CN101300809A - 用于使用直接链路建立(dls)协议在无线网络站点之间建立安全直接链路的方法、系统和可读介质 - Google Patents
用于使用直接链路建立(dls)协议在无线网络站点之间建立安全直接链路的方法、系统和可读介质 Download PDFInfo
- Publication number
- CN101300809A CN101300809A CNA2006800407505A CN200680040750A CN101300809A CN 101300809 A CN101300809 A CN 101300809A CN A2006800407505 A CNA2006800407505 A CN A2006800407505A CN 200680040750 A CN200680040750 A CN 200680040750A CN 101300809 A CN101300809 A CN 101300809A
- Authority
- CN
- China
- Prior art keywords
- key
- message
- website
- websites
- security string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/062—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Abstract
用于无线网络的安全直接链路建立(DLS)的方法和系统。根据本发明的方案,公开了用于以计算性上安全的方式在无线网络的站点之间建立计算性上安全的直接链路的技术。直接链路包括在由接入点(AP)作为主机的无线局域网(WLAN)中的第一和第二站点之间建立新通信会话,所述直接链路包括新通信会话。AP为新通信会话生成唯一的会话密钥,并且以只有第一和第二站点才能够获得会话密钥的方式将会话密钥的安全副本传送到第一和第二站点中的每一个。然后,在不安全直接链路上实现安全机制,以便使用根据会话密钥导出的安全会话密钥确保第一和第二站点之间的直接链路的安全。
Description
技术领域
本发明的领域一般涉及无线网络,更具体但不排他地涉及用于在无线网络站点之间实现安全直接链路的技术。
背景技术
近年来,通过无线网络的发展和部署,网络的覆盖范围和灵活性已被大大增强。在目前可用的许多不同无线协议(例如,Wi-Fi、蓝牙、红外线、各种蜂窝传输机制、WiMax等)中,当今所部署的大量无线网络采用基于IEEE(电气和电子工程师协会)802.11系列工作的无线网络组件。
大多数的WLAN(无线局域网)部署(通常被称为“Wi-Fi”(无线保真)网络)采用在2.4吉赫兹(GHz)频率范围内工作的空中接口。最初的Wi-Fi标准是无线以太网兼容性联盟(WECA)所开发的,其基于IEEE802.11a规范。IEEE标准提供了对三种不同类型PHY层的支持,这三种不同类型的PHY层是红外线(IR)基带PHY、工作在2.4GHz或5GHz频带的跳频扩频(FHSS)和直接序列扩频(DSSS)PHY。对于IEEE 802.11b,这将导致当适当的信号强度可用时高达11兆比特每秒(Mb/s)的带宽。IEEE802.11g定义了与Wi-Fi类似的标准,其后向兼容802.11b。然而,802.11g采用正交频分复用(OFDM)而不是DSSS,并且支持高达54Mb/s的带宽。802.11g的制造商声称802.11g的增强实现支持高达108Mb/s的传送速率。最近,还已推出采用IEEE 802.11a标准的WLAN设备。802.11a标准采用使用了OFDM载波的5GHz空中接口。
图1示出利用单个无线接入点(AP)100实现的典型802.11WLAN部署。无线AP 100经由相应的802.11链路提供到其覆盖区域102内的各种WLAN站点(STA)的WLAN连接,所述WLAN站点例如笔记本计算机104和106、台式计算机108和110以及手持无线设备112(例如,个人数字助理(PDA)、口袋PC、支持802.11链路的蜂窝电话等)所示。(虽然实际上特定覆盖区域的实际形状通常将基于各种障碍物和来自外部源的信号干扰而变化,但为了说明的目的,将覆盖区域102示为圆形。)为了支持站点侧的操作,每个站点提供适当的WLAN接口,例如,由用于笔记本计算机106的PCMCIA 802.11b、g或卡114或者用于台式计算机110的802.11b、g或外围设备扩展卡116所示的WLAN接口。可选地,例如在笔记本计算机采用因特尔迅驰芯片组的情况下,IEEE 802.11无线接口可以是内置的。类似地,无线手持设备(例如,112)将提供内置的IEEE 802.11接口。
在大多数部署中,无线AP被部署用以扩展例如LAN、WLAN(广域LAN)或者MAN(城域网)的网络的覆盖范围。因此,将AP 100示为经由以太网(IEEE 802.3)链路120链接到交换机118。一般地,交换机118表示出现在典型的LAN、WLAN或MAN中的各种类型的交换机和路由器。在某些情况下,可以经由服务器122协助交换操作,其中服务器122运行软件以便对网络进行管理并且执行基于软件的交换/路由操作。
由分布式协调功能(DCF)或点协调功能(PCF)所协调的一组站点被称为基本服务集(BSS)。在基础设施模式中,AP协助并协调站点之间的通信和信道接入,并且为站点提供经由连接到AP的网络基础设施接入各种基于陆地的网络的接入机制,如由交换机118、企业网络124和互联网126所示。被鉴权的且与AP相关联的站点不工作在ad-hoc模式中,其中在ad-hoc模式中,执行对等通信而不连接到AP。因此,在基础设施模式中,通过提供WLAN侧的路由功能,AP作为用于其覆盖区域内站点之间的数据业务的中心控制器和协调器。此外,AP提供另一种路由功能,该路由功能适于对来自上游网络(例如企业网络124和互联网126)并发往AP所服务的WLAN站点的下行链路业务(以及来自其它AP的业务)进行路由。
一般地,不允许IEEE 802.11 WLAN中的站点将帧直接发送到另一个站点,并且站点应该总是依靠AP来传递帧。然而,IEEE最近已经批准了对预802.11媒体访问控制(MAC)层定义服务质量(QoS)增强的标准草案(IEEE P802.11e/D13.0,2005年1月)。根据第11.7节,通过使用DLS(直接链路建立)协议建立这种数据传送,具有QoS机制(QoS facility)的站点(QSTA)可以将帧直接发送到另一个QSTA。
关于对站点之间直接链路的支持,还已经基于IEEE P802.11e/D13.0标准草案对安全措施进行了定义。然而,所述安全措施不足以以充分的安全级别支持直接链路。
附图说明
通过参考下列详细描述并结合附图,本发明的前述多个方案和许多附带优点将变得更加容易评价并且变得更好理解,其中,除非特别说明,在各个视图中,类似的参考标号指示类似的部件。
图1是示出典型的IEEE 802.11WLAN部署的示意图;
图2是根据本发明一个实施例的流程图,其示出被执行用以建立直接安全链路的操作的高级细节;
图3是示出在站点和接入点之间建立健壮安全网络关联(RSNA:RobustSecurity Network Association)链路的过程中执行的操作的消息流和示意图;
图4是示出用于根据IEEE P802.11e/D13.0标准草案建立直接链路建立(DLS)链路的消息交换的消息流视图;
图5a和图5b所共同包括的是根据本发明一个实施例的消息流视图,其示出在两个站点和接入点之间所传送的用以为直接链路部署安全机制的各种消息;
图6是示出用于安装成对DLS临时密钥(PDTK)的四向握手的消息流视图,该PDTK用于对安全直接链路上发送的消息进行加密;
图7是示出无线接入点(AP)所采用的各个功能性方框的示意图;以及
图8是示出采用网络处理器单元(NPU)的无线AP的示意图,该NPU可被用于实现本文所描述的安全机制的多个方案。
具体实施方式
本文描述了用于在无线网络中实现安全直接链路的方法和装置的实施例。在下列描述中,提出了许多具体细节,以便提供对本发明实施例的透彻理解。然而,相关领域的技术人员将意识到:可以不采用这些具体细节中的一个或多个或者采用其它方法、组件、材料等实现本发明。在其它例子中,为了避免使本发明的方案变得不够明确,未详细示出或描述公知的结构、材料或操作。
在该说明书中,对“一个实施例”或“实施例”的引用意味着结合该实施例所描述的特定特征、结构或特性被包含在本发明的至少一个实施例中。因此,在该说明书各处中出现的短语“在一个实施例中”或“在实施例中”不必都指同一个实施例。此外,在一个或多个实施例中,可以以任何适当的方式对特定特征、结构或特性进行组合。
根据当前所描述的实施例的方案,公开了用于在无线网络中的站点之间实现安全直接链路的技术。在安全直接链路建立期间,为一对链接的站点之间的每个安全会话生成新的密钥,使得总是为每个安全会话提供“未用的”密钥集。此外,以不能经由在共享的802.11空中接口上进行窃听而(计算性地)截取或识别密钥的方式来生成和分配密钥。这提供了对基于IEEE P802.11e/D13.0标准草案实现安全直接链路的措施的显著改进。
作为概述,图2描述了根据本发明一个实施例的流程图,其示出被执行用以建立安全直接链路的操作的高级细节。该处理在方框200中开始,其中,在主机QAP(支持根据IEEE P802.11e/D13.0的增强QoS机制的接入点)的WLAN覆盖区域内的QSTA之间建立RSNA(健壮安全网络关联)链路(在IEEE P802.11iTM-2004标准中定义)。在RSNA链路建立操作期间,由QAP为每个QSTA生成最初的主密钥(PMK),其中根据该PMK后续导出密钥确认密钥(KCK)和密钥加密密钥(KEK)。
如在可选方框202中所示,在一些实施例中,将QSTA的列表提供给每个QSTA(或者所选择的QSTA)。该列表可以预先静态生成、可以在进行操作期间动态生成或者可以采用这两种方法的组合。例如,在许多被管理的网络中,仅允许被鉴权的站点接入WLAN。由于网络管理器等预先已知这些站点,所以网络管理器可以为每个可运行为QSTA的站点提供关于其它也可运行为QSTA的站点的信息,从而将WLAN内可以到达的其它QSTA告知能够采用基于IEEE P802.11e/D13.0的直接链路的每个站点。基于另一种方案,当QSTA加入WLAN时,其性能被广播到已经位于WLAN中的其它QSTA,从而使得那些QSTA能够更新其各自的直接链路QSTA列表。
继续进行到方框204,执行该方框和下一个方框206的操作,以便建立每个安全直接链路。首先,以下文参考图4所描述的方式在一对QSTA之间建立DLS链路。(如本文所使用的,将使用DLS协议建立的链路称为“DLS链路”。)由期望与目标QSTA形成安全直接链路的发起方QSTA发起该操作。在DLS链路建立之后,在方框206中建立安全措施,以便使用对于每个安全会话唯一的“未用的”共享密钥来形成安全直接链路。值得注意的是,使用密钥传送机制来实现安全措施,该密钥传送机制确保只有适当的接收端站点(即,共享直接链路的QSTA)才能够提取对称会话密钥,其中,根据对称会话密钥导出共享的成对临时密钥(PTK)。下文参考图5a和图5b的消息流视图对方框206的操作的更多细节进行描述。如方框208中所示,在会话结束时,拆开QSTA对之间的DLS链路。
图3示出方框200的RSNA链路建立操作的进一步方案。在IEEE802.11iTM-2004(修改稿6:媒体访问控制(MAC)安全性增强)标准中公开了用于为IEEE 802.11 WLAN建立RSNA链路的细节。RSNA定义了除有线对等保密(WEP)和IEEE 802.11鉴权之外的许多安全特征,其中,典型地,WEP和IEEE 802.11鉴权都被用作常规802.11WLAN的基本安全措施。这些安全特征包括用于STA的增强鉴权机制、密钥管理算法以及加密密钥建立。RNSA还具有增强的数据封装机制的特征,其中,可以使用对应于暂时密钥完整性协议(TKIP)的暂时密钥以及其它安全措施来实现增强的数据封装机制。一对设备的RSNA不单独提供健壮安全性。当网络中的所有设备都使用RSNA时,提供健壮安全性。
RSNA依赖于IEEE 802.11系列标准之外的若干组件。第一个组件是IEEE 802.1X(IEEE P802.1X-REV,用于局域网和城域网的标准草案:基于端口的网络接入控制)端口接入实体(PAE)。PAE出现在RSNA中的所有STA上,并且对数据向MAC的转发或者来自MAC的数据转发进行控制。接入点实现鉴权方PAE并且实现可扩展鉴权协议(EAP)鉴权方功能,而STA实现请求方PAE并且实现EAP等同功能。在独立基本服务集(IBSS)环境中,每个STA实现鉴权方PAE和请求方PAE两者以及实现EAP鉴权方和EAP等同功能两者。
第二个组件是鉴权服务器(AS)。AS可以对RSNA自身的元件(即非AP的STA)进行鉴权,而AP可以提供RSNA元件能够用于互相鉴权的信息。AS通过IEEE 802.1X鉴权方与每个STA上的IEEE 802.1X请求方进行通信,使得可将STA鉴权给AS,反之亦然。RSNA取决于支持AS和STA相互鉴权的EAP方法的使用。在某些应用中,可以将AS集成到同一个物理设备(如AP)中,或者集成到IBSS内的STA中。
IEEE 802.11iTM-2004标准使用安全关联的概念对安全操作进行描述。安全通信可能仅存在于安全关联的环境中,因为安全关联的环境是提供IEEE 802.11TM-2004密码集进行正确操作所需状态-加密密钥、计数器、序列空间等-的环境。
如基于IEEE 802.11iTM-2004标准的第8.4节(RSNA安全关联管理)所定义的,安全关联是用于保护信息的一系列策略和密钥。安全关联中的信息由安全关联的每一参与方存储,该信息在所有参与方之间必须是一致的,并且必须具有标识。标识是密钥和安全关联信息的其它位的紧凑名称,以便适合表格索引或MPDU(MAC协议数据单元)。
返回图3,该图示出在QSTAX(QSTA-X)和QAP处执行的用于建立RSNA链路的操作。根据消息交换300,通过在QSTA-X和QAP之间传送EAPOL-(LAN上的EAP)密钥帧来建立RSNA链路。EAPOL-密钥帧包含与建立RSNA链路有关的数据,其包括各种QSTA-X属性(例如,MAC地址、性能等)和与密钥相关的数据。应该注意,建立RSNA链路的站点不需要是QSTA;然而,如下所述,对于某些实施例,站点将仍然需要QoS机制来实现直接链路。
在消息交换300期间,QAP将传送密钥信息,并一起传送标识将被后续用于密钥提取和鉴权操作的算法的信息。这些信息包括成对主密钥(PMK)302、MIC(消息完整性代码)算法标识符(MIC_ID)304以及封包(Wrap)加密算法标识符(Wrap_ID)306。
RSNA定义了两个密钥层级:a)成对密钥层级,保护单播业务;以及b)群组暂时密钥(GTK),包含单个密钥以便保护组播和广播业务的层级。在成对层级的上部是成对主密钥(PMK)。基于可选方法,可以根据基于EAP的方法导出PMK,或者可以根据预先共享的密钥(PSK)直接获得PMK。在一个实施例中,成对密钥层级使用PRF-384或PRF-512(如下所定义的伪随机函数-X,其中,X=位数)根据256位PMK导出会话专用密钥。如图3中由PTK 308所示,成对密钥层级采用PMK并且生成成对临时密钥(PTK)。将PTK分成KCK(第一个128位)和KEK(第二个128位),并且暂时密钥被MAC用于对鉴权者和请求方各自的STA之间的单播通信进行保护。
IEEE 802.11iTM-2004标准的第8.5.1.1节定义了如下的PRF函数,其中,A是用于PRF的每种不同目的的唯一标志;Y是包含0的单个八比特组;X是包含参数的单个八比特组;以及||代表并置(concatenation):
H-SHA-1(K,A,B,X)←HMAC-SHA-1(K,A||Y||B||X)
PRF(K,A,B,Len)
for i←0to(Len+159)/160do
R←R||H-SHA-1(K,A,B,i)
return L(R,0,Len)
PRF-128(K,A,B)=PRF(K,A,B,128)
PRF-192(K,A,B)=PRF(K,A,B,192)
PRF-256(K,A,B)=PRF(K,A,B,256)
PRF-384(K,A,B)=PRF(K,A,B,384)
PRF-512(K,A,B)=PRF(K,A,B,512)
如图3中所示,密钥配置密钥(KCK_X)310和密钥加密密钥(KEK-X)312中的每一个是由QSTA-X根据PTK 308所导出的,并且与MIC_ID和Wrap_ID一起被存储在QSTA-X上。类似地,KCK_X和KEK_X的值是由QAP导出的,并且与MIC_ID和Wrap_ID(在建立RSNA链路之前已被存储在QAP上)一起被存储在QAP上。
以类似于图3所示的方式,QAP将与WLAN中的其它可用QSTA建立RSNA链路。该操作的最终结果是(除了建立RSNA链路之外)每个QSTA将存储相应的KCK和KEK密钥值集,并且一起存储对WLAN安全机制所采用的MIC算法和Wrap算法进行标识的信息。
图4中示出方框204的DLS链路建立操作的细节。特别地,在IEEEP802.11e/D13.0标准草案的第11.7节对建立DLS链路的DLS协议进行了讨论。与第11.7节中的图68.9类似,图4示出了在QoS站点QSTA-A和QSTA-B以及QoS接入点QAP之间传送的四条消息(1a、1b、2a和2b),其用于在站点QSTA-A和QSTA-B之间建立直接链路400。DLS链路建立操作如下进行。想要直接与另一个非AP站点QSTA-B交换帧的站点QSTA-A调用DLS,并且将DLS请求帧402发送到QAP,如消息1a所示。DLS请求帧包括速率设置、QSTA-A的性能以及QSTA-A(发起方)和QSTA-B(DLS请求的目标接收方)的MAC地址。
如果目标接收方(在该例子中是QSTA-B)与用于QAP的BSS相关、在BSS的策略中允许直接数据流(即链路)并且目标接收方是QSTA,则QAP就将DLS请求帧转发到接收方,如消息1b所示。如果目标接收方不满足这些条件,则从QAP将消息返回到发起方,其中该消息指示目标站点不支持直接链路。在一些例子中,QAP可能未从QSTA-A接收到DLS请求帧。在这种情况下,QSTA-A可以在超时周期之后将DLS请求帧重新发送到QAP。如上所述,基于方框202的可选操作,为每个QSTA提供其它可用QSTA的列表。因此,基于这种实现,发起方站点将能够在将DLS请求帧发送到目标站点之前,确定该站点是否支持可用QoS机制进而支持与该站点的直接链路。
如果接收方站点接受与发起方建立直接链路的请求,则其将DLS响应帧404发送到QAP,如消息2a所示。DLS响应帧包含速率设置、QSTA-B的(扩展的)性能以及QSTA-A和QSTA-B的MAC地址。然后,QAP将DLS响应帧转发到QSTA-A(消息2b),在此之后,直接链路400变成激活的,并且可以将帧从QSTA-A发送到QSTA-B以及从QSTA-B发送到QSTA-A。
IEEE 802.11e/D13标准草案中的第11.7.5节指定了启动安全DLS操作的安全方案。然而,所指定的安全方案不足以在当今环境中提供足够的安全性。具体地,发明人已经认识到下列设计缺陷:
1、IEEE 802.11iTM-2004或IEEE 802.11e/D13标准未指定QAP如何生成STA密钥EAPOL-密钥帧,以及其为强安全密钥还是弱安全密钥;
2、AP未使用密钥导出来对通信方的标识进行约束(bind)。这允许任何其它方将密钥重用于未鉴权的目的;
3、DLS STA未使用握手过程链路(例如,四向握手)来验证AP应该已经指定的约束;以及
4、IEEE 802.11iTM-2004和IEEE 802.11e/D13标准未指定用于DLS的密钥导出方案。如果AP未对不同的DLS会话生成不同且独立的密钥,则由IEEE 802.11iTM-2004所制定的所有安全保证要求都将失效。
根据现在所描述的安全机制的方案,公开了用于在IEEE 802.11e/D13标准草案所采用的安全直接链路方案上,建立实质性增强的安全直接链路的技术。这些方案不仅针对前述的设计缺陷,还提供了密钥生成、分配和实现环境,该环境在计算性上是安全的。这意味着在给定当前计算机技术的情况下,不能计算性地“截取”或识别用于对在安全链路上发送的数据进行加密的密钥。此外,可以容易地对这些技术进行扩展,以便为未来仍将开发的计算机处理性能提供计算性的安全保护。
图5a和图5b示出根据本发明一个实施例的消息交换处理的细节,所述消息交换处理用于为已经建立但不安全的直接链路建立安全措施。一般地,图5a和图5b中示出的操作对应于如上所述图2中方框206的操作。在该阶段开始时,已经在站点QSTA-A和QSTA-B之间建立了不安全的DLS链路。此外,这些站点中的每一个存储在之前RSNA链路建立(例如,根据方框200和图3的操作)期间提供给它们各自的KCK和KEK密钥集,以及存储实现WLAN所采用的安全方案的MIC和Wrap加密算法的标识符。
典型地,尽管这不是严格的要求,将由DLS链路的发起方发起部署安全措施的请求。因此,由站点QSTA-A发起图5a中所示的安全链路建立处理,其中QSTA-A在方框500中生成随机数R_A,并且将消息502发送到站点QSTA-B,其中消息502包括与站点QSTA-B和QSTA-A的MAC地址(MAC_B和MAC_A)并置的R_A。
作为对接收到消息502的响应,站点QSTA-B在方框504中生成其自己的随机数R_B,并且生成发到QAP的消息506,其包含R_B、R_A、MAC_B和MAC_A的并置。因此,该消息将站点QSTA-A和QSTA-B两者的标识约束为随机数R_A和R_B。然后,将消息506从站点QSTA-B发送到QAP。作为对接收到消息506的响应,QAP提取R_B、R_A、MAC_B和MAC_A中每一个的值,并且将其存储在存储器中。
然后,在方框508中,QAP生成对称会话密钥K_AB和密钥名称标识符KID_AB。在一个实施例中,K_AB是可用于WLAN环境的具有足够长度的随机数,用以在考虑到现有计算性能的情况下计算性地确保安全性。例如,基于当今的计算性能,在考虑到当前超级计算机的计算性能的情况下,具有128位或以上长度的安全密钥一般被称为在计算性上是安全的。还应注意到,由于WLAN站点的计算性能典型地比超级计算机低几个数量级,所以本文所描述的密钥的长度可能明显小于128位,例如但不限于64位密钥。
同时,在一个实施例中,使用下列方程计算KID_AB:
KID_AB:=hash(R_B||R_A||MAC_B||MAC_A) (1)
一般地,可以在方程(1)中采用许多种公知散列函数之一,例如SHA(安全散列算法)-1、SHA-256或者Davies-Meyer模式中的AES(先进加密标准)。
一旦生成K_AB和KID_AB的值,QAP就生成一对安全字符串SA和SB,以便被分别用于将K_AB和KID_AB值安全地传送到站点QSTA-A和QSTA-B。例如,使用下列方程生成安全字符串值SA和SB:
SA:=R_A||MAC_B||MAC_A||Wrap(KEK_A,K_AB||KID_AB)(2a)
SB:=R_B||MAC_B||MAC_A||Wrap(KEK_B,K_AB||KID_AB)(2b)
基于前述方程,Wrap(参数1,参数2)函数对应于协定密钥封包加密算法,其由WLAN部署采用,并且由存储在QAP以及每个站点QSTA-A和QSTA-B处的Wrap_ID值标识。在一个实施例中,Wrap函数对应于NIST(国际标准和技术协会)密钥封包算法,其在IETF RFC(互联网工程任务组请求注解)3394(先进加密标准密钥封包算法,2002年9月)中进行了定义。也可以采用其它加密算法。
除了生成安全字符串SA和SB之外,QAP还使用由协定MIC算法所标识的散列函数对这些字符串中的每一个生成散列,其中所述协定MIC算法由在之前执行的RSNA链路建立期间所分配的MIC_ID值标识。如下列方程3a和方程3b所示:
hash(SA):= (3a)
MIC(KCK_A,R_A||MAC_B||MAC_A||Wrap(KEK_A,K_AB||KID_AB))
hash(SB):=
(3b)
MIC(KCK_B,R_A||MAC_B||MAC_A||Wrap(KEK_B,K_AB||KID_AB))
消息完整性检测(MIC)算法采用相应的密钥确认密钥KCK_A和KCK_B作为在相应的安全字符串SA和SB上运算的散列密钥。一般地,MIC算法可以采用由WLAN安全方案实现的许多公知散列算法之一。例如,在一个实施例中,可以采用HMAC SHA-1算法或CMAC模式中的AES作为MIC算法。也可以以类似的方式实现其它多种散列算法。
一旦生成安全字符串和相应的MIC散列,就将消息510和512从QAP发送到相应站点QSTA-A和QSTA-B,其中,消息510和512包含与每个站点QSTA-A和QSTA-B的安全字符串的散列相并置的安全字符串。继续进行到图5b的顶部,一旦接收到各自的消息,每个站点QSTA-A和QSTA-B就首先对消息的散列部分执行检测,以便确定消息的真实性。每个站点通过使用由其存储的MIC_ID值所标识的散列算法对消息的安全字符串部分执行类似的散列来完成该检测,其中,每个站点将其存储的密钥确认密钥用作散列密钥。例如,站点QSTA-A将计算下列方程以便确定其是否为真(TRUE):
MIC(KCK_A,SA)=hash(SA) (4)
如判决方框514所示,如果不等式计算为真,则证实消息的真实性。基于该结果,QSTA接着使用其密钥加密密钥和协定Wrap加密算法拆包出K_AB和KID_AB值,其中由Wrap_ID值标识所述协定Wrap加密算法。在方框518中,由站点QSTA-A执行该操作。如果判决方框514的结果为假(FALSE),则从QAP接收的消息被损坏,或者该消息是由“伪装成”QAP的另一个站点或实体发送的。在这种情况下,应该重新开始整个处理。
在站点QSTA-B处执行类似的操作。在这种情况下,在判决方框516中计算如下方程:
MIC(KCK_A,SB)=hash(SB) (5)
如方框518中所示,如果结果为真,则站点QSTA-B就使用其密钥加密密钥和协定Wrap加密算法拆包出K_AB和KID_AB值,其中由Wrap_ID值标识所述协定Wrap加密算法。如前所述,如果结果为假,则重新开始处理。
消息发送机制的另一个方案包括将之前生成的在消息510和512中分别采用的随机数R_A和R_B发送到站点QSTA-A和QSTA-B。在一些例子中,发起方站点可能必须发送出多个安全链路发起请求消息。通过将其为给定请求消息生成的随机数与安全字符串的第一部分进行比较,可以识别成功的请求消息。
此时,每个站点QSTA-A和QSTA-B已经从相应的消息510和512中提取出对称会话密钥K_AB和密钥名称KID_AB的相同的值。如由消息交换522所示以及以下参考图6进一步详细描述的,这些站点接着通过将对称会话密钥K_AB用作PMK来执行四向握手。然后,通过在两个站点之间使用四向握手,根据PMK导出相应的成对DLS临时密钥(PDTK),并且在方框524中将其安装在每个站点QSTA-A和QSTA-B处。然后,这些站点可以采用PDTK,以便使用公知的加密技术实现安全链路526。
在前述操作过程中,QAP应该删除对称会话密钥K_AB,或者阻止WLAN中的任何其它元件访问该密钥。由于根据密钥K_AB最终导出的PTK仅用于在站点(例如,QSTA-A和QSTA-B)之间发送消息,所以QAP没有必要保存密钥K_AB。
图6示出四向握手522的一个实施例。在序列的起始处,每个站点QSTA-A和QSTA-B已经接收到K_AB的副本,其用作PMK。四向握手类似于其它类型的密钥建立协议,并且在IEEE 802.11iTM-2004标准中进行了描述。在示例性消息交换中,站点QSTA-A是EAP鉴权方(A),而站点QSTA-B是EAP请求方。
在方框600中,站点QSTA-A生成当前值ANonce。类似地,在方框602中,站点QSTA-B生成当前值SNonce。当前值是在安全方案中使用一次的数,并且典型地,当前值可以包括随机数或当前时间(以数字形式)。站点QSTA-A将包括EAPOL-密钥帧的第一消息604发送到站点QSTA-B,其中,EAPOL-密钥帧包含ANonce和单播标识符码。作为响应,在方框606中,站点QSTA-B根据其PMK(K_AB)的副本导出PDTK。然后,站点QSTA-B将包括EAPOL-密钥帧的消息608发送到站点QSTA-A,其中EAPOL-密钥帧包含SNonce、单播标识符码以及MIC标识符。作为响应,在方框610中,站点QSTA-A根据其PMK的副本导出其PDTK。
使用第三消息612和第四消息614完成四向握手。第三消息612包括EAPOL-密钥帧,其包含告知接收方安装PDTK的指示、单播标识符码、MIC标识以及例如GTK的可能附加可选参数。第四消息614包括EAPOL-密钥帧,其包含单播标识符码和MIC标识符。如由相应方框616和618所示,在交换了第三和第四消息612和614之后,在站点QSTA-A和QSTA-B处安装PDTK。
为了支持图5a和图5b中各个端点之间的消息传送,在一个实施例中,如IEEE 802.11iTM-2004标准中的第7.3节所定义的,采用鉴权管理帧对消息数据进行封装。也可以用类似方式采用其它数据封装帧格式。
一般地,可以由真随机数发生器或伪随机数发生器(假定随机数的位长度和随机性是足够的)来生成本文所描述的随机数。此外,可以使用基于软件或基于硬件的机制、使用公知的算法来生成随机数。
一般地,经由站点主机设备上的软件和/或固件指令的运行,主要地或完全地实现用于执行本文所描述无线站点的操作的逻辑。例如,对于例如笔记本计算机或台式计算机的站点,一般地,可以在操作系统上运行的操作系统组件或应用程序中实现所述逻辑。例如,在一个实施例中,在WLAN操作系统驱动程序中实现所述逻辑。同时,对于手持设备等,典型地,可以经由在内置到设备中的主机操作系统上运行的固件或应用程序来实现所述逻辑。
除了经由软件和固件的运行实现操作之外,还可以经由例如包含在FPGA(现场可编程门阵列)、ASIC(专用集成电路)以及类似电路中的可编程逻辑等内置硬件逻辑来实现其它操作。使用这些以及其它基于硬件的机制实现逻辑的技术在电子领域中是公知的。
典型地,以与站点稍微不同的方式来实现本文所描述的由接入点执行的操作。不像WLAN站点所提供的通用性能那样,典型的AP包括具有相对较低成本的独立设备,其中该独立设备被配置为执行专用WLAN主机操作。由此,AP设备不采用操作系统(或者采用非常小的操作系统),而是经由内置硬件逻辑以及内置处理器单元上的固件的运行等来实现其逻辑。
更详细地,图7示出了说明典型的802.11无线接入点的原理功能性方框的方框图。在顶层,方框包括WLAN子系统700、WLAN/以太网桥702以及以太网控制器704。WLAN子系统一般包括用于协助PHY(物理)层处的WLAN操作以及对802.11空中接口的控制的组件。为简便起见,这些组件被示为包括射频硬件706和WLAN控制器708。如本文所使用的,WLAN射频硬件包括用于生成并处理射频信号的无线AP组件,其中,空中接口采用所述射频信号协助AP和WLAN站点之间的通信。典型地,所述组件将包括天线以及模拟和数字电路,其中,所述模拟和数字电路用于根据AP所采用的可用WLAN协议,生成将发出的射频(RF)信号并处理所接收的射频信号。
WLAN控制器进一步被示为包括802.11PHY方框710和802.11 MAC(媒体访问控制)方框712。如网络领域的技术人员所将意识到的,PHY和MAC方框分别与物理和数据链路层相关联,其包括七层OSI(开放系统互连)网络通信模型中最低的两层(层-1和层-2)。
如其名称所表示的,WLAN/以太网桥702被用作802.11WLAN信号和802.3以太网信号之间的网桥。更具体地,在所示出的结构中,WLAN/以太网桥702提供在802.11帧和802.3帧之间的接口,其中,802.11帧被传送到WLAN子系统以及从WLAN子系统被传送,并且802.3帧被传送到以太网控制器704以及从以太网控制器704被传送。该操作部分地由802.11/802.3转换器714进行协助,其中,802.11/802.3转换器714在802.11和802.3之间对帧格式进行转换,反之亦然。作为一种选择,可以由WLAN控制器708执行帧转换操作。
如上所述,接入点还可能需要执行交换和/或路由功能。在一层上,由于WLAN空中接口在本质属性上包括某种类型的交换机制所必需的共享介质,所以经由WLAN子系统700执行交换操作,例如,使用冲突避免机制等管理对WLAN信道的接入。附加地,AP必须执行交换/路由操作,其中,经由WLAN子系统将在输入/输出(I/O)端口的输入侧处所接收的分组路由到适当的目的站点,或者将所述分组路由到另一个I/O端口以便被传送到另一个网络。为了说明的目的,在图7中将交换和路由操作示为由WLAN/以太网桥702上的交换机/路由器方框720执行;然而,应该理解,可以由以太网控制器704执行某些交换和路由操作。
典型地,接入点所提供的另一种操作涉及安全性。无论AP覆盖区域内的任何站点是否被授权接入AP,不仅可以在共享介质上发送WLAN信号,还可以由所述站点接入该WLAN信号(在信号层上)。因此,为了控制AP接入,实现例如WEP(有线对等保密)和WPA(Wi-Fi受保护接入)方案的各种安全方案。基于这些方案,使用某些例如共享密钥、旋转密钥等安全密钥基础结构对分组进行加密。同时,典型地,以太网传输或者a)不被加密,或者b)使用由传输端点而非AP所管理的解密/加密(例如,虚拟专用连接、安全套接字层安全性等)进行加密。为了协助支持安全WLAN业务所必需的加密和解密操作,WLAN/以太网桥702还包括加密/解密方框722。一般地,取决于特定的AP结构,可以由WLAN子系统700来执行加密/解密方框722所示的部分或全部操作。
AP所提供的另一个操作是站点管理。例如,在被允许接入AP服务之前,典型地,站点需要在例如RSNA链路建立期间执行注册操作等。在该处理期间,将获得站点的MAC地址并且站点将被标识/鉴权,站点的IP(网际协议)地址将被动态或静态地分配并且存储在交换机/路由器720所接入的MAC-到-IP地址转换表中,以及将执行其它有关操作。将站点管理操作整体示为由站点管理方框724执行,其中,所述站点管理操作经由管理接口726接入WLAN控制器708。
使用以太网控制器704提供AP和各种网络之间的接口,其中,AP经由相应的例如交换机、网桥、路由器等网络基础设施而可通信地耦合到各种网络。为了协助这些操作,典型地,以太网控制器包括一个或多个I/O端口728、802.3PHY方框730以及802.3MAC方框732。一般地,I/O端口728将经由相应的IEEE 802.3(以太网)链路耦合到一个或多个网络。因此,将这些端口可选地称为以太网端口或者以太网I/O端口。在其它例子中,以太网端口名称包括其基本传输速率,例如,对应于支持GigE(吉比特每秒以太网)传输速率的以太网端口的GigE端口。
图7中所示的功能性方框的划分仅仅是为了说明的目的。一般地,可以在一个或多个物理组件上实现所述功能性方框,其中所述物理组件例如对应于射频硬件706的集成电路和模拟电路。在例如如下所述的一些实现中,将WLAN/以太网桥702和以太网控制器704的功能性方框合并在单个集成电路上。基于这种实现,将不存在由例如图7中802.3MAC方框718和732所示的802.3MAC方框的复制。
典型地,经由在嵌入式处理器等上运行的相应软件模块的运行,或者经由嵌入式硬件逻辑,协助针对WLAN/以太网桥所示出的、全部或部分各种功能性方框所示的操作。各种逻辑和处理器元件可以包括离散组件,或者可被合并在一个或多个集成电路等上。
图8示出了采用网络处理器单元(NPU)800的AP结构的一个实施例,其中,NPU 800用于执行一般类似于针对上述图7的WLAN/以太网桥702和以太网控制器704所描述的功能。NPU 800包括经由内部总线结构等耦合到以太网控制器804、存储器控制器806以及通信接口808的内部(嵌入式)处理器802。存储器控制器806提供对外部存储器810的访问,典型地,外部存储器810包括某种类型的基于DRAM(动态随机存取存储器)的存储器,例如DDRDRAM(双数据速率DRAM)、SDRAM(同步DRAM)、RDRAM(Rambus DRAM)等。通信接口808提供到WLAN控制器708的接口。一般地,该接口可以是某种类型的基于总线或基于串行的接口。
典型地,将在内部处理器802上运行以便执行相关AP操作的指令存储在某种类型的非易失(NV)存储器设备中,例如,由NV存储器812所示的NV存储器设备。例如,一般地,NV存储器可以包括例如闪存设备的可重写非易失存储器。典型地,内部处理器802可以直接地、通过存储器控制器806或者通过其它存储器接口(未示出)访问NV存储器。还可以在指令运行期间,使用载波文件等下载部分指令,并且将其存储在外部存储器806中。
典型地,可以经由内部处理器802上相应软件/固件的运行或者经由例如由可选的加密单元814和解密单元816所示的内置硬件组件,执行加密和解密操作。类似地,可以经由内部处理器802上软件/固件的运行或者经由内置随机数发生器(RNG)单元818来生成随机数。
如上所述,可以经由某种类型处理元件上软件和/或固件的运行,执行本文中由WLAN站点和AP所执行的各种操作。因此,本发明的实施例可被用作或用于支持指令,其中这些指令实施为在某种形式的处理元件上运行的或者在机器可读介质上或内部实现或实行的一个或多个软件/固件组件。机器可读介质包括用于以机器(例如,计算机)可读形式对信息进行存储或发送的机制。例如,机器可读介质可以包括制造产品,例如只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储介质、光存储介质以及闪存设备等。此外,机器可读介质可以包括传播信号,例如电、光、声或其它形式的传播信号(例如,载波、红外信号、数字信号等)。
本文所公开的用于在WLAN站点之间建立安全直接链路的机制提供了比在IEEE 802.11e/D13标准草案中定义的安全方案更显著的优势。特别地,采用基于随机生成且统计上不可预测的数的新生成密钥来确保每个直接链路会话的安全。附加地,密钥分配机制在计算性上是不可被破坏的,这确保只有预期的接收方才能够访问共享会话密钥,其中根据该共享会话密钥导出PDTK。此外,密钥分配机制提供了内置鉴权和消息标识特征,这保证只有WLAN组件访问会话密钥的每个直接链路参与站点是参与站点和QAP。
对本发明所示实施例的上述说明,包括摘要中所描述的内容,并不旨在是穷举性的或者将本发明限制到所公开的精确形式。虽然在本文中为了说明性的目的对本发明的特定实施例和实例进行了描述,但是如相关领域的技术人员所将意识到的,在本发明范围内可能存在各种等效修改。
可以根据以上详细说明对本发明进行这些修改。不应将所附权利要求中使用的术语解释为将本发明限制于说明书和附图中所公开的特定实施例。相反,本发明的范围是由所附权利要求整体确定的,其中根据所建立的权利要求解释原则对所附权利要求进行解释。
Claims (26)
1、一种方法,包括:
在由接入点(AP)作为主机的无线局域网(WLAN)中的第一和第二站点之间建立直接链路,所述直接链路包括新通信会话;
在所述AP处生成对于所述新通信会话唯一的会话密钥;
以只有所述第一和第二站点才能够获得所述会话密钥的方式,将所述会话密钥的副本传送到所述第一和第二站点中的每一个;以及
为所述直接链路实现安全机制,以便产生采用根据所述会话密钥导出的安全会话密钥的安全直接链路。
2、如权利要求1所述的方法,其中,所述接入点和所述第一和第二站点中的每一个支持由IEEE 802.11e/D13标准草案所定义的服务质量机制,并且所述直接链路包括使用直接链路建立(DLS)协议所建立的DLS链路。
3、如权利要求1所述的方法,还包括:
在所述第一站点和所述AP之间建立第一健壮安全网络关联(RSNA)链路,所述第一RSNA链路的建立包括在所述第一站点和所述AP之间交换第一密钥;以及
在所述第二站点和所述AP之间建立第二RSNA链路,所述第二RSNA链路的建立包括在所述第二站点和所述AP之间交换第二密钥。
4、如权利要求1所述的方法,还包括:
生成第一和第二成对主密钥;
将所述第一和第二成对主密钥分别传送到所述第一和第二站点;
在所述第一站点和所述AP中的每一个处,根据所述第一成对主密钥导出第一密钥加密密钥(KEK);
在所述第二站点和所述AP中的每一个处,根据所述第二成对主密钥导出第二KEK;
使用所述第一KEK对所述会话密钥的第一副本加密,并且将第一消息从所述AP发送到所述第一站点,其中所述第一消息包含所述对称会话密钥的加密的第一副本;
使用所述第二KEK对所述会话密钥的第二副本加密,并且将第二消息从所述AP发送到所述第二站点,其中所述第二消息包含所述会话密钥的加密的第二副本;
在所述第一站点处,采用所述第一KEK对所述第一消息解密,以便提取所述会话密钥的所述第一副本;
在所述第二站点处,采用所述第二KEK对所述第一消息解密,以便提取所述会话密钥的所述第二副本。
5、如权利要求4所述的方法,还包括:
将标识密钥封包算法的信息传送到所述第一和第二站点,其中,所述密钥封包算法被用于对所述会话密钥的所述第一和第二副本加密;以及
在所述第一和第二站点处,采用所述密钥封包算法对加密的封包解密,所述加密的封包包含所述会话密钥的所述第一和第二副本。
6、如权利要求1所述的方法,还包括:
生成第一和第二密钥确认密钥(KCK);
将所述第一和第二KCK从所述AP分别传送到所述第一和第二站点;
将所述会话密钥的第一副本封装在包含第一安全字符串和所述第一安全字符串的散列的第一消息中,所述第一安全字符串的所述散列采用所述第一KCK;
将所述会话密钥的第二副本封装在包含第二安全字符串和所述第二安全字符串的散列的第二消息中,所述第二安全字符串的所述散列采用所述第二KCK;
将所述第一和第二消息从所述AP分别发送到所述第一和第二站点;
在所述第一站点处,通过使用所述第一KCK对所述第一安全字符串执行散列并且将该结果与包含在所述第一消息中的所述第一安全字符串的所述散列进行比较,来采用所述第一KCK对所述第一消息鉴权;以及
在所述第二站点处,通过使用所述第二KCK对所述第二安全字符串执行散列并且将该结果与包含在所述第二消息中的所述第二安全字符串的所述散列进行比较,来采用所述第二KCK对所述第二消息鉴权。
7、如权利要求6所述的方法,还包括:
将信息传送到所述第一和第二站点,其中,所述信息标识对包含在所述第一和第二消息中的所述第一和第二安全字符串执行所述散列所采用的消息完整性代码(MIC)算法;以及
在对所述第一和第二消息鉴权的过程中,在所述第一和第二站点处采用所述MIC算法对包含在所述第一和第二消息中的所述第一和第二安全字符串执行散列。
8、如权利要求1所述的方法,还包括:
在所述第一站点处生成第一随机数;
在所述第二站点处生成第二随机数;
将所述第一和第二随机数传送到所述AP;以及
采用所述第一随机数和第二随机数生成与所述会话密钥相关联的密钥名称。
9、如权利要求1所述的方法,还包括:
在所述AP处生成与所述会话密钥相关联的密钥名称;
将所述密钥名称的副本提供给所述第一和第二站点中的每一个;
执行四向握手,其中所述四向握手将所述会话密钥用作成对主密钥并且将所述密钥名称用作密钥标识符;以及
根据所述会话密钥导出成对临时密钥,所述成对临时密钥被用作所述安全会话密钥。
10、如权利要求1所述的方法,还包括:
在所述第一站点处生成第一随机数;
以消息的形式将所述第一随机数传送到所述第二站点,以便请求在所述第一站点和所述第二站点之间建立安全直接链路;
将所述第一随机数从所述第二站点传送到所述AP;
在所述第一站点和所述第二站点之间建立安全直接链路的过程中,将所述第一随机数嵌入在从所述AP发送到所述第一站点的消息中,所述第一随机数用于使从所述AP发送的所述消息与在所述第一站点和所述第二站点之间建立所述安全直接链路的所述请求相关。
11、一种无线接入点(AP),包括:
射频(RF)接口,发送和接收对应于无线通信协议的RF信号;
处理器,耦合到所述RF接口;以及
逻辑,经由嵌入式逻辑和存储在所述AP上的机器指令的运行中的至少一个来实现所述逻辑,并且处理器运行所述逻辑以便执行以下操作,包括:
生成第一和第二密钥,并且将所述第一和第二密钥传送到由所述AP作为主机的无线局域网(WLAN)中的第一和第二站点;
执行AP侧操作,以便协助在所述第一和第二站点之间建立直接链路,所述直接链路包括新通信会话;
生成对所述新通信会话唯一的会话密钥;
生成包括所述会话密钥的第一加密副本的第一消息,其中使用加密算法生成所述第一加密副本,该加密算法采用包括所述第一密钥或根据所述第一密钥导出的值之一的加密参数;
生成包括所述会话密钥的第二加密副本的第二消息,其中使用加密算法生成所述第二加密副本,该加密算法采用包括所述第二密钥或根据所述第二密钥导出的值之一的加密参数;以及
将所述第一和第二消息分别发送到所述第一和第二站点。
12、如权利要求11所述的无线AP,其中,所述AP和所述第一和第二站点中的每一个支持由IEEE 802.11e/D13标准草案所定义的服务质量机制,并且所述直接链路包括使用直接链路建立(DLS)协议所建立的DLS链路。
13、如权利要求11所述的无线AP,其中,所述逻辑还执行AP侧操作,以便协助在所述AP与所述第一和第二站点中的每一个之间建立健壮安全网络关联(RSNA)链路,并且其中,所述第一和第二密钥包括第一和第二成对主密钥,在所述第一和第二站点各自的RSNA链路的建立过程中将所述第一和第二成对主密钥传送到所述第一和第二站点,并且其中,所述加密参数包括根据所述第一和第二成对主密钥导出的密钥加密密钥。
14、如权利要求11所述的无线AP,其中,所述逻辑还执行以下操作,包括:
将消息发送到所述第一和第二站点中的每一个,其中所述消息包含用于对所述会话密钥加密的所述加密算法的标识符。
15、如权利要求11所述的无线AP,其中,所述逻辑还执行以下操作,包括:
将信息传送到所述第一和第二站点,其中所述信息标识将被用作散列函数的消息完整性代码(MIC)算法;
生成第一安全字符串,所述第一安全字符串包括加密的会话密钥和使用所述MIC算法所生成的所述第一安全字符串的散列;
生成第二安全字符串,所述第二安全字符串包括加密的会话密钥和使用所述MIC算法所生成的所述第一安全字符串的散列;
将所述第一安全字符串和所述第一安全字符串的所述散列包括在所述第一消息中;以及
将所述第二安全字符串和所述第二安全字符串的所述散列包括在所述第二消息中。
16、如权利要求15所述的无线AP,其中,所述第一和第二安全字符串中的每一个包括各自的第一和第二标识符,其中,在建立安全直接链路的过程中,由所述第一和第二站点生成所述第一和第二标识符并且由所述无线AP接收所述第一和第二标识符。
17、一种机器可读介质,其提供将在无线接入点(AP)上运行的指令,以便执行以下操作,包括:
生成第一和第二密钥,并且将所述第一和第二密钥传送到由所述AP作为主机的无线局域网(WLAN)中的第一和第二站点;
执行AP侧操作,以便协助在所述第一和第二站点之间建立直接链路,所述直接链路包括新通信会话;
生成对所述新通信会话唯一的会话密钥;
生成包括所述会话密钥的第一加密副本的第一消息,其中使用加密算法生成所述第一加密副本,该加密算法采用包括所述第一密钥或根据所述第一密钥导出的值之一的加密参数;
生成包括所述会话密钥的第二加密副本的第二消息,其中使用加密算法生成所述第二加密副本,该加密算法采用包括所述第二密钥或根据所述第二密钥导出的值之一的加密参数;以及
将所述第一和第二消息分别发送到所述第一和第二站点。
18、如权利要求17所述的机器可读介质,其中,所述AP和所述第一和第二站点中的每一个支持由IEEE 802.11e/D13标准草案所定义的服务质量机制,并且所述直接链路包括使用直接链路建立(DLS)协议所建立的DLS链路。
19、如权利要求17所述的机器可读介质,其中,所述指令的运行还执行以下操作,包括:
执行AP侧操作,以便协助在所述AP与所述第一和第二站点中的每一个之间建立健壮安全网络关联(RSNA)链路,并且其中,所述第一和第二密钥包括第一和第二成对主密钥,在所述第一和第二站点各自的RSNA链路的建立过程中将所述第一和第二成对主密钥传送到所述第一和第二站点,并且其中,所述加密参数包括根据所述第一和第二成对主密钥导出的密钥加密密钥。
20、如权利要求17所述的机器可读介质,其中,所述指令的运行还执行以下操作,包括:
将消息发送到所述第一和第二站点中的每一个,其中所述消息包含用于对所述会话密钥加密的所述加密算法的标识符。
21、如权利要求17所述的机器可读介质,其中,所述指令的运行还执行以下操作,包括:
将信息传送到所述第一和第二站点,其中所述信息标识将被用作散列函数的消息完整性代码(MIC)算法;
生成第一安全字符串,所述第一安全字符串包括加密的会话密钥和使用所述MIC算法所生成的所述第一安全字符串的散列;
生成第二安全字符串,所述第二安全字符串包括加密的会话密钥和使用所述MIC算法所生成的所述第一安全字符串的散列;
将所述第一安全字符串和所述第一安全字符串的所述散列包括在所述第一消息中;以及
将所述第二安全字符串和所述第二安全字符串的所述散列包括在所述第二消息中。
22、一种机器可读介质,其提供将在由无线接入点(AP)作为主机的无线局域网(WLAN)中的第一站点上运行的指令,以便执行以下操作,包括:
从所述AP接收第一密钥;
根据所述第一密钥生成密钥加密密钥(KEK);
执行站点侧操作,以便在所述WLAN内的所述第一站点和第二站点之间建立直接链路;
提交建立安全直接链路的请求;
从所述AP接收包含被加密的会话密钥的消息,其中使用将所述KEK用作参数的加密算法对所述会话密钥加密;
通过使用与所述加密算法相关联并且将所述KEK用作参数的解密算法,从所述消息中提取所述会话密钥;以及
与所述第二站点协商将用于协助安全直接链路的成对临时密钥(PTK),其中根据所述会话密钥导出所述PTK。
23、如权利要求22所述的机器可读介质,其中,所述指令的运行还执行以下操作,包括:
生成随机数;
将所述随机数包括在安全链路发起请求消息中;
从接收自所述AP的所述消息中提取消息标识符;以及
将所述消息标识符与所述随机数进行比较,以便证实所述消息与所述安全链路请求发起消息相关联。
24、如权利要求22所述的机器可读介质,其中,所述指令的运行还执行以下操作,包括:
执行站点侧操作,以便协助在所述站点和所述AP之间建立健壮安全网络关联(RSNA)链路,
并且其中,所述第一密钥包括成对主密钥,并且根据所述成对主密钥导出KCK,其中在建立所述RSNA链路的过程中将所述成对主密钥传送到所述站点。
25、如权利要求22所述的机器可读介质,其中,所述第一站点和所述AP中的每一个支持由IEEE 802.11e/D13标准草案所定义的服务质量机制,并且所述直接链路包括使用直接链路建立(DLS)协议所建立的DLS链路。
26、如权利要求17所述的机器可读介质,其中,所述指令的运行还执行以下操作,包括:
从所述AP接收信息,其中所述信息标识将在发送自所述AP的所述消息中被用作散列函数的消息完整性代码(MIC)算法;
从发送自所述AP的所述消息中提取安全字符串和所述安全字符串的所述散列;
采用由接收自所述AP的所述信息所标识的MIC算法,对所述安全字符串执行散列;以及
将所述安全字符串的所述散列与包含在所述消息内的所述安全字符串的所述散列进行比较,以便对所述消息鉴权。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/266,439 US20070097934A1 (en) | 2005-11-03 | 2005-11-03 | Method and system of secured direct link set-up (DLS) for wireless networks |
US11/266,439 | 2005-11-03 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101300809A true CN101300809A (zh) | 2008-11-05 |
Family
ID=37776631
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2006800407505A Pending CN101300809A (zh) | 2005-11-03 | 2006-11-02 | 用于使用直接链路建立(dls)协议在无线网络站点之间建立安全直接链路的方法、系统和可读介质 |
Country Status (4)
Country | Link |
---|---|
US (5) | US20070097934A1 (zh) |
EP (2) | EP2988471A1 (zh) |
CN (1) | CN101300809A (zh) |
WO (1) | WO2007056103A1 (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102137095A (zh) * | 2010-12-29 | 2011-07-27 | 中国电力科学研究院 | 工业控制系统数据交换安全保护方法、系统和装置 |
CN102726080A (zh) * | 2009-12-23 | 2012-10-10 | 马维尔国际贸易有限公司 | 个人基本服务集中的站对站安全关联 |
CN103109556A (zh) * | 2010-09-24 | 2013-05-15 | 英特尔公司 | 用于无线装置认证和关联的方法和设备 |
CN102257842B (zh) * | 2008-12-17 | 2014-03-12 | 交互数字专利控股公司 | 直通链路通信的增强的安全性 |
WO2014206104A1 (zh) * | 2013-06-28 | 2014-12-31 | 华为技术有限公司 | 一种直连链路通信方法及相关设备、系统 |
CN104303583A (zh) * | 2012-05-14 | 2015-01-21 | 华为技术有限公司 | 用于在通信系统中建立安全连接的系统和方法 |
CN105247835A (zh) * | 2013-05-23 | 2016-01-13 | 三星电子株式会社 | 用于在无线对接网络中将对接方设备直接连接到外围设备的方法和装置 |
CN106357403A (zh) * | 2016-11-23 | 2017-01-25 | 神州融安科技(北京)有限公司 | 一种链路通讯加密保护的装置及方法,安全报文处理系统 |
WO2023245318A1 (en) * | 2022-06-20 | 2023-12-28 | Huawei Technologies Co., Ltd. | Devices and methods for policy communication in a wireless local area network |
Families Citing this family (70)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102005041349A1 (de) * | 2005-08-31 | 2007-03-01 | Basf Ag | Reinigungsformulierungen für die maschinelle Geschirrreinigung enthaltend hydrophil modifizierte Polycarboxylate |
US20070097934A1 (en) | 2005-11-03 | 2007-05-03 | Jesse Walker | Method and system of secured direct link set-up (DLS) for wireless networks |
US8077683B2 (en) * | 2005-11-03 | 2011-12-13 | Interdigital Technology Corporation | Method and system for performing peer-to-peer communication between stations within a basic service set |
WO2007111710A2 (en) * | 2005-11-22 | 2007-10-04 | Motorola Inc. | Method and apparatus for providing a key for secure communications |
US20070147620A1 (en) * | 2005-12-28 | 2007-06-28 | Heyun Zheng | Method for encryption key management for use in a wireless mesh network |
TW200803359A (en) * | 2006-06-13 | 2008-01-01 | Accton Technology Corp | Method of connecting a new discovered AP by early 4-way handshaking |
US8601103B2 (en) * | 2006-06-15 | 2013-12-03 | Intel Corporation | Method, apparatus and system for distributing and enforcing authenticated network connection policy |
CN100488305C (zh) * | 2006-09-23 | 2009-05-13 | 西安西电捷通无线网络通信有限公司 | 一种网络接入鉴别与授权方法以及授权密钥更新方法 |
KR100772417B1 (ko) * | 2006-09-26 | 2007-11-01 | 삼성전자주식회사 | 다이렉트 링크를 이용한 무선네트워크 통신 방법 및 그장치 |
US8161283B2 (en) * | 2007-02-28 | 2012-04-17 | Motorola Solutions, Inc. | Method and device for establishing a secure route in a wireless network |
US8175272B2 (en) * | 2007-03-12 | 2012-05-08 | Motorola Solutions, Inc. | Method for establishing secure associations within a communication network |
US20080298328A1 (en) * | 2007-06-04 | 2008-12-04 | Suman Sharma | Trusted wireless communications with station-to-station link association |
US8010778B2 (en) * | 2007-06-13 | 2011-08-30 | Intel Corporation | Apparatus and methods for negotiating a capability in establishing a peer-to-peer communication link |
US20100023768A1 (en) * | 2007-06-27 | 2010-01-28 | Intel Corporation | Method and system for security key agreement |
CN101690014A (zh) * | 2007-07-06 | 2010-03-31 | Lg电子株式会社 | 无线通信系统中的无线电测量过程 |
CN101690004B (zh) * | 2007-07-06 | 2013-10-23 | Lg电子株式会社 | 在无线局域网系统中用于事件报告服务的方法和装置 |
WO2009008615A2 (en) * | 2007-07-11 | 2009-01-15 | Lg Electronics Inc. | Direct link teardown procedure in tunneled direct link setup (tdls) wireless network and station supporting the same |
KR101403837B1 (ko) * | 2007-11-10 | 2014-06-09 | 엘지전자 주식회사 | 보안 다이렉트 링크의 설정 및 관리 방법 |
EP2218236B1 (en) * | 2007-11-12 | 2019-01-02 | LG Electronics Inc. | Procedure for a power save mode in a direct link setup wireless network |
CN100566240C (zh) * | 2007-11-16 | 2009-12-02 | 西安西电捷通无线网络通信有限公司 | 一种wapi单播密钥协商方法 |
US20090138603A1 (en) * | 2007-11-28 | 2009-05-28 | Qualcomm Incorporated | Protection for direct link setup (dls) transmissions in wireless communications systems |
US8239670B1 (en) * | 2008-05-13 | 2012-08-07 | Adobe Systems Incorporated | Multi-aspect identifier in network protocol handshake |
US9107202B2 (en) | 2008-05-15 | 2015-08-11 | Nokia Corporation | Methods, apparatuses and computer program products for providing coordination of device to device communication |
US9100246B1 (en) * | 2008-06-19 | 2015-08-04 | Symantec Corporation | Distributed application virtualization |
TWI410105B (zh) * | 2008-12-01 | 2013-09-21 | Inst Information Industry | 無線網路架構之行動台、存取台、閘道裝置、基地台及其握手方法 |
US20100153550A1 (en) * | 2008-12-15 | 2010-06-17 | Broadcom Corporation | Pluggable device that enables an addition of security functionality in a network |
US8966265B2 (en) * | 2009-01-30 | 2015-02-24 | Texas Instruments Incorporated | Pairwise temporal key creation for secure networks |
CN102216916B (zh) * | 2009-03-24 | 2015-01-07 | 罗技欧洲公司 | 远程控制系统的操作的设备及方法 |
US20100255869A1 (en) * | 2009-04-06 | 2010-10-07 | Kapil Sood | Direct peer link establishment in wireless networks |
EP2434832A2 (en) * | 2009-04-15 | 2012-03-28 | Itec Tokyo Corporation | Communication method in an ieee 802.11 wireless lan environment |
US8542620B2 (en) | 2009-05-05 | 2013-09-24 | Qualcomm Incorporated | Dynamic energy saving mechanism for access points |
US8812833B2 (en) * | 2009-06-24 | 2014-08-19 | Marvell World Trade Ltd. | Wireless multiband security |
US8566593B2 (en) * | 2009-07-06 | 2013-10-22 | Intel Corporation | Method and apparatus of deriving security key(s) |
US8432880B2 (en) | 2009-07-31 | 2013-04-30 | Motorola Solutions, Inc. | Method for group call communication |
US8458353B2 (en) * | 2009-08-13 | 2013-06-04 | Qualcomm Incorporated | Method and apparatus for link aggregation in a heterogeneous communication system |
US8560848B2 (en) * | 2009-09-02 | 2013-10-15 | Marvell World Trade Ltd. | Galois/counter mode encryption in a wireless network |
US8576761B1 (en) | 2009-09-18 | 2013-11-05 | Qualcomm Incorporated | Power save delivery mechanism for wireless communication traffic |
US8850204B2 (en) * | 2009-12-23 | 2014-09-30 | Intel Corporation | Multi-band/multi-link secure key generation and delivery protocol |
US8537733B1 (en) | 2010-02-12 | 2013-09-17 | Qualcomm Incorporated | Dynamic power mode switch in a wireless ad-hoc system |
US9621358B2 (en) * | 2010-03-18 | 2017-04-11 | Utc Fire & Security Corporation | Method of conducting safety-critical communications |
US9311446B1 (en) | 2010-03-19 | 2016-04-12 | Qualcomm Incorporated | Multicast transmission for power management in an ad-hoc wireless system |
US8588156B1 (en) | 2010-04-27 | 2013-11-19 | Qualcomm Incorporated | Direct data communication in infrastructure mode in wireless communication systems |
US8526346B1 (en) | 2010-04-28 | 2013-09-03 | Qualcomm Incorporated | Power save communication mechanism for wireless communication systems |
US9019943B2 (en) | 2010-07-29 | 2015-04-28 | Qualcomm Incorporated | Systems and methods of communication using tunneled direct link setup (TDLS) |
US20120151089A1 (en) * | 2010-12-08 | 2012-06-14 | Atheros Communications, Inc. | Direct data communication in a peer-to-peer network |
US9894108B2 (en) * | 2010-12-13 | 2018-02-13 | At&T Intellectual Property I, L.P. | Synchronization based on device presence |
US9363842B2 (en) | 2011-03-01 | 2016-06-07 | Lg Electronics Inc. | Method of transmitting and receiving data in a wireless communication system and apparatus therefor |
JP5492134B2 (ja) * | 2011-04-01 | 2014-05-14 | 株式会社Nttドコモ | 移動通信方法、移動管理ノード及び無線基地局 |
US8611268B1 (en) | 2011-04-15 | 2013-12-17 | Qualcomm Incorporated | Access point power save mechanism for wireless communication systems |
KR101833454B1 (ko) | 2011-06-14 | 2018-04-13 | 삼성전자주식회사 | 근거리 무선 통신 방법 및 이를 구현하는 단말기 |
BR112014005448B1 (pt) * | 2011-09-13 | 2022-05-24 | Koninklijke Philips N.V | Sistema de ancoragem sem fio, estação de ancoragem sem fio, dispositivo de acoplamento, e, método para ancoragem de um dispositivo de acoplamento com uma estação de ancoragem sem fio |
JP5468588B2 (ja) * | 2011-09-15 | 2014-04-09 | 株式会社東芝 | 通信装置及びプログラム |
US20130111041A1 (en) * | 2011-10-28 | 2013-05-02 | Banavara Madhusudan | Establishing a connection with a user device |
US9049658B2 (en) | 2012-03-06 | 2015-06-02 | Qualcomm Incorporated | Power save mechanism for peer-to-peer communication networks |
GB2500720A (en) * | 2012-03-30 | 2013-10-02 | Nec Corp | Providing security information to establish secure communications over a device-to-device (D2D) communication link |
JP5953984B2 (ja) | 2012-06-29 | 2016-07-20 | ソニー株式会社 | 通信制御装置、通信制御方法、プログラム、及び通信制御システム |
TWI450532B (zh) * | 2012-08-01 | 2014-08-21 | Acer Inc | 設定無線網路的系統及其方法 |
US9173095B2 (en) * | 2013-03-11 | 2015-10-27 | Intel Corporation | Techniques for authenticating a device for wireless docking |
EP3000222B1 (en) * | 2013-05-23 | 2018-09-12 | Samsung Electronics Co., Ltd. | Apparatus and method for controlling transparent tunnel mode operation in communication system supporting wireless docking protocol |
US10028179B2 (en) * | 2013-05-31 | 2018-07-17 | Qualcomm Incorporated | Reducing signaling during AP to AP handoff in dense networks |
KR102381371B1 (ko) * | 2015-12-10 | 2022-03-31 | 삼성전자주식회사 | 근거리 통신을 이용한 정보 제공 시스템 및 방법 |
CN107979864B (zh) * | 2016-10-25 | 2021-11-19 | 中兴通讯股份有限公司 | 接入点的接入方法、装置及系统 |
US11159503B2 (en) * | 2017-10-17 | 2021-10-26 | Princeton SciTech, LLC | Authentication for computing systems |
KR102026709B1 (ko) * | 2018-02-22 | 2019-09-30 | 삼성전자 주식회사 | 근거리 무선 통신 방법 및 이를 구현하는 단말기 |
CN108282551B (zh) * | 2018-03-07 | 2021-04-09 | 成都众网行科技有限公司 | 报文识别处理方法、装置、监听设备及可读存储介质 |
US11343089B2 (en) * | 2019-07-10 | 2022-05-24 | Tunnel VUE Inc. | Cryptography system and method |
KR102056124B1 (ko) | 2019-09-16 | 2019-12-16 | 삼성전자 주식회사 | 근거리 무선 통신 방법 및 이를 구현하는 단말기 |
US11627464B2 (en) | 2020-05-14 | 2023-04-11 | Cisco Technology, Inc. | Grouping users by pre-shared key (PSK) in hospitality |
US11700527B2 (en) | 2021-05-25 | 2023-07-11 | Cisco Technology, Inc. | Collaborative device address rotation |
US11902775B2 (en) | 2021-05-28 | 2024-02-13 | Cisco Technology, Inc. | Encrypted nonces as rotated device addresses |
Family Cites Families (36)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6336188B2 (en) * | 1998-05-01 | 2002-01-01 | Certicom Corp. | Authenticated key agreement protocol |
US7480939B1 (en) * | 2000-04-28 | 2009-01-20 | 3Com Corporation | Enhancement to authentication protocol that uses a key lease |
US20030037237A1 (en) * | 2001-04-09 | 2003-02-20 | Jean-Paul Abgrall | Systems and methods for computer device authentication |
US7900042B2 (en) * | 2001-06-26 | 2011-03-01 | Ncipher Corporation Limited | Encrypted packet inspection |
US7212837B1 (en) * | 2002-05-24 | 2007-05-01 | Airespace, Inc. | Method and system for hierarchical processing of protocol information in a wireless LAN |
US7251235B2 (en) * | 2002-06-12 | 2007-07-31 | Conexant, Inc. | Event-based multichannel direct link |
US8787988B2 (en) * | 2003-01-29 | 2014-07-22 | Intellectual Ventures I Llc | Power management for wireless direct link |
US20030235305A1 (en) * | 2002-06-20 | 2003-12-25 | Hsu Raymond T. | Key generation in a communication system |
US20050152305A1 (en) * | 2002-11-25 | 2005-07-14 | Fujitsu Limited | Apparatus, method, and medium for self-organizing multi-hop wireless access networks |
US7263357B2 (en) * | 2003-01-14 | 2007-08-28 | Samsung Electronics Co., Ltd. | Method for fast roaming in a wireless network |
US6862500B2 (en) * | 2003-05-12 | 2005-03-01 | Circumnav Networks, Inc. | Methods for communicating between elements in a hierarchical floating car data network |
US7275157B2 (en) * | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
US20050036623A1 (en) * | 2003-08-15 | 2005-02-17 | Ming-Jye Sheu | Methods and apparatus for distribution of global encryption key in a wireless transport network |
US20050108527A1 (en) * | 2003-11-13 | 2005-05-19 | Boris Ginzburg | Method and apparatus to provide secured link |
WO2005050919A2 (en) * | 2003-11-20 | 2005-06-02 | Philips Intellectual Property & Standards Gmbh | A method for direct communication between a first station and a second station of a wireless network |
US7293171B2 (en) * | 2004-01-21 | 2007-11-06 | Microsoft Corporation | Encryption to BCC recipients with S/MIME |
US7987366B2 (en) * | 2004-02-11 | 2011-07-26 | Telefonaktiebolaget L M Ericsson (Publ) | Key management for network elements |
ATE415041T1 (de) * | 2004-06-24 | 2008-12-15 | Telecom Italia Spa | Verfahren und system zur regelung des zugriffs auf kommunikationsnetze, diesbezügliches netz und computerprogramm dafür |
US20060002351A1 (en) * | 2004-07-01 | 2006-01-05 | Telefonaktiebolaget L M Ericsson (Publ) | IP address assignment in a telecommunications network using the protocol for carrying authentication for network access (PANA) |
US7486951B2 (en) * | 2004-09-24 | 2009-02-03 | Zyxel Communications Corporation | Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for the same |
US7236477B2 (en) * | 2004-10-15 | 2007-06-26 | Motorola, Inc. | Method for performing authenticated handover in a wireless local area network |
US20060126847A1 (en) * | 2004-11-12 | 2006-06-15 | Jin-Meng Ho | System and method for establishing secure communications between devices in distributed wireless networks |
US8159999B2 (en) * | 2005-01-25 | 2012-04-17 | Interdigital Technology Corporation | Peer-to-peer wireless communication system |
US7672459B2 (en) * | 2005-02-18 | 2010-03-02 | Cisco Technology, Inc. | Key distribution and caching mechanism to facilitate client handoffs in wireless network systems |
EP1864517A4 (en) * | 2005-03-14 | 2013-08-21 | Atmel Corp | METHOD AND APPARATUS FOR OPERATING A PERSONAL NETWORK USING A RECOVERY PROTOCOL THAT ENHANCES COEXISTENCE WITH A WIRELESS LOCAL NETWORK |
WO2006099540A2 (en) * | 2005-03-15 | 2006-09-21 | Trapeze Networks, Inc. | System and method for distributing keys in a wireless network |
JP4308295B2 (ja) * | 2005-03-31 | 2009-08-05 | パイオニア株式会社 | 無線lanシステム、その基地局および端末局 |
US7873352B2 (en) * | 2005-05-10 | 2011-01-18 | Hewlett-Packard Company | Fast roaming in a wireless network using per-STA pairwise master keys shared across participating access points |
KR101248906B1 (ko) * | 2005-05-27 | 2013-03-28 | 삼성전자주식회사 | 무선 랜에서의 키 교환 방법 |
WO2007061178A1 (en) * | 2005-09-15 | 2007-05-31 | Samsung Electronics Co., Ltd. | Method and system for protecting broadcast frame |
US20070097934A1 (en) | 2005-11-03 | 2007-05-03 | Jesse Walker | Method and system of secured direct link set-up (DLS) for wireless networks |
US8594581B2 (en) * | 2005-12-05 | 2013-11-26 | Telefonaktiebolaget L M Ericsson (Publ) | Wireless station and method in a wireless station for initiating resource measurements |
JP4367493B2 (ja) * | 2007-02-02 | 2009-11-18 | ソニー株式会社 | 無線通信システム、無線通信装置及び無線通信方法、並びにコンピュータ・プログラム |
JP5127269B2 (ja) * | 2007-03-07 | 2013-01-23 | キヤノン株式会社 | 無線通信装置、無線通信方法、当該無線通信方法をコンピュータに実行させるためのコンピュータプログラム |
WO2008111826A1 (en) * | 2007-03-10 | 2008-09-18 | Lg Electronics Inc. | Peer power save mode in tunneled direct link setup (tdls) wireless network |
US8180323B2 (en) * | 2007-04-09 | 2012-05-15 | Kyocera Corporation | Non centralized security function for a radio interface |
-
2005
- 2005-11-03 US US11/266,439 patent/US20070097934A1/en not_active Abandoned
-
2006
- 2006-11-02 EP EP15183950.3A patent/EP2988471A1/en not_active Withdrawn
- 2006-11-02 WO PCT/US2006/042890 patent/WO2007056103A1/en active Application Filing
- 2006-11-02 CN CNA2006800407505A patent/CN101300809A/zh active Pending
- 2006-11-02 EP EP06827416.6A patent/EP1943812B1/en active Active
-
2009
- 2009-11-06 US US12/590,356 patent/US7995546B2/en active Active
-
2011
- 2011-06-21 US US13/164,989 patent/US9380457B2/en active Active
-
2016
- 2016-06-27 US US15/194,237 patent/US20170118633A1/en not_active Abandoned
-
2018
- 2018-11-13 US US16/188,848 patent/US11233633B2/en active Active
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102257842B (zh) * | 2008-12-17 | 2014-03-12 | 交互数字专利控股公司 | 直通链路通信的增强的安全性 |
CN102726080B (zh) * | 2009-12-23 | 2015-11-25 | 马维尔国际贸易有限公司 | 个人基本服务集中的站对站安全关联 |
CN102726080A (zh) * | 2009-12-23 | 2012-10-10 | 马维尔国际贸易有限公司 | 个人基本服务集中的站对站安全关联 |
CN103109556A (zh) * | 2010-09-24 | 2013-05-15 | 英特尔公司 | 用于无线装置认证和关联的方法和设备 |
CN102137095A (zh) * | 2010-12-29 | 2011-07-27 | 中国电力科学研究院 | 工业控制系统数据交换安全保护方法、系统和装置 |
CN104303583A (zh) * | 2012-05-14 | 2015-01-21 | 华为技术有限公司 | 用于在通信系统中建立安全连接的系统和方法 |
CN104303583B (zh) * | 2012-05-14 | 2018-03-16 | 华为技术有限公司 | 用于在通信系统中建立安全连接的系统和方法 |
CN105247835A (zh) * | 2013-05-23 | 2016-01-13 | 三星电子株式会社 | 用于在无线对接网络中将对接方设备直接连接到外围设备的方法和装置 |
US9898422B2 (en) | 2013-05-23 | 2018-02-20 | Samsung Electronics Co., Ltd | Method and apparatus for directly connecting dockee device to peripheral device in a wireless docking network |
CN105247835B (zh) * | 2013-05-23 | 2018-10-19 | 三星电子株式会社 | 用于在无线对接网络中将对接方设备直接连接到外围设备的方法和装置 |
US10229071B2 (en) | 2013-05-23 | 2019-03-12 | Samsung Electronics Co., Ltd | Method and apparatus for directly connecting dockee device to peripheral device in a wireless docking network |
WO2014206104A1 (zh) * | 2013-06-28 | 2014-12-31 | 华为技术有限公司 | 一种直连链路通信方法及相关设备、系统 |
CN106357403A (zh) * | 2016-11-23 | 2017-01-25 | 神州融安科技(北京)有限公司 | 一种链路通讯加密保护的装置及方法,安全报文处理系统 |
WO2023245318A1 (en) * | 2022-06-20 | 2023-12-28 | Huawei Technologies Co., Ltd. | Devices and methods for policy communication in a wireless local area network |
Also Published As
Publication number | Publication date |
---|---|
EP1943812B1 (en) | 2015-09-09 |
US7995546B2 (en) | 2011-08-09 |
US20070097934A1 (en) | 2007-05-03 |
EP2988471A1 (en) | 2016-02-24 |
US11233633B2 (en) | 2022-01-25 |
US20110258448A1 (en) | 2011-10-20 |
US20100070767A1 (en) | 2010-03-18 |
EP1943812A1 (en) | 2008-07-16 |
US20190246268A1 (en) | 2019-08-08 |
WO2007056103A1 (en) | 2007-05-18 |
US20170118633A1 (en) | 2017-04-27 |
US9380457B2 (en) | 2016-06-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11233633B2 (en) | Method and system of secured direct link set-up (DLS) for wireless networks | |
US9992680B2 (en) | System and method for establishing security in network devices capable of operating in multiple frequency bands | |
EP1972125B1 (en) | Apparatus and method for protection of management frames | |
US8000478B2 (en) | Key handshaking method and system for wireless local area networks | |
US9769653B1 (en) | Efficient key establishment for wireless networks | |
US8959333B2 (en) | Method and system for providing a mesh key | |
US20100211790A1 (en) | Authentication | |
CN102257842A (zh) | 直通链路通信的增强的安全性 | |
WO2006118603A2 (en) | Systems and methods for the application of cryptosystems to the data link layer of wireless packet networks | |
EP2375627B1 (en) | Three-way handshake protocol method | |
CN101635922B (zh) | 无线网状网络安全通信方法 | |
KR100599199B1 (ko) | 무선 랜(lan) 보안 시스템에서의 무선 장치의 암호 키생성 시스템 | |
CN101527905A (zh) | 无线局域网鉴别与保密基础结构单播密钥协商方法及系统 | |
Kaur et al. | Improved routing in Wireless Sensor Networks using FLAP | |
CN101496375A (zh) | 提供Mesh密钥的方法和系统 | |
Mogollon | Wireless Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20081105 |