JP5866030B2 - 認証のためのシステムおよび方法 - Google Patents
認証のためのシステムおよび方法 Download PDFInfo
- Publication number
- JP5866030B2 JP5866030B2 JP2014550631A JP2014550631A JP5866030B2 JP 5866030 B2 JP5866030 B2 JP 5866030B2 JP 2014550631 A JP2014550631 A JP 2014550631A JP 2014550631 A JP2014550631 A JP 2014550631A JP 5866030 B2 JP5866030 B2 JP 5866030B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- access point
- base station
- fils
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 52
- 230000004044 response Effects 0.000 claims description 21
- 238000013475 authorization Methods 0.000 claims description 13
- 239000000523 sample Substances 0.000 claims description 6
- 230000002123 temporal effect Effects 0.000 claims description 4
- 230000001052 transient effect Effects 0.000 claims description 3
- 238000012790 confirmation Methods 0.000 claims 1
- 238000012545 processing Methods 0.000 description 13
- 230000007704 transition Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 7
- 230000008901 benefit Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Description
本出願は、発明の名称を「IEEE 802.11 TGAi FILS 認証プロトコルのためのシステムおよび方法」として2012年1月6日に出願された米国仮出願第61/583,856号、および発明の名称を「認証のためのシステムおよび方法」として2013年1月4日に出願された米国特許出願第13/734471号の優先権を主張し、両出願はその全体が複製されたかのように参照により本願に組みこまれる。
本発明は、ワイヤレス通信のためのシステムおよび方法に関し、特に、認証(authentication)のためのシステムおよび方法に関する。
IEEE802.11は、ワイヤレス・ローカル・エリア・ネットワーク(WLAN)のようなワイヤレス・ローカル・エリア・ネットワークを実施するための一群の標準である。IEEE802.11は、同じ基本プロトコルを使用するエア変調技術(air modulation techniques)に関する一連の半二重(half−duplex)を含むプロトコルのファミリーである。前記プロトコルは、前記メディア・アクセス・コントロール(MAC)レイヤおよび前記物理(PHY)レイヤを定義する。
IEEE802.11は、ローカル・エリア・ネットワーク(LAN)上での拡張認証プロトコル(EAP)(EAPOL)のカプセル化を定義するIEEE802.1xを取り込む。802.1xを用いる認証は、サプリカント(supplicant)(例えば、基地局)、認証局(authenticator)(例えば、アクセスポイント)、および認証サーバを含む。
IEEE802.11iは、前記適切な暗号キーを確立および変更するために認証サービスおよびポート・アクセス・コントロールを利用する4方向ハンドシェイクおよびグループ・キー・ハンドシェイクを含むロバスト・セキュリティ・ネットワーク・アソシエーション(robust security network association)(RSNA)を提供する。
認証を実行するための方法の1態様は、基地局によって、開始フレームを受信するステップと、前記基地局によって、認証要求を送信するステップと、を含む。前記認証要求は、ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートおよびファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータを含む。
認証を実行するための方法の別の態様は、アクセスポイントによって、認証要求を受信するステップを含む。前記認証要求は、ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートおよびファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータを含む。また、前記方法は、前記アクセスポイントによって、アクセス要求フレームを送信するステップを含む。
基地局の1態様は、プロセッサと、前記プロセッサによって実行されるためのプログラムを記憶するコンピュータ可読記憶媒体と、を含む。前記プログラムは、開始フレームを受信するとともに認証要求を送信するための命令を含む。前記認証要求は、ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートおよびファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータを含む。
アクセスポイントの1態様は、プロセッサと、前記プロセッサによって実行されるためのプログラムを記憶するコンピュータ可読記憶媒体と、を含む。前記プログラムは、認証要求を受信するための命令を含む。前記認証要求は、ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートおよびファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータを含む。加えて、前記プログラムは、アクセス要求フレームを送信するための命令を含む。
上記では、以下の本発明の詳細な説明をよりよく理解することができるように、本発明の実施形態の特徴をある程度大まかに概要を述べた。本発明の実施形態の追加の特徴および利点が以下に記載され、これは本発明の特許請求の範囲の主題を形成するものである。当業者には、開示される概念および特定の実施形態を、本発明の同じ目的を遂行するための他の構造またはプロセスを修正するまたは設計するための基準として容易に利用することができることが理解されるはずである。当業者には、そのような均等の構成が添付の特許請求の範囲に記載された本発明の趣旨および範囲から逸脱しないことも了解されるはずである。
本発明および本発明の利点のより完全な理解のために、添付の図面を添えて以下の説明が参照される。
異なる図において対応する数字および記号は一般に、別段に規定されていない限り、対応する部分を指す。各図は、実施形態の関連する態様を明確に図示するように記載されており、必ずしも一定の縮尺で記載されていない。
1または2以上の実施形態の例示的な具体例が以下で提供されるが、開示されるシステムおよび/または方法は、現在知られているかまたは既存であるかに関わらず、任意の数の技術を用いて実施されてもよいことが最初に理解されるべきである。本開示は、本明細書で図示され説明される例示的な設計および具体例を含む、以下で説明される例示的な具体例、図面、および技術を限定するものではなく、添付の特許請求の範囲に加えて均等物の全範囲内で変形されてもよい。
ファスト・イニシャル・リンク・セットアップ(FILS)は、高速認証とアクセスポイントを基地局に関連付けることのためのMACレイヤプロトコルを用いて、基地局がアクセスポイント(AP)と接続するためにかかる時間を減らすことを意図されている。図1は、RSNAを実行するためのシステムを図示する。前記システムは、基地局(STA)102、アクセスポイント(AP)106、および認可(authorization)サーバ(AS)104を含む。基地局102は、ポリシー定義(policy decision)及びポリシー執行(policy enforcement)の両方を実行する。アクセスポイント106がポリシー執行を実行する間、認可サーバ104は、ポリシー定義を実行する。
RSNA認証のためのステートマシンは、図2において図示される。前記ステートマシンは、状態264、状態266、状態267、および状態268を含む。状態264において、前記システムは、認証されずかつ関連付けられない。また、802.11認証に成功している場合、前記ステートマシンは、状態264から状態266へ遷移する。そして、前記ステートマシンが状態266であり、関連付け/再関連付けが成功するとともに、RSNAが要求される場合に、前記ステートマシンは、状態267へ遷移する。しかしながら、前記ステートマシンが状態266であり、関連付け/再関連付けが成功するとともに、RSNAが要求されないか、または、高速ベーシック・サービス・セット(fast basic service set)(BSS)遷移がある場合に、前記ステートマシンは、状態268へ遷移する。前記ステートマシンが、状態267である場合に、前記システムが、関連付けされていない(de−associated)か、または802.11認証に成功しているか、または、関連付け/再関連付けに成功していない場合に、前記ステートマシンは、状態266へ遷移する。加えて、前記ステートマシンが、状態267であり、4方向ハンドシェイクに成功した場合、前記ステートマシンは、状態268へ遷移する。また、前記ステートマシンが、状態268であるとき、関連付けされていないか、関連付け/再関連付けに成功していないか、802.11認証に成功している場合、前記ステートマシンは、状態266へ遷移する。前記ステートマシンが状態266、状態267、または状態268であり、かつ前記システムが認証されていない場合、前記ステートマシンは、状態264へ遷移する。
図3a−bは、RSNA認証を実行するための方法を図示する。前記方法は、6つの段階を含む。段階1、2、および3は、図3aにおいて図示され、一方で、段階4、5、および6は、図3bにおいて図示される。前記方法が、段階1、段階2、段階3、段階4、および段階5を通して進行するように、前記ステートマシンは、状態264、状態266、状態267、および状態268を通して進行する。最初に、前記基地局および前記アクセスポイントは、認証されずかつ関連付けされておらず、かつ802.1xは、ブロックされている。段階1は、ネットワークおよびセキュリティ能力探索120を含む。前記アクセスポイントは、ステップ136において、開始フレームを前記基地局へ送信する。1実施形態において、ステップ136において、前記アクセスポイントは、ビーコンフレームを送信する。別の実施形態において、ステップ134における前記基地局によって前記アクセスポイントへ送信されたプローブ要求に応答して、ステップ136において前記アクセスポイントは、プローブ応答を送信する。
そして、段階2において、802.11認証および関連付け122が実行される。ステップ138において、前記基地局は、802.11認証要求を前記アクセスポイントへ送信する。そして、ステップ140において、前記アクセスポイントは、802.11認証応答を前記基地局へ送信する。次に、ステップ142において、前記基地局は、アソシエーション要求を前記アクセスポイントへ送信する。その後、ステップ144において、前記アクセスポイントは、802.11アソシエーション応答を前記基地局へ送信する。
関連付けされた802.1xのブロックされたセキュリティパラメータは、ステップ146において前記基地局内で認証されるとともに、ステップ148において前記アクセスポイント内で認証される。
次に段階3において、EAP/802.1x/Radius認証124が、実行される。相互認証プロトコルは、EAP認証に基づいて実行される。前記アクセスポイントは、EAPメッセージを中継するために認証局として機能する。ステップ150において、前記基地局は、任意の方法で、EAPOLスタートを送信する。そして、ステップ152において、前記アクセスポイントは、EAPOL要求識別(EAPOL Request Identity)を前記基地局へ送信するとともに、ステップ154において、前記基地局は、前記EAPOL応答識別(EAPOL Response identity)を前記アクセスポイントへ送信する。その後、前記アクセスポイントは、ステップ156においてアクセスポイント・ラディウス(radius)要求を前記認証サーバへ送信する。前記認証サーバおよび前記基地局は、ステップ158において相互認証を実行する。次に、前記認証サーバは、ステップ160において、ラディウス受理信号を前記アクセスポイントへ送信するとともに、前記アクセスポイントは、ステップ162においてEPOL成功信号を前記基地局へ送信する。
マスター・セッション・キー(MSK)は、ステップ164において前記基地局内で生成される。前記MSKは、ステップ168において、前記認証サーバ内でも生成される。加えて、前記ペアワイズ・マスター・キー(pairwise master key)(PMK)は、ステップ166において前記基地局内で生成される。また、前記PMKはステップ170において前記認証サーバ内で生成されるとともに、前記PMKは、ステップ172において前記認証サーバから前記アクセスポイントへ送信される。
その後、段階4において、4方向ハンドシェイク126が実行される。前記基地局および前記アクセスポイントの両方は、前記認証されたPMKを用いて互いに信用することができる。ステップ174において、A−Nonce値は、前記アクセスポイントによって前記基地局へ送信される。前記基地局は、そのとき、ステップ176においてペアワイズ・トランジェント・キー(PTK)を構成する。次に、ステップ178において、前記基地局は、S−Nonce値を、認証を含むメッセージ認可コード(MIC)を用いて前記アクセスポイントへ送信する。その後、ステップ180において、前記アクセスポイントは、前記PTKおよび前記グループ・テンポラル・キー(GTK)を構築する。前記アクセスポイントは、ステップ182において、前記GTK、前記A−Nonce値、次のマルチキャストまたはブロードキャストフレームにおいて使用される連続した番号、および別のMICを送信する。ステップ184において、前記基地局は、受領通知を前記アクセスポイントへ送信する。
次に、ステップ190において、前記GTKは、生成されるとともに、前記802.1xサーバは前記基地局においてブロックされない。また、802.1xは、ステップ192において前記アクセスポイント内でブロックされない。ランダムGTKは、ステップ194において前記アクセスポイント内で生成される。次に、任意の段階5において、グループ・キー・ハンドシェイク128が実行される。ステップ196において、前記アクセスポイントは、前記GTK、キーID、およびMICを含むEAPOLキーを前記基地局へ送信する。ステップ198において、前記新しいGTKの受領通知を前記アクセスポイントへ送信することによって、前記基地局は、応答する。
最後に、段階6において、安全なデータ通信130が実行される。ステップ202において、保護されたデータパケットは、前記基地局と前記アクセスポイントとの間で送信される。また、ステップ204において、ダイナミック・ホスト・コンフィギュレーション・プロトコル(dynamic host configuration protocol)(DHC)要求と、前記基地局およびDHCPサーバ間の応答とが実行される。
認証のためのシステムの実施形態が、図4において図示される。前記システムは、アクセスポイント106および認証サーバ104と通信する基地局102を含む。加えて、アクセスポイント106は、認証サーバ104と通信する。このシステムにおいて、前記FILS認証は、状態2および状態3をバイパスすることによって行われる。特定の状態において、前記FILS認証交換は、図3a−3bに図示された前記方法と比較して短縮されたバージョンのメッセージ交換を使用する。認証のためのステートマシンの実施形態が、図5において図示される。前記ステートマシンは、3つの状態(状態264、状態268、および状態269)を含む。状態264において、前記システムは、認証されずかつ関連付けされておらず、かつクラス1フレームが存在する。前記ステートマシンが状態264であり、ファスト・イニシャル・リンク・セットアップ(FILS)認証に成功した場合、前記ステートマシンは、状態269へ遷移する。前記ステートマシンが状態269であるとき、前記システムは、FILS認証されており、かつ前記IEEE802.1x制御ポートはブロックされる。また、選択された管理およびデータフレームを有するクラス1および2フレームが存在する。その後、前記システムが状態269であるとともに、FILSキーハンドシェイクが存在する場合、前記システムは、状態268に遷移する。前記ステートマシンが状態268であるとき、前記システムは、認証および関連付けされるとともに、IEEE802.1x制御ポートは、ブロックされない(unblocked)。加えて、状態268において、クラス1、2、および3フレームが存在する。しかしながら、前記ステートマシンが状態269であるとともに、FILS認可がされていない場合、前記ステートマシンは、状態264へ遷移する。同様に、前記ステートマシンが状態268であるとともに、前記システムが認証されていない場合、前記ステートマシンは、状態264へ遷移する。
基地局、アクセスポイント、および認証サーバを含む認証のための方法の実施形態のフローチャートが、図6において図示される。前記方法は、状態264、状態269、および状態268を含む。この実施形態において、FILS特定メッセージは、前記FILS認証を容易にするために使用される。また、この実施形態において、段階2および段階3は、図3a−3bに関して上で論じたように、バイパスされる。状態264は、段階1に対応し、状態269は、段階4に対応し、状態268は、段階5および段階6に対応する。
状態264は、ステップ228およびステップ230を含む。また、状態269は、ステップ232−252を含む。状態268は、ステップ254、ステップ256、ステップ258、およびステップ260を含む。最初に、状態264において、前記基地局およびアクセスポイントは、認証されておらずかつ関連付けされておらず、かつ802.1xは、ブロックされている。状態264の間、ステップ230において、前記アクセスポイントは、開始フレームを前記基地局へ送信する。1実施形態において、ステップ230において、前記アクセスポイントは、ビーコンフレームを送信する。別の実施形態において、前記アクセスポイントは、ステップ228において前記基地局によって前記アクセスポイントへ送信されたプローブ要求に応答して、ステップ230においてプローブ応答を送信する。その後、FILS認証が成功の場合、前記システムは、状態269へ遷移する。
一度、状態269になると、ステップ232において、前記基地局は、認可要求を前記アクセスポイントへ送信する。例えば、前記認可要求は、FILSハンドシェイクのためのセキュリティパラメータを有するEAPOLスタートを含んでもよい。ある例において、EAP要求識別送信は、前記基地局から前記アクセスポイントへ送信されるとともに、前記アクセスポイントは、EAP応答メッセージに応答する。次に、前記アクセスポイントは、ステップ234において、アクセス要求を前記認証サーバへ送信する。前記アクセス要求は、EAP要求であってもよい。その後、ステップ236において、前記基地局および前記認証サーバは、EAP認証プロトコル交換を実行する。その後、前記認可サーバは、ステップ238においてPMKを生成する。次に、ステップ240において、前記認可サーバは、受理通知(acceptance)、EAP成功通知(EAP success)、および前記PMKを前記アクセスポイントへ送信する。ついで、前記アクセスポイントは、ステップ242において、前記PMKを記憶するとともに、A−Nonce値を生成する。そして、ステップ244において、前記アクセスポイントは、802.11認可応答を前記サーバへ送信する。前記802.11認可応答は、EAPOLキーを含んでもよく、前記EAPOLは、前記A−Nonce値およびユニキャストMICを含んでもよい。次に、前記基地局は、ステップ246において、PMKを生成するとともに、ステップ248において、前記PTKを導出する。その後、ステップ250において、前記基地局は、802.11アソシエーション要求を前記アクセスポイントへ送信し、前記802.11アソシエーション要求は、EAPOLキーであってもよく、S−Nonce値およびユニキャストMICを含んでもよい。前記アクセスポイントは、そのとき、ステップ252において、802.11アソシエーション応答を前記基地局へ送信する。前記802.11アソシエーション応答は、PTK、ユニキャストMIC、暗号化されたGTKを含むEAPOLキー、またはインテグリティ・グループ・テンポラル・キー(IGTK)を含む。
最後に、状態268において、前記基地局は、ステップ254において、任意の方法でユニキャストMICを含むEAPOLキーを前記アクセスポイントへ送信する。最後に、前記サーバは、ステップ256において、前記PTK、前記GTK、および/または前記IGTKをインストールし、前記アクセスポイントは、ステップ258において、前記PTK、前記GTK、および/または前記IGTKをインストールする。最後に、ステップ260において、前記基地局と前記アクセスポイントとの間の安全なデータ通信が、続行する。
図7は、本明明細書において開示された前記デバイスおよび方法を実施するために使用されるシステム270を実施するためのブロック図が図示される。具体的なデバイスは、図示されたコンポーネントの全て、またはコンポーネントのサブセットのみを利用してもよく、かつ統合のレベルをデバイスからデバイスへ変更してもよい。さらに、デバイスは、複数の処理ユニット、プロセッサ、メモリ、トランスミッタ、レシーバ等の複数のコンポーネントのインスタンスを含んでもよい。前記処理システムは、マイクロフォン、マウス、タッチスクリーン、キーパッド、キーボードなどのような、1または2以上の入力デバイスに備え付けられた処理ユニットを具備する。また、処理システム270は、スピーカ、プリンタ、ディスプレイなどのような1または2以上の出力デバイスが備え付けられてもよい。前記処理ユニットは、中央処理ユニット(CPU)274、メモリ276、マス・ストレージ・デバイス278、ビデオアダプタ280、およびバスに接続されたI/Oインターフェース288を含んでもよい。
前記バスは、メモリバスまたはメモリコントローラ、周辺バス、ビデオバスなどを含む、1または2以上の任意の種類の様々なバス構造であってもよい。CPU274は、任意の種類の電子データプロセッサを具備してもよい。メモリ276は、スタティック・ランダム・アクセス・メモリ(SRAM)、ダイナミック・ランダム・アクセス・メモリ(DRAM)、シンクロナスDRAM(SDRAM)、リード・オンリー・メモリ(ROM)、それらを組み合わせたものなどのような、任意の種類のシステムメモリを具備してもよい。1実施形態において、前記メモリは、立ち上がりのために使用されるROMと、プログラムおよびプログラム実行中に使用されるデータストレージのためのDRAMとを含んでもよい。
マス・ストレージ・デバイス278は、データ、プログラム、および他の情報を記憶するとともに、前記データ、プログラム、および他の情報を前記バスを介してアクセス可能にするように構成された、任意の種類のストレージデバイスを具備してもよい。マス・ストレージ・デバイス278は、例えば、1または2以上のソリッド・ステート・ドライブ、ハード・ディスク・ドライブ、磁気ディスクドライブ、光学ディスクドライブなどを具備してもよい。
ビデオアダプタ280およびI/Oインターフェース288は、外部入力および出力デバイスを前記処理ユニットへ接続するためのインターフェースを提供する。説明として、入力および出力デバイスの例は、前記ビデオアダプタに接続された前記ディスプレイ、および前記I/Oインターフェースに接続された前記マウス/キーボード/プリンタを含む。他のデバイスは、前記処理ユニットに接続されてもよく、追加の、或いはわずかなインターフェースカードが使用されてもよい。例えば、シリアル・インターフェース・カード(図示されず)プリンタのためのシリアルインターフェースを提供するために使用されてもよい。
前記処理ユニットは、イーサネット(登録商標)ケーブルなどのような有線リンクおよび/またはアクセスノードまたは異なるネットワークへアクセスするためのワイヤレスリンクを具備する、1または2以上のネットワークインターフェース284も含む。ネットワークインターフェース284は、前記処理ユニットが前記ネットワークを介してリモートユニットと通信することを可能にする。例えば、前記ネットワークインターフェースは、1または2以上の送信機/送信アンテナおよび1または2以上の受信機/受信アンテナを介したワイヤレス通信を提供してもよい。1実施形態において、前記処理ユニットは、データ処理のために、ならびに他の処理ユニット、前記インターネット、およびリモートストレージ設備などのようなリモートデバイスとの通信のために、ローカル・エリア・ネットワークまたは広域ネットワークへ接続される。
実施形態の利点は、前記RSNAセキュリティプロトコルと、セキュリティとの適合性を含む。実施形態の別の利点は、ハンドシェイクにおいて、9または10メッセージのみを使用することである。例えば、4方向ハンドシェイクは、3方向ハンドシェイクに減少させられる。
いくつかの実施形態が本開示において提供されたが、開示されたシステムおよび方法は、本発明の主旨及び範囲から逸脱することなく他の多くの特定形態で具現できることが理解されるべきである。本発明の例は、説明的で非限定的なものとみなすべきであり、その意図は、本明細書で与えられた詳細に限定されるべきではない。例えば、別のシステムにおいて、様々な要素またはコンポーネントを組み合わせること、もしくは統合することができ、またはある特徴を除外すること、もしくは実施しないことができる。
加えて、様々な実施形態において、別個または単独なものとして説明され、例示された技術、システム、サブシステム、および方法は、本開示の範囲から逸脱することなく、他のシステム、モジュール、技術、または方法と組み合わせること、または統合することができる。結合もしくは直接的に結合されたものとして、または互いに通信するものとして示され、説明された他の事項は、電気的であるか、機械的であるか、または他の方法であるかに係わらず、いくつかのインターフェース、デバイス、または中間コンポーネントを介して、間接的に結合すること、または通信することができる。変更、置換、および修正の他の例は、当業者によって確認することができ、本明細書で開示された主旨および範囲から逸脱することなく、なされる。
102 基地局
104 認可サーバ
104 認証サーバ
106 アクセスポイント
120 セキュリティ能力探索
124 EAP/802.1x/Radius認証
126 方向ハンドシェイク
128 グループ・キー・ハンドシェイク
130 データ通信
104 認可サーバ
104 認証サーバ
106 アクセスポイント
120 セキュリティ能力探索
124 EAP/802.1x/Radius認証
126 方向ハンドシェイク
128 グループ・キー・ハンドシェイク
130 データ通信
Claims (20)
- ファスト・イニシャル・リンク・セットアップ(FILS)認証を実行する方法であって、前記方法は、
基地局によって、開始フレームを受信するステップと、
前記基地局によって、FILS認証要求を送信するステップと、を具備し、
前記FILS認証要求は、
前記FILSを含むローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートと、
FILSハンドシェイクのためのセキュリティパラメータと、を具備する
方法。 - 前記開始フレームは、ビーコンフレームを具備する請求項1に記載の方法。
- 前記開始フレームは、プローブ応答を具備し、前記方法は、前記開始フレームを受信する前に、前記基地局によって、プローブ要求を送信するステップをさらに具備する請求項1に記載の方法。
- EAP認証プロトコル交換を実行するステップをさらに具備する請求項1に記載の方法。
- 前記基地局によって、FILS認証のためにフォーマットされた第1認証応答メッセージを受信するステップであって、前記第1認証応答メッセージは、EAP認証情報を含む、ステップと、
前記基地局によって、アソシエーション要求を送信するステップと、
前記基地局によって、アソシエーション応答を受信するステップと、
をさらに具備する請求項1に記載の方法。 - 前記基地局によって、キー確認を送信するステップをさらに具備する請求項5に記載の方法。
- 前記基地局によって、アクセスポイント(AP)と安全に通信するステップをさらに具備する請求項1に記載の方法。
- ペアワイズ・マスター・キー(PMK)を生成するステップをさらに具備する請求項1に記載の方法。
- ペアワイズ・トランジェント・キー(PTK)を導出するステップをさらに具備する請求項1に記載の方法。
- サーバによって、前記PTKをインストールするステップと、
前記サーバによって、グループ・テンポラル・キー(GTK)をインストールするステップと
をさらに具備する請求項9に記載の方法。 - 認証を実行するための方法であって、前記方法は、
アクセスポイントによって、認証要求を受信するステップと、
前記アクセスポイントによって、アクセス要求フレームを送信するステップと、を具備し、
前記認証要求は、
ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートと、
ファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータと、を具備する
方法。 - 前記アクセスポイントによって、ビーコンフレームを送信するステップをさらに具備する請求項11に記載の方法。
- 前記アクセスポイントによって、EAPメッセージを受信するステップをさらに具備し、前記EAPメッセージは、
承認メッセージと、
EAP成功メッセージと、
ペアワイズ・マスター・キー(PMK)と、を具備する請求項11に記載の方法。 - 前記PMKを保存するステップと、
認可応答を生成するステップと、をさらに具備する請求項13に記載の方法。 - 前記アクセスポイントによって、前記
認可応答を送信するステップをさらに具備する請求項14に記載の方法。 - 前記アクセスポイントによって、アソシエーション要求を受信するステップと、
前記アクセスポイントによって、アソシエーション応答を送信するステップと、をさらに具備する請求項11に記載の方法。 - ペアワイズ・トランジェント・キー(PTK)をインストールするステップと、
インテグリティ・グループ・テンポラル・キー(IGTK)をインストールするステップと、をさらに具備する請求項11に記載の方法。 - 前記アクセスポイントによって、基地局と安全に通信するステップをさらに具備する請求項11に記載の方法。
- プロセッサと、
前記プロセッサによって実行されるためのプログラムを記憶するコンピュータ可読記憶媒体と、を具備する基地局であって、前記プログラムは、
開始フレームを受信するための命令と、
認証要求を送信するための命令と、を含み、
前記認証要求は、
ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートと、
ファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータと、を具備する
基地局。 - プロセッサと、
前記プロセッサによって実行されるためのプログラムを記憶するコンピュータ可読記憶媒体と、を具備するアクセスポイントであって、前記プログラムは、
認証要求を受信する命令と、
アクセス要求フレームを送信する命令と、を含み、
前記認証要求は、
ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートと、
ファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータと、を具備する
アクセスポイント。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261583856P | 2012-01-06 | 2012-01-06 | |
| US13/734,471 US9077701B2 (en) | 2012-01-06 | 2013-01-04 | Systems and methods for authentication |
| PCT/CN2013/070125 WO2013102449A1 (en) | 2012-01-06 | 2013-01-06 | Systems and methods for authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015505647A JP2015505647A (ja) | 2015-02-23 |
| JP5866030B2 true JP5866030B2 (ja) | 2016-02-17 |
Family
ID=48744899
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014550631A Active JP5866030B2 (ja) | 2012-01-06 | 2013-01-06 | 認証のためのシステムおよび方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (4) | US9077701B2 (ja) |
| EP (3) | EP2789148B1 (ja) |
| JP (1) | JP5866030B2 (ja) |
| KR (1) | KR101582502B1 (ja) |
| CN (1) | CN103988480B (ja) |
| RU (1) | RU2587417C2 (ja) |
| WO (1) | WO2013102449A1 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9077701B2 (en) | 2012-01-06 | 2015-07-07 | Futurewei Technologies, Inc. | Systems and methods for authentication |
| CN103546982A (zh) * | 2012-07-10 | 2014-01-29 | 中兴通讯股份有限公司 | 工作站的工作状态转换方法及装置 |
| WO2014051349A2 (ko) * | 2012-09-26 | 2014-04-03 | 엘지전자 주식회사 | 무선랜 시스템에서 액세스 수행 방법 및 장치 |
| US9554324B2 (en) | 2012-10-16 | 2017-01-24 | Stmicroelectronics, Inc. | Fast initial link setup (FILS) frame content for a wireless network |
| WO2014081427A1 (en) | 2012-11-21 | 2014-05-30 | Empire Technology Development | Schemes for connecting to wireless network |
| US20140329498A1 (en) * | 2013-05-02 | 2014-11-06 | Qualcomm Incorporated | Systems and methods for power save during initial link setup |
| EP3175639B1 (en) * | 2014-07-28 | 2021-04-14 | Telefonaktiebolaget LM Ericsson (publ) | Authentication during handover between two different wireless communications networks |
| US10555170B2 (en) | 2015-09-04 | 2020-02-04 | Huawei Technologies Co., Ltd. | Method and apparatus for authentication of wireless devices |
| CN107491279A (zh) * | 2017-08-15 | 2017-12-19 | 深圳市创维群欣安防科技股份有限公司 | 一种实现移动终端投屏的方法、存储介质及投屏控制设备 |
| US11075907B2 (en) * | 2017-12-20 | 2021-07-27 | Korea University Research And Business Foundation | End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same |
| CN111654865B (zh) * | 2020-07-31 | 2022-02-22 | 迈普通信技术股份有限公司 | 终端认证方法、装置、网络设备及可读存储介质 |
| WO2022046798A1 (en) * | 2020-08-24 | 2022-03-03 | Eleven Software Inc. | Key matching for eapol handshake using distributed computing |
| WO2024072379A1 (en) * | 2022-09-28 | 2024-04-04 | Intel Corporation | Enhanced unavailability mode for station devices unassociated to access points |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1235382C (zh) | 2002-11-15 | 2006-01-04 | 华为技术有限公司 | 一种基于802.1x协议的客户端认证方法 |
| US7395427B2 (en) * | 2003-01-10 | 2008-07-01 | Walker Jesse R | Authenticated key exchange based on pairwise master key |
| US7275157B2 (en) * | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
| US7646872B2 (en) | 2004-04-02 | 2010-01-12 | Research In Motion Limited | Systems and methods to securely generate shared keys |
| US7716724B2 (en) * | 2005-06-16 | 2010-05-11 | Verizon Business Global Llc | Extensible authentication protocol (EAP) state server |
| US20070047477A1 (en) | 2005-08-23 | 2007-03-01 | Meshnetworks, Inc. | Extensible authentication protocol over local area network (EAPOL) proxy in a wireless network for node to node authentication |
| US7630406B2 (en) * | 2005-11-04 | 2009-12-08 | Intel Corporation | Methods and apparatus for providing a delayed attack protection system for network traffic |
| US7911997B2 (en) * | 2006-05-10 | 2011-03-22 | Intel Corporation | Quality of service resource negotiation |
| TW200803359A (en) * | 2006-06-13 | 2008-01-01 | Accton Technology Corp | Method of connecting a new discovered AP by early 4-way handshaking |
| US7916663B2 (en) | 2006-09-18 | 2011-03-29 | Marvell International Ltd. | Establishment of ad-hoc networks between multiple devices |
| US7941663B2 (en) * | 2007-10-23 | 2011-05-10 | Futurewei Technologies, Inc. | Authentication of 6LoWPAN nodes using EAP-GPSK |
| EP2276278A1 (en) * | 2009-07-13 | 2011-01-19 | Research In Motion Limited | Methods and apparatus for maintaining secure connections in a wireless communication network |
| US8837741B2 (en) * | 2011-09-12 | 2014-09-16 | Qualcomm Incorporated | Systems and methods for encoding exchanges with a set of shared ephemeral key data |
| US9077701B2 (en) | 2012-01-06 | 2015-07-07 | Futurewei Technologies, Inc. | Systems and methods for authentication |
-
2013
- 2013-01-04 US US13/734,471 patent/US9077701B2/en active Active
- 2013-01-06 EP EP13733620.2A patent/EP2789148B1/en active Active
- 2013-01-06 EP EP23195380.3A patent/EP4301085A3/en active Pending
- 2013-01-06 JP JP2014550631A patent/JP5866030B2/ja active Active
- 2013-01-06 CN CN201380004164.5A patent/CN103988480B/zh active Active
- 2013-01-06 WO PCT/CN2013/070125 patent/WO2013102449A1/en active Application Filing
- 2013-01-06 RU RU2014132429/08A patent/RU2587417C2/ru active
- 2013-01-06 KR KR1020147021916A patent/KR101582502B1/ko active IP Right Grant
- 2013-01-06 EP EP20157417.5A patent/EP3700162B1/en active Active
-
2015
- 2015-06-02 US US14/728,560 patent/US9674702B2/en active Active
-
2017
- 2017-04-20 US US15/492,911 patent/US10104546B2/en active Active
-
2018
- 2018-10-12 US US16/159,235 patent/US10904753B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US9674702B2 (en) | 2017-06-06 |
| WO2013102449A1 (en) | 2013-07-11 |
| US9077701B2 (en) | 2015-07-07 |
| US20150281962A1 (en) | 2015-10-01 |
| RU2587417C2 (ru) | 2016-06-20 |
| EP3700162B1 (en) | 2023-10-11 |
| US10904753B2 (en) | 2021-01-26 |
| US10104546B2 (en) | 2018-10-16 |
| EP2789148B1 (en) | 2020-03-11 |
| KR101582502B1 (ko) | 2016-01-05 |
| EP2789148A1 (en) | 2014-10-15 |
| US20130179943A1 (en) | 2013-07-11 |
| CN103988480A (zh) | 2014-08-13 |
| RU2014132429A (ru) | 2016-02-27 |
| US20190053052A1 (en) | 2019-02-14 |
| JP2015505647A (ja) | 2015-02-23 |
| EP4301085A2 (en) | 2024-01-03 |
| US20170223534A1 (en) | 2017-08-03 |
| KR20140110051A (ko) | 2014-09-16 |
| EP3700162A1 (en) | 2020-08-26 |
| EP4301085A3 (en) | 2024-01-17 |
| EP2789148A4 (en) | 2015-03-11 |
| CN103988480B (zh) | 2016-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5866030B2 (ja) | 認証のためのシステムおよび方法 | |
| EP3105904B1 (en) | Assisted device provisioning in a network | |
| EP3186992B1 (en) | System and method for securing pre-association service discovery | |
| KR100843072B1 (ko) | 무선 네트워크 시스템 및 이를 이용한 통신 방법 | |
| US9392453B2 (en) | Authentication | |
| US8380982B2 (en) | Communication device and communication method | |
| US7948925B2 (en) | Communication device and communication method | |
| US9762567B2 (en) | Wireless communication of a user identifier and encrypted time-sensitive data | |
| EP3065334A1 (en) | Key configuration method, system and apparatus | |
| US11902781B2 (en) | Methods and systems of wireless sensor authentication | |
| WO2012151351A1 (en) | Wireless authentication using beacon messages | |
| US20070098176A1 (en) | Wireless LAN security system and method | |
| CN102883316A (zh) | 建立连接的方法、终端和接入点 | |
| CN107005927A (zh) | 用户设备ue的接入方法、设备及系统 | |
| JP2018526846A (ja) | ワイヤレスデバイスのコンフィギュレーションおよび認証 | |
| WO2018076299A1 (zh) | 数据传输方法及装置 | |
| WO2013104301A1 (zh) | 发送消息的方法、建立安全连接的方法、接入点和工作站 | |
| CN102487505B (zh) | 一种传感器节点的接入认证方法、装置及系统 | |
| CN116939609A (zh) | 一种无线网络的接入认证方法及相关装置 | |
| WO2016187850A1 (zh) | 无线通信网络中设备配置的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150715 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150721 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151021 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151201 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151228 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5866030 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |