CN105264815A - 使用组密钥的基于无线对接的服务的方法和设备 - Google Patents
使用组密钥的基于无线对接的服务的方法和设备 Download PDFInfo
- Publication number
- CN105264815A CN105264815A CN201480032229.1A CN201480032229A CN105264815A CN 105264815 A CN105264815 A CN 105264815A CN 201480032229 A CN201480032229 A CN 201480032229A CN 105264815 A CN105264815 A CN 105264815A
- Authority
- CN
- China
- Prior art keywords
- group
- docking
- key
- group key
- center
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/10—Program control for peripheral devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/16—Constructional details or arrangements
- G06F1/1613—Constructional details or arrangements for portable computers
- G06F1/1632—External expansion units, e.g. docking stations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/03—Arrangements for converting the position or the displacement of a member into a coded form
- G06F3/033—Pointing devices displaced or positioned by the user, e.g. mice, trackballs, pens or joysticks; Accessories therefor
- G06F3/038—Control and interface arrangements therefor, e.g. drivers or device-embedded control circuitry
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/76—Group identity
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Human Computer Interaction (AREA)
- Computing Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种使用组密钥的用于基于无线对接的服务的安全的通信方法,包括以下过程:为与外围设备相关联的每一个无线对接服务分组外围设备;为每一个组生成在预定的时间内有效的组密钥;并发送与该组的组密钥相关的信息到构成组的对接器。
Description
技术领域
本公开内容的各种实施例涉及一种使用组密钥的基于无线对接服务的方法和装置。
背景技术
通常,对接提供对接器、raptop以及外部外围设备的示例之间的连接,以改善用户体验。这种对接环境主要在对接器(dockee)与对接中心对接的办公室中生成。这里,外部外围装置可以是,例如,鼠标、键盘、打印机、显示器等。
对接还可以提供诸如通用串行总线(USB)的外部连接端口功能。近年来,随着诸如Wimedia或无线保真(Wi-Fi)的高速无线连接技术的兴起,现有的基于有线连接的对接极有可能无线地实现。Wi-Fi对接标准的目的是定义支持无线对接的技术。对接可以以诸如音频底座(dock)、办公室用底座、车用底座以及类似物的各种形式实现。Wi-Fi对接机制可以基于支持基于Wi-Fi的设备之间的直接通信的Wi-Fi直接对等(P2P)协议工作,也可以在红外连接状态下工作。Wi-Fi对接的架构包括无线对接器(WD)、无线对接中心(WDC)以及外围设备。这里,WD接收对接服务,并且WDC与外围设备连接,并无线地连接WD,以提供用于外围设备的连接的对接服务。包括三种类型的设备的组可被定义为无线对接网络(WDN)。此外,多个WDN可以存在于一个Wi-Fi直连P2P组中。每个Wi-Fi直连P2P组包括类似于接入点(AP)的组所有者(GO),以及与红外模式中的站(STA)设备类似的组客户端设备。这里,GO映射到支持特定服务的信道,并且当从该信道发送信标信号时,GO可以由已经接收到信标信号的客户端设备发现。已经发现GO的客户端设备执行加入GO的组的加入过程。作为组加入过程的一部分,GO执行用于递送安全密钥到客户端的供应过程(provisioningprocedure)。安全密钥用于组中的通信的安全。
Wi-Fi直连标准指定必须使用Wi-Fi保护访问(WPA)2人模式以维持P2P组的安全通信。WPA2支持两种类型的密钥,也即,用于GO/AP和客户端之间的一对一通信的成对临时密钥(PairwiseTransientKey,PTK)以及用于在P2P组中的广播或组播的组临时密钥(GroupTransientKey,GTK)。可以使用基于GO和客户端之间预先交换的信息生成的成对主密钥(PairwiseMasterKey,PMK)生成PTK。可以从在GO/AP中独立生成的组主密钥生成GTK。使用在4次握手中GO和客户端之间交换的会话专用的GO/AP随机数(nonce)和客户端随机数生成PTK。随机数是在对应的设备中独立地生成的会话专用随机数字并且是一次性的数字。这里,随机数指的是具有随机性的数字或字符串。在4次握手中,使用GO的媒介访问控制(MAC)地址、客户端的MAC地址、随机数的值以及PMK生成PTK。使用在GO中独立生成的组主密钥(GMK)以及Gnonce生成GTK。GTK使用PTK加密,并通过4次握手的消息#3递送到客户端。GTK可以通过单独的2次握手(2-wayhandshake)进行更新。
Wi-Fi对接协议支持连接对接器、对接中心和外围设备的两跳连接(two-hopconnection)。Wi-Fi对接协议在Wi-Fi直连P2P连接上操作,并使用WPA2个人模式安全(personalmodesecurity)。当使用WPA2个人模式安全时,通过使用PTK支持一对一的通信,并且通过使用GTK支持组中的多播和广播。
多个WDN可能存在于一个Wi-Fi直连P2P组中。即使属于同一个Wi-FiP2P组,各个WDN也形成单独的组,使得不属于WDN的设备需要不能够解密WDN中的通信。使用单一的密钥,对接器需要能够与每一个WDN中的设备进行通信。对接服务基本上是基于两跳(twohop)。因此,在当前的工作模式中,在发送数据以与外围设备通信之前,对接器使用对接中心的PTK加密数据。然后,对接中心解密数据,并使用外围设备的PTK加密数据以发送加密的数据到外围设备。此过程会导致延迟,使得可能无法顺利提供诸如实时画面镜像和屏幕回放这样的不容忍延迟的服务。这样的问题可以通过与对接器共享外围设备的PTK来解决,但这种解决方案通常不能安全使用,甚至可能会导致安全问题。因此,存在对用于基于无线对接的WDN中的通信安全的方法的需要。
发明内容
因此,本发明的各个方面提供一种用于在WDN中基于WDN定义用于通信安全的组密钥并递送组密钥到外围设备的方法和装置。
根据本公开的一个方面,提供了一种使用组密钥的用于基于无线对接的服务的安全的通信方法,该通信方法包括为与外围设备关联的每一个基于无线对接的服务分组外围设备,为每一个组生成在预定的时间内有效的组密钥并递送该组的组密钥到该组的客户端。
根据本公开的另一个方面,提供了一种使用组密钥的用于基于无线对接的服务的安全的通信方法,该通信方法包括与对接中心执行加入支持由对接中心提供的基于无线对接的服务中的第一服务的组的过程,并从对接中心获取与组的组密钥相关的信息。
根据本公开的另一个方面,提供了使用组密钥进行通信的用于基于无线对接的服务的安全的对接中心,该对接中心包括控制器,被配置为为与外围设备关联的每一个基于无线对接的服务分组外围设备,并为每一个组生成在预定的时间内是有效的组密钥,以及收发器,被配置为根据控制器的指令递送该组的组密钥到该组的客户端。
根据本公开的另一个方面,提供了一种使用组密钥用于基于无线对接的服务的安全的通信设备,该通信设备包括控制器,被配置成与对接中心执行加入支持由该对接中心提供的基于无线对接的服务之中的第一服务的组的过程,以及收发器,并配置为从对接中心获取与组的组密钥相关的信息。
如从前面的描述中明显看出的,本公开定义了使得对接器与WDN中的所有外围设备进行通信的组密钥,如果多个WDN存在于一个Wi-Fi直连组中,则对每个WDN定义单独的组密钥,并且在WDN中基于WDN组密钥进行通信,从而提高了WDN通信的安全。此外,在WDN中,由于组密钥,能够减少由现有对接器执行的用于通过对接中心与外围设备进行通信的额外的加密和解密引起的传输延迟。
附图说明
图1示出了其中在对接中心(或Wi-Fi直连P2P组)中提供了多个WDN的一般示例;
图2示出了根据本公开的实施例的其中在一个Wi-Fi直连P2P组中存在两个WDN以及为每一个WDN提供单个WTK的示例;
图3是示出了根据本公开的实施例的生成WTK的过程的流程图;
图4是示出了根据本公开实施例的使用2次WTK握手消息的带内分配方案的过程的流程图。
图5是示出了根据本公开实施例的2次WTK握手方案中的WTK重传操作的流程图。
图6是示出了根据本公开实施例的基于对接场景中的WTK2次握手分配WTK的过程的梯形图;
图7是示出了根据本公开的另一实施例的使用四次握手的KDE过程的带内分配方案的操作的梯形图;
图8是示出了根据本公开的另一实施例的使用四次握手的KDE过程的带内分配方案的操作的梯形图;
图9是根据本公开的实施例的WDC的框图;以及
图10是根据本公开实施例的对接器或外接设备的框图。
具体实施方式
在下文中,将参照附图描述本公开的示例性实施例。应当指出的是,尽管它们在不同的附图中示出,但是类似的部件由类似的参考标号表示。此外,在下面的描述中,当可能模糊本发明的主题时,将省略对本文中并入的公知功能和配置的详细描述。本文所用的术语是基于本公开中的功能定义的,并且可以根据用户、运营商的意图或者通常的实践而改变。因此,术语的定义应当基于整个说明书的内容进行。
图1示出了其中在对接中心(或Wi-Fi的直接点对点组)中提供了多个WDN的一般示例。
参考图1,例如,假定有两个WDN存在。首先,WDN1100可以包括与WDC110连接的外围设备,例如,无线显示器102、无线相机104、以及扬声器106。WDN2120可以包括与WDC110连接的外围设备,例如,无线打印机122、鼠标124和键盘126。作为与WDC110连接并从而与包括在WDN1100和WDN2120中的每一个的外围设备连接的对接器115的例子,示出了智能电话。在一般的无线对接技术中,对接器115和外围设备102-106和122–126中的每一个独立地连接WDC110,并且具有自己唯一的PTK用于与相应的WDN通信。
为了改进WDN中的通信安全技术,本公开的实施例提出了用于生成用于WDN中的通信的组密钥(WDN临时密钥:WTK)并递送组密钥到WDN的对接中心和外围设备。
图2示出了根据本公开的实施例的其中两个WDN存在于一个Wi-Fi直连P2P组中并且对每个WDN提供单个WTK的例子。为方便起见,假定图2的WDN以图1中相同的方式进行配置。
参考图2,生成用于WDN1100中的通信的WTK1。WTK1可以用于对接器115和WDN1100的外围设备——即,无线显示器102、无线照相机104和扬声器106——之间的一对一通信和多播通信。同样地,生成用于WDN2120的通信的WTK2。WTK2可以用于对接器115和WDN2120的外围设备——即,无线打印机122、鼠标124和键盘126——之间的一对一的通信和组播通信。也即,在图2中示出的实施例中,如果对接器115是组连接到WDN1100,则对接器115获取WTK1以与WDN1100的外围设备进行通信,并使用WTK1用于WDN1100中的通信。类似地,如果对接器115组连接到WDN2120,则对接器115获取WTK2以与WDN2120的外围设备进行通信并使用WTK2用于WDN2120中的通信。
根据本公开实施例的WTK被定义为在相应WDN的范围内在预定的有效时间内有效的临时密钥。可以由参数WDN_Transient_Key_lifetime的值确定WTK的有效时间。在每个WDN中,WTK的有效时间可以设置为唯一的值。根据本公开实施例的用于生成WTK的主要输入值可以包括WDN的标识符(ID)、WDN专用的随机数值以及对接中心的MAC地址。
根据本公开的实施例,WTK的输入值可以基于由WDC支持的接口确定。假设WDC支持多个物理接口。在这里,接口是Wi-Fi连接接口,并可以通过MAC地址来标识。在这种情况下,多个WDN可以分别与不同的物理接口连接。根据本公开的另一个实施例,WDC可以支持多个虚拟接口作为物理接口。在这种情况下,每个虚拟接口可以与每个WDN相连。根据本公开的另一个实施例,如果WDC支持单个接口,则所有的WDN连接到该单个接口。根据由WDC支持的接口的实施例,作为用于生成WTK的输入值,可以使用连接到WDC的虚拟MAC地址、单独与WDN连接的物理MAC地址、或WDC的单个MAC地址。
由于WDNID和WDN专用随机数被用于生成WDN主密钥(WMK),所以可以维持根据本公开的实施例的WTK的唯一性。根据本公开的实施例,WMK的有效性可以由参数WDN_Master_key_lifetime确定。如果WMK的有效性过期,则重新生成WMK,并且也重新生成基于该WMK的WTK。
图3是示出了根据本公开的实施例的生成WTK的操作的流程图。
参考图3,在操作300,WDC输入WDNID作为SHA-256算法的输入值,以生成随机数SHA-256作为WMK的种子。在操作305中,WDC生成所生成的随机数作为256位WMK(WMK<-SHA-256(WDNid)。
在操作310中,WDC通过使用生成128位结果的伪随机函数生成PRF-128。这里,在该函数中使用的输入值可以包括WMK、文本“WMK扩展”、WDNMAC地址以及WDN随机数。WDN随机数是一个随机数(或伪随机数),并定义为在每一个WTK生成时新生成的数字或字符串。这里,根据本公开的实施例,WDNMAC地址可以是WDN或WDC的虚拟MAC地址或物理MAC地址。其结果是,在操作315中,WDC通过使用PRF-128生成包括WDN加密密钥和WDN完整性密钥的WTK。
一旦如上所述生成了用于相应WDN的WTK,则根据本公开的实施例的WTK就被分配用于在对接器、对接中心和WDN的外围设备之间使用。根据本公开的实施例,WTK分配方案可以包括带内分配方案以及带外分配方案。
*带内(in-band)分配方案
首先,当使用带内分配方案分配WTK时,可以描述两个实施例。也即,可以使用在其中使用2次WTK握手消息的实施例以及在其中使用4次握手消息的实施例描述带内分配方案。但是,应该指出的是,根据本公开的实施例的带内分配方案仅仅使用前述两个实施例中描述,而不限于本文所述的实施例。
1.使用2次WTK握手消息的带内分配:
在本公开的实施例中,用于WTK分配的新的2次WTK握手消息如下所述定义。本文中,一般在用于递送PTK给设备的4次握手消息之后进行握手。
2次握手可以利用2个EAP在WDN所有者和WDN客户端之间交换的LAN(EAPOL)(在IEEE802.1x协议定义)-密钥帧消息上形成,例如,基于在标准IEEE802.1x中的用户和认证器之间可扩展的可扩展认证协议(EAP),其定义用户、认证器和认证服务器之间的认证协议。
图4是示出了根据本公开实施例的使用2次WTK握手消息的带内分配方案的过程的流程图。根据本公开实施例的WDC可以使用如上面所述的多个WDN,并作为WDN的所有者操作。WDN的对接器和外围设备定义为WDN客户端。为方便起见,在图4中,将描述在特定WDN的所有者、WDN所有者、以及对应于WDN的对接器或外围设备的WDN客户端之间的操作。
根据本公开实施例的握手的第一条消息,也即,EAPOL密钥帧消息1,可以包括使用PTK的密钥加密密钥(KEK)加密的密钥RSC、MIC、以及WTK。这里,定义KEK用于EAPOL密钥帧中的数据加密。因此,参考图4,在操作410中,根据本公开的实施例,WDN所有者400开始WTK计算。这里,假定WTK以参考图3所描述的方式计算。在操作412中,WDN所有者400设置使用计算出的WTK发送的最后帧的序列号为接收序列计数器(ReceiveSequenceCounter,RSC)。在操作414中,WDN所有者400通过使用在EAPOL密钥帧的主体中的PTK获得的密钥确认密钥(KCK)计算消息完整性校验(MIC)。这里,KEK被定义为用于在EAPOL密钥帧中进行完整性校验的密钥。MIC被处理为“0”供计算。在操作416中,WDN所有者400使用PTK的KEK设置WTK。在操作418中,WDN所有者400发送在操作410至416中获得的包括密钥的RSC、MIC、以及WTK的EAPOL密钥帧消息1到WDN客户端405。在操作420,在发送EAPOL-密钥帧消息1之后,WDN所有者400增加密钥重放计数器的值。
已经接收到EAPOL密钥帧消息1的WDN客户端405进行到操作422。在操作422中,客户端WDN405确定EAPOL密钥帧消息的密钥重放计数器值是否大于所存储的密钥重放计数器值。也即,EAPOL密钥帧消息的密钥重放计数器值应该大于通过当前会话接收到的先前的EAPOL密钥帧消息的密钥重放计数器值。
在操作424中,WDN客户端405确定所接收的EAPOL密钥帧消息1的MIC是否是有效的。也即,WDN客户端405使用KCK——其是在WDN组连接过程中得到的PTK的一部分——确定数据的完整性是否有问题。如果确定所述MIC是有效的,则客户端WDN405在操作426设置IEEE802.11MAC中的WTK。
在操作428中,4次WTK握手消息#2,也即EAPOL-密钥帧2的密钥重放计数器,被设置为EAPOL密钥帧1的密钥重放计数器。在操作430中,使用在EAPOL密钥帧1的主体中的KCK计算EAPOL密钥帧消息2的MIC。在操作431中,EAPOL密钥帧消息2被发送到WDN所有者400。EAPOL密钥帧消息2包括MIC以及在操作428和操作430中设置的密钥重放计数器。
如果在操作422中确定所接收到的EAPOL密钥帧消息1的密钥重放计数器值小于或等于所存储的密钥重放计数器值,则客户端WDN405进行到操作432。同样地,如果在操作424中确定接收到的EAPOL密钥帧消息1的MIC不是有效的,则客户端WDN405进行到操作432。在操作432中,客户端WDN405发送认证释放请求到WDN所有者400。
当在操作434中识别出接收到认证请求释放时,WDN所有者400进行到操作436,以释放在WDN客户端405设置的WTK。如果在操作432中响应于EAPOL密钥帧消息1接收到EAPOL密钥帧消息2而在发送EAPOL密钥帧消息1之后没有接收到断开连接请求,则WDN所有者400确定EAPOL密钥帧消息2的密钥重放计数器的值是否与EAPOL密钥帧消息1中设置的密钥重放计数器值相同。WDN所有者400还通过使用作为PTK的一部分的KCK检查EAPOL密钥帧消息2的MIC的有效性。如果确定该EAPOL密钥帧消息2的密钥重放计数器的值与设置的密钥重放计数器值是相同的并且MIC是有效的,则WDN所有者400在操作438中重置在操作421中在EAPOL密钥帧消息1发送之后所设置的WTK计数器。在操作440中,正如在操作426中一样,在MAC中设置WTK。
图5是示出了根据本公开实施例的2次WTK握手方案中的WTK重传操作的流程图。
参考图5,其中WDN所有者500在操作510到操作518中通过使用WTK加密EAPOL密钥帧消息1并发送经加密的EAPOL密钥帧消息1到WDN客户端505的过程,与图4中的操作410到操作418中的操作相同。然而,假设在操作518中WDN客户端505没有成功接收到EAPOL密钥帧消息1。
在操作520中,WDN所有者500在EAPOL密钥帧消息1的初始传输时设置重传计数器为“0”。在操作521中,WDN所有者500驱动WTK定时器。在操作522中,WDN所有者500确定是否从客户端WDN505接收到对EAPOL密钥帧消息1的发送的响应,也即,EAPOL密钥帧消息2。如果已经接收到EAPOL密钥帧消息2,则WDN所有者500在操作524中重置WTK计时器以及重传计数器,并在操作526中在MAC中设置WTK。
如果在操作522中尚未接收到EAPOL密钥帧消息1,则WDN所有者500在操作528中确定WTK计时器的驱动时间是否已到期。如果WTK定时器的驱动时间尚未到期,则WDN所有者500等待驱动时间到期。
如果确定WTK定时器的驱动时间已到期,则WDN所有者500在操作528中将当前重传计数和预定的最大重传次数WTK_retransmission_limit(WTK重传限制)进行比较,如果当前的重传次数小于最大重传次数WTK_retransmission_limit,则WDN所有者500在操作532和操作534中分别将密钥重传次数和重传计数器增加1。在操作536a中,WDN所有者500重传该EAPOL密钥帧消息1到WDN客户端505。假定在操作536b中从WDN客户端505接收到对重传的EAPOL密钥帧消息1的响应。在这种情况下,WDN所有者500进行到操作524和操作526,为使用WTK的通信做准备。
根据本公开的实施例,WTK定时器的驱动时间可以被设定为,例如,在EAPOL密钥帧消息1的第一次重传时为100毫秒,第二次重传时为侦听间隔的一半,以及后续重传时为侦听间隔。如果侦听间隔不存在,则驱动时间可以设置为相同的值,例如,“100毫秒”,而不管重传的次数为何。
如果在操作530中确定当前重传次数为等于或大于最大重传次数WTK_retransmission_limit,则WDN所有者500在操作531中释放WTK并传递认证释放请求到WDN客户端505。
图6是示出了根据本公开实施例的、在对接场景中基于WTK2次握手分配WTK的过程的梯形图。这里,假设在对接器600中提供服务的外围设备——例如,外围设备1604-1到外围设备n604-n——连接到WDC602。
参考图6,假设连接到WDC602的外围设备之中的外围设备1604-1至n604-n分别在操作610-1到操作610-n中执行其WDN所有者(即,组拥有者(GO))是WDC602的Wi-Fi直连组的加入(连接)过程。在Wi-Fi直连组连接过程中,每一个外围设备1604-1到n604-n从WDC602接收用于Wi-Fi直连组的PTK和GTK。尽管没有在图6中示出,但是连接到WDC602的外围设备之中的一些必要的外围设备被分组到特定的WDN并且完成WDN设置。在操作612中,WDC602将关于每个生成的WDN外围设备的管理信息以及诸如分配给每个WDN的PTK和GTK这样的WDN信息映射到对应的WDN。
因此,一旦完成了WDN信息的生成,则在操作614中,如参照图3所述,WDC602生成WTK。然后,根据本公开的实施例,WDC720在操作616a和操作616b分别执行2次WTK握手方案以分配所生成的WTK到外围设备1604-1和外围设备2604。一旦2次握手完成,则外围设备装置1604-1和外围装置2604-n就可以通过WTK通信。在操作616a和操作616b中的2次握手和在图4中描述的是相同的,因而将不进行详细说明。
对接器600可以使用预关联发现识别由WDC602提供的服务。假设所期望的服务存在于服务之中,则对接器600在操作618中执行与WDC602的组连接过程以获得关于服务的信息以及WDN所提供的外围设备。在组连接过程中,对接器600接收WDN的信息PTK和GTK。一旦组加入过程完成,则对接器600和WDC602就在操作620中建立应用服务平台(ASP)会话以建立连接和对接会话,并在操作622中执行试用连接(pilotconnection)用于与WDC602发送和接收对接消息。对接器600可以从WDC602通过试用连接获取更多的信息。在操作624a中,对接器600基于附加信息提供对接连接请求到WDC602。在操作624b中,WDC602发送对接连接请求的接受到对接器600作为响应。一旦完成此操作,对接器600就连接到WDC602,从而成为WDN的成员,即,作为WDN客户端加入WDN。然后,在操作626中,WDC602与对接器600以如在图4中描述的方式执行WTK2次握手过程,并递送在操作614中生成的WTK到对接器600。一旦完成该过程,对接器600就可以在操作628中通过对接会话通过使用WTK与WDN所有外围设备进行通信。一旦完成对接会话,对接器600就在操作630a中从WDC602发送对接断开连接请求。在操作630b中,对接器600接收对对接断开连接请求的响应。在这种情况下,WDC602在操作632中生成新的WTK使得对接器600不能使用现有的在操作614中生成的WTK再次连接到WDN。在操作634a和634b中,WDC602分别分配新的WTK到WDN的外围设备,也即,外围设备装置1604-1和外围装置2604-n。
2.使用4次握手的带内分配
根据本公开的实施例,可以使用4次握手过程分配WTK。4次握手过程用于生成和分配PTK和GTK到Wi-Fi直连组的设备。4次握手过程支持通过第三个EAPOL-密钥帧分配用户自定义的密钥数据封装(KDE)。根据实施例,用户自定义的KDE可用于代替2次握手分配WTK。EAPOL密钥-帧具有可变长度的密钥数据项,使得附加的密钥信息可在密钥交换期间递送。附加的密钥信息可以包括零(0)个或更多的KDE。可以通过从PTK提取的KEK加密WTK,并从而可以包括在EAPOL-密钥帧的KDE中。
图7是示出了根据本发明另一个实施例的使用四次握手的KDE过程的带内分配方案的操作的梯形图。图8的WDN客户端和WDN所有者以图4中相同的方式定义。
参考图7,操作710-1到操作722b与图6中的操作610-1到操作622b是相同的。通过这些操作,对接器700连接到WDC702,从而作为WDN的WDN客户端加入WDN。
在操作724a到操作724c中,WDC702指示与连接到WDC702的所有外围设备——即,外围设备1704-1到外围设备n704-n——以及对接器700重新连接。因此,在操作726a至操作726c中,分别执行重连接4次握手。也即,通过上述的KDE机制分配WTK到每一个外围设备和对接器700。一旦完成该过程,就在操作728中建立起对接会话并且对接器700可通过使用WTK通过对接会话与WDN的所有外围设备进行通信。
如果对接会话终止,则对接器700分别在操作730a和操作730b中发送对接断开连接请求给WDN并接收对接断开连接请求的响应。为了防止对接器700使用在操作714中生成的现有WTK再次连接到WDN,WDC702在操作734中生成新的WTK。在操作736a和736b中,WDC702指示WDN的所有外围设备执行重连接,并通过4次握手分配新的WTK。
*带外(out-of-band)分配方案
接下来,根据本公开的实施例,可以基于带外分配方案分配WTK。带外分配方案可以是,例如,诸如近场通信(NFC)的技术。
图8是示出了根据本发明的另一实施例的使用4次握手的KDE过程的带内分配方案的操作的梯形图。
参考图8,在操作810-1至操作814中,WDC802与外围设备执行Wi-Fi直连组加入的过程。在Wi-Fi直连组连接的过程中,外围设备的1804-1到外围设备n804-n的每一个从WDC802接收Wi-Fi直连组的PTK和GTK。
在操作812和操作814中,类似于在操作612和操作614中,WDC802配置WDN信息,并生成WTK。在操作816中,对接器800使用诸如NFC的带外过程,与WDC802执行Wi-Fi直连组加入过程,并接收Wi-Fi直连组的PTK和GTK。然后,在操作816到操作822b中,与WDC802建立对接会话。以与图6中的操作620至操作624b相同的方式执行操作816至操作822b。
在操作824a和操作824b中,对接器800递送WTK和WDN连接必要的信道信息到外围设备,也即,外围设备装置1804-1到外围设备n804-n。这里,信道信息包括操作信道、因特网协议(IP)地址等。对接器800可以通过使用诸如NFC交接/通信令牌的带外方法,递送WTK、IP地址以及信道信息到每个外围设备装置1804-1到外围设备n804-n。在完成操作824a和操作824b后,外围设备1804-1和外围设备804-n可以具有用于提出持久的P2P组的信息。因此,在操作826a和826b中,外围设备1804-1和外围设备n804-n分别基于通过前述过程接收到的信道信息与WDC802执行用于加入新的WDN的持久的P2P组连接。然后,在操作828中,建立对接会话并且因此对接器800可以与通过使用WTK完成到新WDN的组连接的外围设备1804-1和外围设备n804-n通信。
基于上述WDN_Transient_key_lifetime设置根据本公开实施例的WTK的有效时间。因此,如果在操作814中计算出WTK到达了有效时间,则它失效。因此,在操作830a和操作830b中,对接器800分别发送针对新WDN的断开连接请求到WDC802,并从WDC802接收断开连接请求的响应。然后,WDC802在操作832中生成新的WTK,并在操作834a和操作834b中分别向外围设备递送新的WTK。
图9是根据本公开实施例的WDC的框图。
参考图9,WDC900可以包括,例如,收发器901、控制器902、WTK生成器904以及WTK分配器906。虽然为方便起见,在根据本公开的实施例的操作的基础上,WDC900被单独构造,但是根据实施例或操作者的意图,一个单元可以分成单独单元的子单元。
首先,根据本公开的实施例,控制器902控制相应于WTK的配置和分配的整体操作。收发器901、WTK生成器904、以及WTK分配器906可以根据控制器902的指令执行相应的操作。收发器901根据图4到图8的上述实施例基于控制器902的指令与外围设备或WDC发送并接收消息或信息。
WTK生成器904根据控制器902的指令,以例如图3中描述的方式生成用于WDN的WTK。根据本公开实施例的WTK可以为基于服务配置的WDC的WDN单独地生成,并且每一个WDN具有预设的有效时间,使得如果有效时间已到期,则需要生成新的WTK。
根据上述的带内方案和带外方案,WTK分配器906递送WTK到WDN的成员。该方案的实施例已经参考图4至图8描述,因而将不进行详细说明。
图10是根据本公开实施例的对接器或外围设备的框图。
参考图10,设备1000可以包括控制器1002和收发器1004。虽然为方便起见,基于根据本公开的实施例的操作,WDC900被单独构造,但是根据实施例或操作者的意图,单元可以分成单独单元的子单元。
收发器1004根据图4至图8的上述实施例发送和接收对应的消息和信息。然后,基于该消息和信息,控制器1002获得从WDC发送的WTK、确定有效性、如果获得WTK的有效性则通过收发器1004递送响应、或使用WTK与外围设备通信。
虽然已参考其示例实施例具体示出并描述了本公开,但是可以在形式和细节上做出各种改变而不脱离由下面的权利要求所限定的本公开的精神和范围。因此,本公开的范围将由所附的权利要求书及其等效物来限定。
Claims (18)
1.一种使用组密钥的用于基于无线对接的服务的安全的通信方法,所述通信方法包括:
为与所述外围设备相关联的每一个基于无线对接的服务分组外围设备,并为每一个组生成在预定的时间内有效的组密钥;以及
递送该组的组密钥到该组的客户端。
2.如权利要求1所述的通信方法,其中,为每一个组生成的组密钥是使用该组的标识符作为输入值设定的。
3.如权利要求1所述的通信方法,还包括如果所述组密钥的有效时间已到期,则生成组的新的组密钥并递送所述组密钥到该组的客户端。
4.如权利要求1所述的通信方法,还包括通过组连接过程递送组密钥给已经发送连接到该组的请求的对接器。
5.如权利要求1所述的通信方法,还包括:
在从对接器接收到用于从该组断开连接的请求时,计算该组的新的组密钥;以及
递送新的组密钥到该组的客户端。
6.如权利要求1所述的通信方法,其中所述递送组密钥包括:
如果完成了所述组和已发送连接到该组的请求的对接器之间的连接,则发送断开连接请求到包括对接器的客户端;以及
在所述断开连接期间递送组密钥到包括对接器的客户端。
7.一种使用组密钥的用于基于无线对接的服务的安全的通信方法,所述通信方法包括:
与对接中心执行加入支持由对接中心提供的基于无线对接的服务之中的第一服务的组的过程;以及
从对接中心获取与所述组的组密钥相关的信息。
8.如权利要求7所述的通信方法,其中所述获取与所述组密钥相关的信息包括:如果在完成组加入过程之后发送对接连接请求到对接中心并且接收到对对接连接请求的响应,则接收与所述组的安全密钥相关的信息。
9.如权利要求7所述的通信方法,其中所述获取与所述组的组密钥相关的信息包括:
如果在完成组加入过程之后发送对接连接请求到对接中心并且接收到对对接连接请求的响应,则从已经执行与该组的外围设备重新连接的对接中心获取组的更新的组密钥;以及
通过使用该组的更新的组密钥执行与外围设备的通信。
10.一种使用组密钥通信的用于基于无线对接服务的安全的对接中心,所述对接中心包括:
控制器,被配置为为与外围设备相关联的每一个基于无线对接的服务分组外围设备,并为每一个组生成在预定时间内有效的组密钥;以及
收发器,被配置为根据所述控制器的指令递送该组的组密钥到该组的客户端。
11.如权利要求10所述的对接中心,其中,为每一个组所生成的组密钥是使用该组的标识符作为输入值设定的。
12.如权利要求10所述的对接中心,其中如果所述组密钥的有效时间已到期,则控制器控制所述收发器生成该组的新的组密钥并且递送该组密钥到该组的客户端。
13.如权利要求12所述的对接中心,其中所述控制器控制所述收发器通过组连接过程递送所述组密钥到已经发送连接到该组的请求的对接器。
14.如权利要求10所述的对接中心,其中在识别出从包括在组中的对接器接收到断开连接请求时,所述控制器控制所述收发器计算该组的新的组密钥,并递送该新的组密钥到客户端。
15.如权利要求10所述的对接中心,其中,如果完成了所述组和已发送对于连接到该组的请求的对接器之间的连接,则所述控制器控制所述收发器发送断开连接请求到包括所述对接器的客户端,并在所述断开连接期间递送所述组密钥到包括对接器的客户端。
16.一种使用组密钥的用于基于无线对接的服务的安全的通信装置,所述通信装置包括:
控制器,被配置为与对接中心执行加入支持由该对接中心提供的基于无线对接的服务之中的第一服务的组的过程;以及
收发器,被配置为从该对接中心获取与该组的组密钥相关的信息。
17.如权利要求16所述的通信装置,其中,如果完成组加入过程之后发送对接连接请求到对接中心并接收到对对接连接请求的响应,则收发器接收与该组的安全密钥相关的信息。
18.如权利要求17所述的通信装置,其中,在完成组加入过程之后,如果通过收发器发送对接连接请求到对接中心并接收到对对接连接请求的响应,并识别出从已经执行与该组的外围设备重新连接的对接中心获取到更新的组的组密钥,则控制器通过使用该组的更新的组密钥执行与外围设备的通信。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2013-0064070 | 2013-06-04 | ||
| KR20130064070 | 2013-06-04 | ||
| PCT/KR2014/004969 WO2014196810A1 (ko) | 2013-06-04 | 2014-06-03 | 그룹키 사용하여 무선 도킹 기반 서비스를 위한 방법 및 장치 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105264815A true CN105264815A (zh) | 2016-01-20 |
Family
ID=51985118
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480032229.1A Pending CN105264815A (zh) | 2013-06-04 | 2014-06-03 | 使用组密钥的基于无线对接的服务的方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20140355763A1 (zh) |
| KR (1) | KR20140142677A (zh) |
| CN (1) | CN105264815A (zh) |
| WO (1) | WO2014196810A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024088140A1 (zh) * | 2022-10-24 | 2024-05-02 | 华为技术有限公司 | 一种数据传输方法及装置 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9609490B2 (en) * | 2014-12-08 | 2017-03-28 | Gainspan Corporation | Updating of layer-2 group key in a wireless network |
| US9860745B2 (en) * | 2015-02-23 | 2018-01-02 | Qualcomm Incorporated | Methods and apparatuses for NAN data link group formation and data frame address settings |
| KR102022813B1 (ko) * | 2015-08-11 | 2019-09-18 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 액세스 인증 방법 및 장치 |
| US20170070343A1 (en) * | 2015-09-04 | 2017-03-09 | Qualcomm Incorporated | Unicast key management across multiple neighborhood aware network data link groups |
| US10791093B2 (en) * | 2016-04-29 | 2020-09-29 | Avago Technologies International Sales Pte. Limited | Home network traffic isolation |
| US10230700B2 (en) * | 2016-08-09 | 2019-03-12 | Lenovo (Singapore) Pte. Ltd. | Transaction based message security |
| JP7154833B2 (ja) | 2018-06-20 | 2022-10-18 | キヤノン株式会社 | 通信装置、通信方法、およびプログラム |
| JP7118764B2 (ja) * | 2018-06-20 | 2022-08-16 | キヤノン株式会社 | 通信装置、制御方法、およびプログラム |
| US10757561B2 (en) * | 2019-03-29 | 2020-08-25 | Intel Corporation | Wi-Fi docking in dense environment |
| JP2021190936A (ja) * | 2020-06-03 | 2021-12-13 | キヤノン株式会社 | 通信装置、通信方法およびプログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457849A (zh) * | 2010-10-20 | 2012-05-16 | 诺基亚公司 | 具有带外启动的无线对接 |
| US20120265913A1 (en) * | 2011-04-18 | 2012-10-18 | Nokia Corporation | Method, apparatus and computer program product for creating a wireless docking group |
| WO2013038359A1 (en) * | 2011-09-13 | 2013-03-21 | Koninklijke Philips Electronics N.V. | Wireless lan connection handover by docking system and generic network device driver |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5369705A (en) * | 1992-06-03 | 1994-11-29 | International Business Machines Corporation | Multi-party secure session/conference |
| US7395423B1 (en) * | 2003-08-25 | 2008-07-01 | Nortel Networks Limited | Security association storage and recovery in group key management |
| US8150372B2 (en) * | 2007-09-28 | 2012-04-03 | Symbol Technologies, Inc. | Method and system for distributing data within a group of mobile units |
| US8254992B1 (en) * | 2007-10-08 | 2012-08-28 | Motion Computing, Inc. | Wireless docking system and pairing protocol for multiple dock environments |
| US8331567B2 (en) * | 2009-03-30 | 2012-12-11 | Intel Corporation | Methods and apparatuses for generating dynamic pairwise master keys using an image |
| US8555063B2 (en) * | 2009-09-30 | 2013-10-08 | Qualcomm Incorporated | Method for establishing a wireless link key between a remote device and a group device |
| EP2891352B1 (en) * | 2012-08-30 | 2018-12-05 | Koninklijke Philips N.V. | Method and devices for pairing within a group of wireless devices |
| US9647481B2 (en) * | 2012-12-04 | 2017-05-09 | Qualcomm Incorporated | Apparatus and methods for docking a dockee with a docking host utilizing a wireless charger in a wireless docking environment |
-
2014
- 2014-06-03 CN CN201480032229.1A patent/CN105264815A/zh active Pending
- 2014-06-03 KR KR1020140067914A patent/KR20140142677A/ko not_active Application Discontinuation
- 2014-06-03 WO PCT/KR2014/004969 patent/WO2014196810A1/ko active Application Filing
- 2014-06-04 US US14/295,932 patent/US20140355763A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457849A (zh) * | 2010-10-20 | 2012-05-16 | 诺基亚公司 | 具有带外启动的无线对接 |
| US20120265913A1 (en) * | 2011-04-18 | 2012-10-18 | Nokia Corporation | Method, apparatus and computer program product for creating a wireless docking group |
| WO2013038359A1 (en) * | 2011-09-13 | 2013-03-21 | Koninklijke Philips Electronics N.V. | Wireless lan connection handover by docking system and generic network device driver |
Non-Patent Citations (1)
| Title |
|---|
| 刘红艳 等: "支持多外围设备的基于身份的密钥隔离签名", 《青岛大学学报(自然科学版)》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024088140A1 (zh) * | 2022-10-24 | 2024-05-02 | 华为技术有限公司 | 一种数据传输方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140355763A1 (en) | 2014-12-04 |
| KR20140142677A (ko) | 2014-12-12 |
| WO2014196810A1 (ko) | 2014-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105264815A (zh) | 使用组密钥的基于无线对接的服务的方法和设备 | |
| US11777716B2 (en) | Key exchange method and apparatus | |
| CN104584606B (zh) | 用于在一组无线设备内配对的方法和设备 | |
| US11178584B2 (en) | Access method, device and system for user equipment (UE) | |
| CN102625995B (zh) | 无线网络中的伽罗瓦/计数器模式加密 | |
| US20190058701A1 (en) | Key distribution and authentication method and system, and apparatus | |
| JP4804454B2 (ja) | 鍵配信制御装置、無線基地局装置および通信システム | |
| US8838972B2 (en) | Exchange of key material | |
| JP5053424B2 (ja) | 中継装置、無線通信装置、ネットワークシステム、プログラム、および、方法 | |
| JP5291200B2 (ja) | Wi−Fiデバイスツーデバイスネットワークにおいてデバイスの追加を実現するための方法、システム、およびデバイス | |
| JP6922963B2 (ja) | グループゲートウェイ及び通信方法 | |
| CN102170636B (zh) | 用于计算共享加密密钥的方法和设备 | |
| US20160080940A1 (en) | Method, Apparatus, and System for Configuring Wireless Device | |
| CN103096307A (zh) | 密钥验证方法及装置 | |
| CN113872755A (zh) | 一种密钥交换方法及装置 | |
| CN106713298A (zh) | 一种通信方法及设备 | |
| CN106358159A (zh) | 宽带集群系统的共享信道管理方法、系统、终端和基站 | |
| WO2008029853A1 (fr) | Dispositif et procédé de livraison de clé de cryptage | |
| JP2023541563A (ja) | 通信方法および関係する装置 | |
| JP2020120407A (ja) | 無線通信システム、サーバ、端末、無線通信方法、および、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160120 |