專利名稱:無線局域網(wǎng)關(guān)聯(lián)的設(shè)備和方法及相應(yīng)產(chǎn)品的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線局域網(wǎng)關(guān)聯(lián)設(shè)備和方法�,以及涉及相應(yīng)的產(chǎn)品。
背景技術(shù):
為了使新產(chǎn)品在無線局域網(wǎng)(這里稱為WLAN)中關(guān)聯(lián)����,通常有必要在網(wǎng)絡(luò)中具有由網(wǎng)絡(luò)中的裝置之一提供的接入點(diǎn)節(jié)點(diǎn)��。明顯地���,該裝置可以是調(diào)制解調(diào)器,如DSL調(diào)制解調(diào)器(用于“數(shù)字用戶線”)���。例如���,要連接形成新節(jié)點(diǎn)的產(chǎn)品可以是無線機(jī)頂盒、視頻流��、因特網(wǎng)音頻設(shè)備���、VoIP電話(用于“基于因特網(wǎng)協(xié)議的語音”)�����、或者其它無線客戶機(jī)�����。
認(rèn)為兩個(gè)不同的標(biāo)準(zhǔn)對于無線關(guān)聯(lián)來說是重要的���。首先,推薦的是����,使要由用戶執(zhí)行的操作保持友好,以及不需要太多和復(fù)雜的動作���。其次�,由于未經(jīng)授權(quán)的人可以試圖遠(yuǎn)程地連接���,以從網(wǎng)絡(luò)中獲得機(jī)密信息�,所以關(guān)聯(lián)是有風(fēng)險(xiǎn)的����。因此,安全構(gòu)成了要關(guān)心的第二個(gè)重要的方面�。
已經(jīng)證實(shí)了,這兩個(gè)標(biāo)準(zhǔn)相對難以協(xié)調(diào)��,這是由于安全機(jī)制通常需要從用戶處輸入一些特定的操作或數(shù)據(jù)����,這些操作或數(shù)據(jù)可以是生澀的(laborious)、或者專用的附加材料。另一方面����,作為對連接步驟中的降低和所需要的必要的數(shù)據(jù)輸入的補(bǔ)償,增加的用戶友好通常用于伴隨著安全等級的下降��。
因此����,當(dāng)前的解決方案包括,手動配置設(shè)備(以下稱為“站點(diǎn)”)與由一個(gè)或多個(gè)接入點(diǎn)所覆蓋的網(wǎng)絡(luò)或小區(qū)的標(biāo)識符連接��。當(dāng)前將該標(biāo)識符稱為SSID(即“服務(wù)設(shè)置標(biāo)識符”)��。還在站點(diǎn)中配置安全密鑰�����,該密鑰符合無線安全標(biāo)準(zhǔn)����,如著名地,WEP(即“有線等效加密”)或WPA(即“Wi-Fi保護(hù)訪問”��,由無線以太網(wǎng)兼容性聯(lián)盟(WECA)引入�,并成為IEEE 802.11i的子集的標(biāo)準(zhǔn))��。然后�,站點(diǎn)能夠與正確的接入點(diǎn)進(jìn)行關(guān)聯(lián)�。
該解決方案需要用戶將必要的數(shù)據(jù)事先輸入要連接的設(shè)備中�,該數(shù)據(jù)可以是相當(dāng)冗長的長型數(shù)據(jù)。此外�,該站點(diǎn)可以不提供完全的鍵盤,而是僅提供用于輸入數(shù)據(jù)的簡單的遙控器�����。這通常是對于在該站點(diǎn)不是PC(即“個(gè)人計(jì)算機(jī)”)����、而是例如無線多媒體設(shè)備或電話的情況。因此�����,用戶會有必要一個(gè)接一個(gè)地訪問相關(guān)的特性���,以通過顯示在終端(例如�,電視屏幕)上的虛擬鍵盤進(jìn)行滾動��,從而使得輸入正確的SSID和安全密鑰。只有這樣��,然后設(shè)備才能夠相關(guān)���。
該過程會是相當(dāng)漫長和受阻的����。確實(shí)��,安全密鑰僅可以達(dá)到26個(gè)字符�����,這些字符典型地顯示為星號(為了安全)���,使得易于出錯(cuò)�。此外�,如果關(guān)聯(lián)失敗,則不會有失敗原因的指示��。
文獻(xiàn)US-2003/031151涉及無線局域網(wǎng)中的漫游技術(shù)�。在分組網(wǎng)關(guān)節(jié)點(diǎn)(記為“PGN”)看到數(shù)據(jù)業(yè)務(wù)建立移動IP認(rèn)證密鑰之前,分組網(wǎng)關(guān)節(jié)點(diǎn)作為移動IP(即“因特網(wǎng)協(xié)議”)家庭代理�,該移動IP家庭代理具有由GPRS/UMTS網(wǎng)絡(luò)(即“通用分組無線業(yè)務(wù)”和“通用移動通信系統(tǒng)”)處理的移動節(jié)點(diǎn)(記為“MN”)的認(rèn)證����?����?梢酝ㄟ^未經(jīng)認(rèn)證的密鑰交換方法(如�,著名的Diffie-Hellman方法)來建立共享密鑰���。因此����,可以在MN與PGN之間設(shè)置共享秘密密鑰和安全關(guān)聯(lián)�。然后,在PGN處使用從散列密鑰中獲得的認(rèn)證值和從安全關(guān)聯(lián)中得到的安全參數(shù)指標(biāo)�,以用于對MN進(jìn)行認(rèn)證。以這樣的方式�����,當(dāng)MN將移動IP登記請求發(fā)送至PGN時(shí)�,執(zhí)行認(rèn)證,以及PGN發(fā)送回移動IP等級應(yīng)答��。
該技術(shù)簡化了移動節(jié)點(diǎn)與便攜式蜂窩電話的WLAN網(wǎng)絡(luò)的連接。然而�����,在MN與PGN之間密鑰的初始建立是未經(jīng)認(rèn)證的��,因而在安全方面留下了一些缺陷�。因此,盡管該系統(tǒng)非常適于便攜式蜂窩電話領(lǐng)域�����,但是在其它情況下��,系統(tǒng)并不完全地呈現(xiàn)出滿意度��,尤其對于無線家庭網(wǎng)絡(luò)�。
文獻(xiàn)US-5539824描述了用于數(shù)據(jù)通信網(wǎng)絡(luò)(尤其,WLAN)中的安全密鑰分配和認(rèn)證的方法����。因此,獨(dú)立的遠(yuǎn)程站點(diǎn)無線地與所安裝的基站連接����。為了通過可靠地對通信方之間的數(shù)據(jù)交換進(jìn)行認(rèn)證而實(shí)現(xiàn)安全���,建立會話密鑰,并將會話密鑰分配給網(wǎng)絡(luò)組件�。為此,第一安裝基站用于生成網(wǎng)絡(luò)密鑰和骨干密鑰�,以及用于接下來安裝附加的基站,同時(shí)避免通過無線網(wǎng)絡(luò)的網(wǎng)絡(luò)密鑰的通信����,其中,例如�,網(wǎng)絡(luò)密鑰通過有線網(wǎng)絡(luò)電路進(jìn)行傳輸��。
盡管該技術(shù)提供了可靠的安全等級�,但是需要用戶安全地將網(wǎng)絡(luò)密鑰數(shù)據(jù)從第一安裝站點(diǎn)轉(zhuǎn)移至下一個(gè)安裝站點(diǎn)的特定操作。此外��,該技術(shù)并不解決第一基站的安裝問題���。
文獻(xiàn)US-2003/0169713涉及依據(jù)基于網(wǎng)絡(luò)的認(rèn)證的WLAN的零配置安全移動網(wǎng)絡(luò)互聯(lián)技術(shù)�。鏈路層認(rèn)證過程有利于網(wǎng)絡(luò)至用戶的認(rèn)證��,以及使用數(shù)字證書來生成空中業(yè)務(wù)的會話特定加密密鑰�����。基于網(wǎng)絡(luò)的認(rèn)證服務(wù)器使用用于初始認(rèn)證的網(wǎng)頁�����,以及用于作為結(jié)果的認(rèn)證的Java小應(yīng)用程序���。一旦向WLAN對用戶進(jìn)行了認(rèn)證����,則該用戶的移動主機(jī)從WLAN中獲得了完全的IP連接性��,并且接收了來自WLAN的安全移動支持�。
因此,在該技術(shù)中��,將安全供應(yīng)用于代表網(wǎng)絡(luò)中的中心服務(wù)器�����。這留下了以下的可能性對服務(wù)器存在一些潛在的侵權(quán)入侵����,從而獲得相關(guān)的認(rèn)證數(shù)據(jù)����,以及在之后獲得對WLAN的未經(jīng)認(rèn)證的訪問�。
文獻(xiàn)US-2002/0061748A1描述了用于安全地和容易地對WLAN中的無線基站和無線終端進(jìn)行登記和認(rèn)證的技術(shù)。首先由終端的公共密鑰密碼系統(tǒng)來執(zhí)行登記����,然后由基站的秘密密碼系統(tǒng)來執(zhí)行認(rèn)證。
盡管該技術(shù)簡化了移動節(jié)點(diǎn)與WLAN的連接�����,但是該技術(shù)提供了有限等級的安全�����。該技術(shù)使用802.11的不安全WEP算法���。
此外,湯姆森公司已經(jīng)商用了名為“Speed Touch 570”的DSL調(diào)制解調(diào)器����,該DSL調(diào)制解調(diào)器以對于用戶的簡單方式,提供了WLAN中的安全關(guān)聯(lián)機(jī)制。該調(diào)制解調(diào)器包括���,要由用戶按下�����、以打開時(shí)間窗的特定觸點(diǎn)(touch)�����,在該特定觸摸期間�,站點(diǎn)可以與網(wǎng)絡(luò)相關(guān)聯(lián)�����。在按下該觸點(diǎn)之前��,用戶必須首先在該站點(diǎn)中登記相關(guān)參數(shù)(SSID���,這里實(shí)現(xiàn)為密鑰)�。因此��,當(dāng)需要關(guān)聯(lián)時(shí)�����,用戶必須按下一個(gè)按鈕,以及自動地進(jìn)行所有下面的步驟�。
盡管該關(guān)聯(lián)是用戶友好的,但是需要在站點(diǎn)中初步記錄相關(guān)參數(shù)����。此外,由于僅將SSID作為密鑰記錄在站點(diǎn)中����,以及僅在調(diào)制解調(diào)器中登記客戶機(jī)的MAC地址(即,IEEE 802.11標(biāo)準(zhǔn)的“媒體訪問控制”)����,所以可以提高安全性。然而����,輸入特定安全密鑰將會包括用戶的附加的先驗(yàn)操作。
發(fā)明內(nèi)容
本發(fā)明涉及一種WLAN關(guān)聯(lián)設(shè)備��,能夠提供用戶友好的和安全的技術(shù)�����。本發(fā)明的關(guān)聯(lián)設(shè)備可以在不需要特定附加用戶輸入數(shù)據(jù)或材料的情況下����,以及以可能地非常安全的方式,通過非常有限的和簡單的操作���,來啟用觸發(fā)關(guān)聯(lián)�。
本發(fā)明還涉及一種WLAN關(guān)聯(lián)方法�����,調(diào)制解調(diào)器和具有本發(fā)明關(guān)聯(lián)設(shè)備的優(yōu)點(diǎn)的計(jì)算機(jī)產(chǎn)品�����。
明顯地���,本發(fā)明應(yīng)用于無線家庭網(wǎng)絡(luò)領(lǐng)域��,而且更加通常地����,應(yīng)用于包括了無線局域網(wǎng)的其它領(lǐng)域�����。
為此,本發(fā)明涉及一種WLAN關(guān)聯(lián)設(shè)備��,用于使新站點(diǎn)能夠通過由該WLAN的中心裝置提供的接入點(diǎn)���,與WLAN相關(guān)聯(lián)��。關(guān)聯(lián)設(shè)備包括-接收裝置�,用于在中心裝置處接收來自站點(diǎn)的信號��,-發(fā)送裝置����,用于將信號從中心裝置發(fā)送至站點(diǎn),-記錄裝置����,在由該站點(diǎn)發(fā)送的關(guān)聯(lián)請求發(fā)起該站點(diǎn)與中心裝置之間的無線交換的情況下,用于將站點(diǎn)記錄作為WLAN的一部分��,-管理裝置��,用于管理作為服務(wù)設(shè)置標(biāo)識符(記為WLAN SSID)的WLAN的標(biāo)識��,以及-時(shí)間窗裝置����,用于觸發(fā)時(shí)間窗的打開,能夠僅在該時(shí)間窗的打開期間初始地激活那些記錄裝置����。
根據(jù)本發(fā)明,管理裝置用于自動地激活臨時(shí)關(guān)聯(lián)服務(wù)設(shè)置標(biāo)識符(記為關(guān)聯(lián)SSID)�����,用于在時(shí)間窗期間記錄新的站點(diǎn)���。
稱“能夠僅在時(shí)間窗的打開期間初始地激活”記錄裝置��,這意味著���,如果在時(shí)間窗之前或之后觸發(fā)這些記錄裝置,則忽略由站點(diǎn)發(fā)送的關(guān)聯(lián)請求����。因此,如果在時(shí)間窗仍然打開時(shí)(甚至在打開的結(jié)尾)觸發(fā)這些記錄裝置���,則甚至可以在時(shí)間窗結(jié)束之后來追蹤該關(guān)聯(lián)過程����。
本發(fā)明關(guān)聯(lián)設(shè)備的定義依據(jù)多個(gè)“裝置”,必須將這些裝置理解為純功能裝置����,不會對于它們的物理實(shí)現(xiàn)方式引發(fā)任何其它。明顯地���,可以將多個(gè)裝置聚集于相同的組件中��,或者給定裝置可以在多個(gè)材料實(shí)體中分布��。
驚人地����,將用于登記過程的特別SSID(關(guān)聯(lián)SSID)的自動提供與打開時(shí)間窗的先驗(yàn)步驟進(jìn)行組合���。當(dāng)時(shí)間窗裝置觸發(fā)時(shí)間窗的打開時(shí)�����,中心裝置激活僅用于登記過程的關(guān)聯(lián)SSID���。即���,對技術(shù)人員的本質(zhì)誘惑將會是�����,類似于在802.11規(guī)范中所指示的����,使用用于關(guān)聯(lián)過程的WLAN的相同的SSID。臨時(shí)使用特別的SSID的事實(shí)增強(qiáng)了登記過程的安全策略�。關(guān)聯(lián)SSID不同于用于WLAN識別的SSID。
根據(jù)關(guān)聯(lián)設(shè)備的實(shí)施例����,管理裝置用于在WLAN中同時(shí)激活單個(gè)SSID,以在時(shí)間窗期間使用關(guān)聯(lián)SSID�����、以及在時(shí)間窗外使用WLANSSID�。在這種情況下,在時(shí)間窗期間�����,已經(jīng)關(guān)聯(lián)的站點(diǎn)不參與WLAN業(yè)務(wù)。然后�����,新站點(diǎn)具有所有的可用資源�,并且不會干擾其它站點(diǎn)。
在關(guān)聯(lián)設(shè)備的實(shí)施例中���,管理裝置用于在WLAN中同時(shí)激活多個(gè)SSID����,在時(shí)間窗期間同時(shí)激活關(guān)聯(lián)SSID和WLAN SSID���。在這種情況下�,關(guān)聯(lián)過程不會干擾已經(jīng)關(guān)聯(lián)的站點(diǎn)��?��?梢圆辉谛艠?biāo)幀中公開關(guān)聯(lián)SSID�����,其中�,信標(biāo)幀僅指示作為WLAN SSID的一個(gè)SSID。然后�����,可以在站點(diǎn)記錄之前來記錄關(guān)聯(lián)SSID����,使得站點(diǎn)能夠執(zhí)行關(guān)聯(lián)過程�。
在關(guān)聯(lián)過程的結(jié)束處,優(yōu)選地�,中心裝置關(guān)閉對關(guān)聯(lián)SSID的訪問,直至下一次重新激活WLAN的訪問特征�。以及在關(guān)閉對關(guān)聯(lián)SSID訪問之前,將站點(diǎn)與關(guān)聯(lián)SSID去關(guān)聯(lián)��。
有利地�����,在時(shí)間窗期間��,接收裝置不允許對除了關(guān)聯(lián)設(shè)備之外的其它MAC地址進(jìn)行訪問。換言之����,接收裝置僅接受來自以關(guān)聯(lián)設(shè)備的MAC地址作為目的地址的站點(diǎn)的數(shù)據(jù)幀。為了登記����,這可以允許在時(shí)間幀期間限制業(yè)務(wù)。
根據(jù)關(guān)聯(lián)設(shè)備的實(shí)施例�����,時(shí)間窗裝置用于在用戶對于中心裝置執(zhí)行物理動作(ACTION)時(shí)來觸發(fā)時(shí)間窗的打開����。然后,用戶可以出現(xiàn)在中心裝置附近�,以實(shí)現(xiàn)任何新的設(shè)備關(guān)聯(lián),但是在僅有的物理動作之后�����,所有都可以在沒有特定準(zhǔn)備步驟的情況下���,以可靠的方式進(jìn)行�。必須理解,“物理動作”是必須直接在中心裝置本身上直接(而不是遠(yuǎn)程地)執(zhí)行的動作��。因此��,可以是明顯地按下中心裝置上的按鈕����、或者觸摸屏幕的給定部分、或者拉動特定元件���。因此���,可以避免鍵盤輸入的任何必要性,以及可以通過例如���,簡單地敲擊接入點(diǎn)處的按鈕,來獲得自動的配置�����。
因此�����,本發(fā)明的關(guān)聯(lián)設(shè)備以非常有趣的方式獲得了“單次點(diǎn)擊”的安全和穩(wěn)健的用于將無線網(wǎng)絡(luò)元件添加于現(xiàn)有網(wǎng)絡(luò)(如,家庭網(wǎng)絡(luò))中的機(jī)制��。
所包括的機(jī)制可以支持先前已經(jīng)安裝了的所有無線客戶機(jī)�,而不需要軟件驅(qū)動器的附加安裝。
根據(jù)實(shí)施例����,關(guān)聯(lián)設(shè)備還包括安全裝置,用于自動地向中心裝置提供具有至少一個(gè)中心秘密密鑰(K)�����、與站點(diǎn)可用的中心秘密密鑰(K)相對應(yīng)的至少一個(gè)站點(diǎn)秘密密鑰(K’)�����,安全裝置用于在發(fā)起無線交換時(shí)��,觸發(fā)將站點(diǎn)秘密密鑰(K’)的至少一部分發(fā)送至站點(diǎn)��;以及還通過中心和站點(diǎn)秘密密鑰(K����,K’)來保護(hù)記錄裝置的安全。
中心密鑰和站點(diǎn)密鑰“對應(yīng)”在于��,中心密鑰和站點(diǎn)密鑰形成加密/解密對。明顯地��,中心密鑰和站點(diǎn)密鑰可以存在于相同的秘密密鑰中�����,用于加密和解密消息�。中心密鑰和站點(diǎn)密鑰還可以是分別不同的加密密鑰和解密密鑰,或者相反����。還可以使用兩對加密和解密密鑰,中心裝置和站點(diǎn)每個(gè)都具有加密密鑰之一和解密密鑰之一���,分別與另一實(shí)體中的另一解密密鑰和另一加密密鑰相對應(yīng)���。
可以在在中心裝置和/或公共數(shù)據(jù)庫中記錄之前,記錄可由中心裝置訪問的中心秘密密鑰��、以及站點(diǎn)秘密密鑰�����,或者可以在關(guān)聯(lián)過程期間�����,實(shí)時(shí)生成以上的中心秘密密鑰和站點(diǎn)秘密密鑰�����。然而���,安全裝置用于僅在發(fā)起中心裝置與站點(diǎn)之間的無線交換(即�,關(guān)聯(lián)過程)時(shí)����,來觸發(fā)(可能部分)將站點(diǎn)秘密密鑰發(fā)送至站點(diǎn)。明顯地���,可以由站點(diǎn)通過適合的密鑰交換����,從中心裝置中獲得密鑰���,或者從在站點(diǎn)與中心裝置之間共享�����、以及可通過有線通信路徑訪問的數(shù)據(jù)庫中獲得密鑰���。在后者的情況下���,具體地,可以由中心裝置將觸發(fā)信號發(fā)送至數(shù)據(jù)庫管理器��,以允許將站點(diǎn)秘密密鑰從數(shù)據(jù)庫發(fā)送至站點(diǎn)�。
將秘密密鑰自動提供給中心裝置與先驗(yàn)步驟進(jìn)行組合,其中��,先驗(yàn)步驟是用戶對中心裝置的打開時(shí)間窗的物理動作�。即,對技術(shù)人員的本質(zhì)誘惑會是���,類似于湯姆森產(chǎn)品Speed Touch 570中所實(shí)現(xiàn)的����,觸發(fā)用于自動關(guān)聯(lián)的時(shí)間窗的打開�,但是是在已經(jīng)將相關(guān)的秘密密鑰記錄在中心裝置和站點(diǎn)中之后。另一方面�,如由文獻(xiàn)US-2003/031151啟發(fā)的�,可能會激勵技術(shù)人員提供要關(guān)聯(lián)的中心裝置與站點(diǎn)之間的自動密鑰交換��;和/或如從文獻(xiàn)US-2003/0169713中所得到的����,可能會激勵技術(shù)人員通過特定服務(wù)器來提供自動認(rèn)證����。然而,在那些情況下����,由于這將會呈現(xiàn)出與由以上技術(shù)所提供的關(guān)聯(lián)過程的自動化相反,所以將會認(rèn)為用戶對于中心裝置的任何類型的直接動作都是不適合的�。
有利地,物理動作在于�,按下中心裝置上的物理按鈕。
此外���,優(yōu)選地�����,時(shí)間窗裝置用于��,對于所涉及的時(shí)間窗�����,僅允許一個(gè)站點(diǎn)與WLAN關(guān)聯(lián)���。
這允許第一站點(diǎn)一通過發(fā)送關(guān)聯(lián)請求來顯現(xiàn)自身�,便凍結(jié)關(guān)聯(lián)過程��。因此��,為了將兩個(gè)不同的站點(diǎn)與WLAN連接�,必須連續(xù)地打開兩個(gè)關(guān)聯(lián)會話���。從而�,由于寄生第二站點(diǎn)可能不利用提供給第一站點(diǎn)的時(shí)間窗打開����,所以提高了與WLAN的入侵(hacking)連接的安全等級請求�����。
除此之外,優(yōu)選地����,記錄裝置用于僅在用戶執(zhí)行對于中心裝置的另一物理動作時(shí)�����,來確認(rèn)該站點(diǎn)的記錄�。有利地,該另一物理動作在于���,按下中心裝置上的物理確認(rèn)按鈕�����,優(yōu)選地����,該確認(rèn)按鈕是用于打開時(shí)間窗的按鈕���。
該實(shí)施例給出了非常高的保護(hù)等級�����,尤其在與上述特征組合時(shí)����。確實(shí)��,即使在時(shí)間窗打開期間嘗試了侵入連接(piracy connection)��,但是當(dāng)用戶必須確認(rèn)站點(diǎn)的正確關(guān)聯(lián)時(shí),用戶將不會認(rèn)為該侵入連接是有效的����。由于用戶必須靠近中心裝置以進(jìn)行確認(rèn),所以排除了偽裝的遠(yuǎn)程確認(rèn)��。因此�,將本地物理控制與可能地復(fù)雜的自動遠(yuǎn)程供應(yīng)進(jìn)行組合,以帶來非常高的保護(hù)等級���。
用于時(shí)間窗打開和用于確認(rèn)的相同按鈕的使用對于簡單性和用戶友好性尤其具有吸引力���。
為了防止訪問WLAN的惡意嘗試,有利地�,對以上的多個(gè)特征進(jìn)行組合。在特定的實(shí)施方式中���,這可以導(dǎo)致以下安全措施�����,這些安全措施能夠安全地將訪問WLAN所需的信息轉(zhuǎn)移至正確地執(zhí)行初始化物理動作的任何一個(gè)設(shè)備-受限時(shí)間窗���,在該受限時(shí)間窗期間��,站點(diǎn)可以加入網(wǎng)絡(luò)��;-在任何關(guān)聯(lián)會話期間�����,僅有一個(gè)站點(diǎn)可以加入網(wǎng)絡(luò)��;-在當(dāng)前關(guān)聯(lián)的站點(diǎn)實(shí)現(xiàn)了與中心裝置的安全通信之后�,但在提供任何敏感信息之前�,需要用戶確認(rèn)所傾向的新站點(diǎn)連續(xù)地與網(wǎng)絡(luò)連接。
根據(jù)與密鑰提供相關(guān)的第一優(yōu)選實(shí)施例���,安全裝置用于引起站點(diǎn)與中心裝置之間的無線密鑰交換��,包括將站點(diǎn)秘密密鑰的至少一個(gè)部分從中心裝置發(fā)送至站點(diǎn)���。
這可以基于以下機(jī)制���,該機(jī)制允許通過獨(dú)立的安全無線網(wǎng)絡(luò),將操作無線網(wǎng)絡(luò)的參數(shù)安全地從中心裝置轉(zhuǎn)移至要關(guān)聯(lián)的站點(diǎn)���。
然后有利地�����,安全裝置用于引起站點(diǎn)與中心裝置之間的Diffie-Hellman密鑰交換。
根據(jù)變化的實(shí)施例��,中心裝置在工廠中使用給出了特定標(biāo)識的數(shù)字證書進(jìn)行配置�����,該數(shù)字證書通過數(shù)字簽名生效���,安全裝置用于使用標(biāo)準(zhǔn)傳輸協(xié)議(如���,EAP-TLS協(xié)議,即“使用傳輸層安全的可擴(kuò)展認(rèn)證協(xié)議”)引起中心秘密密鑰的傳輸���。
此外����,有利地,秘密密鑰是根據(jù)Wi-Fi保護(hù)訪問標(biāo)準(zhǔn)(WPA)的密鑰��。
根據(jù)與密鑰提供相關(guān)的第二優(yōu)選實(shí)施例���,安全裝置用于使站點(diǎn)秘密密鑰的至少一部分從在站點(diǎn)與中心裝置之間共享的數(shù)據(jù)庫中提供給站點(diǎn)��。
本發(fā)明的另一目的是調(diào)制解調(diào)器�,其特征在于���,該調(diào)制解調(diào)器包括根據(jù)本發(fā)明的實(shí)施例之一的關(guān)聯(lián)裝置����。
本發(fā)明還涉及一種WLAN關(guān)聯(lián)方法���,用于使新站點(diǎn)能夠通過由該WLAN的中心裝置提供的接入點(diǎn)����,與WLAN關(guān)聯(lián)��。該關(guān)聯(lián)方法包括以下步驟-在站點(diǎn)與中心裝置之間交換信號,-在由站點(diǎn)發(fā)送的關(guān)聯(lián)請求發(fā)起站點(diǎn)與中心裝置之間的無線交換的情況下��,將站點(diǎn)記錄為WLAN的一部分����,以及-打開時(shí)間窗,能夠僅在時(shí)間窗的打開期間初始地激活該記錄步驟���。
-根據(jù)本發(fā)明�����,關(guān)聯(lián)過程包括自動地激活臨時(shí)管理服務(wù)設(shè)置標(biāo)識符(記為關(guān)聯(lián)SSID)的步驟���,用于在時(shí)間窗期間記錄新站點(diǎn)��。
優(yōu)選地���,用于通過根據(jù)本發(fā)明的任何形式的關(guān)聯(lián)設(shè)備���,來執(zhí)行關(guān)聯(lián)過程。
本發(fā)明的另一目標(biāo)是計(jì)算機(jī)程序產(chǎn)品�����,該計(jì)算機(jī)程序產(chǎn)品包括程序代碼指令,當(dāng)在計(jì)算機(jī)上執(zhí)行所述程序時(shí)�����,所述程序代碼指令用于執(zhí)行根據(jù)本發(fā)明的關(guān)聯(lián)過程的步驟�����?!坝?jì)算機(jī)程序產(chǎn)品”意指計(jì)算機(jī)程序支持,這不但可以存在于包含程序的存儲空間(如�����,磁盤或磁帶)中�����,而且可以存在于信號(如�,電或光信號)中。
參照附圖��,通過以下實(shí)施例和執(zhí)行示例,將更好地理解和示出本發(fā)明����,其中圖1是示出了WLAN和要與之關(guān)聯(lián)的新客戶機(jī)的示意圖,該WLAN包括調(diào)制解調(diào)器����,該調(diào)制解調(diào)器包括符合本發(fā)明的關(guān)聯(lián)設(shè)備;圖2是圖1的關(guān)聯(lián)設(shè)備的具體的結(jié)構(gòu)框圖��;以及圖3a和3b提供了依據(jù)Diffie-Hellman密鑰交換�,以圖1和2的關(guān)聯(lián)設(shè)備的特定實(shí)施方式來執(zhí)行的連續(xù)步驟的流程圖的補(bǔ)充部分。
具體實(shí)施例方式
在圖2中��,所表示的塊是純功能實(shí)體�����,不必與物理的獨(dú)立實(shí)體相對應(yīng)�����。即����,可以以軟件形式來開發(fā)這些純功能實(shí)體���,或者在一個(gè)或多個(gè)集成電路中實(shí)現(xiàn)這些純功能實(shí)體�。
WLAN1(圖1)包括調(diào)制解調(diào)器2,用于形成客戶機(jī)的對WLAN的接入點(diǎn)����。另一不同于調(diào)制解調(diào)器的裝置可以用于接入點(diǎn)(如,路由器或網(wǎng)關(guān))��,以及在WLAN中可以出現(xiàn)兩個(gè)或多個(gè)接入點(diǎn)�����。在表達(dá)中�����,多個(gè)客戶機(jī)S1�、S2和S3已經(jīng)與WLAN網(wǎng)絡(luò)1(使用用戶的本地配置)關(guān)聯(lián)。調(diào)制解調(diào)器2具有關(guān)聯(lián)設(shè)備5�,關(guān)聯(lián)設(shè)備5為任何新關(guān)聯(lián)而激活。
潛在的新客戶機(jī)3(還未以用戶的配置進(jìn)行配置)構(gòu)成了與調(diào)制解調(diào)器2通信�,以與WLAN1關(guān)聯(lián)的站點(diǎn)。
更加具體地����,關(guān)聯(lián)設(shè)備5包括以下部分(圖2)-通信組10�,包括接收模塊11和發(fā)送模塊12����,分別用于接收和發(fā)送無線信號;通信組10實(shí)現(xiàn)了與站點(diǎn)3的無線通信����;明顯地,接收模塊11用于接收來自站點(diǎn)3的關(guān)聯(lián)請求�;-安全模塊13,用于自動地向調(diào)制解調(diào)器2提供一個(gè)或多個(gè)中心秘密密鑰K����,站點(diǎn)3可用的至少一個(gè)相應(yīng)的站點(diǎn)秘密密鑰K’;該模塊3還用于在開始調(diào)制解調(diào)器2與站點(diǎn)3之間的關(guān)聯(lián)無線交換時(shí)�����,觸發(fā)將站點(diǎn)秘密密鑰K’的至少一部分發(fā)送至站點(diǎn)3��;可以從調(diào)制解調(diào)器2(發(fā)送模塊12)中進(jìn)行或不進(jìn)行站點(diǎn)秘密密鑰K’的(可能部分的)發(fā)送���;-記錄模塊14�,用于在由來自站點(diǎn)3的關(guān)聯(lián)請求發(fā)起站點(diǎn)3與調(diào)制解調(diào)器2之間的無線交換的條件下�,將站點(diǎn)3作為WLAN1的一部分記錄在存儲空間20中;這些交換由秘密密鑰K和K’來保護(hù)���;此外�����,必須由確認(rèn)物理動作ACTION來使站點(diǎn)3的關(guān)聯(lián)生效�����;-時(shí)間窗模塊15���,用于當(dāng)用戶在調(diào)制解調(diào)器上執(zhí)行初始化物理動作ACTION時(shí),觸發(fā)時(shí)間窗的打開�����;能夠僅在時(shí)間窗的打開期間初始地激活記錄模塊14�;-管理模塊16,用于管理作為服務(wù)設(shè)置標(biāo)識符(記為WLANSSID)的WLAN的標(biāo)識�����。關(guān)聯(lián)設(shè)備可以支持多個(gè)SSID的功能。當(dāng)時(shí)間窗打開時(shí)����,管理模塊激活補(bǔ)充SSID,關(guān)聯(lián)SSID�。當(dāng)時(shí)間窗關(guān)閉時(shí),管理裝置關(guān)閉對關(guān)聯(lián)SSID的訪問�。
現(xiàn)在將描述關(guān)聯(lián)設(shè)備5的特定示例和關(guān)聯(lián)環(huán)境,例如����,WLAN網(wǎng)絡(luò)1是家庭網(wǎng)絡(luò)。這里�����,用戶通過按下WLAN訪問按鈕�,來激活與“添加新客戶機(jī)”相關(guān)的調(diào)制解調(diào)器2的特定模式。然后���,調(diào)制解調(diào)器2通過單獨(dú)的LED(即“發(fā)光二極管”)顯示器(例如��,通過閃光紅色LED)���,來指示調(diào)制解調(diào)器2處于該特定模式中�。
之后����,調(diào)制解調(diào)器2在一段短的持續(xù)時(shí)間內(nèi)激活特定模式�����,該特定模式允許任何客戶機(jī)與調(diào)制解調(diào)器2(例如����,站點(diǎn)3)之間的無線通信。在詳細(xì)的示例中�,授權(quán)的通信符合關(guān)于認(rèn)證的IEEE 802.1X標(biāo)準(zhǔn)。該模式阻斷了對除當(dāng)前正試圖與服務(wù)或與WAN連接進(jìn)行連接的客戶機(jī)之外的其它客戶機(jī)的訪問����。在優(yōu)選的實(shí)施方式中,由于調(diào)制解調(diào)器2支持無線VLAN(即“虛擬局域網(wǎng)”)/多個(gè)SSID功能����,所以以上所述的阻斷在不干擾其他用戶的情況下實(shí)現(xiàn)。在可選實(shí)施方式中����,特定的通信模式需要臨時(shí)丟失對其它無線網(wǎng)絡(luò)設(shè)備的服務(wù)�。
在示出的示例中�,當(dāng)進(jìn)行通信時(shí),站點(diǎn)3和調(diào)制解調(diào)器2使用WPA-Enterprise/802.1X協(xié)議�����,來建立站點(diǎn)3與調(diào)制解調(diào)器2內(nèi)部的服務(wù)器功能之間的EAP(即“可擴(kuò)展認(rèn)證協(xié)議”�,RFC(即“請求注釋”) 2284)消息的交換,以及與通信組10相關(guān)聯(lián)�����。
可選地�,調(diào)制解調(diào)器2與同站點(diǎn)3的通信所依據(jù)的遠(yuǎn)程服務(wù)器功能相關(guān)。在這樣的遠(yuǎn)程服務(wù)器示例中����,調(diào)制解調(diào)器2是DSL調(diào)制解調(diào)器,以及服務(wù)器可通過DSL鏈路訪問�����。在另一示例中���,調(diào)制解調(diào)器2與遠(yuǎn)程服務(wù)器的通信基于Diffie-Hellman交換����,或者基于諸如EAP-TLS(即“使用傳輸層安全的EAP”,RFC2716)之類的標(biāo)準(zhǔn)���。
在該標(biāo)準(zhǔn)化協(xié)議交換中����,在示出的示例中����,站點(diǎn)3和調(diào)制解調(diào)器2通過使用Diffie-Hellman密鑰交換���,使用專用協(xié)議來同意構(gòu)成密鑰K的WPA密鑰���。調(diào)制解調(diào)器2僅允許一個(gè)客戶機(jī)來協(xié)商每個(gè)“添加新客戶機(jī)”會話的密鑰。站點(diǎn)3和調(diào)制解調(diào)器2通過使用標(biāo)準(zhǔn)化的WPA標(biāo)準(zhǔn)的“四路握手”����,使用一致同意的密鑰K來協(xié)商臨時(shí)會話密鑰。
之后���,站點(diǎn)3向用戶通知�����,已經(jīng)成功地建立了通信(使用可用的任何虛擬輸出介質(zhì))���;用戶必須在持續(xù)的時(shí)間段內(nèi)(有利地����,超過10秒)����,通過第二次按下WLAN訪問按鈕,來確認(rèn)這個(gè)與調(diào)制解調(diào)器2的成功通信��。這防止了由欺騙性的客戶機(jī)侵入“添加新客戶機(jī)”會話的可能性�����,這是由于如果是這種情況�,則所傾向的客戶機(jī)(站點(diǎn)3)不能進(jìn)行通信。如果站點(diǎn)3未能正確地與調(diào)制解調(diào)器2進(jìn)行通信�,則站點(diǎn)3顯示警告信息,以指示用戶重新設(shè)置調(diào)制解調(diào)器2并重新嘗試該過程��。
現(xiàn)在可以保護(hù)站點(diǎn)3與調(diào)制解調(diào)器2之間的通信,以及站點(diǎn)3發(fā)現(xiàn)了用于完全的WLAN網(wǎng)絡(luò)1的無線安全參數(shù)���。例如����,這通過使用具有WLAN簡檔的UPnP(即“通用即插即用”)協(xié)議來實(shí)現(xiàn)���。
現(xiàn)在�����,站點(diǎn)3應(yīng)用從調(diào)制解調(diào)器2中得到的網(wǎng)絡(luò)配置信息�,以及開始嘗試找到網(wǎng)絡(luò)1����。
在第二次按下WLAN訪問按鈕之后��,調(diào)制解調(diào)器2恢復(fù)正常操作例如30秒�。
站點(diǎn)3成功地與調(diào)制解調(diào)器2關(guān)聯(lián)。現(xiàn)在��,較高層協(xié)議可以利用MAC(即IEEE 802.11標(biāo)準(zhǔn)的“媒體訪問控制”)級連接�����,來完成站點(diǎn)3結(jié)合進(jìn)入網(wǎng)絡(luò)1。
現(xiàn)在將詳細(xì)地展開基于以上示例的關(guān)聯(lián)場景��。該場景包括以下步驟(圖3a和3b)���,其中�����,該場景是關(guān)于站點(diǎn)3(記為“STA”)����、調(diào)制解調(diào)器2的無線驅(qū)動器和調(diào)制解調(diào)器2可用的內(nèi)部(或遠(yuǎn)程)Diffie-Hellman服務(wù)器(“DH服務(wù)器”)�����、以及二者之間的通信�,所述步驟如下-步驟S1用戶通過按下調(diào)制解調(diào)器2的WLAN訪問按鈕,來激活關(guān)聯(lián)過程��;-步驟S2調(diào)制解調(diào)器2激活關(guān)聯(lián)SSID�����;這提供了安全地轉(zhuǎn)移WLAN的配置數(shù)據(jù)的圈圍防護(hù)能力;除了調(diào)制解調(diào)器2之外�,不允許數(shù)據(jù)幀對其它MAC地址進(jìn)行訪問;-步驟S3用戶激活新客戶機(jī)STA(站點(diǎn)3)�;該站點(diǎn)3使用Diffie-Hellman參數(shù)預(yù)先編程,這些參數(shù)對于所有站點(diǎn)STA來說都是相同的��;-步驟S4站點(diǎn)3掃描具有關(guān)聯(lián)SSID的網(wǎng)絡(luò)1的接入點(diǎn)�;-步驟S5作為活躍的掃描過程的一部分,站點(diǎn)3探查網(wǎng)絡(luò)1���;-步驟S6網(wǎng)絡(luò)1響應(yīng)探查��,以及指示網(wǎng)絡(luò)1允許使用IEEE802.1 X和TKIP(即“臨時(shí)密鑰完整性協(xié)議”)協(xié)議�����、使用RSN-IE(即“穩(wěn)健的安全網(wǎng)絡(luò)信息元件”)的關(guān)聯(lián)�����;-步驟S7和S8在兩個(gè)方向上均發(fā)生開放模式下的IEEE 802.11的標(biāo)準(zhǔn)認(rèn)證過程;這是遺留交換(legacy exchange)以及沒有值對站點(diǎn)3或調(diào)制解調(diào)器2進(jìn)行認(rèn)證�����;-步驟S9站點(diǎn)3請求指示站點(diǎn)3支持802.1X和TKIP協(xié)議的關(guān)聯(lián);-步驟S10由調(diào)制解調(diào)器2接受關(guān)聯(lián)����;-步驟S11客戶機(jī)請求者發(fā)起EAP認(rèn)證過程;在以下的步驟中�,站點(diǎn)3將正常的WPA-Enterprise過程應(yīng)用于獲得網(wǎng)絡(luò)訪問的密鑰;然而��,作為認(rèn)證過程的替代�,發(fā)生Diffie-Hellman密鑰交換;-步驟S12調(diào)制解調(diào)器認(rèn)證者請求802.11i/802.1X標(biāo)準(zhǔn)所需要的客戶機(jī)標(biāo)識�;由于調(diào)制解調(diào)器2不具有設(shè)備標(biāo)識的先驗(yàn)知識,所以在響應(yīng)中沒有提供任何內(nèi)容的值�,除了指示站點(diǎn)3是準(zhǔn)備使用關(guān)聯(lián)協(xié)議的設(shè)備的預(yù)定義標(biāo)識之外;-步驟S13站點(diǎn)3宣布自己為啟用關(guān)聯(lián)的設(shè)備�����;-步驟S14調(diào)制解調(diào)器2的認(rèn)證者向DH服務(wù)器提供所接收的標(biāo)識���,以發(fā)起密鑰交換過程��;-步驟S15DH服務(wù)器選擇該交換的隨機(jī)種子����;-步驟S16DH服務(wù)器使用隨機(jī)種子,根據(jù)Diffie-Hellman算法來計(jì)算AP-DH-Value(即“接入點(diǎn)-Diffie-Hellman”)���;-步驟S17DH服務(wù)器將AP-DH-Value發(fā)送至站點(diǎn)3��;-步驟S18站點(diǎn)3選擇隨機(jī)種子���;-步驟S19站點(diǎn)3從隨機(jī)種子中計(jì)算STA-DH-Value;-步驟S20站點(diǎn)3響應(yīng)所接收的AP-DH-Value����,將所計(jì)算的STA-DH-Value發(fā)送至調(diào)制解調(diào)器2;-步驟S21站點(diǎn)3使用Diffie-Hellman算法���,從種子和所接收的AP-DH-Value中計(jì)算秘密的WPA PMK密鑰值(PMK即“基本主密鑰”)K����;-步驟S22DH服務(wù)器使用Diffie-Hellman算法��,從種子和所接收的STA-DH-Value中計(jì)算秘密的WPA PMK密鑰值K�����;-步驟S23DH服務(wù)器向無線驅(qū)動器通知PMK值K���;-步驟S24和S25站點(diǎn)3和無線驅(qū)動器功能執(zhí)行同意逐對會話和組密鑰的802.11i四路握手�;四路握手完全符合同意PTK(即“逐對瞬時(shí)密鑰”)和GTK(即“組瞬時(shí)密鑰”)的WPA/802.11i��;-步驟S26站點(diǎn)3通知用戶���,已經(jīng)建立了與調(diào)制解調(diào)器2的安全通信�����,以及提示用戶授權(quán)發(fā)布安全參數(shù)����;-步驟S27用戶第二次按下調(diào)制解調(diào)器2上的WLAN訪問按鈕����,以授權(quán)將網(wǎng)絡(luò)安全參數(shù)下載至站點(diǎn)3;-步驟S28調(diào)制解調(diào)器2將專用進(jìn)行消息發(fā)送至站點(diǎn)3����;-步驟S29站點(diǎn)3使用適合的協(xié)議(例如,UPnP WLAN簡檔)�����,從調(diào)制解調(diào)器2中獲得所有必要的網(wǎng)絡(luò)安全參數(shù);這可以包括整個(gè)家庭網(wǎng)絡(luò)配置����;-步驟S30站點(diǎn)3與關(guān)聯(lián)SSID去關(guān)聯(lián);-步驟S31站點(diǎn)3應(yīng)用家庭網(wǎng)絡(luò)參數(shù)�����,并開始嘗試加入家庭網(wǎng)絡(luò)1�;-步驟S32站點(diǎn)3成功地加入了家庭網(wǎng)絡(luò)1;-步驟S33調(diào)制解調(diào)器2關(guān)閉對關(guān)聯(lián)SSID的訪問�����,直至下一次重新激活WLAN的訪問特征����。
例如,基于以下的實(shí)施方式來執(zhí)行Diffie-Hellman算法(表示為“DH”)����。在802.1X標(biāo)準(zhǔn)的認(rèn)證階段來執(zhí)行DH密鑰交換,以生成WPA基本主密鑰(“PMK”)�。經(jīng)典地,將DH密鑰交換所需要的兩個(gè)參數(shù)(基礎(chǔ)發(fā)生器g和大質(zhì)數(shù)n)在STA(站點(diǎn)3)和接入點(diǎn)(調(diào)制解調(diào)器2)中預(yù)先配置為以下值g=2n=2^768-2^704-1+2^64*{[2^638.pi]+149686},如在W.Diffie和M.E.Hellman的“New Directions in Cryptography”�����,IEEE Transactions on Information Theory�,v.IT-22�,n.6,pp.644-654���,1976年11月中所提及的��,數(shù)字n與Oakley組1相對應(yīng)���。
實(shí)踐中,對于每個(gè)設(shè)備�����,參數(shù)g和n都是相同的�,以及是在制造期間預(yù)先配置的。
數(shù)字n的十六進(jìn)制值是FFFFFFFF FFFFFFFF C90FDAA2 2168C234 C4C6628B 80DC1CD129024E08 8A67CC74020BBEA6 3B139B22 514A0879 8E3404DD EF9519B3 CD3A431B302B0A6D F25F14374FE1356D 6D51C245 E485B576 625E7EC6 F44C42E9 A63A3620FFFFFFFF FFFFFFFF在DH密鑰交換期間���,站點(diǎn)3和調(diào)制解調(diào)器2中的每個(gè)生成隨機(jī)數(shù)字(隨機(jī)種子)����,作為它們的DH專用值,例如����,值x用于站點(diǎn)3,以及值y用于調(diào)制解調(diào)器2���。那些隨機(jī)數(shù)字具有能夠保護(hù)系統(tǒng)的良好特征�。站點(diǎn)3按照以下來計(jì)算它的DH公共值STA-DH-Valueg^x modn�,并將該值發(fā)送給調(diào)制解調(diào)器2。同樣���,調(diào)制解調(diào)器2按照以下來計(jì)算它的DH公共值A(chǔ)P-DH-Valueg^y mod n��,并將該值發(fā)送給站點(diǎn)3��。之后�����,站點(diǎn)3和調(diào)制解調(diào)器2均計(jì)算密鑰材料�,該密鑰材料與用于TKIP加密的PMK計(jì)算相對應(yīng)PMK=[?���?��!Require algorithm to convert DH secret value to 256 bits PMK!����!]在變化的實(shí)施例中���,在工廠中使用給出了唯一標(biāo)識的數(shù)字證書來配置調(diào)制解調(diào)器2����,該數(shù)字證書通過數(shù)字簽名生效��。這允許客戶機(jī)使用完全的標(biāo)準(zhǔn)EAP-TLS協(xié)議來建立安全會話�����。此外�����,對調(diào)制解調(diào)器2進(jìn)行認(rèn)證���,因而仍然提高了安全等級���。
在這樣的實(shí)施例的實(shí)施方式的示例中���,根據(jù)以下步驟來執(zhí)行該過程,將調(diào)制解調(diào)器2的TLS服務(wù)器包括于無線驅(qū)動器中-用戶使用調(diào)制解調(diào)器2的WLAN訪問按鈕����,來激活關(guān)聯(lián)特征;-調(diào)制解調(diào)器2激活關(guān)聯(lián)SSID�����;這提供了安全地轉(zhuǎn)移WLAN1的配置數(shù)據(jù)的圈圍防護(hù)能力�����;除了調(diào)制解調(diào)器2之外����,不允許數(shù)據(jù)幀對其它MAC地址進(jìn)行訪問;-用戶激活新客戶機(jī)STA(站點(diǎn)3)�����;-客戶機(jī)掃描具有關(guān)聯(lián)SSID的接入點(diǎn);-作為激活的掃描過程的一部分��,客戶機(jī)探查網(wǎng)絡(luò)1����;
-網(wǎng)絡(luò)1響應(yīng)探查,以及指示網(wǎng)絡(luò)1允許使用802.1X和TKIP協(xié)議的關(guān)聯(lián)����;-在開放模式中發(fā)生802.11標(biāo)準(zhǔn)的標(biāo)準(zhǔn)認(rèn)證過程����;這是遺留交換,以及沒有對站點(diǎn)3或調(diào)制解調(diào)器2進(jìn)行認(rèn)證的值��;-站點(diǎn)3請求指示站點(diǎn)3支持802.1X和TKIP協(xié)議的關(guān)聯(lián)�����;-接受關(guān)聯(lián)����;-客戶機(jī)請求者發(fā)起EAP認(rèn)證過程;-調(diào)制解調(diào)器認(rèn)證者請求802.11i/802.1X標(biāo)準(zhǔn)所需要的客戶機(jī)標(biāo)識�����;由于調(diào)制解調(diào)器2不具有設(shè)備標(biāo)識的先驗(yàn)知識,所以沒有在響應(yīng)中提供任何內(nèi)容的值��,除了指示站點(diǎn)3是準(zhǔn)備使用關(guān)聯(lián)協(xié)議的設(shè)備的預(yù)定義標(biāo)識之外��;-客戶機(jī)設(shè)備將自己標(biāo)識為關(guān)聯(lián)啟用設(shè)備����;-認(rèn)證者向TLS服務(wù)器提供所提供的標(biāo)識,以發(fā)起密鑰交換過程���;-TLS服務(wù)器發(fā)起與新客戶機(jī)的安全關(guān)聯(lián)��;-站點(diǎn)3使用接入點(diǎn)的公共密鑰來發(fā)送用于未來交換的秘密(站點(diǎn)3應(yīng)用正常的WPA-Enterprise過程來獲得網(wǎng)絡(luò)訪問的密鑰��,以及發(fā)生TLS認(rèn)證過程����,來對接入點(diǎn)進(jìn)行認(rèn)證(沒有客戶機(jī)認(rèn)證))�;-客戶機(jī)使從調(diào)制解調(diào)器2中接收的數(shù)字證書的簽名生效;在客戶機(jī)處顯示所提供的標(biāo)識�,以及請求用戶來確認(rèn)標(biāo)識與單元上的標(biāo)簽匹配;-用戶按下客戶機(jī)上的接受按鈕����,該按鈕指示以作為接入點(diǎn)的正確的調(diào)制解調(diào)器2來開始該過程��;-站點(diǎn)3計(jì)算秘密的WPA密鑰值K��;-調(diào)制解調(diào)器2計(jì)算秘密的WPA密鑰值K’����;-TLS服務(wù)器向WLAN通知PMK值K���;-站點(diǎn)3和無線驅(qū)動器功能執(zhí)行用于同意逐對會話和組密鑰的802.11i四路握手�����;-站點(diǎn)3和無線驅(qū)動器功能執(zhí)行用于同意逐對會話和組密鑰的802.11i四路握手;-客戶機(jī)通知用戶��,已經(jīng)建立了與調(diào)制解調(diào)器2的安全通信�,以及提示用戶授權(quán)發(fā)布安全參數(shù);-用戶第二次按下調(diào)制解調(diào)器2上的WLAN訪問按鈕���,以授權(quán)將網(wǎng)絡(luò)安全參數(shù)下載至客戶機(jī)����;-調(diào)制解調(diào)器2將專用進(jìn)行消息發(fā)送至客戶機(jī);-客戶機(jī)使用所建立的UPnP SOAP(即“簡單對象訪問協(xié)議”)消息���,來獲得必要的WLAN配置�����;-站點(diǎn)3將關(guān)聯(lián)SSID去關(guān)聯(lián)��;-站點(diǎn)3應(yīng)用網(wǎng)絡(luò)參數(shù)���,并開始嘗試加入網(wǎng)絡(luò)1;-站點(diǎn)3成功地加入了網(wǎng)絡(luò)1��;-調(diào)制解調(diào)器2關(guān)閉對關(guān)聯(lián)SSID的訪問��,直至下一次重新激活WLAN的訪問特征��。
在關(guān)聯(lián)設(shè)備5的不同實(shí)施例中�����,在發(fā)起調(diào)制解調(diào)器2與站點(diǎn)3之間的無線關(guān)聯(lián)通信(而不是以上的無線密鑰交換)時(shí)�����,通過發(fā)送至站點(diǎn)3的數(shù)字證書,從在調(diào)制解調(diào)器2與要關(guān)聯(lián)的站點(diǎn)3之間共享的數(shù)據(jù)庫中獲取站點(diǎn)秘密密鑰K’(或重構(gòu)該密鑰K’所必需的數(shù)據(jù))���。明顯地���,如果調(diào)制解調(diào)器2和站點(diǎn)3具有相同的ISP(即“因特網(wǎng)服務(wù)提供商”),則可以實(shí)現(xiàn)以上過程�。
權(quán)利要求
1.一種無線局域網(wǎng)關(guān)聯(lián)設(shè)備(5),用于使新站點(diǎn)(3)能夠通過由表示為WLAN的無線局域網(wǎng)(1)的中心裝置(2)提供的接入點(diǎn)�,與所述WLAN(1)進(jìn)行關(guān)聯(lián),所述關(guān)聯(lián)設(shè)備(5)包括-接收裝置(11)�����,用于在所述中心裝置(2)處接收來自所述站點(diǎn)(3)的信號�,-發(fā)送裝置(12),用于將信號從所述中心裝置(2)發(fā)送至所述站點(diǎn)(3)��,-記錄裝置(14)�,用于在由所述站點(diǎn)(3)發(fā)送的關(guān)聯(lián)請求發(fā)起所述站點(diǎn)(3)與所述中心裝置(2)之間的無線交換的情況下���,將所述站點(diǎn)(3)記錄為所述WLAN(1)的一部分�����,-管理裝置(16)��,用于管理作為表示為WLAN SSID的服務(wù)設(shè)置標(biāo)識符的所述WLAN的標(biāo)識�����,以及-時(shí)間窗裝置(15)���,用于觸發(fā)時(shí)間窗的打開����,能夠僅在所述時(shí)間窗的打開期間初始地激活所述記錄裝置(14)��,其特征在于�����,所述管理裝置(16)用于自動地激活表示為關(guān)聯(lián)SSID的臨時(shí)服務(wù)設(shè)置標(biāo)識符���,用于在所述時(shí)間窗期間記錄所述站點(diǎn)(3)��。
2.如權(quán)利要求1所述的關(guān)聯(lián)設(shè)備(5)��,其特征在于����,所述管理裝置(16)用于同時(shí)在WLAN中激活單個(gè)SSID,以在所述時(shí)間窗期間使用所述關(guān)聯(lián)SSID����,以及在所述時(shí)間窗外使用所述WLAN SSID。
3.如權(quán)利要求1所述的關(guān)聯(lián)設(shè)備(5)��,其特征在于����,所述管理裝置(16)用于在WLAN中同時(shí)激活多個(gè)SSID,在所述時(shí)間窗期間同時(shí)激活所述關(guān)聯(lián)SSID和所述WLAN SSID��。
4.如前述權(quán)利要求之一所述的關(guān)聯(lián)設(shè)備(5)�,其特征在于,在所述時(shí)間窗的結(jié)束處����,所述管理裝置(16)用于關(guān)閉對所述關(guān)聯(lián)SSID的訪問,直至下一次重新激活WLAN的訪問特征����。
5.如前述權(quán)利要求之一所述的關(guān)聯(lián)設(shè)備(5)����,其特征在于�����,在所述時(shí)間窗期間���,所述接收裝置(11)不允許對除了關(guān)聯(lián)設(shè)備之外的其它MAC地址進(jìn)行訪問。
6.如前述權(quán)利要求之一所述的關(guān)聯(lián)設(shè)備(5)��,其特征在于����,所述時(shí)間窗裝置(15)用于在用戶對于所述中心裝置(2)執(zhí)行物理動作(ACTION)時(shí),觸發(fā)時(shí)間窗的打開����。
7.如權(quán)利要求6所述的關(guān)聯(lián)設(shè)備(5),其特征在于�����,所述物理動作(ACTION)在于按下在所述中心裝置(2)上的物理按鈕���。
8.如前述權(quán)利要求之一所述的關(guān)聯(lián)設(shè)備(5)�����,其特征在于�����,所述關(guān)聯(lián)設(shè)備(5)包括安全裝置(13)��,用于自動地向所述中心裝置(2)提供具有至少一個(gè)中心秘密密鑰(K)��、與所述站點(diǎn)(3)可用的所述中心秘密密鑰(K)相對應(yīng)的至少一個(gè)站點(diǎn)秘密密鑰(K’)����,所述安全裝置(13)用于在發(fā)起所述無線交換時(shí),觸發(fā)將所述站點(diǎn)秘密密鑰(K’)的至少一部分發(fā)送至所述站點(diǎn)(3)��;以及還通過所述中心和站點(diǎn)秘密密鑰(K��,K’)來保護(hù)所述記錄裝置(14)�����。
9.如前述權(quán)利要求之一所述的關(guān)聯(lián)設(shè)備(5)���,其特征在于���,所述時(shí)間窗裝置(15)用于對于所述時(shí)間窗,僅允許一個(gè)站點(diǎn)(3)與所述WLAN(1)相關(guān)聯(lián)����。
10.如前述權(quán)利要求之一所述的關(guān)聯(lián)設(shè)備(5),其特征在于����,所述記錄裝置(14)用于僅在所述用戶對所述中心裝置執(zhí)行另一物理動作(ACTION’)時(shí),確認(rèn)所述站點(diǎn)(3)的記錄��。
11.如權(quán)利要求10所述的關(guān)聯(lián)設(shè)備(5)�,其特征在于,所述另一物理動作(ACTION’)在于���,按下所述中心裝置(2)上的物理確認(rèn)按鈕�����,優(yōu)選地�����,所述確認(rèn)按鈕是用于打開所述時(shí)間窗的按鈕����。
12.如前述權(quán)利要求之一所述的關(guān)聯(lián)設(shè)備(5),其特征在于���,所述安全裝置(13)用于引起在所述站點(diǎn)(3)與所述中心裝置(2)之間的無線密鑰交換��,包括將所述站點(diǎn)秘密密鑰(K’)的所述至少一部分從所述中心裝置(2)發(fā)送至所述站點(diǎn)(3)�����。
13.如權(quán)利要求12所述的關(guān)聯(lián)設(shè)備(5)�,其特征在于����,所述安全裝置(13)用于引起在所述站點(diǎn)(3)與所述中心裝置(2)之間的Diffie-Hellman密鑰交換。
14.如權(quán)利要求12或13所述的關(guān)聯(lián)設(shè)備(5)����,其特征在于,所述中心和站點(diǎn)秘密密鑰(K�,K’)是根據(jù)Wi-Fi保護(hù)訪問標(biāo)準(zhǔn)的密鑰。
15.如權(quán)利要求8至11所述的關(guān)聯(lián)設(shè)備(5)�,其特征在于���,所述安全裝置(13)用于使所述站點(diǎn)秘密密鑰(K’)的至少一部分被從在所述站點(diǎn)(3)與所述中心裝置(2)之間共享的數(shù)據(jù)庫中提供給所述站點(diǎn)(3)。
16.一種調(diào)制解調(diào)器(2)�����,其特征在于�,所述調(diào)制解調(diào)器(2)包括根據(jù)前述權(quán)利要求之一所述的關(guān)聯(lián)裝置(5)�����。
17.一種無線局域網(wǎng)關(guān)聯(lián)方法�����,用于使新站點(diǎn)(3)能夠通過由表示為WLAN的無線局域網(wǎng)(1)的中心裝置(2)提供的接入點(diǎn)����,與所述WLAN(1)進(jìn)行關(guān)聯(lián),所述關(guān)聯(lián)方法包括以下步驟-在所述站點(diǎn)(3)與所述中心裝置(2)之間交換信號���,-在由所述站點(diǎn)(3)發(fā)送的關(guān)聯(lián)請求發(fā)起所述站點(diǎn)(3)與所述中心裝置(2)之間的無線交換的情況下���,將所述站點(diǎn)(3)記錄為所述WLAN(1)的一部分��,以及-打開時(shí)間窗�,能夠僅在所述時(shí)間窗的打開期間初始地激活所述記錄步驟����,其特征在于,所述關(guān)聯(lián)方法包括自動地激活表示為關(guān)聯(lián)SSID的臨時(shí)管理服務(wù)設(shè)置標(biāo)識符的步驟����,用于在所述時(shí)間窗期間記錄所述新站點(diǎn)(3),優(yōu)選地���,所述關(guān)聯(lián)方法通過根據(jù)權(quán)利要求1至15之一所述的關(guān)聯(lián)設(shè)備來執(zhí)行���。
18.一種計(jì)算機(jī)程序產(chǎn)品,其特征在于���,所述計(jì)算機(jī)程序產(chǎn)品包括程序代碼指令�����,當(dāng)在計(jì)算機(jī)上執(zhí)行所述程序時(shí)����,所述程序代碼指令用于執(zhí)行根據(jù)權(quán)利要求17所述的關(guān)聯(lián)方法的步驟。
全文摘要
本發(fā)明涉及WLAN關(guān)聯(lián)設(shè)備(5)和用于將新站點(diǎn)(3)通過中心裝置(2)與WLAN(1)進(jìn)行關(guān)聯(lián)的過程�。關(guān)聯(lián)設(shè)備包括接收(11)和發(fā)送(12)裝置,用于在站點(diǎn)與中心裝置之間交換信號����;記錄裝置(14),用于在由站點(diǎn)發(fā)送的關(guān)聯(lián)請求發(fā)起站點(diǎn)與中心裝置之間的無線交換的情況下��,將站點(diǎn)記錄作為WLAN的一部分���;以及管理裝置(16),用于管理WLAN的標(biāo)識����。關(guān)聯(lián)設(shè)備包括時(shí)間窗裝置(15),用于觸發(fā)時(shí)間窗的打開����,能夠僅在時(shí)間窗的打開期間初始地激活記錄裝置。此外��,管理裝置自動地激活臨時(shí)服務(wù)設(shè)置標(biāo)識符�,用于在時(shí)間窗期間記錄站點(diǎn)。
文檔編號H04L29/06GK1973495SQ200580021239
公開日2007年5月30日 申請日期2005年7月5日 優(yōu)先權(quán)日2004年7月7日
發(fā)明者埃里克·多韋克, 特雷弗·穆爾, 卡雷爾·萬多爾塞拉爾 申請人:湯姆森許可貿(mào)易公司