用于设备预配的方法和装置
文献发布时间:2023-06-19 19:00:17
技术领域
各种示例实施例涉及用于设备预配(device provision)的方法和装置。
背景技术
可基于设备预配协议(DPP)启用友好的Wi-Fi设置,例如,设备预配协议也可保持或提高Wi-Fi技术的增长和持续渗透的安全级别。
发明内容
在第一方面,公开了一种方法,其包括确定用于设备预配的交易数据,并将交易数据发送到去中心化台账(ledger)系统。
在一些示例实施例中,交易数据可包括自举(bootstrap)信息。在一些示例实施例中,该方法还可包括从去中心化台账系统接收用于验证自举信息的注册者的身份的请求、确定用于身份验证的签名,以及将签名发送到去中心化台账系统。
在一些示例实施例中,交易数据可包括对至少一个认证请求的认证响应。在一些示例实施例中,该方法还可包括从去中心化台账系统接收至少一个认证请求,以及在发送所述交易数据之后从去中心式台账系统接收认证确认。
在一些示例实施例中,交易数据可包括配置请求。在一些示例实施例中,该方法还可包括从去中心化台账系统接收对配置请求的配置响应。
在一些示例性实施例中,去中心化台账系统可包括区块链网络、IOTA等中的至少一个。在一些示例实施例中,与去中心化台账系统的至少一次通信可基于掩码认证消息(Masked Authenticated Messaging)。
在一些示例实施例中,与去中心化台账系统的至少一次通信可经由部署在去中心化台账系统中的至少一个智能合约(smart contract)和/或自动化部署在去中心化台账系统中的至少一个智能合约。
在一些示例性实施例中,交易数据可在验证用于去中心化账本系统中的设备预配的至少一个直接或间接批准的交易数据有效之后批准去中心化台账系统中的至少两个尖部(tip)位点。
在第二方面,公开了一种设备。该设备可被配置为至少执行第一方面中的方法。例如,该设备的配置可包括用于确定用于设备预配的交易数据的装置、以及用于将交易数据发送到去中心化台账系统的装置。
在一些示例实施例中,交易数据可包括自举信息。在一些示例实施例中,该设备还可包括用于从去中心化台账系统接收用于验证自举信息的注册者的身份的请求的装置、用于确定用于身份验证的签名的装置以及用于将签名发送到去中心化台账系统的装置。
在一些示例实施例中,交易数据可包括对至少一个认证请求的认证响应。在一些示例实施例中,该设备还可包括用于从去中心化台账系统接收至少一个认证请求的装置、以及用于在发送交易数据之后从去中心化台账系统接收认证确认的装置。
在一些示例实施例中,交易数据可包括配置请求。在一些示例实施例中,该设备还可包括用于从去中心化台账系统接收对配置请求的配置响应的装置。
在一些示例实施例中,去中心化台账系统可包括区块链网络、IOTA等中的至少一个。在一些示例实施例中,与去中心化台账系统的至少一次通信可基于掩码认证消息。
在一些示例实施例中,与去中心化台账系统的至少一次通信可经由部署在去中心化台账系统中的至少一个智能合约和/或自动化部署在去中心化台账系统中的至少一个智能合约。
在一些示例性实施例中,交易数据可在验证用于去中心化账本系统中的设备预配的至少一个直接或间接批准的交易数据有效之后批准去中心化台账系统中的至少两个尖部位点。
在第三方面,公开了一种包括至少一个处理器和至少一个存储器的装置。所述至少一个存储器可包括计算机程序代码。所述至少一个存储器和所述计算机程序代码可被配置为利用所述至少一个处理器使所述装置至少执行所述第一方面中的方法。例如,所述至少一个存储器和所述计算机程序代码可被配置为,利用所述至少一个处理器,使所述装置执行至少:确定用于设备预配的交易数据,并将所述交易数据发送到去中心化台账系统。
在一些示例实施例中,交易数据可包括自举信息。在一些示例性实施例中,所述至少一个存储器和所述计算机程序代码可进一步被配置为利用所述至少一个处理器使所述装置执行从所述去中心化台账系统接收用于验证所述自举信息的注册者的身份的请求、确定用于所述身份验证的签名、并将签名发送到去中心化台账系统。
在一些示例实施例中,交易数据可包括对至少一个认证请求的认证响应。在一些示例性实施例中,所述至少一个存储器和所述计算机程序代码可进一步被配置为,利用所述至少一个处理器,使所述装置执行从所述去中心化台账系统接收至少一个认证请求、以及在发送所述交易数据之后从所述去中心化台账系统接收认证确认。
在一些示例实施例中,交易数据可能包括配置请求。在一些示例实施例中,所述至少一个存储器和计算机程序代码可进一步被配置为利用所述至少一个处理器使所述装置执行从所述去中心化台账系统接收对所述配置请求的配置响应。
在一些示例性实施例中,去中心化台账系统可包括区块链网络、IOTA等中的至少一个。在一些示例实施例中,与去中心化台账系统的至少一次通信可基于掩码认证消息。
在一些示例实施例中,与去中心化台账系统的至少一次通信可经由部署在去中心化台账系统中的至少一个智能合约和/或自动化部署在去中心化台账系统中的至少一个智能合约。
在一些示例实施例中,交交易数据可在验证用于去中心化账本系统中的设备预配的至少一个直接或间接批准的交易数据有效之后批准去中心化台账系统中的至少两个尖部位点。
在第四方面,公开了一种计算机可读介质。计算机可读介质可包括存储在其上的用于使装置执行第一方面中的方法的指令。例如,所述指令可使所述装置至少执行确定用于设备预配的交易数据、并将所述交易数据发送到去中心化台账系统。
在一些示例实施例中,交易数据可包括自举信息。在一些示例实施例中,所述指令还可使所述装置执行从所述去中心化台账系统接收用于验证所述自举信息的注册者的身份的请求、确定用于身份验证的签名以及将所述签名发送到所述去中心化台账系统。
在一些示例实施例中,交易数据可包括对至少一个认证请求的认证响应。在一些示例实施例中,所述指令还可使所述装置执行从所述去中心化台账系统接收所述至少一个认证请求、以及在发送所述交易数据之后从所述去中心化台账系统接收认证确认。
在一些示例实施例中,交易数据可包括配置请求。在一些示例实施例中,所述指令还可使所述装置执行从所述去中心化台账系统接收对所述配置请求的配置响应。
在一些示例实施例中,去中心化台账系统可包括区块链网络、IOTA等中的至少一个。在一些示例实施例中,与去中心化台账系统的至少一次通信可基于掩码认证消息。
在一些示例实施例中,与去中心化台账系统的至少一次通信可经由部署在去中心化台账系统中的至少一个智能合约和/或自动化部署在去中心化台账系统中的至少一个智能合约。
在一些示例实施例中,交易数据可在验证用于去中心化账本系统中的设备预配的至少一个直接或间接批准的交易数据有效之后批准去中心化台账系统中的至少两个尖部位点。
在第五方面,公开了一种方法,其包括从去中心化台账系统接收用于设备预配的交易数据。
在一些示例实施例中,交易数据可包括自举信息。在一些示例实施例中,该方法还可包括向去中心化台账系统发送用于验证自举信息的注册者的身份的请求、从去中心化台账系统接收对该请求的响应、以及基于自举信息和响应中的信息来确定注册者的身份。
在一些示例实施例中,交易数据可包括对至少一个认证请求的认证响应。在一些示例实施例中,该方法还可包括将至少一个认证请求发送到去中心化台账系统、以及在接收到交易数据之后将认证确认发送到去中心化台账系统。
在一些示例实施例中,交易数据可包括配置请求。在一些示例实施例中,该方法还可包括将对配置请求的配置响应发送到去中心化台账系统。
在一些示例实施例中,去中心化台账系统可包括区块链网络、IOTA等中的至少一个。在一些示例实施例中,与去中心化台账系统的至少一次通信可基于掩码认证消息。
在一些示例实施例中,与去中心化台账系统的至少一次通信可经由部署在去中心化台账系统中的至少一个智能合约和/或自动化部署在去中心化台账系统中的至少一个智能合约。
在一些示例实施例中,交易数据可在验证用于去中心化账本系统中的设备预配的至少一个直接或间接批准的交易数据有效之后批准去中心化台账系统中的至少两个尖部位点。
在一些示例实施例中,该方法还可包括通过带外机制(out-of-band mechanism)获得注册者的标识符,以基于所获得的标识符从去中心化台账系统接收用于设备预配的交易数据。
在第六方面,公开了一种设备。该设备可被配置为至少执行第五方面中的方法。例如,该设备可包括用于从去中心化台账系统接收用于设备预配的交易数据的装置。
在一些示例实施例中,交易数据可包括自举信息。在一些示例实施例中,该设备还可包括用于向去中心化台账系统发送用于验证自举信息的注册者的身份的请求的装置、用于从去中心化台账系统接收对该请求的响应的装置、以及用于基于所述自举信息和所述响应中的信息来确定所述注册者的身份的装置。
在一些示例实施例中,交易数据可包括对至少一个认证请求的认证响应。在一些示例实施例中,该设备还可包括用于将至少一个认证请求发送到去中心化台账系统的装置、以及用于在接收到交易数据之后将认证确认发送给去中心化台账系统的装置。
在一些示例实施例中,交易数据可包括配置请求。在一些示例实施例中,该装置还可包括用于向去中心化台账系统发送对配置请求的配置响应的装置。
在一些示例实施例中,去中心化台账系统可包括区块链网络、IOTA等中的至少一个。在一些示例实施例中,与去中心化台账系统的至少一次通信可基于掩码认证消息。
在一些示例实施例中,与去中心化台账系统的至少一次通信可经由部署在去中心化台账系统中的至少一个智能合约和/或自动化部署在去中心化台账系统中的至少一个智能合约。
在一些示例实施例中,交易数据可在验证用于去中心化账本系统中的设备预配的至少一个直接或间接批准的交易数据有效之后批准去中心化台账系统中的至少两个尖部位点。
在一些示例实施例中,该装置还可包括用于通过带外机制获得注册者的标识符,以基于所获得的标识符从去中心化台账系统接收用于设备预配的交易数据的装置。
在第七方面,公开了一种包括至少一个处理器和至少一个存储器的装置。所述至少一个存储器可包括计算机程序代码。所述至少一个存储器和所述计算机程序代码可被配置为利用所述至少一个处理器使所述设备至少执行第五方面中的方法。例如,所述至少一个存储器和所述计算机程序代码可被配置为,利用所述至少一个处理器,使所述装置执行至少从去中心化台账系统接收用于设备预配的交易数据。
在一些示例实施例中,交易数据可包括自举信息。在一些示例实施例中,所述至少一个存储器和所述计算机程序代码可进一步被配置为利用所述至少一个处理器使所述装置执行向所述去中心化台账系统发送用于验证所述自举信息的注册者的身份的请求、从所述去中心化台账系统接收对所述请求的响应、以及基于自举信息和响应中的信息来确定注册者的身份。
在一些示例实施例中,交易数据可包括对至少一个认证请求的认证响应。在一些示例实施例中,所述至少一个存储器和所述计算机程序代码可进一步被配置为,利用所述至少一个处理器,使所述装置执行向所述去中心化台账系统发送所述至少一个认证请求、以及在接收到所述交易数据之后向所述去中心化台账系统发送认证确认。
在一些示例实施例中,交易数据可包括配置请求。在一些示例实施例中,所述至少一个存储器和计算机程序代码可进一步被配置为利用所述至少一个处理器使所述装置执行向所述去中心化台账系统发送对所述配置请求的配置响应。
在一些示例实施例中,去中心化台账系统可包括区块链网络、IOTA等中的至少一个。在一些示例实施例中,与去中心化台账系统的至少一次通信可基于掩码认证消息。
在一些示例实施例中,与去中心化台账系统的至少一次通信可经由部署在去中心化台账系统中的至少一个智能合约和/或自动化部署在去中心化台账系统中的所述至少一个智能合约。
在一些示例实施例中,交易数据可在验证用于去中心化账本系统中的设备预配的至少一个直接或间接批准的交易数据有效之后批准去中心化台账系统中的至少两个尖部位点。
在一些示例实施例中,所述至少一个存储器和计算机程序代码可进一步配置为,利用所述至少一个处理器,使所述设备执行通过带外机制获得注册者的标识符,以基于所获得的标识符从所述去中心化台账系统接收用于设备预配的交易数据。
在第八方面,公开了一种计算机可读介质。计算机可读介质可包括存储在其上的用于使装置执行第五方面中的方法的指令。例如,所述指令可使所述装置至少执行从去中心化台账系统接收用于设备预配的交易数据。
在一些示例实施例中,交易数据可包括自举信息。在一些示例实施例中,所述指令可进一步使所述装置执行向所述去中心化台账系统发送用于验证所述自举信息的注册者的身份的请求、从所述去中心化台账系统接收对所述请求的响应、以及基于自举信息和响应中的信息来确定注册者的身份。
在一些示例实施例中,交易数据可包括对至少一个认证请求的认证响应。在一些示例实施例中,所述指令可进一步使得所述设备执行向所述去中心化台账系统发送所述至少一个认证请求、以及在接收到所述交易数据之后向所述去中心化台账系统发送认证确认。
在一些示例实施例中,交易数据可包括配置请求。在一些示例实施例中,所述指令还可使所述装置执行向所述去中心化台账系统发送对所述配置请求的配置响应。
在一些示例实施例中,去中心化台账系统可包括区块链网络、IOTA等中的至少一个。在一些示例实施例中与去中心化台账系统的至少一次通信可基于掩码认证消息。
在一些示例实施例中,与去中心化台账系统的至少一次通信可经由部署在去中心化台账系统中的至少一个智能合约和/或自动化部署在去中心化台账系统中的至少一个智能合约。
在一些示例实施例中,交易数据可在验证用于去中心化账本系统中的设备预配的至少一个直接或间接批准的交易数据有效之后批准去中心化台账系统中的至少两个尖部位点。
在一些示例实施例中,指令可进一步使装置执行通过带外机制获得注册者的标识符,以基于所获得的标识符从去中心化台账系统接收用于设备预配的交易数据。
附图说明
现在将参考附图,通过非限制性示例来描述一些示例实施例。
图1示出了DPP中的设备预配的示例。
图2示出了示例实施例中的设备预配的示例。
图3示出了示例实施例中用于设备预配的示例方法。
图4示出了示例实施例中用于设备预配的交易数据的示例。
图5示出了示例实施例中的去中心化台账系统的示例。
图6示出了示例实施例中的去中心化台账系统的示例。
图7示出了示例实施例中用于设备预配的示例方法。
图8示出了示例实施例中的自举的示例。
图9示出了示例实施例中用于设备预配的示例方法。
图10示出了示例实施例中的认证的示例。
图11示出了示例实施例中用于设备预配的示例方法。
图12示出了示例实施例中的认证的示例。
图13示出了示例实施例中用于设备预配的示例方法。
图14示出了示例实施例中用于设备预配的示例方法。
图15示出了示例实施例中用于设备预配的示例方法。
图16示出了示例实施例中用于设备预配的示例方法。
图17示出了示例实施例中的设备预配的示例。
图18示出了示例实施例中用于设备预配的示例装置。
图19示出了示例实施例中用于设备预配的示例设备。
图20示出了示例实施例中用于设备预配的示例设备。
图21示出了示例实施例中用于设备预配的示例设备。
具体实施方式
根据DPP,例如如图1中的单向虚线箭头所显示的,设备100(例如,移动设备或移动设备的逻辑实体)可注册和预配设备110(例如移动设备)和设备120(例如接入点)以在设备110和设备120之间建立设备到设备通信,如图1中的双向虚线箭头所示。
在DPP中,公钥可被用于识别和认证设备,且与公钥相关联的私钥可在相应设备内生成,并被保护免于泄露。对公钥的信任是对私钥只由呈现或响应于公钥的实体所知道的保证,公钥可通过自举获得。然后,例如,可通过公钥的哈希表检查密钥的真实性。
例如,设备100可通过使用带外(OOB)机制诸如快速响应(QR)码扫描、近场通信(NFC)抽头、标签串和蓝牙低能量(BLE)交换等,从设备110和设备120获得自举信息。来自设备110的自举信息(例如,包括在设备110的QR码中的信息)可包括来自设备110中的公钥,且来自设备120的自举消息(例如,包括在设备120的QR码内的信息)可包括来自设备120中的公钥。
然而,可能无法确保对公钥的信任以及由此各设备之间的安全通信。例如,编码公钥的QR码可例如作为装箱单的一部分附加到发送实体或伴随发送实体。该交换的子版本可包括通过将QR编码的公钥作为标签粘贴在发送实体的QR码标签的顶部,或者通过换上包含攻击者的QR编码公钥的装箱单,或者通过用恶意版本来替换扫描应用程序来将诚实发送实体的公钥替换为编码攻击者公钥的QR码。例如,对于DPP认证和预配,当攻击者看到公钥的哈希表并构造虚假的DPP认证请求帧以通过诱导设备执行Diffie-Hellman指数来响应DPP认证协议的发起来淹没设备(或本文中的响应方)时,服务攻击是可能的。
图2示出了示例实施例中的示例设备预配,其中在设备预配期间,设备100和要供应的设备(例如设备110、120等)之间的通信是经由去中心化台账系统200执行的。
在各种实施例中,可基于任何合适的技术,例如,基于区块链技术,来实现去中心化台账系统200。例如,去中心化台账系统200可以是区块链网络。在另一示例中,去中心化台账系统200可基于IOTA,IOTA是为物联网(IoT)设计的开源分布式账本和加密货币,以便实现更快和自由的实施方式。此外,例如,作为IOTA的扩展模块的掩码认证消息(MAM)可被用于各种设备之间的通信,从而例如,不同的运营商或设备组可通过使用不同的信道和/或侧密钥(side key)来隔离和加密/解密信息。
然后,例如,对于自举,设备110(或诸如设备120这样的其他设备)可向去中心化台账系统200发布或提供包括设备110的公钥的自举信息,以代替提供(例如,在某处粘贴)对其公钥进行编码的QR码的方式,并且设备100可访问去中心化台账系统200以获得设备110的自举信息,以代替扫描粘贴在某处的可能被篡改的QR码的方式。类似地,设备120还可向去中心化台账系统200发布其包括其公钥的自举信息,使得设备100可在自举期间从去中心化记账系统200获得设备120的自举数据。传递到去中心化台账系统200的信息可以是不可变的,从而可进一步确保对公钥的信任和各设备之间的安全通信。
如图2中所显示的,在一些实施例中,设备100、110和120中的一个或多个还可经由诸如图2中的网关210、220和230这样的一个或更多个中间设备来访问去中心化台账系统200。因此,例如,设备100、110和120中的一个或多个可以通过任何合适的通信协议与诸如网关210、220和230的一个或者多个中间设备通信,并且诸如网关210、220和230的一个或多个中间设备可将来自设备100、110和120中的一个或者多个的信息转发到去中心化台账系统200,并且还可以根据来自设备100、110和120的一个和多个的请求从去中心化的台账系统200获得信息。
在各种实施例中,图2中的设备100、110、120、210、220、230等可包括任何合适的设备,诸如接入点(AP)、基站(BS)、通信设备、用户设备(UE)、订户站(SS)、便携式订户站、移动站(MS)、接入终端(AT)等。例如,图2中的设备100、110、120、210、220、230等可包括但不限于节点B(NodeB或NB)、演进型NodeB(eNodeB或eNB)、NR NB(也称为gNB)、远程无线电单元(RRU)、无线电报头(RH)、远程无线报头(RRH)、中继、集成和接入回程(IAB)节点、低功率节点诸如毫微微节点、微微节点、非地面网络(NTN)或非地面网络设备诸如卫星网络设备、低地球轨道(LEO)卫星和地球同步轨道(GEO)卫星、飞行器网络设备、移动电话、蜂窝电话、智能电话、IP语音(VoIP)电话、无线本地环路电话、平板电脑、可穿戴终端设备、个人数字助理(PDA)、便携式计算机、台式计算机、图像捕获终端设备诸如数码相机、游戏终端设备、音乐存储和回放设备、车载无线终端设备、无线端点、移动站、膝上型嵌入式设备(LEE)、膝上安装设备(LME)、USB加密狗、智能设备、无线客户驻地设备(CPE)、物联网(loT)设备、手表或其他可穿戴设备、头戴式显示器(HMD)、车辆、无人机、医疗设备和应用(例如,远程手术)、工业设备和应用程序(例如,在工业和/或自动化处理链环境中操作的机器人和/或其他无线设备)、消费电子设备、在商业和/或工业无线网络上操作的设备等。
此外,可理解,在设备预配过程中注册的设备的数量以及这些设备之间的关系可不限于如图2中所显示的示例。例如,可通过设备100配置更多设备;设备110和设备100可以是相同的设备;设备100可以是具有注册和预配设备以用于设备到设备通信或基础设施通信的能力的任何合适的逻辑实体;设备100可将其管理委托给另一设备以共享管理并提供注册和预配设备以用于设备到设备通信或基础设施通信的能力的备份;等等。
图3示出了在示例实施例中用于预配设备的示例方法300,其可包括确定用于设备预配的交易数据的步骤310和将交易数据发送到去中心化台账系统200的步骤320。
例如,结合图2的示例,对于自举,示例方法300可由设备100提供的设备110、120、210、230等中的一个或多个执行,并且交易数据可包括自举信息。
自举信息可包括诸如自举公钥、全局操作类信道、DPP认证信道列表等的信息。例如,设备110(或要提供的其他设备,诸如设备120)的自举信息可包括设备110的公钥。
根据所采用的去中心化台账系统,在步骤310中确定的交易数据可具有任何合适的格式,并包括任何合适的内容。在不同的实施例中,在步骤310中确定的交易数据可包括但不限于IOTA中的一个或多个束、区块链中的一或多个区块、或其他去中心化台账系统中的任何其他数据单元。例如,在基于区块链技术实现去中心化台账系统200的情况下,在步骤310中确定的交易数据可对应于包括在区块链的一个或多个区块(或本文中的交易区块)中的一个或者多个交易。例如,在基于IOTA实现去中心化台账系统200的情况下,在步骤310中确定的交易数据可对应于IOTA的一个或多个束(或本文中的交易束)中包括的一个或者多个交易。
例如,图4示出了在例如基于IOTA实现去中心化台账系统200的情况下,在步骤310中确定的交易数据的格式和内容的示例。应当理解,IOTA是去中心化台账系统200的示例,并且本公开不限于IOTA。在图4的示例中,自举信息可被编码在“signatureMessageFragment(签名消息片段)”字段410中,该字段例如可包括2187三进制字节(tryte)(约1.27千字节)。在步骤310中通过IOTA的消息分段确定的交易数据例如当一个束不足以包括整个自举信息时可使用超过一个束。如果在步骤310中确定的消息或交易数据被分段并存储在多个束中,则可通过例如按照相应束中的“currentIndex(当前索引)”字段的顺序串联多个片段来恢复原始三进制字节消息。此外,例如,“tag(标签)”字段420可包括协议类型,该协议类型用于指示包含在该束中的信息将被用于的协议或过程(例如,自举、认证或配置等)。此外,“标签”字段420还可包括诸如接入点的设备的标识符。例如,“标签”字段420可包括27个三进制字节,以支持27
可理解,在步骤310中确定的交易数据的格式和内容可不限于图4所示的示例。在示例中,包封/编码在交易数据中的信息还可包括以下中的一个或多个:关于帧使用的信息、关于供应商专用的信息和关于交易数据的信息、关于Wi-Fi联盟特定组织唯一标识符(OUI)的信息、关于OUI类型的信息、关于要使用的加密套件的信息、关于包括在该束中的信息要被用于的协议或过程(例如,自举、认证或配置等)的类型的信息(包括在该束中的信息)、关于一个或多个DPP属性的信息等。在另一个示例中,上述示例信息可进一步与诸如目的地地址和源地址之类的头部信息一起被包封/编码在IEEE(电气和电子工程师协会)802.11DPP动作帧中,且然后IEEE 802.11DPP工作帧可进一步包封/编码在交易数据中。在另一示例中,先前示例中的一个或多个信息例如IEEE 802.11DPP动作帧可进一步包封/编码在发送控制协议(TCP)分组中,并且TCP分组可进一步包封或编码在交易数据中。
在一些实施例中,各种交易数据中的内容和字段可基于例如在Wi-Fi联盟的设备预配协议规范中定义的DPP动作帧,但是可进行修改/变化。例如,如图4中所示,除了或代替在“signatureMessageFragment”字段410中编码之外,诸如设备标识符和协议类型的信息可在“标签”字段420中编码,通信协议等。在另一示例中,可例如取决于所采用的去中心化台账系统、通信协议等采用交易数据的任何其他合适的布置。应当理解,用于DPP的任何合适的信息可以以任何合适的格式并基于任何合适的协议包封/编码在交易数据中,但不限于以上和以下示例。
在步骤310中确定用于设备预配的交易数据之后,例如,在步骤320中,设备100要预配的设备,例如设备110,可将交易数据发送到去中心化台账系统200。根据所采用的去中心化台账系统,在步骤310中确定的交易数据可在步骤320中以任何合适的方式发送或发布或部署到去中心化台账系统200。
例如,在基于IOTA实现去中心化台账系统200的情况下,交易数据可被发送或部署到去中心化台账系统200,以便在验证用于去中心化台账系统200中的设备预配的至少一个直接或间接批准的交易数据是有效的之后,批准去中心化台账系统200中至少两个尖部位点。
例如,图5示出了基于IOTA实现的去中心化台账系统200的示例,其中块501~511表示已部署在去中心化台账系统200中的设备预配的交易数据。例如,块501可对应于与设备110相关联的自举以及包括设备110的自举信息的交易数据,块502可对应于与设备110相关联的认证(将在下文描述),块503可对应于和设备120相关联的配置(将在下文描述)等。然后,当向去中心化台账系统200部署或发送与块512相对应的新交易时,可部署块512以验证用于去中心化台账系统200中的设备预配的至少两个直接或间接批准的交易数据,且然后批准尖部位点,例如块511和块513,其中块513不是用于设备预配的交易,而是间接批准用于DPP的至少一个交易数据,例如块508。因此,例如,去中心化台账系统200的DPP的重叠纠缠(overlay Tangle)可以如图6中所示。
在步骤310中,可采用任何合适的方式,例如通过使用马尔可夫链蒙特卡洛(MCMC)方法,来将交易数据部署或发送到去中心化台账系统200。
因此,任何设备,例如设备100,可在基于IOTA实现的去中心化台账系统200的情况下例如通过使用预安装的应用程序诸如IOTA钱包,而不是通过扫描QR码或利用可能受到攻击或篡改的NFC、BTLE等,来获得包括注册者设备(或注册者,例如,注册和预配以用于设备到设备通信或基础设施通信的设备110、120等)的公钥的自举信息IOTA。例如,设备100可通过使用诸如QR码扫描、NFC抽头、BLE交换等OOB机制来获得设备110的标识。然后,设备110还可例如基于所获得的设备110的标识,从去中心化台账系统200获得包括设备110的公钥的自举信息。
例如,通过经由去中心化台账系统200交换信息,可信任要预配的设备的公钥。此外,可通过在去中心化台账系统200上发布新密钥来更新要预配的设备的公钥。此外,例如,可提高通信信道的可靠性和可用性。
此外,如图7中所示出的,在自举期间,示例方法300还可包括从去中心化台账系统200接收用于验证自举信息的注册者的身份的请求的步骤710、确定用于身份验证的签名的步骤720、以及将签名发送到去中心化台账系统200的步骤730。因此,例如,可支持对例如由设备100提供的自举信息的注册者例如设备110、120等的私钥的拥有证明。
例如,如图8中所示出的,设备100可例如通过使用OOB机制诸如QR码扫描、NFC抽头、BLE交换等来获得设备110的标识。例如,设备100可配备有用于扫描由设备110提供的QR码的摄像头,以便识别设备110。然后,设备110可基于所获得的设备110的标识,进一步从去中心化台账系统200获得包括设备110的公钥的自举信息。如图8中所示,在设备100经由去中心化台账系统200获得包括设备110的公钥的设备110的自举信息之后(820),设备100可请求验证设备110的身份以证明公钥确实被设备110拥有(830)。例如,在830,设备100可以执行示例方法300的步骤310,以确定包括用于验证设备110的身份的请求的交易数据。例如,请求可以包括诸如随机数或随机文本的随机质询。然后,在830,设备100可执行示例方法300的步骤310,以将包括验证请求的交易数据发送到去中心化台账系统200。
然后,设备110可执行示例方法300的步骤710,以从去中心化台账系统200接收验证请求。然后,设备100可执行示例方法300的步骤720,例如,通过使用请求中的随机质询和设备110的私钥,来确定签名。然后,设备110可执行示例方法300的步骤730,以将签名发送到去中心化台账系统。例如,类似于步骤310和320,在步骤730中,可确定包括签名的交易数据,且然后将其发送或部署到去中心化台账系统200。
然后,设备100可从去中心化台账系统200获取签名(840),且然后可例如通过随机质询和设备110的公钥来验证签名(850)。
在另一个实施例中,设备110的身份证明也可由设备110发起。
如图8中所显示的,智能合约810可预先部署到去中心化台账系统200,并且可在证明设备110的身份期间使用它们,例如,转发设备100和110之间要交换的信息,诸如签名。因此,例如,设备100和110的动作/操作可被跟踪并记录在去中心化台账系统200中。
在另一个实施例中,可由智能合约810而不是设备100发起注册人设备的身份或私钥的拥有的证明。例如,可在获取公钥时调用智能合约810,并且将要求设备100发起随机质询,且然后将随机质询转发给作为公钥所有者的设备110。然后,智能合约810可将设备110的签名转发给设备100以在设备100中进行验证,或者可验证智能合约810中的签名。
根据去中心化台账系统200,智能合约810可以以任何合适的方式实现。例如,智能合约810可用任何合适的智能合约编程语言诸如Serpent、Solidity等编写,且然后可编译成合约字节代码(Contract ByteCode),且然后可部署到去中心化台账系统200。在被部署到去中心化账本系统200之后,合约地址可被分配给智能合约810,并且可以在以后的交易期间被自动调用或执行。
应理解的是,智能合约的使用不限于注册人设备的身份证明。例如,可为设备100和110之间的任何其他数据/信息(例如,自举信息)交换而在去中心化台账系统200上配置智能合约。
此外,例如,在基于IOTA实现去中心化台账系统200的情况下,可使用掩码认证消息(MAM),其可支持多种模式,诸如公共模式、私人模式和限制模式。因此,不同的运营商或设备组可使用不同的信道身份和侧密钥来隔离和加密/解密信息。例如,可通过部署一个或多个智能合约来分发信道身份和侧密钥。
类似于示例方法300的步骤310,例如,当使用MAM时,包括自举信息的自举消息可被包封为步骤310中确定的交易数据的有效载荷。如果自举消息长,则消息或数据可被分割成一个或多个部分,例如当基于区块链技术实现去中心化台账系统200时分成一个或多个块,或者当基于IOTA实现去中心化台账系统200的时候分成一个或者多个束。此外,例如,可对消息中的内容进行加密和数字签名;“标签”字段可被用于实现消息过滤;等等。
可理解,尽管上文(以及可能的下文)示例说明了设备110由设备100提供,但在其他示例或实施例中,诸如设备110、120等的一个或多个设备可由具有注册和预配用于设备到设备通信或基础设施通信的设备的能力的任何一个或更多个合适的设备来预配或配置。例如,设备110可以是诸如设备110或120等的另一设备的逻辑实体。
此外,可理解的是,尽管上述示例是为自举而描述的,但上述一个或多个特征和方面也可应用于设备预配中的其他过程,诸如认证和配置。例如,MAM和/或智能合约也可被用于设备预配中的认证、配置和任何其他过程。此外,例如,可由设备预配中的任何设备诸如设备110、120、210、220等发起对注册者的私钥的拥有的证明,并且不限于由诸如设备100的配置方设备(或配置方)发起,该设备100具有注册和预配一个或多个设备用于设备到设备通信或基础设施通信的能力。
例如,在一个实施例中,对于设备预配中的认证过程,在步骤310中确定并在步骤320中发送的交易数据可包括对至少一个认证请求的认证响应。然后,如图9中所示出的,示例方法300还可包括从去中心化台账系统200接收至少一个认证请求的步骤910,以及在发送交易数据之后从分散式记账系统200接收认证确认的步骤920。
例如,认证可由此处也称为发起方设备或发起方的配置方设备(例如设备100)或注册者设备(例如,设备110)发起。响应于发起方发起认证的设备在此也可称为响应方设备或响应方。图10示出了其中设备100充当认证的发起方并且设备110充当认证的响应方的示例。
如图10中所示,作为发起方的设备100可例如通过执行步骤310和320向去中心化台账系统200发送至少一个认证请求(1010)。然后,设备110可执行步骤910以从去中心化台账系统100接收来自设备110的认证请求。在各种实施例中,至少一个认证请求可包括适合于认证的任何信息,诸如指示其公共协议密钥的发起方协议密钥属性、包含发起方随机数(nonce)属性和发起方能力属性的包装数据属性等。
然后,在各种实施例中,作为响应方的设备110可在接收到认证请求之后执行任何适当的操作。例如,当设备110确定发起方的自举密钥已被自举时,设备110可执行步骤310和320以将认证响应发送到去中心化台账系统200。例如,认证响应可包括诸如DPP状态和一些可取决于DPP状态的包装数据的信息。
然后,在各种实施例中,设备100可在从去中心化台账系统200接收认证响应之后执行任何适当的操作(1020)。例如,设备100可检查DPP状态,例如,DPP状态是否设置为status_OK等。然后,设备100可执行步骤310和320以向去中心化台账系统200发送认证确认(1030)。例如,认证确认可包括诸如DPP状态、响应方的自举密钥散列以及与认证确认相对应的认证请求的发起者等信息。
然后,例如,如果响应方在步骤920从去中心化台账系统200接收到认证确认,则其可检查DPP状态。例如,如果DPP状态为status_NOT_COMPATIBLE(状态不兼容)或status_AUTH_FAILURE(状态认证失败),则响应方可在认证确认中解开包装的数据部分,以获得失败的原因。
如图10中所示出的,在一个实施例中,信息/消息交换可经由事先部署到去中心化台账系统200的智能合约1040,从而可在认证期间跟踪和记录一个或多个动作。在另一个实施例中,例如,可使用MAM。
在另一个实施例中,例如,对于设备预配中的配置过程,在步骤310中确定并在步骤320中发送的交易数据可包括配置请求。然后,如图11所示,示例方法300还可包括从去中心化台账系统200接收对配置请求的配置响应的步骤1110。
图12示出了设备预配中的配置过程的示例,其中设备110通过执行步骤310和320以向去中心化台账系统200发送配置请求来启动预配阶段。例如,配置请求可包括诸如由设备110生成的DPP配置属性对象这样的信息。然后,设备100可从去中心化台账系统200接收来自设备110的配置请求(1210)。设备100可执行步骤310和320,以向去中心化台账系统200发送配置响应(1220)。例如,配置响应可包括设备110的配置信息、标识可以从配置请求复制的请求/响应事务的值、关于状态的信息等。然后,设备110可在步骤1110从去中心化台账系统200接收配置响应,并且可在响应中被提供信息,以便例如建立对接入点的安全访问。
此外,如图12中所示,在一个实施例中,信息/消息交换可经由事先部署到去中心化台账系统200的智能合约1230,从而可在配置期间跟踪和记录一个或多个动作。在另一个实施例中,例如,可使用MAM。
图13示出了与示例方法300相对应的示例方法1300。如图13中所示出的,与示例方法300的步骤320相对应,示例方法1300可包括从例如上述去中心化台账系统200这样的去中心化台账系统接收用于设备预配的交易数据的步骤1310。例如,设备可以通过使用OOB机制诸如QR码扫描、NFC抽头、BLE交换等来获得注册者设备的标识。然后,设备可以例如基于所获得的注册者设备的标识,从去中心化账本系统200获得用于设备预配的交易数据。
上文已结合示例方法300的示例描述了示例方法1300的一个或多个示例方面和/或特征。例如,步骤1310可包括图8所示的操作/步骤820或710或840、图10所示的步骤910或1020或920、以及图12所示的操作/步骤1210或1110。
因此,例如,如图14中所示出的,在步骤1310中接收的交易数据包括自举信息的情况下,步骤1310可包括图8所示的操作820。此外,为了证明设备110的身份,示例方法还可包括步骤1410、步骤1420、以及步骤1430,步骤1410向去中心化账本系统200发送用于验证自举信息的注册者的身份的请求,其可以包括图8中的操作830,步骤1430从去中心化账本系统200接收对请求的响应,其可以包括图8中的操作840,以及步骤1430,其基于自举信息和响应中的信息确定注册者的身份,其可包含图8中操作850。
例如,如图15中所示出的,在步骤1310中接收的交易数据包括对至少一个认证请求的认证响应的情况下,步骤1310可包括如图10中所示的操作1010。此外,如图15中所示,示例方法1300还可包括步骤1510和步骤1520,步骤1510将至少一个认证请求发送到去中心化台账系统,其可以包括图10中的操作1010,步骤1520在接收到交易数据之后将认证确认发送到去中心化台账系统,其可以包括图10中的操作1030。
例如,如图16中所示出的,在步骤1310中接收的交易数据包括配置请求的情况下,步骤1310可包括图12所示的操作1210。此外,如图16中所示出的,示例方法1300还可包括向去中心化台账系统发送对配置请求的配置响应的步骤1610,其可以包括图12中的操作1220。
图17示出了通过利用上述示例方法300和1300实现的设备预配的示例,其中设备110是将由设备100预配的注册者作为配置方的示例。
如图17中所示出的,设备100和110两者都可执行示例方法300和1300中的步骤,以实现设备预配。例如,示例方法300的步骤310和/或320可在示例方法300和1300两者中将信息发送到去中心化台账系统200的情况下使用,且因此可由设备100和110利用。类似地,示例方法1300的步骤1310可在示例方法300和1300两者中从去中心化台账系统200接收信息的情况下使用,且因此可以由设备100和110两者使用。
例如,在自举过程期间,作为配置方的示例,作为要由设备100预配的注册者的设备110可以执行示例方法300的步骤310和320,以将自举信息发送到去中心化账本系统200。设备110可执行示例方法1300的步骤1310从去中心化账本系统200接收设备1100的自举信息。此外,例如,设备100可以执行示例方法1300的步骤1410(其可以例如包括或类似于示例方法300的步骤310和320),以将用于验证设备110的身份的请求发送到去中心化台账系统200。设备110可执行示例方法300的步骤710(其可例如包括或类似于示例方法1300的步骤1310),以接收用于验证身份的请求。然后,设备110可执行示例方法300的步骤710以确定用于身份验证的签名,并且可执行示例方法300的方法730(例如,其可包括或类似于步骤310和320)以将签名发送到去中心化台账系统200。然后,设备100可执行示例方法1300的步骤1420(其可例如包括或类似于步骤1310),并且执行步骤1430以确定设备110的身份或者设备110是否是与在自举信息中获得的公钥相对应的私钥的拥有者。
如图17中所示出的,在一个实施例中,可在用于自举的信息交换期间使用智能合约。此外,例如,可使用MAM。此外,如上所述,在另一实施例中,身份验证也可例如由智能合约发起。
例如,在设备100发起的认证过程期间,设备100可执行示例方法1300的步骤1510(例如,其可包括或类似于示例方法300的步骤310和320),以向去中心化台账系统200发送至少一个认证请求。然后,设备110可执行示例方法300的步骤910(其可例如包括或类似于示例方法1300的步骤1310),以从去中心化台账系统200接收至少一个认证请求,并且可执行步骤310和320,以将认证响应发送到去中心化台账系统。然后,设备100可执行示例方法1300的步骤1310以从去中心化台账系统200接收认证响应,并且可执行示例方法1300的步骤1520(例如,其可以包括或类似于示例方法300的步骤310和320)以将认证确认发送到去中心化台账系统200。然后,设备110可执行示例方法300的步骤920(其可以例如包括或类似于示例方法1300的步骤1310),以从去中心化台账系统200接收认证确认。
如图17中所示,在一个实施例中,在用于认证的信息交换期间,可使用智能合约。此外,例如,可使用MAM。此外,应当理解,在另一实施例中,认证可由设备110发起。
例如,在设备110发起的配置过程中,设备110可执行示例方法300的步骤310和320,以向去中心化台账系统200发送配置请求。然后,设备100可执行示例性方法1300的步骤1310,以从去中心化台账系统200接收配置请求,并且可执行示例方法1300的步骤1610(其可例如包括或类似于示例方法300的步骤310和320),以将配置响应发送到去中心化台账系统200。然后,设备110可以执行示例方法300的步骤1110(其可以例如包括或类似于示例方法1300的步骤1310),以从去中心化台账系统200接收配置响应。
如图17中所示出的,在一个实施例中,可在用于配置的信息交换期间使用智能合约。此外,例如,可使用MAM。
图18示出了一个实施例中用于设备预配的示例装置1800。例如,示例装置1800可以是诸如上述示例中的设备100、110、120、210、220、230等的任何设备的至少一部分。
如图18中所显示的,示例装置1800可包括至少一个处理器1810和可包括计算机程序代码1830的至少一个存储器1820。至少一个存储器1820和计算机程序代码1830可以被配置为利用至少一个处理器1810使装置1800至少执行上述示例方法300和示例方法1300中的至少一个的步骤。
在各种示例实施例中,示例装置1800中的至少一个处理器1810可包括但不限于:至少一个硬件处理器,其包括至少一个微处理器诸如中央处理单元(CPU);至少一个处理器的一部分;以及任何其他合适的专用处理器,诸如基于例如现场可编程门阵列(FPGA)和专用集成电路(ASIC)开发的处理器。此外,至少一个处理器1810还可包括图18中未显示的至少一个其他电路或元件。
在各种示例实施例中,示例装置1800中的至少一个存储器1820可包括各种形式的至少一种存储介质,诸如易失性存储器和/或非易失性存储器。易失性存储器可包括但不限于例如随机存取存储器(RAM)、高速缓存等。非易失性存储器可包括但不仅限于例如只读存储器(ROM)、硬盘、闪存等。此外,至少存储器1820可包括但并不限于,电、磁、光、电磁、红外、或半导体系统、装置或器件或上述的任何组合。
此外,在各种示例实施例中,示例装置1800还可包括至少一个其他电路、元件和接口,例如至少一个I/O接口、至少一个天线元件等。
在各种示例实施例中,包括至少一个处理器1810和至少一个存储器1820的示例装置1800中的电路、部件、元件和接口可通过包括但不限于总线、横杆、布线和/或无线线路的任何合适的连接以例如电、磁、光、电磁等任何合适的方式耦接在一起。
可理解,用于设备预配装置的结构不限于上述示例装置1800。
图19示出了实施例中用于设备预配的另一示例设备1900。例如,示例设备1900可被配置为至少执行示例方法300的步骤。
如图19中所显示的,示例性设备1900可包括用于执行示例方法300的步骤310的装置1910和用于执行示例方法300的方法320的装置1920。在一个或多个其他示例实施例中,示例设备1900中还可包括至少一个I/O接口、至少一个天线元件等。在一个或多个另一示例实施例中,示例设备1900可进一步包括用于执行示例方法300中的一个或多个附加步骤诸如步骤710、720、730、910、920、1110等的一个或者多个装置。
在一些示例实施例中,装置(例如装置1910和1920)的示例可包括电路。例如,装置1910的示例可包括被配置为执行示例方法300的步骤310的电路,且装置1920的示例可包含被配置为执行示例方法300中的步骤320的电路。在一些示例实施例中,装置的示例还可包括软件模块和任何其他合适的功能实体。
本公开中的术语“电路”可指以下一项或多项或全部:(a)仅硬件电路实施方式(诸如仅在模拟和/或数字电路中的实施方式);(b)硬件电路和软件的组合,诸如(如果适用的话)(i)模拟和/或数字硬件电路与软件/固件的组合,以及(ii)硬件处理器与软件(包括数字信号处理器)、软件和存储器的任何部分,它们一起工作以使装置诸如移动电话或服务器执行各种功能);以及(c)硬件电路和/或处理器,诸如微处理器或微处理器的一部分,其需要软件(例如固件)来操作,但当不需要软件来操作时,软件可能不存在。电路的该定义适用于包括任何权利要求的本公开中的该术语的一个或所有用途。作为进一步的示例,如在本公开中所使用的,术语电路还涵盖仅硬件电路或处理器(或多个处理器)或硬件电路或微处理器的一部分及其(或其)伴随的软件和/或固件的实施方式。术语电路还涵盖例如并且如果适用于权利要求元件,用于移动设备的基带集成电路或处理器集成电路或服务器、蜂窝网络设备或其他计算或网络设备中的类似集成电路。
图20示出了实施例中用于设备预配的另一示例设备2000。例如,示例设备2000可被配置为至少执行示例方法1300的步骤。
如图20中所显示的,示例性设备2000可包括用于执行示例方法1300的步骤310的装置2010。在一个或多个其他示例实施例中,示例设备2000中还可包括至少一个I/O接口、至少一个天线元件等。在一个或多个其他示例实施例中,示例设备2000还可包括用于执行示例方法1300中的一个或多个附加步骤诸如步骤1410、1420、1430、1510、1520、1610等的一个或者多个装置。
与示例设备1900类似,在一些示例实施例中,装置(例如装置2010)的示例可包括电路。例如,装置2010的示例可包括被配置为执行示例方法1300的步骤1310的电路。在一些示例实施例中,装置的示例还可包括软件模块和任何其他合适的功能实体。
图21示出了实施例中用于设备预配的另一示例设备2100,其包括示例设备1900中的装置(例如装置1910和装置1920)和示例设备2000中的装置(例如装置2010)。在另一实施例中,用于设备预配的装置可包括上述示例设备1800、1900、2000和2100中的至少一个。
应当理解,本公开不限于上述示例实施例。
另一个示例实施例可能涉及可使设备至少执行上述各个方法的计算机程序代码或指令。另一示例实施例可涉及其上存储有这样的计算机程序代码或指令的计算机可读介质。在一些示例实施例中,这样的计算机可读介质可包括各种形式的至少一个存储介质,诸如易失性存储器和/或非易失性存储器。易失性存储器可包括但不限于例如RAM、高速缓存等。非易失性存储器还可包括但不限于电的、磁的、光学的、电磁的、红外的或半导体系统、装置或器件或上述的任何组合。
除非上下文另有明确要求,否则在整个说明书和权利要求中,词语“包括”、“包括了”等应被解释为具有包容性,而不是排他性或穷尽性;也就是说,在“包括但不限于”的意义上,这里通常使用的“耦合”一词是指可直接连接的两个或多个元件,或者可通过一个或更多个中间元件连接。同样,如本文中一般使用的,“连接”一词是指可直接连接或者通过一个或更多个中间元件连接的两个或更多个元件。此外,在本申请中使用的词语“此处”、“以上”、“以下”以及具有类似含义的词语应指本申请的整体,而非本申请的任何特定部分。在上下文允许的情况下,说明书中使用单数或复数的词语也可分别包括复数或单数。词语“或”指的是两个或多个项目的列表,该词涵盖了该词的以下所有解释:列表中的任何项目、列表中的所有项目以及列表中项目的任何组合。
此外,本文中使用的条件语言,例如,“可”、“可能”、“可以”、“例如”、“如”、“诸如”等,除非另有特别说明,或在所使用的上下文中以其他方式理解,否则通常旨在传达某些实施例包括,而其他实施例不包括某些特征,元件和/或状态。因此,这样的条件语言一般不意在暗示一个或多个实施例以任何方式需要特征、元件和/或状态,或者一个或更多个实施例必须包括用于在有或没有作者输入或提示的情况下决定这些特征、元件或状态是否被包括或将在任何特定实施例中执行的逻辑。
虽然已经描述了一些实施例,但这些实施例是以示例的方式呈现的,并不旨在限制本公开的范围。实际上,本文所述的设备、方法和系统可以以各种其他形式体现;此外,在不背离本公开的精神的情况下,可对本文所描述的方法和系统的形式进行各种省略、替换和改变。例如,当以给定布置呈现块时,替代实施例可使用不同的部件和/或电路拓扑来执行类似的功能,并且可删除、移动、添加、细分、组合和/或修改一些块。这些块中的至少一个可以以各种不同的方式实现。这些块的顺序也可改变。上述一些实施例的元件和动作的任何合适的组合可被组合以提供进一步的实施例。所附权利要求及其等同物旨在涵盖如将落入本公开的范围和精神内的形式或修改。