CN113068181A - 多类型智能终端安全入网方法 - Google Patents
多类型智能终端安全入网方法 Download PDFInfo
- Publication number
- CN113068181A CN113068181A CN201911393278.9A CN201911393278A CN113068181A CN 113068181 A CN113068181 A CN 113068181A CN 201911393278 A CN201911393278 A CN 201911393278A CN 113068181 A CN113068181 A CN 113068181A
- Authority
- CN
- China
- Prior art keywords
- distribution network
- intelligent terminal
- information
- key
- intelligent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
Abstract
本发明提供了一种基于IEEE 802.11协议的多类型智能终端安全入网的方法,方法包括:智能终端通过VSIE将终端信息封装在Probe Request帧中进行发送,其中终端信息包括指示智能设备是否是首次配网的信息、设备MAC地址、以及智能终端的ECDH公钥;家庭网关侦听Probe Request帧中具有特定厂商OUI的VSIE;确定所述智能终端是否首次配网;将指示发现未配网设备的消息发送给用户以请求用户授权为该设备执行配网;响应于接收到用户的授权,家庭网关检查所述Probe Request帧中是否还包含设备ID;家庭网关根据检查结果采用不同的加密方式对配网信息进行加密并通过VSIE封装在Beacon帧中发送给智能终端;智能终端对接收到的Beacon帧中封装的信息对配网信息解密后接入网络。
Description
技术领域
本发明涉及移动通信技术,更具体地,涉及一种基于IEEE 802.11Wi-Fi标准协议的多类型智能终端安全入网方法。
背景技术
近年来,伴随着宽带中国、三网融合等国家战略推进,在智慧家庭业务探索过程中,智能终端的网络配置(简称“配网”)问题已经成为行业发展的痛点。追求配网的安全与高效已经成为智能终端网络配置的技术改进需求。
当前业界主流的智能终端网络配置技术方案包括SmartConfig(组播/广播)、软AP、IEEE 802.11协议扩展方案。这三种方式各有其不足。
SmartConfig(组播/广播)方案由于手机与路由器的兼容性问题、UDP的不稳定性以及配网的串行特点,导致成功率低、速度慢。
软AP方案由于需要用户切换至入网设备AP热点,并手动输入账号密码,操作复杂、速度慢。
现有的IEEE 802.11协议扩展方案由路由器等AP设备主动发起,将配网信息直接添加在WIFI的Probe request帧或Beacon帧中,通过中间设备或者直接广播实现配网信息的传递,没有与设备的交互过程,缺少设备发现流程、用户授权过程、加密方式固定,存在安全风险。同时,由于没有待配网设备发现流程,会出现错误给其余设备自动配网的情况。
此外,针对特定生态内终端需要针对独立终端的独立加密安全需求是终端网络配置的新需求。然而,在配网过程中,配网信息的安全性和多终端的兼容性在整个协议标准化过程中仍然需要进一步考虑。同时,目前智能终端配网秘钥几乎均采用固定秘钥进行配网信息加密,存在信息泄露等安全风险。
发明内容
提供本发明内容以便以简化形式介绍将在以下具体实施方式中进一步的描述一些概念。本发明内容并非旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
针对现有技术的以上缺陷或改进需求,为了满足良好的用户体验,同时加强配网过程的安全性,提高方案的标准化程度,本发明提供了一种基于IEEE 802.11Wi-Fi标准协议Probe/Beacon帧的智能终端快连入网方法,该方法使用Wi-Fi标准的连接过程,实现智能终端的快速配网接入网络。
本发明基于Wi-Fi标准的连接过程,由智能终端设备通过Probe Request帧内包含Vendor-Specific Information Element(厂商特定信元,VSIE)封装的设备信息请求配网。家庭网关利用接收到的Probe Request帧内VSIE封装的设备信息实现设备发现。在用户授权配网后,网关利用Beacon帧,通过VSIE封装配网信息,并发送给智能终端,从而实现设备快速连接入网。同时,整个智能终端快连入网流程中由智能设备、家庭网关与平台通过PIN码或ECDH密钥交换算法共同生成独立秘钥来加密配网信息,根据智能终端的不同类型,采取不同的配网秘钥生成方法和配网信息的加密方法,从而实现多类型智能终端的安全入网。
根据本发明的一个方面,提供了一种基于IEEE 802.11协议的智能终端安全入网的方法,其中所述方法包括:
智能终端通过厂商特定信元VSIE将终端信息封装在Probe Request帧中进行发送,其中所述终端信息包括指示智能设备是否是首次配网的信息、智能设备的MAC地址、以及智能终端的ECDH公钥;
家庭网关侦听Probe Request帧中具有特定厂商OUI的VSIE;
家庭网关基于接收到的Probe Request帧中封装的终端信息确定所述智能终端是否首次配网;
响应于确定所述智能终端是首次配网,将指示发现未配网设备的消息发送给用户以请求用户授权为该设备执行配网;
响应于接收到用户的授权,所述家庭网关检查所述Probe Request帧中封装的终端信息中是否还包含设备ID;
所述家庭网关根据检查结果采用不同的加密方式对配网信息进行加密并通过VSIE封装在Beacon帧中发送给所述智能终端;
所述智能终端检查接收到的Beacon帧中的VSIE中是否包含所述特定厂商OUI,以及其中所包含的MAC地址是否是自己的MAC地址;
若是,则所述智能终端对接收到的Beacon帧中封装的信息对所述配网信息解密;以及
所述智能终端用经解密的配网信息接入网络。
根据本发明的一个实施例,所述家庭网关根据检查结果采用不同的加密方式对配网信息进行加密并封装在Beacon帧中发送给所述智能终端进一步包括:
响应于所述终端信息中包含设备ID,所述家庭网关将所述设备ID和所述智能终端的ECDH公钥发送给云端的智能家居平台;
所述智能家居平台根据所述智能终端的ECDH公钥生成ECDH交换密钥,根据所述设备ID查询设备PIN码,拼接所述设备PIN码和所述ECDH交换密钥并通过加密生成配网密钥,并将所述智能家居平台的ECDH公钥和所述配网密钥发送给所述家庭网关;以及
所述家庭网关用接收到的配网密钥对配网信息加密,并将加密后的配网信息与所述智能家居平台的ECDH公钥封装在Beacon帧中发送给智能终端。
根据本发明的进一步实施例,所述智能终端对接收到的Beacon帧中封装的信息对所述配网信息解密进一步包括:
所述智能终端根据接收到的Beacon帧中封装的所述智能家居平台的ECDH公钥生成所述ECDH交换密钥;
所述智能终端用自己的设备PIN码与所述ECDH交换密钥拼接后通过与所述智能家居平台所采用的相同的方式加密生成配网密钥;以及
所述智能终端用所生产的配网密钥对所述配网信息进行解密。
根据本发明的另一实施例,所述家庭网关根据检查结果采用不同的加密方式对配网信息进行加密并封装在Beacon帧中发送给所述智能终端进一步包括:
响应于所述终端信息中不包含设备ID,所述家庭网关根据所述智能终端的ECDH公钥与所述家庭网关的ECDH私钥生成ECDH交换秘钥作为配网秘钥;以及
所述家庭网关用所述配网密钥对配网信息加密,并将加密后的配网信息与所述家庭网关的ECDH公钥封装在Beacon帧中发送给智能终端。
根据本发明的进一步实施例,所述智能终端对接收到的Beacon帧中封装的信息对所述配网信息解密进一步包括:
所述智能终端根据接收到的Beacon帧中封装的所述家庭网关的ECDH公钥与所述智能设备的ECDH私钥生成配网密钥;以及
所述智能终端用所生产的配网密钥对所述配网信息进行解密。
根据本发明的进一步实施例,所述配网信息包括所述网络的SSID、密码以及加密方式。
根据本发明的进一步实施例,所述设备ID是由所述智能家居平台分配的生态设备ID。
根据本发明的另一方面,提供了一种基于IEEE 802.11协议的家庭组网系统,其中所述系统包括:
家庭网关,所述家庭网关经由互联网与云端的智能家居平台通信;
连接到所述家庭网关的一个或多个组网终端;以及
经由所述组网终端中的任意一个与所述家庭网关进行通信交互的一个或多个智能终端,其中:
智能终端通过厂商特定信元VSIE将终端信息封装在Probe Request帧中进行发送,其中所述终端信息包括指示智能设备是否是首次配网的信息、智能设备的MAC地址、以及智能终端的ECDH公钥;
家庭网关侦听Probe Request帧中具有特定厂商OUI的VSIE;
家庭网关基于接收到的Probe Request帧中封装的终端信息确定所述智能终端是否首次配网;
响应于确定所述智能终端是首次配网,将指示发现未配网设备的消息发送给用户以请求用户授权为该设备执行配网;
响应于接收到用户的授权,所述家庭网关检查所述Probe Request帧中封装的终端信息中是否还包含设备ID;
所述家庭网关根据检查结果采用不同的加密方式对配网信息进行加密并通过VSIE封装在Beacon帧中发送给所述智能终端;
所述智能终端检查接收到的Beacon帧中的VSIE中是否包含所述特定厂商OUI,以及其中所包含的MAC地址是否是自己的MAC地址;
若是,则所述智能终端对接收到的Beacon帧中封装的信息对所述配网信息解密;以及
所述智能终端用经解密的配网信息接入网络。
根据本发明的一个实施例,所述家庭网关根据检查结果采用不同的加密方式对配网信息进行加密并封装在Beacon帧中发送给所述智能终端进一步包括:
响应于所述终端信息中包含设备ID,所述家庭网关将所述设备ID和所述智能终端的ECDH公钥发送给云端的智能家居平台;
所述智能家居平台根据所述智能终端的ECDH公钥生成ECDH交换密钥,根据所述设备ID查询设备PIN码,拼接所述设备PIN码和所述ECDH交换密钥并通过加密生成配网密钥,并将所述智能家居平台的ECDH公钥和所述配网密钥发送给所述家庭网关;以及
所述家庭网关用接收到的配网密钥对配网信息加密,并将加密后的配网信息与所述智能家居平台的ECDH公钥封装在Beacon帧中发送给智能终端,并且
所述智能终端对接收到的Beacon帧中封装的信息对所述配网信息解密进一步包括:
所述智能终端根据接收到的Beacon帧中封装的所述智能家居平台的ECDH公钥生成所述ECDH交换密钥;
所述智能终端用自己的设备PIN码与所述ECDH交换密钥拼接后通过与所述智能家居平台所采用的相同的方式加密生成配网密钥;以及
所述智能终端用所生产的配网密钥对所述配网信息进行解密。
根据本发明的另一实施例,所述家庭网关根据检查结果采用不同的加密方式对配网信息进行加密并封装在Beacon帧中发送给所述智能终端进一步包括:
响应于所述终端信息中不包含设备ID,所述家庭网关根据所述智能终端的ECDH公钥与所述家庭网关的ECDH私钥生成ECDH交换秘钥作为配网秘钥;以及
所述家庭网关用所述配网密钥对配网信息加密,并将加密后的配网信息与所述家庭网关的ECDH公钥封装在Beacon帧中发送给智能终端,并且
所述智能终端对接收到的Beacon帧中封装的信息对所述配网信息解密进一步包括:
所述智能终端根据接收到的Beacon帧中封装的所述家庭网关的ECDH公钥与所述智能设备的ECDH私钥生成配网密钥;以及
所述智能终端用所生产的配网密钥对所述配网信息进行解密。
相比现有的配网方法,本发明的快连入网方法至少具有以下优点:
(1)解决目前智能终端配网秘钥信息固定的安全风险,同时面向不同类型终端提供不同等级的加密方案。
(2)针对网关生态内的智能终端,采用ECDH算法秘钥交换与PIN码拼接组合生成配网秘钥,实现云端加密以及以及一机一密。
(3)针对支持网关协议标准Probe/Beacon帧的智能终端,采用ECDH算法进行秘钥交换生成配网秘钥,秘钥终端本地随机生成。
通过阅读下面的详细描述并参考相关联的附图,这些及其他特点和优点将变得显而易见。应该理解,前面的概括说明和下面的详细描述只是说明性的,不会对所要求保护的各方面形成限制。
附图说明
为了能详细地理解本发明的上述特征所用的方式,可以参照各实施例来对以上简要概述的内容进行更具体的描述,其中一些方面在附图中示出。然而应该注意,附图仅示出了本发明的某些典型方面,故不应被认为限定其范围,因为该描述可以允许有其它等同有效的方面。
图1是根据本发明的一个实施例的家庭网关组网系统的示例结构图。
图2是根据本发明的一个实施例的智能终端快连入网方法的示例流程图。
图3是根据本发明的另一实施例的多类型智能终端安全入网的方法的示例流程图。
具体实施方式
下面结合附图详细描述本发明,本发明的特点将在以下的具体描述中得到进一步的显现。
图1是根据本发明的一个实施例的家庭网关组网系统的示例结构图。如图1中所示,家庭网关组网系统可包括家庭网关(102)、一个或多个组网终端(108a,108b)、以及一个或多个智能终端(110a,110b,110c,110d)。
家庭网关102一般由电信运营商提供,用于将家庭组网接入到互联网中。家庭网关通过互联网可与云端的智能家居平台通信。在一个示例中,家庭网关102包括组网插件104以及快连插件106。组网插件104和快连插件106可以以软件形式来实现(例如,作为运行在家庭网关102上的插件),也可以以硬件形式来实现(例如,被实现为独立或集成的硬件模块)。组网插件104和快连插件106之间可通过进程间通讯机制(IPC)来进行通讯。
一个或多个组网终端(108a,108b)可连接到家庭网关102。组网终端(108a,108b)可以是例如无线路由器、AP等组网设备。作为本发明的一个示例,组网终端支持IEEE802.11Wi-Fi标准协议。本领域技术人员可以理解,虽然图1中组网终端与家庭网关被示为两个不同的硬件,但两者也可以被集成在一起。此外,虽然图1中组网终端108a和组网终端108b被示为分别直接连接到家庭网关102,但本领域技术人员可以理解,多个组网终端可以分层连接,例如组网终端108b(例如AP)可以被连接到组网终端108a(例如无线路由器)而不是直接连接到家庭网关102。每一个组网终端可以连接一个或多个智能终端(110a,110b,110c,110d)。
智能终端(110a,110b,110c,110d)可通过扫描发现周边的组网终端。在本申请中,术语“智能终端”可以指任何具有无线通信能力(例如支持IEEE802.11Wi-Fi标准协议)的移动计算设备,因此在本发明的上下文中,也可与“智能终端设备”、“移动设备”或者“移动终端”互换地使用。作为一个示例,智能终端(110a,110b,110c,110d)可以是支持IEEE802.11Wi-Fi标准协议的智能手机、平板电脑、笔记本电脑、智能音箱、智能电视、智能摄像头或其他智能家电等等。
这一家庭网关组网系统可被配置用于实现本发明所提出的基于IEEE802.11Wi-Fi标准协议Probe/Beacon帧的智能终端快连入网方法。
通过本发明的方法可实现智能终端的配网自动发现。智能终端设备在扫描网络时,利用IEEE 802.11Wi-Fi标准协议中的Probe Request帧,将设备MAC、终端秘钥交互信息等终端信息加密后通过VSIE(Vendor-Specific InformationElement,厂商特定信元)上报给周边的组网终端(例如AP)。AP收到设备信息后,根据VSIE是否具有特定组织OUI(Organizationally Unique Identifier,组织唯一标识符)来过滤帧。将设备信息推送给云/APP端,实现用户端的设备配网自动发现。
在发现了智能设备之后,用户在客户端确定允许智能设备入网时,通过AP设备PIN码与ECDH算法协商密钥组合加密生成的密钥作为配网密钥。
以上提到的Probe/Beacon帧是IEEE 802.11Wi-Fi标准协议中所规定和使用的帧。Beacon帧(即信标帧)是一种相当重要的维护机制,主要用于宣告某个网络的存在。定期发送的信标,可让移动工作站得知该网络的存在,从而调整加入该网络所必要的参数。在基础网络里,接入点负责发送Beacon帧,Beacon帧所及范围即为基本服务区域。在基础型网络里,所有沟通都必须通过接入点,因此工作站不能距离太远,否则无法接收到信标。
Probe帧分为Probe Request帧(即探测请求帧)和Probe Response帧(即探测响应帧)。移动工作站将会利用Probe Request帧,扫描所在区域内目前有哪些802.11网络。如果Probe Request帧所探测的网络与之相容,该网络就会以Probe Response帧应答。
VSIE(Vendor-Specific Information Element,厂商特定信元)是Probe/Beacon帧中常用的信息封装方式,例如无线多媒体(WMM)信息即是用的微软公司OUI的VSIE,可用来表示特定厂商扩展的信息。VSIE的组成结构如下:
表1
本发明将快连所需的信息用Type-Length-Value(类型-长度-值)三元数据组的方式封装到VSIE中,通过Probe/Beacon帧,完成家庭网关和智能终端设备之间的设备信息与配网信息的交互,实现智能终端快连入网。其中,类型指示该三元数据组的类别,类别包括命令、设备ID、BSSID、MAC地址、密钥、配网参数、以及数据,长度指示该三元数据组中的值的长度,值为实际数据。作为一个示例,本发明所使用的Type定义如下:
表2
原始的Data数据亦采用Type-Length-Value形式封装,所使用的数据如下:
表3
图2是根据本发明的一个实施例的智能终端快连入网方法200的示例流程图。
方法200开始于步骤202,智能终端将终端信息封装在Probe Request帧中进行发送。根据IEEE 802.11 Wi-Fi标准,智能终端可主动发送Probe Request帧来对周边网络进行扫描。终端信息可被封装在VSIE内并添加到发送的Probe Request帧中。终端信息可至少包括指示智能设备是否是首次配网的信息以及智能设备的MAC地址。例如,表2中给出的示例Type定义中,类型1代表命令,值0和值1可分别代表首次配网和再次配网。因此,可基于来自智能终端的Probe Request帧中VSIE封装信息中的该值来判断智能终端是否首次配网。另外,可选地,终端信息还可包括智能设备的ECDH公钥和智能设备ID。
表4给出了首次配网请求的VSIE数据的一个示例(以下数据均为十六进制):
| 00 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 0A | 0B | 0C | 0D | 0E | 0F | |
| 00 | DD | 64 | 00 | 11 | 22 | 01 | 01 | 00 | 02 | 11 | 01 | 02 | 03 | 04 | 05 | 06 |
| 10 | 07 | 08 | 09 | 0A | 0B | 0C | 0D | 0E | 0F | 10 | 11 | 04 | 06 | 04 | 8D | 38 |
| 20 | 36 | 78 | A8 | 05 | 30 | A2 | 6E | 62 | 47 | 2A | 65 | 8F | E1 | C2 | 3D | 5E |
| 30 | 38 | 36 | 78 | A8 | 05 | 30 | A2 | 6E | 62 | 47 | 2A | 65 | 8F | E1 | C2 | 3D |
| 40 | 1C | 5A | 18 | 2D | 36 | 52 | 53 | 36 | A2 | CD | 2A | EE | 7D | 4A | 33 | 44 |
| 50 | AA | 53 | 44 | 33 | 6E |
表4
以上的VSIE数据遵循如表1中所给出的VSIE的组成结构和表2中的Type定义。在表4中:
第一个字节中的“DD”是VSIE的ElementID,即十进制221;
第二个字节中的“64”是Length,即十进制100,表示后面的长度是100字节;
第三至第五个字节中的“00-11-22”是OUI,用于标识厂商(诸如电信);
从第六个字节开始是Content部分。
其中,表4中第1行第6列的“01”、第1行第9列的“02”、第2行第12列的“04”、以及第3行第4列的“05”表示的是Type。第1行第6列的“01”即十进制的1,根据表2的定义,表示Type(类型)为Command(命令),随后的“01”表示长度为1字节,随后的“00”表示值为0,表示首次配网请求。类似地,第2行第12列的“04”表示Type为MAC,长度6字节,随后6个字节中的值即为该智能设备的MAC地址。
在步骤204,家庭网关基于接收到的Probe Request帧中封装的终端信息确定所述智能终端是否首次配网。智能终端发送的Probe Request帧可能被周边的组网终端接收,组网终端将该Probe Request帧上报给家庭网关。作为一个示例,家庭网关的快连插件可启用VSIE服务来解封装该Probe Request帧中用VSIE封装的信息,并基于VSIE中封装的具体数据来判断智能终端是否首次配网。
可选地,家庭网关的快连插件可侦听Probe Request帧中具有特定厂商OUI的VSIE。当快连插件接收到Probe Request帧时,快连插件可启动VSIE服务来解封装该ProbeRequest帧中用VSIE封装的信息里,并确定其中是否包括特定厂商的OUI,例如是否具有电信的OUI。这一过滤的目的是识别正确的VSIE信息。可以理解,本发明的快连入网需要依赖于VSIE中封装的相关信息来实现,如果该OUI指示的是其他的厂商,则后续快连过程无法继续执行,因此也无需进一步耗费资源去处理。
如果在步骤204处确定智能终端是首次配网,则方法前进至步骤206,将指示发现未配网设备的消息发送给用户以请求用户授权为该设备执行配网。例如,家庭网关可通过用户客户端上的APP(例如,电信的小翼管家APP)来通知用户发现一个未配置网络的新设备,询问用户是否要对该新设备进行自动配网,用户可直接在APP中给出是否授权的答复。作为一个示例,用户客户端可以是已经连接到该网络的智能终端中的至少一个,例如用户的智能手机、平板电脑、智能电视等等。
在步骤208,响应于接收到用户的授权,家庭网关将用于智能终端接入网络的配网信息发送给组网终端。作为一个示例,配网信息可包括Wi-Fi网络的SSID、密码、加密方式、秘钥交换信息等等。若用户未授权,则流程结束。
接着,在步骤210,家庭网关将配网信息封装在Beacon帧中并发送给智能终端。可选地,配网信息可先经过加密再封装到Beacon帧中。如之前提到的,配网信息通过VSIE封装在Beacon帧中进行发送。
表5给出了Beacon中回应的VSIE数据的示例(以下数据均为十六进制):
| 00 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 0A | 0B | 0C | 0D | 0E | 0F | |
| 00 | DD | 72 | 00 | 11 | 22 | 01 | 01 | 80 | 04 | 06 | 04 | 8D | 38 | 04 | 05 | 06 |
| 10 | 05 | 30 | CB | 2E | 63 | 46 | 5A | 6A | 8F | E1 | C2 | 3D | 03 | 54 | 23 | E2 |
| 20 | FF | 30 | 09 | 0A | 0B | 0C | 0D | 0E | 0F | 10 | 32 | 30 | 13 | 14 | 15 | 16 |
| 30 | 17 | 18 | 19 | 1A | 1B | 1C | 1D | 1E | 1F | 20 | 21 | 22 | 43 | 06 | 04 | 8D |
| 40 | 38 | 36 | FF | 30 | 53 | 22 | A2 | 6E | 62 | 47 | 2A | 65 | 8F | E1 | C2 | 3D |
| 50 | 33 | 2D | 5E | 42 | 53 | C7 | DA | 4E | 66 | 42 | 58 | 98 | 21 | 22 | 43 | 06 |
| 60 | 53 | 22 | A2 | 6E | 62 | 47 | 53 | 22 | A2 | 6E | 62 | 47 | 42 | 58 | 98 | 21 |
| 70 | 36 | 78 | A8 | 53 |
表5
以上的VSIE数据同样遵循如表1中所给出的VSIE的组成结构和表2中的Type定义。在表4中:
第一个字节中的“DD”是VSIE的ElementID,即十进制221;
第二个字节中的“72”是Length,即十进制114,表示后面的长度是114字节;
第三至第五个字节中的“00-11-22”是OUI,用于标识厂商(诸如电信),可以看到此处的OUI与Probe Request中的OUI是一致的;
从第六个字节开始是Content部分。
其中,表5中第1行第6列的“01”、第1行第9列的“04”、第2行第1列的“05”、以及第5行第3列的“FF”表示的是Type。第1行第6列的“01”即十进制的1,根据表2的定义,表示Type为Command,随后的“01”表示长度为1字节,随后的“80”表示值为128,表示首次配网应答。类似地,第1行第9列的“04”表示Type为MAC,长度6字节,表示智能终端的MAC地址;第2行第1列的“05”表示Type为Key,长度48字节,随后6个字节中的值即为密钥信息(在对配网信息进行加密的情况下使用)。第5行第3列的“FF”即十进制的255,表示Type为Data,长度48字节,随后的字节中的值即为配网信息。
在步骤212,智能终端基于接收到的Beacon帧中封装的配网信息接入网络。智能终端可解封VSIE来获取Wi-Fi网络的SSID、密码、加密方式等配网信息,随后用该配网信息接入该Wi-Fi网络。
返回到步骤204,如果确定智能终端不是首次配网,则方法前进至步骤214,将所述智能终端重连入网。
图3是根据本发明的另一实施例的多类型智能终端安全入网的方法300的示例流程图。方法300在将智能终端快连入网方面与方法200的流程类似,与方法200的主要区别在于,为了提高智能终端入网的安全性,在家庭网关将用于连接Wi-Fi网络的配网信息通过Beacon帧发送给智能终端前,对配网信息进行加密。在这一过程中,根据智能终端的不同类型,采取不同的配网秘钥生成方法和配网信息的加密方法,从而实现多类型智能终端的安全入网。
方法300开始于步骤302,智能终端将终端信息封装在Probe Request帧中进行发送。根据IEEE 802.11 Wi-Fi标准,智能终端可主动发送Probe Request帧来对周边网络进行扫描。终端信息可被封装在VSIE内并添加到发送的Probe Request帧中。终端信息可至少包括指示智能设备是否是首次配网的信息、智能设备的MAC地址、以及智能终端的ECDH公钥。此外,终端信息还可包括设备ID。此处的设备ID指的是生态圈中的设备ID,或称设备生态ID。若一个设备已经成为智能家居平台、智能网关等构成的生态圈的一部分,例如已经经过了该生态圈的认证和备案,则会被分配一个设备生态ID,在智能家居平台上也会保存有与该设备相关联的密钥信息。如果智能终端是一个生态圈设备,则智能终端将设备ID也添加到Probe Request帧中。
沿用之前表4中给出的示例Probe Request帧的VSIE数据,其中表4的第1行第9列的“02”以及第3行第4列的“05”表示的也是Type。第1行第9列的“02”表示Type为DeviceID,长度17字节,第3行第4列的“05”表示Type为Key,长度48字节,随后的字节中的值即为密钥交换信息。
在步骤304,家庭网关侦听Probe Request帧中具有特定厂商OUI的VSIE。如果该OUI指示的是其他的厂商,则后续快连过程无法继续执行,流程结束,该智能终端可按照常规方式接入网络。如果Probe Request帧中具有特定厂商OUI的VSIE,则方法前进至步骤306。
在步骤306,家庭网关基于接收到的Probe Request帧中封装的终端信息确定所述智能终端是否首次配网。如果确定智能终端是首次配网,则方法前进至步骤308,将指示发现未配网设备的消息发送给用户以请求用户授权为该设备执行配网。例如,家庭网关可通过用户客户端上的APP(例如,电信的小翼管家APP)来通知用户发现一个未配置网络的新设备,询问用户是否要对该新设备进行自动配网,用户可直接在APP中给出是否授权的答复。如果智能终端不是首次配网,则可尝试以原方式将所述智能终端重连入网。
在步骤310,响应于接收到用户的授权,家庭网关检查智能终端发送的ProbeRequest帧中是否包含设备ID信息,以决定采用“PIN码加密方式”还是“ECDH加密方式”来加密配网信息。如果包含设备ID信息,则采用“PIN码加密方式”,方法前进至步骤312。
在步骤312,家庭网关将智能终端的设备ID和ECDH公钥上报给智能家居平台。该设备ID可被智能家居平台用作查询当前网关周边发现的未配网设备信息的接口。
在步骤314,智能家居平台根据智能终端的ECDH公钥生成ECDH交换密钥,然后根据设备ID查询设备PIN码,接着拼接设备PIN码和ECDH交换密钥并通过加密(例如通过SH256算法加密)生成配网密钥,最后将平台ECDH公钥和配网密钥发送给家庭网关。可选地,平台还可将对应于该设备ID的设备信息发送给家庭网关,使得家庭网关能够知晓该设备是什么设备,也方便用户查询时提供这一信息。
在步骤316,家庭网关用接收到的配网密钥对配网信息加密,并将加密后的配网信息与平台ECDH公钥封装在Beacon帧中,发送给智能终端。
返回到步骤310,如果Probe Request帧中不包含设备ID信息,则采用“ECDH加密方式”,方法前进至步骤318。在步骤318,家庭网关根据智能终端的ECDH公钥与家庭网关的ECDH私钥生成ECDH交换秘钥,直接将该ECDH交换秘钥作为配网秘钥。
在步骤320,家庭网关用配网密钥对加密方式对配网信息加密,并将加密后的配网信息与家庭网关的ECDH公钥封装在Beacon帧中,发送给智能终端。
在步骤322,智能终端根据收到的Beacon帧中的信息解密配网信息。更具体地,作为一个示例,智能终端可检查VSIE中是否含有特定OUI,并用其中所包含的MAC地址判断该Beacon帧是否是发给自己的。如果是,则智能终端可根据收到的智能家居平台的ECDH公钥生成ECDH交换密钥,并用自己的设备PIN码与ECDH交换密钥拼接后通过同样的加密方式(例如SH256算法)生成配网密钥,随后用该配网密钥进行解密。替代地,智能终端可根据收到的家庭网关的ECDH公钥与智能设备的ECDH私钥计算出配网密钥,用该配网密钥进行解密。解密后的配网密钥被保存在智能终端处供将来使用。
在步骤324,智能终端设备使用解密后的配网信息连接Wi-Fi网络,流程结束。
以上描述了本发明的智能设备快连入网方法,相对现有技术而言,本发明的方法至少具有以下优点:
(1)不属于网关生态且不支持网关协议标准Probe/Beacon帧的终端采用终端现有加密方式,配网信息采用终端固定秘钥进行加密,安全性差,针对这类设备的配网需求,本发明提供了面向不同终端提供不同等级的安全加密方式,实现了多类型终端的安全入网;
(2)如果智能终端属于网关生态圈,即智能终端在网关平台进行过备案并保留PIN码在网关平台,智能终端通过终端内ECDH私钥与随机数生成ECDH公钥,发送给网关。网关将智能终端ECDH公钥上传至网关平台。平台根据智能终端ECDH公钥与平台ECDH私钥生成ECDH交换秘钥。平台将ECDH交换秘钥与设备在平台保留的PIN码拼接后通过例如SHA256加密生成配网密钥。由于秘钥生成过程在平台实现,实现了高安全性的平台级加密。同时设备PIN码与智能终端一一对应且唯一,实现了配网秘钥的一机一密唯一性,提高了安全性。由于ECDH密钥交换算法,不同终端与网关生成的ECDH交换秘钥不同,具备秘钥随机性。
(3)如果智能终端支持网关协议标准Probe/Beacon帧,智能终端通过终端内ECDH私钥与随机数生成ECDH公钥,发送给网关。网关本地根据智能终端ECDH公钥与网关ECDH私钥生成ECDH交换秘钥。由于ECDH密钥交换算法,不同终端与网关生成的ECDH交换秘钥不同,同样具备秘钥随机性。
以上所已经描述的内容包括所要求保护主题的各方面的示例。当然,出于描绘所要求保护主题的目的而描述每一个可以想到的组件或方法的组合是不可能的,但本领域内的普通技术人员应该认识到,所要求保护主题的许多进一步的组合和排列都是可能的。从而,所公开的主题旨在涵盖落入所附权利要求书的精神和范围内的所有这样的变更、修改和变化。
Claims (10)
1.一种基于IEEE 802.11协议的智能终端安全入网的方法,其特征在于,所述方法包括:
智能终端通过厂商特定信元VSIE将终端信息封装在Probe Request帧中进行发送,其中所述终端信息包括指示智能设备是否是首次配网的信息、智能设备的MAC地址、以及智能终端的ECDH公钥;
家庭网关侦听Probe Request帧中具有特定厂商OUI的VSIE;
家庭网关基于接收到的Probe Request帧中封装的终端信息确定所述智能终端是否首次配网;
响应于确定所述智能终端是首次配网,将指示发现未配网设备的消息发送给用户以请求用户授权为该设备执行配网;
响应于接收到用户的授权,所述家庭网关检查所述Probe Request帧中封装的终端信息中是否还包含设备ID;
所述家庭网关根据检查结果采用不同的加密方式对配网信息进行加密并通过VSIE封装在Beacon帧中发送给所述智能终端;
所述智能终端检查接收到的Beacon帧中的VSIE中是否包含所述特定厂商OUI,以及其中所包含的MAC地址是否是自己的MAC地址;
若是,则所述智能终端对接收到的Beacon帧中封装的信息对所述配网信息解密;以及
所述智能终端用经解密的配网信息接入网络。
2.如权利要求1所述的方法,其特征在于,所述家庭网关根据检查结果采用不同的加密方式对配网信息进行加密并封装在Beacon帧中发送给所述智能终端进一步包括:
响应于所述终端信息中包含设备ID,所述家庭网关将所述设备ID和所述智能终端的ECDH公钥发送给云端的智能家居平台;
所述智能家居平台根据所述智能终端的ECDH公钥生成ECDH交换密钥,根据所述设备ID查询设备PIN码,拼接所述设备PIN码和所述ECDH交换密钥并通过加密生成配网密钥,并将所述智能家居平台的ECDH公钥和所述配网密钥发送给所述家庭网关;以及
所述家庭网关用接收到的配网密钥对配网信息加密,并将加密后的配网信息与所述智能家居平台的ECDH公钥封装在Beacon帧中发送给智能终端。
3.如权利要求2所述的方法,其特征在于,所述智能终端对接收到的Beacon帧中封装的信息对所述配网信息解密进一步包括:
所述智能终端根据接收到的Beacon帧中封装的所述智能家居平台的ECDH公钥生成所述ECDH交换密钥;
所述智能终端用自己的设备PIN码与所述ECDH交换密钥拼接后通过与所述智能家居平台所采用的相同的方式加密生成配网密钥;以及
所述智能终端用所生产的配网密钥对所述配网信息进行解密。
4.如权利要求1所述的方法,其特征在于,所述家庭网关根据检查结果采用不同的加密方式对配网信息进行加密并封装在Beacon帧中发送给所述智能终端进一步包括:
响应于所述终端信息中不包含设备ID,所述家庭网关根据所述智能终端的ECDH公钥与所述家庭网关的ECDH私钥生成ECDH交换秘钥作为配网秘钥;以及
所述家庭网关用所述配网密钥对配网信息加密,并将加密后的配网信息与所述家庭网关的ECDH公钥封装在Beacon帧中发送给智能终端。
5.如权利要求4所述的方法,其特征在于,所述智能终端对接收到的Beacon帧中封装的信息对所述配网信息解密进一步包括:
所述智能终端根据接收到的Beacon帧中封装的所述家庭网关的ECDH公钥与所述智能设备的ECDH私钥生成配网密钥;以及
所述智能终端用所生产的配网密钥对所述配网信息进行解密。
6.如权利要求1所述的方法,其特征在于,所述配网信息包括所述网络的SSID、密码以及加密方式。
7.如权利要求1所述的方法,其特征在于,所述设备ID是由所述智能家居平台分配的生态设备ID。
8.一种基于IEEE 802.11协议的家庭组网系统,其特征在于,所述系统包括:
家庭网关,所述家庭网关经由互联网与云端的智能家居平台通信;
连接到所述家庭网关的一个或多个组网终端;以及
经由所述组网终端中的任意一个与所述家庭网关进行通信交互的一个或多个智能终端,其中:
智能终端通过厂商特定信元VSIE将终端信息封装在Probe Request帧中进行发送,其中所述终端信息包括指示智能设备是否是首次配网的信息、智能设备的MAC地址、以及智能终端的ECDH公钥;
家庭网关侦听Probe Request帧中具有特定厂商OUI的VSIE;
家庭网关基于接收到的Probe Request帧中封装的终端信息确定所述智能终端是否首次配网;
响应于确定所述智能终端是首次配网,将指示发现未配网设备的消息发送给用户以请求用户授权为该设备执行配网;
响应于接收到用户的授权,所述家庭网关检查所述Probe Request帧中封装的终端信息中是否还包含设备ID;
所述家庭网关根据检查结果采用不同的加密方式对配网信息进行加密并通过VSIE封装在Beacon帧中发送给所述智能终端;
所述智能终端检查接收到的Beacon帧中的VSIE中是否包含所述特定厂商OUI,以及其中所包含的MAC地址是否是自己的MAC地址;
若是,则所述智能终端对接收到的Beacon帧中封装的信息对所述配网信息解密;以及
所述智能终端用经解密的配网信息接入网络。
9.如权利要求8所述的系统,其特征在于,所述家庭网关根据检查结果采用不同的加密方式对配网信息进行加密并封装在Beacon帧中发送给所述智能终端进一步包括:
响应于所述终端信息中包含设备ID,所述家庭网关将所述设备ID和所述智能终端的ECDH公钥发送给云端的智能家居平台;
所述智能家居平台根据所述智能终端的ECDH公钥生成ECDH交换密钥,根据所述设备ID查询设备PIN码,拼接所述设备PIN码和所述ECDH交换密钥并通过加密生成配网密钥,并将所述智能家居平台的ECDH公钥和所述配网密钥发送给所述家庭网关;以及
所述家庭网关用接收到的配网密钥对配网信息加密,并将加密后的配网信息与所述智能家居平台的ECDH公钥封装在Beacon帧中发送给智能终端,并且
所述智能终端对接收到的Beacon帧中封装的信息对所述配网信息解密进一步包括:
所述智能终端根据接收到的Beacon帧中封装的所述智能家居平台的ECDH公钥生成所述ECDH交换密钥;
所述智能终端用自己的设备PIN码与所述ECDH交换密钥拼接后通过与所述智能家居平台所采用的相同的方式加密生成配网密钥;以及
所述智能终端用所生产的配网密钥对所述配网信息进行解密。
10.如权利要求8所述的系统,其特征在于,所述家庭网关根据检查结果采用不同的加密方式对配网信息进行加密并封装在Beacon帧中发送给所述智能终端进一步包括:
响应于所述终端信息中不包含设备ID,所述家庭网关根据所述智能终端的ECDH公钥与所述家庭网关的ECDH私钥生成ECDH交换秘钥作为配网秘钥;以及
所述家庭网关用所述配网密钥对配网信息加密,并将加密后的配网信息与所述家庭网关的ECDH公钥封装在Beacon帧中发送给智能终端,并且
所述智能终端对接收到的Beacon帧中封装的信息对所述配网信息解密进一步包括:
所述智能终端根据接收到的Beacon帧中封装的所述家庭网关的ECDH公钥与所述智能设备的ECDH私钥生成配网密钥;以及
所述智能终端用所生产的配网密钥对所述配网信息进行解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911393278.9A CN113068181B (zh) | 2019-12-30 | 2019-12-30 | 多类型智能终端安全入网方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911393278.9A CN113068181B (zh) | 2019-12-30 | 2019-12-30 | 多类型智能终端安全入网方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113068181A true CN113068181A (zh) | 2021-07-02 |
| CN113068181B CN113068181B (zh) | 2023-09-01 |
Family
ID=76558043
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911393278.9A Active CN113068181B (zh) | 2019-12-30 | 2019-12-30 | 多类型智能终端安全入网方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113068181B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113993183A (zh) * | 2021-10-27 | 2022-01-28 | 深圳市芯中芯科技有限公司 | 一种基于Beacon帧的WiFi零配网系统及方法 |
| CN114286338A (zh) * | 2021-12-24 | 2022-04-05 | 珠海格力电器股份有限公司 | 一种设备配网方法、装置、电子设备及存储介质 |
| CN116527260A (zh) * | 2023-07-03 | 2023-08-01 | 广东电网有限责任公司佛山供电局 | 一种电网通讯系统的接入方法、装置、设备和介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105933895A (zh) * | 2016-05-04 | 2016-09-07 | 海尔优家智能科技(北京)有限公司 | Wifi入网配置数据的传输方法、智能设备及智能终端 |
| CN108064048A (zh) * | 2017-10-25 | 2018-05-22 | 合肥润东通信科技股份有限公司 | 一种基于家庭无线网络的智能组网方法 |
| US20180263071A1 (en) * | 2017-03-08 | 2018-09-13 | Samsung Electronics Co., Ltd. | Wireless router, internet of things device and system for supporting connection to wireless router of internet of things device |
| US20190044737A1 (en) * | 2018-01-11 | 2019-02-07 | Ashish Singhi | Secure wireless network association |
-
2019
- 2019-12-30 CN CN201911393278.9A patent/CN113068181B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105933895A (zh) * | 2016-05-04 | 2016-09-07 | 海尔优家智能科技(北京)有限公司 | Wifi入网配置数据的传输方法、智能设备及智能终端 |
| US20180263071A1 (en) * | 2017-03-08 | 2018-09-13 | Samsung Electronics Co., Ltd. | Wireless router, internet of things device and system for supporting connection to wireless router of internet of things device |
| CN108064048A (zh) * | 2017-10-25 | 2018-05-22 | 合肥润东通信科技股份有限公司 | 一种基于家庭无线网络的智能组网方法 |
| US20190044737A1 (en) * | 2018-01-11 | 2019-02-07 | Ashish Singhi | Secure wireless network association |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113993183A (zh) * | 2021-10-27 | 2022-01-28 | 深圳市芯中芯科技有限公司 | 一种基于Beacon帧的WiFi零配网系统及方法 |
| CN113993183B (zh) * | 2021-10-27 | 2024-02-09 | 深圳市芯中芯科技有限公司 | 一种基于Beacon帧的WiFi零配网系统及方法 |
| CN114286338A (zh) * | 2021-12-24 | 2022-04-05 | 珠海格力电器股份有限公司 | 一种设备配网方法、装置、电子设备及存储介质 |
| CN116527260A (zh) * | 2023-07-03 | 2023-08-01 | 广东电网有限责任公司佛山供电局 | 一种电网通讯系统的接入方法、装置、设备和介质 |
| CN116527260B (zh) * | 2023-07-03 | 2023-12-01 | 广东电网有限责任公司佛山供电局 | 一种电网通讯系统的接入方法、装置、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113068181B (zh) | 2023-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11576023B2 (en) | Method and apparatus for providing a secure communication in a self-organizing network | |
| US20210345099A1 (en) | Infrastructure coordinated media access control address assignment | |
| CN106332224B (zh) | 设备配网方法、装置和系统 | |
| US9788352B2 (en) | System and method for multiple Wi-Fi devices automatically connecting to specified access point | |
| KR101560416B1 (ko) | 근거리 통신에서 보안 채널 형성 방법 및 장치 | |
| US9113393B2 (en) | System, method and apparatus for wireless network connection using near field communication | |
| CN101621800B (zh) | 无线终端与无线路由器之间的认证信息交换方法 | |
| CN113068181B (zh) | 多类型智能终端安全入网方法 | |
| CN106060809A (zh) | 一种快速进入无线网络的方法、无线路由设备及智能设备 | |
| WO2009008627A2 (en) | A method of establishing fast security association for handover between heterogeneous radio access networks | |
| KR20140041226A (ko) | 이동 통신 시스템에서 그룹 통신을 위한 보안 관리 방법 및 장치 | |
| CN113132983B (zh) | 智能终端断网重连方法 | |
| US9510130B2 (en) | Provisioning of multiple wireless devices by an access point | |
| CN105636040A (zh) | 设备入网的方法及系统 | |
| US20150249946A1 (en) | Network connection method and device supporting same | |
| US8312151B2 (en) | Communication systems and methods for dynamic and secure simplification of equipment networking | |
| CN108601093B (zh) | 一种无线通信方法及系统 | |
| WO2022166636A1 (zh) | 设备配网方法、装置、设备及存储介质 | |
| US20190261436A1 (en) | Device networking method, apparatus and system | |
| CN113132966A (zh) | 智能终端快连入网方法 | |
| CN115604700A (zh) | 基于Wi-Fi感知的配网方法、嵌入式芯片系统及介质 | |
| CN105848146B (zh) | 一种wifi自动连接的方法、装置及系统 | |
| CN113873505B (zh) | 智能终端自动发现配网方法及系统 | |
| US11722894B2 (en) | Methods and devices for multi-link device (MLD) address discovery in a wireless network | |
| KR102015413B1 (ko) | 로컬 네트워크에서의 인터페이스 설정장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220207 Address after: Room 1423, No. 1256 and 1258, Wanrong Road, Jing'an District, Shanghai 200072 Applicant after: Tianyi Digital Life Technology Co.,Ltd. Address before: 201702 3rd floor, 158 Shuanglian Road, Qingpu District, Shanghai Applicant before: Tianyi Smart Family Technology Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |