CN101208981A - 在无线网络中协商保护管理帧的安全参数 - Google Patents
在无线网络中协商保护管理帧的安全参数 Download PDFInfo
- Publication number
- CN101208981A CN101208981A CNA2006800172497A CN200680017249A CN101208981A CN 101208981 A CN101208981 A CN 101208981A CN A2006800172497 A CNA2006800172497 A CN A2006800172497A CN 200680017249 A CN200680017249 A CN 200680017249A CN 101208981 A CN101208981 A CN 101208981A
- Authority
- CN
- China
- Prior art keywords
- frame
- management
- group
- management frames
- access point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
一种系统和方法为无线站和接入点提供协商用于保护管理帧的安全参数的机制。接入点和站确定它们能够并期望保护哪些管理帧。然后在站与接入点之间交换指示受保护帧的数据以选择待保护的管理帧和用于保护这些管理帧的保护机制。
Description
技术领域
本发明涉及无线通信。本发明的某些实施方式涉及协商可用于保护无线节点之间通信的管理帧的安全参数。
背景
无线网络的使用持续高速增长。无线网络因许多原因而具有吸引力。它们方便,它们允许灵活性和漫游,并且可支持动态环境。此外,与其有线对应物相比,它们安装相对简单。在某些情形中,例如在较陈旧的建筑物中,部署它们可能更加便宜。整个网络可在约几小时而非几天内连接在一起,而不需要配线或重新配线。在许多情况下,尽管有线LAN卡的成本更低,但无线网络还是比其有线对应物保有成本更低。
虽然当前无线网络有许多优点,但是它们也伴随有安全问题。因为不需要物理连接,所以带有兼容无线网络接口的任何一方都可以检查无线分组,而不管这些分组是否传向其系统。虽然已经实现了用于对无线网络上传输的数据帧进行加密的标准,但是它们对管理帧并不正确。结果,无线网络仍然易受攻击,这些攻击可中断其它用户的无线会话或者使其它会话的安全状态降级。此外,缺乏对管理帧的保护使无线网络用户向“中间人”攻击开放,其中攻击者能在任一方都不知道他们之间的无线链路已发生泄密的情况下读取、插入和更改双方之间的消息。
附图简述
图1A示出根据本发明某些实施方式的示例无线网络;
图1B示出根据本发明某些实施方式的网络设备的进一步细节;
图2是根据本发明某些实施方式的管理帧保护协商过程的流程图;
图3A和3B示出根据本发明某些实施方式的管理帧保护协商过程的消息序列;
图4A和4B是根据本发明某些实施方式的管理帧的框图;
图5A和5B是根据本发明某些实施方式的管理保护信息元素的框图。
详细描述
以下描述和附图示出本发明的具体实施方式,足以使本领域技术人员能够实施。其它实施方式可结合结构、逻辑、电气、进程和其它变化。示例仅仅代表可能的变型。除非明确需要,否则个别组件和功能是可任选的,且操作的顺序可改变。某些实施方式的部分和特征可被包含在其它实施方式中或代替其中的那些。权利要求书中阐述的本发明的实施方式涵盖这些权利要求的所有可用的等效方案。本发明的实施方式可仅为方便而由术语“本发明”单独或共同指代并且如果实际公开了一个以上,则不旨在自愿将本申请的范围限制在任何单个发明或发明概念上。
在附图中,相同的附图标记通篇用于指代在多个附图中出现的相同组件。信号和连接可由相同的附图标记或标签指代,且实际意思可从其在说明书上下文中的使用而变得清楚。
图1示出根据本发明某些实施方式的示例无线网络100的组件。在某些实施方式中,网络100可包括一个或多个接入点102以及一个或多个站106。接入点102向无线站106提供对有线或无线网络110的接入。网络110可以是任何类型的网络,其示例包括但不局限于局域网、广域网或公司内联网。接入点102可以是独立接入点,或者它可以作为诸如网桥、路由器或交换机等另一网络设备的一部分结合在内。为了与接入点102可靠地通信,站106必须在接入点102的通信范围104之内。
站106可以是能够与其它设备无线通信的任何类型的设备。通常这种设备可包括个人计算机、服务器计算机、大型计算机、膝上型计算机、便携式手持计算机、机顶盒、智能设备、个人数字助理(PDA)、无线电话、web平板计算机、无线耳机、寻呼机、即时消息通信设备、数码相机、数字视频接收器、电视机或可无线地接收和/或发送信息的其它设备以及上述设备的混合。
在某些实施方式中,站和接入点使用由电气和电子工程师协会(IEEE)为无线通信建立的协议和标准彼此通信。例如,某些实施方式遵守用于无线LAN(WLAN)的IEEE 802.11标准,即1999年发布的IEEE std.802.11-1999和以后版本(下文称为“IEEE 802.11标准”)。然而,本文所述的系统和方法可应用于其它类型的无线网络。这种网络的示例包括IEEE 802.16无线广域网(WWAN)和诸如IEEE 802.3以太局域网(LAN)等有线网络。
在某些实施方式中,接入点可被视为特殊类型的站,如IEEE为无线通信所定义的一样。某些实施方式遵守IEEE 802.11标准。然而,本文所述的系统和方法可被应用于在所有类型的IEEE 802.11站之间通信,包括两个站之间、一个站与一个接入点之间、或两个接入点之间。
由于站106落在接入点102的范围104内,站和接入点通常启动被设计成在站106与接入点之间发起通信会话的一系列消息。在某些实施方式中,站106是可以离开一个接入点的范围并进入一个或多个其它接入点的范围的便携式或移动设备,即站106可从一个接入点漫游到另一个。在如图1所示的示例中,站106.2已经离开接入点102.1的范围104.1,并且已经进入接入点102.2和102.3各自的范围104.2和104.3内。在此情形中,站106.2通常选择接入点102.2或102.3之一以继续能够通过网络110来接入系统。以下提供在各个实施方式中用来与接入点安全地建立通信并漫游到另一接入点的方法和消息的进一步细节。
图1B示出根据本发明某些实施方式包含在网络设备中的组件的进一步细节。图1B中所示的组件可被结合在诸如无线接入点、无线站和无线网络接口卡等网络设备中。在某些实施方式中,这些组件包括较高网络层120、媒体访问控制(MAC)122、物理层(PHY)124和一根或多根天线126。
在某些实施方式中,较高网络层包括在MAC 122层上操作的一个或多个协议层。在某些实施方式中,该层可包括应用程序层、表示层、会话层、传输层或网络层中一个或多个。此外,该层可包括诸如TCP/IP协议(传输控制协议/互联网协议)等协议。
MAC 122在较高网络层120与物理层124之间操作。从较高网络层120接收的网络数据被处理并经由物理层124发送到其它网络节点。从物理层124接收的网络数据被处理并发送到较高网络层120以供处理。
在某些实施方式中,物理层124可根据特定的通信标准,诸如包括用于无线局域网(WLAN)的IEEE 802.11(a)、802.11(b)、802.11(g/h)和/或802.11(n)标准和/或用于无线网状网络的IEEE 802.11(s)和IEEE 802.11(e)标准的IEEE标准,来发射和/或接收RF通信,然而物理层124也可适于根据其它技术来发射和/或接收通信。
天线126可包括一个或多个方向或全向天线,包括例如偶极天线、单极天线、接线天线(patch antenna)、环形天线、微带天线或适用于由物理层124接收和/或发射RF信号的任何类型的天线。
在某些实施方式中,MAC 122、物理层124和天线126被结合在网络接口卡(NIC)128上。NIC 128可以是计算机系统的一个组件并且向计算机系统提供无线网络能力。
以下描述参考管理帧。为本说明书目的,管理帧包括不涉及通信数据帧的任何帧。因此,管理帧包括连接建立相关的帧和连接维护帧。管理帧的示例包括在IEEE 802.11标准中定义的管理帧,并且还可包括如在对IEEE 802.11标准的修改IEEE 802.11(e)、802.11(h)、802.11(k)和802.11(v)中定义的动作帧。此外,本领域技术人员将理解管理帧可包括以后开发的管理帧和动作帧。
图2是根据本发明某些实施方式的管理帧保护协商方法的流程图。该方法通过发射包括指示发射器愿意保护的一组管理帧类型的数据的第一管理帧而开始(框202)。通常,第一管理帧包括由接入点发出的信标管理帧或探测响应管理帧。因此,接入点可在信标帧或探测响应帧中告知管理帧保护的可用性。然而,本发明的实施方式并不局限于特定类型的第一管理帧。在替换实施方式中,第一管理帧可以是关联帧、关联响应帧、重新关联帧、重新关联响应帧或诸如EAPOL(局域网上的可扩展认证协议)消息帧等安全握手信息。在某些实施方式中,指示该组管理帧类型的数据被包含在以下进一步详细描述的管理保护信息元素中。
然后,接收第二管理帧,它包括指示消息始发者期望保护的第二组管理帧的数据(框204)。在某些实施方式中,第二管理帧可以是关联请求帧。在替换实施方式中,第二管理帧可以是关联响应帧、重新关联响应帧、或诸如EAPOL消息帧等安全握手消息。在某些实施方式中,指示该组管理帧类型的数据被包含在以下将进一步描述的管理保护信息元素中。
然后,在第一和第二管理帧中的管理帧之间进行比较以确定作为对两个通信系统通用的一组受保护管理帧的那些帧(框206)。使用相互可接受的安全机制来保护该组受保护管理帧内的后续的管理帧实例(框208)。在某些实施方式中,可以使用的安全机制被包含在第一和第二管理帧中。可选择第一和第二管理帧两者共用的安全机制来用于保护后续的管理帧。
在某些实施方式中,可被保护的管理帧包括解除关联帧、解除认证帧、QoS(服务质量)动作帧、无线电测量动作帧、无线电频谱测量动作帧、和无线网络管理动作帧。然而,其它类型的管理帧也可被保护,并且实施方式不局限一组于特定的可保护管理帧。
图3A示出根据本发明某些实施方式的管理帧保护协商过程的消息序列。该消息序列以接入点广播信标帧开始(消息302)。接入点周期性地发送信标帧以宣告其存在并中继信息。在某些实施方式中,信标帧包括指示接入点愿意保护哪一管理帧的数据。例如,可如下图3A或3B中所述地格式化信标帧以包括如图5A或5B中所述的管理保护信息元素(MP-IE)。
然后,站将探测请求发送到它期望与之通信的接入点(消息304)。一个站在它需要从另一个站获得信息时发送探测请求帧。例如,站可发送探测请求以确定在范围内的接入点。
然后,接入点发送探测响应(消息306)。探测响应通常提供能力信息、支持的数据速率等。在某些实施方式中,探测响应将包括MP-IE。
然后,站发送关联请求(消息308)。关联请求使接入点能够为站分配资源并与其同步。在某些实施方式中,关联请求可包含指示该站期望保护哪些管理帧的MP-IE。
然后,接入点发送关联响应(消息310)。关联响应包括对请求关联的站的接受或拒绝通知。在某些实施方式中,关联响应可包括指示接入点将要保护的管理帧的MP-IE。如果接入点接受该站,则响应包括关于关联的信息,诸如关联ID和支持的数据速率。如果关联结果是肯定的,则该站可利用接入点拉与网络110上该接入点旁的其它设备和系统通信。
然后,接入点和站完成EAP认证(312),且建立称为PMK的共享秘密。该站与接入点然后开始包括消息314-320的EAPOL握手。握手消息可包括在先前分别由STA和AP发送的管理消息中的、确定接入点和站同意保护的管理帧的相同MP-IE。在某些实施方式中,握手消息可如下图4A或4B所述地格式化以包含如图5A或5B所述的MP-IE。在握手过程中,接入点和站导出用于保护安全管理帧保护协商的完整性私钥。
在该消息情况下,通过导出仅仅站和新接入点知道的完整性私钥,作为与前一接入点的协商序列的结果,握手消息314、316、318和320中的MP-IE可得到完整性保护。握手消息使用该完整性私钥来通过执行消息完整性检查而确保包括MP-IE的握手消息的内容安全。该机制因其防止恶意对手对无线网络发起安全降级攻击、重放攻击、中间人攻击和伪造攻击而合乎需要。安全降级攻击强制站或接入点协商比正常情况更弱的安全参数和密钥。在某些实施方式中,该机制允许站和接入点协商并实施站和接入点支持的最强安全参数、算法和密钥。
图3B示出根据本发明替换实施方式的用于管理帧保护协商过程的消息序列。当站在接入点之间移动时,如图3B所示的消息序列可用于快速漫游或转换的情况。消息序列如图3A所示地开始,即接入点和站交换信标、探测请求和探测响应消息302-306。
然后,该站将重新关联请求消息340发送到新接入点。重新关联请求可包含指示该站期望保护哪些管理字段的MP-IE。然后,新接入点协调仍在前一访问点的缓冲器中等待发送到该站的数据帧的转发。
然后,接入点发送重新关联响应消息342。重新关联响应消息可包含指示该接入点可保护哪些管理帧的MP-IE。类似于关联过程,该帧包括关于关联的信息,诸如关联ID和支持的数据速率以及MP-IE。
在本消息情况下,通过导出仅仅站和新接入点知道的完整性私钥,作为与前一接入点的协商序列的结果,重新关联请求和响应消息340和342中的MP-IE可得到完整性保护。通过应用使用完整性私钥的消息完整性检查可保护重新关联请求和重新关联响应消息的内容不受对手攻击。在某些实施方式中使用的机制可防止恶意对手对无线网络发起安全降级攻击、重放攻击、中间人攻击和伪造攻击。安全降级攻击强制站和接入点协商比正常情况下更弱的安全参数和密钥。本实施方式中的该机制允许站和接入点协商并实施站和接入点支持的最强安全参数、算法和密钥。
然后,站和接入点开始如上所述的消息314-320中的4向EAPOL握手协商。
图4A是描述根据本发明某些实施方式的管理帧400的主要组成部分的框图。在某些实施方式中,管理帧400包括前导已有字段402、更改的EAPOL密钥描述符404、和拖尾已有字段406。前导已有字段402和拖尾已有字段406包括如当前IEEE 802.11标准中定义的管理和动作帧的字段和信息元素。
更改的EAPOL密钥描述符404包括已有EAPOL字段412、MIC字段414和管理保护信息元素416。已有EAPOL字段412包括如当前IEEE 802.11标准中定义的字段。MIC(消息完整性代码,也称为消息认证代码)字段414包括如IEEE802.11标准中指定地生成的代码值,并且可由站和接入点用来验证消息的完整性。MIC的存在表明该消息由仅仅为站和接入点所知的密钥来进行完整性保护。管理保护信息元素(MP-IE)416包括可用于指定可被保护的管理帧类型以及所使用的保护类型的数据结构。以下参照图5A和5B来提供关于MP-IE的进一步细节。
图4B是示出根据本发明替换实施方式的管理帧的主要组成部分的框图。在某些实施方式中,管理帧402包括前导已有字段402、MP-IE 416、和EAPOL密钥描述符422。如上所述,前导已有字段402和拖尾已有字段406包括如当前IEEE 802.11标准中定义的管理和动作帧的字段和信息元素。此外,EAPOL密钥描述符422包括如当前由IEEE 802.11标准定义的EAPOL描述符。MP-IE 416包括可用于指定可保护管理帧类型以及所使用的保护类型的数据结构。以下参照图5A和5B来提供关于MP-IE的进一步细节。
从以上可以看出,MP-IE 416可被嵌入在管理帧的已有字段,例如EAPOL字段中,或者可作为附加字段添加到一个帧上。
图5A是根据本发明各实施方式的管理保护信息元素416的框图。在某些实施方式中,MP-IE 416包括元素ID 502、长度字段504、版本字段506、组密码套件计数508、组密码套件列表510、成对密码套件计数512、成对密码套件列表514、管理保护能力字段516、管理帧计数518和管理帧子类型列表520。元素ID 502是被分配来指示该数据结构是MP-IE的值。长度字段504指定MP-IE数据结构的大小。版本字段506指定MP-IE数据结构的版本并指示实现对管理帧的保护的当前支持的协议版本。
组密码套件计数508提供组密码套件列表510中组密码套件的数目。组密码列表510包括用于在站和接入点之间提供对广播和多播管理帧的保护的一个或多个密码套件的列表。站和接入点可使用该列表来协商站和接入点都支持的密码套件之一。在某些实施方式中,所选密码套件可使用不同的完整性和/或机密性密钥,该密钥被导出来提供对广播/多播帧的完整性和/或机密性保护。
成对密码套件计数512提供成对密码套件列表514中密码套件的数目计数。成对密码套件列表514包括用于对站与接入点之间所有单播管理帧执行完整性和/或机密性保护计算的一个或多个密码套件的列表。在某些实施方式中,站与接入点可协商两者都支持的密码套件之一。经协商的成对密码套件可使用不同的完整性和/或机密性密钥,该密钥被导出以提供对单播帧的完整性和/或机密性保护。
组密码套件和成对密码套件可包括任何类型的密码算法。在某些实施方式中,可将以下的密码算法中的一个或多个的组合用作密码套件:包括AES-OMAC的AES、HMAC或使用SHA-256、SHA-512算法的Hash、TKIP和/或CCMP。现在已知或以后开发的其它密码方法也可被包含在组或成对密码套件中。
管理保护能力字段516指示可在站与接入点之间协商的安全参数。在某些实施方式中,该数据结构包括具有指示哪些参数可被协商的各个位或位组的位掩码。在某些实施方式中,经协商的参数包括是否启用管理帧保护、对IEEE 802.11i密钥层次的支持、以及对IEEE 802.11r密钥层次的支持。可按需或按以后的开发将其它参数包含在该数据结构中。
管理帧计数518提供管理帧子类型列表520中子类型数目的计数。管理帧子类型列表520列出可在站与接入点之间协商的管理帧的子类型。这允许网络管理员对特定无线网络实现安全策略。在某些实施方式中,接入点在其MP-IE中列出支持网络中保护的所有管理帧子类型。支持管理帧保护的站用其自己的包括管理帧子类型的MP-IE来响应。该站使用上述字段来选择该站可支持保护的管理帧子类型列表,即所宣告的组密钥密码套件之一和所宣告的成对密钥密码套件之一。
图5B是根据本发明替换实施方式的管理保护信息元素416的框图。在某些替换实施方式中,MP-IE 416包括元素ID 502、长度字段504、版本字段506、组密码套件计数508、组密码套件列表510、成对密码套件计数512、成对密码套件列表514、管理保护能力字段516、管理保护配置文件计数530和管理保护配置文件选择器列表520。字段502-516与以上图5A所示的大致相同。
管理保护配置文件计数530提供管理保护配置文件列表532中配置文件的数目。管理保护配置文件列表532包括标识管理保护配置文件的管理保护配置文件选择器列表。管理保护配置文件选择器可以是组织单元标识符(OUI),以及之后的类型或值、或者值列表。在IEEE指定的OUI的情况下,OUI可与IEEE 802.11i中所指定的相同。
包含在MP-IE中的管理保护配置文件值指示站或接入点支持的一组管理帧子类型。每一管理保护配置文件值或号与可可被保护的一组管理帧相关联。
由特定管理保护配置文件号保护的该组管理帧可通过许多方法来指定,包括作为对IEEE 802.11标准的修改,或者配置文件可由厂商指定,且每一厂商具有不同的值。当一管理保护配置文件号由802.11修改指定时,该配置文件号可以包括由IEEE指定的先前的管理保护配置文件号所保护的所有管理帧。
此外,厂商可创建其自己的用于宣告它们支持的厂商专用管理帧子集的OUI。
此外,网络操作员和企业可创建其自己的用于宣告在其无线网络上启用并支持的特定的管理帧子集。
除非另外具体指出,否则诸如处理、计算、推算、确定、显示等的术语是指一个或多个处理或计算系统或类似设备的动作和/或进程,这些动作和/或进程可将被表示成处理系统寄存器和存储器内的物理(例如电子)量的数据处理并转换成类似地表示成处理系统寄存器或存储器或者其它这种信息存储、传输或显示设备内的物理量的其它数据。
本发明的实施方式可用硬件、固件和软件之一或组合来实现。本发明的实施方式还可被实现成存储在机器可读介质上、可由至少一个处理器读取并执行以执行本文所述的操作的指令。机器可读介质可包括用于以机器(例如计算机)可读形式存储或传输信息的任何机制。例如,机器可读介质可包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储介质、光学存储介质、闪存设备、电、光、声或其它形式的传播信号(例如载波、红外信号、数字信号等)等等。
提供摘要以满足要求允许读者确定技术公开的特征和主旨的摘要的37C.F.R的1.72(b)节。摘要是在不应将其用于限制或解释权利要求书的范围和内涵的前提下提交的。
在以上详细描述中,为简化描述而在单个实施方式中将各个特征临时组合在一起。公开的方法不应解释为反映了要求保护的主题实施方式需要比在每一权利要求中明确阐述的更多的特征的意图。相反,如所附权利要求书所反映的,本发明涉及少于单个公开实施方式的所有特征。因此,所附权利要求书在此结合到详细描述中,其中每一权利要求独立地作为一单独的较佳实施方式。
Claims (30)
1.一种方法,包括:
发射包括指示第一组管理帧类型的数据的第一管理帧;
接收包括指示第二组管理帧类型的数据的第二管理帧;
将所述第一组管理帧类型与所述第二组管理帧类型进行比较以确定一组受保护管理帧类型。
2.如权利要求1所述的方法,其特征在于,所述第一管理帧包括信标帧。
3.如权利要求1所述的方法,其特征在于,所述第一管理帧包括探测响应帧。
4.如权利要求1所述的方法,其特征在于,所述第二管理帧包括关联帧。
5.如权利要求1所述的方法,其特征在于,所述第二管理帧包括重新关联帧。
6.如权利要求1所述的方法,其特征在于,所述管理帧类型集包括选自包括以下各项的组的管理帧类型:解除关联帧、解除认证帧、或者包括QoS动作帧、无线电测量动作帧、无线电频谱测量动作帧和无线网络管理动作帧的任何第3类动作帧。
7.如权利要求1所述的方法,其特征在于,所述第一管理帧还包括指定至少一种保护方法的数据。
8.如权利要求8所述的方法,其特征在于,还包括将所述至少一种保护方法应用于具有所述一组受保护管理帧类型中的一个类型的后续管理帧。
9.一种编码数据结构的信号承载介质,所述数据结构包括:
指示一组一个或多个管理帧类型的字段;以及
指示一组一个或多个保护机制的字段,其中在一单独的数据处理步骤中,所述一组一个或多个保护机制中的一个被应用于所述一组一个或多个管理帧类型。
10.如权利要求9所述的信号承载介质,其特征在于,所述一组一个或多个管理帧类型可由组织标识符来指定。
11.如权利要求9所述的信号承载介质,其特征在于,所述一组一个或多个管理帧类型在帧类型列表中提供。
12.一种用于通过在受保护协商帧中(4向握手消息或在802.11r重新关联请求/响应消息中)包含MP-IE并由接收器将所包含的MP-IE与在先前通信消息中从对等设备接收的消息中的MP-IE进行比较而进行的协商保护。
13.一种无线接入点,包括:
物理层;以及
耦合到所述物理层的媒体访问控制,可用于:
发送包括指示可由所述无线接入点保护的一组管理帧类型的数据的第一管理帧;
接收包括指示可由站保护的一组管理帧类型的数据的第二管理帧;
将所述第一组管理帧类型与所述第二组管理帧类型进行比较以确定一组受保护管理帧类型。
14.如权利要求12所述的无线接入点,其特征在于,所述第一管理帧包括信标帧。
15.如权利要求12所述的无线接入点,其特征在于,所述第一管理帧包括探测响应帧。
16.如权利要求12所述的无线接入点,其特征在于,所述第二管理帧包括关联帧。
17.如权利要求12所述的无线接入点,其特征在于,所述第二管理帧包括重新关联帧。
18.一种网络设备,包括:
物理层;以及
耦合到所述物理层的媒体访问控制,可用于:
接收包括指示可由无线接入点保护的一组管理帧类型的数据的第一管理帧;
通过将可由所述无线接入点保护的所述一组管理帧类型与可由所述网络设备保护的一组管理帧类型进行比较来确定一组受保护管理帧类型;以及述一组受保护管理帧类型的数据的第二管理帧。
19.如权利要求17所述的网络设备,其特征在于,所述第一管理帧包括信标帧。
20.如权利要求17所述的网络设备,其特征在于,所述第一管理帧包括探测响应帧。
21.如权利要求17所述的网络设备,其特征在于,所述第二管理帧包括关联帧。
22.如权利要求17所述的网络设备,其特征在于,所述第二管理帧包括重新关联帧。
23.如权利要求17所述的网络设备,其特征在于,所述物理层和媒体访问控制被结合到网络接口卡中。
24.如权利要求17所述的网络设备,其特征在于,所述物理层和媒体访问控制被结合到无线站中。
25.一种系统,包括:
基本上全向的天线;
耦合到所述全向天线的物理层;以及
耦合到所述物理层的媒体访问控制,可用于:
发射包括指示可由无线接入点保护的一组管理帧类型的数据的第一管理帧;
接收包括指示可由站保护的一组管理帧类型的数据的第二管理帧;
将所述第一组管理帧类型与所述第二组管理帧类型进行比较以确定一组受保护管理帧类型。
26.如权利要求22所述的系统,其特征在于,所述第一管理帧包括EAPoL握手帧。
27.如权利要求22所述的系统,其特征在于,所述第二管理帧包括EAPoL握手帧。
28.一种具有用于执行一方法的机器可执行指令的机器可读介质,所述方法包括:
发送包括指示第一组管理帧类型的数据的第一管理帧;
接收包括指示第二组管理帧类型的数据的第二管理帧;
将所述第一组管理帧类型与第二组管理帧类型进行比较以确定一组受保护管理帧类型。
29.如权利要求25所述的机器可读介质,其特征在于,所述第一管理帧包括EAPoL帧。
30.如权利要求25所述的机器可读介质,其特征在于,所述第一管理帧包括探测响应帧。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/131,931 | 2005-05-17 | ||
| US11/131,931 US7881475B2 (en) | 2005-05-17 | 2005-05-17 | Systems and methods for negotiating security parameters for protecting management frames in wireless networks |
| PCT/US2006/017565 WO2006124347A2 (en) | 2005-05-17 | 2006-05-02 | Negotiation of security parameters for protecting management frames in wireless networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101208981A true CN101208981A (zh) | 2008-06-25 |
| CN101208981B CN101208981B (zh) | 2013-02-13 |
Family
ID=36942370
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800172497A Expired - Fee Related CN101208981B (zh) | 2005-05-17 | 2006-05-02 | 在无线网络中协商保护管理帧的安全参数 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7881475B2 (zh) |
| CN (1) | CN101208981B (zh) |
| DE (1) | DE112006001219T5 (zh) |
| GB (1) | GB2441471B (zh) |
| TW (1) | TWI336197B (zh) |
| WO (1) | WO2006124347A2 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102014342A (zh) * | 2010-12-31 | 2011-04-13 | 西安西电捷通无线网络通信股份有限公司 | 混合组网的网络系统及方法 |
| CN102137095A (zh) * | 2010-12-29 | 2011-07-27 | 中国电力科学研究院 | 工业控制系统数据交换安全保护方法、系统和装置 |
| CN102461314A (zh) * | 2009-04-22 | 2012-05-16 | 英特尔公司 | 用于无线通信网络中的对等装置的发现信道和发现信标 |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7881475B2 (en) | 2005-05-17 | 2011-02-01 | Intel Corporation | Systems and methods for negotiating security parameters for protecting management frames in wireless networks |
| US7392037B2 (en) * | 2005-08-19 | 2008-06-24 | Intel Corporation | Wireless communication device and methods for protecting broadcasted management control messages in wireless networks |
| US7706822B2 (en) * | 2005-08-24 | 2010-04-27 | Motorola, Inc. | Timing synchronization and beacon generation for mesh points operating in a wireless mesh network |
| US7630406B2 (en) * | 2005-11-04 | 2009-12-08 | Intel Corporation | Methods and apparatus for providing a delayed attack protection system for network traffic |
| US8559350B2 (en) | 2005-12-20 | 2013-10-15 | Microsoft Corporation | Mechanism to convey discovery information in a wireless network |
| US8478300B2 (en) | 2005-12-20 | 2013-07-02 | Microsoft Corporation | Proximity service discovery in wireless networks |
| US7613426B2 (en) * | 2005-12-20 | 2009-11-03 | Microsoft Corporation | Proximity service discovery in wireless networks |
| US10681151B2 (en) | 2006-05-15 | 2020-06-09 | Microsoft Technology Licensing, Llc | Notification framework for wireless networks |
| US7907582B2 (en) * | 2006-10-25 | 2011-03-15 | Ntt Docomo, Inc. | Method and apparatus for access point selection in wireless LAN |
| KR20080060925A (ko) * | 2006-12-27 | 2008-07-02 | 삼성전자주식회사 | 동보 프레임을 보호하는 방법, 상기 동보 프레임을인증하는 단말기 및 상기 동보 프레임을 동보하는 접근점 |
| CN101309500B (zh) | 2007-05-15 | 2011-07-20 | 华为技术有限公司 | 不同无线接入技术间切换时安全协商的方法和装置 |
| US8010778B2 (en) * | 2007-06-13 | 2011-08-30 | Intel Corporation | Apparatus and methods for negotiating a capability in establishing a peer-to-peer communication link |
| JP4293281B1 (ja) | 2007-07-23 | 2009-07-08 | 株式会社ブリヂストン | 車両用シートパッド及び車両用シート |
| US9105031B2 (en) | 2008-02-22 | 2015-08-11 | Microsoft Technology Licensing, Llc | Authentication mechanisms for wireless networks |
| US8498229B2 (en) | 2008-12-30 | 2013-07-30 | Intel Corporation | Reduced power state network processing |
| CN101702818B (zh) * | 2009-11-02 | 2012-12-12 | 上海华为技术有限公司 | 无线链路控制连接重建立中的算法协商方法、系统及设备 |
| US9326230B2 (en) * | 2013-10-08 | 2016-04-26 | Qualcomm Incorporated | Multidimensional algorithm for roaming |
| CN104219662B (zh) * | 2014-08-19 | 2019-05-07 | 新华三技术有限公司 | 一种Beacon帧的发送方法和设备 |
| KR101571377B1 (ko) * | 2015-05-12 | 2015-11-24 | 주식회사 기가레인 | 비콘 데이터 처리 시스템 및 방법 |
| US10218686B2 (en) * | 2016-10-24 | 2019-02-26 | International Business Machines Corporation | Dynamically managing, from a centralized service, valid cipher suites allowed for secured sessions |
| CN112887974B (zh) * | 2021-01-23 | 2022-02-11 | 深圳市智开科技有限公司 | 一种wapi无线网络的管理帧保护方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2320662B (en) * | 1996-12-18 | 2001-06-20 | Dsc Telecom Lp | Apparatus and method of frame aligning information in a wireless telecommunications system |
| GB9716626D0 (en) * | 1997-08-07 | 1997-10-15 | Philips Electronics Nv | Wireless network |
| JP2001186251A (ja) * | 1999-12-27 | 2001-07-06 | Nec Corp | 携帯情報端末装置及び電源電力供給制御方法 |
| BRPI0015717B8 (pt) | 2000-01-07 | 2020-05-26 | Ibm | método e sistema para classificação de quadro e protocolo |
| US20030050036A1 (en) | 2001-09-07 | 2003-03-13 | Hayduk Matthew A. | Security services for wireless devices |
| US20050086465A1 (en) * | 2003-10-16 | 2005-04-21 | Cisco Technology, Inc. | System and method for protecting network management frames |
| US7805603B2 (en) * | 2004-03-17 | 2010-09-28 | Intel Corporation | Apparatus and method of protecting management frames in wireless LAN communications |
| US7881475B2 (en) | 2005-05-17 | 2011-02-01 | Intel Corporation | Systems and methods for negotiating security parameters for protecting management frames in wireless networks |
-
2005
- 2005-05-17 US US11/131,931 patent/US7881475B2/en active Active
-
2006
- 2006-05-02 GB GB0724537A patent/GB2441471B/en not_active Expired - Fee Related
- 2006-05-02 WO PCT/US2006/017565 patent/WO2006124347A2/en active Application Filing
- 2006-05-02 DE DE112006001219T patent/DE112006001219T5/de not_active Withdrawn
- 2006-05-02 CN CN2006800172497A patent/CN101208981B/zh not_active Expired - Fee Related
- 2006-05-04 TW TW095115876A patent/TWI336197B/zh not_active IP Right Cessation
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102461314A (zh) * | 2009-04-22 | 2012-05-16 | 英特尔公司 | 用于无线通信网络中的对等装置的发现信道和发现信标 |
| CN102461314B (zh) * | 2009-04-22 | 2015-01-14 | 英特尔公司 | 用于无线通信网络中的对等装置的发现信道和发现信标 |
| CN104378247A (zh) * | 2009-04-22 | 2015-02-25 | 英特尔公司 | 用于无线通信网络中的对等装置的发现信道和发现信标 |
| CN102137095A (zh) * | 2010-12-29 | 2011-07-27 | 中国电力科学研究院 | 工业控制系统数据交换安全保护方法、系统和装置 |
| CN102014342A (zh) * | 2010-12-31 | 2011-04-13 | 西安西电捷通无线网络通信股份有限公司 | 混合组网的网络系统及方法 |
| CN102014342B (zh) * | 2010-12-31 | 2012-07-18 | 西安西电捷通无线网络通信股份有限公司 | 混合组网的网络系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW200704096A (en) | 2007-01-16 |
| WO2006124347A2 (en) | 2006-11-23 |
| WO2006124347A3 (en) | 2007-02-22 |
| GB2441471A (en) | 2008-03-05 |
| TWI336197B (en) | 2011-01-11 |
| GB2441471B (en) | 2010-11-03 |
| GB2441471A8 (en) | 2008-03-12 |
| CN101208981B (zh) | 2013-02-13 |
| GB0724537D0 (en) | 2008-01-30 |
| US7881475B2 (en) | 2011-02-01 |
| US20060262932A1 (en) | 2006-11-23 |
| DE112006001219T5 (de) | 2008-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101208981B (zh) | 在无线网络中协商保护管理帧的安全参数 | |
| EP1972125B1 (en) | Apparatus and method for protection of management frames | |
| US8429404B2 (en) | Method and system for secure communications on a managed network | |
| US8126145B1 (en) | Enhanced association for access points | |
| KR100694219B1 (ko) | 무선 단말에서의 액세스 포인트 데이터 전송 모드 감지장치 및 그 방법 | |
| EP2309698B1 (en) | Exchange of key material | |
| US8208455B2 (en) | Method and system for transporting configuration protocol messages across a distribution system (DS) in a wireless local area network (WLAN) | |
| Frankel et al. | Establishing wireless robust security networks: a guide to IEEE 802.11 i | |
| US9473941B1 (en) | Method, apparatus, and computer program product for creating an authenticated relationship between wireless devices | |
| CN105379190A (zh) | 用于指示服务集标识符的系统和方法 | |
| HUE035780T2 (en) | Systems and procedures for performing link building and authentication | |
| Dantu et al. | EAP methods for wireless networks | |
| CN101379796A (zh) | 采用公共协议实现完整性保护和信源认证的快速漫游方法和移动站 | |
| US20120170559A1 (en) | Method and system for out-of-band delivery of wireless network credentials | |
| EP1794915A1 (en) | Method and system for fast roaming of a mobile unit in a wireless network | |
| CN103139768A (zh) | 融合无线网络中的认证方法以及认证装置 | |
| WO2018076298A1 (zh) | 一种安全能力协商方法及相关设备 | |
| Alliance | The State of Wi-Fi® Security | |
| CN113784351B (zh) | 切片服务验证方法、实体及设备 | |
| Ma et al. | Security Access in Wireless Local Area Networks | |
| Sheriff et al. | ENABLING AUTOMATED PEER-TO-PEER COLLABORATION BETWEEN AR/VR-ENABLED WI-FI CLIENTS FOR REMOTE WORKERS | |
| Frankel et al. | SP 800-97. establishing wireless robust security networks: A guide to IEEE 802.11 i | |
| Yang et al. | Security in WLANs | |
| Rajendran et al. | Reducing delay during handoff in multi-layered security architecture for wireless LANs in the corporate network | |
| Ma et al. | Security Architecture Framework |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130213 Termination date: 20180502 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |