DE102021127536A1 - Selektive zwischenspeicherung von paarweisen hauptschlüsseln bei rationalisiertem roaming - Google Patents

Selektive zwischenspeicherung von paarweisen hauptschlüsseln bei rationalisiertem roaming Download PDF

Info

Publication number
DE102021127536A1
DE102021127536A1 DE102021127536.9A DE102021127536A DE102021127536A1 DE 102021127536 A1 DE102021127536 A1 DE 102021127536A1 DE 102021127536 A DE102021127536 A DE 102021127536A DE 102021127536 A1 DE102021127536 A1 DE 102021127536A1
Authority
DE
Germany
Prior art keywords
access point
access points
client device
neighbors
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021127536.9A
Other languages
English (en)
Inventor
Piyush Agarwal
Sachin Ganu
Mohan Ram Bhadravati Ramakrishna Bhat
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Enterprise Development LP
Original Assignee
Hewlett Packard Enterprise Development LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Enterprise Development LP filed Critical Hewlett Packard Enterprise Development LP
Publication of DE102021127536A1 publication Critical patent/DE102021127536A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/24Reselection being triggered by specific parameters
    • H04W36/30Reselection being triggered by specific parameters by measured or perceived connection quality data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Es werden Systeme und Verfahren für nahtloses Roaming in einem Netz bereitgestellt. Zunächst wird ein Client-Gerät an einem ersten Zugangspunkt des Netzes authentifiziert. Als nächstes bestimmt ein Prozessor selektiv unter den verbleibenden Zugangspunkten im Netzwerk zweite Zugangspunkte, an denen entsprechende Vorläuferschlüssel, wie z. B. Pairwise Master Keys R1 (PMK-R1s), zu berechnen sind. Die zweiten Zugangspunkte werden auf der Grundlage der jeweiligen Pfadverluste vom ersten Zugangspunkt zu den zweiten Zugangspunkten und der jeweiligen historischen Frequenzen bestimmt, mit denen sich das Client-Gerät an den jeweiligen verbleibenden Zugangspunkten verbindet. Für die zweiten Zugangspunkte werden die jeweiligen PMK-R1 s berechnet und an die zweiten Zugangspunkte übertragen, um zwischengespeichert zu werden. Nach einer Anfrage des Kundengeräts, sich erneut mit einem zweiten Zugangspunkt der zweiten Zugangspunkte zu verbinden, wird das Kundengerät am zweiten Zugangspunkt auf der Grundlage eines entsprechenden PMK-R1 authentifiziert.

Description

  • Hintergrund
  • Drahtlose Netze haben die Daten in die Hände der Menschen gebracht, fast überall, wo sie sich bewegen. Der Segen der drahtlosen Netze hat sich in einem sprunghaften Anstieg des drahtlosen Datenverkehrs niedergeschlagen. Allein im Jahr 2018 wurden 28,58 Billionen Megabyte an Daten ausgetauscht, was einem Anstieg von 82 Prozent gegenüber dem Datenverkehr im Jahr 2017 und einem Anstieg von 737 Prozent gegenüber dem Datenverkehr im Jahr 2010 entspricht. Roaming ermöglicht es Client-Geräten, sich nahtlos und sicher mit verschiedenen Netzwerkgeräten zu verbinden, um Daten an verschiedenen Orten zu empfangen und zu übertragen. Wenn sich ein Client-Gerät über die Reichweite eines bestimmten Netzwerkgeräts hinaus bewegt, kann es sich ohne Unterbrechung oder Verzögerung mit einem anderen Netzwerkgerät verbinden. Neue Funktionen in Wi-Fi Protected Access (WPA), einschließlich WPA2 und WPA3, können ein Authentifizierungsverfahren während des Roamings rationalisieren. Insbesondere muss ein Client-Gerät traditionell über IEEE 802.11 x bei einem Zugangspunkt authentifiziert werden, bevor Daten ausgetauscht werden können. Beim Roaming in WPA2 und WPA3 könnte dieses Client-Gerät jedoch Daten mit einem anderen Zugangspunkt austauschen, ohne ein vollständiges Authentifizierungsverfahren zu durchlaufen, da dieser andere Zugangspunkt möglicherweise bereits einige der erforderlichen Verschlüsselungsschlüssel gespeichert hat. Daher kann für den Datenaustausch beim Roaming nur ein vereinfachtes Verfahren, ein 4-Wege-Handshake, erforderlich sein. Ein möglicher Nachteil der Notwendigkeit, einige der erforderlichen Verschlüsselungscodes zu speichern, besteht jedoch in den Rechenkosten für die Erzeugung der Verschlüsselungscodes und den Speicherkosten für die Speicherung der Verschlüsselungscodes.
  • Figurenliste
  • Die vorliegende Offenbarung wird in Übereinstimmung mit einer oder mehreren verschiedenen Ausführungsformen unter Bezugnahme auf die folgenden Figuren im Detail beschrieben. Die Figuren dienen lediglich der Veranschaulichung und stellen lediglich typische oder beispielhafte Ausführungsformen dar.
    • 1A ist eine Beispielsdarstellung eines Computersystems, das das Roaming von Client-Geräten erleichtert, indem es eine Latenzzeit reduziert oder eliminiert, wenn sich ein Client-Gerät einem neuen Zugangspunkt neu zuordnet, gemäß den in der vorliegenden Offenbarung beschriebenen Ausführungsformen.
    • 1B ist ein Beispiel für ein Computersystem, das das Roaming von Client-Geräten durch selektives Zwischenspeichern eines Vorläuferschlüssels erleichtert, der zusätzliche Schlüssel zur Verschlüsselung von Daten erzeugt, so dass der Vorläuferschlüssel verfügbar ist, wenn sich ein Client-Gerät einem neuen Zugangspunkt neu zuordnet, gemäß den in der vorliegenden Offenlegung beschriebenen Ausführungsformen. Während der selektiven Zwischenspeicherung bestimmt das Computersystem, an welchen Zugangspunkten ein Vorläuferschlüssel erzeugt werden soll.
    • 1C ist ein Beispiel für ein Computersystem, das das Roaming von Client-Geräten gemäß den in der vorliegenden Offenlegung beschriebenen Ausführungsformen erleichtert. In 1C hat sich ein Client-Gerät neu mit einem neuen Zugangspunkt verbunden. Das Computersystem aktualisiert seine Bestimmung, für welche Zugangspunkte ein Vorläuferschlüssel zu generieren ist, nach der Neuzuordnung des Client-Geräts.
    • 2 ist ein Beispiel für ein Computersystem, das das Roaming von Client-Geräten gemäß den in der vorliegenden Offenlegung beschriebenen Ausführungsformen erleichtert. In 2 ist ein Zugangspunkt, der zuvor Teil eines Netzes war, aus dem Netz ausgeschlossen worden, z. B. aufgrund von Wegzug, Inaktivierung oder Nichtbetriebsfähigkeit. Das Computersystem aktualisiert seine Bestimmung, an welchen Zugangspunkten ein Vorläuferschlüssel zu erzeugen ist.
    • 3 ist ein Beispiel für ein Computersystem, das das Roaming von Client-Geräten gemäß den in der vorliegenden Offenlegung beschriebenen Ausführungsformen erleichtert. In 3 ist ein neuer Zugangspunkt einem Netzwerk beigetreten. Das Rechensystem bestimmt, an welchen Zugangspunkten ein Vorläuferschlüssel zu generieren ist.
    • 4 ist ein Beispiel für ein Computersystem, das das Roaming von Client-Geräten gemäß den in der vorliegenden Offenlegung beschriebenen Ausführungsformen erleichtert. In 4 enthalten zumindest einige der Zugangspunkte verschiedene Funkgeräte, die auf unterschiedlichen Frequenzbändern arbeiten.
    • 5 ist ein Beispiel für ein Computersystem, das das Roaming von Client-Geräten gemäß den in der vorliegenden Offenlegung beschriebenen Ausführungsformen erleichtert. 5 veranschaulicht die Erzeugung, den Austausch und die Authentifizierung zusätzlicher Schlüssel, die auf den Vorläuferschlüssel folgen.
    • 6 ist eine Beispielfigur, die zeigt, wie eine Rechnerkomponente das Roaming von Client-Geräten gemäß den in der vorliegenden Offenbarung beschriebenen Ausführungsformen erleichtert.
    • 7 ist ein Beispiel für eine Computerkomponente, die zur Implementierung verschiedener Merkmale der in der vorliegenden Offenbarung beschriebenen Ausführungsformen verwendet werden kann.
  • Die Figuren sind nicht erschöpfend und beschränken die vorliegende Offenbarung nicht auf die genaue Form, die offengelegt wird.
  • Detaillierte Beschreibung
  • Im Folgenden werden bestimmte Aspekte der Vereinfachung des Roamings von Client-Geräten in einem Netz beschrieben, wobei gleichzeitig Speicher- und/oder Rechenressourcen an den Zugangspunkten gespart werden. Insbesondere kann das Roaming die Authentifizierung eines Client-Geräts an einem neuen Zugangspunkt beinhalten, mit dem sich das Client-Gerät neu verbinden möchte. Die Authentifizierung kann ferner die Berechnung, die Übertragung, den Austausch und die Überprüfung von Schlüsseln umfassen, die zur Verschlüsselung von Daten verwendet werden, die zwischen dem Client-Gerät und dem Zugangspunkt ausgetauscht werden. Wenn ein Client-Gerät eine erneute Verbindung mit dem neuen Zugangspunkt anfordert, wartet das Client-Gerät manchmal auf die Berechnung der Schlüssel, was zu Verzögerungen führt. Um die Wartezeit zu verkürzen, kann einer der Vorläuferschlüssel berechnet und am neuen Zugangspunkt gespeichert werden, bevor das Client-Gerät eine erneute Verbindung anfordert, um einer solchen Anforderung zuvorzukommen. Daher muss das Kundengerät nicht warten, bis dieser Schlüssel an dem neuen Zugangspunkt berechnet oder abgeleitet wurde. Diese Speicherung des Vorläuferschlüssels ist jedoch selektiv und basiert auf der Wahrscheinlichkeit, dass das Kundengerät tatsächlich zu diesem Zugangspunkt roamt, was auf der Grundlage eines Kriteriums der Entfernung oder des Pfadverlusts zwischen dem ursprünglichen Zugangspunkt und dem neuen Zugangspunkt und/oder auf der Grundlage einer historischen Häufigkeit, mit der das Kundengerät den neuen Zugangspunkt besucht, bestimmt werden kann. Andernfalls, wenn der Vorläuferschlüssel an jedem Zugangspunkt und für jedes Client-Gerät gespeichert würde, könnte der Speicher- und Rechenaufwand an den Zugangspunkten überwältigend sein. In der folgenden Beschreibung wird eine Lösung beschrieben, die ein rationalisiertes Roaming ermöglicht.
  • Wenn ein Client-Gerät (z. B. ein Antragsteller) während einer Verbindung zu einem Zugangspunkt eine abnehmende Signalstärke feststellt, die z. B. durch einen Received Signal Strength Indicator (RSSI) angezeigt wird, kann dieses Client-Gerät einen Scan durchführen und Testpakete senden, um festzustellen, ob ein anderer Zugangspunkt (z. B. ein Authentifikator) eine bessere Signalstärke bieten würde. Im Folgenden können die Begriffe „Client-Gerät“ und „Supplikant“ sowie „Zugangspunkt“ und „Authentifikator“ austauschbar verwendet werden. Die Ursachen für die abnehmende Signalstärke können darin liegen, dass sich das Client-Gerät weiter vom Zugangspunkt entfernt oder dass die Fähigkeit des Zugangspunkts, Signale zu senden, beeinträchtigt ist. Nachdem das Client-Gerät einen anderen Zugangspunkt entdeckt hat, der eine bessere Signalstärke bietet, beginnt das Client-Gerät einen Assoziationsprozess mit dem anderen Zugangspunkt, ein Prozess, der als Roaming bekannt ist.
  • Die Protokolle IEEE 802.11i und 802.11r rationalisieren das Roaming, indem sie den gesamten Authentifizierungsprozess zwischen dem Antragsteller und dem Authentifikator überflüssig machen, sofern der Antragsteller zuvor innerhalb eines bestimmten Zeitrahmens erfolgreich am Authentifikator authentifiziert wurde. Stattdessen kann eine einfache 4-Wege-Kommunikation zwischen dem Antragsteller und dem Authentifikator durchgeführt werden, um Verschlüsselungsschlüssel abzuleiten, mit denen der Antragsteller erneut dem Authentifikator zugeordnet werden kann. Nach Abschluss der 4-Wege-Kommunikation kann der Antragsteller verschlüsselte Daten mit dem Authentifikator austauschen, wodurch Zeit und Verarbeitungsressourcen gespart werden. Ein virtueller Kontrollport, der zuvor den Verkehr zwischen dem Antragsteller und dem Authentifikator blockiert hat, kann geöffnet werden, so dass der verschlüsselte Verkehr fließen kann. In einigen Ausführungsformen kann ein Authentifizierungsserver, z. B. ein RADIUS-Server (Remote Authentication Dial-In User Service), Authentifizierungsanfragen vom Antragsteller oder vom Authentifikator verarbeiten oder alternativ die Authentifizierungsanfragen an ein separates Authentifizierungssystem oder -gerät, z. B. einen Domänencontroller, weiterleiten. Der Authentifizierungsserver darf jedoch nicht an der 4-Wege-Kommunikation und/oder der Schlüsselgenerierung teilnehmen.
  • Vor der 4-Wege-Kommunikation kann der Authentifikator im Rahmen des IEEE-802.11r-Protokolls einen Vorläuferschlüssel, z. B. einen Pairwise Master Key (PMK)-R1, aus einem PMK-R0 ableiten. Alternativ dazu kann ein anderer Server, dem der PMK-R0 zur Verfügung gestellt wurde, den PMK-R1 ableiten. Ein PMK-R1 kann für einen bestimmten Supplicant und Authenticator eindeutig sein; ein anderes Client-Gerät, das versucht, sich bei einem bestimmten Supplicant zu authentifizieren, kann die Erzeugung eines eindeutigen PMK-R1 verursachen. PMK-R1s können durch Synchronisation zwischen verschiedenen Authentifikatoren oder Zugangspunkten ausgetauscht werden. Während der 4-Wege-Kommunikation kann ein PMK-R1, der von einem PMK-R0 abgeleitet wird, dazu verwendet werden, vorübergehende Verschlüsselungsschlüssel, einschließlich eines paarweisen vorübergehenden Schlüssels (PTK) und eines vorübergehenden Gruppenschlüssels (GTK), abzuleiten oder zu erstellen. Der Authentifikator kann den PMK-R1 zwischenspeichern. Der PTK kann sowohl beim Authentifikator als auch beim Supplicant unter Verwendung einer Pseudozufallsfunktion (PRF), des PMK-R1, einer Authentifikator-Nonce, einer Supplicant-Nonce, einer MAC-Adresse (Media Access Control) des Authentifikators und einer MAC-Adresse des Supplicant abgeleitet werden. Sobald der Anfragende die Authentifikator-Nonce vom Authentifikator erhält, kann der Anfragende den PTK erzeugen. Als nächstes kann der Anfragende seine Nonce an den Authentifikator übermitteln, damit der Authentifikator einen passenden PTK erzeugen kann. Der Authentifikator kann dann den GTK generieren. Der Authentifikator kann den GTK an den Anfragenden übermitteln. Während der Übertragung kann der GTK mit dem PTK verschlüsselt werden. Der PTK kann zur Verschlüsselung von Unicast-Frames speziell zwischen dem Anwärter und dem Authentifikator verwendet werden, während der GTK zur Verschlüsselung von Multicast- oder Broadcast-Frames zwischen dem Authentifikator und mehreren Anwärtern verwendet werden kann. Mit anderen Worten, der GTK kann von allen Client-Geräten, die mit einem einzigen Zugangspunkt verbunden sind, gemeinsam genutzt werden.
  • Der Roaming-Prozess kann sogar noch effizienter gestaltet werden, da der Authentifikator die PMK-R1 bereits gespeichert oder zwischengespeichert hat und somit Zeit spart, die ansonsten für die Ableitung der PMK-R1 benötigt würde. Diese Speicherung oder Zwischenspeicherung des PMK-R1 kann sich aus der oben erwähnten Synchronisierung der PMK-R1s ergeben. In einigen Beispielen können die PMK-R1 zwischen allen Hochfrequenz-Nachbarn eines Zugangspunkts synchronisiert werden. Während der Synchronisierung kann ein mit dem Authentifikator verbundener Dienst PMK-R1 s für jeden Nachbarn berechnen und kodierte Nachrichten, wie z. B. protobufkodierte Nachrichten, an die benachbarten Zugangspunkte des Nachbarn übertragen. Die Speicherung oder Zwischenspeicherung der PMK-R1 kann bis zu einer bestimmten Dauer, z. B. acht Stunden, erfolgen. Darüber hinaus kann auch der Supplicant die entsprechenden PMK-R1 speichern oder zwischenspeichern, sobald sie empfangen wurden. Dadurch können Unterbrechungen oder Störungen von Funktionen, wie z. B. der Sprachübertragung, vermieden oder reduziert werden.
  • Zu den potenziellen Nachteilen einer derart umfangreichen Speicherung oder Zwischenspeicherung von PMK-R1s gehören jedoch höhere Rechenkosten, eine größere Bandbreite und ein höherer Speicherverbrauch, insbesondere wenn ein bestimmtes Client-Gerät nie oder nur selten zu einem bestimmten Zugangspunkt roamt. Insbesondere können einige Implementierungen 80 oder mehr RF-Nachbarn pro Zugangspunkt haben. In einem solchen Szenario würden PMK-R1s mit mindestens 80 verschiedenen Zugangspunkten synchronisiert werden. Das Speichern oder Zwischenspeichern von PMK-R1s an jedem Zugangspunkt kann zu einer übermäßigen Zunahme von Tunneln und einer übermäßigen Verarbeitungsleistung führen, die für die Erzeugung kryptografischer Schlüssel erforderlich ist. Außerdem würden die immer größer werdenden Cache-Tabellen an den Zugangspunkten in solch dichten Umgebungen zusätzlichen Speicher verbrauchen, wodurch der für die Speicherung von PMK-R1s verfügbare Speicherplatz weiter eingeschränkt würde. Wenn der verfügbare Speicher der Zugangspunkte begrenzt ist, entweder aufgrund der Größe der Cache-Tabellen oder des von den vorhandenen PMK-R1 verbrauchten Speichers, können weitere Versuche, zusätzliche PMK-R1 mit den Zugangspunkten zu synchronisieren, erfolglos sein. Wenn zusätzliche PMK-R1s an den Zugangspunkten nicht synchronisiert oder zwischengespeichert werden, würden die Client-Geräte, die mit den zusätzlichen PMK-R1s verbunden sind, während des Roamings wahrscheinlich zusätzliche Latenzzeiten und eine schlechtere Dienstqualität erfahren. Die Randomisierung der Media Access Control (MAC) kann den Speicherbedarf der PMK-R1 weiter erhöhen, da ein Client-Gerät für jede eindeutige Service Set Identifier (SSID) eine andere, randomisierte MAC-Adresse verwenden kann und der Authentifikator für jede MAC-Adresse eine neue PMK-R1 generieren kann. Daher würde eine selektive Zwischenspeicherung von PMK-R1s an Zugangspunkten die oben genannten Mängel beheben und gleichzeitig einen rationalisierten Roaming-Prozess aufrechterhalten, wie in den vorangehenden FIGUREN beschrieben wird.
  • 1A ist eine Beispielsdarstellung eines Computersystems 110, das einen Roaming-Prozess von Client-Geräten rationalisiert, indem es selektiv PMK-R1 s zwischenspeichert, die am häufigsten eingesetzt oder verwendet werden, die zuletzt eingesetzt oder verwendet wurden und/oder die am wahrscheinlichsten eingesetzt oder verwendet werden, anstatt PMK-R1s wahllos an den Zugangspunkten zwischenzuspeichern. In 1A kann das Computersystem 110 eine Computerkomponente 111 enthalten, die einen oder mehrere Hardwareprozessoren umfasst, die Funktionen zur Steuerung oder Koordinierung von Vorgängen an einem oder mehreren Geräten, wie den Zugangspunkten 120, 130 und 140, ausführen. In einigen Ausführungsformen können anstelle der Zugangspunkte 120, 130 und 140 auch Router oder andere Netzwerkgeräte eingesetzt werden. Die Datenverarbeitungskomponente 111 kann einen Server umfassen, beispielsweise einen entfernten Server, der getrennt von den Netzwerkgeräten angeordnet ist. Dadurch, dass der Server von den Netzwerkgeräten entfernt ist, können die Authentifizierungsfunktionen zumindest teilweise von den Zugangspunkten oder den Steuerungen der Zugangspunkte entlastet werden, wodurch die jeweilige Belastung der Zugangspunkte und der Steuerungen verringert wird. Darüber hinaus können die Komponenten des Computersystems 110, anders als das Betriebssystem der Zugangspunkte, jederzeit leicht aktualisiert oder geändert werden, was die Effizienz und Wirksamkeit des Einsatzes verbessert. Die Rechnerkomponente 111 kann mit einer Datenbank 112 verbunden sein (z. B. elektrisch und/oder physisch), in der Protokolle zur Durchführung von Funktionen durch die Rechnerkomponente 111, wie z. B. Authentifizierung, und von der Rechnerkomponente 111 erzeugte Daten gespeichert sind. Die erzeugten Daten können von der Rechnerkomponente 111 erzeugte Schlüssel, die Häufigkeit der Besuche an jedem Zugangspunkt durch verschiedene Client-Geräte innerhalb eines Netzes 100, die beispielsweise durch Seriennummern der von Client-Geräten besuchten Zugangspunkte identifiziert werden, und/oder HF-Daten, wie z. B. Pfadverluste benachbarter Zugangspunkte, die jedem der Client-Geräte entsprechen, umfassen. In einigen Beispielen kann ein Besuch als eine Zuordnung eines Client-Geräts zu einem Zugangspunkt verstanden werden. Eine Assoziation kann eine anfängliche Assoziation (z. B. ohne Roaming) oder ein Auftreten von Roaming umfassen. In einigen Ausführungsformen kann die Computerkomponente 111 auf der Grundlage des verfügbaren Speichers selektiv einen oder mehrere Schlüssel aus der Datenbank 112 löschen. Wenn beispielsweise nur wenig Speicherplatz zur Verfügung steht, kann die Rechnerkomponente 111 selektiv Schlüssel aus der Datenbank 112 löschen, und zwar auf der Grundlage des Zeitpunkts, zu dem die Schlüssel zuletzt für Roaming verwendet wurden. So können ältere Schlüssel, die nicht für das Roaming verwendet wurden oder auf die nicht zugegriffen wurde, zuerst gelöscht werden.
  • Die Rechnerkomponente 111 kann eine Logik 113 enthalten, die Befehle zur Ausführung der Funktionen der Rechnerkomponente 111 enthält, zu denen die Erzeugung eines PMK-R0 gehören kann, sobald sich ein bestimmtes Client-Gerät (z. B. eines der Client-Geräte 150, 160 oder 170) erfolgreich an einem ersten Zugangspunkt (z. B. dem Zugangspunkt 120, 130 und/oder 140) authentifiziert. Der erste Zugangspunkt unterscheidet sich von einem zweiten Zugangspunkt, zu dem das jeweilige Client-Gerät roamen kann. Die Rechnerkomponente 111 kann das PMK-R0 auf der Grundlage eines Service Set Identifier (SSID) eines Netzwerks, eines Mobility Domain Identifier (MDID), einer Media Access Control (MAC)-Adresse der Rechnerkomponente 111 und einer MAC-Adresse des bestimmten Client-Geräts erzeugen. Die Rechnerkomponente 111 kann den PMK-R0 auf der Grundlage eines Master Session Key (MSK) erzeugen. Die Rechnerkomponente 111 kann den PMK-R0 speichern. Andere Funktionen der Rechnerkomponente 111 können die Erzeugung eines PMK-R1 umfassen, der dem ursprünglichen Zugangspunkt entspricht. Die Rechnerkomponente 111 kann zusätzlich aus den verbleibenden Zugangspunkten in einem Netzwerk eine Teilmenge der verbleibenden Zugangspunkte bestimmen, an denen die PMK-R1s zu erzeugen sind. Die Untergruppe der verbleibenden Zugangspunkte kann als zweite Zugangspunkte bezeichnet werden. Die zweiten Zugangspunkte können auf der Grundlage von HF-Nachbarschaftsdaten wie Pfadverlust, einer historischen Frequenz oder einer Roaming-Historie bestimmt werden, bei denen das bestimmte Client-Gerät zu jedem jeweiligen Zugangspunkt roamt, einer seit dem letzten Roaming-Auftritt des bestimmten Client-Geräts zu jedem jeweiligen Zugangspunkt verstrichenen Dauer und/oder einer Wahrscheinlichkeit, dass das bestimmte Client-Gerät zu jedem jeweiligen Zugangspunkt roamt. Die Rechnerkomponente 111 kann ferner PMK-R1s an jedem der zweiten Zugangspunkte unter Verwendung desselben PMK-R0 erzeugen. Die an jedem der zweiten Zugangspunkte erzeugten PMK-R1 können jedoch eindeutig sein. Die Rechnerkomponente 111 kann die erzeugten PMK-R1s zwischenspeichern und die PMK-R1 s an jeden der zweiten Zugangspunkte verteilen.
  • Die Rechnerkomponente 111 arbeitet in einem Netzwerk 100, wie in 1A dargestellt. Das Netz 100 umfasst die Zugangspunkte 120, 130 und 140. Das Netzwerk 100 umfasst auch die Client-Geräte 150, 160 und 170. Drei Zugangspunkte und drei Client-Geräte sind nur zur Veranschaulichung dargestellt; das Netzwerk 100 kann eine beliebige Anzahl von Zugangspunkten und Client-Geräten enthalten. Im Allgemeinen kann das Netzwerk x Zugangspunkte und y Client-Geräte umfassen, wobei x und y positive ganze Zahlen sind. Die Zugangspunkte 120, 130 und 140 können ein oder mehrere 2,4-GHz-Funkgeräte enthalten, die auf einem 2,4-GHz-Band kommunizieren, ein oder mehrere 5-GHz-Funkgeräte, die auf einem 5-GHz-Band kommunizieren, und/oder ein oder mehrere 6-GHz-Funkgeräte, die auf einem 6-GHz-Band kommunizieren.
  • Jedes der Client-Geräte 150, 160 und 170 kann sich mit einem oder mehreren der Zugangspunkte 120, 130 und 140 verbinden, um Daten über das Netz 100 zu übertragen. Jedes der Client-Geräte 150, 160 und 170 kann sich frei im Netzwerk 100 bewegen. In einem Szenario kann die Rechnerkomponente 111 einen PMK-R0 generieren, wenn sich das Client-Gerät 150 erfolgreich beim Zugangspunkt 120 authentifiziert. Die Rechnerkomponente 111 kann dann einen PMK-R1 ableiten, der für den Zugangspunkt 120 spezifisch ist, und den PMK-R1 an den Zugangspunkt 120 übertragen. Die PMK-R0 kann in der Datenbank 112 gespeichert werden, die mit der Computerkomponente 111 verbunden ist. Die PMK-R1 kann im Zugangspunkt 120 gespeichert und/oder zwischengespeichert werden. Die Rechnerkomponente 111 kann dann selektiv zweite Zugangspunkte (z.B. jeden der Zugangspunkte 130 oder 140 und/oder zusätzliche Zugangspunkte) bestimmen, an denen PMK-R1s in Bezug auf den Zugangspunkt 120, mit dem das Client-Gerät 150 gegenwärtig verbunden und assoziiert ist, berechnet oder erzeugt werden sollen. Wie bereits angedeutet, werden die zweiten Zugangspunkte aus den verbleibenden Zugangspunkten neben dem Zugangspunkt 120 (d.h. dem ersten Zugangspunkt, mit dem das Client-Gerät 150 verbunden ist) ausgewählt und umfassen eine Teilmenge davon. Ein Kriterium zur Bestimmung der zweiten Zugangspunkte kann historische Frequenzen, mit denen das Client-Gerät 150 auf jeden der Zugangspunkte 130 und 140 zugreift, und/oder Pfadverluste jedes der Zugangspunkte 130 und 140 in Bezug auf den Zugangspunkt 120 umfassen.
  • In einigen Ausführungsformen können die zweiten Zugangspunkte aus den HF-Nachbarn des Zugangspunkts 120 auf der Grundlage von Pfadverlusten zwischen dem Zugangspunkt 120 und den jeweiligen HF-Nachbarn ausgewählt werden. Insbesondere kann die Bestimmung der zweiten Zugangspunkte basierend auf einem Pfadverlust auf einem höchsten Wert eines Pfadverlustes unter allen HF-Nachbarn des Zugangspunkts 120 und/oder einem niedrigsten Wert eines Pfadverlustes unter allen HF-Nachbarn des Zugangspunkts 120 basieren. In einigen Ausführungsformen umfasst die Bestimmung der zweiten Zugangspunkte für den Zugangspunkt 120 das Sortieren einer Liste aller HF-Nachbarn des Zugangspunkts 120 auf der Grundlage von Pfadverlusten. Unter der Annahme, dass ein niedrigster Wert eines Pfadverlustes aller RF-Nachbarn als „j“ bezeichnet wird und ein höchster Wert eines Pfadverlustes aller RF-Nachbarn „k“ ist, dann kann die Teilmenge der zweiten Zugangspunkte alle RF-Nachbarn umfassen, bei denen die jeweiligen Pfadverluste relativ zu oder gemessen von dem Zugangspunkt 120 nicht größer sind als j + ( k j ) 3 .
    Figure DE102021127536A1_0001
    Somit können die zweiten Zugangspunkte aus den HF-Nachbarn ausgewählt werden, bei denen die jeweiligen Pfadverluste zwischen den HF-Nachbarn und dem Zugangspunkt innerhalb von j + ( k j ) 3
    Figure DE102021127536A1_0002
    Hier kann die Teilmenge der zweiten Zugangspunkte, die basierend auf einem Pfadverlust gemäß den oben genannten Kriterien bestimmt wird, als „m“ bezeichnet werden. Mit anderen Worten, die Teilmenge „m“ umfasst alle Zugangspunkte, bei denen die jeweiligen Pfadverluste zum Zugangspunkt 120 innerhalb von j + ( k j ) 3 .
    Figure DE102021127536A1_0003
    Da ein Pfadverlust mit dem relativen Standort oder der Entfernung zwischen Zugangspunkten zusammenhängen kann, berücksichtigt dieses Kriterium die relativen Entfernungen zwischen Zugangspunkten bei der Beurteilung der Wahrscheinlichkeit, dass ein Client-Gerät von einem ursprünglichen Zugangspunkt zu einem bestimmten Zugangspunkt roamt.
  • In einigen Beispielen kann die Bestimmung der zweiten Zugangspunkte alternativ oder zusätzlich zu den Pfadverlustkriterien andere HF-Nachbarn des Zugangspunkts 120 umfassen, die zuvor besucht wurden. So können die zweiten Zugangspunkte zusätzlich oder alternativ auch HF-Nachbarn des Zugangspunkts 120 umfassen, die zuvor besucht wurden, bezeichnet als „n“. In anderen Beispielen können die zweiten Zugangspunkte HF-Nachbarn des Zugangspunkts 120 enthalten, die zuvor innerhalb einer Schwellendauer, wie z. B. während eines vergangenen Monats, innerhalb einer bestimmten Dauer, wie z. B. innerhalb der letzten zehn Tage, und/oder mindestens einer Schwellenhäufigkeit oder Anzahl von Malen besucht worden sind. So kann die Teilmenge „n“ auf der Grundlage einer Schnittmenge aus einer ersten Teilmenge von Zugangspunkten im Netzwerk 100 neben dem Zugangspunkt 120, die HF-Nachbarn des Zugangspunkts 120 umfasst, und einer zweiten Teilmenge aus den Zugangspunkten im Netzwerk 100 neben dem Zugangspunkt 120, die Zugangspunkte umfasst, mit denen sich das Client-Gerät 150 innerhalb der festgelegten Dauer (z. B. während eines vorherigen Zeitfensters) verbunden hat, bestimmt werden. Die HF-Nachbarn des Zugangspunkts 120, die zuvor besucht wurden, bezeichnet als „n“, können in regelmäßigen Abständen aktualisiert werden, z. B. einmal pro Tag. Somit kann die Bestimmung der zweiten Zugangspunkte in regelmäßigen Abständen, z. B. einmal am Tag, neu bestimmt oder aufgefrischt werden.
  • In einigen Beispielen können die zweiten Zugangspunkte eine Vereinigung von m und n umfassen oder auf der Grundlage dieser Vereinigung ausgewählt werden, wobei alle Fälle einer Doppelzählung vermieden werden, wenn ein bestimmter Zugangspunkt sowohl in m als auch in n enthalten ist. Wenn der Zugangspunkt 140 beispielsweise die Kriterien für den Pfadverlust erfüllt und zuvor besucht wurde, wäre der Zugangspunkt 140 sowohl in m als auch in n enthalten, würde aber nicht doppelt gezählt, so dass die Rechenkomponente 111 vermeiden würde, den PMK-R1 zweimal an den Zugangspunkt 140 zu senden. Durch die Einbeziehung einer Vereinigung von m und n beinhalten die Kriterien die Annahme, dass Zugangspunkte, bei denen Roaming am wahrscheinlichsten ist, auf der Grundlage von Pfadverlust- oder Entfernungskriterien und zuvor zugeordneten Zugangspunkten, bei denen Roaming zuvor stattgefunden hat, bestimmt werden. Beispielsweise können neben der Entfernung oder dem Pfadverlust auch andere Faktoren dazu beitragen, zu bestimmen, an welchen Zugangspunkten Roaming stattfinden wird oder kann. Insbesondere kann ein Zugangspunkt ein häufiges Ziel für Roaming sein, und zwar nicht nur wegen der Entfernung oder der Nähe, sondern auch wegen bestimmter Eigenschaften oder Fähigkeiten dieses Zugangspunkts, z. B. der Übertragung im 6-GHz-Band oder eines bestimmten Ziels, das häufig von einem bestimmten Benutzer eines Client-Geräts besucht wird. In einigen Ausführungsformen kann die Rechnerkomponente 111, wenn die Speicherung der PMK-R1s an einem bestimmten Zugangspunkt mehr als einen Schwellenwert an Speicherplatz verbraucht, davon absehen, zusätzliche PMK-R1s zu erzeugen, die diesem Zugangspunkt entsprechen, und/oder bestehende PMK-R1s auf der Grundlage der geringsten Nutzungshäufigkeit und/oder der längsten Dauer seit der letzten Nutzung löschen. Hier kann die Nutzung als ein Client-Gerät verstanden werden, das versucht, zu diesem Zugangspunkt zu roamen, und das mit dem entsprechenden PMK-R1 für diesen Zugangspunkt authentifiziert wird. Zum Beispiel kann die Rechnerkomponente 111 einen Zeitpunkt bestimmen, zu dem eine letzte Anfrage des Client-Geräts, sich mit diesem Zugangspunkt zu assoziieren oder erneut zu assoziieren, stattgefunden hat, bestimmen, ob eine Schwellenzeitspanne seit der letzten Anfrage oder erfolgreichen Anfrage verstrichen ist, und als Reaktion auf die Feststellung, dass eine Schwellenzeitspanne verstrichen ist, das PMK-R1 aus einem mit diesem Zugangspunkt verbundenen Cache löschen.
  • Der oben beschriebene Prozess kann für andere Client-Geräte wiederholt werden, die sich innerhalb des Netzes authentifiziert haben. Wenn beispielsweise das Client-Gerät 160 erfolgreich am Zugangspunkt 130 authentifiziert wurde, kann die Rechnerkomponente 111 zweite Zugangspunkte auf der Grundlage von Pfadverlustkriterien in Bezug auf den Zugangspunkt 130 anstelle des Zugangspunkts 120 wie im obigen Szenario bestimmen. Insbesondere würde die Liste aller RF-Nachbarn, der niedrigste Wert des Pfadverlustes und der höchste Wert des Pfadverlustes in Bezug auf den Zugangspunkt 130 bestimmt werden. Darüber hinaus würden die zuvor besuchten Zugangspunkte speziell für das Client-Gerät 160 ermittelt werden. Alle zusätzlichen PMK-R1, die von der Rechnerkomponente 111 auf die oben beschriebene Weise erzeugt werden, können an den Zugangspunkt 130 übermittelt werden.
  • Nach jeder erfolgreichen Roaming-Operation des Client-Geräts 150 können die zweiten Zugangspunkte in Bezug auf den aktuellen Zugangspunkt, der mit dem Client-Gerät 150 verbunden ist, neu bestimmt werden, und es können zusätzliche PMK-R1 für die zusätzlichen Zugangspunkte erzeugt werden, die neu als zu den zweiten Zugangspunkten gehörend bestimmt wurden. Ein solches Szenario ist in 1B und 1C dargestellt. Wie in 1B dargestellt, kann sich das Client-Gerät 150 zunächst bei dem Zugangspunkt 120 authentifizieren. Der Einfachheit halber ist in 1B nur ein Client-Gerät dargestellt, aber die vorstehende Beschreibung kann auch für alle anderen Client-Geräte innerhalb des Netzwerks 100 gelten. Die Rechnerkomponente 111 kann einen PMK-R0 182 erzeugen. Die Rechnerkomponente 111 kann dann einen PMK-R1 184 unter Verwendung des PMK-R0 182 erzeugen und den PMK-R1 184 an den Zugangspunkt 120 übertragen, der den PMK-R1 184 speichern oder zwischenspeichern kann. Die Rechnerkomponente 111 und/oder der Zugangspunkt 120 können die PMK-R1 184 an das Kundengerät 150 übertragen. Die Rechnerkomponente 111 kann dann bestimmen, welche verbleibenden Zugangspunkte innerhalb des Netzes 100 zweite Zugangspunkte sind, an denen PMK-R1 generiert werden sollen, indem sie die Kriterien wie in 1A beschrieben verwendet. Zur Veranschaulichung sei angenommen, dass die Rechnerkomponente 111 feststellt, dass der Zugangspunkt 130 ein zweiter Zugangspunkt ist, dass aber der Zugangspunkt 140 kein zweiter Zugangspunkt ist, weil der Zugangspunkt 140 nicht von dem Client-Gerät 150 besucht wurde und dass der Zugangspunkt 140 die Kriterien für den Pfadverlust nicht erfüllt. Insbesondere kann der Zugangspunkt 140 einen Pfadverlust relativ zum oder gemessen vom Zugangspunkt 120 haben, der größer ist als j + ( k j ) 3 ,
    Figure DE102021127536A1_0004
    wobei j und k einen niedrigsten Wert des Pfadverlusts der HF-Nachbarn des Zugangspunkts 120 bzw. einen höchsten Wert des Pfadverlusts der HF-Nachbarn des Zugangspunkts 120 bezeichnen. Die Rechnerkomponente 111 würde einen PMK-R1 186 unter Verwendung desselben PMK-R0 182 erzeugen und den PMK-R1 186 an den Zugangspunkt 130 übertragen, der den PMK-R1 186 speichert. Für das Client-Gerät 140 würde jedoch kein PMK-R1 erzeugt werden. Der PMK-R1 186 und der PMK-R1 184 sind unterschiedliche Schlüssel, da jeder PMK-R1 für ein bestimmtes Client-Gerät und einen bestimmten Zugangspunkt eindeutig ist. Die Lebensdauer des PMK-R0 182 kann etwa acht Stunden betragen, danach kann ein neuer PMK-R0 erzeugt werden.
  • In 1C kann das Client-Gerät 150 eine Reassoziationsanfrage zum Roaming zum Zugangspunkt 130 initiieren. Nach dem erfolgreichen Roaming des Client-Geräts 150 kann die Rechnerkomponente 111 ihre Bestimmung der zweiten Zugangspunkte aktualisieren. Insbesondere kann die Rechnerkomponente 111 neu bestimmen, welche der HF-Nachbarn des Zugangspunkts 130 einen Pfadverlust in Bezug auf den Zugangspunkt 130 aufweisen, mit dem das Client-Gerät 150 derzeit verbunden ist. Im Gegensatz dazu hat die Rechnerkomponente 111 in 1B die HF-Nachbarn und den Pfadverlust in Bezug auf den Zugangspunkt 120 bestimmt, der der Zugangspunkt ist, mit dem das Client-Gerät 150 zu diesem Zeitpunkt verbunden war. Die Rechnerkomponente 111 kann feststellen, dass der Zugangspunkt 140 nun die Kriterien für den Pfadverlust in Bezug auf den Zugangspunkt 130 erfüllt. Insbesondere kann der Zugangspunkt 140 einen Pfadverlust relativ zum oder gemessen vom Zugangspunkt 130 aufweisen, der innerhalb von j + ( k j ) 3
    Figure DE102021127536A1_0005
    liegt, wobei j und k einen niedrigsten Wert des Pfadverlusts unter den HF-Nachbarn des Zugangspunkts 130 bzw. einen höchsten Wert des Pfadverlusts unter den HF-Nachbarn des Zugangspunkts 130 bezeichnen. Daher kann die Rechnerkomponente 111 ein PMK-R1 188 für den Zugangspunkt 140 unter Verwendung desselben PMK-R0 182 erzeugen und das PMK-R1 188 an den Zugangspunkt 140 übertragen, der das PMK-R1 188 zwischenspeichern kann. Die Rechnerkomponente 111 würde davon absehen, ein weiteres PMK-R1 für den Zugangspunkt 130 zu erzeugen, da der Zugangspunkt 130 bereits über das PMK-R1 186 verfügt.
  • 2 zeigt ein Szenario eines Netzes 200, das in gleicher oder ähnlicher Weise wie das Netz 100 implementiert werden kann, mit der Ausnahme, dass einer der Zugangspunkte, der Zugangspunkt 140, entweder dauerhaft oder vorübergehend inaktiviert wurde. Die dauerhafte oder vorübergehende Inaktivierung kann dazu führen, dass der Zugangspunkt 140 die Kriterien für den Pfadverlust nicht mehr erfüllt, weil kein Signal vom Zugangspunkt 140 mehr detektierbar ist. Die Rechnerkomponente 111 kann jedoch unterscheiden, ob der Zugangspunkt 140 dauerhaft oder vorübergehend inaktiviert ist. Bei einer dauerhaften Inaktivierung des Zugangspunkts würde der Zugangspunkt 140 von keinem Client-Gerät besucht werden, d. h. der Zugangspunkt 140 würde nach einer Schwellenwertdauer für alle Client-Geräte aus der Menge n ausgeschlossen. Da der Zugangspunkt 140 weder das Kriterium des Pfadverlusts erfüllt noch zu der Menge n gehört, würde der Zugangspunkt 140 nicht unter die zweiten Zugangspunkte fallen. Wenn der Zugangspunkt 140 jedoch nur vorübergehend deaktiviert wurde, können Client-Geräte, sobald der Zugangspunkt 140 wiederhergestellt ist, den Zugangspunkt 140 immer noch besuchen oder zu ihm roamen, so dass der Zugangspunkt 140 weiterhin in der Menge n enthalten sein kann.
  • In einigen Ausführungsformen kann ein Benutzer den Zugangspunkt 140 manuell aus der Liste der besuchten Zugangspunkte entfernen, wenn der Benutzer weiß, dass der Zugangspunkt 140 dauerhaft inaktiviert oder deaktiviert wurde. In einigen Ausführungsformen kann die Computerkomponente 111 eine Warnung erzeugen, dass der Zugangspunkt 140 für mindestens eine Schwellenwertdauer inaktiv gewesen sein könnte, wenn für den Zugangspunkt 140 für mehr als eine Schwellenwertdauer keine Pfadverlustdaten erfasst wurden, und eine Rückmeldung erhalten, die angibt, ob der Zugangspunkt 140 aus dem Netzwerk 100 ausgeschlossen wurde und/oder ob der Zugangspunkt dauerhaft deaktiviert, inaktiviert, fehlerhaft funktioniert oder das Netzwerk 100 verlassen hat. Als Reaktion auf eine positive Rückmeldung, dass der Zugangspunkt 140 aus dem Netzwerk 100 ausgeschlossen wurde, kann die Computerkomponente 111 den Zugangspunkt 140 aus einer Historie der besuchten Zugangspunkte an allen verbleibenden Zugangspunkten im Netzwerk 200 entfernen. Die Rechnerkomponente 111 kann ferner Pfadverlustdaten, die den verbleibenden Zugangspunkten entsprechen, gemäß den in den 1A, 1B und 1C beschriebenen Kriterien neu berechnen, wobei sie berücksichtigt, dass der Zugangspunkt 140 nicht mehr als Kandidat mit dem niedrigsten Pfadverlustj oder dem höchsten Pfadverlust k unter allen HF-Nachbarn eines bestimmten Zugangspunkts in Frage kommt. Wenn der Zugangspunkt 140 einen niedrigsten Pfadverlust j oder einen höchsten Pfadverlust k unter allen HF-Nachbarn eines bestimmten Zugangspunkts aufweist, dann würde der niedrigste Pfad j oder der höchste Pfadverlust k als nächst niedrigerer Pfadverlust oder nächst höherer Pfadverlust neu berechnet werden. Daher wird bei den neu berechneten oder aktualisierten Pfadverlusten zwischen den jeweiligen HF-Nachbarn und einem Zugangspunkt (z. B. dem Zugangspunkt 120 oder 130) berücksichtigt, dass der Zugangspunkt 140 ausgeschlossen wurde. Darüber hinaus bestimmt die Rechnerkomponente 111 die zweiten Zugangspunkte auf der Grundlage der neu berechneten oder aktualisierten Pfadverluste.
  • 3 zeigt ein Szenario eines Netzes 300, das in gleicher oder ähnlicher Weise wie das Netz 100 implementiert werden kann, mit der Ausnahme, dass ein neuer Zugangspunkt, der Zugangspunkt 145, hinzugefügt wurde. In einem solchen Szenario würde der Zugangspunkt 145 als Teil der Pfadverlustkriterien berücksichtigt werden, die in Bezug auf die 1A, 1B und 1C beschrieben sind. Der Zugangspunkt 145 kann die Kriterien für den Pfadverlust in Bezug auf nahe gelegene Zugangspunkte, wie den Zugangspunkt 140, erfüllen. Wenn der Zugangspunkt 145 von Client-Geräten besucht wird, kann der Zugangspunkt 145 auch in der Menge n für diese Client-Geräte enthalten sein. Daher würde die Rechnerkomponente 111 unter Verwendung der oben genannten Kriterien, wie sie in den 1A, 1B und 1C beschrieben sind, auch neue Zugangspunkte innerhalb des Netzwerks 300 berücksichtigen, wenn sie bestimmt, ob PMK-R1-Schlüssel erzeugt und übertragen werden sollen.
  • 4 zeigt ein Szenario, in dem zumindest eine Teilmenge der Zugangspunkte in einem Netzwerk 400 über Funkgeräte verfügt, die auf verschiedenen Frequenzbändern oder Unterbändern arbeiten. In einem Netz 400 kann ein Zugangspunkt 420 beispielsweise ein Funkgerät 422, das auf einem 2,4-GHz-Band arbeitet oder kommuniziert, ein Funkgerät 424, das auf einem oberen oder unteren 5-GHz-Band arbeitet oder kommuniziert, und ein Funkgerät 426, das auf einem 6-GHz-Band arbeitet oder kommuniziert, umfassen. In ähnlicher Weise kann ein Zugangspunkt 430 ein Funkgerät 432, das auf einem 2,4-GHz-Band arbeitet oder kommuniziert, ein Funkgerät 434, das auf einem oberen oder unteren 5-GHz-Band arbeitet oder kommuniziert, und ein Funkgerät 436, das auf einem 6-GHz-Band arbeitet oder kommuniziert, umfassen. Angenommen, das Client-Gerät 450 verbindet sich mit dem Funkgerät 424, das auf einem 5-GHz-Band arbeitet, und wird dort authentifiziert, kann die Rechenkomponente 111 einen PMK-R0 482 und einen PMK-R1 484 generieren, die für das 5-GHz-Band spezifisch sind. Da die Basic Service Set Identifiers (BSSIDs) oder MAC-Adressen, die jedem Funkgerät entsprechen, unterschiedlich sind und die PMK-R1s zum Teil auf der Grundlage der BSSIDs erzeugt werden, würden die PMK-R1s für jedes einzelne Funkgerät eindeutig erzeugt. Zum Beispiel kann die Rechnerkomponente 111 verschiedene PMK-R1s 492, 493 und 494 erzeugen, die den Funkgeräten 432, 434 und 436 entsprechen, unter der Annahme, dass die Funkgeräte 432, 434 und 436 ein Pfadverlustkriterium in Bezug auf das Funkgerät 422 des Zugangspunkts 420 erfüllen und/oder zuvor während des Roamings des Client-Geräts 450 gemäß den in Bezug auf die 1A, 1B und 1C beschriebenen Kriterien zugegriffen oder besucht wurden. Daher kann die Rechnerkomponente 111 verschiedene PMK-R1s berechnen, die verschiedenen Funkgeräten des Zugangspunkts entsprechen, wobei die verschiedenen Funkgeräte auf verschiedenen Frequenzbändern arbeiten. Andere Merkmale, die unter Bezugnahme auf 1A, 1B, 1C, 2 und 3 beschrieben sind, können auch auf das Netz 400 von 4 anwendbar sein.
  • 5 zeigt ein Szenario, in dem nach der Erzeugung der PMK-R1s zusätzliche Schlüssel erzeugt werden, die die Übertragung verschlüsselter Daten zwischen einem Zugangspunkt und einem Client-Gerät erleichtern. Die Authentifizierung eines Client-Geräts gegenüber einem Zugangspunkt kann nach der Generierung der PMK-R1s abgeschlossen werden. Der Abschluss der Authentifizierung kann die Übertragung eines Nonce an das Client-Gerät umfassen, damit das Client-Gerät unabhängig einen vorübergehenden Schlüssel (z. B. einen PTK) generieren kann, den Empfang eines zweiten Nonce vom Client-Gerät und die Generierung des vorübergehenden Schlüssels, der zum Teil auf dem Nonce und dem zweiten Nonce basiert. Daher verschlüsselt die Rechenkomponente 111, sobald sie an einem entsprechenden Zugriffspunkt eine Anfrage von der Client-Vorrichtung erhält, um auf ein Datenpaket zuzugreifen, das Datenpaket unter Verwendung des vorübergehenden Schlüssels und überträgt das Datenpaket an die Client-Vorrichtung, wie weiter unten im Detail beschrieben wird. In 5 kann die Rechnerkomponente 111 einen PMK-R0 582 und einen PMK-R1 584 erzeugen. Die Rechnerkomponente 111 kann die PMK-R0 582 und die PMK-R1 584 an einen Zugangspunkt 520 übertragen. Der Einfachheit halber wird nur ein Zugangspunkt dargestellt. Der Zugangspunkt kann als der Zugangspunkt 120 oder der Zugangspunkt 420 implementiert werden. Der Zugangspunkt 520 kann das PMK-R1 584 an ein Client-Gerät 550 übertragen, das als Client-Gerät 150 oder als Client-Gerät 550 implementiert sein kann. Der Zugangspunkt 520 kann auch eine Nonce 560 an das Client-Gerät 550 übertragen. Das Client-Gerät 550 kann einen PTK 594 unter Verwendung des vom Zugangspunkt 520 empfangenen Nonce 560, eines vom Client-Gerät 550 generierten Nonce 570, einer MAC-Adresse des Client-Geräts 550 und der MAC-Adresse des Zugangspunkts 520, die dem Client-Gerät 550 bereits bekannt ist, generieren. Die Erzeugung des PTK 594 kann eine PRF beinhalten. Sobald das Client-Gerät 550 den PTK 594 generiert hat, überträgt das Client-Gerät 550 den Nonce 570 an den Zugangspunkt 520. Das Client-Gerät 550 kann auch eine Nachrichtenintegritätsprüfung (MIC) 572 übertragen, die einen kryptografischen Hash enthalten kann, um die Richtigkeit des PTK 594 zu bestätigen, der vom Zugangspunkt 520 oder der Computerkomponente 111 erzeugt wird. Die MIC 572 kann unter Verwendung mindestens eines Teils des PTK 594 erzeugt worden sein. Der Zugangspunkt 520 erzeugt den PTK 594 unter Verwendung des Nonce 560, des vom Client-Gerät 550 erzeugten Nonce 570, der MAC-Adresse des Client-Geräts 550 und der MAC-Adresse des Zugangspunkts 520. Der Zugangspunkt 520 oder die Rechnerkomponente 111 generiert dann einen MIC, der zumindest einen Teil des PTK 594 verwendet. Der Zugangspunkt 520 oder die Computerkomponente 111 überprüft, ob die erzeugte MIC mit der MIC 572 übereinstimmt. Wenn dies der Fall ist, authentifiziert der Zugangspunkt 520 oder die Computerkomponente 111 das Client-Gerät 550. Der Zugangspunkt 520 oder die Rechnerkomponente 111 erzeugt dann einen GTK 596 und überträgt den GTK 596 und den erzeugten MIC (identisch mit dem MIC 572) an das Client-Gerät 550. Das Client-Gerät 550 liefert eine abschließende Bestätigung 574. Damit verfügen das Client-Gerät 550 und der Zugangspunkt 520 nun über alle Schlüssel, um verschlüsselte Datenpakete sicher zu übertragen. Die selektive Zwischenspeicherung von PMK-R1s, wie sie in den 1A, 1B, 1C, 2, 3 und 4 beschrieben ist, beschleunigt den Prozess der Erzeugung, Übertragung und Überprüfung von Schlüsseln zur Verschlüsselung von Datenpaketen und rationalisiert so den Roaming-Prozess für Client-Geräte.
  • 6 zeigt eine Computerkomponente 600, die einen oder mehrere Hardwareprozessoren 602 und maschinenlesbare Speichermedien 604 enthält, auf denen ein Satz maschinenlesbarer/maschinenausführbarer Anweisungen gespeichert ist, die, wenn sie ausgeführt werden, den/die Hardwareprozessor(en) 602 veranlassen, ein illustratives Verfahren zum selektiven Zwischenspeichern und Ableiten von Vorläuferschlüsseln, wie z. B. PMK-R1s, die ausgewählten Zugangspunkten und/oder Client-Geräten entsprechen, durchzuführen. Es sollte anerkannt werden, dass es zusätzliche, weniger oder alternative Schritte geben kann, die in ähnlicher oder alternativer Reihenfolge oder parallel im Rahmen der verschiedenen hier erörterten Ausführungsformen durchgeführt werden, sofern nicht anders angegeben. Die Datenverarbeitungskomponente 600 kann wie die Datenverarbeitungskomponente 111 der 1A, 1B, 1C, 2, 3, 4 und/oder 5 implementiert werden. Die Rechnerkomponente 600 kann einen Server umfassen. Die maschinenlesbaren Speichermedien 604 können geeignete maschinenlesbare Speichermedien umfassen, die in 7 beschrieben sind.
  • In Schritt 606 können der/die Hardwareprozessor(en) 602 maschinenlesbare/maschinenausführbare Anweisungen ausführen, die in den maschinenlesbaren Speichermedien 604 gespeichert sind, um ein Client-Gerät an einem ersten Zugangspunkt eines Netzwerks zu authentifizieren, wie z. B. das Netzwerk 100 von 1A, 1B oder 1C, das Netzwerk 200 von 2, das Netzwerk 300 von 3, das Netzwerk 400 von 4 oder das Netzwerk 500 von 5. Die Authentifizierung kann als Reaktion auf eine anfängliche Anfrage des Client-Geräts für den Zugriff auf ein Netzwerk erfolgen, z. B. wenn das Client-Gerät 150 den Zugriff auf den Zugangspunkt 120 in 1A und 1B anfordert.
  • Als Nächstes, in Schritt 608, können der oder die Hardware-Prozessoren 602 unter den verbleibenden Zugangspunkten im Netz selektiv zweite Zugangspunkte bestimmen, an denen die jeweiligen paarweisen Hauptschlüssel R1 (PMK-R1s) zu berechnen sind. Mit anderen Worten, die PMK-R1s können an einem zweiten Zugangspunkt berechnet werden, bevor sich das Client-Gerät am zweiten Zugangspunkt neu anmeldet, um Verzögerungen oder Latenzzeiten zu reduzieren oder zu eliminieren. Die Verzögerungen oder Latenzzeiten können darauf zurückzuführen sein, dass das Client-Gerät darauf wartet, dass die PMK-R1s im Anschluss an eine Anforderung zur erneuten Assoziierung am zweiten Zugangspunkt berechnet werden. Unter Bezugnahme auf 1B können der/die Hardware-Prozessor(en) 602 bestimmen, ob ein PMK-R1 an einem der verbleibenden Zugangspunkte 130 und 140 zu berechnen ist. Die Kriterien für eine solche Bestimmung können die jeweiligen Pfadverluste vom ersten Zugangspunkt zu den zweiten Zugangspunkten und die jeweiligen historischen Frequenzen, mit denen sich das Client-Gerät an den jeweiligen verbleibenden Zugangspunkten assoziiert, umfassen, wie in Bezug auf die 1A, 1B und 1C beschrieben. Insbesondere können unter Bezugnahme auf 1B die Pfadverluste zwischen dem Zugangspunkt 120 und dem Zugangspunkt 130 sowie zwischen dem Zugangspunkt 120 und dem Zugangspunkt 140 berechnet werden. Die jeweiligen historischen Frequenzen können anzeigen, ob und/oder wie oft das Client-Gerät 150 innerhalb eines bestimmten Zeitintervalls oder - fensters eine Assoziation oder eine Reassoziation bei jedem der Zugangspunkte 130 und 140 angefordert hat. In 1B erfüllt der Zugangspunkt 140 möglicherweise nicht das Kriterium des Pfadverlusts (er ist weiter vom Zugangspunkt 120 entfernt) und wurde möglicherweise nicht von dem Client-Gerät 150 innerhalb des gegebenen Zeitintervalls besucht (z. B. erhielt er eine Anforderung zur Assoziierung oder Reassoziierung von diesem). Daher kann der Zugangspunkt 140 nicht als zweiter Zugangspunkt gelten, und es würde kein PMK-R1 für den Zugangspunkt 140 erzeugt werden. Der Zugangspunkt 130 kann sich jedoch als zweiter Zugangspunkt qualifizieren, weil der Zugangspunkt 130 innerhalb des gegebenen Zeitintervalls von dem Client-Gerät 150 besucht worden sein kann und/oder die Kriterien für den Pfadverlust erfüllt. Daher kann der (die) Hardwareprozessor(en) 602 bestimmen, dass ein PMK-R1 für den Zugangspunkt 130 zu berechnen ist. Der (die) Hardware-Prozessor(en) 602 kann (können) eine Bestimmung der zweiten Zugangspunkte aktualisieren, nachdem Zugangspunkte aus dem Netzwerk ausgeschlossen wurden, wie in 2 dargestellt, und nachdem neue Zugangspunkte in das Netzwerk aufgenommen wurden, wie in 3 dargestellt. Beispielsweise können Zugangspunkte aufgrund von Inaktivierung, Fehlfunktion oder Verlassen des Netzes aus dem Netz ausgeschlossen werden.
  • Als Nächstes, in Schritt 610, können der/die Hardware-Prozessor(en) 602 die PMK-R1s für jeden der zweiten Zugangspunkte berechnen. In Bezug auf 1B würde(n) der/die Hardware-Prozessor(en) 602 zum Beispiel die PMK-R1 186 für den Zugangspunkt 130 berechnen. Die PMK-R1s können aus PMK-R0s berechnet werden, die von dem/den Hardware-Prozessor(en) 602 gespeichert werden. Im Anschluss an die Berechnung können der oder die Hardwareprozessoren 602 in Schritt 612 die jeweiligen PMK-R1 an die zweiten Zugangspunkte übertragen, damit sie an den zweiten Zugangspunkten zwischengespeichert werden. In 1B würde der Zugangspunkt 130 die PMK-R1 186 empfangen. In Schritt 614 kann der (die) Hardwareprozessor(en) 602 eine Anforderung vom Client-Gerät empfangen, Daten an einen verbleibenden Zugangspunkt der verbleibenden Zugangspunkte zu übertragen. In Bezug auf 1B kann das Client-Gerät 150 beispielsweise verlangen, Daten an den Zugangspunkt 130 statt über den Zugangspunkt 120 zu übertragen oder sich mit diesem neu zu verbinden.
  • In der Entscheidung 616 können der/die Hardware-Prozessor(en) 602 feststellen, ob ein PMK-R1, der dem Client-Gerät entspricht, bereits in dem verbleibenden Zugangspunkt gespeichert wurde. In Bezug auf 1B hat der Zugangspunkt 130 bereits einen PMK-R1 gespeichert. Daher können der oder die Hardware-Prozessoren 602 in Schritt 618 das Client-Gerät am verbleibenden Zugangspunkt authentifizieren, ohne dass der PMK-R1 nach der Anforderung der erneuten Verbindung durch das Client-Gerät berechnet werden muss. Ein beispielhafter Authentifizierungsvorgang ist in 5 dargestellt. Nach der Authentifizierung kann das Client-Gerät verschlüsselte Daten über den Zugangspunkt übertragen. Wenn der/die Hardware-Prozessor(en) 602 jedoch in der Entscheidung 616 feststellt/feststellen, dass am verbleibenden Zugangspunkt kein PMK-R1 gespeichert wurde, dann würde(n) der/die Hardware-Prozessor(en) 602 in Schritt 620 einen PMK-R1 berechnen, der dem verbleibenden Zugangspunkt entspricht, so dass das Client-Gerät am verbleibenden Zugangspunkt authentifiziert werden kann. Nach der Authentifizierung am verbleibenden Zugangspunkt können der oder die Hardware-Prozessoren 602 außerdem die Bestimmungen der Pfadverluste auf der Grundlage des verbleibenden Zugangspunkts aktualisieren und die Bestimmung der zweiten Zugangspunkte auf der Grundlage des verbleibenden Zugangspunkts aktualisieren, wie in 1C dargestellt. Wenn das Client-Gerät beispielsweise den verbleibenden Zugangspunkt noch nicht besucht hat (z. B. eine Assoziierung oder Neuassoziierung angefordert hat), können der oder die Hardware-Prozessoren 602 den verbleibenden Zugangspunkt in die Teilmenge m aufnehmen, wie unter Bezugnahme auf 1A beschrieben. Jede nachfolgende Bestimmung, welche Zugangspunkte PMK-R1s generieren sollen, kann auf der Annahme basieren, dass der verbleibende Zugangspunkt besucht oder angesprochen wurde.
  • 7 zeigt ein Blockdiagramm eines beispielhaften Computersystems 700, in dem verschiedene der hier beschriebenen Ausführungsformen implementiert werden können. Das Computersystem 700 umfasst einen Bus 702 oder einen anderen Kommunikationsmechanismus zur Übermittlung von Informationen sowie einen oder mehrere Hardware-Prozessoren 704, die zur Verarbeitung von Informationen mit dem Bus 702 verbunden sind. Bei dem/den Hardware-Prozessor(en) 704 kann es sich zum Beispiel um einen oder mehrere Allzweck-Mikroprozessoren handeln.
  • Das Computersystem 700 umfasst auch einen Hauptspeicher 706, z. B. einen Speicher mit wahlfreiem Zugriff (RAM), einen Cache und/oder andere dynamische Speichergeräte, die mit dem Bus 702 verbunden sind, um Informationen und Anweisungen zu speichern, die vom Prozessor 704 ausgeführt werden sollen. Der Hauptspeicher 706 kann auch zum Speichern von temporären Variablen oder anderen Zwischeninformationen während der Ausführung von Anweisungen verwendet werden, die vom Prozessor 704 ausgeführt werden sollen. Wenn solche Befehle in Speichermedien gespeichert werden, auf die der Prozessor 704 zugreifen kann, wird das Computersystem 700 zu einer Spezialmaschine, die so angepasst ist, dass sie die in den Befehlen angegebenen Operationen ausführen kann.
  • Das Computersystem 700 umfasst außerdem einen Festwertspeicher (ROM) 708 oder ein anderes statisches Speichergerät, das mit dem Bus 702 verbunden ist, um statische Informationen und Anweisungen für den Prozessor 704 zu speichern. Ein Speichergerät 710, wie z. B. eine Magnetplatte, eine optische Platte oder ein USB-Stick (Flash-Laufwerk) usw., ist vorgesehen und mit dem Bus 702 verbunden, um Informationen und Anweisungen zu speichern.
  • Das Computersystem 700 kann über den Bus 702 mit einer Anzeige 712, z. B. einer Flüssigkristallanzeige (LCD) (oder einem Berührungsbildschirm), verbunden sein, um einem Computerbenutzer Informationen anzuzeigen. Ein Eingabegerät 714, einschließlich alphanumerischer und anderer Tasten, ist mit dem Bus 702 gekoppelt, um Informationen und Befehlsauswahlen an den Prozessor 704 zu übermitteln. Eine andere Art von Benutzereingabegerät ist die Cursorsteuerung 716, wie z. B. eine Maus, ein Trackball oder Cursorrichtungstasten zur Übermittlung von Richtungsinformationen und Befehlsauswahlen an den Prozessor 704 und zur Steuerung der Cursorbewegung auf dem Display 712. In einigen Ausführungsformen können die gleichen Richtungsinformationen und Befehlsauswahlen wie bei der Cursorsteuerung über den Empfang von Berührungen auf einem Touchscreen ohne Cursor implementiert werden.
  • Das Computersystem 700 kann ein Benutzerschnittstellenmodul zur Implementierung einer grafischen Benutzeroberfläche enthalten, das in einem Massenspeichergerät als ausführbare Softwarecodes gespeichert werden kann, die von dem/den Computergerät(en) ausgeführt werden. Dieses und andere Module können beispielsweise Komponenten wie Softwarekomponenten, objektorientierte Softwarekomponenten, Klassenkomponenten und Aufgabenkomponenten, Prozesse, Funktionen, Attribute, Prozeduren, Unterprogramme, Segmente von Programmcode, Treiber, Firmware, Mikrocode, Schaltkreise, Daten, Datenbanken, Datenstrukturen, Tabellen, Arrays und Variablen umfassen.
  • Im Allgemeinen kann sich das Wort „Komponente“, „System“, „Bauteil“, „Datenbank“, „Datenspeicher“ und dergleichen, wie es hier verwendet wird, auf eine in Hardware oder Firmware verkörperte Logik oder auf eine Sammlung von Softwareanweisungen beziehen, die möglicherweise Ein- und Ausstiegspunkte haben und in einer Programmiersprache wie z. B. Java, C oder C++ geschrieben sind. Eine Softwarekomponente kann kompiliert und zu einem ausführbaren Programm verknüpft werden, in einer dynamischen Link-Bibliothek installiert werden oder in einer interpretierten Programmiersprache wie BASIC, Perl oder Python geschrieben sein. Es versteht sich von selbst, dass Softwarekomponenten von anderen Komponenten oder von sich selbst aus aufrufbar sein können und/oder als Reaktion auf erkannte Ereignisse oder Unterbrechungen aufgerufen werden können. Softwarekomponenten, die für die Ausführung auf Computergeräten konfiguriert sind, können auf einem computerlesbaren Medium, wie z. B. einer Compact Disc, einer digitalen Videodisc, einem Flash-Laufwerk, einer Magnetplatte oder einem anderen greifbaren Medium, oder als digitaler Download bereitgestellt werden (und können ursprünglich in einem komprimierten oder installierbaren Format gespeichert sein, das vor der Ausführung eine Installation, Dekomprimierung oder Entschlüsselung erfordert). Ein solcher Softwarecode kann teilweise oder vollständig in einem Speicher des ausführenden Computergeräts gespeichert werden, damit er von dem Computergerät ausgeführt werden kann. Softwareanweisungen können in Firmware, wie z. B. einem EPROM, eingebettet sein. Darüber hinaus können die Hardwarekomponenten aus verbundenen Logikeinheiten wie Gattern und Flipflops und/oder aus programmierbaren Einheiten wie programmierbaren Gatteranordnungen oder Prozessoren bestehen.
  • Das Computersystem 700 kann die hierin beschriebenen Techniken unter Verwendung von kundenspezifischerfestverdrahteter Logik, einem oder mehreren ASICs oder FPGAs, Firmware und/oder Programmlogik implementieren, die in Kombination mit dem Computersystem bewirkt oder programmiert, dass das Computersystem 700 eine Spezialmaschine ist. Gemäß einer Ausführungsform werden die hierin beschriebenen Techniken vom Computersystem 700 als Reaktion auf den/die Prozessor(en) 704 ausgeführt, der/die eine oder mehrere Sequenzen von einem oder mehreren im Hauptspeicher 706 enthaltenen Befehlen ausführt/ausführen. Solche Anweisungen können in den Hauptspeicher 706 von einem anderen Speichermedium, wie z. B. dem Speichergerät 710, eingelesen werden. Die Ausführung der im Hauptspeicher 706 enthaltenen Befehlssequenzen veranlasst den/die Prozessor(en) 704, die hier beschriebenen Prozessschritte durchzuführen. In alternativen Ausführungsformen können festverdrahtete Schaltungen anstelle von oder in Kombination mit Softwareanweisungen verwendet werden.
  • Der Begriff „nichtflüchtige Medien“ und ähnliche Begriffe, wie sie hier verwendet werden, beziehen sich auf alle Medien, die Daten und/oder Befehle speichern, die eine Maschine in einer bestimmten Weise arbeiten lassen. Solche nichtflüchtigen Medien können nichtflüchtige Medien und/oder flüchtige Medien umfassen. Zu den nichtflüchtigen Medien gehören beispielsweise optische oder magnetische Festplatten, wie die Speichervorrichtung 710. Zu den flüchtigen Medien gehören dynamische Speicher, wie der Hauptspeicher 706. Zu den gängigen Formen nichtflüchtiger Medien gehören beispielsweise Disketten, flexible Platten, Festplatten, Solid-State-Laufwerke, Magnetbänder oder andere magnetische Datenspeichermedien, CD-ROMs, andere optische Datenspeichermedien, physische Medien mit Lochmustern, RAM, PROM und EPROM, FLASH-EPROM, NVRAM, andere Speicherchips oder -kassetten sowie deren vernetzte Versionen.
  • Nicht-transitorische Medien unterscheiden sich von Übertragungsmedien, können aber in Verbindung mit ihnen verwendet werden. Übertragungsmedien sind an der Übertragung von Informationen zwischen nicht-transitorischen Medien beteiligt. Zu den Übertragungsmedien gehören z. B. Koaxialkabel, Kupfer- und Glasfaserkabel, einschließlich der Drähte, aus denen der Bus 702 besteht. Übertragungsmedien können auch in Form von Schall- oder Lichtwellen auftreten, wie sie bei der Datenkommunikation über Funk und Infrarot erzeugt werden.
  • Das Computersystem 700 umfasst auch eine Kommunikationsschnittstelle 718, die mit dem Bus 702 verbunden ist. Die Netzwerkschnittstelle 718 stellt eine Zweiwege-Datenkommunikationsverbindung zu einer oder mehreren Netzwerkverbindungen her, die mit einem oder mehreren lokalen Netzwerken verbunden sind. Bei der Kommunikationsschnittstelle 718 kann es sich beispielsweise um eine ISDN-Karte (Integrated Services Digital Network), ein Kabelmodem, ein Satellitenmodem oder ein Modem handeln, um eine Datenkommunikationsverbindung zu einer entsprechenden Art von Telefonleitung herzustellen. Ein weiteres Beispiel: Die Netzwerkschnittstelle 718 kann eine LAN-Karte (Local Area Network) sein, um eine Datenkommunikationsverbindung zu einem kompatiblen LAN (oder einer WAN-Komponente für die Kommunikation mit einem WAN) herzustellen. Es können auch drahtlose Verbindungen implementiert werden. In jeder dieser Implementierungen sendet und empfängt die Netzwerkschnittstelle 718 elektrische, elektromagnetische oder optische Signale, die digitale Datenströme mit verschiedenen Informationstypen übertragen.
  • Eine Netzverbindung ermöglicht in der Regel die Datenkommunikation über ein oder mehrere Netze zu anderen Datengeräten. So kann eine Netzverbindung beispielsweise eine Verbindung über ein lokales Netz zu einem Host-Computer oder zu Datengeräten eines Internetdienstanbieters (ISP) herstellen. Der ISP wiederum bietet Datenkommunikationsdienste über das weltweite Paketdatenkommunikationsnetz an, das heute gemeinhin als „Internet“ bezeichnet wird. Sowohl das lokale Netz als auch das Internet verwenden elektrische, elektromagnetische oder optische Signale, die digitale Datenströme übertragen. Die Signale über die verschiedenen Netze und die Signale auf der Netzverbindung und über die Kommunikationsschnittstelle 718, die die digitalen Daten zum und vom Computersystem 700 übertragen, sind Beispiele für Übertragungsmedien.
  • Das Computersystem 700 kann über das/die Netzwerk(e), die Netzwerkverbindung und die Kommunikationsschnittstelle 718 Nachrichten senden und Daten, einschließlich Programmcode, empfangen. In dem Internet-Beispiel könnte ein Server einen angeforderten Code für ein Anwendungsprogramm über das Internet, den ISP, das lokale Netzwerk und die Kommunikationsschnittstelle 718 übertragen.
  • Der empfangene Code kann vom Prozessor 704 bei seinem Empfang ausgeführt und/oder in der Speichervorrichtung 710 oder einem anderen nichtflüchtigen Speicher zur späteren Ausführung gespeichert werden.
  • Jeder der in den vorstehenden Abschnitten beschriebenen Prozesse, Methoden und Algorithmen kann in Code-Komponenten verkörpert und vollständig oder teilweise durch diese automatisiert werden, die von einem oder mehreren Computersystemen oder Computerprozessoren mit Computerhardware ausgeführt werden. Das eine oder die mehreren Computersysteme oder Computerprozessoren können auch so betrieben werden, dass sie die Ausführung der entsprechenden Vorgänge in einer „Cloud Computing“-Umgebung oder als „Software as a Service“ (SaaS) unterstützen. Die Prozesse und Algorithmen können teilweise oder vollständig in anwendungsspezifischen Schaltkreisen implementiert sein. Die verschiedenen oben beschriebenen Merkmale und Verfahren können unabhängig voneinander verwendet oder auf verschiedene Weise kombiniert werden. Verschiedene Kombinationen und Unterkombinationen sollen in den Anwendungsbereich dieser Offenlegung fallen, und bestimmte Verfahrens- oder Prozessblöcke können in einigen Implementierungen weggelassen werden. Die hier beschriebenen Methoden und Prozesse sind auch nicht auf eine bestimmte Reihenfolge beschränkt, und die damit verbundenen Blöcke oder Zustände können in anderen geeigneten Reihenfolgen, parallel oder auf andere Weise ausgeführt werden. Blöcke oder Zustände können zu den offengelegten Beispielen hinzugefügt oder aus ihnen entfernt werden. Die Ausführung bestimmter Operationen oder Prozesse kann auf Computersysteme oder Computerprozessoren verteilt werden, die sich nicht nur auf einer einzigen Maschine befinden, sondern über eine Reihe von Maschinen verteilt sind.
  • Wie hierin verwendet, kann eine Schaltung in jeder Form von Hardware, Software oder einer Kombination davon implementiert werden. Beispielsweise können ein oder mehrere Prozessoren, Controller, ASICs, PLAs, PALs, CPLDs, FPGAs, logische Komponenten, Software-Routinen oder andere Mechanismen implementiert werden, um eine Schaltung zu bilden. Bei der Implementierung können die verschiedenen hier beschriebenen Schaltungen als diskrete Schaltungen implementiert werden, oder die beschriebenen Funktionen und Merkmale können teilweise oder insgesamt auf eine oder mehrere Schaltungen aufgeteilt werden. Auch wenn verschiedene Merkmale oder Funktionselemente einzeln als separate Schaltungen beschrieben oder beansprucht werden, können diese Merkmale und Funktionen von einer oder mehreren gemeinsamen Schaltungen gemeinsam genutzt werden, und eine solche Beschreibung soll nicht voraussetzen oder implizieren, dass separate Schaltungen erforderlich sind, um diese Merkmale oder Funktionen zu implementieren. Wenn eine Schaltung ganz oder teilweise mit Software implementiert ist, kann diese Software so implementiert werden, dass sie mit einem Computer- oder Verarbeitungssystem arbeitet, das in der Lage ist, die in Bezug darauf beschriebene Funktionalität auszuführen, wie z. B. das Computersystem 900.
  • Wie hierin verwendet, kann der Begriff „oder“ sowohl im einschließenden als auch im ausschließenden Sinne verstanden werden. Darüber hinaus ist die Beschreibung von Ressourcen, Vorgängen oder Strukturen im Singular nicht so zu verstehen, dass der Plural ausgeschlossen wird. Bedingte Ausdrücke, wie z. B. „kann“, „könnte“, „könnte“ oder „kann“, sind, sofern nicht ausdrücklich anders angegeben oder im Kontext anders verstanden, im Allgemeinen so zu verstehen, dass bestimmte Ausführungsformen bestimmte Merkmale, Elemente und/oder Schritte umfassen, während andere Ausführungsformen diese nicht umfassen.
  • Die in diesem Dokument verwendeten Begriffe und Ausdrücke sowie deren Abwandlungen sind, sofern nicht ausdrücklich anders angegeben, nicht einschränkend, sondern offen zu verstehen. Adjektive wie „konventionell“, „traditionell“, „normal“, „Standard“, „bekannt“ und Begriffe mit ähnlicher Bedeutung sind nicht so zu verstehen, dass sie den beschriebenen Gegenstand auf einen bestimmten Zeitraum oder auf einen zu einem bestimmten Zeitpunkt verfügbaren Gegenstand beschränken, sondern sollten so verstanden werden, dass sie konventionelle, traditionelle, normale oder Standardtechnologien umfassen, die jetzt oder zu einem beliebigen Zeitpunkt in der Zukunft verfügbar oder bekannt sein können. Das Vorhandensein erweiternder Wörter und Formulierungen wie „eine oder mehrere“, „mindestens“, „aber nicht beschränkt auf oder ähnlicher Formulierungen in einigen Fällen ist nicht so zu verstehen, dass der engere Fall beabsichtigt oder erforderlich ist, wenn solche erweiternden Formulierungen nicht vorhanden sind.
  • Sofern der Kontext nichts anderes erfordert, sind in der vorliegenden Spezifikation und den Ansprüchen das Wort „umfassen“ und Abwandlungen davon, wie z. B. „umfasst“ und „enthaltend“, in einem offenen, umfassenden Sinne zu verstehen, d. h. als „einschließlich, aber nicht beschränkt auf“. Die Erwähnung von numerischen Wertebereichen in der gesamten Spezifikation soll als Kurzform dienen, um sich individuell auf jeden einzelnen Wert zu beziehen, der in den Bereich fällt, einschließlich der Werte, die den Bereich definieren, und jeder einzelne Wert ist in der Spezifikation enthalten, als ob er hier individuell erwähnt würde. Außerdem schließen die Singularformen „ein“, „ein“ und „die“ Pluralreferenzen ein, sofern der Kontext nicht eindeutig etwas anderes vorschreibt. Die Ausdrücke „mindestens eines von“, „mindestens eines ausgewählt aus der Gruppe von“ oder „mindestens eines ausgewählt aus der Gruppe bestehend aus“ und dergleichen sind im Konjunktiv zu verstehen (z. B. nicht als mindestens eines von A und mindestens eines von B).

Claims (20)

  1. Ein computerimplementiertes Verfahren, das Folgendes umfasst: Authentifizierung eines Client-Geräts an einem ersten Zugangspunkt eines Netzwerks; selektive Bestimmung von zweiten Zugangspunkten unter den verbleibenden Zugangspunkten im Netz, an denen entsprechende Vorläuferschlüssel zu berechnen sind, basierend auf mindestens einem der folgenden Punkte: die jeweiligen Pfadverluste von dem ersten Zugangspunkt zu den zweiten Zugangspunkten; und die jeweiligen historischen Frequenzen, mit denen sich das Client-Gerät an den jeweiligen verbleibenden Zugangspunkten verbindet; für die zweiten Zugangspunkte, wobei die jeweiligen Vorläuferschlüssel berechnet werden; Übermittlung der jeweiligen Vorläuferschlüssel an die zweiten Zugangspunkte, damit sie an den zweiten Zugangspunkten zwischengespeichert werden; Empfangen einer Anforderung von der Client-Vorrichtung, sich erneut mit einem zweiten Zugangspunkt der zweiten Zugangspunkte zu verbinden; und Authentifizierung des Client-Geräts am zweiten Zugangspunkt auf der Grundlage eines dem zweiten Zugangspunkt entsprechenden Vorläuferschlüssels, wodurch eine verschlüsselte Datenübertragung zwischen dem Client-Gerät und dem zweiten Zugangspunkt ermöglicht wird.
  2. Computerimplementiertes Verfahren nach Anspruch 1, wobei die Berechnung der jeweiligen Vorläuferschlüssel das Berechnen verschiedener Vorläuferschlüssel umfasst, die verschiedenen Funkgeräten des Zugangspunkts entsprechen, wobei die verschiedenen Funkgeräte auf verschiedenen Frequenzbändern arbeiten.
  3. Computerimplementiertes Verfahren nach Anspruch 1, wobei die Vorläuferschlüssel PMK (Pairwise Master Key)-R1s umfassen; und die historischen Frequenzen zeigen an, ob sich das Kundengerät innerhalb eines früheren Zeitfensters an den jeweiligen verbleibenden Zugangspunkten angemeldet hat.
  4. Computerimplementiertes Verfahren nach Anspruch 3, wobei die Auswahl der zweiten Zugangspunkte auf einer Schnittmenge einer ersten Teilmenge aus den verbleibenden Zugangspunkten, die Hochfrequenz-Nachbarn des Zugangspunkts umfasst, und einer zweiten Teilmenge aus den verbleibenden Zugangspunkten basiert, die Zugangspunkte umfasst, mit denen sich das Client-Gerät innerhalb des vorherigen Zeitfensters assoziiert oder neu assoziiert hat.
  5. Computerimplementiertes Verfahren nach Anspruch 1, wobei die zweiten Zugangspunkte aus den Hochfrequenz-Nachbarn (RF) des Zugangspunkts auf der Grundlage der Pfadverluste zwischen dem Zugangspunkt und den jeweiligen RF-Nachbarn ausgewählt werden.
  6. Computerimplementiertes Verfahren nach Anspruch 5, wobei die zweiten Zugangspunkte aus den HF-Nachbarn auf der Grundlage eines höchsten Pfadverlusts und eines niedrigsten Pfadverlusts unter den HF-Nachbarn ausgewählt werden.
  7. Computerimplementiertes Verfahren nach Anspruch 6, wobei die zweiten Zugangspunkte aus den HF-Nachbarn ausgewählt werden, bei denen die jeweiligen Pfadverluste zwischen den HF-Nachbarn und dem Zugangspunkt innerhalb  
    Figure DE102021127536A1_0006
     j + ( k j ) 3
    Figure DE102021127536A1_0007
    liegen, wobei j und k den niedrigsten Pfadverlust bzw. den höchsten Pfadverlust bezeichnen.
  8. Computerimplementierte Verfahren nach Anspruch 7 umfasst außerdem: Empfangen einer Benachrichtigung, dass ein verbleibender Zugangspunkt von den verbleibenden Zugangspunkten aus dem Netz ausgeschlossen ist; und als Reaktion auf den Empfang der Benachrichtigung die Bestimmung der aktualisierten Pfadverluste zwischen den HF-Nachbarn und dem Zugangspunkt unter Ausschluss des verbleibenden Zugangspunkts; und Bestimmung der zweiten Zugangspunkte auf der Grundlage der aktualisierten Pfadverluste.
  9. Computerimplementiertes Verfahren nach Anspruch 4, wobei eine dritte Teilmenge die Schnittmenge der ersten Teilmenge und der zweiten Teilmenge umfasst; und die Auswahl der zweiten Zugangspunkte auf einer Vereinigung der dritten Teilmenge und einer vierten Teilmenge basiert, die die HF-Nachbarn umfasst, deren jeweilige Pfadverluste zwischen den HF-Nachbarn und dem Zugangspunkt innerhalb j + ( k j ) 3
    Figure DE102021127536A1_0008
    liegen, wobei j und k den niedrigsten Pfadverlust bzw. den höchsten Pfadverlust bezeichnen.
  10. Computerimplementierte Verfahren nach Anspruch 1 umfasst ferner für einen zweiten Zugangspunkt der ermittelten zweiten Zugangspunkte: Bestimmen eines Zeitpunkts, zu dem eine jüngste Anforderung des Client-Geräts, sich erneut mit dem zweiten Zugangspunkt zu verbinden, erfolgte; Feststellung, ob seit der letzten Anfrage eine Schwellenzeitspanne verstrichen ist; und als Reaktion auf die Feststellung, dass eine Schwellenzeitspanne verstrichen ist, Löschen des Vorläuferschlüssels aus einem mit dem zweiten Zugangspunkt verbundenen Cache.
  11. Ein Rechensystem, das Folgendes umfasst: einen oder mehrere Prozessoren; und einen Speicher, in dem Anweisungen gespeichert sind, die bei Ausführung durch den einen oder die mehreren Prozessoren den einen oder die mehreren Prozessoren veranlassen,: Authentifizierung eines Client-Geräts an einem ersten Zugangspunkt eines Netzwerks; selektive Bestimmung von zweiten Zugangspunkten unter den verbleibenden Zugangspunkten im Netz, an denen entsprechende Vorläuferschlüssel zu berechnen sind, basierend auf mindestens einem der folgenden Punkte: die jeweiligen Pfadverluste von dem ersten Zugangspunkt zu den zweiten Zugangspunkten; und die jeweiligen historischen Frequenzen, mit denen sich das Client-Gerät an den jeweiligen verbleibenden Zugangspunkten verbindet; für die zweiten Zugangspunkte, wobei die jeweiligen Vorläuferschlüssel berechnet werden; Übermittlung der jeweiligen Vorläuferschlüssel an die zweiten Zugangspunkte, damit sie an den zweiten Zugangspunkten zwischengespeichert werden; Empfangen einer Anforderung von der Client-Vorrichtung, Daten an einem verbleibenden Zugangspunkt der verbleibenden Zugangspunkte zu übertragen; Bestimmen, ob ein Vorläuferschlüssel, der der Client-Vorrichtung entspricht, bereits an dem verbleibenden Zugangspunkt gespeichert wurde; und als Reaktion auf die Feststellung, dass ein Vorläuferschlüssel, der der Client-Vorrichtung entspricht, bereits gespeichert wurde, Authentifizierung der Client-Vorrichtung an dem verbleibenden Zugangspunkt auf der Grundlage des Vorläuferschlüssels, der der Client-Vorrichtung entspricht, wobei die Authentifizierung umfasst: Übermittlung eines Nonce an das Client-Gerät, damit das Client-Gerät unabhängig einen transienten Schlüssel erzeugen kann; Empfangen einer zweiten Nonce von der Client-Vorrichtung; Erzeugen des transienten Schlüssels, der teilweise auf dem Nonce und dem zweiten Nonce basiert; Empfangen einer Anfrage von der Client-Vorrichtung, um auf ein Datenpaket zuzugreifen; Verschlüsseln des Datenpakets unter Verwendung des transienten Schlüssels; und Übermittlung des Datenpakets an das Client-Gerät.
  12. Rechensystem nach Anspruch 11, wobei die Berechnung der jeweiligen Vorläuferschlüssel die Berechnung verschiedener Vorläuferschlüssel umfasst, die verschiedenen Funkgeräten des Zugangspunkts entsprechen, wobei die verschiedenen Funkgeräte auf verschiedenen Frequenzbändern arbeiten.
  13. Rechensystem nach Anspruch 11, wobei die Vorläuferschlüssel PMK (Pairwise Master Key)-R1s umfassen; und die historischen Frequenzen zeigen an, ob sich das Kundengerät innerhalb eines früheren Zeitfensters an den jeweiligen verbleibenden Zugangspunkten angemeldet hat.
  14. Rechensystem nach Anspruch 13, wobei die Auswahl der zweiten Zugangspunkte auf einer Schnittmenge einer ersten Teilmenge aus den verbleibenden Zugangspunkten, die Hochfrequenz-Nachbarn des Zugangspunkts umfasst, und einer zweiten Teilmenge aus den verbleibenden Zugangspunkten basiert, die Zugangspunkte umfasst, mit denen sich das Client-Gerät innerhalb des vorherigen Zeitfensters assoziiert oder neu assoziiert hat.
  15. Rechensystem nach Anspruch 11, wobei die zweiten Zugangspunkte aus den Hochfrequenz-Nachbarn (RF) des Zugangspunkts auf der Grundlage von Pfadverlusten zwischen dem Zugangspunkt und den jeweiligen RF-Nachbarn ausgewählt werden.
  16. Rechensystem nach Anspruch 15, wobei die zweiten Zugangspunkte aus den HF-Nachbarn auf der Grundlage eines höchsten Pfadverlusts und eines niedrigsten Pfadverlusts unter den HF-Nachbarn ausgewählt werden.
  17. Rechensystem nach Anspruch 16, wobei die zweiten Zugangspunkte aus den HF-Nachbarn ausgewählt werden, deren jeweilige Pfadverluste zwischen den HF-Nachbarn und dem Zugangspunkt innerhalb von j + ( k j ) 3
    Figure DE102021127536A1_0009
    liegen, wobei j und k den niedrigsten Pfadverlust bzw. den höchsten Pfadverlust bezeichnen.
  18. Rechensystem nach Anspruch 17, wobei die Befehle die Prozessoren außerdem veranlassen,: eine Benachrichtigung zu erhalten, dass ein zweiter verbleibender Zugangspunkt von den verbleibenden Zugangspunkten aus dem Netz ausgeschlossen ist; und als Reaktion auf den Empfang der Benachrichtigung, Bestimmen aktualisierter Pfadverluste zwischen den RF-Nachbarn und dem Zugangspunkt, mit Ausnahme des zweiten verbleibenden Zugangspunkts; und Bestimmung der zweiten Zugangspunkte auf der Grundlage der aktualisierten Pfadverluste.
  19. Rechensystem nach Anspruch 14, wobei eine dritte Teilmenge die Schnittmenge der ersten Teilmenge und der zweiten Teilmenge umfasst; und die Auswahl der zweiten Zugangspunkte auf einer Vereinigung der dritten Teilmenge und einer vierten Teilmenge basiert, die die HF-Nachbarn umfasst, deren jeweilige Pfadverluste zwischen den HF-Nachbarn und dem Zugangspunkt innerhalb j + ( k j ) 3
    Figure DE102021127536A1_0010
    liegen, wobei j und k den niedrigsten Pfadverlust bzw. den höchsten Pfadverlust bezeichnen.
  20. Rechensystem nach Anspruch 11, wobei die Befehle die Prozessoren außerdem veranlassen,: Bestimmen eines Zeitpunkts, zu dem eine jüngste Anforderung des Client-Geräts, sich erneut mit dem zweiten Zugangspunkt zu verbinden, erfolgte; festzustellen, ob seit der letzten Anfrage eine Schwellenzeitspanne verstrichen ist; und als Reaktion auf die Feststellung, dass eine Schwellenzeitspanne verstrichen ist, den Vorläuferschlüssel aus einem mit dem zweiten Zugangspunkt verbundenen Cache zu löschen.
DE102021127536.9A 2021-07-28 2021-10-22 Selektive zwischenspeicherung von paarweisen hauptschlüsseln bei rationalisiertem roaming Pending DE102021127536A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/387,355 US11737002B2 (en) 2021-07-28 2021-07-28 Selective caching of pairwise master keys in streamlined roaming
US17/387,355 2021-07-28

Publications (1)

Publication Number Publication Date
DE102021127536A1 true DE102021127536A1 (de) 2023-02-02

Family

ID=84890124

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021127536.9A Pending DE102021127536A1 (de) 2021-07-28 2021-10-22 Selektive zwischenspeicherung von paarweisen hauptschlüsseln bei rationalisiertem roaming

Country Status (3)

Country Link
US (2) US11737002B2 (de)
CN (1) CN115696317B (de)
DE (1) DE102021127536A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11910249B2 (en) * 2021-08-02 2024-02-20 Hewlett Packard Enterprise Development Lp Optimizing key allocation during roaming using machine learning

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100173610A1 (en) * 2009-01-05 2010-07-08 Qualcomm Incorporated Access stratum security configuration for inter-cell handover
US9167427B2 (en) * 2013-03-15 2015-10-20 Alcatel Lucent Method of providing user equipment with access to a network and a network configured to provide access to the user equipment
EP3076710B1 (de) * 2013-12-27 2020-04-08 Huawei Technologies Co., Ltd. Offload-verfahren, benutzergerät, basisstation und zugangspunkt
US11026136B2 (en) * 2014-03-07 2021-06-01 Parallel Wireless, Inc. Handovers with simplified network topology
US10715999B2 (en) * 2015-11-09 2020-07-14 Fortinet, Inc. Selective key caching for fast roaming of wireless stations in communication networks
US10887804B2 (en) * 2016-12-23 2021-01-05 Neutrino8, Inc. Pre-roaming security key distribution for faster roaming transitions over cloud-managed Wi-Fi networks of heterogeneous IP subnets
CN106941405A (zh) * 2017-04-28 2017-07-11 北京星网锐捷网络技术有限公司 一种在无线局域网中终端认证的方法和装置
CN109309919B (zh) * 2017-07-27 2021-07-20 华为技术有限公司 一种通信方法及设备
CN109462875B (zh) * 2019-01-16 2020-10-27 展讯通信(上海)有限公司 无线漫游方法、接入点装置以及移动台
US11477181B2 (en) * 2019-02-06 2022-10-18 Hewlett Packard Enterprise Development Lp Network enabled control of security devices
US11863978B2 (en) * 2020-07-16 2024-01-02 Qualcomm Incorporated Fast basic service set transition for multi-link operation

Also Published As

Publication number Publication date
CN115696317A (zh) 2023-02-03
US11737002B2 (en) 2023-08-22
US20230033287A1 (en) 2023-02-02
US20230345329A1 (en) 2023-10-26
CN115696317B (zh) 2024-02-13

Similar Documents

Publication Publication Date Title
DE112005002297B4 (de) Verfahren und System zum Unterstützen einer schnellen Übergabe von mobilen Teilnehmerstationen in drahtlosen Breitbandnetzen
DE112005002651B4 (de) Verfahren und Vorrichtung zur Authentifikation von mobilen Vorrichtungen
DE602004011573T2 (de) Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken
DE60218289T2 (de) Verfahren zum speichern und verteilen von verschlüsselungsschlüsseln
DE112016002319T5 (de) Verfahren und vorrichtung zur initialzertifikatregistrierung in einem drahtlosen kommunikationssystem
DE112008001844B4 (de) Verhandlung über Ressourcen für schnelle Übergänge
DE112017002827T5 (de) Verfahren, server und kommunikationsvorrichtung zur aktualisierung identitätsbasierter kryptographischer privater schlüssel von beeinträchtigten kommunikationsvorrichtungen
DE112017000483T5 (de) System, gerät und verfahren für schlüsselbereitstellungsdelegation
US9680649B2 (en) Policy-based key sharing
DE102021127717B4 (de) System und verfahren zur nahtlosen live-aktualisierung von zugangspunkten anhand von nachbardaten
DE112020004286T5 (de) Einrichten einer sicherheitszuordnung und einer berechtigungsprüfung zum sichern einer datenübertragung zwischen einem initiator und einem antwortenden
DE102021127630B4 (de) Netzwerk-scanning
DE102021209124A1 (de) Systeme und verfahren zum datenschutz einer multilink-vorrichtung
DE112018000632T5 (de) Verfahren und systeme zum verbinden eines drahtlosen kommunikationsgeräts mit einem verlegbaren drahtlosen kommunikationsnetzwerk
DE102021110225A1 (de) Erkennung von netzwerkdiensten
DE102021127536A1 (de) Selektive zwischenspeicherung von paarweisen hauptschlüsseln bei rationalisiertem roaming
DE112022000280T5 (de) Identitätsautorität
US10536442B2 (en) Method, apparatus, and device for managing authentication data of STA
DE112013005031T5 (de) Zuordnung von Mobilstationen an geschützte Zugriffspunkte
DE102020113348B4 (de) Dynamische Uplink-Ressourcen-Einheitsplanung für UL-OFDMA in 802.11ax-Netzwerken
EP2497248B1 (de) Verfahren und vorrichtungen mit schlüsselverteilerfunktion zur verbesserung von geschwindigkeit und qualität eines handovers
DE102021102025A1 (de) Wake-up radio group-id zuordnung
DE102021126867A1 (de) Räumliche Wiederverwendung für Verkehr mit hoher Priorität
DE60130978T2 (de) Mobilfunk-kommunikationssystem
DE102020113257A1 (de) Policy management system zur bereitstellung von autorisierungsinformationen über den distributed data store

Legal Events

Date Code Title Description
R081 Change of applicant/patentee

Owner name: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP, SPR, US

Free format text: FORMER OWNER: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP, HOUSTON, TEX., US

R082 Change of representative

Representative=s name: FLEUCHAUS & GALLO PARTNERSCHAFT MBB - PATENT- , DE

Representative=s name: FLEUCHAUS & GALLO PARTNERSCHAFT MBB PATENTANWA, DE

R012 Request for examination validly filed