JP2020532187A - Wlanなどのワイヤレスネットワーク内のアクセスおよび/または転送制御を実施するための方法および装置 - Google Patents

Wlanなどのワイヤレスネットワーク内のアクセスおよび/または転送制御を実施するための方法および装置 Download PDF

Info

Publication number
JP2020532187A
JP2020532187A JP2020509028A JP2020509028A JP2020532187A JP 2020532187 A JP2020532187 A JP 2020532187A JP 2020509028 A JP2020509028 A JP 2020509028A JP 2020509028 A JP2020509028 A JP 2020509028A JP 2020532187 A JP2020532187 A JP 2020532187A
Authority
JP
Japan
Prior art keywords
key
message
access point
wireless terminal
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2020509028A
Other languages
English (en)
Inventor
フレイ、ランダル
ゴールドストーン、ガイ
デイド、ニコラス
チェン、リンカー
ハジェラ、スジャイ
Original Assignee
ミスト・システムズ、インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ミスト・システムズ、インコーポレイテッド filed Critical ミスト・システムズ、インコーポレイテッド
Publication of JP2020532187A publication Critical patent/JP2020532187A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

ワイヤレス通信システム内で、通信される情報、たとえばトラフィックへのアクセスおよび/または通信される情報の転送を制御するための方法および装置が説明される。通信されたコンテンツを宛先デバイスアクセスに提供するか否かを決定するとき、宛先デバイスへの通信のためにアクセスポイントに送信されるデータを保護するために使用された鍵、たとえばPSKが考慮に入れられる。通信への宛先デバイスアクセスを提供するか否かの決定は、宛先デバイスへの配信のために、受信されたデータを別のデバイス、たとえば別のアクセスポイントに転送するか否かを決定することを含み得、および/または宛先デバイスにデータを送信するか否かを決定することを含み得る。宛先デバイスが、受信されたデータを保護するために使用された鍵に関連付けられない、たとえば鍵へのアクセスおよび/または鍵を使用する権限を有さない場合、データは宛先デバイスに通信されない。

Description

[0001]本願はワイヤレスネットワークに関し、より詳細には、WLAN(ワイヤレスローカルエリアネットワーク)または別のネットワークを使用して通信される、通信される情報たとえばトラフィックへのアクセスを制御および/または制限するために使用され得る方法および/または装置に関する。
[0002]ワイヤレスローカルエリアネットワーク(WLAN)および様々な他のタイプのネットワークが、セルフォンなどのワイヤレスデバイス間で、したがって異なるセルフォンを使用するユーザ間で情報、たとえばデータを通信するために一般的に使用されている。暗号化の使用を通じてセキュリティを実現するための一般的な手法は、事前共有鍵(Pre−Shared Key)を表すPSKと呼ばれるものの使用を含む。
[0003]多くのシステムでは、ネットワークの無許可使用を回避し、無線で送信される情報についてのセキュリティを実現するために、無線でワイヤレスに送信される情報はしばしば、暗号鍵とも呼ばれることがあるセキュリティ鍵を使用して暗号化され、たとえば保護される。WiFiシステムはしばしば、そのような暗号化を可能にするために、セキュリティのための事前共有鍵(PSK)の使用に依拠する。そのようなシステムでは、PSKはしばしば、特定の通信セッションおよび/または制限された時間期間についての通信を暗号化および/または解読するために使用される短期暗号鍵を生成するために、他の情報または値と組み合わせて使用される。そのようなシステムでは、PSKは、特定の通信を直接的に暗号化または解読するために使用されないことがあるが、PSKは、送信または受信された通信の実際の暗号化/解読を実施するために使用される一時的暗号鍵の生成で使用されるので、通信の保護、たとえば暗号化を可能にし、使用される。
[0004]Wi−Fi Protected Access(WPA)は、PSKの使用に依拠する、ワイヤレスコンピュータネットワークを保護するためにWi−Fi Allianceによって開発された、一般的に使用されているセキュリティプロトコルである。
[0005]WPA−PSK(事前共有鍵)モードとして識別されることもあるWPA−Personalは、各ワイヤレスネットワークデバイスが256ビット鍵を使用してネットワークトラフィックを暗号化する、ホームおよびスモールオフィスネットワーク向けに設計された一般的なセキュリティ手法である。この鍵は、64桁の16進数の文字列として、または8から63桁のASCII文字のパスフレーズとして入力され得る。
[0006]WPAセキュリティで保護されたWLANは通常、WLAN上のすべてのステーションについて単一のPSK(事前共有鍵)を使用する。いくつかのベンダは、単一のWLAN上で複数のPSK(「プライベートPSK」)または「ユーザ単位PSK」を可能にする。単一のPSKがすべてのデバイスによって使用される通常の実装、または異なるユーザが異なるPSKを使用する実装のどちらでも、データが無線局から到着するとき、適切な鍵をルックアップするためにステーションのMACアドレスが使用され、次いでトラフィックを解読するために鍵が使用される。次いで、宛先デバイスへの送信前に、受信されたトラフィックを再符号化するために同等の鍵ルックアップが使用される。したがって、受信されると、データが復号化され、次いで送信の前に再符号化される。
[0007]エアリンクを介して送られるトラフィックを保護するためにPSKが使用されるが、復号化されると、受信側アクセスポイントによるコンテンツが首尾よく復号化されることを仮定して、従来のシステムでは、元のPSKはルーティングまたは再送信の決定に作用せず、または影響を及ぼさず、首尾よく復号化されたデータは、復号化されたトラフィック内に含まれる宛先アドレスまたは他の宛先標識に基づいてルーティングされ、送信される。
[0008]デバイスがマルチモードデバイスにつれて、あるネットワーク上で送信されるデータが、宛先デバイスへの配信のために別のネットワークに通信されることがより一般的になりつつある。異なるネットワークは、異なる暗号化技法を使用し得、現在のシステムでは、たとえば、トラフィックを送る元のワイヤレス端末からトラフィックを受信するアクセスポイントへの送信のために、通信ネットワークを介して送信されているトラフィックが元々はどのように暗号化されたかについての知識を持たないことがある。
[0009]データセキュリティに対する一手法は、ソースデバイスから宛先デバイスに送信されるときにデータを暗号化形式に保ち、それによって、送信されるデータを受信側デバイスが元の形式に解読することができることを必要とすることによってセキュリティを実現することである。そのようなエンドツーエンド暗号化はしばしば、ワイヤレス端末とアクセスポイントとの間のエアリンクを介して使用される暗号化に追加されるものであり、その暗号化とは独立したものである。そのようなエンドツーエンド暗号化が使用されるとき、トラフィックが送信されるネットワークは一般に、単なる配信デバイスとして働き、エンドデバイスは、エンドデバイスが受信するトラフィックが、実際にデバイスが解読し、使用することのできるトラフィックであることを確認する役目を果たす。そのようなエンドツーエンド暗号化手法では、受信する資格のないデータを受信するデバイスは、そのような暗号化を実施するために必要とされるセキュリティ鍵を欠いているので、データを解読することができないことになる。しかしながら、宛先デバイスに宛てられたそのようなコンテンツを配信する際にネットワークリソースが浪費されることになる。
[00010]アクセスポイントでトラフィックを解読することなくトラフィックを送信することは、いくつかのケースではエンドツーエンドセキュリティを改善し得るが、オーバヘッドを増大させる傾向があり、コンテンツを解読することができず、最初にトラフィックを受信すべきでなかったデバイスへのトラフィックの通信および/または転送という結果になり得る。
[00011]上記の議論から、トラフィックを通信するために使用されるネットワークデバイスによって解読されない暗号化形式のトラフィックの通信は、必ずしもすべてのケースではないが、少なくともいくつかのケースでは、浪費となり得、最終的に使用されず、恐らくは決して最初に配信されるべきではなかったが、アドレッシングエラーまたは何らかの他の理由のために配信されたデータの送信および通信という結果となり得ることを理解されたい。
[00012]コンテンツが通信ネットワークを通じて送信されるとき、必ずしもすべてのケースではないが、少なくともいくつかのケースでは、コンテンツのエンドツーエンド暗号化を必要とすることなく、暗号鍵へのデバイスのアクセスに基づいてコンテンツへのアクセスおよび/またはコンテンツの転送を制限するために使用され得る改良型の方法および/または装置が開発されるなら望ましいはずである。
[00013]ワイヤレス通信システムにおいて、通信される情報、たとえばトラフィックのアクセスおよび/または転送を制御するための方法および装置が説明される。様々な実施形態では、宛先デバイスにコンテンツを提供するか否かを決定するときに、宛先デバイスへの通信のためにアクセスポイントに送信されるデータの暗号化および/または解読を可能にするために、どの鍵、たとえばPSKが使用されるかが考慮に入れられる。宛先デバイスにコンテンツを提供するか否かの決定はアクセス制御決定であり、宛先デバイスへの配信のために、受信されたデータを別のデバイス、たとえば別のアクセスポイントに転送するか否かを決定することを含み得、および/または宛先デバイスが送信側デバイスと同一のアクセスポイントに接続されるとき、宛先デバイスにデータを送信するか否かを決定することを含み得る。様々な実施形態では、宛先デバイスが、受信されたデータの暗号化および/または解読を可能にするために使用された事前共有鍵(PSK)に関連付けられない場合、たとえば、事前共有鍵(PSK)へのアクセスおよび/または事前共有鍵(PSK)を使用する権限を有さない場合、データは宛先デバイスに通信されない。
[00014]送り側デバイスとアクセスポイントとの間のエアリンクを介する通信のためにデータの暗号化を可能にするために使用される鍵、たとえばPSKがアクセス制御動作中に考慮に入れられるが、多くのケースでは、宛先デバイスが結合されるアクセスポイントから宛先デバイスにPSKが配信されることを仮定して、アクセス制御動作はデータを送信するために使用される暗号鍵を生成するために使用されるPSKから分離されることに留意されたい。言い換えれば、PSK、たとえば第1の暗号鍵、または送り側デバイス、たとえば第1のワイヤレス端末と、送り側デバイスが結合される第1のアクセスポイントとの間の第1のエアリンクを保護するために使用される暗号鍵を使用するセキュリティ手順は、宛先デバイス、たとえば第2のワイヤレス端末と、第2のワイヤレス端末が結合されるアクセスポイント、たとえば第2のアクセスポイントとの間の通信を保護するために使用される暗号鍵、たとえば第2のPSKとは異なり得、多くの場合、異なることになる。特定の通信を保護するために使用される、上記で論じたPSKは、一時的または過渡的暗号鍵の生成で使用され得、多くの場合、使用され、次いで一時的または過渡的暗号鍵は、無線で送信されるワイヤレス通信の実際の暗号化または解読を実施するために使用される。
[00015]様々な実施形態では、データ、たとえばメッセージや通信すべき他の情報などのトラフィックが、暗号化形式で受信され、次いで、たとえば第1の暗号鍵、たとえば解読または暗号化のために使用される過渡的暗号鍵を生成するために使用される第1のPSKを使用して解読される。所期の宛先デバイスが、トラフィックデータと通信され得、通常は通信される宛先アドレスまたは他の宛先識別子によって識別される。宛先デバイスに通信すべきコンテンツの解読および/またはコンテンツの暗号化を可能にするために送り側デバイスによって使用された鍵、たとえばPSKが宛先デバイスに関連付けられるかどうかに関してチェックが行われる。このチェックは、アクセス制御デバイスとして働くデバイスによって行われ得、行われることがあるが、チェックは、特定の実施形態に応じてシステム内の様々な位置で行われ得る。
[00016]通信すべきトラフィックを受信するアクセスポイントは、アクセス制御デバイスとして働き得、多くの場合、働くことになる。これは特に、宛先デバイスがソースデバイスと同一のアクセスポイントに接続され、宛先デバイスに関連付けられる1つまたは複数の鍵、たとえばPSKの知識を有する場合に一般的である。たとえば、宛先デバイスは、どのPSK鍵がアクセスポイントと宛先デバイスとの間の通信を保護するために使用されているかを知っており、またはネットワーク内の管理ノードなどの別のデバイスによって維持または配布される鍵関連付けレコードへのアクセスを有するからである。通信すべきトラフィックを受信するアクセスポイントがアクセス制御デバイスとして働いており、宛先デバイスが宛先デバイスへの通信のためにアクセスポイントに送られたトラフィックの解読および/または暗号化を可能にするために使用された鍵、たとえばPSKに関連付けられないと決定した場合、アクセスポイントは、コンテンツがそれを通じて宛先デバイスに配信され得るネットワーク内の宛先デバイスまたは別のデバイスにデータを転送することなくデータをドロップする。そのような手法は、宛先デバイスが第1のアクセスポイントに送信されたトラフィックの解読を可能にするために使用される暗号鍵、たとえばPSKに関連付けられないとき、ネットワークを通じて、または第1のアクセスポイントのダウンリンクを介してトラフィックを送ることを回避する。
[00017]宛先デバイスが通信すべきデータを受信した第1のアクセスポイントに直接的に接続されないようないくつかのケースでは、第1のアクセスポイントは、どの鍵、たとえばPSKが宛先デバイスに関連付けられるかについての情報を有さないことがある。そのような実施形態では、第1のアクセスポイントは、元の暗号化トラフィックの解読を可能にするために使用された暗号鍵、たとえばPSKを示す情報と共に、解読されたトラフィックを宛先デバイスに転送する。トラフィックが宛先デバイスに通信される前に、別のネットワークデバイス、たとえば宛先デバイスが接続される第2のアクセスポイントが、アクセス制御デバイスとして働き、元々送信されたコンテンツを解読することを可能にするために使用された暗号鍵、たとえばPSKが宛先デバイスに関連付けられるかを確認するためにチェックする。
[00018]たとえば、宛先デバイスが接続される第2のアクセスポイントアクセスがアクセス制御デバイスとして働く実施形態を考慮する。そのような実施形態では、第2のアクセスポイントは、宛先デバイスとの通信を保護するためにどんな暗号鍵、たとえばPSKを使用しているかの知識を有し、第2のアクセスポイントがネットワーク内の管理ノードまたは他のデバイスによって提供される宛先デバイスについての鍵関連付けレコードへのアクセスを有さない場合、他のどんな暗号鍵、たとえばPSKがデバイスに関連付けられるかに関して宛先デバイスに情報を要求することもできる。
[00019]アクセス制御デバイスとして、たとえば宛先デバイス、たとえば宛先ワイヤレス終端が接続されるアクセスポイントとして働くデバイスが、ソースワイヤレス端末によって第1のアクセスポイントに送信されたトラフィックの解読を可能にするために使用された鍵、たとえばPSKに宛先デバイスが関連付けられると決定した場合、データは、宛先デバイスと宛先デバイスが接続されるアクセスポイントとの間のエアリンクを保護するためにどんな鍵、たとえばPSKが使用されるとしても、保護され暗号化され、宛先デバイスに送信される。PSKを用いるデータの保護は、送信すべきデータを暗号化するようにデータを保護するために使用されるPSKから生成された過渡的鍵を使用することを含み得、含むことがある。データは、通信されているデータを保護する、たとえばデータの暗号化および解読を可能にするために元々使用されるために使用された第1の鍵、たとえばPSKとは異なる鍵、たとえば第2のPKSで保護され得、保護されることがある。したがって、宛先デバイスが、元の通信を保護するために使用された鍵、たとえばPSKに関連付けられることが必要とされ得るが、完全に異なる鍵、たとえば第2のPSKが、宛先デバイスに対するエアリンクを介するデータを保護するために使用され得る。したがって、宛先デバイスが結合されるアクセスポイントは、同一のPSKを使用する必要がなく、無線送信のために元のソースデバイスによって使用された暗号化方式とは異なる暗号化方式を使用することさえもできる。
[00020]上記に鑑みて、本発明による方法および装置が、同一のワイヤレスネットワーク上のデバイス間だけでなく、エアリンクを介する、異なる暗号化および/またはセキュリティ、さらには潜在的には無線を介する異なるプロトコルを使用するネットワークの間で送られるトラフィックについてもアクセス制御を実現するのに十分に適していることを理解されたい。たとえば、本明細書で説明される方法および装置は、WiFiネットワーク上で動作するソースデバイスと、異なるネットワーク、たとえばLTE(登録商標)ネットワーク上で動作する宛先デバイスとの間の、またはその逆のアクセス制御を実現するために使用され得る。
[00021]前述の方法および装置に関する多数の変形形態が可能であり、本発明の範囲内にある。様々な実施形態が上記の概要で論じられたが、必ずしもすべての実施形態が同一の特徴を含むとは限らず、前述の特徴のうちのいくつかはすべての実施形態について必要ではないことを理解されたい。様々な実施形態の多数の追加の特徴、実施形態、および利点が、以下の詳細な説明で論じられる。
[00022]例示的実施形態による例示的システムの図面。 [00023]図1に示されるシステムで使用され得る例示的アクセスポイントを示す図。 [00024]いくつかの実施形態で使用される例示的鍵関連付けテーブルを示す図。 [00025]図3に示されるような鍵関連付けテーブルを作成および/または更新するために図1のシステム内の管理ノードまたは他のデバイスによって使用され得る鍵情報記憶ルーチンを示す図。 [00026]本発明の例示的一実施形態に従って実装された通信方法の第1の部分。 [00027]本発明の例示的一実施形態に従って実装された通信方法の第2の部分。 [00028]本発明の例示的一実施形態に従って実装された通信方法の第3の部分。 [00029]本発明の例示的一実施形態に従って実装された通信方法の第4の部分。 [00030]本発明の例示的一実施形態に従って実装された通信方法の第5の部分。 [00031]図5A、5B、5C、5D、および5Eの組合せを備える図。 [00032]例示的実施形態による例示的通信方法のフローチャートの第1の部分。 [00033]例示的実施形態による例示的通信方法のフローチャートの第2の部分。 [00034]図6Aと図6Bとの組合せを備える図。 [00035]例示的実施形態による、例示的アクセスポイント内に含まれ得る構成要素の例示的アセンブリの第1の部分。 [00036]例示的実施形態による、例示的アクセスポイント内に含まれ得る構成要素の例示的アセンブリの第2の部分。 [00037]図7Aと図7Bとの組合せを備える図。 [00038]1つまたは複数のマルチキャストメッセージのコンテンツへのアクセスを制御するためにセキュリティ方法が使用される例示的マルチキャスト実施形態を示す図。
[00039]図1は、例示的実施形態に従って実装された例示的システム100の図面である。例示的システム100は、相異なる場所に位置する複数の顧客構内、たとえば第1の顧客構内102、たとえば店またはホテルと、第2の顧客構内104、たとえば自宅またはオフィスとを含む。第1のアクセスポイントAP1 106は、たとえばWiFiアクセスポイントであり得、第1の場所1 102に配置され、第2のアクセスポイントAP2108は、第2のWiFiアクセスポイントであり得、第2の場所104に配置される。図1に示される例示的システムでは第1および第2のアクセスポイント106、108についてWiFiアクセスポイントが使用されるが、アクセスポイントは、広範な様々なタイプのアクセスポイントのいずれでもあり得、いくつかの実施形態では、複数の異なる通信プロトコルおよび/または規格をサポートし得る。たとえば、Bluetooth(登録商標)アクセスポイントがWiFiアクセスポイント106、108の代わりに使用され得、またはBluetoothとWiFiの両方をサポートし得るAPが使用され得る。
[00040]システム100はまた、マクロまたはフェムト基地局、たとえばLTE基地局110がある第3の場所105をも含む。基地局110は、認可スペクトルおよびLTE通信プロトコルを使用する第3のアクセスポイント(AP3)として働く。
[00041]したがって、例示的システム100では、第1から第3の場所はそれぞれ、少なくとも1つのアクセスポイントを含み、アクセスポイントは、たとえば、通信ネットワーク149にアクセスポイントを接続する通信リンク146、148、150を介して互いに結合される。通信ネットワーク149は、サービスプロバイダネットワーク、インターネット、またはそれぞれ第1から第3の場所102、104、105に配置されたワイヤレスアクセスポイント106、108、および110を接続するために使用される何らかの他のネットワークであり得る。いくつかの実施形態では、1つまたは複数のアクセスポイント間で、たとえば第1のアクセスポイント106と第2のアクセスポイント108との間でセキュアトンネル132が確立されるが、1つまたは複数のセキュアトンネルの使用は任意選択である。
[00042]アクセスポイント106、108、110に加えて、通信システム100は、任意選択であり、すべてではないがいくつかの実施形態で使用される管理ノード112を含む。管理ノード112は、ワイヤレス端末鍵関連付け情報114を記憶するための記憶デバイス115を含む。管理ノード112が存在する少なくともいくつかの実施形態では、管理ノード112は、ワイヤレス端末鍵関連付けレコード114を記憶し、鍵関連付けレコード114のコピーをアクセスポイント106、108、110に供給することによって、必要に応じてアクセスポイント106、108、110に対して鍵関連付け情報を利用可能にする役目を果たす。鍵関連付けレコードは、ワイヤレス端末がどの鍵、たとえばPSKを使用する/にアクセスすることが可能にされ、または使用する/にアクセスするかを示す情報を記憶する。鍵関連付けテーブル114内のレコードは、レコードが対応するワイヤレス端末を識別し、どの鍵、たとえばPSK、マスタ、または長期鍵がワイヤレス端末に関連付けられるかを識別する。鍵関連付けテーブル114内の鍵は、通信セッションの持続時間よりも長く有効であり得、有効であることがあり、数日、数週間、さらにはそれ以上にわたって有効であり得る。鍵関連付けテーブル114内で示される鍵は、ワイヤレス通信を保護するために使用されるPSKであり得、PSKであることがあり、エアリンクを介して送られる通信を暗号化および/または解読するために使用される1つまたは複数の過渡的鍵を生成するために使用され得る。いくつかの実施形態では、レコードは、ワイヤレス端末識別子と、ワイヤレス端末に関連付けられる鍵/暗号化情報、たとえばワイヤレス端末にとって既知であり、ワイヤレス端末による使用のために利用可能なPSKまたは他の長期鍵のリストとを含む。あるレコードは、各ワイヤレス端末についてシステム内に維持される。管理ノード112は、使用する鍵を管理ノード112にレポートし得、もしくは管理ノード112へのアクセスを有するワイヤレス端末から、またはアクセスポイントが所与の時刻に特定のワイヤレス端末との通信を保護するためにどの鍵、たとえばPSKを使用しているかを管理ノード112にレポートし得る1つまたは複数のアクセスポイントから、個々のワイヤレス端末に対応する鍵情報、たとえばPSKまたは他の長期鍵情報を受信し得る。管理ノード112は、管理ノード112が受信する情報に基づいて、個々のワイヤレス端末に対応するレコードを更新する。したがって、経時的に、複数の異なるアクセスポイントが、特定のワイヤレス端末との通信を保護するために何の鍵、たとえばPSKが使用されているかを管理ノードにレポートするとき、そのワイヤレス端末に対応するレコードが、ワイヤレス端末が異なるアクセスポイントで使用していた複数の鍵へのアクセスを有することを反映するために更新され得、通常は更新されることになる。管理ノード112によって記憶される個々のワイヤレス端末についての鍵関連付けレコードは、AP内に記憶されるWT鍵レコードと同一または同様であり得る。
[00043]各アクセスポイント106、108、110は1つまたは複数のワイヤレス端末と通信する。図1のシステムでは、ワイヤレス通信リンク140、142、143によって表されるように、第1のワイヤレス端末(WT 1)116、第2のワイヤレス端末(WT 2)118、および第3のワイヤレス端末(WT 3)160が、AP1 106に接続されるように示されている。AP1 106は、ワイヤレス端末鍵レコード107、123、131のセットを記憶する。レコードのセット内の各レコードは、WT IDと、WTに関連付けられる鍵、たとえばWiFiや他のPSKなどの長期鍵のセットとを含む個々のレコードであり得、いくつかの実施形態ではそうである。たとえば、レコード107は、WT 1 116に対応する第1の識別子WT 1 ID 122と、第1のワイヤレス端末WT 1に対応する鍵117のリストとを含む。WT 1に対応する鍵117のセットは単一の鍵PSK1を含み、WT1 116とAP1 106との間のトラフィック、たとえばおよび/またはメッセージを通信するために使用されるエアリンク140を介する通信を保護する、たとえば暗号化および/または解読を可能にするために使用される鍵であることを示すために、1に下線が引かれている。AP1 106と同様に、ワイヤレス端末116はメモリ内に暗号鍵PSK 1 117を記憶し、鍵は、WT 1 116が接続されるアクセスポイントAP1 106との通信を保護するために使用される。
[00044]ワイヤレス端末2 118は、ワイヤレスリンク142によってAP 1 106に接続される。WT 2 118は3つの異なるPSK鍵PSK1、3、および4を含み、WT 2 118が接続されるAP1 106との通信を保護するために使用されることを示すために、1に下線が引かれている。第1のアクセスポイント106内に記憶されるWT 2 118に対応する鍵レコード123は、WT 2 ID 126がレコード123の部分として配置されることによって示されるように、鍵PSK 1、3、および4がレコード123の鍵部分119でWT 2に関連付けられることを反映する。
[00045]ワイヤレス端末3 160はワイヤレスリンク143によってAP 1 106に接続される。WT 3 160は、2つの異なるPSK鍵PSK2および3を含み、WT 3 160が接続されるAP1 106との通信を保護するために使用されることを示すために、2に下線が引かれている。第1のアクセスポイント106内に記憶されるWT 3 160に対応する鍵レコード131は、WT 3 ID 134がレコード131の部分として配置されることによって示されるように、鍵PSK2および3がレコード131の鍵部分133でWT 3に関連付けられることを反映する。
[00046]図1では、場所2 104へのWT2 118の移動を表すために矢印151が使用され、場所2 104では、WT2 118がAP 2 108に接続されることが示され、場所1 102にあったときとは異なる時にはWT 2 118であることを示すために、参照番号118’で識別される。WT 2 118’は場所2にあるが、例示のために、他のワイヤレス端末のいずれもWT 2以外のセルを移動または変更していないと仮定する。場所2 104にある間、ワイヤレス端末は、通信リンク144によって接続されるAP 2 108との通信を保護するために、PSK 1を使用するのではなく、PSK4を使用する。AP 2 108は、PSK鍵1、3、および4がWT 2に関連付けられることと、WT 2 ID 126によってレコード127内で識別されるWT 2との通信を保護するために鍵PSK4が使用されていることとを示す鍵情報127を含むWT 2に対応する鍵レコード111を含む。
[00047]ワイヤレス端末WT 1 116またはWT 3 160の一方によって送られ、WT 2に宛てられたトラフィックデータは、AP106によって受信および解読される。データがWT 1 116からのものである場合、トラフィックの解読を可能にするためにPSK 1が使用されるが、データがWT 3 160からのものである場合、トラフィックの解読を可能にするためにPSK 2が使用される。トラフィックと共に送られた宛先識別子、たとえばWT 2 106に対応する宛先アドレスに基づいて、AP1は、鍵レコードと、WT 2に宛てられた受信されたトラフィックを解読するためにどの鍵が使用されたかを示す情報とに基づいて、WT 2 118がコンテンツ、たとえばトラフィックにアクセスすることを可能にされているかどうか、したがってコンテンツがWT 2に通信されるべきか否かを決定する。いくつかの実施形態では、エアリンクを介してソースWTからAPに通信されたトラフィックを受信する資格を得るためには、宛先デバイスは、受信されたデータを保護するために受信側AP、たとえばAP1 106によって使用された鍵、たとえばPSKに関連付けられること、たとえば鍵を使用する資格がある、および/または鍵へのアクセスを有することが必要とされる。
[00048]WT 1 116またはWT 3 160からWT 2への配信のために向けられる、たとえば宛てられる、WT 1 116またはWT 3 160から送られたメッセージのケースでは、AP1 106は、WT 2に宛てられたトラフィックを保護する、たとえばトラフィックの暗号化を可能にするために使用された鍵、たとえばPSKがWT 2に関連付けられるかどうか、WT 2に関連付けられる鍵レコード123をチェックする。たとえば、WT 1 116が、「マスタ」鍵と見なされ得るPSK 1から生成された短期鍵でトラフィックを暗号化することを考慮する。PSK 1はWT 2の鍵レコード123内にある。したがって、WT 2は、AP1 106に接続され、通信を保護するためにPSK 1を使用している間、WT 1 116によって送られるコンテンツを受信する資格がある。WT 1 116からのトラフィックが受信された時にWT 2がAP 1 106に接続される場合、アクセス制御および/または転送機能の部分として実施される鍵関連付けチェックが満たされ、通信を保護するためにPSK 1を使用してトラフィックが再暗号化され、次いで通信が、エアリンク142を介してAP1 106からWT 2 118に送信される。しかしながら、WT 2に宛てられたトラフィックがAP 1 106で受信された時にWT 2がAP2 108に接続される場合、解読されたデータが、たとえばトンネル132を介して、配信のためにAP 2 108に転送される。AP2 108に対応する場所2 104でトラフィックを保護するためにPSK4が使用される。そのようなケースでは、AP2 108は、通信を保護するためにPSK 4を使用し、通信を保護する部分として、PSK4に基づいて生成された暗号鍵を使用してデータを再暗号化し、エアリンク144を介してWT 2 118’に暗号化データを送信する。したがって、WTに配信すべきコンテンツを元々保護するために使用される鍵、たとえばPSKが、アクセス制御のために、たとえば転送および/または配信目的で考慮されるが、トラフィックを元々保護するために使用された鍵、たとえばPSKは、最終的配信のためにトラフィックを保護するために使用される鍵である必要はないことを理解されたい。
[00049]アクセスポイントは、同一または異なるネットワークの部分であり得、同一または異なる通信プロトコルを使用し得る。たとえば、図1の例では、AP 1 106は、WT 1 116およびWT 2 118との通信を保護するためにPSK 1を使用するWiFiアクセスポイントであり、PSK 2は、WT 3 160との通信を保護するために使用される。
[00050]図1では、AP 3 110はLTE基地局である。AP 3 110は、WT 4 167に対するエアリンク179を介する通信を保護するためにLTEセキュリティプロトコルおよびLTE暗号鍵を使用する。WT 4 167は、鍵レコード163と、WiFiネットワークとの通信のための鍵PSK 2および5と、LTEエアリンク179を介する通信のためのLTE KEY 1とをメモリ内に含むマルチモードデバイスである。AP 3 110は、レコード175の鍵情報部分163で、WT 4 167が鍵PSK 2、5およびLTE Key 1に関連付けられることと、LTE Key 1が下線によって示されるように、AP 3 110との通信を保護するために使用されていることとを示すWT 4 167についての鍵レコード175を含む。
[00051]図1の例ではワイヤレス端末WT 1 116からWT 4 167がAPに接続されるように示されているが、システムは追加のWTおよび/またはAPを含む。たとえば、図1には、WT 5 180およびWT N 182が、これらのWTのそれぞれが記憶し、アクセスを有する鍵、たとえばPSKまたは他の長期鍵と共に示されている。WT 5 180は、そのメモリ内に、鍵レコード181と、鍵PSK 2およびPSK5とを有し、WT N 182は、そのメモリ内に、鍵レコード182と、鍵PSK 1およびPSK 3とを有する。存在するとき、管理ノード112は、システム内の様々なワイヤレス端末についての鍵関連付けレコードを記憶し、必要に応じて、たとえば特定のWTがAPに接続されたとき、鍵関連付けレコードをAP106、108、110に提供し、または各APがアクセス制御決定を行うために使用することのできるWT鍵関連付けレコードの完全なセットまたは大規模なセットを有するように鍵関連付けレコードを公表することによって提供する。
[00052]図2は、例示的実施形態による例示的アクセスポイント200、たとえば基地局の図面である。いくつかの実施形態では、図1のアクセスポイント(AP1 106、AP2 108、AP3 110)は、図2のアクセスポイント200と同一である。
[00053]アクセスポイント200は、ワイヤードインターフェース202と、ワイヤレスインターフェース204と、プロセッサ206、たとえばCPUと、メモリ212と、構成要素のアセンブリ208、たとえばハードウェア構成要素のアセンブリ、たとえば回路のアセンブリと、解読器270と、アクセス制御デバイス272と、様々な要素がデータおよび情報を交換し得るバス209を介して互いに結合された暗号化デバイス276とを含む。アクセス制御デバイス272は決定構成要素274を含む。暗号化デバイス276は一時的鍵発生器278を含む。ワイヤードインターフェース202は、受信機232と送信機234とを含む第1のワイヤードインターフェース230と、受信機236と送信機238とを含む第2のワイヤードインターフェース232とを含む。第1のワイヤードインターフェースは、ネットワークおよび/またはインターネットにアクセスポイント200を結合する。第2のワイヤードインターフェース232、たとえばイーサネット(登録商標)インターフェースは、イーサネットネットワークにアクセスポイント200を結合する。ワイヤレスインターフェース204は、Bluetooth Low Energy(BLE)インターフェース240と、WiFiインターフェース242、たとえば802.11インターフェースと、Bluetoothインターフェース244と、セルラインターフェース246とを含む。BLEインターフェース240は、アクセスポイントがそれを介して通信デバイス、たとえばワイヤレス端末からワイヤレス信号を受信し得る受信アンテナ249に結合された受信機248と、アクセスポイントがそれを介して通信デバイス、たとえばワイヤレス端末にワイヤレス信号を送信し得る送信アンテナ251に結合された送信機250とを含む。WiFiインターフェース242は、アクセスポイントがそれを介して通信デバイス、たとえばワイヤレス端末からワイヤレス信号を受信し得る受信アンテナ253に結合された受信機252と、アクセスポイントがそれを介して通信デバイス、たとえばワイヤレス端末にワイヤレス信号を受信し得る送信アンテナ255に結合された送信機254とを含む。Bluetoothインターフェース244は、アクセスポイントがそれを介して通信デバイス、たとえばワイヤレス端末からワイヤレス信号を受信し得る受信アンテナ257に結合された受信機256と、アクセスポイントがそれを介して通信デバイス、たとえばワイヤレス端末にワイヤレス信号を送信し得る送信アンテナ259に結合された送信機258とを含む。セルラインターフェース246は、アクセスポイントがそれを介して通信デバイス、たとえばワイヤレス端末からワイヤレス信号を受信し得る受信アンテナ261に結合された受信機260と、アクセスポイントがそれを介して通信デバイス、たとえばワイヤレス端末にワイヤレス信号を送信し得る送信アンテナ263に結合された送信機262とを含む。いくつかの実施形態では、1つまたは複数の異なるワイヤレスインターフェースについて同一のアンテナが使用される。
[00054]メモリ212は、ルーチン214とデータ/情報216とを含む。ルーチン214は、構成要素のアセンブリ218、たとえば、ハードウェアデバイスであるプロセッサ206によって実行されるとき、アクセスポイントによって実施されるものとして説明されるステップのうちの1つ、複数、またはすべてを実施するために本明細書に記載の方法に従って動作するようにアクセスポイントを制御する制御ルーチンを少なくとも含むソフトウェアモジュールのアセンブリを含む。データ/情報216は、少なくともいくつかの実施形態では図3に示されるような鍵関連付けテーブルを少なくとも含むワイヤレス端末/鍵関連付け情報222を含む。アクセスポイント200は、図1のシステムのアクセスポイントのうちのいずれか1つとして使用され得る。受信機252は、ワイヤレス端末から暗号化形式のデータ、たとえばメッセージを受信するように構成される。受信機252は、第2のワイヤレス端末に向けられる前記第1のメッセージを暗号化形式で第1のワイヤレス端末から受信するように構成され、第1のメッセージは第1の鍵を使用して保護される。
[00055]解読器270は、データ、たとえばメッセージを回復するために、暗号化形式で受信されたデータ、たとえば暗号化形式で受信されたメッセージを解読するように構成される。解読器270は、第1のメッセージを回復するために、暗号化形式で受信された第1のメッセージをアクセスポイント200で解読するように構成される。
[00056]アクセス制御デバイス272は、鍵関連付け情報に基づいて、受信されたデータ、たとえばメッセージへのアクセスを制御する。アクセス制御デバイス272は、第1の鍵に基づいて第1のメッセージへのアクセスを制御するように構成される。決定構成要素274は、第1のメッセージを保護するために使用された第1の鍵が第2のワイヤレス端末に関連付けられるかどうかを決定するように構成される。決定構成要素274は、第1のメッセージを保護するために使用された第1の鍵が第2のワイヤレス端末に関連付けられるかどうかを決定するように構成される。決定構成要素274は、記憶された情報、たとえばアクセスポイント200内に記憶されたWT鍵関連付けレコード212、または管理ノード112内に記憶されたWT鍵関連付けレコード115から、第2のワイヤレス端末が第1の鍵へのアクセスを有するかどうかを決定するように構成される。
[00057]いくつかの実施形態では、第1の鍵は第1の事前共有鍵(PSK)である。
[00058]送信機254または送信機262は、第1のメッセージを保護するために使用された第1の鍵が第2のワイヤレス端末に関連付けられ、たとえば第2のワイヤレス端末がアクセスポイント200に接続されると決定されたとき、第2のワイヤレス端末に第1のメッセージを通信するように構成される。
[00059]送信機234または送信機238は、たとえば、決定構成要素274によって、第1のメッセージを保護するために使用された第1の鍵が第2のワイヤレス端末に関連付けられ、たとえば第2のワイヤレス端末がアクセスポイント200とは異なるアクセスポイント、たとえば第1のアクセスポイントとは異なる第2のアクセスポイントに接続されると決定されたとき、第2のワイヤレス端末に第1のメッセージを送信するように構成される。
[00060]第1の鍵が第2のワイヤレス端末に関連付けられないと決定したことに応答して、アクセス制御デバイス272は、第2のワイヤレス端末に第1のメッセージを配信することなく、第1のメッセージをドロップするように構成される。
[00061]暗号化デバイス276は、第2のメッセージが第2のワイヤレス端末に送信される前に、第1の鍵を使用して、アクセスポイント200、たとえば第1のアクセスポイントで第1のメッセージを保護するように構成される。一時的鍵発生器278は、通信を保護するために使用される暗号鍵、たとえばPSKから一時的鍵を生成するように構成される。一時的鍵発生器278は、第1のメッセージを保護することの部分として、アクセスポイント200、たとえば第1のアクセスポイントと、第2のワイヤレス端末との間の通信を暗号化するために使用される暗号鍵として、暗号化デバイス276によって使用される一時的鍵を第1の鍵から生成するように構成される。ワイヤレス端末/鍵関連付け情報222は、1つまたは複数のWTについて、1つまたは複数のワイヤレス端末のそれぞれに関連付けられる1つまたは複数の鍵をリストする。いくつかの実施形態では、WT/鍵関連付け情報222は、第1のワイヤレス端末に関連付けられる1つまたは複数の鍵をリストする。いくつかの実施形態では、WT/鍵関連付け情報222は、第2のワイヤレス端末に関連付けられる1つまたは複数の鍵をリストする。
[00062]図3は、図1のAP内に記憶された鍵関連付けテーブル、および/または管理ノード112が使用される実施形態での管理ノード112のWT鍵関連付けレコード114として使用され得、いくつかの実施形態では使用される例示的鍵関連付けテーブル300を示す。
[00063]鍵関連付けテーブル300は複数のレコードを含み、テーブル300の各ライン、たとえば行は、異なるワイヤレス端末に対応するレコードである。行312は、レコード内の情報の各列についてのタイトルをリストし、列エントリ内に含まれる情報を示す。たとえば、第1の列302はWT識別子を含み、第2の列304は、第1の列302で識別される行のWTに関連付けられる鍵のセットを含む。第3の列304は、WTと第1のアクセスポイント106との間の通信を保護するためにどの鍵が使用されるかを示す情報を含む。列4 308は、レコードが対応するWTと、第2のアクセスポイント108との間の通信を保護するための鍵を示し、列5 310は、第3のアクセスポイント110と通信するためにレコードのWTによって使用される鍵を示す。
[00064]各行314、316、318、320、322は、異なるWTに対応するレコードである。たとえば、行314はWT 1 116についてのレコードであり、鍵PSK 1がWT 1 116に関連付けられることと、第1のアクセスポイント106に接続されたとき、通信を保護するために鍵PSK1が使用されることとを示す。WT 1 116は、アクセスポイント2または3と共に使用され得る鍵を有さず、したがって列308および310でダッシュが示されている。
[00065]行316はWT 2 118に対応し、WT 2 118についての鍵関連付けレコード119を含む。列304からわかるように、WT 2 118は鍵PSK 1、PSK 3、およびPSK4に関連付けられる。列306から、WT 2 118はAP 1 106と通信するための鍵PSK1を使用することがわかる。列308から、WT 2 118は、第2のアクセスポイント108と通信するためにPSK4を使用することがわかり、列310から、WT 2 118は、LTEアクセスポイントAP 3 110と通信するための鍵を有さないことがわかる。
[00066]行318はWT 3 118に対応し、列304でPSK2およびPSK 3がWT 3 118に関連付けられる。WT 3 160は、AP 1 106と通信するために鍵PSK2を使用し、AP2 108と通信するために鍵PSK2を使用する。WT 3 160はまた、WT3 160に対応する列310内のダッシュからわかるように、AP3 110と通信するための鍵を欠いている。
[00067]行320はWT 4 167に対応し、WT 4 167はWiFi鍵およびLTE鍵を有し、したがってLTEアクセスポイントAP 3 110と通信し得る。列304から、WT 4 167がPSK2、PSK5、およびLTE key 1に関連付けられる。PSK 5はAP 1 106と通信するためにWT 4 167によって使用され、PSK 2はAP 2 108と通信するためにWT 4 167によって使用され、LTE key 1は、LTEアクセスポイントAP 3 110と通信するために使用される。
[00068]追加のWTに対応する様々な行が、図3の「...」シーケンスによって表される。
[00069]テーブル300の行322は、鍵PSK 1およびPSK 3が関連付けられるWT N 182に対応する。WT N 182は、AP 1 106と通信するためにPSK 1を使用し、AP 2 108と通信するためにPSK 3を使用する。行322の列310から、WT N 182は、LTEアクセスポイントAP 3 110と通信するための鍵を有さないことがわかる。
[00070]ボックス350は鍵関連付けテーブル300の部分ではないが、図1に示される様々なWTが特定の暗号鍵の使用によって保護される通信リンクを使用して別のデバイスに向けられるトラフィック、たとえばメッセージまたはデータのソースとして動作しているときに、どんなデバイス対話が可能であるかに関する情報を提供する。
[00071]様々なアクセス制御特徴によれば、コンテンツにアクセスすることができるために、トラフィックが向けられる宛先デバイスは、いくつかのケースでは、暗号鍵、たとえばPSK、またはトラフィックがソースデバイスからエアリンクを介して送られたときにトラフィックを保護するために使用される他の情報に関連付けられる、たとえばそれへのアクセスを有する、またはそれを使用する権利を有することが必要とされる。したがって、メッセージのソースがどのデバイスにトラフィックを送り得るかは、少なくともいくつかの実施形態では、宛先デバイスが、トラフィックのソースによってエアリンクを介して宛先デバイスに向かう通信経路上の第1のAPに送られたデータを元々保護するために使用された暗号鍵、たとえばPSKに関連付けられるか否かに依存する。どの暗号鍵が宛先デバイスで使用されているかは、アクセス制御決定の一部である必要はないが、いくつかの先進システムでは、アクセス制御は、宛先デバイスが所与の時刻に使用している特定の鍵に依存するようにされ得、依存するようにされることがある。
[00072]図4は、図1のシステムの管理ノード112および/またはアクセスポイント106、108、110によって実装される鍵情報記憶ルーチンを示す。ルーチンは、図3に示されるような、アクセスポイント106、108、110、および/または管理ノード112によって使用され得る鍵関連付けレコードのセットを作成するために使用され得、使用されることがある。
[00073]図4を説明する目的で、管理デバイス112が方法を実装していると仮定される。しかしながら、AP200が方法を実装し得、いくつかの実施形態では実装することを理解されたい。方法はステップ402で開始し、デバイス、たとえば管理ノード112またはAP106、108、110が電源オンされ、および/またはその他の仕方で方法のステップの実装を開始する。動作は、開始ステップ402からステップ404に進み、ステップ404から始まるステップのセットが、1つまたは複数のワイヤレス端末のそれぞれについて実施される。ステップ404では、方法を実装するデバイスは、たとえば、ワイヤレス端末またはワイヤレス端末にサービスするAPから、1つまたは複数の暗号鍵、たとえばPSKのセット、あるいはワイヤレス端末、たとえば鍵情報と共に供給されるWT識別子によって識別されるワイヤレス端末に関連付けられる他の非一時的鍵を受信する。次いでステップ406では、たとえば受信された情報が対応する特定のワイヤレス端末に関連付けられる暗号鍵のセットを示す情報が記憶される。ステップ406では、受信された鍵情報が対応するワイヤレス端末について、鍵関連付けレコードが作成および/または更新される。多くのケースで1つまたは複数のPSKをリストするレコードが、WTに関連し、図3に示されるセットなどのレコード407のセットの一部として記憶され得、記憶されることがある。
[00074]動作はステップ406からステップ408に進み、情報がそれについて受信および/または記憶されるべきである追加のワイヤレス端末があるかどうかを決定するためにチェックが行われる。鍵関連付け情報がそれについて受信および記憶されるべき追加のワイヤレス端末がある場合、動作はステップ404に進み、そうでない場合、レコードのセットが完了しており、動作はステップ410に進み、1つまたは複数のワイヤレス端末に関連付けられる暗号鍵、たとえばPSKのセットを示す情報が、たとえば管理ノード112および/またはアクセスポイント106、108、110のうちの1つまたは複数の中の記憶デバイス内に記憶される。レコードのセットが完了し、記憶されると、方法400は、たとえば、新しいWTがWTに対応する鍵情報を提供するAPで検出されたことに応答して再び活動化されるまで、ステップ412で停止する。
[00075]いくつかの実施形態では、WTは、WTが関連付けられる、たとえばそれへのアクセスを有し、使用し得る鍵、たとえばPSKまたは他の長期暗号鍵のリストを提供する。他の実施形態では、APは、たとえばWTから受信されたメッセージを解読するために複数のPSK鍵を試みることによって、WTが使用しているのは何の鍵、たとえばPSKであるかを検出し、次いで、たとえばPSKから生成された一時的鍵を使用して、復号化の成功を可能にした鍵を関連付ける。そのようなケースでは、APは、WTとの通信を保護するためにAPが使用するPSKを少なくとも含むように鍵関連付けテーブルを決定および更新し得る。しかしながら、いくつかの実施形態では、APは、鍵関連付けレコード内に含まれるべき情報、たとえばPSKのリストの供給にWTがアクティブに参加する必要なしに、ワイヤレス端末によって相異なるAPで使用される鍵、たとえばPSKを含むように個々のWTについての鍵関連付けレコードを経時的に更新することを可能にする管理ノード112および/または他のAPとそのような情報を共有する。
[00076]図5は、図5Aから5Dの組合せを備え、通信方法のステップ500がこれから詳細に論じられることを示す。方法は、図1に示される例示的システムによって実装され得る。図5に示される方法は、アクセス制御、たとえばトラフィック転送決定が、ソースWTとして働く第1のWTから、別のWT、たとえば宛先WTへの配信のためにAP106、108、または110に通信されたコンテンツを保護するためにどの暗号鍵、たとえばPSKが使用されたかに少なくとも部分的に基づく通信方法である。図1に示されるWTのそれぞれは、ソースまたは宛先APとして働くことができる。
[00077]次に、説明の目的で図5に示される方法を参照すると、AP1 106が第1のアクセスポイントであり、WT 1 116がソースWTであり、WT 2 142が宛先WTであることが仮定される。方法500はステップ501で開始し、システムの様々な構成要素、たとえばアクセスポイントおよび/または管理ノード112が電源オンされる。動作は、開始ステップ501からステップ502に進み、第1のアクセスポイントが、AP 1 106との通信を保護するためにWTが何のPSKを使用しようとしているかを決定し、AP 1 106がPSKをサポートすることを確認するために、通信目的でAP 1 106を使用することを求めるWT、たとえば第1のWT 1 116との通信交換を有する。通信交換は、AP 1がチャレンジの部分としてナンスまたは他の値をWT 1 116に供給することを含み得、いくつかの実施形態では含む。WT1116は、ナンスと、AP 1がそれにとって既知のPSKを使用して生成する予想値とAP 1が比較可能な値を生成するためにWT1116が使用しようと意図するPSK、たとえばPSK 1とを使用する。いくつかの実施形態では、AP 1 106は、AP 106と通信するために使用され得る各PSKについての予想値を生成する。他のケースでは、WTが使用することを意図することをWTが示すPSKについて予想値が生成される。
[00078]WT 1が、供給されたナンスとWT 1が使用することを意図するPSKとから生成された値で応答すると仮定して、AP 1は、AP 1での対応するPSKと、AP 1にとって既知の供給されたナンスとを使用して生成された予想値に応答が合致することから、どのPSK WT 1が使用しているかを決定することができる。ナンスを含むチャレンジに対するWTから受信された応答が予想値に合致しない場合、AP 1は、WT 1がAP 1によってサポートされないPSKを使用していると決定し得、AP 1との通信は拒否されるべきである。
[00079]必ずしもすべての実施形態ではないが、いくつかの実施形態では、セキュリティ通信交換ステップ502は、ステップ503、504、およびステップ505を含む。ステップ503では、AP 1は、第1のWT 1 116にチャレンジ、たとえばナンスを提供する。次いでステップ504では、AP 1 106は、ハッシュまたは他の関数に対する入力として、チャレンジに対する応答、たとえばナンスと、PSK、たとえばPSK 1とを使用してWT 1 116によって生成された値を受信する。ステップ505では、AP1 116は、チャレンジに対する応答から、たとえば、受信された応答値がAP 1でナンスおよびPSK 1から生成された予想応答値と合致すると決定することによって、WTによってどのPSKが使用されているかを決定し、AP 1 106は、WT 1 116がAP 1 106と通信するためにPSK 1を使用していると決定することができる。
[00080]いくつかの実施形態では、ステップ505は、ナンスと共に使用されるとき、受信された応答に合致する結果を生成するのはどれかを決定するために、AP 1 106が複数のPSKを試みることを含むステップ506を含む。このようにして、WTが使用しているPSKをWTが明白に示さない、たとえば識別しない場合であっても、サポートされるどのPSKをWTが使用しているかを決定することが可能となる。応答がサポートされるPSKに対応しないと決定された場合、WT 1 116とAP 1 106との間の通信がブロックされる。しかしながら、この例では、WT 1 116は、AP 1 106によってサポートされるPSK 1 117を使用する。
[00081]AP、たとえばAP 1 106と通信することを求める各WTについて、通信交換ステップ503が実施される。このようにして、トラフィックがAP 1 106を通じて通信されるべき時まで、AP 106は、AP 106が通信している個々のWT 1 116によってPSKが使用されていることを認識していることになる。WT 1とAP 1 106との間の通信を暗号化/解読するために使用されるべき一時的鍵は通常、一時的鍵を生成する際に使用されている、決定されたPSKと共にPSKが使用されているという決定に続いて生成される。したがって、WT 1 116とAP 1 106との間の通信を保護するために、決定されたPSKが使用されるが、これは、PSKから生成された、またはPSKを使用して生成された鍵の使用を介して行われる。
[00082]ステップ503の出力からステップ503の開始に戻る矢印は、AP 1 106を通じて接続または通信する各WTについてステップ503が実施されることを示すために意図される。
[00083]PSKがWT 1 116によって使用されていることがステップ502での処理の結果として知られると、動作はステップ502からステップ507に進む。ステップ507では、決定された暗号鍵、たとえばPSKが、それについてステップ502が実施されたWTによって使用されていることを示すために、鍵関連付け情報がAP 1 106で更新される。たとえばステップ507で、記憶デバイス、たとえばAP 1 106のメモリ内の鍵関連付け情報が、PSK 1 117が第1のWT 1 116と通信するためにAP 1 106で使用されていることを示すために更新される。PSK 1の使用は、図1に示されるように、WT 1についてのレコード107内で示される。
[00084]ステップ507では、AP 1 106内の、ソースWT 1 116についての鍵関連付けレコード、ならびに管理ノード112内の鍵関連付けテーブルが更新される。管理ノード112内の鍵情報の更新は、いくつかの実施形態では、AP 1 106が管理ノード112に鍵情報を送ることによって達成される。経時的に、たとえば相異なるPSKを使用してWTと通信する相異なるAPによって導出されたWTについての鍵情報を管理ノードが受信するときに、単一のPSKが特定のAPとの通信を保護するためにWTによって使用され得るとしても、WTに対応するPSKのセットが生成され得る。
[00085]動作は、接続ノード508を介してステップ507からステップ509に進む。ステップ509は、別のWT、たとえばWT 2 118にメッセージを通信するためのWT 1 116によるAP 1 106の使用の開始を表す。
[00086]ステップ509では、第1のアクセスポイント106は、第2のWT118に向けられる第1のメッセージをWT 1 116から受信し、第1のメッセージが、AP 1 106との通信を保護するためにWT 1 116によって使用されているPSK、たとえばPSK 1 117を使用して保護される。動作は受信ステップ509からステップ510に進み、第1のアクセスポイントAP 1 106が、WT 1 116からAP 1 106への通信を暗号化するために第1のWTが使用している暗号鍵、たとえばPSK 1に対応する一時的鍵を、記憶された情報から決定する。
[00087]動作はステップ510からステップ513に進み、第1のAP 1 106が、たとえば、WT 1 116とAP 1 106との間の通信を保護するために使用されているPSK 1から生成された一時的暗号鍵を使用して、第1のWT 1 106から受信した暗号化データを解読する。
[00088]ステップ513で、受信された暗号化コンテンツがAP 1 106によって暗号化されると、動作は、ステップ513から、接続ノード514を介して、図5Cに示されるステップ526に進む。ステップ526では、受信されたトラフィックの宛先が決定され、たとえば、宛先WT 2 118が、宛先アドレス、たとえば宛先IPアドレス、またはソースWT 1 116から受信された別の宛先識別子から識別される。
[00089]動作はステップ526からステップ528に進む。ステップ528では、ソースWT 1 116からエアリンクを介してトラフィックを受信する第1のAP 1 116が、たとえば、トラフィック転送や配信決定などのアクセス制御決定を行う際に使用する目的で、宛先WT 2 118についての鍵関連付け情報が利用可能であるかどうかを決定するために、それにとって利用可能な鍵関連付け情報をチェックする。宛先WT 2が第1のAP 1に接続される場合、第1のAP 1は、WT 2との通信を保護するために第1のAP 1が使用する鍵、および/またはアクセス制御/転送決定を行う際に使用され得るWT 2によって提供される鍵関連付け情報の知識を少なくとも有することになる。
[00090]ステップ528で、ソースデバイスWT 1 116からトラフィックを受信した第1のAP 1 106が、宛先デバイスについての鍵関連付け情報を有すると決定された場合、動作はステップ528からアクセス制御ステップ530に進む。本質的に、ステップ528は、ソースデバイスからコンテンツが送られたAP 1 106が、AP1 106に接続され、または接続されないことがある宛先デバイスWT 2 118に関する鍵情報を有するかどうかを決定する。この情報は、WT 2 118への配信のためにエアリンクを介してAP 1 106に送られたコンテンツ、たとえばメッセージを保護するために使用された暗号鍵に基づいてアクセス制御決定を行うために使用される。
[00091]ステップ529では、解読された、受信されたコンテンツに関するアクセス制御決定が、エアリンクを介してAP 1 106に暗号化形式で送られたコンテンツを保護するために使用された鍵に基づいて行われる。ステップ529では、ステップ530でのいくつかの実施形態では、ソースデバイスから受信された第1の暗号化コンテンツを首尾よく解読するのに使用された鍵が、宛先WT、たとえばWT 2 118に関連付けられるPSKに対応するかどうかを決定するためにチェックされる。すなわち、WT 2が、WT 2に通信されるべきメッセージを保護するためにWT 1 116によって使用されたPSKに関連付けられるかどうかの決定が行われる。コンテンツがそれを介して送られた通信リンクを保護するために元々使用された鍵、たとえばPSK 1が宛先WT 2 119に関連付けられない場合、決定は、コンテンツへのアクセスを可能にしないことであり、動作は、no経路に沿ってステップ530からステップ536に進み、AP 1 106は、WT 1 116から受信されたメッセージを宛先デバイスに転送しない処置を取り、たとえば転送することなくコンテンツをドロップする。動作は、接続ノードF540を介してステップ536からステップ504に進む。
[00092]ステップ530で、宛先デバイスWT 2が、受信されたコンテンツを保護するために使用された鍵、たとえばPSK 1に関連付けられると決定された場合、ステップ531で、宛先デバイスが通信されたコンテンツにアクセスすることを可能にするように決定が行われ、次いで動作はステップ532に進み、ソースWT 1 116から受信され、復号化されたコンテンツ、たとえばトラフィックが、宛先デバイス、たとえばWT 2に通信される。宛先デバイスへの通信は、配信のために別のAP、たとえばAP 2 108にコンテンツを転送することを含み得、含むことがある。いくつかの実施形態ではステップ532の部分であるサブステップ533では、宛先WT 2 118が、配信されるべきコンテンツを受信および復号化した第1のAP 1 106に接続されるか否かに関して決定が行われる。宛先APが第1のAP 1 106に接続されないと決定された場合、動作はステップ534に進み、コンテンツを受信および復号化した第1のAPが、コンテンツ、たとえばデータやメッセージなどのトラフィックを、AP、たとえば宛先WT118が接続されるAP 2 108による宛先WT118への配信のために、宛先WT 2 118が接続されるAP 2 108に転送する。セキュアトンネル132は、宛先WT 2 118が接続されるAP108にコンテンツを転送するために使用され得、使用されることがある。配信のためにコンテンツが転送される宛先AP108は、AP 2 108と宛先WT 2 118との間の通信を保護するためにAP 2 118が宛先AP 2 108で使用する鍵PSK4を使用して、通信されたコンテンツを保護することになる。宛先WT 2 218への無線送信で保護するために使用されるPSKは、エアリンクを介してAP 1 106へのコンテンツの初期送信を保護するためにソースデバイスによって使用された鍵とは異なり得、多くの場合、異なる。理解されるべきであるが、AP 2 108とWT 2 118との間の実際の送信は、WT 2 118とAP 2 108との間の通信を保護するために使用されたPSK4から生成された一時的鍵を使用して暗号化され得、暗号化されることがある。ステップ534で配信のためにデータが転送されると、動作は、接続ノードG535を介してステップ535からステップ560に進む。
[00093]ステップ533で、宛先WT 2 118がソースWT 1 116と同一のAP、たとえばAP 1 106に接続されると決定された場合、動作はステップ533からステップ546に進み、宛先WT 2 118に通信されるべきコンテンツ、たとえばトラフィックが、AP 1 106に接続されたときに第1のAP 1 106と第2のWT 2との間の通信を保護するために使用されるPSK 1を使用して保護されることになる。WT 2に送られるべきメッセージを保護することは、PSK 1から生成された一時的鍵を使用してメッセージを暗号化することを含み得、含むことがあり、一時的鍵は、無線を介するWT 2 118への通信を暗号化/解読するために使用される。
[00094]動作はステップ546からステップ548に進み、ステップ546で生成された暗号化コンテンツ、たとえばトラフィックデータが、AP 1によってエアリンク142を介して宛先WT 2 118に送信される。次いで、動作は接続ノード540を介してステップ509に戻る。
[00095]ステップ528では、たとえば、鍵情報を供給するための管理デバイス112がないために、または宛先デバイスについての鍵情報が宛先WT 2が接続される宛先AP 2 118に存在するが、他の場所には存在しないために、ソースデバイスWT 1 116からコンテンツを受信した第1のアクセスポイントAP 1 106が、宛先WT 2にとって利用可能な鍵関連付け情報を有さないことが、たとえばAP 1によって決定されたとき、動作は、接続ノードH542を介してステップ550に進む。
[00096]ステップ550では、AP1は、コンテンツがエアリンクを介してソースAP106に送られたとき、ソースWT 1 118からのコンテンツを保護するために使用された鍵、たとえばPSK 1を示す情報と共に、ソースWT 1 116から受信されたコンテンツ、たとえばトラフィックデータを転送する。コンテンツおよび鍵情報が、宛先AP、たとえば宛先WT 2 118が接続される第2のAP108に転送される。
[00097]次いでステップ552で、宛先AP、たとえば宛先デバイスWT 2 118が接続される第2のAP108が、第1のAP 1 106によって送られた情報、たとえば配信されるべきトラフィックデータ、コンテンツを元々保護するために使用された鍵についての情報を受信し、ならびに情報、たとえばアドレスなどの宛先識別子が宛先デバイスを識別する。ソースWT 1 116識別子はまた、通常は、配信されるべきコンテンツに関連付けられる。
[00098]動作は、接続ノードI554を介してステップ552から図5Eに示されるステップ556に進む。ステップ556では、トラフィックがエアリンクを介してソースWT 1 116から第1のAP116に送られたときにトラフィックを保護するために使用された鍵、たとえばPSK 1に基づいて、宛先AP、たとえば第2のAP118がアクセス制御決定を行う。このステップは、宛先WTが、コンテンツが第1のエアリンク140を介して送られたときにコンテンツを保護するために使用された鍵、たとえばPSK 1に関連付けられるかどうかを確認するためにチェックすることを含む。
[00099]いくつかの実施形態では、ステップ556は、宛先AP、たとえばAP118が、コンテンツを元々保護するために使用された、識別された鍵、PSK 1が宛先WT 2 118に関連付けられるかどうかを決定するステップ557を含む。動作はステップ557からステップ558に進み、動作がアクセス許可決定ステップ559に進むべきか、それともアクセス拒否決定ステップ563に進むべきかを決定するために、ステップ557での決定の結果がチェックされる。
[000100]たとえば、WT 2 108がPSK 1に関連付けられ、WT 1によって送られ、コンテンツが復号化されるAP 1 106に対するリンク140上でPSK 1で保護されたコンテンツを受信できることになることを考慮する。しかし、WT 3 160が宛先デバイスであった場合、結果は非常に異なり、WT 3はPSK 1へのアクセスを有さず、PSK 1を使用しないので、WT 3は、WT 1によって送られ、PSK 1で保護されたメッセージを受信することからブロックされることになる。したがって、様々な実施形態によれば、WT 1が、AP 1を介して、AP 1 106に送信されたときにPSK 1で保護されたメッセージをWT 3に送った場合、WT 3は、たとえば、ステップ564で、データを受信することからブロックされることになる。
[000101]ソースデバイスWT 1 116によって送られたコンテンツを保護するために使用された鍵、たとえばPSK 1が宛先デバイスに関連付けられないとステップ558で決定された場合、動作はステップ558からステップ563に進み、トラフィック、たとえばデータ、コンテンツ、またはメッセージへの宛先デバイスWT 3 118のアクセスを拒否するように決定が行われる。しかしながら、WT 2が宛先デバイスである例では、WT 2はPSK 1に関連付けられ、したがってPSK 1を使用して保護された、AP 1に送られたメッセージを受信することが可能にされることになる。
[000102]動作はステップ563からステップ564に進み、たとえば宛先デバイスにコンテンツを転送しないことによって、たとえばトラフィック/コンテンツをドロップすることによって、宛先デバイスWT、たとえばWT 3が、ソースデバイスWT1 116によって送られたコンテンツへのアクセスを拒否される。コンテンツがドロップされるケースでは、PSK 1へのアクセスを有さないWT 3は、AP 1 106にあるときにWT 1によって送られたコンテンツを受信することからブロックされることになる宛先デバイスの良い例である。
[000103]動作は、ステップ564から、必ずしもすべての実施形態とは限らないが、いくつかの実施形態では実装されるステップ566に進む。ステップ566では、宛先AP108は、いくつかの実施形態で課された配信制約を仮定して、配信のための必要な鍵関連付けを欠いている宛先デバイス、たとえばWT 3に向けられる第1のWT 1 106から受信されたトラフィックを転送することを停止するために、第1の鍵が宛先WTおよび/またはメッセージに関連付けられないことを第1のアクセスポイントAP 1 106に通知するメッセージのソースAP106を送り、その結果、第1のAP106は、第2のAP108によってドロップされているトラフィックの転送を停止し得る。このようにして、AP 2 108に転送された場合にアクセスが拒否されることになるコンテンツをAPがドロップすべきであることをAPに認識させるために必要な情報をAP 1に提供することによって、AP 2 108によってドロップされることになるトラフィックを転送するためのリソースが節約され得る。動作は、接続ノードF540を介してステップ565からステップ509に進む。
[000104]ステップ558では、トラフィックが第1のAP 1 106に送られたときに、通信されたトラフィックを保護するために使用された第1の鍵、たとえばPSK 1が、宛先WT、たとえばWT 2 118に関連付けられると決定された場合、動作はステップ558からステップ559に進み、第2のAPが、宛先WT、たとえばWT 2 116がトラフィックにアクセスすることを可能にするように決定する。動作はステップ559からステップ560に進み、第2のAP108が、第1のWT 1 106から宛先WT 2 108に送られたトラフィック、たとえばコンテンツを通信する。いくつかの実施形態での通信ステップ560は、通信されるべきコンテンツが、宛先WT 2との通信を保護するために第2のAP108によって使用される鍵、たとえばPSK4で保護される、暗号化ステップ561を含む。保護ステップ561は、宛先AP 2 108と宛先WT 2 118との間の通信を保護するために使用されているPSK4から生成された一時的暗号鍵で、配信されるべきメッセージを暗号化することを含み得、含むことがある。トラフィックが暗号化されると、たとえば、メッセージが、ステップ562でエアリンクを介して宛先デバイスに送られる。この例では、WT 2がAP2にあるとき、WP1によって送られたコンテンツが暗号化され、AP 2とWT 2との間の通信を保護するためにPSK4を使用してエアリンク144を介して送られることに留意されたい。通信を保護することは、通信を保護するために使用されたPSK、たとえばPSK4に基づいて生成された一時的暗号鍵を使用してコンテンツを暗号化することを含み得、含むことがある。動作は、接続ノードF540を介してステップ562からステップ509に進む。
[000105]前述の方式では、データの復号化および/または転送の後であっても、アクセス制御動作を実施する通信ネットワーク内のノードで、データを元々保護するために使用された暗号鍵が考慮に入れられ得る。したがって、通信を保護するために使用された元の鍵、たとえばPSKは、終端送信のために使用されることは必要とされない。しかしながら、少なくともいくつかの実施形態では、コンテンツが向けられるデバイスは、元の鍵に関連付けられる、たとえば鍵へのアクセスを有し、または鍵を使用するがあることが必要とされ、さもなければコンテンツへのアクセスはブロックされることになる。
[000106]アクセスポイント間の通信は、暗号化で保護され得、保護されることがあるが、暗号化コンテンツは通常、コンテンツを受信するAPで解読される。いくつかの実施形態によれば、たとえばセキュアトンネルを使用することの部分としての、データの中間送信のための暗号化は、本発明のアクセス制御技法の使用を除外しない。いくつかの実施形態では、AP間のリンクが保護されない場合にシステムに欠けていることがあるAP間のセキュリティのレベルを増すために、AP間の通信のための暗号化が使用される。しかしながら、AP間の暗号化の使用は、すべての実施形態について必要とされる、または必要であるとは限らない。
[000107]様々な実施形態が、WLAN上での複数のPSKの使用をサポートおよび許可し、複数のクライアント、たとえばワイヤレス端末および/またはそのユーザが同一のPSKを共有することを可能にする。
[000108]様々な実施形態では、アクセスポイントと通信するために使用されるPSKが、どの鍵、たとえばPSKまたは他の長期鍵がAPとの通信を保護するために使用されるかに基づいて設定される規則、たとえばアクセスおよび転送規則の使用を可能にし、規則の使用を含むことがあるアクセス制御機能(WxLAN)で使用される。これは、無線局が同一のPSKを使用する場合にのみ無線局が通信することを可能にするためだけに使用され得る。これは、同一のアクセスポイント上の無線局と、異なるアクセスポイント上の無線局の両方に当てはまる。
[000109]共通のPSKの使用は、これを自然に実現しない。PSK暗号自体は、アクセスポイントと無線局との間の無線を介するデータを保護するためだけに使用され、ステーション間通信では使用されないからである。
[000110]アクセス制御規則は、共通のアクセスポイント上の無線局間のトラフィックと、相異なるアクセスポイント上の無線局間のトラフィックとに当てはめ得る。たとえば、ユーザが、ユーザのホテルルームデバイスが使用している同一のPSKを使用してロビーアクセスポイントに接続する場合、ユーザは、ユーザのホテルルームデバイスにアクセスし得る。
[000111]アクセス制御発明が2人の生徒と共に使用される以下の例示的使用ケースを考慮する。
[000112]生徒AにPSK1が割り当てられ、生徒Aは、生徒AのiPhone(登録商標)およびAppleTV上でその鍵を使用してWLANに接続する。生徒BにPSK2が割り当てられ、生徒Bは、生徒Bのラップトップコンピュータおよびプリンタ上でその鍵を使用してWLANに接続する。アクセス制御が、生徒Aがインターネットとの間、および生徒AのiPhoneとAppleTVとの間で通信できることだけに制限し得る。生徒AのiPhoneおよびAppleTVは、生徒Bのラップトップコンピュータまたはプリンタと通信することができない。同じことが生徒Bに当てはまる(生徒Bは、アクセス制御構成要素で関連付けられない、異なるPSKを使用するので、生徒Bは生徒Aのデバイスと通信することができない。
[000113]これは、追加のアクセス制御規則の使用を制限しない。たとえば、両方の生徒は、学校のコンピュータおよびプリンタのような共有リソースにアクセスすることが可能にされ得る。
[000114]いくつかの実施形態では、アクセス制御および/または転送の適切な機能が、同一の鍵を使用するデバイスで2つのコンピュータをWLANに接続し、それらが通信し得ることを検証することによってテストされ得る。さらに、2つのコンピュータが、アクセス制御構成要素で互いに関連付けられない相異なる鍵を使用してWLANに接続され得、互いに関連付けられない相異なる鍵を使用する2つのデバイスが通信することができないことを確認するために検証チェックが行われ得る。
[000115]AP間で、またはAPからトンネルアグリゲータへトンネルが使用され得、トンネルは、同一の鍵を使用して無線局間で選択的にトラフィックを移送する。たとえば、仕事アクセスポイントを使用する仕事中のユーザを考慮する。ユーザは、その後自宅でIoTデバイスに接続し、トンネル構成要素のために、ファイアウォールであっても同一のPSKを使用し得る。
[000116]同様の機能は、EAP−TTLSについての同一の802.1xクレデンシャルユーザ名/パスワード、他の認証方法についての証明書を使用するワイヤレスクライアントで、802.1xについてサポートされ、サポートされることがある。ユーザによって802.1Xについて使用されるクレデンシャルは、選択的にバインドされ、たとえば関連付けられ得、選択的にバインドされることがあり、それによって、どちらかのアクセス方法を使用する無線局が共通のパーソナルWLANに接続し、トラフィックを通信することを可能にするように、ユーザの802.1xおよびPSKクレデンシャルを関連付け、アクセス制御および転送は、802.1Xセキュリティ情報および/またはPSKクレデンシャルに基づく。
[000117]図6は、図6Aと図6Bの組合せを備え、例示的実施形態による例示的通信方法のフローチャート600である。動作はステップ602で開始し、ステップ604に進む。ステップ604では、鍵関連付け情報が記憶デバイス内に記憶され、前記鍵関連付け情報は、第2のワイヤレス端末に関連付けられる1つまたは複数の鍵をリストする。いくつかの実施形態では、記憶デバイスは、ワイヤレス端末(WT)鍵関連付けレコードを記憶した管理ノード内に含まれ、鍵関連付けレコード内の情報を1つまたは複数のアクセスポイントに対して利用可能にする。動作はステップ604からステップ606に進む。
[000118]ステップ606上で、第1のワイヤレスアクセスポイントが、第1のワイヤレス端末から暗号化形式の第1のメッセージを受信し、前記第1のメッセージは第2のワイヤレス端末に向けられ、前記第1のメッセージは、第1の鍵、たとえば第1の事前共有鍵(PSK)を使用して保護される。動作はステップ606からステップ608に進む。
[000119]ステップ608では、第1のワイヤレスアクセスポイントが、第1のメッセージを回復するために、暗号化形式で受信された第1のメッセージを解読する。いくつかの実施形態、たとえば、第1のアクセスポイントがステップ610のアクセス制御決定を行うべきである実施形態では、動作はステップ608からステップ610に進む。いくつかの他の実施形態、たとえば、第2のアクセスポイントがステップ610のアクセス制御決定を行うべきである実施形態では、動作はステップ608からステップ609に進む。ステップ609では、第1のアクセスポイントが、第2のアクセスポイントに第1のメッセージを転送する。様々な実施形態では、ステップ609で、第1のアクセスポイントが第1のメッセージと、第1のメッセージを保護するために第1のWTによって使用された第1の暗号鍵、たとえば第1のPSKを示す識別情報とを、第2のWTが接続される第2のアクセスポイントに転送する。動作はステップ609からステップ610に進む。
[000120]ステップ610では、アクセスポイント、たとえば第1または第2のアクセスポイントが、前記第1の鍵に基づいて、第1のメッセージへのアクセスを制御するために使用されるアクセス制御決定を行う。たとえば、いくつかの実施形態では、第2のワイヤレス端末についての鍵関連付け情報が第1のアクセスポイントにとって利用可能である場合、第1のアクセスポイントは、ステップ610のアクセス制御決定を行い、そうでない場合、第2のアクセスポイントはステップ610のアクセス制御決定を行う。
[000121]いくつかの実施形態では、第2のワイヤレス端末が第1のアクセスポイントに結合される場合、第1のアクセスポイントはステップ610を実施し、アクセス制御決定を行う。いくつかの実施形態では、第2のワイヤレス端末が第2のアクセスポイントに結合され、第1のアクセスポイントがアクセス制御決定を行うことができない場合、第2のアクセスポイントはステップ610を実施し、アクセス制御決定を行う。
[000122]ステップ610は、ステップ612、616、および618を含む。ステップ612では、アクセス制御決定を行っているアクセスポイントが、第1のメッセージを保護するために使用された第1の鍵が第2のワイヤレス端末に関連付けられるかどうかを決定する。ステップ612は、記憶された情報から、第2のワイヤレス端末が第1の鍵へのアクセスを有するかどうかをアクセスポイントが決定するステップ614を含む。動作はステップ612からステップ616に進む。
[000123]ステップ616では、決定が、第1のメッセージを保護するために使用された第1の鍵が第2のワイヤレス端末に関連付けられるということである場合、動作はステップ616からステップ618に進み、アクセスポイントは、第2のワイヤレス端末が第1のメッセージにアクセスすることを可能にするように決定する。動作は、接続ノードA622を介してステップ618からステップ624に進む。しかしながら、ステップ616で、決定が、前記第1のメッセージを保護するために使用された前記第1の鍵が前記第2のワイヤレス端末に関連付けられないということである場合、動作はステップ616からステップ620に進み、アクセスポイントは、第2のワイヤレス端末が第1のメッセージにアクセスすることを可能にしない、たとえば拒否するように決定する。動作はステップ620からステップ642に進む。
[000124]ステップ642では、第1のアクセスポイントがステップ610のアクセス制御決定を行った場合、動作はステップ610からステップ644に進み、第1のアクセスポイントは、第2のワイヤレス端末に第1のメッセージを配信することなく、または第2のアクセスポイントに第1のメッセージを転送することなく、第1のメッセージをドロップする。ステップ642では、第2のアクセスポイントがステップ610のアクセス制御決定を行った場合、動作はステップ610からステップ646に進み、第2のアクセスポイントは、第2のワイヤレス端末に第1のメッセージを配信することなく、第1のメッセージをドロップする。動作はステップ646からステップ648に進む。ステップ648では、第2のアクセスポイントが、i)第1の鍵が第2のワイヤレス端末に関連付けられないことを第1のアクセスポイントに通知すること、またはii)第2のワイヤレス端末への配信のための、第1の鍵で保護され、第2のワイヤレス端末に向けられるコンテンツの第2のアクセスポイントへの転送を停止するように第1のアクセスポイントに命令することのうちの少なくとも一方を実施するように動作させられる。
[000125]ステップ624に戻ると、ステップ624では、第1のメッセージが第2のワイヤレス端末に通信される。ステップ624は、ステップ628、630、632、634、636、638、640、および642を含む。ステップ628では、第2のワイヤレス端末が、前記暗号化メッセージが第1のワイヤレス端末から受信された第1のワイヤレスアクセスポイントに接続される場合、動作はステップ628からステップ630に進み、そうでない場合、動作は、ステップ628からステップ636またはステップ638に進む。
[000126]ステップ630では、第1のワイヤレスアクセスポイントは、第2のワイヤレス端末に第1のメッセージを送信する前に、第1の鍵を使用して、第1のアクセスポイントで第1のメッセージを保護する。ステップ630は、第1のワイヤレスアクセスポイントが、第1の鍵から生成された一時的鍵を使用して第1のメッセージを暗号化するステップ632を含み、前記一時的鍵は、第1のアクセスポイントと第2のワイヤレス端末との間の通信を暗号化するために使用された暗号鍵である。動作はステップ630からステップ632に進む。ステップ632では、第1のワイヤレスアクセスポイントは、第1の鍵から生成された一時的鍵を使用して、たとえばステップ632で暗号化された、暗号化された第1のメッセージを第2のワイヤレス端末に送信する。
[000127]ステップ636では、第2のワイヤレス端末が第2のアクセスポイントに接続され、第1のアクセスポイントがステップ610のアクセス制御決定を行ったとき、第1のアクセスポイントは、第2のアクセスポイントに第1のメッセージを転送する。動作はステップ636からステップ638に進む。ステップ638では、第2のアクセスポイントが、第2のアクセスポイントと第2のワイヤレス端末との間のエアリンクを介する通信を保護するために使用された第2の鍵を使用して第1のメッセージを保護するように動作させられる。ステップ638は、第2のアクセスポイントが第2の一時的鍵を使用して第1のメッセージを暗号化するステップ640を含み、前記第2の鍵が第2の鍵から生成され、前記第2の鍵は事前共有鍵である。動作はステップ638からステップ642に進み、第2のワイヤレスアクセスポイントが、第2の鍵からの第2の一時的鍵を使用して、たとえばステップ640で暗号化された、暗号化された第1のメッセージを第2のワイヤレス端末に送信する。
[000128]いくつかの実施形態では、第1および第2のアクセスポイントはWiFiアクセスポイントである。いくつかの実施形態では、第1のアクセスポイントはWiFiアクセスポイントであり、第2のアクセスポイントはLTEアクセスポイントであり、前記第2のアクセスポイントは、前記第1のアクセスポイントとは異なるワイヤレス通信プロトコルを使用する。いくつかの実施形態では、第1のアクセスポイントはWiFiアクセスポイントであり、第1の鍵は第1のPSK鍵であり、第2のアクセスポイントはLTE基地局である。
[000129]図7は、例示的実施形態による、例示的アクセスポイント、たとえば図1のアクセスポイント106、108、110および/または図2のアクセスポイント200のいずれかの中に含まれ得る構成要素の例示的アセンブリ700の図面である。構成要素のアセンブリ700は、アクセスポイント200、たとえば基地局内に含まれ、その中で使用され得、いくつかの実施形態では、アクセスポイント200に含まれ、その中で使用される。構成要素のアセンブリ700内の構成要素は、プロセッサ206内のハードウェアで、たとえば個々の回路として完全に実装され得、いくつかの実施形態では実装される。構成要素のアセンブリ700内の構成要素は、ハードウェア構成要素のアセンブリ208内のハードウェアで、たとえば相異なる構成要素に対応する個々の回路として完全に実装され得、いくつかの実施形態では実装される。他の実施形態では、構成要素のうちのいくつかは、プロセッサ206内で、たとえば回路として実装され、他の構成要素は、プロセッサ206の外部の、プロセッサ206に結合された、構成要素のアセンブリ208内で、たとえば回路として実装される。プロセッサ上の構成要素の集積のレベル、および/またはいくつかの構成要素がプロセッサの外部にあることは、設計選択肢のうちの1つであり得る。代替として、回路として実装されるのではなく、構成要素のすべてまたはいくつかが、ソフトウェアで実装され、アクセスポイント200のメモリ212内に記憶され得、構成要素が、構成要素がプロセッサ、たとえばプロセッサ206によって実行されるとき、構成要素に対応する機能を実装するために、デバイス200の動作を制御する。いくつかのそのような実施形態では、構成要素のアセンブリ700が、構成要素のアセンブリ、たとえばソフトウェアコンポーネントのアセンブリ218としてメモリ212内に含まれる。さらに他の実施形態では、構成要素のアセンブリ700内の様々な構成要素が、ハードウェアとソフトウェアの組合せとして実装され、たとえば、プロセッサの外部の別の回路が、プロセッサ206への入力を提供し、次いでプロセッサ206は、ソフトウェア制御下で、構成要素の機能の一部を実施するように動作する。プロセッサ206は、図2の実施形態では単一のプロセッサ、たとえばコンピュータとして示されているが、プロセッサ206は1つまたは複数のプロセッサ、たとえばコンピュータで実装され得ることを理解されたい。
[000130]ソフトウェアで実装されるとき、構成要素は、プロセッサ206によって実行されるとき、構成要素に対応する機能を実装するようにプロセッサ206を構成するコードを含む。構成要素のアセンブリ700がメモリ212内に記憶される実施形態では、メモリ212は、構成要素が対応する機能を少なくとも1つのコンピュータ、たとえばプロセッサ206に実装させるコード、たとえば各構成要素についての個々のコードを備えるコンピュータ可読媒体を備えるコンピュータプログラム製品である。
[000131]完全にハードウェアベースの、または完全にソフトウェアベースの構成要素が使用され得る。しかしながら、ソフトウェアと、ハードウェア、たとえば回路で実装された構成要素の任意の組合せが、機能を実装するために使用され得ることを理解されたい。理解されるべきであるが、図7に示される構成要素は、フローチャート、シグナリングダイアグラムのうちの1つまたは複数の方法で図示および/または説明され、ならびに/あるいは図のいずれかに関して説明された、対応するステップの機能を実施するために、アクセスポイント200またはその中のプロセッサ206などの要素を制御および/または構成する。したがって、構成要素のアセンブリ700は、例示的方法の、対応する1つまたは複数の説明および/または図示されたステップ、たとえば図5および/または図6の方法の1つまたは複数のステップの機能を実施する様々な構成要素を含む。
[000132]図7は、図7Aおよび図7Bの組合せを備え、例示的実施形態による例示的アクセスポイント内に含まれ得る、Part A 701およびPart B 703の組合せを備える構成要素の例示的アセンブリ700の図面である。構成要素のアセンブリ700は、第2のワイヤレス端末に関連付けられる1つまたは複数の鍵をリストする鍵関連付け情報を記憶デバイス内に記憶するように構成された構成要素704と、第1のワイヤレスアクセスポイントで第1のワイヤレス端末から暗号化形式の第1のメッセージを受信するように構成された構成要素706であって、前記第1のメッセージが第2のワイヤレス端末に向けられ、前記第1のメッセージが第1の鍵、たとえば第1の事前共有鍵(PSK)を使用して保護される構成要素706と、第1のワイヤレスアクセスポイントで、第1のメッセージを回復するために、暗号化形式で受信された第1のメッセージを解読するように構成された構成要素とを含む。
[000133]構成要素のアセンブリ700は、たとえば第2のアクセスポイントがアクセス制御決定を行うべきとき、たとえば第1のアクセスポイントが第2のワイヤレス端末鍵関連付け情報へのアクセスを有さないとき、第2のアクセスポイントに第1のメッセージを転送するように構成された構成要素709と、第1のメッセージと、前記第1のメッセージを保護するために第1のWTによって使用された第1の暗号鍵、たとえば第1のPSKを示す識別情報とを、宛先WT、たとえば第2のWTが接続される第2のアクセスポイントに転送するように第1のアクセスポイントを動作させるように構成された構成要素711と、前記第1のメッセージと、第1の暗号鍵を示す識別情報とを受信するために、宛先WT、たとえば第2のWTが接続される第2のアクセスポイントを動作させるように構成された構成要素713とをさらに含む。
[000134]構成要素のアセンブリ700は、前記第1の鍵に基づいて第1のメッセージへのアクセスを制御するために使用されるアクセス制御決定を行うように構成された構成要素710をさらに含む。構成要素710は、第2のワイヤレス端末が第1の鍵へのアクセスを有するかどうかを記憶された情報から決定するように構成された構成要素714を含む、第1のメッセージを保護するために使用された第1の鍵が第2のワイヤレス端末に関連付けられるかどうかを決定するように構成された構成要素712を含む。構成要素710は、第1のメッセージを保護するために使用された第1の鍵が第2のWTに関連付けられるという決定に応答して、第2のワイヤレス端末が第1のメッセージにアクセスすることを可能にするように決定するように構成されたアクセス構成要素718と、第1のメッセージを保護するために使用された第1の鍵が第2のワイヤレス端末に関連付けられないという決定に応答して、第2のワイヤレス端末が第1のメッセージにアクセスすることを可能にしないように決定するように構成された構成要素720とをさらに含む。
[000135]構成要素のアセンブリ700は、たとえば、第1のメッセージへの第2のワイヤレス端末アクセスを拒否するようにとの第1のアクセスポイントによる決定に応答して、第2のワイヤレス端末に第1のメッセージを配信することなく、または第2のアクセスポイントもしくは第2のWTに第1のメッセージを転送することなく、第2のワイヤレス端末への第1のメッセージをドロップするように第1のアクセスポイントを動作させるように構成された構成要素744と、たとえば、第1のメッセージへの第2のWTアクセスを拒否するようにとの第2のアクセスポイントによる決定に応答して、第2のワイヤレス端末に第1のメッセージを配信することなく第1のメッセージをドロップするように第2のアクセスポイントを動作させるように構成された構成要素746と、たとえば、第1のメッセージへの第2のWTアクセスを拒否するようにとの第2のアクセスポイントによる決定に応答して、i)第1の鍵が第2のワイヤレス端末に関連付けられないことを第1のアクセスポイントに通知すること、またはii)第2のワイヤレス端末への配信のための、第1の鍵で保護され、第2のワイヤレス端末に向けられるコンテンツの第2のアクセスポイントへの転送を停止するように第1のアクセスポイントに命令することのうちの少なくとも一方を実施するように第2のアクセスポイントを動作させるように構成された構成要素748とをさらに備える。
[000136]構成要素のアセンブリ700は、第2のワイヤレス端末に第1のメッセージを通信するように第1のアクセスポイントを動作させるように構成された構成要素750をさらに含む。構成要素750は、第2のワイヤレス端末に第1のメッセージを送信する前に、第1の鍵を使用して第1のアクセスポイントで第1のメッセージを保護するように構成された構成要素730と、第1の鍵から生成された一時的鍵を使用して暗号化された、暗号化された第1のメッセージを第2のワイヤレス端末に送信するように構成された構成要素734とを含む。構成要素730は、第1の鍵から生成された一時的鍵を使用して第1のメッセージを暗号化するように構成された構成要素732を含み、前記一時的鍵は、第1のアクセスポイントと第2のワイヤレス端末との間の通信を暗号化するために使用される暗号鍵である。
[000137]構成要素のアセンブリ700は、第2のワイヤレス端末に第1のメッセージを通信するように第1のアクセスポイントを動作させるように構成された構成要素752をさらに含む。構成要素752は、第2のワイヤレス端末が第2のアクセスポイントに接続され、第1のアクセスポイントがアクセス制御決定、たとえば第2のWTが第1のメッセージにアクセスすることを可能にするアクセス制御決定を行ったとき、第2のアクセスポイントに第1のメッセージを転送するように構成された構成要素736を含む。
[000138]構成要素のアセンブリ700は、第2のワイヤレス端末に第1のメッセージを通信するように第2のアクセスポイントを動作させるように構成された構成要素754をさらに含む。構成要素754は、第2のアクセスポイントと第2のワイヤレス端末との間のエアリンクを介する通信を保護するために使用された第2の鍵を使用して第1のメッセージを保護するように第2のアクセスポイントを動作させるように構成された構成要素738を含む。構成要素738は、第2の鍵から生成された第2の一時的鍵を使用して第1のメッセージを暗号化するように構成された構成要素740を含み、前記第2の鍵は事前共有鍵である。構成要素754は、第2の鍵について生成された第2の一時的鍵を使用して暗号化された、暗号化された第1のメッセージを第2のワイヤレス端末に送信するように構成された構成要素742をさらに含む。
[000139]様々な実施形態では、構成要素のアセンブリ700を含むアクセスポイントは、たとえば、構成要素704、706、708、709、711、710、712、714、718、720、744、750、730、732、734、および752、および736のうちの1つまたは複数またはすべてを使用して、第1のアクセスポイントとして動作する。様々な実施形態では、構成要素のアセンブリ700を含むアクセスポイントは、たとえば、構成要素704、713、710、712、714、718、720、746、748、754、738、740、および742のうちの1つまたは複数またはすべてを使用して、第2のアクセスポイントとして動作する。
[000140]セキュリティ関連の方法および装置が、1つのデバイス、たとえば第1のWTから、第2のデバイス、たとえば第2のWTへのユニキャスト通信の状況で一般的に説明されたが、マルチキャスト通信にも適用され得る。マルチキャスト実施形態のケースでは、中間ノードは、第1のアクセスポイントに送信されたマルチキャストメッセージを最初に保護するのに使用されたセキュリティ鍵を認識させられ得、認識させられることがある。中間ノードが、いくつかの実施形態でマルチキャストメッセージが宛てられるマルチキャストグループの個々のメンバに、マルチキャストメッセージを、たとえばユニキャスト通信として送信するかどうかの決定は、マルチキャストグループメンバがマルチキャスト通信を保護するために最初に使用されたセキュリティ鍵へのアクセスを有することに依存する。したがって、ユニキャスト送信のケースと同様に、マルチキャスト送信は、メッセージが宛てられるグループ内の宛先デバイスが、マルチキャストメッセージを元々保護するために使用された共有鍵に関連付けられ、たとえば共有鍵へのアクセスを有するか否かに基づいて保護され得る。
[000141]図8は、ネットワーク812によって互いに結合された、第1のアクセスポイント802と、第2のアクセスパイント804とを含むマルチキャスト実施形態を示す。図8の例では、ステップ824で、第1のワイヤレス端末WT 1 806が、Key A 820によって保護されるマルチキャストメッセージを送る。線814は、第1のAPに通信されるKey A 820によって保護されたマルチキャストメッセージを表す。マルチキャストメッセージはAP 1802によって解読され、次いで、元の通信されたメッセージを保護するために使用された鍵Key A 820を示す情報と共に、マルチキャストメッセージ826として、たとえばネットワーク接続812を介してAP2 804に通信される。マルチキャストメッセージ826と、Key A 820を識別する、関連する鍵情報とを受信したことに応答して、AP 2は、AP2に接続された何らかのWTが、マルチキャストメッセージ826が宛てられたマルチキャストグループのメンバであるかどうかを決定するためにチェックする。マルチキャストメッセージ826が宛てられるマルチキャストグループのメンバが、マルチキャストメッセージを受信した第2のAP 2 804に接続される場合、第2のアクセスポイントAP 2は、デバイスごとにアクセス制御動作を実施することに進み、たとえば、AP 2 804は、マルチキャストグループのメンバである個々のデバイスが、メッセージが第1のAP 1 802に送信されたときにメッセージを元々保護するために使用された鍵に関連付けられるか否かをチェックする。宛てられたマルチキャストグループ内の個々のデバイスがkey A 820に関連付けられ、たとえばkey A 820へのアクセスを有するので、個々のデバイスがマルチキャストメッセージ826へのアクセスを得ることを許可されると第2のAPが決定した場合、第2のAP 2 804は、メッセージをユニキャストメッセージとして宛先デバイスに送信する。個々のグループメンバが、マルチキャストメッセージ826を保護するために使用された鍵、たとえばKey Aに関連付けられない場合、デバイスは、マルチキャストグループのメンバであるにも関わらず、メッセージを受信することからブロックされる。
[000142]図8の例では、WT 2とWT 3の両方が、マルチキャストメッセージ826が宛てられるマルチキャストアドレスに対応するマルチキャストグループのメンバであり、WT 2 808はkey A 820に関連付けられ、WT 3 810はKey Aに関連付けられず、その代わりにKey B 822に関連付けられる。この例では、AP 2は、たとえば、そのセキュリティ構成要素と、Key A 820がマルチキャストメッセージ826を保護するために使用されたことを示す、AP 1 802から受信した情報とを使用して、WT 2 808がKey A 820に関連付けられるので、WT 2 808がメッセージ826を受信すべきであるが、WT 3 810はメッセージを受信することからブロックされるべきであると決定する。ステップ828では、AP2は、マルチキャストメッセージ826、またはメッセージの少なくともペイロードをリンク層ユニキャストメッセージとしてWT 2 808に送る。WT 1とWT 2はどちらもKey 1に関連付けられ、したがってWT 2はメッセージ826へのアクセスが可能にされるべきであるからである。しかしながら、ステップ830では、AP 2は、マルチキャストメッセージを受信することからWT 3 810をブロックし、WT 3 822にメッセージ826を送らない。WT 1とWT 3は同一の鍵を使用せず、たとえばWT 3はPSK Key A 820に関連付けられないのからである。他の実施形態の場合と同じく、メッセージの実際の通信は、送信されたメッセージを保護するために使用されたPSKから生成された短期暗号鍵を使用して保護され得、保護されることがある。したがって、マルチキャストメッセージを保護するために最初に使用された鍵(PSK)についての通信情報と、別のデバイス、たとえばAP 2へのメッセージによって理解されるべきであるが、受信側デバイスは、どのPSKが通信されたメッセージを保護するために元々使用されたかに基づいて第2のAPがローカルにアクセス制御決定を実装することを可能にするための十分な情報を提供し得る。
[000143]マルチキャストが、単一の宛先APを伴う例と共に説明されるが、マルチキャストメッセージ826はPSK情報と共に多数のデバイスに通信され得、受信側ネットワークノードおよび/またはアクセスポイントが、受信された鍵情報、ならびに/あるいはどのデバイスがアクセス制御デバイスとして働くノードの下流側にあるか、および個々の下流側デバイスが何のPSKに関連付けられるかの知識に基づいてアクセス制御決定を実装することを理解されたい。
[000144]様々な例示的な番号付けされた実施形態が以下で述べられる。番号付けされた例示的実施形態の各セットは、それ自体によって、同一のセット内の前の番号付けされた実施形態を参照するセット内の実施形態と共に番号付けされる。
例示的な番号付けされた方法実施形態のセットのリスト
[000145]方法実施形態1 第1のワイヤレスアクセスポイント(106)で、第1のワイヤレス端末(116)から暗号化形式の第1のメッセージを受信すること(509または606)と、前記第1のメッセージが第2のワイヤレス端末(118)に向けられ、第1のメッセージが第1の鍵を使用して保護される、第1のメッセージを回復するために、第1のワイヤレスアクセスポイント(106)で、暗号化形式で受信された第1のメッセージを解読すること(513または608)と、前記第1の鍵に基づいて第1のメッセージへのアクセスを制御するために使用されるアクセス制御決定を行うこと((529または556)または610)と、第1のメッセージを保護するために使用された第1の鍵が第2のワイヤレス端末(118)に関連付けられるかどうかを決定すること(530または557)または612)を含む、を備える通信方法。
[000146]方法実施形態2 第1のメッセージを保護するために使用された第1の鍵が第2のワイヤレス端末(118)に関連付けられるかどうかを決定すること(612)が、記憶された情報(107または114)から、第2のワイヤレス端末(118)が第1の鍵へのアクセスを有するかどうかを決定すること(614)を含む、方法実施形態1の方法。
[000147]方法実施形態3 第1の鍵が第1の事前共有鍵(PSK)である、方法実施形態1Aの通信方法。
[000148]方法実施形態4 第1のメッセージを保護するために使用された第1の鍵が第2のワイヤレス端末(118)に関連付けられると決定されたとき、第2のワイヤレス端末(118)に第1のメッセージを通信すること((532または560)または624)をさらに備える、方法実施形態1の方法。
[000149]方法実施形態5
[000150]第1の鍵が第2のワイヤレス端末(118)に関連付けられないと決定したことに応答して、前記第2のワイヤレス端末(118)に前記第1のメッセージを配信することなく、第1のメッセージをドロップすること((536または564)または(644または646)
をさらに備える、方法実施形態4の方法。
[000151]方法実施形態6 前記第2のワイヤレス端末(118)が前記第1のアクセスポイント(106)に結合され、アクセス制御決定を行う前記ステップ(529または610)が第1のアクセスポイント(106)で実施される、方法実施形態1の方法。
[000152]方法実施形態7 第2のワイヤレス端末(118)にメッセージを通信すること(532または624)が、第2のワイヤレス端末(118)に第1のメッセージを送信する前に、第1の鍵を使用して、第1のアクセスポイント(106)で第1のメッセージを保護すること(546または630)を含む、方法実施形態6の方法。
[000153]方法実施形態8 第1の鍵を使用して第1のメッセージを保護すること(546または630)が、前記第1の鍵から生成された一時的鍵を使用して第1のメッセージを暗号化すること(632)を含み、前記一時的鍵が、前記第1のアクセスポイント(106)と前記第2のワイヤレス端末(118)との間の通信を暗号化するために使用される暗号鍵である、方法実施形態7の方法。
[000154]方法実施形態9 第2のワイヤレス端末(118)に関連付けられる1つまたは複数の鍵をリストする鍵関連付け情報(107または114)を記憶デバイス(212または115)内に記憶する(406または604)ことをさらに備える、方法実施形態3の方法。
[000155]方法実施形態10 前記記憶デバイス(115)が、ワイヤレス端末(WT)鍵関連付けレコードを記憶した管理ノード(112)内に含まれ、鍵関連付けレコード内の情報を1つまたは複数のアクセスポイントに対して利用可能にする、方法実施形態9の方法。
[000156]方法実施形態11 第2のワイヤレス端末(118)に第1のメッセージを通信すること((532および560)または624)が、第2のワイヤレス端末(118)が第2のアクセスポイント(108または110)に接続されるとき、第2のアクセスポイント(108または110)に第1のメッセージを転送すること(534または636)と、第2のアクセスポイント(108または110)と第2のワイヤレス端末(118)との間のエアリンクを介する通信を保護するために使用された第2の鍵を使用して第1のメッセージを保護するように第2のアクセスポイント(108)を動作させること(561または638)とを含む、方法実施形態4の方法。
[000157]方法実施形態12 第2の鍵を使用して第1のメッセージを保護するように第2のアクセスポイントを動作させること(561または638)が、前記第2の鍵から生成された第2の一時的鍵を使用して第1のメッセージを暗号化すること(561または640)を含み、前記第2の鍵が事前共有鍵である、方法実施形態11の方法。
[000158]方法実施形態13 前記第1のアクセスポイント(106)がWiFiアクセスポイントであり、前記第2のアクセスポイント(110)がLTEアクセスポイントであり、前記第2のアクセスポイント(110)が、前記第1のアクセスポイント(106)とは異なるワイヤレス通信プロトコルを使用する、方法実施形態11の方法。
[000159]方法実施形態14 第1のアクセスポイント(106)がWiFiアクセスポイントであり、第1の鍵が第1のPSKであり、第2のアクセスポイント(110)がLTE基地局である、方法実施形態13の方法。
[000160]方法実施形態15 前記第2のワイヤレス端末(11()が前記第2のアクセスポイント(108または110)に結合され、アクセス制御決定を行う前記ステップ(556または610)が、第2のアクセスポイント(108または110)で実施される、方法実施形態1の方法。
[000161]方法実施形態16 アクセス制御決定を行う前記ステップ(556または610)が、第2のワイヤレス端末(118)が第1の鍵に関連付けられないと決定したことに応答して、第1のメッセージへの第2のワイヤレス端末アクセスを拒否するように決定すること(563または620)を含む、方法実施形態1の方法。
[000162]方法実施形態17 i)第1の鍵が第2のワイヤレス端末(118)に関連付けられないことを第1のアクセスポイントに通知すること、またはii)第2のワイヤレス端末(118)への配信のための、第1の鍵で保護され、第2のワイヤレス端末に向けられるコンテンツの第2のアクセスポイント(108または110)への転送を停止するように第1のアクセスポイントに命令することのうちの少なくとも一方を実施するように第2のアクセスポイントを動作させること(566または620)をさらに備える、方法実施形態16の方法。
例示的な番号付けされたシステム実施形態のセットのリスト
[000163]システム実施形態1 第1のワイヤレス端末(116)から暗号化形式の第1のメッセージを受信するように構成された受信機(252)と、前記第1のメッセージが第2のワイヤレス端末(118)に向けられ、第1のメッセージが第1の鍵を使用して保護される、第1のワイヤレスアクセスポイント(106)で、第1のメッセージを回復するために、暗号化形式で受信された第1のメッセージを解読するように構成された解読器(270)とを含む第1のワイヤレスアクセスポイント(106)と、前記第1の鍵に基づいて第1のメッセージへのアクセスを制御するために使用されるアクセス制御デバイス(272)と、第1のメッセージを保護するために使用された第1の鍵が第2のワイヤレス端末(118)に関連付けられるかどうかを決定するように構成された決定構成要素(274)を含む、を備える通信システム(100)。
[000164]システム実施形態2 前記アクセス制御デバイス(272)が、前記第1のアクセスポイント(106)内に含まれるアクセス制御構成要素である、システム実施形態1のシステム(100)。
[000165]システム実施形態3 前記アクセス制御デバイス(272)が、前記第1のアクセスポイント(106)の外部のアクセス制御構成要素である、システム実施形態1のシステム(100)。
[000166]システム実施形態4 前記決定構成要素(274)が、第1のメッセージを保護するために使用された第1の鍵が第2のワイヤレス端末(118)に関連付けられるかどうかを決定するように構成され、前記決定構成要素(274)が、記憶された情報(107または114)から、第2のワイヤレス端末(118)が第1の鍵へのアクセスを有するかどうかを決定するように構成される、システム実施形態1のシステム(100)。
[000167]システム実施形態5 第1の鍵が第1の事前共有鍵(PSK)である、システム実施形態2のシステム(100)。
[000168]システム実施形態6 第1のメッセージを保護するために使用された第1の鍵が第2のワイヤレス端末(118)に関連付けられると決定されたとき、第2のワイヤレス端末(118)に第1のメッセージを通信するように構成された送信機(254)をさらに備える、システム実施形態1のシステム(100)。
[000169]システム実施形態7 アクセス制御デバイス(272)が、第1の鍵が第2のワイヤレス端末(118)に関連付けられないと決定したことに応答して、前記第2のワイヤレス端末(118)に前記第1のメッセージを配信することなく、第1のメッセージをドロップするように構成される、システム実施形態6のシステム(100)。
[000170]システム実施形態8 第1のメッセージが第2のワイヤレス端末に送信される前に、第1のアクセスポイント(106)で、第1の鍵を使用して、第1のメッセージを保護するように構成された暗号化デバイス276をさらに備える、システム実施形態1のシステム(100)。
[000171]システム実施形態9 暗号化デバイス(276)が、第1のメッセージを保護することの部分として前記第1のアクセスポイント(106)と前記第2のワイヤレス端末(118)との間の通信を暗号化するために使用される暗号鍵として、暗号化デバイス(270)によって使用される一時的鍵を前記第1の鍵から生成するための一時的鍵発生器(278)を含む、システム実施形態8のシステム(100)。
[000172]システム実施形態10 第2のワイヤレス端末(118)に関連付けられる1つまたは複数の鍵をリストする鍵関連付け情報(107または114)を記憶する記憶デバイス(212または115)をさらに備える、システム実施形態5のシステム(100)。
[000173]システム実施形態11 前記記憶デバイス(115)が、WT鍵関連付けレコードを記憶した管理ノード(112)内に含まれ、鍵関連付けレコード内の情報を1つまたは複数のアクセスポイント(106、108、110)に対して利用可能にする、システム実施形態10のシステム(100)。
コンピュータ可読媒体実施形態
[000174]コンピュータ可読媒体実施形態1 ワイヤレスアクセスポイント(200)のプロセッサ(206)によって実行されるとき、第1のワイヤレス端末(116)から暗号化形式の第1のメッセージを受信するステップ(509または606)と、前記第1のメッセージが第2のワイヤレス端末(118)に向けられ、第1のメッセージが第1の鍵を使用して保護される、第1のワイヤレスアクセスポイントで、第1のメッセージを回復するために、暗号化形式で受信された第1のメッセージを解読するステップ(513または608)と、前記第1の鍵に基づいて第1のメッセージへのアクセスを制御するために使用されるアクセス制御決定を行う((529または556)または610)ステップと、第1のメッセージを保護するために使用された第1の鍵が第2のワイヤレス端末(118)に関連付けられるかどうかを決定すること((530または557)または612)を含む、を実施するようにワイヤレスアクセスポイント(200)を制御するマシン実行可能命令を含む非一時的コンピュータ可読媒体。
番号付けされた装置実施形態。
[000175]装置実施形態1 第1の鍵を第1のワイヤレス端末(116)と関連付ける情報を含む事前共有鍵関連付け情報(222)を含むメモリ(212)と、第1のワイヤレス端末(116)から暗号化形式の第1のメッセージを受信し、前記第1のメッセージが第2のワイヤレス端末(118)に向けられ、第1のメッセージが第1の鍵を使用して保護され、第1のメッセージを回復するために、暗号化形式で受信された第1のメッセージを第1のワイヤレスアクセスポイント(200)で解読し、前記第1の鍵に基づいて第1のメッセージへのアクセスを制御するために使用されるアクセス制御決定を行い、アクセス制御決定を行う前記ステップが第1のメッセージを保護するために使用された第1の鍵が第2のワイヤレス端末(118)に関連付けられるかどうかを決定することを含むようにアクセスポイント(200)を制御するように構成されたプロセッサ(206)とを備えるワイヤレスアクセスポイント(200)。
[000176]本明細書に記載の方法および装置は、802.1xプロトコルと識別されることのある802ファミリ内のWiFiプロトコルを含む多種多様なプロトコルと共に使用するのに十分に適しており、xは、いくつかの異なるプロトコルバージョン標識のいずれか1つであり得る。
[000177]方法は、事前共有鍵を使用した802.1x LASに十分に適しており、いくつかの実施形態および特徴は、802.1xプロトコルを使用し、セキュリティ目的でPSKを使用してデバイスと対話し得るAPおよび他のデバイスを対象とする。ネットワークおよび/またはセキュリティ手法の異なる組合せが使用され得るが、特定のメッセージまたは通信へのアクセスがデバイスに与えられるか否かを決定するために、PSKへのアクセスまたはPSKとの関連付けが依然として使用される。たとえば、ユーザのパーソナルラップトップが802.1xを使用し得ると共に、同一のユーザのパーソナルApple TVがPSKを使用し、それらは同一のパーソナルWLANの部分であり、デバイスへの最終的通信を保護するためにPSKが使用されない場合であっても、たとえばPSKを使用するユーザの他のデバイスによるPSKとの関連付けが、メッセージへのアクセスがデバイスに与えられるべきかどうかを決定するために使用される。本発明の方法および装置は、ワイヤードデバイスまたは他のネットワークへのアクセス制御を制御する際に使用され得、使用されることがある。たとえば、個々のユーザのパーソナルWLANは、プリンタが特定のPSKに関連付けられることに基づいて、プリンタにトークすることが可能にされ得る。他の誰かのパーソナルWLANは、その人のデバイスがPSKに関連付けられない場合、プリンタへの最終的通信を保護するためにPSKが使用されないことがあるとしても、アクセスが拒否される。
[000178]様々な実施形態の技法は、ソフトウェア、ハードウェア、および/またはソフトウェアとハードウェアの組合せを使用して実装され得る。様々な実施形態が、装置、たとえばモバイルワイヤレス端末、基地局、通信システムなどのモバイルノードを対象とする。様々な実施形態はまた、通信デバイス、たとえばワイヤレス端末(UE)、基地局、制御ノード、および/または通信システムを制御および/または動作させる方法、たとえば方法をも対象とする。様々な実施形態はまた、方法の1つまたは複数のステップを実装するようにマシンを制御するための機械可読命令を含む非一時的マシン、たとえばコンピュータ、可読媒体、たとえばROM、RAM、CD、ハードディスクなどをも対象とする。
[000179]開示されるプロセス中のステップの特定の順序または階層は、例示的手法の一例であることを理解されたい。設計プリファレンスに基づいて、本開示の範囲内にとどまりながら、プロセス中のステップの特定の順序または階層が再構成され得ることを理解されたい。添付の方法クレームは、様々なステップの要素をサンプル順に提示し、提示される特定の順序または階層に限定されることを意味するわけではない。
[000180]様々な実施形態では、本明細書に記載のデバイスおよびノードは、1つまたは複数の方法に対応するステップ、たとえば信号発生ステップ、送信ステップ、処理ステップ、および/または受信ステップを実施するために1つまたは複数の構成要素を使用して実装される。したがって、いくつかの実施形態では、様々な特徴が構成要素を使用して実装される。そのような構成要素は、ソフトウェア、ハードウェア、またはソフトウェアとハードウェアの組合せを使用して実装され得る。いくつかの実施形態では、各構成要素が個々の回路として実装され、デバイスまたはシステムが、それぞれの記載の構成要素に対応する機能を実装するための別々の回路を含む。前述の方法または方法ステップの多くが、たとえば1つまたは複数のノードで前述の方法のすべてまたは部分を実装するために、追加のハードウェアを用いて、または用いずにマシン、たとえば汎用コンピュータを制御するように、メモリデバイス、たとえば、RAM、フロッピー(登録商標)ディスクなどの機械可読媒体内に含まれるソフトウェアなどのマシン実行可能命令を使用して実装され得る。したがって、とりわけ、様々な実施形態は、マシン、たとえばプロセッサおよび関連するハードウェアに、前述の方法のステップのうちの1つまたは複数を実施させるマシン実行可能命令を含む機械可読媒体、たとえば非一時的コンピュータ可読媒体を対象とする。いくつかの実施形態は、本発明の1つまたは複数の方法のステップのうちの1つ、複数、またはすべてを実装するように構成されたプロセッサを含むデバイスを対象とする。
[000181]いくつかの実施形態では、1つまたは複数のデバイス、たとえばワイヤレス端末(UE)などの通信デバイス、および/またはアクセスノードのプロセッサ、たとえばCPUは、デバイスによって実施されるものとして説明される方法のステップを実施するように構成される。プロセッサの構成は、プロセッサ構成を制御するために1つまたは複数の構成要素、たとえばソフトウェアコンポーネントを使用することによって、ならびに/あるいは記載のステップを実施し、および/またはプロセッサ構成を制御するために、プロセッサ内にハードウェア、たとえばハードウェア構成要素を含めることによって達成され得る。したがって、すべてではないがいくつかの実施形態は、プロセッサがその中に含まれるデバイスによって実施される様々な記載の方法のステップのそれぞれに対応する構成要素を含むプロセッサを備える通信デバイス、たとえばユーザ機器を対象とする。すべてではないがいくつかの実施形態では、通信デバイスは、プロセッサがその中に含まれるデバイスによって実施される様々な記載の方法のステップのそれぞれに対応する構成要素を含む。構成要素は、純粋にハードウェアで、たとえば回路として実装され得、またはソフトウェアおよび/またはハードウェアあるいはソフトウェアとハードウェアの組合せを使用して実装され得る。
[000182]いくつかの実施形態は、コンピュータ、または複数のコンピュータに、様々な機能、ステップ、行為、および/または動作、たとえば前述の1つまたは複数のステップを実装させるコードを備えるコンピュータ可読媒体を備えるコンピュータプログラム製品を対象とする。実施形態に応じて、コンピュータプログラム製品は、実施されるべき各ステップについて異なるコードを含み得、含むことがある。したがって、コンピュータプログラム製品は、方法、たとえば通信デバイス、たとえばワイヤレス端末またはノードを動作させる方法のそれぞれの個々のステップについてのコードを含み得る。コードは、マシン、たとえばコンピュータの形態、RAM(ランダムアクセスメモリ)、ROM(読取り専用メモリ)、他のタイプの記憶デバイスなどのコンピュータ可読媒体上に記憶された実行可能命令の形態であり得る。コンピュータプログラム製品を対象とすることに加えて、いくつかの実施形態は、前述の1つまたは複数の方法の様々な機能、ステップ、行為、および/または動作のうちの1つまたは複数を実装するように構成されたプロセッサを対象とする。したがって、いくつかの実施形態は、本明細書に記載の方法のステップのうちのいくつかまたはすべてを実装するように構成されたプロセッサ、たとえばCPUを対象とする。プロセッサは、たとえば、本願に記載の通信デバイスまたは他のデバイスで使用するためのものであり得る。
[000183]OFDMシステムの状況で説明されたが、様々な実施形態の方法および装置の少なくともいくつかは、多くの非OFDMおよび/または非セルラシステムを含む多種多様な通信システムに適用可能である。
[000184]前述の様々な実施形態の方法および装置に関する多数の追加の変形形態が、上記の説明に鑑みて当業者には明らかとなるであろう。そのような変形形態は範囲内にあると見なされるべきである。方法および装置は、アクセスノードとモバイルノードとの間のワイヤレス通信リンクを提供するために使用され得るCDMA、直交周波数分割多重方式(OFDM)、および/または様々な他のタイプの通信技法と共に使用され得、様々な実施形態では使用される。いくつかの実施形態では、アクセスノードが、OFDMおよび/またはCDMAを使用して、ユーザ機器デバイス、たとえばモバイルノードとの通信リンクを確立する基地局として実装される。様々な実施形態では、モバイルノードは、方法を実装するための、受信機/送信機回路および論理および/またはルーチンを含むノートブックコンピュータ、携帯情報端末(PDA)、または他のポータブルデバイスとして実装される。

Claims (20)

  1. 第1のワイヤレスアクセスポイント(106)で、第1のワイヤレス端末(116)から、暗号化形式の第1のメッセージを受信すること(509または606)と、前記第1のメッセージが第2のワイヤレス端末(118)に向けられ、前記第1のメッセージが第1の鍵を使用して保護される、
    前記第1のワイヤレスアクセスポイント(106)で、前記第1のメッセージを回復するために、暗号化形式で受信された前記第1のメッセージを解読すること(513または608)と、
    前記第1の鍵に基づいて前記第1のメッセージへのアクセスを制御するために使用されるアクセス制御決定を行うこと((529または556)または610)と、アクセス制御決定を行う前記ステップが前記第1のメッセージを保護するために使用された前記第1の鍵が前記第2のワイヤレス端末(118)に関連付けられるかどうかを決定すること(530または557または612)を含む、
    を備える通信方法。
  2. 前記第1のメッセージを保護するために使用された前記第1の鍵が前記第2のワイヤレス端末(118)に関連付けられるかどうかを決定すること(612)が、記憶された情報(107または114)から、前記第2のワイヤレス端末(118)が前記第1の鍵へのアクセスを有するかどうかを決定すること(614)を含む、請求項1に記載の方法。
  3. 前記第1の鍵が第1の事前共有鍵(PSK)である、請求項1Aに記載の通信方法。
  4. 前記第1のメッセージを保護するために使用された前記第1の鍵が前記第2のワイヤレス端末(118)に関連付けられると決定されたとき、前記第2のワイヤレス端末(118)に前記第1のメッセージを通信すること((532または560)または624)
    をさらに備える、請求項1に記載の方法。
  5. 前記第1の鍵が前記第2のワイヤレス端末(118)に関連付けられないと決定したことに応答して、前記第2のワイヤレス端末(118)に前記第1のメッセージを配信することなく、前記第1のメッセージをドロップすること((536または564)または(644または646)
    をさらに備える、請求項4に記載の方法。
  6. 前記第2のワイヤレス端末(118)が前記第1のアクセスポイント(106)に結合され、アクセス制御決定(529または610)を行う前記ステップが前記第1のアクセスポイント(106)で実施される、請求項1に記載の方法。
  7. 前記第2のワイヤレス端末(118)に前記メッセージを通信すること(532または624)が、
    前記第2のワイヤレス端末(118)に前記第1のメッセージを送信する前に、前記第1の鍵を使用して、前記第1のアクセスポイント(106)で前記第1のメッセージを保護すること(546または630)
    を含む、請求項6に記載の方法。
  8. 前記第1の鍵を使用して前記第1のメッセージを保護すること(546または630)が、前記第1の鍵から生成された一時的鍵を使用して前記第1のメッセージを暗号化すること(632)を含み、前記一時的鍵が、前記第1のアクセスポイント(106)と前記第2のワイヤレス端末(118)との間の通信を暗号化するために使用される暗号鍵である、請求項7に記載の方法。
  9. 前記第2のワイヤレス端末(118)に関連付けられる1つまたは複数の鍵をリストする鍵関連付け情報(107または114)を記憶デバイス(212または115)内に記憶する(406または604)こと
    をさらに備える、請求項3に記載の方法。
  10. 前記記憶デバイス(115)が、ワイヤレス端末(WT)鍵関連付けレコードを記憶した管理ノード(112)内に含まれ、前記鍵関連付けレコード内の前記情報を1つまたは複数のアクセスポイントに対して利用可能にする、請求項9に記載の方法。
  11. 前記第2のワイヤレス端末(118)に前記第1のメッセージを通信すること((532および560)または624)が、前記第2のワイヤレス端末(118)が前記第2のアクセスポイント(108または110)に接続されるとき、第2のアクセスポイント(108または110)に前記第1のメッセージを転送すること(534または636)と、
    前記第2のアクセスポイント(108または110)と前記第2のワイヤレス端末(118)との間のエアリンクを介する通信を保護するために使用された第2の鍵を使用して前記第1のメッセージを保護するように前記第2のアクセスポイント(108)を動作させること(561または638)とを含む、請求項4に記載の方法。
  12. 第2の鍵を使用して前記第1のメッセージを保護するように前記第2のアクセスポイントを動作させること(561または638)が、
    前記第2の鍵から生成された第2の一時的鍵を使用して前記第1のメッセージを暗号化すること(561または640)を含み、前記第2の鍵が事前共有鍵である、請求項11に記載の方法。
  13. 前記第1のアクセスポイント(106)がWiFiアクセスポイントであり、
    前記第2のアクセスポイント(110)がLTEアクセスポイントであり、前記第2のアクセスポイント(110)が、前記第1のアクセスポイント(106)とは異なるワイヤレス通信プロトコルを使用する、請求項11に記載の方法。
  14. 前記第2のワイヤレス端末(11()が前記第2のアクセスポイント(108または110)に結合され、アクセス制御決定を行う前記ステップ(556または610)が、第2のアクセスポイント(108または110)で実施される、請求項1に記載の方法。
  15. アクセス制御決定を行う前記ステップ(556または610)が、前記第2のワイヤレス端末(118)が前記第1の鍵に関連付けられないと決定したことに応答して、前記第1のメッセージへの前記第2のワイヤレス端末アクセスを拒否するように決定すること(563または620)と、
    前記第2のアクセスポイントを、i)前記第1の鍵が前記第2のワイヤレス端末(118)に関連付けられないことを前記第1のアクセスポイントに通知すること、またはii)前記第2のワイヤレス端末(118)への配信のための、前記第1の鍵で保護され、前記第2のワイヤレス端末に向けられるコンテンツの前記第2のアクセスポイント(108または110)への転送を停止するように前記第1のアクセスポイントに命令すること
    のうちの少なくとも一方を実施するように動作させること(566または620)と
    を含む、請求項1に記載の方法。
  16. 第1のワイヤレス端末(116)から暗号化形式の第1のメッセージを受信するように構成された受信機(252)と、前記第1のメッセージが第2のワイヤレス端末(118)に向けられ、前記第1のメッセージが第1の鍵を使用して保護される、
    前記第1のワイヤレスアクセスポイント(106)で、前記第1のメッセージを回復するために、暗号化形式で受信された前記第1のメッセージを解読するように構成された解読器(270)と
    を含む第1のワイヤレスアクセスポイント(106)と、
    前記第1の鍵に基づいて前記第1のメッセージへのアクセスを制御するために使用されるアクセス制御デバイス(272)と、前記アクセス制御デバイス(272)が、前記第1のメッセージを保護するために使用された前記第1の鍵が前記第2のワイヤレス端末(118)に関連付けられるかどうかを決定するように構成された決定構成要素(274)を含む、
    を備える通信システム(100)。
  17. 前記決定構成要素(274)が、前記第1のメッセージを保護するために使用された前記第1の鍵が前記第2のワイヤレス端末(118)に関連付けられるかどうかを決定するように構成され、前記決定構成要素(274)が、記憶された情報(107または114)から、前記第2のワイヤレス端末(118)が前記第1の鍵へのアクセスを有するかどうかを決定するように構成される、請求項1に記載のシステム(100)。
  18. 前記第1のメッセージを保護するために使用された前記第1の鍵が前記第2のワイヤレス端末(118)に関連付けられると決定されたとき、前記第2のワイヤレス端末(118)に第1のメッセージを通信するように構成された送信機(254)
    をさらに備える、請求項1に記載のシステム(100)。
  19. 前記アクセス制御デバイス(272)が、前記第1の鍵が前記第2のワイヤレス端末(118)に関連付けられないと決定したことに応答して、前記第2のワイヤレス端末(118)に前記第1のメッセージを配信することなく、前記第1のメッセージをドロップするように構成される、請求項4に記載のシステム(100)。
  20. ワイヤレスアクセスポイント(200)のプロセッサ(206)によって実行されるとき、
    第1のワイヤレス端末(116)から暗号化形式の第1のメッセージを受信するステップ(509または606)と、前記第1のメッセージが第2のワイヤレス端末(118)に向けられ、前記第1のメッセージが第1の鍵を使用して保護される、
    前記第1のワイヤレスアクセスポイントで、前記第1のメッセージを回復するために、暗号化形式で受信された前記第1のメッセージを解読するステップ(513または608)と、
    前記第1の鍵に基づいて前記第1のメッセージへのアクセスを制御するために使用されるアクセス制御決定を行うステップ((529または556)または610)と、前記第1のメッセージを保護するために使用された前記第1の鍵が前記第2のワイヤレス端末(118)に関連付けられるかどうかを決定すること((530または557)または612)を含む、
    を実施するように前記ワイヤレスアクセスポイント(200)を制御するマシン実行可能命令を含む非一時的コンピュータ可読媒体。
JP2020509028A 2017-08-16 2018-08-16 Wlanなどのワイヤレスネットワーク内のアクセスおよび/または転送制御を実施するための方法および装置 Withdrawn JP2020532187A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/679,128 US11051169B2 (en) 2017-08-16 2017-08-16 Methods and apparatus for performing access and/or forwarding control in wireless networks such as WLANS
US15/679,128 2017-08-16
PCT/US2018/000176 WO2019035908A1 (en) 2017-08-16 2018-08-16 METHODS AND APPARATUS FOR EXECUTING ACCESS AND / OR TRANSMISSION CONTROL IN WIRELESS NETWORKS SUCH AS WLANS

Publications (1)

Publication Number Publication Date
JP2020532187A true JP2020532187A (ja) 2020-11-05

Family

ID=65360942

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020509028A Withdrawn JP2020532187A (ja) 2017-08-16 2018-08-16 Wlanなどのワイヤレスネットワーク内のアクセスおよび/または転送制御を実施するための方法および装置

Country Status (7)

Country Link
US (2) US11051169B2 (ja)
EP (2) EP3669564B1 (ja)
JP (1) JP2020532187A (ja)
CN (2) CN116887263A (ja)
AU (1) AU2018316617A1 (ja)
CA (1) CA3073110A1 (ja)
WO (1) WO2019035908A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210049285A1 (en) * 2020-10-28 2021-02-18 Intel Corporation Transient dataset management system
US11051169B2 (en) 2017-08-16 2021-06-29 Juniper Networks, Inc. Methods and apparatus for performing access and/or forwarding control in wireless networks such as WLANS
US10778524B2 (en) * 2017-12-04 2020-09-15 Arris Enterprises Llc Method and system of in home wi-fi access point replication
US11297496B2 (en) * 2018-08-31 2022-04-05 Hewlett Packard Enterprise Development Lp Encryption and decryption of management frames
US20220417742A1 (en) * 2021-06-28 2022-12-29 Juniper Networks, Inc. Network management system to onboard heterogeneous client devices to wireless networks

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6526506B1 (en) * 1999-02-25 2003-02-25 Telxon Corporation Multi-level encryption access point for wireless network
US20020116606A1 (en) * 2001-02-16 2002-08-22 Gehring Stephan W. Encryption and decryption system for multiple node network
US7706777B2 (en) * 2003-09-23 2010-04-27 Broadcom Corporation Secure user interface in a shared resource environment
US8532304B2 (en) * 2005-04-04 2013-09-10 Nokia Corporation Administration of wireless local area networks
JP4840970B2 (ja) * 2006-02-23 2011-12-21 キヤノン株式会社 通信装置と通信装置の制御方法及びプログラム
KR100739809B1 (ko) * 2006-08-09 2007-07-13 삼성전자주식회사 Wpa-psk 환경의 무선 네트워크에서 스테이션을관리하는 방법 및 이를 위한 장치
US7801100B2 (en) * 2007-06-04 2010-09-21 Sony Ericsson Mobile Communications Ab Operating ad-hoc wireless local area networks using network identifiers and application keys
US8898474B2 (en) * 2008-11-04 2014-11-25 Microsoft Corporation Support of multiple pre-shared keys in access point
GB2480308A (en) * 2010-05-13 2011-11-16 Skype Ltd Data recovery for encrypted packet streams at relay nodes using correction data
US9565558B2 (en) * 2011-10-21 2017-02-07 At&T Intellectual Property I, L.P. Securing communications of a wireless access point and a mobile device
CN103391540B (zh) 2012-05-08 2017-02-01 华为终端有限公司 密钥信息生成方法及系统、终端设备、接入网设备
CN107040922B (zh) 2016-05-05 2019-11-26 腾讯科技(深圳)有限公司 无线网络连接方法、装置及系统
US11051169B2 (en) 2017-08-16 2021-06-29 Juniper Networks, Inc. Methods and apparatus for performing access and/or forwarding control in wireless networks such as WLANS

Also Published As

Publication number Publication date
US20190058996A1 (en) 2019-02-21
WO2019035908A1 (en) 2019-02-21
US20210297858A1 (en) 2021-09-23
CA3073110A1 (en) 2019-02-21
EP3669564A4 (en) 2021-04-28
WO2019035908A8 (en) 2020-03-26
CN111213398A (zh) 2020-05-29
AU2018316617A1 (en) 2020-03-12
EP3669564A1 (en) 2020-06-24
CN116887263A (zh) 2023-10-13
US11051169B2 (en) 2021-06-29
CN111213398B (zh) 2023-08-25
EP4221293A1 (en) 2023-08-02
EP3669564B1 (en) 2023-03-15

Similar Documents

Publication Publication Date Title
CN107079023B (zh) 用于下一代蜂窝网络的用户面安全
EP3669564B1 (en) Methods and apparatus for performing access and/or forwarding control in wireless networks such as wlans
CN107018676B (zh) 用户设备与演进分组核心之间的相互认证
CN105706390B (zh) 在无线通信网络中执行设备到设备通信的方法和装置
US11121862B2 (en) System and method for wireless network access protection and security architecture
US8295488B2 (en) Exchange of key material
KR20230054421A (ko) 셀룰러 슬라이싱된 네트워크들에서의 중계기 선택의 프라이버시
CN102318313B (zh) 不加密的网络操作解决方案
EP3231151B1 (en) Commissioning of devices in a network
JP2024507208A (ja) セルラネットワークを動作させるための方法
US20230179400A1 (en) Key management method and communication apparatus
Fujdiak et al. Security in low-power wide-area networks: State-of-the-art and development toward the 5G
WO2022147582A2 (en) Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network
WO2016091574A1 (en) Secure message exchange in a network
CN116918300A (zh) 用于操作蜂窝网络的方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200414

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20210416

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210512