用于配置无线网络接入设备的系统和方法技术方案

本文描述一种使用第一无线设备配置第二无线设备来接入无线网络的系统和方法，由此采用一轮密钥交换协议以高效安全的方式与所述第二无线设备共享所述无线网络的配置数据。

【技术实现步骤摘要】
【国外来华专利技术】用于配置无线网络接入设备的系统和方法专利
本专利技术涉及一种使用第一无线设备配置第二无线设备以使其接入无线网络的系统和方法，由此采用一轮密钥交换协议以高效安全的方式与所述第二无线设备共享所述无线网络的配置数据。现有技术摘要随着科学技术的进步，越来越多的设备通过互联网或直接进行无缝无线通信。这种融合使得物联网(InternetofThings，IoT)愿景在近年来受到越来越多的关注。在物联网网络中，数百万个实体或设备(即物体)直接连接或通过接入点间接连接。这些设备或实体包括智能设备、智能插头、智能手表、智能电话、智能车辆、智能建筑等，彼此之间直接或间接通信。间接通信需要遵从现有的IEEE无线标准，如IEEE802.11无线局域网(localareanetwork，LAN)标准。为了接入现有无线网络，这些设备需要获取所述无线网络的配置数据。例如，当无线设备第一次尝试经由接入点连接到无线网络以访问网络或互联网时，所述接入点提示无线设备提供预先设定的密码。如果提供的密码错误，将拒绝该无线设备的接入请求。同理，IoT设备在第一次尝试接入无线网络时也要根据提示提供正确的密码。不同于传统的无线设备，大多数IoT设备没有诸如键盘、鼠标或触摸板之类的输入界面，甚至没有诸如显示器类的图形用户界面。因此，IoT设备用户如何以安全的方式输入无线网络密码则成为一个挑战。本领域技术人员已经开发了若干不同方法来解决IoT设备接入无线网络时的配置问题。其中一种方法使用移动电话来配置所述IoT设备使其接入目标无线网络(即WLAN)，所以在另外一张无线网络上配置IoT设备。具体而言，IoT设备先创建无线网络，如蓝牙网络；检测到该蓝牙网络后，移动设备连接到该网络。之后，移动设备通过蓝牙网络检测到IoT设备正在等待配置数据以接入WLAN网络。假设移动设备携带了所需的配置数据并且连接到WLAN网络，那么移动设备通过蓝牙网络连接到IoT设备，并将WLAN网络配置数据发送给IoT设备。收到配置数据后，IoT设备连接到WLAN网络。一旦检测到WLAN网络中存在IoT设备，移动电话会验证IoT设备的配置是否正确。这种方法的不足之处就是IoT设备需要先创建一个与目标接入网络不同的无线网络，如蓝牙网络。这就意味着该IoT设备需要具备创建无线网络的能力。此外，从移动设备发往IoT设备的配置数据只进行了基本加密。因此，拦截到此数据的任何恶意来源都可能通过暴力攻击手段获取该数据的访问权限；一旦配置数据暴露，该无线网络和连接的设备就容易遭受恶意实体的攻击。基于上述原因，本领域技术人员一直在努力探索一种使用无线设备配置IoT设备使其接入无线网络的系统和方法，从而以高效安全的方式将无线网络配置数据从无线设备发送给IoT无线设备。
技术实现思路
本专利技术提出的系统和方法用于改进如下过程：使用第一无线设备配置第二无线设备来接入无线网络，并且根据本专利技术实施例在下面对这些系统和方法进行阐述。根据本专利技术的系统和方法实施例提出的第一项改进如下：在第一和第二无线设备之间以高效安全的方式共享接入无线网络的配置数据。根据本专利技术的系统和方法实施例提出的第二项改进如下：两个无线设备都要经过认证，并且通过两个设备之间的单轮数据交换在两个认证后的无线设备之间实现配置数据的安全共享。根据本专利技术的方法实施例，采用以下方式进行上述改进：根据本专利技术的第一方面，提供了一种使用第一无线设备配置第二无线设备来接入无线网络的方法，所述方法包括：生成一轮密钥交换协议的第一消息；将所述第一消息嵌入到信标包中并广播所述信标包，使得所述第二无线设备接收所述第一消息并基于所述第一消息生成消息进行响应；接收来自所述第二无线设备的所述消息，其中，所述消息包含加密配置数据和一轮密钥交换协议的第二消息；使用所述第一消息和所述第二消息来计算共享密钥KS；使用所述共享密钥KS对所述加密配置数据进行解密；使用所述配置数据来接入所述无线网络。结合所述第一方面，在所述第一方面的第一种可能实现方式中，消息还包含所述第二无线设备生成的消息认证码(messageauthenticationcode，MAC)；在所述使用所述共享密钥KS对所述加密配置数据进行解密之前，所述方法还包括使用所述计算出的共享密钥KS来验证所述MAC；使用所述共享密钥KS对所述加密配置数据进行解密的步骤包括在验证MAC时使用所述共享密钥KS对所述加密配置数据进行解密。结合第一方面或第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述一轮密钥交换协议包含双基密码指数密钥交换(Two-BasisPasswordExponentialKeyExchange，TBPEKE)协议，所述第一消息包含使用共享令牌GS和随机值x计算出的第一令牌，所述第二消息包含使用所述共享令牌GS和随机值y计算出的第二令牌，所述共享密钥KS使用所述共享令牌GS和所述随机值x及y来计算，以及所述共享令牌使用所述第一和第二无线设备中预先加载的随机值w和椭圆曲线密码算法(EllipticCurveCryptography，ECC)上的两个固定点(U，V)推导出。结合第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述第一令牌通过将所述共享令牌GS与所述随机值x相乘计算出，所述第二令牌通过将所述共享令牌GS与所述随机值y相乘计算出，所述共享密钥KS通过将所述共享令牌GS与所述随机值x和y相乘计算出，所述共享令牌GS由以下公式推导出：GS＝U+w·V。结合第一方面或第一方面的第一种可能的实现方式，在第一方面的第四种可能的实现方式中，所述一轮密钥交换协议包括椭圆曲线Diffie-Hellman(EllipticCurveDiffie-Hellman，ECDH)协议，所述第一消息包含使用第一私钥和有限循环组G计算出的第一公钥，所述第二密钥包含使用第二私钥和所述有限循环组G计算出的第二公钥，所述共享密钥KS使用所述第一私钥、所述第二私钥和所述有限循环组G计算出；以及所述有限循环组G预先加载在所述第一和第二无线设备中。结合第一方面的第四种可能的实现方式，在第一方面的第五种可能的实现方式中，所述第一公钥通过将所述第一私钥与所述有限循环组G相乘计算出，所述第二公钥通过将所述第二私钥与所述有限循环组G相乘计算出，所述共享密钥KS通过将所述第一私钥与所述第二私钥和所述有限循环组G相乘计算出。根据本专利技术的第二方面，提供了一种用于配置第二无线设备来接入无线网络的第一无线设备，其中所述第一无线设备包含电路，用于：生成一轮密钥交换协议的第一消息；将所述第一消息嵌入信标包中并广播所述信标包，使得所述第二无线设备接收所述第一消息并基于所述第一消息生成消息进行响应；接收来自所述第二无线设备的所述消息，其中，所述消息包含加密配置数据和所述一轮密钥交换协议的第二消息；使用所述第一消息和所述第二消息来计算共享密钥KS；使用共享密钥KS对加密配置数据进行解密；使用所述配置数据来接入所述无线网络。结合第二方面，在第二方面的第一种可能的实现方式中，所述接收消息还包含所述第二无线设备生成的消息认证码(messageauthenticationcode，MAC)，并且在所述电路使用所述共享密钥KS对所述加密配置本文档来自技高网...

【技术保护点】
1.一种使用第一无线设备配置第二无线设备来接入无线网络的方法，其特征在于，包括：生成一轮密钥交换协议的第一消息；将所述第一消息嵌入信标包中并广播所述信标包，使得所述第二无线设备接收所述第一消息并基于所述第一消息生成消息进行响应；接收来自所述第二无线设备的所述消息，其中，所述消息包含加密配置数据和所述一轮密钥交换协议的第二消息；使用所述第一消息和所述第二消息来计算共享密钥KS；使用所述共享密钥KS对所述加密配置数据进行解密；使用所述配置数据来接入所述无线网络。

【技术特征摘要】
【国外来华专利技术】2016.11.04 SG 10201609247Y1.一种使用第一无线设备配置第二无线设备来接入无线网络的方法，其特征在于，包括：生成一轮密钥交换协议的第一消息；将所述第一消息嵌入信标包中并广播所述信标包，使得所述第二无线设备接收所述第一消息并基于所述第一消息生成消息进行响应；接收来自所述第二无线设备的所述消息，其中，所述消息包含加密配置数据和所述一轮密钥交换协议的第二消息；使用所述第一消息和所述第二消息来计算共享密钥KS；使用所述共享密钥KS对所述加密配置数据进行解密；使用所述配置数据来接入所述无线网络。2.根据权利要求1所述的方法，其特征在于，所述接收消息还包含所述第二无线设备生成的消息认证码(messageauthenticationcode，MAC)，在所述使用所述共享密钥KS对所述加密配置数据进行解密之前，所述方法还包括：使用所述计算到的共享密钥KS来验证所述MAC；以及所述使用所述共享密钥KS对所述加密配置数据进行解密的步骤包括：在验证所述MAC时使用所述共享密钥KS对所述加密配置数据进行解密。3.根据权利要求1或2所述的方法，其特征在于，所述一轮密钥交换协议包括双基密码指数密钥交换(Two-BasisPasswordExponentialKeyExchange，TBPEKE)协议，所述第一消息包含根据共享令牌GS和随机值x计算出的第一令牌，所述第二消息包含使用所述共享令牌GS和随机值y计算出的第二令牌，所述共享密钥KS使用所述共享令牌GS和所述随机值x及y来计算，以及所述共享令牌使用所述第一和第二无线设备中预先加载的随机值w和椭圆曲线密码算法(EllipticCurveCryptography，ECC)上的两个固定点(U，V)推导出。4.根据权利要求3所述的方法，其特征在于，所述第一令牌通过将所述共享令牌GS与所述随机值x相乘计算出，所述第二令牌通过将所述共享令牌GS与所述随机值y相乘计算出，所述共享密钥KS通过将所述共享令牌GS与所述随机值x和y相乘计算出，所述共享令牌GS值由以下公式推导出：GS＝U+w·V.5.根据权利要求1或2所述的方法，其特征在于，所述一轮密钥交换协议包含椭圆曲线Diffie-Hellman(EllipticCurveDiffie-Hellman，ECDH)协议，所述第一消息包含使用第一私钥和有限循环组G计算出的第一公钥，所述第二密钥包含使用第二私钥和所述有限循环组G计算出的第二公钥，所述共享密钥KS使用所述第一私钥、所述第二私钥和所述有限循环组G计算出，以及所述有限循环组G预先加载在所述第一和第二无线设备中。6.根据权利要求5所述的方法，其特征在于，所述第一公钥通过将所述第一私钥与所述有限循环组G相乘计算出，所述第二公钥通过将所述第二私钥与所述有限循环组G相乘计算出，所述共享密钥KS通过将所述第一私钥与所述第二私钥和所述有限循环组G相乘计算出。7.一种第一无线设备，用于配置第二无线设备来接入无线网络，其特...

【专利技术属性】
技术研发人员：时杰，方成方，王贵林，
申请(专利权)人：华为国际有限公司，
类型：发明
国别省市：新加坡,SG