分散式配置器实体的制作方法
示例实施例通常涉及无线网络,具体涉及在无线网络对网络证书的分散式存储和/或管理。
背景技术:
客户端设备(例如,无线站)可以被配置为使用公共密钥加密技术来与无线网络的一个或多个接入点(ap)进行通信。公共密钥加密(有时称为公共密钥/私有密钥加密)是一种使用已知(公共)密钥和秘密(私有)密钥来安全地传输数据的方法。每个设备可以具有唯一的一对公共密钥和私有密钥,这一对公共密钥和私有密钥在数学上和/或算法上相互关联。除传输数据外,公共密钥和私有密钥还可以用于验证消息和证书和/或生成数字签名。例如,客户端设备可以与无线网络内的ap共享其公共密钥。ap可以使用客户端设备的公共密钥来认证和配置客户端设备以访问(例如,连接到)无线网络。经认证的客户端设备可以与ap和/或无线网络内的其它设备进行通信。
在一些无线网络中,配置器可以管理网络中的每个设备的网络证书。例如,配置器可以基于与每个设备相关联的公共密钥/私有密钥来注册和/或验证无线网络的成员(例如,客户端设备和ap)。具体地说,配置器可以将至少每个客户端设备和/或ap的公共密钥信息存储在无线网络中。配置器可以使用所存储的公共密钥信息(例如,网络证书)以安全地与无线网络中的每个客户端设备和ap进行通信。配置器可以例如通过向客户端设备提供用以识别ap和/或与ap通信的信息来配置和/或准备客户端设备。类似地,配置器可以向ap提供用以识别和/或认证来自客户端设备的通信的信息。
配置器通常是智能手机或其它便携式设备,其可能丢失、被盗、被替换或以其它方式从无线网络被移除(例如,永久性地)。因此,可能期望在没有配置器的情况下保持无线网络的成员资格,而不必重新注册每个成员设备。
技术实现要素:
提供发明内容是为了以简化的形式介绍将在以下具体实施方式中进一步描述的一些概念的选择。本发明内容并不旨在确定所要求保护的主题的关键特征或必要特征,也不旨在限制所要求保护的主题的范围。
公开了一种用于在无线网络中对网络证书的分散式存储和/或管理的系统和方法。无线网络的第一设备从第一配置器接收一组网络证书。所述网络证书用于授权一个或多个设备访问无线网络。例如,所述网络证书可以包括与所述一个或多个设备相关联的可信公共密钥的列表。替代地或另外地,网络证书可以包括用于证实所述一个或多个设备作为所述无线网络的成员的一对公共密钥和私有密钥。所述第一设备还从第二设备接收用户认证证书,以及至少部分地基于用户认证证书将所述第二设备认证为所述无线网络的第二配置器。在将所述第二设备认证为所述第二配置器之后,所述第一设备然后可以将所述一组网络证书发送给所述第二配置器。
在示例实施例中,所述用户认证证书可以用于验证所述第一配置器和所述第二设备属于同一用户或者由同一用户使用。例如,所述用户认证证书可以包括由第二设备的用户输入的密码、语音数据或图像数据中的至少一个。第一设备可以从第一配置器接收参考证书,并将所述参考证书与所述用户认证证书进行比较。在一些方面中,所述第一设备可以将所述比较卸载为由所述无线网络外部的一个或多个处理资源执行。具体地说,所述第一设备可以在确定所述用户认证证书与所述参考证书基本匹配时将所述第二设备认证为所述第二配置器。
另外,在一些实施例中,所述第一设备可以至少部分地基于所述第一设备的公共身份密钥来与所述第二设备建立安全信道。例如,所述公共身份密钥可以以带外的方式提供给所述第一设备。相应地,所述第一设备可以经由所述安全信道从所述第二设备接收所述用户认证证书。一旦通过认证,所述第二配置器便可以授权另外的设备访问所述无线网络。
通过在无线网络中的多个设备之间分散网络证书,示例实施例提供了在管理对无线网络的访问时的冗余。例如,这可以允许在现有的配置器丢失、被盗、被替换或永久地从无线网络中移除的情况下,存储一组冗余的网络证书的接入点(ap)加载(on-board)新的配置器。此外,所述用户认证证书允许配置器基于其用户(例如,而不是设备本身)被认证。例如,这可以通过验证新的配置器的用户与旧的或现有的配置器的用户相同,确保在加载新的配置器时的更高的“可信度”。
附图说明
示例实施例通过示例的方式被示出,并且不旨在被附图的图片所限制。
图1示出了其中可以实现示例实施例的无线系统的框图。
图2示出了根据示例实施例的用于在多个设备之间分散网络证书的系统的框图。
图3是根据示例实施例描绘用于加载用于无线网络的新的配置器的操作的序列图。
图4示出了根据示例实施例的接入点的框图。
图5示出了根据示例实施例的无线设备的框图。
图6示出了根据示例实施例描绘用于分散用于无线网络的网络证书的操作的说明性流程图。
图7示出了根据示例实施例描绘用于在无线网络中加载新的配置器的操作的说明性流程图。
具体实施方式
下面仅为了简单起见在wlan系统的上下文中描述示例实施例。应当理解地是,示例实施例同样适用于其它无线网络(例如,蜂窝网络、微微网络、毫微微网络、卫星网络)以及适用于使用一个或多个有线标准或协议的信号的系统(例如,以太网和/或homeplug/plc标准)。如本文中所使用地,术语“wlan”和
在以下描述中,阐述了许多具体细节,诸如用以提供对本公开内容的透彻理解的具体组件、电路和过程的示例。本文使用的术语“耦合”意思是直接连接到或通过一个或多个中间组件或电路连接。术语“配置器”是指管理和/或控制对无线网络的访问的无线设备。例如,配置器可以注册或授权新成员加入无线网络,并且可以取消对现有成员加入无线网络的授权。“成员”或“成员设备”是指由配置器授权访问特定的无线网络的任何无线设备(例如,客户端设备或ap)。
此外,在下面的描述中,为了解释的目的,阐述了特定的术语以提供对示例实施例的透彻理解。然而,对于本领域技术人员将显而易见地是,可以不需要这些具体细节来实践示例实施例。在其它情况下,以框图形式示出公知的电路和设备以避免模糊本公开内容。以下的详细描述的一些部分是以过程、逻辑框、处理和对计算机存储器内的数据比特的操作的其它符号表示来呈现的。这些描述和表示是数据处理领域的技术人员用来将其工作的实质最有效地传达给本领域其它技术人员的手段。在本申请中,过程、逻辑框、处理过程等被认为是生成期望结果的步骤或指令的自洽序列。这些步骤是需要对物理量进行物理操纵的步骤。通常,虽然不一定,但这些量采取能够在计算机系统中存储、传输、组合、比较和以其它方式操纵的电信号或磁信号的形式。
然而,应该记住地是,所有这些和类似的术语都与适当的物理量相关联,并且仅仅是适用于这些量的方便的标签。除非特别声明,否则如从以下讨论中显而易见地那样,应理解地是,在整个本申请中,利用诸如“访问”、“接收”、“发送”、“使用”、“选择”、“确定”、“规格化”、“相乘”、“求平均”、“监测”、“比较”、“应用”、“更新”、“测量”、“导出”等是指计算机系统或类似的电子计算设备的动作和过程,其将在计算机系统的寄存器和存储器内表示为物理(电子)量的数据操纵和转换成类似地表示为计算机系统存储器或寄存器或其它这样的信息存储、传输或显示设备内的物理量的其它数据。
在附图中,单个框可以被描述为执行一个或多个功能;然而,在实际应用中,该框所执行的一个或多个功能可以在单个组件中执行,也可以跨多个组件执行,和/或可以使用硬件、使用软件或使用硬件和软件的组合来执行。为了清楚地说明硬件和软件的这种可互换性,上面已经根据其功能一般性地描述了各种说明性的组件、框、模块、电路和步骤。这样的功能是以硬件还是软件来实现取决于施加在整个系统上的特定应用和设计约束。虽然本领域技术人员可以针对每个特定应用以各种方式实现所描述的功能,但是这样的实现决策不应该被解释为导致偏离本发明的范围。而且,示例无线通信设备可以包括除了所示的那些组件之外的组件,包括诸如处理器、存储器等的公知组件。
本文描述的技术可以用硬件、软件、固件或其任何组合来实现,除非具体描述为以特定方式实现。被描述为模块或组件的任何特征也可以一起实现在集成逻辑器件中,或者作为分立但可互操作的逻辑器件单独实现。如果以软件实现,则可以至少部分地通过包括指令的非暂时性处理器可读存储介质来实现所述技术,所述指令在被执行时执行上述方法中的一个或多个。非暂时性处理器可读数据存储介质可以构成计算机程序产品的一部分,该计算机程序产品可以包括封装材料。
非暂时性处理器可读存储介质可以包括诸如同步动态随机存取存储器(sdram)、只读存储器(rom)、非易失性随机存取存储器(nvram)、电可擦除可编程只读存储器(eeprom)、flash存储器、其它已知存储介质等。另外或替代地,所述技术可以至少部分地通过以指令或数据结构的形式携带或传送代码并且可以由计算机或者其它处理器访问、读取和/或执行的处理器可读通信介质来实现。
结合本文公开的实施例描述的各种说明性逻辑框、模块、电路和指令可以由一个或多个处理器执行,这些处理器例如一个或多个数字信号处理器(dsp)、通用微处理器、专用集成电路电路(asic)、专用指令集处理器(asip)、现场可编程门阵列(fpga)或其它等效的集成或分立逻辑电路。如本文所使用的术语“处理器”可以指任何前述的结构或适合于实施本文所描述的技术的任何其它结构。另外,在一些方面中,本文描述的功能可以在如本文描述地来配置的专用软件模块或硬件模块内提供。而且,这些技术可以完全在一个或多个电路或逻辑元件中实现。通用处理器可以是微处理器,或者,处理器可以是任何传统的处理器、控制器、微控制器或状态机。处理器还可以被实现为计算设备的组合,例如,dsp和微处理器的组合、多个微处理器的组合、一个或多个微处理器与dsp核的结合、或者任何其它这样的配置。
图1是其中可以实现示例实施例的无线系统100的框图。无线系统100可以包括无线接入点(ap)110、无线局域网(wlan)120、客户端设备130(例如站或sta)和配置器140。wlan120可以由可以根据ieee802.11系列标准(或根据其它合适的无线协议)操作的多个wi-fi接入点(ap)。因此,尽管在图1中仅示出了一个ap110是为了简单起见,但是应当理解,wlan120可以由任意数量的诸如ap110的接入点形成。类似地,wlan120可以包括任意数量的客户端设备,诸如客户端设备130。对于一些实施例,无线系统100可以对应于单用户多输入多输出(su-mimo)或多用户mimo(mu-mimo)无线网络。尽管在图1中描绘了wlan120作为基础设施基本服务集(bss),但是对于其它示例实施例,wlan120可以是独立的基本服务集(ibss)、自组织网络或对等(p2p)网络(其根据wi-fidirect规范来运行)。
ap110可以是允许一个或多个无线设备通过ap110使用wi-fi、蓝牙或任何其它合适的无线通信标准连接到网络(例如,局域网(lan)、广域网(wan)、城域网(man)和/或因特网)的任何合适的设备。ap110被分配由例如设备制造商在其中编程的唯一的介质访问控制(mac)地址。对于一些实施例,ap110可以是充当支持软件的接入点(“softap”)的任何合适的无线设备(例如,蜂窝手机、pda、平板设备、膝上型计算机和/或sta)。对于至少一个实施例,ap110可以包括一个或多个收发机、一个或多个处理资源(例如,处理器和/或asic)、一个或多个存储器资源以及电源。存储器资源可以包括存储用于执行下面关于图6和7描述的操作的指令的非暂时性计算机可读介质(例如,一个或多个非易失性存储器元件,诸如eprom、eeprom、闪存、硬盘驱动器等)。
客户端设备130可以是任何合适的支持wi-fi的无线设备,包括例如蜂窝电话、个人数字助理(pda)、平板设备、膝上型计算机等。客户端设备130也可以被称为用户设备(ue)、订户站、移动单元、订户单元、无线单元、远程单元、移动设备、无线通信设备、远程设备、移动订户站、接入终端、移动终端、无线终端、远程终端、手机、用户代理、移动客户端、客户端或某个其它合适的术语。客户端设备130也被分配唯一的mac地址。对于至少一些实施例,客户端设备130可以包括一个或多个收发机、一个或多个处理资源(例如,处理器和/或asic)、一个或多个存储器资源以及电源(例如电池)。存储器资源可以包括存储用于执行下面参照图7描述的操作的指令的非暂时性计算机可读介质(例如,一个或多个非易失性存储器元件,诸如eprom、eeprom、闪存、硬盘驱动器等)。
配置器140可以是能够与客户端设备130和ap110安全通信的任何合适的设备。在示例实施例中,配置器140可以使用公共密钥加密技术和/或根据设备供应协议(dpp)与客户端设备130和ap110中的每一个通信。对于至少一些实施例,配置器140可以包括用于接收来自设备的用户或操作者的输入的用户输入特征(例如,触摸屏、键盘、麦克风等)。例如,配置器140可以是智能电话、个人数字助理(pda)、平板设备、膝上型计算机等。此外,对于一些实施例,配置器140可以包括一个或多个收发机、一个或多个处理资源(例如,处理器和/或asic)、一个或多个存储器资源以及电源(例如电池)。存储器资源可以包括存储用于执行下面参照图7描述的操作的指令的非暂时性计算机可读介质(例如,一个或多个非易失性存储器元件,诸如eprom、eeprom、闪存、硬盘驱动器等)。
对于ap110、客户端设备130和配置器140,一个或多个收发机可以包括wi-fi收发机、蓝牙收发机、蜂窝收发机、和/或其它合适的射频(rf)收发机(为简单起见未示出)以发送和接收无线通信信号。每个收发机可以在不同的工作频段和/或使用不同的通信协议与其它无线设备通信。例如,wi-fi收发机可以根据ieee802.11规范在2.4ghz频带内和/或在5ghz频带内进行通信。蜂窝收发机可以根据由第三代合作伙伴计划(3gpp)描述的4g长期演进(lte)协议(例如,在大约700mhz与大约3.9ghz之间)和/或根据其它蜂窝协议(例如全球移动通信系统(gsm)通信协议)在各种rf频带内通信。在其它实施例中,包括在客户端设备内的收发机可以是任何技术上可行的收发机,诸如由来自zigbee联盟的规范描述的zigbee收发机、wigig收发机和/或由来自homeplug联盟的规范描述的homeplug收发机。
配置器140管理对wlan120的访问和/或控制。例如,配置器140可以存储可以用于授权成员设备访问wlan120的一组网络证书142。在一些方面,配置器140可以注册和/或授权新设备加入wlan120(例如,并且成为wlan120的成员)。例如,在客户端设备130可以访问wlan120的任何服务和/或设备之前,配置器140可以先注册客户端设备130作为wlan120的成员。注册过程可以包括将客户端设备130认证为“可信”设备,并配置客户端设备130以与ap110和/或其它成员wlan120通信。出于讨论的目的,假设ap110已经(例如由配置器140)注册为wlan120的成员。
在示例实施例中,配置器140可以使用公共密钥加密技术来认证客户端设备130。公共密钥加密技术可以用于在配置器140和客户端设备130之间建立安全通信信道。例如,客户端设备130可以存储或者以其它方式与公共根身份密钥132和私有根身份密钥134相关联。公共密钥/私有密钥对132和134可以在制造客户端设备130时被编程和/或存储在客户端设备130中。公共根身份密钥(或公共密钥)132可以被分散给其它设备(例如,包括配置器140),而私有根身份密钥(或私有密钥)134可以仅被客户端设备130知晓。配置器140可以使用公共根身份密钥132来加密预期给客户端设备130的消息,并且客户端设备130可以使用其私有根身份密钥134来解密消息。
为了确保客户端设备130是“可信”设备,配置器140可以以带外的方式(例如,使用快速响应(qr)码、近场通信(nfc)、标签串、低功耗蓝牙(ble)、通用串行总线(usb)等)来获得公共根身份密钥132。例如,配置器140可以通过扫描(例如用光学设备和/或相机)打印在客户端设备130的表面或外壳上的qr代码来获取公共根识别密钥132。或者,公共根身份密钥132可以由配置器140的用户手动输入(例如,在从客户端设备130上的印刷标签读取之后)。另外,在一些方面中,客户端设备130可以通过短距离的通信信道(例如,nfc、ble、usb等)将其公共根身份密钥132发送给配置器140。配置器140用以获得公共根身份密钥132的带外方式确保了客户端设备130在认证过程期间处于配置器140的相对接近的范围内。因此,配置器140可以相信客户端设备130确实是它应该是的设备。
在认证过程期间,配置器140可以使用公共密钥加密与客户端设备130建立安全通信信道。例如,配置器140可以与客户端设备130交换加密的消息,以验证客户端设备130拥有与公共根身份密钥132相关联的私有根身份密钥134,并以提供其自己的公共根身份密钥(为了简单起见未示出)给客户端设备130。一旦被认证,客户端设备130便可以将消息安全地发送给配置器140(例如,使用配置器140的公共根身份密钥132),并且配置器140可以安全地发送消息到客户端设备130(例如,使用公共根身份密钥132)。
然后,配置器140可以将客户端设备130配置成访问和/或连接到wlan120。例如,配置器140可以将客户端设备130“引入”到wlan120中的其它设备,包括例如ap110。在一些方面,配置器140还可以例如基于ap110的公共根身份密钥112和私有根身份密钥114,使用公共密钥加密来与ap110进行通信。通过引入客户端设备130和ap110,配置器140证实两个设备是wlan120的经认证(例如,可信的)成员。然后,客户端设备130和ap110可以协商可以用于建立设备之间的安全通信链路的共享的成对主密钥(pmk)。例如,客户端设备130可以使用pmk来访问和/或连接到wlan120(例如,经由如由ieee802.11规范所定义的4路握手)。
在一些方面中,配置器140可以使用基于公共密钥白名单的访问控制技术来控制对wlan120的访问。例如,配置器140可以存储被授权访问和/或加入wlan120的可信(例如,成员)设备的列表。可信设备的列表可以被存储作为一组网络证书142。在一些实施例中,网络证书142可以包括wlan120的每个成员的身份密钥信息。在图1的例子中,网络证书142可以包括客户端设备130的公共根身份密钥132和ap110的公共根身份密钥112。相应地,配置器140可以将对wlan120的访问仅限于由那些由网络证书142(例如,成员设备)识别的设备。
在其它方面中,配置器140可以使用基于证书的访问控制技术来控制对wlan120的访问。例如,配置器140可以使用一对认证机构(ca)公共密钥和私有密钥(为了简单起见未示出)来对wlan120的成员设备的通信进行签名和/或证实。在一些实施例中,网络证书142可以包括用于证实wlan120的成员的ca公共密钥/私有密钥对。因此,配置器140可以将ca公共密钥分散给wlan120的成员设备(例如,客户端设备130和ap110),并可以使用ca私有密钥来对成员设备的通信进行签名或加密。这确保了只有wlan120的成员设备(例如,拥有ca公共密钥的设备)可以解密和/或验证其它成员设备的通信(例如,使用ca私有密钥签名的通信)。
在示例实施例中,配置器140可以将网络证书142的副本分散给wlan120中的其它设备。如上所述,配置器140可能丢失、被盗、被替换、或者(例如,永久性地)从wlan120移除。示例实施例还认识到,接入点往往是无线网络中的相对永久的固定装置,并且不太可能丢失或被盗。因此,在示例实施例中,配置器140可以传送网络证书142的副本以存储在ap110上。虽然在图1的示例中仅示出了一个实体(例如,ap110)接收网络证书142,在其它实施例中,配置器140可以将网络证书142分散给wlan120中的任何数量的设备(例如,ap和/或客户端设备)。例如,在一些实施例中,配置器140可以分散网络证书142给ap110和/或客户端设备130。
以分散式方式(例如,在wlan120中的多个设备上)存储网络证书142可以提供在管理对wlan120的访问时的冗余。尽管ap110可能(比配置器140)变得不太可能丢失、被盗或从wlan120移除,但ap110仍可能具有比配置器140不够鲁棒的特征集。例如,ap110可能不具有相机、蓝牙无线电单元、用户输入设备和/或为使用网络证书142注册和/或管理设备必需的其它特征。因此,对于一些实施例,ap110可以将网络证书142传送到另一无线设备(为了简单起见未示出),并且使无线设备能够承担以下角色:wlan120的配置器。
图2示出根据示例实施例的用于在多个设备之间分散网络证书的系统200的框图。系统200包括ap210、配置器220和无线设备230。ap210和配置器220可以分别是图1的ap110和配置器140的实施例。
配置器220管理对至少部分由ap210提供的无线网络(为了简单起见未示出)的访问和/或控制。更具体地,配置器220存储一组网络证书(nc)222,其可以被用于向可信设备和/或经认证的设备(例如,无线网络的成员)提供和/或限制对无线网络的访问。在一些方面,网络证书222可以包括用于可信任成员设备的公共根身份密钥的列表(例如,用于基于公共密钥白名单的访问控制)。在其它方面,网络证书222可以包括可以由配置器220(例如,或其它认证机构)使用以对成员设备的通信进行签名和/或证实的一对ca公共密钥和私有密钥(例如,用于基于证书的访问控制)。
在示例实施例中,ap210还可以存储由配置器220使用的网络证书222的副本以管理对无线网络的访问。例如,配置器220可以在将ap210注册为无线网络的成员之后在ap210上存储网络证书222的副本。为了保持ap210和配置器220之间的网络证书222的同步,配置器220可以在给定时间段期间周期性地更新存储在ap210上的网络证书222,以反映成员设备的任何添加和/或移除。或者,配置器220可以响应于无线网络的成员资格的任何改变来更新存储在ap210上的网络证书222。
无线设备230可以是能够与ap210安全地通信并管理对无线网络的访问的任何合适的设备。例如,无线设备230可以使用公共密钥加密技术和/或根据dpp协议与ap210通信。对于至少一些实施例,无线设备230可以包括用于接收来自设备的用户或操作者的输入的用户输入特征(例如,触摸屏、键盘、麦克风等)。例如,无线设备230可以是智能电话、pda、平板设备、膝上型计算机等。此外,无线设备230可以包括一个或多个收发机、一个或多个处理资源、一个或多个存储器资源以及电源。存储器资源可以包括存储用于执行下面参照图7描述的操作的指令的非暂时性计算机可读介质(例如,一个或多个非易失性存储器元件,诸如eprom、eeprom、闪存、硬盘驱动器等)。
在示例实施例中,ap210可以将无线设备230“加载(on-board)”(例如,建立或配置)为无线网络的配置器。例如,无线设备230可以用作配置器220的备份和/或提供针对配置器220的冗余。另外,无线设备230可以承担配置器220的角色(例如并且因此保持无线网络的成员资格),以应对配置器220丢失、被盗、更换和/或以其它方式从无线网络移除的情况。ap210可以通过进一步向无线设备230分散网络证书222的副本来将无线设备230建立为配置器。对于一些实施例,ap210可以在传输网络证书222给无线设备230之前,先确定无线设备230是“可信”设备。然而,在不存在配置器220的情况下,ap210可能无法通过成员注册过程(例如,使用dpp认证)来确定无线设备230的可信性。
示例实施例认识到特定的用户201可以拥有和/或操作配置器220和无线设备230两者。因此,在示例实施例中,ap210可以通过认证无线设备230的用户(例如,或者基于拥有和/或操作设备的用户201来认证无线设备230)来确定无线设备230的可信度。例如,ap210可以在接收到网络证书222时从配置器220接收和/或请求用户认证证书(uac)224。用户认证证书224可以包括将用户201唯一地识别为配置器220的所有者/或操作者的任何信息。为了验证用户201拥有配置器220,ap210可以在接收到来自配置器220的网络证书222时,请求用户201手动输入和/或提供用户认证证书224。
在一些实施例中,用户认证证书224可以包括字母数字密码。例如,ap210可以提示用户201经由配置器220的键盘或触摸屏输入或输入密码。在其它实施例中,认证证书224可以包括音频记录和/或语音数据。例如,ap210可以提示用户201重复在配置器220的屏幕和/或表面上显示的短语,而配置器220的麦克风记录用户的语音。另外,在一些实施例中,用户认证证书224可以包括照片和/或图像数据。例如,ap210可以使配置器220的相机或光学设备捕捉用户201的照片。
ap210可以结合网络证书222来存储用户认证证书224。在一些实施例中,ap210可以随后使用用户认证证书224来认证无线设备230作为无线网络的配置器。例如,当试图加载无线设备230时,可以经由一个或多个输入特征(例如,麦克风、相机、触摸屏、键盘等等)提示无线设备230的用户201输入或提供另一用户认证证书(uac)232。然后,无线设备230将用户认证证书232发送到ap210以用于认证目的。
ap210可以将来自无线设备230的用户认证证书232与从配置器220接收到的用户认证证书224进行比较,以确定相同的用户201是配置器220和无线设备230两者的所有者和/或操作者。如果ap210确定来自无线设备230的用户认证证书232基本上匹配来自配置器220的用户认证证书224,则ap210可以将网络证书222分散给无线设备230,并使得无线设备230能够承担无线网络的配置器的角色。
图3是示出根据示例实施例的用于加载无线网络的新的配置器的操作的序列图300。例如,参照图2的系统200,ap210最初可以作为wlan310的成员与配置器220进行通信。
在与ap210建立安全通信信道之后,配置器220可以分散要存储在ap210上或由ap210存储的网络证书222的副本。配置器220可以经由安全通信信道向ap210发送网络证书222。例如,在一些方面,配置器220可以使用公共密钥加密技术来加密网络证书222。在其它方面中,配置器220可以在无线网络的无线信道上发送网络证书222。
在示例实施例中,ap210可以在接收到网络证书222时从配置器220的用户请求用户认证证书(uac)。例如,ap210可以向配置器220发送uac请求301。uac请求301可以使配置器220提示用户201输入或提供用户认证证书224。如上所述,用户认证证书224可包括字母数字密码、语音记录、图像和/或其它信息,其唯一地标识配置器220的用户201。配置器220然后将用户认证证书224转发给ap210以与网络证书222一起存储。
在图3的例子中,无线设备(wd)230最初不是wlan310的成员。因此,在无线设备230可以被建立为wlan310的配置器之前,无线设备230可以先建立用于与ap210进行通信的安全信道。对于一些实施例,无线设备230可以根据dpp认证协议(例如,如以上关于图1所描述地)来建立安全信道。例如,无线设备230可以先获取ap210的公共根身份密钥303。对于一些实施例,无线设备230可以从ap210获取和/或接收公共根身份密钥303(例如,使用qr码、ble通信、nfc通信、usb连接、标签串等)以确保ap210是可信设备。
无线设备230然后可以使用ap210的公共根身份密钥303以建立与ap210的通信的安全信道。例如,无线设备230可以经由dpp认证请求305将其自己的公共根身份密钥提供给ap210。dpp认证请求305可以使用ap210的公共根身份密钥303被加密,并因此可以仅在ap210拥有对应的(例如,相对的)私有根身份密钥的情况下才被解密。ap210然后可以发送dpp认证响应307回到无线设备230,以确认或以其它方式向无线设备230指示ap210成功地接收(和解密)了dpp认证请求305。此时,无线设备230可以与ap210安全地通信(例如,使用ap210的公共根身份密钥303),并且ap210可以与无线设备230安全地通信(例如,使用无线设备230的公共根身份密钥)。
在安全通信信道被建立之后,无线设备230可以从ap210请求一组网络证书(nc)。例如,无线设备230可以向ap210发送nc请求309以获取网络证书222的副本。在示例实施例中,nc请求309可以包括由无线设备230的用户201输入的用户认证证书232。为了确保用户认证证书232的真实性,无线设备230可以提示用户201在触发和/或生成nc请求309时输入或提供用户认证证书232。
ap210可以通过将来自无线设备230的用户认证证书232与之前从配置器220接收的用户认证证书224进行比较来认证无线设备230的用户201。在验证了无线设备230的用户201与配置器220的用户相同时,ap210可以将网络证书222的副本发送到无线设备230,并使无线设备230能够作为wlan310的配置器来操作。相应地,无线设备230可以在配置器220丢失、被盗、被替换或以其它方式从wlan310移除的情况下,提供针对配置器220的冗余和/或保持wlan310的成员资格。
图4示出了根据示例实施例的接入点(ap)400的框图。ap400可以是图1的ap110和/或图2的ap210的一个实施例。ap400至少包括phy设备410、网络接口420、处理器430、存储器440以及多个天线450(1)-450(n)。网络接口420可以用于直接地或经由一个或多个中间网络与wlan服务器(为了简单起见未示出)进行通信,并且用于发送信号。
phy设备410至少包括一组收发机411和基带处理器412。收发机411可以直接地或通过天线选择电路(为简单起见未示出)耦合到天线450(1)-450(n)。收发机411可以用于向其它无线设备(例如,ap、客户端设备和/或其它无线设备)发送信号并且从其它无线设备接收信号,并可以用于扫描周围环境以检测和识别(例如,在ap400的无线范围内的)附近的无线设备。基带处理器412可以用于处理从处理器430和/或存储器440接收的信号,并将经处理的信号转发给收发机411以经由一个或多个天线450(1)-450(n)进行传输。基带处理器412还可以用于处理经由收发机411从一个或多个天线450(1)-450(n)接收的信号,并将经处理的信号转发到处理器430和/或存储器440。
存储器440可以包括网络证书存储442,网络证书存储442存储用于授权设备(例如,成员设备)访问wlan的一组网络证书。在一些方面,网络证书存储442可以存储用于wlan的每个成员的身份密钥信息(例如,公共根身份密钥)(例如,用于基于公共密钥白名单的访问控制)。在其它方面,网络证书存储442可以存储可以用于证实成员设备的通信的一对认证机构(ca)公共密钥和私有密钥(例如,用于基于证书的访问控制)。对于一些实施例,网络证书存储442可以包括用户认证证书(uac)存储443以存储与网络证书相关联的用户认证证书。例如,用户认证证书可以包括唯一地标识无线设备的用户的密码、语音数据、图像数据和/或其它信息。
存储器440还可以包括可以存储至少以下软件(sw)模块的非暂时性计算机可读介质(例如,一个或多个非易失性存储器元件,诸如eprom、eeprom、闪存、硬盘驱动器等):
·网络证书分散sw模块445,用于在wlan的成员当中获取和/或分散存储在网络证书存储442中的网络证书,
·配置器认证sw模块446,用于至少部分地基于用户认证证书来认证无线设备作为用于wlan的新的配置器;以及
·配置器加载sw模块447,用于将存储在网络证书存储442中的网络证书提供给新的配置器,并使新的配置器能够管理和/或控制对wlan的访问。
每个软件模块包括在由处理器430执行时使ap400执行对应的功能的指令。存储器440的非暂时性计算机可读介质因此包括用于执行图6中描绘的操作和/或图7中描绘的ap侧操作的全部或一部分的指令。
处理器430可以是能够执行存储在ap400中(例如在存储器440内)的一个或多个软件程序的脚本或指令的一个或多个任何合适的处理器。例如,处理器430可以执行网络证书分散sw模块445,以在wlan的成员当中获取和/或分散存储在网络证书存储442中的网络证书。处理器430还可以执行配置器认证sw模块446以至少部分地基于用户认证证书来将无线设备认证为用于wlan的新的配置器。另外,处理器430可以执行配置器加载sw模块447以将存储在网络证书存储442中的网络证书提供给新的配置器,并使新的配置器能够管理和/或控制对wlan的访问。
图5示出了根据示例实施例的无线设备500的框图。无线设备500可以是图2的无线设备230的一个实施例。无线设备500还可以是图1的配置器140和/或图2的配置器220的一个实施例。无线设备500至少包括phy设备510、处理器520、存储器530和多个天线540(1)-540(n)。
phy设备510至少包括一组收发机511和基带处理器512。收发机511可以直接地或通过天线选择电路(为简单起见未示出)耦合到天线540(1)-540(n)。收发机511可以用于向其它无线设备(例如,ap、客户端设备和/或其它无线设备)发送信号并从其它无线设备接收信号,并且可以用于扫描周围环境以检测和识别(例如在无线设备500的无线范围内的)附近的无线设备。基带处理器512可以用于处理从处理器520和/或存储器530接收的信号,并将经处理的信号转发到收发机511以经由一个或多个天线540(1)-540(n)进行发送。基带处理器512还可以用于处理经由收发机511从一个或多个天线540(1)-540(n)接收的信号并将经处理的信号转发到处理器520和/或存储器530。
存储器530可以包括网络证书存储531,后者存储用于授权设备(例如成员设备)访问wlan的一组网络证书。对于一些实施例,网络证书存储531可以存储用于wlan的每个成员的身份密钥信息(例如,公共根身份密钥)(例如,用于基于公共密钥白名单的访问控制)。对于其它实施例,网络证书存储531可以存储可以用于证实成员设备的通信的一对认证机构(ca)公共密钥和私有密钥(例如,用于基于证书的访问控制)。
存储器530还可以包括可以存储至少以下软件(sw)模块的非暂时性计算机可读介质(例如,一个或多个非易失性存储器元件,诸如eprom、eeprom、闪存、硬盘驱动器等):
·用户认证sw模块532,用于从无线设备500的用户获取用户认证证书(uac)533;
·网络证书卸载sw模块534,用于将存储在网络证书存储531中的网络证书卸载和/或分散给wlan的一个或多个成员设备(例如,ap);以及
·配置器建立sw模块536,用于配置和/或操作无线设备500作为wlan的配置器。
每个软件模块包括在由处理器520执行时使无线设备500执行对应的功能的指令。存储器530的非暂时性计算机可读介质因此包括用于执行图7中描绘的配置器侧操作和/或无线设备侧操作的全部或一部分的指令。
处理器520可以是能够执行存储在无线设备500中(例如在存储器530内)的一个或多个软件程序的脚本或指令的一个或多个任何合适的处理器。例如,处理器520可以执行用户认证sw模块532以从无线设备500的用户获取用户认证证书533。处理器520还可以执行网络证书卸载sw模块534以卸载和/或分散存储在网络证书存储531中的网络证书给wlan的一个或多个成员设备(例如,ap)。另外,处理器520可以执行配置器建立sw模块536来配置和/或操作无线设备500作为wlan的配置器。
图6示出了根据示例实施例描绘用于分散用于无线网络的网络证书的操作600的说明性流程图。例如参考图2所示,示例操作600可以由ap210执行以将一组网络证书222从配置器220分散和/或传送到无线设备230。
ap210首先从配置器接收一组网络证书(610)。例如,ap210可以在向配置器220认证时和/或之后周期地(例如,或者响应于网络证书222的改变)从配置器220接收网络证书222。网络证书222可以被用来将对无线网络的访问限于可信设备和/或经认证的设备(例如,无线网络的成员)。在一些方面,网络证书222可以包括用于可信任成员设备的公共根身份密钥的列表(例如,用于基于公共密钥白名单的访问控制)。在其它方面,网络证书222可以包括可以由认证机构用以对成员设备的通信进行签名和/或证实的一对ca公共密钥和私有密钥(例如,用于基于证书的访问控制)。
ap210可以从无线设备接收用户认证证书(uac)(620)。例如,ap210可以从无线设备230接收用户认证证书232。更具体地,无线设备230的用户201可以经由无线设备的一个或多个输入特征(例如,麦克风、照相机、触摸屏、键盘等)。在一些实施例中,用户认证证书232可以包括字母数字密码。在其它实施例中,用户认证证书232可包括音频记录和/或语音数据。另外,在一些实施例中,用户认证证书232可以包括照片和/或图像数据。
ap210然后可以至少部分地基于用户认证证书将无线设备认证为新的配置器(630)。示例实施例认识到,相同的用户201可以拥有和/或操作无线设备230和配置器220两者。因此,ap210可以通过认证用户201来确定无线设备230的可信度(例如,而不仅仅是认证无线设备230)。例如,ap210可以将来自无线设备230的用户认证证书232与存储的用户认证证书224(例如,其可以先前从配置器220接收到)进行比较,以确定是否相同的用户201输入了用户认证证书224和232两者。如果来自无线设备230的用户认证证书232基本上匹配所存储的用户认证证书224,则ap210可以将无线设备认证为新的配置器。
最后,在将无线设备认证为新的配置器时,ap210可以将网络证书发送到无线设备(640)。例如,ap210可以将网络证书222的副本分散给无线设备230,以使无线设备230能够充当配置器220的备份和/或提供针对配置器220的冗余。此外,通过存储网络证书222的副本,在配置器220丢失、被盗、被替换和/或以其它方式从无线网络移除的情况下,无线设备230可以承担配置器220的角色(例如并因此保持无线网络的成员资格)。
图7示出了根据示例实施例的描绘用于在无线网络中加载新的配置器的操作700的说明性流程图。例如参考图2所示,示例操作700可以由ap210、配置器220和无线设备230执行,以将无线设备230加载作为无线网络的配置器。
配置器220从配置器220的用户接收第一用户认证证书(uac0)(702)。如上所述,第一用户认证证书uac0可以包括唯一地标识配置器220的用户201的字母数字密码、语音记录、图像和/或其它信息。更具体地,用户201可以使用配置器220的一个或多个输入特征(例如,麦克风、照相机、触摸屏、键盘等)在配置器220上输入第一用户认证证书uac0。
配置器220然后向ap210发送具有第一用户认证证书uac0的一组网络证书(nc)(704)。例如,配置器220可以分散网络证书222的副本(例如,用于向成员设备授权和/或限制对无线网络的访问)以在ap210上或者由ap210存储。对于一些实施例,网络证书222可以被重新分散(例如,由ap210)给其它设备。相应地,第一用户认证证书uac0可以充当用于验证尝试获取网络证书222的副本的任何设备的(例如,用户)可信度的“参考证书”。
ap210存储来自配置器220的网络证书和第一用户认证证书uac0(706)。对于一些实施例,ap210可以在先从配置器220接收网络证书222的副本之后请求第一用户认证证书uac0。例如,在接收到网络证书222时,ap210可以发送uac请求给配置器220,使配置器220提示用户201输入或提供第一用户认证证书uac0。在示例实施例中,ap210可以使用网络证书222和第一用户认证证书uac0以加载新的配置器设备。例如,ap210可以将无线设备230加载作为无线网络的配置器。
无线设备230从无线设备230的用户接收第二用户认证证书(uac1)(708)。第二用户认证证书uac1可以具有与第一用户认证证书uac0相同的格式和/或类型。例如,第二用户认证证书uac1可以包括唯一地标识无线设备230的用户201的字母数字密码、语音记录、图像和/或其它信息。具体地,用户201可以使用无线设备230的一个或多个输入特征(例如,麦克风、照相机、触摸屏、键盘等)输入第二用户认证证书uac1。
无线设备230还建立与ap210的通信的安全信道(710)。在示例实施例中,无线设备230可以根据dpp协议来建立安全信道。例如,无线设备230可以以带外的方式(例如,使用qr码、ble通信、nfc通信、usb连接、标签串等)获取ap210的公共根身份密钥,以确保ap210是可信设备。无线设备230然后可以启动与ap210的dpp认证过程以建立安全通信信道(例如,经由对加密消息的交换)。在认证过程期间,无线设备230可以将其自己的公共根身份密钥提供给ap210。
无线设备230然后经由安全通信信道将第二用户认证证书uac1发送到ap210(712)。例如,无线设备230可以使用其自己的私有根身份密钥来加密第二用户认证证书uac1。然后,ap210可以使用(例如,在dpp认证过程期间接收的)无线设备230的公共根身份密钥来解密第二用户认证证书uac1。
ap210可以将第二用户认证证书uac1与第一用户认证证书uac0进行比较,以验证无线设备230的用户201(714)。在示例实施例中,ap210可以基于比较结果来确定无线设备230的用户201是否与配置器220的用户201相同。如果第二用户认证证书uac1不匹配第一用户认证证书uac0(716),则ap210可以终止对无线设备230的配置器建立(718)。例如,ap210可以向无线设备230发送指示无线设备230(和/或无线设备230的用户)不可以被认证的消息。
如果第二用户认证证书uac1与第一用户认证证书uac0基本匹配(如在716处测试的),则ap210可以继续进行以将所存储的网络证书发送到无线设备230(720),并使无线设备230使用网络证书作为无线网络的配置器来操作(722)。例如,无线设备230可以从ap210接收网络证书222的副本,并且可以随后使用网络证书222来向成员设备提供和/或限制对无线网络的访问。相应地,无线设备230可以在配置器220丢失、被盗、被替换或以其它方式从无线网络移除的情况下,提供针对配置器220的冗余和/或保持无线网络的成员资格。
本领域的技术人员将认识到,可以使用各种不同的技术和技艺中的任一种来表示信息和信号。例如,可以通过电压、电流、电磁波、磁场或者粒子、光场或者粒子或者其任何组合来表示可以在整个上述描述中被引用的数据、指令、命令、信息、信号、比特、符号和码片。
此外,本领域技术人员将认识到,结合本文公开的方面描述的各种说明性的逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,上面已根据其功能一般性地描述了各种说明性的组件、块、模块、电路和步骤。这样的功能是以硬件还是软件来实现取决于施加在整个系统上的特定应用和设计约束。本领域技术人员可以针对每个特定应用以不同方式实现所描述的功能,但是这样的实现决策不应该被解释为导致背离本公开内容的范围。
结合本文公开的方面描述的方法、序列或算法可直接体现为硬件、由处理器执行的软件模块或两者的组合。软件模块可以驻留在ram存储器、闪存、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动磁盘、cd-rom或本领域已知的任何其它形式的存储介质中。示例性存储介质被耦合到处理器,使得处理器可从存储介质读取信息及将信息写入到存储介质。或者,存储介质可以集成到处理器中。
在前述说明书中,已参照其具体示例实施例描述了示例实施例。然而,显而易见地是,可以对其作出各种修改和改变而不脱离如所附权利要求书中阐述的本公开内容的更宽范围。相应地,说明书和附图被认为是说明性的而不是限制性的。
- 还没有人留言评论。精彩留言会获得点赞!