CN102204304A - 对接入点中的多个预先共享的密钥的支持 - Google Patents
对接入点中的多个预先共享的密钥的支持 Download PDFInfo
- Publication number
- CN102204304A CN102204304A CN2009801446233A CN200980144623A CN102204304A CN 102204304 A CN102204304 A CN 102204304A CN 2009801446233 A CN2009801446233 A CN 2009801446233A CN 200980144623 A CN200980144623 A CN 200980144623A CN 102204304 A CN102204304 A CN 102204304A
- Authority
- CN
- China
- Prior art keywords
- advance
- client devices
- cipher key
- psk
- key shared
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种操作被配置成支持多个预先共享的密钥的接入点(AP)的方法。给与AP相关联的各个客户机设备提供密钥。为了鉴别客户机设备,AP判断多个所支持的预先共享的密钥(PSK)(如果存在的话)中的哪一个匹配包括从客户机设备接收的密钥的信息。当该信息匹配时,允许客户机设备连接到AP。给AP提供多个预先共享的密钥允许从AP有选择地断开所关联的客户机设备。移除受AP支持的多个预先共享的密钥的PSK和断开使用此PSK的客户机设备不断开使用不同的密钥来接入AP的剩余的客户机设备。此外,当PSK的寿命过期时,移除该PSK并断开每一个使用该PSK的客户机设备。
Description
背景
现今,各种计算机设备能够无线地通信。例如,诸如个人计算机、个人数字助理、蜂窝式电话、打印机、扫描仪和其他等的移动计算设备可以使用用于无线联网的IEEE 802.11标准在无线局域网(WLAN)上通信。为了接入无线网络,计算机设备或其他客户机设备可以与被配置成接入点(AP)的设备无线地“关联”,该被配置成接入点(AP)的设备然后向客户机设备提供对系统或网络资源的接入。AP可以被实现为被专门配置成提供网络接入的专用设备,或者可以通过编程执行其他功能的计算机来实现。在通过计算机编程来实现时,接入点可以被称为“软AP”。类似于“硬AP”,软AP提供对其的接入的资源可以包括被连接到网络的其他设备,且在一些实例中可以包括在充当软AP的计算机内的应用程序或其他元素。
为了允许安全通信,客户机设备和AP通过交换秘密信息来手动地相互鉴别。如果交换是成功的,则AP允许客户机设备连接到网络。秘密信息可以是预先共享的密钥。如果使用了预先共享的密钥,则向AP和所关联的无线客户机设备提供用于鉴别的相同的预先共享的密钥。
例如,根据WPA和WPA2鉴别和密钥交换协议,在尝试接入网络时,客户机设备向AP提供用其预先共享的密钥生成的信息。如果AP可以使用其预先共享的密钥的副本来鉴别该信息,则客户机被鉴别。预先共享的密钥可以被用于导出临时会话密钥、用于数据加密和解密以及用于其它目的。
按照惯例,如果使用了预先共享的密钥,则AP使用单个预先共享的密钥来与客户机设备关联。因而,与相同的AP相关联的所有客户机设备共享相同的预先共享的密钥。
概述
本发明者已经认识到并明白,无线联网的角色可能改变,并且,可以由支持多个预先共享的密钥并可以自动地为寻求网络或系统接入的每一设备标识适当的预先共享的密钥的接入点提供较好匹配用户期望的操作。
在从多个不同类型的设备接收连接请求的接入点中,客户机设备可以具有对于预先共享的密钥(PSK)的不同要求以及用于给设备提供复杂密钥的不同的用户容忍度。因而,接入点中的多个预先共享的密钥可以具有不同的寿命和复杂性。作为具体的示例,打印机和其他固定客户机设备可以与AP维持长期连接。因为可能仅不频繁地给这些设备提供预先共享的密钥,复杂密钥可以被用于维持安全而无需显著的用户负担。相比之下,个人数字助理和其他移动设备可能仅需要到AP的短期连接,可以使用被用户输入到移动设备的密钥来发起该短期连接。对于这样的连接,可以使用较不复杂的密钥,这是因为如果密钥被用于短的连接则存在较少的危害网络安全的风险。通过使用较不复杂的密钥,减少了给设备提供服务的用户负担。
为了支持不同的持续时间的密钥,根据本发明的一些实施方式的接入点可以被配置成在不断开正使用其他PSK的其他客户机设备的情况下移除一些PSK。以此方式,可以在不中断与AP具有长期连接的设备的情况下移除短期PSK。
为了促进在AP和所关联的客户机设备之间的通信,本发明的实施方式提供将AP配置成支持多个预先共享的密钥(PSK)。可以给与AP相关联的各个客户机设备提供多个PSK的其中之一。因而,根据本发明的一些实施方式,尽管多于一个的客户机设备仍然可以共享PSK,但AP在给定的时刻支持多于一个的PSK以便鉴别其所关联的客户机设备。当客户机设备尝试经由AP接入网络时,AP判断使用多个受支持的PSK中的哪一个PSK来鉴别客户机设备。AP和客户机设备可以将这些PSK用于在例如使用IEEE 802.11标准的Wi-Fi
技术的WLAN上进行通信。
在本发明的一些实施方式中,与AP相关联的客户机设备可以被分组,且属于相同的组的设备共享PSK。由形成一个组的客户机设备使用的PSK的移除在不影响使用不同的PSK的其他组中的客户机设备对网络的接入的情况下终止此组中的设备对网络的接入。
给AP提供多个PSK允许AP被配置成支持不同类型的PSK。例如,不同的寿命和复杂性的PSK可以由AP在给定的时刻采用。一些PSK可以是短的且适合于由人类用户输入。一些PSK可以频繁地改变且可以支持瞬时网络接入。其他可以是长的,以便为长期连接提供较好的安全性。
前述是本发明的非限制性概述,本发明由所附权利要求界定。
附图简述
附图不预期按比例绘制。各图中,各种图中示出的每一相同的或接近相同的组件由类似的数字表示。为清晰起见,并非在每一附图中标记每一组件。各图中:
图1是其中可以实现本发明的一些实施方式的计算环境的简图;
图2是根据本发明的一些实施方式被配置成接入点的设备内的组件的框图;
图3是根据本发明的一些实施方式操作接入点的过程的流程图;
图4是根据本发明的一些实施方式移除被提供给接入点的预先共享的密钥的过程的流程图;
图5A-5C是根据本发明的一些实施方式给接入点提供预先共享的密钥的过程期间所使用的用户界面的简图;
图6是示出根据本发明的一些实施方式在使用Wi-Fi受保护接入2(Wi-Fi Protected Access 2,WPA2)协议的接入点和客户机设备之间的密钥交换过程的简图;以及
图7是示出根据本发明的一些实施方式在使用Wi-Fi受保护接入(WPA)协议的接入点和客户机设备之间的密钥交换过程简图。
详细描述
在无线通信中,被配置成接入点(AP)的设备和客户机设备可以手动地使用某些秘密信息来相互鉴别。该信息可以包括预先共享的密钥(PSK)。
本发明者已经认识到并明白,客户机设备可以具有来自PSK的不同要求以及用于给设备提供复杂密钥的不同用户容忍度。因而,可以通过使得客户机设备用户将不同类型的PSK用于AP接入来改善用户体验。例如,不同的密钥可以具有适用于到AP的给定连接的寿命和复杂性。例如,PSK可以是被临时地使用短期密钥,且具有允许由客户机设备的用户容易地键入密钥的用户友好的格式。短期密钥可以例如由被允许经由AP接入因特网短的时间周期的膝上型计算机用户或PDA用户使用。通过使用较不复杂的密钥减少了给客户机提供AP接入的用户负担,且安全风险是低的,这是因为密钥可以在短的时间之后过期。作为另一示例,PSK也可以是更复杂且具有更长寿命的长期密钥。例如,固定的打印机或扫描仪可以与AP维持长期通信,且可以因而利用用户更难以输入的长期密钥。
本发明者已经进一步认识到且明白,可以通过将AP配置成支持多个预先共享的密钥(PSK)来促进AP的操作和在AP和所关联的客户机设备之间的通信。给AP提供多个PSK允许从AP有选择地断开所关联的客户机设备。因而,移除受AP支持的多个PSK中的PSK和断开已经使用该PSK来鉴别AP的客户机设备并不断开使用不同的PSK来接入AP的剩余的客户机设备。
进一步,当两个或更多个客户机设备形成其中各设备共享PSK的组时,PSK的移除在不影响使用不同的PSK的其他组中的客户机设备的网络接入的情况下终止此组中的设备到网络的接入。
为了支持不同寿命的密钥,AP可以根据本发明的一些实施方式被配置成在不断开与AP可以具有长期连接的其他客户机设备的情况下移除一些PSK。因而,当PSK的寿命过期时,从AP有选择地移除PSK。
本发明的一些实施方式提供操作被配置成AP的设备的方法,其中给AP提供多个PSK。当客户机设备尝试连接到AP时,AP从客户机设备接收对连接的请求。该请求可以包括基于被存储在客户机设备上的密钥而被加密、签署或以另外方式处理的信息。AP可以判断客户机设备是否已经访问有效的预先存储的密钥以便生成该信息,并且,如果是这样,则判断使用多个受支持的PSK中的哪一个PSK。为了做出此判断,AP可以将作为对连接的请求的部分而从客户机设备接收的信息与基于来自被提供给AP的多个PSK的PSK而生成的相似信息进行比较。
可以使用任何合适的方法给AP提供多个PSK。例如,为了存储各个PSK,AP可以经由可以由应用程序或用户界面响应于用户输入或任何其他合适的方式调用的编程接口接收调用。
根据本发明的一些实施方式,AP从被存储在AP上的多个PSK移除所选择的PSK。AP可以作为对API的调用、通过用户界面的用户输入、PSK的寿命的终结和其他事件的结果而移除PSK。在移除PSK时,AP可以判断被连接到AP的任何客户机设备是否使用所选择的PSK来形成连接。当找到这样的设备时,AP可以在不断开使用不同的PSK来鉴别AP的客户机设备的情况下断开它们。AP可以支持一个或多个API,AP可以通过这些API来请求移除密钥。这样的请求可以由应用程序、通过用户界面响应于用户输入或以任何其他合适的方式生成。
进一步,PSK的移除可以由在AP本身内的控件元素触发。例如,当所选择PSK的寿命过期时,可以从被存储在AP上的多个PSK移除所选择的PSK。如果被连接到AP的任何客户机设备使用所选择的PSK,则AP可以在不断开使用不同的PSK来鉴别AP的客户机设备的情况下断开它们。
图1示出其中多个计算设备使用无线网络104与被配置成接入点的设备102通信的联网计算环境100。网络104可以是例如无线局域网(WLAN)。设备102可以是例如被配置成“软AP”的计算机。但是,AP可以是硬件AP,或者被配置成执行允许客户机设备根据无线协议接入资源的协议的其他无线设备。例如,可以利用可以使用受IEEE 802.11标准支持的Wi-Fi
技术来操作的AP。
在所示出的示例中,如图所示,四个客户机设备与接入点102无线地通信:扫描仪106、打印机108、膝上型计算机110和PDA 112。设备可以是移动的、固定的或实现移动操作模式和固定操作模式两者。尽管示出了四个计算设备,但任何数量或类型的计算设备可以根据本发明的实施方式与接入点通信,且出于简单起见而示出四个设备。
在这里,AP 102被配置成支持多个PSK。与AP 102相关联的客户机设备106、108、110和112中的每一个都存储PSK。因而,在此示例中,设备106、108、110和112中的每一个包括各自的PSK,分别在框107、109、111和113中图示地示出。例如,扫描仪106和打印机108两者都包括密钥1,膝上型计算机110包括密钥2且PDA 112包括密钥3。因而,尽管扫描仪106和打印机108共享被称为密钥1的PSK,但膝上型计算机110和PDA 112包括不同的PSK,这示出了AP 102在给定的时刻支持多于一个的PSK以便鉴别其所关联的客户机设备。
与AP相关联的客户机设备可以被分组,且属于相同的组的设备共享PSK。图1示出扫描仪106和打印机108具有相同的PSK。因而,这些设备可以形成组。根据一些实施方式,移除由形成一个组的客户机设备使用的PSK在不影响使用不同的PSK的其他组中的客户机设备的网络接入的情况下终止该组中的设备的网络接入。
与AP相关联的客户机设备可以具有对于PSK的不同要求和用于给客户机设备提供复杂密钥的不同用户容忍度。因而,AP中的多个PSK可以具有不同的寿命和复杂性。例如,图1中示出的扫描仪106和打印机108可以是与AP 102维持长期连接的固定设备。因为可以仅不频繁地向这些设备提供PSK,复杂的或“强的”密钥可以被用于维持安全而没有用户负担。相比之下,诸如膝上型计算机110和PDA 112等的移动设备可以仅需要到AP 102的短期连接,该短期连接可以由将密钥输入到移动设备的用户发起。对于这样的短期连接,可以使用较不复杂的、用户友好的、或“简易的”密钥,这是因为,如果在未经授权方可以识别短期密钥或将它用于未经授权的目的之前可以移除短期密钥,则存在较少的危害网络安全的风险。然而,通过使用有益于移动设备的用户的需要记住和每当移动设备连接到网络时手动输入PSK的较不复杂的密钥,因而减少了给设备提供服务的用户负担。
因而,密钥1、2和3中的每一个可以是不同的类型。类型可以反映密钥的寿命的持续时间、密钥的复杂性或其他特性。例如,密钥1、2和3可以各自具有不同的“生存时间”(TTL)特性。但是,应明白,TTL仅是跟踪密钥的寿命的方法的一个示例,且可以以任何其他合适的方式定义寿命。
根据本发明的一些实施方式,当客户机设备尝试经由AP接入网络时,AP判断使用多个受支持的PSK中的哪一个PSK来鉴别客户机设备。如图1中所示出,AP 102包括存储114或以另外方式与存储114相关联,存储114包括受AP支持的PSK。在此示例中,AP 102被示出为支持被图示地示出为密钥1、2和3的三个PSK。然而,AP 102可以支持任何数量的不同的类型的PSK,本发明的实施方式在这一方面不受限制。此外,尽管存储114被示出为包括被存储在客户机设备106、108、110和112上的全部PSK,但应理解,客户机设备可以具有不受AP 102支持的PSK。而且,AP 102可以包括不被存储在所关联的客户机设备中的任何客户机设备上的PSK。
图2示出包括在根据本发明的一种实施方式被配置成AP 102的计算机内的示例性组件的系统200。AP 102经由在AP 102内其他组件控制的网络接口208与一个或多个客户机设备210无线通信。AP 102可以经由计算设备204而被配置,计算设备204可以是诸如台式计算机、膝上型计算机、PDA或可以执行应用程序、响应用户输入或以另外方式执行控制功能的任何其他设备等的任何设备。应明白,计算设备204可以包括在这样的情况中在计算设备204内提供软AP的功能的AP 102。如果AP 102是软AP,则图2中的组件中的一些可以被实现为在计算机存储介质中的计算机软件或者被处理器(未示出)执行。但是,AP 102可以以任何合适的方式实现,包括“硬”AP中的固件。
在所示出的示例中,AP 102包括用于添加和移除PSK的接口,作为示例,仅示出添加密钥API 212(Add Key API 212)和移除密钥API 214(Remove Key API 214)。尽管示出了两个API,但任何数量或类型的API可以被用于管理在AP 102内的PSK。可以由控制逻辑216(Control Logic 216)提供受AP 102支持的PSK的添加和移除以及AP 102的其他功能,例如判断客户机设备是否与AP 102共享PSK。应明白,控制逻辑216可以包括根据本发明的一些实施方式控制AP 102的操作的任何数量的合适的组件。
被提供给AP 102的PSK被存储在AP 102的计算机存储器内的PSK存储218中。在所示出的实施方式中,该存储器是非易失性存储器,但是可以使用任何合适的存储器。
可以任何合适的方式组织关于PSK的信息。在这里,PSK存储218包括密钥表220,该密钥表220维护关于当前被存储在AP 102上的PSK信息。应明白,PSK存储218可以包括其他合适的组件。例如将经由通过添加密钥API 212的调用提供给AP 102的PSK添加到PSK存储。
应注意,密钥表220可以具有对密钥的数量及其可以存储的所关联的数据的限制。在这样的实施方式中,仅当没有达到对密钥表220可以存储的PSK的数量的限制时,PSK才可以被添加到密钥表220。但是,应明白,PSK可以被存储成可以被扩大为接受任意数量的密钥的列表或存储器结构,以使得在一些实施方式中不存在对PSK的数量的限制。
当从AP 102移除PSK时,例如,一旦经由移除密钥API 214接收到指令,就从PSK存储218移除PSK。
如图2中所示出,被存储在密钥表220中的n个密钥中的每一个具有作为示例仅被示出为生存时间(TTL)的各自的持续时间。应明白,可以以任何其他合适的方式定义密钥的持续时间。如上面所讨论,PSK可以具有不同的持续时间且可以在它们的各个TTL终结时就被移除。在其TTL终结时移除PSK可以经由移除密钥API 214来管理。
替代地,在其TTL终结时移除密钥可以由控制逻辑216或任何其他合适的组件触发。在所示出的实施方式中,无论移除是通过API 214由命令触发还是由控制逻辑216发起的触发器触发,对移除密钥的处理都是相同的。但是,在一些实施方式中,可以取决于用于移除PSK的触发器而执行不同的处理。应明白,密钥表220可以存储与PSK相关联的其他信息,且出于简单起见示出包括TTL的列。
当客户机设备尝试经由AP或AP上的应用程序接入网络时,在AP内的诸如例如控制逻辑216之类的合适的组件判断使用多个受支持的PSK中的哪一个PSK来形成与客户机设备的连接。例如,在图1中所示出的示例中,AP 102可以判断被指示为被存储在AP 102处的密钥1的PSK可以被用于形成与使用密钥1的膝上型计算机的连接。
当膝上型计算机110形成与AP 102的连接时,用于形成该连接的密钥可以被记录在AP 102上。AP 102还包括存储作为示例被示出为224A-224C的数据结构的连接存储222(Connections Store 222)。各个数据结构包括与受AP 102支持的连接相关联的数据。例如,数据结构224A包括用于在AP 102和诸如例如图1中所示出的设备106、108、110和112中的任何的客户机设备之间的连接的数据。数据结构224A可以包括任何合适的字段。因而,数据结构224A包括与之建立连接的客户机设备的标识符,在这里被示出为客户机ID 226。该数据结构也包括指示在AP 102和客户机设备之间共享的密钥的字段PSK 228。PSK可以被用于导出诸如会话密钥等的其他信息,且被用于在AP 102和客户机设备之间的密钥交换期间的数据加密和解密。该所导出的信息也可以被存储。因而,连接存储222可以存储用于给定连接的会话密钥230和可选的组密钥232。应明白,与连接相关的其他信息可以被记录在数据结构224A中,且仅出于示出目的示出四个元素226-232。
数据结构224B和224C包括关于在AP 102和所关联的客户机设备之间的其他连接的类似信息。例如,数据结构224A可以存储关于在AP 102和图1中所示出的扫描仪106之间的连接的信息,而数据结构224B和224C可以分别包括关于在AP 102和膝上型计算机110以及PDA 112之间的连接的信息。尽管连接存储222被示出为仅包括三种数据结构,但应明白,用于被连接到AP 102的各个客户机设备的数据结构可以被存储在连接存储222中。当客户机设备形成连接时,控制逻辑216可以将数据结构添加到连接存储222。当从AP 102断开客户机设备时,可以从连接存储222移除相应的数据结构。
如上面所讨论,本发明的实施方式提供操作被提供多个PSK的AP的方法。当客户机设备尝试接入资源时,AP从客户机设备接收对到其的连接的请求。使用被提供给客户机设备的密钥生成此请求的至少部分。然后,AP判断是否使用PSK的其中之一来生成该请求。如果是这样,则可以连接、鉴别客户机设备,且可以基于所标识的PSK建立连接。如果不是,则不鉴别客户机且不建立连接。在所示出的实施方式中,通过判断该请求是否包含于可以用来自被提供给AP的PSK的密钥生成的信息匹配的信息,AP判断客户机设备是否具有其PSK的其中之一。如果存在匹配,则AP允许该连接。否则,该连接被禁止。
图3是根据本发明的一些实施方式操作接入点的过程的流程图。当设备被配置成AP(例如,AP 102)时或者在任何其他合适的时刻,过程300开始。在框302,可以给AP提供多个PSK。可以使用任何合适的方法给AP提供PSK。例如,为了添加各个密钥,AP可以接收标识要存储在AP中的密钥的通过编程接口(例如,添加密钥API 212)的调用。可以响应于经由用户界面或以任何其他合适的方式接收的输入而发生通过这样的API的调用。
除了为各个PSK提供值之外,提供PSK可以包括指定密钥的持续时间或密钥的其他特性。可以通过与密钥本身相同的API或以任何其他合适的方式来提供这样的信息。如上面所讨论,客户机设备可以具有对于PSK的不同的要求。因而,本发明的实施方式提供不同的寿命和复杂性的PSK的使用。在一种实施方式中,PSK可以是256位数字或8个字节到63个字节长的密码短语。然而,应明白,本发明的实施方式在这一方面不受限制,且可以利用任何合适的长度和格式的PSK。PSK可以具有可以基于给客户机设备提供密钥的用户容忍度而选择的不同的寿命和复杂性。因而,PSK可以是被临时地使用的短期密钥(例如,具有短的TTL),并具有允许客户机设备的用户容易地输入密钥的用户友好的格式。短期密钥可以是包括字母数字字符的序列的密码。短期密钥可以由例如被允许经由AP接入因特网短的时间周期的膝上型计算机用户使用。PSK也可以是长期密钥,长期密钥更复杂,且具有更长的寿命持续时间(例如,具有长的TTL),且可以被提供给与AP维持长期连接的客户机设备。例如,固定的打印机可以与AP维持长期通信,且因而可以利用长期密钥。用户更难以输入长期密钥。
所提供的密钥可以被存储起来以供API稍后使用,包括供在AP重启之后使用。被提供给AP的PSK可以被存储在例如图2中所示出的PSK存储218中。各个PSK可以具有其所关联的TTL以及也被存储在PSK存储218中的其他特性。应明白,在任何合适的时刻,可以给AP提供多个PSK。例如,在不同的时刻,不同的PSK可以被提供给AP。
在框304中,AP从客户机设备接收(例如,经由图2中所示出的网络接口208)对到AP的连接的请求。该请求可以在任何时刻被发送,且可以是以已知的连接的格式或任何其他合适的格式。而且,所请求的网络接入可以是出于任何期望的目的。例如,客户机设备可以请求连接以便经由AP接入网络上的资源。而且,客户机设备可以发送对接入AP上的应用程序的请求。应明白,客户机设备可以出于其他目的而发送对到AP的该连接的请求,本发明的实施方式在这一方面不受限制。可以用被存储在客户机设备上的密钥生成该请求的一部分。
在判决框306中,AP(例如,控制逻辑216)判断,对于来自被提供给AP的多个PSK的各个PSK,用密钥生成的请求的部分是否包括与用来自多个PSK的PSK生成的信息匹配的信息。用密钥生成的请求的部分可以是例如包括该请求的消息的签名。在WPA和WPA2协议中,签名可以是由客户机设备计算的且在下面更详细地描述的消息完整性编码(MIC)。但是,从密钥导出的任何信息都可以指示客户机具有PSK。可以签署、加密、散列化、或以另外方式用该密钥或另一密钥或用该密钥生成的代码处理该信息。
当判断该信息匹配时,该过程分支到框308,框308中允许在客户机设备和AP之间的连接。然后,该过程可以结束。作为允许该连接的一部分,AP可以以本领域中已知的AP响应请求的相同方式响应该请求,但AP的响应可以基于在匹配来自客户机设备的请求中的信息之后选择的PSK,且附加处理可以包括基于所标识的PSK生成会话密钥、组密钥或其他信息。允许连接也可以包括在连接存储222中创建数据结构,如上面所讨论。
当判断该信息不匹配时,该过程转到框310,框310中禁止该连接,且客户机设备不被准许接入资源。然后,该过程可以结束。应理解,当接收到来自客户机设备的对连接的另一请求时,过程300也可以返回到框304,如图3中所示出。
根据本发明的一些实施方式,可以从AP移除PSK,即使它已经与一个或多个客户机设备相关联。可以例如在由用户或应用程序做出移除密钥的请求时发起移除。移除所选择的密钥的请求可以由用户经由AP上的用户界面或被用于配置AP的设备执行。
进一步,当PSK的寿命过期时可以撤销PSK。当撤销密钥时,可以有选择地断开在使用此PSK的一个或多个客户机设备之间的连接。不从AP断开被连接到AP并与AP共享不同的PSK的其他客户机设备。
图4示出根据本发明的实施方式移除被提供给接入点的预先共享的密钥的过程400。该过程可以在任何合适的点开始,且可以是编程接口的状态的连续监视的部分状态,诸如例如,图2中所示出的移除密钥API 214和/或在控制逻辑216内的触发任何PSK是否已经超过了它们的TTL的定期检查的计时组件。在判决框402,该过程判断是否接收到指示AP(例如,AP 102)移除所选择的PSK的用户输入。AP或配置AP的设备(例如,计算设备204)可以具有用户界面,该用户界面可以用于接收用户输入。
当判断已经提供了指示AP移除所选择的PSK的用户输入时,该过程分支到框406,在框406中移除PSK。如上面所讨论,可以从PSK存储218移除所选择的PSK。以此方式,没有未来的连接可以基于所移除的PSK。
相反,当在判决框402判断没有提供用户输入时,该过程继续进行到框404,在框404中判断与所选择的PSK相关联的生存时间(TTL)是否过期。如果该TTL过期,则该过程转到框406,在框406中移除所选择的PSK。当该TTL没有过期时,该过程返回到开始,如图4中所示出,其中该过程继续循环直到接收到通过API 214的输入或TTL过期。尽管判断是否提供指示AP移除所选择的PSK的用户输入和判断与所选择的PSK相关联的TTL是否过期被示出为两个相邻的步骤,但应明白,可以以任何次序或同时地或在任何时刻执行这些操作,本发明在这一方面不受限制。进一步,应明白,出于示出的简单起见,图4示出各步骤的顺序执行。图4中所示出的一个或多个操作可以作为分离的计算线程而被执行,以使得一些所示出的操作可以同时地或在分离的时刻发生。例如,当与PSK相关联的TTL过期时移除密钥可以在与处理通过API的调用分离的计算线程中被执行。
在框408,AP搜索使用所选择的PSK的客户机设备。不考虑什么事件触发了API移除PSK,移除PSK也可以包括终结在所移除PSK内形成的任何连接。因此,在图2中所示出的实施方式中,这样的设备可以通过在连接存储222中搜索来标识。但是,可以使用将连接关联到PSK的任何合适的机制。
在判决框410,可以判断一个或多个客户机设备是否使用所选择的PSK。当找到这样的设备时,该过程继续进行到框412,在框412中从AP断开这些客户机设备,这是因为它们使用的密钥已经被移除。进一步,对于被断开的各个连接,从连接存储222移除诸如被存储在连接存储222中的数据结构224A-224C的其中之一等的与该连接相关联的相应的数据结构。
根据本发明的实施方式,在移除PSK时仅断开正在使用被选择为要移除的PSK的客户机设备。使用用于鉴别AP的不同的PSK的其他客户机设备保持被连接到AP。
当没有找到使用所选择的PSK的客户机设备时,该过程可以结束。然而,可以对被提供给AP的各个密钥重复过程400,如图4中所示出。
根据本发明的一些实施方式,经由AP或被用于配置AP的设备(例如,计算设备204)上的用户界面向AP提供多个PSK。尽管可以使用任何合适的提供机制,但图5A-5C示出根据本发明的实施方式用于提供PSK的示例性用户界面。图5A包括用户界面500,该用户界面500包括添加密钥元素(例如,下推按钮或其他元素)和字段504,在该字段504中用户可以输入密钥的值。用户界面500也包括指示用户可以选择密钥类型的选择密钥类型元素506(例如,下推按钮或其他元素)。在所示出的实施方式中,支持两种密钥类型,即长期密钥类型和短期密钥类型。可以允许任何数量的各个类型的密钥。但是在一些实施方式中,AP可以支持各个类型的密钥中的仅一种。因而,如作为示例在下拉菜单508中示出,用户可以选择所输入密钥是短期密钥还是长期密钥。
图5B示出当用户已经通过选择下拉菜单508中的“短期密钥”选项(图5B中被示出为元素512)选择短期密钥时的用户界面。类似地,图5C示出用户已经通过选择下拉菜单508中的“长期密钥”选项(图5C中被示出为元素516)选择长期密钥。在一些实施方式中,长期密钥可以自动地生成而非由用户键入。
不考虑所选择的密钥的类型,用户也可以通过合适的输入设备输入密钥的值。图5B和5C指示用于字段510中输入的短期密钥或者用于字段514中输入的长期密钥的值。图5B和5C图示地示出短期密钥510比长期密钥516短,且可以由用户更容易地输入。尽管图5A-5C示出两种类型的密钥,但应明白,可以采用多于两种类型的密钥,本发明在这一方面不受限制。此外,用户界面500可以包括任何其他合适的组件并显示任何文本的和视觉的格式的任何其他信息。例如,用户界面中可以包括其他组件,以便接收定义密钥的特性的输入。当如上面所示出输入密钥时,它可以被存储在图2中所示出的PSK存储218中的诸如密钥表220等的密钥表中。应注意,密钥表220可以具有条目的数量的限制。
如上面所讨论,可以根据已知的协议使用PSK。例如,PSK可以被用于导出临时会话密钥,用于数据加密和解密和用于其他目的。进一步,不同于修改以在AP上支持多个PSK,可以如本领域中已知的实现这些协议。图6和图7示出根据本发明的一些实施方式使用被提供给AP的PSK的密钥交换机制的两个示例。
计算机设备日益使用基于IEEE 802.11标准的Wi-Fi技术。Wi-Fi
网络可以利用使用一个预先共享的密钥以供AP在给定的时刻鉴别和密钥交换的Wi-Fi受保护接入(WPA和WPA2)协议。应明白,在这里仅作为示例描述WPA和WPA2鉴别和密钥交换协议,且AP和客户机设备可以采用任何其他合适的鉴别和密钥交换协议。图6是示出根据本发明的一些实施方式在使用Wi-Fi受保护接入2(WPA2)协议的AP和客户机设备之间的密钥交换过程。图6示出在客户机设备600或恳求者一侧以及在AP 602的一侧或鉴别者执行的过程。客户机设备600可以是例如图1中所示出的任何设备。本领域中的技术人员可以注意到,在此示例中在客户机600内的处理与其中AP支持仅一个预先存储的密钥的密钥交换中的处理相同。
在此示例中可以被称为Wi-Fi客户机设备或恳求者的客户机设备向AP 602发送连接的请求之后,该过程开始,但该过程可以由任何合适的事件触发。如上面所讨论,该过程包括消息的生成,该消息的一部分基于被存储在客户机设备上的密钥。然后,AP判断被提供给它的多个PSK中的哪一个PSK可以被用于鉴别客户机设备。该PSK可以被用于密钥交换,如下面所描述。
在WPA2协议中,使用局域网上的可扩展鉴别协议(EAPOL)-密钥(Extensible Authentication Protocol over LANs(EAPOL)-KEY)消息执行密钥交换。在框604,AP 602发送消息1 EAPOL_密钥(ANonce,单播)(EAPOL_KEY(ANonce,Unicast)),其可由客户机设备600在框606接收到。单播参数指示消息1仅被发送给客户机设备600。ANonce指示鉴别者现时,在此示例中,ANonce是在AP 602处使用WPA2协议生成的任何合适的格式的随机数据。
在框606,客户机600接收消息1。对于所示出的密钥交换,客户机设备600接着生成SNonce(恳求者现时),SNonce也是任何合适的格式的随机数据。
在框608,客户机设备600使用其所存储的密钥从ANonce和SNonce计算成对瞬时密钥(PTK)。在框610,客户机600使用PTK发送消息2 EAPOL_密钥(SNonce,单播,MIC)(EAPOL_KEY(SNonce,Unicast,MIC))。单播参数指示消息2仅被发送给AP 602。由WPA2协议实现的消息完整性编码(MIC)是通过检测该数据分组的有害修改来保护数据分组完整性的键控散列函数。MIC可以是例如在被加密和被传送之前跨越整个非加密原始数据分组被计算的8字节的值。然而,MIC可以是任何合适的格式和长度,本发明的实施方式在这一方面不受限制。在这里,使用PTK生成MIC,PTK又是基于被存储在客户机600上的密钥而生成。因而,包含MIC的消息2的部分基于客户机600的所存储的密钥。具有所存储的密钥的副本的其他设备可以同样地生成相同的MIC值。但是,不带有客户机的所存储的密钥的副本的设备不能容易地生成相同的MIC值。
在框612,AP 602接收消息2。在框614,AP 602使用被存储在AP 602上的多个PSK的其中之一从ANonce和SNonce计算PTK。然后,在框616,所计算的PTK被用于验证MIC,如本领域中已知的。这样的验证可以通过将由AP 602生成的MIC与消息2中接收的MIC进行比较来执行。如果由AP 602使用的预先存储的密钥与由客户机600使用的密钥相同,则MIC应匹配。在判决框618,AP 602(使用例如诸如图2中所示出的控制逻辑216等的组件)判断从客户机设备600接收的MIC是否匹配由AP 602计算的MIC。当判断MIC不匹配PTK时,该过程分支到判决框619,在判决框619中该过程基于是否还有要比较的PSK而分支。当不再存在PSK时(这意味着不存在对由客户机600使用的密钥的匹配),该过程分支到框620,在框620中中断密钥交换过程,且客户机设备600不被允许接入所请求的资源并被从AP 602断开。
如图6中所示出,对被存储在AP 602处的多个PSK中的每一个重复在框614-618执行的操作。因此,如果一个PSK不产生匹配,则该过程从框619循环回到614。因而,AP判断多个PSK中的哪一个(如果存在的话)匹配被存储在客户机设备上的密钥。
当判断MIC匹配时,这指示AP 602已经找到匹配由客户机设备600使用的密钥的PSK。因此,允许客户机设备600和AP 602之间的连接,且允许客户机设备接入资源。在此场景中,该过程分支到框622。而且,可以在AP 602记录用于客户机设备600的PSK和所关联的信息。例如,创建诸如图2中所示出的数据结构224A-224C的其中之一等的数据结构并在在连接存储222中存储该数据结构。
为了完成密钥交换过程,需要将PTK安装在客户机设备上。因而,在框622,AP 602发送指示客户机设备600安装PTK的消息3 EAPOL_密钥(安装PTK,单播,MIC,经加密的GTK)(EAPOL_KEY(Install PTK,Unicast,MIC,Encrypted GTK))。根据可以可选地为客户机设备600创建的WPA2协议,GTK指示成组临时密钥。使用PSK来生成GTK,且该GTK可以用于将客户机设备600标识为一组设备的成员。AP 602加密GTK,且经加密的GTK作为消息3的一部分被发送给客户机设备600。在框624,客户机设备600接收消息3并将其发送AP 602,在框626,发送作为消息4 EAPOL_密钥(单播,MIC)(EAPOL_KEY(Unicast,MIC))的肯定应答,在框628,AP 602接收到消息4。然后,该过程可以结束。
图7示出根据本发明的一些实施方式在使用Wi-Fi受保护接入(WPA)协议的AP和客户机设备之间的密钥交换过程。类似于在WPA2协议中,使用局域网上的可扩展鉴别协议(EAPOL)-密钥消息执行密钥交换。图7示出在客户机设备700上和在AP 702上执行的过程。客户机设备700可以是例如图1中所示出的任何设备。类似地,AP 702可以是图1和图2中所示出的AP 102。
在Wi-Fi客户机设备700或恳求者连接到AP 702以便请求通过AP 702接入网络或其他资源之后,该过程可以开始。如上面所讨论,客户机设备700使用其密钥来生成到AP 702的消息的部分,然后AP 702判断被提供给它的多个PSK中的哪一个(如果存在的话)可以被用于鉴别客户机设备700。PSK可以被用于密钥交换,如下面所描述。
在框704,AP 702发送消息1 EAPOL_密钥(ANonce,单播)(EAPOL_KEY(ANonce,Unicast)),在框706,客户机设备700接收到消息1。单播参数指示消息1仅被发送给客户机设备700。ANonce指示鉴别者现时,在此示例中,ANonce是在AP 602处使用WPA协议生成的任何合适的格式的随机数据。在此示例中,客户机设备700生成SNonce(恳求者现时),SNonce也是任何合适的格式的随机数据。
在框708,客户机设备700使用其所存储的密钥从ANonce和SNonce计算成对瞬时密钥(PTK),且在框710发送消息2 EAPOL_密钥(SNonce,单播,MIC,SSN IE)(EAPOL_KEY(SNonce,Unicast,MIC,SSN IE)),在框712,AP 702接收消息2。单播参数指示消息2仅被发送给AP 702。SSN IE是根据WPA协议定义的消息2中的安全信息元素。消息完整性编码(MIC)如上所述定义,且包括基于被存储在客户机设备700上的密钥而生成的信息。
在框714,AP 702使用被提供给AP 702的多个PSK的其中之一从ANonce和SNonce计算PTK。然后,在框716,所计算的PTK被用于验证MIC,如本领域中已知的。这样的验证可以通过将比较由AP 702生成的MIC与消息2中所接收的MIC进行比较来执行。如果由AP 702使用的预先存储的密钥与由客户机700使用的密钥相同,则MIC应匹配。进一步,在判决框718,AP 702(使用例如诸如图2中所示出的控制逻辑216等的组件)判断从客户机设备700接收的MIC是否匹配由AP 702计算的MIC。
当判断MIC不匹配PTK时,该过程通过框719循环回到框714,在框714中测试另一PSK。如果没有PSK匹配,则该过程进行到其中中断密钥交换过程,且客户机设备700不被允许接入所请求的资源且从AP 702被断开。如图7中所示出,重复在框714-718执行的操作,直到找到匹配PSK或直到已经评估了被存储在AP 702处的全部多个PSK。因而,AP判断多个PSK中的哪一个(如果存在的话)匹配被存储在客户机设备上的密钥。
当判断由AP 702生成的MIC匹配由客户机700生成的MIC时,该过程分支到框722。此时,在AP 702记录用于客户机设备700的PSK。例如,创建诸如图2中所示出的数据结构224A-224C的其中之一等的数据结构并在连接存储222中记录该数据结构。在框722,AP 702发送指示客户机设备700安装PTK的消息3 EAPOL_密钥(安装PTK,单播,MIC,SSN IE)(EAPOL_KEY(Install PTK,Unicast,MIC,SSN IE))。在框724,客户机设备700接收消息3,安装PTK,并将其发送给AP 702,在框726,发送指示PTK已经被安装的作为消息4 EAPOL_密钥(单播,MIC)(EAPOL_KEY(Unicast,MIC))的肯定应答。在框728,AP 702接收到消息4。此时,完成了成对临时密钥的交换,且客户机设备700和AP 702被手动地鉴别。
IEEE 802.11标准支持可以用于例如视频数据的分发的多播消息。WPA协议支持为多播消息生成的不同于诸如PTK等的成对临时密钥的成组临时密钥。
因而,在客户机设备700和AP 702之间建立的安全连接可以由AP 702用来发送包括由在AP 702生成的WPA协议实现的成组临时密钥(GTK)的消息。AP 702加密该GTK,且经加密的GTK作为消息5EAPOL_密钥(经加密的GTK,GNonce,组,MIC)(EAPOL_KEY(Encrypted GTK,GNonce,Group,MIC))的一部分被发送给客户机设备700。GNonce是组现时,GNonce是为该成组临时密钥生成而生成的随机数据,同时组参数指定消息5是被发送给客户机设备700所属的一组设备的多播消息。在框732,客户机设备700接收消息5并安装GTK。在框734,客户机设备700向AP 702发送指示经加密的GTK已经被安装在客户机设备700上的肯定应答消息6 EAPOL_密钥(组,MIC)(EAPOL_KEY(Group,MIC))。这完成了在客户机设备700和AP 702之间密钥交换过程。
已经这样描述了本发明的至少一种实施方式的若干方面,应明白,本领域中的技术人员将容易地想起各种变更、修改和改进。
这样的变更、修改和改进预期是本公开内容的部分,且预期是在本发明的精神和范围内。因此,前述的描述和图仅作为示例。
可以以众多方式中的任何方式实现上面所描述的本发明的实施方式。例如,可以使用硬件、软件或其组合来实现各实施方式。在以软件实现时,无论是在单个计算机中提供还是在多个计算机当中分布,软件代码可以在任何合适的处理器或处理器的集合上执行。
进一步,应明白,可以以诸如机架式计算机、台式计算机、膝上型计算机或平板计算机等的许多形式中的任何形式化具体化计算机。另外,计算机可以被嵌入在一般不被看作是计算机但具有合适的处理能力的设备中,包括个人数字助理(PDA)、智能电话或任何其他合适的便携式或固定式电子设备。
而且,计算机可以具有一个或多个输入和输出设备。这些设备可以被用来呈现用户界面以及其他。可以被用于提供用户界面的输出设备的示例包括用于输出的视觉呈现的打印机或显示屏以及用于输出的听觉呈现的扬声器或其他声音生成设备。可以用于用户界面的输入设备的示例包括键盘和诸如鼠标、触控板和数字化输入板等的指点设备。作为另一示例,计算机可以接收通过语音识别或以其他可听格式输入信息。
这样的计算机可以由包括诸如企业网络或因特网等的局域网或广域网的以任何合适的形式的一个或多个网络互连。这样的网络可以基于任何合适的技术,且可以根据任何合适的协议操作,并可以包括无线网络、有线网络或光纤网络。
而且,在此略述的各种方法或过程可以被编码为可在采用各种操作系统或平台中的任何一种的一个或多个处理器上执行的软件。另外,这样的软件可以使用许多合适的编程语言和/或编程或脚本工具中的任何来编写,且也可以被编译为在框架或虚拟机上执行的可执行机器语言代码或中间代码。
在这一方面,本发明可以被具体化为用一个或多个程序编码的计算机可读介质(或多个计算机可读介质)(例如,计算机存储器、一个或多个软盘、紧致盘、光盘、磁带盒、闪速存储器、以现场可编程门阵列或其他半导体设备的电路构型、或其他有形计算机存储介质),当一个或多个程序在一个或多个计算机或其他处理器上执行时,执行实现上面讨论的本发明的各种实施方式的方法。一个或多个计算机可读介质可以是可移动的,以使得被存储在其上一个或多个程序或程序可以被加载到一个或多个不同的计算机或其他处理器,以便实现上面所讨论的本发明的各种方面。
在此使用术语“程序”或“软件”来在一般意义上提及可以用来编程计算机或其他处理器以便实现上面所讨论的本发明的各种方面的任何类型的计算机代码或计算机可执行指令集。另外,应明白,根据此实施方式的一个方面,在被执行时执行本发明的方法的一个或多个计算机程序不需要驻留在单个计算机或处理器上,而是可以以模组方式分布在许多不同的计算机或处理器中,以便实现本发明的各种方面。
计算机可执行指令可以是以许多形式,例如由一个或多个计算机或其他设备执行的程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。通常,在各种实施方式中,可以根据期望组合或分布程序模块的功能。
而且,数据结构可以被存储在以任何合适的形式的计算机可读介质中。出于示出的简单起见,数据结构可以被示出为具有通过数据结构中的位置相关的字段。这样的关系可以同样通过用传达个字段之间的关系的计算机可读介质中的位置来为各字段分配存储来获得。然而,任何合适的机制都可以被用于在数据结构的字段中的信息之间建立关系,包括通过使用指针、标签或在数据元素之间建立关系的其他机制。
可以单独使用、组合使用或者以在前述所描述的实施方式中不具体讨论的各种排列使用本发明的各种方面,且因此本发明的各种方面在其应用方面不限于前述的描述中陈述的或各图中所示出的组件的细节和排列。例如,可以以任何方式将在一种实施方式中所描述的各方面与在其他实施方式中描述的各方面组合起来。
而且,本发明可以被具体化为方法,已经提供了该方法的示例。可以以任何合适的方式排序作为该方法的部分而被执行的动作。因此,可以构建其中以不同于所阐述的次序执行各动作的实施方式,这些实施方式可以包括同时执行一些动作,即使在说明性的实施方式中被示出为顺序的动作。
在权利要求中使用诸如“第一”、“第二”、“第三”等等的次序术语的来修改权利要求元素本身并不意味着一个权利要求元素相对于另一权利要求元素的任何优先级、优先权或次序、或者方法的动作被执行的时间顺序,而是仅被用作将具有某一名称的一个权利要求元素与具有相同名称的另一元素(只供次序术语使用)区分开来的标记,以便区分各权利要求元素。
而且,在此使用的短语和术语是用于描述的目的,且不应被看作是限制。在此“包括(include)”、“包括(comprise)”或“具有”、“包含”、“涉及”和及其变体来意指包含其后所列出的项及其等效物以及附加的项。
Claims (15)
1.一种操作被配置成接入点(102)的设备的方法,给所述接入点提供(302)多个预先共享的密钥(218、220),且所述方法包括:
从至少一个客户机设备(106、108、110、112、210)接收(304)对到所述接入点的连接的请求,所述请求包括用密钥(107、109、111、113)生成的部分;
判断(306)所述部分是否包括与用来自被提供给所述接入点的所述多个预先共享的密钥中的密钥生成的信息匹配的信息;
当判断所述部分的所述信息匹配用来自所述多个预先共享的密钥(218、220)的所述密钥生成的信息时,允许(308)所述连接;以及
当判断所述部分的所述信息不匹配用来自所述多个预先共享的密钥(218、220)的所述密钥生成的信息时,禁止(310)所述连接。
2.如权利要求1所述的方法,其特征在于,所述多个预先共享的密钥包括长期预先共享的密钥(516)和短期预先共享的密钥(512)中的至少一个。
3.如权利要求1所述的方法,其特征在于,还包括,响应于对从所述多个预先共享的密钥(218、220)移除所选择的预先共享的密钥的请求(402、404):
从所述多个预先共享的密钥移除(406)所选择的预先共享的密钥;
判断(408、410)所述至少一个客户机设备是否使用所选择的预先共享的密钥;以及
当判断所述至少一个客户机设备使用所选择的预先共享的密钥时,断开(412)所述至少一个客户机设备。
4.如权利要求3所述的方法,其特征在于,对移除所选择的预先共享的密钥的所述请求由用户经由用户界面执行(402)的。
5.如权利要求3所述的方法,其特征在于:
所述多个预先共享的密钥中的密钥具有与其关联的生存时间值(220),以及
响应于判断(404)所选择的预先共享的密钥的生存时间过期而生成对移除所选择的预先共享的密钥的所述请求。
6.如权利要求1所述的方法,其特征在于:接收所述请求包括根据WPA(710)或WPA2协议(610)接收所述请求。
7.如权利要求6所述的方法,还包括:
当允许所述连接时,根据所述WPA(722、730)或WPA2(622)协议发送进一步消息。
8.如权利要求1所述的方法,其特征在于,还包括,当所述至少一个客户机设备包括被连接到所述接入点的多个客户机设备(106、108、110、112、210)时:
移除(406、214)与所述多个客户机中的至少一个客户机设备相关联的所述预先共享的密钥;以及
在不中断到所述多个客户机设备中的其他客户机设备的连接的情况下有选择地中止到所述多个客户机中的所述至少一个客户机设备的所述连接(412)。
9.如权利要求8所述的方法,其特征在于,移除所述预先共享的密钥包括当预先共享的密钥的寿命过期(404)时和/或当从所述多个预先共享的密钥移除(402)由所述至少一个客户机设备使用的预先共享的密钥时,移除所述预先共享的密钥。
10.如权利要求1所述的方法,其特征在于,还包括,当判断所述预先共享的密钥匹配来自所述多个预先共享的密钥的所述密钥时,为所述至少一个客户机设备生成组密钥(232)。
11.一种被配置成接入点(102)的装置,所述装置包括:
被配置成存储多个预先共享的密钥(220)的计算机存储器(218);
被配置成从至少一个客户机设备(106、108、110、112、210)接收(304)对到所述接入点的连接的请求的接口(208),所述请求包括用密钥生成的信息;以及
被配置成如下的控制逻辑(216):
判断(306)用所述密钥生成的所述信息是否匹配用来自所述多个预先共享的密钥的密钥生成的信息;
当判断用所述密钥生成的所述信息匹配用来自所述多个预先共享的密钥的所述密钥生成的所述信息时,允许(308)所述连接;以及
当判断用所述密钥生成的所述信息不匹配用来自所述多个预先共享的密钥的所述密钥生成的所述信息时,禁(310)所述连接。
12.如权利要求11所述的装置,其特征在于,所述计算机存储器还包括:
被配置成在被连接到所述接入点的客户机设备上存储信息(226、228、230、232)多个数据结构(222、224A、224B、224C),来自所述多个数据结构的每一数据结构(224A、224B、224C)存储客户机设备的标识符(226)和由所述客户机设备使用的预先共享的密钥(228)。
13.如权利要求11所述的装置,其特征在于:
用所述密钥生成的所述信息包括消息的签名,所述消息包括所述请求(610);以及
判断用所述密钥生成的所述信息是否匹配用来自所述多个预先共享的密钥的所述密钥生成的信息包括使用用来自所述多个预先共享的密钥的密钥生成的信息来计算(614、714)所述消息的签名。
14.如权利要求11所述的装置,其特征在于,所述控制逻辑被配置成,响应于对从所述多个预先共享的密钥移除所选择的预先共享的密钥的请求(402、404):
从所述多个预先共享的密钥移除(406)所选择的预先共享的密钥;
判断(408、410)所述至少一个客户机设备是否使用所选择的预先共享的密钥;以及
当判断所述至少一个客户机设备使用所选择的预先共享的密钥时,指示断开(412)所述至少一个客户机设备。
15.如权利要求11所述的装置,其特征在于,所述接入点包括允许Wi-Fi的设备(602、702)且所述至少一个客户机设备包括允许Wi-Fi的客户机设备(600、700)。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11124008P | 2008-11-04 | 2008-11-04 | |
| US61/111,240 | 2008-11-04 | ||
| US12/359,987 | 2009-01-26 | ||
| US12/359,987 US8898474B2 (en) | 2008-11-04 | 2009-01-26 | Support of multiple pre-shared keys in access point |
| PCT/US2009/063044 WO2010053889A2 (en) | 2008-11-04 | 2009-11-03 | Support of multiple pre-shared keys in access point |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102204304A true CN102204304A (zh) | 2011-09-28 |
| CN102204304B CN102204304B (zh) | 2014-07-30 |
Family
ID=42132931
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980144623.3A Active CN102204304B (zh) | 2008-11-04 | 2009-11-03 | 对接入点中的多个预先共享的密钥的支持 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8898474B2 (zh) |
| EP (1) | EP2345268B1 (zh) |
| JP (1) | JP5506810B2 (zh) |
| CN (1) | CN102204304B (zh) |
| WO (1) | WO2010053889A2 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103731810A (zh) * | 2013-12-31 | 2014-04-16 | 小米科技有限责任公司 | 接入点共享方法及装置 |
| CN103763697A (zh) * | 2013-10-29 | 2014-04-30 | 上海斐讯数据通信技术有限公司 | 一种无线接入点多密钥支持系统及方法 |
| CN104509025A (zh) * | 2012-08-01 | 2015-04-08 | 高通股份有限公司 | 用于混合多源解密的系统和方法 |
| CN105828330A (zh) * | 2015-01-07 | 2016-08-03 | 阿里巴巴集团控股有限公司 | 一种接入方法及装置 |
| CN112565199A (zh) * | 2020-11-12 | 2021-03-26 | 腾讯科技(深圳)有限公司 | 一种网络连接方法、装置、网络设备及存储介质 |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8948046B2 (en) | 2007-04-27 | 2015-02-03 | Aerohive Networks, Inc. | Routing method and system for a wireless network |
| US8218502B1 (en) | 2008-05-14 | 2012-07-10 | Aerohive Networks | Predictive and nomadic roaming of wireless clients across different network subnets |
| US9674892B1 (en) * | 2008-11-04 | 2017-06-06 | Aerohive Networks, Inc. | Exclusive preshared key authentication |
| US8625552B2 (en) | 2008-12-31 | 2014-01-07 | Microsoft Corporation | Wireless provisioning a device for a network using a soft access point |
| US8483194B1 (en) | 2009-01-21 | 2013-07-09 | Aerohive Networks, Inc. | Airtime-based scheduling |
| US9900251B1 (en) | 2009-07-10 | 2018-02-20 | Aerohive Networks, Inc. | Bandwidth sentinel |
| US11115857B2 (en) | 2009-07-10 | 2021-09-07 | Extreme Networks, Inc. | Bandwidth sentinel |
| US9002277B2 (en) | 2010-09-07 | 2015-04-07 | Aerohive Networks, Inc. | Distributed channel selection for wireless networks |
| US9542203B2 (en) | 2010-12-06 | 2017-01-10 | Microsoft Technology Licensing, Llc | Universal dock for context sensitive computing device |
| US8923770B2 (en) | 2010-12-09 | 2014-12-30 | Microsoft Corporation | Cognitive use of multiple regulatory domains |
| US8589991B2 (en) | 2010-12-14 | 2013-11-19 | Microsoft Corporation | Direct connection with side channel control |
| US8792429B2 (en) | 2010-12-14 | 2014-07-29 | Microsoft Corporation | Direct connection with side channel control |
| US8948382B2 (en) | 2010-12-16 | 2015-02-03 | Microsoft Corporation | Secure protocol for peer-to-peer network |
| US9294545B2 (en) | 2010-12-16 | 2016-03-22 | Microsoft Technology Licensing, Llc | Fast join of peer to peer group with power saving mode |
| US8971841B2 (en) | 2010-12-17 | 2015-03-03 | Microsoft Corporation | Operating system supporting cost aware applications |
| KR101868018B1 (ko) | 2011-02-09 | 2018-06-18 | 삼성전자주식회사 | 기기간 연결 제어 방법 및 그 장치 |
| JP5723174B2 (ja) * | 2011-02-25 | 2015-05-27 | 任天堂株式会社 | 情報処理プログラム、情報処理システム、情報処理装置、および情報処理方法 |
| US8793780B2 (en) * | 2011-04-11 | 2014-07-29 | Blackberry Limited | Mitigation of application-level distributed denial-of-service attacks |
| JP5472389B2 (ja) * | 2011-09-14 | 2014-04-16 | 横河電機株式会社 | 無線通信装置及び無線通信システム |
| US10091065B1 (en) | 2011-10-31 | 2018-10-02 | Aerohive Networks, Inc. | Zero configuration networking on a subnetted network |
| EP2862301B1 (en) | 2012-06-14 | 2020-12-02 | Extreme Networks, Inc. | Multicast to unicast conversion technique |
| US9172698B1 (en) | 2012-10-12 | 2015-10-27 | Ut-Battelle, Llc | System and method for key generation in security tokens |
| US10389650B2 (en) | 2013-03-15 | 2019-08-20 | Aerohive Networks, Inc. | Building and maintaining a network |
| US9413772B2 (en) | 2013-03-15 | 2016-08-09 | Aerohive Networks, Inc. | Managing rogue devices through a network backhaul |
| US9609490B2 (en) | 2014-12-08 | 2017-03-28 | Gainspan Corporation | Updating of layer-2 group key in a wireless network |
| WO2017024662A1 (zh) * | 2015-08-11 | 2017-02-16 | 华为技术有限公司 | 一种接入认证方法及装置 |
| CN106470104B (zh) | 2015-08-20 | 2020-02-07 | 阿里巴巴集团控股有限公司 | 用于生成共享密钥的方法、装置、终端设备及系统 |
| JP6621146B2 (ja) * | 2017-08-09 | 2019-12-18 | Necプラットフォームズ株式会社 | 通信装置、通信端末、通信システム、通信制御方法および通信制御プログラム |
| US11051169B2 (en) * | 2017-08-16 | 2021-06-29 | Juniper Networks, Inc. | Methods and apparatus for performing access and/or forwarding control in wireless networks such as WLANS |
| US11317286B2 (en) | 2018-03-21 | 2022-04-26 | At&T Intellectual Property I, L.P. | Network authentication via encrypted network access packages |
| CN110213760B (zh) * | 2019-04-29 | 2022-02-11 | 惠州Tcl移动通信有限公司 | 路由器、移动终端及其网路连接方法及存储介质 |
| US11166157B2 (en) * | 2019-06-14 | 2021-11-02 | Nomadix, Inc. | Distributed management of secure Wi-Fi network |
| US20220417742A1 (en) * | 2021-06-28 | 2022-12-29 | Juniper Networks, Inc. | Network management system to onboard heterogeneous client devices to wireless networks |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2002315269A1 (en) * | 2001-05-08 | 2002-11-18 | Telefonaktiebolaget L M Ericsson (Publ) | Secure remote subscription module access |
| US7194622B1 (en) * | 2001-12-13 | 2007-03-20 | Cisco Technology, Inc. | Network partitioning using encryption |
| US20040078598A1 (en) * | 2002-05-04 | 2004-04-22 | Instant802 Networks Inc. | Key management and control of wireless network access points at a central server |
| JP4566546B2 (ja) * | 2002-10-31 | 2010-10-20 | パナソニック株式会社 | 通信装置、通信システムおよびアルゴリズム選択方法 |
| US7454785B2 (en) * | 2002-12-19 | 2008-11-18 | Avocent Huntsville Corporation | Proxy method and system for secure wireless administration of managed entities |
| US7275157B2 (en) * | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
| CA2526284C (en) | 2003-06-25 | 2014-11-18 | Crucell Holland B.V. | Binding molecules for the treatment of myeloid cell malignancies |
| US7063734B2 (en) | 2004-03-23 | 2006-06-20 | Pratt & Whitney Canada Corp. | Air/oil separation system and method |
| EP1615380A1 (en) * | 2004-07-07 | 2006-01-11 | Thomson Multimedia Broadband Belgium | Device and process for wireless local area network association |
| DE102004036621B4 (de) | 2004-07-28 | 2007-04-26 | A. Raymond Et Cie | Spreizniet |
| US7558388B2 (en) * | 2004-10-15 | 2009-07-07 | Broadcom Corporation | Derivation method for cached keys in wireless communication system |
| US8532304B2 (en) * | 2005-04-04 | 2013-09-10 | Nokia Corporation | Administration of wireless local area networks |
| WO2006129287A1 (en) | 2005-06-03 | 2006-12-07 | Koninklijke Philips Electronics N.V. | Method and devices for wireless network access management |
| US8621577B2 (en) * | 2005-08-19 | 2013-12-31 | Samsung Electronics Co., Ltd. | Method for performing multiple pre-shared key based authentication at once and system for executing the method |
| JP5040087B2 (ja) * | 2005-09-06 | 2012-10-03 | 富士通株式会社 | 無線通信ネットワークのセキュリティ設定方法、セキュリティ設定プログラム及び無線通信ネットワークシステム |
| JP2007110487A (ja) * | 2005-10-14 | 2007-04-26 | Oki Electric Ind Co Ltd | Lanシステムおよびその通信方法 |
| US20070223701A1 (en) * | 2006-01-30 | 2007-09-27 | Motorola, Inc. | Method and apparatus for utilizing multiple group keys for secure communications |
| US20070280481A1 (en) * | 2006-06-06 | 2007-12-06 | Eastlake Donald E | Method and apparatus for multiple pre-shared key authorization |
| US7804807B2 (en) * | 2006-08-02 | 2010-09-28 | Motorola, Inc. | Managing establishment and removal of security associations in a wireless mesh network |
| US20080123852A1 (en) * | 2006-11-28 | 2008-05-29 | Jianping Jiang | Method and system for managing a wireless network |
| CN101262670B (zh) * | 2007-03-09 | 2012-01-25 | 鸿富锦精密工业(深圳)有限公司 | 移动装置、通信系统及连线建立方法 |
| US20080250478A1 (en) * | 2007-04-05 | 2008-10-09 | Miller Steven M | Wireless Public Network Access |
| US8707390B2 (en) * | 2007-07-26 | 2014-04-22 | Ca, Inc. | System and method for secure access control in a wireless network |
-
2009
- 2009-01-26 US US12/359,987 patent/US8898474B2/en active Active
- 2009-11-03 WO PCT/US2009/063044 patent/WO2010053889A2/en active Application Filing
- 2009-11-03 CN CN200980144623.3A patent/CN102204304B/zh active Active
- 2009-11-03 JP JP2011534868A patent/JP5506810B2/ja active Active
- 2009-11-03 EP EP09825295.0A patent/EP2345268B1/en active Active
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104509025A (zh) * | 2012-08-01 | 2015-04-08 | 高通股份有限公司 | 用于混合多源解密的系统和方法 |
| CN104509025B (zh) * | 2012-08-01 | 2017-10-20 | 高通股份有限公司 | 用于混合多源解密的系统和方法 |
| CN103763697A (zh) * | 2013-10-29 | 2014-04-30 | 上海斐讯数据通信技术有限公司 | 一种无线接入点多密钥支持系统及方法 |
| CN103763697B (zh) * | 2013-10-29 | 2018-01-16 | 上海斐讯数据通信技术有限公司 | 一种无线接入点多密钥支持系统及方法 |
| CN103731810A (zh) * | 2013-12-31 | 2014-04-16 | 小米科技有限责任公司 | 接入点共享方法及装置 |
| CN105828330A (zh) * | 2015-01-07 | 2016-08-03 | 阿里巴巴集团控股有限公司 | 一种接入方法及装置 |
| CN105828330B (zh) * | 2015-01-07 | 2019-12-27 | 阿里巴巴集团控股有限公司 | 一种接入方法及装置 |
| CN112565199A (zh) * | 2020-11-12 | 2021-03-26 | 腾讯科技(深圳)有限公司 | 一种网络连接方法、装置、网络设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8898474B2 (en) | 2014-11-25 |
| JP2012507963A (ja) | 2012-03-29 |
| JP5506810B2 (ja) | 2014-05-28 |
| EP2345268A4 (en) | 2016-11-30 |
| EP2345268B1 (en) | 2019-08-28 |
| WO2010053889A3 (en) | 2010-07-08 |
| WO2010053889A2 (en) | 2010-05-14 |
| EP2345268A2 (en) | 2011-07-20 |
| US20100115278A1 (en) | 2010-05-06 |
| CN102204304B (zh) | 2014-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102204304B (zh) | 对接入点中的多个预先共享的密钥的支持 | |
| US9088861B2 (en) | Method and apparatus for bearer and server independent parental control on smartphone, managed by smartphone | |
| US20240048985A1 (en) | Secure password sharing for wireless networks | |
| CN110855621B (zh) | 用于控制对车载无线网络的访问的方法 | |
| US9275218B1 (en) | Methods and apparatus for verification of a user at a first device based on input received from a second device | |
| KR100961796B1 (ko) | 무선 네트워크들에서 구조들을 안전하게 하기 위한 장치 및방법 | |
| JP5172624B2 (ja) | スイッチ装置、認証サーバ、認証システム、認証方法、及び、プログラム | |
| CN109922474B (zh) | 触发网络鉴权的方法及相关设备 | |
| WO2018137351A1 (zh) | 一种网络密钥处理的方法、相关设备及系统 | |
| CN105634737B (zh) | 一种数据传输方法、终端及其系统 | |
| KR20100106471A (ko) | 이동 컴퓨팅 장치 상의 소프트웨어 애플리케이션을 관리하는 방법 및 시스템 | |
| US20230344626A1 (en) | Network connection management method and apparatus, readable medium, program product, and electronic device | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN112566119A (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
| WO2018076298A1 (zh) | 一种安全能力协商方法及相关设备 | |
| US20140215559A1 (en) | System and method for adaptive multifactor authentication | |
| JP7312279B2 (ja) | モバイルネットワークアクセスシステム、方法、記憶媒体及び電子機器 | |
| KR20240002666A (ko) | 메신저 서비스를 제공하기 위한 방법, 시스템 및 비일시성의 컴퓨터 판독 가능한 기록 매체 | |
| US10715609B2 (en) | Techniques for adjusting notifications on a computing device based on proximities to other computing devices | |
| KR20130046781A (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
| JP5775589B2 (ja) | 移動通信端末、加入者認証モジュール、通信システムおよび通信方法 | |
| CN109155913A (zh) | 网络连接方法、安全节点的确定方法及装置 | |
| WO2023067247A1 (en) | Methods and systems for dataflow control in low power wide area networks | |
| KR20130062965A (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
| KR20150016799A (ko) | 체크썸을 이용한 보안 메시지 송수신 방법 및 이를 위한 이동통신 단말기 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150515 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150515 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |