KR101780252B1 - 링크 셋업 및 인증을 수행하는 시스템들 및 방법 - Google Patents

링크 셋업 및 인증을 수행하는 시스템들 및 방법 Download PDF

Info

Publication number
KR101780252B1
KR101780252B1 KR1020167001104A KR20167001104A KR101780252B1 KR 101780252 B1 KR101780252 B1 KR 101780252B1 KR 1020167001104 A KR1020167001104 A KR 1020167001104A KR 20167001104 A KR20167001104 A KR 20167001104A KR 101780252 B1 KR101780252 B1 KR 101780252B1
Authority
KR
South Korea
Prior art keywords
anonce
authentication
message
access point
dhcp
Prior art date
Application number
KR1020167001104A
Other languages
English (en)
Other versions
KR20160012245A (ko
Inventor
조지 체리언
필립 마이클 하위케스
산토쉬 폴 아브라함
히맨쓰 샘패쓰
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20160012245A publication Critical patent/KR20160012245A/ko
Application granted granted Critical
Publication of KR101780252B1 publication Critical patent/KR101780252B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

링크 셋업 및 인증을 수행하는 시스템들 및 방법들이 개시된다. 제 1 방법은, 액세스 포인트 논스(ANonce)를 포함하는 연관 응답 및 보호되지 않은 연관 요청을 활용한다. 제 2 방법은, 제 1 ANonce를 이용하는 제 1 링크 셋업 동안, 제 2 링크 셋업에서 이용하기 위한 제 2 ANonce를 수신하는 단계를 포함한다. 제 3 방법은, 연관 요청을 보호하기 위해 임시 키를 활용한다. 제 4 방법은, 액세스 포인트로부터 수신되는 ANonce-시드에 기초하여 모바일 디바이스에서 ANonce를 생성하는 단계를 포함한다.

Description

링크 셋업 및 인증을 수행하는 시스템들 및 방법{SYSTEMS AND METHODS OF PERFORMING LINK SETUP AND AUTHENTICATION}
본 출원은, 본원과 양수인이 동일한, 2011년 9월 12일에 출원된 미국 가특허출원 제 61/533,627호(Qualcomm 열람번호 113346P1), 2011년 9월 15일에 출원된 미국 가특허출원 제 61/535,234호(Qualcomm 열람번호 113346P2), 2012년 1월 4일에 출원된 미국 가특허출원 제 61/583,052호(Qualcomm 열람번호 113346P3), 2012년 3월 5일에 출원된 미국 가특허출원 제 61/606,794호(Qualcomm 열람번호 121585P1), 및 2012년 5월 11일에 출원된 미국 가특허출원 제 61/645,987호(Qualcomm 열람번호 121585P2) 및 2012년 3월 15일에 출원된 미국 가특허출원 제 61/611,553호(Qualcomm 열람번호 121602P1)을 우선권으로 주장하며, 상기 가특허출원들의 컨텐츠들은 그 전체가 인용에 의해 본원에 명백히 통합된다. 아울러, 2012년 9월 11일에 출원되고 발명의 명칭이 "WIRELESS COMMUNICATION USING CONCURRENT RE-AUTHENTICATION AND CONNECTION SETUP"인 Qualcomm 열람번호 113346을 갖는 정식(non-provisional) 출원, 및 2012년 9월 11일에 출원되고 발명이 명칭이 "SYSTEMS AND METHODS FOR ENCODING EXCHANGES WITH A SET OF SHARED ePHEMERAL KEY DATA"인 Qualcomm 열람번호 121602를 갖는 정식 출원의 컨텐츠들이 인용에 의해 본원에 통합된다.
다음 내용은 일반적으로 무선 통신에 관한 것이고, 더 구체적으로는, 무선 통신에서 링크 셋업 및 인증 프로세스들에 관한 것이다.
기술에서의 진보들은 더 작고 더 강력한 컴퓨팅 디바이스들을 초래해왔다. 예를 들어, 무선 컴퓨팅 디바이스들, 이를테면, 휴대용 무선 전화들, 개인 휴대 정보 단말들(PDA들) 및 작고 경량이며 사용자들에 의해 쉽게 운반되는 페이징 디바이스들을 포함하는 다양한 휴대용 개인 컴퓨팅 디바이스들이 현재 존재한다. 더 구체적으로, 셀룰러 전화들 및 인터넷 프로토콜(IP) 전화들과 같은 휴대용 무선 전화들은 무선 네트워크들을 통해 음성 및 데이터 패킷들을 통신할 수 있다. 추가로, 많은 이러한 무선 전화들은, 그에 통합되는 다른 타입들의 디바이스들을 포함한다. 예를 들어, 무선 전화는 또한 디지털 스틸 카메라, 디지털 비디오 카메라, 디지털 레코더 및 오디오 파일 플레이어를 포함할 수 있다. 또한, 이러한 무선 전화들은, 인터넷에 액세스하는데 이용될 수 있는 웹 브라우저 애플리케이션과 같은 소프트웨어 애플리케이션들을 포함하는 실행가능한 명령들을 프로세싱할 수 있다. 따라서, 이 무선 전화들은 상당한 컴퓨팅 능력들을 포함할 수 있다.
무선 통신 네트워크들은 통신 디바이스들이 이동중에 정보를 송신 및/또는 수신하게 한다. 이 무선 통신 네트워크들은, 모바일 액세스 단말로의 그리고 모바일 액세스 단말로부터의 정보의 전송을 가능하게 하기 위해, 다른 공개 또는 사설 네트워크들에 통신가능하게 커플링될 수 있다. 이러한 통신 네트워크들은 통상적으로, 액세스 단말들(예를 들어, 모바일 통신 디바이스들, 모바일 폰들, 무선 사용자 단말들)에 무선 통신 링크들을 제공하는 복수의 액세스 포인트들(AP)을 포함한다. 액세스 포인트들은 정적이거나(예를 들어, 지상에 고정되거나) 또는 이동식일 수 있고(예를 들어, 차량들, 위성들 등에 장착될 수 있고), 액세스 단말이 커버리지 영역 내에서 이동할 때 넓은 영역의 커버리지를 제공하도록 위치될 수 있다.
휴대용 디바이스들은 이 무선 네트워크들을 통해 데이터를 통신하도록 구성될 수 있다. 예를 들어, 많은 디바이스들은, 액세스 포인트를 통해 데이터의 무선 교환을 가능하게 하는 IEEE(Institute of Electrical and Electronics Engineers) 802.11 규격에 따라 동작하도록 구성된다. 몇몇 통신 시스템들에서, 모바일 액세스 단말이 액세스 포인트를 통해 통신 네트워크에 접속하는 경우, 액세스 포인트는 네트워크 액세스 인증을 수행한다. 모바일 액세스 단말이 상이한 액세스 포인트에 접속할 때마다, 인증 프로세스가 반복될 필요가 있을 수 있다. 그러나, 이 인증 프로세스를 반복하는 것은 상당한 셋업 지연들을 도입시킬 수 있다.
많은 통신 디바이스들은, 초기 접속 스테이지 및 하나 또는 그 초과의 재접속 스테이지들 모두에서 링크 셋업을 수행하도록 구성된다. 현재 시스템들은, IP 어드레스 할당들을 보호하기 위해, 인증 후 AP-IP 어드레스 할당에 대한 미리-공유된 키를 가정한다.
시스템에서 둘 또는 그 초과의 메시지 프로세싱 포인트들 사이에서 통신되는 다수의 메시지들의 활용 동안, 통신의 요구된 인증 레벨을 유지하면서 링크 셋업을 허용하여, 통신되는 메시지들의 수를 감소시키는 것이 매우 바람직하다.
게다가, 모바일 통신 디바이스는, 링크 셋업이 수행될 수 있기 전에 인근의 액세스 포인트에 대해 스캐닝할 수 있다. 이러한 스캐닝은 "패시브" 또는 "액티브"일 수 있다. "패시브" 스캐닝에서, 디바이스는 액세스 포인트 활동(예를 들어, 제어 메시지)을 청취할 수 있다. "액티브" 스캐닝에서, 디바이스는 문의를 브로드캐스트할 수 있고, 그 다음, 인근의 액세스 포인트들로부터 응답들을 대기할 수 있다. 따라서, "패시브" 스캐닝은 시간 소모적일 수 있고, "액티브" 스캐닝은 모바일 통신 디바이스에서 시간 및 전력 모두를 소모할 수 있다.
다양한 특징들, 성질 및 이점들은, 도면들과 관련하여 고려될 때 아래에서 기술되는 상세한 설명으로부터 명백해질 수 있고, 도면들에서 유사한 참조 문자들은 도면 전체에서 대응하도록 유사한 엘리먼트들을 식별한다.
도 1은, 무선 네트워크의 일례를 도시하는 개념도이다.
도 2는, 예시적인 사용자 디바이스를 도시하는 블록도이다.
도 3은, 종래의 접속 셋업에서 수행될 수 있는 메시징을 도시하는 흐름도이다.
도 4는, 본 개시의 하나 또는 그 초과의 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다.
도 5는, 링크 셋업 및 인증을 수행할 때 수행될 수 있는 메시징을 도시하는 흐름도이다.
도 6은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다.
도 7은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다.
도 8은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다.
도 9는, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다.
도 10은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다.
도 11은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다.
도 12는, 재인증 프로토콜 동안 수행될 수 있는 메시징을 도시하는 흐름도이다.
도 13은, 재인증 프로토콜에 대해 이용될 수 있는 키 계층구조를 도시한다.
도 14는, 재인증 요청 및 발견 요청을 생성하여 연관 요청에 번들링(bundle)하는 예시적인 프로세스를 도시하는 흐름도이다.
도 15는, 스테이션/단말에 의해 전송된 연관 요청으로부터 재인증 요청 및 상위 계층 메시지를 수신 및 추출하기 위해 기지국에서 동작하는 예시적인 프로세스를 도시하는 흐름도이다.
도 16은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다.
도 17은, 링크 셋업 및 인증을 수행하기 위해, 도 16의 스테이션에서 동작가능한 예시적인 프로세스를 도시하는 흐름도이다.
도 18은, 링크 셋업 및 인증을 수행하기 위해, 도 16의 액세스 포인트에서 동작가능한 예시적인 프로세스를 도시하는 흐름도이다.
도 19는, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다.
도 20은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다.
도 21은, 링크 셋업 및 인증을 수행하기 위해, 도 19 내지 도 20의 스테이션에서 동작가능한 예시적인 프로세스를 도시하는 흐름도이다.
도 22는, 링크 셋업 및 인증을 수행하기 위해, 도 19 내지 도 20의 액세스 포인트에서 동작가능한 예시적인 프로세스를 도시하는 흐름도이다.
도 23은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 도면이다.
도 24는, 도 23에 도시된 바와 같은 링크 셋업 및 인증을 수행하기 위해 스테이션에서 동작가능한 예시적인 프로세스를 도시하는 흐름도이다.
도 25는, 도 23에 도시된 바와 같은 링크 셋업 및 인증을 수행하기 위해 액세스 포인트에서 동작가능한 예시적인 프로세스를 도시하는 흐름도이다.
도 26은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 도면이다.
도 27은, 도 26에 도시된 바와 같은 링크 셋업 및 인증을 수행하기 위해 스테이션에서 동작가능한 예시적인 프로세스를 도시하는 흐름도이다.
도 28은, 도 26에 도시된 바와 같은 링크 셋업 및 인증을 수행하기 위해 액세스 포인트에서 동작가능한 예시적인 프로세스를 도시하는 흐름도이다.
하기 설명에서, 본 개시가 실시될 수 있는 특정 실시예들이 예시의 방식으로 도시되어 있는 첨부된 도면들에 대해 참조된다. 실시예들은, 이 분야의 당업자들이 본 발명을 실시할 수 있게 하기 위해 본 개시의 양상들을 충분히 상세히 설명하도록 의도된다. 본 개시의 범위를 벗어남이 없이, 다른 실시예들이 활용될 수 있고, 개시된 실시예들에 대해 변경들이 행해질 수 있다. 하기 상세한 설명은 제한적인 관점에서 고려되는 것이 아니며, 본 발명의 범위는 오직 첨부된 청구항들에 의해서만 정의된다.
본 명세서에서 설명되는 특징들 및 양상들은, 접속 셋업의 재인증 프로세스 동안 빠른 셋업 시간을 위한 디바이스들 및 방법들을 제공한다. 예를 들어, 설명된 기술들은, 모바일 디바이스(예를 들어, 스테이션(STA))가 먼저 비콘을 청취하거나 액세스 포인트로부터 프로브 응답을 요구함이 없이 액세스 포인트(AP)에 대해 링크 셋업을 수행하게 할 수 있다. 비콘 또는 프로브 응답은 통상적으로, 링크 셋업 동안 이용될 액세스 포인트 논스(ANonce)를 포함할 수 있다. 따라서, 설명된 기술들은, STA가 ANonce를 미리 수신함이 없이 링크 셋업을 수행하게 할 수 있다. "변형된 4-웨이 핸드쉐이크" 기술에 따르면, STA는 보호되지 않은 연관 요청을 AP에 전송할 수 있고, 연관 응답으로 AP로부터 ANonce를 수신할 수 있다. 그 다음, 수신된 ANonce는 키 유도를 위해 이용될 수 있다. "다음 ANonce" 기술에 따르면, STA는 제 1 ANonce를 이용하여 개시된 제 1 링크 셋업 동안, 제 1 링크 셋업에 후속하는 제 2 링크 셋업에서 이용하기 위한 제 2 ANonce를 수신할 수 있다.
설명된 기술들은 또한, 상위 계층 시그널링 보호를 위한 임시 키의 이용을 가능하게 할 수 있다. 예를 들어, 보호되지 않은 연관 요청을 전송하는 대신에, STA는 AP로부터 비콘 또는 프로브 응답을 통해 제 1 ANonce(예를 들어, ANonce1)를 수신할 수 있고, 제 1 ANonce에 기초하여 제 1 키(예를 들어, 제 1 PTK(pairwise transient key))를 유도할 수 있다. 제 1 키는 STA에 의해 AP에 전송된 연관 요청을 보호하기 위해 이용될 수 있다. 연관 요청을 수신하는 것에 대한 응답으로, AP는 제 2 ANonce(예를 들어, ANonce2)를 생성할 수 있고, 제 2 ANonce에 기초하여 제 2 키(예를 들어, 제 2 PTK)를 유도할 수 있다. AP는, 제 2 ANonce를 포함하고 제 2 키를 이용하여 보호되는 연관 응답을 STA에 송신할 수 있다. STA는 제 2 ANonce에 기초하여 제 2 키를 유도할 수 있고, 제 2 키를 이용하여 연관 응답을 프로세싱하고 링크 셋업을 완료할 수 있다. 제 2 키는 또한 STA와 AP 사이에서 통신되는 후속 메시지들(예를 들어, 데이터 메시지들)을 보호하는데 이용될 수 있다.
대안적으로, AP로부터 비콘 또는 프로브 응답을 통해 ANonce를 수신하는 대신에, STA는 비콘 또는 프로브 응답에서 ANonce-시드(seed)를 수신할 수 있다. ANonce-시드는, AP에 의해 빈번하게 업데이트되는 암호화된 시드 값일 수 있다. STA는, STA의 미디어 액세스 제어(MAC) 어드레스로 ANonce-시드를 해시(hash)함으로써 ANonce를 생성할 수 있다. 따라서, 비콘 메시지를 통해 다수의 STA들에 브로드캐스트되는 ANonce와는 달리, ANonce-시드 및 STA의 MAC 어드레스에 기초하여 STA에서 생성되는 ANonce는 STA에 고유할 수 있다. 생성된 ANonce는 AP와의 링크 셋업을 개시하기 위해 STA에 의해 이용될 수 있다. 링크 셋업 동안, AP는, STA로부터의 링크 셋업 메시지들(예를 들어, 연관 요청)에 포함될 수 있는 STA의 MAC 어드레스 및 ANonce-시드에 기초하여 ANonce를 생성할 수 있다. 다른 핸드쉐이킹 기술들과는 대조적으로, 이 기술은 STA가 AP 이전에 ANonce를 생성하는 것을 수반할 수 있음이 주목될 것이다. 유리하게, ANonce는 STA에 고유할 수 있고, "깨끗하게(in the clear)"(즉, 암호화되지 않고) 전송될 수 있고, AP에 의한 송신 이전에, 인가되지 않은 디바이스들에 의해 예측가능하지 않을 수 있다.
특정한 실시예에서, 방법은, 모바일 디바이스로부터 액세스 포인트에 보호되지 않은 연관 요청을 전송하는 단계를 포함한다. 방법은 또한 액세스 포인트로부터 연관 응답을 수신하는 단계를 포함하고, 여기서 연관 응답은 ANonce를 포함한다. 방법은, 모바일 디바이스에서, ANonce를 이용하여 PTK(pairwise transient key)를 생성하는 단계를 포함한다.
다른 특정한 실시예에서, 장치는, 프로세서 및 명령들을 저장하는 메모리를 포함하고, 명령들은, 보호되지 않은 연관 요청을 액세스 포인트에 전송하고, 액세스 포인트로부터 연관 응답을 수신하도록 프로세서에 의해 실행가능하며, 여기서 연관 응답은 ANonce를 포함한다. 명령들은 또한 ANonce를 이용하여 PTK를 생성하도록 프로세서에 의해 실행가능하다.
다른 특정한 실시예에서, 방법은, 모바일 디바이스로부터의 보호되지 않은 연관 요청을 액세스 포인트에서 수신하는 단계를 포함한다. 방법은 또한, 보호되지 않은 연관 요청으로부터 개시 메시지를 추출하고 개시 메시지를 인증 서버에 전송하는 단계를 포함한다. 방법은, 인증 서버로부터 답신 메시지를 수신하는 단계를 더 포함하고, 여기서 답신 메시지는 rMSK(re-authentication master session key)를 포함한다. 방법은, ANonce를 생성하고 연관 응답을 모바일 디바이스에 전송하는 단계를 포함하고, 여기서 연관 응답은 ANonce를 포함한다.
다른 특정한 실시예에서, 장치는, 프로세서 및 명령들을 저장하는 메모리를 포함하고, 명령들은, 모바일 디바이스로부터 보호되지 않은 연관 요청을 수신하도록 프로세서에 의해 실행가능하다. 명령들은 또한, 보호되지 않은 연관 요청으로부터 개시 메시지를 추출하고 개시 메시지를 인증 서버에 전송하도록 프로세서에 의해 실행가능하다. 명령들은, 인증 서버로부터 답신 메시지를 수신하도록 프로세서에 의해 추가로 실행가능하고, 여기서 답신 메시지는 rMSK를 포함한다. 명령들은, ANonce를 생성하고 연관 응답을 모바일 디바이스에 전송하도록 프로세서에 의해 실행가능하고, 여기서 연관 응답은 ANonce를 포함한다.
다른 특정한 실시예에서, 방법은, 모바일 디바이스에서, 제 1 ANonce를 이용하여 액세스 포인트와 제 1 링크 셋업을 개시하는 단계를 포함한다. 방법은 또한, 액세스 포인트와의 제 1 링크 셋업 동안, 제 1 링크 셋업에 후속하는 액세스 포인트와의 제 2 링크 셋업에서 이용하기 위한 제 2 ANonce를 수신하는 단계를 포함하고, 여기서 제 2 ANonce는 제 1 ANonce와 별개이다.
다른 특정한 실시예에서, 장치는, 프로세서 및 명령들을 저장하는 메모리를 포함하고, 명령들은, 제 1 ANonce를 이용하여 액세스 포인트와 제 1 링크 셋업을 개시하도록 프로세서에 의해 실행가능하다. 명령들은 또한, 액세스 포인트와의 제 1 링크 셋업 동안, 제 1 링크 셋업에 후속하는 액세스 포인트와의 제 2 링크 셋업에서 이용하기 위한 제 2 ANonce를 수신하도록 프로세서에 의해 실행가능하고, 여기서 제 2 ANonce는 제 1 ANonce와 별개이다.
다른 특정한 실시예에서, 방법은, 제 1 ANonce를 이용한 제 1 링크 셋업 동안, 제 1 링크 셋업에 후속하는 모바일 디바이스와의 제 2 링크 셋업에서 이용하기 위한 제 2 ANonce를 액세스 포인트로부터 모바일 디바이스에 전송하는 단계를 포함하고, 여기서 제 2 ANonce는 제 1 ANonce와 별개이다.
다른 특정한 실시예에서, 장치는, 프로세서 및 명령들을 저장하는 메모리를 포함하고, 명령들은, 제 1 ANonce를 이용한 제 1 링크 셋업 동안, 제 1 링크 셋업에 후속하는 모바일 디바이스와의 제 2 링크 셋업에서 이용하기 위한 제 2 ANonce를 모바일 디바이스에 전송하도록 프로세서에 의해 실행가능하고, 여기서 제 2 ANonce는 제 1 ANonce와 별개이다.
다른 특정한 실시예에서, 방법은, 액세스 포인트로부터 제 1 ANonce를 모바일 디바이스에서 수신하는 단계를 포함한다. 방법은 또한, 제 1 ANonce를 이용하여 제 1 PTK를 생성하는 단계를 포함한다. 방법은, 액세스 포인트에 연관 요청을 전송하는 단계를 더 포함하고, 여기서 연관 요청은 SNonce를 포함하고, 제 1 PTK를 이용하여 보호된다. 방법은, 액세스 포인트로부터 연관 응답을 수신하는 단계를 포함하고, 여기서 연관 응답은 제 2 ANonce를 포함하고, 제 2 PTK를 이용하여 보호된다. 방법은 또한 제 2 ANonce 및 SNonce를 이용하여 제 2 PTK를 생성하는 단계를 포함한다. 방법은, 액세스 포인트에 전송될 적어도 하나의 후속 메시지를 보호하기 위해 제 2 PTK를 이용하는 단계를 더 포함한다.
다른 특정한 실시예에서, 장치는, 프로세서 및 명령들을 저장하는 메모리를 포함하고, 명령들은, 모바일 디바이스에 전송될 ANonce-시드를 액세스 포인트에서 생성하도록 프로세서에 의해 실행가능하다. 명령들은 또한, 모바일 디바이스로부터 수신된 모바일 디바이스의 MAC 어드레스 및 ANonce-시드에 기초하여 ANonce를 생성하도록 프로세서에 의해 실행가능하다. 명령들은, 생성된 ANonce에 기초하여 모바일 디바이스와의 링크 셋업을 수행하도록 프로세서에 의해 추가로 실행가능하다.
802.11 (WiFi) 네트워크들과 같은 무선 네트워크들에서, 모바일 사용자는 하나의 네트워크로부터 다른 네트워크로 이동할 수 있다. 몇몇 경우들에서, 네트워크들은 동일한 네트워크 캐리어 또는 엔티티에 의해 관리될 수 있다.
이러한 이용 케이스들에 대한 몇몇 비제한적인 예들은 다음과 같다:
1. 핫스팟 통과
(A) 사용자는 (몇몇 비중첩하는) 공개적으로 액세스가능한 (예를 들어, 커피숍들 또는 다른 공개 위치들에 있는) WiFi 핫스팟들 옆을 지나갈 수 있다. 접속한 동안, 사용자 단말은 이메일들, 소셜 네트워킹 메시지들 등과 같은 정보를 업로드 및 다운로드할 수 있다. 다른 예는, WiFi 액세스 포인트들을 갖는 다수의 기차역들을 통과할 수 있는 기차에 탄 승객들이다.
2. 기차
(B) 사용자는, 로컬 액세스 포인트(AP)를 통해 고객들에게 WiFi 서비스가 제공되는 기차에 탑승할 수 있다. 이러한 AP는 트랙사이드(track-side) 인프라구조에 접속하기 위해 무선 802.11-기반 백본(backbone)을 이용할 수 있다. 트랙들을 따라 연속적인 커버리지를 제공하기 위해 지향성 안테나가 이용될 수 있다.
3. 운전중의 통행료(toll)/중량측정(weight) 스테이션
(C) 통행료 스테이션을 통해 운전하거나 중량측정 스테이션 옆을 지나가는 고속도로 상의 차량은 통행료 스테이션 또는 중량측정 스테이션의 AP에 접속가능할 수 있다. 운전하는 동안(또는 중량측정 동안) 고객에게 통행료를 과금하는 것과 같은 정보 또는 화물 정보의 교환이 제공될 수 있다.
이러한 비중첩하지만 관련된 접속들에 대한 인에이블링(enabling) 애플리케이션들은, 표준 IP 프로토콜 세트(suite)에 의존할 수 있고, 보안 링크를 설정하기 위한 기본적인 무선 기술에서 잠재적으로 신뢰할 수 있다.
몇몇 제안된 시스템들에서, 인터넷 프로토콜(IP) 접속들의 셋업을 위해, 비콘을 수신한 후, 액세스 단말에 대한 보안 링크를 설정하기 위해 16개의 라운드트립 교환들(액세스 단말로 그리고 액세스 단말로부터 통신되는 32개의 메시지들)이 존재할 수 있다.
본 명세서에서 설명되는 제안된 시스템들의 선택된 실시예들에서, 빠른 링크 셋업이 수행될 수 있고, 여기서 비콘을 수신한 후 IP 접속 및 보안 링크를 셋업하기 위한 메시지들의 수는, 이전의 16개의 라운드트립 교환들(32개의 메시지들)에서 1개의 라운드트립 교환(2개의 메시지들)으로 감소된다. 빠른 링크 셋업의 일부로서 EAP/ERP(Extensible Authentication Protocol/Re-authentication Protocol)가 이용될 수 있다.
도 1은, 하나 또는 그 초과의 단말들과 액세스 포인트 사이에서 데이터를 통신하기 위한 무선 네트워크 구성의 일례를 도시하는 개념도이다. 도 1의 네트워크 구성(100)은 하나 또는 그 초과의 단말들과 액세스 포인트 사이에서 데이터를 통신하기 위해 이용될 수 있다. 네트워크 구성(100)은 네트워크(104)에 커플링된 액세스 포인트(102)를 포함한다. 액세스 포인트(102)는, 무선 디바이스들(또한 본 명세서에서 스테이션들(STA들) 및 액세스 단말들(AT들)(106, 108, 110)로 지칭될 수 있음)과 같은 다양한 통신 디바이스들에 무선 통신들을 제공하도록 구성될 수 있다. 비제한적인 예로서, 액세스 포인트(102)는 기지국일 수 있다. 비제한적인 예들에서, 스테이션들/단말들(106, 108, 110)은 개인용 컴퓨터(PC), 랩탑 컴퓨터, 태블릿 컴퓨터, 모바일 폰, 개인 휴대 정보 단말(PDA), 및/또는 데이터를 무선으로 전송 및/또는 수신하기 위해 구성된 임의의 디바이스, 또는 이들의 임의의 조합일 수 있다. 네트워크(104)는, TCP/IP(transmission control protocol/internet protocol) 네트워크와 같은 분산형 컴퓨터 네트워크를 포함할 수 있다.
액세스 포인트(102)는, WiFi(Wireless Fidelity) 서비스들, WiMAX(Worldwide Interoperability for Microwave Access) 서비스들, 및 무선 SIP(session initiation protocol) 서비스들을 포함하는(그러나 이에 한정되는 것은 아님) 다양한 무선 통신 서비스들을 제공하도록 구성될 수 있다. 스테이션들/단말들(106, 108, 110)은 무선 통신들(IEEE(Institute of Electrical and Electronics Engineers)에 의해 개발된 802.11, 802.11-2007 및 802.11x 규격군에 따르는 통신들을 포함하지만 이에 한정되는 것은 아님)을 위해 구성될 수 있다. 또한, 스테이션들/단말들(106, 108, 110)은 액세스 포인트(102)에 데이터를 전송하고 액세스 포인트(102)로부터 데이터를 수신하도록 구성될 수 있다.
도 2는 예시적인 스테이션/단말(200)을 도시하는 블록도이다. 프로세서(210)(예를 들어, 디지털 신호 프로세서(DSP))는, 프로세서(210) 상에서의 실행을 위한 명령들(260) 및 프로세싱 및 송신을 위한 데이터와 같은 정보를 저장하기 위한 메모리(232)에 커플링된다. 명령들은, 본 명세서에서 설명되는 바와 같이, 스테이션/단말의 기능들 및 다양한 방법들을 수행하도록 프로세서(210)에 의해 실행가능할 수 있다. 아울러, 액세스 포인트(AP), 인증 서버(AS) 및 DHCP(Dynamic Host Configuration Protocol) 서버는, 유사하게 프로세서 및 명령들을 저장하는 메모리를 포함할 수 있고, 명령들은, 본 명세서에서 설명되는 바와 같이, AP, AS 및 DHCP 서버 각각의 기능들 및 다양한 방법들을 수행하도록 프로세서에 의해 실행가능하다.
디스플레이 제어기(226)가 프로세서(210) 및 디스플레이 디바이스(228)에 커플링될 수 있다. 코더/디코더(CODEC)(234)가 또한 프로세서(210)에 커플링될 수 있다. 사용자 인터페이스 디바이스들의 비제한적인 예들로서, 스피커(236) 및 마이크로폰(238)이 CODEC(234)에 커플링될 수 있다. 무선 제어기(240)가 프로세서(210) 및 안테나(242)에 커플링될 수 있다. 특정한 예에서, 프로세서(210), 디스플레이 제어기(226), 메모리(232), CODEC(234), 및 무선 제어기(240)는 시스템-인-패키지 또는 시스템-온-칩 디바이스(222)에 포함될 수 있다. 특정한 예에서, 입력 디바이스(230) 및 전원(244)이 시스템-온-칩 디바이스(222)에 커플링될 수 있다. 아울러, 특정한 예에서, 도시된 바와 같이, 디스플레이 디바이스(228), 입력 디바이스(230), 스피커(236), 마이크로폰(238), 안테나(242), 및 전원(244)은 시스템-온-칩 디바이스(222)의 외부에 있을 수 있다. 그러나, 디스플레이 디바이스(228), 입력 디바이스(230), 스피커(236), 마이크로폰(238), 무선 안테나(242), 및 전원(244) 각각은, 인터페이스 또는 제어기와 같은, 시스템-온-칩 디바이스(222)의 컴포넌트에 커플링될 수 있다.
도 3은, 종래의 접속 셋업에서 수행될 수 있는 메시징을 도시하는 흐름도이다. 스테이션/단말(302)과 액세스 포인트(304) 사이에 도시된 메시지들은 프로브 및 인증 요청을 포함할 수 있다. EAPOL(Extensible Authentication Protocol (EAP) Over Local Area Network (LAN)) 프로세스가 시작할 수 있고, 인증 단계, 보호된 EAP(PEAP) 상태, 및 EAP-MSCHAPv2(EAP-Microsoft Challenge Handshake authentication Protocol)를 포함할 수 있다. EAP 성공 시에, EAPOL 키가 설정될 수 있다. 따라서, 링크 셋업 및 인증을 설정하기 위해, 스테이션/단말(302)로 또는 그로부터 적어도 16개의 메시지들이 통신되어야 한다.
본 명세서에서 설명된 제안된 시스템의 특정한 실시예들에서, (비콘을 수신한 후) IP 접속을 셋업하기 위한 메시지들의 수는 (16개의 메시지들로부터) 2개의 메시지들로 감소된다. 도 12 및 도 13에 대해 아래에서 더 완전히 설명되는 바와 같이, ERP(Extensible Authentication Protocol Re-authentication Protocol)가 재인증의 일부로서 이용될 수 있고, 하기 최적화들을 포함할 수 있다. 스테이션/단말(STA)(302)은 전체 EAP 인증을 한번 수행할 수 있고, 그 후, 빠른 초기 링크 셋업을 위해 ERP 고속 재인증을 유지한다.
네트워크로부터의 도전을 획득함이 없이 연관 요청을 전송하기 전에 스테이션/단말(302)에 의해 rMSK(re-authentication Master Session Key)가 생성된다. rMSK로부터 스테이션(STA)(302)에 의해 PTK(pairwise transient key)가 생성되고, PTK는 KCK(key confirmation key), KEK(key encryption key), 및 TK(Transient Key)를 포함한다.
연관 요청이 스테이션(302)에 의해 전송되고, DHCP(Dynamic Host Configuration Protocol)-Discover-with-Rapid-Commit 및 SNonce(예를 들어, SNonce는 STA(302)에 의해 선택됨, 즉, 스테이션 논스)와 EAP 재인가 요청을 번들링한다. 번들링된 메시지는 하나 또는 그 초과의 정보 엘리먼트들(IE들)로서 포함될 수 있다. EAP 재인가 요청은 rIK(re-authentication integrity key)를 이용하여 인증 서버(Auth Server)(308)에 의해 인증된다. DHCP-Discover-with-Rapid-Commit 및 SNonce는 rMSK(re-authentication Master Session Key) 또는 rMSK로부터 유도된 PTK(pairwise transient key)를 이용하여 보호된다. DHCP-Discover-with-Rapid-Commit는 암호화되고 MIC(Message Integrity Code)화될 수 있거나 또는 암호화되지 않지만 MIC화될 수 있다. 본 명세서의 예들 중 일부는 효율적인 재인증 개념을 예시하기 위해 발견 요청(예를 들어, Discover-with-Rapid-Commit)을 활용할 수 있지만, IP 어드레스를 할당하기 위해 (프로토콜 스택의) 상위 계층에서 이용되는 임의의 메시지가 그 대신 이용될 수 있음을 이해해야 한다.
DHCP 메시지가 암호화되면, 액세스 포인트(304)는, EAP-재인증 요청이 인증 서버(308)에 의해 유효화될 때까지 DHCP-Discover-with-Rapid-Commit 및 SNonce 메시지들을 홀딩할 수 있다. 메시지를 유효화하기 위해 액세스 포인트(AP)(304)는, 인증 서버(308)로부터 rMSK를 수신하고 PTK(pairwise transient key)를 유도할 때까지 대기한다. 인증 서버(308)로부터 획득된 rMSK에 기초하여, 액세스 포인트(304)는 PTK를 유도하고, PTK는 메시지를 암호해독하는 것 뿐만 아니라 MIC(Message Integrity Code)를 위해 이용된다.
DHCP 메시지가 암호화되지 않으면, 액세스 포인트(304)는, 대부분의 경우 정확한 디바이스로부터 메시지가 기인했을 것이라는 예상으로, DHCP-Discover-with-Rapid-Commit를 DHCP-서버로 포워딩할 수 있다 (그러나, 인증 서버(308)에 의해 EAP 재인증 요청이 유효화될 때까지 SNonce 메시지들을 보유한다). DHCP-Discover-with-Rapid-Commit가 DHCP-서버에 전송될 수 있을 경우에도, 액세스 포인트(304)가 인증 서버(308)로부터 획득된 rMSK에 기초하여 DHCP 발견 메시지를 검증하고 액세스 포인트(304)가 PTK를 유도할 때까지 액세스 포인트(304)는 DHCP-확인응답을 홀딩할 것이다.
그 다음, 액세스 포인트(AP)(304)는 PTK로 보호된 DHCP-확인응답 + GTK/IGTK를 전송한다. 즉, DHCP-확인응답은 암호화되고, 메시지 무결성이 보호된다.
비제한적인 양상은, 링크 셋업 및 인증을 위한 프로세스에서 다음의 단계들 중 하나 또는 그 초과를 포함할 수 있다.
첫째로, 사용자는 스테이션/단말(302)을 획득할 수 있고, 특정한 네트워크(예를 들어, 특정한 WiFi 네트워크)와의 초기 셋업의 일부로서 전체 EAP 인증을 수행할 수 있다. 비제한적인 예로서, 아마도 전체 EAP 인증은, 예를 들어, 1년과 같은 특정한 인증 기간 동안 유지될 수 있다.
둘째로, 인증 기간 동안, 사용자는 (몇몇 비중첩하는) 공개적으로 액세스가능한 (예를 들어, 커피숍들 및 다른 공개 장소들에 있는) WiFi 핫스팟들 옆을 지나간다. 즉, 이 단계는, 인증 기간 동안 셋업 네트워크의 일부인 다수의 액세스 포인트들(304)에 의해 다수회 수행될 수 있다. 스테이션/단말(302)은 ERP를 이용하여 네트워크와 FILS(Fast Initial Link Setup)를 수행할 것이다. 연관 요청 메시지를 이용한 DHCP-Rapid-Discovery와 ERP의 번들링은, 아래에서 더 완전히 설명되는 바와 같이, 연관 요청에 대한 시그널링을 하나의 라운드트립으로 감소시킬 것이다. 인증 기간 동안, 사용자의 스테이션/단말(302)은, 네트워크와 접속하는 경우 FILS(Fast Initial Link Setup)를 위해 ERP를 수행하는 것을 계속할 수 있다.
셋째로, 인증 기간의 만료에 접근함에 따라, 사용자는 주어진 시간 기간(예를 들어, 2주) 내에, 다시 네트워크로의 "전체 접속"을 수행하도록 경고받을 수 있다. 이 기간 동안, 사용자는, 더 먼저의 전체-EAP 인증이 만료할 때까지 그에 기초하여 빠른 인증을 이용할 수 있는 것을 계속할 것이고, 그렇지 않으면 전체 접속이 수행된다. 전체 접속 통지는 네트워크로부터 발신될 수 있거나, 스테이션/단말(302) 상에서 로컬로 구성될 수 있다.
넷째로, 사용자가 전체 접속을 수행하지 않으면, 1년 이후, 네트워크는 ERP를 실패할 것이고, 단계 1에서 요약된 바와 같이 다른 1년을 위한 전체 EAP 인증을 개시할 것이다.
도 4 내지 도 11은, 2개의 메시지 링크 셋업 및 인증을 수행하기 위한 다양한 상이한 시나리오들을 도시한다.
도 4는, 클라이언트 스테이션에 대한 효율적인 링크 셋업 및 인증을 수행하는 제 1 예를 도시하는 흐름도이다. 단계들 0a 및 0b에서, 제 1 액세스 포인트 AP1(304A)에 통신가능하게 커플링되는 동안 스테이션/단말(STA)(302)은 전체 EAP 인증을 수행할 수 있다. 제 2 액세스 포인트 AP2(304B)에 더 가까이 이동하고(단계 1) AP2(304B)의 비콘을 검출하면(단계 2), 스테이션/단말(302)은 제 2 액세스 포인트 AP2(304B)를 통해 자신을 재인증하려 할 수 있다. 이 프로세스에서, 액세스 포인트(304B)는, FILS(Fast Initial Link Setup)에 대한 능력 표시자를 포함하는 비콘/프로브를 송신한다. 능력 표시자는, 번들링된 ERP 및 DHCP-Rapid-Discovery와 연관 요청을 핸들링하는 능력을 나타낼 수 있다. 단계 3에서, 스테이션/단말(302)은 연관 요청을 전송하기 전에 ERP를 이용하여 rMSK(re-authentication master session keys)(도 13 참조)를 생성하며, 여기서,
rMSK = KDF (K, S);
K = rRK; 및
S = rMSK label | "\0" | SEQ | length 이다.
스테이션/단말(302)은 하나 또는 그 초과의 메시지들을 연관 요청의 정보 엘리먼트들(IE들)(또는 파라미터들/페이로드)로서 패킹한다(단계 3). 예를 들어, 이러한 연관 요청은: 1) EAP 재인증 개시(rIK를 이용한 메시지 무결성); 2) DHCP Discover with Rapid Commit (KCK/KEK를 이용한 암호화 및 메시지 무결성); 및/또는 3) EAPOL-키(SNonce, ANonce)(KCK를 이용한 메시지 무결성)를 포함할 수 있다. EAPOL-키는 전체 프레임 또는 서브세트로서 구성될 수 있다. ANonce(즉, 액세스 포인트 논스)는 스테이션/단말(302)에 의해 선택될 수 있고, 액세스 포인트 AP2(304B)에 전송될 수 있다. 액세스 포인트(AP2)(304B)는, 스테이션/단말(302)이, 예를 들어, 지난 수초/수밀리초에 전송된 ANonce(예를 들어, AP2에 대해 비콘으로부터 획득된 최근의 ANonce)를 이용하고 있는 것을 보장할 수 있다. 액세스 포인트 AP2(304B)는 인증 서버(308)로부터 rMSK(root Master Session Key)를 수신할 때까지 DHCP & EAPOL-키 메시지를 홀딩한다. 액세스 포인트 AP2(304B)는 rMSK로부터 PTK를 생성한다. 액세스 포인트 AP2(304B)는 DHCP & EAPOL Key 메시지들에 대한 MIC(Message Integrity Code) 교환을 수행하고 DHCP를 암호해독한다. 액세스 포인트 AP2(304B)는 스테이션/단말(302)에 전송하기 전에, DHCP-확인응답 및 EAPOL Key 메시지를 보호하기 위해 rMSK를 이용하여 KCK/KEK를 유도한다.
다양한 예들에서, ANonce는, 패시브 스캐닝을 이용하는 스테이션들을 허용하기 위해 비콘을 이용하여 또는 액티브 스캐닝이 이용되는 경우 프로브 응답 메시지에서 AP2(304B)에 의해 전송될 수 있다. ANonce가 비콘을 이용하여 AP2(304B)에 의해 전송되는 경우, ANonce는 모든 각각의 비콘에서 또는 다수의 비콘들에서 변경될 수 있다. 스테이션(302)은, 스테이션(302)에 의해 채택된 ANonce를 스테이션(302)으로부터 AP2(304B)에 전송되는 연관 요청 메시지에 포함시킬 수 있다.
도 5는, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다. 이 프로세스는 옵션 1a로서 지칭될 수 있다. 도 5에서 수행되는 프로세스들은, 연관 요청 메시지에 캡슐화된 DHCP-발견 및 EAPOL-키 메시지들을 인증하기 위해 (PTK의 KCK/KEK 대신에) rMSK가 이용되는 것을 제외하고는 도 4(옵션 1)에서 수행되는 프로세스들과 유사하다.
도 6은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다. 이 프로세스는 옵션 1b로서 지칭될 수 있다. 도 6에서 수행되는 프로세스들은, 다음의 가능한 차이점들을 제외하고는, 도 4(옵션 1)에서 수행되는 프로세스들과 유사하다. 도 6에 도시된 단계 2에서, 액세스 포인트(304)는, DHCP-요청이 암호화될 수 있는 능력을 광고할 수 있다. 도 6에 도시된 단계 4에서, 스테이션/단말(302)은, DHCP 메시지가 암호화되어야 하는지 여부를 판정할 수 있다. 예를 들어, DHCP-발견 요청이 임의의 비밀 정보를 포함하는지 여부 등과 같은 몇몇 팩터들이 스테이션/단말(302)에 의해 고려될 수 있다. 스테이션/단말이 DHCP-발견 요청을 암호화하는 것으로 판정하면, 액세스 포인트(304)는 (도 4 및 도 5에 도시된 바와 같이) 메시지를 홀딩할 수 있다.
스테이션/단말이 DHCP-발견 요청을 암호화하지 않는 것으로 판정하면, 다음의 단계들이 수행될 수 있다. 도 6에 도시된 단계 4에서, DHCP-발견 요청 정보 엘리먼트(IE) 또는 파라미터는 오직 보호된 메시지-무결성이다. 단계 4에 기초하여, 액세스 포인트(304)는 EAP 재인증-개시 요청에 대한 응답(단계 9)을 대기하지 않고 DHCP-Discover-With-Rapid-Commit를 전송한다(단계 6). 이 프로세스는, IP 어드레스 할당이 EAP 재인증 절차와 병렬적으로 발생하게 한다. 도 6에 도시된 단계 7a에서, 액세스 포인트는, DHCP-발견이 유효화되는 단계 10b까지, DHCP 서버로부터 기인한 DHCP-확인응답을 홀딩한다. 메시지 무결성이 실패하면, 액세스 포인트(304)는 DHCP-확인응답을 이용하여, 할당된 IP 어드레스를 삭제하는 절차를 개시한다.
도 7은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다. 이 프로세스는 옵션 2로 지칭될 수 있다. 도 7에서 수행되는 프로세스들은, 다음의 가능한 차이점들을 제외하고는, 도 4(옵션 1)에서 수행되는 프로세스들과 유사하다. DHCP 메시지 및 EAPOL-키 메시지를 독립적으로 인증하는 것 대신에, EAP 재인증, DHCP-발견 및 EAPOL-키를 포함하는 결합된 페이로드가 KCK/KEK를 이용하여 인증될 수 있다. 액세스 포인트(304)는 EAP 재인증-개시 메시지를 추출하고, 이를 전체 메세지(이는, KCK/KEK를 이용하여 인증되었음)의 유효화없이 인증 서버(308)에 포워딩한다. 액세스 포인트(304)는 인증 서버(308)로부터 rMSK를 수신한 후 전체 메시지를 인증한다.
도 8은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다. 이 프로세스는, 옵션 2a로 지칭될 수 있다. 도 8에서 수행되는 프로세스들은, 다음의 가능한 차이점들을 제외하고는, 도 5(옵션 1a)에서 수행되는 프로세스들과 유사하다. DHCP 메시지 및 EAPOL-키 메시지를 독립적으로 인증하는 것 대신에, EAP 재인증, DHCP-발견 및 EAPOL-키를 포함하는 결합된 페이로드가 rMSK를 이용하여 인증될 수 있다. 액세스 포인트(304)는 EAP 재인증-개시 메시지를 추출하고, 이를 전체 메세지(이는, rMSK를 이용하여 인증되었음)의 유효화없이 인증 서버(308)에 포워딩한다. 액세스 포인트(304)는 인증 서버(308)로부터 rMSK를 수신한 후 전체 메시지를 인증한다. DHCP 발견 메시지(단계 9)는 단계 5 이전에 전송될 수 있다. 이 경우, 인증이 성공적이 아니면, 할당된 IP 어드레스는 무시된다.
도 9는, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다. 이 프로세스는 옵션 2b로 지칭될 수 있다. 도 9에서 수행되는 프로세스들은, 다음의 가능한 차이점들을 제외하고는, 도 4에서 수행되는 프로세스들과 유사하다. 단계 2에서, 액세스 포인트는, DHCP-요청이 암호화될 수 있는 능력을 광고할 수 있다. 단계 4에서, 스테이션/단말(302)은, DHCP 메시지가 암호화되어야 하는지 여부를 판정한다. 예를 들어, DHCP-발견 요청이 임의의 비밀 정보를 포함하는지 여부 등과 같은 몇몇 팩터들이 스테이션/단말(302)에 의해 고려될 수 있다. 스테이션/단말(302)이 DHCP-발견 요청을 암호화하는 것으로 판정하면, 액세스 포인트(304)는 옵션 2 및 옵션 2a에서 앞서 설명된 바와 같이 메시지를 홀딩할 것이다. 스테이션/단말(302)이 DHCP-발견 요청을 암호화하지 않는 것으로 판정하면, 다음의 단계들이 수행될 수 있다. 단계 4에서, DHCP-발견 메시지 IE는 오직 보호된 메시지 무결성이다. 단계 4에 기초하여, 액세스 포인트(304)는 EAP 재인증-개시 요청에 대한 응답(단계 9)을 대기하지 않고 DHCP-Discover-With-Rapid-Commit를 전송한다(단계 6). 이 프로세스는, IP 어드레스 할당이 EAP 재인증 절차와 병렬적으로 발생하게 한다. 단계 7a에서, 액세스 포인트(304)는, DHCP-발견이 유효화되는 단계 10b까지, DHCP 서버로부터 기인한 DHCP-확인응답을 홀딩한다. 메시지 무결성이 실패하면, 액세스 포인트(304)는 DHCP-확인응답 메시지를 이용하여, 할당된 IP 어드레스를 삭제하는 절차를 개시한다.
도 10은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다. 이 프로세스는 옵션 3으로 지칭될 수 있다. 도 10에서 수행되는 프로세스들은, 다음의 가능한 차이점들을 제외하고는, 도 4 및 도 5(옵션들 1 및 1a)에서 수행되는 프로세스들과 유사하다. ANonce는 "인스톨 PTK, GTK, IGTK" 메시지와 함께 연관 응답에서 전송될 수 있다. 도 10의 단계들 9 및 11은, 옵션 1b 및 옵션 2b에서 설명된 바와 같이, 단계들 5-7과 병렬적으로 수행될 수 있다.
옵션 4는 또한, 다음의 가능한 차이점들을 제외하고는 옵션들 1 및 2로부터 유도될 수 있다. 단계 4에서 단일의 메시지(즉, 연관 요청) 대신에, 연관 요청은, DHCP-발견 메시지를 캡슐화한 메시지 1(M1), 및 EAP 재인증-개시 메시지 및 SNonce를 캡슐화한 메시지 2(M2)로 분할될 수 있다. 액세스 포인트(304)는 EAPOL-키를 수신할 때까지 DHCP-발견 메시지에 대해 동작하지 않을 것이다. 2개의 메시지들(M1 & M2)은 SIFS 기간에 의해 분리될 수 있다. 이 옵션 4는, EAPOL 구조가 재사용될 수 있는 이점을 가질 수 있다.
도 11은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다. 이 프로세스는 옵션 5로 지칭될 수 있다. 도 11에서 수행되는 프로세스들은, 다음의 가능한 차이점들을 제외하고는, 도 4(옵션 1)에서 수행되는 프로세스들과 유사하다. 액세스 포인트(304)는 비콘/프로브 응답을 송신하고, 비콘/프로브 응답은, 동시 ERP 및/또는 IP 어드레스 할당에 대한 FILS(Fast Initial Link Setup) 능력 표시자를 포함한다. 이 시나리오에서, 액세스 포인트(304)에 의해 할당된 IP 어드레스의 리스(lease) 타이머는 만료되지 않는다. 스테이션/단말(302)은, 제 2 액세스 포인트(304)에 전송되는 DHCP 요청에서 제 1 액세스 포인트(304A)에 의해 할당된 IP 어드레스를 이용하여, 자신이 그 IP 어드레스를 계속 이용할 수 있는지를 확인한다. IP 어드레스가 만료되었다면, DHCP 서버(306)는 DHCP-NAK를 전송한다.
도 12는, 재인증 프로토콜 동안 수행될 수 있는 메시징을 도시하는 흐름도이다. 스테이션/단말(302)이 네트워크에 접속하는 제 1 시간에, 스테이션/단말(302)은 인증 서버(308)와 전체 EAP 교환을 수행한다. 그 결과, EAP 인증기에 MSK(master session key)가 분배된다. 그 다음, MSK(master session key)는, 필요에 따라, TSK들(transient session keys)을 설정하기 위해 인증기 및 스테이션/단말(302)에 의해 이용된다. 초기 EAP 교환의 시간에, 스테이션/단말(302) 및 인증 서버(308)는 또한 EMSK를 유도하고, EMSK는 rRK(re-authentication Root Key)를 유도하는데 이용된다. 더 구체적으로, rRK(re-authentication Root Key)는 EMSK(extended MSK)로부터 유도될 수 있거나, 그 자체가 EMSK로부터 유도되는 DSRK(Domain-Specific Root Key)로부터 유도될 수 있다. rRK(re-authentication Root Key)는 오직 스테이션/단말(302) 및 인증 서버(308)에 대해서만 이용가능할 수 있고, 일반적으로 어떠한 다른 엔티티에도 분배되지 않는다. 추가로, rRK(re-authentication Root Key)로부터 rIK(re-authentication Integrity Key)가 유도될 수 있다. 스테이션/단말(302) 및 인증 서버(308)는 ERP 교환을 수행하는 동안 개인 키 소유 증명(proof of possession)을 제공하기 위해 rIK(re-authentication Integrity Key)를 이용할 수 있다. rIK(re-authentication Integrity Key)는 또한 일반적으로, 어떠한 다른 엔티티에도 배포되지 않고, 일반적으로 오직 스테이션/단말(302) 및 인증 서버(308)에 대해서만 이용가능하다.
EAP 재인증의 목적으로, 2개의 새로운 EAP 코드들, 즉, EAP-개시 및 EAP-종료가 정의된다. 스테이션/단말(302)이 요청하고 ERP하면, 스테이션/단말(302)은 도 12의 바닥 박스에 도시된 ERP 교환을 수행한다.
도 13은, 재인증 프로토콜에 이용될 수 있는 키 계층구조를 도시한다. MSK(master session key)는 루트 키로부터 유도될 수 있고, PMK(pairwise master key)는 MSK(master session key)로부터 유도될 수 있다. EMSK(extended MSK)는 루트 키로부터 유도될 수 있다. ERP 교환의 경우, 다양한 추가적인 키들이 EMSK(extended MSK)로부터 유도될 수 있다. DSRK1-DSRKn이 유도될 수 있다. DSRK(Domain-Specific Root Key) 키들 각각은 rRK를 포함할 수 있다. rRK(re-authentication root key)로부터, rIK(re-authentication integrity key) 및 rMSK1 ... rMSKn(re-authentication master session keys)이 유도될 수 있다. rMSK들 각각은 PMK(pairwise master key)를 포함할 수 있다. PTK(pairwise transient key)(KCK(key confirmation key), KEK(key encryption key) 및 TK(transient key)를 포함할 수 있음)가 PMK로부터 유도될 수 있다.
도 14는, 재인증 요청 및 상위 계층 메시지(예를 들어, 발견 요청)을 생성하고 이를 연관 요청에 번들링하기 위해 스테이션/단말에서 동작되는 예시적인 프로세스(1400)를 도시하는 흐름도이다. 동작 블록(1402)은, 난수 또는 논스(예를 들어, ANonce)를 포함하는 비콘이 액세스 포인트로부터 수신되는 것을 나타낸다. 동작 블록(1404)에서, 단말은, 난수 또는 논스를 이용하여 암호화 키로부터 확장가능한 인증 프로토콜을 갖는 재인증 요청을 생성한다. 동작 블록(1406)에서, 단말은 상위 계층 메시지를 생성한다. 예를 들어, 이러한 상위 계층 메시지는 발견 요청, DHCP(dynamic host configuration protocol) discover-with-rapid-commit 요청, 및/또는 인터넷 프로토콜(IP) 어드레스 할당 메시지일 수 있다.
동작 블록(1408)은, 몇몇 양상들에서, 단말이 이전의 인증 프로세스의 결과들에 대한 응답으로 rMSK(re-authentication master session key)를 생성할 수 있음을 나타낸다. 동작 블록(1410)은, 몇몇 양상들에서, 단말이 rMSK, 난수(ANonce) 및/또는 로컬로 생성된 난수(SNonce)로부터 PTK(Pairwise Transient Key)를 생성할 수 있음을 나타낸다.
동작 블록(1412)은, 몇몇 양상들에서, 단말이 rMSK로 상위 계층 메시지를 암호화할 수 있는 것을 나타낸다. 동작 블록(1414)는, 몇몇 양상들에서, 단말이 PTK 또는 KCK와 KEK의 조합으로 상위 계층 메시지를 암호화할 수 있는 것을 나타낸다. 다른 양상들에서, 상위 계층 메시지는 암호화되지 않을 수 있다.
동작 블록(1416)은, 몇몇 양상들에서, 단말이, DHCP-발견 메시지를 캡슐화하는 제 1 메시지, EAPOL-재인증-개시 메시지를 캡슐화하는 제 2 메시지로서 연관 요청을 생성할 수 있는 것을 나타낸다.
동작 블록(1418)은, 단말이 상위 계층 메시지 및 재인증 요청을 연관 요청으로서 번들링하는 것을 나타낸다. 동작 블록(1420)은, 몇몇 양상들에서, 단말이 제 1 메시지 및 제 2 메시지를 개별적으로 송신할 수 있는 것을 나타낸다.
도 15는, 스테이션/단말에 의해 전송된 연관 요청으로부터 재인증 요청 및 상위 계층 메시지를 수신 및 추출하기 위해 기지국에서 동작되는 예시적인 프로세스(1500)를 도시하는 흐름도이다. 동작 블록(1502)은, 몇몇 양상들에서, 액세스 포인트가 난수를 생성할 수 있고, 난수를 포함하는 비콘을 송신할 수 있는 것을 나타낸다.
동작 블록(1504)은, 액세스 포인트가, 함께 번들링된 상위 계층 메시지(예를 들어, 발견 요청) 및 재인증 요청을 포함하는 연관 요청을 단말로부터 수신하는 것을 나타낸다. 동작 블록(1506)은, 액세스 포인트가 연관 요청으로부터 상위 계층 메시지를 추출하고, 이를 구성 서버에 포워딩하는 것을 나타낸다. 동작 블록(1508)은, 액세스 포인트가 연관 요청으로부터 재인증 요청을 추출하고 이를 인증 서버에 포워딩하는 것을 나타낸다.
동작 블록(1510)은, 몇몇 양상들에서, 액세스 포인트가 인증 서버로부터 암호화 키를 수신할 수 있는 것을 나타낸다. 동작 블록(1512)은, 몇몇 양상들에서, 액세스 포인트가 암호화 키, 난수, 및 단말로부터 수신되는 수신된 난수로부터 PTK를 생성할 수 있는 것을 나타낸다. 동작 블록(1514)은, 몇몇 양상들에서, 액세스 포인트가, EAPOL(Extensible Authentication Protocol Over LAN) KCK(key Confirmation Key) 및 EAPOL KEK(Key Encryption Key)를 포함하는 PTK 내의 KCK와 KEK의 조합으로 상위 계층 메시지를 검증할 수 있는 것을 나타낸다.
도 4 내지 도 15를 참조하여 설명된 특정한 실시예들은 빠른 초기 링크 셋업을 위해 4-웨이 핸드쉐이크를 수반할 수 있음이 주목될 것이다. 일반적으로, 4-웨이 핸드쉐이크는: 1) AP가 STA에 ANonce를 전송하는 것, 2) STA가 AP에 SNonce를 전송하는 것, 3) AP가 STA에 PTK를 전송하는 것, 및 4) STA가 핸드쉐이크의 완료를 확인하는 것을 포함할 수 있다.
따라서, 4-웨이 핸드쉐이크의 제 1 부분은, 액세스 포인트와 링크 셋업을 개시하기 이전에, STA가 액세스 포인트로부터 프로브 응답을 요구하거나 비콘을 청취하는 것을 수반할 수 있다. 예를 들어, 비콘 또는 프로브 응답은 , 암호화 및/또는 메시지 무결성 목적들로 STA에 의해 이용될 ANonce를 포함할 수 있다. 그러나, 비콘을 청취하는 것은 시간을 소모할 수 있고, 프로브 요청을 요구하는 것은 시간 및 전력을 소모할 수 있다. 따라서, 먼저 액세스 포인트로부터 프로브 응답을 요구하거나 비콘을 청취하는 것 없이 STA가 링크 셋업을 수행하게 함으로써 STA에서의 시간 및 전력이 보존될 수 있다.
도 16은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다. 상세하게는, 도 16은, 먼저 액세스 포인트로부터 프로브 응답을 요구하거나 비콘을 청취하는 것 없이 링크 셋업을 가능하게 하는 변형된 4-웨이 핸드쉐이크를 도시한다.
도 16에 도시된 선택된 메시지들 및 동작들은, 다음의 변형들로, 도 4 내지 도 11에 도시된 메시지들 및 동작들에 대응할 수 있다. STA(302)는 단계 2에서 rMSK 및 SNonce를 생성할 수 있고, 단계 3에서 AP(304)에 보호되지 않은 연관 요청을 전송할 수 있다. 보호되지 않은 연관 요청은 SNonce를 포함할 수 있다. 도 4의 실시예와는 대조적으로, STA(302)는 ANonce를 수신하고 PTK를 유도하기 전에 이 동작들을 수행할 수 있다. STA(302)가 ANonce를 수신하고 PTK를 유도하기 전에 연관 요청을 전송하기 때문에, AP(304)는, 도 4에서 설명된 바와 같은 ANonce 검증을 수행하지 않고, 단계 4에 표시된 바와 같이, 연관 요청의 EAP 재인증 개시 부분을 추출하고 이를 AS(308)에 포워딩할 수 있다. 대신에, AP(304)는 STA(302)에 대한 인증으로서, 유도된 rMSK(단계 7)를 갖는 답신 메시지를 AS(308)가 송신하는 것에 의존할 수 있다.
rMSK를 수신한 후, AP(304)는 단계 9에서 ANonce를 생성할 수 있고, 단계 10a에서, ANonce, rMSK 및 SNonce에 기초하여 PTK를 유도할 수 있다. 따라서, PTK는 STA(302)에서 유도되기 전에 AP(304)에서 유도될 수 있다. AP(304)는, 단계 12에서, ANonce를 포함하는 연관 응답을 STA(302)에 전송할 수 있고, 여기서 연관 응답은 PTK의 KCK 및 KEK를 이용하여 보호된다. AP(304)로부터 연관 응답을 수신한 후, STA(302)는, 단계 12a에서, 연관 응답 내의 rMSK, SNonce, 및 ANonce를 이용하여 PTK를 생성할 수 있다.
AP(304)로부터 전송된 (ANonce를 포함하는) 연관 응답은 ANonce를 이용하여 무결성-보호된다. 연관 응답 내의 ANonce 이외의 다른 정보 엘리먼트들이 또한 암호화될 수 있다. 따라서, AP(304)는, 연관 요청에서 STA(304)로부터 획득된 SNonce, AS(308)로부터 획득된 rMSK, 및 STA(302)에 아직 송신되지 않은 로컬로 생성된 ANonce를 이용하여 AP(304)에서 생성되는 PTK를 이용하여 연관 응답을 "사전-보호"(즉, 사전-암호화/사전-무결성-보호)할 수 있다. 연관 응답을 수신하면, STA(302)는 연관 응답으로부터 ANonce를 추출하고, PTK를 생성하고, 메시지의 무결성 보호를 검증한다. 따라서, STA(302)는, 메시지로부터 획득된 키에 기초하여 메시지를 "사후-유효화"한다. 이러한 사전-보호 및 사후-유효화는, 먼저 키들을 확인하고 그 다음 키들을 이용하여 데이터를 보호하는 종래의 핸드쉐이크 방식들보다 더 빠른 링크 셋업을 가능하게 할 수 있다.
따라서, 도 16의 실시예는, STA(302)가 먼저 프로브 응답을 요청하거나 비콘을 청취하는 것 없이 링크 셋업을 위한 변형된 4-웨이 핸드쉐이크를 수행하게 할 수 있다. 이것은, 링크 셋업 시간을 감소시킬 수 있고, STA(302)에서의 전력을 보존할 수 있다. STA(302)가 비콘/프로브 응답을 대기하지 않기 때문에, STA(302)는 보호되지 않은 연관 요청을 위한 대안적인 어드레싱 메커니즘을 이용할 수 있음을 주목해야 한다. 예를 들어, AP(304)가 STA(302)에 "알려진" 경우, STA(302)는 STA(302)의 메모리에 AP(304)의 BSSID(basic service set identifier)를 미리 저장했을 수 있다. 링크 셋업을 개시하기 위해, STA(302)는 저장된 BSSID를 리트리브할 수 있고, BSSID에 기초하여 AP(304)에 보호되지 않은 연관 요청을 전송할 수 있다. AP(304)가 STA(302)에 "알려질" 수 있는 상황들은, STA(302)가 이전에 AP(304)를 방문했던 경우 (예를 들어, "집" AP 또는 "사무실" AP), 및 (예를 들어, STA(302)의 셀룰러 및/또는 GPS(global positioning system) 능력에 의해 결정되는 바와 같이) STA(302)가 최근에 이동하지 않은 경우를 포함한다. 따라서, 특정한 실시예에서, STA(302)는, (예를 들어, STA(302)가, 타겟 AP(304)가 STA(302)의 인근에 있다는 것을 "아는" 경우) STA(302)에서 결정되는 위치 정보에 대한 응답으로 연관 요청을 전송할 수 있다.
도 17은, 링크 셋업 및 인증을 수행하기 위해, 도 16의 STA(302)에서 동작가능한 예시적인 프로세스(1700)를 도시하는 흐름도이다. 1702에서, 모바일 디바이스(예를 들어, STA(302))는 모바일 디바이스가 이전에 방문한 액세스 포인트의 BSSID를 리트리브할 수 있다. 1704로 진행하여, 모바일 디바이스는 rMSK 및 SNonce를 생성할 수 있다. 1706으로 진행하여, 모바일 디바이스는, BSSID에 기초하여 액세스 포인트에 보호되지 않은 연관 요청을 전송할 수 있다. 예를 들어, 도 16을 참조하면, STA(302)는 단계 3에서 AP(304)에 보호되지 않은 연관 요청을 전송할 수 있다.
1708로 계속되어, 모바일 디바이스는 액세스 포인트로부터 연관 응답을 수신할 수 있고, 여기서 연관 응답은 ANonce를 포함한다. 1710에서, 모바일 디바이스는, 수신된 연관 응답 내의 rMSK, SNonce 및 ANonce를 이용하여 PTK를 생성할 수 있다. 예를 들어, 도 16을 참조하면, STA(302)는 단계 12에서 AP(304)로부터 연관 응답을 수신할 수 있고, 단계 12a에서 PTK를 유도할 수 있다.
도 18은, 링크 셋업 및 인증을 수행하기 위해, 도 16의 AP(304)에서 동작가능한 예시적인 프로세스(1800)를 도시하는 흐름도이다. 1802에서, 액세스 포인트는 모바일 디바이스로부터 보호되지 않은 연관 요청을 수신할 수 있고, 여기서 보호되지 않은 연관 요청은 SNonce를 포함한다. 1804로 진행하여, 액세스 포인트는 보호되지 않은 연관 요청으로부터 개시 메시지를 추출할 수 있다. 1806으로 계속되어, 액세스 포인트는 인증 서버에 개시 메시지를 전송할 수 있고, 인증 서버로부터 답신 메시지를 수신할 수 있고, 여기서 답신 메시지는 rMSK를 포함한다. 예를 들어, 도 16을 참조하면, AP(304)는 단계 3에서 STA(302)로부터 보호되지 않은 연관 요청을 수신할 수 있고, 단계 8에서 AS(308)로부터 rMSK를 수신할 수 있다.
1808로 진행하여, 액세스 포인트는 ANonce를 생성할 수 있다. 액세스 포인트는 또한 1810에서, rMSK, ANonce 및 SNonce를 이용하여 PTK를 생성할 수 있다. 1812로 계속되어, 액세스 포인트는 모바일 디바이스에 연관 응답을 전송할 수 있고, 여기서 연관 응답은 ANonce를 포함하고, PTK를 이용하여 보호된다. 예를 들어, 도 16을 참조하면, AP(304)는 단계 9에서 ANonce를 생성할 수 있고, 단계 10a에서 PTK를 유도할 수 있고, 단계 12에서 STA(302)에 연관 응답을 전송할 수 있다.
도 19는, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다. 상세하게는, 도 19는, 제 1 링크 셋업 동안, 제 1 링크 셋업에 후속하는 제 2 링크 셋업 동안 이용될 수 있는 "다음" ANonce를 제공하는 것을 도시한다.
도 16에 도시된 선택된 메시지들 및 동작들은, 다음의 변형들로, 도 4 내지 도 11에 도시된 메시지들 및 동작들에 대응할 수 있다. STA(302)는 제 1 ANonce(예를 들어, ANonce[x])를 이용하여 AP(304)와 제 1 링크 셋업(1902)을 개시할 수 있다. 특정한 실시예에서, 제 1 ANonce는, (예를 들어, 단계 2a에 도시된 바와 같이) AP(304)에 의해 미리 전송되어 비콘 또는 프로브 응답을 통해 STA(302)에 의해 수신되었을 수 있거나, (예를 들어, 단계 2b에 도시된 바와 같이) STA(302)의 메모리로부터 리트리브되었을 수 있거나, 또는 이들의 조합일 수 있다.
제 1 링크 셋업(1902) 동안, STA(302)는 제 1 ANonce(예를 들어, ANonce[x])를 이용하여 AP(304)에 연관 요청을 송신할 수 있다. AP(304)는 제 1 링크 셋업(1902) 동안 STA(302)에 제 2 ANonce(예를 들어, ANonce[x+1])를 제공할 수 있다. 제 2 ANonce는 AP(304)와의 후속 제 2 링크 셋업(1904)에서 이용하기 위한 것일 수 있다. 예를 들어, 제 2 ANonce는, (단계 4a에 도시된 바와 같이) 연관 응답에서, (예를 들어, 단계 4b에 도시된 바와 같이) EAPOL 메시지에서, 또는 이들의 조합으로 제공될 수 있다.
STA(302)가 AP(304)와 제 2 링크 셋업(1904)을 개시하는 경우, STA(302)는 비콘을 대기하거나 프로브 응답을 요구하는 것 대신에, 제 2 ANonce(예를 들어, ANonce[x+1])를 이용할 수 있다. 특정한 실시예에서, 제 2 ANonce(예를 들어, ANonce[x+1])는, AP(304)에 의해 세팅된 유효 수명을 가질 수 있고, STA(302)는, 제 2 링크 셋업(1904)을 개시하기 전에 단계 5a에서 제 2 ANonce가 유효하다고 결정할 수 있다. 제 2 ANonce가 무효인 것으로 결정되면, STA(302)는 도 20을 참조하여 설명되는 바와 같이 진행할 수 있다.
제 2 ANonce(예를 들어, ANonce[x+1])가 유효하다고 결정하면, STA는 제 2 ANonce를 이용하여 제 2 링크 셋업(1904)을 개시할 수 있다. 제 2 링크 셋업(1904) 동안, STA(302)는 단계 6에 도시된 바와 같이, 제 2 ANonce를 이용하여 제 2 연관 요청을 전송할 수 있다. STA(302)는 또한, 단계 7a 또는 7b에 도시된 바와 같이, AP(304)와의 후속 제 3 링크 셋업에서 이용될 제 3 ANonce(예를 들어, ANonce[x+2])를 수신할 수 있다.
도 20은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 흐름도이다. 도 20에 도시된 메시지들 및 동작들은, 다음의 변형들로, 도 19에 도시된 메시지들 및 동작들에 대응할 수 있다.
단계 5a에서, STA(302)는, (예를 들어, 유효 시간 기간의 만료에 기인하여) 제 2 ANonce(예를 들어, ANonce[x+1])가 무효라고 결정할 수 있다. 따라서, 제 2 링크 셋업(1904) 동안 제 2 ANonce를 이용할 수 있는 것 대신에, STA(302)는 단계 5b에 도시된 바와 같이, 비콘 또는 프로브 응답을 통해 새로운 ANonce(예를 들어, ANonce[y])를 대기하거나 요구할 수 있다. 그 다음, 새로운 ANonce가 제 2 링크 셋업(1904)을 개시하는데 이용될 수 있다. 제 2 링크 셋업(1904) 동안, STA(302)는 후속 제 3 링크 셋업에 이용하기 위한 다른 ANonce(예를 들어, ANonce[y+1])를 AP(304)로부터 수신할 수 있다.
따라서, 도 19 내지 도 20에서 설명되는 실시예들은 "다음 ANonce"를 모바일 디바이스들에 제공할 수 있어서, 후속 링크 셋업이 더 빠르게 수행될 수 있고 더 적은 전력을 소모할 수 있다. 또한, 설명의 용이함을 위해, 도 19 내지 도 20의 실시예들은, 링크 셋업에 수반되는 모든 메시징을 포함하지는 않을 수 있음을 주목해야 한다. 예를 들어, DHCP 동작들과 관련된 메시징, 및 AP(304)과 AS(308) 사이의 메시징은 도시되지 않았다.
도 21은, 링크 셋업 및 인증을 수행하기 위해 도 19 내지 도 20의 STA(302)에서 동작가능한 예시적인 프로세스(2100)를 도시하는 흐름도이다. 2102에서, 모바일 디바이스는 제 1 ANonce를 이용하여 액세스 포인트와 제 1 링크 셋업을 개시할 수 있다. 제 1 ANonce는 메모리로부터 리트리브될 수 있고, 그리고/또는 비콘 또는 프로브 응답을 통해 액세스 포인트로부터 수신될 수 있다. 2104로 진행하여, 모바일 디바이스는, 액세스 포인트와의 제 1 링크 셋업 동안, 액세스 포인트와의 후속 제 2 링크 셋업에서 이용하기 위한 제 2 ANonce를 수신할 수 있다. 제 2 ANonce는 연관 응답 및/또는 EAPOL 메시지에서 수신될 수 있다. 예를 들어, 도 19 내지 도 20을 참조하면, STA(302)는 제 1 ANonce(예를 들어, ANonce[x])를 이용하여 제 1 링크 셋업(1902)을 개시할 수 있고, 제 1 링크 셋업(1902) 동안 제 2 ANonce(예를 들어, ANonce[x+1])를 수신할 수 있다.
2106으로 계속되어, 모바일 디바이스는, 제 2 ANonce가 유효인지 여부를 결정할 수 있다. 예를 들어, 모바일 디바이스는 제 2 링크 셋업을 개시하기 전에 이러한 결정을 행할 수 있다. 예시를 위해, 모바일 디바이스는, 제 2 ANonce가 유효인지 여부를 결정하기 위해, 제 2 ANonce와 함께 전송되는 타이머 또는 미리 구성된 타이머를 이용할 수 있다. 제 2 ANonce가 유효한 것으로 결정되는 경우, 모바일 디바이스는, 2108에서, 제 2 ANonce를 이용하여 제 2 링크 셋업을 개시할 수 있다. 예를 들어, 도 19를 참조하면, STA(302)는 제 2 ANonce(예를 들어, ANonce[x+1])를 이용하여 제 2 링크 셋업(1904)을 개시할 수 있다.
제 2 ANonce가 무효인 것으로 결정되는 경우, 모바일 디바이스는 2110에서 액세스 포인트로부터 새로운 ANonce를 수신할 수 있다. 새로운 ANonce는 비콘 또는 프로브 응답에서 수신될 수 있다. 2112로 진행하여, 모바일 디바이스는 새로운 ANonce를 이용하여 액세스 포인트와 링크 셋업을 개시할 수 있다. 예를 들어, 도 20을 참조하면, 모바일 디바이스는 링크 셋업을 위해 그 새로운 ANonce(예를 들어, ANonce[y])를 이용할 수 있다.
도 22는, 링크 셋업 및 인증을 수행하기 위해 도 19 내지 도 20의 AP(304)에서 동작가능한 예시적인 프로세스(2200)를 도시하는 흐름도이다. 2202에서, 액세스 포인트는 모바일 디바이스에 제 1 ANonce를 전송할 수 있다. 제 1 ANonce는, 그 제 1 ANonce를 이용하는 제 1 링크 셋업의 개시 이전에 전송될 수 있다. 2204로 진행하여, 액세스 포인트는, 제 1 링크 셋업 동안, 모바일 디바이스와의 후속 제 2 링크 셋업에 이용하기 위한 제 2 ANonce를 모바일 디바이스에 전송할 수 있다. 예를 들어, 도 19 내지 도 20을 참조하면, 제 1 ANonce(예를 들어, ANonce[x])를 이용하는 제 1 링크 셋업(1902) 동안, AP(304)는, 후속 제 2 링크 셋업(1904)에서 이용하기 위한 제 2 ANonce(예를 들어, ANonce[x+1])를 STA(302)에 전송할 수 있다.
도 23은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 도면이다. 상세하게는, 도 23은, 링크 셋업 동안 상위 계층 시그널링 보호를 위한 "임시" 키(예를 들어, PTK)의 이용을 도시한다. 상위 계층 시그널링 메시지들은 (STA(302)와 인증 서버(308) 사이에) 빌트-인(built-in) 보안 보호를 갖기 때문에, 상위 계층 시그널링 메시지들은 "더 약한" ANonce(예를 들어, 더 낮은 보안 특성들을 갖는 ANonce)를 이용하여 보호될 수 있고, 이것은 연관을 위한 더 빠른 시그널링 절차를 가능하게 할 수 있다. "더 강한" ANonce가 상위 계층 시그널링에 병렬적으로 유도되고, 본 명세서에서 설명되는 바와 같이, 추가적 데이터 전송을 위해 이용된다.
도 23에 도시된 선택된 메시지들 및 동작들은, 다음의 변형들로, 도 4 내지 도 11에 도시된 메시지 및 동작들에 대응할 수 있다. AP(304)는 단계 2에 도시된 바와 같이, STA(302)에 제 1 ANonce(예를 들어, ANonce1)를 전송할 수 있다. STA(302)는 단계 3a에 도시된 바와 같이, ANonce1 및 STA(302)의 SNonce에 기초하여 제 1 PTK(예를 들어, PTK1)를 유도할 수 있다. 단계 4에서, STA(302)는 AP(304)에 연관 요청을 전송할 수 있다. 연관 요청은 SNonce를 포함할 수 있고, PTK1을 이용하여 보호될 수 있다. 예시를 위해, 연관 요청은, PTK1로부터 유도된 KCK1(first key confirmation key)을 이용하여 보호될 수 있다.
단계 8a에서, AP(304)는 연관 요청에 포함된 ANonce1 및 SNonce에 기초하여 PTK1을 유도할 수 있다. 단계 12에서, AP는 제 2 ANonce(예를 들어, ANonce2)를 생성할 수 있고, ANonce2 및 SNonce에 기초하여 제 2 PTK(예를 들어, PTK2)를 유도할 수 있다. 단계 13에서, AP(304)는 STA(302)에 연관 응답을 전송할 수 있고, 여기서 연관 응답은 ANonce2를 포함하고, PTK2를 이용하여 보호된다. 예시를 위해, 연관 응답은 PTK2에 기초하여 유도되는 KEK(key encryption key)및 KCK를 이용하여 보호될 수 있다. STA(302)는, 단계 14에서, 링크 셋업을 완료하기 위해 SNonce 및 ANonce2에 기초하여 PTK2를 생성할 수 있다. PTK2는, STA(302)와 AP(304) 사이에서 통신되는 후속 메시지들(예를 들어, 데이터 메시지들)을 보호하기 위해 STA(302) 및 AP(304)에 의해 이용될 수 있다.
따라서, 보호되지 않은 연관 요청의 송신을 수반하는 도 16에 도시된 메시지 흐름과는 달리, 도 23의 메시지 흐름은 "임시" PTK1을 이용하여 연관 요청을 보호한다. 다수의 STA들에 알려질 수 있는 ANonce(예를 들어, ANonce1은 비콘을 통해 다수의 STA들에 브로드캐스트될 수 있음)를 이용하여 PTK1이 생성되지만, "임시" 키 PTK1을 이용하여 오직 하나의 메시지(연관 요청)가 보호됨이 주목될 것이다. STA(302)와 AP(304) 사이의 연관 응답 및 데이터 메시지들을 포함하는 후속 메시지들은 상이한 키 PTK2를 이용하여 보호된다. 따라서, 도 23의 메시지 흐름은, 공개 액세스 영역들에서와 같이 AP가 "알려지거나" 또는 "신뢰되지" 않는 상황들에서 바람직할 수 있다.
도 24는, 링크 셋업 및 인증을 수행하기 위해, 도 23에 의해 도시된 바와 같은 메시지들을 통신하고 프로세싱하는 STA(302)와 같은 스테이션에서 동작가능한 예시적인 프로세스(2400)를 도시하는 흐름도이다. 2402에서, 모바일 디바이스(예를 들어, STA(302))는 액세스 포인트(예를 들어, AP(304))로부터 제 1 ANonce(예를 들어, ANonce1)를 수신할 수 있다. 2404로 진행하여, 모바일 디바이스는 제 1 ANonce를 이용하여 제 1 PTK(예를 들어, PTK1)를 생성할 수 있다. 2406으로 계속하여, 모바일 디바이스는 액세스 포인트에 연관 요청을 전송할 수 있다. 연관 요청은 SNonce를 포함할 수 있고, 제 1 PTK를 이용하여 보호될 수 있다.
2408에서, 모바일 디바이스는 액세스 포인트로부터 연관 응답을 수신할 수 있다. 연관 응답은 제 2 ANonce(예를 들어, ANonce2)를 포함할 수 있고, 제 2 PTK(예를 들어, PTK2)를 이용하여 보호될 수 있다. 2410으로 진행하여, 모바일 디바이스는 제 2 ANonce 및 SNonce를 이용하여 제 2 PTK를 생성할 수 있다. 2412로 계속되어, 모바일 디바이스는, 액세스 포인트에 전송될 하나 또는 그 초과의 후속 메시지들을 보호하기 위해 제 2 PTK를 이용할 수 있다.
도 25는, 링크 셋업 및 인증을 수행하기 위해, 도 23에 의해 도시된 바와 같은 메시지들을 통신하고 프로세싱하는 AP(304)와 같은 액세스 포인트에서 동작가능한 예시적인 프로세스(2500)를 도시하는 흐름도이다. 2502에서, 액세스 포인트(예를 들어, AP(304))는 모바일 디바이스(예를 들어, STA(302))에 제 1 ANonce(예를 들어, ANonce1)를 전송할 수 있다. 예를 들어, 제 1 ANonce는 유니캐스트 프로브 응답 또는 브로드캐스트 비콘을 통해 전송될 수 있다. 2504로 진행하여, 액세스 포인트는 모바일 디바이스로부터 연관 요청을 수신할 수 있다. 연관 요청은 SNonce를 포함할 수 있고, 제 1 PTK(예를 들어, PTK1)을 이용하여 보호될 수 있다. 2506에서, 액세스 포인트는 제 1 ANonce 및 SNonce에 기초하여 제 1 PTK를 생성할 수 있다.
2508로 계속되어, 액세스 포인트는 제 2 ANonce(예를 들어, ANonce2)를, 그리고 제 2 ANonce 및 SNonce에 기초하여 제 2 PTK(예를 들어, PTK2)를 생성할 수 있다. 2510에서, 액세스 포인트는 모바일 디바이스에 연관 응답을 전송할 수 있다. 연관 응답은 제 2 ANonce를 포함할 수 있고, 제 2 PTK를 이용하여 보호될 수 있다.
도 26은, 링크 셋업 및 인증의 다른 양상들에 따라 수행될 수 있는 메시징을 도시하는 도면이다. 상세하게는, 도 26은, ANonce를 생성하기 위한 ANonce-시드의 이용을 도시한다.
도 26에 도시된 선택된 메시지들 및 동작들은, 다음의 변형들로, 도 4 내지 도 11에 도시된 메시지들 및 동작들에 대응할 수 있다. AP(304)는 단계 2에 도시된 바와 같이, 비콘 또는 프로브 응답에서 STA(302)에 ANonce-시드를 전송할 수 있다. 특정한 실시예에서, ANonce-시드는, AP(304)에 의해 빈번하게 업데이트되는 64-비트 암호화 시드 값이다. 특정한 실시예에서, ANonce-시드는 복수의 STA들에 (예를 들어, 비콘에서) 브로드캐스트된다. STA(302)는 단계 3에 도시된 바와 같이, 디바이스 특정 ANonce를 생성하기 위해 ANonce-시드를 이용할 수 있다. 특정한 실시예에서, ANonce는, STA(302)에 고유하고 그리고/또는 STA(302)를 설명하는 값(예를 들어, STA(302)의 MAC 어드레스 또는 STA(302)와 연관된 몇몇 다른 값) 및 ANonce-시드에 대한 함수(예를 들어, 해싱 함수)를 수행하여 생성된다. 다수의 STA들에 브로드캐스트되는 ANonce와는 달리, 단계 3에서 생성된 ANonce는 STA(302)에 고유할 수 있음을 인식할 것이다. STA(302)는 생성된 ANonce에 기초하여 AP(304)와의 링크 셋업을 수행할 수 있다.
단계 8a에서, AP(304)는 ANonce-시드 및 STA(302)의 MAC 어드레스에 기초하여 ANonce를 유도할 수 있다. 예를 들어, STA(302)의 MAC 어드레스는 단계 4에서 전송된 연관 응답으로부터 AP(304)에 의해 리트리브될 수 있다. AP(304)는 ANonce를 생성한 후 STA(302)와의 링크 셋업을 수행 및 완료할 수 있다.
다른 핸드쉐이킹 기술들과는 달리, 도 26의 실시예는, STA(302)가 AP(304) 이전에 ANonce를 생성하는 것을 수반함이 주목될 것이다. 그러나, 역 호환성을 보존하기 위해, 도 26의 ANonce-시드 기술들에 따라 생성된 ANonce는 핸드쉐이킹 기술들의 ANonce들과 유사한 특성들을 공유할 수 있다. 예를 들어, ANonce는 STA(302)에 고유할 수 있고, ANonce 및/또는 ANonce-시드는 "깨끗하게"(예를 들어, 단계 2에 도시된 바와 같은 비콘 또는 프로브 응답 메시지 또는 단계 4에 도시된 EAPOL-키 메시지를 이용하여) 전송될 수 있고, AP(304)에 의한 송신 이전에, 인가되지 않은 디바이스들에 의해 예측가능하지 않을 수 있다.
도 27은, 링크 셋업 및 인증을 수행하기 위해, 도 26에 의해 도시된 바와 같은 메시지들을 통신 및 프로세싱하는 STA(302)와 같은 스테이션에서 동작가능한 예시적인 프로세스(2700)를 도시하는 흐름도이다. 2702에서, 모바일 디바이스(예를 들어, STA(302))는 액세스 포인트(예를 들어, AP(304))로부터 ANonce-시드를 수신할 수 있다. 2704로 진행하여, 모바일 디바이스는, ANonce-시드 및 모바일 디바이스의 MAC 어드레스에 기초하여 ANonce를 생성할 수 있다. 2706으로 계속되어, 모바일 디바이스는 생성된 ANonce에 기초하여 액세스 포인트와의 링크 셋업을 수행할 수 있다.
도 28은, 링크 셋업 및 인증을 수행하기 위해, 도 26에 도시된 바와 같은 메시지들을 통신하고 프로세싱하는 AP(304)와 같은 액세스 포인트에서 동작가능한 예시적인 프로세스(2800)를 도시하는 흐름도이다. 2802에서, 액세스 포인트(예를 들어, AP(304))는 모바일 디바이스(예를 들어, STA(302))에 ANonce-시드를 전송할 수 있다. 2804로 진행하여, 액세스 포인트는 모바일 디바이스의 MAC 어드레스를 수신할 수 있다. 예를 들어, MAC 어드레스는, 연관 요청과 같은, 모바일 디바이스로부터의 메시지에 포함될 수 있다. 2806으로 계속되어, 액세스 포인트는 ANonce-시드 및 모바일 디바이스의 MAC 어드레스에 기초하여 ANonce를 생성할 수 있다. 2808에서, 액세스 포인트는, 모바일 디바이스에 의해 리포트된 ANonce를 액세스 포인트에 의해 컴퓨팅된 ANonce와 비교함으로써 모바일 디바이스의 진정성(authenticity)을 검증할 수 있다. 모바일 디바이스가 검증을 통과하면, 액세스 포인트는 생성된 ANonce에 기초하여 모바일 디바이스와의 링크 셋업을 수행할 수 있다.
본 명세서에서 다양한 실시예들 및 옵션들이 대안들로서 설명될 수 있지만, 링크 셋업 및 인증을 수행하기 위해, 상이한 실시예들 및 옵션들로부터의 상이한 특성들은 결합될 수 있음을 주목해야 한다.
본 명세서에서 설명되는 다양한 기술들은 풀(pull)-기반 및 푸쉬(push)-기반 데이터 시나리오드에 적용될 수 있다. 예를 들어, 도 16 내지 도 18을 참조하여 설명되는 변형된 4-웨이 핸드쉐이크, 및 도 19 내지 도 22를 참조하여 설명되는 "다음" ANonce 기술은 풀-기반 및 푸쉬-기반 데이터 시나리오들에 적용될 수 있다. 이메일 및 소셜 네트워킹 애플리케이션들과 같은, 모바일 디바이스에 의해 실행되는 하나 또는 그 초과의 애플리케이션들은 데이터 업데이트들을 위해 주기적으로 체크될 수 있다. 변형된 4-웨이 핸드쉐이크 또는 "다음" ANonce 기술은, 이러한 데이터 업데이트 풀들이 더 빨리, 그리고 모바일 디바이스에서의 감소된 배터리 소모로 발생하게 할 수 있다. 다른 예로서, 모바일 디바이스에서의 애플리케이션(들)은 (예를 들어, 서버들로부터) 푸쉬된 데이터 업데이트들을 수신하도록 구성될 수 있다. 데이터 업데이트의 초기 부분은 셀룰러 접속을 통해 수신될 수 있다. 그러나, 데이터 업데이트의 나머지는 더 빨리 (예를 들어, WiFi를 통해) 그리고/또는 감소된 배터리 소모로 수신될 수 있는데, 이는, 데이터 업데이트의 초기 부분이, 본 명세서에서 설명된 바와 같은 변형된 4-웨이 핸드쉐이크 또는 "다음" ANonce 기술을 이용하여 빠른 초기 링크 셋업을 트리거링하기 때문이다. 도 23 내지 도 25를 참조하여 설명된 일시적 PTK 기술 및 도 26 내지 도 28을 참조하여 설명된 ANonce-시드 기술이 또한 이러한 풀-기반 및 푸쉬-기반 데이터 시나리오들에서 이용될 수 있다.
설명된 실시예들과 함께, 제 1 장치는, 모바일 디바이스로부터의 보호되지 않은 연관 요청을 액세스 포인트에 전송하기 위한 수단을 포함할 수 있다. 예를 들어, 전송하기 위한 수단은, STA들(106-110)의 하나 또는 그 초과의 컴포넌트들, 무선 제어기(240), 안테나(242), STA(302)의 하나 또는 그 초과의 컴포넌트들, 보호되지 않은 연관 요청을 전송하도록 구성되는 하나 또는 그 초과의 다른 디바이스들 또는 이들의 임의의 조합을 포함할 수 있다. 제 1 장치는 또한, 액세스 포인트로부터 연관 응답을 수신하기 위한 수단을 포함할 수 있고, 여기서 연관 응답은 ANonce를 포함할 수 있다. 예를 들어, 수신하기 위한 수단은, STA들(106-110)의 하나 또는 그 초과의 컴포넌트들, 무선 제어기(240), 안테나(242), STA(302)의 하나 또는 그 초과의 컴포넌트들, 연관 응답을 수신하도록 구성되는 하나 또는 그 초과의 다른 디바이스들 또는 이들의 임의의 조합을 포함할 수 있다. 제 1 장치는, 모바일 디바이스에서, ANonce를 이용하여 PTK를 생성하기 위한 수단을 더 포함할 수 있다. 예를 들어, 생성하기 위한 수단은, STA들(106-110)의 하나 또는 그 초과의 컴포넌트들, 프로세서(210), STA(302)의 하나 또는 그 초과의 컴포넌트들, PTK를 생성하도록 구성되는 하나 또는 그 초과의 다른 디바이스들 또는 이들의 임의의 조합을 포함할 수 있다.
제 2 장치는, 모바일 디바이스로부터의 보호되지 않은 연관 요청을 액세스 포인트에서 수신하기 위한 수단을 포함할 수 있다. 예를 들어, 보호되지 않은 연관 요청을 수신하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, 보호되지 않은 연관 요청을 수신하도록 구성되는 하나 또는 그 초과의 다른 디바이스들(예를 들어, AP의 무선 제어기 및/또는 안테나) 또는 이들의 임의의 조합을 포함할 수 있다. 제 2 장치는 또한, 보호되지 않은 연관 요청으로부터 개시 메시지를 추출하기 위한 수단을 포함할 수 있다. 예를 들어, 추출하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, 개시 메시지를 추출하도록 구성되는 하나 또는 그 초과의 다른 디바이스들(예를 들어, AP의 프로세서) 또는 이들의 임의의 조합을 포함할 수 있다. 제 2 장치는, 개시 메시지를 AS에 전송하기 위한 수단을 더 포함할 수 있다. 예를 들어, 개시 메시지를 전송하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, 개시 메시지를 전송하도록 구성되는 하나 또는 그 초과의 다른 디바이스들(예를 들어, AP의 무선 제어기 및/또는 안테나) 또는 이들의 임의의 조합을 포함할 수 있다.
제 2 장치는, AS로부터 답신 메시지를 수신하기 위한 수단을 포함할 수 있고, 여기서 답신 메시지는 rMSK를 포함한다. 예를 들어, 답신 메시지를 수신하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, 답신 메시지를 수신하도록 구성되는 하나 또는 그 초과의 다른 디바이스들(예를 들어, AP의 무선 제어기 및/또는 안테나) 또는 이들의 임의의 조합을 포함할 수 있다. 제 2 장치는 또한, ANonce를 생성하기 위한 수단을 포함할 수 있다. 예를 들어, 생성하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, ANonce를 생성하도록 구성되는 하나 또는 그 초과의 다른 디바이스들(예를 들어, AP의 프로세서) 또는 이들의 임의의 조합을 포함할 수 있다. 제 2 장치는, 액세스 포인트로부터의 연관 응답을 모바일 디바이스에 전송하기 위한 수단을 더 포함할 수 있고, 여기서 연관 응답은 ANonce를 포함한다. 예를 들어, 연관 응답을 전송하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, 연관 응답을 전송하도록 구성되는 하나 또는 그 초과의 다른 디바이스들(예를 들어, AP의 무선 제어기 및/또는 안테나) 또는 이들의 임의의 조합을 포함할 수 있다.
제 3 장치는, 모바일 디바이스에서, 제 1 ANonce를 이용하여 액세스 포인트와의 제 1 링크 셋업을 개시하기 위한 수단을 포함할 수 있다. 예를 들어, 개시하기 위한 수단은, STA들(106-110)의 하나 또는 그 초과의 컴포넌트들, 프로세서(210), STA(302)의 하나 또는 그 초과의 컴포넌트들, 링크 셋업을 개시하도록 구성되는 하나 또는 그 초과의 다른 디바이스들, 또는 이들의 임의의 조합을 포함할 수 있다. 제 3 장치는 또한, 액세스 포인트와의 제 1 링크 셋업 동안, 제 1 링크 셋업에 후속하는 액세스 포인트와의 제 2 링크 셋업에서 이용하기 위한 제 2 ANonce를 수신하기 위한 수단을 포함할 수 있다. 예를 들어, 수신하기 위한 수단은, STA들(106-110)의 하나 또는 그 초과의 컴포넌트들, 무선 제어기(240), 안테나(242), STA(302)의 하나 또는 그 초과의 컴포넌트들, ANonce를 수신하도록 구성되는 하나 또는 그 초과의 다른 디바이스들, 또는 이들의 임의의 조합을 포함할 수 있다.
제 4 장치는, 제 1 ANonce를 이용한 제 1 링크 셋업 동안, 제 1 링크 셋업에 후속하는 모바일 디바이스와의 제 2 링크 셋업에서 이용하기 위한 제 2 ANonce를 액세스 포인트로부터 모바일 디바이스에 전송하기 위한 수단을 포함할 수 있다. 예를 들어, 제 2 ANonce를 전송하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, ANonce를 전송하도록 구성되는 하나 또는 그 초과의 다른 디바이스들(예를 들어, AP의 무선 제어기 및/또는 안테나) 또는 이들의 임의의 조합을 포함할 수 있다. 제 4 장치는 또한, 제 1 링크 셋업의 개시 이전에 비콘 또는 프로브 응답을 통해 제 1 ANonce를 모바일 디바이스에 전송하기 위한 수단을 포함할 수 있고, 여기서 제 2 ANonce는 제 1 ANonce와는 별개이다. 예를 들어, 제 1 ANonce를 전송하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, ANonce를 전송하도록 구성되는 하나 또는 그 초과의 다른 디바이스들(예를 들어, AP의 무선 제어기 및/또는 안테나) 또는 이들의 임의의 조합을 포함할 수 있다.
제 5 장치는, 액세스 포인트로부터의 제 1 ANonce를 모바일 디바이스에서 수신하기 위한 수단을 포함할 수 있다. 예를 들어, 수신하기 위한 수단은, STA들(106-110)의 하나 또는 그 초과의 컴포넌트들, 무선 제어기(240), 안테나(242), STA(302)의 하나 또는 그 초과의 컴포넌트들, ANonce를 수신하도록 구성되는 하나 또는 그 초과의 다른 디바이스들, 또는 이들의 임의의 조합을 포함할 수 있다. 장치는 또한, 제 1 ANonce를 이용하여 제 1 PTK를 생성하기 위한 수단을 포함할 수 있다. 예를 들어, 생성하기 위한 수단은, STA들(106-110)의 하나 또는 그 초과의 컴포넌트들, 프로세서(210), STA(302)의 하나 또는 그 초과의 컴포넌트들, PTK를 생성하도록 구성되는 하나 또는 그 초과의 다른 디바이스들, 또는 이들의 임의의 조합을 포함할 수 있다. 제 1 ANonce는, 예를 들어, 비콘에서 다수의 STA들로 브로드캐스트되는 것에 기인하여, 또는 값에서 예측가능한 것에 기인하여, "약한" ANonce로 고려될 수 있다. 그러나, 이러한 "약한" ANonce의 이용은, 상위 계층 시그널링 메시지들에 임베딩된 묵시적 보안 때문에 허용가능할 수 있다. 아울러, 본 명세서에서 설명되는 바와 같이, 제 2의 "더 강한" ANonce가 유도될 수 있고, 추가적 데이터 전송에 대해 이용될 수 있다.
장치는, 액세스 포인트에 연관 요청을 전송하기 위한 수단을 더 포함할 수 있고, 여기서 연관 요청은 SNonce를 포함하고, 제 1 PTK를 이용하여 보호된다. 예를 들어, 전송하기 위한 수단은, STA들(106-110)의 하나 또는 그 초과의 컴포넌트들, 무선 제어기(240), 안테나(242), STA(302)의 하나 또는 그 초과의 컴포넌트들, 연관 요청을 전송하도록 구성되는 하나 또는 그 초과의 다른 디바이스들, 또는 이들의 임의의 조합을 포함할 수 있다.
장치는, 액세스 포인트로부터의 연관 응답을 모바일 디바이스에서 수신하기 위한 수단을 포함할 수 있고, 여기서 연관 응답은 제 2 ANonce를 포함하고 제 2 PTK를 이용하여 보호된다. 예를 들어, 수신하기 위한 수단은, STA들(106-110)의 하나 또는 그 초과의 컴포넌트들, 무선 제어기(240), 안테나(242), STA(302)의 하나 또는 그 초과의 컴포넌트들, 연관 응답을 수신하도록 구성되는 하나 또는 그 초과의 다른 디바이스들, 또는 이들의 임의의 조합을 포함할 수 있다. 제 2 ANonce는 "강한" ANonce로 고려될 수 있다.
장치는 또한, 모바일 디바이스에서, 제 2 ANonce 및 SNonce를 이용하여 제 2 PTK를 생성하기 위한 수단을 포함할 수 있다. 예를 들어, 생성하기 위한 수단은, STA들(106-110)의 하나 또는 그 초과의 컴포넌트들, 프로세서(210), STA(302)의 하나 또는 그 초과의 컴포넌트들, PTK를 생성하도록 구성되는 하나 또는 그 초과의 다른 디바이스들, 또는 이들의 임의의 조합을 포함할 수 있다. 장치는, 모바일 디바이스로부터 액세스 포인트에 전송될 적어도 하나의 후속 메시지를 보호하기 위해 제 2 PTK를 이용하기 위한 수단을 더 포함할 수 있다. 예를 들어, 이용하기 위한 수단은, STA들(106-110)의 하나 또는 그 초과의 컴포넌트들, 프로세서(210), STA(302)의 하나 또는 그 초과의 컴포넌트들, 메시지를 보호하도록 구성되는 하나 또는 그 초과의 다른 디바이스들, 또는 이들의 임의의 조합을 포함할 수 있다.
제 6 장치는, 액세스 포인트로부터 제 1 ANonce를 모바일 디바이스에 전송하기 위한 수단을 포함할 수 있다. 예를 들어, 전송하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, ANonce를 전송하도록 구성되는 하나 또는 그 초과의 다른 디바이스들 또는 이들의 임의의 조합을 포함할 수 있다. 장치는 또한, 모바일 디바이스로부터 연관 요청을 수신하기 위한 수단을 포함할 수 있고, 연관 요청은 SNonce를 포함하고, 제 1 PTK를 이용하여 보호된다. 예를 들어, 수신하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, 연관 요청을 수신하도록 구성되는 하나 또는 그 초과의 다른 디바이스들 또는 이들의 임의의 조합을 포함할 수 있다.
장치는, 액세스 포인트에서, 제 1 ANonce 및 SNonce에 기초하여 제 1 PTK를 생성하기 위한 수단을 더 포함할 수 있다. 예를 들어, 생성하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, PTK를 생성하도록 구성되는 하나 또는 그 초과의 다른 디바이스들 또는 이들의 임의의 조합을 포함할 수 있다. 장치는, 제 2 ANonce를 생성하기 위한 수단을 포함할 수 있다. 예를 들어, 제 2 ANonce를 생성하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, ANonce를 생성하도록 구성되는 하나 또는 그 초과의 다른 디바이스들 또는 이들의 임의의 조합을 포함할 수 있다. 장치는 또한, 제 2 ANonce 및 SNonce에 기초하여 제 2 PTK를 생성하기 위한 수단을 포함할 수 있다. 예를 들어, 생성하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, PTK를 생성하도록 구성되는 하나 또는 그 초과의 다른 디바이스들 또는 이들의 임의의 조합을 포함할 수 있다.
장치는, 연관 응답을 모바일 디바이스에 전송하기 위한 수단을 더 포함할 수 있고, 여기서 연관 응답은 제 2 ANonce를 포함하고, 제 2 PTK를 이용하여 보호된다. 예를 들어, 전송하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, 연관 응답을 전송하도록 구성되는 하나 또는 그 초과의 다른 디바이스들 또는 이들의 임의의 조합을 포함할 수 있다.
제 7 장치는, 액세스 포인트로부터의 ANonce-시드를 모바일 디바이스에서 수신하기 위한 수단을 포함할 수 있다. ANonce-시드는 복수의 디바이스들에 (예를 들어, 비콘을 통해) 브로드캐스트될 수 있다. 예를 들어, 수신하기 위한 수단은, STA들(106-110)의 하나 또는 그 초과의 컴포넌트들, 무선 제어기(240), 안테나(242), STA(302)의 하나 또는 그 초과의 컴포넌트들, ANonce-시드를 수신하도록 구성되는 하나 또는 그 초과의 다른 디바이스들, 또는 이들의 임의의 조합을 포함할 수 있다. 장치는 또한, ANonce-시드 및 모바일 디바이스의 MAC 어드레스에 기초하여 모바일 디바이스에서 ANonce를 생성하기 위한 수단을 포함할 수 있다. 예를 들어, 생성하기 위한 수단은, STA들(106-110)의 하나 또는 그 초과의 컴포넌트들, 프로세서(210), STA(302)의 하나 또는 그 초과의 컴포넌트들, ANonce를 생성하도록 구성되는 하나 또는 그 초과의 다른 디바이스들, 또는 이들의 임의의 조합을 포함할 수 있다.
장치는, 생성된 ANonce에 기초하여 액세스 포인트와의 링크 셋업을 수행하기 위한 수단을 더 포함할 수 있다. 예를 들어, 수행하기 위한 수단은, STA들(106-110)의 하나 또는 그 초과의 컴포넌트들, 프로세서(210), STA(302)의 하나 또는 그 초과의 컴포넌트들, 링크 셋업을 수행하도록 구성되는 하나 또는 그 초과의 다른 디바이스들, 또는 이들의 임의의 조합을 포함할 수 있다.
제 8 장치는, 액세스 포인트로부터 ANonce-시드를 모바일 디바이스에 전송하기 위한 수단을 포함할 수 있다. 예를 들어, 전송하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, ANonce-시드를 전송하도록 구성되는 하나 또는 그 초과의 다른 디바이스들 또는 이들의 임의의 조합을 포함할 수 있다.
장치는 또한, 모바일 디바이스의 MAC 어드레스를 수신하기 위한 수단을 포함할 수 있다. 예를 들어, 수신하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, MAC 어드레스를 수신하도록 구성되는 하나 또는 그 초과의 다른 디바이스들 또는 이들의 임의의 조합을 포함할 수 있다. 장치는, ANonce-시드 및 모바일 어드레스의 MAC 디바이스에 기초하여 ANonce를 생성하기 위한 수단을 더 포함할 수 있다. 예를 들어, 생성하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, ANonce를 생성하도록 구성되는 하나 또는 그 초과의 다른 디바이스들 또는 이들의 임의의 조합을 포함할 수 있다.
장치는, 생성된 ANonce에 기초하여 모바일 디바이스와의 링크 셋업을 수행하기 위한 수단을 포함할 수 있다. 예를 들어, 수행하기 위한 수단은, AP(102)의 하나 또는 그 초과의 컴포넌트들, AP(304)의 하나 또는 그 초과의 컴포넌트들, 링크 셋업을 수행하도록 구성되는 하나 또는 그 초과의 다른 디바이스들 또는 이들의 임의의 조합을 포함할 수 있다.
개시된 실시예들의 이전의 설명은, 이 분야의 당업자가, 개시된 실시예들을 실시 또는 이용할 수 있도록 제공된다. 이 실시예들의 다양한 변형들은 이 분야의 당업자들에게 쉽게 자명할 것이고, 본 명세서에서 정의되는 원리들은, 본 개시의 범위를 벗어남이 없이 다른 실시예들에 적용될 수 있다. 따라서, 본 개시는, 본 명세서에 개시된 실시예들로 제한되도록 의도되는 것이 아니라, 하기 청구항들에 의해 정의되는 원리들 및 신규한 특징들에 가능한 일치하는 최광의 범위에 따르도록 의도된다.
본 명세서에 설명된 엘리먼트들은, 동일한 엘리먼트의 다수의 예들을 포함할 수 있다. 이 엘리먼트들은 일반적으로 수치적 지정자(예를 들어, 110)에 의해 표시될 수 있고, 알파벳 지정자가 뒤따르는 수치적 지정자(예를 들어, 110A) 또는 "대시"가 선행하는 수치적 지정자(예를 들어, 110-1)로 구체적으로 표시될 수 있다. 설명을 따르는 용이함을 위해, 대부분의 부분 엘리먼트 숫자 표시자들은, 그 엘리먼트들이 도입되거나 가장 완전히 설명된 도면의 숫자로 시작한다.
"제 1", "제 2" 등과 같은 지정을 사용하는 본 명세서의 엘리먼트에 대한 임의의 참조는, 이러한 제한이 명시적으로 언급되지 않으면, 이러한 엘리먼트들의 양 또는 순서를 제한하지 않는다. 오히려, 이러한 지정들은, 둘 또는 그 초과의 엘리먼트들 또는 일 엘리먼트의 인스턴스들 사이를 구별하는 편리한 방법으로서 본 명세서에서 사용될 수 있다. 따라서, 제 1 및 제 2 엘리먼트들에 대한 참조는, 거기에서 오직 2개의 엘리먼트들만이 이용될 수 있다거나 제 1 엘리먼트가 어떤 방식으로 제 2 엘리먼트에 선행해야 함을 의미하지 않는다. 또한, 달리 언급되지 않으면, 엘리먼트들의 세트는 하나 또는 그 초과의 엘리먼트들을 포함할 수 있다.
도시되고 설명된 특정한 구현들은 오직 예시들이고, 본 명세서에서 달리 특정되지 않으면, 본 개시를 구현하기 위한 유일한 방식으로 해석되어서는 안된다. 본 개시의 다양한 예들이 다수의 다른 파티셔닝 시스템들에 의해 실시될 수 있음은 이 분야의 당업자에게 쉽게 명백하다.
다양한 상이한 기술들 및 기법들 중 임의의 기술 및 기법을 이용하여 정보 및 신호들이 표현될 수 있음을 이 분야의 당업자들은 이해할 것이다. 예를 들어, 본 설명 전반에 걸쳐 참조될 수 있는 데이터, 명령들, 커맨드들, 정보, 신호들, 비트들, 심볼들 및 칩들은, 전압들, 전류들, 전자기파들, 자계들 또는 자기 입자들, 광학 필드들 또는 광학 입자들, 또는 이들의 임의의 조합으로 표현될 수 있다. 몇몇 도면들은, 제시 및 설명의 명확화를 위해 신호들을 단일 신호로서 도시할 수 있다. 신호가 신호들의 버스를 표현할 수 있음을 이 분야의 당업자는 이해할 것이고, 여기서 버스는, 다양한 비트 폭들을 가질 수 있고, 본 개시는, 단일 데이터 신호를 포함하는 임의의 수의 데이터 신호들에 대해 구현될 수 있다.
본 설명에서, 엘리먼트들, 회로들 및 기능들은, 본 개시를 불필요하게 상세히 모호하게 하지 않도록 블록도 형태로 도시될 수 있다. 반대로, 도시되고 설명된 특정한 구현들은 오직 예시적이고, 본 명세서에서 달리 특정되지 않으면 본 개시를 구현하기 위한 유일한 방식으로 해석되지 않아야 한다. 추가적으로, 다양한 블록들 사이의 로직의 파티셔닝 및 블록 정의들은 특정한 구현에 대한 예시이다. 본 개시가 다수의 다른 파티셔닝 시스템들에 의해 실시될 수 있음은 이 분야의 당업자에게 쉽게 명백하다. 대부분의 경우, 타이밍 고려사항들 등에 관한 세부사항들은 생략되었고, 여기서 이러한 세부사항들은 본 개시의 완전한 이해를 얻는데 불필요하고, 관련 분야의 당업자들의 능력들 내에 있다.
본 명세서에서 설명되고 도면들에서 도시된 컴포넌트들, 동작들, 특징들 및/또는 기능들 중 하나 또는 그 초과는, 단일 컴포넌트, 동작, 특징 또는 기능으로 재배열 및/또는 결합될 수 있거나 또는 몇몇 컴포넌트들, 동작들, 특징들 또는 기능들로 구현될 수 있다. 본 발명을 벗어남이 없이, 추가적인 엘리먼트들, 컴포넌트들, 동작들 및/또는 기능들이 또한 추가될 수 있다. 본 명세서에서 설명되는 알고리즘들은 또한 효율적으로 소프트웨어로 구현되고 그리고/또는 하드웨어에 임베딩될 수 있다.
또한, 실시예들은, 플로우차트, 흐름도, 구조도 또는 블록도로서 도시되는 프로세스로서 설명될 수 있음을 주목한다. 플로우차트가 동작들을 순차적인 프로세스로서 설명할 수 있을지라도, 많은 동작들은 병렬적으로 또는 동시에 수행될 수 있다. 또한, 동작들의 순서는 재배열될 수 있다. 프로세스는, 그의 동작들이 완료될 때 종료된다. 프로세스는 방법, 함수, 절차, 서브루틴, 서브프로그램 등에 대응할 수 있다. 프로세스가 함수에 대응하는 경우, 함수의 종료는 그 함수의 호출 함수 또는 메인 함수로의 리턴에 대응한다.
아울러, 저장 매체는, 판독 전용 메모리(ROM), 랜덤 액세스 메모리(RAM), 자기 디스크 저장 매체들, 광학 저장 매체들, 플래쉬 메모리 디바이스들 및/또는 다른 머신 판독가능 매체들 및 프로세서 판독가능 매체들 및/또는 정보를 저장하기 위한 컴퓨터 판독가능 매체들을 포함하는, 데이터를 저장하기 위한 하나 또는 그 초과의 디바이스들을 표현할 수 있다. 용어들 "머신 판독가능 매체", "컴퓨터 판독가능 매체", 및/또는 "프로세서 판독가능 매체"는 휴대용 또는 고정식 저장 디바이스들, 광학 저장 디바이스들, 및 명령(들) 및/또는 데이터를 저장, 포함 또는 반송할 수 있는 다양한 다른 매체들과 같은 비일시적 매체들을 포함할 수 있지만 이에 한정되는 것을 아니다. 따라서, 본 명세서에서 설명되는 다양한 방법들은, "머신 판독가능 매체", "컴퓨터 판독가능 매체", 및/또는 "프로세서 판독가능 매체"에 저장될 수 있고 하나 또는 그 초과의 프로세서들, 머신들 및/또는 디바이스들에 의해 실행될 수 있는 명령들 및/또는 데이터에 의해 부분적으로 또는 전체적으로 구현될 수 있다.
게다가, 실시예들은 하드웨어, 소프트웨어, 펌웨어, 미들웨어, 마이크로코드 또는 이들의 임의의 조합에 의해 구현될 수 있다. 소프트웨어, 펌웨어, 미들웨어 또는 마이크로코드로 구현되는 경우, 필요한 작업들을 수행하기 위한 프로그램 코드 또는 코드 세그먼트들은 저장 매체 또는 다른 저장부(들)와 같은 머신 판독가능 매체에 저장될 수 있다. 프로세서는 필요한 작업들을 수행할 수 있다. 코드 세그먼트는, 절차, 함수, 서브프로그램, 프로그램, 루틴, 서브루틴, 모듈, 소프트웨어 패키지, 클래스, 또는 명령들, 데이터 구조들 또는 프로그램 스테이트먼트들의 임의의 조합을 표현할 수 있다. 코드 세그먼트는 정보, 데이터, 아규먼트들, 파라미터들 또는 메모리 컨텐츠들을 전달 및/또는 수신함으로써 다른 코드 세그먼트 또는 하드웨어 회로에 커플링될 수 있다. 정보, 아규먼트들, 파라미터들, 데이터 등은 메모리 공유, 메시지 전달, 토큰(token) 전달, 네트워크 송신 등을 포함하는 임의의 적절한 수단을 통해 전달, 포워딩 또는 송신될 수 있다.
본 명세서에서 개시된 예들과 관련하여 설명되는 다양한 예시적인 로직 블록들, 모듈들, 회로들, 엘리먼트들 및/또는 컴포넌트들은, 범용 프로세서, 디지털 신호 프로세서(DSP), 주문형 집적회로(ASIC), 필드 프로그래머블 게이트 어레이(FPGA) 또는 다른 프로그래머블 로직 컴포넌트, 이산 게이트 또는 트랜지스터 로직, 이산 하드웨어 컴포넌트들 또는 본 명세서에 설명된 기능들을 수행하도록 설계된 이들의 임의의 조합으로 구현 또는 수행될 수 있다. 범용 프로세서는 마이크로프로세서일 수 있지만, 대안적으로, 프로세서는 임의의 종래의 프로세서, 제어기, 마이크로제어기 또는 상태 머신일 수 있다. 프로세서는 또한 컴퓨팅 컴포넌트들의 조합, 예를 들어 DSP 및 마이크로프로세서의 조합, 복수의 마이크로프로세서들, DSP 코어와 결합된 하나 또는 그 초과의 마이크로프로세서들, 또는 임의의 다른 이러한 구성으로서 구현될 수 있다. 본 명세서에서 설명되는 실시예들을 실행하기 위해 구성되는 범용 프로세서는, 이러한 실시예들을 수행하기 위한 특수 목적 프로세서로 고려된다. 유사하게, 범용 컴퓨터는, 본 명세서에서 설명되는 실시예들을 수행하기 위해 구성되는 경우 특수 목적 컴퓨터로 고려된다.
본 명세서에 개시된 예시들과 관련하여 설명된 방법들 또는 알고리즘들은 직접적으로 하드웨어로, 프로세서에 의해 실행될 수 있는 소프트웨어 모듈로, 또는 이 둘의 조합으로, 프로세싱 유닛, 프로그래밍 명령들 또는 다른 지시들의 형태로 구현될 수 있고, 단일 디바이스에 포함되거나 다수의 디바이스들에 걸쳐 분산될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래쉬 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터들, 하드 디스크, 착탈식 디스크, CD-ROM, 또는 이 분야에 공지된 임의의 다른 형태의 저장 매체에 상주할 수 있다. 저장 매체는, 프로세서가 저장 매체로부터 정보를 판독하고 저장 매체에 정보를 기록할 수 있도록 프로세서에 커플링될 수 있다. 대안적으로, 저장 매체는 프로세서에 통합될 수 있다.
예를 들어, STA 기능은 프로세서 판독가능 매체 상에 저장된 명령들을 이용하여 구현될 수 있다. 특정한 매체가, 프로세서로 하여금, 모바일 디바이스에 의해 액세스 포인트에 전송될 보호되지 않은 연관 요청을 생성하게 하도록 실행가능한 명령들을 저장할 수 있다. 명령들은 또한, 프로세서로 하여금, 액세스 포인트로부터의 연관 응답으로부터 리트리브되는 ANonce를 이용하여 PTK를 생성하게 하도록 실행가능할 수 있다. 다른 특정한 매체는, 모바일 디바이스에서, 제 1 ANonce를 이용하여 액세스 포인트와의 제 1 링크 셋업을 개시하도록 프로세서에 의해 실행가능한 명령들을 저장할 수 있다. 명령들은 또한, 프로세서로 하여금, 액세스 포인트와의 제 1 링크 셋업 동안, 제 1 링크 셋업에 후속하는 액세스 포인트와의 제 2 링크 셋업에서 이용하기 위한 제 2 ANonce를 수신하게 하도록 실행가능할 수 있다.
다른 예로, AP 기능은 프로세서 판독가능 매체 상에 저장된 명령들을 이용하여 구현될 수 있다. 예를 들어, 특정한 매체가, 프로세서로 하여금, 모바일 디바이스로부터 수신된 보호되지 않은 연관 요청으로부터 개시 메시지를 추출하게 하도록 실행가능한 명령들을 저장할 수 있다. 명령들은, 프로세서로 하여금, 개시 메시지에 대한 응답으로 인증 서버로부터 수신된 답신 메시지로부터 rMSK를 추출하게 하도록 실행가능할 수 있다. 명령들은, 프로세서로 하여금, ANonce를 생성하게 하고, 모바일 디바이스에 전송될 연관 응답을 생성하게 하도록 추가로 실행가능할 수 있고, 여기서 연관 응답은 ANonce를 포함한다. 다른 특정한 매체는, 제 1 ANonce를 이용하는 제 1 링크 셋업 동안, 제 1 링크 셋업에 후속하는 모바일 디바이스와의 제 2 링크 셋업에서 이용하기 위한 제 2 ANonce를 액세스 포인트로부터 모바일 디바이스에 전송하도록 프로세서에 의해 실행가능한 명령들을 저장할 수 있다.
당업자들은, 본 명세서에 개시된 실시예들과 관련하여 설명된 다양한 예시적인 로직 블록들, 모듈들, 회로들 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어 또는 이들의 조합들로 구현될 수 있음을 추가로 인식할 것이다. 하드웨어 및 소프트웨어의 이러한 상호 호환성을 명확히 예시하기 위해, 다양한 예시적인 컴포넌트들, 블록들, 모듈들, 회로들 및 단계들이 일반적으로 그들의 기능적 관점에서 앞서 설명되었다. 이러한 기능이 하드웨어로 구현되는지, 소프트웨어로 구현되는지 또는 이들의 조합으로 구현되는지 여부는 특정 애플리케이션, 및 전체 시스템에 대해 부과된 설계 선택들에 의존한다.
본 명세서에서 설명된 본 발명의 다양한 특징들은 본 발명을 벗어남이 없이 다른 시스템들에서 구현될 수 있다. 상기 실시예들은 단지 예시들이고, 본 발명을 제한하는 것으로 해석되어서는 안됨을 주목해야 한다. 실시예들의 설명은 예시적인 것으로 의도되고, 청구항들의 범위를 제한하지 않는 것으로 의도된다. 이로써, 본 교시들은 다른 타입들의 장치들에 쉽게 적용될 수 있고, 많은 대안들, 변형들 및 변화들은 당업자들에게 자명할 것이다.

Claims (24)

  1. 방법으로서,
    액세스 포인트에서, 모바일 디바이스로부터 요청을 수신하는 단계;
    상기 요청으로부터 스테이션 논스(SNonce) 및 EAP(Extensible Authentication Protocol) 재인증 개시 메시지를 추출하는 단계 ― 상기 EAP 재인증 개시 메시지는 상기 요청의 제 1 정보 엘리먼트에 포함되고, 그리고 상기 SNonce는 상기 요청의 제 2 정보 엘리먼트에 포함되고, 상기 제 1 정보 엘리먼트는 상기 제 2 정보 엘리먼트와 구별됨 ―;
    상기 EAP 재인증 개시 메시지를 인증 서버에 전송하는 단계;
    상기 인증 서버로부터 답신 메시지를 수신하는 단계 ― 상기 답신 메시지는 rMSK(re-authentication master session key)를 포함함 ―;
    액세스 포인트 논스(ANonce)를 생성하는 단계; 및
    상기 모바일 디바이스에 응답을 전송하는 단계를 포함하고,
    상기 응답은 상기 ANonce를 포함하는,
    방법.
  2. 제 1 항에 있어서,
    상기 액세스 포인트에서, 상기 rMSK, 상기 ANonce 및 상기 SNonce를 이용하여 PTK(pairwise transient key)를 생성하는 단계를 더 포함하는,
    방법.
  3. 제 2 항에 있어서,
    상기 응답은 상기 PTK를 이용하여 보호되는,
    방법.
  4. 제 1 항에 있어서,
    상기 요청은 상기 액세스 포인트의 BSSID(basic service set identifier)에 기초하여 전송되는,
    방법.
  5. 제 1 항에 있어서,
    DHCP(Dynamic Host Configuration Protocol) 발견 메시지를 DHCP 서버에 전송하는 단계를 더 포함하는,
    방법.
  6. 제 5 항에 있어서,
    상기 DHCP 발견 메시지에 응답하여, 상기 DHCP 서버로부터 DHCP 확인응답 메시지를 수신하는 단계를 더 포함하고,
    상기 DHCP 발견 메시지는 IP(Internet Protocol) 어드레스를 표시하는,
    방법.
  7. 제 6 항에 있어서,
    상기 응답은 상기 IP 어드레스를 표시하는,
    방법.
  8. 장치로서,
    프로세서; 및
    메모리를 포함하고,
    상기 메모리는,
    모바일 디바이스로부터 보호되지 않은 인증 요청을 수신하고;
    상기 요청으로부터 스테이션 논스(SNonce) 및 EAP(Extensible Authentication Protocol) 재인증 개시 메시지를 추출하고 ― 상기 EAP 재인증 개시 메시지는 상기 요청의 제 1 정보 엘리먼트에 포함되고, 그리고 상기 SNonce는 상기 요청의 제 2 정보 엘리먼트에 포함되고, 상기 제 1 정보 엘리먼트는 상기 제 2 정보 엘리먼트와 구별됨 ―;
    상기 EAP 재인증 개시 메시지를 인증 서버에 전송하고;
    상기 인증 서버로부터 답신 메시지를 수신하고 ― 상기 답신 메시지는 rMSK(re-authentication master session key)를 포함함 ―;
    액세스 포인트 논스(ANonce)를 생성하고; 그리고
    상기 모바일 디바이스에 응답을 전송하도록
    상기 프로세서에 의해 실행가능한 명령들을 저장하고,
    상기 응답은 상기 ANonce를 포함하는,
    장치.
  9. 제 8 항에 있어서,
    상기 명령들은 추가로, 상기 rMSK, 상기 ANonce 및 상기 SNonce를 이용하여 PTK(pairwise transient key)를 생성하도록 상기 프로세서에 의해 실행가능한,
    장치.
  10. 제 9 항에 있어서,
    상기 응답은 상기 PTK를 이용하여 보호되는,
    장치.
  11. 제 8 항에 있어서,
    상기 요청은 상기 액세스 포인트의 BSSID(basic service set identifier)에 기초하여 전송되는,
    장치.
  12. 제 8 항에 있어서,
    상기 명령들은 추가로, DHCP(Dynamic Host Configuration Protocol) 발견 메시지를 DHCP 서버에 전송하도록 상기 프로세서에 의해 실행가능한,
    장치.
  13. 제 12 항에 있어서,
    상기 명령들은 추가로, 상기 DHCP 발견 메시지에 응답하여 상기 DHCP 서버로부터 DHCP 확인응답 메시지를 수신하도록 상기 프로세서에 의해 실행가능하고,
    상기 DHCP 발견 메시지는 IP(Internet Protocol) 어드레스를 표시하는,
    장치.
  14. 제 13 항에 있어서,
    상기 응답은 상기 IP 어드레스를 표시하는,
    장치.
  15. 장치로서,
    액세스 포인트에서, 모바일 디바이스로부터 요청을 수신하기 위한 수단;
    상기 요청으로부터 스테이션 논스(SNonce) 및 EAP(Extensible Authentication Protocol) 재인증 개시 메시지를 추출하기 위한 수단 ― 상기 EAP 재인증 개시 메시지는 상기 요청의 제 1 정보 엘리먼트에 포함되고, 그리고 상기 SNonce는 상기 요청의 제 2 정보 엘리먼트에 포함되고, 상기 제 1 정보 엘리먼트는 상기 제 2 정보 엘리먼트와 구별됨 ―;
    상기 EAP 재인증 개시 메시지를 인증 서버에 전송하기 위한 수단;
    상기 인증 서버로부터 답신 메시지를 수신하기 위한 수단 ― 상기 답신 메시지는 rMSK(re-authentication master session key)를 포함함 ―;
    액세스 포인트 논스(ANonce)를 생성하기 위한 수단; 및
    상기 액세스 포인트로부터 상기 모바일 디바이스에 응답을 전송하기 위한 수단을 포함하고,
    상기 응답은 상기 ANonce를 포함하는,
    장치.
  16. 제 15 항에 있어서,
    상기 rMSK, 상기 ANonce 및 상기 SNonce를 이용하여 PTK(pairwise transient key)를 생성하기 위한 수단을 더 포함하는,
    장치.
  17. 제 16 항에 있어서,
    상기 응답은 상기 PTK를 이용하여 보호되는,
    장치.
  18. 제 15 항에 있어서,
    상기 요청은 상기 액세스 포인트의 BSSID(basic service set identifier)에 기초하여 전송되는,
    장치.
  19. 제 15 항에 있어서,
    DHCP(Dynamic Host Configuration Protocol) 발견 메시지를 DHCP 서버에 전송하기 위한 수단을 더 포함하는,
    장치.
  20. 제 19 항에 있어서,
    상기 DHCP 발견 메시지에 응답하여, 상기 DHCP 서버로부터 DHCP 확인응답 메시지를 수신하기 위한 수단을 더 포함하고,
    상기 DHCP 발견 메시지는 IP(Internet Protocol) 어드레스를 표시하는,
    장치.
  21. 명령들을 포함하는 비일시적 프로세서 판독가능 저장 매체로서,
    상기 명령들은, 프로세서에 의해 실행되는 경우, 상기 프로세서로 하여금,
    모바일 디바이스로부터 수신되는 요청으로부터 스테이션 논스(SNonce) 및 EAP 재인증 개시 메시지를 추출하게 하고 ― 상기 EAP 재인증 개시 메시지는 상기 요청의 제 1 정보 엘리먼트에 포함되고, 그리고 상기 SNonce는 상기 요청의 제 2 정보 엘리먼트에 포함되고, 상기 제 1 정보 엘리먼트는 상기 제 2 정보 엘리먼트와 구별됨 ―;
    상기 개시 메시지에 대한 응답하는 인증 서버로부터 수신되는 답신 메시지로부터 rMSK(re-authentication master session key)를 추출하게 하고;
    액세스 포인트 논스(ANonce)를 생성하게 하고; 그리고
    상기 모바일 디바이스에 전송될 응답을 생성하게 하고,
    상기 응답은 상기 ANonce를 포함하는,
    비일시적 프로세서 판독가능 저장 매체.
  22. 제 21 항에 있어서,
    상기 프로세서에 의해 실행될 때, 상기 프로세서로 하여금, 액세스 포인트에서 상기 rMSK, 상기 ANonce 및 상기 SNonce를 이용하여 PTK(pairwise transient key)를 생성하게 하는 명령들을 더 포함하는,
    비일시적 프로세서 판독가능 저장 매체.
  23. 제 22 항에 있어서,
    상기 응답은 상기 PTK를 이용하여 보호되는,
    비일시적 프로세서 판독가능 저장 매체.
  24. 제 21 항에 있어서,
    상기 프로세서에 의해 실행될 때 상기 프로세서로 하여금:
    DHCP(Dynamic Host Configuration Protocol) 발견 메시지를 DHCP 서버에 전송하게 하고; 그리고
    상기 DHCP 발견 메시지에 응답하여, 상기 DHCP 서버로부터 DHCP 확인응답 메시지를 수신하게 하는 명령들을 더 포함하고,
    상기 DHCP 발견 메시지는 IP(Internet Protocol) 어드레스를 표시하는,
    비일시적 프로세서 판독가능 저장 매체.
KR1020167001104A 2011-09-12 2012-09-12 링크 셋업 및 인증을 수행하는 시스템들 및 방법 KR101780252B1 (ko)

Applications Claiming Priority (15)

Application Number Priority Date Filing Date Title
US201161533627P 2011-09-12 2011-09-12
US61/533,627 2011-09-12
US201161535234P 2011-09-15 2011-09-15
US61/535,234 2011-09-15
US201261583052P 2012-01-04 2012-01-04
US61/583,052 2012-01-04
US201261606794P 2012-03-05 2012-03-05
US61/606,794 2012-03-05
US201261611553P 2012-03-15 2012-03-15
US61/611,553 2012-03-15
US201261645987P 2012-05-11 2012-05-11
US61/645,987 2012-05-11
US13/610,730 US9439067B2 (en) 2011-09-12 2012-09-11 Systems and methods of performing link setup and authentication
US13/610,730 2012-09-11
PCT/US2012/054874 WO2013040042A1 (en) 2011-09-12 2012-09-12 Systems and methods of performing link setup and authentication

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020147009890A Division KR101631269B1 (ko) 2011-09-12 2012-09-12 링크 셋업 및 인증을 수행하는 시스템들 및 방법

Publications (2)

Publication Number Publication Date
KR20160012245A KR20160012245A (ko) 2016-02-02
KR101780252B1 true KR101780252B1 (ko) 2017-09-21

Family

ID=47116284

Family Applications (3)

Application Number Title Priority Date Filing Date
KR1020167001104A KR101780252B1 (ko) 2011-09-12 2012-09-12 링크 셋업 및 인증을 수행하는 시스템들 및 방법
KR1020147009890A KR101631269B1 (ko) 2011-09-12 2012-09-12 링크 셋업 및 인증을 수행하는 시스템들 및 방법
KR1020167001111A KR101780290B1 (ko) 2011-09-12 2012-09-12 링크 셋업 및 인증을 수행하는 시스템들 및 방법

Family Applications After (2)

Application Number Title Priority Date Filing Date
KR1020147009890A KR101631269B1 (ko) 2011-09-12 2012-09-12 링크 셋업 및 인증을 수행하는 시스템들 및 방법
KR1020167001111A KR101780290B1 (ko) 2011-09-12 2012-09-12 링크 셋업 및 인증을 수행하는 시스템들 및 방법

Country Status (10)

Country Link
US (3) US9439067B2 (ko)
EP (3) EP2827527A1 (ko)
JP (4) JP2014531812A (ko)
KR (3) KR101780252B1 (ko)
CN (3) CN107071771B (ko)
BR (3) BR122015024135A2 (ko)
ES (1) ES2643290T3 (ko)
HU (1) HUE035780T2 (ko)
IN (1) IN2014CN01532A (ko)
WO (1) WO2013040042A1 (ko)

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2696037A1 (en) 2010-03-15 2011-09-15 Research In Motion Limited Advertisement and dynamic configuration of wlan prioritization states
US9143937B2 (en) 2011-09-12 2015-09-22 Qualcomm Incorporated Wireless communication using concurrent re-authentication and connection setup
US9439067B2 (en) 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication
US8837741B2 (en) 2011-09-12 2014-09-16 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
US8750180B2 (en) 2011-09-16 2014-06-10 Blackberry Limited Discovering network information available via wireless networks
US9008062B2 (en) * 2012-01-09 2015-04-14 Futurewei Technologies, Inc. Systems and methods for AP discovery with FILS beacon
WO2013119043A1 (ko) * 2012-02-07 2013-08-15 엘지전자 주식회사 스테이션과 엑세스 포인트의 결합 방법 및 장치
US9226149B2 (en) * 2012-04-18 2015-12-29 Huawei Technologies Co., Ltd. System and method for rapid authentication in wireless communications
US9204299B2 (en) * 2012-05-11 2015-12-01 Blackberry Limited Extended service set transitions in wireless networks
CN103765976B (zh) * 2012-06-08 2018-09-14 宇龙计算机通信科技(深圳)有限公司 快速初始入网连接建立通信装置和方法
US9894599B2 (en) 2012-06-13 2018-02-13 Qualcomm, Incorporated Method and apparatus for WLAN initial link setup
US10812964B2 (en) 2012-07-12 2020-10-20 Blackberry Limited Address assignment for initial authentication
US9137621B2 (en) 2012-07-13 2015-09-15 Blackberry Limited Wireless network service transaction protocol
US9301127B2 (en) 2013-02-06 2016-03-29 Blackberry Limited Persistent network negotiation for peer to peer devices
US8982860B2 (en) * 2013-03-11 2015-03-17 Intel Corporation Techniques for an access point to obtain an internet protocol address for a wireless device
US10028179B2 (en) * 2013-05-31 2018-07-17 Qualcomm Incorporated Reducing signaling during AP to AP handoff in dense networks
JP6555258B2 (ja) * 2013-10-30 2019-08-07 日本電気株式会社 移動通信システム、ProSe Function、UE及び方法
US20150237003A1 (en) * 2014-02-18 2015-08-20 Benu Networks, Inc. Computerized techniques for network address assignment
US9961545B2 (en) * 2014-06-03 2018-05-01 Qualcomm Incorporated Systems, methods, and apparatus for authentication during fast initial link setup
US9603013B2 (en) * 2014-08-15 2017-03-21 Facebook, Inc. Bluetooth beacon protocol
US9426657B2 (en) 2014-08-15 2016-08-23 Facebook, Inc. Bluetooth transmission security pattern
US10094907B2 (en) 2014-08-15 2018-10-09 Facebook, Inc. Bluetooth crowd-sourced triangualtion
US10057766B2 (en) * 2014-10-21 2018-08-21 Qualcomm Incorporated Methods and systems for authentication interoperability
US20160127903A1 (en) * 2014-11-05 2016-05-05 Qualcomm Incorporated Methods and systems for authentication interoperability
US9667352B2 (en) * 2015-01-09 2017-05-30 Facebook, Inc. Ultrasonic communications for wireless beacons
US9730252B2 (en) * 2015-03-11 2017-08-08 Qualcomm Incorporated Quick connection between customized softap and STA
EP3174326B1 (en) * 2015-11-26 2019-11-06 ALSTOM Transport Technologies Method for providing a wireless user station for access to a telecommunication network through a network wireless access point, associated network wireless access point and wireless user station
US10791093B2 (en) * 2016-04-29 2020-09-29 Avago Technologies International Sales Pte. Limited Home network traffic isolation
CN105744524B (zh) * 2016-05-06 2019-03-22 重庆邮电大学 一种wia-pa工业无线网络中移动设备入网认证方法
US10367792B2 (en) * 2016-08-25 2019-07-30 Orion Labs End-to end encryption for personal communication nodes
US11818569B2 (en) 2016-10-31 2023-11-14 Telefonaktiebolaget Lm Ericsson (Publ) Methods supporting authentication in wireless communication networks and related network nodes and wireless terminals
JP6288219B1 (ja) * 2016-11-18 2018-03-07 Kddi株式会社 通信システム
TWI631869B (zh) * 2017-03-21 2018-08-01 國立臺灣大學 無線通訊方法與無線通訊系統
CN115835203A (zh) 2017-07-20 2023-03-21 华为国际有限公司 网络安全管理的方法及装置
US11696129B2 (en) * 2019-09-13 2023-07-04 Samsung Electronics Co., Ltd. Systems, methods, and devices for association and authentication for multi access point coordination
EP4107981A1 (en) * 2020-02-20 2022-12-28 Lenovo (Singapore) Pte. Ltd. Re-authentication key generation
US11641374B2 (en) * 2020-05-26 2023-05-02 Dell Products L.P. Determine a trusted dynamic host configuration protocol (DHCP) server in a DHCP snooping environment
WO2022046798A1 (en) * 2020-08-24 2022-03-03 Eleven Software Inc. Key matching for eapol handshake using distributed computing
US11805571B2 (en) 2021-04-29 2023-10-31 Hewlett Packard Enterprise Development Lp Mesh network management

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060121883A1 (en) 2004-08-11 2006-06-08 Stefano Faccin Apparatus, and associated methods, for facilitating secure, make-before-break hand-off in a radio communication system
US20060143693A1 (en) 2004-12-28 2006-06-29 Intel Corporation System, method and device for secure wireless communication

Family Cites Families (65)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2948294B2 (ja) 1990-09-20 1999-09-13 松下電器産業株式会社 認証機能付き鍵配送システムにおける端末
WO2001031963A1 (en) 1999-10-29 2001-05-03 Telefonaktiebolaget L M Ericsson (Publ) Mobile terminal handover from a second generation network to a third generation ip-based network
US7068669B2 (en) 2001-04-20 2006-06-27 Qualcomm, Incorporated Method and apparatus for maintaining IP connectivity with a radio network
JP2002342271A (ja) * 2001-05-16 2002-11-29 Hitachi Software Eng Co Ltd ウェブアクセスにおける重複ログイン監視方法およびシステム
US7684798B2 (en) 2001-11-09 2010-03-23 Nokia Corporation Method of pre-authorizing handovers among access routers in communication networks
US7565537B2 (en) 2002-06-10 2009-07-21 Microsoft Corporation Secure key exchange with mutual authentication
US7370350B1 (en) * 2002-06-27 2008-05-06 Cisco Technology, Inc. Method and apparatus for re-authenticating computing devices
US7574599B1 (en) 2002-10-11 2009-08-11 Verizon Laboratories Inc. Robust authentication and key agreement protocol for next-generation wireless networks
JP3647433B2 (ja) * 2002-10-25 2005-05-11 松下電器産業株式会社 無線通信管理方法及び無線通信管理サーバ
US7395427B2 (en) 2003-01-10 2008-07-01 Walker Jesse R Authenticated key exchange based on pairwise master key
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
GB0315278D0 (en) 2003-06-30 2003-08-06 Nokia Corp A method for optimising handover between communication networks
US7409545B2 (en) 2003-09-18 2008-08-05 Sun Microsystems, Inc. Ephemeral decryption utilizing binding functions
US7646872B2 (en) 2004-04-02 2010-01-12 Research In Motion Limited Systems and methods to securely generate shared keys
GB2429381B (en) 2004-04-23 2007-11-14 Ericsson Telefon Ab L M AAA support for DHCP
JP2005354249A (ja) 2004-06-09 2005-12-22 Matsushita Electric Ind Co Ltd ネットワーク通信端末
WO2006032046A1 (en) 2004-09-15 2006-03-23 Nokia Corporation Apparatus, and an associated method, for facilitating fast transition in a network system
US7236477B2 (en) 2004-10-15 2007-06-26 Motorola, Inc. Method for performing authenticated handover in a wireless local area network
US7558866B2 (en) 2004-12-08 2009-07-07 Microsoft Corporation Method and system for securely provisioning a client device
KR100762644B1 (ko) 2004-12-14 2007-10-01 삼성전자주식회사 Wlan-umts 연동망 시스템과 이를 위한 인증 방법
US7555783B2 (en) 2005-01-21 2009-06-30 Cisco Technology, Inc. Wireless network credential provisioning
US7747865B2 (en) 2005-02-10 2010-06-29 International Business Machines Corporation Method and structure for challenge-response signatures and high-performance secure Diffie-Hellman protocols
EP1843508A1 (en) * 2005-03-04 2007-10-10 Matsushita Electric Industrial Co., Ltd. Key distribution control apparatus, radio base station apparatus, and communication system
US7624271B2 (en) 2005-03-24 2009-11-24 Intel Corporation Communications security
FR2885753A1 (fr) 2005-05-13 2006-11-17 France Telecom Procede de communication pour reseaux sans fil par trames de gestion comportant une signature electronique
KR101248906B1 (ko) * 2005-05-27 2013-03-28 삼성전자주식회사 무선 랜에서의 키 교환 방법
US7908482B2 (en) 2005-08-18 2011-03-15 Microsoft Corporation Key confirmed authenticated key exchange with derived ephemeral keys
US7835528B2 (en) 2005-09-26 2010-11-16 Nokia Corporation Method and apparatus for refreshing keys within a bootstrapping architecture
US7483409B2 (en) 2005-12-30 2009-01-27 Motorola, Inc. Wireless router assisted security handoff (WRASH) in a multi-hop wireless network
US7890745B2 (en) * 2006-01-11 2011-02-15 Intel Corporation Apparatus and method for protection of management frames
JP2009522828A (ja) 2006-04-04 2009-06-11 ノキア コーポレイション ブートストラッピングアーキテクチャ内でキーをリフレッシュするための方法および装置
JP4989117B2 (ja) * 2006-06-12 2012-08-01 キヤノン株式会社 通信装置およびその方法
US8578159B2 (en) * 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network
JP2008077217A (ja) * 2006-09-19 2008-04-03 Toshiba Corp 通信システムとその通信方法
US8204502B2 (en) 2006-09-22 2012-06-19 Kineto Wireless, Inc. Method and apparatus for user equipment registration
US9053063B2 (en) 2007-02-21 2015-06-09 At&T Intellectual Property I, Lp Method and apparatus for authenticating a communication device
JP2008236094A (ja) * 2007-03-16 2008-10-02 Ricoh Co Ltd 画像形成装置
US10091648B2 (en) * 2007-04-26 2018-10-02 Qualcomm Incorporated Method and apparatus for new key derivation upon handoff in wireless networks
CN101296081A (zh) 2007-04-29 2008-10-29 华为技术有限公司 认证、认证后分配ip地址的方法、系统、接入实体和装置
US8769611B2 (en) 2007-05-31 2014-07-01 Qualcomm Incorporated Methods and apparatus for providing PMIP key hierarchy in wireless communication networks
WO2008155508A1 (fr) 2007-06-14 2008-12-24 France Telecom Procede de distribution de cle d'authentification, terminal, serveur de mobilite et programmes d'ordinateurs correspondants
CN101442516B (zh) 2007-11-20 2012-04-25 华为技术有限公司 一种dhcp认证的方法、系统和装置
CN101588345A (zh) * 2008-05-23 2009-11-25 深圳华为通信技术有限公司 站与站之间信息发送、转发和接收方法、装置和通信系统
CN101599878A (zh) * 2008-06-06 2009-12-09 华为技术有限公司 重认证方法、系统及鉴权装置
WO2010023506A1 (en) 2008-08-26 2010-03-04 Nokia Corporation Methods, apparatuses, computer program products, and systems for providing secure pairing and association for wireless devices
CN100581171C (zh) * 2008-09-28 2010-01-13 西安西电捷通无线网络通信有限公司 一种适合超宽带网络的握手协议方法
US8881235B2 (en) 2008-12-15 2014-11-04 Koninklijke Kpn N.V. Service-based authentication to a network
WO2010083443A1 (en) 2009-01-15 2010-07-22 Starent Networks, Corp Gateway relocation in communication networks
US8966265B2 (en) * 2009-01-30 2015-02-24 Texas Instruments Incorporated Pairwise temporal key creation for secure networks
JP5293303B2 (ja) 2009-03-17 2013-09-18 セイコーエプソン株式会社 ネットワークシステム、無線通信装置、および無線通信方法
US8812833B2 (en) * 2009-06-24 2014-08-19 Marvell World Trade Ltd. Wireless multiband security
US8881305B2 (en) 2009-07-13 2014-11-04 Blackberry Limited Methods and apparatus for maintaining secure connections in a wireless communication network
CN101616412A (zh) * 2009-08-07 2009-12-30 杭州华三通信技术有限公司 无线局域网中管理帧的校验方法和设备
CN101695165A (zh) * 2009-09-01 2010-04-14 深圳华为通信技术有限公司 切换方法、装置和系统
CN102014361B (zh) 2009-09-07 2014-02-19 华为技术有限公司 一种认证授权计费会话更新方法、装置和系统
US20110113252A1 (en) 2009-11-06 2011-05-12 Mark Krischer Concierge registry authentication service
CN102082665B (zh) * 2009-11-30 2013-10-23 中国移动通信集团公司 一种eap认证中的标识认证方法、系统和设备
US8839372B2 (en) 2009-12-23 2014-09-16 Marvell World Trade Ltd. Station-to-station security associations in personal basic service sets
US8467532B2 (en) * 2010-01-04 2013-06-18 Tata Consultancy Services Limited System and method for secure transaction of data between a wireless communication device and a server
EP2913976B1 (en) 2011-04-28 2017-08-09 Interdigital Patent Holdings, Inc. Sso framework for multiple sso technologies
US9439067B2 (en) 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication
US8837741B2 (en) 2011-09-12 2014-09-16 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
US9143937B2 (en) 2011-09-12 2015-09-22 Qualcomm Incorporated Wireless communication using concurrent re-authentication and connection setup
US8594632B1 (en) * 2012-12-11 2013-11-26 Intel Corporation Device to-device (D2D) discovery without authenticating through cloud
JP2016182971A (ja) * 2015-03-26 2016-10-20 東洋製罐株式会社 底部に減圧吸収性能を有するポリエステル容器及びその製造方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060121883A1 (en) 2004-08-11 2006-06-08 Stefano Faccin Apparatus, and associated methods, for facilitating secure, make-before-break hand-off in a radio communication system
US20060143693A1 (en) 2004-12-28 2006-06-29 Intel Corporation System, method and device for secure wireless communication

Also Published As

Publication number Publication date
US9439067B2 (en) 2016-09-06
JP2016136724A (ja) 2016-07-28
WO2013040042A9 (en) 2013-06-27
US20140162606A1 (en) 2014-06-12
WO2013040042A1 (en) 2013-03-21
US9426648B2 (en) 2016-08-23
CN103797831A (zh) 2014-05-14
CN107071771B (zh) 2021-01-12
JP2016136723A (ja) 2016-07-28
KR101631269B1 (ko) 2016-06-17
EP2827630B1 (en) 2017-07-05
CN107071771A (zh) 2017-08-18
JP6293800B2 (ja) 2018-03-14
KR20160012246A (ko) 2016-02-02
ES2643290T3 (es) 2017-11-22
EP2756700B1 (en) 2019-02-20
KR101780290B1 (ko) 2017-09-21
KR20140066231A (ko) 2014-05-30
EP2827527A1 (en) 2015-01-21
CN107425961A (zh) 2017-12-01
HUE035780T2 (en) 2018-05-28
KR20160012245A (ko) 2016-02-02
US20140164763A1 (en) 2014-06-12
BR122015024135A2 (pt) 2019-08-27
US9226144B2 (en) 2015-12-29
US20130263223A1 (en) 2013-10-03
BR112014005631A2 (pt) 2017-03-28
IN2014CN01532A (ko) 2015-05-08
JP2017055407A (ja) 2017-03-16
EP2827630A1 (en) 2015-01-21
CN103797831B (zh) 2018-01-19
JP2014531812A (ja) 2014-11-27
EP2756700A1 (en) 2014-07-23
JP6382241B2 (ja) 2018-08-29
CN107425961B (zh) 2021-01-22
JP6262308B2 (ja) 2018-01-17
BR122015024143A2 (pt) 2019-08-27

Similar Documents

Publication Publication Date Title
KR101780252B1 (ko) 링크 셋업 및 인증을 수행하는 시스템들 및 방법
KR101648158B1 (ko) 동시적 재인증 및 접속 셋업을 이용하는 무선 통신
KR101490214B1 (ko) 공유된 일시적 키 데이터의 세트를 갖는 교환들을 인코딩하기 위한 시스템들 및 방법들
US10798082B2 (en) Network authentication triggering method and related device
US20130298209A1 (en) One round trip authentication using sngle sign-on systems
WO2009094942A1 (fr) Procédé et système de réseau de communication pour établir une conjonction de sécurité

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
A302 Request for accelerated examination
E701 Decision to grant or registration of patent right