[发明专利]登记者设备、配置器设备及其方法

说明书

在用于进行无线通信的网络系统(100)中，登记者(110)经由配置器(130)访问网络。所述登记者通过传感器(113)经由带外信道获取表示网络公钥的数据模式(140)。所述登记者基于所述网络公钥和第一登记者私钥来导出第一共享密钥，并且使用所述第一共享密钥来对第二登记者公钥进行编码，并且生成网络访问请求。所述配置器还导出所述第一共享密钥，并验证编码的第二登记者公钥是否由所述第一共享密钥编码，并且，如果是这样，则生成安全数据并使用第二共享密钥来密码地保护数据，并生成网络访问消息。登记者处理器还导出第二共享密钥，并验证所述数据是否被密码地保护，并且，如果是这样，则基于第二登记者私钥和所述安全数据来进行安全通信。

技术领域

本发明涉及一种用于在区域中的网络设备之间进行无线通信的网络系统，所述网络系统被布置用于根据安全协议来进行安全通信。

本发明一般涉及现场无线联网(例如Wi-Fi)，具体涉及以安全方式配置无线网络。

背景技术

过去几十年来，已经在很多地方提供了无线网络。为对网络的使用、访问或网络上的数据业务提供一定程度的安全性是常见的要求。想要使用网络的新设备(即，寻求加入无线网络的设备)通常被称为登记者(enrollee)。登记者需要具有一些证书，而网络必须保持跟踪网络访问。这样的功能可以由所谓的注册器或配置器(即，具有发布和撤销对网络的访问的权限的设备)来执行，所谓的注册器或配置器可以被集成到无线接入点(AP)中，或者被提供为单独的设备。该接入点可以用作注册器与登记者之间的代理。

然而，如果经由无线通信交换这样的证书，则也接收消息的第三方可以访问证书并且能够操纵访问权限，和/或获得对登记者的私有信息以及在网络与登记者之间交换的另外的数据的不想要的访问。例如，像餐馆和咖啡馆这样的公共场所可以运营这样的网络。

为了获得对这种相当开放的网络的安全访问，已经提出了用于交换身份和/或证书以获得对网络的访问的各种选项。例如，这样的证书可以包括针对网络选择的密码，并且通常被保密，但是被披露给登记者的用户，以便被输入到登记者。这种密码可以用来生成登记者与网络之间的共享密钥。更高级的安全系统可以使用密钥数据的成对集合(通常称为公钥和私钥)的公知系统，例如RSA公钥系统。RSA公钥系统被广泛用于安全数据传输。在这样的密码系统中，加密密钥是公开的，并且与被保密的解密密钥不同。在RSA中，这种不对称性基于对两个大素数的乘积进行因子分解的实际困难。RSA由在1977年首次公开描述该算法的Ron Rivest、Adi Shamir和Leonard Adleman的姓的首字母组成。RSA的用户创建并且然后发布基于两个大素数的公钥，以及辅助值。素数必须被保密。任何人都可以使用公钥对消息进行加密，但是对于当前公布的方法，如果公钥足够大，则只有知道素数的某个人才可以对消息进行可行地解码。因此，公钥可以被披露给想要与安全设备进行安全通信的任何人，而对应的私钥仅对安全设备已知。Diffie-Hellman密钥交换(DH)也可以基于公共/私有椭圆曲线密码(ECC)密钥对在几个密钥对上。共享密钥可以被计算为(PubKey₁+PubKey₂+...+PubKey_N)*(PrivKey_N+1+…+PubKey_N+M)，其等于(PrivKey_N+1+PubKey_N+2+...+PrivKey_N+M)*(PubKey₁+...+PubKey_N)，其中加法和乘法不是常见的代数加法和乘法，而是在椭圆曲线上的点上被执行的，并且其中，一个设备保持{PrivKey₁，...，PrivKey_N}秘密，但是使对应的公钥{PubKey₁，...，PubKey_N}可用于其他设备，并且知道{PubKey_N+1，PubKey_N+2，...，PubKey_N+M)，因此它可以导出共享秘密，反之亦然。以下范例使用N＝1和M＝2。