用于在一組無線設(shè)備內(nèi)配對的方法和設(shè)備的制造方法
【專利說明】用于在一組無線設(shè)備內(nèi)配對的方法和設(shè)備發(fā)明領(lǐng)域
[0001]本發(fā)明涉及用于無線通信的系統(tǒng)，該系統(tǒng)包括一組無線設(shè)備和便攜式設(shè)備，每個(gè)設(shè)備包括用于與其他設(shè)備無線交換數(shù)據(jù)的無線電收發(fā)信機(jī)，
一供應(yīng)(accommodate)第一主機(jī)功能的上述一組無線設(shè)備中的第一無線設(shè)備和供應(yīng)第二主機(jī)功能的上述一組無線設(shè)備中的第二無線設(shè)備，第一和第二無線設(shè)備是相同的無線設(shè)備或是不同的無線設(shè)備；
-上述一組無線設(shè)備共享第一保密數(shù)據(jù)并被配置用于基于第一保密數(shù)據(jù)通過各自第一安全連接與供應(yīng)第一主機(jī)功能的第一無線設(shè)備進(jìn)行無線通信。
[0002]本發(fā)明還涉及便攜式設(shè)備、主機(jī)設(shè)備、無線設(shè)備以及用在上述用于無線通信的系統(tǒng)中的方法和計(jì)算機(jī)程序產(chǎn)品。
[0003]本發(fā)明涉及例如通過無線保真(W1-Fi)進(jìn)行的安全無線通信的領(lǐng)域，并且更具體地涉及無線對接(docking)系統(tǒng)的安全建立。
[0004]發(fā)明背景
在諸如從IEEE 802.11文檔中所知的W1-Fi之類的無線通信中，設(shè)備需要被配對以便建立安全的連接，例如通過WWW, w1-f1.0rR可獲得的文檔“Wi_Fi保護(hù)的接入，基于W1-Fi聯(lián)盟2004年8月IEEE P802.1li標(biāo)準(zhǔn)，版本3.1的增強(qiáng)的安全性實(shí)現(xiàn)”(“W1-Fi ProtectedAccess (WPA),Enhanced Security Implementat1n Based on IEEE P802.1li standard,Vers1n 3.1, Auguest, 2004, by the W1-Fi Alliance”)中所描述的。盡管本發(fā)明是使用W1-Fi系統(tǒng)來進(jìn)一步闡明，但是要指出的是本發(fā)明可以被類似地應(yīng)用到其他無線通信系統(tǒng)中，例如藍(lán)牙(參見例如出版于2007年7月26日的藍(lán)牙規(guī)范，核心包版本2.1+增強(qiáng)速率)(BLUETOOTH SPECIFICAT1N, Core Package vers1n 2.1+EDR，issued:26 July 2007)。
[0005]W1-Fi連接使用諸如WPA2 (WAP2)之類的技術(shù)通過密碼手段來保護(hù)保密性和完整性。WAP2的安全性可以基于兩個(gè)系統(tǒng)。第一個(gè)是預(yù)先共享密鑰模式(PSK，又稱為個(gè)人模式)并且其被設(shè)計(jì)用于家庭和小型辦公室網(wǎng)絡(luò)。第二個(gè)依賴于802.1X認(rèn)證服務(wù)器的使用并且其被設(shè)計(jì)用于企業(yè)網(wǎng)絡(luò)。
[0006]在PSK模式中，彼此通信的所有設(shè)備共享256比特的密鑰，其也被稱為‘密碼短語’(‘Passphrase’ )。W1-Fi簡單配置(又名W1-Fi保護(hù)建立)，從也是來自W1-Fi聯(lián)盟的文檔 “W1-Fi 簡單配置，技術(shù)規(guī)范，版本 2.0.2，2011 年”(“Wi_Fi Simple Configurat1n，Technical Specificat1n, Vers1n 2.0.2，2011”)中所知的，W1-Fi 簡單配置是一個(gè)允許知道密碼短語的第一設(shè)備(例如無線LAN接入點(diǎn))將該密碼短語以安全的方式發(fā)送給第二設(shè)備，而不需要用戶必須在第二設(shè)備上鍵入該密碼短語的標(biāo)準(zhǔn)。替代地，例如該用戶可以在有限的時(shí)間內(nèi)在兩個(gè)設(shè)備上按下按鈕，或在第二設(shè)備鍵入在第一設(shè)備上列出的8位數(shù)字PIN以便來接收密碼短語。這典型地會(huì)涉及用戶動(dòng)作，即所謂的用戶配對動(dòng)作。
[0007]US2010/0153727描述了用于在多個(gè)無線設(shè)備之間的直接鏈路通信的增強(qiáng)安全性，該多個(gè)無線設(shè)備交換被用于生成公共隨機(jī)數(shù)(nonce)的隨機(jī)數(shù)。組標(biāo)識(shí)信息元素從至少該公共隨機(jī)數(shù)中被生成，并被轉(zhuǎn)發(fā)到認(rèn)證服務(wù)器。該認(rèn)證服務(wù)器從該組標(biāo)識(shí)信息元素中生成組直接鏈路主密鑰以便將設(shè)備匹配為密鑰協(xié)定(agreement)組的一部分。組密鑰也是基于公共隨機(jī)數(shù)生成的。因此，用于直接鏈路通信的安全的設(shè)備組被創(chuàng)建。

【發(fā)明內(nèi)容】

[0008]在W1-Fi基礎(chǔ)結(jié)構(gòu)中，接入點(diǎn)(AP)，更確切地說是它的注冊器(Registrar)存儲(chǔ)和管理其負(fù)責(zé)的網(wǎng)絡(luò)的證書。希望接入AP的W1-Fi基礎(chǔ)結(jié)構(gòu)網(wǎng)絡(luò)的W1-Fi設(shè)備需要在與該AP的配對操作中獲取網(wǎng)絡(luò)證書。一旦與AP的安全連接被建立，W1-Fi設(shè)備可以和與AP相關(guān)聯(lián)的其他W1-Fi設(shè)備進(jìn)行通信。傳統(tǒng)的基礎(chǔ)結(jié)構(gòu)有連接是間接的缺點(diǎn)，因?yàn)樗械耐ㄐ判枰?jīng)過接入點(diǎn)。但是在很多情況下，設(shè)備將能夠建立彼此之間的直接鏈路而不必通過接入點(diǎn)來中繼(relay)業(yè)務(wù)(traffic)是有利的(例如，用于減少等待時(shí)間，改善連接速度)。已經(jīng)創(chuàng)建了 W1-Fi直連和隧道直接鏈路建立(TDLS)的兩種技術(shù)，以能夠在設(shè)備之間建立這樣的直接W1-Fi鏈路。
[0009]W1-Fi直連(也稱為W1-Fi對等)從也來自W1-Fi聯(lián)盟的文檔“Wi_Fi W1-Fi對等(P2P)技術(shù)規(guī)范，版本 1.1，2010 年”(“W1-Fi W1-Fi Peer-to-Perr (P2P) TechnicalSpecificat1n, Vers1n 1.1, 2010”)中所知，W1-Fi直連是允許W1-Fi設(shè)備彼此連接而不需要無線接入點(diǎn)的標(biāo)準(zhǔn)。W1-Fi直連對連接獨(dú)立的無線設(shè)備和外部設(shè)備扮演重要的角色，該無線設(shè)備和外部設(shè)備例如是支持W1-Fi顯示器的顯示設(shè)備/外部設(shè)備以及支持W1-Fi串行總線的輸入/輸出(I/O)設(shè)備/外部設(shè)備(例如，無線鼠標(biāo)、鍵盤、打印機(jī)、USB集線器)。因此，它是用于無線對接的重要技術(shù)，該技術(shù)使得便攜式設(shè)備能夠連接到大量無線外部設(shè)備上。在W1-Fi直連中，典型地需要為所創(chuàng)建的每個(gè)新的W1-Fi直連連接來執(zhí)行用戶配對步驟。當(dāng)兩個(gè)W1-Fi直連設(shè)備想要通信的時(shí)候，它們中的一個(gè)成為所謂的組擁有者(GO)。另一個(gè)設(shè)備扮演客戶端的角色。它們一起組成了所謂的P2P組。GO與AP有很多相似之處。例如，它可以允許其他設(shè)備加入到P2P組，并且提供在P2P組內(nèi)不同設(shè)備之間分配業(yè)務(wù)的可能性。但是，如前文所提到的，有利的是設(shè)備將能夠彼此直接通信，而不是必須中繼業(yè)務(wù)。在W1-Fi直連的情況下，這將意味著你將必須單獨(dú)地與其他設(shè)備中的每一個(gè)進(jìn)行連接和配對。這是麻煩的，尤其在涉及多個(gè)設(shè)備的情況下。例如，對于便攜式設(shè)備與大量無線外部設(shè)備的無線對接，如果用戶將需要單獨(dú)地與每個(gè)無線外部設(shè)備執(zhí)行用戶對接步驟，這將是非常用戶不友好的。因此，將配對動(dòng)作數(shù)量保持在最少是很重要的。
[0010]隧道直接鏈路建立(TDLS)是從文檔“IEEE標(biāo)準(zhǔn)802.llz-2010部分11:無線LAN媒體接入控制(MAC)以及物理層(PHY)規(guī)范，修改7:對直接鏈路建立(DLS)的擴(kuò)展，由IEEE出版于 2010 年 10 月 14 日”(“IEEE Std 802.llz-2010 Part ll:ffireless LAN MediumAccess Control (MAC) and Physical Layer (PHY) specificat1ns, Amendment 7:Extens1ns to Direct-Link Setup (DLS), published by IEEE on 14 October 2010，，)中所知的，TDLS是W1-Fi技術(shù)的一種選項(xiàng)，其使得能夠在兩者都被連接到同一個(gè)W1-Fi接入點(diǎn)的兩個(gè)設(shè)備之間建立直接鏈路，而不需要再次配對來建立安全的直接連接。這是按照如下方式來完成。一旦啟用TDLS的W1-Fi設(shè)備連接到AP，該W1-Fi設(shè)備可以向連接到同一個(gè)AP的另一個(gè)啟用TDLS的設(shè)備發(fā)送請求以便建立直接連接。在交換諸如安全證書以及關(guān)于使用哪個(gè)W1-Fi信道的信息之后，兩個(gè)設(shè)備可以開啟在這兩個(gè)設(shè)備之間的專用安全直接鏈路。
[0011]但是，TDLS有幾個(gè)缺點(diǎn):
所有有關(guān)的設(shè)備都必須支持并發(fā)操作(以便同時(shí)保持與其他設(shè)備的直接鏈路以及與AP的鏈路，包括運(yùn)行在兩個(gè)不同的頻率上)，然而許多便攜式以及無線的外部設(shè)備只能建立和保持單個(gè)W1-Fi連接和/或單個(gè)頻率的W1-Fi連接。
[0012]當(dāng)TDLS被用于W1-Fi直連網(wǎng)絡(luò)中時(shí)(例如，TDLS通過W1-Fi直連GO來在W1-Fi直連P2P組內(nèi)在不同設(shè)備之間建立直接鏈路)，TDLS具有幾個(gè)兼容性問題。例如，W1-Fi直連和TDLS的功率節(jié)省機(jī)制是不兼容的，并且可能導(dǎo)致沖突。
[0013]用于TDLS直接鏈路的安全證書的交換通過TDLS對等密鑰(TPK)握手來完成。問題是兩個(gè)TDLS設(shè)備之間的握手是通過AP來完成的。因?yàn)锳P可以將有關(guān)TDLS設(shè)備的消息解密(decrypt)，所以這意味著AP可以偷聽該握手，并且它能夠恢復(fù)TDLS設(shè)備所達(dá)成一致的、用于直接連接的密鑰。當(dāng)PSK模式被使用時(shí)，與同一個(gè)AP相關(guān)聯(lián)的其他設(shè)備將也能夠按照諸如下述方式偷聽業(yè)務(wù):當(dāng)W1-Fi設(shè)備使用PSK與AP關(guān)聯(lián)時(shí)，W1-Fi設(shè)備在所謂的四路握手中使用密碼短語和其他信息以便生成/推導(dǎo)被稱為成對瞬時(shí)密鑰(PTK)的鏈路密鑰。PTK被用于在該W1-Fi設(shè)備以及AP之間業(yè)務(wù)的加密和認(rèn)證。為另一個(gè)設(shè)備所準(zhǔn)備的業(yè)務(wù)被AP使用鏈路密鑰(PTK)重新加密，其中該鏈路密鑰是AP和其他設(shè)備已經(jīng)從密碼短語中推導(dǎo)得到的。盡管對于每個(gè)相關(guān)聯(lián)的W1-Fi設(shè)備AP都有不同的PTK，但是擁有密碼短語的與AP相關(guān)聯(lián)的任何一個(gè)設(shè)備都可以通過監(jiān)聽在其他設(shè)備和AP之間的四路握手來計(jì)算所使用的PTKo因?yàn)橥ㄟ^使用這個(gè)PTK該設(shè)備可以對在其他設(shè)備和AP之間的通信進(jìn)行解密，所以這意味著它也可以偷聽TDLS對等密鑰握手并計(jì)算被用來保護(hù)兩個(gè)TDLS設(shè)備之間的TDLS直接鏈路的密鑰。因此，TDLS默認(rèn)地不在直接鏈路上提供安全的私有通信。
[0014]無線設(shè)備的配對以及連接的建立總是必須經(jīng)過組內(nèi)的所有設(shè)備都必須連接到其上的接入點(diǎn)。如果你不首先與接入點(diǎn)/組擁有者建立連接，那么你不能與組內(nèi)的客戶端/站點(diǎn)(例如，顯示器)中的任何一個(gè)直接連接。這意味著你可能需要物理上靠近于接入點(diǎn)/組擁有者以便執(zhí)行配對步驟，因?yàn)槟悴荒芡ㄟ^組內(nèi)其他設(shè)備中的一個(gè)與該組連接。
[0015]本發(fā)明的一個(gè)目的是提供用于安全通信的系統(tǒng)，該系統(tǒng)將用戶配對步驟的個(gè)數(shù)保持在最少，防止設(shè)備之間直接鏈路的偷聽，以及在向該組進(jìn)行連接中提供靈活性。