[0033]クライアントデバイスが、アクセスポイントとのセキュアワイヤレス接続のための必要な証明を用いてセキュアにプロビジョニングされることを可能にする実施形態について説明する。必要な証明は、クライアントデバイスのユーザまたはアクセスポイントの管理者からの最小限の手動入力でクライアントデバイス上でプロビジョニングされる。
[0034]ワイヤレスネットワークは、インターネットアクセスと他のサービスとのためのより小さいローカルネットワークとともに、ますます使用されている。Wi−Fiはそのようなローカルネットワークの一例である。Wi−Fiは、電子デバイスが、高速インターネット接続を含む、コンピュータネットワークを介して(電波を使用して)ワイヤレスにデータを交換することを可能にする、普及している技術である。Wi−Fi Alliance(登録商標)は、Wi−Fiを、「米国電気電子技術者協会(IEEE)802.11規格に基づくワイヤレスローカルエリアネットワーク(WLAN)製品」として定義する。
[0035]IEEE802.11規格に基づくWi−Fi技術はWi−Fi Allianceによって実施されている。これは、ワイヤレスローカルエリアネットワーク(WLAN)接続、(Wi−Fi Direct(登録商標)としても知られる、Wi−Fiピアツーピアなどの)デバイスツーデバイス接続性、パーソナルエリアネットワーク(PAN)、ローカルエリアネットワーク(LAN)を含み、さらに、いくつかの限定されたワイドエリアネットワーク(WAN)接続が、Wi−Fi AllianceとIEEE802.11のバージョンとによってカバーされる。
[0036]Wi−Fi LANに接続するために、コンピュータまたは他のデバイスがワイヤレスネットワークインターフェースコントローラを装備する。ワイヤレスネットワークインターフェースコントローラとコンピュータまたは他のデバイスとの組合せは局として知られ得る。局は単一の無線周波数通信チャネルを共有する。このチャネル上での送信は範囲内の局によって受信される。ハードウェアは、送信が配信されたことをユーザにシグナリングせず、したがって、配信機構は「ベストエフォート」配信機構として知られている。搬送波がパケット中でデータを送信し、そのパケットは「イーサネット(登録商標)フレーム」と呼ばれることがある。局は、利用可能な送信を受信するために、無線周波数通信チャネルに常に同調される。
[0037]Wi−Fi対応デバイスは、ワイヤレスネットワークの範囲内にあるとき、インターネットまたは他のリソースに接続し得る。Wi−Fiは、自宅、コーヒーショップおよび他の企業、病院、ならびに、空港、ホテルなど、組織においてサービスを提供し得る。
[0038]Wi−Fiは、LANのためのより安価なネットワーク展開の利点を提供し、しばしば、屋外エリアおよび歴史的建築物など、ケーブルが敷設され得ない場所で使用される。直近の消費者デバイスはワイヤレスネットワークアダプタを含み、したがって、技術の使用を促進するのを助ける。
[0039]以下の説明は、例を与えるものであり、特許請求の範囲に記載される範囲、適用性、または構成を限定するものではない。本開示の範囲から逸脱することなく、説明する要素の機能および構成において変更が行われ得る。様々な実施形態は、適宜に様々なプロシージャまたは構成要素を省略、置換、または追加し得る。たとえば、説明する方法は、説明する順序とは異なる順序で実行され得、様々なステップが追加、省略、または組み合わせられ得る。また、いくつかの実施形態に関して説明する特徴は、他の実施形態において組み合わせられ得る。
[0040]図1に、本開示の様々な態様による、ワイヤレス通信システム100のブロック図を示す。ワイヤレス通信システム100は、アクセスポイント105と、いくつかのクライアントデバイス115と、信頼済みデバイス125と、認証サーバ140とを含む。アクセスポイント105は、ワイヤレス接続130を介してクライアントデバイス115と通信し得る。アクセスポイント105は、ネットワーク接続132を介して認証サーバ140と通信し得る。ネットワーク接続132はワイヤードまたはワイヤレス通信リンクであり得る。
[0041]信頼済みデバイス125は、たとえば、認証サーバ140に接続されたユーザのコンピュータまたは他のアドミニストレーションデバイスであり得る。信頼済みデバイス125は、認証サーバ140によって、クライアントデバイス115の認証に参加することを許可され得る。信頼済みデバイス125はセキュアインターフェース135を含み得る。セキュアインターフェース135は、クライアントデバイス115からデータをセキュアに入力し、クライアントデバイス115にデータをセキュアに出力し得る。信頼済みデバイス125は、ネットワーク接続132を介して、直接的または間接的のいずれかで、認証サーバ140と通信し得る。ネットワーク接続132はワイヤードまたはワイヤレス接続であり得、ネットワーク接続132を介した通信は、ルータおよび/またはアクセスポイント105などのアクセスポイントを通してルーティングされ得る。
[0042]クライアントデバイス115は、セキュアインターフェース135を介して信頼済みデバイス125に第1のクライアント情報を出力し得る。第1のクライアント情報は、クライアント公開鍵、クライアントユーザ名、および/またはクライアント公開鍵から導出されたクライアント認証トークンを含み得る。信頼済みデバイス125は、次いで、ネットワーク接続132を介して認証サーバ140に第1のクライアント情報を送信し得る。クライアントデバイス115は、ワイヤレス接続130を介してアクセスポイント105に第2のクライアント情報を送信し得、アクセスポイント105は、ネットワーク接続132を介して認証サーバ140に第2のクライアント情報を送信し得る。第2のクライアント情報は、クライアント公開鍵、クライアントユーザ名、および/またはクライアント公開鍵から導出されたクライアント識別情報(ID)を含み得る。認証サーバ140は、次いで、クライアントデバイス115が許可されたデバイスであると決定するために、第1のクライアント情報を第2のクライアント情報にリンクし得る。認証サーバ140は、第1のクライアント情報または第2のクライアント情報中で受信されたクライアント公開鍵を使用して、認証証明を暗号化し得る。代替的に、クライアントデバイス115および認証サーバ140は、たとえば、ディフィーへルマン(Diffie-Hellman)鍵交換を使用して共有秘密鍵を交換し得る。共有秘密鍵は、クライアント公開鍵に部分的に基づいて確立され得る。暗号化された認証証明は、アクセスポイント105を介してクライアントデバイス115に送信され得、クライアントデバイス115は、クライアント公開鍵に対応するクライアント秘密鍵を使用して、暗号化された認証証明を解読し得る。代替的に、クライアントデバイス115は、認証サーバ140と交換された共有秘密鍵を使用して、暗号化された認証証明を解読し得る。クライアントデバイス115は、次いで、アクセスポイント105および認証サーバ140との認証プロシージャを実行するために、解読された認証証明を使用し得る。認証プロシージャを完了した後、クライアントデバイス115は、セキュアワイヤレス接続を用いてアクセスポイント105に接続し得る。
[0043]ワイヤレス通信システム100は、複数のキャリア(異なる周波数の波形信号)上での動作をサポートし得る。マルチキャリア送信機は、複数のキャリア上で同時に被変調信号を送信することができる。たとえば、各ワイヤレス接続130は、様々な無線技術に従って変調されたマルチキャリア信号であり得る。各被変調信号は、異なるキャリア上で送られ得、制御情報(たとえば、基準信号、制御チャネルなど)、オーバーヘッド情報、データなどを搬送し得る。
[0044]アクセスポイント105は、少なくとも1つのアクセスポイントアンテナを介してクライアントデバイス115とワイヤレス通信し得る。いくつかの実施形態では、アクセスポイント105は、基地局、基地トランシーバ局(BTS:base transceiver station)、無線基地局、無線トランシーバ、基本サービスセット(BSS:basic service set)、拡張サービスセット(ESS:extended service set)、ノードB、発展型ノードB(eNB:evolved NodeB)、ホームノードB、ホームeノードB、WLANアクセスポイント、Wi−Fiノードまたは何らかの他の好適な用語で呼ばれることがある。アクセスポイント105はまた、セルラーおよび/またはWLAN無線アクセス技術など、異なる無線技術を利用し得る。アクセスポイント105は、同じまたは異なるアクセスネットワークまたは事業者展開に関連付けられ得る。
[0045]クライアントデバイス115は、ワイヤレス通信システム100全体にわたって分散され得、各クライアントデバイス115は固定または移動であり得る。クライアントデバイス115は、当業者によって、モバイルデバイス、移動局、加入者局、モバイルユニット、加入者ユニット、ワイヤレスユニット、リモートユニット、ワイヤレスデバイス、ワイヤレス通信デバイス、リモートデバイス、モバイル加入者局、アクセス端末、モバイル端末、ワイヤレス端末、リモート端末、ハンドセット、ユーザエージェント、モバイルクライアント、クライアント、または何らかの他の好適な用語で呼ばれることもある。クライアントデバイス115は、セルラーフォン、携帯情報端末(PDA)、ワイヤレスモデム、ワイヤレス通信デバイス、ハンドヘルドデバイス、タブレットコンピュータ、ラップトップコンピュータ、コードレスフォン、時計または眼鏡などのウェアラブルアイテム、ワイヤレスローカルループ(WLL)局などであり得る。クライアントデバイス115は、マクロeNB、ピコeNB、フェムトeNB、リレーなどと通信することが可能であり得る。クライアントデバイス115は、セルラーまたは他のWWANアクセスネットワーク、あるいはWLANアクセスネットワークなど、異なるアクセスネットワークを介して通信することも可能であり得る。
[0046]ワイヤレス通信システム100に示されているワイヤレス接続130は、(たとえば、クライアントデバイス115からアクセスポイント105への)アップリンク(UL)送信を搬送するためのアップリンクおよび/または(たとえば、アクセスポイント105からクライアントデバイス115への)ダウンリンク(DL)送信を搬送するためのダウンリンクを含み得る。UL送信は逆方向リンク送信と呼ばれることもあり、DL送信は順方向リンク送信と呼ばれることもある。
[0047]次に図2Aを参照すると、ブロック図200−aは、様々な実施形態による、クライアントデバイス115−aを示している。クライアントデバイス115−aは、図1を参照しながら説明したクライアントデバイス115の少なくとも1つの態様の一例であり得る。クライアントデバイス115−aは、クライアントデバイス入力205と、クライアントデバイスオーセンティケータ210と、クライアントデバイス出力215とを含み得る。これらの構成要素の各々は互いと通信していることがある。
[0048]クライアントデバイス115−aの構成要素は、適用可能な機能の一部または全部をハードウェアで実行するように適応された特定用途向け集積回路(ASIC)を用いて、個々にまたはまとめて実装され得る。代替的に、それらの機能は、集積回路上で、他の処理ユニット(またはコア)によって実行され得る。他の実施形態では、当技術分野で知られている任意の方法でプログラムされ得る、他のタイプの集積回路(たとえば、ストラクチャード/プラットフォームASIC、フィールドプログラマブルゲートアレイ(FPGA)、および他のセミカスタムIC)が使用され得る。各ユニットの機能はまた、全体的にまたは部分的に、汎用または特定用途向けプロセッサによって実行されるようにフォーマットされた、メモリに記憶された命令を用いて実装され得る。
[0049]クライアントデバイス出力215は、クライアントデバイス115−aから、図1に示されているシステム100の信頼済みデバイス125およびアクセスポイント105など、他のデバイスへの通信を送り得る。クライアントデバイス入力205は、信頼済みデバイス125およびアクセスポイント105など、他のデバイスからの通信を受信し得る。クライアントデバイスオーセンティケータ210は、認証、暗号化、解読、およびアクセスポイント105へのクライアントデバイス115−aの接続を認証し、セキュアにすることに関与する他の動作を実行し得る。クライアントデバイス115−aまたはクライアントデバイスオーセンティケータ210は、そのような機能を実行するためのプロセッサを含み得る。
[0050]図2Bは、様々な実施形態による、クライアントデバイス115−bを示すブロック図200−bである。クライアントデバイス115−bは、図1および/または図2Aを参照しながら説明したクライアントデバイス115の少なくとも1つの態様の一例であり得る。クライアントデバイス115−bは、クライアントデバイス入力205−aと、クライアントデバイスオーセンティケータ210−aと、クライアントデバイス出力215−aとを含み得る。これらの構成要素の各々は互いと通信していることがある。
[0051]クライアントデバイス115−bの構成要素は、適用可能な機能の一部または全部をハードウェアで実行するように適応された特定用途向け集積回路(ASIC)を用いて、個々にまたはまとめて実装され得る。代替的に、それらの機能は、集積回路上で、他の処理ユニット(またはコア)によって実行され得る。他の実施形態では、当技術分野で知られている任意の方法でプログラムされ得る、他のタイプの集積回路(たとえば、ストラクチャード/プラットフォームASIC、フィールドプログラマブルゲートアレイ(FPGA)、および他のセミカスタムIC)が使用され得る。各ユニットの機能はまた、全体的にまたは部分的に、汎用または特定用途向けプロセッサによって実行されるようにフォーマットされた、メモリに記憶された命令を用いて実装され得る。
[0052]クライアントデバイス入力205−a、クライアントデバイスオーセンティケータ210−a、およびクライアントデバイス出力215−aは、図2Aを参照しながら前に説明した動作を実行するように構成され得る。クライアントデバイス入力205−aはワイヤレス受信機220とセキュアインターフェース入力225とを含み得る。クライアントデバイス出力215−aはワイヤレス送信機245とセキュアインターフェース出力250とを含み得る。クライアントデバイスオーセンティケータ210−aは、クライアント情報生成器230と、サーバオーセンティケータ235と、ネットワークオーセンティケータ240とを含み得る。
[0053]ワイヤレス受信機220、セキュアインターフェース入力225、ワイヤレス送信機245、およびセキュアインターフェース出力250は、図1に示されているシステム100のアクセスポイント105および信頼済みデバイス125と通信し得る。ワイヤレス受信機220はアクセスポイント105からの通信を受信し得る。ワイヤレス送信機245はアクセスポイント105への通信を送信し得る。セキュアインターフェース入力225は、信頼済みデバイス125のセキュアインターフェース135からの通信を入力し得る。セキュアインターフェース入力225は、たとえば、テキスト入力インターフェース、クイックレスポンス(QR)コードリーダー、あるいは、ニアフィールド通信(NFC:near-field communication)入力またはBluetooth入力など、帯域外ワイヤレス入力を含み得る。セキュアインターフェース出力250は、信頼済みデバイス125のセキュアインターフェース135への通信を出力し得る。セキュアインターフェース出力250は、たとえば、テキストまたはQRコードを表示するためのディスプレイ、あるいは、NFC出力またはBluetooth出力など、帯域外ワイヤレス出力を含み得る。
[0054]クライアント情報生成器230は、本明細書で説明するように、クライアント情報を生成するために様々な動作を実行するように構成され得る。サーバオーセンティケータ235は、本明細書で説明するように、認証サーバ140の識別情報を認証するために様々な動作を実行するように構成され得る。ネットワークオーセンティケータ240は、本明細書で説明するように、クライアントデバイス115−bとアクセスポイント105との間の接続を認証し、セキュアにするために様々な動作を実行するように構成され得る。クライアント情報生成器230、サーバオーセンティケータ235、およびネットワークオーセンティケータ240は、そのような動作を実行する際にクライアントデバイス入力205−aおよびクライアントデバイス出力215−aと協働し得る。クライアントデバイス115−bまたはクライアントデバイスオーセンティケータ210−aは、そのような機能を実行するためのプロセッサを含み得る。
[0055]図2Cは、様々な実施形態による、クライアントデバイス115−cを示すブロック図200−cである。クライアントデバイス115−cは、図1、図2A、および/または図2Bを参照しながら説明したクライアントデバイス115の少なくとも1つの態様の一例であり得る。クライアントデバイス115−cは、パーソナルコンピュータ(たとえば、ラップトップコンピュータ、ネットブックコンピュータ、タブレットコンピュータなど)、セルラー電話、PDA、デジタルビデオレコーダ(DVR)、インターネットアプライアンス、ゲームコンソール、電子リーダーなど、様々な構成のいずれかを有し得る。クライアントデバイス115−cは、モバイル動作を可能にするために、小型バッテリーなどの内部電源(図示せず)を有し得る。
[0056]示されている構成では、クライアントデバイス115−cは、クライアントデバイスプロセッサ255と、クライアントデバイスメモリ260と、クライアントデバイス入力/出力270と、セキュアインターフェース275と、クライアントデバイスアンテナ280とを含み、その各々は、(たとえば、バス285を介して)直接または間接的に、互いと通信していることがある。クライアントデバイス入力/出力270は、上記で説明したように、セキュアインターフェース275および(1つまたは複数の)クライアントデバイスアンテナ280と双方向に通信するように構成される。たとえば、クライアントデバイス入力/出力270は、図1、図2A、および/または図2Bのアクセスポイント105および信頼済みデバイス125と双方向に通信するように構成され得る。クライアントデバイス入力/出力270は、前に説明した、図2Aおよび/または図2Bのクライアントデバイス入力205およびクライアントデバイス出力215、ならびに/あるいは図2Bのワイヤレス受信機220およびワイヤレス送信機245を含み得る。一実施形態では、クライアントデバイス入力/出力270は、パケットを変調し、変調されたパケットを送信のために(1つまたは複数の)クライアントデバイスアンテナ280に与え、(1つまたは複数の)クライアントデバイスアンテナ280から受信されたパケットを復調するように構成されたモデムをさらに含み得る。クライアントデバイス115−cは単一のアンテナを含み得るが、クライアントデバイス115−cは、一般に、複数のリンクのための複数のアンテナ280を含む。
[0057]クライアントデバイスメモリ260はランダムアクセスメモリ(RAM)と読取り専用メモリ(ROM)とを含み得る。クライアントデバイスメモリ260は、実行されるとクライアントデバイスプロセッサ255に本明細書で説明する様々な機能(たとえば、認証する、導出する、暗号化する、解読する、受信する、送信するなど)を実行させるように構成された命令を含んでいるコンピュータ可読、コンピュータ実行可能ソフトウェアコード265を記憶し得る。代替的に、ソフトウェア265は、クライアントデバイスプロセッサ255によって直接的に実行可能でないことがあるが、(たとえば、コンパイルされ実行されると)クライアントデバイスに本明細書で説明する機能を実行させるように構成され得る。クライアントデバイスプロセッサ255は、インテリジェントハードウェアデバイス、たとえば、中央処理ユニット(CPU)、マイクロコントローラ、特定用途向け集積回路(ASIC)などを含み得る。
[0058]クライアントデバイスオーセンティケータ210−bは、バス285を介してクライアントデバイス115−cの他の構成要素の一部または全部と通信しているクライアントデバイス115−cの構成要素であり得る。代替的に、クライアントデバイスオーセンティケータ210−bの機能は、クライアントデバイス入力/出力270の構成要素として、コンピュータプログラム製品として、および/またはクライアントデバイスプロセッサ255のコントローラ要素として実装され得る。クライアントデバイスオーセンティケータ210−bは、図2Aおよび/または図2Bを参照しながら説明したクライアントデバイスオーセンティケータ210のうちの1つの少なくとも1つの態様の一例であり得る。
[0059]クライアントデバイス115−cの構成要素は、適用可能な機能の一部または全部をハードウェアで実行するように適応された少なくとも1つの特定用途向け集積回路(ASIC)を用いて、個々にまたはまとめて実装され得る。代替的に、それらの機能は、集積回路上で、他の処理ユニット(またはコア)によって実行され得る。他の実施形態では、当技術分野で知られている任意の方法でプログラムされ得る、他のタイプの集積回路(たとえば、ストラクチャード/プラットフォームASIC、フィールドプログラマブルゲートアレイ(FPGA)、および他のセミカスタムIC)が使用され得る。各ユニットの機能はまた、全体的または部分的に、汎用または特定用途向けプロセッサによって実行されるようにフォーマットされた、メモリに組み込まれた命令を用いて実装され得る。言及した構成要素の各々は、本明細書で説明するクライアントデバイス115−cの動作に関係する機能を実行するための手段であり得る。
[0060]次に図3Aを参照すると、ブロック図300−aは、様々な実施形態による、信頼済みデバイス125−aを示している。信頼済みデバイス125−aは、図1を参照しながら説明した信頼済みデバイス125の少なくとも1つの態様の一例であり得る。信頼済みデバイス125−aは信頼済みデバイス入力305と信頼済みデバイス出力310とを含み得、それらは互いと通信していることがある。
[0061]信頼済みデバイス125−aの構成要素は、適用可能な機能の一部または全部をハードウェアで実行するように適応された特定用途向け集積回路(ASIC)を用いて、個々にまたはまとめて実装され得る。代替的に、それらの機能は、集積回路上で、他の処理ユニット(またはコア)によって実行され得る。他の実施形態では、当技術分野で知られている任意の方法でプログラムされ得る、他のタイプの集積回路(たとえば、ストラクチャード/プラットフォームASIC、フィールドプログラマブルゲートアレイ(FPGA)、および他のセミカスタムIC)が使用され得る。各ユニットの機能はまた、全体的にまたは部分的に、汎用または特定用途向けプロセッサによって実行されるようにフォーマットされた、メモリに記憶された命令を用いて実装され得る。
[0062]信頼済みデバイス出力310は、信頼済みデバイス125−aから、図1に示されているシステム100のクライアントデバイス115および認証サーバ140など、他のデバイスへの通信を送り得る。信頼済みデバイス入力305は、クライアントデバイス115および認証サーバ140など、他のデバイスからの通信を受信し得る。信頼済みデバイス125−aは、そのような機能を実行するためのプロセッサを含み得る。
[0063]図3Bは、様々な実施形態による、信頼済みデバイス125−bを示すブロック図300−bである。信頼済みデバイス125−bは、図1および/または図3Aを参照しながら説明した信頼済みデバイス125の少なくとも1つの態様の一例であり得る。信頼済みデバイス125−bは、信頼済みデバイス入力305−aと信頼済みデバイス出力310−aとを含み得、それらは互いと通信していることがある。
[0064]信頼済みデバイス125−bの構成要素は、適用可能な機能の一部または全部をハードウェアで実行するように適応された特定用途向け集積回路(ASIC)を用いて、個々にまたはまとめて実装され得る。代替的に、それらの機能は、集積回路上で、他の処理ユニット(またはコア)によって実行され得る。他の実施形態では、当技術分野で知られている任意の方法でプログラムされ得る、他のタイプの集積回路(たとえば、ストラクチャード/プラットフォームASIC、フィールドプログラマブルゲートアレイ(FPGA)、および他のセミカスタムIC)が使用され得る。各ユニットの機能はまた、全体的にまたは部分的に、汎用または特定用途向けプロセッサによって実行されるようにフォーマットされた、メモリに記憶された命令を用いて実装され得る。
[0065]信頼済みデバイス入力305−aおよび信頼済みデバイス出力310−aは、図3Aを参照しながら前に説明した動作を実行するように構成され得る。信頼済みデバイス入力305−aはネットワーク入力315とセキュアインターフェース入力320とを含み得る。信頼済みデバイス出力310−aはネットワーク出力325とセキュアインターフェース出力330とを含み得る。
[0066]ネットワーク入力315、セキュアインターフェース入力320、ネットワーク出力325、およびセキュアインターフェース出力330は、図1に示されているシステム100のクライアントデバイス115および認証サーバ140と通信し得る。ネットワーク入力315は、直接的または間接的のいずれかで、認証サーバ140からの通信を受信し得る。たとえば、ネットワーク入力315は、認証サーバ140とのネットワーク接続132から直接、認証サーバ140からの通信を受信し得る。代替的に、または追加として、ネットワーク入力315は、ルータおよび/またはアクセスポイント105などのアクセスポイントを通して最初にルーティングされる、ネットワーク接続132を介した通信を受信し得る。したがって、ネットワーク入力315はワイヤードまたはワイヤレスインターフェースを含み得る。
[0067]セキュアインターフェース入力320およびセキュアインターフェース出力330は、図1に示されているセキュアインターフェース135の構成要素であり得る。セキュアインターフェース入力320は、図2Bを参照しながら説明したクライアントデバイス115−bのセキュアインターフェース出力250、および/または図2Cを参照しながら説明したクライアントデバイス115−cのセキュアインターフェース275からの通信を入力し得る。セキュアインターフェース入力320は、たとえば、テキスト入力インターフェース、クイックレスポンス(QR)コードリーダー、あるいは、NFC入力またはBluetooth入力など、帯域外ワイヤレス入力を含み得る。セキュアインターフェース出力330は、図2Bを参照しながら説明したクライアントデバイス115−bのセキュアインターフェース入力225、および/または図2Cを参照しながら説明したクライアントデバイス115−cのセキュアインターフェース275への通信を出力し得る。セキュアインターフェース出力330は、たとえば、テキストまたはQRコードを表示するためのディスプレイ、あるいは、NFC出力またはBluetooth出力など、帯域外ワイヤレス出力を含み得る。
[0068]図3Cは、様々な実施形態による、信頼済みデバイス125−cを示すブロック図300−cである。信頼済みデバイス125−cは、図1、図3A、および/または図3Bを参照しながら説明した信頼済みデバイス125の少なくとも1つの態様の一例であり得る。信頼済みデバイス125−cは、パーソナルコンピュータ(たとえば、ラップトップコンピュータ、ネットブックコンピュータ、タブレットコンピュータなど)、セルラー電話、PDA、デジタルビデオレコーダ(DVR)、インターネットアプライアンス、ゲームコンソール、電子リーダーなど、様々な構成のいずれかを有し得る。信頼済みデバイス125−cは、モバイル動作を可能にするために、小型バッテリーなどの内部電源(図示せず)を有し得る。
[0069]示されている構成では、信頼済みデバイス125−cは、信頼済みデバイスプロセッサ335と、信頼済みデバイスメモリ340と、信頼済みデバイス入力/出力350と、セキュアインターフェース135−aと、信頼済みデバイスネットワークインターフェース360とを含み、その各々は、(たとえば、バス365を介して)直接または間接的に、互いと通信していることがある。セキュアインターフェース135−aは、図1を参照しながら説明したセキュアインターフェース135の少なくとも1つの態様の一例であり得る。信頼済みデバイス入力/出力350は、上記で説明したように、セキュアインターフェース135および信頼済みデバイスネットワークインターフェース360と双方向に通信するように構成される。たとえば、信頼済みデバイス入力/出力350は、図1、図2A、図2B、図2C、図3A、および/または図3Bのクライアントデバイス115および認証サーバ140と双方向に通信するように構成され得る。信頼済みデバイス入力/出力350は、前に説明した、図3Aおよび/または図3Bの信頼済みデバイス入力305と信頼済みデバイス出力310とを含み得る。一実施形態では、信頼済みデバイス入力/出力350は、パケットを変調し、変調されたパケットを送信のために信頼済みデバイスネットワークインターフェース360に与え、信頼済みデバイスネットワークインターフェース360から受信されたパケットを復調するように構成されたモデムをさらに含み得る。信頼済みデバイスネットワークインターフェース360は、ワイヤード接続のための少なくとも1つのポートおよび/またはワイヤレス接続のための少なくとも1つのアンテナを含み得る。
[0070]信頼済みデバイスメモリ340はランダムアクセスメモリ(RAM)と読取り専用メモリ(ROM)とを含み得る。信頼済みデバイスメモリ340は、実行されると信頼済みデバイスプロセッサ335に本明細書で説明する様々な機能(たとえば、認証する、導出する、暗号化する、解読する、受信する、送信するなど)を実行させるように構成された命令を含んでいるコンピュータ可読、コンピュータ実行可能ソフトウェアコード345を記憶し得る。代替的に、ソフトウェア345は、信頼済みデバイスプロセッサ335によって直接的に実行可能でないことがあるが、(たとえば、コンパイルされ実行されると)信頼済みデバイスに本明細書で説明する機能を実行させるように構成され得る。信頼済みデバイスプロセッサ335は、インテリジェントハードウェアデバイス、たとえば、中央処理ユニット(CPU)、マイクロコントローラ、特定用途向け集積回路(ASIC)などを含み得る。
[0071]信頼済みデバイス125−cの構成要素は、適用可能な機能の一部または全部をハードウェアで実行するように適応された特定用途向け集積回路(ASIC)を用いて、個々にまたはまとめて実装され得る。代替的に、それらの機能は、集積回路上で、他の処理ユニット(またはコア)によって実行され得る。他の実施形態では、当技術分野で知られている任意の方法でプログラムされ得る、他のタイプの集積回路(たとえば、ストラクチャード/プラットフォームASIC、フィールドプログラマブルゲートアレイ(FPGA)、および他のセミカスタムIC)が使用され得る。各ユニットの機能はまた、全体的にまたは部分的に、汎用または特定用途向けプロセッサによって実行されるようにフォーマットされた、メモリ中に組み込まれた命令を用いて実装され得る。言及した構成要素の各々は、本明細書で説明する信頼済みデバイス125−cの動作に関係する機能を実行するための手段であり得る。
[0072]次に図4Aを参照すると、ブロック図400−aは、様々な実施形態による、アクセスポイント105−aを示している。アクセスポイント105−aは、図1を参照しながら説明したアクセスポイント105の少なくとも1つの態様の一例であり得る。アクセスポイント105−aは、アクセスポイント受信機405と、アクセスポイントネットワークオーセンティケータ410と、アクセスポイント送信機415とを含み得る。これらの構成要素の各々は互いと通信していることがある。
[0073]アクセスポイント105−aの構成要素は、適用可能な機能の一部または全部をハードウェアで実行するように適応された特定用途向け集積回路(ASIC)を用いて、個々にまたはまとめて実装され得る。代替的に、それらの機能は、集積回路上で、他の処理ユニット(またはコア)によって実行され得る。他の実施形態では、当技術分野で知られている任意の方法でプログラムされ得る、他のタイプの集積回路(たとえば、ストラクチャード/プラットフォームASIC、フィールドプログラマブルゲートアレイ(FPGA)、および他のセミカスタムIC)が使用され得る。各ユニットの機能はまた、全体的にまたは部分的に、汎用または特定用途向けプロセッサによって実行されるようにフォーマットされた、メモリに記憶された命令を用いて実装され得る。
[0074]アクセスポイント送信機415は、アクセスポイント105−aから、図1に示されているシステム100のクライアントデバイス115および認証サーバ140など、他のデバイスへの通信を送り得る。アクセスポイント受信機405は、クライアントデバイス115および認証サーバ140など、他のデバイスからの通信を受信し得る。アクセスポイントネットワークオーセンティケータ410は、認証、暗号化、解読、およびアクセスポイント105−aへのクライアントデバイス115−aの接続を認証し、セキュアにすることに関与する他の動作を実行し得る。アクセスポイント105−aまたはアクセスポイントネットワークオーセンティケータ410は、そのような機能を実行するためのプロセッサを含み得る。
[0075]図4Bは、様々な実施形態による、アクセスポイント105−bを示すブロック図400−bである。アクセスポイント105−bは、図1および/または図4Aを参照しながら説明したアクセスポイント105の少なくとも1つの態様の一例であり得る。アクセスポイント105−bは、アクセスポイント受信機405−aと、アクセスポイントネットワークオーセンティケータ410−aと、アクセスポイント送信機415−aとを含み得る。これらの構成要素の各々は互いと通信していることがある。
[0076]アクセスポイント105−bの構成要素は、適用可能な機能の一部または全部をハードウェアで実行するように適応された特定用途向け集積回路(ASIC)を用いて、個々にまたはまとめて実装され得る。代替的に、それらの機能は、集積回路上で、他の処理ユニット(またはコア)によって実行され得る。他の実施形態では、当技術分野で知られている任意の方法でプログラムされ得る、他のタイプの集積回路(たとえば、ストラクチャード/プラットフォームASIC、フィールドプログラマブルゲートアレイ(FPGA)、および他のセミカスタムIC)が使用され得る。各ユニットの機能はまた、全体的にまたは部分的に、汎用または特定用途向けプロセッサによって実行されるようにフォーマットされた、メモリに記憶された命令を用いて実装され得る。
[0077]アクセスポイント受信機405−a、アクセスポイントネットワークオーセンティケータ410−a、およびアクセスポイント送信機415−aは、図4Aを参照しながら前に説明した動作を実行するように構成され得る。アクセスポイント受信機405−aはワイヤレス受信機420とネットワーク受信機425とを含み得る。アクセスポイント送信機415−aはワイヤレス送信機430とネットワーク送信機435とを含み得る。
[0078]ワイヤレス受信機420、ネットワーク受信機425、ワイヤレス送信機430、およびネットワーク送信機435は、図1に示されているシステム100のクライアントデバイス115および認証サーバ140と通信し得る。ワイヤレス受信機420はクライアントデバイス115からの通信を受信し得る。ワイヤレス送信機430はクライアントデバイス115への通信を送信し得る。ネットワーク受信機425は、ネットワーク接続132を介した認証サーバ140からの通信を受信し得る。ネットワーク送信機435は、ネットワーク接続132を介した認証サーバ140からの通信を受信し得る。ネットワーク接続132はワイヤードまたはワイヤレス通信リンクであり得る。
[0079]アクセスポイントネットワークオーセンティケータ410−aは、本明細書で説明するように、クライアントデバイス115とアクセスポイント105−bとの間の接続を認証し、セキュアにするために様々な動作を実行するように構成され得る。アクセスポイントネットワークオーセンティケータ410−aは、そのような動作を実行する際にアクセスポイント受信機405−aおよびアクセスポイント送信機415−aと協働し得る。アクセスポイント105−bまたはアクセスポイントネットワークオーセンティケータ410−aは、そのような機能を実行するためのプロセッサを含み得る。
[0080]図4Cは、様々な実施形態による、アクセスポイント105−cを示すブロック図400−cである。アクセスポイント105−cは、図1、図4A、および/または図4Bを参照しながら説明したアクセスポイント105の少なくとも1つの態様の一例であり得る。示されている構成では、アクセスポイント105−cは、アクセスポイントネットワークインターフェース440と、アクセスポイントメモリ445と、アクセスポイントプロセッサ455と、少なくとも1つのアクセスポイントトランシーバ460と、少なくとも1つのアクセスポイントアンテナ465とを含み、その各々は、(たとえば、バス470を介して)直接または間接的に、互いと通信していることがある。(1つまたは複数の)アクセスポイントトランシーバ460は、上記で説明したように、アクセスポイントネットワークインターフェース440および(1つまたは複数の)アクセスポイントアンテナ465と双方向に通信するように構成される。たとえば、(1つまたは複数の)アクセスポイントトランシーバ460は、(1つまたは複数の)アクセスポイントアンテナ465を介して図1、図2A、図2B、および/または図2Cのクライアントデバイス115と双方向に通信するように構成され得る。さらに、(1つまたは複数の)アクセスポイントトランシーバ460は、アクセスポイントネットワークインターフェース440を介して認証サーバ140−aと双方向に通信するように構成され得る。認証サーバ140−aは、図1を参照しながら説明した認証サーバ140の少なくとも1つの態様の一例であり得る。アクセスポイントネットワークインターフェース440は、認証サーバ140−aとの通信のためのワイヤードおよび/またはワイヤレスインターフェースを含み得る。
[0081](1つまたは複数の)アクセスポイントトランシーバ460は、前に説明した、図4Aおよび/または図4Bのアクセスポイント受信機405とアクセスポイント送信機415とを含み得る。一実施形態では、(1つまたは複数の)アクセスポイントトランシーバは、パケットを変調し、変調されたパケットを送信のために(1つまたは複数の)アクセスポイントアンテナ465および/またはアクセスポイントネットワークインターフェース440に与え、(1つまたは複数の)アクセスポイントアンテナ465および/またはアクセスポイントネットワークインターフェース440から受信されたパケットを復調するように構成されたモデムをさらに含み得る。アクセスポイント105−cは単一のアンテナを含み得るが、アクセスポイント105−cは、一般に、複数のリンクのための複数のアンテナ465を含む。
[0082]アクセスポイントメモリ445はランダムアクセスメモリ(RAM)と読取り専用メモリ(ROM)とを含み得る。アクセスポイントメモリ445は、実行されるとアクセスポイントプロセッサ455に本明細書で説明する様々な機能(たとえば、認証する、導出する、暗号化する、解読する、受信する、送信するなど)を実行させるように構成された命令を含んでいるコンピュータ可読、コンピュータ実行可能ソフトウェアコード450を記憶し得る。代替的に、ソフトウェア450は、アクセスポイントプロセッサ455によって直接的に実行可能でないことがあるが、(たとえば、コンパイルされ実行されると)アクセスポイントに本明細書で説明する機能を実行させるように構成され得る。アクセスポイントプロセッサ455は、インテリジェントハードウェアデバイス、たとえば、中央処理ユニット(CPU)、マイクロコントローラ、特定用途向け集積回路(ASIC)などを含み得る。
[0083]アクセスポイントネットワークオーセンティケータ410−bは、バス470を介してアクセスポイント105−cの他の構成要素の一部または全部と通信しているアクセスポイント105−cの構成要素であり得る。代替的に、アクセスポイントネットワークオーセンティケータ410−bの機能は、(1つまたは複数の)アクセスポイントトランシーバ460の構成要素として、コンピュータプログラム製品として、および/またはアクセスポイントプロセッサ455のコントローラ要素として実装され得る。アクセスポイントネットワークオーセンティケータ410−bは、図4Aおよび/または図4Bを参照しながら説明したアクセスポイントネットワークオーセンティケータ410のうちの1つの少なくとも1つの態様の一例であり得る。
[0084]アクセスポイント105−cの構成要素は、適用可能な機能の一部または全部をハードウェアで実行するように適応された特定用途向け集積回路(ASIC)を用いて、個々にまたはまとめて実装され得る。代替的に、それらの機能は、集積回路上で、他の処理ユニット(またはコア)によって実行され得る。他の実施形態では、当技術分野で知られている任意の方法でプログラムされ得る、他のタイプの集積回路(たとえば、ストラクチャード/プラットフォームASIC、フィールドプログラマブルゲートアレイ(FPGA)、および他のセミカスタムIC)が使用され得る。各ユニットの機能はまた、全体的にまたは部分的に、汎用または特定用途向けプロセッサによって実行されるようにフォーマットされた、メモリ中に組み込まれた命令を用いて実装され得る。言及した構成要素の各々は、本明細書で説明するアクセスポイント105−cの動作に関係する機能を実行するための手段であり得る。
[0085]図5は、様々な実施形態による、認証サーバ140−bを示すブロック図500である。認証サーバ140−bは、図1を参照しながら説明した認証サーバ140の少なくとも1つの態様の一例であり得る。示されている構成では、認証サーバ140−bは、認証サーバネットワークインターフェース505と、認証サーバメモリ510と、認証サーバプロセッサ515と、クライアントデバイスオーセンティケータ520と、ネットワークオーセンティケータ525とを含み、その各々は、(たとえば、バス530を介して)直接または間接的に、互いと通信していることがある。認証サーバネットワークインターフェース505は、アクセスポイント105−dおよび信頼済みデバイス125−dと双方向に通信するように構成され得る。アクセスポイント105−dおよび信頼済みデバイス125−dは、図1、図3A、図3B、図3C、図4A、図4B、および/または図4Cを参照しながら説明したアクセスポイント105および信頼済みデバイス125の少なくとも1つの態様の一例であり得る。認証サーバネットワークインターフェース505は、アクセスポイント105−dおよび信頼済みデバイス125−dとの通信のためのワイヤードおよび/またはワイヤレスインターフェースを含み得る。一実施形態では、認証サーバネットワークインターフェース505は、送信のためにパケットを変調し、受信されたパケットを復調するように構成されたモデムをさらに含み得る。
[0086]認証サーバメモリ510はランダムアクセスメモリ(RAM)と読取り専用メモリ(ROM)とを含み得る。認証サーバメモリ510は、実行されると認証サーバプロセッサ515に本明細書で説明する様々な機能(たとえば、認証する、導出する、暗号化する、解読する、受信する、送信するなど)を実行させるように構成された命令を含んでいるコンピュータ可読、コンピュータ実行可能ソフトウェアコード535を記憶し得る。代替的に、ソフトウェア535は、認証サーバプロセッサ515によって直接的に実行可能でないことがあるが、(たとえば、コンパイルされ実行されると)認証サーバに本明細書で説明する機能を実行させるように構成され得る。認証サーバプロセッサ515は、インテリジェントハードウェアデバイス、たとえば、中央処理ユニット(CPU)、マイクロコントローラ、特定用途向け集積回路(ASIC)などを含み得る。
[0087]クライアントデバイスオーセンティケータ520は、本明細書で説明するように、クライアントデバイス115の識別情報を認証するために様々な動作を実行するように構成され得る。ネットワークオーセンティケータ525は、本明細書で説明するように、クライアントデバイス115とアクセスポイント105との間の接続を認証し、セキュアにするために様々な動作を実行するように構成され得る。クライアントデバイスオーセンティケータ520およびネットワークオーセンティケータ525は、バス530を介して認証サーバ140−bの他の構成要素の一部または全部と通信していることがある。代替的に、クライアントデバイスオーセンティケータ520およびネットワークオーセンティケータ525の機能は、コンピュータプログラム製品として、および/または認証サーバプロセッサ515のコントローラ要素として実装され得る。
[0088]認証サーバ140−bの構成要素は、適用可能な機能の一部または全部をハードウェアで実行するように適応された特定用途向け集積回路(ASIC)を用いて、個々にまたはまとめて実装され得る。代替的に、それらの機能は、集積回路上で、他の処理ユニット(またはコア)によって実行され得る。他の実施形態では、当技術分野で知られている任意の方法でプログラムされ得る、他のタイプの集積回路(たとえば、ストラクチャード/プラットフォームASIC、フィールドプログラマブルゲートアレイ(FPGA)、および他のセミカスタムIC)が使用され得る。各ユニットの機能はまた、全体的にまたは部分的に、汎用または特定用途向けプロセッサによって実行されるようにフォーマットされた、メモリ中に組み込まれた命令を用いて実装され得る。言及した構成要素の各々は、本明細書で説明する認証サーバ140−bの動作に関係する機能を実行するための手段であり得る。
[0089]図6は、クライアントデバイス115−dと、信頼済みデバイス125−dと、アクセスポイント105−dと、認証サーバ140−dとの間の通信の一例を示すメッセージフロー図600である。クライアントデバイス115−dは、図1、図2A、図2B、および/または図2Cを参照しながら説明したクライアントデバイス115の一例であり得る。信頼済みデバイス125−dは、図1、図3A、図3B、および/または図3Cを参照しながら説明した信頼済みデバイス125の一例であり得る。アクセスポイント105−dは、図1、図4A、図4B、および/または図4Cを参照しながら説明したアクセスポイント105の一例であり得る。認証サーバ140−dは、図1および/または図5を参照しながら説明した認証サーバ140の一例であり得る。
[0090]一構成では、クライアントデバイス115−dは、第1のクライアント情報を信頼済みデバイス125−dに出力するようにトリガされ得、図6中の605と示される。第1のクライアント情報は、クライアント公開鍵、クライアントユーザ名、および/またはクライアント認証トークンを含み得る。クライアント認証トークンは、クライアント公開鍵のハッシュを計算することなどによって、クライアント公開鍵から導出された文字列であり得る。クライアント認証トークンは、クライアントデバイス115−dのクライアント情報生成器230によって導出され得る。第1のクライアント情報は、たとえば、クライアントデバイス115−dのディスプレイ上にテキストとして第1のクライアント情報を表示すること、クライアントデバイス115−dのディスプレイ上にQRコードとして第1のクライアント情報を表示すること、あるいは、NFCまたはBluetoothなど、帯域外ワイヤレス信号を介してクライアントデバイス115−dから第1のクライアント情報を送信することによって、クライアントデバイス115−dのセキュアインターフェース出力250を介して出力され得る。クライアントデバイス115−dが第1のクライアント情報を出力した後、第1のクライアント情報は、信頼済みデバイス125−dのセキュアインターフェース135に入力され得る。第1のクライアント情報は、たとえば、クライアントデバイス115−d上に表示されたテキストをテキスト入力インターフェースにタイピングすること、クライアントデバイス115−d上に表示されたQRコードをQRコードリーダーで走査すること、あるいは、NFC入力またはBluetooth入力など、帯域外ワイヤレス入力上で帯域外ワイヤレス信号を受信することによって、信頼済みデバイス125−dのセキュアインターフェース入力320に入力され得る。
[0091]第1のクライアント情報が信頼済みデバイス125−dのセキュアインターフェース135に入力された後、信頼済みデバイス125−dは、直接的または間接的のいずれかで、第1のクライアント情報を認証サーバ140−dに送信し得、610と示される。第1のクライアント情報は、信頼済みデバイス125−dのネットワーク出力325を介して認証サーバ140−dに送信され得る。送信はワイヤードまたはワイヤレス送信であり得、送信は、ルータおよび/またはアクセスポイント105−dなどのアクセスポイントを通してルーティングされ得る。認証サーバ140−dは、認証サーバネットワークインターフェース505を介して第1のクライアント情報を受信し得、受信された第1のクライアント情報を認証サーバメモリ510に記憶し得る。
[0092]クライアントデバイス115−dが第1のクライアント情報を出力するようにトリガされたとき、クライアントデバイス115−dはまた、アクセスポイント105−dにプローブ要求を送るようにトリガされ得、625と示される。プローブ要求は、クライアントデバイス115−dのワイヤレス送信機245によって送信され、アクセスポイント105−dのワイヤレス受信機420によって受信され得る。アクセスポイント105−dは、プローブ要求にプローブ応答で応答し得、630と示される。プローブ応答は、アクセスポイント105−dのワイヤレス送信機430によって送信され、クライアントデバイス115−dのワイヤレス受信機220によって受信され得る。
[0093]アクセスポイント105−dからプローブ応答を受信した後、クライアントデバイス115−dは、アクセスポイント105−dに第2のクライアント情報を送信し得、635と示される。第2のクライアント情報は、クライアントデバイス115−dのワイヤレス送信機245によって送信され、アクセスポイント105−dのワイヤレス受信機420によって受信され得る。第2のクライアント情報は、クライアント公開鍵、クライアントユーザ名、および/またはクライアント識別情報(ID)を含み得る。クライアントIDは、クライアント公開鍵のハッシュを計算することなどによって、クライアント公開鍵から導出された値であり得る。クライアントIDは、クライアントデバイス115−dのクライアント情報生成器230によって導出され得る。
[0094]第2のクライアント情報を受信した後、アクセスポイント105−dは、第2のクライアント情報を認証サーバ140−dに送信し得、640と示される。第2のクライアント情報は、アクセスポイント105−dのネットワーク送信機435によって送信され、認証サーバ140−dの認証サーバネットワークインターフェース505によって受信され得る。認証サーバ140−dは、受信された第2のクライアント情報を認証サーバメモリ510に記憶し得る。
[0095]第2のクライアント情報を受信した後、認証サーバ140−dのクライアントデバイスオーセンティケータ520は、第1のクライアント情報と第2のクライアント情報とがリンクされるかどうかを決定するためにそれらを比較し得、645と示される。第1のクライアント情報がクライアント公開鍵を含み、第2のクライアント情報もクライアント公開鍵を含んだ場合、認証サーバ140−dのクライアントデバイスオーセンティケータ520は、受信されたクライアント公開鍵がリンクされるかどうかを決定するためにそれらを直接比較し得る。第1のクライアント情報がクライアント公開鍵とクライアントユーザ名とを含み、第2のクライアント情報がクライアントユーザ名を含んだ場合、認証サーバ140−dのクライアントデバイスオーセンティケータ520は、受信されたクライアントユーザ名がリンクされるかどうかを決定するためにそれらを直接比較し得る。第1のクライアント情報がクライアントユーザ名を含み、第2のクライアント情報がクライアントユーザ名とクライアント公開鍵とを含んだ場合、認証サーバ140−dのクライアントデバイスオーセンティケータ520は、受信されたクライアントユーザ名がリンクされるかどうかを決定するためにそれらを直接比較し得る。第1のクライアント情報がクライアント認証トークンを含み、第2のクライアント情報がクライアント公開鍵を含んだ場合、認証サーバ140−dのクライアントデバイスオーセンティケータ520は、クライアントデバイス115−dのクライアント情報生成器230によって使用されるのと同じ導出方法(たとえば、ハッシュ関数)を使用して、受信されたクライアント公開鍵からトークンを導出し得る。認証サーバ140−dのクライアントデバイスオーセンティケータ520は、次いで、導出されたトークンが、第1のクライアント情報中で受信されたクライアント認証トークンに一致するかどうかを決定し得る。第1のクライアント情報がクライアント公開鍵を含み、第2のクライアント情報がクライアントIDを含んだ場合、認証サーバ140−dのクライアントデバイスオーセンティケータ520は、クライアントデバイス115−dのクライアント情報生成器230によって使用されるのと同じ導出方法を使用して、受信されたクライアント公開鍵からIDを導出し得る。認証サーバ140−dのクライアントデバイスオーセンティケータ520は、次いで、導出されたIDが、第2のクライアント情報中で受信されたクライアントIDに一致するかどうかを決定し得る。
[0096]第1のクライアント情報と第2のクライアント情報との間にリンクが存在すると認証サーバ140−dのクライアントデバイスオーセンティケータ520が決定した後、認証サーバ140−dのネットワークオーセンティケータ525は、第1のクライアント情報または第2のクライアント情報のいずれか中で受信されたクライアント公開鍵を使用して、認証証明を暗号化し得る。代替的に、認証サーバ140−dのネットワークオーセンティケータ525は、たとえば、ディフィーへルマン鍵交換を使用してクライアントデバイス115−dと交換された共有秘密鍵を使用して、認証証明を暗号化し得る。共有秘密鍵は、クライアント公開鍵に部分的に基づいて確立され得る。認証証明は、アクセスポイント105−dとの認証プロシージャを完了するのに必要な証明をクライアントデバイス115−dに与え得る。たとえば、認証証明はWi−Fi保護アクセスII(WPA2)エンタープライズネットワーク証明(ENC:Enterprise Network Credential)であり得る。暗号化された認証証明は、認証サーバ140−dの認証サーバネットワークインターフェース505を介してアクセスポイント105−dに送信され得、650と示される。
[0097]アクセスポイント105−dのネットワーク受信機425は、暗号化された認証証明を受信し得る。アクセスポイント105−dは、次いで、暗号化された認証証明を、アクセスポイント105−dのワイヤレス送信機430を介してクライアントデバイス115−dに送信し得、655と示される。クライアントデバイス115−dは、クライアントデバイス115−dのワイヤレス受信機220を介して、暗号化された認証証明を受信し得る。
[0098]暗号化された認証証明を受信した後、クライアントデバイス115−dは、クライアント公開鍵に対応するクライアント秘密鍵を使用して、暗号化された認証証明を解読し得る。代替的に、クライアントデバイス115−dは、認証サーバ140−dと交換された共有秘密鍵を使用して、暗号化された認証証明を解読し得る。クライアントデバイス115−dのネットワークオーセンティケータ240は、アクセスポイント105−dのネットワークオーセンティケータ410および認証サーバ140−dのネットワークオーセンティケータ525との認証プロシージャを完了するために、解読された認証証明を使用し得、670と示される。認証プロシージャはIEEE802.1X拡張認証プロトコル(EAP)認証プロシージャであり得る。
[0099]認証プロシージャを完了した後、クライアントデバイス115−dは、セキュアワイヤレス接続を用いてアクセスポイント105−dに接続し得、680と示される。セキュアワイヤレス接続はWPA2エンタープライズプロトコル接続であり得る。
[0100]図7は、クライアントデバイス115−eと、信頼済みデバイス125−eと、アクセスポイント105−eと、認証サーバ140−eとの間の通信の一例を示すメッセージフロー図700である。クライアントデバイス115−eは、図1、図2A、図2B、および/または図2Cを参照しながら説明したクライアントデバイス115の一例であり得る。信頼済みデバイス125−eは、図1、図3A、図3B、および/または図3Cを参照しながら説明した信頼済みデバイス125の一例であり得る。アクセスポイント105−eは、図1、図4A、図4B、および/または図4Cを参照しながら説明したアクセスポイント105の一例であり得る。認証サーバ140−eは、図1および/または図5を参照しながら説明した認証サーバ140の一例であり得る。
[0101]一構成では、クライアントデバイス115−eは、第1のクライアント情報を信頼済みデバイス125−eに出力するようにトリガされ得、図7中の705と示される。第1のクライアント情報は、クライアント公開鍵、クライアントユーザ名、および/またはクライアント認証トークンを含み得る。クライアント認証トークンは、クライアント公開鍵のハッシュを計算することなどによって、クライアント公開鍵から導出された文字列であり得る。クライアント認証トークンは、クライアントデバイス115−eのクライアント情報生成器230によって導出され得る。第1のクライアント情報は、たとえば、クライアントデバイス115−eのディスプレイ上にテキストとして第1のクライアント情報を表示すること、クライアントデバイス115−eのディスプレイ上にQRコードとして第1のクライアント情報を表示すること、あるいは、NFCまたはBluetoothなど、帯域外ワイヤレス信号を介してクライアントデバイス115−eから第1のクライアント情報を送信することによって、クライアントデバイス115−eのセキュアインターフェース出力250を介して出力され得る。クライアントデバイス115−eが第1のクライアント情報を出力した後、第1のクライアント情報は、信頼済みデバイス125−eのセキュアインターフェース135に入力され得る。第1のクライアント情報は、たとえば、クライアントデバイス115−e上に表示されたテキストをテキスト入力インターフェースにタイピングすること、クライアントデバイス115−e上に表示されたQRコードをQRコードリーダーで走査すること、あるいは、NFC入力またはBluetooth入力など、帯域外ワイヤレス入力上で帯域外ワイヤレス信号を受信することによって、信頼済みデバイス125−eのセキュアインターフェース入力320に入力され得る。
[0102]第1のクライアント情報が信頼済みデバイス125−eのセキュアインターフェース135に入力された後、信頼済みデバイス125−eは、直接的または間接的のいずれかで、第1のクライアント情報を認証サーバ140−eに送信し得、710と示される。第1のクライアント情報は、信頼済みデバイス125−eのネットワーク出力325を介して認証サーバ140−eに送信され得る。送信はワイヤードまたはワイヤレス送信であり得、送信は、ルータおよび/またはアクセスポイント105−eなどのアクセスポイントを通してルーティングされ得る。認証サーバ140−eは、認証サーバネットワークインターフェース505を介して第1のクライアント情報を受信し得、受信された第1のクライアント情報を認証サーバメモリ510に記憶し得る。
[0103]第1のクライアント情報を受信した後、認証サーバ140−eは、サーバ認証トークンを信頼済みデバイス125−eに送信し得、715と示される。サーバ認証トークンは、認証サーバ140−eの認証サーバネットワークインターフェース505を介して信頼済みデバイス125−eに送信され得る。サーバ認証トークンは、信頼済みデバイス125−eのネットワーク入力315によって受信され得る。送信はワイヤードまたはワイヤレス送信であり得、送信は、ルータおよび/またはアクセスポイント105−eなどのアクセスポイントを通してルーティングされ得る。サーバ認証トークンは、たとえば、認証証明のハッシュを計算することによって、認証サーバ140−eの認証証明から導出された文字列であり得る。サーバ認証トークンは、認証サーバ140−eのクライアントデバイスオーセンティケータ520によって導出され得る。信頼済みデバイス125−eがサーバ認証トークンを受信した後、信頼済みデバイス125−eは、サーバ認証トークンを信頼済みデバイスメモリ340に記憶し、手動検証のためにサーバ認証トークンを表示し得る。
[0104]クライアントデバイス115−eが第1のクライアント情報を出力するようにトリガされたとき、クライアントデバイス115−eはまた、アクセスポイント105−eにプローブ要求を送るようにトリガされ得、725と示される。プローブ要求は、クライアントデバイス115−eのワイヤレス送信機245によって送信され、アクセスポイント105−eのワイヤレス受信機420によって受信され得る。アクセスポイント105−eはプローブ要求にプローブ応答で応答し得、730と示される。プローブ応答は、アクセスポイント105−eのワイヤレス送信機430によって送信され、クライアントデバイス115−eのワイヤレス受信機220によって受信され得る。
[0105]アクセスポイント105−eからプローブ応答を受信した後、クライアントデバイス115−eは、アクセスポイント105−eに第2のクライアント情報を送信し得、735と示される。第2のクライアント情報は、クライアントデバイス115−eのワイヤレス送信機245によって送信され、アクセスポイント105−eのワイヤレス受信機420によって受信され得る。第2のクライアント情報は、クライアント公開鍵、クライアントユーザ名、および/またはクライアント識別情報(ID)を含み得る。クライアントIDは、クライアント公開鍵のハッシュを計算することなどによって、クライアント公開鍵から導出された値であり得る。クライアントIDは、クライアントデバイス115−eのクライアント情報生成器230によって導出され得る。
[0106]第2のクライアント情報を受信した後、アクセスポイント105−eは、第2のクライアント情報を認証サーバ140−eに送信し得、740と示される。第2のクライアント情報は、アクセスポイント105−eのネットワーク送信機435によって送信され、認証サーバ140−eの認証サーバネットワークインターフェース505によって受信され得る。認証サーバ140−eは、受信された第2のクライアント情報を認証サーバメモリ510に記憶し得る。
[0107]第2のクライアント情報を受信した後、認証サーバ140−eのクライアントデバイスオーセンティケータ520は、第1のクライアント情報と第2のクライアント情報とがリンクされるかどうかを決定するためにそれらを比較し得、745と示される。第1のクライアント情報がクライアント公開鍵を含み、第2のクライアント情報もクライアント公開鍵を含んだ場合、認証サーバ140−eのクライアントデバイスオーセンティケータ520は、受信されたクライアント公開鍵がリンクされるかどうかを決定するためにそれらを直接比較し得る。第1のクライアント情報がクライアント公開鍵とクライアントユーザ名とを含み、第2のクライアント情報がクライアントユーザ名を含んだ場合、認証サーバ140−eのクライアントデバイスオーセンティケータ520は、受信されたクライアントユーザ名がリンクされるかどうかを決定するためにそれらを直接比較し得る。第1のクライアント情報がクライアントユーザ名を含み、第2のクライアント情報がクライアントユーザ名とクライアント公開鍵とを含んだ場合、認証サーバ140−eのクライアントデバイスオーセンティケータ520は、受信されたクライアントユーザ名がリンクされるかどうかを決定するためにそれらを直接比較し得る。第1のクライアント情報がクライアント認証トークンを含み、第2のクライアント情報がクライアント公開鍵を含んだ場合、認証サーバ140−eのクライアントデバイスオーセンティケータ520は、クライアントデバイス115−eのクライアント情報生成器230によって使用されるのと同じ導出方法を使用して、受信されたクライアント公開鍵からトークンを導出し得る。認証サーバ140−eのクライアントデバイスオーセンティケータ520は、次いで、導出されたトークンが、第1のクライアント情報中で受信されたクライアント認証トークンに一致するかどうかを決定し得る。第1のクライアント情報がクライアント公開鍵を含み、第2のクライアント情報がクライアントIDを含んだ場合、認証サーバ140−eのクライアントデバイスオーセンティケータ520は、クライアントデバイス115−eのクライアント情報生成器230によって使用されるのと同じ導出方法を使用して、受信されたクライアント公開鍵からIDを導出し得る。認証サーバ140−eのクライアントデバイスオーセンティケータ520は、次いで、導出されたIDが、第2のクライアント情報中で受信されたクライアントIDに一致するかどうかを決定し得る。
[0108]第1のクライアント情報と第2のクライアント情報との間にリンクが存在すると認証サーバ140−eのクライアントデバイスオーセンティケータ520が決定した後、認証サーバ140−eのネットワークオーセンティケータ525は、第1のクライアント情報または第2のクライアント情報のいずれか中で受信されたクライアント公開鍵を使用して、認証証明を暗号化し得る。代替的に、認証サーバ140−eのネットワークオーセンティケータ525は、たとえば、ディフィーへルマン鍵交換を使用してクライアントデバイス115−eと交換された共有秘密鍵を使用して、認証証明を暗号化し得る。共有秘密鍵は、クライアント公開鍵に部分的に基づいて確立され得る。認証証明は、アクセスポイント105−eとの認証プロシージャを完了するのに必要な証明をクライアントデバイス115−eに与え得る。たとえば、認証証明はWPA2 ENCであり得る。暗号化された認証証明は、認証サーバ140−eの認証サーバネットワークインターフェース505を介してアクセスポイント105−eに送信され得、750と示される。
[0109]アクセスポイント105−eのネットワーク受信機425は、暗号化された認証証明を受信し得る。アクセスポイント105−eは、次いで、暗号化された認証証明を、アクセスポイント105−eのワイヤレス送信機430を介してクライアントデバイス115−eに送信し得、755と示される。クライアントデバイス115−eは、クライアントデバイス115−eのワイヤレス受信機220を介して、暗号化された認証証明を受信し得る。
[0110]暗号化された認証証明を受信した後、クライアントデバイス115−eは、クライアント公開鍵に対応するクライアント秘密鍵を使用して、暗号化された認証証明を解読し得る。代替的に、クライアントデバイス115−eは、認証サーバ140−eと交換された共有秘密鍵を使用して、暗号化された認証証明を解読し得る。クライアントデバイス115−eのサーバオーセンティケータ235は、認証サーバ140−eのクライアントデバイスオーセンティケータ520がサーバ認証トークンを導出するために使用した同じ導出方法を使用して、解読された認証証明からトークンを導出し得る。クライアントデバイス115−eは、次いで、導出されたトークンを表示して、ユーザが、導出されたトークンが、信頼済みデバイス125−eによって表示されたサーバ認証トークンに一致するかどうかを手動で検証し得、760と示される。導出されたトークンがサーバ認証トークンに一致することは、受信された認証証明が、信頼済みデバイス125−eから第1のクライアント情報を受信した認証サーバ140−eからのものであることをユーザに対して検証し得る。
[0111]受信された認証証明を解読し、検証した後、クライアントデバイス115−eのネットワークオーセンティケータ240は、アクセスポイント105−eのネットワークオーセンティケータ410および認証サーバ140−eのネットワークオーセンティケータ525との認証プロシージャを完了するために、解読された認証証明を使用し得、770と示される。認証プロシージャはIEEE802.1X EAP認証プロシージャであり得る。
[0112]認証プロシージャを完了した後、クライアントデバイス115−eは、セキュアワイヤレス接続を用いてアクセスポイント105−eに接続し得、780と示される。セキュアワイヤレス接続はWPA2エンタープライズプロトコル接続であり得る。
[0113]図8は、クライアントデバイス115−fと、信頼済みデバイス125−fと、アクセスポイント105−fと、認証サーバ140−fとの間の通信の一例を示すメッセージフロー図800である。クライアントデバイス115−fは、図1、図2A、図2B、および/または図2Cを参照しながら説明したクライアントデバイス115の一例であり得る。信頼済みデバイス125−fは、図1、図3A、図3B、および/または図3Cを参照しながら説明した信頼済みデバイス125の一例であり得る。アクセスポイント105−fは、図1、図4A、図4B、および/または図4Cを参照しながら説明したアクセスポイント105の一例であり得る。認証サーバ140−fは、図1および/または図5を参照しながら説明した認証サーバ140の一例であり得る。
[0114]一構成では、クライアントデバイス115−fは、第1のクライアント情報を信頼済みデバイス125−fに出力するようにトリガされ得、図8中の805と示される。第1のクライアント情報は、クライアント公開鍵、クライアントユーザ名、および/またはクライアント認証トークンを含み得る。クライアント認証トークンは、クライアント公開鍵のハッシュを計算することなどによって、クライアント公開鍵から導出された文字列であり得る。クライアント認証トークンは、クライアントデバイス115−fのクライアント情報生成器230によって導出され得る。第1のクライアント情報は、たとえば、クライアントデバイス115−fのディスプレイ上にテキストとして第1のクライアント情報を表示すること、クライアントデバイス115−fのディスプレイ上にQRコードとして第1のクライアント情報を表示すること、あるいは、NFCまたはBluetoothなど、帯域外ワイヤレス信号を介してクライアントデバイス115−fから第1のクライアント情報を送信することによって、クライアントデバイス115−fのセキュアインターフェース出力250を介して出力され得る。クライアントデバイス115−fが第1のクライアント情報を出力した後、第1のクライアント情報は、信頼済みデバイス125−fのセキュアインターフェース135に入力され得る。第1のクライアント情報は、たとえば、クライアントデバイス115−f上に表示されたテキストをテキスト入力インターフェースにタイピングすること、クライアントデバイス115−f上に表示されたQRコードをQRコードリーダーで走査すること、あるいは、NFC入力またはBluetooth入力など、帯域外ワイヤレス入力上で帯域外ワイヤレス信号を受信することによって、信頼済みデバイス125−fのセキュアインターフェース入力320に入力され得る。
[0115]第1のクライアント情報が信頼済みデバイス125−fのセキュアインターフェース135に入力された後、信頼済みデバイス125−fは、直接的または間接的のいずれかで、第1のクライアント情報を認証サーバ140−fに送信し得、810と示される。第1のクライアント情報は、信頼済みデバイス125−fのネットワーク出力325を介して認証サーバ140−fに送信され得る。送信はワイヤードまたはワイヤレス送信であり得、送信は、ルータおよび/またはアクセスポイント105−fなどのアクセスポイントを通してルーティングされ得る。認証サーバ140−fは、認証サーバネットワークインターフェース505を介して第1のクライアント情報を受信し得、受信された第1のクライアント情報を認証サーバメモリ510に記憶し得る。
[0116]第1のクライアント情報を受信した後、認証サーバ140−fは、サーバ認証トークンを信頼済みデバイス125−fに送信し得、815と示される。サーバ認証トークンは、認証サーバ140−fの認証サーバネットワークインターフェース505を介して信頼済みデバイス125−fに送信され得る。サーバ認証トークンは、信頼済みデバイス125−fのネットワーク入力315によって受信され得る。送信はワイヤードまたはワイヤレス送信であり得、送信は、ルータおよび/またはアクセスポイント105−fなどのアクセスポイントを通してルーティングされ得る。サーバ認証トークンは、たとえば、認証証明のハッシュを計算することによって、認証サーバ140−fの認証証明から導出された文字列であり得る。サーバ認証トークンは、認証サーバ140−fのクライアントデバイスオーセンティケータ520によって導出され得る。
[0117]信頼済みデバイス125−fがサーバ認証トークンを受信した後、信頼済みデバイス125−fは、サーバ認証トークンをクライアントデバイス115−fに出力し得、820と示される。サーバ認証トークンは、たとえば、信頼済みデバイス125−fのディスプレイ上にテキストとしてサーバ認証トークンを表示すること、信頼済みデバイス125−fのディスプレイ上にQRコードとしてサーバ認証トークンを表示すること、あるいは、NFCまたはBluetoothなど、帯域外ワイヤレス信号を介して信頼済みデバイス125−fからサーバ認証トークンを送信することによって、信頼済みデバイス125−fのセキュアインターフェース出力330を介して出力され得る。信頼済みデバイス125−fがサーバ認証トークンを出力した後、サーバ認証トークンはクライアントデバイス115−fに入力され得る。サーバ認証トークンは、たとえば、信頼済みデバイス125−f上に表示されたテキストをテキスト入力インターフェースにタイピングすること、信頼済みデバイス125−f上に表示されたQRコードをQRコードリーダーで走査すること、あるいは、NFC入力またはBluetooth入力など、帯域外ワイヤレス入力上で帯域外ワイヤレス信号を受信することによって、クライアントデバイス115−fのセキュアインターフェース入力225に入力され得る。クライアントデバイス115−fは、サーバ認証トークンをクライアントデバイスメモリ260に記憶し得る。
[0118]クライアントデバイス115−fが第1のクライアント情報を出力するようにトリガされたとき、クライアントデバイス115−fはまた、アクセスポイント105−fにプローブ要求を送るようにトリガされ得、825と示される。プローブ要求は、クライアントデバイス115−fのワイヤレス送信機245によって送信され、アクセスポイント105−fのワイヤレス受信機420によって受信され得る。アクセスポイント105−fはプローブ要求にプローブ応答で応答し得、830と示される。プローブ応答は、アクセスポイント105−fのワイヤレス送信機430によって送信され、クライアントデバイス115−fのワイヤレス受信機220によって受信され得る。
[0119]アクセスポイント105−fからプローブ応答を受信した後、クライアントデバイス115−fは、アクセスポイント105−fに第2のクライアント情報を送信し得、835と示される。第2のクライアント情報は、クライアントデバイス115−fのワイヤレス送信機245によって送信され、アクセスポイント105−fのワイヤレス受信機420によって受信され得る。第2のクライアント情報は、クライアント公開鍵、クライアントユーザ名、および/またはクライアント識別情報(ID)を含み得る。クライアントIDは、クライアント公開鍵のハッシュを計算することなどによって、クライアント公開鍵から導出された値であり得る。クライアントIDは、クライアントデバイス115−fのクライアント情報生成器230によって導出され得る。
[0120]第2のクライアント情報を受信した後、アクセスポイント105−fは、第2のクライアント情報を認証サーバ140−fに送信し得、840と示される。第2のクライアント情報は、アクセスポイント105−fのネットワーク送信機435によって送信され、認証サーバ140−fの認証サーバネットワークインターフェース505によって受信され得る。認証サーバ140−fは、受信された第2のクライアント情報を認証サーバメモリ510に記憶し得る。
[0121]第2のクライアント情報を受信した後、認証サーバ140−fのクライアントデバイスオーセンティケータ520は、第1のクライアント情報と第2のクライアント情報とがリンクされるかどうかを決定するためにそれらを比較し得、845と示される。第1のクライアント情報がクライアント公開鍵を含み、第2のクライアント情報もクライアント公開鍵を含んだ場合、認証サーバ140−fのクライアントデバイスオーセンティケータ520は、受信されたクライアント公開鍵がリンクされるかどうかを決定するためにそれらを直接比較し得る。第1のクライアント情報がクライアント公開鍵とクライアントユーザ名とを含み、第2のクライアント情報がクライアントユーザ名を含んだ場合、認証サーバ140−fのクライアントデバイスオーセンティケータ520は、受信されたクライアントユーザ名がリンクされるかどうかを決定するためにそれらを直接比較し得る。第1のクライアント情報がクライアントユーザ名を含み、第2のクライアント情報がクライアントユーザ名とクライアント公開鍵とを含んだ場合、認証サーバ140−fのクライアントデバイスオーセンティケータ520は、受信されたクライアントユーザ名がリンクされるかどうかを決定するためにそれらを直接比較し得る。第1のクライアント情報がクライアント認証トークンを含み、第2のクライアント情報がクライアント公開鍵を含んだ場合、認証サーバ140−fのクライアントデバイスオーセンティケータ520は、クライアントデバイス115−fのクライアント情報生成器230によって使用されるのと同じ導出方法を使用して、受信されたクライアント公開鍵からトークンを導出し得る。認証サーバ140−fのクライアントデバイスオーセンティケータ520は、次いで、導出されたトークンが、第1のクライアント情報中で受信されたクライアント認証トークンに一致するかどうかを決定し得る。第1のクライアント情報がクライアント公開鍵を含み、第2のクライアント情報がクライアントIDを含んだ場合、認証サーバ140−fのクライアントデバイスオーセンティケータ520は、クライアントデバイス115−fのクライアント情報生成器230によって使用されるのと同じ導出方法を使用して、受信されたクライアント公開鍵からIDを導出し得る。認証サーバ140−fのクライアントデバイスオーセンティケータ520は、次いで、導出されたIDが、第2のクライアント情報中で受信されたクライアントIDに一致するかどうかを決定し得る。
[0122]第1のクライアント情報と第2のクライアント情報との間にリンクが存在すると認証サーバ140−fのクライアントデバイスオーセンティケータ520が決定した後、認証サーバ140−fのネットワークオーセンティケータ525は、第1のクライアント情報または第2のクライアント情報のいずれか中で受信されたクライアント公開鍵を使用して、認証証明を暗号化し得る。代替的に、認証サーバ140−fのネットワークオーセンティケータ525は、クライアントデバイス115−fと交換された共有秘密鍵を使用して、認証証明を暗号化し得る。共有秘密鍵は、クライアント公開鍵に部分的に基づいて確立され得る。認証証明は、アクセスポイント105−fとの認証プロシージャを完了するのに必要な証明をクライアントデバイス115−fに与え得る。たとえば、認証証明はWPA2 ENCであり得る。暗号化された認証証明は、認証サーバ140−fの認証サーバネットワークインターフェース505を介してアクセスポイント105−fに送信され得、850と示される。
[0123]アクセスポイント105−fのネットワーク受信機425は、暗号化された認証証明を受信し得る。アクセスポイント105−fは、次いで、暗号化された認証証明を、アクセスポイント105−fのワイヤレス送信機430を介してクライアントデバイス115−fに送信し得、855と示される。クライアントデバイス115−fは、クライアントデバイス115−fのワイヤレス受信機220を介して、暗号化された認証証明を受信し得る。
[0124]暗号化された認証証明を受信した後、クライアントデバイス115−fは、クライアント公開鍵に対応するクライアント秘密鍵を使用して、暗号化された認証証明を解読し得る。代替的に、クライアントデバイス115−fは、認証サーバ140−fと交換された共有秘密鍵を使用して、暗号化された認証証明を解読し得る。クライアントデバイス115−fのサーバオーセンティケータ235は、認証サーバ140−fのクライアントデバイスオーセンティケータ520がサーバ認証トークンを導出するために使用した同じ導出方法を使用して、解読された認証証明からトークンを導出し得る。クライアントデバイス115−fのサーバオーセンティケータ235は、次いで、導出されたトークンが、信頼済みデバイス125−fのセキュアインターフェース135によって出力されたサーバ認証トークンに一致するかどうかを検証し得、860と示される。導出されたトークンがサーバ認証トークンに一致することは、受信された認証証明が、信頼済みデバイス125−fから第1のクライアント情報を受信した認証サーバ140−fからのものであることをクライアントデバイス115−fに対して検証し得る。
[0125]受信された認証証明を解読し、検証した後、クライアントデバイス115−fのネットワークオーセンティケータ240は、アクセスポイント105−fのネットワークオーセンティケータ410および認証サーバ140−fのネットワークオーセンティケータ525との認証プロシージャを完了するために、解読された認証証明を使用し得、870と示される。認証プロシージャはIEEE802.1X EAP認証プロシージャであり得る。
[0126]認証プロシージャを完了した後、クライアントデバイス115−fは、セキュアワイヤレス接続を用いてアクセスポイント105−fに接続し得、880と示される。セキュアワイヤレス接続はWPA2エンタープライズプロトコル接続であり得る。
[0127]いくつかの実施形態では、信頼済みデバイス125は一時的アクセスポイントとして働き得る。これらの実施形態では、図1、図3A、図3B、図3C、図4A、図4B、図4C、図6、図7、および/または図8を参照しながら説明した信頼済みデバイス125とアクセスポイント105とは同じデバイスであり得る。これらの実施形態では、アクセスポイント105へのおよびからの送信は信頼済みデバイス125へのおよびからの送信であり得る。
[0128]図9は、アクセスポイント105にセキュアに接続するためにクライアントデバイス115によって実行される方法900の一実施形態を示すフローチャートである。明快のために、方法900について、図6に示されているメッセージフロー図600に関して、ならびに/あるいは図1、図2A、図2B、図2C、および/または図6を参照しながら説明したクライアントデバイス115のうちの1つに関して以下で説明する。一実装形態では、図2Cを参照しながら説明したクライアントデバイスプロセッサ255は、以下で説明する機能を実行するためにクライアントデバイス115の機能要素を制御するためのコードのセットを実行し得る。
[0129]一実施形態では、ブロック905において、クライアントデバイス115は、第1のクライアント情報を、セキュアインターフェースを介して信頼済みデバイス125に出力する。セキュアインターフェースは、第1のクライアント情報のテキストを表示することと、第1のクライアント情報のQRコードを表示することと、帯域外ワイヤレスチャネルを介して第1のクライアント情報を送信することとのうちの少なくとも1つを含み得る。第1のクライアント情報は、クライアント公開鍵、クライアントユーザ名、および/またはクライアント公開鍵から導出されたクライアント認証トークンを含み得る。ブロック910において、クライアントデバイス115は、アクセスポイント105にプローブ要求を送信する。ブロック915において、クライアントデバイス115は、アクセスポイント105からプローブ応答を受信する。ブロック920において、クライアントデバイス115は、アクセスポイント105に第2のクライアント情報を送信する。第2のクライアント情報は、クライアント公開鍵、クライアントユーザ名、および/またはクライアント公開鍵から導出されたクライアントIDを含み得る。ブロック925において、クライアントデバイス115は、アクセスポイント105から、暗号化された認証証明を受信する。ブロック930において、クライアントデバイス115は、クライアント公開鍵に対応するクライアント秘密鍵を使用して、暗号化された認証証明を解読する。代替的に、クライアントデバイス115は、たとえば、ディフィーへルマン鍵交換を使用して認証サーバ140と交換された共有秘密鍵を使用して、暗号化された認証証明を解読し得る。ブロック935において、クライアントデバイス115は、解読された認証証明を使用して、認証サーバ140およびアクセスポイント105との認証プロシージャを完了する。認証プロシージャはIEEE802.1X EAP認証プロシージャであり得る。ブロック940において、クライアントデバイス115は、セキュアワイヤレス接続を用いてアクセスポイント105に接続する。セキュアワイヤレス接続はWPA2エンタープライズ接続であり得る。
[0130]図10は、クライアントデバイス115をセキュアに認証するために信頼済みデバイス125によって実行される方法1000の一実施形態を示すフローチャートである。方法1000について、図6に示されているメッセージフロー図600に関して、ならびに/あるいは図1、図3A、図3B、図3C、および/または図6を参照しながら説明した信頼済みデバイス125のうちの1つに関して以下で説明する。一実装形態では、図3Cを参照しながら説明した信頼済みデバイスプロセッサ335は、以下で説明する機能を実行するために信頼済みデバイス125の機能要素を制御するためのコードのセットを実行し得る。
[0131]一実施形態では、ブロック1005において、信頼済みデバイス125は、セキュアインターフェースを介してクライアントデバイス115から第1のクライアント情報を受信する。セキュアインターフェースは、第1のクライアント情報を手動で入力することと、第1のクライアント情報のQRコードを走査することと、帯域外ワイヤレスチャネルを介して第1のクライアント情報を受信することとのうちの少なくとも1つを含み得る。ブロック1010において、信頼済みデバイス125は、第1のクライアント情報を認証サーバ140に送信する。
[0132]図11は、クライアントデバイス115にセキュアに接続するためにアクセスポイント105によって実行される方法1100の一実施形態を示すフローチャートである。方法1100について、図6に示されているメッセージフロー図600に関して、ならびに/あるいは図1、図4A、図4B、図4C、および/または図6を参照しながら説明したアクセスポイント105のうちの1つに関して以下で説明する。一実装形態では、図4Cを参照しながら説明したアクセスポイントプロセッサ455は、以下で説明する機能を実行するためにアクセスポイント105の機能要素を制御するためのコードのセットを実行し得る。
[0133]一実施形態では、ブロック1105において、アクセスポイント105は、クライアントデバイス115からプローブ要求を受信する。ブロック1110において、アクセスポイント105は、クライアントデバイス115にプローブ応答を送信する。ブロック1115において、アクセスポイント105は、クライアントデバイス115から第2のクライアント情報を受信する。ブロック1120において、アクセスポイント105は、第2のクライアント情報を認証サーバ140に送信する。ブロック1125において、アクセスポイント105は、認証サーバ140から、暗号化された認証証明を受信する。ブロック1130において、アクセスポイント105は、暗号化された認証証明をクライアントデバイス115に送信する。ブロック1135において、アクセスポイントは、クライアントデバイス115および認証サーバ140との認証プロシージャを完了する。認証プロシージャはIEEE802.1X EAP認証プロシージャであり得る。ブロック1140において、アクセスポイント105は、セキュアワイヤレス接続を用いてクライアントデバイス115に接続する。セキュアワイヤレス接続はWPA2エンタープライズ接続であり得る。
[0134]図12は、クライアントデバイス115を認証するために認証サーバ140によって実行される方法1200の一実施形態を示すフローチャートである。方法1200について、図6に示されているメッセージフロー図600に関して、ならびに/あるいは図1、図5、および/または図6を参照しながら説明した認証サーバ140のうちの1つに関して以下で説明する。一実装形態では、図5を参照しながら説明した認証サーバプロセッサ515は、以下で説明する機能を実行するために認証サーバ140の機能要素を制御するためのコードのセットを実行し得る。
[0135]一実施形態では、ブロック1205において、認証サーバ140は、信頼済みデバイス125から第1のクライアント情報を受信する。ブロック1210において、認証サーバ140は、アクセスポイント105から第2のクライアント情報を受信する。ブロック1215において、認証サーバ140は、第1のクライアント情報と第2のクライアント情報とをリンクする。ブロック1220において、認証サーバ140は、第1のクライアント情報または第2のクライアント情報から取り出されたクライアント公開鍵を使用して、認証証明を暗号化する。代替的に、認証サーバ140は、クライアントデバイス115と交換された共有秘密鍵を使用して、認証証明を暗号化し得る。共有秘密鍵は、クライアント公開鍵に部分的に基づいて確立され得る。認証証明はWPA2 ENCであり得る。ブロック1225において、認証サーバ140は、暗号化された認証証明をアクセスポイント105に送信する。ブロック1230において、認証サーバ140は、クライアントデバイス115およびアクセスポイント105との認証プロシージャを完了する。認証プロシージャはIEEE802.1X EAP認証プロシージャであり得る。
[0136]図13は、アクセスポイント105にセキュアに接続するためにクライアントデバイス115によって実行される方法1300の代替実施形態を示すフローチャートである。方法1300について、図7に示されているメッセージフロー図700に関して、ならびに/あるいは図1、図2A、図2B、図2C、および/または図7を参照しながら説明したクライアントデバイス115のうちの1つに関して以下で説明する。一実装形態では、図2Cを参照しながら説明したクライアントデバイスプロセッサ255は、以下で説明する機能を実行するためにクライアントデバイス115の機能要素を制御するためのコードのセットを実行し得る。
[0137]一実施形態では、ブロック1305において、クライアントデバイス115は、第1のクライアント情報を、セキュアインターフェースを介して信頼済みデバイス125に出力する。セキュアインターフェースは、第1のクライアント情報のテキストを表示することと、第1のクライアント情報のQRコードを表示することと、帯域外ワイヤレスチャネルを介して第1のクライアント情報を送信することとのうちの少なくとも1つを含み得る。第1のクライアント情報は、クライアント公開鍵、クライアントユーザ名、および/またはクライアント公開鍵から導出されたクライアント認証トークンを含み得る。ブロック1310において、クライアントデバイス115は、アクセスポイント105にプローブ要求を送信する。ブロック1315において、クライアントデバイス115は、アクセスポイント105からプローブ応答を受信する。ブロック1320において、クライアントデバイス115は、アクセスポイント105に第2のクライアント情報を送信する。第2のクライアント情報は、クライアント公開鍵、クライアントユーザ名、および/またはクライアント公開鍵から導出されたクライアントIDを含み得る。ブロック1325において、クライアントデバイス115は、アクセスポイント105から、暗号化された認証証明を受信する。ブロック1330において、クライアントデバイス115は、クライアント公開鍵に対応するクライアント秘密鍵を使用して、暗号化された認証証明を解読する。代替的に、クライアントデバイス115は、認証サーバ140と交換された共有秘密鍵を使用して、暗号化された認証証明を解読し得る。ブロック1335において、クライアントデバイス115は、解読された認証証明からトークンを導出し、導出されたトークンを表示する。ブロック1340において、クライアントデバイス115のユーザは、導出されたトークンが、信頼済みデバイス125上に表示されたサーバ認証トークンに一致することを検証する。導出されたトークンがサーバ認証トークンに一致することは、解読された認証証明が、信頼済みデバイス125から第1のクライアント情報を受信した認証サーバ140からのものであることをユーザに対して検証し得る。ブロック1345において、クライアントデバイス115は、解読された認証証明を使用して、認証サーバ140およびアクセスポイント105との認証プロシージャを完了する。認証プロシージャはIEEE802.1X EAP認証プロシージャであり得る。ブロック1350において、クライアントデバイス115は、セキュアワイヤレス接続を用いてアクセスポイント105に接続する。セキュアワイヤレス接続はWPA2エンタープライズ接続であり得る。
[0138]図14は、クライアントデバイス115をセキュアに認証するために信頼済みデバイス125によって実行される方法1400の代替実施形態を示すフローチャートである。方法1400について、図7に示されているメッセージフロー図700に関して、ならびに/あるいは図1、図3A、図3B、図3C、および/または図7を参照しながら説明した信頼済みデバイス125のうちの1つに関して以下で説明する。一実装形態では、図3Cを参照しながら説明した信頼済みデバイスプロセッサ335は、以下で説明する機能を実行するために信頼済みデバイス125の機能要素を制御するためのコードのセットを実行し得る。
[0139]一実施形態では、ブロック1405において、信頼済みデバイス125は、セキュアインターフェースを介してクライアントデバイス115から第1のクライアント情報を受信する。セキュアインターフェースは、第1のクライアント情報を手動で入力することと、第1のクライアント情報のQRコードを走査することと、帯域外ワイヤレスチャネルを介して第1のクライアント情報を受信することとのうちの少なくとも1つを含み得る。ブロック1410において、信頼済みデバイス125は、第1のクライアント情報を認証サーバ140に送信する。ブロック1415において、信頼済みデバイス125は、認証サーバ140からサーバ認証トークンを受信する。ブロック1420において、信頼済みデバイス125は、ユーザが検証するために、サーバ認証トークンを表示する。
[0140]図15は、クライアントデバイス115を認証するために認証サーバ140によって実行される方法1500の代替実施形態を示すフローチャートである。方法1500について、図7に示されているメッセージフロー図700と図8に示されているメッセージフロー図800とに関して、ならびに/あるいは図1、図5、図7、および/または図8を参照しながら説明した認証サーバ140のうちの1つに関して以下で説明する。一実装形態では、図5を参照しながら説明した認証サーバプロセッサ515は、以下で説明する機能を実行するために認証サーバ140の機能要素を制御するためのコードのセットを実行し得る。
[0141]一実施形態では、ブロック1505において、認証サーバ140は、信頼済みデバイス125から第1のクライアント情報を受信する。ブロック1510において、認証サーバ140は、サーバ認証トークンを信頼済みデバイス125に送信する。サーバ認証トークンは認証サーバ140の認証証明から導出され得る。ブロック1515において、認証サーバ140は、アクセスポイント105から第2のクライアント情報を受信する。ブロック1520において、認証サーバ140は、第1のクライアント情報と第2のクライアント情報とをリンクする。ブロック1525において、認証サーバ140は、第1のクライアント情報または第2のクライアント情報から取り出されたクライアント公開鍵を使用して、認証証明を暗号化する。代替的に、認証サーバ140は、クライアントデバイス115と交換された共有秘密鍵を使用して、認証証明を暗号化し得る。共有秘密鍵は、クライアント公開鍵に部分的に基づいて確立され得る。認証証明はWPA2 ENCであり得る。ブロック1530において、認証サーバ140は、暗号化された認証証明をアクセスポイント105に送信する。ブロック1535において、認証サーバ140は、クライアントデバイス115およびアクセスポイント105との認証プロシージャを完了する。認証プロシージャはIEEE802.1X EAP認証プロシージャであり得る。
[0142]図16は、アクセスポイント105にセキュアに接続するためにクライアントデバイス115によって実行される方法1600の代替実施形態を示すフローチャートである。方法1600について、図8に示されているメッセージフロー図800に関して、ならびに/あるいは図1、図2A、図2B、図2C、および/または図8を参照しながら説明したクライアントデバイス115のうちの1つに関して以下で説明する。一実装形態では、図2Cを参照しながら説明したクライアントデバイスプロセッサ255は、以下で説明する機能を実行するためにクライアントデバイス115の機能要素を制御するためのコードのセットを実行し得る。
[0143]一実施形態では、ブロック1605において、クライアントデバイス115は、第1のクライアント情報を、セキュアインターフェースを介して信頼済みデバイス125に出力する。セキュアインターフェースは、第1のクライアント情報のテキストを表示することと、第1のクライアント情報のQRコードを表示することと、帯域外ワイヤレスチャネルを介して第1のクライアント情報を送信することとのうちの少なくとも1つを含み得る。第1のクライアント情報は、クライアント公開鍵、クライアントユーザ名、および/またはクライアント公開鍵から導出されたクライアント認証トークンを含み得る。ブロック1610において、クライアントデバイス115は、信頼済みデバイス125からサーバ認証トークンを受信する。ブロック1615において、クライアントデバイス115は、アクセスポイント105にプローブ要求を送信する。ブロック1620において、クライアントデバイス115は、アクセスポイント105からプローブ応答を受信する。ブロック1625において、クライアントデバイス115は、アクセスポイント105に第2のクライアント情報を送信する。第2のクライアント情報は、クライアント公開鍵、クライアントユーザ名、および/またはクライアント公開鍵から導出されたクライアントIDを含み得る。ブロック1630において、クライアントデバイス115は、アクセスポイント105から、暗号化された認証証明を受信する。ブロック1635において、クライアントデバイス115は、クライアント公開鍵に対応するクライアント秘密鍵を使用して、暗号化された認証証明を解読する。代替的に、クライアントデバイス115は、認証サーバ140と交換された共有秘密鍵を使用して、暗号化された認証証明を解読し得る。ブロック1640において、クライアントデバイス115は、解読された認証証明からトークンを導出する。ブロック1645において、クライアントデバイス115は、導出されたトークンが、信頼済みデバイス125から受信されたサーバ認証トークンに一致することを検証する。導出されたトークンがサーバ認証トークンに一致することは、解読された認証証明が、信頼済みデバイス125から第1のクライアント情報を受信した認証サーバ140からのものであることをクライアントデバイス115に対して検証し得る。ブロック1650において、クライアントデバイス115は、解読された認証証明を使用して、認証サーバ140およびアクセスポイント105との認証プロシージャを完了する。認証プロシージャはIEEE802.1X EAP認証プロシージャであり得る。ブロック1655において、クライアントデバイス115は、セキュアワイヤレス接続を用いてアクセスポイント105に接続する。セキュアワイヤレス接続はWPA2エンタープライズ接続であり得る。
[0144]図17は、クライアントデバイス115をセキュアに認証するために信頼済みデバイス125によって実行される方法1700の代替実施形態を示すフローチャートである。方法1700について、図8に示されているメッセージフロー図800に関して、ならびに/あるいは図1、図3A、図3B、図3C、および/または図8を参照しながら説明した信頼済みデバイス125のうちの1つに関して以下で説明する。一実装形態では、図3Cを参照しながら説明した信頼済みデバイスプロセッサ335は、以下で説明する機能を実行するために信頼済みデバイス125の機能要素を制御するためのコードのセットを実行し得る。
[0145]一実施形態では、ブロック1705において、信頼済みデバイス125は、セキュアインターフェースを介してクライアントデバイス115から第1のクライアント情報を受信する。セキュアインターフェースは、第1のクライアント情報を手動で入力することと、第1のクライアント情報のQRコードを走査することと、帯域外ワイヤレスチャネルを介して第1のクライアント情報を受信することとのうちの少なくとも1つを含み得る。ブロック1710において、信頼済みデバイス125は、第1のクライアント情報を認証サーバ140に送信する。ブロック1715において、信頼済みデバイス125は、認証サーバ140からサーバ認証トークンを受信する。ブロック1720において、信頼済みデバイス125は、クライアントデバイスが認証サーバ140の真正性を検証するために、サーバ認証トークンをクライアントデバイス115に送信する。
[0146]図18は、認証証明を用いてクライアントデバイス115をセキュアにプロビジョニングするための方法1800の一実施形態を示すフローチャートである。明快のために、方法1800について、図9、図10、図11、および図12に示されているフローチャートに関して、ならびに/あるいは図1、図2A、図2B、図2C、図3A、図3B、図3C、図4A、図4B、図4C、図5、および/または図6を参照しながら説明したデバイスに関して以下で説明する。一実装形態では、図2Cを参照しながら説明したクライアントデバイスプロセッサ255は、以下で説明する機能を実行するためにクライアントデバイス115の機能要素を制御するためのコードのセットを実行し得る。
[0147]一実施形態では、ブロック1805において、クライアントデバイス115は、認証サーバ140に送信されるべき第1のクライアント情報を、セキュアインターフェースを介して信頼済みデバイス125に出力する。セキュアインターフェースは、第1のクライアント情報のテキストを表示することと、第1のクライアント情報のQRコードを表示することと、帯域外ワイヤレスチャネルを介して第1のクライアント情報を送信することとのうちの少なくとも1つを含み得る。第1のクライアント情報は、クライアント公開鍵、クライアントユーザ名、および/またはクライアント公開鍵から導出されたクライアント認証トークンを含み得る。ブロック1810において、クライアントデバイス115は、第1のクライアント情報に関係する第2のクライアント情報を認証サーバ140に送信し、第2のクライアント情報は、認証サーバ140によって第1のクライアント情報にリンクされ得る。第2のクライアント情報は、クライアント公開鍵、クライアントユーザ名、および/またはクライアント公開鍵から導出されたクライアントIDを含み得る。ブロック1815において、クライアントデバイス115は、認証サーバ140から、暗号化された認証証明を受信し、認証証明は、第1のクライアント情報または第2のクライアント情報に少なくとも部分的に基づいて暗号化され得る。ブロック1820において、クライアントデバイス115は、第1のクライアント情報または第2のクライアント情報を使用して、暗号化された認証証明を解読する。クライアントデバイス115は、次いで、解読された認証証明を使用して、認証サーバ140およびアクセスポイント105との認証プロシージャを完了し、セキュアワイヤレス接続を用いてアクセスポイント105に接続し得る。認証プロシージャはIEEE802.1X EAP認証プロシージャであり得る。セキュアワイヤレス接続はWPA2エンタープライズ接続であり得る。
[0148]添付の図面に関して上記に記載した詳細な説明は、例示的な実施形態について説明しており、実装され得るまたは特許請求の範囲内に入る実施形態のみを表すものではない。この説明全体にわたって使用する「例示的」という用語は、「例、事例、または例示の働きをすること」を意味し、「好ましい」または「他の実施形態よりも有利な」を意味しない。詳細な説明は、説明する技法の理解を与えるための具体的な詳細を含む。ただし、これらの技法は、これらの具体的な詳細なしに実施され得る。いくつかの事例では、説明した実施形態の概念を不明瞭にすることを回避するために、よく知られている構造およびデバイスはブロック図の形式で示されている。
[0149]情報および信号は、多種多様な技術および技法のいずれかを使用して表され得る。たとえば、上記の説明全体にわたって言及され得るデータ、命令、コマンド、情報、信号、ビット、シンボル、およびチップは、電圧、電流、電磁波、磁界または磁性粒子、光場または光学粒子、あるいはそれらの任意の組合せによって表され得る。
[0150]本明細書の開示に関して説明した様々な例示的なブロックおよびモジュールは、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)または他のプログラマブル論理デバイス、個別ゲートまたはトランジスタ論理、個別ハードウェア構成要素、あるいは本明細書で説明した機能を実行するように設計されたそれらの任意の組合せを用いて実装または実行され得る。汎用プロセッサはマイクロプロセッサであり得るが、代替として、プロセッサは、任意の従来のプロセッサ、コントローラ、マイクロコントローラ、または状態機械であり得る。プロセッサはまた、コンピューティングデバイスの組合せ、たとえば、DSPとマイクロプロセッサとの組合せ、複数のマイクロプロセッサ、DSPコアと連携するマイクロプロセッサ、または任意の他のそのような構成として実装され得る。
[0151]本明細書で説明した機能は、ハードウェア、プロセッサによって実行されるソフトウェア、ファームウェア、またはそれらの組合せで実装され得る。プロセッサによって実行されるソフトウェアで実装される場合、機能は、命令またはコードとしてコンピュータ可読媒体上に記憶されるか、あるいはコンピュータ可読媒体を介して送信され得る。他の例および実装形態は、本開示の範囲内および添付の特許請求の範囲内に入る。たとえば、ソフトウェアの性質により、上記で説明した機能は、プロセッサ、ハードウェア、ファームウェア、ハードワイヤリング、またはこれらのうちのいずれかの組合せによって実行されるソフトウェアを使用して実装され得る。機能を実装する特徴はまた、異なる物理的ロケーションにおいて機能の部分が実装されるように分散されることを含めて、様々な位置に物理的に配置され得る。また、特許請求の範囲を含めて、本明細書で使用される場合、項目の列挙(たとえば、「のうちの少なくとも1つ」あるいは「のうちの1つまたは複数」などの句で終わる項目の列挙)中で使用される「または」は、たとえば、「A、B、またはCのうちの少なくとも1つ」の列挙が、AまたはBまたはCまたはABまたはACまたはBCまたはABC(すなわち、AおよびBおよびC)を意味するような選言的列挙を示す。
[0152]コンピュータ可読媒体は、ある場所から別の場所へのコンピュータプログラムの転送を可能にする任意の媒体を含む、コンピュータ記憶媒体と通信媒体の両方を含む。記憶媒体は、汎用または専用コンピュータによってアクセスされ得る任意の利用可能な媒体であり得る。限定ではなく例として、コンピュータ可読媒体は、RAM、ROM、EEPROM(登録商標)、CD−ROMまたは他の光ディスクストレージ、磁気ディスクストレージまたは他の磁気ストレージデバイス、あるいは命令またはデータ構造の形態の所望のプログラムコード手段を搬送または記憶するために使用され得、汎用もしくは専用コンピュータ、または汎用もしくは専用プロセッサによってアクセスされ得る、任意の他の媒体を備えることができる。また、いかなる接続もコンピュータ可読媒体と適切に呼ばれる。たとえば、ソフトウェアが、同軸ケーブル、光ファイバーケーブル、ツイストペア、デジタル加入者回線(DSL)、または赤外線、無線、およびマイクロ波などのワイヤレス技術を使用して、ウェブサイト、サーバ、または他のリモートソースから送信される場合、同軸ケーブル、光ファイバーケーブル、ツイストペア、DSL、または赤外線、無線、およびマイクロ波などのワイヤレス技術は、媒体の定義に含まれる。本明細書で使用するディスク(disk)およびディスク(disc)は、コンパクトディスク(disc)(CD)、レーザーディスク(登録商標)(disc)、光ディスク(disc)、デジタル多用途ディスク(disc)(DVD)、フロッピー(登録商標)ディスク(disk)およびblu−ray(登録商標)ディスク(disc)を含み、ここで、ディスク(disk)は、通常、データを磁気的に再生し、ディスク(disc)は、データをレーザーで光学的に再生する。上記の組合せもコンピュータ可読媒体の範囲内に含まれる。
[0153]本明細書で説明した技法は、CDMA、TDMA、FDMA、OFDMA、SC−FDMA、および他のシステムなどの様々なワイヤレス通信システムのために使用され得る。「システム」および「ネットワーク」という用語は、しばしば互換的に使用される。CDMAシステムは、CDMA2000、ユニバーサル地上波無線アクセス(UTRA:Universal Terrestrial Radio Access)などの無線技術を実装し得る。CDMA2000は、IS−2000、IS−95、およびIS−856規格をカバーする。IS−2000リリース0およびAは、一般に、CDMA2000 1X、1Xなどと呼ばれる。IS−856(TIA−856)は、一般に、CDMA2000 1xEV−DO、高速パケットデータ(HRPD:High Rate Packet Data)などと呼ばれる。UTRAは、広帯域CDMA(WCDMA(登録商標))およびCDMAの他の変形態を含む。TDMAシステムは、モバイル通信用グローバルシステム(GSM(登録商標):Global System for Mobile Communications)などの無線技術を実装し得る。OFDMAシステムは、ウルトラモバイルブロードバンド(UMB:Ultra Mobile Broadband)、発展型UTRA(E−UTRA:Evolved UTRA)、IEEE802.11(Wi−Fi)、IEEE802.16(WiMAX(登録商標))、IEEE802.20、Flash−OFDMなどの無線技術を実装し得る。UTRAおよびE−UTRAは、ユニバーサルモバイルテレコミュニケーションシステム(UMTS:Universal Mobile Telecommunication System)の一部である。3GPP(登録商標)ロングタームエボリューション(LTE(登録商標):Long Term Evolution)およびLTEアドバンスト(LTE−A:LTE-Advanced)は、E−UTRAを使用するUMTSの新しいリリースである。UTRA、E−UTRA、UMTS、LTE、LTE−AおよびGSMは、「第3世代パートナーシッププロジェクト」(3GPP:3rd Generation Partnership Project)と称する団体からの文書に記載されている。CDMA2000およびUMBは、「第3世代パートナーシッププロジェクト2」(3GPP2:3rd Generation Partnership Project 2)と称する団体からの文書に記載されている。本明細書で説明した技法は、上述のシステムおよび無線技術、ならびに他のシステムおよび無線技術のために使用され得る。
[0154]本開示についての以上の説明は、当業者が本開示を作成または使用することができるように与えられる。本開示への様々な変更は当業者には容易に明らかとなり、本明細書で定義した一般原理は、本開示の範囲から逸脱することなく他の変形形態に適用され得る。本開示全体にわたって、「例」または「例示的」という用語は、一例または一事例を示すものであり、言及した例についての選好を暗示せず、または必要としない。したがって、本開示は、本明細書で説明した例および設計に限定されるべきでなく、本明細書で開示した原理および新規の特徴に一致する最も広い範囲を与えられるべきである。
以下に本願の出願当初の特許請求の範囲に記載された発明を付記する。
[C1]
クライアントデバイスをセキュアにプロビジョニングするための方法であって、
認証サーバに送信されるべき第1のクライアント情報を、セキュアインターフェースを介して信頼済みデバイスに出力することと、
前記第1のクライアント情報に関係する第2のクライアント情報を前記認証サーバに送信することと、前記第2のクライアント情報が、前記認証サーバによって前記第1のクライアント情報にリンクされる、
前記認証サーバから、暗号化された認証証明を受信することと、前記暗号化された認証証明が、前記第1のクライアント情報または前記第2のクライアント情報に少なくとも部分的に基づいて暗号化される、
前記暗号化された認証証明を解読することと
を備える、方法。
[C2]
前記第1のクライアント情報がクライアント公開鍵を備え、前記第2のクライアント情報がクライアント識別情報を備え、前記クライアント識別情報が前記クライアント公開鍵から導出される、C1に記載の方法。
[C3]
前記暗号化された認証証明が、前記第1のクライアント情報中で送信された前記クライアント公開鍵に少なくとも部分的に基づいて暗号化され、前記暗号化された認証証明が、前記クライアント公開鍵に対応するクライアント秘密鍵に少なくとも部分的に基づいて解読される、C2に記載の方法。
[C4]
前記第1のクライアント情報がクライアント認証トークンを備え、前記第2のクライアント情報がクライアント公開鍵を備え、前記クライアント認証トークンが前記クライアント公開鍵から導出される、C1に記載の方法。
[C5]
前記暗号化された認証証明が、前記第2のクライアント情報中で送信された前記クライアント公開鍵に少なくとも部分的に基づいて暗号化され、前記暗号化された認証証明が、前記クライアント公開鍵に対応するクライアント秘密鍵に少なくとも部分的に基づいて解読される、C4に記載の方法。
[C6]
共有秘密鍵を前記認証サーバと交換することをさらに備え、ここにおいて、前記暗号化された認証証明が、前記共有秘密鍵に少なくとも部分的に基づいて解読される、C1に記載の方法。
[C7]
前記解読された認証証明を使用して認証プロシージャを完了することによって、前記認証サーバに関連付けられたアクセスポイントに接続することをさらに備える、C1に記載の方法。
[C8]
前記認証プロシージャが米国電気電子技術者協会(IEEE)802.1X拡張認証プロトコルを備え、前記アクセスポイントに接続することがWi−Fi(登録商標)保護アクセスII(WPA2)エンタープライズ接続を備える、C7に記載の方法。
[C9]
前記セキュアインターフェースが、前記第1のクライアント情報を手動で入力すること、前記第1のクライアント情報のクイックレスポンス(QR)コード(登録商標)を走査すること、帯域外ワイヤレスチャネルを介して前記第1のクライアント情報を送信すること、またはそれらの組合せのうちの少なくとも1つを含む、C1に記載の方法。
[C10]
前記信頼済みデバイスからサーバ認証トークンを受信することと、前記サーバ認証トークンが、前記認証サーバによって前記暗号化された認証証明から導出される、
前記受信されたサーバ認証トークンが、前記解読された認証証明から導出されたトークンに一致することを検証することと
をさらに備える、C1に記載の方法。
[C11]
クライアントデバイスをセキュアにプロビジョニングするための装置であって、
少なくとも1つのプロセッサと、
前記少なくとも1つのプロセッサと電子通信しているメモリと、
前記メモリに記憶された命令と
を備え、前記命令は、
認証サーバに送信されるべき第1のクライアント情報を、セキュアインターフェースを介して信頼済みデバイスに出力することと、
前記第1のクライアント情報に関係する第2のクライアント情報を前記認証サーバに送信することと、前記第2のクライアント情報が、前記認証サーバによって前記第1のクライアント情報にリンクされる、
前記認証サーバから、暗号化された認証証明を受信することと、前記暗号化された認証証明が、前記第1のクライアント情報または前記第2のクライアント情報に少なくとも部分的に基づいて暗号化される、
前記暗号化された認証証明を解読することと
を行うために前記少なくとも1つのプロセッサによって実行可能である、装置。
[C12]
前記第1のクライアント情報がクライアント公開鍵を備え、前記第2のクライアント情報がクライアント識別情報を備え、前記クライアント識別情報が前記クライアント公開鍵から導出され、前記暗号化された認証証明が、前記第1のクライアント情報中で送信された前記クライアント公開鍵に少なくとも部分的に基づいて暗号化され、前記暗号化された認証証明が、前記クライアント公開鍵に対応するクライアント秘密鍵に少なくとも部分的に基づいて解読される、C11に記載の装置。
[C13]
前記第1のクライアント情報がクライアント認証トークンを備え、前記第2のクライアント情報がクライアント公開鍵を備え、前記クライアント認証トークンが前記クライアント公開鍵から導出され、前記暗号化された認証証明が、前記第2のクライアント情報中で送信された前記クライアント公開鍵に少なくとも部分的に基づいて暗号化され、前記暗号化された認証証明が、前記クライアント公開鍵に対応するクライアント秘密鍵に少なくとも部分的に基づいて解読される、C11に記載の装置。
[C14]
前記少なくとも1つのプロセッサによって実行可能な前記命令が、
共有秘密鍵を前記認証サーバと交換するための命令をさらに備え、ここにおいて、前記暗号化された認証証明が、前記共有秘密鍵に少なくとも部分的に基づいて解読される、C11に記載の装置。
[C15]
前記少なくとも1つのプロセッサによって実行可能な前記命令が、
前記解読された認証証明を使用して認証プロシージャを完了することによって、前記認証サーバに関連付けられたアクセスポイントに接続するための命令をさらに備える、C11に記載の装置。
[C16]
前記認証プロシージャが米国電気電子技術者協会(IEEE)802.1X拡張認証プロトコルを備え、前記アクセスポイントに接続することがWi−Fi保護アクセスII(WPA2)エンタープライズ接続を備える、C15に記載の装置。
[C17]
前記セキュアインターフェースが、前記第1のクライアント情報を手動で入力することと、前記第1のクライアント情報のクイックレスポンス(QR)コードを走査することと、帯域外ワイヤレスチャネルを介して前記第1のクライアント情報を送信することとのうちの少なくとも1つを含む、C11に記載の装置。
[C18]
前記少なくとも1つのプロセッサによって実行可能な前記命令は、
前記信頼済みデバイスからサーバ認証トークンを受信することと、前記サーバ認証トークンが、前記認証サーバによって前記暗号化された認証証明から導出される、
前記受信されたサーバ認証トークンが、前記解読された認証証明から導出されたトークンに一致することを検証することと
を行うための命令をさらに備える、C11に記載の装置。
[C19]
クライアントデバイスをセキュアにプロビジョニングするための装置であって、
認証サーバに送信されるべき第1のクライアント情報を、セキュアインターフェースを介して信頼済みデバイスに出力するためのセキュアインターフェース出力と、
前記第1のクライアント情報に関係する第2のクライアント情報を前記認証サーバに送信するための送信機と、前記第2のクライアント情報が、前記認証サーバによって前記第1のクライアント情報にリンクされる、
前記認証サーバから、暗号化された認証証明を受信するための受信機と、前記暗号化された認証証明が、前記第1のクライアント情報または前記第2のクライアント情報に少なくとも部分的に基づいて暗号化される、
前記暗号化された認証証明を解読するためのオーセンティケータと
を備える、装置。
[C20]
前記第1のクライアント情報がクライアント公開鍵を備え、前記第2のクライアント情報がクライアント識別情報を備え、前記クライアント識別情報が前記クライアント公開鍵から導出され、前記暗号化された認証証明が、前記第1のクライアント情報中で送信された前記クライアント公開鍵に少なくとも部分的に基づいて暗号化され、前記暗号化された認証証明が、前記クライアント公開鍵に対応するクライアント秘密鍵に少なくとも部分的に基づいて解読される、C19に記載の装置。
[C21]
前記第1のクライアント情報がクライアント認証トークンを備え、前記第2のクライアント情報がクライアント公開鍵を備え、前記クライアント認証トークンが前記クライアント公開鍵から導出され、前記暗号化された認証証明が、前記第2のクライアント情報中で送信された前記クライアント公開鍵に少なくとも部分的に基づいて暗号化され、前記暗号化された認証証明が、前記クライアント公開鍵に対応するクライアント秘密鍵に少なくとも部分的に基づいて解読される、C19に記載の装置。
[C22]
前記オーセンティケータが共有秘密鍵を前記認証サーバと交換し、ここにおいて、前記オーセンティケータが、前記共有秘密鍵に少なくとも部分的に基づいて前記暗号化された認証証明を解読する、C19に記載の装置。
[C23]
前記オーセンティケータが、前記クライアントデバイスを、前記認証サーバに関連付けられたアクセスポイントに接続するために、前記解読された認証証明を使用して認証プロシージャを完了する、C19に記載の装置。
[C24]
前記セキュアインターフェースが、前記第1のクライアント情報を手動で入力すること、前記第1のクライアント情報のクイックレスポンス(QR)コードを走査すること、帯域外ワイヤレスチャネルを介して前記第1のクライアント情報を送信すること、またはそれらの組合せのうちの少なくとも1つを含む、C19に記載の装置。
[C25]
ワイヤレス通信のためのコンピュータ実行可能コードを記憶する非一時的コンピュータ可読媒体であって、前記コードは、
認証サーバに送信されるべき第1のクライアント情報を、セキュアインターフェースを介して信頼済みデバイスに出力することと、
前記第1のクライアント情報に関係する第2のクライアント情報を前記認証サーバに送信することと、前記第2のクライアント情報が、前記認証サーバによって前記第1のクライアント情報にリンクされる、
前記認証サーバから、暗号化された認証証明を受信することと、前記暗号化された認証証明が、前記第1のクライアント情報または前記第2のクライアント情報に少なくとも部分的に基づいて暗号化される、
前記暗号化された認証証明を解読することと
を行うためにプロセッサによって実行可能である、非一時的コンピュータ可読媒体。
[C26]
前記第1のクライアント情報がクライアント公開鍵を備え、前記第2のクライアント情報がクライアント識別情報を備え、前記クライアント識別情報が前記クライアント公開鍵から導出され、前記暗号化された認証証明が、前記第1のクライアント情報中で送信された前記クライアント公開鍵に少なくとも部分的に基づいて暗号化され、前記暗号化された認証証明が、前記クライアント公開鍵に対応するクライアント秘密鍵に少なくとも部分的に基づいて解読される、C25に記載の非一時的コンピュータ可読媒体。
[C27]
前記第1のクライアント情報がクライアント認証トークンを備え、前記第2のクライアント情報がクライアント公開鍵を備え、前記クライアント認証トークンが前記クライアント公開鍵から導出され、前記暗号化された認証証明が、前記第2のクライアント情報中で送信された前記クライアント公開鍵に少なくとも部分的に基づいて暗号化され、前記暗号化された認証証明が、前記クライアント公開鍵に対応するクライアント秘密鍵に少なくとも部分的に基づいて解読される、C25に記載の非一時的コンピュータ可読媒体。
[C28]
前記プロセッサによって実行可能な前記命令が、
共有秘密鍵を前記認証サーバと交換するための命令をさらに備え、ここにおいて、前記暗号化された認証証明が、前記共有秘密鍵に少なくとも部分的に基づいて解読される、C25に記載の非一時的コンピュータ可読媒体。
[C29]
前記プロセッサによって実行可能な前記命令が、
前記解読された認証証明を使用して認証プロシージャを完了することによって、前記認証サーバに関連付けられたアクセスポイントに接続するための命令をさらに備える、C25に記載の非一時的コンピュータ可読媒体。
[C30]
前記セキュアインターフェースが、前記第1のクライアント情報を手動で入力すること、前記第1のクライアント情報のクイックレスポンス(QR)コードを走査すること、帯域外ワイヤレスチャネルを介して前記第1のクライアント情報を送信すること、またはそれらの組合せのうちの少なくとも1つを含む、C25に記載の非一時的コンピュータ可読媒体。