CN116965071A - 无线局域网(wlan)中的多链路操作的安全性 - Google Patents
无线局域网(wlan)中的多链路操作的安全性 Download PDFInfo
- Publication number
- CN116965071A CN116965071A CN202080066247.7A CN202080066247A CN116965071A CN 116965071 A CN116965071 A CN 116965071A CN 202080066247 A CN202080066247 A CN 202080066247A CN 116965071 A CN116965071 A CN 116965071A
- Authority
- CN
- China
- Prior art keywords
- frame
- wireless communication
- link
- frames
- communication link
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 302
- 238000000034 method Methods 0.000 claims abstract description 156
- 230000015654 memory Effects 0.000 claims description 20
- 230000004044 response Effects 0.000 claims description 14
- 230000008569 process Effects 0.000 description 82
- 238000010586 diagram Methods 0.000 description 28
- 230000005540 biological transmission Effects 0.000 description 23
- 239000012634 fragment Substances 0.000 description 13
- 238000012545 processing Methods 0.000 description 11
- 238000004422 calculation algorithm Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 230000002776 aggregation Effects 0.000 description 8
- 238000004220 aggregation Methods 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000005538 encapsulation Methods 0.000 description 3
- 239000000523 sample Substances 0.000 description 3
- 230000011218 segmentation Effects 0.000 description 3
- 108700026140 MAC combination Proteins 0.000 description 2
- VYLDEYYOISNGST-UHFFFAOYSA-N bissulfosuccinimidyl suberate Chemical compound O=C1C(S(=O)(=O)O)CC(=O)N1OC(=O)CCCCCCC(=O)ON1C(=O)C(S(O)(=O)=O)CC1=O VYLDEYYOISNGST-UHFFFAOYSA-N 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000001228 spectrum Methods 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000003750 conditioning effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000006735 deficit Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/15—Setup of multiple wireless link connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W72/00—Local resource management
- H04W72/04—Wireless resource allocation
- H04W72/044—Wireless resource allocation based on the type of the allocated resource
- H04W72/0446—Resources in time domain, e.g. slots or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/02—Data link layer protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/34—Flow control; Congestion control ensuring sequence integrity, e.g. using sequence numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开提供了与多链路无线通信有关的方法、设备和系统。一种方法可以包括在第一WLAN设备与第二WLAN设备之间建立多链路关联,该多链路关联实现第一无线通信链路和第二无线通信链路。该方法可包括:确定用于该多链路关联的临时密钥。该方法可包括:基于该临时密钥来加密第一和第二媒体接入控制(MAC)协议数据单元(MPDU)。该方法可包括:准备包括经加密的第一MPDU的第一帧和包括经加密的第二MPDU的第二帧。该方法可包括:将来自顺序分组号集合中的分组号指派给第一帧和第二帧。该方法可包括:在第一无线通信链路上传送第一帧并且在第二无线通信链路上传送第二帧。
Description
相关申请的交叉引用
本专利申请要求于2019年9月26日提交的美国临时专利申请No.62/906,690以及于2020年9月25日提交的美国专利申请No.17/033,168的优先权,这两件申请的标题均为“SECURITY FOR MULTI-LINK OPERATION IN A WIRELESS LOCAL AREA NETWORK(WLAN)(无线局域网(WLAN)中的多链路操作的安全性)”并且均被转让给本申请受让人。该在先申请的公开被认为是本专利申请的一部分并且通过援引被纳入本专利申请中。
技术领域
本公开一般涉及无线通信,尤其涉及无线通信系统中的多链路操作。
相关技术描述
无线局域网(WLAN)可由提供共享无线通信介质以供数个客户端设备(也被称为站(STA))使用的一个或多个接入点(AP)形成。遵循电气和电子工程师协会(IEEE)802.11标准族的WLAN的基本构建块是由AP管理的基本服务集(BSS)。每个BSS由AP所宣告的基本服务集标识符(BSSID)来标识。AP周期性地广播信标帧以使AP的无线射程内的任何STA能够建立或维持与WLAN的通信链路。
STA可响应于与AP进行认证并与该AP建立无线会话(也被称为无线关联,或简称为“关联”)而具有与该AP的无线通信链路。最近,IEEE正考虑新的特征和新的连通性协议以改进吞吐量和可靠性。例如,WLAN通信系统可以利用多链路操作,其中在STA与WLAN的一个或多个AP之间建立多个无线通信链路。
概述
本公开的系统、方法和设备各自具有若干创新性方面,其中并不由任何单个方面全权负责本文中所公开的期望属性。
本公开中描述的主题内容的一个创新性方面可被实现为一种用于由第一无线局域网(WLAN)设备进行无线通信的方法。该方法可包括:在第一WLAN设备与第二WLAN设备之间建立多链路关联,该多链路关联使得第一WLAN设备能够经由第一无线通信链路和第二无线通信链路来与第二WLAN设备交换帧。该方法可包括确定用于该多链路关联的临时密钥。该方法可包括基于该临时密钥来对第一媒体接入控制(MAC)协议数据单元(MPDU)进行加密并且基于该临时密钥来对第二MPDU进行加密。该方法可包括准备传送包括经加密的第一MPDU的第一帧和包括经加密的第二MPDU的第二帧。该方法可包括将来自顺序分组号集合中的第一分组号指派给第一帧并且将来自该顺序分组号集合中的第二分组号指派给第二帧。该方法可包括在第一无线通信链路上传送第一帧并且在第二无线通信链路上传送第二帧。
本公开所描述的主题内容的另一创新性方面可在第一WLAN设备中实现。第一WLAN设备可以包括至少一个调制解调器。第一WLAN设备可以包括与该至少一个调制解调器通信地耦合的至少一个处理器。第一WLAN设备可以包括与该至少一个处理器通信地耦合并且包括处理器可读代码的至少一个存储器,该处理器可读代码在由该至少一个处理器结合该至少一个调制解调器执行时被配置成执行用于无线通信的操作。该处理器可读代码可被配置成在第一WLAN设备与第二WLAN设备之间建立多链路关联,该多链路关联使得第一WLAN设备能够经由第一无线通信链路和第二无线通信链路来与第二WLAN设备交换帧。该处理器可读代码可被配置成确定用于该多链路关联的临时密钥。该处理器可读代码可被配置成经由第一临时密钥来对第一MPDU进行加密并且经由第二临时密钥来对第二MPDU进行加密。该处理器可读代码可被配置成准备传送包括经加密的第一MPDU的第一帧和包括经加密的第二MPDU的第二帧。该处理器可读代码可被配置成将来自第一顺序分组号集合中的第一分组号指派给第一帧并且将来自第二顺序分组号集合中的第二分组号指派给第二帧。该处理器可读代码可被配置成在第一无线通信链路上传送第一帧并且在第二无线通信链路上传送第二帧。
在一些实现中,该方法和第一WLAN设备可被进一步配置成:将第一序列号指派给第一帧并且将第二序列号指派给第二帧,第一序列号和第二序列号来自一序列号集合。
在一些实现中,第一无线通信链路可以与唯一性地标识第一无线通信链路的第一链路标识符相关联,并且第二无线通信链路可以与唯一性地标识第二无线通信链路的第二链路标识符相关联。
在一些实现中,该方法和第一WLAN设备可被进一步配置成:生成包括第一链路标识符的第一一次性随机数和包括第二链路标识符的第二一次性随机数。第一MPDU的加密可以基于第一一次性随机数,并且对第二MPDU进行加密可以基于第二一次性随机数。
在一些实现中,该方法和第一WLAN设备可被进一步配置成:用第一链路标识符填充第一一次性随机数的第一部分并且用方向标识符填充第一一次性随机数的第二部分,该方向标识符标识第一帧的上行链路方向或下行链路方向。
在一些实现中,该方法和第一WLAN设备可被进一步配置成:划分第一一次性随机数的第一地址分段以至少形成用于第一链路标识符的第一部分以及经截短地址分段。该方法和第一WLAN设备可被进一步配置成:将与第一WLAN设备相关联的地址或基本服务集标识符(BSSID)截短。该方法和第一WLAN设备可被进一步配置成:用经截短地址或经截短BSSID填充第一一次性随机数的该经截短地址分段。
在一些实现中,第一一次性随机数的结果所得的长度可以等于划分第一地址分段之前的第一一次性随机数的原始长度,并且其中第一一次性随机数包括第一部分、该经截短地址分段和第二部分。
在一些实现中,该经截短地址分段可包括地址或BSSID的43个比特。第一部分可以包括4个比特以标识第一无线通信链路,第一一次性随机数的第二部分可以包括1个比特以标识第一帧的上行链路方向或下行链路方向。
在一些实现中,第一一次性随机数可以包括第一地址分段,并且第二一次性随机数可以包括第二地址分段。该方法和第一WLAN设备可被进一步配置成:用第一链路标识符填充第一地址分段的第一部分。该方法和第一WLAN设备可被进一步配置成:用第二链路标识符填充第二地址分段的第二部分。
在一些实现中,第一一次性随机数的生成进一步可以包括向第一一次性随机数添加或追加第一链路标识符。
在一些实现中,该方法和第一WLAN设备可被进一步配置成:确定要经由第二无线通信链路作为第三帧来重传第一帧。该方法和第一WLAN设备可被进一步配置成:将来自顺序分组号集合中的第三分组号指派给第三帧。第三分组号可以与第一帧的第一分组号相同。该方法和第一WLAN设备可被进一步配置成:经由第二无线通信链路来将第三帧传送到第二WLAN设备。
本公开中所描述的主题内容的另一创新方面可以在一种用于由第一WLAN设备进行无线通信的方法中实现。该方法可包括在第一WLAN设备与第二WLAN设备之间建立多链路关联,该多链路关联使得第一WLAN设备能够经由第一无线通信链路和第二无线通信链路来与第二WLAN设备交换帧。该方法可包括确定用于该多链路关联的临时密钥。该方法可包括在第一无线通信链路上接收第一多个帧并且在第二无线链路上接收第二多个帧。第一多个帧和第二多个帧中的每个帧可以包括经加密MPDU和从顺序分组号集合中选择的第一分组号。该方法可包括确定在第一多个帧和第二多个帧中是否有至少两个帧包括重复的第一分组号以及是否有帧包括小于阈值号的第一分组号。该方法可包括响应于确定没有两个帧包括重复的分组号并且没有帧包括小于阈值号的第一分组号,基于用于该多链路关联的临时密钥来对第一多个帧和第二多个帧中的每个帧中的经加密MPDU进行解密。
本公开所描述的主题内容的另一创新性方面可在第一WLAN设备中实现。第一WLAN设备可以包括至少一个调制解调器。第一WLAN设备可以包括与该至少一个调制解调器通信地耦合的至少一个处理器。第一WLAN设备可以包括与该至少一个处理器通信地耦合并且包括处理器可读代码的至少一个存储器,该处理器可读代码在由该至少一个处理器结合该至少一个调制解调器执行时控制无线通信。该处理器可读代码可被配置成在第一WLAN设备与第二WLAN设备之间建立多链路关联,该多链路关联使得第一WLAN设备能够经由第一无线通信链路和第二无线通信链路来与第二WLAN设备交换帧。该处理器可读代码可被配置成确定用于该多链路关联的临时密钥。该处理器可读代码可被配置成在第一无线通信链路上接收第一多个帧并且在第二无线链路上接收第二多个帧。第一多个帧和第二多个帧中的每个帧可以包括经加密MPDU和从顺序分组号集合中选择的第一分组号。该处理器可读代码可被配置成确定在第一多个帧中是否有至少两个帧包括重复的第一分组号以及是否有帧包括小于阈值号的第一分组号。该处理器可读代码可被配置成响应于确定没有两个帧包括重复的分组号并且没有帧包括小于阈值号的第一分组号,基于用于多链路关联的临时密钥来对第一多个帧和第二多个帧中的每个帧中的经加密MPDU进行解密。
在一些实现中,该方法和第一WLAN设备可被进一步配置成:响应于检测到包括重复的第一分组号的两个帧而丢弃包括重复的第一分组号的该两个帧中的至少一个帧。
在一些实现中,该方法和第一WLAN设备可被进一步配置成:响应于检测到包括小于阈值号的第一分组号的帧而丢弃包括小于阈值号的第一分组号的帧。
在一些实现中,第一多个帧和第二多个帧中的每个帧包括从序列号集合中选择的序列号。该方法和第一WLAN设备可被进一步配置成:根据第一多个帧和第二多个帧中的每个帧中所包括的相应序列号来对第一多个帧和第二多个帧进行排序。
该方法和第一WLAN设备可被进一步配置成:在第二无线通信链路上接收与第一多个帧中的帧相关联的重传帧。该重传帧可以包括与第一多个帧的该帧的第一分组号相同的第二分组号。
在一些实现中,该重传帧可包括:基于用于该多链路关联的临时密钥来加密的MPDU。
在一些实现中,该重传帧可包括:与第一多个帧中的帧中所包括的第二序列号相同的第一序列号。
在一些实现中,该方法和第一WLAN设备可被进一步配置成:生成包括与第一无线通信链路相关联的第一链路标识符的第一一次性随机数以及包括与第二无线通信链路相关联的第二链路标识符的第二一次性随机数。在一些实现中,第一多个帧中的每个经加密MPDU的解密可以进一步基于第一一次性随机数。在一些实现中,第二多个帧中的每个经加密MPDU的解密可以进一步基于第二一次性随机数。
附图简述
本公开中所描述的主题内容的一种或多种实现的详情在附图及以下说明中阐述。其他特征、方面和优点将从该描述、附图和权利要求书中变得明了。应注意,以下附图的相对尺寸可能并非按比例绘制。
图1示出示例无线通信网络的示意图。
图2A示出了实现多链路操作的示例系统的示意图。
图2B示出了实现多链路操作的另一示例系统的示意图。
图3A示出了支持多链路操作的示例无线局域网(WLAN)设备的框图。
图3B示出了支持多链路操作的另一示例WLAN设备的框图。
图4示出了可用于AP与数个STA之间的通信的物理层汇聚协议(PLCP)协议数据单元(PPDU)的示例。
图5A示出了根据一些实现的示例加密过程的框图。
图5B示出了根据一些实现的已经使用图5A的过程进行了加密的媒体接入控制(MAC)协议数据单元(MPDU)的结构。
图5C示出了根据一些实现的示例解密过程的框图。
图6A示出了可用于加密或解密过程的传统一次性随机数的示例结构。
图6B示出了根据一些实现的可用于加密或解密过程的改良型一次性随机数的示例结构。
图6C示出了根据一些实现的可用于加密或解密过程的改良型一次性随机数的另一示例结构。
图6D示出了根据一些实现的可用于加密或解密过程的改良型一次性随机数的另一示例结构。
图7A示出了根据一些实现的可在多链路操作中使用改良型一次性随机数来重传MPDU的时序图。
图7B示出了根据一些实现的可在多链路操作中使用单独的临时密钥和分组号计数器来重传MPDU的时序图。
图8示出了示例无线通信设备的框图。
图9A示出了示例AP的框图。
图9B示出了示例STA的框图。
图10示出了解说根据一些实现的用于由无线网络的第一WLAN设备进行无线通信的示例过程的流程图。
图11示出了解说根据一些实现的用于由无线网络的第二WLAN设备进行无线通信的示例过程的流程图。
图12示出了解说根据一些实现的用于无线通信的示例过程的流程图。
图13示出了解说根据一些实现的用于无线通信的示例过程的流程图。
图14示出了根据一些实现的示例无线通信设备的框图。
图15示出了根据一些实现的示例无线通信设备的框图。
各个附图中相似的附图标记和命名指示相似要素。
详细描述
以下描述针对某些实现以旨在描述本公开的创新性方面。然而,本领域普通技术人员将容易认识到,本文的教示可按众多不同方式来应用。所描述的实现可以在能够根据电气与电子工程师协会(IEEE)802.11标准、IEEE 802.15标准、如由蓝牙特别兴趣小组(SIG)定义的标准、或由第三代伙伴项目(3GPP)发布的长期演进(LTE)、3G、4G或5G(新无线电(NR))标准等中的一者或多者来传送和接收射频(RF)信号的任何设备、系统或网络中实现。所描述的实现可以在能够根据以下技术或技艺中的一者或多者来传送和接收RF信号的任何设备、系统或网络中实现:码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交FDMA(OFDMA)、单载波FDMA(SC-FDMA)、单用户(SU)多输入多输出(MIMO)和多用户(MU)MIMO。所描述的实现还可以使用适合于在无线个域网(WPAN)、无线局域网(WLAN)、无线广域网(WWAN)、或物联网(IOT)网络中的一者或多者中使用的其他无线通信协议或RF信号来实现。
家庭、公寓、企业或其他区域中的WLAN可包括一个或多个WLAN设备。每个WLAN设备可具有一个或多个无线接口以经由无线通信介质来与另一WLAN设备进行通信。无线通信介质可以包括限定在无线频带(为了简单起见其可被称为频带)内的一个或多个无线信道。接入点(AP)是包括至少一个无线接口以及分发系统接入功能的WLAN设备。站(STA)是包括用于与AP或另一STA进行通信的至少一个无线接口的WLAN设备。每个无线接口可以是实现针对WLAN定义的无线通信协议的可定址实体。最近,IEEE正在定义用于多链路通信的技术,其中WLAN设备(诸如STA)可以在一个以上频带或单个频带中的一个以上信道上建立并发通信链路。在一些实现中,可以使用相同的无线关联来建立并发通信链路。这些通信链路可被建立在不同信道、频带或空间流等等上。在一些实现中,第一通信链路可被建立第一频带(诸如2.4GHz)上,而第二通信链路可被建立在第二频带(诸如5GHz频带或6GHz频带)上。
多链路通信可使STA能够经历更好的服务质量(QoS),诸如更高的吞吐量、可靠性或冗余等等。例如,多链路通信可实现多链路聚集(MLA),其中多个通信链路可被用于并发地传送数据。多链路操作指当一个或多个AP使用多个通信链路与STA进行通信(反之亦然)时的分组级或链路级聚集。
多链路通信还可以使得能够使用不同通信链路来重传数据。多链路操作指将多个通信链路用于带宽的聚集、重传分集或控制面聚集。在多链路操作的一个示例中,帧的重传可以使用与被用于帧的初始传输的通信链路不同的通信链路。在传统的双连通性模型中,每个通信链路将具有用于会话的不同的关联标识符和不同的临时密钥。然而,在多链路操作中,可对两个或更多个通信链路使用相同的临时密钥。此外,防范重放攻击的一些机制依赖于作为加密过程的一部分的分组号(PN)。传统上,帧的重传包括与初始传输相同的PN。由于多链路操作通常依赖于相同临时密钥和相同PN来进行帧的重传,因此无法唯一性地验证和保证该重传的安全性。因此,需要对多链路通信协议的改进以维护多链路操作的安全性。
本公开的各种实现一般涉及多链路操作。第一WLAN设备(诸如AP)可以与第二WLAN设备建立一个或多个通信链路(至少包括第一通信链路)。第一WLAN设备可以确定第二WLAN设备(诸如STA)已经与第一WLAN设备或与无线网络的第三WLAN设备(诸如另一AP)建立了第二通信链路。在与第二个WLAN设备进行通信时,第一WLAN设备可以修改加密过程以使得针对初始传输的加密和对重传的加密将导致不同加密的帧,即使(加密之前的)源帧可包含相同的数据并且加密技术可以使用相同的临时密钥和相同的PN亦如此。
在一些实现中,第一WLAN设备可以基于标识第一通信链路的第一链路标识符来生成一次性随机数。例如,唯一性链路标识符可以将每个通信链路与其他通信链路进行区分。因此,为各个链路生成的一次性随机数将是不同的。因为在加密过程中使用了与通信链路相关联的一次性随机数,所以用于不同通信链路的帧将被不同地加密。由第一WLAN设备生成的一次性随机数可被发送到第二WLAN设备以供在解密过程中使用,而无需在通信链路上直接传达该一次性随机数。
在一些实现中,可以修改用于生成一次性随机数的规程以相比先前可能的保护次序而言添加另一保护次序。例如,可以修改一次性随机数以包括链路标识符和方向标识符。链路标识符可以唯一性地标识作为多链路操作的一部分的每个通信链路。方向标识符可被用于指示帧正在向上游(从STA到AP)还是向下游(从AP到STA)传送。为了维持原始一次性随机数的相同长度,在一些实现中,可以截短一次性随机数的地址字段以向链路标识符、方向标识符或两者提供空间。替换地或附加地,地址字段可以被穿孔并且链路标识符、方向标识符或两者可被存储在地址字段的经穿孔位置。替换地,可以扩展一次性随机数的格式以使得链路标识符、方向标识符或两者可被添加或追加到一次性随机数。
在多链路操作的一些实现中,可以为每个通信链路建立不同的临时密钥和PN空间。在一些此类实现中,WLAN设备可以使用传统过程来生成一次性随机数。在一些此类实现中,序列号(SN)可被用于防止重放攻击。例如,WLAN设备的每个WLAN接口可以维持单独的加密密钥和PN计数器。SN可被用于在首先将所接收到的帧进行重排序之后检查通过经重排序的帧接收的对应PN值。在该实现中,PN值可以针对每个经重排序的分组而严格地增大。在对每个通信链路使用单独的PN空间的一些实现中,每个通信链路上的重传可以使用不同的顺序分组号集合。替换地或附加地,在一些实现中,可以仅在被用于帧的初始传输的相同通信链路上传送该帧的重传。
可实现本公开中所描述的主题内容的特定实现以达成以下潜在优点中的一者或多者。所描述的技术实现了多链路通信的改进的安全性。可以增强多链路操作的安全性,而无需修改现有加密和解密算法中所使用的数学计算。例如,基于计数器模式(CTR)密码块链消息认证码(CBC-MAC)协议(CCMP)或伽罗瓦/计数器模式协议(GCMP)的加密/解密协议可以继续使用一次性随机数、临时密钥和PN来进行帧的加密和解密。在一些实现中,增强的安全性可以通过操纵一次性随机数的结构来实现,而无需改变一次性随机数的长度。例如,一次性随机数的长度可以维持在支持降低的计算复杂性的最优长度。因此,在一些实现中,可以向一次性随机数添加链路ID、方向ID或两者而不会改变该一次性随机数的长度,以使得加密/解密协议的性能得到维持。此外,由于这些改进的一些实现是基于对一次性随机数而非临时密钥的改变,因此相同的临时密钥可被用于多个通信链路,这进而实现多链路操作的快速设立、关联和会话建立。附加地,可以继续使用现有CCMP或GCMP算法(这可以降低实现加密和解密的复杂性),而同时CCMP或GCMP算法的输入——尤其是一次性随机数——可取决于哪个通信链路正被用于传送(或重传)帧而提供唯一性的加密结果。
图1示出了示例无线通信网络100的框图。根据一些方面,无线通信网络100可以是无线局域网(WLAN)(诸如Wi-Fi网络)的示例(并且在下文中将被称为WLAN 100)。例如,WLAN100可以是实现IEEE 802.11无线通信协议标准族中的至少一者(诸如由IEEE 802.11-2016规范或其修正版所定义的标准,包括但不限于802.11ah、802.11ad、802.11ay、802.11ax、802.11az、802.11ba和802.11be)的网络。WLAN 100可包括众多无线通信设备,诸如接入点(AP)102和多个站(STA)104。虽然仅示出了一个AP 102,但WLAN网络100还可包括多个AP102。
每个STA 104还可被称为移动站(MS)、移动设备、移动手持机、无线手持机、接入终端(AT)、用户装备(UE)、订户站(SS)、或订户单元等等。STA 104可表示各种设备,诸如移动电话、个人数字助理(PDA)、其他手持设备、上网本、上网本计算机、平板计算机、膝上型设备、显示设备(例如,TV、计算机监视器、导航系统等)、音乐或者其他音频或立体声设备、遥控设备(“遥控器”)、打印机、厨房或其他家用电器、遥控钥匙(key fob)(例如,用于被动式无钥匙进入与启动(PKES)系统)等等。
单个AP 102和相关联的STA集合104可被称为基本服务集(BSS),该BSS由相应的AP102管理。图1附加地示出了AP 102的示例覆盖区域106,其可以表示WLAN 100的基本服务区域(BSA)。BSS可以通过服务集标识符(SSID)来向用户进行标识,还可以通过基本服务集标识符(BSSID)来向其他设备进行标识,BSSID可以是AP 102的媒体接入控制(MAC)地址。AP102周期性地广播包括BSSID的信标帧(“信标”),以使得AP 102的无线射程内的任何STA104能够与AP 102“关联”或重新关联以建立与AP 102的相应通信链路108(在下文中还被称为“Wi-Fi链路”)或维持与AP 102的通信链路108。例如,信标可以包括对相应AP 102所使用的主信道的标识以及用于建立或维持与AP 102的定时同步的定时同步功能。AP 102可经由相应的通信链路108向WLAN中的各个STA 104提供对外部网络的接入。
为了与AP 102建立通信链路108,每个STA 104被配置成在一个或多个频带(例如,2.4GHz、5GHz、6GHz或60GHz频带)中的频率信道上执行被动或主动扫描操作(“扫描”)。为了执行被动扫描,STA 104监听由相应AP 102按周期性时间区间(被称为目标信标传输时间(TBTT)(以时间单位(TU)测量,其中一个TU可以等于1024微秒(μs))来传送的信标。为了执行主动扫描,STA 104生成探测请求并在待扫描的每个信道上顺序地传送这些探测请求,并且监听来自AP 102的探测响应。每个STA 104可被配置成:基于通过被动或主动扫描获得的扫描信息来标识或选择要与其关联的AP 102,并执行认证和关联操作以建立与所选AP 102的通信链路108。AP 102在关联操作结束时向STA 104指派关联标识符(AID),AP 102使用该AID来跟踪STA 104。
由于无线网络越来越普遍,STA 104可以有机会选择在该STA的射程内的许多BSS之一或者在一起形成扩展服务集(ESS)(包括多个连通BSS)的多个AP 102之中进行选择。与WLAN 100相关联的扩展网络站可被连接到可允许在此类ESS中连接多个AP 102的有线或无线分发系统。如此,STA 104可以被不止一个AP 102覆盖,并且可以在不同时间与不同AP102相关联以用于不同传输。另外,在与AP 102关联之后,STA 104还可被配置成周期性地扫描其周围环境以寻找要与其关联的更合适的AP 102。例如,相对于其相关联AP 102正在移动的STA 104可执行“漫游”扫描以寻找具有更合宜的网络特性(诸如更大的收到信号强度指示符(RSSI)或减小的话务负载)的另一AP。
在一些情形中,STA 104可形成不具有AP 102或除STA 104自身以外的其他装备的网络。此类网络的一个示例是自组织(ad hoc)网络(或无线自组织网络)。自组织网络可以替换地被称为网状网络或对等(P2P)网络。在一些情形中,自组织网络可在较大无线网络(诸如WLAN 100)内实现。在此类实现中,虽然STA 104可以能够使用通信链路108通过AP102彼此通信,但STA 104还可以经由直接无线链路110彼此直接通信。附加地,两个STA 104可以经由直接通信链路110进行通信,而不管这两个STA 104是否与相同AP102相关联并由该相同AP 102服务。在此类自组织系统中,一个或多个STA 104可承担由AP 102在BSS中充当的角色。这种STA 104可被称为群主(GO)并且可协调自组织网络内的传输。直接无线链路110的示例包括Wi-Fi直连连接、通过使用Wi-Fi隧穿直接链路设立(TDLS)链路来建立的连接、以及其他P2P群连接。
AP 102和STA 104可根据IEEE 802.11无线通信协议标准族(诸如由IEEE 802.11-2016规范或其修订版所定义的标准,包括但不限于802.11ah、802.11ad、802.11ay、802.11ax、802.11az、802.11ba和802.11be)来发挥作用和通信(经由相应的通信链路108)。这些标准定义用于PHY和媒体接入控制(MAC)层的WLAN无线电和基带协议。AP 102和STA104以物理层汇聚协议(PLCP)协议数据单元(PPDU)的形式传送和接收往来于彼此的无线通信(后文也被称为“Wi-Fi通信”)。WLAN 100中的AP 102和STA 104可以在无执照频谱上传送PPDU,该无执照频谱可以是包括传统上由Wi-Fi技术使用的频带(诸如2.4GHz频带、5GHz频带、60GHz频带、3.6GHz频带和900MHz频带)的频谱的一部分。本文中所描述的AP 102和STA104的一些实现还可以在可支持有执照和无执照通信两者的其他频带(诸如6GHz频带)中进行通信。AP 102和STA 104还可以被配置成在诸如共享有执照频带之类的其他频带上进行通信,其中多个运营商可具有在一个或多个相同或交叠频带中操作的执照。
每个频带可包括多个信道(其可用作下文所述的更大带宽信道的子信道)。例如,遵循IEEE 802.11n、802.11ac和802.11ax标准修正版的PPDU可在2.4GHz和5GHz频带上传送,其中每个频带被划分成多个20MHz信道。如此,这些PPDU在具有20MHz的最小带宽的物理信道上传送,但可以通过信道绑定来形成较大的信道。例如,PPDU可在通过将多个20MHz信道(其可被称为子信道)绑定在一起而具有40MHz、80MHz、160MHz或320MHz带宽的物理信道上传送。
每个PPDU是包括PHY前置码和PLCP服务数据单元(PSDU)形式的有效载荷的复合结构。前置码中所提供的信息可由接收方设备用于解码PSDU中的后续数据。在其中PPDU在经绑定信道上传送的实例中,前置码字段可被复制并在多个分量信道中的每一者中传送。PHY前置码可包括第一部分(或“旧式前置码”)和第二部分(或“非旧式前置码”)两者。第一部分可被用于分组检测、自动增益控制和信道估计、以及其他用途。第一部分通常还可用于维护与旧式设备以及非旧式设备的兼容性。前置码的第二部分的格式、编码以及其中所提供的信息基于要用于传送有效载荷的特定IEEE 802.11协议。
图2A示出了实现多链路操作的示例系统201的示意图。AP 102可以包括多个无线接口(诸如第一WLAN接口210和第二WLAN接口212)。尽管在AP 102中示出了两个WLAN接口,但是在各种实现中可能存在不同数量的WLAN接口。STA 104也可以包括多个无线接口(诸如第一WLAN接口242和第二WLAN接口244)。
STA 104可以与AP 102建立多个通信链路(示为第一通信链路108a和第二通信链路108b)。例如,可以在STA 104的第一WLAN接口242与AP 102的第一WLAN接口210之间建立第一通信链路108a。可以在STA 104的第二WLAN接口244与AP 102的第二WLAN接口212之间建立第二通信链路108b。
图2B示出了实现多链路操作的另一示例系统202的示意图。在第二示例系统202中,STA 104可以分别与非共处AP 102a和AP 102b建立多个通信链路108a和108b。例如,STA104可以使用STA 104的第一WLAN接口242来建立到AP 102a的WLAN接口220的第一通信链路108a。STA 104可以使用STA 104的第二WLAN接口244来建立到AP 102b的WLAN接口222的第二通信链路108b。AP 102a和AP 102b可以使用有线或无线通信链路208彼此通信。例如,非共处AP 102a和AP 102b可以经由有线或无线通信链路208来协调针对STA 104的多链路操作。
图3A示出了支持多链路操作的示例WLAN设备301的框图。WLAN设备301可以是STA(诸如STA 104)或AP(诸如本文中所描述的任何AP 102)。WLAN设备301包括第一WLAN接口310和第二WLAN接口320。在图3A的示例中,第一WLAN接口310充当WLAN接口群的主WLAN接口,该WLAN接口群包括第一WLAN接口310和第二WLAN接口320。第二WLAN接口320可以是该WLAN接口群中的从WLAN接口。主机350可作为中继来操作以协调第一WLAN接口310与第二WLAN接口320之间的通信。WLAN设备301可以包括存储器360,该存储器360可以由第一WLAN接口310和第二WLAN接口320两者访问和使用以存储或检索经缓冲的帧或分组。
第一WLAN接口310可以包括主MAC层(也被称为较高MAC(U-MAC)312),其具有对应的网络MAC地址。第一WLAN接口310还包括较低MAC层(L-MAC 314,也被称为链路MAC层)和PHY层316。第二WLAN接口320包括较低MAC层(L-MAC 324)和PHY层326。每个WLAN接口310和320可被配置成与一个或多个其他WLAN设备(未示出)建立通信链路。U-MAC 312可在多链路操作期间协调哪个较低MAC(L-MAC 314或L-MAC 324)将传送或接收帧。U-MAC 312还可以代表WLAN设备301经由L-MAC 314或L-MAC 324来协调重传或确收。帧(也可被称为MAC协议数据单元或MPDU)可以包括一个或多个MAC服务数据单元(MSDU)。每个MSDU可以包括来自或去往主机350的数据。U-MAC 312可以确定每个MPDU的加密设置、寻址字段或其他参数。
图3B示出了支持多链路操作的另一示例WLAN设备302的框图。WLAN设备302可以是STA(诸如STA 104)或AP(诸如本文中所描述的任何AP 102)。WLAN设备302包括第一WLAN接口310、第二WLAN接口320和主机350。第一WLAN接口310包括第一MAC层315和PHY层316。第二WLAN接口320包括第二MAC层325和PHY层326。此外,WLAN设备302包括多链路操作层370。在一些实现中,多链路操作层370可以在第一WLAN接口310、第二WLAN接口320或主机350中实现。第一WLAN接口310、第二WLAN接口320和多链路操作层370可被统称为多链路层实体(MLLE)或多层逻辑实体。多链路操作层370可以提供维护共用关联上下文(包括安全设置)的MAC服务接入点(MAC-SAP)和由第一WLAN接口310和第二WLAN接口320两者使用的共用确收方案。
图4示出可用于AP 102与数个STA 104之间的通信的示例PPDU 400。如上所描述的,每个PPDU 400包括PHY前置码402和PSDU 404。每个PSDU 404可以表示(或“携带”)一个或多个MAC协议数据单元(MPDU)416。例如,每个PSDU 404可携带包括多个聚集MPDU(A-MPDU)子帧408的聚集的A-MPDU 406。每个A-MPDU子帧408可包括MPDU帧410,该MPDU帧410包括在伴随的MPDU 416(其包括MPDU帧410的数据部分(“有效载荷”或“帧体”))之前的MAC定界符412和MAC报头414。每个MPDU帧410还可以包括用于检错的帧校验序列(FCS)字段418(例如,该FCS字段可以包括循环冗余校验(CRC))和填充比特420。MPDU 416可以携带一个或多个MAC服务数据单元(MSDU)426。例如,MPDU 416可携带经聚集MSDU(A-MSDU)422,该A-MSDU 422包括多个A-MSDU子帧424。每个A-MSDU子帧424包含对应MSDU 430,其之前是子帧报头428,并且在一些情形中该对应MSDU 430之后是填充比特432。
返回参考MPDU帧410,MAC定界符412可充当相关联的MPDU 416开始的标记并且指示该相关联的MPDU 416的长度。MAC报头414可以包括数个字段,这些字段包含定义或指示封装在MPDU 416内的数据的特性或属性的信息。MAC报头414包括历时字段,该历时字段字段指示从PPDU结束延续至少直至对要由接收方无线通信设备传送的对PPDU的确收(ACK)或块ACK(BA结束的历时。历时字段的使用用于保留无线介质达所指示的历时,并且使得接收方设备能够建立其网络分配向量(NAV)。MAC报头414还包括指示被封装在MPDU 416内的数据的地址的数个字段。例如,MAC报头414可包括源地址、发射机地址、接收机地址或目的地地址的组合。MAC报头414可进一步包括包含控制信息的帧控制字段。帧控制字段可指定帧类型,例如,数据帧、控制帧或管理帧。
WLAN可以使用密码封装机制来保护数据并检测或缓解重放攻击。示例密码封装机制包括CCMP和GCMP。这些协议使用针对每个会话生成的临时密钥。在本文中所描述的多链路操作的一些实现中,临时密钥对于多个通信链路可以是共用的。
在各种实现中,密码封装机制针对由临时密钥保护的每个MPDU使用唯一性的一次性随机数。一次性随机数部分地基于来自MPDU的MAC报头的地址以及分组号(PN)来生成。PN针对每个MPDU顺序地递增。如果接收方WLAN设备确定PN或临时密钥已被重用,则MPDU的安全状态可能无效并且该WLAN设备可丢弃该帧。
图5A示出了根据一些实现的示例加密过程501的框图。示例加密过程501基于CCMP加密。示例加密过程501可由正在传送MPDU的AP(诸如AP 102)或STA(诸如STA 104)执行。明文(未加密)MPDU 510可被解析以确定至带CBC-MAC(CCM)加密模块(其执行CCM算法)540的CTR的一些输入。例如,来自明文MPDU 510的MAC报头522的一些字段可被解析以提供给附加认证数据(AAD)生成器532以用于AAD的确定。CCM加密模块540提供针对AAD中所包括的字段的完整性保护。PN递增器524随后可将来自先前MPDU的分组号514进行递增以确定将被用来构造一次性随机数的下一PN。注意,重传的MPDU在重传时可以不被修改。因此,用于MPDU的初始传输的相同PN可被用作用于对该MPDU的重传的PN。PN值将每个MPDU进行顺序编号。每个WLAN设备针对与另一WLAN设备的每个安全关联维护单个PN计数器(诸如48比特计数器)。在一些实现中,PN是48比特的递增整数,其在对应临时密钥被初始化或刷新时被初始化为1。
一次性随机数生成器534可以使用PN、来自MAC报头的地址字段值(A2地址)以及MPDU的优先级值来生成CCM一次性随机数。优先级值可以基于服务质量指示符或接入类别指示符。在一些实现中,来自PN递增器524的PN以及密钥标识符也可被发送到CCMP报头生成器,该CCMP报头生成器构造用于经加密MPDU的CCMP报头。
CCM加密模块540使用临时密钥512、AAD、一次性随机数和MPDU数据520来形成经加密数据(以密文的形式)和消息完整性码(MIC)。CCM加密过程也可被称为CCM始发方处理。MIC是由密码函数生成的值。如果改变了输入数据,则在不具有关于密码函数所使用的(诸)密码密钥的知识的情况下无法正确计算新值。MIC也可被称为消息认证码。原始MAC报头522、CCMP报头(若包括)、经加密数据和MIC在框542处被组合以形成经加密MPDU 550。
GCMP加密过程(未示出)类似于参照图5A所描述的CCMP加密过程,区别在于该GCMP过程未使用优先级值作为一次性随机数生成器534的输入。
图5B示出了根据一些实现的已经使用图5A的过程进行了加密的MPDU 550的结构。经加密MPDU 550包括MAC报头522、CCMP报头592、数据PDU 558(经加密)、MIC 552和帧校验序列(FCS)594。数据PDU 558和MIC 552是经加密MPDU 550的经加密部分596。MAC报头522和CCMP报头592(在包括时)提供一些值(诸如MAC报头522中的A2地址和CCMP报头592中的PN),这些值可以由接收方WLAN设备用于对经加密部分596进行解密。在一些实现中,可以省略CCMP报头592。例如,如果MAC报头522的帧控制字段指示经加密MPDU 550正在使用第一协议版本(PV1),则可以省略CCMP报头592。如果省略了CCMP报头592,则PN可由本地计数器确定。传送方WLAN设备和接收方WLAN设备两者都可以维护本地计数器以使得它们对于每个MPDU具有相同的PN。可以包括CCMP报头592以初始化本地计数器或建立新PN。
图5C示出了根据一些实现的示例解密过程502的框图。示例解密过程502可由正在接收经加密MPDU 550的AP(诸如AP 102)或STA(诸如STA 104)执行。经加密MPDU 550的MAC报头522被解析以提供给AAD生成器532以用于AAD的确定。经加密MPDU 550的未加密部分可被解析以确定A2地址字段554、优先级值和PN 556。在一些实现中,PN 556可以被包括在经加密MPDU 550的CCMP报头或其他未加密部分中。替换地,PN 556可以不与经加密MPDU 550包括在一起,并且PN 556可以通过递增与会话相关联的PN本地计数器(未示出)来确定。如果从PN本地计数器确定的PN不同于传送方WLAN设备使用的PN,则CCM解密模块580将无法正确地对密文数据559进行解密。A2地址字段554、优先级值和PN 556被传递给构造一次性随机数的一次性随机数生成器534。可以从经加密MPDU 550中提取MIC以与CCM解密模块580联用。MIC可被用于由CCM解密模块580进行的CCM完整性校验。CCM解密模块580执行CCM接收者处理以使用(从存储器检索的)临时密钥512、AAD、一次性随机数和MIC来对密文数据559进行解密(以恢复明文数据)。CCM接收方处理还使用MIC 552来检查AAD和MPDU明文数据的完整性。MAC报头522和明文数据520可被级联以形成明文MPDU 510。
解密处理通过验证MPDU中的PN大于为会话维护的重放计数器来防止MPDU的重放。重放校验模块582将PN 556与先前存储的分组号(PN’)值514进行比较。
图6A示出了可用于加密或解密过程的传统一次性随机数的示例结构。传统一次性随机数601(其基于传统技术)可以包括一次性随机数标志610、A2地址分段620和PN 660。A2地址分段620可以用表示MPDU的传送侧的6个八位位组(48比特)地址、关联ID(AID)或BSSID来填充。一次性随机数标志610可以包括一个或多个指示符(未示出),诸如优先级标志、管理分段、协议版本分段等等。然而,由于A2地址分段对于多个通信链路可能是相同的,并且PN 660被强制等于用于初始传输的PN(未示出),因此存在导致传统一次性随机数601的相同一次性随机数值的可能性。使用相同的一次性随机数值进行重传或不同数据集的加密是一种安全缺陷,其损害多链路操作中的后续传输或重传的安全性。
图6B示出了根据一些实现的可用于加密或解密过程的改良型一次性随机数602的示例结构。改良型一次性随机数602包括链路标识符(ID)640,其唯一性地标识与多链路操作相关联的每个通信链路。链路ID 640可被包括在改良型一次性随机数602的第一部分642中。在一些实现中,改良型一次性随机数602还可以将方向ID 650包括在该改良型一次性随机数602的第二部分652中。传送方WLAN设备和接收方WLAN设备两者可以生成相同的一次性随机数,因为它们基于其关联关系而都知道通信链路的链路ID 640以及方向ID 650。在该示例中,对于经由被用于多链路操作的任何通信链路的对相同帧的重传,临时密钥和PN可以相同。
在一些实现中,改良型一次性随机数602的长度可以与传统一次性随机数601的长度相同。为了给第一部分642和第二部分652留出空间,可以修改A2地址分段620。例如,A2地址分段可被截短以形成经截短地址分段630。例如,WLAN设备可以将A2地址分段从48个比特减少到43个比特以使得5个比特可被用于第一部分642和第二部分652。在一些实现中,第一部分642可以是4个比特,并且第二部分652可以是1个比特。方向ID 650的第一值可以表示上游方向,并且方向ID 650的第二值可以表示下游方向,反之亦然。链路ID 640对于每个通信链路可以是按顺序唯一性的值。替换地,链路ID 640可以是随机值,其从正被用于多链路操作的所有链路ID中被验证为是唯一性的。第一WLAN设备可以在关联或会话设立时传达用于一个或多个通信链路的链路ID 640。例如,链路ID可以在生成临时密钥的大致相同时间被传达或生成。
WLAN设备可以用A2地址分段620的一部分来填充经截短地址分段630。例如,A2地址分段620的该部分可以包括最高有效比特(MSB)、最低有效比特(LSB)、连贯中间比特串或对指定比特的预定选择。每个WLAN设备(传送方WLAN设备和接收方WLAN设备)可被配置成使用相同的规程来生成经截短地址分段630。
图6C示出了根据一些实现的可用于加密或解密过程的改良型一次性随机数603的另一示例结构。在一些实现中,改良型一次性随机数603的长度可以与传统一次性随机数601的长度相同。为了为附加一次性随机数数据(诸如链路ID 640、方向ID(未示出)或其他一次性随机数数据)留出空间,A2地址分段可被穿孔以形成经穿孔地址分段670。例如,WLAN设备可以将A2地址分段从48比特减少到43比特以使得5个比特可被用于附加一次性随机数数据。WLAN设备可以用A2地址分段的一部分来填充经穿孔地址分段670的未被穿孔的比特。例如,A2地址分段的该部分可以包括来自A2地址的对指定比特的预定选择。如图6C所示,WLAN设备可以用附加一次性随机数数据(诸如链路ID 640)来填充经穿孔址分段670的被穿孔比特。每个WLAN设备(传送方WLAN设备和接收方WLAN设备)可被配置成使用相同的规程来生成经穿孔地址分段670。
图6D示出了根据一些实现的可用于加密或解密过程的改良型一次性随机数604的另一示例结构。在图6D中,改良型一次性随机数604包括一次性随机数标志610、A2地址分段630和PN 660,如以上参照图6A所描述的。改良型一次性随机数604的长度被扩展以使得可以添加或追加附加一次性随机数数据(诸如链路ID 640和方向ID 650)。在图6D中,链路ID640被添加在改良型一次性随机数604的第一部分642中,并且方向ID 650被添加在改良型一次性随机数604的第二部分652中。第一部分642和第二部分652可以添加在地址分段630与PN 660之间。在其他实现中,第一部分642、第二部分652或两者可位于改良型一次性随机数604的不同位置,诸如在开始或结束处。
图7A示出了根据一些实现的可在多链路操作中使用改良型一次性随机数来重传MPDU的定时图。第一WLAN设备(未示出)和第二WLAN设备(未示出)可具有多个通信链路108a和108b,如参照图2A所描述的。替换地,第一通信链路108a和第二通信链路108b可以建立在STA与两个不同的AP之间,如参照图2B所描述的。WLAN设备可以针对通信链路108a和108b两者使用相同的临时密钥。类似地,WLAN设备可以使用相同的PN空间,并且可以维持响应于经由通信链路108a和108b两者传送或接收的帧的PN计数器。
第一WLAN设备可以加密MPDU以形成第一帧710。该加密可以基于临时密钥、PN和包括第一链路ID的改良型一次性随机数,该第一链路ID从多链路操作中所使用的所有通信链路108a和108b中唯一性地标识第一通信链路108a。第一WLAN设备可以在第一通信链路108a上传送第一帧710作为初始传输。如果第二WLAN设备未能对第一帧710进行解密或解码,则第二WLAN设备可向第一WLAN设备传送回否定确收(NACK)712。第一WLAN设备可确定要经由第二通信链路108b来重传MPDU。然而,第一WLAN设备可以通过包括第二链路ID来修改用于加密的一次性随机数,该第二链路ID从多链路操作中所使用的所有通信链路108a和108b中唯一性地标识第二通信链路108b。因此,第一WLAN设备将获得针对MPDU的不同加密结果,并且将作为重传的第一帧720来传送该不同加密结果。在接收到并处理重传的第一帧720之后,第二WLAN设备可以用肯定确收(ACK)722来响应。
图7B示出了根据一些实现的可在多链路操作中使用单独的临时密钥和分组号计数器来重传MPDU的定时图。类似于图7A,第一WLAN设备和第二WLAN设备可具有多个通信链路,该多个通信链路包括第一通信链路108a和第二通信链路108b。然而,不同于图7A,WLAN设备可以针对每个通信链路建立不同的临时密钥和PN空间。例如,第一WLAN设备可以确定用于第一通信链路108a的第一临时密钥,并且可以基于专用于第一通信链路108a的第一PN计数器来对分组进行顺序编号。第一临时密钥和第一PN计数器可以形成用于第一通信链路108a的第一加密配置752。第一WLAN设备可以确定用于第二通信链路108b的第二临时密钥(不同于第一临时密钥),并且可以使用专用于第二通信链路108b的第二PN计数器(不同于第一PN计数器)来对分组进行顺序编号。第二临时密钥和第二PN计数器可以形成用于第二通信链路108b的第二加密配置754。因此,WLAN设备可以管理用于通信链路108a和108b中的每一者的不同加密配置。
第一WLAN设备可以经由第一通信链路108a来传送第一帧710。如同图7A一样,第二WLAN设备可以传送NACK 712以指示第二WLAN设备无法对第一帧710进行解码或解密。第一WLAN设备可以经由第二通信链路108b来传送重传的第一帧720。因为第二加密配置754不同于第一加密配置752,所以当执行对重传的第一帧720的加密时,第一WLAN设备可以不将链路ID或方向ID包括在一次性随机数中。确切而言,不同的临时密钥和PN空间将足以创建不同的加密结果。
第二WLAN设备的每个WLAN接口(用于通信链路108a和108b)具有包括不同PN计数器的不同加密配置752和754。因此,PN可能不足以检测到分组重放或保证经加密MPDU的安全性。相反,第二WLAN设备可以执行SN分组重放规程760以防范分组重放安全漏洞。SN分组重放规程760可由主WLAN接口或在第二WLAN设备的较高层处执行。第二WLAN设备(使用主WLAN接口或较高层)可以基于(来自不同通信链路的)帧的SN来对这些帧进行重排序。由于每个通信链路具有其自己的PN空间,因此第二WLAN设备仅将帧的收到PN值与从相同通信链路接收的最后PN值进行比较,并且确保来自在相同通信链路上抵达的分组的PN值递增。如果特定通信链路的PN被重复或小于该通信链路的先前PN,则第二WLAN设备可确定已经存在分组重放安全漏洞。响应于该分组重放安全漏洞,第二WLAN设备可以丢弃传输,并且可以为每个通信链路108a和108b建立新的临时密钥以及重置PN计数器。替换地,如果每个通信链路的PN根据规则正确递增(诸如按固定值严格递增),则第二WLAN设备可以确定不存在分组重放安全漏洞,并且可以用肯定确收722来响应。
图8示出了示例无线通信设备800的框图。在一些实现中,无线通信设备800可以是用于STA(诸如上面参照图1所描述的各STA 104之一)中的设备的示例。在一些实现中,无线通信设备800可以是用于AP(诸如上面参照图1所描述的AP 102)中的设备的示例。无线通信设备800能够传送(或输出以供传输)和接收无线通信(例如,以无线分组的形式)。例如,无线通信设备可以被配置成:传送和接收遵循IEEE 802.11无线通信协议标准(诸如由IEEE802.11-2016规范或其修正版所定义的标准,包括但不限于802.11ah、802.11ad、802.11ay、802.11ax、802.11az、802.11ba和802.11be)的物理层汇聚协议(PLCP)协议数据单元(PPDU)和媒体接入控制(MAC)协议数据单元(MPDU)形式的分组。
无线通信设备800可以是或可包括包含一个或多个调制解调器802(例如,Wi-Fi(遵循IEEE 802.11)调制解调器)的芯片、片上系统(SoC)、芯片组、封装或设备。在一些实现中,一个或多个调制解调器802(统称为“调制解调器802”)附加地包括WWAN调制解调器(例如,3GPP 4G LTE或5G兼容调制解调器)。在一些实现中,无线通信设备800还包括一个或多个无线电804(统称为“无线电804”)。在一些实现中,无线通信设备800进一步包括一个或多个处理器、处理块或处理元件806(统称为“处理器806”)和一个或多个存储器块或元件808(统称为“存储器808”)。
调制解调器802可包括智能硬件块或设备(举例而言,诸如专用集成电路(ASIC)等)。调制解调器802一般被配置成实现PHY层。例如,调制解调器802被配置成调制分组并将经调制分组输出给无线电804以供在无线介质上传输。类似地,调制解调器802被配置成获得由无线电804接收的经调制分组并对这些分组进行解调以提供经解调分组。除了调制器和解调器之外,调制解调器802还可进一步包括数字信号处理(DSP)电路系统、自动增益控制(AGC)、编码器、解码器、复用器和解复用器。例如,当处在传输模式中之时,将从处理器806获得的数据提供给编码器,该编码器对数据进行编码以提供经编码比特。经编码比特随后被映射到调制星座中的点(使用所选MCS)以提供经调制的码元。随后,经调制的码元可被映射到数个空间流的NSS或数个空间时间流的NSTS。随后,相应空间流或空时流中的经调制码元可被复用,经由快速傅里叶逆变换(IFFT)块进行变换,并随后被提供给DSP电路系统以供Tx加窗和过滤。数字信号随后可被提供给数模转换器(DAC)。结果所得的模拟信号随后可被提供给上变频器,并最终提供给无线电804。在涉及波束成形的实现中,在相应的空间流中的经调制码元在被提供给IFFT块之前,经由引导矩阵进行预编码。
当在接收模式中时,从无线电804接收到的数字信号被提供给DSP电路系统,该DSP电路系统被配置成获取收到信号,例如,通过检测信号的存在以及估计初始定时和频率偏移。DSP电路系统被进一步配置成数字地调节数字信号,例如,使用信道(窄带)过滤、模拟损伤调节(诸如校正I/Q不平衡),以及应用数字增益以最终获得窄带信号。随后,DSP电路系统的输出可被馈送到AGC,其被配置成使用从数字信号(例如在一个或多个收到训练字段中)中提取的信息,以确定适当增益。DSP电路系统的输出还与解调器耦合,该解调器被配置成从信号提取经调制码元,并且例如计算每个空间流中每个副载波的每个比特位置的对数似然比(LLR)。解调器与解码器耦合,该解码器可被配置成处理LLR以提供经解码比特。随后,经解码的来自所有空间流的比特被馈送到解复用器以进行解复用。经解复用的比特随后可被解扰并被提供给MAC层(处理器806)以供处理、评估或解读。
无线电804一般包括至少一个射频(RF)发射机(或“发射机链”)和至少一个RF接收机(或“接收机链”),它们可以组合成一个或多个收发机。例如,RF发射机和接收机可包括各种DSP电路系统,分别包括至少一个功率放大器(PA)和至少一个低噪声放大器(LNA)。RF发射机和接收机可进而耦合到一个或多个天线。例如,在一些实现中,无线通信设备800可包括或耦合到多个发射天线(每一者具有对应的发射链)和多个接收天线(每一者具有对应的接收链)。从调制解调器802输出的码元被提供给无线电804,无线电804随后经由所耦合的天线来发射这些码元。类似地,经由天线接收到的码元由无线电804获得,无线电804随后将这些码元提供给调制解调器802。
处理器806可包括被设计成执行本文中所描述的功能的智能硬件块或设备,诸如举例而言处理核、处理块、中央处理单元(CPU)、微处理器、微控制器、数字信号处理器(DSP)、应用专用集成电路(ASIC)、可编程逻辑器件(PLD)(诸如现场可编程门阵列(FPGA))、分立的门或晶体管逻辑、分立的硬件组件或其任何组合。处理器806处理通过无线电804和调制解调器802接收到的信息,并处理要通过调制解调器802和无线电804输出以通过无线介质传输的信息。例如,处理器806可以实现控制面和MAC层,其被配置成执行与MPDU、帧或分组的生成和传输有关的各种操作。MAC层被配置成执行或促成帧的编码和解码、空间复用、空时块编码(STBC)、波束成形和OFDMA资源分配及其他操作或技术。在一些实现中,处理器806一般可以控制调制解调器802以使该调制解调器执行上述各种操作。
存储器808可包括有形存储介质,诸如随机存取存储器(RAM)或只读存储器(ROM)或其组合。存储器808还可以存储包含指令的非瞬态处理器或计算机可执行软件(SW)代码,这些指令在被处理器806执行时使该处理器执行本文所描述的用于无线通信的各种操作,包括MPDU、帧或分组的生成、传输、接收和解读。例如,本文所公开的各组件的各个功能或者本文所公开的方法、操作、过程或算法的各个框或步骤可以被实现为一个或多个计算机程序的一个或多个模块。
图9A示出了示例AP 902的框图。例如,AP 902可以是参照图1所描述的AP 102的示例实现。AP 902包括无线通信设备(WCD)910。例如,无线通信设备910可以是参照图8所描述的无线通信设备800的示例实现。AP 902还包括与无线通信设备910耦合的多个天线920以发射和接收无线通信。在一些实现中,AP 902附加地包括与无线通信设备910耦合的应用处理器930、以及与应用处理器930耦合的存储器940。AP 902进一步包括至少一个外部网络接口950,其使得AP 902能够与核心网或回程网络进行通信以获得对包括因特网的外部网络的接入。例如,外部网络接口950可包括有线(例如,以太网)网络接口和无线网络接口(诸如,WWAN接口)中的一者或两者。前述组件中的组件可以在至少一条总线上直接或间接地与这些组件中的其他组件进行通信。AP 902进一步包括外壳,该外壳包围无线通信设备910、应用处理器930、存储器940并且包围天线920和外部网络接口950的至少部分。
图9B示出了示例STA 904的框图。例如,STA 904可以是参照图1所描述的STA 104的示例实现。STA 904包括无线通信设备915。例如,无线通信设备915可以是参照图8所描述的无线通信设备800的示例实现。STA 904还包括与无线通信设备915耦合的一个或多个天线925以发射和接收无线通信。STA 904附加地包括与无线通信设备915耦合的应用处理器935、以及与应用处理器935耦合的存储器945。在一些实现中,STA 904进一步包括用户接口(UI)955(诸如触摸屏或键盘)和显示器965,该显示器965可与该UI 955集成以形成触摸屏显示器。在一些实现中,STA 904可进一步包括一个或多个传感器975(举例而言,诸如一个或多个惯性传感器、加速计、温度传感器、压力传感器或高度传感器)。前述组件中的组件可以在至少一条总线上直接或间接地与这些组件中的其他组件进行通信。STA 904进一步包括外壳,该外壳包围无线通信设备915、应用处理器935、存储器945并且包围天线925、UI955和显示器965的至少部分。
如上所描述的,在多链路操作中,帧的重传可以使用与被用于该帧的初始传输的通信链路不同的通信链路。在多链路操作中,多个通信链路可以将相同的临时密钥用于两个或更多个通信链路。帧的重传通常包括与初始传输相同的PN。由于多链路操作通常依赖于相同临时密钥和相同PN来进行帧的重传,因此除非对加密和解密算法的输入做出改变,否则无法唯一性地验证和保证重传的安全性。
本公开的各种实现一般涉及多链路操作。第一WLAN设备(诸如AP)可以与第二WLAN设备建立一个或多个通信链路(至少包括第一通信链路)。第一WLAN设备可以确定第二WLAN设备(诸如STA)已经与第一WLAN设备或与无线网络的第三WLAN设备(诸如另一AP)建立了第二通信链路。在与第二个WLAN设备进行通信时,第一WLAN设备可以修改加密过程以使得针对初始传输的加密和对重传的加密将导致不同加密的帧,即使(加密之前的)源帧可包含相同的数据并且加密技术可以使用相同的临时密钥和相同的PN亦如此。本公开提供了支持多链路操作的改良型加密过程的若干实现。修改的示例包括使用链路标识符、方向标识符和经截短地址分段等等。另一示例改良型加密过程可依赖于序列号进行重放攻击检测。
可实现本公开中所描述的主题内容的特定实现以达成以下潜在优点中的一者或多者。所描述的技术实现了多链路通信的改进的安全性。可以增强多链路操作的安全性,而无需修改现有加密和解密算法中所使用的数学计算。例如,基于CCMP或GCMP的加密/解密协议可以继续使用一次性随机数、临时密钥和PN来进行帧的加密和解密。在一些实现中,增强型安全性可以通过操纵一次性随机数的结构来实现,而无需改变一次性随机数的长度。此外,由于这些改进的一些实现是基于对一次性随机数而非临时密钥的改变,因此相同的临时密钥可被用于多个通信链路,这进而实现多链路操作的快速设立、关联和会话建立。附加地,可以继续使用现有CCMP或GCMP算法(这可以降低实现加密和解密的复杂性),而同时CCMP或GCMP算法的输入——尤其是一次性随机数——可取决于哪个通信链路正被用于传送(或重传)帧而提供唯一性的加密结果。
图10示出了解说根据一些实现的用于由无线网络的第一WLAN设备进行无线通信的示例过程1000的流程图。过程1000可以由无线通信设备(诸如上面参照图8所描述的无线通信设备800)来执行。在一些实现中,过程1000可以由作为AP(诸如上面分别参照图1和图9A所描述的AP 102和902之一)来操作或在AP内操作的无线通信设备执行。在一些实现中,过程1000可以由作为STA(诸如上面分别参照图1和图9B所描述的STA 104和904之一)来操作或在STA内操作的无线通信设备执行。
在一些实现中,过程1000在框1002始于与第二WLAN设备建立一个或多个无线通信链路,该一个或多个无线通信链路包括第一无线通信链路,该第一无线通信链路与唯一性地标识WLAN中的第一无线通信链路的第一链路标识符相关联。
在框1004中,过程1000继续确定第二WLAN设备具有包括第一无线通信链路的多个同时无线通信链路的能力。
在框1006中,过程1000继续准备第一帧以供经由第一无线通信链路传送给第二WLAN设备。
在框1008中,过程1000继续基于确定第二WLAN设备具有多个同时无线通信链路的能力来生成包括第一链路标识符的第一一次性随机数。
在框1010中,过程1000继续使用第一一次性随机数来对第一帧进行加密。
在框1012中,过程1000继续经由第一通信链路来将第一帧传送到第二WLAN设备。
图11示出了解说根据一些实现的用于接收无线通信的示例过程1100的流程图。过程1100可以由无线通信设备(诸如上面参照图8所描述的无线通信设备800)来执行。在一些实现中,过程1100可以由作为AP(诸如上面分别参照图1和图9A所描述的AP 112和902之一)来操作或在AP内操作的无线通信设备执行。在一些实现中,过程1100可以由作为STA(诸如上面分别参照图1和图9B所描述的STA 114和904之一)来操作或在STA内操作的无线通信设备执行。
在一些实现中,过程1100在框1102始于与无线网络的第二WLAN设备建立第一无线通信链路,该第一无线通信链路与唯一性地标识WLAN中的第一无线通信链路的第一链路标识符相关联。
在框1104中,过程1100继续与第一WLAN设备或无线网络的第三WLAN设备至少建立第二无线通信链路。
在框1106中,过程1100继续经由第一无线通信链路来从第二WLAN设备接收第一帧。
在框1108中,过程1100继续生成包括第一链路标识符的第一一次性随机数。
在框1110中,过程1100继续使用第一一次性随机数来对第一帧进行解密。
图12示出了解说根据一些实现的用于无线通信的示例过程1200的流程图。过程1200可以由第一WLAN设备(诸如上面参照图8所描述的无线通信设备800)来执行。在一些实现中,过程1200可以由作为AP(诸如上面分别参照图1和图9A所描述的AP 112和902之一)来操作或在AP内操作的无线通信设备执行。在一些实现中,过程100可以由作为STA(诸如上面分别参照图1和图9B所描述的STA 114和904之一)来操作或在STA内操作的无线通信设备执行。
在框1202中,过程1200在第一WLAN设备与第二WLAN设备之间建立多链路关联,该多链路关联使得第一WLAN设备能够经由第一无线通信链路和第二无线通信链路来与第二WLAN设备交换帧。
在框1204中,过程1200确定用于该多链路关联的临时密钥。
在框1206中,过程1200基于临时密钥来对第一MPDU进行加密并且基于临时密钥来对第二MPDU进行加密。
在框1208中,过程1200准备传送包括经加密的第一MPDU的第一帧和包括经加密的第二MPDU的第二帧。
在框1210中,过程1200将来自顺序分组号集合中的第一分组号指派给第一帧并且将来自该顺序分组号集合中的第二分组号指派给第二帧。
在框1212中,过程1200在第一无线通信链路上传送第一帧并且在第二无线通信链路上传送第二帧。
图13示出了解说根据一些实现的用于无线通信的示例过程1300的流程图。过程1300可以由第一WLAN设备(诸如上面参照图8所描述的无线通信设备800)来执行。在一些实现中,过程1300可以由作为AP(诸如上面分别参照图1和图9A所描述的AP 112和902之一)来操作或在AP内操作的无线通信设备执行。在一些实现中,过程100可以由作为STA(诸如上面分别参照图1和图9B所描述的STA 114和904之一)来操作或在STA内操作的无线通信设备执行。
在框1302,过程1300在第一WLAN设备与第二WLAN设备之间建立多链路关联,该多链路关联使得第一WLAN设备能够经由第一无线通信链路和第二无线通信链路来与第二WLAN设备交换帧。
在框1304,过程1300确定用于该多链路关联的临时密钥。
在框1306,过程1300在第一无线通信链路上接收第一多个帧并且在第二无线通信链路上接收第二多个帧,其中第一多个帧和第二多个帧中的每个帧包括经加密MPDU和从顺序分组号集合中选择的第一分组号。
在框1308,过程1300确定在第一多个帧和第二多个帧中是否有至少两个帧包括重复的第一分组号以及是否有帧包括小于阈值号的第一分组号。
在框1310,过程1300响应于确定没有两个帧包括重复的分组号并且没有帧包括小于阈值号的第一分组号,基于用于该多链路关联的临时密钥来对第一多个帧和第二多个帧中的每个帧中的经加密MPDU进行解密。
图14示出根据一些实现的示例无线通信设备1400的框图。在一些实现中,无线通信设备1400被配置成执行以上描述的一个或多个过程。无线通信设备1400可以是以上参照图8所描述的无线通信设备800的示例实现。例如,无线通信设备1400可以是包含至少一个处理器和至少一个调制解调器(例如,Wi-Fi(IEEE 802.11)调制解调器或蜂窝调制解调器)的芯片、SoC、芯片组、封装或设备。在一些实现中,无线通信设备1400可以是用在AP(诸如以上分别参考图1和9A所描述的AP 102和902之一)中的设备。在一些实现中,无线通信设备1400可以是用在STA(诸如以上分别参考图1和9B所描述的STA 104和904之一)中的设备。在一些其他实现中,无线通信设备1400可以是包括此类芯片、SoC、芯片组、封装或设备以及至少一个发射机、至少一个接收机和至少一个天线的AP或STA。
无线通信设备1400包括多链路配置模块1402、加密模块1404、一次性随机数生成模块1406和多链路操作模块1408。模块1402、1404、1406和1408中的一者或多者的各部分可以至少部分地以硬件或固件来实现。例如,多链路配置模块1402、加密模块1404、一次性随机数生成模块1406和多链路操作模块1408可以至少部分地由调制解调器(诸如调制解调器802)实现。在一些实现中,模块1402、1404、1406或1408中的一些的各部分被至少部分地实现为存储器(诸如存储器808)中所存储的软件。例如,模块1402、1404、1406或1408中的一者或多者的各部分可被实现为可由处理器(诸如处理器806)执行以执行相应模块的功能或操作的非瞬态指令(或“代码”)。
多链路配置模块1402可以被配置成确定用于多链路操作中所使用的通信链路的安全配置。例如,安全配置可以包括共用临时密钥和共用PN计数器。替换地,安全配置可以包括针对每个通信链路的不同临时密钥和不同PN计数器。多链路配置模块1402可以建立一个或多个通信链路,该一个或多个通信链路是用于多链路操作的通信链路群的一部分。作为示例,多链路操作可以包括并发地使用多个通信链路来传送MPDU。多链路操作可以支持在无线通信设备1400的不同WLAN接口(未示出)之间的多个通信链路的聚集。
加密模块1404可被配置成:对MPDU进行加密以供经由通信链路来传送。加密可以基于由多链路配置模块1402确定的安全配置。附加地,加密可以基于一次性随机数,该一次性随机数包括A2地址值、PN和一次性随机数的至少一部分。
一次性随机数生成模块1406可被配置成:生成用于加密模块1404的一次性随机数。在一些实现中,一次性随机数可包括用链路ID填充的至少第一部分。一次性随机数可包括用方向ID填充的第二部分。
多链路操作模块1408可以被配置成经由通信链路来传送经加密MPDU。多链路操作模块1408还可以确定无线通信设备1400和另一WLAN设备支持多链路聚集。
图15示出根据一些实现的示例无线通信设备1500的框图。在一些实现中,无线通信设备1500被配置成执行以上描述的一个或多个过程。无线通信设备1500可以是以上参照图8所描述的无线通信设备800的示例实现。例如,无线通信设备1500可以是包含至少一个处理器和至少一个调制解调器(例如,Wi-Fi(IEEE 802.11)调制解调器或蜂窝调制解调器)的芯片、SoC、芯片组、封装或设备。在一些实现中,无线通信设备1500可以是用在AP(诸如以上分别参考图1和9A所描述的AP 102和902之一)中的设备。在一些实现中,无线通信设备1500可以是用在STA(诸如以上分别参考图1和9B所描述的STA 104和904之一)中的设备。在一些其他实现中,无线通信设备1500可以是包括此类芯片、SoC、芯片组、封装或设备以及至少一个发射机、至少一个接收机和至少一个天线的AP或STA。
无线通信设备1500包括:多链路配置模块1504、解密模块1506、一次性随机数生成模块1508和多链路操作模块1510。模块1504、1506、1508和1510中的一者或多者的各部分可以至少部分地以硬件或固件来实现。例如,多链路配置模块1504、解密模块1506、一次性随机数生成模块1508和多链路操作模块1510可以至少部分地由调制解调器(诸如调制解调器802)实现。在一些实现中,模块1504、1506、1508或1510中的一些的各部分被至少部分地实现为存储器(诸如存储器808)中所存储的软件。例如,模块1504、1506、1508或1510中的一者或多者的各部分可被实现为可由处理器(诸如处理器806)执行以执行相应模块的功能或操作的非瞬态指令(或“代码”)。
多链路配置模块1504可以被配置成确定用于多链路操作中所使用的通信链路的安全配置。例如,安全配置可以包括共用临时密钥和共用PN计数器。替换地,安全配置可以包括针对每个通信链路的不同临时密钥和不同PN计数器。多链路配置模块1504可以建立一个或多个通信链路,该一个或多个通信链路是用于多链路操作的通信链路群的一部分。作为示例,多链路操作可以包括并发地使用多个通信链路来接收经加密MPDU。多链路操作可以支持在无线通信设备1500的不同WLAN接口(未示出)之间的多个通信链路的聚集。
解密模块1506可被配置成:对经由通信链路接收到的经加密MPDU进行解密。解密可以基于由多链路配置模块1504确定的安全配置。附加地,加密可以基于一次性随机数,该一次性随机数包括A2地址值、PN和一次性随机数的至少一部分。
一次性随机数生成模块1508可被配置成:生成用于解密模块1506的一次性随机数。在一些实现中,一次性随机数可包括用链路ID填充的至少第一部分。一次性随机数可包括用方向ID填充的第二部分。
多链路操作模块1510可以被配置成经由通信链路来接收经加密MPDU。多链路操作模块1510还可以确定无线通信设备1500和另一WLAN设备支持多链路聚集。
如本文中所使用的,引述一列项目中的“至少一者”或“一者或多者”的短语是指这些项目的任何组合,包括单个成员。例如,“a、b或c中的至少一者”旨在涵盖以下可能性:仅a、仅b、仅c、a和b的组合、a和c的组合、b和c的组合、以及a和b和c的组合。
结合本文公开的实现来描述的各种解说性组件、逻辑、逻辑块、模块、电路、操作和算法过程可实现为电子硬件、固件、软件、或者硬件、固件或软件的组合,包括本说明书中公开的结构及其结构等效物。硬件、固件和软件的这种可互换性已以其功能性的形式作了一般化描述,并在上文描述的各种解说性组件、框、模块、电路、和过程中作了解说。此类功能性是实现在硬件、固件还是软件中取决于具体应用和加诸整体系统的设计约束。
对本公开中描述的实现的各种改动对于本领域普通技术人员可能是明显的,并且本文中所定义的普适原理可应用于其他实现而不会脱离本公开的精神或范围。由此,权利要求并非旨在被限定于本文中示出的实现,而是应被授予与本公开、本文中所公开的原理和新颖性特征一致的最广范围。
另外,本说明书中在分开实现的上下文中描述的各种特征也可组合地实现在单个实现中。相反,在单个实现的上下文中描述的各种特征也可分开地或以任何合适的子组合实现在多个实现中。如此,虽然诸特征在上文可能被描述为以特定组合的方式起作用且甚至最初是如此要求保护的,但来自所要求保护的组合的一个或多个特征在一些情形中可从该组合中去掉,且所要求保护的组合可以针对子组合、或子组合的变体。
类似地,虽然在附图中以特定次序描绘了诸操作,但这不应当被理解为要求此类操作以所示的特定次序或按顺序次序来执行、或要执行所有所解说的操作才能达成期望的结果。此外,附图可能以流程图或流图的形式示意性地描绘一个或多个示例过程。然而,未描绘的其他操作可被纳入示意性地解说的示例过程中。例如,可在任何所解说的操作之前、之后、同时或之间执行一个或多个附加操作。在一些环境中,多任务处理和并行处理可能是有利的。此外,上文所描述的实现中的各种系统组件的分开不应被理解为在所有实现中都要求此类分开,并且应当理解,所描述的程序组件和系统一般可以一起整合在单个软件产品中或封装成多个软件产品。
Claims (30)
1.一种用于由第一无线局域网(WLAN)设备进行无线通信的方法,所述方法包括:
在所述第一WLAN设备与第二WLAN设备之间建立多链路关联,所述多链路关联使得所述第一WLAN设备能够经由第一无线通信链路和第二无线通信链路来与所述第二WLAN设备交换帧;
确定用于所述多链路关联的临时密钥;
基于所述临时密钥来对第一媒体接入控制(MAC)协议数据单元(MPDU)进行加密并且基于所述临时密钥来对第二MPDU进行加密;
准备传送包括经加密的第一MPDU的第一帧和包括经加密的第二MPDU的第二帧;
将来自顺序分组号集合中的第一分组号指派给所述第一帧,并且将来自所述顺序分组号集合中的第二分组号指派给所述第二帧;以及
在所述第一无线通信链路上传送所述第一帧并且在所述第二无线通信链路上传送所述第二帧。
2.如权利要求1所述的方法,进一步包括:
将第一序列号指派给所述第一帧并且将第二序列号指派给所述第二帧,所述第一序列号和所述第二序列号来自一序列号集合。
3.如权利要求1所述的方法,其中所述第一无线通信链路与唯一性地标识所述第一无线通信链路的第一链路标识符相关联,并且所述第二无线通信链路与唯一性地标识所述第二无线通信链路的第二链路标识符相关联。
4.如权利要求3所述的方法,进一步包括:
生成包括所述第一链路标识符的第一一次性随机数和包括所述第二链路标识符的第二一次性随机数,其中对所述第一MPDU进行加密基于所述第一一次性随机数,并且对所述第二MPDU进行加密基于所述第二一次性随机数。
5.如权利要求4所述的方法,其中生成所述第一一次性随机数包括:用所述第一链路标识符填充所述第一一次性随机数的第一部分并且用方向标识符填充所述第一一次性随机数的第二部分,所述方向标识符标识所述第一帧的上行链路方向或下行链路方向。
6.如权利要求5所述的方法,其中生成所述第一一次性随机数进一步包括:
划分所述第一一次性随机数的第一地址分段以至少形成用于所述第一链路标识符的所述第一部分、以及经截短地址分段;
将与所述第一WLAN设备相关联的地址或基本服务集标识符(BSSID)截短;以及
用经截短地址或经截短BSSID填充所述第一一次性随机数的所述经截短地址分段。
7.如权利要求6所述的方法,其中所述第一一次性随机数的结果所得的长度等于划分所述第一地址分段之前的所述第一一次性随机数的原始长度,并且其中所述第一一次性随机数包括所述第一部分、所述经截短地址分段和所述第二部分。
8.如权利要求6所述的方法,其中所述经截短地址分段包括所述地址或所述BSSID的43个比特,其中所述第一部分包括4个比特以标识所述第一无线通信链路,并且其中所述第一一次性随机数的所述第二部分包括1个比特以标识所述第一帧的上行链路方向或下行链路方向。
9.如权利要求4所述的方法,其中所述第一一次性随机数包括第一地址分段,并且所述第二一次性随机数包括第二地址分段,所述方法进一步包括:
用所述第一链路标识符填充所述第一地址分段的第一部分;以及
用所述第二链路标识符填充所述第二地址分段的第二部分。
10.如权利要求4所述的方法,其中生成所述第一一次性随机数进一步包括:向所述第一一次性随机数添加或追加所述第一链路标识符。
11.如权利要求1所述的方法,进一步包括:
确定要经由所述第二无线通信链路作为第三帧来重传所述第一帧;
将来自所述顺序分组号集合中的第三分组号指派给所述第三帧,其中所述第三分组号与所述第一帧的所述第一分组号相同;以及
经由所述第二无线通信链路来将所述第三帧传送到所述第二WLAN设备。
12.一种用于由第一无线局域网(WLAN)设备进行无线通信的方法,所述方法包括:
在所述第一WLAN设备与第二WLAN设备之间建立多链路关联,所述多链路关联使得所述第一WLAN设备能够经由第一无线通信链路和第二无线通信链路来与所述第二WLAN设备交换帧;
确定用于所述多链路关联的临时密钥;
在所述第一无线通信链路上接收第一多个帧并且在所述第二无线通信链路上接收第二多个帧,其中所述第一多个帧和所述第二多个帧中的每个帧包括经加密媒体接入控制(MAC)协议数据单元(MPDU)和从顺序分组号集合中选择的第一分组号;以及
确定在所述第一多个帧和所述第二多个帧中是否有至少两个帧包括重复的第一分组号以及是否有帧包括小于阈值号的第一分组号;以及
响应于确定没有两个帧包括重复的分组号并且没有帧包括小于所述阈值号的第一分组号,基于用于所述多链路关联的所述临时密钥来对所述第一多个帧和所述第二多个帧中的每个帧中的所述经加密MPDU进行解密。
13.如权利要求12所述的方法,进一步包括:
响应于检测到包括重复的第一分组号的两个帧而丢弃包括重复的第一分组号的所述两个帧中的至少一个帧。
14.如权利要求13所述的方法,进一步包括:
响应于检测到包括小于阈值号的第一分组号的帧而丢弃所述包括小于阈值号的第一分组号的帧。
15.如权利要求12所述的方法,其中所述第一多个帧和所述第二多个帧中的每个帧包括从序列号集合中选择的序列号,所述方法进一步包括:
根据所述第一多个帧和所述第二多个帧中的每个帧中所包括的相应序列号来对所述第一多个帧和所述第二多个帧进行排序。
16.如权利要求12所述的方法,进一步包括:
在所述第二无线通信链路上接收与所述第一多个帧中的帧相关联的重传帧,其中所述重传帧包括与所述第一多个帧中的所述帧的所述第一分组号相同的第二分组号。
17.如权利要求16所述的方法,其中所述重传帧包括基于用于所述多链路关联的所述临时密钥来加密的MPDU。
18.如权利要求16所述的方法,其中所述重传帧包括与所述第一多个帧中的所述帧中所包括的第二序列号相同的第一序列号。
19.如权利要求12所述的方法,进一步包括:
生成包括与所述第一无线通信链路相关联的第一链路标识符的第一一次性随机数和包括与所述第二无线通信链路相关联的第二链路标识符的第二一次性随机数,其中对所述第一多个帧的每个经加密MPDU进行解密进一步基于所述第一一次性随机数,并且其中对所述第二多个帧的每个经加密MPDU进行解密进一步基于所述第二一次性随机数。
20.一种第一无线局域网(WLAN)设备,包括:
至少一个调制解调器;
与所述至少一个调制解调器通信地耦合的至少一个处理器;
与所述至少一个处理器通信地耦合并且包括处理器可读代码的至少一个存储器,所述处理器可读代码在由所述至少一个处理器结合所述至少一个调制解调器执行时被配置成:
在所述第一WLAN设备与第二WLAN设备之间建立多链路关联,所述多链路关联使得所述第一WLAN设备能够经由第一无线通信链路和第二无线通信链路来与所述第二WLAN设备交换帧;
确定用于所述多链路关联的临时密钥;
经由第一临时密钥来加密第一媒体接入控制(MAC)协议数据单元(MPDU)并且经由第二临时密钥来加密第二MPDU;
准备传送包括经加密的第一MPDU的第一帧和包括经加密的第二MPDU的第二帧;
将来自第一顺序分组号集合中的第一分组号指派给所述第一帧并且将来自第二顺序分组号集合中的第二分组号指派给所述第二帧;以及
在所述第一无线通信链路上传送所述第一帧并且在所述第二无线通信链路上传送所述第二帧。
21.如权利要求20所述的第一WLAN设备,所述处理器可读代码被进一步配置成:
将第一序列号指派给所述第一帧并且将第二序列号指派给所述第二帧,所述第一序列号和所述第二序列号来自一序列号集合。
22.如权利要求20所述的第一WLAN设备,其中所述第一无线通信链路与唯一性地标识所述第一无线通信链路的第一链路标识符相关联,并且所述第二无线通信链路与唯一性地标识所述第二无线通信链路的第二链路标识符相关联。
23.如权利要求22所述的第一WLAN设备,其中所述处理器可读代码被进一步配置成:
生成包括所述第一链路标识符的第一一次性随机数和包括所述第二链路标识符的第二一次性随机数,其中所述第一MPDU的加密基于所述第一一次性随机数,并且所述第二MPDU的加密进一步基于所述第二一次性随机数。
24.如权利要求23所述的第一WLAN设备,其中生成所述第一一次性随机数包括:将所述第一链路标识符插入到所述第一一次性随机数的第一部分中并且将方向标识符插入到所述第一一次性随机数的第二部分中,所述方向标识符标识所述第一帧的上行链路方向或下行链路方向。
25.如权利要求24所述的第一WLAN设备,其中生成所述第一一次性随机数进一步包括:
划分所述第一一次性随机数的第一地址分段以至少形成用于所述第一链路标识符的所述第一部分、以及经截短地址分段;
将与所述第一WLAN设备相关联的地址或基本服务集标识符(BSSID)截短;以及
用经截短地址或经截短BSSID填充所述第一一次性随机数的所述经截短地址分段。
26.一种第一无线局域网(WLAN)设备,包括:
至少一个调制解调器;
与所述至少一个调制解调器通信地耦合的至少一个处理器;
与所述至少一个处理器通信地耦合并且包括处理器可读代码的至少一个存储器,所述处理器可读代码在由所述至少一个处理器结合所述至少一个调制解调器执行时被配置成:
在所述第一WLAN设备与第二WLAN设备之间建立多链路关联,所述多链路关联使得所述第一WLAN设备能够经由第一无线通信链路和第二无线通信链路来与所述第二WLAN设备交换帧;
确定用于所述多链路关联的临时密钥;
在所述第一无线通信链路上接收第一多个帧,并且在所述第二无线通信链路上接收第二多个帧,其中所述第一多个帧和所述第二多个帧中的每个帧包括经加密媒体接入控制(MAC)协议数据单元(MPDU)和从顺序分组号集合中选择的第一分组号;
确定在所述第一多个帧中是否有至少两个帧包括重复的第一分组号以及是否有帧包括小于阈值号的第一分组号;以及
响应于确定没有两个帧包括重复的分组号并且没有帧包括小于所述阈值号的第一分组号,基于用于所述多链路关联的所述临时密钥来对所述第一多个帧和所述第二多个帧中的每个帧中的所述经加密MPDU进行解密。
27.如权利要求26所述的第一WLAN设备,其中所述处理器可读代码被进一步配置成:
响应于检测到包括重复的第一分组号的两个帧而丢弃包括复制的第一分组号的所述两个帧中的至少一个帧。
28.如权利要求26所述的第一WLAN设备,其中所述处理器可读代码被进一步配置成:
响应于检测到包括小于阈值号的第一分组号的帧而丢弃所述包括小于阈值号的第一分组号的帧。
29.如权利要求26所述的第一WLAN设备,其中所述处理器可读代码被进一步配置成:
在所述第二无线通信链路上接收与所述第一多个帧中的帧相关联的重传帧,其中所述重传帧包括与所述第一多个帧中的所述帧的所述第一分组号相同的第二分组号。
30.如权利要求26所述的第一WLAN设备,其中所述重传帧包括:与所述第一多个帧中的所述帧中所包括的第二序列号相同的第一序列号。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201962906690P | 2019-09-26 | 2019-09-26 | |
| US62/906,690 | 2019-09-26 | ||
| US17/033,168 | 2020-09-25 | ||
| US17/033,168 US11765779B2 (en) | 2019-09-26 | 2020-09-25 | Security for multi-link operation in a wireless local area network (WLAN) |
| PCT/US2020/052951 WO2021062325A1 (en) | 2019-09-26 | 2020-09-26 | Security for multi-link operation in a wireless local area network (wlan) |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116965071A true CN116965071A (zh) | 2023-10-27 |
Family
ID=75162699
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080066247.7A Pending CN116965071A (zh) | 2019-09-26 | 2020-09-26 | 无线局域网(wlan)中的多链路操作的安全性 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US11765779B2 (zh) |
| EP (1) | EP4035331A1 (zh) |
| KR (1) | KR20220069939A (zh) |
| CN (1) | CN116965071A (zh) |
| WO (1) | WO2021062325A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11595442B2 (en) * | 2019-10-23 | 2023-02-28 | Semiconductor Components Industries, Llc | Multi-link wireless communications connections |
| US11641660B2 (en) * | 2019-11-12 | 2023-05-02 | Nxp Usa, Inc. | Multi-antenna processing in multi-link wireless communication systems |
| US11985720B2 (en) | 2019-11-22 | 2024-05-14 | Qualcomm Incorporated | Synchronizing multi-link communications in a wireless local area network (WLAN) |
| CN115665890B (zh) * | 2020-07-03 | 2023-11-03 | 华为技术有限公司 | 多链路建立方法及通信装置 |
| US11337068B1 (en) * | 2020-11-16 | 2022-05-17 | Intel Corporation | Multi-link device and method performed therein |
| US11936566B2 (en) * | 2020-12-18 | 2024-03-19 | Dish Wireless L.L.C. | Intelligent router bonding 5G telephony and digital subscriber line services |
| CN117579241A (zh) * | 2021-05-20 | 2024-02-20 | 华为技术有限公司 | 数据传输方法、通信装置、计算机可读存储介质和芯片 |
| WO2023158982A1 (en) * | 2022-02-17 | 2023-08-24 | Qualcomm Incorporated | Securing communications using security keys based at least in part on physical layer parameters |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5681288B2 (ja) | 2010-09-10 | 2015-03-04 | エルジー エレクトロニクス インコーポレイティド | 無線lanシステムにおけるサービス品質メカニズムを使用した管理フレーム暗号化通信方法及び装置 |
| US9544075B2 (en) * | 2012-02-22 | 2017-01-10 | Qualcomm Incorporated | Platform for wireless identity transmitter and system using short range wireless broadcast |
| US10856203B2 (en) * | 2017-01-19 | 2020-12-01 | Qualcomm Incorporated | Signaling for link aggregation setup and reconfiguration |
| US10992603B2 (en) * | 2017-09-27 | 2021-04-27 | Apple Inc. | Block acknowledgement with out-of-order packets |
| CN114097272A (zh) * | 2019-06-25 | 2022-02-25 | 华为技术有限公司 | 用于聚合通信链路的系统和方法 |
-
2020
- 2020-09-25 US US17/033,168 patent/US11765779B2/en active Active
- 2020-09-26 EP EP20789792.7A patent/EP4035331A1/en active Pending
- 2020-09-26 CN CN202080066247.7A patent/CN116965071A/zh active Pending
- 2020-09-26 WO PCT/US2020/052951 patent/WO2021062325A1/en active Application Filing
- 2020-09-26 KR KR1020227009120A patent/KR20220069939A/ko active Search and Examination
-
2023
- 2023-09-13 US US18/466,052 patent/US20240129980A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20210100051A1 (en) | 2021-04-01 |
| KR20220069939A (ko) | 2022-05-27 |
| US11765779B2 (en) | 2023-09-19 |
| EP4035331A1 (en) | 2022-08-03 |
| WO2021062325A1 (en) | 2021-04-01 |
| US20240129980A1 (en) | 2024-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11765779B2 (en) | Security for multi-link operation in a wireless local area network (WLAN) | |
| US20210160958A1 (en) | Fragmentation and retransmission for multi-link operation in a wireless local area network (wlan) | |
| CN107210965B (zh) | 实现用于wi-fi隐私的网络协作mac随机化的系统和方法 | |
| US11233608B2 (en) | HARQ sequences in wireless networks | |
| US10057747B2 (en) | 5G MB connectivity acknowledgement aggregation | |
| US11510261B2 (en) | Address translation for multi-link operation in a wireless local area network (WLAN) | |
| US11546196B2 (en) | Secure long training field (LTF) | |
| US11509508B2 (en) | Scrambling sequences and signaling indications thereof | |
| US11337183B2 (en) | Aggregated control information for a wireless communication network | |
| US11496924B2 (en) | Medium access control (MAC) protocol data unit (MPDU) and codeword alignment and validation | |
| EP4062565B1 (en) | Boundary identification for probabilistic amplitude shaping | |
| US11818798B2 (en) | Multiple basic service set identifier (BSSID) beacon broadcast | |
| US20220053379A1 (en) | Enhanced bandwidth negotiation | |
| US20210410188A1 (en) | Scrambling sequences for request-to-send (rts) and clear-to-send (cts) frames | |
| US20230087211A1 (en) | Variable authentication identifier (aid) for access point (ap) privacy | |
| US20240063876A1 (en) | Antenna switching in frequency bands with power spectral density (psd) limits | |
| TW202306406A (zh) | 用於輔160MHz通道的頻寬指示 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |