述网络管理服务器使用所述聚合设备的公钥进行解密的所述原始认证消息,(B)包括由所述网络管理服务器使用所述卫星设备的公钥进行解密的所述认证答复,并且(C)由所述网络管理服务器使用所述网络管理服务器的私钥进行数字签名,以及(4)至少部分基于接收到所述验证消息来对所述卫星设备进行认证。 [0012] 在一些示例中,上述方法可以被编码为非瞬态计算机可读介质上的计算机可读指令。例如,一种计算机可读介质可以包括一条或多条计算机可读指令,所述一条或多条计算机可读指令当由计算设备的至少一个处理器执行时可以使得所述计算设备(1)从卫星设备接收认证答复,所述认证答复:(A)包括由网络内的聚合设备使用所述聚合设备的私钥进行数字签名的原始认证消息,并且(B)由所述卫星设备使用所述卫星设备的私钥进行数字签名,(2)向网络管理服务器转发所述认证答复,(3)响应于转发所述认证答复来从所述网络管理服务器接收验证消息答复,所述验证消息:(A)包括由所述网络管理服务器使用所述聚合设备的公钥进行解密的所述原始认证消息,(B)包括由所述网络管理服务器使用所述卫星设备的公钥进行解密的所述认证答复,并且(C)由所述网络管理服务器使用所述网络管理服务器的私钥进行数字签名,以及(4)至少部分基于接收到所述验证消息来对所述卫星设备进行认证。 附图说明[0015] 图1是用于对网络设备进行认证的示范性聚合设备的框图。 [0016] 图2是用于对网络设备进行认证的示范性系统的框图。 [0017] 图3是用于对网络设备进行认证的示范性方法的流程图。 [0018] 图4是图示了用于对网络设备进行认证的时序的示范性时序图。 [0019] 图5是能够实施本文中描述和/或图示的实施例中的一个或多个实施例和/或结合本文中描述和/或图示的实施例中的一个或多个实施例被使用的示例性计算系统的框图。 [0020] 在附图中,相同的附图标记和描述指示相似但不一定相同的元件。尽管本文中描述的示例性实施例易受到各种修改和备选形式的影响,但是特定实施例已经通过举例的方式在附图中示出并且将在本文中被详细描述。然而,本文中描述的示例性实施例不旨在限于所公开的具体形式。相反,本公开内容涵盖落入所附的权利要求的范围内的所有修改、等价以及备选。 具体实施方式[0021] 本公开描述用于对网络设备进行认证的各种装置、方法、以及计算机可读介质。如下面将更详细解释的,本公开的实施例可以使得聚合设备和卫星设备能够根据桥接扩展协议(诸如802.1BR协议的经修改或未经修改的版本)建立受信网络连接,甚至在既不是聚合设备也不是卫星设备处理用于对其他网络设备进行认证的加密密钥时。因此,本公开的实施例可以使得网络或网络管理员能够将加密密钥维护在集中式网络管理服务器内而非将加密密钥的冗余副本放置在网络上的每个聚合设备和/或卫星设备内。因此,如下面进一步讨论的,本公开的实施例可以通过使得聚合设备和卫星设备能够通过集中式网络管理服务器进行认证来最小化网络管理员上的负担。 [0022] 下文将参考图1-2来提供可以执行用于对网络设备进行认证的公开的方法中的全部或部分方法的示范性聚合设备、卫星设备、以及网络管理服务器的示例,如下面所讨论的。类似地,还将结合图3-4来提供对应的计算机实施的方法的详细描述。最后,对应于图5的讨论将提供可以包括图1-4中示出的部件的系统的多个示例。 [0023] 图是用于对网络设备进行认证的示范性聚合设备00的框图。如该图中所图示的,示范性聚合设备00可以包括用于执行一个或多个任务的一个或多个模块02。例如,并且如下面将更详细解释的,示范性聚合设备00可以包括从卫星设备接收认证答复的答复接收模块04,所述认证答复:(A)包括由所述聚合设备使用所述聚合设备的私钥124进行数字签名的原始认证消息,并且(B)由所述卫星设备使用所述卫星设备的私钥进行数字签名。聚合设备00还可以包括转发模块06,所述转发模块向网络管理服务器转发所述认证答复。 [0024] 此外,聚合设备100还可以包括验证接收模块108,所述验证接收模块响应于转发所述认证答复从所述网络管理服务器接收验证消息,所述验证消息:(A)包括由所述网络管理服务器使用所述聚合设备的公钥进行解密的所述原始认证消息,(B)包括由所述网络管理服务器使用所述卫星设备的公钥进行解密的所述认证答复,并且(C)由所述网络管理服务器使用所述网络管理服务器的私钥进行数字签名。此外,聚合设备100还可以包括认证模块110,所述认证模块至少部分基于接收到所述验证消息来对所述卫星设备进行认证。另外,聚合设备100可以包括签名模块112,如下面进一步讨论的,所述签名模块可以对所述原始认证消息进行数字签名。 [0025] 另外,聚合设备100还可以包括受信平台模块120,所述受信平台模块可以存储聚合设备100的私钥124以及所述网络管理服务器的公钥122的副本。受信平台模块120可以包括安全加密处理器,所述安全加密处理器通过将至少一个加密密钥集成到聚合设备中来使聚合设备安全。在一些示例中,受信平台模块120可以满足由被称为受信计算组(TRUSTED COMPUTING GROUP)的计算机工业协会建立的规范。 [0026] 如图2所示,聚合设备100可以构成较大系统290的部分。如该图中所示,除了聚合设备100之外,系统290还可以包括卫星设备200和网络管理服务器230。在一个实施例中,聚合设备100可以聚合一个或多个其他逻辑或物理设备,诸如网络交换机,使得聚合设备100将网络交换机管理作为聚合设备100的逻辑线路卡。在进一步的示例中,一个或多个卫星设备或网络边缘设备,诸如卫星设备200,可以试图连接到由网络管理服务器230管理的网络。在这些示例中,卫星设备200可以通过作为网络内的中介节点的聚合设备100尝试连接到网络。 [0027] 在以上示例中,聚合设备100和卫星设备200可以不具有对彼此进行认证以创建受信网络连接的任何建立能力。例如,如图2所示,聚合设备100可以仅拥有聚合设备100的私钥124和网络管理服务器230的公钥122。类似地,卫星设备200还可以仅在对应的受信平台模块220内包含其自身的私钥224和网络管理服务器230的公钥122的另一副本。 [0028] 为了便于讨论和图示,图2还显示了初始地在图1中示出的模块102中的每个模块,而没有示出卫星设备200和网络管理服务器230内的对应模块。然而,卫星设备200和/或网络管理服务器230两者都可以包括与聚合设备100内的模块102中的每个模块平行的一个或多个模块。例如,卫星设备200可以包括传输模块,所述传输模块对应于答复接收模块104并且传输由答复接收模块104接收的认证答复。在图2中示出的其他计算网络设备还可以包含用于执行下面关于图3-4讨论的方法的步骤中的任何步骤的任何其他数量的对应模块。类似地,还如图2中所示,网络管理服务器230可以包括与受信平台模块120和受信平台模块220平行的受信平台模块232。在图2的示例中,网络管理服务器230内的受信平台模块232可以包括聚合设备100的公钥234和卫星设备200的公钥236两者。 [0029] 如本文中所使用的,术语“公钥”和“私钥”一般指代非对称加密密钥对。总体上,在每一对中的每个密钥可以在不知道另一密钥的情况下对针对(或来自)另一方的消息进行加密或解密。例如,公钥可以在不知道私钥的情况下对由对应私钥加密的消息进行解密。术语“公钥”可以是指来自每一对的比另一密钥具有更低的安全度的一个密钥。类似地,术语“私钥”可以指代来自每一对的具有对应较高的安全度的另一密钥。在示范性实施例中,公钥可以自由地被公开和交换,然而私钥可以由拥有者保持绝对秘密。 [0030] 类似地,公钥可以充当隐喻性存储锁具(metaphorical storage locker),其使得任何人能够在锁具中留下消息但是仅仅允许私钥的拥有者读取该锁具内的消息的内容。类似地,私钥可以充当隐喻性签名,其使得任何人能够读取经签名的消息并且对如由私钥的拥有者签名的消息进行认证。换言之,公钥可以提供保密性,而私钥可以提供真实性。 [0031] 总体上,一些系统可以使用公钥基础架构内的非对称密钥对,公钥基础架构利用证书授权机构(Certificate Authority)来将公钥绑定到对应的私钥拥有者。例如,标识用于解密的特定公钥的使用私钥签名的消息的接收方可能想要核实该公钥实际上对应于消息的名义作者。否则,冒名顶替者能够使用该冒名顶替者自己的非对称密钥对来对该冒名顶替者的消息进行签名并且之后将对应的公钥提供给接收方以对该消息进行解密。因此,公开且可信的证书授权机构可以向对应的拥有者注册公钥,并且之后发布由证书授权机构进行签名的公钥证书以证实(如在公钥证书中示出的)公钥的名义拥有者是公钥的实际拥有者。然后,消息的接收方可以对于使用公钥感到自信,以使用所提供的公钥来将答复消息发送到原始消息的原始发送者。 [0032] 作为对比,如果公钥的拥有者具有用于确保对应于公钥的名义身份准确的备选方法,则证书授权机构和对应的公钥基础架构可能是不必要的。在图2的示例中,每个受信平台模块可以提供用于确保对应于每个公钥的名义身份准确的备选方法,如下面所讨论的。因此,系统290可以不涉及针对方法300的全部或一部分的证书授权机构或公钥基础架构。 类似地,在一些备选实施例中,系统290可以使用对称密钥对代替非对称密钥对。 [0033] 返回到图2,所公开的装置和方法可以例如以以下方式对网络设备进行认证。答复接收模块104可以从卫星设备200接收认证答复252,认证答复252包括由聚合设备100使用聚合设备100的私钥124进行数字签名的原始认证消息240(例如,由签名模块112进行数字签名的,如由签名242示出的)。认证答复252还可以由卫星设备200使用卫星设备200的私钥224进行数字签名,如由图2中的签名250示出的。转发模块106可以向网络管理服务器230转发认证答复252。验证接收模块208可以响应于转发认证答复252来从网络管理服务器230接收验证消息260,验证消息260(A)包括由网络管理服务器230使用聚合设备100的公钥234进行解密的原始认证消息240,(B)包括由网络管理服务器230使用卫星设备200的公钥236进行解密的认证答复252,并且(C)由网络管理服务器230使用网络管理服务器230的私钥进行数字签名(未在图3中示出)。此外,认证模块110可以至少部分基于接收到验证消息260来对卫星设备200进行认证。如下面进一步讨论的,认证模块110和卫星设备200可以类似地至少部分基于接收到验证消息260来建立在聚合设备100与卫星设备200之间的受信网络连接(即,可以对彼此进行认证和验证)。 [0034] 图3是用于对网络设备进行认证的示范性计算机实施的方法300的流程图。图3中示出的步骤可以通过任何合适的计算机可执行代码和/或计算系统来执行。在一些实施例中,图3中示出的步骤可以通过图1中的聚合设备100、图2中的系统290、和/或图5中的示范性计算系统500的部分的部件中的一个或多个部件来执行。 [0035] 如图3所示,在步骤310,本文中描述的系统中的一个或多个系统可以从卫星设备接收认证答复,所述认证答复包括由聚合设备使用所述聚合设备的私钥进行数字签名的原始认证消息,并且所述认证答复由所述卫星设备使用所述卫星设备的私钥来进行数字签名。例如,答复接收模块104可以作为聚合设备100的部分从卫星设备200接收认证答复252,认证答复252包括由聚合设备100使用聚合设备100的私钥124进行数字签名的原始认证消息240。 [0036] 如本文中使用的,术语“卫星设备”一般指代尝试通过作为中介节点的聚合设备来建立与由网络管理服务器管理的网络的网络连接的任何网络设备,如以上讨论的和下面进一步讨论的。在一些示例中,卫星设备可以构成仅仅具有通过作为中介节点的聚合设备到网络的连接的网络边缘设备。在进一步的示例中,卫星设备可以包括交换机或路由器,该交换机或路由器根据诸如(以上讨论的)802.1BR的桥接扩展器协议连接到聚合设备,使得聚合设备将卫星设备视为线路卡。此外,如本文中使用的,短语“执行动作的设备”一般指代被物理配置或编程为执行所述动作的设备。 [0037] 此外,如本文中使用的,术语“原始认证消息”一般指代在认证答复之前传输的网络消息,如以上讨论的并且如下面进一步讨论的。总体上,原始认证消息和/或认证答复可以构成网络握手过程的部分,通过网络握手过程卫星设备尝试连接到网络。在一些示例中,聚合设备100可以响应于来自卫星设备200的请求传输原始认证消息以获得对由网络管理服务器管理的网络的访问。类似地,如本文中使用的,术语“认证答复”一般指代响应于原始认证消息而传输的答复消息。在一些示例中,原始认证消息和/或认证答复可以被数字签名。此外,可以根据诸如802.1BR的桥接扩展器协议来传输原始认证消息和/或认证答复。 [0038] 答复接收模块104可以以各种方式来接收认证答复252。为了进一步解释所公开的方法,图4示出了图示根据图3中的方法300的时序的示范性时序图400。如图4所示,在步骤402,聚合设备100可以向卫星设备200传输原始认证消息240。如以上讨论的,聚合设备100可以响应于接收到来自卫星设备200的网络访问请求来向卫星设备200传输原始认证消息240。接下来,如下面进一步讨论的,在步骤404,步骤404可以对应于方法300的步骤310,聚合设备100内的答复接收模块104可以接收认证答复252。 [0039] 总体上,为了对消息进行数字签名,诸如聚合设备100和/或卫星设备200的计算设备可以首先获取私钥。在一些示例中,原始认证消息240可以包括或对应于用于聚合设备100的安全设备标识符。类似地,认证答复252可以包括或对应于用于卫星设备200的安全设备标识符。如本文中使用的,术语“安全设备标识符”一般指代与被绑定给设备并且用于断定设备的身份的加密身份。在一些示例中,安全设备标识符基于唯一或秘密的值,该唯一或秘密的值以致使某人伪造或转移安全设备标识符不可行的方式被紧密集成在设备内。在进一步的示例中,安全加密处理器可以生成和/或保护安全设备标识符。如以上讨论的,安全加密处理器符合由受信计算组建立的受信平台模块的规范。 [0040] 在进一步的示例中,安全设备标识符可以包括或对应于根据由IEEE标准协会的802项目建立的802.1AR(“安全设备身份”)协议的DEVID。如在2009年12月22日的针对802.1AR协议的IEEE标准文档的ANNEX B中概述的,设备可以使用受信平台模块来实施DEVID安全标识符。总体上,如以上讨论的,DEVID可以构成或对应于加密密钥的非对称对,具体包括公钥和私钥。因此,试图将经加密的通信发送到具有DEVID的另一网络设备的网络设备可以使用DEVID的公钥部分来对那些通信进行加密,从而确保仅仅所述设备可以使用所述设备的私钥对所述通信进行解密。类似地,网络设备能够信任经数字签名的网络通信源自于使用设备的私钥对那些通信进行签名的网络设备。网络设备可以使用这些技术中的一个或两者来使用相应的DEVID对网络设备进行认证。例如,网络可以根据在2009年12月22日的针对802.1AR协议的IEEE标准文档的ANNEXC中概述的握手情形中的一种握手情形基于设备的DEVID对网络设备进行认证。总体上,网络设备必须对它们的私钥保密以确保成功加密。如以上讨论的,例如,网络设备可以在受信平台模块内对它们的私钥保密。 [0041] 如在安全套接字层(“SSL”)和传输层安全性(“TLS”)加密协议中那样,802.1AR协议可以以与传统公钥基础架构系统平行的方式作用,除了802.1AR使得能够对网络设备而非诸如网站的其他对象进行认证。因此,802.1AR协议指定DEVID(例如,DEVID凭证或公钥证书)采取X.509凭证或公钥证书的版本的形式,类似于在SSL和TLS内使用的证书。类似地,在使用802.1AR协议的系统中,证书授权机构可以对公钥证书进行数字签名以使得网络设备能够信任指定的公钥对应于(例如,被注册到)公钥和相关联的DEVID的所声称的拥有者。 [0042] DEVID可以采取至少两种不同的形式中的一种形式。初始DEVID或IDEVID可以指定将网络设备与其制造商联系起来的唯一序列号或其他值。换言之,安全设备标识符可以对应于以下的安全设备标识符:(1)向聚合设备指派的聚合设备的制造商以及(2)利用制造商的私钥被签名以验证聚合设备的聚合设备的制造商。制造商可以在制造期间建立IDEVID或管理员可以在网络内供应网络设备(例如,与制造商的证书授权机构通信)期间建立IDEVID。例如,制造商可以建立远程证书授权机构,所述远程证书授权机构可以提供来自建立网络设备的身份的制造商的公钥证书。例如,在供应网络设备时,管理员可以诸如通过从证书授权机构请求公钥证书和/或通过使用制造商的公钥来对对应的公钥证书的签名进行解密来基于IDEVID核实网络设备的身份。 [0043] 作为第二示例,DEVID可以采取本地安全设备标识符或LDEVID的形式。LDEVID可以可选地使用相同的私钥作为IDEVID,其将继续将网络设备与通过制造建立的身份联系起来(即,使得人能够将网络设备追溯到其在制造商处的原产地)。备选地,LDEVID可以使用与IDEVID不同的私钥(即,防止人将网络设备追溯到其在制造商处的原产地)。尤其,激活的DEVID模块包含一个IDEVID但是可以包含零个或任何数量的LDEVID,因为这些LDEVID是可选的。本文中公开的装置和方法可以使用IDEVID或LDEVID。尤其,针对DEVID的X.509证书可以不指定DEVID是否构成IDEVID或LDEVID。 [0044] 如以上所讨论的,本文中公开的装置和方法可以不完全地利用证书授权机构或公钥基础架构。例如,在可选地如以上所讨论的使用制造商的IDEVID来对网络设备的身份进行核实之后,网络管理员可以供应DEVID公钥和私钥,如图2中所示,从而在诸如受信平台模块的安全位置内使这些密钥安全。如以上所讨论的,在一个示例中,网络管理员可以从DEVID模块获得DEVID公钥证书和/或生成新的LDEVID非对称密钥对。在生成非对称密钥对中,DEVID模块可以与受信平台模块交互。在获得针对每个网络设备的至少一个公钥之后,网络管理员和/或对应的网络管理模块(例如,在图2中未示出的管理模块114)可以在那些网络设备的未来对手方内使公钥安全,从而使得对手方能够对来自网络设备的经数字签名的消息进行解密并且核实其作者身份。此外,如图2所示,并且如下面进一步讨论的,在缺少证书授权机构的情况下,本文中使用的DEVID凭证(例如,X.509证书的版本)可以省略来自DEVID凭证的公钥并且相反保持公钥“准私有”或秘密(例如,在接收方的受信平台模块内)。类似地,DEVID凭证可以由DEVID凭证的发送者(例如,DEVID凭证的拥有者)进行签名而非由证书授权机构进行签名。 [0045] 如图2所示,网络管理员可以在(聚合设备100内的)受信平台模块120和(卫星设备200内的)受信平台模块220中的每个受信平台模块内使网络管理服务器230的公钥122的副本安全。类似地,网络管理员可以在(网络管理服务器230内的)受信平台模块232内使聚合设备100的公钥234和卫星设备200的公钥236安全。当然,如以上所讨论的,每个设备可以将它自己的私钥维护在它自己的受信平台模块内,并且这些私钥应当决不被共享否则加密安全性将可能受到损害。 [0046] DEVID的示例仅仅是示范性的。IDEVID的一个关键优点在于如由制造商的证书授权机构核实的,IDEVID将网络设备与其在制造商处的原产地联系起来。然而,所公开的装置和方法可以不使用如以上所讨论的证书授权机构。因此,安全设备标识符可以构成任何指定的、随机的、唯一的(例如,全局唯一标识符)和/或网络设备的序列号或其他值。制造商和/或网络管理员可以指定安全设备标识符。如以上所讨论的,当供应各种公钥时,网络管理员可以类似地映射或指定对应于每个公钥的对应的网络设备名、标识符和/或序列号。如以上讨论的,当接收待指定网络设备名、标识符和/或序列号的公钥证书时,接收设备可以然后尝试使用在供应过程期间由网络管理员映射或指定的公钥(其可以与在公钥证书中指定的公钥相同)来对公钥证书(或其他消息)的签名部分进行解密。 [0047] 在一些示例中,安全设备标识符可以简单地对应于网络管理员用于索引多个公钥内的公钥(或以其他方式标识公钥的拥有者)的索引值,所述多个公钥诸如网络管理服务器230内的公钥(例如,用于聚合设备100的公钥“1”和用于卫星设备200的公钥“2”)。在其他示例中,安全设备标识符可以包括或对应于DEVID X.509凭证的“主题(subject)”域的值。“主题”域的值可以被格式化为唯一的X.500可区分的名称(“DN”),其可以包括由制造商指派的唯一设备序列号(例如,具有“序列号”属性)或发行者优选的任何其他合适的唯一DN值。 [0048] 在其他示例中,原始认证消息和认证答复可以不包括或不对应于安全设备标识符。更确切地说,这些消息可以包含用于根据本文中讨论的方法和技术对网络设备进行认证的任何任意或随机消息。明显地,在图2中的任何设备能够简单地通过使用其他网络设备的公钥成功对来自其他网络设备的消息进行解密从而核实其他网络设备使用其私钥对消息进行签名来在没有获得另一设备的安全设备标识符的情况下对另一网络设备进行认证。此外,DEVID模块和受信平台模块两者都能够包含随机数生成器,通过指定,其使得制造商和/或网络管理员能够向网络设备指派唯一安全设备标识符。 [0049] 尤其,针对图2和图4中示出的消息中的任何一个或多个消息,消息可以采取两种不同的形式中的一种形式。第一,消息可以包括原始内容和原始内容的签名(或原始内容的哈希的签名),其可以被附加到原始内容。在这种情况下,消息的接收者可以通过对签名进行解密来对消息的发送者进行认证。这种形式的消息还具有使得接收者能够确认原始内容和附加的签名彼此一致地匹配的益处。然而,这种形式的消息具有将原始内容披露给获得所述消息的任何网络设备的潜在缺点。换言之,甚至在不解密签名的情况下,接收消息的任何网络设备将获悉非加密的原始内容。在图2的示例中,聚合设备100已经通过将签名242包含在原始认证消息240内使用了这种形式的消息。 [0050] 此外,包括内容的非加密版本连同数字签名的这种形式的消息可以具有使得聚合设备100和/或卫星设备200能够核实认证答复252和/或原始认证消息240的经解密的版本对应于原始发送到网络管理服务器230的经数字签名的版本。换言之,在不包括具有认证答复252和/或原始认证消息240的内容的非加密版本的情况下,缺少针对对应消息的公钥的网络设备则可以不能够核实由网络管理服务器230签名的经解密的版本实际上对应于原始传输的和经加密的版本。 [0051] 备选地,可以在不暴露内容的非加密版本的情况下对整个消息进行数字签名。这种形式的消息使得消息的传输者核实消息的接收者拥有发送者的公钥。尤其,尽管传统公钥可以被自由地披露,但是图2的公钥可以在它们可以被安全地存储在相应的受信平台模块内或以其他方式安全地保持的意义上是“准私有”的。这些公钥的“准私有”性质可以使得消息的传输者能够通过核实接收者拥有相应的公钥(否则接收者将不能够对经加密的消息进行解密并将以解密的形式发送回经加密的消息)来对接收者进行认证。例如,聚合设备100可以在不传输非加密版本的情况下对原始认证消息240进行加密,并且类似地,卫星设备200可以在不传输非加密版本的情况下对认证答复252进行加密。在图2的示例中,卫星设备200已经通过对认证答复252的整体进行签名250来使用了这种形式的消息。因此,聚合设备100和卫星设备200可以通过获得具有验证消息260的那些消息的经解密的版本来核实网络管理服务器230拥有相应的公钥(即,公钥234和公钥236)。尤其,在这种情况下,聚合设备100和/或卫星设备200可能不想要使用另一网络设备能够在不拥有对应公钥的情况下容易预测(诸如简单网络设备名、标识符和/或序列号)的消息。更确切地说,聚合设备100和/或卫星设备200可能优选发送任意的、随机的、和/或否则不可预测的值(例如,由DEVID模块和/或受信平台模块的随机数生成器部件生成的数)以确保加密通信的完整性。 [0052] 在不对整个消息进行加密的情况下,聚合设备100和/或卫星设备200在不核实网络管理服务器230实际上使用相应的公钥来对其消息进行解密的情况下必须依靠网络管理服务器230的私有签名(例如,图2中的签名262)。换言之,通过对消息的整体进行加密,而不附加消息的经解密的版本,聚合设备100和/或卫星设备200防止网络管理服务器230在甚至不尝试对消息的经加密的内容进行解密的情况下(例如,在冒名顶替者设备在没有拥有公钥的情况下冒充网络管理服务器230的情况下,或在网络管理服务器230受到损害和/或已经丢失公钥234和/或公钥236的情况下)简单地对消息的非加密内容进行签名。 [0053] 返回到图3,在步骤310,答复接收模块104可以响应于传输经数字签名的原始认证消息240来接收认证答复252。此外,如以上所讨论的,响应于接收到来自卫星设备200在尝试连接到网络中的网络访问请求,聚合设备100可以具有初始传输的原始认证消息240。 [0054] 尤其,认证答复252包括在其自身内嵌入和签名的原始认证消息240。通过对原始认证消息240进行签名,卫星设备200可以确保聚合设备100在接收到认证答复252之后并且向网络管理服务器230转发认证答复252之前能够不妨碍或干扰原始认证消息240的内容(即,因为聚合设备100没有拥有卫星设备200的公钥或准私有密钥并且因此不能够对认证答复252进行解密)。 [0055] 返回到图3,在步骤320,本文中描述的系统中的一个或多个系统可以向网络管理服务器转发认证答复。例如,转发模块106可以作为聚合设备100的部分向网络管理服务器230转发认证答复252。 [0056] 如本文中使用的,术语“网络管理服务器”一般指代至少部分管理计算机网络的任何服务器。具体地,网络管理服务器可以包括管理对网络的访问的集中式服务器。总体上,网络管理服务器230可以维护用于聚合设备、卫星设备和/或试图访问网络的其他设备的公钥并且使用这些公钥(或如以上所讨论的“准私有”密钥)来对网络设备进行认证并向它们授予网络访问权。 [0057] 转发模块106可以以各种方式向网络管理服务器230转发认证答复252。在一些实施例中,转发模块106可以在不增加引导内容的情况下转发认证答复252。在这些实施例中,网络管理服务器230可以被配置为将以认证答复252的格式被格式化的消息解释为对应的认证答复,从而触发网络管理服务器230尝试使用对应的公钥对那些消息进行解密。备选地,转发模块106可以附加解释认证答复252的性质和/或请求网络管理服务器230尝试对包括嵌入的原始认证消息240的认证答复252进行认证的一个或多个引导消息或数据域。返回图4的示例,在步骤406,步骤406可以对应于方法300的步骤320,聚合设备100内的转发模块106可以向网络管理服务器230转发认证答复252。 [0058] 返回到图3,在步骤330,本文中描述的系统中的一个或多个系统可以响应于转发验证答复而从网络管理服务器接收验证消息。所述验证消息可以(A)包括由网络管理服务器使用聚合设备的公钥进行解密的原始认证消息,并且(B)包括由网络管理服务器使用卫星设备的公钥进行解密的认证答复,并且(C)由网络管理服务器使用网络管理服务器的私钥进行数字签名。例如,在步骤330,验证接收模块108可以作为聚合设备100的部分接收图2中示出的验证消息260。如本文中使用的,术语“验证消息”一般指代从网络管理服务器接收到的消息,,所述消息包括以解密的形式的原始认证消息和认证答复两者,从而如下面进一步讨论的对对应的聚合设备和卫星设备进行认证或验证。 [0059] 验证接收模块108可以以各种方式来接收验证消息260。总体上,无论积极或消极,验证接收模块108可以接收网络管理服务器230基于对认证答复252进行解密的进一步尝试对聚合设备100和/或卫星设备200进行认证的尝试的结果。网络管理服务器230可以使用聚合设备100的公钥234和卫星设备200的公钥236来对认证答复252进行解密。具体地,网络管理服务器230可以首先使用聚合设备100的公钥234来对认证答复252进行解密,在认证答复252中嵌入了原始认证消息240。接下来,网络管理服务器230可以使用聚合设备100的公钥234来对嵌入在由卫星设备200进行签名的认证答复252内的原始认证消息240进行解密。 [0060] 在一些示例中,网络管理服务器230可以基于在附加到认证答复252的非加密内容内指示的原始认证消息240和/或认证答复252的作者的所声称的或名义的身份来选择公钥234和/或公钥236。例如,网络管理服务器230可以(例如,在受信平台232内)索引具有对应的网络设备的身份的公钥。换言之,在一些示例中,聚合设备100和/或卫星设备200可以将其身份的指示附加到原始认证消息240和/或认证答复252,从而指定网络管理服务器230应当使用哪个公钥来尝试解密对应的消息。 [0061] 在其中聚合设备100和/或卫星设备200分别传输原始认证消息240和/或认证答复252的非加密版本的实施例中,网络管理服务器230可以将解密的结果与内容的非加密版本进行比较。备选地,在一些示例中,如以上所讨论的,原始认证消息240和/或认证答复252的经解密的版本可以指定网络设备名或标识符,网络管理服务器230可以检查所述网络设备姓名或标识符以看其是否与用于解密对应消息的公钥匹配。 [0062] 网络管理服务器230可以单独地向聚合设备100传输验证消息260。在这种情况下,聚合设备100可以被配置为单独地将对验证消息260的接收解释为对聚合设备100和卫星设备200两者的认证。换言之,验证消息260指示网络管理服务器230拥有用于对来自聚合设备100和/或卫星设备200的消息进行解密的对应公钥,因为验证消息260包括来自这些设备的消息的经解密的版本(例如,如以上所讨论的,在原始认证消息240和认证答复252没有与其内容的非加密副本一起被传输的情况下)。额外地或备选地,验证消息260指示网络管理服务器230信任聚合设备100和/或卫星设备200,因为网络管理服务器230使用其私钥对验证消息260进行了数字签名。类似地,聚合设备100和/或卫星设备200可以信任验证消息260真正地由网络管理服务器230授权,因为网络管理服务器230对验证消息260进行了数字签名,其他设备能够证明这一点,因为它们使用其公钥的副本对验证消息260进行解密。在图4的示例中,验证接收模块108可以在步骤408从网络管理服务器230接收验证消息260,步骤408可以对应于方法300中的步骤330。 [0063] 返回到图3,在步骤340,本文中描述的系统中的一个或多个系统可以至少部分基于接收到验证消息来对卫星设备进行认证。例如,认证模块110可以作为聚合设备100的一部分至少部分基于接收到验证消息260来对卫星设备200进行认证。如本文中使用的,词语对设备进行“认证”一般指代如以上所讨论的在诸如经修改的或未经修改的802.1BR和/或802.1AR认证握手的计算网络协议的上下文内建立与对应设备的受信网络连接。 [0064] 认证模块110可以以各种方式对卫星设备200进行认证。在一些示例中,认证模块110可以从尝试对卫星设备200进行认证的模式切换到允许卫星设备200使用聚合设备100作为中介节点来访问计算网络的模式(例如,代替丢弃、阻塞、和/或抑制来自卫星设备 200的普通网络分组)。在进一步的示例中,认证模块110可以通过完成安全的连接握手和/或传输用于进一步的网络通信的对称加密密钥来对卫星设备200进行认证。 [0065] 尤其,模块106-110中的任何一个或多个模块可以向卫星设备200转发验证消息260。在图4的示例中,在步骤410,模块106-110中的一个或多个模块可以向卫星设备200转发验证消息260。然后,卫星设备200可以以与在方法300的步骤340处聚合设备100怎样对卫星设备200进行认证平行的方式基于接收到验证消息260来对聚合设备100进行认证。具体地,卫星设备200可以基于网络管理服务器230对原始认证消息240进行解密的被证明的能力和/或基于对验证消息260进行数字签名的网络管理服务器230来对聚合设备100进行认证,从而证实聚合设备100和卫星设备200两者都被网络管理服务器230所信任。换言之,网络管理服务器230可以被配置为使得服务器将仅仅对验证消息进行数字签名以证实原始认证消息和认证答复两者的作者被信任。 [0066] 在以上示例中,所公开的装置和方法可以使得网络管理服务器和/或网络管理员(或对应网络管理模块)能够通过将密钥集中在网络管理服务器内而非将其冗余副本填充在多个聚合设备和/或卫星设备内来更有效地管理非对称加密密钥对。此外,如以上所讨论的,所公开的装置和方法可以消除对繁琐的证书授权机构和/或公钥基础架构的使用。 [0067] 然而,在备选实施例中,网络管理服务器和/或网络管理员可以充当证书授权机构。具体地,在当网络管理员或网络管理服务器例如通过创建新LDEVID来供应非对称加密密钥对时的初始时间段期间,网络管理员和/或网络管理服务器可以简单地对用于聚合设备和/或卫星设备的公钥证书进行签名。然后,这些设备可以在它们尝试建立受信网络连接时将这些公钥证书发送给彼此和其他设备。附加地或备选地,消息接收方可以从本地证书授权机构(例如,网络管理服务器230)和/或制造商证书授权机构取得公钥证书。这些公钥证书(例如,使用网络管理员和/或充当证书授权机构的网络管理服务器的私钥进行数字签名的DEVID X.509公钥证书)的接收方可以通过将对于网络管理员和/或网络管理服务器可广泛获得的公钥来对证书进行认证。例如,在图2的示例中,聚合设备100和卫星设备200两者都已经包含网络管理服务器的公钥的相应的副本。这些设备中的每个设备可以使用所述公钥对从其他设备接收到的公钥证书进行认证,从而确保(如在公钥证书内指定的)针对每个设备的公钥实际上对应于传输设备。在这些示例中,聚合设备和卫星设备可以在不与网络管理服务器联系的情况下对彼此进行认证。 [0068] 图5是能够实施本文中描述和/或图示的实施例中的一个或多个实施例和/或结合本文中描述和/或图示的实施例中的一个或多个实施例使用的示例性计算系统500的框图。在一些实施例中,计算系统500的全部或部分可以单独地或与其他元件组合地执行结合图5描述的步骤中的一个或多个步骤,或者是用于单独地或与其他元件组合地执行结合图5描述的步骤中的一个或多个步骤的装置。计算系统500的全部或部分还可以执行本文中描述和/或图示的任何其他步骤、方法、或过程,或者是用于执行和/或实施本文中描述和/或图示的任何其他步骤、方法、或过程的装置。在一个示例中,计算系统500可以包括来自图1的装置100。 [0069] 计算系统500广泛地表示任何类型或形式的电力负载,包括能够执行计算机可读指令的单处理器或多处理器计算设备。计算系统500的示例包括但不限于:网络设备(例如,无线WLAN控制器、主AP等)、工作站、笔记本计算机、客户端侧终端、服务器、分布式计算系统、移动设备、网络交换机、网络路由器(例如,骨干路由器、边缘路由器、核心路由器、移动服务路由器、宽带路由器)、网络设备(例如,网络安全设备、网络控制设备、网络计时设备、SSL VPN(安全套接字层虚拟专用网络)设备等)、网络控制器、网关(例如,服务网关、移动分组网关、多路接入网关、安全网关等)、和/或任何其他类型或形式的计算系统或设备。 [0070] 计算系统500可以被编程、被配置、和/或被设计为符合一个或多个网络协议。根据某些实施例,计算系统500可以被设计为对开放式系统互连(OSI)参考模型的一个或多个层有效的协议,诸如物理层协议、链路层协议、网络层协议、传输层协议、会话层协议、表示层协议和/或应用层协议。例如,计算系统500可以包括根据以下协议配置的网络设备:通用串行总线(USB)协议、电气和电子工程师学会(IEEE)1394协议、以太网协议、T1协议、同步光学网络(SONET)协议、同步数字系列(SDH)协议、综合服务数字网络(ISDN)协议、异步传输模式(ATM)协议、点对点协议(PPP)、以太网上的点对点协议(PPPoE)、ATM上的点对点协议(PPPoA)、蓝牙协议、IEEE 802.XX协议、帧中继协议、令牌环协议、生成树协议、和/或任何其他合适的协议。 [0071] 计算系统500可以包括各种网络和/或计算部件。例如,计算系统500可以包括至少一个处理器514和系统存储器516。处理器514一般表示能够处理数据或解译并执行指令的任何类型或形式的处理单元。例如,处理器514可以表示专用集成电路(ASIC)、片上系统(例如,网络处理器)、硬件加速器、通用处理器、和/或任何其他合适的处理元件。 [0072] 处理器514可以根据以上讨论的网络协议中的一个或多个网络协议来处理数据。例如,处理器514可以执行或实施协议栈的部分,可以处理分组,可以执行存储操作(例如,对分组进行排对以用于稍后处理),可以执行终端用户应用,和/或可以执行任何其他处理任务。 [0073] 系统存储器516一般表示能够存储数据和/或其他计算机可读指令的任何类型或形式的易失性或非易失性存储设备或介质。系统存储器516的示例包括但不限于:随机访问存储器(RAM)、只读存储器(ROM)、闪速存储器、或任何其他合适的存储设备。尽管不被要求,但是在特定实施例中,计算系统500可以包括易失性存储单元(例如,系统存储器516)和非易失性存储单元(例如,如下面更详细描述的主存储设备532)。系统存储器516可以在网络设备中被实施为共享存储器和/或分布式存储器。另外,系统存储器516可以存储在网络操作中使用的分组和/或其他信息。 [0074] 在某些实施例中,示例性计算系统500还可以包括除了处理器514和系统存储器516之外的一个或多个部件或元件。例如,如图5所示,计算系统500可以包括存储器控制器518、输入/输出(I/O)控制器520以及通信接口522,其中的每个可以经由通信基础架构512相互连接。通信基础架构512一般表示能够促进在计算设备的一个或多个部件之间的通信的任何类型或形式的基础架构。通信基础架构512的示例包括但不限于:通信总线(例如,串行ATA(SATA)、工业标准架构(ISA)、外围部件互连(PCI)、PCI快速(PCIe)和/或任何其他合适的总线)、以及网络。 [0075] 存储器控制器518一般表示能够处理存储器或数据或者控制在计算系统500中的一个或多个部件之间的通信的任何类型或形式的设备。例如,在特定实施例中,存储器控制器518可以控制经由通信基础架构512在处理器514、系统存储器516、以及I/O控制器520之间的通信。在一些实施例中,存储器控制器518可以包括可以向链路适配器或者从链路适配器传送数据(例如,分组)的直接存储器访问(DMA)单元。 [0076] I/O控制器520一般表示能够协调和/或控制计算设备的输入和输出功能的任何类型或形式的设备或模块。例如,在某些实施例中,I/O控制器520可以控制或促进数据在计算系统500的诸如处理器514、系统存储器516、通信接口522、以及存储接口530的一个或多个元件之间的传输。 [0077] 通信接口522广泛地表示能够促进在示例性计算系统500与一个或多个附加的设备之间的通信的任何类型或形式的通信设备或适配器。例如,在某些实施例中,通信接口522可以促进在计算系统500与包括附加的计算系统的专用网络或公共网络之间的通信。 通信接口522的示例包括但不限于:链路适配器、有线网络接口(例如网络接口卡)、无线网络接口(例如无线网络接口卡)、以及任何其他合适的接口。在至少一个实施例中,通信接口522可以经由到诸如因特网的网络的直接链路来提供到远程服务器的直接连接。通信接口522还可以通过例如局域网(例如以太网)、个人局域网、广域网、专用网络(例如,虚拟专用网络)、电话或线缆网络、蜂窝电话连接、卫星数据连接、或任何其他合适的连接间接地来提供这样的连接。 [0078] 在某些实施例中,通信接口522还可以表示被配置为促进经由外部总线或通信信道在计算系统500与一个或多个附加的网络或存储设备之间的通信的主机适配器。主机适配器的示例包括但不限于:小型计算机系统接口(SCSI)主机适配器、通用串行总线(USB)主机适配器、IEEE 1394主机适配器、高级技术附加装置(ATA)、并行ATA(PATA)、串行(SATA)以及外部SATA(eSATA)主机适配器、光纤信道接口适配器、以太网适配器等。通信接口522还可以使得计算系统500能够参与到分布式计算或远程计算中。例如,通信接口522可以从远程设备接收指令或者向远程设备发送指令以用于执行。 [0079] 如图5所示,示例性计算系统500还可以包括经由存储接口530耦合到通信基础架构512的主存储设备532和/或备份存储设备534。存储设备532和534一般表示能够存储数据和/或其他计算机可读指令的任何类型或形式的存储设备或介质。例如,存储设备532和534可以表示磁盘驱动器(例如,所谓的硬盘驱动器)、固态驱动器、软盘驱动器、磁带驱动器、光盘驱动器、闪速驱动器等。存储接口530一般表示用于在存储设备532和534与计算系统500的其他部件之间传送数据的任何类型或形式的接口或设备。 [0080] 在特定实施例中,存储设备532和534尅被配置为从可移动存储单元读取和/或写入到可移动存储单元,所述可移动存储单元被配置为存储计算机软件、数据或其他计算机可读信息。合适的可移动存储单元的示例包括但不限于,软盘、磁带、光盘、闪速存储设备等等。存储设备532和534还可以包括用于允许计算机软件、数据或其他计算机可读指令被加载到计算系统500中的其他类似的结构或设备。例如,存储设备532和534可以被配置为读取和写入软件、数据、或其他计算机可读信息。存储设备532和534可以是计算系统500的一部分或可以是通过其他接口系统访问的单独的设备。 [0081] 许多其他设备或子系统可以连接到计算系统500。相反地,图5中图示的所有部件和设备不必需被呈现以实践本文中所描述和/或所图示的实施例。以上提及的设备和子系统也可以以与图5中示出的设备和子系统不同的方式相互连接。计算系统500也可以采用任何数目的软件、固件和/或硬件配置。例如,本文中公开的示例性实施例中的一个或多个可以被编码为在计算机可读介质上的计算机程序(也称为计算机软件、软件应用、计算机可读指令、或计算机控制逻辑)。术语“计算机可读介质”一般是指能够存储或承载计算机可读指令的任何形式的设备、载体、或介质。计算机可读介质的示例包括但不限于:诸如载波的传输型介质、以及诸如磁性存储介质(例如,硬磁盘驱动器和软盘)、光存储介质(例如,紧凑盘(CD)和数字视频盘(DVD))、电子存储介质(例如,固态驱动器和闪速介质)的非瞬态型介质、以及其他分布系统。 [0082] 尽管前面的公开使用特定框图、流程图、以及示例阐述各种实施例,但是本文中描述和/或说明的每个框图、部件、流程图的步骤、操作、和/或部件可以使用广泛的硬件、软件、或固件(或其任何组合)配置单独地和/或联合地被实施。另外,在其他部件内包含的部件的任何公开应当被认为实际上是示范性的,因为许多其他体系结构能够被实施以实现相同的功能。 [0083] 在一些示例中,图1中的聚合设备00的全部或一部分可以表示云计算和基于网络的环境的部分。云计算和基于网络的环境可以经由因特网提供各种服务和应用。这些云计算和基于网络的服务(例如,软件即服务、平台即服务、基础架构即服务等)可以通过网页浏览器或其他远程接口可访问。本文中描述的各种功能还可以提供网络交换能力、网关接入能力、网络安全功能、针对网络的内容高速缓存和递送服务、网络控制服务、和/或其他联网功能。 [0084] 另外,本文中描述的所述模块中的一个或多个可以将数据、物理设备、和/或物理设备的表示从一种形式转变到另一种形式。例如,本文中叙述的所述模块中的一个或多个可以接收要被变换的网络消息、通过地网络消息进行修改、封装、数字签名、和/或解密来变换网络消息、将所述变换的结果输出到接收方网络设备、使用所述变换的结果来对网络设备进行认证并保护终端用户的安全性、并且将所述变换的结果存储到存储设备或存储器。额外地或备选地,本文中叙述的所述模块中的一个或多个可以通过运行在计算设备上、将数据存储在计算设备上、和/或以其他方式与计算设备交互来将处理器、易失性存储器、非易失性存储器、和/或物理计算设备的任何其他部分从一种形式转变到另一种形式。 [0085] 本文中描述和/或图示的过程参数和步骤的顺序仅仅通过举例的方式给出并且能够根据需要而变化。例如,尽管本文中描述和/或图示的步骤可以以特定顺序被示出或被讨论,但是这些步骤无需以图示或讨论的顺序执行。本文中描述和/或图示的各种示例性方法也可以省略本文中描述和/或图示的步骤中的一个或多个步骤或包括除了公开的那些步骤之外的步骤。 [0086] 已经提供了前面的描述以使得本领域技术人员能够最好地利用本文中公开的示例性实施例的各个方面。该示例性描述并不旨在穷举或限于所公开的任何精确形式。在不偏离本公开宁日的精神和范围的情况下能够进行许多修改和变型。本文中公开的实施例应当在各方面被认为是说明性的而非限制性的。在确定本公开内容的范围时应当参考所附的权利要求书及其等价物。 [0087] 除非另行指出,如在本说明书和权利要求书中使用的,术语“连接到”和“耦合到”应被解释为允许(即,经由其他元件或部件)直接连接和间接连接两种。另外,如在本说明书和权利要求书中使用的术语“一”或“一个”不应被解释为指“至少一个”。最后,为了便于使用,如在本说明书和权利要求书中使用的术语“包含”和“具有”(以及其衍生词)可与词语“包含”互换并且具有与词语“包含”相同的含义。 |
||||||
QQ群二维码
意见反馈
意见反馈