促进安全Wi-Fi配对的方法和设备与流程

本发明涉及ieee 802.11网络领域，即所谓的wi-fi网络领域，并且更具体地涉及将站点(sta)与接入点(ap)配对的领域。

背景技术：

1、客户和为客户提供外围装备(即sta和/或住宅网关(即ap))的运营商都希望能够以可接受的安全等级在sta与ap之间轻松配对。要配对的装备是例如允许访问电视节目的“机顶盒”、允许扩展wi-fi信号范围的wi-fi中继器等，并且旨在供许多不总是精通数字技术使用的受众使用。

2、被称为wps(wi-fi保护设置的首字母缩写)的配对方法将被dpp(设备配置协议的首字母缩写)所取代，设备配置协议的商品名也被称为easy connecttm，其由wi-fi联盟组织指定。除了要配对的sta和ap外，dpp还依赖于第三方装备(例如，智能手机)的使用。智能手机用于在sta与ap之间交换安全信息(比如，密码密钥)，以确保对sta进行强认证并提高将要建立的连接的总体安全等级。这需要在智能手机上安装特定的移动应用程序。与客户只需按下装备上的按钮即可触发配对的wps相比，dpp施加的限制对某些用户来说过于苛刻。

3、本发明的目的之一是弥补现有技术的这些缺点。

技术实现思路

1、本发明通过使用一种用于通过由接入点通告的第一wi-fi网络将wi-fi站点与wi-fi接入点关联的方法来改善这种情况，该方法由站点实施，并且包括：

2、·通过没有被接入点通告的第二wi-fi网络建立站点与接入点的关联，

3、·通过第二网络将安全信息发送到接入点，

4、·根据该安全信息，通过第一网络建立站点与接入点的关联。

5、凭借该方法，基于不通过该第一网络进行交换的信息(即在其尚不安全的时候)，站点与第一网络的关联是安全的。有利地，安全信息通过由同一wi-fi接入点支持的第二网络进行交换，但与第一网络的标识符不同，第二网络的标识符不进行广播。表述“由接入点通告的网络”在本上下文中意指接入点广播所述网络的标识符，以便允许建立连接。相反，表述“没有被接入点通告的网络”在本上下文中意指接入点不广播所述网络的标识符，但并不意味着到该网络的连接是不可能的。

6、安全信息例如是特定于站点的密码密钥，该密码密钥允许接入点认证站点，并对站点向其发送的数据进行加密。有了这样的安全信息，接入点就可以使用现有协议(比如dpp)来认证站点。

7、该第二wi-fi网络的使用可能限于安全信息的发送。该第二网络的存在仅为站点所知，该站点预先获知其ssid，如果接入点广播该第二网络的信标，则该ssid为空字符串，或者如果接入点不广播该第二网络的信标，则该ssid为任意字符串。

8、另外，由于站点直接向接入点提供安全信息，因此不需要第三方装备或用户的干预。

9、由于接入点不广播第二网络的ssid，因此站点必须预先获知该ssid，例如，作为在第一次使用前已配置的结果。

10、根据本发明的一方面，在通过第二网络进行关联之前，站点从接入点接收信标，该信标包含第二网络的等于空字符串的标识符。

11、在第一实施例中，接入点例如在信标中广播第二网络的标识符，但信标的ssid字段留空，如同第二网络的标识符为空字符串一样。

12、因此，第二wi-fi网络的标识符或真实标识符对除站点外的装备(即，不旨在与接入点的第一wi-fi网络关联的装备)保持隐藏，即使接入点广播该第二网络的信标。

13、因此，站点可以根据wi-fi标准来响应信标。根据本发明，在允许与接入点关联的过程中，例如在探测请求中，站点使用空字符串作为第二网络的标识符。

14、根据本发明的一方面，在通过第二网络进行关联之前，站点不从接入点接收通告第二网络的信标。

15、在第二实施例中，接入点不广播信标来通告第二网络的存在。

16、因此，第二wi-fi网络的标识符对除站点外的装备(即，不旨在与接入点的第一wi-fi网络关联的装备)保持隐藏。

17、因此，根据wi-fi标准，站点可以在未接收到信标的情况下启动关联程序。根据本发明，在允许与接入点关联的过程中，例如在探测请求中，站点使用与站点预先获知的第二网络的标识符相对应的字符串。

18、根据本发明的一方面，关联方法由站点的启动触发。

19、因此，无需用户干预站点。例如，如果站点是“机顶盒”或wi-fi中继器，则用户只需在他或她购买该站点之后将其从包装中取出并打开即可。随后，如果站点与接入点断开关联，则只需重新启动站点或将其恢复为出厂设置，即可将其与接入点的第一个wi-fi网络重新关联。

20、根据本发明的一方面，关联方法包括通过第二wi-fi网络移除站点与接入点的关联，然后通过第一wi-fi网络建立站点与接入点的关联。

21、因此，一旦交换了安全数据，sta与ap之间的关联就将由站点主动关闭。这释放了供接入点使用的资源，并且在站点一次只能与单个接入点关联的情况下，这允许站点再次与另一接入点关联，无论该接入点是否是虚拟接入点。

22、根据本发明的一方面，关联方法包括通过第二网络接收来自接入点的安全信息。

23、因此，站点还可以执行安全操作，比如认证接入点或加密向其发送的数据。然后，站点与接入点之间的安全性就得以实现。

24、由站点实施并且刚刚已经描述的关联方法的各个方面可以彼此独立地实施或者彼此组合地实施。

25、本发明还涉及一种用于通过由接入点通告的第一wi-fi网络将wi-fi站点与wi-fi接入点关联的方法，该方法由接入点实施，并且包括：

26、·通过没有被接入点通告的第二wi-fi网络建立站点与接入点的关联，

27、·通过第二网络接收来自站点的安全信息，

28、·根据该安全信息，通过第一网络建立站点与接入点的关联。

29、应当理解，只有在站点提供接入点期望用于该第二网络的标识符(但该标识符不是由接入点广播的)时，该关联才由接入点通过第二网络来执行。

30、只有在满足该条件时，才使用站点提供的安全信息，这提高了站点与第一网络关联的安全等级。

31、根据本发明的一方面，在通过第二网络进行关联之前，接入点发送信标，该信标包含第二网络的等于空字符串的标识符。

32、这对应于由接入点实施的第一实施例。

33、根据本发明的一方面，在通过第二网络进行关联之前，接入点不发送通告第二网络的信标。

34、这对应于由接入点实施的第二实施例。

35、根据本发明的一方面，关联方法包括通过第二wi-fi网络移除站点与接入点的关联，然后通过第一wi-fi网络建立站点与接入点的关联。

36、因此，一旦交换了安全数据，sta与ap之间的关联就将由接入点主动关闭。这释放了供接入点使用的资源，并且在站点一次只能与单个接入点关联的情况下，这允许站点再次与另一接入点关联，无论该接入点是否是虚拟接入点。

37、根据本发明的一方面，如果在由接入点上的用户动作打开的时间窗口之外接收到安全信息，则忽略该安全信息。

38、因此，同样在没有第三方装备任何干预的情况下，提高了与第一网络关联的安全等级。

39、用户动作例如是按下定位在接入点外壳上的特定按钮(有时称为配对按钮)，以打开有限的时间窗口，在该时间窗口期间，接入点等待来自站点的数据。因此，该数据由位于附近且支持具有与第二网络相同的标识符的网络的另一接入点接收和处理的概率会大大降低。

40、根据本发明的一方面，关联方法包括通过第二网络向站点发送来自接入点的安全信息。

41、由接入点向站点发送的安全信息例如是特定于接入点的密码密钥。因此，站点还可以执行安全操作，比如认证接入点或加密其向接入点发送的数据。然后，站点与接入点之间的安全性就得以实现。

42、根据本发明的一方面，如果安全信息不对应于从与站点分离的终端单独接收到的数据，则忽略该安全信息。

43、因此，只有当使用第一关联接收到的安全信息被经由另一通道接收到的数据确认时，接入点才会建立第二关联。这例如防止了靠近接入点但不旨在或未被授权与该接入点关联的站点永久性地与接入点关联。所讨论的数据例如是安全信息的哈希，以显示在授权站点外壳上的qr码为特征。例如，单独的终端是经由wi-fi连接到接入点并用于捕获qr码的智能手机。

44、由接入点实施并且刚刚已经描述的关联方法的各个方面可以彼此独立地实施或者彼此组合地实施。

45、由站点和接入点实施的关联方法是不同的方法。

46、本发明还涉及一种用于通过由接入点通告的第一wi-fi网络将wi-fi站点与wi-fi接入点关联的设备，该设备被包括在站点中，并且包括接收器、发射器、处理器和存储器，该存储器耦接到处理器并且包含指令，这些指令旨在由处理器执行，以：

47、·通过没有被接入点通告的第二wi-fi网络建立站点与接入点的关联，

48、·通过第二网络将安全信息发送到接入点，

49、·根据该安全信息，通过该第一网络建立该站点与该接入点的关联。

50、能够实施刚刚已经描述的关联方法的所有实施例的该设备旨在在wi-fi站点中实施。

51、本发明还涉及一种用于通过由接入点通告的第一wi-fi网络将wi-fi站点与wi-fi接入点关联的设备，该设备被包括在接入点中，并且包括接收器、发射器、处理器和存储器，该存储器耦接到处理器并且包含指令，这些指令旨在由处理器执行，以：

52、·通过没有被接入点通告的第二wi-fi网络建立站点与接入点的关联，

53、·通过第二网络接收来自站点的安全信息，

54、·根据该安全信息，通过该第一网络建立该站点与该接入点的关联。

55、能够实施刚刚已经描述的关联方法的所有实施例的该设备旨在在wi-fi接入点中实施。

56、本发明还涉及一种包括指令的计算机程序，当这些指令由处理器执行时，使该处理器实施刚刚已经描述的由wi-fi站点实施的关联方法的步骤。

57、本发明还涉及一种可由wi-fi站点读取并且包括如上文提到的计算机程序指令的信息介质。

58、本发明还涉及一种包括指令的计算机程序，当这些指令由处理器执行时，使该处理器实施刚刚描述的由wi-fi接入点实施的关联方法的步骤。

59、本发明还涉及一种可由wi-fi接入点读取并且包括如上文提到的计算机程序指令的信息介质。

60、上述程序可以使用任何编程语言，并且可以采用源代码、目标代码或源代码与目标代码之间的中间代码的形式，比如采用部分编译的形式、或是采用任何其他期望的形式。

61、上述信息介质可以是能够存储程序的任何实体或设备。例如，介质可以包括存储装置，如rom(例如，cd-rom或微电子电路rom)，或磁记录装置。

62、这种存储装置可以例如是硬盘、闪速存储器等。

63、此外，信息介质可以是可传输介质，比如电信号或光信号，其可以经由电缆或光缆、通过无线电或者通过其他方式被路由。根据本发明的程序可以特别地从比如互联网等网络进行下载。

64、替代性地，信息介质可以是其中结合有程序的集成电路，该电路被配置为执行或者被用于执行所讨论的方法。