專利名稱:安全無線網(wǎng)絡的制作方法
安全無線網(wǎng)絡背景技術無線局域網(wǎng)(WLAN)正成為將住宅或商業(yè)環(huán)境中具有無線能力的 裝置組網(wǎng)或互連的一種常見方式。但是,使用WLAN的一個缺點是 敏感或隱私信息可能被未經(jīng)授權(quán)方訪問、修改或截取。這些問題可通 過設置使用加密系統(tǒng)的安全WLAN,將在WLAN中互連的裝置之間 交換的信息加密而得到緩解或減輕。在此安全WLAN中,只有經(jīng)授 權(quán)方才可將加密的信息解密。因此,即使加密的信息被未經(jīng)授權(quán)方截 取,如果沒有解密信息的能力,加密的信息也無法理解。這樣,不安 全的WLAN可在功能上象專用安全網(wǎng)絡一樣。加密系統(tǒng)的一個示例是公鑰加密系統(tǒng)。7>鑰加密系統(tǒng)的基本組件 包括加密算法和稱為密鑰的兩個數(shù)字代碼,其中一個代碼稱為公鑰, 另一個稱為私鑰。對于加密,使用公鑰(或7>共加密密鑰)加密的信息 只可使用私鑰(或私有解密密鑰)解密。例如,如果消息使用公鑰加密, 則相關聯(lián)私鑰的保持者可恢復原始消息。沒有與公鑰相關聯(lián)的私鑰 時,即使消息的發(fā)起者也無法將消息解密。實現(xiàn)安全WLAN的加密系統(tǒng)另 一示例是一種設計用于WLAN網(wǎng) 絡的系統(tǒng)。用于介質(zhì)接入控制(MAC)安全增強的電氣與電子工程師協(xié) 會(正EE) 802.11i標準中描述了一個此類系統(tǒng)。請參閱2004年7月年 公布的IEEE 802.11i-2004:信息技術IEEE標準-系統(tǒng)間電信和信息 交換一局域網(wǎng)和城域網(wǎng)一規(guī)范要求第11部分WLANMAC和物理層 (PHY)規(guī)范,修正版本6: MAC安全增強功能,和/或后續(xù)版本的標準 ("802.11i標準")。在此加密系統(tǒng)中,在裝置驗證后,WLAN的控制代 理可與每個驗證的裝置交換成對主密鑰(PMK)。例如,PMK隨后用于 WLAN上的安全802.lli操作或通信。
圖1是包括控制器和至少一個無線裝置的示例無線局域網(wǎng)(WLAN)的元素圖示;圖2是包括控制器和多個無線裝置的示例WLAN的元素圖示; 圖3是示例配置管理器體系結(jié)構(gòu)的方框圖; 圖4是驗證無線裝置的示例方法流程圖; 圖5是驗證控制器的示例方法流程圖;具體實施方式
如背景技術所述,加密系統(tǒng)可用于建立安全的WLAN。但是,要 使用加密系統(tǒng),WLAN中的互連裝置必須相互授權(quán)或驗證。否則,欺 詐或非所需裝置可變成或才臭仿經(jīng)授權(quán)裝置,并通過獲得解密加密信息 的信息(例如,公鑰或私鑰),而損害WLAN的安全性。一般情況下,為避免欺詐裝置損害安全的WLAN,使用了各種驗 證方法。這些方法可要求用戶在每個裝置的物理輸入一些中心機構(gòu)(例 如,制造商、外部驗證服務器等)提供的密鑰信息。此物理輸入可包括 經(jīng)裝置的鍵盤或其它輸X/輸出機制(例如,通用串行總線(USB)閃存驅(qū) 動器、遙控器、觸摸屏等)輸入字母數(shù)字字符的長字符串以安全地連接 到WLAN。 一旦密鑰信息正確輸入,裝置便可通過驗證并被視為安全 WLAN的經(jīng)授權(quán)成員。如果密鑰信息失去或者纟皮欺詐或未經(jīng)授權(quán)裝置獲得,則此驗證過 程會成為問題。如果信息丟失,則在要成為經(jīng)授權(quán)成員的裝置需要耦 合到另一安全WLAN或者重置并需要重新驗證自身時,裝置可能無 法驗證自身。如果密鑰信息由欺詐裝置獲得,則該欺詐裝置可獲得 WLAN訪問權(quán),并損害WLAN的安全性。密鑰信息可能物理地寫在 紙張上,或者存儲在可能凈支訪問或"黑"的裝置存儲器中,這種可能 性增大了 WLAN可能受欺詐裝置危害的可能。另外的步驟可采取以保護密鑰,防止欺詐裝置,但每個另外的步驟增加了已經(jīng)復雜的進程的復雜程度。對于配置了對復雜性增加容限低的住宅WLAN的一般 用戶而言,這是一個問題。在一個示例中, 一種方法用于驗證無線裝置,以便在包括由用戶 物理切換到配置模式的控制器的無線局域網(wǎng)(WLAN)上實現(xiàn)安全操 作。方法包括從控制器廣播配置消息,配置消息包括控制器的公共密 鑰?;谠谂渲孟V播后的固定時間間隔內(nèi)從無線裝置接收響應, 控制器接受來自無線裝置的響應。接受的響應可包括使用控制器公共 密鑰加密的信息??刂破骺色@得在控制器處由用戶輸入并在控制器處 維持的用戶消息。隨后基于包括加密信息的響應在使用與控制器7>4月 相關聯(lián)的私鑰解密后是否包括用戶消息,而驗證無線裝置。圖1是包括控制器110和無線裝置120的示例無線局域網(wǎng)(WLAN) 100的元素圖示。在一個示例中,控制器110是用于WLAN100的主 中央或控制配置代理??刂破?10可以為連接到另一網(wǎng)絡的接入點 (AP)。此另一網(wǎng)絡可包括但不限于有線局域網(wǎng)、有線廣域網(wǎng)或無線廣 域網(wǎng)。在一個實現(xiàn)中,控制器110和無線裝置120相應地通過收發(fā)信機 118和128而經(jīng)無線通信鏈路155耦合通信。在一個示例中,無線通 信鏈路155可根據(jù)一個或多個行業(yè)標準建立和/或維持。這些標準可描 述通信協(xié)議和操作參數(shù)以互連具有無線組網(wǎng)能力的裝置(例如,包括天 線和網(wǎng)絡接口)。 一個此類行業(yè)標準組稱為正EE 802.11標準(例如, 802.11a、 802.11b、 802.11 g或802.11n等)。此公開內(nèi)容并不只限于 根據(jù)正EE 802.11標準操作的WLAN。在一個示例中,控制器110包括配置開關112,并且無線裝置120 包括配置開關122。如圖1所示,配置開關122的位置使得控制器110 處于配置模式114中。還是如圖1所示,配置開關122的位置將無線 裝置120置于配置才莫式124中。在一個示例中,用戶105可相應地在 物理上將配置開關112、 122置于配置才莫式114、 124中。在一個實現(xiàn)中,雖然在配置才莫式114、 124中,用戶105將用戶消 息103輸入控制器IIO和無線裝置120中。在一個示例中,用戶105 可經(jīng)鍵盤或其它輸7v/輸出機制輸入用戶消息103,例如,通用串行總 線(USB)閃存驅(qū)動器、遙控器、觸摸屏等。此用戶消息103可暫時分 別存儲在控制器110和無線裝置120的存儲器115和125中。用戶消 息103可能是用戶105確定的任何消息。但是,在一個示例中,對用 戶消息103的內(nèi)容設置了復雜性約束,以確保它不太容易被發(fā)現(xiàn)或猜 出。如下面更詳細所述一樣, 一旦控制器110被置于配置模式114, 控制器110中的配置管理器IOIA便廣播配置消息,指示正在為實現(xiàn) 安全操作而配置或建立WLAN 100。例如,在一個IEEE 802.11實現(xiàn) 中,配置消息包括爿^共接入服務集標識符(SSID)和如上背景技術中所 述,用于公共加密系統(tǒng)的控制器110的^4月。在此IEEE 802.11實現(xiàn)中,無線裝置120對控制器110經(jīng)無線通 信鏈路155廣播的配置消息做出響應。此響應包括無線裝置120與 SSID相關聯(lián)。響應也包括無線裝置120中的配置管理器IIOB使用控 制器的公鑰。配置管理器110B使用公鑰將暫時存儲在存儲器125中 的用戶消息103加密。配置管理器110B隨后將加密的用戶消息103 置于到控制器110的響應消息中。響應消息也可包括其它信息,如使 用控制器110的公鑰加密的無線裝置120的公鑰。響應隨后通過收發(fā) 信機128,經(jīng)無線通信鏈路155發(fā)送到控制器110。在一個示例中,控制器110只在固定或預定時期內(nèi)接受響應消息。 因此,如果未在該固定時間間隔內(nèi)接收無線裝置120對配置消息的響 應消息,則不接受或忽略響應消息。如果在該時期截止前接收響應消 息,則配置管理器IOIA將包括用戶消息103的響應消息部分解密。 該部分的解密使用與控制器110公鑰相關聯(lián)的私鑰。如果消息的解密 部分匹配或者包括用戶消息103,則無線裝置120通過驗證,并被視 為WLAN 100的經(jīng)授權(quán)成員。在一個實現(xiàn)中,控制器110中的配置管理器101A隨后通過收發(fā) 信機118,經(jīng)無線通信鏈路155向無線裝置120發(fā)送控制器驗證消息。 控制器驗證消息包括使用無線裝置120的公鑰加密的用戶消息103。在一個示例中,無線裝置120接收控制器驗證消息。無線裝置120 中的配置管理器101B隨后將包括用戶消息103的控制器驗證消息部 分解密。消息的解密使用與無線裝置120公鑰相關聯(lián)的私鑰。如果消 息的解密部分匹配或者包括在存儲器125中存儲的用戶消息103,則 控制器110通過驗證,并被無線裝置120認為是WLAN 100的控制代 理。在一個示例中,控制器110和無線裝置120相互驗證后,配置開 關112和122分別被置于操作模式116和126。在備選示例中,配置 開關112、 122可能沒有兩種模式,而只是可物理打開/關閉,或者只 是從一個位置切換到另一位置,并切換回原位置的配置開關。因此, 在此備選示例中,打開或切換配置開關112、 122可將控制器110和 無線裝置120切換回配置才莫式。在一個示例中,WLAN 100根據(jù)802.11i標準中所述的加密系統(tǒng)梯: 作。因此,在無線裝置120的驗證后,與用于實現(xiàn)802.11i操作的成 對主密鑰(PMK)有關的信息也可由控制器110包括在控制器驗證消息 中。在一個實現(xiàn)中,公鑰加密系統(tǒng)只用于驗證無線裝置和控制器。在 驗證后,802.11i加密系統(tǒng)用于在WLAN 100上實現(xiàn)安全操作??刂?器100接受配置消息廣播響應的有限時間量對在WLAN 100上使用公 鑰加密系統(tǒng)設置了時間約束。因此,將WLAN暴露給得到公鑰/私鑰 的欺詐代理的可能性降到最低。在一個示例中,為實現(xiàn)更高級別的安全性,可對無線裝置離開 WLAN 100但仍保持其經(jīng)授權(quán)狀態(tài)的時期設置時間限制以便在 WLAN100上實現(xiàn)安全操作。例如,可如上所述對筆記本計算機進行 驗證。此筆記本計算機可能移離WLAN 100并在一段延長期內(nèi)未返回。如果此延長期超過時間限制,則筆記本計算機要如上所述再次進行驗證,重新獲得其經(jīng)授權(quán)狀態(tài),以便在WLAN 100上實現(xiàn)安全操作。 圖2是包括控制器110和無線裝置120、 130的WLAN 100元素 圖示。在圖2中,另一無線裝置130示為經(jīng)無線通信鏈路255在通信 中耦合到控制器IIO。在一個實現(xiàn)中,用戶105將網(wǎng)絡信息207和用戶消息103輸入到 控制器110中。在一個示例中,用戶105可經(jīng)一睫盤或其它輸入/輸出機 制輸入用戶消息103,例如,通用串行總線(USB)閃存驅(qū)動器、遙控器、 觸摸屏等。網(wǎng)絡信息207和用戶消息103可暫時存儲在存儲器115中。 在此實現(xiàn)中,網(wǎng)絡信息207用于提供更高級別的安全性以建立安全 WLAN 100。在一個示例中,網(wǎng)絡信息207包括與要耦合到WLAN 100的元素 相關聯(lián)的信息。此信息可包括用戶105為在WLAN 100上實現(xiàn)安全操 作而預期配置的無線裝置數(shù)量。信息也可包括要配置的無線裝置類 型。例如,無線裝置120或無線裝置130包括具有無線能力的各種類 型裝置。這些裝置包括但不限于膝上型電腦、筆記本或臺式計算機、 打印機、掃描4義、電視機、電視機機頂盒、數(shù)碼攝像機、錄像機、立 體音響、接收器、器具、個人數(shù)字助理等。網(wǎng)絡信息207也可包括每 種類型無線裝置作為WLAN100—部分行使的功能。例如,打印機可 以為網(wǎng)絡打印機或者可充當一部或多部筆記本或臺式計算機的專用 打印#幾。在一個示例中,無線裝置120是筆記本計算機,并且無線裝置130 是打印機。在此示例中,無線裝置120中的配置管理器IOIB在響應 來自控制器110的配置消息廣播時,也在響應消息中包括具有類型信 息(筆記本)或功能(例如,網(wǎng)絡用戶節(jié)點)的信息。無線裝置130中的配 置管理器110C也在其響應消息中包括具有類型信息(打印機)或功能 (例如,網(wǎng)絡或?qū)S么蛴C)的信息。在控制器110驗證這些裝置時, 配置管理器101A比較響應消息中的類型和/或功能信息和網(wǎng)絡信息207。如果信息不匹配,則無線裝置未通過安全操作的驗證,因而未 得到授權(quán),或者可能無法與WLAN 100的其它元素通信。在一個示例中,除接受響應消息的固定時間間隔外,控制器110 在接收指定數(shù)量后停止接受響應消息。此指定數(shù)量可基于用戶105在 網(wǎng)絡信息207中輸入的無線裝置數(shù)量。如果用戶105預期只為WLAN 100配置無線裝置120和130,則輸入的數(shù)量將為2。因此,控制器 110在從2個無線裝置接收2個響應消息后將忽略響應消息。在另一 示例中,如果在配置進程期間任何時刻類型和/或數(shù)量不匹配,控制器 110完全中止配置。在一個示例中,如果網(wǎng)絡信息207中由用戶105輸入的數(shù)量和/ 或類型不匹配,用戶105會4^收可^f見或音頻指示。此可^L或音頻指示 可向用戶105指示,欺詐或未經(jīng)授權(quán)裝置正嘗試接入WLANIOO。例 如,臺式計算機的監(jiān)控顯示器閃爍某種顏色(例如,紅色)或者在顯示 器上閃爍文本警告。在另一示例中,發(fā)出音頻警^t艮。在一個實現(xiàn)中,每次配置開關112物理切換到配置才莫式114時, 控制器110可只向無線裝置廣播一個配置消息。因此,在一個示例中, 用戶105決定向WLAN100添加一個或多個其它無線裝置。用戶105 將配置開關112物理切換到配置;f莫式114,并輸入用戶消息和可能的 網(wǎng)絡信息,以反映要添加到WLAN100的無線裝置數(shù)量。控制器110 隨后如上所述廣播配置消息,并且一個或多個其它無線裝置將如上所 述進行驗證。在一個實現(xiàn)中,用戶105監(jiān)視響應配置請求的每個無線裝置。因 此,用戶105手動接受或拒絕發(fā)送響應消息的每個受監(jiān)視無線裝置。 在此實現(xiàn)中, 一旦接收與要配置的無線裝置相關聯(lián)的預期數(shù)量的響應 消息,用戶105便停止接受響應消息。用戶105也^^查裝置的類型或 功能以確保它與預期的相同。如果類型或功能不匹配,則用戶105禁 止無線裝置加入WLAN 100。例如,不驗證裝置和/或手動接受與裝置 相關聯(lián)的響應消息,例如,在經(jīng)耦合到控制器110的顯示監(jiān)視器提示時選擇拒絕選項。圖3是示例配置管理器101體系結(jié)構(gòu)的方框圖。在圖3中,配置管理器101包括中央邏輯360、站臺邏輯370、控制邏輯320、存儲器 330、輸入/輸出(I/0)接口 340、定時器380及可選的一個或多個應用 程序350,每個如圖所示耦合。在一個示例中,配置管理器101在控 制器(例如,控制器110)內(nèi)實現(xiàn)時使用中央邏輯360,并在不是控制器 的無線裝置(例如,無線裝置120或130)內(nèi)實現(xiàn)時使用站臺邏輯370。在一個示例中,圖3方框圖中所示的元素是為支持或啟用如本/> 開內(nèi)容所述的配置管理器101而分配的控制器或無線裝置資源。例如, 中央邏輯360、控制邏輯320和站臺邏輯370每個或一起表示控制器 或無線裝置為實現(xiàn)配置管理器101而分配的多種邏輯裝置或可執(zhí)行內(nèi) 容中的任何一種。這些邏輯裝置可包括實現(xiàn)此類控制特性或其任何組 合的微處理器、網(wǎng)絡處理器、服務處理器、微處理器、現(xiàn)場可編程門 陣列(FPGA)、專用集成電路(ASIC)或可執(zhí)行內(nèi)容。在圖3中,中央邏輯360和站臺邏輯370均包括通信機構(gòu) (communicate feature)382、力口密/解密斗幾構(gòu)(encrypt/decrypt feature)384 和驗證機構(gòu)(authenticate feature)386。在一個實現(xiàn)中,中央邏輯360和 站臺邏輯370使用這些特性配置控制器和/或無線裝置以便在WLAN 上實現(xiàn)安全操作??刂七壿?20可控制配置管理器101的總體操作,并且如上所述, 可表示實現(xiàn)配置管理器101控制的多種邏輯裝置或可執(zhí)行內(nèi)容的任何 一種。在備選示例中,控制邏輯320的特性和功能在中央邏輯360和 /或站臺邏輯370內(nèi)實現(xiàn)。根據(jù)一個示例,存儲器330由中夬邏輯360或輔助邏輯370用于 暫時存儲信息。例如,該信息與控制器和/或無線裝置的用戶消息和/ 或網(wǎng)絡信息的比較有關。存儲器330也可以存儲可執(zhí)行內(nèi)容??蓤?zhí)行 內(nèi)容可由控制邏輯320、中央邏輯360或站臺邏輯370用于實現(xiàn)或激 活配置管理器101的特性或元素。在一個實現(xiàn)中,存儲器330是控制器或無線裝置內(nèi)和/或控制器或無線裝置可訪問的存儲器塊(例如,存儲器115、 125、 135)。在此實現(xiàn) 中,存儲器330暫時存儲用戶(例如,用戶105)嘗試配置裝置在安全 WLAN(例如,WLAN IOO)上操作而輸入的配置信息。因此,如上所述, 配置管理器101獲得此暫時存儲的配置信息,并使用它確定或配置裝 置在安全WLAN上操作。1/0接口 340可經(jīng)配置管理器101與要配置控制器或無線裝置在 安全WLAN上操作的用戶之間的通信介質(zhì)或鏈路提供4婁口 。因此,I/O 接口 340可啟用中央邏輯360、控制邏輯320或站臺邏輯370,接收 由要配置控制器或無線裝置的用戶啟動的一系列指令。該系列指令可 激活中央邏輯360、控制邏輯320或站臺邏輯370以實現(xiàn)配置管理器 101的一個或多個特性。在一個示例中,配置管理器101包括向控制邏輯32(U是供內(nèi)部指 令的一個或多個應用程序350。此類應用程序350可激活以生成諸如 圖形用戶接口(GUI)等用戶接口,啟用管理特性及諸如此類。例如, GUI提供到存儲器330的用戶接入,以修改或更新信息(例如,配置信 息、/>鑰和私鑰、用戶消息),配置控制器或無線裝置。在一個示例中,定時器380包括響應控制邏輯360和/或控制邏輯 320的計時裝置。定時器380用于確定接受配置消息的響應消息的窗 口或時間期。在其它示例中,定時器380的特性和功能在控制邏輯320 和/或中央邏輯360內(nèi)實現(xiàn)。圖4是驗證無線裝置以便在WLAN 100上實現(xiàn)安全操作的示例方 法流程圖。在一個示例中,WLAN100要使用私鑰加密系統(tǒng)以有利于 無線裝置驗證,以便隨后在WLAN 100上根據(jù)802.1 li標準安全地操 作。在一個示例中,在方框405,控制器110中配置管理器IOIA的中 央邏輯360激活通信機構(gòu)382。通信機構(gòu)382確定配置開關112是否 -波置于配置才莫式114(例如,由用戶105)。如果配置開關112在配置才莫式114中,則配置進程轉(zhuǎn)移到方框410。如果配置開關112在才喿作才莫 式114,則配置進程會中止。在一個示例中,在方框410,通信機構(gòu)382經(jīng)收發(fā)信機117廣播 配置消息。在一個示例中,配置消息包括與控制器110和WLAN100 相關聯(lián)的公共接入SSID。配置消息也包括控制器110的公鑰。在一個示例中,在方框415,中央邏輯360激活馬全證機構(gòu)386。驗 證機構(gòu)386啟動定時器380以開始計算搜集通信機構(gòu)382廣播的配置 消息響應的時間間隔。該時間間隔可基于一個短時期,以便將欺詐或 未經(jīng)授權(quán)無線裝置可響應配置消息的時間降到最低。在一個示例中, 此時期的長度只足以讓無線裝置接收、處理配置消息并做出響應。在一個示例中,在方框420,從與公共接入SSID相關聯(lián)的那些無 線裝置接收配置消息的響應消息。響應消息例如包括諸如用戶消息 103和響應無線裝置的7>鑰等信息。用戶消息103可已由用戶105在 無線裝置120和/或130物理輸入。用戶消息103由無線裝置使用控制器110的/>鑰加密并包括在響應消息中。如杲無線裝置的響應消息在定時器380截止前接收,則驗證機構(gòu) 386接受響應消息,并且進程轉(zhuǎn)移到方框430。如果定時器380在接 收無線裝置的響應消息前截止,則響應消息4支拒絕。在一個示例中, 如果無線裝置120是唯一要配置的裝置,或者無其它無線裝置要配置, 則配置進程會中止。在一個示例中,在方框425,驗證機構(gòu)386從控制器110中駐留 或控制器110可訪問的存儲器獲得用戶消息103和網(wǎng)絡信息207。在 一個示例中,用戶消息103和網(wǎng)絡信息207由用戶105輸入并且至少 暫時存儲在駐留存儲器中,例如存儲器115。在一個示例中,在方框430,驗證機構(gòu)386比較獲得的網(wǎng)絡信息 207和接收并接受的無線裝置響應消息。例如,網(wǎng)絡信息207包括預 期要配置的無線裝置數(shù)量和類型。如上參照圖2所述,響應消息包括 指示生成響應消息的無線裝置類型的信息。如果網(wǎng)絡信息207與預定的無線裝置數(shù)量和類型匹配,則進程轉(zhuǎn)移到方框430。如果網(wǎng)絡信息 207不匹配,則配置進程會中止。在一個示例中,在方框435,中央邏輯360激活解密/加密特性384。 解密/加密特性384使用與控制器110的公鑰相關聯(lián)的私鑰將至少部分的接受響應消息解密。在一個示例中,在方框440,驗證機構(gòu)386比較接受的響應消息 解密部分和在方框425獲得的用戶消息103。如果解密部分匹配用戶 消息103,則與響應消息相關聯(lián)的無線裝置通過驗證。響應消息中包 括的公鑰至少暫時存儲在存儲器(例如,存儲器330或存儲器115)中。 如果解密部分不匹配,則與該響應相關聯(lián)的無線裝置未通過驗證,并 且未得到授權(quán),無法在WLAN100上實現(xiàn)安全操作。在此不匹配示例 中,該無線裝置的響應消息^皮丟棄。在一個示例中,在方框445,驗證機構(gòu)386確定是否從要驗證的無線裝置接收其它接受的響應消息。如果沒有,則進程轉(zhuǎn)移到方框 450。如果有,則進程返回到方框435。在一個示例中,在方框450,加密/解密機構(gòu)384獲得^S正機構(gòu)386 為每個通過驗證的無線裝置存儲的公鑰。例如,如果無線裝置120已 通過驗證,則驗證機構(gòu)386使用無線裝置120的公鑰加密驗證消息中 的信息。此驗證消息包括用戶消息103,并且也包括用于802.1 li操作 的成對主密鑰。此驗證消息發(fā)送到每個通過驗證的無線裝置。在一個示例中,在方框455,配置開關112物理切4奐(例如,由用 戶105)到操作才莫式116。因此,從控制器110的角度而言,對要耦合 到WLAN 100以實現(xiàn)安全802.11i操作的無線裝置的配置已完成。在 一個示例中,如果配置開關112物理切換回配置沖莫式114,則另一配 置進程會啟動。如上所述,如果一個或多個其它無線裝置要添加到 WLANIOO,如果WLAN100需要重新配置,或者如果以前通過l全證 的無線裝置離開WLAN 100的時間過長并且需要重新進行驗證,則這 種情況會發(fā)生。圖5 ^J僉證控制器110以進一步配置無線裝置,在WLAN 100上 實現(xiàn)安全操作的示例方法流程圖。如對圖4所示方法所述,WLAN 100 可根據(jù)802.11i標準操作以實現(xiàn)安全WLAN操作。WLAN 100也可使 用私鑰加密系統(tǒng)以有利于控制器110的驗證。在一個示例中,在方框510,無線裝置120中配置管理器101B的 站臺邏輯370激活通信機構(gòu)382。通信機構(gòu)382確定配置開關122是 否4皮置于配置才莫式124。如果配置開關122在配置^t式124中,則配 置進程轉(zhuǎn)移到方框520。如果配置開關122在纟喿作才莫式126,則無線 裝置120的配置進程會中止。在一個示例中,在方框520,通信機構(gòu)382與公共接入SSID相關 聯(lián),該SSID在也包括控制器110的公鑰的配置消息中從控制器110 廣播。通信機構(gòu)382在存儲器(例如,存儲器125或存儲器330)中暫時 存儲控制器110的公鑰。在一個示例中,在方框530,站臺邏輯370激活加密/解密機構(gòu)384。 加密/解密機構(gòu)384例如從存儲器125或存儲器330獲得用戶消息103 和無線裝置120的/>鑰。如上對圖1和圖2所述,用戶消息103由用 戶105物理輸入并在無線裝置120處維持。加密/解密機構(gòu)384也獲得 控制器110的公鑰,并使用該公鑰將獲得的用戶消息103和無線裝置 120的公鑰加密。加密/解密機構(gòu)384暫時存儲加密的信息(例如,在存 儲器125或330中)。在方框540中,通信機構(gòu)382獲得加密的信息,并且在到控制器 110配置消息的響應消息中包括該信息。響應消息例如通過收發(fā)信機 128,經(jīng)無線通信鏈155發(fā)送到控制器110。在一個示例中,在方框550,控制器110已經(jīng)驗證無線裝置120。 因此,控制器驗證消息經(jīng)無線通信鏈路155,從控制器110發(fā)送,并 且通過收發(fā)信機128接收。在一個示例中,控制器驗證消息包括使用 無線裝置120的公鑰加密的信息。在一個示例中,在方框560,加密/解密機構(gòu)384使用與無線裝置120 />鑰相關聯(lián)的私鑰將控制器110加密的信息解密。解密的信息暫時存儲在存儲器中,如存儲器330。在一個示例中,在方框570,站臺邏輯370激活驗證機構(gòu)386。驗 證機構(gòu)386獲得加密/解密機構(gòu)384解密的信息,并且也獲得用戶105 在無線裝置120輸入的用戶消息103。如果解密的信息包括或匹配用 戶消息103,則進程轉(zhuǎn)移到580。如果解密的信息不包括或不匹配, 則無線裝置120的配置進程會中止。在一個示例中,在方框580,基于控制器驗證消息對控制器110 進行驗證,該消息包括匹配用戶105在無線裝置120輸入的用戶消息 103的信息。在一個示例中,控制器驗證消息也包括信息,指示要用 于802.11i操作的成對主密鑰。此信息由加密/解密機構(gòu)384使用與無 線裝置120的公鑰相關聯(lián)的私鑰解密。在一個示例中,在方框590,配置開關122物理切^灸(例如,由用 戶105)到操作才莫式126。因此,從無線裝置120的角度而言,為在 WLAN 100上實現(xiàn)安全802.11i操作(例如,發(fā)送/接收數(shù)據(jù))的配置已 完成。在一個示例中,如果配置開關122物理切換回配置模式124, 則無線裝置120上另一配置進程會啟動。再次參照圖1和圖2中的收發(fā)信機118、 128和138。在一個示例 中,這些收發(fā)信機包括在WLAN 100上互連的裝置或元素之間發(fā)送和 接收數(shù)據(jù)的一根或多根天線。這些天線例如可包括內(nèi)置和/或外置RF 天線。在一個示例中,收發(fā)信機118、 128和138可包括雙極天線、 單極天線、全向天線、端饋天線、圓極化天線、微帶天線、分集式天 線或適合發(fā)送和接收無線通信信號、碼組、幀、數(shù)據(jù)項、傳輸流、分 組、消息和/或數(shù)據(jù)的任何其它類型天線。在一個示例中,收發(fā)信機118、 128和138也包括在WLAN中經(jīng) 無線通信鏈路處理和/或轉(zhuǎn)發(fā)數(shù)據(jù)的電路或邏輯。此電路或邏輯包括但 不限于一個或多個無線電、網(wǎng)絡>^妄口、數(shù)字信號處理器等。再次參照圖1和圖2中的存儲器115、 125和135及圖3中的存儲20器330。存儲器115、 125和135或存儲器330可包括多種存儲器^h質(zhì), 包括但不限于易失性存儲器、非易失性存儲器、閃存、可編程變量或 狀態(tài)、隨機存取存儲器(RAM)、只讀存儲器(ROM)、閃存或其它靜態(tài) 或動態(tài)存儲介質(zhì)。在一個示例中,機器可讀指令能夠以機器可存取介質(zhì)的形式提供 到存儲器115、125、135或存儲器330。機器可存取介質(zhì)可表示提供(即, 存儲和/或發(fā)送)機器(例如,控制器IIO、無線裝置120、 130或配置管 理器IOI)可讀取形式信息或內(nèi)容的任何機制。例如,機器可存取介質(zhì) 包括ROM、 RAM、磁盤存儲介質(zhì)、光存儲介質(zhì)、閃存裝置、電氣、 光學、聲學或其它形式傳播信號(例如,載波、紅外信號、數(shù)字信號)等。包括WLAN的各種無線網(wǎng)絡要包括在本/>開內(nèi)容的范圍內(nèi)。其它 無線網(wǎng)絡例如包括無線廣域網(wǎng)、無線個人局域網(wǎng)和蜂窩或無線廣播電 話網(wǎng)絡??稍诖祟惥W(wǎng)絡上操作的裝置包括但不限于接入點、橋接器、 集線器、雙向無線電通信系統(tǒng)、單向?qū)ず羝?、雙向?qū)ず羝鳌€人通信 系統(tǒng)、個人計算機、個人數(shù)字助理、感測器網(wǎng)絡、數(shù)字寬帶電話裝置, 計算裝置等。本公開內(nèi)容的范圍并不限于這些類型的無線網(wǎng)絡或裝 置。在上述說明中,為便于解釋,陳述了許多特定的細節(jié)以便提供本 公開內(nèi)容的理解。將理解,公開內(nèi)容的實踐可無需這些特定細節(jié)。在 其它情況下,結(jié)構(gòu)和裝置以方框圖形式示出以避免混淆公開內(nèi)容。
權(quán)利要求
1.一種驗證無線裝置以用于無線局域網(wǎng)上安全操作的方法,所述無線局域網(wǎng)包括控制器,所述方法包括基于所述控制器由用戶物理切換到配置模式,而從所述控制器廣播配置消息;在所述控制器處接受來自所述無線裝置的響應,所述響應的接受基于在所述配置消息的所述廣播后的固定時間間隔內(nèi)接收所述響應,所述接受的響應包括使用所述控制器公鑰加密的信息;獲得所述控制器處由所述用戶輸入并在所述控制器處維持的消息;以及驗證所述無線裝置,其中驗證基于包括所述加密信息的所述響應在使用與所述控制器公鑰相關聯(lián)的私鑰解密后是否匹配所述消息。
2. 如權(quán)利要求1所述的方法,其中基于在所述配置消息的所述廣 播后的所述固定時間間隔內(nèi)接收所述響應,而接受來自所述無線裝置 的所述響應還包括基于以下的接受獲得所述控制器處由所述用戶輸入并在所述控制器處維持的網(wǎng) 絡信息,所述網(wǎng)絡信息包括要驗證的無線裝置的數(shù)量;以及基于接受未超過要驗證的無線裝置的所述數(shù)量,而接受所述響應。
3. 如權(quán)利要求2所述的方法,其中所述網(wǎng)絡信息也包括要驗證的 無線裝置的一種或多種類型,并且所述響應的接受也基于與所述響應 相關聯(lián)的所述無線裝置是否匹配所述一種或多種類型的至少之一。
4. 如權(quán)利要求3所述的方法,所述一種或多種類型包括從以下組 中選擇的至少一種類型筆記本計算機、臺式計算#幾、打印才幾、掃描 <義、電視機機頂盒、電視機、數(shù)碼:攝像機、個人數(shù)字助理、音頻立體 聲及家用設備。
5. 如權(quán)利要求l所述的方法,還包括將所述控制器置于操作一莫式并基于所述控制器由所述用戶物理 切換回所述配置才莫式,而驗證一個或多個其它無線裝置以便用于所述 無線局域網(wǎng)上的安全操作。
6. 如權(quán)利要求1所述的方法,其中獲得所述用戶消息包括從駐留 在所述控制器中的存儲器獲得所述用戶消息。
7. 如權(quán)利要求1所述的方法,其中所述無線局域網(wǎng)根據(jù)IEEE 802.11i標準操作,并且基于所述無線裝置是否纟皮驗證,而從所述控制 器發(fā)送成對的主密鑰到所述無線裝置。
8. —種驗證控制器以配置無線裝置,以用于無線局域網(wǎng)上的安全 操作的方法,所述方法包括基于所述無線裝置由用戶物理切換到配置才莫式,通過對來自所述 控制器的廣播的響應消息而做出響應,所述廣播包括所述控制器的公 鑰,所述響應消息包括使用所述控制器公鑰加密的信息,所述加密信 息包括所述無線裝置的7>鑰和用戶消息,所述用戶消息由所述用戶在 所述無線裝置處輸入并在所述無線裝置處維持;以及基于所述響應消息,而從所述控制器接收控制器驗證消息,所述 控制器驗證消息包括使用所述無線裝置的公鑰加密的信息,其中所述 無線裝置基于所述加密信息在使用與所述無線裝置的公鑰相關聯(lián)的 私鑰解密后是否匹配所述用戶消息而驗證所述控制器。
9. 如權(quán)利要求8所述的方法,其中獲得所述用戶消息包括從駐留 在所述無線裝置的存儲器獲得所述用戶消息。
10. 如權(quán)利要求8所述的方法,還包括將所述無線裝置置于操作才莫式,并基于所述無線裝置由所述用戶 物理切換回所述配置才莫式,響應來自控制器的另一配置消息廣播。
11. 一種用于無線局域網(wǎng)的控制器,包括配置開關,基于所述配置開關由用戶物理切換而將所述控制器置 于配置才莫式;以及邏輯,其中在所述控制器置于所述配置模式后,所述邏輯要使所述控制器執(zhí)行以下操作廣播配置消息到所述無線局域網(wǎng)中至少 一個無線裝置,所述配置消息包括所述控制器的公鑰;接受所述配置消息的響應,所述響應來自至少一個無線裝 置,接受基于在所述配置消息所述廣播后的固定時間間隔內(nèi)接收 所述響應,所述響應包括使用所述控制器公鑰加密的信息;獲得所述控制器處由用戶輸入并在所述控制器處維持的用 戶消息;基于包括所述加密信息的所述接受的響應在使用與所述控 制器公鑰相關聯(lián)的私鑰解密后是否匹配所述用戶消息,而驗證所 述至少一個無線裝置。
12. 如權(quán)利要求ll所述的控制器,其中基于在所述配置消息所述 廣播后的所述固定時間間隔內(nèi)接收所述響應而接受來自所述無線裝 置的所述響應,還包括基于邏輯以下操作的接受獲得所述控制器處由所述用戶輸入并在所述控制器處維持的網(wǎng) 絡信息,所述網(wǎng)絡信息包括要驗證的無線裝置的數(shù)量;以及基于接受未超過要驗證的無線裝置的所述數(shù)量,而接受所述響應。
13. 如權(quán)利要求ll所述的控制器,其中基于在所述配置消息所述 廣播后的所述固定時間間隔內(nèi)接收所述響應而接受來自所述無線裝 置的所述響應,還包括基于邏輯以下操作的接受獲得所述控制器處由所述用戶輸入并在所述控制器處維持的網(wǎng) 絡信息,所述網(wǎng)絡信息包括與要驗證的一個或多個無線裝置相關聯(lián)的 一個或多個功能;以及基于包括指示所述無線裝置與要驗證的所述一個或多個無線裝 置相關聯(lián)的所述一個或多個功能中的至少之一相關聯(lián)的信息的所述 響應,而4矣受戶斤述響應。
14. 如權(quán)利要求11所述的控制器,還包括邏輯以將所述控制器置于操作模式并基于所述控制器由所述用戶物理 切換回所述配置才莫式,而驗證一個或多個其它無線裝置以便在所述無 線局域網(wǎng)上實現(xiàn)安全4喿作。
15. 如權(quán)利要求11所述的控制器,其中所述無線局域網(wǎng)根據(jù)IEEE 802.11i標準操作,并且基于所述無線裝置是否被驗證,而從所述控制 器發(fā)送成對主密鑰到所述無線裝置。
16. —種無線局域網(wǎng),包括控制器,包括駐留配置開關,以基于所述駐留配置開關由用戶物理切換而將所述控制器置于配置^f莫式;以及無線裝置,包括:駐留配置開關,以基于所述配置開關由用戶物理切換而將所述無線裝置置于配置才莫式,所述無線裝置也包括邏輯,其中在所述控制器和所述無線裝置被置于所述配置才莫式后,所述邏輯要使所述無線裝置執(zhí)行以下操作通過來自所述控制器的配置消息廣播的響應消息而做出響 應,所述配置消息包括所述控制器的公鑰,所述響應消息包括使 用所述控制器的7>鑰加密的信息,所述加密信息包括所述無線裝 置的么嘲和用戶消息,所述用戶消息由用戶在所述無線裝置處輸 入并在所述無線裝置處維持;基于所迷響應消息,而從所述控制器接收控制器驗證消息, 所述控制器驗證消息包括使用所述無線裝置的公鑰加密的信息, 其中所述無線裝置基于所述加密信息在使用與所述無線裝置公 鑰相關聯(lián)的私鑰解密后是否包括所述用戶消息而驗證所述控制 器。
17. 如權(quán)利要求17所述的無線局域網(wǎng),其中所述響應消息還包括 指示與所述無線裝置相關聯(lián)的類型的信息,所述類型包括從以下組選 擇的至少一種類型筆記本計算機、臺式計算機、打印機、掃描儀、 電視機機頂盒、電視機、個人數(shù)字助理、數(shù)碼攝像機、音頻立體聲及 家用設備。
18. —種包括內(nèi)容的機器可存取介質(zhì),所述內(nèi)容在由機器執(zhí)行時 使所述機器驗證無線裝置以便用于無線局域網(wǎng)上的安全操作,所述無 線局域網(wǎng)包括由用戶物理切換到配置模式的控制器,所述驗證引起所述機器執(zhí)行以下操作從所述控制器廣播配置消息,所述配置消息包括所述控制器的公鑰;在所述控制器處接受來自所述無線裝置的響應,所述響應的接受 基于在所述配置消息所述廣播后的固定時間間隔內(nèi)所述響應的接收,所述接受的響應包括使用所述控制器的公鑰加密的信息;獲得所述控制器處由所述用戶輸入并在所述控制器維持的用戶 消息;以及^r證所述無線裝置,其中驗證基于包括所述加密信息的所述響應在使用與所述控制器公鑰相關聯(lián)的私鑰解密后是否匹配所述用戶消 命
19. 如權(quán)利要求18所述的機器可存取介質(zhì),其中基于在所述配置 消息所述廣播后的所述固定時間間隔內(nèi)所述響應的接收而接受來自 所述無線裝置的所述響應還包括基于以下的接受獲得所述控制器處由所述用戶輸入并在所述控制器處維持的網(wǎng) 絡信息,所述網(wǎng)絡信息包括要驗證的無線裝置的數(shù)量;以及基于接受未超過要驗證的無線裝置的所述數(shù)量,而接受所述響應。
20. —種包括內(nèi)容的機器可存取介質(zhì),所述內(nèi)容在由機器執(zhí)行時 使所述機器驗證控制器以配置無線裝置,以用于無線局域網(wǎng)上的安全 操作,所述無線裝置由用戶物理切換到配置才莫式,所述驗證使所述機 器執(zhí)行以下操作通過來自所述控制器的配置消息廣播的響應消息而做出響應,所 述配置消息包括所述控制器的公鑰,所述響應消息包括-(吏用所述控制 器的/>鑰加密的信息,所述加密信息包括所述無線裝置的/^鑰和用戶消息,所述用戶消息由所述用戶在所述無線裝置處輸入并在所述無線裝置處維持;以及基于所述響應消息,而從所述控制器接收控制器驗證消息,所述 控制器驗證消息包括使用所述無線裝置的公鑰加密的信息,其中基于 所述加密信息在使用與所述無線裝置的公鑰相關聯(lián)的私鑰解密后是 否匹配所述用戶消息,而驗證所述控制器。
21.如權(quán)利要求20所述的機器可存取介質(zhì),其中所述無線局域網(wǎng) 要根據(jù)IEEE 802.11i標準操作,并且所述控制器驗證消息還包括成對 主密鑰,所述成對主密鑰使用所述無線裝置的^^鑰加密。
全文摘要
一種方法用于驗證無線裝置以便用于無線局域網(wǎng)上的安全操作,無線局域網(wǎng)包括控制器。該方法包括基于控制器物理切換到配置模式而從控制器廣播配置消息。方法也包括在控制器接受來自無線裝置的響應,響應的接受是基于在配置消息廣播固定時間間隔內(nèi)的響應的接收,接受的響應包括使用控制器的公鑰加密的信息。獲得用戶消息,用戶消息由用戶在控制器處輸入并在控制器處維持?;诎用苄畔⒌捻憫谑褂门c控制器公鑰相關聯(lián)的私鑰解密后是否匹配用戶消息,而驗證無線裝置。
文檔編號H04L29/06GK101326789SQ200680046494
公開日2008年12月17日 申請日期2006年12月6日 優(yōu)先權(quán)日2005年12月14日
發(fā)明者B·溫納科塔, M·阿迪萊塔 申請人:英特爾公司