CN110268733B - 将设备自动配对到无线网络 - Google Patents
将设备自动配对到无线网络 Download PDFInfo
- Publication number
- CN110268733B CN110268733B CN201780084912.3A CN201780084912A CN110268733B CN 110268733 B CN110268733 B CN 110268733B CN 201780084912 A CN201780084912 A CN 201780084912A CN 110268733 B CN110268733 B CN 110268733B
- Authority
- CN
- China
- Prior art keywords
- access point
- pairing
- network
- security credentials
- wlan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 29
- 238000012546 transfer Methods 0.000 abstract description 4
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 30
- 230000006870 function Effects 0.000 description 18
- 230000004044 response Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 238000013507 mapping Methods 0.000 description 5
- 238000005406 washing Methods 0.000 description 5
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000036593 pulmonary vascular resistance Effects 0.000 description 4
- 238000010438 heat treatment Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 3
- 241000219357 Cactaceae Species 0.000 description 2
- 241000233855 Orchidaceae Species 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 241000196324 Embryophyta Species 0.000 description 1
- WQZGKKKJIJFFOK-GASJEMHNSA-N Glucose Natural products OC[C@H]1OC(O)[C@H](O)[C@@H](O)[C@@H]1O WQZGKKKJIJFFOK-GASJEMHNSA-N 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 239000008280 blood Substances 0.000 description 1
- 210000004369 blood Anatomy 0.000 description 1
- 238000009530 blood pressure measurement Methods 0.000 description 1
- 238000009529 body temperature measurement Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 239000008103 glucose Substances 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种使用第一组安全凭证将设备与由配对接入点提供的第一安全WLAN进行无线自动配对的方法,该方法包括以下步骤:在设备与由可用接入点提供的第二WLAN之间自动地建立连接,并使用存储在该设备上的第二组安全凭证来对该设备和该第二WLAN进行认证;使用第二组安全凭证来识别配对接入点;通过第二WLAN,在设备与配对接入点之间创建通道;经由该通道,从设备向配对接入点上的监管服务器提出请求,以将第二组安全凭证从该配对接入点传送到该设备,该第二组安全凭证是与第一安全WLAN进行配对所需的安全凭证;以及使用第二组安全凭证来对设备中的针对第一安全WLAN的安全设置进行配置。
Description
技术领域
本发明涉及一种将设备与由接入点提供的无线LAN进行无线自动配对的方法,以及一种能够与由接入点提供的无线LAN进行自动无线连接的设备。
背景技术
在本说明书中,“配对”意味着提供安全凭证以及所有所需配置,以使得能够实现设备与特定识别的安全WLAN之间的连接。
自从Apple公司在1999年首次提供Wi-Fi(根据802.11b)作为其iBook计算机上的选项,在IEEE 802.11标准系列(诸如在2.400GHz-2.500GHz频带中工作的802.11b、802.11g、802.11n-2.4或者在4.915GHz-5.825GHz频带中工作的802.11a、802.11ac和802.11n)中的至少一个标准下工作的Wi-Fi以及无线LAN就已经普遍变得无处不在,不仅部署在商业、零售和教育机构中,而且在家用情况中也非常显著。据说Wi-Fi主要用于家庭网络,特别是自从家用用户普遍使用高速宽带接入已来。家庭台式计算机、膝上型计算机和平板计算机、智能手机、互联网连接电视、机顶盒、PVR和其它媒体设备(例如媒体服务器和音乐流媒体)中的无线LAN提供将这些设备连接到互联网的最简单且最灵活的方法。
物联网IoT(在IoT中,几乎任何东西都可能连接到互联网—从汽车和其它交通工具到垃圾箱、冰箱、洗衣机、洗碗机、烤箱和咖啡机)的出现为要在家庭中越来越多地部署的无线LAN提供了甚至更大的激励。
当然,无线LAN的大部分吸引力在于,在足够好的信号的情况下,可以在家庭中的任何地方访问WLAN,并且甚至可以在花园内及更远的地方访问,所有这些都无需安装线缆来获得连接。但这种特性也意味着,除非采用安全措施,否则路人和犯罪分子可以窃听WLAN业务或免费使用互联网连接。因此,通常在授予访问权限之前将家用无线LAN至少保护到需要密码的最低级别。
通常,现今,一旦将密码输入到设备中以获得对无线LAN的访问权,该设备就“记住”密码,使得随后尝试访问无线LAN不需要重新输入密码。这是有益的,但它确实意味着很容易忘记Wi-Fi密码—因为人们很少需要提供Wi-Fi密码。
当然,当涉及到“安装”需要Wi-Fi访问的新设备时,这会产生问题—针对每个新设备,人们需要记住或找回无线LAN的密码。当然,与所有密码一样,鼓励用户设置长且复杂的Wi-Fi密码,该Wi-Fi密码具有小写字母和大写字母、数字和“特殊字符”(*&$£@?!等)的混合,这不仅需要准确记住密码是什么(“它是Wrexit16!还是Wrecksit16£?),而且也使得更有可能失误地键入密码至少一次,那么便存在是否是失误键入或是否输入了错误密码这种不确定性。
这些问题刺激了Wi-Fi联盟发展Wi-Fi保护设置(WPS),其允许人们加入安全的Wi-Fi网络而无需选择网络名称(SSID)并且无需输入密码—人们只需要按下WPS-启用接入点/路由器/网关上的一个按钮,并且按下要加入的新设备上的另一按钮(真实的或虚拟的),这两个按钮相继在两分钟之内按下。这是很好的福音,但它不是完备的解决方案—因为有时按钮中的一个或另一个是遥不可及的,通常是因为接入点/路由器/网关在锁着的门的后面或者因为想要将新设备加入到LAN的人不具备到达相关按钮处所需的移动能力。即使在可以到达两个按钮处时,必须按下两个按钮的两分钟窗口也可能是难以逾越的障碍—特别是当要配对的新设备和接入点/路由器/网关不能放在一起时(例如,当新设备太大而不能携带,或者新设备必须在使用前安装并且与接入点/路由器/网关位于不同房间或不同楼层时)。例如,接入点/路由器/网关通常安装在起居室或办公室中,但现在安装在其它房间的家用电器(“白色家电”)(例如冰箱、洗衣机、炊具)都能够使用Wi-Fi并且需要连接到无线LAN。用户可能无法在两分钟内从接入点/路由器/网关移动到电器,特别是如果用户是老年人或体弱者。既然无线LAN的范围通常足以扩展到花园或车库,花园和植物护理系统(例如自动供水系统或温室监测设备)与家用无线LAN的连接变得普遍,但在这种情况下,人们不太可能使用WPS按钮。
家用电器制造商西门子提供了可以使用Wi-Fi的家用电器,例如冰箱(具有内置摄像头,使得住户例如在外出购物时可以使用智能手机检查冰箱的内容)、炊具和洗衣机。这些电器可以使用WPS。但是,在无法有效使用WPS的情况下,可以代替使用手动连接选项。在此选项中,按下电器上的各个按钮以打开电器中的无线接入点来创建“Homeconnect”Wi-Fi网络后,用户将其智能手机连接到“Homeconnect”网络、打开智能手机上的应用、选择家用无线LAN的名称并且然后键入该家用网络的密码。这会将网络名称和密码传送到电器。通过再按几下电器上的按钮,该电器连接到家用无线LAN—但当然这种方案再次要求用户记住并成功键入网络密码。
因此,需要一种替代方式来实现新设备与无线LAN(例如家用Wi-Fi网络)之间的配对,优选地是一种将适用于当新设备不能靠近接入点/路由器/网关时使用的方式—例如因为该新设备需要安装在另一个房间,或者该新设备体积庞大而不能轻易移动,和/或该设备可能被行动不便的人(例如老人或体弱者)使用。
此外,正如Apple公司通过其产品展示的,在开箱即用的设备中具有极大的吸引力:这里提出的“零触摸配对”将同样对所有用户都非常有吸引力。
发明内容
因此,在第一方面,本发明的实施方式提供了一种使用第一组安全凭证来将设备与由配对接入点提供的第一安全WLAN进行无线自动配对的方法,该方法包括以下步骤:
i)在所述设备与由可用接入点提供的第二WLAN之间自动地建立连接,并使用存储在所述设备上的第一组安全凭证来对所述设备和所述第二WLAN进行认证;
ii)使用所述第一组安全凭证来识别所述配对接入点;
iii)通过所述第二WLAN,在所述设备与所述配对接入点之间创建通道;
iv)经由所述通道,从所述设备向所述配对接入点上的监管服务器提出请求,以将第二组安全凭证从所述配对接入点传送到所述设备,该第二组安全凭证是与所述第一安全WLAN进行配对所需的安全凭证;以及
v)使用所述第二组安全凭证来对所述设备中的针对所述第一安全WLAN的安全设置进行配置。
可选地,在所述设备与所述配对接入点之间创建通道的步骤包括以下步骤:基于所述第一组安全凭证确定所述配对接入点的IP地址。
可选地,步骤iv)中的所述请求寻址到基于网络的监管服务器,并且所述方法还包括以下步骤:在步骤iii)之后修改网络路由功能中的路由指令,使得步骤iv)中的所述请求沿所述通道转发到所述配对接入点。
可选地,所述方法还包括以下步骤:使用经配置的设置来将所述设备与由所述配对接入点提供的所述第一安全WLAN进行配对。
可选地,所述方法还包括以下步骤:使用经配置的设置来尝试与所述第一安全WLAN进行连接,以将所述设备与由所述配对接入点提供的所述第一安全WLAN进行配对,并且在连接尝试失败的情况下,从所述设备移除经配置的凭证。
可选地,所述配对接入点和可用接入点连接到核心网络,并且创建所述通道的步骤包括:在所述核心网络与所述配对接入点之间创建通道;以及建立路由功能,使得能够使用通道在所述可用接入点上的设备与所述配对接入点上的监管服务器之间传递业务。
以这种方式,购买合适设备的用户可以借助于通过由用户自己的配对接入点提供的另一无线LAN(例如公共WLAN)的连接来自动地将该设备与也由用户自己的“配对”接入点提供的他或她的安全家庭WLAN进行配对。
附图说明
现在将参照附图仅以示例的方式描述本发明的优选实施方式,在附图中,
图1是房屋的局部平面图,其示出了连接到私有家用无线LAN的设备的布置结构;
图2是与无线LAN一起使用的设备的示意图;
图3是示出了根据本发明第一实施方式的自动配对方法中涉及的实体的示意图;
图4是示出了根据本发明第二实施方式的自动配对方法中涉及的实体的示意图;
图5是表示根据本发明第二实施方式的方法的操作的流程图;
图6是示出了在各种实体之间交换的消息序列的消息传递图,该消息序列一起提供了根据本发明第二实施方式的自动配对方法;
图7是图6的消息传递图的另选消息传递图,其示出了在其它条件下在各种实体之间交换的消息序列;
图8是示出了图1例示的家庭接入点路由器的功能部件的示意图;以及
图9是示出了作为核心网络一部分的家庭代理路由器(home agent router)的功能部件的示意图。
具体实施方式
图1是房屋的局部平面图,其示出了连接到私有家用无线LAN的设备的布置结构。在“起居室”10中,由DSL路由器15提供宽带网络接入,有线以太网连接从路由器15提供至服务于整个房屋的安全无线LAN的接入点25。在同一个房间里的是壁挂式“智能”电视30,其经由无线LAN连接到DSL路由器并因此连接到互联网。机顶盒35、PVR 40和计算机游戏控制台45各自具有到电视的有线HDMI连接以及无线地连接到无线LAN。在该房间中还提供了房间恒温器80,其经由无线LAN连接到壁挂在厨房200中的中央供热锅炉90。
在厨房中,智能电器(IoT设备)经由无线LAN连接到互联网。这些电器包括冰箱70、烤箱75、微波炉80和洗碗机85。咖啡机95也连接到无线LAN并因此连接到互联网。在洗衣室/杂物间60中,洗衣机100和滚筒烘衣机105也是经由无线LAN连接到互联网的智能电器。
在办公室90中,台式计算机115、打印机120和媒体服务器125连接到无线LAN并因此连接到互联网。
在楼上(未示出),每间卧室都有连接到无线LAN以接收通过互联网流式传输的视频内容的壁挂式智能TV和PVR,以及用于接收由媒体服务器分送的音乐的遥控扬声器。
视频安全摄像装置130、130'监控房屋的前入口和后入口,并经由无线LAN连接到互联网。同样未示出的是房屋的花园和温室中的自动化的、能够使用互联网的供水系统。
除了这些固定设备外,住户还拥有个人智能手机、平板计算机和健康追踪器,当它们进入无线LAN范围时会连接到该无线LAN。所有这些设备及其替代品在某一阶段都需要设置有访问安全无线LAN所需的登录凭证(例如,SSID和密码)。
尽管图1所示的设备中的所有设备都具有不同的功能、能力和用途,但它们共有与利用无线LAN的用途相关的多个共同特征。图2表示通用的能够使用无线LAN的设备(例如,能够使用Wi-Fi的设备200)。该设备包括通过总线240联接到存储器220和通信接口230的处理器210。此外,通用设备可以包括用于向用户输出消息、条件和查询的视觉显示器250以及输入/输出接口260。如果存在,输入接口和显示器可以组合为启用并接受输入以及提供视觉输出的触摸屏。一些简单的设备(例如,健康跟踪器)可能既没有输入/输出接口也没有显示器。通信接口包括具有RF电路的无线接口,其适用于向无线LAN发送以及从无线LAN接收。这可以采用收发器的形式。根据将与设备一起使用的无线LAN的性质,无线接口和RF电路能够在多个频带上进行通信以及使用各种调制技术。
每当要将新设备引入房屋并与安全无线LAN配对时,必须向新设备提供网络标识(例如,SSID、密码或密钥),以便该设备可以与安全网络配对并访问该安全网络。如上所述,对于许多人—特别是老年人、体弱者或能力较低的人而言,并且在许多情况下甚至对于身体健全的人而言,向新设备提供相关凭证通常是困难且耗时的。
本发明的实施方式提供了如下方法:在用户除了启动新设备之外便很少或没有参与的情况下,允许相关凭证自动传送到新设备。实质上,本发明的实施方式使用第一安全无线LAN,该新设备可以使用存储在新设备上的安全凭证来与该第一安全无线LAN进行配对,以提供安全信道,通过该安全信道可以传递加入安全家庭网络所需的安全凭证,然后,新提供的安全凭证用于将该设备与该安全家庭网络进行配对。
现在将参照图3描述第一实施方式。图3示出了要与用户Y的家庭无线LAN 302进行配对的新设备301。用户Y的家庭LAN 302由无线接入点303提供,该无线接入点303经由以太网线缆连接到WAN调制解调器,在所示的示例中,该WAN调制解调器是VDSL调制解调器304。WAN调制解调器304连接到来自ISP的本地宽带接入网络的线缆,继而连接到ISP的核心路由305,并从该核心路由305连接到互联网306。
用户Y的家庭WLAN 302是无线接入点303提供的两个WLAN中的一个。家庭WLAN 302是由私有Wi-Fi接口307服务的私有Wi-Fi网络,但是接入点303还具有公共Wi-Fi接口308。针对这些Wi-Fi接口307和308中的每一个,提供了路由器功能345和350。在该示例中,公共Wi-Fi接口308支持BT-WiFi-with-FON服务,该服务是具有登录名和密码的成员可以访问的开放Wi-Fi网络。实际上,用户Y的无线接入点303提供可由具有合适的登录和密码的其他人访问的公共Wi-Fi热点。用户Y的私有家庭Wi-Fi网络的SSID是“CACTU$17$”,而FON网络的SSID是“BT-WiFi-with-FON”。
在相邻房屋中,用户Y的邻居也具有无线接入点310,该无线接入点通过私有Wi-Fi接口312提供具有私有SSID—“Orchid!”的私有Wi-Fi网络311,并且通过公共Wi-Fi接口313提供公共Wi-Fi网络。在这种情况下,邻居的无线接入点310所支持的公共Wi-Fi网络也是BT-WiFi-with-FON,其中SSID为“BT-WiFi-with-FON”。同样,针对接口312和313中的每一个,提供了路由功能355和360。在该示例中,邻居的无线接入点310是由包括直接连接到本地宽带接入网络的WAN调制解调器314的住宅网关设备提供的。
通过接口308和313提供的公共Wi-Fi经由路由功能350和360以及调制解调器304和314连接到公共Wi-Fi核心网络375,借助于该公共Wi-Fi核心网络可以提供对互联网306的访问。相反,私有WLAN 302和311分别经由它们各自的路由功能345和355以及调制解调器304和314连接到由它们各自的互联网服务提供商(ISP)提供的核心路由305。
新设备301由用户Y从其ISP(或从ISP的附属机构或代理商)在线订购。作为订购过程的一部分,用户Y使用她的电子邮件地址或客户编号向ISP证明自己。ISP记录了所提供的详细信息并且这些信息与订单号相关联地存储在数据库中。新设备301具有预先安装的唯一的BT-WiFi-with-FON凭证配置(唯一的登录名和密码对,理想情况下至少具有唯一的用户名),该凭证配置对于BT-WiFi-with-FON公共SSID有效。这些凭证(或验证这些凭证所需的数据)也被提供给ISP的Wi-Fi AAA数据库。ISP维护数据库“数据库1”320,该“数据库1”将唯一的BT-WiFi-with-FON凭证映射到设备的序列号。运送新设备301的仓库记录针对客户标识的设备标识(例如以设备序列号的形式),并且该配对被提供给ISP。然后,ISP将设备标识与客户标识之间的关联存储在数据库“数据库2”中。ISP已经有第三数据库“数据库3”,该数据库保存客户标识与接入点标识(例如以接入点的IP地址的形式)之间的映射。因此,在这种情况下,用户Y的ISP可以使用用户Y的标识(例如,以客户编号或注册的电子邮件地址的形式)从数据库3确定用户Y的AP的IP地址。
设备301具有预先安装的配对启动客户端软件321,当设备301连接Wi-Fi时,该配对启动客户端软件进行注册,以用于通知。
当用户Y收到新设备301时,她将该新设备插入电源(例如,市电)或以其它方式启动。设备Wi-Fi启动、搜索网络(针对该网络,设备Wi-Fi具有有效配置)(即,设备Wi-Fi查找BT-WiFi-with-FON SSID)并选择用于尝试关联的网络。配对启动客户端321监听连接通知并等待,直到它接收到设备已连接到BT-WiFi-with-FON SSID的通知:它不必是客户Y的接入点303提供的通知。在该图中,除了充当各自的个人无线网络的接入点之外,客户的接入点303和邻居的接入点310都有效地充当BT-WiFi-with-FON的“热点”。实际上,在任何住宅区,甚至在农村地区,一个住户中的设备将很可能“看到”许多不同的无线网络,一些网络是私有的并且一些网络是公共的。为了便于描述和说明,在本说明书中,实施方式被描述和示出为存在于具有两个接入点的环境中,每个接入点提供两个无线LAN—使得设备301在寻求与私有家庭网络配对时“看到”四个WLAN。
BT-WiFi-with-FON接入点是“开放的”,即,设备可以与这样的接入点相关联并且可以被发予IP地址而不需要任何凭证。“强制网络门户”(“captive portal”)用于确保只有经过认证的用户才能访问互联网。在强制网络门户中,来自用户设备的所有http请求都会在BT Wi-Fi核心中被阻止,直到用户登录为止。用户的被阻止的请求代替地被重定向到BTWi-Fi登录网页,用户可以在该网页中输入用户名和密码。成功认证后,用户的Web业务转发(无需进一步阻止或重定向)到互联网。
一旦接入点303向设备301提供了IP地址,设备301上的配对启动客户端321就发出HTTPS请求(包括存储的登录凭证),该请求被定向到强制网络门户,请求从该强制网络门户传递到ISP的AAA服务器322。
ISP的AAA服务器322针对保存在数据库1中的数据验证登录凭证—该验证确定设备301是否是ISP“已知”的设备。
AAA服务器322使用来自设备301的请求的IP地址来查询如下数据库:该数据库记录由ISP的客户的接入点发予的IP地址或IP地址范围。
如果ISP已知设备301,则查询数据库1揭示设备ID,该设备ID继而可以用于向数据库2 330进行查询,以揭示设备301的用户标识。然后可以使用数据库3来揭示与新设备301的“已注册的”用户相关联的接入点标识。因此在这里,用户Y的新设备301导致用户Y的接入点303的标识被揭示,通常以IP地址的形式。
如果这些映射揭示了与根据来自设备的请求的IP地址确定的接入点标识相匹配的接入点标识,则意味着设备301正在使用用户Y的接入点303,而不是某个其它接入点(例如,邻居的接入点310)。也就是说,用户Y已经连接到她自己的接入点的公共侧而不是邻居的接入点的公共侧。在这种情况下,AAA服务器322向接入点303发送响应,指示AP ID是匹配的并且允许访问在接入点303中的本地监管服务器325。此外,更新接入点的路由表,以允许访问本地监管服务器325。本地监管服务器325是托管在用户Y的接入点上的软件应用,该软件应用可访问私有侧SSID和预共享密钥(PSK)。
监管服务器是将配置数据提供给设备的服务器。它们通常用于向设备提供凭证、订阅等。例如,BT Wi-Fi应用用于登录BT Wi-Fi的凭证不是客户键入应用中的用户名和密码。该用户名和密码用于将您标识为用户,但随后监管服务器会为正在使用的特定设备创建唯一的凭证集,然后将这些凭证发送到应用以供其使用。本地监管服务器是实际上可以访问凭证并且能够递送该凭证的本地监管服务器。远程监管服务器的独有功能是随时(tobe there)响应来自如下设备的请求:该设备没有合适的权限来提供任何凭证。远程监管服务器将始终提供“提供未经授权的”响应。它们看起来都在同一个地址上,并且它只是接入点中的路由转移(routing diversion),其确定请求是访问本地监管服务器还是远程监管服务器。可选地,可以以不同方式实现它,使得单个本地服务器被配置为知道特定设备是否被授权获得对凭证的访问并相应地进行响应。
在成功认证后,新设备301中的配对启动客户端软件应用321向监管服务器323发起HTTPS web请求。如果设备所连接的接入点确实是客户Y的接入点,则web请求由接入点的路由功能331重定向到本地监管服务器325。
配对客户端软件应用321和本地监管服务器325建立新的HTTPS会话。
然后,配对客户端软件应用321尝试在HTTPS会话中安全地获得用户Y的接入点303上的私有Wi-Fi接口307的SSID和PSK。新设备上的配对客户端使用新提供的SSID和PSK,并优先考虑私有SSID或禁用公共配置,并强制Wi-Fi重新连接到私有SSID。
相反,如果AAA服务器322确定来自设备301的登录请求是来自与由针对用户Y的标识记录的接入点发予的IP地址不对应的IP地址(意味着新设备301已附接到了用户Y的接入点之外的接入点),则AAA服务器返回包括失败原因的“登录失败”消息,或者给出登录成功消息,但是不指示AP将来自监管服务器323的业务转移到本地监管服务器325。
现在将参照图4描述第二实施方式。图4示出了新设备401,在这种情况下是平板计算机,该平板计算机要与用户Y的家庭无线LAN 402进行配对。用户Y的家庭LAN 402由无线接入点403提供,该无线接入点403是住宅网关设备(例如,“BT家庭集线器”版本5或更高版本)的一部分,该住宅网关设备包括与来自ISP的本地宽带接入网络的线缆连接的WAN调制解调器404(例如,VDSL调制解调器),该WAN调制解调器继而连接到ISP的核心路由405,并且从该核心路由405连接到互联网406。
用户Y的家庭LAN 402是无线接入点403提供的两个LAN中的一个。家庭LAN402是由私有Wi-Fi接口407服务的私有Wi-Fi网络。这是安全网络,该安全网络使用例如WPA或RSN。用户Y的接入点403还具有公共Wi-Fi接口408。在该示例中,公共Wi-Fi接口408支持BT-WiFi-X服务,该服务是使用用于认证的802.1X的可扩展认证协议EAP的安全Wi-Fi网络。实际上,用户Y的无线接入点403提供可由具有合适的认证凭证的其他人访问的公共Wi-Fi热点。用户Y的私有家庭Wi-Fi网络的SSID是“CACTU$17$”,而公共网络的SSID是“BT-WiFi-X”。
在相邻房屋中,用户Y的邻居也具有无线接入点410,该无线接入点通过私有Wi-Fi接口412提供具有私有SSID—“Orchid!”的私有Wi-Fi网络411,并且通过公共Wi-Fi接口413提供公共Wi-Fi网络。在这种情况下,由邻居的无线接入点310支持的公共Wi-Fi网络也是SSID为“BT-WiFi-X”的BT-WiFi-X。在该示例中,邻居的无线接入点410也是由包括直接连接到本地宽带接入网络的WAN调制解调器414的住宅网关设备提供的。
与前一实施方式一样,新设备401由用户Y从其ISP在线订购。作为订购过程的一部分,用户Y使用她的电子邮件地址或客户编号向ISP证明自己。ISP记录了所提供的详细信息并且这些信息与订单号相关联地存储在数据库中。新设备401具有预先安装的唯一的BT-WiFi-X凭证配置,该凭证配置对于BTWiFi-X公共802.1X安全SSID有效。这些凭证(或验证这些凭证所需的数据)也被提供给ISP的Wi-Fi AAA数据库。ISP维护数据库“数据库1”420,该“数据库1”将唯一的BT-WiFi-X凭证映射到设备序列号。运送新设备401的仓库记录针对订单号的设备标识(例如以设备序列号的形式),并且该配对被提供给ISP。然后,ISP将设备标识与客户标识之间的关联存储在数据库“数据库2”432中。ISP已经有第三数据库“数据库3”423,该数据库保存客户标识与接入点标识(例如以接入点的IP地址的形式)之间的映射。因此,在这种情况下,用户Y的ISP可以使用用户Y的标识(例如,以客户编号或注册的电子邮件地址的形式)从数据库3确定用户Y的AP的IP地址。数据库1至数据库3都是ISP的后端系统480的一部分。
新设备401还具有预先安装的配对启动客户端421。
当用户Y收到新设备401时,她将该新设备插入电源(例如,市电)或以其它方式启动。设备Wi-Fi启动、搜索网络(针对该网络,设备Wi-Fi具有有效配置)(即,设备Wi-Fi查找BTWiFi-X SSID)并选择用于尝试关联的网络。设备401尝试与所选择的AP/SSID相关联,并且利用接入点(在图4所示的情况下,这可以是用户Y的接入点403或者邻居的接入点410,但是在现实世界中,在提供BTWiFi-X的范围内可能存在更多的接入点)发起802.1X EAPoL(LAN上的可扩展认证协议(Extensible Authentication Protocol over LAN))交换。
在802.1X的术语中,新设备401在此处充当请求方,并且接入点充当认证方。它们最初对EAP的使用进行谈判。此后,接入点向设备401发送EAP-请求/标识消息。设备利用包括设备标识的EAP-响应/标识消息进行回复。
用于进行EAPoL交换的接入点将封装在RADIUS访问-请求消息中的EAP请求转发到ISP的AAA服务器422,—如果BT(即Wi-Fi服务提供商)不是ISP,则经由BT Wi-Fi AAA服务器。换句话说,如果公共Wi-Fi服务仅由ISP托管—也就是说,ISP与Wi-Fi服务提供商有“漫游”交易,则该请求最初会转到Wi-Fi提供商的AAA服务器,该AAA服务器将凭证识别为来自漫游伙伴ISP并因此将它们转发到ISP的AAA服务器以在那里进行认证(通常通过VPN连接)。响应通过同一路径返回、通过Wi-Fi服务提供商(此处为BT)的AAA服务器进行代理。Radius请求包括对发送请求的接入点(这里是用户Y的接入点403或邻居的接入点410)的标识进行指定的属性。
当接入点403将EAP请求转发到AAA服务器422时,接入点的IP地址可用于传送接入点标识。另选地,可以使用“被呼叫站Id”AVP代码30—该AVP代码通常被编码为Wi-Fi接入点的MAC地址。在基于非控制器的Wi-Fi基础设施中,它可以是NAS IP地址(AVP代码4)。实际上,就当前目的而言,任何唯一的标识符都是可以的。
在接收到访问-请求消息后,AAA服务器422利用包括EAP-消息属性的访问-询问(Access-Challenge)消息进行响应。充当认证方的接入点接收访问-询问消息并在将其传递给请求方设备401之前将其解封装成EAP-请求/认证消息。请求方设备利用EAO-响应/认证消息进行响应,接入点对该EAO-响应/认证消息进行封装并发送到AAA服务器作为包含EAP-消息属性的访问-请求。ISP AAA服务器422针对保存在数据库1中的数据验证设备凭证—该验证确定请求方设备401是否是ISP“已知”的设备。设备凭证可以是任何全局唯一标识符(例如设备序列号),或者可以是如在EAP-TTLS中使用的用户名和密码,或者可以是数字证书(如在EAP-TLS中所使用的)。
如果AAA服务器已知请求方设备并且认证成功,则由服务器将访问-接受消息发送到接入点。接入点解封装该消息并将EAP-成功消息转发给请求方设备。
如果ISP知道请求方设备,则查询数据库1揭示设备ID,该设备ID继而可以用于向数据库2进行查询,以揭示请求方设备的用户标识。然后可以使用数据库3来揭示与请求方设备的“已注册的”用户相关联的接入点标识。因此在这里,用户Y的新设备401导致用户Y的接入点403的标识被揭示,通常以IP地址的形式。如果这些映射揭示了与RADIUS请求中所包括的接入点标识相匹配的接入点标识,则意味着请求方设备401正在使用用户Y的接入点403,而不是某个其它接入点(例如,邻居的接入点410)。也就是说,用户Y已经连接到她自己的接入点的公共侧而不是邻居的接入点的公共侧。在这种情况下,AAA服务器422将供应商特定要素添加至RADIUS响应,指示AP ID是匹配的并且允许访问在接入点403中的本地监管服务器425。此外,更新接入点的路由表431,以允许访问本地监管服务器425。本地监管服务器425是托管在用户Y的接入点上的软件应用,该软件应用可访问私有侧SSID和预共享密钥(PSK)。
如果接入点ID不匹配,则意味着请求方设备已附接到与用户相关联的接入点之外的接入点。在这种情况下,AAA服务器可以在供应商特定属性对中添加注释,意思是访问点ID不匹配以及不允许访问“本地监管服务”。处理这种情况的另一种方法由下面详述的第三实施方式提供。
另选地,如果接入点ID确实匹配,则AAA服务器可以仅发送EAP-SUCCESS消息,然后发送更改授权COA,以结束会话或启用对本地监管服务器的访问。
本地监管服务器425是托管在用户Y的接入点上的软件应用,该软件应用可以访问私有侧SSID和预共享密钥(PSK)。
在成功认证后,新设备401中的配对启动客户端软件应用421向监管服务器430发起web请求。如果设备所连接的接入点确实是用户Y的接入点,则web请求由接入点的路由功能431重定向到本地监管服务器425。本地监管服务器425通过提供用户Y的接入点403上的私有Wi-Fi接口407的SSID和PSK来进行响应。新设备上的配对客户端使用新提供的SSID和PSK,并优先考虑私有SSID或禁用公共802.1X配置,并强制Wi-Fi重新连接到私有SSID。
如果接入点不是客户Y的接入点,并且如果新设备401尚未被备选COA机制断开,则该请求直接传递到基于网络的监管服务器430,该监管服务器430通过指示新设备401连接到错误的接入点来进行响应。优选地,在该实施方式中,基于网络的监管服务器430还提供正确接入点的公共侧的BSSID。对于这种不成功的情况,其中新设备连接到用户Y以外的某人的接入点的公共侧,“配对客户端”断开Wi-Fi与当前接入点的连接—并且如果客户自己的AP由基于网络的监管服务器提供,则尝试优先考虑客户自己的AP的公共侧的BSSID,然后针对每个匹配的AP重复上述过程的相关步骤,直到它成功或尝试了所有现有的匹配AP(其中,SSID=BTWifi-X)。
还通过图5的流程图和伴随的时序图(图6针对成功的情况并且图7针对不成功的情况)例示了根据第二实施方式的方法。该方法在步骤500中随着启动设备401而开始。在步骤505中,设备401连接到公共Wi-Fi并且设备中的802.1X请求方尝试使用预先提供的设备-特定凭证进行认证。在步骤510处,接入点403中的认证器功能将接入点的ID添加到作为RADIUS请求转发到认证(AAA)服务器422的认证请求中。
在步骤515处,AAA服务器422验证客户端设备401的凭证。如果不能令人满意地验证525凭证,则接入点403和设备401恢复到备选配对机制并且该过程终止。
如果可以验证凭证,则在步骤545处,AAA服务器使用第一数据库至第三数据库420、422、423将这些凭证映射到设备序列号,从而映射到客户ID以及接入点ID/IP地址。然后,在步骤560处,进行检查以确定刚从数据库检索到的接入点ID是否与在RADIUS请求中接收到的接入点ID相匹配,如果它们确实相匹配,则在步骤570处,AAA服务器422向RADIUS“成功”响应添加供应商的特定要素,以向接入点指示允许访问本地监管服务器425。
在步骤575处,接入点接收使得能够访问本地监管客户端的AAA“成功”响应。接入点还将成功消息转发给设备401。
在步骤580处,在接收到成功消息之后,设备401中的配对客户端421从监管服务器422请求用于私有Wi-Fi的凭证。在步骤585处,接入点接收对凭证的请求并将该请求转发给本地监管服务器425。在步骤590处,本地监管服务器将凭证提供给客户端。在步骤595处,设备401中的配对客户端接收凭证、断开与公共Wi-Fi的连接并使用所提供的凭证重新连接到私有Wi-Fi接口。
在步骤545中从数据库检索到的接入点ID与在RADIUS请求中接收到的接入点ID不匹配600的情况下,意味着该设备已连接到由除了该用户的接入点401之外的接入点提供的公共Wi-Fi,不允许访问本地监管服务器425。这在图7中以及从605到635的步骤序列中示出。
在步骤605处,AAA服务器将供应商特定要素添加到RADIUS响应,以指示不允许对本地监管服务器进行访问。该失败响应由接入点403接收,并且针对设备401禁用对本地监管服务的访问。设备401中的配对客户端421从监管服务器430请求私有侧凭证。接入点从设备接收该请求并将该请求传递给网络中的监管服务器430。监管服务器在625处向客户端发送失败响应,而没有针对私有侧的任何凭证。在630处,接入点和设备恢复到备选配对机制。
应注意,邻居的接入点不需要具有任何特殊功能(例如本地监管服务器),但如果它确实具有本地监管服务器,则基于AAA响应的内容,将不会发生重定向并且仍将阻止对本地服务器的访问。
第三实施方式
为了解释第三实施方式的运作,有必要更详细地了解接入点以及一些网络实体和功能。
图8示意性地示出了第二实施方式中的家庭接入点路由器403的功能部件。为了与一系列其它网络实体进行通信,家庭接入点路由器403包含无线局域网(WLAN)接口651、局域网(LAN)接口653和广域网(WAN)接口655。在本实施方式中,WLAN接口651根据802.11n无线协议操作,LAN接口653根据以太网协议操作,并且WAN接口655根据数字用户线(DSL,例如VDSL)协议操作。
家庭接入点路由器403操作WLAN接口651和LAN接口653,以与本地设备(诸如421)进行通信,并且WAN接口655使得能够经由ISP接入网络与互联网406进行通信。家庭接入点路由器403还包含DHCP服务器或代理单元657、802.1X认证器659、防火墙或网络地址转换(NAT)模块661、移动接入网关615、接入点家庭通道管理器(Access Point Home Tunnelmanager)663以及路由表665,该路由表665由接入点路由功能490使用,以供网络接口651、653、655使用来指示家庭接入点路由器403的本地接口与面向外部的接口之间的数据包流向其预期目的地。
按照惯例,防火墙661负责监测通过WAN接口655传送的数据包的内容,并拒绝不应被允许进入WLAN/LAN的数据包。NAT模块661还负责将从WLAN/LAN接口651、653接收到的数据包的源地址改变到WAN接口655,并且将从WAN接口655接收到的数据包的目的地地址改变到WLAN/LAN接口651、653,使得LAN侧上的设备(诸如421)的本地地址不暴露给网络的其它部分(例如,ISP接入网络或互联网406)。
DHCP服务器657用于分配本地IP地址,而802.1X认证器659用于对连接在WLAN接口655上的任何设备进行认证。移动接入网关615实现PMIP系统的一部分。它调整家庭代理路由器17的路由表665中的路由表条目,该路由表条目控制家庭接入点路由器403如何处理数据业务。
接入点家庭通道管理器663负责创建到位于家庭代理路由器17中的网络家庭通道管理器583的数据通道并对该数据通道进行管理,例如通过将来自两个不同移动节点的业务组合成单个通道而不是创建到同一目的地的两个单独的通道。接入点家庭通道管理器663的功能还包括在不再需要通道时销毁通道。稍后将更详细地描述接入点家庭通道管理器663的操作。
为了使解释较简单,可以认为ISP核心和公共Wi-Fi核心基本上是同一个。另选地,一旦发生登录,则来自ISP客户的所有业务都会被通道传输到ISP核心(并且因此客户已被识别为属于该ISP)。
图9示出了位于图4所示的ISP核心路由405中的家庭代理路由器17的功能部件的示意图。家庭代理路由器17包含WAN接口581,在这种情况下,该WAN接口按DSL协议(例如,VDSL)操作,以与本地接入网络(例如,家庭接入点路由器403和410)上的设备以及位于互联网406(例如,互联网通信节点)上的其它设备进行通信。家庭代理路由器17还包括:本地移动锚点523,其用于管理连接在接入网络上的各种移动设备;以及网络家庭通道管理器583,其用于与家庭接入点路由器403的接入点家庭通道管理器663进行通信。路由表585存储将接收到的数据包重定向到预期接收方(诸如移动节点和通信节点)所需的路由信息。
将以一系列步骤描述该实施方式的操作。
步骤1
在认证(例如如上所述使用核心网络中的AAA服务器)之后,设备401使用某种类型的BT Wi-Fi连接到接入点(例如403或410)的公共Wi-Fi侧(408或413)。一旦连接,所有的业务都使用“第一通道”通道传输到BT Wi-Fi核心405或475。BT Wi-Fi核心中的网络路由功能维护设备的IP地址与到接入点(家庭集线器)403或410的公共侧Wi-Fi的通道的通道标识符之间的映射。
步骤2
当客户已成功通过认证时,AAA服务器422向ISP核心405中的网络家庭通道管理器583发送包含客户ID和他/她的设备401的IP地址的指令,以建立针对该客户的家庭通道。网络家庭通道管理器583对将客户ID与他/她的接入点的ID(例如,他们的家庭集线器ID)403及其对应的IP地址相关联的数据库进行查找。然后,网络家庭通道管理器583启动创建从核心网络到其接入点(例如BT家庭集线器)403的新通道“第二通道”。
步骤3
然后,网络家庭通道管理器583向作为ISP核心路由405的一部分的网络路由功能发送指令,该指令包含客户设备的IP地址以及在步骤2中创建的第二通道的标识,以更新到设备401和来自设备401的业务的路由。
步骤4
网络路由功能调整其路由表585,以从BT Wi-Fi(例如,由其IP地址标识)经由第一通道获取从该客户的设备401到达的业务并设置如下规则:寻址到监管服务器430(例如,由其IP地址标识)的任何业务沿第二通道转发到接入点403(例如,它们的家庭集线器)。针对反向路径建立类似的规则,路由经由第二通道从接入点403接收的并且沿第一通道寻址到设备401的任何业务。
步骤5
在接入点403上,接入点家庭通道管理器663从网络家庭通道管理器583接收家庭通道发起请求并设置第二通道的端部。它还向接入点路由功能490发送指令(该指令包含通道标识符、设备IP地址和监管服务器地址),以更新接入点路由表665,该接入点路由表建立路由规则,以将寻址到监管服务器430的业务路由到接入点403上的本地监管服务器425。类似地,针对反向路径建立规则,将来自本地监管服务器425(和/或到设备401)的任何业务沿着第二通道路由到ISP核心。
这里可以有一系列变型,例如,只有当从第二通道接收到入站业务时才能建立反向路径,其中记录了通信方的地址并且所有到该通信方的出站业务都沿着通道路由。
步骤6
既然已经配置了通道和路由表,当设备401建立到监管服务器430的HTTPS会话时,业务被路由到用户自己的接入点403上的本地监管服务器425,即使该设备已经连接到邻居的接入点410上的公共Wi-Fi。这意味着设备401可以通过通道安全地找回访问用户的私有WLAN 402所需的凭证,而不需要设备与用户自己的接入点之间的直接本地通信。
虽然分别参考了“第一通道”和“第二通道”,但是技术人员将理解这两个通道可以被认为构成单个通道。
比较前面三个实施方式,应注意,当连接到Wi-Fi网络时存在许多不同的问题:
1/创建与接入点的连接,以允许第2层与AP进行通信;
2/获取IP地址;
3/使网络识别你自己,以使得该网络知道它应该将你的业务转发到互联网(而不是丢弃该业务);
4/确保通信安全。
利用802.1X(例如BTWifi-X),在认为在设备上建立了连接之前完成所有四个步骤。(在完成所有4个步骤之前,没有应用将可以访问连接)。(步骤3实际发生在步骤2之前。)
利用基于强制网络门户的公共Wi-Fi(例如,BTOpenzone、BT-Wifi-with-FON),在提供连接以供设备上的应用使用之前,仅完成步骤1和步骤2。然后有一段时间应用认为其已连接,但所有业务(登录尝试除外)都在核心中被丢弃。完成登录后(使用HTTPS),业务则可以流入和流出互联网。所有这些业务都将通过无线传输,因此如果应用想要保护该业务,则应用必须使用HTTPS之类的应用层安全性,或者另选地使用某种形式的VPN解决方案(例如,IPSec VPN)。在使用开放SSID的第一实施方式中,HTTPS用于保护与监管服务器的通信。
根据本发明实施方式的电子设备可以包括智能手机、平板计算机、移动电话、可视电话、电子书阅读器、台式计算机、Wi-Fi中继器、膝上型计算机、上网本计算机、服务器、个人数字助理、便携式多媒体播放器、MP3播放器、移动医疗设备、摄像装置或可穿戴设备。
根据本发明实施方式的电子设备还可以是家用电器(例如电视、媒体流设备、视频投影仪、DVD播放器、PVR、音频设备、冰箱、恒温器、加热控制器、加热器、中央供热锅炉、空调、烤箱、微波炉、洗衣机、咖啡机、体重秤、机顶盒、游戏控制台或电视盒(例如,Apple
或Google
))或安全设备(例如安全摄像装置或火警报警器)或诸如水表、电表或煤气表等公用设施仪表。根据本发明实施方式的电子设备还可以是健身设备或医疗设备(例如,诸如血糖监测设备、心跳测量设备、血压测量设备、体温测量设备等的便携式医疗测量设备)。任何上述设备都可以是物联网设备。
Claims (5)
1.一种使用第一组安全凭证将设备与由配对接入点提供的第一安全WLAN进行无线自动配对的方法,所述方法包括以下步骤:
i)在所述设备与由可用接入点提供的第二WLAN之间自动地建立连接,并使用存储在所述设备上的第一组安全凭证来对所述设备和所述第二WLAN进行认证;
ii)使用所述第一组安全凭证来识别所述配对接入点;
iii)通过所述第二WLAN,在所述设备与所述配对接入点之间创建通道,其中,基于所述第一组安全凭证确定所述配对接入点的IP地址;
iv)经由所述通道,从所述设备向所述配对接入点上的监管服务器提出请求,以将第二组安全凭证从所述配对接入点传送到所述设备,所述第二组安全凭证是与所述第一安全WLAN进行配对所需的安全凭证;以及
v)使用所述第二组安全凭证来对所述设备中的针对所述第一安全WLAN的安全设置进行配置。
2.根据权利要求1所述的方法,其中,步骤iv)中的所述请求被寻址到基于网络的监管服务器,并且所述方法还包括以下步骤:在步骤iii)之后修改网络路由功能中的路由指令,使得步骤iv)中的所述请求沿所述通道被转发到所述配对接入点。
3.根据权利要求1或2所述的方法,所述方法还包括以下步骤:使用经配置的设置来将所述设备与由所述配对接入点提供的所述第一安全WLAN进行配对。
4.根据权利要求1所述的方法,所述方法还包括以下步骤:使用经配置的设置来尝试与所述第一安全WLAN进行连接,以将所述设备与由所述配对接入点提供的所述第一安全WLAN进行配对,并且在连接尝试失败的情况下,从所述设备移除经配置的凭证。
5.根据权利要求1所述的方法,其中,所述配对接入点和可用接入点连接到核心网络,并且创建所述通道包括:在所述核心网络与所述配对接入点之间创建通道;以及建立路由功能,以使得能够使用所述通道在所述可用接入点上的所述设备与所述配对接入点上的所述监管服务器之间传递业务。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP16207617.8 | 2016-12-30 | ||
| EP16207617 | 2016-12-30 | ||
| PCT/EP2017/083914 WO2018122076A1 (en) | 2016-12-30 | 2017-12-20 | Automatic pairing of devices to wireless networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110268733A CN110268733A (zh) | 2019-09-20 |
| CN110268733B true CN110268733B (zh) | 2022-05-10 |
Family
ID=57681496
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780084912.3A Active CN110268733B (zh) | 2016-12-30 | 2017-12-20 | 将设备自动配对到无线网络 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11418959B2 (zh) |
| EP (1) | EP3563598B1 (zh) |
| CN (1) | CN110268733B (zh) |
| WO (1) | WO2018122076A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110268733B (zh) | 2016-12-30 | 2022-05-10 | 英国电讯有限公司 | 将设备自动配对到无线网络 |
| WO2018122074A1 (en) | 2016-12-30 | 2018-07-05 | British Telecommunications Public Limited Company | Automatic pairing of devices to wireless networks |
| WO2018122073A1 (en) | 2016-12-30 | 2018-07-05 | British Telecommunications Public Limited Company | Automatic device pairing |
| US12061687B1 (en) * | 2017-07-24 | 2024-08-13 | Amazon Technologies, Inc. | Migrating audio/video recording and communication devices to new networks |
| US10911411B2 (en) | 2018-10-22 | 2021-02-02 | Saudi Arabian Oil Company | Extending public WiFi hotspot to private enterprise network |
| US12015498B1 (en) | 2018-11-09 | 2024-06-18 | Amazon Technologies, Inc. | Electronic device configuration using dummy devices |
| CN112312519B (zh) * | 2019-07-31 | 2022-12-27 | 华为技术有限公司 | 一种设备识别的方法及相关装置 |
| US11202195B2 (en) * | 2020-03-13 | 2021-12-14 | At&T Intellectual Property I, L.P. | Systems and methods for configuring routers and for facilitating communication between routers |
| US20220078174A1 (en) * | 2020-09-04 | 2022-03-10 | Caci, Inc. - Federal | Systems And Methods for Providing Network Diversification and Secure Communications |
| CN117157960A (zh) * | 2021-04-20 | 2023-12-01 | 创峰科技 | 改善无线局域网上ims注册失败的方法和装置 |
| US11722898B2 (en) * | 2021-07-26 | 2023-08-08 | Hewlett Packard Enterprise Development Lp | Detection and defense system of a network credential sharing application |
Family Cites Families (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7277424B1 (en) | 1998-07-21 | 2007-10-02 | Dowling Eric M | Method and apparatus for co-socket telephony |
| US6691227B1 (en) | 2000-09-08 | 2004-02-10 | Reefedge, Inc. | Location-independent packet routing and secure access in a short-range wireless networking environment |
| US6968334B2 (en) | 2001-05-15 | 2005-11-22 | Nokia Corporation | Method and business process to maintain privacy in distributed recommendation systems |
| US20030078965A1 (en) | 2001-08-22 | 2003-04-24 | Cocotis Thomas A. | Output management system and method for enabling printing via wireless devices |
| US20030079030A1 (en) | 2001-08-22 | 2003-04-24 | Cocotis Thomas A. | Output management system and method for enabling access to private network resources |
| US8555344B1 (en) | 2003-06-05 | 2013-10-08 | Mcafee, Inc. | Methods and systems for fallback modes of operation within wireless computer networks |
| US8868698B2 (en) | 2004-06-05 | 2014-10-21 | Sonos, Inc. | Establishing a secure wireless network with minimum human intervention |
| BRPI0419244B1 (pt) | 2004-12-28 | 2018-04-24 | Telecom Italia S.P.A. | método e sistema de acesso remoto para capacitar um usuário a acessar remotamente um equipamento terminal |
| US7974249B2 (en) | 2006-03-01 | 2011-07-05 | Dell Products L.P. | Virtual access point for configuration of a LAN |
| US7788703B2 (en) | 2006-04-24 | 2010-08-31 | Ruckus Wireless, Inc. | Dynamic authentication in secured wireless networks |
| US9071583B2 (en) | 2006-04-24 | 2015-06-30 | Ruckus Wireless, Inc. | Provisioned configuration for automatic wireless connection |
| US8250207B2 (en) | 2009-01-28 | 2012-08-21 | Headwater Partners I, Llc | Network based ambient services |
| US8589541B2 (en) | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
| US8467359B2 (en) | 2010-05-13 | 2013-06-18 | Research In Motion Limited | Methods and apparatus to authenticate requests for network capabilities for connecting to an access network |
| US8823494B1 (en) | 2010-11-19 | 2014-09-02 | Logitech Europe S.A. | Systems and methods for wireless device connection and pairing |
| RS53465B (en) | 2011-02-23 | 2014-12-31 | Zerogroup Holding Oü | Control system and pairing method for a control system |
| GB2494920B8 (en) * | 2011-09-26 | 2014-02-19 | Validsoft Uk Ltd | Network connection method |
| FR2984674B1 (fr) | 2011-12-20 | 2014-01-10 | Bouygues Telecom Sa | Auto-configuration d'un equipement pour la connexion a un reseau sans fil securise |
| US8931067B2 (en) | 2012-01-31 | 2015-01-06 | Telefonaktiebolaget L M Ericsson (Publ) | Enabling seamless offloading between wireless local-area networks in fixed mobile convergence systems |
| US8938785B2 (en) | 2012-06-08 | 2015-01-20 | Time Warner Cable Enterprises Llc | Wireless session configuration persistence |
| US9161219B2 (en) | 2012-06-22 | 2015-10-13 | Guest Tek Interactive Entertainment Ltd. | Authorizing secured wireless access at hotspot having open wireless network and secure wireless network |
| CN102843682B (zh) | 2012-08-20 | 2015-03-18 | 中国联合网络通信集团有限公司 | 接入点认证方法、装置及系统 |
| GB2506170B (en) | 2012-09-24 | 2014-10-08 | British Telecomm | Wireless access point |
| US9661515B2 (en) | 2013-04-25 | 2017-05-23 | Plume Design, Inc. | Cloud-based management platform for heterogeneous wireless devices |
| US9510130B2 (en) * | 2013-05-28 | 2016-11-29 | Gainspan Corporation | Provisioning of multiple wireless devices by an access point |
| US9191771B2 (en) | 2013-05-31 | 2015-11-17 | Gainspan Corporation | Convenient use of push button mode of WPS (Wi-Fi protected setup) for provisioning wireless devices |
| US9451381B2 (en) | 2013-08-06 | 2016-09-20 | Time Warner Cable Enterprises Llc | Automated provisioning of managed services in a Wi-Fi capable client device |
| US9241044B2 (en) | 2013-08-28 | 2016-01-19 | Hola Networks, Ltd. | System and method for improving internet communication by using intermediate nodes |
| US9451464B2 (en) * | 2013-09-11 | 2016-09-20 | Tencent Technology (Shenzhen) Company Limited | Method, apparatus and system for network access |
| US9294920B2 (en) | 2013-09-21 | 2016-03-22 | Avaya Inc. | Captive portal systems, methods, and devices |
| US20150244586A1 (en) | 2014-02-24 | 2015-08-27 | Comcast Cable Communications, Llc | Network Provisioning And Deployment |
| JP2015162826A (ja) | 2014-02-27 | 2015-09-07 | 株式会社リコー | 通信システム及び通信装置 |
| US9326205B2 (en) | 2014-03-04 | 2016-04-26 | Google Technology Holdings LLC | Handover method based on seamless mobility conditions |
| WO2015132362A1 (en) | 2014-03-07 | 2015-09-11 | Thomson Licensing | Determination method and corresponding terminal, computer program product and storage medium |
| US10085147B2 (en) * | 2014-03-08 | 2018-09-25 | Exosite LLC | Configuring network access parameters |
| GB201410623D0 (en) | 2014-06-13 | 2014-07-30 | Hagan Chris | Wireless access point allocation and transfer |
| US10158995B2 (en) | 2014-06-25 | 2018-12-18 | Mitel Networks Corporation | Personal area network system and method |
| GB201411566D0 (en) | 2014-06-30 | 2014-08-13 | British Telecomm | Network access fault reporting |
| CN105828326B (zh) * | 2014-07-24 | 2021-01-01 | 中兴通讯股份有限公司 | 一种无线局域网的接入方法、无线访问节点 |
| KR102201527B1 (ko) | 2014-08-13 | 2021-01-12 | 삼성전자주식회사 | 근거리 통신을 이용한 장치간 연동 방법 및 이를 위한 장치 |
| CN104219734A (zh) | 2014-09-15 | 2014-12-17 | 北京益杉科技有限公司 | 物联网设备入网方法和设备 |
| US9078137B1 (en) | 2014-09-26 | 2015-07-07 | Fortinet, Inc. | Mobile hotspot managed by access controller |
| US10285058B2 (en) | 2015-01-09 | 2019-05-07 | Comcast Cable Communications, Llc | Providing secure Wi-Fi in an open Wi-Fi environment |
| US9680822B2 (en) | 2015-02-12 | 2017-06-13 | At&T Mobility Ii Llc | Point of sale pairing |
| EP3073774A1 (en) * | 2015-03-23 | 2016-09-28 | Thomson Licensing | Automatic configuration of a wireless residential access network |
| CN105376738B (zh) | 2015-09-30 | 2019-04-19 | 小米科技有限责任公司 | 无线网络接入方法、装置和系统 |
| EP3360386B1 (en) * | 2015-10-08 | 2024-03-06 | Telefonaktiebolaget LM Ericsson (PUBL) | Transparent per-bearer switching between wwan and wlan |
| CN105282158A (zh) | 2015-10-28 | 2016-01-27 | 小米科技有限责任公司 | 智能设备联网方法、路由设备、智能设备及系统 |
| US20180359764A1 (en) | 2016-02-18 | 2018-12-13 | Comcast Cable Communications, Llc | SSID Broadcast Management to Support Priority of Broadcast |
| CN105792208A (zh) * | 2016-02-29 | 2016-07-20 | 华为技术有限公司 | 一种控制设备接入的方法、相关设备及系统 |
| US20170359344A1 (en) | 2016-06-10 | 2017-12-14 | Microsoft Technology Licensing, Llc | Network-visitability detection control |
| WO2018122073A1 (en) | 2016-12-30 | 2018-07-05 | British Telecommunications Public Limited Company | Automatic device pairing |
| CN110268733B (zh) | 2016-12-30 | 2022-05-10 | 英国电讯有限公司 | 将设备自动配对到无线网络 |
| WO2018122074A1 (en) | 2016-12-30 | 2018-07-05 | British Telecommunications Public Limited Company | Automatic pairing of devices to wireless networks |
| KR102333144B1 (ko) | 2017-06-16 | 2021-11-30 | 삼성전자주식회사 | 통신 시스템에서 연결 제어 장치 및 방법 |
| US11647386B2 (en) | 2017-10-17 | 2023-05-09 | Comcast Cable Communications, Llc | Device based credentials |
| US10623996B2 (en) * | 2018-01-15 | 2020-04-14 | Huawei Technologies Co., Ltd | GTP tunnels for the support of anchorless backhaul |
| US11647548B2 (en) | 2018-02-07 | 2023-05-09 | Huawei Technologies Co., Ltd. | Network access method, device, and system |
| US10778547B2 (en) | 2018-04-26 | 2020-09-15 | At&T Intellectual Property I, L.P. | System for determining a predicted buffer condition based on flow metrics and classifier rules generated in response to the creation of training data sets |
-
2017
- 2017-12-20 CN CN201780084912.3A patent/CN110268733B/zh active Active
- 2017-12-20 US US16/475,293 patent/US11418959B2/en active Active
- 2017-12-20 EP EP17817757.2A patent/EP3563598B1/en active Active
- 2017-12-20 WO PCT/EP2017/083914 patent/WO2018122076A1/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| US20190335324A1 (en) | 2019-10-31 |
| EP3563598B1 (en) | 2021-11-03 |
| US11418959B2 (en) | 2022-08-16 |
| WO2018122076A1 (en) | 2018-07-05 |
| CN110268733A (zh) | 2019-09-20 |
| EP3563598A1 (en) | 2019-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110268733B (zh) | 将设备自动配对到无线网络 | |
| CN110226339B (zh) | 将设备自动配对到无线网络 | |
| US10952263B2 (en) | Automatic device pairing | |
| US11133985B2 (en) | Systems and methods for intuitive home networking | |
| US8549658B2 (en) | Provisioning credentials for embedded wireless devices | |
| US9954679B2 (en) | Using end-user federated login to detect a breach in a key exchange encrypted channel | |
| KR101770083B1 (ko) | 물리적인 iot 디바이스를 식별하는 방법 및 장치 | |
| US9154378B2 (en) | Architecture for virtualized home IP service delivery | |
| KR20150097254A (ko) | 무선 통신 시스템에서 인증 정보 송수신 방법 및 장치 | |
| WO2018196587A1 (zh) | 融合网络中的用户认证方法及装置 | |
| CN111492358B (zh) | 设备认证 | |
| KR20200010417A (ko) | 개선된 네트워크 통신 | |
| GB2569804A (en) | Device authentication | |
| KR20130100185A (ko) | 통신 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |