CN101199182B - 用于为无线通信网络的管理和控制业务提供完整性保护的方法和装置 - Google Patents
用于为无线通信网络的管理和控制业务提供完整性保护的方法和装置 Download PDFInfo
- Publication number
- CN101199182B CN101199182B CN2006800212901A CN200680021290A CN101199182B CN 101199182 B CN101199182 B CN 101199182B CN 2006800212901 A CN2006800212901 A CN 2006800212901A CN 200680021290 A CN200680021290 A CN 200680021290A CN 101199182 B CN101199182 B CN 101199182B
- Authority
- CN
- China
- Prior art keywords
- management
- field
- control
- integrity protection
- professional
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Transmitters (AREA)
Abstract
这里通常公开了用于为无线通信网络的管理和控制业务提供完整性保护的方法和装置的实施例。其它实施例也被描述和要求。
Description
技术领域
本公开通常涉及无线通信系统,并且更特别地,涉及用于为无线通信网络的管理和控制业务提供完整性保护的方法和装置。
背景技术
随着无线通信在办公室、家里、学校等中变得越来越受欢迎,对于确保无线环境的安全而言,经由无线链接进行管理和控制业务的保护是关键的。在没有此种保护的情况下,无线通信网络易受安全威胁,比如拒绝服务、伪造攻击和/或向与相应网络断开的经过认证的用户传送未经过认证的消息。例如,非法设备可以模仿合法设备的认证证书(例如,媒介访问控制(MAC)地址)。因此,对经由无线链接进行的管理和控制业务的认证可以提供无线环境的数据完整性和数据机密性。
附图说明
图1是表示根据这里公开的方法和装置的一个实施例的实例无线通信系统的示意图;
图2是表示实例完整性保护系统的方框图;
图3是表示图2的实例完整性保护系统的实例通信节点的方框图;
图4是表示图2的实例完整性保护系统的实例信息要素的方框图;
图5是表示图2的实例完整性保护系统的实例完整性保护密钥等级的方框图;
图6是表示图2的实例完整性保护系统的实例管理帧的方框图;
图7是表示其中图2的实例完整性保护系统可以被配置来为无线网络的管理和控制业务提供完整性保护的一个方式的流程图;
图8是表示可被用于实现图2的实例完整性保护系统的实例处理器系统的方框图。
具体实施方式
通常,这里描述用于为无线网络的管理和控制业务提供完整性保护的方法和装置。这里所描述的方法和装置并不限于这个方面。
参见图1,这里描述的实例无线通信系统100包括一个或多个无线通信网络,通常被示为110、120和130。尽管图1描述了三个无线通信网络,但是无线通信系统100可以包括附加的或更少的无线通信网络。无线通信网络110、120和130中的每一个可以包括一个或多个通信节点。在一个实例中,无线通信网络110可以是无线网格网络。所述无线网格网络110可以包括两个或多个网格点(MP)140。尽管图1描述了五个MP,但是无线网格网络110可以包括附加的或更少的MP。MP140可以包括接入点、重分发点、结束点和/或适合于经由网状路径进行的业务流的其它连接点。
MP140可以使用各种调制技术来彼此通信,比如扩频调制(例如,直序码分多址(DS-CDMA)和/或跳频码分多址(FH-CDMA))、时分复用(TDM)调制、频分复用(FDM)调制、正交频分复用(OFDM)调制、多载波调制(MDM)和/或其它适合的调制技术。例如,MP140可以执行OFDM调制,通过将射频信号分离为随后以不同频率同时发送的多个较小的子信号来发送大量数字数据。特别地,MP140可以使用如电气与电子工程学会(IEEE)所开发的标准的802.xx家族内或这些标准的变化和演变(例如802.11、802.15、802.16等等)中描述的OFDM调制,来经由无线链接彼此通信(例如,在无线网格网络110中转发数据)。MP140还可以根据要求非常低的功率的其它适合的无线通信协议操作来彼此通信,所述其它适合的无线通信协议 比如是蓝牙、超宽带(UWB)和/或射频标识(RFID)。
无线通信系统100还可以包括无线非网格网络。在一个实例中,无线通信网络120可以是基本服务集(BSS)网络。所述BSS网络120可以包括一个或多个站150,通常被示为151、152、153和154。尽管图1描述了四个站,但是BSS 120可以包括附加的或更少的站。例如,BSS 120可以包括膝上型计算机、台式计算机、手持计算机、平板计算机、蜂窝电话、寻呼机、音频/视频设备(例如,MP3播放器)、游戏设备、导航设备(例如,GPS设备)、监视器、打印机、服务器和/或其它适合的无线电子设备。
所述站150可以经由如电气与电子工程学会(IEEE)所开发的标准的802.xx家族内或这些标准的变化和演变(例如802.11、802.15、802.16等等)中描述的无线链接进行通信。在一个实例中,所述站150可以根据IEEE开发的标准的802.16家族进行操作,该标准支持固定、便携式和/或移动宽带无线接入(BWA)网络(例如,2004年公开的IEEE标准802.16)。所述站150还可以使用直序扩频(DSSS)调制(例如,IEEE标准802.11b)和/或跳频扩频(FHSS)调制(例如,IEEE标准802.11)。此外,所述站150还可以根据要求非常低的功率的其它适合无线通信协议进行操作,以经由无线链接来进行通信,所述其它适合无线通信协议比如是蓝牙、超宽带(UWB)和/或射频标识(RFID)。或者,所述站150可以经由有线链接(未示出)来进行通信。例如,所述站150可以使用串行接口、并行接口、小计算机系统接口(SCSI)、以太网接口、通用串行总线(USB)接口、高性能串行总线接口(例如,IEEE 1394接口)、和/或其它合适类型的有线接口来进行通信。这里描述的方法和装置并不限于这个方面。
BSS 120还可以包括一个或多个通信节点(比如接入点(AP)160)来向所述站150提供无线通信服务。尽管图1描述了一个AP,但是BSS120可以包括附加的AP。所述AP160还可以结合所述站151、152、153和/或154来接收和/或发送数据。除了作为BSS网络120中的接入点进行操作外,AP160可以作为网格AP进行操作。例如,AP160可以作为无线网格网络110中的MP进行操作,以与MP140 进行通信。特别地,AP160可以结合多个MP140中的一个或多个来接收和/或发送数据。结果是,AP160可以作为网格AP操作,以与无线网格网络110中的MP140和BSS网络120中的站150两者来进行通信。
无线通信系统100还可以包括无线接入网络(RAN)130(例如,蜂窝网络)。所述RAN130可以包括一个或多个基站170。尽管图1描述了七个基站,但是RAN130可以包括附加的或更少的基站。基站170可以根据若干无线通信协议中的一个或多个来进行操作,以与无线网格网络110、BSS网络120和/或其它无线通信网络中的无线通信设备和/或节点进行通信。在一个实例中,RAN130中的基站170可以直接与BSS网络120中的基站150进行通信(例如,在不使用AP160的情况下)。特别地,这些无线通信协议可以基于模拟、数字和/或双模通信系统标准,比如基于频分多址(FDMA)的标准,基于时分多址(TDMA)的标准(例如,全球移动通信系统(GSM)、通用分组无线服务(GPRS)、增强数据型GSM环境(EDGE)、通用移动电信系统(UMTS)等)、基于码分多址(CDMA)的标准、基于宽带CDMA(WCDMA)的标准、这些标准的变形和演变、和/或其它合适的无线通信标准。这里所描述的方法和装置并不限于这个方面。
此外,无线通信系统100可以包括其它无线个人区域网(WPAN)设备、无线局域网(WLAN)设备、无线城域网(WMAN)设备和/或无线广域网(WWAN)设备,比如网络接口设备和外围设备(例如,网络接口卡(NIC))、接入点(AP)、网关、网桥、集线器等,以实现蜂窝电话系统、卫星系统、个人通信系统(PCS)、双向无线电系统、单向寻呼系统、双向寻呼系统、个人计算机(PC)系统、个人数据助理(PDA)系统、个人计算附件(Personal ComputingAccessory,PCA)系统和/或其它合适的通信系统(未示出)。相应地,无线网格网络110可以被实现来提供WPAN、WLAN、WMAN和/或其它合适的无线通信网络。尽管已经如上所述公开了特定实例,但是本公开所覆盖的范围并不限于此。
在图2的实例中,完整性保护系统200可以包括两个或多个通信节点,通常被示为第一通信节点210和第二通信节点220。第一通信节点210和第二通信节点220中的每一个可以是接入点、网格点、站或网络服务器。通常,第一通信节点210和第二通信节点220可以彼此通信,以揭示安全能力,协商安全,认证通信,管理完整性保护密钥和/或保护第一和第二通信节点210和220之间的管理或控制业务。
参见图3,通信节点300可以包括通信接口310、完整性保护生成器320和加密器330。所述通信接口310可以包括接收器312、发射器314和天线316。
通信接口310可以接收和/或发送管理和控制业务。天线316可以是一个或多个定向或全向天线,例如包括耦极子天线、单极子天线、平板天线、环形天线、微带天线和/或适合于发送射频(RF)信号的其它天线。尽管图3描述了单天线,但是通信节点300可以包括附加天线。例如,通信节点300可以包括多个天线来实现多入多出(MIMO)系统。
如同下面详细描述的,完整性保护生成器320可以生成或导出与通信节点300的管理和控制业务相关联的完整性保护信息。完整性保护生成器320可以生成成对的完整性密钥(PIK),以保证管理和控制业务的安全。特别地,完整性保护生成器320可以是本地协议组件,以协作与远程实体间的认证和密钥管理。在一个实例中,完整性保护生成器320可以是位于站(例如,无线设备)处的恳求者(supplicant)。在另一实例中,完整性保护生成器320可以是位于接入点或网格点处的认证器。基于PIK,加密器330对管理数据和/或控制数据进行加密。
虽然图3中的组件被描述为通信节点300内的分离块,但是由这些块执行的功能可以集成在单个半导体电路内,或者可以使用两个或多个分离的集成电路来实现。例如,虽然接收器312和发射器314被描述为通信接口310内的分离块,但是接收器312可以被集成进发射器314中(例如,收发信机)。在另一实例中,虽然完整性保护生成器320和加密器330被描述为分离块,但是完整性保护生成器320和加密器330可以集成进单个组件中。这里所描述的方法和装置并不限 于这个方面。
重新参见图2,例如,第一通信节点210可以是接入点(AP),第二通信节点220可以是站(STA)。AP210可以向站220通告或通知AP 210根据保证AP 210和站220之间的管理和控制业务的安全的完整性保护协议进行操作(例如,安全特性发现)。特别地,AP210向站220(230)发送与AP210相关联的安全特性信息。
在图4的实例中,信息要素(IE)400可以包括特征字段410、强制字段420,以及一个或多个IE字段,通常被示为430和440。尽管图4描述了两个IE字段,但是IE400可以包括附加的或更少的IE字段。此外,尽管图4中例示了特定的字段顺序,但是这些字段可以按照其它顺序排列。信息要素400可以是用于向通信节点(比如AP210)通告安全能力的数据结构。例如,信息要素400可以是健壮安全网络信息要素(RSN-IE)或管理协议信息要素(MP-IE)。
特征字段410可以指示AP210是否根据完整性保护协议进行操作。在一个实例中,为零(0)的比特值可以指示AP210不是根据完整性保护协议进行操作(例如,未启动完整性保护),而为1(1)的比特值可以指示AP210根据完整性保护协议进行操作(例如,启动完整性保护)。如果完整性保护未启动,则站220可以忽略或忽视来自AP210的完整性保护协议的特征信息。否则,如果完整性保护被启动,则站220可以从AP210读取完整性保护协议的特征信息,该特征信息包括强制字段420。
强制字段420可以指示管理和控制业务的完整性保护是否是强制的。特别地,为零(0)的比特值可以指示完整性保护是可选的,而为1(1)的比特值可以指示完整性保护是强制的。例如,如果特征字段410是为零(0)的比特值,则站220可以忽略或忽视强制字段420。否则,如果特征字段410是为1(1)的比特值,则站220可以通过确定强制字段420的比特值是为1(即,完整性保护是强制的)或为0(即,完整性保护是可选的),来确定管理和控制业务的完整性保护是否是强制的。这里所描述的方法和装置并不限于这个方面。
重新参见图2,AP210可以经由信标、探测答复和/或相关答复 来将信息要素400传送到站220。在一个实例中,AP210可以经由广播传输来将信标自动地发送到站220,以指示AP210根据完整性保护协议进行操作。另外或者替换地,AP210可以响应于接收到探测请求或相关请求,分别向站220发送探测答复或相关答复。
AP210和站220可以彼此通信(即,四次握手),以生成完整性保护密钥(例如,安全协商和认证)(240)。在图5的实例中,符合例如IEEE标准802.11i(2003年公布)或IEEE任务组802.11r建议中描述的无线通信协议的完整性保护密钥等级500可以包括成对的主密钥(PMK)510(例如,大的随机数)。特别地,PMK510可以是实施接入控制判定的授权令牌。
基于PMK510和伪随机功能(PRF),可以为会话生成成对的瞬时密钥(PTK)520,以开始数据加密。所述PTK520可以包括密钥确认密钥(KCK)530、密钥加密密钥(KEK)540和临时密钥(TK)550。所述KCK530可以是用于保护和保证AP210和站220之间的协商的安全的会话认证密钥。KEK540可以是用于对密钥进行加密的会话密钥。TK550可以是会话加密密钥。这里所描述的方法和装置并不限于这个方面。
为了为AP210和站220之间的管理和控制业务提供完整性保护,PTK520还可以包括成对的完整性密钥(PIK)560。如同下面结合图6进行的详细描述,PIK560可用于保护AP210和站220之间的管理和控制业务(例如,密钥管理和数据保护)(250)。例如,可以根据安全协议来使用PIK560,所述安全协议比如是采用加密块链(CBC)-消息认证码(MAC)协议(CCMP)的计数器模式,临时密钥完整性协议(TKIP),或具有一个密钥CBC MAC操作模式的高级加密标准协议。
参见图6,实例管理帧600可以包括媒介访问控制(MAC)头字段610、完整性头字段620、帧主体字段630、消息完整性代码(MIC)值字段640以及帧校验序列(FCS)字段650。例如,管理帧600可以是MAC管理协议数据单元(MMPDU)。尽管图6中例示了字段的特定顺序,但是这些字段可以按照其它顺序排列。
MAC头字段610可以包括帧控制字段、目的地址字段、站地址字段、基本服务集(BSS)字段、以及序列控制字段。特别地,序列控制字段可以包括段编号和序列编号,用于确定管理帧600是否是分段的MMPDU。AP210可以确定MMPDU是否是分段的,这是因为完整性头字段620和MIC值字段640可以增加MMPDU的大小。
完整性头字段620可以包括帧计数器622和密钥ID字段624。帧计数器字段622可以用于再现保护。例如,站210检测到管理帧600的再现,站210可以忽略和丢弃管理帧600。站210还可以记录再现的出现。所述帧计数器可以被初始化为0,或者初始化为使用硬件随机化器、软件随机化器和/或PRF随机生成的值。在每次使用管理帧600后,帧计数器加1。此外,每次生成PIK时,重新初始化帧计数器。
密钥ID字段624唯一地标识PIK 520。在一个实例中,PIK520的密钥ID可以被分配唯一的名称:PIK ID=SHA1(PMKID‖AA‖SPA‖ANonce‖SNonce)。PMK ID字段可以是PMK510的名称。AA字段可以是AP210的BSSID。SPA字段可以是站220的802.11MAC地址。ANonce和Snonce字段可以是用于导出PIK 520的会话特有信息(例如,大的随机数输入)。
MIC值字段640可以包括MIC。特别地,MIC可以指示管理帧600的内容是利用AP210和站220之间协商的PIK进行完整性保护的。所述MIC可以基于PIK560和MAC头字段610的若干子字段来进行计算。这里所描述的方法和装置并不限于这个方面。
特别地,图7描述了其中图3的实例通信节点可以被配置来为管理和控制业务提供完整性保护的一个方式。实例过程700可以被实现为机器可访问的指令,该指令使用存储在机器可访问介质的任何组合上的若干不同编程代码中的任何一个,所述机器可访问介质比如是易失性或非易失性存储器或其它海量存储设备(例如,软盘、CD和DVD)。例如,机器可访问指令可以包含在机器可访问介质中,比如可编程门阵列、专用集成电路(ASIC)、可擦除可编程只读存储器(EPROM)、只读存储器(ROM)、随机存取存储器(RAM)、磁性介质、光学介质和/或其它适合类型的介质。
此外,尽管图7中例示了动作的特定顺序,但是这些动作可以按照其它顺序执行。再次,仅仅结合图1、2和3中的装置提供和描述实例过程700,作为将通信节点配置来为无线通信网络的管理和控制业务提供完整性保护的一个方式的实例。
在图7的实例中,过程700开始于通信节点300,该通信节点300通过向其它通信节点发送与通信节点300相关联的安全特性信息,来(例如,经由通信接口310)通告通信节点300的完整性保护能力(方框710)。在一个实例中,AP 210(图2)可以向其它通信节点(比如站220)自动地发送包括IE 400的信标。另外或者替换地,AP 210可以响应于来自站220和/或其它通信节点的请求(例如,分别响应于探测请求或相关请求)而发送包括IE 400的答复(例如,探测答复或相关答复)。
通信节点300可以(例如,经由完整性保护生成器320)生成PIK(方框720)。例如,AP 210可以基于在AP 210和站220之间协商的PMK 510,(例如,经由认证器)生成PIK 520。基于该PIK,通信节点300可以(例如,经由完整性保护生成器320)生成MIC(方框730)。特别地,该MIC可以指示管理帧600的完整性由PIK 520保护。
通信节点300可以(例如,经由加密器330)利用PIK对管理消息和/或控制消息进行加密(方框740)。例如,AP 210可以利用PIK对管理帧600进行加密,并且计算MIC来保护MAC头字段610、完整性头字段620、帧主体字段630和/或管理帧600的其它适合字段的完整性。相应地,通信节点300可以(例如,经由通信接口310)保护通信节点300的管理和/或控制业务(方框750)。在一个实例中,AP 210可以向站220发送管理帧600。这里所描述的方法和装置并不限于这个方面。
尽管上述实例是相对于AP和站进行描述的,但是这里所描述的方法和装置可以被实现来为其它通信节点之间的管理和控制业务提供完整性保护。在一个实例中,这里所描述的方法和装置可以被实现来为两个或多个AP或站之间的管理和控制业务提供完整性保护。在 另一实例中,这里所描述的方法和装置可以被实现来为AP和认证服务器(未示出)之间的管理和控制业务提供完整性保护。
图8是适于实现这里所描述的方法和装置的实例处理器系统2000的方框图。所述处理器系统2000可以是台式计算机、膝上型计算机、手持计算机、平板计算机、PDA、服务器、因特网装置和/或其它类型的计算设备。
图8中例示的处理器系统2000包括芯片组2010,其包括存储器控制器2012和输入/输出(I/O)控制器2014。芯片组2010可以提供存储器和I/O管理功能以及多个通用和/或专用寄存器,定时器等,其可由处理器2020访问或使用。处理器2000可以使用一个或多个处理器、WLAN组件、WMAN组件、WWAN组件和/或其它合适的处理组件来实现。例如,处理器2020可以使用 
技术、 
技术、 
CentrinoTM技术、 XeonTM技术和/或 
技术中的一种或多种来实现。在替代方案中,其它处理技术可以被使用来实现处理器2020。处理器2020可以包括高速缓存2022,其可以使用第一级统一高速缓存(L1)、第二级统一高速缓存(L2)、第三级统一高速缓存(L3)和/或任何其它合适的结构来存储数据。
存储器控制器2012可以执行使得处理器2020能够经由总线2040访问和与主存储器2030进行通信的功能,该主存储器2030包括易失性存储器2032和非易失性存储器2034。易失性存储器2032可以利用同步动态随机存取存储器(SDRAM)、动态随机存取存储器(DRAM)、RAMBUS动态随机存取存储器(RDRAM)和/或其它类型的随机存取存储器设备来实现。非易失性存储器2034可以使用快闪存储器、只读存储器(ROM)、电可擦写可编程只读存储器(EEPROM)和/或其它类型的存储器设备来实现。
处理器系统2000还可以包括耦合至总线2040的接口电路2050。接口电路2050可以使用任何类型的接口标准来实现,比如以太网接口、通用串行总线(USB)、第三代输入/输出(3GIO)接口和/或其它合适类型的接口。
一个或多个输入设备2060可以连接到接口电路2050。输入设备2060允许个体将数据和命令输入到处理器2020。例如,输入设备2060可以利用键盘、鼠标、触摸敏感显示器、轨迹板(track pad)、轨迹球、Isopoint和/或语音识别系统来实现。
一个或多个输出设备2070可以连接到接口电路2050。例如,输出设备2070可以利用显示设备(例如,发光显示器(LED)、液晶显示器(LCD)、阴极射线管(CRT)显示器、打印机和/或扬声器)来实现。除此之外,接口电路2050可以包括图形驱动卡。
处理器系统2000还可以包括一个或多个海量存储设备2080来存储软件和数据。此种海量存储设备2080的实例包括软盘和驱动器、硬盘驱动器、压缩盘和驱动器、以及数字通用盘(DVD)和驱动器。
接口电路2050还可以包括通信设备(比如调制解调器或网络接口卡)来便于经由网络与外部计算机交换数据。处理器系统2000和网络之间的通信链接可以是任何类型的网络连接,比如以太网连接、数字用户线路(DSL)、电话线路、蜂窝电话系统、同轴线缆等。
对输入设备2060、输出设备2070、海量存储设备2080和/或网络的访问可以由I/O控制器2014来进行控制。特别地,I/O控制器2014可以执行使得处理器2020能够经由总线2040和接口电路2050与输入设备2060、输出设备2070、海量存储设备2080和/或网络进行通信的功能。
虽然图8中的组件被描述为处理器系统2000内的分离块,但是由这些块中的一些执行的功能可以集成在单个半导体电路内,或者可以使用两个或多个分离的集成电路来实现。例如,虽然存储器控制器2012和I/O控制器2014被描述为芯片组2010内的分离块,但是存储器控制器2012和I/O控制器2014可以集成进单个组件中。
虽然这里已经描述了特定实例方法、装置和产品,但是本公开的覆盖范围并不限于此。相反,本公开覆盖文字上或在等价物的原则下清楚地落入所附权利要求的范围内的所有方法、装置和产品。例如,虽然上述公开的实例系统除其它组件外,包括在硬件上执行的软件或固件,但是应该注意到,此种系统仅仅是例示性的,并不认为是限制性的。特别地,所预期的是,所公开的硬件、软件和/或固件组件中 的任何一个或所有应该被排他地具体化为硬件、排他地具体化为软件、排他地具体化为固件,或者排他地具体化为硬件、软件和/或固件的一些组合。
Claims (17)
1.一种用于为无线网络的管理和控制业务提供完整性保护的方法,包括:
由通信节点发送信息要素IE,所述IE包括特征字段,该特征字段指示所述通信节点是否根据专用于管理和控制业务的完整性保护协议进行操作;并且所述IE还包括强制字段,该强制字段通告所述用于管理和控制业务的完整性保护协议是否是强制的;
由所述通信节点生成成对的瞬时密钥PTK,所述PTK包括成对的完整性密钥PIK,其中所述PIK被配置为保护由所述通信节点发送的管理业务或控制业务的完整性;
由所述通信节点生成管理或控制业务,所述管理或控制业务包括根据所述PIK得出的、用于保护所述管理或所述控制业务的完整性的完整性头字段和消息完整性代码值字段中的至少一个;以及
由所述通信节点发送所述生成的管理或控制业务。
2.如权利要求1所述的方法,其中,发送所述IE包括经由信标、探测答复或相关答复中的一个来发送所述IE。
3.如权利要求1所述的方法,其中,发送所述IE包括下述发送方式中的一种:经由广播传输来自动地发送所述IE,或者响应于接收到探测请求或相关请求中的一个请求,经由单播传输来发送所述IE。
4.如权利要求1所述的方法,其中,所述信息要素包括健壮安全网络信息要素或管理协议信息要素中之一。
5.如权利要求1所述的方法,其中,所述通信节点包括接入点、站、网格点或网络服务器中之一。
6.如权利要求1所述的方法,其中,所述生成所述PTK包括基于成对的主密钥生成所述PTK。
7.如权利要求1所述的方法,还包括基于所述生成的PIK生成消息完整性代码。
8.如权利要求1所述的方法,其中所述完整性头字段包括帧计数器或密钥标识符中至少之一。
9.如权利要求1所述的方法,其中,生成所述管理或控制业务还包括:生成包括媒介访问控制(MAC)管理协议数据单元的管理或控制业务。
10.如权利要求1所述的方法,其中所述管理或控制业务还包括:用于检测所述管理或控制业务的再现的帧计数器字段,其中,在每次使用单独的管理或控制业务之后,由所述通信节点来使所述帧计数器字段加1,并且其中,每次生成PIK时,重新初始化所述帧计数器字段。
11.一种用于为无线网络的管理和控制业务提供完整性保护的装置,包括:
通信接口,用于发送与通信节点相关联的信息要素IE,所述IE包括特征字段,该特征字段指示所述通信节点根据专用于管理和控制业务的完整性保护协议的可操作性;并且所述IE还包括强制字段,该强制字段通告所述用于管理和控制业务的完整性保护协议是否是强制的;以及
完整性保护生成器,其耦合到所述通信接口,用于生成成对的瞬时密钥PTK,所述PTK包括成对的完整性密钥PIK,其中所述PIK被配置为保护与所述通信节点的管理业务或控制业务中之一相关联的完整性;
其中,所述通信接口还被配置为发送管理或控制业务,所述管理或控制业务包括根据所述PIK得出的并且被配置用于保护所述管理或所述控制业务的完整性的完整性头字段和消息完整性代码值字段中的至少一个,其中所述管理或控制业务还包括用于检测所述管理或控制业务的再现的帧计数器字段,其中,在每次使用单独的管理或控制业务之后,由所述通信节点来使所述帧计数器字段加1,并且其中,每次生成PIK时,重新初始化所述帧计数器字段。
12.如权利要求11所述的装置,其中,所述通信接口被配置来经由信标、探测答复或相关答复中之一来发送所述IE。
13.如权利要求11所述的装置,其中,所述信息要素包括健壮安全网络信息要素或管理协议信息要素中之一。
14.如权利要求11所述的装置,其中,所述通信接口被配置来发送与接入点、站、网格点或网络服务器中之一相关联的IE。
15.如权利要求11所述的装置,其中所述完整性头字段包括帧计数器或密钥标识符中至少之一。
16.如权利要求11所述的装置,其中,所述完整性保护生成器被配置来基于成对的主密钥生成所述PTK。
17.如权利要求11所述的装置,其中,所述完整性保护生成器包括恳求者或认证器中之一。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/155,148 | 2005-06-16 | ||
| US11/155,148 US7647508B2 (en) | 2005-06-16 | 2005-06-16 | Methods and apparatus for providing integrity protection for management and control traffic of wireless communication networks |
| PCT/US2006/023692 WO2006138688A1 (en) | 2005-06-16 | 2006-06-16 | Methods and apparatus for providing integrity protection for management and control traffic of wireless communication networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101199182A CN101199182A (zh) | 2008-06-11 |
| CN101199182B true CN101199182B (zh) | 2012-10-31 |
Family
ID=37087747
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800212901A Active CN101199182B (zh) | 2005-06-16 | 2006-06-16 | 用于为无线通信网络的管理和控制业务提供完整性保护的方法和装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US7647508B2 (zh) |
| CN (1) | CN101199182B (zh) |
| DE (1) | DE112006001511T5 (zh) |
| GB (1) | GB2441277B (zh) |
| TW (1) | TWI341118B (zh) |
| WO (1) | WO2006138688A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110121168A (zh) * | 2018-02-06 | 2019-08-13 | 华为技术有限公司 | 安全协商方法及装置 |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8862866B2 (en) | 2003-07-07 | 2014-10-14 | Certicom Corp. | Method and apparatus for providing an adaptable security level in an electronic communication |
| US7647508B2 (en) * | 2005-06-16 | 2010-01-12 | Intel Corporation | Methods and apparatus for providing integrity protection for management and control traffic of wireless communication networks |
| WO2007011718A2 (en) * | 2005-07-19 | 2007-01-25 | Wms Gaming Inc. | Wireless mesh networking in wagering game environments |
| US7392037B2 (en) * | 2005-08-19 | 2008-06-24 | Intel Corporation | Wireless communication device and methods for protecting broadcasted management control messages in wireless networks |
| US20070140195A1 (en) * | 2005-12-20 | 2007-06-21 | Ilan Kaftan | Method and system for providing ip services using cable and wireless infrastructure |
| US20070286138A1 (en) * | 2006-02-21 | 2007-12-13 | Kaftan Iian | Method and system for providing ip services using cable infrastructure |
| US7809354B2 (en) * | 2006-03-16 | 2010-10-05 | Cisco Technology, Inc. | Detecting address spoofing in wireless network environments |
| KR20080112082A (ko) * | 2006-04-07 | 2008-12-24 | 파나소닉 주식회사 | 데이터 암호화방법, 암호화데이터 재생방법 |
| US8688978B2 (en) * | 2006-04-13 | 2014-04-01 | Certicom Corp. | Method and apparatus for providing an adaptable security level in an electronic communication |
| KR100954820B1 (ko) * | 2007-01-22 | 2010-04-28 | 이노베이티브 소닉 리미티드 | 무선통신시스템에서 다중입력 다중출력(mimo)프로세스를 개선하는 방법 및 장치 |
| US20100091993A1 (en) * | 2007-02-02 | 2010-04-15 | Panasonic Corporation | Wireless communication device and encryption key updating method |
| US20080205385A1 (en) * | 2007-02-26 | 2008-08-28 | Motorola, Inc. | Data frame formats to improve groupcast efficiency in multi-hop wireless networks |
| US8010778B2 (en) * | 2007-06-13 | 2011-08-30 | Intel Corporation | Apparatus and methods for negotiating a capability in establishing a peer-to-peer communication link |
| IL187042A0 (en) * | 2007-10-30 | 2008-02-09 | Sandisk Il Ltd | Write failure protection for hierarchical integrity schemes |
| US9319956B2 (en) * | 2008-01-15 | 2016-04-19 | International Business Machines Corporation | Method and apparatus for maintaining communications connections over a distributed wireless network |
| KR101570039B1 (ko) * | 2008-06-03 | 2015-11-27 | 삼성전자주식회사 | 보안 연계와 관련된 다수 연결 패킷들 결합하여 암호화 오버헤드를 줄이기 위한 시스템 및 방법 |
| CN101626373B (zh) * | 2008-07-11 | 2012-06-06 | 华为技术有限公司 | 超宽带系统的报文处理方法、装置和系统 |
| US8943305B2 (en) * | 2009-01-30 | 2015-01-27 | Texas Instruments Incorporated | Frame structure for medium access in body area networks (BAN) |
| CN101510825B (zh) * | 2009-02-25 | 2014-04-30 | 中兴通讯股份有限公司 | 一种管理消息的保护方法及系统 |
| US8725196B2 (en) | 2010-11-05 | 2014-05-13 | Qualcomm Incorporated | Beacon and management information elements with integrity protection |
| US9572026B2 (en) * | 2012-10-16 | 2017-02-14 | Cisco Technology, Inc. | Location services for a wireless device |
| CN104092674A (zh) * | 2014-06-30 | 2014-10-08 | 广东九联科技股份有限公司 | 一种基于机顶盒的路由器网络安全检测方法及系统 |
| US9436819B2 (en) * | 2014-09-23 | 2016-09-06 | Intel Corporation | Securely pairing computing devices |
| US10555177B2 (en) | 2015-10-05 | 2020-02-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Method of operation of a terminal device in a cellular communications network |
| US10708279B2 (en) * | 2015-12-24 | 2020-07-07 | Electronics And Telecommunications Research Institute | Method and apparatus for transmitting data |
| CN109391981B (zh) * | 2017-08-08 | 2021-07-06 | 维沃移动通信有限公司 | 一种完整性保护方法及装置 |
| CN107820243B (zh) * | 2017-11-01 | 2021-08-13 | 东莞理工学院 | 一种无线多跳自组织网络加密密钥动态加载装置和方法 |
| EP3681046B1 (en) * | 2019-01-10 | 2022-07-20 | Nxp B.V. | Key derivation scheme for data frame transmission in ultra-wide band ranging in keyless entry systems |
| US11546323B1 (en) * | 2022-08-17 | 2023-01-03 | strongDM, Inc. | Credential management for distributed services |
| US11736531B1 (en) | 2022-08-31 | 2023-08-22 | strongDM, Inc. | Managing and monitoring endpoint activity in secured networks |
| US11765159B1 (en) | 2022-09-28 | 2023-09-19 | strongDM, Inc. | Connection revocation in overlay networks |
| US11916885B1 (en) | 2023-01-09 | 2024-02-27 | strongDM, Inc. | Tunnelling with support for dynamic naming resolution |
| US11765207B1 (en) | 2023-03-17 | 2023-09-19 | strongDM, Inc. | Declaring network policies using natural language |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0645912A2 (en) * | 1993-08-25 | 1995-03-29 | International Business Machines Corporation | Communication network access method and system |
| CN1484403A (zh) * | 2002-09-20 | 2004-03-24 | 华为技术有限公司 | 网络系统中内容分发的方法 |
| CN1489870A (zh) * | 2000-12-29 | 2004-04-14 | �������繫˾ | 用于为无线设备提供路由协议的方法和系统 |
| CN1625132A (zh) * | 2003-12-05 | 2005-06-08 | 微软公司 | 无线网络类型的自动检测 |
| US6986046B1 (en) * | 2000-05-12 | 2006-01-10 | Groove Networks, Incorporated | Method and apparatus for managing secure collaborative transactions |
| CN1922824A (zh) * | 2004-03-17 | 2007-02-28 | 英特尔公司 | 无线lan中的管理帧的保护 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7366894B1 (en) * | 2002-06-25 | 2008-04-29 | Cisco Technology, Inc. | Method and apparatus for dynamically securing voice and other delay-sensitive network traffic |
| US7594262B2 (en) * | 2002-09-04 | 2009-09-22 | Secure Computing Corporation | System and method for secure group communications |
| US20050086465A1 (en) | 2003-10-16 | 2005-04-21 | Cisco Technology, Inc. | System and method for protecting network management frames |
| KR100735577B1 (ko) * | 2004-08-12 | 2007-07-04 | 삼성전자주식회사 | 무선 네트워크의 적응형 키검색장치 및 방법 |
| US7647508B2 (en) * | 2005-06-16 | 2010-01-12 | Intel Corporation | Methods and apparatus for providing integrity protection for management and control traffic of wireless communication networks |
-
2005
- 2005-06-16 US US11/155,148 patent/US7647508B2/en active Active
-
2006
- 2006-06-16 DE DE112006001511T patent/DE112006001511T5/de not_active Withdrawn
- 2006-06-16 TW TW095121674A patent/TWI341118B/zh not_active IP Right Cessation
- 2006-06-16 CN CN2006800212901A patent/CN101199182B/zh active Active
- 2006-06-16 WO PCT/US2006/023692 patent/WO2006138688A1/en active Application Filing
-
2007
- 2007-12-18 GB GB0724616A patent/GB2441277B/en active Active
-
2009
- 2009-08-27 US US12/583,953 patent/US8010780B2/en not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0645912A2 (en) * | 1993-08-25 | 1995-03-29 | International Business Machines Corporation | Communication network access method and system |
| US6986046B1 (en) * | 2000-05-12 | 2006-01-10 | Groove Networks, Incorporated | Method and apparatus for managing secure collaborative transactions |
| CN1489870A (zh) * | 2000-12-29 | 2004-04-14 | �������繫˾ | 用于为无线设备提供路由协议的方法和系统 |
| CN1484403A (zh) * | 2002-09-20 | 2004-03-24 | 华为技术有限公司 | 网络系统中内容分发的方法 |
| CN1625132A (zh) * | 2003-12-05 | 2005-06-08 | 微软公司 | 无线网络类型的自动检测 |
| CN1922824A (zh) * | 2004-03-17 | 2007-02-28 | 英特尔公司 | 无线lan中的管理帧的保护 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110121168A (zh) * | 2018-02-06 | 2019-08-13 | 华为技术有限公司 | 安全协商方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW200709633A (en) | 2007-03-01 |
| GB0724616D0 (en) | 2008-01-30 |
| CN101199182A (zh) | 2008-06-11 |
| GB2441277A (en) | 2008-02-27 |
| DE112006001511T5 (de) | 2008-05-08 |
| US8010780B2 (en) | 2011-08-30 |
| US7647508B2 (en) | 2010-01-12 |
| TWI341118B (en) | 2011-04-21 |
| US20090327694A1 (en) | 2009-12-31 |
| US20060288204A1 (en) | 2006-12-21 |
| GB2441277B (en) | 2010-02-10 |
| WO2006138688A1 (en) | 2006-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101199182B (zh) | 用于为无线通信网络的管理和控制业务提供完整性保护的方法和装置 | |
| JP6592578B2 (ja) | 基地局を自己構成する方法および装置 | |
| US7787627B2 (en) | Methods and apparatus for providing a key management system for wireless communication networks | |
| US8331567B2 (en) | Methods and apparatuses for generating dynamic pairwise master keys using an image | |
| CN101473668B (zh) | 用于对初始信令消息中的原始用户标识进行安全保护的方法和设备 | |
| US8538023B2 (en) | Methods and apparatuses for administrator-driven profile update | |
| EP1972125B1 (en) | Apparatus and method for protection of management frames | |
| KR101248906B1 (ko) | 무선 랜에서의 키 교환 방법 | |
| CN101164315A (zh) | 利用通信网络中无线通信协议的系统和方法 | |
| CN101512537A (zh) | 在自组无线网络中安全处理认证密钥资料的方法和系统 | |
| WO2006131826A2 (en) | Exchange of key material | |
| CN104955038A (zh) | 分配寻址标识的方法及接入点、站点和通信系统 | |
| CN103430478A (zh) | 用于在无线通信系统中加密短数据的方法和设备 | |
| WO2019129346A1 (en) | Wireless authentication apparatus, system and method | |
| WO2001069838A2 (en) | Method, and associated apparatus, for generating security keys in a communication system | |
| Berchtold et al. | Secure communication protocol for a low-bandwidth audio channel | |
| Tomai et al. | Issues in WiFi networks | |
| Spence et al. | Security of Wireless Technologies: IEEE 802.11 Wireless LAN and IEEE 802.15 Bluetooth |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200401 Address after: California, USA Patentee after: Apple Inc. Address before: California, USA Patentee before: INTEL Corp. |