具体实施方式
本发明的实施例提供了一种网络配置方法、设备和网络配置系统,提高了网络配置过程的安全性。
为了便于理解本发明的实施例提供的技术方案,现对现有技术中应用设备接受配置,完成网络接入的过程进行介绍。
现有的WPS系统如图1所示,包括应用设备101、注册器102和接入点103(Access Point,AP)。其中,注册器102可以集成在接入点103内,也可以独立作为一个网络设备存在,现以注册器102独立于接入点103为例进行说明。
应用设备101发现WLAN之后,总是向接入点103发送配置指示并接收其响应,接入点103再将应用设备101的配置指示转发到注册器102,之后注册器102和应用设备103进行一系列的信息交互,完成配置过程。
完成配置过程有两种方式,一种是接入点在应用设备和注册器之间转发配置信息,应用设备始终只与接入点交换信息,而接入点再与注册器交换消息,此时,应用设备始终通过WiFi网络发送和接收信息,这种配置方式称为带内机制。另一种方式是应用设备通过WiFi以外的可靠通道从注册器获取配置数据,例如以太网、USB(Universal Serial BUS,通用串行总线)或NFC(Near FieldCommunication,近场通信)等,这种配置方式称为带外机制。
使用带内机制时,由于WiFi信号的开放性,传输内容易被窃取。而带外机制由于其传输通道本身的封闭性,过程是安全的,但需要建立其他信息传输通道,操作比较繁琐。
通过输入应用设备的PIN(Personal Identification Number,个人标识码)完成配置是一种带内机制的WPS配置方法,在应用设备请求配置的时候,注册器发现新应用设备,提示用户是否添加此应用设备。如果用户选择添加,则可在注册器上输入该应用设备的PIN。PIN可以在设备外表的固定标签上看到或者由设备在每次配置时随机显示在界面上,用户读出这个PIN后手工将它输入注册器。将应用设备的密码输入到注册器,就相当于在注册器上登记了一个设备,这样对于用户来说就完成了向WLAN添加应用设备的过程。当然实际上后续还有一系列的消息交互,新应用设备和注册器利用PIN相互认证并协商出密钥保护注册器向新应用设备传输配置数据。如果使用过长的PIN,则输入很繁琐,PIN越长,输入过程越容易出错,也就使输入变得困难。
按钮方法也是一种带内机制的配置方法,在注册器和应用设备上都设置一个按钮,用户分别按下注册器和应用设备上的按钮就会触发配置流程。按下注册器或应用设备上的按钮的顺序并无严格要求,为了防止非法应用设备或非法注册器乘机接入,为两次按下按钮的时间规定一个有效时间窗,两次按下按钮之间的时间差超过所述有效时间窗则认为配置失败,不进行配置。按钮方法使用一个固定的字符串例如“00000000”(WPS规范正是这样规定的)作为PIN,这使得后续的相互认证过程实际上是无意义的,并且密钥协商过程很容易被破解,从而注册器发给应用终端的配置数据也很容易就被获得。
为了解决上述问题,本发明的实施例一提供了一种网络配置方法,使用该网络配置方法完成配置的过程如图2所示,包括:
步骤201、接收接入点发送的配置指示,所述配置指示携带用于指示使用激光配置方法的信息;
本步骤中,应用设备接收配置指示,所述配置指示可以是配置指示响应消息,该消息表示存在注册器接受该应用设备的接入,指示该应用设备以激光配置方法完成配置。
步骤202、根据所述配置指示激发大气激光通道;
本步骤中,用户手工激发应用设备激光通道,或者应用设备在收到所述配置指示响应消息后自动激发激光通道;(此时应用设备收到配置指示响应消息表明网络存在,设备在未收到响应消息时就自动激发大气激光通道也可以。)
步骤203、通过所述大气激光通道向注册器发送设备密码,进行网络配置。
本发明实施例还提供了一种网络配置方法,该方法如图3所示,包括:
步骤301、接收接入点在接收到应用设备的配置请求之后发送的配置通知,所述配置通知中携带用于指示所述接入点支持激光配置方法的信息;
本步骤中,所述配置指示可以为注册器向接入点发送的通知消息,以告知该接入点注册器接受应用设备的接入;在接收到上述通知消息后,接入点再向应用设备发送配置指示响应消息,以通知应用设备可以开始配置过程。
步骤302、开启激光器,建立大气激光通道;
步骤303、根据所述配置通知向所述接入点发送接受配置消息,以使所述接入点根据所述接受配置消息向所述应用设备发送配置指示,所述配置指示携带用于指示使用激光配置方法的信息;
步骤304、通过所述大气激光通道接收所述应用设备根据所述配置指示发送的设备密码,进行网络配置。
本发明的实施例提供的网络配置方法,由注册器发送配置指示,应用设备在接收到指示使用激光配置方法的配置指示时,激发大气激光通道,通过所述大气激光通道发送设备密码,注册器在通过该激光通道接收到设备密码后,完成对所述应用设备的配置,本发明的实施例利用大气空间为传输介质,激光为数据传媒载体承载配置信息,由于激光具有保密性强,抗干扰性强的特点,提高了配置过程的安全性。
为了解决现有的配置方法带来的安全性及操作繁琐的问题,本发明实施例二提供了一种网络配置方法,下面结合附图,对本发明实施例二进行详细介绍。
本发明实施例二提供了一种网络配置方法,提高了网络配置的安全性和效率,本发明实施例以注册器独立于接入点内为例进行说明,使用该方法完成配置的流程如图4所示,包括:
步骤401、接入点周期性的广播信标帧;
WLAN中的接入点在启动后,会周期性的向外发送信标帧,所述信标帧用于通告其覆盖范围内的设备该网络的存在,以便应用设备在所述接入点的覆盖范围内时可以发现该WLAN。
信标帧中携带网络信息和能力信息;所述网络信息包括WLAN的网络标识、信道号等;所述能力信息包括该局域网支持的能力、支持的配置方法等信息。如果该接入点支持WPS配置,则根据WPS规范,该接入点需要在信标帧中指示该WLAN其支持WPS。
步骤402、应用设备向接入点发送配置指示;
本步骤中,应用设备发现了支持WPS的接入点后,向该接入点发出配置指示,所述配置指示可以为探测请求帧,该探测请求帧用于请求该接入点对应的WLAN对其进行WPS配置,所述探测请求帧中包含该应用设备支持的WPS配置方法以及设备标识等信息。如果应用设备仅支持激光配置法,应该在所述探测请求帧中指示该应用设备支持激光配置方法;也可以在这个配置指示中指示支持多种配置方法,并在后续过程中确定具体使用哪种配置方法。
一般情况下,应用设备发送的探测请求帧是以广播方式发送的,即不指定具体的接入点,任何收到该探测请求帧的接入点都可以作出响应。如果应用设备发现附近只有一个接入点,或应用设备上事先设置了只向特定的接入点发送消息,则应用设备可以向特定的接入点发送探测请求帧。
步骤403、接入点通知注册器发现新的应用设备;
接入点收到探测请求帧后,如果该探测请求帧指示应用设备请求WPS配置,则接入点向网络中的所有注册器发送通知消息,通知各个注册器发现了一个新的应用设备,并在所述通知消息中携带所述新的应用设备的设备标识,以及该应用设备支持的WPS配置方法信息。
例如,本发明实施例中的应用设备支持激光配置法,则在接入点向注册器发送通知消息时,可以在所述通知消息中表明该应用设备支持激光配置法。
步骤404、接入点向应用设备发送配置指示响应;
本步骤中,所述配置指示响应可以是探测请求响应帧;接入点在步骤402接收应用设备发出的探测请求帧后,向该应用设备发送探测请求响应帧,该探测请求响应帧中包含应用设备在探测请求帧中请求的信息,例如接入点的能力信息等。
接入点会根据网络当前是否已指定了一个注册器对应用设备进行配置作出不同的探测响应。如果网络中还没有注册器被指定对应用设备进行配置,则接入点发送的配置指示响应中表明目前不能进行WPS配置,否则接入点就在配置指示响应中表明可以进行WPS配置。
如果接入点在配置指示响应中指示不能进行配置时,应用设备会周期性继续发送配置指示,直到接入点在配置指示响应中指示可以进行配置。因此,步骤402到404可能会重复多次,一直到开始在应用设备和注册器之间进行配置为止,将在下文对配置过程进行详细介绍。
本步骤是在注册器接受应用设备接入之前,接入点向应用设备返回配置指示响应消息,故本步骤发送的配置指示响应消息会指示应用设备暂不能进行配置.
如果设备仅支持激光配置方法,设备也可以在激发大气激光通道之后才开始发送探测请求帧,在所述探测请求帧中表明该设备仅接受激光配置方法。
应用设备收到接入点的信标帧或探测请求响应帧后,如果所收到的帧中指示接入点支持WPS配置方法,可以向用户指示找到支持WPS的网络。
步骤405、注册器准备接收应用设备的配置指示;
本发明实施例中的注册器带有激光接收器,在接收到步骤403中接入点发送的通知消息后,支持激光配置方法的注册器会打开激光接收器,准备接收用户设备通过大气激光通道发送的设备密码。
本步骤中,在启动激光接收器的同时,注册器会通知接入点该注册器支持激光配置法,接入点在后续的向应用设备发送的配置指示响应消息中,会指示应用设备存在接受该应用设备接入的注册器,应用设备可以向注册器发送密码。
步骤406、接入点向应用设备发送配置指示,指示应用设备开始配置;
本步骤中,接入点在确定存在接收激光配置法的注册器后,再向应用设备发送配置指示响应消息时,会在消息中指示存在接受该应用设备接入的注册器。
步骤407、应用设备激发大气激光通道;
本发明实施例中,应用设备带有激光发射器,可产生大气激光通道并通过所述大气激光通道传输信息。
启动激光发射器产生大气激光通道的手段有很多,可以通过用户对应用设备进行操作,例如在应用设备上设置用于启动激光发射器的按钮,或通过软件操作启动激光发射器;还可以在应用设备接收到所述探测请求响应后,自动启动激光发射器,例如,在应用设备上设置定时器,为定时器规定计时的时长,在接收到所述探测请求响应后定时器根据所述计时的时长开始计时,并在到时后触发启动激光发射器。
本步骤中,在接收到步骤406接入点发送的配置指示后,应用设备自动启动激光发射器,激发大气激光通道。
本发明实施例所使用的激光是可见光,用户在激发大气激光通道后,可以根据所述激光通道的可见性,对激光通道的方向进行调整,将激光对准注册器上的激光接收器。
步骤408、应用设备通过所述大气激光通道发送设备密码;
在应用设备打开大气激光发射器建立大气激光通道之后,应用设备开始通过所述大气激光通道向注册器发射设备密码,由于注册器需要在确认添加该应用设备后才接收该应用设备的设备密码,注册器开始接收设备密码的时间一般较应用设备发射密码的时间要晚,故本步骤中,应用设备循环发射设备密码,直到注册器接受该应用设备为止。当应用设备收到接入点发送的探测请求响应帧中指示可以进行WPS配置时,表明注册器已经接收到应用设备发射的密码,接受对其进行配置。
所述设备密码可以是一个固定值,也可以由应用设备随机生成。如果使用随机的密码,应该在开始发射密码之后,设备保持这个密码不变,以便能完成后续的WPS配置过程。如果设备重新请求WPS配置,则可以再次随机产生密码。密码的长度越长,其安全性就越好。
应用设备在发送设备密码的同时,还可以发送该应用设备的设备标识,所述设备标识用来表明应用设备的身份,是唯一的,将设备标识与设备密码一起发送,使得注册器将应用设备与设备密码关联起来,便于管理。
在大气激光通道被激发后,在开始配置之前,应用设备仍然继续发送包含配置指示的探测请求帧,如果应用设备之前发送的配置指示中指示其支持多种配置方法,则应用设备可以在新的配置指示中仅指定支持激光配置法,当然也可以不修改配置方法,继续使用之前发送的配置指示。
需要说明的是,在同一接入点下,可能同时有多个注册器都可以添加该应用设备,此时,应用设备需要在所述多个注册器中选择一个注册器接入,并向该注册器发送密码。
步骤409、注册器接收设备密码,通知接入点接受配置指示;
本步骤中,注册器收到所述设备密码后,就通知接入点该注册器可以进行WPS配置,同时关闭激光接收器。
步骤410、接入点接受应用设备的配置指示;
本步骤中,在步骤409接收到注册器的通知之后,再接收到该应用设备的探测请求帧时就在回复的探测请求响应帧中表示接受配置指示,可以对该应用设备进行配置。
步骤411、注册器对应用设备进行安全配置;
本步骤中,应用设备接收到接入点表示可以进行WPS配置的探测请求响应帧后,就启动WPS配置过程,应用设备和注册器之间的配置过程通过一系列EAP(Extensible Authentication Protocol,可扩展的认证协议)消息完成。
首先是应用设备向接入点发送一个名为EAPoL开始的帧,表示开始EAP过程。之后,接入点会向应用设备请求设备的标识,应用设备回送设备标识。之后,接入点向应用设备发一个消息表示开始配置。之后继续进行的EAP交互完成了应用设备到注册器之间的被WPS规范命名为M1至M8的八个消息的交互。本发明实施例中,由于接入点与注册器是相互独立的设备,故上述八个消息均通过接入点转发。
在注册器在正式给应用设备传送用于安全接入网络的配置数据之前,首先要验证该应用设备是正确的目标设备,同时应用设备也要验证该注册器是正确的注册器,具体是通过验证注册器和应用设备是否拥有相同的设备密码来实现的。其主要思想是使用DH算法在注册器和应用设备之前协商密钥,密钥的协商在设备密码的参与下计算产生。由于设备的密码只有应用设备和注册器双方知道,因此产生的密钥安全可靠,可以有效防止中间人攻击。协商出来的密钥用于对后续的消息进行消息完整性认证和数据加密,以防止被攻击者篡改或窃取,最终使应用设备的配置数据从注册器安全到达应用设备。如果注册器和应用设备拥有的设备密码不相同,则密钥协商过程会在双方得到不同的结果,导致后续协商过程无法继续,则配置过程无法继续,这样就保证了注册器不会对错误的应用设备进行配置,应用设备也不会接受错误的注册器的配置。
步骤412、应用设备通知接入点配置完成;
在步骤411完成安全配置后,应用设备向接入点发送EAP响应消息表示配置完成,通知应用设备配置成功,接入点在接收到所述配置完成消息后,转发给注册器,则注册器也知道配置已成功,接入点同时向该应用设备发送EAP失败消息。
需要说明的是,所述EAP失败消息并不是说配置过程失败了,而是指示应用设备重新启动,以应用之前所获得的配置数据,重新发现并连接到网络。因为应用设备已经获得配置,故当应用设备重新启动发现网络时,其探测请求帧中不再包含WPS配置指示,或者应用设备不再发送探测请求,直接接收到接入点的信标帧之后就与该接入点关联,并使用在之前的配置过程中获得的密钥与接入点进行认证。
至此,新接入的应用设备的网络配置已完成。
以上步骤中,没有在图中详细画出EAP交互的过程,在WPS规范中有详细的描述。需要说明的是,本领域技术人员知道,应用设备和注册器之间的认证和配置过程也可以有其它的方法和具体消息交互步骤,而不一定是当前WPS规范所定义的步骤,本发明实施例仅以WPS规范的配置过程为例进行说明,不对其他配置流程进行一一介绍。
此外,当注册器与接入点为同一设备时,图3中所描述的接入点与注册器之间就不存在消息交互了,使用本发明实施例提供的网络配置方法完成配置的过程与注册器与接入点分离时的配置过程无异,不再赘述。
本发明也适用于没有接入点的无线局域网络,此时,注册器位于已在网络中的另一个应用设备上,上述交互过程发生在两个应用设备之间,类似注册器位于接入点的交互过程,不再赘述。
本发明实施例提供的网络配置方法,在应用设备请求接入无线网络时,由应用设备激发大气激光通道,利用大气空间为传输介质,激光为数据传媒载体承载设备密码,注册器从大气激光通道接收设备密码,由于激光具有保密性强,抗干扰性强的特点,简化WPS配置过程的用户操作的同时保证了配置过程的安全性。由于采用了激光配置法,用户无需在注册器上输入PIN,简化了用户的操作,也因此设备不再需要固定的PIN码,也不必在动态生成PIN码时显示给用户看,而完全可以即时地产生一个高强度的密码传送给注册器,其安全性远高于使用PIN码方式。
本发明的实施例还提供了一种应用设备,该应用设备的结构如图5所示,包括:
指示接收模块501,用于接收接入点发送的配置指示,所述配置指示携带用于指示使用激光配置方法的信息;
通道激发模块502,用于根据所述指示接收模块接收的配置指示激发大气激光通道;
配置模块503,用于通过所述通道激发模块激发的大气激光通道向注册器发送设备密码,进行配置。
进一步地,上述应用设备如图6所示,还包括:
密码生成模块504,用于随机生成用于网络配置的所述设备密码。
进一步地,所述配置模块503的结构如图7所示,包括:
密码发送单元5031,用于通过大气通道向所述注册器发送所述设备密码;
响应接收单元5032,用于接收所述注册器在接收到所述密码发送单元发送的设备密码后通过所述接入点返回的配置响应消息,所述配置响应消息携带用于指示开始配置的信息;
数据获取单元5033,用于在所述配置响应消息的指示下,根据所述设备密码与注册器进行相互认证,获取配置数据。
本发明的实施例还提供了一种注册器,该注册器的结构如图8所示,包括:
通知接收模块801,用于接收接入点在接收到应用设备的配置请求之后发送的配置通知,所述配置通知中携带用于指示所述接入点支持激光配置方法的信息;
通道建立模块802,用于开启激光器,建立大气激光通道;
消息发送模块803,用于根据所述通知接收模块接收的配置通知,向所述接入点发送接受配置消息,以使所述接入点根据所述接受配置消息向所述应用设备发送配置指示,所述配置指示携带用于指示使用激光配置方法的信息;
网络配置模块804,用于通过所述大气激光通道接收所述应用设备根据所述配置指示发送的设备密码,进行网络配置。
本发明的实施例还提供了一种网络配置系统,所述网络配置系统如图9所示,包括:
接入点901,用于接收应用设备903发送的配置请求,根据所述配置请求向发送配置通知,所述配置通知中携带用于指示所述接入点901支持激光配置方法的信息,接收接受配置消息,根据所述接受配置消息,向所述应用设备发送配置指示,所述配置指示携带用于指示使用激光配置方法的信息;
注册器902,用于接收所述接入点901在接收到应用设备903的配置请求之后发送的所述配置通知,开启激光器,建立大气激光通道,根据所述配置通知向所述接入点901发送所述接受配置消息,通过所述大气激光通道接收所述应用设备903根据所述配置指示发送的设备密码,进行网络配置。
本发明实施例提供的应用设备、注册器和网络配置系统,可以与本发明的实施例提供的一种网络配置方法相结合,在发现需要接入的应用设备时,激发激光通道,使用该激光通道完成配置,利用大气空间为传输介质,激光为数据传媒载体承载设备密码,简化了用户操作,同时提高了配置过程的安全性。
本领域普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。