▶ アリババ グループ ホウルディング リミテッドの特許一覧
特表2022-547404鍵生成及び端末プロビジョニングのための方法、装置、及びデバイス
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-11-14
(54)【発明の名称】鍵生成及び端末プロビジョニングのための方法、装置、及びデバイス
(51)【国際特許分類】
H04L 9/08 20060101AFI20221107BHJP
H04W 12/041 20210101ALI20221107BHJP
H04W 84/12 20090101ALI20221107BHJP
H04W 12/037 20210101ALI20221107BHJP
【FI】
H04L9/08 C
H04W12/041
H04W84/12
H04W12/037
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2022508883
(86)(22)【出願日】2020-08-31
(85)【翻訳文提出日】2022-03-28
(86)【国際出願番号】 CN2020112415
(87)【国際公開番号】W WO2021043095
(87)【国際公開日】2021-03-11
(31)【優先権主張番号】201910842413.7
(32)【優先日】2019-09-06
(33)【優先権主張国・地域又は機関】CN
(81)【指定国・地域】
(71)【出願人】
【識別番号】511050697
【氏名又は名称】アリババ グループ ホウルディング リミテッド
(74)【代理人】
【識別番号】100079108
【弁理士】
【氏名又は名称】稲葉 良幸
(74)【代理人】
【識別番号】100109346
【弁理士】
【氏名又は名称】大貫 敏史
(74)【代理人】
【識別番号】100117189
【弁理士】
【氏名又は名称】江口 昭彦
(74)【代理人】
【識別番号】100134120
【弁理士】
【氏名又は名称】内藤 和彦
(72)【発明者】
【氏名】ユー,シャオボー
(72)【発明者】
【氏名】シャオ,ユエチェン
(72)【発明者】
【氏名】ワン,ハオ
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA21
5K067BB21
5K067EE02
5K067EE10
5K067HH36
(57)【要約】
本願の実施形態において提供されるのは、鍵生成及び端末プロビジョニング方法、装置、並びにそのデバイスである。鍵を生成するための方法は、エンローリによって、第1の要求メッセージをコンフィギュレータに送信することであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、送信することと、エンローリによって、コンフィギュレータによって送信された、第1の鍵情報を含む第1のメッセージを受信することと、エンローリによって、第1の鍵情報に従ってセッション鍵を生成することと、エンローリによって、第2のメッセージをコンフィギュレータに送信することであって、第2のメッセージは第2の鍵情報を備え、これによりコンフィギュレータが第2の鍵情報に従ってセッション鍵を生成することを可能にする、送信することと、を含む。エンローリ及びコンフィギュレータが初めてプロビジョニングを実施するプロセスにおいて、エンローリに対して実施される後続のネットワーク設定のために必要とされるセッション鍵を生成するために互いの鍵情報が交換されるので、エンローリに対してネットワーク再設定が実施されるときには、再び認証プロセスを実施することは不要であり、それによってネットワーク設定効率が向上する。
【選択図】 図1
【選択図】 図1
【特許請求の範囲】
【請求項1】
鍵を生成するための方法であって、エンローリによって、第1の要求メッセージをコンフィギュレータに送信することであって、前記第1の要求メッセージは第1の識別子を備え、前記第1の識別子は前記コンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、送信することと、
前記エンローリによって、前記コンフィギュレータによって送信された第1のメッセージを受信することであって、前記第1のメッセージは第1の鍵情報を備える、受信することと、
前記エンローリによって、前記第1の鍵情報に従ってセッション鍵を生成することと、
前記エンローリによって、第2のメッセージを前記コンフィギュレータに送信することであって、前記第2のメッセージは第2の鍵情報を備え、これにより前記コンフィギュレータが前記第2の鍵情報に従って前記セッション鍵を生成することを可能にする、送信することと、
を備えることを特徴とする、方法。
【請求項2】
前記第1のメッセージは前記第1の要求メッセージに対応する第1の応答メッセージである、請求項1に記載の方法。
【請求項3】
前記第2のメッセージは前記第1の応答メッセージに対応する第1の確認メッセージである、請求項2に記載の方法。
【請求項4】
前記第1のメッセージは通知メッセージであり、前記通知メッセージは前記エンローリにネットワーク再設定プロセスを始めさせるために用いられる、請求項1に記載の方法。
【請求項5】
前記通知メッセージは第2の識別子を含み、前記第2の識別子は前記エンローリに前記ネットワーク再設定プロセスを始めるように命令するために用いられる、請求項4に記載の方法。
【請求項6】
前記エンローリが前記第2のメッセージを前記コンフィギュレータに送信することの後に、前記エンローリによって、第2の要求メッセージを前記コンフィギュレータに送信することであって、前記第2の要求メッセージは前記セッション鍵によって暗号化される、送信することと、
前記エンローリによって、前記第2の要求メッセージに対応する、前記コンフィギュレータによって送信された第2の応答メッセージを受信することであって、前記第2の応答メッセージは前記セッション鍵によって暗号化される、受信することと、
を更に備える、請求項1に記載の方法。
【請求項7】
前記エンローリが、前記第2の要求メッセージに対応する、前記コンフィギュレータによって送信された前記第2の応答メッセージを受信することの後に、前記エンローリによって、第2の確認メッセージを前記コンフィギュレータに送信することであって、前記第2の確認メッセージは前記セッション鍵によって暗号化される、送信すること
を更に備える、請求項6に記載の方法。
【請求項8】
鍵を生成するための方法であって、コンフィギュレータによって、エンローリによって送信された第1の要求メッセージを受信することであって、前記第1の要求メッセージは第1の識別子を備え、前記第1の識別子は前記コンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、受信することと、
前記コンフィギュレータによって、前記第1の識別子に従って第1のメッセージを前記エンローリに送信することであって、前記第1のメッセージは第1の鍵情報を備え、これにより前記エンローリが前記第1の鍵情報に従ってセッション鍵を生成することを可能にする、送信することと、
前記コンフィギュレータによって、前記エンローリによって送信された第2のメッセージを受信することであって、前記第2のメッセージは第2の鍵情報を備える、受信することと、
前記コンフィギュレータによって、前記第2の鍵情報に従って前記セッション鍵を生成することと、
を備えることを特徴とする、方法。
【請求項9】
前記第1のメッセージは前記第1の要求メッセージに対応する第1の応答メッセージである、請求項8に記載の方法。
【請求項10】
前記第2のメッセージは前記第1の応答メッセージに対応する第1の確認メッセージである、請求項9に記載の方法。
【請求項11】
前記第1のメッセージは通知メッセージであり、前記通知メッセージは前記エンローリにネットワーク再設定プロセスを始めさせるために用いられる、請求項8に記載の方法。
【請求項12】
前記通知メッセージは第2の識別子を含み、前記第2の識別子は前記エンローリに前記ネットワーク再設定プロセスを始めるように命令するために用いられる、請求項11に記載の方法。
【請求項13】
前記コンフィギュレータが前記第2の鍵情報に従って前記セッション鍵を生成することの後に、前記コンフィギュレータによって、前記エンローリによって送信された第2の要求メッセージを受信することであって、前記第2の要求メッセージは前記セッション鍵によって暗号化される、受信することと、
前記コンフィギュレータによって、前記第2の要求メッセージに対応する第2の応答メッセージを前記エンローリに送信することであって、前記第2の応答メッセージは前記セッション鍵によって暗号化される、送信することと、
を更に備える、請求項8に記載の方法。
【請求項14】
前記コンフィギュレータが前記第2の要求メッセージに対応する第2の応答メッセージを前記エンローリに送信することの後に、更に、前記コンフィギュレータによって、前記エンローリによって送信された第2の確認メッセージを受信することであって、前記第2の確認メッセージは前記セッション鍵によって暗号化される、受信すること
を備える、請求項13に記載の方法。
【請求項15】
エンローリによって、第1の要求メッセージをコンフィギュレータに送信することであって、前記第1の要求メッセージは第1の識別子を備え、前記第1の識別子は前記コンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、送信することと、前記エンローリによって、前記コンフィギュレータによって送信された第1のメッセージを受信することであって、前記第1のメッセージは第1の鍵情報を備える、受信することと、
前記エンローリによって、前記第1の鍵情報に従ってセッション鍵を生成することと、
前記エンローリによって、第2のメッセージを前記コンフィギュレータに送信することであって、前記第2のメッセージは第2の鍵情報を備え、これにより前記コンフィギュレータが前記第2の鍵情報に従って前記セッション鍵を生成することを可能にし、前記セッション鍵は前記エンローリに対して実施されるネットワーク再設定プロセスにおいて用いられる、送信することと、
を備えることを特徴とする、端末プロビジョニング方法。
【請求項16】
前記第1のメッセージは前記第1の要求メッセージに対応する第1の応答メッセージである、請求項15に記載の方法。
【請求項17】
前記第2のメッセージは前記第1の応答メッセージに対応する第1の確認メッセージである、請求項16に記載の方法。
【請求項18】
前記エンローリが前記第1の要求メッセージを前記コンフィギュレータに送信することの後に、前記エンローリによって、前記第1の要求メッセージに対応する、前記コンフィギュレータによって送信された第1の応答メッセージを受信することであって、前記第1の応答メッセージはアクセスポイントの第1のネットワーク設定情報を備える、受信すること
を更に備える、請求項15に記載の方法。
【請求項19】
前記エンローリによって、接続状態照会結果メッセージを前記コンフィギュレータに送信することであって、前記第2のメッセージは前記接続状態照会結果メッセージである、送信することを更に備える、請求項18に記載の方法。
【請求項20】
前記エンローリが前記接続状態照会結果メッセージを前記コンフィギュレータに送信することの後に、前記エンローリによって、前記コンフィギュレータによって送信された通知メッセージを受信することであって、前記通知メッセージは前記エンローリにネットワーク再設定プロセスを始めさせるために用いられ、前記第1のメッセージは前記通知メッセージである、受信すること
を更に備える、請求項19に記載の方法。
【請求項21】
前記エンローリによって、第2の要求メッセージを前記コンフィギュレータに送信することであって、前記第2の要求メッセージは前記セッション鍵によって暗号化される、送信することと、前記エンローリによって、前記第2の要求メッセージに対応する、前記コンフィギュレータによって送信された第2の応答メッセージを受信することであって、前記第2の応答メッセージは前記アクセスポイントの第2のネットワーク設定情報を備え、前記第2の応答メッセージは前記セッション鍵によって暗号化される、受信することと、
を更に備える、請求項15から20のいずれか一項に記載の方法。
【請求項22】
前記エンローリが、前記第2の要求メッセージに対応する、前記コンフィギュレータによって送信された第2の応答メッセージを受信することの後に、前記エンローリによって、第2の確認メッセージを前記コンフィギュレータに送信することであって、前記第2の確認メッセージは前記セッション鍵によって暗号化される、送信すること
を更に備える、請求項21に記載の方法。
【請求項23】
コンフィギュレータによって、エンローリによって送信された第1の要求メッセージを受信することであって、前記第1の要求メッセージは第1の識別子を備え、前記第1の識別子は前記コンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、受信することと、前記コンフィギュレータによって、前記第1の識別子に従って第1のメッセージを前記エンローリに送信することであって、前記第1のメッセージは第1の鍵情報を備え、これにより前記エンローリが前記第1の鍵情報に従ってセッション鍵を生成することを可能にする、送信することと、
前記コンフィギュレータによって、前記エンローリによって送信された第2のメッセージを受信することであって、前記第2のメッセージは第2の鍵情報を備える、受信することと、
前記コンフィギュレータによって、前記第2の鍵情報に従って前記セッション鍵を生成することとであって、前記セッション鍵は前記エンローリに対して実施されるネットワーク再設定プロセスにおいて用いられる、生成することと、
を備えることを特徴とする、端末プロビジョニング方法。
【請求項24】
前記第1のメッセージは前記第1の要求メッセージに対応する第1の応答メッセージである、請求項23に記載の方法。
【請求項25】
前記第2のメッセージは前記第1の応答メッセージに対応する第1の確認メッセージである、請求項24に記載の方法。
【請求項26】
前記コンフィギュレータが前記エンローリによって送信された前記第1の要求メッセージを受信することの後に、前記コンフィギュレータによって、前記第1の要求メッセージに対応する第1の応答メッセージを前記エンローリに送信することであって、前記第1の応答メッセージはアクセスポイントの第1のネットワーク設定情報を備える、送信すること
を更に備える、請求項23に記載の方法。
【請求項27】
前記コンフィギュレータが前記第1の要求メッセージに対応する前記第1の応答メッセージを前記エンローリに送信することの後に、前記コンフィギュレータによって、前記エンローリによって送信された接続状態照会結果メッセージを受信することであって、前記第2のメッセージは前記接続状態照会結果メッセージである、受信すること
を更に備える、請求項26に記載の方法。
【請求項28】
前記コンフィギュレータが前記エンローリによって送信された前記接続状態照会結果メッセージを受信することの後に、前記コンフィギュレータによって、通知メッセージを前記エンローリに送信することであって、前記通知メッセージは前記エンローリにネットワーク再設定プロセスを始めさせるために用いられ、前記第1のメッセージは前記通知メッセージである、送信すること
を更に備える、請求項27に記載の方法。
【請求項29】
前記コンフィギュレータによって、前記エンローリによって送信された第2の要求メッセージを受信することであって、前記第2の要求メッセージは前記セッション鍵によって暗号化される、受信することと、前記コンフィギュレータによって、前記第2の要求メッセージに対応する第2の応答メッセージを前記エンローリに送信することであって、前記第2の応答メッセージは前記セッション鍵によって暗号化され、前記第2の応答メッセージは前記アクセスポイントの第2のネットワーク設定情報を備える、送信することと、
を更に備える、請求項23から28のいずれか一項に記載の方法。
【請求項30】
前記コンフィギュレータが前記第2の要求メッセージに対応する前記第2の応答メッセージを前記エンローリに送信することの後に、前記コンフィギュレータによって、前記エンローリによって送信された第2の確認メッセージを受信することであって、前記第2の確認メッセージは前記セッション鍵によって暗号化される、受信すること
を更に備える、請求項29に記載の方法。
【請求項31】
エンローリに位置することを特徴とする、鍵を生成するための装置であって、第1の要求メッセージをコンフィギュレータに送信するように構成された送信モジュールであって、前記第1の要求メッセージは第1の識別子を備え、前記第1の識別子は前記コンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、送信モジュールと、
前記コンフィギュレータによって送信された第1のメッセージを受信するように構成された受信モジュールであって、前記第1のメッセージは第1の鍵情報を備える、受信モジュールと、
前記第1の鍵情報に従ってセッション鍵を生成するように構成された生成モジュールと、
を備えており、
前記送信モジュールは更に、第2のメッセージを前記コンフィギュレータに送信するように構成されており、前記第2のメッセージは第2の鍵情報を備え、これにより前記コンフィギュレータが前記第2の鍵情報に従って前記セッション鍵を生成することを可能にする、装置。
【請求項32】
コンフィギュレータに位置することを特徴とする、鍵を生成するための装置であって、エンローリによって送信された第1の要求メッセージを受信するように構成された受信モジュールであって、前記第1の要求メッセージは第1の識別子を備え、前記第1の識別子は前記コンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、受信モジュールと、
前記第1の識別子に従って第1のメッセージを前記エンローリに送信するように構成された送信モジュールであって、前記第1のメッセージは第1の鍵情報を備え、これにより前記エンローリが前記第1の鍵情報に従ってセッション鍵を生成することを可能にする、送信モジュールと、
前記エンローリによって送信された第2のメッセージを受信するように更に構成された前記受信モジュールであって、前記第2のメッセージは第2の鍵情報を備える、前記受信モジュールと、
前記第2の鍵情報に従って前記セッション鍵を生成するように構成された生成モジュールと、
を備える、装置。
【請求項33】
メモリとプロセッサとを備えることを特徴とするエンローリであって、前記メモリは実行可能コードを記憶し、前記実行可能コードは、前記プロセッサによって実行されるとき、請求項1から7のいずれか一項に記載の鍵を生成するための方法を前記プロセッサに実施させる、エンローリ。
【請求項34】
メモリとプロセッサとを備えることを特徴とするコンフィギュレータであって、前記メモリは実行可能コードを記憶し、前記実行可能コードは、前記プロセッサによって実行されるとき、請求項8から14のいずれか一項に記載の鍵を生成するための方法を前記プロセッサに実施させる、コンフィギュレータ。
【請求項35】
エンローリに位置することを特徴とする端末プロビジョニング装置であって、第1の要求メッセージをコンフィギュレータに送信するように構成された送信モジュールであって、前記第1の要求メッセージは第1の識別子を備え、前記第1の識別子は前記コンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、送信モジュールと、
前記コンフィギュレータによって送信された第1のメッセージを受信するように構成された受信モジュールであって、前記第1のメッセージは第1の鍵情報を備える、受信モジュールと、
前記第1の鍵情報に従ってセッション鍵を生成するように構成された生成モジュールと、
を備えており、
前記送信モジュールは更に、第2のメッセージを前記コンフィギュレータに送信するように構成されており、前記第2のメッセージは第2の鍵情報を備え、これにより前記コンフィギュレータが前記第2の鍵情報に従って前記セッション鍵を生成することを可能にし、
前記セッション鍵は、前記エンローリに対して実施されるネットワーク再設定プロセスにおいて用いられる、端末プロビジョニング装置。
【請求項36】
コンフィギュレータに位置することを特徴とする端末プロビジョニング装置であって、エンローリによって送信された第1の要求メッセージを受信するように構成された受信モジュールであって、前記第1の要求メッセージは第1の識別子を備え、前記第1の識別子は前記コンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、受信モジュールと、
前記第1の識別子に従って第1のメッセージを前記エンローリに送信するように構成された送信モジュールであって、前記第1のメッセージは第1の鍵情報を備え、これにより前記エンローリが前記第1の鍵情報に従ってセッション鍵を生成することを可能にする、送信モジュールと、
前記エンローリによって送信された第2のメッセージを受信するように更に構成された前記受信モジュールであって、前記第2のメッセージは第2の鍵情報を備える、前記受信モジュールと、
前記第2の鍵情報に従って前記セッション鍵を生成するように構成された生成モジュールであって、前記セッション鍵は前記エンローリに対して実施されるネットワーク再設定プロセスにおいて用いられる、生成モジュールと、
を備える、端末プロビジョニング装置。
【請求項37】
メモリとプロセッサとを備えることを特徴とするエンローリであって、前記メモリは実行可能コードを記憶し、前記実行可能コードは、前記プロセッサによって実行されるとき、請求項15から22のいずれか一項に記載の端末プロビジョニング方法を前記プロセッサに実施させる、エンローリ。
【請求項38】
メモリとプロセッサとを備えることを特徴とするコンフィギュレータであって、前記メモリは実行可能コードを記憶し、前記実行可能コードは、前記プロセッサによって実行されるとき、請求項23から30のいずれか一項に記載の端末プロビジョニング方法を前記プロセッサに実施させる、コンフィギュレータ。
【請求項39】
鍵を生成するための方法であって、エンローリによって、コンフィギュレータによって送信された認証要求メッセージを受信することであって、前記認証要求メッセージは第1の乱数情報及び第2の乱数情報を備える、受信することと、
前記エンローリによって、前記第1の乱数情報と、前記第2の乱数情報と、前記エンローリに対応する第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成することと、
前記エンローリによって、前記認証要求メッセージに対応する認証応答メッセージを前記コンフィギュレータに送信することであって、前記認証応答メッセージは前記第3の乱数情報及び前記第4の乱数情報を備えており、これにより前記コンフィギュレータが、前記第1の乱数情報と、前記第2の乱数情報と、前記第3の乱数情報及び前記第4の乱数情報とに従って、前記第1のセッション鍵及び前記第2のセッション鍵を生成することを可能にする、送信することと、
を備えることを特徴とする、方法。
【請求項40】
前記認証要求メッセージは第1の識別子を備え、前記第1の識別子は前記エンローリにネットワーク再設定を実施するためのセッション鍵を生成するように命令する、請求項39に記載の方法。
【請求項41】
前記エンローリが前記認証要求メッセージに対応する前記認証応答メッセージを前記コンフィギュレータに送信することの後に、前記エンローリによって第1の要求メッセージを前記コンフィギュレータに送信することであって、前記第1の要求メッセージは前記第1のセッション鍵によって暗号化される、送信することと、
前記エンローリによって、前記第1の要求メッセージに対応する、前記コンフィギュレータによって送信された第1の応答メッセージを受信することであって、前記第1の応答メッセージは前記第1のセッション鍵によって暗号化され、前記第1の応答メッセージはアクセスポイントの第1のネットワーク設定情報を備える、受信することと、
を更に備える、請求項39に記載の方法。
【請求項42】
前記エンローリが、前記第1の要求メッセージに対応する、前記コンフィギュレータによって送信された第1の応答メッセージを受信することの後に、前記エンローリによって、第1の確認メッセージを前記コンフィギュレータに送信することであって、前記第1の確認メッセージは前記第1のセッション鍵によって暗号化される、送信すること
を更に備える、請求項41に記載の方法。
【請求項43】
前記エンローリによって、接続状態照会結果メッセージを前記コンフィギュレータに送信することであって、前記接続状態照会結果メッセージは前記第1のセッション鍵によって暗号化される、送信することを更に備える、請求項41に記載の方法。
【請求項44】
前記エンローリによって、前記コンフィギュレータによって送信された通知メッセージを受信することであって、前記通知メッセージは前記エンローリにネットワーク再設定プロセスを始めさせるために用いられ、前記通知メッセージは前記第2のセッション鍵によって暗号化される、受信することを更に備える、請求項39から43のいずれか一項に記載の方法。
【請求項45】
前記通知メッセージは第2の識別子を含み、前記第2の識別子は前記エンローリに前記ネットワーク再設定プロセスを始めるように命令するために用いられる、請求項44に記載の方法。
【請求項46】
前記エンローリが前記コンフィギュレータによって送信された前記通知メッセージを受信することの後に、前記エンローリによって、第2の要求メッセージを前記コンフィギュレータに送信することであって、前記第2の要求メッセージは前記第2のセッション鍵によって暗号化される、送信することと、
前記エンローリによって、前記第2の要求メッセージに対応する、前記コンフィギュレータによって送信された第2の応答メッセージを受信することであって、前記第2の応答メッセージは前記第2のセッション鍵によって暗号化され、前記第2の応答メッセージは前記アクセスポイントの第2のネットワーク設定情報を備える、受信することと、
を更に備える、請求項44に記載の方法。
【請求項47】
前記エンローリが、前記第2の要求メッセージに対応する、前記コンフィギュレータによって送信された前記第2の応答メッセージを受信することの後に、前記エンローリによって、第2の確認メッセージを前記コンフィギュレータに送信することであって、前記第2の確認メッセージは前記第2のセッション鍵によって暗号化される、送信すること
を更に備える、請求項46に記載の方法。
【請求項48】
鍵を生成するための方法であって、コンフィギュレータによって、認証要求メッセージをエンローリに送信することであって、前記認証要求メッセージは第1の乱数情報及び第2の乱数情報を備えており、これにより前記エンローリが、前記第1の乱数情報と、前記第2の乱数情報と、前記エンローリに対応する第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成することを可能にする、送信することと、
前記コンフィギュレータによって、前記認証要求メッセージに対応する、前記エンローリによって送信された認証応答メッセージを受信することであって、前記認証応答メッセージは前記第3の乱数情報及び前記第4の乱数情報を備えている、受信することと、
前記コンフィギュレータによって、前記第1の乱数情報と、前記第2の乱数情報と、前記第3の乱数情報及び前記第4の乱数情報とに従って、前記第1のセッション鍵及び前記第2のセッション鍵を生成することと、
を備えることを特徴とする、方法。
【請求項49】
前記認証要求メッセージは第1の識別子を含み、前記第1の識別子は前記エンローリにネットワーク再設定を実施するためのセッション鍵を生成するように命令する、請求項48に記載の方法。
【請求項50】
前記コンフィギュレータによって、前記エンローリによって送信された第1の要求メッセージを受信することであって、前記第1の要求メッセージは前記第1のセッション鍵によって暗号化される、受信することと、前記コンフィギュレータによって、前記第1の要求メッセージに対応する第1の応答メッセージを前記エンローリに送信することであって、前記第1の応答メッセージは前記第1のセッション鍵によって暗号化され、前記第1の応答メッセージはアクセスポイントの第1のネットワーク設定情報を備える、送信することと、
を更に備える、請求項48に記載の方法。
【請求項51】
前記コンフィギュレータが前記第1の要求メッセージに対応する前記第1の応答メッセージを前記エンローリに送信することの後に、前記コンフィギュレータによって、前記エンローリによって送信された第1の確認メッセージを受信することであって、前記第1の確認メッセージは前記第1のセッション鍵によって暗号化される、受信すること
を更に備える、請求項50に記載の方法。
【請求項52】
前記コンフィギュレータが前記第1の要求メッセージに対応する前記第1の応答メッセージを前記エンローリに送信することの後に、前記コンフィギュレータによって、前記エンローリによって送信された接続状態照会結果メッセージを受信することであって、前記接続状態照会結果メッセージは前記第1のセッション鍵によって暗号化される、受信すること
を更に備える、請求項50に記載の方法。
【請求項53】
前記コンフィギュレータによって、通知メッセージを前記エンローリに送信することであって、前記通知メッセージは前記エンローリにネットワーク再設定プロセスを始めさせるために用いられ、前記通知メッセージは前記第2のセッション鍵によって暗号化される、送信することを更に備える、請求項48から52のいずれか一項に記載の方法。
【請求項54】
前記通知メッセージは第2の識別子を備え、前記第2の識別子は前記エンローリに前記ネットワーク再設定プロセスを始めるように命令するために用いられる、請求項53に記載の方法。
【請求項55】
前記コンフィギュレータが前記通知メッセージを前記エンローリに送信することの後に、前記コンフィギュレータによって、前記エンローリによって送信された第2の要求メッセージを受信することであって、前記第2の要求メッセージは前記第2のセッション鍵によって暗号化される、受信することと、
前記コンフィギュレータによって、前記第2の要求メッセージに対応する第2の応答メッセージを前記エンローリに送信することであって、前記第2の応答メッセージは前記第2のセッション鍵によって暗号化され、前記第2の応答メッセージは前記アクセスポイントの第2のネットワーク設定情報を備える、送信することと、
を更に備える、請求項53に記載の方法。
【請求項56】
前記コンフィギュレータが前記第2の要求メッセージに対応する第2の応答メッセージを前記エンローリに送信することの後に、前記コンフィギュレータによって、前記エンローリによって送信された第2の確認メッセージを受信することであって、前記第2の確認メッセージは前記第2のセッション鍵によって暗号化される、受信すること
を更に備える、請求項55に記載の方法。
【請求項57】
エンローリに位置することを特徴とする、鍵を生成するための装置であって、コンフィギュレータによって送信された認証要求メッセージを受信するように構成された受信モジュールであって、前記認証要求メッセージは第1の乱数情報及び第2の乱数情報を備える、受信モジュールと、
前記第1の乱数情報と、前記第2の乱数情報と、前記エンローリに対応する第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成するように構成された生成モジュールと、
前記認証要求メッセージに対応する認証応答メッセージを前記コンフィギュレータに送信するように構成された送信モジュールであって、前記認証応答メッセージは前記第3の乱数情報及び前記第4の乱数情報を備えており、これにより前記コンフィギュレータが、前記第1の乱数情報と、前記第2の乱数情報と、前記第3の乱数情報及び前記第4の乱数情報とに従って、前記第1のセッション鍵及び前記第2のセッション鍵を生成することを可能にする、送信モジュールと、
を備える、装置。
【請求項58】
コンフィギュレータに位置することを特徴とする、鍵を生成するための装置であって、認証要求メッセージをエンローリに送信するように構成された送信モジュールであって、前記認証要求メッセージは第1の乱数情報及び第2の乱数情報を備えており、これにより前記エンローリが、前記第1の乱数情報と、前記第2の乱数情報と、前記エンローリに対応する第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成することを可能にする、送信モジュールと、
前記認証要求メッセージに対応する、前記エンローリによって送信された認証応答メッセージを受信するように構成された受信モジュールであって、前記認証応答メッセージは前記第3の乱数情報及び前記第4の乱数情報を備えている、受信モジュールと、
前記第1の乱数情報と、前記第2の乱数情報と、前記第3の乱数情報及び前記第4の乱数情報とに従って、前記第1のセッション鍵及び前記第2のセッション鍵を生成するように構成された生成モジュールと、
を備える、装置。
【請求項59】
メモリとプロセッサとを備えることを特徴とするエンローリであって、前記メモリは実行可能コードを記憶し、前記実行可能コードは、前記プロセッサによって実行されるとき、請求項39から47のいずれか一項に記載の鍵を生成するための方法を前記プロセッサに実施させる、エンローリ。
【請求項60】
メモリとプロセッサとを備えることを特徴とするコンフィギュレータであって、前記メモリは実行可能コードを記憶し、前記実行可能コードは、前記プロセッサによって実行されるとき、請求項48から56のいずれか一項に記載の鍵を生成するための方法を前記プロセッサに実施させる、コンフィギュレータ。
【発明の詳細な説明】
【技術分野】
【0001】
[0001] 本願は、2019年9月6日に提出され「METHOD, APPARATUS, AND DEVICE FOR KEY GENERATION AND TERMINAL PROVISIONING」と題された中国特許出願第20190842413.7号の優先権を主張するものであり、同出願は参照によりその全体が本明細書に組み込まれる。
【0002】
[0002] 本願は通信技術の分野に係り、特に、鍵を生成するため及び端末をプロビジョニングするための方法、装置、及びデバイスに関する。
【背景技術】
【0003】
[0003] 通信技術の急速な発展により、IEEE802.11プロトコル規格に準拠する無線ローカルエリアネットワーク(WLAN)技術が種々のデバイスにおいて広く適用されている。こうしたデバイスの中で、デバイスのうちいくつか、例えば携帯電話及びコンピュータなどのスマート端末デバイスは画面(表示画面)を有しており、いくつかのデバイス、例えばスマートエアコン及びスマート炊飯器などのIoT(Internet of Things)デバイスは画面を有さない。
【0004】
[0004] 端末プロビジョニングは、Wi-Fi IoTにとって常に弱点の問題となっている。Wi-Fi IoTデバイスの購入後、ユーザはそのデバイスを自宅のWi-Fiネットワークに設定する必要がある。デバイスプロビジョニングプロトコル(DPP)は、端末プロビジョニングの問題を解決するためにWi-Fi Allianceによって定義されたプロトコルである。DPPは3つのサブプロトコル、すなわち、DPP認証プロトコル、DPP設定プロトコル、及びDPP導入プロトコルから成る。DPP認証プロトコルは主に、コンフィギュレータとエンローリとの間で実施される双方向性認証を可能にするため、及び後続のDPP設定プロトコルのために必要なセッション鍵を生成するために用いられる。DPP設定プロトコルは主に、アクセスポイント(AP)に接続するのに必要なサービスセット識別子(SSID)とアクセスパスワードとをエンローリがコンフィギュレータから取得することを可能にするために用いられる。DPP導入プロトコルは主に、エンローリ間で、公開鍵及び秘密鍵をそれぞれ用いることによって、相互通信に必要なセッション鍵を生成するために用いられる。
【0005】
[0005] SSID又はアクセスパスワードの再設定後、APは通常、再起動される。エンローリは、再設定された情報を取得しないので、コンフィギュレータによって、設定を再び実施する必要、すなわちネットワーク再設定を実施する必要があり、その再設定はDPP認証プロトコルからしか始めることができず、結果的にプロトコルの複雑性及び冗長性が増す。
【発明の概要】
【0006】
[0006] 上記の問題に鑑みて、本願の実施形態が、上記の問題を克服する又は上記の問題を少なくとも部分的に解決する鍵生成及び端末プロビジョニングのための方法、装置、及びデバイスを提供するように、提案される。
【0007】
[0007] 第1の態様では、本願の一実施形態における鍵を生成するための方法が提供され、その方法は、
[0008] エンローリによって、第1の要求メッセージをコンフィギュレータに送信することであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、送信することと、
[0009] エンローリによって、コンフィギュレータによって送信された第1のメッセージを受信することであって、第1のメッセージは第1の鍵情報を備える、受信することと、
[0010] エンローリによって、第1の鍵情報に従ってセッション鍵を生成することと、
[0011] エンローリによって、第2のメッセージをコンフィギュレータに送信することであって、第2のメッセージは第2の鍵情報を備え、それによってコンフィギュレータが第2の鍵情報に従ってセッション鍵を生成することを可能にする、送信することと、
を備える。
[0008] エンローリによって、第1の要求メッセージをコンフィギュレータに送信することであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、送信することと、
[0009] エンローリによって、コンフィギュレータによって送信された第1のメッセージを受信することであって、第1のメッセージは第1の鍵情報を備える、受信することと、
[0010] エンローリによって、第1の鍵情報に従ってセッション鍵を生成することと、
[0011] エンローリによって、第2のメッセージをコンフィギュレータに送信することであって、第2のメッセージは第2の鍵情報を備え、それによってコンフィギュレータが第2の鍵情報に従ってセッション鍵を生成することを可能にする、送信することと、
を備える。
【0008】
[0012] 第2の態様では、本願の一実施形態におけるエンローリに位置する鍵を生成するための装置が提供され、その装置は、
[0013] 第1の要求メッセージをコンフィギュレータに送信するように構成された送信モジュールであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、送信モジュールと、
[0014] コンフィギュレータによって送信された第1のメッセージを受信するように構成された受信モジュールであって、第1のメッセージは第1の鍵情報を備える、受信モジュールと、
[0015] 第1の鍵情報に従ってセッション鍵を生成するように構成された生成モジュールと、
を備えており、
[0016] 送信モジュールは更に、第2のメッセージをコンフィギュレータに送信するように設定されており、第2のメッセージは第2の鍵情報を備え、これによりコンフィギュレータが第2の鍵情報に従ってセッション鍵を生成することを可能にする。
[0013] 第1の要求メッセージをコンフィギュレータに送信するように構成された送信モジュールであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、送信モジュールと、
[0014] コンフィギュレータによって送信された第1のメッセージを受信するように構成された受信モジュールであって、第1のメッセージは第1の鍵情報を備える、受信モジュールと、
[0015] 第1の鍵情報に従ってセッション鍵を生成するように構成された生成モジュールと、
を備えており、
[0016] 送信モジュールは更に、第2のメッセージをコンフィギュレータに送信するように設定されており、第2のメッセージは第2の鍵情報を備え、これによりコンフィギュレータが第2の鍵情報に従ってセッション鍵を生成することを可能にする。
【0009】
[0017] 第3の態様では、プロセッサとメモリとを備える、本願の一実施形態におけるエンローリが提供され、メモリは実行可能コードを記憶し、実行可能コードは、プロセッサによって実行されるとき、第1の態様の鍵を生成するための方法をプロセッサに実施させる。
【0010】
[0018] 本願の一実施形態においては非一時的機械可読記憶媒体が提供され、非一時的機械可読記憶媒体は実行可能コードを記憶し、実行可能コードは、エンローリのプロセッサによって実行されるとき、第1の態様の鍵を生成するための方法をプロセッサに実施させる。
【0011】
[0019] 第4の態様では、本願の一実施形態における鍵を生成するための方法が提供され、その方法は、
[0020] コンフィギュレータによって、エンローリによって送信された第1の要求メッセージを受信することであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、受信することと、
[0021] コンフィギュレータによって、第1の識別子に従って第1のメッセージをエンローリに送信することであって、第1のメッセージは第1の鍵情報を備え、これによりエンローリが第1の鍵情報に従ってセッション鍵を生成することを可能にする、送信することと、
[0022] コンフィギュレータによって、エンローリによって送信された第2のメッセージを受信することであって、第2のメッセージは第2の鍵情報を備える、受信することと、
[0023] コンフィギュレータによって、第2の鍵情報に従ってセッション鍵を生成することと、
を備える。
[0020] コンフィギュレータによって、エンローリによって送信された第1の要求メッセージを受信することであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、受信することと、
[0021] コンフィギュレータによって、第1の識別子に従って第1のメッセージをエンローリに送信することであって、第1のメッセージは第1の鍵情報を備え、これによりエンローリが第1の鍵情報に従ってセッション鍵を生成することを可能にする、送信することと、
[0022] コンフィギュレータによって、エンローリによって送信された第2のメッセージを受信することであって、第2のメッセージは第2の鍵情報を備える、受信することと、
[0023] コンフィギュレータによって、第2の鍵情報に従ってセッション鍵を生成することと、
を備える。
【0012】
[0024] 第5の態様では、本願の一実施形態におけるコンフィギュレータに位置する鍵を生成するための装置が提供され、その装置は、
[0025] エンローリによって送信された第1の要求メッセージを受信するように構成された受信モジュールであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、受信モジュールと、
[0026] 第1の識別子に従って第1のメッセージをエンローリに送信するように構成された送信モジュールであって、第1のメッセージは第1の鍵情報を備え、これによりエンローリが第1の鍵情報に従ってセッション鍵を生成することを可能にする、送信モジュールと、
[0027] エンローリによって送信された第2のメッセージを受信するように更に構成された上記受信モジュールであって、第2のメッセージは第2の鍵情報を備える、上記受信モジュールと、
[0028] 第2の鍵情報に従ってセッション鍵を生成するように構成された生成モジュールと、
を備える。
[0025] エンローリによって送信された第1の要求メッセージを受信するように構成された受信モジュールであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、受信モジュールと、
[0026] 第1の識別子に従って第1のメッセージをエンローリに送信するように構成された送信モジュールであって、第1のメッセージは第1の鍵情報を備え、これによりエンローリが第1の鍵情報に従ってセッション鍵を生成することを可能にする、送信モジュールと、
[0027] エンローリによって送信された第2のメッセージを受信するように更に構成された上記受信モジュールであって、第2のメッセージは第2の鍵情報を備える、上記受信モジュールと、
[0028] 第2の鍵情報に従ってセッション鍵を生成するように構成された生成モジュールと、
を備える。
【0013】
[0029] 第6の態様では、プロセッサとメモリとを備える、本願の一実施形態におけるコンフィギュレータが提供され、メモリは実行可能コードを記憶し、実行可能コードは、プロセッサによって実行されるとき、第4の態様の鍵を生成するための方法をプロセッサに実施させる。
【0014】
[0030] 本願の一実施形態においては非一時的機械可読記憶媒体が提供され、非一時的機械可読記憶媒体は実行可能コードを記憶し、実行可能コードは、コンフィギュレータのプロセッサによって実行されるとき、第4の態様の鍵を生成するための方法をプロセッサに実施させる。
【0015】
[0031] 第7の態様では、本願の一実施形態における端末プロビジョニング方法が提供され、その方法は、
[0032] エンローリによって、第1の要求メッセージをコンフィギュレータに送信することであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、送信することと、
[0033] エンローリによって、コンフィギュレータによって送信された第1のメッセージを受信することであって、第1のメッセージは第1の鍵情報を備える、受信することと、
[0034] エンローリによって、第1の鍵情報に従ってセッション鍵を生成することと、
[0035] エンローリによって、第2のメッセージをコンフィギュレータに送信することであって、第2のメッセージは第2の鍵情報を備え、これによりコンフィギュレータが第2の鍵情報に従ってセッション鍵を生成することを可能にし、セッション鍵はエンローリに対して実施されるネットワーク再設定プロセスにおいて用いられる、送信することと、
を備える。
[0032] エンローリによって、第1の要求メッセージをコンフィギュレータに送信することであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、送信することと、
[0033] エンローリによって、コンフィギュレータによって送信された第1のメッセージを受信することであって、第1のメッセージは第1の鍵情報を備える、受信することと、
[0034] エンローリによって、第1の鍵情報に従ってセッション鍵を生成することと、
[0035] エンローリによって、第2のメッセージをコンフィギュレータに送信することであって、第2のメッセージは第2の鍵情報を備え、これによりコンフィギュレータが第2の鍵情報に従ってセッション鍵を生成することを可能にし、セッション鍵はエンローリに対して実施されるネットワーク再設定プロセスにおいて用いられる、送信することと、
を備える。
【0016】
[0036] 第8の態様では、本願の一実施形態におけるエンローリに位置する端末プロビジョニング装置が提供され、その装置は、
[0037] 第1の要求メッセージをコンフィギュレータに送信するように構成された送信モジュールであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、送信モジュールと、
[0038] コンフィギュレータによって送信された第1のメッセージを受信するように構成された受信モジュールであって、第1のメッセージは第1の鍵情報を備える、受信モジュールと、
[0039] 第1の鍵情報に従ってセッション鍵を生成するように構成された生成モジュールと、
を備えており、
[0040] 送信モジュールは更に、第2のメッセージをコンフィギュレータに送信するように構成されており、第2のメッセージは第2の鍵情報を備え、これによりコンフィギュレータが第2の鍵情報に従ってセッション鍵を生成することを可能にし、
[0041] セッション鍵は、エンローリに対して実施されるネットワーク再設定プロセスにおいて用いられる。
[0037] 第1の要求メッセージをコンフィギュレータに送信するように構成された送信モジュールであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、送信モジュールと、
[0038] コンフィギュレータによって送信された第1のメッセージを受信するように構成された受信モジュールであって、第1のメッセージは第1の鍵情報を備える、受信モジュールと、
[0039] 第1の鍵情報に従ってセッション鍵を生成するように構成された生成モジュールと、
を備えており、
[0040] 送信モジュールは更に、第2のメッセージをコンフィギュレータに送信するように構成されており、第2のメッセージは第2の鍵情報を備え、これによりコンフィギュレータが第2の鍵情報に従ってセッション鍵を生成することを可能にし、
[0041] セッション鍵は、エンローリに対して実施されるネットワーク再設定プロセスにおいて用いられる。
【0017】
[0042] 第9の態様では、メモリとプロセッサとを備える、本願の一実施形態におけるエンローリが提供され、メモリは実行可能コードを記憶し、実行可能コードは、プロセッサによって実行されるとき、第7の態様による端末プロビジョニング方法をプロセッサに実施させる。
【0018】
[0043] 第10の態様では、本願の一実施形態における端末プロビジョニング方法が提供され、その方法は、
[0044] コンフィギュレータによって、エンローリによって送信された第1の要求メッセージを受信することであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、受信することと、
[0045] コンフィギュレータによって、第1の識別子に従って第1のメッセージをエンローリに送信することであって、第1のメッセージは第1の鍵情報を備え、これによりエンローリが第1の鍵情報に従ってセッション鍵を生成することを可能にする、送信することと、
[0046] コンフィギュレータによって、エンローリによって送信された第2のメッセージを受信することであって、第2のメッセージは第2の鍵情報を備える、受信することと、
[0047] コンフィギュレータによって、第2の鍵情報に従ってセッション鍵を生成することとであって、セッション鍵はエンローリに対して実施されるネットワーク再設定プロセスにおいて用いられる、生成することと、
を備える。
[0044] コンフィギュレータによって、エンローリによって送信された第1の要求メッセージを受信することであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、受信することと、
[0045] コンフィギュレータによって、第1の識別子に従って第1のメッセージをエンローリに送信することであって、第1のメッセージは第1の鍵情報を備え、これによりエンローリが第1の鍵情報に従ってセッション鍵を生成することを可能にする、送信することと、
[0046] コンフィギュレータによって、エンローリによって送信された第2のメッセージを受信することであって、第2のメッセージは第2の鍵情報を備える、受信することと、
[0047] コンフィギュレータによって、第2の鍵情報に従ってセッション鍵を生成することとであって、セッション鍵はエンローリに対して実施されるネットワーク再設定プロセスにおいて用いられる、生成することと、
を備える。
【0019】
[0048] 第11の態様では、本願の一実施形態におけるコンフィギュレータに位置する端末プロビジョニング装置が提供され、その装置は、
[0049] エンローリによって送信された第1の要求メッセージを受信するように構成された受信モジュールであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、受信モジュールと、
[0050] 第1の識別子に従って第1のメッセージをエンローリに送信するように構成された送信モジュールであって、第1のメッセージは第1の鍵情報を備え、これによりエンローリが第1の鍵情報に従ってセッション鍵を生成することを可能にする、送信モジュールと、
[0051] エンローリによって送信された第2のメッセージを受信するように更に構成された上記受信モジュールであって、第2のメッセージは第2の鍵情報を備える、上記受信モジュールと、
[0052] 第2の鍵情報に従ってセッション鍵を生成するように構成された生成モジュールであって、セッション鍵はエンローリに対して実施されるネットワーク再設定プロセスにおいて用いられる、生成モジュールと、
を備える。
[0049] エンローリによって送信された第1の要求メッセージを受信するように構成された受信モジュールであって、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる、受信モジュールと、
[0050] 第1の識別子に従って第1のメッセージをエンローリに送信するように構成された送信モジュールであって、第1のメッセージは第1の鍵情報を備え、これによりエンローリが第1の鍵情報に従ってセッション鍵を生成することを可能にする、送信モジュールと、
[0051] エンローリによって送信された第2のメッセージを受信するように更に構成された上記受信モジュールであって、第2のメッセージは第2の鍵情報を備える、上記受信モジュールと、
[0052] 第2の鍵情報に従ってセッション鍵を生成するように構成された生成モジュールであって、セッション鍵はエンローリに対して実施されるネットワーク再設定プロセスにおいて用いられる、生成モジュールと、
を備える。
【0020】
[0053] 第12の態様では、メモリとプロセッサとを備える、本願の一実施形態におけるコンフィギュレータが提供され、メモリは実行可能コードを記憶し、実行可能コードは、プロセッサによって実行されるとき、第10の態様による端末プロビジョニング方法をプロセッサに実施させる。
【0021】
[0054] 上記の種々の態様において提供される鍵生成方法及び端末プロビジョニング方法において、ネットワーク設定シナリオでは、エンローリが現在コンフィギュレータにネットワーク設定を実施するように要求しているプロセスにおいて、コンフィギュレータと相互作用し、コンフィギュレータが自身によって生成された第1の鍵情報をエンローリに送信し、エンローリが自身によって生成された第2の鍵情報をコンフィギュレータに送信するので、コンフィギュレータ及びエンローリは、自身によって生成された鍵情報と互いから受信した他の鍵情報とに従って、エンローリに対して実施される後続のネットワーク再設定に必要とされるセッション鍵を生成することができる。したがって、ネットワーク再設定がエンローリに対して実施される必要があるときには、DPP認証プロセスを実施することは不要であり、新たに生成されたセッション鍵に基づいてDPP設定プロセスを実施しさえすればよく、それによってネットワーク設定効率が向上する。
【0022】
[0055] 第13の態様では、本願の一実施形態における鍵を生成するための方法が提供され、その方法は、
[0056] エンローリによって、コンフィギュレータによって送信された認証要求メッセージを受信することであって、認証要求メッセージは第1の乱数情報及び第2の乱数情報を備える、受信することと、
[0057] エンローリによって、第1の乱数情報と、第2の乱数情報と、エンローリに対応する第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成することと、
[0058] エンローリによって、認証要求メッセージに対応する認証応答メッセージをコンフィギュレータに送信することであって、認証応答メッセージは第3の乱数情報及び第4の乱数情報を備えており、これによりコンフィギュレータは、第1の乱数情報と、第2の乱数情報と、第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成する、送信することと、
を備える。
[0056] エンローリによって、コンフィギュレータによって送信された認証要求メッセージを受信することであって、認証要求メッセージは第1の乱数情報及び第2の乱数情報を備える、受信することと、
[0057] エンローリによって、第1の乱数情報と、第2の乱数情報と、エンローリに対応する第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成することと、
[0058] エンローリによって、認証要求メッセージに対応する認証応答メッセージをコンフィギュレータに送信することであって、認証応答メッセージは第3の乱数情報及び第4の乱数情報を備えており、これによりコンフィギュレータは、第1の乱数情報と、第2の乱数情報と、第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成する、送信することと、
を備える。
【0023】
[0059] 第14の態様では、本願の一実施形態におけるエンローリに位置する鍵を生成するための装置が提供され、その装置は、
[0060] コンフィギュレータによって送信された認証要求メッセージを受信するように構成された受信モジュールであって、認証要求メッセージは第1の乱数情報及び第2の乱数情報を備える、受信モジュールと、
[0061] 第1の乱数情報と、第2の乱数情報と、エンローリに対応する第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成するように構成された生成モジュールと、
[0062] 認証要求メッセージに対応する認証応答メッセージをコンフィギュレータに送信するように構成された送信モジュールであって、認証応答メッセージは第3の乱数情報及び第4の乱数情報を備えており、これによりコンフィギュレータが、第1の乱数情報と、第2の乱数情報と、第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成することを可能にする、送信モジュールと、
を備える。
[0060] コンフィギュレータによって送信された認証要求メッセージを受信するように構成された受信モジュールであって、認証要求メッセージは第1の乱数情報及び第2の乱数情報を備える、受信モジュールと、
[0061] 第1の乱数情報と、第2の乱数情報と、エンローリに対応する第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成するように構成された生成モジュールと、
[0062] 認証要求メッセージに対応する認証応答メッセージをコンフィギュレータに送信するように構成された送信モジュールであって、認証応答メッセージは第3の乱数情報及び第4の乱数情報を備えており、これによりコンフィギュレータが、第1の乱数情報と、第2の乱数情報と、第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成することを可能にする、送信モジュールと、
を備える。
【0024】
[0063] 第15の態様では、プロセッサとメモリとを備える、本願の一実施形態におけるエンローリが提供され、メモリは実行可能コードを記憶し、実行可能コードは、プロセッサによって実行されるとき、第13の態様の鍵を生成するための方法をプロセッサに実施させる。
【0025】
[0064] 第16の態様では、本願の一実施形態における鍵を生成するための方法が提供され、その方法は、
[0065] コンフィギュレータによって、認証要求メッセージをエンローリに送信することであって、認証要求メッセージは第1の乱数情報及び第2の乱数情報を備えており、これによりエンローリが、第1の乱数情報と、第2の乱数情報と、エンローリに対応する第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成することを可能にする、送信することと、
[0066] コンフィギュレータによって、認証要求メッセージに対応する、エンローリによって送信された認証応答メッセージを受信することであって、認証応答メッセージは第3の乱数情報及び第4の乱数情報を備えている、受信することと、
[0067] コンフィギュレータによって、第1の乱数情報と、第2の乱数情報と、第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成することと、
を備える。
[0065] コンフィギュレータによって、認証要求メッセージをエンローリに送信することであって、認証要求メッセージは第1の乱数情報及び第2の乱数情報を備えており、これによりエンローリが、第1の乱数情報と、第2の乱数情報と、エンローリに対応する第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成することを可能にする、送信することと、
[0066] コンフィギュレータによって、認証要求メッセージに対応する、エンローリによって送信された認証応答メッセージを受信することであって、認証応答メッセージは第3の乱数情報及び第4の乱数情報を備えている、受信することと、
[0067] コンフィギュレータによって、第1の乱数情報と、第2の乱数情報と、第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成することと、
を備える。
【0026】
[0068] 第17の態様では、本願の一実施形態におけるコンフィギュレータに位置する鍵を生成するための装置が提供され、その装置は、
[0069] 認証要求メッセージをエンローリに送信するように構成された送信モジュールであって、認証要求メッセージは第1の乱数情報及び第2の乱数情報を備えており、これによりエンローリが、第1の乱数情報と、第2の乱数情報と、エンローリに対応する第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成することを可能にする、送信モジュールと、
[0070] 認証要求メッセージに対応する、エンローリによって送信された認証応答メッセージを受信するように構成された受信モジュールであって、認証応答メッセージは第3の乱数情報及び第4の乱数情報を備えている、受信モジュールと、
[0071] 第1の乱数情報と、第2の乱数情報と、第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成するように構成された生成モジュールと、
を備える。
[0069] 認証要求メッセージをエンローリに送信するように構成された送信モジュールであって、認証要求メッセージは第1の乱数情報及び第2の乱数情報を備えており、これによりエンローリが、第1の乱数情報と、第2の乱数情報と、エンローリに対応する第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成することを可能にする、送信モジュールと、
[0070] 認証要求メッセージに対応する、エンローリによって送信された認証応答メッセージを受信するように構成された受信モジュールであって、認証応答メッセージは第3の乱数情報及び第4の乱数情報を備えている、受信モジュールと、
[0071] 第1の乱数情報と、第2の乱数情報と、第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成するように構成された生成モジュールと、
を備える。
【0027】
[0072] 第18の態様では、プロセッサとメモリとを備える、本願の一実施形態におけるコンフィギュレータが提供され、メモリは実行可能コードを記憶し、実行可能コードは、プロセッサによって実行されるとき、第16の態様の鍵を生成するための方法をプロセッサに実施させる。
【0028】
[0073] 上記の第13の態様において提供される鍵を生成するための方法は、DPP認証プロセスに適用可能であってもよく、その認証プロセスにおいては、2つのプロビジョニングプロセスのためのセッション鍵を生成するために、コンフィギュレータ及びエンローリの各々が2つの乱数を生成する。認証プロセスをトリガするコンフィギュレータを一例として用いると、コンフィギュレータは、自身によって生成された2つの乱数(その2つの乱数はI-nonce1及びI-nonce2と表されると仮定する)をエンローリに送信する。同様に、エンローリも、自身によって生成された2つの乱数(その2つの乱数はR-nonce1及びR-nonce2と表されると仮定する)をコンフィギュレータに送信する。したがって、コンフィギュレータ及びエンローリはそれぞれ4つの乱数を取得する。コンフィギュレータ及びエンローリはいずれも、I-nonce1及びR-nonce1に従って第1のセッション鍵(その第1のセッション鍵はke1と表されると仮定する)を生成すると共に、I-nonce2及びR-nonce2に従って第2のセッション鍵(その第2のセッション鍵はke2と表されると仮定する)を生成することができる。第1のセッション鍵及び第2のセッション鍵は、エンローリとコンフィギュレータとの間で後続の2つのネットワーク設定プロセスにおいて用いられ得る。一度に2つのセッション鍵が生成され、異なるネットワーク設定プロセスにおいては異なるセッション鍵が用いられ、したがって、再設定プロセスにおいて認証プロトコル手順をもう1回踏むことは不要であり、それによってネットワーク設定効率が向上する。
【図面の簡単な説明】
【0029】
[0074] 本願の実施形態の技術的解決策をより明確に例証するために、実施形態の説明において用いられる必要のある添付図面が、以下で簡潔に紹介される。以下で説明される添付図面は本願のいくつかの実施形態に過ぎないことは明白であり、当業者はこれらの図面に従って発明的努力(inventive effort)なしに他の添付図面を得ることもできる。
【0030】
【図1】[0075] 本願の一実施形態による鍵を生成するための方法の原理の概略図である。
【図2】[0076] 本願の一実施形態による鍵を生成するための方法の概略的なフローチャートである。
【図3】[0077] 本願の別の一実施形態による鍵を生成するための方法の概略的なフローチャートである。
【図4】[0078] 本願の一実施形態による端末プロビジョニング方法の概略的なフローチャートである。
【図5】[0079] 本願の別の一実施形態による端末プロビジョニング方法の概略的なフローチャートである。
【図6】[0080] 本願の別の一実施形態による端末プロビジョニング方法の概略的なフローチャートである。
【図7】[0081] 本願の別の一実施形態による端末プロビジョニング方法の概略的なフローチャートである。
【図8】[0082] 本願の別の一実施形態による鍵を生成するための方法の概略的なフローチャートである。
【図9】[0083] 本願の一実施形態によるke1及びke2を用いてネットワーク設定を実施することの概略的なフローチャートである。
【図10】[0084] 本願の一実施形態による鍵を生成するための装置の概略的構造図である。
【図12】[0086] 本願の一実施形態による鍵を生成するための別の装置の概略的構造図である。
【図14】[0088] 本願の一実施形態による端末プロビジョニング装置の概略的構造図である。
【図16】[0090] 本願の一実施形態による別の端末プロビジョニング装置の概略的構造図である。
【図18】[0092] 本願の一実施形態による鍵を生成するための別の装置の概略的構造図である。
【図20】[0094] 本願の一実施形態による鍵を生成するための別の装置の概略的構造図である。
【発明を実施するための形態】
【0031】
[0096] 本願の実施形態の目的、技術的解決策、及び利点をより明確にするために、以下では、本願の実施形態の添付図面を参照して、本願の実施形態の技術的解決策が明確且つ完全に説明される。説明される実施形態は本願の実施形態の全てではなくいくつかに過ぎないことは明白である。本願の実施形態に基づき、当業者によって発明的努力なしに得られる全ての他の実施形態は、本願の保護範囲に該当すべきものである。
【0032】
[0097] 本願の実施形態において用いられる用語は、特定の実施形態を説明するためのものに過ぎず、本願を限定することは意図されていない。本願の実施形態及び添付の特許請求の範囲において用いられる単数形「a(n)」、「said」、及び「the」は、文脈が別途明確に規定しない限り複数形も含むことが意図されており、「複数の(a plurality of)」は、一般に少なくとも2つを含む。
【0033】
[0098] 文脈によっては、本明細書において用いられる「~の場合(in case of)」、「~であれば(if)」という語は、「~とき(when)」又は「~すると(upon)」又は「判定に応答して(in response to determining)」又は「検出に応答して(in response to detecting)」を意味するものと解釈され得る。同様に、「判定されれば(if it is determined)」又は「(ある所定の条件又は事象が)検出されれば(if (a stated condition or event) is detected)」という文言は、文脈によっては、「判定されるとき(when determined)」又は「判定に応答して(in response to determining)」又は「(その所定の条件又は事象が)検出されるとき(when (the stated condition or event) is detected)」又は「(その所定の条件又は事象の)検出に応答して(in response to detecting (the stated condition or event))」を意味するものと解釈され得る。
【0034】
[0099] なお、更に、「含む(including)」、「備える(comprising)」、又はこれらの他の別形は非排他的な包含をカバーすることが意図されており、したがって一連の要素を含む物品又はシステムは、それらの要素のみならず明示的に列挙されていない他の要素も含むか、又は、そのような物品又はシステムに固有の要素を更に含む。更なる制約がないときには、「~を含む(including a ...)」という記述によって定義される要素は、その要素を含む物品又はシステムの他の同一の要素を排除しない。
【0035】
[00100] また、以下に説明される方法の実施形態におけるステップのシーケンスは一例に過ぎず、厳密に限定されはしない。
【0036】
[00101] 本願の実施形態において提供される解決策を具体的に紹介する前に、まず、本明細書に関連するいくつかの概念が説明される。
【0037】
[00102] 本明細書においてエンローリとは、スマート冷蔵庫、スマートスピーカ、及びロボットなど、IoTデバイスであり得る。具体的には、エンローリは、赤外センサや煙センサ等のような、低電力消費要件を有するIoTデバイスでもあり得る。エンローリとはプロビジョニングされることが必要なデバイスを指し、そのデバイスは、そのデバイスがアクセスすることが予期される特定の無線ネットワークに接続されたことがないので、エンローリと称される。
【0038】
[00103] 本明細書においてコンフィギュレータとは、携帯電話やタブレットコンピュータ等のような端末デバイスであり得る。コンフィギュレータは、APなどのネットワークデバイスを通じて、特定の無線ネットワークにアクセスしたことがあるであろう。例えば、あるユーザの携帯電話は、自宅に設置された無線ルータを通じて自宅のWi-Fiネットワークにアクセスしたことがある。
【0039】
[00104] なお、コンフィギュレータは、スマート冷蔵庫又はスマートスピーカなど、APにアクセスしたことはあるがヒューマン・マシン相互作用画面を有さない端末デバイスであってもよい。この場合、コンフィギュレータは、APにアクセスしたことのないエンローリに対するネットワーク設定を実施するために、コンフィギュレータがアクセスしたことのあるAPのネットワーク設定情報を局所的に記憶し得る。ネットワーク設定情報は、APのSSIDとアクセスパスワードとを含む。
【0040】
[00105] また、コンフィギュレータは、プロビジョニングアプリケーションを実行し得ると共に、そのプロビジョニングアプリケーションを通じてエンローリのためのネットワーク設定を実装し得る。本明細書において、コンフィギュレータとプロビジョニングアプリケーションとは等価に交換され得る。
【0041】
[00106] 本願の実施形態において提供される解決策が以下で説明される。
【0042】
【0043】
[00108] 101において、エンローリが第1の要求メッセージをコンフィギュレータに送信し、第1の要求メッセージは第1の識別子を含み、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる。
【0044】
[00109] コンフィギュレータがエンローリに対してネットワーク設定を実施するシナリオでは、本実施形態の鍵を生成するための方法は、DPP設定プロセスにおいて実施され得る。
【0045】
[00110] 上記の第1の要求メッセージは、エンローリがコンフィギュレータにネットワーク設定を実施するように要求する要求メッセージ(DPP configuration requestと表され得る)であり得る。また、第1の要求メッセージは、エンローリが初めてネットワーク設定を実施するときに、コンフィギュレータに送信され得る。第1の要求メッセージに含まれる第1の識別子は、エンローリがネットワーク再設定の能力を有することを示すために用いられる。任意選択的には、第1の識別子は、コンフィギュレータに、後で送信されるDPP設定応答メッセージで第1の鍵情報を搬送するように命令するためにも用いられ得る。DPP設定応答メッセージは第1のメッセージであり得る。第1の鍵情報はコンフィギュレータによって生成されるコネクタに含まれる公開鍵であり得る。第1の識別子は、再設定状態識別子(ReconfigStatus)と称され得るか、又は送信コネクタ状態識別子(SendConnectorStatus)と称され得る。第1の識別子には他の名前が与えられてもよく、それらは本発明においては具体的には限定されない。ここで、コンフィギュレータによって生成されるコネクタは、コンフィギュレータの生成される公開秘密鍵ペアの公開鍵を備える。一般に、コネクタの機能は、2つのデバイス間の通信接続のために安全なチャネルを提供することであり、その2つのデバイスは、例えばエンローリ及びコンフィギュレータであり得る。
【0046】
[00111] 第1の識別子は第1の要求メッセージで搬送されて、コンフィギュレータにネットワーク再設定動作を実施させる、すなわち次のステップを実施させることが理解できる。
【0047】
[00112] 102において、コンフィギュレータは第1の識別子に従って第1のメッセージをエンローリに送信し、第1のメッセージは第1の鍵情報を含む。
【0048】
[00113] 第1の要求メッセージを受信すると、コンフィギュレータは、予めセットされた第1の識別子が第1の要求メッセージに含まれていることを調べるために第1の要求メッセージを解析し、エンローリがネットワーク再設定の能力を有すると判定して、第1の鍵情報を含む第1のメッセージのエンローリへの送信をトリガする。
【0049】
[00114] ここで、第1の鍵情報は、第1の識別子を含む第1の要求メッセージを受信するとコンフィギュレータによって生成される公開秘密鍵ペアの公開鍵であり得る。
【0050】
[00115] 任意選択的には、第1の要求メッセージは第1の識別子を含まなくてもよい。コンフィギュレータは第1の鍵情報を第1のメッセージで直接的に搬送してもよい。第1のメッセージを受信した後、再設定能力がサポートされないことが検出されれば、エンローリは第1のメッセージ中の第1の鍵情報を無視し得る。そうでなければ、エンローリは、コンフィギュレータに送信される第2のメッセージで第2の鍵情報を搬送してもよい。
【0051】
[00116] 任意選択的には、第1の要求メッセージは更に、生成されるセッション鍵の数についての情報を含み得る。生成されるセッション鍵の数についての情報を受信した後、エンローリは、そのような情報に従って、対応する数のコネクタを生成するであろう。例えば、生成されるセッション鍵の数についての情報が3であれば、コンフィギュレータは、エンローリに送信される第1の情報に、それぞれConnectorconfC1,ConnectorconfC2,及びConnectorconfC3という3つのコネクタの公開鍵を含める。エンローリは、受信した3つのコネクタの公開鍵と、自己生成された公開秘密鍵ペアの秘密鍵とに従って、Ks1,Ks2,及びKs3を順次生成するであろう。同様に、エンローリは、コンフィギュレータに送信される第2のメッセージで、それぞれConnectorconfE1,ConnectorconfE2,及びConnectorconfE3という3つのコネクタの公開鍵を搬送するであろう。コンフィギュレータは、受信した3つのコネクタの公開鍵と、自己生成された公開秘密鍵ペアの秘密鍵とに従って、Ks1,Ks2,及びKs3を順次生成するであろう。3つのセッション鍵は、第2の設定プロセス、第3の設定プロセス、及び第4の設定プロセスのために順次用いられる。設定プロセスにおいて接続状態照会結果メッセージを受信及び送信した後、コンフィギュレータ及びエンローリは、現在のプロビジョニングプロセスにおいて用いられたセッション鍵を削除するであろう。
【0052】
[00117] 説明を簡単にするため、本明細書においては、一例として、第2の設定プロセスにおいて必要とされるセッション鍵Ksの生成のみを用いて説明が行われる。
【0053】
[00118] 103において、エンローリは第1の鍵情報に従ってセッション鍵Ksを生成する。
【0054】
[00119] 上記の第1の要求メッセージを送信した後、エンローリは、公開秘密鍵ペアを生成し得ると共に、公開鍵を第2の鍵情報として用い得る。
【0055】
[00120] 第1の鍵情報を取得した後、エンローリは、自己生成された第2の鍵情報と組み合わせて(つまり、自己生成された公開鍵に対応する秘密鍵と組み合わせて)、エンローリのための後続のネットワーク再設定に必要なセッション鍵Ksを生成する。
【0056】
[00121] ここで、セッション鍵Ksは、次のように計算される。
[00122] N=第1の鍵情報*第2の鍵情報に対応する秘密鍵;
[00123] セッション鍵Ks=HKDF(< >,“DPP second config”,N.x)
[00122] N=第1の鍵情報*第2の鍵情報に対応する秘密鍵;
[00123] セッション鍵Ks=HKDF(< >,“DPP second config”,N.x)
【0057】
[00124] ただし、*は乗算を表し、「DPP second config」はここに文字列があってその値はカスタマイズされ得ることを表し、< >はHKDFに渡されるソルトとして用いられ、ソルトされていないHKDFコールを表し、HKDFは特定の鍵導出関数(HMACベースの鍵導出関数)を表す。
【0058】
[00125] ここで、HKDF機能(HKDF function)を用いるプロセスにおいては、楕円曲線上の各点が(x,y)座標を有する。ある複素数要素が、その要素のx座標を用いること及びその要素のy座標を無視することによって、スカラに変換されてもよい。例えば、val=Pub.xである。
【0059】
[00126] これに基づき、N.xは複素数Nのスカラを表し、xは楕円曲線上の複素数Nに対応する横座標であり得る。
【0060】
[00127] 先に説明したように、第1の鍵情報はコンフィギュレータによって生成される公開秘密鍵ペアの公開鍵であり、第2の鍵情報はエンローリによって生成される公開秘密鍵ペアの公開鍵である。
【0061】
[00128] 104において、エンローリは第2のメッセージをコンフィギュレータに送信し、第2のメッセージは第2の鍵情報を含む。
【0062】
[00129] 105において、コンフィギュレータは第2の鍵情報に従ってセッション鍵Ksを生成する。
【0063】
[00130] コンフィギュレータがセッション鍵Ksを生成する手法は、エンローリがセッション鍵Ksを生成する手法と同じである。エンローリ及びコンフィギュレータのいずれもが、最終的には同じセッション鍵を取得し、そのセッション鍵はKsと表されることが理解できる。
【0064】
[00131] 任意選択的な一実施形態においては、コンフィギュレータ及びエンローリによって生成されたセッション鍵Ksは、エンローリに対して実施されるネットワーク再設定プロセスにおいて用いることができる。
【0065】
[00132] ここで、ネットワーク再設定とは、エンローリが初めてのネットワーク設定プロセスにおいてAPにアクセスしたことがあると仮定して、その後、SSID又はAPのアクセスパスワードが更新されるので、APが再起動するようにトリガされることを意味する。APが再起動された後、この時点で、エンローリはAPの新しいネットワーク設定情報を取得しないので、エンローリとAPとは切断される。したがって、エンローリが再びAPにアクセスすることを可能にするためには、エンローリに対するネットワーク再設定が実施されることが必要である。これに基づき、セッション鍵Ksを、エンローリに対して実施されるネットワーク再設定プロセスにおいて用いることができる。
【0066】
[00133] エンローリに対して実施されるネットワーク再設定プロセスにおいてセッション鍵Ksが用いられるとき、エンローリが再びAPにアクセスすれば、セッション鍵Ksは無効になるであろうことが理解できる。つまり、エンローリとコンフィギュレータとの間のデータ交換はもはやセッション鍵Ksを用いては暗号化されない。もちろん、任意選択的には、セッション鍵Ksのライフサイクルがセットされてもよい。例えば、エンローリが再びAPにアクセスした後も、エンローリとコンフィギュレータとの間のデータ交換がセッション鍵Ksを用いて暗号化されてもよい。
【0067】
[00134] 図1に示される実施形態は鍵を生成するための方法の原理の簡単な紹介に過ぎず、鍵を生成するための方法のいくつかの具体的な実装プロセスが、次の実施形態を参照して、以下で例示的に説明される。
【0068】
【0069】
[00136] 201において、エンローリ及びコンフィギュレータが、DPP認証プロセスを通じて初期セッション鍵Keを生成する。
【0070】
[00137] 本実施形態においては、任意選択的には、コンフィギュレータがエンローリに対するネットワーク設定を初めて実施するときに、DPP認証プロセスの実施がトリガされ得る。DPP認証プロセスは、エンローリによって開始されてもよいし、又はコンフィギュレータによって開始されてもよい。
【0071】
[00138] セッション鍵KeはDPP認証プロセスにおいて生成されてもよく(Keの生成は従来技術に属し、その詳細については繰り返さない)、エンローリに対するネットワーク設定を初めて実施する後続のプロセスにおいて、セッション鍵Keは、エンローリとコンフィギュレータとの間で伝送用に交換されるメッセージを暗号化するために用いられ得る。
【0072】
[00139] 202において、エンローリは第1の要求メッセージをコンフィギュレータに送信し、第1の要求メッセージはKeによって暗号化され、第1の要求メッセージは第1の識別子を含み、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる。
【0073】
[00140] 203において、コンフィギュレータは第1の識別子に従って第1の要求メッセージに対応する第1の応答メッセージをエンローリに送信し、第1の応答メッセージはKeによって暗号化され、第1の応答メッセージは第1の鍵情報を含む。
【0074】
[00141] 204において、エンローリは第1の鍵情報に従ってセッション鍵Ksを生成する。
【0075】
[00142] 205において、エンローリは第1の応答メッセージに対応する第1の確認メッセージをコンフィギュレータに送信し、第1の確認メッセージはKeによって暗号化され、第1の確認メッセージは第2の鍵情報を含む。
【0076】
[00143] 206において、コンフィギュレータは第2の鍵情報に従ってセッション鍵Ksを生成する。
【0077】
[00144] 上記のステップ201からステップ206は、コンフィギュレータがエンローリに対するネットワーク設定を初めて実施するプロセスにおいて実施され得る。
【0078】
[00145] ここで、第1の要求メッセージはDPP設定要求とも称され得ると共に、DPP Configuration Requestと表されてもよく、これはSecondConfigStatusと表され得る上述の第1の識別子を搬送する。
【0079】
[00146] 第1の要求メッセージに応答して、コンフィギュレータは第1の応答メッセージをエンローリに送信し、第1の応答メッセージは第1の鍵情報を含む。第1の鍵情報はコンフィギュレータによって現在生成されている公開鍵であり得、第1の鍵情報はConnectorconfCと表され得る。ConnectorconfCに従ってエンローリがセッション鍵Ksを生成するプロセスに関しては、先に言及した実施形態の説明が参照され得る。Connectorはコネクタである。第1の応答メッセージはDPP configuration Responseと表されてもよく、したがって、第1の応答メッセージは第1のDPP設定確認メッセージとも称され得る。
【0080】
[00147] エンローリは、第1の応答メッセージを正常に受信する場合、第2の鍵情報を含む第1の確認メッセージをコンフィギュレータに送信し得、第1の確認メッセージはDPP configuration confirmと表され得る。ここで、第2の鍵情報は、エンローリによって現在生成されている公開秘密鍵ペアの公開鍵であり得る。第1の鍵情報はConnectorconfEと表され得る。ConnectorconfEに従ってコンフィギュレータがセッション鍵Ksを生成するプロセスに関しては、先に言及した実施形態の説明が参照され得る。
【0081】
[00148] この時点で、エンローリのための第1のネットワーク設定プロセスにおいて、エンローリに対するネットワーク再設定を実施するために必要なセッション鍵Ksが生成される。
【0082】
[00149] 207において、エンローリは第2の要求メッセージをコンフィギュレータに送信し、第2の要求メッセージはセッション鍵Ksによって暗号化される。
【0083】
[00150] 208において、コンフィギュレータは第2の要求メッセージに対応する第2の応答メッセージをエンローリに送信し、第2の応答メッセージはセッション鍵Ksによって暗号化される。
【0084】
[00151] 209において、エンローリは第2の確認メッセージをコンフィギュレータに送信し、第2の確認メッセージはセッション鍵Ksによって暗号化される。
【0085】
[00152] ここで、第2の確認メッセージはDPP configuration confirmと表されてもよく、したがって、第2の応答メッセージは第2のDPP設定確認メッセージとも称され得る。
【0086】
[00153] 上記のステップ207からステップ208は、コンフィギュレータによってエンローリに対して実施されるネットワーク再設定プロセスにおいて実施され得る。
【0087】
[00154] 実用的な適用においては、APのSSID又はアクセスパスワードの変更は、ユーザの手動更新によって生じることが多い。したがって、APのSSID又はアクセスパスワードを変更した後、ユーザは任意選択的にエンローリにトリガ動作を適用し、これにより、ステップ207を実施するようにエンローリをトリガし得る。例えば、エンローリはプロビジョニングを始めるためのボタンを装備していてもよく、ユーザはそのボタンを押して、ステップ207を実施するようにエンローリをトリガする。
【0088】
【0089】
[00156] 301において、エンローリ及びコンフィギュレータが、DPP認証プロセスを通じて初期セッション鍵Keを生成する。
【0090】
[00157] 302において、エンローリは第1の要求メッセージをコンフィギュレータに送信し、第1の要求メッセージはKeによって暗号化され、第1の要求メッセージは第1の識別子を含み、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる。
【0091】
[00158] 303において、コンフィギュレータは第1の識別子に従って第1の要求メッセージに対応する第1の応答メッセージをエンローリに送信し、第1の応答メッセージはKeによって暗号化される。
【0092】
[00159] 304において、エンローリは第1の応答メッセージに対応する第1の確認メッセージをコンフィギュレータに送信し、第1の確認メッセージはKeによって暗号化され、第1の確認メッセージは第2の鍵情報を含む。
【0093】
[00160] 305において、コンフィギュレータは第2の鍵情報に従ってセッション鍵Ksを生成する。
【0094】
[00161] 任意選択的には、第1の応答メッセージはAPの現在の第1のネットワーク設定情報を含んでいてもよく、これによりエンローリが第1のネットワーク設定情報に従ってAPにアクセスすることを可能にする。
【0095】
[00162] 任意選択的な一実施形態においては、第1の確認メッセージの受信後、エンローリは、予めセットされた時間間隔の後で接続状態照会結果メッセージ(Status Query Resultと表され得る)をコンフィギュレータに送信して、エンローリとAPとが接続状態にあるかどうかをコンフィギュレータに知らせてもよい。これに基づき、任意選択的には、エンローリは、コンフィギュレータに第2の鍵情報が送信されるように、接続状態報告情報中に第2の鍵情報を伴ってもよい。
【0096】
[00163] 306において、コンフィギュレータは通知メッセージをエンローリに送信し、通知メッセージはエンローリにネットワーク再設定プロセスを始めさせるために用いられ、通知メッセージは第1の鍵情報を含み、通知メッセージはKeによって暗号化される。
【0097】
[00164] 306において、エンローリがAPにアクセスすることができないとき、コンフィギュレータは通知メッセージをエンローリに送信するようにトリガされ得る。任意選択的には、APのネットワーク設定情報が変化するとき、ユーザは、エンローリに対してセットされた二次元コードをスキャンするようにコンフィギュレータを操作することによって、通知メッセージをエンローリに送信するようにコンフィギュレータをトリガしてもよい。
【0098】
[00165] なお、エンローリは低電力消費デバイスであることが多い。エネルギ消費を低減させるために、エンローリは、受動的モニタリングモードで動作するように、及び、APにアクセスできないことがわかったとき、コンフィギュレータによって送信される通知メッセージを周期的にモニタするように、構成される。エンローリが低電力消費デバイスでない場合、エンローリは、APにアクセスできないことを検出すると、直接的に設定チャネルに戻って、設定チャネルでDPP設定要求メッセージ(つまり下記の第2の要求メッセージに対応する)を周期的に送信してもよく、送信されたDPP設定要求メッセージはKsによって暗号化される。
【0099】
[00166] 任意選択的には、予めセットされた第2の識別子が通知メッセージで搬送されてもよく、第2の識別子はエンローリにネットワーク再設定プロセスを始めるように命令するために用いられる。換言すれば、第2の識別子を含む通知メッセージを受信すると、エンローリはネットワーク再設定プロセスを実施し始め、つまり次のステップを実施し始める。
【0100】
[00167] 307において、エンローリは第1の鍵情報に従ってセッション鍵Ksを生成する。
【0101】
[00168] 308において、エンローリは第2の要求メッセージをコンフィギュレータに送信し、第2の要求メッセージはセッション鍵Ksによって暗号化される。
【0102】
[00169] 309において、コンフィギュレータは第2の要求メッセージに対応する第2の応答メッセージをエンローリに送信し、第2の応答メッセージはセッション鍵Ksによって暗号化される。
【0103】
[00170] 310において、エンローリは第2の確認メッセージをコンフィギュレータに送信し、第2の確認メッセージはセッション鍵Ksによって暗号化される。
【0104】
[00171] 図2及び図3に示される実施形態からわかるように、上記の第1の鍵情報及び第2の鍵情報の伝送タイミングは、再設定プロセスが始められる前にセッション鍵Ksが生成される限りは、厳密には限定されない。
【0105】
[00172] 図2及び図3に示される実施形態は、エンローリに対するネットワーク設定プロセスにおいて鍵を生成するための方法をどのように実施するかに焦点を置いている。これに対応して、この鍵を生成するための方法が用いられるとき、端末プロビジョニング解決策を実装するための次の実施形態が参照され得る。
【0106】
【0107】
[00174] 401において、エンローリ及びコンフィギュレータが、DPP認証プロセスを通じて初期セッション鍵Keを生成する。
【0108】
[00175] 402において、エンローリは第1の要求メッセージをコンフィギュレータに送信し、第1の要求メッセージはKeによって暗号化され、第1の要求メッセージは第1の識別子を含み、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる。
【0109】
[00176] 403において、コンフィギュレータは第1の識別子に従って第1の要求メッセージに対応する第1の応答メッセージをエンローリに送信し、第1の応答メッセージはKeによって暗号化され、第1の応答メッセージは第1の鍵情報及びAPの第1のネットワーク設定情報を含む。
【0110】
[00177] 404において、エンローリは第1の鍵情報に従ってセッション鍵Ksを生成する。
【0111】
[00178] 405において、エンローリは第1の応答メッセージに対応する第1の確認メッセージをコンフィギュレータに送信し、第1の確認メッセージはKeによって暗号化され、第1の確認メッセージは第2の鍵情報を含む。
【0112】
[00179] 406において、エンローリは第1のネットワーク設定情報に従ってAPにアクセスする。
【0113】
[00180] コンフィギュレータは、エンローリへの伝送のための第1の応答メッセージで、現在のAPのネットワーク設定情報(第1のネットワーク設定情報と称される)も搬送し得る。
【0114】
[00181] エンローリはKeを用いることによって復号化を実施して第1のネットワーク設定情報を取得し、その後、APにアクセスする。
【0115】
[00182] 407において、コンフィギュレータは第2の鍵情報に従ってセッション鍵Ksを生成する。
【0116】
[00183] 408において、エンローリは第2の要求メッセージをコンフィギュレータに送信し、第2の要求メッセージはセッション鍵Ksによって暗号化される。
【0117】
[00184] 409において、コンフィギュレータは第2の要求メッセージに対応する第2の応答メッセージをエンローリに送信し、第2の応答メッセージはセッション鍵Ksによって暗号化され、第2の応答メッセージはAPの第2のネットワーク設定情報を含む。
【0118】
[00185] APのネットワーク設定情報が変化した後、APの現在のネットワーク設定情報は、第2のネットワーク設定情報と称される。
【0119】
[00186] 410において、エンローリは第2の確認メッセージをコンフィギュレータに送信し、第2の確認メッセージはセッション鍵Ksによって暗号化される。
【0120】
[00187] 411において、エンローリはセッション鍵Ksに従って復号化を実施して、APにアクセスするために第2のネットワーク設定情報を取得する。
【0121】
【0122】
[00189] 501において、エンローリ及びコンフィギュレータが、DPP認証プロセスを通じて初期セッション鍵Keを生成する。
【0123】
[00190] 502において、エンローリは第1の要求メッセージをコンフィギュレータに送信し、第1の要求メッセージはKeによって暗号化され、第1の要求メッセージは第1の識別子を含み、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる。
【0124】
[00191] 503において、コンフィギュレータは第1の識別子に従って第1の要求メッセージに対応する第1の応答メッセージをエンローリに送信し、第1の応答メッセージはKeによって暗号化され、第1の応答メッセージは第1の鍵情報及びAPの第1のネットワーク設定情報を含む。
【0125】
[00192] 504において、エンローリは第1の鍵情報に従ってセッション鍵Ksを生成する。
【0126】
[00193] 505において、エンローリは第1の応答メッセージに対応する第1の確認メッセージをコンフィギュレータに送信し、第1の確認メッセージはKeによって暗号化される。
【0127】
[00194] 506において、エンローリは第1のネットワーク設定情報に従ってAPにアクセスする。
【0128】
[00195] 507において、エンローリは接続状態照会結果メッセージをコンフィギュレータに送信し、接続状態照会結果メッセージは第2の鍵情報を含む。
【0129】
[00196] 接続状態照会結果メッセージはエンローリとAPとが接続状態にあるかどうかを示すフィールドを更に備え得ることが理解できる。
【0130】
[00197] 508において、コンフィギュレータは第2の鍵情報に従ってセッション鍵Ksを生成する。
【0131】
[00198] 509において、コンフィギュレータは通知メッセージをエンローリに送信し、通知メッセージは第2の識別子を含み、これによりエンローリにネットワーク再設定プロセスを始めさせ、通知メッセージはセッション鍵Ksによって暗号化される。
【0132】
[00199] 510において、エンローリは第2の要求メッセージをコンフィギュレータに送信し、第2の要求メッセージはセッション鍵Ksによって暗号化される。
【0133】
[00200] 511において、コンフィギュレータは第2の要求メッセージに対応する第2の応答メッセージをエンローリに送信し、第2の応答メッセージはセッション鍵Ksによって暗号化され、第2の応答メッセージはAPの第2のネットワーク設定情報を含む。
【0134】
[00201] 第2のネットワーク設定情報は、SSIDと、SSIDに対応するアクセスパスワードとを含む。ここで、第2のネットワーク設定情報のSSID及び/又はアクセスパスワードは、第1のネットワーク設定情報に含まれるSSID及びアクセスパスワードとは異なる。
【0135】
[00202] 512において、エンローリは第2の確認メッセージをコンフィギュレータに送信し、第2の確認メッセージはセッション鍵Ksによって暗号化される。
【0136】
[00203] 513において、エンローリはセッション鍵Ksに従って復号化を実施して、APにアクセスするために第2のネットワーク設定情報を取得する。
【0137】
【0138】
[00205] 601において、エンローリ及びコンフィギュレータが、DPP認証プロセスを通じて初期セッション鍵Keを生成する。
【0139】
[00206] 602において、エンローリは第1の要求メッセージをコンフィギュレータに送信し、第1の要求メッセージはKeによって暗号化され、第1の要求メッセージは第1の識別子を含み、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる。
【0140】
[00207] 603において、コンフィギュレータは第1の識別子に従って第1の要求メッセージに対応する第1の応答メッセージをエンローリに送信し、第1の応答メッセージはKeによって暗号化され、第1の応答メッセージはAPの第1のネットワーク設定情報を含む。
【0141】
[00208] 604において、エンローリは第1の応答メッセージに対応する第1の確認メッセージをコンフィギュレータに送信し、第1の確認メッセージはKeによって暗号化される。
【0142】
[00209] 605において、エンローリは第1のネットワーク設定情報に従ってAPにアクセスする。
【0143】
[00210] 606において、エンローリは接続状態照会結果メッセージをコンフィギュレータに送信し、接続状態照会結果メッセージは第2の鍵情報を含み、接続状態照会結果メッセージはKeによって暗号化される。
【0144】
[00211] 607において、コンフィギュレータは第2の鍵情報に従ってセッション鍵Ksを生成する。
【0145】
[00212] 608において、コンフィギュレータは通知メッセージをエンローリに送信し、通知メッセージは第2の識別子及び第1の鍵情報を含み、これによりエンローリにネットワーク再設定プロセスを始めさせ、通知メッセージはKeによって暗号化される。
【0146】
[00213] 609において、エンローリは第1の鍵情報に従ってセッション鍵Ksを生成する。
【0147】
[00214] 610において、エンローリは第2の要求メッセージをコンフィギュレータに送信し、第2の要求メッセージはセッション鍵Ksによって暗号化される。
【0148】
[00215] 611において、コンフィギュレータは第2の要求メッセージに対応する第2の応答メッセージをエンローリに送信し、第2の応答メッセージはセッション鍵Ksによって暗号化され、第2の応答メッセージはAPの第2のネットワーク設定情報を含む。
【0149】
[00216] 612において、エンローリは第2の確認メッセージをコンフィギュレータに送信し、第2の確認メッセージはセッション鍵Ksによって暗号化される。
【0150】
[00217] 613において、エンローリはセッション鍵Ksに従って復号化を実施して、APにアクセスするために第2のネットワーク設定情報を取得する。
【0151】
【0152】
[00219] 701において、エンローリ及びコンフィギュレータが、DPP認証プロセスを通じて初期セッション鍵Keを生成する。
【0153】
[00220] 702において、エンローリは第1の要求メッセージをコンフィギュレータに送信し、第1の要求メッセージはKeによって暗号化され、第1の要求メッセージは第1の識別子を含み、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる。
【0154】
[00221] 703において、コンフィギュレータは第1の識別子に従って第1の要求メッセージに対応する第1の応答メッセージをエンローリに送信し、第1の応答メッセージはKeによって暗号化され、第1の応答メッセージはAPの第1のネットワーク設定情報を含む。
【0155】
[00222] 704において、エンローリは第1の応答メッセージに対応する第1の確認メッセージをコンフィギュレータに送信し、第1の確認メッセージはKeによって暗号化され、第1の確認メッセージは第2の鍵情報を含む。
【0156】
[00223] 705において、エンローリは第1のネットワーク設定情報に従ってAPにアクセスする。
【0157】
[00224] 706において、コンフィギュレータは第2の鍵情報に従ってセッション鍵Ksを生成する。
【0158】
[00225] 707において、エンローリは接続状態照会結果メッセージをコンフィギュレータに送信する。
【0159】
[00226] 708において、コンフィギュレータは通知メッセージをエンローリに送信し、通知メッセージは第2の識別子及び第1の鍵情報を含み、第2の識別子はエンローリにネットワーク再設定プロセスを始めさせるために用いられ、通知メッセージはKeによって暗号化される。
【0160】
[00227] 709において、エンローリは第1の鍵情報に従ってセッション鍵Ksを生成する。
【0161】
[00228] 710において、エンローリは第2の要求メッセージをコンフィギュレータに送信し、第2の要求メッセージはセッション鍵Ksによって暗号化される。
【0162】
[00229] 711において、コンフィギュレータは第2の要求メッセージに対応する第2の応答メッセージをエンローリに送信し、第2の応答メッセージはセッション鍵Ksによって暗号化され、第2の応答メッセージはAPの第2のネットワーク設定情報を含む。
【0163】
[00230] 712において、エンローリは第2の確認メッセージをコンフィギュレータに送信し、第2の確認メッセージはセッション鍵Ksによって暗号化される。
【0164】
[00231] 713において、エンローリはセッション鍵Ksに従って復号化を実施して、APにアクセスするために第2のネットワーク設定情報を取得する。
【0165】
[00232] 要約すれば、上記の種々の実施形態はDPP設定プロセスの新たな実装上の解決策を提供する。この解決策では、第1のネットワーク設定プロセスにおいて、エンローリとコンフィギュレータとが、後続の第2のネットワーク再設定プロセスにおいて必要な鍵情報である第1の鍵情報及び第2の鍵情報を互いに交換し、したがってコンフィギュレータ及びエンローリのいずれもが、次のネットワーク再設定プロセスにおいて必要とされるセッション鍵Ksを生成する。このようにすれば、DPP設定プロセスをネットワーク再設定プロセスにおいてセッション鍵Ksに基づいて直接的に実施することができるので、DPP認証プロセスを再び実施することは不要であり、それによってプロビジョニング効率が向上する。
【0166】
[00233] 上記の実施形態において提供される解決策は主にDPP設定プロセスを含む。DPP認証プロセスにおいて実装される鍵を生成するための方法が、以下の本願の実施形態において更に提供される。
【0167】
【0168】
[00235] 801において、コンフィギュレータは認証要求メッセージをエンローリに送信し、認証要求メッセージは第1の乱数情報及び第2の乱数情報を含む。
【0169】
[00236] 802において、エンローリは、第1の乱数情報と、第2の乱数情報と、エンローリに対応する第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成する。
【0170】
[00237] 803において、エンローリは認証要求メッセージに対応する認証応答メッセージをコンフィギュレータに送信し、認証応答メッセージは第3の乱数情報及び第4の乱数情報を含む。
【0171】
[00238] 804において、コンフィギュレータは、第1の乱数情報と、第2の乱数情報と、第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成する。
【0172】
[00239] 以下の説明を容易にするために、第1の乱数情報及び第2の乱数情報はそれぞれI-nonce1及びI-nonce2と表され、第3の乱数情報及び第4の乱数情報はそれぞれR-nonce1及びR-nonce2と表され、第1のセッション鍵及び第2のセッション鍵はそれぞれke1及びke2と表される。
【0173】
[00240] 本実施形態において提供される鍵を生成するための方法は、コンフィギュレータがエンローリに対してネットワーク設定を実施するシナリオに適用可能であり得る。
【0174】
[00241] 任意選択的には、エンローリに対して二次元コードがセットされてもよい。エンローリに対してネットワーク設定が実施される必要があるときには、コンフィギュレータは、その二次元コードをスキャンすることによって、エンローリに認証要求メッセージを送信するようにトリガされ得る。
【0175】
[00242] なお、本実施形態においては、一例としてDPP認証プロセスを能動的にトリガするコンフィギュレータを用いることによって説明が行われる。実用では、DPP認証プロセスは、エンローリによってもトリガされ得る。この場合、エンローリはコンフィギュレータに、エンローリの第3の乱数情報及び第4の乱数情報を含む認証要求メッセージ(DPP authentication requestと表され得る)を送信し、コンフィギュレータはエンローリに、コンフィギュレータの第1の乱数情報及び第2の乱数情報を含む認証応答メッセージ(DPP authentication responseと表され得る)を送信する。この時点で、任意選択的には、プロビジョニングをトリガするためのボタンがエンローリに配設されてもよい。ユーザがそのボタンを押すとき、エンローリは、認証要求メッセージをコンフィギュレータに送信するようにトリガされ得る。
【0176】
[00243] コンフィギュレータ及びエンローリの両方に関して、上記で説明した4つの乱数、つまりI-nonce1,I-nonce2,R-nonce1,及びR-nonce2が取得されるであろうことが理解できる。
【0177】
[00244] 要約すると、コンフィギュレータについては、コンフィギュレータはI-nonce1及びR-nonce1に基づいてke1を生成し得ると共に、I-nonce2及びR-nonce2に基づいてke2を生成し得る。同様に、エンローリについては、エンローリも、I-nonce1及びR-nonce1に従ってke1を生成し得ると共に、I-nonce2及びR-nonce2に従ってke2を生成し得る。
【0178】
[00245] なお、エンローリは、次のように構成され得る。2つの乱数I-nonce1及びI-nonce2を含む認証要求メッセージを受信すると、それによって、2つのセッション鍵が生成される必要があることがわかり、その一方はエンローリのためのコンフィギュレータの第1のネットワーク設定プロセスにおいて用いられ、他方はエンローリのためのコンフィギュレータのネットワーク再設定プロセスにおいて用いられる。エンローリのためのコンフィギュレータの第1のネットワーク設定プロセスにおいてはke1が用いられ、エンローリのためのコンフィギュレータのネットワーク再設定プロセスにおいてはke2が用いられるものと推測される。
【0179】
[00246] もちろん、任意選択的には、認証要求メッセージは予めセットされた第1の識別子を含んでいてもよく、第1の識別子は、エンローリにネットワーク再設定を実施するためのセッション鍵を生成するように命令する。換言すれば、第1の識別子は認証要求メッセージで搬送されてもよく、したがって第1の識別子を含む認証要求メッセージを受信するとき、エンローリは、2つのセッション鍵ke1及びke2が生成される必要があることを直接的に知る。すなわち、エンローリは、第1の識別子に基づいて、エンローリのためのコンフィギュレータの第1のネットワーク設定プロセスにおいて用いられるセッション鍵ke1に加えて、エンローリのためのコンフィギュレータのネットワーク再設定プロセスにおいて用いられるセッション鍵ke2も生成する必要があることを知る。
【0180】
[00247] 以下ではke1及びke2を生成することの詳細なプロセスが説明される。
【0181】
[00248] エンローリに関しては、
[00249] Ke1=HKDF(I-nonce1|R-nonce1,“DPP Re-configuration Key”,M.x|N.x[|L.x]);
[00250] Ke2=HKDF(I-nonce2|R-nonce2,“DPP Re-configuration Key”,M.x|N.x[|L.x])
である。
[00249] Ke1=HKDF(I-nonce1|R-nonce1,“DPP Re-configuration Key”,M.x|N.x[|L.x]);
[00250] Ke2=HKDF(I-nonce2|R-nonce2,“DPP Re-configuration Key”,M.x|N.x[|L.x])
である。
【0182】
[00251] ここで、M.xはMのスカラを表し、xは楕円曲線上の複素数Mに対応する横座標であり得、Mはコンフィギュレータのプロトコル鍵ペアの公開鍵Plとエンローリのブートストラッピング鍵ペアの秘密鍵bRとによって生成され、生成式は、
[00252] M=bR×Pl
である。
[00252] M=bR×Pl
である。
【0183】
[00253] ここで、N.xはNのスカラを表し、xは楕円曲線上の複素数Nに対応する横座標であり得、Nはコンフィギュレータのプロトコル鍵ペアの公開鍵Plとエンローリのプロトコル鍵ペアの秘密鍵pRとによって生成され、生成式は、
[00254] N=pR×Pl
である。
[00254] N=pR×Pl
である。
【0184】
[00255] ここで、L.xはLのスカラを表し、xは楕円曲線上の複素数Lに対応する横座標であり得、Lはエンローリのブートストラッピング鍵ペアの秘密鍵bR及びエンローリのプロトコル鍵ペアの秘密鍵pRとコンフィギュレータのブートストラッピング鍵ペアの公開鍵Blとによって生成され、生成式は、
[00256] L=((bR+pR)modulo q)×Bl
である。
[00256] L=((bR+pR)modulo q)×Bl
である。
【0185】
[00257] ただし、|はマージ(連結)演算を表し、“DPP Re-configuration Key”はここの文字列を表し、その文字列の値は自己定義され得る。[ ]は、角括弧内の変数又はフィールドL.xが任意選択的であるか又は特定の条件下でのみ用いられることを示す。modulo qはモジュロ演算を表す。
【0186】
[00258] コンフィギュレータに関しては、
[00259] Ke1=HKDF(I-nonce1|R-nonce1,“DPP Re-configuration Key”,M.x|N.x[|L.x]);
[00260] Ke2=HKDF(I-nonce2|R-nonce2,“DPP Re-configuration Key”,M.x|N.x[|L.x])
である。
[00259] Ke1=HKDF(I-nonce1|R-nonce1,“DPP Re-configuration Key”,M.x|N.x[|L.x]);
[00260] Ke2=HKDF(I-nonce2|R-nonce2,“DPP Re-configuration Key”,M.x|N.x[|L.x])
である。
【0187】
[00261] ここで、Mはコンフィギュレータのプロトコル鍵ペアの秘密鍵plとエンローリのブートストラッピング鍵ペアの公開鍵BRとによって生成され、生成式は、
[00262] M=pl×BR
である。
[00262] M=pl×BR
である。
【0188】
[00263] ここで、Nはコンフィギュレータのプロトコル鍵ペアの秘密鍵plとエンローリのプロトコル鍵ペアの公開鍵PRとによって生成され、生成式は、
[00264] N=pl×PR
である。
[00264] N=pl×PR
である。
【0189】
[00265] ここで、Lはコンフィギュレータのブートストラッピング鍵ペアの秘密鍵bl及びエンローリのプロトコル鍵ペアの公開鍵PRとエンローリのブートストラッピング鍵ペアの公開鍵BRとによって生成され、生成式は、
[00266] L=bl×(BR+PR)
である。
[00266] L=bl×(BR+PR)
である。
【0190】
[00267] なお、コンフィギュレータ及びエンローリにとって、上記の式に含まれるM,N,及びLの計算方法は異なる。
【0191】
[00268] 任意選択的には、DPP認証要求メッセージは更に、生成されるセッション鍵の数についての情報を含み得る。ネットワーク再設定は2回よりも多く実施される必要があるかもしれない。したがって、コンフィギュレータ及びエンローリはDPP認証プロセスにおいて2つよりも多くのセッション鍵を生成し得る。例えば、生成されるセッション鍵の数についての情報が3であれば、3つの乱数I-nonce1,I-nonce2,及びI-nonce3が順に、コンフィギュレータによってエンローリに送信されるDPP認証要求情報で搬送される。コンフィギュレータによって送信されるDPP認証要求メッセージを受信した後、エンローリは、受信した3つの乱数と、自身によって生成された3つの乱数R-nonce1,R-nonce2,及びR-nonce3とに従って、3つのセッション鍵Ke1,Ke2,及びKe3を順に生成する。その後、エンローリはDPP認証応答メッセージをコンフィギュレータに送信し、DPP認証応答メッセージはR-nonce1,R-nonce2,及びR-nonce3を含む。エンローリによって送信されるDPP認証応答メッセージを受信した後、コンフィギュレータは、受信した3つの乱数と、先に生成された3つの乱数I-nonce1,I-nonce2,及びI-nonce3とに従って、3つのセッション鍵Ke1,Ke2,及びKe3を順に生成する。3つのセッション鍵は、第1の設定プロセス、第2の設定プロセス、及び第3の設定プロセスにおいて順次用いられる。設定プロセスにおいて接続状態照会結果メッセージを受信及び送信した後、コンフィギュレータ及びエンローリは、現在のプロビジョニングプロセスにおいて用いられたセッション鍵を削除するであろう。
【0192】
[00269] コンフィギュレータがエンローリに対してネットワーク設定を実施するシナリオでは、上記で生成されたke1及びke2が後続の2つのDPP設定プロセスにおいて用いられ得る。ke1及びke2を用いるプロセスは、図9に示される実施形態を参照して以下で説明される。
【0193】
【0194】
[00271] 901において、エンローリ及びコンフィギュレータが第1のセッション鍵ke1及び第2のセッション鍵ke2をDPP認証プロセスにおいて生成する。
【0195】
[00272] ここで、ke1及びke2を生成するプロセスについては図8に示される実施形態の説明を参照し、再度の説明はしない。
【0196】
[00273] 902において、エンローリは第1の要求メッセージをコンフィギュレータに送信し、第1の要求メッセージは第1のセッション鍵ke1によって暗号化される。
【0197】
[00274] 903において、コンフィギュレータは第1の要求メッセージに対応する第1の応答メッセージをエンローリに送信し、第1の応答メッセージは第1のセッション鍵ke1によって暗号化され、第1の応答メッセージはAPの第1のネットワーク設定情報を含む。
【0198】
[00275] 904において、エンローリは第1の確認メッセージをコンフィギュレータに送信し、第1の確認メッセージは第1のセッション鍵ke1によって暗号化される。
【0199】
[00276] 905において、エンローリは第1のセッション鍵ke1を用いて復号化を実施して、APにアクセスするために第1のネットワーク設定情報を取得する。
【0200】
[00277] 906において、エンローリは接続状態照会結果メッセージをコンフィギュレータに送信し、接続状態照会結果メッセージは第1のセッション鍵ke1によって暗号化される。
【0201】
[00278] 任意選択的には、第1の確認メッセージの受信後、エンローリは、予めセットされた時間間隔の後で接続状態照会結果メッセージ(Status Query Resultと表され得る)をコンフィギュレータに送信して、エンローリとAPとが接続状態にあるかどうかをコンフィギュレータに知らせてもよい。
【0202】
[00279] 907において、コンフィギュレータは通知メッセージをエンローリに送信し、通知メッセージはエンローリにネットワーク再設定プロセスを始めさせるために用いられ、通知メッセージは第2のセッション鍵ke2によって暗号化される。
【0203】
[00280] 上記で説明したように、APのネットワーク設定情報が第1のネットワーク設定情報から第2のネットワーク設定情報に変化するとき、及びエンローリが低電力消費デバイスであるときには、コンフィギュレータは通知メッセージをエンローリに送信するようにトリガされ得る。
【0204】
[00281] 任意選択的には、APのネットワーク設定情報が変化するとき、ユーザは、エンローリの二次元コードをスキャンするようにコンフィギュレータを操作して、通知メッセージをエンローリに送信するようにコンフィギュレータをトリガしてもよい。
【0205】
[00282] なお、エンローリは低電力消費デバイスであることが多い。エネルギ消費を低減させるために、エンローリは受動的モニタリングモードで動作するように設定され、APにアクセスできないことがわかったとき、エンローリはコンフィギュレータによって送信される通知メッセージを周期的にモニタする。エンローリが低電力消費デバイスでなければ、エンローリは、APにアクセスできないことを検出すると、直接的に設定チャネルに戻って、設定チャネルを介してDPP設定要求メッセージ(つまり下記の第2の要求メッセージに対応する)を周期的に送信してもよく、送信されたDPP設定要求メッセージはKsによって暗号化される。
【0206】
[00283] 任意選択的には、通知メッセージは第2の識別子を含んでいてもよく、第2の識別子はエンローリにネットワーク再設定プロセスを始めるように命令するために用いられる。
【0207】
[00284] 908において、エンローリは第2の要求メッセージをコンフィギュレータに送信し、第2の要求メッセージは第2のセッション鍵ke2によって暗号化される。
【0208】
[00285] 909において、コンフィギュレータは第2の要求メッセージに対応する第2の応答メッセージをエンローリに送信し、第2の応答メッセージは第2のセッション鍵ke2によって暗号化され、第2の応答メッセージはAPの第2のネットワーク設定情報を含む。
【0209】
[00286] 910において、エンローリは第2の確認メッセージをコンフィギュレータに送信し、第2の確認メッセージは第2のセッション鍵ke2によって暗号化される。
【0210】
[00287] 911において、エンローリは第2のセッション鍵ke2を用いて復号化を実施して、APにアクセスするために第2のネットワーク設定情報を取得する。
【0211】
[00288] 本願の1つ又は複数の実施形態の鍵生成装置及び端末プロビジョニング装置が以下において詳細に説明される。当業者は、これらの装置の全てが、この解決策において教示されるステップを通じて、商業的に入手可能なハードウェアコンポーネントを用いることによって構成され得ることを理解できる。
【0212】
【0213】
[00290] 送信モジュール11は第1の要求メッセージをコンフィギュレータに送信するように構成されており、第1の要求メッセージは第1の識別子を含み、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる。
【0214】
[00291] 受信モジュール12はコンフィギュレータによって送信された第1のメッセージを受信するように構成されており、第1のメッセージは第1の鍵情報を含む。
【0215】
[00292] 生成モジュール13は第1の鍵情報に従ってセッション鍵を生成するように構成されている。
【0216】
[00293] 送信モジュール11は更に、第2のメッセージをコンフィギュレータに送信するように構成されており、第2のメッセージは第2の鍵情報を含み、これによりコンフィギュレータが第2の鍵情報に従ってセッション鍵を生成することを可能にする。
【0217】
[00294] 任意選択的には、第1のメッセージは、第1の要求メッセージに対応する第1の応答メッセージである。
【0218】
[00295] 任意選択的には、第2のメッセージは、第1の応答メッセージに対応する第1の確認メッセージである。
【0219】
[00296] 任意選択的には、第1のメッセージは通知メッセージであり、通知メッセージはエンローリにネットワーク再設定プロセスを始めさせるために用いられる。
【0220】
[00297] 任意選択的には、通知メッセージは第2の識別子を含み、第2の識別子はエンローリにネットワーク再設定プロセスを始めるように命令するために用いられる。
【0221】
[00298] 任意選択的には、第2のメッセージをコンフィギュレータに送信した後、送信モジュール11は更に、第2の要求メッセージをコンフィギュレータに送信するように構成されており、第2の要求メッセージはセッション鍵によって暗号化される。受信モジュール12は更に、第2の要求メッセージに対応する、コンフィギュレータによって送信された第2の応答メッセージを受信するように構成されており、第2の応答メッセージはセッション鍵によって暗号化される。
【0222】
[00299] 任意選択的には、第2の要求メッセージに対応する、コンフィギュレータによって送信された第2の応答メッセージを受信した後、送信モジュール11は更に、第2の確認メッセージをコンフィギュレータに送信するように構成されており、第2の確認メッセージはセッション鍵によって暗号化される。
【0223】
[00300] 図10に示される装置は、図1から図3に示される実施形態においてエンローリによって実施されるステップを実施することができる。本実施形態において詳細に説明されない部分については、前述の実施形態の関係する説明を参照することができ、再度の説明はしない。
【0224】
[00301] ある可能な設計においては、上記の図10に示される鍵を生成するための装置の構造はエンローリとして実装され得る。図11に示されるように、エンローリは、第1のプロセッサ21と、第1のメモリ22とを含み得る。ここで、第1のメモリ22は実行可能コードを記憶し、実行可能コードは、第1のプロセッサ21によって実行されるとき、少なくとも、図1から図3に示される前述の実施形態においてエンローリによって実施される種々のステップを第1のプロセッサ21に実施させる。
【0225】
[00302] ここで、エンローリの構造は更に、別のデバイス又は通信ネットワークと通信するように構成された第1の通信インターフェイス23を含み得る。
【0226】
[00303] また、本願の一実施形態においては非一時的機械可読記憶媒体が提供され、非一時的機械可読記憶媒体は実行可能コードを記憶し、実行可能コードは、エンローリのプロセッサによって実行されるとき、図1から図3に示される前述の実施形態においてエンローリによって実施される種々のステップをプロセッサに実施させる。
【0227】
[00304] 図12は、本願の一実施形態による鍵を生成するための別の装置の概略的構造図である。図12に示されるように、装置は、受信モジュール31と、送信モジュール32と、生成モジュール33とを含む。
【0228】
[00305] 受信モジュール31はエンローリによって送信された第1の要求メッセージを受信するように構成されており、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる。
【0229】
[00306] 送信モジュール32は第1の識別子に従って第1のメッセージをエンローリに送信するように構成されており、第1のメッセージは第1の鍵情報を備え、これによりエンローリが第1の鍵情報に従ってセッション鍵を生成することを可能にする。
【0230】
[00307] 受信モジュール31は更に、エンローリによって送信された第2のメッセージを受信するように構成されており、第2のメッセージは第2の鍵情報を含む。
【0231】
[00308] 生成モジュール33は第2の鍵情報に従ってセッション鍵を生成するように構成されている。
【0232】
[00309] 任意選択的には、第1のメッセージは、第1の要求メッセージに対応する第1の応答メッセージである。
【0233】
[00310] 任意選択的には、第2のメッセージは、第1の応答メッセージに対応する第1の確認メッセージである。
【0234】
[00311] 任意選択的には、第1のメッセージは通知メッセージであり、通知メッセージはエンローリにネットワーク再設定プロセスを始めさせるために用いられる。
【0235】
[00312] 任意選択的には、通知メッセージは第2の識別子を含み、第2の識別子はエンローリにネットワーク再設定プロセスを始めるように命令するために用いられる。
【0236】
[00313] 任意選択的には、セッション鍵が第2の鍵情報に従って生成された後、受信モジュール31は更に、エンローリによって送信された第2の要求メッセージを受信するように構成されており、第2の要求メッセージはセッション鍵によって暗号化される。送信モジュール32は更に、第2の要求メッセージに対応する第2の応答メッセージをエンローリに送信するように構成されており、第2の応答メッセージはセッション鍵によって暗号化される。受信モジュール31は更に、エンローリによって送信された第2の確認メッセージを受信するように構成されており、第2の確認メッセージはセッション鍵によって暗号化される。
【0237】
[00314] 図12に示される装置は、図1から図3に示される前述の実施形態においてコンフィギュレータによって実施されるステップを実施することができる。本実施形態において詳細に説明されない部分については、前述の実施形態の関係する説明を参照することができ、再度の説明はしない。
【0238】
[00315] ある可能な設計においては、上記の図12に示される鍵を生成するための装置の構造はコンフィギュレータとして実装され得る。図13に示されるように、コンフィギュレータは、第2のプロセッサ41と、第2のメモリ42とを含み得る。第2のメモリ42は実行可能コードを記憶し、実行可能コードは、第2のプロセッサ41によって実行されるとき、少なくとも、図1から図3に示される前述の実施形態においてコンフィギュレータによって実施される種々のステップを第2のプロセッサ41に実施させる。
【0239】
[00316] コンフィギュレータの構造は更に、別のデバイス又は通信ネットワークと通信するように構成された第2の通信インターフェイス43を含み得る。
【0240】
[00317] また、本願の一実施形態においては非一時的機械可読記憶媒体が提供され、非一時的機械可読記憶媒体は実行可能コードを記憶し、実行可能コードは、コンフィギュレータのプロセッサによって実行されるとき、図1から図3に示される前述の実施形態においてコンフィギュレータによって実施される種々のステップをプロセッサに実施させる。
【0241】
[00318] 図14は、本願の一実施形態による端末プロビジョニング装置の概略的構造図である。端末プロビジョニング設定装置はエンローリに位置している。図14に示されるように、装置は、送信モジュール51と、受信モジュール52と、生成モジュール53とを含む。
【0242】
[00319] 送信モジュール51は第1の要求メッセージをコンフィギュレータに送信するように構成されており、第1の要求メッセージは第1の識別子を含み、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる。
【0243】
[00320] 受信モジュール52はコンフィギュレータによって送信された第1のメッセージを受信するように構成されており、第1のメッセージは第1の鍵情報を含む。
【0244】
[00321] 生成モジュール53は第1の鍵情報に従ってセッション鍵を生成するように構成されている。
【0245】
[00322] 送信モジュール51は更に、第2のメッセージをコンフィギュレータに送信するように構成されており、第2のメッセージは第2の鍵情報を含み、これによりコンフィギュレータが第2の鍵情報に従ってセッション鍵を生成することを可能し、セッション鍵はエンローリに対して実施されるネットワーク再設定プロセスにおいて用いられる。
【0246】
[00323] 任意選択的には、第1のメッセージは、第1の要求メッセージに対応する第1の応答メッセージである。
【0247】
[00324] 任意選択的には、第2のメッセージは、第1の応答メッセージに対応する第1の確認メッセージである。
【0248】
[00325] 任意選択的には、第1の要求メッセージがコンフィギュレータに送信された後、受信モジュール52は更に、第1の要求メッセージに対応する、コンフィギュレータによって送信された第1の応答メッセージを受信するように構成されており、第1の応答メッセージはアクセスポイントの第1のネットワーク設定情報を含む。
【0249】
[00326] 任意選択的には、送信モジュール51は更に、接続状態照会結果メッセージをコンフィギュレータに送信するように構成されており、第2のメッセージは接続状態照会結果メッセージである。
【0250】
[00327] 任意選択的には、接続状態照会結果メッセージがコンフィギュレータに送信された後、受信モジュール52は更に、コンフィギュレータによって送信された通知メッセージを受信するように構成されており、通知メッセージはエンローリにネットワーク再設定プロセスを始めさせるために用いられ、第1のメッセージは通知メッセージである。
【0251】
[00328] 任意選択的には、送信モジュール51は更に、第2の要求メッセージをコンフィギュレータに送信するように構成されており、第2の要求メッセージはセッション鍵によって暗号化される。受信モジュール52は更に、第2の要求メッセージに対応する、コンフィギュレータによって送信された第2の応答メッセージを受信するように構成されており、第2の応答メッセージはアクセスポイントの第2のネットワーク設定情報を含み、第2の応答メッセージはセッション鍵によって暗号化される。送信モジュール51は更に、第2の確認メッセージをコンフィギュレータに送信するように構成されており、第2の確認メッセージはセッション鍵によって暗号化される。
【0252】
[00329] 図14に示される装置は、図4から図7に示される前述の実施形態においてエンローリによって実施されるステップを実施することができる。本実施形態において詳細に説明されない部分については、前述の実施形態の関係する説明を参照することができ、再度の説明はしない。
【0253】
[00330] ある可能な設計においては、図14に示される端末プロビジョニング装置の構造はエンローリとして実装され得る。図15に示されるように、エンローリは、第3のプロセッサ61と、第3のメモリ62とを含み得る。ここで、第3のメモリ62は実行可能コードを記憶し、実行可能コードは、第3のプロセッサ61によって実行されるとき、少なくとも、図4から図7に示される前述の実施形態においてエンローリによって実施される種々のステップを第3のプロセッサ61に実施させる。
【0254】
[00331] ここで、エンローリの構造は更に、別のデバイス又は通信ネットワークと通信するように構成された第3の通信インターフェイス63を含み得る。
【0255】
[00332] また、本願の一実施形態においては非一時的機械可読記憶媒体が提供され、非一時的機械可読記憶媒体は実行可能コードを記憶し、実行可能コードは、エンローリのプロセッサによって実行されるとき、図4から図7に示される前述の実施形態においてエンローリによって実施される種々のステップをプロセッサに実施させる。
【0256】
[00333] 図16は、本願の一実施形態によるエンローリに位置する別の端末プロビジョニング装置の概略的構造図である。図16に示されるように、装置は、受信モジュール71と、送信モジュール72と、生成モジュール73とを含む。
【0257】
[00334] 受信モジュール71はエンローリによって送信された第1の要求メッセージを受信するように構成されており、第1の要求メッセージは第1の識別子を備え、第1の識別子はコンフィギュレータにネットワーク再設定動作を実施するように命令するために用いられる。
【0258】
[00335] 送信モジュール72は第1の識別子に従って第1のメッセージをエンローリに送信するように構成されており、第1のメッセージは第1の鍵情報を備え、これによりエンローリが第1の鍵情報に従ってセッション鍵を生成することを可能にする。
【0259】
[00336] 受信モジュール71は更に、エンローリによって送信された第2のメッセージを受信するように構成されており、第2のメッセージは第2の鍵情報を含む。
【0260】
[00337] 生成モジュール73は第2の鍵情報に従ってセッション鍵を生成するように構成されており、セッション鍵はエンローリに対して実施されるネットワーク再設定プロセスにおいて用いられる。
【0261】
[00338] 任意選択的には、第1のメッセージは、第1の要求メッセージに対応する第1の応答メッセージである。
【0262】
[00339] 任意選択的には、第2のメッセージは、第1の応答メッセージに対応する第1の確認メッセージである。
【0263】
[00340] 任意選択的には、送信モジュール72は更に、第1の要求メッセージに対応する第1の応答メッセージをエンローリに送信するように構成されており、第1の応答メッセージはアクセスポイントの第1のネットワーク設定情報を含む。
【0264】
[00341] 任意選択的には、第1の要求メッセージに対応する第1の応答メッセージがエンローリに送信された後、受信モジュール71は更に、エンローリによって送信された接続状態照会結果メッセージを受信するように構成されており、第2のメッセージは接続状態照会結果メッセージである。送信モジュール72は更に、通知メッセージをエンローリに送信するように構成されており、通知メッセージはエンローリにネットワーク再設定プロセスを始めさせるために用いられ、第1のメッセージは通知メッセージである。
【0265】
[00342] 任意選択的には、受信モジュール71は更に、エンローリによって送信された第2の要求メッセージを受信するように構成されており、第2の要求メッセージはセッション鍵によって暗号化される。送信モジュール72は更に、第2の要求メッセージに対応する第2の応答メッセージをエンローリに送信するように構成されており、第2の応答メッセージはセッション鍵によって暗号化され、第2の応答メッセージはアクセスポイントの第2のネットワーク設定情報を含む。受信モジュール71は更に、エンローリによって送信された第2の確認メッセージを受信するように構成されており、第2の確認メッセージはセッション鍵によって暗号化される。
【0266】
[00343] 図16に示される装置は、図4から図7に示される前述の実施形態においてコンフィギュレータによって実施されるステップを実施することができる。本実施形態において詳細に説明されない部分については、前述の実施形態の関係する説明を参照することができ、再度の説明はしない。
【0267】
[00344] ある可能な設計においては、図16に示される端末プロビジョニング装置の構造はコンフィギュレータとして実装され得る。図17に示されるように、コンフィギュレータは、第4のプロセッサ81と、第4のメモリ82とを含み得る。ここで、第4のメモリ82は実行可能コードを記憶し、実行可能コードは、第4のプロセッサ81によって実行されるとき、少なくとも、図4から図7に示される前述の実施形態においてコンフィギュレータによって実施される種々のステップを第4のプロセッサ81に実施させる。
【0268】
[00345] ここで、コンフィギュレータの構造は更に、別のデバイス又は通信ネットワークと通信するように構成された第4の通信インターフェイス83を含み得る。
【0269】
[00346] また、本願の一実施形態においては非一時的機械可読記憶媒体が提供され、非一時的機械可読記憶媒体は実行可能コードを記憶し、実行可能コードは、コンフィギュレータのプロセッサによって実行されるとき、図4から図7に示される前述の実施形態においてコンフィギュレータによって実施される種々のステップをプロセッサに実施させる。
【0270】
[00347] 図18は、本願の一実施形態による鍵を生成するための別の装置の概略的構造図である。図18に示されるように、装置は、受信モジュール91と、生成モジュール92と、送信モジュール93とを含む。
【0271】
[00348] 受信モジュール91はコンフィギュレータによって送信された認証要求メッセージを受信するように構成されており、認証要求メッセージは第1の乱数情報及び第2の乱数情報を備える。
【0272】
[00349] 生成モジュール92は、第1の乱数情報と、第2の乱数情報と、エンローリに対応する第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成するように構成されている。
【0273】
[00350] 送信モジュール93は認証要求メッセージに対応する認証応答メッセージをコンフィギュレータに送信するように構成されており、認証応答メッセージは第3の乱数情報及び第4の乱数情報を備えており、これによりコンフィギュレータが、第1の乱数情報と、第2の乱数情報と、第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成することを可能にする。
【0274】
[00351] 任意選択的には、認証要求メッセージは第1の識別子を含み、第1の識別子はエンローリにネットワーク再設定を実施するためのセッション鍵を生成するように命令する。
【0275】
[00352] 任意選択的には、送信モジュール93は更に、第1の要求メッセージをコンフィギュレータに送信するように構成されており、第1の要求メッセージは第1のセッション鍵によって暗号化される。受信モジュール91は更に、第1の要求メッセージに対応する、コンフィギュレータによって送信された第1の応答メッセージを受信するように構成されており、第1の応答メッセージは第1のセッション鍵によって暗号化され、第1の応答メッセージはアクセスポイントの第1のネットワーク設定情報を含む。送信モジュール93は更に、第1の確認メッセージをコンフィギュレータに送信するように構成されており、第1の確認メッセージは第1のセッション鍵によって暗号化される。
【0276】
[00353] 任意選択的には、送信モジュール93は更に、接続状態照会結果メッセージをコンフィギュレータに送信するように構成されており、接続状態照会結果メッセージは第1のセッション鍵によって暗号化される。
【0277】
[00354] 任意選択的には、受信モジュール91は更に、コンフィギュレータによって送信された通知メッセージを受信するように構成されており、通知メッセージはエンローリにネットワーク再設定プロセスを始めさせるために用いられ、通知メッセージは第2のセッション鍵によって暗号化される。
【0278】
[00355] ここで、任意選択的には、通知メッセージは第2の識別子を含み、第2の識別子はエンローリにネットワーク再設定プロセスを始めるように命令するために用いられる。
【0279】
[00356] 任意選択的には、コンフィギュレータによって送信された通知メッセージが受信された後、送信モジュール93は更に、第2の要求メッセージをコンフィギュレータに送信するように構成されており、第2の要求メッセージは第2のセッション鍵によって暗号化される。受信モジュール91は更に、第2の要求メッセージに対応する、コンフィギュレータによって送信された第2の応答メッセージを受信するように構成されており、第2の応答メッセージは第2のセッション鍵によって暗号化され、第2の応答メッセージはアクセスポイントの第2のネットワーク設定情報を含む。送信モジュール93は更に、第2の確認メッセージをコンフィギュレータに送信するように構成されており、第2の確認メッセージは第2のセッション鍵によって暗号化される。
【0280】
[00357] 図18に示される装置は、図8から図9に示される実施形態においてエンローリによって実施されるステップを実施することができる。本実施形態において詳細に説明されない部分については、前述の実施形態の関係する説明を参照することができ、再度の説明はしない。
【0281】
[00358] ある可能な設計においては、上記の図18に示される鍵を生成するための装置の構造はエンローリとして実装され得る。図19に示されるように、エンローリは、第5のプロセッサ191と、第5のメモリ192とを含み得る。ここで、第5のメモリ192は実行可能コードを記憶し、実行可能コードは、第5のプロセッサ191によって実行されるとき、少なくとも、図8から図9に示される前述の実施形態においてエンローリによって実施される種々のステップを第5のプロセッサ191に実施させる。
【0282】
[00359] ここで、エンローリの構造は更に、別のデバイス又は通信ネットワークと通信するように構成された第5の通信インターフェイス193を含み得る。
【0283】
[00360] また、本願の一実施形態においては非一時的機械可読記憶媒体が提供され、非一時的機械可読記憶媒体は実行可能コードを記憶し、実行可能コードは、エンローリのプロセッサによって実行されるとき、図8から図9に示される前述の実施形態においてエンローリによって実施される種々のステップをプロセッサに実施させる。
【0284】
[00361] 図20は、本願の一実施形態による鍵を生成するための別の装置の概略的構造図である。図20に示されるように、装置は、送信モジュール2001と、受信モジュール2002と、生成モジュール2003とを含む。
【0285】
[00362] 送信モジュール2001は認証要求メッセージをエンローリに送信するように構成されており、認証要求メッセージは第1の乱数情報及び第2の乱数情報を含み、これによりエンローリが、第1の乱数情報と、第2の乱数情報と、エンローリに対応する第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成することを可能にする。
【0286】
[00363] 受信モジュール2002は、認証要求メッセージに対応する、エンローリによって送信された認証応答メッセージを受信するように構成されており、認証応答メッセージは第3の乱数情報及び第4の乱数情報を含む。
【0287】
[00364] 生成モジュール2003は、第1の乱数情報と、第2の乱数情報と、第3の乱数情報及び第4の乱数情報とに従って、第1のセッション鍵及び第2のセッション鍵を生成するように構成されている。
【0288】
[00365] 任意選択的には、認証要求メッセージは第1の識別子を含み、第1の識別子はエンローリにネットワーク再設定を実施するためのセッション鍵を生成するように命令する。
【0289】
[00366] 任意選択的には、受信モジュール2002は更に、エンローリによって送信された第1の要求メッセージを受信するように構成されており、第1の要求メッセージは第1のセッション鍵によって暗号化される。送信モジュール2001は更に、第1の要求メッセージに対応する第1の応答メッセージをエンローリに送信するように構成されており、第1の応答メッセージは第1のセッション鍵によって暗号化され、第1の応答メッセージはアクセスポイントの第1のネットワーク設定情報を含む。受信モジュール2002は更に、エンローリによって送信された第1の確認メッセージを受信するように構成されており、第1の確認メッセージは第1のセッション鍵によって暗号化される。
【0290】
[00367] 任意選択的には、第1の要求メッセージに対応する第1の応答メッセージがエンローリに送信された後、受信モジュール2002は更に、コンフィギュレータによって、エンローリによって送信された接続状態照会結果メッセージを受信するように構成されており、接続状態照会結果メッセージは第1のセッション鍵によって暗号化される。
【0291】
[00368] 任意選択的には、送信モジュール2001は更に、通知メッセージをエンローリに送信するように構成されており、通知メッセージはエンローリにネットワーク再設定プロセスを始めさせるために用いられ、通知メッセージは第2のセッション鍵によって暗号化される。
【0292】
[00369] ここで、任意選択的には、通知メッセージは第2の識別子を含み、第2の識別子はエンローリにネットワーク再設定プロセスを始めるように命令するために用いられる。
【0293】
[00370] 任意選択的には、通知メッセージが送信された後、受信モジュール2002は更に、コンフィギュレータによって、エンローリによって送信された第2の要求メッセージを受信するように構成されており、第2の要求メッセージは第2のセッション鍵によって暗号化される。送信モジュール2001は更に、第2の要求メッセージに対応する第2の応答メッセージをエンローリに送信するように構成されており、第2の応答メッセージは第2のセッション鍵によって暗号化され、第2の応答メッセージはアクセスポイントの第2のネットワーク設定情報を含む。受信モジュール2002は更に、エンローリによって送信された第2の確認メッセージを受信するように構成されており、第2の確認メッセージは第2のセッション鍵によって暗号化される。
【0294】
[00371] 図20に示される装置は、図8から図9に示される前述の実施形態においてコンフィギュレータによって実施されるステップを実施することができる。本実施形態において詳細に説明されない部分については、前述の実施形態の関係する説明を参照することができ、再度の説明はしない。
【0295】
[00372] ある可能な設計においては、上記の図20に示される鍵を生成するための装置の構造はコンフィギュレータとして実装され得る。図21に示されるように、コンフィギュレータは、第6のプロセッサ2101と、第6のメモリ2102とを含み得る。ここで、第6のメモリ2102は実行可能コードを記憶し、実行可能コードは、第6のプロセッサ2101によって実行されるとき、少なくとも、図8から図9に示される前述の実施形態においてコンフィギュレータによって実施される種々のステップを第6のプロセッサ2101に実施させる。
【0296】
[00373] ここで、コンフィギュレータの構造は更に、別のデバイス又は通信ネットワークと通信するように構成された第6の通信インターフェイス2103を含み得る。
【0297】
[00374] また、本願の一実施形態においては非一時的機械可読記憶媒体が提供され、非一時的機械可読記憶媒体は実行可能コードを記憶し、実行可能コードは、コンフィギュレータのプロセッサによって実行されるとき、図8から図9に示される前述の実施形態においてコンフィギュレータによって実施される種々のステップをプロセッサに実施させる。
【0298】
[00375] 上記で説明した装置の実施形態は例示的なものに過ぎず、別々の構成要素として説明されたユニットは物理的に分離していてもよいし又は分離していなくてもよい。いくつかの又は全てのモジュールは、実際の必要に従って、実施形態によって提供される技術的解決策の目的を実現するように選択され得る。当業者は、発明的努力なしに、その技術的解決策を理解し実装することができる。
【0299】
[00376] 上記の実装形態の説明から、当業者は、これらの実装形態が必要な汎用ハードウェアプラットフォームによって実装され得ること、及びハードウェアとソフトウェアとの組み合わせによって確実に実装され得ることを明確に理解することができる。そのような理解に基づき、技術的解決策は本質的に、又は従来技術に寄与する部分が、コンピュータ製品の形で具現化され得る。本願は、コンピュータ使用可能なプログラムコードを備える(磁気ディスクメモリ、CD-ROM、光学メモリなどを含むがこれらに限定されない)1つ又は複数のコンピュータ使用可能な記憶媒体上で実装されたコンピュータプログラム製品の形を用い得る。
【0300】
[00377] 本願の実施形態において提供されるネットワーク設定方法は、1つ又は複数のプログラム/ソフトウェアによって実施され得る。プログラム/ソフトウェアはネットワーク側によって提供され得る。前述の実施形態において言及されたコンフィギュレータ及びエンローリは、必要とされる対応するプログラム/ソフトウェアを、ローカル不揮発性記憶装置媒体にダウンロードし得る。また、鍵を生成するための方法及び端末プロビジョニング方法が実施される必要があるときには、プログラム/ソフトウェアはCPUを通じてメモリに読み込まれ、その後CPUがプログラム/ソフトウェアを実行して、前述の実施形態において提供される鍵を生成するための方法及び端末プロビジョニング方法を実装する。実行プロセスについては、図1から図9の概略図を参照することができる。
【0301】
[00378] 最後に、上記の実施形態は、単に本願の技術的解決策を例証するために用いられるのであって、これらの技術的解決策に限定されないことに留意されたい。本願は前述の実施形態を参照して詳細に説明されるが、当業者は、前述の実施形態に記録された技術的解決策は依然として変更可能であること、又はその技術的特徴の一部は等価的に置換されてもよいことを理解すべきである。もっとも、こうした変更又は置換は、対応する技術的解決策の本質を本願の実施形態の技術的解決策の精神及び範囲から逸脱させるものではない。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【手続補正書】
【提出日】2022-04-13
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
エンローリをコンフィギュレータによってプロビジョニングするための方法であって、前記エンローリによって、第1の要求メッセージを前記コンフィギュレータに送信することであって、前記第1の要求メッセージは第1の識別子を備え、前記第1の識別子は前記エンローリのネットワーク再設定能力を示す、送信することと、
前記エンローリによって前記コンフィギュレータから、前記第1の要求メッセージに対応する第1の応答メッセージを受信することであって、前記第1の応答メッセージは第1の鍵情報を備える、受信することと、
前記エンローリによって、前記第1の鍵情報に従ってセッション鍵を生成することと、
前記エンローリによって前記コンフィギュレータに、前記第1の応答メッセージに対応する第1の確認メッセージを送信することであって、前記第1の確認メッセージは第2の鍵情報を備え、それによって前記コンフィギュレータが前記第2の鍵情報に従って前記セッション鍵を生成することを可能にし、前記セッション鍵は前記コンフィギュレータによって前記エンローリに対して実施されるネットワーク再設定プロセスにおいて用いられる、送信することと、
を備える、方法。
【請求項2】
前記第1の応答メッセージはアクセスポイントの第1のネットワーク設定情報を備える、請求項1に記載の方法。
【請求項3】
前記エンローリによって、接続状態照会結果メッセージを前記コンフィギュレータに送信することと、前記エンローリによって前記コンフィギュレータから、通知メッセージを受信することと、
前記通知メッセージに応答して、ネットワーク再設定プロセスを始めることと、
を更に備える、請求項2に記載の方法。
【請求項4】
前記エンローリによって、第2の要求メッセージを前記コンフィギュレータに送信することであって、前記第2の要求メッセージは前記セッション鍵によって暗号化される、送信することと、前記エンローリによって前記コンフィギュレータから、前記第2の要求メッセージに対応する第2の応答メッセージを受信することであって、前記第2の応答メッセージは前記アクセスポイントの第2のネットワーク設定情報を備え、前記第2の応答メッセージは前記セッション鍵によって暗号化される、受信することと、
を更に備える、請求項2に記載の方法。
【請求項5】
前記エンローリによって前記コンフィギュレータに、前記第2の応答メッセージに対応する第2の確認メッセージを送信することであって、前記第2の確認メッセージは前記セッション鍵によって暗号化される、送信することを更に備える、請求項4に記載の方法。
【請求項6】
エンローリをコンフィギュレータによってプロビジョニングするための端末プロビジョニング方法であって、コンフィギュレータによって、エンローリによって送信された第1の要求メッセージを受信することであって、前記第1の要求メッセージは第1の識別子を備え、前記第1の識別子は前記エンローリのネットワーク再設定能力を示す、受信することと、
前記コンフィギュレータによって前記エンローリに、前記第1の要求メッセージに対応する第1の応答メッセージを送信することであって、前記第1の応答メッセージは第1の鍵情報を備え、それによって前記エンローリが前記第1の鍵情報に従ってセッション鍵を生成することを可能にする、送信することと、
前記コンフィギュレータによって前記エンローリから、前記第1の応答メッセージに対応する第1の確認メッセージを受信することであって、前記第1の確認メッセージは第2の鍵情報を備える、受信することと、
前記コンフィギュレータによって、前記第2の鍵情報に従って前記セッション鍵を生成することであって、前記セッション鍵は前記コンフィギュレータによって前記エンローリに対して実施されるネットワーク再設定プロセスにおいて用いられる、生成することと、
を備える、端末プロビジョニング方法。
【請求項7】
前記第1の応答メッセージはアクセスポイントの第1のネットワーク設定情報を備える、請求項6に記載の方法。
【請求項8】
前記コンフィギュレータによって、前記エンローリによって送信された接続状態照会結果メッセージを受信することと、前記エンローリにネットワーク再設定プロセスを始めさせるために、前記コンフィギュレータによって、通知メッセージを前記エンローリに送信することと、
を更に備える、請求項7に記載の方法。
【請求項9】
前記コンフィギュレータによって、前記エンローリによって送信された第2の要求メッセージを受信することであって、前記第2の要求メッセージは前記セッション鍵によって暗号化される、受信することと、前記コンフィギュレータによって、前記第2の要求メッセージに対応する第2の応答メッセージを前記エンローリに送信することであって、前記第2の応答メッセージは前記セッション鍵によって暗号化され、前記第2の応答メッセージは前記アクセスポイントの第2のネットワーク設定情報を備える、送信することと、
を更に備える、請求項7に記載の方法。
【請求項10】
前記コンフィギュレータによって前記エンローリから、前記第2の応答メッセージに対応する第2の確認メッセージを受信することであって、前記第2の確認メッセージは前記セッション鍵によって暗号化される、受信することを更に備える、請求項9に記載の方法。
【請求項11】
第1のネットワークデバイスを第2のネットワークデバイスによってプロビジョニングするための方法であって、前記第1のネットワークデバイスによって、第1及び第2のセッション鍵を生成することと、
前記第1のネットワークデバイスによって前記第2のネットワークデバイスから、アクセスポイントの第1のネットワーク設定情報を受信することであって、前記第1のネットワーク設定情報は前記第1のセッション鍵によって暗号化される、受信することと、
前記第1のネットワークデバイスによって、前記第1のネットワーク設定情報に基づいて前記アクセスポイントにアクセスすることと、
前記第1のネットワークデバイスによって前記第2のネットワークデバイスに、前記第1のネットワークデバイスと前記アクセスポイントとの間の接続状態を示すメッセージを送信することと、
前記第1のネットワークデバイスによって前記第2のネットワークデバイスから、前記アクセスポイントの第2のネットワーク設定情報を受信することであって、前記第2のネットワーク設定情報は前記第2のセッション鍵によって暗号化され、これにより前記第1のネットワークデバイスに対して実施されるネットワーク再設定プロセスを容易にする、受信することと、
を備える、方法。
【請求項12】
前記第1及び第2のセッション鍵を生成することは、前記第1のネットワークデバイスによって前記第2のネットワークデバイスから、認証要求メッセージを受信することであって、前記認証要求メッセージは第1の乱数情報及び第2の乱数情報を備える、受信することと、
前記第1のネットワークデバイスによって、前記第1の乱数情報と、前記第2の乱数情報と、前記第1のネットワークデバイスに対応する第3の乱数情報及び第4の乱数情報とに従って、前記第1のセッション鍵及び前記第2のセッション鍵を生成することと、
を備える、請求項11に記載の方法。
【請求項13】
前記第1のネットワークデバイスによって前記第2のネットワークデバイスに、前記認証要求メッセージに対応する認証応答メッセージを送信することであって、前記認証応答メッセージは前記第3の乱数情報及び前記第4の乱数情報を備えており、これにより前記第2のネットワークデバイスが、前記第1の乱数情報と、前記第2の乱数情報と、前記第3の乱数情報及び前記第4の乱数情報とに従って、前記第1のセッション鍵及び前記第2のセッション鍵を生成することを可能にする、送信することを更に備える、請求項12に記載の方法。
【請求項14】
前記アクセスポイントにアクセスすることは、前記第1のセッション鍵を用いて前記第1のネットワーク設定情報を復号化することを更に備える、請求項11に記載の方法。
【請求項15】
前記アクセスポイントに再アクセスするために前記第2のセッション鍵を用いて前記第2のネットワーク設定情報を復号化することを更に備える、請求項11に記載の方法。
【請求項16】
メモリと、プロセッサと、
を備えるコンピュータシステムであって、前記メモリは実行可能コードを記憶し、前記実行可能コードは、前記プロセッサによって実行されるとき、第1のネットワークデバイスを第2のネットワークデバイスによってプロビジョニングするための方法を前記プロセッサに実施させ、前記方法は、
前記第1のネットワークデバイスによって、第1及び第2のセッション鍵を生成することと、
前記第1のネットワークデバイスによって前記第2のネットワークデバイスから、アクセスポイントの第1のネットワーク設定情報を受信することであって、前記第1のネットワーク設定情報は前記第1のセッション鍵によって暗号化される、受信することと、
前記第1のネットワークデバイスによって、前記第1のネットワーク設定情報に基づいて前記アクセスポイントにアクセスすることと、
前記第1のネットワークデバイスによって前記第2のネットワークデバイスに、前記第1のネットワークデバイスと前記アクセスポイントとの間の接続状態を示すメッセージを送信することと、
前記第1のネットワークデバイスによって前記第2のネットワークデバイスから、前記アクセスポイントの第2のネットワーク設定情報を受信することであって、前記第2のネットワーク設定情報は前記第2のセッション鍵によって暗号化され、これにより前記第1のネットワークデバイスに対して実施されるネットワーク再設定プロセスを容易にする、受信することと、
を備える、コンピュータシステム。
【請求項17】
前記第1及び第2のセッション鍵を生成することは、前記第1のネットワークデバイスによって前記第2のネットワークデバイスから、認証要求メッセージを受信することであって、前記認証要求メッセージは第1の乱数情報及び第2の乱数情報を備える、受信することと、
前記第1のネットワークデバイスによって、前記第1の乱数情報と、前記第2の乱数情報と、前記第1のネットワークデバイスに対応する第3の乱数情報及び第4の乱数情報とに従って、前記第1のセッション鍵及び前記第2のセッション鍵を生成することと、
を備える、請求項16のコンピュータシステム。
【請求項18】
前記方法は、前記第1のネットワークデバイスによって前記第2のネットワークデバイスに、前記認証要求メッセージに対応する認証応答メッセージを送信することであって、前記認証応答メッセージは前記第3の乱数情報及び前記第4の乱数情報を備えており、これにより前記第2のネットワークデバイスが、前記第1の乱数情報と、前記第2の乱数情報と、前記第3の乱数情報及び前記第4の乱数情報とに従って、前記第1のセッション鍵及び前記第2のセッション鍵を生成することを可能にする、送信すること
を更に備える、請求項17のコンピュータシステム。
【請求項19】
前記アクセスポイントにアクセスすることは、前記第1のセッション鍵を用いて前記第1のネットワーク設定情報を復号化することを更に備える、請求項16のコンピュータシステム。
【請求項20】
前記方法は、前記アクセスポイントに再アクセスするために前記第2のセッション鍵を用いて前記第2のネットワーク設定情報を復号化することを更に備える、請求項16のコンピュータシステム。
【国際調査報告】