阅读说明：本技术 用于将装置连接到局域网的基于服务器的设置 (Server-based setup for connecting devices to a local area network ) 是由 A·M·帕萨利亚 A·罗斯 P·J·埃利斯 于 2020-02-21 设计创作，主要内容包括：描述了用于将安全数据网络的凭证提供到计算装置的技术。在一实例中,系统存储所述计算装置与用户账户之间的关联。所述用户账户还与所述安全数据网络的凭证相关联。所述系统接收所述计算装置的证书,且基于所述证书确定所述计算装置与所述用户账户之间的所述关联。此外,所述系统基于所述关联被确定而认证所述计算装置以向所述计算装置发送数据,其中此数据是基于所述系统的私钥来验证的。所述系统基于所述数据接收所述计算装置对所述凭证的请求且将所述凭证发送到所述计算装置。(Techniques for provisioning credentials of a secure data network to a computing device are described. In an example, a system stores an association between the computing device and a user account. The user account is also associated with credentials of the secure data network. The system receives credentials of the computing device and determines the association between the computing device and the user account based on the credentials. Further, the system authenticates the computing device to send data to the computing device based on the association being determined, where this data is verified based on a private key of the system. The system receives a request for the credentials by the computing device based on the data and sends the credentials to the computing device.)

具体实施方式

在下面的描述中，将描述各种实施例。出于解释的目的，阐述具体配置和细节以便提供对实施例的透彻理解。然而，对于所属领域的技术人员来说还将明显的是，实施例可以在没有这些特定细节的情况下实践。此外，可以省略或简化熟知的特征，以免使所描述的实施例模糊不清。

本公开的实施例尤其是针对用于将计算装置自动连接到例如安全局域网(LAN)等安全数据网络的基于服务器的设置过程。基于服务器的设置允许以安全方式建立无线连接且在设置过程期间在计算装置和/或安全数据网络的另一装置处无需用户输入。在一实例中，计算装置通过不同数据网络与例如无线接入点等供应者计算装置建立数据连接。此供应者计算装置可管理计算装置与例如云服务器等后端系统之间的数据通信。确切地说，来自计算装置的出站数据业务由供应者计算装置通过不同数据网络接收且发送到后端系统。到计算装置的入站数据业务由供应者计算装置从后端系统接收且通过不同数据网络发射到计算装置。数据通信涉及计算装置与后端服务器之间的用于相互认证的凭证交换。另外，后端系统进一步基于计算装置与用户账户之间的现有关联而认证计算装置。类似地，计算装置进一步基于数字签名认证后端系统，其中此数字签名是作为数据通信的部分接收的。此进一层的认证通过帮助防止中间人类型的网络攻击而对设置过程增加安全性。一旦认证完成，计算装置就可经由供应者计算装置从后端系统请求安全数据网络的凭证。在确定安全数据网络的标识符和其凭证与用户账户相关联后，后端系统即刻经由供应者计算装置将凭证发送到计算装置。计算装置又通过使用凭证与安全数据网络的接入点建立数据连接，进而连接到安全数据网络。

为了说明，考虑包含路由器和用户的第一语音控制多媒体装置(VCMD)的安全归属网络的实例。第二VCMD将连接到此网络。在此实例中，两个VCMD已在用户账户下向服务提供商登记，其中此用户账户维持在云服务器上。当第一VCMD首次连接到安全归属网络时，用于连接的服务集标识符(SSID)和密码存储于用户账户下。当第二VCMD登记于用户账户下时，所述登记包含在用户账户下存储第二VCMD的公钥的至少一部分。另外，路由器提供对具有预定义SSID的隐藏开放网络的接入，其中可基于一组限制来限制此网络上的数据业务。

在首次通电后，或任选地在检测到尚未设置与归属网络的数据连接后，第二VCMD即刻进入Wi-Fi设置模式。在此模式中，第二VCMD从其本地存储器确定预定义SSID、其数字证书和云服务器的网络地址，且通过所述隐藏开放网络自动连接到路由器。第二VCMD还在经寻址到云服务器的加密的超文本传输协议(HTTPS)中发送其数字证书。路由器接收此请求，且基于允许到云服务器的出站业务的限制而将所述请求转发到云服务器。路由器在经寻址到第二VCMD的HTTPS响应中接收回云服务器的数字证书，且基于允许从云服务器到第二VCMD的入站业务的限制而将HTTPS响应转发到第二VCMD。给定两个数字证书，第二VCMD和云服务器执行相互的传输层安全(TLS)认证。

接下来，云服务器确定来自接收的数字签名的第二VCMD的公钥至少匹配于在用户账户下存储的公钥的部分。因此，云服务器进一步基于此匹配认证第二VCMD，且通过以云服务器的私钥加密数据来产生数字签名。所述私钥可以是云服务器的多个私钥中的一个，且具体来说可用于第二VCMD的类型。此数字签名经由路由器发送到第二VCMD。作为响应，第二VCMD接入对应于私钥的公钥，其中此公钥和云服务器的其它公钥存储于第二VCMD的本地存储器中。第二VCMD通过使用云服务器的公钥验证数字签名。在成功验证后，第二VCMD即刻进一步认证云服务器。

一旦认证完成，第二VCMD就经由路由器发送经寻址到云服务器的另一HTTPS请求。此请求包含安全归属网络的SSID，由路由器通过隐藏开放网络接收，且基于允许这样做的限制而转发到云服务器。作为响应，云服务器从用户账户确定用于安全归属网络的密码，且在经寻址到第二VCMD的HTTPS响应中发送此凭证。在允许此入站业务的限制的条件下第二VCMD接收此HTTPS请求。因此，第二VCMD通过隐藏开放网络从路由器断开，且通过使用密码而在安全归属网络上与路由器建立新数据连接。

用于将计算装置自动连接到安全数据网络的基于服务器的设置过程提供了对用于设置数据连接的常规技术的许多技术改进。举例来说，此设置过程可自动执行而无需涉及用户输入。确切地说，一旦计算装置登记于与安全数据网络的凭证相关联的用户账户下，用户就可以仅需要将用于此装置的计算装置通电以与后端系统通信且连接到安全数据网络。另外，此设置可通过依赖于多个层认证而安全地执行，包含减少中间人攻击的风险或防止中间人攻击的层。此外，通过当不同数据网络用于认证和凭证接收时限制进出计算装置的入站和出站业务，可保护安全数据网络上的其它装置。多个私钥和后端系统的对应公钥的使用也允许限制私钥泄密的影响且可支持密钥旋转。这些和其它技术改进会进一步描述且从本文下文的附图的说明中显而易见。

通过使用基于服务器的设置过程，用户可获得在用户账户下向后端系统登记的计算装置。在通电后且不具有用户的安全归属Wi-Fi网络的凭证，计算装置即刻连接到附近的开放Wi-Fi网络且使用此网络与存储凭证的后端系统通信。后端系统标识计算装置和用户账户。在相互认证后，后端系统将凭证发送到计算装置。计算装置继而从开放Wi-Fi网络断开且连接到安全归属Wi-Fi网络。

图1示出根据本公开的实施例的将计算装置连接到安全数据网络的实例。大体上，计算装置首先与用户账户相关联，随后通过不同网络连接到服务器以用于认证，并且一旦经认证，就从服务器接收凭证以连接到安全数据网络。图1以多个阶段示出此方法。

如所说明，在初始阶段，产生装置到用户账户关联110。装置到用户账户关联110以安全方式支持连接的后续基于云的设置。基于云的设置又可涉及多个阶段，包含用于装置和服务器认证140的一个阶段和用于装置到LAN连接170的一个阶段。装置和服务器认证140依赖于装置到用户账户关联110以确保装置向服务器认证且完成服务器对装置的认证。装置到LAN连接170在一旦认证完成时发生，且涉及关于安全LAN的数据交换以使得装置可连接到安全LAN。在这些阶段中的每一个，如本文接下来进一步描述涉及不同的计算组件。

在初始阶段，服务器112从远程装置114接收关于计算装置142的数据。此数据大体上标识计算装置142且包含对于计算装置142是唯一的且可用于认证的信息，例如计算装置142的公钥或此公钥的一部分。所述数据也可标识获得(例如，购买)计算装置142的用户的用户账户。用户账户可存储安全网络172的凭证。大体上，在计算装置可加入安全网络172之前需要来自计算装置的例如密码等安全网络172的凭证，其中此凭证是在通信链路处对安全网络172的受保护接入的部分。在一实例中，安全网络172表示用于用户的不同计算装置的安全归属网络。在说明性实例中，在用户账户下购买计算装置142后，可即刻产生数据且存储(例如，编码)于附接到存放计算装置142的容器118(例如，盒)(或直接附接到计算装置142)的标签116(例如，条形码)中。作为向用户提供计算装置142的部分，远程装置114用以扫描标签116，且读取和发送数据到服务器112。作为响应，服务器112产生且存储装置到用户账户关联110。举例来说，服务器112更新用户账户以存储所接收数据中的一些或全部，包含装置标识符、计算装置142的类型和公钥或其部分。还在此阶段，将服务器112的公钥加载到计算装置142上(例如，作为制造或提供计算装置142的一部分)。相对于图2进一步描述关于计算组件的另外细节以及在此初始阶段中它们之间的交互。

在下一阶段，用户接收计算装置142(例如，接收容器118且从其解包计算装置142)。用户随后将计算装置142通电。如果计算装置142确定其尚未连接到归属网络(例如，装置首次通电)，那么计算装置142从其本地存储器确定隐藏开放网络144的SSID。计算装置142随后与开放隐藏网络144的无线路由器146建立数据连接，进而加入此隐藏开放网络144。无线路由器146已经与服务器112通信地耦合且可向服务器112发送通过数据连接从计算装置142接收的数据，且可通过数据连接向计算装置142发送从服务器112接收的数据。在一实例中，无线路由器146可以对进出计算装置142的入站和出站数据业务施加限制以确保与计算装置142的数据连接正确地且安全地使用。

计算装置142与服务器112之间经由无线路由器146的数据交换包含计算装置142将其装置数字证书发送到服务器112且服务器112将其服务器数字证书发送到计算装置142以用于相互认证。另外，服务器112可从装置数字证书检索计算装置142的公钥，且将此密钥与关于用户账户下的计算装置142的数据进行比较和匹配。如果匹配存在，那么服务器112确定计算装置142已经认证且通过以其私钥加密数据而产生数字签名。数字签名发送到计算装置142，并且作为响应，计算装置142以服务器112的公钥验证数字签名，其中此密钥从计算装置142的本地存储器可用。在验证后，计算装置142即刻确定服务器也已经认证。相对于图3进一步描述关于计算组件的另外细节以及在此初始阶段中它们之间的交互。

一旦装置和服务器认证140完成，计算装置142和服务器112就可以继续交换数据以接收安全网络172的凭证，同时计算装置142仍在隐藏开放网络144上。此时，计算装置142从隐藏开放网络144断开且使用凭证以经由无线路由器146连接到安全网络172，进而加入安全数据网络172(例如，用户的计算装置的归属网络)。入站和出站数据业务上的限制将不再适用，且计算装置142还可与计算装置交互且除服务器112之外还接入其它数据网络174上的计算服务。

在说明性实例中，计算装置142检测安全数据网络172的SSID，且经由隐藏开放网络144上的到无线路由器146的数据连接向服务器112发送针对对应于SSID的密码的请求。作为响应，服务器可以确定SSID与用户账户相关联(例如，存储于其上)，检索密码(例如，从用户账户)，且经由无线路由器146且通过隐藏开放网络144上的数据连接将其发送回到计算装置142。接收到凭证后，计算装置142终止数据连接，且通过使用SSID和密码与无线路由器146建立新数据连接，进而加入安全数据网络172。相对于图4进一步描述关于计算组件的另外细节以及在此初始阶段中它们之间的交互。

为了阐释的清楚起见，图1描述涉及特定计算组件的多个阶段。然而，本公开的实施例不受如此限制。举例来说，服务器112可以是云服务器和/或包含一个或多个服务器的后端系统的计算组件。基于服务器的设置过程的功能性可分布于后端系统内。在另一实例中，计算装置142无需连接到同一无线路由器来加入隐藏开放网络144和安全数据网络172。举例来说，可使用两个不同路由器，所述两个数据网络中的每一个上使用一个。在另一示例中，可使用除路由器外的装置。举例来说，计算装置142可连接到安全数据网络172上的接入点。替代地，在已经加入安全数据网络172的用户账户下已经登记的用户的另一计算装置可用作到隐藏开放网络144的接入点。大体上，本文中以上所描述的此计算装置和无线路由器146是供应者装置的实例，计算装置142与其通信以与服务器112交换数据以用于认证和安全数据网络172的凭证的接收。在又另一示例中，可使用不同类型的网络而不是隐藏开放网络144。举例来说，此数据网络可以简单地是开放网络(而不是隐藏)，其广播SSID(在此情况下，计算装置142无需在其存储器中预存储此SSID)。在另一示例中，数据网络可为具有个人门户网站的公用网络。在此情况下，可通过经由域名服务(DNS)请求发送相关数据来执行与服务器112的数据交换。结合接下来的附图进一步示出这些和其它变化。

图2示出根据本公开的实施例的使计算装置与用户关联的实例。可执行计算装置与用户的关联以产生装置到用户账户关联，类似于图1的装置到用户账户关联110，所述关联又在计算装置到安全数据网络的连接的基于服务器的设置期间可用。图2示出用于产生此关联的两个实例。在示出为在图2的顶部部分中开始的第一实例中，用户从服务提供商获得(例如，购买)计算装置，其中用户具有关于服务提供商的用户账户。在此第一实例中，服务提供商可产生所述关联。在示出为在图2的底部部分中开始的第二实例中，用户从第三方获得计算装置。在此实例中，用户(或第三方)可产生所述关联。用于产生装置到用户账户的其它实例也是可能的，包含例如用户账户下的计算装置的常规在线登记。

在第一实例中，用户从服务提供商订购计算装置210(例如，从服务提供商的网站在线购买)。计算装置210是图1的计算装置142的实例。大体上，计算装置210可以是任何合适的用户装置，其包含一个或多个处理器、一个或多个存储器和一个或多个接口以用于执行一个或多个应用程序、与用户交互、与远程计算装置介接及类似操作。举例来说，计算装置210可为VCMD，其表示响应于唤醒词而提供智能个人助理服务且能够进行包含内容播放、提供实时信息以及执行任务和例程的不同交互的智能扬声器，智能插头，多媒体流式传输装置，或代管智能个人助理服务、电力管理服务、流式传输服务和/或其它应用程序的任何其它装置。在其它图示中，计算装置210可为移动手机、平板计算机、桌上型计算机、智能电视机、数字录像机，或具有一个或多个处理器、一个或多个存储器和一个或多个接口的任何其它用户装置。

在服务提供商的存储设施中，计算装置210可添加到容器220以用于递送到用户。条形码230可附接到容器220(例如，到此容器220的外表面)且可编码与计算装置210相关的数据(例如，产品编号、公钥或其一部分，和/或计算装置210的类型，其中所述类型可为产品分类，例如VCMD、智能插头等)。任选地，条形码也可编码关于用户的用户账户的数据。例如在存储设施处的扫描仪(例如，手持式扫描仪或存储设施的工作站中的产品扫描仪)等远程装置240执行条形码扫描232以读取条形码数据234(例如，经编码于条形码230中的数据)。远程装置240与服务提供商的服务器250(或更一般化地，后端系统)通信地耦合且将条形码数据234发送到此服务器250。在图示中，远程装置240与管理用户的购买订单的中央计算机在同一网络上。条形码数据234从远程装置240发送到此中央计算机且中央计算机将其发送到服务器250。发送的条形码数据234例如包含经编码于条形码230中的计算装置210的公钥(示出为装置公钥236)或装置公钥236的部分。也可包含其它数据，例如计算装置210的产品编号(例如，序列号)和/或产品分类。产品分类可表示计算装置210的类型，例如计算装置210是否为VCMD、智能插头、多媒体流式传输装置等。在本公开中出于清楚起见，计算装置的产品分类可被称为计算装置的类型。另外，如果条形码230编码关于用户账户的数据，那么条形码数据234可包含用户账户的标识符238。否则，服务器250可单独地从条形码数据234接收标识符238。举例来说，附接到容器220和/或在购买订单中打印的另一条形码对标识符238进行编码。在此条形码的扫描后，远程装置240即刻从此条形码读取标识符238且发送到服务器250。另外或替代地，可基于计算装置的用户购买且基于此中央计算机从远程装置240接收条形码数据234而从中央计算机发送标识符238。

服务器250又接收条形码数据234和用户账户的标识符238，且使计算装置210与用户账户关联212。举例来说，服务器250基于用户账户的标识符238查找用户账户且对此账户添加条形码数据234中的一些或全部，包含装置公钥236(或其一部分)、产品编号和/或装置类型。另外或替代地，服务器250可更新使装置公钥与用户账户关联的列表。此列表在本文中被称作公钥-用户账户列表。举例来说，装置公钥236(或其部分)可作为密钥添加，且标识符238可作为公钥-用户账户列表中的值添加。大体上，服务器250可被实施为专用服务器硬件，被实施为在通用硬件上运行的基于服务器的软件，和/或被实施为基于云的计算服务。服务器250可为服务提供商的后端系统的计算组件，其中此后端系统可以存储用于不同用户的用户账户且基于用户账户对用户的计算装置提供计算服务(例如，多媒体流式传输)。尽管图2中示出的实施例是相对于条形码和条形码扫描仪而提供，但可利用其它数据输入方法和系统，包含射频标识符(RFID)或类似物。

在第一实例中，并非使用产品扫描仪，远程装置可为用户的移动装置250，例如智能电话。移动装置250可执行移动应用程序(例如，“应用程序”)以基于移动应用程序上对用户账户的用户登录而与服务提供商的后端系统通信。在此实例中，用户可以接收包含计算装置210和纸页222(例如，纸、彩页、用户手册等)的容器。此纸页222包含对以上数据进行编码的类似于条形码230的条形码224。另外，条形码224可对可用于进一步认证计算装置210的个人标识号码(PIN)238进行编码，如结合接下来的附图所示。纸页222可以但无需附接到计算装置210。在打开容器后(在图2中示出为打开状态的容器226)，用户即刻检索计算装置210和纸页222且使用移动应用程序来执行条形码224的条形码扫描252(例如，以拍摄条形码224的图像)。移动应用程序又读取编码数据且将条形码数据254发送到服务器250。发送的条形码数据254包含例如装置公钥236(或其一部分)和PIN 238。也可包含其它数据，例如计算装置210的产品编号和/或类型。另外，如果条形码230编码关于用户账户的数据，那么条形码数据234可包含用户账户的标识符238。否则，基于对用户账户的用户登录来确定此标识符238。

此处同样，服务器250接收条形码数据254和用户账户的标识符238，且使计算装置210与用户账户关联212。举例来说，服务器250基于标识符238查找用户账户且对此账户添加条形码数据254中的一些或全部，包含装置公钥236(或其一部分)、PIN 238、产品编号和/或装置类型。

图3示出根据本公开的实施例的相互的装置和服务器认证的实例。如所说明，计算装置310与无线路由器320建立数据连接以加入隐藏开放网络330。一旦在隐藏开放网络330上，计算装置310和服务器340就可以经由无线路由器320交换数据以用于对计算装置310认证318服务器340且用于对服务器340认证344计算装置310。计算装置310、无线路由器320、隐藏开放网络330和服务器340分别是图1的计算装置142、无线路由器146、隐藏开放网络144和服务器112的实例。

在一实例中，无线路由器320管理计算装置对隐藏开放网络330的接入以及对隐藏开放网络330上进出此类计算装置的入站和出站业务的接入。大体上，隐藏开放网络330具有SSID，但不需要用于接入的密码(并且因此，此数据网络称为“开放”)。无线路由器320也不通告(例如，广播)SSID(并且因此，此数据网络也被称作“隐藏”)。隐藏开放网络330可支持各种数据通信协议，包含Wi-Fi协议和传输控制协议和因特网协议(TCP/IP协议)。

服务器340的服务提供商可定义SSID(例如，通过将隐藏开放网络330称为“SSID_example”或某一其它名称)以及关于使用隐藏开放网络330的限制。如果无线路由器320是由服务提供商设计、制造和/或提供，那么SSID和限制可预存储于无线路由器320的存储器中。另一方面，如果无线路由器320是由第三方设计、制造和/或提供，那么服务提供商可将SSID和限制存储于软件开发工具包(SDK)或配置文件中以用于下载到无线路由器320。在两种情况下，一旦在用户位置安装，除管理对归属数据网络的接入之外，无线路由器320还可基于所述限制管理对具有SSID的隐藏开放网络330的接入。

类似地，且在将计算装置310提供到用户之前，SSID(和其它应用程序层级限制)可预存储于计算装置310的本地存储器中。确切地说，如果计算装置310是由服务提供商设计、制造和/或提供，那么SSID可在制造过程期间或在制造之后但在装运之前预存储于计算装置310的本地存储器中。另一方面，如果计算装置310是由第三方设计、制造和/或提供，那么服务提供商可将SSID存储于软件开发工具包(SDK)或配置文件中以用于下载到计算装置310。

另外，服务提供商可定义在计算装置310上应当存储的服务器340的公钥的数目“N”(例如，十)(“N”个服务器公钥)，且可标识这些公钥中应当由计算装置340用于认证服务器340的一个。此公钥可基于计算装置310的类型(例如，VCMD、智能插头、多媒体流式传输装置等)而选择。因此，“N”个服务器公钥以及将用于服务器认证的特定服务器公钥的指示是在提供到用户之前加载(直接或通过SDK或配置文件)到计算装置310的本地存储器上且存储于其中。

在由用户(或第三方)而不是服务提供商产生装置到用户账户关联的实例中，此关联还包含PIN。PIN可在额外层的认证中使用。在此情况下，且在将计算装置310提供到用户之前，服务提供商可定义PIN(例如，特定长度的随机产生的串)。此PIN在提供到用户之前加载(直接或通过SDK或配置文件)到计算装置310的本地存储器上且存储于其中。

在提供到用户之后且在通电状态下，计算装置310可确定到归属数据网络的数据连接尚未设置(例如，在此装置首次通电之后)。基于此确定，计算装置310从其本地存储器确定SSID，且通过例如使用SSID作为隐藏开放网络330的名称且使用特定安全协议(例如，WPA/WPA2个人)来建立到无线路由器320的数据连接。

现在计算装置310已加入隐藏开放网络330，此计算装置310可经由无线路由器320与服务器340交换数据以用于认证。确切地说，无线路由器320从计算装置310发送出站数据到服务器340且从服务器340发送入站数据到计算装置310。此数据业务和其它数据业务经受存储在无线路由器320上的限制。大体上，所述限制表示约束数据业务以确保隐藏开放网络330正确地且安全地使用且最小化或防止对归属数据网络(还受无线路由器320管理)的任何影响的防火墙。

在一实例中，所述限制限制了隐藏开放网络330上的计算装置的总数目、计算装置310与无线路由器320之间的数据连接的数据处理量和时长、来自计算装置310的出站业务的目的地地址(例如，此目的地地址可限于服务器340的网络地址)，和/或入站业务的源地址(例如，此源地址可限于服务器340的网络地址)。满足限制的进出计算装置310的数据业务被传递；否则，数据业务被滤除。

在图示中，所述限制允许隐藏开放网络330通过用户数据报协议(UDP)在路由器上在端口67上接入动态主机配置协议(DHCP)，以通过TCP在端口443上接入特定白名单IP地址。所述限制也可拒绝归属数据网络上的计算装置与隐藏开放网络330上的计算装置通信，且反之亦然。对于隐藏开放网络330上的计算装置，所述限制可拒绝这些计算装置彼此通信和与内部路由器端点通信，以及接入路由器设定接口。所述限制也可对隐藏开放网络330上的包给出比归属数据网络上的包更低的优先级。所述限制也可将可同时连接到隐藏开放网络330的计算装置的最大数目限制于特定数目。当没有客户端点时，所述限制会必须断开连接至少预定数目的最旧计算装置，前提是这些装置已经连接超过某一时间量。如果它们已经连接小于所述某一时间量，那么所述限制可以指定不应当采取动作，因为这些装置可以主动地供应。所述限制也可指定在至少特定数量的时间内不应让断开的计算装置回到隐藏开放网络330上。另外，所述限制可将用于隐藏开放网络330的最大下载/上载速率限制于特定位速率且将最大数据传送限制于一天的特定数据量。

基于所述限制，经由无线路由器320在计算装置与服务器340之间交换数据以用于认证。交换的数据可通过HTTP请求和响应运载。在一实例中，计算装置310将其装置数字证书312发送到服务器340且从服务器340接收服务器数字证书342。所述两个证书312和342可在相互TLS认证中使用。

在完成TLS认证后，可在计算装置310与服务器340之间执行HTTPS通信。服务器340也可从装置数字证书312检索装置公钥314，查找用户账户或公钥-用户账户列表，且确定匹配(例如，匹配装置公钥314与和用户的用户账户相关联的计算装置310的公钥(或其部分)，或确定装置公钥314在公钥-用户账户列表上)。如果匹配存在，那么服务器340确定计算装置310经认证。如果多个匹配存在(例如，装置公钥314与两个或更多个用户账户匹配)，那么服务器340可以拒绝匹配(例如，计算装置310未经认证)或可能需要额外认证。在一实例中，额外认证涉及服务器340确定公钥314与用户账户之间的最近关联且在计算装置310对应于此用户账户的情况下认证所述计算装置。在另一实例中，服务器340可以发送认证询问且可基于对此询问的响应而认证计算装置310。举例来说，认证询问可能必须经由移动装置上的应用程序对用户账户的用户登录以及来自移动装置的对计算装置310的用户所有权的确认。

作为响应，服务器340从为服务器340定义且可用于其的“N”个私钥(例如，“N”个服务器私钥)选择私钥，且以所述服务器私钥通过HTTPS响应产生数字签名346。可以产生相似数字签名且与从服务器340到计算装置310的HTTPS请求和响应结合使用。“N”个服务器私钥对应于存储于计算装置310的存储器中的“N”个服务器公钥。选择的服务器私钥对应于存储于计算装置310的存储器中的服务器公钥且在认证中被指示为可用。大体上，服务器340存储“N”个服务器私钥以及“N”个服务器私钥到计算装置类型的映射。在一实例中，所述映射另外或替代地特定于计算装置的产品编号的范围，其中此映射指示特定服务器私钥适用于产品编号的特定范围。给定计算装置310的类型(例如，VCMD、智能插头、多媒体流式传输装置等)和/或计算装置310的产品编号，服务器340从映射确定应当用于数字签名346的特定服务器私钥。

计算装置310接收数字签名346，确定特定服务器公钥，且以此密钥验证数字签名346。如果数字签名346经验证，那么计算装置310确定服务器340经认证。

在由用户(或第三方)而不是服务提供商产生装置到用户账户关联的实例中，PIN也可以在额外层的认证中使用。确切地说，一旦计算装置310基于TLS和数字签名认证而认证服务器340，那么计算装置310可从服务器340请求和接收临时标志。计算装置310使用临时标志以产生PIN的散列(示出为PIN散列316)且将PIN散列316发送到服务器340。作为响应，服务器340验证PIN散列316以进一步认证计算装置310。

如上文中所述，多个层的认证是可能的(例如，TLS、数字签名、装置公钥与用户账户的关联，和PIN散列)。使用这些认证层中的任一个是可能的。使用这些认证层的组合或全部也是可能的且提供增加的安全性。

虽然图3示出使用无线路由器320来提供和管理对隐藏开放网络330的接入，但本公开的实施例不受如此限制。实际上，另一计算装置322可这样做。确切地说，计算装置322可能先前已经由用户获得且被供应以接入用户的安全归属网络。此计算装置322可为与计算装置310相同或不同的类型(例如，VCMD、智能插头、多媒体流式传输装置等)。在用户获得计算装置310(待供应)后且在为计算装置310产生装置到用户关联后，服务器340可以即刻向计算装置322发送指示此关联的数据和执行供应功能性的指令。这些指令可以触发计算装置322在预定时间周期内(例如，在产生关联之后的一周内)设置隐藏开放网络322且对进出计算装置310的入站和出站业务施加限制。

此外，图3示出部分地在隐藏开放网络上且通过使用HTTPS请求和响应发生的数据交换。然而，本公开的实施例不受如此限制。实际上，计算装置310可以检测附近的可见开放网络(例如，广播其SSID且不需要密码的数据网络)且此网络的SSID无需预存储在计算装置310上。图3示出此网络为由无线路由器360管理的开放网络350。计算装置310和服务器340可经由无线路由器360交换上述数据用于认证。在此情况下，无线路由器360可以不存储和应用限制。

图4示出根据本公开的实施例的将安全数据网络的凭证从服务器提供到计算装置的实例。确切地说，计算装置和服务器已经部分地通过开放数据网络(隐藏或可见)交换数据且使用数据彼此认证。接下来，计算装置和服务器可以部分地通过开放数据网络继续交换数据，其中来自计算装置的数据标识一个或多个安全LAN且来自服务器的数据可以包含对这些安全LAN中的一些或全部的一个或多个凭证。此时，计算装置从开放数据网络断开且加入安全LAN中的一个。

如所说明，计算装置410经由无线路由器420与服务器440进行数据通信，其中计算装置410已经加入受无线路由器420管理的隐藏开放网络430。计算装置410、无线路由器420、隐藏开放网络430和服务器440分别是图3的计算装置310、无线路由器320、隐藏开放网络330和服务器340的实例。

一旦认证完成，计算装置410就可检测附近的安全网络450(例如，附近的Wi-FiLAN网络，各自通过例如密码等凭证受保护)。当仍在隐藏开放网络430上时，计算装置410请求412服务器440提供安全网络450的凭证。举例来说，计算装置410经由无线路由器420将HTTPS请求发送到服务器440，其中无线路由器420使此请求经受限制。HTTPS请求包含安全网络450的标识符(图4中示出为安全网络SSID 414)。作为响应，服务器440可确定安全网络450已经与计算装置410的用户账户相关联(例如，安全网络450的SSID存储于用户账户下)，且可以检索安全网络450的凭证(例如，存储于用户账户下的用于SSID的密码)。服务器440随后经由无线路由器420将凭证提供442到计算装置，其中无线路由器420也使此响应经受限制。举例来说，服务器440发送包含凭证(例如，图4中示出为安全网络凭证444)的HTTPS响应。

一旦计算装置410接收到安全网络凭证444，计算装置410就从无线路由器420断开，进而离开隐藏开放网络430。计算装置410随后通过使用安全网络SSID 414作为安全网络450的名称，使用安全网络凭证444作为安全网络450的密码，且使用特定安全协议(例如，WPA/WPA2个人)以建立新数据连接，来重连接到无线路由器420(或管理对安全网络450的接入的任何其它装置)，进而加入安全网络450。从此时起，对入站和出站数据业务的限制将不再适用，且计算装置410可与计算装置交互且除服务器112之外还接入其它数据网络460上的计算服务。

为了阐释的清楚起见，图4示出检测到一个安全网络450的计算装置410。然而，本公开的实施例不受此限制，且当检测到多个安全网络时类似地适用。在此情况下，请求此类网络的凭证的不同技术是可能的。

在一个实例技术中，计算装置410基于一组因数选择检测到的安全网络中的特定安全网络。这些因数包含例如安全网络的信号强度和数据处理量。随后，计算装置410可从服务器440请求此特定安全网络的凭证。如果此网络已经与用户账户相关联，那么服务器440返回凭证且计算装置410加入安全网络。否则，服务器440可返回指示凭证不可用的响应(或可以根本不返回响应)。在此情况下(负响应或缺乏响应)，计算装置可选择下一安全网络且重复请求。此选择、请求和响应过程可重复，直到计算装置410成功地加入安全网络中的一个或在尝试且未能加入全部这些网络之后。在另一实例中，安全网络的选择可为随机的或可遵循检测到的安全网络的名称的字母次序。在又另一实例中，计算装置410可以发送一个HTTPS请求或多个HTTPS请求以向服务器440标识安全网络，从服务器440接收一个HTTPS响应或多个HTTPS响应，并且接着选择(基于因数、随机地、字母次序等)安全网络中的一个来加入。

此处同样，且类似于图3，同一无线路由器420无需用于隐藏开放网络430和安全网络450。实际上，已经供应且添加到安全网络450的不同无线路由器和/或计算装置可用以提供和管理对隐藏开放网络430的接入，而无线路由器420可用以提供和管理对安全网络450的接入。

图5示出根据本公开的实施例的认证和提供安全数据网络的凭证的另一实例。在此实例中，并非连接到开放网络(例如，如图3和4中可见或隐藏)上的无线路由器，计算装置510可与具有有效门户的公用网络530上的无线路由器520连接。所述有效门户可能在建立连接之前必须要用户输入(例如，在说明性实例中，此提供的网络530可以由例如商店或酒店等实体提供，且可能为了接入而必须要用户输入，例如客户会员卡号或酒店房间号和/或酒店客人姓名)。在此情况下，DNS请求用以在计算装置与服务器540之间传递相关认证数据和网络数据，而无需计算装置510加入公用网络530。一旦认证完成且一旦计算装置510从服务器540接收到安全网络560的凭证，计算装置510就可连接到安全网络560上的无线路由器550以除服务器540之外还随后获得对其它数据网络570的接入。

此处，计算装置510、无线路由器520和550以及服务器540分别是图4的计算装置410、无线路由器420和服务器440的实例。与图4相比的一个差异是每一条认证数据和网络数据预映射到具有特定域名的域(或子域)。域名可编码或表示所述一条数据。并非交换所述一条数据自身，计算装置510和服务器540交换被解析到域名的DNS请求，且进而指示所述一条数据。

举例来说，认证数据可包含装置数字证书512、装置公钥514、PIN散列516、服务器数字证书542和数字签名544，分别类似于图3的装置数字证书312、装置公钥314、PIN散列316、服务器数字证书342和数字签名346。网络数据可包含分别类似于图4的安全网络SSID414和安全网络凭证444的安全网络SSID 518和安全网络凭证546。装置公钥514、PIN散列516、服务器数字证书542、数字签名544、安全网络SSID518和安全网络凭证546中的每一个可映射到域(或子域)且经由DNS请求指示。

图6示出根据本公开的实施例的被配置为被供应者装置600以连接到安全数据网络的计算装置的实例。被供应者装置600表示尚未配置但连接到安全网络且正经由基于服务器的设置被供应以自动连接到安全网络的计算装置。图1的计算装置142、图2的计算装置210、图3的计算装置310、图4的计算装置410和图5的计算装置510是被供应者装置600的实例。

如所说明，被供应者装置600包含处理器610(或多个处理器)、网络接口卡620(或多个网络接口卡)和存储器630(或多个存储器)。在一实例中，条形码640也可附接到被供应者装置600(例如，附接到被供应者装置600的外壳)。

存储器630存储装置数字证书632、开放网络SSID 634、“N”服务器公钥636和用于设置应用程序638的代码。在由处理器610执行代码时，设置应用程序638运行，且提供加入开放数据网络、执行认证、接收安全数据网络的凭证和加入安全数据网络的功能性。设置应用程序638也可通过开放数据网络对被供应者装置的入站和出站数据业务施加应用程序级限制(例如，通过将任何出站业务限制于服务器的预定义地址)。此类限制和服务器的预定义地址也可存储于存储器630中。

图7示出根据本公开的实施例的被配置为供应者装置700以促进被供应者装置与云服务器之间的通信的计算装置的实例。供应者装置700表示管理对开放网络的接入且可与被供应者装置和服务器连接以支持被供应者装置的供应的计算装置。图1的无线路由器146、图3的无线路由器320和360、图4的无线路由器420和图5的无线路由器520是供应者装置700的实例。其它类型的装置也可用作供应者装置。举例来说，先前是被供应者装置且成功地被供应而加入安全网络的计算装置可以被配置为供应者装置。

如所说明，供应者装置700包含处理器710(或多个处理器)、网络接口卡720(或多个网络接口卡)和存储器730(或多个存储器)。存储器730存储网络限制732以管理在开放数据网络上进出被供应者装置的入站和出站业务。存储器730还可包含用于网络应用程序管理对开放数据网络的接入的代码。在供应者装置700还管理对安全数据网络的接入的情况下，存储器730还可包含用于同一或另一网络应用程序管理此接入的代码。

图8示出根据本公开的实施例的被配置成认证被供应者装置且提供安全数据网络的凭证的云服务器800的实例。服务器800专用服务器硬件、在通用硬件上运行的基于服务器的软件、在数据中心中的硬件上代管的基于云的计算服务。大体上，服务器800表示服务提供商的后端系统的计算组件，其中此后端系统可以存储用于不同用户的用户账户且基于用户账户对用户的计算装置提供计算服务(例如，多媒体流式传输)。图1的服务器112、图2的服务器250、图3的服务器340、图4的服务器440和图5的服务器540是服务器800的实例。

如所说明，服务器800包含处理器810(或多个处理器)、网络接口卡820(或多个网络接口卡)和存储器830(或多个存储器)。

存储器830存储服务器的数字证书(示出为服务器证书831)。另外，服务器存储“N”个私钥(示出为服务器私钥832)和服务器私钥832到装置类型的映射833。映射833使每一装置类型与服务器私钥关联。另外或替代地，映射833使计算装置产品编号的每一到达与服务器公钥关联。大体上，数字服务器证书831用以向被供应者装置认证服务器800。取决于被供应者装置的类型(例如，其产品分类)和/或被供应者装置的产品编号(例如，其序列号)，服务器800还基于映射833选择“N”个私钥中的一个且以选定的服务器私钥加密数据以产生数字签名。数字签名用于进一步向被供应者装置认证服务器800。

此外，存储器830存储用户账户834(或用于不同用户的多个用户账户)。大体上，用户账户834存储与用户、可用于用户的计算服务和用户的包含任何被供应者装置的计算装置相关的数据。在与被供应者装置相关的数据的实例中，用户账户834存储被供应者装置的装置公钥835(或其部分)和任选的例如被供应者装置的产品编号和/或类型等其它数据。此数据表示被供应者装置与用户账户之间的关联。另外，用户账户834存储用户可接入的安全网络的标识符和凭证(示出为SSID和密码836)(或如果用户可接入多个安全网络，则多个标识符和凭证)。一旦认证成功地执行，服务器800就可将凭证发送到被供应者装置。如本文中上方阐释，另外或替代于在用户账户下存储装置公钥835，可使用公钥-用户账户列表。确切地说，此列表可存储于存储器830中且可使公钥835与用户账户834(且同样，其它公钥与同一用户账户834和/或其它用户账户)关联。

存储器830也可存储用于基于服务器的设置服务的代码(示出为设置服务838)。在由处理器810执行代码时，设置服务838即刻运行且提供向被供应者装置认证服务器800、认证被供应者装置和向被供应者装置发送相关凭证的功能性。

图9示出根据本公开的实施例的被供应者装置、供应者装置以及将被供应者装置连接到安全数据网络的服务器之间的序列图900的实例。被供应者装置、供应者装置和服务器分别是图6的被供应者装置600、图7的供应者装置700和图8的服务器800。大体上，供应者提供且管理对开放数据网络的接入。被供应者装置和服务器交换认证数据和网络数据，而被供应者装置在开放网络上。一旦接收到网络数据，被供应者装置就从开放数据网络断开且基于来自网络数据的安全数据网络的凭证而加入安全数据网络。安全数据网络无需由供应者装置提供和管理。

序列图900以被供应者装置(例如，其设置应用程序)检测连接设置触发开始。此触发造成被供应者装置自动开始基于服务器的设置以接收安全网络的凭证且与其连接。在一实例中，所述触发可以是被供应者装置第一次通电。另一触发可为检测到没有为被供应者装置设置归属网络或者先前设置的归属网络不再可接入或可用。又一实例可为触发连接设置的用户输入，例如被供应者装置上的硬按钮或显示于被供应者装置的屏幕上的软按钮。

接下来，被供应者装置从其本地存储器接入开放数据网络的预存储标识符(例如，此网络的SSID)。当开放数据网络隐藏时情况会是这样。然而，如果开放数据网络可见，那么装置可经由来自此网络的广播接收其标识符。

装置随后与供应者装置建立数据连接以加入开放数据网络。举例来说，被供应者装置使用SSID作为开放数据网络的名称且使用特定安全协议(例如，WPA/WPA2个人)从供应者装置请求对此网络的接入。

一旦在开放数据网络上，被供应者装置就可以经由供应者装置与服务器通信。通信可包含HTTP请求和响应并且可经受供应者装置所存储的任何限制。被供应者装置和服务器执行相互TLS认证。举例来说，被供应者装置将其装置数字证书发送到服务器且服务器将其服务器数字证书发送到计算装置用于TLS认证。一旦执行TLS认证，就可建立安全通信信道且通信可包含HTTPS请求和响应。

除TLS相互认证之外、独立于TLS相互认证或替代于TLS相互认证，被供应者装置和服务器也可通过经由供应者装置交换相关数据执行基于装置-用户账户关联的认证和基于PIN散列的认证。在之前的认证的实例中，服务器可从被供应者装置的装置数字证书检索装置公钥且可将此密钥与在与被供应者装置相关联的用户账户下存储的装置公钥(或其部分)进行比较或可查找公钥-用户账户列表以找到匹配。如果所述比较指示匹配，那么服务器确定被供应者装置经认证。作为响应，以服务器私钥签署来自服务器的HTTPS数据(例如，每一或某个请求和响应中的数据)，进而创建数字签名。被供应者装置接收(例如，在对应HTTPS请求或响应中)数字签名且基于存储于被供应者装置的存储器中服务器公钥进行验证。在后一个认证的实例中，被供应者装置存储PIN，且从服务器请求和接收临时标志。被供应者装置随后基于PIN和临时标志的散列产生PIN散列，且将PIN散列发送到服务器。服务器通过将在用户账户下为被供应者装置存储的PIN散列而验证PIN散列。

接下来，被供应者装置当仍在开放数据网络上时请求安全数据网络的凭证。举例来说，被供应者装置检测安全数据网络的标识符(例如，其SSID)且经由被供应者装置将HTTPS请求发送到服务器。作为响应，服务器查找用户账户，确定标识符与在用户账户下存储的安全数据网络的标识符之间的匹配。基于匹配，服务器从用户账户检索对应于匹配安全数据网络的凭证且在HTTPS响应中发送此凭证。

被供应者装置接收凭证。举例来说，当被供应者装置仍在开放数据网络上时，HTTPS响应从供应者装置传递到被供应者装置。

一旦接收到凭证，被供应者装置就与供应者装置(或安全数据网络上的相关装置)建立新数据连接以加入安全数据网络。举例来说，被供应者装置终止现有数据连接，进而离开开放数据网络。被供应者装置还使用SSID作为安全数据网络的名称，并使用凭证作为密码，且使用特定安全协议(例如，WPA/WPA2个人)从供应者装置请求对此网络的接入。

图10到11示出用于到安全网络的连接的基于服务器的设置的实例流程。类似于图6的被供应者装置600，被供应者装置被描述为执行图10的实例流程的操作，且类似于图8的服务器800，服务器被描述为执行图11的实例流程的操作。用于执行操作的指令可作为计算机可读指令存储在相关计算组件(例如，图10的被供应者装置和图11的服务器)的一个或多个非暂时性计算机可读介质上。在存储时，指令表示可编程模块，其包含可由相关计算组件的一个或多个处理器执行的代码或数据。此类指令的执行配置相关计算组件以执行对应图式中示出且在本文中描述的特定操作。与相应处理器组合的每一可编程模块表示用于执行相应操作的构件。虽然操作是以特定次序示出，但应理解，特定次序不是必要的，且可省略、跳过和/或重排序一个或多个操作。

图10示出根据本公开的实施例用于被供应者装置到安全数据网络的连接的流程的实例。如所说明，实例流程在操作1002处开始，其中被供应者装置与第一数据网络上的供应者装置建立第一数据连接。在一实例中，第一数据网络是可隐藏或可见的附近Wi-Fi开放数据网络。如果隐藏，被供应者装置从其本地存储器确定此网络的SSID且从供应者装置请求对其的接入。

在操作1004处，被供应者装置将被供应者装置的装置数字证书发送到服务器。在一实例中，被供应者装置从其本地存储器接入装置数字证书。此外，被供应者装置还从其本地存储器确定服务器的网络地址。被供应者装置产生以所述网络地址为目的地的HTTP请求且包含装置数字证书。HTTP请求是通过与供应者装置的数据连接从被供应者装置发送。取决于适用的限制，供应者装置将HTTP请求路由到服务器。

在操作1006处，被供应者装置接收服务器数字证书。在一实例中，此证书是在以被供应者装置为目的地的HTTP响应中从服务器发送。取决于适用的限制，供应者装置将HTTP响应路由到被供应者装置。

在操作1008处，被供应者装置基于服务器数字证书认证服务器。在一实例中，此认证涉及通过从服务器数字证书验证服务器和证书颁发中心的身份而执行TLS认证。一旦执行TLS认证，HTTPS通信就可经由供应者装置在被供应者装置与服务器之间发生且经受限制。

在操作1010处，被供应者装置接收服务器的数字签名。在一实例中，以服务器的服务器私钥签署HTTPS数据(例如，每一HTTPS请求、HTTPS请求中的一些、每一HTTPS响应或来自服务器的HTTPS响应中的一些中的数据)。已签署的HTTPS数据在本文中被称作数字签名。大体上，服务器产生待签署的HTTPS数据的单向散列且以服务器私钥加密所述散列。此所得数字签名可包含于对应HTTPS请求或HTTPS响应中。数字签名从服务器发送到被供应者装置(例如，在对应HTTPS请求或响应中)。取决于适用的限制，供应者装置将数字签名路由到被供应者装置。为了说明，在TLS认证的完成后，被供应者装置即刻将HTTPS请求发送到服务器(例如，包含随机或特定消息的请求)且服务器发送回对此请求的HTTPS响应。以服务器私钥签署所述HTTPS响应且将HTTPS响应路由到被供应者装置。在此情况下，服务器可从HTTPS请求中包含的消息产生散列，且以服务器私钥加密此散列以产生服务器的数字签名。数字签名包含于HTTPS响应中。此外，且如结合流程的接下来的操作所描述，以服务器私钥签署服务器的HTTPS响应，包含用以发送临时标志和凭证的那些响应。此类签名还表示可由被供应者装置作为另一层服务器认证来验证的数字签名(例如，基于临时标志的散列的数字签名、基于凭证的数字签名)。

在操作1012处，被供应者装置进一步基于数字签名认证服务器。在一实例中，被供应者装置从其本地存储器接入服务器的公钥且验证数字签名。大体上，被供应者装置以服务器公钥从数字签名解密散列，从数字签名产生散列(或如果对应HTTPS请求包含来自被供应者装置的消息，那么产生此消息的散列)，且比较所述两个散列以确定匹配。在图示中，本地存储器存储“N”个服务器公钥。本地存储器还可以存储关于“N”个服务器公钥中将用于数字签名验证的一个特定服务器公钥的指示。被供应者装置基于所述指示选择此特定服务器公钥。在另一示例中，不存储此指示。实际上，被供应者装置选择服务器公钥且尝试以选定公钥验证数字签名。如果成功，那么数字签名经过验证。如果解密失败，那么被供应者装置选择下一服务器公钥且尝试验证，依次类推，直到成功地验证数字签名或直到已经尝试所有“N”个服务器公钥。如果解密失败持续，那么被供应者装置不会进一步认证服务器。

在操作1014处，被供应者装置从服务器请求临时标志。在一实例中，被供应者装置存储可用以向服务器进一步认证自身的PIN。对于此进一步认证，被供应者装置发送对临时标志的HTTPS请求，其中此请求以服务器为目的地。取决于适用的限制，供应者装置将HTTPS请求路由到服务器。

在操作1016处，被供应者装置从服务器接收临时标志。在一实例中，在以被供应者装置为目的地的HTTPS响应中从服务器发送临时标志。取决于适用的限制，供应者装置将HTTPS响应路由到被供应者装置。如本文中上方所阐释，也可以服务器私钥签署临时标志且所得数字签名可包含于HTTPS响应中。

在操作1018处，被供应者装置基于临时标志将PIN的散列发送到服务器。在一实例中，被供应者装置将PIN和临时标志散列且发送包含所述散列的HTTPS请求。HTTPS请求以服务器为目的地，且取决于适用的限制，供应者装置将HTTPS请求路由到服务器。以虚线示出操作1014-1018以指示当PIN可用时这些操作适用。如上文中所述，可在使被供应者装置与用户账户关联的初始状态期间产生PIN。此外，可以基于服务器公钥仅在操作1016下接收的数字签名的成功验证之后发送散列。

在操作1020处，被供应者装置检测一个多个数据网络。在一实例中，被供应者装置通过标识附近Wi-Fi安全LAN的SSID并确定这些数据网络安全来检测所述附近Wi-Fi安全LAN。

在操作1022处，被供应者装置将对一个多个网络凭证的一个或多个请求发送到服务器。在一实例中，检测到单个安全数据网络。在此情况下，被供应者装置当仍在第一数据网络上时发送包含此安全数据网络的SSID的HTTPS请求。HTTPS请求以服务器为目的地，且取决于适用的限制，供应者装置将HTTPS请求路由到服务器。在另一实例中，检测到多个安全数据网络。在此情况下，被供应者装置可选择这些数据网络中的一个且将标识选定数据网络的HTTPS请求发送到服务器。替代地，被供应者装置可发送包含检测到的安全数据网络或其子集的SSID的单个HTTPS请求。在又一实施方案中，被供应者装置发送多个HTTPS请求，每一请求标识检测到的安全数据网络中的一个或多个。

在操作1024处，被供应者装置从服务器接收一个或多个凭证。如关于检测到单个安全数据网络的以上实例中，服务器检测到基于此网络的标识符与用户账户之间的关联，此网络应当是计算装置可接入的。服务器发送包含凭证的HTTPS响应。HTTPS响应以被供应者装置为目的地，且取决于适用的限制，供应者装置将HTTPS响应路由到被供应者装置。如果多个安全数据网络以服务器为目的地，那么服务器类似地确定这些网络的子集应当是计算装置可接入的且在一个或多个HTTPS响应中发送其凭证。如本文中上方所阐释，还可以服务器私钥签署HTTPS响应中包含的凭证且所得数字签名可包含于HTTPS响应中。

在操作1026处，被供应者装置与第二数据网络上的无线路由器建立第二数据连接。在一实例中，第二数据网络是检测到的安全网络中接收到其凭证的一个安全网络，且被供应者装置建立第二数据连接以加入此安全数据网络。被供应者装置终止第一数据连接，进而离开第一数据网络。被供应者装置还使用SSID作为安全数据网络的名称，并使用凭证作为密码，且使用特定安全协议(例如，WPA/WPA2个人)从无线路由器请求对此网络的接入。此外，可以基于服务器公钥仅在操作1024下接收的数字签名的成功验证之后建立第二数据连接。

在当检测到多个安全数据网络时的情况下，被供应者装置可一次性请求其凭证(例如，以一个或多个HTTPS请求)或可循序地选择安全数据网络，请求其凭证，且如果未接收到凭证，那么选择下一安全数据网络直到接收到凭证或穷尽检测到的安全数据网络的列表。

另外，一旦建立第二数据连接，被供应者装置可执行额外操作以确定第二数据连接是否是基于与受信任服务器的通信和/或基于尚未泄密的服务器私钥设置的。在一实例中，被供应者装置向第二服务器发送其用以设置第二数据连接的服务器公钥的指示。此指示可通过第二数据网络在HTTPS请求中发送，其中HTTPS请求包含服务器公钥或至少其一部分。第二服务器可以维持与已经泄密或对应于不受信任服务器的私钥相对应的公钥的撤销列表。在接收到HTTPS请求后，第二服务器即刻确定是否存在与来自撤销列表的密钥中的一个的匹配。匹配指示由被供应者装置使用的服务器公钥是不受信任的且应当撤销。如果未找到匹配，那么此服务器公钥可以是受信任的且可使用。第二服务器向被供应者装置发送关于服务器公钥取决于匹配是否不受信任的指示。所述指示可在被供应者装置通过安全LAN接收的HTTPS响应中发送。从HTTPS响应，被供应者装置确定服务器公钥是否不受信任且应当撤销，或者受信任且可使用。在前一种情况下，被供应者装置终止第二数据连接并且因此离开第二数据网络。在后一种情况下，被供应者装置不终止第二数据连接并且因此保持在第二数据网络上。另外，在确定服务器公钥不受信任且应当撤销后，第二服务器可以即刻标识受信任且已经存储于被供应者装置的存储器中的第二服务器公钥。此第二服务器公钥的标识符可在HTTPS响应中发送。因此，在离开第二数据网络后，被供应者装置可即刻通过改为依赖于第二公钥而重新开始连接到安全数据网络的过程。

图11示出根据本公开的实施例的服务器将安全数据网络的凭证提供到被供应者装置的流程的实例。在一实例中，流程在操作1102处开始，其中服务器存储“N”个服务器私钥和私钥与装置类型之间的映射。针对每一类型的被供应者装置(例如，产品分类)，所述映射指示来自“N”个服务器私钥中用于产生数字签名的特定服务器私钥。

在操作1104处，服务器在用户账户下存储网络标识符和凭证。在一实例中，用户的计算装置已经被供应且连接到安全数据网络。作为此供应的部分，在用户的用户账户下存储安全网络的标识符和凭证(例如，SSID和密码)。如果多个安全数据网络是用户的此计算装置或其它计算装置可接入的，那么类似地在用户账户下存储对应标识符和凭证。

在操作1106处，服务器从远程装置接收标识被供应者装置和用户账户的数据。在一实例中，远程装置是服务提供商的扫描仪或用户的移动装置。基于与被供应者装置相关联的条形码(例如，附接到被供应者装置的容器、印刷在附接到容器的纸张上、插入于容器中，或附接到被供应者装置)的扫描从远程装置发送数据。所述数据包含被供应者装置的装置公钥(或其部分)、用户账户或用户的标识符、被供应者装置的产品编号、被供应者装置的产品分类和PIN中的任一个或组合。

在操作1108处，服务器基于所接收数据使被供应者装置与用户账户关联。在一实例中，服务器基于用户账户或用户的标识符确定用户账户，且更新用户账户以存储装置公钥(或其部分)、产品编号、产品分类和/或PIN。

在操作1110处，服务器接收被供应者装置的装置数字证书。在一实例中，被供应者装置在由供应者装置管理的第一数据网络上。被供应者装置发送包含装置数字证书的HTTP请求。此HTTP请求以服务器为目的地，且取决于适用的限制，供应者装置将HTTP请求路由到服务器。

在操作1112处，服务器基于装置数字证书认证被供应者装置且将服务器的服务器数字证书发送到被供应者装置。在一实例中，认证涉及通过从装置数字证书验证被供应者装置和证书颁发中心的身份而执行TLS认证。对于相互TLS认证，服务器还产生以被供应者装置为目的地且包含服务器数字证书的HTTP响应。HTTP响应发送到被供应者装置，且取决于适用的限制，供应者装置将HTTPS响应路由到被供应者装置。被供应者装置使用服务器数字证书来认证服务器。在相互TLS认证后，可即刻在服务器与被供应者装置之间执行HTTPS通信。

在操作1114处，服务器确定被供应者装置的装置公钥。在一实例中，服务器从接收的装置数字证书检索装置公钥。

在操作1116处，服务器基于装置数字证书确定被供应者装置与用户账户之间的关联。在一实例中，服务器使用来自装置数字证书的装置公钥以搜索和找到用户账户(例如，通过搜索用户账户或搜索公钥-用户账户列表)，进而确定被供应者装置已经与用户账户相关联。

在操作1118处，服务器进一步认证被供应者装置。在一实例中，服务器使用被供应者装置与用户账户之间的关联已经存在的确定作为认证被供应者装置的另一层。在另一个实例中，基于来自装置数字证书的装置公钥与存储于用户账户中的装置公钥的匹配，服务器声明被供应者装置经进一步认证。

在操作1120处，服务器基于被供应者装置的类型接入服务器的服务器私钥。在一实例中，服务器从存储于用户账户中的数据或从被供应者装置接收的HTTPS数据确定被供应者装置的类型(由此被供应者装置向服务器标识其类型)。服务器使用装置类型查找映射且确定服务器私钥。在另一个实例中，被供应者装置的产品编号另外或替代地用以选择服务器私钥。确切地说，映射可以进一步映射被供应者装置产品编号范围与服务器私钥。

在操作1122处，服务器基于来自“N”个私钥的服务器私钥产生数字签名。在一实例中，服务器从被供应者装置接收包含消息的HTTPS请求。服务器准备且发送以服务器私钥签署的HTTPS响应。在图示中，服务器产生消息的散列且以服务器私钥加密所述散列，进而产生可包含于HTTPS响应中的数字签名。此外，且如结合流程的接下来的操作所描述，以服务器私钥签署HTTPS请求和服务器的响应，包含用以发送临时标志和凭证的请求和响应。此类签名还表示可由被供应者装置作为另一层服务器认证来验证的数字签名(例如，基于临时标志的散列的数字签名、基于凭证的数字签名)。

在操作1124处，服务器将数字签名发送到被供应者装置。在一实例中，服务器将HTTPS响应发送到HTTPS请求(如在操作1122下的说明性实例中)，其中此响应以被供应者装置为目的地且包含数字签名。HTTPS响应发送到被供应者装置，且取决于适用的限制，供应者装置将HTTPS响应路由到被供应者装置。

在操作1126处，服务器从被供应者装置接收对临时标志的请求。在一实例中，此请求是响应于被供应者装置对服务器的认证而作为HTTPS请求从被供应者装置发送。在图示中，此认证可以包含被供应者装置对在操作1124下发送的数字签名的验证，其中所述验证依赖于服务器公钥。HTTPS请求以服务器为目的地，且取决于适用的限制，供应者装置将HTTPS请求路由到服务器。

在操作1128处，服务器将临时标志发送到被供应者装置。在一实例中，服务器产生包含临时标志且以被供应者装置为目的地的HTTPS响应。另外，可基于临时标志和服务器私钥的散列产生数字签名且可包含于HTTPS响应中。HTTPS响应发送到被供应者装置，且取决于适用的限制，供应者装置将HTTPS响应路由到服务器。

在操作1130处，服务器从被供应者装置接收PIN的散列。在一实例中，此PIN散列是由被供应者装置基于PIN和临时标志产生的，且是在HTTPS请求中从被供应者装置发送到服务器。可以在适当时基于服务器公钥仅在被供应者装置从操作1128验证数字签名之后接收此PIN散列。HTTPS请求以服务器为目的地，且取决于适用的限制，供应者装置将HTTPS请求路由到服务器。

在操作1132处，服务器基于PIN的散列进一步认证被供应者装置。在一实例中，服务器通过散列为被供应者装置存储的PIN(例如，在用户账户下)且比较散列是否有匹配来验证PIN散列。

在操作1134处，服务器从被供应者装置接收对网络凭证的一个或多个请求。在一实例中，服务器接收源自被供应者装置且由供应者装置路由的HTTPS请求。HTTPS请求包含安全数据网络的标识符(例如，安全Wi-Fi LAN的SSID)。在另一个实例中，HTTPS请求包含多个标识符，每一标识符用于不同安全数据网络。在又另一实例中，服务器接收多个HTTPS请求，每一HTTPS请求标识一个或多个安全数据网络。

在操作1136处，服务器确定与用户账户下的网络标识符的匹配。在一实例中，服务器从接收的HTTPS请求检索安全数据网络的标识符且使用此标识符查找用户账户且找到匹配。服务器从匹配的安全数据网络的用户账户确定凭证。如果在或多个HTTPS请求中标识多个安全网络标识符，那么服务器执行相似匹配过程以确定任何额外匹配和对应凭证。

在操作1138处，服务器将一个或多个网络凭证发送到被供应者装置。在一实例中，服务器产生且发送包含匹配安全数据网络的凭证的HTTPS响应。HTTPS响应以被供应者装置为目的地，且取决于适用的限制，供应者装置将HTTPS响应路由到被供应者装置。在匹配多个安全数据网络的情况下，同一HTTPS响应或多个HTTPS响应可以发送到被供应者装置，其中的每一个可以包含对应凭证中的一个或多个。此外，HTTPS响应中包含的凭证可以服务器私钥签署，且所得数字签名可包含于HTTPS响应中以用于被供应者装置的进一步认证。

图12示出根据本公开的实施例的示出实例计算机架构的计算机架构图式。此架构可用于实施本文中所描述的系统中的一些或全部。图12中示出的计算机架构示出常规服务器计算机、工作站、桌上型计算机、膝上型计算机、平板计算机、网络设备、个人数字助理(“PDA”)、电子读取器、数字蜂窝式电话或其它计算装置，且可用以执行本文呈现的软件组件的任何方面。

计算机1200包含底板1202或“母板”，其为可借助于系统总线或其它电通信路径将众多组件或装置所连接到的印刷电路板。在一个说明性实施例中，一个或多个中央处理单元(“CPU”)1204结合芯片组1206操作。CPU 1204可为执行计算机1200的操作所必要的算术和逻辑操作的标准可编程处理器。

CPU 1204通过经由操控区分这些状态且改变这些状态的开关元件而从一个离散物理状态转换到下一离散物理状态来执行操作。开关元件可通常包含维持两个二进制状态中的一者(例如触发器)的电子电路，以及基于一个或多个其它开关元件(例如，逻辑门)的状态的逻辑组合而提供输出状态的电子电路。这些基本开关元件可组合以产生更复杂的逻辑电路，包含寄存器、加法器-减法器、算术逻辑单元、浮点单元等。

芯片组1206提供CPU 1204与底板1202上的组件和装置的其余部分之间的接口。芯片组1206可提供到用作计算机1200中的主存储器的随机存取存储器(“RAM”)1208的接口。芯片组1206可进一步将接口提供到计算机可读存储介质，例如只读存储器(“ROM”)1210或非易失性RAM(“NVRAM”)，以用于存储有助于启动计算机1200且在各种组件与装置之间传送信息的基本例程。ROM 1210或NVRAM还可存储根据本文中所描述的实施例的计算机1200的操作所必需的其它软件组件。

计算机1200可在联网环境中使用经由网络(例如，局域网1220)到远程计算装置和计算机系统的逻辑连接来操作。芯片组1206可包含用于经由例如千兆以太网适配器的NIC1212提供网络连接性的功能性。NIC 1212能够通过网络1220将计算机1200连接到其它计算装置。应了解，将计算机连接到其它类型的网络和远程计算机系统的计算机1200中可存在多个NIC 1212。

计算机1200可连接到向计算机提供非易失性存储的大容量存储装置1218。大容量存储装置1218可存储本文中已更详细地描述的系统程序、应用程序、其它程序模块和数据。大容量存储装置1218可以通过连接到芯片组1206的存储控制器1214连接到计算机1200。大容量存储装置1218可由一个或多个物理存储单元组成。存储控制器1214可通过串行附接的SCSI(“SAS”)接口、串行高级技术附件(“SATA”)接口、光纤信道(“FC”)接口，或用于物理地连接且传送计算机与物理存储单元之间的数据的其它类型的接口。

计算机1200可通过变换物理存储单元的物理状态以反映正存储的信息而将数据存储在大容量存储装置1218上。在此说明书的不同实施方案中，物理状态的特定变换可取决于各种因素。此类因素的实例可包含但不限于用以实施物理存储单元的技术、大容量存储装置1218是表征为主要存储装置还是辅助存储装置等。

举例来说，计算机1200可通过经由存储控制器1214发布指令而将信息存储到大容量存储装置1218，以更改磁盘驱动单元内的特定位置的磁特性、光学存储单元中的特定位置的反射或折射特性，或固态存储单元中的特定电容器、晶体管或其它离散组件的电特性。在不脱离本说明书的范围和精神的情况下，物理介质的其它变换是可能的，其中仅提供前述实例以促进此说明书。计算机1200可通过检测物理存储单元内的一个或多个特定位置的物理状态或特性而进一步从大容量存储装置1218读取信息。

除了上文所描述的大容量存储装置1218之外，计算机1200还可接入其它计算机可读存储介质以存储和检索信息，例如程序模块、数据结构或其它数据。所属领域的技术人员应了解，计算机可读存储介质可为提供非暂时性数据的存储且可由计算机1200接入的任何可用介质。

借助于实例而非限制，计算机可读存储介质可包含在任何方法或技术中实施的易失性和非易失性、可移式和非可移式介质。计算机可读存储介质包含但不限于RAM、ROM、可擦除可编程ROM(“EPROM”)、电可擦除可编程ROM(“EEPROM”)、快闪存储器或其它固态存储器技术、压缩光盘ROM(“CD-ROM”)、数字通用光盘(“DVD”)、高清DVD(“HD-DVD”)、BLU-RAY或其它光学存储装置、盒式磁带、磁带、磁盘存储装置或其它磁性存储装置，或可用于以非暂时性方式存储所要信息的任何其它介质。

大容量存储装置1218可以存储用以控制计算机1200的操作的操作系统1230。根据一个实施例，操作系统包括LINUX操作系统。根据另一实施例，操作系统包括来自微软(MICROSOFT)公司的SERVER操作系统。根据其它实施例，操作系统可包括UNIX或SOLARIS操作系统。应了解，还可利用其它操作系统。大容量存储装置1218可存储由计算机1200利用的其它系统或应用程序和数据。大容量存储装置1218还可存储本文中未具体标识的其它程序和数据。

在一个实施例中，大容量存储装置1218或其它计算机可读存储介质由计算机可执行指令进行编码，所述计算机可执行指令在加载到计算机1200中时将计算机从通用计算系统变换为能够实施本文中所描述的实施例的专用计算机。这些计算机可执行指令通过如上文所描述指定CPU 1204如何在状态之间转变而变换计算机1200。根据一个实施例，计算机1200可接入存储计算机可执行指令的计算机可读存储介质，所述计算机可执行指令在由计算机1200执行时执行上文所描述的各种例程。计算机1200还可包含用于执行本文中所描述的其它计算机实施的操作中的任一者的计算机可读存储介质。

计算机1200还可包含用于从若干输入装置(例如，键盘、鼠标、触摸垫、触摸屏、电子触控笔或其它类型的输入装置)接收和处理输入的一个或多个输入/输出控制器1216。类似地，输入/输出控制器1216可将输出提供到显示器，例如计算机监视器、平板显示器、数字投影仪、打印机、绘图仪或其它类型的输出装置。应了解，计算机1200可能并不包含图12中展示的所有组件，可能包含未在图12中明确展示的其它组件，或者可能利用完全不同于图12中所展示的架构。还应了解，许多例如计算机1200的计算机可组合用以体现本文中所公开的各种技术的方面。

可鉴于以下条款描述本公开的实施例的实例：

条款1.一种由一个或多个服务器实施以将安全局域网(LAN)的密码提供到计算装置的方法，对所述安全LAN的接入由无线路由器提供。所述方法包括存储使一个或多个公钥与一个或多个用户账户关联的列表。所述方法还包括存储包括用户标识符、安全LAN的服务集标识符(SSID)和安全LAN的密码的用户账户。所述方法还包括存储所述一个或多个服务器的私钥和所述私钥与计算装置的产品分类之间的映射。

所述方法还包括响应于扫描仪对与计算装置相关联的条形码的扫描而接收计算装置的公钥、计算装置的产品分类和用户标识符。所述方法还包括将列表更新为包括公钥和用户账户。所述方法还包括经由无线路由器接收计算装置的证书，所述证书包括计算装置的公钥，其中无线路由器和计算装置是通过开放LAN连接的，且其中证书是通过开放LAN从计算装置发送的。所述方法还包括通过执行使用证书的传输层安全(TLS)认证而认证计算装置。所述方法还包括从列表确定包含于证书中的公钥与用户账户相关联。所述方法还包括通过从映射确定所述一个或多个服务器的私钥与计算装置的产品分类相关联而接入所述私钥。所述方法还包括发送对计算装置的第一加密的超文本传输协议(HTTPS)请求的第一HTTPS响应，第一HTTPS请求是通过开放LAN从计算装置发送的，第一HTTPS响应是以所述一个或多个服务器的私钥签署且经由无线路由器通过开放LAN从所述一个或多个服务器发送到计算装置的。所述方法还包括从无线路由器接收来自计算装置的第二HTTPS请求，第二HTTPS请求包括安全LAN的SSID。所述方法还包括经由无线路由器通过开放LAN向计算装置在第二HTTPS响应中发送来自用户账户的安全LAN的密码。

条款2.根据条款1所述的方法，其中所述SSID和密码基于第二计算装置经由无线路由器到安全LAN之间的数据连接而存储于用户账户中，且其中所述第二计算装置与用户账户相关联。

条款3.根据条款1到2中任一项所述的方法，其中无线路由器和计算装置是基于存储在计算装置上的开放LAN的预定义SSID通过开放LAN连接的，其中第一HTTPS请求是基于将通过开放LAN来自计算装置的出站业务限制于以所述一个或多个服务器为目的地的第一业务的第一限制而接收的，且其中第一HTTPS响应是基于将通过开放LAN到计算装置的入站业务限制于源自所述一个或多个服务器的第二业务的第二限制而发送的。

条款4.一种或多种存储指令的计算机可读存储介质，所述指令在由系统的一个或多个处理器执行时使系统执行操作。所述操作包括存储计算装置与用户账户之间的关联，所述用户账户与局域网相关联。所述操作还包括接收计算装置的证书。所述操作还包括至少部分地基于所述证书确定计算装置与用户账户之间的关联。所述操作还包括至少部分地基于关联被确定而认证计算装置。所述操作还包括至少部分地基于计算装置被认证而向计算装置发送以系统的私钥签署的数据。所述操作还包括至少部分地基于所述数据接收计算装置对局域网的凭证的请求。所述操作还包括至少部分地基于所述请求将凭证发送到计算装置。

条款5.根据条款4所述的一种或多种计算机可读存储介质，其中证书和请求中的每一个是经由计算装置与第二局域网的无线路由器之间的数据连接接收的，其中数据和凭证中的每一个经由所述数据连接发送到计算装置。

条款6.根据条款4到5中任一项所述的一种或多种计算机可读存储介质，其中证书和请求中的每一个是经由计算装置与第二计算装置之间通过第二局域网的数据连接接收的，且其中所述操作还包括：接收与计算装置相关联的条形码数据；以及至少部分地基于条形码数据被接收而请求所述第二计算装置在一时间周期内设置第二局域网。

条款7.根据条款4到6中任一项所述的一种或多种计算机可读存储介质，其中所述操作还包括：响应于远程装置对与计算装置相关联的条形码的扫描而从条形码接收关于计算装置的公钥的第一数据和关于用户账户的第二数据，其中计算装置与用户账户之间的关联是至少部分地基于第一数据和第二数据产生的。

条款8.根据条款4到7中任一项所述的一种或多种计算机可读存储介质，其中所述操作还包括：从移动装置从与计算装置相关联的条形码接收条形码数据，所述条形码数据包括个人标识号(PIN)，其中计算装置与用户账户之间的关联包括至少部分地基于条形码数据的PIN。

条款9.根据条款8所述的一种或多种计算机可读存储介质，其中所述操作还包括：从计算装置接收PIN的散列，其中认证计算装置是至少部分地基于证书、与计算装置相关联的PIN和PIN的散列。

条款10.根据条款4到9中任一项所述的一种或多种计算机可读存储介质，其中所述操作还包括：存储包括私钥的多个私钥；存储所述多个私钥与计算装置的类型之间的映射以及计算装置类型的产品编号的范围；以及至少部分地基于计算装置的类型、计算装置的产品编号和所述映射以私钥签署所述数据。

条款11.根据条款4到10中任一项所述的一种或多种计算机可读存储介质，其中所述系统是存储局域网的凭证的后端服务器，其中所述数据包括在来自计算装置的HTTPS请求中接收的消息，且其中所述数据是通过从消息产生散列且以系统的私钥对所述散列进行加密而签署的。

条款12.一种计算装置，其包括：一个或多个处理器；以及存储计算装置的证书和服务器的公钥的一个或多个存储器，所述一个或多个存储器进一步存储指令，所述指令在由所述一个或多个处理器执行时使计算装置执行操作。所述操作包括建立到第一局域网(LAN)的第一数据连接。所述操作还包括经由第一数据连接将证书发送到服务器。所述操作还包括经由第一数据连接从服务器接收数据，所述数据是至少部分地基于证书以服务器的私钥签署的。所述操作还包括通过至少部分地基于服务器的公钥验证所述数据而认证服务器。所述操作还包括经由第一数据连接从服务器请求第二LAN的凭证。所述操作还包括经由第一数据连接从服务器接收凭证。所述操作还包括至少部分地基于凭证建立到第二LAN的第二数据连接。

条款13.根据条款12所述的计算装置，其中所述指令的执行进一步使计算装置存储第一LAN的服务集标识符(SSID)，其中第一LAN是隐藏网络，且其中第一数据连接是至少部分地基于来自所述一个或多个存储器的SSID而建立的。

条款14.根据条款12到13中任一项所述的计算装置，其中通过第一LAN来自计算装置和去往计算装置的数据业务是至少部分地基于以下各项中的一个或多个受限制：数据业务的处理量，数据业务的目的地，数据业务的起源，或连接到第一LAN的计算装置的数目。

条款15.根据条款12到14中任一项所述的计算装置，其中指令的执行进一步使计算装置：检测包括第二LAN的安全LAN的标识符；向服务器发送对安全LAN的凭证的请求；以及至少部分地基于安全LAN中的一个或多个与用户账户之间的关联从服务器接收凭证中的一个或多个，其中凭证中的所述一个或多个包括第二LAN的凭证。

条款16.根据条款12到15中任一项所述的计算装置，其中指令的执行进一步使计算装置：检测包括第二LAN和第三LAN的安全LAN的标识符；向服务器发送对第三LAN的凭证的请求；从服务器接收第三LAN的凭证不可用的响应；以及至少部分地基于所述响应向服务器发送对第二LAN的凭证的请求。

条款17.根据条款12到16中任一项所述的计算装置，其中指令的执行进一步使计算装置存储服务器的多个公钥和使用所述多个公钥中的公钥来认证服务器的指示，其中验证所述数据是至少部分地基于所述指示。

条款18.根据条款12到17中任一项所述的计算装置，其中指令的执行进一步使计算装置：通过第二LAN向第二服务器发送公钥是与建立第二数据连接相关联地使用的第一指示；从第二服务器接收公钥不受信任的第二指示；以及至少部分地基于第二指示而终止到第二LAN的第二数据连接。

条款19.根据条款12到18中任一项所述的计算装置，其中第一数据连接是至少部分地基于存储在计算装置上的第一LAN的第一服务集标识符(SSID)与第一LAN的无线路由器建立的，且其中第二数据连接是基于第二LAN的第二SSID和凭证的检测而与无线路由器建立的。

条款20.根据条款12到19中任一项所述的计算装置，其中第一数据连接是至少部分地基于存储在计算装置上的第一LAN的第一服务集标识符(SSID)与第一LAN的第二计算装置建立的，且其中第二数据连接是至少部分地基于第二LAN的第二SSID和凭证的检测而与第二LAN的无线路由器建立的。

因此，本说明书和附图应在说明性意义上而非限制性意义上考虑。然而，显而易见的是，在不脱离权利要求书中所阐述的本公开的更广泛精神和范围的情况下，可对其进行各种修改和改变。

其它变化在本公开的精神内。因此，虽然所公开的技术可接受各种修改和替代构造，但其某些所说明实施例已在图式中展示且已在上文详细描述。然而，应了解，无意将本发明限制于所公开的特定形式，相反，其目的是涵盖落入如所附权利要求中所限定的本发明的精神和范围内的所有修改、替代构造和等效物。

除非本文中另有说明或与上下文明显矛盾，否则在描述所公开实施例的上下文中(尤其在所附权利要求书的上下文中)使用术语“一”和“所述”以及类似指示物应理解为涵盖单数以及复数。除非另有说明，否则术语“包括(comprising)”、“具有”、“包含(including)”和“含有”应理解为开放式术语(即，意指“包括但不限于”)。术语“连接”应理解为部分或全部地包含在内、附接到或接合在一起，即使是在存在中间物的情况下也是如此。除非本文中另有说明，否则本文中对值的范围的引述仅旨在用作个别地提及属于所述范围内的每个单独值的简写方法，并且每个单独值并入本说明书中，如同其在本文中个别地引用一样。除非本文中另有说明或另外明显与内容相矛盾，否则本文中所述的所有方法都可以任何合适的顺序进行。除非另有要求，否则使用任何和所有实例或本文提供的示例性语言(例如，“如”)仅旨在更好地阐明本发明的实施例并且不对本发明的范围施加限制。本说明书中的任何语言均不应理解为指示实践本发明所必需的任何未要求要素。

本文中描述了本公开的优选实施例，包含发明人已知的用于实施本发明的最佳模式。在阅读前文描述之后，那些优选实施例的变化对于本领域普通技术人员可以变得显而易见。本发明人期望熟练的技术人员在适当时采用这些变化形式，并且本发明人打算以与本文中具体描述不同的方式来实施本发明。因此，本发明包括适用法律所允许的随附权利要求书中所引述的主题的所有修改和等效物。此外，除非本文另外指示或另外明显与内容相矛盾，否则本发明涵盖上述要素以其所有可能的变化形式的任何组合。

本文引用的所有参考文献，包含出版物、专利申请和专利特此以引用的方式并入本文中，其程度与每篇参考文献被单独并且具体地指明以通过引用并入并且在本文中整体阐述一样。