JP2012507963A - アクセス・ポイントにおける多数の事前共有キーのサポート - Google Patents

アクセス・ポイントにおける多数の事前共有キーのサポート Download PDF

Info

Publication number
JP2012507963A
JP2012507963A JP2011534868A JP2011534868A JP2012507963A JP 2012507963 A JP2012507963 A JP 2012507963A JP 2011534868 A JP2011534868 A JP 2011534868A JP 2011534868 A JP2011534868 A JP 2011534868A JP 2012507963 A JP2012507963 A JP 2012507963A
Authority
JP
Japan
Prior art keywords
key
client device
shared
psk
keys
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011534868A
Other languages
English (en)
Other versions
JP2012507963A5 (ja
JP5506810B2 (ja
Inventor
シェン,ホイ
ジャン,ショーン
バナジー,アニルバン
リウ,ホン
マンダナ,タルーン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2012507963A publication Critical patent/JP2012507963A/ja
Publication of JP2012507963A5 publication Critical patent/JP2012507963A5/ja
Application granted granted Critical
Publication of JP5506810B2 publication Critical patent/JP5506810B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Abstract

多数の事前共有鍵をサポートするように構成されているアクセス・ポイント(AP)を動作させる方法。APと連携されている各クライアント・デバイスには、鍵がプロビジョニングされている。このクライアント・デバイスを認証するために、APは、多数のサポートされている事前共有鍵がある場合、その内のどの事前共有鍵(PSK)が、クライアント・デバイスから受け取った鍵を含む情報と一致するか判断する。情報が一致した場合、クライアント・デバイスはAPに接続することを許可される。APに多数の事前共有鍵をプロビジョニングすることによって、連携されているクライアント・デバイスをAPから選択的に切断することが可能になる。APによってサポートされている多数の事前共有鍵からPSKを除去し、このPSKを用いているクライアント・デバイスを切断しても、異なる鍵を用いてAPにアクセスしている残りのクライアント・デバイスは切断されない。更に、PSKの寿命が満了したとき、このPSKは除去され、このPSKを用いているクライアント・デバイスの各々は切断される。
【選択図】図3

Description

[0001] 今日では、種々のコンピューター・デバイスがワイヤレスで通信することができる。例えば、パーソナル・コンピューター、パーソナル・デジタル・アシスタント、セルラー・フォン、プリンター、スキャナー、およびその他というような移動体コンピューティングデバイスは、ワイヤレス・ネットワーキングに対するIEEE802.11規格を用いるワイヤレス・ローカル・エリア・ネットワーク(WLAN)を通じて通信することができる。ワイヤレス・ネットワークにアクセスするためには、コンピューター・デバイス、またはその他のクライアント・デバイスは、ワイヤレスで、アクセス・ポイント(AP)として構成されているデバイスと「連携」すればよく、次いで、アクセス・ポイントが、クライアント・デバイスに、システムまたはネットワーク・リソースへのアクセスを与える。APは、特別にネットワーク・アクセスを与えるように構成された専用デバイスとして実現することができ、あるいは他の機能を実行するコンピューターをプログラミングすることによって実現することもできる。コンピューターをプログラミングすることによって実現する場合、アクセス・ポイントを「ソフトAP」と呼ぶこともできる。ソフトAPがアクセスを与えることができるリソースは、例えば、「ハードAP」と同様、ネットワークに接続されている他のデバイスを含むことができ、場合によって、ソフトAPとしての機能を果たすコンピューター内にあるアプリケーションまたはその他のエレメントを含むこともできる。
[0002] 安全な通信を可能にするために、クライアント・デバイスおよびAPは互いに秘密データを交換することによって、相互認証する。交換が成功すると、APは、クライアント・デバイスがネットワークに接続することを許可する。秘密情報は、事前共有鍵(pre-shared key)であってもよい。事前共有鍵を用いる場合、APおよび連携するワイヤレス・クライアント・デバイスには、認証に用いられる同一の事前共有鍵が与えられる。
[0003] 例えば、WPAおよびWPA2認証および鍵交換プロトコルによれば、ネットワークにアクセスしようとするとき、クライアント・デバイスは、その事前共有鍵で発生した情報を、APに提供する。APが、その事前共有鍵のコピーを用いてその情報を検証することができると、クライアントは認証されたことになる。事前共有鍵は、データの暗号化および解読のため、ならびに他の目的のために一時セッション鍵を得るためにも用いることができる。
[0004] 従来では、事前共有鍵が用いられる場合、APはクライアント・デバイスと連携するために、1つの事前共有鍵を用いる。つまり、同じAPと連携するクライアント・デバイスは全て、同じ事前共有鍵を共有することになる。
[0005] 本発明者は、ワイヤレス・ネットワークの役割が変化する可能性があること、そしてアクセス・ポイントが多数の共有鍵をサポートし、ネットワーク・アクセスまたはシステム・アクセスをしようとしているデバイス毎に自動的にしかるべき事前共有鍵を特定することができることによって、ユーザーの期待に一層よく応える運用を提供できることを認識し理解している。
[0006] 多数の異なるタイプのデバイスから接続要求を受けるアクセス・ポイントにおいて、クライアント・デバイスは、事前共有鍵(PSK)に関して異なる要件を有し、更にデバイスに複雑な鍵をプロビジョニングするに際して異なるユーザー許容度(user tolerance)を有することがある。つまり、アクセス・ポイントにおける多数の事前共有鍵は、その寿命や複雑さが異なる場合がある。具体的な一例として、プリンターおよびその他の据置型クライアント・デバイスは、APとの長期接続を維持することができる。これらのデバイスには極希にしか事前共有鍵がプロビジョニングされないと考えられるので、ユーザーに多大な負担をかけることなく、セキュリティを維持するために複雑な鍵を用いることができる。対照的に、パーソナル・デジタル・アシスタントおよびその他の移動体デバイスは、APとの短期接続しか必要としないこともあり、この接続は、ユーザーが移動体デバイスにタイプ入力した鍵を用いて開始するのであってもよい。このような接続には、余り複雑でない鍵を用いるとよい。何故なら、短い接続の間この鍵が用いられても、ネットワークのセキュリティを脅かす危険性は殆どないからである。用いる鍵が複雑でない程、デバイスにプロビジョニングする際のユーザーの負担は軽減される。
[0007] 異なる期間の鍵をサポートするために、本発明の一部の実施形態によるアクセス・ポイントは、他のPSKを用いているかもしれない他のクライアント・デバイスを切断することなく、一部のPSKを除去するように構成することができる。このように、短期PSKは、APとの長期接続を有するデバイスを混乱させることなく、短期PSKを除去することができる。
[0008] APと連携するクライアント・デバイスとの間における通信を促進するために、本発明の実施形態では、多数の事前共有鍵(PSK)をサポートするようにAPを構成するステップを備えている。APと連携されている各クライアント・デバイスには、これら多数のPSKの内1つをプロビジョニングすることができる。このように、本発明の一部の実施形態によれば、1つよりも多いクライアント・デバイスが1つのPSKを共有することができつつ、APはなおも1つよりも多いPSKを所与の時点においてサポートして、その連携するクライアント・デバイスを認証する。クライアント・デバイスがAPを通じてネットワークにアクセスしようとすると、APは、多数のPSKの内どのPSKを用いてこのクライアント・デバイスを認証すべきか決定する。APおよびクライアント・デバイスは、これらのPSKをWLAN上の通信に用いることができる。WLANは、例えば、IEEE802.11規格を用いるWi−Fi(登録商標)技術である。
[0009] 本発明の一部の実施形態では、1つのAPと連携されているクライアント・デバイスをグループに纏めることができ、同じグループに属するデバイスがPSKを共有する。1つのグループを形成するクライアント・デバイスによって用いられるPSKを除去すると、このグループに属するデバイスによるネットワークへのアクセスが終了するが、異なるPSKを用いる他のグループに属するクライアント・デバイスによるネットワーク・アクセスは影響を受けない。
[0010] APに多数のPSKをプロビジョニングすることによって、異なるタイプのPSKをサポートするようにAPを構成することが可能になる。例えば、異なる寿命および複雑さのPSKを、APによって所与の時点において用いることもできる。PSKの中には、短くて人間のユーザーによる入力に適したものもある。PSKの中には、頻繁に変化するものもあり、一過性のネットワーク・アクセスをサポートすることができるものもある。他のPSKは、長期接続に対してセキュリティを強化するために、長くすることができる。
[0011] 以上の説明は、非限定的な本発明の摘要である。本発明は、添付した特許請求の範囲によって定義されるものとする。
[0012] 添付図面は、同じ倍率で描かれることを意図していない。図面において、同じコンポーネントまたはほぼ同じコンポーネントが種々の図において示される場合、これを同様の参照番号で表すこととする。明確化の目的上、各図においてあらゆるコンポーネントに番号が付されていない場合もある。
図1は、本発明の一部の実施形態を実現することができるコンピューティング環境の概略図である。 図2は、本発明の一部の実施形態によるアクセス・ポイントとして構成されたデバイス内におけるコンポーネントのブロック図である。 図3は、本発明の一部の実施形態にしたがって、アクセス・ポイントを動作させるプロセスのフローチャートである。 図4は、本発明の一部の実施形態にしたがって、アクセス・ポイントにプロビジョニングされた事前共有鍵を除去するプロセスのフローチャートである。 図5Aは、本発明の一部の実施形態にしたがってアクセス・ポイントに事前共有鍵をプロビジョニングするプロセスの間に用いられるユーザー・インターフェースの概略図である。 図5Bは、本発明の一部の実施形態にしたがってアクセス・ポイントに事前共有鍵をプロビジョニングするプロセスの間に用いられるユーザー・インターフェースの概略図である。 図5Cは、本発明の一部の実施形態にしたがってアクセス・ポイントに事前共有鍵をプロビジョニングするプロセスの間に用いられるユーザー・インターフェースの概略図である。 図6は、本発明の一部の実施形態による、Wi-Fi Protected Access 2(WPA2)プロトコルを用いた、アクセス・ポイントとクライアント・デバイスとの間における鍵交換プロセスを示す概略図である。 図7は、本発明の一部の実施形態による、Wi-Fi保護アクセス(WPA:Wi-Fi Protected Access)プロトコルを用いた、アクセス・ポイントとクライアント・デバイスとの間における鍵交換プロセスを示す概略図である。
[0020] ワイヤレス通信では、アクセス・ポイント(AP)として構成されたデバイスと、クライアント・デバイスとが相互に、ある種の秘密情報を用いて、互いに認証する。この情報は、事前共有鍵(PSK)を含むことができる。
[0021] クライアント・デバイスが、PSKに関して異なる要件を有し、更にデバイスに複雑な鍵をプロビジョニングするに際して異なるユーザー許容度を有する可能性があることを本発明者らは認識し理解している。つまり、クライアント・デバイスのユーザーが異なるタイプのPSKをAPアクセスのために用いることを可能にすることによって、ユーザー体験を向上させることができる。例えば、異なる鍵毎に、APへの所与の接続に適した寿命および複雑さを有することができる。例えば、PSKが、一時的に用いられ、ユーザーに親しみやすい短期鍵であり、クライアント・デバイスのユーザーによって容易にタイプ入力できるものであることもある。短期鍵は、例えば、短期間だけAPを通じてインターネットにアクセスすることが許可されたラップトップまたはPDAユーザーが用いるとよい。余り複雑でない鍵を用いることによって、APアクセスのためにクライアントにプロビジョニングする際のユーザー負担は軽減され、鍵は短期間の後期限切れになるので、セキュリティ上の懸念も低い。別の例として、PSKは、もっと複雑で長い寿命を有する長期鍵であってもよい。例えば、据置型のプリンターまたはスキャナーは、APと長期間の通信を維持することもあり、したがって、ユーザーが入力するのが一層困難になることもあり得る長期鍵を利用するとよい。
[0022] 更に、本発明者らは、多数の事前共有鍵(PSK)をサポートするようにAPを構成することによって、APの動作、およびAPと連携するクライアント・デバイスとの間の通信を容易にすることができることも認識し理解している。APに多数のPSKをプロビジョニングすることによって、連携するクライアント・デバイスをAPから選択的に切断することが可能になる。つまり、APがサポートする複数のPSKから1つのPSKを除去し、そのPSKを用いてAPと認証したクライアント・デバイスを切断しても、APにアクセスするために異なるPSKを用いている残りのクライアント・デバイスは切断されない。
[0023] 更に、2つ以上のデバイスがグループを形成し、このグループ内ではデバイスがPSKを共有するとき、このPSKを除去すると、このグループの中にあるデバイスによるネットワークへのアクセスは終了するが、異なるPSKを用いている他のグループ(1つまたは複数)の中にあるクライアント・デバイスによるネットワーク・アクセスには影響を及ぼさない。
[0024] 異なる寿命の鍵をサポートするために、本発明の一部の実施形態によるAPは、このAPと長期接続を有するかもしれない他のクライアント・デバイスを切断することなく、一部のPSKを除去するように構成することができる。つまり、あるPSKの寿命が満了したときに、このPSKをAPから選択的に除去する。
[0025] 本発明の一部の実施形態は、APとして構成されているデバイスを動作させる方法を提供する。このAPには多数のPSKがプロビジョニングされている。クライアント・デバイスがAPに接続しようとすると、APは、このクライアント・デバイスから接続要求を受ける。この要求は、クライアント・デバイス上に格納されている鍵に基づいて暗号化、署名、またはそれ以外の処理がなされている情報を含むことができる。APは、このクライアント・デバイスがこの情報を発生するために有効な事前格納鍵にアクセスできるか否か判断し、アクセスできる場合、多数のサポートされているPSKの内どのPSKが用いられたのか判断することができる。この判断を行うために、APは、接続要求の一部としてクライアント・デバイスから受け取った情報を、APにプロビジョニングされている多数のPSKからのPKSに基づいて発生した同様の情報と比較することができる。
[0026] APには、適した方法であればいずれを用いてでも、複数のPSKをプロビジョニングすることができる。例えば、各PSKを格納するために、APはプログラミング・インターフェースを通じてコールを受けることができる。これは、アプリケーション・プログラムによって、またはユーザー・インターフェースによって、ユーザー入力に応答して、または他のいずれかの適した方法でコールすることができる。
[0027] 本発明の一部の実施形態によれば、APは、このAPに格納されている多数のPSKから、選択したPSKを除去する。APは、APIへのコール、ユーザー・インターフェースを通じたユーザー入力、PSKの寿命満了、およびその他のイベントの結果、PSKを除去することができる。PSKを除去する際、APは、APに接続されているいずれかのクライアント・デバイスが、接続を形成するために、この選択したPSKを用いていたか否か判断することができる。このようなデバイスが発見されると、APは、異なるPSKを用いてAPと認証したクライアント・デバイスを切断せずに、これらを切断することができる。APは、1つ又は複数のAPIをサポートすることができ、これらのAPIを通じて、APは鍵を除去することを要求することができる。このような要求は、ユーザー入力に応答してユーザー・インターフェースを通じて、または適した方法であれば他のいずれによってでも、アプリケーション・プログラムによって発生することができる。
[0028] 更に、PKSの除去は、AP自体の中にある制御エレメントによって誘起することもできる。例えば、あるPSKの寿命が満了したときに、APに格納されている多数のPSKから、このPSKを選択して除去することができる。APに接続されているいずれかのクライアント・デバイスが、この選択されたPSKを用いている場合、APは、APと認証するために異なるPSKを用いたクライアント・デバイスを切断せずに、これらのクライアント・デバイスを切断することができる。
[0029] 図1は、多数のコンピューティングデバイスが、アクセス・ポイントとして構成されているデバイス102と、ワイヤレス・ネットワーク104を用いて通信する、ネットワーク状コンピューティング環境100を示す。ネットワーク104は、例えば、ワイヤレス・ローカル・エリア・ネットワーク(WLAN)とすることができる。デバイス102は、例えば、「ソフトAP」として構成されているコンピューターとすることができる。しかしながら、APは、ハードウェアAPであってもよく、またはクライアント・デバイスがワイヤレス・プロトコルにしたがってリソースにアクセスすることを許可するプロトコルを実行するように構成されているその他のワイヤレス・デバイスであってもよい。例えば、APは、IEEE802.11規格によってサポートされているWi−Fi(登録商標)技術を用いて動作することができる。
[0030] 図示した例では、4つのクライアント・デバイス、スキャナー106、プリンター108、ラップトップ110、およびPDA112が、図示のように、アクセス・ポイント102とワイヤレスで通信する。これらのデバイスは、移動式、据置型でもよく、移動動作モードおよび据置動作モード双方を実現することもできる。4つのコンピューティングデバイスを示したが、いずれの数またはタイプのコンピューティングデバイスでも、本発明の実施形態によるアクセス・ポイントと通信することができ、4つのデバイスは簡略化のために示したに過ぎない。
[0031] ここでは、APは、多数のPSKをサポートするように構成されている。クライアント・デバイス106、108、110、および112は、AP102と連携されており、各々1つのPSKを格納する。つまり、この例では、デバイス106、108、110、および112の各々は、それぞれのPSKを含む。これらのPSKは、ブロック107、109、111、および113にそれぞれ模式的に示されている。例えば、スキャナー106およびプリンター108は、双方共、鍵1を含み、ラップトップ110は鍵2を含み、PDA112は鍵3を含む。このように、スキャナー106およびプリンター108は鍵1と呼ばれるPSKを共有するが、ラップトップ110およびPDA112は異なるPSKを含む。これは、AP102が所与の時点においてその連携するクライアント・デバイスを認証するために、1つよりも多いPSKをサポートすることを例示する。
[0032] APと連携するクライアント・デバイスをグループに纏めることができ、同じグループに属するデバイスは1つの鍵を共有する。図1は、スキャナー106およびプリンター108が同じPSKを有することを示す。つまり、これらのデバイスはグループを形成することができる。一部の実施形態によれば、1つのグループを形成するクライアント・デバイスによって用いられているPSKを除去すると、そのグループの中にあるデバイスによるネットワーク・アクセスは終了するが、異なるPSKを用いている他のグループの中にあるクライアント・デバイスによるネットワーク・アクセスには影響を及ぼさない。
[0033] APと連携するクライアント・デバイスは、PSKに関して異なる要件を有することや、クライアント・デバイスに複雑な鍵をプロビジョニングする際には異なるユーザー許容度を有することもある。つまり、APにおける多数のPSKは、異なる寿命や複雑さを有することもある。例えば、図1に示すスキャナー106およびプリンター108は、据置型デバイスであり、AP102と長期の接続を維持する可能性がある。これらのデバイスには希にPSKがプロビジョニングされるだけに過ぎないと考えられるので、複雑な鍵、または「強い」鍵を用いて、ユーザーに負担をかけずに、セキュリティを維持することができる。対照的に、ラップトップ110およびPDA112のような移動体デバイスは、AP102に対して短期の接続しか必要としない場合もあり、この接続は、ユーザーが鍵を移動体デバイスにタイプ入力することによって開始されることもある。このような短期接続では、余り複雑でなく、ユーザーにとって使いやすい鍵、即ち、「容易な」鍵を用いるとよい。何故なら、不正者がこの鍵を識別したり、あるいは不正な目的にそれを用いることができるようになる前に、この短期鍵を除去できれば、ネットワーク・セキュリティを損なう危険性は低いからである。しかも、余り複雑でない鍵を用いることによって、デバイスにプロビジョニングする際のユーザーの負担は軽減する。これは、移動体デバイスがネットワークに接続する度にPSKを思い出して手作業で入力しなければならないこともあるユーザーにとっては、便利であると考えられる。
[0034] このように、鍵1、2、および3の各々は、異なるタイプであってもよい。タイプは、鍵の寿命の期間、鍵の複雑さ、またはその他の特性を反映することができる。例えば、鍵1、2、および3は、各々、異なる「存続時間」(TTL:time-to-live)特性を有することができる。しかしながら、TTLは鍵の寿命を追跡する手法の一例に過ぎず、寿命は他の適した方法であればいずれによってでも定義できることは、認められてしかるべきである。
[0035] 本発明の一部の実施形態によれば、クライアント・デバイスがAPを通じてネットワークにアクセスしようとすると、APは、このクライアント・デバイスを認証するために、多数のサポートしているPSKの内どのPSKを用いるべきか判断する。図1に示すように、AP102は、このAPがサポートするPSKを含むストレージ114を含むか、または何らかの方法でストレージ114に関連付けられている。この例では、AP102は、鍵1、2、および3と模式的に示す3つのPSKをサポートすることができるように示されている。しかしながら、本発明の実施形態はこれに関して限定されないので、AP102はいかなる数の異なるタイプのPSKでもサポートすることができる。更に、ストレージ114は、クライアント・デバイス106、108、110、および112に格納されているPSKの全てを含むように示されているが、クライアント・デバイスは、AP102がサポートしていないPSKを有してもよいことを言うまでもない。また、AP102は、連携するクライアント・デバイスのいずれにも格納されていないPSKを格納することもできる。
[0036] 図2は、本発明の一実施形態によるAP102として構成されているコンピューター内におけるコンポーネント例を含むシステム200を示す。AP102は、1つ又は複数のクライアント・デバイス210とネットワーク・インターフェース208を通じてワイヤレスで通信する。ネットワーク・インターフェース208は、AP102の中にある他のコンポーネントによって制御される。AP102は、コンピューティングデバイス204を通じて、その構成を設定することができる。コンピューティングデバイス204は、デスクトップ、ラップトップ、PDA、あるいはアプリケーション・プログラムを実行し、ユーザー入力に応答する、または制御機能を実行することができる他の何らかのデバイスというようなデバイスであれば、いずれでも可能である。尚、コンピューティングデバイス204がAP102を含んでもよく、このような場合、AP102は、コンピューティングデバイス204内においてソフトAPの機能を提供することは、認められてしかるべきである。AP102がソフトAPである場合、図2におけるコンポーネントの一部は、コンピューター記憶媒体におけるコンピューター・ソフトウェアとして実現することができ、またはプロセッサー(図示せず)によって実行することができる。しかしながら、AP102は、「ハード」APにおけるファームウェアを含む、適した方法であればいずれでも実現することができる。
[0037] 図示した例では、AP102は、PSKを追加および除去するためのインターフェースを含む。これらは、一例として、鍵追加API212および鍵除去AP214として示されている。2つのAPIが示されているが、AP102内においてPSKを管理するためには、いずれの数またはタイプのAPIでも用いることができる。AP102によってサポートされているPSKの追加および除去、ならびにクライアント・デバイスがAP102とPSKを共有しているか否かの判断というような、AP102の他の機能は、制御ロジック216によって設けることができる。尚、制御ロジック216は、本発明の一部の実施形態にしたがってAP102の動作を制御するのに適したコンポーネントであれば、いずれの数でも含むことができることは認められてしかるべきである。
[0038] AP102にプロビジョニングされたPSKは、AP102のコンピューター・メモリーの中にあるPSKストア218に格納されている。図示した実施形態では、このメモリーは不揮発性であるが、適したメモリーであればいずれでも用いることができる。
[0039] PSKに関する情報は、適した方法であればいずれでも編成することができる。ここでは、PSKストア218は、鍵テーブル220を含む。このテーブル220は、AP102に現在格納されているPSKについての情報を維持する。尚、PSKストア218は、他の適したコンポーネント(1つまたは複数)を含んでもよいことは認められてしかるべきである。例えば、鍵追加API212のコールによってAP102にプロビジョニングされたPSKを、PSKストアに格納する。
[0040] 尚、鍵テーブル220は、鍵の数、および格納することができる付随データに制限を設けることができることは、注記してしかるべきである。このような実施形態では、鍵テーブル220が格納できるPSKの数に対する限度に達していない限り、PSKを鍵テーブル220に追加することができる。逆に、PSKをリストとしてまたはメモリー構造として格納し、任意の数の鍵を受け入れるように拡大することもでき、実施形態によっては、PSKの数に制限を設けないようにしてもよいことは認められてしかるべきである。
[0041] 例えば、鍵除去API214を通じて命令を受け取ったときにPSKをAP102から除去する場合、このPSKはPSKストア218から除去される。
[0042] 図2に示すように、鍵テーブル220に格納されているn個の鍵の各々は、それぞれの期間を有する。この期間は、一例として、存続時間(TTL)として示されている。尚、鍵の期間は、適した方法であれば他のいずれでも定義できることは認められてしかるべきである。先に論じたように、PSKは異なる期間を有することができ、それぞれのTTLの満了時にPSKを除去することができる。TTLの満了時におけるPSKの除去は、鍵除去API214によって管理することができる。
[0043] あるいは、TTLの満了時における鍵の除去は、制御ロジック216または他のいずれかの適したコンポーネントによって誘起させることもできる。図示した実施形態では、除去がAPI214によるコマンドによって誘起されたか、または制御ロジック216によって発行されたトリガによって誘起されたかには係わらず、鍵を除去するときの処理は同一である。しかしながら、実施形態によっては、PSKを除去するトリガに応じて、異なる処理を実行することもできる。尚、鍵テーブル220は、PSKと関連のある他の情報を格納することもでき、TTLを含む列は簡略化のために示されていることは、認められてしかるべきである。
[0044] クライアント・デバイスがAPまたはAP上のアプリケーションを通じてネットワークにアクセスしようとすると、例えば、制御ロジック216のような、APの内部にある適したコンポーネントが、多数のサポートされているPSKの内どのPSKを用いてクライアント・デバイスとの接続を形成すべきか判断する。例えば、図1に示した例では、API102では格納されている鍵1と表記されているPSKを用いて、鍵1を用いるラップトップ110との接続を形成することができると、AP102は判断することができる。
[0045] ラップトップ110がAP102との接続を形成するとき、この接続を形成するために用いられる鍵をAP102に記録することができる。更に、AP102は接続ストア222を含む。接続ストア222は、一例として224A〜224Cとして示すデータ構造を格納する。各データ構造は、AP102がサポートする接続と関連のあるデータを含む。例えば、データ構造224Aは、AP102と、例えば、図1に示したデバイス106、108、110、および112の内のいずれかとの間における接続についてのデータを含む。データ構造224Aは、適した欄であればいずれでも含むことができる。つまり、データ構造224Aは、接続を確立する相手となるクライアント・デバイスの識別子を含む。この識別子は、ここではクライアントID226として示されている。また、データ構造は、AP102とクライアント・デバイスとの間で共有されている鍵を示す欄PSK228も含む。PSKは、セッション鍵のような他の情報を得るために用いることができ、更にAP102とクライアント・デバイスとの間の鍵交換中におけるデータ暗号化および解読にも用いることができる。このようにして得られた情報も、格納することができる。このように、接続ストア222は、セッション鍵230、および任意のグループ鍵232を所与の接続毎に格納することができる。尚、接続に関する他の情報もデータ構造224Aに記録することができ、4つのエレメント226〜232は、例示の目的で示したに過ぎないことは、認められてしかるべきである。
[0046] データ構造224Bおよび224Cは、AP102と連携するクライアント・デバイスとの間における他の接続についての同様の情報を含む。例えば、データ構造224Aは、図1に示したAP102とスキャナー106との間の接続についての情報を格納することができ、一方データ構造224Bおよび224Cは、それぞれ、AP102とラップトップ110およびPDA112との間の接続についての情報を含むことができる。接続ストア222は、3つのデータ構造のみを含むように示されているが、AP102に接続されているクライアント・デバイス毎にデータ構造を接続ストア222に格納することもできることは認められてしかるべきである。クライアント・デバイスが接続を形成すると、制御ロジック216がデータ構造を接続ストア222に追加することができる。クライアント・デバイスがAP102から切断されると、それぞれのデータ構造を接続ストア222から除去することができる。
[0047] 先に論じたように、本発明の実施形態は、多数のPSKをプロビジョニングされているAPを動作させる方法を提供する。クライアント・デバイスがリソースにアクセスしようとすると、APは、このクライアント・デバイスからAPへの接続要求を受ける。この要求の少なくとも一部は、クライアント・デバイスにプロビジョニングされた鍵を用いて作成されている。次いで、APは、この要求がPSKの1つを用いて作成されたのか否か判断する。そうである場合、クライアント・デバイスを接続し、認証し、特定したPSKに基づいて接続を確立することができる。そうでない場合、クライアントは認証されず、接続も確立されない。図示した実施形態では、APは、要求に含まれている情報が、APにプロビジョニングされたPSKからの鍵を用いて発生することができる情報と一致するか否か判断することによって、クライアント・デバイスがAPのPSKの内の1つを有するか否か判断する。一致があった場合、APは接続を許可する。そうでない場合、接続は許可されない。
[0048] 図3は、本発明の一部の実施形態にしたがってアクセス・ポイントを動作させるプロセスのフローチャートである。プロセス300は、デバイスがAP(例えば、AP102)として構成されたとき、または他のいずれかの適した時点において開始する。ブロック302において、APに複数のPSKをプロビジョニングすることができる。APにPSKをプロビジョニングするには、適した方法であればいずれでも用いることができる。例えば、各鍵を追加するために、APは、プログラミング・インターフェース(例えば、鍵追加API212)によるコールを受けて、APに格納されている鍵を特定することができる。このようなAPIによるコールは、ユーザー・インターフェースを通じてまたは他のいずれかの適した方法によって受け取られた入力に応答して発生することができる。
[0049] PSK毎に値を規定することに加えて、PSKのプロビジョニングは、鍵の期間または鍵の他の特性を指定することを含むこともできる。このような情報は、鍵自体として同じAPIを通じて提供することができ、または他のいずれかの適した方法でも提供することができる。先に論じたように、クライアント・デバイスは、PSKに関して異なる要件を有することもある。つまり、本発明の実施形態は、異なる寿命および複雑さのPSKの使用を提案する。一実施形態では、PSKは256ビットの数値、または8から63ビット長のパスフレーズ(passfrase)であってもよい。しかしながら、本発明の実施形態はこの点において限定されることはなく、適した長さおよびフォーマットであればいずれのPSKでも利用可能であることは、認められてしかるべきである。PSKは、異なる寿命および複雑さを有することができ、クライアント・デバイスに鍵をプロビジョニングするユーザー許容度に基づいて、寿命および複雑さを選択することができる。つまり、PSKは、一時的に用いられ(例えば、短いTTLを有する)、クライアント・デバイスのユーザーによる鍵の容易な入力を可能にする、ユーザーに使いやすいフォーマットを有する短期鍵とすることができる。短期鍵は、一連の英数字キャラクタから成るパスワードであってもよい。短期鍵は、例えば、APを通じて短期間だけインターネットにアクセスすることを許可されているラップトップ・ユーザーによって用いられるとよい。また、PSKは、短期鍵よりも複雑で長い寿命の期間を有する(例えば、長いTTLを有する)長期鍵であってもよい。この長期鍵は、APとの長期通信を維持するクライアント・デバイスに与えるとよい。例えば、据置型プリンターは、APとの長期通信を維持する場合があり、したがって長期鍵を利用するとよい。長期鍵は、ユーザーが入力するにはより難しいと考えられる。
[0050] プロビジョニングされた鍵は、後にAPIが使用するために、格納することができる。APIによる使用は、APがリブートされた後の使用を含む。APにプロビジョニングされたPSKは、例えば、図2に示したPSKストア218に格納することができる。各PSKは、それに関連付けられたTTL、およびPSKストア218に格納されている他の特性も有することができる。尚、APには、適した時点であればいつでも、多数のPSKをプロビジョニングすることができることは、認められてしかるべきである。例えば、異なるPSKを異なる時点にAPにプロビジョニングすることもできる。
[0051] ブロック304において、APは(例えば、図2に示したネットワーク・インターフェース208を通じて)、クライアント・デバイスから、APへの接続要求を受ける。この要求は、いずれの時点でも送ることができ、既知の接続フォーマットであっても、または適したフォーマットであれば他のいずれでもよい。また、要求されたネットワーク・アクセスは、いずれの所望の目的のためであってもよい。例えば、クライアント・デバイスは、APを通じてネットワーク上のリソースにアクセスするために接続を要求することができる。また、クライアント・デバイスは、AP上にあるアプリケーションにアクセスする要求を送ることもできる。尚、本発明の実施形態はこの点において限定されないので、クライアント・デバイスは、他の目的のために、APへの接続要求を送ってもよいことは、認められてしかるべきである。この要求の一部は、クライアント・デバイスに格納されている鍵を用いて作成することもできる。
[0052] 判断ブロック306において、AP(例えば、制御ロジック216)は、APにプロビジョニングされた複数のPSKからの各PSKについて、鍵を用いて作成された要求の一部が、複数のPSKからのPSKを用いて発生した情報と一致する情報を含むか否か判断する。鍵を用いて作成された要求の一部は、例えば、この要求を構成するメッセージの署名であってもよい。WPAおよびWPA2プロトコルでは、この署名は、クライアント・デバイスによって計算されるメッセージ・インテグリティ・コード(MIC:message integrity code)とすることができる。これについては、以下で更に詳しく説明する。しかしながら、鍵から得られたいずれの情報でも、クライアントがPSKを有することを示すことができる。この情報は、署名され、暗号化され、ハッシュされるか、またはこの鍵を用いて他の方法で処理されるか、あるいは他の鍵またはこの鍵を用いて発生したコードを用いて処理されてもよい。
[0053] 情報が一致したと判断した場合、本プロセスは分岐してブロック308に進み、ここで、クライアント・デバイスとAPとの間の接続が許可される。次いで、本プロセスは終了することができる。接続を許可することの一部として、APは、当技術分野において周知のようにAPが要求に応答するのと同じ方法で、この要求に応答すればよいが、APの応答は、クライアント・デバイスからの要求の中にある情報を照合した後に選択されたPSKに基づいてもよく、追加の処理は、セッション鍵、グループ鍵、または特定されたPSKに基づく他の情報の発生を含むことができる。また、接続の許可は、先に論じたように、接続ストア222にデータ構造を作成することを含んでもよい。
[0054] 情報が一致しないと判断した場合、本プロセスはブロック310に進み、ここで、接続を拒否し、クライアント・デバイスはリソースにアクセスすることを許可されない。次いで、本プロセスは終了する。尚、クライアント・デバイスから他の接続要求を受けたときも、図3に示すように、プロセス300はブロック304に戻ってもよいことは言うまでもない。
[0055] 本発明の一部の実施形態によれば、PSKがクライアント・デバイスの1つ又は複数と関連付けられていても、このPSKをAPから除去することができる。この除去は、例えば、ユーザーまたはアプリケーションが鍵の除去を要求したときに開始することができる。選択された鍵を除去する要求は、ユーザーによってAP上のユーザー・インターフェースを通じて実行することができ、あるいはAPの構成を設定するために用いられたデバイスを通じて実行することもできる。
[0056] 更に、PSKは、その寿命が満了したときに、無効にすることができる。鍵が無効にされると、このPSKを用いている1つ又は複数のクライアント・デバイス間の接続を選択的に遮断することができる。APに接続されており、APと異なるPSKを共有している他のクライアント・デバイスは、APから切断されることはない。
[0057] 図4は、本発明の一実施形態にしたがって、アクセス・ポイントにプロビジョニングされた事前共有鍵を除去するプロセス400を示す。このプロセスは、適した時点であればいつでも開始することができ、例えば、図2に示した鍵除去API214のようなプログラミング・インターフェース、および/またはいずれかのPSKがそのTTLを超過しているか否かについての周期的なチェックを誘起する制御ロジック216内にあるタイミング・コンポーネントの状態の連続的監視の一部であってもよい。判断ブロック402において、本プロセスは、選択されたPSKを除去することをAP(例えば、AP102)に命令するユーザー入力を受け取ったか否か判断する。APまたはこのAPの構成を設定したデバイス(例えば、コンピューティングデバイス204)は、ユーザー・インターフェースを有することがあり、このインターフェースを、ユーザー入力を受け取るために用いることができる。
[0058] 選択されたPSKを除去することを命令するユーザー入力が与えられたと判断したとき、本プロセスは分岐してブロック406に進み、ここでPSKを除去する。先に論じたように、選択されたPSKをPSKストア218から除去することができる。このようにして、除去されたPSKに基づく接続は、今後行われないようにすることができる。
[0059] 逆に、判断ブロック402において、ユーザー入力が与えられなかったと判断した場合、本プロセスはブロック404に進み、ここで、選択されたPSKに付随する存続時間(TTL)が満了したか否か判断する。TTLが満了している場合、本プロセスはブロック406に進み、ここで、選択されたPSKを除去する。TTLが満了していない場合、本プロセスは、図4に示すように、開始に戻り、API214を通じて入力が受け取られるまで、または選択されたPSKが除去されるまで、本プロセスはループ状に継続する。選択されたPSKを除去することをAPに命令するユーザー入力が与えられたか否か判断するステップ、および選択されたPSKに付随するTTLが満了したか否か判断するステップは、2つの連続するステップとして示されているが、本発明はこの点について限定されないので、これらの動作は、いずれの順序で実行しても、同時に実行しても、またはいつの時点で実行してもよいことは認められてしかるべきである。更に、図4は、図示の簡略化のために、ステップの順次実行を示すことも認められてしかるべきである。図4に示す1つ又は複数の動作は、図示した動作の一部が同時にまたは別の時点で現れることができるように、別の計算スレッドで実行するとよい。例えば、PSKに付随するTTLが満了したときに鍵を除去する動作は、APIによるコールを処理する動作とは別の計算スレッドにおいて実行するとよい。
[0060] ブロック408において、APは、選択されたPSKを用いているクライアント・デバイスを検索する。何のイベントがAPIにPSKを除去させたかには係わらず、PSKの除去は、除去されたPSK内において形成されていたあらゆる接続を終了することも含むとよい。したがって、図2に示した実施形態において、接続ストア222において検索することによって、このようなデバイスを特定することができる。しかしながら、接続をPSKに関連付けるのに適したメカニズムであればいずれでも用いることができる。
[0061] 判断ブロック410において、1つ又は複数のクライアントが、選択されたPSKを用いているか否か判断する。このようなデバイスが発見された場合、本プロセスはブロック412に進み、ここで、これらのクライアント・デバイスをAPから切断する。何故なら、これらが用いている鍵が除去されたからである。更に、切断された接続毎に、接続ストア222に格納されている構造224A〜224Cの内の1つというような、その接続と関連付けられているそれぞれのデータ構造を、接続ストア222から除去する。
[0062] 本発明の実施形態によれば、除去されるために選択されたPSKを用いていたクライアント・デバイスのみが、PSKの除去時に切断される。APとの認証のために異なるPSKを用いている他のクライアント・デバイスは、APに接続されたままとなっている。
[0063] 選択されたPSKを用いているクライアント・デバイスが見つからなかった場合、本プロセスは終了することができる。しかしながら、プロセス400は、図4に示すように、APにプロビジョニングされた鍵毎に繰り返すこともできる。
[0064] 本発明の一部の実施形態によれば、AP上にあるユーザー・インターフェースを通じて、またはAPの構成を設定するために用いたデバイス(例えば、コンピューティングデバイス204)を通じて、複数のPSKをAPにプロビジョニングする。しかしながら、適したプロビジョニング・メカニズムであればいずれでも用いることができる。図5Aから図5Cは、本発明の一実施形態による、PSKのプロビジョニングのためのユーザー・インターフェースの一例を示す。図5Aは、ユーザー・インターフェース500を含む。このユーザー・インターフェース500は、鍵追加エレメント(例えば、プッシュ・ダウン・ボタンまたは他のエレメント)、およびユーザーが鍵の値を入力することができる欄504を含む。また、ユーザー・インターフェース500は、ユーザーが鍵の中から1つを選択できることを示す鍵タイプ選択エレメント506(例えば、プッシュ・ダウン・ボタンまたは他のエレメント)を含む。図示した実施形態では、2つの鍵タイプ、即ち、長期および短期鍵タイプ、がサポートされている。各タイプでは、いくつの鍵でも許容することができる。しかしながら、実施形態によっては、APが各タイプ毎に1つの鍵しかサポートできない場合もある。つまり、ドロップ・ダウン・メニュー508において一例として示すように、ユーザーは、入力した鍵が短期鍵かまたは長期鍵か選択することができる。
[0065] 図5Bは、ドロップ・ダウン・メニュー408において、図5Bではエレメント512として示されている「短期鍵」選択肢を選択することによって、ユーザーが短期鍵を選択したときのユーザー・インターフェースを示す。同様に、図5Cは、ドロップ・ダウン・メニュー408において、図5Cではエレメント516として示されている「長期鍵」選択肢を選択することによって、ユーザーが長期鍵を選択したことを示す。実施形態によっては、長期鍵は、ユーザーによるタイプ入力ではなく、自動的に発生するとよい場合もある。
[0066] 選択された鍵のタイプには関係なく、ユーザーは、適した入力デバイスを通じて、鍵の値も入力することができる。図5Bおよび図5Cは、欄510に入力された短期鍵に対する値、または欄514に入力された長期鍵に対する値を示す。図5Bおよび図5Cは、模式的に、短期鍵510が長期鍵516よりも短く、ユーザーによる入力が長期鍵516よりも簡単に行えることを示す。図5A〜図5Cは2つのタイプの鍵を示すが、2つよりも多いタイプの鍵を採用してもよいことは認められてしかるべきである。何故なら、本発明はこの点において限定されないからである。更に、ユーザー・インターフェース500は、適したコンポーネントであれば他のいずれでも含むことができ、他のいかなる情報であっても、いかなるテキスト・フォーマットおよび視覚フォーマットでも表示することができる。例えば、他のコンポーネントをユーザー・インターフェースに含ませて、鍵の特性を定義する入力を受け取ることができる。先に示したように鍵が入力されると、図2に示したPSKストア218における鍵テーブル220のような、鍵テーブルにこの鍵を格納することができる。尚、鍵テーブル220は、エントリ数に限度を有する場合もあることは注記してしかるべきである。
[0067] 先に論じたように、既知のプロトコルにしたがってPSKを用いることができる。例えば、PSKは、データの暗号化および解読のため、ならびにその他の目的のために、一時的セッション鍵を派生させるために用いることができる。更に、APにおいて多数のPSKをサポートすることに対する変更以外に、これらのプロトコルは、当技術分野において周知のように実施することができる。図6および図7は、本発明の一部の実施形態にしたがって、APにプロビジョニングされたPSKを用いる鍵交換メカニズムの2つの例を示す。
[0068] コンピューター・デバイスは、IEEE802.11規格に基づくWi−Fi(登録商標)技術を増々用いつつある。Wi−Fi(登録商標)ネットワークは、Wi−Fi保護アクセス(WPAおよびWPA2)プロトコルを利用することができる。これらのプロトコルは、所与の時点におけるAPによる認証および鍵交換に、1つの事前共有鍵を用いる。尚、WPAおよびWPA2の認証および鍵交換プロトコルは、本明細書では一例として記載されるに過ぎず、適した認証および鍵交換プロトコルであれば他のいずれでも、APおよびクライアント・デバイスによって用いることができることは、認められてしかるべきである。図6は、本発明の一部の実施形態にしたがって、Wi−Fi保護アクセス2(WPA2)プロトコルを用いた、APとクライアント・デバイスとの間における鍵交換プロセスを示す。図6は、クライアント・デバイス600側、即ち、要求側(supplicant)で実行されるプロセスと、AP602側、即ち、認証側(authenticator)で実行されるプロセスとを示す。クライアント・デバイス600は、例えば、図1に示したデバイスの内のいずれでもよい。この例におけるクライアント600内部での処理は、APが1つの事前格納鍵しかサポートしない場合の鍵交換と同一であることに、当業者であれば気がつくであろう。
[0069] 本プロセスは、この例ではWi−Fiクライアント・デバイスまたは要求側と呼ぶことができるクライアント・デバイスが、AP602に接続要求を送った後に開始するが、このプロセスは、適したイベントであればいずれによって誘起されてもよい。先に論じたように、本プロセスは、メッセージの作成を含み、このメッセージの一部は、クライアント・デバイスに格納されている鍵に基づく。次に、APは、それにプロビジョニングされた多数のPSKの内どれを、クライアント・デバイスを認証するために用いることができるか判断する。そのPSKは、以下で説明するように、鍵交換に用いることができる。
[0070] WP2プロトコルでは、鍵交換は、LAN上拡張可能認証プロトコル(EAPOL:Extensible Authentication Protocol over LANs)−KEYメッセージを用いて実行される。ブロック604において、AP602はメッセージ1EAPOL_KEY(ANonce, Unicast)を送る。このメッセージは、ブロック606において、クライアント・デバイス600によって受信される。Unicastパラメータは、メッセージ1がクライアント・デバイス600のみに送られることを示す。ANonceは、認証側Nonceを示し、この例では、WPA2プロトコルを用いてAP602において発生された、いずれかの適したフォーマットのランダム・データである。
[0071] クライアント600は、メッセージ1をブロック606において受信する。図示した鍵交換のために、クライアント・デバイス600は、SNonce(要求側Nonce)を発生する。これも、いずれかの適したフォーマットのランダム・データである。
[0072] ブロック608において、クライアント・デバイス600は、それに格納されている鍵を用いて、ANonceおよびSNonceからペア一時鍵(Pairwise Transient Key)を計算する。ブロック610において、クライアント600は、PTKを用いてメッセージ2EAPOL_KEY(SNonse, Unicast, MIC)を送る。Unicastパラメータは、メッセージ2がAP602のみに送られることを示す。WPA2プロトコルによって実施されるメッセージ完全性コード(MIC:message integrity code)は、データ・パケットの有害な変更を検出することによって、データ・パケット完全性を保護する鍵付きハッシング関数(keyed hashing function)である。MICは、例えば、暗号化および送信される前の非暗号化生データ全体から計算された8ビット値とすることができる。しかしながら、本発明の実施形態はこの点において限定されないので、MICは、適したフォーマットおよび長さであればいずれでもよい。ここでは、PTKを用いてMICを発生する。一方、PTKは、クライアント600に格納されている鍵に基づいて発生する。つまり、MICを含むメッセージ2の一部は、クライアント600の格納されている鍵に基づく。この格納されている鍵のコピーを有する他のデバイスも、同様に、MICの同じ値を発生することができる。しかしながら、クライアントに格納されている鍵のコピーを有していないデバイスは、MICに対して同じ値を容易に発生することはできない。
[0073] ブロック612において、AP602はメッセージ2を受信する。ブロック614において、AP602は、AP602に格納されている多数のPSKの内1つを用いて、ANoceおよびSNonceからPTKを計算する。次いで、ブロック616において、計算したPTKを用いて、当技術分野では周知のように、MICの有効性を判断する。このような有効性判断は、AP602において発生したMICを、メッセージ2において受信したそれと比較することによって行うことができる。AP602によって用いられている事前格納鍵がクライアント600によって用いられている鍵と同一である場合、MICは一致するはずである。判断ブロック618において、AP602は(例えば、図2に示した制御ロジック216のようなコンポーネントを用いて)、クライアント・デバイス600から受け取ったMICが、AP602によって計算されたAPと一致するか否か判断する。MICがPTKと一致しないと判断した場合、本プロセスは分岐して判断ブロック619に進み、ここで、本プロセスは、別のPSKが比較のために残っているか否かに基づいて、分岐を行う。他のPSKがない場合、クライアント600によって用いられている鍵に一致するものがないことを意味し、本プロセスは分岐してブロック620に進み、ここで鍵交換プロセスを中断し、クライアント・デバイス600は、要求したリソースにアクセスすることを許可されず、AP602から切断される。
[0074] 図6に示すように、ブロック614からブロック618において実行される動作は、AP602において格納されている多数のPSKの各々について繰り返される。したがって、1つのPSKで一致が生じない場合、本プロセスはブロック619からブロック614に戻る。つまり、APは、多数のPSKがある場合、その内のどれが、クライアント・デバイスに格納されている鍵と一致するのか判断する。
[0075] MIC同士が一致したと判断した場合、これは、AP602が、クライアント・デバイス600によって用いられる鍵と一致するPSKを発見したことを示す。したがって、クライアント・デバイス600とAP602との間における接続が許可され、クライアント・デバイスはリソースにアクセスすることが許可される。この状況では、本プロセスは分岐してブロック622に進む。また、クライアント・デバイス600のPSK、および関連する情報は、AP602に記録することができる。例えば、図2に示したデータ構造224A〜224Cの内の1つのようなデータ構造が作成され、接続ストア222に記録される。
[0076] 鍵交換プロセスを完了するために、PTKをクライアント・デバイスにインストールする必要がある。このため、ブロック622において、AP602は、メッセージ3EAPOL_KEY(InstallPTK、Unicast、MIC、EncryptedGTK)を送り、クライアント600にPTKをインストールすることを命令する。GTKは、WPA2プロトコルによるグループ毎一時鍵を意味し、クライアント・デバイス600に合わせて任意に作成することができる。GTKは、PSKを用いて発生され、クライアント600を、デバイスのグループの1メンバーとして識別するために用いることができる。AP602は、GTKを暗号化し、暗号化したGTKをクライアント・デバイス600に、メッセージ3の一部として送る。クライアント・デバイス600は、ブロック624においてメッセージ3を受信し、ブロック626において、AP602に承認をメッセージ4EAPOL_KEY(Unicast, MIC)として送る。このメッセージ4は、ブロック628においてAP602によって受信される。次いで、本プロセスは終了することができる。
[0077] 図7は、本発明の一部の実施形態による、Wi−Fi保護アクセス(WPA)を用いた、APとクライアント・デバイスとの間における鍵交換プロセスを示す。WPA2プロトコルにおけると同様、鍵交換は、LAN上拡張可能認証プロトコル(EAPOL)−KEYメッセージを用いて行われる。図7は、クライアント・デバイス700およびAP702において実行されるプロセスを示す。クライアント・デバイス700は、例えば、図1に示したデバイスの内いずれでもよい。同様に、AP702は、図1および図2に示したAP102とすればよい。
[0078] 本プロセスは、Wi−Fiクライアント・デバイス700、即ち、要求側がAP702に接続して、ネットワークまたは他のリソースへのAP702を通じてアクセスを要求した後に開始することができる。先に論じたように、クライアント・デバイス700は、その鍵を用いて、AP702へのメッセージを作成し、次いで、AP702は、それにプロビジョンされた多数のPSKの内いずれかを、クライアント・デバイス700を認証するために用いることができるか否か判断する。PSKは、以下で述べるように、鍵交換に用いることができる。
[0079] ブロック704において、AP702はメッセージ1EAPOL_KEY(ANonce, Unicast)を送り、ブロック706において、クライアント・デバイス700がこのメッセージ1を受信する。Unicastパラメータは、メッセージ1がクライアント・デバイス700のみに送られることを示す。ANonceは、認証側Nonceを示し、この例では、WPAプロトコルを用いてAP702において発生した、いずれかの適したフォーマットのランダム・データである。この例では、クライアント・デバイス700はSNonce(要求側Nonce)を発生するが、これも、いずれかの適したフォーマットのランダム・データである。
[0080] ブロック708において、クライアント・デバイス700は、それに格納されている鍵を用いて、ANonceおよびSNonceからペア一時鍵(PTK)を計算し、ブロック710において、メッセージ2EAPOL_KEY(SNonce, Unicast, MIC, SSN IE)を送る。このメッセージは、ブロック712において、AP702によって受信される。Unicastパラメータは、メッセージ2がAP702のみに送られることを示す。SSN IEは、WPAプロトコルにしたがって定義された、メッセージ2における安全情報エレメント(Secure Information Element)である。メッセージ完全性コード(MIC)は、前述のように定義され、クライアント・デバイス700に格納されている鍵に基づいて発生した情報を含む。
[0081] ブロック714において、AP702は、AP702にプロビジョニングされた多数のPSKの内1つを用いて、ANonceおよびSNonceからPTKを計算する。次いで、ブロック716において、計算したPTKを用いて、当技術分野で周知のように、MICの有効性を判断する。このような有効性判断は、AP702が発生したMICを、メッセージ2において受信したMICと比較することによって実行することができる。AP702によって用いられる事前格納鍵が、クライアント700によって用いられる鍵と同一である場合、MIC同士が一致するはずである。更に、判断ブロック718において、AP702は(例えば、図2に示した制御ロジック216のようなコンポーネントを用いて)、クライアント・デバイス700から受信したMICが、AP702によって計算されたMICと一致するか否か判断する。
[0082] MICがPTKと一致しないと判断した場合、本プロセスはブロック719からブロック714に戻り、別のPSKを検査する。一致するPSKがない場合、本プロセスは先に進み、鍵交換プロセスを中断し、クライアント・デバイス700は、要求したリソースにアクセスすることを許可されず、AP702から切断される。図7に示すように、ブロック714〜718において実行される動作は、一致するPSKが発見されるまで、またはAP702に格納されている多数のPSKの全てが評価され終わるまで繰り返される。こうして、APは、多数のPSKがあるのであればその内のどれが、クライアント・デバイスに格納されている鍵と一致するのか判断する。
[0083] AP702によって発生されたMICが、クライアントによって発生されたMICと一致すると判断した場合、本プロセスは分岐して722に進む。この時点で、クライアント・デバイス700のPSKはAP702に記録される。例えば、図2に示したデータ構造224A〜224Cの内の1つというようなデータ構造が作成され、接続ストア222に記録される。ブロック722において、AP702は、メッセージ3EAPOL_KEY(InstallPTK、Unicast, MIC, SSN IE)を送り、クライアント・デバイス700にPTKをインストールすることを命令する。クライアント・デバイス700は、ブロック725においてメッセージ3を受信し、PTKをインストールし、ブロック726においてAP702に承認をメッセージ4EAPOL_KEY(Unicast, MIC)として送り、PTKがインストールされたことを示す。メッセージ4は、ブロック728においてAP702によって受信される。この時点で、ペア一時鍵の交換が完了し、クライアント・デバイス700およびAP702は互いに認証される。
[0084] IEEE802.11規格は、例えば、ビデオ・データの配信において有用となり得るマルチキャスト・メッセージをサポートする。WPAプロトコルは、マルチキャスト・メッセージに発生されるグループ一時鍵をサポートする。この鍵は、PTKのようなペア一時鍵とは異なる。
[0085] このように、クライアント・デバイス700とAP702との間において確立された安全な接続を、AP702が、AP702において発生されQPAプロトコルによって実現されたグループ一時鍵(GTK)を含むメッセージを送るために用いることができる。AP702は、GTKを暗号化し、暗号化したGTKをクライアント・デバイス700に、メッセージ5EAPOL_KEY(EncryptedGTK, GNonce, Group, MIC)の一部として送る。GNonceは、グループ一時鍵発生のために発生されたランダム・データであるGroup Nonceのことであり、一方Groupパラメータは、メッセージ5が、クライアント・デバイス700が属するデバイス・グループに送られるマルチキャスト・メッセージであることを指定する。ブロック732において、クライアント・デバイス700はメッセージ5を受信し、GTKをインストールする。ブロック734において、クライアント・デバイス700は、AP702に承認メッセージ6EAPOLEKY(Group, MIC)を送り、暗号化したGTKがクライアント・デバイス700にインストールされたことを示す。これによって、クライアント・デバイス700とAP702との間における鍵交換プロセスが完了する。
[0086] 以上、本発明の少なくとも1つの実施形態の様々な態様について説明したが、種々の変更、修正、および改良が当業者には想起されることは認められてしかるべきである。
[0087] このような変更、修正、および改良は、本開示の一部であることと意図しており、更に本発明の主旨および範囲に該当することも意図している。したがって、以上の説明および図面は、単なる一例である。
[0088] 本発明の前述の実施形態は、多数の方法のいずれでも実現することができる。例えば、実施形態は、ハードウェア、ソフトウェア、またはその組み合わせを用いて実現することができる。ソフトウェアで実現する場合、ソフトウェア・コードをいずれかの適したプロセッサーまたはプロセッサーの集合体において実行することができる。プロセッサーの集合体は、1つのコンピューター内に設けられているか否かには係わらない。
[0089] 更に、コンピューターは、ラック設置コンピューター、デスクトップ・コンピューター、ラップトップ・コンピューター、またはタブレット・コンピューターというような、多数の形態の内いずれにおいても具体化できることは認められてしかるべきである。加えて、コンピューターとは一般に見なされないが適した処理能力を有するデバイスに、コンピューターを埋め込むこともできる。このようなデバイスには、パーソナル・デジタル・アシスタント(PDA)、スマート・フォン、あるいは適した携帯用または固定電子デバイスであればそのいずれもが含まれる。
[0090] また、コンピューターは1つ又は複数の入力および出力デバイスも有することができる。これらのデバイスは、とりわけ、ユーザー・インターフェースを提示するために用いることができる。ユーザー・インターフェースを設けるために用いることができる出力デバイスの例には、プリンター、または出力の視覚的提示のための表示画面、および出力の聴覚的提示のためのスピーカーまたはその他の音響発生デバイスが含まれる。ユーザー・インターフェースに用いることができる入力デバイスの例には、キーボード、ならびに、マウスのようなポインティング・デバイス、タッチ・パッド、およびデジタル化タブレットが含まれる。別の例として、コンピューターは、音声認識を通じて、または他の可聴フォーマットで、入力情報を受けることもできる。
[0091] このようなコンポーネントは、ローカル・エリア・ネットワーク、あるいは企業ネットワークまたはインターネットというようなワイド・エリア・ネットワークを含む1つ又は複数のネットワークによって,いずれかの適した形態で相互接続することができる。このようなネットワークは、いずれかの適した技術に基づくことができ、いずれかの適したプロトコルにしたがって動作することができ、ワイヤレス・ネットワーク、有線ネットワーク、または光ファイバ・ネットワークを含むことができる。
[0092] また、本明細書において概要を説明した種々の方法またはプロセスをソフトウェアとしてコード化することもでき、種々のオペレーティング・システムまたはプラットフォームのいずれか1つを採用する1つ又は複数のプロセッサー上で実行可能である。加えて、このようなソフトウェアは、多数の適したプログラミング言語および/またはプログラミング・ツールまたはスクリプティング・ツールの内いずれを用いても書くことができ、実行可能機械語コードまたは中間コードとしてコンパイルし、フレームワークまたは仮想マシン上で実行することもできる。
[0093] これに関して、本発明をコンピューター読み取り可能媒体(または多数のコンピューター読み取り可能媒体)(例えば、コンピューター・メモリー、1つ又は複数のフロッピ・ディスク、コンパクト・ディスク、光ディスク、磁気テープ、フラッシュ・メモリー、フィールド・プログラマブル・ゲート・アレイまたは他の半導体デバイス内における回路構成、あるいはその他の有形コンピューター記憶媒体)として具体化することができる。このコンピューター読み取り可能媒体には1つ又は複数のプログラムがエンコードされており、1つ又は複数のコンピューターまたは他のプロセッサー上で実行すると、先に論じた本発明の種々の実施形態を実現する方法を実行する。1つまたは複数のコンピューター読み取り可能媒体は、そこに格納されている1つまたは複数のプログラムを1つ又は複数の異なるコンピューターまたは他のプロセッサーにロードして、先に論じた本発明の種々の態様を実現することができるように、移転可能にすることができる。
[0094] 「プログラム」または「ソフトウェア」という用語は、本明細書では、先に論じた本発明の種々の態様を実現するためにコンピューターまたは他のプロセッサーをプログラミングするために採用することができる、あらゆるタイプのコンピューター・コードまたは1組のコンピューター実行可能命令を指すように、包括的な意味で用いられるものとする。加えて、本発明の一態様によれば、実行したときに本発明の方法を実行する1つ又は複数のコンピューター・プログラムは、1つのコンピューターまたはプロセッサー上に常駐する必要はなく、多数の異なるコンピューターまたはプロセッサー間においてモジュール様式で分散して、本発明の種々の態様を実現することもできる。
[0095] コンピューター実行可能命令は、プログラム・モジュールのような多くの形態にすることができ、1つ又は複数のコンピューターまたは他のデバイスによって実行することができる。一般に、プログラム・モジュールは、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含み、特定のタスクを実行するか、または特定の抽象データ・タイプを実現する。通例、プログラム・モジュールの機能は、種々の実施形態において、所望に応じて組み合わせることまたは分散することができる。
[0096] また、データ構造は適した形態であればいずれでもコンピューター読み取り可能媒体に格納することができる。図示の簡略化のために、データ構造は、データ構造における位置に関する欄を有するように示すことができる。このような関係は、同様に、これらの欄にストレージを割り当て、コンピューター読み取り可能媒体における位置が欄間の関係を伝えるようにすることによっても達成することができる。しかしながら、データ構造の欄における情報間に関係を確立するためには、適したメカニズムであればいずれでも用いることができる。適したメカニズムには、データ・エレメント間に関係を確立するポインタ、タグ、またはその他のメカニズムの使用が含まれる。
[0097] 本発明の種々の態様は、単独で用いることも、組み合わせて用いることも、または以上で説明した実施形態においては具体的に論じられなかった種々の構成で用いることもでき、したがって、以上の説明において明記され図面において図示されたコンポーネントの詳細や構成に、その適用が限定されるのではない。例えば、一実施形態において記載された態様を、他の実施形態において記載された態様と、いかようにでも組み合わせることができる。
[0098] また、本発明は、方法として具体化することができ、その一例が紹介されている。この方法の一部として実行される動作(act)は、いずれかの適した方法で順序付けることができる。したがって、図示したのとは異なる順序で動作が実行される実施形態を構築することもできる。例示的な実施形態では、順次動作として示されているが、一部の動作を同時に実行することを含むことができる。
[0099] 「第1」、「第2」、「第3」等というような序数を特許請求の範囲において請求項の要素を修飾するために用いる場合、それ自体によって、なんら優先順位、優位性、1つの請求項の要素の他方に対する順序、方法の動作が実行される時間的順序を暗示することはなく、請求項の要素を区別するために、単に、ある名称を有する請求項の要素を、同じ名称(序数語を除く)を有する他のエレメントと区別するための標識として用いられるに過ぎない。
[0100] また、本明細書において用いた言葉使いや用語は、説明を目的としており、限定と見なしてはならない。「含む」(including)、「備えている」(comprising)、または「有する」(having)、「内蔵する」(containing)、「伴う」(involving)、およびその変形は、本明細書では、その後に羅列される項目およびその同等物、ならびに追加項目を包含することを意味するものとする。

Claims (15)

  1. アクセス・ポイント(102)として構成されているデバイスを動作させる方法であって、前記アクセス・ポイントには複数の事前共有鍵(218、220)がプロビジョニングされており、
    少なくとも1つのクライアント・デバイス(106、108、110,112、210)からの前記アクセス・ポイントへの接続要求を受けるステップ(304)であって、前記要求が、鍵(107、109、111、113)を用いて発生した部分を含む、ステップと、
    前記部分が、前記アクセス/ポイントにプロビジョニングされた前記複数の事前共有鍵の内1つの鍵を用いて発生した情報と一致するか否か判断するステップ(306)と、
    前記部分の情報が、前記複数の事前共有鍵(218、220)からの鍵を用いて発生した情報と一致したと判断した場合、前記接続を許可するステップ(308)と、
    前記部分の情報が、前記複数の事前共有鍵(218、220)からの鍵を用いて発生した情報と一致しないと判断した場合、前記接続を許可しないステップ(310)と、
    を備えている、方法。
  2. 請求項1記載の方法において、前記複数の事前共有鍵が、長期事前共有鍵(516)および短期事前共有鍵(512)の内少なくとも1つを含む、方法。
  3. 請求項1記載の方法であって、更に、前記複数の事前共有鍵(218、220)から選択した事前共有鍵を除去する要求(402、404)に応答して、
    前記選択した事前共有鍵を前記複数の事前共有鍵から除去するステップ(406)と、
    前記少なくとも1つのクライアント・デバイスが前記選択した事前共有鍵を用いているか否か判断するステップ(408、410)と、
    前記少なくとも1つのクライアント・デバイスが前記選択した事前共有鍵を用いていると判断した場合、前記少なくとも1つのクライアント・デバイスを切断するステップ(412)と、
    を備えている、方法。
  4. 請求項3記載の方法において、前記選択した事前共有鍵を除去する要求が、ユーザーによってユーザー・インターフェースを通じて行われる(402)、方法。
  5. 請求項3記載の方法において、
    前記複数の事前挙有鍵の鍵には、存続時間値が関連付けられており(220)、
    前記選択した事前共有鍵を除去する要求が、前記選択した事前共有鍵の存続時間が満了したという判断(404)に応答して発生される、方法。
  6. 請求項1記載の方法において、前記要求を受けるステップが、WPA(710)またはWPA2プロトコル(610)にしたがって前記要求を受けるステップを含む、方法。
  7. 請求項6記載の方法であって、更に、
    前記接続が許可された場合、前記WPA(722、730)またはWPA2(622)プロトコルにしたがって、別のメッセージを送るステップを備えている、方法。
  8. 請求項1記載の方法であって、更に、前記少なくとも1つのクライアント・デバイスが、前記アクセス・ポイントに接続されている複数のクライアント・デバイス(106、108、110、112、210)を含む場合、
    前記複数のクライアントの内前記少なくとも1つと関連付けられている前記事前共有鍵を除去するステップ(406、214)と、
    前記複数のクライアント・デバイスの内他のものへの接続を分断せずに、前記複数のクライアントの内前記少なくとも1つへの接続(412)を選択的に遮断するステップと、
    を備えている、方法。
  9. 請求項8記載の方法において、前記事前共有鍵を除去するステップが、事前共有鍵の寿命が満了したとき(404)および/または前記少なくとも1つのクライアント・デバイスによって用いられている前記事前共有鍵が前記複数の事前共有鍵から除去されたとき(402)に、前記事前共有鍵を除去するステップを含む、方法。
  10. 請求項1記載の方法であって、更に、前記事前共有鍵が、前記複数の事前共有鍵からの鍵と一致したと判断した場合、前記少なくとも1つのクライアント・デバイスにグループ鍵(232)を発生するステップを備えている、方法。
  11. アクセス・ポイント(102)として構成されている装置であって、
    複数の事前共有鍵(220)を格納するように構成されているコンピューター・メモリー(218)と、
    少なくとも1つのクライアント・デバイス(106、108、110、112、210)からの、前記アクセス・ポイントへの接続要求を受けるように構成されているインターフェース(208)であって、前記要求が、鍵を用いて発生した情報を含む、インターフェース(208)と、
    制御ロジック(216)と、
    を備えており、前記制御ロジック(216)が、
    前記鍵を用いて発生した情報が、前記複数の事前共有鍵からの1つの鍵を用いて発生した情報と一致するか否か判断し(306)、
    前記鍵を用いて発生した情報が、前記複数の事前共有鍵からの1つの鍵を用いて発生した情報と一致すると判断した場合、前記接続を許可し(308)、
    前記鍵を用いて発生した情報が、前記複数の事前共有鍵からの1つの鍵を用いて発生した情報と一致しないと判断した場合、前記接続を許可しない(310)、
    ように構成されている、装置。
  12. 請求項11記載の装置において、前記コンピューター・メモリーが、更に、
    前記アクセス・ポイントに接続されているクライアント・デバイスに関する情報(226、228、230、232)を格納するように構成されている複数のデータ構造(222、224A、224B、224C)を備えており、前記複数のデータ構造の内各データ構造(224A、224B、224C)が、クライアント・デバイスの識別子(226)、および前記クライアント・デバイスによって用いられる事前共有鍵(228)を格納する、装置。
  13. 請求項11記載の装置において、
    前記鍵を用いて発生した情報が、前記要求(610)を構成するメッセージの署名を含み、
    前記鍵を用いて発生した情報が、前記複数の事前共有鍵からの1つの鍵を用いて発生した情報と一致するか否か判断する際に、前記複数の事前共有鍵からの鍵を用いて発生した情報を用いて、前記メッセージの署名を計算する(614、714)、装置。
  14. 請求項11記載の装置において、前記制御ロジックが、前記複数の事前共有鍵から選択した事前共有鍵を除去する要求(402、404)に応答して、
    前記選択した鍵を、前記複数の事前共有鍵から除去し(406)、
    前記少なくとも1つのクライアント・デバイスが前記選択した事前共有鍵を用いているか否か判断し(408、410)、
    前記少なくとも1つのクライアント・デバイスが前記選択した事前共有鍵を用いていると判断した場合、前記少なくとも1つのクライアント・デバイスの切断(412)を命令する、
    ように構成されている、装置。
  15. 請求項11記載の装置において、前記アクセス・ポイントが、Wi−Fi対応デバイス(602、702)を備えており、前記少なくとも1つのクライアント/デバイスが、Wi−Fi対応クライアント・デバイス(600、700)を備えている、装置。
JP2011534868A 2008-11-04 2009-11-03 アクセス・ポイントにおける多数の事前共有キーのサポート Active JP5506810B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US11124008P 2008-11-04 2008-11-04
US61/111,240 2008-11-04
US12/359,987 US8898474B2 (en) 2008-11-04 2009-01-26 Support of multiple pre-shared keys in access point
US12/359,987 2009-01-26
PCT/US2009/063044 WO2010053889A2 (en) 2008-11-04 2009-11-03 Support of multiple pre-shared keys in access point

Publications (3)

Publication Number Publication Date
JP2012507963A true JP2012507963A (ja) 2012-03-29
JP2012507963A5 JP2012507963A5 (ja) 2012-12-20
JP5506810B2 JP5506810B2 (ja) 2014-05-28

Family

ID=42132931

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011534868A Active JP5506810B2 (ja) 2008-11-04 2009-11-03 アクセス・ポイントにおける多数の事前共有キーのサポート

Country Status (5)

Country Link
US (1) US8898474B2 (ja)
EP (1) EP2345268B1 (ja)
JP (1) JP5506810B2 (ja)
CN (1) CN102204304B (ja)
WO (1) WO2010053889A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019033458A (ja) * 2017-08-09 2019-02-28 Necプラットフォームズ株式会社 通信装置、通信端末、通信システム、通信制御方法および通信制御プログラム

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8948046B2 (en) 2007-04-27 2015-02-03 Aerohive Networks, Inc. Routing method and system for a wireless network
US8218502B1 (en) 2008-05-14 2012-07-10 Aerohive Networks Predictive and nomadic roaming of wireless clients across different network subnets
US9674892B1 (en) * 2008-11-04 2017-06-06 Aerohive Networks, Inc. Exclusive preshared key authentication
US8625552B2 (en) * 2008-12-31 2014-01-07 Microsoft Corporation Wireless provisioning a device for a network using a soft access point
US8483194B1 (en) 2009-01-21 2013-07-09 Aerohive Networks, Inc. Airtime-based scheduling
US11115857B2 (en) 2009-07-10 2021-09-07 Extreme Networks, Inc. Bandwidth sentinel
US9900251B1 (en) 2009-07-10 2018-02-20 Aerohive Networks, Inc. Bandwidth sentinel
US9002277B2 (en) 2010-09-07 2015-04-07 Aerohive Networks, Inc. Distributed channel selection for wireless networks
US9542203B2 (en) 2010-12-06 2017-01-10 Microsoft Technology Licensing, Llc Universal dock for context sensitive computing device
US8923770B2 (en) 2010-12-09 2014-12-30 Microsoft Corporation Cognitive use of multiple regulatory domains
US8792429B2 (en) 2010-12-14 2014-07-29 Microsoft Corporation Direct connection with side channel control
US8589991B2 (en) 2010-12-14 2013-11-19 Microsoft Corporation Direct connection with side channel control
US8948382B2 (en) 2010-12-16 2015-02-03 Microsoft Corporation Secure protocol for peer-to-peer network
US9294545B2 (en) 2010-12-16 2016-03-22 Microsoft Technology Licensing, Llc Fast join of peer to peer group with power saving mode
US8971841B2 (en) 2010-12-17 2015-03-03 Microsoft Corporation Operating system supporting cost aware applications
KR101868018B1 (ko) 2011-02-09 2018-06-18 삼성전자주식회사 기기간 연결 제어 방법 및 그 장치
JP5723174B2 (ja) * 2011-02-25 2015-05-27 任天堂株式会社 情報処理プログラム、情報処理システム、情報処理装置、および情報処理方法
US8793780B2 (en) * 2011-04-11 2014-07-29 Blackberry Limited Mitigation of application-level distributed denial-of-service attacks
JP5472389B2 (ja) * 2011-09-14 2014-04-16 横河電機株式会社 無線通信装置及び無線通信システム
US10091065B1 (en) 2011-10-31 2018-10-02 Aerohive Networks, Inc. Zero configuration networking on a subnetted network
EP2862301B1 (en) 2012-06-14 2020-12-02 Extreme Networks, Inc. Multicast to unicast conversion technique
US8842828B2 (en) * 2012-08-01 2014-09-23 Qualcomm Incorporated System and method for hybrid multiple source decryption
US9172698B1 (en) 2012-10-12 2015-10-27 Ut-Battelle, Llc System and method for key generation in security tokens
US9413772B2 (en) 2013-03-15 2016-08-09 Aerohive Networks, Inc. Managing rogue devices through a network backhaul
US10389650B2 (en) 2013-03-15 2019-08-20 Aerohive Networks, Inc. Building and maintaining a network
CN103763697B (zh) * 2013-10-29 2018-01-16 上海斐讯数据通信技术有限公司 一种无线接入点多密钥支持系统及方法
CN103731810B (zh) * 2013-12-31 2017-08-15 小米科技有限责任公司 接入点共享方法及装置
US9609490B2 (en) 2014-12-08 2017-03-28 Gainspan Corporation Updating of layer-2 group key in a wireless network
CN105828330B (zh) * 2015-01-07 2019-12-27 阿里巴巴集团控股有限公司 一种接入方法及装置
CN106797559B (zh) * 2015-08-11 2020-07-28 华为技术有限公司 一种接入认证方法及装置
CN106470104B (zh) 2015-08-20 2020-02-07 阿里巴巴集团控股有限公司 用于生成共享密钥的方法、装置、终端设备及系统
US11051169B2 (en) * 2017-08-16 2021-06-29 Juniper Networks, Inc. Methods and apparatus for performing access and/or forwarding control in wireless networks such as WLANS
US11317286B2 (en) * 2018-03-21 2022-04-26 At&T Intellectual Property I, L.P. Network authentication via encrypted network access packages
CN110213760B (zh) * 2019-04-29 2022-02-11 惠州Tcl移动通信有限公司 路由器、移动终端及其网路连接方法及存储介质
WO2020252328A1 (en) * 2019-06-14 2020-12-17 Nomadix, Inc. Distributed management of secure wi‑fi network
CN112565199B (zh) * 2020-11-12 2023-06-16 腾讯科技(深圳)有限公司 一种网络连接方法、装置、网络设备及存储介质
US20220417742A1 (en) * 2021-06-28 2022-12-29 Juniper Networks, Inc. Network management system to onboard heterogeneous client devices to wireless networks

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004254286A (ja) * 2002-10-31 2004-09-09 Matsushita Electric Ind Co Ltd 通信装置、通信システムおよびアルゴリズム選択方法
JP2004535627A (ja) * 2001-05-08 2004-11-25 テレフオンアクチーボラゲツト エル エム エリクソン(パブル) 安全な遠隔加入モジュールアクセス
US20040240412A1 (en) * 2003-05-27 2004-12-02 Winget Nancy Cam Facilitating 802.11 roaming by pre-establishing session keys
JP2007110487A (ja) * 2005-10-14 2007-04-26 Oki Electric Ind Co Ltd Lanシステムおよびその通信方法
JP2008537381A (ja) * 2005-04-04 2008-09-11 ノキア コーポレイション ワイヤレスローカルエリアネットワークのアドミニストレーション

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7194622B1 (en) * 2001-12-13 2007-03-20 Cisco Technology, Inc. Network partitioning using encryption
US7248858B2 (en) * 2002-05-04 2007-07-24 Broadcom Corporation Visitor gateway in a wireless network
US7454785B2 (en) * 2002-12-19 2008-11-18 Avocent Huntsville Corporation Proxy method and system for secure wireless administration of managed entities
EP2322547A1 (en) 2003-06-25 2011-05-18 Crucell Holland B.V. Myeloid cell-specific lectin
US7063734B2 (en) 2004-03-23 2006-06-20 Pratt & Whitney Canada Corp. Air/oil separation system and method
EP1615380A1 (en) * 2004-07-07 2006-01-11 Thomson Multimedia Broadband Belgium Device and process for wireless local area network association
DE102004036621B4 (de) 2004-07-28 2007-04-26 A. Raymond Et Cie Spreizniet
US7558388B2 (en) * 2004-10-15 2009-07-07 Broadcom Corporation Derivation method for cached keys in wireless communication system
WO2006129287A1 (en) 2005-06-03 2006-12-07 Koninklijke Philips Electronics N.V. Method and devices for wireless network access management
US8621577B2 (en) * 2005-08-19 2013-12-31 Samsung Electronics Co., Ltd. Method for performing multiple pre-shared key based authentication at once and system for executing the method
JP5040087B2 (ja) * 2005-09-06 2012-10-03 富士通株式会社 無線通信ネットワークのセキュリティ設定方法、セキュリティ設定プログラム及び無線通信ネットワークシステム
US20070223701A1 (en) * 2006-01-30 2007-09-27 Motorola, Inc. Method and apparatus for utilizing multiple group keys for secure communications
US20070280481A1 (en) * 2006-06-06 2007-12-06 Eastlake Donald E Method and apparatus for multiple pre-shared key authorization
US7804807B2 (en) * 2006-08-02 2010-09-28 Motorola, Inc. Managing establishment and removal of security associations in a wireless mesh network
US20080123852A1 (en) * 2006-11-28 2008-05-29 Jianping Jiang Method and system for managing a wireless network
CN101262670B (zh) * 2007-03-09 2012-01-25 鸿富锦精密工业(深圳)有限公司 移动装置、通信系统及连线建立方法
US20080250478A1 (en) * 2007-04-05 2008-10-09 Miller Steven M Wireless Public Network Access
US8707390B2 (en) * 2007-07-26 2014-04-22 Ca, Inc. System and method for secure access control in a wireless network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004535627A (ja) * 2001-05-08 2004-11-25 テレフオンアクチーボラゲツト エル エム エリクソン(パブル) 安全な遠隔加入モジュールアクセス
JP2004254286A (ja) * 2002-10-31 2004-09-09 Matsushita Electric Ind Co Ltd 通信装置、通信システムおよびアルゴリズム選択方法
US20040240412A1 (en) * 2003-05-27 2004-12-02 Winget Nancy Cam Facilitating 802.11 roaming by pre-establishing session keys
JP2008537381A (ja) * 2005-04-04 2008-09-11 ノキア コーポレイション ワイヤレスローカルエリアネットワークのアドミニストレーション
JP2007110487A (ja) * 2005-10-14 2007-04-26 Oki Electric Ind Co Ltd Lanシステムおよびその通信方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019033458A (ja) * 2017-08-09 2019-02-28 Necプラットフォームズ株式会社 通信装置、通信端末、通信システム、通信制御方法および通信制御プログラム

Also Published As

Publication number Publication date
EP2345268A4 (en) 2016-11-30
US20100115278A1 (en) 2010-05-06
EP2345268A2 (en) 2011-07-20
US8898474B2 (en) 2014-11-25
WO2010053889A3 (en) 2010-07-08
CN102204304B (zh) 2014-07-30
JP5506810B2 (ja) 2014-05-28
WO2010053889A2 (en) 2010-05-14
EP2345268B1 (en) 2019-08-28
CN102204304A (zh) 2011-09-28

Similar Documents

Publication Publication Date Title
JP5506810B2 (ja) アクセス・ポイントにおける多数の事前共有キーのサポート
US10003966B2 (en) Key configuration method and apparatus
JP6406681B2 (ja) プレアソシエーションサービスディスカバリのためのシステムおよび方法
US20160269176A1 (en) Key Configuration Method, System, and Apparatus
US20240048985A1 (en) Secure password sharing for wireless networks
EP2687036B1 (en) Permitting access to a network
US11144621B2 (en) Authentication system
JP2018110378A (ja) クライアント装置の認証のための装置と方法
US10097524B2 (en) Network configuration method, and related apparatus and system
WO2022111187A1 (zh) 终端认证方法、装置、计算机设备及存储介质
WO2018076298A1 (zh) 一种安全能力协商方法及相关设备
JP7312279B2 (ja) モバイルネットワークアクセスシステム、方法、記憶媒体及び電子機器
EP2389031B1 (en) Secure handoff method and system
US20140359731A1 (en) Establishing communications sessions over multiple network protocols using a stored key
KR20130046781A (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
Asokan et al. Visitor access management in personal wireless networks
WO2023191916A1 (en) Wpa3 cloud-based network access and provisioning
CN116634430A (zh) 一种基于预共享密钥的多终端独立接入认证方法、系统及介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121105

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121105

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131010

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131022

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140217

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140318

R150 Certificate of patent or registration of utility model

Ref document number: 5506810

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250