无线设备的灵活配置和认证的制作方法
概括地说,示例实施例涉及通信系统,并且具体地,示例实施例涉及对在无线网络内使用的无线设备进行配置。
背景技术:
无线局域网(wlan)可以由一个或多个接入点(ap)形成,其提供用于由多个客户端设备或者站使用的共享无线通信介质。可以与基本服务集(bss)相对应的每个ap周期性地广播信标帧,以使得ap的无线范围内的任何客户端设备能够建立和/或维持与wlan的通信链路(例如,通信信道)。
在一些wlan中,客户端设备可以被配置用于与wlan中的使用公钥加密算法的一个或多个ap共同使用。公钥加密(有时被称为公钥/私钥加密)是使用已知(公开)密钥和秘密(私有)密钥安全地传送数据的方法。公钥和私钥通常与彼此具有数学关系。除了传送数据之外,公钥和私钥可以验证消息和证书,并且生成数字签名。例如,客户端设备可以与wlan内的ap共享公钥(例如,客户端设备的公开加密密钥)。ap可以使用客户端设备的公钥来认证和配置客户端设备。一旦认证,客户端设备就可以访问(例如,连接到)wlan内的ap。然而,在分发客户端设备的公钥之后,控制客户端设备对wlan的接入可能是困难的。
因此,可能期望的是,改善客户端设备对wlan的接入控制。
技术实现要素:
提供该发明内容,以便以简化的形式介绍以下在具体实施方式中进一步描述的一些概念。该发明内容并不旨在标识所要求保护的主题的关键特征或者必要特征,也不旨在限制所要求保护的主题的范围。
在一些方面中,公开了一种对用于在无线网络中使用的无线站进行配置的方法。根据示例实施例,无线站可以动态地生成第一公钥与私钥对。所述无线站还可以生成第一共享密钥。所述第一共享密钥可以是至少部分地基于所述第一公钥与私钥对的。所述无线站可以使用所述第一共享密钥来与所述接入点进行通信。
在另一方面,公开了一种无线设备,其可以包括:收发机;处理器;以及存储器,其存储在由所述处理器执行时使得所述无线设备进行以下操作的指令:动态地生成第一公钥与私钥对;至少部分地基于所述第一公钥与私钥对,来生成第一共享密钥;以及使用所述第一共享密钥来与接入点进行通信。
在另一示例实施例中,公开了一种对用于与接入点共同使用的无线站进行配置的方法。所述接入点可以发送发现消息。所述接入点然后可以接收响应于所述发现消息而动态地生成的第一公钥。所述接入点可以至少部分地基于与所述接入点相关联的公钥以及所述第一公钥,来生成第一共享密钥。所述接入点然后可以使用所述第一共享密钥来与所述客户端设备进行通信。
公开了一种无线设备,其可以包括:收发机;处理器;以及存储器,其存储在由所述处理器执行时使得所述无线设备进行以下操作的指令:发送发现消息;以及接收响应于所述第一消息而动态地生成的第一公钥。所述无线设备可以至少部分地基于与所述无线设备相关联的公钥以及所述第一公钥,来生成第一共享密钥。所述无线设备可以使用所述第一共享密钥来与所述无线站进行通信。
附图说明
示例实施例是通过举例的方式来示出的,而并不旨在受附图中的各图限制。
图1示出示例实施例可以在其中实现的无线系统的框图。
图2示出根据示例实施例的图1中的客户端设备的操作状态的状态图。
图3示出描绘根据示例实施例的用于认证和配置图1中的客户端设备以与图1中的接入点共同使用的示例操作的说明性流程图。
图4示出描绘根据示例实施例的用于将第二ap添加到现有无线局域网(wlan)的示例操作的说明性流程图。
图5示出描绘根据示例实施例的图1中的客户端设备的操作状态的另一状态图。
图6示出描绘根据示例实施例的用于认证和配置图1中的客户端设备以与图1中的接入点共同使用的另一示例操作的说明性流程图。
图7示出可以是图1中的ap、客户端设备和/或配置器的实施例的示例无线设备。
贯穿所绘制的各图,类似的附图标记指代相应的部分。
具体实施方式
仅为了简单起见,以下在wlan系统的背景下描述示例实施例。应理解的是,示例实施例同样适用于其它无线网络(例如,蜂窝网络、微微网络、毫微微网络、卫星网络)以及适用于使用一种或者多种有线标准或者协议(例如,以太网和/或homeplug/plc标准)的信号的系统。如本文中所使用的,术语“wlan”以及
在以下描述中,阐述了大量的特定细节(例如,特定组件、电路以及过程的例子)以提供本公开内容的透彻理解。如本文中使用的术语“耦合”意指直接连接或者通过一个或多个中间组件或者电路连接。
另外,在以下描述中并且为了解释的目的,阐述了特定命名以提供示例实施例的透彻理解。然而,对于本领域技术人员将显而易见的是,实施示例实施例可以不需要这些特定细节。在其它实例中,为了避免模糊本公开内容,以框图形式示出了公知的电路和设备。示例实施例并不被解释为限于本文描述的特定例子,而是将由所附的权利要求限定的所有实施例包括在它们的范围内。
图1是示例实施例可以在其中实现的无线系统100的框图。无线系统100可以包括客户端设备130、无线接入点(ap)110、配置器140以及无线局域网(wlan)120。wlan120可以由多个wi-fi接入点(ap)形成,多个wi-fiap可以根据ieee802.11系列标准(或者根据其它合适的无线协议)进行操作。因此,虽然为了简单起见,在图1中仅示出一个ap110,但是应理解的是,wlan120可以由任何数量的接入点(例如,ap110)形成。以类似的方式,虽然为了简单起见,在图1中仅示出一个客户端设备130,但是wlan120可以包括任何数量的客户端设备。对于一些实施例而言,无线系统100可以与单用户多输入多输出(su-mimo)或者多用户mimo(mu-mimo)无线网络相对应。此外,虽然在图1中将wlan120示为基础设施bss(ibss),但是对于其它示例实施例而言,wlan120可以是ibss、自组织网络或者对等(p2p)网络(例如,根据wi-fi直连协议进行操作)。
客户端设备130和配置器140中的每一个可以是任何适当的启用wi-fi的无线设备,其包括例如蜂窝电话、个人数字助理(pda)、平板设备、膝上型计算机等。客户端设备130和/或配置器140还可以被称为用户设备(ue)、用户站、移动单元、用户单元、无线单元、远程单元、移动设备、无线设备、无线通信设备、远程设备、移动用户站、接入终端、移动终端、无线终端、远程终端、手持设备、用户代理、移动客户端、客户端或者某个其它适当的术语。对于一些实施例而言,客户端设备130和/或配置器140可以包括一个或多个收发机、一个或多个处理资源(例如,处理器和/或asic)、一个或多个存储器资源以及电源(例如,电池)。存储器资源可以包括非暂时性计算机可读介质(例如,一个或多个非易失性存储器单元,例如,eprom、eeprom、闪速存储器、硬盘等),其存储用于执行以下关于图3、4和6描述的操作的指令。
ap110可以是允许一个或多个无线设备使用wi-fi、蓝牙或者任何其它适当的无线通信标准经由ap110连接到网络(例如,局域网(lan)、广域网(wan)、城域网(man)和/或互联网)的任何适当的设备。对于至少一个实施例而言,ap110可以包括一个或多个收发机、一个或多个处理资源(例如,处理器和/或asic)、一个或多个存储器资源以及电源。在一些实施例中,ap110还可以是任何适当的启用wi-fi和网络的设备,其包括例如蜂窝电话、pda、平板设备、膝上型计算机等。存储器资源可以包括非暂时性计算机可读介质(例如,一个或多个非易失性存储器单元,例如,eprom、eeprom、闪速存储器、硬盘等),其存储用于执行以下关于图3、4和6描述的操作的指令。
对于ap110、客户端设备130以及配置器140而言,一个或多个收发机可以包括用于发送和接收无线通信信号的wi-fi收发机、蓝牙收发机、蜂窝收发机和/或其它适当的射频(rf)收发机(为了简单起见,未示出)。每个收发机可以在不同的操作频带中和/或使用不同的通信协议与其它无线设备进行通信。例如,wi-fi收发机可以根据ieee802.11规范,在2.4ghz频带内和/或在5ghz频带内进行通信。蜂窝收发机可以根据由第三代合作伙伴计划(3gpp)描述的4g长期演进(lte)协议(例如,在近似700mhz与近似3.9ghz之间)和/或根据其它蜂窝协议(例如,全球移动通信系统(gsm)通信协议),在各个rf频带内进行通信。在其它实施例中,在客户端设备内包括的收发机可以是任何技术上可行的收发机,例如,由来自zigbee(紫蜂)规范的规范描述的zigbee收发机、wigig收发机和/或在来自homeplug联盟的规范描述的homeplug收发机。
ap110可以认证和配置客户端设备130,以使得客户端设备130能够接入与ap110相关联的服务和/或网络。配置器140可以辅助和/或发起对客户端设备130的认证和/或配置。一旦被认证,客户端设备130可以与ap110建立可信和/或经加密的连接。认证过程可以涉及公钥/私钥加密,以及在一些实施例中,可以涉及两个不同的公钥/私钥对。当配置客户端设备130时,不同的密钥对中的至少一个可以用于建立客户端设备130与ap110之间的经加密的连接。在一些实施例中,除了本文描述的公钥/私钥加密之外,或者作为针对其的替代,可以使用其它安全机制。
可以为客户端设备130分配公开/私有根身份密钥对137(有时被称为身份密钥对)。例如,可以将根身份密钥对137分配给(例如,被编程到)客户端设备130(在其制造时)。对客户端设备130的认证可以随着配置器140确定公开根身份密钥(来自根身份密钥对137)而开始。在一些实施例中,配置器140可以以带外方式确定客户端设备130的公开根身份密钥。例如,配置器140(其可以与客户端设备130不同)可以是智能电话,其包括用于扫描标签和/或图像的光学设备(例如,照相机)。客户端设备130可以包括印有qr码135的标签。qr码135可以显示公开根身份密钥或者可以指导扫描设备从远程设备或者服务获取公开根身份密钥。因此,qr码135可以将客户端设备130的公开根身份密钥直接地或者间接地提供给配置器140。在一些实施例中,条形码标签可以代替qr码135。
在其它实施例中,其它带外方法可以用于确定公开根身份密钥。例如,客户端130可以经由近场通信(nfc)链路或者蓝牙低能(ble)链路,将公开根身份密钥传达给配置器140。虽然本文中仅描述了nfc链路和ble通信链路,但是可以使用任何其它技术上可行的通信链路。
在另一种带外方法中,用户干预可以将公开根身份密钥提供给配置器140。例如,公开根身份密钥可以被显示在客户端设备130的人可读显示器上,以及由客户端设备130的用户通过用户接口(例如,键盘)输入。
接下来,配置器140可以通过先前建立的可信连接将公开根身份密钥提供给ap110,以及将客户端设备130认证到ap110。在一些实施例中,配置器140还可以将签名的证书提供给ap110。签名的证书可以向其它无线设备证明公开根身份密钥的权威性和/或有效性。配置器140还可以存储客户端设备130的公开根身份密钥。
ap110可以使用公开根身份密钥来发现和配置客户端设备130。例如,ap110可以发送使用客户端设备130的公开根身份密钥来加密的发现消息。发现消息可以包括与ap110相关联的(公钥/私钥对中的)公钥。响应于从ap110接收到发现消息,客户端设备130可以生成公开/私有暂时身份密钥对138(有时被称为网络设置密钥对)。与根身份密钥对137不同的暂时身份密钥对138可以用于将客户端设备130配置用于与ap110的通信。因此,根身份密钥对137可以用于认证客户端设备130,而暂时身份密钥对138可以用于配置客户端设备130。客户端设备130可以使用任何技术上可行的方式来生成暂时身份密钥对138。在一些实施例中,客户端设备130可以单独地生成暂时身份密钥对138。例如,客户端设备130可以包括用于生成暂时身份密钥对138的随机数生成器。在其它实施例中,客户端设备130可以从ap110和/或配置器140接收充当用于生成暂时身份密钥对138的种子的随机数。
可以将公开暂时身份密钥(来自暂时身份密钥对138)提供给ap110和/或配置器140。例如,在生成暂时身份密钥对138之后,客户端设备130可以将公开暂时身份密钥发送给ap110。ap110然后可以将公开暂时身份密钥转发给配置器140。在一些实施例中,公开暂时身份密钥还可以被存储在配置器140内。
客户端设备130和ap110可以确定共享成对主密钥(pmk),以对客户端设备130与ap110之间的通信进行加密。该共享pmk相对于由其它客户端设备确定的其它共享pmk而言可以是唯一的,并且可以至少部分地基于暂时身份密钥对138。
在一些实施例中,在确定共享pmk之后,可以生成配置凭证,以及将其存储在客户端设备130内。配置凭证可以包括共享pmk、“连接器”和/或证书授权机构(ca)公钥。“连接器”可以是包括以下各项的数据结构:网络标识符(例如,wlan120的标识符)、设备标识符以及公开暂时身份密钥。连接器可以将客户端设备130介绍给网络上的其它设备。ca公钥可以证明公开暂时身份密钥、共享pmk或者连接器中的其它信息的有效性。
客户端设备130可以使用公开暂时身份密钥与ap110进行通信,以完成对客户端设备130的配置以及确定共享成对暂时密钥(ptk)。例如,客户端设备130和ap110可以使用四次握手来确定共享ptk。在执行四次握手时,客户端设备130和ap110可以使用与ap110相关联的暂时身份密钥对138和/或公钥/私钥对来确定共享ptk。可以使用可以与共享pmk不同的共享ptk来对客户端设备130与ap110之间的网络通信进行加密。以下结合图2和3,更详细地描述了客户端设备130的认证和配置。
图2示出描绘根据示例实施例的、图1中的客户端设备130的操作状态的状态图200。客户端设备130以状态210开始。状态210可以是客户端设备130的初始状态,例如,当客户端设备130最初被制造和/或从工厂出货时。在状态210中,客户端设备130可以拥有根身份密钥对137。根身份密钥对137可以被存储在存储器(例如,客户端设备130的持久性存储器)中。本领域技术人员将明白的是,持久性存储器可以是可以在不存在功率的情况下保持数据的任何存储器,例如,电池供电的存储器、eeprom、闪速存储器、rom存储器等。根身份密钥对137可以永久地与客户端设备130相关联。例如,当客户端设备130经历出厂重置以将客户端设备130返回到初始状态时,客户端设备130可以保持根身份密钥对137(例如,根身份密钥对可以仍然被存储在客户端设备130内)。
当客户端设备130通电时,客户端设备130转变为状态220。在状态220中,客户端设备130尚未被认证。客户端设备130可以在接收到使用客户端设备130的公开根身份密钥来加密的发现消息时,开始认证过程。如以上关于图1所描述的,配置器140可以确定客户端设备130的公开根身份密钥。在确定公开根身份密钥之后,配置器140可以将公开根身份密钥提供给ap110。ap110然后可以发送至少部分地使用客户端设备130的公开根身份密钥来加密的发现消息。发现消息还可以包括与ap110相关联的公钥。
如果客户端设备130接收到不是至少部分地利用公开根身份密钥来加密的发现消息,则客户端设备130可以仍然处于状态220中。另一方面,如果客户端设备130接收到至少部分地利用其公开根身份密钥来加密的发现消息,则客户端设备130可以转变到状态230。
当客户端设备130处于状态230中时,ap110已经认证客户端设备130,并且相反地,客户端设备130已经认证ap110。在进入状态230之后,客户端设备130可以生成暂时身份密钥对138。客户端设备130和ap110然后可以使用暂时身份密钥对138确定共享pmk。另外,客户端设备130可以确定可以包括以下各项的配置凭证:连接器、ca公钥和/或共享pmk。配置凭证可以被存储在客户端设备130中。因此,在状态230中,根身份密钥对137、暂时身份密钥对138和/或配置凭证可以被存储在客户端设备130的存储器内。
当客户端设备130断电时,客户端设备130转变为状态240。客户端设备130的功率状态可以不影响客户端设备130的存储器中的至少一部分。更具体地,当断电时,客户端设备130的存储器可以保持至少暂时身份密钥对138以及配置凭证。当客户端设备130再次通电时,客户端设备130可以转变回状态230。
当客户端设备130被配置为与ap110一起作时,客户端设备130转变为状态250。在状态250中,客户端设备130和ap110可以至少部分地基于暂时身份密钥对138、ap110的公钥/私钥对和/或pmk,来生成共享ptk。共享ptk可以用于加密和/或解密客户端设备130与ap110之间的网络数据业务。共享ptk可以是易失性的。因此,当客户端设备130转变为状态240时(例如,当从客户端设备130移除功率时),可能丢失共享ptk。在一些实施例中,如果到ap110的无线关联丢失或者终止或者在超时时段之后,客户端设备130可以从状态250转变为状态230。例如,如果客户端设备130移动超出ap110的通信范围,那么客户端设备130可以变得与ap110不关联。可以丢弃共享ptk,并且客户端设备130可以进入状态230。在另一例子中,超时时段可以到期,使得ptk被丢弃以及使得客户端设备130转变为状态230。
当客户端设备130经历出厂重置操作时,客户端设备130可以从任何其它状态返回到状态210。出厂重置操作可以丢弃任何确定的共享密钥以及暂时身份密钥对138。因此,对于一些实施例而言,客户端设备130可以在出厂重置操作之后仅保持根身份密钥对137。
图3示出描绘根据示例实施例的用于认证和配置用于与ap110共同使用的客户端设备130的示例操作的说明性流程图300。在一些实施例中,本文描述的操作可以包括额外的过程、较少的过程、按照不同次序的过程、并行的过程和/或不同的一些过程。还参照图1和2,操作随着配置器140确定客户端设备130的公开根身份密钥(302)而开始。公开根身份密钥可以是与客户端设备130相关联的根身份密钥对137的部分,以及可以以带外方式来确定。接下来,ap110从配置器140接收客户端设备130的公开根身份密钥(304)。在一些实施例中,当ap110接收到公开根身份密钥时,ap110对客户端设备130进行认证。接下来,ap110将ap110的至少部分地使用客户端设备130的公开根身份密钥来加密的公钥发送给客户端设备130。在一些实施例中,可以将ap110的公钥作为发现消息的部分发送给客户端设备130。
客户端设备130接收ap110的公钥(例如,“公开ap密钥”)(308)。因为公开ap密钥是至少部分地使用客户端设备130的公开根身份密钥来加密的,所以客户端设备130可以使用私有根身份密钥来解密和接收公开ap密钥。以这种方式,客户端设备130可以将ap110认证为可信赖的。
响应于接收到公开ap密钥,客户端设备130动态地生成暂时身份密钥对138(310)。暂时身份密钥对138可以包括公钥和私钥。暂时身份密钥对138可以用于将客户端设备130配置用于与ap110的通信。接下来,客户端设备130将公开暂时身份密钥发送给ap110(312)。在一些实施例中,客户端设备130可以使用公开ap密钥来对包括至少公开暂时身份密钥的消息来进行加密。ap110接收客户端设备130的公开暂时身份密钥(314),以及将公开暂时身份密钥发送给配置器140(316)。配置器140接收以及存储客户端设备130的公开暂时身份密钥(318)。配置器140可以使用客户端设备130的公开暂时身份密钥来将客户端设备130配置用于与其它ap共同使用(以下结合图4更详细地描述的)。
客户端设备130和ap110然后协作地生成共享pmk(320a和320b)。客户端设备130和ap110可以通过交换包括和/或使用暂时身份密钥对138和/或ap110的公钥/私钥对的一个或多个消息,来生成共享pmk。接下来,客户端设备130和ap110然后协作地生成共享ptk(322a和322b)。客户端设备130和ap110可以通过交换包括和/或使用共享pmk的一个或多个消息,来生成共享pmk。最后,客户端设备130和ap110可以使用共享ptk(324a和324b)相互通信。例如,客户端设备130和ap110可以交换使用共享ptk来加密和/或解密的一个或多个消息。
虽然以上描述为单独的(例如,不同的)设备,但是配置器140和ap110可以在单个设备内实现。例如,智能电话可以执行用作软ap的软件以及用作配置器140的软件。因此,智能电话可以执行针对ap110和配置器140二者的操作。在一些实施例中,智能电话可以包括用于扫描qr码135的照相机、用于通过nfc链路接收客户端设备130的公开根身份密钥的nfc电路、和/或用于通过ble链路接收客户端设备130的公开根身份密钥的ble电路。此外,虽然流程图300的操作描述了认证和配置单个客户端设备130,但是流程图300的操作可以重复多次,以认证和配置任何数量的客户端设备。
可以对用于将额外的ap添加到wlan120中的操作进行简化,因为配置器140已经存储了客户端设备130的公开暂时身份密钥(在318处)。例如,配置器140可以将wlan120中的客户端设备的公开暂时身份密钥发送给额外的ap。额外的ap可以至少部分地基于客户端设备中的每个客户端设备的公开暂时身份密钥,来认证和配置每个客户端设备。在一些实施例中,额外的ap可以使用每个客户端设备自己的公开暂时身份密钥,对针对该客户端设备的一个或多个消息进行加密。对客户端设备自己的公开暂时身份密钥的使用可以向每个客户端设备指示额外的ap是可信ap。
图4示出描绘根据示例实施例的用于将第二ap添加到现有wlan的示例操作的说明性流程图400。还参照图1和2,操作随着配置器140将客户端设备130的公开暂时身份密钥发送给第二ap(402)而开始。如以上关于图3所描述的,客户端设备130的公开暂时身份密钥可以被存储在配置器140内。因此,配置器140可以已经拥有客户端设备130的公开暂时身份密钥。接下来,第二ap接收客户端设备130的公开暂时身份密钥(404)。在一些实施例中,配置器140可以对包括客户端设备130的公开暂时身份密钥的消息进行签名,以向第二ap指示该消息是来自可信源(例如,配置器140)。第二ap然后将第二ap的公钥(例如,第二ap的公钥/私钥对中的公钥)发送给客户端设备130(406)。在一些实施例中,至少部分地使用客户端设备130的公开暂时身份密钥来对包括第二ap的公钥的消息进行加密。
客户端设备130接收第二ap的公钥(408)。使用客户端设备130的公开暂时身份密钥的加密可以向客户端设备130确保所接收的消息是来自可信源。接下来,客户端设备130和第二ap协作地生成共享pmk(410a和410b)。客户端设备130和ap110可以通过交换包括和/或使用第二ap的公钥/私钥对以及暂时身份密钥对138的一个或多个消息,来生成共享pmk。接下来,客户端设备130和第二ap协作地生成共享ptk(412a和412b)。客户端设备130和ap110可以通过交换包括和/或使用共享pmk的一个或多个消息,来生成共享ptk。最后,客户端设备110和第二ap可以使用共享成对暂时密钥相互通信(414a和414b)。
在一些实施例中,客户端设备130可能不具有根身份密钥对137。然而,可以使用以上参照图2和3所描述的类似方法来对客户端设备130进行认证和配置。例如,客户端设备130可以生成暂时身份密钥对138。如以上参照图1和3所描述的,客户端设备130可以以带外方式将(暂时身份密钥对138中的)公开暂时身份密钥提供给ap110。ap110可以使用公开暂时身份密钥来对客户端设备130进行认证和配置。
图5示出描绘根据示例实施例的图1中的客户端设备130的操作状态的另一状态图500。客户端设备130在状态510中开始。状态510可以是客户端设备130的初始状态,例如,当客户端设备130最初被制造和/或从工厂出货时。相比于图2的状态210,在状态510中,客户端设备130并不拥有根身份密钥对137。
当客户端设备130通电时,客户端设备130转变为状态520。随着客户端设备130通电,客户端设备130可以生成暂时身份密钥对138。例如,客户端设备130可以至少部分地基于在客户端设备130中包括的随机数生成器,来生成暂时身份密钥对138。客户端设备130可以将公开暂时身份密钥间接地提供给ap110。例如,客户端设备130可以将公开暂时身份密钥显示在显示器上。客户端设备130的用户可以查看显示器,以及将公开暂时身份密钥输入到用户接口(例如,键盘或者触摸屏)上。在另一例子中,客户端设备130可以通过nfc链路或者ble链路将暂时身份密钥发送给ap110。因此,可以以带外方式将公开暂时身份密钥提供给ap110。
在一些实例中,当客户端设备130处于状态520中时,在将功率从客户端设备130移除时,可能丢失暂时身份密钥对138。因此,当客户端设备130转变为状态510时,在将功率返回给客户端设备130时,可能丢失以及重新生成暂时身份密钥对138。
在状态520中,客户端设备130可以在从ap110接收到至少部分地使用客户端设备130的公开暂时身份密钥来加密的发现消息时,开始认证过程。如果ap110尝试在没有公开暂时身份密钥的情况下(例如,如果发现消息不是至少部分地使用客户端设备130的公开暂时身份密钥来加密的)来对客户端设备130进行认证,那么客户端设备130可以仍然处于状态520中。
另一方面,如果发现消息是至少部分地使用客户端设备130的公开暂时身份密钥来加密的,那么客户端设备130转变到状态530。暂时身份密钥对138可以用于结合ap110的公钥/私钥对来确定共享pmk。另外,客户端设备130可以生成可以包括以下各项的配置凭证:连接器、ca公钥和/或共享pmk。配置凭证可以被存储在客户端设备130中。例如,在状态530中,客户端设备130可以将暂时身份密钥对138以及配置凭证存储在客户端设备130的存储器内。
当客户端设备130断电时,客户端设备130转变为状态540。在状态540中,客户端设备130的存储器可以保持至少暂时身份密钥对138以及配置凭证。当客户端设备130再次通电时,客户端设备130可以转变回状态530。
当客户端设备130被配置为与ap110一起操作时,客户端设备130转变为状态550。客户端设备130和ap110可以至少部分地基于暂时身份密钥对138和/或ap110的公钥/私钥对,来生成共享ptk。共享ptk可以用于加密和/或解密用于wlna120的网络数据业务。共享ptk可以是易失性的。因此,当客户端设备130转变为状态540时(例如,当从客户端设备130移除功率时),可能丢失共享ptk。
当客户端设备130经历出厂重置操作时,客户端设备130可以从任何其它状态返回到状态510。出厂重置操作可能丢弃任何确定的共享密钥以及暂时身份密钥对138。
图6示出描绘根据示例实施例的用于认证和配置用于与ap110共同使用的客户端设备130的另一示例操作的说明性流程图600。还参照图1和5,操作随着客户端设备130动态地生成暂时身份密钥对138(602)而开始。暂时身份密钥对138可以包括公钥和私钥(例如,公开暂时身份密钥以及私有暂时身份密钥)。此外,暂时身份密钥对138可以用于向ap110认证客户端设备130。接下来,客户端设备130将公开暂时身份密钥间接地提供给ap110(604)。例如,可以以带外方式将公开暂时身份密钥提供给ap110。在一些实施例中,客户端设备130可以包括显示公开暂时身份密钥的人可读显示器。在另一实施例中,客户端设备130可以包括用于将公开暂时身份密钥发送给配置器140的nfc电路和/或ble电路。配置器140确定和存储客户端设备130的公开暂时身份密钥(606)。例如,配置器140可以包括用于接收公开暂时身份密钥的nfc电路、ble电路和/或用户接口。
配置器140然后将客户端设备130的公开暂时身份密钥发送给ap110(608)。例如,配置器140可以使用预先存在的可信链路来将公开暂时身份密钥发送给ap110。在另一例子中,配置器140可以对包括公开暂时身份的消息进行签名,以证明该消息是来自可信源。接下来,ap110接收公开暂时身份密钥(610)。响应于接收到公开暂时身份密钥,ap110将ap110的公钥发送给客户端设备130(612)。在一些实施例中,至少部分地使用公开暂时身份密钥来对ap110的公钥进行加密。
客户端设备130接收ap110的公钥(614)。在一些实施例中,至少部分地使用客户端设备130的公开暂时身份密钥来对包括ap110的公钥的消息进行加密,以确保该消息是可信的。
客户端设备130和ap110然后协作地生成共享pmk(616a和616b)。客户端设备130和ap110可以通过交换包括和/或使用暂时身份密钥对138和/或ap110的公钥/私钥对的一个或多个消息,来生成共享pmk。接下来,客户端设备130和ap110协作地生成共享ptk(618a和618b)。当客户端设备130和ap110交换包括和或使用共享pmk的一个或多个消息时,可以生成ptk。最后,客户端设备130和ap110可以使用共享ptk相互通信(620a和620b)。例如,客户端设备130和ap110可以传送使用共享ptk加密和/或解密的消息。
图7示出可以是图1中的ap100、客户端设备130和/或配置器140的实施例的示例无线设备700。无线设备700可以包括收发机710、处理器730、存储器740、网络接口750和多个天线760(1)-760(n)。收发机710可以直接地或者通过天线选择电路(为了简单起见,未示出)耦合到天线760(1)-760(n)。无线设备700可以可选地包括蓝牙模块721、nfc模块722、光学模块723以及显示器模块724(利用虚线示出的可选模块)。收发机710可以用于与一个或多个客户端设备、与一个或多个其它ap和/或与其它适当的设备进行无线通信。虽然为了简单起见在图7中没有示出,但是收发机710可以包括用于处理信号以及经由天线760(1)-760(n)将信号发送给其它无线设备的任何数量的发送链,并且可以包括用于处理从天线760(1)-760(n)接收的信号的任何数量的接收链。因此,对于示例实施例而言,无线设备700可以被配置用于mimo操作,其包括例如su-mimo操作以及mu-mimo操作。
收发机710可以包括基带处理器712。基带处理器712可以用于处理从处理器730和/或存储器740接收的信号,以及经由天线760(1)-760(n)中的一个或多个发送经处理的信号。另外,基带处理器712可以用于处理从天线760(1)-760(n)中的一个或多个接收的信号,以及将经处理的信号转发给处理器730和/或存储器740。
网络接口750可以接入其它网络和/或服务。在一些实施例中,网络接口750可以包括有线接口。网络接口750还可以直接地或者经由一个或多个中间网络与wlna服务器(为了简单起见,未示出)进行通信。
耦合到收发机710、网络接口750和存储器740的处理器730可以是任何适当的一个或多个处理器,其能够执行在无线设备700中(例如,在存储器740内)存储的一个或多个软件程序的脚本或者指令。对于实际的实施例而言,收发机710、处理器730、存储器740和/或网络接口750可以使用一个或多个总线连接到一起(为了简单起见,未示出)。
在一些实施例中,蓝牙单元721可以耦合到处理器730。蓝牙模块721可以发送和/或接收蓝牙和/或ble信号。可以将从所接收的蓝牙和/或ble信号恢复出的数据存储在存储器740中。在一些实施例中,处理器730可以提供数据,以发送给蓝牙模块721。
此外,在一些实施例中,nfc模块722可以耦合到处理器730。nfc模块722可以发送和/或接收nfc信号。可以将从所接收的nfc信号恢复出的数据存储在存储器740中。在一些实施例中,处理器730可以提供数据,以发送给nfc模块722。
此外,在一些实施例中,光学模块723可以耦合到处理器730。光学模块723可以包括用于接收和处理诸如qr码和标签之类的可视图像的光学器件和电路。可以将来自光学模块723的数据存储在存储器740中。
此外,在一些实施例中,显示器模块724可以耦合到处理器730。显示器模块724可以用于显示诸如qr码135(参见图1)和标签之类的图像。可以将提供给显示器模块724的数据初始地存储在存储器740中。
存储器740可以包括用于存储公钥、私钥和/或共享密钥的密钥存储器742。在一些实施例中,无线设备700可以生成公钥、私钥和/或共享密钥。在其它实施例中,可以通过收发机710、蓝牙模块721、nfc模块722和/或光学模块723接收公钥、私钥和/或共享密钥。在一些实施例中,可以在设备制造商处将公钥/私钥对(例如,公开/私有根身份密钥对137)存储在密钥存储器724中。
存储器740还可以包括非暂时性计算机可读介质(例如,一个或多个非易失性存储器单元,例如,eprom、eeprom、闪速存储器、硬盘等),其存储至少以下软件(sw)模块:
●收发机控制器软件模块743,其用于经由收发机710发送和接收无线数据;
●密钥生成软件模块744,其用于生成公开、私有和/或共享加密密钥;
●加密/解密软件模块745,其用于对经由收发机710发送和/或接收的数据进行加密和/或解密;
●可选的配置器软件模块746,其用于执行与配置器140相关联的操作;
●可选的接入点软件模块747,其用于执行与ap110相关联的操作;以及
●可选的站软件模块748,其用于执行与客户端设备130相关联的操作。每个软件模块包括在由处理器730执行时使得无线设备700执行对应的功能的指令。因此,存储器740的非暂时性计算机可读介质包括用于执行以上关于图3、4和6描述的操作中的全部或者一部分操作的指令。
如上所述,处理器730可以是任何适当的一个或多个处理器,其能够执行在无线设备700中(例如,在存储器740内)存储的一个或多个软件程序的脚本或者指令。例如,处理器730可以执行收发机控制器软件模块743,以促进无线设备700与其它无线设备(为了简单起见,未示出)之间的数据的发送和/或接收。
处理器730可以执行密钥生成软件模块744,以生成用于由无线设备700使用的密钥。例如,密钥生成软件模块744可以生成暂时身份密钥对138和/或诸如pmk和ptk之类的共享密钥。可以将由密钥生成软件模块744生成的密钥存储在密钥存储器742中。
处理器730可以执行加密/解码软件模块745,以对通过收发机710发送和/或接收的消息进行加密和/或解密。例如,加密/解密软件模块745可以执行公钥/私钥加密和/或解密。此外,处理器730可以执行加密/解密软件模块745,以验证和/或生产证书和数字签名。
处理器730可以可选地执行配置器软件模块746,以执行与配置器140相关联的操作。例如,处理器730可以执行配置器软件模块746,以经由蓝牙模块721、nfc模块722和/或光学模块723确定客户端设备130的公开根身份密钥。在一些实施例中,可以将所确定的公开根身份密钥存储在密钥存储器742中,或者将其发送给另一无线设备。
处理器730可以可选地执行接入点软件模块747,以执行与ap110相关联的操作。例如,处理器730可以执行接入点软件模块747,以从配置器140接收公开根身份密钥,执行用于认证客户端设备130、传送无线设备之间的数据和/或消息的操作、以及与接入点操作相关联的任何其它任务。
处理器730可以可选地执行站软件模块748,以执行与客户端设备130相关联的操作。例如,处理器730可以执行站软件模块748,以与ap110进行认证,生成暂时身份密钥对138,传送数据以及执行可以与站操作相关联的任何其它任务。
本领域技术人员将明白的是,可以使用多种不同的技术和方法中的任意一种来表示信息和信号。例如,可能贯穿上面的描述提及的数据、指令、命令、信息、信号、比特、符号和码片可以由电压、电流、电磁波、磁场或粒子、光场或粒子、或者其任意组合来表示。
此外,本领域技术人员将明白的是,结合本文公开的方面而描述的各个说明性的逻辑框、模块、电路和算法步骤均可以实现成电子硬件、计算机软件或者这二者的组合。为了清楚地说明硬件和软件之间的这种可交换性,上文对各个说明性的组件、框、模块、电路和步骤均围绕其功能进行了总体描述。至于这种功能是实现为硬件还是实现为软件,取决于特定的应用和对整个系统所施加的设计约束。本领域技术人员可以针对每个特定应用,以变通的方式实现所描述的功能,但是这种实现决策不应解释为造成对本公开内容的范围的脱离。
结合本文公开的方面所描述的方法、序列或者算法的步骤可以直接体现在硬件中、由处理器执行的软件模块中或者这两者的组合中。软件模块可以位于ram存储器、闪速存储器、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动盘、cd-rom、或者本领域中已知的任何其它形式的存储介质中。示例性存储介质耦合到处理器,从而使得处理器能够从该存储介质读取信息以及向该存储介质写入信息。替代地,存储介质可以是处理器的组成部分。
在前述说明书中,已经参照其特定示例实施例描述了示例实施例。然而,将显而易见的是,在不脱离如所附的权利要求中阐述的本公开内容的较宽的范围的情况下,可以对其进行各种修改和改变。相应地,说明书和附图被视为说明性的,而不是限制性的。
- 还没有人留言评论。精彩留言会获得点赞!