安全设备管理

技术领域

本公开一般涉及使用多个虚拟个域网(virtual personal area network)来进行对设备的安全组管理。

背景技术

在一些网络环境中，由多个供应商制造的多种类型的设备可以访问同一网络。例如，多个设备可以被耦合到同一网络并且被连接到与该网络相关联的同一边界路由器。该网络可以是连接一个或多个智能照明设备、一个或多个门安全设备等的个域网(PAN)。

PAN可以针对被耦合到网络的所有设备使用通用安全密钥，例如，组临时密钥(GTK)。通用安全密钥用于基于一个或多个协议加密和解密数据。例如，照明设备和门安全设备可以使用与PAN相关联的同一安全密钥。在一些情况下，照明设备和门安全设备具有不同的安全保护级别。例如，照明设备的安全保护级别可能比门安全设备低，因为入侵照明设备的风险极低。相反，对门安全设备的入侵允许未经授权的人进入建筑物或建筑物的特定部分(该特定部分包含有价值的物品或重要信息)，从而带来重大风险。

当具有不同安全保护级别的设备被耦合到同一PAN并使用同一安全密钥时，对PAN造成安全风险。在上述示例中，试图非法访问门安全设备(或PAN中的任何其他设备)的人可能首先入侵具有较低安全保护级别的照明设备。一旦此人入侵照明设备并且从照明设备获得安全密钥，同一安全密钥就可以被用于访问门安全设备和PAN中的任何其他设备。因此，照明设备提供了使用相同安全密钥的、耦合到同一PAN的所有设备的安全薄弱环节。

附图说明

下面参考附图给出详细说明。在附图中，附图标记的最左边的(一个或多个)数字表示附图标记首次出现的附图。在不同附图中使用相同的附图标记来表示相似或相同的项。在附图中描绘的系统不是按比例绘制的，并且在附图中的组件可能彼此未按比例绘制。

图1示出了包含多个设备、服务器和边界路由器的示例网络的系统架构图。

图2示出了示例方法的流程图，该示例方法用于操作图1所示的网络。

图3示出了包含多个设备、服务器和边界路由器的示例网络的另一系统架构图。

图4示出了示例方法的流程图，该示例方法用于操作图3所示的网络。

图5示出了包含多个设备、服务器和边界路由器的示例网络的另一系统架构图。

图6示出了示例方法的流程图，该示例方法用于操作图5所示的网络。

图7示出了包含多个设备、服务器和边界路由器的示例网络的另一系统架构图。

图8示出了示例方法的流程图，该示例方法用于操作图7所示的网络。

图9是示出用于实现计算设备的说明性计算机硬件架构的计算机架构图，该计算设备可以用于实现本文呈现的各种技术的各方面。

具体实施方式

概览

本发明的各方面在独立权利要求中阐述，优选特征在从属权利要求中阐述。一个方面的特征可以单独地或与其他方面结合地应用于每个方面。

本公开描述了基于虚拟个人接入网络(VPAN)架构来提供对网络设备的安全远程接入的技术。在一些实施例中，至少部分地由边界路由器实现的方法接收来自第一设备的加入网络的第一请求。该方法向第一VPAN分配第一设备，其中，第一VPAN具有关联的第一组临时密钥(group temporal key，GTK)。该方法向第一设备分发GTK。该方法还在边界路由器处接收来自第二设备的加入网络的第二请求。第二设备被分配给第二VPAN，其中，第二VPAN具有关联的第二GTK。该方法通过向第二设备分发第二GTK来继续。另外，该方法可以向第一VPAN分配第一子服务集标识符(Service Set Identifier，SSID)，并且向第二VPAN分配第二子SSID。在特定实施例中，第一VPAN可以与第一类设备相关联，而第二VPAN可以与第二类设备相关联，其中，第一类设备不同于第二类设备。第一设备和第二类设备可以包括设备类型、设备安全级别、设备制造商、设备所有者或设备位置。该方法还可以包括由认证、授权和记账服务器认证第一设备。在一些实施例中，第一GTK是在有限时间段内有效的临时GTK。

另外，本文描述的技术可以由具有存储计算机可执行指令的非暂态计算机可读介质的系统和/或设备执行，这些计算机可执行指令在由一个或多个处理器执行时执行上文描述的方法。

示例实施例

物联网(Internet of Things，IoT)设备和其他连接系统的使用正在快速增长。IoT设备可以包括可以被嵌入在传感器、控制器、监视器和其他系统中的物理对象。这些IoT设备可以经由互联网或其他数据通信网络彼此通信。在一些实施例中，多个IoT设备被耦合，用于经由无线网络(例如，个域网(PAN))彼此通信。

本公开描述了例如多跳和信道跳跃无线网状网络(例如，连接网状(ConnectedGrid Mesh，CG-Mesh)网络或无线智能公用网络(Wireless Smart Utility Network，Wi-SUN))中的用于安全管理的系统和方法。因为无线介质的开放性，所以现有的多跳和信道跳跃无线网状网络易受攻击。本文讨论的系统和方法通过将物理边界路由器或网状节点划分为多个虚拟个域网(VPAN)来提供更安全的环境，其中，每个VPAN使用独立的组临时密钥(GTK)。因此，如果一个VPAN被入侵以获得与该VPAN相关联的GTK，则其他VPAN仍然安全，因为它们使用不同的GTK。如本文所讨论的，系统和方法包括独立的认证、授权、记账(AAA)系统以确保网络安全并且简化网络设备的部署。

虽然本文描述的系统和方法是针对一个或多个VPAN来讨论的，但是这些系统和方法可以用于任何类型的网络(包括多个不同的网络)。此外，虽然参考IoT设备讨论了特定示例，但是替代实施例可以使用其他类型的设备，这些设备彼此通信并且可以与如本文描述的边界路由器通信。

现在将在下面参考附图更全面地描述本公开的某些实施方式和实施例，在附图中示出了各方面。然而，各方面可以以许多不同的形式实现，并且不应被理解为限于本文阐述的实施方式。如本文所述，本公开涵盖实施例的变体。相似的附图标记始终指的是相似的元素。

图1示出了包含多个设备、服务器和边界路由器的示例网络100的系统架构图。网络100包括边界路由器102(耦合到AAA服务器104)、智能照明服务器106以及烟雾传感器服务器108。边界路由器102是可以位于两个网络(例如，企业网络和服务提供商网络)之间的路由器。AAA服务器104可以控制对一个或一个以上网络(例如，图1所示的网络100)的访问。AAA服务器104可以执行与认证设备、授权活动和对资源的使用进行跟踪有关的各种功能。例如，AAA服务器104可以对通信(例如，广播)请求加入网络的设备进行认证。如本文所讨论的，智能照明服务器106可以控制和监视与一个或多个网络相关联的任何数量的照明设备。如本文所讨论的，烟雾传感器服务器108可以控制和监视与一个或多个网络相关联的任何数量的烟雾传感器。

图1还示出了第一VPAN 110(被标记为VPAN1)和第二VPAN 112(被标记为VPAN2)，第一VPAN 110具有关联的第一GTK(标记为GTK1)，第二VPAN 112具有关联的第二GTK(标记为GTK2)。第一VPAN 110包括多个设备(也被称为“节点”)120、122、124、126、128、130和132。第二VPAN 112也包括多个设备140、142、144、146、148、150和152。在一些实施例中，设备120至设备132和设备140至设备152中的一个或多个是IoT设备。

如图1所示，第一VPAN 110和第二VPAN 112被耦合到边界路由器102。因此，设备120至设备132和设备140至设备152可以直接或经由另一设备与边界路由器102通信。例如，设备120、设备122和设备140可以直接与边界路由器102通信。其余设备(设备124至设备132和设备142至设备152)可以通过另一设备与边界路由器102通信。例如，设备130通过设备126和设备120进行通信来与边界路由器102通信。这些由一个设备通过另一个设备进行的通信可以称为“跳”。

如图1所示，设备120至设备132被标记为“A”，以将第一VPAN 110中的设备与第二VPAN 112中被标记为“B”的设备140至设备152区分开。在一些示例中，当设备被部署(例如，被安装在网络中)时，设备120至设备132和设备140至设备152中的每个设备被分配服务集标识符(Service Set Identifier，SSID)。在一些实施例中，SSID是ASCII字符串。

本文描述的系统和方法允许单个边界路由器支持多个不同的子SSID，其中，每个子SSID识别不同的VPAN。如本文所讨论的，每个VPAN使用不同的GTK以提高安全性。在一些实施例中，SSID字段由两个ASCII串组成：主SSID和子SSID。同一VPAN中的所有设备具有同一主SSID(例如，ciscoabc12)，但是不同的设备可以具有不同的子SSID。例如，与照明设备相关的设备可以具有“照明”的子SSID，与烟雾检测相关的设备可以具有“烟雾”的子SSID，与公用事业仪表相关的设备可以具有“仪表”的子SSID。

在图1的示例中，边界路由器102针对设备120至设备132和设备140至设备152中的所有设备使用主SSID“ciscoabc12”。与第一VPAN 110相关联的设备组(设备120至设备132)是照明设备并且具有“照明”的子SSID。因此，设备120至设备132具有完整SSID，该完整SSID为ciscoabc12-照明。设备120至设备132使用与第一VPAN 110相关联的第一GTK。

与第二VPAN 112相关联的设备组(设备140至设备152)是烟雾传感器设备并且具有“烟雾”的子SSID。因此，设备140至设备152具有完整SSID，该完整SSID为ciscoabc12-烟雾。设备140至设备152使用与第二VPAN 112相关联的第二GTK。

因此，图1的配置允许第一VPAN 110中的设备与第二VPAN 112中的设备具有不同的SSID和不同的GTK。如果人或系统能够入侵一个VPAN并且访问该VPAN的GTK，则他们仍然被阻止访问具有不同GTK的另一VPAN中的设备。因此，入侵照明设备120至照明设备132之一不提供对烟雾检测设备140至烟雾检测设备152的访问。

在一些示例中，设备可能更愿意加入具有同一子SSID的VPAN，这提供了经增加的安全性。但是，在特定情况下，如果代理设备或AAA服务器104允许，则设备可以加入具有不同的子SSID的VPAN。

在一些实施方式中，子SSID可以用于特定类型的设备，例如，照明设备、烟雾传感器设备、公用事业仪表、门安全设备等。如本文所讨论的，在具有同一子SSID的VPAN中，通过使用通用GTK对相同类型的设备进行分组来提高安全性。在其他实施方式中，子SSID可以用于对与特定供应商或制造商相关联的设备进行分组。在这些情况下，特定供应商或制造商可能不希望他们的设备与来自其他供应商或制造商的设备共享信息和GTK。

在其他实施方式中，子SSID可以与特定的安装位置相关联，例如，特定的校园、建筑物或建筑物的一部分。在一些示例中，不同的子SSID与不同的安全级别相关联。例如，安全性高的设备可以与第一子SSID相关联，而安全性低的设备可以与第二子SSID相关联。如本文所讨论的，每个子SSID具有它自己的GTK。这种针对不同安全级别使用多个子SSID(具有不同GTK)的做法降低了个人或系统可以入侵低安全级别设备以试图访问更高安全级别设备的可能性。

图1的配置允许单个边界路由器102支持多组设备，其中，每组设备具有关联的子SSID和GTK。这个配置通过允许边界路由器102支持多组设备(而不是为每组设备提供单独的边界路由器)来降低成本。图1的配置还通过消除对多个边界路由器的需求而简化了整个系统。在一些实施例中，边界路由器102可以支持任何数量的子SSID和任何数量的GTK以支持多个子SSID。

上述示例仅仅是说明性的，并且可以进行各种改变以实现类似或相同的结果。例如，每个VPAN 110和VPAN 112可以包括任何数量的设备。另外，特定网络100可以包括任何数量的VPAN 110、VPAN 112和任何数量的其他设备、服务器和系统。

图2示出了示例方法200的流程图，该示例方法用于操作图1所示的网络。本文描述的有关方法200操作可以由各种组件和系统来执行，例如，图1所示的组件。

在方法200的操作202处，该过程可以接收来自第一设备的加入网络的第一请求。例如，加入网络的第一请求可以由边界路由器102直接从第一设备或经由一个或多个中间设备(例如，经由“跳”)接收。在一些实施方式中，第一请求可以由AAA服务器104或其他系统授权。

在操作204处，该过程可以向第一VPAN分配第一设备，使得第一VPAN具有关联的第一GTK和关联的第一子SSID。在一些实施例中，可以基于设备类型、设备供应商、设备制造商、设备安全级别等，向特定VPAN分配第一设备。

在操作206处，该过程可以向第一设备分发第一GTK。在一些实施例中，可以直接或经由一个或多个中间设备向第一设备分发第一GTK。

在操作208处，该过程可以接收来自第二设备的加入网络的第二请求。如有关操作202所讨论的，加入网络的第二请求可以由边界路由器102直接从第二设备或经由一个或多个中间设备接收。在一些实施方式中，第二请求可以由AAA服务器104或其他系统授权。

在操作210处，该过程可以向第二VPAN分配第二设备，使得第二VPAN具有关联的第二GTK和关联的第二子SSID。在实施方式中，第二GTK不同于第一GTK，并且第二子SSID不同于第一子SSID。在一些实施例中，可以基于设备类型、设备供应商、设备制造商、设备安全级别等，向特定VPAN分配第二设备。

在操作212处，该过程可以向第二设备分发第二GTK。在一些实施例中，可以直接或经由一个或多个中间设备向第二设备分发第二GTK。

在一些设备部署情况下，可能难以确保有可靠的现有设备与正在部署的新设备具有相同的子SSID。在这种情况下，代理设备可以为不同的VPAN提供加入功能。AAA服务器将管理正在部署的新设备的授权和记账。该方法在各种情况下提供了价值。

例如，特定地理区域中的第一公用事业公司可以具有公用事业仪表网络。如果第二公用事业公司希望使用公用事业仪表的现有网络，则第一公用事业公司可能由于潜在的安全风险而拒绝。可以通过针对第二公用事业公司的公用事业仪表创建VPAN来减缓这种安全问题。该方法使第一公用事业公司的公用事业仪表与第二公用事业公司的公用事业仪表分离。

图3示出了包含多个设备、服务器和边界路由器的示例网络300的另一系统架构图。在图3的示例中，新设备希望通过代理加入VPAN。

网络300包括如以上关于图1讨论的边界路由器102和AAA服务器104。网络300还包括仪表应用服务器320和燃气应用服务器322。如本文所讨论的，仪表应用服务器320可以控制和监视任何数量的仪表设备。如本文所讨论的，燃气应用服务器322可以控制和监视与一个或多个网络相关联的任何数量的燃气仪表设备。

另外，网络300包括第一VPAN 110和第二VPAN 112，但是这两个VPAN(110和112)具有不同的关联设备。第一VPAN 110包括关联的设备120、124、126、128、130、132、302和304。第二VPAN 112包括关联的设备310、312、314和316。如以上关于图1所讨论的，第一VPAN 110可以具有第一关联GTK，第二VPAN 112可以具有第二关联GTK。

在一些实施例中，设备120、124、126、128、130、132、302和304是由仪表应用服务器320控制和监视的仪表设备。并且，在一些实施例中，设备310、312、314和316是由燃气应用服务器322控制和监视的燃气仪表设备。

在图3的示例中，设备310、312、314和316不与边界路由器102连接。在这种情况下，第二VPAN 112中的设备之一(例如，设备310)可以与VPAN 110中的设备302通信。因为设备302已经与边界路由器102连接，所以它可以为第二VPAN 112提供加入代理。例如，设备302可以接收来自设备310的访问边界路由器102的请求(例如，请求与边界路由器102连接)。设备302可以将来自设备310的请求转发到边界路由器102进行处理。如果被AAA服务器104批准，则临时GTK 318可以被生成并且被传送到设备302和设备310，从而允许第二VPAN 112中的设备经由设备302与路由器102通信。在一些实施方式中，临时GTK 318允许设备302仅将从设备310接收到的消息转发到边界路由器102。设备302通常不解密从设备310接收到的数据。因此，设备302可以使用与第二VPAN 112不同的GTK，因为它不试图解密数据。

在一些实施例中，临时GTK 318具有由AAA服务器104和/或边界路由器102确定的特定“寿命”。临时GTK 318的示例寿命可以是几分钟、几小时或几天，这取决于第二VPAN112需要访问边界路由器102的情况和时间段。当临时GTK 318活跃时，图1所示的网络300包括与第一VPAN 110相关联的第一GTK、与第二VPAN 112相关联的第二GTK以及临时GTK 318(例如，第三GTK)。

图4示出了示例方法400的流程图，该示例方法用于操作图3所示的网络。本文描述的有关方法400操作可以由各种组件和系统来执行，例如，图1和图3所示的组件。

在方法400的操作402处，该过程可以包括：第一VPAN中的第一设备与第二VPAN中的第二设备连接，其中，第一设备请求访问已经与第二设备通信的边界路由器。如以上关于图3所讨论的，第一设备可以不与边界路由器连接。

在操作404处，该过程可以包括：第一设备正在由AAA服务器授权。如果第一设备由AAA服务器授权，则AAA服务器生成临时GTK，使得临时GTK在有限时间段内有效。

在操作406处，该过程可以包括：将临时GTK从AAA服务器传送到第二设备。在这种情况下，第二设备可以在与临时GTK相关联的有限时间段期间支持第一设备和边界路由器之间的临时数据通信。

在操作408处，该过程可以包括：第一设备在有限时间段期间使用临时GTK(经由第二设备)与边界路由器通信。

图5示出了包含多个设备、服务器和边界路由器的示例网络500的另一系统架构图。网络500类似于以上关于图3所讨论的网络300，并且包括许多相同的组件、服务器和系统。在网络500中，新设备502在第二VPAN 112中变得可用。例如，新设备502可以是新安装的，或它可以是重新上线的现有设备。如图5所示，新设备502与边界路由器102建立连接。新设备502具有与第二VPAN 112中的其他设备相同的子SSID和GTK。

在这种情况下，设备310可以停止使用临时GTK 318与设备302通信，以与边界路由器102连接。例如，设备310可以终止与设备302的通信，并且与新设备502建立新连接，新设备502提供到边界路由器102的连接。在一些实施方式中，优选地使用新设备502(而不是使用与设备302的临时连接)与边界路由器102通信，因为由于与第二VPAN 112相关联的GTK更安全，所以通过新设备502通信更安全。

图6示出了示例方法600的流程图，该示例方法用于操作图5所示的网络。本文描述的关于方法600操作可以由各种组件和系统来执行，例如，图1、图3和图5所示的组件。

在方法600的操作602处，该过程可以包括：第一VPAN中的第一设备通过第二VPAN中的第二设备与边界路由器通信，其中，第二设备被连接到边界路由器。在操作604处，该过程可以包括：第三设备在第一VPAN中变成活跃的(例如，新安装的设备或重新上线的现有设备)。

在操作606处，该过程可以包括：第三设备与边界路由器建立连接。在操作608处，该过程可以包括：第一设备终止其与第二设备的通信并且与第三设备建立连接以与边界路由器通信。

图7示出了包含多个设备、服务器和边界路由器的示例网络700的另一系统架构图。网络700包括以上关于图1所讨论的边界路由器102、AAA服务器104、智能照明服务器106以及烟雾传感器服务器108。

图7还示出了VPAN 702的第一部分(其具有关联的GTK)和VPAN 702的第二部分(其具有同一关联的GTK)。VPAN 702在第一部分中包括多个设备706、708和710，并且在第二部分中包括多个设备714、716和718。在一些实施例中，设备706至设备710和设备714至设备718中的一个或多个是IoT设备。

如图7所示，设备712与VPAN 702的第一部分和VPAN 702的第二部分两者分离。设备712是VPAN 702的两个部分的共同邻居。

在一些实施例中，设备714先前被连接到设备706以与边界路由器102建立连接。但是，如图7所示，设备714和设备706之间的连接被断开或终止(或以其他方式不能正常工作)。为了重新建立设备714和边界路由器102之间的连接，边界路由器102可以认识到设备712可以充当设备714和706之间的桥接器。边界路由器102然后建立该桥接器，所以设备714可以经由设备712和设备706与边界路由器102通信。在一些实施方式中，设备712仅在设备714和设备706之间转发消息。设备712通常不解密从设备714或设备706接收到的数据。因此，设备712可以使用与VPAN 702不同的GTK，因为它不试图解密数据。

在一些实施例中，边界路由器102可以检测设备706和设备714之间失败的连接，并且可以确定设备712被连接到设备706和设备714。基于该确定，边界路由器102可以将设备712配置为设备706和设备714之间的桥接器。

图8示出了示例方法800的流程图，该示例方法用于操作图7所示的网络。本文描述的关于方法800的操作可以由各种组件和系统来执行，例如，图7所示的组件。

在方法800的操作802处，该过程可以包括：第一设备经由与同一VPAN中的第二设备的连接与边界路由器通信。在操作804处，该过程可以包括：边界路由器识别出第一设备失去了其与第二设备的连接。

在操作806处，该过程可以包括：边界路由器识别出不同VPAN中的第三设备是第一设备和第二设备的共同邻居设备。

在操作808处，该过程可以包括：边界路由器将第三设备配置为充当第一设备和第二设备之间的桥接器。在操作810处，该过程可以包括：第三设备在第一设备和第二设备之间传送数据(例如，数据分组)。

图9示出了计算机900的示例计算机架构，该计算机900能够执行用于实现本文描述的功能的程序组件。图9示出的计算机架构图示了传统的服务器计算机、工作站、台式计算机、膝上型电脑、平板计算机、网络应用、电子阅读器、智能电话和/或其他计算设备，并且可以用于执行本文所呈现的任何软件组件。在一些示例中，计算机900可以对应于本文讨论的服务器、路由器或设备中的任何一个。在一些实施例中，计算机900可以包括联网的设备，例如服务器、交换机、路由器、集线器、桥接器、网关、调制解调器、中继器、接入点，等等。此外，在一些实施方式中，本文讨论的程序或软件可以被配置为执行由任何设备执行的操作。

计算机900包括基板902，或者“主板”，它是印刷电路板，许多组件或设备可以通过系统总线或者其他电气通信路径的方式连接到它。在一个说明性配置中，一个或多个中央处理单元(central processing unit，“CPU”)904结合芯片组906一起操作。CPU 904可以是标准的可编程处理器，它执行计算机900的操作所必需的算术和逻辑操作。

CPU 1004通过从一个离散的物理状态转变到下一个状态来执行操作，其中状态转变是通过对区分和改变这些状态的切换元件的操纵来实现的。切换元件一般包括维持两个二元状态之一的电子电路，例如触发器，以及基于一个或多个其他切换元件的状态的逻辑组合来提供输出状态的电子电路，例如逻辑门。这些基本的切换元件可以被组合以创建更复杂的逻辑电路，包括寄存器、加减器、算术逻辑单元、浮点单元，等等。

芯片组906在CPU 904和基板902上的其余组件和设备之间提供了接口。芯片组906可以提供与RAM 908的接口，该RAM被用作计算机900中的主存储器。芯片组906可以进一步提供与计算机可读存储介质的接口，所述介质例如是只读存储器(read-only memory，“ROM”)910或者非易失性RAM(non-volatile RAM，“NVRAM”)，用于存储有助于启动计算机900和在各种组件和设备之间传送信息的基本例程。ROM 910或NVRAM还可以存储根据本文描述的配置进行的计算机1000的操作所必需的其他软件组件。

计算机900可以在联网环境中操作，使用通过网络(例如，网络924)与远程计算设备和计算机系统的逻辑连接。芯片组906可以包括通过网络接口控制器(NIC)912(例如，千兆以太网适配器)提供网络连接的功能。NIC 912能够通过网络924将计算机900连接到其他计算设备。应当明白，计算机900中可以存在多个NIC 912，将计算机连接到其他类型的网络和远程计算机系统。

计算机900可以连接到为计算机提供非易失性存储的存储设备918。存储设备918可以存储操作系统920、程序922和数据，这些在本文中已被更详细地描述。存储设备918可以通过与芯片组906相连接的存储控制器914来连接到计算机900。存储设备918可以由一个或多个物理存储单元组成。存储控制器914可以通过串行附接SCSI(serial attachedSCSI，“SAS”)接口、串行先进技术附件(serial advanced technology attachment，“SATA”)接口、光纤通道(fiber channel，“FC”)接口或者其他类型的用于在计算机和物理存储单元之间物理连接和传送数据的接口与物理存储单元相对接。

计算机900可以通过变换物理存储单元的物理状态以反映被存储的信息，从而在存储设备918上存储数据。在本说明书的不同实施例中，物理状态的具体变换可以取决于各种因素。这种因素的示例可包括但不限于用于实现物理存储单元的技术、存储设备918是被表征为主存储还是次存储，等等。

例如，计算机900可以通过如下方式来将信息存储到存储设备918：通过存储控制器914发出指令以更改磁盘驱动单元内的特定位置的磁特性、光学存储单元中的特定位置的反射或折射特性、或者固态存储单元中的特定电容器、晶体管或者其他分立组件的电特性。在不偏离本说明书的范围和精神的情况下，物理介质的其他变换是可能的，提供前述示例只是为了方便本说明书。计算机900可以通过检测物理存储单元内的一个或多个特定位置的物理状态或者特性，进一步从存储设备918读取信息。

除了上述的大容量存储设备918以外，计算机900还可以访问其他计算机可读存储介质以存储和取回信息，例如程序模块、数据结构或者其他数据。本领域的技术人员应当明白，计算机可读存储介质是提供数据的非暂态存储并且可由计算机900访问的任何可用介质。在一些示例中，由分布式应用架构102中的设备和或其中包括的任何组件执行的操作可由一个或多个类似于计算机900的一个或多个设备支持。换句话说，由分布式应用架构102和或其中包括的任何组件执行的一些或所有操作，可以由在基于云的布置中操作的一个或多个计算机设备900执行。

作为示例，而不是限制，计算机可读存储介质可以包括以任何方法或技术实现的易失性和非易失性、可移除和不可移除的介质。计算机可读存储介质包括但不限于RAM、ROM、可擦除可编程ROM(erasable programmable ROM，“EPROM”)、电可擦除可编程ROM(electrically-erasable programmable ROM，“EEPROM”)、闪存或者其他固态存储器技术、致密盘ROM(compact disc ROM，“CD-ROM”)、数字多功能光盘(digital versatiledisk，“DVD”)、高清晰度DVD(high definition DVD，“HD-DVD”)、BLU-RAY或者其他光学存储、盒式磁带、磁带、磁盘存储或者其他磁性存储设备、或者任何其他可用于以非暂态方式存储所需信息的介质。

如上文简要提及的，存储设备918可以存储被利用来控制计算机900的操作的操作系统920。根据一个实施例，该操作系统包括LINUX操作系统。根据另一实施例，该操作系统包括来自华盛顿州雷德蒙的MICROSOFT公司的

在一个实施例中，存储设备918或者其他计算机可读存储介质被编码有计算机可执行指令，这些指令在被加载到计算机900中时，将计算机从通用计算系统变换为能够实现本文描述的实施例的专用计算机。如上所述，这些计算机可执行指令通过指定CPU 904如何在状态之间转变来变换计算机900。根据一个实施例，计算机900能够访问存储计算机可执行指令的计算机可读存储介质，这些指令在被计算机900执行时，执行本文描述的各种过程。计算机900还可以包括计算机可读存储介质，该介质上存储有用于执行本文描述的任何其他由计算机实现的操作的指令。

计算机900还可包括一个或多个输入/输出控制器916，用于接收和处理来自若干个输入设备的输入，例如键盘、鼠标、触摸板、触摸屏、电子手写笔、或者其他类型的输入设备。类似地，输入/输出控制器916可以向显示器提供输出，例如计算机监视器、平板显示器、数字投影仪、打印机、或者其他类型的输出设备。将会明白，计算机900可能不包括图9中所示的所有组件，可包括图9中没有明确示出的其他组件，或者可能利用与图9中所示完全不同的架构。

如本文所述，计算机900可以包括路由器、边界路由器和/或服务器中的一个或多个。计算机900可包括被配置为执行一个或多个存储的指令的一个或多个硬件处理器904(处理器)。处理器904可以包括一个或多个核心。计算机900可以包括被配置为提供计算机900和其他设备之间的通信的一个或多个网络接口。网络接口可包括被配置为耦合到个域网(PAN)、有线和无线局域网(LAN)、有线和无线广域网(WAN)等等的设备。例如，网络接口可包括与以太网、Wi-Fi

总之，描述了一种技术，该技术用于使用多个虚拟个域网(VPAN)管理设备。边界路由器可以接收来自第一设备的加入网络的第一请求。第一设备可以被分配给第一虚拟个域网(VPAN)，该第一虚拟个域网(VPAN)具有关联的第一组临时密钥(GTK)。第一GTK可以被分发给第一虚拟设备。边界路由器还可以接收来自第二设备的加入网络的第二请求。第二设备可以被分发给第二VPAN，该第二VPAN具有关联第二GTK。第二GTK可以被分发给第二虚拟设备。

虽然是针对具体示例来描述本发明的，但要理解，本发明的范围并不限于这些具体示例。由于为适应特定的操作要求和环境而进行的其他修改和变化对于本领域的技术人员而言是显而易见的，因此本发明不被认为限于为公开目的而选择的示例，并且覆盖了所有不构成偏离本发明的真正精神和范围的变化和修改。

虽然本申请描述了具有具体结构特征和/或方法动作的实施例，但要理解，权利要求书不一定限于所描述的具体特征或动作。更确切地说，具体特征和动作只是说明了属于本申请的权利要求的范围内的一些实施例。