無線區域網關聯的設備和方法及相應產品的製作方法

2023-05-25 17:35:01 2

專利名稱：無線區域網關聯的設備和方法及相應產品的製作方法
技術領域：
本發明涉及無線區域網關聯設備和方法，以及涉及相應的產品。
背景技術：
為了使新產品在無線區域網(這裡稱為WLAN)中關聯，通常有必要在網絡中具有由網絡中的裝置之一提供的接入點節點。明顯地，該裝置可以是數據機，如DSL數據機(用於「數字用戶線」)。例如，要連接形成新節點的產品可以是無線機頂盒、視頻流、網際網路音頻設備、VoIP電話(用於「基於網際網路協議的語音」)、或者其它無線客戶機。
認為兩個不同的標準對於無線關聯來說是重要的。首先，推薦的是，使要由用戶執行的操作保持友好，以及不需要太多和複雜的動作。其次，由於未經授權的人可以試圖遠程地連接，以從網絡中獲得機密信息，所以關聯是有風險的。因此，安全構成了要關心的第二個重要的方面。
已經證實了，這兩個標準相對難以協調，這是由於安全機制通常需要從用戶處輸入一些特定的操作或數據，這些操作或數據可以是生澀的(laborious)、或者專用的附加材料。另一方面，作為對連接步驟中的降低和所需要的必要的數據輸入的補償，增加的用戶友好通常用於伴隨著安全等級的下降。
因此，當前的解決方案包括，手動配置設備(以下稱為「站點」)與由一個或多個接入點所覆蓋的網絡或小區的標識符連接。當前將該標識符稱為SSID(即「服務設置標識符」)。還在站點中配置安全密鑰，該密鑰符合無線安全標準，如著名地，WEP(即「有線等效加密」)或WPA(即「Wi-Fi保護訪問」，由無線乙太網兼容性聯盟(WECA)引入，並成為IEEE 802.11i的子集的標準)。然後，站點能夠與正確的接入點進行關聯。
該解決方案需要用戶將必要的數據事先輸入要連接的設備中，該數據可以是相當冗長的長型數據。此外，該站點可以不提供完全的鍵盤，而是僅提供用於輸入數據的簡單的遙控器。這通常是對於在該站點不是PC(即「個人計算機」)、而是例如無線多媒體設備或電話的情況。因此，用戶會有必要一個接一個地訪問相關的特性，以通過顯示在終端(例如，電視屏幕)上的虛擬鍵盤進行滾動，從而使得輸入正確的SSID和安全密鑰。只有這樣，然後設備才能夠相關。
該過程會是相當漫長和受阻的。確實，安全密鑰僅可以達到26個字符，這些字符典型地顯示為星號(為了安全)，使得易於出錯。此外，如果關聯失敗，則不會有失敗原因的指示。
文獻US-2003/031151涉及無線區域網中的漫遊技術。在分組網關節點(記為「PGN」)看到數據業務建立移動IP認證密鑰之前，分組網關節點作為移動IP(即「網際網路協議」)家庭代理，該移動IP家庭代理具有由GPRS/UMTS網絡(即「通用分組無線業務」和「通用移動通信系統」)處理的移動節點(記為「MN」)的認證。可以通過未經認證的密鑰交換方法(如，著名的Diffie-Hellman方法)來建立共享密鑰。因此，可以在MN與PGN之間設置共享秘密密鑰和安全關聯。然後，在PGN處使用從散列密鑰中獲得的認證值和從安全關聯中得到的安全參數指標，以用於對MN進行認證。以這樣的方式，當MN將移動IP登記請求發送至PGN時，執行認證，以及PGN發送回移動IP等級應答。
該技術簡化了移動節點與可攜式蜂窩電話的WLAN網絡的連接。然而，在MN與PGN之間密鑰的初始建立是未經認證的，因而在安全方面留下了一些缺陷。因此，儘管該系統非常適於可攜式蜂窩電話領域，但是在其它情況下，系統並不完全地呈現出滿意度，尤其對於無線家庭網絡。
文獻US-5539824描述了用於數據通信網絡(尤其，WLAN)中的安全密鑰分配和認證的方法。因此，獨立的遠程站點無線地與所安裝的基站連接。為了通過可靠地對通信方之間的數據交換進行認證而實現安全，建立會話密鑰，並將會話密鑰分配給網絡組件。為此，第一安裝基站用於生成網絡密鑰和骨幹密鑰，以及用於接下來安裝附加的基站，同時避免通過無線網絡的網絡密鑰的通信，其中，例如，網絡密鑰通過有線網絡電路進行傳輸。
儘管該技術提供了可靠的安全等級，但是需要用戶安全地將網絡密鑰數據從第一安裝站點轉移至下一個安裝站點的特定操作。此外，該技術並不解決第一基站的安裝問題。
文獻US-2003/0169713涉及依據基於網絡的認證的WLAN的零配置安全行動網路互聯技術。鏈路層認證過程有利於網絡至用戶的認證，以及使用數字證書來生成空中業務的會話特定加密密鑰。基於網絡的認證伺服器使用用於初始認證的網頁，以及用於作為結果的認證的Java小應用程式。一旦向WLAN對用戶進行了認證，則該用戶的移動主機從WLAN中獲得了完全的IP連接性，並且接收了來自WLAN的安全移動支持。
因此，在該技術中，將安全供應用於代表網絡中的中心伺服器。這留下了以下的可能性對伺服器存在一些潛在的侵權入侵，從而獲得相關的認證數據，以及在之後獲得對WLAN的未經認證的訪問。
文獻US-2002/0061748A1描述了用於安全地和容易地對WLAN中的無線基站和無線終端進行登記和認證的技術。首先由終端的公共密鑰密碼系統來執行登記，然後由基站的秘密密碼系統來執行認證。
儘管該技術簡化了移動節點與WLAN的連接，但是該技術提供了有限等級的安全。該技術使用802.11的不安全WEP算法。
此外，湯姆森公司已經商用了名為「Speed Touch 570」的DSL數據機，該DSL數據機以對於用戶的簡單方式，提供了WLAN中的安全關聯機制。該數據機包括，要由用戶按下、以打開時間窗的特定觸點(touch)，在該特定觸摸期間，站點可以與網絡相關聯。在按下該觸點之前，用戶必須首先在該站點中登記相關參數(SSID，這裡實現為密鑰)。因此，當需要關聯時，用戶必須按下一個按鈕，以及自動地進行所有下面的步驟。
儘管該關聯是用戶友好的，但是需要在站點中初步記錄相關參數。此外，由於僅將SSID作為密鑰記錄在站點中，以及僅在數據機中登記客戶機的MAC地址(即，IEEE 802.11標準的「媒體訪問控制」)，所以可以提高安全性。然而，輸入特定安全密鑰將會包括用戶的附加的先驗操作。

發明內容
本發明涉及一種WLAN關聯設備，能夠提供用戶友好的和安全的技術。本發明的關聯設備可以在不需要特定附加用戶輸入數據或材料的情況下，以及以可能地非常安全的方式，通過非常有限的和簡單的操作，來啟用觸發關聯。
本發明還涉及一種WLAN關聯方法，數據機和具有本發明關聯設備的優點的計算機產品。
明顯地，本發明應用於無線家庭網絡領域，而且更加通常地，應用於包括了無線區域網的其它領域。
為此，本發明涉及一種WLAN關聯設備，用於使新站點能夠通過由該WLAN的中心裝置提供的接入點，與WLAN相關聯。關聯設備包括-接收裝置，用於在中心裝置處接收來自站點的信號，-發送裝置，用於將信號從中心裝置發送至站點，-記錄裝置，在由該站點發送的關聯請求發起該站點與中心裝置之間的無線交換的情況下，用於將站點記錄作為WLAN的一部分，-管理裝置，用於管理作為服務設置標識符(記為WLAN SSID)的WLAN的標識，以及-時間窗裝置，用於觸發時間窗的打開，能夠僅在該時間窗的打開期間初始地激活那些記錄裝置。
根據本發明，管理裝置用於自動地激活臨時關聯服務設置標識符(記為關聯SSID)，用於在時間窗期間記錄新的站點。
稱「能夠僅在時間窗的打開期間初始地激活」記錄裝置，這意味著，如果在時間窗之前或之後觸發這些記錄裝置，則忽略由站點發送的關聯請求。因此，如果在時間窗仍然打開時(甚至在打開的結尾)觸發這些記錄裝置，則甚至可以在時間窗結束之後來追蹤該關聯過程。
本發明關聯設備的定義依據多個「裝置」，必須將這些裝置理解為純功能裝置，不會對於它們的物理實現方式引發任何其它。明顯地，可以將多個裝置聚集於相同的組件中，或者給定裝置可以在多個材料實體中分布。
驚人地，將用於登記過程的特別SSID(關聯SSID)的自動提供與打開時間窗的先驗步驟進行組合。當時間窗裝置觸發時間窗的打開時，中心裝置激活僅用於登記過程的關聯SSID。即，對技術人員的本質誘惑將會是，類似於在802.11規範中所指示的，使用用於關聯過程的WLAN的相同的SSID。臨時使用特別的SSID的事實增強了登記過程的安全策略。關聯SSID不同於用於WLAN識別的SSID。
根據關聯設備的實施例，管理裝置用於在WLAN中同時激活單個SSID，以在時間窗期間使用關聯SSID、以及在時間窗外使用WLANSSID。在這種情況下，在時間窗期間，已經關聯的站點不參與WLAN業務。然後，新站點具有所有的可用資源，並且不會干擾其它站點。
在關聯設備的實施例中，管理裝置用於在WLAN中同時激活多個SSID，在時間窗期間同時激活關聯SSID和WLAN SSID。在這種情況下，關聯過程不會干擾已經關聯的站點。可以不在信標幀中公開關聯SSID，其中，信標幀僅指示作為WLAN SSID的一個SSID。然後，可以在站點記錄之前來記錄關聯SSID，使得站點能夠執行關聯過程。
在關聯過程的結束處，優選地，中心裝置關閉對關聯SSID的訪問，直至下一次重新激活WLAN的訪問特徵。以及在關閉對關聯SSID訪問之前，將站點與關聯SSID去關聯。
有利地，在時間窗期間，接收裝置不允許對除了關聯設備之外的其它MAC地址進行訪問。換言之，接收裝置僅接受來自以關聯設備的MAC地址作為目的地址的站點的數據幀。為了登記，這可以允許在時間幀期間限制業務。
根據關聯設備的實施例，時間窗裝置用於在用戶對於中心裝置執行物理動作(ACTION)時來觸發時間窗的打開。然後，用戶可以出現在中心裝置附近，以實現任何新的設備關聯，但是在僅有的物理動作之後，所有都可以在沒有特定準備步驟的情況下，以可靠的方式進行。必須理解，「物理動作」是必須直接在中心裝置本身上直接(而不是遠程地)執行的動作。因此，可以是明顯地按下中心裝置上的按鈕、或者觸控螢幕幕的給定部分、或者拉動特定元件。因此，可以避免鍵盤輸入的任何必要性，以及可以通過例如，簡單地敲擊接入點處的按鈕，來獲得自動的配置。
因此，本發明的關聯設備以非常有趣的方式獲得了「單次點擊」的安全和穩健的用於將無線網絡元件添加於現有網絡(如，家庭網絡)中的機制。
所包括的機制可以支持先前已經安裝了的所有無線客戶機，而不需要軟體驅動器的附加安裝。
根據實施例，關聯設備還包括安全裝置，用於自動地向中心裝置提供具有至少一個中心秘密密鑰(K)、與站點可用的中心秘密密鑰(K)相對應的至少一個站點秘密密鑰(K』)，安全裝置用於在發起無線交換時，觸發將站點秘密密鑰(K』)的至少一部分發送至站點；以及還通過中心和站點秘密密鑰(K，K』)來保護記錄裝置的安全。
中心密鑰和站點密鑰「對應」在於，中心密鑰和站點密鑰形成加密/解密對。明顯地，中心密鑰和站點密鑰可以存在於相同的秘密密鑰中，用於加密和解密消息。中心密鑰和站點密鑰還可以是分別不同的加密密鑰和解密密鑰，或者相反。還可以使用兩對加密和解密密鑰，中心裝置和站點每個都具有加密密鑰之一和解密密鑰之一，分別與另一實體中的另一解密密鑰和另一加密密鑰相對應。
可以在在中心裝置和/或公共資料庫中記錄之前，記錄可由中心裝置訪問的中心秘密密鑰、以及站點秘密密鑰，或者可以在關聯過程期間，實時生成以上的中心秘密密鑰和站點秘密密鑰。然而，安全裝置用於僅在發起中心裝置與站點之間的無線交換(即，關聯過程)時，來觸發(可能部分)將站點秘密密鑰發送至站點。明顯地，可以由站點通過適合的密鑰交換，從中心裝置中獲得密鑰，或者從在站點與中心裝置之間共享、以及可通過有線通信路徑訪問的資料庫中獲得密鑰。在後者的情況下，具體地，可以由中心裝置將觸發信號發送至資料庫管理器，以允許將站點秘密密鑰從資料庫發送至站點。
將秘密密鑰自動提供給中心裝置與先驗步驟進行組合，其中，先驗步驟是用戶對中心裝置的打開時間窗的物理動作。即，對技術人員的本質誘惑會是，類似於湯姆森產品Speed Touch 570中所實現的，觸發用於自動關聯的時間窗的打開，但是是在已經將相關的秘密密鑰記錄在中心裝置和站點中之後。另一方面，如由文獻US-2003/031151啟發的，可能會激勵技術人員提供要關聯的中心裝置與站點之間的自動密鑰交換；和/或如從文獻US-2003/0169713中所得到的，可能會激勵技術人員通過特定伺服器來提供自動認證。然而，在那些情況下，由於這將會呈現出與由以上技術所提供的關聯過程的自動化相反，所以將會認為用戶對於中心裝置的任何類型的直接動作都是不適合的。
有利地，物理動作在於，按下中心裝置上的物理按鈕。
此外，優選地，時間窗裝置用於，對於所涉及的時間窗，僅允許一個站點與WLAN關聯。
這允許第一站點一通過發送關聯請求來顯現自身，便凍結關聯過程。因此，為了將兩個不同的站點與WLAN連接，必須連續地打開兩個關聯會話。從而，由於寄生第二站點可能不利用提供給第一站點的時間窗打開，所以提高了與WLAN的入侵(hacking)連接的安全等級請求。
除此之外，優選地，記錄裝置用於僅在用戶執行對於中心裝置的另一物理動作時，來確認該站點的記錄。有利地，該另一物理動作在於，按下中心裝置上的物理確認按鈕，優選地，該確認按鈕是用於打開時間窗的按鈕。
該實施例給出了非常高的保護等級，尤其在與上述特徵組合時。確實，即使在時間窗打開期間嘗試了侵入連接(piracy connection)，但是當用戶必須確認站點的正確關聯時，用戶將不會認為該侵入連接是有效的。由於用戶必須靠近中心裝置以進行確認，所以排除了偽裝的遠程確認。因此，將本地物理控制與可能地複雜的自動遠程供應進行組合，以帶來非常高的保護等級。
用於時間窗打開和用於確認的相同按鈕的使用對於簡單性和用戶友好性尤其具有吸引力。
為了防止訪問WLAN的惡意嘗試，有利地，對以上的多個特徵進行組合。在特定的實施方式中，這可以導致以下安全措施，這些安全措施能夠安全地將訪問WLAN所需的信息轉移至正確地執行初始化物理動作的任何一個設備-受限時間窗，在該受限時間窗期間，站點可以加入網絡；-在任何關聯會話期間，僅有一個站點可以加入網絡；-在當前關聯的站點實現了與中心裝置的安全通信之後，但在提供任何敏感信息之前，需要用戶確認所傾向的新站點連續地與網絡連接。
根據與密鑰提供相關的第一優選實施例，安全裝置用於引起站點與中心裝置之間的無線密鑰交換，包括將站點秘密密鑰的至少一個部分從中心裝置發送至站點。
這可以基於以下機制，該機制允許通過獨立的安全無線網絡，將操作無線網絡的參數安全地從中心裝置轉移至要關聯的站點。
然後有利地，安全裝置用於引起站點與中心裝置之間的Diffie-Hellman密鑰交換。
根據變化的實施例，中心裝置在工廠中使用給出了特定標識的數字證書進行配置，該數字證書通過數字籤名生效，安全裝置用於使用標準傳輸協議(如，EAP-TLS協議，即「使用傳輸層安全的可擴展認證協議」)引起中心秘密密鑰的傳輸。
此外，有利地，秘密密鑰是根據Wi-Fi保護訪問標準(WPA)的密鑰。
根據與密鑰提供相關的第二優選實施例，安全裝置用於使站點秘密密鑰的至少一部分從在站點與中心裝置之間共享的資料庫中提供給站點。
本發明的另一目的是數據機，其特徵在於，該數據機包括根據本發明的實施例之一的關聯裝置。
本發明還涉及一種WLAN關聯方法，用於使新站點能夠通過由該WLAN的中心裝置提供的接入點，與WLAN關聯。該關聯方法包括以下步驟-在站點與中心裝置之間交換信號，-在由站點發送的關聯請求發起站點與中心裝置之間的無線交換的情況下，將站點記錄為WLAN的一部分，以及-打開時間窗，能夠僅在時間窗的打開期間初始地激活該記錄步驟。
-根據本發明，關聯過程包括自動地激活臨時管理服務設置標識符(記為關聯SSID)的步驟，用於在時間窗期間記錄新站點。
優選地，用於通過根據本發明的任何形式的關聯設備，來執行關聯過程。
本發明的另一目標是電腦程式產品，該電腦程式產品包括程序代碼指令，當在計算機上執行所述程序時，所述程序代碼指令用於執行根據本發明的關聯過程的步驟。「電腦程式產品」意指電腦程式支持，這不但可以存在於包含程序的存儲空間(如，磁碟或磁帶)中，而且可以存在於信號(如，電或光信號)中。


參照附圖，通過以下實施例和執行示例，將更好地理解和示出本發明，其中圖1是示出了WLAN和要與之關聯的新客戶機的示意圖，該WLAN包括數據機，該數據機包括符合本發明的關聯設備；圖2是圖1的關聯設備的具體的結構框圖；以及圖3a和3b提供了依據Diffie-Hellman密鑰交換，以圖1和2的關聯設備的特定實施方式來執行的連續步驟的流程圖的補充部分。
具體實施例方式
在圖2中，所表示的塊是純功能實體，不必與物理的獨立實體相對應。即，可以以軟體形式來開發這些純功能實體，或者在一個或多個集成電路中實現這些純功能實體。
WLAN1(圖1)包括數據機2，用於形成客戶機的對WLAN的接入點。另一不同於數據機的裝置可以用於接入點(如，路由器或網關)，以及在WLAN中可以出現兩個或多個接入點。在表達中，多個客戶機S1、S2和S3已經與WLAN網絡1(使用用戶的本地配置)關聯。數據機2具有關聯設備5，關聯設備5為任何新關聯而激活。
潛在的新客戶機3(還未以用戶的配置進行配置)構成了與數據機2通信，以與WLAN1關聯的站點。
更加具體地，關聯設備5包括以下部分(圖2)-通信組10，包括接收模塊11和發送模塊12，分別用於接收和發送無線信號；通信組10實現了與站點3的無線通信；明顯地，接收模塊11用於接收來自站點3的關聯請求；-安全模塊13，用於自動地向數據機2提供一個或多個中心秘密密鑰K，站點3可用的至少一個相應的站點秘密密鑰K』；該模塊3還用於在開始數據機2與站點3之間的關聯無線交換時，觸發將站點秘密密鑰K』的至少一部分發送至站點3；可以從數據機2(發送模塊12)中進行或不進行站點秘密密鑰K』的(可能部分的)發送；-記錄模塊14，用於在由來自站點3的關聯請求發起站點3與數據機2之間的無線交換的條件下，將站點3作為WLAN1的一部分記錄在存儲空間20中；這些交換由秘密密鑰K和K』來保護；此外，必須由確認物理動作ACTION來使站點3的關聯生效；-時間窗模塊15，用於當用戶在數據機上執行初始化物理動作ACTION時，觸發時間窗的打開；能夠僅在時間窗的打開期間初始地激活記錄模塊14；-管理模塊16，用於管理作為服務設置標識符(記為WLANSSID)的WLAN的標識。關聯設備可以支持多個SSID的功能。當時間窗打開時，管理模塊激活補充SSID，關聯SSID。當時間窗關閉時，管理裝置關閉對關聯SSID的訪問。
現在將描述關聯設備5的特定示例和關聯環境，例如，WLAN網絡1是家庭網絡。這裡，用戶通過按下WLAN訪問按鈕，來激活與「添加新客戶機」相關的數據機2的特定模式。然後，數據機2通過單獨的LED(即「發光二極體」)顯示器(例如，通過閃光紅色LED)，來指示數據機2處於該特定模式中。
之後，數據機2在一段短的持續時間內激活特定模式，該特定模式允許任何客戶機與數據機2(例如，站點3)之間的無線通信。在詳細的示例中，授權的通信符合關於認證的IEEE 802.1X標準。該模式阻斷了對除當前正試圖與服務或與WAN連接進行連接的客戶機之外的其它客戶機的訪問。在優選的實施方式中，由於數據機2支持無線VLAN(即「虛擬區域網」)/多個SSID功能，所以以上所述的阻斷在不幹擾其他用戶的情況下實現。在可選實施方式中，特定的通信模式需要臨時丟失對其它無線網絡設備的服務。
在示出的示例中，當進行通信時，站點3和數據機2使用WPA-Enterprise/802.1X協議，來建立站點3與數據機2內部的伺服器功能之間的EAP(即「可擴展認證協議」，RFC(即「請求注釋」) 2284)消息的交換，以及與通信組10相關聯。
可選地，數據機2與同站點3的通信所依據的遠程伺服器功能相關。在這樣的遠程伺服器示例中，數據機2是DSL數據機，以及伺服器可通過DSL鏈路訪問。在另一示例中，數據機2與遠程伺服器的通信基於Diffie-Hellman交換，或者基於諸如EAP-TLS(即「使用傳輸層安全的EAP」，RFC2716)之類的標準。
在該標準化協議交換中，在示出的示例中，站點3和數據機2通過使用Diffie-Hellman密鑰交換，使用專用協議來同意構成密鑰K的WPA密鑰。數據機2僅允許一個客戶機來協商每個「添加新客戶機」會話的密鑰。站點3和數據機2通過使用標準化的WPA標準的「四路握手」，使用一致同意的密鑰K來協商臨時會話密鑰。
之後，站點3向用戶通知，已經成功地建立了通信(使用可用的任何虛擬輸出介質)；用戶必須在持續的時間段內(有利地，超過10秒)，通過第二次按下WLAN訪問按鈕，來確認這個與數據機2的成功通信。這防止了由欺騙性的客戶機侵入「添加新客戶機」會話的可能性，這是由於如果是這種情況，則所傾向的客戶機(站點3)不能進行通信。如果站點3未能正確地與數據機2進行通信，則站點3顯示警告信息，以指示用戶重新設置數據機2並重新嘗試該過程。
現在可以保護站點3與數據機2之間的通信，以及站點3發現了用於完全的WLAN網絡1的無線安全參數。例如，這通過使用具有WLAN簡檔的UPnP(即「通用即插即用」)協議來實現。
現在，站點3應用從數據機2中得到的網絡配置信息，以及開始嘗試找到網絡1。
在第二次按下WLAN訪問按鈕之後，數據機2恢復正常操作例如30秒。
站點3成功地與數據機2關聯。現在，較高層協議可以利用MAC(即IEEE 802.11標準的「媒體訪問控制」)級連接，來完成站點3結合進入網絡1。
現在將詳細地展開基於以上示例的關聯場景。該場景包括以下步驟(圖3a和3b)，其中，該場景是關於站點3(記為「STA」)、數據機2的無線驅動器和數據機2可用的內部(或遠程)Diffie-Hellman伺服器(「DH伺服器」)、以及二者之間的通信，所述步驟如下-步驟S1用戶通過按下數據機2的WLAN訪問按鈕，來激活關聯過程；-步驟S2數據機2激活關聯SSID；這提供了安全地轉移WLAN的配置數據的圈圍防護能力；除了數據機2之外，不允許數據幀對其它MAC地址進行訪問；-步驟S3用戶激活新客戶機STA(站點3)；該站點3使用Diffie-Hellman參數預先編程，這些參數對於所有站點STA來說都是相同的；-步驟S4站點3掃描具有關聯SSID的網絡1的接入點；-步驟S5作為活躍的掃描過程的一部分，站點3探查網絡1；-步驟S6網絡1響應探查，以及指示網絡1允許使用IEEE802.1 X和TKIP(即「臨時密鑰完整性協議」)協議、使用RSN-IE(即「穩健的安全網絡信息元件」)的關聯；-步驟S7和S8在兩個方向上均發生開放模式下的IEEE 802.11的標準認證過程；這是遺留交換(legacy exchange)以及沒有值對站點3或數據機2進行認證；-步驟S9站點3請求指示站點3支持802.1X和TKIP協議的關聯；-步驟S10由數據機2接受關聯；-步驟S11客戶機請求者發起EAP認證過程；在以下的步驟中，站點3將正常的WPA-Enterprise過程應用於獲得網絡訪問的密鑰；然而，作為認證過程的替代，發生Diffie-Hellman密鑰交換；-步驟S12數據機認證者請求802.11i/802.1X標準所需要的客戶機標識；由於數據機2不具有設備標識的先驗知識，所以在響應中沒有提供任何內容的值，除了指示站點3是準備使用關聯協議的設備的預定義標識之外；-步驟S13站點3宣布自己為啟用關聯的設備；-步驟S14數據機2的認證者向DH伺服器提供所接收的標識，以發起密鑰交換過程；-步驟S15DH伺服器選擇該交換的隨機種子；-步驟S16DH伺服器使用隨機種子，根據Diffie-Hellman算法來計算AP-DH-Value(即「接入點-Diffie-Hellman」)；-步驟S17DH伺服器將AP-DH-Value發送至站點3；-步驟S18站點3選擇隨機種子；-步驟S19站點3從隨機種子中計算STA-DH-Value；-步驟S20站點3響應所接收的AP-DH-Value，將所計算的STA-DH-Value發送至數據機2；-步驟S21站點3使用Diffie-Hellman算法，從種子和所接收的AP-DH-Value中計算秘密的WPA PMK密鑰值(PMK即「基本主密鑰」)K；-步驟S22DH伺服器使用Diffie-Hellman算法，從種子和所接收的STA-DH-Value中計算秘密的WPA PMK密鑰值K；-步驟S23DH伺服器向無線驅動器通知PMK值K；-步驟S24和S25站點3和無線驅動器功能執行同意逐對會話和組密鑰的802.11i四路握手；四路握手完全符合同意PTK(即「逐對瞬時密鑰」)和GTK(即「組瞬時密鑰」)的WPA/802.11i；-步驟S26站點3通知用戶，已經建立了與數據機2的安全通信，以及提示用戶授權發布安全參數；-步驟S27用戶第二次按下數據機2上的WLAN訪問按鈕，以授權將網絡安全參數下載至站點3；-步驟S28數據機2將專用進行消息發送至站點3；-步驟S29站點3使用適合的協議(例如，UPnP WLAN簡檔)，從數據機2中獲得所有必要的網絡安全參數；這可以包括整個家庭網絡配置；-步驟S30站點3與關聯SSID去關聯；-步驟S31站點3應用家庭網絡參數，並開始嘗試加入家庭網絡1；-步驟S32站點3成功地加入了家庭網絡1；-步驟S33數據機2關閉對關聯SSID的訪問，直至下一次重新激活WLAN的訪問特徵。
例如，基於以下的實施方式來執行Diffie-Hellman算法(表示為「DH」)。在802.1X標準的認證階段來執行DH密鑰交換，以生成WPA基本主密鑰(「PMK」)。經典地，將DH密鑰交換所需要的兩個參數(基礎發生器g和大質數n)在STA(站點3)和接入點(數據機2)中預先配置為以下值g＝2n＝2^768-2^704-1+2^64*{[2^638.pi]+149686}，如在W.Diffie和M.E.Hellman的「New Directions in Cryptography」，IEEE Transactions on Information Theory，v.IT-22，n.6，pp.644-654，1976年11月中所提及的，數字n與Oakley組1相對應。
實踐中，對於每個設備，參數g和n都是相同的，以及是在製造期間預先配置的。
數字n的十六進位值是FFFFFFFF FFFFFFFF C90FDAA2 2168C234 C4C6628B 80DC1CD129024E08 8A67CC74020BBEA6 3B139B22 514A0879 8E3404DD EF9519B3 CD3A431B302B0A6D F25F14374FE1356D 6D51C245 E485B576 625E7EC6 F44C42E9 A63A3620FFFFFFFF FFFFFFFF在DH密鑰交換期間，站點3和數據機2中的每個生成隨機數字(隨機種子)，作為它們的DH專用值，例如，值x用於站點3，以及值y用於數據機2。那些隨機數字具有能夠保護系統的良好特徵。站點3按照以下來計算它的DH公共值STA-DH-Valueg^x modn，並將該值發送給數據機2。同樣，數據機2按照以下來計算它的DH公共值AP-DH-Valueg^y mod n，並將該值發送給站點3。之後，站點3和數據機2均計算密鑰材料，該密鑰材料與用於TKIP加密的PMK計算相對應PMK＝[！！Require algorithm to convert DH secret value to 256 bits PMK！！]在變化的實施例中，在工廠中使用給出了唯一標識的數字證書來配置數據機2，該數字證書通過數字籤名生效。這允許客戶機使用完全的標準EAP-TLS協議來建立安全會話。此外，對數據機2進行認證，因而仍然提高了安全等級。
在這樣的實施例的實施方式的示例中，根據以下步驟來執行該過程，將數據機2的TLS伺服器包括於無線驅動器中-用戶使用數據機2的WLAN訪問按鈕，來激活關聯特徵；-數據機2激活關聯SSID；這提供了安全地轉移WLAN1的配置數據的圈圍防護能力；除了數據機2之外，不允許數據幀對其它MAC地址進行訪問；-用戶激活新客戶機STA(站點3)；-客戶機掃描具有關聯SSID的接入點；-作為激活的掃描過程的一部分，客戶機探查網絡1；
-網絡1響應探查，以及指示網絡1允許使用802.1X和TKIP協議的關聯；-在開放模式中發生802.11標準的標準認證過程；這是遺留交換，以及沒有對站點3或數據機2進行認證的值；-站點3請求指示站點3支持802.1X和TKIP協議的關聯；-接受關聯；-客戶機請求者發起EAP認證過程；-數據機認證者請求802.11i/802.1X標準所需要的客戶機標識；由於數據機2不具有設備標識的先驗知識，所以沒有在響應中提供任何內容的值，除了指示站點3是準備使用關聯協議的設備的預定義標識之外；-客戶機設備將自己標識為關聯啟用設備；-認證者向TLS伺服器提供所提供的標識，以發起密鑰交換過程；-TLS伺服器發起與新客戶機的安全關聯；-站點3使用接入點的公共密鑰來發送用於未來交換的秘密(站點3應用正常的WPA-Enterprise過程來獲得網絡訪問的密鑰，以及發生TLS認證過程，來對接入點進行認證(沒有客戶機認證))；-客戶機使從數據機2中接收的數字證書的籤名生效；在客戶機處顯示所提供的標識，以及請求用戶來確認標識與單元上的標籤匹配；-用戶按下客戶機上的接受按鈕，該按鈕指示以作為接入點的正確的數據機2來開始該過程；-站點3計算秘密的WPA密鑰值K；-數據機2計算秘密的WPA密鑰值K』；-TLS伺服器向WLAN通知PMK值K；-站點3和無線驅動器功能執行用於同意逐對會話和組密鑰的802.11i四路握手；-站點3和無線驅動器功能執行用於同意逐對會話和組密鑰的802.11i四路握手；-客戶機通知用戶，已經建立了與數據機2的安全通信，以及提示用戶授權發布安全參數；-用戶第二次按下數據機2上的WLAN訪問按鈕，以授權將網絡安全參數下載至客戶機；-數據機2將專用進行消息發送至客戶機；-客戶機使用所建立的UPnP SOAP(即「簡單對象訪問協議」)消息，來獲得必要的WLAN配置；-站點3將關聯SSID去關聯；-站點3應用網絡參數，並開始嘗試加入網絡1；-站點3成功地加入了網絡1；-數據機2關閉對關聯SSID的訪問，直至下一次重新激活WLAN的訪問特徵。
在關聯設備5的不同實施例中，在發起數據機2與站點3之間的無線關聯通信(而不是以上的無線密鑰交換)時，通過發送至站點3的數字證書，從在數據機2與要關聯的站點3之間共享的資料庫中獲取站點秘密密鑰K』(或重構該密鑰K』所必需的數據)。明顯地，如果數據機2和站點3具有相同的ISP(即「網際網路服務提供商」)，則可以實現以上過程。
權利要求
1.一種無線區域網關聯設備(5)，用於使新站點(3)能夠通過由表示為WLAN的無線區域網(1)的中心裝置(2)提供的接入點，與所述WLAN(1)進行關聯，所述關聯設備(5)包括-接收裝置(11)，用於在所述中心裝置(2)處接收來自所述站點(3)的信號，-發送裝置(12)，用於將信號從所述中心裝置(2)發送至所述站點(3)，-記錄裝置(14)，用於在由所述站點(3)發送的關聯請求發起所述站點(3)與所述中心裝置(2)之間的無線交換的情況下，將所述站點(3)記錄為所述WLAN(1)的一部分，-管理裝置(16)，用於管理作為表示為WLAN SSID的服務設置標識符的所述WLAN的標識，以及-時間窗裝置(15)，用於觸發時間窗的打開，能夠僅在所述時間窗的打開期間初始地激活所述記錄裝置(14)，其特徵在於，所述管理裝置(16)用於自動地激活表示為關聯SSID的臨時服務設置標識符，用於在所述時間窗期間記錄所述站點(3)。
2.如權利要求1所述的關聯設備(5)，其特徵在於，所述管理裝置(16)用於同時在WLAN中激活單個SSID，以在所述時間窗期間使用所述關聯SSID，以及在所述時間窗外使用所述WLAN SSID。
3.如權利要求1所述的關聯設備(5)，其特徵在於，所述管理裝置(16)用於在WLAN中同時激活多個SSID，在所述時間窗期間同時激活所述關聯SSID和所述WLAN SSID。
4.如前述權利要求之一所述的關聯設備(5)，其特徵在於，在所述時間窗的結束處，所述管理裝置(16)用於關閉對所述關聯SSID的訪問，直至下一次重新激活WLAN的訪問特徵。
5.如前述權利要求之一所述的關聯設備(5)，其特徵在於，在所述時間窗期間，所述接收裝置(11)不允許對除了關聯設備之外的其它MAC地址進行訪問。
6.如前述權利要求之一所述的關聯設備(5)，其特徵在於，所述時間窗裝置(15)用於在用戶對於所述中心裝置(2)執行物理動作(ACTION)時，觸發時間窗的打開。
7.如權利要求6所述的關聯設備(5)，其特徵在於，所述物理動作(ACTION)在於按下在所述中心裝置(2)上的物理按鈕。
8.如前述權利要求之一所述的關聯設備(5)，其特徵在於，所述關聯設備(5)包括安全裝置(13)，用於自動地向所述中心裝置(2)提供具有至少一個中心秘密密鑰(K)、與所述站點(3)可用的所述中心秘密密鑰(K)相對應的至少一個站點秘密密鑰(K』)，所述安全裝置(13)用於在發起所述無線交換時，觸發將所述站點秘密密鑰(K』)的至少一部分發送至所述站點(3)；以及還通過所述中心和站點秘密密鑰(K，K』)來保護所述記錄裝置(14)。
9.如前述權利要求之一所述的關聯設備(5)，其特徵在於，所述時間窗裝置(15)用於對於所述時間窗，僅允許一個站點(3)與所述WLAN(1)相關聯。
10.如前述權利要求之一所述的關聯設備(5)，其特徵在於，所述記錄裝置(14)用於僅在所述用戶對所述中心裝置執行另一物理動作(ACTION』)時，確認所述站點(3)的記錄。
11.如權利要求10所述的關聯設備(5)，其特徵在於，所述另一物理動作(ACTION』)在於，按下所述中心裝置(2)上的物理確認按鈕，優選地，所述確認按鈕是用於打開所述時間窗的按鈕。
12.如前述權利要求之一所述的關聯設備(5)，其特徵在於，所述安全裝置(13)用於引起在所述站點(3)與所述中心裝置(2)之間的無線密鑰交換，包括將所述站點秘密密鑰(K』)的所述至少一部分從所述中心裝置(2)發送至所述站點(3)。
13.如權利要求12所述的關聯設備(5)，其特徵在於，所述安全裝置(13)用於引起在所述站點(3)與所述中心裝置(2)之間的Diffie-Hellman密鑰交換。
14.如權利要求12或13所述的關聯設備(5)，其特徵在於，所述中心和站點秘密密鑰(K，K』)是根據Wi-Fi保護訪問標準的密鑰。
15.如權利要求8至11所述的關聯設備(5)，其特徵在於，所述安全裝置(13)用於使所述站點秘密密鑰(K』)的至少一部分被從在所述站點(3)與所述中心裝置(2)之間共享的資料庫中提供給所述站點(3)。
16.一種數據機(2)，其特徵在於，所述數據機(2)包括根據前述權利要求之一所述的關聯裝置(5)。
17.一種無線區域網關聯方法，用於使新站點(3)能夠通過由表示為WLAN的無線區域網(1)的中心裝置(2)提供的接入點，與所述WLAN(1)進行關聯，所述關聯方法包括以下步驟-在所述站點(3)與所述中心裝置(2)之間交換信號，-在由所述站點(3)發送的關聯請求發起所述站點(3)與所述中心裝置(2)之間的無線交換的情況下，將所述站點(3)記錄為所述WLAN(1)的一部分，以及-打開時間窗，能夠僅在所述時間窗的打開期間初始地激活所述記錄步驟，其特徵在於，所述關聯方法包括自動地激活表示為關聯SSID的臨時管理服務設置標識符的步驟，用於在所述時間窗期間記錄所述新站點(3)，優選地，所述關聯方法通過根據權利要求1至15之一所述的關聯設備來執行。
18.一種電腦程式產品，其特徵在於，所述電腦程式產品包括程序代碼指令，當在計算機上執行所述程序時，所述程序代碼指令用於執行根據權利要求17所述的關聯方法的步驟。
全文摘要
本發明涉及WLAN關聯設備(5)和用於將新站點(3)通過中心裝置(2)與WLAN(1)進行關聯的過程。關聯設備包括接收(11)和發送(12)裝置，用於在站點與中心裝置之間交換信號；記錄裝置(14)，用於在由站點發送的關聯請求發起站點與中心裝置之間的無線交換的情況下，將站點記錄作為WLAN的一部分；以及管理裝置(16)，用於管理WLAN的標識。關聯設備包括時間窗裝置(15)，用於觸發時間窗的打開，能夠僅在時間窗的打開期間初始地激活記錄裝置。此外，管理裝置自動地激活臨時服務設置標識符，用於在時間窗期間記錄站點。
文檔編號H04L29/06GK1973495SQ200580021239
公開日2007年5月30日 申請日期2005年7月5日 優先權日2004年7月7日
發明者埃裡克·多韋克, 特雷弗·穆爾, 卡雷爾·萬多爾塞拉爾 申請人:湯姆森許可貿易公司