CN1557087A - 网络设备对于目标网络环境的可寻址性的自动建立 - Google Patents
网络设备对于目标网络环境的可寻址性的自动建立 Download PDFInfo
- Publication number
- CN1557087A CN1557087A CNA028185587A CN02818558A CN1557087A CN 1557087 A CN1557087 A CN 1557087A CN A028185587 A CNA028185587 A CN A028185587A CN 02818558 A CN02818558 A CN 02818558A CN 1557087 A CN1557087 A CN 1557087A
- Authority
- CN
- China
- Prior art keywords
- network equipment
- equipment
- data
- configuration
- addressability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
- H04L41/0809—Plug-and-play configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本发明提供了一种装置和方法,用于在预先存在的通信网络上进行远程、自动和安全的网络设备预配。根据一个实施例,其支持网络设备对于目标网络环境的可寻址性的自动建立。处于工厂缺省配置中的网络设备的引导时过程检测在其中包含有可寻址性数据的存储设备的存在,该可寻址性数据允许网络设备在目标网络环境中进行通信并且是可寻址的。在检测到存储设备的存在之后,网络设备通过使用与存储设备相关联的通信协议,从存储设备接收可寻址性数据。最后,通过基于可寻址性数据配置网络设备的一个或多个地址参数,网络设备的可寻址性被建立,以便使其在目标网络环境中可以与其他节点进行通信并可以被其他节点寻址。
Description
技术领域
本发明一般地涉及网络设备的领域。更具体地,本发明涉及安全并自动地建立网络设备对于目标网络环境的可寻址性,以及利用配置数据安全并自动地预配(provision)网络设备以使其进入完全定义的功能状态的方法和装置,所述网络设备例如是路由器、交换机、防火墙、虚拟私人网关等。
背景技术
此申请要求在2001年7月20日递交的美国临时申请No.60/307,099的权益。
在此所包含的是受到版权保护的材料。版权所有者不反对任何人对出现在美国专利商标局的专利文件或记录中的专利公开进行复制,但是,对其他情况,将保留对于所有版权的全部权利。
诸如路由器、交换机、防火墙以及虚拟私人网络网关之类的网络计算和通信设备具有极大的管理强度。基于网络设备在周围设备的环境中将如何运行,这些网络设备通常支持许多可配置参数,这些可配置参数必须都被正确地设置。为了正确地安装这类设备,一个组织通常要依靠能够理解网络原理和协议的合格管理员(工作人员中的某人或来自第三方的某人)。此外,这些懂技术的管理员通常必须对网络设备进行某种物理访问,以使其是可操作的。因而,在网络设备预期的位置进行安装之前,他们通常必须到达网络中的每一个地点或者获得对这些网络设备的访问。
虽然存在诸如简单网络管理协议(Simple Network ManagementProtocol,SNMP)之类的若干管理协议,允许已经具有有效互联网协议(IP)配置的网络设备被配置在预先存在的网络上,但是目前还没有现成的机制用于自动地并安全地将网络设备从工厂缺省状态变成初始操作状态,其中,在所述初始操作状态中,网络设备在预期的网络环境中可以通信并且是可寻址的。
附图说明
在附图中,以示例的方式而不是以限制的方式说明了本发明,其中,类似的参考数字表示相似的元件,并且其中:
图1示出了根据本发明的一个实施例的示例性的虚拟私人网络(VPN)预配系统。
图2是示出了根据本发明的一个实施例的网络设备预配系统的各个阶段的高级流程图。
图3是示出了根据本发明的一个实施例的设计阶段处理过程的流程图。
图4是根据本发明一个实施例的网络设备的高级方框图。
图5是根据本发明一个实施例的智能硬件存储设备的方框图。
图6是示出了根据本发明一个实施例的可寻址阶段处理过程的流程图。
图7是示出了根据本发明一个实施例的网络设备配置阶段的流程图。
图8是示出了根据本发明一个实施例的设备配置服务器配置阶段处理过程的流程图。
具体实施方式
在此描述了用于在预先存在的通信网络上的远程、自动和安全的网络设备预配的装置和方法。大致来说,本发明的实施例试图提供可直接管理且不复杂的机制,用于建立可寻址性和预配网络设备,诸如路由器、交换机、防火墙以及虚拟私人网络网关。
自动实现的可寻址性和自动的预配被认为提供了重要的销售特性,特别是在VPN产业中,在VPN产业中,用户还没有足够地理解技术,使得在很多情况下,服务管理仍由服务供应商负责。直至现在,这种服务管理的关键部分还是义务的现场拜访,以安装用户端设备。避免此类拜访的能力被期望转化成对于VPN服务供应商和/或设备厂商成本的大幅度节省。
本发明的实施例的另外的优点包括,原设备制造商(OEM)和服务供应商的用户能够提高其自己的网络技术人员的工作效率,并且因为既不需要技术人员也不需要单独的地点拜访,所以此改进的网络设备的最终用户获得了更加容易的使用性和提高了的效率。
在下面的描述中,为了解释的目的,阐述了很多具体细节,以便于充分理解本发明。但是,没有这些具体细节中的一些也可以实施本发明,这对于本领域的技术人员来说是很明显的。在另外一些例子里,公知的结构和设备以方框图的形式示出。
本发明包括各种步骤,这将在下面描述。本发明的步骤可以由硬件部件完成,或可以由机器可执行的指令实现,这些指令可以用于使得由所述指令编程的通用处理器或专用处理器来执行所述步骤。或者,这些步骤可以由硬件和软件的组合来完成。
本发明可以被提供为可以包括机器可读介质的计算机程序产品,所述机器可读介质具有被存储于其上的指令,其可以被用于编程计算机(或其他电子产品)以执行根据本发明的处理过程。机器可读介质可以包括但不限于软盘、光盘、压缩盘只读存储器(CD-ROM)以及磁光盘、ROM、随机存取存储器(RAM)、可擦可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM)、磁或光卡、闪存或适于存储电子指令的其他类型的媒体/机器可读介质。而且,本发明还可以作为计算机程序产品下载,其中,所述程序可以经由通信链路(例如,调制解调器或网络连接)通过由载波或其他的传播介质所实现的数据信号的方式,从远程计算机被传输到请求计算机。
虽然为了方便的目的,参照虚拟私人网络(VPN)设备并在示例性的VPN网络的环境中描述了本发明的实施例,但是本发明可以同样地用于各种其他的网络设备,例如路由器、交换机、网桥和防火墙,以及各种其他的网络环境。此外,虽然在此所描述的VPN预配管理者(VPN ProvisionManager)从事站点对站点(site-site)的VPN服务,但是对于诸如路由器的补充设备的远程访问服务也是在设想中的。此外,通过集成高级IP服务,可以添加用于服务质量(QoS)、语音以及应用分布的机制。
术语
在描述本发明的各种实施例在其中可以被实施的示例性网络环境之前,将简要地定义一些将在此整个申请中使用的术语。
如在此所使用的,“网络设备”通常是指一种中间设备,所述中间设备促进通过一组互联的局域网(LAN)进行计算机对计算机的通信。示例性的网络设备包括网关、路由器、交换机、网桥和防火墙。
术语“固件”通常是指用于操作网络设备并实现其特征的程序指令。固件可以包括实现系统部件的程序指令,例如操作系统、设备驱动程序、网络协议栈以及管理协议。这些程序指令可以被存储在诸如闪存模块、EPROM、EEPROM以及现场可编程门阵列(FPGA)之类的介质中,或者在如下面所定义的智能硬件存储设备的控制下,利用中间设备或通信协议,可以将这些程序指令部分地或全部地发送到设备。
术语“工厂缺省配置”或“工厂缺省状态”通常是指“从箱中拿出”或没有初始化的配置或状态,其中网络设备的确包含固件,但没有包含用于它将在其中运行的目标网络环境识别其自身的数据,并且没有包含在目标网络环境中识别其他网络设备的数据。例如,处于工厂缺省配置的网络设备不能被在网络上寻址,因为它还没有在网络所使用的地址空间中分配诸如互联网协议(IP)地址的逻辑地址。此外,网络设备不能在网络上进行通信,因为它没有有关其对等设备的逻辑地址的信息。
术语“初始操作配置”或“初始操作状态”通常是指已初始化的配置或状态,但不必是完全定义的功能状态。举例来说,处于初始操作配置(例如具有有效IP配置)的网络设备在具体的网络环境中可以进行通信,并且是可寻址的,但可以仍然不知道它将如何处理某些类型的网络流通量。
术语“可寻址性数据”通常是指可以直接或间接地将网络设备从工厂缺省状态变为初始操作配置的数据。根据在此所描述的实施例,可寻址性数据可以包括下述中的一种或多种:(1)网络设备的唯一的逻辑地址,诸如IP地址;(2)网络设备的本地IP子网掩码;(3)与网络设备的缺省网关相关联的逻辑地址;(4)远程设备配置服务器的逻辑地址:(5)逻辑名称,例如域名系统(DNS)项的域名地址等,所述逻辑名称代表或可以被映射成网络设备的唯一的逻辑地址;(6)代表或可以被映射成与缺省网关相关联的逻辑地址的逻辑名称;以及(7)代表或可以被映射成远程设备配置服务器的逻辑地址的逻辑名称。
术语“配置数据”通常是指可以将网络设备从初始操作配置变成完全定义的功能状态的数据。例如,在即将建立与一个或多个对等VPN设备之间的安全的通道的第一VPN设备的情况中,用于该第一VPN设备的配置数据可能包括对等VPN设备的IP地址,以及关于被允许通过此安全通道进行传输的网络流通量类型的详细资料。在此示例中,当第一VPN设备已经建立了与对等VPN设备的安全通道,并且已经被适当地对自身进行了配置,使得确保只有许可的网络流通量通过各安全通道传输的时候,便实现了完全定义的功能状态。
术语“安全性数据”通常是指共享的秘密或数据,所述共享的秘密或数据可以用于生成被网络设备用来从远程设备配置服务器存取配置数据的共享秘密。根据一个实施例,安全性数据被直接地或间接地用来加密在网络设备和远程设备配置服务器之间交换的通信。根据另一个实施例,安全性数据包含被从存储设备传输到网络设备的唯一的标识符或密码。在可以包括与中间设备通信的其他实施例中,这样的中间设备之间的通信可以自己使用诸如互联网协议安全性(IPSec)之类的附加安全协议,以及诸如X.509认证之类的附加安全机制。
如在此所使用的,网络设备“建立可寻址性”的短语通常是指将网络设备从工厂缺省状态(例如,其中网络设备在目标网络环境中是不可操作的状态)变成初始操作状态(例如,其中网络设备在目标网络环境中可以与其他网络设备通信并且可以被其他网络设备寻址的状态)的过程。
如在此所使用的,“预配”网络设备通常是指提供与网络设备管理的下列阶段:配置、服务以及应用,其中的一个或多个相关的配置数据或参数。例如,如在此所使用的,预配可以包括下述操作中的一个或全部:(1)利用使网络设备成为完全定义的功能状态所需的所有用户特定的数据来配置网络设备;(2)使能诸如服务质量(QoS)以及语音之类的高级IP服务。
如在此所使用的,“虚拟私人网络或VPN”通常是指被耦合到转接网络或互联网络(internetwork),例如互联网(Internet)的一组诸如网络设备或计算机系统的节点,该组节点利用加密技术在彼此之间进行通信。这样,可以形成广域网(WAN),在该广域网中,在节点之间所交换的信息不会受到被没有授权的用户所截取和得知的危险,而无需私人线路、租用线路和/或长途专用线路的花费。
如在此所使用的,“智能硬件存储设备”通常是指用户可用的、便携的、可拆卸的存储设备,所述存储设备可以与网络设备外部地可通信地耦合。这样,此定义排除了打算在网络设备中内部使用的闪存模块。但是,智能硬件存储设备可以参与加载、选择或改变被存储在这样的闪存模块中的数据,例如固件或引导参数,以便配置网络设备。重要的是,不需要将智能硬件存储设备直接地或物理地耦合到网络设备。例如,智能硬件存储设备可以通过一个或多个中间设备直接或间接地耦合到网络设备的预配端口,或利用无线数据传输协议与网络设备进行通信。可以考虑各种类型的硬件存储设备,例如电子安全设备、密钥、密钥卡、锁、Sentinel工具、dongle(狗)工具、硬件密钥、无线手持设备、智能卡、磁编码卡或包括通用串行总线(USB)硬件令牌的硬件令牌等。
如在此所使用的,“转接网络”可以是中间的公共或私人网络或互联网络。互联网是公共互联网络的一个示例。公司或企业网络是私人网络或互联网络的示例。
示例性的VPN预配系统
图1示出了根据本发明的一个实施例的示例性虚拟私人网络(VPN)预配系统100。在此示例中,VPN预配系统100包括两个VPN网关115和125、控制台计算机130、两个令牌116和126、配置数据库135以及设备配置服务器110。
在VPN网关115和125被递送到适当的用户网络地点之后,作为可直接管理和不复杂的安装过程的一部分,VPN网关115和125被耦合到例如互联网的转接网络105。在此示例中,VPN网关115和125分别配备有预配接口117和127,以从诸如令牌116和126之类的外部存储设备接收带外(out-of-band)数据,其中,所述预配接口117和127例如为符合1997年10月公布的美国国家标准协会(ANSI)/电信工业协会(TIA)/电子工业联合会(EIA)-232-F-1997(ANSI/TIA/EIA-232-F-1997)(此后称为“EIA232”)的异步通信端口,或其他的串行、并行或USB端口。根据一个实施例,带外数据包括基本可寻址性数据,该基本可寻址性数据使能VPN网关115和125在初始操作状态中启动,其中在所述的初始操作状态中,VPN网关115和125可以在其网络环境中进行通信并且是可寻址的。这时,可以开始手动或自动的配置过程,以使VPN网关115和125成为完全定义的功能状态。例如,自动配置过程可以获得适当的参数,以建立VPN网关115和125之间的通道120,由此允许VPN网关115和125经由通道120在转接网络105上安全地交换数据。
控制台计算机130运行配置程序(没有示出),所述配置程序允许网络技术员将配置数据输入到配置数据库135中。控制台计算机130还包括诸如符合EIA232的异步通信端口之类的接口(没有示出),如在下面所进一步描述的,所述接口允许配置程序利用诸如可寻址性数据和安全性数据之类的数据对诸如令牌116和126的存储设备进行编程。
根据一个实施例,令牌116和126是智能硬件设备,所述智能硬件设备包含相对小容量(通常约为100字节)的非易失性可编程存储器,所述存储器可以通过通信协议进行编程和读取。如虚线所示出的,令牌116和126可以与控制台计算机130以及例如VPN网关115和125的待预配的网络设备都进行接口。例如,可以将令牌116和126插入诸如符合EIA232的异步通信端口之类的端口中。在通常的情形中,在预定的目标网络环境中,令牌116和126由控制台计算机130利用例如VPN网关115和125的网络设备所使用的可寻址性数据来进行编程。虽然由于简化的原因,将参照具体类型的硬件令牌的使用来描述本发明的实施例,但是,在其他的实施例中,各种其他的存储设备,例如无线手持设备、智能卡、磁编码卡或通用串行总线(USB)硬件令牌可以被用来代替令牌116和126。
用于使网络设备成为完全定义的功能状态的配置数据可以被存储在集中式或分布式配置数据库135中。例如,如将在下面所进一步描述的,熟悉关于网络设备的目标网络环境和关于网络设备的预期的使用的技术细节的网络技术员可以构建一组配置数据以满足用户的需要,并且将其上传到配置数据库135。
设备配置服务器110被耦合到网络105,并有权访问配置数据库135。设备配置服务器110运行服务器程序(没有示出),所述服务器程序响应于来自网络设备的配置请求,并将适当的配置数据传送到请求网络设备。一个实施例使用管理协议来传送配置数据。管理协议是与网络105、设备配置服务器110以及在网络设备上运行的固件程序兼容的通信协议,其中所述协议允许网络设备通过网络105向/从设备配置服务器110传送/接收例如配置文件的配置数据。管理协议可以包括用于安全性的加密,由此可以使远程初始配置和/或远程管理被安全地进行。在一个可替换的实施例中,网络设备利用中间VPN网关建立与设备配置服务器110之间的安全管理通道。一旦建立了管理通道,使用诸如SNMP的标准管理协议来配置设备。在另一个可替换的实施例中,由诸如在2000年1月所公布的请求注解(Request for Comments,RFC)2748和2001年3月所公布的RFC 3084中所描述的“Common Open Policy Service Usage for PolicyProvisioning(COPS-PR)Policy Information Base and Policy Server”来实施设备配置服务器110和配置数据库135的功能。重要的是,在可替换的实施例中,VPN网关115和125通过其耦合到设备配置服务器并且配置数据通过其被传送的网络可以是不同于VPN网关115和125通过其进行通信的网络。
网络设备预配
图2是示出了根据本发明的一个实施例的网络设备预配系统的各个阶段的高级流程图。在下面的讨论中,假设用户期望使用由厂商所提供的网络设备,并且厂商将网络设备和用对于目标网络环境的适当的可寻址性数据进行了预编程的存储设备运送到用户地点,并提供远程设备配置服务器以支持初始远程配置。但是,在可替换的实施例中,设想了各种其他情形。例如,网络设备供应商、已编程存储设备的供应商以及远程配置服务的供应商中的一个或多个可以是不同的单位。
在所述的实施例中,网络设备预配系统处理在方框205开始。在方框205,进行设计阶段。通常,在由厂商运送任何网络设备之前,用户跟厂商进行订货。对于厂商而言,这是获得关于用户的网络环境以及关于用户对所订购的网络设备的预期使用的相关技术细节的理想机会。因而,根据本发明的一个实施例,在将网络设备运送到用户网络地点之前,从用户那里获得诸如网络设备将位于网络中的何处或它们将如何处理信息包之类的具体细节。然后由高度熟练的网络技术员在控制台计算机130的帮助下对此具体信息进行综合,以产生分别用于可寻址阶段和配置阶段的可编程数据和配置数据。简要地说,可以概念性地将可寻址性数据认为是使能网络设备在初始操作配置中启动的一组基本数据,例如有效IP配置,其中,在所述初始操作配置中,网络设备可以在目标网络环境中进行通信并是可寻址的。同时,配置数据是这样一组数据,即该组数据允许网络设备超出初始操作配置而成为完全定义的功能状态,其中,在所述完全定义的功能状态中,如用户所期望的,网络设备被配置,并做好了转发、过滤和/或路由信息包的准备。下面讨论这样的数据的具体示例。
在方框210,进行可寻址阶段。可寻址阶段通常在网络设备已经被运送到用户网络地点并与目标网络环境相耦合之后进行。此时,指出网络设备的工厂缺省配置不包含在目标网络环境中识别网络设备的数据是有用的,其中,所述网络设备将在该目标网络环境中运行。此外,在工厂缺省配置中,网络设备不知道在目标网络环境中其他网络设备的身份。一般来说,对于网络设备在网络上进行通信并且是可寻址的,这所需的是一个唯一的逻辑地址,例如IP地址以及其自身的子网掩码和其缺省网关的逻辑地址。提供这样的以及可能的其他的基本信息是可寻址阶段的目的,其包括在诸如智能硬件令牌之类的预编程的存储设备的帮助下将此信息传输到网络设备。在可替换的实施例中,可以使用各种其他的存储设备,例如无线手持设备、智能卡或磁编码卡。
为了完成网络设备的配置并使其进入完全定义的功能状态,通过进行配置阶段,在方框215将存储在配置数据库135中的剩余的用户特定数据(“配置数据”)提供给网络设备。在完成可寻址阶段后,网络设备能够在网络上进行通信,并且是可寻址的。因而,根据一个实施例,当可寻址阶段完成时,网络设备向设备配置服务器110发出通过转接网络105从配置数据库135下载配置数据的请求。
此外,在一个可替换的实施例中,设计、可寻址和配置阶段可以在以后被重复进行,以便修改网络设计和更新网络设备,例如,将第四个设备加入到具有三个设备的先前已经被预配的全连通(fully-meshed)网络。在此情况下,如上所述的,设计、可寻址和配置阶段起到预配新设备的作用。但是,仅仅进行设计和配置阶段来修改三个先前已配置的设备,而不必重新建立它们的可寻址性。
设计阶段处理过程
图3是示出了根据本发明的一个实施例的设计阶段处理过程的流程图。所描述的实施例假设配置数据所依赖的信息已经从用户那里获得。例如,如上所述的,获得关于用户的目标网络环境以及关于网络设备的预期的用途的具体细节的理想时间是在进行订货的过程中或在网络设备的运送之前。
不论怎样,设计阶段开始于方框305,其中由用户所订购的网络设备以工厂缺省状态被运送到适当的网络地点。
在进行到方框310之前,网络技术员分析用户的需求,并确定用于允许网络设备在目标网络环境中以初始操作状态进行引导的参数。例如,为了使网络设备在互联网上是可使用的并允许其进行自动远程初始配置处理过程,通常指定下列的一组参数:
·网络设备的本地IP子网掩码和在所述子网中的唯一IP地址。遵循通信网络的标准惯例选择这些地址,以便在目标网络上为网络设备提供唯一的公共地址。或者,如果对于网络设备将使用诸如网络地址转换(NAT)的地址映射技术,则某个唯一的公共地址被映射给网络设备。
·缺省网关(例如,路由器)的IP地址,其中,所述缺省网关将通过转接网络105,将数据从网络设备路由至远程设备配置服务器110。缺省网关还会将来自设备配置服务器110的返回数据路由至网络设备。
·设备配置服务器110的IP地址。在不使用自动预配的其他实施例中,不需要将设备配置服务器110的IP地址包括为可寻址性数据的一部分。还应该了解,在使用不同网络协议的不同网络环境中,举例来说,可能需要其他的最小的几组可寻址性数据来使网络设备是可使用的。
为了允许安全配置,各网络设备还可以配置有用于身份验证的安全性数据。例如,可以给每一个网络设备分配一个唯一的标识符或密码,网络设备可以将其提供给设备配置服务器110,以允许设备配置服务器110确认正在被使用的网络设备和/或智能硬件存储设备。
在方框310,用于当前网络设备的配置数据被上传到配置数据库135,并与例如唯一的标识符或密码之类的安全性数据相关联。例如,根据一个实施例,网络技术员可以使用在控制台计算机130上执行的控制台程序,来将用于用户所订购的网络设备的参数输入至配置数据库135之中。控制台程序的一个优点是其通过生成并确认对于所有网络设备的一致的配置数据,可以对于更大型网络大大改善此项任务的可靠性。否则的话,这是常见的错误源。
在方框315,利用网络设备的可寻址性数据和在方框310中所使用的相应的安全性数据来编程与当前的网络设备相关联的智能硬件存储设备。根据一个实施例,网络技术员通过将智能硬件存储设备连接到符合EIA232的通信端口并随后利用与智能硬件存储设备相关的通信协议将可寻址性数据拷贝到智能硬件存储设备的存储器中,来完成这项操作。
在方框320,已编程的硬件存储器被单独地运送到网络设备地点。
在方框325,确定对于所有用户的网络设备,设计阶段的活动是否已经被完成了。如果是,则设计阶段完成;否则,设计阶段继续开始进行方框310。
此示例是用来说明在此所描述的新的预配方案的安全特征。因为网络设备可以保存在其密封的箱子中,所以网络设备和诸如硬件令牌的智能硬件存储设备可以被分别地运送到用户网络地点。这样,使用预编程的硬件存储设备,使得在网络设备在运输过程中被盗的情况下,安全性被破坏的可能性减到最小,因为除非盗贼还在传送过程中窃取了被单独运送的硬件存储设备并且复制或骗取了合法拥有者的网络地址,他将不能使网络设备联机,并装成为合法的拥有者。
示例性网络设备
图4是根据本发明一个实施例的网络设备400的简化的高级方框图。网络设备400表示示例性的网络计算机设备或网络通信设备,例如VPN网关、路由器、交换机或防火墙,在所述设备中可以实现本发明的特征。根据本发明的各种实施例,网络设备可以是当前或未来版本的IntelNetStructureTM 31xx系列的VPN设备,或者当前或未来版本的其他Intel网络计算机产品,例如Intel Express路由器(Intel和NetStructure是美国加利福尼亚州圣克拉拉的英特尔公司的商标或注册商标)。
不论怎样,在此示例中,网络设备400包括:诸如总线410的通信装置,用于进行信息通信,以及诸如一个或多个处理器415的与总线410耦合的处理装置,用于处理信息并执行指令。网络设备400还包括耦合到总线410的随机存取存储器(RAM)420或其他动态存储设备(也称为主存储器),用于存储将由处理器415执行的指令和信息。在处理器415执行指令的过程中,主存储器420还可以被用于存储临时变量或其他的中间信息。网络设备400还包含耦合到总线410的只读存储器(ROM)425和/或其他静态存储设备,用于存储处理器415用的静态信息和指令。
诸如闪存盘、磁盘或光盘之类的数据存储设备430以及相应的驱动器也可以被耦合到总线410,用于存储信息和指令。根据一个实施例,诸如引导程序之类的控制设备运行的固件程序可以被存储在ROM 425中或存储在数据存储设备430上,用于由处理器415访问或执行。
示例性智能硬件存储设备
图5是根据本发明一个实施例的智能硬件存储设备500的方框图。举例来说,智能硬件存储设备500代表示例性的可编程硬件令牌或其他用户可使用的存储设备,其可以通过网络设备的预配端口外部地接口到网络设备。根据本发明一个实施例,智能硬件存储设备包含可从美国科罗拉多州Ridway的Microcomputer Applications(微型计算机应用)公司获得的增强的或定制的当前或未来版本的KEY-LOKTM系列的dongle工具或可从美国佐治亚州亚特兰大的Marx Software Security获得的增强的或定制的当前或未来版本的CRYPTO-BOX系列的硬件密钥(KEY-LOK是美国科罗拉多州Ridway的Microcomputer Applications公司的商标或注册商标;CRYPTO-BOX和MARX是美国佐治亚州亚特兰大的Marx SoftwareSecurity的商标或注册商标)。
根据本发明的各种实施例,对于某些实施,可能希望配备更少或更多的硬件存储设备。在此将讨论两个示例性配置,一个参照用实线所描绘的功能单元,另一个参照用实线所描绘的功能单元以及用虚线所描绘的功能单元。但是,也设想了硬件存储设备500的配置在实施例与实施例之间将是不同的,这将取决于多种因素,流入使用的容易性、安全性以及简易性之间所期望的平衡和/或例如价格和性能的其他的制约。
根据一个实施例,智能硬件存储设备500只包含所描绘的功能元件的子集,即用实线所描绘的那些功能元件。在此示例中,智能硬件存储设备500包括:诸如共享的或专用的总线510的通信装置,用于进行信息通信;以及耦合到总线510的可编程的非易失性存储器525和/或其他静态存储设备,用于存储静态信息,所述静态信息例如分别在可寻址阶段和配置阶段期间由网络设备所使用的可寻址性数据和安全性数据。智能硬件存储设备500还包括耦合到总线510的一个或多个输入/输出(I/O)和编程接口540,用于在本地通信协议的规范下,接收将被编程到可编程的非易失性存储器525中的数据并输出包含在可编程的非易失性存储器525中的数据。根据一个实施例,为了使用的容易性,只包括一个I/O和编程接口用于以下两者:(1)接收例如来自控制台计算机的将被编程到可编程的非易失性存储器525中的数据,以及(2)将驻留在可编程的非易失性存储器525中的数据输出到处在工厂缺省配置中的网络设备。但是,在其他的实施例中,I/O和编程接口540可以包括分别的和独立的编程以及输出接口,以便于不同端口类型之间的互通性。
根据另一个实施例,除了用实线所描绘的功能单元之外,智能硬件存储设备500还包含用虚线所描绘的那些功能单元。在此示例中,智能硬件存储设备500也包括诸如处理器515的与总线510耦合的处理装置,用于处理信息和执行指令,例如实现用于各种网络设备的本地控制台命令集的那些信息和指令。硬件存储设备500还包括耦合到总线510的随机存取存储器(RAM)520或其他动态存储设备(也称为主存储器),用于存储将由处理器515执行的指令和信息。在处理器515执行指令的过程中,主存储器520还可以被用于存储临时变量或其他的中间信息。诸如闪存盘、磁盘或光盘之类的数据存储设备530以及相应的驱动器也可以被耦合到总线510,用于存储信息和指令。
根据此配置,智能硬件存储设备500通过控制网络设备使用其本地控制台命令集,可以操作在其引导固件中不支持特定预配模式的网络设备。例如,根据一个实施例,令牌可以包括逻辑和数据(在设计阶段期间所指定的),其中,所述的逻辑和数据指导具体的网络设备进行与可寻址阶段等效的过程、连接到设备配置服务器并且完成配置阶段。根据另一个实施例,智能硬件存储设备500可以直接或间接地参与对网络设备的现有引导固件的升级、重载或补充。例如,在设计阶段期间所指定的逻辑和数据可以使得智能硬件存储设备500将本地控制台命令发送到网络设备,指导其从设备配置服务器或某些其他中间设备下载固件的更新资料。然后可以继续如这里所述的可寻址和/或配置阶段。
作为硬件令牌的可替换物,其他现有的或未来的介质也可以适用于在此所述的预配系统。但是,使用结合在此所讨论的实施例所描述的硬件令牌中的一种存在若干优点。第一,作为可插拔的部件,硬件令牌为非技术人员提供了使用的容易性,并大大地消除了操作员失误的风险。倘若令牌的拥有权被正确地管理的话,其还可以作为安全的密钥分配方法。第二,硬件令牌改善了而不改变兼容的网络设备的操作。即使自动预配特征是不可用的或者没有被用户请求或订购,当网络设备离开工厂时,它也是一件完全可使用的设备。因此,在熟练的网络管理员的控制下,刚从箱子中取出的崭新的装置可以被连接到目标网络环境中,并可以被手动地配置,以具有与在其中自动建立了可寻址性以及被自动预配的装置相同的被使能的功能。
结果,在此所描述的灵活的预配方案可以使能网络设备中功能强大的特征,即自动预配,不过在没有此特征的情况下,所述网络设备可以利用其他方式成为完全可使用的。因此,产品获得了厂商可以利用的多功能性。特别是,在VPN产业中,服务供应商可以将不具有自动预配特征的VPN设备出售给希望管理其自己的设备的用户,而将具有该特征的设备出售给希望由互联网服务提供商(xSP)管理的解决方案的用户。
令牌便于此多功能性,因为它是外部连接的用户可用的部件,可以随意地进行连接或拆卸。当存在令牌时,它使得网络设备被自动地预配。当不存在令牌时,网络设备被正常地引导,并依赖于现有的或手动的配置。通过例如依靠调用闪存模块来使用用户的数据配置网络设备的方案,不能实现同样的多功能性和使用的容易性。
可寻址阶段
图6是示出了根据本发明一个实施例的可寻址阶段处理过程的流程图。在一个实施例中,可以在诸如的处理器415的已编程处理器的控制下,进行下面所述的操作。但是,在可替换的实施例中,这些操作可以由任何可编程的或硬编码的逻辑来全部地或部分地实现,举例来说,所述可编程的或硬编码的逻辑例如为现场可编程门阵列(FPGA)、晶体管-晶体管逻辑(TTL)或专用集成电路(ASIC)。
简要地说,根据本发明的一个实施例,网络设备的安装可以由用户人员来完成,他们不需要具有任何网络技能。当预编程的智能硬件存储设备到达各用户地点时,用户人员遵循简单的说明,将电源线和网线连接到网络设备,并将智能硬件存储设备与相应的网络设备进行接口(例如,在示例实施例中,将硬件令牌插入网络设备的指定的预配端口,诸如符合EIA232的通信端口)。当网络设备接着被重启或加电时,引导时过程检测智能硬件存储设备的存在,进入特定的预配模式,并从其读取可寻址性数据。
举例来说,当通过接通电源(冷启动)、通过按压重启按钮(热启动)或通过发送软件命令以进行重新启动(热启动)启动或重启网络设备400时,引导加载程序被执行。通常,在成功地进行诸如一组加电自检之类的一些基本硬件诊断检验之后,通过处理器415或诸如直接存储器存取控制器的另外的设备,将操作系统(OS)从非易失性存储装置载入到操作存储器中。接着,由处理器205执行OS所包含的指令序列,以将其他程序从非易失性存储装置载入到操作存储器中。但是,根据本发明的一个实施例,在将控制权转给OS之前,引导过程,或者由引导过程所启动的或在引导过程之前的另外的固件程序(通常被称为“引导时过程(boot timeprocess)或引导时程序(boot time procedure))确定是否进入特定的预配模式以接收可寻址性数据。在所述的实施例中,特定预配模式作为网络设备引导过程的一部分,由方框630和635表示。
可寻址阶段处理过程开始于方框605。在这里所描述的示例中,为了方便起见,将引导时过程假设为引导过程。一旦冷启动或热启动网络设备,网络设备引导过程被启动。在判断框610,确定网络设备的可寻址性参数的状态。如果可寻址性参数被初始化了,则从方框615继续引导过程。否则,如果可寻址性参数处在工厂缺省状态(例如,未初始化),则从判断框610继续引导过程。
在方框615,网络设备根据当前的可寻址性参数进行引导,并完成引导过程,其中,利用所述可寻址性参数已经在先地将所述网络设备进行了初始化。
在判断框620,在确定网络设备的可寻址性参数是未初始化的之后,引导过程检测是否存在智能硬件存储设备。根据一个实施例,检测这种存在包括检测硬件令牌与网络设备的指定预配端口的物理连接。但是,在可替换的实施例中,检测这种存在可以包括检测诸如个人数字助理(PDA)之类的无线手持设备的物理邻近。根据其他的实施例,智能硬件存储设备的存在通过已经被网络设备的读卡器读取的磁编码卡来表明,或者通过在网络设备的智能卡接口中存在智能卡来表明。不论怎样,如果智能硬件存储设备存在,则引导过程进入特定预配模式,并从方框630继续。否则,网络设备在不可寻址状态中引导,并完成引导过程。
在方框630,若有的话,使用与智能硬件存储设备相关联的通信协议,从智能硬件存储设备读取可寻址性数据。此外,此时如果将要进行远程初始配置,则还可以从智能硬件存储设备读取唯一标识符或密码。最后,在方框635,利用从智能硬件存储设备所读取的可寻址性数据,初始化网络设备的可寻址性参数。例如,引导过程可以将可寻址性数据存储在网络设备的非易失性存储器中,并将网络设备的IP地址、IP子网掩码以及缺省网关地址设置为在可寻址性数据中所指定的那些。根据一个实施例,引导过程自动地或响应于用户的输入,从方框635继续到网络设备的配置阶段处理过程。但是,在可替换的实施例中,在方框635之后,网络设备根据最近被初始化的可编程参数进行引导,并且完成引导过程。
配置阶段
简要地说,根据所述的实施例,一旦建立了可寻址性,则在网络设备上执行的引导时过程(例如,在网络设备的引导过程中所启动的固件程序)向位于从被编程的智能硬件存储设备所获得的地址处的设备配置服务器发送请求。配置阶段包括由在网络设备上执行的引导时过程和远程设备配置服务器进行的处理过程,以及在网络设备上执行的引导时过程和远程设备配置服务器之间的通信。为了方便起见,将分别参照图7和图8,从网络设备的角度和从远程设备配置服务器的角度来分别地描述不同的处理过程流程。
图7是示出了根据本发明一个实施例的网络设备配置阶段的流程图。如上所提及的,根据一个实施例,可以在完成方框635之后,自动地或手动地启动配置过程。在此实施例中,方框705至方框730是特定预配模式的一部分。不论怎样,此时,网络设备能够使用可寻址性数据来与周围的网络设备(诸如路由器)进行通信。这样,它可以通过网络发送和接收数据,并进行到配置阶段。
网络设备配置阶段处理过程开始于方框705,在方框705中,配置数据请求被发送至设备配置服务器110(其逻辑地址假定已经在例如可寻址阶段期间被事先提供了)。根据其中由设备配置服务器110进行身份验证的一个实施例,配置数据请求包括来自智能硬件存储设备的安全性数据、安全性数据的一部分或基于安全性数据生成的数据。或者,安全性数据可以被直接地或间接地用来加密在网络设备和设备配置服务器110之间交换的通信,例如配置数据请求和设备配置服务器的应答。
假设网络设备和智能硬件存储设备被设备配置服务器110成功地验证,则在方框710,例如通过管理协议从设备配置服务器110接收所请求的配置数据。
在判断框715,确定配置数据是否被网络设备成功地接收。如果是,则处理过程进行到方框720。否则的话,处理过程转向处理方框725。在方框720,从设备配置服务器所接收到的配置数据可以在自动配置过程的一部分中使用。在一个实施例中,配置数据代表网络设备为了在目标网络环境中变得充分起作用而所需的剩余数据。在接收到所述剩余数据之后,可以建立与由配置数据所识别的一个或多个对等设备之间的连接。根据一个实施例,网络设备是VPN网关,且配置数据包括:(1)VPN网关将与之建立通道的对等VPN设备的一个或多个IP地址;以及(2)用于被允许通过所述通道的流通量类型的端口和协议号。有利的是,照这样,非技术人员可以并行地对于网络来使多个网络设备被配置。
在判断框725,如果没有成功地从设备配置服务器接收到配置数据,则确定是否已经超出了重试的次数。如果是,则在处理方框730,网络设备在未被配置的状态中引导。否则,通过继续从处理方框705开始,启动重试。
根据一个实施例,一旦设备配置服务器已经成功地传送了所有配置数据,并且网络设备已经成功地接收了所述配置数据,则网络设备根据用户的要求被配置完全以进行工作。因而,网络设备可以禁止特定预配模式,以避免如果网络设备具有还被连接着的令牌而被重新引导时,重复进行预配操作。
或者,可以重复进行自动预配过程,以便使用已更新的配置数据替换当前的配置数据。这样,在以后的某时,预配系统可以用新的配置来更新网络设备。已经将初始可寻址性和安全性数据提供给各网络设备之后,预配系统被设置来安全地进行随时远程管理。
图8是示出了根据本发明一个实施例的设备配置服务器配置阶段处理过程的流程图。设备配置服务器在处理方框805接收到来自网络设备的配置数据请求之后,设备配置服务器进行方框810和815中的身份验证/确认过程,以确定从其发送请求的网络设备是否是被认为对于自动预配服务已经注册了的网络设备。此外,基于在对于配置数据的请求中所提供的安全性数据对令牌进行身份验证,所述安全性数据例如是密码或唯一标识符。特别是,在处理方框810,设备配置服务器在配置数据库中查找网络设备和令牌标识符,并将它们与授权列表进行比较。接着,在判断框815,确定网络设备和令牌是否通过了身份验证过程。如果是,则为了将配置数据提供给网络设备,对配置数据库的访问被允许,并且处理过程从方框820继续。否则,如果网络设备或者令牌没有通过身份验证,则对配置数据库的访问被拒绝,并且配置阶段结束,而设备配置服务器不向请求网络设备提供配置数据。根据一个实施例,网络设备和/或令牌身份验证方案可以使用各种现有身份验证协议中的一种,例如密码身份验证协议(PAP)或质询握手身份验证协议(CHAP)。
在处理方框820,设备配置服务器基于在请求中所提供的安全性数据,为网络设备在配置数据库中查寻一组适当的配置数据。假定在配置数据库中找到了配置数据,则在方框825,配置数据通过转接网络被传送给请求网络设备。根据一个实施例,利用在配置数据库以及智能硬件存储设备两者中存储的共享秘密,所传送的数据由设备配置服务器加密并由网络设备固件解密。
虽然在此所描述的实施例集中于从远程源(例如,设备配置服务器)向网络设备的配置数据的网络传输,但是在可替换的实施例中,所有的数据,例如可寻址性以及配置数据都可以被存储在智能硬件存储设备中,并直接通过智能硬件存储设备传送给网络设备。然而,在此所描述的数据传输方法是更加灵活的,因为取决于用户要求的复杂性,配置数据可以占据大量的存储空间——数目在几千字节(Kb)到几十Kb甚至几百Kb之间。利用网络数据传输,传送介质没有对数据大小的限制。
此外,网络数据传送机制允许设备配置服务器为不同类型设备的大型网络提供随时远程管理。假如各设备支持数据传输协议,则设备配置服务器可以将适当的配置数据传送到每种类型的设备。此外,网络数据传输传送机制具有迅速和可扩展的优点,因为设备配置服务器可以使用协议来同时对大型网络中的许多网络设备应用配置的变化。
在前述的说明中,已经参照其特定的实施例描述了本发明。但是,很明显,在不偏离本发明更宽的精神和范围的情况下,可以对其进行各种修改和变化。因此,说明书和附图应被认为是示例性的,而没有限制的意义。
Claims (60)
1.一种方法,包括:
通过处在工厂缺省配置的网络设备的引导时过程,检测在其中包含可寻址性数据的存储设备的存在,其中,所述可寻址性数据允许所述网络设备在其将在其中工作的网络环境中进行通信并且是可寻址的;
在检测到所述存储设备的存在之后,通过利用与所述存储设备相关联的用于将所述可寻址性数据从所述存储设备传输到所述网络设备的协议,在所述网络设备处接收所述可寻址性数据;以及
由所述引导时过程,通过基于所述可寻址性数据配置所述网络设备的一个或多个地址参数,建立所述网络设备的可寻址性,以便使所述网络设备在所述网络环境中可以与其他节点进行通信,并可以被所述其他节点寻址。
2.如权利要求1所述的方法,其中,所述网络设备包括指定的预配端口,并且所述检测存储设备的存在包括检测耦合到所述指定的预配端口的所述存储设备的存在。
3.如权利要求2所述的方法,其中,所述指定的预配端口包含符合EIA232的异步通信端口。
4.如权利要求2所述的方法,其中,所述存储设备包含硬件令牌,所述硬件令牌包括非易失性可编程存储器。
5.如权利要求1所述的方法,其中,所述可寻址性数据包括:
对于所述网络设备的唯一互联网协议地址;
对于所述网络设备的本地互联网协议子网掩码;
与所述网络设备的缺省网关相关联的互联网协议地址;和
远程设备配置服务器的互联网协议地址。
6.如权利要求1所述的方法,还包括所述引导时过程进行如下操作:
直接或间接地使用从所述存储设备获取的安全性数据加密配置请求;以及
向远程设备配置服务器发送所述已加密的配置请求。
7.如权利要求1所述的方法,其中,所述存储设备还包含充分的配置数据,以使所述网络设备进入完全定义的功能状态,并且其中,所述方法还包括通过使用用于将所述配置数据从所述存储设备传输到所述网络设备的所述协议,在所述网络设备处接收所述配置数据。
8.如权利要求1所述的方法,还包括在所述检测存储设备的存在之前,所述存储设备或另外的存储设备将固件载入所述网络设备,或者控制固件向所述网络设备的载入,所述固件包括有表示所述引导时过程的指令。
9.如权利要求1所述的方法,还包括由所述引导时过程,向远程设备配置服务器发送配置请求,所述配置请求包括从所述存储设备中获取的安全性数据,或者所述配置请求是基于所述安全性数据被加密的。
10.如权利要求9所述的方法,其中,所述网络设备包括虚拟私人网络设备,并且所述方法还包括响应于所述配置请求,从所述远程设备配置服务器接收配置数据,所述配置数据包括至少一个所述网络设备将与其建立通道的对等虚拟私人网络设备的互联网协议地址,以及用于被允许通过所述通道的流通量类型的端口和协议号。
11.如权利要求1所述的方法,其中,所述网络设备包括虚拟私人网络网关。
12.如权利要求1所述的方法,其中,所述网络设备包括路由器。
13.如权利要求1所述的方法,还包括在所述接收可寻址性数据之前,以及响应于所述检测到存储设备的存在,所述网络设备进入预配模式,以处理所述可寻址性数据的接收以及所述网络设备可寻址性的建立。
14.如权利要求1所述的方法,其中,所述存储设备包括无线手持设备。
15.如权利要求1所述的方法,其中,所述存储设备包括通用串行总线硬件令牌。
16.如权利要求1所述的方法,其中,所述存储设备包括智能卡。
17.如权利要求1所述的方法,其中,所述存储设备包括磁编码卡。
18.一种方法,包括下列步骤:
用于建立网络设备的可寻址性的步骤,所述步骤将所述网络设备从工厂缺省状态变为初始操作状态,在所述初始操作状态中,所述网络设备在预定的网络环境中可以进行通信,并且是可寻址的;和
响应于所述用于建立可寻址性的步骤的完成,用于预配所述网络设备的步骤,所述步骤将所述网络设备从所述初始操作状态变为完全定义的功能状态,在所述完全定义的功能状态中,通过经由在网络上的一次或多次数据传输从远程设备配置服务器获得剩余配置数据,所述网络设备被配置并且做好了在所述预定的网络环境中处理网络流通量的准备。
19.如权利要求18所述的方法,其中所述用于建立网络设备可寻址性的步骤包括使用耦合到所述网络设备的符合EIA232的异步通信端口的硬件令牌,所述硬件令牌包含在其中存储了可寻址性数据的非易失性可编程存储器,所述可寻址性数据包括对于所述网络设备的唯一互联网协议地址、与所述网络设备的缺省网关相关联的互联网协议地址、互联网协议子网掩码以及所述远程设备配置服务器的互联网协议地址。
20.如权利要求18所述的方法,其中,所述用于建立网络设备可寻址性的步骤包括耦合到所述网络设备的端口的硬件令牌利用所述网络设备的本地控制台命令集控制所述网络设备。
21.一种方法,包括:
通过处在工厂缺省配置的第一虚拟私人网络设备的引导时过程,检测耦合到所述第一虚拟私人网络设备的指定预配端口的硬件令牌的存在,所述硬件令牌包含在其中存储了可寻址性数据的非易失性可编程存储器,其中,所述可寻址性数据允许所述第一虚拟私人网络设备在预定的网络环境中进行通信并且是可寻址的;
在检测到所述存储设备的存在之后,通过利用与所述硬件令牌相关联的用于从所述硬件令牌的非易失性可编程存储器读取所述可寻址性数据的协议,在所述第一虚拟私人网络设备处接收所述可寻址性数据;
由所述引导时过程,通过基于所述可寻址性数据设置所述第一虚拟私人网络设备的一个或多个地址参数,建立所述第一虚拟私人网络设备的可寻址性,以便使其在所述预定的网络环境中可以与其他的网络设备进行通信;
由所述引导时过程,向远程设备配置服务器发送配置请求,所述配置请求包括从所述硬件令牌所读取的安全性数据,或者所述配置请求是基于所述安全性数据被加密的;
响应于所述配置请求,从所述远程设备配置服务器接收通道配置数据,所述通道配置数据包括与所述预定的网络环境相关联的第二虚拟私人网络设备的互联网协议地址;以及
基于所述通道配置数据,通过转接网络在所述第一虚拟私人网络设备和所述第二虚拟私人网络设备之间建立通道。
22.如权利要求21所述的方法,其中,所述转接网络包括私人互联网络。
23.如权利要求21所述的方法,其中,所述转接网络包括公共互联网络。
24.如权利要求23所述的方法,其中,所述转接网络包括互联网。
25.一种网络设备预配系统,包括:
要被设置为初始操作配置的第一网络设备,在所述初始操作配置中,所述第一网络设备在预定的网络环境中可以进行通信并且是可寻址的;
用于与所述第一网络设备的指定预配端口相接口的硬件令牌,所述硬件令牌包括其中存储了用于所述第一网络设备的可寻址性数据的非易失性可编程存储器;并且其中
所述第一网络设备响应于检测到在所述指定预配端口的所述硬件令牌的存在,能够自动地启动可寻址阶段,在所述的可寻址阶段期间,所述第一网络设备从所述硬件令牌接收所述可寻址性数据,并从当前的配置转变到所述初始操作配置。
26.如权利要求25所述的网络设备预配系统,还包括:
用于管理对多组配置数据的访问的远程设备配置服务器,所述多组配置数据包括用于所述第一网络设备的第一组配置数据;
其中,所述用于第一网络设备的可寻址性数据包括所述远程设备配置服务器的互联网协议地址;
其中,所述硬件令牌的非易失性可编程存储器另外在其中存储了对应于所述第一组配置数据的唯一标识符,以及
其中,所述第一网络设备响应于所述可寻址阶段的完成能够自动地启动配置阶段,在所述配置阶段期间,所述第一网络设备向所述远程设备配置服务器发送包括有所述唯一标识符的配置请求,并且,所述远程设备配置服务器通过将所述第一组配置数据提供给所述第一网络设备来响应所述配置请求。
27.如权利要求26所述的网络设备预配系统,其中所述第一网络设备包括第一虚拟私人网络设备,并且其中,所述第一组配置数据包括所述第一网络设备将与之建立通道的第二虚拟私人网络设备的互联网协议地址,以及用于被允许通过所述通道的流通量类型的端口以及协议号。
28.如权利要求26所述的网络设备预配系统,其中,所述第一网络设备包括路由器,并且其中,所述第一组配置数据包括访问控制表信息。
29.一种网络设备,包括:
用于从存储设备接收可寻址性数据的预配接口,所述可寻址性数据允许所述网络设备在目标网络环境中进行通信并且是可寻址的;
一个或多个闪存模块,所述闪存模块在其中存储了固件,用于:
在引导时过程期间检查所述存储设备的存在,
如果所述存储设备存在,则利用与所述存储设备相关联的协
议,使得所述可寻址性数据被从所述存储设备接收,以及
基于所述可寻址性数据,通过配置所述网络设备的一个或多个
地址参数来建立所述网络设备的可寻址性;和
处理器,所述处理器被耦合到所述一个或多个闪存模块,以响应于重启或加电来执行所述固件。
30.如权利要求29所述的网络设备,其中,所述预配接口包括符合EIA232的异步通信端口。
31.如权利要求29所述的网络设备,其中,所述固件还向远程设备配置服务器发送配置请求,所述配置请求包括从所述存储设备中获取的安全性数据,或者所述配置请求是基于所述安全性数据被加密的。
32.如权利要求31所述的网络设备,其中,所述网络设备包括虚拟私人网络设备,并且所述固件还响应于所述配置请求,从所述远程设备配置服务器接收配置数据,所述配置数据包括至少一个所述网络设备将与之建立通道的对等虚拟私人网络设备的互联网协议地址,以及用于被允许通过此通道的流通量类型的端口和协议号。
33.如权利要求31所述的网络设备,其中,所述网络设备包括路由器,并且所述固件还响应于所述配置请求,从所述远程设备配置服务器接收配置数据,所述配置数据包括访问控制表信息。
34.一种在其上存储了代表指令的数据的机器可读介质,所述指令如果被网络设备的处理器执行,则使得所述处理器:
检测在其中包含有可寻址性数据的存储设备的存在,所述可寻址性数据允许所述网络设备在其将在其中工作的网络环境中进行通信并且是可寻址的;
通过利用与所述存储设备相关联的用于将所述可寻址性数据从所述存储设备传输到所述网络设备的协议,接收所述可寻址性数据;以及
通过基于所述可寻址性数据配置所述网络设备的一个或多个地址参数,建立所述网络设备的可寻址性,以便使所述网络设备在所述网络环境中可以与其他节点进行通信,并可以被所述其他节点寻址。
35.如权利要求34所述的机器可读介质,其中,所述可寻址性数据包括:
对于所述网络设备的唯一互联网协议地址;
对于所述网络设备的本地互联网协议子网掩码;
与所述网络设备的缺省网关相关联的互联网协议地址;和
远程设备配置服务器的互联网协议地址。
36.如权利要求34所述的机器可读介质,其中,所述指令还包括这样的指令,如果所述处理器执行所述这样的指令,则所述这样的指令使得所述处理器向远程设备配置服务器发送配置请求,所述配置请求包括基于从所述存储设备所获取的信息的安全性数据。
37.如权利要求34所述的机器可读介质,其中,所述网络设备包括虚拟私人网络设备,并且其中所述指令还包括这样的指令,如果所述处理器执行所述这样的指令,则所述这样的指令使得所述处理器响应于配置请求,从远程设备配置服务器接收配置数据,所述配置数据包括至少一个所述网络设备将与之建立通道的对等虚拟私人网络设备的互联网协议地址,以及用于被允许通过此通道的流通量类型的端口和协议号。
38.一种使用网络设备的方法,包括:
提供网络设备;
提供硬件令牌,以与所述网络设备的指定预配端口相接口;
使用用于所述网络设备的可寻址性数据编程所述硬件令牌的非易失性存储器,所述网络设备响应于检测到在所述指定预配端口上的所述硬件令牌的存在,能够自动启动可寻址阶段,所述可寻址阶段使得所述网络设备从所述硬件令牌接收所述可寻址性数据,并从当前配置转变到初始操作配置,在所述初始操作配置中,所述网络设备在预定的网络环境中可以进行通信并且是可寻址的;以及
将所述网络设备和所述已编程的存储设备分别地运送到网络地点,其中,在所述的网络地点,所述网络设备将被安装在所述预定的网络环境中。
39.如权利要求38所述的方法,其中,所述网络设备响应于所述可寻址阶段的完成,能够自动地启动配置阶段,在所述的配置阶段期间,所述网络设备向远程设备配置服务器发送配置请求,所述远程设备配置服务器负责管理对远程配置数据库的访问,所述方法还包括:
将用于所述网络设备的配置数据上传至所述远程配置数据库中,并且将所述配置数据与唯一的一组安全性数据相关联;以及
用所述唯一的一组安全性数据编程所述硬件令牌的非易失性存储器,其中,所述安全性数据将被提供给所述网络设备,以便被包含在所述配置请求中。
40.如权利要求38所述的方法,其中,所述可寻址性数据包括:
对于所述网络设备的唯一互联网协议地址;
对于所述网络设备的本地互联网协议子网掩码;
与所述网络设备的缺省网关相关联的互联网协议地址;和
远程设备配置服务器的互联网协议地址。
41.如权利要求39所述的方法,其中,所述网络设备包括虚拟私人网络设备,并且所述配置数据包括至少一个所述网络设备将与其建立通道的对等虚拟私人网络设备的互联网协议地址,以及用于被允许通过所述通道的流通量类型的端口和协议号。
42.如权利要求41所述的方法,其中,响应于接收到所述配置数据,所述网络设备使得通过转接网络与所述对等虚拟私人网络设备的通道被建立。
43.如权利要求38所述的方法,其中,所述网络设备包括路由器。
44.如权利要求38所述的方法,其中,所述指定的预配端口包括符合EIA232的异步通信端口。
45.一种安装网络设备的方法,包括:
接收网络设备的递送,所述网络设备响应于检测到在所述网络设备的指定预配端口上的硬件令牌的存在,能够自动地启动可寻址阶段;
接收硬件令牌的递送,所述硬件令牌与所述网络设备的指定预配端口相接口,所述硬件令牌包括在其中存储了可寻址性数据的非易失性可编程存储器,所述可寻址性数据使所述网络设备进入初始操作状态,在所述初始操作状态中,所述网络设备在预定的网络环境中可以进行通信并且是可寻址的;
将所述网络设备与所述预定的网络环境可通信地耦合;以及
通过将所述硬件令牌耦合到所述网络设备的指定预配端口,启动所述可寻址阶段,并且使得所述网络设备被引导,所述可寻址阶段使得所述网络设备从所述硬件令牌接收所述可寻址性数据,并从当前配置转变至所述初始操作配置。
46.如权利要求45所述的方法,其中,所述硬件令牌的非易失性可编程存储器另外在其中存储了与用于所述网络设备的一组配置数据相关联的并且被存储在远程配置数据库中的唯一标识符,并且其中,所述网络设备响应于所述可寻址阶段的完成,能够自动地启动配置阶段,在所述配置阶段期间,所述网络设备通过向远程设备配置服务器发送包括有所述唯一标识符的配置请求,使得所述这组配置数据被传送到所述网络设备,其中,所述远程设备配置服务器负责管理对所述远程配置数据库的访问。
47.如权利要求45所述的方法,其中,所述可寻址性数据包括:
对于所述网络设备的唯一互联网协议地址;
对于所述网络设备的本地互联网协议子网掩码;
与所述网络设备的缺省网关相关联的互联网协议地址;和
远程设备配置服务器的互联网协议地址。
48.如权利要求46所述的方法,其中,所述网络设备包括虚拟私人网络设备,并且所述一组配置数据包括至少一个所述网络设备将与其建立通道的对等虚拟私人网络设备的互联网协议地址,以及用于被允许通过所述通道的流通量类型的端口和协议号。
49.如权利要求48所述的方法,其中,响应于接收到所述配置数据,所述网络设备使得通过转接网络与所述对等虚拟私人网络设备的通道被建立。
50.如权利要求45所述的方法,其中,所述网络设备包括路由器。
51.如权利要求45所述的方法,其中,所述指定的预配端口包括符合EIA232的异步通信端口。
52.一种递送网络设备的方法,包括:
将处在工厂缺省配置中的完全可用的网络设备运送到用户网络的地点,其中在所述的网络地点,所述网络设备将被安装在所述预定的网络环境中,所述网络设备响应于检测到在所述网络设备的指定预配端口上的所述外部的、用户可用的智能硬件存储设备的存在,能够自动地启动可寻址阶段;以及
如果所述用户已经要求了自动预配特征,则:
使用用于所述网络设备的可寻址性数据编程外部的、用户可用的
智能硬件存储设备,所述智能硬件存储设备与所述网络设备的指定预
配端口相接口,并使得所述可寻址阶段被启动,所述可寻址阶段使得
所述可寻址性数据从所述智能硬件存储设备传输到所述网络设备,并使得所述网络设备能够从所述工厂缺省配置转变到初始操作配置,在所述初始操作配置中,所述网络设备在所述预定的网络环境中可以进行通信并且是可寻址的,以及
将所述已编程的智能硬件存储设备运送到所述用户网络地点。
53.如权利要求52所述的方法,其中,所述网络设备响应于所述可寻址阶段的完成能够自动地启动配置阶段,在所述配置阶段期间,所述网络设备向远程设备配置服务器发送配置请求,其中,所述远程设备配置服务器负责管理对远程设备配置服务器的访问,所述方法还包括:
将用于所述网络设备的配置数据上传至所述远程配置数据库中,并且将所述配置数据与唯一的一组安全性数据相关联;以及
用所述唯一的一组安全性数据编程所述智能硬件存储设备,其中,所述安全性数据将被提供给所述网络设备,以便被含在所述配置请求中。
54.如权利要求52所述的方法,其中,所述可寻址性数据包括:
对于所述网络设备的唯一互联网协议地址;
对于所述网络设备的本地互联网协议子网掩码;
与所述网络设备的缺省网关相关联的互联网协议地址;和
远程设备配置服务器的互联网协议地址。
55.如权利要求53所述的方法,其中,所述网络设备包括虚拟私人网络设备,并且所述一组配置数据包括至少一个所述网络设备将与其建立通道的对等虚拟私人网络设备的互联网协议地址,以及用于被允许通过所述通道的流通量类型的端口和协议号。
56.如权利要求55所述的方法,其中,响应于接收到所述配置数据,所述网络设备使得通过转接网络与所述对等虚拟私人网络设备的通道被建立。
57.如权利要求52所述的方法,其中,所述网络设备包括路由器。
58.如权利要求52所述的方法,其中,所述指定的预配端口包括符合EIA232的异步通信端口。
59.如权利要求52所述的方法,其中,所述网络设备和所述已编程的智能硬件存储设备被分别地运送到所述用户网络地点。
60.如权利要求52所述的方法,其中,所述已编程的智能硬件存储设备通过一个或多个中间设备,与所述网络设备的指定预配端口相接口。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/957,879 | 2001-09-20 | ||
| US09/957,879 US7313819B2 (en) | 2001-07-20 | 2001-09-20 | Automated establishment of addressability of a network device for a target network environment |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1557087A true CN1557087A (zh) | 2004-12-22 |
Family
ID=25500288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA028185587A Pending CN1557087A (zh) | 2001-09-20 | 2002-08-22 | 网络设备对于目标网络环境的可寻址性的自动建立 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US7313819B2 (zh) |
| EP (1) | EP1430696A1 (zh) |
| JP (1) | JP3946700B2 (zh) |
| KR (1) | KR100647163B1 (zh) |
| CN (1) | CN1557087A (zh) |
| BR (1) | BR0212727A (zh) |
| WO (1) | WO2003026255A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101026626B (zh) * | 2006-02-15 | 2010-09-22 | 国际商业机器公司 | 用于配置网络服务协议实现的方法及数据处理系统 |
| CN101983496A (zh) * | 2008-02-01 | 2011-03-02 | 霍尼韦尔国际公司 | 无线系统网关高速缓存器 |
| CN101501663B (zh) * | 2005-04-22 | 2011-05-18 | 思科技术公司 | 一种安全地部署网络设备的方法 |
| CN102402441A (zh) * | 2010-09-16 | 2012-04-04 | 腾讯科技(深圳)有限公司 | 一种对多台计算机进行配置的系统和方法 |
| CN102904749A (zh) * | 2005-10-05 | 2013-01-30 | 拜尔斯安全公司 | 网络安全设备 |
| CN103685392A (zh) * | 2012-09-13 | 2014-03-26 | 北京大唐高鸿数据网络技术有限公司 | 自动配置服务器中终端配置信息存储和分配的方法 |
| CN113678112A (zh) * | 2019-04-10 | 2021-11-19 | 赛灵思公司 | 具有可分配i/o域和相干域的外围i/o设备 |
Families Citing this family (162)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7693976B2 (en) * | 2000-07-11 | 2010-04-06 | Ciena Corporation | Granular management of network resources |
| US7409685B2 (en) | 2002-04-12 | 2008-08-05 | Hewlett-Packard Development Company, L.P. | Initialization and update of software and/or firmware in electronic devices |
| US8479189B2 (en) * | 2000-11-17 | 2013-07-02 | Hewlett-Packard Development Company, L.P. | Pattern detection preprocessor in an electronic device update generation system |
| FI20010596A0 (fi) * | 2001-03-22 | 2001-03-22 | Ssh Comm Security Oyj | Turvallisuusjärjestelmä tietoliikenneverkkoa varten |
| US20030079000A1 (en) * | 2001-10-19 | 2003-04-24 | Chamberlain Robert L. | Methods and apparatus for configuring multiple logical networks of devices on a single physical network |
| US7430591B2 (en) * | 2001-10-19 | 2008-09-30 | Renesas Technology America, Inc. | Methods and arrangements for configuring functional networks |
| US7444506B1 (en) | 2001-12-28 | 2008-10-28 | Ragula Systems | Selective encryption with parallel networks |
| FR2837337B1 (fr) * | 2002-03-15 | 2004-06-18 | Cit Alcatel | Dispositif de gestion de service reseau utilisant le protocole cops pour la configuration d'un reseau prive virtuel |
| EP1488577B1 (en) * | 2002-03-18 | 2007-04-18 | Nortel Networks Limited | Resource allocation using an auto-discovery mechanism for provider-provisioned layer-2 and layer-3 virtual private networks |
| US7216226B2 (en) * | 2002-04-01 | 2007-05-08 | Hewlett-Packard Development Company, L.P. | Unique and secure identification of a networked computing node |
| US20070169073A1 (en) * | 2002-04-12 | 2007-07-19 | O'neill Patrick | Update package generation and distribution network |
| US7551628B2 (en) * | 2002-05-03 | 2009-06-23 | Hewlett-Packard Development Company, L.P. | Wireless dongle with computing capability for equipment control and method of operation thereof |
| US7653746B2 (en) * | 2002-08-02 | 2010-01-26 | University Of Southern California | Routable network subnet relocation systems and methods |
| JP4185346B2 (ja) * | 2002-10-18 | 2008-11-26 | 株式会社日立製作所 | ストレージ装置及びその構成設定方法 |
| US7752329B1 (en) * | 2002-10-31 | 2010-07-06 | Aol Inc. | Migrating configuration information based on user identity information |
| US7296288B1 (en) * | 2002-11-15 | 2007-11-13 | Packeteer, Inc. | Methods, apparatuses, and systems allowing for bandwidth management schemes responsive to utilization characteristics associated with individual users |
| US7865577B1 (en) * | 2003-02-11 | 2011-01-04 | At&T Intellectual Property Ii, L.P. | Enhanced network elements and a method for configuring the enhanced network element via a trusted configuration device |
| US7188161B1 (en) * | 2003-02-11 | 2007-03-06 | At&T Corp. | Method for configuring a network element at a customer premise via a mobile data terminal |
| US9110853B2 (en) * | 2003-03-10 | 2015-08-18 | Oracle America, Inc. | Computer system with multiple classes of device IDs |
| US8555273B1 (en) | 2003-09-17 | 2013-10-08 | Palm. Inc. | Network for updating electronic devices |
| JP4543657B2 (ja) * | 2003-10-31 | 2010-09-15 | ソニー株式会社 | 情報処理装置および方法、並びにプログラム |
| US20050114474A1 (en) * | 2003-11-20 | 2005-05-26 | International Business Machines Corporation | Automatic configuration of the network devices via connection to specific switch ports |
| US20050198530A1 (en) * | 2003-12-12 | 2005-09-08 | Chess David M. | Methods and apparatus for adaptive server reprovisioning under security assault |
| US7769995B2 (en) | 2004-01-07 | 2010-08-03 | Microsoft Corporation | System and method for providing secure network access |
| US7221927B2 (en) * | 2004-02-13 | 2007-05-22 | Trapeze Networks, Inc. | Station mobility between access points |
| JP4249051B2 (ja) * | 2004-02-16 | 2009-04-02 | 富士通株式会社 | 下位装置および上位装置 |
| US7626944B1 (en) * | 2004-03-31 | 2009-12-01 | Packeteer, Inc. | Methods, apparatuses and systems facilitating remote, automated deployment of network devices |
| US7904895B1 (en) * | 2004-04-21 | 2011-03-08 | Hewlett-Packard Develpment Company, L.P. | Firmware update in electronic devices employing update agent in a flash memory card |
| US20050257047A1 (en) * | 2004-05-17 | 2005-11-17 | Alcatel | Network equipment with embedded movable secure devices |
| US7730294B2 (en) | 2004-06-04 | 2010-06-01 | Nokia Corporation | System for geographically distributed virtual routing |
| US7925729B2 (en) * | 2004-12-07 | 2011-04-12 | Cisco Technology, Inc. | Network management |
| US8316438B1 (en) | 2004-08-10 | 2012-11-20 | Pure Networks Llc | Network management providing network health information and lockdown security |
| US8526940B1 (en) | 2004-08-17 | 2013-09-03 | Palm, Inc. | Centralized rules repository for smart phone customer care |
| US7930737B2 (en) * | 2004-08-18 | 2011-04-19 | Broadcom Corporation | Method and system for improved communication network setup utilizing extended terminals |
| US8589687B2 (en) * | 2004-08-18 | 2013-11-19 | Broadcom Corporation | Architecture for supporting secure communication network setup in a wireless local area network (WLAN) |
| JP2006086907A (ja) * | 2004-09-17 | 2006-03-30 | Fujitsu Ltd | 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム |
| US8478849B2 (en) * | 2004-12-07 | 2013-07-02 | Pure Networks LLC. | Network administration tool |
| US20060129797A1 (en) * | 2004-12-15 | 2006-06-15 | Palo Alto Research Center, Inc. | Hardware-supported secure network boot |
| US8085695B2 (en) * | 2005-01-25 | 2011-12-27 | Intel Corporation | Bootstrapping devices using automatic configuration services |
| US8261341B2 (en) * | 2005-01-27 | 2012-09-04 | Nokia Corporation | UPnP VPN gateway configuration service |
| US8423788B2 (en) * | 2005-02-07 | 2013-04-16 | Sandisk Technologies Inc. | Secure memory card with life cycle phases |
| US8321686B2 (en) * | 2005-02-07 | 2012-11-27 | Sandisk Technologies Inc. | Secure memory card with life cycle phases |
| US8108691B2 (en) * | 2005-02-07 | 2012-01-31 | Sandisk Technologies Inc. | Methods used in a secure memory card with life cycle phases |
| WO2006099540A2 (en) | 2005-03-15 | 2006-09-21 | Trapeze Networks, Inc. | System and method for distributing keys in a wireless network |
| US7551574B1 (en) * | 2005-03-31 | 2009-06-23 | Trapeze Networks, Inc. | Method and apparatus for controlling wireless network access privileges based on wireless client location |
| JP4774823B2 (ja) | 2005-06-16 | 2011-09-14 | ソニー株式会社 | 無線通信システム、無線通信設定方法、無線通信装置、無線通信設定プログラム及び無線通信設定プログラム格納媒体 |
| US7912017B2 (en) * | 2005-06-29 | 2011-03-22 | Sony Corporation | Wireless connection system and wireless connection method |
| US7743409B2 (en) * | 2005-07-08 | 2010-06-22 | Sandisk Corporation | Methods used in a mass storage device with automated credentials loading |
| US7934049B2 (en) * | 2005-09-14 | 2011-04-26 | Sandisk Corporation | Methods used in a secure yet flexible system architecture for secure devices with flash mass storage memory |
| US8966284B2 (en) * | 2005-09-14 | 2015-02-24 | Sandisk Technologies Inc. | Hardware driver integrity check of memory card controller firmware |
| US7724703B2 (en) * | 2005-10-13 | 2010-05-25 | Belden, Inc. | System and method for wireless network monitoring |
| US8638762B2 (en) | 2005-10-13 | 2014-01-28 | Trapeze Networks, Inc. | System and method for network integrity |
| US7573859B2 (en) * | 2005-10-13 | 2009-08-11 | Trapeze Networks, Inc. | System and method for remote monitoring in a wireless network |
| US7551619B2 (en) * | 2005-10-13 | 2009-06-23 | Trapeze Networks, Inc. | Identity-based networking |
| WO2007044986A2 (en) | 2005-10-13 | 2007-04-19 | Trapeze Networks, Inc. | System and method for remote monitoring in a wireless network |
| DE202005016487U1 (de) * | 2005-10-20 | 2006-03-30 | Saynet Solutions Gmbh | System zur sicheren Kommunikation von Computern mit gesicherten Netzwerken |
| WO2007045051A1 (en) | 2005-10-21 | 2007-04-26 | Honeywell Limited | An authorisation system and a method of authorisation |
| US20070106778A1 (en) * | 2005-10-27 | 2007-05-10 | Zeldin Paul E | Information and status and statistics messaging method and system for inter-process communication |
| US20070106998A1 (en) * | 2005-10-27 | 2007-05-10 | Zeldin Paul E | Mobility system and method for messaging and inter-process communication |
| US8250587B2 (en) * | 2005-10-27 | 2012-08-21 | Trapeze Networks, Inc. | Non-persistent and persistent information setting method and system for inter-process communication |
| US8532095B2 (en) * | 2005-11-18 | 2013-09-10 | Cisco Technology, Inc. | Techniques configuring customer equipment for network operations from provider edge |
| FR2897222A1 (fr) * | 2006-02-03 | 2007-08-10 | Gemplus Sa | Acces a distance a une memoire de masse et une memoire de securite dans un objet communicant portable |
| US9130993B2 (en) * | 2006-02-09 | 2015-09-08 | Sony Corporation | Wireless connection system and wireless connection method |
| US20070207800A1 (en) * | 2006-02-17 | 2007-09-06 | Daley Robert C | Diagnostics And Monitoring Services In A Mobile Network For A Mobile Device |
| US20070204323A1 (en) * | 2006-02-24 | 2007-08-30 | Rockwell Automation Technologies, Inc. | Auto-detection capabilities for out of the box experience |
| EP1850527A1 (en) * | 2006-04-28 | 2007-10-31 | Koninklijke KPN N.V. | Configuring devices and services on a residential gateway |
| US7558266B2 (en) * | 2006-05-03 | 2009-07-07 | Trapeze Networks, Inc. | System and method for restricting network access using forwarding databases |
| US20070260720A1 (en) * | 2006-05-03 | 2007-11-08 | Morain Gary E | Mobility domain |
| US20070268506A1 (en) * | 2006-05-19 | 2007-11-22 | Paul Zeldin | Autonomous auto-configuring wireless network device |
| US20070268514A1 (en) * | 2006-05-19 | 2007-11-22 | Paul Zeldin | Method and business model for automated configuration and deployment of a wireless network in a facility without network administrator intervention |
| US7751339B2 (en) | 2006-05-19 | 2010-07-06 | Cisco Technology, Inc. | Method and apparatus for simply configuring a subscriber appliance for performing a service controlled by a separate service provider |
| US8966018B2 (en) * | 2006-05-19 | 2015-02-24 | Trapeze Networks, Inc. | Automated network device configuration and network deployment |
| US20070268516A1 (en) * | 2006-05-19 | 2007-11-22 | Jamsheed Bugwadia | Automated policy-based network device configuration and network deployment |
| US7577453B2 (en) * | 2006-06-01 | 2009-08-18 | Trapeze Networks, Inc. | Wireless load balancing across bands |
| EP2025095A2 (en) | 2006-06-08 | 2009-02-18 | Hewlett-Packard Development Company, L.P. | Device management in a network |
| US8818322B2 (en) | 2006-06-09 | 2014-08-26 | Trapeze Networks, Inc. | Untethered access point mesh system and method |
| US9191799B2 (en) * | 2006-06-09 | 2015-11-17 | Juniper Networks, Inc. | Sharing data between wireless switches system and method |
| US9258702B2 (en) * | 2006-06-09 | 2016-02-09 | Trapeze Networks, Inc. | AP-local dynamic switching |
| US7912982B2 (en) * | 2006-06-09 | 2011-03-22 | Trapeze Networks, Inc. | Wireless routing selection system and method |
| US7844298B2 (en) * | 2006-06-12 | 2010-11-30 | Belden Inc. | Tuned directional antennas |
| US8214880B1 (en) * | 2006-06-22 | 2012-07-03 | Verizon Patent And Licensing Inc. | Methods and systems for securely configuring a network device |
| US9003292B2 (en) * | 2006-07-06 | 2015-04-07 | LiveAction, Inc. | System and method for network topology and flow visualization |
| US7724704B2 (en) * | 2006-07-17 | 2010-05-25 | Beiden Inc. | Wireless VLAN system and method |
| WO2008014454A2 (en) | 2006-07-27 | 2008-01-31 | Hewlett-Packard Development Company, L.P. | User experience and dependency management in a mobile device |
| US20080072058A1 (en) * | 2006-08-24 | 2008-03-20 | Yoram Cedar | Methods in a reader for one time password generating device |
| US20080052524A1 (en) * | 2006-08-24 | 2008-02-28 | Yoram Cedar | Reader for one time password generating device |
| US8340110B2 (en) * | 2006-09-15 | 2012-12-25 | Trapeze Networks, Inc. | Quality of service provisioning for wireless networks |
| US8072952B2 (en) * | 2006-10-16 | 2011-12-06 | Juniper Networks, Inc. | Load balancing |
| US20080107077A1 (en) * | 2006-11-03 | 2008-05-08 | James Murphy | Subnet mobility supporting wireless handoff |
| US20080151844A1 (en) * | 2006-12-20 | 2008-06-26 | Manish Tiwari | Wireless access point authentication system and method |
| US7865713B2 (en) * | 2006-12-28 | 2011-01-04 | Trapeze Networks, Inc. | Application-aware wireless network system and method |
| US8423794B2 (en) * | 2006-12-28 | 2013-04-16 | Sandisk Technologies Inc. | Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications |
| US7873061B2 (en) * | 2006-12-28 | 2011-01-18 | Trapeze Networks, Inc. | System and method for aggregation and queuing in a wireless network |
| KR100818164B1 (ko) * | 2007-02-21 | 2008-04-02 | 텔코웨어 주식회사 | 네트워크 연동 정보를 자동으로 설정하는 방법 및 그네트워크 시스템 |
| US20080226075A1 (en) * | 2007-03-14 | 2008-09-18 | Trapeze Networks, Inc. | Restricted services for wireless stations |
| US20080276303A1 (en) * | 2007-05-03 | 2008-11-06 | Trapeze Networks, Inc. | Network Type Advertising |
| US8214885B2 (en) * | 2007-05-07 | 2012-07-03 | Mocana Corporation | Managing network components using USB keys |
| US8598982B2 (en) | 2007-05-28 | 2013-12-03 | Honeywell International Inc. | Systems and methods for commissioning access control devices |
| CN101765835B (zh) | 2007-05-28 | 2013-05-08 | 霍尼韦尔国际公司 | 用于配置访问控制装置的系统和方法 |
| DE102007031721B4 (de) * | 2007-07-06 | 2015-07-16 | Siteco Control Gmbh | Externer Konfigurationsspeicher für Netzwerkgeräte |
| US9491077B2 (en) * | 2007-07-13 | 2016-11-08 | Cisco Technology, Inc. | Network metric reporting system |
| US8700743B2 (en) * | 2007-07-13 | 2014-04-15 | Pure Networks Llc | Network configuration device |
| US9026639B2 (en) * | 2007-07-13 | 2015-05-05 | Pure Networks Llc | Home network optimizing system |
| US8185941B2 (en) * | 2007-07-31 | 2012-05-22 | Hewlett-Packard Development Company, L.P. | System and method of tamper-resistant control |
| EP2026594B1 (en) * | 2007-08-14 | 2017-07-12 | Alcatel Lucent | A module and associated method for TR-069 object management |
| US8902904B2 (en) * | 2007-09-07 | 2014-12-02 | Trapeze Networks, Inc. | Network assignment based on priority |
| KR101405688B1 (ko) * | 2007-09-14 | 2014-06-12 | 엘지이노텍 주식회사 | 지그비 시스템 |
| US8509128B2 (en) * | 2007-09-18 | 2013-08-13 | Trapeze Networks, Inc. | High level instruction convergence function |
| WO2009055722A1 (en) * | 2007-10-24 | 2009-04-30 | Jonathan Peter Deutsch | Various methods and apparatuses for accessing networked devices without accessible addresses via virtual ip addresses |
| FR2923115B1 (fr) * | 2007-10-26 | 2010-09-10 | Radiotelephone Sfr | Procede de mise a jour de parametres de reseau et dispositif de mise en oeuvre dudit procede |
| US8238942B2 (en) * | 2007-11-21 | 2012-08-07 | Trapeze Networks, Inc. | Wireless station location detection |
| US7975084B1 (en) * | 2008-02-06 | 2011-07-05 | American Megatrends, Inc. | Configuring a host computer using a service processor |
| US8150357B2 (en) | 2008-03-28 | 2012-04-03 | Trapeze Networks, Inc. | Smoothing filter for irregular update intervals |
| US8474023B2 (en) | 2008-05-30 | 2013-06-25 | Juniper Networks, Inc. | Proactive credential caching |
| US8949936B2 (en) * | 2008-06-19 | 2015-02-03 | Microsoft Technology Licensing, Llc | Hosted network device user interface |
| US8261322B2 (en) | 2008-06-19 | 2012-09-04 | Microsoft Corporation | Home networking web-based service portal |
| US9369302B1 (en) * | 2008-06-24 | 2016-06-14 | Amazon Technologies, Inc. | Managing communications between computing nodes |
| US8978105B2 (en) * | 2008-07-25 | 2015-03-10 | Trapeze Networks, Inc. | Affirming network relationships and resource access via related networks |
| EP2150026A1 (en) * | 2008-07-31 | 2010-02-03 | Nokia Siemens Networks OY | Configuration of a communication device |
| US8238298B2 (en) | 2008-08-29 | 2012-08-07 | Trapeze Networks, Inc. | Picking an optimal channel for an access point in a wireless network |
| US9704313B2 (en) * | 2008-09-30 | 2017-07-11 | Honeywell International Inc. | Systems and methods for interacting with access control devices |
| US8201237B1 (en) * | 2008-12-10 | 2012-06-12 | Amazon Technologies, Inc. | Establishing secure remote access to private computer networks |
| US8230050B1 (en) | 2008-12-10 | 2012-07-24 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
| US9137209B1 (en) | 2008-12-10 | 2015-09-15 | Amazon Technologies, Inc. | Providing local secure network access to remote services |
| US9524167B1 (en) | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
| US8878931B2 (en) | 2009-03-04 | 2014-11-04 | Honeywell International Inc. | Systems and methods for managing video data |
| WO2010106474A1 (en) | 2009-03-19 | 2010-09-23 | Honeywell International Inc. | Systems and methods for managing access control devices |
| US9009121B2 (en) * | 2009-10-30 | 2015-04-14 | Oracle International Corporation | Bootstrapping server using configuration file stored in server-managed storage |
| US9280365B2 (en) | 2009-12-17 | 2016-03-08 | Honeywell International Inc. | Systems and methods for managing configuration data at disconnected remote devices |
| US8707414B2 (en) | 2010-01-07 | 2014-04-22 | Honeywell International Inc. | Systems and methods for location aware access control management |
| US8724515B2 (en) | 2010-03-26 | 2014-05-13 | Cisco Technology, Inc. | Configuring a secure network |
| US8649297B2 (en) * | 2010-03-26 | 2014-02-11 | Cisco Technology, Inc. | System and method for simplifying secure network setup |
| US8627423B2 (en) * | 2010-04-09 | 2014-01-07 | Aruba Networks, Inc. | Authorizing remote access points |
| US8787725B2 (en) | 2010-11-11 | 2014-07-22 | Honeywell International Inc. | Systems and methods for managing video data |
| CN102065021B (zh) * | 2011-01-28 | 2012-12-26 | 北京交通大学 | 基于NetFPGA的IPSecVPN实现系统及方法 |
| WO2012174603A1 (en) | 2011-06-24 | 2012-12-27 | Honeywell International Inc. | Systems and methods for presenting dvm system information |
| US8935438B1 (en) * | 2011-06-28 | 2015-01-13 | Amazon Technologies, Inc. | Skin-dependent device components |
| US9240984B2 (en) * | 2011-07-25 | 2016-01-19 | Qterics, Inc. | Configuring an electronic device based on a transaction |
| US20130031227A1 (en) * | 2011-07-27 | 2013-01-31 | Ford Daniel E | Transmission of configuration to a device for provisioning in a network |
| US9344684B2 (en) | 2011-08-05 | 2016-05-17 | Honeywell International Inc. | Systems and methods configured to enable content sharing between client terminals of a digital video management system |
| US10362273B2 (en) | 2011-08-05 | 2019-07-23 | Honeywell International Inc. | Systems and methods for managing video data |
| WO2013020165A2 (en) | 2011-08-05 | 2013-02-14 | HONEYWELL INTERNATIONAL INC. Attn: Patent Services | Systems and methods for managing video data |
| WO2013048427A1 (en) * | 2011-09-30 | 2013-04-04 | Siemens Aktiengesellschaft | Management system with versatile display |
| CN103853641A (zh) * | 2012-11-28 | 2014-06-11 | 英业达科技有限公司 | 电子装置检测的错误排除与提示系统及其方法 |
| TWI486761B (zh) * | 2012-12-12 | 2015-06-01 | 英業達股份有限公司 | 機櫃伺服器系統及其檢測方法 |
| US10523903B2 (en) | 2013-10-30 | 2019-12-31 | Honeywell International Inc. | Computer implemented systems frameworks and methods configured for enabling review of incident data |
| US20150142937A1 (en) * | 2013-11-18 | 2015-05-21 | Lite-On Clean Energy Technology Corp. | Method and system for remote equipment data installation |
| FI20136189L (fi) | 2013-11-27 | 2015-05-28 | Tellabs Oy | Verkkoelementti ja kontrolleri verkkoelementin hallitsemiseksi |
| US9692780B2 (en) | 2014-03-31 | 2017-06-27 | At&T Intellectual Property I, L.P. | Security network buffer device |
| EP2958291B1 (en) * | 2014-06-18 | 2021-04-14 | Swisscom AG | Method and system for authenticating network equipment |
| US10769389B2 (en) * | 2014-08-27 | 2020-09-08 | Ncr Corporation | Automatic scanner configuration |
| US10404532B2 (en) | 2015-04-10 | 2019-09-03 | Comcast Cable Commnications, LLC | Virtual gateway control and management |
| US20160364562A1 (en) * | 2015-06-09 | 2016-12-15 | Pure Storage, Inc. | Systems and methods for system self-configuration |
| US10567347B2 (en) * | 2015-07-31 | 2020-02-18 | Nicira, Inc. | Distributed tunneling for VPN |
| US10318437B2 (en) * | 2016-10-31 | 2019-06-11 | Vinod Sitaram Mukkamala | System and method for unified secure remote configuration and management of multiple applications on embedded device platform |
| US20180139090A1 (en) * | 2016-11-15 | 2018-05-17 | John Geiger | Method for secure enrollment of devices in the industrial internet of things |
| EP3376733A1 (de) * | 2017-03-17 | 2018-09-19 | Siemens Aktiengesellschaft | Verfahren zur datenübertragung, datenübertragungssystem und anlernmodul |
| US10938855B1 (en) * | 2017-06-23 | 2021-03-02 | Digi International Inc. | Systems and methods for automatically and securely provisioning remote computer network infrastructure |
| US10805381B2 (en) * | 2017-10-03 | 2020-10-13 | Citrix Systems, Inc | Web storage based IoT device protect mechanism |
| US11095517B2 (en) * | 2018-12-05 | 2021-08-17 | Verizon Patent And Licensing Inc. | Method and system for secure zero touch device provisioning |
| US11202195B2 (en) | 2020-03-13 | 2021-12-14 | At&T Intellectual Property I, L.P. | Systems and methods for configuring routers and for facilitating communication between routers |
| CN114598735A (zh) * | 2022-01-30 | 2022-06-07 | 阿里巴巴(中国)有限公司 | 数据处理方法和系统 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6722570B1 (en) * | 1988-12-12 | 2004-04-20 | Smartdisk Corporation | Smart data storage device |
| US5729767A (en) * | 1994-10-07 | 1998-03-17 | Dell Usa, L.P. | System and method for accessing peripheral devices on a non-functional controller |
| US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
| US6012088A (en) * | 1996-12-10 | 2000-01-04 | International Business Machines Corporation | Automatic configuration for internet access device |
| US5983273A (en) * | 1997-09-16 | 1999-11-09 | Webtv Networks, Inc. | Method and apparatus for providing physical security for a user account and providing access to the user's environment and preferences |
| EP1189385A3 (en) | 1997-10-16 | 2002-05-08 | Virtual Access Ireland Limited | An apparatus and method for gathering, processing and locally storing information on access to a service made by an apparatus over a communications system |
| US6822971B1 (en) | 1999-05-28 | 2004-11-23 | Nokia Corporation | Apparatus, and association method, for identifying data with an address |
| SE9902336A0 (sv) | 1999-06-18 | 2000-12-19 | Ericsson Telefon Ab L M | Metod och system för kommunikation |
| US6665714B1 (en) * | 1999-06-30 | 2003-12-16 | Emc Corporation | Method and apparatus for determining an identity of a network device |
| US6438594B1 (en) * | 1999-08-31 | 2002-08-20 | Accenture Llp | Delivering service to a client via a locally addressable interface |
| US7181766B2 (en) * | 2000-04-12 | 2007-02-20 | Corente, Inc. | Methods and system for providing network services using at least one processor interfacing a base network |
| TW588522B (en) | 2000-07-05 | 2004-05-21 | Ericsson Telefon Ab L M | Plug and play installation of router for use in a network such as a cellular telecommunications network |
| FR2812992B1 (fr) | 2000-08-10 | 2003-01-17 | Sagem | Routeur a carte a microprocesseur |
| US7117376B2 (en) * | 2000-12-28 | 2006-10-03 | Intel Corporation | Platform and method of creating a secure boot that enforces proper user authentication and enforces hardware configurations |
-
2001
- 2001-09-20 US US09/957,879 patent/US7313819B2/en not_active Expired - Fee Related
-
2002
- 2002-08-22 EP EP02768683A patent/EP1430696A1/en not_active Withdrawn
- 2002-08-22 JP JP2003529735A patent/JP3946700B2/ja not_active Expired - Fee Related
- 2002-08-22 WO PCT/US2002/026897 patent/WO2003026255A1/en active Application Filing
- 2002-08-22 BR BR0212727-0A patent/BR0212727A/pt not_active IP Right Cessation
- 2002-08-22 CN CNA028185587A patent/CN1557087A/zh active Pending
- 2002-08-22 KR KR1020047004056A patent/KR100647163B1/ko not_active IP Right Cessation
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101501663B (zh) * | 2005-04-22 | 2011-05-18 | 思科技术公司 | 一种安全地部署网络设备的方法 |
| CN102904749A (zh) * | 2005-10-05 | 2013-01-30 | 拜尔斯安全公司 | 网络安全设备 |
| CN102904749B (zh) * | 2005-10-05 | 2015-12-09 | 拜尔斯安全公司 | 采用安全设备保护网络装置的方法、安全设备和数据网络 |
| CN101026626B (zh) * | 2006-02-15 | 2010-09-22 | 国际商业机器公司 | 用于配置网络服务协议实现的方法及数据处理系统 |
| CN101983496A (zh) * | 2008-02-01 | 2011-03-02 | 霍尼韦尔国际公司 | 无线系统网关高速缓存器 |
| CN102402441A (zh) * | 2010-09-16 | 2012-04-04 | 腾讯科技(深圳)有限公司 | 一种对多台计算机进行配置的系统和方法 |
| CN102402441B (zh) * | 2010-09-16 | 2014-08-20 | 腾讯科技(深圳)有限公司 | 一种对多台计算机进行配置的系统和方法 |
| CN103685392A (zh) * | 2012-09-13 | 2014-03-26 | 北京大唐高鸿数据网络技术有限公司 | 自动配置服务器中终端配置信息存储和分配的方法 |
| CN113678112A (zh) * | 2019-04-10 | 2021-11-19 | 赛灵思公司 | 具有可分配i/o域和相干域的外围i/o设备 |
| CN113678112B (zh) * | 2019-04-10 | 2024-02-02 | 赛灵思公司 | 具有可分配i/o域和相干域的外围i/o设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1430696A1 (en) | 2004-06-23 |
| KR100647163B1 (ko) | 2006-11-23 |
| KR20040039378A (ko) | 2004-05-10 |
| BR0212727A (pt) | 2004-10-05 |
| US20030018889A1 (en) | 2003-01-23 |
| WO2003026255A1 (en) | 2003-03-27 |
| US7313819B2 (en) | 2007-12-25 |
| JP3946700B2 (ja) | 2007-07-18 |
| JP2005503727A (ja) | 2005-02-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1557087A (zh) | 网络设备对于目标网络环境的可寻址性的自动建立 | |
| US9576111B2 (en) | Uniform modular framework for a host computer system | |
| US9111103B2 (en) | Remote access control of storage devices | |
| CN101855653B (zh) | 锁管理系统 | |
| CN104023333B (zh) | 安全用户识别模块服务 | |
| CN102959921B (zh) | 用于提供支持虚拟网络覆盖的服务间联盟的方法 | |
| CN101076796B (zh) | 为漫游用户建立虚拟专用网络 | |
| CN102244656B (zh) | 域访问系统 | |
| TWI405088B (zh) | 安全供應一客戶端裝置的方法、系統及電腦儲存媒體 | |
| CN1736078A (zh) | 事务的安全日志 | |
| US20150031413A1 (en) | Electronic access client distribution apparatus and methods | |
| US20120198538A1 (en) | Multi-enclave token | |
| CN103917949A (zh) | 使用管理引擎的部件更新 | |
| BRPI0419244B1 (pt) | método e sistema de acesso remoto para capacitar um usuário a acessar remotamente um equipamento terminal | |
| CN103733649A (zh) | 用于多网络系统中的身份管理的方法、设备和计算机程序产品 | |
| US20150169860A1 (en) | Security key using multi-otp, security service apparatus, security system | |
| CN101478386A (zh) | 在计算机系统中配备主动管理技术(amt) | |
| CN107404544A (zh) | 用于ip地址指派的方法和装置 | |
| CN1509558A (zh) | 在主机平台中保护分组通信量的可移动设备 | |
| KR20140074570A (ko) | 홈 네트워크 시스템에서 홈 디바이스 및 외부 서버간의 접속 제어 방법 및 장치 | |
| CN1812611A (zh) | 一种密钥设置方法 | |
| WO2022051230A1 (en) | Identity-based secure medical device communications | |
| JP2021535475A (ja) | アクセスコントロールポリシーの配置方法、装置、システム及び記憶媒体 | |
| CN109767530A (zh) | 基于区块链的智能锁控制方法、装置及系统 | |
| CN104462893B (zh) | 多se模块管理方法和多se模块管理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20041222 |