[发明专利]基础设施设备登记

说明书

根据本公开的各方面，提供了用于使设备登记到网络中的方法和设备，包括一种设备，该设备包括安全存储装置和控制器，安全存储装置包括设备标识符和公钥，控制器被配置为：取得包括设备标识符与所有者标识符之间的密码绑定的所有权证明证书，该密码绑定基于与所存储的公钥相对应的秘密密钥；基于所存储的设备标识符和公钥来认证所有权证明证书；基于经认证的所有权证明证书建立与设备管理器的经认证的通信通道；并且从设备管理器接收设置信息以在网络上登记该设备。

背景技术

基础设施设备(诸如打印机)登记到企业网络上涉及配设设置和值以确保设备在网络上的正确操作。这样的设置可以包括与设备在其中操作的域有关的安全参数和证书。

内部(on-premises)登记过程可以经由人工输入或预先配设的值来执行。

附图说明

通过以下结合附图的详细描述，本公开的各种特征将显而易见，这些附图一起图示了本公开的特征，并且其中：

图1图示了根据本公开的示例的设备；

图2示出了根据本公开的示例的为设备配设信息的方法；

图3图示了根据本公开的示例的连接到企业网络的设备；

图4示出了根据本公开的示例的用于在企业网络中登记设备的方法；

图5示出了根据本公开的示例的另一种方法；

图6示出了根据本公开的示例的另一种方法；

图7示出了根据本公开的示例的另一种方法；以及

图8是根据本公开的示例的计算机系统的示意性框图。

具体实施方式

在以下描述中，出于解释的目的，阐述了某些示例的许多具体细节。说明书中对“示例”或类似语言的提及指的是，结合该示例所描述的特定特征、结构或特性被包括在至少该一个示例中，但未必被包括在其他示例中。

打印机和其他基础设施设备的安全登记依赖于设备与管理服务之间的相互认证。然而，许多设备是在没有密码身份或不知道其将被登记在哪个管理域之下的情况下来制造的。因此，大多数内部登记过程是使用人工输入的设置、预先配设的值来执行的，或可以使用不安全的协议来进行自动化。

本文描述的某些示例提供了用于在没有人工干预或具有有限人工干预的情况下使设备(诸如打印机、个人计算机、移动设备等等)自动且安全地登记到企业网络中的方法和设备。这是通过使用密码身份和密码绑定来实现的，密码身份由设备制造商预先配设到设备中，设备可以使用密码绑定来确定其合法地预期加入哪个企业。一些示例还可以使得在生命周期的后期重新配设设备以支持基于合同的业务(诸如设备即服务(DaaS))。

设备之间安全且经认证的通信通常是基于共享的密码秘密(诸如密码身份)或基于使用公钥/私钥对的非对称加密方案。然而，为了确保所得到的通信是安全的，应该将与所选择的方案有关的某些密码值安全地配设到所述设备。

例如，在打印机环境中，管理服务在配设过程之前可能无法信任远程打印机就是其自己所标识的身份。因此，安全登记到管理服务中可能是用户与物理设备进行交互(例如，插入USB棒、物理地输入某些值等等)的繁琐的人工过程。

由于缺乏设备的开箱即用认证，非基于用户人工交互的(即，零接触登记)用于设备的替代性登记系统可能是不安全的。例如，这些解决方案可能使用未经认证的发现协议来使设备在没有相互认证的情况下找到管理服务器。

用于物联网(IoT)设备的更一般的登记系统可以使用预先配设的值来实施零触摸登记，以提供经认证的登记过程。然而，预先配设的值可能不能在现场被重新配设，从而使得难以将设备转移到新的域或企业。

不能提供安全且经认证的登记过程可能产生许多与新的设备到企业网络的连接有关的潜在安全风险。