CN1864384A - 用于保护网络管理帧的系统和方法 - Google Patents
用于保护网络管理帧的系统和方法 Download PDFInfo
- Publication number
- CN1864384A CN1864384A CNA2004800286605A CN200480028660A CN1864384A CN 1864384 A CN1864384 A CN 1864384A CN A2004800286605 A CNA2004800286605 A CN A2004800286605A CN 200480028660 A CN200480028660 A CN 200480028660A CN 1864384 A CN1864384 A CN 1864384A
- Authority
- CN
- China
- Prior art keywords
- management frame
- frame packet
- information element
- recurrence
- integrity check
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了用于保护网络(例如IEEE 802.11)上的管理帧分组的传输的系统体系结构和对应的方法。一旦在网络上的发送器和接收器之间创建了信任关系以使得发送器被授权在网络上通信,就可以生成密钥和对应的消息完整性校验以标记经由网络的管理帧通信。消息完整性校验和重演保护值可能与管理帧分组一起被发送。消息完整性校验和重演保护值在被接收到之后接受认证,以检验被许可的管理帧分组的传输。
Description
背景技术
IEEE(电气和电子工程师学会)802.11标准提供了允许用户无线地连接到网络及使用其中提供的基本服务的准则。考虑到现今网络上传送的大量敏感信息,近年来安全和受控的访问的必要性已变得愈发清楚。
传统上,安全和受控访问的努力已针对于保护传输的数据内容,并非针对于防止会话中断。换句话说,现有的努力仅已针对于保护所传输的数据的内容的敏感性,并非针对于对控制会话完整性和质量的管理帧分组的传输的保护。
当然,网络的访问可以通过许多方法来限制,包括用户登陆和密码、网卡中嵌入的唯一标识号的网络标识、拨号访问的回叫方案,等等。这些传统的保护方案针对于控制对网络服务的总体访问和保护数据传输。
遗憾的是,识别经由网络(例如IEEE 802.11网络)传输的管理帧中包含的信息尚未成为传统安全方案中的保护的焦点。这种保护的缺乏让网络易受攻击者的攻击,由此攻击者可以哄骗MAC地址从而假装成合法的站。例如,这种攻击可以通过伪装成合法用户的假冒者发送取消关联请求随后使受信用户会话中断来导致会话中断。
另外,如果动作管理帧被假装从而影响到服务的质量及其他能力,那么网络会话也可能被破坏。
所需要的是在无线实体之间提供更广泛的控制,以使得信任关系包括经由网络传输的管理帧数据分组的认证。
发明内容
这里所公开和要求的本发明,在其一个方面中,包括用于在网络(例如IEEE无线802.11)上保护管理帧和/或防止会话中断的体系结构。在网络上的发送器和接收器之间创建信任关系,以使得发送器被授权在网络上通信。
接着,密钥被生成,以用于得到可用于标记在网络上传输的管理帧分组的信息元素。一旦得到该信息元素,该信息元素就可被嵌入在管理帧分组中并发送到网络上的接收器。接收器在接收到管理帧分组之后,可被合适地配置为核实包括在管理帧分组中的信息元素。
在一个实施例中,信息元素包括消息完整性校验信息元素。在另一个实施例中,信息元素可能还包括重演(replay)保护值。在后者中,提供了用于生成用于标记管理帧分组的重演保护值的系统和方法。该重演保护值可在经由网络传输之前被添加到管理帧分组(例如信息元素)中,并且在接收后被核实。
在另一个实施例中,本系统和方法提供了将在核实过程中与接收到的信息元素相比较的信息元素的本地生成。另外,可能生成本地消息完整性校验和重演保护值以辅助核实过程。
附图说明
将明白图中所示元件(例如,框、框组或其它形状)的边界代表边界的一个示例。本领域的普通技术人员将明白一个元件可能被设计为多个元件,或者多个元件可能被设计为一个元件。示出为另一个元件的内部组件的元件可能被实现为外部组件,反之亦然。
为了更彻底地理解本系统及其优势,现在结合附图参考以下描述,其中:
图1根据公开的实施例,示出了操作用来控制无线客户端的网络访问的网络框图;以及
图2根据公开的实施例,示出了用于认证和核实管理帧数据的传输的各种实体之间的信息交换的流程图。
具体实施方式
下面包括本公开从头到尾所使用的选定术语的定义。这些定义包括属于术语范围并可用于实现的各种实施例和/或组件形式的示例。当然,这些示例意图不是限制性的,并且其他实施例可被实现。所有术语的单数和复数形式都落在以下的各个意思内:
这里所使用的“计算机可读介质”指的是参与向一个或多个处理器直接或间接地提供用于执行的信号、指令和/或数据的任何介质。这样的介质可能表现为多种形式,包括但不限于非易失性介质、易失性介质以及传输介质。非易失性介质可包括例如光盘或磁盘。易失性介质可包括动态存储器。计算机可读介质的常见形式包括例如软盘、软磁盘(flexible disk)、硬盘、磁带,或者任何其他磁性介质;CD-ROM,任何其他光学介质;穿孔卡片、纸带,任何其他具有孔状图案的物理介质;RAM、PROM、EPROM、FLASH-EPROM,任何其他存储芯片或卡带;载波/脉冲,或计算机、处理器或其他电子装置可以读取的其他任何介质。用于在网络(例如因特网)上传播指令或其他软件的信号也被认为是“计算机可读介质”。
这里所使用的“因特网”包括广域数据通信网络,通常可由任何具有合适软件的用户访问。
这里所使用的“逻辑”包括但不限于执行功能或动作和/或引起从另一个组件的功能或动作的硬件、固件、软件和/或其组合。例如,基于所需应用或需要,逻辑可能包括软件控制的微处理器、离散逻辑(例如专用集成电路(ASIC))、可编程/已编程逻辑器件、包含指令的存储装置,等等。逻辑也可能以软件来完全体现。
这里所使用的“软件”包括但不限于使计算机或其他电子装置以所需方式执行功能、动作和/或行为的一个或多个计算机可读和/或可执行的指令。指令可能以各种形式体现,例如包括来自动态链接库的分离的应用或代码的程序、例行程序、算法、模块或对象。软件也可能以各种形式实现,例如单机程序、函数调用、小服务程序(servlet)、小应用程序(applet)、存储在存储器中的指令、操作系统的一部分或其他类型的可执行指令。本领域的普通技术人员将明白软件的形式可能依赖于例如所需应用的要求、其运行环境,和/或设计者/程序员的期望,等等。
下面包括落入可被用于实施的本系统的范围内的各种实施例和/或组件形式的示例。当然,这些示例意图不是限制性的,并且其他实施例可被实现而不脱离本发明的精神和范围。
IEEE(电气和电子工程师学会)802.11标准提供了允许用户无线地连接到网络及使用其中提供的基本服务的准则。IEEE 802.11规格标准和802.11i准标准的全部内容在这里通过引用被包含于此。
虽然这里所描述的本系统和方法的实施例针对的是IEEE 802.11无线网络,但是本领域的技术人员将明白这里所描述的本发明的概念和创新性可能适用于可替换的有线和无线网络协议而不脱离本发明的精神和范围。
简要地描述本系统的一个实施例,提供了这样的网络,其被合适地配置为认证和保护无线网络中的管理帧的传输从而可能防止会话中断。具体地,本发明的一个实施例针对的是这样的系统和方法,其被配置为建立唯一的密钥,以保护在802.11认证的网络会话中传输的管理帧的安全。
换句话说,系统可配置为建立与管理帧传输相对应的安全密钥。该安全密钥可合适地配置为使能够计算用来认证802.11管理帧的消息完整性校验(MIC)。根据本系统和方法,将明白密钥可能是以与当前根据IEEE802.11i准标准处理为保护数据分组或802.1x EAPOL密钥消息而导出的密钥的方式相同的方式来建立的。
所公开的系统和所提出的方法推测在建立认证者与许多申请者或客户端之间的受信关系之后保护802.11网络上的管理帧。下列实施例将针对于接入点(AP)作为认证者并且无线客户端(PC)作为申请者来描述。下列实施例还将针对于AP作为管理帧分组的接收者并且无线客户端作为管理帧分组的发送者。
当然,本系统和方法的可替换的实施例可利用其他认证者和申请者组件来配置。例如,将明白认证者可能是接入点、交换机、认证服务器等等。还将明白申请者可能是能够经由802.11无线网络发送和接收数据分组的任何装置,例如个人数据助理(PDA)、数字电话、电子集成板(tablet)等等。
根据本系统和方法的一个实施例,当在AP和相对应的无线客户端之间建立信任关系之后,无线客户端被识别为受信的无线客户端并据此能够访问网络的服务。因此,作为受信关系的结果,信息可在无线客户端和AP之间安全地传送。
如先前所述,本系统和方法的一个实施例针对于建立唯一的密钥,该密钥将在计算用于核实管理帧分组经由无线网络的发送和接收的MIC时被使用。例如,如果接收器接收到具有错误MIC的管理帧分组,那么接收器将丢弃接收到的分组并忽略其中包含的信息。
将明白可能根据本系统和方法来使用另外的和/或可替换的管理帧保护方法。例如,根据一个实施例,本系统和方法可合适地配置为生成顺序重演保护计数器以辅助管理帧分组的核实。在优选的实施例中,该重演保护值可与先前描述的MIC值一起使用。
图1中示出的是本系统100的一个实施例的简化系统组件图。图1中示出的系统组件通常代表系统100,并且可能具有任何系统体系结构中包括的任何所需配置。
下面是根据本系统的一个实施例的无线网络体系结构的总体描述。描述体系结构主要是为了公开生成密钥并将密钥用于提供管理帧的保护和安全性的方式。
现在参照图1,系统的一个实施例通常包括无线客户端110、115,这些无线客户端被合适地配置并可操作地连接以经由AP 130访问无线网络120上的服务。将明白无线客户端110、115可能是能够经由无线网络来进行发送的任何组件,例如具有适合与有线网络进行无线通信的Cardbus网络适配器的膝上型/笔记本便携式计算机、具有合适的无线网络适配器的电子集成板、包含用于与有线网络通信的合适的无线网络适配器的手持装置,等等。
如图1所示,AP 130可被配置为在专用有线网络160和无线客户端(或申请者)110、115之间提供通信转接点。另外,基本的无线网络(例如IEEE 802.11)实现方式可能包括交换机140,其被合适地配置为操作用于在安置在有线网络160上的多个网络装置之间提供互连并且可选地在多个网络(未示出)之间提供互连。
认证服务器(AS)150可安置在有线网络160上,该有线网络被合适地配置为向那些需要认证服务的网络实体提供这种服务。当然,将明白AS 150和相应的功能可被用作单机组件或被组合到另一个现有组件中。换句话说,AS 150的功能可能包括在交换机140或AP 130中。
在一个实施例中,AS 150向充当认证者的任何网络实体提供认证和授权服务。当网络实体代表请求访问网络的另一个实体同AS 150一起执行认证时,该网络实体可担当认证者的角色。
例如,认证服务器从由无线客户端110、115提供的证明中判断无线客户端110、115是否被授权访问由认证者(例如交换机140或AP 130)控制的服务。将明白AS 150可与认证者协同定位,或者可以经由认证者已经访问的网络而被远程访问。另外,网络160可以是全球通信网络(例如因特网),以使得认证发生在从远程位置到AS 150的很长距离上。
在一个实施例中,组件认证可发生在系统初始化时。可替换地,组件认证可发生在申请者(例如无线客户端110、115)要求连接到认证系统的端口时,或发生在授权访问已变成未授权并且接着被请求重新授权时。
根据本系统和方法,无线客户端110、115可配置为利用本领域公知的许多传统认证算法中的一个来认证到AS 150。例如,本系统和方法可配置为利用这样的认证算法,例如EAP-Cisco无线、基于证书的方案(例如EAP-TLS)等等。
操作中,与无线客户端110、115之间的信任关系是以下列方式建立的。一旦专用网络160是可用的并且有线实体(130、140、150)已建立正确的连接,则开始无线客户端110、115的认证。
无线客户端110、115可使用传统协议将连接请求经由通信链路120发送到AP 130,并且该AP 130现在担当认证者的角色。AP 130通过将无线客户端110、115的认证请求发送到AS 150来处理连接请求消息。
分组信息可被发送到交换机140,以使得交换机140将流量识别为仅来自AP 130。因为交换机140接着将流量识别为来自已授权的AP 130,所以分组被传递到AS 150以用于认证。
在无线客户端110、115的这种授权发生之前,AS 150限制无线客户端110、115的任何未受控制的超出AP 130的流量。换句话说,AS仅允许无线客户端110、115访问AP 130以执行认证交换,或访问由AP 130提供的不受置于那个端口上的访问控制限制的服务。
AP 130和AS 150可合适地配置为使用诸如RADIUS(远程访问拨入用户服务)之类的已知协议来交换信息,直到AS 150已完成其对无线客户端110、115的认证并将认证过程的结果报告给AP 130和无线客户端110、115。
接着,AS 150向AP 130通知认证请求的结果。取决于认证过程的结果,AS 150将可被用来控制来自无线客户端110、115的流量的安全策略传送给AP 130。在一个实施例中,安全策略是AP 130和无线客户端110、115可用来保护AP 130和无线客户端110、115之间的通信的唯一的密钥。
根据一个实施例,AS 150将另外的特定于客户端的密钥传送到AP130,该密钥可合适地配置以保护来自无线客户端110、115的管理帧的通信。
例如,无线客户端110、115还可将其他信息转发给AP 130,例如与无线客户端110、115相对应的管理帧分组(例如服务质量(QoS)参数)。根据本系统和方法,这些管理帧分组可被配置为包括特定于客户端的信息元素(IE)。该IE可配置为包含消息认证或完整性校验(在802.11i准标准中和以下整个本说明书中被称为“MIC”)。另外,IE可能包括重演保护值。
将明白用来生成管理帧MIC的密钥可能是以与根据802.11标准被用来保护的数据分组或802.1x EAPOL密钥消息的密钥的导出方式相同的方式来导出的。还将明白管理帧保护密钥可在如上所述的无线客户端认证过程期间被导出。
进一步,将明白可使用任何方法或计数方案来生成重演保护值。例如,根据一个实施例,可能使用在认证时被初始化为零的顺序计数器。随后,重演保护值可与MIC一起被嵌入在IE中并同管理帧分组一起发送。
继续该示例,无线客户端110、115和AP 130之间的信任关系是穿过网络信道形成的。将明白连接到网络的另外的无线客户端(未示出)可具有与之对应的唯一的消息认证校验(例如MIC)密钥。
根据本系统和方法,接收到的在AP 130和无线客户端110、115之间传送的管理帧分组可通过检查消息摘要(message digest)(例如MIC)来核实。消息摘要可通过使用在认证期间建立的消息认证校验密钥来计算。
根据本系统和方法,特定于客户端的唯一密钥和相应的MIC被生成,以保护无线客户端110、115和AP 130之间的管理信息的传输。将明白导出管理帧密钥的方式可能与如802.11i准标准所定义的被称为成对临时密钥(PTK)的会话密钥的导出方式相同。进一步,将明白用来保护管理帧分组的密钥可作为对PTK导出过程的扩展被导出。
换句话说,当从受信无线客户端(例如110、115)接收到管理帧分组之后,AP 130可合适地配置为在接受管理帧分组之前核实IE。例如,AP130可合适地配置为将接收到的重演保护值与在本地存储或计算出的值相比较。
另外,AP 130可合适地配置为生成从特定于客户端的管理帧认证密钥中导出的本地MIC值。AP 130可合适地配置为将在本地计算出的MIC值与嵌入在从无线客户端(例如110、115)接收到的管理帧IE中的MIC值相比较。作为该认证过程的结果,AP 130可判断是处理还是丢弃管理帧。
另外,AP 130可合适地配置为生成本地重演保护值。例如,AP 130可配置为根据在本地管理的顺序计数器来建立重演保护值。可将在本地建立的该重演保护值与接收到的重演保护值相比较,以核实发送器的认证。参照图2可更好地理解本系统和方法的处理流程。
图2中示出的是与本系统和方法相关联的方法200的一个实施例。通常,图2示出了用来建立和核实同管理帧分组一起经由无线网络传输的MIC和重演保护值的过程。此外,图2假定用来生成MIC的密钥已在认证期间建立;例如,作为根据IEEE 802.11i准标准的扩展PTK导出过程的一部分。
所示元件表示“处理块”并代表使计算机或处理器执行动作和/或执行判决的计算机软件指令或指令组。可替换地,处理块可代表由功能上等效的电路执行的功能或动作,所述等效电路例如是数字信号处理器电路、专用集成电路(ASIC)或其他逻辑器件。示图和其他图解都没有描述任何具体编程语言的语法。相反地,示图示出了本领域技术人员可以用来制造电路、生成计算机软件或使用硬件和软件的组合来执行所示处理的功能信息。
将明白电子和软件应用可能涉及动态的灵活过程,以使得示出的块可以以不同于所示出顺序的其他顺序来执行并且/或者块可能组合或分成多个组件。它们还可能使用各种编程方法(例如机器语言、过程的、面对对象的和/或人工智能的技术)来实现。以上所述适用于这里所描述的所有方法。
现在参照图2,示出了用于无线客户端的管理帧传输的认证和核实的方法200的实施例的流程图。该实施例假定在系统的所有组件(例如无线客户端、AP、交换机、AS)之间预先建立了受信关系。
最初,在块210处,由于如上所述的认证过程的结果,建立了特定于客户端的安全密钥,以用于保护网络上的管理帧传输。接着,在块215处,无线客户端通过使用密钥生成MIC来在本地使用用于保护管理帧的密钥,以保护管理帧分组到AP的传输。
包含MIC和重演保护值的信息元素(IE)被嵌入在管理帧分组中(块220)。一旦被嵌入,无线客户端将包括IE的管理帧分组经由网络发送到AP(块225)。在网络的无线端,AP接收从无线客户端发送的包括IE的管理帧分组(块230)。
将明白图2所示的方法200描述了无线客户端传输单个管理帧分组的情况。本领域技术人员将认识到在单个通信会话期间可能发送任意数目的管理帧传输。因此,如所述的图2的方法200可能适用于每个单独的管理帧传输。
继续本实施例,包括在IE中的重演保护值被核实(判断块235)。在一个示例中,重演保护值可能是在导出“增强的PTK”时被初始化为零的计数器值。将明白为保护管理帧而建立的密钥在这里被称作“增强的PTK”并且可根据IEEE 802.11i准标准来建立。
根据本实施例,在判断块235处,证实计数器值是比先前传输的帧大1的值。换句话说,计数器值可能是连续的数字,其在生成“增强的PTK”时从零值开始生成并且在传输每个受保护的管理帧时增长。当然,将明白在可替换的实施例中可使用任何计数或认证方案而不脱离本发明的精神和范围。
如果重演计数值未通过核实(例如不等于比先前接收到的管理帧大的下一连续数字),那么接收到的管理帧被AP丢弃(块240)。
如果在块235处重演计数值通过了核实,AP则在本地基于相应的对无线客户端来说唯一的增强密钥来计算MIC(块245)。将明白可使用本领域已知的任何所需方法或散列函数来计算MIC。例如,MIC的计算可能是单向散列函数,例如充当管理帧的消息认证值的HMAC-SHA1。
接着,在判断块250处,AP将接收到的客户端MIC密钥与AP在本地计算出的MIC相比较,以判断客户端管理传输是否是经授权的传输。如果在判断块250处接收到的MIC与在本地计算出的MIC不匹配,那么AP丢弃管理帧(块255)。另一方面,如果,在判断块255处,接收到MIC与由AP计算出的MIC匹配,那么AP使用并处理管理帧(块260)。
虽然本系统已通过其实施例的描述来说明,并且已经非常详细地描述了实施例,但是申请人的意图不是约束或以任何方式将所附权利要求的范围限于这些细节。本领域技术人员将易于发现另外的优势和修改。因此,本系统在其更广阔的方面不限于示出和描述的具体细节、代表性设备,以及说明性示例。因此,可偏离这种细节而不脱离申请人的总发明构思的精神和范围。
虽然已经详细示出了本发明的实施例,但是应当明白,可以进行各种改变、替换和变更,而不脱离如所附权利要求所限定的本发明的精神和范围。
Claims (27)
1.一种用于保护管理帧的方法,所述方法包括以下步骤:
在网络上的发送器和接收器之间建立经认证的关系;
生成密钥;
基于所述密钥导出用于标记在网络上传输的管理帧分组的信息元素;
将所述信息元素嵌入到所述管理帧分组中;
将所述管理帧分组发送到所述接收器;
接收所述管理帧分组;以及
核实所述接收到的管理帧分组中的信息元素。
2.如权利要求1所述的方法,其中,所述信息元素包括消息完整性校验信息元素。
3.如权利要求1所述的方法,还包括以下步骤:
生成用于标记所述管理帧分组的重演保护值;以及
在发送之前将所述重演保护值添加到所述管理帧分组中。
4.如权利要求3所述的方法,还包括核实所述重演保护值的步骤。
5.如权利要求1所述的方法,其中,所述生成密钥的步骤与所述建立经认证的关系的步骤同时发生。
6.如权利要求1所述的方法,其中,所述建立经认证的关系的步骤还包括使用密钥建立协议。
7.如权利要求1所述的方法,其中,所述核实信息元素的步骤还包括将所述信息元素与在本地导出的由所述接收器建立的信息元素相比较的步骤。
8.如权利要求2所述的方法,其中,所述核实信息元素的步骤还包括将所述接收到的管理帧分组的消息完整性校验信息元素与在本地导出的由所述接收器建立的消息完整性校验信息元素相比较的步骤。
9.如权利要求3所述的方法,其中,所述核实信息元素的步骤还包括将所述接收到的管理帧分组的重演保护值与在本地导出的由所述接收器建立的重演保护值相比较的步骤。
10.如权利要求1所述的方法,其中,所述接收器包括接入点。
11.如权利要求1所述的方法,其中,所述发送器包括无线客户端。
12.如权利要求2所述的方法,还包括在发送之前生成所述管理帧分组的消息完整性校验值的步骤。
13.一种用于保护管理帧分组的系统,所述系统包括:
用于认证发送器和接收器之间的关系的装置;
用于生成用于标记经由网络在所述发送器和所述接收器之间传输的管理帧分组的信息元素的装置;
用于将所述信息元素添加到所述管理帧分组的装置;
用于将所述管理帧分组经由网络发送到所述接收器的装置;
用于接收所述管理帧分组的装置;以及
用于核实所述接收到的管理帧分组中的信息元素的装置。
14.如权利要求13所述的系统,其中,所述信息元素包括消息完整性校验信息元素。
15.如权利要求14所述的系统,其中,所述信息元素还包括重演保护值。
16.如权利要求13所述的系统,其中,所述用于发送管理帧分组的装置是IEEE 802.11协议。
17.如权利要求13所述的系统,其中,所述用于添加的装置包括用于将所述信息元素嵌入到所述管理帧分组的头部的装置。
18.如权利要求14所述的系统,其中,所述消息完整性校验信息元素唯一地标识到认证者的所述管理帧的通信。
19.一种用于防止网络上的IEEE 802.11会话中断的方法,包括以下步骤:
在所述网络上的接入点和无线客户端之间建立通信链路;
在所述接入点和所述无线客户端之间创建信任关系,以使得所述无线客户端适合于安全地访问所述网络;
建立用于标记管理帧分组的特定于客户端的密钥,所述管理帧分组被配置为在所述接入点和所述无线客户端之间传输。
基于所述特定于客户端的密钥来生成消息完整性校验值;
计算用于标记所述管理帧分组的重演保护值;
将所述消息完整性校验值和所述重演保护值嵌入在所述管理帧分组的头部中;
将所述头部发送到所述接入点;以及
认证所述头部。
20.如权利要求19所述的方法,还包括与所述发送头部的步骤同时发生的发送所述管理帧分组的步骤。
21.如权利要求19所述的方法,其中,在所述创建信任关系的步骤中在所述接入点和所述无线客户端之间利用握手协议。
22.如权利要求19所述的方法,其中,所述认证步骤还包括以下步骤:
计算本地的重演保护值;
生成本地的消息完整性校验值;
比较所述接收到的重演保护值与所述本地的重演保护值;以及
比较所述接收到的消息完整性校验值与所述本地的消息完整性校验值。
23.一种嵌入在计算机可读介质中的在用于认证传送到网络和/或传送自网络的管理帧分组的处理系统中使用的制品,所述制品包括:
认证逻辑,用于使所述处理系统在发送器和接收器之间创建受信关系;
密钥生成逻辑,用于使所述处理系统生成用于加密和标记在网络上传输的电子管理帧分组的安全密钥;
消息完整性校验生成逻辑,用于使所述处理系统生成用于标记所述在网络上传输的电子管理帧分组的消息完整性校验;
重演保护值生成逻辑,用于使所述处理系统生成用于标记所述在网络上传输的电子管理帧分组的重演保护值;
标记逻辑,用于使所述处理系统将所述消息完整性校验和所述重演保护值嵌入在所述管理帧分组的头部中;
数据发送逻辑,用于使所述处理系统经由所述网络来发送所述电子管理帧分组的头部;以及
消息接收逻辑,用于使所述处理系统检验包括在所述头部中的接收到的消息完整性校验和重演保护值。
24.如权利要求23所述的制品,其中,所述数据发送逻辑包括IEEE802.11协议。
25.如权利要求23所述的制品,其中,所述重演保护值生成逻辑包括顺序计数器。
26.如权利要求23所述的制品,其中,所述消息接收逻辑还包括用于使处理系统比较接收到的消息完整性校验与在本地生成的消息完整性校验的逻辑。
27.权利要求23中陈述的制品,其中,所述消息接收逻辑还包括用于使处理系统比较接收到的重演保护值与在本地计算出的重演保护值的逻辑。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/687,075 | 2003-10-16 | ||
| US10/687,075 US20050086465A1 (en) | 2003-10-16 | 2003-10-16 | System and method for protecting network management frames |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1864384A true CN1864384A (zh) | 2006-11-15 |
Family
ID=34520860
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2004800286605A Pending CN1864384A (zh) | 2003-10-16 | 2004-09-07 | 用于保护网络管理帧的系统和方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20050086465A1 (zh) |
| EP (1) | EP1678913A1 (zh) |
| CN (1) | CN1864384A (zh) |
| AU (1) | AU2004307715A1 (zh) |
| CA (1) | CA2541817A1 (zh) |
| WO (1) | WO2005041531A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102014342A (zh) * | 2010-12-31 | 2011-04-13 | 西安西电捷通无线网络通信股份有限公司 | 混合组网的网络系统及方法 |
| WO2012055204A1 (zh) * | 2010-10-25 | 2012-05-03 | 西安西电捷通无线网络通信股份有限公司 | 一种基于wapi的管理帧保护方法和装置 |
| CN102984221A (zh) * | 2012-11-14 | 2013-03-20 | 西安工程大学 | 一种电力远动终端的传送方法 |
| CN113613245A (zh) * | 2021-08-19 | 2021-11-05 | 支付宝(杭州)信息技术有限公司 | 管理通信信道的方法和装置 |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7882349B2 (en) | 2003-10-16 | 2011-02-01 | Cisco Technology, Inc. | Insider attack defense for network client validation of network management frames |
| US7969937B2 (en) * | 2004-03-23 | 2011-06-28 | Aruba Networks, Inc. | System and method for centralized station management |
| US9432848B2 (en) | 2004-03-23 | 2016-08-30 | Aruba Networks, Inc. | Band steering for multi-band wireless clients |
| US7987499B2 (en) * | 2004-08-18 | 2011-07-26 | Broadcom Corporation | Method and system for exchanging setup configuration protocol information in beacon frames in a WLAN |
| US7930737B2 (en) * | 2004-08-18 | 2011-04-19 | Broadcom Corporation | Method and system for improved communication network setup utilizing extended terminals |
| ATE476821T1 (de) * | 2004-10-15 | 2010-08-15 | Pirelli & C Spa | Verfahren zur sicheren signalübertragung in einem telekommunikationsnetz insbesondere in einem lokalen netzwerk |
| FR2885753A1 (fr) * | 2005-05-13 | 2006-11-17 | France Telecom | Procede de communication pour reseaux sans fil par trames de gestion comportant une signature electronique |
| US7881475B2 (en) * | 2005-05-17 | 2011-02-01 | Intel Corporation | Systems and methods for negotiating security parameters for protecting management frames in wireless networks |
| US7339754B2 (en) * | 2005-05-20 | 2008-03-04 | Neal Phillip H | Switching illuminating tweezers with magnifier |
| US7647508B2 (en) * | 2005-06-16 | 2010-01-12 | Intel Corporation | Methods and apparatus for providing integrity protection for management and control traffic of wireless communication networks |
| KR100749846B1 (ko) * | 2005-06-22 | 2007-08-16 | 한국전자통신연구원 | 무선 휴대 인터넷 시스템의 mac 계층에서 보안 기능을 구현하기 위한 장치 및 이를 이용한 인증 방법 |
| US20070008903A1 (en) * | 2005-07-11 | 2007-01-11 | Kapil Sood | Verifying liveness with fast roaming |
| CN100450054C (zh) * | 2005-07-11 | 2009-01-07 | 明泰科技股份有限公司 | 涵盖无线与有线网络的群组及跨群组运作的无线绕送方法 |
| WO2007061178A1 (en) * | 2005-09-15 | 2007-05-31 | Samsung Electronics Co., Ltd. | Method and system for protecting broadcast frame |
| WO2007034045A1 (fr) * | 2005-09-19 | 2007-03-29 | France Telecom | Controle d'un message reçu en mode de multidiffusion dans un reseau sans fil |
| CN100531046C (zh) * | 2005-09-30 | 2009-08-19 | 鸿富锦精密工业(深圳)有限公司 | 通过无线局域网回报移动用户信息的方法 |
| JP4759373B2 (ja) * | 2005-11-21 | 2011-08-31 | キヤノン株式会社 | 通信装置及び通信方法、並びにコンピュータプログラム |
| US7890745B2 (en) * | 2006-01-11 | 2011-02-15 | Intel Corporation | Apparatus and method for protection of management frames |
| US7561574B2 (en) * | 2006-02-23 | 2009-07-14 | Computer Associates Think, Inc. | Method and system for filtering packets within a tunnel |
| FR2899752A1 (fr) * | 2006-04-07 | 2007-10-12 | France Telecom | Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil |
| US8607058B2 (en) * | 2006-09-29 | 2013-12-10 | Intel Corporation | Port access control in a shared link environment |
| US20080144579A1 (en) * | 2006-12-19 | 2008-06-19 | Kapil Sood | Fast transitioning advertisement |
| KR20080060925A (ko) * | 2006-12-27 | 2008-07-02 | 삼성전자주식회사 | 동보 프레임을 보호하는 방법, 상기 동보 프레임을인증하는 단말기 및 상기 동보 프레임을 동보하는 접근점 |
| US8254882B2 (en) * | 2007-01-29 | 2012-08-28 | Cisco Technology, Inc. | Intrusion prevention system for wireless networks |
| WO2009091309A1 (en) * | 2008-01-14 | 2009-07-23 | Telefonaktiebolaget L M Ericsson (Publ) | Integrity check failure detection and recovery in radio communications system |
| US8762742B2 (en) * | 2011-05-16 | 2014-06-24 | Broadcom Corporation | Security architecture for using host memory in the design of a secure element |
| US8769705B2 (en) | 2011-06-10 | 2014-07-01 | Futurewei Technologies, Inc. | Method for flexible data protection with dynamically authorized data receivers in a content network or in cloud storage and content delivery services |
| US9077772B2 (en) | 2012-04-20 | 2015-07-07 | Cisco Technology, Inc. | Scalable replay counters for network security |
| US20140067687A1 (en) * | 2012-09-02 | 2014-03-06 | Mpayme Ltd. | Clone defence system for secure mobile payment |
| US10122755B2 (en) * | 2013-12-24 | 2018-11-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for detecting that an attacker has sent one or more messages to a receiver node |
| CN105162772B (zh) * | 2015-08-04 | 2019-03-15 | 三星电子(中国)研发中心 | 一种物联网设备认证与密钥协商方法和装置 |
| CA3004264C (en) | 2015-11-05 | 2020-09-22 | Berry Global, Inc. | Polymeric films and methods for making polymeric films |
| US11472085B2 (en) | 2016-02-17 | 2022-10-18 | Berry Plastics Corporation | Gas-permeable barrier film and method of making the gas-permeable barrier film |
| US10271215B1 (en) | 2018-06-27 | 2019-04-23 | Hewlett Packard Enterprise Development Lp | Management frame encryption and decryption |
| US11297496B2 (en) | 2018-08-31 | 2022-04-05 | Hewlett Packard Enterprise Development Lp | Encryption and decryption of management frames |
| CN112887974B (zh) * | 2021-01-23 | 2022-02-11 | 深圳市智开科技有限公司 | 一种wapi无线网络的管理帧保护方法 |
| US11743040B2 (en) | 2021-06-25 | 2023-08-29 | Bank Of America Corporation | Vault encryption abstraction framework system |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5440633A (en) * | 1993-08-25 | 1995-08-08 | International Business Machines Corporation | Communication network access method and system |
| US7483411B2 (en) * | 2001-06-04 | 2009-01-27 | Nec Corporation | Apparatus for public access mobility LAN and method of operation thereof |
| US20030112977A1 (en) * | 2001-12-18 | 2003-06-19 | Dipankar Ray | Communicating data securely within a mobile communications network |
| US7370111B2 (en) * | 2002-03-27 | 2008-05-06 | Intel Corporation | System, protocol and related methods for providing secure manageability |
| JP4218934B2 (ja) * | 2002-08-09 | 2009-02-04 | キヤノン株式会社 | ネットワーク構築方法、無線通信システムおよびアクセスポイント装置 |
| US7743408B2 (en) * | 2003-05-30 | 2010-06-22 | Microsoft Corporation | Secure association and management frame verification |
-
2003
- 2003-10-16 US US10/687,075 patent/US20050086465A1/en not_active Abandoned
-
2004
- 2004-09-07 CA CA002541817A patent/CA2541817A1/en not_active Abandoned
- 2004-09-07 CN CNA2004800286605A patent/CN1864384A/zh active Pending
- 2004-09-07 AU AU2004307715A patent/AU2004307715A1/en not_active Abandoned
- 2004-09-07 WO PCT/US2004/028824 patent/WO2005041531A1/en active Application Filing
- 2004-09-07 EP EP04783156A patent/EP1678913A1/en not_active Withdrawn
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012055204A1 (zh) * | 2010-10-25 | 2012-05-03 | 西安西电捷通无线网络通信股份有限公司 | 一种基于wapi的管理帧保护方法和装置 |
| CN102014342A (zh) * | 2010-12-31 | 2011-04-13 | 西安西电捷通无线网络通信股份有限公司 | 混合组网的网络系统及方法 |
| CN102014342B (zh) * | 2010-12-31 | 2012-07-18 | 西安西电捷通无线网络通信股份有限公司 | 混合组网的网络系统及方法 |
| CN102984221A (zh) * | 2012-11-14 | 2013-03-20 | 西安工程大学 | 一种电力远动终端的传送方法 |
| CN102984221B (zh) * | 2012-11-14 | 2016-01-13 | 西安工程大学 | 一种电力远动终端的传送方法 |
| CN113613245A (zh) * | 2021-08-19 | 2021-11-05 | 支付宝(杭州)信息技术有限公司 | 管理通信信道的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1678913A1 (en) | 2006-07-12 |
| AU2004307715A1 (en) | 2005-05-06 |
| US20050086465A1 (en) | 2005-04-21 |
| CA2541817A1 (en) | 2005-05-06 |
| WO2005041531A1 (en) | 2005-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1864384A (zh) | 用于保护网络管理帧的系统和方法 | |
| CN108964919B (zh) | 基于车联网的具有隐私保护的轻量级匿名认证方法 | |
| US9490984B2 (en) | Method and apparatus for trusted authentication and logon | |
| JP5688087B2 (ja) | 信頼できる認証およびログオンのための方法および装置 | |
| CN1665211A (zh) | 通信终端和自组网络路径控制方法 | |
| CN1905436A (zh) | 保证数据交换安全的方法 | |
| CN103532713A (zh) | 传感器认证和共享密钥产生方法和系统以及传感器 | |
| CN1992593A (zh) | 应用于分组网络的基于h.323协议的终端接入方法 | |
| CN1929371A (zh) | 用户和外围设备协商共享密钥的方法 | |
| CN1864386A (zh) | 为允许支持多个广播和多播域而对802.11群组密钥的命名 | |
| CN115038084A (zh) | 一种面向蜂窝基站的去中心化可信接入方法 | |
| CN1633072A (zh) | 一种支持弱口令的双服务器认证方案 | |
| CN1728637A (zh) | 入网终端物理唯一性识别方法和终端接入认证系统 | |
| US20050144459A1 (en) | Network security system and method | |
| CN1703005A (zh) | 一种实现网络接入认证的方法 | |
| KR100553792B1 (ko) | 단말 대 단말간의 인증기능을 구비한 통신장치 및 방법 | |
| US7480801B2 (en) | Method for securing data traffic in a mobile network environment | |
| CN1992710A (zh) | 一种用户终端接入软交换网络的安全交互方法 | |
| KR102523416B1 (ko) | 이미지에 대한 보안 기능을 제공하는 보안 장치, 이를 포함하는 카메라 장치 및 카메라 장치를 제어하는 시스템 온 칩 | |
| CN1747384A (zh) | 验证密钥设置方法 | |
| RU2278477C2 (ru) | Способ аутентификации для стационарных региональных систем беспроводного широкополосного доступа | |
| RU2358406C2 (ru) | Аутентификация и актуализация генераций ключей сеанса между предоставляющим услуги сетевым узлом и, по меньшей мере, одним коммуникационным оконечным устройством с идентификационной картой | |
| JP2015111440A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
| CN113572615B (zh) | 分布式网络用户的身份验证方法、系统、设备及存储介质 | |
| WO2022135388A1 (zh) | 身份鉴别方法、装置、设备、芯片、存储介质及程序 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |