[发明专利]认证凭证的安全配置

说明书

交叉引用

本专利申请要求于2014年8月18日提交的，并且已转让给本专利申请的受让人的题为“Secure Provisioning of an Authentication Credential”的Benoit等人的美国专利申请No.14/462,272的优先权。

技术领域

概括地说，本公开内容涉及无线通信系统，更具体地说，本公开内容涉及与接入点的安全无线通信。

背景技术

广泛部署无线通信系统以提供诸如语音、视频、分组数据、消息传送、广播等之类的各种类型的通信内容。这些系统可以是能够通过共享可用系统资源(例如，时间、频率和功率)来支持与多个用户通信的多址系统。这样的多址系统的示例包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统和正交频分多址(OFDMA)系统。

通常，无线多址通信系统可以包括多个基站，每个基站同时支持多个移动设备的通信。基站可以在下游和上游链路上与移动设备通信。

Wi-Fi保护接入II(WPA2)企业协议为Wi-Fi网络提供高级别的安全性，但是将客户端设备配置为连接到具有WPA2企业连接的接入点是一个复杂的过程。根据网络认证服务器支持的可扩展认证协议(EAP)方法，将不同类型的凭证配置在客户端设备中。这种配置(provisioning)通常由网络管理员手动执行，这是一个耗时的过程。另外，网络管理员可以使用网络的上层来进行配置。然而，从网络的上层配置的凭证可能遭受软件攻击。

发明内容

概括地说，所描述的特征涉及用于安全地配置客户端设备的改进的系统、方法和/或装置。客户端设备的第一客户端信息可以经由可信设备发送到认证服务器。第二客户端信息可以经由接入点发送到认证服务器。客户端信息可以包括客户端公钥或从客户端公钥导出的令牌。认证服务器可以确定在第一客户端信息和第二客户端信息之间是否存在链路。一旦确定了链路，认证服务器就可以使用客户端公钥或共享秘密密钥来对认证凭证进行加密。共享秘密密钥可以部分基于客户端公钥来导出。加密的认证凭证可以经由接入点发送到客户端设备。然后，客户端设备可以使用与客户端公钥相对应的客户端私钥或使用共享秘密密钥来对加密的认证凭证进行解密。然后，客户端设备可以使用认证凭证来执行认证过程，以便使用安全无线连接来连接到接入点。

在第一组说明性示例中，描述了一种用于安全地配置客户端设备的方法。在一个示例中，所述方法可以包括：通过安全接口向可信设备输出第一客户端信息以便发送到认证服务器；向所述认证服务器发送与所述第一客户端信息相关的第二客户端信息，所述第二客户端信息由所述认证服务器链接到所述第一客户端信息；从所述认证服务器接收加密的认证凭证，所述加密的认证凭证是至少部分基于所述第一客户端信息或所述第二客户端信息来加密的；以及对所述加密的认证凭证进行解密。

在所述方法的一些示例中，所述第一客户端信息包括客户端公钥，并且所述第二客户端信息可以包括客户端标识，所述客户端标识是从所述客户端公钥导出的。在所述方法的一些示例中，所述加密的认证凭证是至少部分基于在所述第一客户端信息中发送的所述客户端公钥来加密的，并且所述加密的认证凭证是至少部分基于与所述客户端公钥相对应的客户端私钥来解密的。在所述方法的一些示例中，所述第一客户端信息可以包括客户端认证令牌，并且所述第二客户端信息可以包括客户端公钥，所述客户端认证令牌是从所述客户端公钥导出的。在所述方法的一些示例中，所述加密的认证凭证是至少部分基于在所述第二客户端信息中发送的所述客户端公钥来加密的，并且所述加密的认证凭证是至少部分基于与所述客户端公钥相对应的客户端私钥来解密的。