[发明专利]认证凭证的安全配置

权利要求书

1.一种用于安全地配置客户端设备的方法，包括：

通过安全接口向由认证服务器授权的可信设备输出第一客户端信息以便从所述可信设备发送到所述认证服务器；

从所述客户端设备向接入点发送与所述第一客户端信息相关的第二客户端信息，所述接入点用于向所述认证服务器发送所述第一客户端信息，以及所述第二客户端信息由所述认证服务器链接到所述第一客户端信息；

在所述客户端设备处经由所述接入点从所述认证服务器接收加密的认证凭证，所述加密的认证凭证是用于所述客户端设备连接到所述接入点以利用安全的无线连接来接入无线网络以及是至少部分基于所述第一客户端信息或所述第二客户端信息来加密的；

由所述客户端设备对所述加密的认证凭证进行解密；以及

由所述客户端设备通过使用解密的认证凭证完成认证过程来连接到与所述认证服务器相关联的所述接入点。

2.根据权利要求1所述的方法，其中，所述第一客户端信息包括客户端公钥，并且所述第二客户端信息包括客户端标识，所述客户端标识是从所述客户端公钥导出的。

3.根据权利要求2所述的方法，其中，所述加密的认证凭证是至少部分基于在所述第一客户端信息中发送的所述客户端公钥来加密的，并且所述加密的认证凭证是至少部分基于与所述客户端公钥相对应的客户端私钥来解密的。

4.根据权利要求1所述的方法，其中，所述第一客户端信息包括客户端认证令牌，并且所述第二客户端信息包括客户端公钥，所述客户端认证令牌是从所述客户端公钥导出的。

5.根据权利要求4所述的方法，其中，所述加密的认证凭证是至少部分基于在所述第二客户端信息中发送的所述客户端公钥来加密的，并且所述加密的认证凭证是至少部分基于与所述客户端公钥相对应的客户端私钥来解密的。

6.根据权利要求1所述的方法，还包括：

与所述认证服务器交换共享秘密密钥，其中，所述加密的认证凭证是至少部分基于所述共享秘密密钥来解密的。

7.根据权利要求1所述的方法，其中，所述认证过程包括电气和电子工程师协会(IEEE)802.1X可扩展认证协议，并且连接到所述接入点包括Wi-Fi保护接入II(WPA2)企业连接。

8.根据权利要求1所述的方法，其中，所述安全接口包括下列各项中的至少一项：手动输入所述第一客户端信息、扫描所述第一客户端信息的快速响应(QR)码、通过带外无线信道发送所述第一客户端信息，或者它们的组合。

9.根据权利要求1所述的方法，还包括：

从所述可信设备接收服务器认证令牌，所述服务器认证令牌是由所述认证服务器从所述加密的认证凭证导出的；以及

验证所接收的服务器认证令牌与从解密的认证凭证导出的令牌相匹配。

10.一种用于安全地配置客户端设备的装置，包括：

至少一个处理器；

存储器，其与所述至少一个处理器进行电子通信；以及

存储在所述存储器中的指令，所述指令可由所述至少一个处理器执行用于进行以下操作：

通过安全接口向由认证服务器授权的可信设备输出第一客户端信息以便从所述可信设备发送到所述认证服务器；

从所述客户端设备向接入点发送与所述第一客户端信息相关的第二客户端信息，所述接入点用于向所述认证服务器发送所述第一客户端信息，以及所述第二客户端信息由所述认证服务器链接到所述第一客户端信息；

在所述客户端设备处经由所述接入点从所述认证服务器接收加密的认证凭证，所述加密的认证凭证是用于所述客户端设备连接到所述接入点以利用安全的无线连接来接入无线网络以及是至少部分基于所述第一客户端信息或所述第二客户端信息来加密的；

由所述客户端设备对所述加密的认证凭证进行解密；以及

由所述客户端设备通过使用解密的认证凭证完成认证过程来连接到与所述认证服务器相关联的所述接入点。

11.根据权利要求10所述的装置，其中，所述第一客户端信息包括客户端公钥，并且所述第二客户端信息包括客户端标识，所述客户端标识是从所述客户端公钥导出的，所述加密的认证凭证是至少部分基于在所述第一客户端信息中发送的所述客户端公钥来加密的，并且所述加密的认证凭证是至少部分基于与所述客户端公钥相对应的客户端私钥来解密的。