CN103797830B - 用于对与一组共享临时密钥数据的交换进行编码的系统和方法 - Google Patents
用于对与一组共享临时密钥数据的交换进行编码的系统和方法 Download PDFInfo
- Publication number
- CN103797830B CN103797830B CN201280044277.3A CN201280044277A CN103797830B CN 103797830 B CN103797830 B CN 103797830B CN 201280044277 A CN201280044277 A CN 201280044277A CN 103797830 B CN103797830 B CN 103797830B
- Authority
- CN
- China
- Prior art keywords
- group
- access point
- station
- key
- key data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Abstract
一种方法包括:生成共享主秘密。该方法还包括:生成一组共享临时密钥数据。该组共享临时密钥数据是独立于共享主秘密而生成的。与共享主秘密的有效期相比,该组共享临时密钥数据的有效期较短。该方法还包括:至少基于共享主秘密和该组共享临时密钥数据,对要发送到至少一个站的至少一个消息进行加密。
Description
相关申请的交叉引用
本申请要求享有下列共同拥有的美国临时专利申请的优先权:2011年9月12日提交的美国临时专利申请No.61/533,627(高通案卷号113346P1)、2011年9月15日提交的美国临时专利申请No.61/535,234(高通案卷号113346P2)、2012年1月4日提交的美国临时专利申请No.61/583,052(高通案卷号113346P3)、2012年3月5日提交的美国临时专利申请No.61/606,794(高通案卷号121585P1)、以及2012年5月11日提交的美国临时专利申请No.61/645,987(高通案卷号121585P2)、以及2012年3月15日提交的美国临时专利申请No.61/611,553(高通案卷号121602P1),以引用方式将上述美国临时专利申请的内容全部明确地并入本文。此外,以引用方式将下列非临时申请的内容并入本文:2012年9月11日提交的、标题为WIRELESSCOMMUNICATIONUSINGCONCURRENTRE-AUTHENTICATIONANDCONNECTIONSETUP的高通案卷号为113346的非临时申请,以及2012年9月11日提交的、标题为SYSTEMSANDMETHODSOFPERFORMINGLINKSETUPANDAUTHENTICATION的高通案卷号为121585的非临时申请。
技术领域
本申请涉及用于对与一组共享临时密钥数据的交换进行编码的系统和方法。
背景技术
在Wi-Fi网络连接应用中,安全特征逐步演变以提供更稳健和更好集成的安全工具。在由电气和电子工程师协会(IEEE)发布的EAP(可扩展认证协议)标准802.11i中,可以使用包括被称为“四路握手”机制的认证技术。在四路握手机制中,客户端设备(诸如膝上型计算机、智能电话或其它客户端设备)通常被称为“站”,其与无线路由器或其它设备(通常被称为“接入点”)进行协商,以便建立安全的网络连接会话。在会话期间,站可以寻找与互联网或其它网络的连接。
在四路握手方式中,站和接入点基于可以执行的相互认证来交换一系列4个定义消息。接入点可以与用户服务(RADIUS)服务器或其它认证服务器、平台或服务中的远程认证拨号进行交互,以便建立由站和接入点执行四路握手过程所使用的一组共享秘密和/或公共密钥和私有密钥。作为四路握手过程的一部分,站和接入点可以访问共享秘密,所述共享秘密可以包括成对的主密钥(PMK)。可以使用公共密钥和私有密钥(包括临时成对密钥(PTK))的其它集合来对在站与接入点之间交换的消息进行编码,可以使用成对的主密钥作为其它加密密钥层的生成器来构建所述临时成对密钥(PTK)。
然而,在现有的四路握手实施例中,能够成功截获并解码成对主密钥的攻击者可能随后能够使用该高级密钥来生成并且有可能通过生成或推导出相应的成对临时密钥或其它密码信息来截获和解码在接入点与一个或多个站之间的业务,这是因为一旦确立了成对主密钥,只要原始的成对主密钥保持有效,从该成对主密钥推导出的其它会话密钥就保持有效并且可操作。从而,捕获了成对主密钥的成功的攻击者也许能够在该成对主密钥的有效寿命期间对接入点和与该接入点进行通信的任何一个或多个站之间的流进行解密。
发明内容
本申请公开了用于在Wi-Fi网络会话中提供完美前向保密的系统和方法。完美前向保密(PFS)是一种实现安全的方法。PFS可以指代密钥推导的属性,从而使得如果攻击者暴露了父秘密,那么该攻击者可能无法确定从该父秘密推导出的过去或未来的密钥。
当客户端设备正在执行与接入点(AP)的四路握手时,生成成对主密钥(PMK),并且从该PMK推导出额外的密钥(例如,成对临时密钥(PTK))。只要PMK保持有效,PTK就保持有效;因此,在没有增加的安全(诸如PFS)的情况下,攻击者可以从被破解的PMK推导出PTK,以便在被破解的PMK的有效寿命期间来对客户端设备与AP之间的传输进行解码。所描述的技术通过在四路握手中实施PFS来提供增强的安全性,而不是依赖于在只要PMK可以保持有效的期间就可以保持有效的推导出的密钥。
当客户端设备执行与AP的四路握手时,AP可以生成接入点随机数(Anonce)消息并发送给客户端设备。客户端设备可以获得PMK并且生成站随机数(Snonce)消息。客户端可以基于PMK、Anonce、Snonce和/或其它信息来推导出PTK、密钥确认密钥(KCK)、以及密钥加密密钥(KEK)。
为了在四路握手中实现PFS,客户端设备可以向AP发送关联请求,该关联请求可以包括站(STA)Diffie-Hellman临时公共密钥(SDHEPubKey)。AP可以获得PMK并且根据PMT来推导PTK。
为了在四路握手中实现PFS,AP可以从SDHEPubKey和AP已知的接入点Diffie-Hellman临时私有密钥(ADHEPrivKey)推导出共享Diffie-Hellman临时密钥(SharedDHEKey)。SDHEPubKey和ADHEPrivKey可以分别由客户端设备和AP在参与四路握手之前预先生成。此外,AP可以基于SharedDHEKey和PTK推导出完美前向保密-成对临时密钥(PFS-PTK)、完美前向保密-密钥确认密钥(PFS-KCK)、和完美前向保密-密钥加密密钥(PFS-KEK)。AP可以向客户端设备发送接入点Diffie-Hellman临时公共密钥(ADHEPubKey)。客户端设备可以基于客户端设备已知的站Diffie-Hellman临时私有密钥(SDHEPrivKey)和ADHEPubKey推导出SharedDHEKey。ADHEPubKey和SDHEPrivKey可以分别由AP和客户端设备在参与四路握手之前预先生成。客户端设备可以基于PTK和SharedDHEKey推导出PFS-PTK、PFS-KCK和PFS-KEK。
AP和客户端设备在推导出SharedDHEKey之后可以分别删除ADHEPrivKey和SDHEPrivKey。客户端设备和AP可以基于PFS-KEK、PFS-KCK、SharedDHEKey和/或从PMK推导出的另一个密钥来对各个接收到的传输进行解密。
在特定的实施例中,一种方法包括生成共享主秘密。所述方法还包括:生成一组共享临时密钥数据。该组共享临时密钥数据是独立于所述共享主秘密而生成的。与所述共享主秘密的有效期相比,该组共享临时密钥数据的有效期较短。所述方法还包括:至少基于所述共享主秘密和所述一组共享临时密钥数据,对要发送到至少一个站的至少一个消息进行加密。
在另一个特定的实施例中,一种装置包括针对至少一个站的无线网络接口。所述装置还包括处理器,所述处理器被配置为:经由所述网络接口与所述至少一个站进行通信。所述处理器被配置为:生成共享主秘密并且生成一组共享临时密钥数据。该组临时密钥数据是独立于所述共享主秘密而生成的。与所述共享主秘密的有效期相比,该组共享临时密钥数据的有效期较短。所述处理器还被配置为:至少使用所述共享主秘密和所述一组共享临时密钥数据,对要发送到所述至少一个站的至少一个消息进行加密。
由所公开的实施例中的至少一个实施例提供的一个特定的优点是:在Wi-Fi网络中,第一设备(例如,移动站)实现与第二设备(例如,接入点)的PFS的能力。
在回顾整个申请文件(包括以下部分:附图说明、具体实施方式和权利要求书)之后,本申请的其它方面、优点和特征将变得清楚。
附图说明
被纳入本说明书并且构成本说明书的一部分的附图示出了本发明的实施例,并且连同本说明书一起用于解释本发明的原理。在这些附图中:
图1示出了根据各个实施例的整体网络,该整体网络可以在用于在Wi-Fi网络会话中提供完美前向保密的系统和方法中使用;
图2示出了根据各个实施例,可以在被配置为使用用于在Wi-Fi网络会话中提供完美前向保密的系统和方法的接入点中使用的硬件、软件和其它资源;
图3A和图3B示出了根据本发明的各个实施例,用于执行接入点与站之间的加密布置的配置和操作的示例性呼叫流序列;
图4示出了根据本发明的各个实施例,用于执行接入点与站之间的加密布置的配置和操作的另一个示例性呼叫流序列;以及
图5示出了根据各个实施例,可以用于在Wi-Fi网络会话中提供完美前向保密的示例性硬件、软件和其它资源。
具体实施方式
本发明的实施例涉及用于在Wi-Fi网络会话中提供完美前向保密的系统和方法。更具体地说,实施例涉及:用于插入机制以便创建或允许完美前向保密(PFS)应用于Wi-Fi会话的平台和技术,所述Wi-Fi会话使用四路握手来建立接入点与站之间的通信。接入点和站可以执行四路握手操作,使用成对主密钥、认证服务器、消息完整性校验(MIC)以及由802.11i标准和/或其它协议规定的其它过程和资源。在用于在Wi-Fi网络会话中提供完美前向保密的系统和方法中,接入点和站可以应用其它级别的加密保护,包括插入到四路握手结构中的自组织密钥的额外集合的生成。该自组织密钥的额外集合可以包括使用Diffie-Hellman(DH)运算而生成的一组公共密钥和私有密钥数据,所述Diffie-Hellman(DH)运算可以是或者可以包括使用有限域、椭圆和/或其它算法的公共密钥和私有密钥对的生成。可以基于或使用随机数字生成器来生成Diffie-Hellman密钥和相关信息。
当在接入点侧和站侧两者上生成和/或检索到相应的Diffie-Hellman共享密钥之后,接入点和站单元二者可以删除或销毁该Diffie-Hellman共享密钥的私有部分。由于那些私有密钥(例如,ADHEPrivKey和SDHEPrivKey)已经被删除或销毁,因此捕获到接入点与站之间的消息流的攻击者不能破解当前会话之前或之后的其它流,即使该攻击者稍后能够恢复在当前会话期间所使用的成对主密钥。该攻击者不能够破解其它流,因为根据用于在Wi-Fi网络会话中提供完美前向保密的系统和方法编码的单独的会话将具有在每个会话期间单独生成的不同的Diffie-Hellman密钥数据,这些Diffie-Hellman密钥数据的解码需要获取其它Diffie-Hellman私有密钥和公共密钥信息。根据这些和其它方面,可以提高Wi-Fi会话的安全性,并且可以将完美前向保密(PFS)纳入四路握手安全方案中。
在特定的实施例中,一种方法包括生成共享主秘密。该方法还包括生成一组共享临时密钥数据来对与接入点和至少一个站相关联的交换进行编码,其中,所述一组共享临时密钥数据是基于与用于执行对与接入点和至少一个站相关联的通信进行认证的接入点和至少一个站相关联的握手交换的内容。所述一组共享临时密钥数据是独立于共享主秘密生成的,并且与共享主秘密的有效期相比,所述一组共享临时密钥数据的有效期较短。该方法还包括:至少基于所述共享主秘密和所述一组共享临时密钥数据,对至少一个消息进行编码。
在另一个特定的实施例中,一种装置包括针对至少一个站的无线网络接口。该装置还包括被配置为经由网络接口与至少一个站进行通信的处理器,处理器被配置为:生成共享主秘密并且生成一组共享临时密钥数据,来对与接入点系统和至少一个站相关联的交换进行编码。所述一组共享临时密钥数据是基于用于与执行对与接入点系统和至少一个站相关联的通信进行认证的接入点系统和至少一个站相关联的握手交换的内容。所述一组临时密钥数据是独立于所述共享主秘密生成的,并且与共享主秘密的有效期相比,所述一组共享临时密钥数据的有效期较短。处理器还被配置为:至少使用共享主秘密和所述一组共享临时密钥数据,对与接入点系统和至少一个站相关联的至少一个消息进行编码。
参考附图中所示的本发明的示例性实施例。其中,在整个附图中可能使用相同的附图标记来指代相同或相似的部分。
图1示出了其中用于在Wi-Fi网络会话中提供完美前向保密的系统和方法可以操作的整体网络100。如图所示,接入点108可以向范围内的一组站102广播无线网络信号。接入点108可以包括无线路由器和/或其它网络接入点,并且接入点108可以被配置为:使用由IEEE规范802.11b、802.11g、802.11n和/或其它标准中规定的Wi-Fi无线标准来进行操作。当作为Wi-Fi接入点进行操作时,接入点108可以例如操作在2.4GHz频带中。然而,将明白的是,在其它实施例中,可以使用其它无线接入标准、信道和/或频率。如下面更详细讨论的,该组站102中的至少一个站可以参与数据交换114,数据交换114经由Wi-Fi网络来实现对接入点108的完美前向保密(PFS)。
该组站102中的每一个设备或站可以包括任何具有无线网络功能的设备,诸如配备Wi-Fi的智能电话、触摸板设备和/或另一种设备或平台。如图2中所示,可以使用一个或多个硬件、软件和/或其它资源来对该组站102中的各个站118进行配置。站118可以包括各种硬件、软件和其它资源,包括操作系统112、例如可以显示操作系统112的图形用户界面(GUI)的显示器110和射频天线150(或多个天线)。操作系统112可以包括诸如可从美国加利福尼亚州山景城的谷歌公司(GoogleInc.,MountainView,California,U.S.)获得的安卓(AndroidTM)操作系统或其它操作系统之类的移动设备操作系统。如同所指出的,操作系统112可以包括用于对站118进行操作的图形用户接口(GUI)以及文件管理、功率管理、通信和/或其它逻辑、服务和/或资源。操作系统112可以包括计算机指令116。计算机指令116可以使得处理器经由Wi-Fi网络来实现针对数据交换的PFS。站118可以托管应用、服务、逻辑和/或其它逻辑、服务和/或模块,这些应用、服务、逻辑和/或其它逻辑、服务和/或模块可以用于建立与接入点和/或其它信道的连接。该组站102中的任意一个或多个站可以在同一时间连接到接入点108。如图2中所示,接入点108可以向该组站102广播信标信息104。信标信息104可以包括用于指示名称、连接类型、可用信道以及其它网络信息和由接入点108向其无线连接范围内的任何站提供的服务的服务集合标识(SSID)信息单元(IE)。图3示出了可以用于根据Wi-Fi标准,建立具有根据用于在Wi-Fi网络会话中提供完美前向保密(包括在各个网络会话中提供完美前向保密(PFS))的系统和方法的增强、特征、扩展和/或优点的连接的呼叫序列。概括地说,可以在两个或更多个平台、系统、节点、设备和/或其它硬件(包括如图所示的站120、第一接入点122、第二接入点124、认证服务器126和动态主机配置协议(DHCP)服务器128)之间执行呼叫流序列。虽然示出了那些单个的平台、系统、节点、设备和/或硬件,但是应当明白的是:在其它实施例中可以使用替代或额外的硬件平台、系统、节点、设备和/或硬件。如0002处所示,站120可以接近并进入诸如Wi-Fi无线路由器和/或其它接入设备、平台或站点的第一接入点122(被标记为AP1)的无线范围。在1002处,站120可以移出第一接入点122的范围并且进入第二接入点124(被标记为AP2)的无线范围。类似地,第二接入点124可以包括Wi-Fi无线路由器和/或另一个接入设备或站点。在2002处,第二接入点124可以生成接入点随机数(Anonce)消息,所述接入点随机数消息可以包括用于公布第二接入点124的存在并且可以在密钥码的生成中使用的一次性消息、字符串、数据和/或代码。接入点随机数(Anonce)可以包括随机或伪随机地生成的数字和/或其它数据。可以将接入点随机数(Anonce)消息插入到第二接入点124广播的信标消息中。
在3002处,站120可以获得用于与第二接入点124建立安全通信的成对主密钥(PMK)。为了获得PMK,站120可以生成包括例如,SEQ消息或数据、rMSK消息或数据,以及站随机数(Snonce)消息或数据的信息。如果使用了预先建立的成对主密钥,那么站120可以检索该成对主密钥。在3004处,站120可以使用成对主密钥、接入点随机数(Anonce)、站随机数(Snonce)和/或其它信息来推导额外信息,所述额外信息包括:例如,成对临时密钥(PTK)、LAN上的扩展认证协议(EAPOL)-密钥确认密钥(KCK)和EAPOL-密钥加密密钥(KEK)。
在4002处,站120可以生成关联请求(AssocReq)并且向第二接入点124发送该请求。结合该请求,站120可以执行运算来生成额外的密钥和相关数据,其包括Diffie-Hellman临时私有密钥(SDHEPrivKey)和Diffie-Hellman临时公共密钥(SDHEPubKey)。可以使用Diffie-Hellman加密方法来生成站Diffie-Hellman临时私有密钥(SDHEPrivKey)和站Diffie-Hellman临时公共密钥(SDHEPubKey),所述Diffie-Hellman加密方法可以包括椭圆算法或其它算法。
可能要注意的是:站120和第二接入点124中的一个或该二者可以访问、存储和/或预先计算相同的Diffie-Hellman数据并在需要时检索该数据,这可以减少在执行修改后的4路握手协议期间的计算负担。站Diffie-Hellman临时公共密钥(SDHEPubKey)可以并入关联请求(AssocReq)的参数或字段中,并且可以发送到第二接入点124。在4004处,第二接入点124可以接收关联请求(AssocReq),但是如果接入点随机数(Anonce)消息不是当前的、有效的或新鲜的,那么可以忽略该请求。
在5002处,第二接入点124可以向认证服务器126发送AAAEAP请求。如图所示,AAAEAP请求可以包括多个参数或字段,这些参数或字段中的一些或全部可以用于对站120和/或与站120相关联的数据或证书进行认证。在6002处,认证服务器126可以验证认证标签(Auth标签)并且推导出rMSK密钥或数据。在7002处,认证服务器126可以向第二接入点124发送AAAEAP-应答,如图所示,该应答可以包括多个参数或字段。在8002处,第二接入点124可以指派与AAAEAP-应答中返回的rMSK相等的成对主密钥。在使用存储的成对主密钥的其它实施例中,取代地,第二接入点124可以从储存器中检索成对主密钥。
在9002处,第二接入点124可以从成对主密钥、站随机数(Snonce)和接入点随机数(Anonce)推导出成对临时密钥(PTK)。在10002处,第二接入点124可以使用KCK和KEK数据和/或其它信息来验证具有快速分配(Rapidcommit)消息和EAPOL-KEY_F消息的DHCP-发现。在11002处,第二接入点124可以向DHCP服务器128发送具有快速分配()消息的DHCP-发现。在12002处,第二接入点124可以从ADHEPrivKey和SDHEPubKey和/或其它信息或数据推导出自组织或共享Diffie-Hellman临时密钥(SharedDHEKey)。在12004处,第二接入点124可以推导出完美前向保密-成对临时密钥(PFS-PTK)以及其它信息或数据,包括:完美前向保密密钥确认密钥(PFS-KCK)以及使用成对临时密钥的完美前向保密-EAPOL-密钥加密密钥(PFS-KEK)、共享Diffie-Hellman临时密钥(SharedDHEKey)和/或其它信息。
在13002处,第二接入点124可以根据需要来生成群组临时密钥(GTK)和完整性群组临时密钥(IGTK)。可能要注意的是:在生成共享Diffie-Hellman临时密钥(SharedDHEKey)之后和/或在其它时刻,站120和第二接入点124可以分别删除、丢弃、重写和/或以其它方式抹去或销毁它们各自的Diffie-Hellman临时私有密钥(也就是说,相应的SDHEPrivKey和ADHEPrivKey)。通过删除、重写和/或以其它方式抹去或销毁属于站120和第二接入点124的Diffie-Hellman临时私有密钥,站120和第二接入点124可以确保没有攻击者能够破解所存储的消息业务。即使攻击者能够获得成对主密钥和没有被改变的成对临时密钥也是如此,这是因为仍然需要共享Diffie-Hellman临时密钥(SharedDHEKey)来对该业务进行解密,但是一旦相应的私有Diffie-Hellman密钥(SDHEPrivKey和ADHEPrivKey)被删除,则该共享Diffie-Hellman临时密钥(SharedDHEKey)就不可恢复。在14002处,DHCP服务器128可以生成具有快速分配(IP-addr)消息的DHCP-Ack,并且向第二接入点124发送该消息。该消息可以包括针对站120所分配的IP地址。可能要注意的是:虽然11002至14002被示为以特定的次序发生,但是那些处理步骤、消息、判决逻辑和/或其它动作以及图3A和图3B中以及别处所示出的其它元素可以以各种其它顺序或次序发生,这取决于站120和第二接入点124的配置和/或其它因素。
在15002处,第二接入点124可以形成具有各个字段或分量的关联响应(AssocResp)。各个字段或分量可以包括与EAP认证有关的消息,即,在7002处从认证服务器接收的EAP-结束消息或数据。EAP-结束消息或数据可以是EAP-结束Re-Auth消息或数据。Assoc响应还可以包括与具有各种选项的DHCP有关的消息,如图所示,这些消息可以包括:具有在14002处从DHCP服务器接收的快速分配消息或数据的DHCP-Ack、和/或其它消息或数据。AP2可以将加密和/或完整性保护应用于这些消息或数据。加密可以使用KEK或PFS-KEK或者根据PMK和/或PTK和/或SharedDHEKey推导出的另一个密钥。完整性保护可以使用KCK或PFS-KCK或者根据PMK和/或PTK和/或SharedDHEKey推导出的另一个密钥。Assoc响应还可以包括与EAPOL-密钥消息有关的消息,如图所示,这些消息可以包括使用完美前向保密-成对临时密钥(PFS-PTK)和/或其它密钥或数据的、针对加密、认证和/或完整性校验的选项。该EAPOL-密钥有关的消息可以包括ADHEPubKey。该EAPOL-密钥有关的消息可以包括使用KCK在EAPOL-密钥有关的消息或数据上计算出的消息完整性校验(MIC)。AP2122可以使用PFSKCK和/或其它数据、消息或信息来计算完美前向保密-消息完整性校验(PFS-MIC)。PFS-MIC可以提供对AssocReq4002和AssocResp15002的组合中的一部分或全部的完整保护。受完整保护的部分可以与AssocResp15002中的EAPOL-密钥有关的消息或数据相对应。可以在EAP-结束Re-Auth或DHCP或EAPOL-密钥有关的消息或数据的内部发送PFS-MIC。PFS-MIC可以是AssocResp的一部分,但是位于EAP-结束Re-Auth或DHCP或EAPOL-密钥有关的消息或数据的外部。
在16002处,站120可以使用rIK和/或其它信息来验证EAP-结束Re-Auth消息。在17002处,站120可以使用KCK来验证EAPOL-密钥消息完整性校验(MIC)。在18002中,站120可以根据位于如同在15002处产生或给出的EAPOL-密钥消息中的SDHEPrivKey和ADHEPubKey,和/或其它数据或信息来生成共享Diffie-Hellman临时密钥(SharedDHEKey)。在18004处,站120可以使用成对临时密钥和共享Diffie-Hellman临时密钥(SharedDHEKey)和/或其它数据或信息来推导出PFS-PTK、PFS-KCK和PFS-KEK信息。在18006处,站120可以使用PFS-KCK和/或其它数据、消息或信息来对PFS-MIC进行验证。
在19002处,站120可以对DHCP-Ack消息进行验证和/或解密。解密可以使用KEK或PFS-KEK或从PMK和/或PTK和/或SharedDHEKey推导出的另一个密钥。验证可以使用KCK或PFS-KCK或从PMK和/或PTK和/或SharedDHEKey推导出的另一个密钥。在20002中,站120可以向第二接入点124发送授权确认(Auth-Confirm)消息,如图所示,所述Auth-Confirm消息包括一组参数或字段。Auth-Confim消息可以包括与EAPOL-密钥消息有关的消息或数据。该EAPOL-密钥有关的消息或数据可以包括使用KCK在EAPOL-密钥有关的消息或数据上计算出的消息完整性校验(MIC)。当根据本发明使用完美前向保密(PFS)时,完美前向保密-消息完整性校验(PFS-MIC)可以并入授权(Auth-Confirm)消息中。可以使用PFS、KCK、和/或其它数据、消息或信息来计算PFS-MIC。PFS-MIC可以提供对AssocReq4002和AssocResp15002和Auth-确认20002的组合中的一部分或全部的完整保护。受完整保护的部分可以与Auth确认20002中的EAPOL-密钥有关的消息或数据相对应。PFS-MIC可以位于EAP-结束Re-Auth或DHCP或EAPOL-密钥有关的消息或数据的内部。PFS-MIC可以是Auth-Confirm的一部分,但是位于EAP-结束Re-Auth或DHCP或EAPOL-密钥有关的消息或数据的外部。
在21002处,站120可以安装包括PFS-TK、GTK和IGTK的密钥或数据。在21004处,站120可以安装由动态主机配置协议(DHCP)128通过认证过程而生成的IP(互联网协议)地址。
在22002处,第二接入点124可以使用密钥确认密钥来验证消息完整性校验(MIC)。在2302处,第二接入点124可以使用PFS-KCK数据和/或其它数据、消息或信息对PFS-MIC进行验证。在2402处,第二接入点124可以安装包括PFS-TK、GTK和IGTK的密钥或数据。在24004处,第二接入点124可以安装站120的IP(互联网协议)地址。在24004处,站120可以使用所分配的IP(互联网协议)地址,通过第二接入点124来访问互联网和/或其它公共网络或私有网络。可能要注意的是:虽然图3A和3B中示出的加密和有关处理描绘了站120与该站120正在前往的第二接入点124之间的交换,但是相同或相似的处理可以应用于:站120与第一接入点122之间、站120与第三接入点(没有示出)之间和/或其它网络配置。
可能同样要注意的是:在图2中所示的增强型认证过程完成之后,站120与第二接入点124之间进行的会话受到成对主密钥(PMK)、成对临时密钥(PTK)和/或可扩展认证协议(EAP)的其它安全特征(包括四路握手)的保护。然而,根据本发明的一些方面,与“裸”四路握手相比,与完美前向保密(PFS)有关的特征的添加以及基于Diffie-Hellman发生器的公/私有密钥集合的使用提供了增加的安全性。根据本发明的一些方面,捕获并存储站120与第二接入点124(或者任何相当的接入点)之间的消息流(包括成对主密钥(PMK)和成对临时密钥(PTK))的攻击者仍然不能够破坏那些流的完整性,因为完成该破坏所需的共享Diffie-Hellman临时密钥(SharedDHEKey)的再创建在没有属于该站的私有Diffie-Hellman临时密钥(SDHEPrivKey)和/或属于接入点的私有Diffie-Hellman临时密钥(ADHEPrivKey)情况下是不可能的,而所述SDHEPrivKey和ADHEPrivKey在建立该会话之后相对较短的命令中已经被丢弃了。
可以在各种网络连接环境(包括,例如,其中并入了快速初始链路建立(FILS)能力的Wi-Fi网络连接环境)中实现根据用于在Wi-Fi网络会话中提供完美前向保密的系统和方法的安全性处理。快速初始链路建立(FILS)包括由电气和电子工程师协会(IEEE)标准802.11ai发布的一套通信协议,其旨在应当站向接入点的接近和注册以瞬间方式发生的情况,诸如经过公共机场、公共汽车终点站和/或其它环境的智能电话或具有无线功能的膝上型计算机,在这些情况下,可以建立无线连接的速度是很高的。然而,应当明白的是,不管是否使用快速初始链路建立(FILS),可以将根据本发明的平台和技术整合到其它网络配置中。
在进一步的考虑中,根据本发明的一些方面,站120和第二接入点124(或者其它接入点或节点)可以分别存储在会话期间生成的共享Diffie-Hellman临时密钥(SharedDHEKey),以便在以后相同的两个设备之间的第二次会话中重新使用。当检索到而不是生成共享Diffie-Hellman临时密钥(SharedDHEKey)时,在两端都可以节省大量的运算。根据这些实施例,例如,站120和第二接入点124(或者其它接入点或节点)中的每一个可以将标识符与共享Diffie-Hellman临时密钥(SharedDHEKey)相关联,例如,通过基于它们各自的公有Diffie-Hellman临时密钥(SDHEPubKey和ADHEPubKey)中的一个或这二者来生成哈希(hash)函数输出、或者通过其它方式。在其它实施例中,站120和接入点124不需要为共享Diffie-Hellman临时密钥(SharedDHEKey)创建明确的标识符,取代地,而是可以被配置为:当遇到或者识别出与先前会话中的站或接入点相同的站或接入点时,自动关联和检索该密钥。
图4示出了用于使用延迟的Anonce来执行图3A和3B的加密布置的配置和操作的特定的呼叫流序列,一般将该呼叫流序列标示为400。
例如,第二接入点124不是像图3A中所示的经由信标消息从第二接入点124向站120发送Anonce,而是可以在其它消息中发送Anonce。在特定的实施例中,第二接入点124在第二接入点124处生成PTK之后发送Anonce。为了说明,在向站120发送Anonce之前,在402处,第二接入点124可以从站120接收授权消息。授权消息可以包括Snonce、SDHEPubKey和EAP-Re-auth-发起消息。在404处,第二接入点124可以生成SharedDHEKey并且根据rMSK、Snonce和Anonce推导出PTK。此外,在404处,第二站124还可以生成GTK和IGTK。
在406处,第二接入点124可以在授权回复消息中向站120发送Anonce。授权回复消息可以包括Anonce、EAP-结束Re-auth信息单元以及ADHEPubKey。在408处,站120可以在接收授权回复消息之后生成SharedDHEKey和PTK。在410处,站120可以向第二接入点124发送关联请求。关联请求可以包括具有快速分配消息和密钥确认的DHCP-发现。在412处,第二接入点124可以向站120发送关联响应。关联响应可以包括具有快速分配(IP-addr)消息的DHCP-Ack、GTK和IGTK。
图5示出了根据实施例,可以用于在Wi-Fi网络会话中提供完美前向保密的实施例中的各种硬件、软件和其它资源。在如图所示的实施例中,接入点108可以包括与存储器144(诸如电子随机存取存储器),以及与网络接口(诸如以太网和/或与互联网和/或其它网络的其它有线或无线连接)进行通信的处理器142的特征。处理器140可以被编程或者配置为:执行根据本发明对操作、网络连接性操作和其它操作进行编码的字符集。处理器140还可以与本地数据储存器146(诸如本地硬盘和/或其它存储)以及可以连接到射频天线152(或多个天线)的无线接口148(诸如Wi-Fi可兼容芯片组,包括射频芯片组和相关联的硬件和软件)进行通信。存储器144可以包括指令154。指令154可以使得处理器(例如,处理器140)经由Wi-Fi网络来实施用于数据交换的PFS。
结合所描述的实施例,一种装置可以包括:用于经由无线网络接口与至少一个站进行通信的模块。例如,用于进行通信的模块可以包括:图1的站102的一个或多个组件(例如,发射机、接收机、天线)、图1的接入点108的一个或多个组件(例如,发射机、接收机、天线)、图2的射频天线150、图3A、图3B和图4的站120的一个或多个组件(例如,发射机、接收机、天线)、图3A、图3B和图4的第一接入点120的一个或多个组件(例如,发射机、接收机、天线)、图3A、图3B和图4的第二接入点124的一个或多个组件(例如,发射机、接收机、天线)、图5的无线接口148、图5的射频天线152、被配置为无线地传送数据的一个或多个其它设备、或者它们的任意组合。该装置还可以包括用于进行处理的模块,该用于进行处理的模块被配置为:生成共享主秘密并且生成一组共享临时密钥数据。该组共享临时密钥数据是独立于共享主秘密而生成的。与共享主秘密的有效期相比,该组共享临时密钥数据的有效期较短。用于处理的模块还被配置为:至少基于共享主秘密和一组共享临时密钥数据,对要发送到至少一个站的至少一个消息进行加密。例如,用于处理的模块可以包括:图1的站102的一个或多个组件(例如,处理器)、图1的接入点108的一个或多个组件(例如,处理器)、图2的操作系统112和指令116、图3A、图3B和图4的站120的一个或多个组件(例如,处理器)、图3A、图3B和图4的第一接入点120的一个或多个组件(例如,处理器)、图3A、图3B和图4的第二接入点124的一个或多个组件(例如,处理器)、图5的处理器142和指令154、被配置为处理传送数据的一个或多个其它设备、或者它们的任意组合。
前面的描述是说明性的,并且对本领域的技术人员来说,可以出现配置和实现的变型。例如,虽然已经描述和示出了站120接近第二接入点124来进行注册和应用完美前向保密(PFS)的实施例,但是,在其它实施例中,例如,可能有使用群组主密钥、群组共享Diffie-Hellman临时密钥(DHESharedKey)和/或其它密钥或数据的、连接到一个接入点的多个站。或者,在其它实施例中,接近接入点并且向接入点注册的每个站可以与该站分别交换单独的自组织或共享Diffie-Hellman临时密钥(DHESharedKey)。
虽然已经描述和示出了可以在也使用按照IEEE802.11ai的快速初始链路建立(FILS)标准的网络连接情景中使用完美前向保密(PFS)的实施例,但是根据本发明的完美前向保密(PFS)可以应用于不包含快速初始链路建立(FILS)的环境中。类似地,虽然已经描述了在其中一个认证服务器126操作以支持提供密钥和建立经加密的消息流的实施例,但是在其它实施例中,可以使用多个认证服务器和/或服务。被描述为单数或集成式的其它资源在其它实施例中可以是复数或分布式的,并且被描述为多个或分布式的资源在其它实施例中可以是组合的。另外,虽然已经描述了在接入点/站布置中配置的Wi-Fi网络中进行操作的实施例,但是,在其它实施例中,也可以应用这些教导将完美前向保密(PFS)和其它特征合并入Wi-Fi网络的对等或其它配置中。还有,虽然已经描绘了使用Wi-Fi无线网络连接标准的实施例,但是根据本发明提供的完美前向保密(PFS)也可以应用于与Wi-Fi网络不同的其它网络。
所公开的实施例中的一个或多个实施例可以在可以包括通信设备、固定位置数据单元、移动位置数据单元、移动电话、蜂窝电话、计算机、平板电脑、便携式计算机或台式计算机的系统或装置中实现。此外,系统或装置可以包括机顶盒、娱乐单元、导航设备、个人数字助理(PDA)、监视器、计算机显示器、电视、调谐器,无线电、卫星无线电、音乐播放器、数字音乐播放器、便携式音乐播放器、视频播放器、数字视频播放器、数字视频光盘(DVD)播放器、便携式数字视频播放器、存储或检索数据或计算机指令的任何其它设备,或它们的组合。作为另一个说明性而非限制性的示例,系统或装置可以包括诸如移动电话、手持式个人通信系统(PCS)单元的远程单元、诸如个人数据助理的便携式数据单元、具有全球定位系统(GPS)功能的设备、导航设备、诸如仪表读取装置的固定位置数据单元、或者存储或检索数据或计算机指令的任何其它设备、或者它们的任意组合。尽管图1-5中的一个或多个图可能示出了根据本申请的教导的系统、装置和/或方法,但本申请并不局限于这些示出的系统、装置和/或方法。可以在包括集成电路(其包括存储器、处理器和片上电路)的任何设备中适当地采用本申请的实施例。
应当理解的是,对本文元素的任何引用使用诸如“第一”、“第二”等指定,通常并不限制那些元素的数量或顺序。相反,本文中可以将这些指定用作区分两个或更多个元素或者一个元素的实例的简便方法。因此,对于第一元素和第二元素的引用并不意味着:仅可以使用两个元素,或者第一元素必须以某种方式位于第二元素之前。此外,除非另行声明,否则元素的集合可以包括一个或多个元素。此外,本说明书或权利要求书中使用的“A、B或C中的至少一个”的术语形式是指“A或B或C或这些元素的任意组合”。
如本文所使用的,术语“确定”涵盖多种多样的动作。例如,“确定”可以包括计算、运算、处理、推导、研究、查询(例如,在表格、数据库或其它数据结构中进行查询)、查明等。此外,“确定”可以包括接收(例如,接收信息)、访问(例如,访问存储器中的数据)等。此外,“确定”可以包括解析、选定、选择、建立等。此外,本文中使用的“信道宽度”在某些方面中可以涵盖带宽或者也可以被称为带宽。
如本文所使用的,指代一列条目“中的至少一个”的短语是指这些条目的任意组合,包括单数成员。举例说明,“a、b、或c中的至少一个”旨在覆盖:a、b、c、a-b、a-c、b-c和a-b-c。
上面已经对各种示例性的部件、框、模块、电路以及步骤围绕其功能进行了总体描述。至于这种功能是实现成硬件还是实现成处理器可执行的软件,取决于具体应用和向整个系统施加的设计约束。此外,上述方法的各种操作可以由能够执行这些操作的任何适当的单元来执行,诸如各种硬件和/或软件组件、电路和/或模块。通常,在图1至图5中示出的任何操作可以由能够执行这些操作的相应功能单元来执行。熟练的技术人员可以针对每个特定应用,以变通的方式实现所描述的功能,但是,这种实现决策不应解释为导致背离本申请的保护范围。
本领域技术人员会进一步明白,被设计为执行本文所描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列信号(FPGA)或其它可编程逻辑器件(PLD)、分立门或者晶体管逻辑、分立硬件组件(例如,电子硬件)、处理器执行的计算机软件、或者它们的任意组合,可以实现或执行结合本申请所描述的各种示例性的逻辑框、模块、电路和算法步骤。通用处理器可以是微处理器,或者,该处理器也可以是任何市售的处理器、控制器、微控制器或者状态机。处理器也可以实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、与DSP核相结合的一个或多个微处理器、或者任何其它这类结构。
在一个或多个方面中,可以使用硬件、软件、固件或它们的任意组合来实现所描述的功能。如果用软件实现,则可以将功能存储为计算机可读介质上的一条或多条指令或代码。计算机可读介质包括计算机可读存储介质和通信介质,所述通信介质包括有助于计算机程序从一个地点向另一个地点传输的任何介质。存储介质可以是计算机能够访问的任何可用介质。举例说明而非限制,这种计算机可读存储介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、寄存器、硬盘,可移动磁盘、压缩光盘只读存储器(CD-ROM)、其它光盘存储器、磁盘存储器、磁性存储设备、或可以用于存储具有指令或数据结构形式的所期望的程序代码并且可由计算机访问的任何其它介质。替代地,计算机可读介质(例如,存储介质)可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路(ASIC)中。该ASIC可以位于计算设备或用户终端中。或者,处理器和存储介质可以作为分立组件位于计算设备或用户终端中。
此外,任何连接可以被适当地称为计算机可读介质。例如,如果使用同轴电缆、光纤光缆、双绞线、数字用户线(DSL)或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或其它远程源发送软件,那么介质的定义中包括同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线电和微波之类的无线技术。如本文中所使用的,磁盘和光碟包括压缩光碟(CD)、激光光碟、光碟、数字多功能光碟(DVD)、软盘和光碟,其中磁盘通常磁性地复制数据,而光碟则使用激光来光学地复制数据。因此,在一些方面,计算机可读介质可以包括非临时性计算机可读介质(例如,有形介质)。此外,在一些方面,计算机可读介质可以包括临时性计算机可读介质(例如,信号)。上面的组合也应当包括在计算机可读介质的范围之内。
本文所公开的方法包括用于实现所述方法的一个或多个步骤或动作。在不脱离权利要求的保护范围的前提下,方法步骤和/或动作可以相互交换。换言之,除非规定了特定顺序的步骤或动作,否则可以在不脱离权利要求的保护范围的前提下,修改特定步骤和/或动作的顺序和/或使用。
因此,某些方面可以包括用于执行本文所展示的操作的计算机程序产品。例如,这样的计算机程序产品可以包括其上存储(和/或编码)有指令的计算机可读介质,所述指令可由一个或多个处理器执行以执行本文所描述的操作。对于某些方面,计算机程序产品可以包括封装材料。
也可以在传输介质上发送软件或指令。例如,如果软件是使用同轴线缆、光纤线缆、双绞线、数字用户线(DSL)、或者诸如红外线、无线电和微波之类的无线技术,从网站、服务器或其它远程源传输的,那么传输介质的定义中包括同轴线缆、光纤线缆、双绞线、DSL、或者诸如红外线、无线电和微波之类的无线技术。
此外,应当明白,在适当的时候,用户终端和/或基站能够下载和/或以其它方式获得用于执行本文所描述的方法和技术的模块和/或其它适当的单元。或者,本文中描述的各种方法可经由存储模块(例如,RAM、ROM、诸如压缩光盘(CD)或软盘等物理存储介质)来提供。此外,可以使用用于向设备提供本文所描述的方法和技术的任何其它适当的技术。
应该理解的是,权利要求不限于上面说明的精确的配置和组件。为了使本领域普通技术人员能够实施或者使用所公开的实施例,提供了对所公开的实施例的前述描述。尽管前文涉及本申请的一些方面,但在不背离本申请的基本范围的前提下,可以设计本申请的其它以及进一步的方面,并且范围是由后面的权利要求确定的。在不背离本申请或权利要求的范围的前提下,可以对本文中描述的布置、操作和实施例的细节进行各种修改、改变和变型。因此,本申请并不旨在限于本文中的这些实施例,而是符合与如后面的权利要求及其等价物所限定的原理和新颖特征相一致的可能的最宽范围。
Claims (33)
1.一种通信方法,其包括:
生成共享主秘密;
生成成对临时密钥PTK和一组共享临时密钥数据,其中,所述PTK是基于所述共享主秘密而生成的,其中,所述一组共享临时密钥数据是独立于所述共享主秘密而生成的,并且其中,与所述共享主秘密的有效期相比,所述一组共享临时密钥数据的有效期较短;以及
至少基于所述共享主秘密、所述PTK和所述一组共享临时密钥数据,对要发送到至少一个站的至少一个消息进行加密。
2.根据权利要求1所述的方法,其中,所述共享主秘密包括成对主密钥PMK。
3.根据权利要求1所述的方法,其中,所述一组共享临时密钥数据启用与接入点和所述至少一个站相关联的Diffie-HellmanDH密钥交换。
4.根据权利要求3所述的方法,其中,所述DH密钥交换使用从由所述接入点规定的DH群组列表中选择的一组密钥。
5.根据权利要求4所述的方法,其中,所述一组共享临时密钥数据的第一私有密钥、第二私有密钥、第一公共密钥和第二公共密钥是在所述DH密钥交换之前被计算的,其中,所述第一私有密钥和所述第一公共密钥存储在所述接入点处,其中所述第二私有密钥和所述第二公共密钥存储在所述至少一个站处,并且其中,所述第一公共密钥和所述第二公共密钥是在所述DH密钥交换期间交换的。
6.根据权利要求3所述的方法,其中,所述DH密钥交换使用基于有限域算法而生成的一组密钥。
7.根据权利要求3所述的方法,其中,所述DH密钥交换使用基于椭圆曲线算法而生成的一组密钥。
8.根据权利要求1所述的方法,其中,所述一组共享临时密钥数据关联于与接入点以及所述至少一个站相关联的握手交换,执行所述握手交换以便对与所述接入点以及所述至少一个站相关联的通信进行认证。
9.根据权利要求8所述的方法,其中,与所述接入点以及所述至少一个站相关联的所述握手交换包括:使用Wi-Fi协议的握手交换。
10.根据权利要求8所述的方法,其中,所述握手交换包括可扩展认证协议EAP交换。
11.根据权利要求10所述的方法,其中,与所述握手交换相关联的接入点随机数是经由与信标消息不同的消息发送的。
12.根据权利要求8所述的方法,其中,所述握手交换包括四路握手。
13.根据权利要求1所述的方法,其中,所述一组共享临时密钥数据包括基于Diffie-HellmanDH密钥交换而生成的一组公共密钥和基于所述DH密钥交换的一组私有密钥。
14.根据权利要求13所述的方法,还包括:在生成所述一组共享临时密钥数据之后,删除所述一组私有密钥。
15.根据权利要求13所述的方法,还包括:生成多组共享临时密钥数据以便对与接入点和多个站相关联的通信进行加密,其中,每一组共享临时密钥数据启用与所述接入点和所述多个站中的相应一个站相关联的相应握手交换,并且其中,与和所述接入点以及所述多个站中的相应一个站相关联的对应共享主秘密的有效期相比,每一组共享临时密钥数据的有效期较短。
16.根据权利要求1所述的方法,其中,与接入点和所述至少一个站相关联的所述至少一个消息的加密实现完美前向保密PFS。
17.根据权利要求1所述的方法,还包括:基于所述共享主秘密、所述PTK和所述一组共享临时密钥数据,生成完美前向保密-成对临时密钥PFS-PTK。
18.根据权利要求2所述的方法,所述PMK是基于序列SEQ消息、重新认证主密钥rMSK、接入点随机数、站随机数、或者它们的组合而生成的。
19.一种通信装置,其包括:
针对至少一个站的无线网络接口;以及
处理器,其被配置为经由所述无线网络接口与所述至少一个站进行通信,所述处理器被配置为:
生成共享主秘密;
生成成对临时密钥PTK和一组共享临时密钥数据,其中,所述PTK是基于所述共享主秘密而生成的,其中,所述一组共享临时密钥数据是独立于所述共享主秘密而生成的,并且其中,与所述共享主秘密的有效期相比,所述一组共享临时密钥数据的有效期较短;以及
至少使用所述共享主秘密、所述PTK和所述一组共享临时密钥数据,对要发送到所述至少一个站的至少一个消息进行加密。
20.根据权利要求19所述的装置,其中,所述共享主秘密包括成对主密钥。
21.根据权利要求19所述的装置,其中,所述一组共享临时密钥数据启用Diffie-HellmanDH密钥交换。
22.根据权利要求21所述的装置,其中,所述DH密钥交换使用从由接入点规定的DH群组列表中选择的一组密钥。
23.根据权利要求22所述的装置,其中,所述一组共享临时密钥数据的第一私有密钥、第二私有密钥、第一公共密钥和第二公共密钥是在所述DH密钥交换之前被计算的,其中,所述第一私有密钥和所述第一公共密钥存储在所述接入点处,其中所述第二私有密钥和所述第二公共密钥存储在所述至少一个站处,并且其中,所述第一公共密钥和所述第二公共密钥是在所述DH密钥交换期间交换的。
24.根据权利要求21所述的装置,其中,所述DH密钥交换使用基于有限域算法或者基于椭圆曲线算法而生成的一组密钥。
25.根据权利要求19所述的装置,其中,所述一组共享临时密钥数据关联于与接入点以及所述至少一个站相关联的握手交换,执行所述握手交换以便对与所述接入点和所述至少一个站相关联的通信进行认证。
26.根据权利要求25所述的装置,其中,所述握手交换与接入点系统以及所述至少一个站相关联,并且所述握手交换使用Wi-Fi协议。
27.根据权利要求25所述的装置,其中,所述握手交换包括EAP交换,并且其中,与所述握手交换相关联的接入点随机数是通过与信标消息不同的消息发送的。
28.根据权利要求25所述的装置,其中,所述握手交换包括四路握手。
29.根据权利要求19所述的装置,其中,所述一组共享临时密钥数据包括基于Diffie-HellmanDH密钥交换而生成的一组公共密钥和基于所述DH密钥交换而生成的一组私有密钥。
30.根据权利要求29所述的装置,其中,所述处理器被配置为:在生成所述一组共享临时密钥数据之后,删除所述一组私有密钥。
31.根据权利要求29所述的装置,其中,所述处理器被配置为:生成多组共享临时密钥数据以便对与接入点和多个站相关联的通信进行加密,其中,每一组共享临时密钥数据启用与所述接入点和所述多个站中的相应一个站相关联的握手交换,并且其中,与和所述接入点以及所述多个站中的所述相应一个站相关联的对应共享主秘密的有效期相比,每一组共享临时密钥数据的有效期较短。
32.根据权利要求19所述的装置,其中,与所述至少一个站相关联的所述至少一个消息的加密实现完美前向保密PFS。
33.一种通信装置,包括:
用于经由无线网络接口与至少一个站进行通信的模块;以及
用于生成共享主秘密、成对临时密钥PTK和一组共享临时密钥数据的模块,其中,所述PTK是基于所述共享主秘密而生成的,其中,所述一组共享临时密钥数据是独立于所述共享主秘密而生成的,其中,与所述共享主秘密的有效期相比,所述一组共享临时密钥数据的有效期较短;并且其中,至少基于所述共享主秘密、所述PTK和所述一组共享临时密钥数据,对要发送到所述至少一个站的至少一个消息进行加密。
Applications Claiming Priority (15)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161533627P | 2011-09-12 | 2011-09-12 | |
| US61/533,627 | 2011-09-12 | ||
| US201161535234P | 2011-09-15 | 2011-09-15 | |
| US61/535,234 | 2011-09-15 | ||
| US201261583052P | 2012-01-04 | 2012-01-04 | |
| US61/583,052 | 2012-01-04 | ||
| US201261606794P | 2012-03-05 | 2012-03-05 | |
| US61/606,794 | 2012-03-05 | ||
| US201261611553P | 2012-03-15 | 2012-03-15 | |
| US61/611,553 | 2012-03-15 | ||
| US201261645987P | 2012-05-11 | 2012-05-11 | |
| US61/645,987 | 2012-05-11 | ||
| US13/610,738 US8837741B2 (en) | 2011-09-12 | 2012-09-11 | Systems and methods for encoding exchanges with a set of shared ephemeral key data |
| US13/610,738 | 2012-09-11 | ||
| PCT/US2012/054879 WO2013040046A1 (en) | 2011-09-12 | 2012-09-12 | Systems and methods for encoding exchanges with a set of shared ephemeral key data |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103797830A CN103797830A (zh) | 2014-05-14 |
| CN103797830B true CN103797830B (zh) | 2015-12-23 |
Family
ID=46934727
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280044277.3A Active CN103797830B (zh) | 2011-09-12 | 2012-09-12 | 用于对与一组共享临时密钥数据的交换进行编码的系统和方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8837741B2 (zh) |
| EP (1) | EP2756696B1 (zh) |
| JP (1) | JP5739072B2 (zh) |
| KR (1) | KR101490214B1 (zh) |
| CN (1) | CN103797830B (zh) |
| ES (1) | ES2621990T3 (zh) |
| HU (1) | HUE031473T2 (zh) |
| WO (1) | WO2013040046A1 (zh) |
Families Citing this family (68)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9439067B2 (en) | 2011-09-12 | 2016-09-06 | George Cherian | Systems and methods of performing link setup and authentication |
| US9143937B2 (en) | 2011-09-12 | 2015-09-22 | Qualcomm Incorporated | Wireless communication using concurrent re-authentication and connection setup |
| US9531685B2 (en) | 2011-12-16 | 2016-12-27 | Akamai Technologies, Inc. | Providing forward secrecy in a terminating SSL/TLS connection proxy using Ephemeral Diffie-Hellman key exchange |
| US9077701B2 (en) * | 2012-01-06 | 2015-07-07 | Futurewei Technologies, Inc. | Systems and methods for authentication |
| US9008062B2 (en) * | 2012-01-09 | 2015-04-14 | Futurewei Technologies, Inc. | Systems and methods for AP discovery with FILS beacon |
| WO2013119043A1 (ko) * | 2012-02-07 | 2013-08-15 | 엘지전자 주식회사 | 스테이션과 엑세스 포인트의 결합 방법 및 장치 |
| US10078524B2 (en) * | 2013-03-01 | 2018-09-18 | Hewlett Packard Enterprise Development Lp | Secure configuration of a headless networking device |
| US8982860B2 (en) * | 2013-03-11 | 2015-03-17 | Intel Corporation | Techniques for an access point to obtain an internet protocol address for a wireless device |
| US9912555B2 (en) | 2013-03-15 | 2018-03-06 | A10 Networks, Inc. | System and method of updating modules for application or content identification |
| US9722918B2 (en) | 2013-03-15 | 2017-08-01 | A10 Networks, Inc. | System and method for customizing the identification of application or content type |
| US9716589B2 (en) * | 2013-04-22 | 2017-07-25 | Unisys Corporation | Secured communications arrangement applying internet protocol security |
| WO2014176461A1 (en) | 2013-04-25 | 2014-10-30 | A10 Networks, Inc. | Systems and methods for network access control |
| CN103298062B (zh) * | 2013-05-21 | 2016-08-10 | 华为技术有限公司 | 接入无线网络的方法及接入点 |
| US9992017B2 (en) * | 2013-06-28 | 2018-06-05 | Telefonaktiebolaget L M Ericsson (Publ) | Encrypting and storing data |
| US9294503B2 (en) | 2013-08-26 | 2016-03-22 | A10 Networks, Inc. | Health monitor based distributed denial of service attack mitigation |
| IL228523A0 (en) * | 2013-09-17 | 2014-03-31 | Nds Ltd | Processing private data in a cloud-based environment |
| US20150127949A1 (en) * | 2013-11-01 | 2015-05-07 | Qualcomm Incorporated | System and method for integrated mesh authentication and association |
| EP3860041B1 (en) * | 2014-06-18 | 2023-03-15 | Visa International Service Association | Efficient methods for authenticated communication |
| WO2016021981A1 (en) * | 2014-08-08 | 2016-02-11 | Samsung Electronics Co., Ltd. | System and method of counter management and security key update for device-to-device group communication |
| US9756071B1 (en) | 2014-09-16 | 2017-09-05 | A10 Networks, Inc. | DNS denial of service attack protection |
| US10057766B2 (en) * | 2014-10-21 | 2018-08-21 | Qualcomm Incorporated | Methods and systems for authentication interoperability |
| US9537886B1 (en) | 2014-10-23 | 2017-01-03 | A10 Networks, Inc. | Flagging security threats in web service requests |
| WO2016073552A1 (en) * | 2014-11-04 | 2016-05-12 | Akamai Technologies, Inc. | Providing forward secrecy in a terminating ssl/tls connection proxy using ephemeral diffie-hellman key exchange |
| US20160127903A1 (en) * | 2014-11-05 | 2016-05-05 | Qualcomm Incorporated | Methods and systems for authentication interoperability |
| US9621575B1 (en) | 2014-12-29 | 2017-04-11 | A10 Networks, Inc. | Context aware threat protection |
| US9584318B1 (en) * | 2014-12-30 | 2017-02-28 | A10 Networks, Inc. | Perfect forward secrecy distributed denial of service attack defense |
| US9900343B1 (en) | 2015-01-05 | 2018-02-20 | A10 Networks, Inc. | Distributed denial of service cellular signaling |
| US9672351B2 (en) | 2015-02-02 | 2017-06-06 | Qualcomm Incorporated | Authenticated control stacks |
| US9848013B1 (en) * | 2015-02-05 | 2017-12-19 | A10 Networks, Inc. | Perfect forward secrecy distributed denial of service attack detection |
| US10063591B1 (en) | 2015-02-14 | 2018-08-28 | A10 Networks, Inc. | Implementing and optimizing secure socket layer intercept |
| KR102314917B1 (ko) * | 2015-03-19 | 2021-10-21 | 삼성전자주식회사 | 통신 시스템에서 디바이스들 간의 연결 설정 방법 및 장치 |
| US9801055B2 (en) * | 2015-03-30 | 2017-10-24 | Qualcomm Incorporated | Authentication and key agreement with perfect forward secrecy |
| US10136246B2 (en) * | 2015-07-21 | 2018-11-20 | Vitanet Japan, Inc. | Selective pairing of wireless devices using shared keys |
| JP6702595B2 (ja) * | 2015-08-11 | 2020-06-03 | 華為技術有限公司Huawei Technologies Co.,Ltd. | アクセス認証の方法および装置 |
| US20170064760A1 (en) * | 2015-08-28 | 2017-03-02 | Qualcomm Incorporated | Assisted wireless connection setup |
| US9787581B2 (en) | 2015-09-21 | 2017-10-10 | A10 Networks, Inc. | Secure data flow open information analytics |
| SG10201509342WA (en) * | 2015-11-12 | 2017-06-29 | Huawei Int Pte Ltd | Method and system for session key generation with diffie-hellman procedure |
| US10469594B2 (en) | 2015-12-08 | 2019-11-05 | A10 Networks, Inc. | Implementation of secure socket layer intercept |
| US10505984B2 (en) | 2015-12-08 | 2019-12-10 | A10 Networks, Inc. | Exchange of control information between secure socket layer gateways |
| US9590956B1 (en) | 2015-12-18 | 2017-03-07 | Wickr Inc. | Decentralized authoritative messaging |
| US10116634B2 (en) | 2016-06-28 | 2018-10-30 | A10 Networks, Inc. | Intercepting secure session upon receipt of untrusted certificate |
| US10645577B2 (en) * | 2016-07-15 | 2020-05-05 | Avago Technologies International Sales Pte. Limited | Enhanced secure provisioning for hotspots |
| US10158666B2 (en) | 2016-07-26 | 2018-12-18 | A10 Networks, Inc. | Mitigating TCP SYN DDoS attacks using TCP reset |
| US10367792B2 (en) * | 2016-08-25 | 2019-07-30 | Orion Labs | End-to end encryption for personal communication nodes |
| US10546139B2 (en) | 2017-04-21 | 2020-01-28 | Ntropy Llc | Systems and methods for securely transmitting large data files |
| US11463439B2 (en) * | 2017-04-21 | 2022-10-04 | Qwerx Inc. | Systems and methods for device authentication and protection of communication on a system on chip |
| US10122699B1 (en) * | 2017-05-31 | 2018-11-06 | InfoSci, LLC | Systems and methods for ephemeral shared data set management and communication protection |
| US11316666B2 (en) * | 2017-07-12 | 2022-04-26 | Amazon Technologies, Inc. | Generating ephemeral key pools for sending and receiving secure communications |
| US11082412B2 (en) | 2017-07-12 | 2021-08-03 | Wickr Inc. | Sending secure communications using a local ephemeral key pool |
| US10574451B2 (en) | 2017-10-19 | 2020-02-25 | Bank Of America Corporation | Method and apparatus for perfect forward secrecy using deterministic hierarchy |
| EP3718279A1 (en) * | 2017-11-30 | 2020-10-07 | Telefonaktiebolaget LM Ericsson (publ) | Serving-network based perfect forward security for authentication |
| WO2019126823A1 (en) * | 2017-12-24 | 2019-06-27 | InfoSci, LLC | Systems and methods for dynamic authentication and communication protection using an ephemeral shared data set |
| US11968295B2 (en) * | 2018-04-03 | 2024-04-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Access to content of encrypted data session |
| GB2574062A (en) * | 2018-05-25 | 2019-11-27 | Arm Ip Ltd | Ephemeral broadcast key agreement |
| WO2020023805A1 (en) * | 2018-07-26 | 2020-01-30 | Ntropy Llc | Systems and methods for securely transmitting large data files |
| WO2020092886A1 (en) * | 2018-11-02 | 2020-05-07 | InfoSci, LLC | Systems and methods for device authentication and protection of communication on a system on chip |
| US11144635B2 (en) | 2018-11-06 | 2021-10-12 | International Business Machines Corporation | Restricted command set management in a data storage system |
| US11063921B2 (en) | 2018-11-06 | 2021-07-13 | International Business Machines Corporation | Extracting data from passively captured web traffic that is encrypted in accordance with an anonymous key agreement protocol |
| US10937339B2 (en) * | 2019-01-10 | 2021-03-02 | Bank Of America Corporation | Digital cryptosystem with re-derivable hybrid keys |
| JP6941132B2 (ja) * | 2019-03-26 | 2021-09-29 | 本田技研工業株式会社 | 入力情報管理システム |
| US11194933B2 (en) * | 2019-06-04 | 2021-12-07 | Intel Corporation | Circuits supporting improved side channel and fault injection attack resistance |
| US11750399B2 (en) * | 2019-12-06 | 2023-09-05 | Motional Ad Llc | Cyber-security protocol |
| US11212265B2 (en) * | 2020-01-09 | 2021-12-28 | Cisco Technology, Inc. | Perfect forward secrecy (PFS) protected media access control security (MACSEC) key distribution |
| US11924911B2 (en) * | 2020-05-22 | 2024-03-05 | Mediatek Singapore Pte. Ltd. | Extreme-high-throughput fast initial link setup support in multi-link operation in wireless communications |
| EP4236407A4 (en) * | 2020-11-26 | 2023-11-08 | Huawei Technologies Co., Ltd. | SECURITY AUTHENTICATION METHOD AND APPARATUS APPLYING TO WI-FI |
| EP4236379A4 (en) * | 2020-11-26 | 2023-12-27 | Huawei Technologies Co., Ltd. | SECURITY AUTHENTICATION METHOD AND APPARATUS APPLIED TO WI-FI |
| WO2022174122A1 (en) * | 2021-02-11 | 2022-08-18 | Mingtai Chang | Securing secrets and their operation |
| CN116709208A (zh) * | 2022-02-24 | 2023-09-05 | 华为技术有限公司 | Wlan系统、无线通信方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6144744A (en) * | 1997-06-30 | 2000-11-07 | International Business Machines Corporation | Method and apparatus for the secure transfer of objects between cryptographic processors |
| CN1719795A (zh) * | 2004-07-07 | 2006-01-11 | 汤姆森许可贸易公司 | 无线局域网关联设备和方法以及相应产品 |
| CN1973495A (zh) * | 2004-07-07 | 2007-05-30 | 汤姆森许可贸易公司 | 无线局域网关联的设备和方法及相应产品 |
Family Cites Families (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7565537B2 (en) * | 2002-06-10 | 2009-07-21 | Microsoft Corporation | Secure key exchange with mutual authentication |
| US7370350B1 (en) | 2002-06-27 | 2008-05-06 | Cisco Technology, Inc. | Method and apparatus for re-authenticating computing devices |
| US7574599B1 (en) | 2002-10-11 | 2009-08-11 | Verizon Laboratories Inc. | Robust authentication and key agreement protocol for next-generation wireless networks |
| JP3647433B2 (ja) | 2002-10-25 | 2005-05-11 | 松下電器産業株式会社 | 無線通信管理方法及び無線通信管理サーバ |
| US7395427B2 (en) | 2003-01-10 | 2008-07-01 | Walker Jesse R | Authenticated key exchange based on pairwise master key |
| US7275157B2 (en) | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
| GB0315278D0 (en) | 2003-06-30 | 2003-08-06 | Nokia Corp | A method for optimising handover between communication networks |
| US7409545B2 (en) * | 2003-09-18 | 2008-08-05 | Sun Microsystems, Inc. | Ephemeral decryption utilizing binding functions |
| US7646872B2 (en) * | 2004-04-02 | 2010-01-12 | Research In Motion Limited | Systems and methods to securely generate shared keys |
| US7983418B2 (en) | 2004-04-23 | 2011-07-19 | Telefonaktiebolaget Lm Ericsson (Publ) | AAA support for DHCP |
| AU2005284734B2 (en) | 2004-09-15 | 2010-03-11 | Nokia Technologies Oy | Apparatus, and an associated method, for facilitating fast transition in a network system |
| US7236477B2 (en) | 2004-10-15 | 2007-06-26 | Motorola, Inc. | Method for performing authenticated handover in a wireless local area network |
| US7558866B2 (en) | 2004-12-08 | 2009-07-07 | Microsoft Corporation | Method and system for securely provisioning a client device |
| KR100762644B1 (ko) | 2004-12-14 | 2007-10-01 | 삼성전자주식회사 | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 |
| US8413213B2 (en) | 2004-12-28 | 2013-04-02 | Intel Corporation | System, method and device for secure wireless communication |
| US7747865B2 (en) | 2005-02-10 | 2010-06-29 | International Business Machines Corporation | Method and structure for challenge-response signatures and high-performance secure Diffie-Hellman protocols |
| US7624271B2 (en) | 2005-03-24 | 2009-11-24 | Intel Corporation | Communications security |
| US7908482B2 (en) | 2005-08-18 | 2011-03-15 | Microsoft Corporation | Key confirmed authenticated key exchange with derived ephemeral keys |
| US7483409B2 (en) | 2005-12-30 | 2009-01-27 | Motorola, Inc. | Wireless router assisted security handoff (WRASH) in a multi-hop wireless network |
| US7890745B2 (en) | 2006-01-11 | 2011-02-15 | Intel Corporation | Apparatus and method for protection of management frames |
| US8204502B2 (en) | 2006-09-22 | 2012-06-19 | Kineto Wireless, Inc. | Method and apparatus for user equipment registration |
| US9053063B2 (en) | 2007-02-21 | 2015-06-09 | At&T Intellectual Property I, Lp | Method and apparatus for authenticating a communication device |
| CN101296081A (zh) | 2007-04-29 | 2008-10-29 | 华为技术有限公司 | 认证、认证后分配ip地址的方法、系统、接入实体和装置 |
| US8769611B2 (en) | 2007-05-31 | 2014-07-01 | Qualcomm Incorporated | Methods and apparatus for providing PMIP key hierarchy in wireless communication networks |
| WO2010023506A1 (en) | 2008-08-26 | 2010-03-04 | Nokia Corporation | Methods, apparatuses, computer program products, and systems for providing secure pairing and association for wireless devices |
| WO2010069962A1 (en) | 2008-12-15 | 2010-06-24 | Koninklijke Kpn N.V. | Service-based authentication to a network |
| CN102282889B (zh) | 2009-01-15 | 2014-08-20 | 思科技术公司 | 通信网络中的网关重定位 |
| CN102014361B (zh) | 2009-09-07 | 2014-02-19 | 华为技术有限公司 | 一种认证授权计费会话更新方法、装置和系统 |
| US20110113252A1 (en) | 2009-11-06 | 2011-05-12 | Mark Krischer | Concierge registry authentication service |
| US8839372B2 (en) * | 2009-12-23 | 2014-09-16 | Marvell World Trade Ltd. | Station-to-station security associations in personal basic service sets |
| CN103503407B (zh) | 2011-04-28 | 2016-10-12 | 交互数字专利控股公司 | 用于多sso技术的sso框架 |
| US9439067B2 (en) | 2011-09-12 | 2016-09-06 | George Cherian | Systems and methods of performing link setup and authentication |
| US9143937B2 (en) | 2011-09-12 | 2015-09-22 | Qualcomm Incorporated | Wireless communication using concurrent re-authentication and connection setup |
| US8594632B1 (en) | 2012-12-11 | 2013-11-26 | Intel Corporation | Device to-device (D2D) discovery without authenticating through cloud |
-
2012
- 2012-09-11 US US13/610,738 patent/US8837741B2/en active Active
- 2012-09-12 EP EP12766259.1A patent/EP2756696B1/en active Active
- 2012-09-12 JP JP2014530757A patent/JP5739072B2/ja active Active
- 2012-09-12 CN CN201280044277.3A patent/CN103797830B/zh active Active
- 2012-09-12 WO PCT/US2012/054879 patent/WO2013040046A1/en active Application Filing
- 2012-09-12 KR KR1020147009868A patent/KR101490214B1/ko active IP Right Grant
- 2012-09-12 HU HUE12766259A patent/HUE031473T2/en unknown
- 2012-09-12 ES ES12766259.1T patent/ES2621990T3/es active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6144744A (en) * | 1997-06-30 | 2000-11-07 | International Business Machines Corporation | Method and apparatus for the secure transfer of objects between cryptographic processors |
| CN1719795A (zh) * | 2004-07-07 | 2006-01-11 | 汤姆森许可贸易公司 | 无线局域网关联设备和方法以及相应产品 |
| CN1973495A (zh) * | 2004-07-07 | 2007-05-30 | 汤姆森许可贸易公司 | 无线局域网关联的设备和方法及相应产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2756696A1 (en) | 2014-07-23 |
| KR20140066230A (ko) | 2014-05-30 |
| KR101490214B1 (ko) | 2015-02-05 |
| HUE031473T2 (en) | 2017-07-28 |
| US8837741B2 (en) | 2014-09-16 |
| US20130243194A1 (en) | 2013-09-19 |
| WO2013040046A1 (en) | 2013-03-21 |
| EP2756696B1 (en) | 2017-01-11 |
| ES2621990T3 (es) | 2017-07-05 |
| CN103797830A (zh) | 2014-05-14 |
| JP5739072B2 (ja) | 2015-06-24 |
| JP2014527379A (ja) | 2014-10-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103797830B (zh) | 用于对与一组共享临时密钥数据的交换进行编码的系统和方法 | |
| CN110971415B (zh) | 一种天地一体化空间信息网络匿名接入认证方法及系统 | |
| KR101648158B1 (ko) | 동시적 재인증 및 접속 셋업을 이용하는 무선 통신 | |
| US9554270B2 (en) | Enhanced security for direct link communications | |
| CN110192381B (zh) | 密钥的传输方法及设备 | |
| WO2018006627A1 (zh) | 一种传输数据的保护系统、方法及装置 | |
| CN105553951A (zh) | 数据传输方法和装置 | |
| CN102685741B (zh) | 接入认证处理方法及系统、终端和网络设备 | |
| Saxena et al. | Authentication protocol for an IoT-enabled LTE network | |
| US20100031029A1 (en) | Techniques to provide access point authentication for wireless network | |
| US20060233376A1 (en) | Exchange of key material | |
| CN103797831A (zh) | 执行链路建立和认证的系统和方法 | |
| WO2016161583A1 (zh) | 一种gprs系统密钥增强的方法、sgsn设备、ue、hlr/hss及gprs系统 | |
| CN108964897B (zh) | 基于群组通信的身份认证系统和方法 | |
| CN104244245A (zh) | 一种无线接入认证方法、无线路由设备和无线终端 | |
| CN112566119A (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
| CN106464664A (zh) | 一种在两个安全模块间建立安全通信信道的方法和系统 | |
| CN115868189A (zh) | 建立车辆安全通信的方法、车辆、终端及系统 | |
| CN111107550A (zh) | 5g终端设备双通道接入注册方法、设备及存储介质 | |
| TW201318462A (zh) | 應用於無線網路之連線方法以及應用其之無線網路裝置以及無線網路存取點 | |
| CN103312671B (zh) | 校验服务器的方法和系统 | |
| KR20150135717A (ko) | 모바일 멀티홉 네트워크에서 비밀키를 공유하는 장치 및 방법 | |
| CN114978514B (zh) | 密钥管理方法、系统、装置、电子装置和存储介质 | |
| KR101512891B1 (ko) | 컨텐츠 제공을 위한 서버 및 이의 동작 방법과 이에 관한 단말 | |
| Kim et al. | Weaknesses of a dynamic ID-based remote user authentication scheme with session key agreement for multi-server environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |