[发明专利]用于无线接入点的可撤销安全系统和方法

说明书

相关文件引用

本申请要求于2011年12月22日提交的美国在先申请第13/334,615号的权益，其全部内容结合于此作为参考。

技术领域

本发明大体上涉及网络连接，更具体地，涉及用于无线接入点的安全系统和方法。

背景技术

存在着用于家庭联网的多种不同技术。通常在很多家庭和/或企业环境中使用（例如）采用了一个或多个电气和电子工程师协会（IEEE）802.11无线局域网标准的无线接入点，从而有助于多个客户端装置访问广域网或接入点耦接的另一个局域网。此外，由这种无线接入点促成的无线网络可使用加密技术，对客户端装置和接入点之间的通信进行加密。常用于家庭环境的加密技术涉及使用预共享密钥（PSK），从该密钥中获得装置专用的以及数据包专用的密钥。家庭用户可能希望准许其他装置的访问，诸如，属于其他用户、访客、朋友等等的装置。

这可以通过与其他用户共享PSK或从PSK中获得的密钥而实现，该PSK或密钥可安装或高速缓存在用户装置上，从而在客户端装置和接入点之间可交换加密的数据包。因此，可将其视为向访问客户端装置授予第2层访问无线网络。然而，当准许第2层以这种方式访问客户端装置时，在现有技术的多个实施方式中，撤销装置对网络的访问的唯一方法就是改变接入点和网络中剩余的客户端装置所依赖的PSK，从而以安全的方式进行通信。

发明内容

（1）一种无线接入点，包括：

至少一个处理器；以及

安全应用程序，能够由所述至少一个处理器执行，并且所述安全应用程序包括：

建立与无线网络相关的主预共享密钥的逻辑电路，所述无线网络与服务设置标识符（SSID）相关；

获得对于建立所述无线网络与客户端装置的连接的请求的逻辑电路；

生成针对所述客户端装置的可撤销密钥的逻辑电路，所述可撤销密钥不同于所述预共享密钥；

至少基于所述可撤销密钥生成认证凭证的逻辑电路；

将认证凭证发送至所述客户端装置的逻辑电路，所述认证凭证至少基于所述可撤销密钥；

确定是否发生针对所述客户端的撤销事件的逻辑电路；以及

当发生所述撤销事件时撤销所述可撤销密钥的逻辑电路。

（2）根据（1）所述的系统，其中，所述安全应用程序进一步包括：在将所述认证凭证发送至所述客户端装置之前，获得向所述客户端装置授予对于所述无线网络的访问的管理授权的逻辑电路。

（3）根据（1）所述的系统，其中，所述安全应用程序进一步包括：

确定与所述客户端装置相关的唯一标识符的逻辑电路；以及

其中，所述可撤销密钥至少基于所述唯一标识符。

（4）根据（1）所述的无线接入点，其中，所述认证凭证包括成对主密钥。

（5）根据（1）所述的无线接入点，其中，所述可撤销密钥与所述客户端装置唯一地相关，所述可撤销密钥由所述安全应用程序生成。

（6）根据（1）所述的系统，其中，从所述客户端装置获得与所述无线网络建立连接的请求的所述逻辑电路进一步包括：获得发起会话的请求的逻辑电路，在所述会话中由所述至少一个处理器生成认证凭证并且将所述认证凭证发送至所述客户端装置。

（7）根据（6）所述的系统，其中，所述会话进一步包括Wi-Fi安全设定会话。

（8）根据（1）所述的无线接入点，其中，所述安全应用程序进一步包括：通过使用无线安全协议来保护所述无线网络的逻辑电路，所述无线安全协议包括Wi-Fi访问保护和Wi-Fi访问保护II中的一个。

（9）根据（8）所述的无线接入点，其中，所述安全应用程序进一步包括：建立与所述客户端装置相关的通信会话的逻辑电路，所述通信会话包括加密的无线通信会话，其中，使用所述认证凭证对所述加密的无线通信会话进行加密。

（10）根据（1）所述的无线接入点，其中，确定是否发生对于所述客户端的撤销事件的所述逻辑电路进一步包括：

跟踪与所述无线网络上的所述客户端装置相关的数据使用量的逻辑电路；

确定所述数据使用是否超过使用上限的逻辑电路；以及

在所述数据使用超过所述使用上限时识别撤销事件的逻辑电路。

（11）根据（1）所述的无线接入点，其中，确定是否发生对于所述客户端的撤销事件的所述逻辑电路进一步包括：

识别自至少基于所述可撤销密钥生成所述认证凭证所经过的时间量的逻辑电路；