专利名称:用于管理员驱动的简表更新的方法和设备的制作方法
技术领域:
本发明的实施例涉及数据网络领域,更具体地说,涉及无线网络。
背景技术:
Wi-Fi保护接入(WPA)和Wi-Fi保护接入2 (WPA2)是在IEEE 802. Ili规范中提出的无线安全协议。对于个人无线网络环境来说,WPA/WPA2需要PSK (预共享密钥)认证。但是,这些标准并没有提供足够的解决方案来及时且自动地更新在个人无线网络中的用户认证过程中所使用的安全简表。
根据下文给出的详细描述和本发明的各种实施例的附图,将能更全面地了解本发明的实施例,但是这些不应视为是将本发明局限于特定实施例,而是它们只是为了说明和
便于理解。图I是根据本发明一个实施例的无线通信系统的图解表示。图2A示出根据本发明一个实施例由通信系统执行的操作序列。图2B是示出根据本发明实施例用于生成一次性密码的随机字符表和图像的实例的图。图3示出根据本发明一个实施例的网络设备。图4是用于更新安全简表的过程的一个实施例的流程图。图5A示出包含关于简表版本的信息的数据分组的实施例。图5B示出包括简表更新请求的数据分组的实施例。图5C示出包括简表更新响应的数据分组的实施例。图6示出与本发明的一个实施例一起使用的计算机系统。
具体实施例方式介绍用于安全简表更新的设备和方法。在一个实施例中,该方法包括确定与无线客户端相关联的安全简表的版本;以及确定是否存在新的安全简表。该方法包括至少基于随机字符表和图像内的一些图像区域计算一次性密码。该方法还包括通过利用一次性密码的第一部分作为加密密钥来生成新的安全简表的加密版本;以及向无线客户端发送简表更新请求。在以下描述中,阐述了众多细节以便更加详尽地说明本发明的实施例。但是,本领域技术人员将明白,没有这些具体细节也可实现本发明的实施例。在其它情况下,以框图形式而没有详细地示出公知的结构和装置,以免使本发明的实施例晦涩难懂。以下详细描述的一些部分用对计算机存储器内的数据位的操作的算法和符号表示加以介绍。这些算法描述和表示是数据处理领域的技术人员用来向本领域其它技术人员最有效地传达他们的工作实质的手段。这里一般将算法设想为是导致期望结果的独立的步骤序列。这些步骤是需要物理量的物理操纵的步骤。通常但不一定,这些量采用能够存储、传送、组合、比较以及以其它方式进行操纵的电或磁信号的形式。主要出于常用的原因,有时将这些信号称为位、值、元素、符号、字符、项、数字等经证实是便利的。但是,应记住,所有这些和类似术语都与合适的物理量相关联,并且只是应用于这些量的便利标记。除非另外特别指出,否则从以下论述显而易见,将明白,在整篇描述中,利用诸如“处理”、“演算”、“计算”、“确定”或“显示”等术语的论述是指操纵表示为计算机系统的寄存器和存储器内的物理(电子)量的数据并将这些数据变换为类似地表示为计算机系统的存储器、寄存器或其它这样的信息存储、传输或显示装置内的物理量的其它数据的计算机系统或类似电子计算装置的动作和过程。本发明的实施例还涉及用于执行本文的操作的设备。一些设备可出于需要的目的特定构造而成,或者它可以包括由存储在计算机中的计算机程序选择性地激活或重新配置的通用计算机。这样的计算机程序可存储在计算机可读存储介质中,例如但不限于任何类型的盘,包括软盘、光盘、CD-ROM、DVD-ROM和磁-光盘;只读存储器(ROM);随机存取存储器(RAM) ;EPROM ;EEPROM ;NVRAM ;磁或光卡;或任何类型的适于存储电子指令并且均耦合到计算机系统总线的介质。 本文介绍的算法和显示不与任何特定计算机或其它设备固有地相关。各种通用系统可以与根据本文的教导的程序一起使用,或者将更加专门的设备构造成执行所需的方法步骤经证实是便利的。各种这些系统的所需结构将从以下描述显见。另外,没有参考任何特定编程语言来描述本发明的实施例。将明白,可使用各种编程语言来实现本文所描述的本发明的教导。机器可读介质包括用于存储或传送以可供机器(如计算机)读取的形式的信息的任何机制。例如,机器可读介质包括只读存储器(“ROM”);随机存取存储器(“RAM”);磁盘存储介质;光存储介质;闪速存储器装置;等等。无线通信系统
图I是根据本发明一个实施例的无线通信系统的图解表示。参考图1,在一个实施例中,无线通信系统100包括一般示为110、120和130的一个或多个无线通信网络。在一个实施例中,无线通信系统100包括无线个域网(WPAN) 110、无线局域网(WLAN) 120和无线城域网(WMAN) 130。在其它实施例中,无线通信系统100包括另外的或更少的无线通信网络。例如,无线通信网络100包括另外的WPAN、WLAN和/或WMAN。本文描述的方法和设备在这方面不受限制。在一个实施例中,无线通信系统100包括一个或多个订户站(例如,示为140、142、144、146和148)。例如,订户站140、142、144、146和148包括无线电子装置,例如桌面型计算机、膝上型计算机、手持式计算机、平板计算机、蜂窝电话、寻呼机、音频/视频播放器(例如,MP3播放器或DVD播放器)、游戏装置、摄像机、数码相机、导航装置(例如,GPS装置)、无线外围设备(例如,打印机、扫描仪、耳机、键盘、鼠标等)、医疗装置(例如,心率监测器、血压监测器等)和其它合适的固定、便携式或移动电子装置。在一个实施例中,无线通信系统100包括更多或更少的订户站。在一个实施例中,订户站140、142、144、146和148利用各种调制技术,例如扩频调制(例如,直序码分多址(DS-CDMA)、跳频码分多址(FH-CDMA)或两者)、时分复用(TDM)调制、频分复用(FDM)调制、正交频分复用(OFDM)调制、多载波调制(MDM)、其它合适的调制技术或其组合,以便经由无线链路进行通信。在一个实施例中,膝上型计算机140根据需要非常低功率的合适的无线通信协议进行操作以便实现WPAN 110,无线通信协议可以是例如Bluetooth. RTM.、超宽带(UWB)、射频标识(RFID)或其组合。在一个实施例中,膝上型计算机140经由无线链路与同WPAN 110相关联的诸如摄像机142、打印机144或两者的装置通信。在一个实施例中,膝上型计算机140使用直序扩频(DSSS)调制、跳频扩频(HlSS)调制或两者来实现WLAN 120 (例如,根据由电气和电子工程师协会(IEEE)开发的802. 11系列标准或这些标准的变型和演进的基础服务集(BSS)网络)。例如,膝上型计算机140经由无线链路与同WLAN 120相关联的诸如打印机144、手持式计算机146、智能电话148或其组合的装置通信。在一个实施例中,膝上型计算机140还经由无线链路与接入点(AP) 150通信。AP150在操作上耦合到路由器152,这将在下文进一步详细描述。或者,AP 150和路由器152 可集成到单个装置(例如,无线路由器)中。在一个实施例中,膝上型计算机140利用OFDM调制以通过将射频信号分成多个小的子信号、接着在不同的频率同时传送这些小的子信号来传送大量数字数据。在一个实施例中,膝上型计算机140利用OFDM调制来实现WMAN 130。例如,膝上型计算机140根据由IEEE开发的用于规定固定、便携式、移动宽带无线接入(BWA)网络的802. 16系列标准(例如,2004年发布的IEEE标准802. 16)或其组合操作以经由无线链路与示为160、162和164的基站通信。尽管上文参照由IEEE开发的标准描述了以上一些实例,但是本文公开的方法和设备可容易地应用于由其它特殊兴趣团体、标准开发组织(例如,无线保真(Wi-Fi)联盟、全球微波接入互操作性(WiMAX)论坛、红外数据协会(IrDA)、第三代合作伙伴计划(3GPP)等)开发的许多规范、标准或其组合。本文描述的方法和设备在这方面不受限制。WLAN 120和WMAN 130在操作上耦合到网络170 (公共或私有网络),网络170可以是例如互联网、电话网络(例如,公共交换电话网络(PSTN))、局域网(LAN)、电缆网络和经由到以太网的连接、数字订户线(DSL)、电话线、同轴电缆、任何无线连接等的另一无线网络、或其组合。在一个实施例中,WLAN 120经由AP 150和路由器152在操作上耦合到网络170。在另一个实施例中,WMAN 130经由基站160、162、164或其组合在操作上耦合到网络170。网络170包括一个或多个网络服务器(未示出)。在一个实施例中,无线通信系统100包括其它合适的无线通信网络,例如示为180的无线网状网络。在一个实施例中,AP 150、基站160、162和164与一个或多个无线网状网络相关联。在一个实施例中,AP 150与无线网状网络180的网点(MP) 190之一通信或作为无线网状网络180的网点(MP)190之一操作。在一个实施例中,AP 150结合一个或多个MP190接收和传送数据。在一个实施例中,MP 190包括接入点、重新分配点、端点、其它合适的连接点或其组合以用于经由网状路径的业务流。MP 190利用上文所描述的任何调制技术、无线通信协议、有线接口或其组合来通信。在一个实施例中,无线通信系统100包括无线广域网(WWAN),例如蜂窝无线电网络(未示出)。膝上型计算机140根据其它无线通信协议操作以支持WWAN。在一个实施例中,这些无线通信协议基于模拟、数字、或双模式通信系统技术,例如全球移动通信系统(GSM)技术、宽带码分多址(WCDMA)技术、通用分组无线电服务(GPRS)、技术、增强型数据GSM环境(EDGE)技术、通用移动电信系统(UMTS)技术、高速下行链路分组接入(HSDPA)技术、高速上行链路分组接入(HSUPA)技术、基于这些技术的其它合适代的无线接入技术(例如,3G、4G等)标准、这些标准的变型和演进、以及其它合适的无线通信标准。尽管图4描绘了 WPAN、WLAN和WMAN,但在一个实施例中,无线通信系统100包括WPAN、WLAN、WMAN和WffAN的其它组合。本文描述的方法和设备在这方面不受限制。在一个实施例中,无线通信系统100包括其它WPAN、WLAN、WMAN或WffAN装置(未示出),例如网络接口装置和外围设备(例如,网络接口卡(NIC))、接入点(AP)、重新分配点、端点、网关、桥接器、集线器等,以便实现蜂窝电话系统、卫星系统、个人通信系统(PCS)、双向无线电系统、单向寻呼机系统、双向寻呼机系统、个人计算机(PC)系统、个人数字助理(PDA)系统、个人计算配件(PCA)系统、其它合适的通信系统或其组合。在一个实施例中,订户站(例如,140、142、144、146和148)、AP 150、或基站(例如, 160、162和164)包括串行接口、并行接口、小型计算机系统接口(SCSI)、以太网接口、通用串行总线(USB)接口、高性能串行总线接口(例如,IEEE 1394接口)、任何其它合适类型的有线接口或其组合,以便经由有线链路进行通信。尽管上文描述了某些实例,但是本公开的覆盖范围不限于此。本发明的实施例可以在各种电子装置和逻辑电路中实现。此外,包含本发明的实施例的装置或电路可包含在各种计算机系统内。本发明的实施例也可包含在其它计算机系统拓扑和体系结构中。管理员驱动的简表更新
图2A示出根据本发明一个实施例由通信系统执行的操作序列。参考图2A,在一个实施例中,通信系统包括客户端250 (例如,参照(with respect to)图I的电子无线装置)和认证器251 (例如,参照图I的接入点)。在一个实施例中,客户端250包括参照图3描述的网络设备。在一个实施例中,认证器251包括参照图3描述的网络设备。在一个实施例中,认证器251充当参考客户端-服务器网络的情境的服务器或管理员。在一个实施例中,将支持一个或多个无线客户端(如客户端250)的单个无线AP(如认证器251)称为基础服务集(BSS)。连接到相同的有线网络的两个或两个以上无线AP的集合称为扩展服务集(ESS)。ESS是单个逻辑网络段(又称为子网),并且由服务集标识符(SSID)标识。在一个实施例中,客户端250发送认证请求(过程210)以建立数据通信。认证器251响应该请求(过程211)。在一个实施例中,客户端250向认证器251发送关联请求(过程212)。作为响应,认证器251向客户端250发送关联响应(过程213)。如果关联成功,那么客户端250触发与认证器251的4向握手,以使得客户端250能够发送数据帧。建立数据通信(过程214)。在一个实施例中,无线安全简表包括用于建立安全无线连接的信息。在一个实施例中,无线安全简表包括诸如简表版本、认证算法、密码密钥、SSID、口令(passphrase)、和服务质量设置(QoS)的信息。无线安全简表在本文又称为简表或安全简表。客户端250和认证器251还至少共享公共图像。在一个实施例中,客户端250在关联相关的数据帧中封装无线安全简表的版本信息。例如,图5A示出结合关联请求/响应(例如,在过程212-213期间)发送的元素。基于简表版本信息,认证器251确定客户端250所使用的安全简表是否需要更新。在一个实施例中,如果认证器251发现存在安全简表的新版本,那么认证器251尝试使客户端更新至新的安全简表。在一个实施例中,为新的安全简表指派较高的版本号,或者使新的安全简表与可用于确定安全简表是较新还是较旧的标识符相关联。在一个实施例中,认证器251生成随机字符表(过程243)。认证器251计算一次性密码(过程244)。下文将另外参考图2B进一步详细地描述一次性密码的生成。注意,客户端250和认证器251都具有关于彼此的IP地址和MAC地址的信息,因为客户端250已经成功地与认证器251相关联。在一个实施例中,认证器251通过利用生成的OTP作为密钥来加密和签署新的安全简表(过程245)。在一个实施例中,生成的OTP包括两个部分用于加密/解密目的的 OTP-ED部分;以及用于签名和验证目的的OTP-SV部分。在一个实施例中,OTP-ED用作用于加密以及稍后解密新的安全简表的密钥。在一个实施例中,OTP-SV用于签署以及稍后验证新的安全简表。在一个实施例中,认证器251编排包括随机字符表、加密且签名的简表的UDP数据有效负载(过程246)。UDP数据有效负载包括用于指示它是简表更新请求的标识符。在一个实施例中,认证器251根据图5B中示出的实例准备UDP数据分组。认证器251通过无线介质将UDP数据分组发送到客户端250 (过程216)。在一个实施例中,认证器251存储客户端250的IP地址和MAC地址。在一个实施例中,客户端250接收UDP数据分组。客户端250解码数据分组并检索包含在其中的随机字符表(过程221)。在一个实施例中,随机字符表没有加密。在一个实施例中,客户端250通过利用参考图2B描述的机制来计算一次性密码(过程222)。在一个实施例中,通过使用随机字符表,客户端250能够计算由认证器251生成的相同的一次性密码(结合过程244)。在一个实施例中,客户端250通过使用所计算的OTP来解密并验证包含在UDP数据分组中的新的安全简表(过程223)。解密和验证的过程借鉴由认证器251执行的操作。在一个实施例中,如果验证成功,那么客户端250安装新的安全简表(例如通过更新设置而采用新的安全简表以根据新的安全简表建立无线连接)。在一个实施例中,客户端250生成随机摘要以准备响应消息(即,简表更新响应)。客户端250通过使用OTP的部分(OTP-ED)来加密随机摘要。客户端250通过使用OTP的另一部分(OTP-SV)来签署加密的摘要。客户端250包括根据图5C中示出的实例在UDP数据有效负载中的响应消息。客户端250将UDP数据分组作为确认发送给认证器251 (过程217)。在一个实施例中,除了别的以外,简表更新响应还包括指示客户端250是否已经基于新的安全简表成功更新了它的设置的状态代码。在一个实施例中,认证器251解码简表更新响应消息以获得其有效负载(过程247)。认证器251检查状态代码以确定更新是否成功。
在一个实施例中,认证器251从客户端250接收响应消息。认证器251通过使用OTP来解码、解密和验证响应消息。在一个实施例中,认证器251通过使用OTP-ED作为密钥来解密随机摘要的内容,然后利用OTP-SV来核实信息的MIC。如果客户端250已经成功执行更新,那么状态代码将指示,更新过程成功并且MIC验证(签名检查)有效。在一个实施例中,如果验证失败或者如果超时(在等待来自客户端250的响应时),那么认证器251终止到客户端250的连接(过程248)。在一个实施例中,客户端250利用安全简表的较旧版本来执行解除认证(或解除关联)机制。在一个实施例中,在终止连接之后,客户端250结合新安装的安全简表建立到认证器251的新的无线连接。在一个实施例中,认证器251使与客户端250相关联的安全简表的较旧版本无效,以使得客户端250将不能够再次使用安全简表的该较旧版本。从这一刻起,客户端250使用新的安全简表来建立到网络的连接。注意,认证器251可以为尚未通过简表更新过程更新至较新简表的其它客户端保留较旧简表。在一个实施例中,认证器251保留两个或两个 以上简表以满足尚未更新至新的安全简表的客户端装置。在一个实施例中,利用TCP机制来在认证器251和客户端250之间传送简表更新请求/响应。对此,在发送出简表更新请求/响应之前,执行3向TCP握手过程。在一个实施例中,通过使用对称加密算法(例如,AES)来执行加密。在一个实施例中,在无需召回客户端装置(例如,客户端250 )的情况下执行安全简表更新。在一个实施例中,结合其它协议使用安全简表更新(受管理员驱动),其它协议可以是例如 IEEE 802. 16 和 IEEE 802. 21、IEEE 802. 11、IEEE 802. 15 和 LTE/3G。图2B是示出根据本发明实施例用于生成一次性密码的随机字符表和图像的实例的图。参考图2B,在一个实施例中,认证器生成随机字符表。在一个实施例中,利用包括共享字符密码和共享图像的相同的共享多因素秘密来预先配置客户端和认证器。共享字符密码在本文又称为口令。共享字符密码和共享图像将结合随机字符表80 —起使用以生成一次性密码(OTP)。在一个实施例中,随机字符表80具有10个行和10个列,并且包括用于编排口令的特定字符。随机字符表80内的字符彼此完全不同,并且是随机生成的。另外,随机字符表80中的六个位置包括空白字符,它们不可在口令中使用。这留下96个字符用于编排一次性密码。应了解,可使用其它备选的随机字符表格式。在一个实施例中,认证器(或客户端)能够从存储器中检索口令和共享图像。口令(共享字符密码)和共享图像由例如网络管理员生成,并且在将客户端装置或认证器装置递送给最终用户之前存储在认证器中。在一个实施例中,口令包括字符串,所有字符都将在随机字符表内。共享图像是具有按照与随机字符表中的字符相同的方式排列的图像部分(图像区域)的图像。例如,图2B示出结合随机字符表80 —起使用的共享图像82。参考图2B,共享图像82划分成按IOX 10排列的100个图像区域。各个图像部分(图像区域)应彼此不相同。在一个实施例中,图像区域是随机生成的。在一个实施例中,生成一次性密码(OTP)通过认证器标识(口令的)字符在随机字符表80内的位置而开始。例如,如果共享字符密码是“aED4d”,那么使用随机字符表80,位置是(0,0)、(0,1),(2, 2)、(3,I)和(4,I)。然后,从共享图像中选择在这些相同位置的对应图像部分为A (O, O)、A (O, I)、A (2,2)、A (3,I)和A (4,I)。使用这些图像部分的内容作为用户凭证。在一个实施例中,OTP是通过使用散列算法来计算的。在一个实施例中,散列算法是不可逆的散列算法。例如,如下这样对数据运用散列算法
OTP = HASH (A(XOYO) |丨 A(XIYl) | …I A(Xa-IYn-I)H 随机字符表 内容Il客户端的MAC地址Il认证器的MAC地址)
在一个实施例中,将生成的OTP划分成两个部分用于加密/解密目的的OTP-ED部分;以及用于签名和验证的OTP-SV部分。在一个实施例中,OTP-ED用作用于加密以及稍后解密新的安全简表的密钥。在一个实施例中,OTP-SV用于签署以及稍后验证新的安全简表。 无线通信装置
图3示出根据本发明一个实施例的网络设备。在一个实施例中,网络设备是参照图I的无线电子装置、服务器、接入点或基站的实施例。参考图3,在一个实施例中,网络设备301包括控制器303、散列函数逻辑306、存储器302、加密逻辑304、解密逻辑305、签名生成器307和一次性密码(OTP)生成器308。在一个实施例中,将上述单元作为离散装置示出。其它实施例也是可能的,其中将这些单元的一些或全部集成在某个装置或其它装置内。在其它实施例中,上述单元以硬件、软件或其某个组合的形式分散在整个系统中。在一个实施例中,控制器303管理和协调一次性密码(OTP)生成器308、散列函数逻辑306、加密逻辑304、解密逻辑305和诸如收发器、天线、功率控制单元等的其它组件(未示出)的操作。在一个实施例中,一次性密码生成器308参考图2B中的实例基于随机字符表、图像和口令计算一次性密码。在一个实施例中,结合本领域中已知的无线协议使用一次性密码,无线协议可以是例如 IEEE 802. IIi标准(“IEEE 802. lli-2004: Amendment 6: MediumAccess Control (MAC) Security Enhancements,,, IEEE Standards. 2004-07-23)。在一个实施例中,存储器302存储一个或多个图像以在用于计算一次性密码的操作中使用。在一个实施例中,在建立无线连接之前,与另一系统预先共享图像。在一个实施例中,系统管理员存储一个或多个图像以用于生成一次性密码。在一个实施例中,存储器302还存储预先共享的口令。在其它实施例中,口令称为字符密码。在一个实施例中,散列函数逻辑306对消息执行散列操作。在一个实施例中,散列函数逻辑306支持SHA (安全散列算法)函数,例如SHA-0、SHA-I和SHA-2。在一个实施例中,散列函数逻辑306对256位消息摘要执行SHA-2变体(例如,SHA-256)。在其它实施例中,散列函数逻辑306能够对各种大小的消息摘要执行SHA函数(例如,SHA-224、SHA-256、SHA-384和SHA-512)。在一个实施例中,散列函数逻辑306结合OTP生成器308进行操作以计算一次性密码。在一个实施例中,加密逻辑304通过执行加密算法来加密消息(信息)。在一个实施例中,解密逻辑305解密消息的加密版本以检索原始消息。在一个实施例中,加密逻辑304对安全简表执行AES加密。在一个实施例中,解密逻辑305对加密信息执行AES解密。在一个实施例中,加密逻辑304和解密逻辑305支持对称密钥算法(例如,DES、RC4、RC5、AES等)。客户端和认证器共享对对称密钥的了解。图4是用于更新无线安全简表的过程的一个实施例的流程图。该过程由处理逻辑执行,处理逻辑可包括硬件(电路、专用逻辑等)、软件(例如,在通用计算机系统或专用机器上运行的软件)或两者的组合。在一个实施例中,结合网络设备(例如,参照图3的网络设备301)来执行该过程。在一个实施例中,该过程由参照图6的计算机系统来执行。参考图4,在一个实施例中,处理逻辑通过确定而开始(过程方框400)。处理逻辑采集关于与客户端相关联的安全简表版本的信息。在一个实施例中,处理逻辑能够确定客户端所使用的安全简表是否需要更新(过程方框400)。在一个实施例中,如果处理逻辑发现存在安全简表的新版本,那么处理逻辑尝试使客户端更新至新的安全简表(过程方框401)。在一个实施例中,处理逻辑生成随机字符表(过程402)。处理逻辑确定字符(口令 的字符)在随机字符表内的位置(过程方框403)。处理逻辑检索/标识图像内的相同位置的图像区域(过程方框404)。在一个实施例中,处理逻辑通过对包括来自图像区域的内容、随机字符表的内容、MAC地址、IP地址或其组合的数据执行散列函数操作而生成一次性密码(OTP)(过程方框405)。在一个实施例中,处理逻辑通过利用生成的OTP来加密、然后签署新的安全简表(过程406)。在一个实施例中,生成的OTP包括两个部分用于加密/解密目的的OTP-ED部分;以及用于签名和验证目的的OTP-SV部分。在一个实施例中,OTP-ED用作用于加密和解密安全简表的密钥。在一个实施例中,OTP-SV用于签署以及稍后验证安全简表。在一个实施例中,处理逻辑编排包括到客户端的简表更新请求的UDP数据有效负载(过程方框407)。处理逻辑将简表更新请求发送到客户端。在一个实施例中,处理逻辑等待来自客户端的响应(过程方框408)。在一个实施例中,如果客户端没有在预定超时内做出响应,那么处理逻辑确定客户端没有正确地运行。然后,处理逻辑终止到客户端的连接(过程方框409)。在一个实施例中,UDP数据有效负载包括用于指示它是简表更新请求的标识符。在一个实施例中,处理逻辑根据图5B中示出的实例准备UDP数据分组。在一个实施例中,客户端接收更新简表请求。客户端解密并验证新的安全简表。在一个实施例中,如果验证成功,那么客户端安装新的安全简表。在一个实施例中,处理逻辑接收简表更新响应,它包括指示客户端是否已经基于新的安全简表成功地更新了它的设置的状态代码。处理逻辑通过利用生成的OTP解码、验证和解密响应消息。处理逻辑检查状态代码以确定更新是否成功。在一个实施例中,如果验证失败或者如果超时(在等待来自客户端的响应时),那么处理逻辑终止到客户端的连接。在一个实施例中,处理逻辑使与客户端相关联的安全简表的较旧版本无效,以使得客户端将不能够使用安全简表的较旧版本。从这一刻起,客户端使用新的简表来建立到网络的连接。图5A示出包含关于简表版本的信息的数据分组的实施例。参考图5A,在一个实施例中,数据分组中包含用于在客户端和认证器(例如,在关联期间)交换简表信息的元素。根据本发明的实施例,简表版本602包含关于使用中的安全简表的版本信息。在一个实施例中,该元素包括元素ID 600、元素长度601和简表版本602。图5B示出包括从认证器到客户端的简表更新请求的数据分组的实施例。参考图5B,该图示出作为简表更新请求的数据分组,简表更新请求包括随机字符表622、新的安全简表的加密版本624和MIC 625。在一个实施例中,类型字符串621设置为“WLAN简表更新请求”,以指示该分组是对简表更新的请求。随机字符表622供客户端和认证器用于计算一次性密码。长度623是新的安全简表的加密内容的总大小(以字节为单位)。新的无线安全简表的加密版本是通过利用OTP-ED密钥而生成的结果。MIC 625是通过利用OTP-SV密钥来签署新的安全简表的原始内容而生成的结果。在一个实施例中,无线安全简表包括诸如简表版本650、认证算法651、密码密钥652、SSID 653、共享口令654和服务质量设置(QoS) 655的信息。图5C示出包括简表更新响应的数据分组的实施例。参考图5C,在一个实施例中,该图示出作为简表更新响应的数据分组,简表更新响应包括类型字符串660、状态代码 661、简表版本662、长度663、随机摘要的加密版本664和MIC 665。在一个实施例中,类型字符串660设置为“WLAN简表更新响应”,以指示该分组是对简表更新的响应。在一个实施例中,状态代码661用于指示客户端是否成功更新了新的简表。新的安全简表的简表版本662由认证器保留。长度663指示随机摘要的加密版本的总大小(以字节为单位)。随机摘要的加密版本664是通过利用OTP-ED而生成的结果。MIC 665是通过利用OTP-SV密钥来签署由客户端生成的随机摘要的原始内容而生成的结果。在一个实施例中,如果状态代码661指示更新过程没有成功,那么其它数据字段中的内
容变得无关紧要。本发明的实施例可在各种电子装置和逻辑电路中实现。此外,包括本发明的实施例的装置或电路可包含在各种计算机系统内。本发明的实施例也可包含在其它计算机系统拓扑和体系结构中。图6示出结合本发明一个实施例的计算机系统的实例。处理器705从I级(LI)高速缓冲存储器706、2级(L2)高速缓冲存储器710和主存储器715中存取数据。在本发明的其它实施例中,高速缓冲存储器706可以是多级高速缓冲存储器,它包括LI高速缓存以及位于计算机系统存储器层级内的诸如L2高速缓存的其它存储器,并且高速缓冲存储器710是诸如L3高速缓存或更多级高速缓存的随后较低级高速缓冲存储器。此外,在其它实施例中,计算机系统可以使高速缓冲存储器710作为多于一个处理器核的共享高速缓存。处理器705可以具有任意数量的处理核。但是,本发明的其它实施例可在系统内的其它装置中实现,或以硬件、软件或其某个组合的形式分散在整个系统中。主存储器715可在各种存储器源中实现,例如动态随机存取存储器(DRAM)、硬盘驱动器(HDD)720、基于NVRAM技术的固态盘725、或经由网络接口 730或经由无线接口 740远离计算机系统设置的包含各种存储装置和技术的存储器源。高速缓冲存储器可以设置在处理器内或紧靠处理器设置,例如设置在处理器的本地总线707上。此外,高速缓冲存储器可包含相对快速的存储器单元,例如六个晶体管(6T)单元、或具有近似相等或更快速的存取速度的其它存储器单元。但是,本发明的其它实施例可存在于图6的系统内的其它电路、逻辑单元或装置中。此外,本发明的其它实施例可分散在如图6所示的数个电路、逻辑单元或装置中。本发明不限于所描述的实施例,而是可以在随附权利要求的精神和范围内以修改和变更来实现。例如,应明白,本发明适合与所有类型的半导体集成电路(“ 1C”)芯片一起使用。这些IC芯片的实例包括但不限于处理器、控制器、芯片组组件、可编程逻辑阵列(PLA)、存储器芯片、网络芯片等。而且,应明白,虽然可能已经给出实例性大小/模型/值/范围,但本发明的实施例不限于此。随着制造技术(例如,光刻术)随时间日益成熟,预期可制造更小尺寸的装置。尽管本发明的实施例的许多变更和修改对于本领域技术人员在阅读以上描述之 后无疑将变得显而易见,但是应了解,示出并且通过图示加以描述的任何特定实施例绝不是要视为是限制。因此,提到各种实施例的细节不是要限制权利要求的范围,权利要求本身只记载那些视为是对于本发明必要的特征。
权利要求
1.一种计算机实现的方法,包括 确定与无线客户端相关联的第一安全简表的版本; 确定是否存在与所述第一安全简表相比是较新版本的第二安全简表; 至少基于随机字符表和图像内的第一多个图像区域计算一次性密码;以及通过利用所述一次性密码的第一部分作为加密密钥来生成所述第二安全简表的加密版本,所加密的第二安全简表将发送给所述无线客户端。
2.如权利要求I所述的方法,还包括向所述无线客户端发送至少包括所述随机字符表和所述第二安全简表的加密版本的简表更新请求。
3.如权利要求I所述的方法,还包括利用所述一次性密码的第二部分来签署所述加密的第二安全简表。
4.如权利要求I所述的方法,其中计算所述一次性密码包括 生成包括多个随机生成的字符的所述随机字符表; 确定字符密码的字符排列在所述随机字符表内的第一多个位置; 检索在所述图像内与所述第一多个位置具有相同位置的所述第一多个图像区域;以及通过对包括所述随机字符表和所述第一多个图像区域的内容的数据使用散列函数来生成所述一次性密码(OTP)。
5.如权利要求2所述的方法,还包括 如果在第一周期内没有来自所述无线客户端的响应到达,那么终止到所述无线客户端的连接; 如果来自所述无线客户端的响应指示所述无线客户端处的更新过程已经完成,那么终止到所述无线客户端的连接; 接收来自所述无线客户端的使用所述第二安全简表的新连接请求;以及 使所述无线客户端未来使用所述第一安全简表无效。
6.如权利要求2所述的方法,还包括保留包括所述第一和第二安全简表的两个或两个以上安全简表以满足尚未接收所述第二安全简表的其它无线客户端,所述安全简表的每一个至少包括新字符密码并且与版本标识符相关联。
7.如权利要求4所述的方法,其中所述随机字符表包括包含N个空白字符的10X10字符表,其中N是小于100的整数,其中所述图像包括IOX 10个图像区域。
8.如权利要求4所述的方法,其中所述散列函数是不可逆的散列函数。
9.一种计算机实现的方法,包括 响应简表更新请求进行解码,所述简表更新请求至少包括随机字符表和第一安全简表的加密版本; 从所述简表更新请求中提取随机字符表; 从存储器中检索字符密码和图像; 至少基于所述随机字符表、所述字符密码和所述图像内的第一多个图像区域计算一次性密码;以及 通过使用所述一次性密码的第一部分作为密钥来解密所加密的第一安全简表。
10.如权利要求9所述的方法,其中计算所述一次性密码包括 确定所述字符密码的字符排列在所述随机字符表内的第一多个位置;检索在所述图像内与所述第一多个位置具有相同位置的所述第一多个图像区域;以及通过对包括所述随机字符表和所述第一多个图像区域的内容的数据使用散列函数来生成所述一次性密码(OTP)。
11.如权利要求9所述的方法,还包括通过使用所述一次性密码的第二部分来验证所述第一安全简表的加密版本。
12.如权利要求9所述的方法,还包括 至少基于与所述第一安全简表相关联的版本确定是否要保存所述第一安全简表; 基于所述第一安全简表更新无线设置;以及 向发送所述简表更新请求的无线认证器发送响应,以指示所述更新是否完成。
13.如权利要求10所述的方法,其中所述第一安全简表至少包括新的第二字符密码和版本标识符。
14.一种网络设备,包括 数字存储设备,用于存储与多个不同的客户端装置相关联的字符密码以及与多个不同的客户端装置相关联的共享图像;以及控制器,其可进行操作以确定与无线客户端相关联的第一安全简表的版本;确定是否存在与所述第一安全简表相比是较新版本的第二安全简表; 至少基于随机字符表和图像内的第一多个图像区域计算一次性密码;以及通过利用所述一次性密码的第一部分作为加密密钥来生成所述第二安全简表的加密版本,所加密的第二安全简表将发送给所述无线客户端。
15.如权利要求14所述的网络设备,其中所述控制器还可进行操作以便向所述无线客户端发送至少包括所述随机字符表和所述第二安全简表的加密版本的简表更新请求。
16.如权利要求14所述的网络设备,其中所述控制器还可进行操作以便通过使用所述一次性密码的第二部分来签署所述第二安全简表的加密版本。
17.如权利要求14所述的网络设备,其中所述控制器可进行操作以 生成包括多个随机生成的字符的所述随机字符表; 确定字符密码的字符排列在所述随机字符表内的第一多个位置; 检索在所述图像内与所述第一多个位置具有相同位置的所述第一多个图像区域;以及通过对包括所述随机字符表和所述第一多个图像区域的内容的数据使用散列函数来生成所述一次性密码(OTP)。
18.如权利要求15所述的网络设备,其中所述控制器可进行操作以便 如果在第一周期内没有来自所述无线客户端的响应到达,那么终止到所述无线客户端的连接; 如果来自所述无线客户端的响应指示所述无线客户端处的更新过程已经完成,那么终止到所述无线客户端的连接; 接收来自所述无线客户端的使用所述第二安全简表的新连接请求;以及 使所述无线客户端未来使用所述第一安全简表无效。
全文摘要
介绍用于安全简表更新的设备和方法。在一个实施例中,该方法包括确定与无线客户端相关联的安全简表的版本;以及确定是否存在新的安全简表。该方法包括至少基于随机字符表和图像内的一些图像区域来计算一次性密码。该方法还包括通过利用一次性密码的第一部分作为加密密钥来生成新的安全简表的加密版本;以及向无线客户端发送简表更新请求。
文档编号H04L9/00GK102812662SQ201080065929
公开日2012年12月5日 申请日期2010年3月29日 优先权日2010年3月29日
发明者Z.姚 申请人:英特尔公司