以下の開示では、種々の実施形態の異なる特徴を実施するため、多数の異なる実施形態または実施例を提供していることは言うまでもない。以下では、本開示を簡略化するため構成要素および配置の特定の例を説明している。当然のことながら、これらは単なる例に過ぎず、限定を意図するものではない。また、本開示では種々の例で繰り返し参照符号を使用する場合がある。この反復は簡潔性および明瞭性のためであり、それ自体が種々の実施形態および/または開示される構成の関係を決定するものではない。
図1は、本発明の実施形態を優位に実装できる例示的ネットワークシステム100の簡略化したブロック図である。ネットワーク100は、IEEE 802.11規格の変形形態に準拠した無線ローカルエリアネットワーク(wireless local area network:WLAN)などの共用資源ネットワークの一例である。
図示した例では、システム100は2つの基本サービスセット(basic service set:BSS)10および11を有するが、システム100にはいかなる数のBSSも含めることができる。BSS 10および11は、それぞれのカバー領域すなわちセルを提供し、それらの領域では、モバイルSTA 20などのWLANステーション(STA)が、無線媒体を介して相互通信し、またはシステム100と連動する他の外部ネットワークの他の通信装置もしくは計算装置と通信する。BSS 10および11は、分散システム(distribution system:DS)30により通信自在に相互接続されている。DS 30は、送信先マッピングのアドレス取り扱いと、複数BSSの統合とに必要な論理サービスを提供することにより、モバイル装置のサポートを可能にする。BSS10および11の各々には、DS 30へのアクセスを提供するアクセスポイント(access point:AP)40および41がそれぞれ含まれている。BSS 10および11とAP 40および41とが提供するDS 30により、任意のサイズおよび複雑度を伴う無線ネットワークの作成が容易になり、BSS 10および11とDS 30との集合は、一般に拡張サービスセットネットワークと呼ばれる。システム100と、LAN 50などの非IEEE 802.11 LANとの間の論理的な統合は、ポータル60により提供できる。ネットワーク100には、他の種々の構成が可能である。例えばBSS 10および11は、(図示したように)部分的に重複させても、同一場所に配置してもよい。BSS 10および11の各々には、システム100内でBSS 10および11を一意に識別する基本サービスセット識別子(basic service set identifier:BSSID)がそれぞれ割り当てられている。
DS 30には、所与のSTAについてアクセスすべきAP 40および41を識別するための関連付けデータが提供されており、DS 30はこの関連付けデータを維持する。この情報は、STAから呼び出されるSTA−AP関連付けサービスにより提供される。システム100内でSTAがAPを介しデータを送信する前に、このSTAは、まずAPに関連付けられる。ステーションに関連付けられたAPは、本明細書において現在のAPと呼ぶ。前記関連付けサービスは、APに対しSTAをマップする。次に、前記DSは、前記STAおよび前記APのマッピングを利用してメッセージ配信サービスを実行する。STAはどの時点でもただ1つのAPに関連付けられるため、DS 30は、現在どのAPが当該STAにサービスを提供しているかを決定することができる。
システム100は、異なるアクセスポイント間の重複したカバー領域間をモバイルステーションが移動するなどの場合、アクセスポイント間でSTAに通信の移行を提供する。通信の移行は、さらにネットワークでの通信動作を容易にする他の理由で実行されることもある。AP間をSTAがローミングできるようにする移行機能は、STAにより呼び出される前記DSの再関連付けサービスによりもたらされる。通信の移行は、APに対するSTAの関連付けが、別のAPに対する前記STAの関連付けへと変更される際に起こり、再関連付けサービスの実行により実施され、前記STAの移行先となるAPに対する当該STAの再マッピングを含む。関連付けを終了させる場合は、STAまたはAPから関連付け解除サービスが呼び出される。システム100におけるSTAへのアクセスは、認証サービスにより提供される。
認証サービスは、通信先ステーションに対しSTA(の利用者)の本人性を確立するため、当該STAにより使用される。2つのステーション間の認証レベルがどちらのステーションでも許容範囲内であれば、関連付けが確立される。また、システム100では共有キー認証をサポートできる。共有キー認証の機構では、共有された秘密の暗号化キーがわかっていることにより、本人性の提示が容易になる。
既存の認証を終了させる場合は、認証解除サービスが呼び出される。認証は関連付けを行う目的で実行されなければならないため、ネットワークエンティティとの認証解除を行うと、それ以前にそのネットワークエンティティと関連付けが行われていた場合はその関連付けが解除される結果となる。
通信の移行に従い、移行実施のため、種々のシグナリング動作が実行され、また種々の決定が行われなければならない。この移行工程には、数百ミリ秒もの時間が消費される場合がある。この移行手順中には、通信が中断され、またはデータが失なわれるおそれがあり、その場合モバイルステーションの通信セッションによる通信が悪影響を受ける。本発明は、AP間の高速移行のための機構を提供する。本明細書で説明する実施形態に従い高速移行を実施するようになっているAPは、高速BSS移行対応アクセスポイント(fast BSS transition enabled access points:TAP)と呼ばれ、本明細書で説明する実施形態に従い高速移行を実施するようになっているモバイルステーションは、高速移行対応ステーション(fast transition enabled stations:TSTA)または単にステーション(STA)と呼ばれる。
システム100にセキュリティを提供する従来の実施態様には、ユニキャストトラフィック用にセキュリティを提供するためのペアワイズキー機構が含まれる。このペアワイズキー機構を実施するには、認証工程の完了後、4方向ハンドシェイクが実行される。このため、キー確立手順の期間には、4方向ハンドシェイクなどのように再関連付け手順にかかる時間と、認証手順にかかる時間との双方が含まれる。この移行期間中には、接続が失われてサービスが悪影響または望ましくない影響を受けるおそれがある。
図2は、従来どおり4方向ハンドシェイクを実行するための、STAとAPとの間のシグナリング交換200を図式により表したものである。図2に示したこの4方向ハンドシェイク工程は、STAにより再関連付け要求が発行され、当該STAにより再関連付け応答が目標移行先APまたは移行先候補APから受信された後に実施される。AP 41との認証を試行中のステーション20は、無作為な値のSupplicantナンス(「申請(要求)側からのナンス」、略称SNonce)を有し、AP 41は、Authenticatorナンス(「認証側からのナンス」、略称ANonce)を有する。ナンスは、すべて異なる値からなる数セットのうちの1つである。ナンスは、反復シーケンスが前記セットのサイズより大きい場合、疑似乱数アルゴリズムなどにより生成できる。好適な実施態様において、ナンスは、連続した値を有する値セットの値を有すことができる。本明細書で説明する実施形態を実施(実装)する場合は、SNonce、ANonce、Supplicant Transitionナンス(「申請(要求)側からの移行用ナンス」、STNonce)、authenticator transitionナンス(「認証側からの移行用ナンス」、ATNonce)など種々のナンスが使用できる。この4方向ハンドシェイクは、ANonce 51を含むLAN上拡張認証プロトコル(Extensible Authentication Protocol over LANs:EAPOL)キーフレーム205を送信しているAP 41により開始される(工程210)。STA 20は、EAPOLキーフレーム205の受信時、ANonce 60およびSNonce 61からペアワイズトランジエントキー(pairwise transient key:PTK)を計算または導出する(工程220)。次いでSTA 20は、EAPOLキーフレーム215をAP 41に送信する(工程230)。EAPOLキーフレーム215は、SNonce 61を含み、また再関連付け要求フレームおよびメッセージ完全性コード(message integrity code:MIC)から前記STAにより得られる認証およびペアワイズ暗号化情報を定義するRSN(robust security network、「堅牢なセキュリティネットワーク」)情報要素(またはその内容)など他の情報を含む場合もある。AP 41は、次にEAPOLキーフレーム215から読み取られたANonce 60およびSNonceの値からPTKを計算または導出し、STA 20により提供されたMICを検証する(工程240)。次いでAP 41は、前記ANonceと、前記APのビーコンまたはプローブ応答メッセージからの前記RSN情報要素と、MICとを含んだEAPOLプロトコルキーフレーム225を、STA 20に送信する(工程250)。一時キーおよびカプセル化したGTKをインストールするかをSTA 20に示すものなど、他の情報もフレーム225に含めることができる。ハンドシェイクが正常に行われた場合、STA 20は、一時キーをインストールし(工程260)、EAPOLキーフレーム235をAP 41に返して前記一時キーのインストレーションを確認する(工程270)。この4方向ハンドシェイクは時間をtHだけ消費するため、それに対応した遅延がハンドオーバーすなわち移行工程に生じ、通信サービス、特に音声、ビデオ、他のストリーミングメディアサービスなどのリアルタイムサービスに悪影響が及ぶおそれがある。
図3Aは、従来どおり移行先候補のAPを検出しているSTAを図式的に例示したものである。図示した例において、STA 20は現在のAP 40に関連付けられており、無線リンク46を介してAP 40に通信可能に連結されている。STA 20は、AP 41によりブロードキャストされたビーコン信号310を検出することにより、AP 41を識別または発見する。STA 20がAP 41への移行実施を希望する場合は、図3Bに示したようにAP 41との再関連付け手順が実施される。この図は、AP 41との再関連付け工程を実施中のSTA 20を示している。この場合、AP 41とのメディアアクセス制御(medium access control:MAC)リンク320が確立され、STA 20とAP 41との間で再関連付け手順が実施される。この再関連付けが完了すると、STA 20とAP 40との間のリンク46がリリースされ、次いでSTA 20が、図3Cに示したように、一時キーのインストレーションを確立するための4方向ハンドシェイクといった認証手順またはセキュリティ手順を開始する。この図3Cにおいて、STAはAP 41との再関連付け手順をすでに完了し、AP 41との4方向ハンドシェイクを実行中である。このハンドシェイクを完了した時点で、STA 20およびAP 41は安全な通信を開始することができる。前記再関連付けおよび前記4方向ハンドシェイクの累積期間は、前記移行手順の呼び出し前にSTA 20が実施する通信またはサービスに不利な効果を及ぼす可能性がある。例えば、音声サービス、ビデオサービス、または他のストリーミング用アプリケーションまたはサービスに、許容範囲外の、または望ましくない中断が生じ、あるいは前記移行中にSTA 20で生じる通信遅延により、前記各種サービスが切断されるおそれがある。
図4は、図3A〜3Cで上述した従来どおり実施される移行手順用のメッセージタイミングを図式により表したものである。STA 20は、AP 40に関連付けられ、通信可能に連結されている(工程410)。次に、STA 20は、移行を試行すべき移行先候補または潜在的移行先であるAP 41を発見する(工程420)。次いで、STA 20により再関連付け工程が呼び出されるが、この工程には再関連付け要求を移行先候補AP 41に搬送し、当該AP 41から戻される再関連付け応答の受信を待機する工程が含まれる(工程430)。次にAP 41との関連付けが確立される(工程440)。STA 20は、一度AP 41に関連付けられると、AP 41との4方向ハンドシェイク工程を呼び出せるようになる(工程450)。前記ハンドシェイク手順が完了すると、STA 20は、システム100においてAP 41経由で安全な通信を開始できるようになる(工程460)。なお、AP 40からAP 41への通信のハンドオーバーにかかる移行時間は、システム100でSTA 20が安全な通信セッションを行う場合、前記再関連付け手順の呼び出しから前記ハンドシェイクの完了までである。このため、この移行時間は、前記再関連付け工程の所要時間(TA)と前記ハンドシェイクの期間(TH)とを累積した期間となる。
本明細書で説明する実施形態は、再関連付け手順の開始前にキー確立手順を実施する事前キー工程の機構により、前記移行期間を短縮するものである。特に、本明細書で説明する実施形態は、STAおよび候補APにおける各ペアワイズトランジエントキー(PTK)などのキーを、再関連付け工程の呼び出し前に確立する機構を提供する。この再関連付け工程は、PTKの計算後、高速移行を実行するSTAと、このSTAが前記高速移行を実行する相手であるAPとにより呼び出される。この高速移行工程は、再関連付け要求および再関連付け応答でのパラメータ交換により容易になる。一実施形態では、前記STAは、前記移行先候補APから受信する高速移行応答に含まれたauthenticator transitionナンス(ATNonce)のハッシュを、再関連付け要求に含める。同様に、前記移行先候補APは、前記STAから受信する高速移行要求に含まれたsupplicant transitionナンス(STNonce)のハッシュを、再関連付け応答に含める。これによりPTKは確立され、再関連付け工程が完了した時点で、4方向ハンドシェイクなどの認証によりそれ以上遅延されることなく使用可能になる。このため、移行時間が有利に短縮されて、システム100においてAP間でローミングまたは移行するSTAにとって通信サービスの改善が実現される。
図5Aは、802.11動作基準の変形形態に準拠したWLANなどのネットワークシステム500において、移行先候補APを検出中または発見中のSTA 520の実施形態を図式により例示したものである。図示した例において、STA 520と、AP 540および541と、DS 530とは、本明細書で説明する実施形態に従って高速移行を実施するようになっている代表的なSTA、AP、およびDSである。図示した例において、STA 520は現在のAP 540に関連付けられており、無線リンク546を介してAP 540に通信可能に連結されている。STA 520は、AP 541によりブロードキャストされたビーコン信号510を検出することにより、移行先候補AP 541を識別または発見する。図5Bは、再関連付け工程前に実施可能でAP間の高速移行を容易にする事前キー工程の実施形態を図式により例示したものである。STA 520は、1若しくはそれ以上のリンクまたは通信チャネル515により、AP 541との事前キー工程を呼び出すことができる。図示した例の場合、事前キー工程は、STA 520と候補AP 541との間で直接実施されるものとして示されている。このような実施態様は単に例示的なものであって、事前キー工程用の他の機構も、以下より詳しく説明するように実施(実装)可能である。一般に、STAと移行先候補APとの間で実施されるこの事前キー工程は、STAがのちに前記移行先候補APへの移行を実行する場合に使用するための、安全な通信セッション用のPTK等のキーの確立といったキー確立手順を提供する。この事前キー工程に次いで、STA 520は、図5Cの再関連付け工程の実施形態の図により例示したように、AP 541との間に確立されるMACリンク525を介し、前記候補AP 541との再関連付け工程を呼び出すことができる。この再関連付けが完了すると、STA 520とAP 541との間に安全な通信リンク547が確立され、STA 520は、AP 541を介してシステム500での安全な通信を開始することができるようになる。有利なことに、この移行期間は前記再関連付け工程の期間に限定される。このため、通信の移行中に生じる通信サービスの中断は、従来の移行手順に比べて軽減または低減される。
図6Aは、高速移行を容易にする事前キー工程の実施形態を図式により例示したものである。図示した例において、STA 520はAP 540に関連付けられており、無線リンク546を介してAP 540に通信可能に連結されている。この実施態様では、事前キー工程はDS 530を介し実施される。例えば、STA 520は事前キー工程を呼び出すことができ、前記事前キー工程を実施するための通信は、DS 530と、STA 520が現在関連付けられているAP 540とを介して行われる。例えば、キー確立メッセージは、STA 520から現在のAP 540へ無線リンク570a経由で送信され、AP 540は、DS 530のリンク570b経由で前記キー確立メッセージをAP 541に送信することにより、STA 520と候補AP 541との間のリレーとして作用する。同様に、AP 541により生成される応答メッセージは、DS 530を介し、まず現在のAP 540へ、次にAP 540からSTA 520へ転送されることにより、STA 520へ送信される。安全な通信用のPTKは、図6Aに図示した前記事前キー工程の結果に基づき、STA 520および移行先候補AP 541の双方で生成される。再関連付け工程は、図6Aに図示した前記事前キー工程に後続して開始できるようになり、その移行期間は、有利なことに前記再関連付け工程の期間に限定される。
図6Bは、高速移行を容易にする事前キー工程の別の実施形態を図式により例示したものである。図示した例において、STA 520はAP 540に関連付けられており、無線リンク546を介してAP 540に通信可能に連結されている。この実施態様では、事前キー工程は、無線リンク548などの無線インターフェース上で実施される。例えば、STA 520は事前キー工程を呼び出すことができ、前記事前キー工程を実施するための通信は、DS 520と移行先候補AP 541との間で直接行われる。同様に、AP 541により生成される応答メッセージは、リンク548経由でSTA 520に送信される。安全な通信用のPTKは、図6Bに図示した前記事前キー工程の結果に基づき、STA 520および移行先候補AP 541の双方で生成される。再関連付け工程は、図6Bに図示した前記事前キー工程に後続して開始できるようになり、その移行期間は、有利なことに前記再関連付け工程の期間に限定される。
図6Aに図示した事前キー工程でも、図6Bに図示した事前キー工程でも、事前キー工程が正常に完了されると、STA 520が候補AP 541との再関連付け要求を呼び出す。一実施形態では、前記再関連付け工程中に前記STAと前記移行先候補APとの間でパラメータが交換され、この再関連付け工程により、前記STAおよび前記移行先候補APが、安全な通信用にそれぞれ現在のキーを有することを相互検証することが容易になる。これにより、現在のAP 540と移行先AP 541との間の通信ハンドオーバーにかかる移行時間が、前記再関連付け工程にかかる期間へと有利に短縮される。
図7Aは、WLANにおいて現在のAPと目標APとの間の高速BSS移行を容易にする無線インターフェース上での事前キー工程を実施するための、STA 520と、移行先候補または目標移行先であるAP 541との間のシグナリング交換700の実施形態を図式により表したものである。図示したシグナリング交換では、現在のAPから候補APまたは目標APへのステーションの高速移行を容易にする高速移行(fast transition:FT)ルーチンの機能的な工程を示している。このFTルーチンは、前記STAが、現在のAPに関連付けられており、本明細書で説明する実施形態に従ってFT手順を実施するようになっている別のAPの存在を検出または発見した場合、当該STAにより呼び出し可能である。
STA 520は、SNonce 561と、ANonce 560またはANonceから導出された値とを使ってPTKを計算することができる(工程703a)。例えば、STA 520は、AP 541がブロードキャストするビーコン信号からANonceの値を取得することができる。上記の実施態様は、目標AP 541からANonceの値を取得する他の実施態様で適切に置き換えることもできる。STA 520は、SNonceおよびANonceの値を使って前記PTKを計算できるが、他の実施態様では、当該STAが自らのSNonceと、ANonce値から導出された値(そのANonceの増分値など)とを使用する場合もある。STA 520は、EAPOLキーフレーム705を有する高速移行(FT)要求メッセージ(FT Req)を生成し、当該STA 520ですでに検出済みの目標移行先または移行先候補であるAP 541へ前記FT Reqを送信する(工程710a)。この要求メッセージは、SNonce値と、ANonce値と、MIC値とを含みうる。この要求メッセージのEAPOLキーフレーム705(またはその一部)は、計算されたPTKにより保護される。EAPOLキーフレーム705には、STA 520の事前認証を容易にする種々のパラメータまたは値を含めることができる。この例において、EAPOLキーフレーム705は、STA 520により生成または取得されたSNonce 561を含みうる。SNonce 561は、値セットから選ばれる一意の値を有し、この一意の値はPTKセキュリティ関連付け(PTK security association:PTKSA)を生成するため他の値とともに使用される。またEAPOLキーフレーム705は、資源要求と、当該STAのRSN(STA RSN)情報要素とを付加的に含むこともできる。EAPOLキーフレーム705は、ヘッダおよびそれに付加された1若しくはそれ以上の情報要素を有する情報要素など、1若しくはそれ以上のデータ構造でカプセル化できる。EAPOLキーフレームまたはカプセル化データ構造のヘッダには、STA 520のMACアドレスなどの識別子を、送信元アドレスフィールド内に含めることができる。また、このヘッダには、目標移行先AP 541のアドレスを、送信先アドレスフィールド内に含めることができる。
EAPOLキーフレーム705を受信すると、目標移行先AP 541は、工程710aで受信した前記要求メッセージから読み取ったANonce値を検証し、当該AP 541が取得または生成したANonce 560と、EAPOLキーフレーム705から読み取ったSNonce値とを使ってPTKを計算し、EAPOLキーフレーム705から読み取ったMICを検証する(工程712a)。次に、AP 541は、前記STA RSN情報要素、またはそれから導出された内容を格納する(工程714a)。AP 541は、任意選択で、EAPOLキーフレーム705から読み取った資源要求(含まれている場合)を評価し、STA 520の要求をサポートするために必要な能力および資源を自らが有するかどうか示す資源応答を、前記資源要求に対し生成することができる。
次いでAP 541は、MICおよびEAPOLキーフレーム715を有するFT応答メッセージを生成し、そのFT応答メッセージを、EAPOLキーフレーム715を含め、STA 520へ送信する(工程720a)。このFT EAPOLキーフレーム715には、STA 520の事前認証を容易にする種々のパラメータまたは値を含めることができる。この例では、EAPOLキーフレーム715は、前記APのビーコンまたはプローブ応答メッセージまたはその内容から得られた前記APのRSN情報要素(AP_RSNを含む。このFT応答メッセージには、資源応答を含めることもできる。
EAPOLキーフレーム715は、ヘッダおよびそれに付加された1若しくはそれ以上の情報要素を有する情報要素など、1若しくはそれ以上のデータ構造でカプセル化できる。EAPOLキーフレーム715またはカプセル化データ構造のヘッダには、AP 541についてMACアドレスなどの識別子を送信元アドレスフィールド内に含めることができる。また、このヘッダには、STA 520のアドレスを、送信先アドレスフィールド内に含めることができる。EAPOLキーフレーム715またはそのカプセル化データ構造には、ヘッダまたはオーバーヘッドデータとして他の種々のデータを含めることができる。例えば、AP 541は再関連付け期限を指定してこれをEAPOLキーフレーム715またはそのカプセル化データ構造のヘッダまたはフィールドに含めることができる。この再関連付け期限では、AP 541との再関連付けを開始するためSTA 520に割り当てられた時間を指定できる。再関連付け手順の呼び出し前にこの再関連付け期限が過ぎると、STA 520は、後で高速移行を実行する際、前記事前キー手順を再び開始しなければならなくなる。
EAPOLキーフレーム715を受信すると、STA 520は、EAPOLキーフレーム715から読み取ったAP_RSN値をチェックし、EAPOLキーフレーム715内のAP_RSNがAP 541の前記ビーコン信号から得られたAP_RSN情報要素に合致することを確認する(工程722a)。また、STA 520は、EAPOLキーフレーム715から読み取った前記資源応答(含まれている場合)を評価し、AP 541がSTA 520の移行先として適切な能力および資源を有するかを決定する。
有利なことに、STA 520およびAP 541はPTKをすでに確立しているため、再関連付けが完了すればデータトラフィックは直ちに再開できる。その後、STA 520は、EAPOLキーフレーム715でSTA 520に提供された前記再関連付け期限に定義された時間内に再関連付け工程を開始することができる。
STA 520は、STA 520の本人性または送信元アドレスと、AP 541の本人性または送信先アドレスとを含んだ再関連付け要求(Reassociation Req)725のメッセージを生成する(工程726a)。次に、AP 541は、当該AP 541の本人性または送信元アドレスと、STA 520の本人性または送信先アドレスとを含んだ再関連付け応答(Reassociation Resp)735のメッセージを生成し、その関連付け応答をSTA 520に送信する(工程730a)。この時点で、STA 520とAP 541との間の安全な通信は、交換可能になる(工程734a)。
図7Bは、WLANにおいて現在のAPと目標APとの間の高速BSS移行を容易にする無線インターフェース上での事前キー工程を実施するための、STA 520と、移行先候補または目標移行先であるAP 541との間のシグナリング交換700の別の実施形態を図式により表したものである。図示したシグナリング交換では、現在のAPから候補APまたは目標APへのステーションの高速移行を容易にする高速移行(略称FT)ルーチンの機能的な工程を示している。このFTルーチンは、前記STAが、現在のAPに関連付けられており、本明細書で説明する実施形態に従ってFT手順を実施するようになっている別のAPの存在を検出または発見した場合、当該STAにより呼び出し可能である。
STA 520は、supplicant transitionナンス(STNonce)563を取得または生成できる(工程703b)。STA 520は、SNonce 561と、ANonce 560またはANonceから導出された値とを使ってPTKを計算することができる(工程704b)。例えば、STA 520は、AP 541がブロードキャストするビーコン信号からANonceの値を取得することができる。上記の実施態様は、目標AP 541からANonceの値を取得する他の実施態様で適切に置き換えることもできる。STA 520は、SNonceおよびANonceの値を使って前記PTKを計算できるが、他の実施態様では、当該STAが自らのSNonceと、ANonce値から導出された値(そのANonceの増分値など)とを使用する場合もある。STA 520は、SNonceとANonceとMICとの値を含む可能性があり、かつEAPOLキーフレーム705を有する高速移行(FT)要求メッセージ(FT Req)を生成し、当該STA 520ですでに検出済みの目標移行先APまたは移行先候補AP 541へ前記FT Reqを送信する(工程710b)。EAPOLキーフレーム705には、STA 520の事前認証を容易にする種々のパラメータまたは値を含めることができる。この例において、EAPOLキーフレーム705は、STA 520により生成または取得されたSNonce 561を含みうる。SNonce 561は、PTKセキュリティ関連付け(PTKSA)を生成するため、他の値とともに使用することができる。またEAPOLキーフレーム705は、資源要求と、当該STAのRSN(STA RSN)情報要素と、STNonce 563とを付加的に含むこともできる。EAPOLキーフレーム705は、ヘッダおよびそれに付加された1若しくはそれ以上の情報要素を有する情報要素など、1若しくはそれ以上のデータ構造でカプセル化できる。EAPOLキーフレームまたはカプセル化データ構造のヘッダには、STA 520のMACアドレスなどの識別子を、送信元アドレスフィールド内に含めることができる。また、このヘッダには、目標移行先AP 541のアドレスを、送信先アドレスフィールド内に含めることができる。
EAPOLキーフレーム705を受信すると、目標移行先AP 541は、工程710bで受信した前記要求メッセージから読み取ったANonceを検証し、当該AP 541が取得または生成したANonce 560と、EAPOLキーフレーム705から読み取ったSNonce値とを使ってPTKを計算し、EAPOLキーフレーム705から読み取ったMICを検証する(工程712b)。次に、AP 541は、前記STA RSN情報要素、またはそれから導出された内容を格納する(工程714b)。AP 541は、任意選択で、EAPOLキーフレーム705から読み取った資源要求(含まれている場合)を評価し、STA 520の要求をサポートするために必要な能力および資源を自らが有するかどうか示す資源応答を、前記資源要求に対し生成することができる。次に、疑似乱数からなる移行用ナンス(ATNonce)がAP 541により生成される(工程718b)。
次いでAP 541は、MICおよびEAPOLキーフレーム715を有するFT応答メッセージを生成し、そのFT応答メッセージを、EAPOLキーフレーム715を含め、STA 520へ送信する(工程720b)。EAPOLキーフレーム715には、STA 520の事前認証を容易にする種々のパラメータまたは値を含めることができる。この例では、EAPOLキーフレーム715は、AP 541により生成または取得されたATNonceと、前記APのビーコンまたはプローブ応答メッセージまたはその内容から得られた前記APのRSN情報要素(AP_RSN)とを含む。このFT応答メッセージには、資源応答を含めることもできる。
EAPOLキーフレーム715は、ヘッダおよびそれに付加された1若しくはそれ以上の情報要素を有する情報要素など、1若しくはそれ以上のデータ構造でカプセル化できる。EAPOLキーフレーム715またはカプセル化データ構造のヘッダには、AP 541についてMACアドレスなどの識別子を送信元アドレスフィールド内に含めることができる。また、このヘッダには、STA 520のアドレスを、送信先アドレスフィールド内に含めることができる。EAPOLキーフレーム715またはそのカプセル化データ構造には、ヘッダまたはオーバーヘッドデータとして他の種々のデータを含めることができる。例えば、AP 541は再関連付け期限を指定してこれをEAPOLキーフレーム715またはそのカプセル化データ構造のヘッダまたはフィールドに含めることができる。この再関連付け期限では、AP 541との再関連付けを開始するためSTA 520に割り当てられた時間を指定できる。再関連付け手順の呼び出し前にこの再関連付け期限が過ぎると、STA 520は、後で高速移行を実行する際、前記事前キー手順を再び開始しなければならなくなる。
EAPOLキーフレーム715を受信すると、STA 520は、EAPOLキーフレーム715から読み取ったAP_RSN値をチェックし、EAPOLキーフレーム715内のAP_RSNがAP 541の前記ビーコン信号から得られたAP_RSN情報要素に合致することを確認する(工程722b)。また、STA 520は、EAPOLキーフレーム715から読み取った前記資源応答(含まれている場合)を評価し、AP 541がSTA 520の移行先として適切な能力および資源を有するかを決定する。有利なことに、STA 520およびAP 541はPTKをすでに確立しているため、再関連付けが完了すればデータトラフィックは直ちに再開できる。その後、STA 520は、EAPOLキーフレーム715でSTA 520に提供された前記再関連付け期限に定義された時間内に再関連付け工程を開始することができる。
STA 520は、STA 520の本人性または送信元アドレスと、AP 541の本人性または送信先アドレスとを含んだ再関連付け要求(Reassociation Req)725のメッセージを生成する(工程726b)。再関連付け要求725には、STA 520がEAPOLキーフレーム715から読み取った前記ATNonce(または当該ATNonceから導出された別の値)のダイジェストすなわちハッシュ値を追加で含めることもできる。これを受け、AP 541は、再関連付け要求725を受信した時点で、ATNonce 564をハッシュし、それを再関連付け要求725から読み取った前記ダイジェストすなわちハッシュ値と比較することにより、STA 520がアクティブである(すなわち、現在のPTKを有する)ことを確認することができる(工程728b)。AP 541は、STA 520がアクティブであると確認した場合、当該AP 541の本人性または送信元アドレスと、STA 520の本人性または送信先アドレスとを含んだ再関連付け応答(Reassociation Resp)735のメッセージを生成し、その関連付け応答をSTA 520に送信する(工程730b)。再関連付け応答735には、AP 541がEAPOLキーフレーム705から読み取った前記STNonce(または当該STNonceから導出された別の値)のダイジェストすなわちハッシュ値を追加で含めることもできる。これを受け、STA 520は、再関連付け応答735を受信した時点で、STNonce 563をハッシュし、それを再関連付け応答735から読み取った前記ダイジェストすなわちハッシュ値と比較することにより、AP 541がアクティブであることを確認することができる(工程732b)。AP 541がアクティブであることをSTA 520が確認すると、STA 520とAP 541との間で安全な通信が交換できるようになる(工程734b)。
このように、事前キー工程は、本明細書の実施形態に従い、再関連付けの呼び出し前に実施される。この事前キー工程は、移動前、または前記モバイルステーションが現在のAPから移行先APへ容易に移動できるようにする工程の呼び出し前に、有利に実施される。これにより、キーの取得に必要な処理期間は、この移行にかかる期間から有利に除外される。
図7Aおよび7Bでは、STAおよび目標移行先APととの間のメッセージ交換による、高速移行実施用のメッセージ交換を示しているが、このような構成は単に例示的なものであって、本発明の理解を促すことのみを目的としたものである。例えば、前記高速移行の実施形態は、わずか若干の修正を加えてDS 530上で実施される同様なメッセージ交換によっても実施できる。一実施態様では、EAPOLキーフレーム705、EAPOLキーフレーム715、再関連付け要求725、および再関連付け応答735は、それぞれ、目標APフィールドを含むアクションフレームなどの各フレーム内でカプセル化される。この場合、目標移行先AP 541の本人性またはアドレスは、各カプセル化フレームの前記目標APフィールドに含めることができる。さらに、好適な実施形態では、モバイルステーションは、前記事前キー工程の実施を、無線インターフェース上で行うか、DSを介して行うかを選択することができる。
図7Cは、WLANにおいて現在のAPと目標APとの間の高速BSS移行を容易にするDSインターフェース上での事前キー工程を実施するための、STA 520と、移行先候補または目標移行先であるAP 541との間のシグナリング交換700の実施形態を図式により表したものである。図示したシグナリング交換では、現在のAPから候補APまたは目標APへのステーションの高速移行を容易にする高速移行(略称FT)ルーチンの機能的な工程を示している。このFTルーチンは、前記STAが、現在のAPに関連付けられており、本明細書で説明する実施形態に従ってFT手順を実施するようになっている別のAPの存在を検出または発見した場合、当該STAにより呼び出し可能である。
STA 520は、SNonce 561と、ANonce 560またはANonceから導出された値とを使ってPTKを計算することができる(工程703c)。例えば、STA 520は、AP 541がブロードキャストするビーコン信号からANonceの値を取得することができる。上記の実施態様は、目標AP 541からANonceの値を取得する他の実施態様で適切に置き換えることもできる。STA 520は、SNonceおよびANonceの値を使って前記PTKを計算できるが、他の実施態様では、当該STAが自らのSNonceと、ANonce値から導出された値(そのANonceの増分値など)とを使用する場合もある。STA 520は、EAPOLキーフレーム705cを有するFTアクション要求(Act Req)を生成し、当該STA 520ですでに検出済みの目標移行先APまたは移行先候補AP 541へ、現在のAP 540経由で前記Act Reqを送信する(工程710c1およびc2)。このアクション要求は、SNonce値と、ANonce値と、MIC値と、EAPOLキーフレーム705とを含みうる。EAPOLキーフレーム705(またはその一部)は、計算されたPTKにより保護される。EAPOLキーフレーム705には、STA 520の事前認証を容易にする種々のパラメータまたは値を含めることができる。この例において、EAPOLキーフレーム705は、STA 520により生成または取得されたSNonce 561を含みうる。SNonce 561は、値セットから選ばれる一意の値を有し、この一意の値はPTKセキュリティ関連付け(略称PTKSA)を生成するため他の値とともに使用される。またEAPOLキーフレーム705は、資源要求と、当該STAのRSN(STA RSN)情報要素とを付加的に含むこともできる。EAPOLキーフレーム705は、ヘッダおよびそれに付加された1若しくはそれ以上の情報要素を有する情報要素など、1若しくはそれ以上のデータ構造でカプセル化できる。EAPOLキーフレームまたはカプセル化データ構造のヘッダには、STA 520のMACアドレスなどの識別子を、送信元アドレスフィールド内に含めることができる。また、このヘッダには、目標移行先AP 541のアドレスを、送信先アドレスフィールド内に含めることもできる。
EAPOLキーフレーム705を受信すると、目標移行先AP 541は、工程710c2で受信した前記要求メッセージから読み取ったANonceを検証し、当該AP 541が取得または生成したANonce 560と、EAPOLキーフレーム705から読み取ったSNonce値とを使ってPTKを計算し、EAPOLキーフレーム705から読み取ったMICを検証する(工程712c)。次に、AP 541は、前記STA RSN情報要素、またはそれから導出された内容を格納する(工程714c)。AP 541は、任意選択で、EAPOLキーフレーム705から読み取った資源要求(含まれている場合)を評価し、STA 520の要求をサポートするために必要な能力および資源を自らが有するかどうか示す資源応答を、前記資源要求に対し生成することができる。
次いでAP 541は、MICおよびEAPOLキーフレーム715を有するFTアクション応答(Act Resp)メッセージを生成し、そのアクション応答メッセージを、EAPOLキーフレーム715を含め、現在のAP 540経由でSTA 520へ送信する(工程720c1および工程720c2)。EAPOLキーフレーム715には、STA 520の事前認証を容易にする種々のパラメータまたは値を含めることができる。この例では、EAPOLキーフレーム715は、前記APのビーコンまたはプローブ応答メッセージまたはその内容から得られた前記APのRSN情報要素(AP_RSN)を含む。このFT応答メッセージには、資源応答を含めることもできる。
EAPOLキーフレーム715は、ヘッダおよびそれに付加された1若しくはそれ以上の情報要素を有する情報要素など、1若しくはそれ以上のデータ構造でカプセル化できる。EAPOLキーフレーム715またはカプセル化データ構造のヘッダには、AP 541についてMACアドレスなどの識別子を送信元アドレスフィールド内に含めることができる。また、このヘッダには、STA 520のアドレスを、送信先アドレスフィールド内に含めることができる。EAPOLキーフレーム715またはそのカプセル化データ構造には、ヘッダまたはオーバーヘッドデータとして他の種々のデータを含めることができる。例えば、AP 541は再関連付け期限を指定してこれをEAPOLキーフレーム715またはそのカプセル化データ構造のヘッダまたはフィールドに含めることができる。この再関連付け期限では、AP 541との再関連付けを開始するためSTA 520に割り当てられた時間を指定できる。再関連付け手順の呼び出し前にこの再関連付け期限が過ぎると、STA 520は、後で高速移行を実行する際、前記事前キー手順を再び開始しなければならなくなる。
EAPOLキーフレーム715を受信すると、STA 520は、EAPOLキーフレーム715から読み取ったAP_RSN値をチェックし、EAPOLキーフレーム715内のAP_RSNがAP 541の前記ビーコン信号から得られたAP_RSN情報要素に合致することを確認する(工程722c)。また、STA 520は、EAPOLキーフレーム715から読み取った前記資源応答(含まれている場合)を評価し、AP 541がSTA 520の移行先として適切な能力および資源を有するかを決定する。
有利なことに、STA 520およびAP 541はPTKをすでに確立しているため、再関連付けが完了すればデータトラフィックは直ちに再開できる。その後、STA 520は、EAPOLキーフレーム715でSTA 520に提供された前記再関連付け期限に定義された時間内に再関連付け工程を開始することができる。
STA 520は、STA 520の本人性または送信元アドレスと、AP 541の本人性または送信先アドレスとを含んだ再関連付け要求(Reassociation Req)725のメッセージを生成する(工程726c)。次に、AP 541は、当該AP 541の本人性または送信元アドレスと、STA 520の本人性または送信先アドレスとを含んだ再関連付け応答(Reassociation Resp)735のメッセージを生成し、その関連付け応答をSTA 520に送信する(工程730c)。この時点で、STA 520とAP 541との間の安全な通信は、交換可能になる(工程734c)。
図7Dは、WLANにおいて現在のAPと目標APとの間の高速BSS移行を容易にするDSインターフェース上での事前キー工程を実施するための、STA 520と、移行先候補または目標移行先であるAP 541との間のシグナリング交換700の別の実施形態を図式により表したものである。図示したシグナリング交換では、現在のAPから候補APまたは目標APへのステーションの高速移行を容易にする高速移行(略称FT)ルーチンの機能的な工程を示している。このFTルーチンは、前記STAが、現在のAPに関連付けられており、本明細書で説明する実施形態に従ってFT手順を実施するようになっている別のAPの存在を検出または発見した場合、当該STAにより呼び出し可能である。
STA 520は、supplicant transitionナンス(STNonce)563を取得または生成できる(工程703d)。STA 520は、SNonce 561と、ANonce 560またはANonceから導出された値とを使ってPTKを計算することができる(工程704d)。例えば、STA 520は、AP 541がブロードキャストするビーコン信号からANonceの値を取得することができる。上記の実施態様は、目標AP 541からANonceの値を取得する他の実施態様で適切に置き換えることもできる。STA 520は、SNonceおよびANonceの値を使って前記PTKを計算できるが、他の実施態様では、当該STAが自らのSNonceと、ANonce値から導出された値(そのANonceの増分値など)とを使用する場合もある。STA 520は、EAPOLキーフレーム705cを有するFTアクションメッセージを生成し、当該STA 520ですでに検出済みの目標移行先または移行先候補であるAP 541へ、現在のAP 540経由で、前記FTアクションメッセージを送信する(工程710d1およびd2)。このアクション要求は、SNonce値と、ANonce値と、MIC値と、EAPOLキーフレーム705とを含みうる。EAPOLキーフレーム705には、STA 520の事前認証を容易にする種々のパラメータまたは値を含めることができる。この例において、EAPOLキーフレーム705は、STA 520により生成または取得されたSNonce 561を含みうる。SNonce 561は、PTKセキュリティ関連付け(PTKSA)を生成するため、他の値とともに使用することができる。またEAPOLキーフレーム705は、資源要求と、当該STAのRSN(STA RSN)情報要素と、STNonce 563とを付加的に含むこともできる。EAPOLキーフレーム705は、ヘッダおよびそれに付加された1若しくはそれ以上の情報要素を有する情報要素など、1若しくはそれ以上のデータ構造でカプセル化できる。EAPOLキーフレームまたはカプセル化データ構造のヘッダには、STA 520のMACアドレスなどの識別子を、送信元アドレスフィールド内に含めることができる。また、このヘッダには、目標移行先AP 541のアドレスを、送信先アドレスフィールド内に含めることもできる。
EAPOLキーフレーム705を受信すると、目標移行先AP 541は、工程710d2で受信した前記要求メッセージから読み取ったANonceを検証し、当該AP 541に取得または生成され疑似乱数値を有するANonce 560と、EAPOLキーフレーム705から読み取ったSNonce値とを使ってPTKを計算し、EAPOLキーフレーム705から読み取ったMICを検証する(工程712d)。次に、AP 541は、前記STA RSN情報要素、またはそれから導出された内容を格納する(工程714d)。AP 541は、任意選択で、EAPOLキーフレーム705から読み取った資源要求(含まれている場合)を評価し、STA 520の要求をサポートするために必要な能力および資源を自らが有するかどうか示す資源応答を、前記資源要求に対し生成することができる。次に、疑似乱数からなる移行用ナンス(ATNonce)がAP 541により生成される(工程718d)。
次いでAP 541は、MICおよびEAPOLキーフレーム715を有するFTアクション応答メッセージを生成し、そのアクション応答メッセージを、EAPOLキーフレーム715を含め、現在のAP 540経由でSTA 520へ送信する(工程720d1および工程720d2)。EAPOLキーフレーム715には、STA 520の事前認証を容易にする種々のパラメータまたは値を含めることができる。この例では、EAPOLキーフレーム715は、AP 541により生成または取得されたATNonceと、前記APのビーコンまたはプローブ応答メッセージまたはその内容から得られた前記APのRSN情報要素(AP_RSN)とを含む。このFT応答メッセージには、資源応答を含めることもできる。
EAPOLキーフレーム715は、ヘッダおよびそれに付加された1若しくはそれ以上の情報要素を有する情報要素など、1若しくはそれ以上のデータ構造でカプセル化できる。EAPOLキーフレーム715またはカプセル化データ構造のヘッダには、AP 541についてMACアドレスなどの識別子を送信元アドレスフィールド内に含めることができる。また、このヘッダには、STA 520のアドレスを、送信先アドレスフィールド内に含めることができる。EAPOLキーフレーム715またはそのカプセル化データ構造には、ヘッダまたはオーバーヘッドデータとして他の種々のデータを含めることができる。例えば、AP 541は再関連付け期限を指定してこれをEAPOLキーフレーム715またはそのカプセル化データ構造のヘッダまたはフィールドに含めることができる。この再関連付け期限では、AP 541との再関連付けを開始するためSTA 520に割り当てられた時間を指定できる。再関連付け手順の呼び出し前にこの再関連付け期限が過ぎると、STA 520は、後で高速移行を実行する際、前記事前キー手順を再び開始しなければならなくなる。
EAPOLキーフレーム715を受信すると、STA 520は、EAPOLキーフレーム715から読み取ったAP_RSN値をチェックし、EAPOLキーフレーム715内のAP_RSNがAP 541の前記ビーコン信号から得られたAP_RSN情報要素に合致することを確認する(工程722d)。また、STA 520は、EAPOLキーフレーム715から読み取った前記資源応答(含まれている場合)を評価し、AP 541がSTA 520の移行先として適切な能力および資源を有するかを決定する。有利なことに、STA 520およびAP 541はPTKをすでに確立しているため、再関連付けが完了すればデータトラフィックは直ちに再開できる。その後、STA 520は、EAPOLキーフレーム715でSTA 520に提供された前記再関連付け期限に定義された時間内に再関連付け工程を開始することができる。
STA 520は、STA 520の本人性または送信元アドレスと、AP 541の本人性または送信先アドレスとを含んだ再関連付け要求(Reassociation Req)725のメッセージを生成する(工程726d)。再関連付け要求725には、STA 520がEAPOLキーフレーム715から読み取った前記ATNonce(または当該ATNonceから導出された別の値)のダイジェストすなわちハッシュ値を追加で含めることができる。これを受け、AP 541は、再関連付け要求725を受信した時点で、ATNonce 564をハッシュし、それを再関連付け要求725から読み取った前記ダイジェストすなわちハッシュ値と比較することにより、STA 520がアクティブである(すなわち、現在のPTKを有する)ことを確認することができる(工程728d)。AP 541は、STA 520がアクティブであると確認した場合、当該AP 541の本人性または送信元アドレスと、STA 520の本人性または送信先アドレスとを含んだ再関連付け応答(Reassociation Resp)735のメッセージを生成し、その関連付け応答をSTA 520に送信する(工程730d)。再関連付け応答735には、AP 541がEAPOLキーフレーム705から読み取った前記STNonce(または当該STNonceから導出された別の値)のダイジェストすなわちハッシュ値を追加で含めることもできる。これを受け、STA 520は、再関連付け応答735を受信した時点で、STNonce 563をハッシュし、それを再関連付け応答735から読み取った前記ダイジェストすなわちハッシュ値と比較することにより、AP 541がアクティブであることを確認することができる(工程732d。AP 541がアクティブであることをSTA 520が確認すると、STA 520とAP 541との間で安全な通信が交換できるようになる(工程734d)。s
図7Cおよび7Dで説明した実施態様において、前記事前キー工程は、再関連付けの呼び出し前に実施されるため、移動前、または前記モバイルステーションが現在のAPから移行先APへ容易に移動できるようにする工程の呼び出し前に、有利に実施されることができる。これにより、キーの取得に必要な処理期間は、この移行にかかる期間から有利に除外される。さらに、無線インターフェース上で直接移行先APと、またはDSを介して、前記事前キー工程を実施する機構が提供される。好適な実施形態では、モバイルステーションは、前記事前キー工程の実施を、無線インターフェース上で行うか、DS上で行うかを選択することができる。
図8は、本明細書で説明する実施形態に従って実施(実装)される高速移行手順用のメッセージタイミングを図式により例示したものである。STA 520は、AP 540に関連付けられ、通信可能に連結されている(工程810)。次に、STA 520は、移行を試行すべき移行先候補または潜在的移行先であるAP 541を発見する(工程820)。次に、事前キー工程がSTA 520により呼び出される(工程830)。次いで、STA 520から移行先候補AP 541への再関連付け要求の送信と、AP 541からSTA 520への再関連付け応答メッセージの送信とを含む再関連付け工程が実施される(工程840)。次に、STA 520は、AP 541に関連付けられ(工程850)たのち、AP 541と安全な通信を開始できるようになる。有利なことに、AP 540からAP 541への通信ハンドオーバーに消費される移行時間では、PTK取得用に実施される前記事前キー工程の期間が除外される。
本明細書で説明する実施形態は、再関連付け手順の開始前に認証手順を実施する事前キー工程の機構により、前記移行期間を短縮する。これにより移行時間が有利に短縮され、WLANでローミングするSTAにとって通信サービスの改善が実現される。
以上の説明は、本発明の実施態様の好適な実施例であり、本発明の範囲はこの説明によって限定されるものではない。本発明の範囲は、添付の特許請求の範囲により定義されるものである。