CN107439029A - 使用重新关联对象的无线网络快速认证/关联 - Google Patents
使用重新关联对象的无线网络快速认证/关联 Download PDFInfo
- Publication number
- CN107439029A CN107439029A CN201680020441.5A CN201680020441A CN107439029A CN 107439029 A CN107439029 A CN 107439029A CN 201680020441 A CN201680020441 A CN 201680020441A CN 107439029 A CN107439029 A CN 107439029A
- Authority
- CN
- China
- Prior art keywords
- key
- sta
- affiliated partner
- association
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了一种用于无线通信的方法、装置和计算机程序产品。该装置可以是STA。STA在重新关联过程中向第一AP发送重新关联对象以建立与第一AP的第一安全关联。重新关联对象是通过使用STA未知的第一密钥来加密的。重新关联对象包括根据在STA和第二AP之间的先前关联过程中的第二安全关联导出的第二密钥。STA从第一AP接收指示第一安全关联已被成功建立的响应。STA认证响应。
Description
相关申请的交叉引用
本申请要求享受于2015年4月6日提交的题为“WIRELESS NETWORK FASTAUTHENTICATION/ASSOCIATION USING RE-ASSOCIATION OBJECT”的美国专利申请No.14/680,023的权益,其全部内容通过引用并入本文。
技术领域
本公开内容通常涉及通信系统,具体地涉及在无线网络中进行快速认证/关联的技术。
背景技术
在许多电信系统中,通信网络用于在若干交互的空间上分开的设备当中交换消息。网络可以根据地理范围来分类,地理范围可以是例如城域区域、局部区域或个人区域。这样的网络将被分别指定为广域网(WAN)、城域网(MAN)、局域网(LAN)、无线局域网(WLAN)或个域网(PAN)。根据用于互连各种网络节点和设备(例如,电路交换与分组交换)的开关/路由技术、用于传输的物理介质的类型(例如,有线对无线)、使用的通信协议集合(例如,因特网协议组、同步光纤网络(SONET)、以太网等),网络也不同。
当网络元件是移动的并因此具有动态连接性需求时,或者如果网络架构以自组方式而不是固定的拓扑来形成,则无线网络通常是优选的。无线网络使用无线电、微波、红外、光等频段中的电磁波在无导向传播模式下采用无形物理介质。当与固定的有线网络相比时,无线网络有利地促进用户移动性和快速现场部署。
关于在人口稠密的环境中的WLAN(例如,在高度人口稠密的城市或地铁站中的WiFi热点),可以提高用于认证/关联的技术。现有的基于高速缓存的解决方案(例如,成对主密钥(PMK)高速缓存)可能由于大量的同时的认证/关联请求和/或由于需要在AP处保持的大量的STA状态而不是高效的或可扩展的。因此,需要在这样的环境中提供快速的认证和关联。
发明内容
本发明的系统、方法,计算机程序产品和设备都具有若干方面,其中没有单个的方面单独负责本发明的期望属性。在不限制如由所附权利要求书表达的本发明的范围的情况下,将简要讨论一些特征。在考虑了这一讨论之后,特别是在阅读了“具体实施方式”一节后,将会了解本发明的特征如何为无线网络中的设备提供优势。
在本公开内容的一个方面,提供了一种方法、计算机程序产品和装置。该装置可以是STA。所述STA在重新关联过程中向第一AP发送重新关联对象以建立与所述第一AP的第一安全关联。所述重新关联对象是通过使用所述STA未知的第一密钥来加密的。所述重新关联对象包括根据在所述STA和第二AP之间的先前关联过程中的第二安全关联导出的第二密钥。所述STA接收从所述第一AP接收指示所述第一安全关联已被成功建立的响应。所述STA认证所述响应。
在本公开内容的一个方面,提供了一种方法、计算机程序产品和装置。该装置可以是AP。所述AP在重新关联过程中从STA接收用于建立与所述AP的第一安全关联的重新关联对象。所述重新关联对象是通过使用所述STA未知的第一密钥来加密的。所述重新关联对象包括根据在所述STA和AP之间的先前关联过程中的第二安全关联导出的第二密钥。所述AP基于所述第一密钥和所述第二密钥来认证所述重新关联对象。响应于成功认证所述重新关联对象,所述AP建立与所述STA的所述第一安全关联。所述AP向所述STA发送指示所建立的第一安全关联的响应。
附图说明
图1示出了在其中可以采用本公开内容的方面的示例无线通信系统。
图2是示出无线网络中的认证和关联的技术的图。
图3是示出无线设备之间用以在无线网络中建立安全关联的通信的图。
图4是示出重新关联对象的图。
图5是示出无线设备之间用以在无线网络中建立安全重新关联的通信的图。
图6(A)是示出重新关联请求消息的图。
图6(B)是示出重新关联成功响应消息的图。
图7示出可以在图1的无线通信系统内采用的无线设备的示例功能框图。
图8是用于建立重新关联的无线通信的示例方法的流程图。
图9是用于获得重新关联对象的无线通信的示例方法的流程图。
图10是用于建立重新关联的无线通信的另一示例方法的流程图。
图11是用于生成重新关联对象的无线通信的示例方法的流程图。
图12是示例无线通信设备的功能框图。
具体实施方式
新颖的系统、装置、计算机程序产品和方法的各个方面在下文中参照附图被更全面的描述。然而,本公开内容可以以许多不同的形式实施,并且不应被解释为限于在本公开内容中呈现的任何特定结构或功能。而是,提供这些方面,使得本公开内容将是详尽和完整的并将向本领域技术人员充分传达本公开内容的范围。基于本文的教导,本领域技术人员应当理解,本公开内容的范围旨在涵盖本文公开的新颖系统、装置、计算机程序产品和方法的任何方面,而无论是独立于或结合本发明的任何别的方面来实现的。例如,可以使用本文所阐述的任何数量的方面来实现装置或者可以实施方法。此外,本发明的范围旨在涵盖使用除了本文所阐述的本发明的各个方面之外的或不是本文所阐述的本发明的各个方面的其它结构、功能或结构和功能来实施的这种装置或方法。应当理解,本文公开的任何方面可以由权利要求书的一个或多个元素来实施。
尽管本文描述了特定方面,但是这些方面的许多变化和排列都在本公开内容的范围内。虽然提及了优选方面的一些益处和优点,但是本公开内容的范围并不旨在限于特定的益处、用途或目的。而是,本公开内容的方面旨在广泛地应用于不同的无线技术、系统配置、网络和传输协议,其一些通过示例在附图中和在优选方面的以下描述中示出。具体实施方式和附图仅仅是对本公开内容的说明而不是限制,本公开内容的范围由所附权利要求书及其等同物限定。
流行的无线网络技术可以包括各种类型的无线局域网(WLAN)。可以使用WLAN来将附近的设备互连在一起,这采用广泛使用的网络协议。本文描述的各个方面可以应用于诸如无线协议的任何通信标准。
在一些方面,可以根据使用正交频分复用(OFDM)、直接序列扩频(DSSS)通信、OFDM和DSSS通信的组合、或其它方案的电气和电子工程师协会(IEEE)802.11协议,来发射无线信号。802.11协议的实现方案可以用于传感器、计量和智能电网。有利地,实现802.11协议的某些设备的各个方面可以比实现其它无线协议的设备消耗更少的功率,和/或可以用以跨相对较长的射程(例如,大约一公里或更长)发射无线信号。
在一些实现方案中,WLAN包括作为访问无线网络的组件的各种设备。例如,可以存在两种类型的设备:接入点(AP)和客户端(也称为站或“STA”)。通常,AP可以用作WLAN的集线器或基站,而STA用作WLAN的用户。例如,STA可以是膝上型计算机、个人数字助理(PDA)、移动电话等。在一个示例中,STA经由符合WiFi(例如,IEEE 802.11协议)的无线链路连接到AP以获得到互联网或到其它广域网的一般连接。在一些实现方案中,STA还可以用作AP。
站也可以包括、实现为或称为接入终端(AT)、订户站、订户单元、移动站、远程站、远程终端、用户终端、用户代理、用户设备、用户装置或某个其它术语。在一些实现方案中,接入终端可以包括蜂窝电话、无绳电话、会话发起协议(SIP)电话、无线本地环路(WLL)站、个人数字助理(PDA)、具有无线连接能力的手持设备、或连接到无线调制解调器的某个其它合适的处理设备。相应地,本文教导的一个或多个方面可以并入电话(例如,蜂窝电话或智能电话)、计算机(例如,膝上型电脑)、便携式通信设备、耳机、便携式计算设备(例如,个人数据助理)、娱乐设备(例如,音乐或视频设备、或卫星无线电)、游戏设备或系统、全球定位系统设备或被配置为经由无线介质进行通信的任何其它合适的设备。
在本公开内容的上下文中,术语“进行关联”或“关联”或其任何变体应被赋予可能的最广泛的含义。作为示例,当第一装置与第二装置进行关联时,应当理解,这两个装置可以是直接关联的,或者可以存在中间装置。为了简洁起见,将使用握手协议来描述用于建立两个装置之间的关联的过程,该握手协议需要一个装置的“关联请求”,之后是另一装置的“关联响应”。本领域技术人员将理解,握手协议可能需要其它信令,诸如例如用以提供认证的信令。
本文使用诸如“第一”、“第二”等等的称号对元素的任何引用通常不限制这些元素的数量或顺序。而是,这些称号在本文中用作在两个或多个元素或一元素的实例之间进行区分的方便方法。因此,对第一和第二元素的引用并不意味着只可以采用两个元素,或者第一元素必须在第二元素之前。此外,提及项目列表中的“至少一个”的短语是指这些项目的任何组合,包括单个成员。作为示例,“A、B或C中的至少一个”旨在涵盖:A、或B、或C、或其任何组合(例如,A-B、A-C、B-C和A-B-C)。
图1示出了在其中可以采用本公开内容的方面的示例无线通信系统100。无线通信系统100可以根据无线标准(例如802.11标准)来工作。无线通信系统100可以包括与STA(例如,STA 112、114、116和118)进行通信的AP 104。
促进从AP 104向一个或多个STA的传输的通信链路可以被称为下行链路(DL)108,以及促进从一个或多个STA向AP 104的传输的通信链路可以被称为上行链路(UL)110。或者,下行链路108可以被称为前向链路或前向信道,而上行链路110可以被称为反向链路或反向信道。在一些方面,DL通信可以包括单播或多播业务指示。
AP 104可以充当基站并在基本服务区(BSA)102中提供无线通信覆盖。BSA(例如,BSA 102)是AP(例如,AP 104)的覆盖区域。AP 104以及与AP 104进行关联的并使用AP 104进行通信的STA可以被称为基本服务集(BSS)。应当注意,无线通信系统100可以不具有中央AP(例如,AP 104),而是可以用作STA之间的对等网络。相应地,本文描述的AP 104的功能可以替代地由一个或多个STA执行。
在一些方面,可能需要STA(例如,STA 114)与AP 104进行关联,以便向AP 104发送通信和/或从AP 104接收通信。在一个方面,用于进行关联的信息被包括在由AP 104广播的信标中。为了接收这样的信标,STA 114可以例如在覆盖区域上执行广泛的覆盖搜索。例如,还可以由STA 114通过以灯塔方式扫描覆盖区域来执行搜索。在接收到用于进行关联的信息之后,STA 114可以向AP 104发送诸如关联探测或请求的参考信号。在一些方面,AP 104可以使用回程业务来例如与诸如因特网或公共交换电话网(PSTN)之类的较大网络进行通信。
在一个方面,AP 104可以包括用于执行各种功能的一个或多个模块。例如,AP 104可以包括AP重新关联(RA)模块124,以执行与控制重新关联的建立相关的过程。AP RA模块124可以被配置为执行与STA的关联过程,包括:(a)导出关于STA的第一密钥,以及(b)建立与第一密钥对应的在AP与STA之间的安全关联。AP RA模块124可以被配置为向STA发送重新关联对象。重新关联对象包括关于安全关联的信息,且是用STA未知的第二密钥来加密的。AP RA模块124可以被配置为基于重新关联对象来执行与STA的重新关联过程。
在另一个方面,STA 114可以包括用于执行各种功能的一个或多个模块。例如,STA114可以包括STA RA模块126,以执行与控制重新关联的建立相关的过程。STA RA模块126可以被配置为执行与至少一个AP的关联过程,包括:(a)导出关于至少一个AP的第一密钥,以及(b)建立对应于第一密钥的在STA和至少一个AP之间的安全关联。STA RA模块126可以被配置为从至少一个AP接收重新关联对象。重新关联对象包括关于安全关联的信息,且是用STA未知的第二密钥来加密的。STA RA模块126可以被配置为基于重新关联对象来执行与至少一个AP的重新关联过程。
图2是示出无线网络(例如,WiFi网络)中的认证和关联的技术的图200。AP 104提供对WLAN的接入。AP 104可以在人口密集区域中,且大量的STA(例如,STA 114、215-1、215-2、215-3)可以尝试与AP 104进行关联。现有技术可能需要在AP 104处有大量时间或大量资源,以便认证和关联每个STA。
此外,AP 204处于与AP 104相比相同的扩展服务集(ESS)或相同的安全域(例如,在单一管理控制下)。先前建立了与AP 104的安全关联的STA(例如,STA 114)可能期望使用简单的过程建立与AP 204的安全关联。另一方面,AP 206不在相同的ESS或相同的安全域中。先前建立了与AP 104的安全关联的STA(例如,STA 114)可能仍然需要使用完整的过程来建立与AP 206的安全关联。
如上所述,STA 114具有STA RA模块126。AP 104具有AP RA模块124,其包括STA114未知的秘密密钥234。在操作260处,STA 114建立与AP 104的安全关联。在建立安全关联的过程中,STA 114和AP 104根据认证服务器(AS)导出PMK并建立PMK安全关联(PMKSA)。此外,STA 114和AP 104导出成对临时密钥(PTK)并建立PTK安全关联(PTKSA)。在操作264处,STA RA模块126在STA RA模块126处存储PTKSA数据214。PTKSA数据214包括PTK和关于STA114和AP 104之间的PTKSA的其它信息。此外,STA RA模块126可以选择将PMKSA数据216存储在STA RA模块126处。PMKSA数据216包括PMK和关于STA 114和AP 104之间的PMKSA的其它信息。
在操作268处,AP RA模块124构造重新关联对象212。除了别的,重新关联对象212还可以包括PTKSA数据214和PMKSA数据216。AP 104使用秘密密钥234来加密重新关联对象212。在操作272处,AP 104将所加密的重新关联对象212发送给STA 114。在操作276处,STA114将所加密的重新关联对象212存储在STA RA模块126处。随后,STA 114可以解除与AP104的关联。
在一种配置中,在操作280处,STA 114向AP 104发送重新关联请求消息。重新关联请求消息包括经加密的重新关联对象212和使用PTK创建的认证标签,例如,消息完整性码(MIC)。在操作284处,AP RA模块124从重新关联请求消息中提取经加密的重新关联对象212,然后使用秘密密钥234对经加密的重新关联对象212进行解密。然后,AP RA模块124从重新关联对象212获取PTKSA数据和PMKSA数据。使用获取的PTKSA数据中的PTK,AP验证在重新关联消息中携带的认证标签。成功的验证证明了STA拥有PTK。在操作286处,AP RA模块124构造重新关联响应消息,并通过使用PTK来加密重新关联响应消息。AP在重新关联响应消息中包括组临时密钥(GTK)。然后,AP 104向STA 114发送经加密的重新关联响应消息。在操作288处,STA RA模块126通过使用来自PTKSA数据214的PTK来解密经加密的重新关联响应消息。在操作290处,STA 114和AP 104建立安全关联并传送通过使用PTK来加密的数据。
在一种配置中,在操作284处,AP RA模块124生成新的PTK 236。在操作286处,AP104在重新关联对象212中另外包括新的PTK 236。在操作290处,STA 114和AP 104建立安全关联并传送通过使用新的PTK 236来加密的数据。
在另一种配置中,AP和STA可以通过基于PMKSA数据中的PMK运行4路握手协议(即,通过经由4路握手进行密钥更新(rekeying))来导出新的PTK。
在一种配置中,AP 104和AP 204在相同的ESS或相同的安全域中(例如,在单一管理控制下)。在操作292处,AP 104可以与AP 204共享秘密密钥234。随后,在操作294处,STA114可以使用经加密的重新关联对象212来建立与AP 204的安全关联。AP 204可以使用共享的秘密密钥234来解密经加密的重新关联对象212,并获得存储在重新关联对象212中的数据(例如,PTKSA数据和PMKSA数据)。在操作296处,AP 204和STA 114可以通过使用PTK来安全地传送数据(即,认证和加密/解密数据)。在一种配置中,AP 104可以在ESS或相同的安全域中与多个AP共享秘密密钥234。STA 114然后可以使用经加密的重新关联对象212来建立与多个AP的安全关联。
此外,AP的每个秘密密钥可以通过重新关联标识符(RAID)进行关联(或标识)。当构造重新关联对象时,AP在重新关联对象中包括用于构造重新关联对象的秘密密钥的RAID。AP 104、204和206中每个可以宣告与由AP 104、204或206使用的相应秘密密钥进行关联的RAID。例如,RAID可以被包括在由AP 104、204或206发送的信标帧的信息元素(IE)中。在从AP 104、204或206接收到RAID(例如,通过信标帧)时,STA 114可以确定存储的重新关联对象是否具有相同的RAID以及是否可以用于快速的重新关联。换句话说,STA 114可以确定AP 104、204或206是否正在使用共享的秘密密钥以及是否已经在STA处存储了使用共享的密钥加密(即,具有相同的RAID)的重新关联对象。如果STA 114找到这样的重新关联对象,则STA可以将重新关联对象发送给AP 104、204或206以进行快速的认证/关联。
在某些情况下,STA 114最初可能无法确定AP 104、204或206是否正在使用共享的秘密密钥。STA 114可以执行完整的过程以建立与AP 104、204或206的安全关联。相应地,STA 114可以在操作297处通过安全关联操作从AP 204接收重新关联对象。类似地,STA 114可以在操作298处通过安全关联操作从AP 206接收重新关联对象。AP 206可以不在与AP104和AP 204相同的ESS中。在接收到重新关联对象时,在操作299处,STA 114可以确定接收到的重新关联对象是否是使用共享的秘密密钥来加密的。特别地,STA 114可以确定所接收的重新关联对象是否是通过使用与用于加密已经存储在STA处的重新关联对象的密钥相同的密钥来加密的。如所讨论地,AP的秘密密钥可以通过RAID进行关联(或识别)。因此,STA114可以基于RAID确定来自AP 204的重新关联对象是同与AP 104的重新关联对象相比相同的秘密密钥进行关联的。STA 114可以选择不存储从AP 204接收的重新关联对象。此外,STA114可以基于RAID来确定从AP 206接收的重新关联对象是与不同的秘密密钥进行关联的。相应地,STA 114可以选择存储从AP 206接收的重新关联对象。换句话说,在接收到重新关联对象时,STA 114获取新接收的重新关联对象的RAID,并检查是否所获取的的RAID是与存储的重新关联对象的RAID相同的。如果STA确定存储的重新关联对象具有相同的RAID,则STA可以丢弃新接收的重新关联对象。也就是说,如果所接收的重新关联对象是使用相同的密钥来加密的,则STA 114可以丢弃所接收的重新关联对象。如果所接收的重新关联对象不是使用相同的密钥来加密的,则STA 114可以存储所接收的重新关联对象。
图3是示出无线设备之间用以在无线网络中建立安全关联的通信的图。AP 104可以操作BSS 380。STA 114可以希望加入BSS 380。STA 114和AP 104利用认证过程来以相互可接受的水平建立其标识。在操作306处,STA 114发送请求开放系统认证的认证帧。在操作310处,AP 104用指示状态“成功”的认证帧做出响应。
在允许STA 114经由AP 104发送数据之前,STA 114必须与AP 104进行关联。关联提供了STA 114和AP 104之间的映射,其允许分发系统内的消息到达与STA 114进行关联的AP 104,并最终到达STA 114本身。在操作314处,STA 114向AP 104发送关联请求。如果STA114被许可,则在操作318处,AP 104以关联响应做出响应。通过关联请求和响应的交换,STA114和AP 104交换能力信息(对可选特征的支持),且AP 104向STA 114通知BSS 380内的特定工作参数。
IEEE 802.1X是基于端口的网络接入控制(PNAC)的IEEE标准。其是IEEE 802.1联网协议组的一部分。IEEE 802.1X为希望连接到LAN或WLAN的设备提供认证机制。使用IEEE802.1X,期望接入BSS的站使用可扩展认证协议(EAP)向AS 394进行认证。AS 394可以与AP共置一处,或者可以是分开的系统。IEEE 802.1X定义了用于认证的协议框架和封装方法,但不规定使用的实际认证方法。在与AS 394的IEEE 802.1X交换中协商所使用的方法,且支持许多方法,一些示例是EAP传输层安全(EAP-TLS)、轻量级可扩展认证协议(LEAP)和EAP-MD5。
在操作318之后,AP 104在操作322处发送EAP请求,要求STA 114识别自身。在操作326处,STA 114以EAP响应来响应AP 104。在操作328处,AP 104将EAP响应转发给AS 394。在操作330处,在STA 114和AS之间执行EAP认证交换。在操作330期间,AP 104从STA 114或AS394接收消息,然后将消息重新封装并转发给对方。如果STA 114成功认证,则在操作332处,AS 394向AP 104发送与针对PMK的信息一起的指示成功的消息。在操作334处,AP104向STA114转发EAP-成功(EAP-Success)消息,表示认证的成功完成。
如果认证失败,则AS 394通知AP 104,且AP向站发送EAP-失败(EAP-Failure)消息,随后是解除关联帧。随后,AP 104和STA 114进行协商以生成PTK以保护AP与各个站之间的业务并生成GTK以保护由AP发送的广播和组播业务。
在一种技术中,四路握手可以用于分发PTK和GTK以及双向握手用以在被单独发送时分发GTK。注意,PTK本身可能不被发送,而只有与预共享的信息一起可以由双方使用以导出PTK的信息。在操作338处,AP 104向STA 114发送第一密钥消息。第一密钥消息可以携带ANonce,其是由AP 104生成的随机数且仅被使用一次。在接收到第一密钥消息时,STA 114生成称为SNonce的随机数。使用第一密钥消息中的信息(包括ANonce)、SNonce和对于PMK的知识,STA 114可以导出PTK。
在操作342处,STA 114向AP 104发送第二密钥消息。第二密钥消息携带由STA 114生成的SNonce。使用第二密钥消息中的信息(包括SNonce)、ANonce和对PMK的知识,AP 104导出PTK。第二密钥消息还携带使用PTK生成的MIC,STA 114通过MIC向AP 104表明其知道PMK。
在操作346处,AP 104向STA 114发送第三密钥消息。第三密钥消息可以携带当需要时使用PTK加密的GTK。第三密钥消息还可以携带MIC,AP 104通过该MIC向STA 114表明AP104知道PMK。通过发送第三密钥消息,AP 104指明AP 104对STA 114站是其所声称的站表示满意。
在操作350处,STA 114向AP 104发送第四密钥消息。STA 114确认接收到GTK(如果包括在第三密钥消息中的话),且STA 114对AP 104是其所声称的AP表示满意。通过向AP104成功递送第四密钥消息,在AP 104和STA 114之间建立了安全会话。现在可以使用PTK在两个方向上加密数据帧。
于是,STA 114和AP 104建立了PMKSA和PTKSA。具体地说,STA 114向AP 104发送设备特定信息(例如,MAC地址)。在操作352处,STA 114在STA 114处(例如,在STA RA模块126中)存储PTKSA数据214,包括PTK和关于STA 114和AP 104之间的PTKSA的其它信息。例如,除了PTK之外,PTKSA数据214还可以包括PTK ID、STA 114和AP 104的设备标识、以及STA 114和AP 104的MAC地址中的一个或多个。另外,STA 114可以选择在STA 114处(例如,在STA RA模块126中)存储PMKSA数据216,包括PMK和关于STA 114和AP 104之间的PMKSA的其它信息。例如,除了PMK外,PMKSA数据216还可以包括PMK ID、STA 114和AP 104的设备标识、以及STA114和AP 104的MAC地址中的一个或多个。
在一种配置中,GTK可以通过组密钥握手从AP 104发射给STA 114。具体地,在操作354处,AP 104向STA 114发送第一组密钥消息。第一组密钥消息携带使用PTK来加密的GTK。在操作358处,STA 114用第二组密钥消息做出响应,以确认接收。
无论何时刷新PTK,都执行上述四路握手。当单独刷新GTK时执行双向组密钥握手。于是,STA 114和AP 104已经创建了鲁棒安全网络关联(RSNA)。随后,在操作360处,STA 114和AP 104可以传送通过使用PTK加密的数据。
另外,在操作362处,STA 114可以经由AP 104与DHCP服务器396通信,以获得动态因特网协议(IP)地址。此外,在操作364处,STA 114可以使用地址解析协议(ARP)消息经由网关398与另一网络中的设备进行通信。
此外,AP 104可以构造重新关联对象212,以促使STA 114与AP 104的重新关联。重新关联对象212的构造可以在AP 104处在任何时间点处开始。在该示例中,在操作366处,AP104构建重新关联对象212。
图4是示出根据各种配置的重新关联对象212-1、212-2、212-3的图400。重新关联对象212-1、212-2、212-3中的每一个包括重新关联数据部分410和可选的MIC部分422。在一种配置中,重新关联对象212-1的重新关联数据部分410包括PTKSA字段412和设备ID字段418。在另一种配置中,重新关联对象212-2的重新关联数据部分410包括PTKSA字段412和设备ID字段418以及PMKSA字段414、IP地址字段416和有效时间字段420中的可选字段。在另一种配置中,重新关联对象212-3的重新关联数据部分410包括PTKSA字段412和设备ID字段418以及PMKSA字段414、有效时间字段420和IP地址字段416中的可选字段。
再次参照图3,在该示例中,在操作366处,AP 104构造重新关联对象212。AP 104在PTKSA字段412中存储PTKSA数据214,包括PTK和关于STA 114和AP 104之间的PTKSA的其它信息。例如,除了PTK外,PTKSA数据214还可以包括PTK ID、STA 114和AP 104的设备标识、以及STA 114和AP 104的MAC地址中的一个或多个。
在一种配置中,并且可选地,AP 104可以在PMKSA字段414中存储PMKSA数据216,包括PMK和关于STA 114和AP 104之间的PMKSA的其它信息。例如,除了PMK外,PMKSA数据216还可以包括PMK ID、STA 114和AP 104的设备标识、以及STA 114和AP 104的MAC地址中的一个或多个。
在一种配置中,并且可选地,AP 104可以在IP地址字段416中存储由DHCP服务器396分配给STA 114的IP地址。
在一种配置中,并且可选地,AP 104可以将标识STA 114的信息存储在设备ID字段418中。例如,该信息可以是STA 114的MAC地址或可用于标识STA 114的唯一标识符。
在一种配置中,并且可选地,AP 104可以在有效时间字段420中存储指示针对使用重新关联对象212的有效时间段的信息。例如,该信息可以是指示重新关联对象212的到期时间的时间戳。AP 104还可以在有效时间字段420中存储指示重新关联对象212被构造时的时间点的时间戳。
此外,AP 104可以使用秘密密钥234加密数据字段412、414、416、418、420,并生成经加密的重新关联数据部分410。秘密密钥234对于STA 114是未知的。
在一种配置中,并且可选地,AP 104可以使用MIC算法和秘密密钥234来计算经加密的重新关联数据部分410的完整性码。AP 104可以将完整性码存储在MIC部分422中。
在操作368处,AP 104将经加密的重新关联对象212发送给STA 114。当接收到经加密的重新关联对象212时,在操作370处,STA 114存储经加密的重新关联对象212和与经加密的重新关联对象212相关的信息。例如,该信息可以指示发出了经加密的重新关联对象212的AP 104的标识。
图5是表示无线设备之间的在无线网络中建立安全重新关联的通信的图。在操作504处,AP 104周期性地发射信标帧。STA 114在操作308处执行扫描操作以发现BSS 380和与BSS 380进行关联的属性。STA 114可以检测由AP 104发射的信标帧。信标帧携带监管信息、能力信息、以及用于管理BSS的信息。因此,STA 114可以从信标帧获得AP 104和BSS 380的标识。STA 114可能已经存储了来自不同的AP的一个或多个重新关联对象。STA 114可以使用关于AP 104和BSS 380的标识的信息,来搜索存储在STA 114处的重新关联对象并确定由AP 104发出的重新关联对象是否存储在STA 114处。如果STA 114能够获得由AP 104发出的重新关联对象,则STA 114可以使用该重新关联对象来建立与AP 104的重新关联。
在操作512处,STA 114可以构造并向AP 104发送重新关联请求消息。图6(A)是示出重新关联请求消息的图600。重新关联请求消息610包括设备ID字段614、重新关联对象字段618和认证标签字段620。设备ID字段614用于携带标识重新关联请求消息610的发送方的信息。重新关联对象字段618用于携带由AP发出的重新关联对象。认证标签字段620可以用于携带通过使用由AP和STA导出的PTK计算的重新关联对象的MIC。
再次参照图5,在操作512处,STA 114可以构造重新关联请求消息610。STA 114可以将STA 114的MAC地址存储在设备ID字段614中。当定位/获得由存储在STA 114处的由AP104发出的重新关联对象212时,STA 114可以将重新关联对象212存储在重新关联对象字段618中。此外,STA 114使用PTK计算重新关联对象212的MIC,然后将MIC存储在认证标签字段620中。
随后,STA 114向AP 104发送重新关联请求消息610。例如,重新关联请求消息610可以通过一个或多个数据帧或管理帧来发送。在接收到重新关联请求消息610之后,在操作516处,AP 104从重新关联请求消息610提取重新关联对象212。然后,AP 104定位经加密的重新关联数据部分410和MIC部分422。AP 104使用秘密密钥234来计算经加密的重新关联数据部分410的完整性码。然后,AP 104将所计算的完整性码与从MIC部分422提取的完整性码进行比较。如果这两个完整性码不匹配,则AP 104可以确定重新关联对象212在AP 104处是无效的。
如果这两个完整性码匹配,则AP 104尝试使用秘密密钥234来解密经加密的重新关联数据部分410。如果AP 104不能使用秘密密钥234对经加密的重新关联数据部分410进行解密,则AP 104可以确定重新关联对象212在AP 104处是无效的。
如果AP 104能够使用秘密密钥234来解密经加密的重新关联数据部分410,则AP104然后从重新关联对象212的每个字段提取数据,这些字段现在被解密。
特别地,AP 104可以从PTKSA字段412提取PTK。使用PTK,AP 104计算在重新关联对象字段618中存储的重新关联对象212的MIC。然后,AP 104比较所计算的MIC与存储在认证标签字段620中的MIC。如果MIC匹配,则AP 104可以确定STA 114具有存储在重新关联对象212中的PTK。如果MIC不匹配,则AP 104可以确定STA 114不具有存储在重新关联对象212中的PTK,并且因此确定重新关联对象212是无效的。
AP 104还确定诸如那些指示到期时间戳的数据是否被存储在有效时间字段420中。然后,AP 104基于该数据来确定重新关联对象212在当前的时间点是否仍然是有效的。例如,如果当前的时间点在到期时间戳之后,则AP 104可以确定重新关联对象212是不再有效的。
此外,AP 104可以从设备ID字段418和设备ID字段614提取数据,然后比较来自两个字段的数据是否标识相同的设备。例如,设备ID字段418和设备ID字段614中的每个可以包括指示MAC地址的数据。AP 104可以确定MAC地址是否相同。如果不同,则AP 104可以确定重新关联对象没有被发给向AP 104发送重新关联对象的STA。相应地,AP 104可以确定重新关联对象212是无效的。
另一方面,在确定重新关联对象212是有效的时,AP 104可以从PTKSA字段412、PMKSA字段414和IP地址字段416中的每一个提取数据(如果有的话)。相应地,AP 104可以获得STA 114和AP 104之间的先前PTKSA的PTK。在一种配置中,使用存储在PTKSA字段412中的PTK和PTKSA数据,AP 104可以重新建立在AP 104处的针对STA的PTKSA。在一种配置中,如将在下面所述,AP 104可以选择生成新的PTK,并使用新的PTK建立与STA 114的新的PTKSA。
此外,如果从IP地址字段416可获得IP地址,则AP 104可以确定该IP地址是先前分配给STA 114的IP地址。在操作520处,AP 104可以与DHCP服务器396进行通信,以确定该IP地址是否已被重新分配给另一设备。如果不是,则AP 104可以为STA 114从DHCP服务器396重获该IP地址。此外,AP 104可以确定重新关联对象212被构造/发出时的时间点。如果重新关联对象212是在预定时间段(例如,五分钟)内被发出的,则AP 104可以在不与DHCP服务器396进行通信的情况下,选择认定IP地址仍然被分配给STA 114。
如果从IP地址字段416不可获得IP地址,则在操作520处,AP 104可以与DHCP服务器396进行通信以请求用于STA 114的新IP地址。此外,如果PMKSA数据216从PMKSA字段414可获得,则AP 104可以获得在STA 114和AP 104之间的先前的PMKSA的PMK。使用PMKSA字段414中存储的PMKSA数据和PMK,AP 104可以选择重新建立AP 104处的针对STA 114的PMKSA。
在操作524处,AP 104用以向STA 114发送重新关联响应消息。如果AP 104已经确定重新关联对象212是无效的,则AP 104可以构造重新关联响应失败消息,该重新关联响应失败消息包括指示重新关联操作已失败的信息。AP 104可以不加密地发送重新关联响应失败消息。如果AP 104已经确定重新关联对象212是有效的,则AP 104可以构建重新关联响应成功消息,该重新关联响应成功消息包括指示重新关联操作已成功的信息。
图6(B)是示出重新关联成功响应消息的图650。重新关联成功响应消息660可以包括IP地址字段664和新PTK字段668。IP地址字段664用于携带分配给请求重新关联的STA的IP地址。新PTK字段668用于携带要用于建立PTKSA的PTK。
再次参照图5,在操作524处,AP 104可以将分配给STA 114的IP地址存储在IP地址字段664中。此外,在一种配置中,在操作524之前的操作522处可选地,AP 104可以选择生成新的PTK。例如,AP 104和STA 114可以选择通过如上所述的使用PMKSA数据的四路握手来导出新的PTK,并相应地建立新的PTKSA。或者,AP 104可以随机地生成唯一的PTK,并且基于随机生成的新的PTK来建立针对STA 114的新的PTKSA。AP 104可以将随机生成的新的PTK存储在新PTK字段668中。此外,在重新关联成功响应消息660被构造之后,在一种配置中,AP 104可以使用从重新关联对象212获得的PTK(即,根据先前关联导出的PTK)对重新关联成功响应消息660进行加密。在另一种配置中,如果STA 114在操作522中通过与AP 104的四路握手建立了新的PTKSA,则AP 104可以使用在操作522中导出的新的PTK来加密重新关联成功响应消息660。然后,AP 104将经加密的重新关联成功响应消息660发送给STA 114。
在接收到重新关联响应消息之后,在操作528处,STA 114确定重新关联操作是否是成功的。如果STA 114接收到重新关联响应失败消息,则STA 114确定重新关联操作是不成功的,并可以使用参照图3描述的过程来建立与AP 104的安全关联。
如果在一种配置中STA 114在操作528内接收到重新关联成功响应消息660,则STA114可以尝试使用来自PTKSA数据214的PTK来解密重新关联成功响应消息660。在另一种配置中,如果STA 114在操作522中通过与AP 104的四路握手建立了新的PTKSA,则STA 114然后可以尝试使用在操作522中导出的新的PTK来解密重新关联成功响应消息660。如果STA114能够解密重新关联成功响应消息660,则STA 114可以确定AP 104是能够解密重新关联对象212的,并从PTKSA字段412获得PTK。相应地,STA 114可以确认AP 104(即,发送重新关联对象212的AP)的标识。STA 114然后可以确定重新关联操作是成功的。在成功地解密重新关联成功响应消息660之后,STA 114可以从IP地址字段664获得IP地址,并使用该IP地址作为STA 114的IP地址。
此外,如果STA 114检测到新PTK字段668中存在新的PTK,则STA 114可以使用新的PTK来完成建立与AP 104的新的PTKSA。如果在重新关联成功响应消息660中没有新的PTK,且STA 114在操作522中没有通过与AP 104的四路握手建立新的PTKSA,则STA 114可以使用来自PTKSA数据214的先前的PTK以完成重新建立与AP 104的PTKSA。相应地,在操作532处,STA 114和AP 104可以传送使用先前的PTK加密的数据。
图7示出了可以在图1的无线通信系统100内采用的无线设备702的示例功能框图。无线设备702是可以被配置为实现本文描述的各种方法的设备的示例。例如,无线设备702可以包括AP 104、或者STA 112、114、116和118之一。
无线设备702可以包括控制无线设备702的操作的处理器704。处理器704也可以被称为中央处理单元(CPU)。可以包括只读存储器(ROM)和随机存取存储器(RAM)两者的存储器706可以向处理器704提供指令和数据。存储器706的一部分还可以包括非易失性随机存取存储器(NVRAM)。处理器704通常基于存储在存储器706中的程序指令来执行逻辑和算术运算。存储器706中的指令可以(例如,由处理器704)可执行以实现本文描述的方法。
处理器704可以包括用一个或多个处理器实现的处理系统或者是该处理系统的组件。一个或多个处理器可以用通用微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、可编程逻辑器件(PLD)、控制器、状态机、门控逻辑、分立硬件组件、专用硬件有限状态机、或可以执行对信息的计算或其它操作的任何其它合适的实体来实现。
处理系统还可以包括用于存储软件的机器可读介质。软件应被宽泛地解释为指任何类型的指令,而无论被称为软件、固件、中间件、微代码、硬件描述语言还是其它。指令可以包括代码(例如,具有源代码格式、二进制代码格式、可执行代码格式或任何其它合适的代码格式)。当由一个或多个处理器执行时,指令使处理系统执行本文描述的各种功能。
无线设备702还可以包括壳体708,其可以包括发射机710和/或接收机712,以允许无线设备702和远程设备之间的数据的传输和接收。发射机710和接收机712可以组合成收发机714。天线716可以附接到壳体708并且电耦合到收发机714。无线设备702还可以包括(未示出)多个发射机、多个接收机、多个收发机和/或多个天线。
无线设备702还可以包括信号检测器718,其可以用于检测和量化由收发机714或接收机712接收的信号的电平。信号检测器718可以检测诸如总能量、每符号每子载波的能量、功率谱密度和其它信号这样的信号。无线设备702还可以包括用于处理信号的数字信号处理器(DSP)720。DSP 720可以被配置为生成用于传输的分组。在一些方面,分组可以包括物理层数据单元(PPDU)。
在一些方面,无线设备702还可以包括用户接口722。用户接口722可以包括键盘、麦克风、扬声器和/或显示器。用户接口722可以包括向无线设备702的用户传达信息和/或从该用户接收输入的任何元件或组件。
当无线设备702被实现为STA(例如,STA 114)时,无线设备702还可以包括RA模块724。RA模块724可以被配置为执行与至少一个AP的关联过程,包括:(a)导出关于至少一个AP的第一密钥,以及(b)建立对应于第一密钥的在STA与至少一个AP之间的安全关联。RA模块724可以被配置为从至少一个AP接收重新关联对象。重新关联对象包括关于安全关联的信息,且是用STA未知的第二密钥来加密的。RA模块724可以被配置为基于重新关联对象来执行与至少一个AP的重新关联过程。
当无线设备702被实现为AP(例如,AP 104)时,无线设备702也可以包括RA模块724。RA模块724可以被配置为执行与STA的关联过程,包括:(a)导出关于STA的第一密钥,和(b)建立与第一密钥对应的在AP与STA之间的安全关联。RA模块724可以被配置为向STA发送重新关联对象。重新关联对象包括关于安全关联的信息,且是用STA未知的第二密钥进行加密。RA模块724可以被配置为基于重新关联对象来执行与STA的重新关联过程。
无线设备702的各种组件可以由总线系统726耦合在一起。总线系统726可以包括例如数据总线、以及除了数据总线的电源总线、控制信号总线和状态信号总线。无线设备702的组件可以使用某个其它机制耦合在一起或接受或提供到彼此的输入。
尽管在图7中示出了多个分开的组件,但是一个或多个组件可以被组合或被共同实现。例如,处理器704可以用于不仅实现上面关于处理器704描述的功能,还可以实现上面关于信号检测器718、DSP 720、用户接口722和/或RA模块724描述的功能。此外,可以使用多个分开的元件来实现图7中示出的每个组件。
图8是用于建立重新关联的无线通信的示例方法800的流程图。可以使用STA(例如,STA 114或无线设备702)来执行方法800。尽管下面参照图7的无线设备702的元件描述了方法800,但是可以使用其它组件来实现本文描述的一个或多个步骤。
在一种配置中,在操作802处,STA可以从第一AP接收与第一密钥进行关联的重新关联标识符。例如,参照图2,AP 104、204和206中的每一个可以宣告与由AP 104、204或206使用的相应的秘密密钥进行关联的RAID。在一种配置中,在操作804处,STA可以确定从第一AP接收的重新关联标识匹配重新关联对象的重新关联标识符。例如,参照图2,在从AP 104、204或206(例如,通过信标帧)接收到RAID时,STA 114可以确定存储的重新关联对象是否具有相同的RAID以及可以用于快速的重新关联。
在操作806处,STA向第一AP发送重新关联对象以建立与第一AP的第一安全关联(例如,在图5的操作512处)。通过使用STA未知的第一密钥来加密重新关联对象。重新关联对象包括根据在STA和第二AP之间的先前关联过程中的第二安全关联导出的第二密钥。在一种配置中,重新关联对象可以包括第一设备特定信息。重新关联对象可以被包括在从STA发送给第一AP的重新关联请求消息中。重新关联请求消息还可以包括与STA进行关联的第二设备特定信息。在一种配置中,第一和第二设备特定信息中的每个都可以包括MAC地址。在一种配置中,第一AP和第二AP是相同的AP。
在一种配置中,在操作808处,STA可以导出关于第一AP的第三密钥(例如,在图5的操作522处)。在操作810处,STA可以建立对应于第三密钥的与第一AP的第一安全关联(例如,在图5的操作522处)。
在操作812处,STA从第一AP接收指示已经成功建立第一安全关联的响应(例如,在图5的操作524处)。在一种配置中,响应是可以通过使用第二密钥来加密的。在一种配置中,响应是通过使用第三密钥来加密的。
在操作814处,STA可以认证响应(例如,在图5的操作528处)。在一种配置中,为了认证响应,在操作816处,STA可以通过使用第二密钥来解密重新关联响应消息。在一种配置中,为了认证响应,在操作818处,STA可以通过使用第三密钥来解密重新关联响应消息。
图9是用于获得重新关联对象的无线通信的示例方法900的流程图。可以使用STA(例如,STA 114或无线设备702)来执行方法900。尽管下面参照图7的无线设备702的元件描述了方法900,但是可以使用其它组件来实现本文描述的一个或多个步骤。
方法900可以在图8中示出的操作806之前被执行。在操作904处,STA可以导出关于第二AP的第二密钥(例如,在图3的操作338-350处)。在操作906处,STA可以建立对应于第二密钥的与第二AP的第二安全关联。在一种配置中,第二安全关联可以是鲁棒安全网络关联。在一种配置中,第二密钥是成对临时密钥(PTK)。第二安全关联可以是PTK安全关联。重新关联对象可以包括指定PTK安全关联的包括PTK的信息。在操作908处,STA可以从第二AP接收重新关联对象(例如,在图3的操作368处)。
图10是用于建立重新关联的无线通信的示例方法1000的流程图。可以使用AP(例如,AP 104或无线设备702)来执行方法1000。尽管下面参照图7的无线设备702的元件描述了方法1000,但是可以使用其它组件来实现本文描述的一个或多个步骤。
在一种配置中,在操作1002处,AP可以从另一AP获得第一密钥。例如,参照图2,在操作292处,AP 104可以与AP 204共享秘密密钥234。在操作1004处,AP从STA接收用于建立与AP的第一安全关联的重新关联对象(例如,在图5的操作512处)。重新关联对象是通过使用STA未知的第一密钥来加密的。重新关联对象包括根据在STA和AP之间的先前关联过程中的第二安全关联导出的第二密钥。
在操作1006处,AP基于第一密钥和第二密钥来认证重新关联对象(例如,在图5的操作516处)。在一种配置中,重新关联对象可以包括第一设备特定信息。重新关联对象可以被包括在从STA接收的重新关联请求消息中。重新关联请求消息还可以包括与STA进行关联的第二设备特定信息。在一种配置中,在操作1008处,AP可以基于将第一设备特定信息与第二设备特定信息匹配来认证重新关联对象(例如,在图5的操作516处)。
在一种配置中,在操作1010处,AP可以从重新关联对象获取完整性码(例如,在图5的操作516处)。在操作1012处,AP可以通过使用第一密钥和完整性码来验证重新关联对象的数据的完整性(例如,在图5的操作516处)。在一种配置中,在操作1013处,AP可以从重新关联对象获取第二密钥(例如,在图5的操作516处)。在一种配置中,AP可以导出关于STA的第三密钥(例如,在图5的操作522处)。
在操作1015处,AP响应于成功地认证重新关联对象而建立与STA的第一安全关联。在一种配置中,第一安全关联是根据第二密钥建立的(例如,在图5的操作516处)。在一种配置中,第一安全关联是根据第三密钥建立的(例如,在图5的操作522处)。
在一种配置中,在操作1016处,AP可以从重新关联对象获取IP地址(例如,在图5的操作516处)。AP可以向STA分配IP地址。在操作1018处,AP可以在重新关联过程中从重新关联对象获取对时间的指示(例如,在图5的操作516处)。在操作1020处,AP可以基于所获取的对时间的指示来确定重新关联对象是否到期(例如,在图5的操作516处)。
在一种配置中,在操作1022处,AP可以通过使用第二密钥来加密指示所建立的第一安全关联的响应(例如,在图5的操作524处)。在一种配置中,在操作1026处,AP可以通过使用第三密钥对响应进行加密。在操作1028处,AP向STA发送响应(例如,在图5的操作524处)。
图11是用于生成重新关联对象的无线通信的示例方法1100的流程图。可以使用AP(例如,AP 104或无线设备702)来执行方法1100。尽管下面参照图7的无线设备702的元件描述了方法1100,但是可以使用其它组件来实现本文描述的一个或多个步骤。
在一种配置中,在操作1102处,AP可以获得PMK(例如,在图3的操作338-350处)。在操作1104处,AP可以建立与PMK对应的针对STA的PMK安全关联(例如,在图3的操作338-350处)。
在一种配置中,在操作1106处,AP可以导出关于STA的第二密钥(例如,在图3的操作338-350处)。在操作1108处,AP可以建立对应于第二密钥的与STA的第二安全关联(例如,在图3的操作338-350处)。在操作1110处,AP可以生成重新关联对象(例如,在图3的操作366处)。AP可以通过使用第一密钥来加密重新关联对象。
在一种配置中,第二密钥可以是PTK。第二安全关联可以是PTK安全关联。在操作1112处,AP可以在重新关联对象中包括指定PTK安全关联的信息(例如,在图3的操作366处)。
在一种配置中,在操作1116处,AP可以从STA接收第一设备特定信息,并可以在重新关联对象中包括第一设备特定信息(例如,在图3的操作338-350处)。在一种配置中,在操作1118处,AP可以获得STA的IP地址,并可以在重新关联对象中包括IP地址(例如,在图3的操作362和366处)。
在一种配置中,在操作1120处,AP可以通过使用第一密钥来加密重新关联对象(例如,在图3的操作366处)。在一种配置中,在操作1122处,AP可以通过使用第一密钥来生成重新关联对象的数据的完整性码,并可以在重新关联对象中包括完整性码(例如,在图3的操作366处)。在操作1124处,AP可以将重新关联对象发送给STA(例如,在图3的操作366处)。
图12是示例性无线通信设备1200的功能框图。无线通信设备1200可以包括接收机1205、处理系统1210和发射机1215。处理系统1210可以包括RA模块1224。处理系统1210、RA模块1224和/或接收机1205可以被配置为测量传输信道的能级。
在一个方面,无线通信设备1200可以被STA利用。接收机1205、处理系统1210、RA模块1224和/或发射机1215可以被配置为执行与至少一个AP的关联过程,包括:(a)导出关于至少一个AP的第一密钥,以及(b)建立对应于第一密钥的在STA与至少一个AP之间的安全关联。接收机1205、处理系统1210和/或RA模块1224可以被配置为从至少一个AP接收重新关联对象。重新关联对象包括关于安全关联的信息,且是用STA未知的第二密钥来加密的。接收机1205、处理系统1210、RA模块1224和/或发射机1215可以被配置为基于重新关联对象来执行与至少一个AP的重新关联过程。
在一种配置中,处理系统1210、RA模块1224和/或发射机1215可以被配置为向AP发送重新关联请求。重新关联请求包括重新关联对象。接收机1205、处理系统1210和/或RA模块1224可以被配置为从AP接收重新关联响应。重新关联响应是使用第一密钥来加密的。处理系统1210和/或RA模块1224可以被配置为基于第一密钥来认证重新关联响应。
在一种配置中,处理系统1210、RA模块1224和/或发射机1215可以被配置为在关联过程中向AP发送第一设备特定信息。处理系统1210、RA模块1224和/或发射机1215可以被配置为在重新关联过程中向AP发送第二设备特定信息。重新关联对象包括第一设备特定信息。
在一种配置中,第一和第二设备特定信息各自包括MAC地址。重新关联对象包括PMK和PTK中的至少一个。在一种配置中,从其接收重新关联对象的至少一个AP和向其发送重新关联请求的AP是不同的AP。在一种配置中,从其接收重新关联对象的至少一个AP和向其发送重新关联请求的AP是相同的AP。在一种配置中,安全关联是RSNA。
在一种配置中,与多个AP执行关联过程,且从多个AP中的每一个接收重新关联对象。处理系统1210和/或RA模块1224可以被配置为基于预定规则来选择性地存储所接收的重新关联对象。
在一种配置中,处理系统1210和/或RA模块1224可以被配置为确定给定的接收到的重新关联对象是否是使用与用于加密已存储在STA处的重新关联对象的密钥相同的密钥来加密的。处理系统1210和/或RA模块1224可以被配置为响应于确定给定的接收到的重新关联对象是使用相同的密钥来加密的,而丢弃给定的接收到的重新关联对象。
在一种配置中,处理系统1210、RA模块1224和/或发射机1215可以被配置为向AP发送重新关联请求。重新关联请求包括重新关联对象。在一种配置中,处理系统1210和/或RA模块1224可以被配置为导出关于AP的第三密钥。接收机1205、处理系统1210、RA模块1224和/或发射机1215可以被配置为建立对应于第三密钥的在STA和AP之间的另一安全关联。
接收机1205、处理系统1210和/或RA模块1224可以被配置为从AP接收重新关联响应。重新关联响应是使用第三密钥来加密的。处理系统1210和/或RA模块1224可以被配置为基于第三密钥来认证重新关联响应。
在一种配置中,处理系统1210、RA模块1224和/或发射机1215可以被配置为向AP发送重新关联请求。重新关联请求包括重新关联对象。接收机1205、处理系统1210和/或RA模块1224可以被配置为从AP接收重新关联响应。重新关联响应是使用第一密钥来加密的。处理系统1210和/或RA模块1224可以被配置为基于第一密钥来认证重新关联响应。接收机1205、处理系统1210和/或RA模块1224可以被配置为接收使用第一密钥加密的第三密钥。接收机1205、处理系统1210和/或RA模块1224可以被配置为使用第三密钥建立与AP的另一安全关联。在一种配置中,重新关联对象包括IP地址。重新关联过程包括将STA与IP地址进行关联。
在一个方面,无线通信设备1200可以被AP利用。接收机1205、处理系统1210、RA模块1224和/或发射机1215可以被配置为执行与STA的关联过程,包括:(a)导出关于STA的第一密钥,以及(b)建立对应于第一密钥的在AP与STA之间的安全关联。处理系统1210、RA模块1224和/或发射机1215可以被配置为向STA发送重新关联对象。重新关联对象包括关于安全关联的信息,且是用STA未知的第二密钥来加密的。处理系统1210和/或RA模块1224可以被配置为基于重新关联对象来执行与STA的重新关联过程。
在一种配置中,接收机1205、处理系统1210和/或RA模块1224可以被配置为从STA接收重新关联请求。重新关联请求包括重新关联对象。处理系统1210和/或RA模块1224可以被配置为基于STA未知的第二密钥和从重新关联对象获取的PTK来认证重新关联对象。处理系统1210、RA模块1224和/或发射机1215可以被配置为在认证完重新关联对象时向STA发送重新关联响应。重新关联响应是使用第一密钥来加密的。
在一种配置中,接收机1205、处理系统1210和/或RA模块1224可以被配置为在关联过程中接收第一设备特定信息。接收机1205、处理系统1210和/或RA模块1224可以被配置为在重新关联过程中接收第二设备特定信息。重新关联对象包括第一设备特定信息。执行重新关联过程包括基于第一和第二设备特定信息来认证重新关联对象。
在一种配置中,第一和第二设备特定信息各自包括MAC地址。重新关联对象包括PMK和PTK中的至少一个。在一种配置中,处理系统1210和/或RA模块1224可以被配置为从重新关联对象获取IP地址。处理系统1210和/或RA模块1224可以被配置为将IP地址分配给STA。处理系统1210和/或RA模块1224可以被配置为在重新关联响应中包括IP地址。
在一种配置中,接收机1205、处理系统1210和/或RA模块1224可以被配置为从STA接收重新关联请求。重新关联请求包括重新关联对象。处理系统1210和/或RA模块1224可以被配置为导出关于STA的第三密钥。接收机1205、处理系统1210、RA模块1224和/或发射机1215可以被配置为建立对应于第三密钥的在AP和STA之间的另一安全关联。处理系统1210和/或RA模块1224可以被配置为基于STA未知的第二密钥和从重新关联对象获取的PTK来认证重新关联对象。处理系统1210、RA模块1224和/或发射机1215可以被配置为在认证完重新关联对象时向STA发送重新关联响应。重新关联响应是用第三密钥来加密的。
在一种配置中,接收机1205、处理系统1210和/或RA模块1224可以被配置为从STA接收重新关联请求。重新关联请求包括重新关联对象。重新关联对象包括第一密钥。处理系统1210和/或RA模块1224可以被配置为基于STA未知的第二密钥和从重新关联对象获取的PTK来认证重新关联对象。处理系统1210、RA模块1224和/或发射机1215可以被配置为在认证完重新关联对象时向STA发送重新关联响应。重新关联响应是使用第一密钥来加密的。处理系统1210和/或RA模块1224可以被配置为生成第三密钥。处理系统1210和/或RA模块1224可以被配置为使用第一密钥加密第三密钥,并将经加密的第三密钥发送给STA。接收机1205、处理系统1210、RA模块1224和/或发射机1215可以被配置为使用第三密钥建立在AP和STA之间的另一安全关联。
在一种配置中,重新关联对象在预定时间段内是有效的。在一种配置中,安全关联是RSNA。在一种配置中,处理系统1210和/或RA模块1224可以被配置为向STA分配IP地址。处理系统1210和/或RA模块1224可以被配置为将IP地址包括在重新关联对象中。
在一种配置中,接收机1205、处理系统1210和/或RA模块1224可以被配置为从另一个AP接收STA未知的第二密钥。接收机1205、处理系统1210和/或RA模块1224可以被配置为从STA接收重新关联请求。重新关联请求包括重新关联对象和第二设备特定信息。重新关联对象包括STA已知的第一密钥和第一设备特定信息。处理系统1210和/或RA模块1224可以被配置为基于第二密钥以及第一和第二设备特定信息来认证重新关联对象。处理系统1210、RA模块1224和/或发射机1215可以被配置为在认证完重新关联对象时向STA发送使用第一密钥加密的重新关联响应。
接收机1205、处理系统1210、RA模块1224和/或发射机1215可以被配置为执行上面参照图8-11讨论的一个或多个操作。接收机1205可以对应于接收机712。处理系统1210可以对应于处理器704。发射机1215可以对应于发射机710。RA模块1224可以对应于AP RA模块124、STA RA模块126、和/或RA模块724。
此外,用于执行与至少一个AP的关联过程的单元可以包括处理系统1210和/或RA模块1224。用于从至少一个AP接收重新关联对象的单元可以包括接收机1205、处理系统1210和/或RA模块1224。用于基于重新关联对象来执行与至少一个AP的重新关联过程的单元可以包括接收机1205、处理系统1210、RA模块1224、和/或发射机1215。
用于执行与STA的关联过程的单元可以包括处理系统1210和/或RA模块1224。用于向STA发送重新关联对象的单元可以包括处理系统1210、RA模块1224和/或发射机1215。用于基于重新关联对象来执行与STA的重新关联过程的单元可以包括接收机1205、处理系统1210、RA模块1224和/或发射机1215。
上述方法的各种操作可以通过能够执行操作的诸如各种硬件和/或软件组件、电路和/或模块之类的任何合适的单元来执行。通常,附图中所示的任何操作可以由能够执行操作的对应功能模块来执行。
虽然前述内容涉及本公开内容的各方面,但是在不脱离本公开内容的基本范围的情况下,可以设计本公开内容的其它和另外的方面,并且其范围由所附权利要求书来确定。
提供前面的描述以使本领域任何技术人员能够实施本文描述的各个方面。对这些方面的各种修改对于本领域技术人员将是显而易见的,并且本文定义的一般原理可以应用于其它方面。因此,权利要求书不旨在限于本文所示的方面,而是要符合与语言权利要求一致的全部范围,其中,对单数形式的元素的引用并不旨在表示“一个且仅一个”(除非特别如此陈述),而是表示“一个或多个”。除非另有特别说明,术语“一些”是指一个或多个。本领域普通技术人员已知或稍后知道的贯穿本公开内容描述的各个方面的元素的所有结构和功能等价物是通过引用明确地并入本文的,并旨在被权利要求书所涵盖。此外,无论这种公开内容是否明确地在权利要求书中列出,本文所公开的任何内容都不是要贡献给公众的。没有权利要求是要根据35U.S.C.§112(f)的规定来解释的,除非使用短语“用于......的单元”明确表达了该元素,或者在方法权利要求的情况下使用短语“用于......的步骤”来叙述该元素。
Claims (62)
1.一种站(STA)处的无线通信的方法,包括:
在重新关联过程中,向第一接入点(AP)发送重新关联对象以建立与所述第一AP的第一安全关联,其中,所述重新关联对象是通过使用所述STA未知的第一密钥来加密的,并且其中,所述重新关联对象包括根据在所述STA和第二AP之间的先前关联过程中的第二安全关联导出的第二密钥;
从所述第一AP接收指示所述第一安全关联已被成功建立的响应;以及
认证所述响应。
2.根据权利要求1所述的方法,包括:
在所述先前关联过程中,导出关于所述第二AP的所述第二密钥;
建立与所述第二密钥对应的与所述第二AP的所述第二安全关联;以及
从所述第二AP接收所述重新关联对象。
3.根据权利要求2所述的方法,其中,所述第二安全关联是鲁棒安全网络关联(RSNA)。
4.根据权利要求2所述的方法,其中,所述第二密钥是成对临时密钥(PTK),其中,所述第二安全关联是PTK安全关联,并且其中,所述重新关联对象包括指定所述PTK安全关联的包括所述PTK的信息。
5.根据权利要求1所述的方法,其中,所述重新关联对象包括第一设备特定信息,其中,所述重新关联对象被包括在从所述STA向所述第一AP发送的重新关联请求消息中,并且其中,所述重新关联请求消息还包括与所述STA进行关联的第二设备特定信息。
6.根据权利要求5所述的方法,其中,所述第一设备特定信息和所述第二设备特定信息各自包括介质访问控制(MAC)地址。
7.根据权利要求1所述的方法,其中,所述第一AP和所述第二AP是相同的AP。
8.根据权利要求1所述的方法,包括:
从所述第一AP接收与所述第一密钥进行关联的重新关联标识符;以及
确定从所述第一AP接收的所述重新关联标识符与所述重新关联对象的重新关联标识符匹配,其中,所述向所述第一AP发送所述重新关联对象是响应于确定从所述第一AP接收的所述重新关联标识符与重新关联对象的所述重新关联标识符匹配的。
9.根据权利要求1所述的方法,其中,所述响应是通过使用所述第二密钥来加密的,其中,所述认证所述响应包括:通过使用所述第二密钥来解密所述重新关联响应消息。
10.根据权利要求1所述的方法,包括:
在所述重新关联过程中,导出关于所述第一AP的第三密钥;
建立与所述第三密钥对应的与所述第一AP的所述第一安全关联,其中,所述响应是通过使用所述第三密钥来加密的,并且其中,所述认证所述响应包括:通过使用所述第三密钥来解密所述重新关联响应消息。
11.一种接入点(AP)处的无线通信的方法,包括:
在重新关联过程中,从站(STA)接收用于建立与所述AP的第一安全关联的重新关联对象,其中,所述重新关联对象是通过使用所述STA未知的第一密钥来加密的,并且其中,所述重新关联对象包括根据在所述STA和AP之间的先前关联过程中的第二安全关联导出的第二密钥;
基于所述第一密钥和所述第二密钥来认证所述重新关联对象;
响应于成功地认证所述重新关联对象,建立与所述STA的所述第一安全关联;以及
向所述STA发送指示所建立的第一安全关联的响应。
12.根据权利要求11所述的方法,包括:
在所述先前关联过程中,导出关于所述STA的所述第二密钥;
建立与所述第二密钥对应的与所述STA的所述第二安全关联;
生成所述重新关联对象;
通过使用所述第一密钥来加密所述重新关联对象;以及
向所述STA发送所述重新关联对象。
13.根据权利要求12所述的方法,其中,所述第二密钥是成对临时密钥(PTK),其中,所述第二安全关联是PTK安全关联,所述方法还包括:
在所述重新关联对象中包括指定所述PTK安全关联的信息。
14.根据权利要求12所述的方法,包括:
在所述先前关联过程中,获得成对主密钥(PMK);
建立与所述PMK对应的与所述STA的PMK安全关联;以及
在所述重新关联对象中包括指定所述PMK安全关联的信息。
15.根据权利要求12所述的方法,包括:
在所述先前关联过程中从所述STA接收第一设备特定信息,以及在所述重新关联对象中包括所述第一设备特定信息;
获得所述STA的因特网协议(IP)地址,以及在所述重新关联对象中包括所述IP地址;
通过使用所述第一密钥来生成所述重新关联对象的数据的完整性码;以及
在所述重新关联对象中包括所述完整性码。
16.根据权利要求11所述的方法,其中,所述重新关联对象包括第一设备特定信息,其中,所述重新关联对象被包括在从所述STA接收的重新关联请求消息中,并且其中,所述重新关联请求消息还包括与所述STA进行关联的第二设备特定信息,所述方法还包括:
在所述重新关联过程中,基于将所述第一设备特定信息与所述第二设备特定信息匹配来认证所述重新关联对象。
17.根据权利要求11所述的方法,包括:
在所述重新关联过程中,从所述重新关联对象获取所述第二密钥,其中,所述第一安全关联是根据所述第二密钥建立的;以及
通过使用所述第二密钥来加密所述响应。
18.根据权利要求11所述的方法,包括:
在所述重新关联过程中,导出关于所述STA的第三密钥,其中,所述第一安全关联是根据所述第三密钥建立的;以及
通过使用所述第三密钥来加密所述响应。
19.根据权利要求11所述的方法,包括:
在所述重新关联过程中,从所述重新关联对象获取完整性码;以及
通过使用所述第一密钥和所述完整性码来验证所述重新关联对象的数据的完整性。
20.根据权利要求11所述的方法,包括:
在所述重新关联过程中,从所述重新关联对象获取对时间的指示;以及
基于所获取的对时间的指示来确定所述重新关联对象是否到期。
21.一种用于无线通信的装置,所述装置是站(STA),包括:
用于在重新关联过程中,向第一接入点(AP)发送重新关联对象以建立与所述第一AP的第一安全关联的单元,其中,所述重新关联对象是通过使用所述STA未知的第一密钥来加密的,并且其中,所述重新关联对象包括根据在所述STA和第二AP之间的先前关联过程中的第二安全关联导出的第二密钥;
用于从所述第一AP接收指示所述第一安全关联已被成功建立的响应的单元;以及
用于认证所述响应的单元。
22.根据权利要求21所述的装置,包括:
用于在所述先前关联过程中,导出关于所述第二AP的所述第二密钥的单元;
用于建立与所述第二密钥对应的与所述第二AP的所述第二安全关联的单元;以及
用于从所述第二AP接收所述重新关联对象的单元。
23.根据权利要求22所述的装置,其中,所述第二安全关联是鲁棒安全网络关联(RSNA)。
24.根据权利要求22所述的装置,其中,所述第二密钥是成对临时密钥(PTK),其中,所述第二安全关联是PTK安全关联,并且其中,所述重新关联对象包括指定所述PTK安全关联的包括所述PTK的信息。
25.根据权利要求21所述的装置,其中,所述重新关联对象包括第一设备特定信息,其中,所述重新关联对象被包括在从所述STA向所述第一AP发送的重新关联请求消息中,并且其中,所述重新关联请求消息还包括与所述STA进行关联的第二设备特定信息。
26.根据权利要求25所述的装置,其中,所述第一设备特定信息和所述第二设备特定信息各自包括介质访问控制(MAC)地址。
27.根据权利要求21所述的装置,其中,所述第一AP和所述第二AP是相同的AP。
28.根据权利要求21所述的装置,包括:
用于从所述第一AP接收与所述第一密钥进行关联的重新关联标识符的单元;以及
用于确定从所述第一AP接收的所述重新关联标识符与所述重新关联对象的重新关联标识符匹配的单元,其中,所述用于向所述第一AP发送所述重新关联对象的单元被配置为:响应于确定从所述第一AP接收的所述重新关联标识符与重新关联对象的所述重新关联标识符匹配,来发送所述重新关联对象。
29.根据权利要求21所述的装置,其中,所述响应是通过使用所述第二密钥来加密的,其中,所述用于认证所述响应的单元被配置为:通过使用所述第二密钥来解密所述重新关联响应消息。
30.根据权利要求21所述的装置,包括:
用于在所述重新关联过程中,导出关于所述第一AP的第三密钥的单元;
用于建立与所述第三密钥对应的与所述第一AP的所述第一安全关联的单元,其中,所述响应是通过使用所述第三密钥来加密的,并且其中,所述用于认证所述响应的单元被配置为通过使用所述第三密钥来解密所述重新关联响应消息。
31.一种用于无线通信的装置,所述装置是接入点(AP),包括:
用于在重新关联过程中,从站(STA)接收用于建立与所述AP的第一安全关联的重新关联对象的单元,其中,所述重新关联对象是通过使用所述STA未知的第一密钥来加密的,并且其中,所述重新关联对象包括根据在所述STA和AP之间的先前关联过程中的第二安全关联导出的第二密钥;
用于基于所述第一密钥和所述第二密钥来认证所述重新关联对象的单元;
用于响应于成功地认证所述重新关联对象,建立与所述STA的所述第一安全关联的单元;以及
用于向所述STA发送指示所建立的第一安全关联的响应的单元。
32.根据权利要求31所述的装置,包括:
用于在所述先前关联过程中,导出关于所述STA的所述第二密钥的单元;
用于建立与所述第二密钥对应的与所述STA的所述第二安全关联的单元;
用于生成所述重新关联对象的单元;
用于通过使用所述第一密钥来加密所述重新关联对象的单元;以及
用于向所述STA发送所述重新关联对象的单元。
33.根据权利要求32所述的装置,其中,所述第二密钥是成对临时密钥(PTK),其中,所述第二安全关联是PTK安全关联,所述装置还包括:
用于在所述重新关联对象中包括指定所述PTK安全关联的信息的单元。
34.根据权利要求32所述的装置,包括:
用于在所述先前关联过程中,获得成对主密钥(PMK)的单元;
用于建立与所述PMK对应的与所述STA的PMK安全关联的单元;以及
用于在所述重新关联对象中包括指定所述PMK安全关联的信息的单元。
35.根据权利要求32所述的装置,包括:
用于在所述先前关联过程中从所述STA接收第一设备特定信息,以及在所述重新关联对象中包括所述第一设备特定信息的单元;
用于获得所述STA的因特网协议(IP)地址,以及在所述重新关联对象中包括所述IP地址的单元;
用于通过使用所述第一密钥来生成所述重新关联对象的数据的完整性码的单元;以及
用于在所述重新关联对象中包括所述完整性码的单元。
36.根据权利要求31所述的装置,其中,所述重新关联对象包括第一设备特定信息,其中,所述重新关联对象被包括在从所述STA接收的重新关联请求消息中,并且其中,所述重新关联请求消息还包括与所述STA进行关联的第二设备特定信息,所述装置还包括:
用于在所述重新关联过程中,基于将所述第一设备特定信息与所述第二设备特定信息匹配来认证所述重新关联对象的单元。
37.根据权利要求31所述的装置,包括:
用于在所述重新关联过程中,从所述重新关联对象获取所述第二密钥的单元,其中,所述第一安全关联是根据所述第二密钥建立的;以及
用于通过使用所述第二密钥来加密所述响应的单元。
38.根据权利要求31所述的装置,包括:
用于在所述重新关联过程中,导出关于所述STA的第三密钥的单元,其中,所述第一安全关联是根据所述第三密钥建立的;以及
用于通过使用所述第三密钥来加密所述响应的单元。
39.根据权利要求31所述的装置,包括:
用于在所述重新关联过程中,从所述重新关联对象获取完整性码的单元;以及
用于通过使用所述第一密钥和所述完整性码来验证所述重新关联对象的数据的完整性的单元。
40.根据权利要求31所述的装置,包括:
用于在所述重新关联过程中,从所述重新关联对象获取对时间的指示的单元;以及
用于基于所获取的对时间的指示来确定所述重新关联对象是否到期的单元。
41.一种用于无线通信的装置,所述装置是站(STA),包括:
存储器;以及
至少一个处理器,其耦合到所述存储器并且被配置为:
在重新关联过程中,向第一接入点(AP)发送重新关联对象以建立与所述第一AP的第一安全关联,其中,所述重新关联对象是通过使用所述STA未知的第一密钥来加密的,并且其中,所述重新关联对象包括根据在所述STA和第二AP之间的先前关联过程中的第二安全关联导出的第二密钥;
从所述第一AP接收指示所述第一安全关联已被成功建立的响应;以及
认证所述响应。
42.根据权利要求41所述的装置,其中,所述至少一个处理器被配置为:
在所述先前关联过程中,导出关于所述第二AP的所述第二密钥;
建立与所述第二密钥对应的与所述第二AP的所述第二安全关联;以及
从所述第二AP接收所述重新关联对象。
43.根据权利要求42所述的装置,其中,所述第二安全关联是鲁棒安全网络关联(RSNA)。
44.根据权利要求42所述的装置,其中,所述第二密钥是成对临时密钥(PTK),其中,所述第二安全关联是PTK安全关联,并且其中,所述重新关联对象包括指定所述PTK安全关联的包括所述PTK的信息。
45.根据权利要求41所述的装置,其中,所述重新关联对象包括第一设备特定信息,其中,所述重新关联对象被包括在从所述STA向所述第一AP发送的重新关联请求消息中,并且其中,所述重新关联请求消息还包括与所述STA进行关联的第二设备特定信息。
46.根据权利要求45所述的装置,其中,所述第一设备特定信息和所述第二设备特定信息各自包括介质访问控制(MAC)地址。
47.根据权利要求41所述的装置,其中,所述第一AP和所述第二AP是相同的AP。
48.根据权利要求41所述的装置,其中,所述至少一个处理器被配置为:
从所述第一AP接收与所述第一密钥进行关联的重新关联标识符;以及
确定从所述第一AP接收的所述重新关联标识符与所述重新关联对象的重新关联标识符匹配,其中,所述至少一个处理器被配置为:响应于确定从所述第一AP接收的所述重新关联标识符与重新关联对象的所述重新关联标识符匹配,来发送所述重新关联对象。
49.根据权利要求41所述的装置,其中,所述响应是通过使用所述第二密钥来加密的,其中,为了认证所述响应,所述至少一个处理器被配置为通过使用所述第二密钥来解密所述重新关联响应消息。
50.根据权利要求41所述的装置,其中,所述至少一个处理器被配置为:
在所述重新关联过程中,导出关于所述第一AP的第三密钥;
建立与所述第三密钥对应的与所述第一AP的所述第一安全关联,其中,所述响应是通过使用所述第三密钥来加密的,并且其中,为了认证所述响应,所述至少一个处理器被配置为通过使用所述第三密钥来解密所述重新关联响应消息。
51.一种用于无线通信的装置,所述装置是接入点(AP),包括:
存储器;以及
至少一个处理器,其耦合到所述存储器并且被配置为:
在重新关联过程中,从站(STA)接收用于建立与所述AP的第一安全关联的重新关联对象,其中,所述重新关联对象是通过使用所述STA未知的第一密钥来加密的,并且其中,所述重新关联对象包括根据在所述STA和AP之间的先前关联过程中的第二安全关联导出的第二密钥;
基于所述第一密钥和所述第二密钥来认证所述重新关联对象;
响应于成功地认证所述重新关联对象,建立与所述STA的所述第一安全关联;以及
向所述STA发送指示所建立的第一安全关联的响应。
52.根据权利要求51所述的装置,其中,所述至少一个处理器被配置为:
在所述先前关联过程中,导出关于所述STA的所述第二密钥;
建立与所述第二密钥对应的与所述STA的所述第二安全关联;
生成所述重新关联对象;
通过使用所述第一密钥来加密所述重新关联对象;以及
向所述STA发送所述重新关联对象。
53.根据权利要求52所述的装置,其中,所述第二密钥是成对临时密钥(PTK),其中,所述第二安全关联是PTK安全关联,并且其中,所述至少一个处理器被配置为在所述重新关联对象中包括指定所述PTK安全关联的信息。
54.根据权利要求52所述的装置,其中,所述至少一个处理器被配置为:
在所述先前关联过程中,获得成对主密钥(PMK);
建立与所述PMK对应的与所述STA的PMK安全关联;以及
在所述重新关联对象中包括指定所述PMK安全关联的信息。
55.根据权利要求52所述的装置,其中,所述至少一个处理器被配置为:
在所述先前关联过程中从所述STA接收第一设备特定信息,以及在所述重新关联对象中包括所述第一设备特定信息;
获得所述STA的因特网协议(IP)地址,以及在所述重新关联对象中包括所述IP地址;
通过使用所述第一密钥来生成所述重新关联对象的数据的完整性码;以及
在所述重新关联对象中包括所述完整性码。
56.根据权利要求51所述的装置,其中,所述重新关联对象包括第一设备特定信息,其中,所述重新关联对象被包括在从所述STA接收的重新关联请求消息中,其中,所述重新关联请求消息还包括与所述STA进行关联的第二设备特定信息,并且其中,所述至少一个处理器被配置为:在所述重新关联过程中,基于将所述第一设备特定信息与所述第二设备特定信息匹配来认证所述重新关联对象。
57.根据权利要求51所述的装置,其中,所述至少一个处理器被配置为:
在所述重新关联过程中,从所述重新关联对象获取所述第二密钥,其中,所述第一安全关联是根据所述第二密钥建立的;以及
通过使用所述第二密钥来加密所述响应。
58.根据权利要求51所述的装置,其中,所述至少一个处理器被配置为:
在所述重新关联过程中,导出关于所述STA的第三密钥,其中,所述第一安全关联是根据所述第三密钥建立的;以及
通过使用所述第三密钥来加密所述响应。
59.根据权利要求51所述的装置,其中,所述至少一个处理器被配置为:
在所述重新关联过程中,从所述重新关联对象获取完整性码;以及
通过使用所述第一密钥和所述完整性码来验证所述重新关联对象的数据的完整性。
60.根据权利要求51所述的装置,其中,所述至少一个处理器被配置为:
在所述重新关联过程中,从所述重新关联对象获取对时间的指示;以及
基于所获取的对时间的指示来确定所述重新关联对象是否到期。
61.一种存储用于站(STA)处的无线通信的计算机可执行代码的计算机可读介质,包括用于如下操作的代码:
在重新关联过程中,向第一接入点(AP)发送重新关联对象以建立与所述第一AP的第一安全关联,其中,所述重新关联对象是通过使用所述STA未知的第一密钥来加密的,并且其中,所述重新关联对象包括根据在所述STA和第二AP之间的先前关联过程中的第二安全关联导出的第二密钥;
从所述第一AP接收指示所述第一安全关联已被成功建立的响应;以及
认证所述响应。
62.一种存储用于接入点(AP)处的无线通信的计算机可执行代码的计算机可读介质,包括用于如下操作的代码:
在重新关联过程中,从站(STA)接收用于建立与所述AP的第一安全关联的重新关联对象,其中,所述重新关联对象是通过使用所述STA未知的第一密钥来加密的,并且其中,所述重新关联对象包括根据在所述STA和AP之间的先前关联过程中的第二安全关联导出的第二密钥;
基于所述第一密钥和所述第二密钥来认证所述重新关联对象;
响应于成功地认证所述重新关联对象,建立与所述STA的所述第一安全关联;以及
向所述STA发送指示所建立的第一安全关联的响应。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/680,023 | 2015-04-06 | ||
| US14/680,023 US9769661B2 (en) | 2015-04-06 | 2015-04-06 | Wireless network fast authentication / association using re-association object |
| PCT/US2016/021604 WO2016164135A1 (en) | 2015-04-06 | 2016-03-09 | Wireless network fast authentication / association using re-association object |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107439029A true CN107439029A (zh) | 2017-12-05 |
Family
ID=55586449
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680020441.5A Pending CN107439029A (zh) | 2015-04-06 | 2016-03-09 | 使用重新关联对象的无线网络快速认证/关联 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9769661B2 (zh) |
| EP (1) | EP3281430A1 (zh) |
| KR (1) | KR20170134457A (zh) |
| CN (1) | CN107439029A (zh) |
| TW (1) | TW201637469A (zh) |
| WO (1) | WO2016164135A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114402564A (zh) * | 2019-09-11 | 2022-04-26 | 国际商业机器公司 | 建立安全性关联和认证以保护发起方与响应方之间的通信 |
| WO2023216215A1 (zh) * | 2022-05-13 | 2023-11-16 | Oppo广东移动通信有限公司 | 上下文管理方法、装置、设备、存储介质及程序产品 |
| WO2024026664A1 (en) * | 2022-08-02 | 2024-02-08 | Qualcomm Incorporated | Reassociation between station and access point |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9998998B2 (en) | 2015-05-14 | 2018-06-12 | Aruba Networks, Inc. | RF signature-based WLAN identity management |
| CN106797559B (zh) * | 2015-08-11 | 2020-07-28 | 华为技术有限公司 | 一种接入认证方法及装置 |
| GB2544491B (en) * | 2015-11-17 | 2022-03-02 | Airbus Defence & Space Ltd | Improvements in and relating to communication links |
| US10791093B2 (en) * | 2016-04-29 | 2020-09-29 | Avago Technologies International Sales Pte. Limited | Home network traffic isolation |
| CN111726842B (zh) * | 2020-05-14 | 2023-03-03 | 深圳互由科技有限公司 | 漫游切换方法、电子设备及计算机可读存储介质 |
| US20210315042A1 (en) * | 2020-06-16 | 2021-10-07 | Ido Ouzieli | Fast reassociation with an access point |
| US11700527B2 (en) | 2021-05-25 | 2023-07-11 | Cisco Technology, Inc. | Collaborative device address rotation |
| US11902775B2 (en) * | 2021-05-28 | 2024-02-13 | Cisco Technology, Inc. | Encrypted nonces as rotated device addresses |
| US11997482B2 (en) * | 2022-02-18 | 2024-05-28 | Qualcomm Incorporated | Association protection for wireless networks |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040240412A1 (en) * | 2003-05-27 | 2004-12-02 | Winget Nancy Cam | Facilitating 802.11 roaming by pre-establishing session keys |
| US20060187878A1 (en) * | 2005-02-18 | 2006-08-24 | Cisco Technology, Inc. | Methods, apparatuses and systems facilitating client handoffs in wireless network systems |
| CN101155396A (zh) * | 2006-09-25 | 2008-04-02 | 联想(北京)有限公司 | 一种终端结点切换方法 |
| US7480939B1 (en) * | 2000-04-28 | 2009-01-20 | 3Com Corporation | Enhancement to authentication protocol that uses a key lease |
| CN101527906A (zh) * | 2009-03-31 | 2009-09-09 | 刘建 | 在扩展服务集中建立安全关联的方法和系统 |
| US7873352B2 (en) * | 2005-05-10 | 2011-01-18 | Hewlett-Packard Company | Fast roaming in a wireless network using per-STA pairwise master keys shared across participating access points |
| CN103716795A (zh) * | 2012-10-09 | 2014-04-09 | 中兴通讯股份有限公司 | 一种无线网络安全接入方法、装置和系统 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6947725B2 (en) * | 2002-03-04 | 2005-09-20 | Microsoft Corporation | Mobile authentication system with reduced authentication delay |
| KR100448318B1 (ko) * | 2002-11-08 | 2004-09-16 | 삼성전자주식회사 | 무선망에서의 핸드오프방법 |
| US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
| US7743408B2 (en) * | 2003-05-30 | 2010-06-22 | Microsoft Corporation | Secure association and management frame verification |
| DE602004009596T2 (de) * | 2003-09-12 | 2008-07-24 | Ntt Docomo Inc. | Sicherer handover innerhalb eines gebietes und gebietsüberschreitend |
| US8713626B2 (en) * | 2003-10-16 | 2014-04-29 | Cisco Technology, Inc. | Network client validation of network management frames |
| US8081759B2 (en) | 2004-09-15 | 2011-12-20 | Nokia Corporation | Apparatus, and an associated method, for facilitating fast transition in a network system |
| US7672459B2 (en) * | 2005-02-18 | 2010-03-02 | Cisco Technology, Inc. | Key distribution and caching mechanism to facilitate client handoffs in wireless network systems |
| US10091648B2 (en) * | 2007-04-26 | 2018-10-02 | Qualcomm Incorporated | Method and apparatus for new key derivation upon handoff in wireless networks |
| EP2156600B1 (fr) * | 2007-06-14 | 2019-12-04 | Orange | Procédé de distribution de clé d'authentification, terminal, serveur de mobilité et programmes d'ordinateurs correspondants |
| US8910255B2 (en) | 2008-05-27 | 2014-12-09 | Microsoft Corporation | Authentication for distributed secure content management system |
| US8566596B2 (en) | 2010-08-24 | 2013-10-22 | Cisco Technology, Inc. | Pre-association mechanism to provide detailed description of wireless services |
| CN108834135B (zh) * | 2012-06-28 | 2022-09-06 | 黄金眼科技有限公司 | Aid再分配方法以及用于执行所述aid再分配方法的装置 |
| EP2866513B1 (en) * | 2012-09-26 | 2017-11-08 | LG Electronics Inc. | Method and apparatus for gaining access in wireless lan system |
| US9655012B2 (en) | 2012-12-21 | 2017-05-16 | Qualcomm Incorporated | Deriving a WLAN security context from a WWAN security context |
-
2015
- 2015-04-06 US US14/680,023 patent/US9769661B2/en not_active Expired - Fee Related
-
2016
- 2016-03-09 KR KR1020177028181A patent/KR20170134457A/ko unknown
- 2016-03-09 TW TW105107229A patent/TW201637469A/zh unknown
- 2016-03-09 EP EP16710908.1A patent/EP3281430A1/en not_active Withdrawn
- 2016-03-09 WO PCT/US2016/021604 patent/WO2016164135A1/en active Application Filing
- 2016-03-09 CN CN201680020441.5A patent/CN107439029A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7480939B1 (en) * | 2000-04-28 | 2009-01-20 | 3Com Corporation | Enhancement to authentication protocol that uses a key lease |
| US20040240412A1 (en) * | 2003-05-27 | 2004-12-02 | Winget Nancy Cam | Facilitating 802.11 roaming by pre-establishing session keys |
| US20060187878A1 (en) * | 2005-02-18 | 2006-08-24 | Cisco Technology, Inc. | Methods, apparatuses and systems facilitating client handoffs in wireless network systems |
| US7873352B2 (en) * | 2005-05-10 | 2011-01-18 | Hewlett-Packard Company | Fast roaming in a wireless network using per-STA pairwise master keys shared across participating access points |
| CN101155396A (zh) * | 2006-09-25 | 2008-04-02 | 联想(北京)有限公司 | 一种终端结点切换方法 |
| CN101527906A (zh) * | 2009-03-31 | 2009-09-09 | 刘建 | 在扩展服务集中建立安全关联的方法和系统 |
| CN103716795A (zh) * | 2012-10-09 | 2014-04-09 | 中兴通讯股份有限公司 | 一种无线网络安全接入方法、装置和系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114402564A (zh) * | 2019-09-11 | 2022-04-26 | 国际商业机器公司 | 建立安全性关联和认证以保护发起方与响应方之间的通信 |
| CN114402564B (zh) * | 2019-09-11 | 2024-04-26 | 国际商业机器公司 | 建立安全性关联和认证以保护发起方与响应方之间的通信 |
| WO2023216215A1 (zh) * | 2022-05-13 | 2023-11-16 | Oppo广东移动通信有限公司 | 上下文管理方法、装置、设备、存储介质及程序产品 |
| WO2024026664A1 (en) * | 2022-08-02 | 2024-02-08 | Qualcomm Incorporated | Reassociation between station and access point |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016164135A1 (en) | 2016-10-13 |
| EP3281430A1 (en) | 2018-02-14 |
| US20160295409A1 (en) | 2016-10-06 |
| KR20170134457A (ko) | 2017-12-06 |
| TW201637469A (zh) | 2016-10-16 |
| US9769661B2 (en) | 2017-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107439029A (zh) | 使用重新关联对象的无线网络快速认证/关联 | |
| CN103686709B (zh) | 一种无线网格网认证方法和系统 | |
| CN100579304C (zh) | 利用密钥重定认证漫游移动节点的方法和装置 | |
| US8594109B2 (en) | Wireless extender secure discovery and provisioning | |
| US8254581B2 (en) | Lightweight key distribution and management method for sensor networks | |
| EP1639756B1 (en) | Facilitating 802.11 roaming by pre-establishing session keys | |
| CN104604206B (zh) | 用于安全地传送和接收发现和寻呼消息的系统、方法和设备 | |
| JP2010503330A (ja) | アドホック無線ネットワークのノード間においてセキュリティ・アソシエーションを確立するための方法及び装置 | |
| Dantu et al. | EAP methods for wireless networks | |
| CN105323754B (zh) | 一种基于预共享密钥的分布式鉴权方法 | |
| WO2012019466A1 (zh) | 邻居用户终端间保密通信方法、终端、交换设备及系统 | |
| Cao et al. | G2RHA: Group-to-route handover authentication scheme for mobile relays in LTE-A high-speed rail networks | |
| Li et al. | Efficient authentication for fast handover in wireless mesh networks | |
| Yan et al. | A lightweight and secure handover authentication scheme for 5G network using neighbour base stations | |
| Kumar et al. | Design of a USIM and ECC based handover authentication scheme for 5G-WLAN heterogeneous networks | |
| Singh et al. | Elliptic curve cryptography based mechanism for secure Wi-Fi connectivity | |
| Doh et al. | Key establishment and management for secure cellular machine-to-machine communication | |
| Rong et al. | Wireless network security | |
| Wang et al. | Compromise‐Resistant Pairwise Key Establishments for Mobile Ad hoc Networks | |
| Haq et al. | Towards Robust and Low Latency Security Framework for IEEE 802.11 Wireless Networks | |
| Mache et al. | Exploiting heterogeneity for sensor network security | |
| Sithirasenan et al. | Enhanced CRA protocol for seamless connectivity in wireless networks | |
| Choi et al. | Improvement of security protocol for machine type communications in LTE-advanced | |
| Kassab et al. | Securing fast handover in WLANs: a ticket based proactive authentication scheme | |
| CN1996838A (zh) | 一种多主机WiMAX系统中的AAA认证优化方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20171205 |