BRPI0609971A2 - método para gerenciar acesso a uma rede sem fio, sistema, um ou mais meios legìveis por computador, terminal móvel, dispositivo de controle de acesso, e, método para um dispositivo confiável gerenciar acesso a uma rede sem fio - Google Patents

método para gerenciar acesso a uma rede sem fio, sistema, um ou mais meios legìveis por computador, terminal móvel, dispositivo de controle de acesso, e, método para um dispositivo confiável gerenciar acesso a uma rede sem fio Download PDF

Info

Publication number
BRPI0609971A2
BRPI0609971A2 BRPI0609971-8A BRPI0609971A BRPI0609971A2 BR PI0609971 A2 BRPI0609971 A2 BR PI0609971A2 BR PI0609971 A BRPI0609971 A BR PI0609971A BR PI0609971 A2 BRPI0609971 A2 BR PI0609971A2
Authority
BR
Brazil
Prior art keywords
key
wireless network
access
terminal device
communication channel
Prior art date
Application number
BRPI0609971-8A
Other languages
English (en)
Inventor
Nadarajah Asokan
Philip Ginzborg
Seamus Moloney
Kari Ti Kostiainen
Sampo Sovio
Jan-Erik Ekberg
Jari Takala
Original Assignee
Nokia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=37073825&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=BRPI0609971(A2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Nokia Corp filed Critical Nokia Corp
Publication of BRPI0609971A2 publication Critical patent/BRPI0609971A2/pt
Publication of BRPI0609971B1 publication Critical patent/BRPI0609971B1/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/20Selecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Abstract

MéTODO PARA GERENCIAR ACESSO A UMA REDE SEM FIO, SISTEMA, UM OU MAIS MEIOS LEGìVEIS POR COMPUTADOR, TERMINAL MóVEL, DISPOSITIVO DE CONTROLE DE ACESSO, E, MéTODO PARA UM DISPOSITIVO CONFIáVEL GERENCIAR ACESSO A UMA REDE SEM FIO. São providos métodos e sistemas para gerenciar acesso a uma rede de área local sem fio. Um ponto de acesso sem fio (AP) pode usar uma abordagem unificada que utiliza um canal fora-da-banda para comunicar informação de chave de autenticação e endereço de rede a um dispositivo convidado, e utiliza um canal em-banda para estabelecer comunicações com o dispositivo convidado, e também provê suporte para configuração em-banda em todos os dispositivos. A capacidade de usar fora-da-banda onde possível provê um aumento de segurança e usabilidade, e a possibilidade de delegar acesso de um dispositivo para outro. A abordagem unificada deste modo provê também gerenciamento fácil de acesso de convidado à WLAN.

Description

"MÉTODO PARA GERENCIAR ACESSO A UMA REDE SEM FIO, SISTEMA, UM OU MAIS MEIOS LEGÍVEIS POR COMPUTADOR, TERMINAL MÓVEL, DISPOSITIVO DE CONTROLE DE ACESSO, E, MÉTODO PARA UM DISPOSITIVO CONFIÁVEL GERENCIAR ACESSO A UMA REDE SEM FIO"
Este pedido reivindica prioridade para o Pedido U.S. provisório Ser. No. 60/667.661, depositado em 4 de Abril de 2005, intitulado "Easy, Flexible, and Secure Network Setup", e Pedido U.S. provisório Ser. No. 60/673.806, depositado em 22 de Abril de 2005, intitulado "Secure, Easy and Flexible Network Setup", cada um dos quais é aqui incorporado por referência.
CAMPO DA INVENÇÃO
A invenção relaciona-se em geral a computadores e redes de computadores. Mais especificamente, a invenção provê sistemas e métodos para a administração de redes sem fio, tal como um rede de área local sem fio (WLAN).
FUNDAMENTOS DA INVENÇÃO
Configurar uma rede sem fio doméstica, tal como uma rede de área local sem fio (WLAN), pode ser um processo muito difícil para a maioria dos usuários de computador, apresentando então um obstáculo significativo para a utilização eficiente das WLAN. Uma das dificuldades que os usuários encontram é determinar como melhor prover segurança de uma WLAN. Redes sem fio têm sido tipicamente protegidas por um único Código Pré Compartilhado (PSK). Entretanto, o uso de um único código secreto pré compartilhado requer que um usuário reconfigure a rede inteira, se o usuário deseja negar acesso futuro a um dispositivo que foi previamente autorizado para uso na WLAN. Embora o último padrão de LAN sem fio 802.1 li (também conhecido como "WPA2") suporta o uso de PSK múltiplos, alguns pontos de acesso (AP) não suportam o uso de PSK múltiplos. A disponibilidade de PSK múltiplos habilita a revogação seletiva de associações de segurança, o que torna possível remover visitantes. 802.1 li especifica a partir do PSK avançado, porém não especifica como os PSK são criados. Em adição, 802.11.1 não especifica como agrupar os PSK ou como remover um PSK quando este não é mais necessário.
Outros protocolos 802.11.X especificam como os PMK (Códigos Mestre em Forma de Pares, que são similares aos PSK, exceto que um PMK é válido somente para uma única sessão). São criados usando um protocolo separado entre um dispositivo e um servidor de autenticação na rede. Entretanto, como o 802.11.Í, o 802.11.X também não especifica como agrupar os PMK (remoção implícita no final da sessão).
Propostas existentes para resolver o problema de configuração de rede tentam explorar proximidade. Por exemplo, uma abordagem conhecida explora a proximidade física, usando um canal fisicamente seguro "fora-de-faixa" (OOB). O canal OOB pode ser baseado em NFC (Comunicação de Campo Próximo), infravermelho, stick de memória USB portátil ou qualquer outra tecnologia de comunicação que é baseada em proximidade física. OOB é usado para transferir o identificador de rede (por exemplo, um SSID) e um código compartilhado de um dispositivo para outro. Como o código transferido é usado diretamente como o PSK, não são necessários protocolos adicionais. Para adicionar um novo dispositivo à rede, a única interação de usuário necessária é tocar o novo dispositivo com uma "ficha". A ficha pode ser um dispositivo de finalidade especial simples ou pode ser parte de um outro dispositivo, por exemplo, parte de um dispositivo de cliente WLAN que já esteja na rede. Figura 1 ilustra esta abordagem quando um "introdutor" admite um novo dispositivo na rede. Notar que o introdutor pode ser o próprio AP. Embora esta abordagem proveja interação de usuário intuitiva e permita delegação de acesso de um dispositivo para outro, o acesso de convidados permanece incômodo. Como o mesmo PSK é usado por todos os dispositivos, a única maneira de remover acesso de convidados é remover todos os dispositivos da rede, e então adicionar dispositivos permitidos novamente, um por um.
Uma outra abordagem conhecida explora a proximidade do tempo usando configuração "na-faixa". Uma proposta da Broadcom para Configuração Fácil Segura (SES) cai nesta categoria. Na SES, a configuração de rede é efetuada primeiramente colocando o AP em um modo de configuração, e então colocando o novo dispositivo em seu modo de configuração, por exemplo, pressionando uma tecla nos respectivos dispositivos. Uma vez no modo de configuração, os dispositivos localizam um ao outro usando algum protocolo para acordo sobre um PSK. Figura 2 ilustra um exemplo de uma solução "na-faixa". A disposição em pares do novo dispositivo e do AP na abordagem "na-faixa" é feita utilizando métodos de disposição em pares WLAN. Soluções "na-faixa" apresentam uma variedade de problemas, incluindo a possibilidade de disposição em pares acidental com um dispositivo não pretendido e a ameaça de ataque "man in the middle" (porque o protocolo de acordo de código inicial não é autenticado). Em adição, o acesso de convidado é incômodo como no caso OOB, e nenhuma delegação de direitos de acesso de dispositivo a dispositivo é possível.
As abordagens OOB e "na-faixa" têm vantagens e desvantagens. A abordagem OOB é mais intuitiva e segura, mas devido ao hardware extra requerido, não é razoável esperar que todos os dispositivos terão canais "fora-de-faixa" adequados disponíveis. A abordagem "na-faixa" não permite a delegação de acesso e é menos segura, porém é menos dispendiosa e é mais provável de começar a aparecer nos AP comerciais e dispositivos de cliente. Nenhuma das abordagens suporta gerenciamento de acesso de convidado fácil.
Então, seria um avanço na técnica prover métodos e sistemas que permitam configuração e administração de rede sem fio mais simples e mais eficientes que superem as limitações e desvantagens acima.
BREVE SUMÁRIO DA INVENÇÃO
A seguir é apresentado um sumário simplificado da invenção, no sentido de prover um entendimento básico de alguns aspectos da invenção.
O sumário não é uma visão geral extensiva da invenção. Este não é destinado a identificar elementos chave ou críticos da invenção ou delinear o escopo da invenção. O sumário a seguir meramente representa alguns conceitos da invenção de uma forma simplificada como um prelúdio para a descrição mais detalhada provida abaixo.
Para superar limitações da técnica anterior descritas acima, e para superar outras limitações que serão aparentes pela leitura e entendimento da presente especificação, a presente invenção é direcionada a métodos e sistemas para gerenciar o acesso a uma rede de área local sem fio. Um ponto de acesso sem fio (AP) ou outro controlador de acesso pode usar uma abordagem unificada que utiliza um canal "fora-de-faixa", ou outro primeiro canal de comunicação, para comunicar código de autenticação e informação de endereço de rede a um dispositivo convidado, e utiliza um canal "na- faixa", ou outro segundo canal de comunicação, para estabelecer comunicações com o dispositivo convidado, e também provê suporte para configuração "na-faixa" em todos os dispositivos. A capacidade de usar "fora- de-faixa" onde possível, provê um aumento de segurança e usabilidade, e a possibilidade de delegar acesso de um dispositivo para outro. A abordagem unificada deste modo provê também gerenciamento fácil de acesso de convidado à WLAN.
De acordo com um primeiro aspecto da invenção, um método pode gerenciar acesso a um ponto de acesso sem fio (AP) ou outro controlador de acesso por um terminal móvel, onde o AP usa um canal de comunicação "fora-de-faixa" e um canal de comunicação "na-faixa". Um código de autenticação (AK) correspondente ao terminal móvel é estabelecido, e então enviado ao terminal móvel via canal "fora-de-faixa". O AP recebe uma requisição de acordo de código do terminal móvel, via canal "na-faixa", e estabelece um código de acesso correspondente ao terminal móvel, com base na requisição de acordo de código recebida, quando o terminal móvel é autorizado a acessar o AP. O AP autoriza o terminal móvel a se comunicar através do AP, na conclusão bem sucedida da etapa prévia. O AK é usado para autenticar o acordo de código.
De acordo com um outro aspecto da invenção, um método alternativo gerencia acesso a um ponto de acesso sem fio (AP) ou outro controlador de acesso por um terminal móvel, onde o AP usa um canal de comunicação "fora-de-faixa" e um canal de comunicação "na-faixa". Um endereço do AP é enviado a um dispositivo mestre. Um código de autenticação de convidado (AK) correspondente ao terminal móvel é gerado, e informação correspondente é enviada ao terminal móvel a partir do dispositivo mestre. O terminal móvel envia um segundo AK ao AP, que compara o AK do convidado com o segundo AK. O AP concede acesso ao terminal móvel quando o segundo AK coincide com o AK do convidado.
De acordo com um outro aspecto da invenção, um novo terminal móvel pode ser adaptado para comunicação com a rede. O terminal móvel pode incluir um processador controlando a operação global do terminal móvel, um primeiro transceptor para enviar e receber comunicações através de um primeiro canal de comunicação, "na-faixa", com um ponto de acesso sem fio (AP) ou outro controlador de acesso, e um receptor para receber comunicações através de um segundo canal de comunicação "fora-de-faixa" com o ponto de acesso sem fio (AP). O terminal móvel pode também incluir memória armazenando instruções executáveis por computador que, quando executadas pelo processador, fazem com que o terminal móvel execute um método para acessar uma rede de área local sem fio. O método pode executar etapas, recebendo um código de autenticação de convidado (AK) e um endereço do AP sem fio via segundo canal de comunicação, e enviar o AK do convidado ao AP, via primeiro canal de comunicação, para estabelecer comunicações com o AP.
Aqueles especialistas na técnica verificarão que o acima é meramente uma introdução ao assunto descrito em mais detalhe abaixo.
BREVE DESCRIÇÃO DOS DESENHOS
Um entendimento mais completo da presente invenção e de certas vantagens desta, pode ser adquirido referindo-se à seguinte descrição, considerando os desenhos que a acompanham, nos quais números de referência iguais indicam características iguais, e onde:
Figura 1 ilustra um método "fora-de-faixa" da técnica anterior.
Figura 2 ilustra um método "na-faixa" da técnica anterior.
Figura 3 ilustra uma arquitetura de rede que pode ser usada de acordo com um ou mais aspectos ilustrativos da invenção.
Figura 4 ilustra um método unificado "fora-de-faixa"/"na- faixa" de acordo com um ou mais aspectos ilustrativos da invenção.
Figura 5 ilustra uma arquitetura de rede que pode ser usada de acordo com um ou mais aspectos ilustrativos da invenção.
Figura 6 ilustra um método de acordo com um protocolo SES.
DESCRIÇÃO DETALHADA DA INVENÇÃO
Na descrição seguinte das várias realizações ilustrativas, é feita referência aos desenhos anexos, que fazem parte desta, e que são mostrados por meio de ilustração de várias realizações de exemplo, nas quais a invenção pode ser praticada. Deve ser entendido que outras realizações podem ser utilizadas e modificações estruturais e funcionais podem ser feitas, sem se afastar do escopo da presente invenção.
Um ou mais aspectos da invenção podem ser usados no seguinte cenário ilustrativo. Com referência à Figura 3, em uma realização da invenção, um usuário adquire um novo ponto de acesso de LAN sem fio 301 de alta velocidade (ou outro controlador de acesso) e traz o dispositivo para sua casa. O usuário deseja conectar facilmente outros dispositivos sem fio 303, 305, 307, 309 ou 311, na residência, ao novo ponto de acesso 301, de tal modo que estes dispositivos possam usar a rede sem fio 302. Dispositivos sem fio são genericamente referidos aqui como terminais móveis, e podem incluir, porém não estão limitados a qualquer dispositivo com capacidades de comunicações sem fio, tais como telefones móveis, telefones inteligentes, aplicações domésticas, computadores laptop, computadores desktop, assistentes digitais pessoais, dispositivos de áudio/vídeo, televisões, "conversores set-top-box", gravadores de vídeo pessoais, gravadores digitais pessoais, câmera digital, camcorder digital, dispositivo de memória pessoal, dispositivos de automação doméstica e/ou controle, sensores, veículos, e similares ou qualquer combinações destes.
Após conectar o ponto de acesso de LAN sem fio 301, o usuário conecta seu telefone móvel habilitado para o WLAN 309 ao novo ponto de acesso 301, simplesmente pressionando uma tecla em ambos os dispositivos (não mostrada). O AP 301 pode então ser colocado em uma prateleira ou outra localização apropriada, por exemplo, onde esteja fora de alcance de crianças ou outras fontes de dano ou ferimento. Para conectar um dos outros dispositivos domésticos sem fio à rede 302, tal como o estéreo doméstico 307, o usuário pode "tocar" aqueles dispositivos com o telefone móvel 309 ou (par pelo menos alguns dispositivos) pressionar uma tecla de configuração em ambos dispositivo 307 e AP 301 para conectá-los à rede 302. Mais tarde, se o vizinho do usuário comparece, o usuário pode gostar de exibir a rede 302 que adquiriu e permitir ao vizinho usar seu próprio telefone 311 para transferir alguma música para o estéreo doméstico 307. Isto pode ser obtido, por exemplo, tocando o telefone do vizinho 311 com o telefone do usuário 309. Quando o vizinho tiver visto o bastante e retornar a sua casa, o usuário pressiona uma tecla (não mostrada) no ponto de acesso 301, para terminar a permissão temporária ao visitante que fora concedida ao vizinho, e assim o vizinho não pode mais controlar os dispositivos na residência do usuário. Alternativamente, o usuário pode usar seu telefone 309 para terminar a permissão temporária do visitante.
O cenário acima é ilustrativo para fins de descrever aspetos da invenção e não é limitante de modo algum. Conforme usado aqui, "tocar" se refere a uma interação baseada em proximidade entre dois dispositivos, onde a informação de configuração e/ou segurança é transferida ou autorizada de um dispositivo para o outro. No exemplo, "tocar" se refere a mover os dispositivos fisicamente próximos um do outro, de tal modo que o canal OOB (NFC, comunicação sem fio de alcance curto, infravermelho, BlueTooth, UWB, Wi-Fi, RF ID, stick de memória USB, etc.) pode ser estabelecido e dados necessários trocados através do canal OOB. De acordo com um aspecto da invenção, uma abordagem unificada pode ser usada, a qual utiliza aspectos de ambas abordagens OOB e "na-faixa", permitindo deste modo suporte para a abordagem "na-faixa" em todos os dispositivos, mas também a capacidade de usar "fora-de-faixa" onde possível, para aumentar a segurança e usabilidade, e a possibilidade de delegar acesso de um dispositivo para outro. A abordagem unificada provê deste modo também fácil gerenciamento de acesso de convidado à WLAN.
Figura 4 ilustra uma realização ilustrativa da invenção e um modo possível de obter esta unificação. Na etapa 401, o Ponto de Acesso 410 e Dispositivo Introdutor 412 criam e compartilham um código de autenticação original (OAK). O AP 410 e dispositivo 412 podem ser opcionalmente porções do mesmo dispositivo. Na etapa 403, o dispositivo introdutor 412 provê a um novo dispositivo 414, via uma canal "fora-de-faixa", o AK (onde AK = f(OAK, AK-ID), conforme descrito adicionalmente aqui) e parâmetros de rede aplicáveis (por exemplo, endereço do AP, SSID). Usando o AK, na etapa 405, o novo dispositivo 414 e o ponto de acesso 410 usam um protocolo de acordo de código para criar um código para o novo dispositivo. Finalmente, na etapa 407, o novo dispositivo 414 e o AP 410 executam procedimentos de código de camada de enlace, por exemplo, usando 802.1 l.i.
Conforme ilustrado na Figura 4, o PSK pode ser derivado de um protocolo de acordo de código "na-faixa". Entretanto, se um canal "fora- de-faixa" está disponível, o canal OOB pode ser usado para transferir o código de autenticação (AK) e o endereço do AP 410 para o novo dispositivo 414, o que dispara o acordo de código "na-faixa" (isto é, o usuário não tem que pressionar qualquer tecla). O canal "fora-de-faixa" não está limitado a NFC, mas pode ser qualquer meio para passar o AK (e os parâmetros de rede, onde factível) ao Novo Dispositivo. O canal "fora-de-faixa" pode consistir de um Número de Identificação Pessoal (PIN) digitado pelo usuário.
O AP 410 pode ter dois tipos de "modos de recepção". No primeiro modo de recepção "autenticado", o AP 410 aceita requisições para acordos de código autenticados. O AK pode ser usado para autenticar o acordo de código, por padrão. Pressionando uma tecla no AP 410, o AP 410 pode ser colocado em um segundo modo de recepção "não autenticado", por um tempo curto. O comportamento neste modo pode ser similar ao da abordagem Broadcom, descrita acima. A autenticação do acordo de código evita disposição em pares acidental e a possibilidade de ataques do tipo "man- in-the-middlé" Também, pode haver códigos de autenticação múltiplos (por exemplo, AK proprietário, AK familiar, AK convidado, etc.). Por exemplo, um AP pode ter três "fichas" cada uma contendo um código de autenticação diferente. O AP 410 pode categorizar associações de segurança baseadas em como foram autenticadas. Neste caso, uma operação de "remover todos os convidados" (por exemplo, um pressionamento longo da tecla) faz com que o AP 410 remova todas as associações de segurança feitas usando o código de autenticação de convidado ou nenhum código de autenticação. Quaisquer associações de segurança feitas usando outros códigos de autenticação, entretanto, podem não ser removidas por esta operação. Isto permite gerenciamento efetivo e intuitivo de acesso de convidado.
Cada dispositivo pode ter um PSK dedicado, habilitando deste modo a revogação seletiva de associações de segurança. O PSK tem vida longa e é derivado da execução do protocolo e do valor de AK usado. Neste exemplo, os PSK podem ser rotulados e armazenados no AP com o nome do AK proprietário usado, permitindo então conhecimento de qual membro da família emitiu o acesso a qual convidado.
A delegação pode ser obtida com interação de usuário similar à solução OOB acima. Múltiplas formas de "endereços AP" podem ser incluídas em "parâmetros de rede". Por exemplo, se o nome DNS do AP é incluído, o AP pode ser usado para acesso remoto à residência.
O AP não necessita ter uma interface "fora-de-faixa", porque os códigos AK iniciais e parâmetros de rede podem ser fornecidos na forma de fichas passivas. Entretanto, se o AP tem uma interface "fora-de-faixa", o AP pode usar aquela interface para emitir os códigos AK iniciais (AK proprietário) e parâmetros de rede de alguma forma limitada (por exemplo, uma vez após aquisição ou reset pleno). O AP pode usar a interface "fora-de- faixa" para receber códigos AK iniciais e parâmetros de rede do exterior (por exemplo, uma vez após aquisição ou reset pleno). A Tabela 1 seguinte sumariza diferentes possibilidades para geração e fornecimento dos AK e parâmetros de rede que podem ser usados de acordo com exemplos desta invenção.
Tabela 1 - Geração de Fornecimento de Código de Autenticação
<table>table see original document page 11</column></row><table> <table>table see original document page 12</column></row><table>
Conforme mencionado acima, o canal "fora-de-faixa" não está limitado ao NFC. Exemplos adicionais de canais OOB incluem: SMS (Serviço de Mensagem Curta), MMS (serviço de geração de mensagem multimídia) ou serviços de geração de mensagens de telecomunicações similares. Usando SMS, um usuário pode tirar um contato de um livro de endereços, selecionar qual tipo de acesso autorizar e então enviar um SMS ao contato com o endereço AP e o AK. O dispositivo recebendo o SMS pode então executar as etapas 405 e 407 mostradas na Figura 4. Esta abordagem combinada preserva vantagens de ambas abordagens e habilita fácil gerenciamento de acesso de convidado.
Revogação: No caso mais simples, há somente um AK, e aquele AK pode ser usado para delegar acesso proprietário. Convidados podem ser admitidos usando uma disposição em pares não autenticada, como na abordagem Broadcom descrita acima. A diferença é que quando um proprietário deseja remover acesso de convidado, a rede inteira não precisa ser recriada. Ao invés disso, exatamente os PSK que foram criados sem qualquer autenticação são removidos.
Quando o acesso de convidado é concedido usando um AK convidado, então quando este acesso de convidado deve ser revogado, o AP remove ou marca como inválido o PSK que foi usado pelo convidado durante seu primeiro eixo de rotação de acesso. Conforme mencionado acima, esta ação pode ser iniciada ou alcançada pressionando uma tecla no ponto de acesso ou outro controlador de acesso por um tempo predeterminado, o que revogará todo acesso de convidado à rede. Abordagens mais refinadas são também possíveis, sem se afastar desta invenção, mas da perspectiva de usabilidade de um usuário final, tal abordagem de uma tecla tem certas vantagens e atratividade. Alternativamente, remover ou marcar o PSK como inválido pode ser iniciado ou alcançado usando o dispositivo de usuário/introdutor 412, por exemplo, transmitindo uma requisição para revogação ao AP ou navegando em uma tabela de dispositivos de usuários/usuário autenticados/autenticado.
Mesmo após a revogação, convidados ainda manterão o AK válido, e então a possibilidade de obter um novo PSK usando uma requisição SES autenticada. No sentido de evitar isto, o AK usado por convidados é preferivelmente mudado como parte do procedimento de reset de acesso de convidado. Então, juntamente com a remoção dos PSK de convidado, o AP preferivelmente determina um novo AK para aceitar requisições SES autenticadas. Em adição, após este tipo de reset de AK, os dispositivos proprietários existentes são tornados capazes de conceder mais uma vez acesso a convidados.
Em geral, o AK é determinado por AK = f(OAK, AK-ID), onde AK-ID pode ser qualquer parâmetro ou sub-função de parâmetros múltiplos. Três meios de permitir que dispositivos proprietários concedam acesso a convidados incluem, por exemplo, procedimentos de marcação de tempo, número de seqüência, e transferência, como discutido adicionalmente abaixo. O AK-ID pode representar qualquer parâmetro único ou qualquer combinação de parâmetros com base em alguma função predefinida. Outros parâmetros que podem ser incorporados no cálculo do AK-ID incluem, por exemplo, tipo de categoria, endereço MAC e nome ou ID de dispositivo de usuário. Aqueles especialistas na técnica verificarão que outros parâmetros podem também ou alternativamente ser usados em qualquer combinação. AK- ID pode ser considerado como uma estrutura de dados ou computação que codifica várias informações de alguma maneira predeterminada.
Um AK pode, portanto, ser derivado de um OAK compartilhado entre o dispositivo de introdução e o aparelho, e uma ou mais outras variáveis armazenando informação adicional única para o novo dispositivo, e o endereço do AP como provido pelo dispositivo de introdução para o novo dispositivo. Uma ou mais outras variáveis podem ser transferidas pelo novo dispositivo como parte do protocolo de acordo de código, de tal modo que o AP pode derivar o mesmo AK. O AK pode então ser usado para autenticar o protocolo de acordo de código, pois o AK não é ele próprio transferido. Outras abordagens ilustrativas são descritas abaixo.
Marcação de tempo: nesta abordagem, o AK convidado usado é uma função do tempo. Cada grupo (por exemplo, família, convidados, etc.) tem um "AK original" (OAK). O OAK não é divulgado durante a delegação. Ao invés disso, um AK transiente pode ser derivado do OAK, por exemplo, AK = f(OAK, tempo), onde OAK é como mencionado acima e o tempo poderia ser qualquer valor baseado no tempo, por exemplo, milissegundos desde 1.1.1970 (Unix padrão). Ambos AP e os dispositivos proprietários/dispositivos mestre delegados podem calcular o mesmo AK usando esta função, e o dispositivo convidado recebe o AK e o apresenta ao AP juntamente com o identificador AK que inclui "tempo". O ponto de acesso pode aceitar requisições SES autenticadas somente quando é usado um AK que este reconhece. Os AK derivados terão então tempos de vida limitados, por exemplo, um dia. Isto implica em que os convidados somente tenham um dia no qual emitir as requisições SES autenticadas. Depois disso o ponto de acesso não aceitará mais aquele AK. Uma desvantagem potencial com esta abordagem é que diferenças na sincronização de relógio entre o AP e os dispositivos delegados (que pode ser tal que o tempo do dispositivo é ajustado pelo usuário) pode causar inconsistências.
Número de seqüência: Esta abordagem envolve usar números de seqüência ao invés de marcações de tempo, no sentido de evitar os problemas de sincronização de relógio mencionados acima. OAK é, como antes, e AK = f(OAK, número de seqüência). O AP mantém uma janela deslizante de números de seqüência aceitáveis. O AP atualiza a janela todas as vezes que recebe um novo número de seqüência. Como números de seqüência possuem um tempo de vida curto, números de seqüência não usados antigos expirarão automaticamente. O resultado é que um AK pode somente ser usado por um curto período de tempo.
Transferência: nesta abordagem o AP gera um novo AK convidado quando o acesso de convidado deve ser reiniciado e os dispositivos proprietários individuais então obtém o novo AK convidado a partir do AP, usando método "na-faixa" ou "fora-de-faixa". Em tal cenário, os dispositivos proprietários têm conhecimento do AK proprietário, no sentido de permitir que desempacotem o novo AK convidado. Este método tem a desvantagem de que requer ação da parte dos usuários finais (ou dispositivos) no sentido de obter o novo AK.
A invenção pode ser praticada em qualquer ambiente de rede adequado, e não está limitada a qualquer arquitetura de rede específica. Figura 5 apresenta uma outra amostra de ambiente de operação de rede na qual um ou mais aspectos ilustrativos da invenção podem ser praticados. O ponto de acesso 501 incorpora um ponto de acesso de WLAN bem como acesso a Servidor(es) de WLAN e outras redes tal como a Internet 503. A primeira rede 505 pode incluir uma rede WLAN ou NFC, tal como RF ID. O dispositivo mestre 507 pode incluir um dispositivo de comunicação móvel ou dispositivo de controle remoto tendo acesso à primeira e segunda redes 505 e 509. A segunda rede 509 pode incluir um canal "fora-de-faixa" tal como NFC ou RF ID. A segunda rede 509 pode incluir alternativamente WLAN, rádio de curto alcance (por exemplo, BlueTooth) telecomunicação sem fio (SMS, MMS), IrDA e similares. O Novo Dispositivo 511 pode incluir um dispositivo de comunicação móvel, dispositivo de controle remoto, dispositivos periféricos, dispositivos eletrônicos de consumidor, ou outro dispositivo tendo acesso à segunda e terceira redes 509, 513. A terceira rede 513 pode incluir um canal "na-faixa" tal como a rede WLAN ou um canal "fora-de-faixa" como NFC ou RF ID.
Na arquitetura da Figura 5, onde um dos dispositivos tem um visor, por exemplo, um telefone móvel, quando o usuário "toca" a aplicação doméstica (por exemplo, um estéreo) o telefone móvel pode exibir uma imagem da aplicação transmitida da aplicação no visor do telefone. O usuário, pressionando uma tecla, pode mudar os parâmetros de rede somente para a aplicação mostrada no visor, dando então aos usuários um melhor entendimento de quais aplicações dispor em pares. No caso da WLAN, a disposição em pares é entre um dispositivo eletroacústico o ponto de acesso (e não entre dispositivos), mas a idéia não necessita ser limitada ao caso da WLAN. Neste caso, uma imagem do dispositivo pode ser exibida em um visor do AP, ou alternativamente uma imagem do AP pode ser exibida em um visor do dispositivo. A imagem pode ser transmitida na etapa 403 ou antes da etapa 403. A imagem pode ser fornecida via NFC ou qualquer outra rede de comunicação. Esta função requer significativo espaço de memória e poderia transformar o "toque" em "manter", significando que o toque leva um tempo mais longo. Como alternativa a exibir uma imagem, o telefone móvel pode exibir um nome de dispositivo, similar a dispositivos BlueTooth, preferivelmente com mais descrição, por exemplo, "conjunto de TV Philips", "ponto de aceso WLAN da France Telecom", "estéreo HiFi Sony", "Nokia 6600", "PDA do Sam", etc.
Alguns dispositivos, entretanto, podem ter o mesmo nome pseudo único, então a conexão pode ser para/a partir de um outro dispositivo que não era pretendido. Tipicamente, o erro será detectado imediatamente, mas somente depois de pelo menos uma transmissão ter tido lugar, e os dados serem transmitidos ao dispositivo errado, e o receptor pretendido não ter recebido coisa alguma. Quando uma conexão sem fio entre dois telefones celulares é desejada, a prova de uma identidade de outra parte pode ser obtida da rede celular. Um telefone celular ou terminal móvel pode chamar o outro (sem a outra extremidade responder a chamada - significando que é grátis) para verificar o dispositivo. Isto é, para chamar o outro dispositivo, o chamador necessita conhecer o número da parte chamada. Em adição, a parte chamada é capaz de verificar o momento em que está sendo chamada, por exemplo, com base no ID chamador. Então, a prova de identidade dos dispositivos não é obviamente visível a partes externas.
Em uma realização da invenção, provar a identidade com uma chamada (não respondida) pode ser efetuada conforme segue: o dispositivo a ser autenticado (dispositivo A) envia seu número telefônico através de uma conexão sem fio (tal como BlueTooth ou WLAN) ao dispositivo que deseja se autenticar (dispositivo B). Uma aplicação de autenticação no dispositivo B aguarda algum tempo predeterminado ou randomicamente escolhido e disca para o dispositivo A via uma rede de telecomunicações sem fio. Quando o dispositivo A detecta a chamada, este imediatamente informa ao dispositivo B sobre a chamada, via uma conexão sem fio (tal como BlueTooth, WLAN). Uma aplicação de autenticação no dispositivo B pode agora decidir se a resposta de A veio rápida o bastante para a chamada feita (durante alguma período predeterminado de tempo), fazendo deste modo com que B aprove a identidade de A (isto é, o número telefônico é enviado). Alternativamente ou adicionalmente, a identidade do dispositivo A, número telefônico e nome a partir do livre de endereço do dispositivo B, ou o número telefônico é apenas transmitido. Pode ser exibida ao usuário fazendo a conexão em um visor do dispositivo B e ser consultado sobre qual permissão deveria ser autorizada para a conexão. Esta técnica funciona mesmo se a rede não transmite o número telefônico do dispositivo A (por exemplo, se o número telefônico é secreto ou se o usuário está visitante em tal rede e o número não é transmitido). A autenticação mútua pode ser baseada no número telefônico do dispositivo A (se a rede o provê) ou em uma outra chamada da direção oposta.. Este método pode ser útil, por exemplo, na etapa 403 na Figura 4. Uma realização alternativa da invenção, provando a identidade como uma chamada (não respondida) pode ser executada como segue: o dispositivo a ser autenticado (dispositivo A) envia seu número telefônico através de uma conexão de telecomunicação sem fio, ao dispositivo que deseja se autenticar (dispositivo B), isto é, o dispositivo A chama o dispositivo B. Uma aplicação de autenticação no dispositivo B armazena o número telefônico do dispositivo A em uma base de dados de acesso e aguarda algum tempo predeterminado ou randomicamente escolhido e disca para o dispositivo A via uma rede de telecomunicação sem fio. Quando o dispositivo A detecta a chamada, este informa imediatamente ao dispositivo B sobre a chamada, via uma conexão sem fio (tal como BlueTooth ou WLAN) incluindo o número telefônico do dispositivo B e seu próprio número telefônico. O número telefônico de A pode opcionalmente ser usado para computar o código usado para proteger a conexão sem fio. Uma aplicação de autenticação no dispositivo B pode verificar agora se o número telefônico do dispositivo A está na base de dados de acesso, se a resposta de A veio rápida o bastante para a chamada feita (durante algum período predeterminado de tempo), fazendo deste modo com que B aprove a identidade de A (isto é, o número telefônico que este enviou). Este método é útil, por exemplo, na etapa 403 na Figura 4.
Adicionalmente, em uma realização da invenção, quando o dispositivo A informa ao dispositivo B sobre a chamada, via uma conexão BlueTooth, esta informação pode agora incluir o número telefônico do dispositivo Β, o número telefônico do dispositivo A e também informação de identificação BlueTooth. O número telefônico de A pode ser usado opcionalmente para computar o código usado para proteger a conexão sem fio. Uma aplicação de autenticação no dispositivo B pode verificar se o número telefônico e a informação de identificação BlueTooth do dispositivo A estão na base de dados de acesso, se a resposta do dispositivo A veio rápida o bastante para a chamada feita (durante algum período predeterminado de tempo), fazendo deste modo com que o dispositivo B aprove a identidade do dispositivo A (isto é, o número telefônico que este enviou). A autenticação pode também ser feita verificando um par A (número telefônico, informação de identificação BlueTooth) na base de dados de acesso. Este método pode ser útil, por exemplo, na etapa 403 da Figura 4.
O método imediatamente descrito acima pode ser usado, por exemplo, nos seguintes exemplos de situações:
1) Um dispositivo de ponto de acesso WLAN (dispositivo B) e o novo dispositivo (dispositivo A) possuem capacidades de telecomunicação sem fio. Este acesso de telecomunicação sem fio é usado para compartilhar informação necessária para estabelecer acesso WLAN entre os dispositivos, como na etapa 403 na Figura 4. Neste caso, os dispositivos podem inicializar a configuração do acesso WLAN automaticamente após compartilhar a informação necessária. Alternativamente, a configuração do acesso WLAN pode ser iniciada manualmente pelo usuário.
2) O Gerente Mr. Marty senta-se em uma reunião com seus clientes e percebe que não possui a última apresentação de seu produto armazenado em seu telefone inteligente. Ele envia uma mensagem SMS a sua secretária e pede a ela para enviá-la através de WLAN ad-hoc para seu telefone. Sua secretária inicia uma aplicação ad-hoc em seu telefone, que inicia a conexão ad-hoc enviando seu número telefônico ao telefone de Marty, iniciando então a conexão. Marty aceita a conexão de sua secretária (esta é mostrada com base no número para o qual foi feita a chamada, ou foi destinada a ser feita para, dependendo dos ajustes de nível de segurança). Quando a conexão estiver feita, o arquivo pode ser enviado ao telefone inteligente de Marty.
3) Quando um dispositivo A deseja fazer uma conexão com o dispositivo B, este cria uma conexão sem fio para o dispositivo B e os dispositivos trocam seus números telefônicos através da conexão. O UI nos telefones/dispositivos mostra o nome de usuário do dispositivo chamador (se este está no livro de telefones do telefone) ou minimamente o número telefônico. O UI então solicita ao usuário se a conexão pode ser estabelecida ou autenticada. Durante a fase de autenticação, os dispositivos fazem uma chamada telefônica para o outro dispositivo, provando então com a chamada que o dispositivo é quem reivindica ser.
O método acima pode ser usado entre dispositivos que não estão fisicamente visíveis um ao outro, é suficiente que estes estejam dentro do alcance da conectividade sem fio. A conexão estabelecendo um processo é simples para o usuário, especialmente se o número telefônico do telefone chamado pode ser navegado a partir do livro telefônico (do ponto de vista do usuário tornando a conexão tão fácil quanto fazer uma chamada).
De acordo com um aspecto da invenção, o acesso de rede pode ser baseado no AK e no endereço MAC de um dispositivo. Para permitir o acesso de rede ao novo dispositivo, um dispositivo de delegação pode dar o AK ao novo dispositivo "fora-de-faixa", mas o dispositivo de delegação não se comunica com o AP, nem há ali um protocolo de acordo de código especial entre o novo dispositivo e o AP. Quando o novo dispositivo contata o AP, o AP e o novo dispositivo derivam independentemente um novo PSK a partir do AK e o endereço MAC do dispositivo. Por exemplo, PSK = f(AK, endereço MAC), onde f é uma função de derivação de código adequada. Para revogar o acesso de rede a partir do dispositivo, o proprietário pode usar a interface de gerenciamento do AP para marcar o dispositivo alvo como "revogado". Posteriormente, o PSK daquele dispositivo é removido e o AP pode adicionar um endereço MAC do dispositivo a uma lista de dispositivos revogados. Um dispositivo cujo endereço MAC esteja naquela lista não será capaz de estabelecer um PSK com o AP, isto é, não será capaz de executar a Etapa (1) acima, a menos que o acesso tenha sido novamente concedido ao dispositivo.
Uma vantagem desta abordagem é que o novo dispositivo e o AP podem derivar o PSK independentemente, sem novas mensagens de protocolo de acordo de código. O conhecimento do AK e endereço MAC do dispositivo é suficiente. Uma desvantagem desta abordagem, entretanto, é que o AP precisa não perder de volta os endereços MAC revogados. Também, esta abordagem é menos segura do que derivar o PSK do AK usando um protocolo de acordo de código, porque os endereços MAC podem ser forjados. Finalmente, permitir um dispositivo previamente revogado de volta na rede, requer que o delegador interaja com o AP para remover seu endereço MAC da lista de dispositivos revogados, requerendo deste modo conhecimento de um protocolo adicional.
De acordo com um outro aspecto da invenção, uma base de dados de dispositivos autenticados pode ser usada (ver tabela 2). O AP pode conter uma base de dados de dispositivos autenticados, por exemplo, uma tabela, armazenando (1) o endereço MAC de cada dispositivo que é parte da rede WLAN e (2) um código, PSK, que o AP compartilha com o dispositivo: {endereço MAC, PSK}. Quando um dispositivo contata o AP, o AP busca o endereço MAC do dispositivo de contato da tabela e usa o PSK associado em comunicação com aquele dispositivo, se o endereço MAC é encontrado. Se o endereço MAC não é encontrado, o AP pode, por exemplo, recusar a se comunicar com o dispositivo, enviar uma mensagem predeterminada ao dispositivo, ou usar algum outro procedimento definido para dispositivos não autenticados. A base de dados de dispositivos autenticados pode incluir adicionalmente uma gravação de grupo de dispositivo (DG): {endereço MAC, PSK, DG}. O campo DG pode incluir, por exemplo, pelo menos um tipo e AK: por exemplo, DG = {Tipo, AK}. Tipo pode identificar um dispositivo, por exemplo, como "não autenticado", em cujo caso o campo AK estaria vazio. Como um outro exemplo, o valor Tipo poderia ser "Convidado" em cujo caso o AK seria aquele reservado para convidados. Como um terceiro exemplo, o valor Tipo poderia ser "Doméstico" em cujo caso o AK será aquele reservado para dispositivos domésticos, tais como dispositivos eletrônicos de consumidor ou aplicações domésticas. Outros valores de Tipo podem incluir "Sensor" descrevendo diferentes sensores conectados ao AP. O número específico de tipos diferentes não é limitado. A gravação DG de um dispositivo é inicializada com base no valor do AK que o dispositivo conhece, por exemplo, quando aquele dispositivo se junta à rede. Adicionalmente, a base de dados pode ter uma coluna descrevendo a quem foram dados os direitos de acesso. Adicionalmente, o grupo de dispositivo pode incluir uma coluna para AK Original (OAK). A Tabela 2 mostra um exemplo de informação que pode ser incluída em uma base de dados de dispositivos autenticados. Outros valores de Tipo podem ser usados alternativamente, dependendo das necessidades do sistema, por exemplo, uma data de expiração associada a uma entrada de base de dados, para assegurar o cancelamento automático dos direitos do usuário (de outro modo pode ocorrer revogação quando um usuário é removido da base de dados ou quando o tempo de expiração é cancelado ou trocado). Um exemplo de uma base de dados de dispositivos autenticados é mostrado abaixo na Tabela 2.
Tabela 2: Base de dados de dispositivos autenticados
<table>table see original document page 23</column></row><table>
Conforme descrito acima, quando um dispositivo contata o AP, o AP buscará o endereço MAC do dispositivo de contato a partir da base de dados de dispositivos autenticados e usará o PSK associado em comunicação com aquele dispositivo, se o endereço MAC é encontrado. A existência da gravação DG permite que o AP gerencie diferentes grupos de dispositivos. Por exemplo, sem o campo DG, a revogação do acesso de rede de um dispositivo convidado requer que o proprietário conheça o endereço MAC ou o PSK daquele dispositivo. Se este não conhece aqueles, então precisa encontrá-los (por exemplo, examinando os endereços MAC de todos os seus dispositivos domésticos) ou precisa mudar os valores de PSK de todos seus dispositivos, isto é, precisa explorar ou recodificar a totalidade da rede para revogar o dispositivo convidado. Em contraste, consideremos a mesma operação a gravação DG está presente na Tabela AP. Quando o proprietário instrui o AP para revogar o acesso a todos os dispositivos convidados, o ponto AP simplesmente remove todas as gravações cujo campo "Tipo" DG é igual a "Convidado". Adicionalmente, informação sobre quem recebeu os direitos de acesso pode ser usada para tomar decisões inteligentes. Em um exemplo adicional, um dispositivo mestre pode acessar sem fio e gerenciar a base de dados de dispositivos autenticados. Alternativamente, a base de dados de dispositivos autenticados pode ser acessada por um computador pessoal em uma rede doméstica WLAN. Uma revogação de um usuário pode acontecer removendo o usuário da lista ou cancelando ou mudando a data/horário de expiração do dispositivo do usuário. Alternativamente, a Tabela pode também incluir datas de expiração para dispositivos de usuário. Isto assegura o cancelamento automático de direitos de usuário. Alternativamente, o usuário pode usar o campo "nome do dispositivo" para identificar os dispositivos cujo acesso deveria ser revogado.
De acordo com um aspecto da invenção, a informação transferida usando o canal "fora-de-faixa" pode incluir um PSK derivado, uma senha randômica, ou um ou mais pares <tipo AK, versão AK, valor AK>. "Tipo AK" pode ser um inteiro de tamanho fixo, opcionalmente com alguns valores reservados (por exemplo, 0 = visitante, 1 = proprietário). Versão AK é um número e seu conteúdo depende do esquema usado para revogação. Se os números de seqüência são usados como a base de revogação, a versão AK pode conter <ownerID +
sequenceNumberOwnerUsedWhenIssuingAK>. Se uma abordagem baseada no tempo é usada, a versão AK pode conter <ownerID | marcação de tempo de quando o AK foi emitido>. Se a revogação de convidados conduz a um novo AK convidado sendo criado no AP e proprietários necessitando transferir este novo AK, não há informação necessária neste campo. Conforme discutido acima, Broadcom propôs SES. A proposta Broadcom pode ser modificada de acordo com um ou mais aspectos da invenção, onde o protocolo de acordo de código preferivelmente suporta autenticação opcional. A autenticação preferivelmente usa um AK, e as mensagens de protocolo preferivelmente são mudadas para identificar o tipo AK. (Se o último não é possível, somente dois grupos podem ser suportados: autenticado = proprietário, não autenticado = convidado). Quando o PSK resultante é armazenado, o tipo AK é também armazenado. Dois tipos de reset podem ser usados, um para remover todas as associações de segurança de convidado (por exemplo, pressionamento longo de tecla) e um segundo para reiniciar completamente o sistema. Também, o AP pode estar permanentemente em um modo onde pode aceitar requisições autenticadas para os PSK, isto é, não há equipamento para pressionamento de tecla no sentido de alcançar este modo.
O SecureEasySetup (SES), conforme descrito acima e, por exemplo, em www.broadcom.com/press/release.php?id=659800, é um protocolo simples para configurar conexões de WLAN seguras propostas pela Broadcom. O protocolo SES supõe que ambos dispositivo de cliente e ponto de acesso (AP) possuem uma tecla (a tecla pode ser uma tecla de software ou hardware ou chave, por exemplo, chave liga/desliga). No sentido de adicionar um novo dispositivo de cliente à rede WLAN, o usuário primeiramente pressiona uma tecla no AP e então no dispositivo de cliente. O resultado destes dois pressionamentos de tecla é que o cliente recebe um código WPA ("Acesso Protegido Wi-Fi") e melhora nos sistemas e métodos descritos acima1. Por exemplo, como será descrito abaixo, aspectos da presente invenção tornam o acesso de rede mais seguro e acessível ao usuário em situações fora de uma residência do usuário individual. Como exemplos ainda mais específicos, sistemas e métodos adequados podem ser providos para permitir que visitantes, por exemplo, em hotéis, restaurantes e similares, acessem seguramente, temporariamente e facilmente o sistema de rede.
Ao habilitar o acesso de visitante a redes, hotéis, restaurantes e outros locais de acesso público, pode não ser desejável remover todas as contas de visitante a um dado tempo (ao invés disso, convidados ou visitantes da rede podem entrar e sair da rede em muitos instantes diferentes). Conseqüentemente, de acordo com pelo menos alguns exemplos da invenção, conforme descrito em mais detalhe abaixo, a informação de expiração pode ser adicionada a um ID de código de autenticação e/ou informação de expiração pode ser provida, via cálculo de um código de autenticação. Em alguns exemplos, se a informação de expiração = O, isto pode ser usado para indicar que o AK não expira automaticamente.
Antes que os clientes possam ser adicionados a uma rede WLAN, o AP necessita gerar um código WPA e um SSID. Um código WPA é a especificação pela Aliança Wi-Fi baseada em uma versão do 802.1 li. É pretendido haver uma medida provisória até que 802.1 li esteja pronto. WPA- 2 está destinado a ser 802.1 li. 802.1 li é um padrão IEEE oficial para segurança das LAN Sem Fio. Em sistemas e métodos de acordo com pelo menos alguns exemplos desta invenção, o código WPA é um código pré compartilhado entre o cliente WLAN e um ponto de acesso (também chamado aqui de um "PSK"). Um SSID é um identificador único para uma rede WLAN. Pontos de acesso (AP) radiodifundem o SSID.
Em pelo menos alguns exemplos desta invenção, um cliente pode ser adicionado a uma rede WLAN pressionando uma tecla provida no AP por um período de tempo estendido (por exemplo, cinco segundos).
Enquanto o AP gera o código WPA e o SSID, fará piscar luzes de LED ou dar alguma outra indicação ao usuário. Se o AP possuía quaisquer disposições em pares existentes, estas serão removidas durante este processo. Uma vez que uma nova rede é gerada, os usuários podem adicionar novos dispositivos à rede, pressionando uma única tecla no AP e no dispositivo de cliente. Figura 6 ilustra o protocolo para adicionar novos clientes em uma rede usando o protocolo SES. Na etapa 601, o pressionamento de uma tecla no AP 610 faz com que o AP entre no modo de recepção por algum período de tempo, por exemplo, dois minutos. Isto é, o AP aguarda em um estado pelo tempo em que está disponível para estabelecer comunicação em túnel seguro com um dispositivo de cliente. Na etapa 602, um pressionamento de tecla no dispositivo de cliente 611 inicia uma busca pelo cliente, para localizar um AP, por exemplo, AP 610, que está no modo de recepção. Depois do cliente 611 ter encontrado o AP 610, o cliente 611 estabelece um túnel seguro com o AP 610, na etapa 603. Se o AP já tiver criado um túnel seguro com um outro cliente, este não começará a assegurar o estabelecimento de túnel, mas ao invés disso replicará com uma advertência ou mensagem de erro. Na etapa 604, o cliente 611 recebe uma mensagem de protocolo para continuar o estabelecimento de túnel seguro. A mensagem de protocolo pode incluir o código WPA e SSID.
O protocolo SES da Figura 6 é amistoso e algo seguro. Entretanto, este ainda possui umas poucas deficiências, incluindo que a disposição em pares de cliente com um AP não pretendido é possível, disposição em pares de AP com um cliente não pretendido, são possíveis ataques "man-in-the-middle" e todas as disposições em pares são permanentes. Não é possível conceder acesso temporário, por exemplo, a visitantes. Algumas dessas vulnerabilidades supõem que há um outro AP possivelmente malicioso ou cliente presente e no modo de recepção (estes são denotados como "AP_OTHER" e "CLIENT_OTHER" na descrição abaixo). O AP que o usuário deseja dispor em pares com seu cliente é designado por "AP_OK" e seu cliente é designado por "CLIENT_OK" na descrição abaixo.
Então, vários melhoramentos podem ser feitos ao protocolo SES, de acordo com um ou mais aspectos da invenção. A disposição em pares de cliente com um AP não pretendido pode ser evitada de vários modos. Primeiramente, se o cliente acha mais de um AP, o cliente pode abortar o procedimento de disposição em pares e alertar o usuário. Em segundo lugar, os pontos de acesso podem ser remetidos com nomes diferentes (tais como "Tigre" e "Leão") que são retirados de um conjunto relativamente grande de nomes, e estes nomes podem ser impressos no topo do AP. Se o cliente encontra mais de um AP, o usuário pode então ser solicitado a selecionar o AP correto de uma lista de nomes. Esta característica pode auxiliar a reduzir acidentes. Se há mais de um AP com o mesmo nome, então o cliente pode ser adaptado para abortar o procedimento de disposição em pares.
Um cliente também pode dispor em pares com um AP não pretendido, se o usuário pressiona a tecla no dispositivo de cliente após o tempo predeterminado (por exemplo, dois minutos)a partir do pressionamento da tecla no dispositivo AP_OK, de tal modo que o dispositivo AP_OK não esteja mais no modo de recepção. Esta situação poderia ser evitada, por exemplo, se o AP desse alguma indicação (tal como luz piscando) quando está no modo de recepção e um tipo diferente de indicação (tal como luz constante por cinco segundos) quando a disposição em pares tiver sido estabilizada com sucesso. Deste modo, o usuário poderia verificar, após pressionar a tecla no cliente que a indicação no AP tenha mudado com sucesso do modo de recepção para o modo de disposição em pares. Também, o usuário do cliente pode ver, antes de pressionar a tecla de cliente, se o AP está no modo de recepção. Se uma disposição em pares bem sucedida não ocorre, mas ao invés disso o cliente tiver disposto em pares com "AP_OTHER", então a disposição em pares incorreta pode ser removida manualmente do cliente.
Uma disposição em pares AP com um cliente não pretendido, pode ser evitada. Por exemplo, um AP pode dispor em pares com um "CLIEN_TOTHER" se o usuário do "CLIENT_OTHER" pressiona a tecla em seu dispositivo de cliente mais rápido que o usuário do dispositivo de "CLIENTOK" pressiona sua tecla. Neste caso, uma mensagem de advertência pode ser enviada ao "CLIENT_OK". Esta situação pode ser detectada e processada de uma variedade de modos diferentes. Por exemplo, a situação pode ser detectada se houver um protocolo de disposição em pares entre o CLIENTE e o AP e o AP continua a ouvir requisições de cliente por algum tempo, mesmo após um primeiro cliente completar com sucesso uma disposição em pares, por exemplo, até que o intervalo de tempo de disposição em pares (por exemplo, 2 minutos neste exemplo de sistema e método) se escoe. Se "CLIENT_OTHER" dispõe em pares primeiramente, então quando "CLIENT OK" tenta dispor em pares com "APOK", "AP_OK" retornará uma mensagem de advertência para "CLIENT_OK" indicando que a disposição em pares não é mais possível e a razão para isto (por exemplo, que um outro dispositivo já foi disposto em pares). Ao receber a mensagem de advertência, "CLIENT_OK" pode ser adaptado para exibir uma mensagem ao usuário, dizendo algo como "AP recusou-se a admitir seu dispositivo porque um outro dispositivo chegou antes de você. Pressione a tecla de cancelamento no AP por 3 segundos para tirar o outro dispositivo fora de sua rede AP" ou outra mensagem apropriada baseada no projeto do sistema.
Quando "CLIENTOTHER" chega antes de "CLIENT OK", o AP pode não reconhecer "CLIENT OK" e ou pode não reconhecer que um usuário errado ("CLIENT OTHER") foi disposto em pares (o AP pode não ter qualquer meio para reconhecer estas situações). Por esta razão, o AP pode não ser adaptado para tomar qualquer ação automaticamente, por si próprio, mas ao invés disso o AP envia uma mensagem de advertência pelo menos para o dispositivo de cliente tentando a última disposição em pares. Se "CLIENT_OK" recebe a mensagem de advertência, então o usuário do "CLIENT_OK" pode executar REMOVE LAST OPERATION descrita abaixo e/ou executar outras ações apropriadas. Se "CLIENT OTHER" recebe a advertência, então por definição seu usuário não pode atuar na advertência porque o usuário presumivelmente não terá acesso físico para fazer a função de REMOVELASTOPERATION no AP (por exemplo, o usuário de cliente não autorizado presumivelmente não terá acesso físico ao AP).
Uma função REMOVE LAST OPERATION associada ao AP pode ser executada a qualquer tempo desejado, por exemplo, quando o usuário recebe uma mensagem de advertência no "CLIENT_OK" conforme descrito acima. Executar esta operação apaga, termina ou de outro modo elimina a disposição em pares não pretendida estabelecida com "CLIENT OTHER", e opcionalmente torna novamente o AP disponível para disposição em pares com "CLIENTOK". A função REMOVELASTOPERATION pode ser ativada, por exemplo, pressionando a mesma tecla SES por tempo mais longo ou mais curto que uma disposição em pares normal ou, se desejado, uma outra tecla pode ser provida para esta operação.
Ataques "man in the míddlé'' podem ser evitados permitindo que o usuário compare as funções de "hashing" do código WPA em pares acordado. Por exemplo, se ambos cliente e o AP tem um único LED, os dispositivos poderiam apresentar a formação de "hashing' do código publico do AP um bit por vez com o LED (bit 1 poderia ser apresentado com uma luz verde e bit 0 sem luz, por exemplo) para então assegurar que o cliente tenha disposto em pares com "AP_OK". Se ambos os dispositivos possuem pequenos visores, o "hashing' poderia ser representado como uma seqüência sonora (usando freqüências diferentes ou diferentes amplitudes que representam 1 e 0). O AP pode radiodifundir uma lista de suas capacidades de emissão de "hashing' e o cliente é suposto escolher uma da lista.
Este processo de comparação é opcional. Se o usuário nada faz após o protocolo SES normal, nenhuma comparação de funções de "hashing' será executada. Entretanto, se o usuário deseja comparar funções de "hashing', pode executar uma COMPARE HASHES OPERATION após o protocolo SES normal. Se os usuários não usam COMPAREHASHESOPERATION, o mesmo nível de segurança que no SES original pode ser provido e obtido. O COMPARE HASHES OPERATION, entretanto, permite que um usuário consciente de segurança obtenha um nível mais alto de segurança contra um "man in the middlé" ativo.
Uma vez que o usuário tenha executado COMPAREHASHESOPERATION, ambos dispositivos mostram a primeira parte da função de "hashing". Se as partes da função de "hashing' são diferentes, um ataque de "man in the middlé" ocorreu e o usuário pode ser orientado ou de outro modo saber executar REMOVE_LAST_OPERATION no AP. Se as partes de função de "hashing" são idênticas, o usuário pode fazer coisa alguma e esta disposição em pares será aceita. Alternativamente, o usuário pode selecionar NEXTPARTOPERATION em ambos os dispositivos. Como resultado desta operação, ambos os dispositivos mostram a próxima parte da função de "hashing" e o usuário pode novamente escolher remover esta disposição em pares, aceitar esta disposição em pares nada fazendo, ou mudar para a próxima parte de função de "hashingf. Comparar funções de "hashing' usando saída de áudio pode ser uma abordagem amistosa desejável, porque o ouvido humano pode diferenciar mais facilmente entre seqüências sonoras que estão fora do tom ou fora de fase.
Quanto mais o usuário continua com este processo de comparação de funções de "hashing', menor a possibilidade de um ataque de "man in the middle" bem sucedido. Comparar um bit reduz a possibilidade de ataque bem sucedido de 50 por cento. Comparar dois bits reduz a possibilidade de 75 por cento, e assim por diante. O protocolo de disposição em pares pode ser baseado, por exemplo, no MANA ("Manual de Autenticação para Dispositivos Sem Fio", Gehrmann e outros, Cryptobytes Spring 2004), que permite um alto nível de segurança contra ataques de "man in the middle", mesmo com valores de verificação relativamente curtos.
De acordo com um aspecto da invenção, o protocolo SES pode ser modificado para prover acesso temporário. O protocolo básico SES também permite que usuários adicionem dispositivos permanentemente na rede sem fio. Entretanto, seria uma melhoria também permitir acesso temporário, por exemplo, para visitantes, hóspedes de hotel, etc. Quando um visitante chega, o usuário pode dar seu acesso temporário à rede, por exemplo, executando uma ADD_VISITOR_OPERATION no AP ao invés de pressionar a tecla SES normal. Esta ação inicia a execução do protocolo SES normal e o visitante é requerido a pressionar a tecla em seu dispositivo, dentro do tempo predeterminado, por exemplo, dois minutos. Se a negociação SES é bem sucedida, o AP lembrará deste cliente como um visitante. Exemplos de modos pelos quais o acesso temporário pode ser provido são descritos acima.
O acesso temporário pode ser revogado de vários modos. Quando o usuário deseja remover todos os visitantes da rede, pode executar uma REMOVE VISITORS OPERATION no AP. Como resultado desta operação, o AP enviará um novo código WPA a todos os outros clientes pertencentes à rede, e os visitantes não receberão este novo código. A remoção de menos que todos os visitantes pode ser obtida conforme descrito acima.
De acordo com um aspecto da invenção, diferentes operações podem ser mapeadas para ações reais executadas pelo usuário. Aqueles especialistas na técnica verificarão que estes são apenas exemplos, e outros mapeamentos podem também ou alternativamente ser usados. Qualquer modo para mapear uma ação do usuário para AP ou funções de dispositivo de cliente podem ser usados, sem se afastar do escopo da invenção. Notadamente, as várias teclas descritas abaixo (por exemplo, as teclas "SES" e "Visitor") podem estar localizadas diretamente no AP e/ou um outro dispositivo de controle operativamente acoplado ao AP (por exemplo, por uma conexão sem fio, um controlador remoto, etc.), para uso, por exemplo, no caso em que o AP esteja localizado em uma localização remota ou difícil de alcançar. A Tabela 3 abaixo mostra exemplos de possíveis mapeamentos de operações de dispositivo para várias ações de usuário.
Tabela 3: Mapeamentos de operações para ações
<table>table see original document page 33</column></row><table>
O protocolo SES básico é atrativo porque é amistoso e relativamente seguro. Entretanto, ainda tem deficiências. Aspectos desta invenção provêem várias extensões ao protocolo SES básico, que tornam o protocolo mais seguro e útil, sem sacrificar a vantagem de usabilidade do SES. Deveria ser notado que estas extensões não complicam o protocolo SES normal do ponto de vista do usuário. O usuário pode eliminar disposições em pares não pretendidas acidentais com simples
REMOVELASTOPERATION, mas não é forçado a fazer isso.
Evitar ataques de "man in the middle" ativos é consideravelmente mais difícil e, em muitos cenários, ataques de "man in the middle" ativos não são realísticos. Em situações críticas de segurança, um usuário poderia avançado poderia, entretanto, usar o método de comparação de funções de "hashing' descrito acima, para melhorar a segurança do protocolo SES normal.
O ADD VISITOR OPERATION e REMOVE VISITORS OPERATION provêem extensões plenas para o protocolo SES. Sem estes, o usuário não pode adicionar dispositivos de visitante e/ou tem que reconfigurar a rede inteira uma vez que o usuário deixa a rede.
Um ou mais aspectos da invenção podem ser realizados em instruções executáveis por computador, tal como em um ou mais módulos de programa, executados por um ou mais computadores ou outros dispositivos. Em geral, o programa inclui rotinas, programas, objetos, componentes, estruturas de dados, etc. que executam tarefas particulares ou implementam tipos de dados abstratos particulares quando executados por um processador em um computador ou outro dispositivo. As instruções executáveis por computador podem ser armazenadas em um meio legível por computador tal como um disco rígido, disco óptico, meios de armazenagem removíveis, memória de estado sólido, RAM, etc. Como será verificado por um especialista na técnica, a funcionalidade dos módulos do programa pode ser combinada ou distribuída conforme desejado, em várias realizações. Em adição, a funcionalidade pode ser realizada no todo ou em parte em firmware e hardware equivalentes, tais como circuitos integrados, arranjos de portas programáveis em campo (FPGA) e similares.
A presente invenção inclui qualquer nova característica ou combinação de características aqui descritas, seja explicitamente ou qualquer generalização destas. Embora a invenção tenha sido descrita com respeito a exemplos específicos incluindo modos presentemente preferidos para realizar a invenção, aqueles especialistas na técnica verificarão que há numerosas variações e permutações dos sistemas e técnicas acima descritos. Então, o espírito é escopo da invenção deveria ser considerado amplamente conforme relatado nas reivindicações anexas.

Claims (68)

1. Método para gerenciar acesso a uma rede sem fio por um dispositivo terminal, caracterizado pelo fato de compreender etapas de: a) o dispositivo terminal receber uma primeira chave de um dispositivo confiável da rede sem fio, via um primeiro canal de comunicação; b) executar um protocolo de acordo de chave entre o dispositivo terminal e a rede sem fio via um segundo canal de comunicação, para determinar uma segunda chave correspondente ao dispositivo terminal autenticado usando a primeira chave; c) autenticar o dispositivo terminal pela rede sem fio, usando a segunda chave; e d) autorizar o terminal a acessar a rede sem fio, usando o segundo canal de comunicação na conclusão bem sucedida da etapa c).
2. Método de acordo com a reivindicação 1, caracterizado pelo fato de que a etapa a) compreende gerar a primeira chave com base em uma função de uma terceira chave e pelo menos uma outra variável.
3. Método de acordo com a reivindicação 2, caracterizado pelo fato de que a pelo menos uma outra variável compreende um dentre uma marcação de tempo, um número de seqüência, um nome de dispositivo, um tipo de dispositivo, uma categoria de dispositivo, um endereço de dispositivo, e um tempo de vida de entrada do dispositivo.
4. Método de acordo com a reivindicação 2, caracterizado pelo fato de que a primeira chave compreende uma chave de autenticação (AK), a segunda chave compreende uma chave pré-compartilhada (PSK) e a terceira chave compreende uma chave de autenticação original (OAK).
5. Método de acordo com a reivindicação 2, caracterizado pelo fato de que a etapa b) compreende transferir a pelo menos uma outra variável como parte do protocolo de acordo de chave.
6. Método de acordo com a reivindicação 2, caracterizado pelo fato de compreender adicionalmente determinar a terceira chave via protocolo de acordo de chave entre o dispositivo confiável e a rede sem fio.
7. Método de acordo com a reivindicação 6, caracterizado pelo fato de compreender adicionalmente o dispositivo confiável determinar a terceira chave e transmitir a terceira chave à rede sem fio.
8. Método de acordo com a reivindicação 6, caracterizado pelo fato de compreender adicionalmente a rede sem fio determinar a terceira chave e transmitir a terceira chave ao dispositivo confiável.
9. Método de acordo com a reivindicação 6, caracterizado pelo fato de compreender adicionalmente uma terceira parte determinar a terceira chave e transmitir a terceira chave para comunicação à rede sem fio e dispositivo confiável.
10. Método de acordo com a reivindicação 1, caracterizado pelo fato de compreender adicionalmente: e) armazenar uma entrada correspondente ao dispositivo terminal em uma base de dados de acesso da rede sem fio.
11. Método de acordo com a reivindicação 10, caracterizado pelo fato de que a entrada compreende informação recebida do dispositivo terminal.
12. Método de acordo com a reivindicação 10, caracterizado pelo fato de que a etapa c) compreende consultar a base de dados de acesso quanto à entrada correspondente ao dispositivo terminal para determinar direitos de autenticação e acesso do dispositivo terminal.
13. Método de acordo com a reivindicação 10, caracterizado pelo fato de compreender adicionalmente: f) revogar o acesso do dispositivo terminal à rede sem fio, com base na informação armazenada na entrada da base de dados de acesso.
14. Método de acordo com a reivindicação 1, caracterizado pelo fato de que o primeiro canal de comunicação compreende um canal de comunicação de campo próximo (NFC).
15. Método de acordo com a reivindicação 1, caracterizado pelo fato de que o primeiro canal de comunicação compreende um serviço de envio de mensagem de telecomunicações.
16. Método de acordo com a reivindicação 1, caracterizado pelo fato de que o segundo canal de comunicação compreende uma rede de área local sem fio (WLAN).
17. Método de acordo com a reivindicação 1, caracterizado pelo fato de que a rede sem fio compreende uma rede de área local sem fio (WLAN).
18. Método de acordo com a reivindicação 1, caracterizado pelo fato de compreender adicionalmente prover um controlador de acesso através do qual o dispositivo terminal acessa a rede sem fio na etapa d)·
19. Método de acordo com a reivindicação 10, caracterizado pelo fato de compreender adicionalmente prover um controlador de acesso através do qual o dispositivo terminal acessa a rede sem fio na etapa d), e armazenar a base de dados de acesso no controlador de acesso.
20. Método de acordo com a reivindicação 1, caracterizado pelo fato de que na etapa a) o dispositivo confiável compreende um dispositivo de comunicações sem fio.
21. Método de acordo com a reivindicação 18, caracterizado pelo fato de que o dispositivo confiável compreende o controlador de acesso.
22. Método de acordo com a reivindicação 13, caracterizado pelo fato de que a etapa f) compreende revogar um segundo acesso do dispositivo terminal à rede sem fio.
23. Método de acordo com a reivindicação 13, caracterizado pelo fato de que a etapa f) compreende revogar todas as entradas de base de dados de acesso coincidindo com um ou mais critérios especificados.
24. Método de acordo com a reivindicação 23, caracterizado pelo fato de que um ou mais critérios especificados compreendem um tipo de grupo de dispositivo predefinido.
25. Método de acordo com a reivindicação 24, caracterizado pelo fato de que o tipo de grupo de dispositivo predefinido identifica um grupo de dispositivo correspondente a dispositivos convidados na rede sem fio.
26. Método de acordo com a reivindicação 23, caracterizado pelo fato de que o um ou mais critérios especificados compreendem um nome de dispositivo.
27. Sistema, caracterizado pelo fato de compreender: um primeiro dispositivo confiável por uma rede sem fio, citado primeiro dispositivo armazenando instruções executáveis para transmitir uma primeira chave a um segundo dispositivo, via um primeiro canal de comunicação; o segundo dispositivo não confiável pela rede sem fio, citado segundo dispositivo armazenando instruções executáveis para executar, via um segundo canal de comunicação, um protocolo de acordo de chave com um controlador de acesso da rede sem fio, para determinar uma segunda chave correspondente ao segundo dispositivo, onde o protocolo de acordo de chave autentica a segunda chave, usando a primeira chave; o controlador de acesso armazenar instruções executáveis para autenticar o segundo dispositivo usando a segunda chave, e para autorizar o segundo dispositivo a acessar a rede sem fio na autenticação bem sucedida.
28. Sistema de acordo com a reivindicação 27, caracterizado pelo fato de que a primeira chave é gerada como uma função de uma terceira chave e pelo menos uma outra variável.
29. Sistema de acordo com a reivindicação 28, caracterizado pelo fato de que a pelo menos uma variável compreende um dentre uma marcação de tempo, um número de seqüência, um nome de dispositivo, um tipo de dispositivo, uma categoria de dispositivo, um endereço de dispositivo, e um tempo de vida de entrada do dispositivo.
30. Sistema de acordo com a reivindicação 28, caracterizado pelo fato de que a primeira chave compreende uma chave de autenticação (AK), a segunda chave compreende uma chave pré- compartilhada (PSK) e a terceira chave compreende uma chave de autenticação original (OAK).
31. Sistema de acordo com a reivindicação 28, caracterizado pelo fato de que a pelo menos uma outra variável é transferida como parte do protocolo de acordo de chave.
32. Sistema de acordo com a reivindicação 28, caracterizado pelo fato de que o primeiro dispositivo e o controlador de acesso determinam a terceira chave via um protocolo de acordo de chave.
33. Sistema de acordo com a reivindicação 32, caracterizado pelo fato de que o primeiro dispositivo determina a terceira chave e transmite a terceira chave ao controlador de acesso.
34. Sistema de acordo com a reivindicação 32, caracterizado pelo fato de que o controlador de acesso determina a terceira chave e transmite a terceira chave ao primeiro dispositivo.
35. Sistema de acordo com a reivindicação 27, caracterizado pelo fato de que o controlador de acesso armazena adicionalmente instruções executáveis para armazenar uma entrada correspondente ao segundo dispositivo em uma base de dados de acesso da rede sem fio.
36. Sistema de acordo com a reivindicação 35, caracterizado pelo fato de que a entrada compreende informação recebida do segundo dispositivo.
37. Sistema de acordo com a reivindicação 35, caracterizado pelo fato de que o controlador de acesso armazena instruções executáveis para consultar a base de dados de acesso para a entrada correspondente ao segundo dispositivo, para determinar direitos de autenticação e acesso do segundo dispositivo.
38. Sistema de acordo com a reivindicação 35, caracterizado pelo fato de que o controlador de acesso armazena instruções executáveis para revogar o acesso do segundo dispositivo à rede sem fio, com base na informação armazenada na entrada da base de dados de acesso.
39. Sistema de acordo com a reivindicação 27, caracterizado pelo fato de que o primeiro canal de comunicação compreende um canal de comunicação de campo próximo (NFC).
40. Sistema de acordo com a reivindicação 27, caracterizado pelo fato de que o primeiro canal de comunicação compreende um serviço de envio de mensagem de telecomunicações.
41. Sistema de acordo com a reivindicação 27, caracterizado pelo fato de que o segundo canal de comunicação compreende uma rede de área local sem fio (WLAN).
42. Sistema de acordo com a reivindicação 27, caracterizado pelo fato de que a rede sem fio compreende uma rede de área local sem fio (WLAN).
43. Sistema de acordo com a reivindicação 27, caracterizado pelo fato de que o primeiro dispositivo compreende um dispositivo de comunicações sem fio.
44. Sistema de acordo com a reivindicação 27, caracterizado pelo fato de que o primeiro dispositivo compreende o controlador de acesso.
45. Sistema de acordo com a reivindicação 38, caracterizado pelo fato de que o controlador de acesso revoga o acesso do segundo dispositivo à rede sem fio, sem revogar o acesso de um terceiro terminal à rede sem fio.
46. Sistema de acordo com a reivindicação 38, caracterizado pelo fato de que o controlador de acesso revoga todas as entradas de base de dados de acesso coincidindo com um ou mais critérios especificados.
47. Sistema de acordo com a reivindicação 46, caracterizado pelo fato de que um ou mais critérios especificados compreendem um tipo de grupo de dispositivo predefinido.
48. Sistema de acordo com a reivindicação 47, caracterizado pelo fato de que o tipo de grupo de dispositivo predefinido identifica um grupo de dispositivo correspondente a dispositivos convidados na rede sem fio.
49. Sistema de acordo com a reivindicação 46, caracterizado pelo fato de que o um ou mais critérios especificados compreendem um nome de dispositivo.
50. Método para gerenciar acesso a uma rede sem fio por um dispositivo terminal, caracterizado pelo fato de que a rede sem fio inclui um canal de comunicação em-banda, compreendendo as etapas de: a) executar um protocolo de acordo de chave entre o dispositivo terminal e a rede sem fio via o canal de comunicação em-banda, para determinar uma primeira chave correspondente ao dispositivo terminal e autenticado comparando pelo menos uma parte de uma soma de verificação correspondente à primeira chave; b) autenticar o dispositivo terminal pela rede sem fio, usando a primeira chave; e c) autorizar o terminal a acessar a rede sem fio, na conclusão bem sucedida da etapa b).
51. Método de acordo com a reivindicação 50, caracterizado pelo fato de que a etapa a) compreende visualizar partes sucessivas da soma de verificação simultaneamente no dispositivo terminal e na rede sem fio.
52. Método de acordo com a reivindicação 50, caracterizado pelo fato de compreender adicionalmente revogar o acesso do dispositivo terminal à rede sem fio, com base na informação correspondente ao terminal, armazenada na base de dados de acesso.
53. Método de acordo com a reivindicação 52, caracterizado pelo fato de que a etapa de revogar compreende remover os direitos de acesso de um terminal cuja entrada é a mais recente na base de dados do controlador de acesso de acordo com uma única ação do usuário.
54. Método de acordo com a reivindicação 53, caracterizado pelo fato de que a etapa de revogar é iniciada recebendo entrada de usuário no controlador de acesso da rede sem fio.
55. Método de acordo com a reivindicação 54, caracterizado pelo fato de que a entrada de usuário compreende detectar que um usuário pressionou um botão predefinido de uma maneira predefinida em um controlador de acesso.
56. Um ou mais meios legíveis por computador, caracterizado(s) pelo fato de armazenar(em) instruções executáveis em computador para executar o método como definido na reivindicação 50.
57. Método para gerenciar acesso a uma rede sem fio por um dispositivo terminal, caracterizado pelo fato de compreender as etapas de: a) o dispositivo terminal receber uma primeira chave de um dispositivo confiável da rede sem fio, via um primeiro canal de comunicação; b) enviar uma requisição para um protocolo de acordo de chave para a rede sem fio; c) executar o protocolo de acordo de chave para determinar uma segunda chave correspondente à rede sem fio autenticada usando a primeira chave; e) transmitir uma requisição para juntar-se à rede sem fio, onde a requisição compreende informação de autenticação com base na segunda chave; e f) receber confirmação para a requisição de junção.
58. Um ou mais meios legíveis por computador, caracterizado(s) pelo fato de armazenar(em) instruções executáveis em computador para executar o método como definido na reivindicação 57.
59. Terminal móvel, caracterizado pelo fato de compreender: uma memória armazenando instruções executáveis por computador para executar um método para acessar uma rede sem fio, citado método compreendendo as etapas de: a) o dispositivo terminal receber uma primeira chave de um dispositivo confiável da rede sem fio, via um primeiro canal de comunicação; d) enviar uma requisição para um protocolo de acordo de chave para a rede sem fio; e) executar o protocolo de acordo de chave para determinar uma segunda chave correspondente à rede sem fio autenticada usando a primeira chave; g) transmitir uma requisição para juntar-se à rede sem fio, onde a requisição compreende informação de autenticação com base na segunda chave; e h) receber confirmação para a requisição de junção.
60. Método para gerenciar acesso a uma rede sem fio por um controlador de acesso, caracterizado pelo fato de compreender as etapas de: a) transmitir uma primeira chave de autenticação a um dispositivo terminal, via um primeiro canal de comunicação; b) receber uma requisição para um protocolo de acordo de chave a partir do dispositivo terminal; c) executar o protocolo de acordo de chave para determinar uma segunda chave correspondente ao dispositivo terminal, e autenticado usando a primeira chave; d) receber uma requisição do dispositivo terminal para juntar- se à rede sem fio; e) autenticar a requisição usando a segunda chave; e f) autorizar o terminal a acessar a rede sem fio usando um segundo canal de comunicação na conclusão bem sucedida da etapa e).
61. Um ou mais meios legíveis por computador, caracterizadofs) pelo fato de armazenar(em) instruções executáveis em computador para executar o método como definido na reivindicação 60.
62. Dispositivo de controle de acesso, caracterizado pelo fato de compreender: uma memória armazenando instruções executáveis por computador para executar um método para acessar uma rede sem fio pelo controlador de acesso, citado método compreendendo as etapas de: a) transmitir uma primeira chave de autenticação a um dispositivo terminal, via um primeiro canal de comunicação; b) receber uma requisição para um protocolo de acordo de chave a partir do dispositivo terminal; c) executar o protocolo de acordo de chave para determinar uma segunda chave correspondente ao dispositivo terminal, e autenticado usando a primeira chave; d) receber uma requisição do dispositivo terminal para juntar- se à rede sem fio; e) autenticar a requisição usando a segunda chave; e f) autorizar o terminal a acessar a rede sem fio usando um segundo canal de comunicação na conclusão bem sucedida da etapa e).
63. Método para um dispositivo confiável gerenciar acesso a uma rede sem fio por um dispositivo terminal não confiável, caracterizado pelo fato de compreender etapas de: a) compartilhar uma primeira chave com uma rede sem fio possuindo um controlador de acesso; b) escolher um valor para pelo menos uma variável; c) gerar uma segunda chave com base em uma função da primeira chave e pelo menos uma variável; e d) transmitir a segunda chave ao dispositivo terminal não confiável via um primeiro canal de comunicação.
64. Um ou mais meios legíveis por computador, caracterizado(s) pelo fato de armazenar(em) instruções executáveis em computador para executar o método como definido na reivindicação 63.
65. Terminal móvel, caracterizado pelo fato de compreender: uma memória armazenando instruções executáveis por computador para executar um método para acessar uma rede sem fio pelo controlador de acesso, citado método compreendendo as etapas de: a) compartilhar uma primeira chave com uma rede sem fio possuindo um controlador de acesso; b) escolher um valor para pelo menos uma variável; c) gerar uma segunda chave com base em uma função da primeira chave e pelo menos uma variável; e d) transmitir a segunda chave ao dispositivo terminal não confiável via um primeiro canal de comunicação.
66. Método para gerenciar o acesso a uma rede sem fio por um controlador de acesso, caracterizado pelo fato de compreender as etapas de: a) compartilhar uma primeira chave com um dispositivo confiável; b) receber uma requisição para um protocolo de acordo de chave de um dispositivo terminal não confiável; c) executar o protocolo de acordo de chave para determinar uma segunda chave correspondente ao dispositivo terminal, citado protocolo de acordo de chave compreendendo i. receber uma ou mais variáveis do dispositivo terminal, ii. gerar a segunda chave baseado em uma função da primeira chave e uma ou mais variáveis, e iii. autenticar a segunda chave determinado usando a primeira chave; d) receber uma requisição do dispositivo terminal para juntar- se à rede sem fio; e) autenticar a requisição da etapa d) usando a segunda chave; f) autorizar o dispositivo terminal a acessar a rede sem fio na conclusão bem sucedida da etapa e).
67. Um ou mais meios legíveis por computador, caracterizado(s) pelo fato de armazenar(em) instruções executáveis em computador para executar o método como definido na reivindicação 66.
68. Dispositivo de controle de acesso, caracterizado pelo fato de compreender: uma memória armazenando instruções executáveis por computador para executar um método para gerenciar o acesso a uma rede sem fio, citado método compreendendo as etapas de: a) compartilhar uma primeira chave com um dispositivo confiável; b) receber uma requisição para um protocolo de acordo de chave de um dispositivo terminal não confiável; c) executar o protocolo de acordo de chave para determinar uma segunda chave correspondente ao dispositivo terminal, citado protocolo de acordo de chave compreendendo i. receber uma ou mais variáveis do dispositivo terminal, ii. gerar a segunda chave baseado em uma função da primeira chave e uma ou mais variáveis, e iii. autenticar a segunda chave determinado usando a primeira chave; d) receber uma requisição do dispositivo terminal para juntar- se à rede sem fio; e) autenticar a requisição da etapa d) usando a segunda chave; f) autorizar o dispositivo terminal a acessar a rede sem fio na conclusão bem sucedida da etapa e).
BRPI0609971-8A 2005-04-04 2006-03-30 Método para gerenciar o acesso a uma rede sem fio por um dispositivo terminal e dispositivo de controle de acesso BRPI0609971B1 (pt)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US66766105P 2005-04-04 2005-04-04
US60/667661 2005-04-04
US67380605P 2005-04-22 2005-04-22
US60/673806 2005-04-22
US11/169,328 US8532304B2 (en) 2005-04-04 2005-06-29 Administration of wireless local area networks
US11/169328 2005-06-29
PCT/IB2006/000695 WO2006106393A2 (en) 2005-04-04 2006-03-30 Access management in a wireless local area network

Publications (2)

Publication Number Publication Date
BRPI0609971A2 true BRPI0609971A2 (pt) 2011-10-11
BRPI0609971B1 BRPI0609971B1 (pt) 2019-03-06

Family

ID=37073825

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0609971-8A BRPI0609971B1 (pt) 2005-04-04 2006-03-30 Método para gerenciar o acesso a uma rede sem fio por um dispositivo terminal e dispositivo de controle de acesso

Country Status (8)

Country Link
US (1) US8532304B2 (pt)
EP (1) EP1875659B1 (pt)
JP (1) JP5005674B2 (pt)
KR (1) KR100996872B1 (pt)
CN (1) CN101167305B (pt)
BR (1) BRPI0609971B1 (pt)
WO (1) WO2006106393A2 (pt)
ZA (1) ZA200708722B (pt)

Families Citing this family (215)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1615381A1 (en) * 2004-07-07 2006-01-11 Thomson Multimedia Broadband Belgium Device and process for wireless local area network association
US7292198B2 (en) 2004-08-18 2007-11-06 Ruckus Wireless, Inc. System and method for an omnidirectional planar antenna apparatus with selectable elements
US7193562B2 (en) 2004-11-22 2007-03-20 Ruckus Wireless, Inc. Circuit board having a peripheral antenna apparatus with selectable antenna elements
US7358912B1 (en) 2005-06-24 2008-04-15 Ruckus Wireless, Inc. Coverage antenna apparatus with selectable horizontal and vertical polarization elements
US7893882B2 (en) 2007-01-08 2011-02-22 Ruckus Wireless, Inc. Pattern shaping of RF emission patterns
KR100643325B1 (ko) * 2005-02-18 2006-11-10 삼성전자주식회사 네트워크 및 그의 도메인 설정방법
US8532304B2 (en) 2005-04-04 2013-09-10 Nokia Corporation Administration of wireless local area networks
US7822972B2 (en) * 2005-04-05 2010-10-26 Mcafee, Inc. Remotely configurable bridge system and method for use in secure wireless networks
US7757274B2 (en) * 2005-04-05 2010-07-13 Mcafee, Inc. Methods and systems for exchanging security information via peer-to-peer wireless networks
US7606370B2 (en) * 2005-04-05 2009-10-20 Mcafee, Inc. System, method and computer program product for updating security criteria in wireless networks
US7761710B2 (en) * 2005-04-05 2010-07-20 Mcafee, Inc. Captive portal system and method for use in peer-to-peer networks
US7561694B1 (en) * 2005-04-18 2009-07-14 Sun Microsystems, Inc. Session mobility for wireless devices
EP1752937A1 (en) * 2005-07-29 2007-02-14 Research In Motion Limited System and method for encrypted smart card PIN entry
US8295851B2 (en) 2005-08-03 2012-10-23 Michael Edward Finnegan Realtime, interactive and geographically defined computerized personal matching systems and methods
US8880047B2 (en) 2005-08-03 2014-11-04 Jeffrey C. Konicek Realtime, location-based cell phone enhancements, uses, and applications
US7916869B2 (en) * 2005-09-01 2011-03-29 Sharp Laboratories Of America, Inc. System and method for automatic setup of a network device with secure network transmission of setup parameters using a standard remote control
US7609837B2 (en) * 2005-09-01 2009-10-27 Sharp Laboratories Of America, Inc. System and method for automatic setup of a network device with secure network transmission of setup parameters
EP1929821B1 (en) * 2005-09-16 2009-12-16 Koninklijke Philips Electronics N.V. Spectrum management in dynamic spectrum access wireless systems
JP4506658B2 (ja) * 2005-11-30 2010-07-21 ソニー株式会社 無線通信システム,通信装置,設定情報提供方法,設定情報取得方法,およびコンピュータプログラム
WO2007064822A2 (en) 2005-12-01 2007-06-07 Ruckus Wireless, Inc. On-demand services by wireless base station virtualization
KR101263392B1 (ko) * 2006-01-09 2013-05-21 삼성전자주식회사 홈네트워크 원격 제어기의 비밀키를 이용한 소유권 공유방법 및 장치
US20070192833A1 (en) * 2006-01-27 2007-08-16 Arcadyan Technology Corporation System and method for configuring an electronic device to access to a wireless local area network
JP4682052B2 (ja) * 2006-02-10 2011-05-11 キヤノン株式会社 通信装置、通信方法、通信装置の制御方法並びに通信システム
US7822406B2 (en) * 2006-04-21 2010-10-26 Cisco Technology, Inc. Simplified dual mode wireless device authentication apparatus and method
EP2013758B1 (en) 2006-04-24 2016-08-03 Ruckus Wireless, Inc. Dynamic authentication in secured wireless networks
US9071583B2 (en) 2006-04-24 2015-06-30 Ruckus Wireless, Inc. Provisioned configuration for automatic wireless connection
US9769655B2 (en) 2006-04-24 2017-09-19 Ruckus Wireless, Inc. Sharing security keys with headless devices
ES2831604T3 (es) * 2006-07-07 2021-06-09 Hoffmann La Roche Dispositivo de administración de fluidos y procedimientos de funcionamiento del mismo
US8112794B2 (en) 2006-07-17 2012-02-07 Research In Motion Limited Management of multiple connections to a security token access device
JP4921064B2 (ja) * 2006-07-31 2012-04-18 キヤノン株式会社 通信装置、通信方法、通信装置を制御するためのプログラム及びプログラムを格納した記憶媒体
JP4953736B2 (ja) * 2006-09-06 2012-06-13 パナソニック株式会社 無線通信システム
FR2906952B1 (fr) * 2006-10-05 2009-02-27 Inside Contactless Sa Procede d'authentification mutuelle entre une interface de communication et un processeur hote d'un chipset nfc.
JP4886463B2 (ja) 2006-10-20 2012-02-29 キヤノン株式会社 通信パラメータ設定方法、通信装置及び通信パラメータを管理する管理装置
TWI321927B (en) * 2006-11-03 2010-03-11 Asustek Comp Inc Wireless local area network (wlan) system and related method, station, and access point
US11783925B2 (en) 2006-12-29 2023-10-10 Kip Prod P1 Lp Multi-services application gateway and system employing the same
US8397264B2 (en) 2006-12-29 2013-03-12 Prodea Systems, Inc. Display inserts, overlays, and graphical user interfaces for multimedia systems
US20170344703A1 (en) 2006-12-29 2017-11-30 Kip Prod P1 Lp Multi-services application gateway and system employing the same
US8179805B2 (en) * 2007-01-19 2012-05-15 Samsung Electronics Co., Ltd. Method and system for wireless communication by spatial reuse
US8509159B2 (en) * 2007-01-19 2013-08-13 Samsung Electronics Co., Ltd. Method and system for wireless communication using out-of-band channels
US8503968B2 (en) * 2007-01-19 2013-08-06 Samsung Electronics Co., Ltd. Method and system for power saving in wireless communications
US8135400B2 (en) 2007-01-19 2012-03-13 Samsung Electronics Co., Ltd. Method and system for device discovery in wireless communication
US8699421B2 (en) * 2007-01-19 2014-04-15 Samsung Electronics Co., Ltd. Method and system for wireless communication using channel selection and bandwidth reservation
US20080177886A1 (en) * 2007-01-19 2008-07-24 Samsung Electronics Co., Ltd. Method and system for connection setup in wireless communications
US8522019B2 (en) * 2007-02-23 2013-08-27 Qualcomm Incorporated Method and apparatus to create trust domains based on proximity
JP4877032B2 (ja) 2007-04-19 2012-02-15 ソニー株式会社 無線通信装置、無線通信方法およびプログラム
US8948046B2 (en) 2007-04-27 2015-02-03 Aerohive Networks, Inc. Routing method and system for a wireless network
US20080300750A1 (en) * 2007-05-30 2008-12-04 Davis Terry L Control channel for vehicle systems using the vehicle's power distribution system
US7809812B2 (en) * 2007-06-15 2010-10-05 Sony Corporation System and method for network setup of wireless device at point of sale
ES2805954T3 (es) * 2007-07-20 2021-02-16 Nokia Technologies Oy Uso compartido de información en un espacio inteligente
US8542665B2 (en) * 2007-08-06 2013-09-24 Sony Corporation System and method for network setup of wireless device through a single interface
US9692888B2 (en) 2007-08-06 2017-06-27 Sony Electronics Inc. System and method for network setup of wireless device for home network
US7957528B2 (en) * 2007-08-21 2011-06-07 Sony Corporation Near field registration of home system audio-video device
KR100919864B1 (ko) * 2007-09-07 2009-09-30 연세대학교 산학협력단 네트워크 코딩을 이용한 키 분배 방법, 키 분배 장치 및네트워크 통신 시스템 그리고 상기 방법을 수행하는프로그램이 기록된 기록 매체
EP2191683A4 (en) * 2007-09-10 2011-10-05 Theodore R Rappaport CLEARINGHOUSE SYSTEM FOR DETERMINING AVAILABLE NETWORK DEVICES
JP5301131B2 (ja) * 2007-09-27 2013-09-25 京セラ株式会社 無線通信端末およびその制御方法
US8380169B2 (en) * 2007-10-12 2013-02-19 Qualcomm Incorporated System and method for enabling transaction of femto cell information from a host terminal device to a guest terminal device
JP5160191B2 (ja) * 2007-10-30 2013-03-13 京セラ株式会社 無線通信端末およびその制御方法
DE102007056788A1 (de) * 2007-11-23 2009-06-10 T-Mobile Internationale Ag Verfahren zum Zugang zu geschlossenen Gruppen in Radiozugangsnetzen
DE102007058213B4 (de) 2007-11-30 2021-10-07 Deutsche Telekom Ag Verfahren und System zur geschützten Übertragung von Mediendaten in einem Netzwerk
US9246679B2 (en) 2007-12-28 2016-01-26 Intel Corporation Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks
JP5279296B2 (ja) * 2008-02-22 2013-09-04 キヤノン株式会社 通信装置、通信方法、プログラム、記憶媒体
WO2009105115A2 (en) * 2008-02-22 2009-08-27 T-Mobile Usa, Inc. Data exchange initiated by tapping devices
DE102008020832B3 (de) * 2008-04-25 2009-11-19 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Konzept zur effizienten Verteilung einer Zugangsberechtigungsinformation
US8218502B1 (en) 2008-05-14 2012-07-10 Aerohive Networks Predictive and nomadic roaming of wireless clients across different network subnets
KR101405914B1 (ko) 2008-07-23 2014-06-12 삼성전자주식회사 디바이스를 ap에 등록하는 방법 및 그 장치
WO2010035100A1 (en) * 2008-09-25 2010-04-01 Nokia Corporation Synchronization for device-to-device communication
US20100087164A1 (en) * 2008-10-05 2010-04-08 Sony Ericsson Mobile Communications Ab Wlan set up using phone number identification apparatus and method
US9674892B1 (en) 2008-11-04 2017-06-06 Aerohive Networks, Inc. Exclusive preshared key authentication
US8898474B2 (en) * 2008-11-04 2014-11-25 Microsoft Corporation Support of multiple pre-shared keys in access point
US8483194B1 (en) 2009-01-21 2013-07-09 Aerohive Networks, Inc. Airtime-based scheduling
JP5278017B2 (ja) * 2009-02-10 2013-09-04 セイコーエプソン株式会社 ネットワーク接続制御システム及び方法
US8217843B2 (en) 2009-03-13 2012-07-10 Ruckus Wireless, Inc. Adjustment of radiation patterns utilizing a position sensor
CN102422552B (zh) * 2009-03-26 2016-05-04 Xped控股股份有限公司 设备间无线通信管理方案
US9900251B1 (en) 2009-07-10 2018-02-20 Aerohive Networks, Inc. Bandwidth sentinel
US11115857B2 (en) 2009-07-10 2021-09-07 Extreme Networks, Inc. Bandwidth sentinel
US20110028091A1 (en) * 2009-08-03 2011-02-03 Motorola, Inc. Method and system for near-field wireless device pairing
US8650613B2 (en) * 2009-11-17 2014-02-11 Red Hat, Inc. Simplified pairing for wireless devices
US8955054B2 (en) * 2010-01-06 2015-02-10 Qualcomm Incorporated Method and apparatus for providing simultaneous support for multiple master keys at an access point in a wireless communication system
US8447970B2 (en) * 2010-02-09 2013-05-21 Microsoft Corporation Securing out-of-band messages
CN101815288A (zh) * 2010-02-25 2010-08-25 苏州汉明科技有限公司 用户和无线接入点间通过e-card进行接入加密保护的方法
CN102195930B (zh) * 2010-03-02 2014-12-10 华为技术有限公司 设备间安全接入方法和通信设备
US9000914B2 (en) 2010-03-15 2015-04-07 Welch Allyn, Inc. Personal area network pairing
US9237172B2 (en) * 2010-05-25 2016-01-12 Qualcomm Incorporated Application notification and service selection using in-band signals
DE102010017108A1 (de) * 2010-05-27 2012-03-22 Derek Tunney Erkennung unsicherer Datenverbindungen in einem Datennetzwerk
CN101873719A (zh) * 2010-05-31 2010-10-27 华为终端有限公司 一种配置wifi参数的方法、装置及系统
KR101640772B1 (ko) * 2010-06-10 2016-07-19 삼성전자주식회사 무선 전력 수신기의 송전 영역 유도 장치 및 방법
US8957777B2 (en) 2010-06-30 2015-02-17 Welch Allyn, Inc. Body area network pairing improvements for clinical workflows
US8907782B2 (en) 2010-06-30 2014-12-09 Welch Allyn, Inc. Medical devices with proximity detection
US9002277B2 (en) 2010-09-07 2015-04-07 Aerohive Networks, Inc. Distributed channel selection for wireless networks
JP5489228B2 (ja) * 2010-09-21 2014-05-14 Necシステムテクノロジー株式会社 無線接続設定装置、無線接続設定方法および無線接続設定プログラム
US8462734B2 (en) 2010-10-20 2013-06-11 Nokia Corporation Wireless docking with out-of-band initiation
US20120110640A1 (en) * 2010-11-02 2012-05-03 Donelson Loren J Method, apparatus and system for wireless network authentication through social networking
JP5494829B2 (ja) * 2010-12-28 2014-05-21 富士通株式会社 鍵設定方法、ノード、およびネットワークシステム
JP5494828B2 (ja) * 2010-12-28 2014-05-21 富士通株式会社 鍵設定方法、ノード、サーバ、およびネットワークシステム
JP5423907B2 (ja) 2010-12-28 2014-02-19 富士通株式会社 鍵設定方法、ノード、サーバ、およびネットワークシステム
US20120170559A1 (en) * 2011-01-05 2012-07-05 Feinberg Eugene M Method and system for out-of-band delivery of wireless network credentials
BR112013020003A2 (pt) * 2011-02-09 2017-08-29 Koninklijke Philips Nv Sistema médico e método
EP2681944B1 (en) * 2011-03-01 2020-04-08 Koninklijke Philips N.V. Method for enabling a wireless secured communication among devices
US8554970B2 (en) 2011-04-18 2013-10-08 Nokia Corporation Method, apparatus and computer program product for creating a wireless docking group
WO2012151224A2 (en) 2011-05-01 2012-11-08 Ruckus Wireless, Inc. Remote cable access point reset
CN103503500B (zh) * 2011-05-02 2018-08-10 皇家飞利浦有限公司 用于ieee 802.15.4j标准化的mban信道使用调节方案和自适应信道化
MX340010B (es) 2011-05-27 2016-06-22 Nokia Technologies Oy Metodo y aparato para compartir ajustes de conectividad a traves de redes sociales.
CN102843660B (zh) * 2011-06-22 2017-11-24 中兴通讯股份有限公司 一种实现端到端安全呼叫转移的方法及系统
US8650622B2 (en) * 2011-07-01 2014-02-11 Telefonaktiebolaget Lm Ericsson (Publ) Methods and arrangements for authorizing and authentication interworking
KR101276861B1 (ko) 2011-07-27 2013-06-18 엘지전자 주식회사 가전제품 및 이를 포함하여 이루어지는 온라인 시스템
KR101276857B1 (ko) 2011-07-27 2013-06-18 엘지전자 주식회사 가전제품 및 이를 포함하여 이루어지는 온라인 시스템
US9288228B2 (en) 2011-08-05 2016-03-15 Nokia Technologies Oy Method, apparatus, and computer program product for connection setup in device-to-device communication
WO2013024922A1 (ko) * 2011-08-17 2013-02-21 엘지전자 주식회사 전자기기 및 전자기기의 동작 방법
KR101819510B1 (ko) 2011-08-22 2018-01-17 엘지전자 주식회사 세탁장치 및 이를 포함하여 이루어지는 온라인 시스템
US8813194B2 (en) * 2011-10-27 2014-08-19 At&T Intellectual Property I, L.P. Enabling access to a secured wireless local network without user input of a network password
US10091065B1 (en) 2011-10-31 2018-10-02 Aerohive Networks, Inc. Zero configuration networking on a subnetted network
CN103118363B (zh) * 2011-11-17 2016-07-27 中国电信股份有限公司 一种互传秘密信息的方法、系统、终端设备及平台设备
KR101885182B1 (ko) * 2011-12-16 2018-08-06 에이치피프린팅코리아 주식회사 화상형성장치, 화상형성장치의 관리 방법 및 기록 매체
US9628585B2 (en) * 2011-12-27 2017-04-18 Intel Corporation Systems and methods for cross-layer secure connection set up
KR101844211B1 (ko) * 2011-12-28 2018-05-15 삼성전자주식회사 가전기기의 네트워크 시스템 및 그 네트워크 설정 방법
US8589674B2 (en) * 2012-01-13 2013-11-19 General Instrument Corporation Revocation list update for devices
WO2013114434A1 (ja) * 2012-01-31 2013-08-08 パナソニック株式会社 端末装置、無線ネットワークシステム、及び、アクセスポイントに端末装置を接続する方法
US8756668B2 (en) 2012-02-09 2014-06-17 Ruckus Wireless, Inc. Dynamic PSK for hotspots
US10186750B2 (en) 2012-02-14 2019-01-22 Arris Enterprises Llc Radio frequency antenna array with spacing element
US9634403B2 (en) 2012-02-14 2017-04-25 Ruckus Wireless, Inc. Radio frequency emission pattern shaping
US9092610B2 (en) 2012-04-04 2015-07-28 Ruckus Wireless, Inc. Key assignment for a brand
CN103379477B (zh) * 2012-04-18 2016-03-09 深圳紫煌网络科技有限公司 对无线设备进行网络配置的方法、装置、无线设备及终端
EP2842360A4 (en) * 2012-04-26 2015-12-23 Nokia Technologies Oy METHOD AND DEVICE FOR COMMON PARAMETER UTILIZATION FOR WIRELESS NETWORK ACCESS
WO2013160525A1 (en) * 2012-04-26 2013-10-31 Nokia Corporation Method and apparatus for controlling wireless network access parameter sharing
CN102711282B (zh) * 2012-05-21 2015-12-16 浙江优诺肯科技有限公司 实现无输入无线设备接入网络的方法及无输入无线设备
US9497623B2 (en) * 2012-05-25 2016-11-15 Nokia Technologies Oy Method and apparatus for guest access sharing
CN104769864B (zh) 2012-06-14 2018-05-04 艾诺威网络有限公司 多播到单播转换技术
US8804964B2 (en) * 2012-06-18 2014-08-12 Htc Corporation Access control method and related wireless communication system
US9258704B2 (en) * 2012-06-27 2016-02-09 Advanced Messaging Technologies, Inc. Facilitating network login
WO2014001608A1 (en) * 2012-06-29 2014-01-03 Nokia Corporation Method and apparatus for access parameter sharing
WO2014009391A1 (en) * 2012-07-13 2014-01-16 Telefonica, S.A. A method and a system for transferring access point passwords
CN102883315A (zh) * 2012-08-28 2013-01-16 中兴通讯股份有限公司 无线保真鉴权方法、系统及终端
US9258712B2 (en) * 2012-09-04 2016-02-09 Nokia Technologies Oy Method, apparatus, and computer program product for sharing wireless network configurations
KR101797493B1 (ko) 2012-09-06 2017-11-15 엘지전자 주식회사 가전제품 및 이를 포함하여 이루어지는 온라인 시스템
KR20140032262A (ko) 2012-09-06 2014-03-14 엘지전자 주식회사 가전제품 및 이를 포함하여 이루어지는 온라인 시스템
KR101289545B1 (ko) * 2012-09-26 2013-07-24 사단법인 금융결제원 근접 통신을 이용한 전자화폐 결제 방법 및 이를 위한 휴대단말
RU2659488C2 (ru) * 2012-10-15 2018-07-02 Конинклейке Филипс Н.В. Система беспроводной связи
KR102025754B1 (ko) 2012-11-01 2019-09-26 삼성전자주식회사 와이파이 네트워크를 이용한 디바이스 연결 시스템 및 방법
KR102068746B1 (ko) * 2012-12-26 2020-02-11 삼성전자주식회사 서비스 제공 단말에 연결하는 방법 및 그 장치
WO2014104752A1 (en) * 2012-12-26 2014-07-03 Samsung Electronics Co., Ltd. Service providing terminal connection method and apparatus
KR20140087829A (ko) * 2012-12-31 2014-07-09 삼성전자주식회사 촬상 장치가 이동 통신 단말로부터 연결 정보를 수신하는 방법, 상기 방법을 기록한 컴퓨터 판독 가능 저장매체 및 디지털 영상 장치
US9277401B2 (en) * 2013-01-22 2016-03-01 Qualcomm Incorporated Device utilizing an optical signal to access an access point
US9277402B2 (en) * 2013-03-06 2016-03-01 Qualcomm Incorporated Systems and methods for secure high-speed link maintenance via NFC
US9351158B2 (en) * 2013-03-08 2016-05-24 Microchip Technology Incorporated Method for wireless easy connect
US9413772B2 (en) 2013-03-15 2016-08-09 Aerohive Networks, Inc. Managing rogue devices through a network backhaul
US10389650B2 (en) 2013-03-15 2019-08-20 Aerohive Networks, Inc. Building and maintaining a network
US9344185B2 (en) 2013-03-27 2016-05-17 BBPOS Limited System and method for secure pairing of bluetooth devices
KR102014716B1 (ko) * 2013-04-24 2019-08-27 삼성전자주식회사 대역외 채널을 이용한 무선 연결 방법, 저장 매체 및 전자 장치
US20140337957A1 (en) * 2013-05-07 2014-11-13 Dannie Gerrit Feekes Out-of-band authentication
CN103309307B (zh) * 2013-05-15 2016-03-02 重庆邮电大学 一种基于对象访问控制的智能家电控制方法
JP6244310B2 (ja) * 2013-05-22 2017-12-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 無線接続認証方法及びサーバ
CN103313430A (zh) * 2013-06-07 2013-09-18 杭州爱纬斯电子有限公司 一种用移动终端通过WiFi配置入网设备的WiFi连接方法及相关设备
US20140380443A1 (en) * 2013-06-24 2014-12-25 Cambridge Silicon Radio Limited Network connection in a wireless communication device
CN104378835A (zh) * 2013-08-13 2015-02-25 华为终端有限公司 接入网络的预约处理方法及终端
KR102016692B1 (ko) 2013-08-28 2019-09-02 삼성전자 주식회사 무선 랜 시스템에서 액세스 포인트에 연결하기 위한 방법 및 그 전자 장치
DE102013219054A1 (de) * 2013-09-23 2015-03-26 BSH Bosch und Siemens Hausgeräte GmbH Verfahren zum Anbinden eines Haushaltsgeräts an ein drahtloses Heimnetzwerk, Computerprogrammprodukt, tragbares Kommunikationsendgerät und Haushaltsgerät
US9578025B2 (en) * 2013-10-14 2017-02-21 Zumigo, Inc. Mobile network-based multi-factor authentication
US9497787B2 (en) 2013-11-25 2016-11-15 Nokia Technologies Oy Method, apparatus, and computer program product for managing concurrent connections between wireless dockee devices in a wireless docking environment
JP6260272B2 (ja) * 2013-12-27 2018-01-17 ブラザー工業株式会社 情報処理プログラム、情報処理装置、および情報処理装置の制御方法
KR102218295B1 (ko) * 2014-02-06 2021-02-22 삼성전자주식회사 가전 기기, 가전 기기의 네트워크 연결 시스템 및 가전 기기의 네트워크 연결 방법
US20150235046A1 (en) * 2014-02-14 2015-08-20 Canon Kabushiki Kaisha Operation terminal apparatus for manufacturing apparatus, and manufacturing system including the same
KR102318279B1 (ko) * 2014-02-18 2021-10-28 삼성전자주식회사 무선 통신 시스템에서 인증 정보 송수신 방법 및 장치
US9525664B2 (en) * 2014-02-28 2016-12-20 Symantec Corporation Systems and methods for providing secure access to local network devices
CN104935426B (zh) * 2014-03-21 2018-11-30 华为技术有限公司 密钥协商方法、用户设备和近距离通信控制网元
FR3020910B1 (fr) 2014-05-07 2016-07-22 Airbus Operations Sas Systeme de connexion d'un dispositif mobile a un reseau sans fil d'un aeronef
WO2015175436A1 (en) * 2014-05-12 2015-11-19 Flir Systems, Inc. Proximity-based camera configuration
US9667625B2 (en) * 2014-07-10 2017-05-30 Ricoh Company, Ltd. Access control method, authentication method, and authentication device
US9779401B2 (en) 2014-08-19 2017-10-03 Qualcomm Incorporated Network access authentication using a point-of-sale device
US10623956B2 (en) 2014-08-21 2020-04-14 Hewlett-Packard Development Company, L.P. Request for network credential
CN104244455A (zh) * 2014-09-01 2014-12-24 小米科技有限责任公司 无线局域网络的接入信息的分享方法和装置
FR3029046A1 (fr) 2014-11-20 2016-05-27 Orange Procede de configuration d'un equipement multimedia destine a etre connecte a un equipement d'interconnexion
CN104486759B (zh) * 2014-12-15 2018-11-23 北京极科极客科技有限公司 一种无障碍接入无线网络的方法
JP6470966B2 (ja) * 2014-12-24 2019-02-13 株式会社東芝 通信装置、サーバ装置、通信方法およびプログラム
JP6525592B2 (ja) * 2015-01-06 2019-06-05 キヤノン株式会社 通信装置、制御方法、及びプログラム
US9402182B1 (en) * 2015-01-16 2016-07-26 Honeywell International Inc. Automated distribution of logon credentials for establishing wireless connectivity of electronic flight bag (EFB)
US9742780B2 (en) 2015-02-06 2017-08-22 Microsoft Technology Licensing, Llc Audio based discovery and connection to a service controller
US9660999B2 (en) 2015-02-06 2017-05-23 Microsoft Technology Licensing, Llc Discovery and connection to a service controller
US10172081B2 (en) * 2015-03-10 2019-01-01 Ricoh Company, Ltd. Information processing system and information processing method
CN104639566A (zh) * 2015-03-10 2015-05-20 四川省宁潮科技有限公司 基于带外身份认证的交易授权方法
JP6819046B2 (ja) * 2015-03-10 2021-01-27 株式会社リコー 情報処理システム及び情報処理方法
US10313217B2 (en) 2015-03-13 2019-06-04 Samsung Electronics Co., Ltd. System on chip (SoC) capable of sharing resources with network device and devices having the SoC
DE102015106742A1 (de) * 2015-04-30 2016-11-03 Deutsche Telekom Ag Ansteuerung von Funktionen der Hausautomation
US10097529B2 (en) 2015-05-01 2018-10-09 Samsung Electronics Co., Ltd. Semiconductor device for controlling access right to server of internet of things device and method of operating the same
US10375088B2 (en) * 2015-06-04 2019-08-06 Vm-Robot, Inc. Routing systems and methods
US11259180B2 (en) * 2015-06-04 2022-02-22 Vm-Robot, Inc. Routing systems and methods
CN105120075B (zh) * 2015-07-20 2018-11-09 联想(北京)有限公司 一种生成连接列表的方法、电子设备及电子装置
US9843929B2 (en) * 2015-08-21 2017-12-12 Afero, Inc. Apparatus and method for sharing WiFi security data in an internet of things (IoT) system
CN105243318B (zh) * 2015-08-28 2020-07-31 小米科技有限责任公司 确定用户设备控制权限的方法、装置及终端设备
US20170064760A1 (en) * 2015-08-28 2017-03-02 Qualcomm Incorporated Assisted wireless connection setup
US10602334B2 (en) * 2015-09-29 2020-03-24 The Coca-Cola Company Dispenser connectivity
CN105430761B (zh) * 2015-10-30 2018-12-11 小米科技有限责任公司 建立无线网络连接的方法、装置及系统
US10805344B2 (en) 2015-12-14 2020-10-13 Afero, Inc. Apparatus and method for obscuring wireless communication patterns
JP6184580B1 (ja) * 2016-01-29 2017-08-23 キヤノン株式会社 情報処理装置、制御方法およびプログラム
JP6619682B2 (ja) 2016-03-31 2019-12-11 キヤノン株式会社 情報処理装置、制御方法およびプログラム
MY181840A (en) * 2016-11-04 2021-01-08 Thomson Licensing Devices and methods for client device authentication
CN108667780B (zh) 2017-03-31 2021-05-14 华为技术有限公司 一种身份认证的方法、系统及服务器和终端
US9794965B1 (en) * 2017-06-05 2017-10-17 Chengfu Yu Autonomous and remote pairing of internet of things devices utilizing a cloud service
EP3656145B1 (en) * 2017-07-17 2023-09-06 Sonova AG Encrypted audio streaming
US10574664B2 (en) * 2017-08-04 2020-02-25 Dish Network L.L.C. Device zoning in a network gateway device
US11051169B2 (en) * 2017-08-16 2021-06-29 Juniper Networks, Inc. Methods and apparatus for performing access and/or forwarding control in wireless networks such as WLANS
CN107967639A (zh) * 2017-08-30 2018-04-27 上海连尚网络科技有限公司 热点租赁的方法及设备
DE102017219808A1 (de) * 2017-11-08 2019-05-09 Robert Bosch Gmbh Verfahren zur Absicherung einer Verbindung zwischen einem Endgerät und einem Gerät in einem Netzwerk
US10999265B2 (en) * 2017-11-15 2021-05-04 Team One International Holding Pte Ltd. Method and system for deploying wireless IoT sensor nodes
GB2577122A (en) * 2018-09-17 2020-03-18 Trustonic Ltd Establishing a protected communication channel
US11399283B2 (en) 2018-11-21 2022-07-26 Cisco Technology, Inc. Tenant service set identifiers (SSIDs)
WO2020252328A1 (en) 2019-06-14 2020-12-17 Nomadix, Inc. Distributed management of secure wi‑fi network
NL2024771B1 (en) * 2020-01-28 2021-09-09 Heineken Supply Chain Bv inventory management system
WO2021168195A1 (en) * 2020-02-20 2021-08-26 Systems And Software Enterprises, Llc Wireless cross pairing resolution on interconnected devices
US20220086638A1 (en) * 2020-09-14 2022-03-17 Arris Enterprises Llc Reset button for selective secure access to a network
WO2022098659A1 (en) * 2020-11-03 2022-05-12 Schneider Electric USA, Inc. Tsn operation management system with time capture location protocol
EP4020885B1 (en) * 2020-12-22 2024-02-14 Koninklijke Fabriek Inventum B.V. Establishment of battery-free insert access to secure network
US11683380B2 (en) * 2021-02-09 2023-06-20 Cisco Technology, Inc. Methods for seamless session transfer without re-keying
US20230396609A1 (en) * 2021-02-26 2023-12-07 Xero Limited Multi-factor authentication
US20220369109A1 (en) * 2021-05-12 2022-11-17 Harman International Industries, Incorporated Secured seamless authentication for bluetooth just works pairing
US20220104025A1 (en) * 2021-12-09 2022-03-31 Intel Corporation Second factor authentication for iot devices

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5717756A (en) * 1995-10-12 1998-02-10 International Business Machines Corporation System and method for providing masquerade protection in a computer network using hardware and timestamp-specific single use keys
US7222235B1 (en) * 1999-03-30 2007-05-22 Oki Electric Industry Co., Ltd. Image processing system utilizing digital watermarks in predetermined regions
US6775782B1 (en) 1999-03-31 2004-08-10 International Business Machines Corporation System and method for suspending and resuming digital certificates in a certificate-based user authentication application system
US6944774B2 (en) * 1999-06-18 2005-09-13 Zoom Telephonics, Inc. Data flow control unit
US6993134B1 (en) * 1999-08-09 2006-01-31 Koninklijke Philips Electronics N.V. Key exchange via a portable remote control device
EP1102430A1 (en) 1999-10-27 2001-05-23 Telefonaktiebolaget Lm Ericsson Method and arrangement in an ad hoc communication network
DE69941335D1 (de) 1999-12-02 2009-10-08 Sony Deutschland Gmbh Nachrichtenauthentisierung
US6865673B1 (en) * 2000-03-21 2005-03-08 3Com Corporation Method for secure installation of device in packet based communication network
US6473758B1 (en) * 2000-06-27 2002-10-29 Intel Corporation Method and apparatus for private and restricted-use electronic addresses
US20030021418A1 (en) * 2001-03-19 2003-01-30 Kunio Arakawa Cryptogram communication system
US6985591B2 (en) * 2001-06-29 2006-01-10 Intel Corporation Method and apparatus for distributing keys for decrypting and re-encrypting publicly distributed media
JP2003018148A (ja) 2001-07-05 2003-01-17 Toshiba Corp 無線データ通信装置及びそのデータ通信方法
US20030093663A1 (en) * 2001-11-09 2003-05-15 Walker Jesse R. Technique to bootstrap cryptographic keys between devices
ES2644739T3 (es) * 2002-02-22 2017-11-30 Nokia Technologies Oy Solicitud de certificados digitales
US7783043B1 (en) * 2002-08-05 2010-08-24 Nortel Networks Limited Secure group communications
MXPA05001669A (es) * 2002-08-14 2005-07-22 Thomson Licensing Sa Manejo de clave de sesion para una red de area local inalambrica publica que da soporte a multiples operadores virtuales.
US7275156B2 (en) 2002-08-30 2007-09-25 Xerox Corporation Method and apparatus for establishing and using a secure credential infrastructure
US20040203590A1 (en) * 2002-09-11 2004-10-14 Koninklijke Philips Electronics N.V. Set-up of wireless consumer electronics device using a learning remote control
US7440573B2 (en) 2002-10-08 2008-10-21 Broadcom Corporation Enterprise wireless local area network switching system
US7277548B2 (en) * 2002-10-23 2007-10-02 Ndosa Technologies, Inc. Cryptographic method and computer program product for use in wireless local area networks
US7346772B2 (en) * 2002-11-15 2008-03-18 Cisco Technology, Inc. Method for fast, secure 802.11 re-association without additional authentication, accounting and authorization infrastructure
US7475241B2 (en) * 2002-11-22 2009-01-06 Cisco Technology, Inc. Methods and apparatus for dynamic session key generation and rekeying in mobile IP
US7436965B2 (en) * 2003-02-19 2008-10-14 Microsoft Corporation Optical out-of-band key distribution
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
JP2004355406A (ja) 2003-05-29 2004-12-16 Toshiba Corp 接続設定装置及び接続設定方法
GB2403108A (en) * 2003-06-20 2004-12-22 Sharp Kk Remote access via a holding area
JP4728611B2 (ja) * 2003-08-12 2011-07-20 株式会社リコー 記憶媒体、記憶装置、情報処理装置、情報処理方法、情報処理プログラム及び記録媒体
KR20050017350A (ko) * 2003-08-13 2005-02-22 삼성전자주식회사 입력 장치가 없는 시스템에서의 암호키 생성 방법 및 이에적합한 장치
EP2797020A3 (en) 2003-09-30 2014-12-03 Broadcom Corporation Proximity authentication system
US7607012B2 (en) * 2003-10-01 2009-10-20 Nokia Corporation Method for securing a communication
GB2422995B (en) * 2003-11-04 2007-07-18 Ntt Comm Corp Method, apparatus and program for establishing encrypted communication channel between apparatuses
US8214649B2 (en) * 2004-06-30 2012-07-03 Nokia Corporation System and method for secure communications between at least one user device and a network entity
KR20070042160A (ko) * 2004-08-04 2007-04-20 마쓰시다 일렉트릭 인더스트리얼 컴패니 리미티드 무선 통신 방법, 무선 통신 시스템 및 무선 통신 장치
US8146142B2 (en) * 2004-09-03 2012-03-27 Intel Corporation Device introduction and access control framework
WO2006080623A1 (en) * 2004-09-22 2006-08-03 Samsung Electronics Co., Ltd. Method and apparatus for managing communication security in wireless network
US8532304B2 (en) 2005-04-04 2013-09-10 Nokia Corporation Administration of wireless local area networks

Also Published As

Publication number Publication date
CN101167305B (zh) 2011-11-30
CN101167305A (zh) 2008-04-23
EP1875659A4 (en) 2012-05-02
KR100996872B1 (ko) 2010-11-26
KR20070116151A (ko) 2007-12-06
US8532304B2 (en) 2013-09-10
EP1875659B1 (en) 2020-04-22
JP2008537381A (ja) 2008-09-11
US20060251256A1 (en) 2006-11-09
WO2006106393A2 (en) 2006-10-12
ZA200708722B (en) 2008-10-29
JP5005674B2 (ja) 2012-08-22
WO2006106393A3 (en) 2006-11-16
BRPI0609971B1 (pt) 2019-03-06
EP1875659A2 (en) 2008-01-09

Similar Documents

Publication Publication Date Title
BRPI0609971A2 (pt) método para gerenciar acesso a uma rede sem fio, sistema, um ou mais meios legìveis por computador, terminal móvel, dispositivo de controle de acesso, e, método para um dispositivo confiável gerenciar acesso a uma rede sem fio
JP4613969B2 (ja) 通信装置、及び通信方法
RU2414086C2 (ru) Аутентификация приложения
US7340612B1 (en) Method for device registration in a wireless home network
US9049184B2 (en) System and method for provisioning a unique device credentials
JP5120417B2 (ja) 通信装置、通信方法、及び通信システム
JP2009212732A5 (pt)
KR20060049882A (ko) 무선 근거리 네트워크 관계용 디바이스 및 방법과, 이에대응하는 제품
JP2009218845A (ja) 通信装置、及び通信方法
JP2008510409A (ja) ワイヤレスユニバーサル・プラグ・アンド・プレイ(UPnP)ネットワークにおけるセキュア環境を設定する方法及びシステム
US20230328524A1 (en) Non-3gpp device access to core network
US11917416B2 (en) Non-3GPP device access to core network
WO2014127751A1 (zh) 无线终端配置方法及装置和无线终端
JP5721183B2 (ja) 無線lan通信システム、無線lan親機、通信接続確立方法、及びプログラム
US20190200226A1 (en) Method of authenticating access to a wireless communication network and corresponding apparatus
Asokan et al. Visitor access management in personal wireless networks
Ballmann et al. Feeling bluetooth on the tooth
US20230020855A1 (en) Network access tokens for accessories

Legal Events

Date Code Title Description
B25A Requested transfer of rights approved

Owner name: NOKIA TECHNOLOGIES OY (FI)

B06T Formal requirements before examination [chapter 6.20 patent gazette]
B15K Others concerning applications: alteration of classification

Free format text: AS CLASSIFICACOES ANTERIORES ERAM: H04L 9/32 , H04L 9/08 , H04L 12/28

Ipc: H04L 9/32 (1990.01), H04L 9/08 (1990.01), H04L 29/

B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 10 (DEZ) ANOS CONTADOS A PARTIR DE 06/03/2019, OBSERVADAS AS CONDICOES LEGAIS.