一种配置无线终端的方法、 设备及系统 技术领域
本发明涉及通信领域, 尤其涉及一种配置无线终端的方法、 设备及系 统。 背景技术
无线保真 ( Wireless Fidelity, 简称 Wi-Fi ) 具有部署快速、 使用 便利和传输速率高等优势, 被广泛应用于各个行业。 但是 Wi-Fi网络 的安全设置复杂, 使得很多无线网络的用户没有配置任何的安全参 数, 网络很容易遭到攻击。 为了使得用户安全便捷的使用无线网络, Wi-Fi联盟推出了 Wi-Fi安全设置( Wi-Fi Protected Setup , 简称 WPS ) 规范, 又称 Wi-Fi简单配置( Wi-Fi Simple Configuration , 简称 WSC ) , 对接入的无线终端进行安全配置, 使得对无线设置和安全没有太多了 解的用户也可以简单方便地设置安全的 WLAN , 方便安全地向网络中 添力口设备。
WPS规范中定义了一个称为注册器( Registrar )的实体来完成对 无线终端的配置。 注册器可以内置于无线接入设备, 也可以外置于无 线接入设备, 外置的注册器可以称其为配置设备。 对于使用外置配置 设备的情况, 在现有技术对无线终端进行配置过程中, 无线终端需要 通过无线接入设备来转发相应的请求至配置设备, 而配置设备也需要 通过无线接入设备来转发相应的响应至无线终端, 因此三者在配置的 过程中都必须处于工作状态, 在无线接入设备处于不能与无线终端正 常通信的区域或者无线接入设备处于离线状态时不能完成对无线终 端的配置, 使得配置无线终端的过程缺乏灵活性。 发明内容
本发明的实施例提供一种配置无线终端的方法、 设备及系统。 通过配 置设备与无线终端的直接通信完成对无线终端的配置, 实现配置过程无需 无线接入设备参与也能完成对无线终端的配置。 为达到上述目的, 本发明的实施例采用如下技术方案:
第一方面, 本发明实施例提供了一种配置无线终端的方法, 其中, 配 置设备与无线终端之间直接连接, 该方法包括:
所述配置设备获取所述无线终端的设备标识信息和配置密码信 自 ·
所述配置设备根据所述无线终端的设备标识信息向所述无线终 端发送配置触发信息;
所述配置设备根据所述配置密码信息与所述无线终端进行验证, 以确定所述无线终端拥有所述配置密码信息;
所述配置设备向所述无线终端发送所述无线终端接入无线接入 设备的信任状信息和所述无线接入设备的设备标识信息, 以使得在验 证成功后, 所述无线终端根据所述信任状信息和所述无线接入设备的 设备标识信 , 请求接入所述无线接入设备;
所述配置设备向所述无线接入设备发送所述信任状信息和所述 无线终端的设备标识信息, 以使得所述无线接入设备根据所述信任状 信息和所述无线终端的设备标识信息对所述无线终端接入所述无线 接入设备的请求进行处理。
在第一种可能的实现方式中, 结合第一方面, 所述配置设备获取所 述无线终端的设备标识信息和配置密码信息, 包括,
所述配置设备通过扫描所述无线终端设备的多维码获取所述配 置密码信息以及所述无线终端的设备标识信息。
在第二种可能的实现方式中, 结合第一方面, 所述配置设备获取无 线终端的设备标识信息和配置密码信息, 包括,
所述配置设备接收所述无线终端发送的配置请求信息,所述配置 请求信息包括所述无线终端的设备标识信息和使用个人身份识另 'J码
( Personal Identification Number , 简称 PIN ) 方式的指示信息;
所述配置设备接收用户输入的所述配置密码信息, 所述配置密码 信息包括所述无线终端的 PIN。
在第三种可能的实现方式中, 结合第一方面, 所述配置设备获取无 线终端的设备标识信息和配置密码信息, 包括,
所述配置设备接收所述无线终端发送的配置请求信息,所述配置
请求信息包括所述无线终端的设备标识信息和使用按钮配置 ( Push Button Control , 简称 PBC ) 方式的指示信息;
所述配置设备通过与无线终端进行 PBC 配置方式的交互并在交 互过程中使用缺省的 PIN作为配置密码信息。
在第四种可能的实现方式中, 结合第一方面, 所述配置设备获取无 线终端的设备标识信息和配置密码信息, 包括,
所述配置设备通过近场通信 (Near Field Communication , 简称 NFC )接口读取所述无线终端的配置密码信息以及所述无线终端的设 备标识信息。
在第五种可能的实现方式中, 结合第一方面、 第一种至第四种可 能的实现方式中的任一项, 所述配置设备与所述无线终端之间直接连 接的方式包括临时网络 ad hoc连接。
在第六种可能的实现方式中, 结合第一方面、 第一种至第四种可 能的实现方式中的任一项, 所述直接连接的方式包括点对点 ( Peer to Peer, 简称 P2P ) 连接。
在第七种可能的实现方式中, 结合第六种可能的实现方式, 所述 配置设备根据所述无线终端的设备标识信息向所述无线终端发送配 置触发信息包括,
所述配置设备根据所述无线终端的设备标识信息通过探测响应 帧或者信标帧向所述无线终端发送配置触发信息。
在第八种可能的实现方式中,结合第六种或者第七种可能的实现 方式中的任一项, 所述配置设备根据所述配置密码信息与所述无线终 端进行验证包括, 所述配置设备根据所述配置密码信息通过扩展认证协议 ( Extensible Authentication Protocol , 简称 EAP ) 消息与所述无线终 端进行验证。
在第九种可能的实现方式中,结合第六种至第八种可能的实现方 式中的任一项, 所述配置设备向所述无线终端发送所述无线终端接入 无线接入设备的信任状信息和所述无线接入设备的设备标识信息包 括,
所述配置设备通过所述 EAP 消息向所述无线终端发送所述无线 终端接入无线接入设备的信任状信息和所述无线接入设备的设备标 识信息。
第二方面, 本发明实施例提供了一种配置无线终端的方法, 其中, 无 线终端与配置设备之间直接连接, 该方法包括:
所述无线终端接收所述配置设备根据所述无线终端的设备标识 信息发送的配置触发信息;
所述无线终端与所述配置设备进行验证, 以使得所述配置设备确 定所述无线终端拥有配置密码信息;
所述无线终端接收所述配置设备发送的所述无线终端接入无线 接入设备的信任状信 , 以及所述无线接入设备的标识信息, 以使得在 验证成功后, 所述无线终端根据所述信任状信息和所述无线接入设备 的设备标识信息请求接入所述无线接入设备。 在第一种可能的实现方式中, 结合第二方面, 在所述无线终端接收 所述配置设备根据所述无线终端的设备标识信息发送的配置触发信 息之前, 所述方法还包括: 所述无线终端向所述配置设备发送配置请求消息,所述配置请求 消息包括所述无线终端的设备标识信息和使用 PIN方式的指示信息, 以使得所述配置设备根据所述配置请求消息接收用户输入的所述配 置密码信息, 所述配置密码信息包括所述无线终端的 PIN。
在第二种可能的实现方式中, 结合第二方面, 在所述无线终端接收 配置设备根据所述无线终端的设备标识信息发送的配置触发信息之 前, 所述方法还包括: 所述无线终端向所述配置设备发送配置请求消息,所述配置请求 消息包括所述无线终端的设备标识信息和使用 PBC方式的指示信息; 以使得所述配置设备通过与无线终端进行 PBC 配置方式的交互并在 交互过程中使用缺省的 PIN作为配置密码信息。
在第三种可能的实现方式中, 结合第二方面, 第一种或第二种可 能的实现方式中的任一项, 所述直接连接方式包括 ad hoc连接。
在第四种可能的实现方式中, 结合第二方面, 第一种或第二种可
能的实现方式中的任一项, 所述直接连接的方式包括 P2P连接。 在第五种可能的实现方式中, 结合第四种可能的实现方式, 所述 无线终端接收所述配置设备根据所述无线终端的设备标识信息发送 的配置触发信息包括,
所述无线终端接收所述配置设备根据所述无线终端的设备标识 信息通过探测响应帧或者信标帧发送的配置触发信息。
在第六种可能的实现方式中,结合第四种或者第五种可能的实现 方式中的任一项, 所述无线终端与所述配置设备进行验证包括: 所述无线终端通过 EAP消息与所述配置设备进行验证。
在第七种可能的实现方式中,结合第四种至第六种可能的实现方 式中的任一项, 所述无线终端接收所述配置设备发送的所述无线终端 接入无线接入设备的信任状信 , 以及所述无线接入设备的标识信 , 包括,
所述无线终端接收所述配置设备通过所述 EAP 消息发送的所述 无线终端接入无线接入设备的信任状信息以及所述无线接入设备的 标识信息。
第三方面, 本发明实施例提供了一种配置设备, 与无线终端直接连 接, 该配置设备包括,
获取器,用于获取配置密码信息以及将所述配置密码信息传输至 处理器;
处理器, 用于根据所述配置密码信息生成配置触发信息; 以及用于根据所述配置密码信息与所述无线终端进行验证以确 定所述无线终端拥有所述配置密码信息;
通信单元, 通过直接连接的通信链路与外部网元进行通信, 用于 向所述无线终端发送配置触发信息;
以及向所述无线终端发送接入无线接入设备的信任状信息和所 述无线接入设备的设备标识信息, 以使得在验证成功后, 所述无线终 端根据所述信任状信息和所述无线接入设备的设备标识信 , 请求接 入所述无线接入设备;
以及向所述无线接入设备发送所述无线终端的信任状信 , 和所
述无线终端的设备标识信息, 以使得所述无线接入设备根据所述无线 终端的信任状信息和所述无线终端的标识信息对所述无线终端接入 所述无线接入设备的请求进行处理。
在第一种可能的实现方式中, 结合第三方面, 所述获取器包括多维 码扫描器, 用于扫描所述无线终端设备的多维码获取所述配置密码信 , ¾以及所述无线终端的设备标识信息。
在第二种可能的实现方式中, 结合第三方面, 所述通信单元还用于, 接收所述无线终端发送的配置请求消息, 所述配置请求消息包括所述 无线终端的设备标识信息和使用 PIN方式的指示信息; 所述获取器包括键盘, 用于接收用户输入的所述无线终端的配置 密码信息, 所述配置密码信息包括所述无线终端的个人身份识别码 PIN。
在第三种可能的实现方式中, 结合第三方面, 所述通信单元还用于, 接收所述无线终端发送的配置请求消息, 所述配置请求消息包括所述 无线终端的设备标识信息和使用 PBC方式的指示信息;
所述获取器包括 PBC按钮, 用于与所述无线终端进行 PBC配置 方式的交互并在交互过程中使用缺省的 PIN作为配置密码信息。
在第四种可能的实现方式中, 结合第三方面, 所述获取器包括 NFC 接口, 用于读取所述无线终端的配置密码信息以及所述无线终端的设 备标识信息。
在第五种可能的实现方式中, 结合第三方面、 第一种至第四种可 能的实现方式中的任一项, 所述通信单元通过直接连接的通信链路与 外部网元进行通信包括,所述通信单元通过 ad hoc连接链路与外部网 元进行通信。
在第六种可能的实现方式中, 结合第三方面、 第一种至第四种可 能的实现方式中的任一项, 所述通信单元通过直接连接的通信链路与 外部网元进行通信包括, 所述通信单元通过 P2P连接链路与外部网元 进行通信。
在第七种可能的实现方式中, 结合第六种可能的实现方式, 所述 配置触发信息包括探测响应帧或者信标帧。
在第八种可能的实现方式中,结合第六种或第七种可能的实现方 式, 所述根据所述配置密码信息与所述无线终端进行验证以确定所述 无线终端拥有所述配置密码信息, 具体包括:
根据所述配置密码信息通过 EAP 消息与所述无线终端进行验证 以确定所述无线终端拥有所述配置密码信息。
在第九种可能的实现方式中, 结合第六种至第八种可能的实现方 式中的任一项, 所述向所述无线终端发送接入无线接入设备的信任状 信息和所述无线接入设备的设备标识信息, 具体包括: 通过所述 EAP 消息向所述无线终端发送接入无线接入设备的信任状信息和所述无 线接入设备的设备标识信息。
第四方面, 本发明实施例提供了一种配置设备, 该配置设备包括, 获取单元,用于获取所述无线终端的设备标识信息和配置密码信 , ¾以及将所述无线终端的设备标识信息传输至第一发送单元, 将所述 无线终端的配置密码信息传输至验证单元; 第一发送单元,用于从获取单元接收所述无线终端的设备标识信 息以及根据所述无线终端的设备标识信息通过直接连接的通信链路 向所述无线终端发送配置触发信息; 验证单元, 用于从所述获取单元接收所述配置密码信息, 以及根 据所述配置密码信息通过直接连接的通信链路与所述无线终端进行 验证, 以确定所述无线终端拥有所述配置密码信息; 所述第一发送单元还用于,通过直接连接的通信链路向所述无线 终端发送所述无线终端接入无线接入设备的信任状信息和所述无线 接入设备的设备标识信息, 以使得所述验证单元验证成功后, 所述无 线终端根据所述信任状信息和所述无线接入设备的设备标识信 , 请 求接入所述无线接入设备; 第二发送单元, 用于从所述获取单元接收所述无线终端的设备标 识信息, 以及向所述无线接入设备发送所述无线终端的信任状信 , ¾和 所述无线终端的设备标识信息, 以使得所述无线接入设备根据所述无 线终端的信任状信息和所述无线终端的设备标识信息对所述无线终 端接入所述无线接入设备的请求进行处理。
在第一种可能的实现方式中, 结合第四方面, 所述获取单元用于, 扫描所述无线终端设备的多维码获取所述无线终端的配置密码信 , ¾ 以及所述无线终端的设备标识信息。
在第二种可能的实现方式中, 结合第四方面, 所述获取单元包括: 接收模块, 用于接收所述无线终端发送的配置请求消息, 所述配 置请求消息包括所述无线终端的设备标识信息和使用 PIN 方式的指 示信息;
PIN模块, 用于接收用户输入的所述无线终端的配置密码信息, 所述无线终端的配置密码信息包括所述无线终端的 P I N。
在第三种可能的实现方式中, 结合第四方面, 所述获取单元包括: 接收模块, 用于接收所述无线终端发送的配置请求消息, 所述配 置请求消息包括所述无线终端的设备标识信息和使用 PBC 方式的指 示信息;
PBC模块, 用于通过与无线终端进行 PBC 配置方式的交互并在 交互过程中使用缺省的 PIN作为配置密码信息。
在第四种可能的实现方式中, 结合第四方面, 所述获取单元还用于, 通过 NFC 接口读取所述无线终端的配置密码信息以及所述无线终端 的设备标识信息。
在第五种可能的实现方式中, 结合第四方面、 第一种至第四种可 能的实现方式中的任一项, 所述直接连接包括 ad hoc连接。
在第六种可能的实现方式中, 结合第四方面、 第一种至第四种可 能的实现方式中的任一项, 所述直接连接包括 P2P连接。
在第七种可能的实现方式中, 结合第六种可能的实现方式, 所述 第一发送单元, 用于根据所述无线终端的设备标识信息通过探测响应 帧或者信标帧向所述无线终端发送配置触发信息。 在第八种可能的实现方式中, 结合第六种或第七种可能的实现方 式, 所述验证单元, 用于根据所述配置密码信息通过 EAP 消息与所 述无线终端进行验证。
在第九种可能的实现方式中,结合第六种至第八种可能的实现方 式中的任一项, 所述第一发送单元用于, 通过所述 EAP 消息向所述 无线终端发送所述无线终端接入无线接入设备的信任状信息和所述 无线接入设备的设备标识信息。
第五方面, 本发明实施例提供了一种无线终端, 与配置设备直接连 接, 该无线终端包括,
通信单元, 通过直接连接的通信链路与外部网元进行通信, 用于 接收所述配置设备根据所述无线终端的设备标识信息发送的配置触 发信息;
处理器, 用于与所述配置设备进行验证, 以使得所述配置设备确 定所述无线终端拥有配置密码信息;
所述通信单元还用于,接收所述配置设备发送的所述无线终端接 入无线接入设备的信任状信 , 以及所述无线接入设备的标识信息, 以 使得在所述无线终端与所述配置设备验证成功后, 所述无线终端根据 所述信任状信息和所述无线接入设备的设备标识信息请求接入所述 无线接入设备。
在第一种可能的实现方式中, 结合第五方面, 所述通信单元还用于, 向所述配置设备发送配置请求消息, 所述配置请求消息包括所述无线 终端的设备标识信息和使用 PIN方式的指示信息, 以使得所述配置设 备根据所述配置请求消息接收用户输入的所述配置密码信息, 所述配 置密码信息包括所述无线终端的 PIN。
在第二种可能的实现方式中, 结合第五方面, 所述通信单元还用于, 向所述配置设备发送配置请求消息, 所述配置请求消息包括所述无线 终端的设备标识信息和使用 PBC 方式的指示信息; 以使得所述配置 设备通过与无线终端进行 PBC 配置方式的交互并在交互过程中使用 缺省的 PIN作为配置密码信息。
在第三种可能的实现方式中, 结合第五方面, 第一种或第二种可 能的实现方式中的任一项, 所述通信单元通过直接连接的通信链路与 外部网元进行通信包括,所述通信单元通过 ad hoc连接链路与外部网 元进行通信。
在第四种可能的实现方式中, 结合第五方面, 第一种或第二种可 能的实现方式中的任一项, 所述通信单元通过直接连接的通信链路与 外部网元进行通信包括, 所述通信单元通过 P2P连接链路与外部网元 进行通信。
在第五种可能的实现方式中, 结合第四种可能的实现方式, 所述 通信单元, 用于接收所述配置设备根据所述无线终端的设备标识信, 通过探测响应帧或者信标帧发送的配置触发信息。 在第六种可能的实现方式中,结合第四种或者第五种可能的实现 方式中的任一项, 所述与所述配置设备进行验证, 以使得所述配置设 备确定所述无线终端拥有配置密码信息, 具体包括, 通过 EAP 消息 与所述配置设备进行验证。
在第七种可能的实现方式中,结合第四种至第六种可能的实现方 式中的任一项, 所述接收所述配置设备发送的所述无线终端接入无线 接入设备的信任状信息以及所述无线接入设备的标识信息, 具体包括 接收所述配置设备通过所述 EAP 消息发送的所述无线终端接入无线 接入设备的信任状信 , 以及所述无线接入设备的标识信息。
第六方面, 本发明实施例提供了一种无线终端, 与配置设备直接连 接, 该无线终端包括,
接收单元,用于通过直接连接的通信链路接收所述配置设备根据 所述无线终端的设备标识信息发送的配置触发信息;
验证单元,用于通过直接连接的通信链路与所述配置设备进行验 证, 以使得所述配置设备确定所述无线终端拥有配置密码信息; 所述接收单元还用于, 通过直接连接的通信链路接收所述配置设 备发送的所述无线终端接入无线接入设备的信任状信息以及所述无 线接入设备的标识信息, 以使得在所述无线终端与所述配置设备验证 成功后, 所述无线终端根据所述信任状信息和所述无线接入设备的设 备标识信 , ¾请求接入所述无线接入设备。 在第一种可能的实现方式中, 结合第六方面, 所述无线终端还包括 发送单元, 用于向所述配置设备发送配置请求消息, 所述配置请求消 息包括所述无线终端的设备标识信息和使用个人身份识别码 PIN 方
式的指示信息, 以使得所述配置设备根据所述配置请求消息接收用户 输入的所述配置密码信息, 所述配置密码信息包括所述无线终端的
PIN。
在第一种可能的实现方式中, 结合第六方面, 所述无线终端还包括 发送单元, 向所述配置设备发送配置请求消息, 所述配置请求消息包 括所述无线终端的设备标识信息和使用按钮配置 PBC 方式的指示信 息; 以使得所述配置设备通过与无线终端进行 PBC 配置方式的交互 并在交互过程中使用缺省的 PIN作为配置密码信息。
在第三种可能的实现方式中, 结合第六方面, 第一种或第二种可 能的实现方式中的任一项, 所述直接连接包括 ad hoc连接。
在第四种可能的实现方式中, 结合第六方面, 第一种或第二种可 能的实现方式中的任一项, 所述直接连接为 P2P连接。
在第五种可能的实现方式中, 结合第四种可能的实现方式, 所述 接收单元, 用于接收所述配置设备根据所述无线终端的设备标识信 , ¾ 通过探测响应帧或者信标帧发送的配置触发信息。
在第六种可能的实现方式中,结合第四种或者第五种可能的实现 方式中的任一项, 所述验证单元用于, 通过 EAP 消息与所述配置设 备进行验证。
在第七种可能的实现方式中,结合第四种至第六种可能的实现方 式中的任一项, 所述接收单元用于, 接收所述配置设备通过所述 EAP 消息发送的所述无线终端接入无线接入设备的信任状信 , 以及所述 无线接入设备的标识信息。
第七方面, 本发明实施例提供了一种配置设备的系统,
包括如第三方面或第四方面任一项所述的配置设备以及如第五方面 或第六方面任一项所述的无线终端。 在第一种可能的实现方式中, 结合第七方面, 所述系统还包括, 无线接入设备, 用于接收所述配置设备发送的所述无线终端的信 任状信息和所述无线终端的标识信息, 以及根据所述无线终端的信任 状信息和所述无线终端的标识信息对所述无线终端接入所述无线接
入设备的请求进行处理。 本发明实施例提供的配置无线终端的方法、 设备及系统, 通过配置设 备与无线终端的直接通信完成对无线终端的配置, 实现配置过程无需无线 接入设备参与也能完成对无线终端的配置。 使得配置过程更加灵活。 解决 了现有技术在配置过程中都必须处于工作状态, 在无线接入设备处于不能 正常通信的区域或者无线接入设备处于离线状态时不能完成对无线终端的 配置的问题。 附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面 将对实施例或现有技术描述中所需要使用的附图作简单地介绍, 显而 易见地, 下面描述中的附图仅仅是本发明的一些实施例, 对于本领域 普通技术人员来讲, 在不付出创造性劳动的前提下, 还可以根据这些 附图获得其他的附图。
图 1为本发明实施例提供的一种配置无线终端的方法流程图; 图 2为本发明实施例提供的另一种配置无线终端的方法流程图; 图 3为本发明实施例提供的另一种配置无线终端的方法流程图; 图 4为本发明实施例提供的一种验证方法的流程图;
图 5为本发明实施例提供的另一种验证方法的流程图; 图 6为本发明实施例提供的另一种验证方法的流程图;
图 7为本发明实施例提供的一种配置设备的装置图;
图 8为本发明实施例提供的另一种配置设备的装置图;
图 9为本发明实施例提供的另一种配置设备的装置图;
图 10为本发明实施例提供的另一种配置设备的装置图; 图 1 1为本发明实施例提供的一种无线终端的装置图;
图 12为本发明实施例提供的另一种无线终端的装置图; 图 13为本发明实施例提供的另一种无线终端的装置图; 图 14为本发明实施例提供的一种配置无线终端的系统图;
图 15为本发明实施例提供的另一种配置无线终端的系统图。 具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方 案进行清楚、 完整地描述, 显然, 所描述的实施例仅仅是本发明一部 分实施例, 而不是全部的实施例。 基于本发明中的实施例, 本领域普 通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例, 都属于本发明保护的范围。
需要说明的是, 本发明方法实施例中涉及 S 101、 S 102等编号, 只具有标识方法中各步骤的作用, 并不限定各编号步骤之间的先后顺 序。
参见图 1 , 为配置设备侧配置无线终端的方法流程示意图, 其中, 配置设备与无线终端之间直接连接, 可以包括点对点 ( P2P ) 连接方 式和临时网络 ( ad hoc ) 连接方式, 本发明实施例对配置设备与无线 终端的直接连接的方式不进行限制, 示例性的, 本发明实施例中配置 设备与无线终端采用 P2P连接方式。 如图所示, 可以包括以下步骤:
S 101 : 配置设备获取无线终端的设备标识信息和配置密码信息; 示例性的,配置设备获取无线终端的设备标识信息和配置密码信 息, 可以选择以下任一种方式进行:
1、 配置设备通过扫描无线终端设备的多维码获取配置密码信息 以及无线终端的设备标识信息。
2、 配置设备接收无线终端发送的配置请求消息, 配置请求消息 包括无线终端的设备标识信息和使用 PIN方式的指示信息;
配置设备接收用户输入的配置密码信息, 配置密码信息包括无线 终端的 PIN。
3、 配置设备接收无线终端发送的配置请求消息, 配置请求消息 包括无线终端的设备标识信息和使用 PBC方式的指示信息;
配置设备通过与无线终端进行 PBC 配置方式的交互并在交互过 程中使用缺省的 PIN (例如 WPS规范中规定的 " 00000000" ) 作为配 置密码。
4、 配置设备通过 NFC接口读取无线终端的配置密码信息以及无 线终端的设备标识信息。
S 102 :配置设备根据无线终端的设备标识信息向无线终端发送配 置触发信息;
示例性的,配置设备根据无线终端的设备标识信息可以通过探测 响应帧或者信标帧向无线终端发送配置触发信息。
S 103 : 配置设备根据配置密码信息与无线终端进行验证, 以确定 无线终端拥有配置密码信息;
示例性的, 配置设备根据配置密码信息可以通过 EAP 消息与无 线终端进行验证。
S 104 :配置设备向无线终端发送无线终端接入无线接入设备的信 任状信息和无线接入设备的设备标识信息, 以使得在验证成功后, 无 线终端根据信任状信息和无线接入设备的设备标识信息请求接入无 线接入设备。
示例性的, 配置设备可以通过 EAP 消息向无线终端发送无线终 端接入无线接入设备的信任状信息和无线接入设备的设备标识信息。 需要说明的是,根据不同的验证方式及消息交互流程, 步骤 S 104 也可以与步骤 S 103 同时进行,本实施例不限于在完成 S 103步骤后再 执行步骤 S 104。
S 105 :配置设备向无线接入设备发送信任状信息和无线终端的设 备标识信息, 以使得无线接入设备根据信任状信息和无线终端的设备 标识信息对无线终端接入无线接入设备的请求进行处理。
需要说明的是,步骤 S 105 可以在步骤 S 103验证成功之后的任何 时间进行, 本实施例不限于完成步骤 S 103或步骤 S014后立即执行步 骤 S 105。 本发明实施例提供的配置无线终端的方法,通过配置设备与无线 终端的直接通信完成对无线终端的配置, 实现配置过程无需无线接入 设备参与也能完成对无线终端的配置。 使得配置过程更加灵活。 解决 了现有技术在配置过程中都必须处于工作状态, 在无线接入设备处于
不能正常通信的区域或者无线接入设备处于离线状态时不能完成对 无线终端的配置的问题。 图 2为无线终端侧配置无线终端的方法流程示意图, 其中, 无线 终端与配置设备之间直接连接,可以包括 P2P连接方式和 ad hoc连接 方式, 本发明实施例对配置设备与无线终端的直接连接的方式不进行 限制, 优选的, 本发明实施例中配置设备与无线终端采用 P2P连接方 式。 如图所示, 可以包括以下步骤:
S201 :无线终端接收配置设备根据无线终端的设备标识信息发送 的配置触发信息;
示例性的, 无线终端的设备标识信息可以由配置设备获取; 无线 终端接收配置设备根据无线终端的设备标识信息通过探测响应帧或 者信标帧发送的配置触发信息, 并且在无线终端接收配置设备根据无 线终端的设备标识信息发送的配置触发信息之前, 可以包括以下任意 一个步骤:
无线终端向配置设备发送配置请求消息,该配置请求消息包括无 线终端的设备标识信息和使用 PIN方式的指示信息, 以使得配置设备 根据配置请求消息接收用户输入的配置密码信息, 配置密码信息包括 无线终端的 PIN; 或者,
无线终端向配置设备发送配置请求消息,该配置请求消息包括无 线终端的设备标识信息和使用 PBC 方式的指示信息, 以使得配置设 备通过与无线终端进行 PBC 配置方式的交互并在交互过程中使用缺 省的 PIN作为配置密码信息。
S202: 无线终端与配置设备进行验证, 以使得配置设备确定无线 终端拥有配置密码信息,
示例性的, 无线终端的配置密码信息可以由配置设备获取, 无线 终端通过 EAP消息与配置设备进行验证。
S203 :无线终端接收所述配置设备发送的无线终端接入无线接入 设备的信任状信 , 以及无线接入设备的标识信息, 以使得在验证成功
后, 无线终端根据信任状信, ¾和无线接入设备的设备标识信 , ¾请求接 入无线接入设备;
示例性的, 无线终端接收配置设备通过 EAP 消息发送的无线终 端接入无线接入设备的信任状信 , 以及无线接入设备的标识信息, 需要说明的是,根据不同的验证方式及消息交互流程, 步骤 S203 也可以与步骤 S202同时进行, 本实施例不限于在完成 S202步骤后再 执行步骤 S203。 在完成 S203 之后, 无线终端就可以按照从配置设备获得的无线 接入设备的标识信息去发现无线接入设备, 在找到指定的无线接入设 备后使用获得的信任状信息与该无线接入设备建立安全的连接。
本发明实施例提供的配置无线终端的方法,通过配置设备与无线 终端的直接通信完成对无线终端的配置, 实现配置过程无需无线接入 设备参与也能完成对无线终端的配置。 使得配置过程更加灵活。 解决 了现有技术在配置过程中都必须处于工作状态, 在无线接入设备处于 不能正常通信的区域或者无线接入设备处于离线状态时不能完成对 无线终端的配置的问题。 下面通过具体实施例对上述方法实施例进行说明, 参见图 3 , 包 括:
301 : 初始 WLAN建立, 配置设备成为无线接入设备的配置管理 哭口 . ,
示例性的, 本发明实施例可以应用于 Wi-Fi网络, 可以包含配置 设备, 无线接入设备以及无线终端, 其中, 配置设备为无线接入设备 的配置管理设备, 用以管理无线网络建立、 添加和删除无线终端; 无 线接入设备为无线终端进入网络的接入设备, 包括但不限于接入点 ( Access Point , 简称 AP ) , 本实施例以无线接入设备为 AP为例进行 说明, 例如无线终端可以通过 AP进入家庭网络(局域网 )、 或者进入 互联网、 也可以进入企业网或行业专网 (例如智能传感网, 其中无线 终端是传感器) 等。 本实施例中的配置设备根据其功能可以为现有的 WPS2.0规范中的定义 AP的外置注册器( External Registrar ) , 可以理 解, 所述配置设备并不限定为现有 WPS2.0规范中所定义的外置注册
哭口 。
示例性的 , 配置设备在初始无线局域网建立过程中与 AP进行交 互成为 AP的配置设备; 优选的, 配置设备可以根据 WPS规范的 EAP 与 AP进行交互, 成为 AP的配置设备, 当然, 若 WPS规范中配置设 备与 AP进行交互的协议改变, 改变后的协议也可以直接应用于本发 明实施例;
配置设备还可以通过接收用户输入的配置参数成为 AP的配置设 备, 即配置设备可以在未与 AP交互的情况下成为 AP的配置设备。 优选的, 本发明实施例中采用配置设备在初始 WLAN 建立过程 中与 AP进行交互成为 AP 的配置设备, 并用来配置后续其他需要加 入的无线终端,其交互过程本领域技术人员十分熟悉,在此不再赘述。
302 : 配置设备获取无线终端的设备标识信息和第一配置密码信 自 · 为了描述方便,本实施例中将配置设备所获取到的无线终端的配 置密码信息称为第一配置密码信息, 将无线终端自身所拥有的配置密 码信息称为第二配置密码信息, 第一配置密码信息和第二配置密码信 息应该相同, 类型可以为 PIN 或密码, 可以编码于多维码、 存储于 NFC标签、 以字符串显示于标签等, 例如, 无线终端的多维码可以为 静态多维码, 如标签打印的多维码, 或动态多维码, 如由无线终端动 态生成的多维码; 多维码码制可以为任何可以识读的一维条码、 二维 条码码制, 例如通用产品代码 ( Universal Product Code , 简称 UPC )、 快速响应码 ( Quick Response Code , 简称 QR Code ) 等。 本发明并不 以此为限。无线终端的配置密码信息可以静态存储于无线终端的 N F C 标签内, 或是以某种方式动态生成后存储于无线终端的 NFC标签中。
无线终端的设备标识信息可以是能够唯一标识无线终端的任何 信息, 本实施例对此不进行限定, 例如, 可以为无线终端的介质访问 控制 ( Media Access Control , 简称 MAC ) 地址。
示例性的,配置设备获取无线终端的设备标识信息和第一配置密 码信息可以选择以下任一种方式进行:
1、 配置设备通过扫描无线终端的多维码获取配置密码信息以及
无线终端的设备标识信息。
2、 配置设备接收无线终端的配置请求消息, 配置请求消息包括 无线终端的设备标识信息和使用 PIN方式的指示信息;
示例性的,配置设备可以通过以下任一种方式接收无线终端的配 置请求消息:
A、 配置设备向外广播信标帧, 无线终端接收到信标帧后向配置 设备发送一个配置请求消息, 配置设备接收到配置请求消息之后向无 线终端发送探测回复, 从而获得无线终端的设备标识信息;
B、 无线终端主动在各信道上发送配置请求消息, 配置设备接收 接收到配置请求消息之后向无线终端发送探测回复, 从而获得无线终 端的设备标识信息;
配置设备接收用户输入的配置密码信息, 配置密码信息包括无线 终端的 PIN。
3、 配置设备接收无线终端的配置请求消息, 配置请求消息包括 无线终端的设备标识信息和使用 PBC 方式的指示信息, 其中, 获取 配置请求消息的过程与 PIN方式中配置请求消息的接收方法相同; 此 处不再赘述;
配置设备通过与无线终端进行 PBC 配置方式的交互并在交互过 程中使用缺省的 PIN (例如 WPS规范中规定的 " 00000000" ) 作为配 置密码。
4、 配置设备通过 NFC接口读取无线终端的配置密码信息以及无 线终端的设备标识信息。
303 : 配置设备向无线终端发送配置触发信息;
根据实际的交互方式的不同, 配置触发信息可以为任意由配置设 备发送的能够触发无线终端与其进行配置消息交互的消息, 例如, 配 置设备根据无线终端的设备标识信息向无线终端发送信标帧或者探 测响应消息 ( probe response ) , 以触发无线终端向配置设备进行后续 的配置消息交互。 本发明并不以此为限。
308 : 配置设备与无线终端进行验证;
309 : 配置设备向无线终端发送信任状以及 AP的设备标识信息; 示例性的, 配置设备可以通过 EAP 消息将无线终端的信任状和 AP 的设备标识信息发送给无线终端, 以使得无线终端根据信任状信 息和 AP的标识信息请求接入 AP。 需要说明的是, 本领域技术人员可以理解, 步骤 308与步骤 309 可先后进行, 也可以同时进行, 这完全取决于验证交互方式。 例如, 信任状信息和 AP的设备标识信息可以在验证过程结束后进行发送, 也可以同时在验证交互消息中进行发送, 也可以作为验证过程的一部 分, 作为验证成功与否的判决条件之一, 本发明并不以此为限。 此外 信任状信息和 AP的设备标识信息可以同时发送, 也可以分开发送。
3 10 : 配置设备向 AP 发送无线终端的信任状信息以及无线终端 的设备标识信息。
示例性的, 配置设备可以向 AP发送通知消息, 通知消息中包含 信任状信息和无线终端的设备标识信息, 使得 AP根据信任状信息和 无线终端的设备标识信息对无线终端的接入请求进行处理。 需要说明 的是, 步骤 3 10不限于在步骤 308或步骤 309之后立即执行, 其执行 时间根据实际配置需求确定。 例如, 在家庭网络中, 当 AP和无线终 端均已安装完成并上电工作时, 步骤 3 10可以在完成步骤 308或步骤 309后立即执行; 在传感器网络中, 因需要配置大量的传感器设备, 且传感器设备安装后分布较零散, 不便于安装后配置, 因此需要在安 装之前批量配置, 此时步骤 3 10可以在步骤 308或步骤 309后的较长 时间后执行。
示例性的,本实施例中配置设备与无线终端可以采用直接连接的 方式进行直接通信, 以完成配置设备与无线终端的验证, 其中, 直接 连接的方式可以包括 P2P连接方式和 ad hoc连接方式,本发明实施例 对配置设备与无线终端的直接连接的方式不进行限制。 优选的, 本实 施例中配置设备与无线终端采用 P2P连接方式。
下述步骤 304—步骤 307是无线终端与配置设备完成点对点连接 的过程, 该过程可以发生在步骤 303与步骤 308之间, 其中, 配置设 备为 P2P连接中的群所有者 ( Group Owner, 简称 GO ) , 无线终端为
P2P连接中的群客户端 ( Client )。
304 : 无线终端向配置设备发送鉴权请求消息;
305 : 配置设备向无线终端发送鉴权响应消息;
示例性的, 配置设备向无线终端发送鉴权回复, 其中包含允许无 线终端与配置设备进行连接的信息。
306 : 无线终端向配置设备发送关联请求消息;
示例性的, 无线终端接收到鉴权响应消息之后, 向配置设备发送 包含连接请求信, I,的关联请求消 , ¾。
307: 配置设备向无线终端发送关联响应消息;
示例性的, 配置设备根据接收到的连接请求, 向无线终端发送连 接信息, 完成配置设备与无线终端的 P2P连接。
需要说明的是, 步骤 304、 步骤 305、 步骤 306、 步骤 307 为依 据现有的 IEEE802.1 1 -2012协议而设计的。 示例性的, 参见图 4-图 6 , 本发明实施例针对步骤 308 , 具体分 别描述了三种类型的验证方式: 1、 配置设备与无线终端进行 4 步握 手进行双向验证, 即配置设备要验证无线终端拥有配置设备所获得的 第一配置密码信息, 无线终端也验证配置设备获得了 自 己的第二配置 密码信息; 2、 配置设备单向验证无线终端, 即配置设备验证其获得 的第一配置密码信息来自其进行配置过程的无线终端; 3、 配置设备 与无线终端采用现有的 WPS2.0中的 EAP认证过程进行双向验证, 即 配置设备要验证无线终端拥有配置设备所获得的第一配置密码信息, 无线终端也验证配置设备获得了 自 己的第二配置密码信息。 需要说明 的是, 具体的验证方式可以有多种, 任何通过信息交互并进行匹配确 认的验证方式均适用于本发明实施例步骤 308所述的验证过程, 本发 明实施例所提供的三种验证方式只是对验证过程的一个详细说明。 下 面分别对上述三种验证方式进行说明。
参见图 4 , 为第一种验证方法的详细过程:
401 : 配置设备与无线终端各自生成一个随机值, 分别为 Ra 和
Ea;
402 : 配置设备向无线终端发送消息一, 消息一中包含 Ra;
403 : 无线终端根据接收到的 Ra和自身生成的 Ea和第二配置密 码信息, 生成共享密钥 Keyl ;
404 : 无线终端向配置设备发送消息二, 消息二中包含 Ea及利用 Keyl加密消息二摘要得到的第一消息完整性代码 ( Message Integrity Code , 简称 MIC );
405 : 配置设备根据接收到的 Ea和自身生成的 Ra和第一配置密 码信息, 生成共享密钥 Key2 , 并使用 Key2以与无线终端相同的方式 生成第二 MIC ,其中,配置设备生成 Key2的方式与无线终端生成 Keyl 的方式相同。
406 : 配置设备判断第二 MIC与第一 MIC是否匹配。
407 : 若不匹配, 结束配置交互过程。 示例性的, 若第二 MIC与第一 MIC不匹配, 则配置设备判定无 线终端的第二配置密码信息与配置设备获得的第一配置密码信息不 同。 配置设备可以向无线终端发送不匹配结果信息, 无线终端向配置 设备发送断开连接信息, 结束配置交互过程, 或者, 配置设备直接结 束配置交互过程, 或以其他任何可行的方式结束配置交互过程, 本发 明并不以此为限。
408 :若匹配,配置设备利用 Key2加密消息三摘要生成第三 MIC;
409 : 配置设备向无线终端发送消息三;
示例性的, 若第二 MIC与第一 MIC匹配成功, 则配置设备判定 无线终端的第二配置密码信息与配置设备获得的第一配置密码信息 相同。 配置设备生成无线终端接入 AP的信任状信息。 配置设备向无 线终端发送消息三, 消息三中包含利用 Key2加密消息三摘要得到的 第三 MIC及利用 Key2加密的无线终端接入 AP 的信任状信息和 AP 的设备标识信息。 需要说明的是, 本领域的技术人员可以理解, 在发 送信任状信息之前, 信任状信息的生成时间不具体限制;
410 :无线终端接收到消息三后使用 Keyl 以与配置设备相同的方 式生成第四 MIC;
41 1 : 无线终端判断第四 MIC与第三 MIC是否匹配; 412 : 若不匹配, 结束配置交互过程。 示例性的, 若第三 MIC与第四 MIC不匹配, 则无线终端判定配 置设备获得的第一配置密码信息与无线终端自身的第二配置密码信 息不同。 无线终端向配置设备发送不匹配结果信息, 配置设备向无线 终端发送断开连接信息, 结束配置交互过程, 或者, 直接结束配置交 互过程, 或以其他任何可行的方式结束配置交互过程, 本发明并不以 此为限;
413 : 若匹配, 无线终端发送消息四。
示例性的, 若第三 MIC与第四 MIC匹配, 则无线终端判定配置 设备获得的第一配置密码信息与无线终端自身的第二配置密码信息 相同。 无线终端向配置设备发送消息四, 告知配置设备匹配成功, 并 根据 Keyl解密消息三中利用 Key2加密的无线终端接入 AP的信任状 信息和 AP的设备标识信息, 获得信任状信息和 AP的设备标识信息。
需要说明的是, 本领域技术人员可以理解, AP 的标识信息相对 公开, 不一定需要对其进行加密, 例如 AP的标识信息明文带在消息 三中, 或者, 通过其他的消息进行发送。 本实施例中只是提供一种可 行的方法, 但并不以此为限。 参见图 5 , 为第二种验证方法的详细过程:
501 :配置设备生成随机值 Ra及无线终端接入 AP的信任状信息; 示例性的, 配置设备可以将随机值 Ra及无线终端接入 AP 的信 任状信息通过第一配置密码信息进行加密得到加密信息一。
502 : 配置设备将加密信息一发送至无线终端; 需要说明的是, 本领域的技术人员可以理解, 在发送信任状信息 之前, 信任状信息的生成时间不具体限制。
503 : 无线终端通过第二配置密码将接收到的加密信息一进行解 密, 得到随机值 α' ;
示例性的, 无线终端可以通过第二配置密码信息将随机值 Ra ,加
密后得到加密信息二。
504 : 无线终端将加密信息二发送至配置设备;
505 : 配置设备通过第一配置密码信息对接收到的加密信息二进 行解密, 得到随机值 α" '
506 : 配置设备判断随机值 α"与 自身生成的随机值 Ra 是否匹 配;
507 : 若不匹配, 则结束配置交互过程;
示例性的, 若 Wfl "与 Ra不匹配, 配置设备可以向无线终端发送 断开连接信息, 结束配置交互过程, 或者直接结束配置交互过程, 或 以其他任何可行的方式结束配置交互过程, 本发明并不以此为限。
508 : 若匹配, 配置设备向无线终端发送 AP的设备标识信息。 示例性的, 若 Wfl"与 Ra 匹配, 配置设备确认匹配成功, 向无线 终端发送 AP的设备标识信息。 需要说明的是, AP的设备标识信息也 可以在上述的验证过程中随信任状信息一起加密发送, 或者, AP 的 设备标识信息也可以在上述的验证过程中明文发送, 本发明实施例并 不以此为限。 参见图 6 , 为第三种验证方法的详细过程:
该验证方法的交互是基于现有的 WPS2.0协议中的消息一至消息 八的 EAP认证过程, 配置设备和无线终端可以通过 8个消息 ( Ml ~ M8 ) 完成配置过程。 其中 M1 -M8消息为协议中的标准消息, 其具体 内容在此不再赘述。 具体过程如下:
601 : 配置设备和无线终端采用动态密钥交换算法协商出无线终 端与配置设备之间的一组临时密钥, 用于对后续进行交互认证的消息 和重要数据如配置数据、 信任状信息等进行加密, 保证配置过程的安 全性;
示例性的, 本发明实施例优选使用迪菲 -赫尔曼( Diffie-Hellman , 简称 DH ) 动态密钥交换算法, 并不代表本发明实施例仅限于采用该 动态密钥交换算法。
602 : 配置设备将第一配置密码信息分为前半部分与后半部分并 且分别进行加密,优选的,本发明实施例选择高级加密标准( Advanced Encryption Standard, 简称 AES ) 算法进行加密, 但并不代表本发明 实施例仅限于该算法, 其中, 前半部分的加密信息为 R1 , 后半部分 的加密信息为 R2 , R1 与 R2 的加密密钥分别为 Rkl , Rk2 , 相应的, 无线终端将第二配置密码信息也分为前半部分与后半部分并且与 R1 , R2相同的加密算法分别进行加密, 其中, 前半部分的加密信息为 E 1 , 后半部分的加密信息为 E2 , E1与 E2的加密密钥分别为 Ekl , Ek2;
603 : 无线终端将 El与 E2发送至配置设备;
604 : 配置设备将加密的信息 R1和 R2与第一配置密码信息的前 半部分加密密钥 Rkl发送至无线终端;
605 : 若确认第一配置密码信息与第二配置密码信息的前半部分 匹配, 无线终端向配置设备发送 Ekl , 示例性的, 无线终端根据 Rkl对第二配置密码信息前半部分以与 R1 ,R2相同的加密算法进行加密, 如果加密的结果与 R1 相等, 则无 线终端确认第一配置密码信息与第二配置密码信息的前半部分匹配, 无线终端向配置设备发送 Ekl。
若加密的结果与 R1 不相等, 无线终端确认第一配置密码信息与 第二配置密码信息不匹配, 则结束配置交互过程, 例如, 无线终端可 以向配置设备发送不匹配结果信息, 配置设备向无线终端发送断开连 接信息, 结束配置交互过程, 或者直接结束配置交互过程, 或以其他 任何可行的方式结束配置交互过程, 本发明并不以此为限。
606 : 若确认第一配置密码信息与第二配置密码信息的前半部分 匹配, 则配置设备将第二配置密码信息的后半部分加密密钥 Rk2发送 至无线终端;
示例性的, 配置设备根据 E k 对第一配置密码信息前半部分以与 R1 ,R2相同的加密算法进行加密, 如果加密的结果与 E1 相等, 则确 认第一配置密码信息与第二配置密码信息的前半部分匹配, 并将第二 配置密码信息的后半部分加密密钥 Rk2发送至无线终端;
若加密的结果与 E 1 不相等, 配置设备确认第一配置密码信息与
第二配置密码信息不匹配, 则结束配置交互过程, 例如, 配置设备可 以向无线终端发送不匹配结果信息, 无线终端向无线终端发送断开连 接信息, 结束配置交互过程, 或者直接结束配置交互过程, 或以其他 任何可行的方式结束配置交互过程, 本发明并不以此为限。
607 : 若确认第一配置密码信息与第二配置密码信息的后半部分 匹配, 无线终端向配置设备发送 Ek2 ,
示例性的, 607的验证过程步骤 605验证前半部分 R1 的过程相 同, 此处不再赘述。
608 : 若确认第一配置密码信息与第二配置密码信息的后半部分 匹配, 配置设备生成无线终端接入 AP的信任状信息并向无线终端发 送。
示例性的, 608 的验证过程步骤与 606验证前半部分 E1 的过程 相同, 此处不再赘述。
示例性的, 信任状信息可以包含无线终端的认证信息, 以及 AP 与无线终端之间通信消息的加密与解密的密钥。
示例性的, 上述举例的三种验证方法对验证配置密码信息为 PIN 码、 NFC标签中的密码和多维码均适用, 本实施例对此不进行任何限 定。 在实际实现中, 如图 4所示的验证方法和如图 5所示的验证方法 交互过程简单, 如需保证信息传输的安全性, 需要配置密码信息具备 较大的信息量, 例如对于数字型的配置密码信息, 需要具备较长的位 数, 不方便手动输入, 因此在实际应用中优选使用非手动输入的获取 方式, 例如通过 NFC接口读取 NFC标签中的配置密码信息或使用图 像传感器识读 QR Code中编码的配置密码信息的方式,既能够保证配 置设备方便地获取配置密码信息, 又能够保证配置密码信息拥有足够 的信息量。 而对于输入 PIN码、 PBC等配置方式, 因配置密码信息的 位数较短,为保证其安全性,应优选采用现有的 WPS2.0协议中的 EAP 交互过程, 即如图 6所示的验证方法。 本领域的技术人员可以理解, WPS2.0协议中的 EAP交互过程对于较短位数的 PIN码有较好的安全 性。
本发明实施例提供的配置无线终端的方法,通过配置设备与无线
终端的直接通信完成对无线终端的配置, 配置过程无需 AP参与也能 完成对无线终端的配置, 使得配置过程更加灵活。 解决了现有技术在 配置过程中都必须处于工作状态, 在 AP处于不能正常通信的区域或 者 AP处于离线状态时不能完成对无线终端的配置的问题。
另一方面, 本发明实施例提供了一种配置设备 70 , 该配置设备 70可以应用于 Wi-Fi网络, Wi-Fi网络还可以包含无线接入设备以及 无线终端, 其中, 配置设备 70可以为无线接入设备的配置管理设备, 用以管理无线网络建立、 添加和删除无线终端; 无线接入设备为无线 终端进入网络的接入设备, 包括但不限于 AP , 本实施例以无线接入 设备为 AP为例进行说明, 例如无线终端可以通过 AP进入家庭网络 (局域网 )、 或者进入互联网、 也可以进入企业网或行业专网 (例如 智能传感网, 其中无线终端是传感器)等。 本实施例中的配置设备 70 根据其功能可以为现有的 WPS2.0规范中的定义 AP 的外置注册器, 可以理解,所述配置设备 70并不限定为现有 WPS2.0规范中所定义的 外置注册器。
参见图 7 , 该配置设备 70包括;
获取器 701 , 用于获取配置密码信息以及将配置密码信息传输至 处理器 702。
处理器 702 , 用于根据配置密码信息生成配置触发信息; 以及用于根据配置密码信息与无线终端进行验证以确定无线终 端拥有配置密码信息; 通信单元 703 , 通过直接连接的通信链路与外部网元进行通信, 用 于根据无线终端的设备标识信息向无线终端发送配置触发信息; 示例性的,通信单元 703通过直接连接的通信链路与外部网元进 行通信,可以包括通信单元 703通过 P2P连接链路或 ad hoc连接链路 与外部网元进行通信, 本发明实施例不作任何限定, 本实施例优选的 通过 P2P连接链路与外部网元进行通信。 其中, 配置设备 70为 P2P 连接中的 GO , 无线终端为 P2P连接中的 Client,
可选的, P2P连接的过程如下:
通信单元 703接收无线终端发送的鉴权请求消息;
处理器 702根据鉴权请求消息生成鉴权回复消息, 其中, 鉴权回 复消息包含允许无线终端与配置设备 70进行连接的信息;
通信单元 703向无线终端发送所述鉴权回复消息,
通信单元 703接收无线终端发送的关联请求消息; 处理器 703根据关联请求消息生成关联响应消息;
通信单元 703 向无线终端发送关联响应消息, 完成配置设备 70 与无线终端的 P2P连接。 需要说 明 的 是 , 上述鉴权和 关联过程是依据现有 的 IEEE802.1 1 -2012协议而设计的。 示例性的, 为了描述方便, 本实施例中将获取器 701所获取到的 无线终端的配置密码信息称为第一配置密码信息, 将无线终端自身所 拥有的配置密码信息称为第二配置密码信息, 第一配置密码信息和第 二配置密码信息应该相同, 第一配置密码信息和第二配置密码信息的 类型可以为 PIN或密码, 可以编码于多维码、 存储于 NFC标签、 以 字符串显示于标签等, 例如, 无线终端的多维码可以为静态多维码, 如标签打印的多维码, 或动态多维码, 如由无线终端动态生成的多维 码; 多维码码制可以为任何可以识读的一维条码、 二维条码码制, 例 如 UPC、 QR Code等。 本发明并不以此为限。 无线终端的配置密码信 息可以静态存储于无线终端的 NFC 标签内, 或是以某种方式动态生 成后存储于无线终端的 NFC标签中。
无线终端的设备标识信息可以是能够唯一标识无线终端的任何 信息, 本实施例对此不进行限定, 例如, 可以为无线终端的 MAC地 址。
根据配置密码信息的类型不同,获取器 701也可以对应不同类型 的设备来获取配置密码信息, 比如接收用户输入的键盘、 PBC按钮、 读取 NFC标签信息的 NFC接口和扫描多维码信息的扫描器等等, 不 同设备类型的获取器对应于不同的配置密码信息类型, 具体来说,
1、 获取器 701 为多维码扫描器, 用于扫描所述无线终端设备上 的多维码获取配置密码信息以及无线终端的设备标识信息。
2、 获取器 701 为键盘, 用于接收用户输入的配置密码信息, 配 置密码信息包括无线终端的 PIN。
示例性的, 当获取器 701为键盘时, 通信单元 703还可以用于, 接收无线终端发送的配置请求消息, 配置请求消息包括无线终端的设 备标识信息和使用 PIN方式的指示信息; 其中, 可以通过以下任一种 方式接收无线终端发送的配置请求消息:
A、 通信单元 703 接收由无线终端在接收到配置设备 70 向外广 播的信标帧后向配置设备 70 发送的配置请求消息, 并向无线终端发 送探测回复, 从而获得无线终端的设备标识信息;
B、 通信单元 703接收到无线终端主动在各信道上发送的配置请 求消息, 并根据配置请求消息向无线终端发送探测回复, 从而获得无 线终端的设备标识信息。
3、 获取器 701 为 PBC按钮, 用于通过与无线终端进行 PBC配 置方式交互并在交互过程中使用缺省的 PIN (例如 WPS 规范中规定 的 " 00000000" , 本发明实施例在此不做限定) 作为配置密码。 其中 接收配置请求消息的过程与 PIN 方式中配置请求消息的接收方法相 同, 此处不再赘述。 示例性的, 当获取器 701 为 PBC按钮时, 通信单元 703还可以 用于, 接收所述无线终端的配置请求消息, 所述配置请求消息包括所 述无线终端的设备标识信息和使用按钮配置 PBC方式的指示信息。
4、 获取器 701 为 NFC接口, 用于读取无线终端的配置密码信息 以及无线终端的设备标识信息。 处理器 702 , 用于根据第一配置密码信息与无线终端进行验证, 以确定无线终端拥有与第一配置密码信息相同的第二配置密码信息; 通信单元 703还用于, 向无线终端发送接入 AP的信任状信息和 AP 的设备标识信息, 以使得在验证成功后, 无线终端根据信任状信 息和 AP的设备标识信息请求接入 AP;
以及向 A P发送无线终端的信任状信息和无线终端的设备标识信 息, 以使得 AP根据无线终端的信任状信息和无线终端的标识信息对
无线终端接入 AP的请求进行处理。 可选的, 配置设备 70还可以包括存储器, 用于存储第一配置密 码信息、 无线终端的信任状信息、 无线终端的设备标识信息和 AP 的设备标识信息, 该存储器可能包括高速 RAM存储器, 也可能还包括 非易失性存储器 ( non-volatile memory ) , 例如, 内存, 緩存, 寄存器, 磁盘存储器, 快闪存储器等。
示例性的, 配置设备 70可以在初始无线局域网建立过程中与 ΑΡ 进行交互成为 ΑΡ的配置设备;
优选的, 处理器 702可以根据 WPS规范的 ΕΑΡ协议与 ΑΡ进行 交互, 成为 ΑΡ的配置设备, 当然, 若 WPS规范中配置设备与 ΑΡ进 行交互的协议改变, 改变后的协议也可以直接应用于本发明实施例。
通信单元 703 还可以通过接收用户输入的 ΑΡ 的配置参数成为 ΑΡ的配置设备 70 , 并用来配置后续其他需要加入的无线终端, 其交 互过程本领域技术人员十分熟悉, 在此不再赘述; 示例性的,通信单元 703采用广播包含无线终端的设备标识信息 的信标帧或者探测响应帧向无线终端发送配置触发信息, 用来触发对 无线终端的验证, 本发明实施例对此不作任何限定。 根据实际的交互 方式的不同, 配置触发信息可以为任意由配置设备 70 发送的能够触 发无线终端与其进行配置消息交互的消息, 例如, 配置设备 70 根据 无线终端的设备标识信息向无线终端发送探测响应消息, 以触发无线 终端向配置设备 70进行后续的配置消息交互。 本发明并不以此为限。
示例性的, 处理器 702根据第一配置密码信息通过 ΕΑΡ 消息与 无线终端进行验证以确定无线终端拥有与第一配置密码信息相同的 第二配置密码信息, 其中, 处理器 702可以对无线终端通过不同的验 证方法进行, 以下将详细介绍三种验证方法的过程, 1、 处理器 702 与无线终端进行 4步握手进行双向验证, 即配置设备 70要验证无线 终端拥有配置设备 70 所获得的第一配置密码信息, 无线终端也验证 配置设备 70获得了 自 己的第二配置密码信息; 2、 处理器 702单向验 证无线终端, 即配置设备 70 验证其获得的第一配置密码信息来自其 进行配置过程的无线终端; 3、 处理器 702 与无线终端采用现有的
WPS2.0 中的 EAP认证过程进行双向验证, 即配置设备 70要验证无 线终端拥有配置设备 70 所获得的第一配置密码信息, 无线终端也验 证配置设备 70 获得了 自 己的第二配置密码信息。 需要说明的是, 具 体的验证方式可以有多种, 任何通过信息交互并进行匹配确认的验证 方式均适用于本发明实施例所述的验证过程, 本发明实施例所提供的 三种验证方式只是对验证过程的一个详细说明。 下面分别对上述三种 验证方式进行说明。 方法一:
A、 处理器 702 与无线终端均可以生成一个随机值, 分别为 Ra 和 Ea; 通信单元 703发送消息一, 消息一中包含 Ra; 并且通信单元 703 接收由无线终端发送的消息二, 消息二中包含 Ea 及无线终端利 用 Keyl加密消息二摘要得到的第一 MIC。
B、 处理器 702根据接收到的 Ea和自身生成的 Ra和第一配置密 码信息, 生成共享密钥 Key2 , 其中, 处理器 702生成 Key2的方式与 无线终端生成 Keyl 的方式相同,处理器 702使用 Key2以与无线终端 相同的方式生成第二 MIC , 并判断与第一 MIC是否匹配;
若不匹配, 则处理器 702结束配置交互过程。 示例性的, 若第二 MIC与第一 MIC不匹配, 则处理器 702判定 无线终端的第二配置密码信息与配置设备 70 获得的第一配置密码信 息不同, 并生成不匹配结果信息, 通信单元 703向无线终端发送不匹 配结果信息, 并且通信单元 703接收由无线终端向配置设备 70发送 的断开连接信息, 结束配置交互过程, 或者, 处理器 702可以直接结 束配置交互过程。
若匹配, 处理器 702利用 Key2加密消息三摘要生成第三 MIC; 并且通信单元 703向无线终端发送消息三; 示例性的, 若第二 MIC与第一 MIC 匹配成功, 则处理器 702判 定无线终端的第二配置密码信息与配置设备 70 获得的第一配置密码 信息相同。 处理器 702生成无线终端接入 AP的信任状信息。 通信单 元 703 向无线终端发送消息三, 消息三中包含利用 Key2加密消息三 摘要得到的第三 MIC及利用 Key2加密的无线终端接入 AP的信任状
信息和 AP 的设备标识信息, 以使得无线终端侧根据 Key2 生成第四 MIC 与第三 MIC 进行匹配。 需要说明的是, 本领域的技术人员可以 理解, 在发送信任状信息之前, 信任状信息的生成时间不具体限制;
C、 若无线终端侧的第三 MIC 与第四 MIC 匹配, 通信单元 703 接收无线终端发送的匹配成功信息。 需要说明的是, 本领域技术人员可以理解, AP 的标识信息相对 公开, 不一定需要对其进行加密, 例如 AP的标识信息明文带在消息 三中, 或者, 通过其他的消息进行发送。 本实施例中只是提供一种可 行的方法, 但并不以此为限。
方法二:
A、处理器 702生成随机值 Ra及无线终端接入 AP的信任状信息, 示例性的, 处理器 702可以将随机值 Ra及无线终端接入 AP的 信任状信息通过第一配置密码信息进行加密得到加密信息一。
B、 通信单元 703将加密信息一发送至无线终端, 需要说明的是, 本领域的技术人员可以理解, 在发送信任状信息之前, 信任状信息的 生成时间不具体限制。
C、 通信单元 703接收无线终端发送的加密消息二, 其中, 加密 消息二是无线终端通过第二配置密码信息将接收到的加密信息一进 行解密, 并将解密后的随机值 Wfl'通过第二配置密码信息加密后得到 的。
D、 处理器 702通过第一配置密码信息对接收到的加密信息二进 行解密, 并将解密后的随机值 α"与 自身生成的随机值 Ra进行匹配; 若两者不匹配, 处理器 702结束配置交互过程; 示例性的, 若 Wfl"与 Ra不匹配, 通信单元 703 向无线终端发送 断开连接信息, 结束配置交互过程, 或者直接结束配置交互过程。
若匹配, 处理器 702确认匹配成功, 通信单元 703向无线终端发 送 AP的设备标识信息。 需要说明的是, AP的设备标识信息也可以在 上述的验证过程中随信任状信息一起加密发送, 或者, AP 的设备标 识信息也可以在上述的验证过程中明文发送, 本发明实施例并不以此
为限。
方法三, 该验证方法的交互是基于现有的 WPS2.0协议中的消息 一至消息八的 EAP认证过程, 配置设备 70和无线终端可以通过 8个 消息 ( Ml ~ M8 ) 完成配置过程。 其中 Ml -M8消息为协议中的标准消 息, 其具体内容在此不再赘述。 具体过程如下:
A, 处理器 702和无线终端采用动态密钥交换算法协商出无线终 端与配置设备 70 之间的一组临时密钥, 用于对后续进行交互认证的 消息和重要数据如配置数据、 信任状信息等进行加密, 保证配置过程 的安全性;
示例性的, 本发明实施例优选使用 DH动态密钥交换算法, 并不 代表本发明实施例仅限于采用该动态密钥交换算法。
B , 处理器 702将第一配置密码信息分为前半部分与后半部分并 且分别进行加密, 优选的, 本发明实施例选择 AES 算法进行加密, 但并不代表本发明实施例仅限于该算法, 其中, 前半部分的加密信息 为 R1 , 后半部分的加密信息为 R2 , R1与 R2的加密密钥分别为 Rkl , Rk2 , 相应的, 无线终端将第二配置密码信息也分为前半部分与后半 部分并且与 Rl , R2相同的加密算法分别进行加密, 其中, 前半部分 的加密信息为 E 1 , 后半部分的加密信息为 E2 , E1 与 E2的加密密钥 分另 ll为 Ekl , Ek2 ,
C , 通信单元 703接收无线终端发送至配置设备 70的 E 1与 E2; 并且将加密的信息 Rl、 R2和 Rkl发送至无线终端, 以使得无线终端 能够根据 Rkl对第二配置密码信息前半部分以与 R1 ,R2相同的加密算 法进行加密, 如果加密的结果与 R1 相等, 则无线终端确认第一配置 密码信息与第二配置密码信息的前半部分匹配, 通信单元 703接收无 线终端发送的 Ekl ;
若加密的结果与 R1 不相等, 无线终端确认第一配置密码信息与 第二配置密码信息不匹配, 则结束配置交互过程,例如,通信单元 703 接收由无线终端向配置设备 70 发送的不匹配结果信息, 处理器 702 生成断开连接信息, 通信单元 703向无线终端发送断开连接信息, 结 束配置交互过程, 或者处理器 702直接结束配置交互过程。
D、 若确认第一配置密码信息与第二配置密码信息的前半部分匹 配, 通信单元 703将第二配置密码信息的后半部分加密密钥 Rk2发送 至无线终端;
示例性的, 处理器 702根据 Ekl对第一配置密码信息前半部分以 与 R1 ,R2相同的加密算法进行加密, 如果加密的结果与 E 1相等, 则 确认第一配置密码信息与第二配置密码信息的前半部分匹配, 并将第 二配置密码信息的后半部分加密密钥 Rk2发送至无线终端, 以使得无 线终端能够根据 Rk2对第二配置密码信息后半部分进行计算, 如果加 密的结果与 R2相等, 则无线终端确认第一配置密码信息与第二配置 密码信息的后半部分匹配, 并向配置设备 70发送 Ek2;
若加密的结果与 E l 不相等, 处理器 702确认第一配置密码信息 与第二配置密码信息不匹配, 则结束配置交互过程,例如,处理器 702 生成不匹配结果信息,通信单元 703向无线终端发送不匹配结果信息, 无线终端向无线终端发送断开连接信息, 结束配置交互过程, 或者处 理器 702直接结束配置交互过程。
E、 若确认第一配置密码信息与第二配置密码信息的后半部分匹 配,处理器 702生成无线终端接入 AP的信任状信息并且通信单元 703 无线终端发送无线终端接入 AP的信任状信息。
示例性的,验证后半部分的过程与验证前半部分 E1 的过程相同, 此处不再赘述。
示例性的, 信任状信息可以包含无线终端的认证信息, 以及 AP 与无线终端之间通信消息的加密与解密的密钥。
示例性的, 上述举例的三种验证方法对验证配置密码信息为 PIN 码、 NFC标签中的密码和多维码均适用, 本实施例对此不进行任何限 定。 在实际实现中, 方法一和方法二交互过程简单, 如需保证信息传 输的安全性, 需要配置密码信息具备较大的信息量, 例如对于数字型 的配置密码信息, 需要具备较长的位数。 不方便手动输入, 因此在实 际应用中优选使用非手动输入的获取方式, 例如通过 NFC 接口读取 NFC标签中的配置密码信息或使用图像传感器识读 QR Code 中编码 的配置密码信息的方式, 既能够保证配置设备 70 方便地获取配置密
码信息, 又能够保证配置密码信息拥有足够的信息量。 而对于输入
PIN码、 PBC等配置方式, 因配置密码信息的位数较短, 为保证其安 全性,应优选采用现有的 WPS2.0协议中的 EAP交互过程,即方法三。 本领域的技术人员可以理解, WPS2.0协议中的 EAP交互过程对于较 短位数的 PIN码有较好的安全性。
示例性的, 处理器 702 在验证成功时, 通信单元 703 可以通过 EAP消息向无线终端发送接入 AP的信任状信息和 AP的设备标识信 息, 以使得无线终端根据信任状信息和 AP的设备标识信息请求接入 AP ; 需要说明的是, 本领域技术人员可以理解, 信任状信息和 AP的 设备标识信息可以在验证过程结束后进行发送, 也可以同时在验证交 互消息中进行发送, 也可以作为验证过程的一部分, 作为验证成功与 否的判决条件之一, 本发明并不以此为限。 此外信任状信息和 AP的 设备标识信息可以同时发送, 也可以分开发送。
示例性的, 通信单元 703向 AP发送无线终端的信任状信息和无 线终端的设备标识信息, 以使得 AP根据无线终端的信任状信息和无 线终端的标识信息对无线终端接入 AP的请求进行处理; 需要说明的 是, 向 AP发送信任状信息和无线终端的标识信息的执行时间根据实 际配置需求确定。 例如, 在家庭网络中, 当 AP和无线终端均已安装 完成并上电工作时, 可以立即执行向 AP发送信任状信息和无线终端 的标识信息; 在传感器网络中, 因需要配置大量的传感器设备, 且传 感器设备安装后分布较零散, 不便于安装后配置, 因此需要在安装之 前批量配置, 可以在处理器 702对无线终端验证完成之后的较长时间 后执行。 本发明的实施例提供的一种配置无线终端的配置设备 70。 通过 配置设备 70 与无线终端的直接通信完成对无线终端的配置, 实现配 置过程无需 AP参与也能完成对无线终端的配置。 使得配置过程更加 灵活。 解决了现有技术在配置过程中都必须处于工作状态, 在 AP处 于不能正常通信的区域或者 AP处于离线状态时不能完成对无线终端 的配置的问题。
再一方面, 本发明实施例提供了另一种配置设备 70 , 该配置设 备 70可以应用于 Wi-Fi网络, Wi-Fi网络还可以包含无线接入设备以
及无线终端, 其中, 配置设备 70 可以为无线接入设备的配置管理设 备, 用以管理无线网络建立、 添加和删除无线终端; 无线接入设备为 无线终端进入网络的接入设备, 包括但不限于 AP , 本实施例以无线 接入设备为 AP为例进行说明, 例如无线终端可以通过 AP进入家庭 网络(局域网 )、 或者进入互联网、 也可以进入企业网或行业专网 (例 如智能传感网, 其中无线终端是传感器) 等。 本实施例中的配置设备 70根据其功能可以为现有的 WPS2.0规范中的定义 AP的外置注册器, 可以理解,所述配置设备 70并不限定为现有 WPS2.0规范中所定义的 外置注册器。
示例性的, 配置设备 70可以在初始无线局域网建立过程中与 AP 进行协商成为 AP的配置设备;
例如,配置设备 70可以根据 WPS规范的 EAP协议与 AP进行交 互, 成为 AP的配置设备, 当然, 若 WPS规范中配置设备与 AP进行 交互的协议改变, 改变后的协议也可以直接应用于本发明实施例。 配置设备 70还可以通过接收用户输入的 AP的配置参数成为 AP 的配置设备, 并用来配置后续其他需要加入的无线终端, 其交互过程 本领域技术人员十分熟悉, 在此不再赘述。
示例性的, 本实施例中配置设备 70与无线终端可以采用直接连 接的方式进行直接通信, 以完成配置设备 70 对无线终端的验证, 其 中, 直接连接的方式可以包括 P2P连接方式或 ad hoc连接方式, 本发 明实施例对配置设备与无线终端的直接连接的方式不进行限制。 优选 的, 本实施例中配置设备与无线终端采用 P2P连接方式。 其中, 配置 设备 70为 P2P连接中的 GO , 无线终端为 P2P连接中的 Client , 其 中配置设备 70与无线终端实现 P2P连接的过程已在方法实施例中进 行详细说明, 此处不再赘述。 参见图 8 , 该配置设备 70包括:
获取单元 801 , 用于获取无线终端的设备标识信息和配置密码信 息以及将无线终端的设备标识信息传输至第一发送单元 802 , 将无线 终端的第一配置密码信息传输至验证单元 803。
示例性的, 为了描述方便, 本实施例中将获取单元 801所获取到
的无线终端的配置密码信息称为第一配置密码信息, 将无线终端自身 所拥有的配置密码信息称为第二配置密码信息, 第一配置密码信息和 第二配置密码信息应该相同, 类型可以为 PIN或密码, 可以编码于多 维码、 存储于 NFC 标签、 以字符串显示于标签等, 例如, 无线终端 的多维码可以为静态多维码, 如标签打印的多维码, 或动态多维码, 如由无线终端动态生成的多维码; 多维码码制可以为任何可以识读的 一维条码、 二维条码码制, 例如 UPC、 QR Code等。 本发明并不以此 为限。 无线终端的配置密码信息可以静态存储于无线终端的 NFC 标 签内, 或是以某种方式动态生成后存储于无线终端的 NFC标签中。
无线终端的设备标识信息可以是能够唯一标识无线终端的任何 信息, 本实施例对此不进行限定, 例如, 可以为无线终端的 MAC地 址; 相应的, 获取单元 801 可以用于, 扫描所述无线终端设备上的多 维码获取配置密码信息以及无线终端的设备标识信息。 或者, 如图 9 , 获取单元 801 可以包括:
接收模块 901 , 用于接收无线终端的配置请求消息, 配置请求消 息包括无线终端的设备标识信息和使用 PIN方式的指示信息, 其中, 可以通过以下任一种方式接收无线终端的配置请求消息:
A、 接收模块 901 接收由无线终端在接收到配置设备 70 向外广 播的信标帧后向配置设备 70 发送的配置请求消息, 并向无线终端发 送探测回复, 从而获得无线终端的设备标识信息;
B、 接收模块 901接收到无线终端主动在各信道上发送的配置请 求消息, 并根据配置请求消息向无线终端发送探测回复, 从而获得无 线终端的设备标识信息;
PIN模块 902 , 用于接收用户输入的配置密码信息, 配置密码信 息包括无线终端的 PIN。
或者, 如图 10 , 获取单元 801 可以包括:
接收模快 1001 , 用于接收无线终端的配置请求消息, 配置请求 消息包括无线终端的设备标识信息和使用 PBC 方式的指示信息, 其
中,接收配置请求消息的过程与 PIN方式中配置请求消息的接收方法 相同, 此处不再赘述;
PBC模块 1002 , 用于通过与无线终端进行 PBC配置方式交互并 在交互过程中使用缺省的 PIN (例如 WPS规范中规定的 " 00000000" , 本发明实施例在此不做限定) 作为配置密码。
或者, 获取单元 801 可以用于, 通过 NFC接口读取无线终端的 配置密码信息以及无线终端的设备标识信息。
第一发送单元 802 , 用于从获取单元 801接收无线终端的设备标 识信息以及根据无线终端的设备标识信息通过直接连接的通信链路 向无线终端发送配置触发信息;
示例性的,第一发送单元 802可以采用广播包含无线终端的设备 标识信息的信标帧或者探测响应帧的方式向无线终端发送配置触发 信息, 用来触发对无线终端的验证, 根据实际的交互方式的不同, 配 置触发信息可以为任意由配置设备 70 发送的能够触发无线终端与其 进行配置消息交互的消息, 例如, 配置设备 70 根据无线终端的设备 标识信息向无线终端发送探测响应消息, 以触发无线终端向配置设备 70进行后续的配置消息交互。 本发明并不以此为限。
验证单元 803 , 用于从获取单元 801接收第一配置密码信息以及 根据第一配置密码信息通过直接连接的通信链路对无线终端进行验 证, 以确定无线终端拥有与第一配置密码信息相同的第二配置密码信 自 · 示例性的, 验证单元 803根据第一配置密码信息通过 EAP 消息 对无线终端进行验证。
第一发送单元 802还用于,通过直接连接的通信链路向无线终端 发送无线终端接入 AP 的信任状信息和 AP 的设备标识信息, 以使得 在验证成功后, 所述无线终端根据所述信任状信息和所述 AP的设备 标识信息请求接入所述 AP;
示例性的, 第一发送单元 802通过 EAP 消息向所述无线终端发 送所述无线终端接入 AP 的信任状信息和 AP 的设备标识信息。 本领 域技术人员可以理解, 信任状信息和 AP的设备标识信息可以在验证
过程结束后进行发送, 也可以同时在验证交互消息中进行发送, 也可 以作为验证过程的一部分, 作为验证成功与否的判决条件之一, 本发 明并不以此为限。 此外信任状信息和 AP的设备标识信息可以同时发 送, 也可以分开发送。
第二发送单元 804 , 用于从获取单元 801接收无线终端的设备标 识信息, 以及向 AP发送无线终端的信任状信息和无线终端的设备标 识信息, 以使得 AP根据无线终端的信任状信息和无线终端的设备标 识信息对无线终端接入 AP的请求进行处理;
示例性的, 向 AP发送信任状信息和无线终端的标识信息的执行 时间根据实际配置需求确定。 例如, 在家庭网络中, 当 AP和无线终 端均已安装完成并上电工作时, 可以立即执行向 AP发送信任状信息 和无线终端的标识信息; 在传感器网络中, 因需要配置大量的传感器 设备, 且传感器设备安装后分布较零散, 不便于安装后配置, 因此需 要在安装之前批量配置, 可以在验证单元 803对无线终端验证完成之 后的较长时间后执行。
示例性的,验证单元 803根据第一配置密码信息与无线终端进行 验证以确定无线终端拥有与第一配置密码信息相同的第二配置密码 信息,其中,验证单元 803可以对无线终端通过不同的验证方法进行, 以下将详细介绍三种验证方法的过程, 1、 验证单元 803 与无线终端 进行 4步握手进行双向验证, 即配置设备 70要验证无线终端拥有配 置设备 70所获得的第一配置密码信息, 无线终端也验证配置设备 70 获得了 自 己的第二配置密码信息; 2、 验证单元 803 单向验证无线终 端, 即配置设备 70 验证其获得的第一配置密码信息来自其进行配置 过程的无线终端; 3、 验证单元 803 与无线终端采用现有的 WPS2.0 中的 EAP认证过程进行双向验证, 即配置设备 70要验证无线终端拥 有配置设备 70 所获得的第一配置密码信息, 无线终端也验证配置设 备 70 获得了 自 己的第二配置密码信息。 需要说明的是, 具体的验证 方式可以有多种, 任何通过信息交互并进行匹配确认的验证方式均适 用于本发明实施例所述的验证过程, 本发明实施例所提供的三种验证 方式只是对验证过程的一个详细说明。 下面分别对上述三种验证方式 进行说明。
方法一:
A、 验证单元 803与无线终端均可以生成一个随机值, 分别为 Ra 和 Ea, 验证单元 803发送消息一, 消息一中包含 Ra; 并接收由无线 终端发送的消息二 Ea, 消息二中包含 Ea及无线终端利用 Keyl 加密 消息二摘要得到的第一 MIC。
B、 验证单元 803根据接收到的 Ea和自身生成的 Ra还有第一配 置密码信息, 生成共享密钥 Key2 , 其中, 验证单元 803生成 Key2的 方式与无线终端生成 Keyl 的方式相同,险证单元 803使用 Key2以与 无线终端相同的方式生成第二 MIC , 并与第一 MIC进行匹配;
若不匹配, 则结束配置交互过程。 示例性的, 若第二 MIC与第一 MIC不匹配, 则验证单元 803判 定无线终端的第二配置密码信息与配置设备 70 获得的第一配置密码 信息不同。 配置设备 70 可以向无线终端发送不匹配结果信息, 并接 收由无线终端发送的断开连接信息, 结束配置交互过程, 或者, 配置 设备 70直接结束配置交互过程。
若匹配,验证单元 803利用 Key2加密消息三摘要生成第三 MIC; 配置设备 70向无线终端发送消息三;
示例性的, 若第二 MIC与第一 MIC 匹配成功, 则验证单元 803 判定无线终端的第二配置密码信息与配置设备 70 获得的第一配置密 码信息相同。 配置设备 70生成无线终端接入 AP的信任状信息, 并向 无线终端发送消息三, 消息三中包含利用 Key2加密消息三摘要得到 的第三 MIC及利用 Key2加密的无线终端接入 AP的信任状信息和 AP 的设备标识信息, 以使得无线终端侧根据 Key2生成第四 MIC与第三 MIC进行匹配。 需要说明的是, 本领域的技术人员可以理解, 在发送 信任状信息之前, 信任状信息的生成时间不具体限制;
C、 若无线终端判断第三 MIC与第四 MIC 匹配, 无线终端向配 置设备 70发送匹配成功信息。 若无线终端判断第三 MIC与第四 MIC 不匹配, 则结束配置交互过程。 例如, 无线终端向配置设备 70 发送 不匹配结果信息, 配置设备 70 向无线终端发送断开连接信息, 结束 配置交互过程, 或者直接结束配置交互过程。
需要说明的是, 本领域技术人员可以理解, AP 的标识信息相对 公开, 不一定需要对其进行加密, 例如 AP的标识信息明文带在消息 三中, 或者, 通过其他的消息进行发送。 本实施例中只是提供一种可 行的方法, 但并不以此为限。 方法二:
A、验证单元 803生成随机值 Ra及无线终端接入 AP的信任状信 自 示例性的, 验证单元 803 可以将随机值 Ra及无线终端接入 AP 的信任状信息通过第一配置密码信息进行加密得到加密信息一。
B、 验证单元 803将加密信息一发送至无线终端, 需要说明的是, 本领域的技术人员可以理解, 在发送信任状信息之前, 信任状信息的 生成时间不具体限制。
C、 验证单元 803接收无线终端发送的加密消息二, 其中, 加密 消息二是无线终端通过第二配置密码信息将接收到的加密信息一进 行解密, 并将解密后的随机值 Wfl '通过第二配置密码信息加密后得到 的。
D、 验证单元 803通过第一配置密码信息对接收到的加密信息二 进行解密, 并将解密后的随机值 α "与自身生成的随机值 Ra 进行匹 配;
若不匹配, 配置设备 70结束配置交互过程;
示例性的, 若验证单元 803确认 Ra "与 Ra不匹配, 配置设备 70 向无线终端发送断开连接信息, 结束配置交互过程, 或者直接结束配 置交互过程。
若匹配, 验证单元 803确认匹配成功, 配置设备 70向无线终端 发送 AP的设备标识信息。 需要说明的是, AP的设备标识信息也可以 在上述的验证过程中随信任状信息一起加密发送, 或者, AP 的设备 标识信息也可以在上述的验证过程中明文发送, 本发明实施例并不以 此为限。
方法三
该验证方法的交互是基于现有的 WPS2.0协议中的消息一至消息 八的 EAP认证过程 ,配置设备 70和无线终端可以通过 8个消息( Ml ~ M8 ) 完成配置过程。 其中 M1 -M8消息为协议中的标准消息, 其具体 内容在此不再赘述。 具体过程如下:
A、 验证单元 803和无线终端采用动态密钥交换算法协商出无线 终端与配置设备 70 之间的一组临时密钥, 用于对后续进行交互认证 的消息和重要数据如配置数据、 信任状信息等进行加密, 保证配置过 程的安全性;
示例性的, 本发明实施例优选使用 DH动态密钥交换算法, 并不 代表本发明实施例仅限于采用该动态密钥交换算法。
B、 验证单元 803将第一配置密码信息分为前半部分与后半部分 并且分别进行加密, 优选的, 本发明实施例选择 AES算法进行加密, 但并不代表本发明实施例仅限于该算法, 其中, 前半部分的加密信息 为 R1 , 后半部分的加密信息为 R2 , R1与 R2的加密密钥分别为 Rkl , Rk2 , 相应的, 无线终端将第二配置密码信息也分为前半部分与后半 部分并且与 Rl , R2相同的加密算法分别进行加密, 其中, 前半部分 的加密信息为 E 1 , 后半部分的加密信息为 E2 , E1 与 E2的加密密钥 分另 ll为 Ekl , Ek2 ,
C、 验证单元 803接收无线终端发送至配置设备 70的 E 1与 E2; 并且将加密的信息 Rl、 R2和 Rkl发送至无线终端, 以使得无线终端 能够根据 Rkl对第二配置密码信息前半部分以与 R1 ,R2相同的加密算 法进行加密, 如果加密的结果与 R1 相等, 则无线终端确认第一配置 密码信息与第二配置密码信息的前半部分匹配, 验证单元 803接收无 线终端发送的 Ekl ;
若加密的结果与 R1 不相等, 无线终端确认第一配置密码信息与 第二配置密码信息不匹配, 则结束配置交互过程, 例如, 配置设备 70 接收无线终端发送的不匹配结果信息, 向无线终端发送断开连接信 息, 结束配置交互过程, 或者直接结束配置交互过程。
D、 若验证单元 803确认第一配置密码信息与第二配置密码信息 的前半部分匹配, 则将第二配置密码信息的后半部分加密密钥 Rk2发
送至无线终端;
示例性的, 验证单元 803根据 Ek †第一配置密码信息前半部分 以与 Rl ,R2相同的加密算法进行加密, 如果加密的结果与 E 1相等, 则确认第一配置密码信息与第二配置密码信息的前半部分匹配, 并将 第二配置密码信息的后半部分加密密钥 Rk2发送至无线终端, 以使得 无线终端能够根据 Rk2对第二配置密码信息后半部分以与 R1 ,R2相同 的加密算法进行加密, 如果加密的结果与 R2相等, 则无线终端确认 第一配置密码信息与第二配置密码信息的后半部分匹配, 并向配置设 备 70发送 Ek2;
若加密的结果与 E 1 不相等, 验证单元 803确认第一配置密码信 息与第二配置密码信息不匹配, 则结束配置交互过程, 例如, 配置设 备 70 可以向无线终端发送不匹配结果信息, 无线终端向无线终端发 送断开连接信息, 结束配置交互过程, 或者直接结束配置交互过程。
E、 若验证单元 803确认第一配置密码信息与第二配置密码信息 的后半部分匹配,配置设备 70生成无线终端接入 AP的信任状信息并 向无线终端发送。
示例性的,验证后半部分的过程与验证前半部分 E1 的过程相同, 此处不再赘述。
示例性的, 信任状信息可以包含无线终端的认证信息, 以及 AP 与无线终端之间通信消息的加密与解密的密钥。
示例性的, 上述举例的三种验证方法对验证配置密码信息为 PIN 码、 NFC标签中的密码和多维码均适用, 本实施例对此不进行任何限 定。 在实际实现中, 方法一和方法二交互过程简单, 如需保证信息传 输的安全性, 需要配置密码信息具备较大的信息量, 例如对于数字型 的配置密码信息, 需要具备较长的位数。 不方便手动输入, 因此在实 际应用中优选使用非手动输入的获取方式, 例如通过 NFC 接口读取 NFC标签中的配置密码信息或使用图像传感器识读 QR Code 中编码 的配置密码信息的方式, 既能够保证配置设备 70 方便地获取配置密 码信息, 又能够保证配置密码信息拥有足够的信息量。 而对于输入 PIN码、 PBC等配置方式, 因配置密码信息的位数较短, 为保证其安
全性,应优选采用现有的 WPS2.0协议中的 ΕΑΡ交互过程,即方法三。 本领域的技术人员可以理解, WPS2.0协议中的 ΕΑΡ交互过程对于较 短位数的 PIN码有较好的安全性。 本发明的实施例提供的一种配置无线终端的配置设备 70。 通过 配置设备 70 与无线终端的直接通信完成对无线终端的配置, 实现配 置过程无需 AP参与也能完成对无线终端的配置。 使得配置过程更加 灵活。 解决了现有技术在配置过程中都必须处于工作状态, 在 AP处 于不能正常通信的区域或者 AP处于离线状态时不能完成对无线终端 的配置的问题。
再一方面, 本发明实施例提供了一种无线终端 110 , 参见图 11 , 包括:
通信单元 1 101 , 通过直接连接的通信链路与外部网元进行通信; 示例性的, 通信单元 1101 通过直接连接的通信链路与外部网元 进行通信, 可以包括 P2P连接链路或 ad hoc连接链路, 本发明实施例 不作任何限定, 本实施例优选的通过 P2P连接链路与外部网元进行通 信, 其中, 无线终端 1 10为 P2P连接中的 Client, 配置设备为 P2P连 接中的 GO , 进一步的, 通信单元 1101还可以用于,
向配置设备发送鉴权请求消息, 并接收由配置设备向无线终端 110发送的鉴权响应消息,其中,鉴权响应消息包含允许无线终端 1 10 与配置设备进行连接的信息;
向配置设备发送关联请求消息, 并接收由配置设备向无线终端
110发送的关联响应消息,完成无线终端 110与配置设备的 P2P连接, 需要说明的是, 鉴权和关联过程是依据现有的 IEEE802.1 1 -2012 协议而设计的。 通信单元 1101 , 用于接收配置设备根据无线终端 1 10 的设备标 识信息发送的配置触发信息;
示例性的, 无线终端 1 10的设备标识信息由配置设备获取; 配置 触发信息是由配置设备通过探测响应帧或者信标帧向无线终端 110发 送的。
处理器 1102 , 用于与配置设备进行验证, 以使得配置设备确定 无线终端 110拥有配置密码信息,
示例性的, 配置密码信息由所述配置设备获取; 无线终端 110通 过 EAP消息与所述配置设备进行验证 通信单元 1101 , 还用于接收配置设备发送的无线终端 110 接入 AP的信任状信息以及 AP的标识信息,以使得在无线终端 1 10与配置 设备验证成功后, 无线终端 110根据信任状信息和 AP的设备标识信 息请求接入 AP。
示例性的,配置设备通过 EAP消息发送无线终端 110接入 AP的 信任状信息以及 AP的标识信息。 需要说明的是, 本领域技术人员可 以理解, 信任状信息和 AP的设备标识信息可以在验证过程结束后进 行接收, 也可以同时在验证交互消息中进行接收, 也可以作为验证过 程的一部分, 作为验证成功与否的判决条件之一, 本发明并不以此为 限。 此外信任状信息和 AP的设备标识信息可以同时接收, 也可以分 开接收。
示例性的, 为了描述方便, 本实施例中将配置设备所获取到的无 线终端 110的配置密码信息称为第一配置密码信息, 将无线终端 1 10 自身所拥有的配置密码信息称为第二配置密码信息, 第一配置密码信 息和第二配置密码信息应该相同, 类型可以为 PIN或密码, 可以编码 于多维码、 存储于 NFC 标签、 以字符串显示于标签等, 例如, 无线 终端 110的多维码可以为静态多维码, 如标签打印的多维码, 或动态 多维码, 如由无线终端 1 10动态生成的多维码; 多维码码制可以为任 何可以识读的一维条码、 二维条码码制, 例如 UPC、 QR Code等。 本 发明并不以此为限。 无线终端 1 10的配置密码信息可以静态存储于无 线终端 110 的 NFC标签内, 或是以某种方式动态生成后存储于无线 终端 110的 NFC标签中。
无线终端 1 10的设备标识信息可以是能够唯一标识无线终端 110 的任何信息, 本实施例对此不进行限定, 例如, 可以为无线终端 110 的 MAC地址。 示例性的, 通信单元 1101 用于, 向配置设备通过信标帧发送配
置请求消息, 配置请求消息可以包括无线终端 1 10的设备标识信息和 使用个人身份识别码 PIN方式的指示信息, 以使得配置设备根据配置 请求消息接收用户输入的配置密码信息, 配置密码信息包括无线终端 110 的 PIN , 或者, 配置请求消息包括无线终端 110 的设备标识信息 和使用按钮配置 PBC 方式的指示信息; 以使得配置设备通过与无线 终端 1 10 进行 PBC 配置方式的交互并在交互过程中使用缺省的 PIN 作为配置密码信息。
示例性的, 通信单元 1101 可以通过以下任一种方式向配置设备 发送配置请求消息:
A、 通信单元 1101 在接收到配置设备向外广播的信标帧后向配 置设备发送的配置请求消息;
B、 通信单元 1101主动在各信道上发送的配置请求消息。
示例性的, 处理器 1 102与配置设备进行验证, 以使得配置设备 确定无线终端 1 10拥有配置密码信息, 其中, 处理器 1102可以通过 不同的验证方法与配置设备进行验证, 以下将详细介绍三种验证方法 的过程, 需要说明的是, 具体的验证方式可以有多种, 任何通过信息 交互并进行匹配确认的验证方式均适用于本发明实施例所述的验证 过程, 本发明实施例所提供的三种验证方式只是对验证过程的一个详 细说明。
方法一:
A, 处理器 1 102与配置设备可以均生成一个随机值, 分别为 Ea 和 Ra, 通信单元 1101接收由配置设备发送的消息一, 消息一中包含 Ra; 并且通信单元 1 101 向配置设备发送消息二, 其中, 消息二包括 Ea及利用 Keyl加密消息二摘要得到的第一 MIC , 以使得配置设备以 与无线终端 1 10 生成 Keyl 的相同方式生成共享密钥 Key2 , 并使用 Key2以与无线终端 110相同的方式生成第二 MIC , 并且与第一 MIC 进行匹配。 若不匹配, 则结束配置交互过程, 通信单元 1101 接收由配置设 备发送的不匹配结果信息, 并且通信单元 1101 向配置设备发送断开 连接信息, 结束配置交互过程, 或者处理器 1 102 直接结束配置交互
过程。
若匹配, 通信单元 1 101 接收由配置设备发送的消息三, 其中, 消息三包括利用 Key2加密消息三摘要得到的第三 MIC及利用 Key2 加密的无线终端 110接入 AP的信任状信息和 AP的设备标识信息; 需要说明的是,本领域的技术人员可以理解,在发送信任状信息之前, 信任状信息的生成时间不具体限制;
B、 处理器 1102根据消息三生成第四 MIC, 并与第三 MIC匹配, 若匹配, 通信单元 1101 向配置设备发送匹配成功信息。 若不匹配, 则结束配置交互过程, 例如, 通信单元 1 101 向配置设备发送不匹配 结果信息, 配置设备向无线终端 110发送断开连接信息, 结束配置交 互过程, 或者处理器 1102直接结束配置交互过程。 需要说明的是, 本领域技术人员可以理解, AP 的标识信息相对 公开, 不一定需要对其进行加密, 例如 AP的标识信息明文带在消息 三中, 或者, 通过其他的消息进行发送。 本实施例中只是提供一种可 行的方法, 但并不以此为限。 方法二:
A、 通信单元 1101 接收由配置设备发送的加密信息一, 其中, 加密信息一是通过配置设备将随机值 Ra及无线终端 1 10接入 AP 的 信任状信息通过第一配置密码信息进行加密得到, 需要说明的是, 本 领域的技术人员可以理解, 在发送信任状信息之前, 信任状信息的生 成时间不具体限制。
B、 通信单元 1 101向配置设备发送加密消息二,
示例性的, 处理器 1 102通过第二配置密码信息将接收到的加密 信息一进行解密, 获得解密后的随机值 α' , 再将 α'通过第二配置 密码信息加密后得到加密消息二。
C、 配置设备根据第一配置密码信息将加密信息二进行解密, 获 得解密后的随机值 α" , 并将 Wfl"与 Ra进行匹配;
若不匹配, 则结束配置交互过程, 例如, 配置设备可以向无线终 端 1 10发送不匹配结果信息, 无线终端 110向配置设备发送断开连接
信息, 结束配置交互过程, 或者配置设备直接结束配置交互过程; 若匹配, 配置设备向无线终端 110发送 AP的设备标识信息。 需要说明的是, AP 的设备标识信息也可以在上述的验证过程中 随信任状信息一起加密发送, 或者, AP 的设备标识信息也可以在上 述的验证过程中明文发送, 本发明实施例并不以此为限。 方法三
该验证方法的交互是基于现有的 WPS2.0协议中的消息一至消息 八的 EAP 认证过程, 配置设备和无线终端 110 可以通过 8 个消息 ( Ml ~ M8 ) 完成配置过程。 其中 Ml -M8消息为协议中的标准消息 , 其具体内容在此不再赘述。 具体过程如下:
A, 处理器 1102 和配置设备采用动态密钥交换算法协商出无线 终端 110与配置设备之间的一组临时密钥, 用于对后续进行交互认证 的消息和重要数据如配置数据、 信任状信息等进行加密, 保证配置过 程的安全性;
示例性的, 本发明实施例优选使用 DH动态密钥交换算法, 并不 代表本发明实施例仅限于采用该动态密钥交换算法。
B,处理器 1102将第二配置密码信息分为前半部分与后半部分并 且分别进行加密, 优选的, 本发明实施例选择 AES 算法进行加密, 但并不代表本发明实施例仅限于该算法, 其中, 前半部分的加密信息 为 E1, 后半部分的加密信息为 E2, E1与 E2的加密密钥分别为 Ekl, Ek2, 并且指示通信单元 1101 向配置设备发送 El 与 E2, 相应的, 配 置设备也将第一配置密码信息分为前半部分与后半部分并且与 E1, E2相同的加密算法分别进行加密, 其中, 前半部分的加密信息为 R1, 后半部分的加密信息为 R2, R1与 R2的加密密钥分别为 Rkl, Rk2。
C, 通信单元 1101接收配置设备发送的 Rl、 R2和 Rkl, 并根据 Rkl对第二配置密码信息前半部分以与 El, E2相同的加密算法进行加 密, 如果加密的结果与 R1相等, 则无线终端 110确认第一配置密码 信息与第二配置密码信息的前半部分匹配, 通信单元 1101 向配置设 备发送 Ekl。
若加密的结果与 Rl不相等,处理器 1102确认第一配置密码信息 与第二配置密码信息不匹配, 则结束配置交互过程, 例如, 通信单元 1101向配置设备发送不匹配结果信息,并接收由配置设备发送的断开 连接信息, 结束配置交互过程, 或者处理器 1 102 直接结束配置交互 过程。
D、 配置设备判断第一配置密码信息与第二配置密码信息的前半 部分是否匹配。
若匹配, 配置设备向无线终端 110发送 Rk2 ,
若不匹配, 则结束配置交互过程, 例如, 配置设备向无线终端 110发送不匹配结果信息, 无线终端 110向配置设备发送断开连接信 息, 结束配置交互过程, 或者直接结束配置交互过程。
E、 通信单元 1101 接收配置设备发送的 Rk2 , 处理器 1 102根据 Rk2 判断第一配置密码信息与第二配置密码信息的后半部分是否匹 配。
若匹配, 通信单元 1 101向配置设备发送 Ek2 ,
若不匹配, 则结束配置交互过程, 例如, 通信单元 1 101 向配置 设备发送不匹配结果信息, 并接收由配置设备发送的断开连接信息, 结束配置交互过程, 或者直接结束配置交互过程。
F、 配置设备判断第一配置密码信息与第二配置密码信息的后半 部分是否匹配,
若匹配, 配置设备向无线终端 1 10发送无线终端 110接入 AP的 信任状信息, 示例性的, 信任状信息可以包含无线终端 110的认证信 息, 以及 AP与无线终端 1 10之间通信消息的加密与解密的密钥。
若不匹配, 则结束配置交互过程, 例如, 配置设备向无线终端 110发送不匹配结果信息, 无线终端 110向配置设备发送断开连接信 息, 结束配置交互过程, 或者直接结束配置交互过程。 示例性的, 上述举例的三种验证方法对验证配置密码信息为 PIN 码、 NFC标签中的密码和多维码均适用, 本实施例对此不进行任何限 定。 在实际实现中, 方法一和方法二交互过程简单, 如需保证信息传
输的安全性, 需要配置密码信息具备较大的信息量, 例如对于数字型 的配置密码信息, 需要具备较长的位数。 不方便手动输入, 因此在实 际应用中优选使用非手动输入的获取方式, 例如通过 NFC 接口读取 NFC标签中的配置密码信息或使用图像传感器识读 QR Code 中编码 的配置密码信息的方式, 既能够保证配置设备方便地获取配置密码信 息,又能够保证配置密码信息拥有足够的信息量。而对于输入 PIN码、 PBC等配置方式, 因配置密码信息的位数较短, 为保证其安全性, 应 优选采用现有的 WPS2.0协议中的 EAP交互过程, 即方法三。 本领域 的技术人员可以理解, WPS2.0协议中的 EAP交互过程对于较短位数 的 PIN码有较好的安全性。 本发明的实施例提供的一种配置无线终端的无线终端 1 10。 通过 无线终端 110与配置设备的直接通信完成对无线终端 110的配置, 实 现配置过程无需 AP参与也能完成对无线终端 1 10的配置。 使得配置 过程更加灵活。 解决了现有技术在配置过程中都必须处于工作状态, 在 AP处于不能正常通信的区域或者 AP处于离线状态时不能完成对 无线终端 1 10的配置的问题。
再一方面, 本发明实施例提供了一种无线终端 1 10 , 该无线终端 110与配置设备可以采用直接连接的方式进行直接通信, 以完成与配 置设备进行验证, 其中, 直接连接的方式可以包括 P2P 连接方式或 ad hoc连接方式, 本发明实施例对无线终端与配置设备的直接连接的 方式不进行限制。 优选的, 本实施例中配置设备与无线终端采用 P2P 连接方式。 其中, 无线终端 1 10为 P2P连接中的 Client , 配置设备为 P2P连接中的 GO , 具体实现 P2P连接的过程已在方法实施例中进行 详细说明, 此处不再赞述, 参见图 12 , 该无线终端 110包括:
接收单元 1201 , 用于通过直接连接的通信链路接收配置设备根 据无线终端 110的设备标识信息发送的配置触发信息,
示例性的, 无线终端 1 10的设备标识信息由配置设备获取; 配置 设备可以通过信标帧或者探测响应帧向无线终端 110发送配置触发信
验证单元 1202 , 用于通过直接连接的通信链路与配置设备进行 验证, 以使得配置设备确定无线终端 1 10拥有配置密码信息,
示例性的, 配置密码信息由配置设备获取; 验证单元 1202 可以 通过 EAP消息与所述配置设备进行验证 示例性的, 为了描述方便, 本实施例中将配置设备所获取到的无 线终端 110的配置密码信息称为第一配置密码信息, 将无线终端 1 10 自身所拥有的配置密码信息称为第二配置密码信息, 第一配置密码信 息和第二配置密码信息应该相同, 类型可以为 PIN或密码, 可以编码 于多维码、 存储于 NFC 标签、 以字符串显示于标签等, 例如, 无线 终端 110的多维码可以为静态多维码, 如标签打印的多维码, 或动态 多维码, 如由无线终端 1 10动态生成的多维码; 多维码码制可以为任 何可以识读的一维条码、 二维条码码制, 例如 UPC、 QR Code等。 本 发明并不以此为限。 无线终端 1 10的配置密码信息可以静态存储于无 线终端 110 的 NFC标签内, 或是以某种方式动态生成后存储于无线 终端 110的 NFC标签中。
无线终端 1 10的设备标识信息可以是能够唯一标识无线终端 110 的任何信息, 本实施例对此不进行限定, 例如, 可以为无线终端 110 的 MAC地址。
接收单元 1201 还用于, 通过直接连接的通信链路接收配置设备 发送的无线终端 110接入 AP 的信任状信息以及 AP的标识信息, 以 使得在无线终端 110与配置设备验证成功后, 无线终端 110根据信任 状信息和 AP的设备标识信息请求接入 AP。
示例性的, 接收单元 1201可以接收配置设备通过 EAP消息发送 的无线终端 1 10接入 AP的信任状信息以及 AP的标识信息, 本领域 技术人员可以理解, 信任状信息和 AP的设备标识信息可以在验证过 程结束后进行接收, 也可以同时在验证交互消息中进行接收, 也可以 作为验证过程的一部分, 作为验证成功与否的判决条件之一, 本发明 并不以此为限。此外信任状信息和 AP的设备标识信息可以同时接收, 也可以分开接收。
示例性的, 参见图 13 , 无线终端 110还包括发送单元 1203 , 用
于向所述配置设备发送配置请求消息, 其中, 配置请求消息包括无线终端 110的设备标识信息和使用个 人身份识别码 PIN方式的指示信息, 以使得配置设备根据配置请求消 息接收用户输入的所述配置密码信息, 配置密码信息包括所述无线终 端 1 10的 PIN; 或者, 配置请求消息包括无线终端 110的设备标识信 息和使用 PBC方式的指示信息; 以使得配置设备通过与无线终端 110 进行 PBC 配置方式的交互并在交互过程中使用缺省的 PIN作为配置 密码信息。
示例性的, 发送单元 1203 可以通过以下任一种方式向配置设备 发送配置请求消息:
A、 发送单元 1203 在接收到配置设备向外广播的信标帧后向配 置设备发送的配置请求消息;
B、 发送单元 1203主动在各信道上发送的配置请求消息。
示例性的, 验证单元 1202与配置设备进行验证, 验证单元 1202 可以通过不同的验证方法与配置设备进行验证, 以下将详细介绍三种 验证方法的过程, 需要说明的是, 具体的验证方式可以有多种, 任何 通过信息交互并进行匹配确认的验证方式均适用于本发明实施例所 述的验证过程, 本发明实施例所提供的三种验证方式只是对验证过程 的一个详细说明。
方法一:
A, 验证单元 1202 与配置设备可以均生成一个随机值, 分别为 Ea和 Ra, 验证单元 1202接收由配置设备发送的消息一, 消息一中包 含 Ra; 并指示通信单元 1101 向配置设备发送消息二, 其中, 消息二 包括 Ea及利用 Keyl加密消息二摘要得到的第一 MIC ,以使得配置设 备以与无线终端 110生成 Keyl 的相同方式生成共享密钥 Key2 , 并使 用 Key2以与无线终端 1 10相同的方式生成第二 MIC ,并且与第一 MIC 进行匹配。 若不匹配, 验证单元 1202接收由配置设备发送的不匹配结果信 息, 并向配置设备发送断开连接信息, 结束配置交互过程, 或者直接 结束配置交互过程。
若匹配, 验证单元 1202接收由配置设备发送的消息三, 其中, 消息三包括利用 Key2加密消息三摘要得到的第三 MIC及利用 Key2 加密的无线终端 1 1 0接入 AP的信任状信息和 AP的设备标识信息; 需要说明的是,本领域的技术人员可以理解,在发送信任状信息之前, 信任状信息的生成时间不具体限制;
B、 验证单元 1202根据消息三生成第四 MIC , 并与第三 MIC 匹 配。
若匹配, 验证单元 1202向配置设备发送匹配成功信息。
若不匹配, 无线终端 1 10向配置设备发送不匹配结果信息, 并接 收配置设备发送的断开连接信息, 结束配置交互过程, 或者直接结束 配置交互过程。
需要说明的是, 本领域技术人员可以理解, AP 的标识信息相对 公开, 不一定需要对其进行加密, 例如 AP的标识信息明文带在消息 三中, 或者, 通过其他的消息进行发送。 本实施例中只是提供一种可 行的方法, 但并不以此为限。 方法二:
A、 验证单元 1202接收由配置设备发送的加密信息一, 示例性的, 加密信息一由配置设备将随机值 Ra及无线终端 1 1 0 接入 AP的信任状信息通过第一配置密码信息进行加密得到, 需要说 明的是, 本领域的技术人员可以理解, 在发送信任状信息之前, 信任 状信息的生成时间不具体限制。
B、 验证单元 1202向配置设备发送加密消息二,
示例性的, 验证单元 1202通过第二配置密码将接收到的加密信 息一进行解密,获得解密后的随机值 R i,,再将解密后的随机值 α '通 过第二配置密码信息加密后得到加密消息二。
C、 配置设备根据第一配置密码信息将加密信息二进行解密, 获 得解密后的随机值 α " , 并将 Wfl "与 Ra进行匹配;
若不匹配, 则结束配置交互过程, 例如, 配置设备可以向无线终 端 1 10发送不匹配结果信息, 无线终端 1 10向配置设备发送断开连接
信息, 结束配置交互过程, 或者配置设备直接结束配置交互过程; 若匹配, 配置设备向无线终端 110发送 AP的设备标识信息。 方法三
该验证方法的交互是基于现有的 WPS2.0协议中的消息一至消息 八的 EAP认证过程, 配置设备和无线终端可以通过 8个消息 ( Ml ~ M8) 完成配置过程。 其中 M1-M8消息为协议中的标准消息, 其具体 内容在此不再赘述。 具体过程如下:
A, 验证单元 1202 和配置设备采用动态密钥交换算法协商出无 线终端 110与配置设备之间的一组临时密钥, 用于对后续进行交互认 证的消息和重要数据如配置数据、 信任状信息等进行加密, 保证配置 过程的安全性;
示例性的, 本发明实施例优选使用 DH动态密钥交换算法, 并不 代表本发明实施例仅限于采用该动态密钥交换算法。
B,验证单元 1202将第二配置密码信息分为前半部分与后半部分 并且分别进行加密优选的, 本发明实施例选择 AES 算法进行加密, 但并不代表本发明实施例仅限于该算法, 其中, 前半部分的加密信息 为 E1, 后半部分的加密信息为 E2, E1与 E2的加密密钥分别为 Ekl, Ek2, 并且向配置设备发送 El与 E2, 相应的, 配置设备也将第一配置 密码信息分为前半部分与后半部分并且与 El, E2相同的加密算法分 别进行加密, 其中, 前半部分的加密信息为 R1, 后半部分的加密信 息为 R2, R1与 R2的加密密钥分别为 Rkl, Rk2。
C, 验证单元 1202接收配置设备发送的 Rl、 R2和 Rkl, 并根据 Rkl对第二配置密码信息前半部分与 El, E2 相同的加密算法进行加 密, 如果加密的结果与 R1相等, 则无线终端 110确认第一配置密码 信息与第二配置密码信息的前半部分匹配, 验证单元 1202 向配置设 备发送 Ekl。
若加密的结果与 R1不相等,验证单元 1202确认第一配置密码信 息与第二配置密码信息不匹配, 则结束配置交互过程, 例如, 无线终 端 110向配置设备发送不匹配结果信息, 并接收由配置设备发送的断 开连接信息, 结束配置交互过程, 或者直接结束配置交互过程。
D、 配置设备判断第一配置密码信息与第二配置密码信息的前半 部分是否匹配。
若匹配, 配置设备向无线终端 110发送 Rk2 ,
若不匹配, 则结束配置交互过程, 例如, 配置设备向无线终端 110发送不匹配结果信息, 无线终端 110向配置设备发送断开连接信 息, 结束配置交互过程, 或者直接结束配置交互过程。
E、 无线终端 110接收配置设备发送的 Rk2 , 验证单元 1202根据 Rk2 判断第一配置密码信息与第二配置密码信息的后半部分是否匹 配。
若匹配, 验证单元 1202向配置设备发送 Ek2 ,
若不匹配, 则结束配置交互过程, 例如, 无线终端 1 10向配置设 备发送不匹配结果信息, 并接收由配置设备发送的断开连接信息, 结 束配置交互过程, 或者直接结束配置交互过程。
F、 配置设备判断第一配置密码信息与第二配置密码信息的后半 部分是否匹配,
若匹配, 配置设备向无线终端 1 10发送无线终端 110接入 AP的 信任状信息, 示例性的, 信任状信息可以包含无线终端 110的认证信 息, 以及 AP与无线终端 1 10之间通信消息的加密与解密的密钥。
若不匹配, 则结束配置交互过程, 例如, 配置设备向无线终端 110发送不匹配结果信息, 无线终端 110向配置设备发送断开连接信 息, 结束配置交互过程, 或者直接结束配置交互过程。 示例性的, 上述举例的三种验证方法对验证配置密码信息为 PIN 码、 NFC标签中的密码和多维码均适用, 本实施例对此不进行任何限 定。 在实际实现中, 方法一和方法二交互过程简单, 如需保证信息传 输的安全性, 需要配置密码信息具备较大的信息量, 例如对于数字型 的配置密码信息, 需要具备较长的位数。 不方便手动输入, 因此在实 际应用中优选使用非手动输入的获取方式, 例如通过 NFC 接口读取 NFC标签中的配置密码信息或使用图像传感器识读 QR Code 中编码 的配置密码信息的方式, 既能够保证配置设备方便地获取配置密码信
息,又能够保证配置密码信息拥有足够的信息量。而对于输入 PIN码、 PBC等配置方式, 因配置密码信息的位数较短, 为保证其安全性, 应 优选采用现有的 WPS2.0协议中的 EAP交互过程, 即方法三。 本领域 的技术人员可以理解, WPS2.0协议中的 EAP交互过程对于较短位数 的 PIN码有较好的安全性。 本发明的实施例提供的一种配置无线终端的无线终端 110。 通过 无线终端 110与配置设备的直接通信完成对无线终端 110的配置, 实 现配置过程无需 AP参与也能完成对无线终端 1 10的配置。 使得配置 过程更加灵活。 解决了现有技术在配置过程中都必须处于工作状态, 在 AP处于不能正常通信的区域或者 AP处于离线状态时不能完成对 无线终端 1 10的配置的问题。
再一方面, 本发明实施例提供了一种配置无线终端的系统, 参见 图 14 , 该系统可以包括: 上述任一实施例的配置设备 70 以及上述任 一实施例的无线终端 110。 示例性的, 参见图 15 , 该系统还可以包括,
无线接入设备 150 , 用于接收配置设备 70 发送的无线终端 110 的信任状信息和无线终端 110的标识信息, 以及根据无线终端 1 10的 信任状信息和无线终端 110的标识信息对无线终端 1 10接入无线接入 设备的请求进行处理。 本发明的实施例提供的一种配置无线终端的系统, 通过配置设备 70与无线终端 110的直接通信完成对无线终端 110的配置,实现配置 过程无需无线接入设备 150参与也能完成对无线终端 1 10的配置。 使 得配置过程更加灵活。 解决了现有技术在配置过程中都必须处于工作 状态, 在无线接入设备 150处于不能正常通信的区域或者无线接入设 备 150处于离线状态时不能完成对无线终端 70的配置的问题。
在本申请所提供的几个实施例中, 应该理解到, 所揭露的系统, 装置和方法, 可以通过其它的方式实现。 例如, 以上所描述的装置实 施例仅仅是示意性的, 例如, 所述单元的划分, 仅仅为一种逻辑功能 划分, 实际实现时可以有另外的划分方式, 例如多个单元或组件可以 结合或者可以集成到另一个系统, 或一些特征可以忽略, 或不执行。
另一点, 所显示或讨论的相互之间的耦合或直接耦合或通信连接可以 是通过一些接口, 装置或单元的间接耦合或通信连接, 可以是电性, 机械或其它的形式。 所述作为分离部件说明的单元可以是或者也可以不是物理上分 开的, 作为单元显示的部件可以是或者也可以不是物理单元, 即可以 位于一个地方, 或者也可以分布到多个网络单元上。 可以根据实际的 需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外, 在本发明各个实施例中的各功能单元可以集成在一个处理 单元中, 也可以是各个单元单独物理包括, 也可以两个或两个以上单 元集成在一个单元中。 上述集成的单元既可以采用硬件的形式实现, 也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元, 可以存储在一个 计算机可读取存储介质中。 上述软件功能单元存储在一个存储介质 中, 包括若干指令用以使得一台计算机设备 (可以是个人计算机, 服 务器,或者网络设备等)执行本发明各个实施例所述方法的部分步骤。 而前述的存储介质包括: U 盘、 移动硬盘、 只读存储器 ( Read-Only Memory , 简称 ROM )、 随机存取存储器 ( Random Access Memory , 简称 RAM )、 磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是: 以上实施例仅用以说明本发明的技术方案, 而 非对其限制; 尽管参照前述实施例对本发明进行了详细的说明, 本领 域的普通技术人员应当理解: 其依然可以对前述各实施例所记载的技 术方案进行修改, 或者对其中部分技术特征进行等同替换; 而这些修 改或者替换, 并不使相应技术方案的本质脱离本发明各实施例技术方 案的精神和范围。