KR20180016371A - 분산형 구성기 엔티티 - Google Patents

분산형 구성기 엔티티 Download PDF

Info

Publication number
KR20180016371A
KR20180016371A KR1020177034874A KR20177034874A KR20180016371A KR 20180016371 A KR20180016371 A KR 20180016371A KR 1020177034874 A KR1020177034874 A KR 1020177034874A KR 20177034874 A KR20177034874 A KR 20177034874A KR 20180016371 A KR20180016371 A KR 20180016371A
Authority
KR
South Korea
Prior art keywords
wireless device
configurator
network
wireless
user authentication
Prior art date
Application number
KR1020177034874A
Other languages
English (en)
Inventor
올리비에 진 베누아
피라폴 틴나코른스리수팝
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20180016371A publication Critical patent/KR20180016371A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

무선 네트워크에서의 네트워크 크리덴셜들의 분산형 저장 및/또는 관리를 위한 시스템 및 방법이 개시된다. 무선 네트워크의 제1 디바이스는, 제1 구성기로부터 네트워크 크리덴셜들의 세트를 수신한다. 네트워크 크리덴셜들은, 하나 또는 그 초과의 디바이스들이 무선 네트워크에 액세스하는 것을 허가하기 위해 사용될 수 있다. 제1 디바이스는 추가로, 제2 디바이스로부터 사용자 인증 크리덴셜을 수신하고, 사용자 인증 크리덴셜에 적어도 부분적으로 기반하여 제2 디바이스를 무선 네트워크에 대한 제2 구성기로서 인증한다. 제2 디바이스를 제2 구성기로서 인증할 시, 제1 디바이스는 이후, 네트워크 크리덴셜들의 세트를 제2 구성기에 송신할 수 있다.

Description

분산형 구성기 엔티티
[0001] 예시적인 실시예들은 일반적으로 무선 네트워크들에 관한 것으로, 구체적으로는, 무선 네트워크에서의 네트워크 크리덴셜(credential)들의 분산형 저장 및/또는 관리에 관한 것이다.
[0002] 클라이언트 디바이스(예컨대, 무선 스테이션)는, 공개 키 암호화(public key encryption) 기법들을 사용하여 무선 네트워크의 하나 또는 그 초과의 액세스 포인트(AP)들과 통신하도록 구성될 수 있다. 공개 키 암호화(종종 공개/개인(private) 키 암호화로 지칭됨)는 알려진(공개) 키 및 비밀(개인) 키를 사용하여 데이터를 안전하게 전달하는 방법이다. 각각의 디바이스는, 수학적으로 및/또는 알고리즘적으로 서로 관련된 공개 및 개인 키들의 고유 쌍을 가질 수 있다. 데이터를 전달하는 것에 부가하여, 공개 및 개인 키들은 메시지들 및 인증서(certificate)들을 검증(verify)하고 그리고/또는 디지털 시그니쳐(signature)들을 생성하는 데 사용될 수 있다. 예컨대, 클라이언트 디바이스는 자신의 공개 키를 무선 네트워크 내의 AP들과 공유할 수 있다. AP들은, 무선 네트워크에 액세스하도록(예컨대, 연결하도록) 클라이언트 디바이스를 인증 및 구성하기 위해 클라이언트 디바이스의 공개 키를 사용할 수 있다. 인증된 클라이언트 디바이스는 무선 네트워크 내의 AP들 및/또는 다른 디바이스들과 통신할 수 있다.
[0003] 일부 무선 네트워크들에서, 구성기(configurator)는 네트워크 내의 각각의 디바이스의 네트워크 크리덴셜들을 관리할 수 있다. 예컨대, 구성기는, 각각의 디바이스와 연관된 공개/개인 키들에 기반하여 무선 네트워크의 멤버들(예컨대, 클라이언트 디바이스들 및 AP들)을 등록(enroll) 및/또는 인증할 수 있다. 더 구체적으로, 구성기는 적어도 무선 네트워크 내의 각각의 클라이언트 디바이스 및/또는 AP에 대한 공개 키 정보를 저장할 수 있다. 구성기는, 무선 네트워크 내의 클라이언트 디바이스들 및 AP들 각각과 안전하게 통신하기 위해, 저장된 공개 키 정보(예컨대, 네트워크 크리덴셜들)를 사용할 수 있다. 구성기는, 예컨대, AP들을 식별하고 그리고/또는 AP들과 통신하기 위한 정보를 클라이언트 디바이스들에 제공함으로써, 클라이언트 디바이스들을 구성 및/또는 프로비저닝(provision)할 수 있다. 유사하게, 구성기는, 클라이언트 디바이스들로부터의 통신들을 식별 및/또는 인증하기 위한 정보를 AP들에 제공할 수 있다.
[0004] 구성기는 통상적으로 스마트 폰 또는 다른 휴대용 디바이스인데, 이들은 분실되거나, 도난당하거나, 교체되거나, 또는 다른 방식으로 무선 네트워크로부터 (예컨대, 영구적으로) 제거될 수 있다. 따라서, 구성기의 부재 시, 각각의 멤버 디바이스를 재등록할 필요 없이 무선 네트워크의 멤버쉽을 유지하는 것이 바람직할 수 있다.
[0005] 본 개요는, 발명을 실시하기 위한 구체적인 내용에서 아래에 추가로 설명되는 개념들의 선택을 간략화된 형태로 소개하기 위해 제공된다. 본 개요는, 청구된 요지의 핵심적인 특징들 또는 필수적인 특징들을 식별하도록 의도되지 않고, 청구된 요지의 범위를 제한하도록 의도되지도 않는다.
[0006] 무선 네트워크에서의 네트워크 크리덴셜들의 분산형 저장 및/또는 관리를 위한 시스템 및 방법이 개시된다. 무선 네트워크의 제1 디바이스는, 제1 구성기로부터 네트워크 크리덴셜들의 세트를 수신한다. 네트워크 크리덴셜들은, 하나 또는 그 초과의 디바이스들이 무선 네트워크에 액세스하는 것을 허가하기 위한 것이다. 예컨대, 네트워크 크리덴셜들은, 하나 또는 그 초과의 디바이스들과 연관된 신뢰되는 공개 키들의 리스트를 포함할 수 있다. 대안적으로, 또는 부가하여, 네트워크 크리덴셜들은, 하나 또는 그 초과의 디바이스들을 무선 네트워크의 멤버들로서 증명하는 데 사용되는 공개 및 개인 키들의 쌍을 포함할 수 있다. 제1 디바이스는 추가로, 제2 디바이스로부터 사용자 인증 크리덴셜을 수신하고, 사용자 인증 크리덴셜에 적어도 부분적으로 기반하여 제2 디바이스를 무선 네트워크에 대한 제2 구성기로서 인증한다. 제2 디바이스를 제2 구성기로서 인증할 시, 제1 디바이스는 이후, 네트워크 크리덴셜들의 세트를 제2 구성기에 송신할 수 있다.
[0007] 예시적인 실시예들에서, 사용자 인증 크리덴셜은, 제1 구성기 및 제2 디바이스가 동일한 사용자에게 속하거나 그렇지 않으면 동일한 사용자에 의해 사용된다는 것을 검증하기 위해 사용될 수 있다. 예컨대, 사용자 인증 크리덴셜은, 제2 디바이스의 사용자에 의해 입력되는 패스워드, 음성 데이터, 또는 이미지 데이터 중 적어도 하나를 포함할 수 있다. 제1 디바이스는, 제1 구성기로부터 레퍼런스(reference) 크리덴셜을 수신하여 레퍼런스 크리덴셜을 사용자 인증 크리덴셜과 비교할 수 있다. 일부 양상들에서, 제1 디바이스는, 무선 네트워크 외부의 하나 또는 그 초과의 프로세싱 리소스들에 의해 수행될 비교를 오프로딩(offload)할 수 있다. 더 구체적으로, 제1 디바이스는, 사용자 인증 크리덴셜이 레퍼런스 크리덴셜에 실질적으로 매칭한다고 결정할 시, 제2 디바이스를 제2 구성기로서 인증할 수 있다.
[0008] 더 추가로, 일부 실시예들에서, 제1 디바이스는, 제1 디바이스의 공개 아이덴티티(identity) 키에 적어도 부분적으로 기반하여, 제2 디바이스와 보안 채널을 설정할 수 있다. 예컨대, 공개 아이덴티티 키는 대역외(out-of-band) 방식으로 제1 디바이스에 제공될 수 있다. 따라서, 제1 디바이스는, 보안 채널을 통해 제2 디바이스로부터 사용자 인증 크리덴셜을 수신할 수 있다. 일단 인증되면, 제2 구성기는 부가적인 디바이스들이 무선 네트워크에 액세스하는 것을 허가할 수 있다.
[0009] 네트워크 크리덴셜들을 무선 네트워크 내의 다수의 디바이스들 간에 분배함으로써, 예시적인 실시예들은 무선 네트워크에 대한 액세스를 관리함에 있어 리던던시(redundancy)를 제공할 수 있다. 예컨대, 이것은, 기존의 구성기가 분실되거나, 도난당하거나, 교체되거나, 또는 다른 방식으로 무선 네트워크로부터 영구적으로 제거되게 되는 경우에서, 리던던트(redundant) 세트의 네트워크 크리덴셜들을 저장하는 액세스 포인트(AP)가 새로운 구성기들을 온-보딩(on-board)하는 것을 허용할 수 있다. 또한, 사용자 인증 크리덴셜은, 구성기들이 (예컨대, 디바이스들 그 자체가 아니라) 그들의 사용자들에 기반하여 인증되는 것을 허용한다. 이것은, 예컨대, 새로운 구성기의 사용자가 예전(old) 또는 기존 구성기의 사용자와 동일하다는 것을 검증함으로써, 새로운 구성기를 온-보딩할 때 더 높은 레벨의 "신뢰성"을 보장할 수 있다.
[0010] 예시적인 실시예들은 예로서 예시되고, 첨부된 도면들의 도해들에 의해 제한되도록 의도되지 않는다.
[0011] 도 1은, 예시적인 실시예들이 구현될 수 있는 무선 시스템의 블록도를 도시한다.
[0012] 도 2는 예시적인 실시예들에 따른, 다수의 디바이스들 간에 네트워크 크리덴셜들을 분배하기 위한 시스템의 블록도를 도시한다.
[0013] 도 3은 예시적인 실시예들에 따른, 무선 네트워크에 대한 새로운 구성기를 온-보딩하기 위한 동작을 도시하는 시퀀스(sequence) 다이어그램이다.
[0014] 도 4는, 예시적인 실시예들에 따른 액세스 포인트의 블록도를 도시한다.
[0015] 도 5는, 예시적인 실시예들에 따른 무선 디바이스의 블록도를 도시한다.
[0016] 도 6은 예시적인 실시예들에 따른, 무선 네트워크에 대한 네트워크 크리덴셜들을 분배하기 위한 동작을 도시하는 예시적인 흐름도를 도시한다.
[0017] 도 7은 예시적인 실시예들에 따른, 무선 네트워크에 새로운 구성기를 온-보딩하기 위한 동작을 도시하는 예시적인 흐름도를 도시한다.
[0018] 예시적인 실시예들은, 단지 간략화를 위해, WLAN 시스템들의 맥락에서 아래에 설명된다. 예시적인 실시예들은, 다른 무선 네트워크들(예컨대, 셀룰러 네트워크들, 피코 네트워크들, 펨토 네트워크들, 위성 네트워크들)뿐만 아니라 하나 또는 그 초과의 유선 표준들 또는 프로토콜들(예컨대, 이더넷 및/또는 HomePlug/PLC 표준들)의 신호들을 사용하는 시스템들에 대해 동일하게 적용가능하다는 것이 이해되어야 한다. 본원에서 사용되는 바와 같이, "WLAN" 및 "Wi-Fi®"라는 용어들은 IEEE 802.11 표준군, 블루투스(BLUETOOTH®), HiperLAN(유럽에서 주로 사용되는, IEEE 802.11 표준들에 필적하는 무선 표준들의 세트), 및 비교적 짧은 라디오 전파 범위를 갖는 다른 기술들에 의해 통제되는 통신들을 포함할 수 있다. 따라서, "WLAN" 및 "Wi-Fi"라는 용어들은 본원에서 상호교환가능하게 사용될 수 있다. 부가하여, 하나 또는 그 초과의 AP들 및 다수의 클라이언트 디바이스들을 포함하는 기반구조 WLAN 시스템의 관점들에서 아래에 설명되지만, 예시적인 실시예들은, 예컨대, 다수의 WLAN들, 피어-투-피어(또는 독립적인 기본 서비스 세트) 시스템들, Wi-Fi Direct 시스템들, 및/또는 핫스팟(Hotspot)들을 포함하는 다른 WLAN 시스템들에 동일하게 적용 가능하다.
[0019] 다음의 설명에서, 본 개시내용의 철저한 이해를 제공하기 위해 특정 컴포넌트들, 회로들, 및 프로세스들의 예들과 같은 다수의 특정 세부사항들이 기재된다. 본원에서 사용되는 바와 같이, "커플링된"이라는 용어는 직접적으로 연결되거나 또는 하나 또는 그 초과의 개재(intervening) 컴포넌트들 또는 회로들을 통해 연결됨을 의미한다. "구성기"라는 용어는, 무선 네트워크에 대한 액세스를 관리 및/또는 제어하는 무선 디바이스를 지칭한다. 예컨대, 구성기는, 무선 네트워크에 참여하도록 새로운 멤버들을 등록 또는 허가할 수 있고, 기존 멤버들이 무선 네트워크에 참여하는 것을 허가해제(de-authorize)할 수 있다. "멤버" 또는 "멤버 디바이스"는, 특정 무선 네트워크에 액세스하는 것이 구성기에 의해 허가된 임의의 무선 디바이스(예컨대, 클라이언트 디바이스 또는 AP)를 지칭한다.
[0020] 또한, 다음의 설명에서 그리고 설명의 목적으로, 예시적인 실시예들의 철저한 이해를 제공하기 위해 특정 명명법이 기재된다. 그러나, 이들 특정 세부사항들이 예시적인 실시예들을 실시하기 위해 요구되지 않을 수 있다는 것이 당업자에게 명백할 것이다. 다른 예시들에서, 잘 알려진 회로들 및 디바이스들은 본 개시내용을 불명료하게 하는 것을 회피하기 위해 블록도 형태로 도시된다. 후속하는 상세한 설명들 중 일부 부분들은, 컴퓨터 메모리 내의 데이터 비트들에 대한 동작들의 절차들, 로직 블록들, 프로세싱 및 다른 기호적 표현들의 관점들에서 제시된다. 이들 설명들 및 표현들은, 데이터 프로세싱 분야의 당업자들이 자신들의 작업의 실체(substance)를 다른 당업자들에게 가장 효과적으로 전달하기 위해 사용하는 수단이다. 본 출원에서, 절차, 로직 블록, 프로세스 등은, 원하는 결과를 유도하는 명령들 또는 단계들의 자기-일관적(self-consistent) 시퀀스인 것으로 고려된다. 단계들은 물리적 양들의 물리적 조작들을 요구하는 것들이다. 반드시 그러한 것은 아니지만 일반적으로, 이러한 양들은 컴퓨터 시스템에서 저장, 전달, 결합, 비교 및 다른 방식으로 조작될 수 있는 전기 또는 자기 신호들의 형태를 취한다.
[0021] 그러나, 이들 및 유사한 용어들 모두는 적합한 물리적 양들과 연관될 것이며, 이들 양들에 적용되는 단지 편리한 라벨들이라는 것을 유념해야 한다. 달리 구체적으로 언급되지 않으면, 다음의 논의들로부터 명백한 바와 같이, 본 출원 전체에 걸쳐, "액세스", "수신", "전송", "사용", "선택", "결정", "정규화", "곱셈", "평균화", "모니터링", "비교", "적용", "업데이트", "측정", "도출" 등과 같은 용어들을 활용하는 논의들은, 컴퓨터 시스템의 레지스터들 및 메모리들 내에서 물리적(전자적) 양들로서 표현되는 데이터를, 컴퓨터 시스템 메모리들 또는 레지스터들 또는 다른 이러한 정보 저장, 송신 또는 디스플레이 디바이스들 내의 물리적 양들로서 유사하게 표현되는 다른 데이터로 조작 및 변환하는 컴퓨터 시스템 또는 유사한 전자 컴퓨팅 디바이스의 동작들 및 프로세스들을 지칭한다는 것이 인식된다.
[0022] 도면들에서, 단일 블록이 기능 또는 기능들을 수행하는 것으로 설명되지만; 실제 실시에서, 그 블록에 의해 수행되는 기능 또는 기능들은 단일 컴포넌트에서 또는 다수의 컴포넌트들에 걸쳐 수행될 수 있고, 그리고/또는 하드웨어를 사용하거나, 소프트웨어를 사용하거나, 또는 하드웨어와 소프트웨어의 조합을 사용하여 수행될 수 있다. 하드웨어와 소프트웨어의 이러한 상호교환가능성을 명확히 예시하기 위해, 다양한 예시적인 컴포넌트들, 블록들, 모듈들, 회로들, 및 단계들은 그들의 기능의 관점들에서 일반적으로 위에 설명되었다. 그러한 기능이 하드웨어로서 구현되는지 또는 소프트웨어로서 구현되는지는 특정 애플리케이션 및 전체 시스템에 부과된 설계 제약들에 의존한다. 당업자들은 설명된 기능을 각각의 특정 애플리케이션에 대해 다양한 방식들로 구현할 수 있지만, 이러한 구현 결정들이 본 발명의 범위를 벗어나는 것으로 해석되어서는 안 된다. 또한, 예시적 무선 통신 디바이스들은, 프로세서, 메모리 등과 같은 잘-알려진 컴포넌트들을 비롯하여, 도시된 것들 이외의 컴포넌트들을 포함할 수 있다.
[0023] 본원에 설명되는 기술들은, 특정 방식으로 구현되는 것으로 구체적으로 설명되지 않으면, 하드웨어, 소프트웨어, 펌웨어, 또는 이들의 임의의 결합으로 구현될 수 있다. 모듈들 또는 컴포넌트들로서 설명된 임의의 특징들은 또한, 통합된 로직 디바이스에서 함께 구현될 수 있거나 또는 이산적이지만 상호운용가능한 로직 디바이스들로서 별개로 구현될 수 있다. 소프트웨어로 구현되면, 기술들은, 실행되는 경우 위에 설명된 방법들 중 하나 또는 그 초과를 수행하는 명령들을 포함하는 비-일시적인 프로세서-판독가능 저장 매체에 의해 적어도 부분적으로 실현될 수 있다. 비-일시적인 프로세서-판독가능 데이터 저장 매체는, 패키징 재료들을 포함할 수 있는 컴퓨터 프로그램 제품의 일부를 형성할 수 있다.
[0024] 비-일시적인 프로세서-판독가능 저장 매체는, SDRAM(synchronous dynamic random access memory)과 같은 RAM(random access memory), ROM(read only memory), NVRAM(non-volatile random access memory), EEPROM(electrically erasable programmable read-only memory), 플래시 메모리, 다른 알려진 저장 매체 등을 포함할 수 있다. 기술들은 부가적으로 또는 대안적으로, 명령들 또는 데이터 구조들의 형태로 코드를 반송 또는 통신하고, 컴퓨터 또는 다른 프로세서에 의해 액세스, 판독, 및/또는 실행될 수 있는 프로세서-판독가능 통신 매체에 의해 적어도 부분적으로 실현될 수 있다.
[0025] 본원에 개시된 실시예들과 관련하여 설명된 다양한 예시적인 로직 블록들, 모듈들, 회로들 및 명령들은 하나 또는 그 초과의 DSP(digital signal processor)들, 범용 마이크로프로세서들, ASIC(application specific integrated circuit)들, ASIP(application specific instruction set processor)들, FPGA(field programmable gate array)들 또는 다른 동등한 집적 또는 이산 로직 회로와 같은 하나 또는 그 초과의 프로세서들에 의해 실행될 수 있다. 본원에서 사용되는 "프로세서"라는 용어는, 전술한 구조 또는 본원에서 설명된 기술들의 구현에 적절한 임의의 다른 구조 중 임의의 구조를 지칭할 수 있다. 게다가, 몇몇 양상들에서, 본원에서 설명되는 기능성은 본원에서 설명된 바와 같이 구성되는 전용 소프트웨어 모듈들 또는 하드웨어 모듈들 내에 제공될 수 있다. 또한, 기술들은 하나 또는 그 초과의 회로들 또는 로직 엘리먼트들로 완전히 구현될 수 있다. 범용 프로세서는 마이크로프로세서일 수 있지만, 대안으로, 프로세서는 임의의 종래의 프로세서, 제어기, 마이크로제어기, 또는 상태 머신일 수 있다. 또한, 프로세서는 컴퓨팅 디바이스들의 조합, 예컨대 DSP와 마이크로프로세서의 조합, 복수의 마이크로프로세서들, DSP 코어와 결합된 하나 또는 그 초과의 마이크로프로세서들, 또는 임의의 다른 그러한 구성으로서 구현될 수 있다.
[0026] 도 1은, 예시적인 실시예들이 구현될 수 있는 무선 시스템(100)의 블록도이다. 무선 시스템(100)은, 무선 액세스 포인트(AP)(110), WLAN(wireless local area network)(120), 클라이언트 디바이스(130)(예컨대, 스테이션 또는 STA), 및 구성기(140)를 포함할 수 있다. WLAN(120)은 IEEE 802.11 표준군에 따라 (또는 다른 적절한 무선 프로토콜들에 따라) 동작할 수 있는 복수의 Wi-Fi 액세스 포인트(AP)들에 의해 형성될 수 있다. 따라서, 간략화를 위해 단지 하나의 AP(110)가 도 1에 도시되지만, WLAN(120)은 임의의 수의 AP(110)와 같은 액세스 포인트들에 의해 형성될 수 있음이 이해될 것이다. 유사하게, WLAN(120)은 임의의 수의 클라이언트 디바이스(130)와 같은 클라이언트 디바이스들을 포함할 수 있다. 일부 실시예들의 경우, 무선 시스템(100)은 SU-MIMO(single user multiple-input multiple-output) 또는 MU-MIMO(multi-user MIMO) 무선 네트워크에 대응할 수 있다. WLAN(120)이 기반구조 BSS(basic service set)로서 도 1에 도시되지만, 다른 예시적인 실시예들의 경우, WLAN(120)은 IBSS(independent basic service set), 애드-혹(ad-hoc) 네트워크, 또는 (예컨대, Wi-Fi Direct 규격에 따라 동작하는) P2P(peer-to-peer) 네트워크일 수 있다.
[0027] AP(110)는, Wi-Fi, Bluetooth, 또는 임의의 다른 적절한 무선 통신 표준들을 사용하여 AP(110)를 통해 하나 또는 그 초과의 무선 디바이스들이 네트워크(예컨대, LAN(local area network), WAN(wide area network), MAN(metropolitan area network), 및/또는 인터넷)에 연결되는 것을 허용하는 임의의 적절한 디바이스일 수 있다. AP(110)에는, 예컨대 디바이스 제조자에 의해 그 내부에 프로그래밍되는 고유 MAC(media access control) 어드레스가 배정된다. 일부 실시예들의 경우, AP(110)는 "SoftAP(software-enabled access point)"로서 동작하는 임의의 적절한 무선 디바이스(예컨대, 셀 폰, PDA, 태블릿 디바이스, 랩톱 컴퓨터, 및/또는 STA)일 수 있다. 적어도 하나의 실시예의 경우, AP(110)는, 하나 또는 그 초과의 트랜시버들, 하나 또는 그 초과의 프로세싱 리소스들(예컨대, 프로세서들 및/또는 ASIC들), 하나 또는 그 초과의 메모리 리소스들, 및 전력 소스를 포함할 수 있다. 메모리 리소스들은, 도 6 및 도 7과 관련하여 아래에 설명되는 동작들을 수행하기 위한 명령들을 저장하는 비-일시적인 컴퓨터-판독가능 매체(예컨대, 하나 또는 그 초과의 비휘발성 메모리 엘리먼트들, 이를테면 EPROM, EEPROM, 플래시 메모리, 하드 드라이브 등)를 포함할 수 있다.
[0028] 클라이언트 디바이스(130)는, 예컨대, 셀 폰, PDA(personal digital assistant), 태블릿 디바이스, 랩톱 컴퓨터 등을 포함하는 임의의 적절한 Wi-Fi 가능 무선 디바이스일 수 있다. 클라이언트 디바이스(130)는 또한, 사용자 장비(UE), 가입자 스테이션, 모바일 유닛, 가입자 유닛, 무선 유닛, 원격 유닛, 모바일 디바이스, 무선 통신 디바이스, 원격 디바이스, 모바일 가입자 스테이션, 액세스 단말, 모바일 단말, 무선 단말, 원격 단말, 핸드셋, 사용자 에이전트, 모바일 클라이언트, 클라이언트, 또는 몇몇 다른 적절한 전문용어로 지칭될 수 있다. 클라이언트 디바이스(130)에 또한, 고유 MAC 어드레스가 배정된다. 적어도 일부 실시예들의 경우, 클라이언트 디바이스(130)는, 하나 또는 그 초과의 트랜시버들, 하나 또는 그 초과의 프로세싱 리소스들(예컨대, 프로세서들 및/또는 ASIC들), 하나 또는 그 초과의 메모리 리소스들, 및 전력 소스(예컨대, 배터리)를 포함할 수 있다. 메모리 리소스들은, 도 7과 관련하여 아래에 설명되는 동작들을 수행하기 위한 명령들을 저장하는 비-일시적인 컴퓨터-판독가능 매체(예컨대, 하나 또는 그 초과의 비휘발성 메모리 엘리먼트들, 이를테면 EPROM, EEPROM, 플래시 메모리, 하드 드라이브 등)를 포함할 수 있다.
[0029] 구성기(140)는, 클라이언트 디바이스(130) 및 AP(110)와 안전하게 통신할 수 있는 임의의 적절한 디바이스일 수 있다. 예시적인 실시예들에서, 구성기(140)는, 공개 키 암호화 기법들을 사용하여 그리고/또는 DPP(Device Provisioning Protocol)에 따라, AP(110) 및 클라이언트 디바이스(130) 각각과 통신할 수 있다. 적어도 일부 실시예들의 경우, 구성기(140)는, 디바이스의 사용자 또는 오퍼레이터(operator)로부터 입력들을 수신하기 위한 사용자 입력 피쳐(feature)들(예컨대, 터치스크린, 키보드, 마이크로폰 등)을 포함할 수 있다. 예컨대, 구성기(140)는, 스마트폰, PDA(personal digital assistant), 태블릿 디바이스, 랩톱 컴퓨터 등일 수 있다. 추가로, 일부 실시예들의 경우, 구성기(140)는, 하나 또는 그 초과의 트랜시버들, 하나 또는 그 초과의 프로세싱 리소스들(예컨대, 프로세서들 및/또는 ASIC들), 하나 또는 그 초과의 메모리 리소스들, 및 전력 소스(예컨대, 배터리)를 포함할 수 있다. 메모리 리소스들은, 도 7과 관련하여 아래에 설명되는 동작들을 수행하기 위한 명령들을 저장하는 비-일시적인 컴퓨터-판독가능 매체(예컨대, 하나 또는 그 초과의 비휘발성 메모리 엘리먼트들, 이를테면 EPROM, EEPROM, 플래시 메모리, 하드 드라이브 등)를 포함할 수 있다.
[0030] AP(110), 클라이언트 디바이스(130), 및 구성기(140)에 대해, 하나 또는 그 초과의 트랜시버들은, 무선 통신 신호들을 송신 및 수신하기 위한 Wi-Fi 트랜시버들, Bluetooth 트랜시버들, 셀룰러 트랜시버들, 및/또는 다른 적절한 RF(radio frequency) 트랜시버들(간략화를 위해 도시되지 않음)을 포함할 수 있다. 각각의 트랜시버는 별개의 동작 주파수 대역들에서 그리고/또는 별개의 통신 프로토콜들을 사용하여 다른 무선 디바이스들과 통신할 수 있다. 예컨대, Wi-Fi 트랜시버는 IEEE 802.11 규격에 따라 2.4 GHz 주파수 대역 내에서 그리고/또는 5 GHz 주파수 대역 내에서 통신할 수 있다. 셀룰러 트랜시버는 (예컨대, 대략적으로 700 MHz와 대략적으로 3.9 GHz 사이에서) 3GPP(3rd Generation Partnership Project)에 의해 기술된 4G LTE(Long Term Evolution) 프로토콜에 따라 그리고/또는 다른 셀룰러 프로토콜들(예컨대, GSM(Global System for Mobile) 통신 프로토콜)에 따라 다양한 RF 주파수 대역들 내에서 통신할 수 있다. 다른 실시예들에서, 클라이언트 디바이스 내에 포함된 트랜시버들은 ZigBee Alliance로부터의 규격에 의해 기술된 ZigBee 트랜시버, WiGig 트랜시버, 및/또는 HomePlug Alliance로부터의 규격에 의해 기술된 HomePlug 트랜시버와 같은 기술적으로 실현가능한 임의의 트랜시버일 수 있다.
[0031] 구성기(140)는 WLAN(120)의 제어 및/또는 이에 대한 액세스를 관리한다. 예컨대, 구성기(140)는, 멤버 디바이스들이 WLAN(120)에 액세스하는 것을 허가하는 데 사용될 수 있는 네트워크 크리덴셜들(142)의 세트를 저장할 수 있다. 일부 양상들에서, 구성기(140)는, WLAN(120)에 참여할 (예컨대, 그리고 WLAN(120)의 멤버들이 될) 새로운 디바이스들을 등록 및/또는 허가할 수 있다. 예컨대, 클라이언트 디바이스(130)가 WLAN(120)의 임의의 서비스들 및/또는 디바이스들에 액세스할 수 있기 전에, 구성기(140)는 먼저, 클라이언트 디바이스(130)를 WLAN(120)의 멤버로서 등록할 수 있다. 등록 프로세스는, 클라이언트 디바이스(130)를 "신뢰되는" 디바이스로서 인증하는 것, 및 WLAN(120)의 AP(110) 및/또는 다른 멤버들과 통신하도록 클라이언트 디바이스(130)를 프로비저닝하는 것을 포함할 수 있다. 논의의 목적들을 위해, AP(110)는 이미 WLAN(120)의 멤버로서 (예컨대, 구성기(140)에 의해) 등록된 것으로 가정한다.
[0032] 예시적인 실시예들에서, 구성기(140)는, 공개 키 암호화 기법들을 사용하여 클라이언트 디바이스(130)를 인증할 수 있다. 공개 키 암호화 기법들은, 구성기(140)와 클라이언트 디바이스(130) 간에 보안 통신 채널을 설정하는 데 사용될 수 있다. 예컨대, 클라이언트 디바이스(130)는, 공개 루트 아이덴티티 키(132) 및 개인 루트 아이덴티티 키(134)를 저장하거나 다른 방식으로 이들과 연관될 수 있다. 공개/개인 키 쌍(132 및 134)은, 클라이언트 디바이스(130)의 제조 시에 클라이언트 디바이스(130)에 프로그래밍 및/또는 저장될 수 있다. 공개 루트 아이덴티티 키(또는 공개 키)(132)는 다른 디바이스들(예컨대, 구성기(140)를 포함함)에 분배될 수 있는 반면, 개인 루트 아이덴티티 키(또는 개인 키)(134)는 오직 클라이언트 디바이스(130)에만 알려질 수 있다. 구성기(140)는 클라이언트 디바이스(130)에 대해 의도된 메시지들을 암호화하기 위해 공개 루트 아이덴티티 키(132)를 사용할 수 있고, 클라이언트 디바이스(130)는 자신의 개인 루트 아이덴티티 키(134)를 사용하여 그 메시지들을 복호화할 수 있다.
[0033] 클라이언트 디바이스(130)가 "신뢰되는" 디바이스임을 보장하기 위해, 구성기(140)는, 대역외 방식으로(예컨대, QR(quick response) 코드들, NFC(near-field communication) 라벨 스트링들, BLE(Bluetooth low energy), USB(Universal Serial Bus) 등을 사용하여) 공개 루트 아이덴티티 키(132)를 획득할 수 있다. 예컨대, 구성기(140)는, 클라이언트 디바이스(130)의 하우징 또는 표면 상에 인쇄된 QR 코드를 (예컨대, 광학 디바이스 및/또는 카메라로) 스캐닝함으로써, 공개 루트 아이덴티티 키(132)를 획득할 수 있다. 대안적으로, 공개 루트 아이덴티티 키(132)는, 구성기(140)의 사용자에 의해 (예컨대, 클라이언트 디바이스(130) 상의 인쇄된 라벨로부터 판독한 후) 수동으로 입력될 수 있다. 더 추가로, 일부 양상들에서, 클라이언트 디바이스(130)는, 자신의 공개 루트 아이덴티티 키(132)를 단거리 통신 채널(예컨대, NFC, BLE, USB 등)을 통해 구성기(140)에 전송할 수 있다. 구성기(140)가 공개 루트 아이덴티티 키(132)를 획득하는 대역외 방식은, 인증 프로세스 동안 클라이언트 디바이스(130)가 구성기(140)에 비교적 매우 근접해 있음을 보장한다. 따라서, 구성기(140)는, 클라이언트 디바이스(130)가 실제로 예정되어 있는 디바이스라는 것을 신뢰할 수 있다.
[0034] 인증 프로세스 동안, 구성기(140)는, 공개 키 암호화를 사용하여 클라이언트 디바이스(130)와의 보안 통신 채널을 셋 업할 수 있다. 예컨대, 구성기(140)는, 클라이언트 디바이스(130)가 공개 루트 아이덴티티 키(132)와 연관된 개인 루트 아이덴티티 키(134)를 소유하고 있다는 것을 검증하고 자신 고유의 공개 루트 아이덴티티 키(간략화를 위해 도시되지 않음)를 클라이언트 디바이스(130)에 제공하기 위해, 클라이언트 디바이스(130)와 암호화된 메시지들을 교환할 수 있다. 일단 인증되면, 클라이언트 디바이스(130)는 (예컨대, 구성기(140)의 공개 루트 아이덴티티 키(132)를 사용하여) 메시지들을 안전하게 구성기(140)에 전송할 수 있고, 구성기(140)는 (예컨대, 공개 루트 아이덴티티 키(132)를 사용하여) 메시지들을 안전하게 클라이언트 디바이스(130)에 전송할 수 있다.
[0035] 그런 다음, 구성기(140)는, WLAN(120)에 액세스하고 그리고/또는 연결하도록 클라이언트 디바이스(130)를 구성할 수 있다. 예컨대, 구성기(140)는, 클라이언트 디바이스(130)를, 예컨대 AP(110)를 비롯한 WLAN(120) 내의 다른 디바이스들에 "소개(introduce)"할 수 있다. 일부 양상들에서, 구성기(140)는 또한, 예컨대, 공개 루트 아이덴티티 키(112) 및 AP(110)의 개인 루트 아이덴티티 키(114)에 기반하여, 공개 키 암호화를 사용하여 AP(110)와 통신할 수 있다. 클라이언트 디바이스(130) 및 AP(110)를 소개함으로써, 구성기(140)는, 디바이스들 둘 모두가 WLAN(120)의 인증된(예컨대, 신뢰되는) 멤버들이라는 것을 증명한다. 그런 다음, 클라이언트 디바이스(130) 및 AP(110)는, 디바이스들 간에 보안 통신 링크를 설정하는 데 사용될 수 있는 공유 쌍 방식 마스터 키(PMK; pairwise master key)를 협상할 수 있다. 예컨대, 클라이언트 디바이스(130)는, (예컨대, IEEE 802.11 규격에 의해 정의되는 4-웨이 핸드셰이크(4-way handshake)를 통해) WLAN(120)에 액세스 및/또는 연결하기 위해 PMK를 사용할 수 있다.
[0036] 일부 양상들에서, 구성기(140)는, 공개 키 화이트리스트-기반(whitelist-based) 액세스 제어 기법을 사용하여 WLAN(120)에 대한 액세스를 제어할 수 있다. 예컨대, 구성기(140)는, WLAN(120)에 액세스 및/또는 참여하는 것이 허가된 신뢰되는(예컨대, 멤버인) 디바이스들의 리스트를 저장할 수 있다. 신뢰되는 디바이스들의 리스트는, 네트워크 크리덴셜들(142)의 세트로서 저장될 수 있다. 일부 실시예들에서, 네트워크 크리덴셜들(142)은, WLAN(120)의 각각의 멤버에 대한 아이덴티티 키 정보를 포함할 수 있다. 도 1의 예에서, 네트워크 크리덴셜들(142)은, 클라이언트 디바이스(130)의 공개 루트 아이덴티티 키(132) 및 AP(110)의 공개 루트 아이덴티티 키(112)를 포함할 수 있다. 따라서, 구성기(140)는, 네트워크 크리덴셜들(142)에 의해 식별되는 그 디바이스들(예컨대, 멤버 디바이스들)만으로 WLAN(120)에 대한 액세스를 제한할 수 있다.
[0037] 다른 양상들에서, 구성기(140)는, 인증서-기반 액세스 제어 기법을 사용하여 WLAN(120)에 대한 액세스를 제어할 수 있다. 예컨대, 구성기(140)는, WLAN(120)의 멤버 디바이스들에 의한 통신들을 증명 및/또는 서명하기 위해 한 쌍의 인증 기관(CA; certification authority) 공개 및 개인 키들(간략화를 위해 도시되지 않음)을 사용할 수 있다. 일부 실시예들에서, 네트워크 크리덴셜들(142)은, WLAN(120)의 멤버들을 증명하는 데 사용되는 CA 공개/개인 키 쌍을 포함할 수 있다. 따라서, 구성기(140)는, WLAN(120)의 멤버 디바이스들(예컨대, 클라이언트 디바이스(130) 및 AP(110))에 CA 공개 키를 분배할 수 있고, 멤버 디바이스들에 의한 통신들을 암호화 또는 서명하기 위해 CA 개인 키를 사용할 수 있다. 이것은, WLAN(120)의 멤버 디바이스들(예컨대, CA 공개 키를 소유한 디바이스들)만이 다른 멤버 디바이스들에 의한 통신들(예컨대, CA 개인 키를 사용하여 서명된 통신들)을 복호화 및/또는 검증할 수 있음을 보장한다.
[0038] 예시적인 실시예들에서, 구성기(140)는, 네트워크 크리덴셜들(142)의 카피들을 WLAN(120) 내의 다른 디바이스들에 분배할 수 있다. 위에 설명된 바와 같이, 구성기(140)는, 분실되거나, 도난당하거나, 교체되거나, 또는 다른 방식으로 WLAN(120)으로부터 (예컨대, 영구적으로) 제거될 수 있다. 예시적인 실시예들은 또한, 액세스 포인트들이 무선 네트워크에서 상대적으로 영구적인 고정설비(fixture)들인 경향이 있어서 분실되거나 도난당할 가능성이 낮다는 것을 인지한다. 따라서, 예시적인 실시예들에서, 구성기(140)는, AP(110) 상에 저장될 네트워크 크리덴셜들(142)의 카피를 전송할 수 있다. 도 1의 예에서 오직 하나의 엔티티(예컨대, AP(110))가 네트워크 크리덴셜들(142)을 수신하는 것으로 도시되지만, 다른 실시예들에서, 구성기(140)는, 네트워크 크리덴셜들(142)을 WLAN(120) 내의 임의의 수의 디바이스들(예컨대, AP들 및/또는 클라이언트 디바이스들)에 분배할 수 있다. 예컨대, 일부 실시예들에서, 구성기(140)는, 네트워크 크리덴셜들(142)을 AP(110) 및/또는 클라이언트 디바이스(130)에 분배할 수 있다.
[0039] 네트워크 크리덴셜들(142)을 (예컨대, WLAN(120) 내의 다수의 디바이스들 상에) 분산형 방식으로 저장하는 것은, WLAN(120)에 대한 액세스를 관리함에 있어 리던던시를 제공할 수 있다. AP(110)는, 분실되거나, 도난당하거나, WLAN(120)으로 제거되게 될 가능성이 (구성기(140)보다) 더 낮을 수 있지만, AP(110)는 또한, 구성기(140)보다 덜 강건한(robust) 피쳐 세트를 가질 수 있다. 예컨대, AP(110)는, 카메라, Bluetooth 라디오, 사용자 입력 디바이스, 및/또는 네트워크 크리덴셜들(142)을 사용하여 디바이스들을 등록 및/또는 관리하는 데 필요한 다른 피쳐들을 갖지 않을 수 있다. 따라서, 일부 실시예들의 경우, AP(110)는, 네트워크 크리덴셜들(142)을 다른 무선 디바이스(간략화를 위해 도시되지 않음)에 전달할 수 있고, 그 무선 디바이스가 WLAN(120)에 대한 구성기의 역할을 맡을 수 있게 할 수 있다.
[0040] 도 2는 예시적인 실시예들에 따른, 다수의 디바이스들 간에 네트워크 크리덴셜들을 분배하기 위한 시스템(200)의 블록도를 도시한다. 시스템(200)은 AP(210), 구성기(220), 및 무선 디바이스(230)를 포함한다. AP(210) 및 구성기(220)는 각각, 도 1의 AP(110) 및 구성기(140)의 실시예들일 수 있다.
[0041] 구성기(220)는, AP(210)에 의해 적어도 부분적으로 제공되는 무선 네트워크(간략화를 위해 도시되지 않음)에 대한 액세스 및/또는 제어를 관리한다. 더 구체적으로, 구성기(220)는, 무선 네트워크에 대한 액세스를 제공 및/또는 제한하는 데 사용될 수 있는 네트워크 크리덴셜들(NC)(222)의 세트를 신뢰되는 및/또는 인증된 디바이스들(예컨대, 무선 네트워크의 멤버들)에 저장한다. 일부 양상들에서, 네트워크 크리덴셜들(222)은, (예컨대, 공개 키 화이트리스트-기반 액세스 제어를 위한) 신뢰되는 멤버 디바이스들에 대한 공개 루트 아이덴티티 키들의 리스트를 포함할 수 있다. 다른 양상들에서, 네트워크 크리덴셜들(222)은, (예컨대, 인증서-기반 액세스 제어를 위해) 멤버 디바이스들에 의한 통신들을 증명 및/또는 서명하기 위해 구성기(220)(예컨대, 또는 다른 인증 기관)에 의해 사용될 수 있는 한 쌍의 CA 공개 및 개인 키들을 포함할 수 있다.
[0042] 예시적인 실시예들에서, AP(210)는 또한, 무선 네트워크에 대한 액세스를 관리하기 위해 구성기(220)에 의해 사용되는 네트워크 크리덴셜들(222)의 카피를 저장할 수 있다. 예컨대, 구성기(220)는, AP(210)를 무선 네트워크의 멤버로서 등록할 시 네트워크 크리덴셜들(222)의 카피를 AP(210) 상에 저장할 수 있다. AP(210)와 구성기(220) 간에 네트워크 크리덴셜들(222)의 동기화를 유지하기 위해, 구성기(220)는, 주어진 기간 동안의 멤버 디바이스들의 임의의 부가들 및/또는 제거들을 반영하도록, AP(210) 상에 저장된 네트워크 크리덴셜들(222)을 주기적으로 업데이트할 수 있다. 대안적으로, 구성기(220)는, 무선 네트워크의 멤버쉽에 대한 임의의 변경들에 대한 응답으로, AP(210) 상에 저장된 네트워크 크리덴셜들(222)을 업데이트할 수 있다.
[0043] 무선 디바이스(230)는, AP(210)와 안전하게 통신하고 그리고 무선 네트워크에 대한 액세스를 관리할 수 있는 임의의 적절한 디바이스일 수 있다. 예컨대, 무선 디바이스(230)는, 공개 키 암호화 기법들을 사용하여 그리고/또는 DPP 프로토콜에 따라 AP(210)와 통신할 수 있다. 적어도 일부 실시예들의 경우, 무선 디바이스(230)는, 디바이스의 사용자 또는 오퍼레이터로부터 입력들을 수신하기 위한 사용자 입력 피쳐들(예컨대, 터치스크린, 키보드, 마이크로폰 등)을 포함할 수 있다. 예컨대, 무선 디바이스(230)는, 스마트폰, PDA, 태블릿 디바이스, 랩톱 컴퓨터 등일 수 있다. 추가로, 무선 디바이스(230)는, 하나 또는 그 초과의 트랜시버들, 하나 또는 그 초과의 프로세싱 리소스들, 하나 또는 그 초과의 메모리 리소스들, 및 전력 소스를 포함할 수 있다. 메모리 리소스들은, 도 7과 관련하여 아래에 설명되는 동작들을 수행하기 위한 명령들을 저장하는 비-일시적인 컴퓨터-판독가능 매체(예컨대, 하나 또는 그 초과의 비휘발성 메모리 엘리먼트들, 이를테면 EPROM, EEPROM, 플래시 메모리, 하드 드라이브 등)를 포함할 수 있다.
[0044] 예시적인 실시예들에서, AP(210)는, 무선 디바이스(230)를 무선 네트워크에 대한 구성기로서 "온-보딩"(예컨대, 셋 업 또는 구성)할 수 있다. 예컨대, 무선 디바이스(230)는 구성기(220)에 대해 백업으로서 기능할 수 있고 그리고/또는 구성기(220)에 대한 리던던시를 제공할 수 있다. 부가하여, 무선 디바이스(230)는, 구성기(220)가 분실되고, 도난당하고, 교체되고, 그리고/또는 다른 방식으로 무선 네트워크로부터 제거되게 되는 경우에서, 구성기(220)의 역할을 맡을 수 있다(예컨대, 그에 따라, 무선 네트워크의 멤버쉽을 유지할 수 있음). AP(210)는, 네트워크 크리덴셜들(222)의 카피를 추가적으로 무선 디바이스(230)에 분배함으로써, 무선 디바이스(230)를 구성기로서 셋 업할 수 있다. 일부 실시예들의 경우, AP(210)는, 무선 디바이스(230)에 네트워크 크리덴셜들(222)을 전달하기 전에, 무선 디바이스(230)가 "신뢰되는" 디바이스라는 것을 먼저 결정할 수 있다. 그러나, 구성기(220)가 존재하지 않으면, AP(210)는, (예컨대, DPP 인증을 사용하여) 멤버 등록 프로세스를 통해 무선 디바이스(230)의 신뢰성을 결정하지 못할 수 있다.
[0045] 예시적인 실시예들은, 특정 사용자(201)가 구성기(220) 및 무선 디바이스(230) 둘 모두를 소유하고 그리고/또는 이들을 동작시킬 수 있음을 인지한다. 따라서, 예시적인 실시예들에서, AP(210)는, 무선 디바이스(230)의 사용자(201)를 인증함으로써(예컨대, 또는 디바이스를 소유한 그리고/또는 이를 동작시키는 사용자(201)에 기반하여 무선 디바이스(230)를 인증함으로써) 무선 디바이스(230)의 신뢰성을 결정할 수 있다. 예컨대, AP(210)는, 네트워크 크리덴셜들(222)을 수신할 시, 구성기(220)로부터의 사용자 인증 크리덴셜(UAC)(224)을 수신 및/또는 요청할 수 있다. 사용자 인증 크리덴셜(224)은, 사용자(201)를 구성기(220)의 소유자 및/또는 오퍼레이터로서 고유하게 식별하는 임의의 정보를 포함할 수 있다. 사용자(201)가 구성기(220)를 소유하고 있다는 것을 검증하기 위해, AP(210)는, 구성기(220)로부터 네트워크 크리덴셜들(222)을 수신할 시, 사용자 인증 크리덴셜(224)을 수동으로 입력하고 그리고/또는 제공할 것을 사용자(201)에게 요청할 수 있다.
[0046] 일부 실시예들에서, 사용자 인증 크리덴셜(224)은 영숫자(alphanumeric) 패스워드를 포함할 수 있다. 예컨대, AP(210)는, 구성기(220)의 키보드 또는 터치스크린을 통해 패스워드를 기재하거나 입력할 것을 사용자(201)에게 촉구(prompt)할 수 있다. 다른 실시예들에서, 인증 크리덴셜(224)은 오디오 레코딩 및/또는 음성 데이터를 포함할 수 있다. 예컨대, AP(210)는, 구성기(220)의 마이크로폰이 사용자의 음성을 레코딩하는 동안, 구성기(220)의 스크린 및/또는 표면 상에 디스플레이되는 문구를 리피팅(repeat)할 것을 사용자(201)에게 촉구할 수 있다. 더 추가로, 일부 실시예들에서, 사용자 인증 크리덴셜(224)은 사진 및/또는 이미지 데이터를 포함할 수 있다. 예컨대, AP(210)는, 구성기(220)의 카메라 또는 광학 디바이스로 하여금 사용자(201)의 사진을 캡쳐하게 할 수 있다.
[0047] AP(210)는, 네트워크 크리덴셜들(222)과 관련하여 사용자 인증 크리덴셜(224)을 저장할 수 있다. 일부 실시예들에서, AP(210)는 후속하여, 사용자 인증 크리덴셜(224)을 사용하여 무선 디바이스(230)를 무선 네트워크에 대한 구성기로서 인증할 수 있다. 예컨대, 무선 디바이스(230)를 온-보딩하려 시도할 때, 무선 디바이스(230)의 사용자(201)는, 무선 디바이스(230)의 하나 또는 그 초과의 입력 피쳐들(예컨대, 마이크로폰, 카메라, 터치스크린, 키보드 등)을 통해, 다른 사용자 인증 크리덴셜(UAC)(232)을 입력 또는 제공할 것을 촉구할 수 있다. 그런 다음, 무선 디바이스(230)는, 인증 목적들을 위해 사용자 인증 크리덴셜(232)을 AP(210)에 전송한다.
[0048] AP(210)는, 동일한 사용자(201)가 구성기(220) 및 무선 디바이스(230) 둘 모두의 소유자 및/또는 오퍼레이터인지 여부를 결정하기 위해, 무선 디바이스(230)로부터의 사용자 인증 크리덴셜(232)을 구성기(220)로부터 수신된 사용자 인증 크리덴셜(224)과 비교할 수 있다. 무선 디바이스(230)로부터의 사용자 인증 크리덴셜(232)이 구성기(220)로부터의 사용자 인증 크리덴셜(224)에 실질적으로 매칭한다고 AP(210)가 결정하면, AP(210)는, 네트워크 크리덴셜들(222)을 무선 디바이스(230)에 분배하고, 무선 디바이스(230)가 무선 네트워크에 대한 구성기의 역할을 맡을 수 있게 할 수 있다.
[0049] 도 3은 예시적인 실시예들에 따른, 무선 네트워크에 대한 새로운 구성기를 온-보딩하기 위한 동작을 도시하는 시퀀스 다이어그램(300)이다. 예컨대, 도 2의 시스템(200)을 참조하면, AP(210)는 처음에, WLAN(310)의 멤버로서 구성기(220)와 통신할 수 있다.
[0050] AP(210)와 보안 통신 채널을 설정할 시, 구성기(220)는, AP(210) 상에 또는 AP(210)에 의해 저장될 네트워크 크리덴셜들(222)의 카피를 분배할 수 있다. 구성기(220)는, 보안 통신 채널을 통해 네트워크 크리덴셜들(222)을 AP(210)에 송신할 수 있다. 예컨대, 일부 양상들에서, 구성기(220)는 공개 키 암호화 기법들을 사용하여 네트워크 크리덴셜들(222)을 암호화할 수 있다. 다른 양상들에서, 구성기(220)는, 무선 네트워크의 무선 채널을 통해 네트워크 크리덴셜들(222)을 송신할 수 있다.
[0051] 예시적인 실시예들에서, AP(210)는, 네트워크 크리덴셜들(222)을 수신할 시, 구성기(220)의 사용자로부터의 사용자 인증 크리덴셜(UAC)을 요청할 수 있다. 예컨대, AP(210)는 UAC 요청(301)을 구성기(220)에 전송할 수 있다. UAC 요청(301)은, 구성기(220)로 하여금, 사용자 인증 크리덴셜(224)을 입력 또는 제공할 것을 사용자(201)에게 촉구하게 할 수 있다. 위에 설명된 바와 같이, 사용자 인증 크리덴셜(224)은, 영숫자 패스워드, 음성 레코딩, 이미지, 및/또는 구성기(220)의 사용자(201)를 고유하게 식별하는 다른 정보를 포함할 수 있다. 그런 다음, 구성기(220)는, 네트워크 크리덴셜들(222)과 관련하여 저장될 사용자 인증 크리덴셜(224)을 AP(210)에 포워딩한다.
[0052] 도 3의 예에서, 무선 디바이스(WD)(230)는 처음에 WLAN(310)의 멤버가 아니다. 따라서, 무선 디바이스(230)가 WLAN(310)에 대한 구성기로서 셋 업될 수 있기 전에, 무선 디바이스(230)는 먼저, AP(210)와 통신하기 위한 보안 채널을 설정할 수 있다. 일부 실시예들의 경우, 무선 디바이스(230)는, (예컨대, 도 1과 관련하여 위에 설명된 바와 같이) DPP 인증 프로토콜에 따라 보안 채널을 설정할 수 있다. 예컨대, 무선 디바이스(230)는 먼저, AP(210)의 공개 루트 아이덴티티 키(303)를 획득할 수 있다. 일부 실시예들의 경우, 무선 디바이스(230)는, AP(210)가 신뢰되는 디바이스임을 보장하기 위해, (예컨대, QR 코드, BLE 통신, NFC 통신, USB 연결, 라벨 스트링 등을 사용하여) 대역외 방식으로 AP(210)로부터 공개 루트 아이덴티티 키(303)를 획득 및/또는 수신할 수 있다.
[0053] 그런 다음, 무선 디바이스(230)는, AP(210)와의 보안 통신 채널을 설정하기 위해, AP(210)의 공개 루트 아이덴티티 키(303)를 사용할 수 있다. 예컨대, 무선 디바이스(230)는, DPP 인증 요청(305)을 통해 자신 고유의 공개 루트 아이덴티티 키를 AP(210)에 제공할 수 있다. DPP 인증 요청(305)은, AP(210)의 공개 루트 아이덴티티 키(303)를 사용하여 암호화될 수 있고, 그에 따라, 대응하는(예컨대, 상응하는) 개인 루트 아이덴티티 키를 AP(210)가 소유한 경우에만 복호화될 수 있다. 그런 다음, AP(210)는, AP(210)가 DPP 인증 요청(305)을 성공적으로 수신(및 복호화)했음을 무선 디바이스(230)에 확인해 주거나 다른 방식으로 표시하기 위해, DPP 인증 응답(307)을 다시 무선 디바이스(230)에 전송할 수 있다. 이때, 무선 디바이스(230)는 (예컨대, AP(210)의 공개 루트 아이덴티티 키(303)를 사용하여) AP(210)와 안전하게 통신할 수 있고, AP(210)는 (예컨대, 무선 디바이스(230)의 공개 루트 아이덴티티 키를 사용하여) 무선 디바이스(230)와 안전하게 통신할 수 있다.
[0054] 보안 통신 채널이 설정된 후, 무선 디바이스(230)는, AP(210)로부터의 네트워크 크리덴셜들(NC)의 세트를 요청할 수 있다. 예컨대, 무선 디바이스(230)는, 네트워크 크리덴셜들(222)의 카피를 리트리브(retrieve)하기 위해 NC 요청(309)을 AP(210)에 전송할 수 있다. 예시적인 실시예들에서, NC 요청(309)은, 무선 디바이스(230)의 사용자(201)에 의해 입력된 사용자 인증 크리덴셜(232)을 포함할 수 있다. 사용자 인증 크리덴셜(232)의 인증성을 보장하기 위해, 무선 디바이스(230)는, NC 요청(309)을 트리거링 및/또는 생성할 시, 사용자 인증 크리덴셜(232)을 입력 또는 제공할 것을 사용자(201)에게 촉구할 수 있다.
[0055] AP(210)는, 무선 디바이스(230)로부터의 사용자 인증 크리덴셜(232)을, 구성기(220)로부터 앞서 수신된 사용자 인증 크리덴셜(224)과 비교함으로써, 무선 디바이스(230)의 사용자(201)를 인증할 수 있다. 무선 디바이스(230)의 사용자(201)가 구성기(220)의 사용자와 동일하다는 것을 검증할 시, AP(210)는, 네트워크 크리덴셜들(222)의 카피를 무선 디바이스(230)에 송신할 수 있고, 무선 디바이스(230)가 WLAN(310)에 대한 구성기로서 동작할 수 있게 할 수 있다. 따라서, 무선 디바이스(230)는, 구성기(220)가 분실되거나, 도난당하거나, 교체되거나, 또는 다른 방식으로 WLAN(310)으로부터 제거되게 되는 경우에서, 구성기(220)에 대한 리던던시를 제공하고 그리고/또는 WLAN(310)의 멤버쉽을 보존할 수 있다.
[0056] 도 4는, 예시적인 실시예들에 따른 액세스 포인트(AP)(400)의 블록도를 도시한다. AP(400)는, 도 1의 AP(110) 및/또는 도 2의 AP(210)의 일 실시예일 수 있다. AP(400)는 적어도 PHY 디바이스(410), 네트워크 인터페이스(420), 프로세서(430), 메모리(440), 및 다수의 안테나들(450(1)-450(n))을 포함한다. 네트워크 인터페이스(420)는, 직접적으로 또는 하나 또는 그 초과의 개재 네트워크들을 통해 WLAN 서버(간략화를 위해 도시되지 않음)와 통신하고 그리고 신호들을 송신하기 위해 사용될 수 있다.
[0057] PHY 디바이스(410)는 적어도 한 세트의 트랜시버들(411) 및 기저대역 프로세서(412)를 포함한다. 트랜시버들(411)은 직접적으로 또는 안테나 선택 회로(간략화를 위해 도시되지 않음)를 통해 안테나들(450(1)-450(n))에 커플링될 수 있다. 트랜시버들(411)은 다른 무선 디바이스들(예컨대, AP들, 클라이언트 디바이스들, 및/또는 다른 무선 디바이스들)에 신호들을 송신하고 그리고 그들로부터 신호들을 수신하기 위해 사용될 수 있고, 주변 환경을 스캔하여 (예컨대, AP(400)의 무선 범위 내의) 인근의 무선 디바이스들을 검출 및 식별하기 위해 사용될 수 있다. 기저대역 프로세서(412)는, 프로세서(430) 및/또는 메모리(440)로부터 수신되는 신호들을 프로세싱하고 그리고 프로세싱된 신호들을 하나 또는 그 초과의 안테나들(450(1)-450(n))을 통한 송신을 위해 트랜시버들(411)에 포워딩하는 데 사용될 수 있다. 기저대역 프로세서(412)는 또한, 트랜시버들(411)을 통해 하나 또는 그 초과의 안테나들(450(1)-450(n))로부터 수신되는 신호들을 프로세싱하고 그리고 프로세싱된 신호들을 프로세서(430) 및/또는 메모리(440)에 포워딩하는 데 사용될 수 있다.
[0058] 메모리(440)는, 디바이스들(예컨대, 멤버 디바이스들)이 WLAN에 액세스하는 것을 허가하기 위해 사용되는 네트워크 크리덴셜들의 세트를 저장하는 네트워크 크리덴셜 저장소(442)를 포함할 수 있다. 일부 양상들에서, 네트워크 크리덴셜 저장소(442)는, (예컨대, 공개 키 화이트리스트-기반 액세스 제어를 위한) WLAN의 각각의 멤버에 대한 아이덴티티 키 정보(예컨대, 공개 루트 아이덴티티 키들)를 저장할 수 있다. 다른 양상들에서, 네트워크 크리덴셜 저장소(442)는, (예컨대, 인증서-기반 액세스 제어를 위해) 멤버 디바이스들에 의한 통신들을 증명하기 위해 사용될 수 있는 한 쌍의 인증 기관(CA) 공개 및 개인 키들을 저장할 수 있다. 일부 실시예들의 경우, 네트워크 크리덴셜 저장소(442)는, 네트워크 크리덴셜들과 연관될 사용자 인증 크리덴셜을 저장하기 위한 사용자 인증 크리덴셜(UAC) 저장소(443)를 포함할 수 있다. 예컨대, 사용자 인증 크리덴셜은, 패스워드, 음성 데이터, 이미지 데이터, 및/또는 무선 디바이스의 사용자를 고유하게 식별하는 다른 정보를 포함할 수 있다.
[0059] 메모리(440)는 또한, 적어도 다음의 소프트웨어(SW) 모듈들을 저장할 수 있는 비-일시적인 컴퓨터-판독가능 매체(예컨대, 하나 또는 그 초과의 비휘발성 메모리 엘리먼트들, 이를테면 EPROM, EEPROM, 플래시 메모리, 하드 드라이브 등)를 포함할 수 있다:
● WLAN의 멤버들 간에 네트워크 크리덴셜 저장소(442)에 저장된 네트워크 크리덴셜들을 획득 및/또는 분배하기 위한 네트워크 크리덴셜 분배 SW 모듈(445);
● 사용자 인증 크리덴셜에 적어도 부분적으로 기반하여 무선 디바이스를 WLAN에 대한 새로운 구성기로서 인증하기 위한 구성기 인증 SW 모듈(446); 및
● 네트워크 크리덴셜 저장소(442)에 저장된 네트워크 크리덴셜들을 새로운 구성기에 제공하고 그리고 새로운 구성기가 WLAN에 대한 액세스를 관리 및/또는 제어할 수 있게 하기 위한 구성기 온-보딩 SW 모듈(447).
각각의 소프트웨어 모듈은, 프로세서(430)에 의해 실행되는 경우 AP(400)로 하여금 대응하는 기능들을 수행하게 하는 명령들을 포함한다. 따라서, 메모리(440)의 비-일시적인 컴퓨터-판독가능 매체는 도 6에 도시된 동작들 및/또는 도 7에 도시된 AP-측 동작들 중 일부 또는 전부를 수행하기 위한 명령들을 포함한다.
[0060] 프로세서(430)는, AP(400)에(예컨대, 메모리(440) 내에) 저장된 하나 또는 그 초과의 소프트웨어 프로그램들의 스크립트들 또는 명령들을 실행할 수 있는 임의의 적절한 하나 또는 그 초과의 프로세서들일 수 있다. 예컨대, 프로세서(430)는, WLAN의 멤버들 간에 네트워크 크리덴셜 저장소(442)에 저장된 네트워크 크리덴셜들을 획득 및/또는 분배하기 위해, 네트워크 크리덴셜 분배 SW 모듈(445)을 실행할 수 있다. 프로세서(430)는 또한, 사용자 인증 크리덴셜에 적어도 부분적으로 기반하여 WLAN에 대한 새로운 구성기로서 무선 디바이스를 인증하기 위해, 구성기 인증 SW 모듈(446)을 실행할 수 있다. 더 추가로, 프로세서(430)는, 네트워크 크리덴셜 저장소(442)에 저장된 네트워크 크리덴셜들을 새로운 구성기에 제공하고 그리고 새로운 구성기가 WLAN에 대한 액세스를 관리 및/또는 제어할 수 있게 하기 위해, 구성기 온-보딩 SW 모듈(447)을 실행할 수 있다.
[0061] 도 5는, 예시적인 실시예들에 따른 무선 디바이스(500)의 블록도를 도시한다. 무선 디바이스(500)는, 도 2의 무선 디바이스(230)의 일 실시예일 수 있다. 무선 디바이스(500)는 또한, 도 1의 구성기(140) 및/또는 도 2의 구성기(220)의 일 실시예일 수 있다. 무선 디바이스(500)는 적어도 PHY 디바이스(510), 프로세서(520), 메모리(530), 및 다수의 안테나들(540(1)-540(n))을 포함한다.
[0062] PHY 디바이스(510)는 적어도 한 세트의 트랜시버들(511) 및 기저대역 프로세서(512)를 포함한다. 트랜시버들(511)은 직접적으로 또는 안테나 선택 회로(간략화를 위해 도시되지 않음)를 통해 안테나들(540(1)-540(n))에 커플링될 수 있다. 트랜시버들(511)은 다른 무선 디바이스들(예컨대, AP들, 클라이언트 디바이스들, 및/또는 다른 무선 디바이스들)에 신호들을 송신하고 그리고 그들로부터 신호들을 수신하기 위해 사용될 수 있고, 주변 환경을 스캔하여 (예컨대, 무선 디바이스(500)의 무선 범위 내의) 인근의 무선 디바이스들을 검출 및 식별하기 위해 사용될 수 있다. 기저대역 프로세서(512)는, 프로세서(520) 및/또는 메모리(530)로부터 수신되는 신호들을 프로세싱하고 그리고 프로세싱된 신호들을 하나 또는 그 초과의 안테나들(540(1)-540(n))을 통한 송신을 위해 트랜시버들(511)에 포워딩하는 데 사용될 수 있다. 기저대역 프로세서(512)는 또한, 트랜시버들(511)을 통해 하나 또는 그 초과의 안테나들(540(1)-540(n))로부터 수신되는 신호들을 프로세싱하고 그리고 프로세싱된 신호들을 프로세서(520) 및/또는 메모리(530)에 포워딩하는 데 사용될 수 있다.
[0063] 메모리(530)는, 디바이스들(예컨대, 멤버 디바이스들)이 WLAN에 액세스하는 것을 허가하기 위해 사용되는 네트워크 크리덴셜들의 세트를 저장하는 네트워크 크리덴셜 저장소(531)를 포함할 수 있다. 일부 실시예들의 경우, 네트워크 크리덴셜 저장소(531)는, (예컨대, 공개 키 화이트리스트-기반 액세스 제어를 위한) WLAN의 각각의 멤버에 대한 아이덴티티 키 정보(예컨대, 공개 루트 아이덴티티 키들)를 저장할 수 있다. 다른 실시예들의 경우, 네트워크 크리덴셜 저장소(531)는, (예컨대, 인증서-기반 액세스 제어를 위해) 멤버 디바이스들에 의한 통신들을 증명하기 위해 사용될 수 있는 한 쌍의 인증 기관(CA) 공개 및 개인 키들을 저장할 수 있다.
[0064] 메모리(530)는 또한, 적어도 다음의 소프트웨어(SW) 모듈들을 저장할 수 있는 비-일시적인 컴퓨터-판독가능 매체(예컨대, 하나 또는 그 초과의 비휘발성 메모리 엘리먼트들, 이를테면 EPROM, EEPROM, 플래시 메모리, 하드 드라이브 등)를 포함할 수 있다:
● 무선 디바이스(500)의 사용자로부터 사용자 인증 크리덴셜(UAC)(533)을 획득하기 위한 사용자 인증 SW 모듈(532);
● WLAN의 하나 또는 그 초과의 멤버 디바이스들(예컨대, AP들) 간에 네트워크 크리덴셜 저장소(531)에 저장된 네트워크 크리덴셜들을 오프로딩 및/또는 분배하기 위한 네트워크 크리덴셜 오프로딩 SW 모듈(534);
● 무선 디바이스(500)를 WLAN에 대한 구성기로서 구성 및/또는 동작시키기 위한 구성기 셋업 SW 모듈(536).
각각의 소프트웨어 모듈은, 프로세서(520)에 의해 실행되는 경우 무선 디바이스(500)로 하여금 대응하는 기능들을 수행하게 하는 명령들을 포함한다. 따라서, 메모리(530)의 비-일시적인 컴퓨터-판독가능 매체는 도 7에 도시된 구성기-측 동작들 및/또는 무선 디바이스-측 동작들 중 일부 또는 전부를 수행하기 위한 명령들을 포함한다.
[0065] 프로세서(520)는, 무선 디바이스(500)에(예컨대, 메모리(530) 내에) 저장된 하나 또는 그 초과의 소프트웨어 프로그램들의 스크립트들 또는 명령들을 실행할 수 있는 임의의 적절한 하나 또는 그 초과의 프로세서들일 수 있다. 예컨대, 프로세서(520)는, 무선 디바이스(500)의 사용자로부터 사용자 인증 크리덴셜(533)을 획득하기 위해, 사용자 인증 SW 모듈(532)을 실행할 수 있다. 프로세서(520)는 또한, WLAN의 하나 또는 그 초과의 멤버 디바이스들(예컨대, AP들) 간에 네트워크 크리덴셜 저장소(531)에 저장된 네트워크 크리덴셜들을 오프로딩 및/또는 분배하기 위해, 네트워크 크리덴셜 오프로딩 SW 모듈(534)을 실행할 수 있다. 더 추가로, 프로세서(520)는, 무선 디바이스(500)를 WLAN에 대한 구성기로서 구성 및/또는 동작시키기 위해, 구성기 셋업 SW 모듈(536)을 실행할 수 있다.
[0066] 도 6은 예시적인 실시예들에 따른, 무선 네트워크에 대한 네트워크 크리덴셜들을 분배하기 위한 동작(600)을 도시하는 예시적인 흐름도를 도시한다. 예컨대, 도 2를 참조하면, 예시적인 동작(600)은, 구성기(220)로부터 무선 디바이스(230)로 네트워크 크리덴셜들(222)의 세트를 분배 및/또는 전달하도록 AP(210)에 의해 수행될 수 있다.
[0067] AP(210)는 먼저, 구성기로부터 네트워크 크리덴셜들의 세트를 수신한다(610). 예컨대, AP(210)는, 구성기(220)를 인증할 시 및/또는 그 이후 주기적으로(또는, 예컨대, 네트워크 크리덴셜들(222)에 대한 변경들에 대한 응답으로), 구성기(220)로부터 네트워크 크리덴셜들(222)을 수신할 수 있다. 네트워크 크리덴셜들(222)은, 무선 네트워크에 대한 액세스를 신뢰되는 및/또는 인증된 디바이스들(예컨대, 무선 네트워크의 멤버들)로 제한하는 데 사용될 수 있다. 일부 양상들에서, 네트워크 크리덴셜들(222)은, (예컨대, 공개 키 화이트리스트-기반 액세스 제어를 위한) 신뢰되는 멤버 디바이스들에 대한 공개 루트 아이덴티티 키들의 리스트를 포함할 수 있다. 다른 양상들에서, 네트워크 크리덴셜들(222)은, (예컨대, 인증서-기반 액세스 제어를 위해) 멤버 디바이스들에 의한 통신들을 증명 및/또는 서명하기 위해 인증 기관에 의해 사용될 수 있는 한 쌍의 CA 공개 및 개인 키들을 포함할 수 있다.
[0068] AP(210)는 무선 디바이스로부터 사용자 인증 크리덴셜(UAC)을 수신할 수 있다(620). 예컨대, AP(210)는, 무선 디바이스(230)로부터 사용자 인증 크리덴셜(232)을 수신할 수 있다. 더 구체적으로, 무선 디바이스(230)의 사용자(201)는, 무선 디바이스의 하나 또는 그 초과의 입력 피쳐들(예컨대, 마이크로폰, 카메라, 터치스크린, 키보드 등)을 통해, 사용자 인증 크리덴셜(232)을 제공할 수 있다. 일부 실시예들에서, 사용자 인증 크리덴셜(232)은 영숫자 패스워드를 포함할 수 있다. 다른 실시예들에서, 사용자 인증 크리덴셜(232)은 오디오 레코딩 및/또는 음성 데이터를 포함할 수 있다. 더 추가로, 일부 실시예들에서, 사용자 인증 크리덴셜(232)은 사진 및/또는 이미지 데이터를 포함할 수 있다.
[0069] 그런 다음, AP(210)는, 사용자 인증 크리덴셜에 적어도 부분적으로 기반하여 무선 디바이스를 새로운 구성기로서 인증할 수 있다(630). 예시적인 실시예들은, 동일한 사용자(201)가 무선 디바이스(230) 및 구성기(220) 둘 모두를 소유하고 그리고/또는 동작시킬 수 있음을 인지한다. 따라서, AP(210)는, (예컨대, 단지 무선 디바이스(230)를 인증하는 것이 아니라) 사용자(201)를 인증함으로써 무선 디바이스(230)의 신뢰성을 결정할 수 있다. 예컨대, AP(210)는, 동일한 사용자(201)가 사용자 인증 크리덴셜들(224 및 232) 둘 모두를 입력하는지 여부를 결정하기 위해, 무선 디바이스(230)로부터의 사용자 인증 크리덴셜(232)을, (예컨대, 구성기(220)로부터 앞서 수신될 수 있는) 저장된 사용자 인증 크리덴셜(224)과 비교할 수 있다. AP(210)는, 무선 디바이스(230)로부터의 사용자 인증 크리덴셜(232)이 저장된 사용자 인증 크리덴셜(224)에 실질적으로 매칭하면, 무선 디바이스를 새로운 구성기로서 인증할 수 있다.
[0070] 마지막으로, AP(210)는, 무선 디바이스를 새로운 구성기로서 인증할 시, 네트워크 크리덴셜들을 무선 디바이스에 송신할 수 있다(640). 예컨대, AP(210)는, 무선 디바이스(230)가 구성기(220)에 대한 백업으로 기능하고 그리고/또는 구성기(220)에 대한 리던던시를 제공할 수 있게 하기 위해, 네트워크 크리덴셜들(222)의 카피를 무선 디바이스(230)에 분배할 수 있다. 또한, 네트워크 크리덴셜들(222)의 로컬 카피(local copy)를 저장함으로써, 무선 디바이스(230)는, 구성기(220)가 분실되고, 도난당하고, 교체되고, 그리고/또는 다른 방식으로 무선 네트워크로부터 제거되게 되는 경우에서, 구성기(220)의 역할을 맡을 수 있다(예컨대, 그에 따라, 무선 네트워크의 멤버쉽을 유지할 수 있음).
[0071] 도 7은 예시적인 실시예들에 따른, 무선 네트워크에 새로운 구성기를 온-보딩하기 위한 동작(700)을 도시하는 예시적인 흐름도를 도시한다. 예컨대, 도 2를 참조하면, 예시적인 동작(700)은, 무선 디바이스(230)를 무선 네트워크에 대한 구성기로서 온-보딩하도록, AP(210), 구성기(220), 및 무선 디바이스(230)에 의해 수행될 수 있다.
[0072] 구성기(220)는, 구성기(220)의 사용자로부터 제1 사용자 인증 크리덴셜(UAC0)을 수신한다(702). 위에 설명된 바와 같이, 제1 사용자 인증 크리덴셜(UAC0)은, 영숫자 패스워드, 음성 레코딩, 이미지, 및/또는 구성기(220)의 사용자(201)를 고유하게 식별하는 다른 정보를 포함할 수 있다. 더 구체적으로, 사용자(201)는, 구성기(220)의 하나 또는 그 초과의 입력 피쳐들(예컨대, 마이크로폰, 카메라, 터치스크린, 키보드 등)을 사용하여 구성기(220) 상에 제1 사용자 인증 크리덴셜(UAC0)을 입력할 수 있다.
[0073] 그런 다음, 구성기(220)는, 제1 사용자 인증 크리덴셜(UAC0)과 함께 네트워크 크리덴셜들(NC)의 세트를 AP(210)에 전송한다(704). 예컨대, 구성기(220)는, AP(210) 상에 또는 AP(210)에 의해 저장될 (예컨대, 무선 네트워크에 대한 액세스를 멤버 디바이스들에 허가하고 그리고/또는 그들로 제한하기 위한) 네트워크 크리덴셜들(222)의 카피를 분배할 수 있다. 일부 실시예들의 경우, 네트워크 크리덴셜들(222)은 다른 디바이스들에 (예컨대, AP(210)에 의해) 재분배될 수 있다. 따라서, 제1 사용자 인증 크리덴셜(UAC0)은, 네트워크 크리덴셜들(222)의 카피를 획득하려 시도하는 임의의 디바이스의 신뢰성(예컨대, 사용자)을 검증하기 위한 "레퍼런스(reference) 크리덴셜"로서 기능할 수 있다.
[0074] AP(210)는, 구성기(220)로부터의 네트워크 크리덴셜들 및 제1 사용자 인증 크리덴셜(UAC0)을 저장한다(706). 일부 실시예들의 경우, AP(210)는, 구성기(220)로부터 네트워크 크리덴셜들(222)의 카피를 처음 수신한 후, 제1 사용자 인증 크리덴셜(UAC0)을 요청할 수 있다. 예컨대, 네트워크 크리덴셜들(222)을 수신할 시, AP(210)는 UAC 요청을 구성기(220)에 전송할 수 있고, 이는, 구성기(220)로 하여금, 제1 사용자 인증 크리덴셜(UAC0)을 입력 또는 제공할 것을 사용자(201)에게 촉구하게 한다. 예시적인 실시예들에서, AP(210)는, 새로운 구성기 디바이스들을 온-보딩하기 위해 네트워크 크리덴셜들(222) 및 제1 사용자 인증 크리덴셜(UAC0)을 사용할 수 있다. 예컨대, AP(210)는, 무선 디바이스(230)를 무선 네트워크에 대한 구성기로서 온-보딩할 수 있다.
[0075] 무선 디바이스(230)는, 무선 디바이스(230)의 사용자로부터 제2 사용자 인증 크리덴셜(UAC1)을 수신한다(708). 제2 사용자 인증 크리덴셜(UAC1)은, 제1 사용자 인증 크리덴셜(UAC0)과 동일한 포맷 및/또는 타입을 가질 수 있다. 예컨대, 제2 사용자 인증 크리덴셜(UAC1)은, 영숫자 패스워드, 음성 레코딩, 이미지, 및/또는 무선 디바이스(230)의 사용자(201)를 고유하게 식별하는 다른 정보를 포함할 수 있다. 구체적으로, 사용자(201)는, 무선 디바이스(230)의 하나 또는 그 초과의 입력 피쳐들(예컨대, 마이크로폰, 카메라, 터치스크린, 키보드 등)을 사용하여 제2 사용자 인증 크리덴셜(UAC1)을 입력할 수 있다.
[0076] 무선 디바이스(230)는 추가로, AP(210)와의 통신들의 보안 채널을 설정한다(710). 예시적인 실시예들에서, 무선 디바이스(230)는, DPP 프로토콜에 따라 보안 채널을 설정할 수 있다. 예컨대, 무선 디바이스(230)는, AP(210)가 신뢰되는 디바이스임을 보장하기 위해, (예컨대, QR 코드, BLE 통신, NFC 통신, USB 연결, 라벨 스트링 등을 사용하여) 대역외 방식으로 AP(210)의 공개 루트 아이덴티티 키를 획득할 수 있다. 그런 다음, 무선 디바이스(230)는, (예컨대, 암호화된 메시지들의 교환을 통해) 보안 통신 채널을 설정하기 위해 AP(210)와 DPP 인증 프로세스를 개시할 수 있다. 인증 프로세스 동안, 무선 디바이스(230)는 자신 고유의 공개 루트 아이덴티티 키를 AP(210)에 제공할 수 있다.
[0077] 그런 다음, 무선 디바이스(230)는, 보안 통신 채널을 통해 제2 사용자 인증 크리덴셜(UAC1)을 AP(210)에 전송한다(712). 예컨대, 무선 디바이스(230)는, 자신 고유의 개인 루트 아이덴티티 키를 사용하여 제2 사용자 인증 크리덴셜(UAC1)을 암호화할 수 있다. 그런 다음, AP(210)는, (예컨대, DPP 인증 프로세스 동안 수신된) 무선 디바이스(230)의 공개 루트 아이덴티티 키를 사용하여 제2 사용자 인증 크리덴셜(UAC1)을 복호화할 수 있다.
[0078] AP(210)는, 무선 디바이스(230)의 사용자(201)를 검증하기 위해, 제2 사용자 인증 크리덴셜(UAC1)을 제1 사용자 인증 크리덴셜(UAC0)과 비교할 수 있다(714). 예시적인 실시예들에서, AP(210)는, 비교에 기초하여, 무선 디바이스(230)의 사용자(201)가 구성기(220)의 사용자(201)와 동일한지 여부를 결정할 수 있다. 제2 사용자 인증 크리덴셜(UAC1)이 제1 사용자 인증 크리덴셜(UAC0)에 매칭하지 않으면(716), AP(210)는 무선 디바이스(230)의 구성기 셋업을 종결할 수 있다(718). 예컨대, AP(210)는, 무선 디바이스(230)(및/또는 무선 디바이스(230)의 사용자)가 인증될 수 없다는 것을 표시하는 메시지를 무선 디바이스(230)에 전송할 수 있다.
[0079] (716에서 테스팅될 때) 제2 사용자 인증 크리덴셜(UAC1)이 제1 사용자 인증 크리덴셜(UAC0)에 실질적으로 매칭하면, AP(210)는, 저장된 네트워크 크리덴셜들을 무선 디바이스(230)로 전송하는 것으로 진행할 수 있고(720), 네트워크 크리덴셜들을 사용하여, 무선 디바이스(230)가 무선 네트워크에 대한 구성기로서 동작하게 할 수 있다(722). 예컨대, 무선 디바이스(230)는, AP(210)로부터 네트워크 크리덴셜들(222)의 카피를 수신할 수 있고, 후속하여, 무선 네트워크에 대한 액세스를 멤버 디바이스들에 제공하고 그리고/또는 이들로 제한하기 위해 네트워크 크리덴셜들(222)을 사용할 수 있다. 따라서, 무선 디바이스(230)는, 구성기(220)가 분실되거나, 도난당하거나, 교체되거나, 또는 다른 방식으로 무선 네트워크로부터 제거되게 되는 경우에서, 구성기(220)에 대한 리던던시를 제공하고 그리고/또는 무선 네트워크의 멤버쉽을 보존할 수 있다.
[0080] 정보 및 신호들이 다양한 상이한 기술들 및 기법들 중 임의의 기술 및 기법을 사용하여 표현될 수 있음을 당업자들은 인식할 것이다. 예컨대, 위의 설명 전반에 걸쳐 참조될 수 있는 데이터, 명령들, 커맨드들, 정보, 신호들, 비트들, 심볼들, 및 칩들은 전압들, 전류들, 전자기파들, 자기장들 또는 자기 입자들, 광학 필드들 또는 광학 입자들, 또는 이들의 임의의 결합에 의해 표현될 수 있다.
[0081] 추가로, 본원에 개시된 양상들과 관련하여 설명된 다양한 예시적인 로직 블록들, 모듈들, 회로들, 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어, 또는 이 둘의 결합들로서 구현될 수 있음을 당업자들은 인식할 것이다. 하드웨어와 소프트웨어의 이러한 상호교환가능성을 명확히 예시하기 위해, 다양한 예시적인 컴포넌트들, 블록들, 모듈들, 회로들, 및 단계들은 그들의 기능의 관점들에서 일반적으로 위에 설명되었다. 그러한 기능이 하드웨어로서 구현되는지 또는 소프트웨어로서 구현되는지는 특정 애플리케이션 및 전체 시스템에 부과된 설계 제약들에 의존한다. 당업자들은 설명된 기능을 각각의 특정 애플리케이션에 대해 다양한 방식들로 구현할 수 있지만, 이러한 구현 결정들이 개시내용의 범위를 벗어나는 것으로 해석되어서는 안 된다.
[0082] 본원에 개시된 양상들과 관련하여 설명되는 방법들, 시퀀스들, 또는 알고리즘들은 직접적으로 하드웨어로, 프로세서에 의해 실행되는 소프트웨어 모듈로, 또는 이 둘의 결합으로 구현될 수 있다. 소프트웨어 모듈은, RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터들, 하드 디스크, 착탈식 디스크, CD-ROM, 또는 당업계에 알려져 있는 임의의 다른 형태의 저장 매체에 상주할 수 있다. 예시적인 저장 매체는, 프로세서가 저장 매체로부터 정보를 판독하고 저장 매체에 정보를 기입할 수 있도록 프로세서에 커플링된다. 대안으로, 저장 매체는 프로세서에 통합될 수 있다.
[0083] 전술한 명세서에서, 예시적인 실시예들은, 그들의 특정한 예시적인 실시예들을 참조하여 설명되었다. 그러나, 첨부된 청구항들에 기재된 본 개시내용의 더 넓은 범위를 벗어나지 않으면서 그에 대한 다양한 수정들 및 변경들이 이루어질 수 있다는 것이 명백할 것이다. 따라서, 명세서 및 도면들은 제한적인 의미보다는 예시적인 의미로 간주되어야 한다.

Claims (30)

  1. 무선 네트워크에 대한 네트워크 크리덴셜(credential)들을 분산시키는 방법으로서,
    상기 방법은, 상기 무선 네트워크의 제1 디바이스에 의해 수행되며,
    제1 구성기로부터, 하나 또는 그 초과의 디바이스들이 상기 무선 네트워크에 액세스하는 것을 허가하기 위해 사용되는 네트워크 크리덴셜들의 세트를 수신하는 단계;
    제2 디바이스로부터 사용자 인증 크리덴셜을 수신하는 단계;
    상기 사용자 인증 크리덴셜에 적어도 부분적으로 기반하여, 상기 제2 디바이스를 상기 무선 네트워크에 대한 제2 구성기로서 인증하는 단계; 및
    상기 네트워크 크리덴셜들의 세트를 상기 제2 구성기에 송신하는 단계
    를 포함하는, 무선 네트워크에 대한 네트워크 크리덴셜들을 분산시키는 방법.
  2. 제1항에 있어서,
    상기 네트워크 크리덴셜들의 세트는, 상기 하나 또는 그 초과의 디바이스들과 연관된 신뢰되는 공개(public) 키들의 리스트를 포함하는, 무선 네트워크에 대한 네트워크 크리덴셜들을 분산시키는 방법.
  3. 제1항에 있어서,
    상기 네트워크 크리덴셜들의 세트는, 상기 하나 또는 그 초과의 디바이스들을 상기 무선 네트워크의 멤버들로서 증명하기 위해 사용되는 공개 및 개인 키들의 쌍을 포함하는, 무선 네트워크에 대한 네트워크 크리덴셜들을 분산시키는 방법.
  4. 제1항에 있어서,
    상기 제1 구성기로부터 레퍼런스(reference) 크리덴셜을 수신하는 단계를 더 포함하는, 무선 네트워크에 대한 네트워크 크리덴셜들을 분산시키는 방법.
  5. 제4항에 있어서,
    상기 인증하는 단계는,
    상기 사용자 인증 크리덴셜을 상기 레퍼런스 크리덴셜과 비교하는 단계; 및
    상기 사용자 인증 크리덴셜이 상기 레퍼런스 크리덴셜에 실질적으로 매칭한다고 결정할 시, 상기 제2 디바이스를 상기 제2 구성기로서 인증하는 단계
    를 포함하는, 무선 네트워크에 대한 네트워크 크리덴셜들을 분산시키는 방법.
  6. 제5항에 있어서,
    상기 무선 네트워크 외부의 하나 또는 그 초과의 프로세싱 리소스들에 의해 수행될 상기 비교를 오프로딩(offload)하는 단계를 더 포함하는, 무선 네트워크에 대한 네트워크 크리덴셜들을 분산시키는 방법.
  7. 제1항에 있어서,
    상기 사용자 인증 크리덴셜은, 상기 제2 디바이스의 사용자에 의해 입력되는 패스워드, 음성 데이터, 또는 이미지 데이터 중 적어도 하나를 포함하는, 무선 네트워크에 대한 네트워크 크리덴셜들을 분산시키는 방법.
  8. 제1항에 있어서,
    상기 사용자 인증 크리덴셜을 수신하는 단계는,
    상기 제1 디바이스의 공개 아이덴티티(identity) 키에 적어도 부분적으로 기반하여, 상기 제2 디바이스와 보안 채널을 설정하는 단계; 및
    상기 보안 채널을 통해, 상기 제2 디바이스로부터 상기 사용자 인증 크리덴셜을 수신하는 단계
    를 포함하는, 무선 네트워크에 대한 네트워크 크리덴셜들을 분산시키는 방법.
  9. 제8항에 있어서,
    상기 공개 아이덴티티 키는 대역외(out-of-band) 방식으로 상기 제2 디바이스에 제공되는, 무선 네트워크에 대한 네트워크 크리덴셜들을 분산시키는 방법.
  10. 제1항에 있어서,
    상기 인증하는 단계는, 상기 제2 디바이스가, 부가적인 디바이스들이 상기 무선 네트워크에 액세스하는 것을 허가할 수 있게 하는 단계를 포함하는, 무선 네트워크에 대한 네트워크 크리덴셜들을 분산시키는 방법.
  11. 무선 디바이스로서,
    하나 또는 그 초과의 프로세서들; 및
    명령들을 저장하는 메모리를 포함하며,
    상기 명령들은, 상기 하나 또는 그 초과의 프로세서들에 의해 실행되는 경우, 상기 무선 디바이스로 하여금,
    제1 구성기로부터, 하나 또는 그 초과의 디바이스들이 무선 네트워크에 액세스하는 것을 허가하기 위해 사용되는 네트워크 크리덴셜들의 세트를 수신하게 하고,
    다른 무선 디바이스로부터 사용자 인증 크리덴셜을 수신하게 하고,
    상기 사용자 인증 크리덴셜에 적어도 부분적으로 기반하여, 상기 다른 무선 디바이스를 상기 무선 네트워크에 대한 제2 구성기로서 인증하게 하고, 그리고
    상기 네트워크 크리덴셜들의 세트를 상기 제2 구성기에 송신하게 하는,
    무선 디바이스.
  12. 제11항에 있어서,
    상기 네트워크 크리덴셜들의 세트는, 상기 하나 또는 그 초과의 디바이스들과 연관된 신뢰되는 공개 키의 리스트를 포함하는, 무선 디바이스.
  13. 제11항에 있어서,
    상기 네트워크 크리덴셜들의 세트는, 상기 하나 또는 그 초과의 디바이스들을 상기 무선 네트워크의 멤버들로서 증명하기 위해 사용되는 공개 및 개인 키들의 쌍을 포함하는, 무선 디바이스.
  14. 제11항에 있어서,
    상기 명령들의 실행은, 상기 무선 디바이스로 하여금 추가로, 상기 제1 구성기로부터 레퍼런스 크리덴셜을 수신하게 하는, 무선 디바이스.
  15. 제14항에 있어서,
    상기 다른 무선 디바이스를 인증하기 위한 명령들의 실행은, 상기 무선 디바이스로 하여금,
    상기 사용자 인증 크리덴셜을 상기 레퍼런스 크리덴셜과 비교하게 하고; 그리고
    상기 사용자 인증 크리덴셜이 상기 레퍼런스 크리덴셜에 실질적으로 매칭한다고 결정할 시, 상기 다른 무선 디바이스를 상기 제2 구성기로서 인증하게 하는,
    무선 디바이스.
  16. 제11항에 있어서,
    상기 사용자 인증 크리덴셜은, 상기 다른 무선 디바이스의 사용자에 의해 입력되는 패스워드, 음성 데이터, 또는 이미지 데이터 중 적어도 하나를 포함하는, 무선 디바이스.
  17. 제11항에 있어서,
    상기 사용자 인증 크리덴셜을 수신하기 위한 명령들의 실행은, 상기 무선 디바이스로 하여금,
    상기 무선 디바이스의 공개 아이덴티티 키에 적어도 부분적으로 기반하여, 상기 다른 무선 디바이스와 보안 채널을 설정하게 하고 ― 상기 공개 아이덴티티 키는 대역외(out-of-band) 방식으로 상기 다른 무선 디바이스에 제공됨 ―; 그리고
    상기 보안 채널을 통해, 상기 다른 무선 디바이스로부터 상기 사용자 인증 크리덴셜을 수신하게 하는,
    무선 디바이스.
  18. 제11항에 있어서,
    상기 다른 무선 디바이스를 인증하기 위한 명령들의 실행은, 상기 무선 디바이스로 하여금, 상기 다른 무선 디바이스가, 부가적인 디바이스들이 상기 무선 네트워크에 액세스하는 것을 허가할 수 있게 하는, 무선 디바이스.
  19. 제11항에 있어서,
    상기 무선 디바이스는 무선 액세스 포인트(AP)인, 무선 디바이스.
  20. 무선 디바이스로서,
    제1 구성기로부터, 하나 또는 그 초과의 디바이스들이 무선 네트워크에 액세스하는 것을 허가하기 위해 사용되는 네트워크 크리덴셜들의 세트를 수신하기 위한 수단;
    다른 무선 디바이스로부터 사용자 인증 크리덴셜을 수신하기 위한 수단;
    상기 사용자 인증 크리덴셜에 적어도 부분적으로 기반하여, 상기 다른 무선 디바이스를 상기 무선 네트워크에 대한 제2 구성기로서 인증하기 위한 수단; 및
    상기 네트워크 크리덴셜들의 세트를 상기 제2 구성기에 송신하기 위한 수단을 포함하는, 무선 디바이스.
  21. 제20항에 있어서,
    상기 네트워크 크리덴셜들의 세트는, 상기 하나 또는 그 초과의 디바이스들과 연관된 신뢰되는 공개 키들의 리스트를 포함하는, 무선 디바이스.
  22. 제20항에 있어서,
    상기 네트워크 크리덴셜들의 세트는, 상기 하나 또는 그 초과의 디바이스들을 상기 무선 네트워크의 멤버들로서 증명하기 위해 사용되는 공개 및 개인 키들의 쌍을 포함하는, 무선 디바이스.
  23. 제20항에 있어서,
    상기 다른 무선 디바이스를 인증하기 위한 수단은,
    상기 사용자 인증 크리덴셜을 상기 제1 구성기로부터 수신된 레퍼런스 크리덴셜과 비교하고; 그리고
    상기 사용자 인증 크리덴셜이 상기 레퍼런스 크리덴셜에 실질적으로 매칭한다고 결정할 시, 상기 다른 무선 디바이스를 상기 제2 구성기로서 인증하기 위한 것인,
    무선 디바이스.
  24. 제20항에 있어서,
    상기 사용자 인증 크리덴셜은, 상기 다른 무선 디바이스의 사용자에 의해 입력되는 패스워드, 음성 데이터, 또는 이미지 데이터 중 적어도 하나를 포함하는, 무선 디바이스.
  25. 제20항에 있어서,
    상기 사용자 인증 크리덴셜을 수신하기 위한 수단은,
    상기 무선 디바이스의 공개 아이덴티티 키에 적어도 부분적으로 기반하여, 상기 다른 무선 디바이스와 보안 채널을 설정하고 ― 상기 공개 아이덴티티 키는 대역외 방식으로 상기 다른 무선 디바이스에 제공됨 ―; 그리고
    상기 보안 채널을 통해, 상기 다른 무선 디바이스로부터 상기 사용자 인증 크리덴셜을 수신하기 위한 것인,
    무선 디바이스.
  26. 제20항에 있어서,
    상기 다른 무선 디바이스를 인증하기 위한 수단은, 상기 다른 무선 디바이스가, 부가적인 디바이스들이 상기 무선 네트워크에 액세스하는 것을 허가할 수 있게 하기 위한 것인, 무선 디바이스.
  27. 프로그램 명령들을 저장하는 비-일시적인 컴퓨터-판독가능 저장 매체로서,
    상기 명령들은, 무선 디바이스의 프로세서에 의해 실행되는 경우, 상기 무선 디바이스로 하여금,
    제1 구성기로부터, 하나 또는 그 초과의 디바이스들이 무선 네트워크에 액세스하는 것을 허가하기 위해 사용되는 네트워크 크리덴셜들의 세트를 수신하게 하고,
    다른 무선 디바이스로부터 사용자 인증 크리덴셜을 수신하게 하고,
    상기 사용자 인증 크리덴셜에 적어도 부분적으로 기반하여, 상기 다른 무선 디바이스를 상기 무선 네트워크에 대한 제2 구성기로서 인증하게 하고, 그리고
    상기 네트워크 크리덴셜들의 세트를 상기 제2 구성기에 송신하게 하는,
    비-일시적인 컴퓨터-판독가능 저장 매체.
  28. 제27항에 있어서,
    상기 네트워크 크리덴셜들의 세트는, 상기 하나 또는 그 초과의 디바이스들과 연관된 신뢰되는 공개 키들의 리스트를 포함하는, 비-일시적인 컴퓨터-판독가능 저장 매체.
  29. 제27항에 있어서,
    상기 네트워크 크리덴셜들의 세트는, 상기 하나 또는 그 초과의 디바이스들을 상기 무선 네트워크의 멤버들로서 증명하기 위해 사용되는 공개 및 개인 키들의 쌍을 포함하는, 비-일시적인 컴퓨터-판독가능 저장 매체.
  30. 제27항에 있어서,
    상기 사용자 인증 크리덴셜은, 상기 다른 무선 디바이스의 사용자에 의해 입력되는 패스워드, 음성 데이터, 또는 이미지 데이터 중 적어도 하나를 포함하는, 비-일시적인 컴퓨터-판독가능 저장 매체.
KR1020177034874A 2015-06-05 2016-04-13 분산형 구성기 엔티티 KR20180016371A (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562171563P 2015-06-05 2015-06-05
US62/171,563 2015-06-05
US15/097,229 US20160360407A1 (en) 2015-06-05 2016-04-12 Distributed configurator entity
US15/097,229 2016-04-12
PCT/US2016/027301 WO2016195821A1 (en) 2015-06-05 2016-04-13 Distributed configurator entity

Publications (1)

Publication Number Publication Date
KR20180016371A true KR20180016371A (ko) 2018-02-14

Family

ID=55806853

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177034874A KR20180016371A (ko) 2015-06-05 2016-04-13 분산형 구성기 엔티티

Country Status (9)

Country Link
US (1) US20160360407A1 (ko)
EP (1) EP3304958A1 (ko)
JP (1) JP2018521566A (ko)
KR (1) KR20180016371A (ko)
CN (1) CN107667554A (ko)
AU (1) AU2016271094A1 (ko)
BR (1) BR112017026107A2 (ko)
TW (1) TW201703557A (ko)
WO (1) WO2016195821A1 (ko)

Families Citing this family (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10264113B2 (en) 2014-01-10 2019-04-16 Onepin, Inc. Automated messaging
US10298740B2 (en) * 2014-01-10 2019-05-21 Onepin, Inc. Automated messaging
US9648164B1 (en) 2014-11-14 2017-05-09 United Services Automobile Association (“USAA”) System and method for processing high frequency callers
US11632710B2 (en) * 2016-03-02 2023-04-18 Blackberry Limited Provisioning a device in a network
JP6716399B2 (ja) * 2016-09-06 2020-07-01 キヤノン株式会社 通信装置、通信装置の制御方法及びプログラム
JP6702833B2 (ja) * 2016-09-15 2020-06-03 キヤノン株式会社 通信装置、通信装置の制御及びプログラム
US10318722B2 (en) * 2016-10-31 2019-06-11 International Business Machines Corporation Power charger authorization for a user equipment via a cryptographic handshake
US10356067B2 (en) * 2016-11-02 2019-07-16 Robert Bosch Gmbh Device and method for providing user-configured trust domains
JP6797674B2 (ja) 2016-12-26 2020-12-09 キヤノン株式会社 通信装置、制御方法、及びプログラム
US10880295B2 (en) * 2017-03-06 2020-12-29 Ssh Communications Security Oyj Access control in a computer system
US20180270049A1 (en) * 2017-03-17 2018-09-20 Qualcomm Incorporated Techniques for preventing abuse of bootstrapping information in an authentication protocol
US10171304B2 (en) 2017-04-27 2019-01-01 Blackberry Limited Network policy configuration
US10904073B2 (en) * 2017-10-27 2021-01-26 Hewlett Packard Enterprise Development Lp Reassign standby user anchor controllers
JP7266727B2 (ja) * 2017-12-22 2023-04-28 キヤノン株式会社 通信装置およびその制御方法
JP7054341B2 (ja) 2017-12-22 2022-04-13 キヤノン株式会社 通信装置およびその制御方法
US11638146B2 (en) * 2018-03-28 2023-04-25 Qualcomm Incorporated Onboarding multiple access point (Multi-AP) device using device provisioning protocol (DPP)
US10169587B1 (en) 2018-04-27 2019-01-01 John A. Nix Hosted device provisioning protocol with servers and a networked initiator
US10958425B2 (en) 2018-05-17 2021-03-23 lOT AND M2M TECHNOLOGIES, LLC Hosted dynamic provisioning protocol with servers and a networked responder
US11924639B2 (en) 2018-06-11 2024-03-05 Malikie Innovations Limited Revoking credentials after service access
EP3618382A1 (en) 2018-08-30 2020-03-04 Koninklijke Philips N.V. Non-3gpp device access to core network
JP7296701B2 (ja) * 2018-09-06 2023-06-23 キヤノン株式会社 通信装置、制御方法、およびプログラム
JP7262950B2 (ja) * 2018-09-11 2023-04-24 キヤノン株式会社 通信装置、通信方法及びプログラム
US10911300B2 (en) * 2018-11-23 2021-02-02 Mediatek Singapore Pte. Ltd. Optimization for device provisioning protocol onboarding in wireless networks
JP7324001B2 (ja) * 2018-12-28 2023-08-09 キヤノン株式会社 通信装置、通信装置の制御方法、およびプログラム
JP7259334B2 (ja) * 2019-01-09 2023-04-18 ブラザー工業株式会社 端末装置と端末装置のためのコンピュータプログラム
US11375367B2 (en) * 2019-05-07 2022-06-28 Verizon Patent And Licensing Inc. System and method for deriving a profile for a target endpoint device
US11330441B2 (en) 2019-05-14 2022-05-10 T-Mobile Usa, Inc. Systems and methods for remote device security attestation and manipulation detection
US20220083666A1 (en) * 2019-06-03 2022-03-17 Hewlett-Packard Development Company, L.P. Key authentication
JP7310449B2 (ja) * 2019-08-29 2023-07-19 ブラザー工業株式会社 第1の通信装置と第1の通信装置のためのコンピュータプログラム
CN112543466A (zh) * 2019-09-23 2021-03-23 中兴通讯股份有限公司 一种角色自选举的方法及装置
CN115516901A (zh) * 2020-09-08 2022-12-23 Oppo广东移动通信有限公司 设备配置的方法、设备配网的方法和设备
CN117178575A (zh) * 2021-04-28 2023-12-05 三星电子株式会社 用于管理网络配置信息的电子装置及其操作方法
US11743035B2 (en) * 2021-06-15 2023-08-29 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11658955B1 (en) 2021-06-15 2023-05-23 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11848930B1 (en) 2021-06-15 2023-12-19 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11843636B1 (en) 2021-06-15 2023-12-12 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8743778B2 (en) * 2006-09-06 2014-06-03 Devicescape Software, Inc. Systems and methods for obtaining network credentials
US7974236B2 (en) * 2007-11-16 2011-07-05 Ricoh Company, Ltd. Approach for configuring Wi-Fi devices
CN102497465A (zh) * 2011-10-26 2012-06-13 潘铁军 一种分布式密钥的高保密移动信息安全系统及安全方法
CN103906028B (zh) * 2012-12-28 2017-09-26 华为终端有限公司 无线设备的配置方法及装置、系统
CN104168566B (zh) * 2014-08-19 2018-11-06 京信通信系统(中国)有限公司 一种接入网络的方法及装置

Also Published As

Publication number Publication date
US20160360407A1 (en) 2016-12-08
AU2016271094A1 (en) 2017-11-09
BR112017026107A2 (pt) 2018-08-14
EP3304958A1 (en) 2018-04-11
JP2018521566A (ja) 2018-08-02
WO2016195821A1 (en) 2016-12-08
TW201703557A (zh) 2017-01-16
CN107667554A (zh) 2018-02-06

Similar Documents

Publication Publication Date Title
US20160360407A1 (en) Distributed configurator entity
US10009763B2 (en) Flexible configuration and authentication of wireless devices
US9654972B2 (en) Secure provisioning of an authentication credential
EP3777470B1 (en) Onboarding multiple access point (multi-ap) device using device provisioning protocol (dpp)
EP3700124B1 (en) Security authentication method, configuration method, and related device
US9288672B2 (en) Method for configuring a remote station with a certificate from a local root certificate authority for securing a wireless network
JP2014509162A (ja) セキュアエレメントを用いたリモート局の認証方法
WO2016003311A1 (en) Device bootstrap to wireless network
US20160366124A1 (en) Configuration and authentication of wireless devices
US20240073690A1 (en) Transmission of network access information for wireless device
US20160286390A1 (en) Flexible and secure network management
WO2023070433A1 (en) Authentication between wireless devices and edge servers
US20240080666A1 (en) Wireless communication network authentication for a wireless user device that has a circuitry identifier
WO2016187850A1 (zh) 无线通信网络中设备配置的方法、装置及系统
KR20180056809A (ko) 무선 디바이스들의 플렉서블한 구성 및 인증
KR20130140134A (ko) 무선 네트워크 크리덴셜들의 대역-외 전달을 위한 방법 및 시스템