CN115484599A - 将物联网(iot)设备连接到无线网络 - Google Patents
将物联网(iot)设备连接到无线网络 Download PDFInfo
- Publication number
- CN115484599A CN115484599A CN202111266082.0A CN202111266082A CN115484599A CN 115484599 A CN115484599 A CN 115484599A CN 202111266082 A CN202111266082 A CN 202111266082A CN 115484599 A CN115484599 A CN 115484599A
- Authority
- CN
- China
- Prior art keywords
- iot device
- dpp
- authentication server
- processor
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013475 authorization Methods 0.000 claims abstract description 53
- 238000004891 communication Methods 0.000 claims abstract description 33
- 230000004044 response Effects 0.000 claims description 27
- 238000000034 method Methods 0.000 claims description 22
- 238000010586 diagram Methods 0.000 description 15
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000010267 cellular communication Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012806 monitoring device Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Abstract
本公开的实施例涉及将物联网(IOT)设备连接到无线网络。示例性实施方式涉及通过使用设备提供协议(DPP)将IoT设备连接到无线网络。认证服务器从与IoT设备通信的接入点(AP)接收包括连接器标识符的DPP网络访问授权请求。连接器标识符是IoT设备的公共网络访问密钥的散列。如果连接器标识符有效,则认证服务器从一组可配置策略中确定适用于IoT设备的配置策略。认证服务器将可配置策略中所定义的网络权限发送给AP。IoT设备基于网络权限通过AP被连接到无线网络。
Description
背景技术
物联网(IoT)设备是连接到互联网以将数据传输到其他设备或人的硬件设备。IoT设备的示例可以包括但不限于支持互联网连接的传感器、执行器、小工具、器具或机器。IoT设备通常提供有互联网协议(以下称为“IP”)地址以连接到互联网。一旦连接到互联网,IoT设备就能够通过无线网络(例如Wi-Fi网络)传输数据和/或接收控制信号。
附图说明
当参考附图阅读以下详细说明时,将更好地理解本说明书的这些和其他特征、方面以及优点,其中在整个附图中相似的字符代表相似的部件,其中:
图1是根据一个示例的通过使用设备提供协议(DPP)使IoT设备能够接入无线网络的系统;
图2示出了描述根据一个示例的用于接入IoT设备的操作序列的消息流图;
图3是描述根据一个示例的由AP向IoT设备提供安全凭证的方法的流程图;
图4是描述根据一个示例的方法的流程图,该方法包括由认证服务器执行的用于将IoT设备连接到无线网络的操作;
图5是描述根据一个示例的方法的流程图,该方法包括由AP执行的用于将IoT设备连接到无线网络的操作;
图6是根据一个示例的认证服务器的框图;以及
图7是根据一个示例的接入点的框图。
在整个附图中,相同的附图标记可以表示相似但并不一定相同的元件。附图不一定按比例绘制,并且某些部件的尺寸可能被夸大以更清楚地说明所示示例。此外,附图提供了与说明一致的示例和/或实现方式;然而,说明并不限于附图中提供的示例和/或实现方式。
具体实施方式
以下详细说明参照附图。在可能的情况下,在附图和以下说明中使用相同的附图标记来指代相同或相似的部件。然而,应明确理解的是,附图仅用于图示和说明的目的。虽然在本文件中说明了若干示例,但修改、调整和其他实现方式也是可行的。因此,以下详细说明不限制所公开的示例。所公开示例的适当范围而是可以由所附权利要求限定。
本文使用的术语仅用于说明示例的目的,并不旨在进行限制。如本文所用,单数形式“一个”、“一”和“该”也旨在包括复数形式,除非上下文另有明确指示。如本文所用,词语“多个”被定义为两个或多于两个。如本文所用,词语“另一个”被定义为至少第二个或更多个。如本文所用,词语“和/或”是指并涵盖相关所列项目中一个或多个的任何和所有可能的组合。如本文所用,词语“包括”表示包括但不限于。词语“基于”意味着至少部分基于。
出于解释本公开的目的,参考图1至图7中所示的部件说明了某些示例。然而,所示部件的功能可以重叠,并且可以存在于更少或更多数目的元件和部件中。此外,所示元件的全部或部分功能可以共存或分布在多个地理上分散的位置之间。此外,所公开的示例可以在各种环境中实施并且不限于所示出的示例。此外,结合图2、图3、图4和图5所述的操作序列是示例性的而不是限制性的。在不脱离所公开示例的范围的情况下,可以使用或可以改变附加的或更少的操作或操作的组合。因此,本公开仅阐述了实施方式的示例,并且可以对所述示例进行许多变化和修改。此类修改和变化旨在包括在本公开的范围内并且由所附权利要求保护。
当IoT设备(例如传感器或器具)被注册到云平台上时,进行IoT设备的供应。IoT设备需要被认证并被配置为云平台的一部分。经过认证和配置之后,IoT设备可以连接到无线网络(例如Wi-Fi网络)并将数据发送到云平台。
IoT设备可以具有有限的或不存在的用户接口,这导致将IoT设备接入Wi-Fi网络时会遇到若干挑战。通常,用户必须从智能电话或单独的计算机手动连接和配置IoT设备。在一些情况下,IoT设备可能还需要来自无线网络提供商的客户服务代表来手动配置IoT设备。IoT设备的这种手动提供不适用于提供大量IoT设备,因为这需要几个工时。
此外,在提供机制不安全的情况下,当IoT设备连接到无线网络时,在IoT设备中或云IoT平台处存在数据泄露的可能性。因此,可能需要一种安全、快速且用户友好的机制,该机制为IoT设备提供安全凭证,然后通过使用安全凭证将IoT设备连接到无线网络。
根据本公开的各个方面,提供了将IoT设备连接到无线网络的示例。在一些示例中,如本文所述,为IoT设备提供安全凭证并将IoT设备连接到无线网络是基于设备提供协议(DPP)。DPP是指由Wi-Fi联盟颁布的一种用于将IoT设备接入云IoT平台的机制,Wi-Fi联盟是公司的全球网络,其旨在推动Wi-Fi的全球采用。
在一些示例中,IoT设备可以使用DPP消息来经由无线网络中的接入点(AP)与配置器进行通信。配置器可以是为IoT设备提供安全凭证的实体。配置器可以建立对IoT设备的公共引导密钥的信任。AP可以充当配置器的代理(即代理设备)并与认证服务器进行通信。AP可以在将IoT设备连接到无线网络之前对IoT设备进行认证和授权。认证服务器可以从AP接收带有连接器标识符的网络访问授权请求。连接器标识符可以包括IoT设备的公共网络访问密钥的散列。当网络访问授权请求中的连接器标识被确定为有效时,认证服务器允许IoT设备访问无线网络,并从一组可配置的策略中确定适用于IoT设备的可配置策略。认证服务器将可配置策略中所定义的网络权限传输给AP。IoT设备可以基于网络权限通过AP连接到无线网络。
本文所述的示例可以通过为IoT设备中的每个IoT设备提供连接器而允许IoT设备快速接入无线网络。连接器可以是IoT设备的安全凭证。例如,连接器可以包括IoT设备的公共网络访问密钥。在一些示例中,连接器可以由无线网络的配置器签名。IoT设备可以通过使用相应的连接器连接到无线网络。这种类型的接入可能会促进物联网设备的更多采用。在不接入无线网络的情况下由AP通过DPP提供连接器可以保证IoT设备在连接到无线网络时是一个安全的设备。此外,在一些示例中,可配置策略的使用可以为用户提供在IoT设备连接到无线网络之前为IoT设备定义策略的机会。
现在参考附图,图1是根据一个示例的通过使用DPP使IoT设备能够接入无线网络116的系统100。在一些示例中,系统100可以包括IoT设备102、认证服务器104、一个或多个接入点(AP),例如AP 106A、106B、106C…106N(以下统称为AP 106)、以及配置器108。AP 106和配置器108可以通过有线网络相互通信。在初始阶段期间,当IoT设备102尚未被提供以访问无线网络116时,IoT设备102可以通过AP 106使用DPP消息与配置器108进行通信。一经提供,IoT设备102就可以连接到无线网络116。
在示例性实施方式中,系统100可以是分布式设置的一部分,例如大学网络或企业网络。在一些情况下,某些企业网络将IoT设备视为不受信任并且限制网络访问。这种限制可能会限制企业可以利用IoT设备所实施的应用类型。在一些示例中,如本文所述,由认证服务器104基于DPP提供IoT设备102可以安全地确保IoT设备102的认证和配置。由认证服务器104基于DPP的提供可以允许用户在将IoT设备102连接到无线网络116之前为其定义访问策略。在一种实施方式中,配置器108和认证服务器104可以是与企业相关联的云平台的一部分。如本文所使用的术语“网络访问”可以指包括对无线网络(例如无线网络116)的访问。
无线网络116的示例可以包括但不限于基于互联网协议(IP)或非基于IP的无线局域网(WLAN)、城域网(MAN)、广域网(WAN)、存储区域网络(SAN)、个人区域网络(PAN)、蜂窝通信网络和互联网。在一些示例中,无线网络116可以包括AP 106以促进数据通信。通过无线网络116进行的通信可以根据各种通信协议来执行,诸如但不限于传输控制协议和互联网协议(TCP/IP)、用户数据报协议(UDP)、IEEE 802.11和/或蜂窝通信协议。通过无线网络116进行的通信可以通过无线(例如
蜂窝通信、卫星通信、蓝牙等)通信技术来实现。在一些示例中,无线网络116可以通过私有通信链路启用,私有通信链路包括但不限于通过蓝牙、蜂窝通信、光通信、射频通信等建立的通信链路。
根据一些示例,图1所示的IoT设备102可以被配置有安全凭证以通过经由AP 106中的一个或多个AP向配置器108传送数据和DPP消息来访问无线网络116。IoT设备102的示例可以包括但不限于位置标签、活动监视器、所连接的恒温器、监控摄像机、传感器设备或支持互联网连接的任何电子或机械设备。尽管在图1的系统100中示出了单个IoT设备102,但在一些其他示例中,系统100可以包括多于一个的IoT设备而不限制本公开的范围。
此外,在一些示例中,认证服务器104可以被实现为独立服务器或者可以是云的一部分。在一些其他示例中,认证服务器104可以被实现为硬件系统/设备,诸如但不限于计算机系统、移动设备、刀片服务器、计算机设备、工作站、存储系统或者融合或超融合系统。在某些其他示例中,认证服务器104可以被实现为软件资源,诸如但不限于软件应用、虚拟机(VM)、容器、容器化应用或网荚(pod)。在操作期间,认证服务器104可以促进IoT设备102的认证和/或授权并且管理IoT设备102的使用DPP的接入。DPP是标准化协议,其允许使用控制器(例如配置器108)为IoT设备102提供网络访问。
在一些示例中,认证服务器104可以维护IoT设备102的引导信息以促进IoT设备102的认证和/或授权并且管理IoT设备102到无线网络116的接入。如本文所使用的,术语“引导信息”可以指诸如但不限于IoT设备102的公共引导密钥之类的信息。在一些示例中,在制造期间,IoT设备供应商可以将引导密钥对嵌入到IoT设备中。IoT设备102的公共引导密钥可以被注册到外部云IoT平台110。在一些示例中,认证服务器104可以查询外部云IoT平台110,以获得IoT设备102的引导信息。作为响应,认证服务器104可以从外部云IoT平台110接收公共引导密钥。
在一些示例中,认证服务器104可以包括具有IoT设备102的引导信息的数据库(未示出)。该数据库可以周期性地与外部云IoT平台110同步以用于接收和更新引导信息。在一些示例中,在IoT设备102的引导信息没有集成到外部云IoT平台110中的情况下,IoT设备102的引导信息可以通过带外(out-of-band)手段被接收。例如,引导信息可以以标记(例如快速响应(QR)码)的形式存在于IoT设备102上。用户可以使用移动应用来扫描标记以接收IoT设备102的公共引导密钥。移动应用可以在认证服务器104处更新IoT设备102的公共引导密钥。
在一些示例中,IoT设备102可以是不与任何用户相关联的不受管理的设备。因此,为IoT设备102定义访问策略可以有助于整体网络安全。因此,在一些示例中,认证服务器104可以将用于IoT设备102的访问策略存储在策略数据库(未示出)中。策略数据库可以包括IoT设备102的用户配置文件(或“配置简档”)。用户可以基于IoT设备102的角色配置IoT设备102的访问策略。在一些示例中,策略数据库可以包括可以基于IoT设备102的角色应用于IoT设备102的可配置策略,其可以由认证服务器104分配。例如,当声控打印机(IoT设备102的一个示例)被提供为连接到企业网络时,其可以被配置为在连接到企业网络之前在办公时间运行并为特定用户运行。在示例性场景中,打印过程可以被认为是分配给声控打印机的角色,并且可以以访问策略的形式为设备定义适当的权限。访问策略可以指定权限,例如被允许使用声控打印机的用户和可以使用声控打印机的时间段。
此外,在一些示例中,AP 106可以是无线局域网(WLAN)的一部分并且可以在由相应AP 106覆盖的区域中向IoT设备102提供无线服务。AP 106的示例可以包括但不限于路由器、网络交换机、网络网关等。在一些示例中,AP 106中的一个AP可以充当用于将IoT设备、例如IoT设备102连接到无线网络116的桥接器。AP 106可以分布在在其中期望有网络访问的整个区域。因此,IoT设备102可以部署在由AP106中的一个或多个AP 106服务的区域内。
在一些示例中,配置器108可以为IoT设备102提供安全凭证。在一些示例中,可以使用处理器或微控制器和/或任何其他电子部件、或者可以促进各种计算、数据存储和/或数据处理的设备或系统来实现配置器108。在某些其他示例中,配置器108可以被部署为软件资源,例如虚拟机(VM)、容器、容器化应用或网荚。配置器108可以建立对IoT设备102的公共引导密钥的信任,并且使用DPP认证协议来认证IoT设备102。结合图2说明了关于使用DPP进行认证的更多细节。
在操作期间,配置器108可以从无线网络116中的AP 106中选择AP来执行DPP认证协议和DPP配置控制。可以基于接收信号强度指示(RSSI)和/或AP 106的当前负载来选择AP。RSSI可以指示无线网络116在相应AP 106处的射频(RF)信号强度。在某些系统中,当系统100中存在高密度的AP 106时,配置器108可以选择特定的AP来配置具有连接器(即安全凭证)的IoT设备102。例如,在AP在仓库处的高密度部署中,配置器108可以选择存在于仓库中的接入位置的AP以协助为IoT设备102提供连接器。应当理解的是,选择合适的AP作为配置器108的代理可以减少将IoT设备102接入无线网络116所需的时间。
出于说明的目的,AP 106B可以由配置器108基于上述规则中的一个或多个规则来选择。因此,AP 106B在下文中被称为被选择的AP 106B。术语“AP 106B”和“被选择的AP106B”在下文中可以互换使用,并且是指由配置器108选择的AP。被选择的AP 106B可以充当配置器108的代理,用于认证和配置IoT设备102以访问无线网络116。IoT设备102的认证和配置分别使用DPP认证协议和DPP配置协议来执行。被选择的AP 106B特别是有助于在IoT设备102和配置器108之间交换DPP消息和信息。被选择的AP 106B通过在IoT设备102和AP106B之间的DPP通信信道118与IoT设备102通信。DPP通信信道118是在IoT设备102的公共引导密钥验证之后在IoT设备102和AP 106B之间建立的专用通信介质。单个信道(或可能的信道的较小列表)可以被AP 106预定义为DPP通信信道118。被选择的AP 106B可以在DPP通信信道118上获得DPP消息。被选择的AP 106B可以充当用于在IoT设备102和配置器108之间传输DPP消息的代理设备。被选择的AP 106B可以充当代表认证服务器104来认证IoT设备102的认证器。
现在参考图2,示出了描述根据一个示例的用于使IoT设备102能够接入无线网络116的操作序列的消息流图200。消息流图200以三个阶段(即,初始设置阶段204、提供阶段206和网络访问阶段208)描述了系统100中诸如IoT设备102、认证服务器104、配置器108和被选择的AP 106B的各种实体之间的交互。出于说明的目的,图2的消息流图200参照图1的系统100被描述,然而,本公开的范围不应被解读为受限于图1的系统100的细节(例如AP106、配置器108、IoT设备102和认证服务器104的数目和布置)。
初始设置阶段204
在初始设置阶段204期间,AP 106B可以被配置为收听通过特定通信信道广播的DPP消息。尽管初始设置阶段204针对AP 106B被描述,但应理解的是,无线网络116中的若干AP可以被配置有相应的DPP连接器以支持DPP通信。例如,在步骤210中,AP 106B和配置器108可以使用网络(例如有线网络)建立通信。此外,在步骤212中,AP 106B可以从配置器108接收配置信息。配置信息可以包括AP 106B的DPP连接器。DPP连接器可以是由配置器108向AP 106B提供的安全凭证。AP 106B可以使用DPP连接器来建立与IoT设备102的通信。在一个示例中,配置信息可以包括与待由AP 106B使用的信道相关的信息。一经配置,AP 106B就可以通知其通过DPP进行通信的能力。在一个示例中,IoT设备102可以扫描用于来自AP 106B的通知的信道。类似地,一些或所有AP 106可以被配置有相应的DPP连接器和信道连接信息以支持DPP通信。
提供阶段206
在提供阶段206中,IoT设备102可以被授权并被提供有网络访问所需的安全凭证。IoT设备102可以在上电时或以周期性间隔扫描所有被支持的信道,并且周期性地广播DPP存在性通知。在一个示例中,DPP存在性通知可以由802.11动作帧承载。DPP存在性通知可以包括IoT设备102的公共引导密钥的散列。公共引导密钥的散列可以是IoT设备102的标识符。在步骤214中,配置器108可以通过无线网络116中的AP 106从IoT设备102接收符合DPP协议的存在性通知的列表。由IoT设备102所发送的DPP存在性通知可以在初始设置阶段204期间由其中预配置DPP能力的AP 106接收。AP 106可以收听DPP存在性通知并且可以向配置器108报告设备啁啾事件。配置器108可以监控这些DPP存在性通知以检测RF覆盖范围内的IoT设备102。在步骤216中,配置器108可以选择AP(例如AP 106B)来初始化与IoT设备102的DPP通信。
在AP 106B处初始化DPP认证协议,以通过如下方式建立对IoT设备102的公共引导密钥的信任:在步骤218中向认证服务器104发送DPP引导授权请求以检查IoT设备102的公共引导密钥的散列公共引导密钥是否已注册。被选择的AP 106B可以使用在由IoT设备102发送的DPP存在性通知中存在的公共引导密钥的散列来生成DPP引导授权请求。
此外,在步骤220中,认证服务器104可以验证在DPP引导授权请求中接收的公共引导密钥的散列。基于引导信息的成功验证,认证服务器104可以认证IoT设备102并且验证IoT设备102是可以被提供访问无线网络116的已授权设备。为了验证IoT设备102的公共引导密钥,认证服务器104可以与外部云IoT平台同步,以便定期接收IoT设备102的公共引导密钥。如果IoT设备102的公共引导密钥的散列已在外部云IoT平台110注册,则认证服务器104可以向被选择的AP 106B发送具有IoT设备的引导信息(即公共引导密钥)的肯定的DPP引导授权响应102和无线网络116的扩展服务集标识(ESSID)。在一些示例中,被选择的AP106B可以接收公共引导密钥以授权IoT设备102。由于认证服务器104维护IoT设备102的公共引导密钥,因此可以在IoT设备102断开连接并连接回系统100时避免对同一IoT设备102的重复引导。此外,在将IoT设备102连接/重新连接到无线网络116时不涉及或涉及最少的人为交互。
此外,在步骤222中,被选择的AP 106B可以将从认证服务器104接收的公共引导密钥提供给IoT设备102。在步骤222中完成DPP认证协议。当在AP 106B处接收到肯定的DPP引导授权响应时,AP 106B可以在被选择的AP 106B和IoT设备102之间建立DPP通信信道118。IoT设备102可以在成功验证IoT设备102的公共引导密钥之后生成公共网络访问密钥。
在步骤224中,启动DPP配置协议。一旦IoT设备102由被选择的AP 106B认证,IoT设备102就可以向被选择的AP 106B发送DPP配置请求。DPP配置请求被发送到被选择的AP106B,以接收IoT设备102的安全凭证以用于网络访问。
此外,在步骤226中,通过使用IoT设备102的公共网络访问密钥,被选择的AP 106B可以在DPP配置请求未决时(在步骤226中示出)为IoT设备102生成连接器。在一些示例中,IoT设备102的连接器可以包括IoT设备102的公共网络访问密钥。在步骤228中,被选择的AP106B可以向配置器108发送对连接器进行签名的请求。此外,在步骤230中,配置器108可以使用配置器108的配置器签到密钥对连接器进行签名,并将签名后的连接器发送回AP106B。在步骤232中,随着签名后的连接器的生成,具有安全凭证的IoT设备102的DPP配置完成,并且签名后的连接器可以被提供给IoT设备102,其可以被IoT设备102使用以连接到无线网络116。
此外,在步骤234中,被选择的AP 106B可以向认证服务器104发送DPP身份绑定请求,以用于将IoT设备102的公共网络访问密钥的散列与IoT设备102的公共引导密钥的散列进行绑定。IoT设备102的公共网络访问密钥的散列可以被称为IoT设备102的连接器标识符。连接器标识符的散列与IoT设备102的公共引导密钥的散列的绑定可以允许认证服务器104在网络访问阶段208期间按照DPP和连接器标识符的要求执行公共引导密钥的散列的附加验证。
网络访问阶段208
在网络访问阶段208期间,在不限制本公开的范围的情况下,IoT设备102可以使用IoT设备102已从被选择的AP 106B接收的连接器通过AP 106中的任何一个AP获得对无线网络116的访问。然而,为了说明的简化,在图2所示的网络访问阶段208中,IoT设备102被描述为通过被选择的AP 106B连接到无线网络116。
在步骤236中,IoT设备102可以发现任意数目的AP 106并且发送对等发现请求并等待对等发现响应。在一些示例中,IoT设备102可以向AP 106B发送对等发现请求。对等发现请求可以包括IoT设备102的连接器(例如从被选择的AP 106B接收的签名后的连接器)。被选择的AP 106B可以基于配置器108的配置器签名密钥来验证IoT设备102的连接器。在成功验证连接器时,被选择的AP 106B可以生成并向认证服务器104发送包括连接器标识符的DPP网络访问授权请求。
此外,在步骤238中,基于IoT设备102的连接器标识符的有效性,认证服务器104可以认证并授权IoT设备102以用于网络访问。认证服务器104可以利用DPP网络访问授权响应以允许或拒绝的形式来进行响应。认证服务器104可以确认IoT设备102的公共网络访问密钥的散列,并且验证IoT设备102的公共引导密钥的散列以决定允许还是拒绝IoT设备102的网络访问。基于来自认证服务器104的DPP网络访问授权响应,在步骤240中,被选择的AP106B可以传送对等发现响应,该对等发现响应是对在步骤236中从IoT设备接收的对等发现请求的响应。
被选择的AP 106B可以基于从认证服务器104接收的DPP网络访问授权响应来生成对等发现响应。在步骤240、242和244中,如果IoT设备102被认证服务器104允许访问无线网络116,IoT设备102可以逐对地导出主密钥(PMK)/PMK身份(PMKID),执行IEEE-802.11认证、关联和与被选择的AP 106B的4路握手以获得对无线网络116的访问。
应理解的是,在本文所呈现的示例中,认证服务器104可以提供零接触提供体验,以用于向IoT设备102提供安全凭证并且通过使用安全凭证将IoT设备102连接到无线网络116。当IoT设备102被引入系统100并被上电时,可以执行消息流图200中所述的操作序列。从对IoT设备102上电到连接到无线网络116的整个过程可以在短时间内完成而无需任何手动干预。此外,在一些示例中,一旦IoT设备102连接到无线网络116,其网络行为就可以被持续监控。如果检测到任何安全威胁,则可以通过监控设备(未示出)通知认证服务器104。IoT设备102的监控可以包括确定若干参数,例如与IoT设备102相关联的隐患和风险、IoT设备102的所有者、网络行为和操作系统状态。此外,在一些示例中,认证服务器104可以基于可配置策略(稍后描述)评估来自监控设备的通知,并且可以通过向被选择的AP 106B发布授权变更(CoA)来改变所连接的IoT设备102的网络访问权限。这有助于快速隔离任何被危及的IoT设备并防止安全威胁通过系统100传播。
现在参考图3,示出了描述根据一个示例的用于由网络中的AP提供安全凭证的方法300的流程图。如图3所示的方法300可以被实现为存储在机器可读介质上并由处理资源(例如处理器)执行的可执行指令的形式,和/或被实现为被选择的AP处的电子电路装置的形式。在一些示例中,在图3的方法框中所示的操作可以由图1的被选择的AP 106B执行。
在框302中,被选择的AP可以向认证服务器发送DPP引导授权请求。DPP引导授权请求可以包括IoT设备的公共引导密钥的散列。DPP引导授权请求被生成,以用于验证从IoT设备的存在性通知中所接收的、IoT设备的公共引导密钥的散列。散列公共引导密钥的验证是利用安全凭证配置IoT设备的一个步骤。响应于DPP引导授权请求,被选择的AP可以从认证服务器104接收肯定的引导授权响应或否定的引导授权响应。
此外,在框304中,被选择的AP可以执行检查以确定是否从认证服务器接收到肯定的DPP引导授权响应。肯定的引导授权响应可以表明IoT设备的公共引导密钥的散列已被认证服务器成功验证,并且IoT设备可以被提供有用于访问无线网络的连接器。在框304中,如果确定没有接收到肯定的DPP引导授权响应(即,接收到否定的响应),则在框306中,被选择的AP可以通知IoT设备其不是已注册的IoT设备并且无法被认证。然而,在框304中,如果确定接收到肯定的DPP引导授权响应,则在框308中,被选择的AP可以接收无线网络的ESSID、IoT设备的公共引导密钥、以及用于IoT设备的策略。在验证IoT设备的公共引导密钥的散列之后,在被选择的AP处从认证服务器接收公共引导密钥。
在框310中,被选择的AP可以在IoT设备和被选择的AP之间建立DPP通信信道。DPP通信信道允许被选择的AP在配置器和IoT设备之间交换DPP配置消息。被选择的AP可以充当用于在IoT设备和配置器之间传输DPP消息的代理设备。
在框312中,被选择的AP可以初始化DPP配置协议,以用于为IoT设备提供ESSID和连接器。被选择的AP可以使用IoT设备的公共网络访问密钥为IoT设备生成连接器,以向IoT设备提供网络访问。可以在验证公共引导密钥的散列之后生成连接器。在成功验证IoT设备的公共引导密钥之后,公共网络访问密钥由IoT设备生成。在被选择的AP处生成的连接器可以由配置器使用配置器签到密钥进行签名。连接器是与IoT设备相关联的安全凭证,并且可以被IoT设备用于请求访问无线网络116。
在框314中,在为IoT设备提供连接器之后,被选择的AP可以向认证服务器发送DPP身份绑定请求,以将IoT设备的公共引导密钥的散列与IoT设备的公共网络访问密钥的散列绑定作为用于网络访问的身份。IoT设备的散列公共引导密钥和IoT设备的公共网络访问密钥的散列的绑定允许认证服务器同时确认连接器标识符并验证公共引导密钥。
现在参考图4,示出了描述根据一个示例的由认证服务器执行的用于将IoT设备连接到无线网络的方法400的流程图。图4所示的方法400可以被实现为存储在机器可读介质上并由处理资源(例如处理器)执行的可执行指令的形式,和/或被实现为认证服务器处的电子电路装置的形式。在一个示例中,方法400的步骤可以在为IoT设备提供安全凭证之后被执行。在另一示例中,方法400的步骤可以在先前配置的IoT设备尝试重新连接到无线网络时被执行。如果IoT设备与无线网络断开连接并尝试重新连接,IoT设备可以在无线网络中的任何AP处使用相同的连接器请求网络访问,而无需为IoT设备提供新的连接器。在一些示例中,方法400中所述的步骤可以由图1所示的认证服务器104执行。
在框402中,认证服务器可以从与IoT设备通信的AP接收DPP网络访问授权请求。网络访问授权请求由AP在(利用连接器)从IoT设备接收到DPP对等发现请求时生成。网络访问授权请求可以包括IoT设备的连接器标识符。
在框404中,认证服务器可以执行检查以确定在DPP网络访问授权请求中连接器标识符的有效性。认证服务器可以通过将IoT设备的公共网络访问密钥与存储在认证服务器处的公共网络访问密钥的散列进行比较,来验证IoT设备的公共网络访问密钥。在一些实施方式中,连同连接器标识符一起,认证服务器也可以在授予对网络的访问权之前,检查IoT设备的防病毒和防恶意软件能力的状态。在框404中,如果确定连接器标识符无效,则认证服务器可以拒绝网络访问授权请求(在框406中)。在一些情况下,可以通过将IoT设备移入拒绝列表来暂时撤销或永久删除IoT设备的网络访问。拒绝列表可以由认证服务器维护。此外,当从外部云IoT平台注销或移除IoT设备时,信息会与认证服务器同步。然后将IoT设备的连接器标识符移至拒绝列表。当IoT设备的网络访问被撤销时或者当IoT设备从外部云IoT平台被注销时,IoT设备可以被自动移至拒绝列表,而无需管理员干预。
在框404中,如果确定连接器标识符有效,则在框408中,认证服务器可以从一组可配置策略中确定适用于IoT设备的可配置策略。在一些示例中,每个可配置策略可以与IoT设备的角色相关联。在一些示例中,认证服务器可以为IoT设备分配角色。基于IoT设备的角色,认证服务器可以从一组可配置策略中确定可以应用于IoT设备的可配置策略。
在一个示例中,可配置策略可以是可以由用户(例如管理员)根据IoT设备的角色为IoT设备定义的访问策略。在一些示例中,可配置策略可以是可变的。如果需要的话,无线网络的管理员可以更改可配置策略。每个可配置策略可以包括用于IoT设备的网络权限。网络权限定义了IoT设备的权限和特权。在一个示例中,当摄像机设备正在被提供以连接到无线网络时,与视频捕获设备相关联的可配置策略可以应用于摄像机设备。可配置策略可以包括网络权限。在一个示例中,网络权限可以包括指定可以访问摄像机设备的用户以及允许用户通过摄像机设备执行的操作。
在框410中,认证服务器向AP发送在可配置策略中定义的网络权限。IoT设备可以基于在适用于IoT设备的可配置策略中所定义的网络权限通过AP连接到无线网络。一旦通过使用在AP和IoT设备之间的Wi-Fi连接而连接到无线网络,IoT设备就可以通过无线网络发送和/或接收数据。在图1的上下文中,在一些示例中,IoT设备102可以基于可配置策略中所定义的网络权限通过AP连接到无线网络116。
除了确认用于向IoT设备提供网络访问的连接器标识符之外,在一些示例中,认证服务器还可以验证IoT设备的散列公共引导密钥。认证服务器可以从与IoT设备通信的AP接收公共引导密钥的散列。认证服务器可以确定公共引导密钥的散列是否有效并将公共引导密钥发送给AP。由AP和认证服务器为验证IoT设备的公共引导密钥的散列而执行的操作在图2和图3中被详细描述。
现在参考图5,示出了描述根据一个示例的由AP执行的用于将IoT设备连接到无线网络的方法500的流程图。方法500也可以被称为DPP网络发现阶段。在框502中,AP可以从IoT设备接收DPP对等发现请求帧。DPP对等发现请求帧可以由IoT设备发送,以用于发现无线网络中的AP和其他设备。对等发现请求帧可以包括IoT设备的连接器。
此外,在框504中,AP可以确定IoT设备的连接器是否有效。如果连接器被无线网络的配置器签名,则AP可以确定连接器有效。在框504中,如果确定连接器无效(即,未被无线网络的配置器签名),则(在框506中)AP可以拒绝对等发现请求并向IoT设备发送错误消息。连接器的这种确认确保了IoT设备可以仅连接到其被提供到的网络(例如无线网络)。在框504中,如果确定连接器被无线网络的配置器签名,则AP可以确认已为IoT设备的连接器提供访问无线网络。
此外,在框508中,如果确定连接器有效(即,被无线网络的配置器签名),则AP可以生成并(在框508中)向认证服务器发送DPP网络访问授权请求。网络访问授权请求可以包括IoT设备的连接器标识符。在图1的系统100中,接收对等发现请求帧的任何一个AP 106都可以在DPP网络访问授权请求中将IoT设备102的连接器标识符发送到认证服务器104。
此外,在框510中,当连接器标识符被认证服务器成功确认时,AP可以从认证服务器接收用于IoT设备的网络权限。在一个示例中,网络权限可以定义IoT设备连接到无线网络时的行为。在另一示例中,网络权限可以指定一天中的在其期间允许从IoT设备传输数据的时间区间。
此外,在框512中,AP可以基于网络权限为IoT设备设置访问策略。在一个示例中,访问策略可以指定IoT设备可以传输数据的周期间隔。IoT设备的访问策略的设置可以允许用户控制由IoT设备执行的操作。例如,访问策略可以定义IoT设备对云IoT平台中特定数据的访问权限。另外,在一些示例中,一旦访问策略被设置,则在框514中,AP可以将其DPP连接器发送到IoT设备,并且可以在AP和IoT设备之间建立Wi-Fi连接,从而将IoT设备连接到无线网络。在图1的示例中,IoT设备102可以通过在AP 106C和IoT设备102之间的Wi-Fi连接而连接到无线网络116。
在一些示例中,为IoT设备提供连接器的AP可以独立于将IoT设备连接到无线网络的AP。例如,如图1和图2中所述,虽然被选择的AP 106B充当配置器108的代理并且用连接器配置IoT设备102,但是被选择的AP 106B或AP 106中的任何其他AP可以辅助将IoT设备102连接到无线网络116。在某些其他示例中,(如图2中所讨论的)被选择的AP 106B可以既涉及连接器的提供又涉及IoT设备102与无线网络的连接。
图6是示出根据一个示例的认证服务器602的框图600,该认证服务器602被编码有用于通过使用DPP将IoT设备连接到无线网络的示例性指令。认证服务器602可以代表图1所示的认证服务器104的一个示例、或具有类似功能的任何其他运算设备。
认证服务器602可以包括处理器604、机器可读介质606和策略数据库608。处理器604可以被实现为一个或多个微处理器、微型计算机、微控制器、数字信号处理器、中央处理单元、状态机、逻辑电路和/或任何基于操作指令操纵信号的设备。此外,在一些示例中,机器可读介质606可以是可以存储数据和/或可执行指令的任何电子、磁性、光学或其他物理存储设备。因此,机器可读介质606可以是例如随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储驱动器、闪存、光盘只读存储器(CD-ROM)等。如本文中详细所述,机器可读介质606可以被编码有可执行指令610、612和614(以下统称为指令610-614),以用于认证IoT设备并将其连接到无线网络。
策略数据库608可以包括通过使用一个或多个配置文件或配置简档为多个IoT设备定义的一组可配置策略。用户可以基于IoT设备的角色为IoT设备102配置策略。在一些示例中,策略数据库608可以被存储在机器可读介质606中。
处理器604可以被耦合到机器可读介质606。处理器604可以被配置为执行存储在机器可读介质606中的指令610-614(即程序或软件代码),以用于认证IoT设备并将IoT设备连接到无线网络。在一些示例中,处理器604可以获取、解码和执行存储在机器可读介质606中的指令610-614,以用于认证IoT设备并将IoT设备连接到无线网络。在某些示例中,作为取回和执行指令610-614的备选或附加,处理器604可以包括至少一个集成电路、其他控制逻辑、其他电子电路或其组合,其包括用于执行旨在由认证服务器602执行的功能的若干电子部件。
在一些示例中,指令610在由处理器604执行时可以使处理器604从AP接收DPP网络访问授权请求。此外,指令612在由处理器604执行时可以使处理器604确定在DPP网络访问授权请求中的连接器标识符是否有效。此外,在一些示例中,指令614在由处理器604执行时可以使处理器604响应于确定连接器标识符有效而从一组可配置策略中确定适用于IoT设备的可配置策略。
应理解的是,通过使用DPP通信进行的IoT设备的接入将带来更快且安全地提供IoT设备,而无需任何手动配置。此外,一旦IoT设备配置有连接器,则每次IoT设备重新连接到无线网络时可以不需要重新配置。此外,可以监控IoT设备并且可以通过使用可配置的策略立即更改IoT设备的网络策略。
图7是示出根据一个示例的AP 702的框图700,该AP被编码有示例性指令以用于将IoT设备连接到无线网络。AP 702可以代表任何AP 106或具有类似能力的任何其他运算设备的一个示例。AP 702可以包括处理器704和机器可读介质706,其代表图6的处理器604和机器可读介质606的示例,在此不再赘述。机器可读介质706可以被编码有可执行指令710、712和714(以下统称为指令710-714),以用于基于网络权限来设置访问策略并将IoT设备连接到无线网络。处理器704可以被耦合到机器可读介质706,并且被配置为执行存储在机器可读介质706中的指令710-714(即程序或软件代码),以用于设置访问策略并将IoT设备连接到无线网络。在一些示例中,处理器704可以获取、解码和执行存储在机器可读介质706中的指令710-714,以用于基于网络权限设置访问策略并将IoT设备连接到无线网络。在某些示例中,作为取回和执行指令710-714的备选或附加,处理器704可以包括至少一个集成电路、其他控制逻辑、其他电子电路或其组合,其包括用于执行旨在由AP 702执行的功能的若干电子部件。虽然未示出,但在一些示例中,机器可读介质706可以被编码有某些附加的可执行指令,以用于执行在图3和图5所述的方法300和方法500中的一个或多个框处的操作,而不限制本公开的范围。
在一些示例中,指令710在由处理器704执行时可以使处理器704向认证服务器发送DPP网络访问授权请求。此外,指令712在由处理器704执行时可以使处理器704在DPP网络访问授权请求中的连接器标识符被认证服务器确认时接收IoT设备的网络权限。此外,在一些示例中,指令714在由处理器704执行时可以使处理器704在基于网络权限为IoT设备设置访问策略之后将IoT设备连接到无线网络。
在前面的说明中,阐述了诸多细节以提供对本文所公开的主题的理解。然而,在没有这些细节中的一些或全部的情况下该实施方式也可以付诸实践。其他实施方式可以包括上述细节的修改、组合和变化。所附权利要求旨在涵盖这些修改和变化。
Claims (20)
1.一种方法,包括:
由认证服务器从与IoT设备通信的接入点AP接收设备提供协议DPP网络访问授权请求,其中所述DPP网络访问授权请求包括连接器标识符,其中所述连接器标识符是所述IoT设备的公共网络访问密钥的散列;
由所述认证服务器确定所述连接器标识符的有效性;以及
响应于确定所述连接器标识符有效,
由所述认证服务器从一组可配置策略中确定适用于所述IoT设备的可配置策略,其中所述可配置策略包括网络权限,以及
由所述认证服务器将所述网络权限发送给所述AP,以用于将所述IoT设备连接到无线网络。
2.根据权利要求1所述的方法,其中确定所述可配置策略包括:由所述认证服务器向所述IoT设备分配角色,其中基于所述IoT设备的角色确定适用于所述IoT设备的所述可配置策略。
3.根据权利要求1所述的方法,还包括:
由所述认证服务器从与所述IoT设备通信的所述AP接收DPP引导授权请求,其中所述DPP引导授权请求包括所述IoT设备的公共引导密钥的散列;
由所述认证服务器确定所述公共引导密钥的所述散列是否有效;以及
响应于确定所述公共引导密钥的所述散列有效,由所述认证服务器将用于所述IoT设备的所述公共引导密钥发送给所述AP。
4.根据权利要求3所述的方法,其中确定所述公共引导密钥的所述散列是否有效还包括:确定所述公共引导密钥是否被注册到外部云IoT平台。
5.根据权利要求4所述的方法,还包括:由所述认证服务器从所述外部云IoT平台或移动应用中的一项接收所述公共引导密钥。
6.根据权利要求3所述的方法,还包括:由所述认证服务器将所述IoT设备的所述公共网络访问密钥的所述散列与所述IoT设备的所述公共引导密钥的所述散列进行绑定。
7.一种用于将IoT设备连接到无线网络的接入点AP,所述AP包括:
处理器;以及
存储指令的机器可读介质,所述指令在由所述处理器执行时使所述处理器:
向认证服务器发送设备提供协议DPP网络访问授权请求,其中所述DPP网络访问授权请求基于在所述AP处从所述IoT设备接收的DPP对等发现请求而被生成;
在所述DPP网络访问授权请求中的连接器标识符由所述认证服务器确认之后,从所述认证服务器接收用于所述IoT设备的网络权限;以及
在基于所述网络权限设置访问策略之后,将所述IoT设备连接到所述无线网络。
8.根据权利要求7所述的AP,其中所述机器可读介质存储附加指令,所述附加指令在由所述处理器执行时使所述处理器:
向所述认证服务器发送用于所述IoT设备的DPP引导授权请求,其中所述DPP引导授权请求被生成用于验证所述IoT设备的公共引导密钥的散列;以及
基于在所述AP处所接收的肯定的引导授权响应,为所述IoT设备生成连接器,其中所述肯定的引导授权响应指示所述公共引导密钥的所述散列已被所述认证服务器成功验证。
9.根据权利要求8所述的AP,其中所述机器可读介质存储指令,所述指令在由所述处理器执行时使所述处理器向所述认证服务器发送DPP身份绑定请求,以用于将所述连接器标识符与所述公共引导密钥的所述散列进行绑定,其中所述连接器标识符是所述IoT设备的公共网络访问密钥的散列。
10.根据权利要求8所述的AP,其中所述机器可读介质存储附加指令,所述附加指令在由所述处理器执行时使所述处理器在所述无线网络的配置器和所述IoT设备之间交换DPP配置消息。
11.根据权利要求10所述的AP,其中所述IoT设备的所述连接器由所述配置器签名。
12.根据权利要求11所述的AP,其中所述机器可读介质存储指令,所述指令在由所述处理器执行时使所述处理器基于所述连接器的确认生成所述DPP网络访问授权请求,其中所述AP基于所述配置器的配置器签名密钥确认所述连接器。
13.根据权利要求10所述的AP,其中所述机器可读介质存储附加指令,所述附加指令在由所述处理器执行时使所述处理器在所述IoT设备和所述AP之间建立DPP通信信道,其中所述DPP通信信道基于所述肯定的引导授权响应而被建立。
14.根据权利要求13所述的AP,其中所述IoT设备通过所述DPP通信信道与所述AP通信,以便为所述IoT设备提供对所述无线网络的访问。
15.一种认证服务器,包括:
处理器;以及
存储指令的机器可读介质,所述指令在由所述处理器执行时使所述处理器:
从接入点AP接收设备提供协议DPP网络访问授权请求,其中所述AP在从IoT设备接收到DPP对等发现请求时生成所述DPP网络访问授权请求;
确定所述DPP网络访问授权请求中的连接器标识符是否有效,其中所述连接器标识符是所述IoT设备的公共网络访问密钥的散列;以及
响应于确定所述连接器标识符有效,从一组可配置策略中确定适用于所述IoT设备的可配置策略,并且将网络权限发送给所述AP,以用于将所述IoT设备连接到无线网络,其中所述网络权限在所述可配置策略中被定义。
16.根据权利要求15所述的认证服务器,其中用于确定所述可配置策略的所述指令还包括附加指令,所述附加指令在由所述处理器执行时使所述处理器为所述IoT设备分配角色,其中基于所述IoT设备的所述角色确定适用于所述IoT设备的所述可配置策略。
17.根据权利要求15所述的认证服务器,其中所述机器可读介质存储附加指令,所述附加指令在由所述处理器执行时使所述处理器:
从与所述IoT设备通信的所述AP接收DPP引导授权请求,其中所述DPP引导授权请求包括所述IoT设备的公共引导密钥的散列;
确定所述公共引导密钥的所述散列是否有效;以及
响应于确定所述公共引导密钥的所述散列有效,将用于所述IoT设备的所述公共引导密钥发送到所述AP。
18.根据权利要求17所述的认证服务器,其中所述机器可读介质存储附加指令,所述附加指令在由所述处理器执行时使所述处理器确定所述IoT设备的所述公共引导密钥是否被注册到外部云IoT平台。
19.根据权利要求17所述的认证服务器,其中所述机器可读介质存储附加指令,所述附加指令在由所述处理器执行时使所述处理器将所述IoT设备的所述公共网络访问密钥的所述散列与所述IoT设备的所述公共引导密钥的所述散列进行绑定。
20.根据权利要求15所述的认证服务器,其中所述DPP对等发现请求包括所述IoT设备的连接器。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/346,366 US20220400118A1 (en) | 2021-06-14 | 2021-06-14 | Connecting internet of thing (iot) devices to a wireless network |
| US17/346,366 | 2021-06-14 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115484599A true CN115484599A (zh) | 2022-12-16 |
Family
ID=84192340
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111266082.0A Pending CN115484599A (zh) | 2021-06-14 | 2021-10-28 | 将物联网(iot)设备连接到无线网络 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20220400118A1 (zh) |
| CN (1) | CN115484599A (zh) |
| DE (1) | DE102021127364A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7185978B2 (ja) * | 2018-07-03 | 2022-12-08 | 株式会社ソラコム | 認証情報の設定を仲介するための装置及び方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160112406A1 (en) * | 2014-10-20 | 2016-04-21 | Schneider Electric Industries S.A.S. | Authentication and authorization in an industrial control system using a single digital certificate |
| US11638146B2 (en) * | 2018-03-28 | 2023-04-25 | Qualcomm Incorporated | Onboarding multiple access point (Multi-AP) device using device provisioning protocol (DPP) |
| US10958425B2 (en) * | 2018-05-17 | 2021-03-23 | lOT AND M2M TECHNOLOGIES, LLC | Hosted dynamic provisioning protocol with servers and a networked responder |
-
2021
- 2021-06-14 US US17/346,366 patent/US20220400118A1/en active Pending
- 2021-10-21 DE DE102021127364.1A patent/DE102021127364A1/de active Pending
- 2021-10-28 CN CN202111266082.0A patent/CN115484599A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20220400118A1 (en) | 2022-12-15 |
| DE102021127364A1 (de) | 2022-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111107543B (zh) | 蜂窝服务账户转移和认证 | |
| US11290324B2 (en) | Blockchains for securing IoT devices | |
| EP2337307B1 (en) | Secure subscriber identity module service | |
| US10284550B2 (en) | Method for supporting subscriber's service provider change restriction policy in mobile communications and apparatus therefor | |
| CN112566050B (zh) | 附件无线设备的蜂窝服务账户转移 | |
| JP6086987B2 (ja) | ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録 | |
| US20200359349A1 (en) | Establishing simultaneous mesh node connections | |
| US11855977B2 (en) | Systems and methods for configuring a network function proxy for secure communication | |
| JP2014509468A (ja) | 無線ネットワーククレデンシャルを帯域外配信するための方法及びシステム | |
| CN115484599A (zh) | 将物联网(iot)设备连接到无线网络 | |
| US11475134B2 (en) | Bootstrapping a device | |
| CN111262827A (zh) | 设备自举 | |
| Nguyen et al. | An SDN-based connectivity control system for Wi-Fi devices | |
| WO2021047765A1 (en) | Profile handling of a batch of identity modules | |
| CN114978556A (zh) | 切片认证方法、装置及系统 | |
| EP3565211B1 (en) | Method network element, system and computer readable medium, for onboarding a device | |
| CN113169864A (zh) | 利用公共凭据数据进行引导 | |
| US20230344715A1 (en) | Secure and adaptive mechanism to provision zero-touch network devices | |
| CN110024443B (zh) | 用于与网关配对的方法 | |
| CN117914510A (zh) | 缓解设备配给协议(dpp)网络中的拒绝服务攻击 | |
| CN115136634A (zh) | 用于在通信网络中进行零配置部署的设备和方法 | |
| KR20130140134A (ko) | 무선 네트워크 크리덴셜들의 대역-외 전달을 위한 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |