TWI647941B - 用於向網路登記客戶端設備的方法、設備、及電腦程式產品 - Google Patents

用於向網路登記客戶端設備的方法、設備、及電腦程式產品 Download PDF

Info

Publication number
TWI647941B
TWI647941B TW104104380A TW104104380A TWI647941B TW I647941 B TWI647941 B TW I647941B TW 104104380 A TW104104380 A TW 104104380A TW 104104380 A TW104104380 A TW 104104380A TW I647941 B TWI647941 B TW I647941B
Authority
TW
Taiwan
Prior art keywords
network
client
public key
configurator
network device
Prior art date
Application number
TW104104380A
Other languages
English (en)
Other versions
TW201534094A (zh
Inventor
班諾特奧利維爾吉恩
瑪立南裘尼卡勒維
汀那柯爾史瑞斯法普彼拉堡
Original Assignee
美商高通公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商高通公司 filed Critical 美商高通公司
Publication of TW201534094A publication Critical patent/TW201534094A/zh
Application granted granted Critical
Publication of TWI647941B publication Critical patent/TWI647941B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/24Key scheduling, i.e. generating round keys or sub-keys for block encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

可以使用配置器設備來輔助客戶端設備向網路設備的設備置備(例如,登記、配置、及/或認證)。該配置器設備可以獲得與客戶端設備相關聯的客戶端公開金鑰並且向網路設備發送該客戶端公開金鑰。網路設備可以在網路設備與客戶端設備之間的認證程序中使用客戶端公開金鑰。在認證程序之後,客戶端設備可被配置成與網路設備聯用以獲得對其他網路資源的存取。以此方式,獲得對網路設備的存取的準許可以對於使用者而言是透明的,使用者往往不必輸入代碼或密碼。

Description

用於向網路登記客戶端設備的方法、設備、及電腦程式產品 【相關申請案】
本專利申請案主張2014年2月10日提出申請的美國臨時申請案S/N.61/937,891、2014年5月14日提出申請的美國臨時申請案S/N.61/996,812、以及2015年2月6日提出申請的美國申請案S/N.14/616,551的優先權權益。
本案的各實施例一般係關於通訊系統領域,尤其係關於通訊網路中的設備置備。
在許多通訊系統(例如,衛星通訊系統、無線通訊系統、電力線通訊(PLC)系統、同軸電纜通訊系統、電話線系統等)中,網路包括經由通訊媒體彼此通訊的設備。通常,在設備可以經由通訊媒體通訊之前,該設備必須被準予存取網路。準予存取的程序可被稱為設備置備,並且可以包括用於關聯、登記、認證的操作及/或其他操作。
然而,為網路置備新設備可能對於使用者而言在技術上是複雜或困難的。例如,新設備可被要求向網路設備(諸如存取點)登記及/或認證以獲得對經由網路設備可用的網路資源的存取。在傳統通訊系統中,登記規程可使用由使用者提供的安全憑證來控制存取並且防止未經授權的使用。典型的登記步驟可以包括在客戶端設備進入網路設備的通訊範圍內時由使用者輸入代碼或其他資訊。然而,這些配置步驟可能看起來對於一些使用者而言過度複雜,並且可完全阻礙網路及其資源的使用。
此外,一些設備可被認為是「無頭」設備。無頭設備是不具有圖形化使用者介面的設備。無頭設備的示例可包括感測器、燈泡、相機、致動器、設施、遊戲控制器、音訊裝備或者能夠經由通訊網路通訊但由於商業或技術限制而可能不具有圖形化使用者介面的其他通訊設備。由於缺少圖形化使用者介面,無頭設備的初始網路配置可能是困難的。
簡化設備置備可以增強使用者體驗並且鼓勵在通訊系統中採用更多類型的設備。
本案描述了促成被引入網路的設備的登記的設備置備的各個實施例。設備置備可以使用來自公開金鑰密碼術的概念來增強,其中這些公開金鑰在各設備之間使用設備供應協定來交換。設備置備協定可以直接在兩個設備之間,或者可以涉及被稱為配置器設備的第三設備。
配置器設備可以充當新客戶端設備與網路設備之間 的仲介。例如,客戶端設備與網路設備之間的公開金鑰的交換可以經由與網路設備具有信任關係的配置器設備來促成。信任關係可以使用帶外通訊來建立。新客戶端設備的登記可以經由經由受信任的帶外通道與配置器設備共用一或多個公開金鑰來輔助。
在一個實施例中,一種方法可以包括在配置器設備處建立與網路的網路設備的信任關係。配置器設備可以決定與客戶端設備相關聯的客戶端公開金鑰,並且根據信任關係從配置器設備向網路設備發送客戶端公開金鑰。與客戶端設備相關聯的客戶端公開金鑰可被用於網路設備與客戶端設備之間的登記程序。
在另一實施例中,配置器設備可以包括受信任的配置器服務的至少一部分。例如,受信任的配置器服務可以提供金鑰交換和金鑰簽名(例如,證明)特徵以促成客戶端設備與網路設備之間的置備。
在一些實施例中,一種用於用網路設備來置備客戶端設備的方法包括:在配置器設備處建立與網路設備的信任關係;在該配置器設備處決定與客戶端設備相關聯的客戶端公開金鑰;及根據該信任關係從該配置器設備向該網路設備發送該客戶端公開金鑰,其中該網路設備與該客戶端設備之間的認證至少部分地基於該客戶端公開金鑰。
在一些實施例中,該方法進一步包括從配置器設備或網路設備向客戶端設備發送與網路設備相關聯的網路公開金鑰,其中該網路設備與該客戶端設備之間的認證進一步至 少部分地基於該網路公開金鑰。
在一些實施例中,建立信任關係包括:決定與網路設備相關聯的網路公開金鑰;向網路設備發送配置器公開金鑰,該配置器公開金鑰對應於配置器私密金鑰;及至少部分地基於網路公開金鑰和配置器私密金鑰來決定與信任關係相關聯的信任關係金鑰。
在一些實施例中,該方法進一步包括在從配置器設備向網路設備發送客戶端公開金鑰之前用信任關係金鑰來加密該客戶端公開金鑰。
在一些實施例中,決定與網路設備相關聯的網路公開金鑰包括經由與網路設備的安全連接來接收該網路公開金鑰。
在一些實施例中,決定與網路設備相關聯的網路公開金鑰包括經由與網路設備的帶外連接來決定網路公開金鑰,該帶外連接與客戶端設備將和該網路設備建立的連接不同。
在一些實施例中,建立信任關係包括在決定與網路設備相關聯的網路公開金鑰之前從該網路設備接收配置器支援服務廣告。
在一些實施例中,決定與網路設備相關聯的網路公開金鑰包括使用由配置器設備的相機、話筒、光偵測器、感測器和短程射頻介面構成的組中的至少一個成員來偵測該網路公開金鑰。
在一些實施例中,使用相機來偵測網路公開金鑰包 括使用相機來偵測與網路設備相關聯的影像,其中該影像的至少一部分包括網路公開金鑰。
在一些實施例中,決定與客戶端設備相關聯的客戶端公開金鑰包括使用由配置器設備的相機、話筒、光偵測器、感測器和短程射頻介面構成的組中的至少一個成員來偵測該客戶端公開金鑰。
在一些實施例中,使用相機來偵測客戶端公開金鑰包括使用相機來偵測與客戶端設備相關聯的影像。
在一些實施例中,發送與客戶端設備相關聯的客戶端公開金鑰包括:向網路設備發送請求訊息;從該網路設備接收一次性隨機數(nonce);及向該網路設備發送登記訊息,該登記訊息包括客戶端公開金鑰和配置器簽名,其中該配置器簽名向該網路設備提供配置器設備被授權發送登記訊息的認證。
在一些實施例中,配置器簽名是從一次性隨機數和配置器私密金鑰推導的,或者至少部分地基於與信任關係相關聯的信任關係金鑰。
在一些實施例中,該方法進一步包括:從網路設備接收登記金鑰;及向客戶端設備發送該登記金鑰,其中該登記金鑰與客戶端公開金鑰聯用以用於網路設備與客戶端設備之間的認證。
在一些實施例中,該方法進一步包括在建立信任關係之後從配置器設備向網路設備發送配置資料。
在一些實施例中,該方法進一步包括從配置器設備 向客戶端設備發送配置資料以輔助客戶端設備與網路設備相關聯。
在一些實施例中,發送配置資料包括在可由客戶端設備存取的預設通道上傳送第一訊息。
在一些實施例中,第一訊息包括至少部分地基於客戶端公開金鑰或者與網路設備相關聯的網路公開金鑰的身份資訊。
在一些實施例中,客戶端設備是第一客戶端設備,網路設備是第二客戶端設備,並且配置器設備是存取點。
在一些實施例中,網路設備是網路的存取點,並且其中配置器設備與存取點相關聯。
在一些實施例中,該方法進一步包括維護網路設備清單以及針對該網路設備清單中的每一個網路設備的相應網路公開金鑰。
在一些實施例中,一種供網路設備認證客戶端設備的方法包括:在網路設備處建立與配置器設備的信任關係;及根據該信任關係從配置器設備接收與客戶端設備相關聯的客戶端公開金鑰;及將該客戶端公開金鑰用於網路設備與客戶端設備之間的認證。
在一些實施例中,建立信任關係包括向配置器設備或客戶端設備提供與網路設備相關聯的網路公開金鑰,該網路公開金鑰具有對應的網路私密金鑰。
在一些實施例中,提供與網路設備相關聯的網路公開金鑰包括使用網路設備的顯示器或短程射頻介面來提供網 路公開金鑰。
在一些實施例中,該方法進一步包括在預設通道上傳送第一訊息,其中第一訊息包括從客戶端公開金鑰或者與網路設備相關聯的網路公開金鑰推導出的資訊。
在一些實施例中,該方法進一步包括決定共用金鑰以供與客戶端設備聯用,該共用金鑰至少部分地基於客戶端公開金鑰和網路私密金鑰。
在一些實施例中,該方法進一步包括從配置器設備接收配置器公開金鑰;及至少部分地基於網路私密金鑰和配置器公開金鑰來決定與信任關係相關聯的信任關係金鑰。
在一些實施例中,接收客戶端公開金鑰包括接收已用信任關係金鑰加密的客戶端公開金鑰。
在一些實施例中,建立信任關係包括從網路設備傳送配置器支援服務廣告。
在一些實施例中,接收與客戶端設備相關聯的客戶端公開金鑰包括:從配置器設備接收請求訊息;向配置器設備發送一次性隨機數;及從配置器設備接收登記訊息,該登記訊息包括客戶端公開金鑰以及至少部分地從一次性隨機數和配置器私密金鑰推導出的配置器簽名。
在一些實施例中,該方法進一步包括至少部分地基於配置器簽名和配置器公開金鑰來認證登記訊息。
在一些實施例中,該方法進一步包括從網路設備發送登記金鑰;及將登記金鑰和客戶端公開金鑰一起用於網路設備與客戶端設備之間的認證。
在一些實施例中,該方法進一步包括在將客戶端公開金鑰用於網路設備與客戶端設備之間的認證之後從網路設備向客戶端設備發送配置資料。
在一些實施例中,該方法進一步包括在網路設備處維護客戶端設備清單以及針對該客戶端設備清單中的每一個客戶端設備的相應客戶端公開金鑰。
在一些實施例中,該方法進一步包括在決定客戶端設備清單發生改變之際向另一網路設備發送對該改變的通知。
在一些實施例中,該方法進一步包括在網路設備處維護配置器設備清單以及針對該配置器設備清單中的每一個配置器設備的相應信任關係金鑰。
在一些實施例中,一種供客戶端設備向網路設備進行認證的方法包括:接收第一一次性隨機數和與網路設備相關聯的網路公開金鑰;產生第二一次性隨機數;至少部分地基於包括第一一次性隨機數、第二一次性隨機數、網路公開金鑰和與客戶端設備相關聯的客戶端私密金鑰的計算來決定共用金鑰,其中該客戶端私密金鑰對應於與該客戶端設備相關聯的客戶端公開金鑰;及發送具有從共用金鑰推導出的至少一部分的認證回應,其中該認證回應包括第二一次性隨機數。
在一些實施例中,該共用金鑰匹配網路設備處的相應共用金鑰,該相應共用金鑰至少部分地基於網路設備處的包括第一一次性隨機數、第二一次性隨機數、網路私密金鑰 和客戶端公開金鑰的相應計算。
在一些實施例中,該方法進一步包括向與網路設備具有信任關係的配置器設備發送客戶端公開金鑰。
在一些實施例中,認證回應向網路設備確認客戶端設備已經獲得網路公開金鑰。
在一些實施例中,網路公開金鑰是從與網路設備具有信任關係的配置器設備接收的。
在一些實施例中,該方法進一步包括:監視預設通道以發現具有配置資料的第一訊息;及在該預設通道上接收第一訊息,其中該配置資料包括供客戶端設備與網路設備相關聯的資訊。
在一些實施例中,第一訊息包括至少部分地基於客戶端公開金鑰或者網路公開金鑰的身份資訊。
在一些實施例中,一種用於向網路設備認證客戶端設備的方法包括:在配置器設備處決定與客戶端設備或網路設備中的一者相關聯的第一公開金鑰;在配置器設備處基於第一公開金鑰和配置器私密金鑰來產生第一證書;及將第一證書發送給客戶端設備或網路設備中的該一者以促成該客戶端設備與該網路設備之間的認證程序。
在一些實施例中,該方法進一步包括:在配置器設備處決定與客戶端設備或網路設備中的另一者相關聯的第二公開金鑰;在配置器設備處基於第二公開金鑰和配置器私密金鑰來產生第二證書;及將第二證書發送給客戶端設備或網路設備中的該另一者以促成該客戶端設備與該網路設備之間 的認證程序。
在一些實施例中,第一證書驗證客戶端設備或網路設備中的該一者的身份,並且其中認證程序基於至少部分地從第一證書推導出的共用金鑰。
在一些實施例中,一種配置器設備包括處理器;及用於儲存指令的記憶體,這些指令在由處理器執行時使該處理器:在配置器設備處建立與網路設備的信任關係;在該配置器設備處決定與客戶端設備相關聯的客戶端公開金鑰;及根據該信任關係從該配置器設備向該網路設備發送該客戶端公開金鑰,其中該網路設備與該客戶端設備之間的認證至少部分地基於該客戶端公開金鑰。
在一些實施例中,這些指令在由處理器執行時使該處理器從配置器設備或網路設備向客戶端設備發送與網路設備相關聯的網路公開金鑰,其中網路設備與客戶端設備之間的認證進一步至少部分地基於該網路公開金鑰。
在一些實施例中,這些指令在由處理器執行時使該處理器:決定與網路設備相關聯的網路公開金鑰;向該網路設備發送配置器公開金鑰,該配置器公開金鑰對應於配置器私密金鑰;及至少部分地基於網路公開金鑰和配置器私密金鑰來決定與信任關係相關聯的信任關係金鑰。
在一些實施例中,配置器設備進一步包括用於與網路設備建立帶外連接的介面,該帶外連接與客戶端設備將和網路設備建立的連接不同;並且用於決定網路公開金鑰的指令包括在由處理器執行時使該處理器經由與網路設備的帶外 連接來決定網路公開金鑰的指令。
在一些實施例中,該介面包括由相機、話筒、光偵測器、感測器和短程射頻介面構成的組中的成員。
在一些實施例中,用於決定客戶端公開金鑰的指令包括在由處理器執行時使該處理器使用該介面來偵測客戶端公開金鑰的指令。
在一些實施例中,用於發送客戶端公開金鑰的指令包括在由處理器執行時使該處理器執行以下操作的指令:向網路設備發送請求訊息;從網路設備接收一次性隨機數;及向網路設備發送登記訊息,該登記訊息包括客戶端公開金鑰和配置器簽名,其中該配置器簽名向網路設備提供配置器設備被授權發送登記訊息的認證。
在一些實施例中,這些指令在由處理器執行時使該處理器執行以下操作:從網路設備接收登記金鑰;及向客戶端設備發送登記金鑰,其中該登記金鑰與客戶端公開金鑰聯用以用於網路設備與客戶端設備之間的認證。
在一些實施例中,這些指令在由處理器執行時使該處理器從配置器設備向客戶端設備發送配置資料以輔助客戶端設備與網路設備相關聯。
在一些實施例中,用於發送配置資料的指令包括在由處理器執行時使該處理器在可由客戶端設備存取的預設通道上傳送第一訊息的指令。
在一些實施例中,第一訊息包括至少部分地基於客戶端公開金鑰或者與網路設備相關聯的網路公開金鑰的身份 資訊。
在一些實施例中,配置器設備進一步包括用於維護網路設備清單以及針對該網路設備清單中的每一個網路設備的相應網路公開金鑰的記憶體。
在一些實施例中,一種網路設備包括處理器;及用於儲存指令的記憶體,這些指令在由處理器執行時使該處理器:在網路設備處建立與配置器設備的信任關係;根據該信任關係從配置器設備接收與客戶端設備相關聯的客戶端公開金鑰;及將該客戶端公開金鑰用於網路設備與客戶端設備之間的認證。
在一些實施例中,用於建立信任關係的指令包括在由處理器執行時使該處理器向配置器設備或客戶端設備提供與網路設備相關聯的網路公開金鑰的指令,該網路公開金鑰具有對應的網路私密金鑰。
在一些實施例中,網路設備進一步包括網路介面;並且其中這些指令在由處理器執行時使該處理器經由網路介面在預設通道上傳送第一訊息,其中第一訊息包括從客戶端公開金鑰或者與網路設備相關聯的網路公開金鑰推導出的資訊。
在一些實施例中,這些指令在由處理器執行時使該處理器決定共用金鑰以供與客戶端設備聯用,該共用金鑰至少部分地基於客戶端公開金鑰和網路私密金鑰。
在一些實施例中,這些指令在由處理器執行時使該處理器:從配置器設備接收請求訊息;向配置器設備發送一 次性隨機數;及從配置器設備接收登記訊息,該登記訊息包括客戶端公開金鑰以及至少部分地從一次性隨機數和配置器私密金鑰推導出的配置器簽名。
在一些實施例中,這些指令在由處理器執行時使該處理器從網路設備發送登記金鑰;及將登記金鑰和客戶端公開金鑰用於網路設備與客戶端設備之間的認證。
在一些實施例中,這些指令在由處理器執行時使該處理器在將客戶端公開金鑰用於網路設備與客戶端設備之間的認證之後從網路設備向客戶端設備發送配置資料。
在一些實施例中,網路設備進一步包括用於在網路設備處維護客戶端設備清單以及針對該客戶端設備清單中的每一個客戶端設備的相應客戶端公開金鑰的記憶體。
在一些實施例中,這些指令在由處理器執行時使該處理器在決定客戶端設備清單發生改變之際向另一網路設備發送對該改變的通知。
在一些實施例中,這些指令在由處理器執行時使該處理器在網路設備處維護配置器設備清單以及針對該配置器設備清單中的每一個配置器設備的相應信任關係金鑰。
在一些實施例中,一種客戶端設備包括處理器;及用於儲存指令的記憶體,這些指令在由處理器執行時使該處理器:接收第一一次性隨機數和與網路設備相關聯的網路公開金鑰;產生第二一次性隨機數;至少部分地基於包括第一一次性隨機數、第二一次性隨機數、網路公開金鑰和與客戶端設備相關聯的客戶端私密金鑰的計算來決定共用金鑰,其 中該客戶端私密金鑰對應於與客戶端設備相關聯的客戶端公開金鑰;及發送具有從共用金鑰推導出的至少一部分的認證回應,其中該認證回應包括第二一次性隨機數。
在一些實施例中,這些指令在由處理器執行時使該處理器在接收第一一次性隨機數之前向與網路設備具有信任關係的配置器設備發送客戶端公開金鑰。
在一些實施例中,這些指令在由處理器執行時使該處理器:監視預設通道以發現具有配置資料的第一訊息;及在該預設通道上接收第一訊息,其中該配置資料包括供客戶端設備與網路設備相關聯的資訊。
在一些實施例中,第一訊息包括至少部分地基於客戶端公開金鑰或者網路公開金鑰的身份資訊。
在一些實施例中,一種其中儲存有指令的電腦可讀取媒體,這些指令在由處理器執行時使該處理器執行包括以下的操作:在配置器設備處與網路設備建立信任關係;在該配置器設備處決定與客戶端設備相關聯的客戶端公開金鑰;及根據信任關係從配置器設備向網路設備發送客戶端公開金鑰,其中網路設備與客戶端設備之間的認證至少部分地基於客戶端公開金鑰。
在一些實施例中,這些指令在由處理器執行時使該處理器執行包括以下的操作:從配置器設備或網路設備向客戶端設備發送與網路設備相關聯的網路公開金鑰,其中網路設備與客戶端設備之間的認證進一步至少部分地基於該網路公開金鑰。
在一些實施例中,這些指令在由處理器執行時使該處理器執行包括以下的操作:決定與網路設備相關聯的網路公開金鑰;向網路設備發送配置器公開金鑰,該配置器公開金鑰對應於配置器私密金鑰;及至少部分地基於網路公開金鑰和配置器私密金鑰來決定與信任關係相關聯的信任關係金鑰。
在一些實施例中,這些指令在由處理器執行時使該處理器執行包括以下的操作:使用由配置器設備的相機、話筒、光偵測器、感測器和短程射頻介面構成的組中的至少一個成員來偵測網路公開金鑰和客戶端公開金鑰中的至少一者。
在一些實施例中,這些指令在由處理器執行時使該處理器執行包括以下的操作:向網路設備發送請求訊息;從該網路設備接收一次性隨機數;及向網路設備發送登記訊息,該登記訊息包括客戶端公開金鑰和配置器簽名,其中該配置器簽名向網路設備提供配置器設備被授權發送登記訊息的認證。
在一些實施例中,這些指令在由處理器執行時使該處理器執行包括以下的操作:從網路設備接收登記金鑰;及向客戶端設備發送登記金鑰,其中該登記金鑰與客戶端公開金鑰聯用以用於網路設備與客戶端設備之間的認證。
在一些實施例中,這些指令在由處理器執行時使該處理器執行包括以下的操作:在可由客戶端設備存取的預設通道上傳送第一訊息,該第一訊息包括配置資料以輔助客戶 端設備與網路設備相關聯。
在一些實施例中,這些指令在由處理器執行時使該處理器執行包括以下的操作:維護網路設備清單以及針對該網路設備清單中的每一個網路設備的相應網路公開金鑰。
在一些實施例中,一種其中儲存有指令的電腦可讀取媒體,這些指令在由處理器執行時使該處理器執行包括以下的操作:在網路設備處建立與配置器設備的信任關係;根據該信任關係從配置器設備接收與客戶端設備相關聯的客戶端公開金鑰;及將該客戶端公開金鑰用於網路設備與客戶端設備之間的認證。
在一些實施例中,這些指令在由處理器執行時使該處理器執行包括以下的操作:向配置器設備或客戶端設備提供與網路設備相關聯的網路公開金鑰,該網路公開金鑰具有對應的網路私密金鑰。
在一些實施例中,這些指令在由處理器執行時使該處理器執行包括以下的操作:決定共用金鑰以供與客戶端設備聯用,該共用金鑰至少部分地基於客戶端公開金鑰和網路私密金鑰。
在一些實施例中,這些指令在由處理器執行時使該處理器執行包括以下的操作:從配置器設備接收請求訊息;向該配置器設備發送一次性隨機數;及從該配置器設備接收登記訊息,該登記訊息包括客戶端公開金鑰以及至少部分地從一次性隨機數和配置器私密金鑰推導出的配置器簽名。
在一些實施例中,這些指令在由處理器執行時使該 處理器執行包括以下的操作:從網路設備發送登記金鑰;及將登記金鑰和客戶端公開金鑰用於網路設備與客戶端設備之間的認證。
在一些實施例中,這些指令在由處理器執行時使該處理器執行包括以下的操作:在將客戶端公開金鑰用於網路設備與客戶端設備之間的認證之後從網路設備向客戶端設備發送配置資料。
在一些實施例中,這些指令在由處理器執行時使該處理器執行包括以下的操作,這些操作包括:在網路設備處維護客戶端設備清單以及針對該客戶端設備清單中的每一個客戶端設備的相應客戶端公開金鑰。
在一些實施例中,這些指令在由處理器執行時使該處理器執行包括以下的操作:在決定客戶端設備清單發生改變之際向另一網路設備發送對該改變的通知。
在一些實施例中,一種其中儲存有指令的電腦可讀取媒體,這些指令在由處理器執行時使該處理器執行包括以下的操作:在客戶端設備處接收第一一次性隨機數和與網路設備相關聯的網路公開金鑰;產生第二一次性隨機數;至少部分地基於包括第一一次性隨機數、第二一次性隨機數、網路公開金鑰和與客戶端設備相關聯的客戶端私密金鑰的計算來決定共用金鑰,其中客戶端私密金鑰對應於與客戶端設備相關聯的客戶端公開金鑰;及發送具有從共用金鑰推導出的至少一部分的認證回應,其中該認證回應包括第二一次性隨機數。
在一些實施例中,該共用金鑰匹配網路設備處的相應共用金鑰,該相應共用金鑰至少部分地基於網路設備處的包括第一一次性隨機數、第二一次性隨機數、網路私密金鑰和客戶端公開金鑰的相應計算。
在一些實施例中,一種其中儲存有指令的電腦可讀取媒體,這些指令在由處理器執行時使該處理器執行包括以下的操作:向與網路設備具有信任關係的配置器設備發送客戶端公開金鑰。
在一些實施例中,這些指令在由處理器執行時使該處理器執行包括以下的操作:監視預設通道以發現具有配置資料的第一訊息;及在該預設通道上接收第一訊息,其中配置資料包括供客戶端設備與網路設備相關聯的資訊。
在一些實施例中,第一訊息包括至少部分地基於客戶端公開金鑰或者網路公開金鑰的身份資訊。
100‧‧‧系統
110‧‧‧客戶端設備
120‧‧‧網路設備
130‧‧‧配置器設備
131‧‧‧受信任配置器服務
154‧‧‧客戶端公開金鑰
156‧‧‧登記訊息
158‧‧‧登記程序及/或進一步認證
160‧‧‧影像
200‧‧‧系統
225‧‧‧信任關係
254‧‧‧客戶端公開金鑰
256‧‧‧登記訊息
258‧‧‧認證請求訊息
260‧‧‧認證回應訊息
300‧‧‧流程
302‧‧‧方塊
304‧‧‧方塊
308‧‧‧方塊
400‧‧‧訊息流程
402‧‧‧信任關係
404‧‧‧資訊
412‧‧‧查詢
414‧‧‧客戶端公開金鑰
420‧‧‧登記請求
422‧‧‧回應
424‧‧‧登記訊息
426‧‧‧驗證規程
430‧‧‧登記規程
432‧‧‧認證請求訊息
434‧‧‧認證回應訊息
436‧‧‧配置資料
440‧‧‧確認訊息
500‧‧‧資訊流程
521‧‧‧監視
526‧‧‧信標訊息
528‧‧‧信標訊息
600‧‧‧訊息流程
602‧‧‧信任關係
605‧‧‧帶外媒體和帶外介面
606‧‧‧帶外介面
612‧‧‧查詢訊息
614‧‧‧查詢訊息
620‧‧‧登記請求
622‧‧‧回應
624‧‧‧登記訊息
625‧‧‧驗證規程
626‧‧‧登記金鑰
630‧‧‧登記金鑰
631‧‧‧線
632‧‧‧認證請求訊息
634‧‧‧認證請求訊息
636‧‧‧線
640‧‧‧回應於確認訊息
700‧‧‧訊息流程
702‧‧‧配置器支援服務廣告訊息
708‧‧‧查詢訊息
709‧‧‧回應訊息
712‧‧‧發現步驟
714‧‧‧發現步驟
716‧‧‧認證請求訊息
718‧‧‧認證回應訊息
722‧‧‧信任關係金鑰
732‧‧‧儲存
742‧‧‧配置訊息
744‧‧‧配置訊息
810‧‧‧探測請求訊息
811‧‧‧第一訊息
900‧‧‧系統
914‧‧‧第一訊息
916‧‧‧第三訊息
924‧‧‧第二訊息
926‧‧‧第四訊息
931‧‧‧登記程序
932‧‧‧認證回應訊息
934‧‧‧認證請求訊息
952‧‧‧配置資料
1000‧‧‧系統
1014‧‧‧第一訊息
1016‧‧‧第二訊息
1024‧‧‧第三訊息
1026‧‧‧第四訊息
1031‧‧‧發現步驟
1032‧‧‧認證回應訊息
1034‧‧‧認證請求訊息
1042‧‧‧驗證規程
1046‧‧‧驗證規程
1052‧‧‧四路交握認證及/或配置步驟
1100‧‧‧系統
1110‧‧‧第一客戶端設備
1114‧‧‧第一訊息
1116‧‧‧第三訊息
1120‧‧‧第二客戶端設備
1124‧‧‧第二訊息
1126‧‧‧第四訊息
1130‧‧‧存取點
1131‧‧‧登記程序
1132‧‧‧認證回應訊息
1134‧‧‧認證請求訊息
1152‧‧‧配置資料
1200‧‧‧訊息程序圖
1210‧‧‧新配置器設備
1213‧‧‧網路公開金鑰
1220‧‧‧網路設備
1225‧‧‧登記訊息
1227‧‧‧回應訊息
1229‧‧‧確收
1230‧‧‧配置器設備
1231‧‧‧QR碼
1233‧‧‧掃瞄
1235‧‧‧受信任訊息
1310‧‧‧記憶體
1320‧‧‧網路設備
1330‧‧‧記憶體
1400‧‧‧電子設備
1401‧‧‧匯流排
1402‧‧‧處理器
1404‧‧‧網路介面
1406‧‧‧記憶體
1420‧‧‧感測器介面
1430‧‧‧致動器介面
經由參考附圖,可以更好地理解本案並使眾多目的、特徵和優點為熟習此項技術者所顯而易見。
圖1是根據本案的一實施例引入輔助式設備置備(例如,登記、配置、及/或認證)的概念的概念圖;圖2是根據本案的一實施例圖示各種金鑰共用特徵的示例方塊圖;圖3是根據本案的一實施例圖示由配置器設備執行的操作的流程圖;圖4是根據本案的實施例圖示使用配置器設備向網 路設備提供客戶端公開金鑰的輔助式設備置備的示例的訊息流程圖;圖5是根據本案的實施例圖示其中客戶端設備監視預設通道的輔助式設備置備的示例的訊息流程圖;圖6是根據本案的實施例圖示其中配置器設備向客戶端設備提供登記金鑰的輔助式設備置備的示例的訊息流程圖;圖7是根據本案的一實施例圖示配置器設備和網路設備建立信任關係的訊息程序圖;圖8是根據本案的一實施例圖示客戶端設備和網路設備建立連接的訊息程序圖;圖9是根據本案的一實施例圖示用於輔助式設備置備的基於雲端的受信任配置器服務的訊息程序圖;圖10是根據本案的一實施例圖示使用證書的基於雲端的受信任配置器服務的訊息程序圖;圖11是根據本案的一實施例圖示存取點充當配置器服務以促成對等無線連接的訊息程序圖;圖12是根據本案的一實施例圖示添加第二配置器設備的訊息程序圖;圖13是根據本案的一實施例圖示公開金鑰清單的概念圖;及圖14是圖示能夠實現本案的各個實施例的設備的示例方塊圖。
以下描述包括體現本案的技術的示例性系統、方法、技術、指令序列、以及電腦程式產品。然而應理解,所描述的實施例在沒有這些具體細節的情況下亦可實踐。例如,儘管本文中描述的示例引述了無線區域網路(WLAN)登記,但是各實施例不受此限制。在其他實施例中,設備置備可以由其他合適的共用媒體通訊網路(諸如電力線通訊(PLC)、同軸網路、及/或電話線區域網路等)中的客戶端設備來實現。在一些實例中,公知的指令實例、協定、結構和技術未被詳細示出以免淡化本描述。
本案的各實施例可以促成客戶端設備與通訊網路的網路設備的設備置備。設備置備可以使客戶端設備能夠經由網路設備獲得對其他設備或網路資源(諸如資料儲存、印表機、基於雲端的資源)的存取及/或網際網路存取等。在本案中,術語「登記」、「註冊」等被用於可互換地代表設備置備。
在一個實施例中,配置器設備可以獲得與客戶端設備相關聯的客戶端公開金鑰並且向網路設備發送該客戶端公開金鑰。在網路設備與客戶端設備之間的登記程序中網路設備可以使用客戶端公開金鑰。在完成登記程序之後,客戶端設備可被配置成與網路設備聯用,諸如以獲得對其他網路資源的存取。作為成功的登記程序的結果,亦可以執行進一步認證。
在一個實施例中,網路設備可以使用客戶端公開金鑰來登記客戶端設備,而不必經由網路設備與客戶端設備之 間的通訊通道共用(例如,傳送)客戶端公開金鑰。例如,網路設備可以使用客戶端公開金鑰來產生網路設備與客戶端設備之間的共用金鑰。共用金鑰可以使用登記協定來提供給客戶端設備,在該登記協定中交換公開金鑰並且由客戶端設備和網路設備中的每一者在本端決定共用金鑰,而不必經由通訊媒體來傳送共用金鑰。所使用的登記協定可以包括至少部分地基於Diffie-Hellman、等同方同時認證(SAE)、Wi-Fi受保護設置(WPS)及/或使用客戶端公開金鑰/私密金鑰和網路公開金鑰/私密金鑰的任何其他技術上可行的金鑰建立協定的操作。以此方式,對存取網路設備的準許對於客戶端設備的使用者而言可以是透明的,例如,使用者不必採取諸如輸入代碼或密碼之類的動作。
客戶端公開金鑰可被決定並且經由受信任設備(諸如配置器設備)提供給網路設備。配置器設備可以與網路設備共處一地,或者可以是分開的。配置器設備可以是與網路設備(諸如存取點)建立信任關係的使用者設備(諸如智慧型電話)。在一些實施例中,配置器設備可以在客戶端設備附近或者信任客戶端設備。例如,配置器設備可以使用與客戶端的直接帶外通訊來獲得客戶端公開金鑰。帶外通訊的使用可以幫助避免潛在的假冒或者中間人攻擊。配置器設備可被配置成從客戶端設備獲得客戶端公開金鑰,以使得沒有其他公開金鑰可被不適當地用作客戶端設備的公開金鑰。
網路可以維護設備清單和相關聯的公開金鑰,以協調設備在若干網路設備處的登記。例如,可以回應於第一網 路設備向第二網路設備共用客戶端設備的公開金鑰而在第二網路設備處登記在第一網路設備處添加的客戶端設備。另外,在從網路移除客戶端設備時,從設備清單移除設備公開金鑰可以級聯客戶端設備在其他網路設備之中的移除。網路的一或多個網路設備可以維護客戶端設備清單和與網路相關聯的配置器設備清單。(諸)客戶端設備和(諸)配置器設備的公開金鑰可以在網路中的受信任設備之間共用。
在一些實施例中,配置器設備可以證明客戶端公開金鑰以建立客戶端證書,並且亦可以證明網路公開金鑰以建立網路證書。客戶端證書和網路證書可以使用配置器私密金鑰來證明。這些證書可被用於促成客戶端設備與網路設備之間的登記,因為客戶端公開金鑰和網路公開金鑰的真實性可以由這兩個設備中的每一個設備來驗證。
在以上描述中,可以在數個不同的實施例中使用配置器設備。例如,配置器設備可被用於向網路設備傳遞單個公開金鑰(例如,來自客戶端設備的客戶端公開金鑰)。在另一示例中,配置器設備可被用於分別向網路設備和客戶端設備傳遞兩個公開金鑰(例如,客戶端公開金鑰和網路公開金鑰)。在另一示例中,配置器設備亦可以向客戶端設備和網路設備中的每一者提供證明特徵。在各個示例中,配置器設備可以利用與網路設備的信任關係和與客戶端設備的帶外通訊來提供在正確的客戶端設備與正確的網路設備之間共用公開金鑰的置信度。
圖1圖示了其中可以使用本案的示例系統100。在示 例系統100中,客戶端設備110可以在至網路設備120的通訊範圍內。客戶端設備110可以是尚未被網路設備120授權的膝上型設備、智慧型電話、設施、或任何其他設備。網路設備120亦可被稱為登記方設備。作為示例,網路設備120可以是WLAN存取點。客戶端設備110可以被認為在已用網路設備120置備之後與網路設備120通訊地耦合。在一些實施例中,客戶端設備110可被稱為被登記方設備,直至其已由網路設備120適當地置備。
在假想情景中,探訪房屋的朋友或家庭成員(亦即,客戶端設備的使用者)可能希望獲得經由存取點對WLAN的存取。替換地,對WLAN的存取可被提供給旅館、會議中心或公共場所中的客人,但是基於認證而受限制。在傳統的WLAN布署中,客戶端設備110的使用者可被要求輸入通行碼或其他資訊以準許客戶端設備110適當地向網路設備120進行認證。根據本案,在一些實施例中,可以在不要求使用者手動地輸入通行碼或網路金鑰的情況下置備客戶端設備110。此外,可以維持WLAN的安全性,以使得僅經授權使用者才被允許獲得對WLAN的存取。
如圖1中所示,配置器設備130可以輔助客戶端設備110的置備。配置器設備130可以是計算設備(諸如膝上型設備、個人電腦、平板設備、智慧型電話、聯網設施等)。在假想示例中,配置器設備130是具有相機、處理器和網路介面的行動設備。配置器設備130通訊地耦合至網路設備120。為了使客戶端設備110向網路設備120登記,配置器設備130可以獲 得與客戶端設備110相關聯的客戶端公開金鑰並且將該客戶端公開金鑰提供給網路設備120。
在本案中,在引述公開金鑰和私密金鑰時,每個公開金鑰和私密金鑰可以成對地相關。成對的私密金鑰和公開金鑰可以形成在數學上有聯絡但彼此不同的兩個金鑰。公開金鑰可被用於加密資訊或者驗證數位簽章。私密金鑰可被用於解密該資訊或者建立數位簽章。熟習此項技術者可以經由其他名稱(諸如公開金鑰密碼術或者非對稱密碼術)來辨識這一概念。應當理解,作為公開金鑰加密的附加或替換,可以使用其他安全機制。例如,作為本文中描述的公開金鑰和私密金鑰機制的附加或者替換,可以使用動態金鑰、金鑰旋轉、散列演算法、或其他機制。出於簡單起見,作為一示例實施例,在本案中描述了公開金鑰密碼術。
如圖1中所示,可以經由拍攝具有其中編碼有客戶端公開金鑰154的經快速回應(QR)編碼的影像160的照片來獲得客戶端公開金鑰154。配置器設備130解碼客戶端公開金鑰154並且在登記訊息156中向網路設備120提供客戶端公開金鑰154。網路設備120可以在(在158處所示的)登記程序及/或進一步認證中使用客戶端公開金鑰154,以使得客戶端設備110被通訊地添加到網路,而不必在網路上傳遞敏感性資料。
配置器設備130可以將網路設備120的登記能力擴展到行動設備。例如,網路設備120可能未裝備有相機、掃瞄器、短程無線電介面、或者近場通訊(NFC)標籤讀取器能力。此外,網路設備120可能安裝在固定位置或者難以達到的位置 。然而,配置器設備130可以是行動設備並且較好地適於獲取要被添加到網路的客戶端設備110的客戶端公開金鑰。配置器設備130可以向網路設備120提供客戶端公開金鑰以供在登記客戶端設備110中使用。
參引以上提供的家庭情景的示例,家庭成員或朋友可以簡單地啟動呈現其客戶端設備的客戶端公開金鑰(例如,顯示經編碼影像)的應用。家庭主人可以經由使用充當配置器設備130的行動設備偵測客戶端公開金鑰來將客戶端設備添加到網路。類似地,可以使用輔助式登記來授予旅館或會議的客人對無線網路服務的存取,而無需通行碼或複雜的手動配置。
應當理解,設備可以在一個環境中作為配置器設備130來操作,而在另一環境中作為客戶端設備110來操作。作為示例,屬於個人A的行動設備可以在個人A的家庭中用作個人A的家庭中的網路設備120的配置器設備130。屬於個人A的相同行動設備可以在該行動設備在個人B的家庭中並且針對個人B的家庭中的不同網路設備(未圖示)時被用作客戶端設備110。最後,行動設備亦可以作為網路設備120來操作,諸如在行動設備被用作熱點或對等(P2P)群主時。在一些實施例中,網路設備120和配置器設備130特徵可以共處一地或者在相同的實體裝置中實施。例如,行動設備可以向其他設備提供行動熱點。同時,行動設備可以作為配置器設備130來操作以輔助新的客戶端設備的登記。
以上假想情景是出於說明性目的而提供的。注意, 可以構想本案的許多替換使用。在以上描述中,描述了可以利用配置器設備來輔助新客戶端設備的置備的若干實施例。
圖2圖示了具有額外細節的示例系統200。類似於圖1,客戶端設備110可以在至網路設備120的通訊範圍內。在這一示例中,配置器設備130可以輔助網路設備120置備客戶端設備110。
配置器設備130可以建立配置器設備130與網路設備120之間的信任關係225。參照圖7來進一步描述信任關係225的示例。信任關係225可以包括使用安全金鑰來認證及/或加密配置器設備130與網路設備120之間的通訊。此外,信任關係225表示其中配置器設備130被授權輔助新設備(諸如客戶端設備110)的置備的關係。
建立信任關係可以包括供配置器設備130建立用於信任關係225的信任關係金鑰的步驟。例如,配置器設備130可以決定與網路設備120相關聯的網路公開金鑰。配置器設備130可以具有配置器公開金鑰和相應的配置器私密金鑰。配置器設備130可以至少部分地基於網路公開金鑰和配置器私密金鑰來決定信任關係金鑰。類似地,網路設備120可以至少部分地基於網路私密金鑰和配置器公開金鑰來決定信任關係金鑰。
在圖2中,配置器設備130獲得與客戶端設備110相關聯的客戶端公開金鑰(如線254所示出的)。客戶端設備110可以具有客戶端公開金鑰254和相應的客戶端私密金鑰。配置器設備130可以例如經由使用帶外通訊通道或偵測來獲得客戶 端公開金鑰254。例如,配置器設備130可以利用相機來掃瞄與客戶端設備110相關聯的影像。該影像可以是2D或3D影像。例如,該影像可以是快速回應(QR)碼或條碼。該影像可以附連至客戶端設備110或者與客戶端設備110相關聯的封裝。其他類型的視覺、聽覺、或電氣的帶外通訊通道可被配置器設備130用來獲得客戶端公開金鑰254。出於簡單起見,本文中的示例是按照其中編碼有客戶端公開金鑰的影像來描述的。
在一些實施例中,該影像可以是靜態的或者短暫的。例如,客戶端設備110可以裝備有顯示器並且可以為不同的登記實例或者為不同的網路建立不同的影像。客戶端公開金鑰254可以經由用配置器設備130的相機、智慧型電話、掃瞄器、或其他機器可讀碼讀取器掃瞄或解碼機器可讀影像(例如,QR碼)來決定。使用機器可讀影像(諸如QR碼)可以幫助相對快速地決定客戶端公開金鑰,並且可以減少與獲取或讀取客戶端公開金鑰相關聯的人為誤差。在又一實施例中,包含客戶端公開金鑰254的近場通訊(NFC)標籤(未圖示)可由製造商提供,並且附連至客戶端設備110或者位於客戶端設備110附近。NFC標籤可由NFC標籤讀取器讀取以決定客戶端公開金鑰254。使用NFC標籤亦可以減少在決定客戶端設備110的客戶端公開金鑰254中的誤差。
一旦配置器設備130已經獲得客戶端公開金鑰254,配置器設備130就可以在登記訊息256中向網路設備120發送客戶端公開金鑰254。在一個實施例中,在發送登記訊息256 之前,配置器設備130可以經由向網路設備120發送請求訊息來發起登記。該請求訊息(未圖示)可以使網路設備120提供用於登記的一次性隨機數。該一次性隨機數可以是可由網路設備120提供的亂數或偽亂數。配置器設備130可以使用該一次性隨機數來準備伴隨客戶端公開金鑰254的簽名。該簽名亦可以基於證明配置器設備130被授權發送登記訊息256的加密及/或簽名程序。登記訊息256可以包括客戶端公開金鑰254和簽名,以及其他資訊。例如,登記訊息256可以包括關於如何獲得客戶端公開金鑰254、時間戳記、網路設備120的辨識符、登記請求辨識符的資訊、及/或其他資訊。在一個實施例中,可以使用信任關係金鑰來加密簽名、一次性隨機數或簽名和一次性隨機數兩者。
在網路設備120接收到登記訊息256時,網路設備120可以將簽名驗證為來自正確地獲授權的、與網路設備120具有信任關係225的配置器設備130。若驗證了簽名,則網路設備120可以使用來自登記訊息256的客戶端公開金鑰254來完成直接與客戶端設備110的登記。例如,在一個實施例中,網路設備120可以經由回應於探測請求訊息的探測回應訊息(未圖示)來發起登記。該探測回應訊息可以包括客戶端公開金鑰的散列或其他衍生物。在另一實施例中,網路設備120可以發起登記並且執行初始無線關聯以建立與客戶端設備110的通訊通信期,可以經由該通訊通信期來交換進一步的認證和配置。
客戶端設備110的登記和認證可以包括網路設備120 與客戶端設備110之間的認證規程。例如,網路設備120可以向客戶端設備110發送認證請求訊息258。該認證請求訊息258可以包括網路公開金鑰以及由網路設備提供的一次性隨機數(「網路提供的一次性隨機數」)。客戶端設備110可以產生第二一次性隨機數(或「客戶端提供的一次性隨機數」),並且隨後使用網路提供的一次性隨機數、客戶端提供的一次性隨機數、網路公開金鑰以及客戶端私密金鑰來產生共用金鑰。接下來,客戶端設備110可以向網路設備120發回認證回應訊息260。認證回應訊息260可以包括客戶端提供的一次性隨機數和該客戶端提供的一次性隨機數的訊息認證碼(MAC)。客戶端提供的一次性隨機數的MAC可以是客戶端提供的一次性隨機數的密碼散列函數(例如,已使用共用金鑰準備的密碼散列函數)。
網路設備120可以類似地準備共用金鑰。共用金鑰可以從網路提供的一次性隨機數、客戶端提供的一次性隨機數、客戶端公開金鑰以及網路私密金鑰產生。若網路設備120從客戶端提供的一次性隨機數和共用金鑰產生的MAC與包括在認證回應訊息260中的MAC相同,則網路設備120可以驗證其具有與客戶端設備110產生的共用金鑰相同的共用金鑰。
一旦已經驗證了存在共用金鑰,網路設備120就可以認為客戶端設備110已登記。網路設備120可以將共用金鑰用於網路設備120與客戶端設備110之間的進一步通訊(圖2上未圖示),諸如配置、網路關聯、或額外認證。例如,網路設備120可以向客戶端設備110發送配置資料。該配置資料可以包 括用於無線存取的設置,諸如無線存取點的SSID、通道、或者功率設置。配置資料亦可以包括關於安全性、應用層、或由客戶端設備110用來經由網路設備120進行通訊的其他設置的額外資訊。
在登記之後,在一個實施例中,客戶端設備110和網路設備120可以執行進一步認證(圖2中未圖示)。例如,可以在客戶端設備110與網路設備120之間執行四路交握規程以完成客戶端設備110的認證及/或關聯。成對主金鑰(PMK)可被用於後續的Wi-FiTM受保護存取(WPA)交握和配置訊息。在一個實施例中,基於網路提供的一次性隨機數、客戶端提供的一次性隨機數、網路公開金鑰和客戶端私密金鑰產生的共用金鑰(SK)可被用作PMK。替換地,PMK可以從SK推導。客戶端設備可以使用至少使SK作為輸入變數的預定函數或演算法來推導PMK。類似地,網路設備可以使用預定函數或演算法和相同的SK來推導PMK。例如,PMK可以是SK的散列。PMK可以隨後被用於客戶端設備與網路設備之間的四路交握或其他關聯/配置步驟。
圖3圖示了根據一些實施例的可由配置器設備(諸如配置器設備130)執行的操作的示例流程300。在方塊302,配置器設備可以建立與網路的網路設備的信任關係。在圖2和7中提供建立信任關係的示例。
在方塊304,配置器設備可以決定與客戶端設備相關聯的客戶端公開金鑰。例如,決定客戶端公開金鑰可以包括使用配置器設備的相機、話筒、光偵測器、掃瞄器、短程射 頻介面(諸如藍芽TM或NFC)或其他感測器以用帶外媒體偵測客戶端公開金鑰。在一些實施例中,用於決定客戶端公開金鑰的方法可以要求配置器設備與客戶端設備之間的鄰近性以保護免受非預期的遠程存取或安全破壞。
在方塊308,配置器設備可以根據信任關係來發送與客戶端設備相關聯的客戶端公開金鑰,該客戶端公開金鑰被用於網路設備與客戶端設備之間的認證。
圖4是根據本案的實施例圖示使用配置器設備來向網路設備提供客戶端公開金鑰的輔助式設備置備的示例的訊息流程圖。在圖4的示例訊息流程400中,配置器設備130可以使用單向帶外通訊媒體來獲得客戶端公開金鑰414。配置器設備130已與網路設備120建立信任關係402。在一些實施例中,信任關係402可以在配置器設備獲得客戶端設備110的客戶端公開金鑰之前被預先配置。替換地,信任關係402可以回應於配置器設備獲得與客戶端設備110相關聯的客戶端公開金鑰或者在配置器設備獲得與客戶端設備110相關聯的客戶端公開金鑰之後被建立。
在建立信任關係402之際,網路設備120可以儲存關於配置器設備130的資訊404(諸如配置器公開金鑰、辨識符、授權時段等)。所儲存的資訊404可以稍後使用,諸如以驗證配置器設備130的授權及/或輔助客戶端設備110的登記和認證。例如,所儲存的資訊404可以被用於解密或驗證由配置器設備130在登記訊息中提供的簽名。
配置器設備130可以使用帶外媒體來獲得客戶端設 備110的客戶端公開金鑰414。例如,可以經由相機和影像、短程射頻信號(諸如藍芽或NFC)或其他帶外媒體來獲得客戶端公開金鑰。在一些實施例中,配置器設備130可任選地查詢412客戶端設備110以獲得客戶端公開金鑰414。在一些實施例中,配置器設備130可以不查詢412客戶端設備110,諸如在經由掃瞄經編碼影像來獲得客戶端公開金鑰414時。客戶端公開金鑰可以是靜態的或者短暫的。若客戶端公開金鑰是短暫的,則客戶端設備110可以產生客戶端公開金鑰並且回應於查詢412來向配置器設備130提供客戶端公開金鑰。在其他實例中,客戶端公開金鑰可以是靜態的。若帶外媒體不支援雙向通訊,則配置器設備130可以簡單地使用配置器設備的感測器、話筒、光偵測器、相機、或其他能力來偵測客戶端公開金鑰。
配置器設備130可以經由向網路設備120發送登記請求420來發起登記通信期。網路120可以發送具有一次性隨機數的回應422(該一次性隨機數亦可被稱為登記一次性隨機數或者登記通信期辨識符)。該一次性隨機數可以是由網路設備120提供的亂數或偽亂數。在一些實現中,該一次性隨機數可以由配置器設備130產生並且在登記請求420中提供,以及經由回應422來確收。一次性隨機數的使用可以防止所謂的重放攻擊,這些重放攻擊是使用先前使用的訊息交換來引入未獲授權資料的安全性破壞。
配置器設備130可以在登記訊息424中向網路設備120提供客戶端設備110的客戶端公開金鑰。如先前所描述的 ,登記訊息424可以包括其他資訊,諸如從登記一次性隨機數推導出的簽名。該簽名可被用於在進行客戶端設備110的登記之前驗證(在驗證規程426處示出)配置器設備130的權威。若被驗證,則客戶端公開金鑰可被儲存以供在認證程序中使用。
回應於登記訊息424和對簽名的驗證,網路設備120可以執行登記規程430。登記規程可以包括以下一者或多者:信標訊息、探測請求訊息、探測回應訊息、認證開始訊息、認證發起訊息、關聯請求、以及關聯回應。這些訊息可被稱為用於建立客戶端設備110與網路設備120之間的初始通訊的發現步驟,可以經由該初始通訊發生進一步認證和配置。在一個示例中,登記規程430包括認證通道的建立,該認證通道可由認證協定(諸如可擴展認證協定(EAP))使用。
一示例認證程序可以包括認證請求訊息432(類似於認證請求訊息258)和認證回應訊息434(類似於認證回應訊息260)。如圖2中所描述的,認證程序可以包括使用(認證請求訊息432中的)網路提供的一次性隨機數和(認證回應訊息434中的)客戶端提供的一次性隨機數來決定客戶端設備110與網路設備120之間的共用金鑰。
在認證請求訊息432和認證回應訊息434之後,可以進行配置程序。例如,網路設備120可以向客戶端設備110傳送配置資料436。配置資料436可以包括資訊,諸如存取點的SSID、無線通道資訊(諸如通道辨識符)、應用層金鑰等。在一個示例中,可以至少部分地基於共用金鑰來保護配置資料 436。例如,可以使用共用金鑰或者該共用金鑰的衍生物來加密配置資料436。
共用金鑰亦可以在用於網路存取的後續認證程序中使用。例如,額外認證(圖1中未圖示)可以包括在客戶端設備110與網路設備120之間執行的四路交握規程。四路交握規程可以基於從共用金鑰推導出的成對主金鑰。
網路設備120可以向配置器設備130發送確認訊息440以確認客戶端設備110已被成功地登記及/或認證到網路。回應於確認訊息440,配置器設備130可以提供視覺、聽覺、及/或其他信號以警告使用者已成功地完成網路登記及/或認證。
圖5是根據本案的實施例圖示其中客戶端設備監視預設通道的輔助式設備置備的示例的訊息流程圖。在圖5的示例資訊流程500中,配置器設備130或網路設備120經由臨時預設通道來置備客戶端設備110。配置器設備130已與網路設備120建立了信任關係402。在建立了信任關係402之後,配置器設備130可以使用帶外媒體來獲得(在414處示出)客戶端設備110的客戶端公開金鑰。例如,配置器設備130可以掃瞄與客戶端設備110相關聯的QR碼。配置器設備130可以向網路設備120發送具有客戶端公開金鑰的登記訊息424。在這一示例中,使用預設通道來置備客戶端設備110。例如,客戶端設備110可以監視521預設通道以發現發起設備置備的信標訊息。在一個實施例中,若客戶端設備110尚不具有網路連接,則客戶端設備110可以監視預設通道。替換地,客戶端設備110可 以週期性地監視預設通道以發現來自希望置備客戶端設備110的任何網路設備的信標訊息。
網路設備120或配置器設備130可以臨時存取預設通道以發送信標訊息。例如,網路設備120可以在預設通道上發送信標訊息526。在另一示例中,配置器設備130可以在預設通道上發送信標訊息528。作為信標訊息的附加或者代替,可以使用其他類型的發現訊息。設備置備(例如,登記及/或認證)可以如先前描述的那樣繼續(參見圖4中對訊息430-440的相應描述)。
圖6是根據本案的實施例圖示其中配置器設備向客戶端設備提供登記金鑰的輔助式設備置備的示例的訊息流程圖。在圖6的示例訊息流程600中,配置器設備130可以使用雙向帶外通訊媒體來獲得客戶端公開金鑰614。在這一示例中,配置器設備130亦可以提供網路公開金鑰630(其亦可被稱為登記公開金鑰)。
配置器設備130已經與網路設備120建立了信任關係602。在建立信任關係602之後,網路設備120可以儲存關於配置器設備130的資訊604(諸如配置器公開金鑰、辨識符、授權時段等)。
配置器設備130可以使用帶外介面606以經由帶外媒體和帶外介面605來獲得客戶端設備110的客戶端公開金鑰。在圖6的示例中,帶外媒體支援雙向通訊。該帶外媒體不同於網路設備120控制存取的通訊媒體。因此,客戶端設備110和配置器設備130可被配置有替換的通訊介面,諸如短程射頻介 面、對等無線聯網、直接有線媒體、或者支援雙向通訊的其他通訊媒體。配置器設備130可以向客戶端設備110發送查詢訊息612以獲得客戶端設備110的客戶端公開金鑰。回應於查詢訊息612,客戶端設備110可以用包括客戶端公開金鑰的回應訊息614來回應。
類似於圖4中的訊息420-424,配置器設備130可以向網路設備120發送登記請求620,接收具有一次性隨機數(其亦可被稱為登記一次性隨機數或登記通信期辨識符)的回應622,以及發送具有客戶端公開金鑰和至少部分地基於登記一次性隨機數的簽名的登記訊息624。該簽名可在進行客戶端設備110的登記之前在驗證規程625中用於驗證配置器設備130的權威性。若被驗證,則客戶端公開金鑰可被儲存以供在認證程序中使用。
在圖6的示例中,網路設備120可以向配置器設備130提供登記金鑰626。登記金鑰626亦可被稱為與網路設備120相關聯的網路公開金鑰。然而,在圖6的示例中,登記金鑰626是為配置器設備130提供的用於使用雙向相互通訊媒體來向客戶端設備110發送的一次性使用登記金鑰。配置器設備130向客戶端設備110提供登記金鑰630。登記金鑰可以是具有儲存在網路設備120處的相應私密金鑰的公開金鑰。在一些示例中,配置器設備130可以發送該配置器設備130先前已知的網路公開金鑰或登記金鑰。例如,網路設備120可以在建立信任關係602之後向配置器設備130提供登記金鑰。登記金鑰可以具有期滿時間及/或可以對於特定配置器設備130是唯一的。替 換地,若被提供在訊息626中,則登記金鑰可以因客戶端設備110而異。
在631,網路設備120可以執行發現步驟以在客戶端設備110與網路設備120之間建立初始通訊。發現步驟可被修改以利用登記金鑰。例如,可以在探測請求訊息或探測回應訊息中使用登記金鑰(或其衍生物)作為驗證客戶端設備110及/或網路設備120的身份的方式。替換地,登記金鑰(或其衍生物)可以包括在來自網路設備120的信標訊息中。若不能驗證客戶端設備110或網路設備120的身份,則登記程序可以結束,從而防止進一步的不必要通訊或認證消耗處理器或網路資源。
類似於圖2和4,示例認證程序可以包括認證請求訊息632和認證回應訊息634。不同於圖4,在圖6中,認證請求訊息632可以不包括網路公開金鑰。因為配置器設備130已經使用雙向帶外通訊媒體將登記金鑰提供給客戶端設備110。相反,認證請求訊息632可以包括網路提供的一次性隨機數,但是可以不包括網路公開金鑰。接下來,如圖2和4中所描述的,認證程序可以包括使用(在認證請求訊息632中的)網路提供的一次性隨機數和(在認證回應訊息634中的)客戶端提供的一次性隨機數及其相應的私密金鑰和其他的公開金鑰來決定客戶端設備110與網路設備120之間的共用金鑰。在636,配置程序可以包括從網路設備120向客戶端設備110傳送配置資料。
網路設備120可以向配置器設備130發送確認訊息 640以確認客戶端設備110已被成功地登記和認證到網路。回應於確認訊息640,配置器設備130可以提供視覺、聽覺、及/或其他信號以告知使用者已成功地完成了網路登記和認證。
圖7圖示了用於建立配置器設備130與網路設備120之間的信任關係的示例訊息流程700。網路設備120可以傳送配置器支援服務廣告訊息702。配置器支援服務廣告訊息可以是信標訊息或者管理負擔訊息的一部分。例如,配置器支援服務廣告訊息可被包括在指示網路設備120的能力的訊息中。配置器支援服務廣告訊息702可以向配置器設備130指示網路設備120支援輔助式登記和認證的使用,如本案中所描述的。
配置器設備130可以使用帶外媒體來獲得與網路設備120相關聯的網路公開金鑰。例如,配置器設備130可以向網路設備120發送查詢訊息708以請求網路公開金鑰。網路設備120可以在回應訊息709中提供網路公開金鑰。替換地,配置器設備130可以簡單地使用相機、條碼掃瞄器、短程射頻介面、或NFC標籤讀取器來偵測網路公開金鑰。在一個示例中,配置器設備130經由解碼具有經機器編碼資料的影像來獲得網路公開金鑰。配置器設備130亦可以獲得其他資訊,諸如網路設備的辨識符(ID)或配置資訊。在一個實施例中,辨識符可以從網路公開金鑰推導出。配置資訊可以包括預設通道資訊。
配置器設備130和網路設備120可以執行發現步驟712、714以建立配置器設備130與網路設備120之間的初始通 訊。發現步驟712、714可以類似於圖4-6中描述的發現步驟。發現步驟亦可以被用於驗證配置器設備130和網路設備120是否應當繼續建立信任關係。例如,配置器設備130可以傳送包括網路設備的ID的探測請求訊息。網路設備120可以驗證該ID是否匹配網路設備的正確ID,並且隨後用探測回應訊息來回應。若不能驗證網路設備120的ID,則網路設備120可以停止與配置器設備130通訊及/或防止建立信任關係。
配置器設備130可以向網路設備120發送認證請求訊息716,該認證請求訊息716具有配置器設備130是否願意充當網路設備120的配置器設備的指示。認證請求訊息716可以包括配置器公開金鑰和配置器提供的一次性隨機數。另外,認證請求訊息716可以指示其他資訊,諸如用於獲得網路公開金鑰的方法、配置器設備130的辨識符、或其他資訊。
網路設備120可以使用配置器提供的一次性隨機數、配置器公開金鑰、網路提供的一次性隨機數、和網路私密金鑰來決定信任關係金鑰625。網路設備120可以使用共用金鑰來加密網路提供的一次性隨機數。可任選地,亦可以用網路提供的一次性隨機數來加密其他資訊,諸如WLAN的服務集辨識符(SSID)、或其他網路配置資訊。例如,網路設備120可以至少部分地基於SSID和網路提供的一次性隨機數來產生MAC。
在認證回應訊息718處,網路設備120向配置器設備130提供網路提供的一次性隨機數和MAC。若SSID被用於產生MAC,則SSID可任選地被包括在認證回應訊息718中。
配置器設備130可以使用網路提供的一次性隨機數、配置器提供的一次性隨機數、配置器私密金鑰、和網路公開金鑰來決定信任關係金鑰722。配置器設備130可以使用信任關係金鑰來計算MAC以驗證配置器產生的MAC匹配認證回應訊息718中的網路提供的MAC。
網路設備120可以儲存732配置器公開金鑰和可任選地儲存信任關係金鑰以供後來使用。例如,配置器公開金鑰可被儲存在經授權的配置器設備的列表中。配置器公開金鑰可被儲存達有限時間並且可在時間段期滿之際被移除。替換地,配置器設備可以發送指示它不再充當網路的配置器設備的訊息(未圖示)。網路設備可以隨後移除配置器公開金鑰和信任關係金鑰。網路設備可被配置成在重啟或復位之際移除所有的配置器公開金鑰。此外,網路設備可以限制當前批準的配置器設備的數量。
在一個實施例中,信任關係亦可以被用於交換配置資料。例如,一或多個配置訊息742、744可被傳送以傳達配置資料。在一個示例中,網路設備120可以向配置器設備130傳送當前的配置資料742。在另一示例中,配置器設備130可以向網路設備120傳送新的配置資料744。
在一個實施例中,可以在對等環境中在兩個設備之間執行類似的訊息和規程。換言之,在一個實施例中,圖7的配置器設備130和網路設備120可以是使用與將被用於建立以上描述的信任關係的訊息類似的訊息來建立對等關係的對等設備。在對等實施例中,設備可以在交換公開金鑰之前執行 對等發現規程和群協商。通常,在對等環境中,設備之一可以充當具有與所描述的網路設備120的功能性相似的功能性的群管理者。
在另一實施例中,可以直接在客戶端設備110與網路設備120之間為設備置備執行類似的訊息和規程。換句話說,圖7的配置器設備130可以表現為尚未針對關聯於網路設備120的網路置備的客戶端設備。該客戶端設備可以使用與將被用於建立以上描述的信任關係的訊息相似的訊息來建立網路連接。
圖8圖示了其中圖示客戶端設備110和網路設備120的設備置備的另一示例。客戶端設備110可以(在709)獲得網路設備120的網路公開金鑰。在圖8中,網路公開金鑰是經由帶外媒體獲得的。例如,客戶端設備110可以掃瞄與網路設備120相關聯的QR碼,其中該QR碼包括編碼在影像中的網路公開金鑰。網路設備120可以將網路公開金鑰(或其衍生物)包括在來自網路設備120的第一訊息811中。例如,第一訊息811可以是服務廣告訊息、探測回應、管理負擔訊息、或信標訊息。在一個實施例中,網路公開金鑰的衍生物(諸如散列)可被包括在第一訊息811中。客戶端設備110可以被動地掃瞄複數個通道,直至標識出具有帶有網路公開金鑰(或衍生物)的第一訊息811的通道。以此方式,客戶端設備110可以標識正確的通道以繼續置備程序。(在712-744處示出的)置備程序可以類似於圖7中描述的程序。
在圖8的另一實施例中,客戶端設備110可以在複數 個通道處使用主動掃瞄以標識由網路設備120管理的通道。客戶端設備110可以發送探測請求訊息810並且接收探測回應(作為第一訊息811)。若探測回應包括網路公開金鑰(或網路公開金鑰的衍生物),則客戶端設備110可以將該通道標識為正確通道以繼續設備置備。
如以上所描述的,圖7-8中描述的訊息可被用於各種情景,包括為配置器設備建立信任關係、建立對等網路、或者將新客戶端設備連接至網路。在圖7中,在初始發現程序之後,兩個設備交換公開金鑰。在每個設備上將公開金鑰與私密金鑰聯用以決定用於為另一個設備置備一個設備的衍生金鑰。如先前的附圖中所提及的,第三設備(例如,配置器設備130)可被用作第一設備與第二設備(例如,客戶端設備110與網路設備120)之間的仲介。以下附圖提供了執行如以上關於配置器設備130描述的類似特徵的仲介設備的進一步示例。
圖9圖示了示例系統900,其中配置器設備的功能性可在受信任配置器服務131(諸如基於網路的(例如,「雲端」)服務)中實現。圖9包括客戶端設備110和網路設備120。最初,客戶端設備110被認為未向網路設備120登記。
使用帶外通訊媒體,客戶端設備110可以(在第一訊息914中)向受信任配置器服務131提供客戶端公開金鑰。受信任配置器服務131可以(在第二訊息924中)向網路設備120提供客戶端公開金鑰。類似地,網路設備120可以(在第三訊息916中)向受信任配置器服務131提供網路公開金鑰。受信任配置器服務131可以(在第四訊息926中)向客戶端設備110 提供網路公開金鑰。
受信任配置器服務131可以充當公開金鑰交換所或金鑰權威機構。在一個實施例中,在客戶端設備110與網路設備120之間的任何潛在的關聯之前,客戶端設備110和網路設備120可以分別提供客戶端公開金鑰和網路公開金鑰。例如,受信任配置器服務131可以是基於雲端的儲存多個客戶端設備和網路設備的公開金鑰的儲存庫,以使得可以簡單地經由管理公開金鑰的分發來建立特定的客戶端設備與特定的網路設備之間的關係。
在一個實施例中,受信任配置器服務131可以與客戶端設備110和網路設備120中的一者或兩者建立信任關係。客戶端公開金鑰和網路公開金鑰可以根據信任關係使用安全通訊鏈路來提供。
客戶端設備110或網路設備120可以基於從受信任配置器服務131接收到的公開金鑰來發起登記程序931。登記程序931可以包括如圖4-8中所描述的發現步驟。在發現步驟之後,客戶端設備110可以經由向網路設備120發送認證請求訊息934來發起認證程序。認證請求訊息934可以包括客戶端提供的一次性隨機數,並且可任選地包括關於客戶端設備110的額外資訊。網路設備120可以產生網路提供的一次性隨機數,並且使用網路提供的一次性隨機數、客戶端提供的一次性隨機數、網路私密金鑰、以及(來自受信任的配置器服務131的)客戶端公開金鑰來決定共用金鑰。在認證回應訊息932中,網路設備120可以包括網路提供的一次性隨機數以及至少部分 地基於共用金鑰的MAC。
客戶端設備110可以使用網路提供的一次性隨機數、客戶端提供的一次性隨機數、客戶端私密金鑰、和網路公開金鑰來決定相同的共用金鑰。經由產生MAC並且將客戶端產生的MAC與接收到的MAC作比較來驗證該共用金鑰。
在登記和認證之後,網路設備120可以向客戶端設備110提供配置資料952。另外,額外認證(諸如四路交握或PMK的建立)可被執行(未圖示)。
圖10圖示了另一示例系統1000,其中配置器服務131可以輔助客戶端設備110與網路設備120之間的認證。在一個示例中,配置器服務131可以是受信任服務(例如,在雲端中)。在一實施例中,受信任配置器服務131可以提供對客戶端公開金鑰和網路公開金鑰的額外信任證明。證明包括經由使用私密金鑰來加密資訊包的方式對資訊包進行「簽名」或證明。作為證明程序的結果,可以產生「證書」。
使用帶外通訊媒體,客戶端設備110可以(在第一訊息1014中)向受信任配置器服務131提供客戶端公開金鑰。受信任配置器服務131可以使用配置器私密金鑰來對客戶端公開金鑰進行簽名以產生客戶端證書。客戶端證書可以使用對於客戶端設備和網路設備而言可以已知的配置器公開金鑰來驗證。
類似地,網路設備120可以(在第二訊息1016中)向受信任配置器服務131提供網路公開金鑰。受信任配置器服務131亦可以經由用配置器私密金鑰對網路公開金鑰進行簽名 的方式產生證書。
受信任配置器服務131可以在第三訊息1024中向網路設備120發送配置器公開金鑰和網路證書。配置器公開金鑰亦可被稱為證書權威機構(CA)公開金鑰。受信任配置器服務131可以在第四訊息1026中向客戶端設備110發送配置器公開金鑰和客戶端證書。因此,客戶端設備和網路設備中的每一者將具有配置器公開金鑰以及其自己的公開金鑰的經配置器證明的副本。客戶端證書和網路證書中的每一者可以包括由受信任配置器服務131提供的簽名。該簽名可以基於證書和配置器私密金鑰的一部分來計算。例如,證書的資料部分可被用於建立訊息摘要或散列。訊息摘要或散列可隨後使用配置器私密金鑰來加密以產生簽名。簽名可被添加為證書的第二部分。
客戶端設備110或網路設備120可以回應於接收到其自己的公開金鑰的經配置器證明的副本以及驗證簽名的真實性而發起登記。登記可以從發現步驟1031開始以建立客戶端設備110與網路設備120之間的初始通訊通道,在該初始通訊通道上可以使用認證協定。該認證協定可以包括認證請求訊息1034和認證回應訊息1032。
客戶端設備110可以在認證請求訊息1034中包括客戶端證書和客戶端提供的一次性隨機數。在接收到客戶端證書之際,網路設備120可以在驗證規程1046處驗證客戶端證書。例如,網路設備120可以使用配置器公開金鑰來驗證客戶端證書。為了驗證該證書是由受信任配置器服務131頒佈的,接 收方設備可以使用配置器公開金鑰來解密簽名以獲得簽名訊息摘要或散列。接收方設備可以隨後從資料部分計算接收到的訊息摘要或散列並且將接收到的訊息摘要/散列與簽名訊息摘要/散列作比較。網路設備120可以決定共用金鑰。例如,網路設備120可以產生網路提供的一次性隨機數,並且使用客戶端提供的一次性隨機數、從客戶端證書中提取的客戶端公開金鑰、網路私密金鑰以及網路提供的一次性隨機數來決定共用金鑰。
在認證回應訊息1032中,網路設備120可以包括網路提供的一次性隨機數、網路證書、以及客戶端提供的一次性隨機數的MAC。客戶端提供的一次性隨機數的MAC可以是客戶端提供的一次性隨機數的已使用共用金鑰準備的密碼散列函數。
在驗證規程1042處,客戶端設備可以使用配置器公開金鑰來驗證網路證書。若被驗證,則客戶端設備110可以使用儲存在網路證書中的網路公開金鑰,並且使用與由網路設備120使用的程序相似的程序用網路提供的一次性隨機數、客戶端提供的一次性隨機數、網路公開金鑰和客戶端公開金鑰來產生相同的共用金鑰。
一旦已經獲得共用金鑰,客戶端設備110和網路設備120就可以將該共用金鑰用於後續的四路交握認證及/或配置步驟1052。
圖11圖示了另一示例系統1100,其中配置器設備可被實施為存取點1130以促成第一客戶端設備1110與第二客戶 端設備1120之間的直接對等無線連接。最初,第一客戶端設備1110和第二客戶端設備1120可以具有與存取點1130的無線關聯,但是可以不具有彼此的直接對等無線關聯。
存取點1130可被配置成向第一和第二客戶端設備1110、1120提供公開金鑰。在一個實施例中,存取點1130可以(在第一訊息1114中)從第一客戶端設備1110獲得第一客戶端公開金鑰並且(在第二訊息1124中)向第二客戶端設備1120提供第一客戶端公開金鑰。存取點1130可以(在第三訊息1116中)從第二客戶端設備1120獲得第二客戶端公開金鑰,並且(在第四訊息1126中)向第一客戶端設備1110提供第二客戶端公開金鑰。在另一實施例中,存取點1130可被配置成產生一或多個短暫的客戶端公開金鑰並將它們提供給第一和第二客戶端設備1110、1120。例如,存取點1130可以產生第一客戶端公開金鑰並且向第二客戶端設備1120發送第一客戶端公開金鑰。存取點1130可以產生第二客戶端公開金鑰並且向第一客戶端設備1110發送第二客戶端公開金鑰。第一客戶端公開金鑰和第二客戶端公開金鑰中的任一者或兩者可以是由存取點1130產生的短暫的客戶端公開金鑰。
第一客戶端設備1110或第二客戶端設備1120可以基於從存取點1130接收到的客戶端公開金鑰來發起登記程序1131。在一個示例中,第一客戶端設備1110可以經由向第二客戶端設備1120發送認證請求訊息1134來發起認證程序。認證請求訊息1134可以包括一次性隨機數,並且可任選地包括關於第一客戶端設備1110的額外資訊。第二客戶端設備1120 可以產生第二一次性隨機數,並且使用第二一次性隨機數、第一一次性隨機數、和第一客戶端公開金鑰來決定共用金鑰。在認證回應訊息1132中,第二客戶端設備120可以包括第二一次性隨機數以及至少部分地基於共用金鑰的MAC。
第一客戶端設備1110可以使用第一一次性隨機數、第二一次性隨機數、和第二使用者客戶端公開金鑰1126來決定相同的共用金鑰。經由產生驗證MAC並且將驗證MAC與接收到的MAC作比較來驗證該共用金鑰。
在登記和認證之後,第二客戶端設備1120或第一客戶端設備1110可以提供關於對等無線連接的配置資料1152。另外,額外認證(諸如四路交握或PMK的建立)可被執行(未圖示)。
圖12是圖示在現有的配置器設備1230已存在的情況下將新配置器設備1210添加到網路的訊息程序圖1200。網路包括可以經由帶外媒體向新配置器設備1210提供網路公開金鑰1213的網路設備1220。例如,新配置器設備1210可以掃瞄與網路設備1220相關聯的QR碼。新配置器設備1210可以在至網路設備1220的登記訊息1225中包括網路公開金鑰。網路設備1220可以決定現有的配置器設備已經存在並且可以發送指示現有的配置器設備1230已被置備的回應訊息1227。在一個實施例中,回應訊息1227可以提供現有的配置器設備1230的指示符(例如,名稱或位置)。新配置器設備1210可任選地發送確收1229作為對回應訊息1227的答覆。
新配置器設備1210可以提供QR碼1231並且指令使 用者經由現有的配置器設備1230來掃瞄QR碼。QR碼可以具有與新配置器設備1210相關聯的設備公開金鑰。該設備公開金鑰被提供給現有的配置器設備1230(例如,現有的配置器設備1230掃瞄1233由新配置器設備1210提供的QR碼)。現有的配置器設備1230可以使用現有的配置器設備1230與網路設備1220之間現有的信任關係來(在受信任訊息1235中)向網路設備1220提供設備公開金鑰。回應於接收到設備公開金鑰,網路設備1220可以登記新配置器設備1210並且將其添加到配置器設備清單。
圖13是根據本案的一實施例圖示可由各種設備維護的公開金鑰清單的概念圖。在圖13中,客戶端設備110可以具有用於儲存與至少一個網路設備相關聯的公開金鑰的記憶體1310。記憶體1310亦可以儲存配置器設備的公開金鑰。在一個實施例中,記憶體1310可以儲存一個以上網路設備的公開金鑰,諸如在置備客戶端設備110以基於覆蓋或使用者選擇來存取不同網路時。
配置器設備130可以具有用於儲存為網路置備的客戶端設備清單的公開金鑰的記憶體1330。當新網路設備被添加到網路時,客戶端設備清單可以與新的網路設備(未圖示)共用。記憶體1330亦可以儲存與網路相關聯的網路設備清單的公開金鑰。網路設備清單的公開金鑰可被用於驗證來自網路設備的請求。
網路設備120可以具有用於儲存與客戶端設備清單相關聯的公開金鑰和配置器設備清單的公開金鑰的記憶體 1320。當新網路設備被添加到網路時,可以向新網路設備共用客戶端設備清單的公開金鑰,以使得該新網路設備能夠自動地登記客戶端設備。配置器設備清單的公開金鑰亦可以與新網路設備共用,以使得該新網路設備能夠驗證由網路的配置器設備接收到的登記請求。
使用圖13中的示例,可以理解,清單(以及相關聯的公開金鑰)可被用於管理網路中的存取。例如,當使用者使客戶端設備從配置器設備處的客戶端設備清單中移除時,改變可被傳播至其他配置器設備和網路設備。使用圖13作為示例,配置器設備130可以向網路設備120發送訊息以使網路設備120從記憶體1320中的客戶端設備清單中移除客戶端設備110的公開金鑰。其後,將不為網路置備客戶端設備110。
圖1-13和本文描述的操作是旨在輔助理解各個實施例的示例,並且應當不被用於限制請求項的範疇。各實施例可執行額外操作、執行較少操作、並行地或者以不同次序執行操作、以及不同地執行一些操作。儘管本案枚舉了若干實施例,但是在本案的範疇內考慮額外實施例。例如,在一個實施例中,一種用於向網路設備認證客戶端設備的方法包括:經由配置器設備促成客戶端設備與網路設備之間的認證,該認證至少部分地基於客戶端設備的經由配置器設備從客戶端設備共用至網路設備的客戶端公開金鑰,該配置器設備使用帶外通訊來獲得該客戶端公開金鑰。
如熟習此項技術者將領會的,本案的各態樣可體現為系統、方法或電腦程式產品。相應地,本案的各態樣可採 取全硬體實施例、軟體實施例(包括韌體、常駐軟體、微代碼等)、或組合了軟體與硬體態樣的實施例的形式,其在本文可全部被統稱為「電路」、「單元」或「系統」。此外,本案的各態樣可採取體現在其上含有電腦可讀取程式碼的一或多個電腦可讀取媒體中的電腦程式產品的形式。
可以利用一或多個電腦可讀取媒體的任何組合,唯一的例外是瞬態的傳播信號。電腦可讀取媒體可以是電腦可讀取儲存媒體。電腦可讀取儲存媒體可以是例如但不限於:電子、磁性、光學、電磁、紅外、或半導體系統、裝置或設備,或者前述的任何合適組合。電腦可讀取儲存媒體的更為具體的示例(非窮盡性清單)可包括以下各項:具有一或多條導線的電連接、可攜式電腦軟碟、硬碟、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可抹除可程式設計唯讀記憶體(EPROM或快閃記憶體)、光纖、可攜式壓縮光碟唯讀記憶體(CD-ROM)、光存放裝置、磁存放裝置,或者前述的任何合適組合。在本文件的上下文中,電腦可讀取儲存媒體可以是能包含或儲存供指令執行系統、裝置或設備使用或者結合其使用的程式的任何有形媒體。
在電腦可讀取媒體上體現的用於實現本案各態樣的操作的電腦程式代碼可以用一或多個程式設計語言的任何組合來編寫,包括物件導向程式設計語言(諸如Java、Smalltalk、C++等)、以及習知程序程式設計語言(諸如「C」程式設計語言或類似程式設計語言)。程式碼可完全在使用者電腦上、部分在使用者電腦上、作為獨立套裝軟體、部分在使用者 電腦上且部分在遠端電腦上、或者完全在遠端電腦或伺服器上執行。在後一情境中,遠端電腦可經由任何類型的網路連接至使用者電腦,包括區域網路(LAN)或廣域網(WAN),或者可進行與外部電腦的連接(例如,使用網際網路服務提供者經由網際網路來連接)。
本案的各態樣是參照根據本案的各實施例的方法、裝置(系統)和電腦程式產品的流程圖圖式及/或方塊圖來描述的。將理解,這些流程圖示說及/或方塊圖之每一者方塊、以及這些流程圖示說及/或方塊圖中的方塊的組合可以經由電腦程式指令來實現。這些電腦程式指令可被提供給通用電腦、專用電腦或其他可程式設計資料處理裝置的處理器以用以製造機器,從而經由電腦或其他可程式設計資料處理裝置的處理器執行的這些指令構建用於實現這些流程圖及/或方塊圖的一或多個方塊中所指定的功能/動作的裝置。
這些電腦程式指令亦可儲存在電腦可讀取媒體中,其可以指導電腦、其他可程式設計資料處理裝置或其他設備以特定方式起作用,從而儲存在該電腦可讀取媒體中的指令製造出包括實現這些流程圖及/或方塊圖的一或多個方塊中所指定的功能/動作的指令的製品。電腦程式指令亦可被載入到電腦、其他可程式設計資料處理裝置或其他設備上以使得在該電腦、其他可程式設計裝置或其他設備上執行一系列操作步驟以產生由電腦實現的程序,從而在該電腦或其他可程式設計裝置上執行的這些指令提供用於實現這些流程圖及/或方塊圖的一或多個方塊中所指定的功能/動作的程序。
圖14是能夠實現本案的各個實施例的電子設備1400的一個實施例的示例方塊圖。在一些實現中,電子設備1400可以是諸如膝上型電腦、平板電腦、行動電話、遊戲控制台、或其他電子系統之類的電子設備。電子設備1400包括處理器1402(可能包括多個處理器、多個核、多個節點、及/或實現多執行緒處理等等)。電子設備1400包括記憶體1406。記憶體1406可以是系統記憶體(例如,快取記憶體、SRAM、DRAM、零電容器RAM、雙電晶體RAM、eDRAM、EDO RAM、DDR RAM、EEPROM、NRAM、RRAM、SONOS、PRAM等中的一者或多者)或者是上面已經描述的機器可讀取媒體的可能實現中的任何一者或多者。電子設備1400亦包括匯流排1401(例如,PCI、ISA、PCI-Express、HyperTransport®、InfiniBand®、NuBus、AHB、AXI等)。電子設備包括可以是無線網路介面(例如,WLAN介面、藍芽®介面、WiMAX介面、ZigBee®介面、無線USB介面等)或者有線網路介面(例如,電力線通訊介面、乙太網路介面等)的一或多個網路介面。在一些實現中,電子設備1400可支援多個網路介面1404,其之每一者網路介面可被配置成將電子設備1400耦合到不同的通訊網路。
記憶體1406實施用於實現以上描述的實施例的功能性。記憶體1406可以包括促成輔助式登記和認證的一或多個功能性。例如,記憶體1406可以實現如以上描述的客戶端設備110、網路設備120或配置器設備130的一或多個態樣。記憶體1406可以實施用於實現以上圖1-13中描述的實施例的功能 性。在一個實施例中,記憶體1406可以包括促成發送和接收金鑰、認證訊息等的一或多個功能性。
電子設備1400亦可以包括感測器介面1420、致動器介面1430、或其他輸入/輸出元件。在其他實施例中,電子設備1400可以具有用於決定網路公開金鑰及/或客戶端公開金鑰的其他合適的感測器(例如,相機、話筒、NFC偵測器、條碼掃瞄器等)。
這些功能性中的任何一個功能性皆可部分地(或完全地)在硬體中及/或在處理器1402上實現。例如,該功能性可用特殊應用積體電路來實現、在處理器1402中所實現的邏輯中實現、在周邊設備或卡上的輔助處理器中實現等。此外,諸實現可包括更少的組件或包括圖14中未圖示的額外元件(例如,視訊卡、音訊卡、額外網路介面、周邊設備等)。處理器1402和記憶體1406可以耦合至匯流排1401。儘管被圖示為耦合至匯流排1401,但記憶體1406亦可直接耦合至處理器1402。
儘管各實施例是參照各種實現和利用來描述的,但是應理解這些實施例是說明性的且本案的範疇並不限於這些實施例。一般而言,如本文中所描述的用於設備置備的技術可以用符合任何一或多個硬體系統的設施來實現。許多變體、修改、添加、和改進皆是可能的。
可為本文中描述為單數實例的元件、操作、或結構提供複數個實例。最後,各種元件、操作和資料儲存之間的邊界在某種程度上是任意的,並且在具體說明性配置的上下 文中圖示了特定操作。其他功能性分配是可預見的並且可落在本案的範疇之內。一般而言,在示例性配置中呈現為分開的元件的結構和功能性可被實現為組合式結構或元件。類似地,被呈現為單個元件的結構和功能性可被實現為分開的組件。這些以及其他變體、修改、添加及改進可落在本案的範疇內。

Claims (17)

  1. 一種由一配置器設備(130)執行的用於向一網路登記一客戶端設備(110)的方法,該方法包含以下步驟:建立與該網路的一網路設備(120)的一信任關係(225);在該客戶端設備與該網路設備之間的一登記規程之前,決定與該客戶端設備相關聯的一客戶端公開金鑰;及根據該信任關係從該配置器設備向該網路設備發送該客戶端公開金鑰以促成該登記規程,其中該登記規程包含該網路設備與該客戶端設備之間的至少一第一認證,該第一認證至少部分地基於該客戶端公開金鑰。
  2. 如請求項1述及之方法,進一步包含以下步驟:從該配置器設備或該網路設備向該客戶端設備發送與該網路設備相關聯的一網路公開金鑰,其中該第一認證進一步至少部分地基於該網路公開金鑰。
  3. 如請求項1述及之方法,其中建立該信任關係之步驟包含以下步驟:決定與該網路設備相關聯的一網路公開金鑰;向該網路設備發送一配置器公開金鑰,該配置器公開金鑰對應於一配置器私密金鑰;及至少部分地基於該網路公開金鑰和該配置器私密金鑰來決定與該信任關係相關聯的一信任關係金鑰;其中決定與該網路設備相關聯的該網路公開金鑰之步驟較佳地包含以下步驟:經由與該網路設備的一安全連接來接收該網路公開金鑰,或經由與該網路設備的一帶外連接來決定該網路公開金鑰,該帶外連接與該客戶端設備將與該網路設備建立的一連接不同,或使用由該配置器設備的一相機、一話筒、一光偵測器、一感測器和一短程射頻介面構成的組中的至少一個成員來偵測該網路公開金鑰,其中使用該相機來偵測該網路公開金鑰之步驟較佳地包含以下步驟:使用該相機來偵測與該網路設備相關聯的一影像,其中該影像的至少一部分包括該網路公開金鑰;其中建立該信任關係之步驟較佳地包含以下步驟:在決定與該網路設備相關聯的該網路公開金鑰之前,從該網路設備接收一配置器支援服務廣告。
  4. 如請求項3述及之方法,進一步包含以下步驟:在從該配置器設備向該網路設備發送該客戶端公開金鑰之前用該信任關係金鑰來加密該客戶端公開金鑰。
  5. 如請求項1述及之方法,其中決定與該客戶端設備相關聯的該客戶端公開金鑰之步驟包含以下步驟:使用由該配置器設備的一相機、一話筒、一光偵測器、一感測器和一短程射頻介面構成的組中的至少一個成員來偵測該客戶端公開金鑰;其中使用該相機來偵測該客戶端公開金鑰之步驟較佳地包含以下步驟:使用該相機來偵測與該客戶端設備相關聯的一影像。
  6. 如請求項1述及之方法,其中發送與該客戶端設備相關聯的該客戶端公開金鑰之步驟包含以下步驟:向該網路設備發送一請求訊息;從該網路設備接收一一次性隨機數(nonce);及向該網路設備發送一登記訊息,該登記訊息包括該客戶端公開金鑰和一配置器簽名,該配置器簽名至少部分是從該一次性隨機數和一配置器私密金鑰推導出的,其中該配置器簽名向該網路設備提供該配置器設備獲授權發送該登記訊息的一第二認證。
  7. 如請求項6述及之方法,其中該配置器簽名較佳地是從該一次性隨機數和一配置器私密金鑰推導出的,或者至少部分地基於與該信任關係相關聯的一信任關係金鑰。
  8. 如請求項1述及之方法,其中該方法較佳地進一步包含以下步驟:從該網路設備接收一登記金鑰;及向該客戶端設備發送該登記金鑰,其中該登記金鑰與該客戶端公開金鑰一起用於該網路設備與該客戶端設備之間的該第一認證。
  9. 如請求項1述及之方法,進一步包含以下步驟:在建立該信任關係之後從該配置器設備向該網路設備發送配置資料。
  10. 如請求項1述及之方法,進一步包含以下步驟:從該配置器設備向該客戶端設備發送配置資料以輔助該客戶端設備與該網路設備相關聯;其中發送該配置資料之步驟較佳地包含以下步驟:在該客戶端設備可存取的一預設通道上傳送一第一訊息;其中該第一訊息較佳地包括:至少部分地基於該客戶端公開金鑰或者與該網路設備相關聯的一網路公開金鑰的身份資訊。
  11. 如請求項1述及之方法,其中該客戶端設備是一第一客戶端設備,該網路設備是一第二客戶端設備,並且該配置器設備是一存取點;或其中該網路設備是該網路的一存取點,並且其中該配置器設備與該存取點相關聯。
  12. 一種由一網路設備(120)執行的用於向一網路登記一客戶端設備(110)的方法,該方法包含以下步驟:在該網路設備處建立與一配置器設備(130)的一信任關係(225);在該客戶端設備與該網路設備之間的一登記規程之前,根據該信任關係從該配置器設備接收與該客戶端設備相關聯的一客戶端公開金鑰;及使用該客戶端公開金鑰於該登記規程,其中該登記規程包含該網路設備與該客戶端設備之間的至少一第一認證,該第一認證至少部分地基於該客戶端公開金鑰。
  13. 一種由一客戶端設備(110)執行的用於向一網路登記的方法,該方法包含以下步驟:在該客戶端設備與該網路的一網路設備(120)之間的一登記規程之前,提供與該客戶端設備相關聯的一客戶端公開金鑰給一配置器設備(130),該配置器設備具有與該網路設備(120)的一信任關係(225);從該配置器設備接收一第一一次性隨機數(nonce)和與該網路設備相關聯的一網路公開金鑰;產生一第二一次性隨機數;至少部分地基於該第一一次性隨機數、該第二一次性隨機數、該網路公開金鑰、以及與該客戶端設備相關聯的一客戶端私密金鑰來決定一共用金鑰,其中該客戶端私密金鑰對應於該客戶端公開金鑰;及使用該共用金鑰於該登記規程,其中該登記規程包含該網路設備與該客戶端設備之間的至少一第一認證,該第一認證至少部分地基於該共用金鑰。
  14. 一種配置器設備,包括:一處理器;及記憶體,該記憶體用於儲存指令,該等指令在藉由該處理器執行時,造成該配置器設備執行前述請求項1至11之任一項所述及之方法。
  15. 一種網路設備,包括:一處理器;及記憶體,該記憶體用於儲存指令,該等指令在藉由該處理器執行時,造成該網路設備執行請求項12所述及之方法。
  16. 一種客戶端設備,包括:一處理器;及記憶體,該記憶體用於儲存指令,該等指令在藉由該處理器執行時,造成該客戶端設備執行請求項13所述及之方法。
  17. 一種電腦程式產品,包含指令以用於實現前述請求項1至13之任一項所述及之方法。
TW104104380A 2014-02-10 2015-02-10 用於向網路登記客戶端設備的方法、設備、及電腦程式產品 TWI647941B (zh)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
US201461937891P 2014-02-10 2014-02-10
US61/937,891 2014-02-10
US201461996812P 2014-05-14 2014-05-14
US61/996,812 2014-05-14
US14/616,551 US20150229475A1 (en) 2014-02-10 2015-02-06 Assisted device provisioning in a network
US14/616,551 2015-02-06

Publications (2)

Publication Number Publication Date
TW201534094A TW201534094A (zh) 2015-09-01
TWI647941B true TWI647941B (zh) 2019-01-11

Family

ID=53775924

Family Applications (2)

Application Number Title Priority Date Filing Date
TW104104380A TWI647941B (zh) 2014-02-10 2015-02-10 用於向網路登記客戶端設備的方法、設備、及電腦程式產品
TW107143828A TWI716782B (zh) 2014-02-10 2015-02-10 用於向網路登記客戶端設備的方法、設備、及電腦程式產品

Family Applications After (1)

Application Number Title Priority Date Filing Date
TW107143828A TWI716782B (zh) 2014-02-10 2015-02-10 用於向網路登記客戶端設備的方法、設備、及電腦程式產品

Country Status (10)

Country Link
US (2) US20150229475A1 (zh)
EP (2) EP3105904B1 (zh)
JP (2) JP6411528B2 (zh)
KR (1) KR20160121546A (zh)
CN (1) CN105981031A (zh)
CA (1) CA2936586A1 (zh)
ES (1) ES2659639T3 (zh)
HU (1) HUE036080T2 (zh)
TW (2) TWI647941B (zh)
WO (1) WO2015120373A1 (zh)

Families Citing this family (74)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013142432A1 (en) * 2012-03-19 2013-09-26 Emmoco, Inc. Resourcelimited device interactivity with cloud-based systems
US9357385B2 (en) 2012-08-20 2016-05-31 Qualcomm Incorporated Configuration of a new enrollee device for use in a communication network
US10154025B2 (en) 2013-03-15 2018-12-11 Qualcomm Incorporated Seamless device configuration in a communication network
CN105409261A (zh) * 2013-07-23 2016-03-16 天龙马兰士集团有限公司 使用音频端口的远程系统配置
US10680816B2 (en) * 2014-03-26 2020-06-09 Continental Teves Ag & Co. Ohg Method and system for improving the data security during a communication process
KR101683251B1 (ko) * 2014-03-27 2016-12-06 한국전자통신연구원 센서 네트워크에서 센서 노드 설정 방법, 보안 설정 방법 및 이를 포함하는 센서 네트워크 시스템
US9667600B2 (en) * 2015-04-06 2017-05-30 At&T Intellectual Property I, L.P. Decentralized and distributed secure home subscriber server device
JP6576129B2 (ja) * 2015-07-06 2019-09-18 キヤノン株式会社 通信装置、通信方法およびプログラム
US9768966B2 (en) * 2015-08-07 2017-09-19 Google Inc. Peer to peer attestation
KR102062162B1 (ko) * 2015-08-24 2020-01-03 후아웨이 테크놀러지 컴퍼니 리미티드 보안 인증 방법, 구성 방법 및 관련 기기
US10659442B1 (en) * 2015-12-21 2020-05-19 Marvell International Ltd. Security in smart configuration for WLAN based IOT device
BR112018012417A2 (pt) * 2015-12-21 2018-12-18 Koninklijke Philips N.V. dispositivo de registrando, método de registrando, método de configurador, dispositivo de configurador, e produto de programa de computador
CN105471891A (zh) * 2015-12-28 2016-04-06 湖南蚁坊软件有限公司 一种基于信任设备密令的登录方法
US20190014531A1 (en) * 2016-01-11 2019-01-10 Huawei Technologies Co., Ltd. Network Access Permission Management Method and Related Device
JP6704738B2 (ja) * 2016-01-26 2020-06-03 キヤノン株式会社 通信装置、通信方法及びプログラム
US11632710B2 (en) * 2016-03-02 2023-04-18 Blackberry Limited Provisioning a device in a network
US10873842B2 (en) * 2016-04-08 2020-12-22 Blackberry Limited Managed object to provision a device according to one of plural provisioning techniques
CN107040922B (zh) * 2016-05-05 2019-11-26 腾讯科技(深圳)有限公司 无线网络连接方法、装置及系统
US10516653B2 (en) * 2016-06-29 2019-12-24 Airwatch, Llc Public key pinning for private networks
US10440122B2 (en) * 2016-07-01 2019-10-08 Intel Corporation Efficient provisioning of devices
US10645577B2 (en) * 2016-07-15 2020-05-05 Avago Technologies International Sales Pte. Limited Enhanced secure provisioning for hotspots
DE102016114136A1 (de) * 2016-07-29 2018-02-01 Deutsche Telekom Ag Verfahren zur Inbetriebnahme eines Heimnetzes mit gebäudeinterner Basisstation und gebäudeinternem Elektrogerät
US20180041507A1 (en) * 2016-08-05 2018-02-08 Hubble Connected India Private Limited System and methods for provisioning devices
JP6746427B2 (ja) * 2016-08-10 2020-08-26 キヤノン株式会社 通信装置、通信方法、及びプログラム
JP6794191B2 (ja) * 2016-09-02 2020-12-02 キヤノン株式会社 通信装置、通信方法、及びプログラム
JP6716399B2 (ja) * 2016-09-06 2020-07-01 キヤノン株式会社 通信装置、通信装置の制御方法及びプログラム
JP6702833B2 (ja) * 2016-09-15 2020-06-03 キヤノン株式会社 通信装置、通信装置の制御及びプログラム
US20180109418A1 (en) * 2016-10-19 2018-04-19 Qualcomm Incorporated Device provisioning protocol (dpp) using assisted bootstrapping
US10547448B2 (en) 2016-10-19 2020-01-28 Qualcomm Incorporated Configurator key package for device provisioning protocol (DPP)
CN108353442B (zh) 2016-10-27 2021-07-30 硅实验室公司 使用网络来委托第二网络
US10356067B2 (en) * 2016-11-02 2019-07-16 Robert Bosch Gmbh Device and method for providing user-configured trust domains
WO2018089990A1 (en) * 2016-11-14 2018-05-17 INTEGRITY Security Services, Inc. Secure provisioning and management of devices
US10382437B2 (en) 2017-03-14 2019-08-13 International Business Machines Corporation Efficient and secure connection of devices to a network without user interfaces
US20180270049A1 (en) * 2017-03-17 2018-09-20 Qualcomm Incorporated Techniques for preventing abuse of bootstrapping information in an authentication protocol
US10985915B2 (en) * 2017-04-12 2021-04-20 Blackberry Limited Encrypting data in a pre-associated state
US20180310176A1 (en) * 2017-04-24 2018-10-25 Osram Sylvania Inc. Methods and Systems For Authenticating a Device to a Wireless Network
US10171304B2 (en) * 2017-04-27 2019-01-01 Blackberry Limited Network policy configuration
US10985926B2 (en) * 2017-09-01 2021-04-20 Apple Inc. Managing embedded universal integrated circuit card (eUICC) provisioning with multiple certificate issuers (CIs)
US10972468B2 (en) * 2017-11-21 2021-04-06 Vmware, Inc. Adaptive device enrollment
US10771450B2 (en) * 2018-01-12 2020-09-08 Blackberry Limited Method and system for securely provisioning a remote device
JP7135385B2 (ja) 2018-03-30 2022-09-13 ブラザー工業株式会社 通信装置と通信装置のためのコンピュータプログラム
JP7155581B2 (ja) * 2018-03-30 2022-10-19 ブラザー工業株式会社 通信装置と通信装置のためのコンピュータプログラム
JP7302682B2 (ja) * 2018-03-30 2023-07-04 ブラザー工業株式会社 端末装置のためのコンピュータプログラム、端末装置、通信装置、及び、通信装置のためのコンピュータプログラム
JP7024559B2 (ja) * 2018-03-30 2022-02-24 ブラザー工業株式会社 端末装置のためのコンピュータプログラム、端末装置、通信装置、及び、通信装置のためのコンピュータプログラム
US10169587B1 (en) 2018-04-27 2019-01-01 John A. Nix Hosted device provisioning protocol with servers and a networked initiator
US10958425B2 (en) * 2018-05-17 2021-03-23 lOT AND M2M TECHNOLOGIES, LLC Hosted dynamic provisioning protocol with servers and a networked responder
WO2019245190A1 (ko) * 2018-06-22 2019-12-26 엘지전자 주식회사 무선랜 시스템에서 컨텐츠 전송을 위한 연결을 수립하기 위한 장치 및 방법
US10993110B2 (en) * 2018-07-13 2021-04-27 Nvidia Corp. Connectionless fast method for configuring Wi-Fi on displayless Wi-Fi IoT device
CN110798434B (zh) * 2018-08-03 2022-04-08 Emc Ip控股有限公司 计算机系统、计算装置所进行的方法和存储介质
KR20210060509A (ko) 2018-10-17 2021-05-26 주식회사 윌러스표준기술연구소 다중 액세스 포인트 네트워크에서의 온보딩 방법 및 이를 사용하는 액세스 포인트
WO2020118450A1 (en) * 2018-12-15 2020-06-18 Genetec Inc. Method and system for enrolling a camera into a video surveillance system
JP7196602B2 (ja) 2018-12-28 2022-12-27 ブラザー工業株式会社 通信装置、通信装置のためのコンピュータプログラム、及び、第1の外部装置のためのコンピュータプログラム
JP7324001B2 (ja) * 2018-12-28 2023-08-09 キヤノン株式会社 通信装置、通信装置の制御方法、およびプログラム
US11546755B2 (en) 2019-01-04 2023-01-03 Hewlett Packard Enterprise Development Lp Centralized configurator server for DPP provisioning of enrollees in a network
JP6713612B1 (ja) * 2019-01-22 2020-06-24 株式会社ビットキー 利用管理システム、管理装置、利用制御装置、利用管理方法、およびコンピュータで読み取り可能なプログラム
FR3092954A1 (fr) * 2019-02-15 2020-08-21 Orange Récupération de clé réseau, envoi de clé réseau, gestion de récupération de clé réseau, terminal, serveur de médiation et point d’accès les mettant en œuvre
EP3726798A1 (de) * 2019-04-15 2020-10-21 Siemens Aktiengesellschaft Kryptographisch geschütztes bereitstellen eines digitalen zertifikats
CN110213760B (zh) * 2019-04-29 2022-02-11 惠州Tcl移动通信有限公司 路由器、移动终端及其网路连接方法及存储介质
US11328049B2 (en) * 2019-05-29 2022-05-10 CyberArk Software Lid. Efficient and secure provisioning and updating of identity credentials
US11283790B2 (en) * 2019-06-19 2022-03-22 Ip Technology Labs, Llc Agentless identity-based network switching
US20210056053A1 (en) * 2019-08-19 2021-02-25 Cryptography Research, Inc. Application authentication and data encryption without stored pre-shared keys
JP7419728B2 (ja) * 2019-09-27 2024-01-23 ブラザー工業株式会社 通信装置と通信装置のためのコンピュータプログラム
JP7400303B2 (ja) * 2019-09-27 2023-12-19 ブラザー工業株式会社 通信装置と通信装置のためのコンピュータプログラム
JP7363304B2 (ja) * 2019-09-30 2023-10-18 ブラザー工業株式会社 通信装置と通信装置のためのコンピュータプログラム
EP3817332B1 (en) 2019-10-30 2024-04-24 Secure Thingz Limited Data provisioning device for provisioning a data processing entity
CN111064577A (zh) * 2019-12-03 2020-04-24 支付宝(杭州)信息技术有限公司 一种安全认证方法、装置及电子设备
CN111148095A (zh) * 2020-01-03 2020-05-12 华为技术有限公司 一种用于在终端和无线接入点之间建立Wi-Fi连接的方法
FR3112415B1 (fr) * 2020-07-10 2023-09-01 Carrefour Procédé et système de communication sans fil
US11233636B1 (en) * 2020-07-24 2022-01-25 Salesforce.Com, Inc. Authentication using key agreement
WO2022043124A1 (en) * 2020-08-27 2022-03-03 Koninklijke Philips N.V. Connection of guest devices to a wireless network
US11595214B2 (en) * 2020-11-10 2023-02-28 Okta, Inc. Efficient transfer of authentication credentials between client devices
TWI827906B (zh) * 2021-01-29 2024-01-01 銓安智慧科技股份有限公司 訊息傳輸系統以及應用其中之使用者裝置與資訊安全硬體模組
US20220329579A1 (en) * 2021-04-08 2022-10-13 Akamai Technologies, Inc. End-to-end verifiable multi-factor authentication service
US20220104025A1 (en) * 2021-12-09 2022-03-31 Intel Corporation Second factor authentication for iot devices

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1453700A (zh) * 2002-04-26 2003-11-05 联想(北京)有限公司 一种通过网络对防火墙设备进行安全管理的方法
WO2004100011A1 (en) * 2003-04-29 2004-11-18 Threatguard, Inc. System and method for network security scanning
US20040268148A1 (en) * 2003-06-30 2004-12-30 Nokia, Inc. Method for implementing secure corporate Communication
TW200711439A (en) * 2005-06-13 2007-03-16 Iamsecureonline Inc Proxy authentication network
US20080207203A1 (en) * 2007-02-22 2008-08-28 First Data Corporation Enrollment and registration of a device in a mobile commerce system
US20130185559A1 (en) * 2012-01-18 2013-07-18 Square, Inc. Secure communications between devices

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002344438A (ja) * 2001-05-14 2002-11-29 Nippon Telegr & Teleph Corp <Ntt> 鍵共有システム及び装置並びにプログラム
US7424615B1 (en) * 2001-07-30 2008-09-09 Apple Inc. Mutually authenticated secure key exchange (MASKE)
JP2003124919A (ja) * 2001-10-10 2003-04-25 Sharp Corp 暗号通信装置
US7120797B2 (en) * 2002-04-24 2006-10-10 Microsoft Corporation Methods for authenticating potential members invited to join a group
JP4664582B2 (ja) * 2002-08-28 2011-04-06 パナソニック株式会社 鍵配信装置、端末装置、記録媒体及び鍵配信システム
US7581096B2 (en) * 2002-08-30 2009-08-25 Xerox Corporation Method, apparatus, and program product for automatically provisioning secure network elements
CN1191696C (zh) * 2002-11-06 2005-03-02 西安西电捷通无线网络通信有限公司 一种无线局域网移动设备安全接入及数据保密通信的方法
US7607012B2 (en) * 2003-10-01 2009-10-20 Nokia Corporation Method for securing a communication
JP4357339B2 (ja) * 2004-04-07 2009-11-04 株式会社バッファロー 無線通信システム、アクセスポイントおよび無線通信方法
US8024560B1 (en) * 2004-10-12 2011-09-20 Alten Alex I Systems and methods for securing multimedia transmissions over the internet
JP2006140743A (ja) * 2004-11-11 2006-06-01 Epson Toyocom Corp 共通鍵配送方法
US8132006B2 (en) * 2005-05-03 2012-03-06 Ntt Docomo, Inc. Cryptographic authentication and/or establishment of shared cryptographic keys, including, but not limited to, password authenticated key exchange (PAKE)
JP2006345205A (ja) * 2005-06-08 2006-12-21 Toyota Industries Corp 無線lan接続管理方法、無線lan接続管理システム及び設定用無線中継装置
US7787627B2 (en) * 2005-11-30 2010-08-31 Intel Corporation Methods and apparatus for providing a key management system for wireless communication networks
JP2009016952A (ja) * 2007-06-29 2009-01-22 Toshiba Corp 電子機器および通信システム
JP4881813B2 (ja) * 2007-08-10 2012-02-22 キヤノン株式会社 通信装置、通信装置の通信方法、プログラム、記憶媒体
JP4803145B2 (ja) * 2007-09-14 2011-10-26 沖電気工業株式会社 鍵共有方法、鍵配信システム
ES2381803T3 (es) * 2007-10-04 2012-05-31 Alcatel Lucent Procedimiento para autenticar unidades móviles unidas a una femtocélula en comunicación con una red central segura, tal como un IMS
GB2454897A (en) * 2007-11-22 2009-05-27 Ericsson Telefon Ab L M Cryptographically generated IP addresses
US8505078B2 (en) * 2008-12-28 2013-08-06 Qualcomm Incorporated Apparatus and methods for providing authorized device access
US8504836B2 (en) * 2008-12-29 2013-08-06 Motorola Mobility Llc Secure and efficient domain key distribution for device registration
JP5053424B2 (ja) * 2010-07-29 2012-10-17 株式会社バッファロー 中継装置、無線通信装置、ネットワークシステム、プログラム、および、方法
US8592346B2 (en) * 2010-08-02 2013-11-26 The Texas A&M University System Textured powder wires
JP2012100206A (ja) * 2010-11-05 2012-05-24 Nec Corp 暗号通信中継システム、暗号通信中継方法および暗号通信中継用プログラム
US8644510B2 (en) * 2011-05-11 2014-02-04 Alcatel Lucent Discovery of security associations for key management relying on public keys
US10681021B2 (en) * 2011-06-01 2020-06-09 Qualcomm Incorporated Selective admission into a network sharing session
US9143402B2 (en) * 2012-02-24 2015-09-22 Qualcomm Incorporated Sensor based configuration and control of network devices
JP5885538B2 (ja) * 2012-02-29 2016-03-15 株式会社東芝 Icカード発行装置、icカード発行システム、及びicカード
US10078524B2 (en) * 2013-03-01 2018-09-18 Hewlett Packard Enterprise Development Lp Secure configuration of a headless networking device
US9515824B2 (en) * 2013-10-21 2016-12-06 Aruba Networks, Inc. Provisioning devices for secure wireless local area networks

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1453700A (zh) * 2002-04-26 2003-11-05 联想(北京)有限公司 一种通过网络对防火墙设备进行安全管理的方法
WO2004100011A1 (en) * 2003-04-29 2004-11-18 Threatguard, Inc. System and method for network security scanning
US20040268148A1 (en) * 2003-06-30 2004-12-30 Nokia, Inc. Method for implementing secure corporate Communication
TW200711439A (en) * 2005-06-13 2007-03-16 Iamsecureonline Inc Proxy authentication network
US20080207203A1 (en) * 2007-02-22 2008-08-28 First Data Corporation Enrollment and registration of a device in a mobile commerce system
US20130185559A1 (en) * 2012-01-18 2013-07-18 Square, Inc. Secure communications between devices

Also Published As

Publication number Publication date
EP3105904A1 (en) 2016-12-21
EP3313047A1 (en) 2018-04-25
US20180248694A1 (en) 2018-08-30
US20150229475A1 (en) 2015-08-13
JP2019024201A (ja) 2019-02-14
ES2659639T3 (es) 2018-03-16
JP6411528B2 (ja) 2018-10-24
WO2015120373A1 (en) 2015-08-13
TW201921890A (zh) 2019-06-01
CA2936586A1 (en) 2015-08-13
CN105981031A (zh) 2016-09-28
TWI716782B (zh) 2021-01-21
KR20160121546A (ko) 2016-10-19
JP2017513265A (ja) 2017-05-25
HUE036080T2 (hu) 2018-06-28
EP3105904B1 (en) 2017-12-06
TW201534094A (zh) 2015-09-01

Similar Documents

Publication Publication Date Title
TWI647941B (zh) 用於向網路登記客戶端設備的方法、設備、及電腦程式產品
US11765172B2 (en) Network system for secure communication
CN104980928B (zh) 一种用于建立安全连接的方法、设备及系统
US8327143B2 (en) Techniques to provide access point authentication for wireless network
US8694782B2 (en) Wireless authentication using beacon messages
EP3334084B1 (en) Security authentication method, configuration method and related device
CN109479049B (zh) 用于密钥供应委托的系统、设备和方法
US20170359343A1 (en) System and method for secure communications with internet-of-things devices
US8572698B1 (en) Connecting a legacy wireless device to a WPS-enabled access point
US9154483B1 (en) Secure device configuration
US11399076B2 (en) Profile information sharing
KR101762013B1 (ko) Two factor 통신 채널을 활용한 사물기기의 등록 및 비밀키 설정 방법
JP2016540462A (ja) 鍵コンフィギュレーション方法、システム、および装置
WO2014180296A1 (zh) 一种设备之间建立连接的方法、配置设备和无线设备
KR20160058491A (ko) 사용자 기기의 식별자에 기반하여 서비스를 제공하는 방법 및 장치
WO2014127751A1 (zh) 无线终端配置方法及装置和无线终端
CN111866881A (zh) 无线局域网认证方法与无线局域网连接方法

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees