TW201701683A - 無線設備的靈活配置和認證 - Google Patents

無線設備的靈活配置和認證 Download PDF

Info

Publication number
TW201701683A
TW201701683A TW105114155A TW105114155A TW201701683A TW 201701683 A TW201701683 A TW 201701683A TW 105114155 A TW105114155 A TW 105114155A TW 105114155 A TW105114155 A TW 105114155A TW 201701683 A TW201701683 A TW 201701683A
Authority
TW
Taiwan
Prior art keywords
public
key
wireless device
client device
shared
Prior art date
Application number
TW105114155A
Other languages
English (en)
Inventor
班諾特奧利維爾吉恩
汀那柯爾史瑞斯法普彼拉堡
Original Assignee
高通公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 高通公司 filed Critical 高通公司
Publication of TW201701683A publication Critical patent/TW201701683A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

揭示用於配置無線站以供在無線區域網路內使用的裝置和方法。在至少一個示例性實施例中,成對主金鑰由無線區域網路內的無線站和存取點產生。該成對主金鑰可以至少部分地基於無線站的瞬態身份金鑰對。該瞬態身份金鑰對可由無線站回應於接收到來自存取點的訊息來產生。在一些實施例中,瞬態身份金鑰對中的公共瞬態身份金鑰可被提供給額外存取點以使得無線站能夠向額外存取點認證。

Description

無線設備的靈活配置和認證
各示例實施例大體係關於通訊系統,特定言之係關於配置無線設備以供在無線網路內使用。
無線區域網路(WLAN)可由提供共享無線通訊媒體供數個客戶端設備或站使用的一或多個存取點(AP)形成。可對應於基本服務集(BSS)的每個AP週期性地廣播信標訊框以使得在該AP的無線射程內的任何客戶端設備能夠建立及/或維持與WLAN的通訊鏈路(例如,通訊通道)。
在一些WLAN中,客戶端設備可被配置成用於使用公共金鑰加密演算法與WLAN中的一或多個AP聯用。公共金鑰加密(有時被稱為公共/私有金鑰加密)是使用已知(公共)和機密(私有)金鑰來安全地傳輸資料的方法。公共和私有金鑰通常彼此具有算術關係。除了傳輸資料之外,公共和私有金鑰可驗證訊息和憑證並產生數位簽章。例如,客戶端設備可與WLAN內的AP共享公共金鑰(例如,客戶端設備的公共加密金鑰)。AP可使用客戶端設備的公共金鑰來認證和配置客戶端設備。一旦經認證,客戶端設備就可存取(例如,連接 至)WLAN內的AP。然而,在客戶端設備的公共金鑰的分發之後控制客戶端設備對WLAN的存取可能是困難的。
因此,改良客戶端設備對WLAN的存取控制可能是合乎期望的。
提供本發明內容以便以簡化形式介紹將在以下的詳細描述中進一步描述的概念選集。本發明內容並非意欲標識出要求保護的標的的關鍵特徵或必要特徵,亦非意欲限定要求保護的標的的範疇。
在一些態樣,揭示一種配置無線站以供在無線網路中使用的方法。根據示例實施例,無線站可動態地產生第一公共和私有金鑰對。無線站亦可產生第一共享金鑰。可至少部分地基於第一公共和私有金鑰對來產生第一共享金鑰。無線站可使用第一共享金鑰與存取點通訊。
在另一態樣,揭示一種無線設備,其可包括收發機、處理器和儲存指令的記憶體,該等指令在由處理器執行時使得該無線設備:動態地產生第一公共和私有金鑰對;至少部分地基於第一公共和私有金鑰對來產生第一共享金鑰;及使用該第一共享金鑰與存取點通訊。
在另一示例實施例中,揭示一種配置無線站以供與存取點聯用的方法。存取點可傳送探索訊息。存取點隨後可接收回應於探索訊息而動態產生的第一公共 金鑰。存取點可至少部分地基於與存取點相關聯的公共金鑰和第一公共金鑰來產生第一共享金鑰。存取點隨後可使用第一共享金鑰與客戶端設備通訊。
揭示一種無線設備,其可包括收發機、處理器和儲存指令的記憶體,該等指令在由處理器執行時使得該無線設備:傳送探索訊息,以及接收回應於第一訊息而動態產生的第一公共金鑰。該無線設備可至少部分地基於與該無線設備相關聯的公共金鑰和第一公共金鑰來產生第一共享金鑰。該無線設備可使用第一共享金鑰與無線站通訊。
100‧‧‧無線系統
110‧‧‧無線存取點(AP)
120‧‧‧無線區域網路(WLAN)
130‧‧‧客戶端設備
135‧‧‧QR碼
137‧‧‧根身份金鑰對
138‧‧‧瞬態身份金鑰對
140‧‧‧配置器
200‧‧‧狀態圖
210‧‧‧狀態
220‧‧‧狀態
230‧‧‧狀態
240‧‧‧狀態
250‧‧‧狀態
300‧‧‧流程圖
302‧‧‧步骤
304‧‧‧步骤
306‧‧‧步骤
308‧‧‧步骤
310‧‧‧步骤
312‧‧‧步骤
314‧‧‧步骤
316‧‧‧步骤
318‧‧‧步骤
320a‧‧‧共享PMK
320b‧‧‧共享PMK
322a‧‧‧共享PTK
322b‧‧‧共享PTK
324a‧‧‧共享PTK
324b‧‧‧共享PTK
400‧‧‧流程圖
402‧‧‧步骤
404‧‧‧步骤
406‧‧‧步骤
408‧‧‧步骤
410a‧‧‧共享PMK
410b‧‧‧共享PMK
412a‧‧‧共享PTK
412b‧‧‧共享PTK
414a‧‧‧步骤
414b‧‧‧步骤
500‧‧‧狀態圖
510‧‧‧狀態
520‧‧‧狀態
530‧‧‧狀態
540‧‧‧530
550‧‧‧530
602‧‧‧步骤
604‧‧‧步骤
606‧‧‧步骤
608‧‧‧步骤
610‧‧‧步骤
612‧‧‧步骤
614‧‧‧步骤
616a‧‧‧共享PMK
616b‧‧‧共享PMK
618a‧‧‧共享PTK
618b‧‧‧共享PTK
620a‧‧‧步骤
620b‧‧‧步骤
700‧‧‧無線設備
710‧‧‧收發機
712‧‧‧基頻處理器
721‧‧‧藍芽模組
722‧‧‧NFC模組
723‧‧‧光學模組
724‧‧‧顯示模組
730‧‧‧處理器
740‧‧‧記憶體
742‧‧‧金鑰記憶體
743‧‧‧收發機控制器軟體模組
744‧‧‧金鑰產生軟體模組
745‧‧‧加密/解密軟體模組
746‧‧‧可任選配置器軟體模組
747‧‧‧可任選存取點軟體模組
748‧‧‧可任選站軟體模組
750‧‧‧網路介面
760(1)‧‧‧天線
760(n)‧‧‧天線
示例實施例是作為實例來說明的,且不意欲受附圖中各圖的限制。
圖1是其內可實施示例實施例的無線系統的方塊圖。
圖2圖示了圖示根據示例實施例的圖1的客戶端設備的操作狀態的狀態圖。
圖3圖示根據示例實施例的圖示用於認證和配置圖1的客戶端設備以供與圖1的存取點聯用的示例操作的說明性流程圖。
圖4圖示根據示例實施例的圖示用於向現有無線區域網路(WLAN)添加第二AP的示例操作的說明性流程圖。
圖5圖示根據示例實施例的圖示圖1的客戶端設備的操作狀態的另一狀態圖。
圖6圖示根據示例實施例的圖示用於認證和配置圖1的客戶端設備以供與圖1的存取點聯用的另一示例操作的說明性流程圖。
圖7圖示可作為圖1的AP、客戶端設備及/或配置器的實施例的示例無線設備。
相同的元件符號貫穿全部附圖指示對應的部件。
以下僅出於簡化目的在WLAN系統的上下文中描述示例實施例。將理解,示例實施例等同地適用於其他無線網路(例如,蜂巢網路、微微網路、毫微微網路、衛星網路)以及適用於使用一或多個有線標準或協定(例如,乙太網路及/或HomePlug/PLC標準)的信號的系統。如本文所使用的,術語「WLAN」和「Wi-Fi®」可包括由IEEE 802.11標準族、藍芽、HiperLAN(與IEEE 802.11標準相當的無線標準集,主要在歐洲使用)、以及具有相對較短的無線電傳播距離的其他技術來管控的通訊。由此,術語「WLAN」和「Wi-Fi」在本文可互換地使用。另外,儘管以下以包括一或多個AP以及數個客戶端設備的基礎設施WLAN系統的方式進行描述,但是該等示例實施例等同地適用於其他WLAN系統,包括例如多個WLAN、同級 間(或獨立基本服務集)系統、Wi-Fi直連系統,及/或熱點。
在以下描述中,闡述了眾多特定細節(諸如特定部件、電路和過程的實例),以提供對本案的透徹理解。如本文所使用的,術語「耦合」意指直接連接到,或經由一或多個居間部件或電路來連接。
另外,在以下描述中並且出於解釋目的,闡述了特定的命名以提供對示例實施例的透徹理解。然而,對於本領域技藝人士將明顯的是,可以不需要該等特定細節就能實踐示例實施例。在其他實例中,以方塊圖形式圖示公知的電路和設備以避免混淆本案。該等示例實施例不應被解釋為限於本文描述的特定實例,而是在其範圍內包括由所附請求項所限定的所有實施例。
圖1是其內可實施示例實施例的無線系統100的方塊圖。無線系統100可包括客戶端設備130、無線存取點(AP)110、配置器140、以及無線區域網路(WLAN)120。WLAN 120可由可根據IEEE 802.11標準族(或根據其他合適的無線協定)來操作的複數個Wi-Fi存取點(AP)形成。由此,儘管圖1中出於簡單化而僅圖示一個AP 110,但是將理解,WLAN 120可由任何數目的存取點(諸如AP 110)形成。以類似方式,儘管圖1中出於簡單化僅圖示一個客戶端設備130,但WLAN 120可包括任何數目的客戶端設備。對於一些實施例,無線系統100可對應於單使用者多輸入 多輸出(SU-MIMO)或多使用者MIMO(MU-MIMO)無線網路。此外,儘管WLAN 120在圖1中被圖示為基礎設施BSS(IBSS),但對於其他示例實施例,WLAN 120可以是IBSS、特定(ad-hoc)網路,或同級間(P2P)網路(例如,根據Wi-Fi直連協定來操作)。
客戶端設備130和配置器140中的每一者可以是任何合適的啟用Wi-Fi的無線設備,包括例如蜂巢式電話、個人數位助理(PDA)、平板設備、膝上型電腦,或諸如此類。客戶端設備130及/或配置器140亦可被稱為使用者裝備(UE)、用戶站、行動單元、用戶單元、無線單元、遠端單元、行動設備、無線設備、無線通訊設備、遠端設備、行動用戶站、存取終端、行動終端、無線終端、遠端終端機、手持機、使用者代理、行動服務客戶端、客戶端,或其他某個合適的術語。對於一些實施例,客戶端設備130及/或配置器140可包括一或多個收發機、一或多個處理資源(例如,處理器及/或ASIC)、一或多個記憶體資源、以及電源(例如,電池)。記憶體資源可包括非瞬態電腦可讀取媒體(例如,一或多個非揮發性記憶體元件,諸如EPROM、EEPROM、快閃記憶體、硬碟等),其儲存用於執行以下關於圖3、圖4和圖6所描述的操作的指令。
AP 110可以是允許一或多個無線設備使用Wi-Fi、藍芽,或任何其他合適的無線通訊標準經由AP 110連接至網路(例如,區域網路(LAN)、廣域網路 (WAN)、都會區網路(MAN),及/或網際網路)的任何合適的設備。對於至少一個實施例,AP 110可包括一或多個收發機、一或多個處理資源(例如,處理器及/或ASIC)、一或多個記憶體資源、以及電源。在一些實施例中,AP 110亦可以是任何合適的啟用Wi-Fi和網路的設備,包括例如蜂巢式電話、PDA、平板設備、膝上型電腦,或諸如此類。記憶體資源可包括非瞬態電腦可讀取媒體(例如,一或多個非揮發性記憶體元件,諸如EPROM、EEPROM、快閃記憶體、硬碟等),其儲存用於執行以下關於圖3、圖4和圖6所描述的操作的指令。
對於AP 110、客戶端設備130和配置器140,該一或多個收發機可包括Wi-Fi收發機、藍芽收發機、蜂巢收發機,及/或其他合適的射頻(RF)收發機(出於簡化而未圖示)以傳送和接收無線通訊信號。每個收發機可在不同操作頻帶中及/或使用不同通訊協定與其他無線設備通訊。例如,Wi-Fi收發機可根據IEEE 802.11規範在2.4GHz頻帶內及/或在5GHz頻帶內通訊。蜂巢收發機可根據由第三代合作夥伴計劃(3GPP)所描述的4G長期進化(LTE)協定在各種RF頻帶內(例如,在約700MHz到約3.9GHz之間)及/或根據其他蜂巢協定(例如,全球行動系統(GSM)通訊協定)通訊。在其他實施例中,客戶端設備內所包括的收發機可以是任何技術上可行的收發機,諸如由來自 ZigBee規範的規範所描述的ZigBee收發機、WiGig收發機,及/或由來自HomePlug聯盟的規範所描述的HomePlug收發機。
AP 110可認證和配置客戶端設備130以使得客戶端設備130能夠存取與AP 110相關聯的服務及/或網路。配置器140可輔助及/或發起對客戶端設備130的認證及/或配置。一旦經認證,客戶端設備130就可建立與AP 110的受信任及/或經加密連接。認證過程可涉及公共/私有金鑰加密並且在一些實施例中可涉及兩個不同的公共/私有金鑰對。在配置客戶端設備130時,該等不同金鑰對中的至少一者可被用來建立客戶端設備130與AP 110之間的經加密連接。在一些實施例中,其他安全性機制可作為本文所描述的公共/私有金鑰加密的補充或替代來使用。
客戶端設備130可獲指派公共/私有根身份金鑰對137(有時被稱為身份金鑰對)。例如,根身份金鑰對137可在客戶端設備130製造之時被指派(例如,程式設計)給客戶端設備130。客戶端設備130的認證可在配置器140(從根身份金鑰對137)決定公共根身份金鑰時開始。在一些實施例中,配置器140可按帶外方式決定客戶端設備130的公共根身份金鑰。例如,配置器140(其可不同於客戶端設備130)可以是包括用以掃瞄標籤及/或圖像的光學設備(例如,相機)的智慧型電話。客戶端設備130可包括印有QR碼135的 標籤。QR碼135可顯示公共根身份金鑰或者可指導掃瞄設備從遠端設備或服務取回公共根身份金鑰。因此,QR碼135可直接或間接地向配置器140提供客戶端設備130的公共根身份金鑰。在一些實施例中,條碼標籤可替代QR碼135。
在其他實施例中,可使用其他帶外方法來決定公共根身份金鑰。例如,客戶端設備130可經由近場通訊(NFC)鏈路或藍芽低能量(BLE)鏈路向配置器140傳達公共根身份金鑰。儘管本文僅描述了NFC鏈路和BLE通訊鏈路,但亦可使用任何其他技術上可行的通訊鏈路。
在另一帶外方法中,使用者幹預可向配置器140提供公共根身份金鑰。例如,公共根身份金鑰可被顯示在客戶端設備130的人類可讀顯示器上並且由客戶端設備130的使用者經由使用者介面(例如,鍵盤)輸入。
下一步,配置器140可經由先前建立的受信任連接向AP 110提供公共根身份金鑰並且向AP 110認證客戶端設備130。在一些實施例中,配置器140亦可向AP 110提供經簽章憑證。經簽章憑證可向其他無線設備證明公共根身份金鑰的權威及/或有效性。配置器140亦可儲存客戶端設備130的公共根身份金鑰。
AP 110可使用公共根身份金鑰來探索和配置客戶端設備130。例如,AP 110可傳送使用客戶端 設備130的公共根身份金鑰加密的探索訊息。探索訊息可包括與AP 110相關聯的公共金鑰(公共/私有金鑰對中的公共金鑰)。回應於接收到來自AP 110的探索訊息,客戶端設備130可產生公共/私有瞬態身份金鑰對138(有時被稱為網路置備金鑰對)。瞬態身份金鑰對138(其不同於根身份金鑰對137)可被用來配置客戶端設備130以用於與AP 110的通訊。因此,根身份金鑰對137可被用來認證客戶端設備130,並且瞬態身份金鑰對138可被用來配置客戶端設備130。客戶端設備130可使用任何技術上可行的手段來產生瞬態身份金鑰對138。在一些實施例中,客戶端設備130可獨立地產生瞬態身份金鑰對138。例如,客戶端設備130可包括用以產生瞬態身份金鑰對138的亂數產生器。在其他實施例中,客戶端設備130可接收來自AP 110及/或配置器140的亂數,該亂數可充當用於瞬態身份金鑰對138的產生的種子。
公共瞬態身份金鑰(其來自瞬態身份金鑰對138)可被提供給AP 110及/或配置器140。例如,在產生瞬態身份金鑰對138之後,客戶端設備130可將公共瞬態身份金鑰傳送給AP 110。AP 110隨後可向配置器140轉發公共瞬態身份金鑰。在一些實施例中,公共瞬態身份金鑰亦可被儲存在配置器140中。
客戶端設備130和AP 110可決定用以對客戶端設備130與AP 110之間的通訊加密的共享成對主 金鑰(PMK)。共享PMK可相對於由其他客戶端設備決定的其他共享PMK是唯一性的,並且可以至少部分地基於瞬態身份金鑰對138。
在一些實施例中,在共享PMK被決定之後,配置身份碼可被產生並儲存在客戶端設備130內。配置身份碼可包括共享PMK、「連接子」及/或憑證權威機構(CA)公共金鑰。「連接子」可以是包括網路識別符(例如,WLAN 120的識別符)、設備識別符和公共瞬態身份金鑰的資料結構。連接子可向網路上的其他設備介紹客戶端設備130。CA公共金鑰可驗證公共瞬態身份金鑰、共享PMK或連接子中的其他資訊的有效性。
客戶端設備130可使用公共瞬態身份金鑰與AP 110通訊以完成客戶端設備130的配置並決定共享成對瞬態金鑰(PTK)。例如,客戶端設備130和AP 110可使用四路交握來決定共享PTK。在執行四路交握時,客戶端設備130和AP 110可使用瞬態身份金鑰對138及/或與AP 110相關聯的公共/私有金鑰對來決定共享PTK。共享PTK(其可不同於共享PMK)可被用來對客戶端設備130與AP 110之間的網路通訊加密。客戶端設備130的認證和配置在以下結合圖2和圖3更詳細地描述。
圖2圖示根據示例實施例的圖示圖1的客戶端設備130的操作狀態的狀態圖200。客戶端設備130開始於狀態210。狀態210可以是客戶端設備130的初 始狀態,諸如在客戶端設備130被初始製造及/或從工廠運來時。在狀態210中,客戶端設備130可處理根身份金鑰對137。根身份金鑰對137可被儲存在記憶體(諸如,客戶端設備130的持久記憶體)中。本領域技藝人士將領會,持久記憶體可以是可在沒有電力的情況下保留資料的任何記憶體,諸如電池供電的記憶體、EEPROM、FLASH記憶體、ROM記憶體,或諸如此類。根身份金鑰對137可與客戶端設備130永久地關聯。例如,在客戶端設備130經歷工廠重置以使客戶端設備130返回初始狀態時,客戶端設備130可保留根身份金鑰對137(例如,根身份金鑰對可保持儲存在客戶端設備130內)。
當客戶端設備130被上電時,客戶端設備130轉變至狀態220。在狀態220中,客戶端設備130尚未被認證。客戶端設備130可在接收到使用客戶端設備130的公共根身份金鑰加密的探索訊息之際開始認證過程。如以上關於圖1描述的,配置器140可決定客戶端設備130的公共根身份金鑰。在決定公共根身份金鑰之後,配置器140可將該公共根身份金鑰提供給AP 110。AP 110隨後可傳送至少部分地使用客戶端設備130的公共根身份金鑰加密的探索訊息。探索訊息亦可包括與AP 110相關聯的公共金鑰。
若客戶端設備130接收到沒有至少部分地使用其公共根身份金鑰加密的探索訊息,則客戶端設備 130可保持在狀態220中。另一態樣,若客戶端設備130接收到至少部分地使用其公共根身份金鑰加密的探索訊息,則客戶端設備130可轉變至狀態230。
當客戶端設備130處於狀態230中時,AP 110已認證了客戶端設備130並且相逆地客戶端設備130已認證了AP 110。在進入狀態230之後,客戶端設備130可產生瞬態身份金鑰對138。客戶端設備130和AP 110隨後可使用瞬態身份金鑰對138決定共享PMK。另外,客戶端設備130可決定可包括連接子、CA公共金鑰及/或共享PMK的配置身份碼。該配置身份碼可被儲存在客戶端設備130中。因此,在狀態230中,根身份金鑰對137、瞬態身份金鑰對138及/或配置身份碼可被儲存在客戶端設備130的記憶體內。
當客戶端設備130被下電時,客戶端設備130轉變至狀態240。客戶端設備130的功率狀態可以不影響客戶端設備130的記憶體的至少一部分。更特定地,客戶端設備130的記憶體在下電時可至少保留瞬態身份金鑰對138和配置身份碼。當客戶端設備130再次上電時,客戶端設備130轉變回狀態230。
當客戶端設備130被配置成與AP 110一起操作時,客戶端設備130轉變至狀態250。在狀態250中,客戶端設備130和AP 110可至少部分地基於瞬態身份金鑰對138、與AP 110相關聯的公共/私有金鑰對,及/或PMK來產生共享PTK。共享PTK可被用來對 客戶端設備130與AP 110之間的網路資料訊務加密及/或解密。共享PTK可以是揮發性的。因此,當客戶端設備130轉變至狀態240時(例如,當從客戶端設備130移除電力時),共享PTK可能丟失。在一些實施例中,若與AP 110的無線關聯丟失或終止或者在一超時時段之後,客戶端設備130可從狀態250轉變至狀態230。例如,若客戶端設備130移動超出AP 110的通訊範圍,則客戶端設備130可變成與AP 110不關聯。共享PTK可被丟棄並且客戶端設備130可進入狀態230。在另一實例中,超時時段可期滿,由此導致PTK被丟棄並且使客戶端設備130轉變至狀態230。
當客戶端設備130經歷工廠重置操作時,客戶端設備130可從任何其他狀態返回狀態210。工廠重置操作可丟棄任何所決定的共享金鑰以及瞬態身份金鑰對138。因此,對於一些實施例,客戶端設備130可在工廠重置操作之後僅保留根身份金鑰對137。
圖3圖示根據示例實施例的圖示用於認證和配置客戶端設備130以供與AP 110聯用的示例操作的說明性流程圖300。在一些實施例中,本文所描述的操作可包括額外過程、較少過程、不同次序的過程、並行的過程,及/或不同的一些過程。同樣參照圖1和圖2,該操作開始於配置器140決定客戶端設備130的公共根身份金鑰(302)。公共根身份金鑰可以是與客戶端設備130相關聯的根身份金鑰對137的一部分並且可按帶 外方式決定。下一步,AP 110從配置器140接收客戶端設備130的公共根身份金鑰(304)。在一些實施例中,當AP 110接收到公共根身份金鑰時,AP 110對客戶端設備130進行認證。接著,AP 110向客戶端設備130傳送至少部分地使用客戶端設備130的公共根身份金鑰加密的AP 110的公共金鑰(306)。在一些實施例中,AP 110的公共金鑰可作為探索訊息的一部分傳送給客戶端設備130。
客戶端設備110接收AP 110的公共金鑰(例如,「公共AP金鑰」)(308)。由於公共AP金鑰是至少部分地使用客戶端設備130的公共根身份金鑰加密的,因此客戶端設備130可使用私有根身份金鑰來解密和接收公共AP金鑰。以此方式,客戶端設備130可將AP 110認證為可信任的。
回應於接收到公共AP金鑰,客戶端設備130動態地產生瞬態身份金鑰對138(310)。瞬態身份金鑰對138可包括公共金鑰和私有金鑰。瞬態身份金鑰對138可被用來配置客戶端設備130以用於與AP 110的通訊。接著,客戶端設備130向AP 110傳送公共瞬態身份金鑰(312)。在一些實施例中,客戶端設備130可使用公共AP金鑰來加密至少包括公共瞬態身份金鑰的訊息。AP 110接收客戶端設備130的公共瞬態身份金鑰(316),並且向配置器140傳送公共瞬態身份金鑰(316)。配置器140接收和儲存客戶端設備130的 公共瞬態身份金鑰(318)。配置器140可使用客戶端設備130的公共瞬態身份金鑰來配置客戶端設備130以供與其他AP聯用(以下結合圖4更詳細地描述)。
客戶端設備130和AP 110隨後協調產生共享PMK(320a和320b)。客戶端設備130和AP 110可藉由交換包括及/或使用瞬態身份金鑰對138及/或AP 110的公共/私有金鑰對的一或多條訊息來產生共享PMK。接著,客戶端設備130和AP 110協調產生共享PTK(322a和322b)。客戶端設備130和AP 110可藉由交換包括及/或使用共享PMK的一或多條訊息來產生共享PMK。最終,客戶端設備130和AP 110可使用共享PTK(324a和324b)彼此通訊。例如,客戶端設備130和AP 110可使用共享PTK來交換經加密及/或經解密的一或多條訊息。
儘管以上被描述為分開(例如,不同)的設備,但配置器140和AP 110可被實施在單個設備內。例如,智慧型電話可執行用以充當軟AP的軟體和用以充當配置器140的軟體。因此,該智慧型電話可執行用於AP 110和配置器140兩者的操作。在一些實施例中,智慧型電話可包括用以掃瞄QR碼135的相機、用以經由NFC鏈路接收客戶端設備130的公共根身份金鑰的NFC電路系統,及/或用以經由BLE鏈路接收客戶端設備130的公共根身份金鑰的BLE電路系統。此外,儘管流程圖300的操作描述了認證和配置單個客戶端設備 130,但流程圖300的操作亦可重複多次以認證和配置任何數目的客戶端設備。
用於向WLAN 120添加額外AP的操作可被簡化,因為配置器140已儲存了客戶端設備130的公共瞬態身份金鑰(在318)。例如,配置器140可向該額外AP傳送WLAN 120中的客戶端設備的公共瞬態身份金鑰。額外AP可至少部分地基於每個客戶端設備的公共瞬態身份金鑰來認證和配置該等客戶端設備中的每一個。在一些實施例中,額外AP可使用每個客戶端設備自身的公共瞬態身份金鑰來加密給該客戶端設備的一或多條訊息。客戶端設備自身的公共瞬態身份金鑰的使用可向每個客戶端設備指示額外AP是受信任AP。
圖4圖示根據示例實施例的圖示用於向現有WLAN添加第二AP的示例操作的說明性流程圖400。同樣參照圖1和圖2,操作開始於配置器140向第二AP傳送客戶端設備130的公共瞬態身份金鑰(402)。如以上關於圖3描述的,客戶端設備130的公共瞬態身份金鑰可被儲存在配置器140內。因此,配置器140可能已經擁有客戶端設備130的公共瞬態身份金鑰。接著,第二AP接收客戶端設備130的公共瞬態身份金鑰(404)。在一些實施例中,配置器140可對包括客戶端設備130的公共瞬態身份金鑰的訊息簽名以向第二AP指示該訊息來自受信任源(例如,配置器140)。第二AP隨後向客戶端設備130傳送第二AP的公共金鑰(例如,第二AP 的公共/私有金鑰對中的公共金鑰)(406)。在一些實施例中,可至少部分地使用客戶端設備130的公共瞬態身份金鑰來加密包括第二AP的公共金鑰的訊息。
客戶端設備408接收第二AP的公共金鑰(408)。使用客戶端設備130的公共瞬態身份金鑰進行加密可向客戶端設備130確保收到訊息來自受信任源。接著,客戶端設備130和第二AP協調產生共享PMK(410a和410b)。客戶端設備130和AP 110可藉由交換包括及/或使用第二AP的公共/私有金鑰對和瞬態身份金鑰對138的一或多條訊息來產生共享PMK。接著,客戶端設備130和第二AP協調產生共享PTK(412a和412b)。客戶端設備130和AP 110可藉由交換包括及/或使用共享PMK的一或多條訊息來產生共享PTK。最終,客戶端設備110和第二AP可使用共享成對瞬態金鑰彼此通訊(414a和414b)。
在一些實施例中,客戶端設備130可以不具有根身份金鑰對137。然而,可使用與如以上關於圖2和圖3描述的類似辦法來認證和配置客戶端設備130。例如,客戶端設備130可產生瞬態身份金鑰對138。客戶端設備130可按如以上關於圖1和圖3描述的帶外方式將(瞬態身份金鑰對138中的)公共瞬態身份金鑰提供給AP 110。AP 110可使用公共瞬態身份金鑰來探索和配置客戶端設備130。
圖5圖示根據示例實施例的圖示圖1的客戶端設備130的操作狀態的另一狀態圖500。客戶端設備130開始於狀態510。狀態510可以是客戶端設備130的初始狀態,諸如在客戶端設備130被初始製造及/或從工廠運來時。與圖2的狀態210相反,在狀態510中,客戶端設備130不擁有根身份金鑰對137。
當客戶端設備130被上電時,客戶端設備130轉變至狀態520。在客戶端設備130被上電時,客戶端設備130可產生瞬態身份金鑰對138。例如,客戶端設備130可至少部分地基於客戶端設備130中所包括的亂數產生器來產生瞬態身份金鑰對138。客戶端設備130可間接地向AP 110提供公共瞬態身份金鑰。例如,客戶端設備130可在顯示器上顯示公共瞬態身份金鑰。客戶端設備130的使用者可查看顯示器並且在使用者介面(例如,鍵盤或觸控式螢幕)上輸入公共瞬態身份金鑰。在另一實例中,客戶端設備130可經由NFC鏈路或BLE鏈路向AP 110傳送瞬態身份金鑰。因此,公共瞬態身份金鑰可按帶外方式提供給AP 110。
在一些實例中,在客戶端設備130處於狀態520中時,當從客戶端設備130移除電力時,瞬態身份金鑰對138可能丟失。因此,在客戶端設備130轉變至狀態510中時,當向客戶端設備130歸還電力時,瞬態身份金鑰對138可能丟失並且被重新產生。
在狀態520中,客戶端設備130可在從AP 110接收到至少部分地使用客戶端設備130的公共瞬態身份金鑰加密的探索訊息之際開始認證過程。若AP 110嘗試在不使用公共瞬態身份金鑰的情況下認證客戶端設備130(例如,若探索訊息沒有至少部分地使用客戶端設備130的公共瞬態身份金鑰加密),則客戶端設備130可保持在狀態520中。
另一態樣,若探索訊息是至少部分地使用客戶端設備130的公共瞬態身份金鑰加密的,則客戶端設備130轉變至狀態530。瞬態身份金鑰對138可被用來與AP 110的公共/私有金鑰對相結合地決定共享PMK。進一步,客戶端設備130可產生可包括連接子、CA公共金鑰及/或共享PMK的配置身份碼。該配置身份碼可被儲存在客戶端設備130中。例如,在狀態530中,客戶端設備130可將瞬態身份金鑰對138和配置身份碼儲存在客戶端設備130的記憶體內。
當客戶端設備130被下電時,客戶端設備130轉變至狀態540。在狀態540中,客戶端設備130的記憶體可保留瞬態身份金鑰對138和配置身份碼。當客戶端設備130再次上電時,客戶端設備130轉變回狀態530。
當客戶端設備130被配置成與AP 110一起操作時,客戶端設備130轉變至狀態550。客戶端設備130和AP 110可至少部分地基於瞬態身份金鑰對138 及/或AP 110的公共/私有金鑰對來產生共享PTK。共享PTK可被用來加密及/或解密用於WLAN 120的網路資料訊務。共享PTK可以是揮發性的。因此,當客戶端設備130轉變至狀態540時(例如,當從客戶端設備130移除電力時),共享PTK可能丟失。
當客戶端設備130經歷工廠重置操作時,客戶端設備130可從任何其他狀態返回狀態510。工廠重置操作可丟棄任何所決定的共享金鑰以及瞬態身份金鑰對138。
圖6圖示根據示例實施例的圖示用於認證和配置客戶端設備130以供與AP 110聯用的另一示例操作的說明性流程圖600。參照圖1和圖5,操作開始於客戶端設備130動態地產生瞬態身份金鑰對138(602)。瞬態身份金鑰對138可包括公共金鑰和私有金鑰(例如,公共瞬態身份金鑰和私有瞬態身份金鑰)。進一步,瞬態身份金鑰對138可被用來向AP 110認證客戶端設備130。接著,客戶端設備130間接地向AP 110提供公共瞬態身份金鑰(604)。例如,公共瞬態身份金鑰可按帶外方式提供給AP 110。在一些實施例中,客戶端設備130可包括圖示公共瞬態身份金鑰的人類可讀顯示器。在另一實施例中,客戶端設備130可包括用以向配置器140傳送公共瞬態身份金鑰的NFC電路系統及/或BLE電路系統。配置器140決定和儲存客戶端設備130的公共瞬態身份金鑰(606)。例如,配置器140可包 括用以接收公共瞬態身份金鑰的NFC電路系統、BLE電路系統及/或使用者介面。
配置器140隨後向AP 110傳送客戶端設備130的公共瞬態身份金鑰(608)。例如,配置器140可使用先前存在的受信任鏈路向AP 110傳送公共瞬態身份金鑰。在另一實例中,配置器140可對包括公共瞬態身份的訊息簽名以證明該訊息來自受信任源。接著,AP 110接收公共瞬態身份金鑰(610)。回應於接收到公共瞬態身份金鑰,AP 110向客戶端設備130傳送AP 110的公共金鑰(612)。在一些實施例中,可至少部分地使用公共瞬態身份金鑰來加密AP 110的公共金鑰。
客戶端設備110接收AP 110的公共金鑰(614)。在一些實施例中,可至少部分地使用客戶端設備130的公共瞬態身份金鑰來加密包括AP 110的公共金鑰的訊息以確保該訊息可以是受信任的。
客戶端設備130和AP 110隨後協調產生共享PMK(616a和616b)。客戶端設備130和AP 110可藉由交換包括及/或使用瞬態身份金鑰對138及/或AP 110的公共/私有金鑰對的一或多條訊息來產生共享PMK。接著,客戶端設備130和AP 110協調產生共享PTK(618a和618b)。在客戶端設備130和AP 110交換包括及/或使用共享PMK的一或多條訊息時可產生PTK。最終,客戶端設備130和AP 110可使用共享PTK 彼此通訊(620a和620b)。例如,客戶端設備130和AP 110可使用共享PTK來傳輸經加密及/或經解密的訊息。
圖7圖示可作為圖1的AP 110、客戶端設備130及/或配置器140的實施例的示例無線設備700。無線設備700可包括收發機710、處理器730、記憶體740、網路介面750、以及數個天線760(1)-760(n)。收發機710可直接或經由天線選擇電路(出於簡化而未圖示)耦合至天線760(1)-760(n)。無線設備700可以可任選地包括藍芽模組721、NFC模組722、光學模組723、以及顯示模組724(以虛線圖示的可任選模組)。收發機710可被用來與一或多個客戶端設備、與一或多個其他AP,及/或與其他合適的設備無線地通訊。儘管出於簡化而未在圖7中圖示,但收發機710可包括任何數目的發射鏈以處理信號並經由天線760(1)-760(n)向其他無線設備傳送信號,並且可包括任何數目的接收鏈以處理從天線760(1)-760(n)接收到的信號。因此,對於示例實施例,無線設備700可被配置成用於MIMO操作,包括例如SU-MIMO操作和MU-MIMO操作。
收發機710可包括基頻處理器712。基頻處理器712可被用來處理從處理器730及/或記憶體740接收到的信號,並經由一或多個天線760(1)-760(n)傳送經處理的信號。另外,基頻處理器712可被用來處理從 一或多個天線760(1)-760(n)接收到的信號,並將經處理的信號轉發給處理器730及/或記憶體740。
網路介面750可存取其他網路及/或服務。在一些實施例中,網路介面750可包括有線介面。網路介面750亦可直接或經由一或多個居間網路與WLAN伺服器(出於簡化而未圖示)通訊。
處理器730(其耦合至收發機710)、網路介面750和記憶體740可以是能夠執行儲存在無線設備700中(例如,記憶體740內)的一或多個軟體程式的腳本或指令的一或多個任何合適的處理器。對於實際實施例,收發機710、處理器730、記憶體750,及/或網路介面750可使用一或多條匯流排(出於簡化而未圖示)來連接在一起。
在一些實施例中,藍芽模組721可耦合至處理器730。藍芽模組721可傳送及/或接收藍芽及/或BLE信號。從收到藍芽及/或BLE信號恢復的資料可被儲存在記憶體740中。在一些實施例中,處理器730可提供要傳送給藍芽模組721的資料。
進一步,在一些實施例中,NFC模組722可耦合至處理器730。NFC模組722可傳送及/或接收NFC信號。從收到NFC信號恢復的資料可被儲存在記憶體740中。在一些實施例中,處理器730可提供要傳送給NFC模組722的資料。
再進一步,在一些實施例中,光學模組723可耦合至處理器730。光學模組723可包括用以接收和處理視覺圖像(諸如,QR碼和標籤)的光學裝置和電路系統。來自光學模組723的資料可被儲存在記憶體740中。
再進一步,在一些實施例中,顯示模組724可耦合至處理器730。顯示模組724可被用來顯示圖像,諸如QR碼135(參見圖1)和標籤。提供給顯示模組724的資料可初始地儲存在記憶體740中。
記憶體740可包括用以儲存公共、私有及/或共享金鑰的金鑰記憶體742。在一些實施例中,無線設備700可產生公共、私有及/或共享金鑰。在其他實施例中,公共、私有及/或共享金鑰可經由收發機710、藍芽模組721、NFC模組722及/或光學模組723接收。在一些實施例中,公共/私有金鑰對(例如,公共/私有根身份金鑰對137)可在設備製造時被儲存在金鑰記憶體742內。
記憶體740亦可包括非瞬態電腦可讀取媒體(例如,一或多個非揮發性記憶體元件,諸如EPROM、EEPROM、快閃記憶體、硬碟、等等),其可至少儲存以下軟體(SW)模組:●用以經由收發機710傳送和接收無線資料的收發機控制器軟體模組743; ●用以產生公共、私有及/或共享加密金鑰的金鑰產生軟體模組744;●用以對經由收發機710傳送及/或接收的資料加密及/或解密的加密/解密軟體模組745;●用以執行與配置器140相關聯的操作的可任選配置器軟體模組746;●用以執行與AP 110相關聯的操作的可任選存取點軟體模組747;及●用以執行與客戶端設備130相關聯的操作的可任選站軟體模組748。
每個軟體模組包括指令,該等指令在由處理器730執行時使得無線設備700執行相應的功能。由此,記憶體740的非瞬態電腦可讀取儲存媒體包括用於執行以上關於圖3、圖4和圖6描述的操作的全部或一部分的指令。
如以上所提及的,處理器730可以是能夠執行儲存在無線設備700中(例如,記憶體740內)的一或多個軟體程式的腳本或指令的任何合適的一或多個處理器。例如,處理器730可執行收發機控制器軟體模組734以促成無線設備700與其他無線設備(出於簡化而未圖示)之間的資料傳送及/或接收。
處理器730可執行金鑰產生軟體模組744以產生供無線設備700使用的金鑰。例如,金鑰產生軟體模組744可產生瞬態身份金鑰對138及/或共享金鑰,諸 如PMK和PTK。金鑰產生軟體模組744所產生的金鑰可被儲存在金鑰記憶體742中。
處理器730可執行加密/解密軟體模組745以對經由收發機710傳送及/或接收的資料加密及/或解密。例如,加密/解密軟體模組745可執行公共/私有金鑰加密及/或解密。另外,處理器730可執行加密/解密軟體模組745以驗證及/或產生憑證和數位簽章。
處理器730可以可任選地執行配置器軟體模組746以執行與配置器140相關聯的操作。例如,處理器730可執行配置器軟體模組746以經由藍芽模組721、NFC模組722及/或光學模組723決定客戶端設備130的公共根身份金鑰。在一些實施例中,所決定的公共根身份金鑰可被儲存在金鑰記憶體742中或者傳送給另一無線設備。
處理器730可以可任選地執行存取點軟體模組747以執行與AP 110相關聯的操作。例如,處理器730可執行存取點軟體模組747以接收來自配置器140的公共根身份金鑰、執行認證客戶端設備130的操作、在無線設備之間傳輸資料及/或訊息、以及與存取點操作相關聯的任何其他任務。
處理器730可以可任選地執行站軟體模組748以執行與客戶端設備130相關聯的操作。例如,處理器730可執行站軟體模組748以向AP 110認證、產生 瞬態身份金鑰對138、傳輸資料、以及執行可與站操作相關聯的任何其他任務。
本領域技藝人士將領會,資訊和信號可使用各種不同技術和技藝中的任何一種來表示。例如,貫穿上面描述始終可能被述及的資料、指令、命令、資訊、信號、位元、符號和碼片可由電壓、電流、電磁波、磁場或磁粒子、光場或光粒子,或其任何組合來表示。
此外,本領域技藝人士將領會,結合本文中所揭示的態樣描述的各種說明性邏輯區塊、模組、電路和演算法步驟可被實施為電子硬體、電腦軟體,或兩者的組合。為清楚地說明硬體與軟體的此可互換性,各種說明性部件、方塊、模組、電路、以及步驟在上面是以其功能性的形式作一般化描述的。此類功能性是被實施為硬體還是軟體取決於特定應用和施加於整體系統的設計約束。技藝人士可針對每種特定應用以不同方式來實施所描述的功能性,但此類實施決策不應被解讀為致使脫離本案的範疇。
結合本文所揭示的態樣描述的方法、序列或演算法可直接在硬體中、在由處理器執行的軟體模組中,或在該兩者的組合中體現。軟體模組可常駐在RAM記憶體、快閃記憶體、ROM記憶體、EPROM記憶體、EEPROM記憶體、暫存器、硬碟、可移除磁碟、CD-ROM或者本領域中所知的任何其他形式的儲存媒體中。示例性儲存媒體耦合到處理器以使得該處理器能從/向該儲 存媒體讀寫資訊。在替代方案中,儲存媒體可以被整合到處理器。
在前述說明書中,示例實施例已參照其特定示例實施例進行了描述。然而將明顯的是,可對其作出各種修改和改變而不會脫離如所附申請專利範圍中所闡述的本案更寬泛的範疇。相應地,本說明書和附圖應被認為是說明性而非限定性的。
200‧‧‧狀態圖
210‧‧‧狀態
220‧‧‧狀態
230‧‧‧狀態
240‧‧‧狀態
250‧‧‧狀態

Claims (68)

  1. 一種配置一客戶端設備以供在一無線網路中使用的方法,該方法包括以下步驟:由該客戶端設備動態地產生一第一公共和私有金鑰對;至少部分地基於該第一公共和私有金鑰對來產生一第一共享金鑰;及使用該第一共享金鑰與一存取點(AP)通訊。
  2. 如請求項1所述之方法,其中該第一共享金鑰是與該AP一起產生的。
  3. 如請求項1所述之方法,其中該第一公共和私有金鑰對是一瞬態身份金鑰對。
  4. 如請求項1所述之方法,進一步包括以下步驟:接收來自該AP的一訊息,其中動態地產生一第一公共和私有金鑰對是回應於接收到來自該AP的該訊息。
  5. 如請求項4所述之方法,其中來自該AP的該訊息包括與該AP相關聯的一公共金鑰。
  6. 如請求項4所述之方法,進一步包括以下步驟:使用一第二私有金鑰至少部分地對來自該AP的該 訊息解密。
  7. 如請求項6所述之方法,其中該第二私有金鑰不同於該第一公共和私有金鑰對。
  8. 如請求項6所述之方法,其中該第二私有金鑰在該客戶端設備被製造時被編碼到該客戶端設備中。
  9. 如請求項1所述之方法,其中該第一共享金鑰至少部分地基於與該AP相關聯的一公共和私有金鑰對。
  10. 如請求項1所述之方法,進一步包括以下步驟:與該AP一起產生一第二共享金鑰;及使用該第二共享金鑰與該AP通訊。
  11. 如請求項1所述之方法,進一步包括以下步驟:重置該客戶端設備;及由該客戶端設備動態地產生不同於該第一公共和私有金鑰對的一第三公共和私有金鑰對。
  12. 一種無線設備,包括:一收發機;一處理器;及一記憶體,該記憶體儲存指令,該等指令在由該處 理器執行時使得該無線設備:動態地產生一第一公共和私有金鑰對;至少部分地基於該第一公共和私有金鑰對來產生一第一共享金鑰;及使用該第一共享金鑰與一存取點(AP)通訊。
  13. 如請求項12所述之無線設備,其中該第一公共和私有金鑰對是一瞬態身份金鑰對。
  14. 如請求項12所述之無線設備,進一步包括使得該無線設備執行以下操作的指令:接收來自該AP的一訊息,其中該第一公共和私有金鑰對是回應於該所接收到的訊息來動態地產生的。
  15. 如請求項14所述之無線設備,進一步包括使得該無線設備執行以下操作的指令:使用一第二私有金鑰至少部分地對接收自該AP的該訊息解密。
  16. 如請求項15所述之無線設備,其中該第二私有金鑰不同於該第一公共和私有金鑰對。
  17. 如請求項15所述之無線設備,其中該第二私有金鑰在該無線設備被製造時被編碼到該無線設備中。
  18. 如請求項12所述之無線設備,其中該第一共享金鑰至少部分地基於該AP的一公共和私有金 鑰對。
  19. 如請求項12所述之無線設備,進一步包括使得該無線設備執行以下操作的指令:與該AP一起產生一第二共享金鑰;及使用該第二共享金鑰與該AP通訊。
  20. 如請求項12所述之無線設備,進一步包括使得該無線設備執行以下操作的指令:重置該無線設備;及動態地產生不同於該第一公共和私有金鑰對的一第三公共和私有金鑰對。
  21. 一種無線設備,包括:用於動態地產生一第一公共和私有金鑰對的構件;用於至少部分地基於該第一公共和私有金鑰對來產生一第一共享金鑰的構件;及用於使用該第一共享金鑰與一存取點(AP)通訊的構件。
  22. 如請求項21所述之無線設備,其中該第一公共和私有金鑰對是一瞬態身份金鑰對。
  23. 如請求項21所述之無線設備,進一步包括:用於接收來自該AP的一訊息的構件,其中動態地產生該第一公共和私有金鑰對是回應於接收到來自 該AP的該訊息。
  24. 如請求項23所述之無線設備,進一步包括:用於使用一第二私有金鑰至少部分地對來自該AP的該訊息解密的構件。
  25. 如請求項24所述之無線設備,其中該第二私有金鑰不同於該第一公共和私有金鑰對。
  26. 如請求項21所述之無線設備,其中該第一共享金鑰至少部分地基於與該AP相關聯的一公共和私有金鑰對。
  27. 如請求項21所述之無線設備,進一步包括:用於與該AP一起產生一第二共享金鑰的構件;及使用該第二共享金鑰與該AP通訊。
  28. 如請求項21所述之無線設備,進一步包括:用於重置該無線設備的構件;及用於動態地產生不同於該第一公共和私有金鑰對的一第三公共和私有金鑰對的構件。
  29. 一種儲存指令的非瞬態電腦可讀取媒體,該等指令在由一無線設備的一處理器執行時使得該無線設備: 動態地產生一第一公共和私有金鑰對;至少部分地基於該第一公共和私有金鑰對來產生一第一共享金鑰;及使用該第一共享金鑰與一存取點(AP)通訊。
  30. 如請求項29所述之非瞬態電腦可讀取媒體,其中該第一公共和私有金鑰對是一瞬態身份金鑰對。
  31. 如請求項29所述之非瞬態電腦可讀取媒體,進一步包括用於以下操作的指令:接收來自該AP的一訊息,其中產生該第一公共和私有金鑰對是回應於接收到來自該AP的該訊息。
  32. 如請求項31所述之非瞬態電腦可讀取媒體,進一步包括用於以下操作的指令:使用一第二私有金鑰至少部分地對來自該AP的該訊息解密。
  33. 如請求項32所述之非瞬態電腦可讀取媒體,其中該第二私有金鑰不同於該第一公共和私有金鑰對。
  34. 如請求項29所述之非瞬態電腦可讀取媒體,其中該第一共享金鑰至少部分地基於與該AP相關聯的一公共和私有金鑰對。
  35. 如請求項29所述之非瞬態電腦可讀取媒 體,進一步包括用於以下操作的指令:與該AP一起產生一第二共享金鑰;及使用該第二共享金鑰與該AP通訊。
  36. 如請求項29所述之非瞬態電腦可讀取媒體,進一步包括用於以下操作的指令:重置該無線設備;及動態地產生不同於該第一公共和私有金鑰對的一第三公共和私有金鑰對。
  37. 一種配置客戶端設備以供與一存取點(AP)聯用的方法,該方法包括以下步驟:傳送一探索訊息;在該AP處接收回應於該探索訊息而動態產生的一第一公共金鑰;至少部分地基於與該AP相關聯的一公共金鑰和該第一公共金鑰來產生一第一共享金鑰;及使用該第一共享金鑰與該客戶端設備通訊。
  38. 如請求項37所述之方法,其中該探索訊息包括與該AP相關聯的一公共金鑰。
  39. 如請求項37所述之方法,其中該第一公共金鑰是與該客戶端設備相關聯的一公共瞬態身份金鑰。
  40. 如請求項37所述之方法,進一步包括以 下步驟:從一無線設備接收與該客戶端設備相關聯的一第二公共金鑰,其中該無線設備不同於該客戶端設備。
  41. 如請求項40所述之方法,其中傳送該探索訊息是回應於接收到該第二公共金鑰。
  42. 如請求項40所述之方法,進一步包括以下步驟:向該無線設備傳送該第一公共金鑰。
  43. 如請求項37所述之方法,進一步包括以下步驟:使用與該AP相關聯的該公共金鑰至少部分地解密該第一公共金鑰。
  44. 如請求項37所述之方法,進一步包括以下步驟:至少部分地基於該第一共享金鑰來產生一第二共享金鑰;及使用該第二共享金鑰與該客戶端設備通訊。
  45. 一種第一無線設備,包括:一收發機;一處理器;以及一記憶體,該記憶體儲存指令,該等指令在由該處理器執行時使得該第一無線設備: 傳送一探索訊息;接收回應於該探索訊息而動態產生的一第一公共金鑰;至少部分地基於與該第一無線設備相關聯的一公共金鑰和該第一公共金鑰來產生一第一共享金鑰;及使用該第一共享金鑰與一客戶端設備通訊。
  46. 如請求項45所述之第一無線設備,其中該探索訊息包括與該第一無線設備相關聯的一公共金鑰。
  47. 如請求項45所述之第一無線設備,其中該第一公共金鑰是與該客戶端設備相關聯的一公共瞬態身份金鑰。
  48. 如請求項45所述之第一無線設備,進一步包括使得該第一無線設備執行以下操作的指令:從一第二無線設備接收與該客戶端設備相關聯的一第二公共金鑰,其中該第二無線設備不同於該客戶端設備。
  49. 如請求項48所述之第一無線設備,其中該探索訊息是回應於接收到該第二公共金鑰而傳送的。
  50. 如請求項48所述之第一無線設備,進一步包括使得該第一無線設備執行以下操作的指令: 傳送該無線設備的該第一公共金鑰。
  51. 如請求項45所述之第一無線設備,進一步包括使得該第一無線設備執行以下操作的指令:使用與該第一無線設備相關聯的該公共金鑰至少部分地解密該第一公共金鑰。
  52. 如請求項45所述之第一無線設備,進一步包括使得該第一無線設備執行以下操作的指令:至少部分地基於該第一共享金鑰來產生一第二共享金鑰;及使用該第二共享金鑰與該客戶端設備通訊。
  53. 一種第一無線設備,包括:用於傳送一探索訊息的構件;用於接收回應於該探索訊息而動態產生的一第一公共金鑰的構件;用於至少部分地基於與該第一無線設備相關聯的一公共金鑰和該第一公共金鑰來產生一第一共享金鑰的構件;及用於使用該第一共享金鑰與一客戶端設備通訊的構件。
  54. 如請求項53所述之第一無線設備,其中該探索訊息包括與該第一無線設備相關聯的一公共金鑰。
  55. 如請求項53所述之第一無線設備,其中該第一公共金鑰是與該客戶端設備相關聯的一公共瞬態身份金鑰。
  56. 如請求項53所述之第一無線設備,進一步包括:用於從一第二無線設備接收與該客戶端設備相關聯的一第二公共金鑰的構件,其中該第二無線設備不同於該客戶端設備。
  57. 如請求項56所述之第一無線設備,其中傳送該探索訊息是回應於接收到該第二公共金鑰。
  58. 如請求項56所述之第一無線設備,進一步包括:用於向該第二無線設備傳送該第一公共金鑰的構件。
  59. 如請求項53所述之第一無線設備,進一步包括:用於至少部分地解密該第一無線設備的該第一公共金鑰的構件。
  60. 如請求項53所述之第一無線設備,進一步包括:用於至少部分地基於該第一共享金鑰來產生一第二共享金鑰的構件;及 用於使用該第二共享金鑰與該客戶端設備通訊的構件。
  61. 一種儲存指令的非瞬態電腦可讀取媒體,該等指令在由一第一無線設備的一處理器執行時使得該第一無線設備:傳送一探索訊息;接收回應於該探索訊息而動態產生的一第一公共金鑰;至少部分地基於與該第一無線設備相關聯的一公共金鑰和該第一公共金鑰來產生一第一共享金鑰;及使用該第一共享金鑰與一客戶端設備通訊。
  62. 如請求項61所述之非瞬態電腦可讀取媒體,其中該探索訊息包括與該第一無線設備相關聯的一公共金鑰。
  63. 如請求項61所述之非瞬態電腦可讀取媒體,其中該第一公共金鑰是與該客戶端設備相關聯的一公共瞬態身份金鑰。
  64. 如請求項61所述之非瞬態電腦可讀取媒體,進一步包括用於以下操作的指令:從一第二無線設備接收與該客戶端設備相關聯的一第二公共金鑰,其中該第二無線設備不同於該客戶端設備。
  65. 如請求項64所述之非瞬態電腦可讀取媒體,其中該探索訊息是回應於接收到該第二公共金鑰而傳送的。
  66. 如請求項64所述之非瞬態電腦可讀取媒體,進一步包括用於以下操作的指令:向該第二無線設備傳送該第一公共金鑰。
  67. 如請求項61所述之非瞬態電腦可讀取媒體,進一步包括用於以下操作的指令:使用該第一無線設備的該公共金鑰至少部分地解密該第一公共金鑰。
  68. 如請求項61所述之非瞬態電腦可讀取媒體,進一步包括用於以下操作的指令:至少部分地基於該第一共享金鑰來產生一第二共享金鑰;及使用該第二共享金鑰與該客戶端設備通訊。
TW105114155A 2015-06-05 2016-05-06 無線設備的靈活配置和認證 TW201701683A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201562171548P 2015-06-05 2015-06-05
US15/065,608 US9706397B2 (en) 2015-06-05 2016-03-09 Flexible configuration and authentication of wireless devices

Publications (1)

Publication Number Publication Date
TW201701683A true TW201701683A (zh) 2017-01-01

Family

ID=56087509

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105114155A TW201701683A (zh) 2015-06-05 2016-05-06 無線設備的靈活配置和認證

Country Status (8)

Country Link
US (2) US9706397B2 (zh)
EP (1) EP3304956A1 (zh)
JP (1) JP2018524865A (zh)
KR (1) KR101861546B1 (zh)
CN (1) CN107736046A (zh)
CA (1) CA2984367A1 (zh)
TW (1) TW201701683A (zh)
WO (1) WO2016195907A1 (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9706397B2 (en) 2015-06-05 2017-07-11 Qualcomm Incorporated Flexible configuration and authentication of wireless devices
US10231123B2 (en) * 2015-12-07 2019-03-12 GM Global Technology Operations LLC Bluetooth low energy (BLE) communication between a mobile device and a vehicle
US10791093B2 (en) * 2016-04-29 2020-09-29 Avago Technologies International Sales Pte. Limited Home network traffic isolation
CN108809635B (zh) * 2017-05-05 2024-07-09 华为技术有限公司 锚密钥生成方法、设备以及系统
US10673630B2 (en) * 2017-05-11 2020-06-02 Airties Kablosuz Iletisim Sanayi Ve Dis Ticaret A.S. Cloud based WiFi network setup for multiple access points
KR102411604B1 (ko) 2018-03-22 2022-06-21 삼성전자주식회사 액세스 포인트 및 이의 통신 연결 방법
US11638146B2 (en) * 2018-03-28 2023-04-25 Qualcomm Incorporated Onboarding multiple access point (Multi-AP) device using device provisioning protocol (DPP)
US11696129B2 (en) * 2019-09-13 2023-07-04 Samsung Electronics Co., Ltd. Systems, methods, and devices for association and authentication for multi access point coordination
CN110650057B (zh) * 2019-09-29 2022-03-11 武汉迈威通信股份有限公司 一种通过便携移动终端配置设备的方法及系统
DE102020200392B3 (de) * 2020-01-14 2021-05-12 Siemens Aktiengesellschaft Vorrichtung und Verfahren für eine höhere Sicherheit beim erneuten Pairing
US20210251019A1 (en) * 2020-02-10 2021-08-12 Microchip Technology Incorporated Systems and methods for provisioning wi-fi devices
US11582607B2 (en) * 2020-07-10 2023-02-14 Western Digital Technologies, Inc. Wireless security protocol
WO2022067827A1 (zh) * 2020-09-30 2022-04-07 华为技术有限公司 一种密钥推衍方法及其装置、系统

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002247047A (ja) * 2000-12-14 2002-08-30 Furukawa Electric Co Ltd:The セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置
US8280046B2 (en) * 2005-09-12 2012-10-02 Interdigital Technology Corporation Method and system for deriving an encryption key using joint randomness not shared by others
CN101242323B (zh) * 2007-02-06 2010-12-08 华为技术有限公司 设备间管道的建立方法和家庭网络系统
WO2010023506A1 (en) 2008-08-26 2010-03-04 Nokia Corporation Methods, apparatuses, computer program products, and systems for providing secure pairing and association for wireless devices
CN101807998A (zh) * 2009-02-13 2010-08-18 英飞凌科技股份有限公司 认证
US8189608B2 (en) * 2009-12-31 2012-05-29 Sonicwall, Inc. Wireless extender secure discovery and provisioning
US8955054B2 (en) * 2010-01-06 2015-02-10 Qualcomm Incorporated Method and apparatus for providing simultaneous support for multiple master keys at an access point in a wireless communication system
WO2012151351A1 (en) 2011-05-04 2012-11-08 Marvell World Trade Ltd. Wireless authentication using beacon messages
US9031050B2 (en) * 2012-04-17 2015-05-12 Qualcomm Incorporated Using a mobile device to enable another device to connect to a wireless network
US9436940B2 (en) * 2012-07-09 2016-09-06 Maxim Integrated Products, Inc. Embedded secure element for authentication, storage and transaction within a mobile terminal
KR102124575B1 (ko) 2013-05-02 2020-06-18 삼성전자주식회사 사용자 프라이버시 보호를 위한 전자 장치 및 그 제어 방법
US9749134B2 (en) 2013-06-20 2017-08-29 Qualcomm Incorporated Wireless configuration using passive near field communication
US9515824B2 (en) 2013-10-21 2016-12-06 Aruba Networks, Inc. Provisioning devices for secure wireless local area networks
CN103825733A (zh) * 2014-02-28 2014-05-28 华为技术有限公司 基于组合公钥密码体制的通信方法、装置及系统
US20170142082A1 (en) * 2014-03-10 2017-05-18 Sengi Corporation System and method for secure deposit and recovery of secret data
US9706397B2 (en) 2015-06-05 2017-07-11 Qualcomm Incorporated Flexible configuration and authentication of wireless devices

Also Published As

Publication number Publication date
EP3304956A1 (en) 2018-04-11
US9706397B2 (en) 2017-07-11
WO2016195907A1 (en) 2016-12-08
JP2018524865A (ja) 2018-08-30
US10009763B2 (en) 2018-06-26
CA2984367A1 (en) 2016-12-08
US20170272942A1 (en) 2017-09-21
US20160360404A1 (en) 2016-12-08
KR20170137955A (ko) 2017-12-13
CN107736046A (zh) 2018-02-23
KR101861546B1 (ko) 2018-06-29

Similar Documents

Publication Publication Date Title
US10009763B2 (en) Flexible configuration and authentication of wireless devices
EP3183857B1 (en) Secure provisioning of an authentication credential
US20160360407A1 (en) Distributed configurator entity
CN102726080B (zh) 个人基本服务集中的站对站安全关联
US10057766B2 (en) Methods and systems for authentication interoperability
US20180184428A1 (en) Associating and securitizing distributed multi-band link aggregation devices
US11917073B2 (en) Integrity protection
JP2018532325A (ja) ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム
CN109922474A (zh) 触发网络鉴权的方法及相关设备
WO2016003311A1 (en) Device bootstrap to wireless network
JP2018526846A (ja) ワイヤレスデバイスのコンフィギュレーションおよび認証
US20240244681A1 (en) Communication method, apparatus, and system
US11310724B2 (en) Key management for fast transitions
US20160286390A1 (en) Flexible and secure network management
KR20180056809A (ko) 무선 디바이스들의 플렉서블한 구성 및 인증