-
Technisches Gebiet
-
Ausgestaltungen
der vorliegenden Erfindung betreffen die drahtlose Kommunikation.
Einige Ausgestaltungen der vorliegenden Erfindung betreffen das
Austauschen von Sicherheitsparametern, die verwendet werden können, um
Verwaltungs-Datenübertragungsblöcke, die
zwischen drahtlosen Knoten ausgetauscht werden, zu schützen.
-
Hintergrund
-
Die
Verwendung drahtloser Netzwerke wächst weiterhin mit großer Geschwindigkeit.
Drahtlose Netzwerke sind aus einer Vielzahl von Gründen attraktiv.
Sie sind praktisch, sie erlauben Flexibilität und Roaming und können dynamische
Umgebungen unterstützen.
Weiterhin sind sie verglichen mit ihren verdrahteten Gegenstücken relativ
leicht zu installieren. In einigen Fällen, z. B., in älteren Gebäuden, können sie
billiger einzurichten sein. Ein gesamtes Netzwerk kann eher in einigen
Stunden als in Tagen zusammengestellt werden ohne Bedarf zum Verdrahten
oder erneutem Verdrahten. In einigen Szenarios können drahtlose Netzwerke günstiger
zu erstehen sein als deren verdrahtete Gegenstücke ungeachtet der günstigeren
Kosten von verdrahteten LAN Karten.
-
Obgleich
die derzeitigen drahtlosen Netzwerke Vorteile haben, begegnen sie
Sicherheitsbedenken. Da keine physikalische Verbindung benötigt wird,
kann jeder Dritte mit einer kompatiblen drahtlosen Netzwerkschnittstelle
drahtlose Datenpakete untersuchen, ungeachtet, ob diese Datenpakete
für deren
System gedacht sind oder nicht. Während Standards zum Verschlüsseln von
Datenübertragungsblöcken, die über drahtlose
Netzwerke gesendet werden, eingerichtet worden sind, gilt dieses
nicht für Verwaltungs-Datenübertragungsblöcke. Daher
sind drahtlose Netzwerke weiterhin offen für Angriffe, die entweder die
drahtlose Sitzung von anderen Benutzern unterbrechen oder den Sicherheitsstatus
von anderen Sitzungen herabsetzen. Zusätzlich öffnet der Mangel an Schutz
für Verwaltungs-Datenübertragungsblöcke drahtlose
Netzwerkbenutzer für „man in the
middle" Angriffe,
in denen ein Angreifer Nachrichten zwischen zwei Parteien lesen,
einsetzen und verändern
kann, ohne dass eine Partei weiß,
dass die drahtlose Verbindung zwischen diesen bloßgestellt wurde.
-
Kurze Beschreibung der Zeichnungen
-
1A zeigt
ein beispielhaftes drahtloses Netzwerk in Übereinstimmung mit einigen
Ausgestaltungen der vorliegenden Erfindung;
-
1B zeigt
weitere Details von Netzwerkgeräten
nach einigen Ausgestaltungen der vorliegenden Erfindung;
-
2 ist
ein Flussdiagramm einer Verwaltungs-Datenübertragungsblockschutzaustauschprozedur
in Übereinstimmung
mit einigen Ausgestaltungen der vorliegenden Erfindung;
-
3A und 3B stellen
Nachrichtensequenzen für
Verwaltungs-Datenübertragungsblockschutzaustauschprozeduren
in Übereinstimmung
mit einigen Ausgestaltungen der Erfindung dar;
-
4A und 4B sind
Blockdiagramme von Verwaltungs-Datenübertragungsblöcken in Übereinstimmung
mit einigen Ausgestaltungen der Erfindung; und
-
5A und 5B sind
Blockdiagramme von Verwaltungs-Schutzinformationselementen
in Übereinstimmung
mit einigen Ausgestaltungen der Erfindung.
-
Detaillierte Beschreibung
-
Die
folgende Beschreibung und die Zeichnungen stellen besondere Ausgestaltungen
der Erfindung dar, die den Fachmann ausreichend in die Lage zu setzen,
diese auszuführen.
Andere Ausgestaltungen können
logische, elektrische, verfahrenstechnische und andere Änderungen
beinhalten. Beispiele exemplifizieren lediglich mögliche Variationen. Individuelle
Komponenten und Funktionen sind optional, es sei denn sie sind ausdrücklich erfordert
und die Abfolge von Operationen kann variieren. Teilbereiche und
Merkmale von einigen Ausgestaltungen können beinhaltet oder durch
diejenigen anderer ersetzt sein. Ausgestaltungen der Erfindung,
die in den Ansprüchen
angegeben sind, umfassen alle verfügbaren Äquivalente dieser Ansprüche. Ausgestaltungen
der Erfindung können
hierin, individuell oder gemeinsam, durch den Ausdruck „Erfindung" lediglich aus Zweckmäßigkeit
bezeichnet sein und ohne zu beabsichtigen, den Schutzumfang dieser
Anmeldung auf eine einzelne Erfindung oder ein erfinderisches Konzept
einzuschränken,
wenn mehr als tatsächlich eins
offenbart ist.
-
In
den Figuren wird durchgehend dieselbe Bezugszahl verwendet, um eine
identische Komponente zu bezeichnen, die in mehreren Figuren erscheint.
Signale und Verbindungen können
durch dieselbe Bezugszahl oder Kennzeichen bezeichnet sein und die
jeweilige Bedeutung wird aus deren Verwendung im Kontext der Beschreibung
klar werden.
-
1 stellt Komponenten in einem beispielhaften
drahtlosen Netzwerk 100 in Übereinstimmung mit einigen
Ausgestaltungen der vorliegenden Erfindung dar. In einigen Ausgestaltungen
kann das Netzwerk 100 einen oder mehrere Zugriffspunkte 102 und eine
oder mehrere Stationen 106 aufweisen. Die Zugriffspunkte 102 bieten
den drahtlosen Stationen 106 Zugriff auf ein verdrahtetes
oder drahtloses Netzwerk 110. Das Netzwerk 110 kann
jede Art von Netzwerk sein, Beispiele sind, jedoch hierauf nicht
beschränkt, Local
Area Netzwerke, Wide Area Netzwerke oder ein Unternehmensintranet.
Ein Zugriffspunkt 102 kann ein standalone Zugriffspunkt
sein oder er kann als Bestandteil eines anderen Netzwerkgeräts beinhaltet
sein wie etwa einer Brücke,
einem Router oder einem Schalter. Um zuverlässig mit einem Zugriffspunkt 102 zu
kommunizieren, muss eine Station 106 innerhalb eines Kommunikationsbereichs 104 des Zugriffspunkts 102 sein.
-
Die
Station 106 kann jede Art von Vorrichtung sein, die drahtlos
mit anderen Geräten
kommunizieren kann. Allgemein können
solche Geräte
Personal Computer, Server Computer, Mainframe Computer Laptop Computer,
tragbare Handheld Computer, Set-Top Boxen, intelligente Vorrichtungen,
Personal Digital Assistants (PDAs), drahtlose Telefone, Web Tablets,
drahtlose Headsets, Pager, Instant Messaging Vorrichtungen, Digitalkameras,
digitale Audioempfänger,
Fernseher oder andere Vorrichtungen, die Informationen drahtlos
empfangen und/oder senden können
und Hybride der vorgenannten Geräte
sein.
-
In
einigen Ausgestaltungen kommunizieren die Stationen und Zugriffspunkte
mit einander unter Verwendung von Protokollen und Standards, die durch
das Institut of Electrical and Electronics Engineers (IEEE) für drahtlose
Kommunikation eingerichtet wurden. Beispielsweise sind einige Ausgestaltungen
mit dem IEEE 802.11 Standard, dem IEEE std. 802.11-1999, 1999 veröffentlicht
und spätere
Versionen (im Folgenden „IEEE
802.11 Standard" genannt) für drahtloses
LAN (WLAN) konform. Jedoch können die
Systeme und Verfahren, die hier beschrieben sind, auf andere Arten
von drahtlosen Netzwerken angewendet werden. Beispiele solcher Netzwerke sind
IEEE 802.16 drahtlose Wide Area Netzwerke (Wireless Wide Area Networks;
WWANs) und verdrahtete Netzwerke wie IEEE 802.3 Ethernet Local Area
Netzwerke (LANs).
-
In
einigen Ausgestaltungen können
die Zugriffspunkte als eine spezielle Art von einer Station angesehen
werden, wie durch das IEEE für
drahtlose Kommunikation definiert. Einige Ausgestaltungen sind mit
dem IEEE 802.11 Standard konform. Jedoch können die Systeme und Verfahren,
die hier beschrieben sind, auf Kommunikation zwischen allen Arten
von IEEE 802.11 Stationen angewendet werden, einschließlich zwei
Stationen, eine Station und ein Zugriffspunkt oder zwei Zugriffspunkte.
-
Kommt
die Station 106 in den Bereich 104 des Zugriffspunkts 102,
beginnen die Station und der Zugriffspunkt üblicherweise eine Abfolge von
Nachrichten, die eingerichtet sind, eine Kommunikationssitzung zwischen
der Station 106 und dem Zugriffspunkt einzuleiten. In einigen
Ausgestaltungen ist die Station 106 eine tragbare oder
mobile Vorrichtung, die den Bereich eines Zugriffspunkts verlässt und
in den Bereich eines oder mehrerer anderer Zugriffspunkte eintritt.
i.e. eine Station 106 kann sich von einem Zugriffspunkt
zu einem anderen bewegen. In dem in 1 gezeigten
Beispiel hat die Station 106.2 den Bereich 104.1 des
Zugriffspunkts 102.1 verlassen und kommt in die Bereiche 104.2 und 104.3 der Zugriffspunkte 102.2 und 102.3.
In diesem Fall wird die Station 106.2 typischerweise einen
der Zugriffspunkte 102.2 oder 102.3 auswählen, um
den Zugriff auf Systeme über
das Netzwerk 110 fortzusetzen. Weitere Details zu den Verfahren
und Nachrichten, die in verschiedenen Ausgestaltungen verwendet werden,
um sicher eine Kommunikation mit einem Zugriffspunkt herzustellen
und sich zu einem anderen Zugriffspunkt zu bewegen, werden im Folgenden vorgehalten.
-
1B stellt
weitere Details von Komponenten dar, die in Netzwerkvorrichtungen
gemäß einiger Ausgestaltungen
der vorliegenden Erfindung beinhaltet sind. Die Komponenten, die
in 1B dargestellt sind, können in Netzwerkvorrichtungen
aufgenommen sein wie etwa drahtlosen Zugriffspunkten, drahtlosen
Stationen und drahtlosen Netzwerkschnittstellenkarten. In einigen
Ausgestaltungen beinhalten die Komponenten Upper Network Lagers 120,
Medienzugriff und Steuerung (Media Access and Control; MAC) 122,
eine physikalische Schicht (PHY) 124 und eine oder mehrere
Antennen 126.
-
In
einigen Ausgestaltungen beinhalten obere Netzwerkschichten eine
oder mehrere Protokollschichten, die oberhalb der MAC 122 Schicht
arbeiten. In einigen Ausgestaltungen kann die Schicht eine oder
mehrere Anwendungen, Präsentationen, Sitzungen,
Transport oder Netzwerkschichten aufweisen. Zusätzlich können die Schichten Protokolle wie
etwa das TCP/IP Protokoll (Transmission Control Protocol/Internet
Protocol) beinhalten.
-
MAC 122 arbeitet
zwischen den oberen Netzwerkschichten 120 und der physikalischen Schicht 124.
Netzwerkdaten, die von den oberen Netzwerkschichten 120 empfangen
werden, werden verarbeitet und an andere Netzwerkknoten mittels der
physikalischen Schicht 124 gesendet. Netzwerkdaten, die
von der physikalischen Schicht 124 empfangen werden, werden
verarbeitet und an die oberen Netzwerkschichten 120 zur
Verarbeitung gesendet.
-
In
einigen Ausgestaltungen kann die physikalische Schicht 124 RF
Kommunikation senden und/oder empfangen in Übereinstimmung mit besonderen
Kommunikationsstandards wie etwa den IEE Standard einschließlich IEEE
802.11(a), 802.11(b), 802.11(g/H) und/oder 802.11(n) Standards für drahtlose
Local Area Networks (Wireless Local Area Networks; WLANs) und/oder
den IEEE 802.11(s) und IEEE 802.11(e) Standards für drahtlose
Maschennetzwerke, obwohl die physikalische Schicht 124 ebenso
geeignet sein kann, Kommunikation in Übereinstimmung mit anderen
Techniken zu senden und/oder zu empfangen.
-
Antennen 126 können eine
oder mehrere direktionale oder omnidirektionale Antennen sein, einschließlich, beispielsweise,
Dipolantennen, Monopolantennen, Patchantennen, Loopantennen, Microstripantennen
oder andere Arten von Antennen, die zur Aufnahme und/oder Übertragung
von RF Signalen durch die physikalische Schicht 124 geeignet
sind.
-
In
einigen Ausgestaltungen sind MAC 122, die physikalische
Schicht 124 und die Antenne 126 in einer Netzwerkschnittstellenkarte
(Network Interface Card; NIC) 128 aufgenommen. NIC 128 kann
eine Komponente eines Computersystems sein und stattet das Computersystem
mit drahtlosen Netzwerkeigenschaften aus.
-
Die
folgende Beschreibung bezieht sich auf Verwaltungs-Datenübertragungsblöcke. Zum
Zweck dieser Beschreibung beinhaltet ein Verwaltungs-Datenübertragungsblock
jeden Datenübertragungsblock,
der nicht das Kommunizieren von Datenübertragungsblöcken betrifft.
Verwaltungs-Datenübertragungsblöcke schließen daher
verbindungsherstellungsbezogene Datenübertragungsblöcke und
Verbindungsaufrechterhaltungs-Datenübertragungsblöcke ein.
Beispiele von Verwaltungs-Datenübertragungsblöcken beinhalten
die Verwaltungs-Datenübertragungsblöcke, die
im IEEE 802.11 Standard definiert sind und kann auch Aktions-Datenübertragungsblöcke beinhalten,
wie in dem IEEE 802.11(e), 802.11(h), 802.11(k) und 802.11(v) Änderungen
am IEEE 802.11 Standard definiert sind. Weiter werden die Fachleute
anerkennen, dass Verwaltungs-Datenübertragungsblöcke später entwickelte
Verwaltungs- und Aktions-Datenübertragungsblöcke beinhalten können.
-
2 ist
ein Flussdiagramm eines Verwaltungs-Datenübertragungsblockschutzaustauschverfahrens
in Übereinstimmung
mit einigen Ausgestaltungen der vorliegenden Erfindung. Das Verfahren beginnt
mit Übertragen
eines ersten Verwaltungs-Datenübertragungsblocks,
der Daten beinhaltet, die einen Satz von Verwaltungs-Datenübertragungsblocktypen
anzeigen, die der Sender schützen
möchte (Block 202). Üblicherweise
wird der erste Verwaltungs-Datenübertragungsblock
einen Signalverwaltungs-Datenübertragungsblock
oder einen Sondenantwort-Verwaltungs-Datenübertragungsblock umfassen,
der von einem Zugriffspunkt ausgegeben wurde. Daher mag ein Zugriffspunkt
die Verfügbarkeit von
Verwaltungs-Datenübertragungsblockschutz
in einem Signal-Datenübertragungsblock
oder einem Sondenantwort-Datenübertragungsblock
anzeigen. Jedoch ist keine Ausgestaltung der Erfindung auf einen
bestimmten Typ vom ersten Verwaltungs-Datenübertragungsblock begrenzt.
In alternativen Ausgestaltungen kann der erste Verwaltungs-Datenübertragungsblock
ein Assoziierungs-Datenübertragungsblock,
ein Assoziierungsantwort-Datenübertragungsblock,
ein Reassoziierungs-Datenübertragungsblock,
ein Reassoziierungsantwort-Datenübertragungsblock
oder eine Sicherheit Handshake Nachricht sein wie etwa ein EAPOL
(Extensible Authentiction Protocol Over LANs) Nachrichten-Datenübertragungsblock.
In einigen Ausgestaltungen sind die Daten, die den Ersatz von Verwaltungs-Datenübertragungsblocktypen
anzeigen, in einem Verwaltungsschutzinformationselement beinhaltet,
das in größerem Detail
im Folgenden beschrieben ist.
-
Als
Nächstes
wird ein zweiter Verwaltungs-Datenübertragungsblock empfangen,
der Daten aufweist, die einen zweiten Satz von Verwaltungsdaten-Übertragungsblöcken anzeigt,
die der Absender der Nachricht zu schützen wünscht (Block 204).
In einigen Ausgestaltungen kann der zweite Verwaltungs-Datenübertragungsblock
ein Assoziierungsanfrage-Datenübertragungsblock
sein. In alternativen Ausgestaltungen mag der zweite Verwaltungs-Datenübertragungsblock
ein Assoziierungsantwort-Datenübertragungsblock,
ein Reassoziierungs-Datenübertragungsblock,
ein Reassoziierungsantwort-Datenübertragungsblock
oder eine Sicherheits-Handshake-Nachricht sein, wie etwa ein EAPOL
Nachrichten-Datenübertragungsblock.
In einigen Ausgestaltungen sind die Daten, die den Satz von Verwaltungs-Datenübertragungsblocktypen
anzeigen, in einem Verwaltungsschutzinformationselement beinhaltet,
das im Folgenden im größeren Detail
beschrieben ist.
-
Als
Nächstes
wird ein Vergleich zwischen den Verwaltungs-Datenübertragungsblöcken in
den ersten und zweiten Verwaltungs-Datenübertragungsblöcken vorgenommen,
um diejenigen Datenübertragungsblöcke zu bestimmen,
die ein geschützter
Satz von Verwaltungs-Datenübertragungsblöcken gemeinsam
für beide
Kommunikationssysteme sind (Block 206). Darauffolgende
Instanzen von Verwaltungs-Datenübertragungsblöcke innerhalb
des geschützten
Satzes von Verwaltungs-Datenübertragungsblöcken werden
unter Verwendung eines gegenseitig akzeptablen Schutzmechanismus
geschützt
(Block 208). In einigen Ausgestaltungen sind die Sicherungsmechanismen,
die verwendet werden können,
im ersten und zweiten Datenübertragungsblock
enthalten. Ein Sicherungsmechanismus, der sowohl dem ersten als
auch dem zweiten Verwaltungs-Datenübertragungsblock gemeinsam
ist, kann zur Verwendung beim Schützen darauffolgender Verwaltungs-Datenübertragungsblöcke verwendet
werden.
-
In
einigen Ausgestaltungen sind die Verwaltungs-Datenübertragungsblöcke, die
schätzbar
sind, Disassoziierungs-Datenübertragungsblöcke, Deauthentifizierungs-Datenübertragungsblöcke, QoS (Quality
of Service) Aktions-Datenübertragungsblöcke, Funkmessaktions-Datenübertragungsblöcke, Funkspektrumsmessaktions-Datenübertragungsblöcke und
drahtlose Netzwerkverwaltungsaktions-Datenübertragungsblöcke. Jedoch
sind andere Typen von Verwaltungs-Datenübertragungsblöcke schätzbar und
keine Ausgestaltung ist auf einen besonderen Satz von schätzbaren
Verwaltungs-Datenübertragungsblöcken beschränkt.
-
3A zeigt
eine Nachrichtenabfolge für Verwaltungs-Datenübertragungsblockschutzaustauschprozedurenübereinstimmung
mit einigen Ausgestaltungen der Erfindung. die Nachrichtenabfolge startet
mit dem Senden eines Signal-Datenübertragungsblocks
durch einen Zugriffspunkt (Nachricht 302). Ein Zugriffspunkt
sendet einen Signal-Datenübertragungsblock
periodisch, um seine Anwesenheit und seine Relaisinformation anzukündigen.
In einigen Ausgestaltungen beinhaltet der Signal-Datenübertragungsblock Daten, die
anzeigen, welchen Verwaltungs-Datenübertragungsblock der Zugriffspunkt zu
schützen
beabsichtigt. Beispielsweise kann der Signal-Datenübertragungsblock wie im Folgenden
in den 3A und 3B formatiert
sein, um ein Verwaltungsschutzinformationselement (MP-IE) wie in
den 5A oder 5B beschrieben
beinhalten.
-
Eine
Station sendet dann eine Sondenanfrage an einen Zugriffspunkt, mit
dem sie zu kommunizieren wünscht
(Nachricht 304). Eine Station sendet einen Sondenanfrage-Datenübertragungsblock, wenn
sie Information von einer anderen Station zu erhalten benötigt. Beispielsweise
würde eine
Station eine Sondenanfrage senden, um zu bestimmen, welche Zugriffspunkte
im Bereich sind.
-
Der
Zugriffspunkt sendet dann eine Sondenantwort (Nachricht 306).
Eine Sondenantwort bietet üblicherweise
Fähigkeitsinformation,
unterstützte Datenraten
etc. In einigen Ausgestaltungen wird die Sondenantwort ein MP-IE
enthalten.
-
Die
Station sendet dann eine Assoziierungsanfrage (Nachricht 308).
Eine Assoziierungsanfrage ermöglicht
den Zugriffspunkt Ressourcen für
und das Synchronisieren mit einer Station zu orten. In einigen Ausgestaltungen
kann die Assoziierungsanfrage ein MP-IE enthalten das anzeigt, welche Verwaltungs-Datenübertragungsblöcke die
Station zu schützen
wünscht.
-
Der
Zugriffspunkt sendet dann eine Assoziierungsantwort (Nachricht 310).
Die Assoziierungsantwort enthält
eine Annahme oder Ablehnungsmitteilung an die Station, die die Assoziierung
anfragt. In einigen Ausgestaltungen kann die Assoziierungsantwort
ein MP-IE enthalten,
das die Verwaltungsdatenübertragungsblöcke, die
der Zugriffspunkt schützen
will, anzeigt. Wenn der Zugriffspunkt die Station annimmt, enthält die Antwort
Information bezüglich der
Assoziierung, wie etwa Assoziierungs-ID und unterstützte Datenraten.
Ist der Ausgang der Assoziierung positiv kann die Station den Zugriffspunkt
nutzen um anderen Vorrichtungen und Systemen auf der Netzwerk 110 Seite
des Zugriffspunkts zu kommunizieren.
-
Der
Zugriffspunkt und die Station vervollständigen dann die EAP Authentifizierung
(312) und ein gemeinsames Geheimnis, PMK genannt, wird
eingerichtet. Die Station und der Zugriffspunkt beginnen dann ein
EAPOL Handshake umfassend den Nachrichten 314-320.
-
Die
Handshake Nachrichten können
dieselben MP-IEs enthalten, die in den vorherigen Verwaltungsnachrichten
vom STA und AP gesendet wurden, die die Verwaltungs-Datenübertragungsblöcke bestimmen,
die der Zugriffspunkt und die Station zu schützen überein gekommen sind. In einigen
Ausgestaltungen können
die Handshake Nachrichten wie unten in den 4A oder 4B beschrieben
formatiert sein um MP-IEs, wie in den 5A oder 5B beschrieben,
zu enthalten. Während
des Handshake Vorgangs leiten der Zugriffspunkt und die Station
einen Integritätsgeheimschlüssel zum
Schützen
eines Sicherheitsverwaltungs-Datenübertragungsblockschutzaustauschs
ab.
-
In
diesem Nachrichtenszenario können
die MP-IEs in den Handshake Nachrichten 314, 316, 318 und 320 integritätsgeschützt sein
als Ergebnis der Austauschsequenz mit einem vorherigen Zugriffspunkt
durch Ableiten eines Integritätsgeheimsnisschlüssels, der
nur der Station und dem neuen Zugriffspunkt bekannt ist. Die Handshake
Nachrichten benutzen diesen Integritätsgeheimnisschlüssel zum Sichern
der Inhalte der Handshake Nachrichten, einschließlich des MP-IE durch Ausführen eines
Nachrichtenintegritätschecks.
Dieser Mechanismus ist wünschenswert,
da er bösartige
Widersacher daran hindern kann Sicherheitsdowngrade, Replay, Man-In-The-Middle
und Fälschungsattacken
gegen das drahtlose Netzwerk zu starten. Sicherheitsdowngradeangriffe
zwingen die Stationen und die Zugriffspunkte schwächere Sicherheitsparameter
und Schlüssel
auszutauschen als diese normalerweise austauschen würden. Der
Mechanismus in einigen Ausgestaltungen ermöglicht den Stationen und den Zugriffspunkten
die stärksten
Sicherheitsparameter Algorithmen und Schlüssel auszutauschen und durchzusetzen,
die von den Stationen und Zugriffspunkten unterstützt werden.
-
3B stellt
eine Nachrichtenabfolge für Verwaltungs-Datenübertragungsblockschutzaustauschprozeduren
in Übereinstimmung
mit alternativen Ausgestaltungen der Erfindung dar. Die Nachrichtenabfolge,
die in 3B dargestellt ist, kann verwendet
werden in einem Fast Roaming oder Übergangsszenario, wenn sich
eine Station zwischen Zugriffspunkten bewegt. Die Nachrichtenabfolge
beginnt wie oben in 3A beschrieben, d. h., Zugriffspunkt
und Station tauschen Signal, Sondenanfrage und Sondenantwortnachrichten 302-306 aus.
-
Die
Station sendet dann eine Re-Assoziierungsanfragenachricht 340 zum
neuen Zugriffspunkt. Die Re-Assoziierungsanfrage kann ein MP-IE
enthalten, das anzeigt, welche Verwaltungsfelder die Station zu
schützen
wünscht.
Der neue Zugriffspunkt koordiniert dann das Weiterleiten der Daten-Datenübertragungsblöcke, die
noch im Datenpuffer des vorherigen Zugriffspunkts auf Übertragung
der Station warten.
-
Der
Zugriffspunkt sendet dann Re-Assoziierungsantwortnachricht 342.
Die Re-Assoziierungsantwortnachricht
kann ein MP-IE enthalten, das anzeigt, welche Verwaltungs-Datenübertragungsblöcke der
Zugriffspunkt schützen
kann. Ähnlich
dem Assoziierungsvorgang enthält
der Datenübertragungsblock
Information bezüglich
der Assoziierung, wie etwa Assoziierungs-ID und unterstützte Datenraten und
ein MP-IE.
-
In
diesem Nachrichtenszenario können MP-IEs
in den Re-Assoziierungsanfrage- und Antwortnachrichten 340 und 342 integritätsgeschützt sein
als ein Ergebnis der Austauschabfolge mit einem vorherigen Zugriffspunkt
durch Ableiten eines Integritätsgeheimnisschlüssels, der
nur der Station und dem neuen Zugriffspunkt bekannt ist. Der Inhalt der
Re-Assoziierungsanfrage und Re-Assoziierungsantwortnachrichten kann
gegen Widersacher durch Ausführen
eines Nachrichtenintegritätschecks
unter Verwendung des Integritätsgeheimnisschlüssels gesichert
werden. Dieser Mechanismus, der in einigen Ausgestaltungen verwendet
wird, kann bösartige
Widersacher daran hindern, Sicherheitsdowngrade, Replay, Man-In-The-Middle
und Fälschungsattacken gegen
das drahtlose Netzwerk zu starten. Sicherheitsdowngradeangriffe
zwingen die Stationen unter Zugriffspunkte schwächere Sicherheitsparameter und
Schlüssel
auszutauschen als diese normalerweise austauschen würden. Der
Mechanismus in dieser Ausgestaltung ermöglicht den Stationen und den
Zugriffspunkten die stärksten
Sicherheitsparameter, Algorithmen und Schlüssen auszutauschen und durchzusetzen,
die von den Stationen und Zugriffspunkten unterstützt werden.
-
Die
Station und der Zugriffspunkt beginnen dann den 4-Weg-EAPOL Handshake
Austausch in den Nachrichten 314-320 wie oben
beschrieben.
-
4A ist
ein Blockdiagramm, das die Hauptkomponenten eines Verwaltungsdatenübertragungsblocks 400 in Übereinstimmung
mit einigen Ausgestaltungen der Erfindung beschreibt. In einigen Ausgestaltungen
enthält
ein Verwaltungs-Datenübertragungsblock 400 führende existierende
Felder 402, modifizierte EAPOL Schlüsseldeskriptoren 404 und anhängende Felder 406.
Führende
existierende Felder 402 und anhängende existierende Felder 406 beinhalten
Felder und Informationselemente von Verwaltungs- und Aktionsdatenübertragungsblöcken, wie
derzeit in IEEE 802.11 Standard definiert.
-
Der
modifizierte EAPOL Schlüsseldeskriptor 404 weist
existierende EAPOL Felder 412, MIC Feld 414 und
Verwaltungsschutzinformationselement 416 auf. Existierende
EAPOL Felder 412 beinhalten Felder, wie derzeit im IEEE
802.11 Standard definiert. MIC (Message Integrity Code, ebenso bezeichnet
als Massage Authentication Code) Felder 414 beinhalten
einen erzeugten Codierungswert, wie im IEEE 802.11 Standard spezifiziert
und wird von Stationen und Zugriffspunkten verwendet, um die Integrität von Nachrichten
nachzuprüfen.
Die Existenz eines MIC zeigt an, dass die Nachricht durch einen
Sicherheitsschlüssel
integritätsgeschützt ist,
der nur der Station und dem Zugriffspunkt bekannt ist.
-
Das
Verwaltungsschutzinformationselement (MP-IE) 416 beinhaltet
eine Datenstruktur, die verwendet werden kann, um die Verwaltungs-Datenübertragungsblocktypen
zu spezifizieren, die geschützt
werden können
und den Typ von verwendetem Schutz. Weitere Details zum MP-IE 416 sind
in Bezug auf die 5A und 5B im
Folgenden bereitgehalten.
-
4B ist
ein Blockdiagramm, das die Hauptkomponenten eines Verwaltungs-Datenübertragungsblocks
in Übereinstimmung
mit alternativen Ausgestaltungen der Erfindung beschreibt. In einigen Ausgestaltungen
enthält
der Verwaltungs-Datenübertragungsblock 420 führende existierende
Felder 402 MP-IE 416 und EAPOL Schlüsseldeskriptor 422. Wie
oben genannt enthalten führende
existierende Felder 402 und folgende existierende Felder 406 Felder
und Informationselemente von Verwaltungs- und Aktionsdatenübertragungsblöcken, wie
derzeit im IEEE 802.11 Standard definiert. Zusätzlich enthält der EAPOL Schlüsseldeskriptor 422 einen
EAPOL Deskriptor wie derzeit durch den IEEE 802.11 Standard definiert.
MP-E 416 umfasst eine Datenstruktur, die verwendet werden kann,
um die Verwaltungs-Datenübertragungsblocktypen
zu spezifizieren, die geschützt
werden können
und den Typ des verwendeten Schutzes. Weitere Details zu MP-IEE 416 werden im
Folgenden mit Bezug auf die 5A und 5B bereitgehalten.
-
Wie
dem Obigen entnommen werden kann, können MP-IE 416 in
ein existierendes Feld eines Verwaltungs-Datenübertragungsblocks eingebettet sein,
z. B., ein EAPOL Feld, oder kann als zusätzliches Feld zu einem Datenübertragungsblock
zugefügt
sein.
-
5A ist
ein Blockdiagramm eines Verwaltungsschutzinformationselements 416 in Übereinstimmung
mit Ausgestaltungen der Erfindung. In einigen Ausgestaltungen enthält MP-IE 416 eine
Element ID 502, ein Längenfeld 504,
ein Versionsfeld 506, Group Cipher Suite Zähler 508,
Group Chipher Suite List 510, Pairwise Cipher Suite Zähler 512, Pairwise
Cipher Suite Liste 514, Verwaltungsschutztauglichkeitsfeld 516,
Verwaltungs-Datenübertragungsblockzähler 518 und
Verwaltungs-Datenübertragungsblocksubtypliste 520.
Die Element ID 502 ist ein Wert, der zugeordnet ist, um
anzuzeigen, dass die Datenstruktur ein MP-IE ist. Das Langenfeld 504 spezifiziert
die Größe der MP-IE
Datenstruktur. Das Versionsfeld 506 spezifiziert eine Version
für die MP-IE
Datenstruktur und zeigt die derzeit unterstützte Version des Protokolls
an, die zum Schutz der Verwaltungs-Datenübertragungsblöcke eingerichtet
ist.
-
Group
Cipher Suite Zähler 508 stellt
die Zahl von Group Cipher Suites in Group Cipher Suite Liste 510 bereit.
Die Group Cipher Liste 510 beinhaltet eine Liste von einem
oder mehreren Cipher Suites zum Bereitstellen von Schutz für Übertragung
und Multiübertragungs-Verwaltungs-Datenübertragungsblöcken zwischen
der Station und dem Zugriffspunkt. Die Station und der Zugriffspunkt
können
die Liste zum Austauschen einer der Cipher Suites nutzen, die sowohl
die Station als auch der Zugriffspunkt unterstützen. In einigen Ausgestaltungen
wird die ausgewählte
Cipher Suite einen bestimmten Integritäts- und/oder Vertraulichkeitsschlüssel nutzen,
der abgeleitet ist, um für
Integrität
und/oder Vertraulichkeitsschutz für Broadcast/Multicast-Übertragungsblöcke bereitzustellen.
-
Pairwise
Cipher Suite Zähler 512 stellt
einen Zähler
der Anzahl von Cipher Suites in der Pairwise Cipher Suite Liste 514 bereit.
Die Pairwise Cipher Suite Liste 514 umfasst eine Liste einer
oder mehrerer Cipher Suites zum Ausführen von Integritäts- und/oder
Vertraulichkeitsschutzberechnungen für alle Minicast Verwaltungs-Datenübertragungsblöcke zwischen
einer Station und einem Zugriffspunkt. In einigen Ausgestaltungen
können
die Station und der Zugriffspunkt eine der Cipher Suites austauschen, die
beide unterstützen.
Die ausgetauschte Pairwise Cipher Suite kann als ein bestimmter
Integritäts- und/oder
Vertraulichkeitsschlüssel
verwendet werden, der abgeleitet ist, um Integritäts- und/oder
Vertraulichkeitsschutz für
Unicast-Datenübertragungsblöcke bereitzustellen.
-
Die
Group Cipher Suites und Pairwise Cipher Suites können jeden Typ von kryptographischen
Algorithmus umfassen. Einigen Ausgestaltungen können eine oder mehrere der
folgenden kryptographischen Algorithmen als Cipher Suites verwendet
werden: AES, einschließlich
AES-OMAC, HMAC oder Hash verwendende Algorithmen SHA-256, SHA-512, TKIP,
und/oder CCMP. Andere kryptographische Verfahren, die jetzt bekannt
sind oder später
entwickelt werden, können
auch in den Group oder Pairwise Cipher Suites enthalten sein.
-
Verwaltungs-Schutztauglichkeitsfeld 516 zeigt
Sicherheitsparameter an, die zwischen einer Station und einem Zugriffspunkt
ausgetauscht werden können.
In einigen Ausgestaltungen umfasst die Datenstruktur eine Bitmaske
mit individuellen Bits oder Gruppen von Bits, die anzeigen, welche
Parameter ausgetauscht werden können.
In einigen Ausgestaltungen enthalten die ausgetauschten Parameter,
ob oder ob nicht Schutz von Verwaltungs-Datenübertragungsblöcken aktiviert
ist, Unterstützung
für IEEE
802.11i Schlüsselhierarchie
und Unterstützung für IEEE 802.11r
Schlüsselhierarchie.
Andere Parameter können
in der Datenstruktur wie benötigt
oder später
entwickelt enthalten sein.
-
Verwaltungs-Datenübertragungsblockzähler 518 stellt
einen Zähler
der Anzahl von Subtypen in der Verwaltungs-Datenübertragungsblocksubtypliste 520 bereit.
Verwaltungs-Datenübertragungsblocksubtypliste 520 listet
die Subtypen der Verwaltungs-Datenübertragungsblöcke, die
zwischen einer Station und einem Zugriffspunkt ausgetauscht werden
können.
Dieses ermöglicht
dem Netzwerkadministrator Sicherheitsrichtlinien für besondere
drahtlose Netzwerke durchzuführen.
In einigen Ausgestaltungen listet ein Zugriffspunkt all die Verwaltungs-Datenübertragungsblocksubtypen
in seinem MP-IE 416, die zum Schutz im Netzwerk unterstützt werden.
Eine Station, die Verwaltungs-Datenübertragungsblockschutz
unterstützt,
antwortet mit seinem eigenen MP-IE, das eine Liste von Verwaltungs-Datenübertragungsblocksubtypen
enthält.
Die Station verwendet die Felder, die oben beschrieben wurden, um eine
Liste von Verwaltungs-Datenübertragungsblocksubtypen
auszuwählen,
die die Station zum Schutz unterstützt, eine der angebotenen Group
Key Cipher Suites und eine der angegebenen Pairwise Key Cipher Suites.
-
5B ist
ein Blockdiagramm eines Verwaltungs-Schutzinformationselements 416 in Übereinstimmung
mit alternativen Ausgestaltungen der Erfindung. In einigen alternativen
Ausgestaltungen enthält MP-IE 416 die
Element ID 502, das Langenfeld 504, das Versionsfeld 506,
Group Cipher Suite Zähler 508, Group
Cipher Suite Liste 510, Pairwise Cipher Suite Zähler 512,
Pairwise Cipher Suit Liste 514, Verwaltungsschutztauglichkeitsfeld 516,
Verwaltungsschutzprofilzähler 530 und
Verwaltungsschutzprofilauswahlliste 532. Die Felder 502-516 sind
im Allgemeinen dieselben wie mit Bezug auf die 5A beschrieben.
-
Der
Verwaltungsschutzprofilzähler 530 stellt die
Anzahl von Profilen in der Verwaltungsschutzprofilliste 532 bereit.
Die Verwaltungsschutzprofilliste 532 beinhaltet eine Liste
von Verwaltungsschutzsprofilsekektoren, die die Verwaltungsschutzprofile identifizieren.
Ein Verwaltungsschutzprofilselektor kann ein Organization Unit Identifier
(OUI) gefolgt durch den Typ oder Wert oder eine Liste von Werten sein.
In dem Fall eines IEEE spezifizierten OUIs kann der OUI derselbe
sein wie im IEEE 802.11i spezifiziert.
-
Der
Verwaltungsschutzprofilwert/die Verwaltungsschutzprofilwerte, die
im MP-IE 416 enthalten sind, zeigen eine Gruppierung der
Verwaltungs-Datenübertragungsblocksubtypen
an, die von der Station oder dem Zugriffspunkt unterstützt werden.
Jeder Verwaltungsschutzprofilwert oder Zahl ist mit einem Satz von
Verwaltungs-Datenübertragungsblöcken assoziiert,
die geschützt
werden können.
-
Der
Satz von Verwaltungs-Datenübertragungsblöcken, der
durch eine bestimmte Verwaltungsschutzprofilnummer geschützt ist,
kann unterschiedlich spezifiziert sein, einschließlich einer Änderung
am IEEE 802.11 Standard oder das Profil kann anbieterspezifisch
sein, wobei jeder Anbieter unterschiedliche Werte hat. Wenn eine
Verwaltungsschutzprofilnummer durch eine 802.11 Änderung spezifiziert ist, kann
die Profilnummer all diejenigen Verwaltungs-Datenübertragungsblöcke beinhalten, die
von früheren
Verwaltungsschutzprofilnummern, spezifiziert durch das IEEE, geschützt sind.
-
Zusätzlich können Anbieter
ihre eigenen OUIs zum Anzeigen anbieterspezifischer Subsätze von
Verwaltungs-Datenübertragungsblöcken, die
sie unterstützen, überzeugen.
-
Zusätzlich können Netzwerke
Operatoren und Unternehmen ihre eigenen OUIs zum Anzeigen der spezifischen
Subsätze
von Verwaltungs-Datenübertragungsblöcken erzeugen,
die aktiviert und von deren drahtlosen Netzwerken unterstützt werden.
-
Wenn
nicht anderweitig speziell genannt können sich Ausdrücke, wie
etwa Prozessieren, Berechnen, Ausrechnen, Bestimmen, Anzeigen oder Ähnliches
auf eine Aktion und/oder einen Vorgang von einem oder mehreren Verarbeitungs-
oder Computersystemen oder ähnlichen
Vorrichtungen beziehen, die Daten, die als physikalische (z. B.,
elektronische) Größen repräsentiert
sind, innerhalb eines Registers oder Speichers eines Verarbeitungssystems in
andere Daten, ähnlich
als physikalische Größen innerhalb
der Register oder Speicher des Verarbeitungssystems repräsentiert,
oder anderer solcher Informationsspeicher, Übertragungs- oder Anzeigevorrichtungen,
manipulieren und transformieren.
-
Ausgestaltungen
der Erfindung können
in einer oder in einer Kombination von Hardware, Firmware oder Software
ausgeführt
sein. Ausgestaltungen der Erfindung können auch als auf einem maschinenlesbaren
Medium gespeicherte Anweisungen ausgeführt sein, die durch wenigstens
einen Prozessor gelesen oder ausgeführt werden, um die hier beschriebenen
Handlungen auszuführen.
Einen maschinenlesbares Medium kann jeden Mechanismus zum Speichern
und Übertragen
von Information in einer Form, die von einer Maschine (z. B., einem
Computer) lesbar ist, enthalten. Beispielsweise kann ein maschinenlesbares
Medium ein Read-Only Memory (ROM) Random-Access Memory (RAM), ein
magnetisches Disk Speichermedium, ein optisches Speichermedium,
Flash-Speichervorrichtungen, elektrische, optische, akustische oder
andere Formen von sich ausbreitenden Signalen (z. B., Trägerwellen,
Infrarotsignale, digitale Signale, etc.) und andere sein.
-
Die
Zusammenfassung ist angegeben, um 37C.F.R. Sektion 1.72(b) zu erfüllen, die
eine Zusammenfassung erfordert, die es dem Leser ermöglicht, die
Natur und den Kern der technischen Offenbarung zu ermitteln. Diese
wird eingereicht mit dem Verständnis,
dass diese nicht verwendet wird, um den Schutzumfang oder die Bedeutung
der Ansprüche
zu beschränken
oder auszulegen.
-
In
der vorstehenden detaillierten Beschreibung sind verschiedene Merkmale
mitunter zusammen in einem einzigen Ausführungsbeispiel für den Zweck
der Straffung der Offenbarung gruppiert. Diese Offenbarungsmethode
soll nicht ausgelegt werden als die Absicht wiedergebend, dass die
beanspruchten Ausgestaltungen des Gegenstands mehr Merkmale erfordern
als ausdrücklich
in jedem Anspruch genannt. Vielmehr kann, wie die folgenden Ansprüche wiedergeben,
die Erfindung in weniger als allen Merkmalen eines einzelnen offenbarten
Ausführungsbeispiels
liegen. Daher werden die folgenden Ansprüche hiermit in die detaillierte
Beschreibung mit einbezogen, wobei jeder Anspruch selbst als einzelne
bevorzugte Ausgestaltung steht.
-
Systeme
und Verfahren stellen einen Mechanismus für drahtlose Stationen und Zugriffspunkte bereit,
um Sicherungsparameter zum Schützen
von Verwaltungs-Datenübertragungsblöcken auszutauschen.
Der Zugriffspunkt und die Station bestimmen, welche Verwaltungs-Datenübertragungsblöcke von ihnen
handhabbar sind und sie zu schützen
wünschen.
Daten, die geschützte
Datenübertragungsblöcke anzeigen,
werden dann zwischen der Station und dem Zugriffspunkt ausgetauscht,
um auszuwählen, welche
Verwaltungs-Datenübertragungsblöcke geschützt werden
müssen
und welcher Schutzmechanismus zum Schützen der Verwaltungs-Datenübertragungsblöcke verwendet
werden soll.