使用设备置备协议(DPP)来载入多接入点(Multi-AP)设备
相关申请的交叉引用
该专利申请要求于2018年3月28日提交的美国临时专利申请No.62/649,559以及于2019年3月18日提交的美国专利申请No.16/357,196的优先权。这些在先申请的公开内容被认为是本专利申请的一部分并且通过援引被纳入到本专利申请中。
技术领域
本公开一般涉及通信系统领域,并且尤其涉及在多接入点(Multi-AP)网络中使用设备置备协议(DPP)来载入(onboarding)多AP设备。
相关技术描述
网络包括经由通信介质来相互通信的设备。在设备被首次部署时,这些设备通常执行载入过程以建立网络或加入现有的网络。在载入过程期间,每个设备被配置有网络凭证和参数以在该设备能与网络的其他设备通信之前接入通信介质。配置设备以用于网络的载入过程可包括用于关联、登记、验证的操作或其他操作。
在具有多接入点的网络(可被称为多AP网络)中,用于载入新设备的现有的方法包括:使用
概述
本公开的系统、方法和设备各自具有若干创新性方面,其中并不由任何单个方面全权负责本文中所公开的期望属性。
本公开中描述的主题的一个创新方面可以在第一多AP设备中实现以使用设备置备协议(DPP)和多AP通信协议来载入一个或多个多AP设备。第一多AP设备可以在载入操作期间确定使用DPP推导出的DPP配置信息,以及至少部分地基于该DPP配置信息、使用多AP通信协议来在第一多AP设备与第二多AP设备之间建立多AP网络配置。
在一些实现中,DPP配置信息可以在部署之前由网络运营商远程执行的预载入过程期间使用DPP来推导。
在某些实现中,第一多AP设备可以是配置为DPP配置方的多AP控制方,而第二多AP设备可以是配置为DPP登记方或对等方的多AP代理,或者第一多AP设备可以是配置为DPP配置方的第一多AP代理,而第二多AP设备可以是配置为DPP登记方或对等方的第二多AP代理。
在一些实现中,至少部分地基于DPP配置信息、使用多AP通信协议来在第一多AP设备与第二多AP设备之间建立多AP网络配置可包括:第一多AP设备和第二多AP设备交换包括使用DPP推导出的一个或多个连接体在内的与该多AP通信协议相关联的消息。
在一些实现中,一个或多个连接体中的每一者可包括含以下各项的元组:群标识符、网络角色、和网络接入置备密钥。
在一些实现中,多AP通信协议可以包括IEEE 1905.1协议,并且至少部分地基于DPP配置信息、使用多AP通信协议来在第一多AP设备与第二多AP设备之间建立多AP网络配置可包括:第一多AP设备和第二多AP设备交换包括使用DPP推导出的一个或多个连接体在内的IEEE 1905.1消息以建立IEEE1905.1配置。
在一些实现中,第一多AP设备可以与第二多AP设备交换包括一个或多个连接体在内的IEEE 802.11消息以在第一多AP设备与第二多AP设备之间建立IEEE 802.11连接。
在一些实现中,第一多AP设备可以确定与第一多AP设备相关联的连接体,生成包括该连接体在内的IEEE 802.11消息,用配置方签名私钥来数字签名包括该连接体在内的该IEEE 802.11消息的至少一部分,以及将经数字签名的IEEE 802.11消息提供给第二多AP设备以供使用配置方验证公钥来验证该连接体。
在一些实现中,第一多AP设备可以确定与第一多AP设备相关联的连接体,生成包括该连接体在内的IEEE 1905.1消息,用配置方签名私钥来数字签名包括该连接体在内的该IEEE 1905.1消息的至少一部分,以及将经数字签名的IEEE 1905.1消息提供给第二多AP设备以供使用配置方验证公钥来验证该连接体。
在一些实现中,第一多AP设备可以从网络运营商接收与正被载入到多AP网络中的网络设备相关联的引导密钥,以及可以至少部分地基于从网络运营商接收到的该引导密钥、使用DPP来认证和配置该网络设备。
在一些实现中,网络设备可以是正被载入到多AP网络中的站(STA)或多AP代理。引导密钥可在部署STA或多AP代理之前由网络运营商远程执行DPP的一部分之后来确定。
在一些实现中,网络设备可以是正被载入到多AP网络中的多AP代理。引导密钥可以经由网络运营商从STA接收到,其中该引导密钥可以由STA在执行DPP的一部分之后确定。
在一些实现中,第一多AP设备可以向网络设备提供DPP认证请求。DPP认证请求可以由第二多AP设备经由至少第一IEEE 1905.1消息来隧穿到网络设备以供认证。第一多AP设备可以从网络设备接收由第二多AP设备经由至少第二IEEE 1905.1消息隧穿的DPP认证响应,并且可以至少部分地基于引导密钥来验证从该网络设备接收到的DPP认证响应。
在一些实现中,第一多AP设备可以从网络设备接收由第二多AP设备经由至少第一IEEE 1905.1消息隧穿的DPP配置请求,以用于将该网络设备配置到多AP网络中。第一多AP设备可以至少部分地基于DPP配置请求来配置网络设备,并且向该网络设备提供DPP配置响应。该DPP配置响应可以由第二多AP设备经由至少第二IEEE 1905.1消息来隧穿。
本公开中描述的主题的另一创新方面可以在配置方站(STA)中实现,以使用DPP和多AP通信协议来载入第一STA。配置方STA可以在第一STA的载入过程期间发起DPP,根据该DPP基于配置方STA与第一STA之间的DPP消息交换来确定DPP配置信息,以及至少部分地基于该DPP配置信息、使用多AP通信协议来在第一STA与多AP网络的多AP设备之间建立多AP网络配置。
在一些实现中,配置方STA可以将DPP配置信息提供给多AP设备。多AP设备可以存储DPP配置信息,并且将DPP配置信息提供给网络运营商。
在一些实现中,配置方STA可被配置为DPP配置方,第一STA可被配置为DPP登记方,而多AP设备可以是多AP控制方或多AP代理。
本公开中描述的主题的另一创新方面可以在第一多AP设备中实现以使用设备置备协议(DPP)和多AP通信协议来载入至少第二多AP设备。第一多AP设备可包括:用于在载入过程期间确定使用DPP推导出的DPP配置信息的装置,以及用于至少部分地基于该DPP配置信息、使用多AP通信协议来在第一多AP设备与第二多AP设备之间建立多AP网络配置的装置。
在一些实现中,用于至少部分地基于DPP配置信息、使用多AP通信协议来在第一多AP设备与第二多AP设备之间建立多AP网络配置的装置包括:用于交换包括使用DPP推导出的一个或多个连接体在内的与该多AP通信协议相关联的消息的装置。
在一些实现中,多AP通信协议包括IEEE 1905.1协议,并且用于至少部分地基于DPP配置信息、使用多AP通信协议来在第一多AP设备与第二多AP设备之间建立多AP网络配置的装置包括:用于交换包括使用DPP推导出的一个或多个连接体在内的IEEE 1905.1消息以建立IEEE 1905.1配置的装置。
在一些实现中,第一多AP设备可包括用于交换包括一个或多个连接体在内的IEEE802.11消息以在第一多AP设备与第二多AP设备之间建立IEEE802.11连接的装置。
在一些实现中,第一多AP设备可包括:用于确定与第一多AP设备相关联的连接体的装置,用于确定与第一多AP设备相关联的连接体的装置,用于生成包括该连接体在内的IEEE 802.11消息的装置,用于用配置方签名私钥来数字签名包括该连接体在内的该IEEE802.11消息的至少一部分的装置,以及用于将经数字签名的IEEE 802.11消息提供给第二多AP设备以供使用配置方验证公钥来验证该连接体的装置。
在一些实现中,第一多AP设备可包括:用于确定与第一多AP设备相关联的连接体的装置,用于生成包括该连接体在内的IEEE 1905.1消息的装置,用于用配置方签名私钥来数字签名包括该连接体在内的该IEEE 1905.1消息的至少一部分的装置,以及用于将经数字签名的IEEE 1905.1消息提供给第二多AP设备以供使用配置方验证公钥来验证该连接体的装置。
在一些实现中,第一多AP设备可包括:用于从网络运营商接收与正被载入到多AP网络中的网络设备相关联的引导密钥的装置,以及用于至少部分地基于从该网络运营商接收到的该引导密钥、使用DPP来认证和配置该网络设备的装置。
本公开中描述的主题的另一创新方面可以在第一多AP设备中实现以使用设备置备协议(DPP)和多AP通信协议来载入至少第二多AP设备。第一多AP设备可包括配置成接收与第二多AP设备相关联的DPP配置信息的网络接口。第一多AP设备还可包括与该网络接口耦合的处理器,该处理器可被配置成:在载入过程期间确定使用DPP推导出的DPP配置信息,以及至少部分地基于该DPP配置信息、使用多AP通信协议来在第一多AP设备与第二多AP设备之间建立多AP网络配置。
在一些实现中,处理器配置成至少部分地基于DPP配置信息、使用多AP通信协议来在第一多AP设备与第二多AP设备之间建立多AP网络配置包括:该处理器配置成交换包括使用DPP推导出的一个或多个连接体在内的与该多AP通信协议相关联的消息。
在一些实现中,多AP通信协议包括IEEE 1905.1协议,并且处理器配置成至少部分地基于DPP配置信息、使用多AP通信协议来在第一多AP设备与第二多AP设备之间建立多AP网络配置包括:该处理器配置成准备供经由该网络接口交换的包括使用DPP推导出的一个或多个连接体在内的IEEE 1905.1消息以建立IEEE 1905.1配置。
在一些实现中,该处理器被进一步配置成:准备供经由该网络接口交换的包括一个或多个连接体在内的IEEE 802.11消息以在第一多AP设备与第二多AP设备之间建立IEEE802.11连接。
本公开中所描述的主题内容的一种或多种实现的详情在附图及以下说明中阐述。其他特征、方面和优点将从该描述、附图和权利要求书中变得明了。应注意,以下附图的相对尺寸可能并非按比例绘制。
附图简述
图1示出了介绍使用设备置备协议(DPP)和基于多AP的协议两者来载入多AP设备的概念的示例系统示图。
图2示出了DPP的示例消息流图。
图3示出了使用从由网络运营商执行的DPP推导出的DPP配置信息进行的多AP设备载入过程的示例消息流图。
图4示出了使用DPP和多AP通信协议来载入一个或多个多AP设备的示例流程图。
图5示出了使用从零售商获取的DPP引导信息进行的站(STA)载入过程的示例消息流图。
图6示出了使用从零售商获取的DPP引导信息进行的STA载入过程的另一示例消息流图。
图7示出了使用由网络运营商委托为DPP配置方的配置方STA进行的STA载入过程的示例消息流图。
图8示出了使用DPP和多AP通信协议来载入第一STA的示例流程图。
图9示出了多AP代理载入过程的示例消息流图。
图10示出了多AP代理载入过程的另一示例消息流图。
图11示出了用于实现本公开的各方面的示例电子设备的框图。
各个附图中相似的附图标记和命名指示相似要素。
详细描述
以下描述针对某些实现以旨在描述本公开的创新性方面。然而,本领域普通技术人员将容易认识到,本文的教示可按众多不同方式来应用。本公开中的一些示例基于根据电气和电子工程师协会(IEEE)802.11无线标准、IEEE 802.3以太网标准和IEEE 1901电力线通信(PLC)标准的无线和有线局域网(LAN)通信。然而,所描述的实现可以在能够根据包括以下各项的无线通信标准中的任一者来传送和接收RF信号的任何设备、系统或网络中实现:IEEE 802.11标准中的任一者、
多AP网络可包括两个或更多个多AP设备,并且还可包括一个或多个站(STA)。多AP设备可包括多AP控制方和一个或多个多AP代理。多AP控制方可以是实现用于控制多AP网络的操作的逻辑的逻辑实体。除了控制多AP网络的操作之外,多AP控制方还可以在提供无线覆盖的AP(其可被称为根AP或RAP)中实现。多AP控制方可以在自身不提供无线覆盖但可以通信地耦合到宽带网络以及提供无线连通性的一个或多个AP的不同类型的网络设备(诸如网关或路由器)中实现。多AP代理可以是执行用于控制多AP网络的操作的多AP控制方的一些功能的逻辑实体。多AP代理可以在提供多AP网络中的无线覆盖的AP中实现,并且可以支持一个或多个STA。STA也可以被称为客户端STA,并且如果该STA不具有AP能力,则也可被称为非AP STA。
在多AP设备到多AP网络中的部署期间,多AP控制方(在一些情形中还包括现有的多AP代理)可执行操作以载入新的多AP设备。通常,载入过程使用通过Wi-Fi保护设置(WPS)进行的按钮配置(其也被称为Wi-Fi简单配置)来执行。使用WPS按钮配置载入新的多AP设备要求用户参与配置过程,并且当在配置过程中出现技术问题时还可能需要用户参与任何故障排除。而且,使用WPS按钮配置来载入新的多AP设备可能无法提供强大的安全性,至少因为不存在关于正进行载入的该新的多AP设备是受信任的认证。在一些场景中,网络运营商可能想要将部署到网络中的设备限制为已经被该网络运营商认为有资格的受信任设备。此外,当新的多AP设备使用WPS按钮配置来载入到错误的网络中时可存在一时间窗口,或者如果邻居网络也在相同时间窗口期间执行WPS按钮配置,则不在用户控制下的另一多AP设备可能被载入到用户的多AP中。
在一些实现中,一个或多个多AP设备可以使用设备置备协议(DPP)和多AP通信协议两者来载入。多AP通信协议可以包括IEEE 1905.1通信协议以及由其他标准机构定义的对1905.1通信协议的扩展。例如,DPP可以在部署一个或多个多AP设备之前由网络运营商在预载入过程期间远程执行,或者可以由该网络运营商在部署和安装该一个或多个多AP设备期间执行。网络运营商可以是多AP设备的所有者,其也可以向用户提供网络服务(诸如宽带因特网服务)和其他多媒体服务。在DPP期间,网络运营商会生成并存储用于一个或多个多AP设备的配置信息。在部署之际网络运营商可以使用配置信息来远程管理将在家庭、办公室或其他环境中建立的多AP网络的一个或多个多AP设备。
在预载入过程期间,网络运营商还可以通过将多AP控制方配置为DPP配置方来将配置方角色或能力委托给该多AP控制方。其余多AP设备可被配置为DPP登记方(其在载入过程之后将被称为DPP对等方)。当部署了一个或多个多AP设备且打开电源时,被委托为DPP配置方的多AP控制方可自动交换包括从DPP推导出的配置信息(其也可被称为DPP配置信息)的IEEE 1905.1分组,以及交换附加分组,以便无缝地执行载入过程并建立安全多AP网络而无需用户参与。在初始部署之后,可以执行附加载入过程以向多AP网络添加(诸)多AP代理或STA或替换(诸)多AP代理或STA,或者替换多AP控制方。
DPP可被用于促成对要引入网络的(诸)DPP登记方设备的配置。例如,DPP可以在DPP登记方设备(其也可被称为登记方设备)和DPP配置方设备(其也可被称为配置方设备)之间提供认证和认证式密钥建立。DPP配置方设备可以提供由DPP登记方设备用来加入网络的配置。DPP登记方设备和DPP配置方设备中的每一者可具有引导公钥(有时也被称为身份公钥),该引导公钥在设备之间是受信任的并且可被用于初始认证。当另一设备的引导公钥是使用带外技术来获取时,获取该引导公钥的过程被称为“引导”。引导提供引导公钥方面的信任,因为带外技术通常涉及与登记方设备的邻近度或物理关联。例如,引导可包括扫描对引导公钥进行编码的快速
在一些实现中,线上或实体商家、零售商或其他第三方实体可以远程地执行用于将被载入在多AP网络中的新STA的DPP过程的一部分。例如,客户可以从零售商购买或租用新STA(诸如平板计算机、游戏控制台、或电视)以添加到该客户的家庭或办公室处的多AP网络。零售商可以执行DPP过程的一部分,以将STA配置为DPP登记方,并且在将该STA运送或提供给客户之前获取该STA的引导公钥。零售商可以将引导公钥(诸如经由因特网)安全地传送到网络运营商。然后,网络运营商可以将引导公钥安全地传送到已在客户的家庭或办公室处被委托为DPP配置方的多AP控制方。当新STA被上电时,多AP控制方可以无缝地执行DPP过程的其余部分以获取DPP配置信息,并根据IEEE 1905.1协议来交换附加消息以用于载入该新STA。在一些实现中,线上或实体商家或零售商可以是网络运营商。网络运营商既可以是网络的运营商,并且也可以运营一个或多个零售商。例如,网络运营商可具有实体或线上零售商店,客户可以在其中租用或购买可被添加到多AP网络的新设备(诸如STA或多AP代理)。
在一些实现中,网络运营商可以将DPP配置方角色委托给配置方STA(或者委托给可下载到STA的经运营商批准的配置方应用),该配置方STA可以由多AP网络的用户使用以将新STA载入到多AP网络中。网络运营商可以向用户提供预加载有配置方应用(或预配置为DPP配置方)的配置方STA,或者网络运营商可以提供用户可下载到STA以将STA配置为DPP配置方的可下载配置方应用。用户可使用配置方STA来执行DPP,确定DPP配置信息,以及交换其他消息以将新STA载入到多AP网络中。配置方STA还可以经由多AP代理向多AP控制方提供或者直接向多AP控制方提供DPP配置信息的备份,并且然后该多AP控制方可以将DPP配置信息的备份提供给网络运营商。
可以实现本公开中描述的主题内容的特定实现以达成以下潜在优点中的一者或多者。使用DPP和基于多AP的协议(诸如IEEE 1905.1协议)两者来载入多AP设备可以在几乎没有或没有用户参与的情况下无缝地配置设备和网络。网络运营商还可以远程地管理网络配置,并且还可以在几乎没有或没有用户参与的情况下远程地执行故障排除、重配置和升级。此外,在零售商远程地执行DPP过程的一部分并且与网络运营商通信之后,或者通过使用被网络运营商委托为DPP配置方的配置方STA,多AP网络的用户可以轻松且无缝地载入附加STA。使用DPP和基于多AP的协议(诸如IEEE 1905.1协议)两者来载入多AP设备还可利用增强的安全性特征。
图1示出了介绍使用DPP和基于多AP的协议两者来载入多AP设备的概念的示例系统示图。示例系统100包括:网络运营商110、多AP控制方120、多AP代理130、客户端STA 140和零售商175。多AP网络(其是局域网(LAN))可包括多AP控制方120、多AP代理130和STA140。多AP网络通信地耦合到宽带网络160(诸如因特网)。宽带网络160也可被称为广域网(WAN)。网络运营商110、零售商175和多AP网络可经由宽带网络160来彼此通信。
多AP控制方120可包括有线接口121、无线接口122、多AP单元124、和DPP单元126。多AP代理130可包括有线接口131、无线接口132、多AP单元134、和DPP单元136。STA 140可包括无线接口142和DPP单元146。有线接口121和131可被用于有线网络通信,诸如以太网、电力线通信(PLC)、或同轴电缆多媒体
多AP单元124和134可实现用于多AP网络的通信协议(其可被称为基于多AP的协议(或即多AP通信协议)),诸如IEEE 1905.1通信协议和IEEE802.11通信协议。DPP单元126、136和146可实现DPP,并且还可被配置成以在DPP规范中所定义的特定网络角色来操作。例如,DPP单元126可被配置为DPP配置方125,其配置多AP控制方120以执行与DPP配置方相关联的操作。DPP单元136可被配置为DPP登记方135,其配置多AP代理130以执行与DPP登记方相关联的操作。DPP单元146还可被配置为DPP登记方145,其配置多STA 140以执行与DPP登记方相关联的操作。一旦DPP登记方被置备到网络中,该DPP登记方就被称为DPP对等方。
在一些实现中,为了建立多AP网络,可以使用DPP和多AP通信协议(诸如1905.1通信协议)两者来载入多AP控制方120和多AP代理130。网络运营商110可以在将多AP控制方120和多AP代理130部署到目的地之前的预载入过程期间远程执行DPP。例如,在预载入过程期间,网络运营商110可承担DPP配置方的网络角色,并且执行用于多AP控制方120和多AP代理130的DPP。在DPP期间,用于多AP控制方120和多AP代理130中的每一者的配置信息(其也可被称为DPP配置信息)由网络运营商110来生成和存储。网络运营商110可以将DPP配置信息存储在数据库中,这将该DPP配置信息与对应的多AP网络(在家庭、办公室或其他位置中)相关联。在部署之际DPP配置可以由信息网络运营商110用来远程管理多AP网络的多AP设备。在预载入过程期间,网络运营商110还可以通过在部署之前将多AP控制方120的DPP单元126配置为DPP配置方125来将配置方角色或能力委托给该多AP控制方120。其余多AP设备可被配置为DPP登记方(其在载入过程之后将被称为DPP对等方)。在一些实现中,网络运营商110可以在经由宽带网络160的部署之后,远程地将网络角色或能力(诸如DPP配置方角色或能力委托给多AP控制方120),或者可以改变被委托DPP配置方角色的设备。在DPP过程期间交换的各种消息将在图2中进一步描述。
在预配置过程之后,网络运营商110可以将多AP控制方120和多AP代理130部署到目的地(由箭头185所示)。例如,网络运营商110可以将多AP设备安装在目的地处。STA 140可以是由多AP网络的用户所拥有的设备,其可以在建立多AP网络之后由用户分开载入。当部署了多AP设备且打开电源时,多AP控制方120和多AP代理130可首先经由无线接口122和132根据IEEE 802.11协议来交换发现、认证和关联分组以建立无线通信链路。然后,多AP控制方120和多AP代理130可以交换各种IEEE 1905.1分组,诸如包括DPP配置信息的IEEE1905.1认证分组以彼此无缝地认证。在一些实现中,通过分别在多AP控制方120和多AP代理130处在多AP层之上定义DPP配置方和DPP登记方(或对等方)层,可以在IEEE 1905.1分组上传输DPP帧。委托为DPP配置方的多AP控制方120可以与多AP代理130(以及初始部署中所包括的任何其他多AP代理)交换包括DPP配置信息在内的IEEE 1905.1认证分组,并且还交换其他IEEE 1905.1分组以完成载入过程以及建立多AP网络,如将在图3和4中进一步描述的。在初始部署之后,可以执行附加载入过程以向多AP网络添加(诸)多AP代理或客户端STA或替换(诸)多AP代理或客户端STA,或替换多AP控制方。
在一些实现中,零售商175(诸如线上或实体零售商、或其他第三方实体)或网络运营商110可以远程执行DPP过程的一部分以在多AP网络中载入新STA(诸如STA 140)(或新的多AP代理)。例如,客户可以从零售商175购买或租用STA 140,以添加到该客户的家庭或办公室处的多AP网络。STA 140可以是各种类型的设备,诸如膝上型计算机、平板计算机、智能家电、游戏控制台等。零售商175可执行DPP过程的一部分,以在零售商175将STA 140运送给客户之前或在客户离开具有STA 140的零售商175之前获取用于该STA140的引导公钥。零售商175可以将引导公钥(诸如经由因特网)安全地传送到网络运营商110。然后,网络运营商110可以将引导公钥安全地传送到已被委托为DPP配置方125的多AP控制方120。在一些实现中,网络运营商110可以运行零售商175(或零售商175可以是网络运营商)。例如,网络运营商110可具有实体或线上零售商店(诸如零售商175),客户可以在其中租用或购买可被添加到多AP网络的新设备(诸如STA或多AP代理)。
在部署了STA 140(由箭头195所示)且该STA 140被上电之后,该STA140无缝地标识各多AP设备中的一个多AP设备(诸如多AP网络中最接近的多AP设备)并且与该多AP设备交换DPP消息。例如,STA 140可以标识多AP代理130或多AP控制方120。如果多AP控制方120被配置为DPP配置方125,则STA 140(其被配置为DPP登记方145)可经由多AP代理130来与多AP控制方120间接通信,如将在图5中进一步描述的。如果多AP控制方120已经将DPP配置方角色委托给多AP代理130,则STA 140(其被配置为DPP登记方145)可与多AP代理130直接通信,如将在图6中进一步描述的。然后,STA 140可以验证引导密钥并且与多AP代理130或多AP控制方120交换DPP消息以执行DPP过程的其余部分并且获取DPP配置信息。在DPP认证和配置之后,如果各设备正无线地通信,则STA 140和多AP代理130或多AP控制方120可以执行无线发现、认证和关联过程,以建立无线通信链路(根据IEEE 802.11协议),并完成载入过程,如图5和6中所描述的。
在一些实现中,网络运营商110可以将DPP配置方角色委托给配置方STA(或者委托给可下载到STA的经运营商批准的配置方应用),诸如可以由多AP网络的用户使用以将新STA(诸如STA 140)载入到该多AP网络中的配置方STA 150。网络运营商110可以向用户提供预加载有配置方应用(或预配置为DPP配置方)的配置方STA 150,或者网络运营商110可以提供用户可下载到配置方STA 150以将该配置方STA 150配置为DPP配置方的可下载配置方应用。配置方STA 150可以是具有用户接口(UI)的便携式设备,诸如移动电话、平板计算机、膝上型计算机、智能遥控器、可穿戴设备等等。STA 140可以是各种类型的设备,诸如智能家电、游戏控制台、电视、无线扬声器、平板计算机等。用户可使用配置方STA 150通过执行DPP来开始STA 140的载入过程(如由箭头155所示),如图2中所示。例如,配置方STA 150和STA140可以验证引导密钥,并执行DPP身份认证和DPP配置。在DPP认证和配置之后,如果各设备正无线地通信,则STA 140可以与多AP代理130或多AP控制方120通信以执行无线发现、认证和关联过程,以建立无线通信链路(根据IEEE 802.11协议),并完成载入过程,如图7中所描述的。配置方STA 150还可以经由多AP代理130向多AP控制方120或直接向多AP控制方120提供DPP配置信息的备份。然后,多AP控制方120将DPP配置信息的备份提供给网络运营商110。
在多AP控制方120、多AP代理130和STA 140已经被载入到多AP网络中之后,网络运营商110可继续远程管理多AP网络并确定何时多AP设备需要被升级或更换、管理对添加新的多AP设备的请求、或管理故障排除以维持最优网络性能。
图2示出了DPP的示例消息流图200。DPP 200可以在一对设备(诸如DPP配置方220与DPP登记方230)之间,并且引导可以由DPP配置方220直接与DPP登记方230执行。在DPP200中,DPP配置方220可以提供DPP登记方230的配置。如图1中所描述的,DPP配置方220可对应于网络运营商110(其可以执行预载入DPP过程)、多AP控制方120(其可以由网络运营商110委托为DPP配置方)、多AP代理130(其可以由多AP控制方120委托为DPP配置方)、配置方STA 150(其可以由网络运营商110或多AP设备之一委托为DPP配置方)、或零售商175(其可以由网络运营商110委托为DPP配置方)。取决于载入过程的类型,DPP配置方220除了执行IEEE 1905.1协议的消息交换之外,还可以执行图2中所描述的DPP操作中的一些或全部操作,以便于载入多AP设备或STA,如图3-11中所描述的。图2中所示的DPP 200包括三个操作:引导技术(在211)、DPP认证(在231)和DPP配置(在251)。DPP认证依赖于已经通过引导技术获取的认证方的引导密钥。
在205,DPP配置方220可以从DPP登记方230获取登记方引导数据。登记方引导数据可包括DPP登记方230的引导公钥。在一些实现中,登记方引导数据还可包括全局操作类和信道号列表。全局操作等级和信道号列表可被用于确定DPP登记方230将使用哪些无线电参数或哪个(哪些)无线信道来进行DPP认证。例如,全局操作类和信道号列表一起可以指示DPP登记方230将侦听(或发送)DPP认证请求消息的无线信道。
在207,在一些实现中,DPP登记方230还可以从DPP配置方220获取配置方引导数据。当双方均获取彼此的引导数据时,DPP认证可利用相互双向认证。
除了图2中所示的引导技术之外,还可以使用各种各样的其他引导技术。引导技术允许接收者信任属于特定设备的引导数据。扫描二维矩阵条形码(诸如QR码)是一种用于获取引导数据的技术。另一种引导技术是在其他介质上传输引导数据,这些介质可以对所传输的内容的完整性提供一定程度的信任(例如USB、NFC或蓝牙)。又一种引导技术是用共享码来掩蔽引导数据(共享码可以是用于掩蔽引导数据的密钥、短语或字)。对等方可依赖于共享代码的知识来掩蔽或去掩蔽引导密钥。如果对等方能够证明其知道并且可以使用共享代码,则该对等方的引导数据可以是受信任的。
DPP认证阶段使用通过引导技术获取的引导数据来对配置方和登记方进行强认证。DPP认证包括3消息交换以及生成共享秘密和认证式密钥。在215,DPP配置方220生成第一随机数,生成协议密钥对,执行登记方引导公钥的散列函数,以及基于从经散列的引导数据推导出的共享秘密来生成第一对称密钥。DPP配置方220经由信道列表中的一个或多个信道发送DPP认证请求消息217。DPP认证请求消息217包括共享秘密和由第一对称密钥加密的第一随机数。
在225,DPP登记方230接收DPP认证请求消息217,并检查其引导公钥的散列是否在消息中。如果其引导公钥的散列在消息中,则DPP登记方230生成共享秘密并推导出第一对称密钥。DPP登记方230尝试使用第一对称密钥来解开第一随机数。接下来,DPP登记方230生成第二随机数、共享秘密和第二对称密钥。DPP登记方230将两个随机数及其能力封装在第一对称密钥中,并且将认证标签封装在第二对称密钥中。然后,DPP登记方230将其引导公钥的散列(如果正进行相互认证,则可任选地包括配置方引导公钥的散列)、其共用协议密钥、经封装的随机数及其经封装的网络共用密钥一起、以及经封装的认证标签放置在DPP认证响应消息227中。DPP认证响应消息227被传送到DPP配置方220。
在接收到响应之后,DPP配置方220可以在235验证结果,并传送DPP认证确认消息237以完成DPP认证阶段。在成功完成DPP认证阶段之后,在DPP配置方220与DPP登记方230之间建立安全信道。
在完成DPP认证之后,DPP配置方220为设备到设备通信或基础设施通信提供DPP登记方230。作为这种置备的一部分,DPP配置方220使DPP登记方230能够与网络中的其他对等方建立安全关联。DPP登记方230通过传送DPP配置请求消息263来发起配置阶段,并且被置备有DPP配置响应消息267中的配置信息。在接收到DPP配置响应消息267之后,DPP登记方230被置备有可用于建立对网络的安全接入的DPP配置信息(其也可被称为DPP配置对象)。
DPP配置信息可被存储在DPP配置方220和DPP登记方230(其在配置之后可被称为DPP对等方)两者中。在一些实现中,DPP配置信息可包括配置方验证公钥。DPP配置方220的配置方签名私钥可被用于创建经数字签名消息。配置方验证公钥可由DPP登记方230用来验证经数字签名消息曾使用配置方签名私钥来签名。
在本公开中,当参考共用密钥和私有密钥时,每个共用密钥和私有密钥可在密钥对中相关。密钥对可包括在数学上有联系但是彼此不同的私有密钥和共用密钥。共用密钥可被用于加密信息或验证数字签名。私有密钥可被用于解密信息或创建数字签名。
图3示出了使用从由网络运营商执行的DPP推导出的DPP配置信息进行的多AP设备载入过程的示例消息流图。消息流图300包括在多AP控制方120(被配置为DPP配置方)与多AP代理130(在DPP之后被配置为DPP对等方)之间的消息。在一些实现中,在将多AP设备部署到目的地(图1的185中所示)之后执行图3中所示的载入过程,并且跟随之后网络运营商110在预载入过程期间执行图2中描述的DPP。如图2中所描述的,网络运营商110从DPP确定DPP配置信息350(也被称为DPP配置对象),并且向多AP配置方120和多AP代理130提供DPP配置信息350。如图2中所描述的,DPP配置信息350可包括配置方验证公钥。
在一些实现中,当多AP控制方120和多AP代理130具有用于图3中所示的载入过程的无线和有线通信能力时,设备执行以下两个操作:交换IEEE802.11消息以建立IEEE802.11连接和安全性(在325),并且然后交换IEEE1905.1消息以建立1905.1配置和安全性(在375)。在一些实现中,当多AP控制方120和多AP代理130仅经由有线通信介质连接或仅具有有线通信能力时,对于载入过程(诸如经由以太网电缆),设备仅交换IEEE 1905.1消息以建立1905.1配置和安全性(在375)。
在303,在由网络运营商110执行的预载入过程之后,当多AP控制方120和多AP代理130具有无线通信能力时,多AP控制方120和多AP代理130可以执行IEEE 802.11扫描过程。例如,多AP控制方120和多AP代理130中的一者可以扫描网络以寻找信标消息或发送探通请求消息。例如,多AP代理130可以发送探通请求消息以主动扫描网络,并且多AP控制方120可以用探通响应消息来响应。
在313,多AP控制方120和多AP代理130可以交换对等方发现请求和响应帧。在一些实现中,多AP控制方120和多AP代理130可各自确定在预载入过程期间使用DPP推导出的DPP配置信息350。而且,在DPP处理之后,多AP控制方120和多AP代理130可各自确定一“连接体(connector)”,其可以是使多AP设备能够获得网络上的其他设备被准许与其进行通信的受信任声明的经签名介绍。例如,连接体可以是含以下各项的元组:群标识符、网络角色、和网络接入置备密钥。连接体可以由配置方签名私钥来签名,并且该连接体可以是使用配置方验证公钥来验证的。在一些实现中,多AP代理130可以传送具有与多AP代理130相关联的连接体的对等方发现请求帧。多AP控制方120可以接收具有连接体的对等方发现请求帧并且可以验证群标识符、网络角色以及该连接体的其他信息。多AP控制方120还可以用具有与多AP控制方120相关联的连接体的对等方发现响应帧来响应多AP代理130。对等方发现响应帧可以用配置方签名私钥来数字签名。多AP代理130可以用配置方验证公钥来验证经数字签名消息,并验证从多AP控制方120接收到的连接体。
在323,多AP控制方120和多AP代理130根据IEEE 802.11标准规范中指定的协议来执行IEEE 802.11认证和关联过程,以便彼此建立安全无线连接。
在333,多AP控制方120和多AP代理130经由IEEE 1905.1协议来交换用于多AP设备的IEEE 1905.1自动配置请求和响应帧以彼此发现。不管是否在325建立了安全无线连接,如果多AP设备是经由有线介质连接的,则多AP设备将在375尝试使用IEEE 1905.1协议来彼此发现和认证。
在343,多AP控制方120和多AP代理130经由IEEE 1905.1协议来交换IEEE 1905.1认证请求和响应帧以交换连接体,以便验证彼此以及网络连接。
在353,多AP控制方120和多AP代理130执行IEEE 1905.1的4路握手以建立IEEE1905.1配置和安全性。例如,4路握手可被用于推导和部署共享秘密或密钥以在针对安全性的IEEE 1905.1控制消息中使用。在353的4路握手之后,多AP控制方120和多AP代理130可以在363通过交换安全1905.1消息来通信。
在一些实现中,在将多AP设备的集束初始部署到目的地(图1的185中所示)并且执行图1-3中所示的载入过程之后,网络运营商110可接收到以下命令:将附加多AP代理部署到特定多AP网络中,或者可以部署多AP代理以替换故障设备(或升级网络)。如上所描述的,在网络运营商110在预载入过程期间执行DPP之后,该网络运营商110可以将DPP配置信息350存储在将该DPP配置信息350与特定多AP网络和对应的多AP设备相关联的数据库中。在附加多AP代理被部署到多AP网络(诸如图1中所示的网络)中之前,网络运营商110可以用DPP配置信息350来配置该附加多AP代理。当部署了附加多AP代理且打开电源时,新的多AP代理可以通过交换IEEE 1905.1消息(在图3的333-363所示)以建立IEEE 1905.1网络配置和安全性来与现有的多AP设备(诸如多AP控制方120和多AP代理130)无缝连接。在一些实现中,附加多AP代理可以执行303-323所示的消息交换(以建立IEEE 802.11连通性和安全性)和333-363所示的消息交换(以建立IEEE 1905.1网络配置和安全性)两者。
在一些实现中,在将多AP设备的集束初始部署到目的地(图1的185中所示)并且执行图1-3中所示的载入过程之后,网络运营商110可接收到部署新的多AP控制方以替换故障设备或升级网络的命令。在新的多AP控制方被部署到多AP网络(诸如图1中所示的网络)中之前,网络运营商110可以用DPP配置信息350来配置该新的多AP控制方。当部署了新的多AP控制方且打开电源时,该新的多AP控制方可能尝试通过交换IEEE 1905.1消息(图3的333–363所示)以建立IEEE 1905.1网络配置和安全性来进行连接。然而,由于新的多AP控制方具有与先前的多AP控制方不同的媒体接入控制(MAC)地址,因此(诸)现有的多AP代理(诸如,多AP代理130)与新的多AP控制方之间的IEEE 1905.1自动配置请求和响应消息(诸如333的消息)可能失败。这可以触发(诸)现有的多AP代理中的每一者与新的多AP控制方之间的新的IEEE 1905.1认证请求和响应消息交换(诸如343的消息),以交换DPP配置信息。(诸)现有的多AP代理中的每一者和新的多AP控制方也可以执行353和363的消息交换以建立IEEE1905.1网络配置和安全性。在一些实现中,新的多AP控制方可以执行303-323所示的消息交换(以建立IEEE 802.11连通性和安全性)和333-363所示的消息交换(以建立IEEE 1905.1网络配置和安全性)两者。
图4示出了使用DPP和多AP通信协议来载入一个或多个多AP设备的示例流程图400。
在框410,在一些实现中,第一多AP设备可以在载入过程期间确定使用DPP推导出的DPP配置信息。例如,第一多AP设备可以是被配置为DPP配置方的多AP控制方。在一些实现中,DPP配置信息可以在部署多AP设备之前由网络运营商远程执行的预载入过程期间使用DPP来推导。
在框420,多AP网络配置是至少部分地基于DPP配置信息、使用多AP通信协议来在第一多AP设备与第二多AP设备之间建立的。例如,第一多AP设备和第二多AP设备的多AP网络配置可以使用DPP和多AP通信协议来建立,如图1-3中所描述的。在一些实现中,多AP通信协议包括IEEE 1905.1协议。而且,第二多AP设备可以是多AP代理。在一些实现中,通过准备和交换包括与配置信息相关联的一个或多个连接体在内的IEEE 1905.1消息以建立IEEE1905.1配置,第一多AP设备与第二多AP设备之间的多AP网络配置可以基于DPP配置信息、使用多AP通信协议来建立。在一些实现中,第一多AP设备和第二多AP设备还可以准备并交换包括与配置信息相关联的一个或多个连接体在内的IEEE 802.11消息,以在第一多AP设备与第二多AP设备之间建立IEEE 802.11连接。
图5示出了使用从零售商获取的DPP引导信息进行的STA载入过程的示例消息流图。消息流图500包括:在多AP控制方120(被配置为DPP配置方)、多AP代理130(在DPP之后被配置为DPP对等方)、以及STA 140(被配置为DPP登记方)之间的消息,以及还有来自零售商175和网络运营商110的消息。
在一些实现中,零售商175(诸如线上或实体零售商、或其他第三方实体)可以远程执行DPP过程的一部分以在多AP网络(诸如图1中所示的网络)中载入新STA(诸如STA 140)。例如,客户可以从零售商175购买或租用STA140,以添加到该客户的家庭或办公室处的多AP网络。零售商175可执行DPP过程的一部分,以在零售商175将STA 140运送给客户之前或在客户离开具有STA 140的零售商175之前获取用于该STA 140的引导公钥。例如,零售商175可以扫描且解码STA 140的QR码(诸如QR码541),以推导用于STA 140的引导公钥。零售商175可以将引导公钥(诸如经由因特网)安全地传送到网络运营商110(如501所示)。然后,网络运营商110可以将引导公钥安全地传送到已被委托为DPP配置方(如在503所示)的多AP控制方120。在一些实现中,网络运营商110可以是网络运营商和零售商之一两者。例如,网络运营商110可具有实体或线上零售商店(诸如零售商175),客户可以在其中租用或购买可被添加到多AP网络的新设备(诸如STA 140)。因此,在一些实现中,网络运营商110可以执行DDP过程的一部分以获取用于STA 140的引导公钥,并且然后可以将该引导公钥安全地传送到多AP控制方120。
在将STA 140部署到目的地且STA 140被上电之后,在505,STA 140可等待以经由多AP代理130接收来自多AP控制方120的DPP认证请求。例如,当多AP控制方120接收到引导公钥时(诸如在零售商175或网络运营商110扫描并解码QR码541之后),这可以触发多AP控制方120向STA 140发送DPP认证请求。在一些实现中,STA 140、多AP控制方120和多AP代理130可以执行操作和交换各种消息,以完成DPP过程和载入STA 140。在一些实现中,当被配置为DPP配置方时,出于载入目的多AP控制方120可以与网络中的可用多AP代理(DPP对等方,诸如多AP代理130)中的每一者进行通信以确定哪个多AP代理应当与STA 140通信。例如,多AP控制方120可以尝试经由多AP代理中的每一者与STA 140进行通信,以确定多AP控制方120通过哪条路径从STA 140接收到通信,或者多AP控制方120通过哪条路径从STA140接收到最快或最高质量的响应(诸如基于每个多AP代理的无线覆盖)。在此示例中,出于载入目的,多AP控制方120可以基于多AP代理130的无线覆盖来确定要经由多AP代理130来与STA 140通信。
在一些实现中,在507,多AP控制方120可以经由IEEE 1905.1帧来向多AP代理130发送DPP认证请求(其旨在用于STA 140)。当多AP代理130未被配置为DPP配置方并且多AP控制方120(其被配置为DPP配置方)不具有与STA 140的无线连通性(或具有低质量的无线连接)时,多AP控制方120可以经由IEEE 1905.1帧来将DPP认证请求隧穿到多AP代理130。例如,多AP控制方120可以在STA 140的范围之外,或者多AP代理130可被置于较紧邻于STA140并且具有与STA 140的高质量无线连接处。在509,多AP代理130可以将DPP认证请求转发给STA 140。
在511,STA 140处理并验证DPP认证请求。例如,STA 140可以验证DPP认证请求源自拥有引导公钥(诸如经由网络运营商110从零售商175接收到的引导公钥)的多AP设备以验证该DPP认证请求。在513,STA 140可以将DPP认证响应发送到多AP代理130。在517,多AP代理130可以将包括DPP认证响应在内的IEEE 1905.1帧隧穿到多AP控制方120,该DPP认证响应可以指示STA 140验证了DPP认证请求。在521,多AP控制方120可以处理并验证经由多AP代理130从STA 140接收到的DPP认证响应。例如,多AP控制方120可以使用引导公钥来验证DPP认证响应。在523,多AP控制方120可以经由IEEE 1905.1帧来将DPP认证确认发送到多AP代理130,该DPP认证确认指示DPP认证响应被多AP控制方120所验证。在527,多AP代理130可以将DPP认证确认转发给STA 140。
在533,STA 140可以将DPP配置请求发送到多AP代理130以发起DPP配置阶段。在537,多AP 130可以经由IEEE 1905.1帧来将DPP配置请求隧穿到多AP控制方120。在542,多AP控制方120可以处理DPP配置请求,并且确定用于STA 140的DPP配置信息。在543,多AP控制方120可以将包括DPP配置响应在内的IEEE 1905.1帧发送到多AP代理130,以向STA 140置备DPP配置信息。在547,多AP代理130可以将DPP配置响应转发给STA 140,该DPP配置响应包括DPP配置信息。DPP配置信息可包括配置方验证公钥。在549,在DPP配置完成之后,STA140可以将DPP配置结果发送到多AP代理130以指示DPP配置的结果并确认DPP配置完成。
在553,多AP代理130和STA 140可以交换对等方发现请求和响应帧。在一些实现中,STA 140可以传送具有与该STA 140相关联的连接体的对等方发现请求帧。多AP代理130可以接收具有连接体的对等方发现请求帧并且可以验证群标识符、网络角色以及连接体的其他信息。多AP代理130可以用具有与多AP代理130相关联的连接体的对等方发现响应帧来响应STA 140。对等方发现响应帧可以用配置方签名私钥来数字签名。STA 140可以用配置方验证公钥来验证经数字签名消息,并验证从多AP代理130接收到的连接体。
在563,STA 140和多AP代理130可以执行IEEE 802.11认证和关联过程,以建立安全无线通信链路(根据IEEE 802.11协议),并且完成STA 140的载入过程。
图6示出了使用从零售商获取的DPP引导信息进行的STA载入过程的另一示例消息流图600。
类似于图5,零售商175可以执行DPP过程的一部分以获取用于STA 140的引导公钥。例如,零售商175可以扫描且解码STA 140的QR码(诸如QR码541),以推导用于STA 140的引导公钥。在501,零售商175可以将引导公钥(诸如经由因特网)安全地传送到网络运营商110。在503,网络运营商110然后可以将引导公钥安全地传送到多AP控制方120。在一些实现中,网络运营商110可以是网络运营商和零售商之一两者。例如,网络运营商110可具有实体或线上零售商店(诸如零售商175),客户可以在其中租用或购买可被添加到多AP网络的新设备(诸如STA 140)。
在604(其不同于图5),多AP控制方120将DPP配置方角色委托给多AP代理130,并且还将引导公钥提供给多AP代理130。此外,在一些实现中,当被配置为DPP配置方的设备(诸如多AP控制方120)将DPP配置方角色委托给另一设备(诸如多AP代理130)时,多AP控制方120可以将配置方签名私钥提供给多AP代理130(在安全包络中)。由于在图6中多AP代理130被配置为DPP配置方,因此该多AP代理不必经由IEEE 1905.1帧来将从STA 140接收到的消息隧穿到多AP控制方120(如在图5中)。取而代之,在图6中,多AP代理130和STA 140执行图5的509、513、527、533、547、547、549、553和563的操作和消息交换以便载入STA 140。
图7示出了使用由网络运营商委托为DPP配置方的配置方STA进行的STA载入过程的示例消息流图。消息流图700包括:在配置方STA 150(被配置为DPP配置方)、STA 140(被配置为DPP登记方)、多AP控制方120、以及多AP代理130之间的消息,以及还有至网络运营商110的消息。
在一些实现中,网络运营商110(或多AP控制方120)可以将DPP配置方角色委托给配置方STA(或者委托给可下载到STA的经运营商批准的配置方应用),诸如可以由多AP网络的用户使用以将新STA(诸如STA 140)载入到该多AP网络中的配置方STA 150。网络运营商110可以向用户提供预加载有配置方应用(或预配置为DPP配置方)的配置方STA 150,或者网络运营商110可以提供用户可下载到配置方STA 150以将该配置方STA 150配置为DPP配置方的可下载配置方应用。此外,在一些实现中,当网络运营商110(或多AP控制方120)将DPP配置方角色委托给配置方STA 150时,网络运营商110(或多AP控制方120)可以将配置方签名私钥提供给配置方STA 150(在安全包络中)。用户可使用配置方STA 150通过执行DPP来开始STA 140的载入过程,如图2中所描述的。
在一些实现中,在STA 140被部署在目的地处且被上电之后,在703,配置方STA150可以从STA 140获取引导公钥。例如,配置方STA 150可以扫描且解码STA 140的QR码以推导用于该STA 140的引导公钥。
在713,配置方STA 150可以将DPP认证请求发送到STA 140。在714,STA 140处理并验证从配置方150接收到的DPP认证请求。例如,STA 140可以使用从配置方150接收到的引导公钥来验证DPP认证请求。在717,STA 140可以将DPP认证响应发送到配置方STA 150。DPP认证响应可以指示STA 140验证了DPP认证请求。在718,配置方STA 150可以验证从STA 140接收到的DPP认证响应,并且在719,可以将指示DPP认证响应被配置方STA 150验证的DPP认证确认发送到STA 140。
在723,STA 140可以将DPP配置请求发送到配置方STA 150以发起DPP配置阶段。在724,配置方STA 150可以处理DPP配置请求,并且确定与配置方STA 150相关联的DPP配置信息。在727,配置方STA 150可以将DPP配置响应发送到STA 140,该DPP配置响应包括DPP配置信息。DPP配置信息可包括配置方验证公钥。
在733,配置方STA 150可以向多AP代理130提供在备份过程期间推导出的DPP配置信息(包括DPP包络数据在内)的备份。在737,多AP代理130可以将包括DPP配置信息(带有DPP包络数据)在内的IEEE 1905.1消息提供给多AP控制方120。在740,然后,多AP控制方120将DPP配置信息(带有DPP包络数据)提供给网络运营商110。
在743,STA 140可以执行IEEE 802.11扫描以标识多AP网络的多AP设备中的一个多AP设备。例如,STA 140可以广播探通请求消息并扫描以寻找信标消息。STA 140可以基于扫描操作来标识多AP代理130。例如,STA 140可以从多AP代理130接收探通响应消息或信标消息。在747,多AP代理130和STA 140可以交换对等方发现请求和响应帧以便验证连接体。在753,STA140和多AP代理130可以执行IEEE 802.11认证和关联过程,以建立安全无线通信链路(根据IEEE 802.11协议),并且完成STA 140的载入过程。
图8示出了使用DPP和多AP通信协议来载入第一STA的示例流程图800。
在框810,配置方STA可以在第一STA的载入过程期间发起DPP。例如,配置方STA可以通过扫描第一STA的QR码来发起DPP以获取引导密钥。在一些实现中,配置方STA可以是由网络委托DPP配置方角色的STA。
在框820,配置方STA可以根据DPP基于在配置方STA与第一STA之间的DPP消息交换来确定DPP配置信息。
在框830,第一STA与多AP网络的多AP设备之间的多AP网络配置是至少部分地基于DPP配置信息、使用多AP通信协议来建立的。在一些实现中,多AP通信协议包括IEEE 1905.1协议。而且,多AP设备可以是多AP控制方或多AP代理。
图9示出了多AP代理载入过程的示例消息流图。消息流图900包括:在多AP控制方120(被配置为DPP配置方)、多AP代理130(被配置为DPP对等方)、多AP代理940(被配置为DPP登记方)、STA 950、以及网络运营商110之间的消息。
在一些实现中,客户可以直接从网络运营商110或从零售商(诸如线上或实体零售商,其可以由网络运营商110运行或者可以是第三方实体)购买或租用多AP代理940,以将多AP代理940添加到该客户的家庭、办公室或其他目的地处的多AP网络。客户可以使用STA950(其可以是移动电话、平板计算机或其他设备,诸如图1和7中所描述的配置方STA 150)来执行DPP过程的一部分,以获取用于多AP代理940的引导公钥。例如,STA 950可以扫描且解码多AP代理940的QR码(诸如QR码941),以推导用于该多AP代理940的引导公钥(在901所示)。STA 950可以将引导公钥(诸如经由因特网)安全地传送到网络运营商110(如在902所示)。在一些实现中,客户可以使用STA 950来接入由网络运营商110提供的web应用,或者下载经运营商批准的应用以执行DPP过程的一部分,并且将引导公钥提供给网络运营商110。然后,网络运营商110可以将引导公钥安全地传送到已被委托为DPP配置方(如在903所示)的多AP控制方120。在一些实现中,类似于图5中所描述的操作,零售商或网络运营商110可以远程执行DPP过程的一部分以获取用于多AP代理940的引导公钥。例如,零售商或网络运营商110可以在零售商或网络运营商将多AP代理940运送给客户之前(或在客户离开具有多AP代理940的零售商或网络运营商110的实体商店之前)执行DPP处理的一部分。然后,引导公钥可以安全地从零售商或网络运营商110直接传送到多AP控制方120,或从零售商经由网络运营商110传送到多AP控制方120。
在505当在客户的家庭、办公室或其他目的地处多AP代理940被上电时,多AP代理940可以等待以经由多AP代理130从多AP控制方120接收DPP认证请求。例如,当多AP控制方120接收到引导公钥时(诸如在STA 950扫描并解码QR码941之后),这可以触发多AP控制方120向多AP代理940发送DPP认证请求。在一些实现中,多AP代理940、多AP控制方120和多AP代理130可以执行操作和交换各种消息,以完成DPP过程和载入多AP代理940。在一些实现中,当被配置为DPP配置方时,出于载入目的多AP控制方120可以与网络中的可用多AP代理(DPP对等方,诸如多AP代理130)中的每一者进行通信以确定哪个多AP代理应当与多AP代理940通信。例如,多AP控制方120可以尝试经由多AP代理中的每一者与多AP代理940进行通信,以确定多AP控制方120通过哪条路径从多AP代理940接收到通信,或者多AP控制方120通过哪条路径从多AP代理940接收到最快或最高质量的响应(诸如基于每个多AP代理的无线覆盖)。在此示例中,出于载入目的,多AP控制方120可以基于多AP代理130的无线覆盖来确定要经由多AP代理130来与多AP代理940通信。
在一些实现中,在507,多AP控制方120可以经由IEEE 1905.1帧来向多AP代理130发送DPP认证请求(其旨在用于多AP代理940)。当多AP代理130未被配置为DPP配置方并且多AP控制方120(其被配置为DPP配置方)不具有与多AP代理940的无线连通性(或具有低质量的无线连接)时,多AP控制方120可以经由IEEE 1905.1帧来将DPP认证请求隧穿到多AP代理130。例如,多AP控制方120可以在多AP代理940的范围之外,或者多AP代理130可被置于较紧邻于多AP代理940并且具有与多AP代理940的高质量无线连接处。
在509,多AP代理130可以将DPP认证请求发送给多AP代理940。在511,多AP代理940处理并验证DPP认证请求。例如,多AP代理940可以验证DPP认证请求源自拥有引导公钥的多AP设备。在513,多AP代理940可以将DPP认证响应发送给多AP代理930。在517,多AP代理130可以将包括DPP认证响应在内的IEEE 1905.1帧隧穿给多AP控制方120。在521,多AP控制方120可以处理并验证经由多AP代理130从多AP代理940接收到的DPP认证响应。例如,多AP控制方120可以使用经由网络运营商从STA 950接收到的引导公钥来验证DPP认证响应。在523,多AP控制方120可以经由IEEE1905.1帧来将DPP认证确认发送到多AP代理130,该DPP认证确认指示多AP控制方120验证了DPP认证响应。在527,多AP代理130可以将DPP认证确认发送到多AP代理940。
在533,多AP代理940可以将DPP配置请求发送到多AP代理130以发起DPP配置阶段。在537,多AP 130可以经由IEEE 1905.1帧来将DPP配置请求隧穿到多AP控制方120。在542,多AP控制方120可以处理DPP配置请求,并且确定用于多AP代理940的DPP配置信息。在543,多AP控制方120可以将包括DPP配置响应在内的IEEE 1905.1帧发送到多AP代理130,以向多AP代理940置备DPP配置信息。在547,多AP代理130可以将DPP配置响应转发给多AP代理940,该DPP配置响应包括DPP配置信息。DPP配置信息可包括配置方验证公钥。在549,在DPP配置完成之后,多AP代理940可以将DPP配置结果发送到多AP代理130,以指示DPP配置的结果并确认DPP配置完成。
在553,多AP代理130和多AP代理940可以交换对等方发现请求和响应帧。在一些实现中,多AP代理940可以传送具有与多AP代理940相关联的连接体的对等方发现请求帧。多AP代理130可以接收具有连接体的对等方发现请求帧并且可以验证群标识符、网络角色以及连接体的其他信息。多AP代理130可以用具有与多AP代理130相关联的连接体的对等方发现响应帧来响应多AP代理940。对等方发现响应帧可以用配置方专用签名密钥来数字签名。多AP代理940可以用配置方验证公钥来验证经数字签名消息,并验证从多AP代理130接收到的连接体。在563,多AP代理940和多AP代理130可以执行IEEE 802.11认证和关联过程,以建立安全无线通信链路(根据IEEE 802.11协议),并且完成多AP代理140的载入过程。
在一些实现中,多AP控制方120可以将DPP配置方角色委托给多AP代理130,并且还将引导公钥提供给多AP代理130。当多AP控制方120(或被配置为DPP配置方的另一设备)将DPP配置方角色委托给多AP代理130时,多AP控制方120可以将配置方签名私钥提供给多AP代理130(在安全包络中)。类似于图6中所示的操作和消息交换,当多AP代理130被配置为DPP配置方是,该多AP代理130不必经由IEEE 1905.1帧来将从多AP代理940接收到的消息隧穿到多AP控制方120(如在图5和9中)。取而代之,多AP代理130和多AP代理940可执行与图9的509、513、527、533、547、549、553和563所示的操作和消息交换类似的操作和消息交换以便该多AP代理940。
图10示出了多AP代理载入过程的另一示例消息流图1000。类似于图9,可以在901、902和903执行DPP处理的一部分,以使多AP控制方120获取用于多AP代理940的引导公钥。在一些实现中,为了向多AP网络添加多AP代理940,客户(或网络管理员、安装者或用户)可以在该多AP代理940被上电时经由有线连接(诸如经由以太网电缆)来将该多AP代理940物理连接到多AP代理130(或多AP控制方120)以建立以太网链路。在一些实现中,当多AP代理940和多AP代理130是经由以太网链路来连接时,载入过程可以执行如图9的507-549所示的类似DPP操作和消息交换和图3中所示的类似IEEE 1905.1操作和消息交换,除了多AP代理130可以充当中继而无需执行1905层处的额外解封和封装(如图10中所示)之外。
在一些实现中,在图10的1005,多AP代理130和多AP代理940经由IEEE1905.1协议来交换用于多AP设备的IEEE 1905.1自动配置请求和响应帧以发现彼此。在1007,多AP控制方120可以将包括DPP认证请求在内的IEEE 1905.1消息发送到多AP代理940(经由充当桥或中继的多AP代理130)。在1013,多AP代理940可以将包括DPP认证响应在内的IEEE 1905.1消息发送到多AP控制方120(经由多AP代理130)。在1023,多AP控制方120可以将包括DPP认证确认在内的IEEE 1905.1消息发送到多AP代理940(经由多AP代理130)。在1033,多AP代理940可以将包括DPP配置请求在内的IEEE 1905.1消息发送到多AP控制方120(经由多AP代理130)。在1043,多AP控制方120可以将包括DPP配置响应在内的IEEE 1905.1消息发送到多AP代理940(经由多AP代理130)。在1049,多AP代理940可以将包括DPP配置结果在内的IEEE1905.1消息发送到多AP控制方120(经由多AP代理130)。
在一些实现中,在1051,多AP控制方120和多AP代理940还可以经由IEEE 1905.1协议来交换IEEE 1905.1认证请求和响应帧以交换连接体,以便验证彼此以及网络连接。在1061,多AP控制方120和多AP代理940可执行IEEE1905.1的4路握手以建立IEEE 1905.1配置和安全性。例如,4路握手可被用于推导和部署共享秘密或密钥以在针对安全性的IEEE1905.1控制消息中使用。在4路握手之后,载入过程可被完成,并且多AP控制方120和多AP代理940可以通过交换安全1905.1消息来通信。
图11示出了用于实现本公开的诸方面的示例电子设备1100的框图。在一些实现中,电子设备1100可以是多AP控制方、多AP代理、STA或另一网络设备。电子设备1100可以是膝上型计算机、平板计算机、移动电话、游戏控制台、可穿戴设备、虚拟或增强现实设备、接入点、路由器、网关或其他电子系统。电子设备1100包括处理器1102(有可能包括多个处理器、多个核、多个节点、或实现多线程等)。电子设备1100包括存储器1106。存储器1106可以是系统存储器或者是本文件中所描述的机器可读介质的可能实现中的任何一者或多者。电子设备1100还可包括总线1101(诸如PCI、ISA、快速PCI、
电子设备1100可包括通信模块1120。在一些实现中,通信模块1120可包括一个或多个网络接口1104。在一些实现中,一个或多个网络接口1104可表示一个或多个调制解调器、一个或多个天线、模拟前端(AFE)以及电子设备1100的其他通信相关组件。通信模块1120可包括DPP单元1126和多AP单元1124,其可以实现图1-10中所描述的载入技术。
存储器1106包括支持各种实现的功能性。存储器1106可包括能由处理器单元1102执行以实现以上在图1-10中描述的诸实现的功能性的计算机指令。例如,存储器1106可包括促成图1-10中所描述的载入技术的实现的一个或多个功能性。在一些实现中,通信模块1120可执行本文描述的一些或全部操作。例如,通信模块1120可包括附加处理器(诸如基带处理器)和附加存储器,该附加存储器可包括可由该附加处理器执行以实现图1-10中所描述的实现的部分或全部功能性的计算机指令。在一些实现中,通信模块1120的(诸)附加处理器和存储器、处理器1102和存储器1106,或这些组件中的一些或全部的组合可实现DPP单元1126和多AP单元1124。在一些实现中,电子设备1100还可包括附加组件,诸如相机模块1110、话筒模块1112、用户接口1115和其他输入/输出组件。例如,如果电子设备1100是STA或者是作为AP(诸如,软件启用的AP或“软AP”)操作的设备,则STA可包括相机模块1110、话筒模块1112和用户接口1115。专用或独立AP可包括用户接口1115的某个版本,但是可不包括相机模块1110或话筒模块1112。在一些实现方式中,相机模块1110和话筒模块1112可操作为传感器(诸如QR码传感器)。电子设备可包括附加传感器,诸如NFC检测器、条形码扫描仪等。
这些功能性中的任何一个功能性都可部分地(或完全地)在硬件中(诸如在处理器1102上)实现。例如,该功能性可用专用集成电路来实现、在处理器1102中所实现的逻辑中实现、在外围设备或卡上的协处理器中实现等。此外,诸实现可包括更少的组件或包括图11中未解说的附加组件(诸如视频卡、音频卡、附加网络接口、外围设备等)。处理器1102、和存储器1106可被耦合至总线1101。尽管被解说为耦合至总线1101,但存储器1106也可直接被耦合至处理器1102。
如本文中所使用的,引述一列项目“中的至少一者”的短语是指这些项目的任何组合,包括单个成员。作为示例,“a、b或c中的至少一个”旨在涵盖:a、b、c、a-b、a-c、b-c和a-b-c。
结合本文中所公开的实现来描述的各种解说性逻辑、逻辑块、模块、电路和算法过程可实现为电子硬件、计算机软件、或这两者的组合。硬件与软件的可互换性已以其功能性的形式作了一般化描述,并在贯穿本文件描述的各种解说性组件、框、模块、电路、和过程中作了解说。此类功能性是以硬件还是软件来实现取决于具体应用和加诸于整体系统的设计约束。
用于实现结合本文中所公开的方面来描述的各种解说性逻辑、逻辑块、模块和电路的硬件和数据处理装置可用设计成执行本文中描述的功能的通用单芯片或多芯片处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其任何组合来实现或执行。通用处理器可以是微处理器,或者是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合,诸如DSP与微处理器的组合、多个微处理器、与DSP核协作的一个或多个微处理器、或任何其他此类配置。在一些实现中,特定过程和方法可由专用于给定功能的电路系统来执行。
在一个或多个方面,所描述的功能可以在硬件、数字电子电路系统、计算机软件、固件(包括本说明书中所公开的结构及其结构等效物)中或在其任何组合中实现。本说明书中所描述的主题内容的实现也可实现为一个或多个计算机程序,即,编码在计算机存储介质上以供数据处理装置执行或用于控制数据处理装置的操作的计算机程序指令的一个或多个模块。
如果在软件中实现,则各功能可以作为一条或多条指令或代码存储在计算机可读介质上或藉其进行传送。本文中所公开的方法或算法的过程可在可驻留在计算机可读介质上的处理器可执行软件模块中实现。计算机可读介质包括计算机存储介质和通信介质两者,包括可被实现成将计算机程序从一地转移到另一地的任何介质。存储介质可以是能被计算机访问的任何可用介质。作为示例而非限定,此类计算机可读介质可包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储或其他磁存储设备、或能被用来存储指令或数据结构形式的期望程序代码且能被计算机访问的任何其他介质。任何连接也可被恰当地称为计算机可读介质。如本文中所使用的盘(disk)和碟(disc)包括压缩碟(CD)、激光碟、光碟、数字多用碟(DVD)、软盘和蓝光TM碟,其中盘(disk)往往以磁的方式再现数据而碟(disc)用激光以光学方式再现数据。组合也可被包括在计算机可读介质的范围内。另外,方法或算法的操作可作为代码和指令之一或者代码和指令的任何组合或集合而驻留在可被纳入计算机程序产品中的机器可读介质和计算机可读介质上。
对本公开中描述的实现的各种改动对于本领域技术人员可能是明显的,并且本文中所定义的普适原理可应用于其他实现而不会脱离本公开的精神或范围。由此,权利要求并非旨在被限定于本文中示出的实现,而是应被授予与本公开、本文中所公开的原理和新颖性特征一致的最广范围。
另外,本领域普通技术人员将容易领会,术语“上”和“下/低”有时是为了便于描述附图而使用的,且指示与取向正确的页面上的附图取向相对应的相对位置,且可能并不反映如所实现的任何器件的真正取向。
本说明书中在分开实现的上下文中描述的某些特征也可组合地实现在单个实现中。相反,在单个实现的上下文中描述的各种特征也可分开地或以任何合适的子组合实现在多个实现中。此外,虽然诸特征可能被描述为以某些组合的方式起作用且甚至最初是如此要求保护的,但来自所要求保护的组合的一个或多个特征在一些情形中可从该组合中去掉,且所要求保护的组合可以针对子组合、或子组合的变体。
类似地,虽然在附图中以特定次序描绘了诸操作,但这不应当被理解为要求此类操作以所示的特定次序或按顺序次序来执行、或要执行所有所解说的操作才能达成期望的结果。此外,附图可能以流程图的形式示意性地描绘一个或多个示例过程。然而,未描绘的其他操作可被纳入示意性地解说的示例过程中。例如,可在任何所解说的操作之前、之后、同时或之间执行一个或多个附加操作。在某些环境中,多任务处理和并行处理可能是有利的。此外,所描述的实现中的各种系统组件的分开不应被理解为在所有实现中都要求此类分开,并且应当理解,所描述的程序组件和系统一般可以一起整合在单个软件产品中或封装成多个软件产品。附加地,其他实现也落在所附权利要求书的范围内。在一些情形中,权利要求中叙述的动作可按不同次序来执行并且仍达成期望的结果。
