CN107079030A - 在无线站向认证服务器的重新认证期间的隐私 - Google Patents
在无线站向认证服务器的重新认证期间的隐私 Download PDFInfo
- Publication number
- CN107079030A CN107079030A CN201580060817.0A CN201580060817A CN107079030A CN 107079030 A CN107079030 A CN 107079030A CN 201580060817 A CN201580060817 A CN 201580060817A CN 107079030 A CN107079030 A CN 107079030A
- Authority
- CN
- China
- Prior art keywords
- authentication
- identifier
- radio station
- certificate server
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 112
- 230000005540 biological transmission Effects 0.000 claims abstract description 27
- 238000004891 communication Methods 0.000 claims description 68
- 230000004044 response Effects 0.000 claims description 12
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 8
- 230000006870 function Effects 0.000 description 44
- 238000010586 diagram Methods 0.000 description 19
- 238000005516 engineering process Methods 0.000 description 8
- 238000003860 storage Methods 0.000 description 8
- 230000000712 assembly Effects 0.000 description 6
- 238000000429 assembly Methods 0.000 description 6
- 239000000463 material Substances 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000002245 particle Substances 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 229910002056 binary alloy Inorganic materials 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 241000894007 species Species 0.000 description 1
- 230000000930 thermomechanical effect Effects 0.000 description 1
- 238000005303 weighing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本文描述了用于在无线站向认证服务器的重新认证期间的隐私的方法、系统、装置和设备。无线站可以根据重新认证密钥和序列号来导出第一标识符。可以至少部分地根据第一会话密钥来导出重新认证密钥。无线站可以向认证方发送第一标识符和域名。可以在无线站向认证服务器的第一次重新认证期间发送第一标识符和域名。可以在第一次重新认证期间禁止第一会话密钥的名称的传输。
Description
交叉引用
本专利申请要求于2015年10月29日由Lee等人提交的题为“Privacy During Re-Authentication of a Wireless Station with an Authentication Server”的美国专利申请No.14/926,791,以及于2014年11月11日由Lee等人提交的题为“Privacy During Re-Authentication of a Wireless Station with an Authentication Server”的美国临时专利申请No.62/078,162的优先权;其中每个申请已转让给其受让人。
技术领域
本公开内容例如涉及无线通信系统,并且具体地涉及在无线站向认证服务器的重新认证期间的隐私。
背景技术
无线通信系统被广泛被部署以提供各种类型的通信内容,诸如语音、视频、分组数据、消息传送、广播等。这些系统可以是能够通过共享可用系统资源(例如,时间、频率和功率)来支持与多个用户的通信的多址系统。例如诸如Wi-Fi网络(IEEE 802.11)的无线局域网(WLAN)的无线网络可以包括可以与站(STA)或移动设备通信的接入点(AP)。AP可以耦合到诸如因特网的网络,并可以使得移动设备能够经由网络进行通信(和/或与耦合到接入点的其它设备进行通信)。
可以至少部分地由AP和认证服务器来管理针对可经由AP访问的网络的隐私。当无线站首次接入网络时,AP可以发起无线站向认证服务器的认证。当无线站从经由第一AP接入网络转换到经由第二AP接入网络时,第二AP可以发起无线站向认证服务器的重新认证。在任一情况下,如果认证服务器没有认证(或重新认证)无线站,则无线站可能被拒绝接入网络。
发明内容
所描述的特征通常涉及用于无线通信的各种改进的系统、方法和/或装置。这样的系统、方法和/或装置可以在无线站向认证服务器的重新认证(例如,作为站移动性以及经由不同的接入点接入网络的结果而执行的重新认证)期间提供隐私。当无线站使用可扩展认证协议(EAP)重新认证协议(EAP-RP)向认证服务器重新认证时,无线站可以向认证服务器发送扩展主会话密钥名称(EMSKname)。EMSKname可以用于识别重新认证会话和对应的重新认证根密钥(rRK)。然而,在无线站和接入点之间建立安全关联之前,可以通过无线信道来发送EMSKname(即,EMSKname是在不被加密(例如,作为纯文本)的情况下发送的)。因此,被动攻击方可能截获EMSKname,并使用EMSKname跟踪与无线站或其用户相关的信息。本公开内容描述了系统、方法和装置,在这些系统、方法和装置中,无线站可以在无线站向认证服务器的重新认证期间禁止EMSKname的传输。
在第一组说明性示例中,提供了一种用于无线通信的方法。所述方法可以包括:根据重新认证密钥和序列号在无线站处导出第一标识符,所述重新认证密钥是至少部分地根据第一会话密钥导出的;向认证方发送所述第一标识符和域名,所述第一标识符和所述域名是在所述无线站向认证服务器的第一次重新认证期间发送的;以及禁止所述第一会话密钥的名称在所述第一次重新认证期间的传输。
在一些方面,所述方法可以包括:至少部分地基于所述序列号来生成下一序列号,以及至少部分地基于所述重新认证密钥和所述下一序列号来导出第二标识符。在一些方面,该方法可以包括发送所述第二标识符和域名。可以在所述无线站向所述认证服务器的第二次重新认证期间发送所述第二标识符和所述域名。在一些方面,该方法可以包括:接收重新认证失败消息,以及响应于接收所述重新认证失败消息来发送所述第二标识符和所述域名。
在一些方面,该方法可以包括:使用所述第一标识符用于所述无线站向所述认证服务器的单次重新认证。在一些实施例中,该方法可以包括:至少部分地基于标识符标签来导出所述第一标识符。在该方法的一些方面,所述第一次重新认证可以包括可扩展认证协议(EAP)重新认证,所述第一会话密钥可以包括扩展主会话密钥(EMSK),并且所述重新认证密钥可以包括重新认证根密钥(rRK)。
在该方法的一些方面中,可以在向所述认证服务器执行完全认证之后执行所述第一次重新认证。在一些方面,该方法可以包括:接收重新认证失败消息,以及响应于接收所述重新认证失败消息来执行向所述认证服务器的完全认证。
在第二组说明性示例中,提供了一种用于无线通信的装置。该装置可以包括:处理器;与所述处理器进行电子通信的存储器;以及存储在所述存储器中的指令。所述指令可以可由所述处理器执行以:根据重新认证密钥和序列号在无线站处导出第一标识符,所述重新认证密钥是至少部分地根据所述第一会话密钥导出的;向认证方发送所述第一标识符和域名,所述第一标识符和所述域名是在所述无线站向认证服务器的第一次重新认证期间发送的;以及停止所述第一会话密钥的名称在所述第一次重新认证期间的传输。
在一些方面,所述装置可以包括可由所述处理器执行以进行如下操作的指令:至少部分地基于所述序列号来生成下一序列号,以及至少部分地基于所述重新认证密钥和所述下一序列号来导出第二标识符。在一些方面,该装置可以包括可由所述处理器执行以进行如下操作的指令:发送所述第二标识符和所述域名。可以在所述无线站向所述认证服务器的第二次重新认证期间发送所述第二标识符和所述域名。在一些方面,该装置可以包括可由所述处理器执行以进行如下操作的指令:接收重新认证失败消息,以及响应于接收所述重新认证失败消息来发送所述第二标识符和所述域名。
在一些方面,该装置可以包括可由所述处理器执行以进行如下操作的指令:使用所述第一标识符用于所述无线站向所述认证服务器的单次重新认证。在一些方面,该装置可以包括可由所述处理器执行以进行如下操作的指令:至少部分地基于标识符标签来导出所述第一标识符。在所述装置的一些方面,所述第一次重新认证可以包括可扩展EAP重新认证,所述第一会话密钥可以包括EMSK,并且所述重新认证密钥可以包括rRK。
在所述装置的一些方面,可以在向所述认证服务器执行完全认证之后执行所述第一次重新认证。在一些方面,所述装置可以包括可由所述处理器执行以进行如下操作的指令:接收重新认证失败消息,以及响应于接收所述重新认证失败消息来执行向所述认证服务器的完全认证。
在第三组说明性示例中,提供了一种用于无线通信的方法。该方法可以包括:根据重新认证密钥和序列号在认证服务器处导出第一标识符,所述重新认证密钥是至少部分地根据所述第一会话密钥导出的;在所述认证服务器处接收第二标识符,所述第二标识符是在无线站向所述认证服务器的第一次重新认证期间接收的;将所述第一标识符与所述第二标识符进行比较;以及至少部分地基于所述比较将第二会话密钥发送给所述无线站的认证方。
在该方法的一些方面,所述第一标识符可以匹配所述第二标识符。在一些方面,所述方法可以包括:至少部分地基于所述序列号来生成下一序列号,以及至少部分地基于所述重新认证密钥和所述下一序列号来导出第三标识符。在一些方面,所述方法可以包括:在所述无线站向所述认证服务器的第二重新认证期间接收第四标识符,将所述第三标识符与所述第四标识符进行比较,以及至少部分地基于所述比较来发送所述第二会话密钥。在该方法的一些方面,所述第三标识符可以匹配所述第四标识符。
在一些方面,该方法可以包括:至少部分地基于标识符标签来导出所述第一标识符。在一些方面,该方法可以包括:当所述第一标识符未能匹配所述第二标识符时发送重新认证失败消息。在该方法的一些方面中,所述重新认证失败消息可以包括指示所述第一标识符和所述第二标识符之间的不匹配的类型长度值(TLV)元素。在该方法的一些方面,所述第一次重新认证可以包括EAP重新认证,所述第一会话密钥可以包括EMSK,所述重新认证密钥可以包括rRK,并且所述第二会话密钥可以包括rMSK。
在第四组说明性示例中,提供了一种用于无线通信的装置。该装置可以包括:处理器;与所述处理器进行电子通信的存储器;以及存储在所述存储器中的指令。所述指令可以可由所述处理器执行以:根据所述重新认证密钥和所述序列号在认证服务器处导出第一标识符,所述重新认证密钥是至少部分地根据所述第一会话密钥导出的;在所述认证服务器处接收第二标识符,所述第二标识符是在无线站向所述认证服务器的第一次重新认证期间接收的;将所述第一标识符与所述第二标识符进行比较;以及至少部分地基于所述比较来将所述第二会话密钥发送给所述无线站的认证方。
在所述装置的一些方面,所述第一标识符可以匹配所述第二标识符。在一些方面,该装置可以包括可由处理器执行以进行如下操作的指令:至少部分地基于所述序列号来生成下一序列号,以及至少部分地基于所述重新认证密钥和所述下一序列号来导出第三标识符。在一些方面,该装置可以包括可由所述处理器执行以进行如下操作的指令:在所述无线站向所述认证服务器的第二次重新认证期间接收第四标识符,将所述第三标识符与所述第四标识符进行比较,以及至少部分地基于所述比较来发送所述第二会话密钥。在所述装置的一些方面,所述第三标识符可以匹配所述第四标识符。
在一些方面,所述装置可以包括可由处理器执行以进行如下操作的指令:至少部分地基于标识符标签来导出所述第一标识符。在一些方面,该装置可以包括可由处理器执行以进行如下操作的指令:当所述第一标识符未能匹配所述第二标识符时发送重新认证失败消息。在所述装置的一些方面,所述重新认证失败消息可以包括指示所述第一标识符和所述第二标识符之间的不匹配的TLV元素。在所述装置的一些方面,所述第一次重新认证可以包括EAP重新认证,所述第一会话密钥可以包括EMSK,所述重新认证密钥可以包括rRK,并且所述第二会话密钥可以包括rMSK。
前面已经相当广泛地概述了根据本公开内容的示例的特征和技术优点,以便可以更好地理解下面的具体实施方式。以下将描述另外的特征和优点。公开的概念和具体示例可以容易地用作修改或设计用于实施本公开内容的相同目的的其它结构的基础。这些等同的结构没有脱离所附权利要求书的范围。当结合附图考虑时,根据下面的描述将更好地理解本文所公开的概念的特征(包括其组织和操作方法)以及相关联的优点。每个附图仅用于说明和描述的目的,而不是作为对权利要求书限制的定义。
附图说明
可以通过参照以下附图来实现对本公开内容的性质和优点的进一步理解。在附图中,类似的组件或特征可以具有相同的附图标记。此外,可以通过在附图标记后跟有破折号和用于区分相似组件的第二标记来区分相同类型的各种组件。如果在说明书中仅使用第一附图标记,则描述适用于具有相同的第一附图标记的相似的组件中的任何一个,而与第二附图标记无关。
图1示出了根据本公开内容的各个方面的无线通信系统的框图;
图2示出了根据本公开内容的各个方面的可用于无线站向认证服务器的认证或重新认证的密钥层级(key hierarchy);
图3示出了根据本公开内容的各个方面的用于无线通信的装置的框图;
图4示出了根据本公开内容的各个方面的用于无线通信的装置的框图;
图5示出了根据本公开内容的各个方面的用于无线通信的无线站的框图;
图6示出了根据本公开内容的各个方面的用于无线通信的装置的框图;
图7示出了根据本公开内容的各个方面的用于无线通信的装置的框图;
图8示出了根据本公开内容的各个方面的用于无线通信的认证服务器的框图;
图9示出了根据本公开内容的各个方面示出无线通信的各方面的泳道图;
图10示出了根据本公开内容的各个方面示出无线通信的各方面的泳道图;
图11示出了根据本公开内容的各个方面示出无线通信的各方面的泳道图;
图12示出了根据本公开内容的各个方面示出用于无线通信的方法的示例的流程图;
图13示出了根据本公开内容的各个方面示出用于无线通信的方法的示例的流程图;
图14示出了根据本公开内容的各个方面示出用于无线通信的方法的示例的流程图;以及
图15示出了根据本公开内容的各个方面示出用于无线通信的方法的示例的流程图。
具体实施方式
当无线站(STA)向认证服务器重新认证(例如,作为站移动性以及经由不同的接入点接入网络的结果)时,可以在在无线站和无线站与认证服务器进行通信所经由的接入点之间建立安全关联之前,将信息从无线站发送给认证服务器(例如,信息可以通过未加密的信道发送)。该信息在某些情况下可以包括EMSKname。截获EMSKname的被动攻击方可以使用EMSKname跟踪与无线站或其用户相关的信息。
为了减轻攻击方截获有用的跟踪信息,在本公开内容中描述的方法、系统、装置和设备使得无线站能够禁止诸如EMSKname之类的标识符在向认证服务器的重新认证期间的传输。代替发送EMSKname以标识重新认证会话,无线站可以发送根据重新认证密钥(例如,rRK)和序列号来导出的标识符。序列号可以是在与认证服务器的相互完全认证期间或作为与认证服务器的相互完全认证的结果来导出的。在生成用于第一重新认证会话的第一标识符时,无线站可以增加序列号,并根据重新认证密钥和下一序列号来导出第二标识符。以这种方式,重新认证会话的每个标识符被用于无线站向认证服务器的单次重新认证。用于重新认证的标识符还使得无线站能够禁止跟踪可以在EMSKname中找到的信息。接收这样的标识符的认证服务器可以根据在无线站与认证服务器之间的先前的相互完全认证期间与无线站共享的信息独立地导出标识符。然后,认证服务器可以将由无线站导出的标识符与由认证服务器导出的标识符进行比较,以确定标识符是否匹配。当标识符匹配时,无线站可以被重新认证,并且认证服务器可以向无线站可以接入网络所经由的接入点提供会话密钥。当标识符不匹配时,认证服务器可以指示重新认证失败,并且可以至少暂时指示接入点拒绝无线站对网络的接入。
以下描述提供了示例,且不限制权利要求书中阐述的范围、适用性或示例。在不脱离本公开内容的范围的情况下,可以对所讨论的元件的功能和布置进行改变。各种示例可以适当地省略、替代或添加各种过程或组件。例如,可以以与所描述的方法相比不同的顺序执行所描述的方法,并且可以添加、省略或组合各种步骤。此外,关于一些示例描述的特征可以在其它示例中组合。
首先参照图1,框图示出了WLAN网络100的示例,诸如例如实现IEEE802.11标准系列中的至少一个的网络。WLAN网络100可以包括接入点(AP)105和无线设备或站(STA)115,诸如,移动站、个人数字助理(PDA)、其它手持设备、上网本、笔记本电脑、平板电脑、笔记本电脑、显示器设备(例如,TV、计算机监视器等)、打印机等。虽然仅示出了一个AP 105,但是WLAN网络100可以具有多个AP 105。无线站115中的每一个也可以称为移动站(MS)、移动设备、接入终端(AT)、用户设备(UE)、订户站(SS)或订户单元,可以经由通信链路120与AP 105相关联和通信。每个AP 105具有地理覆盖区域110,使得该区域内的无线站115通常可以与AP105通信。无线站115可以分散在整个地理覆盖区域110中。每个无线站115可以是固定的或移动的。
尽管在图1中未示出,但是无线站115可以被多于一个AP 105覆盖,因此可以在不同的时间与不同的AP 105相关联。单个AP 105和相关联的一组站可以被称为基本服务集(BSS)。扩展服务集(ESS)是一组连接的BSS。分布系统(DS)(未示出)用于连接扩展服务集中的AP 105。用于接入点105的地理覆盖区域110可以被划分成仅构成覆盖区域的一部分(未示出)的扇区。WLAN网络100可以包括不同类型(例如,城域、家庭网络等)的接入点105,具有大小变化的覆盖区域和针对不同的技术的重叠覆盖区域。虽然未示出,但是其它无线设备可以与AP 105通信。
虽然无线站115可以使用通信链路120通过AP 105彼此通信,但是每个无线站115还可以经由直接无线链路125与其它无线站115直接通信。两个或更多个无线站115可以当两个无线站115都位于AP地理覆盖区域110中时,或者当一个或没有无线站115在AP地理覆盖区域110(未示出)内时,经由直接无线链路125通信。直接无线链路125的示例可以包括Wi-Fi直接连接、通过使用Wi-Fi隧道直接链路设置(TDLS)链路来建立的连接以及其它P2P组连接。这些示例中的无线站115可以根据包括来自IEEE802.11标准的物理和MAC层的WLAN无线电和基带协议及其各种版本(包括但不限于802.11b、802.11g、802.11a、802.11n、802.11ac、802.11ad、802.11ah等)进行通信。在其它实现方式中,可以在WLAN网络100内实现其它对等连接和/或自组织网络。
针对WLAN网络100的隐私可以至少部分地由诸如AP 105之类的AP和认证服务器135或重新认证服务器140来管理。当无线站115首次访问WLAN网络100时,AP 105可以发起无线站115向认证服务器135的认证(例如,完全认证)。当无线站115从经由第一AP接入WLAN网络100转换到经由第二AP(例如,AP 105)接入WLAN网络100时,AP 105可以发起无线站115向重新认证服务器140的重新认证。在一些示例中,认证服务器135可以包括重新认证服务器140或与重新认证服务器140通信,其中重新认证服务器140可以执行针对认证服务器135的重新认证协议的部分或全部。为了本公开内容的目的,认证服务器135和/或重新认证服务器140被单独地或统称为认证服务器135。
无线站115可以包括:站侧重新认证组件130,其管理无线站115和WLAN网络100(例如,AP 105或认证服务器135)之间的无线通信的隐私的各方面。认证服务器135可以包括:服务器侧重新认证组件145,其管理无线站115和WLAN网络100(例如,AP 105或认证服务器135)之间的无线通信的隐私的各方面。在一些示例中,无线站115的站侧重新认证组件130和认证服务器135的服务器侧重新认证组件145可以参与无线站115向认证服务器135的重新认证。在一些示例中,重新认证可以包括可扩展认证协议(EAP)重新认证。
转到图2,示出了根据本公开内容的各个方面的可用于无线站向认证服务器的认证或重新认证或者用于其它目的的示例性密钥层级200。在一些示例中,密钥层级200可以是可用于无线站向认证服务器的Wi-Fi重新认证的EAP-RP密钥层级的示例。在一些示例中,无线站或认证服务器可以是关于图1描述的无线站115或认证服务器135的各方面的相应示例。
密钥层级200的根包括扩展主会话密钥(EMSK)205。根据因特网工程任务组(IETF)请求注释(RFC)3748(RFC 3748),EMSK可以作为无线站和认证服务器之间的相互完全认证的结果而被导出,并可以包括至少64个字节的长度。可以使用EAP会话ID以及二进制或文本指示来命名EMSK 205。EAP Session-ID(EAP会话ID)可以基于所使用的EAP方法。一种示例性的EAP方法是EAP传输层安全(EAP-TLS)。EAP-TLS是在RFC 5216中定义的。根据EAP-TLS,
Key_Material=TLS-PRF-128(RK,“client EAP encryption”,client.random||server random)(即,1024比特的输出)
MSK(主会话密钥)=Key_Material(0,63)(即,Key_Material的高位的512个比特),
EMSK=Key_Material(64,127)(即,Key_Material的低位的512个比特),以及
Session-ID=0x0D||client.random||server.random,
其中client.random和server.random是在相互完全认证期间在认证服务器(AS)和无线站(STA)之间交换的随机数(每个32个字节),并且其中TLS-PRF-X生成X字节的输出(即,8X个比特),如在RFC 4346中定义的。在一些示例中,EMSK可以与到期时间相关联。
根据EMSK导出的密钥可以由EMSK的标识符(例如,EMSKname)和后代密钥使用的上下文指代,其中例外被以信号发送。在一些示例中,EMSKname可以按如下来导出:
EMSKname=KDF(EAP Session-ID,“EMSK”|“\0”|length),其中KDF是密钥导出函数,其中length(长度)可以是8个字节(64个比特)。EMSKname可以是在相互完全EAP认证期间或者作为相互完全EAP认证的结果来导出的,并可以用于无线站向认证服务器的常规重新认证处理过程,直到在无线站和认证服务器之间执行下一相互完全EAP认证为止。
根据EMSK 205导出的密钥可以包括:使用特定的根密钥(USRK)210、域特定的根密钥(DSRK)215或重新认证根密钥(rRK)220。rRK 220(或rDSRK)还可以根据DSRK 215导出。域特定的使用特定的根密钥(DSUSRK)240也可以根据DSRK 215导出。rRK 220可以按如下导出:
rRK=KDF(K,S),
其中K=EMSK或K=DSRK,其中S=rRK Label|“\0”|length,并且其中rRK Label(标签)可以是互联网编号分配机构(IANA)-分配的8比特美国信息交换标准码(ASCII)字符串:EAP Re-authentication Root Key(EAP重新认证根密钥)@ietf.org。
重新认证完整性密钥(rIK)225和重新认证主会话密钥(例如,rMSK1230...rMSKn235)可以根据rRK 220(或rDSRK)导出。rIK 225可以按如下导出:
rIK=KDF(K,S),
其中K=rRK,其中S=rIK Label|“\0”|cryptosuite|length,并且其中rIK Label可以是8比特的ASCII字符串:Re-authentication Integrity Key(重新认证完整性密钥)@ietf.org。
rMSK可以按如下导出:
rMSK=KDF(K,S),
其中K=rRK,其中S=rMSK Label|“\0”|SEQ|length,其中rMSK标签可以是8比特的ASCII字符串:Re-authentication Master Session Key(重新认证主会话密钥)@ietf.org,并且其中SEQ可以是无线站在EAP发起/重新认证发起(或EAP请求/标识)消息中发送的序列号,并可用于重放保护。当执行重新认证时,SEQ可以增加1,并且当导出新的rRK时,SEQ可以初始化为0。
在任何上述导出中,HMAC-SHA-256可以用作默认KDF。
当无线站(例如,作为站移动性的结果)从经由网络中的第一接入点(例如,WLAN网络中的第一接入点)进行通信转换到经由网络中的第二接入点进行通信时,无线站可以向认证服务器重新认证其自身。作为无线站从第一接入点到第二接入点的切换的结果或者由于其它原因,无线站可以经由第一接入点进行通信转换到经由第二接入点进行通信。当无线站使用EAP-RP向认证服务器重新认证时,无线站可以将EMSKname发送给认证服务器。EMSKname可以用于识别重新认证会话和对应的rRK 220。然而,EMSKname是在无线站和接入点之间建立安全关联之前,通过无线信道发送的(即,EMSKname是在没有被加密的情况下(例如,作为纯文本)发送的)。因此,被动攻击方可能截获EMSKname,并使用EMSKname跟踪与无线站或其用户相关的信息。本公开内容描述了系统、方法和装置,在这些系统、方法和装置中,无线站可以禁止EMSK名称在无线站向认证服务器的重新认证期间的传输。
图3示出了根据本公开内容的各个方面的用在用于无线通信的无线站中的装置115-a的框图300。在一些示例中,装置115-a可以是参照图1描述的无线站115的各方面的示例。装置115-a还可以是或包括处理器(未示出)。装置115-a可以包括:接收机305、站侧重新认证组件310和/或发射机315。这些组件中的每一个可以彼此通信。
装置115-a通过接收机305、站侧重新认证组件310和/或发射机315可以执行本文描述的功能。例如,装置115-a可以管理向认证服务器重新认证包括装置115-a的无线站的各方面。
装置115-a的组件可以单独地或集体地使用适用于在硬件中执行某些或全部可应用功能的专用集成电路(ASIC)来实现。或者,功能可以由集成电路上的其它处理单元(或核)执行。在其它示例中,可以使用其它类型的集成电路(例如,结构化/平台ASIC、现场可编程门阵列(FPGA)和其它半定制IC),其可以以本领域已知的任何方式编程。每个组件的功能也可以全部或部分地用包含在存储器中的指令来实现,该指令可以被格式化为由通用或专用处理器执行。
接收机305可以接收诸如与各种信息信道(例如,控制信道、数据信道等)相关联的分组、用户数据和/或控制信息的信息。接收机305可以在包括装置115-a的无线站向认证服务器的重新认证期间从接入点接收信号、消息等。信息可以被传递到站侧重新认证组件310和到装置115-a的其它组件。
站侧重新认证组件310可以监测、管理或以其它方式执行与向认证服务器重新认证包括装置115-a的无线站的各方面相关的功能。站侧重新认证组件310可以根据重新认证密钥和序列号(并且在某些情况下,根据标识符标签)导出第一标识符。可以至少部分地根据第一会话密钥导出重新认证密钥。第一会话密钥可以是在包括装置115-a的无线站和认证服务器之间的相互完全认证期间或作为该相互完全认证的结果而导出的。
站侧重新认证组件310还可以向认证方(例如,接入点)发送第一标识符和域名。第一标识符和域名可以是在无线站向认证服务器的第一次重新认证期间发送的,并且可以经由接收机315发送。可以在第一次重新认证期间禁止第一会话密钥的名称的传输。在一些示例中,第一标识符可以用于包括装置115-a的无线站向认证服务器的单次重新认证。
在一些实施例中,由站侧重新认证组件310执行的重新认证(例如,第一次重新认证)可以包括Wi-Fi重新认证。在这些实施例中,重新认证可以包括EAP重新认证,第一会话密钥可以包括EMSK,并且重新认证密钥可以包括rRK。
发射机315可以发送从装置115-a的其它组件接收的信号。发射机315可以发送向认证服务器重新认证包括装置115-a的无线站相关联的各种信号、消息等。在一些示例中,发射机315可以与收发机组件中的接收机305并置。发射机315可以包括单个天线或多个天线。
图4示出了根据本公开内容的各个方面的用在用于无线通信的无线站中的装置115-b的框图400。装置115-b可以是参照图1描述的无线站115的各方面的示例。其也可以是参照图3描述的装置115-a的示例。装置115-b可以包括接收机305a、站侧重新认证组件310-a和/或发射机315-a,其可以是装置115-a的对应组件的示例。装置115-b还可以包括处理器(未示出)。这些组件中的每一个可以彼此通信。站侧重新认证组件310-a可以包括重新认证发起管理组件405、标识符导出组件410、重新认证信息传输组件415或重新认证失败管理组件420。接收机305-a和发射机315-a可以分别执行图3的接收机305和发射机315的功能。
重新认证发起管理组件405可以监测、管理或以其它方式执行与发起EAP重新认证相关的功能。EAP重新认证可以包括包括装置115-b的无线站向认证服务器的重新认证。在一些方面,重新认证发起管理组件405可以从包括装置115-b的无线站已被切换到的接入点(或者从包括装置115-b的无线站尝试接入网络所经由的接入点)接收EAP发起/重新认证开始(或EAP请求/标识)消息。
在一些方面,标识符导出组件410可以管理导出可用于重新认证的标识符的各方面。在一些示例中,标识符导出组件410可以根据重新认证密钥(例如,rRK)、序列号(SEQ)和标识符标签来导出标识符(例如,rRKname)。例如,标识符可以使用下面的公式来导出:
rRKname=KDF(rRK,rRKname Label|“\0”|SEQ|length)其中rRKname Label=“keyName”,其中SEQ是序列号,例如在用于重放保护的rMSK导出中定义的序列号,并且其中length=8字节(即8个八比特字节)。rRK可以至少部分地根据第一会话密钥(例如,EMSK)导出。第一会话密钥可以是在包括装置115-b的无线站和认证服务器之间的相互完全认证期间或作为该相互完全认证的结果来导出的。可以使用用于rRKname的KDF和第一序列号(例如,SEQ=SEQ1)来导出第一标识符;可以使用用于rRKname的KDF和第二序列号(例如SEQ2=SEQ1+1)来导出第二标识符;等等。
重新认证信息传输组件415可以在包括装置115-b的无线站向认证服务器的重新认证期间管理或以其它方式执行与向认证方(例如,接入点)发送标识符和域名相关的功能。例如,重新认证信息传输组件415可以在无线站向认证服务器的第一次重新认证期间向认证方发送第一标识符和域名,并且可以在再次尝试完成第一次重新认证期间(或在无线站向认证服务器的第二次重新认证期间)向认证方发送第二标识符和域名。在再次尝试完成第一次认证期间和/或在第二次重新认证期间,可以禁止第一会话密钥的名称的传输。由标识符导出组件410导出的每个标识符可以由重新认证信息传输组件415发送一次(例如,在为向认证服务器重新认证包括装置115-b的无线站的单次尝试期间使用的)。
重新认证失败管理组件420可以单独地或与装置115-b的其它组件协作地管理重新认证失败。例如,响应于接收到重新认证失败消息,重新认证失败管理组件420可以使重新认证信息传输组件415发送基于下一序列号(例如,加一后的序列号)的标识符。替代地,重新认证失败管理组件420可以指示向认证服务器重新认证的失败和/或触发与认证服务器的相互完全认证。
转到图5,示出了图500,其示出能够执行向认证服务器的重新认证的无线站115-c。无线站115-c可以具有各种配置,并且可以包括如下各项或者是如下各项的部分:个人计算机(例如,膝上型计算机、上网本计算机、平板计算机等)、蜂窝电话、PDA、数字录像机(DVR)、互联网设备、游戏机、电子阅读器等。无线站115-c可以具有诸如小型电池的内部电源(未示出),以便于移动操作。无线站115-c可以是图1、3和4的无线站115和/或装置115的示例。
无线站115-c可以包括处理器505、存储器515、收发机535、天线540、站侧重新认证组件310-b和通信管理组件510。站侧重新认证组件310-b可以是图3或4的站侧重新认证组件310的示例。这些组件中的每一个可以通过至少一个总线545直接或间接地彼此通信。
存储器515可以包括随机存取存储器(RAM)或只读存储器(ROM)。存储器515可以存储包含指令的计算机可读的计算机可执行软件(SW)代码520,所述指令在被执行时使得处理器505执行本文描述的用于向认证服务器重新认证无线站115-c的各种功能。替代地,软件代码520可以不是由处理器505直接执行,而是使计算机(例如,当被编译和执行时)执行本文所述的功能。
处理器505可以包括智能硬件设备,例如中央处理单元(CPU)、微控制器、ASIC等。处理器505可以处理通过收发机535接收的和/或要发送到收发机535用于通过天线540进行传输的信息。处理器505可以单独地或与站侧重新认证组件310-b结合地处理向认证服务器重新认证无线站115-c的各方面。
收发机535可以与图1所示的至少一个AP 105、或与图1、3和4所示的其它无线站115、移动设备和/或装置双向通信。在一些示例中,收发机535可以被实现为至少一个发射机组件和至少一个分开的接收机组件。收发机535可以包括:调制解调器,用以调制分组并将调制的分组提供给天线540用于传输,并且用以解调从天线540接收的分组。虽然无线站115-c可以包括单个天线,但是可以存在这样的方面,在这些方面中无线站115-c可以包括多个天线540。
根据图5的架构,无线站115-c还可以包括通信管理组件510。通信管理组件510可以管理与各种接入点105-a、无线站115-d等的通信。通信管理组件510可以是无线站115-c的通过至少一个总线545与无线站115-c的一些或所有其它组件通信的组件。替代地,通信管理组件510的功能可以实现为收发机的组件535、实现为计算机程序产品、和/或实现为处理器505的至少一个控制器元件。
无线站115-c的组件可以实现上面关于图1、3和4讨论的各方面,并且为简洁起见,这些方面在本文可以不重复。
图6示出了根据本公开内容的各个方面的用在认证服务器中的装置135-a的框图600。在一些示例中,装置135-a可以是参照图1描述的认证服务器135的各方面的示例。装置135-a还可以是或包括处理器(未示出)。装置135-a可以包括接收机605、服务器侧重新认证组件610和/或发射机615。这些组件中的每一个可以彼此通信。
装置135-a通过接收机605、服务器侧重新认证组件610和/或发射机615可以执行本文所述的功能。例如,装置135-a可以管理向包括装置135-a的认证服务器重新认证无线站的各方面。
装置135-a的组件可以单独地或集体地使用适于在硬件中执行一些或全部可应用的功能的ASIC来实现。或者,功能可以由集成电路上的其它处理单元(或核)执行。在其它示例中,可以使用其它类型的集成电路(例如,结构化/平台ASIC、FPGA和其它半定制IC),其可以以本领域已知的任何方式编程。每个组件的功能也可以全部或部分地用包含在存储器中的指令来实现,该指令可以被格式化为由通用或专用处理器执行。
接收机605可以接收诸如与各种信息信道(例如,控制信道、数据信道等)相关联的分组、用户数据和/或控制信息的信息。在无线站向包括装置135-a的认证服务器的重新认证期间,接收机605可以从接入点接收信号、消息等。信息可以被传递给服务器侧重新认证组件610和给装置135-a的其它组件。
服务器侧重新认证组件610可以监测、管理或以其它方式执行与向认证服务器重新认证包括装置115-a的无线站的各方面相关的功能。服务器侧重新认证组件610可以根据重新认证密钥和序列号(以及在某些情况下,根据标识符标签)导出第一标识符。可以至少部分地根据第一会话密钥导出重新认证密钥。第一会话密钥可以是在无线站和包括装置135-a的认证服务器之间的相互完全认证期间或作为该相互完全认证的结果而导出的。
服务器侧重新认证组件610还可以接收第二标识符。可以在无线站向包括装置135-a的认证服务器的第一次重新认证期间接收第二标识符。在一些示例中,第二标识符可以用于无线站向包括装置135-a的认证服务器的单次重新认证。在一些示例中,第二标识符可以是经由认证方(例如,接入点)在认证服务器处接收的。
此外,服务器侧重新认证组件610可以将第一标识符与第二标识符进行比较。然后,服务器侧重新认证组件610可以至少部分地基于比较来发送第二会话密钥。例如,当第一标识符匹配第二标识符时,服务器侧重新认证组件610可以将第二会话密钥发送给从无线站接收第二标识符所经由的认证方(例如,接入点)。
在一些实施例中,由服务器侧重新认证组件610执行的重新认证(例如,第一次重新认证)可以包括Wi-Fi重新认证。在这些实施例中,重新认证可以包括EAP重新认证,第一会话密钥可以包括EMSK,重新认证密钥可以包括rRK,并且第二会话密钥可以包括rMSK。
发射机615可以发送从装置135-a的其它组件接收的信号。发射机615可以发送与向包括装置135-a的认证服务器重新认证无线站相关联的各种信号、消息等。在一些示例中,发射机615可以与收发机组件中的接收机605并置。发射机615可以包括单个天线或多个天线。
图7示出了根据本公开内容的各个方面的用在用于无线通信的认证服务器中的装置135-b的框图700。装置135-b可以是参照图1描述的认证服务器135的示例。其也可以是参照图6描述的装置135-a的示例。装置135-b可以包括接收机605-a、服务器侧重新认证组件610-a和/或发射机615-a,其可以是装置135-a的对应组件的示例。装置135-b还可以包括处理器(未示出)。这些组件中的每一个可以彼此通信。服务器侧重新认证组件610-a可以包括标识符导出组件705、重新认证信息接收组件710、重新认证管理组件715、重新认证信息传输组件720或重新认证失败管理组件725。接收机605-a和发射机615-a可以分别执行图6的接收机605和发射机615的功能。
在一些方面,标识符导出组件705可以管理导出可用于重新认证的标识符的各方面。在一些示例中,标识符导出组件705可以根据重新认证密钥(例如,rRK)、序列号(SEQ)和标识符标签来导出标识符(例如,rRKname)。例如,可以使用关于图4描述的针对rRKname的公式来导出标识符。可以至少部分地根据第一会话密钥(例如,EMSK)来导出重新认证密钥(rRK)。第一会话密钥可以是在无线站和包括装置115-b的认证服务器之间的相互完全认证期间或作为该相互完全认证的结果而导出的。可以使用用于rRKname的KDF和第一序列号(例如,SEQ=SEQ1)来导出第一标识符;可以使用用于rRKname的KDF和第二序列号(例如,SEQ2=SEQ1+1)来导出第二标识符;等等。
重新认证信息接收组件710可以管理或以其它方式执行与在无线站向包括装置135-b的认证服务器的重新认证期间接收标识符相关的功能。例如,重新认证信息接收组件710可以在无线站向认证服务器的第一次重新认证期间从无线站接收第一标识符,并且可以在为完成第一次重新认证的再次尝试期间(或在无线站向认证服务器的第二次重新认证期间)从无线站接收第二标识符。标识符可以是经由认证方(例如,接入点)从无线站接收的。
在一些方面,重新认证管理组件715可以管理或以其它方式执行与重新认证无线站相关的功能。例如,重新认证管理组件715可以将从无线站接收的标识符与由装置135-b导出的标识符进行比较。除了在无线站和包括装置135-b的认证服务器之间的相互完全认证期间或作为该相互完全认证的结果而交换密钥信息之外,无线站和装置135-b还可以同步其序列号的生成。当从无线站接收的标识符匹配由装置135-b导出的标识符时,重新认证管理组件715可以使重新认证信息传输组件720发送第二会话密钥。第二会话密钥可以被发送给接收从无线站接收的标识符所经由的认证方(例如,接入点)。
重新认证失败管理组件725可以单独地或与装置135-b的其它组件协作地管理重新认证失败。例如,当从无线站接收的标识符未能匹配由装置135-b导出的标识符时,重新认证失败管理组件725可以发送重新认证失败消息(例如,如由RFC 6696定义的)。重新认证失败消息可以包括指示标识符之间的不匹配的类型长度值(TLV)元素。重新认证失败消息可以被发送给从其接收到不匹配标识符的无线站。可以经由接入点将重新认证失败消息发送给无线站,其中不匹配标识符是通过该接入点由装置135-b接收的。由于装置135-b不能匹配标识符,重新认证失败消息的传输可能不是完整性受保护的(例如,装置135-b可能不能定位与rRK相对应的rIK)。
转到图8,示出了图800,其示出了能够执行无线站的重新认证的认证服务器135-c。认证服务器135-c可以是图1、6和7的认证服务器135和/或装置135的示例。认证服务器135-c可以包括处理器810、存储器820、收发机830、天线840和服务器侧重新认证组件610-b。服务器侧重新认证组件610-b可以是图6或7的服务器侧重新认证组件610的示例。在一些示例中,认证服务器135-c还可以包括AP/基站通信组件860。这些组件中的每一个可以通过至少一个总线805直接或间接地彼此通信。
存储器820可以包括RAM或ROM。存储器820还可以存储包含指令的计算机可读的计算机可执行的SW代码825,该指令在被执行时使得处理器810执行本文描述的用于向认证服务器135-c重新认证无线站的各种功能。替代地,软件代码825可能不可由处理器810直接执行,而是使计算机(例如,当被编译和执行时)执行本文所述的功能。
处理器810可以包括智能硬件设备,例如CPU、微控制器、ASIC等。处理器810可以处理通过收发机830和/或AP/基站通信组件860接收的信息。处理器810还可以处理要发送到收发机830用于通过天线840和/或AP/基站通信组件860进行传输的信息。处理器810可以单独地或与服务器侧重新认证组件610-b结合地处理与无线台的重新认证相关的各个方面。
收发机830可以包括:调制解调器,用以调制分组并将调制的分组提供给天线840用于传输,并且用以解调从天线840接收的分组。收发机830可以实现为至少一个发射机组件以及至少一个分开的接收机组件。收发机830可以经由天线840与诸如关于图1描述的接入点105的至少一个接入点105双向地通信。认证服务器135-c通常可以包括多个天线840(例如,天线阵列)。认证服务器135-c可以使用AP/基站通信组件860与AP/基站(诸如接入点/基站105-b或接入点/基站105-c)通信。
认证服务器135-c的组件可以实现上面关于图1、6和7讨论的各方面,为简洁起见,这些方面在本文可以不重复。
图9是根据本公开内容的各个方面示出无线通信的各方面的泳道图900。图900可以示出参照图1描述的WLAN网络100的各方面。图900包括无线站(STA)115-e、接入点(AP)105-d和认证服务器(AS)135-d。无线站115-e可以是上面关于图1和3-5描述的无线站115和/或装置115中的至少一个的示例。接入点105-d可以是上面关于图1、5和8描述的接入点105中的至少一个的示例。认证服务器135-d可以是上面关于图1和6-8描述的认证服务器135和/或装置135中的至少一个的示例。通常,图900示出了向认证服务器135-d重新认证无线站115-e的各方面。在一些示例中,诸如无线站115、装置115、接入点105、认证服务器135和/或装置135中的一个的系统设备可以执行代码集以控制设备的功能元件执行如下描述的功能的一些或全部。
在框905,无线站115-e可以根据重新认证密钥和序列号在无线站处导出第一标识符。可以至少部分地根据第一会话密钥导出重新认证密钥。
在910,无线站115-e可以向接入点105-d(例如,一种类型的认证方)发送第一标识符和域名。可以在无线站115-e向认证服务器135-d的第一次重新认证期间发送第一标识符和域名。可以在第一次重新认证期间禁止第一会话密钥的名称的传输。在一些示例中,接入点105-d可以使用域名来识别认证服务器135-d,并且可以将第一标识符作为Radius-Access-Request(Radius接入请求)915的一部分发送给认证服务器135-d。在一些示例中,第一次重新认证可以包括Wi-Fi重新认证。
图10是示出根据本公开内容的各个方面的无线通信的各方面的泳道图1000。图1000可以示出参照图1描述的WLAN网络100的各方面。图1000包括无线站(STA)115-f、接入点(AP)105-e和认证服务器(AS)135-e。无线站115-f可以是上面关于图1、3-5和9描述的无线站115和/或装置115中的至少一个的示例。接入点105-e可以是上面参照图1、5、8和9描述的接入点105中的至少一个的示例。认证服务器135-e可以是以上关于图1和6-9描述的认证服务器135和/或装置135中的至少一个的示例。通常,图1000示出了向认证服务器135-e重新认证无线站115-f的各方面。在一些示例中,诸如无线站115、装置115、接入点105、认证服务器135和/或装置135中的一个的系统设备可以执行代码集以控制设备的功能元件执行如下描述的功能的一些或全部。
在1005,接入点105-e可以请求无线站115-f的标识。在一些示例中,接入点105-e可以在无线站115-f切换到接入点105-e时或在无线站115-f尝试经由接入点105-e接入网络或服务时请求无线站115-f的标识。
在框1010,无线站115-f可以根据第一重新认证密钥和第一序列号在无线站处导出第一标识符。可以至少部分地根据第一会话密钥导出第一重新认证密钥。
在1015处,响应于对其标识的请求,无线站115-f可以向接入点105-e(例如,一种类型的认证方)发送第一标识符和域名。可以在无线站115-f向认证服务器135-e的第一次重新认证期间发送第一标识符和域名。可以在第一次重新认证期间禁止第一会话密钥的名称的传输。在一些示例中,接入点105-e可以使用域名来识别认证服务器135-e,并且可以在1020处将第一标识符作为Radius-Access-Request消息的一部分发送给认证服务器135-e。
在框1025,认证服务器135-e可以根据第二重新认证密钥和第二序列号导出第二标识符。可以至少部分地根据第二会话密钥导出第二重新认证密钥。如果无线站115-f先前完成了与认证服务器135-e的相互完全认证,则第一重新认证密钥和第二重新认证将相同,第一会话密钥和第二会话密钥将是相同,并且第一序列号和第二序列号将相同。
在框1030,认证服务器135-e可以将第一标识符与第二标识符进行比较,并确定第一标识符匹配第二标识符。
在1035,认证服务器135-e可以向接入点105-e发送第三会话密钥。在一些示例中,认证服务器135-e可以将第三会话密钥作为Radius-Access-Accept(Radius接入接受)消息的一部分发送给接入点105-e。
在框1040和1045,并且至少部分地基于接入点对第三会话密钥的接收,接入点105-e和无线站115-f可以完成第一次重新认证。
在框1050,无线站115-f可以至少部分地基于第一序列号来生成下一序列号(例如,第三序列号)。在框1055,无线站115-f可以至少部分地基于第一重新认证密钥和第三序列号来导出第三标识符。可以在无线站115-f向认证服务器135-e的第二次重新认证期间,将第三标识符和域名发送给认证服务器135-e。在一些示例中,可以经由接入点105-e之外的接入点来执行第二重新认证。也可以在第二次重新认证期间禁止第一会话密钥的名称的传输。
在框1060,认证服务器135-e至少部分地基于第二序列号来生成下一序列号(例如,第四序列号)。在框1065,认证服务器135-e可以至少部分地基于第二重新认证密钥和第四序列号来导出第四标识符。如果发起了第二次重新认证,则认证服务器135-e可以从无线站115-f接收第三标识符,并将第三标识符与第四标识符进行比较。
图11是根据本公开内容的各个方面示出无线通信的各方面的泳道图1100。图1100可以示出参照图1描述的WLAN网络100的各方面。图1100包括无线站(STA)115-g、接入点(AP)105-f和认证服务器(AS)135-f。无线站115-g可以是以上关于图1、3-5、9和10描述的无线站115和/或装置115中的至少一个的示例。接入点105-f可以是以上关于图1、5和8-10描述的接入点105中的至少一个的示例。认证服务器135-f可以是以上关于图1和6-10描述的认证服务器135和/或装置135中的至少一个的示例。通常,图1100示出了向认证服务器135-f重新认证无线站115-g的各方面。在一些示例中,诸如无线站115、装置115、接入点105、认证服务器135和/或装置135中的一个的系统设备可以执行代码集以控制设备的功能元件来执行如下描述的功能的一些或全部。
在1105,接入点105-f可以请求无线站115-g的标识。在一些示例中,接入点105-f可以在无线站115-g切换到接入点105-f时或在无线站115-g尝试经由接入点105-f接入网络或服务时请求无线站115-f的标识。
在框1110,无线站115-g可以根据第一重新认证密钥和第一序列号在无线站处导出第一标识符。可以至少部分地根据第一会话密钥导出第一重新认证密钥。
在1115,响应于对其标识的请求,无线站115-g可以向接入点105-f(例如,一种类型的认证方)发送第一标识符和域名。可以在无线站115-g向认证服务器135-f的第一次重新认证期间发送第一标识符和域名。可以在第一次重新认证期间禁止第一会话密钥的名称的传输。在一些示例中,接入点105-f可以使用域名来识别认证服务器135-e,并且可以在1120将第一标识符作为Radius-Access-Request消息的一部分发送给认证服务器135-f。
在框1125,认证服务器135-f可以根据第二重新认证密钥和第二序列号导出第二标识符。可以至少部分地从第二会话密钥导出第二重新认证密钥。如果无线站115-g先前已经完成与认证服务器135-f的相互完全认证,则第一重新认证密钥和第二重新认证将相同,第一会话密钥和第二会话密钥将相同,并且第一序列号和第二序列号将相同。
在框1130,认证服务器135-f可以将第一标识符与第二标识符进行比较,并且确定第一标识符不匹配第二标识符。
在1135,认证服务器135-f可以经由接入点105-f向无线站115-g发送重新认证失败消息。重新认证失败消息可以包括指示第一标识符和第二标识符之间的不匹配的TLV元素。由于认证服务器135-f不能匹配标识符,所以重新认证失败消息的传输可能不是完整性受保护的(例如,认证服务器135-f可能无法找到对应于rRK的rIK)。
在框1140,无线站115-g至少部分地基于第一序列号来生成下一序列号(例如,第三序列号)。在框1145,无线站115-g可以至少部分地基于第一重新认证密钥和第三序列号来导出第三标识符。在1150,无线站115-g可以在为执行第一次重新认证的第二次尝试中将第三标识符和域名发送给接入点105-f。在一些示例中,接入点105-f可以在1155处将第三标识符作为第二Radius-Access-Request消息的一部分发送给认证服务器135-f。替代地(例如,对1140、1145、1150和1155而言替代地),无线站115-g可以指示重新认证的失败和/或触发无线站115-g与认证服务器135-f的相互完全认证。
在框1160,认证服务器135-f可以将第三标识符与第二标识符进行比较。当第三标识符匹配第二标识符时,认证服务器135-f可以在1165向接入点105-f发送第三会话密钥。在一些示例中,认证服务器135-f可以将第三会话密钥作为Radius-Access-Accept消息的一部分发送给接入点105-f。
在框1170和1175处,并且至少部分地基于接入点对第三会话密钥的接收,接入点105-f和无线站115-g可以完成第一次重新认证。
当第三标识符不匹配第二标识符时,认证服务器135-f可以经由接入点105-f向无线站115-g发送第二重新认证失败消息。第二重新认证失败消息可以触发为执行第一次重新认证的另一次尝试,或触发无线站115-g向认证服务器135-f的完全认证的发起。
图12是示出根据本公开内容的各个方面的用于无线通信的方法1200的示例的流程图。为了清楚起见,下面参照参照图1、5和9-11描述的无线站的各方面、参照图3和4描述的装置的各方面来描述方法1200。在一些示例中,无线站可以执行代码集以控制无线站的功能元件以执行下面描述的功能。另外或替代地,无线站可以使用专用硬件来执行下面描述的功能。
在框1205,方法1200可以包括:根据重新认证密钥和序列号来在无线站处导出第一标识符。可以至少部分地根据第一会话密钥导出重新认证密钥。在框1210,方法1200可以包括:向认证方(例如,接入点)发送第一标识符和域名。可以在无线站向认证服务器的第一次重新认证期间发送第一标识符和域名。可以在第一次重新认证期间禁止第一会话密钥的名称的传输。在一些示例中,方法1200可以包括使用第一标识符用于无线站向认证服务器的单次重新认证。在一些示例中,第一次重新认证可以包括Wi-Fi重新认证。
可以使用参照图3-5描述的站侧重新认证组件310来执行框1205和1210的操作。
因此,方法1200可以提供无线通信。应当注意,方法1200仅仅是一种实现方式,并且方法1200的操作可以重新排列或以其它方式进行修改,使得其它实现方式是可能的。
图13是示出根据本公开内容的各个方面的用于无线通信的方法1300的示例的流程图。为了清楚起见,下面参照参照图1、5和9-11描述的无线站的各方面、参照图3和4描述的装置的各方面来描述方法1300。在一些示例中,无线站可以执行代码集以控制无线站的功能元件以执行下面描述的功能。另外或替代地,无线站可以使用专用硬件来执行下面描述的功能。
在框1305,方法1300可以包括:根据重新认证密钥和序列号来在无线站处导出第一标识符。可以至少部分地根据第一会话密钥导出重新认证密钥。在框1310,方法1300可以包括:向认证方(例如,接入点)发送第一标识符和域名。可以在无线站向认证服务器的第一次重新认证期间发送第一标识符和域名。可以在第一次重新认证期间禁止第一会话密钥的名称的传输。在一些示例中,方法1300可以包括:使用第一标识符用于无线站向认证服务器的单次重新认证。在一些示例中,第一次重新认证可以包括Wi-Fi重新认证。
在框1315,方法1300可以包括:至少部分地基于序列号来生成下一序列号。在框1320,方法1300可以包括:至少部分地基于重新认证密钥和下一序列号来导出第二标识符。
在框1325处,并且在第一可选流程中,方法1300可以包括:接收重新认证失败消息。可以在第一次重新认证失败时接收重新认证失败消息。在框1330,方法1300可以包括:响应于接收重新认证失败消息来发送第二标识符和域名。在一些示例中,可以在框1325接收重新认证失败消息之后,生成/导出在框1315生成的下一序列号或者在框1320导出的第二标识符。
在框1335处,并且在第二可选流程中,方法1300可以包括:在无线站向认证服务器的第二次重新认证期间发送第二标识符和域名。在一些示例中,第一次重新认证可以涉及经由第一认证方(例如,第一接入点)将第一标识符和域名发送给认证服务器,第二次重新认证可以涉及经由第二认证方(例如,第二接入点)向认证服务器发送第二标识符和域名。
可以当在框1330处对重新认证失败消息做出响应时、或者在框1335的第二次重新认证期间,禁止第一会话密钥的名称的传输。在一些示例中,方法1300可以包括使用第一标识符和第二标识符中的每一个用于为向认证服务器重新认证无线站的单次尝试。
框1305、1310、1315、1320、1325、1330和1335的操作可以使用参照图3-5描述的站侧重新认证组件310来执行。
因此,方法1300可以提供无线通信。应当注意,方法1300仅仅是一个实现方式,并且方法1300的操作可以被重新排列或以其它方式修改,使得其它实现方式是可能的。
图14是示出根据本公开内容的各个方面的用于无线通信的方法1400的示例的流程图。为了清楚起见,下面参照参照图1和8-11描述的认证服务器的各方面、参照图5和6描述的装置的各方面来描述方法1400。在一些示例中,认证服务器可以执行代码集以控制认证服务器的功能元件来执行下面描述的功能。另外或替代地,认证服务器可以使用专用硬件来执行下面描述的功能。
在框1405,方法1400可以包括:根据重新认证密钥和序列号在认证服务器处导出第一标识符。可以至少部分地根据第一会话密钥导出重新认证密钥。在框1410,方法1400可以包括:在认证服务器处接收第二标识符。可以在无线站向认证服务器的第一次重新认证期间接收第二标识符。在框1415,方法1400可以包括:将第一标识符与第二标识符进行比较。在框1420,方法1400可以包括:至少部分地基于比较来发送第二会话密钥。例如,当第一标识符匹配第二标识符时,第二会话密钥可以被发送给接收第二标识符所经由的认证方(例如,接入点)。在一些示例中,重新认证可以包括Wi-Fi重新认证。
框1405、1410、1415和1420的操作可以使用参照图6-8描述的服务器侧重新认证组件610来执行。
因此,方法1400可以提供无线通信。应当注意,方法1400仅仅是一种实现方式,并且方法1400的操作可以重新排列或以其它方式进行修改,使得其它实现方式是可能的。
图15是示出根据本公开内容的各个方面的用于无线通信的方法1500的示例的流程图。为了清楚起见,下面参照参照图1和8-11描述的认证服务器的各方面、参照图6和7描述的装置的各方面来描述方法1500。在一些示例中,认证服务器可以执行代码集以控制认证服务器的功能元件执行下面描述的功能。另外或替代地,认证服务器可以使用专用硬件来执行下面描述的功能。
在框1505,方法1500可以包括:根据重新认证密钥和序列号在认证服务器处导出第一标识符。可以至少部分地根据第一会话密钥导出重新认证密钥。在框1510,方法1500可以包括:在认证服务器处接收第二标识符。可以在无线站向认证服务器的第一次重新认证期间接收第二标识符。在框1515,方法1500可以包括:将第一标识符与第二标识符进行比较。在一些示例中,重新认证可以包括Wi-Fi重新认证。
在框1520,方法1500可以包括:确定第一标识符是否匹配第二标识符。当第一标识符与第二标识符匹配时,方法1500可以在框1525处继续。当第一标识符与第二标识符不匹配时,方法1500可以在框1555继续。
在框1525,方法1500可以包括:至少部分地基于比较来发送第二会话密钥。第二会话密钥可以被发送到从无线站接收第二标识符所经由的认证方(例如,接入点)。
在框1530,方法1500可以包括:至少部分地基于序列号来生成下一序列号。在框1535,方法1500可以包括:至少部分地基于重新认证密钥和下一序列号来导出第三标识符。
在框1540,方法1500可以包括:在无线站向认证服务器的第二次重新认证期间接收第四标识符。在框1545,方法1500可以包括:将第三标识符与第四标识符进行比较。在框1550,方法1500可以包括:至少部分地基于比较来发送第二会话密钥。例如,当第三标识符与第四标识符匹配时,第二会话密钥可以被发送给从无线站接收第四标识符所经由的认证方(例如,接入点)。在一些示例中,第一次重新认证可以包括经由第一接入点从无线站接收第二标识符,第二次重新认证可以涉及经由第二接入点从无线站接收第四标识符。
在框1555,方法1500可以包括:当第一标识符未能匹配第二标识符时发送重新认证失败消息。重新认证失败消息可以包括指示第一标识符和第二标识符之间的不匹配的TLV元素。在框1560,方法1500可以包括:在无线站为执行第一次重新认证的第二次尝试期间接收第四标识符。在框1565,方法1500可以包括:将第三标识符与第四标识符进行比较。在框1570,方法1500可以包括:至少部分地基于比较来发送第二会话密钥。例如,当第三标识符匹配第四标识符时,第二会话密钥可以被发送给从无线站接收第四标识符所经由的认证方(例如,接入点)。
框1505、1510、1515、1520、1525、1530、1535、1540、1545、1550、1555、1560、1565和1570的操作可以使用参照图6-8描述的服务器侧重新认证组件610来执行。
因此,方法1500可以提供无线通信。应当注意,方法1500仅仅是一个实现方式,并且方法1500的操作可以被重新排列或以其它方式修改,使得其它实现方式是可能的。
在一些示例中,来自方法1200和1300的各方面可以组合,或者来自方法1400和1500的各方面可以组合。应当注意,方法1200、1300等仅仅是示例性实现方式,并且方法1200-1500的操作可以被重新排列或以其它方式修改,使得其它实现方式是可能的。
上面结合附图阐述的具体实施方式描述了示例,并且不表示可以实现的或者在权利要求书的范围内的唯一示例。当在本说明书中使用时,术语“示例的”和“示例性的”表示“用作示例、实例或说明”,而不是“优选的”或“优于其它示例”。具体实施方式包括为提供对所述技术的理解的目的的具体细节。然而,这些技术可以在没有这些具体细节的情况下实行。在一些情况下,以框图的形式示出了众所周知的结构和装置,以避免模糊所述示例的概念。
信息和信号可以使用各种不同的技术和技术中的任何一种来表示。例如,可以在上述描述中引用的数据、指令、命令、信息、信号、比特、符号和码片可以由电压、电流、电磁波、磁场或粒子、光场或粒子或其任何组合来表示。
可以使用被设计用于执行本文所述功能的通用处理器、数字信号处理器(DSP)、ASIC、FPGA或其它可编程逻辑器件、分立门或晶体管逻辑、分立硬件组件或其任何组合来实现或执行结合本文公开内容描述的各种说明性框和组件。通用处理器可以是微处理器,但是替代地,处理器可以是任何常规的处理器、控制器、微控制器或状态机。处理器还可以被实现为计算设备的组合,例如DSP和微处理器的组合、多个微处理器、与DSP核结合的微处理器、或任何其它此类配置。
本文描述的功能可以以硬件、由处理器执行的软件、固件或其任何组合来实现。如果在由处理器执行的软件中实现,则这些功能可以作为计算机可读介质上的指令或代码来存储或传输。其它示例和实现方式在本公开内容和所附权利要求书的范围内。例如,由于软件的性质,可以使用由处理器、硬件、固件、硬连线或这些中的任何种的组合执行的软件来实现上述功能。实现功能的特征还可以物理地位于各种位置,包括被分布成使得各部分功能在不同的物理位置实现。如本文所用地,包括在权利要求书中,术语“和/或”当用在两个或更多个项目的列表中时,表示所列项目中的任何一个可以单独使用、或者所列项目中的两个或多个的任何组合可以使用。例如,如果组合物被描述为含有组件A、B和/或C,则组合物可以含有:仅A;仅B;仅C;组合的A和B;组合的A和C;组合的B和C;或组合的A、B和C。此外,如本文所使用地,在权利要求书中包括地,在项目列表(例如,以诸如“至少一个”或“一个或多个”的短语开头的项目列表)中使用的“或”指示选择性列表,使得例如“A、B或C中的至少一个”的列表表示A或B或C或AB或AC或BC或ABC(即,A和B和C)。
计算机可读介质包括计算机存储介质和通信介质,通信介质包括便于将计算机程序从一个地方传送到另一个地方的任何介质。存储介质可以是可由通用或专用计算机访问的任何可用介质。作为示例而非限制,计算机可读介质可以包括RAM、ROM、EEPROM、闪存、CD-ROM或其它光盘存储器、磁盘存储器或其它磁存储设备、或可以用于以指令或数据结构的形式携带或存储期望的程序代码单元并且可以由通用或专用计算机或者通用或专用处理器访问的任何其它介质。而且,任何连接被适当地称为计算机可读介质。例如,如果使用同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或诸如红外、无线电和微波的无线技术从网站、服务器或其它远程源发送软件,则同轴电缆、光纤电缆、双绞线、DSL或诸如红外、无线电和微波之类的无线技术包括在介质的定义中。如本文所使用的磁盘和光盘包括压缩光盘(CD)、激光盘、光盘、数字多功能光盘(DVD)、软盘和蓝光盘,其中磁盘通常以磁性方式再现数据,而光盘用激光光学地再现数据。以上的组合也包括在计算机可读介质的范围内。
本公开内容的先前描述被提供以使本领域技术人员能够制作或使用本公开内容。对本公开内容的各种修改对于本领域技术人员将是显而易见的,并且在不脱离本公开内容的范围的情况下,本文定义的一般原理可以应用于其它变型。在整个本公开内容中,术语“示例的”或“示例性的”表示示例或实例,并不意指或要求对所述示例的任何偏好。因此,本公开内容不限于本文所述的示例和设计,而是要符合与本文公开的原理和新颖特征一致的最广范围。
Claims (30)
1.一种用于无线通信的方法,包括:
根据重新认证密钥和序列号在无线站处导出第一标识符,所述重新认证密钥是至少部分地根据所述第一会话密钥导出的;
向认证方发送所述第一标识符和域名,所述第一标识符和所述域名是在所述无线站向认证服务器的第一次重新认证期间发送的;以及
禁止所述第一会话密钥的名称在所述第一次重新认证期间的传输。
2.根据权利要求1所述的方法,还包括:
至少部分地基于所述序列号来生成下一序列号;以及
至少部分地基于所述重新认证密钥和所述下一序列号来导出第二标识符。
3.根据权利要求2所述的方法,还包括:
发送所述第二标识符和所述域名,所述第二标识符和所述域名是在所述无线站向所述认证服务器的第二次重新认证期间发送的。
4.根据权利要求2所述的方法,还包括:
接收重新认证失败消息;以及
响应于接收所述重新认证失败消息来发送所述第二标识符和所述域名。
5.根据权利要求1所述的方法,还包括:
使用所述第一标识符用于所述无线站向所述认证服务器的单次重新认证。
6.根据权利要求1所述的方法,还包括:
至少部分地基于标识符标签来导出所述第一标识符。
7.根据权利要求1所述的方法,其中,所述第一次重新认证包括可扩展认证协议(EAP)重新认证,所述第一会话密钥包括扩展主会话密钥(EMSK),并且所述重新认证密钥包括重新认证根密钥(rRK)。
8.根据权利要求1所述的方法,其中,所述第一次重新认证是在执行向所述认证服务器的完全认证之后执行的。
9.根据权利要求1所述的方法,还包括:
接收重新认证失败消息;以及
响应于接收所述重新认证失败消息来执行向所述认证服务器的完全认证。
10.一种用于无线通信的装置,包括:
处理器;
与所述处理器进行电子通信的存储器;以及
被存储在所述存储器中的指令,所述指令可由所述处理器执行以:
根据重新认证密钥和序列号在无线站处导出第一标识符,所述重新认证密钥是至少部分地根据所述第一会话密钥导出的;
向认证方发送所述第一标识符和域名,所述第一标识符和所述域名是在所述无线站向认证服务器的第一次重新认证期间发送的;以及
禁止所述第一会话密钥的名称在所述第一次重新认证期间的传输。
11.根据权利要求10所述的装置,还包括可由所述处理器执行以进行如下操作的指令:
至少部分地基于所述序列号来生成下一序列号;以及
至少部分地基于所述重新认证密钥和所述下一序列号来导出第二标识符。
12.根据权利要求11所述的装置,还包括可由所述处理器执行以进行如下操作的指令:
发送所述第二标识符和所述域名,所述第二标识符和所述域名是在所述无线站向所述认证服务器的第二次重新认证期间发送的。
13.根据权利要求11所述的装置,还包括可由所述处理器执行以进行如下操作的指令:
接收重新认证失败消息;以及
响应于接收所述重新认证失败消息来发送所述第二标识符和所述域名。
14.根据权利要求10所述的装置,还包括可由所述处理器执行以进行如下操作的指令:
使用所述第一标识符用于所述无线站向所述认证服务器的单次重新认证。
15.根据权利要求10所述的装置,还包括可由所述处理器执行以进行如下操作的指令:
至少部分地基于标识符标签来导出所述第一标识符。
16.根据权利要求10所述的装置,其中,所述第一次重新认证包括可扩展认证协议(EAP)重新认证,所述第一会话密钥包括扩展主会话密钥(EMSK),并且所述重新认证密钥包括重新认证根密钥(rRK)。
17.根据权利要求10所述的装置,其中,所述第一次重新认证是在执行向所述认证服务器的完全认证之后执行的。
18.根据权利要求10所述的装置,还包括可由所述处理器执行以进行如下操作的指令:
接收重新认证失败消息;以及
响应于接收所述重新认证失败消息来执行向所述认证服务器的完全认证。
19.一种用于无线通信的方法,包括:
根据重新认证密钥和序列号在认证服务器处导出第一标识符,所述第一标识符至少部分地根据第一会话密钥导出;
在所述认证服务器处接收第二标识符,所述第二标识符是在无线站向所述认证服务器的第一次重新认证期间接收的;
将所述第一标识符与所述第二标识符进行比较;以及
至少部分地基于所述比较将第二会话密钥发送给所述无线站的认证方。
20.根据权利要求19所述的方法,其中,所述第一标识符匹配所述第二标识符。
21.根据权利要求19所述的方法,还包括:
至少部分地基于所述序列号来生成下一序列号;以及
至少部分地基于所述重新认证密钥和所述下一序列号来导出第三标识符。
22.根据权利要求21所述的方法,还包括:
在所述无线站向所述认证服务器的第二次重新认证期间接收第四标识符;
将所述第三标识符与所述第四标识符进行比较;以及
至少部分地基于所述比较来发送所述第二会话密钥。
23.如权利要求22所述的方法,其中,所述第三标识符匹配所述第四标识符。
24.根据权利要求19所述的方法,还包括:
至少部分地基于标识符标签来导出所述第一标识符。
25.根据权利要求19所述的方法,还包括:
当所述第一标识符未能匹配所述第二标识符时,发送重新认证失败消息。
26.根据权利要求25所述的方法,其中,所述重新认证失败消息包括指示所述第一标识符和所述第二标识符之间的不匹配的类型长度值(TLV)元素。
27.根据权利要求19所述的方法,其中,所述第一次重新认证包括可扩展认证协议(EAP)重新认证,所述第一会话密钥包括扩展主会话密钥(EMSK),所述重新认证密钥包括重新认证根密钥(rRK),并且所述第二会话密钥包括重新认证主会话密钥(rMSK)。
28.一种用于无线通信的装置,包括:
处理器;
与所述处理器进行电子通信的存储器;以及
被存储在所述存储器中的指令,所述指令可由所述处理器执行以:
根据重新认证密钥和序列号在认证服务器处导出第一标识符,所述重新认证密钥是至少部分地根据第一会话密钥导出的;
在所述认证服务器处接收第二标识符,所述第二标识符是在无线站向所述认证服务器的第一次重新认证期间接收的;
将所述第一标识符与所述第二标识符进行比较;以及
至少部分地基于所述比较将第二会话密钥发送给所述无线站的认证方。
29.根据权利要求28所述的装置,其中,所述第一标识符匹配所述第二标识符。
30.根据权利要求28所述的装置,还包括可由所述处理器执行以进行如下操作的指令:
至少部分地基于所述序列号来生成下一序列号;以及
至少部分地基于所述重新认证密钥和所述下一序列号来导出第三标识符。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201462078162P | 2014-11-11 | 2014-11-11 | |
| US62/078,162 | 2014-11-11 | ||
| US14/926,791 US20160134610A1 (en) | 2014-11-11 | 2015-10-29 | Privacy during re-authentication of a wireless station with an authentication server |
| US14/926,791 | 2015-10-29 | ||
| PCT/US2015/058364 WO2016077087A1 (en) | 2014-11-11 | 2015-10-30 | Privacy during re-authentication of a wireless station with an authentication server |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107079030A true CN107079030A (zh) | 2017-08-18 |
Family
ID=55913156
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580060817.0A Pending CN107079030A (zh) | 2014-11-11 | 2015-10-30 | 在无线站向认证服务器的重新认证期间的隐私 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20160134610A1 (zh) |
| EP (1) | EP3219149A1 (zh) |
| JP (1) | JP2017534214A (zh) |
| CN (1) | CN107079030A (zh) |
| WO (1) | WO2016077087A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108540493A (zh) * | 2018-04-28 | 2018-09-14 | 北京佰才邦技术有限公司 | 认证方法、用户设备、网络实体以及业务侧服务器 |
| CN112839392A (zh) * | 2019-11-25 | 2021-05-25 | 杭州萤石软件有限公司 | 无线接入点的控制和配置协议会话重建方法、装置及系统 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018138308A1 (en) * | 2017-01-30 | 2018-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices for parameter exchange during emergency access |
| CN108668281B (zh) | 2017-03-31 | 2021-07-09 | 华为技术有限公司 | 一种通信方法、相关设备及系统 |
| US11696128B2 (en) * | 2019-10-09 | 2023-07-04 | Cisco Technology, Inc. | Reducing authentication steps during Wi-Fi and 5G handover |
| US20230105597A1 (en) * | 2020-02-20 | 2023-04-06 | Lenovo (Singapore) Pte. Ltd. | Re-authentication key generation |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101114957A (zh) * | 2006-07-27 | 2008-01-30 | 西安电子科技大学 | 无线局域网中的快速切换方法及系统 |
| JP2010502040A (ja) * | 2006-12-08 | 2010-01-21 | 株式会社東芝 | Eap拡張(eap−ext)のためのeapメソッド |
| US20110129088A1 (en) * | 2009-12-01 | 2011-06-02 | Samsung Electronics Co., Ltd. | Method and system for authenticating a mobile terminal in a wireless communication system |
| US20130298209A1 (en) * | 2012-05-02 | 2013-11-07 | Interdigital Patent Holdings, Inc. | One round trip authentication using sngle sign-on systems |
| CN103797832A (zh) * | 2011-09-12 | 2014-05-14 | 高通股份有限公司 | 使用并发重认证和连接建立的无线通信 |
| CN103999495A (zh) * | 2011-11-08 | 2014-08-20 | 高通股份有限公司 | 启用对无线链路建立的密钥生存期的访问 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9325839B2 (en) * | 2011-07-25 | 2016-04-26 | Emue Holdings Pty Ltd. | Call authentification methods and systems |
| US20130114463A1 (en) * | 2011-11-03 | 2013-05-09 | Futurewei Technologies, Inc. | System and Method for Domain Name Resolution for Fast Link Setup |
| US9231936B1 (en) * | 2014-02-12 | 2016-01-05 | Symantec Corporation | Control area network authentication |
-
2015
- 2015-10-29 US US14/926,791 patent/US20160134610A1/en not_active Abandoned
- 2015-10-30 CN CN201580060817.0A patent/CN107079030A/zh active Pending
- 2015-10-30 JP JP2017524993A patent/JP2017534214A/ja active Pending
- 2015-10-30 WO PCT/US2015/058364 patent/WO2016077087A1/en active Application Filing
- 2015-10-30 EP EP15794734.2A patent/EP3219149A1/en not_active Withdrawn
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101114957A (zh) * | 2006-07-27 | 2008-01-30 | 西安电子科技大学 | 无线局域网中的快速切换方法及系统 |
| JP2010502040A (ja) * | 2006-12-08 | 2010-01-21 | 株式会社東芝 | Eap拡張(eap−ext)のためのeapメソッド |
| US20110129088A1 (en) * | 2009-12-01 | 2011-06-02 | Samsung Electronics Co., Ltd. | Method and system for authenticating a mobile terminal in a wireless communication system |
| CN103797832A (zh) * | 2011-09-12 | 2014-05-14 | 高通股份有限公司 | 使用并发重认证和连接建立的无线通信 |
| CN103999495A (zh) * | 2011-11-08 | 2014-08-20 | 高通股份有限公司 | 启用对无线链路建立的密钥生存期的访问 |
| US20130298209A1 (en) * | 2012-05-02 | 2013-11-07 | Interdigital Patent Holdings, Inc. | One round trip authentication using sngle sign-on systems |
Non-Patent Citations (2)
| Title |
|---|
| V.NARAYANAN: "EAP Extensions for EAP Re-authentication Protocol (ERP)", 《IETF》 * |
| 荆琪: "基于EAP切换认证机制的研究", 《中国优秀硕士学位论文全文数据库-信息科技辑》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108540493A (zh) * | 2018-04-28 | 2018-09-14 | 北京佰才邦技术有限公司 | 认证方法、用户设备、网络实体以及业务侧服务器 |
| CN108540493B (zh) * | 2018-04-28 | 2021-05-04 | 深圳佰才邦技术有限公司 | 认证方法、用户设备、网络实体以及业务侧服务器 |
| CN112839392A (zh) * | 2019-11-25 | 2021-05-25 | 杭州萤石软件有限公司 | 无线接入点的控制和配置协议会话重建方法、装置及系统 |
| CN112839392B (zh) * | 2019-11-25 | 2022-09-02 | 杭州萤石软件有限公司 | 无线接入点的控制和配置协议会话重建方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160134610A1 (en) | 2016-05-12 |
| EP3219149A1 (en) | 2017-09-20 |
| JP2017534214A (ja) | 2017-11-16 |
| WO2016077087A1 (en) | 2016-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2696208C1 (ru) | Способ и устройство для аутентификации беспроводных устройств | |
| CN104080082B (zh) | 基站以及由基站用于自配置的方法 | |
| CN107079030A (zh) | 在无线站向认证服务器的重新认证期间的隐私 | |
| EP1972125B1 (en) | Apparatus and method for protection of management frames | |
| CN1826754B (zh) | 用于无线局域网的密钥同步机制 | |
| CN102257842B (zh) | 直通链路通信的增强的安全性 | |
| CN104604206B (zh) | 用于安全地传送和接收发现和寻呼消息的系统、方法和设备 | |
| CN101926151B (zh) | 建立安全关联的方法和通信网络系统 | |
| EP2309698B1 (en) | Exchange of key material | |
| Hager et al. | An analysis of Bluetooth security vulnerabilities | |
| CN102823282B (zh) | 用于二进制cdma的密钥认证方法 | |
| EP3700162B1 (en) | Systems and methods for authentication | |
| US7624271B2 (en) | Communications security | |
| CN101500230B (zh) | 建立安全关联的方法和通信网络 | |
| CN112154624A (zh) | 针对伪基站的用户身份隐私保护 | |
| CN100512182C (zh) | 无线局域网中的快速切换方法及系统 | |
| Dantu et al. | EAP methods for wireless networks | |
| CN103781069A (zh) | 一种双向认证的方法、设备及系统 | |
| EP2648437B1 (en) | Method, apparatus and system for key generation | |
| CN110121196A (zh) | 一种安全标识管理方法及装置 | |
| CN103096307A (zh) | 密钥验证方法及装置 | |
| US20170272405A1 (en) | Security Improvements in a Wireless Data Exchange Protocol | |
| CN107211488A (zh) | 由集成无线通信网络中的wlan节点执行的用于对接收的业务数据应用安全的方法 | |
| CN103200004B (zh) | 发送消息的方法、建立安全连接的方法、接入点和工作站 | |
| Lin et al. | Performance Evaluation of the Fast Authentication Schemes in GSM-WLAN Heterogeneous Networks. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170818 |
|
| WD01 | Invention patent application deemed withdrawn after publication |