知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-12-09
(45)【発行日】2024-12-17
(54)【発明の名称】事前共有鍵を使用する無線ネットワークプロビジョニング
(51)【国際特許分類】
H04W 12/069 20210101AFI20241210BHJP
H04W 84/12 20090101ALI20241210BHJP
【FI】
H04W12/069
H04W84/12
【請求項の数】
19
(21)【出願番号】P 2022519978
(86)(22)【出願日】2020-09-23
(65)【公表番号】
(43)【公表日】2022-11-30
(86)【国際出願番号】 US2020052114
(87)【国際公開番号】W WO2021067082
(87)【国際公開日】2021-04-08
【審査請求日】2023-09-04
(31)【優先権主張番号】62/908,221
(32)【優先日】2019-09-30
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】62/986,255
(32)【優先日】2020-03-06
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】17/028,401
(32)【優先日】2020-09-22
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】510242266
【氏名又は名称】ディッシュ ネットワーク エルエルシー
【氏名又は名称原語表記】DISH NETWORK LLC
【住所又は居所原語表記】9601 South Meridian Blvd.,Englewood,Colorado 80112,United States of America
(74)【代理人】
【識別番号】110004185
【氏名又は名称】インフォート弁理士法人
(74)【代理人】
【識別番号】100121083
【弁理士】
【氏名又は名称】青木 宏義
(74)【代理人】
【識別番号】100138391
【弁理士】
【氏名又は名称】天田 昌行
(74)【代理人】
【識別番号】100074099
【弁理士】
【氏名又は名称】大菅 義之
(72)【発明者】
【氏名】ウェイド ジョシュア ディヴィッド
(72)【発明者】
【氏名】ネスパー タイラー
(72)【発明者】
【氏名】ナイプリス エドワード ダブリュー.
【審査官】伊東 和重
(56)【参考文献】
【文献】中国特許出願公開第105898743(CN,A)
【文献】特開2013-175989(JP,A)
【文献】特開2016-167803(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24-7/26
H04W 4/00-99/00
(57)【特許請求の範囲】
【請求項1】
事前共有鍵(PSK)を使用する無線ネットワークプロビジョニング方法であって、クラウドベースのプロビジョニングシステムにおいて、複数のPSKを示す複数の無線ネットワークアクセスプロファイルを作成することと、
アクセスポイントによって、無線デバイスから少なくとも部分的に前記PSKに基づく第1の値を受信することと、
前記アクセスポイントによって、前記第1の値を前記クラウドベースのプロビジョニングシステムに送信することと、
前記クラウドベースのプロビジョニングシステムによって、前記複数の無線ネットワークアクセスプロファイルの前記複数のPSKに基づいて複数の値を作成することと、
前記クラウドベースのプロビジョニングシステムによって、送信された前記第1の値と一致する、前記複数の値のうちの第2の値を特定することと、
前記クラウドベースのプロビジョニングシステムによって、前記アクセスポイントに、前記複数の無線ネットワークアクセスプロファイルのうちの、送信された前記第1の値と一致する前記第2の値を生成するために使用された無線ネットワークアクセスプロファイルの前記PSKに基づいて第3の値を提供することと、
前記アクセスポイントによって、前記第3の値に基づいて前記無線デバイスにネットワークアクセスを提供することと、
前記クラウドベースのプロビジョニングシステムによって、前記無線ネットワークアクセスプロファイルに基づいて、前記無線デバイスが前記PSKを使用して無線ネットワークにアクセスする最初の無線デバイスであると判定することと、
前記無線デバイスが前記PSKを使用して前記無線ネットワークにアクセスする最初の無線デバイスであるとの判定に基づいて、提示のために前記無線デバイスにサービス規約を提供することとを含む、方法。
【請求項2】
前記第3の値がペアマスター鍵(PMK)である、請求項1に記載のPSKを使用する無線ネットワークプロビジョニング方法。
【請求項3】
前記無線ネットワークアクセスプロファイルによって定義された期間の間、前記無線デバイスにインターネットアクセスが許諾される、請求項2に記載のPSKを使用する無線ネットワークプロビジョニング方法。
【請求項4】
前記第1の値がメッセージ完全性コード(MIC)である、請求項1に記載のPSKを使用する無線ネットワークプロビジョニング方法。
【請求項5】
前記アクセスポイントによって、前記クラウドベースのプロビジョニングシステムにANonce値およびSNonce値を送信することをさらに含む、請求項1に記載のPSKを使用する無線ネットワークプロビジョニング方法。
【請求項6】
前記アクセスポイントによって、前記クラウドベースのプロビジョニングシステムに前記無線デバイスのMACアドレスを送信することをさらに含む、請求項5に記載のPSKを使用する無線ネットワークプロビジョニング方法。
【請求項7】
前記PSKは前記無線デバイスと前記アクセスポイントとの間では決して送信されない、請求項1に記載のPSKを使用する無線ネットワークプロビジョニング方法。
【請求項8】
前記アクセスポイントによって、前記無線デバイスに固有識別子を要求することと、前記アクセスポイントによって、前記無線デバイスから前記固有識別子を受信することと、
前記クラウドベースのプロビジョニングシステムによって、前記固有識別子を前記無線ネットワークアクセスプロファイルの一部である記憶されている固有識別子と比較することとを含み、インターネットアクセスの提供が、前記固有識別子が前記記憶されている固有識別子と一致することを条件とする、請求項1に記載のPSKを使用する無線ネットワークプロビジョニング方法。
【請求項9】
事前共有鍵(PSK)を使用する無線ネットワークプロビジョニングのためのシステムであって、無線デバイスにインターネットアクセスを提供し、少なくとも部分的にPSKに基づく第1の値を無線デバイスから受信するように構成されたアクセスポイントと、
前記アクセスポイントと通信するクラウドベースのプロビジョニングシステムとを含み、
前記クラウドベースのプロビジョニングシステムは、
複数のPSKを示す複数の無線ネットワークアクセスプロファイルを作成し、ここで、前記複数の無線ネットワークアクセスプロファイルのそれぞれは、1)PSK、2)帯域幅制限、および、3)ネットワークのアクセスが許可される期間、を示し、
前記アクセスポイントから前記第1の値を受信し、
前記複数の無線ネットワークアクセスプロファイルの前記複数のPSKに基づいて複数の値を作成し、
前記複数の値のうちの受信した前記第1の値と一致する第2の値を特定し、
前記複数の無線ネットワークアクセスプロファイルのうちの前記第2の値を生成するために使用された無線ネットワークアクセスプロファイルの前記PSKに基づく第3の値を前記アクセスポイントに送信するように構成された、システム。
【請求項10】
前記アクセスポイントが前記第3の値に基づいてネットワークアクセスを提供するように構成された、請求項9に記載のPSKを使用する無線ネットワークプロビジョニングのためのシステム。
【請求項11】
前記第3の値がペアマスター鍵(PMK)である、請求項9に記載のPSKを使用する無線ネットワークプロビジョニングのためのシステム。
【請求項12】
前記無線ネットワークアクセスプロファイルによって定義された期間の間、前記無線デバイスにインターネットアクセスが許諾される、請求項9に記載のPSKを使用する無線ネットワークプロビジョニングのためのシステム。
【請求項13】
前記第1の値がメッセージ完全性コード(MIC)である、請求項9に記載のPSKを使用する無線ネットワークプロビジョニングのためのシステム。
【請求項14】
前記アクセスポイントは、前記クラウドベースのプロビジョニングシステムにANonce値とSNonce値とを送信するようにさらに構成され、前記SNonce値は前記無線デバイスから前記アクセスポイントによって受信される、請求項9に記載のPSKを使用する無線ネットワークプロビジョニングのためのシステム。
【請求項15】
前記無線デバイスをさらに含む、請求項14に記載のPSKを使用する無線ネットワークプロビジョニングのためのシステム。
【請求項16】
無線デバイスにインターネットアクセスを提供する第2のアクセスポイントをさらに含む、請求項14に記載のPSKを使用する無線ネットワークプロビジョニングのためのシステム。
【請求項17】
前記PSKは、前記無線デバイスと前記アクセスポイントとの間で決して送信されない、請求項9に記載のPSKを使用する無線ネットワークプロビジョニングのためのシステム。
【請求項18】
前記クラウドベースのプロビジョニングシステムが、前記無線ネットワークアクセスプロファイルに基づいて、前記無線デバイスが前記無線ネットワークアクセスプロファイルに関連して無線ネットワークにアクセスする最初の無線デバイスであると判定し、
前記無線デバイスが前記無線ネットワークアクセスプロファイルに関連して前記無線ネットワークにアクセスする最初の無線デバイスであるとの判定に基づいて、前記アクセスポイントを介して、提示のために前記無線デバイスにサービス規約を提供するようにさらに構成された、請求項9に記載のPSKを使用する無線ネットワークプロビジョニングのためのシステム。
【請求項19】
前記クラウドベースのプロビジョニングシステムが、前記アクセスポイントを介して前記無線デバイスに固有識別子を要求し、
前記アクセスポイントを介して前記無線デバイスから前記固有識別子を受信し、
前記固有識別子を前記無線ネットワークアクセスプロファイルの一部である記憶されている固有識別子と比較するようにさらに構成され、インターネットアクセスの提供が、前記固有識別子が前記記憶されている固有識別子と一致することを条件とする、請求項9に記載のPSKを使用する無線ネットワークプロビジョニングのためのシステム。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願へのクロスリファレンス
本出願は、2019年9月30日に出願された「Wireless Network Provisioning using a Pre-Shared Key」という名称の米国仮特許出願第62/908,221号および2020年3月6日に出願された「Wireless Network Provisioning using a Pre-Shared Key」という名称の米国仮特許出願第62/986,255号の優先権を主張する2022年9月22日に出願された「Wireless Network Provisioning using a Pre-Shared Key」という名称の米国本特許出願第17/028,401号の優先権を主張し、参照によりその開示全体があらゆる目的のために本明細書に組み込まれる。
本出願は、2019年9月30日に出願された「Wireless Network Provisioning using a Pre-Shared Key」という名称の米国仮特許出願第62/908,221号および2020年3月6日に出願された「Wireless Network Provisioning using a Pre-Shared Key」という名称の米国仮特許出願第62/986,255号の優先権を主張する2022年9月22日に出願された「Wireless Network Provisioning using a Pre-Shared Key」という名称の米国本特許出願第17/028,401号の優先権を主張し、参照によりその開示全体があらゆる目的のために本明細書に組み込まれる。
【背景技術】
【0002】
無線ネットワークアクセスのために無線デバイスを使用可能にすることには、課題がある場合がある。一部の無線デバイスだけが、Hotspot2.0などの認証に基づく準備構成を行うことができる場合がある。別の選択肢として、802.1x拡張認証プロトコル(EAP)は、無線ネットワークに接続した後、ユーザが無線デバイスを介してクレデンシャルを提供することができるようにする場合がある。しかし、この準備構成は、無線ネットワークへの接続を試みる無線デバイスが、そのような要求を提示し、ユーザクレデンシャルを収集するために使用可能なユーザインターフェースを持っていない場合、不可能な場合がある。例えば、センサデバイスなどの、多くのモノのインターネット(IoT)デバイスは、ユーザがそのようなクレデンシャルを効率的に入力するのに十分なユーザインターフェースを持っていない場合がある。
【0003】
ホームWi-Fiネットワーク用などの従来の事前共有鍵(PSK)準備構成では、ユーザが無線ルータなどのアクセスポイント(AP)の初期構成を行うことができる。ユーザは、ユーザが容易に記憶またはその他の方法で保管する(例えば、書き留める)ことができる文字列などのPSKを作成し、そのPSKをAPに提供することができる。ユーザが無線ネットワークへの接続を希望する無線デバイスのために、ユーザはAPによって構築される無線ネットワークのSSIDを入力または選択し、PSKを入力することができる。APと無線デバイスとの間の暗号化通信に基づいて、PSKを直接送信せずに無線デバイスに提供されたPSKがAPによって記憶されているPSKと一致するか否かの判定を行うことができる。
【0004】
しかし、異なるユーザのデバイスに関連付けられた無線デバイス間で同じPSKを使用させることが弊害となり得る多くの状況が存在する。例えば、共同住宅またはホテルが共用無線ネットワークを持っている場合がある。複数のユーザが全員同じPSKを使用する場合、1人のユーザのデバイスが無線ネットワークとの別のユーザのデバイスの通信を傍受し、復号することができる可能性がある。また、前に許可されていたユーザがホテルをチェックアウトした後、または他の状況でその無線ネットワークにアクセスすることが制限されることを必要とする場合など、すでにPSKを受け取っているユーザについて無線ネットワークへのアクセスを制限することは面倒な場合がある。そのような状況では、管理者が、無線ネットワークへのアクセスが許可されるかまたは無線ネットワークのアクセスが禁止される個々のMACアドレスを手作業でそれぞれホワイトリストまたはブラックリストに入れる必要がある場合がある。
【0005】
事前共有鍵(PSK)を使用する無線ネットワークプロビジョニングのための様々な準備構成を提示することができる。実施形態によっては、事前共有鍵(PSK)を使用する無線ネットワークプロビジョニングの方法が提示されることがある。複数のPSKを示す複数の無線ネットワークアクセスプロファイルを作成することができる。アクセスポイントが、無線デバイスから、少なくとも部分的にPSKに基づく第1の値を受け取ることができる。アクセスポイントは、第1の値をクラウドベースのプロビジョニングシステムに送信することができる。クラウドベースのプロビジョニングシステムは、複数の無線ネットワークアクセスプロファイルの複数のPSKに基づいて複数の値を作成することができる。クラウドベースのプロビジョニングシステムは、複数の値のうち送信された第1の値と一致する第2の値を特定することができる。複数の無線ネットワークアクセスプロファイルのうちの、値を生成するために使用された無線ネットワークアクセスプロファイルのPSKに基づいて第3の値を提供することができる。第3の値に基づいて無線デバイスにネットワークアクセスを提供することができる。
【0006】
このような方法の実施形態は、以下の特徴のうちの1つまたは複数の特徴を含み得る。第3の値はPMKであってもよい。無線ネットワークアクセスプロファイルによって定義された期間、無線デバイスに対してインターネットアクセスを許諾することができる。第1の値は、メッセージ完全性コード(MIC)であってもよい。アクセスポイントは、ANonce値とSNonce値をクラウドベースのプロビジョニングシステムに送信することができる。アクセスポイントは、無線デバイスのMACアドレスをクラウドベースのプロビジョニングシステムに送信することができる。PSKは、無線デバイスとアクセスポイントとの間でまったく送信されなくてもよい。無線ネットワークアクセスプロファイルに基づいて、クラウドベースのプロビジョニングシステムは、無線デバイスがそのPSKを使用して無線ネットワークにアクセスする最初の無線デバイスであると判定することができる。無線デバイスがそのPSKを使用して無線ネットワークにアクセスする最初の無線デバイスであるとの判定に基づいて、提示のために無線デバイスにサービス規約が提供されてもよい。無線デバイスに固有識別子を要求することができる。固有識別子を無線デバイスから受信することができる。クラウドベースのプロビジョニングシステムは、その固有識別子を、ネットワークアクセスプロファイルの一部である、記憶されている固有識別子と比較することができ、インターネットアクセスの提供は、固有識別子が記憶されている固有識別子と一致することを条件とする。
【0007】
一部の実施形態ではシステムが提示される。システムは、事前共有鍵(PSK)を使用する無線ネットワークプロビジョニングのためのシステムとすることができる。システムは、無線デバイスにインターネットアクセスを提供し、PSKに少なくとも部分的に基づく第1の値を無線デバイスから受信するように構成された、アクセスポイントを含むことができる。システムは、アクセスポイントと通信するクラウドベースのプロビジョニングシステムを含むことができる、クラウドベースのプロビジョニングシステム。クラウドベースのプロビジョニングシステムは、複数のPSKを示す複数の無線ネットワークアクセスプロファイルを作成することができる。クラウドベースのプロビジョニングシステムは、アクセスポイントから第1の値を受信することができる。クラウドベースのプロビジョニングシステムは、複数の無線ネットワークアクセスプロファイルの複数のPSKに基づいて複数の値を作成することができる。クラウドベースのプロビジョニングシステムは、複数の値のうちの、受信した第1の値と一致する第2の値を特定することができる。クラウドベースのプロビジョニングシステムは、複数の無線ネットワークアクセスプロファイルのうちの値を生成するために使用された無線ネットワークアクセスプロファイルのPSKに基づいて第3の値を、アクセスポイントに送信することができる。
【0008】
このようなシステムの実施形態は、以下の特徴のうちの1つまたは複数の特徴を含み得る。アクセスポイントは、第3の値に基づいてネットワークアクセスを提供するように構成可能である。第3の値はPMKであってもよい。無線ネットワークアクセスプロファイルによって定義されている期間、無線デバイスに対してインターネットアクセスを許諾することができる。第1の値は、メッセージ完全性コード(MIC)であってもよい。アクセスポイントは、クラウドベースのプロビジョニングシステムにANonce値とSNonce値とを送信するようにさらに構成可能であり、SNonce値は無線デバイスからアクセスポイントによって受信される。システムは、無線デバイスを含むことができる。システムは、無線デバイスにインターネットアクセスを提供する第2のアクセスポイントを含むことができる。PSKは、無線デバイスとアクセスポイントとの間ではまったく送信されなくてもよい。クラウドベースのプロビジョニングシステムは、無線ネットワークアクセスプロファイルに基づいて、無線デバイスが無線ネットワークアクセスプロファイルに関連して無線ネットワークにアクセスする最初の無線デバイスであると判定するようにさらに構成可能である。クラウドベースのプロビジョニングシステムは、無線デバイスが無線ネットワークアクセスプロファイルに関連して無線ネットワークにアクセスする最初の無線デバイスであるとの判定に基づいて、アクセスポイントを介して、提示のために無線デバイスにサービス規約を提供するようにさらに構成可能である。クラウドベースのプロビジョニングシステムは、アクセスポイントを介して無線デバイスに固有識別子を要求するようにさらに構成可能である。クラウドベースのプロビジョニングシステムは、アクセスポイントを介して無線デバイスから固有識別子を受信するようにさらに構成可能である。クラウドベースのプロビジョニングシステムは、その固有識別子を、無線ネットワークアクセスプロファイルの一部である記憶されている固有識別子と比較するようにさらに構成可能であり、インターネットアクセスの提供は、固有識別子が記憶されている固有識別子と一致することを条件とする。
【0009】
以下の図面を参照することによって、様々な実施形態の性質と利点とをさらに理解することができる。添付図面において、同様のコンポーネントまたは特徴は、同じ参照符号を有する場合がある。また、同じ種類の様々なコンポーネントは、参照符号の後にダッシュと、同様のコンポーネントを区別する第2の符号とを付けることによって区別される場合がある。本明細書で第1の参照符号のみが使用されている場合、説明は、第2の参照符号に関係なく、同じ第1の参照符号を有する同様のコンポーネントのうちのいずれか1つに適用可能である。
【図面の簡単な説明】
【0010】
【図1】無線事前共有鍵プロビジョニングシステムの一実施形態を示す図である。
【図2】無線事前共有鍵プロビジョニングシステムの別の実施形態を示す図である。
【図3】事前共有鍵を使用する無線ネットワークプロビジョニングの方法の一実施形態を示す図である。
【図4A】事前共有鍵を使用する無線ネットワークプロビジョニングの方法の別の実施形態を示す図である。
【図4B】事前共有鍵を使用する無線ネットワークプロビジョニングの方法の別の実施形態を示す図である。
【発明を実施するための形態】
【0011】
本明細書では、固有事前共有鍵(PSK)に基づく一元管理された無線ネットワークアクセスを可能にする実施形態について詳述する。従来のWi-Fiネットワークと同様に、ユーザは無線ネットワークのSSIDに基づいて無線ネットワークを選択することができ、PSKを入力することができる。本明細書で詳述する実施形態では、PSKはユーザ(またはユーザのグループ)に固有のものとすることができ、ユーザに別途に(例えば登録eメールで、テキストメッセージによって、口頭で、書面でなど)提供されていてもよい。少なくとも部分的にPSKに基づくデータが、アクセスポイント(AP)によってネットワークを介してリモートのクラウドベースのプロビジョニングシステムに渡される。クラウドベースのプロビジョニングシステムは、PSKに基づく受信データにマップされた無線ネットワークアクセスプロファイルが記憶されているか否かを判定することができる。記憶されている場合、その無線ネットワークアクセスプロファイルからのデータがAPに渡され、PSKに基づくデータを提供した無線デバイスにネットワークアクセスを許諾するために使用される。
【0012】
このような実施形態と追加の実施形態に関するさらなる詳細について、図面に関連付けながら詳述する。図1に、無線事前共有鍵プロビジョニングシステム100(「システム100」)の一実施形態を示す。システム100は、クラウドベースのプロビジョニングシステム110と、PMK(ペアマスター鍵(Pairwise Master Key))データベース112と、無線ネットワークアクセスプロファイルデータベース114(「プロファイルデータベース114」)と、登録システム120と、インターネット130と、アクセスポイント140と、無線デバイス150と、無線デバイス154と、IoTデバイス156とを含むことができる。
【0013】
登録システム120は、1つまたは複数のコンピュータシステムを含むことができ、APによってホストされる無線ネットワークへのアクセスを管理する任務を負う管理者によって操作または構成可能である。ユーザのデバイスのうちの1つまたは複数のデバイスに無線ネットワークへのアクセスが提供される場合、登録システム120を使用して固有PSKを生成することができる。実施形態によっては、ユーザは自身のPSKまたはPSKの一部を定義することが許されてもよい(登録システム120が残りの部分を定義する)。固有PSKは、クラウドベースのプロビジョニングシステム110によって使用される他のPSKと比較して固有である必要があってもよい。PSKは、そのユーザまたは関連性のあるユーザの小グループ(例えば特定の集合住宅の住民、特定の旅行団体のメンバー)のみに提供可能である。登録システム120は、固有PSK、無線ネットワークのSSID、ユーザに関連付けられた固有識別子(例えば、eメールアドレス、ロイヤルティ識別子、患者記録番号、予約番号、社会保険番号、ユーザ作成パスワードなど)、ならびに/または、ユーザが無線ネットワークにアクセスすることが許可される日時、ユーザに割り当てられた帯域幅、パーソナルエリアネットワーク(PAN)のアクセスおよび/もしくは構築、仮想ローカルエリアネットワーク(VLAN)へのアクセスなど、ユーザに関連し得るその他の詳細および/もしくは規則を示すメッセージをユーザに送信するために使用されてもよい。
【0014】
登録システム120は、このメッセージを多くの形態でユーザに送信することができる。例えば、ユーザの記録されたeメールアドレスにeメールが送信されてもよく、ユーザの携帯電話番号にテキストメッセージが送信されてもよく、書状がユーザに宛てて郵送されてもよく(例えば予約の一環として、またはホテルのウェルカムパッケージとして)、代理または自動システムがユーザに電話をする(またはその他の方法で話す)ことも可能であり(例えばホテルのチェックイン時)、ユーザが読むようにディスプレイ画面にメッセージが提示されてもよく、ユーザが自分のデバイスで撮影するようにコードが提示されてもよく、NFC、Bluetooth(登録商標)またはその他の短距離データ転送などが行われてもよい。
【0015】
登録システム120は、クラウドベースのプロビジョニングシステム110と直接通信してもよく、またはインターネット130などのネットワークを介してクラウドベースのプロビジョニングシステム110と通信してもよい。あるいは、登録システム120とクラウドベースのプロビジョニングシステム110は、同じサーバ・システムのソフトウェア実装コンポーネントとして機能してもよい。実施形態によっては、登録システム120はプロファイルデータベース114に直接アクセスすることができる。
【0016】
固有PSKがユーザに提供されることに加えて、登録システム120からプロファイルデータベース114に取得されたデータに基づいて、無線ネットワークアクセスプロファイルがプロファイルデータベース114において作成されてもよい。無線ネットワークアクセスプロファイルは、固有PSKと、無線ネットワークのSSIDと、ユーザに関連付けられた固有識別子と、ユーザに関連し得る規則(例えば、無線ネットワークアクセスプロファイルにより無線ネットワークへのアクセスが許可される日時、割り当てられた帯域幅の量、PANへのアクセス、VLANへのアクセス)と、無線ネットワークアクセスプロファイルの使用に関するデータ(例えば、無線ネットワークアクセスのために以前にその固有PSKが使用されたか否か)とを含んでもよい。
【0017】
AP140は、無線ネットワークを構築するか、または適正に許可される場合に1つまたは複数の無線デバイスがそれを介してインターネットおよび/または他の何らかのパブリックもしくはプライベートネットワークにアクセスすることができる無線ネットワークの一部として機能するデバイスに相当し得る。図の実施形態では、単一のAPが存在する。AP140は、無線デバイスと通信するためにIEEE802.11スイートのプロトコルを使用してもよい。WPA1-3などのWi-Fi Protected Access(WPA)を、ネットワーク通信を保護するためのセキュリティプロトコルとして使用してもよい。本明細書で詳述する実施形態は、他の通信プロトコルおよびセキュリティプロトコルに適合させ、ともに使用することもできることを理解されたい。例えば、本明細書で詳述する実施形態は、3G、4G、5Gまたは他の何らかの世代のセルラネットワークシステムへの完全アクセスまたは制限付きアクセスを許可するためなど、セルラネットワークで実装されてもよい。
【0018】
無線デバイス150、無線デバイス154およびIoTデバイス156などの無線デバイスは一般に、無線ネットワークと通信することができる任意の形態のコンピュータ化デバイスとすることができる。実施形態によっては、1つまたは複数の有線ネットワークデバイスも存在してもよい。例えば、ケーブル(例えばイーサネットケーブル)を使用して有線ネットワークデバイスがAP140に直接接続されてもよい。無線デバイス150などの無線デバイスが無線ネットワークへのアクセスを許諾されると、無線デバイスはネットワークに接続された一部または全部の有線デバイスとも通信することができてもよい。
【0019】
IoTデバイス156(例えばセンサデバイス、ホームオートメーションデバイス)の実施例の場合、ユーザインターフェースが存在しないか限定されたユーザインターフェースしか存在しない可能性がある。IoTデバイス156はネットワーク接続を必要とするかまたはネットワーク接続によって便益を得ることができるが、ユーザがIoTデバイス156のために何らかの形態のネットワーク認証を行うのは難しいかまたは不可能な場合がある。実施形態によっては、IoTデバイス156を構成するために、無線デバイス150または無線デバイス152などの別のデバイス上でアプリケーションが実行されてもよい。そのようなデバイスを介して、ユーザは、IoTデバイス156がAP140との認証を行うために使用することができるクレデンシャルを提供することが可能であってもよい。
【0020】
無線デバイス150および154は、スマートフォン、タブレットコンピュータ、ラップトップコンピュータ、デスクトップコンピュータ、ゲーミングデバイス、スマートテレビ、ホームアシスタントデバイス、スマートドアベル、スマート煙探知機、スマート一酸化炭素検知器、ストリーミングビデオカメラ、セットトップボックス(STB)などを含み得る。ユーザが、この実施例における無線デバイス150などの無線デバイスを最初に無線ネットワークと通信させたい場合、ユーザは、正しいSSIDを入力または選択し、登録システム120によって提供される固有PSKを無線デバイス150に入力することができる。
【0021】
例えば、無線デバイス150は、固有PSKがAP140によって構築される無線ネットワークへのアクセスを許諾するか否かを判定するために、初期ペアリング手続きを行うことができる。WPA4ウェイハンドシェイクなどのハンドシェイク手続きが行われてもよい。この準備構成は、AP140が無線デバイス150にAPアナウンスメントメッセージ(ANonce)を送信することを含み得る。無線デバイス150は、固有PMK、ANonce、SNonce、AP MACアドレス、および無線デバイスのMACアドレスなどの様々な属性を組み合わせる(連結する)ことによって、ペア一時鍵(pairwise transient key(PTK))を構築することができる。この組合せ値は、次に、最終的なPTKを生成するために擬似ランダム関数を使用して処理されてもよい。PTKは、EAPoL(LAN上の拡張認証プロトコル)フレーム、暗号化の種類、およびPTKに基づくHMAC暗号関数を使用してMICを生成するために使用することができる。無線デバイス150は、ステーションアナウンスメントメッセージ(SNonce)とメッセージ完全性コード(MIC。メッセージ認証コードMACとも呼ばれることがある)をAP140に提供することができる。
【0022】
この時点では、AP140はPTKを構築するために無線デバイス150によって使用される固有PSKを持っていないため、AP140は無線デバイスから受信したSNonceとMICとを、EAPoLフレーム、ANonce、AP MACアドレスおよび無線デバイスのMACアドレスなどのいずれかの必要な他のデータとともに、インターネット130を介して(あるいはこれに加えて、またはこれに代えて、他の何らかのパブリックおよび/もしくはプライベートネットワークを介して、または直接)クラウドベースのプロビジョニングシステム110に送信する。
【0023】
クラウドベースのプロビジョニングシステム110は、非一過性のプロセッサ可読媒体を使用して記憶された1つまたは複数のデータベースと通信する1つまたは複数のコンピュータサーバシステムを含むことができる。登録システム120によって配布されたPSKに基づいて作成されたPMKを記憶するためにPMKデータベース112を使用することができる。PSKに基づいてPMKを計算するために、パスワードベースの鍵導出関数を、4096回など、何回か反復適用してもよい。導出関数は、PSKをパスワードとして使用し、無線ネットワークのSSIDをソルトとして使用することができる。PSKと関連SSIDとに基づいてPMKを予め計算することによって、以下で詳述するように一致を検索する時点で行う必要がある処理の量を減らすことができる。あるいは、PMKは、PMKデータベース112に記憶されているPSKとSSIDとのペアを使用してオンザフライで計算することも可能である。
【0024】
クラウドベースのプロビジョニングシステム110は、計算したMICと受信したMICとの一致が見つかるまで、PMKデータベース112からのすべての記憶PMKについて、またはPMKデータベース112からの個々のPMKについて、受信したデータを使用してPTKを計算することができる。PTKは、PTKを計算するためにAPによって使用されたのと同じ擬似ランダム関数を使用して計算される。次に、PTKに基づいてMICを計算することができる。クラウドベースのプロビジョニングシステムによって計算されたPTK(同様にPMKデータベース112から取得されたPMKに基づいて計算された)について計算されたMICがAP140から受信したMICと一致する場合に一致を特定することができる。計算したMICがAP140から受信したMICと一致した場合、クラウドベースのプロビジョニングシステム110は、PTKを作成するために使用する正しいPMKをPMKデータベース112から決定している。MICの一致が見つからない場合、ユーザによって無線デバイス150に入力されたPSKは有効ではなく、AP140によって構築された無線ネットワークへのアクセスは提供されない。
【0025】
MICの一致が存在すると想定すると、次に、PMKデータベース112からのPSKを使用してプロファイルデータベース114の検索を行うことができる。プロファイルデータベース114は、無線ネットワークアクセスプロファイルを記憶する。PSKについて、プロファイルデータベース114から特定の無線ネットワークアクセスプロファイルを取り出すことができる。無線ネットワークへのアクセスがAP140によって許諾されるか否かは、そのPSKにマップされた特定の無線ネットワークアクセスプロファイルに存在する情報次第である。例えば、無線ネットワークアクセスプロファイルは、アクセスの許容時間範囲、アクセスの許容日付範囲、ホワイトリストおよび/またはブラックリストに入れられたMACアドレス、帯域幅量、所定期間(例えば1ヶ月)内に許容されるアップリンクおよび/またはダウンリンクデータの合計量、許容される使用または許容されない使用(例えばビデオストリーミングなし)、さらなる認証が必要か否か、アクセスのレベル、どのネットワークにアクセスが許可されるかなどを含み得る。
【0026】
実施形態によっては、無線ネットワークアクセスプロファイルからデータがインターネット130(または他の何らかのネットワーク)を介してAP140および/またはネットワークのその他のコンポーネントに送信される。そのような実施形態では、AP140は、無線デバイス150にネットワークアクセスが提供されるべきか否かを判定するために無線ネットワークアクセスプロファイルの内容を分析することができる。他の実施形態では、アクセスが許可されるか否かの判定はクラウドベースのプロビジョニングシステム110によって行われる。いずれの実施形態でも、無線デバイス150に何らかの量のアクセスが提供される場合、少なくとも、PMKおよび/または、計算したMICが受信したMICと一致する結果となったPMKを作成するために使用されたPSKを、AP140に送信することができる。PMKを送信する利点は、APによって暗号化アルゴリズムが適用されなくてもよいことである。AP140は受信したPSKを使用して、無線デバイス150とのハンドシェイク手続きを完了して通信を開始することができる。この準備構成の結果、無線デバイス150とAP140との間で、暗号化形態でも非暗号化形態でもPSKは決して送信されない。
【0027】
実施形態によっては、プロファイルデータベース114に無線ネットワークアクセスプロファイルの一部として記憶されるデータは動的であってもよい。例えば、いずれかのAPに最初に接続するために、無線ネットワークアクセスプロファイルに関連付けられたPSKが無線デバイスによって使用されるとき、1つまたは複数の追加のステップを行う必要がある場合がある。無線ネットワークアクセスプロファイル内のデータが、クラウドベースのプロビジョニングシステム110がアクセスを管理するAPに接続するためにそのPSKが以前に使用されたことがあるか否かを示してもよい。例えば、そのPSKを使用して無線デバイス150とAP140との通信が確立された後で、しかしAP140がネットワークアクセス(例えばインターネット130へのアクセス)を許可する前に、無線デバイス150のユーザに提示し、ユーザによる承認を得るために、無線デバイス150にサービス規約が送信されてもよい。サービス規約が同意され、その旨を示す標識がAP140によって受信されると、AP140は、サービス規約が同意されており、再び提示される必要がないことを示すために、PSKにマップされた無線ネットワークアクセスプロファイルを変更するように、その旨を示す標識をクラウドベースのプロビジョニングシステム110に送信してもよい。他の実施形態では、サービス規約は、プロビジョニングプロセスにおける異なるステップで提供されてもよい。例えば、実施形態によっては、PSKおよび/またはSSIDを受信するために、ユーザがまずサービス規約に同意することを要求されてもよい。
【0028】
実施形態によっては、無線デバイスが無線ネットワークへのアクセスを成功裏に許諾されるのに応答して、MACアドレス(または無線デバイスの他の何らかの形態の識別子)が記憶され、正しいPMKにマップされてもよい。このマッピングは、それを介して接続が確立されたAP、無線ネットワークの別のコンポーネントに記憶されてもよく、またはクラウドベースのプロビジョニングシステム110によって記憶されてもよい。デバイスが将来、無線ネットワークに再接続を試みた場合、プロビジョニングプロセスの全体を繰り返して記憶されているすべてのPMKをくまなく検索するのではなく、MACアドレスの一致を特定することができ、それに関連付けられたPMKが一致しているか最初に検査することができる。記憶されているPMKの総検索は、MACアドレスの一致が存在しないかまたは一致するMACアドレスに関連付けられたPMKが正しくない場合にだけ行われてもよい。このような準備構成は、PMK/MICの一致を特定するために行う必要がある処理の量を大幅に減らすことができる。
【0029】
実施形態によっては、無線デバイスを使用して有効なPSKを提供する以上の追加のセキュリティを、登録システム120を運用する管理者が希望する場合がある。前述のように、ユーザの固有識別子(例えばeメールアドレス、パスワード)などの追加情報が無線ネットワークアクセスプロファイルの一部としてプロファイルデータベース114に記憶されてもよい。PSKが妥当性検証された後、APは無線デバイスが追加情報を提供することを要求してもよい。例えば、AP140はeメールアドレス、ロイヤルティ識別子/番号、または他の何らかの形態の固有識別子をユーザ無線デバイス150に要求してもよい。次にユーザが、登録プロセス時に登録システム120に提供されたeメールアドレス(またはその他の形態の固有識別子)を提供してもよい。AP140またはクラウドベースのプロビジョニングシステム110が、提供された固有識別子が無線ネットワークアクセスプロファイル内の記憶固有識別子と一致するか否かを検証してもよい。一致が存在する場合、ネットワークアクセスが提供されてもよい。一致が存在しない場合、ネットワークアクセスは提供することができず、かつ/または、無線ネットワークアクセスプロファイルが使用不能にされてもよい。登録システム120の管理者の希望に応じて、このような追加のセキュリティステップは、所与の無線ネットワークアクセスプロファイルについて1回だけ行われてもよく、無線デバイスが新たなAPに接続するたびに行われてもよく、かつ/または、クラウドベースのプロビジョニングシステム110によりアクセスが制御されるAPに接続するためにそのPSKを使用する新たな無線デバイスごとに行われてもよい。
【0030】
図1に示す実施形態では、PMKデータベース112とプロファイルデータベース114は別個のデータベースとして示されている。実施形態によっては、PMKと無線ネットワークアクセスプロファイルとを記憶する単一のデータベースが存在してもよい。あるいは、記憶データは、より多くのデータベースにわたって、または他の形態のデータ記憶機構(例えばテーブル)に記憶されてもよい。また、図1および図2はクラウドベースのプロビジョニングシステム110をAP140およびAP142からリモートにあるものとして示しているが、実施形態によっては、クラウドベースのプロビジョニングシステム110は、1つまたは複数のAPと同じ場所に配置されてもよく、インターネットを使用せずに通信してもよい。例えば、有線ローカルエリアネットワーク接続が使用されてもよい。
【0031】
実施形態によっては、単一のAPにアクセスするためにPSKが使用されるのではなく、同じ場所に配置されているかまたは地理的に分散していてもよい、複数のAPにアクセスするためにそのPSKが使用されてもよい。図2に無線事前共有鍵プロビジョニングシステム200(「システム200」)の別の実施形態を示す。システム200は、図1のシステム100と同様に機能することができる。しかし、システム200は、AP140およびAP142などの複数のAPを含むことができる。
【0032】
AP140とAP142は、地理的に分散した場所に配置されてもよく、またはほぼ同じ場所に配置されてもよい。同じ場所に配置とは、APが同じ建物内、同じ施設内、同じ構内などに配置されていることを指し得る。分散した場所とは、異なる建物、異なるホテル、異なる施設などを指し得る。例えば企業は、1つのPSKによって、市内、州内、国内、大陸内または世界中に分散している自社のオフィスにわたるAPへのアクセスをユーザに提供したい場合がある。
【0033】
APが同じ場所に配置されている場合、無線デバイスが建物内などの比較的短距離を移動するときに無線デバイスは通信先のAPを切り換える可能性があるが、アクセスはクラウドベースのプロビジョニングシステム110によって両方のAPのために管理されているため、アクセスは許可されたままであってよい。同様に、AP140とAP142とが地理的に分散した場所に配置されている場合でも、ネットワークアクセスはクラウドベースのプロビジョニングシステム110によって一元的に管理可能である。例えば、不動産賃貸会社などの事業体が、クラウドベースのプロビジョニングシステム110を介して多くの不動産にわたる客のアクセスを一元的に管理することができる。
【0034】
実施形態によっては、AP140とAP142がセルラネットワークの異なる基地局に相当してもよい。例えば、5Gネットワークでは、AP140およびAP142の代わりにgNodeBが使用可能である。無線ローカルエリアネットワークと同様にして、セルラネットワークへの完全または部分アクセスを許諾することができる。
【0035】
無線デバイス152が以前にAP140と通信した場合など、初期登録プロセスが第1のAPを使用して行われる場合、プロファイルデータベース114に記憶されたデータが、無線デバイスがアクセスをすでに許可されていることを示すことができる。したがって、無線デバイス152がAP142にアクセスする場合、AP142が正しいPSKを取得するためのバックエンドプロセスは繰り返される必要があるかも知れないが、サービス規約(または他の何らかの1回限りのイベント)は、プロファイルデータベース114に記憶された無線ネットワークアクセスプロファイルがそのイベントがすでに行われたことを示しているため、無線デバイス152によって再度、提示または繰り返される必要がないことになる。同様に、ユーザ(または関連のある使用)が別のデバイスでPSKを再使用した場合、同じ無線ネットワークアクセスプロファイルが使用されるため、サービス規約は提示および同意の必要がない場合がある。
【0036】
図1および図2の記載システムを使用して様々な方法を行うことができる。図3に、事前共有鍵を使用する無線ネットワークプロビジョニングの方法300の一実施形態を示す。方法300は、システム100、システム200、またはPSKを使用する無線ネットワークプロビジョニングを可能にする他の何らかの形態のシステムを使用して行うことができる。
【0037】
ブロック305で、固有PSKを使用して無線ネットワークアクセスプロファイルが作成されてもよい。固有PSKは、ランダムに生成可能であり、無線ネットワークアクセスプロファイルに関連付けられた他のいずれのPSKとも一致しないことが確認されてもよい。固有PSKは、クラウドベースのプロビジョニングシステム110、登録システム120、または、プロファイルデータベース114にアクセス可能な他の何らかのコンピュータ化コンポーネントを使用して作成することができる。固有PSKは、クラウドベースのプロビジョニングシステムのプロファイルデータベースにおいて作成、記憶可能である。固有PSKは、ユーザが無線ネットワークに接続するためにその固有PSKを入力することができるように、場合により他の関連情報(例えばネットワークSSID)ととともに、上記で開示した構成のいずれかによってユーザに提供可能である。
【0038】
実施形態によっては、ユーザが自分のPSKを作成することができてもよく、それをプロファイルデータベースへの記憶のためにクラウドベースのプロビジョニングシステムに提供してもよい。例えば、ユーザは、ウェブを介してクラウドベースのプロビジョニングシステムにアクセスしてもよく、希望するPSKを入力する機会を与えられてもよい。そのような一実施形態では、ユーザ作成PSKは、他のユーザに割り当てられた他のPSKとの一致がないことを保証するために、プロファイルデータベース内の他のPSKと照合されてもよい。一致があった場合、ユーザは異なるPSKの作成を要求されてもよく、またはそのユーザと、一致するPSKにすでにマップされている他のユーザの両方が、ネットワークへのアクセスを許可される前に、それぞれ新たなPSKを作成することを要求されてもよい。実施形態によっては、クラウドベースのプロビジョニングシステムがPSKの一部を定義してもよく、ユーザがPSKの一部を定義してもよい。クラウドベースのプロビジョニングシステムがPSKの一部を定義することによって、プロファイルデータベース内の他のPSKとの一致を防止することができる。例えば、クラウドベースのプロビジョニングシステムがPSKの固有の前部(プロファイルデータベース内の他のPSKとの一致がないように保証する)を指定してもよく、ユーザはPSKの後部を定義することができる。
【0039】
ブロック307で、固有PSKを、場合によっては他の情報とともに、無線ネットワークにアクセスすることになる無線デバイスに提供することができる。ユーザが、ネットワーク構成インターフェースにアクセスし、正しいSSIDを選択または入力してもよい。ユーザは次に、PSKを入力するように促されてもよい。無線デバイスがデータの直接入力が可能なユーザインターフェースのないIoTデバイスである場合、ユーザは別のコンピュータ化デバイスでアプリケーションを実行するか、またはIoTデバイスに代わってデータを入力する他の何らかの処置を行ってもよい。この、他のコンピュータ化デバイスは、SSIDおよびPSKを、APとの接続に使用するためにIoTデバイスに転送してもよい。
【0040】
ブロック310で、無線デバイスが無線ネットワークのAPに接続を試みることができる。無線デバイスは、APに送信される値を生成するために、固有PSKを、場合によっては他のデータ(例えばそのMACアドレス)とともに使用する。実施形態によっては、PSKは、単一の値を作成するようにSNonce、ANonce、AP MACアドレス、および無線デバイスMACアドレスと連結される。次に、PTKを生成するために擬似ランダム関数が適用されてもよい。PTKは次に、MIC値を生成するために処理されてもよい。暗号化の種類も示すことができるEAPoLフレームの一部など、MIC、SNonce、および/または無線デバイスMACアドレスが、ブロック310でAPに送信されてもよい。APは、これらの値を受信すると、ブロック315で、MIC、SNonce、EAPoLフレームおよび/または評価のためのその他のデータをクラウドベースのプロビジョニングシステムに転送することができる。
【0041】
ブロック320で、クラウドベースのプロビジョニングシステムは、受信したデータと記憶されているPMKとを使用してPTK値を計算することができる。計算されたPTKは次に、MIC値を計算するために使用することができる。計算されたMIC値は、少なくとも一致が特定されるまで、ブロック315で受信したMIC値との一致があるか評価され得る。一致が特定されない場合、エラーメッセージまたは拒否メッセージがAPに返送され、ブロック315で受信したMICと一致する有効なPMKが見つからなかったことを示す。
【0042】
従来の準備構成では、APが単一の有効PSKを記憶する場合、単一の値(例えばMIC)の計算は比較的容易である可能性がある。しかし、ブロック310で無線デバイスによって使用されるPSKは未知であるため(PSKは無線デバイスによってAPに送信されないため)、少なくとも一致が特定されるまで、クラウドベースのプロビジョニングシステムの記憶されている各記憶PSKに基づいて値(例えばMIC)を計算する必要がある。処理時間を節約するために、各記憶PSKが、予め計算されて記憶された関連付けられたPMKを有してもよい。例えば、各PMKは、PSKをパスワードとして使用し、無線ネットワークのSSIDをソルトとして使用するパスワードベースの鍵導出関数を使用して予め計算されてもよい。実施形態によっては、この関数は4096回反復実行されてもよい。各PMKについて、SNonceなどAPから受信した情報を使用してPTKを計算してもよい。ブロック325で、一致が特定され得る。記憶されているPSK(または予め計算されたPMK)に基づいて計算されたMICがAPから受信したMICと一致する場合に、一致が存在すると判定される。他の実施形態では、一致が存在するか否かを判定するためにMIC以外の値が使用されてもよい。
【0043】
PMKを生成するために使用された記憶PSKと、APから受信したMICと一致したMICは、ブロック330でAPに提供される。これに代えて、またはこれに加えて、クラウドベースのプロビジョニングシステムによって計算されたPMKが提供されてもよい。PSK/SSID(または予め計算されたPMK)は次に、無線デバイスとのハンドシェイクプロセスを完了してネットワークアクセスを提供するために、APによって使用可能である。PSKにマップされた無線ネットワークアクセスプロファイルに記憶されているデータは、ネットワークアクセスを制限するため、または、例えば、サービス規約に同意する必要、提供される帯域幅の量、アップロードまたはダウンロードが許可されるデータの合計量、一時的制限事項、ならびに/または、接続の準備かつ/またはアクセス許諾のために使用されるAPおよび/または他のデバイスを介してネットワークアクセスが許諾される前にユーザの固有識別子の一致などの追加のセキュリティ層を行う必要があるか否かなど追加の条件を付けるために使用されてもよい。
【0044】
ブロック335で、プロビジョニングプロセスが完了可能であり、固有PSKに少なくとも部分的に基づいて無線デバイスにネットワークアクセスが提供される。例えば、ネットワークアクセスは、インターネットにアクセスするために使用可能である。他の実施形態では、アクセスは、イントラネット、企業LANなどの別のネットワークへのアクセスを許諾するために使用されてもよい。実施形態によっては、このプロビジョニングプロセスは、ネットワークへのアクセスを制限するために使用されてもよい。例えば、(特定のPSKにマップされた)特定のデバイスまたはデバイスの種類について、無線ネットワークへの許諾されるアクセスレベルが制限されてもよい。例えば、デバイスに、イントラネットアクセスが与えられてもよいが、そのイントラネットを介したインターネットへのアクセスは許可されなくてもよい。
【0045】
図4Aおよび図4Bに、事前共有鍵を使用する無線ネットワークプロビジョニングの方法400の一実施形態を示す。方法400は、方法300のより詳細な実施形態に相当し得る。方法400は、システム100、システム200、またはPSKを使用する無線ネットワークプロビジョニングを可能にする他の何らかの形態のシステムを使用して行うことができる。方法400では、無線デバイスは、例えば図1および図2の無線デバイス150、152、154または156とすることができる。APは、図1および図2のAP140または142とすることができる。プロビジョニングシステムは、クラウドベースのプロビジョニングシステム110、PMKデータベース112、プロファイルデータベース114、および登録システム120を含むことができる。
【0046】
ブロック405で、固有PSKが生成されてもよい。PSKは、ネットワークアクセスを受け取る新たなユーザまたはユーザグループが特定されたために生成されてもよい。固有PSKはランダムに生成されてもよく、無線ネットワークアクセスプロファイルに関連付けられた他のいずれのPSKとも一致しないことが確認されてもよい。固有PSKは、クラウドベースのプロビジョニングシステム110、登録システム120、またはプロファイルデータベース114にアクセスすることができる他の何らかのコンピュータ化コンポーネントを使用して作成されてもよい。ブロック410で、PSKを使用して無線ネットワークアクセスプロファイルが作成されてもよい。固有PSKは、クラウドベースのプロビジョニングシステムのプロファイルデータベースにおいて作成され、記憶されてもよい。ブロック410で作成されたプロファイルは、関連ネットワークのSSID、ユーザに関する情報、サービス規約がユーザによって受諾されたか否か、ユーザの識別子など、PSKに関連する様々な情報を記憶することができる。ブロック415で、PSKは、場合によっては他の関連情報(例えばネットワークSSID)とともに、無線ネットワークに接続するためにユーザが固有PSKを入力することができるように上記で開示した構成のいずれかを介してユーザに提供することができる。
【0047】
ブロック420で、PSKは、場合によっては他の情報とともに、無線ネットワークにアクセスすることになる無線デバイスに提供することができる。ユーザがネットワーク構成インターフェースにアクセスし、正しいSSIDを選択または入力してもよい。ユーザは、次に、PSKの入力を促されてもよい。無線デバイスが、データの直接入力が可能なユーザインターフェースを持たないIoTデバイスである場合、ユーザは別のコンピュータ化デバイス上でアプリケーションを実行してもよい。この別のコンピュータ化デバイスは、APとの接続で使用するためにSSIDとPSKをIoTデバイスに転送してもよい。
【0048】
ブロック425で、APはそれ自体の存在を周囲に知らせるためのデータをブロードキャストしてもよい。ブロードキャストデータは、SSID、ANonceおよび/またはMACアドレスを含んでもよい。実施形態によっては、SSIDは隠され、既知である必要がある。ブロック430で、PSK、SNonce、ANonce、AP MACアドレス、および無線デバイスMACアドレスを使用して、連結文字列データが作成されてもよい。ブロック430で、無線デバイスによって擬似ランダム関数を使用してPTKが生成されてもよい。PTKは次に、ブロック435でMICを計算するために使用されてもよい。ブロック440で、MIC、SNonce、ステーションMACアドレス、および/またはEAPoLフレームがAPに送信されてもよい。PSKとPMKはAPには送信されないことに注目すべきである。
【0049】
APは、MICとSNonce(および/またはPTK)を受信すると、ブロック450で、無線デバイスにアクセスを許諾すべきか否かを判定するためにプロビジョニングシステムとの通信が必要であると判定することができる。実施形態によっては、APは複数のPSKを処理することができてもよい。第1のPSKはローカルに記憶されてもよく、プロビジョニングシステムと通信せずに、無線デバイスと認証を行うことができる。1つまたは複数のリモートで記憶されているPSKは、プロビジョニングシステムからPSKが取り出されることを必要とする場合がある。ブロック445で受信したMICが、受信した情報(例えばPTK、SNonce、MACアドレスなど)およびローカルで記憶されているPSKに基づいてAPによってローカルで計算されたMICと一致しない場合、AP MACアドレス、デバイスMACアドレス、アクセスポイントによってネットワーク対応デバイスに提供されるANonceパケット、ネットワーク対応デバイスによってアクセスポイントに提供されるSNonceパケット、およびEAPoLキーフレーム全体をプロビジョニングシステムに渡す決定が行われてもよい。
【0050】
方法400は図4Bに続く。ブロック455で、APはAP MACアドレス、ネットワーク対応デバイスMACアドレス、APによってネットワーク対応デバイスに提供されるANonceパケット、ネットワーク対応デバイスによってAPに提供されるSNonceパケット、および/またはEAPolキーフレーム全体を、プロビジョニングシステムに送信することができる。送信は、インターネットまたは他の何らかのネットワークを介して行われてもよい。他の実施形態では、プロビジョニングシステムはAPに対してローカルであってもよい。ブロック460で、AP MACアドレス、ネットワーク対応デバイスMACアドレス、APによってネットワーク対応デバイスに提供されるANonceパケット、ネットワーク対応デバイスによってAPに提供されるSNonceパケット、および/またはEAPoLキーフレーム全体が、プロビジョニングシステムによって受信されてもよい。実施形態によっては、SNonce、AP MACアドレス、および/または無線デバイスMACアドレスなどの追加データが送信されてもよい。
【0051】
ブロック465からブロック480で、プロビジョニングシステムは、プロファイルデータベースによって記憶されているPSKを使用して、受信した情報に基づいてMICの計算を試みる。ブロック465で、プロビジョニングシステムは、受信した情報を、SNonce、AP MACアドレス、無線デバイスMACアドレスなどのAPから取得した他のデータとともに使用して、第1のPTK値を計算することができる。PTK値は、無線デバイスによって構築されたのと同様に、値の連結文字列を作成し、PTKを得るために疑似ランダム関数を適用することによって決定可能である。ブロック470で、次に、PTKについてMICが計算されてもよい。ブロック475で、計算したMICがブロック460で受信したMICと一致するか否かが判定される。一致がある場合、方法400はブロック480に進むことができる。一致がない場合、方法400はブロック465に戻り、プロファイルデータベースに記憶されている次のPSKについて計算を行うことができる。データベース内のすべてのPMKについてMICを計算した後に一致が特定されなかった場合、プロビジョニングシステムによってエラーメッセージがAPに送信されてもよく、無線デバイスに対してネットワークアクセスは許諾することができない。
【0052】
ブロック482で、無線デバイスのMACアドレス(または無線デバイスの他の何らかの形態の識別子)が記憶され、決定した正しいPMKにマップされてもよく、このPMKは、一致を特定するために多くのPMKについてMICを再計算する必要を回避するために、今後この方法が行われるときに使用することができる。正確には、このMACアドレスを有するデバイスが再び無線ネットワークにアクセスを試みた場合、MACアドレスにマップされたPMKは、一致が存在するか否かを判定するためのMIC値を計算するために最初に使用されるPMKとすることができる。
【0053】
ブロック480で、記憶されているMICと計算されたMICとの一致が特定された場合、一致を生じさせたPMKがAPに送信される。APはブロック485でPMKを受信することができる。このPMKを使用して、APは無線デバイスとの暗号化された通信セッションを確立することができ、ブロック490で無線デバイスにネットワーク(インターネット)アクセスを許諾することができる。前述のように、実施形態によっては、一致するPMKを有するプロファイルに記憶されたデータに基づいてアクセスが許諾される前に無線デバイスから追加データが収集されてもよい。例えば、ユーザが、プロファイル内の記憶された識別子と一致する識別子(例えばユーザ名、eメールアドレス、ロイヤルティ番号)を提供することを要求されてもよく、かつ/または、ユーザが無線デバイスに提供された(または関連無線デバイスに提供された)1組のサービス規約を受諾することを要求されてもよい。ブロック495で、無線デバイスはAPを介してネットワークアクセスを取得する。ブロック499で、PMKの取得元のプロファイルが、成功裏に接続したその無線デバイスに関するデータ(例えば、無線デバイスがサービス規約に同意したこと、無線デバイスのMACアドレスなど)を含むように更新されてもよい。
【0054】
上述の方法、システムおよびデバイスは一例である。様々な構成が、様々な手続きもしくはコンポーネントを適宜、省略、代用または追加してもよい。例えば、代替構成では、方法は記載されている順序とは異なる順序で行われてもよく、および/または、様々な段階が追加、省略かつ/または組み合わされてもよい。また、特定の構成に関して記載されている特徴が様々な他の構成と組み合わされてもよい。構成の異なる態様および要素が、同様にして組み合わされてもよい。また、技術は進化し、したがって要素の多くは一例であり、本開示または特許請求の範囲を限定しない。
【0055】
例示の構成(実装形態を含む)を十分に理解することができるように、説明では特定の詳細が示されている。しかし、構成はこれらの特定の詳細がなくても実施可能である。例えば、構成がわかりにくくならないように、周知の回路、プロセス、アルゴリズム、構造体および技術は、無用な詳細なしに示されている。本説明は、例示の構成のみを示し、特許請求の範囲、適用可能性または構成を限定しない。逆に、上記の構成の説明は、記載されている技術を実装するための実施を可能にする説明を当業者に与えるものである。要素の機能および構成には、本開示の思想または範囲から逸脱することなく様々な変更を加えることができる。
【0056】
また、構成は、流れ図またはブロック図として図示されているプロセスとして説明されている場合がある。それぞれが動作を順次プロセスとして記載している場合があるが、動作の多くは並列して、または同時に行うことができる。さらに、動作の順序は並べ替えてもよい。プロセスは、図に含まれていない追加のステップを有してもよい。また、方法の実施例は、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、ハードウェア記述言語、またはこれらの任意の組あわせで実装可能である。ソフトウェア、ファームウェア、ミドルウェアまたはマイクロコードで実装される場合、必要なタスクを行うためのプログラムコードまたはコードセグメントが、記憶媒体などの非一過性のコンピュータ可読媒体に記憶されてもよい。プロセッサが記述されているタスクを行ってもよい。
【0057】
いくつかの例示の構成について説明したが、本開示の思想から逸脱することなく様々な変更、代替構成および均等物を使用することができる。例えば、上記の要素は、より大きなシステムの構成要素であってもよく、その場合、他の規則が本発明の適用に優先するかまたは他の状況で本発明の適用を変更する場合がある。また、いくつかのステップが、上記の要素が考慮される前、間または後に行われてもよい。
【図1】
【図2】
【図3】
【図4A】
【図4B】
