用于向遠程站配置來自本地根證書頒發(fā)機構(gòu)的證書以用于使無線網(wǎng)絡安全的方法
【專利說明】用于向遠程站配置來自本地根證書頒發(fā)機構(gòu)的證書以用于使無線網(wǎng)絡安全的方法
[0001 ] 相關申請案的交叉引用
[0002]本申請案主張2013年9月23日申請的第61/881,355號美國臨時申請案及2014年3月12日申請的第14/207��,005號美國臨時申請案的權益�����,所述申請案以引用的方式并入本文中�����。
技術領域
[0003]本發(fā)明大體上涉及向遠程站配置來自本地根證書頒發(fā)機構(gòu)的數(shù)字證書以用于保護無線網(wǎng)絡��。
【背景技術】
[0004]安全的私人無線網(wǎng)絡需要僅授權合法裝置或站臺加入網(wǎng)絡���。對裝置的授權應包含對裝置的驗證。驗證通常依賴于密碼���、密鑰(質(zhì)詢-響應驗證)或預先以安全方式交換的公鑰����。
[0005]由全球證書頒發(fā)機構(gòu)發(fā)布的數(shù)字證書(以下稱作證書)并不是很有幫助�,因為具有來自所述全球證書頒發(fā)機構(gòu)的證書的所有裝置將通過驗證且被視為合法。結(jié)果���,私人無線網(wǎng)絡的接入點可能不基于來自全球證書頒發(fā)機構(gòu)的證書而拒絕對鄰居的裝置的接入��,這是因為所述證書將為有效的���。
[0006]而且�����,證書及對應私鑰的數(shù)值極其大。期望用戶手動地輸入此類值可能不合理���。
[0007]因此�,需要用于向遠程站配置證書以用于以有效方式保護無線網(wǎng)絡的技術��。
【發(fā)明內(nèi)容】
[0008]本發(fā)明的一方面可存在于用于向遠程站配置來自本地根證書頒發(fā)機構(gòu)的證書以用于保護無線網(wǎng)絡的方法����。在所述方法中,將站臺公鑰轉(zhuǎn)發(fā)到所述本地根證書頒發(fā)機構(gòu)���。在所述無線網(wǎng)絡的帶外轉(zhuǎn)發(fā)所述站臺公鑰�����。從所述本地根證書頒發(fā)機構(gòu)接收證書及根公鑰���。所述證書是基于所述經(jīng)轉(zhuǎn)發(fā)站臺公鑰����,且所述證書及所述根公鑰是在所述無線網(wǎng)絡的帶外接收�。所述遠程站基于所述證書及所述根公鑰而使用所述無線網(wǎng)絡安全地與另一站臺通
?目O
[0009]在本發(fā)明的更詳細方面中,可將所述站臺公鑰轉(zhuǎn)發(fā)到所述本地根證書頒發(fā)機構(gòu)��,且可使用雙向通信信道(例如藍牙低能耗通信信道或近場通信信道)從所述本地根證書頒發(fā)機構(gòu)接收所述證書及所述根公鑰��。而且���,所述證書可包括所述站臺公鑰及裝置識別符��。所述根公鑰為包含于自簽名證書中的信任根公鑰���。
[0010]在本發(fā)明的其它更詳細方面中,所述遠程站與所述另一站臺安全地通信可進一步基于在所述另一站臺中配置的另一證書及在所述遠程站及所述另一站臺中配置的所述根公鑰��,且可包含所述遠程站驗證所述另一站臺的所述另一證書的有效性����。驗證所述另一證書的所述有效性包括以下各者中的至少一者:借由所述根公鑰驗證所述另一證書的簽名����;驗證所述另一證書不在證書吊銷列表上;使用在線證書狀態(tài)協(xié)議而驗證所述另一證書的狀態(tài);及/或驗證所述另一證書的有效性日期��。
[0011]在本發(fā)明的其它更詳細方面中����,所述無線網(wǎng)絡僅由使用W1-Fi直連或點對點進行通信的所述遠程站及所述另一站臺組成。而且�,所述無線網(wǎng)絡為長期演進(LTE)直接通信網(wǎng)絡或網(wǎng)狀WiFi網(wǎng)絡。所述本地根證書頒發(fā)機構(gòu)可為所述無線網(wǎng)絡的配置器����,例如智能電話���、平板計算機或個人計算機�。此類無線站臺可具有密鑰對及在內(nèi)部所接收的證書以便與其它站臺通信�。而且,所述遠程站包括無線接入點�����。
[0012]本發(fā)明的另一方面可存在于遠程站中����,所述遠程站包括:用于將站臺公鑰轉(zhuǎn)發(fā)到本地根證書頒發(fā)機構(gòu)的裝置����,其中所述站臺公鑰是在無線網(wǎng)絡的帶外轉(zhuǎn)發(fā)���;用于從所述本地根證書頒發(fā)機構(gòu)接收證書及根公鑰的裝置�,其中所述證書是基于所述經(jīng)轉(zhuǎn)發(fā)站臺公鑰�,且所述證書及所述根公鑰是在所述無線網(wǎng)絡的帶外接收;及用于基于所述證書及所述根公鑰而使用所述無線網(wǎng)絡安全地與另一站臺通信的裝置。
[0013]本發(fā)明的另一方面可存在于一種遠程站中����,所述遠程站包括處理器,所述處理器經(jīng)配置以:將站臺公鑰轉(zhuǎn)發(fā)到本地根證書頒發(fā)機構(gòu)���,其中所述站臺公鑰是在無線網(wǎng)絡的帶外轉(zhuǎn)發(fā);從所述本地根證書頒發(fā)機構(gòu)接收證書及根公鑰��,其中所述證書是基于所述經(jīng)轉(zhuǎn)發(fā)站臺公鑰����,且所述證書及所述根公鑰是在所述無線網(wǎng)絡的帶外接收;及基于所述證書及所述根公鑰而使用所述無線網(wǎng)絡安全地與另一站臺通信�����。
[0014]本發(fā)明的另一方面可存在于一種計算機程序產(chǎn)品中,所述計算機程序產(chǎn)品包括計算機可讀媒體����,所述計算機可讀媒體包括:用于致使計算機將站臺公鑰轉(zhuǎn)發(fā)到本地根證書頒發(fā)機構(gòu)的代碼,其中所述站臺公鑰是在無線網(wǎng)絡的帶外轉(zhuǎn)發(fā)�;用于致使計算機從所述本地根證書頒發(fā)機構(gòu)接收證書及根公鑰的代碼,其中所述證書是基于所述經(jīng)轉(zhuǎn)發(fā)站臺公鑰�����,且所述證書及所述根公鑰是在所述無線網(wǎng)絡的帶外接收;及用于致使計算機基于所述證書及所述根公鑰而使用所述無線網(wǎng)絡安全地與另一站臺通信的代碼����。
【附圖說明】
[0015]圖1為無線通信系統(tǒng)的實例的框圖。
[0016]圖2為根據(jù)本發(fā)明的用于向遠程站配置來自本地根證書頒發(fā)機構(gòu)的證書以用于保護無線網(wǎng)絡的方法的流程圖�����。
[0017]圖3為根據(jù)本發(fā)明的用于向遠程站配置來自本地根證書頒發(fā)機構(gòu)的證書以用于保護無線網(wǎng)絡的方法的框圖����。
[0018]圖4為包含處理器及存儲器的計算機的框圖�����。
[0019]圖5為遠程站、配置器��、安全私人無線網(wǎng)絡的其它站臺及另一網(wǎng)絡的站臺的框圖��。
[0020]圖6為證書的示意圖���。
[0021 ]圖7為用于從證書數(shù)據(jù)及證書頒發(fā)機構(gòu)的私鑰產(chǎn)生簽名的方法的框圖�。
【具體實施方式】
[0022]本文中使用詞“示范性”意指“充當實例��、例子或說明”�。本文中被描述為“示范性”的任何實施例不必理解為比其它實施例優(yōu)選或有利。
[0023]參考圖2及3�����,本發(fā)明的一方面可存在于用于向遠程站310配置來自本地根證書頒發(fā)機構(gòu)320的證書(例如類型X.509)以用于保護無線網(wǎng)絡330的方法200中�。所述遠程站可為第一站臺,且所述證書可為第一證書�。在所述方法中,遠程站310將站臺公鑰Kpub轉(zhuǎn)發(fā)到本地根證書頒發(fā)機構(gòu)320(步驟210)���。在無線網(wǎng)絡的帶外轉(zhuǎn)發(fā)站臺公鑰����。遠程站從本地根證書頒發(fā)機構(gòu)接收證書Cert (Kpub)及根公鑰CAKpub (步驟220)。所述證書是由本地根證書頒發(fā)機構(gòu)基于經(jīng)轉(zhuǎn)發(fā)站臺公鑰而產(chǎn)生�,且所述證書及所述根公鑰是在無線網(wǎng)絡的帶外接收。所述遠程站基于所述證書及所述根公鑰而使用無線網(wǎng)絡安全地與另一站臺340通信(步驟230)�。所述另一站臺可為第二站臺。
[0024]除了其公鑰之外��,遠程站310還可轉(zhuǎn)發(fā)其識別碼�,所述識別碼包含其媒體接入控制(MAC)地址、其序列號(SN)及其裝置類別�����、類型及/或型號中的至少一者���。所述裝置識別碼包含于所述證書中�����?����?苫诮?jīng)轉(zhuǎn)發(fā)站臺公鑰及有效性日期(由用戶定義)而產(chǎn)生證書。
[0025]在本發(fā)明的更詳細方面中����,可將站臺公鑰Kpub轉(zhuǎn)發(fā)到本地根證書頒發(fā)機構(gòu)320����,且可使用雙向通信信道350(例如藍牙低能耗(BLE)通信信道)���、近場通信(NFC)信道或類似閉合無線通信信道或使用私人有線通信信道(USB���、以太網(wǎng)等)而從本地根證書頒發(fā)機構(gòu)接收證書CertKpub及根公鑰CAKpub。所述證書可為具有短生存期的臨時證書��。而且����,所述證書可包括站臺公鑰及裝置識別符。所述根公鑰為包含于自簽名證書中的信任根公鑰��。
[0026]在本發(fā)明的其它更詳細方面中�����,遠程站310與第二站臺340安全地通信可進一步基于在第二站臺中配置的第二證書Cert(K2pUb)以及在遠程站及第二站臺中配置的所述根公鑰CAKpub���,且可包含遠程站驗證所述第二站臺的證書的有效性����。驗證所述第二證書的所述有效性包括以下各者中的至少一者:借由所述根公鑰驗證所述第二證書的簽名;驗證所述第二證書不在證書吊銷列表上;使用在線證書狀態(tài)協(xié)議而驗證所述第二證書的狀態(tài);及/或驗證所述第二證書的有效性日期�����。
[0027]在本發(fā)明的其它更詳細方面中�,無線網(wǎng)絡330僅由使用W1-Fi直連或點對點進行通信的遠程站310及第二站臺340組成。而且�����,無線網(wǎng)絡330可為長期演進(LTE)直接通信網(wǎng)絡或網(wǎng)狀WiFi網(wǎng)絡����。本地根證書頒發(fā)機構(gòu)320可為無線網(wǎng)絡的配置器,例如智能電話��、平板計算機或個人計算機(PC)���。遠程站可具有無線接口��。而且��,遠程站可包括無線接入點�����。
[0028]進一步參考圖4��,遠程站310可包括包含以下各者的計算機400:處理器410�、存儲媒體420(例如存儲器及/或磁盤驅(qū)動器)�����、顯示器430�,及輸入(例如小鍵盤440)、無線連接450(例如W1-Fi連接及/或蜂窩式連接)及帶外通信接口 460(例如NFC及/或BLE連接)��。
[0029]本發(fā)明的另一方面可存在于遠程站310中�,遠程站310包括:用于將站臺公鑰Kpub轉(zhuǎn)發(fā)到本地根證書頒發(fā)機構(gòu)320的裝置410,其中在無線網(wǎng)絡330的帶外轉(zhuǎn)發(fā)所述站臺公鑰���;用于從所述本地根證書頒發(fā)機構(gòu)接收證書Cert(Kpub)及根公鑰CAKp