TW201703557A - 分布組態器本體 - Google Patents

分布組態器本體 Download PDF

Info

Publication number
TW201703557A
TW201703557A TW105111597A TW105111597A TW201703557A TW 201703557 A TW201703557 A TW 201703557A TW 105111597 A TW105111597 A TW 105111597A TW 105111597 A TW105111597 A TW 105111597A TW 201703557 A TW201703557 A TW 201703557A
Authority
TW
Taiwan
Prior art keywords
authentication
wireless device
network
configurator
wireless
Prior art date
Application number
TW105111597A
Other languages
English (en)
Inventor
奧利佛 珍 班諾特
皮爾波 提那康喜斯帕
Original Assignee
高通公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 高通公司 filed Critical 高通公司
Publication of TW201703557A publication Critical patent/TW201703557A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本發明係關於一種用於一無線網路中之網路認證之分布儲存及/或管理的系統及方法。該無線網路之一第一裝置自一第一組態器接收一組網路認證。該等網路認證可用以授權一或多個裝置存取該無線網路。該第一裝置進一步自一第二裝置接收一使用者鑑認認證,且至少部分地基於該使用者鑑認認證來將該第二裝置鑑認為用於該無線網路之一第二組態器。在將該第二裝置鑑認為該第二組態器後,該第一裝置就可接著將該組網路認證傳輸至該第二組態器。

Description

分布組態器本體
實例實施例大體上係關於無線網路,且尤其係關於無線網路中之網路認證之分布儲存及/或管理。
用戶端裝置(例如,無線電台)可經組態以使用公用密鑰加密技術而與無線網路之一或多個存取點(AP)通信。公用密鑰加密(有時被稱作公用/私用密鑰加密)為使用已知(公用)密鑰及秘密(私用)密鑰來安全地傳送資料之方法。每一裝置可具有彼此數學上及/或演算法上相關之一對唯一公用密鑰及私用密鑰。除了傳送資料以外,公用密鑰及私用密鑰亦可用以驗證訊息及憑證,及/或產生數位簽名。舉例而言,用戶端裝置可與無線網路內之AP共用其公用密鑰。AP可使用用戶端裝置之公用密鑰來鑑認及組態用戶端裝置以存取(例如,連接至)無線網路。經鑑認用戶端裝置可與無線網路內之AP及/或其他裝置通信。
在一些無線網路中,組態器可管理網路中之每一裝置之網路認證。舉例而言,組態器可基於與每一裝置相關聯之公用/私用密鑰來註冊及/或鑑認無線網路之成員(例如,用戶端裝置及AP)。更具體言之,組態器可至少儲存用於無線網路中之每一用戶端裝置及/或AP之公用密鑰資訊。組態器可使用經儲存公用密鑰資訊(例如,網路認證)以與無線網路中之用戶端裝置及AP中之每一者安全地通信。組態器可(例如)藉由向用戶端裝置提供資訊以識別AP及/或與AP通信來組態 及/或佈建用戶端裝置。相似地,組態器可向AP提供資訊以識別及/或鑑認來自用戶端裝置之通信。
組態器通常為可能丟失、被盜、替換或以其他方式自無線網路移除(例如,永久地)之智慧型電話或其他攜帶型裝置。因此,可需要在不存在組態器的情況下維持無線網路之成員資格,而不必重新註冊每一成員裝置。
提供此【發明內容】以按簡化形式介紹下文在【實施方式】中進一步所描述之概念之選擇。此【發明內容】並不意欲識別所主張主題之關鍵特徵或基本特徵,亦不意欲限制所主張主題之範疇。
本發明揭示一種用於無線網路中之網路認證之分布儲存及/或管理的系統及方法。該無線網路之一第一裝置自一第一組態器接收一組網路認證。該等網路認證用於授權一或多個裝置存取該無線網路。舉例而言,該等網路認證可包括與該一或多個裝置相關聯之一受信任公用密鑰清單。替代地或另外,該等網路認證可包括用以將該一或多個裝置證明為該無線網路之成員的一對公用密鑰及私用密鑰。該第一裝置進一步自一第二裝置接收一使用者鑑認認證,且至少部分地基於該使用者鑑認認證來將該第二裝置鑑認為用於該無線網路之一第二組態器。在將該第二裝置鑑認為該第二組態器後,該第一裝置就可接著將該組網路認證傳輸至該第二組態器。
在實例實施例中,該使用者鑑認認證可用以驗證該第一組態器及該第二裝置屬於同一使用者或以其他方式由同一使用者使用。舉例而言,該使用者鑑認認證可包括由該第二裝置之一使用者輸入之一密碼、語音資料或影像資料中之至少一者。該第一裝置可自該第一組態器接收一參考認證且比較該參考認證與該使用者鑑認認證。在一些態樣中,該第一裝置可卸載該比較以由在該無線網路外部之一或多個處 理資源執行。更具體言之,該第一裝置可在判定該使用者鑑認認證實質上匹配於該參考認證後就將該第二裝置鑑認為該第二組態器。
更進一步,在一些實施例中,該第一裝置可至少部分地基於該第一裝置之一公用身分識別密鑰來與該第二裝置建立一安全通道。舉例而言,可以一頻外方式將該公用身分識別密鑰提供至該第一裝置。因此,該第一裝置可經由該安全通道而自該第二裝置接收該使用者鑑認認證。一旦被鑑認,該第二組態器就可授權額外裝置存取該無線網路。
藉由將該等網路認證分布於一無線網路中之多個裝置當中,該等實例實施例提供在管理對該無線網路之存取方面的冗餘。舉例而言,此可允許儲存一組冗餘網路認證之一存取點(AP)在現有組態器丟失、被盜、替換或以其他方式自該無線網路永久地移除的情況下機載新組態器。此外,該使用者鑑認認證允許基於組態器之使用者(例如,而非該等裝置自身)來鑑認該等組態器。此可在機載一新組態器時(例如)藉由驗證該新組態器之使用者與舊或現有組態器之使用者為同一人來確保較大程度之「可信任度(trustworthiness)」。
100‧‧‧無線系統
110‧‧‧無線存取點(AP)
112‧‧‧公用根身分識別密鑰
114‧‧‧私用根身分識別密鑰
120‧‧‧無線區域網路(WLAN)
130‧‧‧用戶端裝置
132‧‧‧公用根身分識別密鑰
134‧‧‧私用根身分識別密鑰
140‧‧‧組態器
142‧‧‧網路認證
200‧‧‧系統
201‧‧‧使用者
210‧‧‧存取點(AP)
220‧‧‧組態器
222‧‧‧網路認證(NC)
224‧‧‧使用者鑑認認證(UAC)
230‧‧‧無線裝置
232‧‧‧使用者鑑認認證(UAC)
300‧‧‧序列圖
301‧‧‧使用者鑑認認證(UAC)請求
303‧‧‧公用根身分識別密鑰
305‧‧‧裝置佈建協定(DPP)鑑認請求
307‧‧‧裝置佈建協定(DPP)鑑認回應
309‧‧‧網路認證(NC)請求
310‧‧‧無線區域網路(WLAN)
400‧‧‧存取點(AP)
410‧‧‧PHY裝置
411‧‧‧收發器
412‧‧‧基頻處理器
420‧‧‧網路介面
430‧‧‧處理器
440‧‧‧記憶體
442‧‧‧網路認證儲存區
443‧‧‧使用者鑑認認證(UAC)儲存區
445‧‧‧網路認證分布軟體(SW)模組
446‧‧‧組態器鑑認軟體(SW)模組
447‧‧‧組態器機載軟體(SW)模組
450(1)‧‧‧天線
450(n)‧‧‧天線
500‧‧‧無線裝置
510‧‧‧PHY裝置
511‧‧‧收發器
512‧‧‧基頻處理器
520‧‧‧處理器
530‧‧‧記憶體
531‧‧‧網路認證儲存區
532‧‧‧使用者鑑認軟體(SW)模組
533‧‧‧使用者鑑認認證(UAC)
534‧‧‧網路認證卸載軟體(SW)模組
536‧‧‧組態器建置軟體(SW)模組
540(1)‧‧‧天線
540(n)‧‧‧天線
600‧‧‧操作
610‧‧‧步驟
620‧‧‧步驟
630‧‧‧步驟
640‧‧‧步驟
700‧‧‧操作
702‧‧‧步驟
704‧‧‧步驟
706‧‧‧步驟
708‧‧‧步驟
710‧‧‧步驟
712‧‧‧步驟
714‧‧‧步驟
716‧‧‧步驟
718‧‧‧步驟
720‧‧‧步驟
722‧‧‧步驟
實例實施例係作為實例予以說明,且並不意欲受到隨附圖式中之諸圖限制。
圖1展示可實施實例實施例所處之無線系統的方塊圖。
圖2展示根據實例實施例的用於將網路認證分布於多個裝置當中之系統的方塊圖。
圖3為根據實例實施例的描繪用於機載用於無線網路之新組態器之操作的序列圖。
圖4展示根據實例實施例之存取點的方塊圖。
圖5展示根據實例實施例之無線裝置的方塊圖。
圖6展示根據實例實施例的描繪用於分布用於無線網路之網路認證之操作的說明性流程圖。
圖7展示根據實例實施例的描繪用於將新組態器機載於無線網路中之操作的說明性流程圖。
下文僅出於簡單起見而在WLAN系統之上下文中描述實例實施例。應理解,實例實施例同樣地適用於其他無線網路(例如,蜂巢式網路、微微網路、超微型網路、衛星網路),以及使用一或多種有線標準或協定(例如,乙太網路及/或HomePlug/PLC標準)之信號之系統。如本文中所使用,術語「WLAN」及「Wi-Fi®」可包括由IEEE 802.11標準家族、BLUETOOTH®(藍芽)、HiperLAN(一組無線標準,與IEEE 802.11標準相當,主要在歐洲使用)及具有相對短之無線電傳播範圍之其他科技控管的通信。因此,可在本文中可互換地使用術語「WLAN」及「Wi-Fi」。另外,儘管下文在包括一或多個AP及數個用戶端裝置之基礎結構WLAN系統方面予以描述,但實例實施例同樣地適用於其他WLAN系統,包括(例如)多個WLAN、同級間(或獨立基本服務集)系統、Wi-Fi直接系統,及/或熱點。
在以下描述中,闡述眾多特定細節(諸如特定組件、電路及處理程序之實例)以提供對本發明之透徹理解。如本文中所使用之術語「耦接」意謂直接地連接至或經由一或多個介入組件或電路而連接。術語「組態器」係指管理及/或控制對無線網路之存取的無線裝置。舉例而言,組態器可註冊或授權新成員加入無線網路,且可取消授權現有成員免於加入無線網路。「成員」或「成員裝置」係指由組態器授權存取特定無線網路之任何無線裝置(例如,用戶端裝置或AP)。
又,在以下描述中且出於解釋之目的,闡述特定命名法以提供對實例實施例之透徹理解。然而,對於熟習此項技術者而言將顯而易 見,可不需要此等特定細節來實踐該等實例實施例。在其他情況下,以方塊圖形式展示熟知的電路及裝置以避免混淆本發明。在對電腦記憶體內之資料位元之操作之程序、邏輯區塊、處理及其他符號表示方面呈現以下【實施方式】之一些部分。此等描述及表示為由熟習資料處理技術者使用以將其工作之主旨最有效地傳達至其他熟習此項技術者的方式。在本申請案中,將程序、邏輯區塊、處理程序或其類似者構想為產生所要結果之步驟或指令之自相一致序列。該等步驟為需要物理量之物理操縱的步驟。通常(儘管未必),此等量採取能夠在電腦系統中被儲存、傳送、組合、比較及以其他方式操縱之電或磁信號的形式。
然而,應牢記,所有此等及相似術語將與適當物理量相關聯,且僅僅為應用於此等量之便利標籤。除非另有如自以下論述顯而易見的特定陳述,否則應瞭解,貫穿本申請案,利用諸如「存取」、「接收」、「發送」、「使用」、「選擇」、「判定」、「正規化」、「倍增」、「平均化」、「監測」、「比較」、「應用」、「更新」、「量測」、「導出」或其類似者之術語的論述係指電腦系統或相似電子計算裝置之動作及處理程序,電腦系統或相似電子計算裝置將被表示為電腦系統暫存器及記憶體內之物理(電子)量的資料操縱及變換成被相似地表示為電腦系統記憶體或暫存器或其他此等資訊儲存、傳輸或顯示裝置內之物理量的其他資料。
在諸圖中,可將單一區塊描述為執行一或若干功能;然而,實務上,可在單一組件中或橫越多個組件執行由彼區塊執行之該或該等功能,及/或可使用硬體、使用軟體或使用硬體與軟體之組合來執行該或該等功能。為了清楚地說明硬體與軟體之此可互換性,上文已大體上在功能性方面描述各種說明性組件、區塊、模組、電路及步驟。此功能性被實施為硬體抑或軟體取決於特定應用及強加於整個系統上 之設計約束。熟習此項技術者可針對每一特定應用而以變化的方式實施所描述功能性,但不應將此等實施決策解譯為造成脫離本發明之範疇。又,實例無線通信裝置可包括除了所展示組件以外之組件,包括諸如處理器、記憶體及其類似者之熟知的組件。
除非被特定地描述為以特定方式予以實施,否則本文中所描述之技術可以硬體、軟體、韌體或其任何組合予以實施。亦可將被描述為模組或組件之任何特徵一起實施於整合式邏輯裝置中或分離地實施為離散但可互操作之邏輯裝置。若以軟體予以實施,則該等技術可至少部分地由包含在經執行時執行上文所描述之方法中之一或多者之指令的非暫時性處理器可讀儲存媒體實現。非暫時性處理器可讀資料儲存媒體可形成電腦程式產品之部分,電腦程式產品可包括封裝材料。
非暫時性處理器可讀儲存媒體可包含隨機存取記憶體(RAM),諸如同步動態隨機存取記憶體(SDRAM)、唯讀記憶體(ROM)、非揮發性隨機存取記憶體(NVRAM)、電可擦除可程式化唯讀記憶體(EEPROM)、快閃記憶體、其他已知儲存媒體,及其類似者。另外或替代地,該等技術可至少部分地由攜載或傳達呈指令或資料結構之形式且可由電腦或其他處理器存取、讀取及/或執行之程式碼的處理器可讀通信媒體實現。
結合本文中所揭示之實施例所描述的各種說明性邏輯區塊、模組、電路及指令可由諸如以下各者之一或多個處理器執行:一或多個數位信號處理器(DSP)、一般用途微處理器、特殊應用積體電路(ASIC)、特殊應用指令集處理器(ASIP)、場可程式化閘陣列(FPGA),或其他等效整合式或離散邏輯電路系統。如本文中所使用之術語「處理器」可指前述結構或適合於實施本文中所描述之技術之任何其他結構中的任一者。另外,在一些態樣中,本文中所描述之功能性可提供於如本文中所描述而組態之指定軟體模組或硬體模組內。又,該等技 術可完全地實施於一或多個電路或邏輯元件中。一般用途處理器可為微處理器,但在替代例中,該處理器可為任何習知處理器、控制器、微控制器或狀態機。處理器亦可被實施為計算裝置之組合,例如,DSP與微處理器之組合、複數個微處理器、結合DSP核心之一或多個微處理器,或任何其他此類組態。
圖1為可實施實例實施例所處之無線系統100的方塊圖。無線系統100可包括無線存取點(AP)110、無線區域網路(WLAN)120、用戶端裝置130(例如,電台或STA),及組態器140。WLAN 120可由可根據IEEE 802.11標準家族(或根據其他合適無線協定)而操作之複數個Wi-Fi存取點(AP)形成。因此,儘管圖1中出於簡單起見而展示僅一個AP 110,但應理解,WLAN 120可由諸如AP 110之任何數目個存取點形成。相似地,WLAN 120可包括諸如用戶端裝置130之任何數目個用戶端裝置。對於一些實施例,無線系統100可對應於單使用者多輸入多輸出(SU-MIMO)或多使用者MIMO(MU-MIMO)無線網路。儘管圖1中將WLAN 120描繪為基礎結構基本服務集(BSS),但對於其他實例實施例,WLAN 120可為獨立基本服務集(IBSS)、特用網路,或同級間(P2P)網路(例如,根據Wi-Fi直接規格而操作)。
AP 110可為允許一或多個無線裝置經由AP 110使用Wi-Fi、藍芽或任何其他合適無線通信標準而連接至網路(例如,區域網路(LAN)、廣域網路(WAN)、都會區域網路(MAN)及/或網際網路)之任何合適裝置。AP 110被指派在其中由(例如)裝置製造者程式化之唯一媒體存取控制(MAC)位址。對於一些實施例,AP 110可為充當具備軟體功能之存取點(「SoftAP」)的任何合適無線裝置(例如,蜂巢式電話,PDA,平板電腦裝置,膝上型電腦,及/或STA)。對於至少一個實施例,AP 110可包括一或多個收發器、一或多個處理資源(例如,處理器及/或ASIC)、一或多個記憶體資源,及一電源。記憶體資源可包括儲存用 於執行下文關於圖6及圖7所描述之操作之指令的非暫時性電腦可讀媒體(例如,一或多個非揮發性記憶體元件,諸如EPROM、EEPROM、快閃記憶體、硬碟機等等)。
用戶端裝置130可為任何合適的具備Wi-Fi功能之無線裝置,包括(例如)行動電話、個人數位助理(PDA)、平板電腦裝置、膝上型電腦或其類似者。用戶端裝置130亦可被稱作使用者設備(UE)、用戶台、行動單元、用戶單元、無線單元、遠端單元、行動裝置、無線通信裝置、遠端裝置、行動用戶台、存取終端機、行動終端機、無線終端機、遠端終端機、手機、使用者代理、行動用戶端、用戶端或某一其他合適術語。用戶端裝置130亦被指派唯一MAC位址。對於至少一些實施例,用戶端裝置130可包括一或多個收發器、一或多個處理資源(例如,處理器及/或ASIC)、一或多個記憶體資源,及一電源(例如,電池)。記憶體資源可包括儲存用於執行下文關於圖7所描述之操作之指令的非暫時性電腦可讀媒體(例如,一或多個非揮發性記憶體元件,諸如EPROM、EEPROM、快閃記憶體、硬碟機等等)。
組態器140可為可與用戶端裝置130及AP 110安全地通信之任何合適裝置。在實例實施例中,組態器140可使用公用密鑰加密技術及/或根據裝置佈建協定(DPP)來與用戶端裝置130及AP 110中之每一者通信。對於至少一些實施例,組態器140可包括用於自裝置之使用者或操作者接收輸入的使用者輸入特徵(例如,觸控式螢幕、鍵盤、麥克風等等)舉例而言,組態器140可為智慧型電話、個人數位助理(PDA)、平板電腦裝置、膝上型電腦或其類似者。另外,對於一些實施例,組態器140可包括一或多個收發器、一或多個處理資源(例如,處理器及/或ASIC)、一或多個記憶體資源,及一電源(例如,電池)。記憶體資源可包括儲存用於執行下文關於圖7所描述之操作之指令的非暫時性電腦可讀媒體(例如,一或多個非揮發性記憶體元件,諸如 EPROM、EEPROM、快閃記憶體、硬碟機等等)。
對於AP 110、用戶端裝置130及組態器140,一或多個收發器可包括用以傳輸及接收無線通信信號之Wi-Fi收發器、藍芽收發器、蜂巢式收發器及/或其他合適射頻(RF)收發器(出於簡單起見而未圖示)。每一收發器可在相異操作頻帶中與其他無線裝置通信,及/或使用相異通信協定而與其他無線裝置通信。舉例而言,Wi-Fi收發器可在2.4GHz頻帶內及/或在根據IEEE 802.11規格之5GHz頻帶內通信。蜂巢式收發器可在根據由第三代合作夥伴計劃(3GPP)描述之4G長期演進(LTE)協定之各種RF頻帶(例如,介於大約700MHz與大約3.9GHz之間)內通信,及/或根據其他蜂巢式協定(例如,全球行動系統(GSM)通信協定)而通信。在其他實施例中,包括於用戶端裝置內之收發器可為任何技術上可行收發器,諸如由來自ZigBee Alliance之規格描述的ZigBee收發器、WiGig收發器,及/或由來自HomePlug Alliance之規格描述的HomePlug收發器。
組態器140管理對WLAN 120之存取及/或控制。舉例而言,組態器140可儲存可用以授權成員裝置存取WLAN 120之一組網路認證142。在一些態樣中,組態器140可註冊及/或授權新裝置加入WLAN 120(例如,且變成WLAN 120之成員)。舉例而言,在用戶端裝置130可存取WLAN 120之任何服務及/或裝置之前,組態器140可首先將用戶端裝置130註冊為WLAN 120之成員。註冊處理程序可包括將用戶端裝置130鑑認為「受信任」裝置,及佈建用戶端裝置130以與WLAN 120之AP 110及/或其他成員通信。出於論述之目的,假定AP 110已經被註冊(例如,由組態器140)為WLAN 120之成員。
在實例實施例中,組態器140可使用公用密鑰加密技術來鑑認用戶端裝置130。公用密鑰加密技術可用以在組態器140與用戶端裝置130之間建立安全通信通道。舉例而言,用戶端裝置130可儲存公用根 身分識別密鑰132及私用根身分識別密鑰134,或以其他方式與公用根身分識別密鑰132及私用根身分識別密鑰134相關聯。公用/私用密鑰對132及134可在其製造時間程式化及/或儲存於用戶端裝置130中。公用根身分識別密鑰(或公用密鑰)132可被分布至其他裝置(例如,包括組態器140),而私用根身分識別密鑰(或私用密鑰)134可僅為用戶端裝置130所知。組態器140可使用公用根身分識別密鑰132以加密意欲用於用戶端裝置130之訊息,且用戶端裝置130可使用其私用根身分識別密鑰134來解密該等訊息。
為了確保用戶端裝置130為「受信任」裝置,組態器140可以頻外方式(例如,使用快速回應(QR)碼、近場通信(NFC)、標籤字串、藍芽低能量(BLE)、通用串列匯流排(USB)等等)獲得公用根身分識別密鑰132。舉例而言,組態器140可藉由掃描(例如,運用光學裝置及/或攝影機)印刷於用戶端裝置130之表面或外殼上的QR碼來獲取公用根身分識別密鑰132。替代地,可由組態器140之使用者手動地輸入公用根身分識別密鑰132(例如,在讀出用戶端裝置130上之經印刷標籤之後)。更進一步,在一些態樣中,用戶端裝置130可經由近程通信通道(例如,NFC、BLE、USB等等)將其公用根身分識別密鑰132發送至組態器140。組態器140獲得公用根身分識別密鑰132之頻外方式確保用戶端裝置130在鑑認處理程序期間相對極近接於組態器140。組態器140可因此信任用戶端裝置130實際上為被假設之裝置。
在鑑認處理程序期間,組態器140可使用公用密鑰加密來與用戶端裝置130建置安全通信通道。舉例而言,組態器140可與用戶端裝置130交換經加密訊息以驗證用戶端裝置130持有與公用根身分識別密鑰132相關聯之私用根身分識別密鑰134,且將其自己的公用根身分識別密鑰(出於簡單起見而未圖示)提供至用戶端裝置130。一旦被鑑認,用戶端裝置130就可將訊息安全地發送至組態器140(例如,使用組態 器140之公用根身分識別密鑰132),且組態器140可將訊息安全地發送至用戶端裝置130(例如,使用公用根身分識別密鑰132)。
組態器140可接著組態用戶端裝置130以存取及/或連接至WLAN 120。舉例而言,組態器140可將用戶端裝置130「引入」至WLAN 120中之其他裝置,包括(例如)AP 110。在一些態樣中,組態器140亦可(例如)基於AP 110之公用根身分識別密鑰112及私用根身分識別密鑰114而使用公用密鑰加密來與AP 110通信。藉由引入用戶端裝置130及AP 110,組態器140證明兩種裝置皆為WLAN 120之經鑑認(例如,受信任)成員。用戶端裝置130及AP 110可接著協商可用以在該等裝置之間建立安全通信鏈路的共用成對主控密鑰(pairwise master key;PMK)。舉例而言,用戶端裝置130可使用PMK以存取及/或連接至WLAN 120(例如,經由如由IEEE 802.11規格所定義之4向交握)。
在一些態樣中,組態器140可使用基於公用密鑰白名單之存取控制技術來控制對WLAN 120之存取。舉例而言,組態器140可儲存經授權存取及/或加入WLAN 120之受信任(例如,成員)裝置清單。受信任裝置清單可被儲存為一組網路認證142。在一些實施例中,網路認證142可包括用於WLAN 120之每一成員之身分識別密鑰資訊。在圖1之實例中,網路認證142可包括用戶端裝置130之公用根身分識別密鑰132,及AP 110之公用根身分識別密鑰112。因此,組態器140可將對WLAN 120之存取僅限制至由網路認證142識別之彼等裝置(例如,成員裝置)。
在其他態樣中,組態器140可使用基於憑證之存取控制技術來控制對WLAN 120之存取。舉例而言,組態器140可使用一對證明授權機構(CA)公用密鑰及私用密鑰(出於簡單起見而未圖示)以簽署及/或證明由WLAN 120之成員裝置進行之通信。在一些實施例中,網路認證142可包括用以證明WLAN 120之成員的CA公用/私用密鑰對。因此, 組態器140可將CA公用密鑰分布至WLAN 120之成員裝置(例如,用戶端裝置130及AP 110),且可使用CA私用密鑰以簽署或加密由成員裝置進行之通信。此確保僅WLAN 120之成員裝置(例如,持有CA公用密鑰之裝置)可解密及/或驗證由其他成員裝置進行之通信(例如,使用CA私用密鑰而簽署之通信)。
在實例實施例中,組態器140可將網路認證142之複本分布至WLAN 120中之其他裝置。如上文所描述,組態器140可丟失、被盜、替換或以其他方式自WLAN 120移除(例如,永久地)。實例實施例亦辨識到,存取點傾向於為無線網路中之相對永久固定物,且較不可能丟失或被盜。因此,在實例實施例中,組態器140可傳送網路認證142之複本以儲存於AP 110上。儘管在圖1之實例中將僅一個實體(例如,AP 110)展示為接收網路認證142,但在其他實施例中,組態器140可將網路認證142分布至WLAN 120中之任何數目個裝置(例如,AP及/或用戶端裝置)。舉例而言,在一些實施例中,組態器140可將網路認證142分布至AP 110及/或用戶端裝置130。
以分布方式(例如,在WLAN 120中之多個裝置上)儲存網路認證142可提供在管理對WLAN 120之存取方面的冗餘。儘管AP 110可較不可能(相較於組態器140)丟失、被盜或自WLAN 120移除,但AP 110相較於組態器140亦可具有較不穩固的特徵集。舉例而言,AP 110可不具有為使用網路認證142來註冊及/或管理裝置所必要之攝影機、藍芽無線電、使用者輸入裝置及/或其他特徵。因此,對於一些實施例,AP 110可將網路認證142傳送至另一無線裝置(出於簡單起見而未圖示),且使得該無線裝置能夠承擔用於WLAN 120之組態器之角色。
圖2展示根據實例實施例的用於將網路認證分布於多個裝置當中之系統200的方塊圖。系統200包括AP 210、組態器220,及無線裝置230。AP 210及組態器220可分別為圖1之AP 110及組態器140之實施 例。
組態器220管理至少部分地由AP 210提供的對無線網路(出於簡單起見而未圖示)之存取及/或控制。更具體言之,組態器220儲存可用以將對無線網路之存取提供及/或限制至受信任及/或經鑑認裝置(例如,無線網路之成員)的一組網路認證(NC)222。在一些態樣中,網路認證222可包括用於受信任成員裝置之公用根身分識別密鑰清單(例如,用於基於公用密鑰白名單之存取控制)。在其他態樣中,網路認證222可包括可由組態器220(例如,或其他證明授權機構)使用以簽署及/或證明由成員裝置進行之通信(例如,用於基於憑證之存取控制)的一對CA公用密鑰及私用密鑰。
在實例實施例中,AP 210亦可儲存由組態器220使用以管理對無線網路之存取的網路認證222之複本。舉例而言,組態器220可在將AP 210註冊為無線網路之成員後就將網路認證222之複本儲存於AP 210上。為了維持網路認證222在AP 210與組態器220之間的同步,組態器220可在給定週期期間週期性地更新儲存於AP 210上之網路認證222以反映成員裝置之任何添加及/或移除。替代地,組態器220可回應於對無線網路之成員資格之任何改變而更新儲存於AP 210上之網路認證222。
無線裝置230可為能夠與AP 210安全地通信且管理對無線網路之存取的任何合適裝置。舉例而言,無線裝置230可使用公用密鑰加密技術及/或根據DPP協定來與AP 210通信。對於至少一些實施例,無線裝置230可包括用於自裝置之使用者或操作者接收輸入的使用者輸入特徵(例如,觸控式螢幕、鍵盤、麥克風等等)。舉例而言,無線裝置230可為智慧型電話、PDA、平板電腦裝置、膝上型電腦或其類似者。另外,無線裝置230可包括一或多個收發器、一或多個處理資源、一或多個記憶體資源,及一電源。記憶體資源可包括儲存用於執 行下文關於圖7所描述之操作之指令的非暫時性電腦可讀媒體(例如,一或多個非揮發性記憶體元件,諸如EPROM、EEPROM、快閃記憶體、硬碟機等等)。
在實例實施例中,AP 210可將無線裝置230「機載」(例如,建置或組態)為用於無線網路之組態器。舉例而言,無線裝置230可充當備用物及/或提供針對組態器220之冗餘。另外,無線裝置230可在組態器220丟失、被盜、替換及/或以其他方式自無線網路移除的情況下承擔組態器220之角色(例如,且因此維持無線網路之成員資格)。AP 210可藉由進一步將網路認證222之複本分布至無線裝置230來將無線裝置230建置為組態器。對於一些實施例,AP 210可在將網路認證222傳送至無線裝置230之前首先判定無線裝置230為「受信任」裝置。然而,在不存在組態器220的情況下,AP 210可不能夠經由成員註冊處理程序(例如,使用DPP鑑認)來判定無線裝置230之可信任度。
實例實施例辨識到,特定使用者201可擁有及/或操作組態器220及無線裝置230兩者。因此,在實例實施例中,AP 210可藉由鑑認無線裝置230之使用者201(例如,或基於持有及/或操作無線裝置230之使用者201來鑑認該裝置)來判定無線裝置230之可信任度。舉例而言,AP 210可在接收到網路認證222後就自組態器220接收及/或向組態器220請求使用者鑑認認證(UAC)224。使用者鑑認認證224可包括將使用者201唯一地識別為組態器220之擁有者及/或操作者的任何資訊。為了驗證使用者201持有組態器220,AP 210可在自組態器220接收到網路認證222後就請求使用者201手動地輸入及/或提供使用者鑑認認證224。
在一些實施例中,使用者鑑認認證224可包括文數字密碼。舉例而言,AP 210可提示使用者201經由組態器220之鍵盤或觸控式螢幕而鍵入或輸入密碼。在其他實施例中,鑑認認證224可包括音訊紀錄及/ 或語音資料。舉例而言,AP 210可提示使用者201在組態器220之麥克風記錄使用者之語音時重複顯示於組態器220之螢幕及/或表面上的片語。更進一步,在一些實施例中,使用者鑑認認證224可包括相片及/或影像資料。舉例而言,AP 210可致使組態器220之攝影機或光學裝置捕捉使用者201之相片。
AP 210可結合網路認證222而儲存使用者鑑認認證224。在一些實施例中,AP 210可隨後使用使用者鑑認認證224以將無線裝置230鑑認為用於無線網路之組態器。舉例而言,當嘗試機載無線裝置230時,無線裝置230之使用者201可被提示經由無線裝置230之一或多個輸入特徵(例如,麥克風、攝影機、觸控式螢幕、鍵盤等等)而輸入或提供另一使用者鑑認認證(UAC)232。無線裝置230接著出於鑑認目的而將使用者鑑認認證232發送至AP 210。
AP 210可比較來自無線裝置230之使用者鑑認認證232與自組態器220接收之使用者鑑認認證224,以判定是否同一使用者201為組態器220及無線裝置230兩者之擁有者及/或操作者。若AP 210判定來自無線裝置230之使用者鑑認認證232實質上匹配於來自組態器220之使用者鑑認認證224,則AP 210可將網路認證222分布至無線裝置230,且使得無線裝置230能夠承擔用於無線網路之組態器之角色。
圖3為根據實例實施例的描繪用於機載用於無線網路之新組態器之操作的序列圖300。參考(例如)圖2之系統200,AP 210可最初與作為WLAN 310之成員的組態器220通信。
在與AP 210建立安全通信通道後,組態器220就可分布網路認證222之複本以儲存於AP 210上或由AP 210儲存。組態器220可經由安全通信通道而將網路認證222傳輸至AP 210。舉例而言,在一些態樣中,組態器220可使用公用密鑰加密技術來加密網路認證222。在其他態樣中,組態器220可經由無線網路之無線通道而傳輸網路認證222。
在實例實施例中,AP 210可在接收到網路認證222後就向組態器220之使用者請求使用者鑑認認證(UAC)。舉例而言,AP 210可將UAC請求301發送至組態器220。UAC請求301可致使組態器220提示使用者201輸入或提供使用者鑑認認證224。如上文所描述,使用者鑑認認證224可包括唯一地識別組態器220之使用者201的文數字密碼、語音紀錄、影像及/或其他資訊。組態器220接著將使用者鑑認認證224轉發至AP 210,以結合網路認證222而儲存。
在圖3之實例中,無線裝置(WD)230最初不為WLAN 310之成員。因此,在無線裝置230可被建置為用於WLAN 310之組態器之前,無線裝置230可首先建立用於與AP 210通信之安全通道。對於一些實施例,無線裝置230可根據DPP鑑認協定來建立安全通道(例如,如上文關於圖1所描述)。舉例而言,無線裝置230可首先獲取AP 210之公用根身分識別密鑰303。對於一些實施例,無線裝置230可以頻外方式(例如,使用QR碼、BLE通信、NFC通信、USB連接、標籤字串等等)自AP 210獲取及/或接收公用根身分識別密鑰303以確保AP 210為受信任裝置。
無線裝置230可接著使用AP 210之公用根身分識別密鑰303以建立與AP 210之通信的安全通道。舉例而言,無線裝置230可經由DPP鑑認請求305而將其自己的公用根身分識別密鑰提供至AP 210。DPP鑑認請求305可使用AP 210之公用根身分識別密鑰303被加密,且可因此僅在AP 210持有對應(例如,對應物)私用根身分識別密鑰時才被解密。AP 210可接著將DPP鑑認回應307發送回至無線裝置230以確認或以其他方式向無線裝置230指示AP 210成功地接收(及解密)DPP鑑認請求305。此時,無線裝置230可與AP 210安全地通信(例如,使用AP 210之公用根身分識別密鑰303),且AP 210可與無線裝置230安全地通信(例如,使用無線裝置230之公用根身分識別密鑰)。
在建立安全通信通道之後,無線裝置230可向AP 210請求一組網路認證(NC)。舉例而言,無線裝置230可將NC請求309發送至AP 210以擷取網路認證222之複本。在實例實施例中,NC請求309可包括由無線裝置230之使用者201輸入的使用者鑑認認證232。為了確保使用者鑑認認證232之確實性,無線裝置230可提示使用者201在觸發及/或產生NC請求309後就輸入或提供使用者鑑認認證232。
AP 210可藉由比較來自無線裝置230之使用者鑑認認證232與先前自組態器220接收之使用者鑑認認證224來鑑認無線裝置230之使用者201。在驗證無線裝置230之使用者201與組態器220之使用者為同一人後,AP 210就可將網路認證222之複本傳輸至無線裝置230且使得無線裝置230能夠操作為用於WLAN 310之組態器。因此,無線裝置230可在組態器220丟失、被盜、替換或以其他方式自WLAN 310移除的情況下提供針對組態器220之冗餘及/或保留WLAN 310之成員資格。
圖4展示根據實例實施例之存取點(AP)400的方塊圖。AP 400可為圖1之AP 110及/或圖2之AP 210的一個實施例。AP 400至少包括PHY裝置410、網路介面420、處理器430、記憶體440,及數個天線450(1)至450(n)。網路介面420可用以直接地或經由一或多個介入網路而與WLAN伺服器(出於簡單起見而未圖示)通信,且傳輸信號。
PHY裝置410至少包括一組收發器411及一基頻處理器412。收發器411可直接地或經由天線選擇電路(出於簡單起見而未圖示)而耦接至天線450(1)至450(n)。收發器411可用以將信號傳輸至其他無線裝置(例如,AP、用戶端裝置,及/或其他無線裝置)及自該等其他無線裝置接收信號,且可用以掃描周圍環境以偵測及識別附近無線裝置(例如,在AP 400之無線範圍內)。基頻處理器412可用以處理自處理器430及/或記憶體440接收之信號,且將經處理信號轉發至收發器411以供經由一或多個天線450(1)至450(n)而傳輸。基頻處理器412亦可用以 處理經由收發器411而自一或多個天線450(1)至450(n)接收之信號,且將經處理信號轉發至處理器430及/或記憶體440。
記憶體440可包括儲存用於授權裝置(例如,成員裝置)存取WLAN之一組網路認證的網路認證儲存區442。在一些態樣中,網路認證儲存區442可儲存用於WLAN之每一成員的身分識別密鑰資訊(例如,公用根身分識別密鑰)(例如,用於基於公用密鑰白名單之存取控制)。在其他態樣中,網路認證儲存區442可儲存可用以證明由成員裝置進行之通信(例如,用於基於憑證之存取控制)的一對證明授權機構(CA)公用密鑰及私用密鑰。對於一些實施例,網路認證儲存區442可包括用以儲存待與網路認證相關聯之使用者鑑認認證的使用者鑑認認證(UAC)儲存區443。舉例而言,使用者鑑認認證可包括唯一地識別無線裝置之使用者的密碼、語音資料、影像資料及/或其他資訊。
記憶體440亦可包括可儲存至少以下軟體(SW)模組之非暫時性電腦可讀媒體(例如,一或多個非揮發性記憶體元件,諸如EPROM、EEPROM、快閃記憶體、硬碟機等等):˙網路認證分布SW模組445,其用以獲取儲存於網路認證儲存區442中之網路認證及/或將儲存於網路認證儲存區442中之網路認證分布於WLAN的成員當中;˙組態器鑑認SW模組446,其用以至少部分地基於使用者鑑認認證來將無線裝置鑑認為用於WLAN之新組態器;及˙組態器機載SW模組447,其用以將儲存於網路認證儲存區442中之網路認證提供至新組態器,且使得新組態器能夠管理及/或控制對WLAN之存取。
每一軟體模組包括在由處理器430執行時致使AP 400執行對應功能的指令。記憶體440之非暫時性電腦可讀媒體因此包括用於執行圖6所描繪之操作及/或圖7所描繪之AP側操作中之全部或部分的指令。
處理器430可為能夠執行儲存於AP 400中(例如,記憶體440內)之一或多個軟體程式之指令碼或指令的任何合適的一或多個處理器。舉例而言,處理器430可執行網路認證分布SW模組445以獲取儲存於網路認證儲存區442中之網路認證及/或將儲存於網路認證儲存區442中之網路認證分布於WLAN之成員當中。處理器430亦可執行組態器鑑認SW模組446以至少部分地基於使用者鑑認認證來將無線裝置鑑認為用於WLAN之新組態器。更進一步,處理器430可執行組態器機載SW模組447以將儲存於網路認證儲存區442中之網路認證提供至新組態器,且使得新組態器能夠管理及/或控制對WLAN之存取。
圖5展示根據實例實施例之無線裝置500的方塊圖。無線裝置500可為圖2之無線裝置230的一個實施例。無線裝置500亦可為圖1之組態器140及/或圖2之組態器220的一個實施例。無線裝置500至少包括PHY裝置510、處理器520、記憶體530,及數個天線540(1)至540(n)。
PHY裝置510至少包括一組收發器511及一基頻處理器512。收發器511可直接地或經由天線選擇電路(出於簡單起見而未圖示)而耦接至天線540(1)至540(n)。收發器511可用以將信號傳輸至其他無線裝置(例如,AP、用戶端裝置,及/或其他無線裝置)及自該等其他無線裝置接收信號,且可用以掃描周圍環境以偵測及識別附近無線裝置(例如,在無線裝置500之無線範圍內)。基頻處理器512可用以處理自處理器520及/或記憶體530接收之信號,且將經處理信號轉發至收發器511以供經由一或多個天線540(1)至540(n)而傳輸。基頻處理器512亦可用以處理經由收發器511而自一或多個天線540(1)至540(n)接收之信號,且將經處理信號轉發至處理器520及/或記憶體530。
記憶體530可包括儲存用於授權裝置(例如,成員裝置)存取WLAN之一組網路認證的網路認證儲存區531。對於一些實施例,網路認證儲存區531可儲存用於WLAN之每一成員的身分識別密鑰資訊 (例如,公用根身分識別密鑰)(例如,用於基於公用密鑰白名單之存取控制)。對於其他實施例,網路認證儲存區531可儲存可用以證明由成員裝置進行之通信(例如,用於基於憑證之存取控制)的一對證明授權機構(CA)公用密鑰及私用密鑰。
記憶體530亦可包括可儲存至少以下軟體(SW)模組之非暫時性電腦可讀媒體(例如,一或多個非揮發性記憶體元件,諸如EPROM、EEPROM、快閃記憶體、硬碟機等等):˙使用者鑑認SW模組532,其用以自無線裝置500之使用者獲取使用者鑑認認證(UAC)533;˙網路認證卸載SW模組534,其用以卸載儲存於網路認證儲存區531中之網路認證及/或將儲存於網路認證儲存區531中之網路認證分布至WLAN之一或多個成員裝置(例如,AP);及˙組態器建置SW模組536,其用以將無線裝置500組態及/或操作為用於WLAN之組態器。
每一軟體模組包括在由處理器520執行時致使無線裝置500執行對應功能的指令。記憶體530之非暫時性電腦可讀媒體因此包括用於執行圖7所描繪之組態器側操作及/或無線裝置側操作中之全部或部分的指令。
處理器520可為能夠執行儲存於無線裝置500中(例如,記憶體530內)之一或多個軟體程式之指令碼或指令的任何合適的一或多個處理器。舉例而言,處理器520可執行使用者鑑認SW模組532以自無線裝置500之使用者獲取使用者鑑認認證533。處理器520亦可執行網路認證卸載SW模組534以卸載儲存於網路認證儲存區531中之網路認證及/或將儲存於網路認證儲存區531中之網路認證分布至WLAN之一或多個成員裝置(例如,AP)。更進一步,處理器520可執行組態器建置SW模組536以將無線裝置500組態及/或操作為用於WLAN之組態器。
圖6展示根據實例實施例的描繪用於分布用於無線網路之網路認證之操作600的說明性流程圖。參考(例如)圖2,實例操作600可由AP 210執行以將一組網路認證222自組態器220分布及/或傳送至無線裝置230。
AP 210首先自組態器接收一組網路認證(610)。舉例而言,AP 210可在對組態器220進行鑑認後就及/或此後週期性地(例如,或回應於對網路認證222之改變)而自組態器220接收網路認證222。網路認證222可用以將對無線網路之存取限制至受信任及/或經鑑認裝置(例如,無線網路之成員)。在一些態樣中,網路認證222可包括用於受信任成員裝置之公用根身分識別密鑰清單(例如,用於基於公用密鑰白名單之存取控制)。在其他態樣中,網路認證222可包括可由證明授權機構使用以簽署及/或證明由成員裝置進行之通信(例如,用於基於憑證之存取控制)的一對CA公用密鑰及私用密鑰。
AP 210可自無線裝置接收使用者鑑認認證(UAC)(620)。舉例而言,AP 210可自無線裝置230接收使用者鑑認認證232。更具體言之,無線裝置230之使用者201可經由該無線裝置之一或多個輸入特徵(例如,麥克風、攝影機、觸控式螢幕、鍵盤等等)而提供使用者鑑認認證232。在一些實施例中,使用者鑑認認證232可包括文數字密碼。在其他實施例中,使用者鑑認認證232可包括音訊紀錄及/或語音資料。更進一步,在一些實施例中,使用者鑑認認證232可包括相片及/或影像資料。
AP 210可接著至少部分地基於使用者鑑認認證來將無線裝置鑑認為新組態器(630)。實例實施例辨識到,同一使用者201可擁有及/或操作無線裝置230及組態器220兩者。因此,AP 210可藉由鑑認使用者201(例如,而非僅僅鑑認無線裝置230)來判定無線裝置230之可信任度。舉例而言,AP 210可比較來自無線裝置230之使用者鑑認認證232 與經儲存使用者鑑認認證224(例如,其可先前自組態器220被接收),以判定是否同一使用者201輸入使用者鑑認認證224及232兩者。AP 210可在來自無線裝置230之使用者鑑認認證232實質上匹配於經儲存使用者鑑認認證224的情況下將無線裝置鑑認為新組態器。
最後,AP 210可在將無線裝置鑑認為新組態器後就將網路認證傳輸至無線裝置(640)。舉例而言,AP 210可將網路認證222之複本分布至無線裝置230,以使得無線裝置230能夠充當備用物及/或提供針對組態器220之冗餘。此外,藉由儲存網路認證222之本機複本,無線裝置230可在組態器220丟失、被盜、替換及/或以其他方式自無線網路移除的情況下承擔組態器220之角色(例如,且因此維持無線網路之成員資格)。
圖7展示根據實例實施例的描繪用於將新組態器機載於無線網路中之操作700的說明性流程圖。參考(例如)圖2,實例操作700可由AP 210、組態器220及無線裝置230進行,以將無線裝置230機載為用於無線網路之組態器。
組態器220自組態器220之使用者接收第一使用者鑑認認證(UAC0)(702)。如上文所描述,第一使用者鑑認認證UAC0可包括唯一地識別組態器220之使用者201的文數字密碼、語音紀錄、影像及/或其他資訊。更具體言之,使用者201可使用組態器220之一或多個輸入特徵(例如,麥克風、攝影機、觸控式螢幕、鍵盤等等)而將第一使用者鑑認認證UAC0輸入於組態器220上。
組態器220接著將一組網路認證(NC)與第一使用者鑑認認證UAC0一起發送至AP 210(704)。舉例而言,組態器220可分布網路認證222之複本(例如,用於將對無線網路之存取授權及/或限制至成員裝置)以儲存於AP 210上或由AP 210儲存。對於一些實施例,網路認證222可被重新分布(例如,由AP 210)至其他裝置。因此,第一使用者鑑認認 證UAC0可充當「參考認證」以用於驗證嘗試獲取網路認證222之複本的任何裝置之可信任度(例如,使用者)。
AP 210儲存網路認證及來自組態器220之第一使用者鑑認認證UAC0(706)。對於一些實施例,AP 210可在自組態器220接收到網路認證222之複本之後請求第一使用者鑑認認證UAC0。舉例而言,在接收到網路認證222後,AP 210就可將UAC請求發送至組態器220,從而致使組態器220提示使用者201輸入或提供第一使用者鑑認認證UAC0。在實例實施例中,AP 210可使用網路認證222及第一使用者鑑認認證UAC0以機載新組態器裝置。舉例而言,AP 210可將無線裝置230機載為用於無線網路之組態器。
無線裝置230自無線裝置230之使用者接收第二使用者鑑認認證(UAC1)(708)。第二使用者鑑認認證UAC1可屬於與第一使用者鑑認認證UAC0相同的格式及/或類型。舉例而言,第二使用者鑑認認證UAC1可包括唯一地識別無線裝置230之使用者201的文數字密碼、語音紀錄、影像及/或其他資訊。具體言之,使用者201可使用無線裝置230之一或多個輸入特徵(例如,麥克風、攝影機、觸控式螢幕、鍵盤等等)來輸入第二使用者鑑認認證UAC1
無線裝置230進一步建立與AP 210之通信的安全通道(710)。在實例實施例中,無線裝置230可根據DPP協定來建立安全通道。舉例而言,無線裝置230可以頻外方式(例如,使用QR碼、BLE通信、NFC通信、USB連接、標籤字串等等)獲取AP 210之公用根身分識別密鑰,以確保AP 210為受信任裝置。無線裝置230可接著起始與AP 210進行之DPP鑑認處理程序以建立安全通信通道(例如,經由交換經加密訊息)。在鑑認處理程序期間,無線裝置230可將其自己的公用根身分識別密鑰提供至AP 210。
無線裝置230接著經由安全通信通道而將第二使用者鑑認認證 UAC1發送至AP 210(712)。舉例而言,無線裝置230可使用其自己的私用根身分識別密鑰來加密第二使用者鑑認認證UAC1。AP 210可接著使用無線裝置230之公用根身分識別密鑰(例如,在DPP鑑認處理程序期間被接收)來解密第二使用者鑑認認證UAC1
AP 210可比較第二使用者鑑認認證UAC1與第一使用者鑑認認證UAC0以驗證無線裝置230之使用者201(714)。在實例實施例中,AP 210可基於該比較來判定是否無線裝置230之使用者201與組態器220之使用者201為同一人。若第二使用者鑑認認證UAC1不匹配於第一使用者鑑認認證UAC0(716),則AP 210可終止無線裝置230之組態器建置(718)。舉例而言,AP 210可將指示無線裝置230(及/或無線裝置230之使用者)可能未被鑑認之訊息發送至無線裝置230。
若第二使用者鑑認認證UAC1實質上匹配於第一使用者鑑認認證UAC0(如在716處所測試),則AP 210可繼續進行以將經儲存網路認證發送至無線裝置230(720),且使得無線裝置230能夠使用網路認證而操作為用於無線網路之組態器(722)。舉例而言,無線裝置230可自AP 210接收網路認證222之複本,且可隨後使用網路認證222以將對無線網路之存取提供及/或限制至成員裝置。因此,無線裝置230可在組態器220丟失、被盜、替換或以其他方式自無線網路移除的情況下提供針對組態器220之冗餘及/或保留無線網路之成員資格。
熟習此項技術者將瞭解,可使用多種不同科技及技術中之任一者來表示資訊及信號。舉例而言,可由電壓、電流、電磁波、磁場或磁性粒子、光場或光學粒子或其任何組合表示可貫穿以上描述所參考之資料、指令、命令、資訊、信號、位元、符號及碼片。
另外,熟習此項技術者將瞭解,結合本文中所揭示之態樣所描述的各種說明性邏輯區塊、模組、電路及演算法步驟可被實施為電子硬體、電腦軟體或此兩者之組合。為了清楚地說明硬體與軟體之此可 互換性,上文已大體上在功能性方面描述各種說明性組件、區塊、模組、電路及步驟。此功能性被實施為硬體抑或軟體取決於特定應用及強加於整個系統上之設計約束。熟習此項技術者可針對每一特定應用而以變化的方式實施所描述功能性,但不應將此等實施決策解譯為造成脫離本發明之範疇。
結合本文中所揭示之態樣所描述的方法、序列或演算法可直接地以硬體、以由處理器執行之軟體模組或以該兩者之組合予以體現。軟體模組可駐留於RAM記憶體、快閃記憶體、ROM記憶體、EPROM記憶體、EEPROM記憶體、暫存器、硬碟、抽取式磁碟、CD-ROM或此項技術中所知的任何其他形式之儲存媒體中。例示性儲存媒體耦接至處理器,使得處理器可自儲存媒體讀取資訊及將資訊寫入至儲存媒體。在替代例中,儲存媒體可與處理器成一體式。
在前述說明書中,實例實施例已參考其特定實例實施例予以描述。然而,將顯而易見,可對其進行各種修改及改變而不脫離如由所附申請專利範圍中所闡述的本發明之較廣範疇。因此,應在說明性意義而非限制性意義上看待本說明書及圖式。
200‧‧‧系統
201‧‧‧使用者
210‧‧‧存取點(AP)
220‧‧‧組態器
222‧‧‧網路認證(NC)
224‧‧‧使用者鑑認認證(UAC)
230‧‧‧無線裝置
232‧‧‧使用者鑑認認證(UAC)

Claims (30)

  1. 一種分布用於一無線網路之網路認證之方法,該方法係由該無線網路之一第一裝置執行且包含:自一第一組態器接收一組網路認證,該組網路認證用以授權一或多個裝置存取該無線網路;自一第二裝置接收一使用者鑑認認證;至少部分地基於該使用者鑑認認證來將該第二裝置鑑認為用於該無線網路之一第二組態器;及將該組網路認證傳輸至該第二組態器。
  2. 如請求項1之方法,其中該組網路認證包括與該一或多個裝置相關聯之一受信任公用密鑰清單。
  3. 如請求項1之方法,其中該組網路認證包括用以將該一或多個裝置證明為該無線網路之成員的一對公用密鑰及私用密鑰。
  4. 如請求項1之方法,其進一步包含:自該第一組態器接收一參考認證。
  5. 如請求項4之方法,其中該鑑認包含:比較該使用者鑑認認證與該參考認證;及在判定該使用者鑑認認證實質上匹配於該參考認證後就將該第二裝置鑑認為該第二組態器。
  6. 如請求項5之方法,其進一步包含:卸載該比較以由在該無線網路外部之一或多個處理資源執行。
  7. 如請求項1之方法,其中該使用者鑑認認證包括由該第二裝置之一使用者輸入之一密碼、語音資料或影像資料中之至少一者。
  8. 如請求項1之方法,其中接收該使用者鑑認認證包含: 至少部分地基於該第一裝置之一公用身分識別密鑰來與該第二裝置建立一安全通道;及經由該安全通道而自該第二裝置接收該使用者鑑認認證。
  9. 如請求項8之方法,其中以一頻外方式將該公用身分識別密鑰提供至該第二裝置。
  10. 如請求項1之方法,其中該鑑認包含:使得該第二裝置能夠授權額外裝置存取該無線網路。
  11. 一種無線裝置,其包含:一或多個處理器;及一記憶體,其儲存在由該一或多個處理器執行時致使該無線裝置進行以下操作之指令:自一第一組態器接收一組網路認證,該組網路認證用以授權一或多個裝置存取一無線網路;自另一無線裝置接收一使用者鑑認認證;至少部分地基於該使用者鑑認認證來將該另一無線裝置鑑認為用於該無線網路之一第二組態器;及將該組網路認證傳輸至該第二組態器。
  12. 如請求項11之無線裝置,其中該組網路認證包括與該一或多個裝置相關聯之一受信任公用密鑰清單。
  13. 如請求項11之無線裝置,其中該組網路認證包括用以將該一或多個裝置證明為該無線網路之成員的一對公用密鑰及私用密鑰。
  14. 如請求項11之無線裝置,其中執行該等指令會進一步致使該無線裝置進行以下操作:自該第一組態器接收一參考認證。
  15. 如請求項14之無線裝置,其中執行該等指令以鑑認該另一無線裝置會致使該無線裝置進行以下操作: 比較該使用者鑑認認證與該參考認證;及在判定該使用者鑑認認證實質上匹配於該參考認證後就將該另一無線裝置鑑認為該第二組態器。
  16. 如請求項11之無線裝置,其中該使用者鑑認認證包括由該另一無線裝置之一使用者輸入之一密碼、語音資料或影像資料中之至少一者。
  17. 如請求項11之無線裝置,其中執行該等指令以接收該使用者鑑認認證會致使該無線裝置進行以下操作:至少部分地基於該無線裝置之一公用身分識別密鑰來與該另一無線裝置建立一安全通道,其中以一頻外方式將該公用身分識別密鑰提供至該另一無線裝置;及經由該安全通道而自該另一無線裝置接收該使用者鑑認認證。
  18. 如請求項11之無線裝置,其中執行該等指令以鑑認該另一無線裝置會致使該無線裝置進行以下操作:使得該另一無線裝置能夠授權額外裝置存取該無線網路。
  19. 如請求項11之無線裝置,其中該無線裝置為一無線存取點(AP)。
  20. 一種無線裝置,其包含:用於自一第一組態器接收一組網路認證之構件,該組網路認證用以授權一或多個裝置存取一無線網路;用於自另一無線裝置接收一使用者鑑認認證之構件;用於至少部分地基於該使用者鑑認認證來將該另一無線裝置鑑認為用於該無線網路之一第二組態器之構件;及用於將該組網路認證傳輸至該第二組態器之構件。
  21. 如請求項20之無線裝置,其中該組網路認證包括與該一或多個裝置相關聯之一受信任公用密鑰清單。
  22. 如請求項20之無線裝置,其中該組網路認證包括用以將該一或多個裝置證明為該無線網路之成員的一對公用密鑰及私用密鑰。
  23. 如請求項20之無線裝置,其中該用於鑑認該另一無線裝置之構件用以進行以下操作:比較該使用者鑑認認證與自該第一組態器接收之一參考認證;及在判定該使用者鑑認認證實質上匹配於該參考認證後就將該另一無線裝置鑑認為該第二組態器。
  24. 如請求項20之無線裝置,其中該使用者鑑認認證包括由該另一無線裝置之一使用者輸入之一密碼、語音資料或影像資料中之至少一者。
  25. 如請求項20之無線裝置,其中該用於接收該使用者鑑認認證之構件用以進行以下操作:至少部分地基於該無線裝置之一公用身分識別密鑰來與該另一無線裝置建立一安全通道,其中以一頻外方式將該公用身分識別密鑰提供至該另一無線裝置;及經由該安全通道而自該另一無線裝置接收該使用者鑑認認證。
  26. 如請求項20之無線裝置,其中該用於鑑認該另一無線裝置之構件用以進行以下操作:使得該另一無線裝置能夠授權額外裝置存取該無線網路。
  27. 一種非暫時性電腦可讀媒體,其儲存在由一無線裝置之一處理器執行時致使該無線裝置進行以下操作的指令:自一第一組態器接收一組網路認證,該組網路認證用以授權一或多個裝置存取一無線網路; 自另一無線裝置接收一使用者鑑認認證;至少部分地基於該使用者鑑認認證來將該另一無線裝置鑑認為用於該無線網路之一第二組態器;及將該組網路認證傳輸至該第二組態器。
  28. 如請求項27之非暫時性電腦可讀媒體,其中該組網路認證包括與該一或多個裝置相關聯之一受信任公用密鑰清單。
  29. 如請求項27之非暫時性電腦可讀媒體,其中該組網路認證包括用以將該一或多個裝置證明為該無線網路之成員的一對公用密鑰及私用密鑰。
  30. 如請求項27之非暫時性電腦可讀媒體,其中該使用者鑑認認證包括由該另一無線裝置之一使用者輸入之一密碼、語音資料或影像資料中之至少一者。
TW105111597A 2015-06-05 2016-04-13 分布組態器本體 TW201703557A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201562171563P 2015-06-05 2015-06-05
US15/097,229 US20160360407A1 (en) 2015-06-05 2016-04-12 Distributed configurator entity

Publications (1)

Publication Number Publication Date
TW201703557A true TW201703557A (zh) 2017-01-16

Family

ID=55806853

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105111597A TW201703557A (zh) 2015-06-05 2016-04-13 分布組態器本體

Country Status (9)

Country Link
US (1) US20160360407A1 (zh)
EP (1) EP3304958A1 (zh)
JP (1) JP2018521566A (zh)
KR (1) KR20180016371A (zh)
CN (1) CN107667554A (zh)
AU (1) AU2016271094A1 (zh)
BR (1) BR112017026107A2 (zh)
TW (1) TW201703557A (zh)
WO (1) WO2016195821A1 (zh)

Families Citing this family (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10298740B2 (en) * 2014-01-10 2019-05-21 Onepin, Inc. Automated messaging
US10264113B2 (en) 2014-01-10 2019-04-16 Onepin, Inc. Automated messaging
US9648164B1 (en) 2014-11-14 2017-05-09 United Services Automobile Association (“USAA”) System and method for processing high frequency callers
US11632710B2 (en) * 2016-03-02 2023-04-18 Blackberry Limited Provisioning a device in a network
JP6716399B2 (ja) * 2016-09-06 2020-07-01 キヤノン株式会社 通信装置、通信装置の制御方法及びプログラム
JP6702833B2 (ja) * 2016-09-15 2020-06-03 キヤノン株式会社 通信装置、通信装置の制御及びプログラム
US10318722B2 (en) * 2016-10-31 2019-06-11 International Business Machines Corporation Power charger authorization for a user equipment via a cryptographic handshake
US10356067B2 (en) * 2016-11-02 2019-07-16 Robert Bosch Gmbh Device and method for providing user-configured trust domains
JP6797674B2 (ja) * 2016-12-26 2020-12-09 キヤノン株式会社 通信装置、制御方法、及びプログラム
US10880295B2 (en) * 2017-03-06 2020-12-29 Ssh Communications Security Oyj Access control in a computer system
US20180270049A1 (en) * 2017-03-17 2018-09-20 Qualcomm Incorporated Techniques for preventing abuse of bootstrapping information in an authentication protocol
US10171304B2 (en) * 2017-04-27 2019-01-01 Blackberry Limited Network policy configuration
US10904073B2 (en) * 2017-10-27 2021-01-26 Hewlett Packard Enterprise Development Lp Reassign standby user anchor controllers
JP7054341B2 (ja) 2017-12-22 2022-04-13 キヤノン株式会社 通信装置およびその制御方法
JP7266727B2 (ja) * 2017-12-22 2023-04-28 キヤノン株式会社 通信装置およびその制御方法
US11638146B2 (en) * 2018-03-28 2023-04-25 Qualcomm Incorporated Onboarding multiple access point (Multi-AP) device using device provisioning protocol (DPP)
US10169587B1 (en) 2018-04-27 2019-01-01 John A. Nix Hosted device provisioning protocol with servers and a networked initiator
US10958425B2 (en) 2018-05-17 2021-03-23 lOT AND M2M TECHNOLOGIES, LLC Hosted dynamic provisioning protocol with servers and a networked responder
US11924639B2 (en) 2018-06-11 2024-03-05 Malikie Innovations Limited Revoking credentials after service access
EP3618382A1 (en) * 2018-08-30 2020-03-04 Koninklijke Philips N.V. Non-3gpp device access to core network
JP7296701B2 (ja) 2018-09-06 2023-06-23 キヤノン株式会社 通信装置、制御方法、およびプログラム
JP7262950B2 (ja) * 2018-09-11 2023-04-24 キヤノン株式会社 通信装置、通信方法及びプログラム
US10911300B2 (en) * 2018-11-23 2021-02-02 Mediatek Singapore Pte. Ltd. Optimization for device provisioning protocol onboarding in wireless networks
JP7324001B2 (ja) * 2018-12-28 2023-08-09 キヤノン株式会社 通信装置、通信装置の制御方法、およびプログラム
JP7259334B2 (ja) * 2019-01-09 2023-04-18 ブラザー工業株式会社 端末装置と端末装置のためのコンピュータプログラム
US11375367B2 (en) * 2019-05-07 2022-06-28 Verizon Patent And Licensing Inc. System and method for deriving a profile for a target endpoint device
US11330441B2 (en) 2019-05-14 2022-05-10 T-Mobile Usa, Inc. Systems and methods for remote device security attestation and manipulation detection
EP3931733A4 (en) * 2019-06-03 2022-10-12 Hewlett-Packard Development Company, L.P. KEY AUTHENTICATION
JP7310449B2 (ja) * 2019-08-29 2023-07-19 ブラザー工業株式会社 第1の通信装置と第1の通信装置のためのコンピュータプログラム
CN112543466A (zh) * 2019-09-23 2021-03-23 中兴通讯股份有限公司 一种角色自选举的方法及装置
WO2022051917A1 (zh) * 2020-09-08 2022-03-17 Oppo广东移动通信有限公司 设备配置的方法、设备配网的方法和设备
CN117178575A (zh) * 2021-04-28 2023-12-05 三星电子株式会社 用于管理网络配置信息的电子装置及其操作方法
US11743035B2 (en) * 2021-06-15 2023-08-29 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11658955B1 (en) 2021-06-15 2023-05-23 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11848930B1 (en) 2021-06-15 2023-12-19 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11843636B1 (en) 2021-06-15 2023-12-12 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8743778B2 (en) * 2006-09-06 2014-06-03 Devicescape Software, Inc. Systems and methods for obtaining network credentials
US7974236B2 (en) * 2007-11-16 2011-07-05 Ricoh Company, Ltd. Approach for configuring Wi-Fi devices
CN102497465A (zh) * 2011-10-26 2012-06-13 潘铁军 一种分布式密钥的高保密移动信息安全系统及安全方法
CN103906028B (zh) * 2012-12-28 2017-09-26 华为终端有限公司 无线设备的配置方法及装置、系统
CN104168566B (zh) * 2014-08-19 2018-11-06 京信通信系统(中国)有限公司 一种接入网络的方法及装置

Also Published As

Publication number Publication date
US20160360407A1 (en) 2016-12-08
EP3304958A1 (en) 2018-04-11
BR112017026107A2 (pt) 2018-08-14
CN107667554A (zh) 2018-02-06
AU2016271094A1 (en) 2017-11-09
WO2016195821A1 (en) 2016-12-08
KR20180016371A (ko) 2018-02-14
JP2018521566A (ja) 2018-08-02

Similar Documents

Publication Publication Date Title
TW201703557A (zh) 分布組態器本體
US11765172B2 (en) Network system for secure communication
US20180248694A1 (en) Assisted device provisioning in a network
US9654972B2 (en) Secure provisioning of an authentication credential
US20180109418A1 (en) Device provisioning protocol (dpp) using assisted bootstrapping
EP3334084B1 (en) Security authentication method, configuration method and related device
US9288672B2 (en) Method for configuring a remote station with a certificate from a local root certificate authority for securing a wireless network
US10009763B2 (en) Flexible configuration and authentication of wireless devices
JP2018532325A (ja) ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム
US20160366124A1 (en) Configuration and authentication of wireless devices
WO2016187850A1 (zh) 无线通信网络中设备配置的方法、装置及系统