CN107735980A - 无线设备的配置和认证 - Google Patents
无线设备的配置和认证 Download PDFInfo
- Publication number
- CN107735980A CN107735980A CN201680034531.XA CN201680034531A CN107735980A CN 107735980 A CN107735980 A CN 107735980A CN 201680034531 A CN201680034531 A CN 201680034531A CN 107735980 A CN107735980 A CN 107735980A
- Authority
- CN
- China
- Prior art keywords
- client device
- certificate
- wireless device
- connection attribute
- open
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
公开了用于在无线局域网(WLAN)内注册和配置无线设备的装置和方法。在至少一个示例性实施例中,注册机构可以获得无线设备的公开密钥和连接属性。所述注册机构可以不同于无线设备和WLAN的接入点。注册机构可以向认证机构提供所述公开密钥和连接属性。不同于所述注册机构,所述认证机构可以证实所述公开密钥,以及生成用于无线设备的证书。所述证书可以利用接入点或其他无线设备来认证无线设备。在一些实施例中,可以生成证书撤销列表来标识可能已经过期或者否则无效的证书。证书撤销列表可以允许或拒绝无线设备接入WLAN。
Description
技术领域
概括地说,示例性实施例涉及通信系统,并且具体地说,涉及管理无线网络内的无线设备接入。
背景技术
无线局域网(WLAN)可以由一个或多个接入点(AP)形成,所述一个或多个AP提供由数个客户端设备使用的共享无线通信介质。可以对应于基本服务集(BSS)的每个AP可以周期性地广播信标帧,以使得所述AP的无线范围内的任何客户端设备能够建立和/或保持与WLAN的通信链路(例如,通信信道)。
在一些WLAN中,可以使用公开密钥加密算法将客户端设备配置为与WLAN中的一个或多个AP一起使用。公开密钥加密(有时称为公开/私有密钥加密)是一种使用已知(公开)密钥和秘密(私有)密钥来安全地传递数据的方法。公开密钥和私有密钥通常互相具有数学关系。除了传递数据之外,公开密钥和私有密钥还可以验证消息和证书,以及可以生成数字签名。例如,客户端设备可以与WLAN内的AP共享公开密钥(例如,客户端设备的公开加密密钥)。AP可以使用客户端设备的公开密钥来认证和配置客户端设备。经认证的客户端设备可以接入(例如,连接到)WLAN内的AP。然而,在分发客户端设备的公开密钥之后,控制客户端设备对WLAN的接入可能是困难的。
因此,期望改善客户端设备对WLAN的接入控制。
发明内容
提供本发明内容以便以简化的形式介绍对在以下具体实施方式中进一步描述的对构思的选择。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在限制所要求保护的主题的范围。
在一些方面中,公开了一种配置客户端设备用于无线网络的方法。根据示例性实施例,认证机构可以至少部分地基于所述客户端设备的公开根标识密钥来认证所述客户端设备。认证机构可以接收所述客户端设备的公开临时标识密钥和连接属性。公开临时标识密钥和连接属性可以利用私有认证机构密钥来证实。可以向所述客户端设备发送经证实的公开临时标识密钥和经证实的连接属性。
另一方面,公开了一种无线设备,其可以包括收发机、处理器及存储指令的存储器,所述指令当由所述处理器执行时使得所述无线设备执行以下操作:在认证机构处至少部分地基于所述客户端设备的公开根标识密钥来认证所述客户端设备。所述指令还使得无线设备接收客户端设备的公开临时标识密钥和连接属性。公开临时标识密钥和连接属性可以利用私有认证机构密钥来证实,并且经证实的公开临时标识密钥和经证实的连接属性可以被发送给所述客户端设备。
在另一示例性实施例中,公开了一种建立与第一无线设备的通信链路的方法。可以向证书状态响应器发送与第二无线设备相关联的证书标识符,并且可以从所述证书状态响应器接收与对应于所述证书标识符的证书相关联的状态。通信链路可以至少部分地基于接收到的证书的状态来建立。
附图说明
示例性实施例是通过举例的方式示出的,并且不旨在受所附附图中的图的限制。
图1是其中可以实现示例性实施例的无线系统的框图。
图2示出了根据示例性实施例的说明性流程图,其描绘了用于认证和配置图1中的客户端设备的示例性操作。
图3是其中可以实现示例性实施例的无线系统的框图。
图4示出了根据示例性实施例的说明性流程图,其描绘了用于认证和配置图1中的客户端设备的另一示例性操作。
图5是其中可以实现示例性实施例的无线系统的框图。
图6示出了说明性流程图,其描绘了用于对无线局域网内的一个或多个设备进行解除授权的示例性操作。
图7示出了根据示例性实施例的说明性流程图,其描绘了用于在两个客户端设备之间建立通信的操作。
图8是其中可以实现示例性实施例的无线系统的框图。
图9示出了根据示例性实施例的说明性流程图,其描绘了用于在两个客户端设备之间建立通信的另一操作。
图10示出了示例性无线设备,其可以是图1中的接入点、客户端设备和/或智能电话的实施例。
贯穿附图,相似的附图标记指代相应的部件。
具体实施方式
为了简单起见,下面在WLAN系统的上下文中描述示例性实施例。应当理解的是,示例性实施例同样适用于其他无线网络(例如,蜂窝网络、微微网络、毫微微网络、卫星网络)以及使用一个或多个有线标准或协议(例如,以太网和/或HomePlug/PLC标准)的信号的系统。如本文所使用的,术语“WLAN”和可以包括由IEEE 802.11标准族、蓝牙、HiperLAN(无线标准集,相比于IEEE 802.11标准,其主要在欧洲使用)以及具有相对较短无线传播范围的其他技术管理的通信。因此,术语“WLAN”和“Wi-Fi”在本文中可以互换使用。另外,虽然以下根据包括一个或多个AP和数个客户端设备的基础设施WLAN系统进行描述,但示例性实施例同样适用于包括例如多个WLAN、对等(或独立基本服务集、“IBSS”)系统、Wi-Fi直连系统和/或热点的其他WLAN系统。
在以下描述中,阐述了诸如具体组件、电路和过程的示例之类的许多具体细节,以提供对本公开内容的透彻理解。本文使用的术语“耦合”意指直接连接或通过一个或多个中间组件或电路连接。
另外,在下面的描述中并且出于解释的目的,阐述了具体术语以提供对示例性实施例的透彻理解。然而,对本领域技术人员将显而易见的是,可以不需要这些具体细节来实践示例性实施例。在其他实例中,以框图形式示出公知的电路和设备以避免使本公开内容不清楚。示例性实施例不被解释为限于本文描述的具体示例,而是在其范围内包括由所附权利要求限定的所有实施例。
图1是其中可以实现示例性实施例的无线系统100的框图。无线系统100可以包括客户端设备130(例如,站或STA)、无线接入点(AP)110、智能电话140和无线局域网(WLAN)120。WLAN 120可以由可以根据IEEE 802.11标准族(或根据其它适当的无线协议)操作的多个Wi-Fi接入点(AP)形成。因此,尽管出于简单起见在图1中仅示出了一个AP110,但是应当理解,WLAN 120可以由诸如AP 110之类的任意数量的接入点形成。以类似的方式,尽管出于简单起见在图1中仅示出了一个客户端设备130,但WLAN 120可以包括任意数量的客户端设备。对于一些实施例,无线系统100可以对应于单用户多输入多输出(SU-MIMO)或多用户MIMO(MU-MIMO)无线网络。此外,尽管在图1中将WLAN 120描绘为基础设施BSS,但对于其他示例性实施例,WLAN 120可以是IBSS、自组织网络或对等(P2P)网络(例如,根据Wi-Fi直连协议进行操作)。
客户端设备130和智能电话140中的每一个可以是启用了Wi-Fi的任何适当的无线设备,其包括例如蜂窝电话、个人数字助理(PDA)、平板设备、膝上型计算机等等。客户端设备130和/或智能电话140也可以被称为用户设备(UE)、订户站、移动单元、订户单元、无线单元、远程单元、移动设备、无线通信设备、远程设备、移动订户站、接入终端、移动终端、无线终端、远程终端、手持设备、用户代理、移动客户端、客户端或某种其他适当的术语。对于一些实施例,客户端设备130和/或智能电话140可以包括一个或多个收发机、一个或多个处理资源(例如,处理器和/或ASIC)、一个或多个存储器资源以及电源(例如,电池)。存储器资源可以包括存储用于执行下面关于图2、4、6、7和9描述的操作的指令的非暂时性计算机可读介质(例如,一个或多个非易失性存储器元件,其例如EPROM、EEPROM、闪存、硬盘驱动器等)。
AP 110可以是经由所述AP 110使用Wi-Fi、蓝牙或任意其他适当的无线通信标准来允许一个或多个无线设备连接到网络(例如,局域网(LAN)、广域网(WAN)、城域网(MAN)和/或互联网)的任意适当的设备。对于至少一个实施例,AP 110可以包括一个或多个收发机、一个或多个处理资源(例如,处理器和/或ASIC)、一个或多个存储器资源以及电源。在一些实施例中,AP 110还可以是启用了Wi-Fi和网络的任何适当的设备,其包括例如手机、PDA、平板设备、膝上型计算机等。存储器资源可以包括存储用于执行下面关于图2、6和9描述的操作的指令的非暂时性计算机可读介质(例如,一个或多个非易失性存储器元件,其例如EPROM、EEPROM、闪存、硬盘驱动器等)。
对于AP 110、客户端设备130和智能电话140,一个或多个收发机可以包括Wi-Fi收发机、蓝牙收发机、蜂窝收发机和/或其他适当的射频(RF)收发机(为简单起见未示出),以发送和接收无线通信信号。每个收发机可以在不同的操作频带和/或使用不同的通信协议与其他无线设备通信。例如,Wi-Fi收发机可以根据IEEE 802.11规范在2.4GHz频带内和/或在5GHz频带内通信。蜂窝收发机可以在根据由第三代合作伙伴计划(3GPP)描述的4G长期演进(LTE)协议和/或根据其他蜂窝协议(例如,全球移动通信系统(GSM)通信协议)的各种RF通信频带内通信。在其他实施例中,包括在客户端设备内的收发机可以是任何技术上可行的收发机,其例如由来自ZigBee规范的规范描述的ZigBee收发机、WiGig收发机、和/或由来自HomePlug联盟的规范描述的HomePlug收发机。
客户端设备130在其可以接入任何服务和/或网络之前被认证和配置。在一些实施例中,智能电话140可以帮助和/或发起对客户端设备130的认证和/或配置。对客户端设备130的认证和配置可以在客户端设备130与AP110之间建立可信和/或加密的连接。对客户端设备130的认证可以涉及公开/私有密钥加密。本领域的技术人员将认识到,公开/私有密钥加密技术可以在诸如客户端设备130和AP 110之类的无线设备之间加密和解密消息。在一些实施例中,除了本文描述的公开/私有密钥加密和/或替代于本文描述的公开/私有密钥加密,还可以使用其他的安全机制。
对客户端设备130的认证和/或配置可以至少部分地基于由注册机构141获得的公开密钥和/或连接属性和/或由认证机构111提供的签名证书。例如,注册机构141可以确定客户端设备130的公开根标识密钥和/或连接属性。公开根标识密钥可以是与客户端设备130相关联的根标识密钥对(有时被称为标识密钥对)的一部分。可以在制造期间将根标识密钥对指派给(例如,编程到)客户端设备130。如图1所示,智能电话140可以包括注册机构141。在其他实施例中,注册机构141可以包括在WLAN 120内的任何技术上可行的设备内。例如,AP 110可以包括注册机构141(为了简单起见未示出)。
注册机构141可以以带外方式来确定客户端设备130的公开根标识密钥。例如,智能电话140可以包括用于扫描标签和/或图像的光学设备(例如,相机)。客户端设备130可以包括印有快速响应(QR)码的标签,所述QR码可以显示公开根标识密钥或者可以指导扫描设备从远程设备或服务检索公开根标识密钥。因此,QR码可以向注册机构141直接或间接地提供客户端设备130的公开根标识密钥。
在其他实施例中,其他的带外方法可以确定公开根标识密钥。例如,近场通信(NFC)链路或蓝牙低能量(BLE)链路可以将公开根标识密钥从客户端设备130传递至智能电话140。虽然本文仅描述了NFC链路和BLE通信链路,但也可以使用其他技术上可行的通信链路。
在另一实施例中,用户可以向智能电话140提供公开根标识密钥。例如,客户端设备130的人类可读的显示器可以显示公开根标识密钥,随后,所述公开根标识密钥可以由用户通过智能电话140的用户界面(例如,键盘或触摸屏)输入。
客户端设备130的连接属性可以包括可以至少部分地由用户或网络管理员确定的、客户端设备130的一个或多个连接方面。例如,第一连接属性可以是连接简档,其描述当客户端设备130(可以通过设备名称来对其引用)可以接入WLAN 120时的允许的连接时间。所述接入可能受限于例如一天中的时间或一系列日历日期。第二连接属性可以是数据吞吐量限制。例如,客户端设备130可以被限制为最大数据速率或最大传递字节数。第三连接属性可以是可用性属性,其中,客户端设备130可以“公开”可用(例如,可由WLAN 120内的任何无线设备接入)或“私有”可用(例如,可由WLAN 120内部的有限数量的无线设备接入)。第四连接属性可以是确定用户是否是“注册用户”(例如,用户之前是否已经注册到注册机构141)或者是“访客用户”的客户端设备用户属性。第五连接属性可以是指示客户端设备130是否能够进行对等通信(例如,通过对等链路进行通信)的对等属性。
在一些实施例中,智能电话140可以为用户和/或网络管理员提供用户界面以输入连接属性信息。在其他实施例中,连接属性信息可以被发送给注册机构141或者由注册机构141取回。尽管为了简单起见仅仅描述了五个属性,但是任意数量的属性都可以与客户端设备130相关联。
接下来,注册机构141(经由智能电话140)可以将公开根标识密钥和连接属性提供给认证机构111。智能电话140可以通过先前建立的可信连接与AP 110通信。例如,在注册机构141确定公开根标识密钥和/或连接属性之前,可能已经在智能电话140与AP 110之间建立了安全通信链路。因此,可以安全地将公开根标识密钥和连接属性发送给认证机构111和AP 110。如图1所示,认证机构111可以包括在AP 110内。在其他实施例中,认证机构111可以包括在WLAN 120内的任何技术上可行的设备内。例如,智能电话140可以包括认证机构111(为简单起见未示出)。
AP 110可以使用公开根标识密钥来认证和配置客户端设备130。例如,AP 110可以使用公开根标识密钥向客户端设备130发送消息。客户端设备130可以确定包括公开和私有临时标识密钥的临时标识密钥对(有时被称为网络供应密钥对)。在一些实施例中,客户端设备130和AP 110可以确定共享的成对主密钥(PMK)以建立安全通信链路。PMK可以至少部分地基于所述临时标识密钥对。
客户端设备130可以向认证机构111发送公开临时标识密钥。认证机构111可以包括认证机构(CA)密钥112(例如,私有和公开CA密钥对)。认证机构111可以通过利用私有CA密钥来对公开临时标识密钥进行签名以证实公开临时标识密钥。认证机构111还可以生成证书131。证书131可以包括客户端设备130的公开临时标识密钥和连接属性。证书131还可以由私有CA密钥来进行签名(例如,证实)。认证机构111还可以生成关联的证书标识符132。证书标识符132可以指代(例如,标识)证书131。因此,证书标识符132可以提供用于标识客户端设备130和/或标识与客户端设备130相关联的连接属性的另外的单元。认证机构111可以向客户端设备130提供经证实的公开临时标识密钥、经证实的证书131和/或证书标识符132。客户端设备130可以向其他AP或无线设备呈现经证实的公开临时标识密钥、签名证书131和/或证书标识符132,以标识和/或证明客户端设备130具有连接到其他AP或无线设备的许可。还可以将签名证书131和/或证书标识符132提供给并存储在注册机构141或与智能电话140相关联的存储器内。下面结合图2更详细地描述与注册机构141和认证机构111相关联的操作。
图2示出了根据示例性实施例的说明性流程图200,其描绘了用于认证和配置客户端设备130以与AP 110一起使用的示例性操作。一些实施例可以在具有另外的操作、较少的操作、不同顺序的操作、并行操作和/或一些操作不同的情况下来执行本文描述的操作。还参考图1,当注册机构141确定客户端设备130的公开根标识密钥(202)时,操作开始。公开根标识密钥可以是与客户端设备130相关联的根标识密钥对的一部分,并且其可以以带外方式来确定。在图2的示例中,注册机构141被包括在智能电话140内。在其他实施例中,注册机构141可以被包括在其他无线设备内。
接下来,注册机构141确定客户端设备130的连接属性(204)。在一些实施例中,用户和/或网络管理员可以通过由智能电话140提供的用户界面来提供客户端设备130的连接属性。在其他实施例中,连接属性可以被发送给注册机构141或者由注册机构141取回。
接下来,认证机构111接收客户端设备130的公开根标识密钥和连接属性(206)。在图2的示例中,认证机构111包括在AP 110内。在其它实施例中,认证机构111可以包括在其他无线设备内。在一些实施例中,可以通过先前建立的安全连接(例如,智能电话140和AP110之间的安全连接)将客户端设备130的公开根标识密钥和连接属性发送给认证机构111。
接下来,AP 110至少部分地基于公开根标识密钥和连接属性来认证客户端设备130(208a和208b)。例如,AP 110可以向客户端设备130提供由公开根标识密钥加密的AP110的公开密钥。另外,AP 110可以检查客户端设备130的连接属性,以基于由连接属性指示的任何限制和/或条件来确定认证是允许的。
接下来,客户端设备130生成临时标识密钥对(210)。临时标识密钥对可以包括公开密钥和私有密钥。在一些实施例中,可以向AP 110发送公开临时标识密钥对,以将客户端设备130配置为与AP 110一起使用。
接下来,认证机构111接收公开临时标识密钥(212),证实公开临时标识密钥,以及生成客户端设备130的证书131和证书标识符132(214)。例如,认证机构111可以利用私有CA密钥来对公开临时标识密钥进行签名以证实所述公开临时标识密钥。认证机构111可以至少部分地基于客户端设备130的公开临时标识密钥和/或连接属性来生成证书131。还可以利用私有CA密钥来对证书131进行签名。认证机构111可以生成证书标识符132以标识证书131。还可以利用私有CA密钥来证实证书标识符132。取代于生成证书131和/或证书标识符132,或者除了生成证书131和/或证书标识符132之外,认证机构111可以利用私有CA密钥来对连接属性进行签名(例如,认证)。
接下来,客户端设备130可以从认证机构111接收并存储经证实的公开临时标识密钥、公开CA密钥、经证实的证书131、证书标识符132和/或经证实的连接属性(216)。例如,AP110可以向客户端设备130发送经证实的公开临时标识密钥、公开CA密钥、经证实的证书131、证书标识符132和/或经证实的连接属性。如上所描述的,客户端设备130可以使用经证实的公开临时标识密钥、经证实的证书131、证书标识符132和/或经证实的连接属性来连接至WLAN 120内的其他无线设备。客户端设备130可以利用公开CA密钥来验证由其他无线设备提供的其他证书、证书标识符、公开临时标识密钥和/或连接属性。
接下来,注册机构141可以接收并存储证书标识符132(218)。在一些实施例中,注册机构141还可以接收并存储证书131。以这种方式,注册机构141可以编译被授权(经由认证机构111)在WLAN 120内操作的设备的列表。
接下来,客户端设备130和AP 110彼此建立通信链路(220a和220b)。例如,客户端设备130和AP 110可以使用经证实的公开临时标识密钥来交换一个或多个消息。在一些实施例中,AP 110和客户端设备130可以确定共享的成对主密钥以建立安全的通信链路。
尽管流程图200的操作描述了认证和配置单个客户端设备130,但是流程图200的操作可以重复任意次数以认证和配置任意数量的客户端设备。另外,虽然以上描述为在单独的(例如,不同的)设备内实现,但是注册机构141和认证机构111也可以在公同(例如,单个)设备内实现。例如,智能电话140可以执行软件以充当注册机构141和认证机构111二者。这样的配置可以在没有AP 110的情况下有益地向客户端设备130提供经证实的公开临时标识和/或经证实的证书131。
图3是其中可以实现示例性实施例的无线系统300的框图。无线系统300可以包括客户端设备130、智能电话140和WLAN 120。与无线系统100相比,智能电话140包括认证机构111和注册机构141二者。在其它实施例中,包括在WLAN 120中的其他无线设备可以包括认证机构111和注册机构141(为了简单起见未示出)。认证机构111包括CA密钥112。在一些实施例中,CA密钥112可以存储在智能电话140内的安全存储器中以防止篡改。智能电话140可以经由注册机构141和认证机构111来认证和配置客户端设备130。因此,客户端设备130可以接收和存储证书131和证书标识符132,如下面结合图4所描述的。
图4示出了根据示例性实施例的说明性流程图400,其描绘了用于认证和配置客户端设备130的另一示例性操作。在图4的示例中,注册机构141和认证机构111二者均在单个设备(例如,智能电话140)内实现。因此,注册机构141和认证机构111之间的一些消息(例如,通信)可以完全包含在智能电话140中。为了强调图1中的示例性无线系统100和图3中的示例性无线系统300之间的相似性,图4中的操作是利用与图2中描述的类似操作相对应的要素编号来描述的。因此,在注册机构141确定客户端设备130的公开根标识密钥(202)时,操作开始。可以以带外方式来确定公开根标识密钥。例如,智能电话140可以通过相机、NFC接收器或BLE接收器来确定公开根标识密钥。
接下来,注册机构141确定客户端设备130的连接属性(204)。例如,用户和/或网络管理员可以通过由智能电话140提供的用户界面来输入客户端设备130的连接属性。在其他实施例中,连接属性信息可以发送给注册机构141或者由注册机构取回。接下来,认证机构111接收客户端设备130的公开根标识密钥和连接属性(206)。由于认证机构111和注册机构141二者均是在智能电话140内部实现的,因此可以通过消息或数据结构来接收而不通过无线通信介质来发送公开根标识密钥和连接属性。
接下来,智能电话140至少部分地基于公开根标识密钥和连接属性来认证客户端设备130(208a和208b)。例如,智能电话140可以向客户端设备130提供由公开根标识密钥加密的、智能电话140的公开密钥。另外,智能电话140可以检查客户端设备130的连接属性,以基于由连接属性指示的任何限制和/或条件来确定认证是允许的。
接下来,客户端设备130生成临时标识密钥对(210)。临时标识密钥对可以配置客户端设备130以供将来与AP 110(为了简单起见未示出)或任何其他可行的设备一起使用。接下来,认证机构111接收客户端设备130的公开临时标识密钥(212),认证公开临时标识密钥,以及生成客户端设备130的证书131和证书标识符132(214)。例如,认证机构111可以利用私有CA密钥来对公开临时标识密钥进行签名以证实公开临时标识密钥。认证机构111可以至少部分地基于客户端设备130的公开临时标识密钥和连接属性来生成证书131。也可以利用私有CA密钥来对证书131进行签名。认证机构111可以生成证书标识符132以标识证书131。证书标识符132还可以利用私有CA密钥来证实。
接下来,客户端设备130可以从认证机构111接收并存储经证实的公开临时标识密钥、公开CA密钥、经证实的证书131和/或证书标识符132(216)。客户端设备130可以使用经证实的公开临时标识密钥、经证实的证书131和/或证书标识符132来验证对WLAN 120中的其他无线设备的授权并连接到所述设备。客户端设备130可以使用公开CA密钥来验证由其他无线设备提供的其他证书、证书标识符和/或公开临时标识密钥。
接下来,注册机构141可以接收并存储客户端设备130的证书标识符132(218)。在一些实施例中,注册机构141还可以接收并存储证书131。虽然客户端设备130可能当前没有连接到AP 110,但是注册机构141仍然可以编译被授权在WLAN 120内操作的客户端设备的列表。
图5是其中可以实现示例性实施例的无线系统500的框图。无线系统500可以包括客户端设备130、AP 110、智能电话140和WLAN 120。AP 110可以包括认证机构111,并且智能电话140可以包括注册机构141。注册机构141可以控制其他客户端设备(为了简单起见未示出)到WLAN 120的接入。在一些实施例中,用户和/或网络管理员可以(通过注册机构141)选择从WLAN 120移除客户端设备的接入。注册机构141可以告知认证机构111所选择的客户端设备。作为响应,认证机构111可以生成不再被授权接入WLAN 120或WLAN 120内的无线设备的证书撤销列表(CRL)133。认证机构111可以证实CRL 133,所述CRL 133随后可以被发送给WLAN 120内的客户端设备(例如,客户端设备130)。在连接到无线设备之前,客户端设备130可以参考CRL 133以确保无线设备是被授权操作的。
图6示出了根据示例性实施例的说明性流程图600,其描绘了用于对WLAN 120内的一个或多个设备进行解除授权的示例性操作。在图6的示例中,注册机构141包括在智能电话140内,并且认证机构111包括在AP 110内。在其他实施例中,注册机构141和认证机构111可以包括在其他无线设备中。还参考图5,在注册机构141确定要被解除授权的客户端设备(602)时,操作开始。例如,注册机构141可以接收用于从WLAN 120移除一个或多个客户端设备的接入的用户输入。在另一个示例中,注册机构141可以检查与客户端设备相关联的连接属性,以及确定一个或多个客户端设备不再被授权连接到WLAN 120。例如,连接属性可以指示用于相关联的客户端设备的被允许的接入时间已经过去了。
接下来,注册机构141向认证机构111发送要被解除授权的客户端设备的证书标识符132(604)。在一些实施例中,客户端设备的证书标识符132可以存储在注册机构141内(参见图2和图4的操作218)。因此,可以向认证机构111发送与客户端设备相对应的证书标识符132(如在602处所确定的)。接下来,认证机构111将要被解除授权的客户端设备的证书标识符132添加到CRL 133(606)。如果CRL 133不存在,则认证机构111可以创建CRL 133。认证机构111可以通过利用私有CA密钥对CRL 133进行签名来证实CRL 133。
接下来,向客户端设备130发送CRL 133(608)。为了简单起见,图6示出了单个客户端设备130。在其他实施例中,可以将CRL 133发送给任意数量的客户端设备。接下来,客户端设备130接收CRL 133(610)。在一些实施例中,客户端设备130可以利用公开CA密钥来验证CRL 133。客户端设备130还可以存储CRL 133。CRL 133可以控制客户端设备到AP 110或到彼此的连接。下面结合图7来描述示例性操作。
图7示出了根据示例性实施例的说明性流程图700,其描绘了用于在两个客户端设备之间建立通信的操作。虽然图7仅示出了第一客户端设备701和第二客户端设备702,但在其他实施例中,可以在任意技术上可行数量的客户端设备之间建立通信。客户端设备701和702可以是图5的客户端设备130的一个实施例。在第一客户端设备701发起连接请求并且向第二客户端设备702发送第一证书标识符(704)时,操作开始。第一证书标识符可以利用私有CA密钥来进行签名(参见图2和4中的操作214)。
接下来,第二客户端设备702接收第一证书标识符(706),并且第二客户端设备702验证第一证书标识符(708)。在一些实施例中,第二客户端设备702可以使用公开CA密钥(存储在其中)来确保第一证书标识符是有效的。如果第一证书标识符无效,则操作结束。另一方面,如果第一证书标识符是有效的,则第二客户端设备702确定第一证书标识符是否在CRL 133上列出(710)。
如果第一证书标识符在CRL 133上列出,则第二客户端设备702可拒绝连接请求,并且操作结束。另一方面,如果第一证书标识符未在CRL 133上列出,则第二客户端设备702可以建立与第一客户端设备701的通信链路(712a和712b)。例如,第一客户端设备701可以通过Wi-Fi直连或对等协议与第二客户端设备702通信。在其他实施例中,第一客户端设备701和第二客户端设备702可以使用任何其他技术上可行的通信协议。
尽管以上关于第一客户端设备701发起连接请求进行了描述,但是在其他实施例中,第二客户端设备702可以发起连接请求。例如,第二客户端设备702可以发起连接请求,并向第一客户端设备701发送第二证书标识符。在其他实施例中,第一客户端设备701和第二客户端设备702可以并行地发起连接请求。
图8是其中可以实现示例性实施例的无线系统800的框图。无线系统800可以包括第一客户端设备810、第二客户端设备820、AP 110和WLAN 120。第一客户端设备810可以是第一客户端设备701的另一个实施例,并且第二客户端设备820可以是第二客户端设备702的另一个实施例。第一客户端设备810可以包括第一证书标识符811,并且第二客户端设备802可以包括第二证书标识符821。第一证书标识符811和第二证书标识符821可以各自作为证书标识符132的实施例。AP 110可以包括在线证书状态协议(OCSP)响应器830。在一些实施例中,OCSP响应器830可以检验并返回与证书标识符(例如,第一证书标识符811或第二证书标识符821)相关联的状态。例如,OCSP响应器830可以确定证书标识符是否有效(例如,未在CRL 133上列出)以及客户端设备是否可以连接到对应于证书标识符的设备。下面结合图9描述经由OCSP响应器830来确认证书标识符的示例性操作。
图9示出了根据示例性实施例的说明性流程图900,其描绘了用于在两个客户端设备之间建立通信的另一操作。虽然图9仅示出了第一客户端设备810和第二客户端设备820,但在其他实施例中,可以在任何技术上可行数量的客户端设备之间建立通信。在第一客户端设备810发起连接请求并且向第二客户端设备820发送第一证书标识符811(902)时,操作开始。接下来,在接收到第一证书标识符811(904)之后,第二客户端设备820向OCSP响应器830发送第一证书标识符811(906)。在一些实施例中,AP 110可以包括OCSP响应器830。在其他实施例中,OCSP响应器830可以包括在其他无线设备内。
OCSP响应器830可以接入CRL 133的当前版本或其副本。例如,AP 110还可以包括认证机构111和/或注册机构141(为了简单起见未示出),并因此可以接入CRL 133。因此,OCSP响应器830可以接收第一证书标识符811并至少部分地基于CRL 133来确定状态(908)。例如,OCSP响应器830可以确定第一证书标识符811是否被列在CRL 133上。接下来,OCSP响应器830可以向第二客户端设备802返回第一证书标识符811的状态(910)。所述状态可以指示第一证书标识符811是有效的还是无效的。
接下来,由第二客户端设备820确定第一证书标识符811的状态(912)。如果第一证书标识符811的状态是无效的,则操作结束。另一方面,如果第一证书标识符811的状态是有效的,则第二客户端设备820可以建立与第一客户端设备810的通信链路(914a和914b)。例如,第一客户端设备810可以通过Wi-Fi直连或对等协议与第二客户端设备820通信。在其他实施例中,第一客户端设备810和第二客户端设备820可以使用任何其他技术上可行的通信协议。
尽管关于第一客户端设备810发起连接请求进行了描述,但是在其他实施例中,第二客户端设备820可以发起连接请求。例如,第二客户端设备820可以发起连接请求,并向第一客户端设备810发送第二证书标识符821。在其他实施例中,第一客户端设备810和第二客户端设备820可以并行地发起连接请求。
图10示出了示例性无线设备1000,其可以是图1中的AP 110、客户端设备130和/或智能电话140的实施例。无线设备1000可以包括收发机1010、OCSP响应器1020、注册机构1022、认证机构1024、处理器1030、存储器1040、网络接口1050和数个天线1060(1)-1060(n)。OCSP响应器1020可以是图8中的OCSP响应器830的实施例。注册机构1022可以是图1中的注册机构141的实施例。认证机构1024可以是图1中的认证机构111的实施例。收发机1010可以直接地或通过天线选择电路(为了简单起见未示出)耦合到天线1060(1)-1060(n)。收发机1010可以与一个或多个客户端设备、与一个或多个AP和/或与其他适当的设备无线地通信。尽管为了简单起见在图10中未示出,但收发机1010可以包括任意数量的发射链,以经由天线1060(1)-1060(n)来处理和发送给其他无线设备的信号,并且可以包括任意数量的接收链以处理从天线1060(1)-1060(n)接收的信号。因此,对于示例性实施例,无线设备1000可以被配置用于MIMO操作,所述MIMO操作包括例如SU-MIMO操作和MU-MIMO操作。
收发机1010可以包括基带处理器1012。基带处理器1012可以处理从处理器1030和/或存储器1040接收的信号,以及可以经由天线1060(1)-1060(n)中的一个多个天线发送经处理的信号。另外,基带处理器1012可以处理从天线1060(1)-1060(n)中的一个或多个天线接收到的信号,以及可以将经处理的信号转发到处理器1030和/或存储器1040。
网络接口1050可以接入其他的网络和/或服务。在一些实施例中,网络接口1050可以包括有线接口。网络接口1050还可以直接地或者经由一个或多个中间网络与WLAN服务器(为了简单起见未示出)通信。
耦合到收发机1010、OCSP响应器1020、注册机构1022、认证机构1024、网络接口1050和存储器1040的处理器1030可以是能够执行存储在无线设备1000中(例如,在存储器1040内)的一个或多个软件程序的脚本或指令的任意适当的一个或多个处理器。对于实际的实施例,可以使用一个或多个总线(为了简单起见未示出)将收发机1010、处理器1030、存储器1040和/或网络接口1050连接在一起。
存储器1040可以包括用于存储证书(例如,证书131)和/或证书标识符(例如证书标识符132)的证书存储器1042。在一些实施例中,证书和/或证书标识符可以由认证机构1024和/或认证机构软件模块1048(在下面描述)生成。
存储器1040可以包括存储公开密钥、私有密钥和/或共享密钥的密钥存储器1043。在一些实施例中,无线设备1000可以生成公开密钥、私有密钥和/或共享密钥。在其它实施例中,可以通过收发机1010来接收公开密钥、私有密钥和/或共享密钥。例如,收发机1010可以接收可以存储在密钥存储器1043中的CA密钥112。在一些实施例中,可以向密钥存储器1043提供增加的保护以保护诸如私有CA密钥等敏感密钥。
存储器1040可以包括CRL存储器1044。CRL存储器可以存储CRL 133(为了简单起见未示出)。CRL 133可以由私有CA密钥进行证实。在一些实施例中,可以利用存储在密钥存储器1043中的公开CA密钥来验证CRL 133。
存储器1040还可以包括可以存储至少以下软件(SW)模块的非暂时性计算机可读介质(例如,一个或多个非易失性存储器元件,其例如EPROM、EEPROM、闪存、硬盘驱动器等):
·收发机控制器软件模块1045,其通过收发机1010发送和接收无线数据;
·OCSP软件模块1046,其执行与OCSP响应器1020相关联的操作;
·注册机构软件模块1047,其执行与注册机构1022相关联的操作;
·认证机构软件模块1048,其执行与认证机构1024相关联的操作;以及
·CRL软件模块1049,其执行与CRL 133的生成和维护相关联的操作。每个软件模块包括在由处理器1030执行时使无线设备1000执行相应功能的指令。因此,存储器1040的非暂时性计算机可读介质包括用于执行图2、4、6、7和9中描绘的全部或部分操作的指令。
如上所提及的,处理器1030可以是能够执行存储在无线设备1000中(例如,存储器1040内)的一个或多个软件程序的脚本或指令的任意适当的一个或多个处理器。例如,处理器1030可以执行收发机控制器软件模块1045以有助于无线设备1000和其他无线设备(为了简单起见未示出)之间的数据发送和/或接收。
处理器1030可以执行OCSP软件模块1046以确定证书标识符的状态。例如,OCSP软件模块1046可以通过检查存储在CRL存储器1044中的CRL 133来确定证书标识符132的状态。
处理器1030可以执行注册机构软件模块1047来确定无线设备1000的公开密钥和连接属性。例如,注册机构软件模块1047可以以带外方式来确定客户端设备130的公开根标识密钥,以及向认证机构1024提供该公开根标识密钥。注册机构软件模块1047还可以确定无线设备1000的连接属性并将其提供给认证机构1024。
处理器1030可以执行认证机构软件模块1048以接收无线设备1000的密钥和连接属性,以及生成与无线设备1000相关联的证书131和证书标识符132。证书131和证书标识符132可以存储在证书存储器1042中。在一些实施例中,认证机构软件模块1048可以经由私有CA密钥来证实证书131和/或证书标识符132。
处理器1030可以执行CRL软件模块1049以生成和/或证实CRL 133。例如,处理器1030可以执行CRL软件模块1049以至少部分地基于存储在证书存储器1042内的证书标识符来生成CRL 133。CRL 133可以存储在CRL存储器1044中。
本领域技术人员应当领会,信息和信号可以使用任意多种不同的方法和技术来表示。例如,在贯穿上面的描述中可能提及的数据、指令、命令、信息、信号、比特、符号和码片可以用电压、电流、电磁波、磁场或粒子、光场或粒子或者其任意组合来表示。
此外,本领域技术人员应当领会,结合本文中公开的各方面来描述的各种说明性逻辑框、模块、电路和算法步骤均可以实现成电子硬件、计算机软件或二者的组合。为了清楚地说明硬件和软件的这种可交换性,上面对各种说明性组件、框、模块、电路和步骤均围绕其功能进行了总体描述。至于这种功能是实现成硬件还是实现成软件,取决于具体应用和对整个系统所施加的设计约束。技术人员可以针对每个具体应用,以变通的方式实现所描述的功能,但是,这种实现决策不应解释为导致背离本公开内容的保护范围。
结合本文公开的各方面描述的方法、序列或算法可以直接体现为硬件、由处理器执行的软件模块或两者的组合。软件模块可以驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域已知的任何其他形式的存储介质中。示例性存储介质耦合到处理器,使得处理器可以从存储介质读取信息以及向存储介质写入信息。可替代地,存储介质可以集成到处理器中。
在前述说明书中,已经参考其具体示例性实施例描述了示例性实施例。然而,显而易见的是,可以在不脱离如所附权利要求书中所阐述的本公开内容的更宽范围的情况下对其作出各种修改和改变。因此,说明书和附图被认为是说明性意义的而不是限制性意义的。
Claims (30)
1.一种对用于无线网络中的客户端设备进行配置的方法,所述方法包括:
在认证机构处至少部分地基于所述客户端设备的公开根标识密钥来认证所述客户端设备;
在所述认证机构处接收所述客户端设备的公开临时标识密钥和连接属性;
利用私有认证机构密钥来证实所述公开临时标识密钥和所述连接属性;以及
向所述客户端设备发送经证实的公开临时标识密钥和经证实的连接属性。
2.根据权利要求1所述的方法,其中,所述认证是响应于接收到所述公开根标识密钥的。
3.根据权利要求1所述的方法,其中,所述连接属性是从与所述客户端设备不同的注册机构接收的。
4.根据权利要求1所述的方法,其中,所述连接属性包括以下各项中的至少一项:设备名称、或数据吞吐量限制、或连接简档、或其组合。
5.根据权利要求1所述的方法,还包括:
至少部分地基于所述连接属性和所述公开临时标识密钥来生成证书;以及
向所述客户端设备发送所述证书。
6.根据权利要求5所述的方法,其中,所述证书是利用私有认证机构密钥来进行签名的。
7.根据权利要求5所述的方法,还包括:
向与所述客户端设备不同的注册机构发送所述证书。
8.根据权利要求1所述的方法,还包括:
至少部分地基于所述公开临时标识密钥来建立与所述客户端设备的通信链路。
9.一种无线设备,包括:
收发机;
处理器;以及
存储指令的存储器,所述指令当由所述处理器执行时使所述无线设备进行以下操作:
在认证机构处至少部分地基于客户端设备的公开根标识密钥来认证所述客户端设备;
在所述认证机构处接收所述客户端设备的公开临时标识密钥和连接属性;
利用私有认证机构密钥来证实所述公开临时标识密钥和所述连接属性;以及
向所述客户端设备发送经证实的公开临时标识密钥和经证实的连接属性。
10.根据权利要求9所述的无线设备,其中,所述连接属性是从与所述客户端设备不同的注册机构接收的。
11.根据权利要求9所述的无线设备,其中,所述连接属性包括以下各项中的至少一项:设备名称、或数据吞吐量限制、或连接简档、或其组合。
12.根据权利要求9所述的无线设备,其中,对所述指令的执行使得所述无线设备还进行以下操作:
至少部分地基于所述连接属性和所述公开临时标识密钥来生成证书;以及
向所述客户端设备发送所述证书。
13.根据权利要求12所述的无线设备,其中,所述证书是利用私有认证机构密钥来进行签名的。
14.根据权利要求12所述的无线设备,其中,对所述指令的执行使得所述无线设备还进行以下操作:
向与所述客户端设备不同的注册机构发送所述证书。
15.根据权利要求9所述的无线设备,其中,对所述指令的执行使得所述无线设备还进行以下操作:
至少部分地基于所述公开临时标识密钥来建立与所述客户端设备的通信链路。
16.一种无线设备,包括:
用于至少部分地基于所述客户端设备的公开根标识密钥来认证所述客户端设备的单元;
用于接收所述客户端设备的公开临时标识密钥和连接属性的单元;
用于利用私有认证机构密钥来证实所述公开临时标识密钥和所述连接属性的单元;以及
用于向所述客户端设备发送经证实的公开临时标识密钥和经证实的连接属性的单元。
17.根据权利要求16所述的无线设备,其中,所述连接属性是从与所述客户端设备不同的注册机构接收的。
18.根据权利要求16所述的无线设备,其中,所述连接属性包括以下各项中的至少一项:设备名称、或数据吞吐量限制、或连接简档、或其组合。
19.根据权利要求16所述的无线设备,还包括:
用于至少部分地基于所述连接属性和所述公开临时标识密钥来生成证书的单元;以及
用于向所述客户端设备发送所述证书的单元。
20.根据权利要求19所述的无线设备,其中,所述证书是利用私有认证机构密钥来进行签名的。
21.根据权利要求19所述的无线设备,还包括:
用于向与所述客户端设备不同的注册机构发送所述证书的单元。
22.根据权利要求16所述的无线设备,还包括:
用于至少部分地基于所述公开临时标识密钥来建立与所述客户端设备的通信链路的单元。
23.一种存储指令的非暂时性计算机可读介质,所述指令当由无线设备的处理器执行时,使得所述无线设备进行以下操作:
在认证机构处至少部分地基于客户端设备的公开根标识密钥来认证所述客户端设备;
在所述认证机构处接收所述客户端设备的公开临时标识密钥和连接属性;
利用私有认证机构密钥来认证所述公开临时标识密钥和所述连接属性;以及
向所述客户端设备发送经证实的公开临时标识密钥和经证实的连接属性。
24.根据权利要求23所述的非暂时性计算机可读介质,其中,所述连接属性是从与所述客户端设备不同的注册机构接收的。
25.根据权利要求23所述的非暂时性计算机可读介质,其中,所述连接属性包括以下各项中的至少一项:设备名称、或数据吞吐量限制、或连接简档、或其组合。
26.根据权利要求23所述的非暂时性计算机可读介质,其中,对所述指令的执行使得所述无线设备还进行以下操作:
至少部分地基于所述连接属性和所述公开临时标识密钥来生成证书;以及
向所述客户端设备发送所述证书。
27.一种建立到第一无线设备的通信链路的方法,所述方法包括:
向证书状态响应器发送与第二无线设备相关联的证书标识符;
从所述证书状态响应器接收与所述证书标识符相对应的证书的状态;以及
至少部分地基于所述证书的所述状态来建立所述通信链路。
28.根据权利要求27所述的方法,其中,所述状态是至少部分地基于证书撤销列表的。
29.根据权利要求27所述的方法,其中,所述证书状态响应器不同于所述第一无线设备和所述第二无线设备。
30.根据权利要求27所述的方法,其中,所述通信链路是Wi-Fi直连或对等链路。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562180020P | 2015-06-15 | 2015-06-15 | |
| US62/180,020 | 2015-06-15 | ||
| US15/060,281 | 2016-03-03 | ||
| US15/060,281 US20160366124A1 (en) | 2015-06-15 | 2016-03-03 | Configuration and authentication of wireless devices |
| PCT/US2016/032922 WO2016204911A1 (en) | 2015-06-15 | 2016-05-17 | Configuration and authentication of wireless devices |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107735980A true CN107735980A (zh) | 2018-02-23 |
Family
ID=57517525
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680034531.XA Pending CN107735980A (zh) | 2015-06-15 | 2016-05-17 | 无线设备的配置和认证 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US20160366124A1 (zh) |
| EP (1) | EP3308517A1 (zh) |
| JP (1) | JP2018526846A (zh) |
| KR (1) | KR20180019099A (zh) |
| CN (1) | CN107735980A (zh) |
| CA (1) | CA2983885A1 (zh) |
| TW (1) | TW201703555A (zh) |
| WO (1) | WO2016204911A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109511118A (zh) * | 2019-01-03 | 2019-03-22 | 中国联合网络通信集团有限公司 | 无线局域网访问异常处理方法、移动终端和usim卡 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180270049A1 (en) * | 2017-03-17 | 2018-09-20 | Qualcomm Incorporated | Techniques for preventing abuse of bootstrapping information in an authentication protocol |
| US11190507B2 (en) * | 2018-09-27 | 2021-11-30 | Apple Inc. | Trusted device establishment |
| JP6609788B1 (ja) * | 2018-10-01 | 2019-11-27 | 二村 憲人 | 情報通信機器、情報通信機器用認証プログラム及び認証方法 |
| US11658970B2 (en) * | 2020-09-14 | 2023-05-23 | Dell Products L.P. | Computing device infrastructure trust domain system |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070263577A1 (en) * | 2004-08-20 | 2007-11-15 | Paolo Gallo | Method for Enrolling a User Terminal in a Wireless Local Area Network |
| WO2010023506A1 (en) * | 2008-08-26 | 2010-03-04 | Nokia Corporation | Methods, apparatuses, computer program products, and systems for providing secure pairing and association for wireless devices |
| WO2015042471A1 (en) * | 2013-09-23 | 2015-03-26 | Qualcomm Incorporated | Method for configuring a remote station with a certificate from a local root certificate authority for securing a wireless network |
Family Cites Families (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2745136B1 (fr) * | 1996-02-15 | 1998-04-10 | Thoniel Pascal | Procede et dispositif d'identification securisee entre deux terminaux |
| US6754829B1 (en) * | 1999-12-14 | 2004-06-22 | Intel Corporation | Certificate-based authentication system for heterogeneous environments |
| US20030088771A1 (en) * | 2001-04-18 | 2003-05-08 | Merchen M. Russel | Method and system for authorizing and certifying electronic data transfers |
| US7386726B2 (en) * | 2001-11-02 | 2008-06-10 | Telefonaktiebolaget L M Ericsson (Publ) | Personal certification authority device |
| US8423763B2 (en) * | 2002-03-20 | 2013-04-16 | Research In Motion Limited | System and method for supporting multiple certificate status providers on a mobile communication device |
| AU2003218550A1 (en) * | 2002-03-20 | 2003-09-29 | Research In Motion Limited | System and method for checking digital certificate status |
| US6886096B2 (en) * | 2002-11-14 | 2005-04-26 | Voltage Security, Inc. | Identity-based encryption system |
| US7613812B2 (en) * | 2002-12-04 | 2009-11-03 | Microsoft Corporation | Peer-to-peer identity management interfaces and methods |
| US7111322B2 (en) * | 2002-12-05 | 2006-09-19 | Canon Kabushiki Kaisha | Automatic generation of a new encryption key |
| US7386721B1 (en) * | 2003-03-12 | 2008-06-10 | Cisco Technology, Inc. | Method and apparatus for integrated provisioning of a network device with configuration information and identity certification |
| JP4891521B2 (ja) * | 2003-03-28 | 2012-03-07 | 三洋電機株式会社 | データ入出力方法、およびその方法を利用可能な記憶装置およびホスト装置 |
| US7020474B2 (en) * | 2003-06-25 | 2006-03-28 | Cross Match Technologies, Inc. | System and method for securing short-distance wireless communications, and applications thereof |
| US20050076198A1 (en) * | 2003-10-02 | 2005-04-07 | Apacheta Corporation | Authentication system |
| ATE540372T1 (de) * | 2003-11-07 | 2012-01-15 | Telecom Italia Spa | Methode und system zum authentifizieren eines benutzers eines datenverarbeitungssystems |
| KR20050064119A (ko) * | 2003-12-23 | 2005-06-29 | 한국전자통신연구원 | 인터넷접속을 위한 확장인증프로토콜 인증시 단말에서의서버인증서 유효성 검증 방법 |
| CN1934822A (zh) * | 2004-03-17 | 2007-03-21 | 皇家飞利浦电子股份有限公司 | 产生授权状态列表的方法和装置 |
| US8576730B2 (en) * | 2004-03-31 | 2013-11-05 | Time Warner, Inc. | Method and system for determining locality using network signatures |
| US20050246766A1 (en) * | 2004-04-30 | 2005-11-03 | Kirkup Michael G | System and method for handling certificate revocation lists |
| US7725928B2 (en) * | 2005-12-02 | 2010-05-25 | Palo Alto Research Center Incorporated | System and method for establishing temporary and permanent credentials for secure online commerce |
| US8281386B2 (en) * | 2005-12-21 | 2012-10-02 | Panasonic Corporation | Systems and methods for automatic secret generation and distribution for secure systems |
| US7646874B2 (en) * | 2005-12-22 | 2010-01-12 | Canon Kabushiki Kaisha | Establishing mutual authentication and secure channels in devices without previous credentials |
| CN101682505B (zh) * | 2007-05-07 | 2013-10-23 | Lg电子株式会社 | 用于安全通信的方法和系统 |
| US8204230B2 (en) * | 2007-05-08 | 2012-06-19 | Infineon Technologies Ag | Communication device, method for establishing a communication connection and method for using a communication connection |
| US8799648B1 (en) * | 2007-08-15 | 2014-08-05 | Meru Networks | Wireless network controller certification authority |
| EP2034661A1 (en) * | 2007-09-07 | 2009-03-11 | Deutsche Telekom AG | Method and system for distributed, localized authentication in the framework of 802.11 |
| KR20090030878A (ko) * | 2007-09-21 | 2009-03-25 | 엘지전자 주식회사 | 인증 상태 정보 처리 방법 및 방송 수신 장치 |
| US8307203B2 (en) * | 2008-07-14 | 2012-11-06 | Riverbed Technology, Inc. | Methods and systems for secure communications using a local certification authority |
| US8176328B2 (en) * | 2008-09-17 | 2012-05-08 | Alcatel Lucent | Authentication of access points in wireless local area networks |
| EP2427996B1 (en) * | 2009-05-05 | 2016-07-06 | Certicom Corp. | Self-signed implicit certificates |
| WO2010144898A1 (en) * | 2009-06-12 | 2010-12-16 | General Instrument Corporation | Certificate status information protocol (csip) proxy and responder |
| DE102009036179A1 (de) * | 2009-08-05 | 2011-02-10 | Siemens Aktiengesellschaft | Verfahren zur Ausstellung eines digitalen Zertifikats durch eine Zertifizierungsstelle, Anordnung zur Durchführung des Verfahrens und Rechnersystem einer Zertifizierungsstelle |
| US9912654B2 (en) * | 2009-11-12 | 2018-03-06 | Microsoft Technology Licensing, Llc | IP security certificate exchange based on certificate attributes |
| JP5428835B2 (ja) * | 2009-12-21 | 2014-02-26 | 富士通株式会社 | 署名装置、署名方法、および署名プログラム |
| US8601569B2 (en) * | 2010-04-09 | 2013-12-03 | International Business Machines Corporation | Secure access to a private network through a public wireless network |
| DE102010028133A1 (de) * | 2010-04-22 | 2011-10-27 | Bundesdruckerei Gmbh | Verfahren zum Lesen eines Attributs aus einem ID-Token |
| DE102010041745A1 (de) * | 2010-09-30 | 2012-04-19 | Bundesdruckerei Gmbh | Verfahren zum Lesen eines RFID-Tokens, RFID-Karte und elektronisches Gerät |
| US9264235B2 (en) * | 2010-11-16 | 2016-02-16 | Blackberry Limited | Apparatus, system and method for verifying server certificates |
| UA112438C2 (uk) * | 2011-05-27 | 2016-09-12 | Нокіа Текнолоджіс Ой | Спосіб і пристрій для спільного використання налаштувань взаємодії через соціальні мережі |
| US8806196B2 (en) * | 2011-11-04 | 2014-08-12 | Motorola Solutions, Inc. | Method and apparatus for authenticating a digital certificate status and authorization credentials |
| US9756036B2 (en) * | 2012-06-15 | 2017-09-05 | Nokia Technologies Oy | Mechanisms for certificate revocation status verification on constrained devices |
| EP3082057B1 (en) * | 2013-12-09 | 2020-11-18 | Panasonic Intellectual Property Corporation of America | Authentication method and authentication system |
| EP3099004B1 (en) * | 2014-01-22 | 2019-03-13 | Panasonic Intellectual Property Corporation of America | Authentication method |
| DE102014102168A1 (de) * | 2014-02-20 | 2015-09-03 | Phoenix Contact Gmbh & Co. Kg | Verfahren und System zum Erstellen und zur Gültigkeitsprüfung von Gerätezertifikaten |
| US9455838B2 (en) * | 2014-12-10 | 2016-09-27 | Red Hat, Inc. | Creating a digital certificate for a service using a local certificate authority having temporary signing authority |
| US20160182494A1 (en) * | 2014-12-18 | 2016-06-23 | Bittorrent, Inc. | Distributed device management and directory resolution |
-
2016
- 2016-03-03 US US15/060,281 patent/US20160366124A1/en not_active Abandoned
- 2016-05-17 KR KR1020177035832A patent/KR20180019099A/ko unknown
- 2016-05-17 EP EP16725718.7A patent/EP3308517A1/en not_active Withdrawn
- 2016-05-17 WO PCT/US2016/032922 patent/WO2016204911A1/en active Application Filing
- 2016-05-17 CN CN201680034531.XA patent/CN107735980A/zh active Pending
- 2016-05-17 JP JP2017564708A patent/JP2018526846A/ja active Pending
- 2016-05-17 CA CA2983885A patent/CA2983885A1/en not_active Abandoned
- 2016-05-18 TW TW105115371A patent/TW201703555A/zh unknown
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070263577A1 (en) * | 2004-08-20 | 2007-11-15 | Paolo Gallo | Method for Enrolling a User Terminal in a Wireless Local Area Network |
| WO2010023506A1 (en) * | 2008-08-26 | 2010-03-04 | Nokia Corporation | Methods, apparatuses, computer program products, and systems for providing secure pairing and association for wireless devices |
| WO2015042471A1 (en) * | 2013-09-23 | 2015-03-26 | Qualcomm Incorporated | Method for configuring a remote station with a certificate from a local root certificate authority for securing a wireless network |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109511118A (zh) * | 2019-01-03 | 2019-03-22 | 中国联合网络通信集团有限公司 | 无线局域网访问异常处理方法、移动终端和usim卡 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018526846A (ja) | 2018-09-13 |
| US20160366124A1 (en) | 2016-12-15 |
| TW201703555A (zh) | 2017-01-16 |
| WO2016204911A1 (en) | 2016-12-22 |
| EP3308517A1 (en) | 2018-04-18 |
| KR20180019099A (ko) | 2018-02-23 |
| CA2983885A1 (en) | 2016-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107667554A (zh) | 分散式配置器实体 | |
| US10009763B2 (en) | Flexible configuration and authentication of wireless devices | |
| CN113411308B (zh) | 一种通信方法、装置和存储介质 | |
| JP6752218B2 (ja) | 無線通信システムで端末のプロファイルを管理する方法及び装置 | |
| EP1972125B1 (en) | Apparatus and method for protection of management frames | |
| CN107735980A (zh) | 无线设备的配置和认证 | |
| CN109644134A (zh) | 用于大型物联网组认证的系统和方法 | |
| CN102271128A (zh) | 多频带/多链路安全密钥生成和传递协议 | |
| WO2017189590A1 (en) | System and method for physical layer authentication and key agreement | |
| CN110115067A (zh) | 用于wlan管理的快速传播的操作信息 | |
| CN102056162A (zh) | 接入认证的实现方法和设备及认证系统 | |
| CN114449521B (zh) | 通信方法及通信装置 | |
| US20160286390A1 (en) | Flexible and secure network management | |
| Yan et al. | Study of wapi technology and security | |
| Ma et al. | Security Access in Wireless Local Area Networks | |
| CN104053153A (zh) | 无线Mesh网络接入认证的方法和系统 | |
| EP3432538A1 (en) | A communication device for providing a data packet to be authenticated by a further communication device | |
| CN107005528A (zh) | 用于无线频谱使用的无线设备硬件安全系统 | |
| CN117280722A (zh) | 当euicc终端变化时识别简档删除的方法和装置 | |
| KR20180056809A (ko) | 무선 디바이스들의 플렉서블한 구성 및 인증 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180223 |