CN106464690B - 一种安全认证方法、配置方法以及相关设备 - Google Patents

一种安全认证方法、配置方法以及相关设备 Download PDF

Info

Publication number
CN106464690B
CN106464690B CN201580030204.2A CN201580030204A CN106464690B CN 106464690 B CN106464690 B CN 106464690B CN 201580030204 A CN201580030204 A CN 201580030204A CN 106464690 B CN106464690 B CN 106464690B
Authority
CN
China
Prior art keywords
terminal
type information
information
signature
configuration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201580030204.2A
Other languages
English (en)
Other versions
CN106464690A (zh
Inventor
庞高昆
方平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202010206792.3A priority Critical patent/CN111465014B/zh
Publication of CN106464690A publication Critical patent/CN106464690A/zh
Application granted granted Critical
Publication of CN106464690B publication Critical patent/CN106464690B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种安全认证方法、配置方法以及相关设备,第一终端接收配置设备发送的配置设备的签名公钥,所述第一终端接收第二签名信息和第二类型信息,所述第一终端至少根据所述第二类型信息和所述第二签名信息确定所述第一终端生成密钥信息,以使所述第一终端才会建立所述第一终端与所述第二终端的安全连接,有效的避免了终端对角色的篡改,从而有效的避免了终端与更改了角色的攻击终端建立连接,进而避免攻击终端获取终端的信息,有效的保障了终端的安全。

Description

一种安全认证方法、配置方法以及相关设备
技术领域
本发明涉及网络通信领域,尤其涉及的是一种安全认证方法、配置方法以及相关设备。
背景技术
现有技术中,配置设备能够对待配置的第一终端进行配置,以使待配置的第一终端能够接收到配置设备发送的经过加密的配置信息,接收到所述配置信息的第一终端若希望和第二终端建立安全连接,则所述第一终端将所述配置信息转发给所述第二终端,所述第二终端能够对所述配置信息进行验证,若验证通过,则所述第一终端和所述第二终端能够建立安全连接。例如,在无线局域网(Wireless Local Area Network,简称WLAN)中,所述第一终端可为接入点(Access Point,简称AP),所述第二终端可为站点(Station,简称STA),其中,AP能够将所述配置设备发送的配置信息发送给STA,STA对所述配置信息进行验证,若验证通过,则STA能够接入所述AP,还例如,在对等网络P2P network中,所述第一终端可为group owner简称GO设备,GO设备可作为P2P network的中心节点,第二终端可为P2P设备,其中,GO设备能够将所述配置设备发送的配置信息发送给P2P设备,P2P设备对所述配置信息进行验证若验证通过,则P2P设备能够接入所述GO设备;
但是,现有技术中的缺陷在于,以无线局域网为例,若攻击终端接收到所述配置设备发送的所述配置信息,所述攻击终端能够改变自己的角色,进而使得攻击终端能够假冒AP设备,攻击终端将自己的信息设置为AP的服务集标识(SSID,Service Set Identifier),当有STA来连接AP时,攻击终端将从所述配置设备接收到的配置信息给STA,STA根据配置信息进行验证,且能够验证成功,STA无法识别攻击终端是假冒的AP,当攻击终端与STA建立连接后,攻击终端即可窃听STA的信息,可见,现有技术中的终端之间建立连接存在安全隐患。
发明内容
本发明提供了一种安全认证方法、配置方法以及相关设备。
本发明实施例第一方面提供了一种安全认证方法,包括:
第一终端接收配置设备发送的所述配置设备的签名公钥;
所述第一终端接收的第二签名信息和第二类型信息,所述第二签名信息为所述配置设备发送给第二终端的签名信息,所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成,所述第二类型信息为所述第二终端的角色类型信息,和/或,所述第二终端能够连接的角色类型信息,所述配置设备的签名公钥和所述配置设备的签名私钥对应;
所述第一终端至少根据所述第二类型信息和所述第二签名信息确定所述第一终端生成密钥信息,所述密钥信息用于第一终端与第二终端建立安全连接。
结合本发明实施例第一方面,本发明实施例第一方面的第一种实现方式中,
所述方法还包括:
所述第一终端接收所述配置设备发送的第一签名信息,所述第一签名信息由所述配置设备至少根据所述第一类型信息和签名私钥生成,所述第一类型信息为所述第一终端的角色类型信息,和/或,所述第一终端能够连接的角色类型信息。
结合本发明实施例第一方面的第一种实现方式,本发明实施例第一方面的第二种实现方式中,
所述第一终端的角色类型信息,和/或,所述第一终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备,非码中心设备,外设,源设备,目标设备,配置器,接入设备,支持的能力,支持的服务,服务集标识或媒体访问控制地址。
结合本发明实施例第一方面的第二种实现方式,本发明实施例第一方面的第三种实现方式中,
所述第二终端的角色类型信息,和/或,所述第二终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备,非码中心设备,外设,源设备,目标设备,配置器,接入设备,支持的能力,支持的服务,服务集标识或媒体访问控制地址。
结合本发明实施例第一方面的第三种实现方式,本发明实施例第一方面的第四种实现方式中,
结合本发明实施例第一方面至本发明实施例第一方面的第三种实现方式的任意一种方式,本发明实施例第一方面的第四种实现方式中,
所述第一终端至少根据所述第二类型信息和第二签名信息确定所述第一终端生成密钥信息包括:
所述第一终端确定所述第一类型信息和所述第二类型信息相匹配,且,所述第一终端确认所述第二签名信息与所述第二类型信息相匹配,则所述第一终端确定生成密钥信息。
结合本发明实施例第一方面的第四种实现方式,本发明实施例第一方面的第五种实现方式中,
所述第一终端至少根据所述第二类型信息和第二签名信息确定所述第一终端生成密钥信息之后包括:
所述第一终端生成所述密钥信息。
本发明实施例第二方面提供了一种配置方法,包括:
配置设备获得所述终端的类型信息,所述类型信息为终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成签名信息;
所述配置设备将所述签名信息和所述配置设备的签名公钥发送给所述终端,所述配置设备的签名公钥与所述配置设备的签名私钥相对应。
结合本发明实施例第二方面,本发明实施例第二方面的第一种实现方式中,
所述配置设备获得所述终端的类型信息包括:
所述配置设备接收所述终端发送的指示消息,所述指示消息包含所述类型信息。
结合本发明实施例第二方面,本发明实施例第二方面的第二种实现方式中,
所述配置设备获得所述终端的类型信息包括:
所述配置设备接收所述终端发送的发现消息;
所述配置设备根据所述发现消息确定所述类型信息,且所述发现消息与所述类型信息对应。
结合本发明实施例第二方面,本发明实施例第二方面的第三种实现方式中,
所述配置设备获得所述终端的类型信息包括:
所述配置设备接收用户输入的操作指令,所述操作指令用于指示所述类型信息。
结合本发明实施例第二方面,本发明实施例第二方面的第四种实现方式中,
所述配置设备获得所述终端的类型信息包括:
所述配置设备扫描所述终端中包含的所述类型信息的二维码;
或,
所述配置设备建立与所述终端的近距离无线通讯技术NFC连接以获取所述类型信息。
结合本发明实施例第二方面至本发明实施例第二方面的第四种实现方式任一项所示,本发明实施例第二方面的第五种实现方式中,
所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。
结合本发明实施例第二方面至本发明实施例第二方面的第五种实现方式任一项所示,本发明实施例第二方面的第六种实现方式中,
所述签名信息还包括第一哈希值,所述第一哈希值为所述配置设备至少对所述类型信息进行哈希运算所生成的哈希值。
本发明实施例第三方面提供了一种配置方法,包括:
终端将所述终端的类型信息传递给配置设备,所述类型信息为所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
所述终端接收所述配置设备发送的签名信息和所述配置设备的签名公钥,所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成,所述配置设备的签名公钥和所述配置设备的签名私钥对应。
结合本发明实施例第三方面,本发明实施例第三方面的第一种实现方式中,
所述终端将类型信息传递给配置设备包括:
所述终端生成指示消息,所述指示消息包含有所述类型信息;
所述终端将所述指示消息发送给所述配置设备。
结合本发明实施例第三方面,本发明实施例第三方面的第二种实现方式中,
所述终端将类型信息传递给配置设备包括:
所述终端生成发现消息;
所述终端将所述发现消息发送给所述配置设备,所述发现消息与所述类型信息对应。
结合本发明实施例第三方面,本发明实施例第三方面的第三种实现方式中,
所述终端将类型信息传递给配置设备包括:
所述终端生成二维码,所述二维码包含有所述类型信息;
或,
所述终端建立与所述配置设备的近距离无线通讯技术NFC连接;
所述终端通过所述NFC将所述类型信息发送给所述配置设备。
结合本发明实施例第三方面至本发明实施例第三方面的第三种实现方式任一项所述的方法,本发明实施例第三方面的第四种实现方式中,
所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。
本发明实施例第四方面提供了一种第一终端,包括:
第一接收单元,用于接收配置设备发送的所述配置设备的签名公钥;
第二接收单元,用于接收第二签名信息和第二类型信息,所述第二签名信息为所述配置设备发送给第二终端的签名信息,所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成,所述第二类型信息为所述第二终端的角色类型信息,和/或,所述第二终端能够连接的角色类型信息,所述配置设备的签名公钥和所述配置设备的签名私钥对应;
第一确定单元,用于至少根据所述第二类型信息和所述第二签名信息确定生成密钥信息,所述密钥信息用于第一终端与第二终端建立安全连接。
结合本发明实施例第四方面,本发明实施例第四方面的第一种实现方式中,
所述第一终端还包括:
第三接收单元,用于接收所述配置设备发送的第一签名信息,所述第一签名信息由所述配置设备至少根据所述第一类型信息和签名私钥生成,所述第一类型信息为所述第一终端的角色类型信息,和/或,所述第一终端能够连接的角色类型信息。
结合本发明实施例第四方面的第一种实现方式,本发明实施例第四方面的第二种实现方式中,
所述第一终端的角色类型信息,和/或,所述第一终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备,非码中心设备,外设,源设备,目标设备,配置器,接入设备,支持的能力,支持的服务,服务集标识或媒体访问控制地址。
结合本发明实施例第四方面的第二种实现方式,本发明实施例第四方面的第三种实现方式中,
所述第二终端的角色类型信息,和/或,所述第二终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备,非码中心设备,外设,源设备,目标设备,配置器,接入设备,支持的能力,支持的服务,服务集标识或媒体访问控制地址。
结合本发明实施例第四方面的第三种实现方式,本发明实施例第四方面的第四种实现方式中,
所述第一确定单元还用于,在确定所述第一类型信息和所述第二类型信息相匹配,并且所述第一终端确认所述第二签名信息匹配所述第二类型信息,则所述第一终端确定生成生成密钥信息。
结合本发明实施例第四方面的第四种实现方式,本发明实施例第四方面的第五种实现方式中,
所述第一终端还包括:
第一生成单元,用于生成所述密钥信息。
结合本发明实施例第四方面的第五种实现方式,本发明实施例第四方面的第六种实现方式中,
所述第一终端还包括:
第一发送单元,用于将所述第一签名信息发送给所述第二终端。
本发明实施例第五方面提供了一种配置设备,包括:
第四接收单元,用于获得所述终端的类型信息,所述类型信息为终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
第二生成单元,用于至少根据所述类型信息和所述配置设备的签名私钥生成签名信息;
第二发送单元,用于将所述签名信息和所述配置设备的签名公钥发送给所述终端,所述配置设备的签名公钥与所述配置设备的签名私钥相对应。
结合本发明实施例第五方面,本发明实施例第五方面的第一种实现方式中,
所述第四接收单元还用于,接收所述终端发送的指示消息,所述指示消息包含所述类型信息。
结合本发明实施例第五方面,本发明实施例第五方面的第二种实现方式中,
所述第四接收单元包括:
接收模块,用于接收所述终端发送的发现消息;
确定模块,用于根据所述发现消息确定所述类型信息,且所述发现消息与所述类型信息对应。
结合本发明实施例第五方面,本发明实施例第五方面的第三种实现方式中,
所述第四接收单元还用于,接收用户输入的操作指令,所述操作指令用于指示所述类型信息。
结合本发明实施例第五方面,本发明实施例第五方面的第四种实现方式中,
所述第四接收单元还用于,扫描所述终端中包含的所述类型信息的二维码;
或,
所述第四接收单元还用于,建立与所述终端的近距离无线通讯技术NFC连接以获取所述类型信息。
结合本发明实施例第五方面至本发明实施例第五方面的第四种实现方式的任意一种方式,本发明实施例第五方面的第五种实现方式中,
所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。
结合本发明实施例第五方面至本发明实施例第五方面的第五种实现方式的任意一种方式,本发明实施例第五方面的第六种实现方式中,
所述签名信息还包括第一哈希值,所述第一哈希值为所述配置设备至少对所述类型信息进行哈希运算所生成的哈希值。
本发明实施例第六方面提供一种终端,包括:
第三发送单元,用于将所述终端的类型信息传递给配置设备,所述类型信息为所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
第五接收单元,用于接收所述配置设备发送的签名信息和所述配置设备的签名公钥,所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成,所述配置设备的签名公钥和所述配置设备的签名私钥对应。
结合本发明实施例第六方面,本发明实施例第六方面的第一种实现方式中,
所述第三发送单元包括:
第一生成模块,用于生成指示消息,所述指示消息包含有所述类型信息;
第二发送模块,用于将所述指示消息发送给所述配置设备。
结合本发明实施例第六方面,本发明实施例第六方面的第二种实现方式中,
所述第三发送单元包括:
第二生成模块,用于生成发现消息;
第三发送模块,用于将所述发现消息发送给所述配置设备,所述发现消息与所述类型信息对应。
结合本发明实施例第六方面,本发明实施例第六方面的第三种实现方式中,
所述第三发送单元包括:
第三生成模块,用于生成二维码,所述二维码包含有所述类型信息;
或,
所述第三发送单元包括:
建立模块,用于建立与所述配置设备的近距离无线通讯技术NFC连接;
第四发送模块,用于通过所述NFC将所述类型信息发送给所述配置设备。
结合本发明实施例第六方面至发明实施例第六方面的第三种实现方式任一项所述的终端,本发明实施例第六方面的第四种实现方式中,
所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。
本发明实施例第七方面,提供了一种第一终端,
包括接收器、发送器和处理器,且所述处理器分别和所述接收器和所述发送器连接;
所述接收器,用于接收配置设备发送的所述配置设备的签名公钥;
所述接收器,用于接收第二签名信息和第二类型信息,所述第二签名信息为所述配置设备发送给第二终端的签名信息,所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成,所述第二类型信息为所述第二终端的角色类型信息,和/或,所述第二终端能够连接的角色类型信息,所述配置设备的签名公钥和所述配置设备的签名私钥对应;
所述处理器,用于至少根据所述第二类型信息和所述第二签名信息确定所述第一终端生成密钥信息,所述密钥信息用于第一终端与第二终端建立安全连接。
结合本发明实施例第七方面,本发明实施例第七方面的第一种实现方式中,
所述接收器,用于接收所述配置设备发送的第一签名信息,所述第一签名信息由所述配置设备至少根据所述第一类型信息和签名私钥生成,所述第一类型信息为所述第一终端的角色类型信息,和/或,所述第一终端能够连接的角色类型信息。
结合本发明实施例第七方面,本发明实施例第七方面的第二种实现方式中,
所述第一终端的角色类型信息,和/或,所述第一终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备,非码中心设备,外设,源设备,目标设备,配置器,接入设备,支持的能力,支持的服务,服务集标识或媒体访问控制地址。
结合本发明实施例第七方面的第二种实现方式,本发明实施例第七方面的第三种实现方式中,
所述第二终端的角色类型信息,和/或,所述第二终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备,非码中心设备,外设,源设备,目标设备,配置器,接入设备,支持的能力,支持的服务,服务集标识或媒体访问控制地址。
结合本发明实施例第七方面的第三种实现方式,本发明实施例第七方面的第四种实现方式中,
所述处理器,用于在确定所述第一类型信息和所述第二类型信息相匹配,并且所述第一终端确认所述第二签名信息匹配所述第二类型信息,则确定生成生成密钥信息。
结合本发明实施例第七方面的第四种实现方式,本发明实施例第七方面的第五种实现方式中,
所述处理器,用于生成所述密钥信息。
结合本发明实施例第七方面的第五种实现方式,本发明实施例第七方面的第六种实现方式中,
所述发送器,用于将所述第一签名信息发送给所述第二终端。
本发明第八方面提供了一种配置设备,
包括发送器、接收器和处理器,且所述处理器分别和所述发送器和所述接收器连接;
所述接收器,用于获得所述终端的类型信息,所述类型信息为终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
所述处理器,用于至少根据所述类型信息和所述配置设备的签名私钥生成签名信息;
所述发送器,用于将所述签名信息和所述配置设备的签名公钥发送给所述终端,所述配置设备的签名公钥与所述配置设备的签名私钥相对应。
结合本发明八方面,本发明八方面的第一种实现方式中,
所述接收器,用于接收所述终端发送的指示消息,所述指示消息包含所述类型信息。
结合本发明八方面的第一种实现方式,本发明八方面的第二种实现方式中,
所述接收器,用于接收所述终端发送的发现消息;
所述处理器,用于根据所述发现消息确定所述类型信息,且所述发现消息与所述类型信息对应。
结合本发明第八方面,本发明八方面的第三种实现方式中,
所述接收器,用于接收用户输入的操作指令,所述操作指令用于指示所述类型信息。
结合本发明第八方面,本发明八方面的第四种实现方式中,
所述接收器,用于扫描所述终端中包含的所述类型信息的二维码;
或,
所述接收器,用于建立与所述终端的近距离无线通讯技术NFC连接以获取所述类型信息。
结合本发明第八方面至本发明八方面的第四种实现方式中任一项所述的配置设备,本发明八方面的第五种实现方式中,
所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。
结合本发明第八方面至本发明八方面的第五种实现方式中任一项所述的配置设备,本发明八方面的第六种实现方式中,
所述签名信息还包括第一哈希值,所述第一哈希值为所述配置设备至少对所述类型信息进行哈希运算所生成的哈希值。
结合本发明第九方面提供了一种终端,
包括:发送器、接收器和处理器,其中,所述处理器分别和所述发送器和所述接收器连接;
发送器,用于将所述终端的类型信息传递给配置设备,所述类型信息为所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
接收器,用于接收所述配置设备发送的签名信息和所述配置设备的签名公钥,所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成,所述配置设备的签名公钥和所述配置设备的签名私钥对应。
结合本发明第九方面,本发明第九方面的第一种实现方式中,
所述处理器,用于生成指示消息,所述指示消息包含有所述类型信息;
所述发送器,用于将所述指示消息发送给所述配置设备。
结合本发明第九方面,本发明第九方面的第二种实现方式中,
所处理器,用于生成发现消息;
所述发送器,用于将所述发现消息发送给所述配置设备,所述发现消息与所述类型信息对应。
结合本发明第九方面,本发明第九方面的第三种实现方式中,
所述处理器,用于生成二维码,所述二维码包含有所述类型信息;
或,
所述处理器,用于建立与所述配置设备的近距离无线通讯技术NFC连接;
所述发送器,用于通过所述NFC将所述类型信息发送给所述配置设备。
结合本发明第九方面至本发明第九方面的第三种实现方式任一项所述的终端,本发明第九方面的第四种实现方式中,
所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。
通过本实施例所提供的一种安全认证方法、配置方法以及相关设备,在建立第一终端与第二终端安全连接的过程中,所述第一终端不仅需要根据第二签名信息中所包含的用于建立连接的信息进行验证,且所述第一终端还需验证所述第二终端的类型信息,只有在验证通过的情况下,所述第一终端才会建立所述第一终端与所述第二终端的安全连接,有效的避免了终端对角色的篡改,从而有效的避免了终端与更改了角色的攻击终端建立连接,进而避免攻击终端获取终端的信息,有效的保障了终端的安全。
附图说明
图1为本发明实施例所提供的安全认证方法的一种步骤流程图;
图2为本发明实施例所提供的安全认证方法的另一种步骤流程图;
图3为本发明实施例所提供的配置方法的一种步骤流程图;
图4为本发明实施例所提供的配置方法的另一种步骤流程图;
图5为本发明实施例所提供的第一终端的一种结构示意图;
图6为本发明实施例所提供的第一终端的另一种结构示意图;
图7为本发明实施例所提供的配置设备的一种结构示意图;
图8为本发明实施例所提供的配置设备的另一种结构示意图;
图9为本发明实施例所提供的终端的一种结构示意图;
图10为本发明实施例所提供的终端的另一种结构示意图;
图11为本发明实施例所提供的第一终端的另一种结构示意图;
图12为本发明实施例所提供的配置设备的另一种结构示意图;
图13为本发明实施例所提供的终端的另一种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
当本发明实施例提及“第一”、“第二”等序数词时,除非根据上下文其确实表达顺序之意,应当理解为仅仅起区分的作用。
图1为本发明实施例所提供的一种安全认证方法的步骤流程图,下面按照图1所示对本发明实施例所提供的安全认证方法进行详细说明,本发明实施例提供的安全认证方法包括:
101、第一终端接收配置设备发送的所述配置设备的签名公钥。
其中,配置器是对终端进行配置的设备,以使得配置后的终端可以和其他终端建立安全连接。
102、所述第一终端接收第二签名信息和第二类型信息;
其中,所述第二类型信息为所述第二终端的角色类型信息。
即:第二类型信息可为第二终端的角色类型信息、第二类型信息还可为第二终端的角色类型信息和第二终端能够连接的角色类型信息、第二类型信息还可为第二终端能够连接的角色类型信息。
所述第二类型信息由所述第二终端发送给所述第一终端。
所述第二签名信息为所述配置设备发送给第二终端的签名信息,所述第二签名信息由配置设备至少根据所述第二类型信息和所述终端的签名私钥生成。
具体的,配置设备可以对所述第二类型信息进行哈希运算,并利用所述签名私钥对哈希运算的结果进行加密从而形成所述第二签名信息。
所述配置设备的签名公钥和所述配置设备的签名私钥对应。
用于第一终端能够利用配置设备的签名公钥对经过所述签名私钥加密的所述第二签名信息进行解密。
103、所述第一终端至少根据所述第二类型信息和所述第二签名信息确定所述第一终端生成密钥信息;
所述密钥信息用于第一终端与第二终端建立安全连接。
本实施例对所述第一终端具体如何根据所述第二类型信息和所述第二签名信息确定所述密钥信息的不做限定,只要所述第一终端能够确定所述第二终端角色类型信息。
可选的,在其他实施例中,只要所述第二终端能够连接的角色类型信息的情况下,建立所述第一终端与所述第二终端的安全连接即可。
第一终端可以根据预设条件判断第一终端与第二终端的连接是否能够通过验证,其中,预设条件包括:第二类型信息和第二签名签名信息。预设条件还可以包括:配置器的信息,例如:网络标识(network ID)、对端密钥(peer key)等。
当第一终端判断第二终端发送的信息符合预设条件时,确定第二终端的连接请求通过认证,则第一终端生成密钥信息,以指示第一终端可以与第二终端建立安全连接。
具体的,用于建立所述第一终端与所述第二终端安全连接的所述密钥信息为现有技术,所述第一终端具体如何通过所述密钥信息建立所述第一终端与所述第二终端的安全连接亦为现有技术,具体在本实施例中不做赘述。
本实施例中,在所述第一终端与所述第二终端建立安全连接的过程中,所述第一终端不仅需要根据第二签名信息中所包含的用于建立连接的信息进行验证,且所述第一终端还需验证所述第二终端的类型信息,只有在验证通过的情况下,所述第一终端才会与所述第二终端建立安全连接,有效的避免了终端对角色的篡改,从而有效的避免了终端与更改了角色的攻击终端建立连接,进而避免攻击终端获取终端的信息,有效的保障了终端的安全。
图2为本发明实施例安全认证方法的另一种步骤流程图,用于具体说明所述第一终端具体是如何对第二终端进行安全认证,从而建立所述第一终端与所述第二终端的安全连接的。
201、所述第一终端接收所述配置设备发送的第一签名信息和所述配置设备的签名公钥;
所述第一签名信息由所述配置设备至少根据所述第一类型信息和所述配置设备的签名私钥生成;
所述第一类型信息为所述第一终端的角色类型信息。
可选的,所述第一类型信息还可为所述第一终端能够连接的角色类型信息。
具体的,所述第一终端的角色类型信息。
和/或,所述第一终端能够连接的角色类型信息可为以下类型信息的任一项:
站点STA,接入点AP,点对点组长设备P2P GO,点对点客户设备P2P client,锚主设备master,非锚主设备non-master,中继器repeater,码中心设备dock center,非码中心设备dockee,外设peripheral,源设备source,目标设备sink,服务集标识(SSID,service setidentifier),媒体访问控制地址(MAC,Media Access Control),接入设备enrollee等。
需明确的是,以上仅为对所述第一终端的角色类型信息的示例性说明。
具体的,本实施例中,所述第一终端的角色类型信息和所述第一终端能够连接的角色类型信息为相互对应的两个角色类型信息,且相互对应角色的两个终端能够建立连接。
需要说明的是,相互对应的两个角色的类型信息可为:STA对应AP、P2P GO对应P2Pclient、master对应non-master、STA对应Repeater、AP对应repeater。
例如,若所述第一终端的角色类型信息为AP,则所述第一终端能够连接的角色类型信息为STA,反之,若所述第一终端能够连接的角色类型信息为AP,则所述第一终端的角色类型信息为STA;
若第一终端的角色类型信息为repeater,则该第一终端能够连接的角色类型信息可为STA,也可为AP。
进一步的,若所述第一终端的角色类型信息为所述第一终端支持的能力,则所述第一终端能够连接的角色类型信息也为对应的第一终端支持的能力。
例如,所述第一终端的角色类型信息为所述第一终端能够支持P2P的设备,那么所述第一终端能够连接的角色类型信息为支持所述P2P的设备;
所述第一终端的角色类型信息为所述第一终端能够支持临近感知网络NAN的设备,那么所述第一终端能够连接的角色类型信息为支持所述临近感知网络NAN的设备;所述第一终端的角色类型信息为支持某基站子系统BSS的设备,那么所述第一终端能够连接的角色类型信息为支持所述基站子系统BSS的设备;
更具体的,若所述第一终端的角色类型信息为所述第一终端支持的某服务信息,则所述第一终端能够连接的角色类型信息也为对应的第一终端支持的某服务信息。
202、所述第一终端接收第二签名信息和第二类型信息;
所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成,并由配置设备发送给第二终端,且,所述配置设备的签名公钥和所述配置设备的签名私钥对应。
所述第一终端还接收第二终端发送第二终端的公钥,用以生成密钥信息。
具体的,当所述第二终端要建立与所述第一终端的连接时,所述第二终端将第二签名信息和第二类型信息发送给所述第一终端。
其中,所述第二类型信息为所述第二终端的角色类型信息,和/或,所述第二终端能够连接的角色类型信息;
具体的,所述第二终端的角色类型信息,和/或,所述第二终端能够连接的角色类型信息可为以下类型信息的任一项:
站点STA,接入点AP,点对点组长设备P2P GO,点对点客户设备P2P client,锚主设备master,非锚主设备non-master,中继器repeater,码中心设备dock center,非码中心设备dockee,外设peripheral,源设备source,目标设备sink,服务集标识(SSID,service setidentifier),媒体访问控制地址(MAC,Media Access Control),接入设备enrollee等,
需明确的是,以上仅为对所述第二终端的角色类型信息的示例性说明。
此处对所述第二终端的角色类型信息,和/或,所述第二终端能够连接的角色类型信息的具体说明请详见步骤201中,对所述第一终端的角色类型信息,和/或,所述第一终端能够连接的角色类型信息的说明,此处不再赘述。
203、所述第一终端确定所述第一类型信息和所述第二类型信息相匹配,且第一终端确认所述第二签名信息与所述第二类型信息相匹配,则第一终端确定生成密钥信息。
具体的,若所述第一终端确定所述第二类型信息为所述第二终端能够连接的角色类型信息,且所述第一终端确定所述第一类型信息为所述第一终端能够连接的角色类型信息,若所述第二终端能够连接能够连接的角色类型信息与所述第一终端能够确定所述第一终端能够连接的角色类型信息相匹配,则说明所述第一终端和所述第二终端相匹配;
例如,所述第二终端能够连接能够连接的角色类型信息为STA,而所述第一终端能够连接的角色类型信息为AP,则说明所述第一终端和所述第二终端相匹配。
具体的,若所述第一终端确定所述第二类型信息为所述第二终端的角色类型信息,且所述第一终端确定所述第一类型信息为所述第一终端的角色类型信息,若所述第二终端的角色类型信息与所述第一终端的角色类型信息相匹配,则说明所述第一终端和所述第二终端相匹配;
例如,所述第一终端确定所述第二终端的角色类型信息为AP,所述第一终端确定所述第一终端的角色类型信息为STA,则说明所述第一终端和所述第二终端相匹配。
具体的,若所述第一终端确定所述第二类型信息为所述第二终端能够连接的角色类型信息,且所述第一终端确定所述第一类型信息为所述第一终端的角色类型信息,若所述第二终端能够连接能够连接的角色类型信息与所述第一终端的角色类型信息相匹配,则说明所述第一终端和所述第二终端相匹配;
例如,所述第二终端能够连接能够连接的角色类型信息为AP,所述第一终端的角色类型信息为AP,则说明所述第一终端和所述第二终端相匹配;
上述示例以设备角色类型对应关系为:STA对应AP为示例以说明如何确定所述第一类型信息和所述第二类型信息相匹配进行示例说明,设备角色类型对应关系为P2P GO对应P2P client、master对应non-master、STA对应Repeater、AP对应repeater时,确定是否匹配的过程与STA对应AP相同,具体不再赘述。
还例如,若所述第一终端确定所述第二类型信息为所述第二终端的角色类型信息,且所述第二终端的角色类型信息为P2P设备,所述第二终端能够连接的角色类型信息是P2P设备,两者是相同的,则第一终端确定所述第一终端的角色类型信息是否是P2P设备即可,若第一终端的角色类型信息是P2P设备,则说明所述第一终端和所述第二终端相匹配;
还例如,若所述第一终端确定所述第二类型信息为所述第二终端角色类型信息,且所述第二终端角色类型信息为所述第二终端能够支持的服务,所述第一终端能够确定所述第一终端的角色类型信息为所述第一终端能够支持的服务,若所述第一终端确定所述第一终端能够支持的服务与所述第二终端能够支持的服务相同,则说明所述第一终端和所述第二终端相匹配。
具体的,判断第二签名信息与第二类型信息相匹配,包括:
所述第一终端至少对所述第二类型信息进行哈希运算以生成第二哈希值。
其中,哈希运算为现有技术,具体在本实施例中不做赘述。
所述第一终端通过所述签名公钥对所述第二签名信息进行解密以获取第一哈希值;
具体的,所述第一哈希值为所述配置设备至少对所述第二类型信息进行哈希运算所生成的哈希值;所述第一终端能够通过所述签名公钥对所述第二签名信息进行解密以获取到的第一哈希值。
所述第一终端确定第一哈希值是否等于所述第二哈希值,即第一终端确认第二签名信息是否与第二类型信息相匹。
具体的,所述配置设备对第一预定信息生成所述第一哈希值,所述第一终端对第二预定信息生成第二哈希值,当所述第一预定信息等于所述第二预定信息时,所述第一哈希值等于第二哈希值。
需明确的是,上述执行过程中,所述第一终端所述第一终端通过步骤203确定所述第一类型信息和所述第二类型信息相匹配。
本发明实施例中,对于计算哈希值的步骤,以及第一类型信息与第二类型信息是否匹配的步骤的执行步骤可以更换;当在所述第一类型信息和所述第二类型信息相匹配,且第一终端确认第二签名信息与第二类型信息相匹配时,第一终端确定第二终端通过认证,第一终端生成密钥。
本实施例中,所述第一终端生成所述密钥信息时,所述第一终端至少基于所述第一类型信息和所述第二类型信息相匹配以及所述第一哈希值等于所述第二哈希值;
即在具体应用过程中,所述第一终端在生成所述密钥信息前,还可进行其他验证,具体在本实施例中不做限定;
即在具体应用过程中,所述第一终端在生成所述密钥信息前,还可进行其他验证,比如net ID,peer key等信息,具体在本实施例中不做限定;
例如所述第一终端接收第二设备发送的携带有上述信息的消息;
消息包含如下信息:
netID,peerKey,所述第二终端能够连接的角色类型信息;
netKey,所述第二终端的角色类型信息。
所述消息可以是action消息,修改现有802.11中的消息,或,新定义的消息。
所述第一终端接收到所述第二终端发送的所述第二签名信息后,所述第一终端验证net-id是否与所述第一终端的net-id相同,并检查peerKey是否匹配peer’s networkkey(即,所述第一终端的network key),或,匹配wildcard。
其中,对公钥peer Key进行验证的具体过程请详见现有技术所示,另外验证这些信息的签名信息具体过程请详见现有技术所示,具体不再赘述。
即所述第一终端至少基于所述第一类型信息和所述第二类型信息相匹配以及所述第一哈希值等于所述第二哈希值时,所述第一终端生成成对主密钥PMK。
208、所述第一终端将所述第一签名信息发送给所述第二终端。
本实施例中,,所述第一终端可将所述第一签名消息发送给所述第二终端。
209、所述第一终端根据所述密钥信息建立所述第一终端与所述第二终端的安全连接;
具体的,所述第一终端利用所述第二终端的所述公钥net Key和所述第一终端的私钥生成所述PMK,从而根据所述PMK建立所述第一终端与所述第二终端的安全连接。
采用本实施例所示的安全认证方法,在建立所述第一终端与所述第二终端安全连接的过程中,所述第一终端不仅需要根据第二签名信息中所包含的用于建立连接的信息进行验证,且所述第一终端还需验证所述第二类型信息,在确定所述第一类型信息和所述第二类型信息匹配,且在确定所述第二签名信息正确的情况下,所述第一终端建立所述第一终端与所述第二终端的安全连接,有效的避免了终端对角色的篡改,从而有效的避免了终端与更改了角色的攻击终端建立连接,进而避免攻击终端获取终端的信息,有效的保障了终端的安全。
上述过程中,所述第一终端通过第二终端发送的第二类型信息确定所述第二终端的角色类型信息,和/或,所述第二终端能够连接的角色类型信息为一种示例,不做限定;
例如,所述第一终端与所述第二终端之间执行发现过程,所述第一终端通过此过程获得所述第二终端的角色类型信息和/或,所述第二终端能够连接的角色类型信息;
而在此过程中,所述第二终端亦可获得所述第一终端的角色类型信息和/或,所述第一终端能够连接的角色类型信息;
比如执行802.11过程,所述第二终端作为STA发送probe request给所述第一终端,所述第一终端作为AP响应response。
所述第一终端可以获得所述第二终端的角色类型信息,和/或,所述第二终端能够连接的角色类型信息,同样第二终端亦可获得所述第一终端的角色类型信息,和/或,所述第一终端能够连接的角色类型信息;
因为这些发现过程中,终端的角色类型信息不同,则发送的消息也不同,可以通过终端发送的消息判断出终端的角色类型信息,和/或,能够连接的角色类型信息。
图1至图2所示的实施例说明了如何建立所述第一终端与所述第二终端如何进行安全认证以进行安全连接的,以下结合图3所示说明配置设备是如何对终端进行配置,以使配置后的终端能够建立与其他终端的安全连接关系的;
其中,图3为本发明实施例所提供的配置方法的一种步骤流程图;
301、终端将所述终端的类型信息传递给配置设备;
所述类型信息为所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
本实施例中,对所述终端具体如何将所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息传递给配置设备的不做限定,只要所述配置设备能够获取到所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息即可。
302、配置设备获得所述终端的类型信息;
所述类型信息为终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
本实施例对所述配置设备具体如何获得终端的角色类型信息,和/或,所述终端能够连接的角色类型信息的不做限定;
本实施例中,配置设备可以仅获取终端的角色类型信息,还可以获取终端的角色类型信息和终端能够连接的角色类型信息,也可以仅获取终端能够连接的角色类型信息。
本实施例中,对所述配置设备所获取到的所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息不做限定;
具体的,所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息可为以下类型信息的任一项,需明确的是,以下对所述终端的角色类型信息仅仅为示例性的说明,不做限定;
站点STA,接入点AP,点对点组长设备P2P GO,点对点客户设备P2P client,锚主设备master,非锚主设备non-master,中继器repeater,码中心设备dock center,非码中心设备dockee,外设peripheral,源设备source,目标设备sink,SSID服务集标识(service setidentifier),MAC媒体访问控制地址,接入设备enrollee;
具体的,本实施例中,所述终端的角色类型信息和所述终端能够连接的角色类型信息为相互对应的两个角色类型信息,且相互对应的两个终端能够建立连接;
例如,若所述终端的角色类型信息为AP,则所述终端能够连接的角色类型信息为STA,反之,若所述终端能够连接的角色类型信息为AP,则所述终端的角色类型信息为STA;
还例如,相互对应的两个角色类型信息可为:STA对应AP、P2P GO对应P2P client、master对应non-master、STA对应Repeater、AP对应repeater;
具体的,若终端的角色类型信息为repeater,则该终端能够连接的角色类型信息可为STA,也可为AP;
更具体的,若所述终端的角色类型信息为所述终端支持的能力,则所述终端能够连接的角色类型信息也为对应的终端支持的能力;
例如,所述终端的角色类型信息为所述终端能够支持P2P的设备,那么所述终端能够连接的角色类型信息为支持所述P2P的设备;
还例如,所述终端的角色类型信息为所述终端能够支持临近感知网络NAN的设备,那么所述终端能够连接的角色类型信息为支持所述临近感知网络NAN的设备;
还例如,所述终端的角色类型信息为支持某基站子系统BSS的设备,那么所述终端能够连接的角色类型信息为支持所述基站子系统BSS的设备;
更具体的,若所述终端的角色类型信息为所述终端支持的某服务信息,则所述终端能够连接的角色类型信息也为对应的终端支持的某服务信息。
303、所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成签名信息;
具体的,所述配置设备至少将所述类型信息进行哈希运算以生成哈希值,并将已生成的哈希值通过签名私钥进行加密以生成所述签名信息;
需明确的是,具体如何根据签名私钥生成所述签名信息为现有技术,具体在本实施例中不做赘述。
304、所述配置设备将所述签名信息和所述配置设备的签名公钥发送给所述终端;
本实施例中,对所述配置设备具体如何发送所述签名信息和所述签名公钥的不做限定;
例如,所述配置设备可将所述签名信息和所述签名公钥作为独立的两个消息或一个消息同时发送给终端,通过同一消息发送给终端,还可以或将所述签名信息和所述签名公钥先后分别发送至所述终端,具体不做限定;
305、所述终端接收所述配置设备发送的签名信息和所述配置设备的签名公钥;
所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成;
其中,所述配置设备的签名公钥与所述配置设备的签名私钥相对应,以使接收到所述签名公钥的终端能够对经过所述签名私钥加密的所述签名信息进行解密处理。
当所述终端接收到所述配置设备发送的签名信息和所述配置设备的签名公钥则完成所述配置设备对所述终端的配置,从而使得终端能够基于所述配置设备的配置以进行图1至图2所示的安全认证的过程。
采用本实施例所示的配置方法,所述配置设备向终端发送签名信息和所述配置设备的签名公钥,从而使得终端在需要接入到其他终端时,终端能够将配置设备发送的所述签名信息和自己的类型信息发送给其他终端,进而使得其他终端不仅仅要验证所述签名信息是否正确,还需要验证终端之间是否匹配,只有两个终端的类型信息相互匹配且所述签名信息正确时,才会建立两个终端之间的安全连接关系,有效的避免了终端对角色的篡改,从而有效的避免了终端与更改了角色的攻击终端建立连接,进而避免攻击终端获取终端的信息,有效的保障了终端的安全。
以下结合图4所示对配置设备具体如何对终端进行配置的进行详细说明,其中,图4为本发明实施例所提供的配置方法的另一种步骤流程图;
401、所述配置设备获取所述终端的第一DH公钥;
具体的,所述终端拥有用于进行密钥交换的第一DH公钥和第一DH私钥,配置设备拥有用于进行密钥交换的第二DH公钥和第二DH私钥;
所述配置设备获取所述第一DH公钥的方式可为:所述配置设备扫描所述终端包含有所述第一DH公钥的二维码,或者,所述终端将其拥有的第一DH公钥发送给所述配置设备,具体不做限定;
402、配置设备将第二DH公钥发送给终端;
403、配置设备生成第二交互密钥;
具体的,所述配置设备根据所述第一DH公钥和所述第二DH私钥通过密钥交换算法计算第二交互密钥;
所述密钥交互算法可为DH算法或ECDH算法,具体请详见现有技术所示,具体不再赘述;
404、所述终端生成第一交互密钥;
具体的,所述终端根据所述第二DH公钥和所述第一DH私钥通过所述密钥交换计算所述第一交互密钥;
405、所述配置设备和所述终端建立安全连接;
具体的,因所述第一交互密钥和所述第二交互密钥为对等的,基于这个对等密钥,或,对等密钥的衍生密钥,所述配置设备即可与所述终端建立安全连接。
本实施例中,对所述配置设备具体何时获得终端的类型信息的不做限定;
例如,所述配置设备在可所述配置设备与所述终端建立安全连接的过程中获取终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
还例如,所述配置设备在可所述配置设备与所述终端建立安全连接成功后,获取终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
以下首先说明所述配置设备如何在所述配置设备与所述终端建立安全连接的过程中获取所述类型信息的进行说明:
所述配置设备获取所述终端的身份公钥;
具体的,所述配置设备获取所述终端QR-code中的身份公钥identity key;
更具体的,所述配置设备获取所述终端的身份公钥的具体方式不做限定,例如,所述终端可通过包含有所述身份公钥的消息发送给所述配置设备,或者,所述配置设备扫描所述终端包含有所述身份公钥的二维码等方式;
所述配置设备将与所述身份公钥对应的第一目标哈希值发送给所述终端;
具体的,所述配置设备对所述身份公钥进行哈希运算以生成所述第一目标哈希值;
更具体的,所述配置设备和通过包含有所述第一目标哈希值的消息DPPAuthentication Request发送给所述终端;
其中,所述DPP Authentication Request可为:H(EI),H(CI),CE,{C-nonce}K1→
其中,H(EI)为利用所述终端的身份公钥identity key生成所述第一目标哈希值,H(CI)为所述配置设备的身份公钥identity key生成哈希值;
若所述终端确定所述第一目标哈希值满足预设要求,则所述终端生成响应消息;
具体的,所述终端接收到所述消息DPP Authentication Request后,所述终端对所述终端的身份公钥进行哈希运算以生成第二目标哈希值;
所述预设要求为所述第一目标哈希值等于所述第二目标哈希值;
所述响应消息DPP Authentication Response可为:DPP AuthenticationResponse:←H(EI),[H(CI),]{E-nonce|C-nonce|EN}K1,{E-auth}Ke;
且本实施例所示的响应消息还携带有所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
所述终端将所述响应消息发送给所述配置设备;
所述配置设备根据所述响应消息即可确定所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
所述配置设备在确定了所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息后,则向所述终端发送确认消息;
所述确认消息为DPP Authentication Confirm:H(EI),[H(CI),]{C-auth}Ke→
本实施例以配置设备在可所述配置设备与所述终端建立安全连接成功后,获取终端的角色类型信息,和/或,所述终端能够连接的角色类型信息为例进行说明:
即在执行了步骤401至步骤405以使所述配置设备和终端建立了安全连接后,则执行步骤406;
406、所述配置设备获得所述终端的类型信息;
所述终端的类型信息为所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
本实施例中,所述配置设备获得终端的角色类型信息,和/或,所述终端能够连接的角色类型信息的方式有以下几种情况,需明确的是,以下对所述配置设备获得终端的角色类型信息,和/或,所述终端能够连接的角色类型信息的方式为示例性的说明,不做限定:
一种、所述配置设备接收所述终端发送的指示消息;
其中,所述终端能够在所述指示消息里指示所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息。
另一种、所述配置设备接收所述终端发送的发现消息;
所述配置设备根据所述发现消息确定所述类型信息;
其中,所述发现消息与所述类型信息对应;
例如,所述配置设备与终端之间执行发现过程,配置设备通过此过程获得终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
比如执行802.11过程,若所述配置设备确定所接收到的发现消息为proberequest,则所述配置设备即可确定所述终端的角色类型信息为STA,和/或,所述配置设备能够确定所述终端能够连接的角色类型信息为AP;
若所述配置设备所接收到的发现消息为response,则所述配置设备即可确定所述终端的角色类型信息为AP,和/或,所述配置设备能够确定所述终端能够连接的角色类型信息为STA;
所述配置设备采用本种确定方式的原因在于,因为这些发现过程中,终端的角色不同,发送的发现消息也会不同,从而使得配置设备可以通过终端发送的发现消息的不同判断出终端的角色类型信息,和/或,所述终端能够连接的角色类型信息。
另一种、所述配置设备设置有操作界面,用户可通过所述操作界面输入操作指令,以使用户通过所述操作指令直接指示所述类型信息。
比如:用户选择输入配置设备到网络中,配置器获得终端设备的角色类型为STA,能连接的设备类型为AP,比如用户选择输入配置网络,配置器获得终端设备的角色类型为AP,能连接的设备类型为STA。
另一种,所述配置设备可扫描所述终端的二维码,所述终端的二维码里包含有所述类型信息,以使配置设备通过扫描所述二维码能够直接获取所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息。
另一种,所述配置设备建立与所述终端的近距离无线通讯技术NFC连接,从而使得所述配置设备能够通过所述NFC连接以获取所述类型信息。
407、所述终端设备将公钥net Key传递给配置设备;
408、所述配置设备生成配置消息;
本实施例中,所述配置消息至少包括公钥net Key、所述配置设备的签名公钥和所述终端的所述类型信息;
当然,所述配置消息里还可包括其他内容,具体在本实施例中不做限定;
具体的,所述配置消息DPP Configuration Response可为:{net-id,cruft,C-name,C-sign-key,connector,[connector…][,configurators][,introducers]}Ke→
其中,字段Connector::=
SEQUENCE{
netID INTEGER,
peerKey SubjectPublicKeyInfo,
所述终端能够连接的角色类型信息,
netKey SubjectPublicKeyInfo,
所述终端的角色类型信息,
introducer DirectoryString}
409、所述配置设备对所述配置信息进行哈希运算;
410、所述配置设备确定签名信息。
其中,所述签名信息为经过哈希运算后的所述配置信息通过所述配置设备的签名私钥进行加密所形成的。
其中,哈希hash运算为一种散列算法,Hash算法可以将输入一些数经过hash运算后生成另外一些数,并且具有单向性。
具体的,本实施例中,所述签名信息包括第一哈希值,所述第一哈希值为所述配置设备对所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息进行哈希运算所生成的哈希值。
采用本实施例所示的配置方法,所述配置设备向终端发送签名信息和所述配置设备的签名公钥,从而使得终端在需要接入到其他终端时,终端能够将配置设备发送的所述签名信息和自己的类型信息发送给其他终端,进而使得其他终端不仅仅要验证所述签名信息是否正确,还需要验证终端之间是否匹配,只有两个终端的类型信息相互匹配且所述签名信息正确时,才会建立两个终端之间的安全连接关系,有效的避免了终端对角色的篡改,从而有效的避免了终端与更改了角色的攻击终端建立连接,进而避免攻击终端获取终端的信息,有效的保障了终端的安全。
以下结合图5所示对能够实现图1所示的安全认证方法的第一终端的具体结构进行详细说明,其中,图5为本发明实施例所提供的第一终端的一种结构示意图;
所述第一终端包括:
第一接收单元501,用于接收配置设备发送的所述配置设备的签名公钥;
第二接收单元502,用于接收第二签名信息和第二类型信息,所述第二签名信息为所述配置设备发送给第二终端的签名信息,所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成,所述第二类型信息为所述第二终端的角色类型信息,和/或,所述第二终端能够连接的角色类型信息,所述配置设备的签名公钥和所述配置设备的签名私钥对应;
第一确定单元503,用于至少根据所述第二类型信息和所述第二签名信息确定生成密钥信息,所述密钥信息用于第一终端与第二终端建立安全连接。
本实施例中,在建立所述第一终端与所述第二终端安全连接的过程中,所述第一终端不仅需要根据第二签名信息中所包含的用于建立连接的信息进行验证,且所述第一终端还需验证所述第二终端的类型信息,只有在验证通过的情况下,所述第一终端才会建立所述第一终端与所述第二终端的安全连接,有效的避免了终端对角色的篡改,从而有效的避免了终端与更改了角色的攻击终端建立连接,进而避免攻击终端获取终端的信息,有效的保障了终端的安全。
以下结合图6所示对能够实现图2所示的安全认证方法的第一终端的具体结构进行详细说明,其中,图6为本发明实施例所提供的第一终端的另一种结构示意图;
第三接收单元601,用于接收所述配置设备发送的第一签名信息,所述第一签名信息由所述配置设备至少根据所述第一类型信息和签名私钥生成,所述第一类型信息为所述第一终端的角色类型信息,和/或,所述第一终端能够连接的角色类型信息;
其中,所述第一终端的角色类型信息,和/或,所述第一终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备,非码中心设备,外设,源设备,目标设备,配置器,接入设备,支持的能力,支持的服务,服务集标识或媒体访问控制地址。
第一接收单元602,用于接收配置设备发送的所述配置设备的签名公钥;
第二接收单元603,用于接收第二签名信息和第二类型信息,所述第二签名信息为所述配置设备发送给第二终端的签名信息,所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成,所述第二类型信息为所述第二终端的角色类型信息,和/或,所述第二终端能够连接的角色类型信息,所述配置设备的签名公钥和所述配置设备的签名私钥对应;
所述第二终端的角色类型信息,和/或,所述第二终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备,非码中心设备,外设,源设备,目标设备,配置器,接入设备,支持的能力,支持的服务,服务集标识或媒体访问控制地址。
第一确定单元604,用于至少根据所述第二类型信息和所述第二签名信息确定生成密钥信息,所述密钥信息用于第一终端与第二终端建立安全连接。
具体的,所述第一确定单元604还用于,在确定所述第一类型信息和所述第二类型信息相匹配,并且所述第一终端确认所述第二签名信息匹配所述第二类型信息,则所述第一终端确定生成生成密钥信息;
第一生成单元605,用于生成所述密钥信息。
第一发送单元606,用于将所述第一签名信息发送给所述第二终端。
采用本实施例所示的第一终端,在建立所述第一终端与所述第二终端安全连接的过程中,所述第一终端不仅需要根据第二签名信息中所包含的用于建立连接的信息进行验证,且所述第一终端还需验证所述第二类型信息,在确定所述第一类型信息和所述第二类型信息匹配,且在确定所述第二签名信息正确的情况下,所述第一终端建立所述第一终端与所述第二终端的安全连接,有效的避免了终端对角色的篡改,从而有效的避免了终端与更改了角色的攻击终端建立连接,进而避免攻击终端获取终端的信息,有效的保障了终端的安全。
以下结合图7所示对能够实现对终端进行配置,以使终端之间能够建立安全连接的配置设备的具体结构进行说明,其中,图7为本发明实施例所提供的配置设备的一种结构示意图;
所述配置设备包括:
第四接收单元701,用于获得所述终端的类型信息,所述类型信息为终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
第二生成单元702,用于至少根据所述类型信息和所述配置设备的签名私钥生成签名信息;
第二发送单元703,用于将所述签名信息和所述配置设备的签名公钥发送给所述终端,所述配置设备的签名公钥与所述配置设备的签名私钥相对应。
采用本实施例所示的配置设备,所述配置设备向终端发送签名信息和所述配置设备的签名公钥,从而使得终端在需要接入到其他终端时,终端能够将配置设备发送的所述签名信息和自己的类型信息发送给其他终端,进而使得其他终端不仅仅要验证所述签名信息是否正确,还需要验证终端之间是否匹配,只有两个终端的类型信息相互匹配且所述签名信息正确时,才会建立两个终端之间的安全连接关系,有效的避免了终端对角色的篡改,从而有效的避免了终端与更改了角色的攻击终端建立连接,进而避免攻击终端获取终端的信息,有效的保障了终端的安全。
以下结合图8所示对所述配置设备的具体结构进行进一步的详细说明,其中,图8为本发明实施例所提供的配置设备的另一种结构示意图;
第四接收单元801,用于获得所述终端的类型信息,所述类型信息为终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。
所述第四接收单元801还用于,接收所述终端发送的指示消息,所述指示消息包含所述类型信息。
所述第四接收单元801还用于,接收用户输入的操作指令,所述操作指令用于指示所述类型信息。
所述第四接收单元801还用于,扫描所述终端中包含的所述类型信息的二维码;
所述第四接收单元801还用于,建立与所述终端的近距离无线通讯技术NFC连接以获取所述类型信息。
可选的,所述第四接收单元801包括:
接收模块8011,用于接收所述终端发送的发现消息;
确定模块8012,用于根据所述发现消息确定所述类型信息,且所述发现消息与所述类型信息对应。
第二生成单元802,用于至少根据所述类型信息和所述配置设备的签名私钥生成签名信息;
所述签名信息还包括第一哈希值,所述第一哈希值为所述配置设备至少对所述类型信息进行哈希运算所生成的哈希值。
第二发送单元803,用于将所述签名信息和所述配置设备的签名公钥发送给所述终端,所述配置设备的签名公钥与所述配置设备的签名私钥相对应。
采用本实施例所示的配置设备,所述配置设备向终端发送签名信息和所述配置设备的签名公钥,从而使得终端在需要接入到其他终端时,终端能够将配置设备发送的所述签名信息和自己的类型信息发送给其他终端,进而使得其他终端不仅仅要验证所述签名信息是否正确,还需要验证终端之间是否匹配,只有两个终端的类型信息相互匹配且所述签名信息正确时,才会建立两个终端之间的安全连接关系,有效的避免了终端对角色的篡改,从而有效的避免了终端与更改了角色的攻击终端建立连接,进而避免攻击终端获取终端的信息,有效的保障了终端的安全。
图7至图8所示从配置设备的角度说明了当所述配置设备对所述终端设备进行配置时,所述配置设备的具体结构,以下结合图9所示说明所述配置设备对所述终端设备进行配置时,所述终端的具体结构;
其中,图9为本发明实施例所提供的终端的一种结构示意图;
所述终端包括:
第三发送单元901,用于将所述终端的类型信息传递给配置设备,所述类型信息为所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
第五接收单元902,用于接收所述配置设备发送的签名信息和所述配置设备的签名公钥,所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成,所述配置设备的签名公钥和所述配置设备的签名私钥对应。
采用本实施例所示的终端,所述配置设备向终端发送签名信息和所述配置设备的签名公钥,从而使得终端在需要接入到其他终端时,终端能够将配置设备发送的所述签名信息和自己的类型信息发送给其他终端,进而使得其他终端不仅仅要验证所述签名信息是否正确,还需要验证终端之间是否匹配,只有两个终端的类型信息相互匹配且所述签名信息正确时,才会建立两个终端之间的安全连接关系,有效的避免了终端对角色的篡改,从而有效的避免了终端与更改了角色的攻击终端建立连接,进而避免攻击终端获取终端的信息,有效的保障了终端的安全。
以下结合图10所示对所述终端的具体结构进行进一步的详细说明:
其中,图10为本发明实施例所提供的终端的另一种结构示意图;
所述终端包括:
第三发送单元1001,用于将所述终端的类型信息传递给配置设备,所述类型信息为所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
具体的,所述第三发送单元1001包括:
第一生成模块10011,用于生成指示消息,所述指示消息包含有所述类型信息;
第二发送模块10012,用于将所述指示消息发送给所述配置设备;
或者,
所述第三发送单元1001包括:
第二生成模块10013,用于生成发现消息;
第三发送模块10014,用于将所述发现消息发送给所述配置设备,所述发现消息与所述类型信息对应。
或者,
所述第三发送单元1001包括:
第三生成模块10015,用于生成二维码,所述二维码包含有所述类型信息;
或者,
所述第三发送单元1001包括:
建立模块10016,用于建立与所述配置设备的近距离无线通讯技术NFC连接;
第四发送模块10017,用于通过所述NFC将所述类型信息发送给所述配置设备。
第五接收单元1002,用于接收所述配置设备发送的签名信息和所述配置设备的签名公钥,所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成,所述配置设备的签名公钥和所述配置设备的签名私钥对应;
其中,所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。
采用本实施例所示的终端,所述配置设备向终端发送签名信息和所述配置设备的签名公钥,从而使得终端在需要接入到其他终端时,终端能够将配置设备发送的所述签名信息和自己的类型信息发送给其他终端,进而使得其他终端不仅仅要验证所述签名信息是否正确,还需要验证终端之间是否匹配,只有两个终端的类型信息相互匹配且所述签名信息正确时,才会建立两个终端之间的安全连接关系,有效的避免了终端对角色的篡改,从而有效的避免了终端与更改了角色的攻击终端建立连接,进而避免攻击终端获取终端的信息,有效的保障了终端的安全。
图5至图6所示的实施例从功能模块的角度对第一终端的具体结构进行说明,以下结合图11所示的实施例从硬件角度对第一终端的具体结构进行说明:
如图11所示,该第一终端包括:发送器1101、接收器1102和处理器1103;其中,处理器1103可为一个或多个,在本实施例中以一个为例进行说明:
且本实施例中发送器1101、接收器1102和处理器1103之间通过总线进行连接,当然也可采用其他的连接方式,具体连接方式在本实施例中不作限定。
本发明实施例涉及的第一终端可以具有比图11所示出的更多或更少的部件,可以组合两个或更多个部件,或者可以具有不同的部件配置或设置,各个部件可以在包括一个或多个信号处理和/或专用集成电路在内的硬件、软件或硬件和软件的组合实现。
所述接收器1102,用于接收配置设备发送的所述配置设备的签名公钥;
所述接收器1102,用于接收第二签名信息和第二类型信息,所述第二签名信息为所述配置设备发送给第二终端的签名信息,所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成,所述第二类型信息为所述第二终端的角色类型信息,和/或,所述第二终端能够连接的角色类型信息,所述配置设备的签名公钥和所述配置设备的签名私钥对应;
所述处理器1103,用于至少根据所述第二类型信息和所述第二签名信息确定所述第一终端生成密钥信息,所述密钥信息用于第一终端与第二终端建立安全连接。
可选的,所述接收器1102,用于接收所述配置设备发送的第一签名信息,所述第一签名信息由所述配置设备至少根据所述第一类型信息和签名私钥生成,所述第一类型信息为所述第一终端的角色类型信息,和/或,所述第一终端能够连接的角色类型信息。
可选的,所述第一终端的角色类型信息,和/或,所述第一终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备,非码中心设备,外设,源设备,目标设备,配置器,接入设备,支持的能力,支持的服务,服务集标识或媒体访问控制地址。
可选的,所述第二终端的角色类型信息,和/或,所述第二终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备,非码中心设备,外设,源设备,目标设备,配置器,接入设备,支持的能力,支持的服务,服务集标识或媒体访问控制地址。
可选的,所述处理器1103,用于在确定所述第一类型信息和所述第二类型信息相匹配,并且所述第一终端确认所述第二签名信息匹配所述第二类型信息,则确定生成生成密钥信息。
可选的,所述处理器1103,用于生成所述密钥信息。
可选的,所述发送器1101,用于将所述第一签名信息发送给所述第二终端。
图7至图8所示的实施例从功能模块的角度对配置设备的具体结构进行说明,以下结合图12所示的实施例从硬件角度对配置设备的具体结构进行说明:
如图12所示,该配置设备包括:发送器1201、接收器1202和处理器1203;其中,处理器1203可为一个或多个,在本实施例中以一个为例进行说明:
且本实施例中发送器1201、接收器1202和处理器1203之间通过总线进行连接,当然也可采用其他的连接方式,具体连接方式在本实施例中不作限定。
本发明实施例涉及的配置设备可以具有比图12所示出的更多或更少的部件,可以组合两个或更多个部件,或者可以具有不同的部件配置或设置,各个部件可以在包括一个或多个信号处理和/或专用集成电路在内的硬件、软件或硬件和软件的组合实现。
所述接收器1202,用于获得所述终端的类型信息,所述类型信息为终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
所述处理器1203,用于至少根据所述类型信息和所述配置设备的签名私钥生成签名信息;
所述发送器1201,用于将所述签名信息和所述配置设备的签名公钥发送给所述终端,所述配置设备的签名公钥与所述配置设备的签名私钥相对应。
可选的,所述接收器1202,用于接收所述终端发送的指示消息,所述指示消息包含所述类型信息。
可选的,所述接收器1202,用于接收所述终端发送的发现消息;
所述处理器1203,用于根据所述发现消息确定所述类型信息,且所述发现消息与所述类型信息对应。
可选的,所述接收器1202,用于接收用户输入的操作指令,所述操作指令用于指示所述类型信息。
可选的,所述接收器1202,用于扫描所述终端中包含的所述类型信息的二维码;
或,
所述接收器1202,用于建立与所述终端的近距离无线通讯技术NFC连接以获取所述类型信息。
可选的,所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。
可选的,所述签名信息还包括第一哈希值,所述第一哈希值为所述配置设备至少对所述类型信息进行哈希运算所生成的哈希值。
图9至图10所示的实施例从功能模块的角度对终端的具体结构进行说明,以下结合图13所示的实施例从硬件角度对终端的具体结构进行说明:
如图13所示,该终端包括:发送器1301、接收器1302和处理器13031303;其中,处理器13031303可为一个或多个,在本实施例中以一个为例进行说明:
且本实施例中发送器1301、接收器1302和处理器13031303之间通过总线进行连接,当然也可采用其他的连接方式,具体连接方式在本实施例中不作限定。
本发明实施例涉及的终端可以具有比图13所示出的更多或更少的部件,可以组合两个或更多个部件,或者可以具有不同的部件配置或设置,各个部件可以在包括一个或多个信号处理和/或专用集成电路在内的硬件、软件或硬件和软件的组合实现。
所述终端包括:
发送器1301,用于将所述终端的类型信息传递给配置设备,所述类型信息为所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息;
接收器1302,用于接收所述配置设备发送的签名信息和所述配置设备的签名公钥,所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成,所述配置设备的签名公钥和所述配置设备的签名私钥对应。
可选的,
所述处理器1303,用于生成指示消息,所述指示消息包含有所述类型信息;
所述发送器1301,用于将所述指示消息发送给所述配置设备。
可选的,
所处理器1303,用于生成发现消息;
所述发送器1301,用于将所述发现消息发送给所述配置设备,所述发现消息与所述类型信息对应。
可选的,所述处理器1303,用于生成二维码,所述二维码包含有所述类型信息;
或,
所述处理器1303,用于建立与所述配置设备的近距离无线通讯技术NFC连接;
所述发送器1301,用于通过所述NFC将所述类型信息发送给所述配置设备。
可选的,所述终端的角色类型信息,和/或,所述终端能够连接的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (62)

1.一种安全认证方法,其特征在于,包括:
第一终端接收配置设备发送的所述配置设备的签名公钥;
所述第一终端接收第二终端发送的第二签名信息和第二类型信息,所述第二签名信息为所述配置设备发送给第二终端的签名信息,所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成,所述第二类型信息为所述第二终端的角色类型信息,所述配置设备的签名公钥和所述配置设备的签名私钥对应;
所述第一终端至少根据所述第二类型信息和所述第二签名信息确定生成密钥信息,所述密钥信息用于第一终端与第二终端建立安全连接;
所述第一终端至少根据所述第二类型信息和所述第二签名信息确定生成密钥信息,包括:所述第一终端确定第一类型信息和所述第二类型信息相匹配,且,所述第一终端确定所述第二签名信息与所述第二类型信息相匹配,其中,所述第一类型信息为所述第一终端的角色类型信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一终端接收所述配置设备发送的第一签名信息,所述第一签名信息由所述配置设备至少根据所述第一类型信息和所述配置设备的签名私钥生成。
3.根据权利要求2所述的方法,其特征在于,所述第一终端的角色类型信息为:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备,非码中心设备,外设,源设备,目标设备,配置器,接入设备,支持的能力,支持的服务,服务集标识或媒体访问控制地址。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述第二终端的角色类型信息为:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备,非码中心设备,外设,源设备,目标设备,配置器,接入设备,支持的能力,支持的服务,服务集标识或媒体访问控制地址。
5.根据权利要求4所述的方法,其特征在于,所述第一终端确定所述第一类型信息和所述第二类型信息相匹配,包括:
若所述第二终端的角色类型信息为接入点AP,且所述第一终端的角色类型信息为站点STA,则所述第一终端确定所述第一类型信息和所述第二类型信息相匹配;或,
若所述第二终端的角色类型信息为点对点组长设备P2P GO,且所述第一终端的角色类型信息为点对点客户设备P2P client,则所述第一终端确定所述第一类型信息和所述第二类型信息相匹配。
6.根据权利要求5所述的方法,其特征在于,所述第二签名信息与所述第二类型信息相匹配包括:
第一哈希值等于第二哈希值,其中,所述第一哈希值是所述配置设备至少对所述第二类型信息进行哈希运算所生成的,所述第一终端通过所述配置设备的签名公钥对所述第二签名信息进行解密获取到所述第一哈希值,所述第二哈希值是所述第一终端至少对所述第二类型信息进行所述哈希运算所生成的。
7.根据权利要求6所述的方法,其特征在于,所述第一终端确定生成所述密钥信息还根据了收到的来自所述第二终端的其他信息,所述其他信息包括:net-id和peerKey。
8.根据权利要求7所述的方法,其特征在于,所述第一终端至少根据所述第二类型信息和所述第二签名信息确定生成密钥信息,还包括:
所述net-id和所述第一终端的net-id匹配,且所述peerKey和所述第一终端的networkkey匹配。
9.一种配置方法,用于配置终端设备,其特征在于,包括:
配置设备获得所述终端的类型信息,所述类型信息为终端的角色类型信息;
所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成签名信息;
所述配置设备将所述签名信息和所述配置设备的签名公钥发送给所述终端,所述配置设备的签名公钥与所述配置设备的签名私钥相对应。
10.根据权利要求9所述的方法,其特征在于,所述配置设备获得所述终端的类型信息包括:
所述配置设备接收所述终端发送的指示消息,所述指示消息包含所述类型信息。
11.根据权利要求9所述的方法,其特征在于,所述配置设备获得所述终端的类型信息包括:
所述配置设备接收所述终端发送的发现消息;
所述配置设备根据所述发现消息确定所述类型信息,且所述发现消息与所述类型信息对应。
12.根据权利要求9所述的方法,其特征在于,所述配置设备获得所述终端的类型信息包括:
所述配置设备接收用户输入的操作指令,所述操作指令用于指示所述类型信息。
13.根据权利要求9所述的方法,其特征在于,所述配置设备获得所述终端的类型信息包括:
所述配置设备扫描所述终端中包含的所述类型信息的二维码;
或,
所述配置设备建立与所述终端的近距离无线通讯技术NFC连接以获取所述类型信息。
14.根据权利要求9至13任一项所述的方法,其特征在于,所述终端的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。
15.根据权利要求14所述的方法,其特征在于,所述签名信息还包括第一哈希值,所述第一哈希值为所述配置设备至少对所述类型信息进行哈希运算所生成的哈希值。
16.一种配置方法,其特征在于,包括:
终端将所述终端的类型信息传递给配置设备,所述类型信息为所述终端的角色类型信息;
所述终端接收所述配置设备发送的签名信息和所述配置设备的签名公钥,所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成,所述配置设备的签名公钥和所述配置设备的签名私钥对应。
17.根据权利要求16所述的方法,其特征在于,所述终端将类型信息传递给配置设备包括:
所述终端生成指示消息,所述指示消息包含有所述类型信息;
所述终端将所述指示消息发送给所述配置设备。
18.根据权利要求16所述的方法,其特征在于,所述终端将类型信息传递给配置设备包括:
所述终端生成发现消息;
所述终端将所述发现消息发送给所述配置设备,所述发现消息与所述类型信息对应。
19.根据权利要求16所述的方法,其特征在于,所述终端将类型信息传递给配置设备包括:
所述终端生成二维码,所述二维码包含有所述类型信息;
或,
所述终端建立与所述配置设备的近距离无线通讯技术NFC连接;
所述终端通过所述NFC将所述类型信息发送给所述配置设备。
20.根据权利要求16至19任一项所述的方法,其特征在于,所述终端的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。
21.一种第一终端,其特征在于,包括:
第一接收单元,用于接收配置设备发送的所述配置设备的签名公钥;
第二接收单元,用于接收第二终端发送的第二签名信息和第二类型信息,所述第二签名信息为所述配置设备发送给所述第二终端的签名信息,所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成,所述第二类型信息为所述第二终端的角色类型信息,所述配置设备的签名公钥和所述配置设备的签名私钥对应;
第一确定单元,用于至少根据所述第二类型信息和所述第二签名信息确定生成密钥信息,所述密钥信息用于第一终端与第二终端建立安全连接;
所述第一确定单元至少根据所述第二类型信息和所述第二签名信息确定生成密钥信息包括:在确定第一类型信息和所述第二类型信息相匹配,并且所述第一确定单元确定所述第二签名信息与所述第二类型信息相匹配,则所述第一确定单元确定生成所述密钥信息,其中,所述第一类型信息为所述第一终端的角色类型信息。
22.根据权利要求21所述的第一终端,其特征在于,所述第一终端还包括:
第三接收单元,用于接收所述配置设备发送的第一签名信息,所述第一签名信息由所述配置设备至少根据所述第一类型信息和签名私钥生成。
23.根据权利要求22所述的第一终端,其特征在于,所述第一终端的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备,非码中心设备,外设,源设备,目标设备,配置器,接入设备,支持的能力,支持的服务,服务集标识或媒体访问控制地址。
24.根据权利要求21-23任一项所述的第一终端,其特征在于,所述第二终端的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备,非码中心设备,外设,源设备,目标设备,配置器,接入设备,支持的能力,支持的服务,服务集标识或媒体访问控制地址。
25.根据权利要求24所述的第一终端,其特征在于,所述第一确定单元用于:
若所述第二终端的角色类型信息为接入点AP,且所述第一终端的角色类型信息为站点STA,则所述第一确定单元确定所述第一类型信息和所述第二类型信息相匹配;或,
若所述第二终端的角色类型信息为点对点组长设备P2P GO,且所述第一终端的角色类型信息为点对点客户设备P2P client,则所述第一确定单元确定所述第一类型信息和所述第二类型信息相匹配。
26.根据权利要求25所述的第一终端,其特征在于,所述第一确定单元确定所述第二签名信息与所述第二类型信息相匹配包括:
所述第一确定单元确定第一哈希值等于第二哈希值,其中,所述第一哈希值是所述配置设备至少对所述第二类型信息进行哈希运算所生成的,所述第一确定单元通过所述配置设备的签名公钥对所述第二签名信息进行解密获取到所述第一哈希值,所述第二哈希值是所述第一确定单元至少对所述第二类型信息进行所述哈希运算所生成的。
27.根据权利要求26所述的第一终端,其特征在于,所述第一确定单元确定生成所述密钥信息还根据了收到的来自所述第二终端的其他信息,所述其他信息包括:net-id和peerKey。
28.根据权利要求27所述的第一终端,其特征在于,所述第一确定单元至少根据所述第二类型信息和所述第二签名信息确定生成密钥信息,还包括:
所述第一确定单元确定所述net-id和所述第一终端的net-id匹配,且所述peerKey和所述第一终端的network key匹配。
29.根据权利要求22所述的第一终端,其特征在于,所述第一终端还包括:
第一发送单元,用于将所述第一签名信息发送给所述第二终端。
30.一种配置设备,其特征在于,包括:
第四接收单元,用于获得终端的类型信息,所述类型信息为终端的角色类型信息;
第二生成单元,用于至少根据所述类型信息和所述配置设备的签名私钥生成签名信息;
第二发送单元,用于将所述签名信息和所述配置设备的签名公钥发送给所述终端,所述配置设备的签名公钥与所述配置设备的签名私钥相对应。
31.根据权利要求30所述的配置设备,其特征在于,所述第四接收单元还用于,接收所述终端发送的指示消息,所述指示消息包含所述类型信息。
32.根据权利要求30所述的配置设备,其特征在于,所述第四接收单元包括:
接收模块,用于接收所述终端发送的发现消息;
确定模块,用于根据所述发现消息确定所述类型信息,且所述发现消息与所述类型信息对应。
33.根据权利要求30所述的配置设备,其特征在于,所述第四接收单元还用于,接收用户输入的操作指令,所述操作指令用于指示所述类型信息。
34.根据权利要求30所述的配置设备,其特征在于,所述第四接收单元还用于,扫描所述终端中包含的所述类型信息的二维码;
或,
所述第四接收单元还用于,建立与所述终端的近距离无线通讯技术NFC连接以获取所述类型信息。
35.根据权利要求30至34任一项所述的配置设备,其特征在于,所述终端的角色类型信息:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。
36.根据权利要求35所述的配置设备,其特征在于,所述签名信息还包括第一哈希值,所述第一哈希值为所述配置设备至少对所述类型信息进行哈希运算所生成的哈希值。
37.一种终端,其特征在于,包括:
第三发送单元,用于将所述终端的类型信息传递给配置设备,所述类型信息为所述终端的角色类型信息;
第五接收单元,用于接收所述配置设备发送的签名信息和所述配置设备的签名公钥,所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成,所述配置设备的签名公钥和所述配置设备的签名私钥对应。
38.根据权利要求37所述的终端,其特征在于,所述第三发送单元包括:
第一生成模块,用于生成指示消息,所述指示消息包含有所述类型信息;
第二发送模块,用于将所述指示消息发送给所述配置设备。
39.根据权利要求37所述的终端,其特征在于,所述第三发送单元包括:
第二生成模块,用于生成发现消息;
第三发送模块,用于将所述发现消息发送给所述配置设备,所述发现消息与所述类型信息对应。
40.根据权利要求37所述的终端,其特征在于,所述第三发送单元包括:
第三生成模块,用于生成二维码,所述二维码包含有所述类型信息;
或,
所述第三发送单元包括:
建立模块,用于建立与所述配置设备的近距离无线通讯技术NFC连接;
第四发送模块,用于通过所述NFC将所述类型信息发送给所述配置设备。
41.根据权利要求37至40任一项所述的终端,其特征在于,所述终端的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。
42.一种第一终端,其特征在于,包括接收器、发送器和处理器,且所述处理器分别和所述接收器和所述发送器连接;
所述接收器,用于接收配置设备发送的所述配置设备的签名公钥;
所述接收器,还用于接收第二终端发送的第二签名信息和第二类型信息,所述第二签名信息为所述配置设备发送给所述第二终端的签名信息,所述第二签名信息由配置设备至少根据所述第二类型信息和所述配置设备的签名私钥生成,所述第二类型信息为所述第二终端的角色类型信息,所述配置设备的签名公钥和所述配置设备的签名私钥对应;
所述处理器,用于至少根据所述第二类型信息和所述第二签名信息确定生成密钥信息,所述密钥信息用于第一终端与第二终端建立安全连接;
所述处理器至少根据所述第二类型信息和所述第二签名信息确定生成密钥信息包括:在确定第一类型信息和所述第二类型信息相匹配,并且所述处理器确定所述第二签名信息与所述第二类型信息相匹配,则所述处理器确定生成所述密钥信息,其中,所述第一类型信息为所述第一终端的角色类型信息。
43.根据权利要求42所述的第一终端,其特征在于,
所述接收器,用于接收所述配置设备发送的第一签名信息,所述第一签名信息由所述配置设备至少根据所述第一类型信息和签名私钥生成。
44.根据权利要求43所述的第一终端,其特征在于,所述第一终端的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备,非码中心设备,外设,源设备,目标设备,配置器,接入设备,支持的能力,支持的服务,服务集标识或媒体访问控制地址。
45.根据权利要求44所述的第一终端,其特征在于,所述第二终端的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备,非码中心设备,外设,源设备,目标设备,配置器,接入设备,支持的能力,支持的服务,服务集标识或媒体访问控制地址。
46.根据权利要求42-45任一所述的第一终端,其特征在于,所述处理器用于:
若所述第二终端的角色类型信息为接入点AP,且所述第一终端的角色类型信息为站点STA,则确定所述第一类型信息和所述第二类型信息相匹配;或,
若所述第二终端的角色类型信息为点对点组长设备P2P GO,且所述第一终端的角色类型信息为点对点客户设备P2P client,则确定所述第一类型信息和所述第二类型信息相匹配。
47.根据权利要求46所述的第一终端,其特征在于,所述处理器确定所述第二签名信息与所述第二类型信息相匹配包括:
所述处理器确定第一哈希值等于第二哈希值,其中,所述第一哈希值是所述配置设备至少对所述第二类型信息进行哈希运算所生成的,所述处理器通过所述配置设备的签名公钥对所述第二签名信息进行解密获取到所述第一哈希值,所述第二哈希值是所述处理器至少对所述第二类型信息进行所述哈希运算所生成的。
48.根据权利要求47所述的第一终端,其特征在于,所述处理器确定生成所述密钥信息还根据了收到的来自所述第二终端的其他信息,所述其他信息包括:net-id和peerKey。
49.根据权利要求48所述的第一终端,其特征在于,所述处理器至少根据所述第二类型信息和所述第二签名信息确定生成密钥信息,还包括:
所述处理器确定所述net-id和所述第一终端的net-id匹配,且所述peerKey和所述第一终端的network key匹配。
50.根据权利要求43所述的第一终端,其特征在于,
所述发送器,用于将所述第一签名信息发送给所述第二终端。
51.一种配置设备,其特征在于,包括发送器、接收器和处理器,且所述处理器分别和所述发送器和所述接收器连接;
所述接收器,用于获得终端的类型信息,所述类型信息为终端的角色类型信息;
所述处理器,用于至少根据所述类型信息和所述配置设备的签名私钥生成签名信息;
所述发送器,用于将所述签名信息和所述配置设备的签名公钥发送给所述终端,所述配置设备的签名公钥与所述配置设备的签名私钥相对应。
52.根据权利要求51所述的配置设备,其特征在于,
所述接收器,用于接收所述终端发送的指示消息,所述指示消息包含所述类型信息。
53.根据权利要求51所述的配置设备,其特征在于,
所述接收器,用于接收所述终端发送的发现消息;
所述处理器,用于根据所述发现消息确定所述类型信息,且所述发现消息与所述类型信息对应。
54.根据权利要求51所述的配置设备,其特征在于,
所述接收器,用于接收用户输入的操作指令,所述操作指令用于指示所述类型信息。
55.根据权利要求51所述的配置设备,其特征在于,
所述接收器,用于扫描所述终端中包含的所述类型信息的二维码;
或,
所述接收器,用于建立与所述终端的近距离无线通讯技术NFC连接以获取所述类型信息。
56.根据权利要求51至55任一项所述的配置设备,其特征在于,
所述终端的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。
57.根据权利要求56所述的配置设备,其特征在于,所述签名信息还包括第一哈希值,所述第一哈希值为所述配置设备至少对所述类型信息进行哈希运算所生成的哈希值。
58.一种终端,其特征在于,包括:发送器、接收器和处理器,其中,所述处理器分别和所述发送器和所述接收器连接;
发送器,用于将所述终端的类型信息传递给配置设备,所述类型信息为所述终端的角色类型信息;
接收器,用于接收所述配置设备发送的签名信息和所述配置设备的签名公钥,所述签名信息为所述配置设备至少根据所述类型信息和所述配置设备的签名私钥生成,所述配置设备的签名公钥和所述配置设备的签名私钥对应。
59.根据权利要求58所述的终端,其特征在于,
所述处理器,用于生成指示消息,所述指示消息包含有所述类型信息;
所述发送器,用于将所述指示消息发送给所述配置设备。
60.根据权利要求58所述的终端,其特征在于,
所处理器,用于生成发现消息;
所述发送器,用于将所述发现消息发送给所述配置设备,所述发现消息与所述类型信息对应。
61.根据权利要求58所述的终端,其特征在于,
所述处理器,用于生成二维码,所述二维码包含有所述类型信息;
或,
所述处理器,用于建立与所述配置设备的近距离无线通讯技术NFC连接;
所述发送器,用于通过所述NFC将所述类型信息发送给所述配置设备。
62.根据权利要求58至61任一项所述的终端,其特征在于,所述终端的角色类型信息包括:
站点、接入点、点对点组长设备、点对点客户设备、锚主设备、非锚主设备、中继器、码中心设备、非码中心设备、原设备、外部设备、目标设备、服务集标识、媒体访问控制地址、或接入设备。
CN201580030204.2A 2015-08-24 2015-08-24 一种安全认证方法、配置方法以及相关设备 Active CN106464690B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010206792.3A CN111465014B (zh) 2015-08-24 2015-08-24 一种安全认证方法、配置方法以及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2015/087967 WO2017031674A1 (zh) 2015-08-24 2015-08-24 一种安全认证方法、配置方法以及相关设备

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202010206792.3A Division CN111465014B (zh) 2015-08-24 2015-08-24 一种安全认证方法、配置方法以及相关设备

Publications (2)

Publication Number Publication Date
CN106464690A CN106464690A (zh) 2017-02-22
CN106464690B true CN106464690B (zh) 2020-04-10

Family

ID=58091921

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201580030204.2A Active CN106464690B (zh) 2015-08-24 2015-08-24 一种安全认证方法、配置方法以及相关设备
CN202010206792.3A Active CN111465014B (zh) 2015-08-24 2015-08-24 一种安全认证方法、配置方法以及相关设备

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN202010206792.3A Active CN111465014B (zh) 2015-08-24 2015-08-24 一种安全认证方法、配置方法以及相关设备

Country Status (7)

Country Link
US (1) US11343104B2 (zh)
EP (3) EP3334084B1 (zh)
JP (1) JP6727292B2 (zh)
KR (2) KR102210897B1 (zh)
CN (2) CN106464690B (zh)
ES (1) ES2835873T3 (zh)
WO (1) WO2017031674A1 (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170034066A (ko) * 2015-09-18 2017-03-28 삼성전자주식회사 전자기기 및 그 제어방법
JP6746427B2 (ja) * 2016-08-10 2020-08-26 キヤノン株式会社 通信装置、通信方法、及びプログラム
CN106850209A (zh) * 2017-02-28 2017-06-13 苏州福瑞思信息科技有限公司 一种身份认证方法及装置
CN108476392B (zh) * 2017-07-06 2021-06-04 北京小米移动软件有限公司 物联网设备之间建立快速连接的方法、装置及设备
KR102530441B1 (ko) * 2018-01-29 2023-05-09 삼성전자주식회사 전자 장치와 외부 전자 장치 및 이를 포함하는 시스템
US10834170B2 (en) * 2018-03-19 2020-11-10 Citrix Systems, Inc. Cloud authenticated offline file sharing
CN108494777A (zh) * 2018-03-27 2018-09-04 四川斐讯信息技术有限公司 一种基于智能设备的验证码验证方法及系统
JP7262949B2 (ja) * 2018-09-11 2023-04-24 キヤノン株式会社 通信装置、通信方法及びプログラム
JP7278087B2 (ja) * 2019-01-31 2023-05-19 キヤノン株式会社 通信装置およびその制御方法、プログラム
CN110234110B (zh) * 2019-06-26 2021-11-02 恒宝股份有限公司 一种移动网络自动切换方法
SE544340C2 (en) * 2019-11-19 2022-04-12 Assa Abloy Ab Secure configuration of a target device performed by a user device
SE545260C2 (en) * 2021-03-01 2023-06-13 Assa Abloy Ab Privacy-enhanced delegation of access right to unlock a physical lock involving a delegator, a delegatee, a derivation scalar and public and secret keys
WO2023091613A1 (en) * 2021-11-17 2023-05-25 X70.Io Ltd. Method for securing security token and smartcard into processing device, and system, terminal and computer-readable medium for the same
WO2024082143A1 (zh) * 2022-10-18 2024-04-25 北京小米移动软件有限公司 一种设备业务角色的验证方法/装置/设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007035655A2 (en) * 2005-09-16 2007-03-29 The Trustees Of Columbia University In The City Of New York Using overlay networks to counter denial-of-service attacks
CN101401387A (zh) * 2006-03-10 2009-04-01 Abb研究有限公司 用于嵌入式设备的访问控制协议
CN101772024A (zh) * 2008-12-29 2010-07-07 中国移动通信集团公司 一种用户身份确定方法及装置和系统
CN102857492A (zh) * 2011-06-27 2013-01-02 通用电气公司 基于位置感知证书的认证的方法和系统
WO2014068632A1 (ja) * 2012-10-29 2014-05-08 三菱電機株式会社 設備管理装置、設備管理システム及びプログラム

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU698454B2 (en) * 1994-07-19 1998-10-29 Certco Llc Method for securely using digital signatures in a commercial cryptographic system
US6671805B1 (en) * 1999-06-17 2003-12-30 Ilumin Corporation System and method for document-driven processing of digitally-signed electronic documents
US6789193B1 (en) 2000-10-27 2004-09-07 Pitney Bowes Inc. Method and system for authenticating a network user
US7246230B2 (en) 2002-01-29 2007-07-17 Bea Systems, Inc. Single sign-on over the internet using public-key cryptography
US7992194B2 (en) * 2006-03-14 2011-08-02 International Business Machines Corporation Methods and apparatus for identity and role management in communication networks
JP4963425B2 (ja) 2007-02-23 2012-06-27 日本電信電話株式会社 セッション鍵共有システム、第三者機関装置、要求側装置、および応答側装置
CN101378315B (zh) 2007-08-27 2011-09-14 华为技术有限公司 认证报文的方法、系统、设备和服务器
CN101319582B (zh) 2008-07-10 2011-06-22 宇龙计算机通信科技(深圳)有限公司 一种安全系统及其开锁方法
JP2011004317A (ja) 2009-06-22 2011-01-06 Hitachi Ltd 認証システム、記憶媒体、認定装置、および検証装置
US9912654B2 (en) 2009-11-12 2018-03-06 Microsoft Technology Licensing, Llc IP security certificate exchange based on certificate attributes
CN102215274B (zh) 2010-04-07 2014-04-30 苹果公司 用于邀请用户到在线会话的设备和方法
CN102065126A (zh) 2010-11-19 2011-05-18 东莞宇龙通信科技有限公司 用于移动终端的远程登录方法、远程登录系统和移动终端
US8493353B2 (en) 2011-04-13 2013-07-23 Longsand Limited Methods and systems for generating and joining shared experience
MY172974A (en) 2012-07-13 2019-12-16 Mimos Berhad A system and method for authentication using non-reusable random generated mobile sms key
CN103702291B (zh) * 2012-09-27 2017-06-09 中兴通讯股份有限公司 一种基于Wi‑Fi建立群组的方法和WiFi直连设备
CN104349319B (zh) 2013-08-01 2018-10-30 华为终端(东莞)有限公司 一种用于配置多设备的方法、设备和系统
CN105684344B (zh) 2013-10-28 2019-06-11 华为终端有限公司 一种密钥配置方法和装置
CN103532975B (zh) 2013-10-28 2016-08-17 国家电网公司 一种可动态平滑扩展的数据采集系统及方法
CA2929173A1 (en) 2013-10-30 2015-05-07 Huawei Device Co., Ltd. Key configuration method, system, and apparatus
CN103580872B (zh) * 2013-11-11 2016-12-07 北京华大智宝电子系统有限公司 一种用于密钥生成与管理的系统及方法
US20150229475A1 (en) 2014-02-10 2015-08-13 Qualcomm Incorporated Assisted device provisioning in a network
US9413536B2 (en) * 2014-06-12 2016-08-09 Cisco Technology, Inc. Remote secure device management in smart grid ami networks
CN104539701B (zh) * 2014-12-29 2018-04-27 飞天诚信科技股份有限公司 一种在线激活移动终端令牌的设备和系统的工作方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007035655A2 (en) * 2005-09-16 2007-03-29 The Trustees Of Columbia University In The City Of New York Using overlay networks to counter denial-of-service attacks
CN101401387A (zh) * 2006-03-10 2009-04-01 Abb研究有限公司 用于嵌入式设备的访问控制协议
CN101772024A (zh) * 2008-12-29 2010-07-07 中国移动通信集团公司 一种用户身份确定方法及装置和系统
CN102857492A (zh) * 2011-06-27 2013-01-02 通用电气公司 基于位置感知证书的认证的方法和系统
WO2014068632A1 (ja) * 2012-10-29 2014-05-08 三菱電機株式会社 設備管理装置、設備管理システム及びプログラム

Also Published As

Publication number Publication date
KR102210897B1 (ko) 2021-02-01
CN111465014B (zh) 2021-12-28
CN111465014A (zh) 2020-07-28
EP3334084A4 (en) 2018-07-25
JP2018525939A (ja) 2018-09-06
EP3334084A1 (en) 2018-06-13
US11343104B2 (en) 2022-05-24
EP3700124A1 (en) 2020-08-26
WO2017031674A1 (zh) 2017-03-02
EP3334084B1 (en) 2020-10-07
KR20180030192A (ko) 2018-03-21
KR102062162B1 (ko) 2020-01-03
US20180241570A1 (en) 2018-08-23
JP6727292B2 (ja) 2020-07-22
KR20200000502A (ko) 2020-01-02
EP3982590B1 (en) 2023-06-07
ES2835873T3 (es) 2021-06-23
EP3700124B1 (en) 2021-10-06
EP3982590A1 (en) 2022-04-13
CN106464690A (zh) 2017-02-22

Similar Documents

Publication Publication Date Title
CN106464690B (zh) 一种安全认证方法、配置方法以及相关设备
US10412083B2 (en) Dynamically generated SSID
RU2597526C2 (ru) Связь шлюза с обеспечением безопасности
TW201706900A (zh) 終端的認證處理、認證方法及裝置、系統
KR20160122061A (ko) 프로파일 다운로드 및 설치 장치
CN107567017B (zh) 无线连接系统、装置及方法
CN108667699B (zh) 一种终端设备与网关设备间的互联方法和装置
CN111783068A (zh) 设备认证方法、系统、电子设备及存储介质
CA2922826C (en) Wireless terminal configuration method, apparatus, and wireless terminal
CN104145465A (zh) 机器类型通信中基于群组的自举
KR102119586B1 (ko) 통신 네트워크를 통해 데이터를 릴레이하는 시스템 및 방법
US9648650B2 (en) Pairing of devices through separate networks
CN110784865A (zh) 物联网设备的配网方法、终端、物联网设备及配网系统
CN104284331A (zh) 一种连接便携式wlan热点的方法及系统
CN110798343B (zh) 一种网络配置方法、装置及系统
KR101431214B1 (ko) 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템
CN103813318A (zh) 一种信息配置方法、设备及系统
CN116015933A (zh) 一种基于安卓系统的以太网802.1x的认证方法及装置
KR20150135715A (ko) 이동통신 시스템에서 사용자의 프라이버시를 보호하는 장치 및 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant