ub的裝置，其中證書(shū)是由本地根證書(shū)頒發(fā)機(jī)構(gòu)基于所述經(jīng)轉(zhuǎn)發(fā)站臺(tái)公鑰產(chǎn)生，且所述證書(shū)及所述根公鑰是在所述無(wú)線網(wǎng)絡(luò)的帶外接收;及用于基于所述證書(shū)及所述根公鑰而使用所述無(wú)線網(wǎng)絡(luò)安全地與第二站臺(tái)340通信的裝置41 O。
[0030]本發(fā)明的另一方面可存在于遠(yuǎn)程站310中，遠(yuǎn)程站310包括處理器410，處理器410經(jīng)配置以:將站臺(tái)公鑰Kpub轉(zhuǎn)發(fā)到本地根證書(shū)頒發(fā)機(jī)構(gòu)320，其中所述站臺(tái)公鑰是在無(wú)線網(wǎng)絡(luò)330的帶外轉(zhuǎn)發(fā);從所述本地根證書(shū)頒發(fā)機(jī)構(gòu)接收證書(shū)Cert (Kpub)及根公鑰CAKpub，其中所述證書(shū)是由所述本地根證書(shū)頒發(fā)機(jī)構(gòu)基于所述經(jīng)轉(zhuǎn)發(fā)站臺(tái)公鑰而產(chǎn)生，且所述證書(shū)及所述根公鑰是在所述無(wú)線網(wǎng)絡(luò)的帶外接收;及基于所述證書(shū)及所述根公鑰而使用所述無(wú)線網(wǎng)絡(luò)安全地與第二站臺(tái)340通信。
[0031]本發(fā)明的另一方面可存在于計(jì)算機(jī)程序產(chǎn)品中，所述計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)可讀媒體420，計(jì)算機(jī)可讀媒體420包括:用于致使計(jì)算機(jī)400將站臺(tái)公鑰Kpub轉(zhuǎn)發(fā)到本地根證書(shū)頒發(fā)機(jī)構(gòu)320的代碼，其中所述站臺(tái)公鑰是在無(wú)線網(wǎng)絡(luò)330的帶外轉(zhuǎn)發(fā)；用于致使計(jì)算機(jī)從所述本地根證書(shū)頒發(fā)機(jī)構(gòu)接收證書(shū)Cert (Kpub)及根公鑰CAKpub的代碼，其中所述證書(shū)是由所述本地根證書(shū)頒發(fā)機(jī)構(gòu)基于所述經(jīng)轉(zhuǎn)發(fā)站臺(tái)公鑰而產(chǎn)生，且所述證書(shū)及所述根公鑰是在所述無(wú)線網(wǎng)絡(luò)的帶外接收;及用于致使計(jì)算機(jī)基于所述證書(shū)及所述根公鑰而使用所述無(wú)線網(wǎng)絡(luò)安全地與第二站臺(tái)340通信的代碼。
[0032]參考圖5，由于用戶)(擁有裝置A 560及裝置B 540，且用戶X已預(yù)先使用配置器520配置了裝置A 560及裝置B 540，因此用戶X的配置器具有第一根公鑰KXroot及對(duì)應(yīng)私鑰KXpri。作為前述配置的結(jié)果，裝置A具有第一根公鑰及使用私鑰KXpri進(jìn)行簽名的裝置A證書(shū)Cert(KApub，X)，且裝置B類似地具有第一根公鑰及使用私鑰KXpri進(jìn)行簽名的裝置B證書(shū)06^(0?汕3)。裝置4及裝置8還具有相應(yīng)私鑰1^?4及0?4，用于解密使用對(duì)應(yīng)公鑰KApub及KBpub加密的數(shù)據(jù)，或替代地用于執(zhí)行迪菲一赫爾曼(Diff ie-Hel Iman)密鑰交換，以便建立共享密鑰以加密且驗(yàn)證進(jìn)一步數(shù)據(jù)交換。
[0033]用戶X購(gòu)買(mǎi)裝置C510且希望將其配置以加入裝置A及裝置B的安全私人無(wú)線網(wǎng)絡(luò)。在登記程序中，裝置C作為登記者將其公鑰KCpub轉(zhuǎn)發(fā)到用戶X的配置器520，配置器520傳回其根公鑰KXroot及由其私鑰KXpri簽名的證書(shū)Cert(KCpub，X)。新裝置C現(xiàn)能夠使用證書(shū)Cert(KCpub，X)及根公鑰而安全地與裝置A及裝置B通信。裝置C使用根公鑰以驗(yàn)證裝置A及裝置B的證書(shū)。
[0034]因此，裝置C現(xiàn)可與裝置A及裝置B在層L2建立安全鏈路(直接或基礎(chǔ)結(jié)構(gòu)模式)。然而，裝置C無(wú)法與由用戶Y擁有的裝置D 570通信，這是因?yàn)檠b置C無(wú)法驗(yàn)證裝置D。同樣，裝置D的使用私鑰KYpri簽名的證書(shū)Cert(KDpub，Y)不可用于對(duì)裝置A、裝置B及裝置C進(jìn)行驗(yàn)證。
[0035]由本地根證書(shū)頒發(fā)機(jī)構(gòu)(例如，圖3中的320及圖5中的520)頒發(fā)的證書(shū)綁定到用戶。用戶的證書(shū)頒發(fā)機(jī)構(gòu)向用戶的所有裝置頒發(fā)證書(shū)。用戶Y設(shè)備證書(shū)對(duì)于用戶X裝置將不為有效的。所述證書(shū)允許給定用戶的兩個(gè)所登記(且經(jīng)配置)裝置之間的安全通信，而無(wú)需所述兩個(gè)裝置之間的任何先前交換。所述證書(shū)允許對(duì)網(wǎng)狀網(wǎng)絡(luò)的使用，網(wǎng)狀網(wǎng)絡(luò)可包含兩個(gè)經(jīng)配置裝置之間的安全W1-Fi直連通信，而無(wú)需依賴于主共享密鑰。還可使用基礎(chǔ)結(jié)構(gòu)(星形)網(wǎng)絡(luò)。所述裝置可能來(lái)自不同制造商，且可能具有多種類型(接入點(diǎn)(AP)、打印機(jī)、傳感器、相機(jī)、智能電話等)。用戶的本地根證書(shū)頒發(fā)機(jī)構(gòu)在用戶的控制及管理下。此可經(jīng)由配置器上的抽象接口實(shí)現(xiàn)。用戶并不需要信任任何第三方。
[0036]在登記程序中，登記者需要與配置器的帶外雙向通信信道550。登記者還需要包含其裝置私鑰的密鑰存儲(chǔ)裝置，且需要登記者能夠執(zhí)行證書(shū)驗(yàn)證。配置器需要與登記者的帶外雙向通信信道550。配置器還需要包含其證書(shū)頒發(fā)機(jī)構(gòu)/根私鑰的密鑰存儲(chǔ)裝置，且需要配置器能夠執(zhí)行證書(shū)產(chǎn)生。
[0037]用戶可借由將臨時(shí)證書(shū)提供到來(lái)賓而提供對(duì)安全私人無(wú)線網(wǎng)絡(luò)的來(lái)賓接入，所述臨時(shí)證書(shū)的有效期為受限時(shí)段，例如一小時(shí)、一天、一周等。若裝置丟失或被盜，則用戶可將裝置的證書(shū)置于吊銷(xiāo)列表(另一 PKI特征)上。用戶的智能電話、PC、平板計(jì)算機(jī)等上的應(yīng)用程序可提供本地根證書(shū)頒發(fā)機(jī)構(gòu)的所有功能，包含:證書(shū)產(chǎn)生、證書(shū)吊銷(xiāo)、授權(quán)、CRL管理及/或在線證書(shū)狀態(tài)協(xié)議服務(wù)。向裝置提供參數(shù)及/或從裝置接收參數(shù)的過(guò)程可視為是“配置”。
[0038]托管本地根CA的裝置(即配置器320)還可為具有其自身密鑰對(duì)及證書(shū)的無(wú)線站臺(tái)，以便與已成為無(wú)線網(wǎng)絡(luò)330的部分的裝置中的任一者(使用初級(jí)無(wú)線接口)進(jìn)行帶內(nèi)通
?目O
[0039]可由圖6中所展示的本地根證書(shū)頒發(fā)機(jī)構(gòu)320產(chǎn)生證書(shū)600。證書(shū)600可為遵循X.509標(biāo)準(zhǔn)的類型。證書(shū)600可包含數(shù)據(jù)字段或部分610及簽名字段或部分620。所述數(shù)據(jù)字段可包含版本字段，序列號(hào)字段，簽名算法字段，發(fā)布者字段，具有“不早于日期”字段、“不晚于日期”字段的有效性字段，具有裝置序列號(hào)字段及裝置類型字段的對(duì)象字段，對(duì)象公鑰信息字段，公鑰算法字段，及具有模數(shù)字段及指數(shù)字段的公鑰字段。所述公鑰字段可對(duì)應(yīng)于轉(zhuǎn)發(fā)到本地根證書(shū)頒發(fā)機(jī)構(gòu)320的站臺(tái)公鑰Kpub。所述站臺(tái)公鑰可基于RSA加密算法。可使用數(shù)據(jù)字段610中的信息/值、簽名者的私鑰(即本地根證書(shū)頒發(fā)機(jī)構(gòu)320的私鑰)及信號(hào)算法字段中的算法(例如，具有RSA加密的Sha2或“sha2withRSAEncrypt1n”)而產(chǎn)生簽名字段620中的簽名值。從數(shù)據(jù)字段610與簽名字段620的組合產(chǎn)生證書(shū)600?？墒褂煤灻麄蓽y(cè)對(duì)數(shù)據(jù)字段中的信息/值的改變。
[0040]在圖7中展示用于產(chǎn)生證書(shū)600的簽名的方法700。將數(shù)據(jù)字段610中的信息輸入到哈希函數(shù)720(例如SHA2或SHA3)中，以產(chǎn)生摘要730。將摘要輸入到算法(例如RSA加密算法)中，且使用證書(shū)頒發(fā)機(jī)構(gòu)(CA)私鑰750(例如本地根證書(shū)頒發(fā)機(jī)構(gòu)320的私鑰CAKPri)來(lái)對(duì)所述摘要進(jìn)行簽名，以產(chǎn)生簽名字段620中的簽名值。證書(shū)頒發(fā)機(jī)構(gòu)私鑰CAKpri及證書(shū)頒發(fā)機(jī)構(gòu)公鑰CAKpub為非對(duì)稱密鑰對(duì)。同樣，遠(yuǎn)程站310的私鑰Kpri及公鑰Kpub為非對(duì)稱密鑰對(duì)。
[0041]參考圖1，無(wú)線遠(yuǎn)程站(RS)102(例如，圖3中的遠(yuǎn)程站310及第二站臺(tái)340)可與無(wú)線通信系統(tǒng)100的一或多個(gè)基站(BS)104通信。RS可為移動(dòng)臺(tái)。無(wú)線通信系統(tǒng)100可進(jìn)一步包含一或多個(gè)基站控制器(BSC)106及核心網(wǎng)絡(luò)108。核心網(wǎng)絡(luò)可經(jīng)由適合回程連接到因特網(wǎng)110及公共交換電話網(wǎng)絡(luò)(PSTNH12。典型的無(wú)線移動(dòng)站可包含手持式電話或膝上型計(jì)算機(jī)。無(wú)線通信系統(tǒng)100可使用數(shù)種多址技術(shù)(例如碼分多址(CDMA)、時(shí)分多址(TDMA)、頻分多址(FDMA)、空分多址(SDMA)、極分多址(PDMA))中的任一者或所屬領(lǐng)域中已知的其它調(diào)制技術(shù)。
[0042]所屬領(lǐng)域的技術(shù)人員將理解，可使用多種不同技術(shù)及技藝中的任一者來(lái)表示信息及信號(hào)。例如，可通過(guò)電壓、電流、電磁波、磁場(chǎng)或磁粒子、光場(chǎng)或光粒子或其任何組合來(lái)表示貫穿以上描述可能參考的數(shù)據(jù)、指令、命令、信息、信號(hào)、位、符號(hào)及碼片。
[0043]所屬領(lǐng)域的技術(shù)人員將進(jìn)一步了解，結(jié)合本文所揭示的實(shí)施例描述的各種說(shuō)明性邏輯塊、模塊、電路及算法步驟可實(shí)施為電子硬件、計(jì)算機(jī)軟件或兩者的組合。為清晰地說(shuō)明硬件與軟件的此可互換性，以上已大體就其功能性描述了各種說(shuō)明性組件、塊、模塊、電路及步驟。此類功能性是實(shí)施為硬件還是軟件取決于具體應(yīng)用及施加于整個(gè)系統(tǒng)的設(shè)計(jì)約束。所屬領(lǐng)域的技術(shù)人員可針對(duì)每一特定應(yīng)用以不同方式來(lái)實(shí)施所描述的功能性，但此類實(shí)施決策不應(yīng)解釋為引起脫離本發(fā)明的范圍。
[0044]可使用通用處理器、數(shù)字信號(hào)處理器(DSP)、專用集成電路(ASIC)、現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA)或經(jīng)設(shè)計(jì)以執(zhí)行本文所描述的功能的其它可編程邏輯裝置、離散門(mén)或晶體管邏輯、離散硬件組件或其任何組合來(lái)實(shí)施或執(zhí)行結(jié)合本文中所揭示的實(shí)施例而描述的各種說(shuō)明性邏輯塊、模塊及電路。通用處理器可為微處理器，但在替代方案中，處理器可為任何常規(guī)的處理器、控制器、微控制器或狀態(tài)機(jī)。處理器還可實(shí)施為計(jì)算裝置的組合，例如，DSP與微處理器的組合、多個(gè)微處理器、結(jié)合DSP核心的一或多個(gè)微處理器，或任何其它此類配置。
[0045]結(jié)合本文所揭示實(shí)施例而描述的方法或算法的步驟可直接體現(xiàn)在硬件、由處理器執(zhí)行的軟件模塊或所述兩者的組合中。軟件模塊可駐留在RAM存儲(chǔ)器、快閃存儲(chǔ)器、ROM存儲(chǔ)器、EPROM存儲(chǔ)器、EEPROM存儲(chǔ)器、寄存器、硬盤(pán)、可移除式磁盤(pán)、⑶-ROM，或此項(xiàng)技術(shù)中已知