Traitement en cours

Veuillez attendre...

Paramétrages

Paramétrages

Aller à Demande

1. CN107005921 - Method and apparatus for wlan device pairing

Note: Texte fondé sur des processus automatiques de reconnaissance optique de caractères. Seule la version PDF a une valeur juridique

[ ZH ]
用于WLAN设备配对的方法和装置


技术领域
本发明涉及无线网络的设置和使用,特别是WLAN中的设备配对。
背景技术
已经有几种加入无线网络的方法。基本的方法是直接共享WiFiTM密钥。这种方法有如下缺点:它是复杂和容易出错的。此外,它揭示了WiFiTM密钥。考虑到这些缺点,WiFiTM联盟推出了WiFiTM保护设置(WPS)过程。这是一套简化进入WiFiTM网络的过程的方法。在一种称为WPS按钮配置(PBC)方法的方法中,用户按下两个按钮,一个在进入(登录者)设备上,一个在接入点(AP)上。由于这种方法存在两分钟的时间拖延,因此比较耗时。如果没有实现这种时间拖延,那么该方法被认为是脆弱的。另外,一个非预期的设备如果在范围内也可以加入网络。众所周知,AP服务的服务集标识符SSID可能被隐藏,并且在正常的WLAN操作期间不被发送,以便隐藏这样的SSID以免被检测和黑客攻击。然而,在WPS PBC过程中传送所有APSSID信息是普遍接受的做法。执行该操作,使得接入点的所有可能的SSID可以被加入或注册站STA来访问。但是,在WPC PBC过程中,接入点网络和远程站有风险。例如,STA可能会错误地与一个错误的SSID配对,导致STA没有接收到所需的AP服务。AP和STA的不正确配对可能提供与未对特定STA授权的SSID服务的连接。由于不同的AP和STA功能之间的不兼容性,因此不正确的配对可能仅仅不允许正确的数据交换。服务失败、服务中断和安全漏洞可能是由于不正确的配对造成的。此外,STA可能与错误的AP配对,导致安全威胁或操作困难。
对这种不正确配对问题的解决方案包括在WPC PBS设置过程中传送所有SSID,但要求STA在WPS设置过程中传送客户标识符串,以便AP能识别被授权的STA并只与之配对。该配对保护方案PPS确保未经授权的STB不会连接到AP WLAN服务,未经授权的STB与STA使用WPS PCB过程加入WLAN的授权或能力不兼容。然而,该解决方案仍然不会禁止在WPC PBC配对过程期间不受客户标识符保护的STB与较低优先级或不正确的AP配对。应该克服上述缺点,并且需要一种更简单和更安全的方法来防止无线网络中STA与AP的不期望的配对。
发明内容
提供本发明内容以简化形式介绍一些构思作为稍后介绍的更详细描述的序言。本发明内容并不旨在标识本发明的关键或必要特征,也不旨在描述所要求保护的主题的范围。
在本发明的一个方面中,一种用于使用接入点上的按钮将无线设备与接入点进行配对的方法包括:在接入点处接收加入无线网络的请求并接收将无线设备配对到接入点的按钮命令。接入点禁止对与接入点相关联的所有服务集标识符的广播。接入点确定无线设备是否被允许与接入点配对。在一个实施例中,为了进行确定,将无线设备的媒体访问控制地址与允许的无线设备的列表进行比较。如果允许无线设备与接入点配对,则与无线设备相关联的服务集标识符被广播到无线设备。执行接入与无线设备的配对。避免错误配对,因为该无线站的唯一可见服务集标识符是允许用于该无线设备的服务集标识符。配对后,无线设备可以访问接入点的资源。
在本发明的另一方面,一种用于使用与该接入点进行通信的个人计算机在无线网络中将无线设备与接入点进行配对的方法包括:从个人计算机接收对服务集标识符的选择。接入点禁止广播除个人计算机为无线设备所选择的服务集标识符之外的所有服务集标识符。个人计算机提供逻辑按钮配置激活,并且接入点与无线设备的配对完成。配对后,接入点恢复对所有服务集标识符的广播。新添加的无线设备然后可以通过无线网络在接入点和该无线设备之间交换信息。
从以下参考附图进行的说明性实施例的详细描述,本发明的附加特征和优点将变得显而易见。应当理解,附图是为了说明本公开的构思的目的,并不一定是用于说明本公开的唯一可能的配置。
附图说明
当结合附图阅读时,将更好地理解本发明的前述发明内容以及对说明性实施例的以下详细描述,所包括的附图对于所要求保护的发明而言是作为示例而不是限制。在附图中,类似的数字表示相似的元件。
图1示出了可以实施本发明的示例环境;
图2描绘了根据本发明的第一方法的接入点和站之间的示例信号交换图;
图3描绘了根据本发明的第二方法的接入点、个人计算机和站之间的示例信号交换图;
图4描绘了根据本发明的第三方法的接入点和站之间的示例信号交换图;
图5描绘了根据本发明的各方面的第一示例方法的步骤;
图6描绘了根据本发明的各方面的第二示例方法的步骤;
图7描绘了根据本发明的各方面的第三示例方法的步骤;和
图8示出了根据本发明的各方面的示例接入点。
具体实施方式
在各种说明性实施例的以下描述中,参考形成其一部分的附图,并且其中通过说明的方式示出了可以如何实践本发明的各种实施例。应当理解,在不脱离本发明的范围的情况下,可以利用其他实施例并进行结构和功能修改。
图1示出了用作本发明的示例环境的系统100。接入点(AP)110具有控制WLAN 120的能力。AP可以是可以管理WLAN 120并提供对诸如网络160接入之类的服务的访问的路由器、网关或组合路由器网关。网络160可以表示可用的AP资源,例如互联网接入、存储接入、LAN接入等。站130和140是可以经由WLAN 120无线连接到AP 110以获得对诸如网络160之类的AP系统资源的访问的示例远程终端或站(STA)。AP 110具有允许WiFiTM保护设置(WPS)按钮配置(PBC)功能的物理按钮150。
在一个实施例中,个人计算机170可以经由RF链路或经由硬连线连接到AP,以向用户提供对AP的访问和管理控制。可以经由PC170来建立或修改AP的配置。使用PC,用户或系统管理员可以调整WLAN网络配置,如安全和访问设置。
图2描绘了AP 110和示例远程站(诸如STA 130)之间的信令或活动图200。通过无线局域网WLAN 120进行STA 130与AP 110之间的通信。最初,在活动205发起配对会话。这里,STA 130使用信号210发起向AP 110传送媒体访问控制(MAC)地址。然而,如在活动220中那样,AP 110不响应直到系统用户按压图1的PBC按钮150。在活动220之后,AP 110通过关闭与AP 110相关的SSID的识别标记的传送来隐藏所有SSID。在此期间,可能已经链接到AP的诸如STA 140之类的远程站在没有SSID名称的公开标识情况下继续操作。在活动230,AP检查STA 130的MAC地址,以确定STA 130有权访问AP 110。它通过将传入的MAC地址与授权的MAC地址列表进行比较来实现。
假设通过列表的比较可以接受STA 130的MAC地址,则发送针对特定MAC地址的授权服务的SSID。此时,通过信号240仅仅发送针对STA 130的MAC地址的授权服务的SSID。STA130然后能够通过选择与AP 110兼容的可用SSID来在活动245处发起配对过程。对兼容和授权的SSID的选择基于STA的MAC地址,并且选择仅限于由AP可见的SSID。通过与STA 130的MAC地址相关联的服务列表上该特定MAC地址的关联来启用SSID的发送。该选择性发送避免STA 130选择错误或不适合的SSID。
在开始于活动245的配对过程中,执行配对交换250。这种配对交换可以包括公共和私人加密密钥的交换,例如“Diffie-Hellman-Merkle”密钥交换。作为配对密钥交换250的结果,AP 110能够在活动255处完成对STA 130的配对。在配对建立之后,配对过程被认为是完整的,并且来自AP 110的SSID的所有先前发送在信令260处被恢复。AP 110和新配对的STA 130之间的数据交换现在可以作为示例数据交换265进行。请注意,图2的WPS PBC方法仅涉及两台活动机器的交互:WLAN 120上的AP 110和STA 130。在图2的信令图中,使用物理按钮150。然而,根据本发明的各方面,逻辑按钮信令也是可能的。
图3描绘了个人计算机170(PC)、AP 110和STA 130之间的信令或活动图300。该信令方案涉及逻辑PBC方法而不是物理PBC方法。在图3中,PC 170用于为STA 130的WLAN可访问服务选择SSID,STA 130的WLAN可访问服务可通过AP 110获得。在活动305处执行STA 130的SSID的选择,STA 130与WLAN 120没有通信连接。结果,发送包括SSID选择的信号310。信令310从PC 170发送到AP 110。
在接收到310的SSID选择之后,AP利用信号320来隐藏除了所选择的SSID之外的所有SSID。隐藏除为STA 130选择的SSID之外的所有SSID允许STA 130在活动325处容易选择正确的SSID。STA 130在325处通过选择发送的SSID而不必从多个SSID中进行选择来发起配对活动。隐藏除为STA 130选择的SSID之外的所有SSID保证STA 130不会连接到不正确的SSID。在现有系统中,STA 130必须选择它想要配对的SSID,因为在WPS PBC过程中可以发送所有SSID。这可能导致STA 130与不正确的SSID配对或STA 310PBC重叠配对失败。然而,图3中所示的改进技术确保了STA 130仅与选择和授权的SSID配对。
PC 170经由信号330向AP 110发送逻辑按钮激活信号。在活动335处,AP 110将信号330检测为逻辑按钮按压。该活动还发起配对信号交换340。这种配对交换可以包括公共和私人加密密钥的交换,例如“Diffie-Hellman-Merkle”密钥交换。作为配对密钥交换340的结果,AP 110能够在活动345处完成到STA 130的配对。在配对建立之后,配对过程被认为是完整的,并且来自AP 110的SSID传送在信令350处被恢复。AP 110和配对的STA 130之间的数据交换现在可以作为示例数据交换355进行。
图4描绘了AP 110和示例远程站(诸如STA 130)之间的信令或活动图700。通过无线局域网WLAN 120进行STA 130与AP 110之间的通信。在步骤710,按下API 110上的物理按钮。在一个实施例中,该物理按钮被按压多次,例如三次,以指示要选择特定的SSID。在替代实施例中,按下特别的物理按钮以指示特定的SSID选择。在任一情况下,AP 110将按钮按压解释为对预选SSID的选择以便与STA 130配对。在按钮按压活动710之后,AP 110通过关闭与AP 110相关的SSID的识别标记的传送来隐藏所有SSID。在此期间,可能已经链接到AP的诸如STA 140之类的远程站在没有SSID名称的公开标识的情况下继续操作。
此时,当SSID名称被隐藏时,通过信号720仅发送用于与STA 130配对的特定SSID。STA 130然后在活动725处能够通过选择唯一可用的SSID来发起配对过程,该SSID的身份由AP 110发送。兼容和授权的SSID的选择仅限于由AP可见的SSID。该选择性发送避免了STA130选择错误或不适合的SSID。
在步骤730,STA 130发起与AP 110的配对。在开始于活动730的配对过程中,执行配对交换735。这种配对交换可以包括公共和私人加密密钥的交换,例如“Diffie-Hellman-Merkle”密钥交换。作为配对密钥交换735的结果,AP 110能够在活动740处完成到STA 130的配对。在配对建立之后,配对过程被认为是完整的,并且来自AP 110的SSID的所有先前发送在信令745处被恢复。AP 110和新配对的STA 130之间的数据交换现在可以作为示例数据交换750进行。
图5是根据本发明的各方面使用改进的WPS PBC物理按钮的示例性方法400。图5是利用图2的示例信号流的示例性方法。方法400包括诸如STA 130的无线设备和诸如AP 110的接入点。在步骤401,STA 130激活配对请求。该请求通过使用STA 130上的用户接口请求经由AP 100接入WLAN 120来实现。作为请求的一部分,将STA 130的身份指示提供给AP110。在一个实施例中,该身份指示是MAC地址。该MAC地址可以是信标消息的一部分,其中寻求在IEEE 802.11WLAN上操作的无线站开始向AP发送信标消息。
作为在401处的请求的结果,AP 110在步骤405接收STA 130的配对请求和MAC地址。在步骤410,AP 110经由AP 110上的按钮(例如图1的按钮150)的激活来接收按钮配置控制命令。按钮的激活向AP 110提供按钮命令以将诸如STA 130的无线设备配对到AP。在AP处接收按钮命令包括在接入点处接收关于诸如图1的按钮150之类的配对按钮已被激活的指示。
在步骤415,AP用于禁止广播与AP相关联的所有SSID。这种抑制或停止来自AP的所有SSID的传输提供了当前改进的WiFiTM或无线保护设置(WPS)已经开始的指示。与可以传输所有SSID的常规WPS方法相反,方法400通过停止对与AP相关联的所有SSID的广播来隐藏所有SSID。在步骤420,AP确定诸如STA之类的无线设备是否被允许与AP配对。该步骤包括将无线设备的诸如MAC地址的标识符指示器与SSID和无线设备指示器的列表进行比较。如果无线设备指示器对应于SSID和无线设备指示器列表上的用于AP接入的已批准设备,则允许无线设备的配对。
如果无线设备的MAC地址不被批准在AP的SSID上操作,则执行步骤435。步骤435是可以通过屏幕显示、LED照明、打印或记录来指示无线设备与AP的配对失败的步骤。然后,进行步骤445,其恢复所有正常发送的SSID广播。返回到步骤420,如果AP确实允许无线设备的MAC地址在SSID上操作,则执行步骤425。步骤425仅广播与寻求接入AP的无线设备相关联的SSID。此步骤确保无线设备只能看到可用于配对的兼容和授权的SSID。因此,防止了无线站与不兼容或未被授权与无线站配对的SSID错误配对。换句话说,仅广播所选择的SSID确保无线设备只与正确的服务集标识符配对。
在步骤430,AP和无线设备使用向无线站广播的SSID尝试配对。配对过程包括在AP和无线设备之间交换安全密钥。在一个实施例中,配对信号交换包括诸如“Diffie-Hellman-Merkle”密钥交换之类的公共和私人加密密钥交换。如果配对失败,则执行步骤435和445。如果配对成功,则可以执行步骤440,其中AP提供配对成功的指示,诸如屏幕或LED上的显示、打印或数据记录。然后,执行步骤445以恢复与AP相关联的所有先前广播的SSID。无线设备和AP然后可以交换数据,这对于配对的AP和无线设备通过WLAN通信是正常的。
图6是根据本发明的各方面的使用改进的WPS PBC逻辑按钮的示例性方法500。图6是利用图3的示例信号图的示例性方法。方法500包括诸如个人计算机170的终端、诸如STA130的无线设备和诸如AP 110的接入点。PC 170可以具有到AP的有线连接,如图1所示,或者可以经由RF接口(诸如经由使用如IEEE 802.11之类的协议的WLAN 120)连接。在步骤505,为PC提供对诸如STA 130的无线站的SSID的选择,使得该无线站可以在AP的WLAN上操作。PC的用户可以提供对SSID的选择。因此,通过PC向AP提供了将无线站添加到SSID的请求。在步骤515,AP隐藏除PC所请求的SSID选择之外的所有SSID。隐藏来自配对无线设备STA 130的所有SSID防止了无线设备与未与该无线设备相关联的服务集标识符的配对。换句话说,仅广播所选择的SSID确保无线设备只与正确的服务集标识符配对。
在步骤520,无线站激活配对请求。可以使用无线设备上的用户接口来实现该配对请求激活,从而发起无线设备与AP的配对。在步骤525,AP接收来自PC的逻辑按钮配置激活信号(逻辑按钮按压)。接收来自PC的逻辑按钮配置激活包括接收来自PC的发起逻辑按钮激活的信号指示。AP检测该逻辑激活信号。
因此,在步骤530,AP尝试与无线设备配对。配对包括在AP和无线设备之间交换安全密钥。在一个实施例中,配对信号交换包括诸如“Diffie-Hellman-Merkle”密钥交换之类的公共和私人加密密钥交换。同样在步骤530,AP可以激活无线配对会话指示器(如果可用)。这些指示器可以是对配对活动的显示(例如屏幕显示或LED照明)、打印或记录。在步骤535,AP评估配对是否成功。如果配对没有成功,则步骤545可以指示配对过程失败。这种失败指示可以包括配对失败的屏幕或LED上的显示、打印或数据记录。然后,AP可以通过步骤550恢复对所有SSID的广播。如果步骤530的配对评估是肯定的,则AP可以指示配对成功的指示(如果可用)。这种指示可以包括配对成功的屏幕或LED上的显示、打印或数据记录。一旦配对的状态已知,则AP通过恢复对AP的所有活动SSID的广播来执行步骤550。这意味着配对过程的结束以及在接入点和无线设备之间通过无线网络继续正常交换数据和其他信息。
图7是使用根据本发明的各方面的改进的物理按钮配置方法的示例性方法800。图7是利用图4的示例信号流的示例性方法。方法800包括诸如STA 130的无线设备和诸如AP110的接入点。在一个实施例中,在步骤805,在给定的时间间隔内进行AP 110上的物理配对按钮的连续按压或激活。示例时间间隔为10秒。但是也可以使用其他时间间隔,例如5、15或20秒。在替代实施例中,可以按压AP 110上的特殊专用按钮。除了例如WPS PBC按钮之外,无论按钮激活是多个还是单个特殊按钮,针对如下事实警告AP 110:特定的SSID将用于配对。可以在AP 110内预选该特定SSID,使得特定无线站(例如STA 130)可以仅与AP所选择的该SSID配对。
在步骤810,AP用于禁止广播与AP相关联的所有SSID。这禁止或停止从AP 110发送所有SSID。与可以传送所有SSID的常规WPS PBC方法相反,方法800通过停止对与AP相关联的所有SSID的广播来隐藏所有SSID。步骤815仅广播与寻求接入AP的无线设备相关联的SSID。此步骤确保无线设备只能看到可用于配对的兼容和授权的SSID。因此,防止了无线站与不兼容或未被授权与无线站配对的SSID错误配对。换句话说,仅广播所选择的SSID确保无线设备只与正确的服务集标识符配对。
在步骤820,AP和无线设备使用向无线站广播的SSID尝试配对。配对过程包括在AP和无线设备之间交换安全密钥。在一个实施例中,配对信号交换包括诸如“Diffie-Hellman-Merkle”密钥交换之类的公共和私人加密密钥交换。如果配对失败,则执行步骤825和835。如果配对成功,则可以执行步骤830,其中AP提供配对成功的指示,诸如屏幕或LED上的显示、打印或数据记录。然后,执行步骤835以恢复与AP相关联的所有先前广播的SSID。无线设备和AP然后可以交换数据,这对于配对的AP和无线设备通过WLAN通信是正常的。
图8是AP的示例性实施例,如图1所示,条目110。这里,通过网络发送机/接收机接口602与核心网络160进行连接。这里所涉及的核心网络160连接可以包括到互联网或者到可包括服务器、远程或云存储器或其他可能的网络服务等的其他资源的连接。核心网络接口602连接到允许接入内部总线624的总线接口604。如本领域技术人员所公知的,其它非总线实现也是可能的。存在于总线624上的是存储设备606,其可用于对诸如所获取或请求的数据和网络管理数据、参数和程序之类的任何一般存储。这样的网络管理和其他程序在控制器/处理器608的控制下。
该控制器/处理器608可以是执行网络管理、用户接口控制和资源管理任务的单个处理器或多个处理器。控制存储器610可以为控制器/处理器608提供程序指令和配置控制。用户接口618允许用户、网络所有者或网络管理器查看AP 110的状态。这些指示器可以包括显示器、LED、打印机接口或数据记录接口。输入/输出(I/O)接口616允许AP 110连接到可用于配置和控制AP的个人计算机或其他设备。I/O接口616可以是诸如以太网接口的硬连线接口,或者可以可操作地用RF接口代替,使得AP 110可以经由诸如IEEE 802.XX的协议驱动接口与PC通信。或者,远程终端(例如PC 160)也可以连接到由AP操作的WLAN。通过I/O接口616可能的其他接口是可以包括显示设备、键盘、鼠标、光笔等的使用的交互式接口。
AP 110具有无线网络接口612,其允许去往和来自正常用户的对核心网络160的资源的访问。这种接口包括用于控制无线网络的所有元素,包括使用诸如IEEE 802.XX等无线网络协议。图6的AP 110的控制器/处理器608被配置为针对图4和图5的方法的步骤提供处理服务。例如,控制器处理器可以提供指令控制以监视和控制网络发送机/接收机602的接口、I/O接口616和618以及WLAN接口612。控制器/处理器608通过AP 110引导信息流,使得执行信号图2和图3的AP活动以及图4和图5的方法。
本文描述的实现方式可以在例如方法或过程、设备或硬件和软件的组合中实现。虽然仅在单个实现形式的上下文中进行讨论(例如,仅讨论方法),所讨论的特征的实现还可以以其他形式来实现。例如,实现方式可以通过硬件装置、硬件和软件装置来完成。装置可以实现为例如适合的硬件、软件和固件。所述方法可被实现于诸如处理器的装置中,该处理器指代任何处理设备,包括例如计算机、微处理器、集成电路或可编程逻辑器件。
此外,该方法可以通过被处理器执行的指令来实施,并且这种指令可被存储在处理器或计算机可读介质诸如集成电路,软件载体或其它存储设备(诸如硬盘、致密盘(“CD”或“DVD”)、随机存取存储器(“RAM”)、只读存储器(“ROM”)或任何其它磁、光或固态介质)上。指令可形成有形地实施在计算机可读介质(诸如以上列出或本领域技术人员已知的任何介质)上的应用程序。这样存储的指令对于执行硬件和软件元素以执行本文所描述的方法的步骤是有用的。