TWI692228B - 用於網狀網路的連線建立系統及方法 - Google Patents
用於網狀網路的連線建立系統及方法 Download PDFInfo
- Publication number
- TWI692228B TWI692228B TW107137585A TW107137585A TWI692228B TW I692228 B TWI692228 B TW I692228B TW 107137585 A TW107137585 A TW 107137585A TW 107137585 A TW107137585 A TW 107137585A TW I692228 B TWI692228 B TW I692228B
- Authority
- TW
- Taiwan
- Prior art keywords
- transceiver
- secure connection
- request signal
- message
- identification code
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/24—Negotiation of communication capabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/36—Nc in input of data, input key till input tape
- G05B2219/36542—Cryptography, encrypt, access, authorize with key, code, password
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本發明公開一種用於網狀網路的連線建立系統及方法,網狀網路包括第一收發器及第二收發器,方法包括以第二收發器與第一收發器進行安全連線程序,包括以第二收發器傳送包括識別碼的安全連線請求訊號至第一收發器,以第一收發器將與識別碼對應的公鑰將認證訊息進行加密,以產生安全連線回應訊號並傳送給第二收發器,接著以第二收發器由私鑰對安全連線回應訊號進行解密,以產生解密訊息並傳送關聯請求訊號給第一收發器。以第一收發器接收關聯請求訊號,並判斷解密訊息是否符合認證訊息,若是,則允許第一收發器與第二收發器建立安全連線。
Description
本發明涉及一種連線建立系統及方法,特別是涉及一種用於網狀網路的連線建立系統及方法。
無線網路(WiFi)已經成為無所不在的網路應用技術,人們普遍利用路由器互通或上網。為了網路使用無死角,會把路由器與路由器互相自動連接,協調運作以擴大覆蓋範圍,稱為自我組織網路(Self-Organizing Network,SON),則作為用戶端的路由器就會根據所處環境找尋適合的路由器連接。
一般無線網路相連,只要知道密碼,就可以使任意廠牌路由器互連互通。然而,在需要高度安全性的環境下,這樣的安全機制仍有極高的風險,且在不同廠牌之間會有硬體上不相容的問題。
故,如何通過安全機制的改良,來提升網狀網路的安全性,來克服上述的缺陷,已成為該項事業所欲解決的重要課題之一。
本發明所要解決的技術問題在於,針對現有技術的不足提供一種用於網狀網路的連線建立系統及方法,利用現有建立網路連線的傳送程
序,搭配非對稱加密(asymmetric cryptography)機制,以鎖定特定存取點裝置或路由器才可建立連線,以便後續獨特功能的實現。
為了解決上述的技術問題,本發明所採用的其中一技術方案是,提供一種用於網狀網路的連線建立方法,網狀網路包括第一收發器及第二收發器,方法包括:以第二收發器與第一收發器進行安全連線程序,安全連線程序包括:以第二收發器傳送安全連線請求訊號至第一收發器,安全連線請求訊號包括識別碼;以第一收發器接收安全連線請求訊號,並以識別碼對應的公鑰將認證訊息進行加密,以產生安全連線回應訊號並傳送給第二收發器;以第二收發器接收安全連線回應訊號,並以私鑰對安全連線回應訊號進行解密,以產生解密訊息,並傳送包括解密訊息的關聯請求訊號給第一收發器,其中,私鑰對應於公鑰;以第一收發器接收關聯請求訊號,並判斷解密訊息是否符合認證訊息;若是,則第一收發器產生授權響應訊息,並傳送包括授權響應訊息的關聯響應訊號至第二收發器,同時允許第一收發器與第二收發器建立安全連線;以及以第二收發器接收關聯響應訊號,並建立與第一收發器之間的安全連線。
為了解決上述的技術問題,本發明所採用的另外一技術方案是,提供一種用於網狀網路的連線建立系統,其包括第一收發器以及第二收發器。第二收發器與第一收發器進行安全連線程序,以從第二收發器傳送安全連線請求訊號至第一收發器,其中安全連線請求訊號包括識別碼,第一收發器進一步經配置以接收安全連線請求訊號,並以識別碼對應的公鑰將認證訊息進行加密,以產生安全連線回應訊號並傳送給第二收發器。在第二收發器接收到安全連線回應訊號時,經配置以私鑰對安全連線回應訊號進行解密,以產生解密訊息,並傳送包括解密訊息的關聯請求訊號給第一收發器,且私鑰對應於公鑰;其中在第一收發器接收到關聯請求訊號時,經配置以判
斷解密訊息是否符合認證訊息,若是,則第一收發器產生授權響應訊息,並傳送包括授權響應訊息的關聯響應訊號至第二收發器,同時允許第一收發器與第二收發器建立安全連線;以及其中在第二收發器接收到關聯響應訊號時,經配置以建立與第一收發器之間的安全連線。
為使能更進一步瞭解本發明的特徵及技術內容,請參閱以下有關本發明的詳細說明與圖式,然而所提供的圖式僅用於提供參考與說明,並非用來對本發明加以限制。
1:用於網狀網路的連線建立系統
10:第一收發器
12:第二收發器
100、120:處理器
102、122:加解密引擎
104、124:記憶電路
106、126:無線通訊電路
110、130:通訊電路
112、132:電源
116、136:天線
2:網狀網路
RootAP:根存取點
ExtAP1、ExtAP2:延伸存取點
UE:使用者裝置
圖1為本發明一實施例的用於網狀網路的連線建立系統的方塊圖。
圖2為本發明一實施例的網狀網路的示意圖。
圖3為本發明一實施例的用於網狀網路的連線建立系統的封包傳輸流程圖。
圖4顯示了本發明的一實施例的信標訊號的規格範例。
圖5顯示了本發明的一實施例的安全連線請求訊號的規格範例。
圖6顯示了本發明的一實施例的安全連線回應訊號的規格範例。
圖7顯示了本發明的一實施例的關聯請求訊號的規格範例。
圖8為本發明另一實施例的用於網狀網路的連線建立方法的流程圖。
以下是通過特定的具體實施例來說明本發明所公開有關“用於網狀網路的連線建立系統及方法”的實施方式,本領域技術人員可由本說明
書所公開的內容瞭解本發明的優點與效果。本發明可通過其他不同的具體實施例加以施行或應用,本說明書中的各項細節也可基於不同觀點與應用,在不悖離本發明的構思下進行各種修改與變更。另外,本發明的附圖僅為簡單示意說明,並非依實際尺寸的描繪,事先聲明。以下的實施方式將進一步詳細說明本發明的相關技術內容,但所公開的內容並非用以限制本發明的保護範圍。
應當可以理解的是,雖然本文中可能會使用到“第一”、“第二”、“第三”等術語來描述各種元件或者信號,但這些元件或者信號不應受這些術語的限制。這些術語主要是用以區分一元件與另一元件,或者一信號與另一信號。另外,本文中所使用的術語“或”,應視實際情況可能包括相關聯的列出項目中的任一個或者多個的組合。
參閱圖1所示,本發明一實施例提供一種用於網狀網路的連線建立系統1,其包括第一收發器10以及第二收發器12。第一收發器10及第二收發器12可在網狀網路中扮演伺服端與客戶端的角色,例如,以路由器來實現此架構時,在網狀網路中,路由器可允許與自己信任的路由器互相連接,所以彼此認可的路由器之間的相連需要通過可靠的認證程序。在此網路架構下,有些路由器是存取點(Access Point,AP),扮演伺服器角色,有些路由器扮演客戶端裝置的角色,與存取點相連接。
第一收發器10可包括如圖1所示的處理器100、加解密引擎102、記憶電路104、無線通訊電路106及通訊電路110,並經由電源112進行供電。類似的,第二收發器12亦可包括如圖所示的處理器120、加解密引擎122、記憶電路124、通訊電路126及通訊電路120,並經由電源132進行供電。
處理器100、120可為可程式化單元,諸如微處理器、微控制器、數位信號處理器(digital signal processor;DSP)晶片、場可程式化閘陣列
(field-programmable gate array;FPGA)等。處理器的功能亦可藉由一個或若干個電子裝置或IC實施。換言之,藉由處理器執行的功能可實施於硬體域或軟體域或硬體域與軟體域的組合內。
記憶電路104、124可包括快閃記憶體(Flash)、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可消除程式化唯讀記憶體(EPROM)、電子抹除式可複寫唯讀記憶體(EEPROM)、或其它記憶技術、其它光學儲存器、磁式卡帶、磁帶、磁碟儲存或其它磁儲存裝置,或可以用來儲存所需資訊且可由處理器100、120所存取的任何其他介質。快閃記憶體可用於儲存韌體、系統配置及密鑰,並可在系統初始化時複製到隨機存取記憶體中。隨機存取記憶體可儲存運行時的指令及資料,並可根據執行結果改變其數值。
處理器100、120用於分別控制無線通訊電路106、126及通訊電路110、130,以使這些電路協調工作,具體來說,無線通訊電路106、126可包括內建有5G/2.4G WIFI處理單元的5G/2.4G WiFi控制器,並設置有5G/2.4G天線介面,支援基於WiFi技術的通訊。而天線114和天線134用於強化收發5G/2.4G WiFi訊號的能力,具體來說,天線114、134可以經調整以具有不同頻率,以使WIFI處理單元發出的WIFI信號能覆蓋更廣的範圍並且能夠接收到更遠距離傳輸過來的WIFI信號,具體來說,天線114、134可以為5G/2.4G天線。無線通訊電路106、126負責所有無線訊號的傳輸及接收,包括資料及管理訊號組,包括信標訊號、探測請求訊號、探測回應訊號、關聯請求訊號及關聯回應訊號等。
另一方面,通訊電路110、130可包括乙太網路控制器,並通過乙太網路介面連接至網際網路,或經由3G/4G/5G的廣域網路(WAN)方式連接至網際網路,可在第一收發器10及第二收發器12作為存取點時能具備與網路連接的能力。
一般WiFi網路相連,IEEE 802.11已既有標準程序,基本上是存取點與客戶端基站的相連過程。存取點先定時傳送信標(Beacon)訊號,則客戶端裝置偵測環境中有哪些存取點可進行連線,找到適當的存取點後,就會傳送探測請求訊號,存取點則以探測回應(Probe Response)訊號進行回應,接下去才會展開一連串的WiFi連線程序,如認證(authentication)程序及關聯(association)程序,成功建立連線後始能傳送資料。
這種情況下,在現有的連線機制下,只要知道密碼,就可以任意廠牌的路由器彼此互連互通。本發明的用於網狀網路的連線建立系統所訴求的,即是利用此等傳送程序,搭配非對稱加密(asymmetric cryptography)機制如SSH、TLS,夾帶認證資料,以鎖定特定的自我組織網路(SON)的存取點才可建立連線,以便後續獨特功能的實現。
以下本發明以SSH為例進行說明。請參照圖2,其為本發明一實施例的網狀網路的示意圖。同時,網狀網路2亦為自我組織網路,換言之,其中的每個路由器,無論是作為客戶端或伺服端,均具備自我配置(Self-Configuration)、自我優化(Self-Optimization)及自我修復(Self-Healing)的能力。其中,自我配置機制在佈署網狀網路時,能依據該區域的網路規劃、網路拓樸自動地在開始運作時下載適當的初始化參數並啟動與核心網路的連線開始運作。透過自動配置參數、自動檢測減少工程師重複手動配置的過程。而自我優化機制是在此網狀網路的運轉過程中,能即時根據網路的狀況做出對應的動態設定調整,藉此讓消耗功率最小、訊號干擾最小、以及在換手時的誤判降低。自我修復機制則是當遇到自然、人為災害時導致的設備運轉錯誤,像是設備停止運轉、系統異常、參數錯誤等,由相鄰的基站即時提供援助,跨區域支援,而錯誤的基站能夠快速排除對應故障,並盡速恢復正常工作狀態。
如圖所示,在網狀網路2中,設置有一根存取點RootAP、多個延伸存取點ExtAP1、ExtAP2及多個使用者裝置UE。其中,根存取點RootAP扮演存取點角色,也是SSH認證程序裡的伺服端角色,延伸存取點ExtAP1、ExtAP2扮演客戶端角色,同時也是SSH認證程序裡的客戶端角色。
詳細而言,SSH是公認具安全性的認證協定,其以非對稱加密實現身分驗證。身分驗證以公鑰-私鑰配對來簡單地加密網路連線,隨後使用密碼認證進行登入。公鑰需要放在待存取的裝置之中,而對應的私鑰需要由客戶端自行妥善保管,不會傳輸到網路中。認證過程基於生成出來的私鑰加密資訊做比對,若符合才算成功。
而為了加速加密、解密程序的速度,分別在第一收發器10及第二收發器12中使用了加解密引擎102、122,以在作為伺服端時能進行加密程序,並在作為客戶端時能進行解密程序。在本發明的實施例中,加解密引擎102、122可以硬體、軟體或韌體的方式實現,若以軟體的方式實現,則記憶電路104、124可包括加解密引擎102、122的程式碼,並由處理器100及120來執行。
請參考圖3,其為本發明一實施例的用於網狀網路的連線建立系統的封包傳輸流程圖。此處將一併說明本發明的用於網狀網路的連線建立方法,在本實施例中,用於網狀網路的連線建立方法主要適用於一實施例的用於網狀網路的連線建立系統,並且,以前述的第一收發器10作為伺服端,以第二收發器12作為客戶端,但不限於此,在所屬領域具有通常知識者能設想的方式或各種可能性下,本實施例提供的方法亦可適用於上文中所描述的任何實施方式。
如圖3所示,本發明的用於網狀網路的連線建立方法包括下列步驟:
步驟S100:伺服端(例如,根存取點RootAP廣播信標訊號,以使連線環境中的裝置能偵測到存取點。其中,信標訊號的規格可參照圖4所示,其顯示了本發明的一實施例的信標訊號的規格範例。信標訊號上方的數字代表資訊的長度,其可包括為信標(Beacon)(Type 0x08代表此訊號類型為信標)、標籤號(Tag Number)、長度(Length)、組織性獨特識別碼(Organizationally Unique Identifier,OUI)、供應商特定類型(Vendor Specific Type)、資料(Data)等。資料可包括品牌(Brand)、型號(Model)、保護旗標(Protect Flag)訊息及保留位元(Reserved bits)。在以客戶端接收信標訊號的步驟中,更包括以客戶端依據此保護旗標訊息判斷是否進行安全連線程序。
步驟S101:客戶端(例如,延伸存取點ExtAP1)初始化安全連線建立程序,傳送安全連線請求訊號至伺服端。其中,安全連線請求訊號包括識別碼,其可為使用者識別碼、客戶端裝置品牌、客戶端裝置型號的至少其中之一,其具有唯一的獨特性。安全連線請求訊號的規格可參照圖5所示,其顯示了本發明的一實施例的安全連線請求訊號的規格範例。安全連線請求訊號上方的數字代表資訊的長度,其可包括為安全連線請求訊號(Type 0x04代表此訊號類型為安全連線請求訊號)、標籤號(Tag Number)、長度(Length)、組織性獨特識別碼(Organizationally Unique Identifier,OUI)、供應商特定類型(Vendor Specific Type)、資料(Data)等。資料可包括品牌(Brand)、型號(Model)及使用者識別碼(User ID)。
步驟S102:當伺服端接收到安全連線請求訊號,以其中的識別碼對應的公鑰將認證訊息進行加密,以產生安全連線回應訊號。此認證訊息可為隨機訊息或由序列演算法產生的序列訊息,序列演算法可包括MD5訊息摘要演算法及安全雜湊演算法(Secure Hash Algorithm,SHA)。安全連線回應訊號的規格可參照圖6所示,其顯示了本發明的一實施例的安全連線回應訊號
的規格範例。安全連線回應訊號上方的數字代表資訊的長度,其可包括為安全連線回應訊號(Type 0x05代表此訊號類型為安全連線回應訊號)、標籤號(Tag Number)、長度(Length)、組織性獨特識別碼(Organizationally Unique Identifier,OUI)、供應商特定類型(Vendor Specific Type)、資料(Data)等。資料可包括品牌(Brand)、型號(Model)及加密測試(Encrypted Challenge)訊號。加密測試訊號可包括經過公鑰加密的認證訊息。
舉例而言,本步驟中的識別碼可包括前述的使用者識別碼(User ID),且具有獨特且唯一的特性。另一方面,當使用者識別碼為流水號時,識別碼可進一步包括品牌(Brand)或型號(Model)而使識別碼具有獨特且唯一的特性。此外,伺服端可於其本地儲存有對照表,其定義了識別碼與公鑰的對應關係,且對照表亦可儲存於雲端伺服器,當伺服端接收到安全連線請求訊號時再於雲端伺服器取得加密用的公鑰。類似的,品牌(Brand)、型號(Model)、使用者識別碼(User ID)亦可儲存於本地或雲端伺服器。
步驟S103:伺服端將安全連線回應訊號傳送給客戶端。
步驟S104:當客戶端接收安全連線回應訊號,以私鑰對此安全連線回應訊號進行解密,以獲得解密訊息,並產生包括解密訊息的關聯請求訊號。此處,私鑰對應於公鑰,且可由非對稱加密機制產生。舉例而言,非對稱加密機制包括安全外殼協定(Secure Shell,SSH)及傳輸層安全性協定(Transport Layer Security,TLS)。關聯請求訊號的規格可參照圖7所示,其顯示了本發明的一實施例的關聯請求訊號的規格範例。關聯請求訊號上方的數字代表資訊的長度,其可包括為關聯請求訊號(Type 0x00代表此訊號類型為關聯請求訊號)、標籤號(Tag Number)、長度(Length)、組織性獨特識別碼(Organizationally Unique Identifier,OUI)、供應商特定類型(Vendor Specific Type)、資料(Data)等。資料可包括解密訊息。
步驟S105:客戶端傳送包括解密訊息的關聯請求訊號給伺服端。
步驟S106:伺服端接收到關聯請求訊號時,通過判斷所接收的解密訊息是否符合認證訊息,以進行認證。若解密訊息符合認證訊息,則進入步驟S107,伺服端產生授權響應訊息,並傳送包括授權響應訊息的關聯響應訊息至客戶端。
步驟S108:在客戶端接收到關聯響應訊號時,建立與伺服端的安全連線。
在本實施例中,雖然以根存取點RootAP作為伺服端,並以延伸存取點ExtAP1作為客戶端,但本發明不限於此,如圖2所示的延伸存取點ExtAP1、ExtAP2亦可作為伺服端,並與作為客戶端的其他延伸存取點進行安全連線建立程序。
通過此方式,本發明的用於網狀網路的連線建立系統及方法,可通過只允許信任的路由器才能與自我組織網路互連,來提供高度的安全性,且通過非對稱性加密方式產生的公鑰-私鑰對來輔助辨認認可的路由器,以作為後續獨特功能的實現,同時可避免在不同廠牌之間會有硬體上不相容的問題。此外,本發明還利用了現有路由器既有的認證機制,而並未引入過多的無用訊號,不會造成負荷。
請進一步參閱圖8所示,其為本發明另一實施例的用於網狀網路的連線建立方法的流程圖。本發明另一實施例提供一種用於網狀網路的連線建立方法,其至少包括下列幾個步驟:
步驟S200:客戶端將使用者識別碼、品牌及型號嵌入安全連線請求訊號。
步驟S201:以客戶端傳送安全連線請求訊號,並以一計時單元,例如計時單元128開始計時,同時產生第一計時時間,此計時單元可內建於前
述實施例的第二收發器12的處理器120中。
步驟S202:以客戶端判斷是否在第一計時時間內接收到安全連線回應訊號。
另一方面,當伺服端接收到安全連線請求訊號,進入步驟S300,伺服端以公鑰將一認證訊息加密產生加密訊息。
步驟S301:伺服端進一步將加密訊息、品牌、型號嵌入安全連線回應訊號。
步驟S302:伺服端傳送安全連線回應訊號並以一計時單元,例如計時單元128開始計時,同時產生第二計時時間。此計時單元可內建於前述實施例的第一收發器10的處理器100中。
步驟S303:伺服端判斷是否在第二計時時間內接收到關聯請求訊號。
接續步驟S202,若客戶端並未在第一計時時間內收到安全連線回應訊號,則進入步驟S203,安全連線程序結束。若客戶端在第一計時時間內收到安全連線回應訊號,則進入步驟S204,以私鑰對安全連線回應訊號進行解密,以獲得解密訊息。
步驟S205:客戶端將解密訊息嵌入關聯請求訊號。
步驟S206:客戶端傳送關聯請求訊號,並以計時單元開始計時,同時產生第三計時時間。
步驟S207:客戶端判斷是否在第三計時時間內接收到關聯響應訊號。
接續步驟S303,若伺服端並未在第二計時時間內收到關聯請求訊號,則進入步驟S304,安全連線程序結束。若伺服端在第二計時時間內收到關聯請求訊號,則進入步驟S305,將關聯請求訊號中的解密訊息與認證訊
息進行比對。
步驟S306:伺服端進一步判斷解密訊息是否與認證訊息符合。若否,則進入步驟S307,安全連線程序結束。若是,則進入步驟S308,以伺服端傳送關聯響應訊號。
接續步驟S207,若客戶端並未在第三計時時間內收到關聯響應訊號,則進入步驟S208,安全連線程序結束。若客戶端在第二計時時間內收到關聯響應訊號,則進入步驟S309,客戶端與伺服端建立安全連線。
綜上所述,在本發明的用於網狀網路的連線建立系統及方法中,可通過只允許信任的路由器才能與自我組織網路互連,來提供高度的安全性,且通過非對稱性加密方式產生的公鑰-私鑰對來輔助辨認認可的路由器,以作為後續獨特功能的實現,同時可避免在不同廠牌之間會有硬體上不相容的問題。此外,本發明還利用了現有路由器既有的認證機制,而並未引入過多的無用訊號,不會造成負荷。
以上所公開的內容僅為本發明的優選可行實施例,並非因此侷限本發明的申請專利範圍,所以凡是運用本發明說明書及圖式內容所做的等效技術變化,均包含於本發明的申請專利範圍內。
1:用於網狀網路的連線建立系統
10:第一收發器
12:第二收發器
100、120:處理器
102、122:加解密引擎
104、124:記憶電路
106、126:無線通訊電路
110、130:通訊電路
112、132:電源
116、136:天線
Claims (14)
- 一種用於網狀網路(Mesh Network)的連線建立方法,該網狀網路為一自我組織網路且包括一第一收發器及一第二收發器,該方法包括:以該第一收發器儲存一對照表,其定義了多個識別碼與多個公鑰的對應關係,且該些識別碼各包括使用者識別碼及品牌;以該第二收發器與該第一收發器進行一安全連線程序,該安全連線程序包括:以該第二收發器傳送一安全連線請求訊號至該第一收發器,該安全連線請求訊號包括一識別碼,且該識別碼包括該第二收發器的品牌及使用者識別碼;以該第一收發器接收該安全連線請求訊號,以依據該第二收發器的使用者識別碼及品牌,於該對照表中取得對應的一公鑰,並以對應於該第二收發器的使用者識別碼及品牌的該公鑰將一認證訊息進行加密,以產生一安全連線回應訊號並傳送給該第二收發器;以該第二收發器接收該安全連線回應訊號,並以一私鑰對該安全連線回應訊號進行解密,以產生一解密訊息,並傳送包括該解密訊息的一關聯請求訊號給該第一收發器,其中,該私鑰對應於該公鑰;以該第一收發器接收該關聯請求訊號,並判斷該解密訊息是否符合該認證訊息;若是,則該第一收發器產生一授權響應訊息,並傳送包括該授權響應訊息的一關聯響應訊號至該第二收發器,同時允許該第一收發器與該第二收發器建立一安全連線;以及以該第二收發器接收該關聯響應訊號,並建立與該第一收發器之間的該安全連線。
- 如申請專利範圍第1項所述的用於網狀網路的連線建立方法,其中該認證訊息係為一隨機訊息或由一序列演算法產生的一序列訊息,該序列演算法包括MD5訊息摘要演算法及安全雜湊演算法(Secure Hash Algorithm,SHA)。
- 如申請專利範圍第1項所述的用於網狀網路的連線建立方法,更包括:以該第一收發器儲存該對照表,其定義的該些識別碼各包括型號;以該第二收發器傳送該安全連線請求訊號至該第一收發器,且該安全連線請求訊號包括的該識別碼更包括該第二收發器的型號;以該第一收發器接收該安全連線請求訊號,以依據該第二收發器的型號,於該對照表中取得對應的該公鑰,並以對應於該第二收發器的型號的該公鑰將該認證訊息進行加密,以產生該安全連線回應訊號;以一第一收發器廣播一信標訊號,該信標訊號包括信標、標籤號、長度、組織性獨特識別碼、供應商特定類型及資料,且該資料包括品牌、型號、保留位元及一保護旗標訊息,且在以該第二收發器接收該信標訊號的步驟中,更包括以該第二收發器依據該保護旗標訊息判斷是否進行該安全連線程序,其中該第二收發器更依據該保護旗標訊息判斷是否將該識別碼包括於該安全連線請求訊號進行發送,其中該安全連線請求訊號包括標籤號、長度、組織性獨特識別碼、供應商特定類型及資料,且該資料包括品牌、型號及使用者識別碼。
- 如申請專利範圍第1項所述的用於網狀網路的連線建立方法,更包括: 在該第二收發器傳送該安全連線請求訊號後,以該第二收發器的一計時單元開始計時,若判斷在一第一計時時間內未接收到該安全連線回應訊號,則結束該安全連線程序。
- 如申請專利範圍第1項所述的用於網狀網路的連線建立方法,更包括:在該第一收發器傳送該安全連線回應訊號後,以該第一收發器的一計時單元開始計時,若判斷在一第二計時時間內未接收到該關聯請求訊號,則結束該安全連線程序。
- 如申請專利範圍第5項所述的用於網狀網路的連線建立方法,更包括:在該第二收發器傳送該關聯請求訊號後,以該第一收發器的該計時單元開始計時,若在一第三計時時間內未接收到該關聯響應訊號,則結束該安全連線程序。
- 如申請專利範圍第1項所述的用於網狀網路的連線建立方法,其中該第一收發器係為一自我組織網路(Self-Organization Network)中的根存取點(Root Access Point)裝置或延伸存取點(Extender AP)裝置,且該第二收發器係為該自我組織網路中的延伸存取點(Extender AP)裝置或一使用者裝置。
- 一種用於網狀網路的連線建立系統,該網狀網路為一自我組織網路,且該連線建立系統包括:一第一收發器,儲存有一對照表,其定義了多個識別碼與多個公鑰的對應關係,且該些識別碼各包括使用者識別碼及品牌;以及一第二收發器,其中該第二收發器與該第一收發器進行一安全連線程序,以從該第二收發器傳送一安全連線請求訊號至該第一收發器,其中該安全連線請求訊號包括一識別碼,且該識別碼包括該第二收發器的品牌及使用者識別碼, 其中該第一收發器進一步經配置以接收該安全連線請求訊號,以依據該第二收發器的使用者識別碼及品牌,於該對照表中取得對應的公鑰,並以對應於該第二收發器的使用者識別碼及品牌的該公鑰將一認證訊息進行加密,以產生一安全連線回應訊號並傳送給該第二收發器;其中在該第二收發器接收到該安全連線回應訊號時,經配置以一私鑰對該安全連線回應訊號進行解密,以產生一解密訊息,並傳送包括該解密訊息的一關聯請求訊號給該第一收發器,且該私鑰對應於該公鑰;其中在該第一收發器接收到該關聯請求訊號時,經配置以判斷該解密訊息是否符合該認證訊息,若是,則該第一收發器產生一授權響應訊息,並傳送包括該授權響應訊息的一關聯響應訊號至該第二收發器,同時允許該第一收發器與該第二收發器建立一安全連線;以及其中在該第二收發器接收到該關聯響應訊號時,經配置以建立與該第一收發器之間的該安全連線。
- 如申請專利範圍第8項所述的用於網狀網路的連線建立系統,其中該認證訊息係為一隨機訊息或由一序列演算法產生的一序列訊息,該序列演算法包括MD5訊息摘要演算法及安全雜湊演算法(Secure Hash Algorithm,SHA)。
- 如申請專利範圍第8項所述的用於網狀網路的連線建立系統,其中該對照表定義的該些識別碼各包括型號,該安全連線請求訊號包括的該識別碼更包括該第二收發器的型號,該第一收發器進一步經配置以接收該安全連線請求訊號,以依據該第二收發器的型號,於該對照表中取得對應的公鑰,並以對應於該第二收發器的型號的該公鑰將該認證訊息進行加密,以產生該安全連線回應訊號; 其中該第一收發器廣播一信標訊號,該信標訊號包括信標、標籤號、長度、組織性獨特識別碼、供應商特定類型及資料,且該資料包括品牌、型號、保留位元及一保護旗標訊息,且該第二收發器更依據該保護旗標訊息判斷是否進行該安全連線程序,其中該第二收發器更依據該保護旗標訊息判斷是否將該識別碼包括於該安全連線請求訊號進行發送,其中該安全連線請求訊號包括標籤號、長度、組織性獨特識別碼、供應商特定類型及資料,且該資料包括品牌、型號及使用者識別碼。
- 如申請專利範圍第8項所述的用於網狀網路的連線建立系統,其中該第二收發器包括一計時單元,用於在該第二收發器傳送該安全連線請求訊號後開始計時,且若判斷在一第一計時時間內未接收到該關聯請求訊號,則結束該安全連線程序。
- 如申請專利範圍第8項所述的用於網狀網路的連線建立系統,其中該第一收發器包括另一計時單元,用於在該第一收發器傳送該安全連線回應訊號後開始計時,且若判斷在該第二計時時間內未接收到該關聯請求訊號,則結束該安全連線程序。
- 如申請專利範圍第12項所述的用於網狀網路的連線建立系統,其中該第一收發器的該計時單元經配置以在該第二收發器傳送該關聯請求訊號後開始計時,且若判斷在一第三計時時間內未接收到該關聯響應訊號,則結束該安全連線程序。
- 如申請專利範圍第8項所述的用於網狀網路的連線建立系統,其中該第一收發器係為一自我組織網路(SON)中的根存取點(Root Access Point)裝置或延伸存取點(Extender AP)裝置,且該第二收發器係為該自我組織網路中的延伸存取點(Extender AP)裝置或一使用者裝置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW107137585A TWI692228B (zh) | 2018-10-24 | 2018-10-24 | 用於網狀網路的連線建立系統及方法 |
US16/217,281 US11265720B2 (en) | 2018-10-24 | 2018-12-12 | Connection establishing system and method for mesh network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW107137585A TWI692228B (zh) | 2018-10-24 | 2018-10-24 | 用於網狀網路的連線建立系統及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TWI692228B true TWI692228B (zh) | 2020-04-21 |
TW202017345A TW202017345A (zh) | 2020-05-01 |
Family
ID=70325972
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW107137585A TWI692228B (zh) | 2018-10-24 | 2018-10-24 | 用於網狀網路的連線建立系統及方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US11265720B2 (zh) |
TW (1) | TWI692228B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102233218B1 (ko) * | 2016-01-19 | 2021-03-29 | 삼성전자주식회사 | 무선 통신 시스템에서 모바일 기기가 통신 가능한 적어도 하나의 기기를 제어하는 방법 및 모바일 기기 |
SE545043C2 (en) * | 2020-12-21 | 2023-03-07 | Icomera Ab | Multi-router wireless communication system with client balancing |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101431408A (zh) * | 2007-11-09 | 2009-05-13 | 北京华旗资讯数码科技有限公司 | 可实现通信终端与无线局域网连接的加密装置 |
TWI331464B (zh) * | 2007-05-09 | 2010-10-01 | ||
CN102378174A (zh) * | 2010-08-25 | 2012-03-14 | 大唐移动通信设备有限公司 | 一种sim卡的用户终端的接入方法、装置及系统 |
US20140215594A1 (en) * | 2011-05-04 | 2014-07-31 | Marvell World Trade Ltd. | Wireless authentication using beacon messages |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7987499B2 (en) * | 2004-08-18 | 2011-07-26 | Broadcom Corporation | Method and system for exchanging setup configuration protocol information in beacon frames in a WLAN |
US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
US8656462B2 (en) * | 2008-07-24 | 2014-02-18 | Zscaler, Inc. | HTTP authentication and authorization management |
US9241044B2 (en) * | 2013-08-28 | 2016-01-19 | Hola Networks, Ltd. | System and method for improving internet communication by using intermediate nodes |
CN104751337B (zh) * | 2013-12-31 | 2017-04-12 | 腾讯科技(深圳)有限公司 | 产品防伪方法、装置和系统 |
US10713686B2 (en) * | 2014-03-22 | 2020-07-14 | Retailmenot, Inc. | Peer-to-peer geotargeting content with ad-hoc mesh networks |
US10015766B2 (en) * | 2015-07-14 | 2018-07-03 | Afero, Inc. | Apparatus and method for securely tracking event attendees using IOT devices |
US10178530B2 (en) * | 2015-12-14 | 2019-01-08 | Afero, Inc. | System and method for performing asset and crowd tracking in an IoT system |
US10979899B2 (en) * | 2016-08-05 | 2021-04-13 | Tendyron Corporation | Data communication method and system |
US10298398B2 (en) * | 2016-12-28 | 2019-05-21 | Google Llc | Peer discovery, connection, and data transfer |
KR20190016294A (ko) * | 2017-08-08 | 2019-02-18 | 삼성전자주식회사 | 운전과 관련된 정보를 처리하기 위한 전자 장치 및 방법 |
-
2018
- 2018-10-24 TW TW107137585A patent/TWI692228B/zh active
- 2018-12-12 US US16/217,281 patent/US11265720B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI331464B (zh) * | 2007-05-09 | 2010-10-01 | ||
CN101431408A (zh) * | 2007-11-09 | 2009-05-13 | 北京华旗资讯数码科技有限公司 | 可实现通信终端与无线局域网连接的加密装置 |
CN102378174A (zh) * | 2010-08-25 | 2012-03-14 | 大唐移动通信设备有限公司 | 一种sim卡的用户终端的接入方法、装置及系统 |
US20140215594A1 (en) * | 2011-05-04 | 2014-07-31 | Marvell World Trade Ltd. | Wireless authentication using beacon messages |
Also Published As
Publication number | Publication date |
---|---|
US20200137562A1 (en) | 2020-04-30 |
TW202017345A (zh) | 2020-05-01 |
US11265720B2 (en) | 2022-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11229023B2 (en) | Secure communication in network access points | |
US20180248694A1 (en) | Assisted device provisioning in a network | |
WO2019153701A1 (zh) | 一种获得设备标识的方法及装置 | |
US7966646B2 (en) | Stateless cryptographic protocol-based hardware acceleration | |
TW202005424A (zh) | 藍牙網狀網路及其配網鑑權方法、設備和儲存媒體 | |
US20160360407A1 (en) | Distributed configurator entity | |
CN101288063B (zh) | 无线设备发现和配置 | |
TW202032382A (zh) | 網路配置方法、裝置、設備和系統 | |
US20180309580A1 (en) | Electronic device for authentication system | |
US20170238183A1 (en) | Mac address-bound wlan password | |
US20170238236A1 (en) | Mac address-bound wlan password | |
JP6534684B2 (ja) | データ伝送 | |
CN112671763B (zh) | 组网环境下的数据同步方法、装置、计算机设备及存储介质 | |
EP3794852B1 (en) | Secure methods and systems for identifying bluetooth connected devices with installed application | |
EP3511853A1 (en) | Security authentication method, integrated circuit and system | |
TWI692228B (zh) | 用於網狀網路的連線建立系統及方法 | |
US20230236820A1 (en) | Method for receiving firmware and method for transmitting firmware | |
TWI536783B (zh) | 網路系統及其內的通訊裝置 | |
US9113408B2 (en) | Method and system for improved communication network setup utilizing extended terminals | |
JP6804026B2 (ja) | 暗号化通信システム | |
WO2020176021A1 (en) | Automatic distribution of dynamic host configuration protocol (dhcp) keys via link layer discovery protocol (lldp) | |
US11240661B2 (en) | Secure simultaneous authentication of equals anti-clogging mechanism | |
US11470470B2 (en) | Anonymization of basic service set identifiers for wireless access points | |
CN104581715A (zh) | 物联网领域的传感系统密钥保护方法及无线接入设备 | |
WO2018076299A1 (zh) | 数据传输方法及装置 |