TWI692228B

TWI692228B - 用於網狀網路的連線建立系統及方法

Info

Publication number: TWI692228B
Application number: TW107137585A
Authority: TW
Inventors: 梁浩銘; 鄭翠菊; 陳弘仁
Original assignee: 啟碁科技股份有限公司
Priority date: 2018-10-24
Filing date: 2018-10-24
Publication date: 2020-04-21
Also published as: US20200137562A1; US11265720B2; TW202017345A

Abstract

本發明公開一種用於網狀網路的連線建立系統及方法，網狀網路包括第一收發器及第二收發器，方法包括以第二收發器與第一收發器進行安全連線程序，包括以第二收發器傳送包括識別碼的安全連線請求訊號至第一收發器，以第一收發器將與識別碼對應的公鑰將認證訊息進行加密，以產生安全連線回應訊號並傳送給第二收發器，接著以第二收發器由私鑰對安全連線回應訊號進行解密，以產生解密訊息並傳送關聯請求訊號給第一收發器。以第一收發器接收關聯請求訊號，並判斷解密訊息是否符合認證訊息，若是，則允許第一收發器與第二收發器建立安全連線。

Description

用於網狀網路的連線建立系統及方法

本發明涉及一種連線建立系統及方法，特別是涉及一種用於網狀網路的連線建立系統及方法。

無線網路(WiFi)已經成為無所不在的網路應用技術，人們普遍利用路由器互通或上網。為了網路使用無死角，會把路由器與路由器互相自動連接，協調運作以擴大覆蓋範圍，稱為自我組織網路(Self-Organizing Network,SON)，則作為用戶端的路由器就會根據所處環境找尋適合的路由器連接。

一般無線網路相連，只要知道密碼，就可以使任意廠牌路由器互連互通。然而，在需要高度安全性的環境下，這樣的安全機制仍有極高的風險，且在不同廠牌之間會有硬體上不相容的問題。

故，如何通過安全機制的改良，來提升網狀網路的安全性，來克服上述的缺陷，已成為該項事業所欲解決的重要課題之一。

本發明所要解決的技術問題在於，針對現有技術的不足提供一種用於網狀網路的連線建立系統及方法，利用現有建立網路連線的傳送程序，搭配非對稱加密(asymmetric cryptography)機制，以鎖定特定存取點裝置或路由器才可建立連線，以便後續獨特功能的實現。

為了解決上述的技術問題，本發明所採用的其中一技術方案是，提供一種用於網狀網路的連線建立方法，網狀網路包括第一收發器及第二收發器，方法包括：以第二收發器與第一收發器進行安全連線程序，安全連線程序包括：以第二收發器傳送安全連線請求訊號至第一收發器，安全連線請求訊號包括識別碼；以第一收發器接收安全連線請求訊號，並以識別碼對應的公鑰將認證訊息進行加密，以產生安全連線回應訊號並傳送給第二收發器；以第二收發器接收安全連線回應訊號，並以私鑰對安全連線回應訊號進行解密，以產生解密訊息，並傳送包括解密訊息的關聯請求訊號給第一收發器，其中，私鑰對應於公鑰；以第一收發器接收關聯請求訊號，並判斷解密訊息是否符合認證訊息；若是，則第一收發器產生授權響應訊息，並傳送包括授權響應訊息的關聯響應訊號至第二收發器，同時允許第一收發器與第二收發器建立安全連線；以及以第二收發器接收關聯響應訊號，並建立與第一收發器之間的安全連線。

為了解決上述的技術問題，本發明所採用的另外一技術方案是，提供一種用於網狀網路的連線建立系統，其包括第一收發器以及第二收發器。第二收發器與第一收發器進行安全連線程序，以從第二收發器傳送安全連線請求訊號至第一收發器，其中安全連線請求訊號包括識別碼，第一收發器進一步經配置以接收安全連線請求訊號，並以識別碼對應的公鑰將認證訊息進行加密，以產生安全連線回應訊號並傳送給第二收發器。在第二收發器接收到安全連線回應訊號時，經配置以私鑰對安全連線回應訊號進行解密，以產生解密訊息，並傳送包括解密訊息的關聯請求訊號給第一收發器，且私鑰對應於公鑰；其中在第一收發器接收到關聯請求訊號時，經配置以判斷解密訊息是否符合認證訊息，若是，則第一收發器產生授權響應訊息，並傳送包括授權響應訊息的關聯響應訊號至第二收發器，同時允許第一收發器與第二收發器建立安全連線；以及其中在第二收發器接收到關聯響應訊號時，經配置以建立與第一收發器之間的安全連線。

為使能更進一步瞭解本發明的特徵及技術內容，請參閱以下有關本發明的詳細說明與圖式，然而所提供的圖式僅用於提供參考與說明，並非用來對本發明加以限制。

1:用於網狀網路的連線建立系統

10:第一收發器

12:第二收發器

100、120:處理器

102、122:加解密引擎

104、124:記憶電路

106、126:無線通訊電路

110、130:通訊電路

112、132:電源

116、136:天線

2:網狀網路

RootAP:根存取點

ExtAP1、ExtAP2:延伸存取點

UE:使用者裝置

圖1為本發明一實施例的用於網狀網路的連線建立系統的方塊圖。

圖2為本發明一實施例的網狀網路的示意圖。

圖3為本發明一實施例的用於網狀網路的連線建立系統的封包傳輸流程圖。

圖4顯示了本發明的一實施例的信標訊號的規格範例。

圖5顯示了本發明的一實施例的安全連線請求訊號的規格範例。

圖6顯示了本發明的一實施例的安全連線回應訊號的規格範例。

圖7顯示了本發明的一實施例的關聯請求訊號的規格範例。

圖8為本發明另一實施例的用於網狀網路的連線建立方法的流程圖。

以下是通過特定的具體實施例來說明本發明所公開有關“用於網狀網路的連線建立系統及方法”的實施方式，本領域技術人員可由本說明書所公開的內容瞭解本發明的優點與效果。本發明可通過其他不同的具體實施例加以施行或應用，本說明書中的各項細節也可基於不同觀點與應用，在不悖離本發明的構思下進行各種修改與變更。另外，本發明的附圖僅為簡單示意說明，並非依實際尺寸的描繪，事先聲明。以下的實施方式將進一步詳細說明本發明的相關技術內容，但所公開的內容並非用以限制本發明的保護範圍。

應當可以理解的是，雖然本文中可能會使用到“第一”、“第二”、“第三”等術語來描述各種元件或者信號，但這些元件或者信號不應受這些術語的限制。這些術語主要是用以區分一元件與另一元件，或者一信號與另一信號。另外，本文中所使用的術語“或”，應視實際情況可能包括相關聯的列出項目中的任一個或者多個的組合。

參閱圖1所示，本發明一實施例提供一種用於網狀網路的連線建立系統1，其包括第一收發器10以及第二收發器12。第一收發器10及第二收發器12可在網狀網路中扮演伺服端與客戶端的角色，例如，以路由器來實現此架構時，在網狀網路中，路由器可允許與自己信任的路由器互相連接，所以彼此認可的路由器之間的相連需要通過可靠的認證程序。在此網路架構下，有些路由器是存取點(Access Point,AP)，扮演伺服器角色，有些路由器扮演客戶端裝置的角色，與存取點相連接。

第一收發器10可包括如圖1所示的處理器100、加解密引擎102、記憶電路104、無線通訊電路106及通訊電路110，並經由電源112進行供電。類似的，第二收發器12亦可包括如圖所示的處理器120、加解密引擎122、記憶電路124、通訊電路126及通訊電路120，並經由電源132進行供電。

處理器100、120可為可程式化單元，諸如微處理器、微控制器、數位信號處理器(digital signal processor；DSP)晶片、場可程式化閘陣列 (field-programmable gate array；FPGA)等。處理器的功能亦可藉由一個或若干個電子裝置或IC實施。換言之，藉由處理器執行的功能可實施於硬體域或軟體域或硬體域與軟體域的組合內。

記憶電路104、124可包括快閃記憶體(Flash)、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可消除程式化唯讀記憶體(EPROM)、電子抹除式可複寫唯讀記憶體(EEPROM)、或其它記憶技術、其它光學儲存器、磁式卡帶、磁帶、磁碟儲存或其它磁儲存裝置，或可以用來儲存所需資訊且可由處理器100、120所存取的任何其他介質。快閃記憶體可用於儲存韌體、系統配置及密鑰，並可在系統初始化時複製到隨機存取記憶體中。隨機存取記憶體可儲存運行時的指令及資料，並可根據執行結果改變其數值。

處理器100、120用於分別控制無線通訊電路106、126及通訊電路110、130，以使這些電路協調工作，具體來說，無線通訊電路106、126可包括內建有5G/2.4G WIFI處理單元的5G/2.4G WiFi控制器，並設置有5G/2.4G天線介面，支援基於WiFi技術的通訊。而天線114和天線134用於強化收發5G/2.4G WiFi訊號的能力，具體來說，天線114、134可以經調整以具有不同頻率，以使WIFI處理單元發出的WIFI信號能覆蓋更廣的範圍並且能夠接收到更遠距離傳輸過來的WIFI信號，具體來說，天線114、134可以為5G/2.4G天線。無線通訊電路106、126負責所有無線訊號的傳輸及接收，包括資料及管理訊號組，包括信標訊號、探測請求訊號、探測回應訊號、關聯請求訊號及關聯回應訊號等。

另一方面，通訊電路110、130可包括乙太網路控制器，並通過乙太網路介面連接至網際網路，或經由3G/4G/5G的廣域網路(WAN)方式連接至網際網路，可在第一收發器10及第二收發器12作為存取點時能具備與網路連接的能力。

一般WiFi網路相連，IEEE 802.11已既有標準程序，基本上是存取點與客戶端基站的相連過程。存取點先定時傳送信標(Beacon)訊號，則客戶端裝置偵測環境中有哪些存取點可進行連線，找到適當的存取點後，就會傳送探測請求訊號，存取點則以探測回應(Probe Response)訊號進行回應，接下去才會展開一連串的WiFi連線程序，如認證(authentication)程序及關聯(association)程序，成功建立連線後始能傳送資料。

這種情況下，在現有的連線機制下，只要知道密碼，就可以任意廠牌的路由器彼此互連互通。本發明的用於網狀網路的連線建立系統所訴求的，即是利用此等傳送程序，搭配非對稱加密(asymmetric cryptography)機制如SSH、TLS，夾帶認證資料，以鎖定特定的自我組織網路(SON)的存取點才可建立連線，以便後續獨特功能的實現。

以下本發明以SSH為例進行說明。請參照圖2，其為本發明一實施例的網狀網路的示意圖。同時，網狀網路2亦為自我組織網路，換言之，其中的每個路由器，無論是作為客戶端或伺服端，均具備自我配置(Self-Configuration)、自我優化(Self-Optimization)及自我修復(Self-Healing)的能力。其中，自我配置機制在佈署網狀網路時，能依據該區域的網路規劃、網路拓樸自動地在開始運作時下載適當的初始化參數並啟動與核心網路的連線開始運作。透過自動配置參數、自動檢測減少工程師重複手動配置的過程。而自我優化機制是在此網狀網路的運轉過程中，能即時根據網路的狀況做出對應的動態設定調整，藉此讓消耗功率最小、訊號干擾最小、以及在換手時的誤判降低。自我修復機制則是當遇到自然、人為災害時導致的設備運轉錯誤，像是設備停止運轉、系統異常、參數錯誤等，由相鄰的基站即時提供援助，跨區域支援，而錯誤的基站能夠快速排除對應故障，並盡速恢復正常工作狀態。

如圖所示，在網狀網路2中，設置有一根存取點RootAP、多個延伸存取點ExtAP1、ExtAP2及多個使用者裝置UE。其中，根存取點RootAP扮演存取點角色，也是SSH認證程序裡的伺服端角色，延伸存取點ExtAP1、ExtAP2扮演客戶端角色，同時也是SSH認證程序裡的客戶端角色。

詳細而言，SSH是公認具安全性的認證協定，其以非對稱加密實現身分驗證。身分驗證以公鑰-私鑰配對來簡單地加密網路連線，隨後使用密碼認證進行登入。公鑰需要放在待存取的裝置之中，而對應的私鑰需要由客戶端自行妥善保管，不會傳輸到網路中。認證過程基於生成出來的私鑰加密資訊做比對，若符合才算成功。

而為了加速加密、解密程序的速度，分別在第一收發器10及第二收發器12中使用了加解密引擎102、122，以在作為伺服端時能進行加密程序，並在作為客戶端時能進行解密程序。在本發明的實施例中，加解密引擎102、122可以硬體、軟體或韌體的方式實現，若以軟體的方式實現，則記憶電路104、124可包括加解密引擎102、122的程式碼，並由處理器100及120來執行。

請參考圖3，其為本發明一實施例的用於網狀網路的連線建立系統的封包傳輸流程圖。此處將一併說明本發明的用於網狀網路的連線建立方法，在本實施例中，用於網狀網路的連線建立方法主要適用於一實施例的用於網狀網路的連線建立系統，並且，以前述的第一收發器10作為伺服端，以第二收發器12作為客戶端，但不限於此，在所屬領域具有通常知識者能設想的方式或各種可能性下，本實施例提供的方法亦可適用於上文中所描述的任何實施方式。

如圖3所示，本發明的用於網狀網路的連線建立方法包括下列步驟：

步驟S100：伺服端(例如，根存取點RootAP廣播信標訊號，以使連線環境中的裝置能偵測到存取點。其中，信標訊號的規格可參照圖4所示，其顯示了本發明的一實施例的信標訊號的規格範例。信標訊號上方的數字代表資訊的長度，其可包括為信標(Beacon)(Type 0x08代表此訊號類型為信標)、標籤號(Tag Number)、長度(Length)、組織性獨特識別碼(Organizationally Unique Identifier,OUI)、供應商特定類型(Vendor Specific Type)、資料(Data)等。資料可包括品牌(Brand)、型號(Model)、保護旗標(Protect Flag)訊息及保留位元(Reserved bits)。在以客戶端接收信標訊號的步驟中，更包括以客戶端依據此保護旗標訊息判斷是否進行安全連線程序。

步驟S101：客戶端(例如，延伸存取點ExtAP1)初始化安全連線建立程序，傳送安全連線請求訊號至伺服端。其中，安全連線請求訊號包括識別碼，其可為使用者識別碼、客戶端裝置品牌、客戶端裝置型號的至少其中之一，其具有唯一的獨特性。安全連線請求訊號的規格可參照圖5所示，其顯示了本發明的一實施例的安全連線請求訊號的規格範例。安全連線請求訊號上方的數字代表資訊的長度，其可包括為安全連線請求訊號(Type 0x04代表此訊號類型為安全連線請求訊號)、標籤號(Tag Number)、長度(Length)、組織性獨特識別碼(Organizationally Unique Identifier,OUI)、供應商特定類型(Vendor Specific Type)、資料(Data)等。資料可包括品牌(Brand)、型號(Model)及使用者識別碼(User ID)。

步驟S102：當伺服端接收到安全連線請求訊號，以其中的識別碼對應的公鑰將認證訊息進行加密，以產生安全連線回應訊號。此認證訊息可為隨機訊息或由序列演算法產生的序列訊息，序列演算法可包括MD5訊息摘要演算法及安全雜湊演算法(Secure Hash Algorithm,SHA)。安全連線回應訊號的規格可參照圖6所示，其顯示了本發明的一實施例的安全連線回應訊號的規格範例。安全連線回應訊號上方的數字代表資訊的長度，其可包括為安全連線回應訊號(Type 0x05代表此訊號類型為安全連線回應訊號)、標籤號(Tag Number)、長度(Length)、組織性獨特識別碼(Organizationally Unique Identifier,OUI)、供應商特定類型(Vendor Specific Type)、資料(Data)等。資料可包括品牌(Brand)、型號(Model)及加密測試(Encrypted Challenge)訊號。加密測試訊號可包括經過公鑰加密的認證訊息。

舉例而言，本步驟中的識別碼可包括前述的使用者識別碼(User ID)，且具有獨特且唯一的特性。另一方面，當使用者識別碼為流水號時，識別碼可進一步包括品牌(Brand)或型號(Model)而使識別碼具有獨特且唯一的特性。此外，伺服端可於其本地儲存有對照表，其定義了識別碼與公鑰的對應關係，且對照表亦可儲存於雲端伺服器，當伺服端接收到安全連線請求訊號時再於雲端伺服器取得加密用的公鑰。類似的，品牌(Brand)、型號(Model)、使用者識別碼(User ID)亦可儲存於本地或雲端伺服器。

步驟S103：伺服端將安全連線回應訊號傳送給客戶端。

步驟S104：當客戶端接收安全連線回應訊號，以私鑰對此安全連線回應訊號進行解密，以獲得解密訊息，並產生包括解密訊息的關聯請求訊號。此處，私鑰對應於公鑰，且可由非對稱加密機制產生。舉例而言，非對稱加密機制包括安全外殼協定(Secure Shell,SSH)及傳輸層安全性協定(Transport Layer Security,TLS)。關聯請求訊號的規格可參照圖7所示，其顯示了本發明的一實施例的關聯請求訊號的規格範例。關聯請求訊號上方的數字代表資訊的長度，其可包括為關聯請求訊號(Type 0x00代表此訊號類型為關聯請求訊號)、標籤號(Tag Number)、長度(Length)、組織性獨特識別碼(Organizationally Unique Identifier,OUI)、供應商特定類型(Vendor Specific Type)、資料(Data)等。資料可包括解密訊息。

步驟S105：客戶端傳送包括解密訊息的關聯請求訊號給伺服端。

步驟S106：伺服端接收到關聯請求訊號時，通過判斷所接收的解密訊息是否符合認證訊息，以進行認證。若解密訊息符合認證訊息，則進入步驟S107，伺服端產生授權響應訊息，並傳送包括授權響應訊息的關聯響應訊息至客戶端。

步驟S108：在客戶端接收到關聯響應訊號時，建立與伺服端的安全連線。

在本實施例中，雖然以根存取點RootAP作為伺服端，並以延伸存取點ExtAP1作為客戶端，但本發明不限於此，如圖2所示的延伸存取點ExtAP1、ExtAP2亦可作為伺服端，並與作為客戶端的其他延伸存取點進行安全連線建立程序。

通過此方式，本發明的用於網狀網路的連線建立系統及方法，可通過只允許信任的路由器才能與自我組織網路互連，來提供高度的安全性，且通過非對稱性加密方式產生的公鑰-私鑰對來輔助辨認認可的路由器，以作為後續獨特功能的實現，同時可避免在不同廠牌之間會有硬體上不相容的問題。此外，本發明還利用了現有路由器既有的認證機制，而並未引入過多的無用訊號，不會造成負荷。

請進一步參閱圖8所示，其為本發明另一實施例的用於網狀網路的連線建立方法的流程圖。本發明另一實施例提供一種用於網狀網路的連線建立方法，其至少包括下列幾個步驟：

步驟S200：客戶端將使用者識別碼、品牌及型號嵌入安全連線請求訊號。

步驟S201：以客戶端傳送安全連線請求訊號，並以一計時單元，例如計時單元128開始計時，同時產生第一計時時間，此計時單元可內建於前述實施例的第二收發器12的處理器120中。

步驟S202：以客戶端判斷是否在第一計時時間內接收到安全連線回應訊號。

另一方面，當伺服端接收到安全連線請求訊號，進入步驟S300，伺服端以公鑰將一認證訊息加密產生加密訊息。

步驟S301：伺服端進一步將加密訊息、品牌、型號嵌入安全連線回應訊號。

步驟S302：伺服端傳送安全連線回應訊號並以一計時單元，例如計時單元128開始計時，同時產生第二計時時間。此計時單元可內建於前述實施例的第一收發器10的處理器100中。

步驟S303：伺服端判斷是否在第二計時時間內接收到關聯請求訊號。

接續步驟S202，若客戶端並未在第一計時時間內收到安全連線回應訊號，則進入步驟S203，安全連線程序結束。若客戶端在第一計時時間內收到安全連線回應訊號，則進入步驟S204，以私鑰對安全連線回應訊號進行解密，以獲得解密訊息。

步驟S205：客戶端將解密訊息嵌入關聯請求訊號。

步驟S206：客戶端傳送關聯請求訊號，並以計時單元開始計時，同時產生第三計時時間。

步驟S207：客戶端判斷是否在第三計時時間內接收到關聯響應訊號。

接續步驟S303，若伺服端並未在第二計時時間內收到關聯請求訊號，則進入步驟S304，安全連線程序結束。若伺服端在第二計時時間內收到關聯請求訊號，則進入步驟S305，將關聯請求訊號中的解密訊息與認證訊息進行比對。

步驟S306：伺服端進一步判斷解密訊息是否與認證訊息符合。若否，則進入步驟S307，安全連線程序結束。若是，則進入步驟S308，以伺服端傳送關聯響應訊號。

接續步驟S207，若客戶端並未在第三計時時間內收到關聯響應訊號，則進入步驟S208，安全連線程序結束。若客戶端在第二計時時間內收到關聯響應訊號，則進入步驟S309，客戶端與伺服端建立安全連線。

綜上所述，在本發明的用於網狀網路的連線建立系統及方法中，可通過只允許信任的路由器才能與自我組織網路互連，來提供高度的安全性，且通過非對稱性加密方式產生的公鑰-私鑰對來輔助辨認認可的路由器，以作為後續獨特功能的實現，同時可避免在不同廠牌之間會有硬體上不相容的問題。此外，本發明還利用了現有路由器既有的認證機制，而並未引入過多的無用訊號，不會造成負荷。

以上所公開的內容僅為本發明的優選可行實施例，並非因此侷限本發明的申請專利範圍，所以凡是運用本發明說明書及圖式內容所做的等效技術變化，均包含於本發明的申請專利範圍內。