CN113906776A - 为可见性呈现用户设备传递受限网络访问凭据 - Google Patents
为可见性呈现用户设备传递受限网络访问凭据 Download PDFInfo
- Publication number
- CN113906776A CN113906776A CN201980096991.9A CN201980096991A CN113906776A CN 113906776 A CN113906776 A CN 113906776A CN 201980096991 A CN201980096991 A CN 201980096991A CN 113906776 A CN113906776 A CN 113906776A
- Authority
- CN
- China
- Prior art keywords
- access
- wireless network
- proximity
- transmission scheme
- psk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于在无线网络中载入客户端设备的接入点,包括处理电路,所述处理电路执行代码以完成以下操作:从目标设备接收到所述无线网络的连接请求,所述连接请求基于预共享密钥(Pre‑Shared Key,PSK);访问存储至少一个访问记录的数据库,其中,所述至少一个访问记录中的每一个在相应PSK和访问策略之间绑定;在所述至少一个访问记录中识别与所述连接请求所基于的所述PSK对应的访问记录;向所述目标设备提供用于所述无线网络的网络实体标识符;以及根据与识别的对应访问记录中的所述PSK关联的所述访问策略,向所述目标设备公开至少一个网络服务。
Description
技术领域
本发明的一些实施例涉及无线通信接入设置,更具体地(但不仅限于)涉及在无线网络中载入客户端设备。
背景技术
无线通信不断发展,并为用户提供各种各样的网络服务,用户使用无线设备访问这些服务。部署无线通信的不同场景覆盖广泛的应用。
通过无线通信提供的网络服务不断发展,波及几乎覆盖现代生活各个方面的各种应用、服务和平台。因此,这些网络服务对越来越复杂的底层网络提出了越来越多的挑战。无线应用的不同部署方案对无线接入的设置提出了一系列要求和限制。
这些具有挑战性的要求包括:需要能够轻松地提供访客设备对无线网络的访问;与原始WiFi保护访问预共享密钥(WiFi Protected Access-Pre-Shared Key,WPA-PSK)安全协议相比安全级别更高;能够灵活应用策略约束,用于限制对网络的不同服务的访问;以及需要能够限制向连接客户端公开的网络视图。
随着移动设备的快速部署,这些挑战可能会进一步增加并变得更加明显,移动设备是运行不同应用的不同用户在各种不同的网络中使用的基本通信工具。
此类无线网络面临的主要挑战之一是需要满足上述要求,因为这些要求所施加的技术约束可能会相互冲突。
在当今解决上述挑战的常见解决方案中,需要在要求之间进行权衡。基本上是在缺乏策略约束的轻松网络配置与能够带外绑定设备的复杂非用户友好设置之间进行权衡。当前的实现方式不支持兼具带内设备载入和简单策略设置。在使用WPA-PSK协议的常见应用的示例中,密码在不同用户之间共享,因此无法实现个性化。无线访问凭据可以通过近场通信(Near Field Communication,NFC)或快速响应(Quick Response,QR)码扫描从已连接设备传递给附近的设备。在此类应用中,网络访问提供已连接设备和所有服务的所有网络拓扑的视图,因此只能通过在媒体接入控制(Media Access Control,MAC)级别部署防火墙来实施限制。这种部署配置起来很复杂,也很难维护。在另一个常见应用例子中,使用了WPA-PSK-Enterprise协议。在此类应用中,需要认证、授权和计费(Authentication-Authorization-Accounting,AAA)基础设施,并且凭据无法轻松地从一台设备传递给另一台设备。然而,虽然这种协议支持灵活定义和实施策略,但它需要事先知道客户端设备的MAC地址。已启用通过AAA用户数据库实施策略组。
十分有必要提供这样一种方法和系统:既能够轻松、不复杂地提供访客设备对无线网络的访问,同时又能够提高安全性级别并支持基于策略约束限制连接设备的访问。
发明内容
本发明实施例的目的在于提供一种减轻或解决传统解决方案的缺点和问题的解决方案。
上述和进一步的目的由独立权利要求的主题实现。进一步的有利实施例可以在从属权利要求中找到。
本发明旨在提供一种用于在无线网络中载入客户端设备的解决方案,所述解决方案支持轻松地提供客户端设备对无线网络的访问,相较于WPA-PSK安全协议具有更高的安全性级别,同时应用策略约束用来限制对网络的不同服务的访问,并且能够限制向连接客户端公开的网络视图。
根据本发明的第一方面,提供了一种用于在无线网络中载入客户端设备的接入点,包括处理电路,所述处理电路执行代码以完成以下操作:
-从目标设备接收到所述无线网络的连接请求,所述连接请求基于预共享密钥(Pre-Shared Key,PSK)。
-访问存储一个或多个访问记录的数据库,所述访问记录中的每一个在相应PSK和访问策略之间绑定。
-在所述访问记录中识别与所述连接请求所基于的所述PSK对应的访问记录。
-向所述目标设备提供用于所述无线网络的网络实体标识符。
-根据与识别的对应访问记录中的所述PSK关联的所述访问策略,向所述目标设备公开一个或多个网络服务。
根据本发明的第二方面,提供了一种用于在无线网络中载入客户端设备的管理员设备,包括处理电路,所述处理电路执行代码以完成以下操作:
-生成用于为目标设备提供对所述无线网络的访问的请求,定义分配的预共享密钥(Pre-Shared Key,PSK)和分配给所述无线网络的访问策略。
-将所述请求发送到所述无线网络的认证实体,以作为访问记录存储在数据库中。
-创建编码所述PSK的接近启用传输方案。
-生成促进接近启用传输方案公开的指令,以使得所述目标设备在靠近所述管理员设备时捕获所述接近启用传输方案,以便使用从所述接近启用传输方案提取的所述PSK连接到所述无线网络。
根据本发明的第三方面,提供了一种用于在无线网络中载入客户端设备的管理员设备,包括处理电路,所述处理电路执行代码以完成以下操作:
-生成用于为目标设备提供对无线网络的访问的访问记录并存储在数据库中,所述访问记录定义客户端身份和密码,并包括指向所述无线网络的多个访问策略组中的一个的链接。
-创建编码所述客户端身份和所述密码的接近启用传输方案。
-生成促进接近启用传输方案公开的指令,以使所述目标设备能够捕获所述接近启用传输方案,以便使用从所述接近启用传输方案提取的所述客户端身份和所述密码连接到所述无线网络进行认证。
根据本发明的第四方面,提供了一种用于在无线网络中载入客户端设备的方法,包括:
-从目标设备接收到所述无线网络的连接请求,所述连接请求基于预共享密钥(Pre-Shared Key,PSK)。
-访问存储一个或多个访问记录的数据库,所述访问记录中的每一个在相应PSK和访问策略之间绑定。
-在所述访问记录中识别与所述连接请求所基于的所述PSK对应的访问记录。
-向所述目标设备提供分配的互联网协议(Internet Protocol,IP)地址和分配的域名系统(Domain Name System,DNS)身份,以用于所述无线网络。
-根据与识别的对应访问记录中的所述PSK关联的所述访问策略,向所述目标设备公开一个或多个网络服务。
根据本发明的第五方面,提供了一种用于在无线网络中载入客户端设备的方法,包括:
-生成用于为目标设备提供对所述无线网络的访问的请求,定义分配的预共享密钥(Pre-Shared Key,PSK)和分配给所述无线网络的访问策略。
-将所述请求发送到所述无线网络的认证实体,以作为访问记录存储在数据库中。
-创建编码所述PSK的接近启用传输方案。
-生成促进接近启用传输方案公开的指令,以使得所述目标设备在靠近所述管理员设备时捕获所述接近启用传输方案,以便使用从所述接近启用传输方案提取的所述PSK连接到所述无线网络。
根据本发明的第六方面,提供了一种用于在无线网络中载入客户端设备的方法,包括:
-生成用于为目标设备提供对所述无线网络的访问的访问记录并存储在数据库中,所述访问记录定义客户端身份和密码,并包括指向所述无线网络的多个访问策略组中的一个的链接。
-创建编码所述客户端身份和所述密码的接近启用传输方案。
-生成促进接近启用传输方案公开的指令,以使所述目标设备能够捕获所述接近启用传输方案,以便使用从所述接近启用传输方案提取的所述客户端身份和所述密码连接到所述无线网络进行认证。
根据本发明的第七方面,提供了一种计算机程序产品,包括计算机程序代码,其中,当所述计算机程序代码由处理器执行时使得根据第四方面、第五方面或第六方面中任一项所述的方法被执行。
根据本发明的第八方面,提供了一种非瞬时性计算机可读记录介质,所述非瞬时性计算机可读记录介质中存储有计算机程序产品,其中,当所述计算机程序产品由处理器执行时使得根据第四方面、第五方面或第六方面中任一项所述的方法被执行。
通过即时创建的安全凭据载入访客设备访问支持轻松实现个性化无线访问,并进一步促进访问策略的实施,因为在创建凭据时策略与凭据相关联。此外,为客户端设备提供与访问策略相关联的凭据,支持移动设备的未经修改客户端软件/固件在未预先安装公钥基础设施(Public Key Infrastructure,PKI)证书的情况下轻松地使用安全服务访问载入网络。这支持通过另一个设备提供访问,例如朋友或管理员的设备。此外,访问是根据策略提供的,仅支持访问支持的网络服务和活动。
在第一方面的另一种实现形式中,使用接近启用传输方案将所述PSK从管理员设备传输到所述目标设备。接近启用传输方案促进了将所述PSK从所述管理员设备传输到所述目标设备,这使得当所述目标设备的用户请求访问由所述管理员设备管理的无线网络时能够轻松、简单和快速地载入所述目标设备。
在第一方面和/或第二方面和/或第三方面的另一种实现形式中,所述接近启用传输方案是由所述目标设备从所述管理员设备的屏幕光学扫描的快速响应(QuickResponse,QR)码。QR光码是一种广泛使用的方案,通过在一台设备的屏幕上显示所述光码,然后由另一台设备使用从所述显示设备捕获图像的摄像头扫描所述光码,以此将数据从一台设备传输到另一台设备。使用所述QR码能够简单、快速地将网络实体标识符传输到请求载入网络的客户端设备,从而简化了载入过程。
在第一方面的另一种实现形式中,所述处理电路还执行代码以完成以下操作:支持不同的目标设备基于个性化密码派生物共享同一个服务集标识符(Service SetIdentifier,SSID),所述个性化密码派生物包括在从多个目标设备中的相应每一个接收的多个连接请求中的每一个中。不同目标设备传输的个性化请求有助于区分不同的目标设备,尽管它们共享具有相同SSID的服务。所述区分通过使用不同的密码并支持提供不同的服务集实现。
在第一方面的另一种实现形式中,所述处理电路还执行代码以完成以下操作:根据所述访问记录中定义的时间限制,限制所述目标设备对所述无线网络的访问。通过控制已支持访问网络的设备被支持继续从网络获取服务的持续时间,将载入设备的所述访问限制在预定义的时间限制内提供了对网络的额外控制。
在第一方面的另一种实现形式中,所述处理电路还执行代码以完成以下操作:基于所述识别的访问记录,将对所述无线网络的访问限制到单个目标设备。通过将所述访问限制到单个目标设备,防止多个设备使用同一个访问记录访问网络,实现对网络利用率和负载的进一步控制。
在第一方面的另一种实现形式中,所述将对所述无线网络的所述访问限制到单个目标设备的实现方式为:从基于相同PSK请求连接的多个目标设备中识别第一MAC地址关联设备,然后将所述访问限制到所述识别的第一MAC地址关联设备。在控制访问网络的客户端设备时,所述访问记录可以定义只支持单个客户端设备使用特定的PSK访问网络。当多个客户端设备使用相同的PSK请求访问时,所述接入点会将访问限制到请求访问的第一台设备。根据第一台设备的MAC地址来识别第一台设备。对设备的所述限制增强了对网络中的连接设备数和负载的控制。
在第一方面的另一种实现形式中,所述网络实体标识符包括分配的互联网协议(Internet Protocol,IP)地址和分配的域名系统(Domain Name System,DNS)身份。
在第二方面的另一种实现形式中,通过向多个不同访问策略组之一提供链接或唯一标识符来定义分配的访问策略。定义不同的策略组并将它们关联到所述访问记录使得能够灵活控制用于向不同客户端设备提供服务的服务和条件集。由于不同的客户端设备可能使用不同的PSK,关联有不同访问策略的不同访问记录支持根据分配给它们的策略区分客户端设备并将它们公开给不同的服务集。
在第二方面的另一种实现形式中,所述处理电路还执行代码以完成以下操作:在所述接近启用传输方案中编码个性化密码,以支持不同的目标设备共享同一个服务集标识符(Service Set Identifier,SSID)。不同目标设备传输的个性化请求有助于区分不同的目标设备,尽管它们共享具有相同SSID的服务。所述区分通过使用可以嵌入在所述接近启用传输方案中的不同密码并支持提供不同的服务集实现。
在第二方面的另一种实现形式中,所述处理电路还执行代码以生成修改所述数据库中访问记录的请求。所述管理员设备在能够修改所述访问记录时,可以支持管理员更改所述访问记录中的定义以及修改所述访问记录中参数的定义,例如更改与某些PSK相关联的所述访问策略。这种灵活性增强了对将载入网络的客户端设备的控制。
在第二方面的另一种实现形式中,所述处理电路还执行代码以在所述请求中包括多个不同访问策略组中的一个的链接或唯一标识符。所述管理员设备可以在所述请求中定义向目标设备不同策略组提供访问。这支持所述管理员设备灵活地控制用于向不同客户端设备提供服务的服务和条件集。由于不同的客户端设备可能使用不同的PSK,关联有不同访问策略的不同访问记录支持根据分配给它们的策略区分客户端设备并将它们公开给不同的服务集。
在第二方面的另一种实现形式中,所述处理电路还执行代码以生成对所述访问记录的生命周期进行日程安排的请求。通过支持所述管理员设备请求访问记录仅在某个预定义的时间范围内有效,增强了所述管理员设备对网络的可控制性。通过向所述管理员设备提供控制访问记录的到期时间的能力,所述管理员设备实现了对客户端设备的更密切和更严格的监控和控制。
在第二方面和/或第三方面的另一种实现形式中,所述接近启用传输方案是可见性呈现传输方案,所述生成的用于促进所述接近启用传输方案的所述公开的指令是用以在所述管理员设备的屏幕上显示所述可见性呈现传输方案以供所述目标设备光学扫描的指令。可见性呈现传输方案是一种广泛使用的方案,通过在一台设备的屏幕上显示可见呈现码,然后由另一台设备使用从所述显示设备捕获图像的摄像头扫描所述呈现码,以此将数据从一台设备传输到另一台设备。使用所述可见性呈现传输方案能够简单、快速地将所述PSK等传输到请求连接网络的客户端设备,从而简化了载入过程。
除非另有定义,否则本文所用的所有技术和科学术语都具有与本发明普通技术人员公知的含义相同的含义。尽管与本文所描述的方法和材料类似或者相同的方法和材料可以用于本发明实施例的实践或测试,但下文只描述示例性的方法和/或材料。若存在冲突,则以包括定义在内的专利说明书为准。另外,材料、方法以及示例都只是用于说明,并非必要限定。
附图说明
此处仅作为示例,结合附图描述了本发明的一些实施例。现在具体结合附图,需要强调的是所示的项目作为示例,为了说明性地讨论本发明的实施例。这样,根据附图说明,如何实践本发明实施例对本领域技术人员而言是显而易见的。
在附图中:
图1示出了根据本发明一些实施例的使用在PSK和访问策略之间绑定的访问记录在无线网络中载入客户端设备的示例性过程的流程图;
图2示出了根据本发明一些实施例的使用在PSK和访问策略之间绑定的访问记录在无线网络中载入客户端设备的第二示例性过程的流程图;
图3示出了根据本发明一些实施例的使用在客户端身份和密码之间绑定的访问记录在无线网络中载入客户端设备的第三示例性过程的流程图;
图4是使用WPA-PSK协议建立对访客设备的无线接入的示例性现有技术系统的示意图;
图5是使用WPA-PSK Enterprise协议建立对访客设备的无线接入的第二示例性现有技术系统的示意图;
图6是根据本发明一些实施例的用于使用访问记录在无线网络中载入客户端设备的示例性无线网络系统的示意图;
图7是根据本发明一些实施例的用于使用访问记录在无线网络中载入客户端设备的第二示例性无线网络系统的示意图;
图8是根据本发明一些实施例的用于使用访问记录在无线网络中载入客户端设备的第三示例性无线网络系统的示意图。
具体实施方式
本发明的一些实施例涉及无线通信接入设置,更具体地(但不仅限于)涉及在无线网络中载入客户端设备。
本发明提供用于设置客户端设备对无线网络的访问的设备、系统和方法,特别是使用访问记录在无线网络中载入客户端设备。
无线通信网络可以是部署在不同类型环境中的网络,例如家庭网络、商业环境、公共环境、企业环境等。客户端设备可以是具有无线通信能力的任何计算设备,例如移动设备、蜂窝电话、平板计算设备、笔记本、台式设备或任何其它移动计算设备或固定计算设备。
当客户端设备进入无线通信网络覆盖的环境时,客户端设备可以请求连接到无线网络,以便从无线网络接收服务,例如与连接到网络的其它设备进行通信;访问其它应用、存储设备、服务器以及网络中管理的其它设备和服务。
本文中使用的术语“载入”是指支持客户端设备连接到无线网络并从该网络接收服务和通过该网络接收服务。
管理设备可以是任何固定或移动计算设备,它在无线网络中被定义为管理员设备并具有管理员设备权限。这种设备可以是笔记本电脑、蜂窝电话或其它移动电话、台式机、平板电脑等。管理设备可以向网络的认证实体生成请求,以向载入客户端设备提供访问。此类请求可以定义分配的预共享密钥(Pre-Shared Key,PSK)和分配的访问策略,该访问策略定义可以公开给客户端设备的服务的设置。管理设备发送的请求可以由认证实体存储为访问记录。在一可选实现形式中,由管理设备生成和存储访问记录。如上所述,访问记录可以用于载入可能请求连接到网络的客户端设备。在一可选实现形式中,访问记录可以为客户端定义客户端身份和密码,还可以包括指向多个访问策略组中的一个的链接。每个策略组可以定义一组不同的服务和限制,这些服务和限制可以提供和/或施加到连接到网络的设备上。
客户端设备的用户可以靠近管理设备以便连接到网络。管理设备可以生成可以编码PSK的接近启用传输方案,或者在一可选实现方式中,管理设备可以生成可以编码客户端身份和密码的接近启用传输方案。接近启用传输方案是一种在靠近管理设备时将编码的信息传输到另一台设备的方法。接近启用传输方案可以实现为近场通信(Near FieldCommunication,NFC)方案、快速响应(Quick Response,QR)码等。在使用QR码的示例性实现形式中,管理设备可以在管理设备的屏幕上显示视觉码(即QR码),客户端设备的用户可以靠近管理设备,操作客户端设备以使用客户端设备的摄像头捕获管理设备的屏幕上显示的图像。然后,客户端设备可以从码中提取PSK或者客户端身份和密码,并连接到网络。
从码中提取PSK后,客户端设备可以基于提取的PSK发送连接到无线网络的请求。可以接收该请求的接入点可以访问存储有访问记录的数据库,并在该数据库上存储的访问记录中识别与从客户端设备接收的请求中提供的PSK对应的访问记录。然后,接入点可以向客户端设备提供用于无线网络的网络实体标识符。例如,接入点可以提供分配的互联网协议(Internet Protocol,IP)地址和分配的域名系统(Domain Name System,DNS)。
根据与为客户端设备识别的访问记录相关联的访问策略,接入点可以向载入网络的客户端设备公开一组网络服务。
如上所述,通过所描述的实现方式实现个性化无线接入无缝载入和对预配置服务集的安全访问。这支持具有不同预共享密钥的多个用户共享同一个服务集标识符(ServiceSet Identifier,SSID)。上述实现方式支持基于特定策略限制服务访问的提供。
访问基础设施可以限制客户端设备将凭据仅用于单个物理设备,并可以通过MAC地址识别第一个关联的设备,并且仅支持该设备通过网络进行通信。此外,使用设备的MAC地址可支持施加基于策略的额外限制。
用户凭据可以在预定义的时间间隔内有效,并且可以有时间限制。
管理设备可以安装有管理应用编程接口(Application Programming Interface,API),该API为管理设备提供各种功能,例如:创建、编辑或删除访问记录;将预定义的用户策略附加到访问记录;计划用户记录的生命周期等。例如,如上所述,管理用户记录需要具有认证、授权和计费(Authentication-Authorization-Accounting,AAA)平台的API。
上述实现方式使得客户端设备不再需要管理PKI证书,并且如上文所述,连接方案可以无缝地对传统设备发挥作用。
在一示例性实施例中,客户端设备载入无线网络的提供是基于PSK提供的动态身份。管理设备可以分配新的预共享密钥(new pre-shared key,PSKnew)。管理设备可以发起更新请求并且可以在AAA后端数据库中将PSKnew存储为访问记录,在AAA后端数据库中访问记录可以关联到访问策略组。访问记录未与客户端相关联,并且可以具有有限的寿命。当客户端设备接近管理设备(位置接近)时,管理设备支持客户端使用可能安装或连接到客户端设备的本机相机应用程序读取QR码。提取QR码之后,客户端设备可以将QR码解释为有效的Wi-Fi网络配置,并相应地配置客户端设备。客户端设备和接入点(access point,AP)可能会在AP可能尚未获知正确的PSKnew时开始WPA握手。AP可以验证客户端的数据包,并确定客户端使用了错误的PSK。然后,AP可以访问AAA通过查找操作来在AAA上查找正确的PSKnew。AAA服务器可以在客户端设备提供的PSKnew和WPA握手响应中的客户端签名之间找到匹配。AAA服务器可以将客户端MAC地址与找到的PSKnew关联起来。匹配后,AAA服务器可以安全地将PSKnew返回给AP。然后,接入点可以使用AAA提供的RADIUS-Accept数据包中提供的新PSK覆盖默认PSK。此时,AP可能会使用PSKnew触发与客户端设备的完整WPA握手,然后可能会授予客户端设备连接到网络的权限。
在一可选的实施例中,可以部署修改的QR码方案,该方案在接入点(AccessPoint,AP)可能不需要特殊支持。修改的QR码方案可用于即时配置安全Wi-Fi接入。客户端设备支持可能只需要更改QR码方案解释。修改的QR码方案支持使用隐藏用户身份的协议配置WPA-Enterprise,例如EAP-PEAP/EAP-TTLS。QR码可以编码SSID、user@domain和密码参数以正确配置认证。访问策略可以隐式编码在服务器用作令牌的客户端身份/密码对中。服务策略可以映射到有时间限制的认证令牌中。
在详细解释本发明的至少一个实施例之前,应当理解,本发明不必将其应用限于下面描述中阐述的和/或在附图和/或实施例中说明的部件和/或方法的结构和布置的细节。本发明可以有其它实施例或可以采用各种方式实践或执行。
本发明可以为系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质(或多个介质),计算机可读存储介质具有用于使处理器执行本发明的各方面的指令。
计算机可读存储介质可以为可保留和存储供指令执行设备使用的指令的有形设备。计算机可读存储介质可以为,例如但不限于电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或前述的任何适当组合。
可以从计算机可读存储介质中将此处描述的计算机可读程序指令下载到各个计算/处理设备上,或通过网络下载到外部计算机或外部存储设备上。所述网络为因特网、局域网、广域网和/或无线网等。
计算机可读程序指令可以完全在诸如用户设备(user equipment,UE)的用户计算机上执行,部分在用户计算机上执行,或者作为独立的软件包,部分在用户计算机上执行,部分在诸如网络装置的远程计算机上执行,或完全在远程计算机或服务器上执行。在后一种场景中,远程计算机可以通过任何类型的网络连接到用户计算机,包括局域网(localarea network,LAN)或广域网(wide area network,WAN),或者可以(例如,使用互联网服务提供商通过互联网)连接到外部计算机。在一些实施例中,包括可编程逻辑电路、现场可编程门阵列(field-programmable gate array,FPGA)或可编程逻辑阵列(programmablelogic array,PLA)等的电子电路可以利用计算机可读程序指令的状态信息执行所述计算机可读程序指令以个性化所述电子电路,以便执行本发明的各方面。
此处,结合本发明实施例的方法、装置(系统)以及计算机程序产品的流程图和/或框图描述本发明的各方面。应当理解,流程图和/或框图的每个框以及流程图和/或框图中的框的组合可以由计算机可读程序指令来实现。
图中的流程图和框图阐述了根据本发明各个实施例的系统、方法以及计算机程序产品的可能实现方式的结构、功能以及操作。就此而言,流程图或框图中的每个块可以表示模块、区段或指令的部分,其包括用于实施指定逻辑功能的一个或多个可执行指令。在一些可选的实现方式中,框中指出的功能可以不按照图中的顺序实现。例如,事实上,连续示出的两个方块可以几乎同时执行,或者有时候,方块可以按照相反的顺序执行,这取决于所涉及的功能。也应注意的是,框图和/或流程图中的每个框以及框图和/或流程图中的框组合可以由基于专用硬件的系统执行,该系统执行特定的功能或动作,或者执行专用硬件和计算机指令的组合。
现参考图1,图1示出了根据本发明一些实施例的使用在PSK和访问策略之间绑定的访问记录在无线网络中载入客户端设备的示例性过程的流程图。
可以执行示例性过程100以便在无线网络中载入客户端设备。客户端设备,也称为目标设备,可以是基于处理器的设备,其具有通过无线网络与其它设备进行通信的能力。目标设备可以是蜂窝电话、移动设备、笔记本电脑、平板电脑或任何其它个人辅助设备、固定设备(例如台式计算机)等。当目标设备进入由一个或多个无线网络覆盖的地理区域时,可以执行过程100。目标设备的用户可能希望使用目标设备并连接到无线网络,以便访问连接到无线网络的其它设备,例如打印机、存储设备等。该用户可能希望使用目标设备接收由无线网络提供和通过无线网络提供的其它服务。无线网络可以是专用网络,可以是商业环境、旅游环境、企业环境等环境中的公共网络,也可以是部署在不同类型的机构或设施中的其它网络。无线网络可能能够提供不同类型的服务,这些服务可能是通用服务或标准服务,例如打印服务、存储服务等,并且可能能够提供特定类型的服务,这些服务可能特定于运行网络的特定设施或机构。无线网络可能能够提供为某些用户提供可能受限的服务。因此,可能需要对不同的用户客户端设备实施不同的访问策略,以便可以为不同的客户端设备或不同的用户分配不同的权限,以及公开不同的服务或不同的网络拓扑。
为了能够轻松、简单地载入进入无线网络的运营区域的新目标设备,同时根据适合特定用户和/或设备的所需访问策略分配服务,可以执行示例性过程100。
执行示例性过程100可以由接入点设备执行。
在步骤102,从目标设备接收连接到无线网络的连接请求。当目标设备进入无线网络的覆盖范围并且在目标设备内启用了无线通信时,可以从客户端设备发送连接请求。连接请求可以基于预共享密钥(Pre-Shared Key,PSK)。在发送连接请求之前,PSK可能已从管理员设备传输到目标设备。管理设备可以部署接近启用传输方案来传输PSK。接近启用传输方案可以使用近场通信(Near Field Communication,NFC)无线协议、诸如快速响应(QuickResponse,QR)码之类的视觉方案等。例如,当使用QR码作为接近启用传输方案时,管理设备可以将包括PSK的信息编码为视觉图像。管理员设备可以在管理员设备的屏幕上呈现QR码。目标设备的用户可以接近管理员设备,使用可以安装在目标设备中的本机相机应用程序等捕获管理员设备的屏幕上呈现的QR码图像。然后,目标设备可以从编码的QR码中提取信息。
可能的QR码方案的示例可以是:
WIFI:S:ssid;I:Identity;P:password;E:PEAP;PH:MS-CHAPv2;;
上面是可能需要转换为QR码的字符串。该方案要求使用相关的WiFi信息替换不同的部分。不同的字段可以解释如下:
S:SSID
I:身份
P:密码
E:EAP方法(PEAP/TTLS)
PH:阶段2认证协议。
在步骤104,可以访问存储访问记录的数据库。当从请求连接到无线网络的目标设备接收到连接请求时,执行过程100的AP可以访问该数据库。该数据库可以实施在认证、授权和计费(Authentication-Authorization-Accounting,AAA)基础设施或服务器或AAA基础设施或服务器可访问的存储设备等内。访问记录中的每一个可以绑定在某个PSK和访问策略之间。访问策略可以定义连接到无线网络并使用访问策略实施的设备的权限和限制。访问策略可以定义可以向受影响的目标设备提供哪些服务,因为网络能够提供的某些服务可能被限制为不能提供给一个目标设备,但可能支持提供给另一个目标设备,如在不同的访问记录中所定义。访问策略还可以定义可以向访问策略下连接的目标设备公开哪些网络拓扑。
在步骤106,例如可以通过执行过程100的接入点在存储访问记录的数据库中识别特定访问记录。可以通过比较连接请求所基于的PSK和不同访问记录中包含的PSK来识别所述特定访问记录。在该步骤中可以识别PSK与请求所基于的PSK相匹配的访问记录。根据识别的访问记录,可以识别分配给目标设备的访问策略。
在步骤108,可以向目标设备提供分配的互联网协议(Internet Protocol,IP)地址和分配的域名系统(Domain Name System,DNS)身份。例如,执行示例性过程100的AP可以向目标设备提供所述IP地址和DNS。目标设备在连接到无线网络时可以使用所述IP地址和DNS身份。
在步骤110,可以在利用无线连接的同时,向目标设备公开网络能够提供的一组服务,这一组服务可以是一个或多个服务。这一组服务可以由与在步骤106中识别的特定访问记录相关联的访问策略定义。公开给目标设备的服务可以是特定网络拓扑,该网络拓扑与目标设备在特定访问策略下被支持访问的设备相映射;这些服务还可以包括对其它应用的访问,对这些应用程序的访问可能受到限制;或者其它服务。
不同的目标设备可能会请求接到无线网络。在这种情况下,可以执行过程100的AP可以支持不同的目标设备基于个性化密码派生物共享同一个服务集标识符(Service SetIdentifier,SSID),所述个性化密码派生物包括在从不同目标设备接收到的连接请求中的每一个中。
当多个目标设备使用相同的PSK请求连接到网络时,执行过程100的实体,例如AP,会将目标设备对无线网络的访问限制到单个目标设备。这种限制可以基于识别的访问记录。在这种情况下,所述单个目标设备可以识别为请求连接的第一台设备,通过与第一台设备关联的MAC地址进行识别。
现参考图2,图2示出了根据本发明一些实施例的使用在PSK和访问策略之间绑定的访问记录在无线网络中载入客户端设备的第二示例性过程的流程图。
可以执行示例性过程200以便在无线网络中载入客户端设备。客户端设备,也称为目标设备,可以是基于处理器的设备,其具有通过无线网络与其它设备进行通信的能力。目标设备可以是蜂窝电话、移动设备、笔记本电脑、平板电脑或任何其它个人辅助设备、固定设备(例如台式计算机)等。
示例性过程200可以由管理员设备执行,在本文中也称为管理设备。管理设备可以是任何固定或移动计算设备,它在无线网络中被定义为管理员设备并具有管理员设备权限。此类设备可以是笔记本电脑、蜂窝电话或其它移动电话、台式机、平板电脑等。示例性过程200可用于轻松、快速地载入请求连接到无线网络的目标设备。
在步骤202,例如由管理员设备生成为目标设备提供对无线网络的访问的请求。该请求可以转发到AAA基础设施服务器。该请求可以定义分配的PSK和分配给无线网络的访问策略。可以针对多个PSK重复该步骤,使得可以为每个PSK分配不同的访问策略。这样可以为可能请求连接到网络的潜在目标设备设置不同的服务集。通过分配具有不同访问策略的不同PSK,管理设备可以通过分配不同的PSK(其中,每个PSK可以与不同的访问策略相关联)来促进向不同目标设备提供不同服务。
在步骤204中,执行示例性过程200的实体(可以是管理员设备)可以将请求发送到无线网络的认证实体,例如AAA服务器或基础设施。AAA服务器或认证实体可以将请求作为访问记录存储在数据库中。该数据库可以存储多个访问记录,其中,每个记录可以包括不同的PSK和与该特定PSK相关联的访问策略。
在步骤206中,创建接近启用传输方案。接近启用传输方案可以编码PSK,或者在一可选实现方式中,可以编码客户端身份和密码。接近启用传输方案是一种在靠近管理设备时将编码的信息传输到另一台设备的方法。接近启用传输方案可以实现为近场通信(NearField Communication,NFC)方案、快速响应(Quick Response,QR)码等。
在步骤208中,例如可以由管理设备生成促进接近启用传输方案公开的指令。公开使得当目标设备靠近管理员设备时能够捕获接近启用传输方案。
在使用QR码作为接近启用传输方案的示例性实现方式中,管理设备可以在管理设备的屏幕上显示视觉码(即QR码),客户端设备的用户可以靠近管理设备,操作客户端设备以使用客户端设备的摄像头捕获管理设备的屏幕上显示的图像。然后,客户端设备可以提取PSK,或者在一可选实现方式中,提取客户端身份和密码,并使用PSK或客户端身份和密码连接到网络。
现参考图3,图3示出了根据本发明一些实施例的使用在客户端身份和密码之间绑定的访问记录在无线网络中载入客户端设备的第三示例性过程的流程图。
可以执行示例性过程300以便在无线网络中载入客户端设备。客户端设备,也称为目标设备,可以是基于处理器的设备,其具有通过无线网络与其它设备进行通信的能力。目标设备可以是蜂窝电话、移动设备、笔记本电脑、平板电脑或任何其它个人辅助设备、固定设备(例如台式计算机)等。
示例性过程300可以由管理员设备执行,在本文中也称为管理设备。管理设备可以是任何固定或移动计算设备,它在无线网络中被定义为管理员设备并具有管理员设备权限。此类设备可以是笔记本电脑、蜂窝电话或其它移动电话、台式机、平板电脑等。示例性过程300可用于轻松、快速地载入请求连接到无线网络的目标设备。
在步骤302,可以生成用于为目标设备提供对无线网络的访问的访问记录并存储在数据库中。该访问记录可以定义客户端身份和密码,并且可以包括指向无线网络的多个访问策略组中的一个的链接。数据库可以存储多个访问记录,每个访问记录可以定义不同的客户端身份和密码对,并且可以包括指向不同访问策略组的链接。由此,每个访问记录可以用于根据不同的客户端身份和密码对配置不同的服务集以及对不同目标设备的不同网络公开。数据库可以在AAA基础设施或服务器中实现。
在步骤304中,创建接近启用传输方案。接近启用传输方案可以编码客户端身份和密码。接近启用传输方案是一种在靠近管理设备时将编码的信息传输到另一台设备的方法。接近启用传输方案可以实现为近场通信(Near Field Communication,NFC)方案、快速响应(Quick Response,QR)码等。
在步骤306中,例如可以由管理设备生成促进接近启用传输方案公开的指令。公开使得当目标设备靠近管理员设备时能够捕获接近启用传输方案。
在使用QR码作为接近启用传输方案的示例性实现方式中,管理设备可以在管理设备的屏幕上显示视觉码(即QR码),客户端设备的用户可以靠近管理设备,操作客户端设备以使用客户端设备的摄像头捕获管理设备的屏幕上显示的图像。然后,客户端设备可以提取客户端身份和密码,并在连接到无线网络时将客户端身份和密码用于认证过程。
现参考图4,图4是使用WPA-PSK协议建立对访客设备的无线接入的示例性现有技术系统的示意图。
系统400描述了具有能够进行无线通信的设备可以连接到的可用无线网络的环境。已连接设备404是已经连接到网络的设备。设备的接入通过部署接入点(Access Point,AP)406进行。管理人员408可以负责管理用于载入设备等的限制、程序和过程。访客设备402可以由可能希望获得服务并利用无线网络的用户使用。在设置400的示例中,使用了使用WPA-PSK协议的常见应用。密码在不同用户之间共享,因此无法实现个性化。无线访问凭据可以通过近场通信(Near Field Communication,NFC)或快速响应(Quick Response,QR)码扫描410从连接的设备404传递给附近的访客设备402。访客设备402被配置为在412接入网络,并通过使用客户端MAC地址414探测网络与AP 406通信。执行带外操作以将MAC附加到定义的策略组418。使用PSK执行完整WPA握手,然后执行访客设备416的授权。在此类应用中,网络访问提供已连接设备和所有服务的所有网络拓扑的视图,因此只能通过在媒体接入控制(Media Access Control,MAC)级别部署防火墙来实施限制。这种部署配置起来很复杂,也很难维护。
现参考图5,图5是使用WPA-PSK协议建立对访客设备的无线接入的第二示例性现有技术系统的示意图。
系统500描述了使用WPA-PSK Enterprise协议管理的无线网络的企业环境。系统500需要部署AAA基础设施508。载入访客设备502不能从已连接设备切换到访客设备502。需要执行带外操作,例如通过管理人员504的监督。带外操作可能需要向管理员504提供访客设备502的MAC地址510。管理员会将MAC地址和PSK存储为记录,其中包含指向AAA基础设施508处策略组512的链接。必须手动配置访客设备502以访问网络514。访客设备502通过与接入点(Access Point,AP)516通信来探测网络,AP 516访问AAA基础设施来查找正确的PSK518。AP从AAA 508检索加密的PSK 520,并覆盖现有的PSK 522。在此阶段,可以使用检索到的PSK发起完整WPA握手操作,然后进行授权524。此过程支持灵活定义和实施策略,但需要事先知道客户端设备的MAC地址,才能通过AAA用户数据库启用策略组实施。
现参考图6,图6是根据本发明一些实施例的用于使用访问记录在无线网络中载入客户端设备的示例性无线网络系统的示意图。
系统600可以是作为专用网络、公共网络、企业网络等运行的无线通信网络。访客设备602可以进入无线网络覆盖的区域并可以请求连接到网络以获得网络提供的服务,例如访问连接到网络的设备(如打印机、扫描仪、存储设备、服务器等)以及访问网络可能提供的应用程序。访客设备602可以是移动设备,例如蜂窝电话、智能手机、个人数字助理(Personal Digital Assistance,PDA)设备、笔记本电脑、平板电脑等。访客设备可以具有通过无线通信进行通信的能力。访客设备可以嵌入相机和用于操作相机的本机应用程序。访客设备可以连接到相机。
管理设备604(或者称为管理员设备)可以是有权在无线网络中执行管理操作的移动设备或固定设备。管理设备可以操作以促进个性化无线接入无缝载入和对预配置服务集的安全访问。该系统可以包括授权和访问基础设施606(例如服务器)以及可用于存储数据库608的存储设备。管理设备604可以生成用户和为该用户分配的访问策略。管理设备可以请求610从授权和访问基础设施606创建用户记录。用户记录,也称为访问记录,可以定义当分配的用户连接到网络时可以向其提供的一组网络服务。授权和访问基础设施可以可选地通过无线网络在数据库中创建和存储用户记录及关联的支持服务集612,所述数据库可以实现为授权和访问基础设施可访问的存储设备。
管理设备604可以安装有管理应用编程接口(Application ProgrammingInterface,API),该API可以为管理设备604提供各种功能,例如:创建、编辑或删除访问记录;将预定义的用户策略附加到访问记录;计划用户记录的生命周期等。例如,如上所述,管理用户记录可能需要具有认证、授权和计费(Authentication-Authorization-Accounting,AAA)平台的API。
管理设备604可以创建接近启用传输方案。接近启用传输方案可以编码凭据,例如客户端身份和密码。接近启用传输方案是一种在靠近管理设备时将编码的信息传输到另一台设备的方法。接近启用传输方案可以实现为近场通信(Near Field Communication,NFC)方案、快速响应(Quick Response,QR)码等。
在614中,访客设备可以接近管理设备604到支持操作接近启用传输方案的接近度。管理设备604可以促进接近启用传输方案对访客设备的公开。例如,可以在管理设备604的显示器上呈现QR码的图像。公开使得访客设备能够捕获接近启用传输方案。在使用QR码作为接近启用传输方案的示例性实现方式中,访客设备602的用户可以操作客户端设备以使用客户端设备的摄像头捕获管理设备的屏幕上显示的图像。然后,客户端设备602可以提取凭据,并使用这些凭据访问无线网络616。授权和访问基础设施606可以从访客设备接收连接请求,包括从QR码616提取的凭据,并且可以在数据库中执行查找618以识别访客设备提供的凭据与存储在数据库608中的用户记录之间的匹配。识别匹配记录后,将查找与匹配访问记录关联的访问策略。根据授权和访问基础设施基于匹配访问记录识别的访问策略,授权和访问基础设施可以配置可以提供给访客设备602的服务访问。在622,授权和访问基础设施可以认证访客设备602,并为访客设备提供分配的互联网协议(Internet Protocol,IP)地址和分配的域名系统(Domain Name System,DNS),以支持访客设备连接到网络并接收为访客设备配置的服务。
管理设备可以定义用户凭据可以受时间限制。对不同的访客设备602使用不同的访问记录可以支持具有不同预共享密钥的多个用户共享相同的SSID。管理设备可以定义授权和访问基础设施将限制凭据仅供单个物理设备602使用。通过使用凭据识别第一台访客设备的MAC地址,授权和访问基础设施可以仅支持来自第一台关联设备的MAC地址的流量。
现参考图7,图7是根据本发明一些实施例的用于使用访问记录在无线网络中载入客户端设备的第二示例性无线网络系统的示意图。
系统700可以是作为专用网络、公共网络、企业网络等运行的无线通信网络,并且可以基于基于PSK提供的动态身份。访客设备702可以进入无线网络覆盖的区域并可以请求连接到网络以获得网络提供的服务,例如访问连接到网络的设备(如打印机、扫描仪、存储设备、服务器等)以及访问网络可能提供的应用程序。访客设备702可以是移动设备,例如蜂窝电话、智能手机、个人数字助理(Personal Digital Assistance,PDA)设备、笔记本电脑、平板电脑等。访客设备可以具有通过无线通信进行通信的能力。访客设备可以嵌入相机和用于操作相机的本机应用程序。访客设备可以连接到相机。
管理设备704(或者称为管理员设备)可以是有权在无线网络中执行管理操作的移动设备或固定设备。管理设备可以操作以促进个性化无线接入无缝载入和对预配置服务集的安全访问。管理设备可以使用处理电路(或多个电路),所述处理电路可以执行存储在可嵌入管理设备中的程序存储器中的代码。该系统可以包括接入点(Access Point,AP)设备706,所述AP设备可以使用处理电路(或多个电路),所述处理电路可以执行存储在可嵌入所述AP中的程序存储器中的代码。
在710中,管理设备704可以生成新的PSK(new PSK,PSKnew),并向认证、授权和计费(Authentication-Authorization-Accounting,AAA)基础设施708(如服务器)发送请求,以创建和存储包含指向策略组的链接的访问记录。
访问记录可以定义在连接到网络时可以支持向用户提供的一组网络服务。AAA708可以在数据库中创建和存储访问记录以及由策略组定义的相关联支持服务,所述数据库可以实现为AAA基础设施可访问的存储设备。访问记录(也称为客户端未关联记录)可以具有有限的寿命。
管理设备704可以安装有管理应用编程接口(Application ProgrammingInterface,API),该API可以为管理设备704提供各种功能,例如:创建、编辑或删除访问记录;将预定义的用户策略附加到访问记录;计划用户记录的生命周期等。例如,如上所述,管理用户记录可能需要具有AAA平台的API。
管理设备704可以创建接近启用传输方案。接近启用传输方案可以编码PSKnew。在712中,访客设备702可以接近管理设备704到支持操作接近启用传输方案的接近度。管理设备704可以促进接近启用传输方案对访客设备的公开。例如,可以在管理设备704的显示器上呈现QR码的图像。公开使得访客设备702能够捕获接近启用传输方案。在使用QR码作为接近启用传输方案的示例性实现方式中,访客设备702的用户可以操作客户端设备以使用客户端设备的摄像头捕获管理设备704的屏幕上显示的图像。然后,客户端设备702可以从QR码中提取PSKnew,并且可以将QR码解释为有效的Wi-Fi网络配置,并可以相应地配置访客设备714。
在716,客户端设备702和AP 706可以开始WPA握手过程。此时,AP可能尚未获知正确的PSKnew。AP 706可以尝试通过使用例如默认PSK来验证客户端设备的数据包,并且可以得出结论客户端设备702使用了错误的PSK。
在718,接入点706可以在AAA服务器708处执行查找操作,以在AAA存储的访问记录之一中识别正确的PSKnew。
在720,AAA服务器708可以在访问记录的PSKnew和来自步骤716的WPA握手过程的客户端签名之间找到匹配。AAA服务器可以将访客设备的MAC地址关联到PSKnew,并在722安全地将PSKnew返回给AP,例如加密、例如作为RADIUS-Accept数据包。
在724,AP 706可以使用新的PSK(即PSKnew)覆盖AP在716的部分握手中使用的PSK。
在726,AP可以使用PSKnew触发与访客设备702的四次握手,然后进行授权。
现参考图8,图8是根据本发明一些实施例的用于使用访问记录在无线网络中载入客户端设备的第三示例性无线网络系统的示意图。
系统800可以是作为专用网络、公共网络、企业网络等运行的无线通信网络,并且可以基于在接入点可能不需要特殊支持的修改的QR码方案。访客设备802(或者称为客户端设备或目标设备)可以进入无线网络覆盖的区域并可以请求连接到网络以获得网络提供的服务,例如访问连接到网络的设备(如打印机、扫描仪、存储设备、服务器等)以及访问网络可能提供的应用程序。访客设备802可以是移动设备,例如蜂窝电话、智能手机、个人数字助理(Personal Digital Assistance,PDA)设备、笔记本电脑、平板电脑等。访客设备可以具有通过无线通信进行通信的能力。访客设备可以嵌入相机和用于操作相机的本机应用程序。访客设备可以连接到相机。
管理设备804(或者称为管理员设备)可以是有权在无线网络中执行管理操作的移动设备或固定设备。管理设备可以操作以促进个性化无线接入无缝载入和对预配置服务集的安全访问。管理设备可以使用处理电路(或多个电路),所述处理电路可以执行存储在可嵌入管理设备中的程序存储器中的代码。该系统可以包括接入点(Access Point,AP)设备806,所述AP设备可以使用处理电路(或多个电路),所述处理电路可以执行存储在可嵌入所述接入点中的程序存储器中的代码。
在810中,管理设备804可以生成访问记录,该访问记录可以定义用户名(用户标识(user identity,ID))和密码,并且可以包括指向策略组的链接。该策略组可以是多个策略组中的一个,其中,每个策略组可以定义一组服务,这一组服务可以是无线网络可以向连接用户提供的所有服务的子集。每一个策略组可以定义不同或部分不同的一组服务。策略组可以支持向不同的用户提供不同的可见网络拓扑和不同的一组服务。管理设备可以将访问记录存储在数据库中,所述数据库可以实现为AAA基础设施808可访问的存储设备。
管理设备804可以安装有管理应用编程接口(Application ProgrammingInterface,API),该API可以为管理设备804提供各种功能,例如:创建、编辑或删除访问记录;将预定义的用户策略附加到访问记录;计划用户记录的生命周期等。例如,如上所述,管理用户记录可能需要具有AAA平台的API。
管理设备804可以创建接近启用传输方案。接近启用传输方案可以编码用户ID和密码。接近码可以编码SSID、user@domain和密码。
在812中,访客设备802可以接近管理设备804到支持操作接近启用传输方案的接近度。管理设备804可以促进接近启用传输方案对访客设备的公开。例如,如在系统800中所述,接近启用传输方案可以实现为QR码。可以在管理设备804的显示器上呈现QR码的图像。公开使得访客设备802能够捕获接近启用传输方案。在使用QR码作为接近启用传输方案的示例性实现方式中,如系统800所示,访客设备802的用户可以操作客户端设备以使用客户端设备的摄像头捕获管理设备804的屏幕上显示的图像。然后,在812,客户端设备802可以从QR码中读取和提取用户标识和密码或者SSID、user@domain和密码。访客设备可以使用用户标识和密码相应地配置网络访问以进行适当的认证814。
在816,客户端设备802可以发起与接入点(Access Point,AP)的WPA-Enterprise握手。在818,AP可以发起与AAA基础设施808的WPA-Enterprise握手。握手过程后将进行授权。
系统800可以定义修改的QR码方案,该方案可以即时配置访客设备802的安全Wi-Fi接入。修改的QR码方案可以支持使用隐藏用户身份的协议配置WPA-Enterprise(EAP-PEAP/EAP-TTLS)。访问策略可以隐式编码在AAA服务器808用作令牌的客户端身份/密码对中。通过将服务策略映射到有时间限制的认证令牌中,访问记录可以受到其生命周期的限制。
对本发明各个实施例的描述只是为了说明的目的,而这些描述并不旨在穷举或限于所公开的实施例。在不脱离所描述的实施例的范围和精神的情况下,本领域技术人员可以清楚理解许多修改和变化。相比于市场上可找到的技术,选择此处使用的术语可最好地解释本实施例的原理、实际应用或技术进步,或使本领域其它技术人员理解此处公开的实施例。
预计在从本申请走向成熟的专利的有效期内,将开发许多相关技术,并且术语“虚拟网络”、“虚拟节点”和“虚拟交换机”的范围旨在先验地包括所有此类新技术。
本文所使用的术语“约”是指±10%。
术语“包括”、“包含”、“具有”以及其变化形式表示“包含但不限于”。这个术语包括了术语“由……组成”以及“本质上由……组成”。
短语“主要由…组成”意指组成物或方法可以包含额外成分和/或步骤,但前提是所述额外成分和/或步骤不会实质上改变所要求的组成物或方法的基本和新颖特性。
除非上下文中另有明确说明,此处使用的单数形式“一个”和“所述”包括复数含义。例如,术语“化合物”或“至少一种化合物”可以包含多种化合物,包含其混合物。
此处使用的词“示例性的”表示“作为一个例子、示例或说明”。任何“示例性的”实施例并不一定理解为优先于或优越于其它实施例,和/或并不排除其它实施例特点的结合。
此处使用的词语“可选地”表示“在一些实施例中提供且在其它实施例中没有提供”。本发明的任意特定的实施例可以包含多个“可选的”特征,除非这些特征相互矛盾。
在整个本申请案中,本发明的各种实施例可以范围格式呈现。应理解,范围格式的描述仅为了方便和简洁起见,并且不应该被解释为对本发明范围的固定限制。因此,对范围的描述应被认为是已经具体地公开所有可能的子范围以及所述范围内的个别数值。例如,对例如从1到6的范围的描述应被认为是已经具体地公开子范围,例如从1到3、从1到4、从1到5、从2到4、从2到6、从3到6等,以及所述范围内的个别数字,例如1、2、3、4、5和6。不管范围的宽度如何,这都适用。
当此处指出一个数字范围时,表示包含了在指出的这个范围内的任意所列举的数字(分数或整数)。短语“在第一个所指示的数和第二个所指示的数范围内”以及“从第一个所指示的数到第二个所指示的数范围内”可在这里互换使用,表示包括第一个和第二个所指示的数以及二者之间所有的分数和整数。
应了解,为简洁起见在单独实施例的上下文中描述的本发明的某些特征还可以组合提供于单个实施例中。相反地,为简洁起见在单个实施例的上下文中描述的本发明的各个特征也可以单独地或以任何合适的子组合或作为本发明的任何合适的其它实施例提供。在各个实施例的上下文中描述的某些特征未视为那些实施例的基本特征,除非没有这些元素所述实施例无效。
此处,本说明书中提及的所有出版物、专利和专利说明书都通过全文引用并入本说明书中,同样,每个单独的出版物、专利或专利说明书也具体且单独地通过引用并入本文中。此外,对本申请的任何参考的引用或识别不可当做是支持这样的参考在现有技术中优先于本发明。就使用节标题而言,不应该将节标题理解成必要的限定。此外,本申请的任何在先申请文件的内容以引入的方式并入本文。
Claims (24)
1.一种用于在无线网络中载入客户端设备的接入点,其特征在于,包括:
处理电路,所述处理电路执行代码以完成以下操作:
从目标设备接收到所述无线网络的连接请求,所述连接请求基于预共享密钥(Pre-Shared Key,PSK);
访问存储至少一个访问记录的数据库,其中,所述至少一个访问记录中的每一个在相应PSK和访问策略之间绑定;
在所述至少一个访问记录中识别与所述连接请求所基于的所述PSK对应的访问记录;
向所述目标设备提供用于所述无线网络的网络实体标识符;
根据与识别的对应访问记录中的所述PSK关联的所述访问策略,向所述目标设备公开至少一个网络服务。
2.根据权利要求1所述的接入点,其特征在于,所述PSK使用接近启用传输方案从管理员设备传输到所述目标设备。
3.根据权利要求2所述的接入点,其特征在于,所述接近启用传输方案是由所述目标设备从所述管理员设备的屏幕光学扫描的快速响应(Quick Response,QR)码。
4.根据权利要求1至3中任一项所述的接入点,其特征在于,所述处理电路还执行代码以完成以下操作:支持不同的目标设备基于个性化密码派生物共享同一个服务集标识符(Service Set Identifier,SSID),所述个性化密码派生物包括在从多个目标设备中的相应每一个接收的多个连接请求中的每一个中。
5.根据权利要求1至4中任一项所述的接入点,其特征在于,所述处理电路还执行代码以完成以下操作:根据所述访问记录中定义的时间限制,限制所述目标设备对所述无线网络的访问。
6.根据权利要求1至5中任一项所述的接入点,其特征在于,所述处理电路还执行代码以完成以下操作:基于所述识别的访问记录,将对所述无线网络的访问限制到单个目标设备。
7.根据权利要求6所述的接入点,其特征在于,所述将对所述无线网络的所述访问限制到单个目标设备的实现方式为:从基于相同PSK请求连接的多个目标设备中识别第一媒体接入控制(Media Access Control,MAC)地址关联设备,然后将所述访问限制到所述识别的第一MAC地址关联设备。
8.根据权利要求1至7中任一项所述的接入点,其特征在于,所述网络实体标识符包括:
分配的互联网协议(Internet Protocol,IP)地址和分配的域名系统(Domain NameSystem,DNS)身份。
9.一种用于在无线网络中载入客户端设备的管理员设备,其特征在于,包括:
处理电路,所述处理电路执行代码以完成以下操作:
生成用于为目标设备提供对所述无线网络的访问的请求,定义分配的预共享密钥(Pre-Shared Key,PSK)和分配给所述无线网络的访问策略;
将所述请求发送到所述无线网络的认证实体,以作为访问记录存储在数据库中;
创建编码所述PSK的接近启用传输方案;
生成促进所述接近启用传输方案公开的指令,以使得所述目标设备在靠近所述管理员设备时捕获所述接近启用传输方案,以便使用从所述接近启用传输方案提取的所述PSK连接到所述无线网络。
10.根据权利要求9所述的管理员设备,其特征在于,所述定义分配的访问策略是通过向多个不同访问策略组中的一个提供链接或唯一标识符来实现的。
11.根据权利要求9或10所述的管理员设备,其特征在于,所述接近启用传输方案是快速响应(Quick Response,QR)码。
12.根据权利要求9至11中任一项所述的管理员设备,其特征在于,所述处理电路还执行代码以完成以下操作:在所述接近启用传输方案中编码个性化密码,以支持不同的目标设备共享同一个服务集标识符(Service Set Identifier,SSID)。
13.根据权利要求9至12中任一项所述的管理员设备,其特征在于,所述处理电路还执行代码以生成修改所述数据库中访问记录的请求。
14.根据权利要求9至13中任一项所述的管理员设备,其特征在于,所述处理电路还执行代码以在所述请求中包括多个不同访问策略组中的一个的链接或唯一标识符。
15.根据权利要求9至14中任一项所述的管理员设备,其特征在于,所述处理电路还执行代码以生成对所述访问记录的生命周期进行日程安排的请求。
16.根据权利要求9至15中任一项所述的管理员设备,其特征在于,所述接近启用传输方案是可见性呈现传输方案,其中,所述生成的用于促进所述接近启用传输方案的所述公开的指令是用以在所述管理员设备的屏幕上显示所述可见性呈现传输方案以供所述目标设备光学扫描的指令。
17.一种用于在无线网络中载入客户端设备的管理员设备,其特征在于,包括:
处理电路,所述处理电路执行代码以完成以下操作:
生成用于为目标设备提供对无线网络的访问的访问记录并存储在数据库中,所述访问记录定义客户端身份和密码,并包括指向所述无线网络的多个访问策略组中的一个的链接;
创建编码所述客户端身份和所述密码的接近启用传输方案;
生成促进所述接近启用传输方案公开的指令,以使所述目标设备能够捕获所述接近启用传输方案,以便使用从所述接近启用传输方案提取的所述客户端身份和所述密码连接到所述无线网络进行认证。
18.根据权利要求17所述的管理员设备,其特征在于,所述接近启用传输方案是快速响应(Quick Response,QR)码。
19.根据权利要求17或18所述的管理员设备,其特征在于,所述接近启用传输方案是可见性呈现传输方案,其中,所述生成的用于促进所述接近启用传输方案的所述公开的指令是用以在所述管理员设备的屏幕上显示所述可见性呈现传输方案以供所述目标设备光学扫描的指令。
20.一种用于在无线网络中载入客户端设备的方法,其特征在于,包括:
从目标设备接收到所述无线网络的连接请求,所述连接请求基于预共享密钥(Pre-Shared Key,PSK);
访问存储至少一个访问记录的数据库,其中,所述至少一个访问记录中的每一个在相应PSK和访问策略之间绑定;
在所述至少一个访问记录中识别与所述连接请求所基于的所述PSK对应的访问记录;
向所述目标设备提供分配的互联网协议(Internet Protocol,IP)地址和分配的域名系统(Domain Name System,DNS)身份,以用于所述无线网络;
根据与识别的对应访问记录中的所述PSK关联的所述访问策略,向所述目标设备公开至少一个网络服务。
21.一种用于在无线网络中载入客户端设备的方法,其特征在于,包括:
生成用于为目标设备提供对所述无线网络的访问的请求,定义分配的预共享密钥(Pre-Shared Key,PSK)和分配给所述无线网络的访问策略;
将所述请求发送到所述无线网络的认证实体,以作为访问记录存储在数据库中;
创建编码所述PSK的接近启用传输方案;
生成促进所述接近启用传输方案公开的指令,以使得所述目标设备在靠近所述管理员设备时捕获所述接近启用传输方案,以便使用从所述接近启用传输方案提取的所述PSK连接到所述无线网络。
22.一种用于在无线网络中载入客户端设备的方法,其特征在于,包括:
生成用于为目标设备提供对所述无线网络的访问的访问记录并存储在数据库中,所述访问记录定义客户端身份和密码,并包括指向所述无线网络的多个访问策略组中的一个的链接;
创建编码所述客户端身份和所述密码的接近启用传输方案;
生成促进所述接近启用传输方案公开的指令,以使所述目标设备能够捕获所述接近启用传输方案,以便使用从所述接近启用传输方案提取的所述客户端身份和所述密码连接到所述无线网络进行认证。
23.一种计算机程序产品,其特征在于,包括计算机程序代码,其中,当所述计算机程序代码由处理器执行时使得根据权利要求20至22中任一项所述的方法被执行。
24.一种非瞬时性计算机可读记录介质,其特征在于,其中存储有计算机程序产品,其中,当所述计算机程序产品由处理器执行时使得根据权利要求20至22中任一项所述的方法被执行。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2019/071110 WO2021023376A1 (en) | 2019-08-06 | 2019-08-06 | Passing restricted network access credentials for visibly present user devices |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113906776A true CN113906776A (zh) | 2022-01-07 |
CN113906776B CN113906776B (zh) | 2023-10-27 |
Family
ID=67659829
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980096991.9A Active CN113906776B (zh) | 2019-08-06 | 2019-08-06 | 在无线网络中载入客户端设备的接入点和管理员设备及其方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN113906776B (zh) |
WO (1) | WO2021023376A1 (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1762158A (zh) * | 2003-03-15 | 2006-04-19 | 皇家飞利浦电子股份有限公司 | 条件访问机制的控制 |
US20060177063A1 (en) * | 2005-02-07 | 2006-08-10 | Conway Adam M | Wireless network having multiple security interfaces |
US20140068727A1 (en) * | 2012-09-05 | 2014-03-06 | Apple Inc. | Wi-fi credential sharing using images |
CN105723425A (zh) * | 2013-12-05 | 2016-06-29 | 德国邮政股份公司 | 访问控制系统 |
CN106664291A (zh) * | 2014-02-28 | 2017-05-10 | 赛门铁克公司 | 用于对本地网络设备提供安全访问的系统和方法 |
US9674892B1 (en) * | 2008-11-04 | 2017-06-06 | Aerohive Networks, Inc. | Exclusive preshared key authentication |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4851798B2 (ja) * | 2006-01-25 | 2012-01-11 | Necインフロンティア株式会社 | 無線通信システム、無線lan基地局及びそれらに用いる設定内容確認/変更方法 |
US20150139210A1 (en) * | 2012-06-29 | 2015-05-21 | Nokia Corporation | Method and apparatus for access parameter sharing |
-
2019
- 2019-08-06 CN CN201980096991.9A patent/CN113906776B/zh active Active
- 2019-08-06 WO PCT/EP2019/071110 patent/WO2021023376A1/en active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1762158A (zh) * | 2003-03-15 | 2006-04-19 | 皇家飞利浦电子股份有限公司 | 条件访问机制的控制 |
US20060177063A1 (en) * | 2005-02-07 | 2006-08-10 | Conway Adam M | Wireless network having multiple security interfaces |
US9674892B1 (en) * | 2008-11-04 | 2017-06-06 | Aerohive Networks, Inc. | Exclusive preshared key authentication |
US20140068727A1 (en) * | 2012-09-05 | 2014-03-06 | Apple Inc. | Wi-fi credential sharing using images |
CN105723425A (zh) * | 2013-12-05 | 2016-06-29 | 德国邮政股份公司 | 访问控制系统 |
CN106664291A (zh) * | 2014-02-28 | 2017-05-10 | 赛门铁克公司 | 用于对本地网络设备提供安全访问的系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113906776B (zh) | 2023-10-27 |
WO2021023376A1 (en) | 2021-02-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10362485B2 (en) | Delegated profile and policy management | |
US10932129B2 (en) | Network access control | |
US10397202B2 (en) | Secure communication channels | |
US9831903B1 (en) | Update of a trusted name list | |
CN111434087B (zh) | 用于提供通信服务的方法和电子设备 | |
US20160241537A1 (en) | Method for transferring profile and electronic device supporting the same | |
US10470102B2 (en) | MAC address-bound WLAN password | |
KR102119922B1 (ko) | 네트워크 액세스 | |
EP3709692A1 (en) | Routing method, apparatus and system | |
US11451531B2 (en) | Certificate obtaining method, authentication method, and network device | |
US20170238236A1 (en) | Mac address-bound wlan password | |
TW201610745A (zh) | 電子器件、用於建立及強制實行與一存取控制元件相關聯之一安全性原則之方法及安全元件 | |
WO2018100227A1 (en) | Electronic documents management | |
US20190007835A1 (en) | Profile installation based on privilege level | |
US11812273B2 (en) | Managing network resource permissions for applications using an application catalog | |
US20230112606A1 (en) | Device enrollment in a unified endpoint management system over a closed network | |
JP2015536061A (ja) | クライアントをサーバに登録するための方法および装置 | |
US11882117B1 (en) | System and method for device label scan based zero touch device onboarding and device directory service | |
US10893554B1 (en) | Method for indicating availability of same service on other radio access system | |
US10880084B2 (en) | Utilization of SIM-mobile equipment communication channel for handset applications state monitoring | |
CN105940403B (zh) | 信息处理设备、信息处理方法、程序和服务器 | |
CN113906776B (zh) | 在无线网络中载入客户端设备的接入点和管理员设备及其方法 | |
JP6056970B2 (ja) | 情報処理装置、端末機、情報処理システム及び情報処理方法 | |
JP2009278388A (ja) | 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。 | |
EP3565211B1 (en) | Method network element, system and computer readable medium, for onboarding a device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20220301 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Applicant after: Huawei Cloud Computing Technology Co.,Ltd. Address before: 518129 Huawei headquarters office building, Bantian, Longgang District, Shenzhen City, Guangdong Province Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
TA01 | Transfer of patent application right | ||
GR01 | Patent grant | ||
GR01 | Patent grant |