CN108293185B - 无线设备认证方法和装置 - Google Patents
无线设备认证方法和装置 Download PDFInfo
- Publication number
- CN108293185B CN108293185B CN201680051224.2A CN201680051224A CN108293185B CN 108293185 B CN108293185 B CN 108293185B CN 201680051224 A CN201680051224 A CN 201680051224A CN 108293185 B CN108293185 B CN 108293185B
- Authority
- CN
- China
- Prior art keywords
- authentication
- authentication information
- information element
- frame
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0492—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种用于认证定向多千兆位设备以在IEEE 802.11兼容无线网络中进行通信的方法和装置。网络关联和认证可并行执行,其中关联和认证信元包含在公共帧中。认证信元包含在所述无线网络中的接入点和所述设备之间传输的至少一个管理帧,有可能是管理帧序列中。所述认证信元因此在所述接入点和所述设备之间进行交换。所述交换的认证信元用于确定所述接入点和所述设备都拥有通用加密密钥。所述交换的管理帧还能够促进网络关联。认证信元也可包含在非管理帧中。所述认证信元的格式已经呈现。
Description
相关申请案交叉申请
本专利申请要求2015年9月4日递交的发明名称为“无线设备认证的方法和装置(METHOD AND APPARATUS FOR ASSOCIATION AND AUTHENTICATION OF WIRELESSDEVICES)”的第62/214,370号美国专利申请案的在先申请优先权,该在先申请的全部内容以引用的方式并入本文中,并且,本申请还要求2015年9月18日递交的发明名称为“无线设备认证方法和装置(METHOD AND APPARATUS FOR ASSOCIAT ION AND AUTHENTICATION OFWIRELESS DEVICES)”的第62/220,828号美国专利申请案的在先申请优先权,该在先申请的全部内容也以引用的方式并入本文本中。此外,本专利申请要求2016年2月29日递交的发明名称为“无线设备认证的方法和装置(METHOD AND APPARATUS FOR ASSOCIATION ANDAUTHENTICATION OF WIRELESS DEVICES)”的第15/056,078号美国专利申请案的在先申请优先权,该在先申请的全部内容也以引用的方式并入本文本中。
技术领域
本发明涉及无线网络管理领域,尤其涉及一种用于IEEE 802.11兼容设备等无线设备的认证的方法和系统。
背景技术
为了使无线设备完全接入IEEE 802.11兼容无线通信网络,无线设备必须首先要与网络进行认证和关联。认证要求无线设备建立其身份,而网络关联对应于无线设备到网络接入点的注册,以便可以正确地下发数据。另外,为了建立更安全的网络接入,无线设备有时通过鲁棒安全网络关联(Robust Security Network Association,RSNA)算法进行进一步认证。
然而,当前的认证和关联流程,尤其是针对定向多千兆位(DirectionalMultigigabit,DMG)和增强型定向多千兆位设备,可能耗时。多个握手消息可能导致显著的时延,其中握手消息以严格的顺序每次处理一个,这对某些应用造成不利影响。例如,https://mentor.ieee.org网站可获得的2015年5月发表的名称为“IEEE 802.11TGay用例(IEEE 802.11TGay Use Cases)”的文献IEEE 802.11-2015/0625r1针对未来的IEEE802.11网络应用提出了若干个用例,其中一些需要无线设备以很小的时延地接入网络。一个此类用例对应于超短距离(Ultra Short Range,USR)通信,其中用户在10cm不到的距离处、在不到1秒之内无线下载海量数据。在该用例中链接建立时间需要小于100ms。这样,IEEE 802.11网络中关联和认证的当前方法,尤其是针对DMG和增强型DGM设备,对于当前和未来的一些用例可能不够好。
各种IEEE 802.11管理帧包括一个包含一个或多个级联信元的部分。选择的信元类型能够嵌入在给定的管理帧内。已有的信元类型包括那些可用于传送服务集标识符(service set identifier,SSID)的类型,支持的数据速率、配置通信的参数集,例如跳频参数集、直接序列参数集、免竞争参数集、流量指示地图、独立基础服务集参数集、挑战文,以及供应商特定信元。IEEE 802.11标准可扩展到包括其它类型的至今尚未确定的信元。
因此,需要一种用于无线设备认证的方法和装置,减少现有技术中的一个或多个限制,例如由于认证流程的延迟而导致的时间限制。
提供该背景信息是为了揭示申请人认为与本发明可能相关的信息。无需承认也不应当解释为任何上述信息构成了本发明的现有技术。
发明内容
本发明实施例的目的在于提供一种用于无线设备认证的方法和装置,其中无线设备包括与现有IEEE 802.11ad标准兼容的DMG设备,和/或与在DMG基础上开发的IEEE802.11ay标准兼容的增强型DMG设备。根据本发明实施例,提供了一种认证方法,所述方法包括:
将一个或多个认证信元包含在无线网络中的第一设备和第二设备之间进行传输的一个或多个相应帧中,所述一个或多个认证信元包括认证流程中使用的数据,所述数据用于确定所述第一设备和所述第二设备都拥有通用加密密钥。
根据本发明实施例,提供了一种第一设备,包括处理器,所述处理器耦合到无线网络接口并且用于:
将一个或多个认证信元包含在通过无线网络从所述第一设备传输到第二设备的一个或多个相应帧中,所述一个或多个认证信元包括认证流程中使用的数据,所述数据用于确定所述第一设备和所述第二设备都拥有通用加密密钥
所述第一设备可以是站点或接入点。所述认证信元可以是认证握手流程的一部分。
根据本发明实施例,提供了一种认证方法,所述方法包括:
生成包括在认证流程中使用的数据的认证信元,所述数据用于确定所述设备和第二设备都拥有通用加密密钥,所述数据包括以下内容中的一个或多个:指示多个预共享密钥中要用在所述认证流程中的预共享密钥的密钥标识符,在所述认证流程中使用的随机数,以及在认证流程中使用的消息完整性校验值;以及
将所述认证信元包含在通过无线网络从所述第一设备传输到所述第二设备的帧中。
根据本发明实施例,提供了一种第一设备,包括处理器,所述处理器耦合到无线网络接口并且用于:
生成包括在认证流程中使用的数据的认证信元,所述数据用于确定所述设备和第二设备都拥有通用加密密钥,所述数据包括以下内容中的一个或多个:指示多个预共享密钥中要用在所述认证流程中的预共享密钥的密钥标识符,在所述认证流程中使用的随机数,以及在认证流程中使用的消息完整性校验值;以及
将所述认证信元包含在通过无线网络从所述第一设备传输到所述第二设备的帧中。所述设备可以是站点或接入点。所述认证信元可以是认证握手流程的一部分。
根据本发明实施例,提供了一种增强型定向多千兆位站点设备,用于:将认证信元包含在网络关联流程期间由所述设备传输的管理帧中,所述认证信元可用于执行与所述网络关联流程并行操作的基于预共享密钥的认证和密钥生成流程中,从而减少达到所述设备的关联和认证状态的时间。
附图说明
通过阅读以下结合附图所作的详细描述将容易了解本发明的更多特征和优势,在附图中:
图1示出了IEEE 802.11ad认证状态机。
图2示出了IEEE 802.11ad认证/关联流程的图。
图3示出了根据本发明实施例的认证/关联流程的图。
图4示出了根据本发明其它实施例的认证/关联流程的图。
图5示出了根据本发明其它实施例的认证/关联流程的图。
图6A示出了根据本发明其它实施例的认证/关联流程的图。
图6B示出了根据本发明其它实施例的认证/关联流程的图。
图7示出了根据本发明实施例提供的认证信元格式。
图8示出了根据本发明实施例的显示用于处理认证信元的各种操作规则的TRUE值表。
图9示出了根据本发明一实施例的有关在研IEEE 802.11ay标准中使用的提议认证密钥管理套件的图表。
图10示出了根据本发明实施例提供的鲁棒安全网络(Robust Secure Network,RSN)信元。
图11示出了根据本发明实施例提供的加密密钥层级。
图12示出了根据本发明另一项实施例提供的加密密钥层级。
图13示出了根据本发明一实施例提供的与设备进行通信的接入点。
图14示出了根据本发明一实施例的接入点或设备的结构方框图。
图15示出了根据本发明一实施例的接入点或设备的功能方框图。
图16示出了根据本发明另一实施例的接入点或设备的功能方框图。
将注意到,在所有附图中,相同的特征由相同的附图标记表示。
具体实施方式
本发明实施例涉及使用嵌入帧内的信元来执行认证操作,这些帧在IEEE 802.11兼容无线通信网络中进行传输,但该网络不一定限于IEEE 802.11ad或IEEE 802.11ay兼容网络等。在各个实施例中,包含信元的帧为管理帧。在这类实施例中,对各个管理帧的通信进行修改,这些帧包括但不限于与无线设备接入和/或关联IEEE 802.11网络相关联的帧,使得管理帧包括用于无线设备认证的其它信息。其它信息可对应于安全加密密钥认证。在一个示例中,无线设备认证可与相同的管理帧促使的其它任务同时执行。这样,认证有可能与其它操作并行进行。可选地,管理帧可专门用来执行认证。管理帧能够促使设备同时进行网络接入,即与认证并行。具有认证信元的管理帧可以在IEEE 802.11关联流程之前和期间进行传输。
在各实施例中,认证信元捎带在其它帧内,且其它帧为了另一目的已经进行了交换,例如为了关联目的或其它目的而进行交换的管理帧,或数据帧,等等。因此,认证流程可能不需要属于自己的单独专用帧。至于管理帧,认证能够与为了执行关联过程而对进行交换的管理帧基本上并行执行,从而减少达到关联和认证状态所需的时间。在各实施例中,并行认证能够在没有首先要求确定相对无线设备的特定状态的情况下执行。
在一些实施例中,至少一部分包括信元的帧为其它帧,例如数据帧。数据帧也可携带将要传输到无线设备或传输自无线设备的数据。包含认证信元的数据帧,以及在认证完成之前传送的其它数据帧可进行交换,即使无线设备还没进行认证。因此,可以期望在传输的前几个数据帧内交换认证信元,以便在认证完成之前最小化数据传输。在一些实施例中,至少一个用于无线设备关联的管理帧加上至少一个在关联之后进行传输的数据帧用于传送认证信元。在一些实施例中,关联后进行交换的前几个数据帧可以用于携带部分或所有认证信元。数据帧中的认证信元是指数据帧内的数据单元,该数据单元具有如本文所述的认证信元的结构和/或内容。
本发明实施例针对一种用于认证设备以在IEEE 802.11兼容无线网络中进行通信的方法。设备可以是无线终端、移动设备或其它设备。该方法包括将认证信元添加到在无线网络的接入点和设备之间进行传输的帧中,例如从接入点传输到设备,反之亦然。认证信元包括认证流程中使用的数据,用于确定接入点和设备都拥有通用加密密钥。在一些实施例中,帧为管理帧。在一些实施例中,帧为数据帧或其它类型的帧。
在一些实施例中,数据可包括以下内容中的一个或多个:指示多个预共享密钥中的哪一个密钥要在认证流程中使用的密钥标识符、所述认证流程中使用的随机数,以及认证流程中使用的消息完整性代码。每个认证信元可以进行自定义来携带一个或多个选择类型的数据,这取决于认证流程当前需要的数据类型。携带的选择类型的数据可通过认证信元内特定字段的分析而确定。此外或可选地,携带的选择类型的数据可以基于认证信元传输的上下文来确定。
在各实施例中,无线通信设备用于将指示比特(标志)设置在设备之间传输的合适帧中,例如管理帧,更具体地是管理帧内的鲁棒安全网络(Robust Security Network,RSN)能力字段。RNS能力字段的先前预留或未使用的比特可用作指示比特。当进行设置时,指示比特可用于开始使用如本文所述的认证流程,特别是包括使用所描述的认证信元的认证。
在一些实施例中,该方法包括将认证信元序列添加到相应帧序列中,帧包括管理帧、数据帧或其组合,这些帧在无线网络的接入点和设备之间进行交换。因此,认证信元也在接入点和设备之间进行交换。在各实施例中,交换相继发生,而且某些认证信元的内容可取决于先前接收到的认证信元的内容。认证信元的交换被配置且用于执行认证握手流程以确定接入点和设备都拥有通用加密密钥。
在各实施例中,将认证信元包含在管理帧等帧内涉及将认证信元附加到帧中。
管理帧可包括信标帧、通告帧、探测请求帧、探测响应帧、关联请求帧、关联响应帧、重关联请求帧、重关联响应帧、SSW帧等。作为网络接入和/或关联操作的一部分进行交换的管理帧序列可以确定并且用于在设备和接入点之间以所需的顺序传送认证信元。所需的顺序也可指定信息交换的方向。例如,在一项实施例中,第一认证信元从接入点传输到用户设备,第二认证信元从用户设备传输到接入点,以此类推。
虽然本发明各实施例依赖管理帧的使用,例如作为网络接入和/或关联流程的一部分传递的管理帧,为了捎带认证信息,可以设想,如上文已说明的那样,认证信元可包含在设备和接入点之间定期传递的其它消息中。这些消息可用于网络接入、网络关联、数据交换或其它目的。因此,预先存在的消息类型调整后包括认证信元序列。预先存在的消息类型可根据协议或标准而定义,并可用于以适合执行认证流程的特定方式发挥作用。具体地,消息类型可以以特定顺序和特定方向组合(例如,从设备到接入点或反之)进行交换,该特定方向组合与认证信元交换所需的顺序和消息方向相匹配。至于数据帧,可选择传输到无线设备和传输自无线设备的所有数据帧的子序列,用来携带认证信元。子序列可对应于以特定方向组合进行交换的数据帧,该特定方向组合与认证信元交换所需的顺序和消息方向相匹配。
如上所述,认证信元的交换被配置并且用于确定接入点和设备都拥有通用加密密钥。在一些实施例中,该密钥可以为接入点和设备都拥有的若干共享密钥中的一个密钥。此时,还可以继续定义若干共享密钥中的哪一个用作通用加密密钥,例如下文所述。具体地,认证信元可包括指示使用哪一个共享密钥的密钥标识符。在其它实施例中,接入点和设备都仅拥有一个共享密钥。
可以采用多种确定双方都拥有通用加密密钥的方法,而无需通过可能不安全的信道来传输密钥。具体地,本发明实施例采用了一种用于确定鲁棒安全网络关联(RobustSecurity Network Association,RSNA)的方法。一种根据应用IEEE 802.1x协议的IEEE802.11的方法,例如封装在EAPoL帧中的方法,是指局域网(local area network,LAN)上的可扩展认证协议(Extensible Authentication Protocol,EAP),可用于此目的。这可包括在认证IE而不是EAPoL帧内执行部分或全部四步握手。在一些实施例中,可执行四步握手的前三部分。也就是,四步握手的结束确认消息可忽略或可选。四步握手的这种修订版本在本文中称为简略版握手。在各实施例中,忽略或可选结束确认消息的这种握手形式在其为特定应用提供足够的网络安全水平时可采用。在各实施例中,认证信元包括指示哪个握手消息、哪个四步握手或简略版握手正在传送的字段。
本发明的一些实施例具体地针对定向多千兆位(directional multigigabit,DMG)设备的操作和调整以及能够服务DMG或EDMG终端设备的接入点,DMG设备可包括增强型DMG(enhanced DMG,EDMG)设备。DMG设备根据应用通过高度定向的波束和相对较短的范围进行无线通信,例如范围大约为若干厘米或若干米。例如,通信可以在60GHz频带内,并且可获得每秒若干(例如20)千兆位的数据速率。设备可以指如IEEE 802.11ad和草案IEEE802.11ay标准规定的定向多千兆位(directional multigigabit,DMG)站点(station,STA)。另外,接入点可以指如IEEE 802.11ad和草案IEEE 802.11ay标准规定的个人基本服务集(personal basic service set,PBSS)控制点/接入点(control point/accesspoint,PCP/AP))。虽然本文描述的各个示例和实施例是指DMG STA和PCP/AP,但应该很容易理解,可用其它类型的无线设备替代DMG STA,以及可用其它类型的接入点替代PCP/AP。
本发明的一些实施例针对涉及DMG设备的特定操作情况或用例。具体而言,在各实施例中,本发明用于在窃取和中间人攻击的可能性减轻的情况下进行DMG设备与接入点的认证和关联。这样的环境可对应于与接入点靠近的DMG设备,不期望其它设备靠近接入点。
例如,DGM设备和接入点可参与超短距离(ultra shortrange,USR)通信,在这种通信中便携式用户设备无线连接到固定设备,例如收费站或公用电话亭。便携式用户设备可从固定设备在有限时帧内,例如5秒内,下载海量数据。链路距离大约为10cm,通常在视距传输的情况下。每次仅单个便携式用户设备连接到固定设备,通常在没有其它设备的干扰的情况下。
又例如,DMG设备和接入点可对应于智能家庭中近距离操作的两个设备。机顶盒、媒体播放器、平板电脑或智能手机等源设备可将媒体内容等数据流式传输到如智能TV或显示器等宿设备。这些设备通常近距离操作,例如在小于5米的距离进行操作。给定时间内仅存在单个链路,通常在没有其它设备的干扰的情况下。
上述的两个示例可对应于如文档“IEEE 802.11TGay Use Cases”规定的用例#1和#2,如本文档背景技术中引用的那样。
本发明实施例针对IEEE 802.11兼容无线通信设备。设备至少包括通常连接到存储组件的处理器,该处理器连接到能够以IEEE 802.11兼容方式与接入点进行双向通信的无线网络接口。处理器和无线网络接口以合作方式用于将认证信元包含在管理帧或其它帧等帧中,以从设备传输到无线网络中的IEEE 802.11兼容接入点。认证信元包括认证流程中使用的数据,用于确定接入点和设备都拥有通用加密密钥。
在一些实施例中,处理器和无线网络接口以合作方式用于从帧中读取认证信元,其中该帧包括由设备从IEEE 802.11兼容接入点等接收的管理帧或其它帧。
在一些实施例中,处理器还用于执行认证流程的至少一部分。此外或可选地,接入点的处理器可用于执行认证流程的至少一部分。
在一些实施例中,设备的处理器和无线网络接口以合作方式用于从由IEEE802.11兼容接入点传输的第一组帧中的相应帧中读取第一组认证信元。处理器和无线网络接口还以合作方式用于将第二组认证信元包含在从无线通信设备传输的由接入点接收的第二组帧中。因此,第一组和第二组帧用于在接入点和设备之间交换第一组和第二组认证信元。第一组和第二组帧中的一些或所有帧可以为管理帧。第一组和第二组认证信元包括数据单元序列。处理器还用于使用交换的数据单元序列来执行认证握手流程以建立接入点和设备都拥有通用加密密钥。另外或可替代地,接入点的处理器可用于使用交换的认证信元确定接入点和设备都拥有通用加密密钥。在一些实施例中,携带认证信元的第一和第二组管理帧还可用于通过无线通信设备同时建立网络接入。
本发明实施例针对IEEE 802.11兼容接入点,例如IEEE 802.11ad或802.11ay兼容接入点。接入点包括至少一个通常连接到存储组件的处理器,该处理器连接到能够以IEEE802.11兼容方式与其它设备进行双向通信的无线网络接口。处理器和无线网络接口合作用于将认证信元包括在管理帧等帧中,用于从设备传输到无线网络的IEEE 802.11兼容无线通信设备。认证信元包括认证流程中使用的数据,用于确定接入点和设备都拥有通用加密密钥。
在一些实施例中,处理器和无线网络接口以合作方式用于从帧中读取认证信元,该帧由接入点从例如IEEE 802.11兼容无线通信设备进行接收。在一些实施例中,处理器还用于执行认证流程的至少一部分。
在一些实施例中,接入点的处理器和无线网络接口以合作方式用于将第一组认证信元包含在由接入点进行传输的第一组帧中的相应帧中。处理器和无线网络接口还以合作方式用于从IEEE 802.11兼容无线通信设备进行传输的第二组帧中读取第二组认证信元。因此,第一组和第二组帧用于在接入点和设备之间交换第一组和第二组认证信元。第一组和第二组认证信元包括数据单元序列。处理器还用于使用交换的数据单元序列来执行认证握手流程,用于确定接入点和设备都拥有通用加密密钥。第一组和第二组帧可为管理帧,还可用于通过无线通信设备同时建立网络接入。
图1示出了如IEEE 802.11ad标准的第10.3.2节所规定的认证状态机的一个版本。对于DMG STA设备,状态机开始于状态2并前进到状态4,一般要经过状态3。状态机在本文用于以简化格式表示设备行为和内部逻辑状态,涉及关联和认证。因此,设备处于状态机的特定状态的语句应解释为关于设备的行为和内部逻辑状态的语句。如图所示,当PBSS四步握手成功时,指定从状态2到状态4的直接转变。然而,本文观察到,IEEE 802.11ad标准指定PBSS四步握手只能从状态3开始进行。因此,该特定简化转变当前不能完全启动。
图2示出了根据IEEE 802.11ad标准的认证/关联流和信任第三方(trusted thirdparty,TTP)认证,例如如该标准的第11.5.1.3.5节规定那样。IEEE 802.11认证请求和IEEE802.11认证响应消息不用于与DMG STA设备的通信。关联和认证步骤为连锁步骤流程,与RSNA信任模型兼容。然而,这些按序执行的流程花费大量时间来完成。
更详细地,图2示出了关于设备关联和认证的状态2、3、4(对应于图1中的状态2、3和4)之间的进程。PBSS控制点/接入点(PBSS control point/access point,PCP/AP)210等接入点首先传输第一管理帧220,其可以是信标帧、公告帧或探测响应帧。DMG STA 215接收第一管理帧,需要安全附着到接入点(PCP/AP)服务的网络。由于该设备为DMG设备,所以忽略通常存在的802.11认证请求和802.11认证响应消息225,而且状态机前进到状态2,如标准所规定。
开始于状态2,DMG STA将802.11关联请求230传输到接入点(PCP/AP)。作为响应,接入点(PCP/AP)将802.11关联响应235与鲁棒安全网络(Robust Secure Network,RSN)信元(information element,IE)一起传输给DMG STA。随后,EAPol认证过程通过将EAPol开始帧240从DMG STA传输到接入点(PCP/AP)来进行发起。接入点(PCP/AP)将EAP请求确认帧245传输到DMG STA,而DMG STA通过将EAP响应确认帧250传输到接入点(PCP/AP)进行响应。EAP响应确认帧包括与DMG STA相关联的标识符,例如用户ID。
在从DMG STA接收标识符之后,接入点(PCP/AP)将拨号用户远程认证服务(RemoteAuthentication Dial In User Service,RADIUS)请求消息255传输给信任第三方认证服务器。在第三方认证成功之后,认证服务器将EAP成功消息260传输给接入点(PCP/AP)。作为响应,接入点(PCP/AP)将EAPol成功帧265传输给DMG STA。接入点(PCP/AP)和DMG STA都先后进入状态3。
对应于状态2到状态3的进程的上述操作能够对应于EAP认证。一部分EAP认证捎带在接入点(PCP/AP)和DMG STA之间传送的EAPol管理帧上。另一部分EAP认证通过从接入点(PCP/AP)到认证服务器的Radius请求和来自认证服务器的相应响应来执行。
继续结合图2,状态3(在其中确定了认证和关联)到状态4(在其中建立了RSNA状态,需要时)的进程一般通过PBSS四步握手270的成功执行而继续。PBSS四步握手涉及:将第一随机数值(ANonce)从接入点(PCP/AP)传输到DMG STA;由DMG STA构建成对临时密钥(pairwise transient key,PTK);将第二随机数值(SNonce)与消息完整性校验(messageintegrity check,MIC))一起从DMG STA传输到接入点(PCP/AP);接入点(PCP/AP)构建PTK;构建组临时密钥(group temporal key,GTK),并且将GTK与MIC一起从接入点(PCP/AP)发送到DMG STA;以及将确认从DMG STA传输到接入点(PCP/AP)。
需要注意的是,图2的上述流程仅仅是说明且可以以本领域工作人员容易理解的各种传统方式进行调整。例如,鉴于上文可采用EAP认证,其它传统认证方法也是可能的。
本发明的一些实施例提供了花费更少时间、交换更少消息同时保持至少部分与IEEE 802.11ad标准向后兼容的认证机制。例如,如IEEE 802.11ad标准的第10.3.2节和第11.5.1.3.5节描述的认证和关联方案可保持完整不变。此外,如IEEE 802.1x认证协议所述的现有RSNA兼容认证/关联状态机可用在本发明实施例中,如本文所述。
本发明的一些实施例用于特定环境下而不是所有环境下的认证和关联。此外,需要注意的是,在一些环境下,设备具有不同于其它环境下的预共享凭证。例如,如上所述和在上面引用的“IEEE 802.11Tgay用例”文件中的用例#1和#2中,USR和智能家庭环境中的设备可具有第一类型的预共享凭证,而如上面引用的“IEEE 802.11Tgay用例”文件中的用例#4和#5所述,数据中心机架间连接应用和视频/海量数据分发或视频点播系统中的设备可具有第二种不同类型的预共享凭证。可能会需要不同的认证方案来满足这些不同情况下的可能不同的时序需求。此外,传统IEEE 802.11ad流程等其它认证和关联流程可用于一些环境下的认证和关联。
图3示出了根据本发明实施例的IEEE 802.11兼容网络中使用的关联和认证流程。该实施例可对应于定向多千兆位(directional multigigabit,DMG)场景等,在该场景中,站点设备和接入点通过高定向的波束和相对较短的范围进行无线通信。本实施例使用DMG管理帧来传送认证信元。而且,在各个实施例中,该站点设备和接入点非常靠近,而且没有其它站点设备靠近接入点。因此,可减轻各种安全问题,例如窃取和中间人攻击。在下文中,应该理解的是,可以类似于传统PBSS四步握手的类似操作构建成对临时密钥(pairwisetransient key,PTK)等密钥、生成随机数和消息完整性校验(message integrity check,MIC)以及进行其它有关加密和认证的操作。因此,这些操作的各种传统实现细节在下文中省略。
参考图3,接入点(PCP/AP)310传输第一DMG管理帧320,例如信标帧、公告帧或探测响应帧。第一认证信元321与标志位323一起包含在第一管理帧中,例如附加到第一管理帧中,标志位323指示如本文所述的并行认证流程可以使用。第一认证信元包括第一随机数322,标记为ANonce,可能还包括(例如级联有)其它信息。
包括第一认证信元的第一管理帧320由DMG STA315接收。如图2的场景中,对于DMG场景,最初认为接入点和站点设备都处于认证状态机的状态2 360中。随后,DMG STA基于包括接收到的ANonce,DMG STA生成的标记为SNonce的第二随机数以及预共享密钥的信息来构建325成对临时密钥(pairwise transient key,PTK)。
此外,DMG STA准备和传输第二管理帧330,其要么是802.11关联请求管理帧,要么是802.11重新关联请求管理帧,这取决于是否需要如802.11标准规定的关联或重关联。第二认证信元331包含在第二管理帧中,例如附加到其中。第二认证信元包括DMG STA生成的第二随机数SNonce332以及针对第二认证信元生成的视作消息的消息完整性校验(messageintegrity check,MIC)值333。MIC值通过IEEE标准文件的第11.6.6节和第M2.2节进行计算,即“第11部分:无线LAN介质访问控制(medium access control,MAC)和物理层(physical layer,PHY)规范”版本12.0,IEEE计算机协会,2012年3月。IEEE 802.11REVmb-D12.0标准文档还描述了MIC值计算。将一个消息并可能与共享秘密密钥一起提供作为MIC哈希函数的输入来导出MIC值,其中MIC哈希函数的输出对应于MIC值。
在接入点(PCP/AP)接收第二随机数SNonce之后,接入点(PCP/AP)基于包括第一随机数、接收到的第二随机数以及预共享密钥的信息来构建335该PTK。还对第二管理帧中接收到的MIC进行验证。例如,接入点(PCP/AP)所构建的PTK能够用于基于接收到的消息生成MIC的另一副本,而且生成和接收到的MIC副本能够进行比较以确定他们是否匹配。(匹配意味着相同的PTK由接入点(PCP/AP)和DMG STA共享。)如果匹配,那么接入点(PCP/AP)可认为要建立认证。
接入点(PCP/AP)准备和传输第三管理帧340,其要么是802.11关联响应管理帧,要么是802.11重新关联响应管理帧,这取决于是否需要802.11标准规定的关联或重关联。第三认证信元341包含在第三管理帧中,例如附加到其中。第三认证信元341包括又一消息完整性校验(message integrity check,MIC)值343。又一MIC值343基于第三认证信元的内容生成,视为输入到对应MIC哈希函数的消息,共享秘密密钥有可能一起输入到MIC哈希函数中。
随后,在DMG STA接收第三认证信元之后,DMG STA基于接收到的认证信元将第三认证信元中包含的MIC与DMG STA生成的对应又一MIC进行比较。所生成的和接收到的MIC的副本可以进行比较以确定是否匹配。如果匹配,那么DMG STA可认为要建立认证。
在接入点(PCP/AP)认为认证和关联已建立之后,接入点(PCP/AP)前进到认证/关联状态机的状态3和状态4 370(标记为状态3/4)。在DMG STA认为认证已建立之后,DMG STA也前进到认证/关联状态机的状态3和状态4 372。更普遍的是,接入点(PCP/AP)和DMG STA可认为认证和关联要在如上所述的消息发送和MIC确认的成功完成之后建立。
与认证同时,图3所示的消息传送也执行802.11关联或重关联操作。也就是,第一、第二和第三管理帧促进DMG STA和接入点(PCP/AP)的关联和重关联,如下所述。
802.11关联请求管理帧或802.11重关联请求管理帧包括接入点使用的相关信息。具体地,该信息由接入点用来分配资源给站点设备的无线网络接口控制器(networkinterface controller,NIC)并与其同步。关联请求帧携带者关于NIC的信息,例如支持的数据速率,以及目标网络的服务集标识符(service set identifier,SSID)。
802.11关联响应关联帧或802.11重关联响应管理帧包括关联或重关联请求的接受或拒绝指示。该帧可包括关联标识符和支持的数据速率等其它信息。
需要注意的是,包含在PBSS四步握手的传统方式中,从DMG STA到接入点(PCP/AP)的确认消息在本发明的各个实施例中被省略。该省略可减少消息传送开销并且缩短关联/认证流程的长度。对于各种场景,例如在站点设备和接入点非常靠近而且没有其它站点设备靠近接入点的那些场景中,从安全角度看可被接受,只要提供了足够的安全水平。图3示出了可选确认消息345,类同于PBSS四步握手的可选确认消息,例如为了密钥确认目的,PBSS四步握手可包含在本发明的一些实施例中。该确认消息可通过自己或作为包含在或附加到又一帧中的又一认证信元进行传输,又一帧包括从DMG STA传输到接入点(PCP/AP)的管理帧或数据帧等。在一些实施例中,确认消息包含在确认帧中或扇形扫描(sectorsweep,SSW)报告帧中。
在一些实施例中,本发明在特定条件下进行实施,例如当传统使用的状态变量“dot11RSNAActivated”设置为TRUE时,RSNA在PBSS中的使用基于IEEE 802.1x认证和密钥管理协议。“dot11RSNAActivated”状态变量的使用在IEEE 802.11REVmb-D12.0标准文件的表8-20(第465页)中进行了描述。dot11RSNAActivated状态变量提供在从接入点(例如PCP/AP)通过信标传输的指示内。状态变量的TRUE值通告接入点支持RSNA认证。接收到状态变量的TRUE值的DMG STA站点设备用于通过根据本发明实施并行认证和关联而进行响应。
在一些实施例中,本发明提供了无需信任的第三方认证服务器的认证。这样可加快认证。
在各实施例中,用于生成PTK的预共享密钥为公共秘密密钥K。该公共秘密密钥K可有不同的长度,但在各实施例中,推荐至少长128比特,以实现RSNA兼容的安全水平保障。该公共共享密钥可以加密安全方式进行建立,例如,根据“建立无线鲁棒安全网络:IEEE802.11i指导说明书;国家标准与技术研究所建议书”,特刊800-97,S.Frankel等人,国际标准与技术研究所,2007年2月。
在一些实施例中,图3中交换的帧包括支持多波段操作(multi-band operation,MBO)的可选MBO参数,例如结合传统PBSS四步握手消息所述。
在一些实施例中,站点设备将多个预共享密钥或密钥链存储在存储器中,而不是单个预共享密钥K。然后,能够选择共享密钥中的一个特定共享密钥用于认证。密钥链的使用可以提高安全性。所选预共享密钥的身份在认证的时候能以安全方式在站点设备之间进行传送。预共享密钥的选择可由参与认证流程的其中一个站点设备(例如DMG STA或PCP/AP或其它接入点)执行。然后,执行密钥选择的站点设备向其它站点设备传送已经选择哪个密钥的指示。每个预共享密钥可与相应的索引值相关联。密钥与索引值之间的关联也可以是预共享的,因此对于两个站点设备都相同。传送密钥选择可包括传送相应的索引值。该索引值可在认证信元的指定密钥ID字段中传送。
在一些实施例中,其中一个站点设备在存储器中保留了预定密钥集的第一子集,而另一个站点设备保留了密钥集的第二子集。第一和第二子集都包括至少一个密钥,并且第一和第二子集至少部分重叠。因此,第一和第二子集的交集包括至少一个密钥,即预共享密钥。在一些实施例中,第二子集完全包含在第一子集中。例如,第一子集可等于整个密钥集(这样第一集合为一个非真子集),而第二子集可能为整个密钥集合的一个真子集。此时,保存第二子集的站点设备执行密钥选择,以便保证其他站点设备也保存所选择密钥。保存第一子集的站点设备可以是存储潜在的大量数据更为实用的站点设备,例如接入点。
在一些实施例中,接入点(例如PCP/AP)与用于与各种DMG STA站点设备进行超短距离通信的收费站相关联。为了支持潜在大量的DMG STA站点设备,接入点可维持数千预共享秘密密钥K。每个DMG STA站点设备可包括一个或多个预共享密钥中的不同子集,使得不同DMG STA站点设备没有或不可能具有相同的预共享密钥。这样就减轻了密钥伪造攻击的可能性。当开始认证时,DMG STA站点设备用于指示打算使用的预共享密钥的索引。
图4示出了根据本发明实施例的在IEEE 802.11兼容网络中使用的另一认证流程。本流程类似于图3,除了接入点(PCP/AP)410选择预共享密钥并且向DMG STA传输对应的密钥标识符。在第一管理帧420中,接入点(PCP/AP)包括作为密钥ID 422值的所选密钥标识符,该值级联或者包括有第一随机数值ANonce,其在传输到DMG STA的第一认证信元的指定随机数字段内。DMG STA选择对应于接收到的密钥ID的预共享密钥并且在认证流程的其余部分中使用所选密钥。DMG STA还将值密钥ID 432包含在第二管理帧430中包括的认证信元的指定密钥ID字段内。密钥ID字段可以有8字节长,后面跟着ANonce字段。密钥ID可作为消息数据的一部分用于第二管理帧中,MIC基于消息数据而生成。图4流程的其余部分可参照图3如上所述进行。
图5示出了根据本发明实施例的IEEE 802.11兼容网络中使用的又一认证流程。本流程类似于图3的流程,除了DMG STA 515选择预共享密钥并且向接入点(PCP/AP)510传输对应的密钥标识符,其在第二管理帧530中包含的认证信元的指定密钥ID字段内。第一管理帧520参照图3如上所述进行,可能使用DMG STA要选择预共享密钥的指示符。DMG STA将作为值密钥ID 532的所选密钥标识符以及第二随机数值SNonce和MIC一起包含在第二管理帧530中,所选密钥标识符也在第二管理帧530包含的且传输给接入点(PCP/AP)的第二认证信元内。DMG STA可将密钥ID附加到包括有管理请求帧的第二认证信元中,以指示打算使用哪个密钥进行当前会话。接入点(PCP/AP)选择对应于接收到的密钥ID的预共享密钥并且在认证流程的其余部分中使用所选密钥。在第三管理帧540中,接入点(PCP/AP)还将值密钥ID542包含在包括有第三管理帧的第三认证信元的指定密钥ID字段内。密钥ID可作为消息数据的一部分用于第三管理帧中,MIC基于消息数据而生成。图5流程的其余部分可参照图3如上所述进行。
图6A示出了根据本发明其它实施例的IEEE 802.11兼容网络中使用的认证流程。相比于图3至图5示出的实施例,该认证流程不必与关联流程同时执行。相反,该认证流程可以使用其它类型的管理帧来执行。如图2至图5所述的认证状态机的状态没有在图6A中显式引用,然而,在各实施例中,这些状态可以通过如图3至图5所示的同一形式而被包括。此外,在一些实施例中,图6A所示的认证信元通过类似于结合图4和图5所描述的实施例的方式将预共享密钥的指示包含在密钥ID字段中。又进一步,图6A示出的管理帧有可能夹杂着其它未示出的管理帧。虽然省略,但是结合图6A描述的操作细节可以类似于图3描述的进行。
参考图6A,第一设备610,可以是接入点(PCP/AP)或有可能是DMG STA,传输第一管理帧620。第一管理帧中包含第一认证信元621,有可能还包括指示认证流程可以使用的标志位。在图示的实施例中,第一认证信元包括第一随机数622,有可能还包括其它信息。
包括第一认证信元621的第一管理帧620由第二设备615进行接收,第二设备可以是DMG STA或有可能是接入点(PCP/AP)。随后,第二设备基于包括接收到的第一随机数、DMGSTA生成的第二随机数和预共享密钥的信息来构建625成对临时密钥(pairwise transientkey,PTK),其中,PTK的索引值可以是先验已知的或者通过认证信元传送。
另外,第二设备准备和传输第二管理帧630。第二管理帧中包括,例如附加第二认证信元631。第二认证信元包括第二设备生成的第二随机数632以及为第二认证信元生成的看作消息的消息完整性校验(message iIntegrity check,MIC)值633。
第一设备接收第二随机数之后,第一设备基于包括第一随机数、接收到的第二随机数和预共享密钥的信息来构建635PTK。还对第二管理帧中接收到的MIC进行验证。
第一设备准备和传输第三管理帧640。第三管理帧中包括第三认证信元641。第三认证信元641包括又一消息完整性校验(message integrity check,MIC)值343。又一MIC值343基于第三认证信元的内容而生成,看作输入到对应MIC哈希函数的消息,还有可能一并生成共享秘密密钥。
随后,第二设备接收第三认证信元之后,第二设备基于接收到的认证信元将第三认证信元中包含的MIC与第二设备生成的对应又一MIC进行比较。所生成的和接收到的MIC的副本可以进行比较以确定是否匹配。如果匹配,那么DMG STA可认为要建立认证。第一和第二设备可以认为认证和关联在如上所描述的消息发送和MIC验证成功完成后建立。
图6A示出了可选确认消息649,类似于PBSS四步握手的消息,可包含在本发明的一些实施例中,例如为了密钥确认目的。确认消息649可以在第四认证信元647的指定确认字段内进行传输,例如在从第二设备传输到第一设备的第四管理帧645中提供的消息。
图6B示出了根据本发明其它实施例的IEEE 802.11兼容网络中使用的认证流程。相比于图3至图6A示出的实施例,该认证流程不必使用管理帧。相反,认证流程可以使用其它类型的帧执行,例如数据帧,或数据帧和管理帧的组合。如图2至图5所述的认证状态机的状态没有在图6B中显式引用,然而,在各实施例中,这些状态可以通过如图3至图5所示的同一形式而被包括。此外,在一些实施例中,图6B所示的认证信元通过类似于结合图4和图5所描述的实施例的方式将预共享密钥的指示包含在密钥ID字段中。又进一步,图6B示出的帧有可能夹杂着其它未示出的管理帧。虽然省略,但是结合图6B描述的操作细节可以类似于图3所描述的来进行。
参考图6B,第一设备660,可以是接入点(PCP/AP)或有可能是DMG STA,传输第一管理帧670。第一管理帧中包含第一认证信元671,有可能还包括指示认证流程可以使用的标志位。在图示的实施例中,第一认证信元包括第一随机数672,有可能还包括其它信息。
包括第一认证信元671的第一帧670由第二设备665接收,第二设备可以是DMG STA或有可能是接入点(PCP/AP)。随后,第二设备基于包括接收到的第一随机数、DMG STA生成的第二随机数和预共享密钥的信息来构建675成对临时密钥(pairwise transient key,PTK),其中,PTK的索引值可以是先验已知的或者通过认证信元传送。
另外,第二设备准备和传输第二帧680。第二帧中包括,例如附加第二认证信元681。第二认证信元包括第二设备生成的第二随机数682以及为第二认证信元生成的看作消息的消息完整性校验(message integrity check,MIC)值683。
第一设备接收第二随机数之后,第一设备基于包括第一随机数、接收到的第二随机数和预共享密钥的信息来构建685该PTK。在第二帧中接收到的MIC还进行验证。
第一设备准备和传输第三帧690。第三帧中包括第三认证信元691。第三认证信元691包括又一消息完整性校验(message integrity check,MIC)值343。又一MIC值343基于第三认证信元的内容而生成,看作输入到对应MIC哈希函数的消息,还有可能一并生成共享秘密密钥。
随后,第二设备接收第三认证信元之后,第二设备基于接收到的认证信元将第三认证信元中包含的MIC与第二设备生成的对应又一MIC进行比较。所生成的和接收到的MIC的副本可以进行比较以确定是否匹配。如果匹配,那么DMG STA可认为要建立认证。第一和第二设备可以认为认证和关联在如上所描述的消息发送和MIC验证成功完成后建立。
图6B示出了可选确认消息699,类似于PBSS四步握手的消息,可包含在本发明的一些实施例中,例如为了密钥确认目的。确认消息699可以在第四认证信元697的指定确认字段内传输,例如在从第二设备传输到第一设备的第四帧695中提供的消息。
本发明的实施例规定了具有一个或多个携带认证流程中使用数据的数据字段的认证信元。在各实施例中,数据字段的内容以上下文相关的方式解析。例如,给定数据字段的内容在包含在上行方向传输的帧中时与在包含在下行方向传输的帧中时可以解析为不同的参数。又例如,给定数据字段的内容在图1的认证状态机处于第一状态时与在认证状态机处于第二不同状态时可以解析为不同参数。又例如,给定数据字段的内容可以解析为不同参数,这取决于执行四步握手的哪一部分。认证信元根据其比特设置和预定运算规则,例如下文描述的那些运算规则,进行解析。
图7示出了根据本发明实施例提供的认证信元格式。所图示的认证信元的格式化细节作为一种可能性提供。其它格式可以用于本发明实施例中,例如通过调整或修改所图示的格式。可以自定义所图示的格式来携带不同信息组合。因此,相同格式可以用于PBSS四步握手的简略版握手的第一、第二或第三握手消息。在各实施例中,同一格式还可用于PBSS四步握手的全量版本的第四握手消息。本示例描述的且可以改变的格式化细节包括数据字段和子字段的排序以及用来指示这些数据字段和子字段的不同内容的比特值。例如,当特定二进制值(指示单个比特)或比特值(指示多个比特)在下面指定,应该理解的是,该比特值仅为一个示例且能够进行调整。
根据本发明实施例,提供了认证信元的公共模板结构,其指定了多个可能数据字段和至少一个可能数据字段的多个可能长度。每个认证信元可以基于当前需求通过选择模板结构下许可和指定的特定格式来配置。
如图所示,认证信元包括单元ID字段702,例如长度为1八位字节。单元ID字段指示信元是一个认证信元。认证信元包括长度字段705,例如长度为1八位字节。长度字段指示认证信元的总长度。
认证信元包括可选字段710,例如长度为1八位字节。可选字段包括2比特类型子字段715、2比特握手子字段730、1比特密钥ID用法标志750、1比特密钥ID发起方指示符比特754以及一个或多个预留比特757中的一部分。
类型子字段715指示认证信元是否使用预共享密钥(比特值01)与认证和关联过程相关联,或者认证信元是否使用预共享密钥(比特值10)与重认证和重关联过程相关联,或者认证信元是否使用除了IEEE 802.11关联和/或认证帧之外的帧(比特值11)与认证(可选地是关联)过程相关联。例如,认证信元可以携带在数据帧中。
握手子字段730指示PBSS四步握手或简略版握手的哪个顺序消息正在由认证信元传送。比特值00指示第一握手消息正在(例如通过DMG信标帧)传送,比特值01指示第二握手消息正在(例如通过关联请求或重关联请求帧)传送,比特值10指示第三握手消息正在(例如通过关联或重关联响应帧)传送,比特值11指示可选的第四握手消息正在传送(如果类型子字段包含比特值01或10,则不使用)。认证信元的内容,包括可变长度字段的长度以及随机数字段等字段内容的应用,可以至少部分基于握手子字段中的值进行推断。
密钥ID用法标志750指示密钥ID字段760存在还是不存在。
密钥ID发起者比特754指示哪一个实体指示密钥ID的传送。如果密钥ID发起者比特设为0,则接入点(PCP/AP)确定为发起密钥ID传送的实体。如果密钥ID发起者比特设为1,则DMG STA确定为发起密钥ID传送的实体。
认证信元还包括密钥ID字段760,例如长度为0八位字节(不存在)或8八位字节(存在)。该长度可变,且可取决于认证信元的需求。当长度为8八位字节(存在)时,密钥ID字段包括密钥ID值,其充当认证流程中使用的预共享密钥的索引。
认证信元还包括随机数字段765,例如长度为0八位字节或16八位字节。该长度可变,且可取决于认证信元的需求。存在时,该随机数字段包括待传送的随机数值,例如SNonce或ANonce。
认证信元还包括消息完整性校验(message integrity check,MIC)字段770,例如长度为16八位字节。MIC字段包括在执行认证流程中的消息完整性校验中使用的当前MIC值。
在本发明实施例中,上文结合图3、图6A或图6B等描述的流程中的第一认证信元、第二认证信元和第三认证信元在下文参考图7进行格式化。第一认证信元321或621包括握手子字段730中的比特值00,随机数字段765携带第一随机数322或622。第二认证信元331或631包括握手子字段730中的比特值01,随机数字段765携带第二随机数332或632,MIC字段770携带MIC 333或633。第三认证信元341或641包括握手子字段730的比特值10,MIC字段770携带MIC 343或643。
接收之后,包含认证信元的帧可以根据各种运算规则进行处理。运算规则允许合理处理帧,以便促进各实施例中的认证。例如,下文描述了根据本发明一项实施例的各种运算规则。可以添加额外规则,或者适当修改规则。
如果类型子字段包含比特值01且如果握手子字段包含比特值00,则确定随机数字段长为16八位字节且解析为携带Anonce。
如果类型子字段包含比特值01且如果握手子字段包含比特值01,则确定随机数字段长为16八位字节且解析为携带SNonce。
如果类型子字段包含比特值01且如果握手子字段包含比特值10,则确定随机数字段长为0八位字节。
如果类型子字段包含比特值10且如果握手子字段包含比特值00,则确定随机数字段长为16八位字节且解析为携带ANonce。
如果类型子字段包含比特值10且如果握手子字段包含比特值01,则确定随机数字段长为16八位字节且解析为携带SNonce。
如果类型子字段包含比特值10且如果握手子字段包含比特值10,则确定随机数字段长为0八位字节。
如果类型子字段包含比特值11且如果握手子字段包含比特值00,则确定随机数字段长为16八位字节且解析为携带ANonce。
如果类型子字段包含比特值11且如果握手子字段包含比特值01,则确定随机数字段长为16八位字节且解析为携带SNonce。
如果类型子字段包含比特值11且如果握手子字段包含比特值10,则确定随机数字段长为0八位字节。
如果类型子字段包含比特值11且如果握手子字段包含比特值11,则确定随机数字段长为0八位字节。
如果密钥ID用法标志包含二进制值0,则确定密钥ID字段长为0八位字节。
如果密钥ID用法标志包含二进制值1,则确定密钥ID字段长为8八位字节。
如果握手子字段包含比特值00,则确定MIC字段长为0八位字节。否则,确定MIC字段长为16八位字节。
图8示出了对如上所述各种运算规则进行编码的TRUE值表。未示出与完全取决于密钥ID用法标志值的密钥ID字段长度有关的运算规则。
图9示出了根据本发明一实施例的有关在研IEEE 802.11ay标准中使用的提议认证密钥管理套件的图表。
图10示出了根据本发明实施例的鲁棒安全网(Robust Security Network,RSN)能力字段。更新如标准中的子条款8.4.2.24.4所述的标准IEEE 802.11RSN指示符,使得指示符末尾的预留比特重定义为“FAA能力”指示符比特1010。可选地,位置1012处的预留比特可以重定义为“FAA能力”指示符比特。将FAA能力比特设为二进制0指示不使用如本文所述的快速认证/关联流程(使用附加到管理帧的认证信元)。将FAA能力比特设为二进制1指示使用如本文所述的快速认证/关联流程(使用附加到管理帧的认证信元),并且认证信元附加到其之后。
图11示出了根据本发明实施例提供的密钥层级,具体地在没有如上所述的密钥标识符的情况下。示出了可对应于成对主密钥(pairwise master key,PMK)的预共享密钥K1110。成对临时密钥(pairwise transient key,PTK)1120基于预共享密钥K和其它相互已知信息,例如公共文本串、MAC地址和交换的随机数,使用密钥导出函数KDF-X 1115来生成。KDF-X中的值“X”是指密钥导出函数的输出比特长度。在图11中,MAC_s和MAC_a分别表示DMGSTA和接入点(PCP/AP)的48比特MAC地址,而SNonce和ANonce可以如上所述,例如结合图3,进行交换。
如图11所示,其中“Min”和“Max”分别表示最小和最大函数,密钥导出函数KDF-X1115可对应于预共享密钥K、固定字符串“11ay密钥生成”、MAC地址MAC_s和MAC_a以及随机数SNonce和ANonce的以下函数:
KDF-X(K,"11ay密钥生成",Min(MAC_s,MAC_a)||Max(MAC_s,MAC_a)||Min(SNonce,ANonce)||Max(SNonce,ANonce))。
密钥导出函数KDF-X可以实施为如IEEE 802.11标准的子条款11.6.1.7.2所规定的那样。
PTK 1120可包括密钥确认密钥(key confirmation key,KCK)1125、密钥加密密钥(key encryption key,KEK)1130和临时密钥(temporal key,TK)1135。KCK可根据函数L(PTK,0,B)导出,其中B至少为128比特。KEK可根据函数L(PTK,B,B)导出。TK可根据函数L(PTK,B或2*B,TK_bit)导出,其中TK-bits是一个预定值。函数L(a,x,y)表示返回输入“a”的最高有效位的“left”函数,将最高有效位作为比特“x”并且截取到y比特长。
图12示出了根据本发明实施例提供的密钥层级,例如在存在如上所述的密钥标识符密钥ID的情况下。除了密钥导出函数1215也是密钥ID 1217的函数之外,图12的密钥层级犹如图11的密钥层级。
如图12所示,密钥导出函数KDF-X 1220可对应于预共享密钥K、固定字符串“11ay密钥生成”等、密钥ID、MAC地址MAC_s和MAC_a以及随机数SNonce和ANonce的以下函数:
KDF-X(K,"11ay密钥生成",Key ID||Min(MAC_s,MAC_a)||Max(MAC_s,MAC_a)||Min(SNonce,ANonce)||Max(SNonce,ANonce))。
可选地,可以使用不同的固定字符串,例如“11ad密钥生成”或“密钥生成”或其它任意固定字符串。
在各实施例中,例如如上所示,预共享密钥K 1210用于导出PTK 1220,包括KCK1225、KEK 1230和TK 1235。KCK、KEK和TK中的每一个可至少为128比特。
在各实施例中,并且类似于IEEE 802.11ad标准,用于密钥管理的加密套件可对应于GCMP(OUI:00-0F-AC:8)。
在各实施例中,提供密钥标识符来适应各种场景,其中信任第三方服务器不可用,两个设备很靠近,使得窃听或中间人攻击导致的潜在威胁得到减轻。
在一些实施例中,密钥管理遵循成对临时密钥安全协会(Pairwise TransientKey Security Association,PTKSA)生命周期管理需求,例如IEEE 802.11ad标准中的第10.3.5节所提出的那样。
在一些实施例中,IEEE 802.11重关联操作可重复上文描述的针对并行认证/关联协议的协议,以便恢复上层会话而没有中断。因为重关联帧是与802.11关联帧不同的帧,所以本发明实施例可使用与802.11关联帧的认证信元附件相同的802.11重关联帧的认证信元附件。
图13示出了接入点(PCP/AP)1310通过定向多千兆位无线链路与设备DMG STA1315进行通信。关联和认证操作可以在如本文所述的接入点和设备之间执行。在一些实施例中,信任第三方(trust third party,TTP)认证服务器1305可选地用来促进认证。然而,在其它实施例中,省略了TTP认证服务器。
图14示出了根据本发明实施例的一种设备,如无线设备(DMG STA)或接入点(PCP/AP)。该设备包括无线网络接口1410,例如,能够根据IEEE 802.11标准的合适版本,例如IEEE 802.11ad或IEEE 802.11ay标准,通过定向多千兆位无线通信链路进行双向通信。该设备还包括连接到网络接口和存储器1425的处理器1420。该处理器可包括处理器执行的程序指令,便于促进通信,包括如本文所述的关联和认证操作。该设备还包括密钥数据库1430,用于保存如本文所述进行选择和使用的一个或多个预共享密钥。虽然出于简洁性单独进行示出,但是密钥数据库可与存储器集成。可选地,密钥或密钥集合可保存在另一存储位置或存储位置集合中。该设备可还包括本领域工作人员容易理解的IEEE 802.11接入点/控制点或定向多千兆位无线设备的传统类型组件。该设备可以是,例如手持设备、智能手机、个人电脑设备、无线路由器或车辆或家电等设备的无线模块。
图15示出了根据本发明实施例的图14中的设备的功能表示。该设备包括管理帧模块1510,其用于对传输管理帧给设备和/或从设备接收管理帧进行管理。在一些实施例中,管理帧模块可配置管理帧,以便执行网络关联流程。例如,当设备为DMG STA时,管理帧模块可以为了响应接收到的DMG信标帧而传输802.11关联请求帧,并且还接收802.11关联响应帧,从而促进该设备到IEEE 802.11网络的关联。当该设备为接入点(PCP/AP)时,管理帧模块可以传输DMG信标,响应于DMG信标而接收802.11关联请求,并且还传输802.11关联响应帧,从而促进另一设备到IEEE 802.11网络的关联。更普遍的是,该管理帧模块可生成和配置管理帧以用于多种用途,包括但不限于网络关联。
图15中的设备还包括认证模块1515,其用于从接收到的管理帧接收额外的认证信元,并且提供额外的认证信元以包含在传输的管理帧中。认证信元可能包含在管理帧中并如上所述进行配置。例如,当设备为DMG STA时,认证模块可从接收到的DMG信标帧中接收第一随机数值ANonce,构建PTK,并且提供第二随机数值SNonce和MIC以包含在响应于接收到的DMG信标帧而待传输的802.11关联请求帧中。认证模块还可以接收包含在802.11关联响应帧中的MIC。认证模块还可以通过检测接收到的MIC来验证认证。当该设备为接入点(PCP/AP)时,认证模块可提供第一随机数值ANonce以包含在待传输的DMG信标帧中,接收第二随机数值SNonce和MIC以包含在响应于DMG信标帧而传输的802.11关联请求帧中,并且构建PTK。认证模块还可提供MIC以包含在802.11关联响应帧中。认证模块还可以通过检测接收到的MIC来验证认证。
认证模块和管理帧模块可至少部分以并行化或多线程方式进行操作。提供给认证模块和/或从认证模块接收到的认证信元可以捎带在提供给管理帧模块和/或从管理帧模块接收到的帧上。认证模块和管理帧模块可以通过执行存储器中存储的指令的处理器或处理器集合来实现。
图15还示出了提取模块1520,其从接收到的管理帧中提取认证信元并且将这些信元提供给认证模块,同时将接收到的管理帧(有可能具有删除的认证信元)转发给管理帧模块。
图15还示出了包含模块1530,其将由认证模块提供的认证信元包含(例如附加)到由管理帧模块提供的管理帧中。
图15还示出了网络接口的传输(Tx)1540和接收(Rx)1550功能模块,用于无线传输和接收至少管理帧。
图16根据本发明其它实施例示出了图14中的设备的功能表示,具体而言,认证信元的传送不限于管理帧。设备包括帧传送模块1610,其用于对传输数据帧和管理帧等帧给设备和/或从设备接收数据帧和管理帧等帧进行管理。在一些实施例中,帧传送模块可以配置管理帧,以便执行网络关联流程,如结合图15所述。帧传送模块可生成和配置管理帧以用于多种用途,包括但不限于网络关联。帧传送模块也可以处理数据帧等其它帧。
图16中的设备还包括认证模块1615,其用于从接收到的帧接收额外的认证信元以及提供额外认证信元以包含在传输帧中。认证信元可包含在帧中并且如上所述进行配置。例如,当设备为DMG STA时,认证模块可从第一接收到的帧接收第一随机数值ANonce,构建PTK以及提供第二随机数值SNonce和MIN以包含在待传输的第二帧中。认证模块还可以接收包含在第三接收到的帧中的MIC。认证模块还可以通过检测接收到的MIC来验证认证。当设备为接入点(PCP/AP)时,认证模块可以提供第一随机数值ANonce以包含在待传输的第一帧中,接收第二随机数值SNonce和包含在待传输的第二帧中的MIC,并且构建PTK。认证模块还可以提供MIC以包含在第三帧中。认证模块还可以通过检测接收到的MIC来验证认证。
认证模块和帧通信模块可至少部分以并行或线程的方式运行。提供给认证模块和/或从认证模块接收的认证信元可捎带在提供给帧传送模块和/或从帧传送模块接收到的帧上。认证模块和帧通信模块可通过执行储存在存储器中的指令的一个处理器或处理器集合来实现。
图16还示出了提取模块1620,其从接收到的帧中提取认证信元并且将这些信元提供给认证模块,同时将接收到的帧(有可能具有删除的认证信元)转发给帧传送模块。
图16还示出了包含模块1630,其将认证模块提供的认证信元包含(例如附加)到帧传送模块提供的帧中。
图16还示出了网络接口的传输(Tx)1640和接收(Rx)1650功能模块,它们用于至少无线传输和接收管理帧。
通过前述实施例的描述,本发明可通过仅使用硬件或通过使用软件和必要的通用硬件平台来实现。基于这种理解,本发明的技术方案可以以软件产品的形式体现。软件产品可以存储在非易失性或非瞬时性存储介质中,非易失性或非瞬时性存储介质可以是只读光盘(compact disk read-only memory,CD-ROM)、USB闪存盘或移动硬盘。软件产品包括使计算机设备(个人计算机、服务器或网络设备)执行本发明实施例中提供的各方法的多个指令。例如,这种执行可对应于本文所述的逻辑运算的模拟。软件产品可以额外地或可选地包括大量指令,这些指令使计算机设备能够根据本发明实施例执行操作以配置或编程数字逻辑装置。
尽管已经参考本发明的特定特征和实施例描述了本发明,但是明显在不脱离本发明的情况下可以制定本发明的各种修改和组合。说明书和附图仅被视为所附权利要求书所定义的本发明的说明并且考虑落于本说明书的范围内的任何和所有修改、变体、组合或均等物。
Claims (23)
1.一种认证方法,其特征在于,应用于定向多千兆位DMG和增强型DMG设备,所述方法包括:
将一个或多个认证信元包含在无线网络中的第一设备和第二设备之间进行传输的一个或多个相应帧中,所述一个或多个认证信元包括认证流程中使用的数据,所述数据用于确定所述第一设备和所述第二设备都拥有通用加密密钥;
其中,所述一个或多个认证信元根据所述认证流程所需要的数据类型,携带一个或多个选择类型的数据;所述携带的选择类型的数据通过认证信元内特定字段的分析而确定或者基于认证信元传输的上下文来确定;所述认证与其它任务并行执行。
2.根据权利要求1所述的方法,其特征在于,所述一个或多个认证信元包含在从所述第一设备传输到所述第二设备的帧中。
3.根据权利要求2所述的方法,其特征在于,还包括接收包含在由所述第一设备从所述第二设备接收的一个或多个又一帧中的一个或多个又一认证信元,所述认证流程基于所述一个或多个认证信元以及所述一个或多个又一认证信元的交换。
4.根据权利要求1所述的方法,其特征在于,所述一个或多个认证信元包含在从所述第二设备传输到所述第一设备的帧中。
5.根据权利要求4所述的方法,其特征在于,还包括接收包含在由所述第二设备从所述第一设备接收的一个或多个又一帧中的一个或多个又一认证信元,所述认证流程基于所述一个或多个认证信元以及所述一个或多个又一认证信元的交换。
6.根据权利要求1所述的方法,其特征在于,所述帧包括管理帧。
7.根据权利要求6所述的方法,其特征在于,至少部分所述管理帧用于执行与所述认证流程并行的网络接入流程或网络关联流程。
8.根据权利要求1所述的方法,其特征在于,所述帧包括数据帧。
9.根据权利要求1所述的方法,其特征在于,所述数据包括指示多个预共享密钥中要用在所述认证流程中的预共享密钥的密钥标识符。
10.根据权利要求1所述的方法,其特征在于,所述数据包括以下内容中的一个或多个:在所述认证流程中使用的随机数;以及在所述认证流程中使用的消息完整性校验值。
11.根据权利要求1所述的方法,其特征在于,所述认证流程包括:
将第一认证信元从所述第一设备传输到所述第二设备,所述第一认证信元包括第一随机数值;
随后将第二认证信元从所述第二设备传输到所述第一设备,所述第二认证信元包括第二随机数值和消息完整性校验值;以及
随后将第三认证信元从所述第一设备传输到所述第二设备,所述第三认证信元包括又一消息完整性校验值,
其中,所述认证信元包括:所述第一认证信元和所述第三认证信元,或者所述第二认证信元。
12.根据权利要求11所述的方法,其特征在于,所述第一认证信元包含在作为以下帧的第一管理帧中:信标帧、通告帧或探测响应帧;所述第二认证信元包括在作为以下帧的第二管理帧中:关联请求帧或重关联请求帧;所述第三认证信元包括在作为以下帧的第三管理帧中:关联响应帧或重关联响应帧。
13.一种第一设备,其特征在于,所述设备为定向多千兆位DMG或增强型DMG设备,包括处理器,所述处理器耦合到无线网络接口并且用于:
将一个或多个认证信元包含在通过无线网络从所述第一设备传输到第二设备的一个或多个相应帧中,所述一个或多个认证信元包括认证流程中使用的数据,所述数据用于确定所述第一设备和所述第二设备都拥有通用加密密钥;
其中,所述一个或多个认证信元根据所述认证流程所需要的数据类型,携带一个或多个选择类型的数据;所述携带的选择类型的数据通过认证信元内特定字段的分析而确定或者基于认证信元传输的上下文来确定;所述认证与其它任务并行执行。
14.根据权利要求13所述的第一设备,其特征在于,所述第一设备为IEEE 802.11兼容站点,所述第二设备为IEEE 802.11兼容接入点,所述第一设备还用于:
从由所述第二设备传输并且由所述第一设备接收的又一帧中读取又一认证信元;
至少部分地基于包含在所述又一认证信元中的数据来配置所述一个或多个认证信元中的至少一个认证信元,所述一个或多个认证信元和所述又一认证信元因此用于执行与所述认证流程对应的握手。
15.根据权利要求13所述的第一设备,其特征在于,所述第一设备为IEEE 802.11兼容接入点,所述第二设备为IEEE 802.11兼容站点,所述第一设备还用于:
从由所述第二设备传输并且由所述第一设备接收的又一帧中读取又一认证信元;
至少部分地基于包含在所述又一认证信元中的数据来配置所述一个或多个认证信元中的一个认证信元,所述一个或多个认证信元和所述又一认证信元因此用于执行与所述认证流程对应的握手。
16.根据权利要求13所述的第一设备,其特征在于,所述帧包括管理帧。
17.根据权利要求16所述的第一设备,其特征在于,至少部分所述管理帧用于执行与所述认证流程并行的网络接入流程或网络关联流程。
18.根据权利要求13所述的第一设备,其特征在于,所述帧包括数据帧。
19.根据权利要求13所述的第一设备,其特征在于,所述数据包括以下内容中的一个或多个:指示多个预共享密钥中要用在所述认证流程中的预共享密钥的密钥标识符;以及在所述认证流程中使用的消息完整性代码。
20.一种第一设备,其特征在于,所述设备为定向多千兆位DMG或增强型DMG设备,包括处理器,所述处理器耦合到无线网络接口并且用于:
生成包括在认证流程中使用的数据的认证信元,所述数据用于确定所述设备和第二设备都拥有通用加密密钥,所述数据包括以下内容中的一个或多个:指示多个预共享密钥中要用在所述认证流程中的预共享密钥的密钥标识符,在所述认证流程中使用的随机数,以及在认证流程中使用的消息完整性校验值;以及
将所述认证信元包含在通过无线网络从所述第一设备传输到所述第二设备的帧中;
其中,所述认证信元根据所述认证流程所需要的数据类型,携带一个或多个选择类型的数据;所述携带的选择类型的数据通过认证信元内特定字段的分析而确定或者基于认证信元传输的上下文来确定;所述认证与其它任务并行执行。
21.根据权利要求20所述的第一设备,其特征在于,所述认证信元包括数据字段,用于解析所述数据字段的内容的所述设备以不同方式取决于从包括以下内容的分组中选择的一个或多个上下文参数:所述设备是无线通信设备还是接入点、认证状态机的当前状态以及四步握手流程的当前完成程度。
22.根据权利要求20所述的第一设备,还用于处理一个或多个又一认证信元,所述一个或多个又一认证信元由所述第二设备生成,通过所述无线网络从所述第二设备生成并传输给所述第一设备,其中,每个所述认证信元和所述一个或多个又一认证信元基于指定多个可能数据字段和至少一个所述可能数据字段的多个可能长度的公共模板结构来进行配置。
23.一种增强型定向多千兆位站点设备,其特征在于,包括处理器,所述处理器耦合到无线网络接口并且用于:
将认证信元包含在网络关联流程期间由所述设备传输的管理帧中,所述认证信元可用于执行与所述网络关联流程并行操作的基于预共享密钥的认证和密钥生成流程中,从而减少达到所述设备的关联和认证状态的时间;
其中,所述认证信元根据认证流程所需要的数据类型,携带一个或多个选择类型的数据;所述携带的选择类型的数据通过认证信元内特定字段的分析而确定或者基于认证信元传输的上下文来确定;所述认证与其它任务并行执行。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562214370P | 2015-09-04 | 2015-09-04 | |
| US62/214,370 | 2015-09-04 | ||
| US201562220828P | 2015-09-18 | 2015-09-18 | |
| US62/220,828 | 2015-09-18 | ||
| US15/056,078 | 2016-02-29 | ||
| US15/056,078 US10555170B2 (en) | 2015-09-04 | 2016-02-29 | Method and apparatus for authentication of wireless devices |
| PCT/CN2016/076095 WO2017036114A1 (en) | 2015-09-04 | 2016-03-10 | Method and apparatus for authentication of wireless devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108293185A CN108293185A (zh) | 2018-07-17 |
| CN108293185B true CN108293185B (zh) | 2021-05-04 |
Family
ID=58186426
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680051224.2A Active CN108293185B (zh) | 2015-09-04 | 2016-03-10 | 无线设备认证方法和装置 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US10555170B2 (zh) |
| EP (1) | EP3338473B1 (zh) |
| JP (1) | JP2018534805A (zh) |
| KR (1) | KR102036770B1 (zh) |
| CN (1) | CN108293185B (zh) |
| RU (1) | RU2696208C1 (zh) |
| WO (1) | WO2017036114A1 (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101617579B1 (ko) * | 2015-01-26 | 2016-05-18 | 엘지전자 주식회사 | 스마트 홈 어플라이언스 및 스마트 홈 어플라이언스의 제어 방법 |
| CN105873239B (zh) * | 2015-12-14 | 2017-10-17 | 上海连尚网络科技有限公司 | 用于为用户设备的应用建立无线连接的方法 |
| US10085261B2 (en) * | 2016-01-07 | 2018-09-25 | Intel IP Corporation | Apparatus, system and method of communicating an enhanced directional multi gigabit (EDMG) support indication |
| US10075452B2 (en) * | 2016-02-18 | 2018-09-11 | Comcast Cable Communications, Llc | Distributed content uploading and validation |
| JP7007093B2 (ja) | 2016-03-11 | 2022-01-24 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 通信装置及び通信方法 |
| KR102280375B1 (ko) | 2016-03-11 | 2021-07-22 | 파나소닉 인텔렉츄얼 프로퍼티 코포레이션 오브 아메리카 | 무선 통신 장치 및 통신 방법 |
| US10791093B2 (en) * | 2016-04-29 | 2020-09-29 | Avago Technologies International Sales Pte. Limited | Home network traffic isolation |
| EP3379789A1 (en) * | 2017-03-20 | 2018-09-26 | Koninklijke Philips N.V. | Mutual authentication system |
| EP3632072B1 (en) * | 2017-06-01 | 2021-02-17 | Nokia Solutions and Networks Oy | User authentication in wireless access network |
| US10863351B2 (en) | 2017-07-31 | 2020-12-08 | Qualcomm Incorporated | Distribution network support |
| US20190132128A1 (en) * | 2017-11-02 | 2019-05-02 | Qualcomm Incorporated | Authentication protection mechanism |
| US10972909B2 (en) * | 2018-03-02 | 2021-04-06 | Intel Corporation | Synched group key rekeying |
| US10966087B2 (en) * | 2018-11-15 | 2021-03-30 | Cisco Technology, Inc. | Optimized simultaneous authentication of equals (SAE) authentication in wireless networks |
| US10887051B2 (en) * | 2019-01-03 | 2021-01-05 | Qualcomm Incorporated | Real time MIC recovery |
| US11196731B2 (en) * | 2019-06-28 | 2021-12-07 | T-Mobile Usa, Inc. | Network-authentication control |
| US11317285B2 (en) * | 2019-09-30 | 2022-04-26 | Dish Network L.L.C. | Wireless network provisioning using a pre-shared key |
| CN113133083B (zh) * | 2019-12-31 | 2023-02-07 | 北京华为数字技术有限公司 | 一种无线局域网通信方法、接入点、控制器 |
| US11882223B2 (en) * | 2020-04-28 | 2024-01-23 | Qualcomm Incorporated | Methods of using certificate-based security with drone identity and broadcasting |
| US11432152B2 (en) | 2020-05-04 | 2022-08-30 | Watchguard Technologies, Inc. | Method and apparatus for detecting and handling evil twin access points |
| US11627464B2 (en) * | 2020-05-14 | 2023-04-11 | Cisco Technology, Inc. | Grouping users by pre-shared key (PSK) in hospitality |
| JP7562354B2 (ja) * | 2020-09-28 | 2024-10-07 | キヤノン株式会社 | 通信装置、制御方法、およびプログラム |
| WO2024077458A1 (en) * | 2022-10-10 | 2024-04-18 | Nokia Shanghai Bell Co., Ltd. | Apparatus and method for device identification in wireless local area network |
| WO2024086969A1 (en) * | 2022-10-24 | 2024-05-02 | Nokia Shanghai Bell Co., Ltd. | Status feedback in 4-way handshake procedure |
| WO2024095451A1 (ja) * | 2022-11-04 | 2024-05-10 | 日本電信電話株式会社 | 通信システム、通信装置、方法、及びプログラム |
| CN115580866B (zh) * | 2022-12-07 | 2023-03-17 | 江苏云舟通信科技有限公司 | 无线通信数据同步加密系统 |
| WO2024174131A1 (zh) * | 2023-02-22 | 2024-08-29 | Oppo广东移动通信有限公司 | 一种通信方法及装置、通信设备 |
Family Cites Families (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6931574B1 (en) * | 2001-10-24 | 2005-08-16 | Finisar Corporation | Systems and methods for interpreting communications packets |
| US7395427B2 (en) | 2003-01-10 | 2008-07-01 | Walker Jesse R | Authenticated key exchange based on pairwise master key |
| JP2008514128A (ja) | 2004-09-15 | 2008-05-01 | ノキア コーポレーション | ネットワークシステムにおける高速移行を容易にする装置およびそれに関連した方法 |
| WO2006129287A1 (en) * | 2005-06-03 | 2006-12-07 | Koninklijke Philips Electronics N.V. | Method and devices for wireless network access management |
| US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
| US8578159B2 (en) | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
| US20090052461A1 (en) * | 2007-08-21 | 2009-02-26 | Ibm Corporation | Method and Apparatus for Fibre Channel Over Ethernet Data Packet Translation Via Look up Table Conversion Bridge in a Network System |
| US8001381B2 (en) | 2008-02-26 | 2011-08-16 | Motorola Solutions, Inc. | Method and system for mutual authentication of nodes in a wireless communication network |
| CN101820629A (zh) | 2010-04-15 | 2010-09-01 | 华为终端有限公司 | 一种无线局域网中身份认证的方法、装置及系统 |
| US8909941B1 (en) * | 2011-03-31 | 2014-12-09 | Xilinx, Inc. | Programmable integrated circuit and a method of enabling the detection of tampering with data provided to a programmable integrated circuit |
| WO2012151351A1 (en) | 2011-05-04 | 2012-11-08 | Marvell World Trade Ltd. | Wireless authentication using beacon messages |
| US9143937B2 (en) | 2011-09-12 | 2015-09-22 | Qualcomm Incorporated | Wireless communication using concurrent re-authentication and connection setup |
| GB2495550A (en) * | 2011-10-14 | 2013-04-17 | Ubiquisys Ltd | An access point that can be used to establish connections with UE devices using both cellular and wifi air interfaces |
| US9077701B2 (en) | 2012-01-06 | 2015-07-07 | Futurewei Technologies, Inc. | Systems and methods for authentication |
| US9451460B2 (en) | 2012-02-07 | 2016-09-20 | Lg Electronics Inc. | Method and apparatus for associating station (STA) with access point (AP) |
| MY165673A (en) * | 2012-03-02 | 2018-04-18 | Interdigital Patent Holdings Inc | Methods and system for performing handover in a wireless communication system |
| WO2013153233A1 (en) * | 2012-04-13 | 2013-10-17 | Anyfi Networks Ab | End-to-end security in an ieee 802.11 communication system |
| US9578514B2 (en) * | 2012-05-10 | 2017-02-21 | Nokia Technologies Oy | Method, apparatus, and computer program product for enablement |
| US9204299B2 (en) | 2012-05-11 | 2015-12-01 | Blackberry Limited | Extended service set transitions in wireless networks |
| US20140211705A1 (en) * | 2013-01-28 | 2014-07-31 | Electronics & Telecommunications Research Institute | Method for device-to-device communication based on wireless local area network and apparatus for the same |
| EP2992724B1 (en) * | 2013-05-03 | 2020-04-08 | Interdigital Patent Holdings, Inc. | Systems and methods for fractional carrier sense multiple access with collision avoidance (csma/ca) for wlans |
| EP3017643B1 (en) * | 2013-07-03 | 2019-09-11 | Interdigital Patent Holdings, Inc. | Multi-band methods for interference limited wireless local area network systems |
| CN105379397A (zh) | 2013-07-11 | 2016-03-02 | 交互数字专利控股公司 | 对扇区边缘群组和非扇区边缘群组调度的方法及过程 |
| CN105453674B (zh) | 2013-09-10 | 2019-07-16 | 英特尔公司 | 用于毫米波系统中的动态带宽管理的方法和系统 |
| KR101769386B1 (ko) * | 2013-09-27 | 2017-08-18 | 엘지전자 주식회사 | M2m 시스템에서 통지 메시지 전달 방법 및 이를 위한 장치 |
| CN105723788A (zh) * | 2013-11-08 | 2016-06-29 | Lg电子株式会社 | 用于在m2m通信系统中进行订阅和通知的方法及其设备 |
| WO2015105985A1 (en) * | 2014-01-08 | 2015-07-16 | Interdigital Patent Holdings, Inc. | Wifi virtual network solution |
| CN104540126A (zh) * | 2014-05-16 | 2015-04-22 | 生迪光电科技股份有限公司 | 多个wi-fi设备自动接入指定接入点ap的方法及系统 |
| US9584195B2 (en) * | 2014-06-02 | 2017-02-28 | Intel IP Corporation | MIMO and bandwidth signaling in millimeter-wave systems |
| US9560115B2 (en) * | 2014-06-04 | 2017-01-31 | Siemens Product Lifecycle Management Software Inc. | Reusable secure file transfer for multiple systems |
| US10299120B2 (en) * | 2014-06-18 | 2019-05-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and arrangements for identification of user equipments for authentication purposes |
| EP3195526B1 (en) * | 2014-07-10 | 2019-11-06 | Convida Wireless, LLC | Layered management server delegation |
| EP3170284B1 (en) * | 2014-07-18 | 2023-01-25 | Convida Wireless, LLC | Enhanced operations between service layer and management layer in an m2m system by allowing the execution of a plurality of commands on a plurality of devices |
| US10616020B2 (en) * | 2014-07-28 | 2020-04-07 | Lg Electronics Inc. | Transmitting and receiving device and method in wireless communication system |
| US9420518B2 (en) * | 2014-08-07 | 2016-08-16 | Gainspan Corporation | Layer-3 mesh connectivity of wireless local networks |
| CN104602229B (zh) | 2015-02-04 | 2018-02-06 | 重庆邮电大学 | 一种针对wlan与5g融合组网应用场景的高效初始接入认证方法 |
| DK3257296T3 (da) * | 2015-02-12 | 2018-11-26 | Ericsson Telefon Ab L M | Trådløs kommunikation med en fast initial link setup, fils, -opdagelsesramme til netværkssignalering |
| US9730252B2 (en) * | 2015-03-11 | 2017-08-08 | Qualcomm Incorporated | Quick connection between customized softap and STA |
-
2016
- 2016-02-29 US US15/056,078 patent/US10555170B2/en active Active
- 2016-03-10 RU RU2018111442A patent/RU2696208C1/ru active
- 2016-03-10 JP JP2018511617A patent/JP2018534805A/ja active Pending
- 2016-03-10 CN CN201680051224.2A patent/CN108293185B/zh active Active
- 2016-03-10 WO PCT/CN2016/076095 patent/WO2017036114A1/en active Application Filing
- 2016-03-10 EP EP16840544.7A patent/EP3338473B1/en active Active
- 2016-03-10 KR KR1020187009156A patent/KR102036770B1/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| KR20180045014A (ko) | 2018-05-03 |
| US20170070881A1 (en) | 2017-03-09 |
| EP3338473B1 (en) | 2021-10-27 |
| JP2018534805A (ja) | 2018-11-22 |
| RU2696208C1 (ru) | 2019-07-31 |
| WO2017036114A1 (en) | 2017-03-09 |
| CN108293185A (zh) | 2018-07-17 |
| US10555170B2 (en) | 2020-02-04 |
| EP3338473A4 (en) | 2018-06-27 |
| EP3338473A1 (en) | 2018-06-27 |
| KR102036770B1 (ko) | 2019-10-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108293185B (zh) | 无线设备认证方法和装置 | |
| EP1972125B1 (en) | Apparatus and method for protection of management frames | |
| US11178584B2 (en) | Access method, device and system for user equipment (UE) | |
| CN101926151B (zh) | 建立安全关联的方法和通信网络系统 | |
| JP5597676B2 (ja) | 鍵マテリアルの交換 | |
| CN107211273B (zh) | 涉及用于网络信令的快速初始链路建立fils发现帧的无线通信 | |
| KR101582502B1 (ko) | 인증을 위한 시스템 및 방법 | |
| CN101926122B (zh) | 建立安全关联的方法和通信系统 | |
| US11343673B2 (en) | Enhanced aggregated re-authentication for wireless devices | |
| CN110784865A (zh) | 物联网设备的配网方法、终端、物联网设备及配网系统 | |
| CN104602229A (zh) | 一种针对wlan与5g融合组网应用场景的高效初始接入认证方法 | |
| EP2424184A1 (en) | Method for establishing safe association among wapi stations in ad-hoc network | |
| WO2022237561A1 (zh) | 一种通信方法及装置 | |
| US20210352474A1 (en) | Methods and devices for multi-link device (mld) address discovery in a wireless network | |
| CN106664559B (zh) | 无线通信网络中设备配置的方法、装置及系统 | |
| WO2024086969A1 (en) | Status feedback in 4-way handshake procedure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |