CN116325646A - 用于802.11中的多链路操作的加密增强 - Google Patents
用于802.11中的多链路操作的加密增强 Download PDFInfo
- Publication number
- CN116325646A CN116325646A CN202180070675.1A CN202180070675A CN116325646A CN 116325646 A CN116325646 A CN 116325646A CN 202180070675 A CN202180070675 A CN 202180070675A CN 116325646 A CN116325646 A CN 116325646A
- Authority
- CN
- China
- Prior art keywords
- component
- address
- multilink
- encrypted data
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0637—Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/15—Setup of multiple wireless link connections
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了用于多链路操作的加密增强的系统和方法。将与帧相关联的地址(或所有地址)的各种子集被设置为确定的已知值,从而允许在不知道将发送帧的哪个特定链路的情况下在控制器处对mac协议数据单元(MPDU)进行加密。在上述通信中使用的多链路设备(MLD)可以实施符合IEEE 802.11be标准的通信。
Description
相关申请
本申请要求于2020年8月27日提交的美国临时专利申请号63/071,179的权益和优先权,其内容通过参考全部并入本文。
背景技术
IEEE 802.11be标准包括用于多链路操作(MLO)的标准。
附图说明
参考以下附图详细描述根据一个或多个各种实施例的本公开。提供附图仅仅是为了说明的目的,并且仅仅描绘了典型的或示例的实施例。
图1图示了可以为诸如企业、教育机构、政府实体、医疗保健机构或其它组织之类的组织实现的网络配置的一个示例。
图2图示了示例多链路设备(MLD)通信。
图3图示了使用安全隧道的MLD通信的示例。
图4图示了MLD通信的另一示例。
图5图示了加密组件的示例的框图。
图6图示了计算组件和由该计算组件实现的用于MLD之间的通信的方法的示例的流程图。
图7示出了表示地址字段内容的示例的表。
图8描绘了在其中可以实现本文所描述的各种实施例的示例网络设备的框图。
附图不是穷举的,并且不将本公开限制为所公开的精确形式。
具体实施方式
多链路设备(MLD)可以使用多个链路(例如,2.4GHz、5GHz、6GHz)彼此通信。从中挑选多个链路增加了吞吐量。安全MLD操作(例如,接入点(AP)或其它MLD)涉及对消息的帧进行加密。每个帧可以包括报头、前同步码和误差校验信息。前同步码可以包括指示帧开始的代码。
根据当前802.11标准,在加密之后不能改变与帧相关联的一些字段(即,报头地址)。这些字段可以被用于解密,并且因此,如果这些字段在加密之后被改变,则除了不能认证发送方之外,接收方可能没有足够的信息来对消息进行解密。一些不能改变的报头地址确定MLD使用哪个链路来发送消息。因此,该消息可能不能被预期接收方解密。
因此,与帧相关联的各种地址子集(或所有地址)被设置为确定的已知值(例如,各种地址子集可以被清零),从而允许在控制器处对介质访问控制(MAC)协议数据单元(MPDU)进行加密,而不知道各帧将使用哪个特定链路来发送帧。具体地,尽管字段可以被设置为接收方已知的任何值(或值的模式)(或者被及时发送给接收方以用于解密),但是一些实施例涉及地址字段被归零。然而,将地址字段归零仅仅是用确定的已知值来替换一些地址的一个示例。修改这些地址字段将允许接收方对消息进行解密。
在详细描述所公开的系统和方法的实施例之前,描述这些系统和方法可以在各种应用中实现的示例网络安装是有用的。图1图示了可以为诸如企业、教育机构、政府实体、医疗保健机构或其它组织之类的组织实现的网络配置100的一个示例。图1图示了利用具有多个用户(或至少多个客户端设备110)和可能的多个物理或地理站点102、132、142的组织所实现的配置的示例。网络配置100可以包括与网络120通信的主站点102。网络配置100还可以包括与网络120通信的一个或多个远程站点132、142。
主站点102可以包括主网络,该主网络例如可以是办公室网络、家庭网络或其它网络安装。主网络可以是专用网络,诸如可以包括安全和访问控制以将访问限制为授权用户的专用网络。授权用户可以包括例如主站点102处的公司的雇员、住宅的居民、企业的顾客。
在图1的示例中,主站点102包括与网络120通信的控制器104。控制器104可以为主站点102提供与网络120的通信。除了控制器104之外,还可以存在主站点102与网络120通信的其它点。尽管图示了单个控制器104,但是主站点102可以包括多个控制器和/或与网络120的多个通信点,其任何组合可以是MLD。在一些实施例中,控制器104可以通过路由器110k来与网络120通信,路由器110k也可以是能够进行符合IEEE 802.11标准的多链路隧道通信的MLD。在其它实施例中,控制器104向主站点102中的设备提供路由器功能性。在本说明书中,词语“隧道”是指在AP和控制器之间传送数据的封装模式。
控制器104可以可操作以配置和管理诸如主站点102处的网络设备,并且还可以管理远程站点132、134处的网络设备。控制器104可以可操作以配置和/或管理连接到网络的交换机、路由器、接入点和/或客户端设备。控制器104本身可以是接入点或提供接入点的功能性。控制器104可以是或包括能够进行符合IEEE 802.11标准的多链路隧道通信的MLD。
控制器104可以与一个或多个交换机108和/或无线接入点(AP)106a-160c通信。无线接入点(AP)106a-160c和交换机108也可以是能够进行符合IEEE 802.11标准的多链路隧道通信的MLD。交换机108和无线AP 106a-160c向各种客户端设备110a-110j提供网络连接性。使用到交换机108或AP 106a-106c的连接,客户端设备110a-110j可以访问网络资源,包括(主站点102)网络和网络120上的其它设备。
客户端设备的示例可以包括:台式计算机、膝上型计算机、服务器、web服务器、认证服务器、认证-授权-计费(AAA)服务器、域名系统(DNS)服务器、动态主机配置协议(DHCP)服务器、互联网协议(IP)服务器、虚拟专用网络(VPN)服务器、网络策略服务器、大型机、平板计算机、电子阅读器、上网本计算机、电视和类似监视器(例如,智能TV)、内容接收机、机顶盒、个人数字助理(PDA)、移动电话、智能电话、智能终端、哑终端、虚拟终端、视频游戏控制台、虚拟助理、物联网(IOT)设备等等。
在主站点102内,交换机108作为对在主站点102中为有线客户端设备110i-110j建立的网络的接入点的一个示例而被包括。客户端设备110i-110j可以连接到交换机108,并且通过交换机108,可以能够接入网络配置100内的其它设备。客户端设备110i-110j还可以能够通过交换机108接入网络120。客户端设备110i-110j可以通过有线或无线112连接而与交换机108通信。在所图示的示例中,交换机108通过有线或无线112连接而与控制器104通信。
无线AP 106a-106c作为对在主站点102中为客户端设备110a-110h建立的网络的接入点的另一示例而被包括。每个AP 106a-106c可以是被配置为向无线客户端设备110a-110h提供无线网络连接性的硬件、软件和/或固件的组合。在图1的示例中,AP 106a-106c可以由控制器104管理和配置。AP 106a-106c通过连接112而与控制器104和网络通信,连接112可以是有线或无线接口。
网络配置100可以包括一个或多个远程站点132。远程站点132可以位于与主站点102不同的物理或地理位置。在一些情况下,远程站点132可以与主站点102处于相同的地理位置,或者可能是相同的建筑物,但是缺少到位于主站点102内的网络的直接连接。相反,远程站点132可以利用不同网络(例如网络120)上的连接。例如,诸如图1中所图示的远程站点132可以是卫星办公室、建筑物中的另一楼层或房间。远程站点132可以包括用于与网络120通信的网关设备134。网关设备134可以是路由器、数模调制解调器、电缆调制解调器、数字用户线(DSL)调制解调器或被配置为与网络120通信的一些其它网络设备。远程站点132还可以包括通过有线或无线连接而与网关设备134通信的交换机138和/或AP 136。交换机138和AP 136为各种客户端设备140a-140d提供到网络的连接性。网关设备134、AP 136和交换机138可以是能够进行符合IEEE 802.11标准的多链路隧道通信的MLD。
在各种实施例中,远程站点132可以与主站点102直接通信,使得远程站点132处的客户端设备140a-140d访问主站点102处的网络资源,就好像这些客户端设备140a-140d位于主站点102处一样。在这样的实施例中,远程站点132由主站点102处的控制器104管理,并且控制器104提供使远程站点132能够与主站点102通信的必要的连接性、安全性和可访问性。一旦连接到主站点102,远程站点132可用作由主站点102提供的专用网络的一部分。
在各种实施例中,网络配置100可以包括一个或多个较小的远程站点142,其仅包括用于与网络120通信的网关设备144和无线AP 146,各种客户端设备150a-150b通过该无线AP 146接入网络120。网关设备144和无线AP 146可以是能够进行符合IEEE 802.11标准的多链路隧道通信的MLD。这样的远程站点142可以表示例如个体雇员的家或临时远程办公室。远程站点142还可以与主站点102通信,使得远程站点142处的客户端设备150a-150b访问主站点102处的网络资源,就好像这些客户端设备150a-150b位于主站点102处一样。远程站点142可以由主站点102处的控制器104管理,以使该透明性成为可能。一旦连接到主站点102,远程站点142就可以用作由主站点102提供的专用网络的一部分。
网络120可以是诸如互联网之类的公共或专用网络,或者允许各个站点102、130到142之间的连接性以及对服务器160a-160b的访问的其它通信网络。网络120可以包括第三方电信线路,诸如电话线、广播同轴电缆、光纤电缆、卫星通信、蜂窝通信等等。网络120可以包括任意数量的中间网络设备,诸如交换机、路由器、网关、服务器和/或控制器,它们不直接是网络配置100的一部分,而是促进网络配置100的各个部分之间以及网络配置100与其它网络连接实体之间的通信。网络120可以包括各种内容服务器160a-160b。内容服务器160a-160b可以包括多媒体可下载和/或流式传输内容的各种提供商,所述多媒体可下载和/或流式传输内容包括音频、视频、图形和/或文本内容或其任意组合。内容服务器160a-160b的示例包括web服务器、流式传输无线电和视频提供商,以及有线和卫星电视提供商。客户端设备110a-110j、140a-140d、150a-150b可以请求和访问由内容服务器160a-160b提供的多媒体内容。内容服务器160a-160b可以是能够进行符合IEEE 802.11标准的多链路隧道通信的MLD。网络120的各部分和/或个体站点102、132、142可以利用动态频率选择(DFS)信道进行通信。
作为示例,在安全隧道上的通信可以存在于控制器104和AP 106a-106c之间。具有多链路通信增加了吞吐量。然而,如果在现有多链路通信中使用隧道通信,则接收方将不能解密数据,因为接收方将不知道哪个链路被选择了。
图2图示了MLD通信200。在图2中,消息从诸如网络之类的分布系统(DS)200出来去往接入点AP MLD 202。在图2中,来自DS的消息经由介质访问控制层-服务接入点(MAC-SAP)206到达AP MLD 202处,并在块确认(BA)缓冲器208中的队列中等待以被发送到非AP MLD216。经由链路1或链路2发送消息。在多链路操作(MLO)期间,具有多个无线电的多个802.11设备可以在多个信道上同时操作,多个信道可以承载多个频率(例如,2.4GHz、5GHz、6GHz或其它频率)。可以使用第一可用链路(链路1或链路2)在多个链路上发送来自单个业务会话的帧。每个链路可以是唯一的无线信道(如802.11标准中所定义的)。如果经由链路1发送消息,则消息从通过接口210的地址R1被发送到通过接口218的地址S1。如果经由链路2发送消息(例如,帧214),则消息从通过接口212的地址R2传播到通过接口220的地址S2。无论消息经由接口218还是220到达,消息都在BA缓冲器222处的队列中等待,以经由MAC SAP 224被发送到DS。MLO允许非AP MLD 216通过多个链路(链路1和链路2)向AP MLD 202发送数据/从AP MLD 202接收数据。在图2的示例中,非AP MLD 216与正在5GHz频率范围中的“链路2”上的下行链路(DL)上发送帧的AP MLD 202相关联。
使用第一可用信道(选自多个信道)从业务会话发送数据可以提高吞吐量并减少等待时间。MLD、AP MLD 202和非AP MLD 216可以是由IEEE 802标准族定义的逻辑实体,以将多个MAC/物理层(MAC/PHY)系统彼此进行接口。AP MLD 202和非AP MLD 216可以各自具有到较高层的单个MAC-SAP(206和224)接口,以使得较高层不需要关于MLD在其上操作的链路的信息。在MLD内,可以有一个或多个客户端设备,其中每个客户端设备可以是在链路上操作的MAC-PHY实例。为了使操作高效,可以由MLD执行认证,以使得客户端设备不需要在每个链路上单独建立连接,并且MLD可以针对多个链路执行单个设置。
可以在下行链路(DL)上发送的帧214的集合也可以完全在“链路1”上、完全在“链路”上、或者部分在“链路1”上并且部分在“链路2”上发送。这是因为非AP MLD 202和AP MLD216共享用于两个链路的BA协商的相同缓冲器。BA协商可以指定发送器和接收器的能力以及用于发送消息的策略。换句话说,用于BA协商的公共缓冲器允许帧214在链路1和链路2中的一个或两个上被发送。
对于AP MLD 202,除了无线电地址R1和无线电地址R2之外,还定义了标识AP MLD实体的地址R3。为非AP MLD定义类似的地址,在这种情况下,非AP MLD是客户端设备S3。MLD可以是具有使用802.11be标准的能力的任何设备,诸如膝上型计算机、台式PC、PDA接入点或wi-fi电话。MLD可以是固定的、移动的或便携式的。MLD可以是发射机或接收机,并且MLD可以包括到无线介质(WM)的介质访问控制(MAC)和物理层(PHY)接口。
由于非AP MLD 216可以同时在多个链路上向AP发送帧/从AP接收帧,因此非APMLD 216的吞吐量高于只有一个链路可用的情况。此外,由于非AP MLD 216可以独立地使用链路1和链路2进行通信,因此平均信道接入延迟被减小,从而改善了等待时间。
在非AP MLD 216和AP MLD 202之间可以存在单个关联和安全上下文。因此,单个加密密钥可以由两个MLD导出,以被用于对链路1和2的帧进行加密/解密。与公共BA缓冲器208或222一起,这允许在任何链路上发送帧所需的灵活性,而没有很多处理或排队延迟。
图3图示了用于利用密钥持有方和AP MLD之间的安全隧道进行加密的外部密钥持有方的示例。在图3的示例中,外部实体302将消息加密为加密块304,封装消息的帧。帧308图示了通过隧道306发送的帧的结构的示例。隧道WLAN帧308可以包括隧道地址。隧道WLAN帧308还可以包括不可变字段310和字段TA和RA,不可变字段310可以包括可以是消息主体的数据,字段TA和RA已经被设置为已定义的已知值。字段TA和RA可以被设置为不同的值。在现有系统中,字段TA和RA将是WLAN地址(例如,地址TA=R2和地址RA=S2,它们是链路2上的发送器和接收器地址212和220)。然而,当遵循IEEE 802.11标准时,不可变字段310在加密之后不能被改变。因此,由于AP MLD 202不能改变WLAN地址,如果尝试隧道加密,则在加密期间使用的地址TA和地址RA以及用于发送消息的地址将具有不同的概率,并且因此,接收方将不知道被用于加密的正确地址,从而阻止了解密。结合图2描述了经由链路2的在APMLD 202和非AP MLD 216之间的帧214的传输。
图4的系统类似于图3的系统。然而,在图4中,外部密钥持有方404加密密钥共享边界408内部的消息,并且外部密钥持有方404将该消息封装在加密块406内。帧418和帧410由MLD1经由加密块406加密。帧410的结构的示例的框图被图示为WLAN帧412,其包括数据和WLAN地址TA=<Wildcard>和RA=<Wildcard>,它们是可以被修改的地址。随后,MLD1决定在其上将帧发送到MLD2的链路,并相应地填充TA和RA地址。例如,MLD1选择链路2并发送帧,其中TA=R2和RA=S2。在图4中,传输以类似于图2中描述的方式来发生。地址414、地址416、地址420和地址422可以分别是地址210、地址218、地址212和地址220的实施例。在传输之后,在密钥共享边界428内,由包含解密块426的外部密钥持有方424对帧进行解密。
图5图示了加密组件500的框图。加密组件500接收明文MPDU 502、临时密钥504、分组号506和密钥ID 508。分组号506由被标记为递增PN 516的逻辑元素使用来对分组号进行递增。MAC报头510和MLD MAC地址(5xx)503由被标记为构造AAD 518的逻辑元素使用来构造、导出或生成附加认证数据(AAD)(当在本文中使用术语“构造”或来构造时,可以用术语“生成”、“导出”、来生成或来导出来代替)。优先级、递增的分组号和MLD MAC地址(5xx)由被标记为构造随机数520的逻辑元素进行组合以构造随机数(nonce)(以用于加密数据)。递增分组号和密钥ID 508由被标记为构造CCMP报头522的逻辑元素使用来构造CCMP报头。AAD、随机数、数据和临时密钥被CCM加密524使用来加密数据并创建消息完整性检查(MIC)。MAC报头510、数据、MIC和CCMP报头被组合以形成加密的MPDU 528。MIC提供用于检查加密数据的完整性的信息和报头中的信息。
因此,在图5中,明文MPDU是左边的输入(等等),而右边的输出是加密的MPDU。加密块(CCM加密524)是加密发生的地方。如可以在图5的顶部附近看到的,MAC报头510直接被传递到终端(526),而不对其本身进行加密。MAC报头510作为到构造AAD 518的输入而被给出,以用于构造附加认证数据(AAD)块,其在将AAD传递到加密块(CCM加密524)之前将可变字段设置为MAC报头中的已知值。最终块526组合MAC报头510、加密数据、MIC和报头(526)以生成最终加密的MPDU 528。由于被用来生成MIC的AAD(在526处),接收这个帧的MLD被确保MAC报头510中的字段的完整性。
可以利用CCM(具有CBC-MAC的CTR)和GCM(伽罗瓦(Galois)/计数器模式)来实现将MAC报头510中的某些字段设置为已知值作为到AAD的输入的相同过程(上面概述)。
在一些网络架构中,分布系统(DS)200与AP(例如,AP MLD 202)之间的所有业务可以通过控制器(例如,控制器104)来传输。
系统可以允许操作模式,包括:
1.)去隧道模式——从控制器104发送到AP的业务是未加密的。AP MLD 202内的加密组件,以及AP对在传送中的业务进行加密,并在下行链路(DL)上将业务发送到无线客户端。类似地,在将业务发送到控制器之前,在AP MLD 202处从无线客户端110a-110j接收的业务在AP上被解密。作为示例,在图1中,AP 106A-106C可以使用去隧道模式来将下行链路业务从控制器104发送到无线客户端110A-110C。类似地,由AP 106A-106C在上行链路(UL)上从无线客户端110B接收的帧可以在去隧道模式下被发送到控制器104。
2.)隧道模式——从控制器104被发送到AP 106a-106c之一的业务在控制器104上被加密。同样地,由无线客户端(例如,客户端110a-110k之一)发送的业务被直接发送到控制器104,在那里它被解密。加密密钥(PTK和GTK)从不离开控制器104。因此,隧道模式比去隧道模式具有更好的安全性。
如图5中所示,加密帧需要AAD作为输入。在现有系统中在加密期间未被清零的一些字段包括MAC报头中的地址字段(地址1、地址2、地址3、地址4)。在网状网络中,帧可能需要穿过多个接入链路,并且可能穿过多个接入点。地址3可以是与通信中所涉及的客户端相关联的接入点的地址。更一般地,地址3和地址4的使用可以取决于网络的拓扑。在网状网络中,地址3和地址4是网状网络的入口和出口的地址。这意味着在MPDU的加密之后,报头中的地址不能根据当前IEEE 802.11标准而被改变。这给隧道模式带来了问题,因为要在DL上从AP MLD发送到非AP MLD的业务必须在控制器处被加密,这意味着在其上发送DL帧的链路必须在控制器处被先验地选择。这产生了高度不灵活的系统,其中减少了针对帧传输动态选择(多个)链路的益处。
发明人已经标识出针对以上讨论并在相关附图中示出的问题的各种解决方案。这些解决方案可以以现在已知或以后开发的任何方式被组合、全部或部分地被实现或者以其它方式被用来达到期望的结果。
所建议的解决方案
机制1
根据第一机制,AAD中的地址1(RA)和地址2(TA)被设置为已知值。AAD被用于加密和MIC生成。这继而又允许在不知道将从其中发出帧的特定链路(在特定AP MLD上)的情况下在外部密钥持有方(例如控制器)处加密MPDU。
机制2
根据第二机制,地址1(RA)、地址2(TA)和地址3(BSSID)被设置为被用于加密和MIC生成的AAD中的已知值。例如,这允许在不知道将从其中发出帧的特定链路和特定AP MLD的情况下在外部密钥持有方(例如,控制器)处加密MPDU。
机制3
机制3与机制1和机制2相同,但是机制3涉及将所有地址字段(即地址1、地址2、地址3、地址4)设置为已知值。这在一些网状AP相关的使用情况中是有用的。用控制器+隧道模式AP的确定的已知值(例如全零)替换地址的这个概念可以被扩展到AP或非AP MLD的任何实现,其中MPDU的加密和该相同MPDU的传输不是由相同的实体(虚拟的或物理的)执行的。该扩展的示例将是将该机制应用于UL业务的非AP MLD。
应当注意,已经在CCMP加密的上下文中描述了实施例,但是也可以在任何可应用的地方被应用于Galois/计数器模式协议(GCMP)。
信令
信令可能是有用的,使得接收MLD可以在进行解密和验证接收帧的完整性之前将AAD中所需的字段设置为已知值。可以通过在由AP或非AP MLD发出的管理或控制帧内的元素中设置特定比特(为0或1)来执行信令。该比特信号指示在建立关联和安全上下文之前或同时将特定地址字段设置为已知值。旨在被设置为已知值的多个地址字段可以通过不同的比特各个地用信号发送。备选地,可以使用更少的比特,只要从不使用地址被设置为已定义的已知值的一些组合即可。例如,仅需要使用两个比特来实现上述三种机制。如果两个比特均为零,则可以被用来指示外部密钥持有方未在使用中。比特组合01可以指示协议在使用中,并且地址1和地址2已经被设置为已知值。比特组合10可以指示地址1、地址2和地址3被设置为已知值。比特组合11可以被用来指示地址1-地址4已被设置为已知值。因为这覆盖了所有三种机制,所以不需要更多的比特。然而,为每个地址指定一个比特,以指示该地址是否已经被设置为已知值提供了更多的灵活性。
图6图示了用于实现MLD之间的通信的计算组件600的示例。计算组件600可以包括(多个)硬件处理器602。
硬件处理器602可以是一个或多个中央处理单元(CPU)、基于半导体的微处理器、和/或适于检索和执行存储在机器可读存储介质604中的指令的其它硬件设备。硬件处理器602可以提取、解码和执行诸如指令606-624之类的指令,以控制用于在运行时间期间优化系统的过程或操作。作为检索和执行指令的备选或补充,硬件处理器602可以包括一个或多个电子电路,该电子电路包括用于执行一个或多个指令的功能性的电子组件,诸如现场可编程门阵列(FPGA)、专用集成电路(ASIC)或其它电子电路。
诸如机器可读存储介质604之类的机器可读存储介质可以是包含或存储可执行指令的任何电、磁、光或其它物理存储设备。因此,机器可读存储介质604可以是例如随机存取存储器(RAM)、非易失性RAM(NVRAM)、电可擦除可编程只读存储器(EEPROM)、存储设备、光盘等等。在一些实施例中,机器可读存储介质604可以是非暂时性存储介质,其中术语“非暂时性”不包括暂时性传播信号。非暂时性介质不同于传输介质,但是可以结合传输介质使用。传输介质参与在非暂时性介质之间传送信息。如下面详细描述的,机器可读存储介质604可以用可执行指令例如指令606-624来编码。
(多个)硬件处理器602可以被配置为实现以下步骤。硬件处理器602可以是被配置为实现各步骤的逻辑电路。备选地,以下步骤作为机器指令而被存储在存储器604中,这些机器指令由(多个)硬件处理器602读取和实现。
在步骤606中,接收用于传输的消息。在一个实施例中,在步骤608中,可选地将一个或多个地址的报头字段设置为确定的已知值。在可选步骤610中,信令比特被设置以指示忽略哪些地址。在步骤612中,消息被加密。如果执行步骤608,则步骤610可以是可选的。如果信令比特未被包括在不可变数据中,那么可以在发送消息之前的任何时间执行步骤610,只要及时接收信令比特以用于解密即可。在步骤614中,将地址信息前置于消息中。在步骤616中,消息被发送到第一MLD以用于传输。可选地,第一MLD可以在步骤618之前或作为步骤618的一部分而对消息进行解密。在步骤618中,第一MLD选择在其上发送消息的链路。在步骤620中,在所选链路上消息被传输到第二MLD。在步骤622中,然后,可选地基于所前置的信息,消息被从第二MLD转发到目的地。在步骤624,消息被解密。如上面所提及的,步骤624可以发生在步骤618之前或作为步骤618的一部分而发生。
例如,系统600包括:处理器602;存储机器指令的非暂时性存储器,该机器指令在被执行时使处理器:在网络设备的第一多链路组件处接收加密数据(步骤606),加密数据具有被修改为包括已知值的报头,加密数据是在由第一多链路组件接收时被加密的数据,加密数据包括与报头的内容不同的内容,已知值是第一多链路组件已知的,已知值具有不依赖于多个链路中将被选择的链路的值;以及由第一多链路组件从多个链路中选择链路(链路1或链路2)(步骤618),以发送在被接收时被加密的数据;以及在所选择的链路上将被接收时被加密的数据发送到第二多链路组件(步骤620)。
在各种实施例中,该系统或方法可以包括以下特征中的任一个。报头通过改变与被链接到第一多链路组件的第二多链路组件相关联的地址的字段中的值而被修改,该字段中的值被改变成不是与多个链路中被选择的链路相关联的地址的值。
在各种实施例中,该系统或方法可以包括以下特征中的任一个。机器指令在被执行时还使处理器602:处理被前置于加密数据的地址(步骤614)。报头包括针对接收方多链路组件的地址的第一字段和针对向接收方多链路设备发送消息的第一多链路组件的地址的第二字段,接收方多链路组件是第二多链路组件,第一字段被修改为具有不同于第二多链路组件的地址的值,并且第二字段被修改成不同于第一多链路组件的地址的值。报头还包括被修改的第三字段,第三字段针对接入点的地址;在被修改之后,第三字段具有不同于接入点的地址的值。报头还包括:针对第四地址的第四字段,第四字段被修改为具有不同于第四地址的值。
在各种实施例中,该系统或方法可以包括以下特征中的任一个。报头和加密数据是符合IEEE 802.11标准的通信的一部分。附加认证数据(AAD)块部分地基于报头。加密数据(加密块304或加密块406)包括消息完整性检查(MIC)。加密数据(加密块304或加密快406)包括MPDU。从其中接收数据的设备是控制器,该控制器包括加密组件。网络设备是接入点(例如AP MLD 202)。
例如,系统600包括:处理器602,存储机器指令的非暂时性存储器604,该机器指令在被执行时使处理器602:由网络设备的加密组件(例如外部实体302或外部密钥持有方404)修改包括认证数据的块中的信息;基于被修改的信息来对数据进行加密以形成与所述块相关联的加密数据;并且加密数据包括与块的内容不同的内容;其中基于被修改的信息来对数据进行加密使得无论选择多个链路中的哪个链路(链路1或链路2),都能够对加密数据进行解密。
例如,系统600包括:处理器602;存储机器指令的非暂时性存储器604,该机器指令在被执行时使该处理器:由网络设备的加密组件修改块中的信息以包括已知值(步骤608),块中的信息包括认证数据,所选择的已知值不基于多个链路中将由多链路组件选择的链路;基于被修改的信息来对数据进行加密以形成与块相关联的加密数据(步骤612);加密数据包括与块的内容不同的内容;将加密数据发送给多链路组件(步骤618),以用于传输被加密的数据。
在各种实施例中,该系统或方法可以包括以下特征中的任一个。块包括报头信息。机器指令在被执行时使得处理器602:在加密组件处对数据进行加密以形成加密数据(例如,加密块304或加密快406),并将加密数据发送到多链路组件(例如,AP MLD 202),在那里接收加密数据。加密组件(例如,外部密钥持有方404)和多链路组件是同一设备(例如,MLD1402a)的一部分。网络设备(外部实体302)是控制器。
作为另一个示例,一个系统包括:处理器602;存储机器指令的非暂时性存储器604,该机器指令在被执行时使处理器602:在网络设备的组件(AP MLD 202或MLD1 402a)处确定所接收的消息的字段被设置为一个值,该值指示加密是基于已知值,而不是基于在所接收的消息的报头信息的一部分中找到的值,已知值是网络设备已知的;所接收的消息包括加密数据;以及加密数据包括与报头的内容不同的内容;其中作为加密部分基于已知值的结果,无论选择哪个链接都可以对加密数据进行解密。
例如,系统600包括:处理器602;存储机器指令的非暂时性存储器604,该机器指令在被执行时使得处理器602:在网络设备的组件处确定所接收的消息的字段被设置为一个值,该值指示加密是基于已知值,而不是基于否则将在所接收的消息的报头信息的一部分中找到的值(作为步骤618或步骤624的一部分),已知值是所述网络设备已知的;所接收的消息包括加密数据,加密数据是被加密的数据,其中数据通过多链路传输来传输;以及加密数据包括与报头的内容不同的内容;以及基于已知值来解密加密数据(步骤618或步骤624)。
在各种实施例中,该系统或方法可以包括以下特征中的任一个。网络设备是接入点。加密数据包括MPDU,所接收的消息与部分地基于报头的附加认证块相关联。
图7示出了表示地址字段内容的表。不需要改变通过空中传输的MAC报头。两个字段被用来指示分布系统(DS)中的消息之间的关系。为了接入具有节点网格的网络,可以使用来自DS=1行的To DS=1,其中地址A1-A4可以用相关的MLD MAC地址来替换。当客户端设备与接入点进行通信时,取决于消息的方向,To DS和From DS中的一个被设置为0,而另一个被设置为1。在图7的表中,To DS=1和From DS=0可以指示消息正从客户端设备被发送到接入点。然而,To DS=0和From DS=1可以指示通信正从接入点传播到客户端。To DS=0和From DS=0的设置被用于控制帧或管理帧。
地址1和地址2可以是在WM上传输和接收的本地MAC地址。因此,地址1和地址2可以利用用于AAD计算的MLD MAC地址来替换(例如,A1=非AP MLD,A2=AP MLD)。
AP MLD MAC可以使用地址2来生成随机数,并且对于基本A-MSDU情况,地址2可以由用于AAD计算的AP MLD MAC来替换。非AP MLD MAC可以被用来生成地址2以计算随机数。地址3可以由AP MLD MAC替换。对于网状部署用例,考虑表1中的行,其中:To DS=1,FromDS=1。如前所述,地址A1-地址A4可以利用相关的MLD MAC地址来替换。
本文所描述的实施例产生了一种能够在加密和传输之间保持清晰分界的系统。这样的系统允许存在用于多个链路的单个加密引擎,并且可以扩展到更多的链路。这样的系统允许更快的重传,而无需在其它被启用的链路上进行MIC重新计算。
图8描绘了在其中可以实现本文所描述的各种实施例的示例网络设备800的框图。计算设备600可以是网络设备800的一部分。网络设备800包括总线802或用于传送信息的其它通信机制、与总线802耦合的用于处理信息的一个或多个硬件处理器804。(多个)硬件处理器804可以是例如一个或多个通用微处理器。处理器804可以包括硬件处理器602。
网络设备800可以是MLD或控制器。网络设备800可以是接入点。网络设备800还包括主存储器806,诸如随机存取存储器(RAM)、高速缓存和/或其它动态存储设备,其被耦合到总线802以用于存储要由处理器804执行的指令和信息。主存储器806还可以被用于在执行将由处理器804执行的指令期间存储临时变量或其它中间信息。这样的指令在被存储在处理器804可访问的存储介质中时,使网络设备800成为专用机器,该专用机器被定制以执行指令中所指定的操作。主存储器804可以存储机器指令,这些机器指令在被执行时实现步骤604-步骤624。
网络设备800还包括只读存储器(ROM)808或另一静态存储设备,其被耦合到总线802以用于为处理器804存储静态信息和指令。诸如磁盘或光盘之类的存储设备810被提供并被耦合到总线802,以用于存储信息和指令。网络设备800可以使用定制的硬连线逻辑、一个或多个ASIC或FPGA、固件和/或程序逻辑来实现本文所描述的技术,定制的硬连线逻辑、一个或多个ASIC或FPGA、固件和/或程序逻辑与网络设备相结合使得网络设备800成为专用机器或将其编程为专用机器。网络设备800还包括被耦合到总线802的通信接口818。通信接口可以包括多个通信接口,其可以是无线通信接口。不同的通信接口可以能够在不同的频率上通信。通信接口818促进与其它设备的多链路通信。网络接口818提供双向数据通信,该双向数据通信耦合到连接到一个或多个本地网络的一个或多个网络链路。
在前述部分中描述的每个过程、方法和算法可以被体现在由一个或多个网络设备或包括计算机硬件的计算机处理器所执行的代码组件中,并且完全或部分地被其自动化。
除非另有明确说明,否则本文档中使用的术语和短语及其变体应被解释为开放式的而非限制性的。形容词诸如“常规的”、“传统的”、“正常的”、“标准的”、“已知的”和类似意义的术语不应被解释为将所描述的项目限制为给定时间段或给定时间可用的项目,而是应被理解为涵盖现在或将来的任何时间可用或已知的常规的、传统的、正常的或标准的技术。在一些情况下,诸如“一个或多个”、“至少”、“但不限于”或其它类似短语的宽泛词和短语的存在不应被理解为意味着在可能没有这样的宽泛短语的情形中意图或需要更窄的情况。
Claims (20)
1.一种系统,包括:
处理器;
存储机器指令的非暂时性存储器,所述机器指令在被执行时使所述处理器:
在网络设备的第一多链路组件处接收加密数据,所述加密数据具有被修改为包括已知值的报头,所述加密数据是在由所述第一多链路组件接收时被加密的数据,所述加密数据包括与所述报头的内容不同的内容,所述已知值是所述第一多链路组件已知的,所述已知值具有不依赖于多个链路中将被选择的链路的值;以及
由所述第一多链路组件从所述多个链路中选择所述链路以发送在被接收时被加密的所述数据;以及
在所选择的所述链路上将被接收时被加密的所述数据发送到第二多链路组件。
2.根据权利要求1所述的系统,其中所述报头通过改变针对与被链接到所述第一多链路组件的所述第二多链路组件相关联的地址的字段中的值而被修改,所述字段中的所述值被改变成不是与从所述多个链路中被选择的所述链路相关联的地址的值。
3.根据权利要求1的系统,所述机器指令在被执行时还使所述处理器:
处理被前置于所述加密数据的地址。
4.根据权利要求1所述的系统,所述报头包括针对接收方多链路组件的地址的第一字段和针对向接收方多链路组件发送消息的所述第一多链路组件的地址的第二字段,所述接收方多链路组件是所述第二多链路组件,所述第一字段被修改为具有不同于所述第二多链路组件的地址的值,并且所述第二字段被修改成不同于所述第一多链路组件的地址的值。
5.根据权利要求4所述的系统,所述报头还包括被修改的第三字段,所述第三字段针对接入点的地址;在被修改之后,所述第三字段具有不同于所述接入点的所述地址的值。
6.根据权利要求5所述的系统,所述报头还包括:
针对第四地址的第四字段,所述第四字段被修改为具有不同于所述第四地址的值。
7.根据权利要求1所述的系统,所述报头和所述加密数据是符合IEEE 802.11标准的通信的一部分。
8.根据权利要求1所述的系统,所述报头是附加认证数据(AAD)块的一部分。
9.根据权利要求1所述的系统,所述加密数据包括消息完整性检查(MIC)。
10.根据权利要求1所述的系统,所述加密数据包括介质访问控制协议数据单元(MPDU)。
11.根据权利要求1所述的系统,其中从其中接收所述数据的设备是控制器,所述控制器包括加密组件。
12.根据权利要求1所述的系统,其中所述网络设备是接入点。
13.一种系统,包括:
处理器;
存储机器指令的非暂时性存储器,所述机器指令在被执行时使所述处理器:
由网络设备的加密组件修改块中的信息以包括已知值,所述块中的所述信息包括认证数据,所选择的所述已知值不基于多个链路中将由多链路组件选择的链路;
基于被修改的所述信息来对数据进行加密以形成与所述块相关联的加密数据;以及
所述加密数据包括与所述块的内容不同的内容;以及
将所述加密数据发送到所述多链路组件,以用于传输被加密的所述数据。
14.根据权利要求13所述的系统,所述块包括报头信息。
15.根据权利要求14所述的系统,所述机器指令在被执行时使所述处理器:
在所述加密组件处对数据进行加密以形成所述加密数据,以及
将所述加密数据发送到所述多链路组件,所述加密数据在所述多链路组件处被接收。
16.根据权利要求14所述的系统,所述加密组件和多链路组件是相同设备的一部分。
17.根据权利要求14所述的系统,所述网络设备是控制器。
18.一种系统,包括:
处理器;
存储机器指令的非暂时性存储器,所述机器指令在被执行时使所述处理器:
在网络设备的组件处确定所接收的消息的字段被设置为值,所述值指示加密是基于已知值,而不是基于否则将在所述所接收的消息的报头信息的一部分中被找到的值,所述已知值是所述网络设备已知的;
所述所接收的消息包括加密数据,所述加密数据是被加密的数据,其中所述数据由多链路传输来传输;以及
所述加密数据包括与所述报头的内容不同的内容;以及
基于所述已知值来解密所述加密数据。
19.根据权利要求18所述的系统,其中所述网络设备是接入点。
20.根据权利要求18所述的系统,所述加密数据包括介质访问控制协议数据单元(MPDU),所述所接收的消息与部分地基于所述报头的附加认证块相关联。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US202063071179P | 2020-08-27 | 2020-08-27 | |
US63/071,179 | 2020-08-27 | ||
PCT/US2021/047991 WO2022047180A1 (en) | 2020-08-27 | 2021-08-27 | Encryption enhancement for multi-link operation in 802.11 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116325646A true CN116325646A (zh) | 2023-06-23 |
Family
ID=80354064
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202180070675.1A Pending CN116325646A (zh) | 2020-08-27 | 2021-08-27 | 用于802.11中的多链路操作的加密增强 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20230319550A1 (zh) |
EP (1) | EP4205350A1 (zh) |
CN (1) | CN116325646A (zh) |
WO (1) | WO2022047180A1 (zh) |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3909389A1 (en) * | 2019-01-11 | 2021-11-17 | QUALCOMM Incorporated | Packet based link aggregation architectures |
US11558750B2 (en) * | 2019-05-06 | 2023-01-17 | Intel Corporation | Security for multi-link operation |
-
2021
- 2021-08-27 CN CN202180070675.1A patent/CN116325646A/zh active Pending
- 2021-08-27 US US18/043,069 patent/US20230319550A1/en active Pending
- 2021-08-27 EP EP21862838.6A patent/EP4205350A1/en active Pending
- 2021-08-27 WO PCT/US2021/047991 patent/WO2022047180A1/en unknown
Also Published As
Publication number | Publication date |
---|---|
US20230319550A1 (en) | 2023-10-05 |
EP4205350A1 (en) | 2023-07-05 |
WO2022047180A1 (en) | 2022-03-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6947483B2 (en) | Method, apparatus, and system for managing data compression in a wireless network | |
EP1774750B1 (en) | Method, apparatuses and computer readable medium for establishing secure end-to-end connections by binding IPSec Security Associations | |
US7881475B2 (en) | Systems and methods for negotiating security parameters for protecting management frames in wireless networks | |
US11463425B2 (en) | Restricting broadcast and multicast traffic in a wireless network to a VLAN | |
US10555213B2 (en) | Operation method of communication node in communication network | |
US20060242412A1 (en) | Method and communication system for configuring security information in WLAN | |
US20030235170A1 (en) | Method, apparatus, and system for distributed access points for wireless local area network (LAN) | |
US20210006434A1 (en) | Packet Processing Method and Device | |
US9602470B2 (en) | Network device, IPsec system and method for establishing IPsec tunnel using the same | |
US8942169B2 (en) | Network comprising a privately owned base station coupled with a publicly available network element | |
US11432140B2 (en) | Multicast service processing method and access point | |
IL271911B1 (en) | A method for transmitting information about end units and related products | |
CN105119900A (zh) | 信息安全传输方法、联网接入方法及相应的终端 | |
US7523306B2 (en) | Simplified CCMP mode for a wireless local area network | |
CN105120454A (zh) | 信息传输方法、联网接入方法及相应的终端 | |
JP7442690B2 (ja) | 安全な通信方法、関連する装置、およびシステム | |
US7526248B2 (en) | Extended wireless communication system and method | |
US20230319550A1 (en) | Encryption enhancement for multi-link operation in 802.11 | |
US20050197116A1 (en) | Wireless communication apparatus | |
CN115706977A (zh) | 一种数据传输方法及相关设备 | |
WO2020077502A1 (zh) | 无线通信方法和设备 | |
WO2023066022A1 (zh) | 一种通信方法及装置 | |
WO2023160390A1 (zh) | 通信方法与装置 | |
WO2023005714A1 (zh) | 一种无线通信方法和装置 | |
JP3816850B2 (ja) | Macブリッジ装置及び端末装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |