认证凭证的安全配置的制作方法

本专利申请要求于2014年8月18日提交的，并且已转让给本专利申请的受让人的题为“Secure Provisioning of an Authentication Credential”的Benoit等人的美国专利申请No.14/462,272的优先权。

技术领域

概括地说，本公开内容涉及无线通信系统，更具体地说，本公开内容涉及与接入点的安全无线通信。

背景技术：

广泛部署无线通信系统以提供诸如语音、视频、分组数据、消息传送、广播等之类的各种类型的通信内容。这些系统可以是能够通过共享可用系统资源(例如，时间、频率和功率)来支持与多个用户通信的多址系统。这样的多址系统的示例包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统和正交频分多址(OFDMA)系统。

通常，无线多址通信系统可以包括多个基站，每个基站同时支持多个移动设备的通信。基站可以在下游和上游链路上与移动设备通信。

Wi-Fi保护接入II(WPA2)企业协议为Wi-Fi网络提供高级别的安全性，但是将客户端设备配置为连接到具有WPA2企业连接的接入点是一个复杂的过程。根据网络认证服务器支持的可扩展认证协议(EAP)方法，将不同类型的凭证配置在客户端设备中。这种配置(provisioning)通常由网络管理员手动执行，这是一个耗时的过程。另外，网络管理员可以使用网络的上层来进行配置。然而，从网络的上层配置的凭证可能遭受软件攻击。

技术实现要素：

概括地说，所描述的特征涉及用于安全地配置客户端设备的改进的系统、方法和/或装置。客户端设备的第一客户端信息可以经由可信设备发送到认证服务器。第二客户端信息可以经由接入点发送到认证服务器。客户端信息可以包括客户端公钥或从客户端公钥导出的令牌。认证服务器可以确定在第一客户端信息和第二客户端信息之间是否存在链路。一旦确定了链路，认证服务器就可以使用客户端公钥或共享秘密密钥来对认证凭证进行加密。共享秘密密钥可以部分基于客户端公钥来导出。加密的认证凭证可以经由接入点发送到客户端设备。然后，客户端设备可以使用与客户端公钥相对应的客户端私钥或使用共享秘密密钥来对加密的认证凭证进行解密。然后，客户端设备可以使用认证凭证来执行认证过程，以便使用安全无线连接来连接到接入点。

在第一组说明性示例中，描述了一种用于安全地配置客户端设备的方法。在一个示例中，所述方法可以包括：通过安全接口向可信设备输出第一客户端信息以便发送到认证服务器；向所述认证服务器发送与所述第一客户端信息相关的第二客户端信息，所述第二客户端信息由所述认证服务器链接到所述第一客户端信息；从所述认证服务器接收加密的认证凭证，所述加密的认证凭证是至少部分基于所述第一客户端信息或所述第二客户端信息来加密的；以及对所述加密的认证凭证进行解密。

在所述方法的一些示例中，所述第一客户端信息包括客户端公钥，并且所述第二客户端信息可以包括客户端标识，所述客户端标识是从所述客户端公钥导出的。在所述方法的一些示例中，所述加密的认证凭证是至少部分基于在所述第一客户端信息中发送的所述客户端公钥来加密的，并且所述加密的认证凭证是至少部分基于与所述客户端公钥相对应的客户端私钥来解密的。在所述方法的一些示例中，所述第一客户端信息可以包括客户端认证令牌，并且所述第二客户端信息可以包括客户端公钥，所述客户端认证令牌是从所述客户端公钥导出的。在所述方法的一些示例中，所述加密的认证凭证是至少部分基于在所述第二客户端信息中发送的所述客户端公钥来加密的，并且所述加密的认证凭证是至少部分基于与所述客户端公钥相对应的客户端私钥来解密的。

在一些示例中，所述方法可以包括：与所述认证服务器交换共享秘密密钥，其中，所述加密的认证凭证是至少部分基于所述共享秘密密钥来解密的。在一些示例中，所述方法可以包括：通过使用解密的认证凭证完成认证过程来连接到与所述认证服务器相关联的接入点。在所述方法的一些示例中，所述认证过程可以包括电气和电子工程师协会(IEEE)802.1X可扩展认证协议，并且连接到所述接入点可以包括Wi-Fi保护接入II(WPA2)企业连接。在所述方法的一些示例中，所述安全接口包括：手动输入所述第一客户端信息、扫描所述第一客户端信息的快速响应(QR)码、通过带外无线信道(例如，NFC、蓝牙)发送所述第一客户端信息，或者它们的组合。在一些示例中，所述方法可以包括：从所述可信设备接收服务器认证令牌，所述服务器认证令牌是由所述认证服务器从所述认证凭证导出的；以及验证所接收的服务器认证令牌与从所述解密的认证凭证导出的令牌相匹配。

在第二组说明性示例中，描述了一种用于安全地配置客户端设备的装置。在一个示例中，所述装置可以包括：处理器；与所述处理器进行电子通信的存储器；以及存储在所述存储器中的指令。所述指令可由所述处理器执行以通过安全接口向可信设备输出第一客户端信息以便发送到认证服务器；向所述认证服务器发送与所述第一客户端信息相关的第二客户端信息，所述第二客户端信息由所述认证服务器链接到所述第一客户端信息；从所述认证服务器接收加密的认证凭证，所述加密的认证凭证是至少部分基于所述第一客户端信息或所述第二客户端信息来加密的；以及对所述加密的认证凭证进行解密。在一些示例中，所述指令还可由所述处理器执行以实现上文针对第一组说明性示例描述的用于安全地配置客户端设备的方法的一个或多个方面。

在第三组说明性示例中，描述了另一种用于安全地配置客户端设备的装置。在一个示例中，所述装置可以包括：安全接口输出，其用于通过安全接口向可信设备输出第一客户端信息以便发送到认证服务器；发射机，其用于向所述认证服务器发送与所述第一客户端信息相关的第二客户端信息，所述第二客户端信息由所述认证服务器链接到所述第一客户端信息；接收机，其用于从所述认证服务器接收加密的认证凭证，所述加密的认证凭证是至少部分基于所述第一客户端信息或所述第二客户端信息来加密的；以及认证器，其用于对加密的认证凭证进行解密。在一些示例中，所述装置还可以实现上文针对第一组说明性示例描述的用于安全地配置客户端设备的方法的一个或多个方面。

在第四组说明性示例中，描述了一种存储用于无线通信的计算机可执行代码的非临时性计算机可读介质。所述代码可由处理器执行以通过安全接口向可信设备输出第一客户端信息以便发送到认证服务器；向所述认证服务器发送与所述第一客户端信息相关的第二客户端信息，所述第二客户端信息由所述认证服务器链接到所述第一客户端信息；从所述认证服务器接收加密的认证凭证，所述加密的认证凭证是至少部分基于所述第一客户端信息或所述第二客户端信息来加密的；以及对所述加密的认证凭证进行解密。在一些示例中，所述代码还可由所述处理器执行以实现上文针对第一组说明性示例描述的用于安全地配置客户端设备的方法的一个或多个方面。

根据下文的具体实施方式、权利要求书和附图，所描述的方法和装置的适用性的进一步范围将变得显而易见。由于在本说明书范围内的各种变化和修改对本领域的技术人员来说将变得显而易见，因此具体实施方式和具体示例仅通过说明的方式给出。

附图说明

对本公开内容的本质和优点的进一步理解可以通过参考下面的附图来实现。在附图中，类似的组件或特征可以具有相同的参考标号。另外，相同类型的各个组件可以通过在参考标号后面跟随用于在相似的组件之间进行区分的短划线和第二标号来区分。如果本说明书中只使用第一参考标号，那么描述适用于具有相同的第一参考标号的类似组件中的任何一个，而不考虑第二附图标记。

图1示出了无线通信系统的框图；

图2A、图2B和图2C根据各个实施例示出了说明客户端设备的框图；

图3A、图3B和图3C根据各个实施例示出了说明可信设备的框图；

图4A、图4B和图4C根据各个实施例示出了说明接入点的框图；

图5根据各个实施例示出了说明认证服务器的框图；

图6示出了说明客户端设备、可信设备、接入点和认证服务器之间的通信的示例的消息流图；

图7示出了说明客户端设备、可信设备、接入点和认证服务器之间的通信的另一个示例的消息流图；

图8示出了说明客户端设备、可信设备、接入点和认证服务器之间的通信的另一个示例的消息流图；

图9示出了说明由客户端设备执行的用于安全地连接到接入点的方法的实施例的流程图；

图10示出了说明由可信设备执行的用于安全地对客户端设备进行认证的方法的实施例的流程图；

图11示出了说明由接入点执行的用于安全地连接到客户端设备的方法的实施例的流程图；

图12示出了说明由认证服务器执行的用于对客户端设备进行认证的方法的实施例的流程图；

图13示出了说明由客户端设备执行的用于安全地连接到接入点的方法的替代实施例的流程图；

图14示出了说明由可信设备执行的用于安全地对客户端设备进行认证的方法的替代实施例的流程图；

图15示出了说明由认证服务器执行的用于对客户端设备进行认证的方法的替代实施例的流程图；

图16示出了说明由客户端设备执行的用于安全地连接到接入点的方法的替代实施例的流程图；

图17示出了说明由可信设备执行的用于安全地对客户端设备进行认证的方法的替代实施例的流程图；以及

图18示出了说明用于利用认证凭证对客户端设备进行安全地配置的方法的实施例的流程图。

具体实施方式

描述了允许利用必要凭证来安全地配置客户端设备以用于与接入点的安全无线连接的实施例。在客户端设备上使用来自客户端设备的用户或接入点的管理员的最少手动输入来配置必要的凭证。

无线网络越来越多地与较小的本地网络一起用于互联网接入和其它服务。Wi-Fi是这样的本地网络的一个示例。Wi-Fi是允许电子设备通过计算机网络(包括高速互联网连接)无线地(使用无线电波)交换数据的流行技术。Wi-Fi联盟将Wi-Fi定义为“基于电气和电子工程师协会(IEEE)802.11标准的任何无线局域网(WLAN)产品”。

基于IEEE 802.11标准的Wi-Fi技术由Wi-Fi联盟实施。这包括无线局域网(WLAN)连接、设备到设备连接(如Wi-Fi对等连接、也称为Wi-Fi直连)、个域网(PAN)、局域网(LAN)以及甚至某些有限的广域网(WAN)连接由Wi-Fi联盟和IEEE 802.11的版本覆盖。

为了连接到Wi-Fi LAN，计算机或其它设备配备有无线网络接口控制器。无线网络接口控制器和计算机或其它设备的组合可以被称为站。站共享单个射频通信信道。该信道上的传输由范围内的站接收。硬件不向用户发信号通知传输已被传送，因此，传送机制被称为“尽力而为”的传送机制。载波以分组发送数据，分组可以被称为“以太网帧”。站不断地调谐到射频通信信道以便接收可用传输。

当在无线网络的范围内时，启用了Wi-Fi的设备可以连接到互联网或其它资源。Wi-Fi可以在私人家庭、咖啡店和其它商业场所、医院和组织(如机场、酒店和其它)中提供服务。

Wi-Fi提供了LAN的更便宜的网络部署的优点，并且通常用于电缆不能运行的地方(如户外区域和历史建筑物)。最近的消费者设备包括无线网络适配器，从而有助于促进该技术的使用。

下文的描述提供了示例，并且不限定权利要求中所述的范围、适用范围或配置。可以在不脱离本公开内容的范围的情况下，改变所讨论的功能以及元素的布置。各个实施例可以酌情省略、替换、或者增加各种过程或组件。例如，可以按照与所描述顺序不同的顺序来执行所描述的方法，并且可以增加、省略、或组合各个步骤。此外，可以将针对某些实施例所描述的特征组合到其它的实施例中。

图1根据本公开内容的各个方面示出了无线通信系统100的框图。无线通信系统100包括接入点105、多个客户端设备115、可信设备125和认证服务器140。接入点105可以通过无线连接130与客户端设备115通信。接入点105可以通过网络连接132与认证服务器140通信。网络连接132可以是有线或无线通信链路。

可信设备125可以是例如用户的计算机或连接到认证服务器140的其它管理设备。可信设备125可由认证服务器140授权以参与客户设备115的认证。可信设备125可以包括安全接口135。安全接口135可以安全地从客户端设备115输入数据，并且将数据安全地输出到客户端设备115。可信设备125可以通过网络连接132直接或间接与认证服务器140通信。网络连接132可以是有线或无线连接，并且网络连接132上的通信可以通过路由器和/或接入点(如接入点105)来路由。

客户端设备115可以经由安全接口135向可信设备125输出第一客户端信息。第一客户端信息可以包括客户端公钥、客户端用户名和/或从客户端公钥导出的客户端认证令牌。可信设备125然后可以通过网络连接132向认证服务器140发送第一客户端信息。客户端设备115可以通过无线连接130向接入点105发送第二客户端信息，并且接入点105可以通过网络连接132向认证服务器140发送第二客户端信息。第二客户端信息可以包括客户端公钥、客户端用户名和/或从客户端公钥导出的客户端标识(ID)。认证服务器140然后可以将第一客户端信息链接到第二客户端信息，以确定客户端设备115是授权设备。认证服务器140可以使用在第一客户端信息或第二客户端信息中接收的客户端公钥来对认证凭证进行加密。或者，客户端设备115和认证服务器140可以使用例如Diffie-Hellman密钥交换来交换共享秘密密钥。可以部分基于客户端公钥来建立共享秘密密钥。加密的认证凭证可以经由接入点105发送到客户端设备115，并且客户端设备115可以使用与客户端公钥相对应的客户端私钥来对加密的认证凭证进行解密。或者，客户端设备115可以使用与认证服务器140交换的共享秘密密钥来对加密的认证凭证进行解密。客户端设备115然后可以使用解密的认证凭证来执行与接入点105和认证服务器140的认证过程。在完成认证过程之后，客户端设备115可以使用安全无线连接来连接到接入点105。

无线通信系统100可以支持在多个载波(不同频率的波形信号)上的操作。多载波发射机可以在多个载波上同时发送经调制的信号。例如，每个无线连接130可以是根据各种无线电技术调制的多载波信号。每个经调制的信号可以在不同的载波上发送，并可以携带控制信息(例如，参考信号、控制信道等)、开销信息、数据等。

接入点105可以经由至少一个接入点天线与客户端设备115进行无线通信。在一些实施例中，接入点105可以被称为基站、基站收发机(BTS)、无线基站、无线收发机、基本服务集(BSS)、扩展服务集(ESS)、节点B、演进型节点B(eNB)、家庭节点B、家庭eNodeB、WLAN接入点、Wi-Fi节点或某种其它合适的术语。接入点105还可以使用不同的无线技术(如蜂窝和/或WLAN无线接入技术)。接入点105可以与相同或不同的接入网络或运营商部署相关联。

客户端设备115可以散布在整个无线通信系统100中，并且每个客户端设备115可以是固定的或移动的。客户端设备115也可以被本领域技术人员称为移动设备、移动站、订户站、移动单元、订户单元、无线单元、远程单元、无线设备、无线通信设备、远程设备、移动订户站、接入终端、移动终端、无线终端、远程终端、手持设备、用户代理、移动客户端、客户端或某种其它合适的术语。客户端设备115可以是蜂窝电话、个人数字助理(PDA)、无线调制解调器、无线通信设备、手持设备、平板计算机、膝上型计算机、无绳电话、诸如手表或眼镜的可穿戴物品、无线本地环路(WLL)站等。客户端设备115可以能够与宏eNB、微微eNB、毫微微eNB、中继器等通信。客户端设备115还可以能够在不同接入网络(诸如蜂窝或其它WWAN接入网络或WLAN接入网络)上通信。

无线通信系统100中示出的无线连接130可以包括：用于承载上行链路(UL)传输(例如，从客户端设备115到接入点105)的上行链路和/或用于承载下行链路(DL)传输(例如，从接入点105到客户端设备115)的下行链路。UL传输还可以被称为反向链路传输，而DL传输还可以被称为前向链路传输。.

现在参照图2A，框图200-a根据各个实施例示出客户端设备115-a。客户端设备115-a可以是参考图1描述的客户端设备115的至少一个方面的示例。客户端设备115-a可以包括客户端设备输入205、客户端设备认证器210和客户端设备输出215。这些组件中的每一个组件可以互相通信。

可以用适用于执行硬件中的一些或所有可应用功能的专用集成电路(ASIC)来单独地或集体地实现客户端设备115-a的这些组件。或者，这些功能可以由集成电路上的其它处理单元(或者核)来执行。在其它实施例中，可以使用其它类型的集成电路(例如，结构化/平台ASIC、现场可编程门阵列(FPGA)、和其它半定制IC)，其中可以通过本领域中已知的任何方式来对这些集成电路进行编程。还可以使用存储器中存储的指令来整体或部分地实现每个单元的功能，其中所述指令被格式化为由通用或专用处理器来执行。

客户端设备输出215可以从客户端设备115-a向其它设备(如图1所示的系统100的可信设备125和接入点105)发送通信。客户端设备输入205可以从其它设备(如可信设备125和接入点105)接收通信。客户端设备认证器210可以执行认证、加密、解密和在认证和保护客户端设备115-a到接入点105的连接中涉及的其它操作。客户端设备115-a或客户端设备认证器210可以包括用于执行这样的功能的处理器。

图2B是根据各个实施例示出客户端设备115-b的框图200-b。客户端设备115-b可以是参考图1和/或图2A描述的客户端设备115的至少一个方面的示例。客户端设备115-b可以包括客户端设备输入205-a、客户端设备认证器210-a和客户端设备输出215-a。这些组件中的每个组件可以互相通信。

可以用适用于执行硬件中的一些或所有可应用功能的专用集成电路(ASIC)来单独地或集体地实现客户端设备115-b的这些组件。或者，这些功能可以由集成电路上的其它处理单元(或者核)来执行。在其它实施例中，可以使用其它类型的集成电路(例如，结构化/平台ASIC、现场可编程门阵列(FPGA)、和其它半定制IC)，其中可以通过本领域中已知的任何方式来对这些集成电路进行编程。还可以使用存储器中存储的指令来整体或部分地实现每个单元的功能，其中所述指令被格式化为由通用或专用处理器来执行。

客户端设备输入205-a、客户端设备认证器210-a和客户端设备输出215-a可以被配置为执行如先前参考图2A所描述的操作。客户端设备输入205-a可以包括无线接收机220和安全接口输入225。客户端设备输出215-a可以包括无线发射机245和安全接口输出250。客户端设备认证器210-a可以包括客户端信息生成器230、服务器认证器235和网络认证器240。

无线接收机220、安全接口输入225、无线发射机245和安全接口输出250可以与图1所示的系统100的接入点105和可信设备125通信。无线接收机220可以从接入点105接收通信。无线发射机245可以向接入点105发送通信。安全接口输入225可以输入来自可信设备125的安全接口135的通信。安全接口输入225可以包括例如文本输入接口、快速响应(QR)码读取器或带外无线输入(如近场通信(NFC)输入或蓝牙输入)。安全接口输出250可以向可信设备125的安全接口135输出通信。安全接口输出250可以包括例如用于显示文本或QR码的显示器，或者带外无线输出(如NFC输出或蓝牙输出)。

客户端信息生成器230可以被配置为执行各种操作以生成如本文中所描述的客户端信息。服务器认证器235可以被配置为执行各种操作以便如本文中所描述的对认证服务器140的身份进行认证。网络认证器240可以被配置为执行各种操作以便如本文中所描述的来认证和确保客户端设备115-b与接入点105之间的连接的安全。客户端信息生成器230、服务器认证器235和网络认证器240可以在执行这样的操作时与客户端设备输入205-a和客户端设备输出215-a协作。客户端设备115-b或客户端设备认证器210-a可以包括用于执行这样的功能的处理器。

图2C是根据各个实施例示出客户端设备115-c的框图200-c。客户端设备115-c可以是参考图1、图2A和/或图2B描述的客户端设备115的至少一个方面的示例。客户端设备115-c可以具有各种配置中的任何一种，诸如个人计算机(例如，膝上型计算机、上网本计算机、平板计算机等)、蜂窝电话、PDA，数字视频录像机(DVR)、互联网设备、游戏控制台、电子阅读器等。客户端设备115-c可以具有如小型电池的内部电源(未示出)以便于移动操作。

在所示的配置中，客户端设备115-c包括客户端设备处理器255、客户端设备存储器260、客户端设备输入/输出270、安全接口275和客户端设备天线280，它们分别可以直接或间接地互相通信(例如，经由总线285)。如上所述，客户端设备输入/输出270被配置为与安全接口275和客户端设备天线280进行双向通信。例如，客户端设备输入/输出270可以被配置为与图1、图2A和/或图2B的接入点105和可信设备125进行双向通信。如前所述，客户端设备输入/输出270可以包括图2A和/或图2B的客户端设备输入205和客户端设备输出215，和/或图2B的无线接收机220和无线发射机245。在一个实施例中，客户端设备输入/输出270还可以包括调制解调器，该调制解调器被配置为对分组进行调制并向客户端设备天线280提供经调制的分组来用于传输，以及对从客户端设备天线280接收到的分组进行解调。尽管客户端设备115-c可以包括单个天线，但客户端设备115-c将通常包括用于多个链路的多个天线280。

客户端设备存储器260可以包括随机存取存储器(RAM)和只读存储器(ROM)。客户端设备存储器260可以存储计算机可读的、计算机可执行软件代码265，该软件代码包含指令，所述指令被配置为，当执行所述指令时，使客户端设备处理器255执行本文中所描述的各种功能(例如，认证、推导、加密、解密、接收、发送等)。或者，软件265可能不是由客户端设备处理器255直接可执行的，而是被配置为使客户端设备(例如当被编译和被执行时)执行本文中所描述的功能。客户端设备处理器255可以包括智能硬件设备，例如，中央处理单元(CPU)、微控制器、专用集成电路(ASIC)等。

客户端设备认证器210-b可以是客户端设备115-c的组件，其经由总线285与客户端设备115-c的其它组件中的一些或所有组件通信。或者，客户端设备认证器210-b的功能可以被实现为客户端设备输入/输出270的组件、计算机程序产品和/或客户端设备处理器255的控制器元件。客户端设备认证器210-b可以是参考图2A和/或图2B描述的客户端设备认证器210中的一个的至少一个方面的示例。

可以用适用于执行硬件中的一些或所有可应用功能的至少一个专用集成电路(ASIC)来单独地或集体地实现客户端设备115-c的这些组件。或者，这些功能可以由集成电路上的其它处理单元(或者核)来执行。在其它实施例中，可以使用其它类型的集成电路(例如，结构化/平台ASIC、现场可编程门阵列(FPGA)、和其它半定制IC)，其中可以通过本领域中已知的任何方式来对这些集成电路进行编程。还可以使用存储器中存储的指令来整体或部分地实现每个单元的功能，其中所述指令被格式化为由通用或专用处理器来执行。上述组件中的每个组件可以是用于执行与如本文中所描述的客户端设备115-c的操作相关的功能的单元。

现在参照图3A，框图300-a根据各个实施例示出可信设备125-a。可信设备125-a可以是参考图1描述的可信设备125的至少一个方面的示例。可信设备125-a可以包括可信设备输入305和可信设备输出310，它们可以互相通信。

可以用适用于执行硬件中的一些或所有可应用功能的专用集成电路(ASIC)来单独地或集体地实现可信设备125-a的这些组件。或者，这些功能可以由集成电路上的其它处理单元(或者核)来执行。在其它实施例中，可以使用其它类型的集成电路(例如，结构化/平台ASIC、现场可编程门阵列(FPGA)、和其它半定制IC)，其中可以通过本领域中已知的任何方式来对这些集成电路进行编程。还可以使用存储器中存储的指令来整体或部分地实现每个单元的功能，其中所述指令被格式化为由通用或专用处理器来执行。

可信设备输出310可以从可信设备125-a向其它设备(如图1所示的系统100的客户端设备115和认证服务器140)发送通信。可信设备输入305可以从其它设备(如客户端设备115和认证服务器140)接收通信。可信设备125-a可以包括用于执行这样的功能的处理器。

图3B是根据各个实施例示出可信设备125-b的框图300-b。可信设备125-b可以是参考图1和/或图3A描述的可信设备125的至少一个方面的示例。可信设备125-b可以包括可信设备输入305-a和可信设备输出310-a，它们可以互相通信。

可以用适用于执行硬件中的一些或所有可应用功能的专用集成电路(ASIC)来单独地或集体地实现可信设备125-b的这些组件。或者，这些功能可以由集成电路上的其它处理单元(或者核)来执行。在其它实施例中，可以使用其它类型的集成电路(例如，结构化/平台ASIC、现场可编程门阵列(FPGA)、和其它半定制IC)，其中可以通过本领域中已知的任何方式来对这些集成电路进行编程。还可以使用存储器中存储的指令来整体或部分地实现每个单元的功能，其中所述指令被格式化为由通用或专用处理器来执行。

可信设备输入305-a和可信设备输出310-a可以被配置为执行如先前参考图3A所描述的操作。可信设备输入305-a可以包括网络输入315和安全接口输入320。可信设备输出310-a可以包括网络输出325和安全接口输出330。

网络输入315、安全接口输入320、网络输出325和安全接口输出330可以与图1所示的系统100的客户端设备115和认证服务器140通信。网络输入315可以直接地或间接地从认证服务器140接收通信。例如，网络输入315可以直接从与认证服务器140的网络连接132接收来自认证服务器140的通信。替代地或另外地，网络输入315可以通过网络连接132接收首先通过路由器和/或接入点(如接入点105)路由的通信。因此，网络输入315可以包括有线或无线接口。

安全接口输入320和安全接口输出330可以是图1所示的安全接口135的组件。安全接口输入320可以输入来自参考图2B描述的客户端设备115-b的安全接口输出250和/或参考图2C描述的客户端设备115-c的安全接口275的通信。安全接口输入320可以包括例如文本输入接口、快速响应(QR)码读取器或带外无线输入(如NFC输入或蓝牙输入)。安全接口输出330可以向参考图2B描述的客户端设备115-b的安全接口输入225和/或参考图2C描述的客户端设备115-c的安全接口275输出通信。安全接口输出330可以包括例如用于显示文本或QR码的显示器，或者带外无线输出(如NFC输出或蓝牙输出)。

图3C是根据各个实施例示出可信设备125-c的框图300-c。可信设备125-c可以是参考图1、图3A和/或图3B描述的可信设备125的至少一个方面的示例。可信设备125-c可以具有各种配置中的任何一种，诸如个人计算机(例如，膝上型计算机、上网本计算机、平板计算机等)、蜂窝电话、PDA、数字视频录像机(DVR)、互联网设备、游戏控制台、电子阅读器等。可信设备125-c可以具有如小型电池的内部电源(未示出)以便于移动操作。

在所示的配置中，可信设备125-c包括可信设备处理器335、可信设备存储器340、可信设备输入/输出350、安全接口135-a和可信设备网络接口360，它们分别可以直接或间接地互相通信(例如，经由总线365)。安全接口135-a可以是参考图1描述的安全接口135的至少一个方面的示例。如上所述，可信设备输入/输出350被配置为与安全接口135和可信设备网络接口360进行双向通信。例如，可信设备输入/输出350可以被配置为与图1、图2A、图2B、图2C、图3A和/或图3B的客户端设备115和认证服务器140进行双向通信。如前所述，可信设备输入/输出350可以包括图3A和/或图3B的可信设备输入305和可信设备输出310。在一个实施例中，可信设备输入/输出350还可以包括调制解调器，该调制解调器被配置为对分组进行调制并向可信设备网络接口360提供经调制的分组来用于传输，以及对从可信设备网络接口360接收到的分组进行解调。可信设备网络接口360可以包括用于有线连接的至少一个端口和/或用于无线连接的至少一个天线。

可信设备存储器340可以包括随机存取存储器(RAM)和只读存储器(ROM)。可信设备存储器340可以存储计算机可读的、计算机可执行软件代码345，该软件代码包含指令，所述指令被配置为，当执行所述指令时，使可信设备处理器335执行本文中所描述的各种功能(例如，认证、推导、加密、解密、接收、发送等)。或者，软件345可能不是由可信设备处理器335直接可执行的，而是被配置为使可信设备(例如当被编译和被执行时)执行本文中所描述的功能。可信设备处理器335可以包括智能硬件设备，例如，中央处理单元(CPU)、微控制器、专用集成电路(ASIC)等。

可以用适用于执行硬件中的一些或所有可应用功能的专用集成电路(ASIC)来单独地或集体地实现可信设备125-c的这些组件。或者，这些功能可以由集成电路上的其它处理单元(或者核)来执行。在其它实施例中，可以使用其它类型的集成电路(例如，结构化/平台ASIC、现场可编程门阵列(FPGA)、和其它半定制IC)，其中可以通过本领域中已知的任何方式来对这些集成电路进行编程。还可以使用存储器中体现的指令来整体或部分地实现每个单元的功能，其中所述指令被格式化为由通用或专用处理器来执行。上述组件中的每个组件可以是用于执行与如本文中所描述的可信设备125-c的操作相关的功能的单元。

现在参照图4A，框图400-a根据各个实施例示出接入点105-a。接入点105-a可以是参考图1描述的接入点105的至少一个方面的示例。接入点105-a可以包括接入点接收机405、接入点网络认证器410和接入点发射机415。这些组件中的每一个组件可以互相通信。

可以用适用于执行硬件中的一些或所有可应用功能的专用集成电路(ASIC)来单独地或集体地实现接入点105-a的这些组件。或者，这些功能可以由集成电路上的其它处理单元(或者核)来执行。在其它实施例中，可以使用其它类型的集成电路(例如，结构化/平台ASIC、现场可编程门阵列(FPGA)、和其它半定制IC)，其中可以通过本领域中已知的任何方式来对这些集成电路进行编程。还可以使用存储器中存储的指令来整体或部分地实现每个单元的功能，其中所述指令被格式化为由通用或专用处理器来执行。

接入点发射机415可以从接入点105-a向其它设备(如图1所示的系统100的客户端设备115和认证服务器140)发送通信。接入点接收机405可以从其它设备(如客户端设备115和认证服务器140)接收通信。接入点网络认证器410可以执行认证、加密、解密和在认证和确保客户端设备115-a到接入点105-a的连接的安全中涉及的其它操作。接入点105-a或接入点网络认证器410可以包括用于执行这样的功能的处理器。

图4B是根据各个实施例示出接入点105-b的框图400-b。接入点105-b可以是参考图1和/或图4A描述的接入点105的至少一个方面的示例。接入点105-b可以包括接入点接收机405-a、接入点网络认证器410-a和接入点发射机415-a。这些组件中的每个组件可以互相通信。

可以用适用于执行硬件中的一些或所有可应用功能的专用集成电路(ASIC)来单独地或集体地实现接入点105-b的这些组件。或者，这些功能可以由集成电路上的其它处理单元(或者核)来执行。在其它实施例中，可以使用其它类型的集成电路(例如，结构化/平台ASIC、现场可编程门阵列(FPGA)、和其它半定制IC)，其中可以通过本领域中已知的任何方式来对这些集成电路进行编程。还可以使用存储器中存储的指令来整体或部分地实现每个单元的功能，其中所述指令被格式化为由通用或专用处理器来执行。

接入点接收机405-a、接入点网络认证器410-a和接入点发射机415-a可以被配置为执行如先前参考图4A所描述的操作。接入点接收机405-a可以包括无线接收机420和网络接收机425。接入点发射机415-a可以包括无线发射机430和网络发射机435。

无线接收机420、网络接收机425、无线发射机430和网络发射机435可以与图1所示的系统100的客户端设备115和认证服务器140通信。无线接收机420可以从客户端设备115接收通信。无线发射机430可以向客户端设备115发送通信。网络接收机425可以通过网络连接132从认证服务器140接收通信。网络发射机435可以通过网络连接132从认证服务器140接收通信。网络连接132可以是有线或无线通信链路。

接入点网络认证器410-a可以被配置为执行各种操作以便如本文中所描述的来认证和确保客户端设备115与接入点105-b之间的连接的安全。在执行这些操作时，接入点网络认证器410-a可以与接入点接收机405-a和接入点发射机415-a合作。接入点105-b或接入点网络认证器410-a可以包括用于执行这样的功能的处理器。

图4C是根据各个实施例示出接入点105-c的框图400-c。接入点105-c可以是参考图1、图4A和/或图4B描述的接入点105的至少一个方面的示例。在所示的配置中，接入点105-c包括接入点网络接口440、接入点存储器445、接入点处理器455、至少一个接入点收发机460和至少一个接入点天线465，它们均可以互相直接或间接地通信(例如，经由总线470)。如上所述，接入点收发机460被配置为与接入点网络接口440和接入点天线465进行双向通信。例如，接入点收发机460可以被配置为经由接入点天线465与图1、图2A、图2B和/或图2C的客户端设备115进行双向通信。另外，接入点收发机460可以被配置为经由接入点网络接口440与认证服务器140-a双向通信。认证服务器140-a可以是参考图1描述的认证服务器140的至少一个方面的示例。接入点网络接口440可以包括用于与认证服务器140-a通信的有线和/或无线接口。

如先前所描述的，接入点收发机460可以包括图4A和/或图4B的接入点接收机405和接入点发射机415。在一个实施例中，接入点收发机还可以包括调制解调器，其被配置为：对分组进行调制并向接入点天线465和/或接入点网络接口440提供经调制的分组用于传输，以及对从接入点天线465和/或接入点网络接口440接收的分组进行解调。尽管接入点105-c可以包括单个天线，但接入点105-c将通常包括用于多个链路的多个天线465。

接入点存储器445可以包括随机存取存储器(RAM)和只读存储器(ROM)。接入点存储器445可以存储计算机可读的、计算机可执行软件代码450，该软件代码包含指令，所述指令被配置为，当执行所述指令时，使接入点处理器455执行本文中所描述的各种功能(例如，认证、推导、加密、解密、接收、发送等)。或者，软件450可能不是由接入点处理器455直接可执行的，而是可以被配置为使接入点(例如当被编译和被执行时)执行本文中所描述的功能。接入点处理器455可以包括智能硬件设备，例如，中央处理单元(CPU)、微控制器、专用集成电路(ASIC)等。

接入点网络认证器410-b可以是接入点105-c的组件，其经由总线470与接入点105-c的其它组件中的一些或所有组件通信。或者，接入点网络认证器410-b的功能可以被实现为接入点收发机460的组件、计算机程序产品和/或接入点处理器455的控制器元件。接入点网络认证器410-b可以是参考图4A和/或图4B描述的接入点网络认证器410中的一个的至少一个方面的示例。

可以用适用于执行硬件中的一些或所有可应用功能的专用集成电路(ASIC)来单独地或集体地实现接入点105-c的这些组件。或者，这些功能可以由集成电路上的其它处理单元(或者核)来执行。在其它实施例中，可以使用其它类型的集成电路(例如，结构化/平台ASIC、现场可编程门阵列(FPGA)、和其它半定制IC)，其中可以通过本领域中已知的任何方式来对这些集成电路进行编程。还可以使用存储器中体现的指令来整体或部分地实现每个单元的功能，其中所述指令被格式化为由通用或专用处理器来执行。上述组件中的每个组件可以是用于执行与如本文中所描述的接入点105-c的操作相关的功能的单元。

图5是根据各个实施例示出认证服务器140-b的框图500。认证服务器140-b可以是参考图1描述的认证服务器140的至少一个方面的示例。在所示的配置中，认证服务器140-b包括认证服务器网络接口505、认证服务器存储器510、认证服务器处理器515、客户端设备认证器520和网络认证器525，它们均可以直接或间接地互相通信(例如，经由总线530)。认证服务器网络接口505可以被配置为与接入点105-d和可信设备125-d双向通信。接入点105-d和可信设备125-d可以是参考图1、图3A、图3B、图3C、图4A、图4B和/或图4C描述的接入点105和可信设备125的至少一个方面的示例。认证服务器网络接口505可以包括用于与接入点105-d和可信设备125-d通信的有线和/或无线接口。在一个实施例中，认证服务器网络接口505还可以包括被配置为对分组进行调制用于传输，以及对所接收的分组进行解调的调制解调器。

认证服务器存储器510可以包括随机存取存储器(RAM)和只读存储器(ROM)。认证服务器存储器510可以存储计算机可读的、计算机可执行软件代码535，该软件代码包含指令，所述指令被配置为，当执行所述指令时，使认证服务器处理器515执行本文中所描述的各种功能(例如，认证、推导、加密、解密、接收、发送等)。或者，软件535可能不是由认证服务器处理器515直接可执行的，而是被配置为使认证服务器(例如当被编译和被执行时)执行本文中所描述的功能。认证服务器处理器515可以包括智能硬件设备，例如，中央处理单元(CPU)、微控制器、专用集成电路(ASIC)等。

客户端设备认证器520可以被配置为执行各种操作以便如本文中所描述的对客户端设备115的身份进行认证。网络认证器525可以被配置为执行各种操作以便如本文中所描述的来认证和确保客户端设备115与接入点105之间的连接的安全。客户端设备认证器520和网络认证器525可以经由总线530与认证服务器140-b的其它组件中的一些或所有组件通信。或者，客户端设备认证器520和网络认证器525的功能可以被实现为计算机程序产品和/或认证服务器处理器515的控制器元件。

可以用适用于执行硬件中的一些或所有可应用功能的专用集成电路(ASIC)来单独地或集体地实现认证服务器140-b的这些组件。或者，这些功能可以由集成电路上的其它处理单元(或者核)来执行。在其它实施例中，可以使用其它类型的集成电路(例如，结构化/平台ASIC、现场可编程门阵列(FPGA)、和其它半定制IC)，其中可以通过本领域中已知的任何方式来对这些集成电路进行编程。还可以使用存储器中体现的指令来整体或部分地实现每个单元的功能，其中所述指令被格式化为由通用或专用处理器来执行。上述组件中的每个组件可以是用于执行与如本文中所描述的认证服务器140-b的操作相关的功能的单元。

图6是示出客户端设备115-d、可信设备125-d、接入点105-d和认证服务器140-d之间的通信的一个示例的消息流图600。客户端设备115-d可以是参考图1、图2A、图2B和/或图2C描述的客户端设备115的示例。可信设备125-d可以是参考图1、图3A、图3B和/或图3C描述的可信设备125的示例。接入点105-d可以是参考图1、图4A、图4B和/或图4C描述的接入点105的示例。认证服务器140-d可以是参考图1和/或图5描述的认证服务器140的示例。

在一种配置中，可以触发客户端设备115-d以便向可信设备125-d输出第一客户端信息(在图6中表示为605)。第一客户端信息可以包括客户端公钥、客户端用户名和/或客户端认证令牌。客户端认证令牌可以是从客户端公钥导出的字符串(如通过计算客户端公钥的散列)。客户端认证令牌可以由客户端设备115-d的客户端信息生成器230导出。第一客户端信息可以通过以下操作通过客户端设备115-d的安全接口输出250来输出：例如，将第一客户端信息在客户端设备115-d的显示器上显示为文本、将第一客户端信息在客户端设备115-d的显示器上显示为QR码、或者经由带外无线信号(如NFC或蓝牙)从客户端设备115-d发送第一客户端信息。在客户端设备115-d输出第一客户端信息之后，第一客户端信息可以被输入到可信设备125-d的安全接口135中。第一客户端信息可以通过以下操作输入到可信设备125-d的安全接口输入320中：例如，将显示在客户端设备115-d上的文本键入文本输入接口、用QR码读取器扫描显示在客户端设备115-d上的QR码、或者在带外无线输入(如NFC输入或蓝牙输入)上接收带外无线信号。

在第一客户端信息被输入到可信设备125-d的安全接口135之后，可信设备125-d可以直接或间接地向认证服务器140-d发送第一客户端信息(表示为610)。第一客户端信息可以通过可信设备125-d的网络输出325被发送到认证服务器140-d。传输可以是有线或无线传输，并且传输可以通过路由器和/或接入点(如接入点105-d)来路由。认证服务器140-d可以经由认证服务器网络接口505接收第一客户端信息，并且可以将所接收的第一客户端信息存储在认证服务器存储器510中。

当触发客户端设备115-d以输出第一客户端信息时，还可以触发客户端设备115-d以便向接入点105-d发送探测请求(表示为625)。探测请求可以由客户端设备115-d的无线发射机245发送，并由接入点105-d的无线接收机420接收。接入点105-d可以用探测响应来响应探测请求(表示为630)。探测响应可以由接入点105-d的无线发射机430发送，并由客户端设备115-d的无线接收机220接收。

在从接入点105-d接收到探测响应之后，客户端设备115-d可以向接入点105-d发送第二客户端信息(表示为635)。第二客户端信息可以由客户端设备115-d的无线发射机245发送，并由接入点105-d的无线接收机420接收。第二客户端信息可以包括客户端公钥、客户端用户名和/或客户端标识(ID)。客户端ID可以是从客户端公钥导出的值(如通过计算客户端公钥的散列)。客户端ID可以由客户端设备115-d的客户端信息生成器230导出。

在接收到第二客户端信息之后，接入点105-d可以向认证服务器140-d发送第二客户端信息(表示为640)。第二客户端信息可以由接入点105-d的网络发射机435发送，并由认证服务器140-d的认证服务器网络接口505接收。认证服务器140-d可以将所接收的第二客户端信息存储在认证服务器存储器510中。

在接收到第二客户端信息之后，认证服务器140-d的客户端设备认证器520可以对第一客户端信息和第二客户端信息进行比较以确定它们是否有联系(表示为645)。如果第一客户端信息包括客户端公钥，并且第二客户端信息也包括客户端公钥，则认证服务器140-d的客户端设备认证器520可以直接对所接收的客户端公钥进行比较以确定它们是否有联系。如果第一客户端信息包括客户端公钥和客户端用户名，并且第二客户端信息包括客户端用户名，则认证服务器140-d的客户端设备认证器520可以直接对所接收的客户端用户名进行比较以确定它们是否有联系。如果第一客户端信息包括客户端用户名，并且第二客户端信息包括客户端用户名和客户端公钥，则认证服务器140-d的客户端设备认证器520可以直接对所接收的客户端用户名进行比较以确定它们是否有联系。如果第一客户端信息包括客户端认证令牌，并且第二客户端信息包括客户端公钥，则认证服务器140-d的客户端设备认证器520可以使用与客户端设备115-d的客户端信息生成器230所使用的相同的导出方法(例如，散列函数)从所接收的客户端公钥导出令牌。然后，认证服务器140-d的客户端设备认证器520可以确定所导出的令牌是否与在第一客户端信息中接收的客户端认证令牌相匹配。如果第一客户端信息包括客户端公钥，并且第二客户端信息包括客户端ID，则认证服务器140-d的客户端设备认证器520可以使用与客户端设备115-d的客户端信息生成器230所使用的相同的导出方法从所接收的客户端公钥导出ID。然后，认证服务器140-d的客户端设备认证器520可以确定所导出的ID是否与在第二客户端信息中接收的客户端ID相匹配。

在认证服务器140-d的客户端设备认证器520确定在第一客户端信息和第二客户端信息之间存在链接之后，认证服务器140-d的网络认证器525可以使用在第一客户端信息或第二客户端信息中接收的客户端公钥对认证凭证进行加密。或者，认证服务器140-d的网络认证器525可使用例如使用Diffie-Hellman密钥交换与客户端设备115-d交换的共享秘密密钥来对认证凭证进行加密。可以部分基于客户端公钥来建立共享秘密密钥。认证凭证可以向客户端设备115-d提供完成与接入点105-d的认证过程所必需的凭证。例如，认证凭证可以是Wi-Fi保护接入II(WPA2)企业网络凭证(ENC)。加密的认证凭证可以经由认证服务器140-d的认证服务器网络接口505被发送到接入点105-d(表示为650)。

接入点105-d的网络接收机425可以接收加密的认证凭证。然后，接入点105-d可以经由接入点105-d的无线发射机430向客户端设备115-d发送加密的认证凭证(表示为655)。客户端设备115-d可以经由客户端设备115-d的无线接收机220来接收加密的认证凭证。

在接收到加密的认证凭证之后，客户端设备115-d可以使用与客户端公钥相对应的客户端私钥来对加密的认证凭证进行解密。或者，客户端设备115-d可以使用与认证服务器140-d交换的共享秘密密钥来对加密的认证凭证进行解密。客户端设备115-d的网络认证器240可以使用解密的认证凭证来完成与接入点105-d的网络认证器410和认证服务器140-d的网络认证器525的认证过程(表示为670)。认证过程可以是IEEE 802.1X可扩展认证协议(EAP)认证过程。

在完成认证过程之后，客户端设备115-d可以使用安全无线连接来连接到接入点105-d(标记为680)。安全无线连接可以是WPA2企业协议连接。

图7是示出客户端设备115-e、可信设备125-e、接入点105-e和认证服务器140-e之间的通信的一个示例的消息流图700。客户端设备115-e可以是参考图1、图2A、图2B和/或图2C描述的客户端设备115的示例。可信设备125-e可以是参考图1、图3A、图3B和/或图3C描述的可信设备125的示例。接入点105-e可以是参考图1、图4A、图4B和/或图4C描述的接入点105的示例。认证服务器140-e可以是参考图1和/或图5描述的认证服务器140的示例。

在一种配置中，可以触发客户端设备115-e以便向可信设备125-e输出第一客户端信息(在图7中表示为705)。第一客户端信息可以包括客户端公钥、客户端用户名和/或客户端认证令牌。客户端认证令牌可以是从客户端公钥导出的字符串(如通过计算客户端公钥的散列)。客户端认证令牌可以由客户端设备115-e的客户端信息生成器230导出。第一客户端信息可以通过以下操作通过客户端设备115-e的安全接口输出250来输出：例如，将第一客户端信息在客户端设备115-e的显示器上显示为文本、将第一客户端信息在客户端设备115-e的显示器上显示为QR码、或者经由带外无线信号(如NFC或蓝牙)从客户端设备115-e发送第一客户端信息。在客户端设备115-e输出第一客户端信息之后，第一客户端信息可以被输入到可信设备125-e的安全接口135中。第一客户端信息可以通过以下操作被输入到可信设备125-e的安全接口输入320中：例如，将显示在客户端设备115-e上的文本键入文本输入接口、用QR码读取器扫描显示在客户端设备115-e上的QR码、或者在带外无线输入(如NFC输入或蓝牙输入)上接收带外无线信号。

在第一客户端信息被输入到可信设备125-e的安全接口135之后，可信设备125-e可以直接或间接地向认证服务器140-e发送第一客户端信息(表示为710)。第一客户端信息可以通过可信设备125-e的网络输出325被发送到认证服务器140-e。传输可以是有线或无线传输，并且传输可以通过路由器和/或接入点(如接入点105-e)来路由。认证服务器140-e可以经由认证服务器网络接口505接收第一客户端信息，并且可以将所接收的第一客户端信息存储在认证服务器存储器510中。

在接收到第一客户端信息之后，认证服务器140-e可以向可信设备125-e发送服务器认证令牌(表示为715)。服务器认证令牌可以经由认证服务器140-e的认证服务器网络接口505被发送到可信设备125-e。服务器认证令牌可由可信设备125-e的网络输入315来接收。传输可以是有线或无线传输，并且传输可以通过路由器和/或接入点(如接入点105-e)来路由。服务器认证令牌可以是从认证服务器140-e的认证凭证导出的字符串(例如通过计算认证凭证的散列)。服务器认证令牌可由认证服务器140-e的客户端设备认证器520导出。在可信设备125-e接收到服务器认证令牌之后，可信设备125-e可以将服务器认证令牌存储在可信设备存储器340中，并显示服务器认证令牌以用于手动验证。

当触发客户端设备115-e以输出第一客户端信息时，还可以触发客户端设备115-e以便向接入点105-e发送探测请求(表示为725)。探测请求可以由客户端设备115-e的无线发射机245发送，并由接入点105-e的无线接收机420接收。接入点105-e可以用探测响应来响应探测请求(表示为730)。探测响应可以由接入点105-e的无线发射机430发送，并由客户端设备115-e的无线接收机220接收。

在从接入点105-e接收到探测响应之后，客户端设备115-e可以向接入点105-e发送第二客户端信息(表示为735)。第二客户端信息可以由客户端设备115-e的无线发射机245发送，并由接入点105-e的无线接收机420接收。第二客户端信息可以包括客户端公钥、客户端用户名和/或客户端标识(ID)。客户端ID可以是从客户端公钥导出的值(如通过计算客户端公钥的散列)。客户端ID可以由客户端设备115-e的客户端信息生成器230导出。

在接收到第二客户端信息之后，接入点105-e可以向认证服务器140-e发送第二客户端信息(表示为740)。第二客户端信息可以由接入点105-e的网络发射机435发送，并由认证服务器140-e的认证服务器网络接口505接收。认证服务器140-e可以将所接收的第二客户端信息存储在认证服务器存储器510中。

在接收到第二客户端信息之后，认证服务器140-e的客户端设备认证器520可以对第一客户端信息和第二客户端信息进行比较以确定它们是否有联系(表示为745)。如果第一客户端信息包括客户端公钥，并且第二客户端信息也包括客户端公钥，则认证服务器140-e的客户端设备认证器520可以直接对所接收的客户端公钥进行比较以确定它们是否有联系。如果第一客户端信息包括客户端公钥和客户端用户名，并且第二客户端信息包括客户端用户名，则认证服务器140-e的客户端设备认证器520可以直接对所接收的客户端用户名进行比较以确定它们是否有联系。如果第一客户端信息包括客户端用户名，并且第二客户端信息包括客户端用户名和客户端公钥，则认证服务器140-e的客户端设备认证器520可以直接对所接收的客户端用户名进行比较以确定它们是否有联系。如果第一客户端信息包括客户端认证令牌，并且第二客户端信息包括客户端公钥，则认证服务器140-e的客户端设备认证器520可以使用与客户端设备115-e的客户端信息生成器230所使用的相同的导出方法从所接收的客户端公钥导出令牌。然后，认证服务器140-e的客户端设备认证器520可以确定所导出的令牌是否与在第一客户端信息中接收的客户端认证令牌相匹配。如果第一客户端信息包括客户端公钥，并且第二客户端信息包括客户端ID，则认证服务器140-e的客户端设备认证器520可以使用与客户端设备115-e的客户端信息生成器230所使用的相同的导出方法从所接收的客户端公钥导出ID。然后，认证服务器140-e的客户端设备认证器520可以确定所导出的ID是否与在第二客户端信息中接收的客户端ID相匹配。

在认证服务器140-e的客户端设备认证器520确定在第一客户端信息和第二客户端信息之间存在链接之后，认证服务器140-e的网络认证器525可以使用在第一客户端信息或第二客户端信息中接收的客户端公钥对认证凭证进行加密。或者，认证服务器140-e的网络认证器525可使用例如使用Diffie-Hellman密钥交换与客户端设备115-e交换的共享秘密密钥来对认证凭证进行加密。可以部分基于客户端公钥来建立共享秘密密钥。认证凭证可以向客户端设备115-e提供完成与接入点105-e的认证过程所必需的凭证。例如，认证凭证可以是WPA2ENC。加密的认证凭证可以经由认证服务器140-e的认证服务器网络接口505被发送到接入点105-e(表示为750)。

接入点105-e的网络接收机425可以接收加密的认证凭证。然后，接入点105-e可以经由接入点105-e的无线发射机430向客户端设备115-e发送加密的认证凭证(表示为755)。客户端设备115-e可以经由客户端设备115-e的无线接收机220来接收加密的认证凭证。

在接收到加密的认证凭证之后，客户端设备115-e可以使用与客户端公钥相对应的客户端私钥来对加密的认证凭证进行解密。或者，客户端设备115-e可以使用与认证服务器140-e交换的共享秘密密钥来对加密的认证凭证进行解密。客户端设备115-e的服务器认证器235可以使用与认证服务器140-e的客户端设备认证器520用于导出服务器认证令牌的相同的导出方法从解密的认证凭证导出令牌。然后，客户端设备115-e可以为用户显示导出的令牌，以手动验证所导出的令牌是否与由可信设备125-e显示的服务器认证令牌相匹配(表示为760)。导出的令牌与服务器认证令牌相匹配可以向用户验证所接收的认证凭证来自于从可信设备125-e接收到第一客户端信息的认证服务器140-e。

在对所接收的认证凭证进行解密和验证之后，客户端设备115-e的网络认证器240可以使用解密的认证凭证来完成与接入点105-e的网络认证器410和认证服务器140-e的网络认证器525的认证过程(表示为770)。认证过程可以是IEEE 802.1X EAP认证过程。

在完成认证过程之后，客户端设备115-e可以使用安全无线连接来连接到接入点105-e(标记为780)。安全无线连接可以是WPA2企业协议连接。

图8是示出客户端设备115-f、可信设备125-f、接入点105-f和认证服务器140-f之间的通信的一个示例的消息流图800。客户端设备115-f可以是参考图1、图2A、图2B和/或图2C描述的客户端设备115的示例。可信设备125-f可以是参考图1、图3A、图3B和/或图3C描述的可信设备125的示例。接入点105-f可以是参考图1、图4A、图4B和/或图4C描述的接入点105的示例。认证服务器140-f可以是参考图1和/或图5描述的认证服务器140的示例。

在一种配置中，可以触发客户端设备115-f以便向可信设备125-f输出第一客户端信息(在图8中表示为805)。第一客户端信息可以包括客户端公钥、客户端用户名和/或客户端认证令牌。客户端认证令牌可以是从客户端公钥导出的字符串(如通过计算客户端公钥的散列)。客户端认证令牌可以由客户端设备115-f的客户端信息生成器230导出。第一客户端信息可以通过以下操作通过客户端设备115-f的安全接口输出250来输出：例如，将第一客户端信息在客户端设备115-f的显示器上显示为文本、将第一客户端信息在客户端设备115-f的显示器上显示为QR码、或者经由带外无线信号(如NFC或蓝牙)从客户端设备115-f发送第一客户端信息。在客户端设备115-f输出第一客户端信息之后，第一客户端信息可以被输入到可信设备125-f的安全接口135中。第一客户端信息可以通过以下操作被输入到可信设备125-f的安全接口输入320中：例如，将显示在客户端设备115-f上的文本键入文本输入接口、用QR码读取器扫描显示在客户端设备115-f上的QR码、或者在带外无线输入(如NFC输入或蓝牙输入)上接收带外无线信号。

在第一客户端信息被输入到可信设备125-f的安全接口135之后，可信设备125-f可以直接或间接地向认证服务器140-f发送第一客户端信息(表示为810)。第一客户端信息可以通过可信设备125-f的网络输出325被发送到认证服务器140-f。传输可以是有线或无线传输，并且传输可以通过路由器和/或接入点(如接入点105-f)来路由。认证服务器140-f可以经由认证服务器网络接口505接收第一客户端信息，并且可以将所接收的第一客户端信息存储在认证服务器存储器510中。

在接收到第一客户端信息之后，认证服务器140-f可以向可信设备125-f发送服务器认证令牌(表示为815)。服务器认证令牌可以经由认证服务器140-f的认证服务器网络接口505被发送到可信设备125-f。服务器认证令牌可由可信设备125-f的网络输入315来接收。传输可以是有线或无线传输，并且传输可以通过路由器和/或接入点(如接入点105-f)来路由。服务器认证令牌可以是从认证服务器140-f的认证凭证导出的字符串(例如通过计算认证凭证的散列)。服务器认证令牌可由认证服务器140-f的客户端设备认证器520导出。

在可信设备125-f接收到服务器认证令牌之后，可信设备125-f可以将服务器认证令牌输出到客户端设备115-f(表示为820)。服务器认证令牌可以通过以下操作通过可信设备125-f的安全接口输出330来输出：例如，将服务器认证令牌在可信设备125-f的显示器上显示为文本、将服务器认证令牌在可信设备125-f的显示器上显示为QR码、或者经由带外无线信号(如NFC或蓝牙)从可信设备125-f发送服务器认证令牌。在可信设备125-f输出服务器认证令牌之后，服务器认证令牌可以被输入到客户端设备115-f中。服务器认证令牌可以通过以下操作被输入到可信设备115-f的安全接口输入225中：例如，将显示在可信设备125-f上的文本键入文本输入接口、用QR码读取器扫描显示在可信设备125-f上的QR码、或者在带外无线输入(如NFC输入或蓝牙输入)上接收带外无线信号。客户端设备115-f可以将服务器认证令牌存储在客户端设备存储器260中。

当触发客户端设备115-f以输出第一客户端信息时，还可以触发客户端设备115-f以便向接入点105-f发送探测请求(表示为825)。探测请求可以由客户端设备115-f的无线发射机245发送，并由接入点105-f的无线接收机420接收。接入点105-f可以用探测响应来响应探测请求(表示为830)。探测响应可以由接入点105-f的无线发射机430发送，并由客户端设备115-f的无线接收机220接收。

在从接入点105-f接收到探测响应之后，客户端设备115-f可以向接入点105-f发送第二客户端信息(表示为835)。第二客户端信息可以由客户端设备115-f的无线发射机245发送，并由接入点105-f的无线接收机420接收。第二客户端信息可以包括客户端公钥、客户端用户名和/或客户端标识(ID)。客户端ID可以是从客户端公钥导出的值(如通过计算客户端公钥的散列)。客户端ID可以由客户端设备115-f的客户端信息生成器230导出。

在接收到第二客户端信息之后，接入点105-f可以向认证服务器140-f发送第二客户端信息(表示为840)。第二客户端信息可以由接入点105-f的网络发射机435发送，并由认证服务器140-f的认证服务器网络接口505接收。认证服务器140-f可以将所接收的第二客户端信息存储在认证服务器存储器510中。

在接收到第二客户端信息之后，认证服务器140-f的客户端设备认证器520可以对第一客户端信息和第二客户端信息进行比较以确定它们是否有联系(表示为845)。如果第一客户端信息包括客户端公钥，并且第二客户端信息也包括客户端公钥，则认证服务器140-f的客户端设备认证器520可以直接对所接收的客户端公钥进行比较以确定它们是否有联系。如果第一客户端信息包括客户端公钥和客户端用户名，并且第二客户端信息包括客户端用户名，则认证服务器140-f的客户端设备认证器520可以直接对所接收的客户端用户名进行比较以确定它们是否有联系。如果第一客户端信息包括客户端用户名，并且第二客户端信息包括客户端用户名和客户端公钥，则认证服务器140-f的客户端设备认证器520可以直接对所接收的客户端用户名进行比较以确定它们是否有联系。如果第一客户端信息包括客户端认证令牌，并且第二客户端信息包括客户端公钥，则认证服务器140-f的客户端设备认证器520可以使用与客户端设备115-f的客户端信息生成器230所使用的相同的导出方法从所接收的客户端公钥导出令牌。然后，认证服务器140-f的客户端设备认证器520可以确定所导出的令牌是否与在第一客户端信息中接收的客户端认证令牌相匹配。如果第一客户端信息包括客户端公钥，并且第二客户端信息包括客户端ID，则认证服务器140-f的客户端设备认证器520可以使用与客户端设备115-f的客户端信息生成器230所使用的相同的导出方法从所接收的客户端公钥导出ID。然后，认证服务器140-f的客户端设备认证器520可以确定所导出的ID是否与在第二客户端信息中接收的客户端ID相匹配。

在认证服务器140-f的客户端设备认证器520确定在第一客户端信息和第二客户端信息之间存在链接之后，认证服务器140-f的网络认证器525可以使用在第一客户端信息或第二客户端信息中接收的客户端公钥对认证凭证进行加密。或者，认证服务器140-f的网络认证器525可使用与客户端设备115-f交换的共享秘密密钥来对认证凭证进行加密。可以部分基于客户端公钥来建立共享秘密密钥。认证凭证可以向客户端设备115-f提供完成与接入点105-f的认证过程所必需的凭证。例如，认证凭证可以是WPA2ENC。加密的认证凭证可以经由认证服务器140-f的认证服务器网络接口505被发送到接入点105-f(表示为850)。

接入点105-f的网络接收机425可以接收加密的认证凭证。然后，接入点105-f可以经由接入点105-f的无线发射机430向客户端设备115-f发送加密的认证凭证(表示为855)。客户端设备115-f可以经由客户端设备115-f的无线接收机220来接收加密的认证凭证。

在接收到加密的认证凭证之后，客户端设备115-f可以使用与客户端公钥相对应的客户端私钥来对加密的认证凭证进行解密。或者，客户端设备115-f可以使用与认证服务器140-f交换的共享秘密密钥来对加密的认证凭证进行解密。客户端设备115-f的服务器认证器235可以使用与认证服务器140-f的客户端设备认证器520用于导出服务器认证令牌的相同的导出方法从解密的认证凭证导出令牌。然后，客户端设备115-f的服务器认证器235可以验证所导出的令牌是否与由可信设备125-f的安全接口135输出的服务器认证令牌相匹配(表示为860)。导出的令牌与服务器认证令牌相匹配可以向客户端设备115-f验证所接收的认证凭证来自于从可信设备125-f接收到第一客户端信息的认证服务器140-f。

在对所接收的认证凭证进行解密和验证之后，客户端设备115-f的网络认证器240可以使用解密的认证凭证来完成与接入点105-f的网络认证器410和认证服务器140-f的网络认证器525的认证过程(表示为870)。认证过程可以是IEEE 802.1X EAP认证过程。

在完成认证过程之后，客户端设备115-f可以使用安全无线连接来连接到接入点105-f(标记为880)。安全无线连接可以是WPA2企业协议连接。

在一些实施例中，可信设备125可以充当临时接入点。在这些实施例中，参考图1、图3A、图3B、图3C、图4A、图4B、图4C、图6、图7和/图或8描述的可信设备125和接入点105可以是相同的设备。在这些实施例中，去往和来自接入点105的传输可以去往和来自可信设备125。

图9是说明由客户端设备115执行的用于安全地连接到接入点105的方法900的实施例的流程图。为了清楚起见，方法900是在下文中参考图6所示的消息流图600和/或参考参照图1、图2A、图2B、图2C和/或图6描述的客户端设备115中的一个客户端设备来描述的。在一种实现中，参考图2C描述的客户端设备处理器255可以执行代码集来控制客户端设备115的功能单元以执行下文所描述的功能。

在一个实施例中，在框905处，客户端设备115可以通过安全接口向可信设备125输出第一客户端信息。安全接口可以包括下列各项中的至少一项：显示第一客户端信息的文本、显示第一客户端信息的QR码以及通过带外无线信道发送第一客户端信息。第一客户端信息可以包括客户端公钥、客户端用户名和/或从客户端公钥导出的客户端认证令牌。在框910处，客户端设备115可以向接入点105发送探测请求。在框915处，客户端设备115可以从接入点105接收探测响应。在框920处，客户端设备115可以向接入点105发送第二客户端信息。第二客户端信息可以包括客户端公钥、客户端用户名和/或从客户端公钥导出的客户端ID。在框925处，客户端设备115可以从接入点105接收加密的认证凭证。在框930处，客户端设备115可以使用与客户端公钥相对应的客户端私钥来对加密的认证凭证进行解密。或者，客户端设备115可以使用与认证服务器140交换(例如使用Diffie-Hellman密钥交换)的共享秘密密钥来对加密的认证凭证进行解密。在框935处，客户端设备115可以使用解密的认证凭证来完成与认证服务器140和接入点105的认证过程。认证过程可以是IEEE 802.1X EAP认证过程。在框940处，客户端设备115可以使用安全无线连接来连接到接入点105。安全无线连接可以是WPA2企业连接。

图10是说明由可信设备125执行的用于安全地对客户端设备115进行认证的方法1000的实施例的流程图。为了清楚起见，方法1000是在下文中参考图6所示的消息流图600和/或参考参照图1、图3A、图3B、图3C和/或图6描述的可信设备125中的一个可信设备来描述的。在一种实现中，参考图3C描述的可信设备处理器335可以执行代码集来控制可信设备125的功能单元以执行下文所描述的功能。

在一个实施例中，在框1005处，可信设备125可以通过安全接口从客户端设备115接收第一客户端信息。安全接口可以包括下列各项中的至少一项：手动输入第一客户端信息、扫描第一客户端信息的QR码以及通过带外无线信道接收第一客户端信息。在框1010处，可信设备125可以向认证服务器140发送第一客户端信息。

图11是说明由接入点105执行的用于安全地连接到客户端设备115的方法1100的实施例的流程图。方法1100是在下文中参考图6所示的消息流图600和/或参考参照图1、图4A、图4B、图4C和/或图6描述的接入点105中的一个接入点来描述的。在一种实现中，参考图4C描述的接入点处理器455可以执行代码集来控制接入点105的功能单元以执行下文所描述的功能。

在一个实施例中，在框1105处，接入点105可以从客户端设备115接收探测请求。在框1110处，接入点105可以向客户端设备115发送探测响应。在框1115处，接入点105可以从客户端设备115接收第二客户端信息。在框1120处，接入点105可以向认证服务器140发送第二客户端信息。在框1125处，接入点105可以从认证服务器140接收加密的认证凭证。在框1130处，接入点105可以向客户端设备115发送加密的认证凭证。在框1135处，接入点可以完成与客户端设备115和认证服务器140的认证过程。认证过程可以是IEEE 802.1X EAP认证过程。在框1140处，接入点105可以使用安全无线连接来连接到客户端设备115。安全无线连接可以是WPA2企业连接。

图12是说明由认证服务器140执行的用于对客户端设备115进行认证的方法1200的实施例的流程图。方法1200是在下文中参考图6所示的消息流图600和/或参考参照图1、图5和/或图6描述的认证服务器140中的一个认证服务器来描述的。在一种实现中，参考图5描述的认证服务器处理器515可以执行代码集来控制认证服务器140的功能单元以执行下文所描述的功能。

在一个实施例中，在框1205处，认证服务器140可以从可信设备125接收第一客户端信息。在框1210处，认证服务器140可以从接入点105接收第二客户端信息。在框1215处，认证服务器140可以将第一客户端信息和第二客户端信息相链接。在框1220处，认证服务器140可以使用从第一客户端信息或第二客户端信息获取的客户端公钥来对认证凭证进行加密。或者，认证服务器140可以使用与客户端设备115交换的共享秘密密钥来对认证凭证进行加密。可以部分基于客户端公钥来建立共享秘密密钥。认证凭证可以是WPA2ENC。在框1225处，认证服务器140可以向接入点105发送加密的认证凭证。在框1230处，认证服务器140可以完成与客户端设备115和接入点105的认证过程。认证过程可以是IEEE 802.1X EAP认证过程。

图13是说明由客户端设备115执行的用于安全地连接到接入点105的方法1300的替换实施例的流程图。方法1300是在下文中参考图7所示的消息流图700和/或参考参照图1、图2A、图2B、图2C和/或图7描述的客户端设备115中的一个客户端设备来描述的。在一种实现中，参考图2C描述的客户端设备处理器255可以执行代码集来控制客户端设备115的功能单元以执行下文所描述的功能。

在一个实施例中，在框1305处，客户端设备115可以通过安全接口向可信设备125输出第一客户端信息。安全接口可以包括下列各项中的至少一项：显示第一客户端信息的文本、显示第一客户端信息的QR码以及通过带外无线信道发送第一客户端信息。第一客户端信息可以包括客户端公钥、客户端用户名和/或从客户端公钥导出的客户端认证令牌。在框1310处，客户端设备115可以向接入点105发送探测请求。在框1315处，客户端设备115可以从接入点105接收探测响应。在框1320处，客户端设备115可以向接入点105发送第二客户端信息。第二客户端信息可以包括客户端公钥、客户端用户名和/或从客户端公钥导出的客户端ID。在框1325处，客户端设备115可以从接入点105接收加密的认证凭证。在框1330处，客户端设备115可以使用与客户端公钥相对应的客户端私钥来对加密的认证凭证进行解密。或者，客户端设备115可以使用与认证服务器140交换的共享秘密密钥来对加密的认证凭证进行解密。在框1335处，客户端设备115可以从解密的认证凭证导出令牌并显示导出的令牌。在框1340处，客户端设备115的用户可以验证所导出的令牌与可信设备125上显示的服务器认证令牌相匹配。导出的令牌与服务器认证令牌相匹配可以向用户验证所解密的认证凭证来自于从可信设备125接收到第一客户端信息的认证服务器140。在框1345处，客户端设备115可以使用解密的认证凭证来完成与认证服务器140和接入点105的认证过程。认证过程可以是IEEE 802.1X EAP认证过程。在框1350处，客户端设备115可以使用安全无线连接来连接到接入点105。安全无线连接可以是WPA2企业连接。

图14是说明由可信设备125执行的用于安全地对客户端设备115进行认证的方法1400的替换实施例的流程图。方法1400是在下文中参考图7所示的消息流图700和/或参考参照图1、图3A、图3B、图3C和/或图7描述的可信设备125中的一个可信设备来描述的。在一种实现中，参考图3C描述的可信设备处理器335可以执行代码集来控制可信设备125的功能单元以执行下文所描述的功能。

在一个实施例中，在框1405处，可信设备125可以通过安全接口从客户端设备115接收第一客户端信息。安全接口可以包括下列各项中的至少一项：手动输入第一客户端信息、扫描第一客户端信息的QR码以及通过带外无线信道接收第一客户端信息。在框1410处，可信设备125可以向认证服务器140发送第一客户端信息。在框1415处，可信设备125可以从认证服务器140接收服务器认证令牌。在框1420处，可信设备125可以为用户显示服务器认证令牌以进行验证。

图15是说明由认证服务器140执行的用于对客户端设备115进行认证的方法1500的替换实施例的流程图。方法1500是在下文中参考图7所示的消息流图700和图8所示的消息流图800和/或参考参照图1、图5、图7和/或图8描述的认证服务器140中的一个认证服务器来描述的。在一种实现中，参考图5描述的认证服务器处理器515可以执行代码集来控制认证服务器140的功能单元以执行下文所描述的功能。

在一个实施例中，在框1505处，认证服务器140可以从可信设备125接收第一客户端信息。在框1510处，认证服务器140可以向可信设备125发送服务器认证令牌。服务器认证令牌可以从认证服务器140的认证凭证导出。在框1515处，认证服务器140可以从接入点105接收第二客户端信息。在框1520处，认证服务器140可以将第一客户端信息和第二客户端信息相链接。在框1525处，认证服务器140可以使用从第一客户端信息或第二客户端信息获取的客户端公钥来对认证凭证进行加密。或者，认证服务器140可以使用与客户端设备115交换的共享秘密密钥来对认证凭证进行加密。可以部分基于客户端公钥来建立共享秘密密钥。认证凭证可以是WPA2ENC。在框1530处，认证服务器140可以向接入点105发送加密的认证凭证。在框1535处，认证服务器140可以完成与客户端设备115和接入点105的认证过程。认证过程可以是IEEE 802.1X EAP认证过程。

图16是说明由客户端设备115执行的用于安全地连接到接入点105的方法1600的替换实施例的流程图。方法1600是在下文中参考图8所示的消息流图800和/或参考参照图1、图2A、图2B、图2C和/或图8描述的客户端设备115中的一个客户端设备来描述的。在一种实现中，参考图2C描述的客户端设备处理器255可以执行代码集来控制客户端设备115的功能单元以执行下文所描述的功能。

在一个实施例中，在框1605处，客户端设备115可以通过安全接口向可信设备125输出第一客户端信息。安全接口可以包括下列各项中的至少一项：显示第一客户端信息的文本、显示第一客户端信息的QR码以及通过带外无线信道发送第一客户端信息。第一客户端信息可以包括客户端公钥、客户端用户名和/或从客户端公钥导出的客户端认证令牌。在框1610处，客户端设备115可以从可信设备125接收服务器认证令牌。在框1615处，客户端设备115可以向接入点105发送探测请求。在框1620处，客户端设备115可以从接入点105接收探测响应。在框1625处，客户端设备115可以向接入点105发送第二客户端信息。第二客户端信息可以包括客户端公钥、客户端用户名和/或从客户端公钥导出的客户端ID。在框1630处，客户端设备115可以从接入点105接收加密的认证凭证。在框1635处，客户端设备115可以使用与客户端公钥相对应的客户端私钥来对加密的认证凭证进行解密。或者，客户端设备115可以使用与认证服务器140交换的共享秘密密钥来对加密的认证凭证进行解密。在框1640处，客户端设备115可以从解密的认证凭证导出令牌。在框1645处，客户端设备115可以验证所导出的令牌与从可信设备125接收的服务器认证令牌相匹配。导出的令牌与服务器认证令牌相匹配可以向客户端设备115验证所解密的认证凭证来自于从可信设备125接收到第一客户端信息的认证服务器140。在框1650处，客户端设备115可以使用解密的认证凭证来完成与认证服务器140和接入点105的认证过程。认证过程可以是IEEE 802.1X EAP认证过程。在框1655处，客户端设备115可以使用安全无线连接来连接到接入点105。安全无线连接可以是WPA2企业连接。

图17是说明由可信设备125执行的用于安全地对客户端设备115进行认证的方法1700的替换实施例的流程图。方法1700是在下文中参考图8所示的消息流图800和/或参考参照图1、图3A、图3B、图3C和/或图8描述的可信设备125中的一个可信设备来描述的。在一种实现中，参考图3C描述的可信设备处理器335可以执行代码集来控制可信设备125的功能单元以执行下文所描述的功能。

在一个实施例中，在框1705处，可信设备125可以通过安全接口从客户端设备115接收第一客户端信息。安全接口可以包括下列各项中的至少一项：手动输入第一客户端信息、扫描第一客户端信息的QR码以及通过带外无线信道接收第一客户端信息。在框1710处，可信设备125可以向认证服务器140发送第一客户端信息。在框1715处，可信设备125可以从认证服务器140接收服务器认证令牌。在框1720处，可信设备125可以向客户端设备115发送服务器认证令牌用于客户端设备验证认证服务器140的可信性。

图18是说明用于利用认证凭证来安全地配置客户端设备115的方法1800的实施例的流程图。为了清楚起见，方法1800是在下文中参考图9、图10、图11和图12所示的流程图和/或参考参照图1、图2A、图2B、图2C、图3A、图3B、图3C、图4A、图4B、图4C、图5和/或图6描述的设备来描述的。在一种实现中，参考图2C描述的客户端设备处理器255可以执行代码集来控制客户端设备115的功能单元以执行下文所描述的功能。

在一个实施例中，在框1805处，客户端设备115可以通过安全接口向可信设备125输出第一客户端信息以便发送到认证服务器140。安全接口可以包括下列各项中的至少一项：显示第一客户端信息的文本、显示第一客户端信息的QR码以及通过带外无线信道发送第一客户端信息。第一客户端信息可以包括客户端公钥、客户端用户名和/或从客户端公钥导出的客户端认证令牌。在框1810处，客户端设备115可以向认证服务器140发送与第一客户端信息相关的第二客户端信息，并且第二客户端信息可以由认证服务器140链接到第一客户端信息。第二客户端信息可以包括客户端公钥、客户端用户名和/或从客户端公钥导出的客户端ID。在框1815处，客户端设备115可以从认证服务器140接收加密的认证凭证，并且认证凭证可以至少部分基于第一客户端信息或第二客户端信息来加密。在框1820处，客户端设备115可以使用第一客户端信息或第二客户端信息来对加密的认证凭证进行解密。然后，客户端设备115可以使用解密的认证凭证来完成与认证服务器140和接入点105的认证过程，并且使用安全无线连接来连接到接入点105。认证过程可以是IEEE 802.1X EAP认证过程。安全无线连接可以是WPA2企业连接。

上文接合附图阐述的具体实施方式描述了示例性实施例，其并不表示可以实现或者在权利要求书的范围内的唯一实施例。贯穿本说明书所使用的“示例性”术语表示“用作示例、实例或说明”，而不是相对于其它示例性来说是“优选的”或“有优势的”。为了提供对所描述的技术的理解，具体实施方式包括了具体的细节。然而，可以不使用这些具体细节来实施这些技术。在一些实例中，为了避免模糊所描述的实施例的概念，以框图形式示出了公知的结构和设备。

可以使用各种不同的技术和方法中的任何一种来表示信息和信号。例如，在贯穿上面的描述中提及的数据、指令、命令、信息、信号、比特、符号和码片可以由电压、电流、电磁波、磁场或磁性粒子、光场或光粒子、或者其任意组合来表示。

利用被设计为执行本文所述功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意组合，可以实现或执行结合本文中的公开内容所描述的各个说明性的框和模块。通用处理器可以是微处理器，但是，在替代方案中，该处理器可以是任何常规的处理器、控制器、微控制器或者状态机。处理器也可以实现为计算设备的组合，例如，DSP和微处理器的组合、多个微处理器、微处理器与DSP内核的结合，或者任何其它此种结构。

可以用硬件、由处理器执行的软件、固件或其任何组合来实现本文中所描述的功能。如果通过由处理器执行的软件实现，则这些功能可以作为指令或代码保存在计算机可读介质上、或者通过计算机可读介质传输。其它示例和实现方式处于本公开内容和所附权利要求的范围内。例如，由于软件的性质，可以使用由处理器、硬件、固件、硬接线、或者这些的任意组合所执行的软件来实现上述的功能。也可以将实现功能的特征物理地放置到各种位置，包括被分布为使得在不同物理位置处实现功能的部分。此外，如本文所使用的，包括在权利要求中如条目列表中所使用的“或”(例如，在前面冠以诸如“至少其中之一”或“其中的一个或多个”的短语的条目的列表)指示分隔的列表，使得例如，“A、B、或C中的至少一个”的列表意味着A、或B、或C、或AB、或AC、或BC、或ABC(即，A和B和C)。

计算机可读介质包括计算机存储介质和通信介质，所述通信介质包括有助于将计算机程序从一个地点传输到另一个地点的任何介质。存储介质可以是可以由通用计算机或专用计算机访问的任何可用介质。通过举例而非限制的方式，计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并可以由通用或专用计算机或者通用或专用处理器进行访问的任何其它介质。此外，任何连接都可以被适当地称为计算机可读介质。例如，如果使用同轴电缆、光纤光缆、双绞线、数字用户线(DSL)或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或其它远程源发送软件，那么同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线电和微波之类的无线技术包括在介质的定义中。如本文中所使用的，磁盘和光碟包括压缩光碟(CD)、激光光碟、光碟、数字多功能光碟(DVD)、软盘和蓝光光碟，其中，磁盘通常磁性地复制数据，而光碟则用激光来光学地复制数据。上面的组合也应当包括在计算机可读介质的范围之内。

本文中描述的技术可以用于诸如CDMA、TDMA、FDMA、OFDMA、SC-FDMA和其它系统等之类的各种无线通信系统。术语“网络”和“系统”经常可互换使用。CDMA系统可以实现诸如CDMA2000、通用陆地无线接入(UTRA)等之类的无线电技术。CDMA2000涵盖了IS-2000、IS-95和IS-856标准。IS-2000版本0和A通常被称为CDMA2000 1X、1X等。IS-856(TIA-856)通常被称为CDMA2000 1xEV-DO、高速分组数据(HRPD)等。UTRA包括宽带CDMA(WCDMA)和CDMA的其它变型。TDMA网络可以实现诸如全球移动通信系统(GSM)的无线技术。OFDMA系统可以实现诸如超移动宽带(UMB)、演进型UTRA(E-UTRA)、IEEE 802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、Flash-OFDM等的无线电技术。UTRA和E-UTRA是通用移动电信系统(UMTS)的组成部分。3GPP长期演进(LTE)和改进的LTE(LTE-A)是使用E-UTRA的UMTS的新版本。在来自名为“第三代合作伙伴计划”(3GPP)的组织的文档中描述了UTRA、E-UTRA、UMTS、LTE、LTE-A和GSM。在来自名为“第三代合作伙伴计划2”(3GPP2)的组织的文档中描述了CDMA2000和UMB。本文中所描述的技术可以用于上面提到的系统和无线电技术、以及其它系统和无线电技术。

为了使本领域的技术人员能够实现或使用本公开内容，在前面提供了对本公开内容的描述。对于本领域的技术人员而言，对本公开内容的各种修改将是显而易见的，并且在不背离本公开内容的范围的前提下，本文中定义的总体原理可适用于其它变型。贯穿本公开内容的术语“示例”或“示例性”指示实例或实例，并不暗示或要求所指的示例具有任何优选性。因此，本公开内容并不受限于本文中所描述的示例和设计，而是被给予与本文中所公开的原理和新颖特征相一致的最广范围。