TW202335522A - 用於無線網路的關聯保護 - Google Patents
用於無線網路的關聯保護 Download PDFInfo
- Publication number
- TW202335522A TW202335522A TW112103979A TW112103979A TW202335522A TW 202335522 A TW202335522 A TW 202335522A TW 112103979 A TW112103979 A TW 112103979A TW 112103979 A TW112103979 A TW 112103979A TW 202335522 A TW202335522 A TW 202335522A
- Authority
- TW
- Taiwan
- Prior art keywords
- keys
- akm
- key
- request
- pasn
- Prior art date
Links
- 238000000034 method Methods 0.000 claims abstract description 161
- 238000004891 communication Methods 0.000 claims abstract description 61
- 230000004044 response Effects 0.000 claims abstract description 46
- 230000005540 biological transmission Effects 0.000 claims abstract description 35
- 230000006870 function Effects 0.000 claims description 37
- 230000008569 process Effects 0.000 claims description 36
- 230000001052 transient effect Effects 0.000 claims description 21
- 230000001360 synchronised effect Effects 0.000 claims description 4
- 230000007704 transition Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 description 34
- 238000005516 engineering process Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 239000011159 matrix material Substances 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000000926 separation method Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 239000000969 carrier Substances 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000003321 amplification Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005314 correlation function Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000003595 spectral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
Abstract
本案的某些態樣涉及無線通訊。根據某些態樣,一種可以由存取點(AP)執行的方法包括:輸出用於與存取點(AP)進行關聯的請求以傳輸到AP,其中請求是利用第一組一或多個密鑰加密的;從AP獲得對請求的回應;基於第一組密鑰來解密回應,以獲得第二組一或多個密鑰;及使用第二組密鑰與AP進行安全資料交換。
Description
本專利申請案主張於2022年2月18日提出申請的美國專利申請第17/676,081號的優先權,該美國專利申請被轉讓給本案的受讓人,並經由引用明確地以其整體併入本文,如同下文中完全闡述的一樣並用於所有適用的目的。
本案的某些態樣大體而言係關於無線通訊,並且更特定言之係關於保護無線網路中的關聯訊息。
無線通訊系統被廣泛部署以提供各種通訊服務,例如,語音、視訊、封包資料、訊息傳遞、廣播等。該等無線網路可以是能夠藉由共享可用的網路資源來支援多個使用者的多工網路。此種多工網路的實例包括分碼多工存取(CDMA)網路、分時多工存取(TDMA)網路、分頻多工存取(FDMA)網路、正交FDMA(OFDMA)網路和單載波FDMA(SC-FDMA)網路。
為了解決無線通訊系統所要求的增加的頻寬要求的問題,正在開發不同的方案,以允許多個使用者終端藉由共享通道資源與單個存取點通訊,同時實現高資料傳輸量。多輸入多輸出(MIMO)技術表示一種此種方法,其已經作為用於通訊系統的流行技術出現。MIMO技術已經在若干無線通訊標準(例如,電機電子工程師協會(IEEE)802.11標準)中採用。IEEE 802.11表示由IEEE 802.11委員會針對短距離通訊(例如,幾十米到幾百米)開發的一組無線區域網路(WLAN)空中介面標準。
本案的系統、方法和設備中的每一個皆具有若干創新態樣,其中沒有單個態樣單獨負責本文揭示的期望屬性。
本案的某些態樣提供了一種用於在站處進行無線通訊的方法。該方法通常包括:輸出用於與存取點(AP)進行關聯的請求以傳輸到AP,其中該請求是利用第一組一或多個密鑰加密的;從AP獲得對請求的回應;基於第一組密鑰來解密回應,以獲得第二組一或多個密鑰;及使用第二組密鑰與AP進行安全資料交換。
本案的某些態樣提供了一種用於在站處進行無線通訊的方法。該方法通常包括:經由與存取點(AP)的密鑰交換來建立第一組一或多個密鑰;及使用第一組密鑰來處理以下各項中的至少一個:作為預關聯安全關聯(PASN)程序的一部分傳輸到站的認證訊息輸出,或作為PASN程序的一部分從站獲得的認證訊息。
本案的某些態樣提供了一種用於在站處進行無線通訊的方法。該方法通常包括:經由與存取點(AP)的密鑰交換來建立第一組一或多個密鑰;及使用第一組密鑰來處理以下各項中的至少一個:作為預關聯安全關聯(PASN)程序的一部分傳輸到AP的認證訊息輸出,或作為PASN程序的一部分從AP獲得的認證訊息。
本案的某些態樣提供了一種用於在存取點(AP)處進行無線通訊的方法。該方法通常包括:經由與站的密鑰交換來建立第一組一或多個密鑰;及使用第一組密鑰來處理以下各項中的至少一個:作為預關聯安全關聯(PASN)程序的一部分從站獲得的認證訊息,或作為PASN程序的一部分傳輸到站的認證訊息輸出。
為了實現前述和相關目的,一或多個態樣包括以下在請求項中充分描述和特別指出的特徵。下文的描述和附圖詳細闡述了一或多個態樣的某些說明性特徵。然而,該等特徵只是指示了其中可以採用各種態樣的原理的各種方式中的幾種方式。
本案的態樣提供了用於在存取無線網路(例如,802.11網路)時保護在某些程序中發送的訊息的裝置、方法、處理系統和電腦可讀取媒體。例如,本文提供的機制可以幫助保護被包括在認證訊息、關聯訊息和重新關聯訊息中的資訊。
在無線網路中,認證通常是無線設備(例如,站)在存取(附接到)無線網路時執行的第一步驟。在典型的認證過程中,站利用存取點(AP)或其他網路實體(例如,無線路由器)建立其身份。典型地,在該階段沒有可用的資料加密或安全性。
一旦認證完成,站就可以與AP關聯(或登錄)以獲得對網路的完全存取。關聯通常允許AP記錄每個站,以幫助確保訊框被適當地遞送。在典型的關聯過程中,站向AP發送關聯請求(在認證之後)。隨後,AP處理該關聯請求,例如,應用一或多個標準來決定是否應該允許站請求。若AP允許該請求,則發送回應,從而為該站指派關聯ID(AID),該AID用於識別用於遞送訊框的站。
在一些情況下,在相同的網路內從一個AP移動到另一AP的站可以執行重新關聯過程。在重新關聯中,AP可以協調以將訊框遞送到站/從站遞送訊框,並且重新關聯過程向網路通知其新位置。與關聯過程一樣,重新關聯過程亦涉及發送請求和回應。
一般的關聯和重新關聯過程的一個潛在問題是,在請求和回應中包括的一些元素可能是以明文(未加密)發送的。這可能表示顯著的弱點,若該等訊息中的未經加密的資料導致洩露的隱私資訊,則潛在地導致有害後果。一個示例性場景是,某些設備可能具有功能的某些組合,該等功能的組合可在未經加密的請求及/或回應中偵測到,這可能對惡意參與者是有用的。例如,此種參與者可以使用指紋辨識,指紋辨識通常代表經由設備的無線訊務提取一些外部可觀察的特性的設備的辨識。在基於指紋辨識能力辨識設備(或設備的類型)之後,參與者能夠收集其他資訊(例如,使用者、其目的等)。
本案的態樣提出了用於保護此類資訊免受指紋辨識的各種機制。例如,本案的態樣提出了加密(重新)關聯請求或回應以便隱藏其中包含的資訊。因此,此類技術可能有助於消除(重新關聯)訊息對於指紋辨識的弱點,並可能有助於避免潛在的嚴重後果。
無線通訊系統綜述
以下參考附圖更全面地描述本案的各種態樣。然而,本案可以以許多不同的形式實現,並且不應被解釋為限於貫穿本案呈現的任何特定結構或功能。而是,提供該等態樣使得本案將是徹底和完整的,並且將向本領域技藝人士充分傳達本案的範圍。基於本文的教示,本領域技藝人士應當瞭解,本案的範圍意欲覆蓋本文揭示的揭示內容的任何態樣,無論是獨立於本案的任何其他態樣實現還是與本案的任何其他態樣組合實現。例如,可以使用本文闡述的任何數量的態樣來實現裝置或實踐方法。此外,本案的範圍意欲覆蓋使用其他結構、功能或者除了或不同於本文闡述的揭示內容的各種態樣的結構和功能來實踐的裝置或方法。應當理解,本文揭示的揭示內容的任何態樣可以經由請求項的一或多個元素來實現。
詞語「示例性」在本文用於表示「用作示例、實例或說明」。本文描述為「示例性」的任何態樣不一定被解釋為與其他態樣相比是優選或有利的。
儘管本文描述了特定態樣,但該等態樣的許多變化和排列落入本案的範圍內。儘管提到了優選態樣的一些益處和優點,但本案的範圍並不意欲限於特定的益處、用途或目標。而是,本案的態樣意欲寬泛地適用於不同的無線技術、系統組態、網路和傳輸協定,其中的一些經由實例的方式在附圖和以下優選態樣的描述中示出。詳細描述和附圖僅僅是對本案的說明而不是限制,本案內容的範圍由所附請求項及其均等物限定。
本文描述的技術可以用於各種寬頻無線通訊系統,包括基於正交多工方案的通訊系統。此種通訊系統的實例包括分空間多工存取(SDMA)、分時多工存取(TDMA)、正交分頻多工存取(OFDMA)系統、單載波分頻多工存取(SC-FDMA)系統等。SDMA系統可以利用足夠不同的方向來同時發送屬於多個使用者終端的資料。TDMA系統可以藉由將傳輸信號劃分到不同的時槽中來允許多個使用者終端共享相同的頻率通道,每個時槽被指派給不同的使用者終端。OFDMA系統利用正交分頻多工(OFDM),OFDM是一種將整體系統頻寬劃分為多個正交次載波的調制技術。該等次載波亦可以稱為音調、頻段(bin)等。利用OFDM,每個次載波可以利用資料獨立調制。SC-FDMA系統可以利用交錯FDMA(IFDMA)以在跨系統頻寬分佈的次載波上進行傳輸、利用局部FDMA(LFDMA)以在相鄰次載波的區塊上進行傳輸,或者利用增強FDMA(EFDMA)以在相鄰次載波的多個區塊上進行傳輸。通常,調制符號在頻域中利用OFDM發送,並且在時域中利用SC-FDMA發送。
本文的教示可以併入各種有線或無線裝置(例如,節點)中(例如,在其內實現或由其執行)。在一些態樣中,根據本文的教示實現的無線節點可以包括存取點或存取終端。
存取點(「AP」)可以包括、實現為或稱為節點B、無線電網路控制器(「RNC」)、進化節點B(eNB)、基地台控制器(「BSC」)、收發機基地台(「BTS」)、基地台(「BS」)、收發機功能(「TF」)、無線電路由器、無線電收發機、基本服務集(「BSS」)、擴展服務集(「ESS」)、無線電基地台(「RBS」)或某種其他術語。
存取終端(「AT」)可以包括、實現為或稱為用戶站、用戶單元、行動站(MS)、遠端站、遠端終端機、使用者終端(UT)、使用者代理、使用者設備、使用者裝備(UE)、使用者站或某種其他術語。在一些實現方式中,存取終端可以包括蜂巢式電話、無線電話、通信期啟動協定(「SIP」)電話、無線區域迴路(「WLL」)站、個人數位助理(「PDA」)、具有無線連接能力的手持設備、站(「STA」)或連接到無線數據機的某種其他合適的處理設備。因此,本文所教示的一或多個態樣可以併入電話(例如,蜂巢式電話或智慧型電話)、電腦(例如,膝上型電腦)、平板電腦、可攜式通訊設備、可攜式計算設備(例如,個人資料助理)、娛樂設備(例如,音樂或視訊設備或衛星無線電)、全球定位系統(GPS)設備,或被配置為經由無線或有線媒體進行通訊的任何其他合適的設備中。在一些態樣中,節點是無線節點。此種無線節點可以經由有線或無線通訊鏈路提供例如用於網路(例如,諸如網際網路或蜂巢網路之類的廣域網路)或到網路的連通性。
示例性無線通訊系統
圖1是示出根據本案的某些態樣的示例性無線通訊系統100的圖。系統100可以是多輸入多輸出(MIMO)/多鏈路操作(MLO)系統100。如圖1所示,存取點(AP)110包括關聯管理器112,該關聯管理器112可以被配置為採取本文描述的一或多個動作。無線站(STA)120a包括關聯管理器122,該關聯管理器122可以被配置為採取本文描述的一或多個動作。在態樣中,AP 110和無線站120a可以是MLD,如本文關於圖3進一步描述的。
為了簡單起見,圖1中僅圖示一個AP 110。AP通常是與無線STA通訊的固定站,並且亦可以被稱為基地台(BS)或某種其他術語。無線STA可以是固定的或行動的,並且亦可以被稱為行動STA、無線設備或某種其他術語。AP 110可以在下行鏈路(DL)及/或上行鏈路(UL)上的任何給定時刻與一或多個無線STA 120通訊。DL(亦即,前向鏈路)是從AP 110到無線STA 120的通訊鏈路,並且UL(亦即,反向鏈路)是從無線STA 120到AP 110的通訊鏈路。無線STA 120亦可以例如經由直接鏈路(例如,隧道式直接鏈路設置(TDLS))與另一無線STA 120進行同級間通訊。系統控制器130可以與存取點通訊,並為存取點提供協調和控制。
儘管以下揭示內容的部分將描述能夠經由分空間多工存取(SDMA)進行通訊的無線STA 120,但對於某些態樣,無線STA 120亦可以包括不支援SDMA的一些無線STA 120。因此,對於該等態樣,AP 110可以被配置為與SDMA和非SDMA無線STA 120通訊。該方法可以方便地允許較舊版本的無線STA 120(「舊有」站)維持部署在企業中,從而延長其使用壽命,同時允許在認為合適的情況下引入較新的SDMA無線STA 120。
系統100採用多個發射天線和多個接收天線用於DL和UL上的資料傳輸。AP 110被配備有
N
ap 個天線,並且表示用於DL傳輸的多輸入(MI)和用於UL傳輸的多輸出(MO)。一組
K個所選擇的無線站120共同表示用於DL傳輸的多輸出和用於UL傳輸的多輸入。對於純SDMA,若用於
K個無線STA的資料符號串流經由某種手段在代碼、頻率或時間上沒有被多工,則希望
N
ap ≧
K≧1。若資料符號串流可以使用TDMA技術、CDMA的不同碼通道、OFDM的次頻帶不相交集等進行多工處理,則
K可以大於
N
ap 。每個所選擇的無線STA向存取點發送使用者特定的資料及/或從存取點接收使用者特定的資料。通常,每個所選擇的無線STA可以配備有一個或多個天線(亦即,
N
sta ≧1)。
K個所選擇的無線STA可以具有相同或不同數量的天線。
系統100可以是分時雙工(TDD)系統或分頻雙工(FDD)系統。對於TDD系統,DL和UL共享相同的頻帶。對於FDD系統,DL和UL使用不同的頻帶。系統100亦可以利用單個載波或多個載波進行傳輸。每個無線STA可以配備有單個天線或多個天線。若無線STA 120藉由將發送/接收劃分到不同的時槽(每個時槽被指派給不同的無線STA 120)中來共享相同的頻率通道,則系統100亦可以是TDMA系統。
圖2圖示根據本案的某些態樣的MIMO/MLO系統(例如,系統100)中的AP 110和兩個無線STA 120m和120x的方塊圖。在某些態樣中,AP 110及/或無線STA 120m和120x可以執行各種技術以確保非AP MLD能夠接收群組定址訊框。例如,AP 110及/或無線STA 120m和120x可以包括相應的關聯管理器,如本文關於圖1所描述的。
AP 110配備有
N
ap 個天線224a至224t。無線STA 120m配備有
N
sta,m 個天線252ma至252mu,並且無線STA 120x配備有
N
sta,x 個天線252xa至252xu。AP 110是用於DL的發送實體和用於UL的接收實體。每個無線STA 120是用於UL的發送實體和用於DL的接收實體。如本文所使用的,「發送實體」是能夠經由無線通道發送資料的獨立操作的裝置或設備,而「接收實體」是能夠經由無線通道接收資料的獨立操作的裝置或設備。術語「通訊」通常代表發送、接收或兩者。在下文的描述中,下標「DL」表示下行鏈路,而下標「UL」表示上行鏈路,選擇
N
UL 個無線STA用於在上行鏈路上的同時進行傳輸,選擇
N
DL 個無線STA用於在下行鏈路上同時進行傳輸,
N
UL 可以等於亦可以不等於
N
DL ,並且
N
UL 和
N
DL 可以是靜態值或者可以針對每個排程間隔改變。可以在存取點和無線站處使用波束轉向或某種其他空間處理技術。
在UL上,在被選擇用於UL傳輸的每個無線STA 120處,發送(TX)資料處理器288從資料來源286接收訊務資料和從控制器280接收控制資料。TX資料處理器288基於與針對無線STA選擇的速率相關聯的解碼和調制方案來處理(例如,編碼、交錯和調制)用於無線站的訊務資料,並提供資料符號串流。TX空間處理器290對資料符號串流執行空間處理,並為
N
sta,m 個天線提供
N
sta,m 個發射符號串流。每個收發機(TMTR)254接收並處理(例如,類比轉換、放大、濾波和升頻轉換)相應的發射符號串流以產生上行鏈路信號。
N
sta,m 個收發機254提供
N
sta,m 個UL信號,以從
N
sta,m 個天線252傳輸到AP 110。
N
UL 個無線STA可以被排程用於在上行鏈路上同時傳輸。該等無線STA中的每一個對其資料符號串流執行空間處理,並將其發射符號串流的集合在UL上發送到AP 110。
在AP 110處,
N
ap 個天線224a至224ap從所有
N
UL 個無線STA接收在UL上發送的UL信號。每個天線224向相應的收發機(RCVR)222提供接收到的信號。每個收發機222執行與收發機254執行的處理互補的處理,並提供接收到的符號串流。接收(RX)空間處理器240對來自
N
ap 個收發機222的
N
ap 個接收到的符號串流執行接收器空間處理,並提供
N
UL 個恢復的UL資料符號串流。根據通道相關矩陣求逆(CCMI)、最小均方誤差(MMSE)、軟干擾消除(SIC)或某種其他技術來執行接收器空間處理。每個恢復的UL資料符號串流是由相應的無線站發送的資料符號串流的估計。RX資料處理器242根據用於每個恢復的上行鏈路資料符號串流的速率來處理(例如,解調、解交錯和解碼)該串流以獲得經解碼的資料。用於每個無線STA的經解碼的資料可以被提供給資料槽244用於儲存及/或提供給控制器230用於進一步處理。
在DL上,在AP 110處,TX資料處理器210從資料來源208接收針對被排程用於下行鏈路傳輸的
N
DL 個無線站的訊務資料、從控制器230接收控制資料、以及可能從排程器234接收其他資料。可以在不同的傳輸通道上發送各種類型的資料。TX資料處理器210基於針對每個無線站選擇的速率來處理(例如,編碼、交錯和調制)用於該無線站的訊務資料。TX資料處理器210為
N
DL 個無線站提供
N
DL 個DL資料符號串流。TX空間處理器220對
N
DL 個DL資料符號串流執行空間處理(例如,預編碼或波束成形,如本案所描述的),並為
N
ap 個天線提供
N
ap 個發射符號串流。每個收發機222接收並處理相應的發射符號串流以產生DL信號。
N
ap 個收發機222提供
N
ap 個DL信號以從
N
ap 個天線224傳輸到無線STA。
在每個無線STA 120處,
N
sta,m 個天線252從存取點110接收
N
ap 個DL信號。每個收發機254處理來自相關聯的天線252的接收到的信號並提供接收符號串流。RX空間處理器260對來自
N
sta,m 個收發機254的
N
sta,m 個接收符號串流執行接收器空間處理,並為無線站提供恢復的DL資料符號串流。根據CCMI、MMSE或某種其他技術來執行接收器空間處理。RX資料處理器270處理(例如,解調、解交錯和解碼)恢復的DL資料符號串流以獲得用於無線站的解碼資料。
在每個無線STA 120處,通道估計器278估計DL通道回應並提供DL通道估計,該DL通道估計可以包括通道增益估計、SNR估計、雜訊方差等。類似地,通道估計器228估計UL通道回應並提供UL通道估計。用於每個無線STA的控制器280典型地基於針對無線站的下行鏈路通道回應矩陣
H
dn,m 來匯出針對該無線站的空間濾波器矩陣。控制器230基於有效UL通道回應矩陣
H
up,eff 來匯出針對AP的空間濾波器矩陣。用於每個無線STA的控制器280可以向AP發送回饋資訊(例如,下行鏈路及/或上行鏈路特徵向量、特徵值、SNR估計等)。控制器230和280亦分別控制AP 110和無線STA 120處的各種處理單元的操作。
圖3圖示根據本案的某些態樣的可以在系統100內採用的無線設備302中可以利用的各種元件。無線設備302是可以被配置為實現本文描述的各種方法的設備的實例。無線設備302可以是AP 110或使用者終端。
無線設備302可以包括控制無線設備302的操作的處理器304。處理器304亦可以稱為中央處理單元(CPU)。記憶體306(可以包括唯讀記憶體(ROM)和隨機存取記憶體(RAM)兩者)向處理器304提供指令和資料。記憶體306的一部分亦可以包括非揮發性隨機存取記憶體(NVRAM)。處理器304典型地基於儲存在記憶體306內的程式指令來執行邏輯和算術操作。記憶體306中的指令可以是可執行的以實現本文描述的方法。
無線設備302亦可以包括殼體308,該殼體308可以包括發射器310和接收器312,以允許在無線設備302與遠端位置之間發送和接收資料。發射器310和接收器312可以組合為收發機314。單個或複數個發射天線316可以附接到殼體308並電耦合到收發機314。無線設備302亦可以包括(未圖示)多個發射器、多個接收器和多個收發機。
無線設備302亦可以包括信號偵測器318,該信號偵測器318可以用於試圖偵測和量化由收發機314接收到的信號的位準。信號偵測器318可以偵測諸如總能量、每符號每次載波能量、功率譜密度和其他信號之類的信號。無線設備302亦可以包括用於處理信號的數位訊號處理器(DSP)320。
無線設備302的各種元件可以經由匯流排系統322耦合在一起,除了資料匯流排之外,匯流排系統322亦可以包括功率匯流排、控制信號匯流排和狀態信號匯流排。
本案的某些態樣針對用於實現多鏈路通訊的裝置和技術。例如,某些態樣提供了用於經由MLD管理跨多個鏈路的資料流的技術。可以為無線設備實現多個頻帶。例如,無線設備能夠支援2.4 GHz頻帶、5 GHz頻帶或6 GHz頻帶中的至少一個,並在分佈在該等頻帶上的多於一個鏈路上操作。利用多鏈路通訊,資料流可以跨多個無線鏈路傳輸,該等無線鏈路可以與不同的頻帶相關聯。
用於保護(重新關聯)傳輸的示例性機制
本案的態樣可以利用被稱為預關聯安全協商(PASN)的特定機制來產生用於加密(重新)關聯回應或請求訊息的一組密鑰。如下文將更詳細描述的,除了或作為加密(重新)關聯訊息的替代方案,可以加密PASN訊息的部分。
顧名思義,PASN通常代表一種協定,其可以用於建立安全關聯,並允許在關聯之前對無線訊框進行某種程度的保護。PASN可以在非關聯狀態下提供認證、密鑰管理、加密和訊息完整性。
圖4圖示示例性PASN撥叫流程。如所示的,PASN可以使用3訊息認證訊框交換來建立(設置)成對暫態密鑰安全關聯(PTKSA)。例如,在偵測到由AP發送的信標(指示AP支援PASN)之後,可以由站(STA)啟動PASN程序。PASN可以基於基本認證和密鑰管理(基本AKM)功能來賦能訊息的隧穿。若對於基本AKM中指定的AKM存在成對主密鑰安全關聯PMKSA,則這可能相當於穩健的安全網路關聯(RSNA)認證協定。或者,當沒有PMKSA和與其使用的對應的基本AKM時,這可能相當於非RSNA協定。
若存在PMKSA,則緩存的PMKSA可以用於產生PASN PTKSA。否則,由基本AKM中指定的AKM建立的PMKSA可以用於產生PASN PTKSA。基本AKM可以是以下各項中的一個(例如,如802.11az中指定的):
快速初始鏈路設置(FILS)共享密鑰;
對等同步認證(SAE);
快速轉換(FT);或者
PASN(非RSNA,沒有相互認證)。
如圖4所示,成功的PASN交換可能導致使用臨時密鑰和來自基礎AKM的PMK(若有的話)建立PTKSA。若AKM不是PASN AKM,則:
PMK = 基本AKM的成對主密鑰
若基本AKM是PASN AKM(亦即,PASN PTKSA是在非RSN中沒有相互認證的情況下設置的),則:
PMK = 「PMKz」,填充28個0。
密鑰確認密鑰(KCK)可以用於保護第二和第三PASN訊框(產生訊息完整性檢查(MIC))。暫態密鑰(TK)可以用於後續單播訊息的成對密碼。KDK可以用於保護訊框的長訓練欄位(LTF)。
用於保護(重新關聯)傳輸的示例性機制
本案的態樣提供了用於保護在某些程序中傳輸的各種類型的訊息的裝置、方法、處理系統和電腦可讀取媒體。例如,本文提供的機制可以幫助保護被包括在認證訊息、關聯訊息和重新關聯訊息中的資訊。
如上文所指出的,一般的關聯和重新關聯過程的一個潛在問題是,在請求和回應中包括的一些元素可能是未加密發送的,這可能表示顯著的弱點。若該等訊息中的未經加密的資料導致洩露的隱私資訊,該弱點可能則潛在地導致有害後果。本案的態樣可能有助於解決該弱點。例如,藉由加密在各種請求、回應或認證訊息中的資料,可以防止惡意參與者進行指紋辨識,從而防止可能的攻擊。如下文將更詳細描述的,該技術可以使用任何適當的密鑰來利用任何適當類型的加密方案(例如,對稱式密鑰密碼編譯)。
如圖5所示,在一些情況下,可以支援可以被認為是擴展PASN程序的內容,並將其用於產生用於加密關聯或重新關聯請求和回應訊息(在本文統稱為(重新)關聯訊息)的一組(TK)密鑰。
如所示的,AP可以經由信標來廣告對此種擴展PASN的支援。在探索此種支援之後,STA就可以藉由發送認證訊息(該訊息亦可以指示STA支援擴展PASN)來啟動擴展PASN程序。隨後,AP可以利用其自己的認證訊息來進行回應,在此之後,STA可以產生一組密鑰(例如,PTK和KEK密鑰)。隨後,AP可以發送另一認證訊息,該認證訊息相當於三路交握訊息中的第三交握訊息,在此之後,AP和STA在(PTK和KEK)密鑰上同步。
如所示的,STA隨後可以使用該等密鑰來加密(重新)關聯訊息,由此保護其中包含的元素。類似地,AP可以使用密鑰來加密遞送第二組密鑰的(重新)關聯回應。該第二組密鑰可以包括群組暫態密鑰(GTK)、完整性群組暫態密鑰(IGTK)及/或信標完整性群組暫態密鑰(BIGTK),其可以用於STA與AP之間的安全的後續資料交換。
以此種方式,PASN可以被擴展為產生用於加密(重新)關聯請求和回應訊息的TK。此種擴展PASN可以高效地代替4路交握的一般的密鑰匯出功能。PASN可以具有有限的一組允許參數。因此,每個設備看起來可能相對相似,這有助於避免對元素的指紋辨識。
在一些情況下,協商(經由擴展PASN)程序可能涉及在加密(重新)關聯請求和回應訊息期間的穩健安全網路元素(RSNE)或擴展RSNE(XRSNE)。如上文所描述的,經加密的(重新)關聯回應可以遞送(GTK/IGKT/BIGTK)密鑰,而根據用於關聯的擴展PASN產生的PTKSA用於加密。
本文提出的方法的一個潛在益處是可以支援不同的AKM。這可能有助於在完成與所有AKM的關聯時實現相對正常的資料連通性。此種方法可能有助於解決一些相對罕見(「臨界」)的情況(重傳4路交握訊息),並可以提供對「實際」認證和關聯功能的相對清楚的分離。
圖6A和圖6B圖示可以支援的示例性AKM。如圖6A所示,支援的AKMS可以包括基於成對主密鑰安全關聯(PMKSA)的AKM、基於對等同步認證(SAE)的AKM、基於快速初始鏈路設置(FILS)的AKM和基於快速轉換(FT)的AKM。
如圖6B所示,支援的AKM亦可以包括基於機會性無線加密(OWE)的AKM、基於可擴展認證協定(EAP)的AKM和基於預共享密鑰(PSK)的AKM。在基於EAP的AKM的情況下,EAP可以在認證訊框中使用以匯出PMKSA和PASN(PMKSA),其可用於加密(重新)關聯請求和回應訊息,其中的後者可以用於遞送密鑰(GTK/IGTK/BIGTK)。這可以使用新的認證訊框演算法並封裝EAPOL訊框的有效負荷(目前僅用作資料訊框)。存在用於在關聯期間進行重新認證和密鑰更新的各種選項(例如,是將EAPOL訊框用作資料訊框還是認證訊框)。使用認證訊框可能更清楚,並可能有助於避免4路交握的某些同步問題,但可能不允許加密EAP重新認證交換。
在一些情況下,可以使用計數器模式CBC-MAC協定(CCMP)或Galois/計數器模式協定(GCMP)來加密(重新)關聯訊息,因為其可以與受保護的管理訊框(PMF)一起使用,但亦可以使用TK。如上文所描述的,GTK/IGTK/BIGTK可以作為經加密的(重新)關聯回應內部的IE遞送。若在多鏈路操作(MLO)模式下操作,則基本服務集ID(BSSID)可以用具有非AP多鏈路設備(MLD)MAC位址的AP MLD MAC位址替換。
在一些情況下,擴展PASN程序可以使用新的認證演算法來與當前的PASN區分。例如,可以在PASN密鑰產生中添加KEK,以允許移動到完全關聯,而不必進行新的4路交握來匯出完整的PTK。在一些情況下,擴展的PASN匯出的PTKSA可能被允許用作針對RSNA的關聯PTKSA。
如圖7所示,在一些情況下,與使用(擴展的)PASN來產生用於加密(重新)關聯訊息的密鑰相反,而是使用可擴展認證協定(EAP)訊息序列來產生密鑰。例如,該序列可以是一般的EAP訊息序列,例如,使用802.11開放認證請求和回應訊框以及關聯請求和回應訊框。在一些情況下,該EAP訊框交換(資料訊框)可以用於產生PMK,而4路交握(資料訊框)可以用於產生PTK。STA可以使用密鑰來加密(重新)關聯請求,而AP可以使用密鑰來加密(重新)關聯回應。
如圖8所示,PASN認證訊息的某些有效負荷可以被加密。例如,除了圖4所示的3路訊息交換之外,亦可以交換兩個附加訊息(以交換STA公用密鑰和AP公用密鑰)。此種5路訊息交換可以允許對(一般的3路)認證訊息的部分進行加密,這可以增加安全性。例如,公用密鑰交換(例如,Diffie Hellman密鑰交換)可以允許產生用於加密以下各項中的一或多個的密鑰:作為有效負荷被包括在認證訊息中的穩健安全網路元素(RSNE)或擴展RSNE(XRSNE)。另外地或作為替代方案,密鑰用於加密作為有效負荷被包括在認證訊息中的基本認證和密鑰管理(AKM)資料。
示例性操作
圖9是示出根據本案的某些態樣的用於無線通訊的示例性操作900的流程圖。操作900可以例如由諸如無線站(STA)之類的無線節點執行。
操作900在905處開始,輸出用於與存取點(AP)進行關聯的請求以傳輸到AP,其中請求是利用第一組一或多個密鑰加密的。在910處,STA從AP獲得對請求的回應。在915處,STA基於第一組密鑰來解密回應,以獲得第二組一或多個密鑰。在920處,STA使用第二組密鑰與AP進行安全資料交換。
圖10是示出根據本案的某些態樣的用於無線通訊的示例性操作1000的流程圖。操作1000可以例如由諸如存取點(AP)之類的無線節點執行。
操作1000在1005處開始,從站獲得用於與AP進行關聯的請求,其中請求是利用第一組一或多個密鑰加密的。在1010處,AP基於第一組密鑰來解密請求。在1015處,AP輸出對請求的回應以傳輸到站,其中回應是利用第一組密鑰加密的並且包括第二組一或多個密鑰。在1020處,AP使用第二組密鑰與站進行安全資料交換。
圖11是示出根據本案的某些態樣的用於無線通訊的示例性操作1100的流程圖。操作1100可以例如由諸如無線站(STA)之類的無線節點執行。
操作1100在1105處開始,經由與存取點(AP)的密鑰交換來建立第一組一或多個密鑰。在1110處,STA使用第一組密鑰來處理以下各項中的至少一個:作為預關聯安全關聯(PASN)程序的一部分傳輸到AP的認證訊息輸出,或作為PASN程序的一部分從AP獲得的認證訊息。
圖12是示出根據本案的某些態樣的用於無線通訊的示例性操作1200的流程圖。操作1200可以例如由諸如存取點(AP)之類的無線節點執行。
操作1200在1205處開始,經由與站的密鑰交換來建立第一組一或多個密鑰。在1210處,AP使用第一組密鑰來處理以下各項中的至少一個:作為預關聯安全關聯(PASN)程序的一部分從站獲得的認證訊息,或作為PASN程序的一部分傳輸到站的認證訊息輸出。
上述方法的各種操作可以經由能夠執行對應功能的任何合適的構件來執行。該等構件可以包括各種硬體或軟體元件或模組,包括但不限於電路、特殊應用積體電路(ASIC)或處理器。通常,在存在圖中所示的操作的情況下,該等操作可以具有相應的具有類似編號的對應構件加功能元件。
示例性設備
圖13圖示通訊設備1300,該通訊設備1300可以包括各種元件(例如,對應於構件加功能元件),該等元件可操作、被配置或適於執行用於本文所揭示的技術的操作,例如,圖9-圖10所示的操作。
通訊設備1300包括耦合到收發機1308(例如,發射器或接收器)的處理系統1302。收發機1308被配置為經由天線1310發送和接收用於通訊設備1300的信號,例如,本文描述的各種信號。處理系統1302可以被配置為執行用於通訊設備1300的處理功能,包括處理由通訊設備1300接收的信號或要由通訊設備1300發送的信號。
處理系統1302包括經由匯流排1306耦合到電腦可讀取媒體/記憶體1312的處理器1304。在某些態樣中,電腦可讀取媒體/記憶體1312被配置為儲存指令(例如,電腦可執行代碼),該等指令當由處理器1304執行時,使處理器1304執行圖9-圖10所示的操作,或用於執行本文論述的各種技術的其他操作。
在某些態樣中,電腦可讀取媒體/記憶體1312儲存用於輸出的代碼1314(例如,用於輸出的構件的實例)、用於獲得的代碼1316(例如,用於獲得的構件的實例)、用於解密的代碼1318(例如,用於解密的構件的實例)和用於使用的代碼1320(例如,用於使用的構件的實例)。
在某些態樣中,處理器1304具有被配置為實現儲存在電腦可讀取媒體/記憶體1312中的代碼的電路系統。處理器1304包括用於輸出的電路系統1324(例如,用於輸出的構件的實例)、用於獲得的電路系統1326(例如,用於獲得的構件的實例)、用於解密的代碼1328(例如,用於解密的構件的實例)和用於使用的電路系統1330(例如,用於使用的構件的實例)。
收發機1308可以提供用於接收諸如封包、使用者資料或與各種資訊通道(例如,控制通道、資料通道等)相關聯的控制資訊之類的資訊的構件。資訊可以被傳遞到設備1300的其他元件。收發機1308可以是參考圖2所描述的收發機254的態樣的實例。天線1310可以對應於單個天線或一組天線。收發機1308可以提供用於發送由設備1300的其他元件產生的信號的構件。
圖14圖示通訊設備1400,該通訊設備1400可以包括各種元件(例如,對應於構件加功能元件),該等元件可操作、被配置或適於執行用於本文所揭示的技術的操作,例如,圖11-圖12所示的操作。
通訊設備1400包括耦合到收發機1408(例如,發射器或接收器)的處理系統1402。收發機1408被配置為經由天線1410發送和接收用於通訊設備1400的信號,例如,本文所描述的各種信號。處理系統1402可以被配置為執行用於通訊設備1400的處理功能,包括處理由通訊設備1400接收的信號或要由通訊設備1400發送的信號。
處理系統1402包括經由匯流排1406耦合到電腦可讀取媒體/記憶體1412的處理器1404。在某些態樣中,電腦可讀取媒體/記憶體1412被配置為儲存指令(例如,電腦可執行代碼),該等指令當由處理器1404執行時,使處理器1404執行圖11-圖12所示的操作,或用於執行本文論述的各種技術的其他操作。
在某些態樣中,電腦可讀取媒體/記憶體1412儲存用於使用的代碼1414(例如,用於使用的構件的實例)和用於建立的代碼1416(例如,用於建立的構件的實例)。
在某些態樣中,處理器1404具有被配置為實現儲存在電腦可讀取媒體/記憶體1412中的代碼的電路系統。處理器1404包括用於使用的電路系統1424(例如,用於使用的構件的實例)和用於建立的電路系統1426(例如,用於建立的構件的實例)。
收發機1408可以提供用於接收諸如封包、使用者資料或與各種資訊通道(例如,控制通道、資料通道等)相關聯的控制資訊之類的資訊的構件。資訊可以被傳遞到設備1400的其他元件。收發機1408可以是參考圖2所描述的收發機254的態樣的實例。天線1410可以對應於單個天線或一組天線。收發機1408可以提供用於發送由設備1400的其他元件產生的信號的構件。
例如,用於發送的構件(或用於輸出以進行傳輸的構件)可以包括圖2中所示的AP 110的發射器(例如,發射器單元222)或天線224或者STA 120的發射器單元254或天線252。用於接收的構件(或用於獲得的構件)可以包括圖2中所示的AP 110的接收器(例如,接收器單元222)或天線224或者STA 120的接收器單元254或天線252。用於通訊的構件可以包括發射器、接收器或兩者。用於獲得的構件、用於加密的構件、用於解密的構件、用於使用的構件和用於建立的構件可以包括處理系統,該處理系統可以包括一或多個處理器,例如,如圖2所示的AP 110的RX資料處理器242、TX資料處理器210、TX空間處理器220或控制器230,或STA 120的RX資料處理器270、TX資料處理器288、TX空間處理器290或控制器280。
在一些情況下,與實際傳輸訊框相反,而是設備可以具有用於輸出訊框以進行傳輸的介面(用於輸出的構件)。例如,處理器可以經由匯流排介面將訊框輸出到射頻(RF)前端以進行傳輸。類似地,與實際接收訊框相反,而是設備可以具有用於獲得從另一設備接收到的訊框的介面(用於獲得的構件)。例如,處理器可以經由匯流排介面從RF前端獲得(或接收)訊框以進行接收。在一些情況下,用於輸出訊框以進行傳輸的介面和用於獲得訊框的介面(在本文可以稱為第一介面和第二介面)可以是同一介面。
示例性態樣
在以下編號的態樣中描述了實現方式實例:
態樣1:一種用於在站處進行無線通訊的方法,包括:輸出用於與存取點(AP)進行關聯的請求以傳輸到該AP,其中該請求是利用第一組一或多個密鑰加密的;從該AP獲得對該請求的回應;基於第一組密鑰來解密該回應,以獲得第二組一或多個密鑰;及使用第二組密鑰與該AP進行安全資料交換。
態樣2:如態樣1之方法,其中:該AP屬於擴展服務集(ESS);該站先前與該ESS中的另一AP相關聯;該請求包括重新關聯請求;及該回應包括重新關聯回應。
態樣3:如態樣1-2中任一項所述的方法,進一步包括:經由預關聯安全關聯(PASN)程序建立該第一組密鑰。
態樣4:如態樣3之方法,進一步包括:從該AP獲得對該AP支援經由該預關聯安全關聯(PASN)程序建立該第一組密鑰的能力的第一指示;及作為該PASN程序的一部分,輸出對該站支援經由該預關聯安全關聯(PASN)程序建立該第一組密鑰的能力的第二指示以傳輸到該AP。
態樣5:如態樣1-4中任一項所述的方法,進一步包括:基於該第一組密鑰,使用認證和密鑰管理(AKM)功能來加密該請求。
態樣6:如態樣5之方法,其中該AKM功能包括:基於成對主密鑰安全關聯(PMKSA)的AKM功能;基於對等同步認證(SAE)的AKM功能;基於快速初始鏈路設置(FILS)的AKM功能;基於快速轉換(FT)的AKM功能;基於機會性無線加密(OWE)的AKM功能;基於可擴展認證協定(EAP)的AKM功能;或者基於預共享密鑰(PSK)的AKM功能。
態樣7:如態樣1-6中任一項所述的方法,其中該第一組密鑰包括以下各項中的至少一個:成對暫態密鑰(PTK)或密鑰加密密鑰(KEK)。
態樣8:如態樣1-7中任一項所述的方法,其中該第二組密鑰包括以下各項中的至少一個:群組暫態密鑰(GTK)、完整性群組暫態密鑰(IGTK)或信標完整性群組暫態密鑰(BIGTK)。
態樣9:如態樣1-8中任一項所述的方法,進一步包括:經由以下各項建立該第一組密鑰:可擴展認證協定(EAP)程序;及四路交握程序。
態樣10:如態樣9之方法,其中建立該第一組密鑰包括:經由該EAP程序產生成對主密鑰(PMK);及經由該四路交握程序根據該PMK產生成對暫態密鑰(PTK)。
態樣11:一種用於在存取點(AP)處進行無線通訊的方法,包括:從站獲得用於與該AP進行關聯的請求,其中該請求是利用第一組一或多個密鑰加密的;基於第一組密鑰來解密該請求;輸出對該請求的回應以傳輸到該站,其中該回應是利用該第一組密鑰加密的並且包括第二組一或多個密鑰;及使用第二組密鑰與該站進行安全資料交換。
態樣12:如態樣11之方法,其中:該AP屬於擴展服務集(ESS);該站先前與該ESS中的另一AP相關聯;該請求包括重新關聯請求;及該回應包括重新關聯回應。
態樣13:如態樣11-12中任一項所述的方法,進一步包括:經由預關聯安全關聯(PASN)程序建立該第一組密鑰。
態樣14:如態樣13之方法,進一步包括:輸出對該AP支援經由該預關聯安全關聯(PASN)程序建立該第一組密鑰的能力的第一指示以傳輸到該站;及作為該PASN程序的一部分,從該站獲得對該站支援經由該預關聯安全關聯(PASN)程序建立該第一組密鑰的能力的第二指示。
態樣15:如態樣11-14中任一項所述的方法,進一步包括:基於該第一組密鑰,使用認證和密鑰管理(AKM)功能來加密該請求。
態樣16:如態樣15之方法,其中該AKM功能包括:基於成對主密鑰安全關聯(PMKSA)的AKM功能;基於對等同步認證(SAE)的AKM功能;基於快速初始鏈路設置(FILS)的AKM功能;基於快速轉換(FT)的AKM功能;基於機會性無線加密(OWE)的AKM功能;基於可擴展認證協定(EAP)的AKM功能;或者基於預共享密鑰(PSK)的AKM功能。
態樣17:如態樣11-16中任一項所述的方法,其中該第一組密鑰包括以下各項中的至少一個:成對暫態密鑰(PTK)或密鑰加密密鑰(KEK)。
態樣18:如態樣11-17中任一項所述的方法,其中該第二組密鑰包括以下各項中的至少一個:群組暫態密鑰(GTK)、完整性群組暫態密鑰(IGTK)或信標完整性群組暫態密鑰(BIGTK)。
態樣19:如態樣11-18中任一項所述的方法,進一步包括:經由以下各項建立該第一組密鑰:可擴展認證協定(EAP)程序;及四路交握程序。
態樣20:如態樣19之方法,其中建立該第一組密鑰包括:經由該EAP程序產生成對主密鑰(PMK);及經由該四路交握程序根據該PMK產生成對暫態密鑰(PTK)。
態樣21:一種在站處進行無線通訊的方法,包括:經由與存取點(AP)的密鑰交換來建立第一組一或多個密鑰;及使用第一組密鑰來處理以下各項中的至少一個:作為預關聯安全關聯(PASN)程序的一部分傳輸到該AP的認證訊息輸出,或作為該PASN程序的一部分從該AP獲得的認證訊息。
態樣22:如態樣21之方法,其中該密鑰交換包括Diffie Hellman密鑰交換。
態樣23:如態樣21-22中任一項所述的方法,其中該第一組密鑰用於加密以下各項中的至少一個:作為有效負荷被包括在被輸出以傳輸到該站的該認證訊息中的穩健安全網路元素(RSNE);或者作為有效負荷被包括在被輸出用於傳輸到該站的該認證訊息中的擴展RSNE(XRSNE)。
態樣24:如態樣21-24中任一項所述的方法,其中該第一組密鑰用於加密以下各項中的至少一個:作為有效負荷被包括在從該站獲得的該認證訊息中的穩健安全網路元素(RSNE)或擴展RSNE(XRSNE)。
態樣25:如態樣21-24中任一項所述的方法,其中該第一組密鑰用於加密:作為有效負荷被包括在被輸出以傳輸到該站的該認證訊息中的基本認證和密鑰管理(AKM)資料。
態樣26:如態樣21-25中任一項所述的方法,其中該第一組密鑰用於加密:作為有效負荷被包括在從該站獲得的該認證訊息中的基本認證和密鑰管理(AKM)資料。
態樣27:一種用於在存取點(AP)處進行無線通訊的方法,包括:經由與站的密鑰交換來建立第一組一或多個密鑰;及使用第一組密鑰來處理以下各項中的至少一個:作為預關聯安全關聯(PASN)程序的一部分從該站獲得的認證訊息,或作為該PASN程序的一部分傳輸到該站的認證訊息輸出。
態樣28:如態樣27之方法,其中該密鑰交換包括Diffie Hellman密鑰交換。
態樣29:如態樣27-28中任一項所述的方法,其中該第一組密鑰用於解密以下各項中的至少一個:作為有效負荷被包括在從該站獲得的該認證訊息中的穩健安全網路元素(RSNE)或擴展RSNE(XRSNE)。
態樣30:如態樣27-29中任一項所述的方法,其中該第一組密鑰用於解密以下各項中的至少一個:作為有效負荷被包括在從該站獲得的該認證訊息中的穩健安全網路元素(RSNE)或擴展RSNE(XRSNE)。
態樣31:如態樣27-30中任一項所述的方法,其中該第一組密鑰用於解密:作為有效負荷被包括在從該站獲得的該認證訊息中的基本認證和密鑰管理(AKM)資料。
態樣32:如態樣27-31中任一項所述的方法,其中該第一組密鑰用於解密:作為有效負荷被包括在從該站獲得的該認證訊息中的基本認證和密鑰管理(AKM)資料。
態樣33:一種用於無線通訊的裝置,包括:記憶體,其包括指令;及一或多個處理器,其被配置為執行該等指令並使該裝置執行根據態樣1-32中的任一項所述的方法。
態樣34:一種用於無線通訊的裝置,包括用於執行根據態樣1-32中任一項所述的方法的構件。
態樣35:一種包括指令的非暫態電腦可讀取媒體,該等指令在由裝置執行時,使該裝置執行根據態樣1-32中任一項所述的方法。
態樣36:一種站,包括:至少一個收發機;記憶體,其包括指令;及一或多個處理器,其被配置為執行該等指令並使該站執行根據態樣1-10中任一項所述的方法,其中該至少一個收發機被配置為發送請求。
態樣37:一種站,包括:至少一個收發機;記憶體,其包括指令;及一或多個處理器,其被配置為執行該等指令並使該站執行根據態樣21-26中任一項所述的方法,其中該至少一個收發機被配置為進行以下各項操作中的至少一個作為PASN程序的一部分:發送或接收認證訊息。
態樣38:一種存取點(AP),包括:至少一個收發機;記憶體,其包括指令;及一或多個處理器,其被配置為執行該等指令並使該存取點執行根據態樣11-20中任一項所述的方法,其中該至少一個收發機被配置為接收請求。
態樣39:一種存取點(AP),包括:至少一個收發機;記憶體,其包括指令;及一或多個處理器,其被配置為執行該等指令並使該存取點執行根據態樣27-32中任一項所述的方法,其中該至少一個收發機被配置為進行以下各項操作中的至少一個作為PASN程序的一部分:發送或接收認證訊息。
附加考慮因素
如本文所使用的,術語「決定」涵蓋各種動作。例如,「決定」可以包括運算、計算、處理、匯出、調查、檢視(例如,在表、資料庫或另一資料結構中檢視)、確定等。而且,「決定」可以包括接收(例如,接收資訊)、存取(例如,存取記憶體中的資料)等。而且,「決定」可以包括解析、選擇、挑選、建立等。
如本文所使用的,代表項目列表中「至少一個」的用語代表該等項目的任何組合,包括單個成員。作為實例,「a,b,或c中的至少一個」意欲涵蓋:a,b,c,a-b,a-c,b-c,和a-b-c。
結合本文揭示的實現方式描述的各種說明性邏輯、邏輯區塊、模組、電路和演算法過程可以被實現為電子硬體、電腦軟體或兩者的組合。硬體和軟體的可互換性已經在功能方面進行了整體描述,並且在上述的各種說明性元件、方塊、模組、電路和過程中進行了說明。此種功能是在硬體還是軟體中實現取決於特定的應用和對整體系統施加的設計約束。
用於實現結合本文揭示的態樣描述的各種說明性邏輯、邏輯區塊、模組和電路的硬體和資料處理裝置可以利用被設計為執行本文所描述的功能的通用單晶片或多晶片處理器、數位訊號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)或其他可程式邏輯設備、個別閘門或者電晶體邏輯、個別硬體元件或者其任何組合來實現或執行。通用處理器可以是微處理器,或者是任何一般的處理器、控制器、微控制器或者狀態機。處理器亦可以被實現為計算設備的組合,例如,DSP和微處理器的組合、複數個微處理器、一或多個微處理器與DSP核心的結合,或者任何其他此種配置。在一些實現方式中,可以經由特定於給定功能的電路系統來執行特定過程和方法。
在一或多個態樣中,所描述的功能可以以硬體、數位電子電路系統、電腦軟體、韌體(包括本說明書中揭示的結構及其結構均等物)或其任何組合來實現。本說明書中描述的標的的實現方式亦可以實現為一或多個電腦程式,亦即,電腦程式指令的一或多個模組,其被編碼在電腦儲存媒體上,以供資料處理裝置執行或控制資料處理裝置的操作。
若以軟體實現,則可以將功能儲存在電腦可讀取媒體上或者作為電腦可讀取媒體上的一或多個指令或代碼進行傳輸。本文揭示的方法或演算法的過程可以以可以常駐在電腦可讀取媒體上的處理器可執行軟體模組實現。電腦可讀取媒體包括電腦儲存媒體和通訊媒體兩者,其中通訊媒體包括可以被實現為從一個地方向另一個地方傳送電腦程式的任何媒體。儲存媒體可以是可以由電腦存取的任何可用媒體。舉例而言(但並非限制),此種電腦可讀取媒體可以包括RAM、ROM、EEPROM、CD-ROM或其他光碟儲存器、磁碟儲存器或其他磁性儲存設備,或者可以用於儲存以指令或資料結構的形式的期望的程式碼並且可以由電腦存取的任何其他媒體。而且,任何連接可以適當地稱為電腦可讀取媒體。如本文所使用的,磁碟(disk)和光碟(disc)包括壓縮光碟(CD)、雷射光碟、光碟、數位多功能光碟(DVD)、軟碟和藍光光碟,其中磁碟通常磁性地再現資料,而光碟利用雷射來光學地再現資料。上述的組合亦應當被包括在電腦可讀取媒體的範圍內。另外地,方法或演算法的操作可以作為代碼和指令的一個或任何組合或集合常駐在機器可讀取媒體和電腦可讀取媒體上,該等代碼和指令可以併入電腦程式產品中。
對本案中描述的實現方式的各種修改對於本領域技藝人士來說可以是顯而易見的,並且在不脫離本案的精神或範圍的情況下,本文定義的一般原理可以應用於其他實現方式。因此,請求項並不意欲限於本文所示的實現方式,而是要符合與本文揭示的該揭示內容、原理和新穎特徵一致的最寬泛的範圍。
本說明書中在獨立的實現方式的上下文中描述的某些特徵亦可以在單個實現方式中組合實現。相反,在單個實現方式的上下文中描述的各種特徵亦可以在多個實現方式中獨立地實現或在任何合適的子群組合中實現。此外,儘管以上將特徵描述為在某些組合中起作用並且甚至最初是如此主張的,但在一些情況下,來自主張的組合的一或多個特徵可以從該組合中去除,並且主張的組合可以針對子群組合或子群組合的變型。
類似地,儘管在附圖中以特定次序描述了操作,但這不應理解為要求以所示的特定次序或順序次序執行該等操作,或執行所有所示的操作,以獲得期望的結果。此外,附圖可以流程圖的形式示意性地圖示一或多個示例性過程。然而,未圖示的其他操作可以併入在示意性示出的示例性過程中。例如,可以在所示操作中的任一個操作之前、之後、同時或之間執行一或多個附加操作。在某些情況下,多任務和並行處理可能是有利的。此外,上述實現方式中的各種系統元件的分離不應理解為在所有實現方式中皆要求此種分離,並且應當理解,所描述的程式元件和系統通常可以一起整合在單個軟體產品中或打包成多個軟體產品。另外地,其他實現方式在以下請求項的範圍內。在一些情況下,請求項中所引述的動作可以以不同的次序執行,並且仍然可以達成理想的結果。
100:無線通訊系統
110:存取點
112:關聯管理器
120a:無線站
120:無線站
120m:無線站
120x:無線站
122:關聯管理器
130:系統控制器
208:資料來源
210:TX資料處理器
220:TX空間處理器
222:收發機
224a:天線
224ap:天線
228:通道估計器
230:控制器
234:排程器
240:接收(RX)空間處理器
242:RX資料處理器
244:資料槽
252ma:天線
252mu:天線
252xa:天線
252xu:天線
254:收發機
260:RX空間處理器
270:RX資料處理器
278:通道估計器
280:無線STA的控制器
286:資料來源
288:TX資料處理器
290:TX空間處理器
302:無線設備
304:處理器
306:記憶體
308:殼體
310:發射器
312:接收器
314:收發機
316:發射天線
318:信號偵測器
320:數位訊號處理器
322:匯流排系統
900:操作
905:操作
910:操作
915:操作
920:操作
1000:操作
1005:操作
1010:操作
1015:操作
1020:操作
1100:操作
1105:操作
1110:操作
1200:操作
1205:操作
1210:操作
1300:通訊設備
1302:處理系統
1304:處理器
1306:匯流排
1308:收發機
1310:天線
1312:電腦可讀取媒體/記憶體
1314:用於輸出的代碼
1316:用於獲得的代碼
1318:用於解密的代碼
1320:用於使用的代碼
1324:用於輸出的電路系統
1326:用於獲得的電路系統
1328:用於解密的電路系統
1330:用於使用的電路系統
1400:通訊設備
1402:處理系統
1404:處理器
1406:匯流排
1408:收發機
1410:天線
1412:電腦可讀取媒體/記憶體
1414:用於使用的代碼
1416:用於建立的代碼
1424:用於使用的電路系統
1426:用於建立的電路系統
為了可以詳細地理解本案的上述特徵的方式,可以經由引用態樣來對上文簡要總結的內容進行更特定的描述,該等態樣中的一些態樣是在附圖中示出的。然而,應當注意的是,附圖僅示出本案的某些典型的態樣,並且描述可以准許其他等同有效的態樣。
圖1是根據本案的某些態樣的示例性無線通訊網路的圖。
圖2是根據本案的某些態樣的示例性存取點(AP)和示例性無線站(STA)的方塊圖。
圖3圖示根據本案的某些態樣的示例性無線設備。
圖4是示出示例性認證程序的撥叫流程圖。
圖5是示出根據本案的態樣的示例性關聯程序的撥叫流程圖。
圖6A和圖6B圖示根據本案的態樣的示例性認證和密鑰管理(AKM)功能。
圖7是示出根據本案的態樣的另一示例性關聯程序的撥叫流程圖。
圖8是示出根據本案的態樣的示例性認證程序的撥叫流程圖。
圖9圖示根據本案的某些態樣的用於在站處進行無線通訊的示例性操作。
圖10圖示根據本案的某些態樣的用於在存取點處進行無線通訊的示例性操作。
圖11圖示根據本案的某些態樣的用於在站處進行無線通訊的示例性操作。
圖12圖示根據本案的某些態樣的用於在存取點處進行無線通訊的示例性操作。
圖13圖示能夠執行本文描述的操作的示例性元件。
圖14圖示能夠執行本文描述的操作的示例性元件。
為了促進理解,在可能的情況下,已經使用了相同的元件符號來表示圖中共用的相同元素。可以預期,可以在沒有具體引述的情況下將在一個態樣中揭示的元件有益地用於其他態樣。
國內寄存資訊(請依寄存機構、日期、號碼順序註記)
無
國外寄存資訊(請依寄存國家、機構、日期、號碼順序註記)
無
900:操作
905:操作
910:操作
915:操作
920:操作
Claims (23)
- 一種用於無線通訊的裝置,包括: 一記憶體,其包括指令;及 一或多個處理器,其被配置為執行該等指令並且使該裝置進行以下操作: 輸出用於與一存取點(AP)進行關聯的一請求以傳輸到該AP,其中該請求是利用一第一組一或多個密鑰加密的; 從該AP獲得對該請求的一回應; 基於第一組密鑰來解密該回應,以獲得一第二組一或多個密鑰;及 使用該第二組密鑰與該AP進行安全資料交換。
- 如請求項1所述之裝置,其中: 該AP屬於一擴展服務集(ESS); 該裝置先前與該ESS中的另一AP相關聯; 該請求包括一重新關聯請求;及 該回應包括一重新關聯回應。
- 如請求項1所述之裝置,進一步包括:經由一預關聯安全關聯(PASN)程序建立該第一組密鑰。
- 如請求項3所述之裝置,其中該一或多個處理器進一步被配置為執行該等指令並且使該裝置進行以下操作: 從該AP獲得對該AP支援經由該預關聯安全關聯(PASN)程序建立該第一組密鑰的一能力的一第一指示;及 作為該PASN程序的一部分,輸出對該裝置支援經由該預關聯安全關聯(PASN)程序建立該第一組密鑰的一能力的一第二指示以傳輸到該AP。
- 如請求項1所述之裝置,其中該一或多個處理器進一步被配置為執行該等指令並且使該裝置進行以下操作:基於該第一組密鑰,使用一認證和密鑰管理(AKM)功能來加密該請求。
- 如請求項5所述之裝置,其中該AKM功能包括: 基於一成對主密鑰安全關聯(PMKSA)的AKM功能; 基於一對等同步認證(SAE)的AKM功能; 基於一快速初始鏈路設置(FILS)的AKM功能; 基於一快速轉換(FT)的AKM功能; 基於一機會性無線加密(OWE)的AKM功能; 基於一可擴展認證協定(EAP)的AKM功能;或者 基於一預共享密鑰(PSK)的AKM功能。
- 如請求項1所述之裝置,其中該第一組密鑰包括以下各項中的至少一個:一成對暫態密鑰(PTK)或一密鑰加密密鑰(KEK)。
- 如請求項1所述之裝置,其中該第二組密鑰包括以下各項中的至少一個:一群組暫態密鑰(GTK)、一完整性群組暫態密鑰(IGTK)或一信標完整性群組暫態密鑰(BIGTK)。
- 如請求項1所述之裝置,其中該一或多個處理器進一步被配置為執行該等指令並且使該裝置經由以下各項建立該第一組密鑰: 一可擴展認證協定(EAP)程序;及 四路交握程序。
- 如請求項9所述之裝置,其中建立該第一組密鑰包括: 經由該EAP程序產生一成對主密鑰(PMK);及 經由該四路交握程序根據該PMK產生一成對暫態密鑰(PTK)。
- 如請求項1所述之裝置,進一步包括:至少一個收發機,其被配置為進行以下各項操作中的至少一個:發送該請求或接收該回應,其中該裝置被配置作為一無線站。
- 一種用於無線通訊的裝置,包括: 一記憶體,其包括指令;及 一或多個處理器,其被配置為執行該等指令並且使該裝置進行以下操作: 從一站獲得用於與該裝置進行關聯的一請求,其中該請求是利用一第一組一或多個密鑰加密的; 基於第一組密鑰來解密該請求; 輸出對該請求的一回應以傳輸到該站,其中該回應是利用該第一組密鑰加密的並且包括一第二組一或多個密鑰;及 使用該第二組密鑰與該站進行安全資料交換。
- 如請求項12所述之裝置,其中: 該裝置屬於一擴展服務集(ESS); 該站先前與該ESS中的另一裝置相關聯; 該請求包括一重新關聯請求;及 該回應包括一重新關聯回應。
- 如請求項12所述之裝置,其中該一或多個處理器進一步被配置為執行該等指令並且使該裝置進行以下操作:經由一預關聯安全關聯(PASN)程序建立該第一組密鑰。
- 如請求項14所述之裝置,其中該一或多個處理器進一步被配置為執行該等指令並且使該裝置進行以下操作: 輸出對該裝置支援經由該預關聯安全關聯(PASN)程序建立該第一組密鑰的一能力的一第一指示以傳輸到該站;及 作為該PASN程序的一部分,從該站獲得對該站支援經由該預關聯安全關聯(PASN)程序建立該第一組密鑰的一能力的一第二指示。
- 如請求項12所述之裝置,其中該一或多個處理器進一步被配置為執行該等指令並且使該裝置進行以下操作:基於該第一組密鑰,使用一認證和密鑰管理(AKM)功能來加密該請求。
- 如請求項16所述之裝置,其中該AKM功能包括: 基於一成對主密鑰安全關聯(PMKSA)的AKM功能; 基於一對等同步認證(SAE)的AKM功能; 基於一快速初始鏈路設置(FILS)的AKM功能; 基於一快速轉換(FT)的AKM功能; 基於一機會性無線加密(OWE)的AKM功能; 基於一可擴展認證協定(EAP)的AKM功能;或者 基於一預共享密鑰(PSK)的AKM功能。
- 如請求項12所述之裝置,其中該第一組密鑰包括以下各項中的至少一個:一成對暫態密鑰(PTK)或一密鑰加密密鑰(KEK)。
- 如請求項12所述之裝置,其中該第二組密鑰包括以下各項中的至少一個:一群組暫態密鑰(GTK)、一完整性群組暫態密鑰(IGTK)或一信標完整性群組暫態密鑰(BIGTK)。
- 如請求項12所述之裝置,其中該一或多個處理器進一步被配置為執行該等指令並且使該裝置經由以下各項建立該第一組密鑰: 一可擴展認證協定(EAP)程序;及 四路交握程序。
- 如請求項20所述之裝置,其中建立該第一組密鑰包括: 經由該EAP程序產生一成對主密鑰(PMK);及 經由該四路交握程序根據該PMK產生一成對暫態密鑰(PTK)。
- 如請求項12所述之裝置,進一步包括:至少一個收發機,其被配置為進行以下各項操作中的至少一個:發送該請求或接收該回應,其中該裝置被配置作為一存取點(AP)。
- 一種用於無線通訊的裝置,包括: 一記憶體,其包括指令;及 一或多個處理器,其被配置為執行該等指令並且使該裝置進行以下操作: 經由與一存取點(AP)的一密鑰交換來建立一第一組一或多個密鑰;及 使用該第一組密鑰來處理以下各項中的至少一個:作為一預關聯安全關聯(PASN)程序的一部分傳輸到該AP的一認證訊息輸出,或作為該PASN程序的一部分從該AP獲得的一認證訊息。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/676,081 | 2022-02-18 | ||
US17/676,081 US20230269581A1 (en) | 2022-02-18 | 2022-02-18 | Association protection for wireless networks |
Publications (1)
Publication Number | Publication Date |
---|---|
TW202335522A true TW202335522A (zh) | 2023-09-01 |
Family
ID=85556547
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW112103979A TW202335522A (zh) | 2022-02-18 | 2023-02-04 | 用於無線網路的關聯保護 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20230269581A1 (zh) |
TW (1) | TW202335522A (zh) |
WO (1) | WO2023158936A1 (zh) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9143937B2 (en) * | 2011-09-12 | 2015-09-22 | Qualcomm Incorporated | Wireless communication using concurrent re-authentication and connection setup |
US9769661B2 (en) * | 2015-04-06 | 2017-09-19 | Qualcomm, Incorporated | Wireless network fast authentication / association using re-association object |
US20210345105A1 (en) * | 2021-06-25 | 2021-11-04 | Intel Corporation | 4-way handshake optimization |
US11882471B2 (en) * | 2021-07-12 | 2024-01-23 | Qualcomm Incorporated | Sensing coordination in a wireless network |
US20230089319A1 (en) * | 2021-09-13 | 2023-03-23 | Apple Inc. | Address randomization schemes |
US20230144897A1 (en) * | 2021-11-08 | 2023-05-11 | Apple Inc. | Privacy Enhanced BSS Discovery for Non-associated Stations |
-
2022
- 2022-02-18 US US17/676,081 patent/US20230269581A1/en active Pending
-
2023
- 2023-02-03 WO PCT/US2023/061968 patent/WO2023158936A1/en unknown
- 2023-02-04 TW TW112103979A patent/TW202335522A/zh unknown
Also Published As
Publication number | Publication date |
---|---|
WO2023158936A1 (en) | 2023-08-24 |
US20230269581A1 (en) | 2023-08-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2979401B1 (en) | System and method for indicating a service set identifier | |
JP5678138B2 (ja) | ダイレクトリンク通信のための拡張されたセキュリティ | |
US20180278625A1 (en) | Exchanging message authentication codes for additional security in a communication system | |
KR101331515B1 (ko) | 기지국 자가 구성을 위한 방법 및 장치 | |
JP5452732B2 (ja) | 高スループット無線通信のための低減したパケットロスを備えた鍵取り替えのための無線デバイス及び方法 | |
US9130754B2 (en) | Systems and methods for securely transmitting and receiving discovery and paging messages | |
US8923516B2 (en) | Systems and methods for securely transmitting and receiving discovery and paging messages | |
US9609571B2 (en) | Systems and methods for securely transmitting and receiving discovery and paging messages | |
CN107079016B (zh) | 用于认证互操作性的方法和系统 | |
US20140064486A1 (en) | Systems and methods for securely transmitting and receiving discovery and paging messages | |
KR20130036776A (ko) | 무선랜 시스템에서 서비스 품질 메커니즘을 사용한 관리 프레임 암호화 통신 방법 및 장치 | |
US11863978B2 (en) | Fast basic service set transition for multi-link operation | |
JP6125665B2 (ja) | 暗黙の再キーイングメカニズム | |
TW202335522A (zh) | 用於無線網路的關聯保護 | |
US20230308876A1 (en) | Multicast containment in a multiple pre-shared key (psk) wireless local area network (wlan) |