CN110024443B - 用于与网关配对的方法 - Google Patents

用于与网关配对的方法 Download PDF

Info

Publication number
CN110024443B
CN110024443B CN201780073806.5A CN201780073806A CN110024443B CN 110024443 B CN110024443 B CN 110024443B CN 201780073806 A CN201780073806 A CN 201780073806A CN 110024443 B CN110024443 B CN 110024443B
Authority
CN
China
Prior art keywords
wireless local
local network
secure wireless
communication device
gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201780073806.5A
Other languages
English (en)
Other versions
CN110024443A (zh
Inventor
尼古拉斯·科博尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sagemcom Broadband SAS
Original Assignee
Sagemcom Broadband SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sagemcom Broadband SAS filed Critical Sagemcom Broadband SAS
Publication of CN110024443A publication Critical patent/CN110024443A/zh
Application granted granted Critical
Publication of CN110024443B publication Critical patent/CN110024443B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/15Setup of multiple wireless link connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/30Connection release
    • H04W76/34Selective release of ongoing connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Abstract

网关管理第一安全无线本地网和第二安全无线本地网。网关将第二安全无线本地网和广域网互连,使得与第二安全无线本地网配对的每个设备能够接入由广域网提供的服务。网关使用第一认证数据检测与第一安全无线本地网的第一配对尝试。网关向供应服务器检查第一配对是由关联于与网关相同的用户的设备执行的,并且检查第一认证数据对应于预期认证数据。在检查结果为肯定的情况下,网关经由第一安全无线本地网发送第二认证数据以及第二安全无线本地网的网络标识符,以便与第二安全无线本地网配对。

Description

用于与网关配对的方法
技术领域
本发明涉及将通信设备与网关配对,以利用网关接入经由广域网提供的服务。
背景技术
无线本地网(WLAN)的建立为例如计算机、平板电脑、智能手机、机顶盒(STB)等通信设备的用户提供了极大的灵活性。例如,这种WLAN是由互联网接入提供商向已向其订购的用户提供的住宅网关建立的。
为了不仅仅使任何通信设备能够连接到WLAN并且能够经由WLAN接入数据交换,实施安全协议。然而,确保WLAN的安全性不得损害配置的简单性。
例如,在Wi-Fi(注册商标)网络的情况下,可以使用WPS(Wi-Fi保护设置)协议。WPS协议的目的是确保Wi-Fi网络安全的配置阶段很简单,因此用户无需任何关于通信网络配置的特定知识即可接入。WPS协议提出了使通信设备能够与无线接入点(WAP)配对的至少三种方式,即,从所述无线接入点WAP恢复使得能够以安全方式在Wi-Fi(注册商标)中通信的加密密钥:PIN(个人识别码)配对过程、PBC(按钮配置)配对过程和NFC(近场通信)配对过程。
PIN配对过程基于试图连接到Wi-Fi(注册商标)网络的通信设备提供的PIN码;然后,用户通过无线接入点WAP的用户界面输入该代码。相反,也可以通过试图连接到Wi-Fi(注册商标)网络的通信设备的用户界面来输入由无线接入点WAP提供的PIN码。然而,在2011年,研究员Stefan Viehböck证明了PIN配对过程中的严重安全漏洞,这现在使得PIN配对过程不受推荐。
PBC配对过程是基于这样的事实,即用户在无线接入点WAP和待连接到安全Wi-Fi(注册商标)网络的通信设备上按下按钮,无论按钮是物理的还是虚拟的。因此,PBC配对过程使得,无线接入点WAP因此在预定持续时间的一段时间内向任何发出此请求的通信设备提供常规配对授权。这种方法虽然易于执行,但需要在待连接到安全Wi-Fi(注册商标)网络的通信设备和无线接入点WAP上都进行操作。此外,这种方法还存在严重的安全漏洞。
NFC配对过程是基于这样的事实,即用户将要连接到Wi-Fi(注册商标)网络的通信设备带到接入点WAP附近,以便建立近场通信。因此,NFC配对过程使得无线接入点WAP也向通过近场通信NFC发出此请求的任何通信设备提供常规配对授权。这种方法对于例如手持的小型通信设备尤其实用。然而,这种方法对于用户希望安装在离无线接入点WAP一定距离处的市电供电设备(例如为了安装由互联网接入提供商提供的机顶盒STB,该互联网接入提供商还向相关用户提供充当无线接入点WAP的住宅网关RGW)是有限制的。
希望克服现有技术的这些缺点。因此,希望提供从用户的角度来看更加简单并且安全的解决方案。特别希望提供一种解决方案,该解决方案无需要求用户必须在充当无线接入点WAP的住宅网关RGW和待连接到无线网络WLAN的通信设备上都执行操作。
发明内容
本发明涉及由网关实施的配对方法,该网关用作到至少一个第一安全无线本地网和到第二安全无线本地网的无线接入点,该网关将第二安全无线本地网和广域网互连,使得与第二安全无线本地网配对的每个通信设备能够接入经由广域网提供的服务,其中供应服务器连接到该广域网。该方法使得其包括以下步骤:检测通信设备与一个所述第一安全无线本地网的第一配对尝试,其中通信设备被识别出并提供第一认证数据;通过供应服务器检查所述通信设备关联于与网关相同的用户,并且检查第一认证数据对应于网关相对于所述第一安全无线本地网预期的认证数据;在检查结果为肯定的情况下,确认与所述第一安全无线本地网的第一配对,并且经由所述第一安全无线本地网向所述通信设备发送第二认证数据以及第二安全无线本地网的网络标识符;检测通信设备与第二安全无线本地网的第二配对尝试,其中通信设备提供其他认证数据;检查所述其他认证数据对应于所述第二认证数据;以及,在检查结果为肯定的情况下,确认与第二安全无线本地网的第二配对,以使所述通信设备能够接入由广域网提供的所述服务。因此,通过依赖于该第一安全无线本地网,可以在用户没有进行任何操作的情况下执行配对。所提出的方法允许当生产能够随后与第二安全无线本地网配对的设备时,不必在工厂中传送所述第二安全无线本地网的认证数据(这将使得有必要根据请求来生产和配置这些设备,以便为每个用户定制)。因此,当所述通信设备由提供网关的互联网接入提供商提供给用户时,用于接入经由广域网提供的服务(例如,IPTV)的通信设备(例如,机顶盒设备)的配对是简单的。
根据具体实施方式,为了检查所述通信设备关联于与网关相同的用户,并且检查第一认证数据对应于预期的认证数据,网关从供应服务器接收描述,该描述对于可能配对的通信设备组中的每个通信设备包括:通信设备标识符、网络标识符和相对于第一安全无线本地网预期的认证数据。此外,网关通过向所述第一安全无线本地网分配相应通信设备的描述的网络标识符,为倾向于配对的所述通信设备组中的每个通信设备创建一个所述第一安全无线本地网。因此,第一安全无线本地网专用于被识别为倾向于配对的每个通信设备(由提供网关的互联网接入提供商提供给用户)。配对安全性因此得到加强。
根据具体实施方式,当所述倾向于配对的通信设备组中的通信设备与第二安全无线本地网的第二配对被确认时,网关停止为所述通信设备创建的第一安全无线本地网。配对安全性因此得到进一步加强,并且节省了资源。
根据具体实施方式,为了检查所述通信设备关联于与网关相同的用户,并且检查第一认证数据对应于预期认证数据,网关从供应服务器接收描述,对于倾向于配对的通信设备组中的每个通信设备,该描述包括通信设备标识符。此外,网关通过向所述第一安全无线本地网分配通用网络标识符并使用默认认证数据作为预期认证数据来创建单个第一安全无线本地网。因此,简化了供应服务器的管理。
根据具体实施方式,每个第一安全无线本地网和第二安全无线本地网都是Wi-Fi类型的。因此,本发明可以受益于个人和/或专业使用的多种产品。
本发明还涉及由通信设备相对于第一安全无线本地网和第二安全无线本地网实施的配对方法,第二安全无线本地网由于网关而与广域网互连,使得与第二安全无线本地网配对的每个通信设备能够接入经由广域网提供的服务,供应服务器连接到广域网。该方法包括以下步骤:用网关执行与第一安全无线本地网的第一配对尝试,其中通信设备被识别并提供存储在所述通信设备的存储器中的第一认证数据,并且通过也存储在所述通信设备的存储器中的网络标识符识别第一安全无线本地网;在第一配对成功的情况下,经由第一安全无线本地网从网关接收第二认证数据以及第二安全无线本地网的网络标识符;以及通过利用网关提供的网络标识符识别第二安全无线本地网,使用从网关接收的第二认证数据来执行与第二安全无线本地网的第二配对。
根据具体实施方式,通信设备是被配置为通过所述网关经由广域网接入IPTV类型的服务的机顶盒。
根据具体实施方式,每个第一安全无线本地网和第二安全无线本地网都是Wi-Fi类型的。
本发明还涉及一种网关,该网关被配置为充当到至少一个第一安全无线本地网和到第二安全无线本地网的无线接入点,该网关将第二安全无线本地网和广域网互连,使得与第二安全无线本地网配对的每个通信设备能够接入经由广域网提供的服务,供应服务器连接到广域网。网关包括:用于检测通信设备与一个所述第一安全无线本地网的第一配对尝试的装置,其中通信设备被识别并提供第一认证数据;用于向供应服务器检查所述通信设备关联于与网关相同的用户并且检查第一认证数据对应于网关相对于所述第一安全无线本地网期望的认证数据的装置;用于在检查结果为肯定的情况下,确认与所述第一安全无线本地网的第一配对并用于经由所述第一安全无线本地网向所述通信设备发送第二认证数据以及第二安全无线本地网的网络标识符的装置;用于检测通信设备与第二安全无线本地网的第二配对尝试的装置,其中通信设备提供其他认证数据;用于检查所述其他认证数据对应于所述第二认证数据的装置;以及用于在检查结果为肯定的情况下,确认与第二安全无线本地网的第二配对以使所述通信设备能够接入经由广域网提供的所述服务的装置。
本发明还涉及一种通信设备,该通信设备被配置为相对于第一安全无线本地网和第二安全无线本地网进行配对,第二安全无线本地网通过网关与广域网互连,使得与第二安全无线本地网配对的每个通信设备可以接入经由广域网提供的服务,供应服务器连接到广域网。该通信设备包括:用于通过网关执行与第一安全无线本地网的第一配对尝试并且通过也存储在所述通信设备的存储器中的网络标识符来识别第一安全无线本地网的装置,其中通信设备被识别并提供存储在所述通信设备的存储器中的第一认证数据;用于在第一配对成功的情况下,经由第一安全无线本地网从网关接收第二认证数据以及第二安全无线本地网的网络标识符的装置;以及用于通过利用网关提供的网络标识符识别第二安全无线本地网,使用从网关接收的第二认证数据来执行与第二安全无线本地网的第二配对的装置。
根据具体实施方式,通信设备是被配置为通过所述网关经由广域网接入IPTV服务的机顶盒。
本发明还涉及可以存储在介质上和/或从通信网络下载以便由处理器读取的计算机程序。该计算机程序包括用于当所述程序由处理器执行时实施上述任一实施方式中的一种或另一种方法的指令。本发明还涉及存储这种计算机程序的信息存储介质。
附图说明
通过阅读下面对示例性实施方式的描述,上面提到的本发明的特征以及其他特征将会更加清楚,所述描述是结合附图给出的,其中:
图1A至图1C示意性示出了实施本发明的无线通信系统的配置的部署;
图2示意性示出了所述无线通信系统的网关的硬件架构的示例;
图3示意性示出了由通信设备实施的配对算法;
图4示意性示出了根据本发明第一实施方式的由所述网关实施的配对算法;以及
图5示意性示出了根据本发明第二实施方式的由所述网关实施的配对算法。
具体实施方式
图1A示意性示出了无线通信系统,其包括网关,诸如住宅网关RGW 110,和供应服务器PSERV 100,供应服务器PSERV 100通常形成操作支持系统OSS的一部分。
网关RGW 110被配置为经由广域网WAN 120(通常是互联网)与供应服务器PSERV100通信。例如,网关RGW 110使用SNMP(简单网络管理协议,如规范文件RFC 1157中定义的)或TR-069协议(也称为CWMP协议(CPE WAN管理协议,其中CPE指的是客户驻地设备))与供应服务器PSERV 100通信。
网关RGW 110被配置为创建和管理至少两个安全无线本地网WLAN。这些无线本地网WLAN中的每一个都是安全的,其中与所述无线本地网WLAN的配对要求希望通过所述无线本地网WLAN通信的任何通信设备都要通过认证数据进行认证。这些认证数据通常是预共享的秘密,也称为预共享密钥PSK,网关RGW 110通过其它方式知晓该预共享密钥PSK,并且所述通信设备将该预共享密钥PSK传送给网关RGW 110以便被认证。
让我们考虑网关RGW 110创建和管理安全无线本地网WLAN1 121和安全无线本地网WLAN2 122。网关RGW 110因此相对于安全无线本地网WLAN1 121和安全无线本地网WLAN2122具有无线接入点WAP的作用。安全无线本地网WLAN1 121和安全无线本地网WLAN2 122优选地是Wi-Fi(注册商标)类型的安全无线本地网WLAN。
安全无线本地网WLAN1 121具有根据Wi-Fi(注册商标)术语而被称为SSID(服务集标识符)的网络标识符,其不同于分配给安全无线本地网WLAN2 122的另一个网络标识符。网关RGW 110以其无线接入点的作用,在各自的信标中广播这些安全无线本地网WLAN中的每一个的网络标识符。
安全无线本地网WLAN2 122旨在使用户能够接入互联网接入提供商通过广域网WAN 120提供的服务。然后,用户使用连接到安全无线本地网WLAN2 122的无线通信设备,诸如平板电脑或机顶盒STB,来接入这些服务(网络浏览器、观看点播视听内容等),网关RGW110然后充当广域网WAN 120和安全无线本地网WLAN2 122之间的中继器。换句话说,网关RGW 110充当广域网WAN 120和安全无线本地网WLAN2 122之间的互连设备。图1A示出了连接到无线本地网WLAN2 122并因此与安全无线本地网WLAN2 122配对的无线通信设备112,也称为站STA。
如下文详细描述的,安全无线本地网WLAN1 121旨在方便由互联网接入提供商提供给用户的无线通信设备(诸如用于接入IPTV(互联网协议电视)服务的一个或多个机顶盒STB)与安全无线本地网WLAN2 122的配对操作。因此,安全无线本地网WLAN1 121被认为是管理工具,并且优选地,网关RGW 110不执行广域网WAN 120和安全无线本地网WLAN1 121之间的任何互连。换句话说,网关RGW 110不能使用户利用安全无线本地网WLAN1 121接入互联网接入提供商通过广域网WAN 120所提供的服务。图1A示出了无线通信设备111,也称为站STA,其由互联网接入提供商提供,该提供商还提供了网关RGW 110,并且寻求与安全无线本地网WLAN1 121的配对,以便最终与安全无线本地网WLAN2 122配对。
供应服务器PSERV 100包括或连接到数据库DB 101。数据库DB 101为已经向与操作支持系统OSS相关联的互联网接入提供商订购的每个用户存储订购描述。数据库DB 101为每个用户存储与互联网接入提供商在用户订购的情况下提供给所述用户的每个设备相关联的标识符(例如,MAC(媒体接入控制)地址)。因此,数据库DB 101特别为每个用户存储与互联网接入提供商在用户订购的情况下提供给所述用户的网关RGW相关联的标识符。因此,数据库DB 101还为每个用户存储与互联网接入提供商提供给所述用户的每一个其他设备相关联的标识符,并且该其他设备倾向于随后与安全无线本地网WLAN2 122配对,以便受益于互联网接入提供商通过广域网WAN 120提供的服务。如下文所述,数据库DB 101可以为每个用户存储与互联网接入提供商提供给所述用户的每个设备相关的其他信息。
图1B示意性示出了无线通信系统的部署,其中设备STA 111已经成功地连接到安全无线本地网WLAN1 121,并且与安全无线本地网WLAN1 121配对。由于先前存储在设备STA111的存储器中的第一认证数据(例如通过工厂中的配置或者通过连接到存储所述第一认证数据的外部存储器的设备STA 111),实现了与安全无线本地网WLAN1 121的配对。如下所述,为了能够执行设备STA 111与安全无线本地网WLAN1 121的配对,网关RGW 110从供应服务器PSERV 100获得能够确保设备STA 111有权与无线本地网WLAN1 121配对的信息,以便随后接收使得能够与安全无线本地网WLAN2 122配对的第二认证数据。
图1C示意性示出了无线通信系统的后续部署,其中由于设备STA 111经由安全无线本地网WLAN1 121获得的第二认证数据,设备STA 111已经成功地与安全无线本地网WLAN2 122配对。设备STA 111然后能够接入互联网接入提供商通过广域网WAN 120提供的服务。
下文将结合图3描述由设备STA 111实施的、允许部署图1A至图1C中呈现的无线通信系统的算法。下面结合图4描述由网关RGW 110实施的算法的第一实施方式,该算法允许部署图1A至图1C中呈现的无线通信系统。由网关RGW 110实施的算法的第二实施方式允许部署图1A至图1C中呈现的无线通信系统,在下文中结合图5进行描述。
图2示意性图示了网关RGW 110的硬件架构的示例。
网关RGW 110然后包括通过通信总线210连接的:处理器或CPU(中央处理单元)200;随机存取存储器(RAM)201;只读存储器(ROM)202;存储单元或存储介质读取器,诸如SD(安全数字)卡读取器203或硬盘驱动器(HDD);以及一组通信接口COM 204,其特别用于使网关RGW 110能够通过广域网WAN 120通信,并管理安全无线本地网WLAN1 122和安全无线本地网WLAN2 122。
处理器200能够执行从ROM 202、外部存储器(例如SD卡)、存储介质(例如硬盘HDD)或通信网络(例如广域网WAN 120)加载到RAM 201中的指令。当网关RGW 110通电时,处理器200能够从RAM 201读取指令并执行它们。这些指令形成计算机程序,使得处理器200实施下面关于网关RGW 110描述的所有或一些算法和步骤。
因此,下面描述的与网关RGW 110相关的所有或一些算法和步骤可以通过可编程机器,例如,DSP(数字信号处理器)或微控制器,执行一组指令以软件形式实施。下面描述的所有或一些算法和步骤也可以通过机器或专用组件,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)以硬件形式实施。
应当注意,设备STA 111可以遵循相同的硬件架构,供应服务器PSERV 100也可以遵循相同的硬件架构。
图3示意性示出了在本发明的上下文中由设备STA 111实施的配对算法。
在步骤301中,设备STA 111激活对无线电范围内的WLAN网络的搜索。例如,设备STA 111监听在设备STA 111的无线电范围内由无线接入点WAP发送的信标。根据另一示例,设备STA 111发送探测请求消息,以请求设备STA 111的无线电范围内的每个无线接入点WAP在探测响应消息中通告所述无线接入点WAP可用的每个无线本地网WLAN。
在步骤302中,设备STA 111等待检测到具有设备STA 111已知的网络标识符SSID的至少一个第一安全无线本地网WLAN。该网络标识符先前存储在设备STA 111的存储器中,例如通过工厂中的配置或者通过将存储所述网络标识符的外部存储器连接到设备STA111。
在步骤302中,设备STA 111应该还检测至少一个第二安全无线本地网WLAN。否则,这意味着设备STA 111在地理上不在合适的位置。
此时,考虑设备STA 111处于网关RGW 110的无线电范围内,因此在安全无线本地网WLAN1 121和安全无线本地网WLAN2 122的覆盖区域内。还考虑安全无线本地网WLAN1121的网络标识符SSID对应于设备STA 111所寻找的网络标识符。这一方面将在下面参照图4和图5再次讨论。
在步骤303中,设备STA 111获得对应于在图3中的算法开始时设备STA 111已经知道的所述网络标识符SSID的第一认证数据。这些第一认证数据也预先存储在设备STA 111的存储器中,例如也是通过工厂中的配置或者通过将存储所述第一认证数据的外部存储器连接到设备STA 111。
这些第一认证数据使得互联网接入提供商(还提供了网关RGW 110)提供的设备STA 111能够在与安全无线本地网WLAN1 121配对的情况下被认证。优选地,这些第一认证数据是秘密的。这些第一认证数据可以伴随有相关类型的加密(例如WPA(Wi-Fi保护接入)或WPA2)。
在步骤304中,设备STA 111从在步骤302处检测到的第一安全无线本地网WLAN中选择第一安全无线本地网WLAN。
实际上,可能出现多个无线本地网WLAN具有相同的网络标识符SSID,或者甚至相同的认证数据可经由具有该相同网络标识符SSID的各种安全无线本地网WLAN应用。这一方面将在下面结合图5再次讨论。
在步骤305中,设备STA 111执行与在步骤304选择的第一安全无线本地网WLAN的第一配对尝试。换句话说,设备STA 111向管理在步骤304处选择的第一安全无线本地网WAN的接入点WAP发送:存储在对应于所讨论的网络标识符SSID的设备STA 111的存储器中的第一认证数据。通常,设备STA 111发送已经提到的预共享密钥PSK。设备STA 111在第一配对尝试中发送的每个消息明确地将设备STA 111标识为所述消息的来源(例如,通过其MAC地址)。
在步骤306中,管理在步骤304处选择的第一安全无线本地网WLAN的接入点WAP响应于设备STA 111,并且设备STA 111检查在步骤305处执行的第一配对尝试是否成功。如果是这种情况(这意味着第一安全无线本地网WLAN实际上是由网关RGW 111管理的安全无线本地网WLAN1 121),则执行步骤307;否则,重复步骤304,选择另一个安全无线本地网WLAN,其网络标识符SSID对应于设备STA 111所寻找的网络标识符。如果已经检查了在步骤304处检测到的所有第一安全无线本地网WLAN,则重复步骤301,寻找这样的至少一个其他安全无线本地网WLAN,即,其网络标识符SSID对应于设备STA 111(图3中未示出)所寻找的网络标识符。
在步骤307中,设备STA 111经由设备STA 111现在与之配对的第一安全无线本地网WLAN(即,安全无线本地网WLAN1 121),获得适用于由同一网关RGW(即,网关RGW 110)建立的第二安全无线本地网WLAN(即,安全无线本地网WLAN2 122)的第二认证数据。这些第二认证数据伴随有安全无线本地网WLAN2 122的网络标识符SSID。如下文结合图4和图5所详述的,第一配对成功的事实确保了设备STA 111实际上已经被提供给与所讨论的网关RGW(即网关RGW 110)相同的用户。
这些第二认证数据使得设备STA 111能够在与安全无线本地网WLAN2 122配对的情况下被认证。优选地,这些第二认证数据是秘密的。这些第二认证数据可以伴随有相关类型的加密(例如WPA或WPA2)。
这些第二认证数据和伴随它们的网络标识符SSID优选地根据专有协议(例如基于TCP(发送控制协议)或基于SNMP协议)发送到设备STA 111。
在步骤308中,设备STA 111执行与所讨论的第二无线本地网WLAN的第二配对。换句话说,设备STA 111向管理所讨论的第二安全无线本地网WLAN的网关RGW发送在步骤307处接收的第二认证数据。通常,设备STA 111发送已提到的预共享密钥PSK。假设这些第二认证数据是由相关网关RGW(即网关RGW 110)发送,以使得设备STA 111能够在与安全无线本地网WLAN2 122配对的情况下被认证,则配对应该成功进行。设备STA 111然后能够接入由互联网接入提供商通过广域网WAN 120提供的服务。
在可选的步骤309中,设备STA 111从无线本地网WLAN1 121断开,并取消第一配对。
图4示意性示出了根据本发明第一实施方式的由网关RGW 110实施的配对算法。在第一实施方式中,考虑由互联网接入提供商提供的每个通信设备STA具有其自己的认证数据(在图3中的算法的情况下是第一认证数据)。通常,由互联网接入提供商提供的每个通信设备STA在存储器中存储它特有的预共享密钥PSK,该密钥例如是在生产中随机生成的。此外,考虑由互联网接入提供商提供的每个通信设备STA在存储器中存储它特有的网络标识符SSID(所述认证数据适用于该网络标识符)。
在步骤401中,网关RGW 110从供应服务器PSERV 100获得与互联网接入提供商向关联于与网关RGW 110相同的用户供应的每个通信设备STA的描述。互联网接入提供商因此保持数据库DB 101是最新的,使得每个用户的预订设备向所述用户指示由互联网接入提供商供应的每个通信设备STA。供应服务器PSERV 100可以基于网关RGW 110的标识符来识别所关注的是哪个用户。在步骤401处接收的描述包括所讨论的通信设备STA的标识符(例如,MAC地址)。在步骤401处接收的描述另外还包括在与安全无线本地网WLAN1 121配对的情况下适用于所述通信设备STA的认证数据,以及所述通信设备STA预期必须使用所述认证数据的网络标识符SSID(因此,这些是在图3的算法的情况下使用的第一认证数据)。
步骤401例如在网关RGW 110通电或在网关RGW 110重新初始化时触发。步骤401也可以在从供应服务器PSERV 100接收到消息时触发,例如当互联网接入提供商向与网关RGW110相同的用户提供新的通信设备STA时。步骤401也可以通过网关RGW 110对供应服务器PSERV 100的定期询问以及检测到互联网接入提供商已经向与网关RGW 110相同的用户提供了新的通信设备STA来触发。作为说明,考虑除了网关RGW 110之外,只有一个通信设备STA被提供给所述用户。
在步骤402中,网关RGW 110通过向其分配在步骤401处接收的描述中提到的网络标识符SSID来创建无线本地网WLAN1 121。如果除了网关RGW 110之外还向所述用户提供了多个通信设备STA(因此倾向于配对),则网关RGW 110因此为这些通信设备STA中的每一个创建无线本地网WLAN1 121。
在步骤403中,网关RGW 110通过向其分配其特有的网络标识符SSID(通常该网络标识符SSID也被刻在网关RGW 110的外壳上)来创建无线本地网WLAN2 122。无线本地网WLAN2 122的网络标识符SSID通常在工厂中被输入网关RGW 110的存储器中,但是通过网关RGW 110安装的网络服务器导出的配置门户,用户也可以修改网络标识符SSID。
应当注意,无线本地网WLAN2 122可以完全在无线本地网WLAN1 121之前创建。
在步骤404中,网关RGW 110等待与无线本地网WLAN1 121的第一配对尝试。网关RGW 110因此等待接收第一认证数据,该第一认证数据应该允许配对由互联网接入提供商提供给所述用户的通信设备STA。
在步骤405中,网关RGW 110检测到与无线本地网WLAN1 121的第一配对尝试。网关RGW 110分析第一配对尝试是否来自通信设备STA,该通信设备STA对应于在步骤401获得其描述的通信设备STA,并且根据所述描述与无线本地网WLAN1 121的网络标识符SSID相关联。在其配对尝试中,所讨论的通信设备STA被识别,并且已经提供了第一认证数据,该第一认证数据被认为对应于在步骤401处接收的描述中提供的那些数据。如果是这种情况,则网关RGW 110考虑与无线本地网WLAN1 121的第一配对尝试是合格的,然后执行步骤407。否则,网关RGW 110认为与无线本地网WLAN1 121的第一配对尝试是不合格的,然后执行步骤406。
在步骤406中,网关RGW 110拒绝与无线本地网WLAN1 121的第一配对,并向其通知所讨论的通信设备STA。网关RGW 110然后通过重复步骤404再次等待与无线本地网WLAN1121的第一配对尝试。
在步骤407中,网关RGW 110接受与安全无线本地网WLAN1 121的第一配对,并确认与所讨论的通信设备STA的第一配对成功。第一配对成功的事实确保了所讨论的设备STA实际上已经被提供给与网关RGW 110相同的用户,因为所述通信设备STA在步骤401处接收的描述中被明确地识别。
在步骤408中,网关RGW 110经由安全无线本地网WLAN1 121向所讨论的通信设备STA发送第二认证数据。这些第二认证数据伴随有安全无线本地网WLAN2 122的网络标识符SSID。
这些第二认证数据使得所讨论的通信设备STA能够在与安全无线本地网WLAN2122配对的情况下被认证。优选地,这些第二认证数据是秘密的。这些第二认证数据可以伴随有相关类型的加密(例如WPA或WPA2)。
如上所述,这些第二认证数据和伴随它们的网络标识符SSID根据专有协议,例如基于TCP协议或基于SNMP协议,被优先发送到所讨论的通信设备STA。
在步骤409中,网关RGW 110等待与安全无线本地网WLAN2 122的第二配对。所讨论的通信设备STA应该使用在步骤408处发送的第二认证数据。如果是这种情况,则实施可选步骤410。否则,重复步骤409(图4中未示出)。
在可选步骤410中,网关RGW 110停止安全无线本地网WLAN1 121(假设没有另外的通信设备STA尝试与具有用于识别安全无线本地网WLAN1 121的标识符SSID的安全无线本地网WLAN进行配对)。
如果除了网关RGW 110之外还向所述用户提供了多个通信设备STA(因此倾向于配对),则在步骤410中,网关RGW 110停止已经为第二配对成功的通信设备STA创建的无线本地网WLAN1 121。然后重复步骤404(等待另一个倾向于配对的通信设备STA,如果这样的设备仍然存在的话)。
图5示意性示出了根据本发明第二实施方式的由网关RGW 110实施的配对算法。在第二实施方式中,考虑由互联网接入提供商提供的所有设备STA具有相同的认证数据(在图3中的算法的情况下是第一认证数据)。通常,由互联网接入提供商提供的所有通信设备STA在存储器中存储相同的预共享密钥PSK。此外,考虑由互联网接入提供商提供的所有通信设备STA在存储器中存储相同的网络标识符SSID(所述认证数据适用于该网络标识符)。
在步骤501中,网关RGW 110通过向无线本地网WLAN1 121分配通用网络标识符SSID来创建无线本地网WLAN1 121。通用网络标识符SSID被输入到网关RGW 110的存储器中,例如通过工厂中的配置。互联网接入提供商提供的每个RGW网关都有该相同的通用网络标识符SSID。在第二实施方式的情况下,由互联网接入提供商提供的所有通信设备STA都知道这个相同的网络标识符SSID。步骤501例如在网关RGW 110通电或网关RGW 110重新初始化时触发。
在步骤502中,网关RGW 110通过向无线本地网WLAN2 122分配其特有的网络标识符SSID(通常该网络标识符SSID也被刻在网关RGW 110的外壳上)来创建无线本地网WLAN2122。无线本地网WLAN2 122的网络标识符SSID通常在工厂中被输入网关RGW 110的存储器中,但是通过网关RGW 110安装的网络服务器导出的配置门户,用户也可以修改该网络标识符SSID。
应当注意,无线本地网WLAN2 122可以完全在无线本地网WLAN1 121之前创建。
在步骤503中,网关RGW 110等待与无线本地网WLAN1 121的第一配对尝试。网关RGW 110因此等待接收第一认证数据,该第一认证数据应该允许配对由互联网接入提供商提供给所述用户的通信设备STA。
在步骤504中,网关RGW 110检测到与无线本地网WLAN1 121的第一配对尝试。网关RGW 110从供应服务器PSERV 100获得这样的描述,该描述关联于互联网接入提供商向与网关RGW 110相同的用户提供的每个通信设备STA。供应服务器PSERV 100可以基于网关RGW110的标识符来识别所关注的是哪个用户。互联网接入提供商因此保持数据库DB 101是最新的,使得每个用户的预订描述指示由互联网接入提供商向所述用户提供的每个通信设备STA。在步骤401处接收的描述包括所讨论的通信设备STA的标识符(例如,MAC地址)。
当从供应服务器PSERV 100接收到消息时,例如当互联网接入提供商向与网关RGW110相同的用户提供新的通信设备STA时,也可以独立于图5中的算法触发步骤504。步骤504也可以通过网关RGW 110对供应服务器PSERV 100的定期询问以及检测到互联网接入提供商已经向与网关RGW 110相同的用户提供了新的通信设备STA来触发。
在步骤505中,网关RGW 110分析第一配对尝试是否来自对应于在步骤504获得其描述的通信设备STA。在其配对尝试中,所讨论的通信设备STA提供第一认证数据,该第一认证数据应该对应于网关RGW 110已知的默认认证数据。这些默认认证数据被输入到网关RGW110的存储器中,例如通过在工厂中的配置,就像前述通用网络标识符SSID一样。互联网接入提供商提供的每个RGW网关都有这些相同的默认认证数据。
如果第一配对尝试来自对应于在步骤504处获得其描述的通信设备STA,则网关RGW 110认为与无线本地网WLAN1 121的第一配对尝试是合格的,然后执行步骤507。否则,网关RGW 110认为与无线本地网WLAN1 121的第一配对尝试是不合格的,然后执行步骤506。
在步骤506中,网关RGW 110拒绝与无线本地网WLAN1 121的第一配对,并向其通知所讨论的通信设备STA。网关RGW 110然后通过重复步骤503再次等待与无线本地网WLAN1121的第一配对尝试。
在步骤507中,网关RGW 110接受与安全无线本地网WLAN1 121的第一配对,并确认与所讨论的通信设备STA的第一配对成功。第一配对成功的事实确保了所讨论的设备STA实际上被提供给与网关RGW 110相同的用户,因为所述通信设备STA在步骤504接收的描述中被明确地识别。
在步骤508中,网关RGW 110经由安全无线本地网WLAN1 121向所讨论的通信设备STA发送第二认证数据。这些第二认证数据伴随有安全无线本地网WLAN2 122的网络标识符SSID。
这些第二认证数据使得所讨论的通信设备STA能够在与安全无线本地网WLAN2122配对的情况下被认证。优选地,这些第二认证数据是秘密的。这些第二认证数据可以伴随有相关类型的加密(例如WPA或WPA2)。
如上所述,这些第二认证数据和伴随它们的网络标识符SSID根据专有协议,例如基于TCP协议或基于SNMP协议,被优先发送到所讨论的通信设备STA。
在步骤509中,网关RGW 110等待与安全无线本地网WLAN2 122的第二配对。所讨论的通信设备STA应该使用在步骤508中发送的第二认证数据。如果是这种情况,则重复步骤503(同时等待另一个倾向于配对的通信设备STA,如果这样的通信设备仍然存在的话)。否则,执行步骤506(图5中未示出)。
当实施关于图5处理的第二实施方式时,可能发生提供给用户的通信设备STA检测到由前述通用网络标识符SSID识别的多个安全无线本地网WLAN。例如,当邻居们使用来自同一互联网接入提供商的网关RGW时,就会出现这种情况。这种情况通过网关RGW在上述第一配对尝试的情况下执行的检查来解决。实际上,每个网关RGW通过供应服务器PSERV 100检查正在执行配对尝试的每个通信设备STA的标识符(例如,MAC地址)实际上对应于提供给与所讨论的网关RGW相同的用户的通信设备STA的标识符。于是确保用户无法错误地执行与他邻居的网关RGW所描述的配对。

Claims (5)

1.一种配对方法,其中,网关充当到至少一个第一安全无线本地网和到第二安全无线本地网的无线接入点,所述网关将所述第二安全无线本地网和广域网互连,使得与所述第二安全无线本地网配对的每个通信设备能够接入经由所述广域网提供的服务,供应服务器连接到所述广域网,所述方法包括以下步骤:
- 检测通信设备与一个所述第一安全无线本地网的第一配对尝试,其中所述通信设备被识别出并且所述通信设备提供第一认证数据;
- 检查所述第一认证数据对应于所述网关相对于所述第一安全无线本地网预期的认证数据;
- 在检查结果为肯定的情况下,确认与所述第一安全无线本地网的第一配对,并且经由所述第一安全无线本地网向所述通信设备发送第二认证数据以及所述第二安全无线本地网的网络标识符;
- 检测所述通信设备与所述第二安全无线本地网的第二配对尝试,其中所述通信设备提供其他认证数据;
- 检查所述其他认证数据对应于所述第二认证数据;以及,
- 在检查结果为肯定的情况下,确认与所述第二安全无线本地网的第二配对,以使所述通信设备能够接入由所述广域网提供的所述服务,
其特征在于,所述第一安全无线本地网不能接入由所述广域网提供的所述服务,并且所述方法由所述网关实施,并且还包括以下步骤,以用于确认与所述第一安全无线本地网的第一配对:
- 通过所述供应服务器检查所述通信设备关联于与所述网关相同的用户,
并且,为了检查所述通信设备关联于与所述网关相同的用户并且为了检查所述第一认证数据对应于所预期的认证数据,所述网关从所述供应服务器接收描述,对于倾向于与所述第二安全无线本地网配对的通信设备组中的每个通信设备,所述描述包括:
- 通信设备标识符,
- 网络标识符,以及
- 相对于所述第一安全无线本地网预期的认证数据,
并且,所述网关通过向所述第一安全无线本地网分配相应通信设备的描述的网络标识符,为倾向于与所述第二安全无线本地网配对的所述通信设备组中的每个通信设备创建一个所述第一安全无线本地网。
2.根据权利要求1所述的配对方法,其特征在于,当倾向于配对的所述通信设备组中的通信设备与所述第二安全无线本地网的第二配对被确认时,所述网关停止为所述通信设备创建的所述第一安全无线本地网。
3.根据权利要求1或2所述的配对方法,其特征在于,每个第一安全无线本地网和所述第二安全无线本地网是Wi-Fi类型的。
4.一种信息存储介质,其特征在于,其存储由指令组成的计算机程序,当所述程序由处理器执行时,所述指令用于通过所述处理器实施根据权利要求1至3中任一项所述的方法。
5.一种网关,被配置为充当到至少一个第一安全无线本地网和到第二安全无线本地网的无线接入点,所述网关将所述第二安全无线本地网和广域网互连,使得与所述第二安全无线本地网配对的每个通信设备能够接入经由所述广域网提供的服务,供应服务器连接到所述广域网,所述网关包括:
-用于检测通信设备与一个所述第一安全无线本地网的第一配对尝试的装置,其中所述通信设备被识别出并且所述通信设备提供第一认证数据;
- 用于检查所述第一认证数据对应于所述网关相对于所述第一安全无线本地网预期的认证数据的装置;
- 用于在检查结果为肯定的情况下,确认与所述第一安全无线本地网的第一配对并且用于经由所述第一安全无线本地网向所述通信设备发送第二认证数据以及所述第二安全无线本地网的网络标识符的装置;
- 用于检测所述通信设备与所述第二安全无线本地网的第二配对尝试的装置,其中所述通信设备提供其他认证数据;
- 用于检查所述其他认证数据对应于所述第二认证数据的装置;以及
-用于在检查结果为肯定的情况下,确认与所述第二安全无线本地网的第二配对以使所述通信设备能够接入经由所述广域网提供的所述服务的装置,
其特征在于,所述第一安全无线本地网不能接入经由所述广域网提供的所述服务,并且所述网关还包括,为了确认与所述第一安全无线本地网的第一配对:
- 用于通过所述供应服务器检查所述通信设备关联于与所述网关相同的用户的装置,
并且,为了检查所述通信设备关联于与所述网关相同的用户并且为了检查所述第一认证数据对应于所预期的认证数据,所述网关还包括用于从所述供应服务器接收描述的装置,对于倾向于与所述第二安全无线本地网配对的通信设备组中的每个通信设备,所述描述包括:
- 通信设备标识符,
- 网络标识符,以及
- 相对于所述第一安全无线本地网预期的认证数据,
并且,所述网关还包括用于通过向所述第一安全无线本地网分配相应通信设备的描述的网络标识符,为倾向于与所述第二安全无线本地网配对的所述通信设备组中的每个通信设备创建一个所述第一安全无线本地网的装置。
CN201780073806.5A 2016-10-24 2017-10-23 用于与网关配对的方法 Active CN110024443B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR1660301A FR3058023B1 (fr) 2016-10-24 2016-10-24 Procede d'appairage aupres d'une passerelle
FR1660301 2016-10-24
PCT/EP2017/076951 WO2018077777A1 (fr) 2016-10-24 2017-10-23 Procédé d'appairage auprès d'une passerelle

Publications (2)

Publication Number Publication Date
CN110024443A CN110024443A (zh) 2019-07-16
CN110024443B true CN110024443B (zh) 2021-07-30

Family

ID=58347475

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780073806.5A Active CN110024443B (zh) 2016-10-24 2017-10-23 用于与网关配对的方法

Country Status (6)

Country Link
US (1) US20190320477A1 (zh)
EP (1) EP3530036B1 (zh)
CN (1) CN110024443B (zh)
BR (1) BR112019008139A2 (zh)
FR (1) FR3058023B1 (zh)
WO (1) WO2018077777A1 (zh)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7480939B1 (en) * 2000-04-28 2009-01-20 3Com Corporation Enhancement to authentication protocol that uses a key lease
US7792527B2 (en) * 2002-11-08 2010-09-07 Ntt Docomo, Inc. Wireless network handoff key
US20050233742A1 (en) * 2004-04-16 2005-10-20 Jeyhan Karaoguz Location based directories Via a broadband access gateway
CN102420819B (zh) * 2011-11-28 2014-11-05 华为技术有限公司 用户注册方法、交互方法及相关设备
US8931067B2 (en) * 2012-01-31 2015-01-06 Telefonaktiebolaget L M Ericsson (Publ) Enabling seamless offloading between wireless local-area networks in fixed mobile convergence systems
CN103916854A (zh) * 2013-01-08 2014-07-09 中兴通讯股份有限公司 一种无线局域网络用户接入固定宽带网络的方法和系统
US9226153B2 (en) * 2013-08-23 2015-12-29 Cisco Technology, Inc. Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP
US9531578B2 (en) * 2014-05-06 2016-12-27 Comcast Cable Communications, Llc Connecting devices to networks
CN107211272A (zh) * 2014-11-12 2017-09-26 诺基亚通信公司 方法、装置和系统

Also Published As

Publication number Publication date
US20190320477A1 (en) 2019-10-17
EP3530036B1 (fr) 2021-04-07
WO2018077777A1 (fr) 2018-05-03
CN110024443A (zh) 2019-07-16
FR3058023A1 (fr) 2018-04-27
BR112019008139A2 (pt) 2019-07-02
FR3058023B1 (fr) 2019-11-08
EP3530036A1 (fr) 2019-08-28

Similar Documents

Publication Publication Date Title
US10885198B2 (en) Bootstrapping without transferring private key
US8631471B2 (en) Automated seamless reconnection of client devices to a wireless network
EP3622690B1 (en) Cloud based wifi network setup for multiple access points
US8917651B2 (en) Associating wi-fi stations with an access point in a multi-access point infrastructure network
US9510391B2 (en) Network configuration for devices with constrained resources
EP2950499B1 (en) 802.1x access session keepalive method, device, and system
CN108259164B (zh) 一种物联网设备的身份认证方法及设备
EP3334084B1 (en) Security authentication method, configuration method and related device
US9009792B1 (en) Method and apparatus for automatically configuring a secure wireless connection
US20150373538A1 (en) Configuring Secure Wireless Networks
CN110972161B (zh) 一种自动联网方法、装置、设备以及可读介质
EP2993933B1 (en) Wireless terminal configuration method, apparatus and wireless terminal
US8935765B2 (en) Method to enable mobile devices to rendezvous in a communication network
EP3373622B1 (en) Method and apparatus for secure interaction between terminals
CN111492358B (zh) 设备认证
Nguyen et al. An SDN-based connectivity control system for Wi-Fi devices
CN110024443B (zh) 用于与网关配对的方法
US20220400118A1 (en) Connecting internet of thing (iot) devices to a wireless network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant