CN103797832A - 使用并发重认证和连接建立的无线通信 - Google Patents
使用并发重认证和连接建立的无线通信 Download PDFInfo
- Publication number
- CN103797832A CN103797832A CN201280044191.0A CN201280044191A CN103797832A CN 103797832 A CN103797832 A CN 103797832A CN 201280044191 A CN201280044191 A CN 201280044191A CN 103797832 A CN103797832 A CN 103797832A
- Authority
- CN
- China
- Prior art keywords
- request
- authentication
- message
- upper layer
- access point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种方法包括用可扩展认证协议来生成重授权请求或重认证中的至少一者。该方法还包括生成上层消息。该方法进一步包括将上层消息与重授权请求或重认证请求中的至少一者集束成关联请求。该方法进一步包括将该关联请求传送至接入点。
Description
相关申请的交叉引用
本申请要求来自共同拥有的2011年9月12日提交的美国临时专利申请第61/533,627号(高通案卷号113346P1)、2011年9月15日提交的美国临时专利申请第61/535,234号(高通案卷号113346P2)、2012年1月4日提交的美国临时专利申请第61/583,052号(高通案卷号113346P3)、2012年3月5日提交的美国临时专利申请第61/606,794号(高通案卷号121585P1)、以及2012年5月11日提交的美国临时专利申请第61/645,987号(高通案卷号121585P2)和2012年3月15日提交的美国临时专利申请第61/611,553号(高通案卷号121602P1)的优先权,这些临时专利申请的内容通过整体引用明确地结合于此。此外,2012年9月11日提交的具有高通案卷号121585的题为“SYSTEMS ANDMETHODS OF PERFORMING LINK SETUP AND AUTHENTICATION(执行链路建立和认证的系统和方法)”的非临时申请和2012年9月11日提交的具有高通案卷号121602的题为“SYSTEMS AND METHODS FOR ENCODINGEXCHANGES WITH A SET OF SHARED EPHEMERAL KEY DATA(用于用一组共享短暂密钥数据对交换进行编码的系统和方法)”的非临时申请的内容通过引用结合于此。
公开领域
本公开一般涉及无线通信,尤其涉及无线通信中的认证过程。
背景技术
技术进步已导致越来越小且越来越强大的计算设备。例如,当前存在各种各样的便携式个人计算设备,包括小、轻且易于用户携带的无线计算设备,诸如便携式无线电话、个人数字助理(PDA)、以及寻呼设备。更具体地,便携式无线电话(诸如蜂窝电话和网际协议(IP)电话)可在无线网络上传达语音和数据分组。此外,许多这样的无线电话包括被结合于此的其他类型的设备。例如,无线电话还可包括数码相机、数码摄像机、数字记录器、以及音频文件播放器。另外,此类无线电话可处理可执行指令,包括可被用于访问因特网的软件应用(诸如web浏览器应用)。由此,这些无线电话可包括显著的计算能力。
无线通信网络使得通信设备能够在移动的同时传送和/或接收信息。这些无线通信网络可被通信地耦合至其他公共网或专用网以使得能够向和从移动接入终端进行信息传递。此类通信网络通常包括多个接入点(AP),这些接入点提供至接入终端(例如,移动通信设备、移动电话、无线用户终端)的无线通信链路。这些接入点可以是静止的(例如,固定在地面上)或移动的(例如,安装在车辆、卫星上等),并且可被定位成提供当接入终端在覆盖区内移动时的广覆盖区。
便携式设备可被配置成经由这些无线网络来传达数据。例如,许多设备被配置成根据使得能经由接入点进行无线数据交换的电气和电子工程师协会(IEEE)802.11规范来操作。在一些通信系统中,当移动接入终端通过接入点附连至通信网络时,其执行网络接入认证。移动接入终端每次连接至不同接入点时,可能需要重复该认证过程。然而,重复该认证过程会引入显著的建立延迟。
许多通信设备被配置成在初始连接阶段以及一个或多个重连接阶段两者执行链路建立。当前解决方案对在认证后进行的AP-IP地址指派采取预共享密钥以保护IP地址指派。
尽管利用系统中的两个或更多个消息处理点之间传达的多条消息允许链路建立,但减少所传达的消息数目同时维持所需的通信认证级别是高度期望的。
概述
公开了提供快速移动接入终端重认证和链路建立的系统和方法。在移动接入终端已由第一接入点认证之后,当移动接入终端要向第二接入点重认证并与第二接入点执行链路建立时,所描述的技术可通过利用移动接入终端与第二接入点之间较少的消息以执行重认证和链路建立来减少消息处理时间。
移动接入终端可经由可扩展认证协议(EAP)由第一接入点认证。当移动接入终端移出第一接入点的范围和/或接近第二接入点并且检测到来自第二接入点的信标时,移动接入终端可寻求经由第二接入点来重认证。来自第二接入点的信标可指示快速初始链路建立(FILS)支持、EAP重认证协议(EAP-RP)支持、IP地址加密支持、或其组合是否可用。
一旦接收到来自第二接入点的信标,移动接入终端就可生成重授权请求(例如,EAP重授权发起消息和EAPOL密钥消息)以及上层消息(例如,带有快速提交的动态主机配置协议(DHCP)发现请求消息)。移动接入终端可将重授权请求与上层消息集束/合并成关联请求的单独信息元素(IE)(或参数/有效载荷),并且将该关联请求传送至第二接入点。移动接入终端可以用重认证完整性密钥(rIK)和EAPOL密钥确认密钥(KCK)对重认证请求进行加密。由移动接入终端对重授权请求(或重认证请求)与上层消息的集束减少了从移动接入终端向第二接入点发送的消息数目,由此允许更快的重认证和链路建立。
移动接入终端还可对上层消息进行加密。在一个特定实施例中,移动接入终端用重认证主会话密钥(rMSK)来对上层消息进行加密。在另一个特定实施例中,移动接入终端用成对瞬态密钥(PTK)来对上层消息进行加密。在另一个特定实施例中,移动接入终端用KCK和密钥加密密钥(KEK)的组合来对上层消息进行加密。
在一个特定的实施例中,该关联请求包括EAP重认证发起消息、带有快速提交的动态主机配置协议(DHCP)发现请求、和/或LAN上的EAP密钥(EAPOL密钥)(站一次性数(Snonce)、接入点一次性数(Anonce))消息。Anonce可以是从信标获得的最新近Anonce。
第二接入点可从移动接入终端接收关联请求。第二接入点可提取上层消息并且将其转发至配置服务器。第二接入点可提取重认证请求并且将其转发至认证服务器。第二接入点可从认证服务器接收重认证确认(例如,EAP完成重认证消息和EAPOL密钥安装消息)。第二接入点还可接收IP地址指派(例如,带有快速提交的DHCP确认消息)。第二接入点可将重认证确认与IP地址指派集束/合并成关联响应的各IE,并且将该关联响应传送至移动接入终端。在一个特定实施例中,该关联响应包括EAP重认证完成消息、带有快速提交的DHCP确认消息(带有网际协议(IP)地址指派)、和/或EAPOL密钥安装消息(用于安装成对瞬态密钥(PTK)、群临时密钥(GTK)以及完整性群临时密钥(IGTK))。
一旦在移动接入终端处接收到关联响应,该移动接入终端就通过EAP重认证完成消息和/或EAPOL密钥安装消息向第二接入点重认证,并且通过IP地址指派来与第二接入点建立链路以进行数据通信。因此,关联请求和关联响应的交换可以如上所述使得移动接入终端能够向第二接入点重认证并且执行与第二接入点的链路建立。
在一个特定实施例中,一种方法包括用可扩展认证协议来生成重授权请求或重认证请求中的至少一者。该方法还包括生成上层消息。该方法还包括将上层消息与重授权请求或重认证请求中的至少一者集束成关联请求。该方法进一步包括将关联请求传送至接入点。
在另一个特定实施例中,一种终端包括被配置成促成无线通信的无线通信接口。该终端还包括耦合至该无线通信接口的处理设备。该处理设备被配置成用可扩展认证协议来生成重授权请求或重认证请求中的至少一者,生成上层消息,将该上层消息与重授权请求或重认证请求中的该至少一者集束成关联请求,并且将该关联请求传送至接入点。
在另一个特定实施例中,一种方法包括从终端接收关联请求。该关联请求包括集束在一起的上层消息与重授权请求或重认证请求中的至少一者。该方法还包括从该关联请求中提取上层消息并且将上层消息转发至配置服务器。该方法进一步包括从该关联请求中提取重授权请求或重认证请求中的该至少一者,并且将重认证请求转发至认证服务器。
在另一个特定实施例中,一种接入点包括被配置成促成无线通信的无线控制器。该接入点还包括存储器。该接入点进一步包括耦合至无线控制器和存储器的处理设备。该处理设备被配置成从终端接收关联请求。该关联请求包括集束在一起的发现请求与重授权请求或重认证请求中的至少一者。该处理设备进一步被配置成从该关联请求中提取发现请求,并且将发现请求转发至配置服务器。该处理设备进一步被配置成从该关联请求中提取重授权请求或重认证请求中的该至少一者,并且将重授权请求或重认证请求中的该至少一者转发至认证服务器。
在另一个特定实施例中,一种方法包括使用可扩展认证协议重认证协议(EAP-RP)来执行重授权或重认证。该方法还包括生成上层消息。该方法进一步包括生成关联请求。该方法进一步包括将上层消息集束到该关联请求中。该方法进一步包括将该关联请求传送至接入点。
所公开的各实施例中的至少一个实施例所提供的一种特定优点是一个设备(例如,移动接入终端)通过将重认证请求与上层消息集束成关联请求来与另一设备(例如,接入点)执行重认证和链路建立的能力,这减少了在该设备与该另一设备之间所交换的消息数目,由此允许更快的重认证和链路建立。
在查阅整个申请(包括以下部分:附图简述、详细描述和权利要求书)之后,本公开的其他方面、优点及特征将变得显而易见。
附图简述
图1是解说根据各种实施例的可在用于执行一个设备与另一个设备的重认证和链路建立的系统和方法中使用的示例性网络的系统图;
图2是解说示例性用户设备的框图;
图3是解说与连接建立相关联的消息的流程图;
图4是解说与用使用KCK和KEK的独立认证来加密的重认证和链路建立相关联的消息收发的一个特定实施例的流程图;
图5是解说与带有使用rMSK的独立认证的重认证和链路建立相关联的消息收发的一个特定实施例的流程图;
图6是解说与带有加密能力确认的重认证和链路建立相关联的消息收发的一个特定实施例的流程图;
图7是解说与用使用KCK和KEK的组合认证来加密的重认证和链路建立相关联的消息收发的另一个特定实施例的流程图;
图8是解说与用使用rMSK的组合认证来加密的重认证和链路建立相关联的消息收发的另一个特定实施例的流程图;
图9是解说与重认证和链路建立相关联的消息收发的一个特定实施例的流程图,其中DHCP发现消息信息元素是受消息完整性保护的;
图10是解说与重认证和链路建立相关联的消息收发的一个特定实施例的流程图,其中Anonce连同“安装PTK、GTK、IGTK”消息一起被设置;
图11是解说与使用快速初始链路建立能力指示符来加密的重认证和链路建立相关联的消息收发的一个特定实施例的流程图;
图12是解说在与重认证和链路建立相关联的重认证协议期间可执行的消息收发的流程图;
图13解说可被用于与重认证和链路建立相关联的重认证协议的密钥分层结构;
图14是示出用于生成重认证请求和发现请求并将其集束成关联请求的示例性过程的流程图;以及
图15是示出可在基站处操作以接收由站/终端发送的关联请求并从该关联请求中提取重认证请求和上层消息的示例性过程的流程图。
详细描述
在以下描述中参考了附图,附图中以解说方式示出本公开可在其中实践的具体实施例。这些实施例旨在充分详细地描述本公开的各方面以使得本领域技术人员能够实践本发明。可利用其它实施例,以及可对所公开的实施例作出改变而不会背离本公开的范围。以下详细描述不被理解为限制意义,且本发明的范围仅由所附权利要求来定义。
本文描述的各特征和实施例提供了用于在连接建立的重认证过程期间的快速建立时间的设备和方法。
在无线网络(诸如电气和电子工程师协会(IEEE)802.11(WiFi)网络)中,移动用户可从一个网络移动至另一网络。在某些情况下,这些网络可由同一网络承运商或实体来管理。
此类使用情况的某些非限制性示例是:
1.热点通过
(A)用户可经过(若干非重叠的)公众可接入WiFi热点(例如,在咖啡店或其他公共场所)。在具有连通性时,用户终端可上传和下载信息(诸如电子邮件、来自社交媒体网站的消息等)。另一示例是在火车上的乘客,这些火车可能穿过具有WiFi接入点的多个火车站。
2.火车
(B)用户可能在火车上,该火车具有经由本地接入点(AP)向顾客提供的WiFi服务。该AP可使用基于无线IEEE802.11的主干线来连接至轨旁基础设施。定向天线可用于沿轨道提供连续覆盖。
3.驶过收费/称重站
(C)在高速公路上驶过收费站或经过称重站的车辆可能能够连接到该收费站或称重站的AP。在驶过(或被称重)时,信息(诸如向顾客收通行费或货物信息交换)可被提供。
启用针对这些非重叠但相关的连接的应用可依赖于标准网际协议(IP)集,并且潜在地信任底层无线技术以建立安全链路。
在用于建立IP连接的某些所提议的系统中,在接收信标之前,可能存在16个往返交换(往返接入终端传达的32条消息)来为该接入终端建立安全链路。
在本文讨论的所提议系统中,可以执行快速链路建立,其中用于在接收到信标之后建立IP连接和安全链路的消息数目从先前16个往返交换(32条消息)减少至1个往返交换(2条消息)。可扩展认证协议/重认证协议(EAP/ERP)可用作快速链路建立的一部分。
图1是解说用于执行一个或多个终端与接入点的重认证和链路建立的无线网络配置的一个示例的系统图。图1的网络配置100可用于在一个或多个终端与接入点之间传达数据。网络配置100包括耦合至网络104的接入点102。接入点102可被配置成向各种通信设备提供无线通信,这些通信设备诸如无线设备(在本文中也可被称为站和接入终端106、108、110)。作为一个非限制性示例,接入点102可以是基站。作为非限制性示例,站/终端106、108、110可以是个人计算机(PC)、膝上型计算机、平板计算机、移动电话、个人数字助理(PDA)、和/或被配置成用于无线地发送和/或接收数据的任何设备、或其任何组合。网络104可包括分布式计算机网络,诸如传输控制协议/网际协议(TCP/IP)网络。
接入点102可被配置成提供各种无线通信服务,包括但不限于:无线保真(WIFI)服务、微波接入全球互通性(WiMAX)服务、以及无线会话发起协议(SIP)服务。站/终端106、108、110可被配置成用于无线通信(包括但不限于遵循由电气和电子工程师协会开发的802.11、802.11-2007、和802.11x规范族的通信)。另外,站/终端106、108、110可被配置成向接入点102发送数据以及从接入点102接收数据。如下文更详细地描述的,站106、108和110中的至少一个站可使用集束成关联请求的重认证请求和上层消息来参与重认证和链路建立。
图2是解说通信设备200的框图。在一个特定实施例中,通信设备200对应于接入点102。在另一个特定实施例中,通信设备200对应于站106、108和/或110中的一个或多个站。处理器210(其也可以是数字信号处理器(DSP))耦合至存储器232,该存储器232用于存储信息(诸如用于处理和传送的数据)以及供在处理器210上执行的指令260(例如,支持将重认证请求与上层消息集束成关联请求)。
显示控制器226可耦合至处理器210和显示设备228。编码器/解码器(CODEC)234也可耦合至处理器210。作为用户接口设备的非限制性示例,扬声器236和话筒238可耦合至CODEC234。无线控制器240可耦合至处理器210和天线242。在一个特定示例中,可将处理器210、显示控制器226、存储器232、CODEC234和无线控制器240包括在系统级封装或片上系统设备222中。在一个特定示例中,输入设备230和电源244可耦合至片上系统设备。此外,在一个特定示例中,如所解说的,显示设备228、输入设备230、扬声器236、话筒238、天线242、和电源244可在片上系统设备外部。然而,显示设备、输入设备、扬声器、话筒、无线天线、和电源中的每一者可耦合至片上系统设备222的一组件,诸如接口或控制器。
图3是解说在常规连接建立中可传达的消息的流程图。在站/终端(STA)302与接入点(AP)304之间所示的消息可包括探测和认证请求。局域网上的可扩展认证协议(EAP)(EAPOL)过程可以开始并且包括标识阶段、受保护的EAP(PEAP)阶段、以及EAP-微软质询握手认证协议(EAP-MSCHAPv2)。一旦EAP成功,EAPOL密钥就可被建立。因此,往返站/终端302传达至少16条消息以建立链路建立和认证。
与图3中的常规建立不同,在一个特定实施例中,用于(在接收到信标之后)建立IP连接的消息数目(从16条消息)减少至2条消息。可扩展认证协议重认证协议(EAP-RP)可用作如下文参照图12和13更完整地描述的重认证的一部分,并且可包括以下优化。STA302可执行一次完整的EAP认证,并且此后保持使用EAP-RP快速重认证来进行快速初始链路建立。
在发送关联请求之前,由站/终端302生成根主会话密钥(rMSK),而无需从网络获得质询。成对瞬态密钥(PTK)由STA302根据rMSK生成,并且该成对瞬态密钥(PTK)包括密钥确认密钥(KCK)、密钥加密密钥(KEK)、以及瞬态密钥(TK)。
关联请求由STA302发送,并且该关联请求将EAP重认证请求(或EAP重授权请求)与带有快速提交的动态主机配置协议(DHCP)发现以及SNonce(例如,SNonce由STA302拾取,即,站一次性数)进行集束。经集束的消息可被包括作为一个或多个信息元素(IE)。EAP重认证请求由认证服务器(AuthServer)308使用根完整性密钥(rIK)来认证。使用重认证主会话密钥(rMSK)或从该rMSK导出的成对瞬态密钥(PTK)来保护带有快速提交的DHCP发现和SNonce。带有快速提交的DHCP发现可以是经加密的且经MIC(消息完整性编码)、或是未经加密的但经MIC。尽管本文的示例中的某一些可利用发现请求(例如,带有快速提交的发现)来解说重认证概念,但应当理解,可改为使用在(协议栈的)上层处用于指派IP地址的任何消息。
在一个特定实施例中,STA302使用EAP-RP来执行重授权或重认证。在重授权或重认证之后,STA302可生成上层消息和关联请求。STA302可将上层消息(或其他消息)集束到关联请求中,并且将关联请求传送至AP304。
如果DHCP消息被加密,则AP304可保持带有快速提交的DHCP发现和SNonce消息,直到EAP重认证请求被认证服务器308证实。为证实DHCP消息,AP304等待直到它从认证服务器308接收到rMSK并且导出成对瞬态密钥(PTK)。基于从认证服务器308获得的rMSK,AP304导出PTK,该PTK用于MIC(消息完整性代码)以及用于对DHCP消息进行解密。
如果DHCP消息未被加密,则在大多数情况下消息来自正确设备的预期下,AP304可将带有快速提交的DHCP发现转发至DHCP服务器(但保留SNonce消息直到EAP重认证请求被认证服务器308证实)。尽管在AP304处可基于由AP304所发送的带有快速提交的DHCP发现而从DHCP服务器接收DHCP确认,但AP304保持DHCP确认,直到AP304基于从认证服务器308所获得的rMSK验证了DHCP发现消息并且导出PTK。
AP304随后发送用PTK保护的DHCP确认+GTK/GITK。换言之,DHCP确认被加密并且消息完整性被保护。
一个非限制性实施例可以在用于链路建立和认证的过程中包括以下步骤中的一个或多个步骤。
第一,用户可获得STA302并且执行完整的EAP认证,作为与特定网络(例如,WiFi网络)的初始建立的一部分。作为一个非限制性示例,可能完整的EAP认证可被维持达一特定认证时段,诸如举例来说,一年。
第二,在该认证时段期间,用户经过(若干非重叠的)公众可接入WiFi热点(例如,在咖啡店或其他公共场所)。换言之,该步骤可在该认证时段期间被执行多次并且与作为建立网络的一部分的多个AP304来执行。STA302使用EAP-RP来执行与网络的快速初始链路建立(FILS)。如下文更完整地解释的,使用关联请求消息将EAP-RP与DHCP快速发现进行集束使得用于该关联请求的信令减少至一个往返。在该认证时段期间,用户的STA302可以在与网络连接时继续执行EAP-RP以用于快速初始链路建立(FILS)。
第三,随着该认证时段的期满将至,可警告用户在给定时段(例如2周)内再次执行与网络的“完整附连”。在该时段期间,基于早先的完整EAP认证,用户继续能够使用快速认证直到它期满或完整附连被执行。完整附连通知可源自网络,或可在STA302上被本地配置。
第四,如果用户不执行完整附连,则一年之后,网络将使EAP-RP失败,并且将发起针对另一年的完整EAP认证(如步骤1中概括的)。
图4-11解说用于执行两消息链路建立和认证的各种不同场景。
图4是解说为客户站执行链路建立和认证的第一示例的流程图。在步骤0a和0b,当通信地耦合至第一接入点(AP1)304A时,STA302可执行完整EAP认证。一旦移动(步骤1)至更接近第二接入点(AP2)304B并且检测到它的信标(步骤2),站/终端302可寻求经由第二接入点AP2304B来重认证它自己。在该过程中,AP2304B传送信标/探测,该信标/探测包括用于快速初始链路建立(FILS)的能力指示符。该能力指示符可指示处理带有经集束的EAP-RP与DHCP快速发现的关联请求的能力。在步骤3中,在发送关联请求之前,站/终端302使用EAP-RP生成重认证主会话密钥(rMSK)(参见图13),其中:
rMSK=KDF(K,S);
K=rRK;并且
S=rMSK标签|"\0"|SEQ|长度。
STA302将该一条或多条消息打包成关联请求的信息元素(IE)(或参数/有效载荷)(步骤3)。例如,此类关联请求可包括:1)EAP重认证发起消息(使用rIK的消息完整性);2)带有快速提交的DHCP发现消息(经加密的及使用KCK/KEK的消息完整性);和/或3)EAPOL密钥(Snonce、Anonce)(使用KCK的消息完整性)。EAPOL密钥可被配置成整个帧或子集。Anonce(即,接入点一次性数)可由STA302选择,并且被发送至AP2304B。例如,AP2304B可确保STA302正使用在过去若干秒/毫秒内所发送的Anonce(例如,在特定时段内从AP2的信标所获得的最新近Anonce)。AP2304B保持DHCP和EAPOL密钥消息,直到它经由重认证确认消息(例如,EAP完成/重认证消息)从认证服务器308接收到根主会话密钥(rMSK)。AP2304B根据rMSK生成PTK。AP2304B为DHCP和EAPOL密钥消息执行消息完整性代码(MIC)交换,并且对DHCP进行解密。在发送到STA302之前,AP2304B使用rMSK导出KCK/KEK以保护DHCP确认和EAPOL密钥消息。EAP重认证发起消息、EAP完成/重认证消息、或其组合可以是认证消息。EAPOL密钥、GTK、以及密钥确认消息可以是4路握手消息。可将这些认证消息和4路握手消息并发地从STA302传送至AP2304B。
在一个特定实施例中,AP2304B主存代表STA302的动态主机配置协议(DHCP)代理。DHCP代理和STA302使用信息元素(例如,关联请求或关联响应中的信息元素)来交换IP地址信号。
在各个示例中,Anonce可由AP2304B通过以下方式发送:或是使用信标来发送以允许使用被动扫描的站,或是当主动扫描被使用时在探测响应消息中发送。当Anonce由AP2304B使用信标来发送时,Anonce可在每一信标或多个信标中被改变。STA302可将由站302拾取的Anonce包括在从STA302发送至AP2304B的关联请求消息中。
图5是解说可根据链路建立和认证的其他实施例来执行的消息收发的流程图。该过程可被称为选项1a。图5中执行的过程类似于图4中执行的那些过程(选项1),除了rMSK(而不是PTK的KCK/KEK)被用来认证封装在关联请求消息中的DHCP发现和EAPOL密钥消息。
图6是解说可根据链路建立和认证的其他实施例来执行的消息收发的流程图。该过程可被称为选项1b。图6中执行的过程类似于图4中执行的过程(选项1),除了以下可能的差别。在图6上示出的步骤2中,AP2304可广告DHCP请求可被加密的能力。在图6上示出的步骤4中,站/终端302可决定DHCP消息是否应被加密。STA302可考虑若干因素,诸如举例来说,DHCP发现请求是否包含任何私有信息等。如果站/终端决定对DHCP发现请求进行加密,则AP304B可保持该消息(如图4和5中所示)。
如果站/终端决定不对DHCP发现请求进行加密,则可执行以下步骤。在图6上示出的步骤4中,DHCP发现请求信息元素(IE)或参数仅仅是受消息完整性保护的。基于步骤4,AP2304B发送带有快速提交的DHCP发现(步骤6),而无需等待对EAP重认证发起请求的响应(步骤-9)。该过程导致IP地址指派与EAP重认证规程并行发生。在图6上示出的步骤7a中,接入点保持来自DHCP服务器的DHCP确认直到步骤10b,在该步骤10b中,DHCP发现被证实。如果消息完整性失败,则AP2304B发起一规程来删除使用DHCP确认所指派的IP地址。
图7是解说可根据链路建立和认证的其他实施例来执行的消息收发的流程图。该过程可被称为选项2。图7中执行的过程类似于图4中执行的过程(选项1),除了以下可能的差别。代替独立地认证DHCP消息和EAPOL密钥消息,可使用KCK/KEK来认证包括EAP重认证、DHCP发现和EAPOL密钥在内的组合有效载荷。AP2304提取EAP重认证发起消息,并且将其转发至认证服务器308,而无需证实使用KCK/KEK认证了的整个消息。接入点304在从认证服务器308接收到rMSK之后认证整个消息。
图8是解说可根据链路建立和认证的其他实施例来执行的消息收发的流程图。该过程可被称为选项2a。图8中执行的过程类似于图5中执行的过程(选项1a),除了以下可能的差别。代替独立地认证DHCP消息和EAPOL密钥消息,可使用rMSK来认证包括EAP重认证、DHCP发现和EAPOL密钥在内的组合有效载荷。AP304B提取EAP重认证发起消息,并且将其转发至认证服务器308,而无需证实使用rMSK认证了的整个消息。AP2304B在从认证服务器308接收到rMSK之后认证整个消息。可在步骤5之前发送DHCP发现消息(步骤-9)。在这种情况下,如果认证不成功,则所指派的IP地址被忽略。
图9是解说可根据链路建立和认证的其他实施例来执行的消息收发的流程图。该过程可被称为选项2b。图9中执行的过程类似于图4中执行的过程,除了以下可能的差别。在步骤2,接入点可广告DHCP请求可被加密的能力。在步骤4,STA302决定DHCP消息是否应被加密。STA302可考虑若干因素,诸如举例来说,DHCP发现请求是否包含任何私有信息等。如果STA302决定对DHCP发现请求进行加密,则AP304B将保持该消息,如上文在选项2和选项2a中描述的。如果STA302决定不对DHCP发现请求进行加密,则可执行以下步骤。在步骤4,DHCP发现消息IE是仅仅受消息完整性保护的。基于步骤4,接入点304发送带有快速提交的DHCP发现(步骤6),而无需等待对EAP重认证发起请求的响应(步骤-9)。该过程导致IP地址指派与EAP重认证规程并行发生。在步骤7a中,AP304B保持来自DHCP服务器的DHCP确认直到步骤10b,在该步骤10b中,DHCP发现被证实。如果消息完整性失败,则AP304B发起一规程来删除使用DHCP确认消息所指派的IP地址。
图10是解说可根据链路建立和认证的其他实施例来执行的消息收发的流程图。该过程可被称为选项3。图10中执行的过程类似于图4和5中执行的过程(选项1和1a),除了以下可能的差别。Anonce可在关联响应中连同“安装PTK、GTK、IGTK”消息一起被发送。图10中的步骤9和11可与如选项1b和选项2b中描述的步骤5-7并行执行。
选项4也可从选项1和2中导出,除了以下可能的差别。代替步骤4处的单条消息(即,关联请求),关联请求可被拆分成封装DHCP发现消息的消息1(M1)以及封装EAP重认证发起消息和Snonce的消息2(M2)。接入点304直到接收到EAPOL密钥才对DHCP发现消息进行动作。这两条消息(M1和M2)可由SIFS时段分开。该选项4可具有EAPOL结构可被重用的优势。
图11是解说可根据链路建立和认证的其他实施例来执行的消息收发的流程图。该过程可被称为选项5。图11中执行的过程类似于图4中执行的过程(选项1),除了以下可能的差别。接入点304传送信标/探测响应,该信标/探测响应包括用于并发EAP-RP和/或IP地址指派的快速初始链路建立(FILS)能力指示符。在该场景中,由AP304B指派的IP地址的租赁定时器未期满。站/终端302在发送至AP2304B的DHCP请求中使用由AP1304A指派的IP地址,以确认它是否能继续使用该IP地址。如果该IP地址已期满,则DHCP服务器306发送DHCP-NAK。
图12是解说在重认证协议期间可被执行的消息收发的流程图。在STA302首次附连至网络时,STA302执行与认证服务器308的完整EAP交换。结果,主会话密钥(MSK)被分发给EAP认证器。认证器和STA302随后使用主会话密钥(MSK)按需建立瞬态会话密钥(TSK)。在初始EAP交换之时,STA302和认证服务器308还导出EMSK,该EMSK被用来导出重认证根密钥(rRK)。更具体地,重认证根密钥(rRK)可从扩展MSK(EMSK)或从域专有根密钥(DSRK)导出,该DSRK本身是从EMSK导出的。重认证根密钥(rRK)可仅对STA302和认证服务器308可用,并且一般不被分发给任何其他实体。此外,重认证完整性密钥(rIK)可从重认证根密钥(rRK)导出。STA302和认证服务器308可使用重认证完整性密钥(rIK)来在执行ERP交换时提供拥有证明。重认证完整性密钥(rIK)一般也不被发放给任何其他实体,并且一般仅对STA302和认证服务器308可用。
出于EAP重认证的目的,定义了两个新EAP代码:EAP发起和EAP完成。当STA302请求EAP-RP时,它执行图12的底部框中示出的EAP-RP交换。
图13解说可被用于重认证协议的密钥分层结构。主会话密钥(MSK)可从根密钥导出,并且成对主密钥(PMK)可从主会话密钥(MSK)导出。扩展MSK(EMSK)可从根密钥导出。对于EAP-RP交换,各种附加密钥可从扩展MSK(EMSK)导出。DSRK1-DSRKn可被导出。每一个域专有根密钥(DSRK)密钥都可包括rRK。可从重认证根密钥(rRK)导出重认证完整性密钥(rIK)和重认证主会话密钥(rMSK1…rMSKn)。每一个rMSK都可包括成对主密钥(PMK)。成对瞬态密钥(PTK)(其可包括EAPOL密钥确认密钥(KCK)、EAPOL密钥加密密钥(KEK)和瞬态密钥(TK))可从PMK中导出。
图14是示出可在站/终端处操作以生成重认证请求和上层消息(例如,发现请求)并将其集束成关联请求的示例性过程1400的流程图。操作框1402指示从接入点接收包括随机数或一次性数(例如,Anonce)的信标。在操作框1404,终端使用该随机数或一次性数根据加密密钥用可扩展认证协议来生成重认证请求。在操作框1406,终端生成上层消息。例如,此类上层消息可以是发现请求、带有快速提交的动态主机配置协议(DHCP)发现请求、和/或网际协议(IP)地址指派消息。
操作框1408指示在某些实施例中,终端可响应于先前认证过程的结果来生成重认证主会话密钥(rMSK)。操作框1410指示在某些实施例中,终端可根据rMSK、随机数(Anonce)、和/或本地生成的随机数(Snonce)来生成成对瞬态密钥(PTK)。
操作框1412指示在某些实施例中,终端可以用rMSK来对上层消息进行加密。操作框1414指示在某些实施例中,终端可以用PTK或者KCK与KEK的组合来对上层消息进行加密。在其他实施例中,上层消息可以是不经加密的。
操作框1416指示在某些实施例中,终端可将关联请求生成为封装DHCP发现消息的第一消息、封装EAPOL重认证发起消息的第二消息。
操作框1418指示终端将该上层消息与重认证请求集束成关联请求。操作框1420指示在某些实施例中,终端可分开传送第一消息和第二消息。
图15是示出可在基站处操作以接收由站/终端发送的关联请求并从该关联请求中提取重认证请求和上层消息的示例性过程1500的流程图。操作框1502指示在某些实施例中,接入点可生成随机数,并且传送包括该随机数的信标。
操作框1504指示接入点从终端接收关联请求,该关联请求包括被集束在一起的上层消息(例如,发现请求)与重认证请求。操作框1506指示接入点从该关联请求中提取上层消息,并且将其转发至配置服务器。操作框1508指示接入点从该关联请求中提取重认证请求,并且将其转发至认证服务器。
操作框1510指示在某些实施例中,接入点可从认证服务器接收加密密钥。操作框1512指示在某些实施例中,接入点可从该加密密钥、该随机数、和从终端接收到的收到随机数生成PTK。操作框1514指示在某些实施例中,接入点可以用PTK(其包括KCK和KEK)内的KCK和KEK的组合来验证上层消息。
结合所描述的实施例,第一设备可包括用于生成的装置,该用于生成的装置被配置成用可扩展认证协议来生成重授权请求或重认证请求中的至少一者,生成上层消息,并且将该上层消息与重授权请求或重认证请求中的该至少一者集束成关联请求。例如,用于生成的装置可包括:站106、站108或站110的一个或多个组件(例如,处理器),DSP210,指令260,STA302的一个或多个组件(例如,处理器),被配置成生成重认证请求和/或重授权请求、生成上层消息、并且集束该上层消息与重认证请求和/或重授权请求的一个或多个设备,或其组合。该设备还可包括用于向接入点传送关联请求的装置。例如,用于传送的装置可包括:STA106、站108或站110的一个或多个组件(例如,发射机)、天线242、无线控制器240、STA302的一个或多个组件(例如,发射机)、被配置成传送关联请求的一个或多个设备、或其任何组合。
第二设备可包括用于从终端接收关联请求的装置。该关联请求包括集束在一起的上层消息与重授权请求或重认证请求中的至少一者。例如,用于接收的装置可包括:接入点102的一个或多个组件(例如,接收机)、天线242、无线控制器240、接入点304、被配置成接收关联请求的一个或多个设备、或其组合。第二设备还可包括用于提取的装置,该用于提取的装置被配置成从关联请求中提取上层消息并且将上层消息转发至配置服务器。该用于提取的装置进一步被配置成从关联请求中提取重授权请求或重认证请求中的该至少一者,并且将重认证请求转发至认证服务器。例如,用于提取的装置可包括:接入点102的一个或多个组件(例如,处理器)、DSP210、指令260、接入点304的一个或多个组件、被配置成从关联请求中提取信息元素的一个或多个设备、或其组合。
所公开的实施例中的一个或多个实施例可在一种系统或装置中实现,该系统或装置可包括通信设备、固定位置的数据单元、移动位置的数据单元、移动电话、蜂窝电话、计算机、平板设备、便携式计算机、或台式计算机。另外,该系统或装置可包括机顶盒、娱乐单元、导航设备、个人数字助理(PDA)、监视器、计算机监视器、电视机、调谐器、无线电、卫星无线电、音乐播放器、数字音乐播放器、便携式音乐播放器、视频播放器、数字视频播放器、数字视频盘(DVD)播放器、便携式数字视频播放器、存储或检索数据或计算机指令的任何其他设备、或其组合。作为另一解说性、非限制性示例,该系统或装置可包括远程单元(诸如移动电话、手持式个人通信系统(PCS)单元)、便携式数据单元(诸如个人数据助理、启用全球定位系统(GPS)的设备、导航设备)、固定位置的数据单元(诸如仪表读数装备)、或存储或检索数据或计算机指令的任何其他设备、或其组合。尽管图1-15中的一个或多个图可能根据本公开的教导解说了各系统、装置、和/或方法,但本公开不限于这些解说的系统、装置、和/或方法。本公开的各实施例可适于用在任何包括集成电路系统(包括存储器、处理器和片上电路系统)的设备中。
应当理解,本文中使用诸如“第一”、“第二”等之类的指定对元素的任何引述一般不限定这些元素的量或次序。相反,这些指定可在本文中用作区别两个或更多个元素或者元素实例的便捷方法。因此,对第一元素和第二元素的引述并不意味着可采用仅两个元素或者第一元素必须以某种方式位于第二元素之前。同样,除非另外声明,否则元素集合可包括一个或多个元素。如本文中所使用的,术语“确定”广泛涵盖各种各样的动作。例如,“确定”可包括演算、计算、处理、推导、研究、查找(例如,在表、数据库或其他数据结构中查找)、探知及诸如此类。而且,“确定”可包括接收(例如,接收信息)、访问(例如,访问存储器中的数据)及诸如此类。而且,“确定”还可包括解析、选择、选取、确立及类似动作。另外,如本文中所使用的“信道宽度”可在某些方面涵盖或者还可称为带宽。
如本文中所使用的,引述一列项目中的“至少一个”的短语是指这些项目的任何组合,包括单个成员。作为示例,“a、b或c中的至少一个”旨在涵盖:a、b、c、a-b、a-c、b-c、以及a-b-c。
各种解说性组件、框、配置、模块、电路、和步骤已经在上文以其功能性的形式作了一般化描述。此类功能性是被实现为硬件还是处理器可执行指令取决于具体应用和施加于整体系统的设计约束。另外,上面描述的方法的各种操作可由能够执行这些操作的任何合适的装置来执行,诸如各种硬件和/或软件组件、电路、和/或模块。一般而言,在附图1-15中所解说的任何操作可由能够执行这些操作的相对应的功能性装置来执行。技术人员可针对每种特定应用以不同方式来实现所描述的功能性,但此类实现决策不应被解读为致使脱离本公开的范围。
本领域技术人员将进一步理解,结合本公开描述的各种解说性逻辑块、配置、模块、电路以及算法步骤可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他可编程逻辑器件(PLD)、分立的门或晶体管逻辑、分立的硬件组件(例如,电子硬件)、由处理器执行的计算机软件、或其设计成执行本文中描述的功能的任何组合来实现或执行。通用处理器可以是微处理器,但在替换方案中,处理器可以是任何市售的处理器、控制器、微控制器或状态机。处理器还可以被实现为计算设备的组合,例如DSP与微处理器的组合、多个微处理器、与DSP核心协同的一个或多个微处理器、或任何其它此类配置。
在一个或多个方面中,所描述的功能可在硬件、软件、固件或其任何组合中实现。如果在软件中实现,则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上。计算机可读介质包括计算机可读存储介质和通信介质,包括促成计算机程序从一地到另一地的转移的任何介质。存储介质可以是能被计算机访问的任何可用介质。作为示例而非限定,此类计算机可读存储介质可包括随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、寄存器、硬盘、可移动盘、紧致盘只读存储器(CD-ROM)、其它光盘存储、磁盘存储、磁存储设备、或可被用来存储指令或数据结构形式的期望程序代码且能被计算机访问的任何其它介质。在替换方案中,计算机可读介质(例如,存储介质)可被整合到处理器。处理器和存储介质可驻留在专用集成电路(ASIC)中。ASIC可驻留在计算设备或用户终端中。在替换方案中,处理器和存储介质可作为分立组件驻留在计算设备或用户终端中。
任何连接也被正当地称为计算机可读介质。例如,如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来,则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的盘(disk)和碟(disc)包括压缩碟(CD)、激光碟、光碟、数字多用碟(DVD)、软盘和
碟,其中盘常常磁性地再现数据,而碟用激光来光学地再现数据。因此,在一些方面,计算机可读介质可包括非暂态计算机可读介质(例如,有形介质)。另外,在一些方面,计算机可读介质可包括暂态计算机可读介质(例如,信号)。以上的组合也应被包括在计算机可读介质的范围内。
本文所公开的方法包括用于达成所描述的方法的一个或更多个步骤或动作。这些方法步骤和/或动作可以彼此互换而不会脱离权利要求的范围。换言之,除非指定了步骤或动作的特定次序,否则具体步骤和/或动作的次序和/或使用可以改动而不会脱离权利要求的范围。
因而,某些方面可包括用于执行本文中给出的操作的计算机程序产品。例如,此类计算机程序产品可包括其上存储(和/或编码)有指令的计算机可读存储介质,这些指令能由一个或多个处理器执行以执行本文中所描述的操作。对于某些方面,计算机程序产品可包括包装材料。
软件或指令还可以在传输介质上传送。例如,如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波等无线技术从web站点、服务器或其它远程源传送而来的,则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电以及微波等无线技术就被包括在传输介质的定义里。
此外,应当领会,用于执行本文中所描述的方法和技术的模块和/或其它恰适装置能由用户终端和/或基站在适用的场合下载和/或以其他方式获得。替换地,本文描述的各种方法可经由存储装置(例如,RAM、ROM、物理存储介质,诸如紧致盘(CD))来提供。此外,能利用适于提供本文中所描述的方法和技术的任何其他合适的技术。
应该理解的是,权利要求并不被限定于以上所解说的精确配置和组件。
提供前面对所公开的实施例的描述是为了使本领域技术人员皆能制作或使用所公开的实施例。尽管上述内容针对本公开的各方面,然而可设计出本公开的其他和进一步的方面而不会脱离其基本范围,且范围是由所附权利要求来确定的。可在本文描述的实施例的布局、操作及细节上作出各种改动、更换和变型而不会脱离本公开或权利要求的范围。因此,本公开并非旨在被限定于本文中的实施例,而是应被授予与如由所附权利要求及其等效技术方案定义的原理和新颖性特征一致的最广的可能范围。
Claims (42)
1.一种使用终端进行无线通信的方法,所述方法包括:
用可扩展认证协议来生成重授权请求或重认证请求中的至少一者;
生成上层消息;
将所述上层消息与所述重授权请求或重认证请求中的所述至少一者集束成关联请求;以及
将所述关联请求传送至接入点。
2.如权利要求1所述的方法,其特征在于,生成所述上层消息包括生成带有快速提交的动态主机配置协议发现请求。
3.如权利要求1所述的方法,其特征在于,所述上层消息在传送至所述接入点之前被加密。
4.如权利要求1所述的方法,其特征在于,所述上层消息是发现请求。
5.如权利要求1所述的方法,其特征在于,所述上层消息是网际协议(IP)地址指派消息。
6.如权利要求5所述的方法,其特征在于,所述IP地址指派消息作为根据电气和电子工程师协会(IEEE)标准的信息元素被包括在所述关联请求中。
7.如权利要求1所述的方法,其特征在于,还包括接收网际协议(IP)地址响应消息,其中所述IP地址响应消息作为根据电气和电子工程师协会(IEEE)标准的信息元素被包括在关联响应中。
8.如权利要求1所述的方法,其特征在于,所述关联请求包括先前从所述接入点获得的第一一次性数。
9.如权利要求8所述的方法,其特征在于,第一一次性数能由所述接入点验证以查明第一一次性数是在特定时段内由所述接入点发出的。
10.如权利要求8所述的方法,其特征在于,第一一次性数被包括在信标中或被包括在探测响应消息中。
11.如权利要求1所述的方法,其特征在于,还包括在传送所述关联请求之前,获得来自所述接入点的对快速初始链路建立(FILS)支持的指示。
12.如权利要求1所述的方法,其特征在于,还包括在传送所述关联请求之前,获得来自所述接入点的对快速初始链路建立(FILS)认证协议支持的指示。
13.如权利要求1所述的方法,其特征在于,还包括在传送所述关联请求之前,获得来自所述接入点的对可扩展认证协议重认证协议(EAP-RP)支持的指示。
14.如权利要求1所述的方法,其特征在于,还包括在传送所述关联请求之前,获得来自所述接入点的对网际协议(IP)地址加密支持的指示。
15.如权利要求1所述的方法,其特征在于,进一步包括:
将所述关联请求生成为第一消息和第二消息,第一消息封装动态主机配置协议(DHCP)发现消息,第二消息封装可扩展认证协议(EAP)重认证发起消息以及由所述终端生成的第二一次性数,其中传送所述关联请求包括分开传送第一消息和第二消息。
16.如权利要求1所述的方法,其特征在于,将所述上层消息与所述重授权请求集束成所述关联请求包括:将所述上层消息和所述重授权集束成根据电气和电子工程师协会(IEEE)标准的单独信息元素。
17.如权利要求1所述的方法,其特征在于,还包括并发地传送四路握手消息和至少一条认证消息中的至少一者,其中所述至少一条认证消息包括接入点一次性数(Anonce)、站一次性数(Snonce)、群临时密钥(GTK)、密钥确认消息、或其组合。
18.一种用于无线通信的终端,包括:
无线通信接口,被配置成促成无线通信;
耦合至所述无线通信接口的处理设备,所述处理设备被配置成:
用可扩展认证协议来生成重授权请求或重认证请求中的至少一者;
生成上层消息;
将所述上层消息与所述重授权请求或重认证请求中的所述至少一者集束成关联请求;以及
将所述关联请求传送至接入点。
19.如权利要求18所述的终端,其特征在于,生成所述上层消息包括生成带有快速提交的动态主机配置协议发现请求。
20.一种用于无线通信的终端,包括:
用于生成的装置,所述用于生成的装置被配置成:
用可扩展认证协议来生成重授权请求或重认证请求中的至少一者;
生成上层消息;以及
将所述上层消息与所述重授权请求或重认证请求中的所述至少一者集束成关联请求;以及
用于将所述关联请求传送至接入点的装置。
21.如权利要求20所述的终端,其特征在于,所述关联请求包括先前从所述接入点获得的第一一次性数。
22.一种其上存储有指令的非瞬态机器可读介质,所述指令在由至少一个处理器执行时使所述至少一个处理器:
用可扩展认证协议来生成重授权请求或重认证请求中的至少一者;
生成上层消息;
将所述上层消息与所述重授权请求或重认证请求中的所述至少一者集束成关联请求;以及
将所述关联请求传送至接入点。
23.如权利要求22所述的非瞬态机器可读介质,其特征在于,所述关联请求包括先前从所述接入点获得的第一一次性数。
24.一种能在接入点中操作用于无线通信的方法,包括:
从终端接收关联请求,所述关联请求包括集束在一起的上层消息与重授权请求或重认证请求中的至少一者;
从所述关联请求中提取所述上层消息并且将所述上层消息转发至配置服务器;以及
从所述关联请求中提取所述重授权请求或重认证请求中的所述至少一者,并且将所述重授权请求或重认证请求中的所述至少一者转发至认证服务器。
25.如权利要求24所述的方法,其特征在于,所述配置服务器是动态主机配置协议服务器。
26.如权利要求24所述的方法,其特征在于,所述上层消息包括带有快速提交的动态主机配置协议发现请求。
27.如权利要求24所述的方法,其特征在于,所述上层消息在传送至所述接入点之前被加密。
28.如权利要求24所述的方法,其特征在于,所述上层消息是发现请求。
29.如权利要求24所述的方法,其特征在于,所述上层消息是网际协议(IP)地址指派消息。
30.如权利要求24所述的方法,其特征在于,所述关联请求包括先前由所述接入点发送的第一一次性数。
31.如权利要求30所述的方法,其特征在于,第一一次性数能由所述接入点验证以查明第一一次性数是在特定时段内由所述接入点发出的。
32.如权利要求24所述的方法,其特征在于,进一步包括:
向所述终端发送对快速初始链路建立支持、FILS认证协议支持、可扩展认证协议重认证协议(EAP-RP)支持、网际协议(IP)地址加密支持、或其组合的指示。
33.如权利要求24所述的方法,其特征在于,进一步包括:
从所述认证服务器接收重认证确认;以及
向所述终端发送关联响应,所述关联响应包括所述重认证确认。
34.如权利要求24所述的方法,其特征在于,进一步包括:
生成成对瞬态密钥(PTK);以及
以加密形式将所述PTK传送至所述终端。
35.如权利要求24所述的方法,其特征在于,所述上层消息和所述重认证请求作为根据电气和电子工程师协会(IEEE)标准的单独信息元素被集束在一起。
36.如权利要求24所述的方法,其特征在于,还包括主存代表所述终端的动态主机配置协议(DHCP)代理,其中根据电气和电子工程师协会(IEEE)标准的信息元素被用来在所述DHCP代理与所述终端之间交换网际协议(IP)地址信令。
37.一种用于无线通信的接入点,包括:
无线控制器,被配置成促成无线通信;
存储器;以及
耦合至所述无线控制器和所述存储器的处理设备,所述处理设备被配置成:
从终端接收关联请求,所述关联请求包括集束在一起的发现请求与重授权请求或重认证请求中的至少一者;
从所述关联请求提取所述发现请求,并且将所述发现请求转发至配置服务器;以及
从所述关联请求中提取所述重授权请求或重认证请求中的所述至少一者,并且将所述重授权请求或重认证请求中的所述至少一者转发至认证服务器。
38.如权利要求37所述的接入点,其特征在于,所述关联请求包括先前由所述接入点发送的第一一次性数。
39.一种用于无线通信的接入点,包括:
用于从终端接收关联请求的装置,所述关联请求包括集束在一起的上层消息与重授权请求或重认证请求中的至少一者;以及
用于提取的装置,所述用于提取的装置被配置成:
从所述关联请求中提取所述上层消息并且将所述上层消息转发至配置服务器;以及
从所述关联请求中提取所述重授权请求或重认证请求中的所述至少一者,并且将所述重授权请求或重认证请求中的所述至少一者转发至认证服务器。
40.如权利要求39所述的接入点,其特征在于,所述关联请求包括先前由所述接入点发送的第一一次性数。
41.一种其上存储有指令的非瞬态机器可读介质,所述指令在由至少一个处理器执行时使所述至少一个处理器:
从终端接收关联请求,所述关联请求包括集束在一起的上层消息与重授权请求或重认证请求中的至少一者;
从所述关联请求中提取所述上层消息并且将所述上层消息转发至配置服务器;以及
从所述关联请求中提取所述重授权请求或重认证请求中的所述至少一者,并且将所述重授权请求或重认证请求中的所述至少一者转发至认证服务器。
42.一种使用终端进行无线通信的方法,所述方法包括:
使用可扩展认证协议重认证协议(EAP-RP)来执行重授权或重认证;
生成上层消息;
生成关联请求;
将所述上层消息集束到所述关联请求中;以及
将所述关联请求传送至接入点。
Applications Claiming Priority (15)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161533627P | 2011-09-12 | 2011-09-12 | |
| US61/533,627 | 2011-09-12 | ||
| US201161535234P | 2011-09-15 | 2011-09-15 | |
| US61/535,234 | 2011-09-15 | ||
| US201261583052P | 2012-01-04 | 2012-01-04 | |
| US61/583,052 | 2012-01-04 | ||
| US201261606794P | 2012-03-05 | 2012-03-05 | |
| US61/606,794 | 2012-03-05 | ||
| US201261611553P | 2012-03-15 | 2012-03-15 | |
| US61/611,553 | 2012-03-15 | ||
| US201261645987P | 2012-05-11 | 2012-05-11 | |
| US61/645,987 | 2012-05-11 | ||
| US13/610,718 US9143937B2 (en) | 2011-09-12 | 2012-09-11 | Wireless communication using concurrent re-authentication and connection setup |
| US13/610,718 | 2012-09-11 | ||
| PCT/US2012/054870 WO2013040039A1 (en) | 2011-09-12 | 2012-09-12 | Wireless communication using concurrent re-authentication and connection setup |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103797832A true CN103797832A (zh) | 2014-05-14 |
| CN103797832B CN103797832B (zh) | 2018-07-31 |
Family
ID=46888703
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280044191.0A Active CN103797832B (zh) | 2011-09-12 | 2012-09-12 | 使用并发重认证和连接建立的无线通信 |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US9143937B2 (zh) |
| EP (1) | EP2756699B1 (zh) |
| JP (1) | JP5882474B2 (zh) |
| KR (1) | KR101648158B1 (zh) |
| CN (1) | CN103797832B (zh) |
| BR (1) | BR112014005438A2 (zh) |
| CA (1) | CA2846239C (zh) |
| ES (1) | ES2802153T3 (zh) |
| HU (1) | HUE049022T2 (zh) |
| MY (1) | MY169634A (zh) |
| RU (1) | RU2583722C2 (zh) |
| WO (1) | WO2013040039A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105611353A (zh) * | 2015-12-23 | 2016-05-25 | 福建新大陆通信科技股份有限公司 | 一种机顶盒利用指纹进行条件接收的方法 |
| CN106464689A (zh) * | 2014-06-03 | 2017-02-22 | 高通股份有限公司 | 用于在快速初始链路设立期间进行认证的系统、方法和装置 |
| CN107079030A (zh) * | 2014-11-11 | 2017-08-18 | 高通股份有限公司 | 在无线站向认证服务器的重新认证期间的隐私 |
| CN107079016A (zh) * | 2014-10-21 | 2017-08-18 | 高通股份有限公司 | 用于认证互操作性的方法和系统 |
| CN109906624A (zh) * | 2016-10-31 | 2019-06-18 | 瑞典爱立信有限公司 | 支持无线通信网络中的认证的方法以及相关网络节点和无线终端 |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9439067B2 (en) | 2011-09-12 | 2016-09-06 | George Cherian | Systems and methods of performing link setup and authentication |
| US8837741B2 (en) | 2011-09-12 | 2014-09-16 | Qualcomm Incorporated | Systems and methods for encoding exchanges with a set of shared ephemeral key data |
| US9008062B2 (en) * | 2012-01-09 | 2015-04-14 | Futurewei Technologies, Inc. | Systems and methods for AP discovery with FILS beacon |
| US20130304887A1 (en) * | 2012-05-11 | 2013-11-14 | Qualcomm Incorporated | Systems and methods for domain name system querying |
| JP5464232B2 (ja) * | 2012-05-23 | 2014-04-09 | 沖電気工業株式会社 | セキュア通信システム及び通信装置 |
| US9544928B2 (en) * | 2012-06-08 | 2017-01-10 | Yulong Computer Telecommunication Scientific (Shenzhen) Co., Ltd. | Fast initial link setup communication device and method |
| US9894599B2 (en) * | 2012-06-13 | 2018-02-13 | Qualcomm, Incorporated | Method and apparatus for WLAN initial link setup |
| US9883437B2 (en) * | 2012-06-19 | 2018-01-30 | Qualcomm Incorporated | Systems and methods for enhanced network handoff to wireless local area networks |
| EP2868131A4 (en) * | 2012-06-29 | 2016-03-02 | Nokia Technologies Oy | METHOD AND DEVICE FOR ACCESS PARAMETER DISTRIBUTION |
| US20140241266A1 (en) | 2013-02-22 | 2014-08-28 | Qualcomm Incorporated | Systems and methods for reduced latency when establishing communication with a wireless communication system |
| EP2996400B1 (en) * | 2013-05-06 | 2018-09-12 | LG Electronics Inc. | Method and apparatus for active scanning in wireless lan |
| CN103298062B (zh) * | 2013-05-21 | 2016-08-10 | 华为技术有限公司 | 接入无线网络的方法及接入点 |
| US9693266B2 (en) | 2013-07-15 | 2017-06-27 | Qualcomm Incorporated | System and method to assign an internet protocol address to a mobile device during a handoff |
| US20150127949A1 (en) * | 2013-11-01 | 2015-05-07 | Qualcomm Incorporated | System and method for integrated mesh authentication and association |
| US20150237003A1 (en) * | 2014-02-18 | 2015-08-20 | Benu Networks, Inc. | Computerized techniques for network address assignment |
| US20150281947A1 (en) * | 2014-03-26 | 2015-10-01 | Qualcomm Incorporated | Method and apparatus for fast ip address assignment |
| US9706396B2 (en) | 2014-08-08 | 2017-07-11 | Samsung Electronics Co., Ltd. | System and method of counter management and security key update for device-to-device group communication |
| US20160127903A1 (en) * | 2014-11-05 | 2016-05-05 | Qualcomm Incorporated | Methods and systems for authentication interoperability |
| GB2535749B (en) * | 2015-02-26 | 2021-10-20 | Eseye Ltd | Authentication module |
| CN106211240B (zh) | 2015-06-01 | 2019-06-14 | 华为技术有限公司 | 提高无线局域网wlan并发处理能力的方法、装置及系统 |
| RU2699403C1 (ru) * | 2015-08-11 | 2019-09-05 | Хуавей Текнолоджиз Ко., Лтд. | Способ и аппаратура для аутентификации доступа |
| US10555170B2 (en) * | 2015-09-04 | 2020-02-04 | Huawei Technologies Co., Ltd. | Method and apparatus for authentication of wireless devices |
| US10278037B2 (en) * | 2016-01-15 | 2019-04-30 | Telephone Science Corporation | Call screening connection |
| US10791093B2 (en) * | 2016-04-29 | 2020-09-29 | Avago Technologies International Sales Pte. Limited | Home network traffic isolation |
| US10645577B2 (en) * | 2016-07-15 | 2020-05-05 | Avago Technologies International Sales Pte. Limited | Enhanced secure provisioning for hotspots |
| JP7034682B2 (ja) * | 2017-11-27 | 2022-03-14 | キヤノン株式会社 | 通信装置、通信装置の制御方法、プログラム |
| JP7121646B2 (ja) * | 2018-11-29 | 2022-08-18 | キヤノン株式会社 | 通信装置、通信装置の制御方法及びプログラム |
| US11206144B2 (en) | 2019-09-11 | 2021-12-21 | International Business Machines Corporation | Establishing a security association and authentication to secure communication between an initiator and a responder |
| US11308243B2 (en) | 2019-09-11 | 2022-04-19 | International Business Machines Corporation | Maintenance of access for security enablement in a storage device |
| US11201749B2 (en) | 2019-09-11 | 2021-12-14 | International Business Machines Corporation | Establishing a security association and authentication to secure communication between an initiator and a responder |
| US11188658B2 (en) | 2019-09-11 | 2021-11-30 | International Business Machines Corporation | Concurrent enablement of encryption on an operational path at a storage port |
| US11188659B2 (en) | 2019-09-11 | 2021-11-30 | International Business Machines Corporation | Concurrent enablement of encryption on an operational path at a host port |
| US11354455B2 (en) | 2019-09-11 | 2022-06-07 | International Business Machines Corporation | Maintenance of access for security enablement on a host system |
| US11303441B2 (en) | 2019-09-25 | 2022-04-12 | International Business Machines Corporation | Reverting from a new security association to a previous security association in response to an error during a rekey operation |
| US11245521B2 (en) | 2019-09-25 | 2022-02-08 | International Business Machines Corporation | Reverting from a new security association to a previous security association in response to an error during a rekey operation |
| CN115104341A (zh) * | 2020-02-20 | 2022-09-23 | 昕诺飞控股有限公司 | Li-Fi网络中的安全切换 |
| US11997482B2 (en) | 2022-02-18 | 2024-05-28 | Qualcomm Incorporated | Association protection for wireless networks |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060128362A1 (en) * | 2004-12-14 | 2006-06-15 | Samsung Electronics Co., Ltd. | UMTS-WLAN interworking system and authentication method therefor |
| CN101442516A (zh) * | 2007-11-20 | 2009-05-27 | 华为技术有限公司 | 一种dhcp认证的方法、系统和装置 |
| CN101695165A (zh) * | 2009-09-01 | 2010-04-14 | 深圳华为通信技术有限公司 | 切换方法、装置和系统 |
| CN102014360A (zh) * | 2009-09-07 | 2011-04-13 | 中兴通讯股份有限公司 | 一种本地疏导漫游场景在线计费的方法和系统 |
Family Cites Families (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7565537B2 (en) | 2002-06-10 | 2009-07-21 | Microsoft Corporation | Secure key exchange with mutual authentication |
| US7370350B1 (en) | 2002-06-27 | 2008-05-06 | Cisco Technology, Inc. | Method and apparatus for re-authenticating computing devices |
| US7574599B1 (en) | 2002-10-11 | 2009-08-11 | Verizon Laboratories Inc. | Robust authentication and key agreement protocol for next-generation wireless networks |
| JP3647433B2 (ja) | 2002-10-25 | 2005-05-11 | 松下電器産業株式会社 | 無線通信管理方法及び無線通信管理サーバ |
| US7395427B2 (en) | 2003-01-10 | 2008-07-01 | Walker Jesse R | Authenticated key exchange based on pairwise master key |
| US7275157B2 (en) | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
| GB0315278D0 (en) | 2003-06-30 | 2003-08-06 | Nokia Corp | A method for optimising handover between communication networks |
| US7409545B2 (en) | 2003-09-18 | 2008-08-05 | Sun Microsystems, Inc. | Ephemeral decryption utilizing binding functions |
| US7646872B2 (en) | 2004-04-02 | 2010-01-12 | Research In Motion Limited | Systems and methods to securely generate shared keys |
| WO2005104500A1 (en) | 2004-04-23 | 2005-11-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Aaa support for dhcp |
| EP1790129B1 (en) | 2004-09-15 | 2017-06-21 | Nokia Technologies Oy | Apparatus, and an associated method, for facilitating fast transition in a network system |
| US7236477B2 (en) | 2004-10-15 | 2007-06-26 | Motorola, Inc. | Method for performing authenticated handover in a wireless local area network |
| US7558866B2 (en) | 2004-12-08 | 2009-07-07 | Microsoft Corporation | Method and system for securely provisioning a client device |
| US8413213B2 (en) | 2004-12-28 | 2013-04-02 | Intel Corporation | System, method and device for secure wireless communication |
| US7747865B2 (en) | 2005-02-10 | 2010-06-29 | International Business Machines Corporation | Method and structure for challenge-response signatures and high-performance secure Diffie-Hellman protocols |
| US7624271B2 (en) | 2005-03-24 | 2009-11-24 | Intel Corporation | Communications security |
| US7908482B2 (en) | 2005-08-18 | 2011-03-15 | Microsoft Corporation | Key confirmed authenticated key exchange with derived ephemeral keys |
| US7483409B2 (en) | 2005-12-30 | 2009-01-27 | Motorola, Inc. | Wireless router assisted security handoff (WRASH) in a multi-hop wireless network |
| US7890745B2 (en) | 2006-01-11 | 2011-02-15 | Intel Corporation | Apparatus and method for protection of management frames |
| US8204502B2 (en) * | 2006-09-22 | 2012-06-19 | Kineto Wireless, Inc. | Method and apparatus for user equipment registration |
| US9053063B2 (en) * | 2007-02-21 | 2015-06-09 | At&T Intellectual Property I, Lp | Method and apparatus for authenticating a communication device |
| CN101296081A (zh) | 2007-04-29 | 2008-10-29 | 华为技术有限公司 | 认证、认证后分配ip地址的方法、系统、接入实体和装置 |
| US8769611B2 (en) * | 2007-05-31 | 2014-07-01 | Qualcomm Incorporated | Methods and apparatus for providing PMIP key hierarchy in wireless communication networks |
| WO2010023506A1 (en) | 2008-08-26 | 2010-03-04 | Nokia Corporation | Methods, apparatuses, computer program products, and systems for providing secure pairing and association for wireless devices |
| US8881235B2 (en) * | 2008-12-15 | 2014-11-04 | Koninklijke Kpn N.V. | Service-based authentication to a network |
| CN102282889B (zh) * | 2009-01-15 | 2014-08-20 | 思科技术公司 | 通信网络中的网关重定位 |
| CN102014361B (zh) * | 2009-09-07 | 2014-02-19 | 华为技术有限公司 | 一种认证授权计费会话更新方法、装置和系统 |
| US20110113252A1 (en) | 2009-11-06 | 2011-05-12 | Mark Krischer | Concierge registry authentication service |
| US8839372B2 (en) * | 2009-12-23 | 2014-09-16 | Marvell World Trade Ltd. | Station-to-station security associations in personal basic service sets |
| CN107070843A (zh) * | 2011-04-28 | 2017-08-18 | 交互数字专利控股公司 | 一种用户设备以及在用户设备中的方法 |
| US9439067B2 (en) | 2011-09-12 | 2016-09-06 | George Cherian | Systems and methods of performing link setup and authentication |
| US8837741B2 (en) | 2011-09-12 | 2014-09-16 | Qualcomm Incorporated | Systems and methods for encoding exchanges with a set of shared ephemeral key data |
| US8594632B1 (en) | 2012-12-11 | 2013-11-26 | Intel Corporation | Device to-device (D2D) discovery without authenticating through cloud |
-
2012
- 2012-09-11 US US13/610,718 patent/US9143937B2/en active Active
- 2012-09-12 MY MYPI2014000438A patent/MY169634A/en unknown
- 2012-09-12 KR KR1020147009893A patent/KR101648158B1/ko active IP Right Grant
- 2012-09-12 BR BR112014005438A patent/BR112014005438A2/pt active Search and Examination
- 2012-09-12 EP EP12762166.2A patent/EP2756699B1/en not_active Not-in-force
- 2012-09-12 WO PCT/US2012/054870 patent/WO2013040039A1/en active Application Filing
- 2012-09-12 RU RU2014114503/08A patent/RU2583722C2/ru active
- 2012-09-12 CN CN201280044191.0A patent/CN103797832B/zh active Active
- 2012-09-12 ES ES12762166T patent/ES2802153T3/es active Active
- 2012-09-12 JP JP2014530754A patent/JP5882474B2/ja active Active
- 2012-09-12 CA CA2846239A patent/CA2846239C/en active Active
- 2012-09-12 HU HUE12762166A patent/HUE049022T2/hu unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060128362A1 (en) * | 2004-12-14 | 2006-06-15 | Samsung Electronics Co., Ltd. | UMTS-WLAN interworking system and authentication method therefor |
| CN101442516A (zh) * | 2007-11-20 | 2009-05-27 | 华为技术有限公司 | 一种dhcp认证的方法、系统和装置 |
| CN101695165A (zh) * | 2009-09-01 | 2010-04-14 | 深圳华为通信技术有限公司 | 切换方法、装置和系统 |
| CN102014360A (zh) * | 2009-09-07 | 2011-04-13 | 中兴通讯股份有限公司 | 一种本地疏导漫游场景在线计费的方法和系统 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106464689A (zh) * | 2014-06-03 | 2017-02-22 | 高通股份有限公司 | 用于在快速初始链路设立期间进行认证的系统、方法和装置 |
| CN106464689B (zh) * | 2014-06-03 | 2020-12-18 | 高通股份有限公司 | 用于在快速初始链路设立期间进行认证的系统、方法和装置 |
| CN107079016A (zh) * | 2014-10-21 | 2017-08-18 | 高通股份有限公司 | 用于认证互操作性的方法和系统 |
| CN107079016B (zh) * | 2014-10-21 | 2020-10-16 | 高通股份有限公司 | 用于认证互操作性的方法和系统 |
| CN107079030A (zh) * | 2014-11-11 | 2017-08-18 | 高通股份有限公司 | 在无线站向认证服务器的重新认证期间的隐私 |
| CN105611353A (zh) * | 2015-12-23 | 2016-05-25 | 福建新大陆通信科技股份有限公司 | 一种机顶盒利用指纹进行条件接收的方法 |
| CN109906624A (zh) * | 2016-10-31 | 2019-06-18 | 瑞典爱立信有限公司 | 支持无线通信网络中的认证的方法以及相关网络节点和无线终端 |
| US11818569B2 (en) | 2016-10-31 | 2023-11-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods supporting authentication in wireless communication networks and related network nodes and wireless terminals |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101648158B1 (ko) | 2016-08-12 |
| RU2014114503A (ru) | 2015-10-20 |
| HUE049022T2 (hu) | 2020-08-28 |
| ES2802153T3 (es) | 2021-01-15 |
| WO2013040039A1 (en) | 2013-03-21 |
| CA2846239C (en) | 2018-02-13 |
| JP2014526841A (ja) | 2014-10-06 |
| US9143937B2 (en) | 2015-09-22 |
| JP5882474B2 (ja) | 2016-03-09 |
| CN103797832B (zh) | 2018-07-31 |
| CA2846239A1 (en) | 2013-03-21 |
| MY169634A (en) | 2019-04-24 |
| RU2583722C2 (ru) | 2016-05-10 |
| BR112014005438A2 (pt) | 2017-04-04 |
| EP2756699A1 (en) | 2014-07-23 |
| EP2756699B1 (en) | 2020-03-25 |
| US20130247150A1 (en) | 2013-09-19 |
| KR20140066232A (ko) | 2014-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103797832A (zh) | 使用并发重认证和连接建立的无线通信 | |
| CN103797831B (zh) | 执行链路建立和认证的系统和方法 | |
| CN103797830B (zh) | 用于对与一组共享临时密钥数据的交换进行编码的系统和方法 | |
| CN103188229A (zh) | 用于安全内容访问的方法和设备 | |
| CN102111761A (zh) | 密钥管理方法及设备 | |
| CN113365243A (zh) | 通信方法、装置、设备及系统 | |
| CN109151816B (zh) | 一种网络鉴权方法及系统 | |
| CN115379414A (zh) | 证书发放方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1195839 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |