專利名稱:無線網(wǎng)絡(luò)憑證提供的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及網(wǎng)絡(luò)�����,并且更具體地涉及向無線請求者提供用于安全無線網(wǎng)絡(luò)接入的憑證。
背景技術(shù):
諸如防止不受歡迎的網(wǎng)絡(luò)闖入者或黑客這樣的安全問題在無線網(wǎng)絡(luò)中愈發(fā)顯著���。雖然有線網(wǎng)絡(luò)可以將其網(wǎng)絡(luò)連接點固定在關(guān)閉的辦公室中�����,但是在無線網(wǎng)絡(luò)中傳輸介質(zhì)對具有天線的任何人都是可用的��。為了防止未經(jīng)授權(quán)的網(wǎng)絡(luò)接入��,用于無線網(wǎng)絡(luò)接入控制的多種機制已被開發(fā)�。在該控制中���,網(wǎng)絡(luò)端口或節(jié)點充當(dāng)兩種角色之一認證者或請求者。請求者從認證者(通常為網(wǎng)絡(luò)的接入點(AP))請求網(wǎng)絡(luò)接入�。認證者根據(jù)某一協(xié)議來實施認證。例如����,802.11規(guī)范規(guī)定了兩種用于對無線LAN客戶進行認證的機制開放認證和共享密鑰認證。
開放認證有點用詞不當(dāng)��,因為它指的是這樣一種默認狀態(tài),其中無線網(wǎng)絡(luò)的接入點(AP)將準許其接收到的任何認證請求�����。開放認證期間所應(yīng)用的唯一“認證”在于無線請求者提供其MAC地址�����。另外���,請求認證的無線請求者必須具有網(wǎng)絡(luò)服務(wù)集標識符(SSID)�����。因為SSID容易被無線闖入者嗅探到�,所以開放認證為無線網(wǎng)絡(luò)提供了非常小的安全性��。
802.11規(guī)范所規(guī)定的另一種認證機制是共享密鑰接入�。在共享密鑰接入的情況下,無線請求者在AP準許網(wǎng)絡(luò)接入之前證明對共享秘密密鑰的知曉����。因為網(wǎng)絡(luò)管理員或用戶必須用秘密密鑰來配置請求者,所以共享密鑰接入的實現(xiàn)很麻煩。另外�����,由無線請求者到認證者/AP的秘密密鑰的傳輸可能被“中間人”和其他復(fù)雜黑客技術(shù)泄密����。
為了解決802.11規(guī)范中規(guī)定的認證機制中的這些弱點,更強大的認證框架被802.1x規(guī)范所定義����。通常,在這些認證技術(shù)中需要無線請求者建立經(jīng)授權(quán)的身份��。無線請求者在已經(jīng)建立其身份之后可隨后被提供以接入網(wǎng)絡(luò)所需的安全參數(shù)���。雖然這些更復(fù)雜的認證技術(shù)提供了更好的網(wǎng)絡(luò)安全性���,但是由認證者/憑證提供者進行的憑證提供往往難于管理。為了避免用戶和網(wǎng)絡(luò)管理員的該負擔(dān)�,一些無線網(wǎng)絡(luò)安全系統(tǒng)在憑證提供過程期間使用功率限制����,該功率限制要求無線請求者位于提供者的受限范圍之內(nèi)。但是這些功率限制方法對于諸如無線打印機這樣的相對重和不能移動的無線請求者而言不切實際���。
因此����,本領(lǐng)域存在對提供增強網(wǎng)絡(luò)安全性且易于管理的改進的無線網(wǎng)絡(luò)憑證提供過程的需要。
圖1圖示了根據(jù)本發(fā)明的一個實施例的包括被配置為從無線請求者接收憑證的接入點的無線網(wǎng)絡(luò)�����。
圖2是圖示了根據(jù)本發(fā)明的一個實施例的在認證者與無線請求者之間實現(xiàn)的憑證提供方法的流程圖����。
圖3是根據(jù)本發(fā)明的一個實施例的無線臺站的框圖。
本發(fā)明的實施例和其優(yōu)點通過參照以下具體實施方式
來最好地理解����。應(yīng)該意識到相似的標號被用來識別附圖中所示的相似的元件。
具體實施例方式
一種以簡單且高度安全的方式使向無線請求者自動提供憑證的憑證提供系統(tǒng)被描述�。該系統(tǒng)可針對如圖1所示的示例性無線網(wǎng)絡(luò)100來描述。網(wǎng)絡(luò)100是基礎(chǔ)設(shè)施網(wǎng)絡(luò)�����,其中節(jié)點110之間的通信是通過接入點(AP)120來協(xié)調(diào)的�����。可以在網(wǎng)絡(luò)100中實現(xiàn)諸如802.11協(xié)議這樣的任何合適的無線聯(lián)網(wǎng)協(xié)議�。在網(wǎng)絡(luò)100中,只有AP 120需要被配置用來實施這里所進一步描述的憑證提供方法��。然而�,將意識到本發(fā)明還可被實現(xiàn)在不包括AP的獨立網(wǎng)絡(luò)中。在獨立網(wǎng)絡(luò)中����,每個節(jié)點都可以被配置用來實施所公開的憑證提供方法。從AP 120請求憑證的無線請求者130將也被用來實施這里所述的憑證提供方法�����。
由AP 120提供給無線請求者130的憑證允許無線請求者使用在網(wǎng)絡(luò)100上強制實施的加密協(xié)議來與AP 120通信���。在已被提供必要憑證之后�����,AP 120隨后可以繼續(xù)到用AP 120來先認證自己��,以獲得完全網(wǎng)絡(luò)接入����。在網(wǎng)絡(luò)100上強制實施的合適加密協(xié)議的示例包括有線等價保密(WEP)��、WiFi受保護接入預(yù)共享密鑰(WPA-PSK)���,和WPA-Radius����。AP 120可支持多個這樣的加密方案����。不管AP 120上實施的一個或多個具體加密如何,其經(jīng)加密的操作在這里將被表示為“安全模式”�。通常,對于要以安全模式與AP 120通信的無線請求者130��,無線請求者將需要被提供以諸如安全密鑰��、密碼或X.509證書這樣的憑證�。然而,如先前所討論����,憑證的提供通常給用戶帶來負擔(dān)����。例如�,網(wǎng)絡(luò)管理員在無線請求者可被提供以用于網(wǎng)絡(luò)接入的憑證之前可能必須手動在無線請求者上輸入密碼。為了避免這種負擔(dān)�����,AP 120和無線請求者130可被配置用來實施下列憑證提供方法����。
為了易于使用,可通過在AP 120處簡單按下按鈕來啟動憑證提供�����。按下按鈕可能是硬件或軟件實現(xiàn)的����。在按下按鈕之后,AP 120離開其安全模式操作并進入開放接入模式����,使得其將響應(yīng)任何無線請求者的關(guān)聯(lián)請求。將意識到�����,在該開放接入模式期間,AP 120可繼續(xù)以安全模式與已經(jīng)獲得網(wǎng)絡(luò)接入的節(jié)點110進行操作���,如果AP 120支持多個SSID下的操作的話。因此�,即使無線請求者130在開放接入模式操作期間可與AP 120自由關(guān)聯(lián),無線請求者在其可獲得安全網(wǎng)絡(luò)接入之前仍必須被提供以網(wǎng)絡(luò)安全參數(shù)��。然而��,在開放接入模式操作期間�,AP 120將響應(yīng)任何請求者進行的無線關(guān)聯(lián)請求。例如�,如果網(wǎng)絡(luò)100是802.11網(wǎng)絡(luò),則無線請求者130在開放接入期間只需向AP 120提供已知SSID來變?yōu)橄嚓P(guān)聯(lián)的�����。
因為AP 120在開放接入期間將響應(yīng)任何關(guān)聯(lián)請求��,所以無線闖入者可以嘗試被提供以憑證�。為了防止未經(jīng)授權(quán)的憑證提供,AP 120在開放接入期間強制實現(xiàn)等待時段�����。當(dāng)接收到憑證提供請求時,AP 120開始等待時段并且可指示無線請求者130關(guān)于該等待時段的長度���。因為按鈕按下由于無線請求者130期望接入網(wǎng)絡(luò)100而被執(zhí)行的����,所以可認為無線請求者130在這次按鈕按下之后將關(guān)聯(lián)并請求憑證�����。如果在AP 120強制實現(xiàn)的等待時段期間接收到任何額外的憑證請求(其可被表示作為網(wǎng)絡(luò)接入請求)����,則確定存在闖入者,因為該闖入者不是發(fā)出啟動等待時段的初始接入請求就是在該等待時段期間中做出了后續(xù)憑證請求�����。不管闖入者何時做出憑證請求���,AP 120可隨后終止開放接入模式����,恢復(fù)安全模式操作,并向網(wǎng)絡(luò)管理員或用戶通知曾嘗試的對網(wǎng)絡(luò)憑證的未經(jīng)授權(quán)的訪問����。然而,如果在等待時段期間沒有接收到其他接入請求��,可安全地認為從無線請求者130接收到的接入請求是為了提供憑證的經(jīng)授權(quán)的請求�。以這種方式����,盡管使用了開放認證,但無線請求者130隱性地證明了其身份�。
雖然無線請求者130已經(jīng)隱性地證明了其身份,但是無線闖入者可以在等待時段到期之后介入并請求被提供以憑證�����。AP 120隨后可能被該請求欺騙并以無線闖入者獲得安全網(wǎng)絡(luò)接入所需的憑證作為響應(yīng)���。為了防止這樣的安全缺陷���,AP 120響應(yīng)于啟動等待時段的網(wǎng)絡(luò)接入請求而向無線請求者130提供唯一的密碼。在無線請求者130第一次請求被提供以憑證時(在其開放認證之后)����,AP 120向請求者提供密碼����,并指示請求者等待等待時段到期����。當(dāng)?shù)却龝r段到期時,無線請求者130除提供密碼以外����,還再次請求被提供以憑證。
注意到無線請求者130已經(jīng)首先隱性地認證了其身份�,因為它是在等待時段期間請求被提供以憑證的唯一請求者。它隨后通過提供其在啟動等待時段時從AP 120接收到的密碼來顯式地認證其身份����。無線請求者130以這種方式認證其身份,使得其可以在無需來自用戶或網(wǎng)絡(luò)管理員的介入的情況下被提供以網(wǎng)絡(luò)憑證����。然而,無線闖入者可以對提供給無線請求者130的密碼進行偷聽���,并隨后嘗試使用該密碼來獲得未經(jīng)授權(quán)的憑證提供����。
為了防止這種未經(jīng)授權(quán)的接入,向無線請求者130提供密碼和從無線請求者130提供密碼都應(yīng)該被加密����。任何合適的加密方案都可被用于該加密。從而如果避免使用共享秘密加密方案的話�,網(wǎng)絡(luò)安全性得到了增強。以這種方式�����,無線請求者130無需用共享秘密來配置����,從而減輕了用戶和網(wǎng)絡(luò)管理員的負擔(dān)���。
一種特別方便的加密方案是安全套接層(SSL)協(xié)議����。因為SSL使用TCP/IP協(xié)議���,所以無線請求者130將需要IP地址以及AP 120的IP地址�����,以建立用于憑證提供的SSL“隧道”���。鑒于實現(xiàn)了動態(tài)主機配置協(xié)議(DHCP)的AP的流行��,獲得IP地址的一種特別方便的方法是使用DHCP消息��。因此���,在與AP 120進行開放關(guān)聯(lián)之后,無線請求者130可通過廣播DHCP發(fā)現(xiàn)幀來啟動認證過程���。AP 120可以DHCP提供幀(offerframe)作為響應(yīng)�����,該DHCP提供幀將包含向無線請求者提供IP地址�����。無線請求者130可以DHCP請求幀作為響應(yīng)��,該DHCP請求幀對提供的IP地址進行選擇�。AP 120隨后以DHCP ACK幀作為響應(yīng),從而確認由無線請求者進行的IP地址的選擇�����。
無線請求者130可隨后對DHCP ACK消息進行處理���,以取回AP 120的IP地址��。在這時�����,無線請求者130和AP 120可以在初始的憑證提供請求時使用SSL來向無線請求者130提供密碼����。在等待時段到期之后���,無線請求者130和AP 120可結(jié)合另一個憑證提供請求再次使用SSL來將密碼提供回AP 120。AP 120可隨后使用SSL來向無線請求者130提供以必要的憑證���,使得無線請求者130獲得安全模式的網(wǎng)絡(luò)接入��。無線請求者130可隨后開始與AP 120進行安全模式通信并從而與其他節(jié)點110聯(lián)網(wǎng)����。
經(jīng)加密消息被這樣用來向無線請求者130和從無線請求者130提供用于無線請求者的身份的認證的密碼并且用來向無線請求者130提供憑證,使得無線請求者130可獲得網(wǎng)絡(luò)接入����。如剛才所述,SSL對使用這些消息而言是便于使用的加密技術(shù)��,但是也可以使用其他加密方案��。該加密與安全模式操作期間在網(wǎng)絡(luò)100上實施的加密截然不同�。如果AP 120在安全模式下支持多種加密協(xié)議,則AP 120可允許無線請求者130選擇用于其希望工作在其中的加密協(xié)議的合適憑證��。隨后按照這里所述的憑證提供技術(shù)的實施例來提供相應(yīng)的憑證���。
圖2圖示了示例性憑證提供方法的流程圖����。該方法以對位于無線請求者所期望接入的網(wǎng)絡(luò)中的認證者/憑證提供者的按鈕按下200開始��。如果網(wǎng)絡(luò)是基礎(chǔ)設(shè)施網(wǎng)絡(luò)100�,則提供者可能是AP 120��?����?商娲?,如果網(wǎng)絡(luò)是不包括AP 120的獨立網(wǎng)絡(luò)��,則憑證提供者將是網(wǎng)絡(luò)上的任意節(jié)點����。下列討論將不失一般性地假定憑證提供者是的AP。按鈕按下200可以是硬件或軟件實現(xiàn)的��,并且只是表明憑證提供過程應(yīng)該用無線請求者來啟動��。憑證提供者/AP此時將離開安全模式操作并允許開放接入���。在步驟201處�����,無線請求者在開放認證下與AP關(guān)聯(lián),并且請求被提供以用于安全網(wǎng)絡(luò)接入的憑證��。在步驟205處,當(dāng)從無線請求者接收到憑證提供請求時�,AP指示無線請求者等待整個等待時段并且還提供密碼。如果等待時段到期并且在AP處未接收到另外的憑證提供請求�,則方法繼續(xù)到步驟210。然而��,如果在等待時段未到期時接收到另外的憑證提供請求��,則可以認為存在無線闖入者���。因此�����,方法將在步驟215處中止����,并且AP將恢復(fù)安全模式操作���。另外�,可以向網(wǎng)絡(luò)管理員通知曾嘗試未經(jīng)授權(quán)的憑證提供�����。
在步驟210處,無線請求者再次將請求憑證提供的經(jīng)加密消息發(fā)送到AP���,并且還提供密碼�。將意識到無需提供密碼本身��,因為無線請求者僅需要證明知曉該對密碼���。在步驟220處�,在已經(jīng)這樣認證了其身份之后�����,隨后可以使用經(jīng)加密消息來向無線請求者提供憑證���。如先前所討論�����,除其他加密技術(shù)之外�,SSL協(xié)議可被用于步驟205和210��。如果使用SSL協(xié)議���,則無線請求者將需要IP地址以及AP的IP地址���。DHCP是用來向無線請求者提供這些地址的方便方法。在步驟225處���,在無線請求者已經(jīng)被提供以必要憑證之后��,其可在網(wǎng)絡(luò)上以安全模式操作操作進行認證�。將認識到�,該方法假設(shè)在步驟201中發(fā)出請求憑證提供的請求。如果在足夠長的等待時段之后憑證提供請求未曾被提供�����,則如步驟215所述����,AP將中止憑證提供過程并恢復(fù)安全模式操作。
現(xiàn)在參照圖3���,該示了用于實現(xiàn)這里所述的憑證提供技術(shù)的普通無線臺站300的框圖����。無線臺站300表示根據(jù)本發(fā)明實施例的AP 120或無線請求者130。無線臺站300包括天線301�����、具有基帶和RF電路的無線收發(fā)器302�、接口電路304、處理器306和存儲器308��。收發(fā)器302向處理器306中的協(xié)議堆棧310提供MAC幀并接受來自處理器306中的協(xié)議堆棧310的MAC幀�。存儲器308可包括諸如DRAM這樣的易失性存儲器和諸如SRAM這樣的非易失性存儲器。協(xié)議堆棧310包括包含802.11PHY層312和802.11MAC層314的網(wǎng)絡(luò)層�。處理器306被配置用來實施針對圖2所討論的憑證提供方法。
本領(lǐng)域的普通技術(shù)人員將意識到這里所述的憑證提供方法易于使用��。該方法不依賴于用來支持下述網(wǎng)絡(luò)上的安全模式操作的加密�,無線請求者將被提供以用于接入該網(wǎng)絡(luò)的憑證。實際上��,網(wǎng)絡(luò)可支持幾種類型的加密�,使得無線請求者可選擇對其安全模式操作最合適的形式。在這樣一個實施例中��,步驟220可包括AP將網(wǎng)絡(luò)上可用的加密方案傳輸給無線請求者����。AP可隨后可選擇其期望的方案�����,據(jù)此AP可隨后提供合適的經(jīng)加密的憑證����。例如����,憑證可包括x.509證書��、在WPA或者類似安全協(xié)議情形中的共享密碼���,或者諸如WEP密鑰這樣的安全參數(shù)�。
因為無線請求者在開放認證下進行關(guān)聯(lián)�,所以憑證提供被變得自動執(zhí)行。盡管使用了開放認證�����,但是本質(zhì)上無線請求者的身份是通過使用等待時段認證的��。該身份隨后通過提供密碼而被顯式地確認。在確定了經(jīng)授權(quán)的身份之后�,無線請求者隨后可以被提供以用于其以安全模式操作接入網(wǎng)絡(luò)所需的憑證。因為該提供使用經(jīng)加密消息來無線并且自動地發(fā)生��,所以安全憑證的提供不會增加網(wǎng)絡(luò)管理員的負擔(dān)�。
雖然已經(jīng)針對具體實施例來描述了本發(fā)明,但是該描述只是本發(fā)明的應(yīng)用的示例而不應(yīng)被看作是限制��。例如���,以更大的用戶卷入為代價���,可以使啟動憑證提供過程的按鈕按下變得更精巧。另外�,AP可以配備以圖形用戶界面或其他類型的接口,這些接口允許管理員顯式地確認或拒絕已經(jīng)通過這里所述的憑證提供方法的無線請求者���。因此�����,本發(fā)明的范圍在所附權(quán)利要求書中被闡明���。
權(quán)利要求
1.一種被配置為使用安全模式操作來與網(wǎng)絡(luò)節(jié)點進行通信的無線網(wǎng)絡(luò)接入點(AP)�,包括無線收發(fā)器���;以及處理器����,其被配置為使用所述無線收發(fā)器來向無線請求者提供憑證�,所述處理器被配置為通過離開所述安全模式操作來響應(yīng)表明所述無線請求者期望憑證提供的指示,所述處理器還被配置為通過使用第一經(jīng)加密消息向所述無線請求者提供密碼來對來自所述無線請求者的憑證提供請求作出響應(yīng)�,所述處理器還被配置為如果等待時段到期時所述處理器只接收到一個憑證提供請求則使用第二經(jīng)加密消息來向所述無線請求者提供至少一個憑證���。
2.根據(jù)權(quán)利要求1所述的無線網(wǎng)絡(luò)AP�,其中����,所述安全模式操作包括Wifi受保護接入(WPA)操作。���。
3.根據(jù)權(quán)利要求1所述的無線網(wǎng)絡(luò)AP�,其中����,所述安全模式操作包括有線等價保密(WEP)操作。
4.根據(jù)權(quán)利要求1所述的無線網(wǎng)絡(luò)AP,其中��,所述處理器還被配置為在接收到憑證提供請求時啟動所述等待時段����。
5.根據(jù)權(quán)利要求4所述的無線網(wǎng)絡(luò)AP,其中���,所述處理器還被配置為使用所述第一經(jīng)加密消息來向所述無線請求者傳達所述等待時段的啟動��。
6.根據(jù)權(quán)利要求4所述的無線網(wǎng)絡(luò)AP��,其中�����,所述處理器還被配置為在離開安全模式操作時允許開放認證���。
7.根據(jù)權(quán)利要求1所述的無線網(wǎng)絡(luò)AP,其中��,所述用于所述經(jīng)加密消息的加密是安全套接層(SSL)加密�。
8.根據(jù)權(quán)利要求7所述的無線網(wǎng)絡(luò)AP,其中���,所述AP是動態(tài)主機配置協(xié)議(DHCP)服務(wù)器�,所述處理器還被配置為使用DHCP來向所述無線請求者提供IP地址,以支持所述SSL加密����。
9.根據(jù)權(quán)利要求1所述的無線網(wǎng)絡(luò)AP,其中�����,所述處理器還被配置為通過恢復(fù)所述安全模式操作來對所述等待時段尚未到期時的第二憑證提供請求作出響應(yīng)����。
10.根據(jù)權(quán)利要求1所述的無線網(wǎng)絡(luò)AP,其中�,所述處理器還被配置為通過通知網(wǎng)絡(luò)管理員曾嘗試未經(jīng)授權(quán)的憑證提供來對所述等待時段尚未到期時的第二憑證提供請求作出響應(yīng)��。
11.一種無線請求者�,包括無線收發(fā)器;以及處理器��,其被配置為使用所述無線收發(fā)器來從網(wǎng)絡(luò)憑證提供者請求憑證�,所述處理器還被配置為通過使用開放認證與所述網(wǎng)絡(luò)憑證提供者相關(guān)聯(lián)來請求憑證提供,所述處理器還被配置為響應(yīng)于所述請求來接收經(jīng)加密的密碼���,所述處理器還被配置為使用還證明知曉所述密碼的經(jīng)加密消息來重新請求憑證提供��。
12.根據(jù)權(quán)利要求11所述的無線請求者���,其中��,所述處理器還被配置為從所述憑證提供者接收至少一個憑證���,所述至少一個憑證使得所述無線請求者能夠獲得安全網(wǎng)絡(luò)接入。
13.根據(jù)權(quán)利要求11所述的無線請求者��,其中���,所述加密是安全套接層(SSL)加密��。
14.根據(jù)權(quán)利要求12所述的無線請求者���,其中,所述處理器還被配置為通過向所述憑證提供者發(fā)出DHCP發(fā)現(xiàn)幀來對所述憑證提供者的開放認證作出響應(yīng)����,通過用DHCP請求幀響應(yīng)來自所述憑證提供者的DHCP提供幀來選擇其IP地址,并使用來自所述憑證提供者的DHCP ACK幀來確定所述憑證提供者的IP地址���。
15.根據(jù)權(quán)利要求12所述的無線請求者�,其中,所述至少一個憑證是Wifi受保護接入(WPA)的安全參數(shù)��。
16.一種被配置為使用安全模式操作來與網(wǎng)絡(luò)節(jié)點進行通信的無線網(wǎng)絡(luò)接入點(AP)���,包括無線收發(fā)器����;以及用于使用所述無線收發(fā)器來向無線請求者提供至少一個憑證的裝置�,所述裝置被配置為通過離開所述安全模式操作來對表明所述無線請求者期望憑證提供的指示作出響應(yīng),所述裝置還被配置為通過使用第一經(jīng)加密消息向無線請求者提供密碼來對來自所述無線請求者的憑證提供請求作出響應(yīng)��,所述裝置還被配置為如果在等待時段到期時所述AP只接收到一個憑證提供請求則使用第二經(jīng)加密消息來向所述無線請求者提供所述至少一個憑證���。
17.一種從無線網(wǎng)絡(luò)接入點(AP)向無線請求者提供憑證使得所述無線請求者可以安全模式操作接入網(wǎng)絡(luò)的方法����,包括在所述AP處接收表明所述無線請求者期望憑證提供的指示��;響應(yīng)于該指示�����,在AP處離開安全模式操作并且允許開放認證����;在開放認證下從所述無線請求者接收憑證提供請求;啟動等待時段���;響應(yīng)于所述憑證提供請求��,向所述無線請求者提供使用加密的密碼���;如果在所述AP只接收到一個憑證提供請求的情況下所述等待時段到期,則所述方法包括以下附加動作在開放認證下從所述無線請求者接收附加的憑證提供請求�����,所述無線請求者的附加請求證明知曉所述使用加密的密碼��;以及響應(yīng)于所述證明���,使用所述加密向所述無線請求者提供至少一個憑證���,其中所述至少一個憑證使得所述無線請求者能夠獲得安全網(wǎng)絡(luò)接入。
18.根據(jù)權(quán)利要求17所述的方法,其中���,所述加密是SSL加密���。
19.根據(jù)權(quán)利要求17所述的方法,還包括使用DHCP幀向所述無線請求者提供IP地址���。
20.根據(jù)權(quán)利要求21所述的方法��,還包括使用DHCP幀向所述無線請求者提供所述AP的IP地址���。
21.一種請求從無線網(wǎng)絡(luò)接入點(AP)向無線請求者提供憑證使得所述無線請求者可以安全模式操作來接入網(wǎng)絡(luò)的方法,包括在開放認證下請求來自所述AP的憑證提供��;響應(yīng)于所述憑證提供請求��,在所述無線請求者處接收使用第一經(jīng)加密消息的密碼�,所述第一經(jīng)加密消息還提供了等待時段;在所述等待時段到期之后�,使用還證明知曉所述密碼的第二經(jīng)加密消息來重新請求憑證提供,以及響應(yīng)于所述證明�����,在所述無線請求者處使用第三經(jīng)加密消息來接收至少一個憑證�,其中所述至少一個憑證使得所述無線請求者能夠獲得安全網(wǎng)絡(luò)接入。
22.根據(jù)權(quán)利要求21所述的方法�����,其中所述第一�����、第二和第三經(jīng)加密消息是SSL加密消息�����。
23.根據(jù)權(quán)利要求21所述的方法���,還包括使用DHCP幀向所述無線請求者提供IP地址�。
24.根據(jù)權(quán)利要求21所述的方法�,還包括使用DHCP幀向所述無線請求者提供所述AP的IP地址
25.一種無線請求者,包括無線收發(fā)器��;以及用于在開放認證下使用所述無線收發(fā)器來請求憑證提供的裝置�,所述裝置被配置為接收經(jīng)加密的密碼,所述裝置還被配置為使用還證明知曉所述密碼的經(jīng)加密的請求來重新請求憑證提供�。
全文摘要
本發(fā)明提供了一種安全且易于管理的憑證提供技術(shù)。諸如網(wǎng)絡(luò)AP這樣的憑證提供者被配置為離開安全模式操作并允許與無線請求者進行開放認證。在開放認證被建立之后��,所述無線請求者請求憑證提供����。作為響應(yīng),所述憑證提供者向所述請求者提供經(jīng)加密的密碼���。為了防止未經(jīng)授權(quán)的接入����,所述請求者再次請求憑證提供并且還證明知曉該經(jīng)加密的密碼����。只有在等待時段到期并且所述憑證提供者只接收到一個憑證提供請求時,至少一個憑證才被提供給無線請求者����。
文檔編號G06F17/30GK101061656SQ200580034461
公開日2007年10月24日 申請日期2005年12月28日 優(yōu)先權(quán)日2005年1月21日
發(fā)明者馬克·恩賴特 申請人:思科技術(shù)公司