阅读说明：本技术 对多个接入点的基于云的wifi网络设置 (Cloud-based WIFI network setup for multiple access points ) 是由 M.I.塔斯金 M.帕坎 I.阿卡尔 K.卡克马克 于 2018-05-11 设计创作，主要内容包括：本文公开了用于便于一个或多个新的802.11接入点(AP)的自动化配置的方法、系统和设备。云服务器可以接收与一个或多个新AP的客户账户相关联的消息。云服务器可以基于该消息关联一个或多个新AP中的第一AP。云服务器然后可以检索与第一AP相关联的公钥，该第一AP具有对等私钥。云服务器可以向与客户账户相关联的网关(GW)发送该公钥。该GW可以使用该公钥将GW凭证(诸如密码和SSID)加密成密文，然后广播该信息。当该第一AP上电时，它可以使用私钥解密密文，并使用凭证作为该网关的网络中的节点。(Methods, systems, and devices for facilitating automated configuration of one or more new 802.11 Access Points (APs) are disclosed herein. The cloud server may receive messages associated with the customer accounts of the one or more new APs. The cloud server may associate a first AP of the one or more new APs based on the message. The cloud server may then retrieve a public key associated with the first AP, the first AP having a peer-to-peer private key. The cloud server may send the public key to a Gateway (GW) associated with the customer account. The GW may encrypt GW credentials (such as a password and SSID) into a cipher text using the public key and then broadcast the information. When the first AP powers up, it may decrypt the ciphertext using the private key and use the credential as a node in the gateway's network.)

对多个接入点的基于云的WIFI网络设置

相关申请的交叉引用

本申请要求2017年5月11日提交的美国临时申请No.62/504,999和2017年10月20日提交的美国临时申请No.62/575,021的权益，其内容通过引用结合于此。

技术领域

本公开涉及无线通信网络。

背景技术

企业或住宅客户可以使用宽带服务提供商(Broadband Service Provider，BSP)提供的DSL、电缆或光纤调制解调器/网关，来接入因特网。该网关还可以具有集成的无线接入点(access point，AP)，或者可以存在单独的无线AP连接到该网关的以太网端口，为整个住宅/房屋的WiFi设备提供因特网接入。在大型区域内，该网关可能无法为房屋提供完全的WiFi覆盖。在这种情况下，客户可能会抱怨WiFi覆盖不足，并请求BSP解决此问题。BSP可能建议客户使用一个或多个附加的无线AP来改进WiFi覆盖。需要系统、方法和设备来辅助BSP和客户改进新AP的设置和配置，并使之高效。

发明内容

本文公开了用于便于一个或多个新的802.11接入点(AP)的自动化配置的方法、系统和设备。云服务器可以接收与一个或多个新AP的客户账户相关联的消息。云服务器可以基于该消息关联一个或多个新AP中的第一AP。云服务器然后可以检索与第一AP相关联的公钥，该第一AP具有对等私钥。云服务器可以向与客户账户相关联的网关(gateway，GW)发送该公钥。GW可以使用该公钥将GW凭证(诸如密码和SSID)加密成密文，然后广播该信息。当该第一AP已被上电时，它可以使用私钥解密密文，并使用凭证作为该网关的网络中的节点。

附图说明

从以下描述中可以对附图有更详细的理解，但这并不旨在限制实施例的范围，而是仅作为与附图结合的示例，其中附图中相似的附图标记指示相似的元素，并且其中：

图1A示出了其中接入点被添加到无线网络的示例通信系统；

图1B示出了用于向通信系统本地添加接入点的示例过程；

图2A示出了其中接入点被添加到无线网络的示例通信系统；

图2B示出了使用云辅助向通信系统添加接入点的示例过程；

图3A示出了一个或多个第二接入点被添加到无线网络的示例通信系统；

图3B示出了使用云辅助添加一个或多个第二接入点并确定网络中最佳物理位置的示例过程；

图4A示出了其中接入点被添加到无线网络的示例通信系统；并且

图4B示出了以自动化方式使用云辅助向通信系统添加接入点的示例过程。

具体实施方式

如本文所讨论的，任何实施例、示例或描述可以结合一个或多个附图来考虑，并且不旨在表示排他性示例。此外，关于一个示例或实施例描述的系统、方法或设备的任何特征可以在另一个示例或实施例中使用，并且不旨在对一个示例或实施例是排他性的。

在某些情况下，可能需要使得向802.11无线通信系统添加新接入点(AP)的过程简化、自动化和/或更高效。具体地，在一种情况下，企业或住宅客户可以使用宽带服务提供商(BSP)提供的DSL、电缆或光纤调制解调器/网关(GW)接入因特网。该GW还可以具有集成的无线AP(例如，GW/AP)，或者可以存在单独的无线AP连接到该GW的以太网端口，为整个住宅/房屋的WiFi设备提供因特网接入。对于大型房屋，该AP可能无法提供完全的WiFi覆盖。在这种情况下，客户可能会抱怨WiFi覆盖不足，并请求BSP解决此问题。BSP然后可能建议客户使用一个或多个附加的无线AP来改进WiFi覆盖。BSP和客户然后必须协调此类添加的逻辑(logistics)，诸如添加一个或多个新AP的设置和配置。此外，新AP可以形成WiFi网格网络，或者新AP可以作为现有网络的范围扩展器。在任一种情况下，建立这样一个网络对一些客户来说可能很困难。

客户可以从BSP订购一个或多个新AP，BSP可以通过来自仓库库存数据库的全球唯一序列号为客户预留(一个或多个)新AP。一旦新AP到达，客户可以与BSP一起设置和配置新AP。替代地，BSP可以能够在BSP的云资源的辅助下，远程地设置和配置AP。替代地，BSP可以预配置现有AP，使得当新AP到达并被上电时，新AP可以自动被配置到现有GW/AP，而无需客户经过任何配置或设置过程。

AP可以使用公钥(例如，非对称)加密技术将网络凭证安全传输到新的WiFi设备/AP，使得它能够加入现有网络。设备的基于公钥的标识可以通过带外(Out-of-band)技术(例如，QR码)来促成。客户可以通过用移动应用扫描QR码来触发新设备的开通，或者BSP可以针对客户订购的新设备触发该过程，使得所述设备可以在客户的房屋首次上电后自动加入网络，而不需要客户经过设置过程。

图1A示出了其中一个接入点被添加到无线网络的示例通信系统。在这样的示例通信系统中，可能存在现有GW/AP 101，其广播无线信号以创建网络100。如本文所讨论的，GW/AP可以具有处理器、存储器、存储装置(storage)等。GW/AP 101可以基于BSP和客户之间的服务合同连接到因特网103。客户可以操作站(station,STA)102，诸如智能电话。如本文所讨论的，STA可以是任何有线或无线设备，诸如智能电话、膝上型计算机、个人计算机、平板计算机、传感器、控制开关等。STA 102可以使用有线或无线连接通过GW/AP101连接到网络100。

可能需要(诸如出于上述原因)向网络100添加新的AP 111。新AP 111可以被分配公钥标识，可以经由机器可读码(诸如QR码标签)来揭露(expose)该公钥标识。BSP可以给AP111分配具有关联QR码的公钥标识。例如，在WiFi联盟的设备开通(Provisioning)协议中，可以在没有中央权威机构或公钥基础设施的情况下使用公钥(非对称)加密技术。AP 111可以具有固件，该固件包括在硬件被制造并且固件被安装在其闪存盘上之后，在第一次启动时生成一对密钥的软件。AP 111上的系统初始化脚本可以检查密钥对是否存在，并且如果不存在，则生成密钥对。

为了确保设备的标识在其整个生命周期内不会改变，密钥对可以存储在一次写入多次读取(Write Once Read Many，WORM)数据存储设备中。如果硬件不支持WORM，密钥对可以存储在单独的分区中，并且对它的访问可能被限制为模仿类似的功能。例如，IOCTL(Input/Output Control，输入/输出控制)系统调用可被用于存储和读取密钥对。这种方法将显著降低固件升级期间意外擦除或损坏的概率。

公钥可以广泛传播，但私钥必须保密。只有配对的私钥可以解密用公钥加密的消息。网络100的现有凭证可以用该公钥加密，并由GW/AP 101广播。

在一种情况下，可以由工作人员在制造AP 111的地方，通过GW/AP 101的控制台经由将公钥从WORM设备或单独分区中读取出来的特定命令，来访问所述公钥。该公钥可以是唯一信息以及识别信息，诸如序列号和/或MAC地址，并且该唯一信息可以被转换成二维QR码，然后该二维QR码被打印在要贴附在设备上的标签上。在另一种情况下，公钥和识别信息可以存储在数据库中供以后使用(即，提供新AP)。

也可以例如通过GW/AP 101上的网络(web)服务器，来访问GW/AP101的公钥。然而，GW/AP 101必须已经获得了IP地址，以便能够从本地网络上的另一计算机下载公钥(或QR码文本和/或图像)。当QR码标签丢失或损坏，并且控制台访问不可用时，此特征可能会有所帮助。

图1B示出了用于向诸如图1A所示的通信系统本地添加接入点的示例过程。如所讨论的，AP 111可以被分配唯一信息，诸如基于公钥的标识和可以贴附到AP 111的关联QR码标签。客户可以使用具有丰富用户界面的STA102(诸如智能电话)来设置AP 111。可以在STA102上使用专用的移动应用进行家庭网络管理。客户可以使用此应用配置他/她的网络，也可以登录到他/她的云服务器帐户。该应用还可以具有嵌入式QR码扫描仪功能或其他带外功能，用于新设备开通。

在151处，在客户接收到新设备(例如，AP 111)之后，他或她简单地用STA 102上的移动应用扫描设备上的QR码。在152处，该应用从QR码中提取新设备的公钥，并将其发送到GW/AP 101。

在一种情况下，当STA 102经由例如WiFi保护接入II(WiFi Protected AccessII，WPA2)个人安全协议连接到GW/AP 101的WiFi网络100时，STA102可以使用HTTP POST请求方法，将包含在请求消息的正文中的公钥发送到GW/AP 101上的网络服务器。GW/AP 101上的专用公共网关接口(Common Gateway Interface，CGI)脚本可以接收新AP 111的公钥。GW/AP 101然后可以用新AP 111的公钥加密其网络凭证(例如，SSID、密码、安全协议)。GW/AP101然后可以将该密文添加到其信标(beacon)和探测响应(probe response)的WiFi简单配置(WiFi Simple Configuration，WSC)信息元素(Information Element，IE)的应用扩展属性。该信息可以以二进制类型标识符、长度和值(TLV)格式编码。应用扩展属性的特定16字节UUID标识了，随后的数据是网络凭证的密文。

在153处，GW/AP 101可以使用公钥来加密网络100的凭证，并广播所得到的密文。在154处，当新AP 111被开启时，它可以在STA模式下开始并扫描所有可用的信道。在该STA模式下，新AP 111可以通过处理每个信道中接收到的信标，并且还发送探测请求，然后处理接收到的探测响应，来执行被动和主动扫描两者。此外，新AP 111可以寻找WSC IE，并且当它找到WSC IE时，它寻找具有标识了用于新设备开通的凭证密文的特定16字节UUID的应用扩展属性。当新AP 111找到该数据时，它可以尝试用其自己的私钥来解密密文。如果成功，并且解密出的明文具有正确的格式，则新AP 111可以用这些凭证连接到GW/AP 101。

如果新AP 111被配置为范围扩展器，则它可以启用其AP功能，并开始接受来自网络100中的站的连接。如果新AP 111被配置为网格节点，则它现在可以在其自己和GW/AP101之间建立无线分布系统(wireless distribution system，WDS)链接。在任一种情况下，新AP 111成为网络100中的另一个AP，并且可以通过广播WiFi网络110为网络100提供更宽和改进的WiFi覆盖。通过在不使用网络外部的资源的情况下完成新AP注册过程，这可以被视为配置信息的本地开通。

即使不需要云连接，图1A和1B的方法也可以与客户的网络100的集中式远程管理相集成，并且如果在AP 111的添加过程期间需要STA 102登录到客户的云账户，还可以提供另一层安全性，因为如果不需要STA 102登录，那么连接到本地网络的任何人都可以向GW/AP 101的网络服务器发送HTTP POST请求。

图2A示出了其中使用云辅助将接入点添加到无线网络的示例通信系统。云辅助可以允许更有效和/或改进的AP添加过程。可能存在GW/AP 201，其创建网络200。STA 202可以连接到网络200的WiFi。还可以有认证服务205和远程管理服务204，它们可以通过GW/AP201通过因特网连接203来访问。远程管理服务204可以通过统一资源定位符(universalresource locator，URL)到达。认证服务205可以认证客户账户并将网络200信息存储在用户的账户下。认证服务205还可以接受来自STA 202上的管理应用的新AP添加请求，并批准或拒绝这些请求。在一些实施方式中，认证服务205可以采用或咨询另一安全服务或数据库来进行认证。认证服务205可以通知远程管理服务204哪些AP被认证为包括在网络200中。远程管理服务204可以负责与AP通信以设置它们的WiFi凭证，向AP提供指令以彼此连接，收集WiFi诊断数据，和/或提供AP放置的定位数据。

图2A所示的示例类似于图1A，因为需要添加新的AP 211来扩展或添加到网络200，然而，可以使用云辅助而不是本地手段来便于添加。如本文所讨论的，远程管理服务(例如，204)可以在连接到因特网(例如，203)的一个或多个云服务器上运行。认证服务(例如，205)可以在与远程管理服务(例如，204)相同或远程云服务器上运行。云服务器可以是具有一个或多个处理器、存储器、存储装置和通信接口的一个或多个联网计算机。

图2B示出了使用云辅助向通信系统添加接入点的更详细的示例过程。在该示例中，AP(诸如GW/AP 201或AP 211)可以被配置有通用且唯一的MAC地址或序列号以及在制造期间嵌入到AP中的配置PIN。两个标识符都可以在外部显示，诸如通过QR码、条形码或AP上的打印文本，以便其被容易地访问。新AP 211出厂可以默认关闭其WiFi服务，并且将远程管理服务204的URL存储在内部。

在251处，添加新AP 211可以从用户206向STA 202上的管理应用提供凭证(诸如预先安排的用户名/密码)开始。在252处，用户登录可以被发送到认证服务205并使用预先安排的凭证。STA 202上的管理应用也可能需要用户名/密码。在253处，认证服务205可以生成用户标识(userid，UID)。

在254处，用户206可以识别将被添加到网络200的新AP 211。这可以在255处由用户206使用STA 202上的管理应用来扫描AP 211上已经编码了AP 211的唯一信息(诸如AP211的MAC地址/序列号(MAC1)和个人识别码(PIN1))的QR码来完成。扫描QR码的这种方式或本文讨论的类似手段确保与新AP 211的物理接近，指示用户206在物理上是接近的，从而防止了识别和配置其他设备的恶意或良性尝试。收集到唯一信息之后，在256处，STA 202上的管理应用可以通过安全因特网链接将AP 211的标识符和PIN(UID、MAC1、PIN1)发送到运行在云服务器上的认证服务205。

在257处，认证服务205将数据库中传入的AP 211标识符和PIN信息与先前发送的用户206登录信息相关联。它在用户206的信息下为网络200创建随机网络标识符(randomnetwork identifier，NID)，将AP 211与该NID相关联，并将其永久存储。在这成功之后，在258处，认证服务205通知远程管理服务204：AP 211现在被认证以用于接受来自它的消息和进一步管理。

在259处，当AP 211识别完成时，给STA 202上的管理应用一成功指示符。然后指示用户206使用有线连接(例如，以太网或MOCA)将第一AP211连接到提供了到因特网203的连接GW/AP 201，然后给AP 211上电。在261处，AP 211不允许任何WiFi客户端设备关联请求，因为其WiFi尚未配置。AP 211从GW/AP 201接收IP地址，并且可以在不需要任何配置的情况下进行连接，因为它是通过有线连接进行连接的，因为WiFi默认是禁用的。在262处，AP 211向远程管理服务204发送消息，指示其已启动并正在运行，并且正在等待配置。远程管理服务204仅接受来自先前认证的AP的消息。由于AP 211先前已被认证，所以远程管理服务204接受该消息，并在263处向AP 211发送开始发送WiFi数据的消息。在264处接收到该消息后，AP 211开始向远程管理服务204发送WiFi诊断数据。

在265处，用户206现在可以经由STA 202上的管理应用为新WiFi网络210输入新的WiFi SSID和凭证。取决于添加AP 211的原因(例如，使用中继器AP扩展覆盖)，这些凭证可以是全新的或者与来自网络200的凭证相同。用户206将新凭证输入到STA 202上的管理应用中，STA 202上的管理应用又在266处将它们发送到远程管理服务204。在267处，远程管理服务204然后向AP 211发送新的凭证以生效。AP 211获取新的WiFi凭证，并相应地改变其配置。在268处，AP 211开始使用新SSID来发信标，并开始使用新凭证来认证传入的客户端请求。

在一种情况下，在269处，运行在STA 202上的管理应用试图使用新凭证连接到新的WiFi网络210。一旦新凭证在AP 211上生效，STA202就能够使用新凭证关联到AP 211，并连接到网络210。

在基于图2A的示例并且类似于图2B的过程的替代过程中，AP 211可以被添加到网络200。然而，STA202可以扫描并通过认证服务205向云服务器(例如，远程管理服务204)发送新AP 211的公钥。客户的STA202可以通过移动电话网络(未示出)或现有的WiFi网络200，经由因特网而连接到云服务器。云服务器然后可以通过其(例如，经由用于TR-069和XMPP的)因特网连接，用该公钥来响应GW/AP 201，作为定制命令(诸如“AddNewNode”)的参数。GW/AP 201可以进行到发送密文，AP 211可以对其进行解码，并且配置为类似于本文讨论的与图1A和1B相关的示例。

图3A示出了其中多个接入点被添加到无线网络的示例通信系统。正如在图2A中，新的AP 311可以被添加到连接到因特网303的GW/AP 301的网络300。一旦添加了新AP 311，它可以通过WiFi网络310向任何可能与新凭证相关联的客户端设备提供覆盖。为了扩展WiFi覆盖，客户可以添加另一新的AP 312来生成WiFi网络320，并且添加另一新的AP 313来生成WiFi网络330，以此类推，直到客户的目标实现(例如，房屋的完全覆盖)。

图3B示出了使用云辅助添加一个或多个第二接入点并确定网络中最佳物理位置的示例过程。为了向网络300添加第二新AP 312，可以首先经由STA302上的管理应用来指示用户306将AP 312放置在AP 311附近。类似于图2B的示例，用户306可以经历类似于添加AP211的AP添加过程。在354处，用户306可以通过在355处输入关于AP的唯一信息(例如，用QR码、手动地、等等)来识别附加AP(即，AP 312)。在输入被收集之后，STA302上的管理应用可以通过安全因特网链接将包括MAC地址/序列号和PIN的唯一信息发送到认证服务305。

当认证服务305接收到新AP 312的信息时，它可以通过来自STA302上的管理应用的登录会话将该信息与用户306相关联。在一些情况下，出于安全原因，会话可能会定期要求用户重新输入登录凭证。在356处，一旦用户306被识别，认证服务305确定用户306已经具有网络id(NID)，指示已经有用于该用户的网络300，并且AP 312应当被添加到网络300。在357处，认证服务305将新AP 312的信息永久存储在同一NID下。在358处，认证服务305通知远程管理服务304：这个新AP 312现在被认证以用于接受消息和进一步管理。

在359处，认证服务305然后可以向STA302上的管理应用通知：添加AP 312成功。在360处，通过STA302上的管理应用向用户306给出新AP312识别完成的成功指示符。在361处，用户306然后可以将新AP 312上电。一旦AP 312上电，它就等待来自另一接入点(即，AP311)的WiFi受保护启动(WiFi Protected Startup，WPS)事务以准许其进入WiFi网络310。然而，它不允许任何WiFi客户端设备关联请求，因为它的WiFi尚未配置。

同时，在362处，认证服务305告诉远程管理服务304：AP 312需要连接到由AP 311广播的现有WiFi网络310。在363处，远程管理服务304可以向AP 311发送消息，该消息包括AP 312的MAC地址和PIN，该消息表明AP 311应当使用利用AP 312的PIN的WPS PIN方法来连接到AP 312。在接收到该消息后，在364处，AP 311可以使用AP 312的PIN开始到AP 312的WPS PIN事务。在成功完成WPS PIN事务后，在365处，AP 312可以接收与AP 311相同的WiFi凭证，加入WiFi网络310，从网关接收IP地址，并且能够连接到因特网。它还可以开始广播新的或相同的SSID，并创建WiFi网络320，并开始接受来自任何WiFi客户端设备的认证请求。在366处，AP312向远程管理服务304发送指示其已启动并正在运行的UP消息。远程管理服务304仅接受来自先前认证的AP的消息。由于该AP 312先前已被认证，所以远程管理服务304接受该消息，并在367处向AP 312发送开始发送WiFi数据的消息。在接收到该消息后，在368处，AP开始向远程管理服务发送WiFi诊断数据。

此时，AP 311和AP 312可以在同一个网络中，进行通信，并向可以使用由用户306通过STA302上的管理应用设置的WiFi凭证进行关联的任何WiFi客户端设备提供因特网接入。用户306现在可以移动AP 312以从WiFi网络获得最佳性能。基于由AP 311和AP 312两者提供的WiFi诊断，远程管理服务可以确定关于AP 312应当如何相对于AP 311重新定位的反馈。在368处，该反馈作为消息被发送到STA 302的管理应用，并且该应用向用户306提供视觉引导以重新定位AP 312。当用户306遵循指示并重新定位AP 312时，远程管理服务304继续处理传入的WiFi诊断数据以完善定位决策，并在369处向STA 302上的管理应用提供连续反馈，该管理应用又在370处向用户306提供反馈。

如果用户想要向网络添加更多AP以扩展覆盖，可以使用上述相同的方法。用户306可以被指示将新AP 313放置在AP 311附近，其中用户306通过在STA302上的管理应用输入新AP 313的码来识别新AP 313。新AP 313可以由认证服务305认证，并且远程管理服务304可以请求AP 311使用利用AP 313的PIN的WPS PIN方法以将AP 313添加到网络中。最后，在370处，用户206可以使用从STA 302上的管理应用接收的定位反馈来重新定位AP313。使用本文描述的这些技术，可以向网络添加任意数量的新AP。

在基于图3A的示例并且类似于图3B的过程的替代过程中，AP 312可以被添加到网络300。然而，STA 302可以扫描并通过认证服务305向云服务器(例如，远程管理服务304)发送新AP 312的公钥。客户的STA 302可以通过移动电话网络(未示出)或现有的WiFi网络310，经由因特网连接到云服务器。云服务器然后可以通过其(例如，经由用于TR-069和XMPP的)因特网连接，用该公钥来响应GW/AP 201，作为定制命令(诸如“AddNewNode”)的参数。GW/AP 301可以进行到发送密文，并且AP 312可以对其进行解码，并且配置为类似于本文讨论的与图1A和1B相关的示例。替代地/附加地，AP 312可以从AP 311接收密文。

对于图2A-3B中的示例，可以添加新的AP作为网格节点或范围扩展器。在任一种情况下，客户都可以通过使用他或她的移动设备上的专用应用扫描新AP上的QR码，来触发开通过程。尽管这个过程非常直截了当，并且通过使用移动设备提供的丰富用户体验而被简化，但是它可以通过完全消除客户的参与而被进一步自动化。

图4A示出了其中接入点被添加到无线网络的示例通信系统。可以存在具有网络400(有线和/或无线)的GW/AP 401，并且可以使用本文描述的技术中的一种或其组合来添加新的AP 411。GW/AP 401可以通过因特网403连接到云服务器407。云服务器可以连接到存储公钥信息的数据库408。

图4B示出了使用云辅助向通信系统添加接入点的示例过程。在451处，该AP 411的公钥信息可以存储在数据库408中。在452处，客户可以联系BSP并订购新的WiFi AP 411。在453处，BSP可以使用云服务器来处理该客户账户的订单。替代地，BSP可以使用单独的库存管理和订单处理系统来处理订单。云服务器可以将AP 411预留到客户的账户，并标记标识出要运送的新AP的序列号和/或MAC地址。在545处，云服务器然后可以基于在订单中标记的关于AP 411的信息，访问带有公钥信息的数据库。数据库408可以是云服务器的本地数据库或远程数据库。

在455处，由于云服务器知道哪个特定AP 411将被运送给客户，所以它可以通过因特网连接403将公钥作为定制命令“AddNewNode”的参数发送给GW/AP 401，其中GW/AP 401基于该定制命令与客户的账户相关联。

在456处，GW/AP 401然后可以加密其网络凭证，并将得到的密文放置于其WSC IE的应用扩展属性中。在457处，一旦AP 411到达并开启，AP411可以解密密文并进行配置，类似于本文讨论的其他过程。然而，如果新AP411被运送给客户，可能需要一天或多天才能到达，并且在此期间不必要地增加信标和探测响应的长度可能会浪费宝贵的广播时间(airtime)。在一种方法中，凭证密文可以不被包含在每个信标中，而是可以***到每第n个信标(例如，每第10个信标)中。可以调整该周期，以在广播时间节省和当新AP到达并上电时引入的设置延迟(由于不得不等待具有密文的下一个信标更长时间，并且扫描所有可用信道时丢失具有密文的信标的概率增加)之间达成平衡。

在另一种方法中，密文可以仅被包含在探测响应的WSC IE中，并且那么仅当GW/AP401从新AP 411的MAC地址接收到探测请求时才被包含。在一个实施例中，MAC地址可以随着订单一起传输，或者对于移动STA触发新AP的实施例，可以作为识别信息被包括在QR码中。虽然这种方法确实有好处，但在一些情况下，由于无线设备驱动程序的限制，可能并不总是能够配置定制的探测请求。

如本文所讨论的，为了同时开通多个AP，可以将每个新设备的密文一起添加到信标WSC IE，或者可以以轮询调度(round-robin)的方式将最多预定数量的密文添加到每个信标，以节省广播时间。此外，对于探测响应，GW/AP可以只用WSC IE的应用扩展属性中的一个密文进行响应，该密文对应于发送了探测请求的新AP的公钥。

公钥加密系统的强度可能依赖于从私钥对应的公钥中确定恰当生成的私钥的计算上的不可行性。常见的公钥加密系统可能是Rivest-Shamir-Adleman(RSA)和椭圆曲线加密(Elliptic-Curve Cryptography,ECC)。对于RSA，一个推荐的密钥大小可以是至少2048位。对于ECC，256位长度的密钥可以达到类似等级的加密强度。因为更小的密钥大小意味着更少的信息必须被编码到QR码中，所以得到的ECC密钥的QR码可能更不密集，因此更容易被移动扫描仪应用读取。

可能用非对称加密被加密的信息量可能有限制，并且可能是很小的信息量。如果网络凭证的大小在该限制之上，则可能需要使用对称加密(例如AES)，以用随机生成的密钥加密凭证，然后用新AP的公钥加密该随机AES密钥，并且在WSC IE中包括两个密文，以便新AP可以首先用其私钥解密该随机AES密钥，然后用该AES密钥解密凭证。

虽然可以在WiFi帧中发送多个WSC IE，但在一些情况下，可能存在无法实现此特征的无线驱动程序限制。在这种情况下，在WiFi客户端和AP处于未经认证和未关联的状态时，使用802.11u中定义的公共动作帧可能有帮助。帧交换过程通用广告协议(GenericAdvertising Protocol，GAS)请求/响应和由GAS为广告服务提供的帧格式(802.11动作帧)可用于密文从GW/AP到新AP的传输。

虽然在本文的实施例和示例中讨论了QR码，但是这并不旨在限制本公开，并且这仅仅是用于启动新AP的安全开通的一种可能的带外方法。诸如近场通信(Near FieldCommunication，NFC)、蓝牙低功耗(Bluetooth Low Energy，BLE)等其他技术以及来自WiFi联盟设备开通协议的其他技术可以被用作用于安全开通新AP的带外方法。因此，通过QR码显示公钥可以扩展到经由NFC或BLE来传输公钥。

尽管以上以特定的组合描述了特征和元件，但是本领域普通技术人员将理解，每个特征或元件可以单独使用或者以与其他特征和元件的任意组合使用。此外，本文描述的方法可以在结合在计算机可读介质中以由计算机或处理器执行的计算机程序、软件或固件中实施。计算机可读介质的示例包括电子信号(通过有线或无线连接发送)和计算机可读存储介质。计算机可读存储介质的示例包括但不限于只读存储器(read only memory，ROM)、随机存取存储器(random access memory，RAM)、寄存器、高速缓冲存储器、半导体存储器设备、诸如内部硬盘和可移动盘的磁介质、磁光介质以及诸如CD-ROM盘和数字多功能盘(digital versatile disk，DVD)的光学介质。与软件相关联的处理器可以用于实施在GW、STA、AP、终端、基站、RNC或任何主机计算机中使用的通信接口。