DE112006001219T5 - Systeme und Verfahren zum Austauschen von Sicherheitsparametern zum Schützen von Verwaltungs-Datenübertragungsblöcken in drahtlosen Netzwerken - Google Patents

Systeme und Verfahren zum Austauschen von Sicherheitsparametern zum Schützen von Verwaltungs-Datenübertragungsblöcken in drahtlosen Netzwerken Download PDF

Info

Publication number
DE112006001219T5
DE112006001219T5 DE112006001219T DE112006001219T DE112006001219T5 DE 112006001219 T5 DE112006001219 T5 DE 112006001219T5 DE 112006001219 T DE112006001219 T DE 112006001219T DE 112006001219 T DE112006001219 T DE 112006001219T DE 112006001219 T5 DE112006001219 T5 DE 112006001219T5
Authority
DE
Germany
Prior art keywords
frame
management frame
management
types
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE112006001219T
Other languages
English (en)
Inventor
Kapil Hillsboro Sood
Jesse Portland WALKER
Emily Portland Qi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE112006001219T5 publication Critical patent/DE112006001219T5/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

Verfahren mit den Schritten:
– Senden eines ersten Verwaltungs-Datenübertragungsblocks mit Daten, die einen ersten Satz von Verwaltungs-Datenübertragungsblocktypen anzeigen;
– Empfangen eines zweiten Verwaltungs-Datenübertragungsblocks mit Daten, die einen zweiten Satz von Verwaltungs-Datenübertragungsblocktypen anzeigen;
– Vergleichen des ersten Satzes von Verwaltungs-Datenübertragungsblocktypen mit dem zweiten Satz von Verwaltungs-Datenübertragungsblocktypen, um einen geschützten Satz von Verwaltungs-Datenübertragungsblocktypen zu bestimmen.

Description

  • Technisches Gebiet
  • Ausgestaltungen der vorliegenden Erfindung betreffen die drahtlose Kommunikation. Einige Ausgestaltungen der vorliegenden Erfindung betreffen das Austauschen von Sicherheitsparametern, die verwendet werden können, um Verwaltungs-Datenübertragungsblöcke, die zwischen drahtlosen Knoten ausgetauscht werden, zu schützen.
  • Hintergrund
  • Die Verwendung drahtloser Netzwerke wächst weiterhin mit großer Geschwindigkeit. Drahtlose Netzwerke sind aus einer Vielzahl von Gründen attraktiv. Sie sind praktisch, sie erlauben Flexibilität und Roaming und können dynamische Umgebungen unterstützen. Weiterhin sind sie verglichen mit ihren verdrahteten Gegenstücken relativ leicht zu installieren. In einigen Fällen, z. B., in älteren Gebäuden, können sie billiger einzurichten sein. Ein gesamtes Netzwerk kann eher in einigen Stunden als in Tagen zusammengestellt werden ohne Bedarf zum Verdrahten oder erneutem Verdrahten. In einigen Szenarios können drahtlose Netzwerke günstiger zu erstehen sein als deren verdrahtete Gegenstücke ungeachtet der günstigeren Kosten von verdrahteten LAN Karten.
  • Obgleich die derzeitigen drahtlosen Netzwerke Vorteile haben, begegnen sie Sicherheitsbedenken. Da keine physikalische Verbindung benötigt wird, kann jeder Dritte mit einer kompatiblen drahtlosen Netzwerkschnittstelle drahtlose Datenpakete untersuchen, ungeachtet, ob diese Datenpakete für deren System gedacht sind oder nicht. Während Standards zum Verschlüsseln von Datenübertragungsblöcken, die über drahtlose Netzwerke gesendet werden, eingerichtet worden sind, gilt dieses nicht für Verwaltungs-Datenübertragungsblöcke. Daher sind drahtlose Netzwerke weiterhin offen für Angriffe, die entweder die drahtlose Sitzung von anderen Benutzern unterbrechen oder den Sicherheitsstatus von anderen Sitzungen herabsetzen. Zusätzlich öffnet der Mangel an Schutz für Verwaltungs-Datenübertragungsblöcke drahtlose Netzwerkbenutzer für „man in the middle" Angriffe, in denen ein Angreifer Nachrichten zwischen zwei Parteien lesen, einsetzen und verändern kann, ohne dass eine Partei weiß, dass die drahtlose Verbindung zwischen diesen bloßgestellt wurde.
  • Kurze Beschreibung der Zeichnungen
  • 1A zeigt ein beispielhaftes drahtloses Netzwerk in Übereinstimmung mit einigen Ausgestaltungen der vorliegenden Erfindung;
  • 1B zeigt weitere Details von Netzwerkgeräten nach einigen Ausgestaltungen der vorliegenden Erfindung;
  • 2 ist ein Flussdiagramm einer Verwaltungs-Datenübertragungsblockschutzaustauschprozedur in Übereinstimmung mit einigen Ausgestaltungen der vorliegenden Erfindung;
  • 3A und 3B stellen Nachrichtensequenzen für Verwaltungs-Datenübertragungsblockschutzaustauschprozeduren in Übereinstimmung mit einigen Ausgestaltungen der Erfindung dar;
  • 4A und 4B sind Blockdiagramme von Verwaltungs-Datenübertragungsblöcken in Übereinstimmung mit einigen Ausgestaltungen der Erfindung; und
  • 5A und 5B sind Blockdiagramme von Verwaltungs-Schutzinformationselementen in Übereinstimmung mit einigen Ausgestaltungen der Erfindung.
  • Detaillierte Beschreibung
  • Die folgende Beschreibung und die Zeichnungen stellen besondere Ausgestaltungen der Erfindung dar, die den Fachmann ausreichend in die Lage zu setzen, diese auszuführen. Andere Ausgestaltungen können logische, elektrische, verfahrenstechnische und andere Änderungen beinhalten. Beispiele exemplifizieren lediglich mögliche Variationen. Individuelle Komponenten und Funktionen sind optional, es sei denn sie sind ausdrücklich erfordert und die Abfolge von Operationen kann variieren. Teilbereiche und Merkmale von einigen Ausgestaltungen können beinhaltet oder durch diejenigen anderer ersetzt sein. Ausgestaltungen der Erfindung, die in den Ansprüchen angegeben sind, umfassen alle verfügbaren Äquivalente dieser Ansprüche. Ausgestaltungen der Erfindung können hierin, individuell oder gemeinsam, durch den Ausdruck „Erfindung" lediglich aus Zweckmäßigkeit bezeichnet sein und ohne zu beabsichtigen, den Schutzumfang dieser Anmeldung auf eine einzelne Erfindung oder ein erfinderisches Konzept einzuschränken, wenn mehr als tatsächlich eins offenbart ist.
  • In den Figuren wird durchgehend dieselbe Bezugszahl verwendet, um eine identische Komponente zu bezeichnen, die in mehreren Figuren erscheint. Signale und Verbindungen können durch dieselbe Bezugszahl oder Kennzeichen bezeichnet sein und die jeweilige Bedeutung wird aus deren Verwendung im Kontext der Beschreibung klar werden.
  • 1 stellt Komponenten in einem beispielhaften drahtlosen Netzwerk 100 in Übereinstimmung mit einigen Ausgestaltungen der vorliegenden Erfindung dar. In einigen Ausgestaltungen kann das Netzwerk 100 einen oder mehrere Zugriffspunkte 102 und eine oder mehrere Stationen 106 aufweisen. Die Zugriffspunkte 102 bieten den drahtlosen Stationen 106 Zugriff auf ein verdrahtetes oder drahtloses Netzwerk 110. Das Netzwerk 110 kann jede Art von Netzwerk sein, Beispiele sind, jedoch hierauf nicht beschränkt, Local Area Netzwerke, Wide Area Netzwerke oder ein Unternehmensintranet. Ein Zugriffspunkt 102 kann ein standalone Zugriffspunkt sein oder er kann als Bestandteil eines anderen Netzwerkgeräts beinhaltet sein wie etwa einer Brücke, einem Router oder einem Schalter. Um zuverlässig mit einem Zugriffspunkt 102 zu kommunizieren, muss eine Station 106 innerhalb eines Kommunikationsbereichs 104 des Zugriffspunkts 102 sein.
  • Die Station 106 kann jede Art von Vorrichtung sein, die drahtlos mit anderen Geräten kommunizieren kann. Allgemein können solche Geräte Personal Computer, Server Computer, Mainframe Computer Laptop Computer, tragbare Handheld Computer, Set-Top Boxen, intelligente Vorrichtungen, Personal Digital Assistants (PDAs), drahtlose Telefone, Web Tablets, drahtlose Headsets, Pager, Instant Messaging Vorrichtungen, Digitalkameras, digitale Audioempfänger, Fernseher oder andere Vorrichtungen, die Informationen drahtlos empfangen und/oder senden können und Hybride der vorgenannten Geräte sein.
  • In einigen Ausgestaltungen kommunizieren die Stationen und Zugriffspunkte mit einander unter Verwendung von Protokollen und Standards, die durch das Institut of Electrical and Electronics Engineers (IEEE) für drahtlose Kommunikation eingerichtet wurden. Beispielsweise sind einige Ausgestaltungen mit dem IEEE 802.11 Standard, dem IEEE std. 802.11-1999, 1999 veröffentlicht und spätere Versionen (im Folgenden „IEEE 802.11 Standard" genannt) für drahtloses LAN (WLAN) konform. Jedoch können die Systeme und Verfahren, die hier beschrieben sind, auf andere Arten von drahtlosen Netzwerken angewendet werden. Beispiele solcher Netzwerke sind IEEE 802.16 drahtlose Wide Area Netzwerke (Wireless Wide Area Networks; WWANs) und verdrahtete Netzwerke wie IEEE 802.3 Ethernet Local Area Netzwerke (LANs).
  • In einigen Ausgestaltungen können die Zugriffspunkte als eine spezielle Art von einer Station angesehen werden, wie durch das IEEE für drahtlose Kommunikation definiert. Einige Ausgestaltungen sind mit dem IEEE 802.11 Standard konform. Jedoch können die Systeme und Verfahren, die hier beschrieben sind, auf Kommunikation zwischen allen Arten von IEEE 802.11 Stationen angewendet werden, einschließlich zwei Stationen, eine Station und ein Zugriffspunkt oder zwei Zugriffspunkte.
  • Kommt die Station 106 in den Bereich 104 des Zugriffspunkts 102, beginnen die Station und der Zugriffspunkt üblicherweise eine Abfolge von Nachrichten, die eingerichtet sind, eine Kommunikationssitzung zwischen der Station 106 und dem Zugriffspunkt einzuleiten. In einigen Ausgestaltungen ist die Station 106 eine tragbare oder mobile Vorrichtung, die den Bereich eines Zugriffspunkts verlässt und in den Bereich eines oder mehrerer anderer Zugriffspunkte eintritt. i.e. eine Station 106 kann sich von einem Zugriffspunkt zu einem anderen bewegen. In dem in 1 gezeigten Beispiel hat die Station 106.2 den Bereich 104.1 des Zugriffspunkts 102.1 verlassen und kommt in die Bereiche 104.2 und 104.3 der Zugriffspunkte 102.2 und 102.3. In diesem Fall wird die Station 106.2 typischerweise einen der Zugriffspunkte 102.2 oder 102.3 auswählen, um den Zugriff auf Systeme über das Netzwerk 110 fortzusetzen. Weitere Details zu den Verfahren und Nachrichten, die in verschiedenen Ausgestaltungen verwendet werden, um sicher eine Kommunikation mit einem Zugriffspunkt herzustellen und sich zu einem anderen Zugriffspunkt zu bewegen, werden im Folgenden vorgehalten.
  • 1B stellt weitere Details von Komponenten dar, die in Netzwerkvorrichtungen gemäß einiger Ausgestaltungen der vorliegenden Erfindung beinhaltet sind. Die Komponenten, die in 1B dargestellt sind, können in Netzwerkvorrichtungen aufgenommen sein wie etwa drahtlosen Zugriffspunkten, drahtlosen Stationen und drahtlosen Netzwerkschnittstellenkarten. In einigen Ausgestaltungen beinhalten die Komponenten Upper Network Lagers 120, Medienzugriff und Steuerung (Media Access and Control; MAC) 122, eine physikalische Schicht (PHY) 124 und eine oder mehrere Antennen 126.
  • In einigen Ausgestaltungen beinhalten obere Netzwerkschichten eine oder mehrere Protokollschichten, die oberhalb der MAC 122 Schicht arbeiten. In einigen Ausgestaltungen kann die Schicht eine oder mehrere Anwendungen, Präsentationen, Sitzungen, Transport oder Netzwerkschichten aufweisen. Zusätzlich können die Schichten Protokolle wie etwa das TCP/IP Protokoll (Transmission Control Protocol/Internet Protocol) beinhalten.
  • MAC 122 arbeitet zwischen den oberen Netzwerkschichten 120 und der physikalischen Schicht 124. Netzwerkdaten, die von den oberen Netzwerkschichten 120 empfangen werden, werden verarbeitet und an andere Netzwerkknoten mittels der physikalischen Schicht 124 gesendet. Netzwerkdaten, die von der physikalischen Schicht 124 empfangen werden, werden verarbeitet und an die oberen Netzwerkschichten 120 zur Verarbeitung gesendet.
  • In einigen Ausgestaltungen kann die physikalische Schicht 124 RF Kommunikation senden und/oder empfangen in Übereinstimmung mit besonderen Kommunikationsstandards wie etwa den IEE Standard einschließlich IEEE 802.11(a), 802.11(b), 802.11(g/H) und/oder 802.11(n) Standards für drahtlose Local Area Networks (Wireless Local Area Networks; WLANs) und/oder den IEEE 802.11(s) und IEEE 802.11(e) Standards für drahtlose Maschennetzwerke, obwohl die physikalische Schicht 124 ebenso geeignet sein kann, Kommunikation in Übereinstimmung mit anderen Techniken zu senden und/oder zu empfangen.
  • Antennen 126 können eine oder mehrere direktionale oder omnidirektionale Antennen sein, einschließlich, beispielsweise, Dipolantennen, Monopolantennen, Patchantennen, Loopantennen, Microstripantennen oder andere Arten von Antennen, die zur Aufnahme und/oder Übertragung von RF Signalen durch die physikalische Schicht 124 geeignet sind.
  • In einigen Ausgestaltungen sind MAC 122, die physikalische Schicht 124 und die Antenne 126 in einer Netzwerkschnittstellenkarte (Network Interface Card; NIC) 128 aufgenommen. NIC 128 kann eine Komponente eines Computersystems sein und stattet das Computersystem mit drahtlosen Netzwerkeigenschaften aus.
  • Die folgende Beschreibung bezieht sich auf Verwaltungs-Datenübertragungsblöcke. Zum Zweck dieser Beschreibung beinhaltet ein Verwaltungs-Datenübertragungsblock jeden Datenübertragungsblock, der nicht das Kommunizieren von Datenübertragungsblöcken betrifft. Verwaltungs-Datenübertragungsblöcke schließen daher verbindungsherstellungsbezogene Datenübertragungsblöcke und Verbindungsaufrechterhaltungs-Datenübertragungsblöcke ein. Beispiele von Verwaltungs-Datenübertragungsblöcken beinhalten die Verwaltungs-Datenübertragungsblöcke, die im IEEE 802.11 Standard definiert sind und kann auch Aktions-Datenübertragungsblöcke beinhalten, wie in dem IEEE 802.11(e), 802.11(h), 802.11(k) und 802.11(v) Änderungen am IEEE 802.11 Standard definiert sind. Weiter werden die Fachleute anerkennen, dass Verwaltungs-Datenübertragungsblöcke später entwickelte Verwaltungs- und Aktions-Datenübertragungsblöcke beinhalten können.
  • 2 ist ein Flussdiagramm eines Verwaltungs-Datenübertragungsblockschutzaustauschverfahrens in Übereinstimmung mit einigen Ausgestaltungen der vorliegenden Erfindung. Das Verfahren beginnt mit Übertragen eines ersten Verwaltungs-Datenübertragungsblocks, der Daten beinhaltet, die einen Satz von Verwaltungs-Datenübertragungsblocktypen anzeigen, die der Sender schützen möchte (Block 202). Üblicherweise wird der erste Verwaltungs-Datenübertragungsblock einen Signalverwaltungs-Datenübertragungsblock oder einen Sondenantwort-Verwaltungs-Datenübertragungsblock umfassen, der von einem Zugriffspunkt ausgegeben wurde. Daher mag ein Zugriffspunkt die Verfügbarkeit von Verwaltungs-Datenübertragungsblockschutz in einem Signal-Datenübertragungsblock oder einem Sondenantwort-Datenübertragungsblock anzeigen. Jedoch ist keine Ausgestaltung der Erfindung auf einen bestimmten Typ vom ersten Verwaltungs-Datenübertragungsblock begrenzt. In alternativen Ausgestaltungen kann der erste Verwaltungs-Datenübertragungsblock ein Assoziierungs-Datenübertragungsblock, ein Assoziierungsantwort-Datenübertragungsblock, ein Reassoziierungs-Datenübertragungsblock, ein Reassoziierungsantwort-Datenübertragungsblock oder eine Sicherheit Handshake Nachricht sein wie etwa ein EAPOL (Extensible Authentiction Protocol Over LANs) Nachrichten-Datenübertragungsblock. In einigen Ausgestaltungen sind die Daten, die den Ersatz von Verwaltungs-Datenübertragungsblocktypen anzeigen, in einem Verwaltungsschutzinformationselement beinhaltet, das in größerem Detail im Folgenden beschrieben ist.
  • Als Nächstes wird ein zweiter Verwaltungs-Datenübertragungsblock empfangen, der Daten aufweist, die einen zweiten Satz von Verwaltungsdaten-Übertragungsblöcken anzeigt, die der Absender der Nachricht zu schützen wünscht (Block 204). In einigen Ausgestaltungen kann der zweite Verwaltungs-Datenübertragungsblock ein Assoziierungsanfrage-Datenübertragungsblock sein. In alternativen Ausgestaltungen mag der zweite Verwaltungs-Datenübertragungsblock ein Assoziierungsantwort-Datenübertragungsblock, ein Reassoziierungs-Datenübertragungsblock, ein Reassoziierungsantwort-Datenübertragungsblock oder eine Sicherheits-Handshake-Nachricht sein, wie etwa ein EAPOL Nachrichten-Datenübertragungsblock. In einigen Ausgestaltungen sind die Daten, die den Satz von Verwaltungs-Datenübertragungsblocktypen anzeigen, in einem Verwaltungsschutzinformationselement beinhaltet, das im Folgenden im größeren Detail beschrieben ist.
  • Als Nächstes wird ein Vergleich zwischen den Verwaltungs-Datenübertragungsblöcken in den ersten und zweiten Verwaltungs-Datenübertragungsblöcken vorgenommen, um diejenigen Datenübertragungsblöcke zu bestimmen, die ein geschützter Satz von Verwaltungs-Datenübertragungsblöcken gemeinsam für beide Kommunikationssysteme sind (Block 206). Darauffolgende Instanzen von Verwaltungs-Datenübertragungsblöcke innerhalb des geschützten Satzes von Verwaltungs-Datenübertragungsblöcken werden unter Verwendung eines gegenseitig akzeptablen Schutzmechanismus geschützt (Block 208). In einigen Ausgestaltungen sind die Sicherungsmechanismen, die verwendet werden können, im ersten und zweiten Datenübertragungsblock enthalten. Ein Sicherungsmechanismus, der sowohl dem ersten als auch dem zweiten Verwaltungs-Datenübertragungsblock gemeinsam ist, kann zur Verwendung beim Schützen darauffolgender Verwaltungs-Datenübertragungsblöcke verwendet werden.
  • In einigen Ausgestaltungen sind die Verwaltungs-Datenübertragungsblöcke, die schätzbar sind, Disassoziierungs-Datenübertragungsblöcke, Deauthentifizierungs-Datenübertragungsblöcke, QoS (Quality of Service) Aktions-Datenübertragungsblöcke, Funkmessaktions-Datenübertragungsblöcke, Funkspektrumsmessaktions-Datenübertragungsblöcke und drahtlose Netzwerkverwaltungsaktions-Datenübertragungsblöcke. Jedoch sind andere Typen von Verwaltungs-Datenübertragungsblöcke schätzbar und keine Ausgestaltung ist auf einen besonderen Satz von schätzbaren Verwaltungs-Datenübertragungsblöcken beschränkt.
  • 3A zeigt eine Nachrichtenabfolge für Verwaltungs-Datenübertragungsblockschutzaustauschprozedurenübereinstimmung mit einigen Ausgestaltungen der Erfindung. die Nachrichtenabfolge startet mit dem Senden eines Signal-Datenübertragungsblocks durch einen Zugriffspunkt (Nachricht 302). Ein Zugriffspunkt sendet einen Signal-Datenübertragungsblock periodisch, um seine Anwesenheit und seine Relaisinformation anzukündigen. In einigen Ausgestaltungen beinhaltet der Signal-Datenübertragungsblock Daten, die anzeigen, welchen Verwaltungs-Datenübertragungsblock der Zugriffspunkt zu schützen beabsichtigt. Beispielsweise kann der Signal-Datenübertragungsblock wie im Folgenden in den 3A und 3B formatiert sein, um ein Verwaltungsschutzinformationselement (MP-IE) wie in den 5A oder 5B beschrieben beinhalten.
  • Eine Station sendet dann eine Sondenanfrage an einen Zugriffspunkt, mit dem sie zu kommunizieren wünscht (Nachricht 304). Eine Station sendet einen Sondenanfrage-Datenübertragungsblock, wenn sie Information von einer anderen Station zu erhalten benötigt. Beispielsweise würde eine Station eine Sondenanfrage senden, um zu bestimmen, welche Zugriffspunkte im Bereich sind.
  • Der Zugriffspunkt sendet dann eine Sondenantwort (Nachricht 306). Eine Sondenantwort bietet üblicherweise Fähigkeitsinformation, unterstützte Datenraten etc. In einigen Ausgestaltungen wird die Sondenantwort ein MP-IE enthalten.
  • Die Station sendet dann eine Assoziierungsanfrage (Nachricht 308). Eine Assoziierungsanfrage ermöglicht den Zugriffspunkt Ressourcen für und das Synchronisieren mit einer Station zu orten. In einigen Ausgestaltungen kann die Assoziierungsanfrage ein MP-IE enthalten das anzeigt, welche Verwaltungs-Datenübertragungsblöcke die Station zu schützen wünscht.
  • Der Zugriffspunkt sendet dann eine Assoziierungsantwort (Nachricht 310). Die Assoziierungsantwort enthält eine Annahme oder Ablehnungsmitteilung an die Station, die die Assoziierung anfragt. In einigen Ausgestaltungen kann die Assoziierungsantwort ein MP-IE enthalten, das die Verwaltungsdatenübertragungsblöcke, die der Zugriffspunkt schützen will, anzeigt. Wenn der Zugriffspunkt die Station annimmt, enthält die Antwort Information bezüglich der Assoziierung, wie etwa Assoziierungs-ID und unterstützte Datenraten. Ist der Ausgang der Assoziierung positiv kann die Station den Zugriffspunkt nutzen um anderen Vorrichtungen und Systemen auf der Netzwerk 110 Seite des Zugriffspunkts zu kommunizieren.
  • Der Zugriffspunkt und die Station vervollständigen dann die EAP Authentifizierung (312) und ein gemeinsames Geheimnis, PMK genannt, wird eingerichtet. Die Station und der Zugriffspunkt beginnen dann ein EAPOL Handshake umfassend den Nachrichten 314-320.
  • Die Handshake Nachrichten können dieselben MP-IEs enthalten, die in den vorherigen Verwaltungsnachrichten vom STA und AP gesendet wurden, die die Verwaltungs-Datenübertragungsblöcke bestimmen, die der Zugriffspunkt und die Station zu schützen überein gekommen sind. In einigen Ausgestaltungen können die Handshake Nachrichten wie unten in den 4A oder 4B beschrieben formatiert sein um MP-IEs, wie in den 5A oder 5B beschrieben, zu enthalten. Während des Handshake Vorgangs leiten der Zugriffspunkt und die Station einen Integritätsgeheimschlüssel zum Schützen eines Sicherheitsverwaltungs-Datenübertragungsblockschutzaustauschs ab.
  • In diesem Nachrichtenszenario können die MP-IEs in den Handshake Nachrichten 314, 316, 318 und 320 integritätsgeschützt sein als Ergebnis der Austauschsequenz mit einem vorherigen Zugriffspunkt durch Ableiten eines Integritätsgeheimsnisschlüssels, der nur der Station und dem neuen Zugriffspunkt bekannt ist. Die Handshake Nachrichten benutzen diesen Integritätsgeheimnisschlüssel zum Sichern der Inhalte der Handshake Nachrichten, einschließlich des MP-IE durch Ausführen eines Nachrichtenintegritätschecks. Dieser Mechanismus ist wünschenswert, da er bösartige Widersacher daran hindern kann Sicherheitsdowngrade, Replay, Man-In-The-Middle und Fälschungsattacken gegen das drahtlose Netzwerk zu starten. Sicherheitsdowngradeangriffe zwingen die Stationen und die Zugriffspunkte schwächere Sicherheitsparameter und Schlüssel auszutauschen als diese normalerweise austauschen würden. Der Mechanismus in einigen Ausgestaltungen ermöglicht den Stationen und den Zugriffspunkten die stärksten Sicherheitsparameter Algorithmen und Schlüssel auszutauschen und durchzusetzen, die von den Stationen und Zugriffspunkten unterstützt werden.
  • 3B stellt eine Nachrichtenabfolge für Verwaltungs-Datenübertragungsblockschutzaustauschprozeduren in Übereinstimmung mit alternativen Ausgestaltungen der Erfindung dar. Die Nachrichtenabfolge, die in 3B dargestellt ist, kann verwendet werden in einem Fast Roaming oder Übergangsszenario, wenn sich eine Station zwischen Zugriffspunkten bewegt. Die Nachrichtenabfolge beginnt wie oben in 3A beschrieben, d. h., Zugriffspunkt und Station tauschen Signal, Sondenanfrage und Sondenantwortnachrichten 302-306 aus.
  • Die Station sendet dann eine Re-Assoziierungsanfragenachricht 340 zum neuen Zugriffspunkt. Die Re-Assoziierungsanfrage kann ein MP-IE enthalten, das anzeigt, welche Verwaltungsfelder die Station zu schützen wünscht. Der neue Zugriffspunkt koordiniert dann das Weiterleiten der Daten-Datenübertragungsblöcke, die noch im Datenpuffer des vorherigen Zugriffspunkts auf Übertragung der Station warten.
  • Der Zugriffspunkt sendet dann Re-Assoziierungsantwortnachricht 342. Die Re-Assoziierungsantwortnachricht kann ein MP-IE enthalten, das anzeigt, welche Verwaltungs-Datenübertragungsblöcke der Zugriffspunkt schützen kann. Ähnlich dem Assoziierungsvorgang enthält der Datenübertragungsblock Information bezüglich der Assoziierung, wie etwa Assoziierungs-ID und unterstützte Datenraten und ein MP-IE.
  • In diesem Nachrichtenszenario können MP-IEs in den Re-Assoziierungsanfrage- und Antwortnachrichten 340 und 342 integritätsgeschützt sein als ein Ergebnis der Austauschabfolge mit einem vorherigen Zugriffspunkt durch Ableiten eines Integritätsgeheimnisschlüssels, der nur der Station und dem neuen Zugriffspunkt bekannt ist. Der Inhalt der Re-Assoziierungsanfrage und Re-Assoziierungsantwortnachrichten kann gegen Widersacher durch Ausführen eines Nachrichtenintegritätschecks unter Verwendung des Integritätsgeheimnisschlüssels gesichert werden. Dieser Mechanismus, der in einigen Ausgestaltungen verwendet wird, kann bösartige Widersacher daran hindern, Sicherheitsdowngrade, Replay, Man-In-The-Middle und Fälschungsattacken gegen das drahtlose Netzwerk zu starten. Sicherheitsdowngradeangriffe zwingen die Stationen unter Zugriffspunkte schwächere Sicherheitsparameter und Schlüssel auszutauschen als diese normalerweise austauschen würden. Der Mechanismus in dieser Ausgestaltung ermöglicht den Stationen und den Zugriffspunkten die stärksten Sicherheitsparameter, Algorithmen und Schlüssen auszutauschen und durchzusetzen, die von den Stationen und Zugriffspunkten unterstützt werden.
  • Die Station und der Zugriffspunkt beginnen dann den 4-Weg-EAPOL Handshake Austausch in den Nachrichten 314-320 wie oben beschrieben.
  • 4A ist ein Blockdiagramm, das die Hauptkomponenten eines Verwaltungsdatenübertragungsblocks 400 in Übereinstimmung mit einigen Ausgestaltungen der Erfindung beschreibt. In einigen Ausgestaltungen enthält ein Verwaltungs-Datenübertragungsblock 400 führende existierende Felder 402, modifizierte EAPOL Schlüsseldeskriptoren 404 und anhängende Felder 406. Führende existierende Felder 402 und anhängende existierende Felder 406 beinhalten Felder und Informationselemente von Verwaltungs- und Aktionsdatenübertragungsblöcken, wie derzeit in IEEE 802.11 Standard definiert.
  • Der modifizierte EAPOL Schlüsseldeskriptor 404 weist existierende EAPOL Felder 412, MIC Feld 414 und Verwaltungsschutzinformationselement 416 auf. Existierende EAPOL Felder 412 beinhalten Felder, wie derzeit im IEEE 802.11 Standard definiert. MIC (Message Integrity Code, ebenso bezeichnet als Massage Authentication Code) Felder 414 beinhalten einen erzeugten Codierungswert, wie im IEEE 802.11 Standard spezifiziert und wird von Stationen und Zugriffspunkten verwendet, um die Integrität von Nachrichten nachzuprüfen. Die Existenz eines MIC zeigt an, dass die Nachricht durch einen Sicherheitsschlüssel integritätsgeschützt ist, der nur der Station und dem Zugriffspunkt bekannt ist.
  • Das Verwaltungsschutzinformationselement (MP-IE) 416 beinhaltet eine Datenstruktur, die verwendet werden kann, um die Verwaltungs-Datenübertragungsblocktypen zu spezifizieren, die geschützt werden können und den Typ von verwendetem Schutz. Weitere Details zum MP-IE 416 sind in Bezug auf die 5A und 5B im Folgenden bereitgehalten.
  • 4B ist ein Blockdiagramm, das die Hauptkomponenten eines Verwaltungs-Datenübertragungsblocks in Übereinstimmung mit alternativen Ausgestaltungen der Erfindung beschreibt. In einigen Ausgestaltungen enthält der Verwaltungs-Datenübertragungsblock 420 führende existierende Felder 402 MP-IE 416 und EAPOL Schlüsseldeskriptor 422. Wie oben genannt enthalten führende existierende Felder 402 und folgende existierende Felder 406 Felder und Informationselemente von Verwaltungs- und Aktionsdatenübertragungsblöcken, wie derzeit im IEEE 802.11 Standard definiert. Zusätzlich enthält der EAPOL Schlüsseldeskriptor 422 einen EAPOL Deskriptor wie derzeit durch den IEEE 802.11 Standard definiert. MP-E 416 umfasst eine Datenstruktur, die verwendet werden kann, um die Verwaltungs-Datenübertragungsblocktypen zu spezifizieren, die geschützt werden können und den Typ des verwendeten Schutzes. Weitere Details zu MP-IEE 416 werden im Folgenden mit Bezug auf die 5A und 5B bereitgehalten.
  • Wie dem Obigen entnommen werden kann, können MP-IE 416 in ein existierendes Feld eines Verwaltungs-Datenübertragungsblocks eingebettet sein, z. B., ein EAPOL Feld, oder kann als zusätzliches Feld zu einem Datenübertragungsblock zugefügt sein.
  • 5A ist ein Blockdiagramm eines Verwaltungsschutzinformationselements 416 in Übereinstimmung mit Ausgestaltungen der Erfindung. In einigen Ausgestaltungen enthält MP-IE 416 eine Element ID 502, ein Längenfeld 504, ein Versionsfeld 506, Group Cipher Suite Zähler 508, Group Chipher Suite List 510, Pairwise Cipher Suite Zähler 512, Pairwise Cipher Suite Liste 514, Verwaltungsschutztauglichkeitsfeld 516, Verwaltungs-Datenübertragungsblockzähler 518 und Verwaltungs-Datenübertragungsblocksubtypliste 520. Die Element ID 502 ist ein Wert, der zugeordnet ist, um anzuzeigen, dass die Datenstruktur ein MP-IE ist. Das Langenfeld 504 spezifiziert die Größe der MP-IE Datenstruktur. Das Versionsfeld 506 spezifiziert eine Version für die MP-IE Datenstruktur und zeigt die derzeit unterstützte Version des Protokolls an, die zum Schutz der Verwaltungs-Datenübertragungsblöcke eingerichtet ist.
  • Group Cipher Suite Zähler 508 stellt die Zahl von Group Cipher Suites in Group Cipher Suite Liste 510 bereit. Die Group Cipher Liste 510 beinhaltet eine Liste von einem oder mehreren Cipher Suites zum Bereitstellen von Schutz für Übertragung und Multiübertragungs-Verwaltungs-Datenübertragungsblöcken zwischen der Station und dem Zugriffspunkt. Die Station und der Zugriffspunkt können die Liste zum Austauschen einer der Cipher Suites nutzen, die sowohl die Station als auch der Zugriffspunkt unterstützen. In einigen Ausgestaltungen wird die ausgewählte Cipher Suite einen bestimmten Integritäts- und/oder Vertraulichkeitsschlüssel nutzen, der abgeleitet ist, um für Integrität und/oder Vertraulichkeitsschutz für Broadcast/Multicast-Übertragungsblöcke bereitzustellen.
  • Pairwise Cipher Suite Zähler 512 stellt einen Zähler der Anzahl von Cipher Suites in der Pairwise Cipher Suite Liste 514 bereit. Die Pairwise Cipher Suite Liste 514 umfasst eine Liste einer oder mehrerer Cipher Suites zum Ausführen von Integritäts- und/oder Vertraulichkeitsschutzberechnungen für alle Minicast Verwaltungs-Datenübertragungsblöcke zwischen einer Station und einem Zugriffspunkt. In einigen Ausgestaltungen können die Station und der Zugriffspunkt eine der Cipher Suites austauschen, die beide unterstützen. Die ausgetauschte Pairwise Cipher Suite kann als ein bestimmter Integritäts- und/oder Vertraulichkeitsschlüssel verwendet werden, der abgeleitet ist, um Integritäts- und/oder Vertraulichkeitsschutz für Unicast-Datenübertragungsblöcke bereitzustellen.
  • Die Group Cipher Suites und Pairwise Cipher Suites können jeden Typ von kryptographischen Algorithmus umfassen. Einigen Ausgestaltungen können eine oder mehrere der folgenden kryptographischen Algorithmen als Cipher Suites verwendet werden: AES, einschließlich AES-OMAC, HMAC oder Hash verwendende Algorithmen SHA-256, SHA-512, TKIP, und/oder CCMP. Andere kryptographische Verfahren, die jetzt bekannt sind oder später entwickelt werden, können auch in den Group oder Pairwise Cipher Suites enthalten sein.
  • Verwaltungs-Schutztauglichkeitsfeld 516 zeigt Sicherheitsparameter an, die zwischen einer Station und einem Zugriffspunkt ausgetauscht werden können. In einigen Ausgestaltungen umfasst die Datenstruktur eine Bitmaske mit individuellen Bits oder Gruppen von Bits, die anzeigen, welche Parameter ausgetauscht werden können. In einigen Ausgestaltungen enthalten die ausgetauschten Parameter, ob oder ob nicht Schutz von Verwaltungs-Datenübertragungsblöcken aktiviert ist, Unterstützung für IEEE 802.11i Schlüsselhierarchie und Unterstützung für IEEE 802.11r Schlüsselhierarchie. Andere Parameter können in der Datenstruktur wie benötigt oder später entwickelt enthalten sein.
  • Verwaltungs-Datenübertragungsblockzähler 518 stellt einen Zähler der Anzahl von Subtypen in der Verwaltungs-Datenübertragungsblocksubtypliste 520 bereit. Verwaltungs-Datenübertragungsblocksubtypliste 520 listet die Subtypen der Verwaltungs-Datenübertragungsblöcke, die zwischen einer Station und einem Zugriffspunkt ausgetauscht werden können. Dieses ermöglicht dem Netzwerkadministrator Sicherheitsrichtlinien für besondere drahtlose Netzwerke durchzuführen. In einigen Ausgestaltungen listet ein Zugriffspunkt all die Verwaltungs-Datenübertragungsblocksubtypen in seinem MP-IE 416, die zum Schutz im Netzwerk unterstützt werden. Eine Station, die Verwaltungs-Datenübertragungsblockschutz unterstützt, antwortet mit seinem eigenen MP-IE, das eine Liste von Verwaltungs-Datenübertragungsblocksubtypen enthält. Die Station verwendet die Felder, die oben beschrieben wurden, um eine Liste von Verwaltungs-Datenübertragungsblocksubtypen auszuwählen, die die Station zum Schutz unterstützt, eine der angebotenen Group Key Cipher Suites und eine der angegebenen Pairwise Key Cipher Suites.
  • 5B ist ein Blockdiagramm eines Verwaltungs-Schutzinformationselements 416 in Übereinstimmung mit alternativen Ausgestaltungen der Erfindung. In einigen alternativen Ausgestaltungen enthält MP-IE 416 die Element ID 502, das Langenfeld 504, das Versionsfeld 506, Group Cipher Suite Zähler 508, Group Cipher Suite Liste 510, Pairwise Cipher Suite Zähler 512, Pairwise Cipher Suit Liste 514, Verwaltungsschutztauglichkeitsfeld 516, Verwaltungsschutzprofilzähler 530 und Verwaltungsschutzprofilauswahlliste 532. Die Felder 502-516 sind im Allgemeinen dieselben wie mit Bezug auf die 5A beschrieben.
  • Der Verwaltungsschutzprofilzähler 530 stellt die Anzahl von Profilen in der Verwaltungsschutzprofilliste 532 bereit. Die Verwaltungsschutzprofilliste 532 beinhaltet eine Liste von Verwaltungsschutzsprofilsekektoren, die die Verwaltungsschutzprofile identifizieren. Ein Verwaltungsschutzprofilselektor kann ein Organization Unit Identifier (OUI) gefolgt durch den Typ oder Wert oder eine Liste von Werten sein. In dem Fall eines IEEE spezifizierten OUIs kann der OUI derselbe sein wie im IEEE 802.11i spezifiziert.
  • Der Verwaltungsschutzprofilwert/die Verwaltungsschutzprofilwerte, die im MP-IE 416 enthalten sind, zeigen eine Gruppierung der Verwaltungs-Datenübertragungsblocksubtypen an, die von der Station oder dem Zugriffspunkt unterstützt werden. Jeder Verwaltungsschutzprofilwert oder Zahl ist mit einem Satz von Verwaltungs-Datenübertragungsblöcken assoziiert, die geschützt werden können.
  • Der Satz von Verwaltungs-Datenübertragungsblöcken, der durch eine bestimmte Verwaltungsschutzprofilnummer geschützt ist, kann unterschiedlich spezifiziert sein, einschließlich einer Änderung am IEEE 802.11 Standard oder das Profil kann anbieterspezifisch sein, wobei jeder Anbieter unterschiedliche Werte hat. Wenn eine Verwaltungsschutzprofilnummer durch eine 802.11 Änderung spezifiziert ist, kann die Profilnummer all diejenigen Verwaltungs-Datenübertragungsblöcke beinhalten, die von früheren Verwaltungsschutzprofilnummern, spezifiziert durch das IEEE, geschützt sind.
  • Zusätzlich können Anbieter ihre eigenen OUIs zum Anzeigen anbieterspezifischer Subsätze von Verwaltungs-Datenübertragungsblöcken, die sie unterstützen, überzeugen.
  • Zusätzlich können Netzwerke Operatoren und Unternehmen ihre eigenen OUIs zum Anzeigen der spezifischen Subsätze von Verwaltungs-Datenübertragungsblöcken erzeugen, die aktiviert und von deren drahtlosen Netzwerken unterstützt werden.
  • Wenn nicht anderweitig speziell genannt können sich Ausdrücke, wie etwa Prozessieren, Berechnen, Ausrechnen, Bestimmen, Anzeigen oder Ähnliches auf eine Aktion und/oder einen Vorgang von einem oder mehreren Verarbeitungs- oder Computersystemen oder ähnlichen Vorrichtungen beziehen, die Daten, die als physikalische (z. B., elektronische) Größen repräsentiert sind, innerhalb eines Registers oder Speichers eines Verarbeitungssystems in andere Daten, ähnlich als physikalische Größen innerhalb der Register oder Speicher des Verarbeitungssystems repräsentiert, oder anderer solcher Informationsspeicher, Übertragungs- oder Anzeigevorrichtungen, manipulieren und transformieren.
  • Ausgestaltungen der Erfindung können in einer oder in einer Kombination von Hardware, Firmware oder Software ausgeführt sein. Ausgestaltungen der Erfindung können auch als auf einem maschinenlesbaren Medium gespeicherte Anweisungen ausgeführt sein, die durch wenigstens einen Prozessor gelesen oder ausgeführt werden, um die hier beschriebenen Handlungen auszuführen. Einen maschinenlesbares Medium kann jeden Mechanismus zum Speichern und Übertragen von Information in einer Form, die von einer Maschine (z. B., einem Computer) lesbar ist, enthalten. Beispielsweise kann ein maschinenlesbares Medium ein Read-Only Memory (ROM) Random-Access Memory (RAM), ein magnetisches Disk Speichermedium, ein optisches Speichermedium, Flash-Speichervorrichtungen, elektrische, optische, akustische oder andere Formen von sich ausbreitenden Signalen (z. B., Trägerwellen, Infrarotsignale, digitale Signale, etc.) und andere sein.
  • Die Zusammenfassung ist angegeben, um 37C.F.R. Sektion 1.72(b) zu erfüllen, die eine Zusammenfassung erfordert, die es dem Leser ermöglicht, die Natur und den Kern der technischen Offenbarung zu ermitteln. Diese wird eingereicht mit dem Verständnis, dass diese nicht verwendet wird, um den Schutzumfang oder die Bedeutung der Ansprüche zu beschränken oder auszulegen.
  • In der vorstehenden detaillierten Beschreibung sind verschiedene Merkmale mitunter zusammen in einem einzigen Ausführungsbeispiel für den Zweck der Straffung der Offenbarung gruppiert. Diese Offenbarungsmethode soll nicht ausgelegt werden als die Absicht wiedergebend, dass die beanspruchten Ausgestaltungen des Gegenstands mehr Merkmale erfordern als ausdrücklich in jedem Anspruch genannt. Vielmehr kann, wie die folgenden Ansprüche wiedergeben, die Erfindung in weniger als allen Merkmalen eines einzelnen offenbarten Ausführungsbeispiels liegen. Daher werden die folgenden Ansprüche hiermit in die detaillierte Beschreibung mit einbezogen, wobei jeder Anspruch selbst als einzelne bevorzugte Ausgestaltung steht.
  • Systeme und Verfahren stellen einen Mechanismus für drahtlose Stationen und Zugriffspunkte bereit, um Sicherungsparameter zum Schützen von Verwaltungs-Datenübertragungsblöcken auszutauschen. Der Zugriffspunkt und die Station bestimmen, welche Verwaltungs-Datenübertragungsblöcke von ihnen handhabbar sind und sie zu schützen wünschen. Daten, die geschützte Datenübertragungsblöcke anzeigen, werden dann zwischen der Station und dem Zugriffspunkt ausgetauscht, um auszuwählen, welche Verwaltungs-Datenübertragungsblöcke geschützt werden müssen und welcher Schutzmechanismus zum Schützen der Verwaltungs-Datenübertragungsblöcke verwendet werden soll.

Claims (30)

  1. Verfahren mit den Schritten: – Senden eines ersten Verwaltungs-Datenübertragungsblocks mit Daten, die einen ersten Satz von Verwaltungs-Datenübertragungsblocktypen anzeigen; – Empfangen eines zweiten Verwaltungs-Datenübertragungsblocks mit Daten, die einen zweiten Satz von Verwaltungs-Datenübertragungsblocktypen anzeigen; – Vergleichen des ersten Satzes von Verwaltungs-Datenübertragungsblocktypen mit dem zweiten Satz von Verwaltungs-Datenübertragungsblocktypen, um einen geschützten Satz von Verwaltungs-Datenübertragungsblocktypen zu bestimmen.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der erste Verwaltungs-Datenübertragungsblock einen Signal-Datenübertragungsblock aufweist.
  3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der erste Verwaltungs-Datenübertragungsblock einen Sondenantwort-Datenübertragungsblock aufweist.
  4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der zweite Verwaltungs-Datenübertragungsblock einen Assoziierungs-Datenübertragungsblock aufweist.
  5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der zweite Verwaltungs-Datenübertragungsblock einen Reassoziierungs-Datenübertragungsblock aufweist.
  6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der Satz von Verwaltungs-Datenübertragungsblocktypen Verwaltungs-Datenübertragungsblocktypen aufweist, die ausgewählt sind aus der Gruppe bestehend aus einem Deassoziierungs-Datenübertragungsblock, einem Deauthentifizierungs-Datenübertragungsblock oder jedem Klasse 3 Aktions-Datenübertragungsblock, einschließlich eines QoS Aktions-Datenübertragungsblocks, eines Funksignalmessaktions-Datenübertragungsblocks, eines Funkspektrummessaktions-Datenübertragungsblocks und eines drahtlosen Netzwerkverwaltungsaktions-Datenübertragungsblock.
  7. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der erste Verwaltungs-Datenübertragungsblock weiter Daten aufweist, die wenigstens ein Schutzverfahren spezifizieren.
  8. Verfahren nach Anspruch 8, weiter gekennzeichnet durch Ausführen des wenigstens einen Schutzverfahrens auf folgende Verwaltungs-Datenübertragungsblöcke, die einen Typ im geschützten Satz von Verwaltungs-Datenübertragungsblocktypen haben.
  9. Signal tragendes Medium, das eine Datenstruktur codiert, wobei die Datenstruktur aufweist: – ein Feld, das einen Satz von einem oder mehreren Verwaltungs-Datenübertragungsblocktypen anzeigt; und – ein Feld, das einen Satz von einem oder mehreren Schutzmechanismen anzeigt, wobei in einem getrennten Datenprozessierungsschritt einer des Satzes von einem oder mehreren Schutzmechanismen auf den Satz von einem oder mehreren Verwaltungs-Datenübertragungsblocktypen angewendet wird.
  10. Ein Signal tragendes Medium nach Anspruch 9, dadurch gekennzeichnet, dass der Satz von einem oder mehreren Verwaltungs-Datenübertragungsblocktypen durch einen Organisationsidentifizierer spezifiziert ist.
  11. Ein Signal tragendes Medium nach Anspruch 9, dadurch gekennzeichnet, dass der Satz von einem oder mehreren Verwaltungs-Datenübertragungsblocktypen in eine Liste von Datenübertragungsblocktypen bereitgestellt ist.
  12. Es gibt Schutz für den Austausch durch Einschließen der MP-IE in geschützten Austausch-Datenübertragungsblöcken (entweder 4-Weg Handshake Nachricht oder in einer 802.11r Reassoziierungsanfrage/Antwort Nachricht) und durch den Empfänger, der die beinhaltete MP-IE mit der MP-IE, die die vom beaufsichtigenden in einer Nachricht in einer früheren Nachricht der Kommunikation empfangen wurde, vergleicht (bitte umformulieren).
  13. Drahtloser Zugriffspunkt mit: – einer physikalischen Schicht; und – einer Medienzugriffssteuerung, die mit der physikalischen Schicht verbunden ist und betrieben werden kann, um: – einen ersten Verwaltungs-Datenübertragungsblock zu übertragen, der Daten enthält, die einen Satz von Verwaltungs-Datenübertragungsblocktypen, die vom drahtlosen Zugriffspunkt schätzbar sind, anzeigen; – einen zweiten Verwaltungs-Datenübertragungsblock zu empfangen, der Daten enthält, die einen Satz von Verwaltungs-Datenübertragungsblocktypen, die durch eine Station schätzbar sind, anzeigen; – den ersten Satz von Verwaltungs-Datenübertragungsblocktypen mit dem zweiten Satz von Verwaltungs-Datenübertragungsblocktypen zu vergleichen, um einen geschützten Satz von Verwaltungs-Datenübertragungsblocktypen zu bestimmen.
  14. Drahtloser Zugriffspunkt nach Anspruch 12, dadurch gekennzeichnet, dass der erste Verwaltungs-Datenübertragungsblock einen Signal-Datenübertragungsblock aufweist.
  15. Drahtloser Zugriffspunkt nach Anspruch 12, dadurch gekennzeichnet, dass der erste Verwaltungs-Datenübertragungsblock einen Sondenantwort-Datenübertragungsblock aufweist.
  16. Drahtloser Zugriffspunkt nach Anspruch 12, dadurch gekennzeichnet, dass der zweite Verwaltungs-Datenübertragungsblock einen Assoziierungs-Datenübertragungsblock aufweist.
  17. Drahtloser Zugriffspunkt nach Anspruch 12, dadurch gekennzeichnet, dass der zweite Verwaltungs-Datenübertragungsblock einen Reassoziierungs-Datenübertragungsblock aufweist.
  18. Netzwerkgerät mit: – einer physikalischen Schicht; und – einer Medienzugriffssteuerung, die mit der physikalischen Schicht verbunden ist und betrieben werden kann, um: – einen ersten Verwaltungs-Datenübertragungsblock zu empfangen, der Daten enthält, die einen Satz von Verwaltungs-Datenübertragungsblocktypen anzeigen, die durch einen drahtlosen Zugriffspunkt schätzbar sind; – einen geschützten Satz von Verwaltungs-Datenübertragungsblocktypen zu bestimmen durch Vergleichen des Satzes von Verwaltungs-Datenübertragungsblocktypen, die durch den drahtlosen Zugriffspunkt schätzbar sind, mit einem Satz von Verwaltungs-Datenübertragungsblocktypen, die durch das Netzwerkgerät schätzbar sind; und – einen zweiten Verwaltungs-Datenübertragungsblock zu übertragen, der Daten enthält, die den geschützten Satz von Verwaltungs-Datenübertragungsblocktypen anzeigt.
  19. Netzwerkgerät nach Anspruch 17, dadurch gekennzeichnet, dass der erste Verwaltungs-Datenübertragungsblock einen Signal-Datenübertragungsblock aufweist.
  20. Netzwerkgerät nach Anspruch 17, dadurch gekennzeichnet, dass der erste Verwaltungs-Datenübertragungsblock einen Sondenantwort-Datenübertragungsblock aufweist.
  21. Netzwerkgerät nach Anspruch 17, dadurch gekennzeichnet, dass der zweite Verwaltungs-Datenübertragungsblock einen Assoziierungs-Datenübertragungsblock aufweist.
  22. Netzwerkgerät nach Anspruch 17, dadurch gekennzeichnet, dass der zweite Verwaltungs-Datenübertragungsblock einen Reassoziierungs-Datenübertragungsblock aufweist.
  23. Netzwerkgerät nach Anspruch 17, dadurch gekennzeichnet, dass die physikalische Schicht und die Mediumzugriffssteuerung in einer Netzwerkschnittstellenkarte beinhaltet sind.
  24. Netzwerkgerät nach Anspruch 17, dadurch gekennzeichnet, dass die physikalische Schicht und die Medienzugriffssteuerung in einer drahtlosen Station beinhaltet sind.
  25. System mit: – einer im Wesentlichen omnidirektionalen Antenne; – einer physikalischen Schicht, die an die omnidirektionale Antenne angeschlossen ist; und – einer Medienzugriffssteuerung, die mit der physikalischen Schicht verbunden ist und ausgeführt werden kann, um: – einen ersten Verwaltungs-Datenübertragungsblock zu übertragen, der Daten aufweist, die einen Satz von Verwaltungs-Datenübertragungsblocktypen anzeigen, die durch den drahtlosen Zugriffspunkt schätzbar sind; – einen zweiten Verwaltungs-Datenübertragungsblock zu empfangen, der Daten aufweist, die einen Satz von Verwaltungs-Datenübertragungsblocktypen anzeigen, die durch eine Station schätzbar sind; – den ersten Satz von Verwaltungs-Datenübertragungsblocktypen mit dem zweiten Satz von Verwaltungs-Datenübertragungsblocktypen zu vergleichen, um einen geschützten Satz von Verwaltungs-Datenübertragungsblocktypen zu bestimmen.
  26. System nach Anspruch 22, dadurch gekennzeichnet, dass der erste Verwaltungs-Datenübertragungsblock einen EAPoL Handshake-Datenübertragungsblock aufweist.
  27. System nach Anspruch 22, dadurch gekennzeichnet, dass der zweite Verwaltungs-Datenübertragungsblock einen EAPoL Handshake-Datenübertragungsblock aufweist.
  28. Maschinenlesbares Medium mit von einer Maschine ausführbaren Anweisungen zum Ausführen eines Verfahrens, wobei das Verfahren aufweist: – Übertragen eines ersten Verwaltungs-Datenübertragungsblocks, der Daten aufweist, die einen ersten Satz von Verwaltungs-Datenübertragungsblocktypen anzeigen; – Empfangen eines zweiten Verwaltungs-Datenübertragungsblocks, der Daten aufweist, die einen zweiten Satz von Verwaltungs-Datenübertragungsblocktypen aufweisen; – Vergleichen des ersten Satzes von Verwaltungs-Datenübertragungsblocktypen mit dem zweiten Satz von Verwaltungs-Datenübertragungsblocktypen, um einen geschützten Satz von Verwaltungs-Datenübertragungsblocktypen zu bestimmen.
  29. Maschinenlesbares Medium nach Anspruch 25, dadurch gekennzeichnet, dass der erste Verwaltungs-Datenübertragungsblock einen EAPoL Datenübertragungsblock aufweist.
  30. Maschinenlesbares Medium nach Anspruch 25, dadurch gekennzeichnet, dass der erste Verwaltungs-Datenübertragungsblock einen Sondenantwort-Datenübertragungsblock aufweist.
DE112006001219T 2005-05-17 2006-05-02 Systeme und Verfahren zum Austauschen von Sicherheitsparametern zum Schützen von Verwaltungs-Datenübertragungsblöcken in drahtlosen Netzwerken Withdrawn DE112006001219T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/131,931 US7881475B2 (en) 2005-05-17 2005-05-17 Systems and methods for negotiating security parameters for protecting management frames in wireless networks
US11/131,931 2005-05-17
PCT/US2006/017565 WO2006124347A2 (en) 2005-05-17 2006-05-02 Negotiation of security parameters for protecting management frames in wireless networks

Publications (1)

Publication Number Publication Date
DE112006001219T5 true DE112006001219T5 (de) 2008-03-06

Family

ID=36942370

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112006001219T Withdrawn DE112006001219T5 (de) 2005-05-17 2006-05-02 Systeme und Verfahren zum Austauschen von Sicherheitsparametern zum Schützen von Verwaltungs-Datenübertragungsblöcken in drahtlosen Netzwerken

Country Status (6)

Country Link
US (1) US7881475B2 (de)
CN (1) CN101208981B (de)
DE (1) DE112006001219T5 (de)
GB (1) GB2441471B (de)
TW (1) TWI336197B (de)
WO (1) WO2006124347A2 (de)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7881475B2 (en) 2005-05-17 2011-02-01 Intel Corporation Systems and methods for negotiating security parameters for protecting management frames in wireless networks
US7392037B2 (en) * 2005-08-19 2008-06-24 Intel Corporation Wireless communication device and methods for protecting broadcasted management control messages in wireless networks
US7706822B2 (en) * 2005-08-24 2010-04-27 Motorola, Inc. Timing synchronization and beacon generation for mesh points operating in a wireless mesh network
US7630406B2 (en) * 2005-11-04 2009-12-08 Intel Corporation Methods and apparatus for providing a delayed attack protection system for network traffic
US7613426B2 (en) * 2005-12-20 2009-11-03 Microsoft Corporation Proximity service discovery in wireless networks
US8478300B2 (en) 2005-12-20 2013-07-02 Microsoft Corporation Proximity service discovery in wireless networks
US8559350B2 (en) 2005-12-20 2013-10-15 Microsoft Corporation Mechanism to convey discovery information in a wireless network
US10681151B2 (en) 2006-05-15 2020-06-09 Microsoft Technology Licensing, Llc Notification framework for wireless networks
US7907582B2 (en) * 2006-10-25 2011-03-15 Ntt Docomo, Inc. Method and apparatus for access point selection in wireless LAN
KR20080060925A (ko) * 2006-12-27 2008-07-02 삼성전자주식회사 동보 프레임을 보호하는 방법, 상기 동보 프레임을인증하는 단말기 및 상기 동보 프레임을 동보하는 접근점
CN101309500B (zh) 2007-05-15 2011-07-20 华为技术有限公司 不同无线接入技术间切换时安全协商的方法和装置
US8010778B2 (en) * 2007-06-13 2011-08-30 Intel Corporation Apparatus and methods for negotiating a capability in establishing a peer-to-peer communication link
JP4293281B1 (ja) 2007-07-23 2009-07-08 株式会社ブリヂストン 車両用シートパッド及び車両用シート
US9105031B2 (en) 2008-02-22 2015-08-11 Microsoft Technology Licensing, Llc Authentication mechanisms for wireless networks
US8498229B2 (en) 2008-12-30 2013-07-30 Intel Corporation Reduced power state network processing
US8233495B2 (en) * 2009-04-22 2012-07-31 Intel Corporation Discovery channel and discovery beacon for peer-to-peer devices in wireless communications network
CN101702818B (zh) * 2009-11-02 2012-12-12 上海华为技术有限公司 无线链路控制连接重建立中的算法协商方法、系统及设备
CN102137095A (zh) * 2010-12-29 2011-07-27 中国电力科学研究院 工业控制系统数据交换安全保护方法、系统和装置
CN102014342B (zh) * 2010-12-31 2012-07-18 西安西电捷通无线网络通信股份有限公司 混合组网的网络系统及方法
US9326230B2 (en) * 2013-10-08 2016-04-26 Qualcomm Incorporated Multidimensional algorithm for roaming
CN104219662B (zh) * 2014-08-19 2019-05-07 新华三技术有限公司 一种Beacon帧的发送方法和设备
KR101571377B1 (ko) * 2015-05-12 2015-11-24 주식회사 기가레인 비콘 데이터 처리 시스템 및 방법
US10218686B2 (en) 2016-10-24 2019-02-26 International Business Machines Corporation Dynamically managing, from a centralized service, valid cipher suites allowed for secured sessions
CN112887974B (zh) * 2021-01-23 2022-02-11 深圳市智开科技有限公司 一种wapi无线网络的管理帧保护方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2320662B (en) 1996-12-18 2001-06-20 Dsc Telecom Lp Apparatus and method of frame aligning information in a wireless telecommunications system
GB9716626D0 (en) 1997-08-07 1997-10-15 Philips Electronics Nv Wireless network
JP2001186251A (ja) 1999-12-27 2001-07-06 Nec Corp 携帯情報端末装置及び電源電力供給制御方法
EP1244964B1 (de) 2000-01-07 2004-10-20 International Business Machines Corporation Verfahren und system für rahmen- und protokoll-klassifikation
US20030050036A1 (en) 2001-09-07 2003-03-13 Hayduk Matthew A. Security services for wireless devices
US20050086465A1 (en) * 2003-10-16 2005-04-21 Cisco Technology, Inc. System and method for protecting network management frames
US7805603B2 (en) * 2004-03-17 2010-09-28 Intel Corporation Apparatus and method of protecting management frames in wireless LAN communications
US7881475B2 (en) 2005-05-17 2011-02-01 Intel Corporation Systems and methods for negotiating security parameters for protecting management frames in wireless networks

Also Published As

Publication number Publication date
GB2441471A (en) 2008-03-05
WO2006124347A3 (en) 2007-02-22
GB2441471B (en) 2010-11-03
GB0724537D0 (en) 2008-01-30
GB2441471A8 (en) 2008-03-12
CN101208981A (zh) 2008-06-25
WO2006124347A2 (en) 2006-11-23
US7881475B2 (en) 2011-02-01
TWI336197B (en) 2011-01-11
TW200704096A (en) 2007-01-16
US20060262932A1 (en) 2006-11-23
CN101208981B (zh) 2013-02-13

Similar Documents

Publication Publication Date Title
DE112006001219T5 (de) Systeme und Verfahren zum Austauschen von Sicherheitsparametern zum Schützen von Verwaltungs-Datenübertragungsblöcken in drahtlosen Netzwerken
DE112006002200B4 (de) Gerät für die drahtlose Kommunikation und Verfahren zum Schützen rundgesendeter Verwaltungssteuernachrichten in drahtlosen Netzwerken
EP1972125B1 (de) Vorrichtung und verfahren zum schutz von verwaltungsrahmen
DE112005002651B4 (de) Verfahren und Vorrichtung zur Authentifikation von mobilen Vorrichtungen
CN103109496B (zh) 无线局域网络系统中针对利用服务质量机制的管理帧的密码通信的方法及设备
EP3186992B1 (de) System und verfahren zur sicherung einer vorassoziationsdienstentdeckung
EP2341724B1 (de) System und verfahren zur sicheren übertragung von daten zwischen einem drahtlosen kommunikationsgerät und einem server
DE60035953T2 (de) Wiederverwendung von sicherheitsbeziehungen zur verbesserung der durchführung eines handovers
CN103609154B (zh) 一种无线局域网接入鉴权方法、设备及系统
DE112008001844B4 (de) Verhandlung über Ressourcen für schnelle Übergänge
DE112006001511T5 (de) Verfahren und Vorrichtungen zum Liefern von Integritätsschutz für Verwaltungs- und Steuerverkehr in drahtlosen Kommunikationsnetzwerken
US11805416B2 (en) Systems and methods for multi-link device privacy protection
WO2007138060A1 (de) Verfahren und system zum bereitstellen eines mesh-schlüssels
DE112018003798T5 (de) Erzeugen und analysieren von netzprofildaten
US9210623B2 (en) Wireless client association and traffic context cookie
US11956715B2 (en) Communications method and apparatus
US20210168614A1 (en) Data Transmission Method and Device
DE102021113263A1 (de) Extreme-High-Throughput-Fast-Initial-Link-Setup-Unterstützung in einem Mehrfachverbindungsbetrieb in Funkkommunikationen
WO2023245318A1 (en) Devices and methods for policy communication in a wireless local area network
WO2022237236A1 (zh) 一种通信方法、装置和存储介质
DE102020118054A1 (de) Identitätverschleierung für eine drahtlose station
Song et al. Hardware-software co-design of secure WLAN system for high throughput
DE102007003492A1 (de) Verfahren und Anordnung zum Breitstellen eines drahtlosen Mesh-Netzwerks
AIME et al. Security and Privacy in Advanced Networking Technologies 51 B. Jerman-Blažič et al.(Eds.) IOS Press, 2004

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8125 Change of the main classification

Ipc: H04W 12/00 AFI20060502BHDE

R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee