TWI772211B - 一種無線通訊方法及相關的裝置 - Google Patents

一種無線通訊方法及相關的裝置 Download PDF

Info

Publication number
TWI772211B
TWI772211B TW110139828A TW110139828A TWI772211B TW I772211 B TWI772211 B TW I772211B TW 110139828 A TW110139828 A TW 110139828A TW 110139828 A TW110139828 A TW 110139828A TW I772211 B TWI772211 B TW I772211B
Authority
TW
Taiwan
Prior art keywords
pmkid
mac address
site
original
association request
Prior art date
Application number
TW110139828A
Other languages
English (en)
Other versions
TW202308421A (zh
Inventor
王柏凡
徐子凡
黃舜雍
Original Assignee
聯發科技股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 聯發科技股份有限公司 filed Critical 聯發科技股份有限公司
Application granted granted Critical
Publication of TWI772211B publication Critical patent/TWI772211B/zh
Publication of TW202308421A publication Critical patent/TW202308421A/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/58Caching of addresses or names
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/73Access point logical identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/02Data link layer protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Radar Systems Or Details Thereof (AREA)

Abstract

本發明提供一種接入點的無線通訊方法。該無線通訊方法包括以下步驟:接收來自站點的關聯請求;從該關聯請求中讀取站點的MAC地址和PMKID;利用該MAC地址對該PMKID進行計算以得到原本的PMKID;確定該原本的PMKID是否與緩存表中的任一參考PMKID相匹配,其中,該緩存表中存儲有多個參考MAC地址和相應的參考PMKID;如果原本的PMKID與緩存表中的其中一個參考PMKID匹配,則確定緩存表中記錄的該參考MAC與該MAC地址屬於同一個站點。

Description

一種無線通訊方法及相關的裝置
本公開實施例通常涉及通訊技術,以及更具體地,涉及與隨機化(random)媒體訪問控制(media access control,MAC)地址相關的無線通訊方法及裝置,其具有快速的重連機制。
媒體訪問控制(MAC)地址是一串獨特的字母和數字,用於標識網絡上的設備並允許它與其它設備進行通訊。MAC地址通常在設備製造時分配的,並且在從一個網絡移動到另一個網絡時通常不會更改。換句話說,MAC地址歷來是靜態的,並且對於每個設備來說都是唯一的。但是,由於接入點(access point,AP)或任何Wi-Fi嗅探器(sniffer)都可以在未經用戶同意的情況下通過MAC地址監控設備位置,因此,該獨特的MAC地址會對用戶隱私產生不利影響。
為了解決這個問題,提供了MAC地址隨機化(randomization)來允許用戶設備通過使用不同的MAC地址連接到AP,即MAC地址隨機化可以防止監聽者使用MAC地址建立設備活動的歷史記錄。雖然MAC地址隨機化能夠增強用戶隱私,但是,一些快速重連機制,例如,成對主密鑰安全關聯(pairwise master key security association,PMKSA)緩存(caching),可能無法使用。具體來說,當設備第一次連接到AP時,設備向AP發起802.1X/SAE(Simultaneous Authentication of Equals,對等實體同時驗證)認證,認證成功後,設備和AP將推導出(derived)的成對主密鑰(pairwise master key,PMK)和成對主密鑰標識符(pairwise master key identifier,PMKID)保存在內部緩存中,其中,成對主密鑰(PMK)和成對主密鑰標識符(PMKID)與設備的MAC地址相關聯。那麼,如果設備由於某種原因與AP斷開連接,以及,設備需要重新連接到AP,則如若設備有相同的MAC地址,該設備可以簡單地使用PMK和PMKID重新連接到AP,而無需802.1X/SAE認證。因此,如果設備使用不同的MAC地址重新連接到AP,則使用PMKSA緩存重連的方法會失效,以及,需要重新進行耗時較長的802.1X/SAE認證。
因此,本發明的目的之一是提供一種無線通訊方法及相關的裝置,其允許設備使用MAC地址隨機化和PMKSA緩存重新連接到AP,以解決上述問題。
根據本發明一實施例,一種無線通訊方法(其適用於站點)包括以下步驟:通過使用第一媒體訪問控制(MAC)地址及執行認證來連接至接入點(AP),以產生參考成對主密鑰(PMK)和相對應的參考成對主密鑰標識符(PMKID);如果該站點與該AP的連接中斷且該站點嘗試重新連接至該AP,生成包含該站點的第二MAC地址和與該參考PMKID相關聯的PMKID(例如,該PMKID是利用第二MAC地址和參考PMKID產生的)的信息的關聯請求,其中,該關聯請求不包含該站點的該第一MAC地址;以及,向該AP發送該關聯請求。
在一些實施例中,生成包含該站點的第二MAC地址和與該參考PMKID相關聯的PMKID的信息的關聯請求的步驟包括:將該第二MAC地址與該參考PMKID混合,以生成混合後的PMKID;以及,生成包含該第二MAC地址和該混合後的PMKID的關聯請求。
在一些實施例中,產生包括該站點的第二MAC地址和與該參考PMKID相關聯的PMKID的信息的關聯請求的步驟包括:將該第二MAC地址與該參考PMKID混合,以生成混合後的PMKID;使用該參考PMK對該混合後的PMKID進行加密,以生成加密後的PMKID;以及,生成包含該第二MAC地址和該加密後的PMKID的關聯請求。
在一些實施例中,將該第二MAC地址與該參考PMKID混合以生成混合後的PMKID的步驟包括:對該第二MAC地址和該參考PMKID進行異或運算,以生成該混合後的PMKID。
在一些實施例中,該關聯請求還包括指示該站點支持隨機MAC地址和PMKSA緩存機制的信息元素。
根據本發明的另一實施例,一種接入點的無線通訊方法包括以下步驟:接收來自站點的關聯請求;利用該站點的該MAC地址對該PMKID進行計算以得到原本的PMKID;確定該原本的PMKID是否與緩存表中的任一參考PMKID匹配,其中,該緩存表中存儲有多個參考媒體訪問控制(MAC)地址和相應的參考成對主密鑰標識符(PMKID);以及,如果該原本的PMKID與該緩存表中的其中一個參考PMKID匹配,則確定出該緩存表中記錄的與匹配的參考PMKID相對應的參考MAC地址和該關聯請求中的MAC地址屬於同一個站點。
在一些實施例中,在利用該站點的該MAC地址對該PMKID進行計算以得到原本的PMKID之前,該方法還包括:檢查該關聯請求中攜帶的該PMKID是否與該緩存表中的任一參考PMKID匹配;其中,如果該PMKID與該緩存表的內容(如任一參考PMKID)不匹配,則利用該站點的該MAC地址對該PMKID進行計算,以得到該原本的PMKID。
在一些實施例中,利用該站點的該MAC地址對該PMKID進行計算以得到原本的PMKID的步驟包括:將該MAC地址與該PMKID混合,以生成混合後的PMKID作為該原本的PMKID。
在一些實施例中,利用該站點的該MAC地址對該PMKID進行計算以得到該原本的PMKID的步驟包括:使用該緩存表中的至少一個參考PMKID相對應的PMK來解密該PMKID,以生成解密後的PMKID;以及,將該MAC地址與該PMKID混合,以生成混合後的PMKID作為該原本的PMKID。
在一些實施例中,該方法還包括:如果該原本的PMKID與該緩存表中的其中一個參考PMKID匹配,則使用該關聯請求中記錄的該MAC地址更新該緩存表中記錄的該參考MAC。
在一些實施例中,該緩存表還包括:與該參考MAC地址相應的站點是否支持隨機MAC地址和PMKSA緩存機制的資訊。
在一些實施例中,利用該站點的該MAC地址對該PMKID進行計算以得到原本的PMKID的步驟包括:參照該緩存表以選擇支持該隨機MAC地址和PMKSA緩存機制的至少一個站點;使用與所選站點相對應的PMK來解密該PMKID,以生成解密後的PMKID;以及,將該MAC地址與該PMKID混合,以生成混合後的PMKID作為該原本的PMKID。
在一些實施例中,將該MAC地址與該PMKID混合以產生混合後的PMKID作為該原本的PMKID的步驟包括:對該MAC地址與該PMKID進行異或操作,以生成該混合後的PMKID作為該原本的PMKID。
根據本發明的另一實施例,提供了一種通訊裝置,其適用於站點,其中,該通訊裝置包括收發器和處理器,該收發器和該處理器被配置為執行以下操作:通過使用第一媒體訪問控制(MAC)地址及執行認證來連接至接入點(AP),以產生參考成對主密鑰(PMK)和相對應的參考成對主密鑰標識符(PMKID);
如果該站點與該AP的連接中斷且該站點嘗試重新連接至該AP,生成包含該站點的第二MAC地址和與該參考PMKID相關聯的PMKID的信息的關聯請求,其中,該關聯請求不包含該站點的該第一MAC地址;以及,向該AP發送該關聯請求。
在一些實施例中,生成包含該站點的第二MAC地址和與該參考PMKID相關聯的PMKID的信息的關聯請求的步驟包括:將該第二MAC地址與該參考PMKID混合,以生成混合後的PMKID;使用該參考PMK對該混合後的PMKID進行加密,以生成加密後的PMKID;以及,生成包含該第二MAC地址和該加密後的PMKID的關聯請求。
根據本發明的另一實施例,提供了一種通訊裝置,其適用於接入點,包括收發器和處理器,該收發器和處理器被配置為執行以下操作:接收來自站點的關聯請求;從該關聯請求中讀取成對主密鑰標識符(PMKID)和該站點的媒體訪問控制(MAC)地址;利用該站點的該MAC地址對該PMKID進行計算以得到原本的PMKID;確定該原本的PMKID是否與緩存表中的任一參考PMKID匹配,其中,該緩存表中存儲有多個參考MAC地址和相應的參考PMKID;以及,如果該原本的PMKID與該緩存表中的其中一個參考PMKID匹配,則確定出該緩存表中記錄的與匹配的參考PMKID相對應的參考MAC地址和該關聯請求中的MAC地址屬於同一個站點。
在一些實施例中,在利用該站點的該MAC地址對該PMKID進行計算以得到原本的PMKID之前,還包括:檢查該關聯請求中攜帶的該PMKID是否與該緩存表中的任一參考PMKID匹配;其中,如果該PMKID與該緩存表的內容(如任一參考PMKID)不匹配,則利用該站點的該MAC地址對該PMKID進行計算,以得到該原本的PMKID。
在一些實施例中,利用該站點的該MAC地址對該PMKID進行計算以得到該原本的PMKID的步驟包括:使用該緩存表中的至少一個參考PMKID相對應的PMK來解密該PMKID,以生成解密後的PMKID;以及,將該MAC地址與該PMKID混合,以生成混合後的PMKID作為該原本的PMKID。
在閱讀各附圖中示出的優選實施例的以下詳細描述之後,本發明的這些和其它目的對於本領域普通技術人員來說無疑將變得顯而易見。本發明內容是通過示例的方式提供的,並非旨在限定本發明。本發明由申請專利範圍限定。
以下描述為本發明實施的較佳實施例。以下實施例僅用來例舉闡釋本發明的技術特徵,並非用來限制本發明的範疇。在通篇說明書及申請專利範圍當中使用了某些詞彙來指稱特定的組件。所屬技術領域中具有通常知識者應可理解,製造商可能會用不同的名詞來稱呼同樣的組件。本說明書及申請專利範圍並不以名稱的差異來作為區別組件的方式,而係以組件在功能上的差異來作為區別的基準。本發明的範圍應當參考后附的申請專利範圍來確定。在以下描述和申請專利範圍當中所提及的術語“包含”和“包括”為開放式用語,故應解釋成“包含,但不限定於…”的意思。此外,術語“耦接”意指間接或直接的電氣連接。因此,若文中描述一個裝置耦接至另一裝置,則代表該裝置可直接電氣連接於該另一裝置,或者透過其它裝置或連接手段間接地電氣連接至該另一裝置。文中所用術語“基本”或“大致”係指在可接受的範圍內,所屬技術領域中具有通常知識者能夠解決所要解決的技術問題,基本達到所要達到的技術效果。舉例而言,“大致等於”係指在不影響結果正確性時,所屬技術領域中具有通常知識者能夠接受的與“完全等於”有一定誤差的方式。
第1圖為本發明一實施例的無線通訊系統的示意圖。如第1圖所示,無線通訊系統包括接入點(access point,AP)110和多個站點(station)STA1-STAn,其中,AP 110包括處理器(processor)112和無線通訊模組(wireless communication module)114。在本實施例中,站點STA1-STAn中的每一個可以是手機、平板電腦、筆記本電腦或能夠與AP 110無線通訊的任何其它電子設備,本發明對此不做任何限制。
第2A圖是根據本發明一實施例的使用SAE認證在站點STA1和AP 110之間建立鏈路(link)的方法的流程示意圖。如第2A圖所示,最初,站點STA1開始連接到AP 110,以及,站點STA1和AP 110執行SAE認證以建立鏈路。認證成功後,站點STA1和AP 110通常會獲得(derive)PMK(成對主密鑰),以及,對應於站點STA1和AP 110的PMKID(成對主密鑰標識符)也被計算出,其中,上述信息的集合稱為PMKSA(成對主密鑰安全關聯),換句話說,PMKSA包括PMK及相應的PMKID。然後,站點STA1存儲AP 110的基本服務集標識(basic service set identifier,BSSID)(即AP 110的MAC地址,MAC AP)以及對應於站點STA1和AP 110的PMKID(PMKID STA1_AP);AP 110將站點STA1的MAC地址MAC STA1和相應的PMKID(PMKID STA1_AP)存儲在緩存表(cache table)中,其中,該緩存表還包括其它站點的MAC地址和相應的PMKID,例如,該緩存表還包括針對站點STA2的MAC STA2和PMKID STA2_AP,…,以及,針對站點STAn的MAC STAn和PMKID STAn_AP。在以下描述中,存儲在AP 110的緩存表中的MAC地址和PMKID(成對主密鑰標識符)被分別稱為參考(reference)MAC地址和參考PMKID。需要說明的是,SAE認證和PMK/PMKID的生成為本領域技術人員所熟知,因此,相關描述本文不再贅述。在另一可選實施例中,該緩存表中的每個條目還可以包括/存儲該參考PMKID對應的參考PMK,但本發明對此並不做任何限制,原因在於:PMKID和PMK是成對使用的。也就是說,當AP得知PMKID時通常能夠相應的得知該PMKID對應的PMK。在另一可選實施例中,該參考PMKID及其對應的參考PMK可以不位於相同的緩存表中。
然後,站點STA1和AP 110執行關聯(association)和(四次握手協議,4way)基於局域網的擴展認證協議(extensible authentication protocol over LAN,EAPOL),以用於站點STA1和AP 110之間的進一步通訊,例如,進行正常的收發操作(圖中標註為“EAPOL 4way/Normal TRX”)。
第2A圖所示的推導PMKSA的步驟使用SAE認證(authentication)。在一些實施例中,推導PMKSA(成對主密鑰安全關聯)的步驟可以是802.1X認證,如第2B圖所示,其在站點STA1和後端EAP認證服務器之間建立了PMKSA。
在一些情況下,站點STA1由於某些原因與AP 110斷開連接,例如,站點STA1遠離AP 110。那麼,如果站點STA1被再次帶到靠近AP 110的地方,則站點STA1將自動重新連接到AP 110。另外,為了提供更好的私密性,站點STA1可以使用隨機化/隨機的(random)MAC地址連接到AP 110,即站點STA1在這次重新連接程序中使用的MAC地址與之前連接中使用的MAC地址MAC STA1不同。在本實施例中,雖然站點STA1使用不同的MAC地址,但是站點STA1和AP 110可以使用開放式認證(open authentication)和PMKSA緩存以快速建立連接,而無需使用802.1X/SAE認證,即進行快速認證。具體地,參考第3圖,其示出了根據本發明一實施例的使用PMKSA緩存在站點STA1和AP 110之間建立連接的方法的流程示意圖。在步驟300處,流程開始。在步驟302中,站點STA1將新MAC地址MAC STA1new與PMKID STA1_AP混合(mix),以生成混合後的PMKID(mixed PMKID,如第3圖中標註的“M(MAC STA1new,PMKID)”)。在一實施例中,站點STA1可以對新MAC地址和PMKID STA1_AP進行異或(exclusive or,XOR)運算,以生成該混合後的PMKID。然後,站點STA1使用PMKID STA1_AP相對應的PMK(成對主密鑰)對該混合後的PMKID進行加密,以生成加密後的PMKID(encrypted PMKID,如第3圖中標註的“E PMK(M(MAC STA1new,PMKID))”)。
在步驟304中,站點STA1向AP 110發送關聯請求(association request),其中,該關聯請求中攜帶了所述加密後的PMKID(例如,對PMKID STA1_AP進行混合和/或加密處理後形成的成對主密鑰標識符),例如,該關聯請求的PMKID字段中包括步驟302中生成的所述加密後的PMKID。需要說明的是,該關聯請求還包括站點STA1的新MAC地址MAC STA1new,但不包括先前的(previous)MAC地址MAC STA1,以保護設備隱私。也就是說,在站點期望重新連接至AP時,其發送的關聯請求中包括隨機MAC地址(例如,其不同於首次/上次連接的MAC地址)和PMKID。在一實施例中,關聯請求中攜帶的PMKID是對參考PMKID進行處理後獲得的PMKID,例如,混合和/或加密處理,以確保不被識別出來。在另一實施例中,關聯請求中攜帶的PMIKID可以是參考PMKID。可以理解地,通過在關聯請求中攜帶PMKID可以與現行的處理方式兼容。
在步驟306中,AP 110接收站點STA1的關聯請求,以及,AP 110判斷(determine)PMKID字段內的PMKID(即上述加密後的PMKID)是否與第2A圖和第2B圖所示的緩存表內的PMKID中的任意一個匹配。如果是(匹配),流程進入步驟314;如果否(不匹配),則流程進入步驟308。可以理解地,步驟306是為了相容不使用隨機MAC地址的STA(即現行的處理方式),從而通過步驟306可以直接判別出是否匹配,如果匹配,則可快速建立連接。在本實施例中,由於關聯請求的PMKID字段包含使用混合步驟和加密步驟生成的上述加密後的PMKID,因此,關聯請求中的PMKID(即上述加密後的PMKID)將不匹配緩存表中的PMKID STA1_AP,PMKID STA2_AP,...,PMKID STAn_AP中的任何一個。
在步驟308處,AP 110依次使用各站點的PMK對關聯請求中攜帶的PMKID進行解密(decrypt),以生成解密後的PMKID(decrypted PMKID)。可以理解地,對於緩存表中存儲的n個條目(例如,每個條目包括參考MAC地址和相應的參考PMKID),步驟308將獲得n個解密後的PMKID。例如,AP 110使用站點STA1的PMK解密關聯請求中的PMKID(例如,上述加密後的PMKID)以生成第一個解密後的PMKID,使用站點STA2的PMK解密關聯請求中的PMKID以生成第二個解密後的PMKID,……,以及,使用站點STAn的PMK解密關聯請求中的PMKID,以生成第n個解密後的PMKID。在本實施例中,利用站點STA1的PMK生成的第一個解密後的PMKID應該等於步驟302中生成的上述混合後的PMKID。
在步驟310中,對於在步驟308中生成的每個解密後的PMKID,AP 110將解密後的PMKID與新的MAC地址MAC STA1new混合(例如,使用XOR操作)以生成原本的PMKID(original PMKID),以及,AP 110確定該原本的PMKID(例如,n個)中的任意一個是否與匹配緩存表中的PMKID STA1_AP、PMKID STA2_AP、……、PMKID STAn_AP的其中一個相匹配,如果是,則流程進入步驟314,即確定出該緩存表中記錄的與匹配的參考PMKID相對應的參考MAC地址和該關聯請求中的MAC地址屬於同一個站點;如果否,則進入步驟316。在本實施例中,使用站點STA1的PMK生成的該原本的PMKID應該等於PMKID STA1_AP(即STA1對應的參考PMKID)。
需要說明的是,步驟308和步驟310可以合併為一個步驟,一旦AP 110發現當前處理的所述原本的PMKID與緩存表中的PMKID STA1_AP、PMKID STA2_AP、…、PMKID STAn_AP的其中一者匹配,則AP 110停止使用剩餘的(remaining)PMK解密PMKID。例如,在本實施例中,使用站點STA1的PMK生成的所述原本的PMKID等於位於緩存表第一列(row)的PMKID STA1_AP,因此,AP 110不需要使用其它站點STA2–STAn的任何一個的PMK來解密PMKID,從而可以進一步節省連接時間。
在步驟314中(即確定出該緩存表中記錄的與匹配的參考PMKID相對應的參考MAC地址和該關聯請求中的MAC地址屬於同一個站點),AP 110向站點STA1發送指示重連成功的關聯響應(association response),例如,該關聯響應的狀態碼(status code)記錄重連成功。也就是說,PMKSA快速認證成功。另外,AP 110通過用MAC STA1new替換MAC STA1來更新緩存表,這樣可以保留設計上的彈性,但本發明實施例對此並不做限制。
在步驟316中,AP 110向站點STA1發送指示關聯請求中的PMKID無效的關聯響應,例如,關聯響應的狀態碼記錄關聯請求中的PMKID是無效的(invalid)。也就是說,PMKSA快速認證失敗,接下來需重新執行完整認證,例如,802.1X認證、SAE認證等。
在本實施例中,在步驟314之後,由於站點STA1通過利用PMKSA緩存成功連接到AP 110(利用PMKSA緩存快速認證成功),因此,站點STA1和AP 110能夠直接執行EAPOL(4次握手)以在站點STA1和AP 110之間進行進一步通訊,而無需執行802.1X/SAE認證。
綜上所述,在第2A圖、第2B圖和第3圖所示的實施例中,站點能夠有效地使用MAC地址隨機化(randomization)和PMKSA緩存來重新連接到AP 110,而無需執行802.1X/SAE認證。因此,站點將具有更短的連接時間。
需要說明的是,步驟302中的加密操作和步驟308中的解密操作是可選的,例如,站點STA1發送的關聯請求的PMKID字段中可以包括通過將新MAC地址MAC STA1new與PMKID STA1_AP混合而產生的混合後的PMKID,以及,AP 110將該關聯請求中攜帶的PMKID(如該混合後的PMKID)與該關聯請求中攜帶的新MAC地址MAC STA1new混合以生成原本的PMKID(如第一次連接過程中獲得的參考PMKID)。這種替代設計應落入本發明的範圍內。在另一變型實施例中,站點STA1可以直接使用參考PMK對參考PMKID進行加密(不利用新的MAC地址執行混合操作),並在關聯請求中攜帶加密後的PMKID。相應地,AP依次採用緩存表中的PMKID對應的PMK進行解密等操作。具體地,本發明對此不做限制。
第4A圖是根據本發明另一實施例的使用SAE認證在站點STA1和AP 110之間建立鏈路的方法的流程示意圖。如第4A圖所示,最初,站點STA1開始連接到AP 110,以及,站點STA1和AP 110執行SAE認證,以建立鏈路。認證成功後,站點STA1和AP 110一般會推導出PMK,並且還計算出對應於站點STA1和AP 110的PMKID,其中,上述信息的集合稱為PMKSA(成對主密鑰安全關聯)。然後,站點STA1存儲AP 110的BSSID(即AP 110的MAC地址,MAC AP)及對應於站點STA1和AP 110的PMKID(PMKID STA1_AP);以及,AP 110將站點STA1的MAC地址MAC STA1和相應的PMKID(PMKID STA1_AP)存儲在緩存表中,其中,緩存表還包括其它站點的MAC地址和相應的PMKID,例如,緩存表還包括用於站點STA2的MAC STA2和PMKID STA2_AP,以及,用於站點STAn的MAC STAn和PMKID STAn_AP。可選地,與PMKID相對應的PMK也可以同PMKID存儲在同一緩存表中。此外,在站點STA1和AP 110之間的通訊中,來自AP 110的信標或探測響應(beacons or probe responses)可以具有指示AP 110支持隨機MAC地址和PMKSA緩存機制的信息元素(information element),以及,來自站點STA1的關聯請求還可以包括指示站點STA1支持隨機MAC地址和PMKSA緩存機制的信息元素。例如,該信息元素可以為供應商信息元素(vendor information elemet)。因此,AP 110能夠在緩存表中標記出支持這種機制的一個或多個站點。
然後,站點STA1和AP 110執行關聯和EAPOL(4次握手),以在站點STA1和AP 110之間進一步通訊。
第4A圖所示的推導PMKSA的步驟使用SAE認證。推導PMKSA的步驟可以是802.1X認證,如第4B圖所示,即在站點STA1和後端EAP認證服務器之間建立PMKSA。
在一些情況下,站點STA1由於某些原因與AP 110斷開連接,例如,站點STA1被帶走而遠離AP 110。那麼,如果站點STA1被再次帶到靠近AP 110的地方,站點STA1會自動連接到AP 110。另外,為了提供更好的私密性,站點STA1使用隨機MAC地址連接到AP 110,即站點STA1在這次重連程序中使用的MAC地址與之前連接中使用的MAC地址MAC STA1不同。在本實施例中,雖然站點STA1使用不同的MAC地址,但是站點STA1和AP 110可以使用開放式認證和PMKSA緩存來快速建立連接,而不使用802.1X/SAE認證。具體地,參考第5圖,其示出了根據本發明一實施例的利用PMKSA緩存在站點STA1和AP 110之間建立連接的方法的流程示意圖。在步驟500,流程開始。在步驟502中,站點STA1將新MAC地址MAC STA1new與PMKID STA1_AP混合,以生成混合後的PMKID。在一實施例中,站點STA1可以對新MAC地址和PMKID STA1_AP進行異或(XOR)運算,以生成該混合後的PMKID。然後,站點STA1使用PMK(成對主密鑰)對該混合後的PMKID進行加密,以生成加密後的PMKID。
在步驟504中,站點STA1向AP 110發送包括PMKID的關聯請求,例如,關聯請求的PMKID字段包括在步驟502中生成的上述加密後的PMKID。需要說明的是,關聯請求還包括站點STA1的新MAC地址MAC STA1new,但不包括先前的MAC地址MAC STA1,以保護設備隱私。此外,來自站點STA1的關聯請求還可以包括指示其支持(support)隨機MAC地址和PMKSA緩存機制的指示,例如,指示站點STA1支持隨機MAC地址和PMKSA緩存機制的供應商信息元素。
在步驟506中,AP 110參考關聯請求中的供應商信息元素來確定站點STA1是否支持隨機MAC地址和PMKSA緩存的機制,如果是,則流程進入步驟510;如果否,則流程進入步驟508。
在步驟508中,AP 110確定位於關聯請求(如關聯請求的PMKID字段)內的PMKID是否與第4A圖和第4B圖所示的緩存表內的任何一個參考PMKID匹配。如果是,則流程進入步驟516;如果否,則流程進入步驟518。
在步驟510中,AP 110參考緩存表以選擇支持隨機MAC地址和PMKSA緩存機制的(一個或多個)站點的至少一部分,AP 110依次使用所選站點的PMK解密上述位於關聯請求中的PMKID,以生成解密後的PMKID。具體地,AP 110使用站點STA1的PMK對PMKID進行解密,以生成第一個解密後PMKID,以及,使用站點STAn的PMK對PMKID進行解密以生成第n個解密後的PMKID。在本實施例中,利用站點STA1的PMK生成的第一個解密後的PMKID應該等於步驟502中生成的所述混合後的PMKID。
在步驟512中,對於在步驟510中生成的每個解密後的PMKID,AP 110將解密後的PMKID與新的MAC地址MAC STA1new混合(例如,使用XOR運算),以生成原本的PMKID,以及,在步驟514中,AP 110判斷該原本的PMKID中的任何一個是否與緩存表中支持隨機MAC地址和PMKSA緩存的(一個或多個)站點所對應的參考PMKID(如PMKID STA1_AP、…、PMKID STAn_AP)中的其中一個匹配,如果是,則流程進入步驟516;如果否,則進入步驟518。在本實施例中,使用站點STA1的PMK生成的所述原本的PMKID應該等於PMKID STA1_AP
需要說明的是,步驟510和步驟512可以合併為一個步驟,一旦AP 110發現當前處理的所述原本的PMKID與緩存表中支持隨機MAC地址和PMKSA緩存的站點所對應的參考PMKID的其中一個匹配,AP 110停止使用剩餘的PMK來解密PMKID。具體地,在本實施例中,使用站點STA1的PMK生成的原本的PMKID等於位於緩存表第一列的PMKID STA1_AP,因此AP 110不需要使用其它站點STA2–STAn的任何一個的PMK解密PMKID。
在步驟516中,AP向站點STA1發送關聯響應,其中,關聯響應的狀態碼記錄重連成功。另外,AP 110通過用MAC STA1new替換MAC STA1來更新緩存表。
在步驟518中,AP向站點STA1發送關聯響應,其中,關聯響應的狀態碼記錄關聯請求中的PMKID是無效的。
在本實施例中,在步驟516之後,由於站點STA1利用PMKSA緩存成功連接到AP 110,從而,站點STA1和AP 110能夠直接執行EAPOL(4次握手),以在站點STA1和AP 110之間進行進一步通訊,而無需執行802.1X/SAE認證。
需要說明的是,步驟502中的加密操作和步驟510中的解密操作是可選的,即站點STA1發送的關聯請求的PMKID字段可以包括混合後的PMKID,其是通過將新MAC地址MAC STA1new與PMKID STA1_AP混合產生的,以及,AP 110將攜帶在關聯請求中的PMKID與新MAC地址MAC STA1new混合生成原本的PMKID。這種替代設計應落入本發明的範圍內。
第6圖根據本發明實施例示出了至少具有示例裝置610和示例裝置620的示例系統600。裝置610和裝置620中的每一個可以執行各種功能以實現本文中描述的允許設備使用MAC地址隨機化和PMKSA緩存重新連接到AP的無線通訊有關的方案,技術,過程和方法,包括以上描述的關於提議的各種設計,概念,方案,系統和方法。例如,裝置610可以是STA1的示例實現,以及,裝置620可以是AP的示例實現。
裝置610和裝置620中的每一個可以是電子裝置的一部分,該電子裝置可以是STA或AP,諸如可擕式或移動裝置,可穿戴裝置,無線通訊裝置或計算裝置。例如,裝置610和裝置620中的每一個可被實現在智慧手機,智慧手錶,個人數位助理,數位相機或計算設備(諸如平板電腦,可擕式計算器或筆記本電腦)中。裝置610和裝置620中的每一個也可以是機器型裝置的一部分,該機器型裝置可以是IoT裝置,諸如不動的或固定的裝置,家用裝置,有線通訊裝置或計算裝置。例如,裝置610和裝置620中的每一個可被實現在智慧恒溫器,智慧冰箱,智慧門鎖,無線揚聲器或家庭控制中心中。當被實現在網路裝置中或被實現為網路裝置時,裝置610和/或裝置620可以被實現在網路節點中,諸如WLAN中的STA和/或AP。
在一些實現中,裝置610和裝置620中的每一個可以以一個或多個積體電路(integrated-circuit,IC)晶片的形式實現,例如但不限於,一個或多個單核處理器,一個或多個多核處理器,一個或多個簡化指令集計算(reduced-instruction-set-computing,RISC)處理器,或一個或多個複雜指令集計算(complex-instruction-set-computing,CISC)處理器。在以上描述的各方案中,裝置610和裝置620中的每一個可以被實現在STA或AP中或被實現為STA或AP。裝置610和裝置620中的每一個可以分別至少包括第6圖中所示的那些組件中的一些,諸如處理器612和處理器622。裝置610和裝置620中的每一個可以進一步包括與本發明的提議方案不相關的一個或多個其它元件(例如,內部電源,顯示器件和/或使用者介面器件),因此,為了簡化和簡潔起見,這樣的組件在第6圖所示的裝置610和裝置620中的每一個中未示出,且下面也不進行描述。
在一方面,處理器612和處理器622中的每一個可以以一個或多個單核處理器、一個或多個多核處理器、一個或多個RISC處理器,或者,一個或多個CISC處理器的形式實現。也就是說,儘管本文使用單數術語“處理器”來指代處理器612和處理器622,但處理器612和處理器622中的每一個在一些實現中可以包括多個處理器,以及,在根據本發明的其它實施方式中可以包括單個處理器。在另一方面,處理器612和處理器622中的每一個可以以具有電子元件的硬體(以及可選地,固體)的形式來實現,所述電子元件包括例如但不限於一個或多個電晶體、一個或多個二極體、一個或多個電容器、一個或多個電阻器、一個或多個電感器、一個或多個憶阻器,和/或,一個或多個變容二極體,其被配置和佈置成根據本發明實施例實現特定目的。換句話說,在至少一些實現中,根據本發明實施例的各種實現,處理器612和處理器622中的每一個是被專門設計、佈置和配置成執行特定任務的專用機器,該特定任務包括與移動通訊中使用MAC地址隨機化和PMKSA緩存重新連接到AP的方案有關。
在一些實現中,裝置610還可以包括耦接到處理器612的收發器616。收發器616能夠無線地發送和接收資料。在一些實現中,裝置620可進一步包括耦接到處理器622的收發器626。收發器626包括能夠無線地發送和接收資料的收發器。裝置610的收發器616和裝置620的收發器626可以通過無線網絡彼此通訊。
在一些實施方式中,裝置610可以進一步包括耦接至處理器612並且能夠被處理器612訪問(access)並在其中存儲資料的記憶體614。在一些實施方式中,裝置620可以進一步包括耦接到處理器622並且能夠被處理器622訪問並在其中存儲資料的記憶體624。記憶體614和記憶體624中的每一個可以包括一種類型的隨機存取記憶體(random-access memory,RAM),諸如動態RAM(dynamic RAM,DRAM),靜態RAM(static RAM,SRAM),晶閘管RAM(thyristor RAM,T-RAM)和/或零電容器RAM(zero-capacitor RAM,Z-RAM)。替代地或附加地,記憶體614和記憶體624中的每一個可以包括一種類型的唯讀記憶體(read-only memory,ROM),諸如掩模ROM,可程式設計ROM(programmable ROM,PROM),可擦除可程式設計ROM(erasable programmable ROM,EPROM)和/或電可擦除可程式設計ROM(electrically erasable programmable ROM,EEPROM)。替代地或另外地,記憶體614和記憶體624中的每一個可以包括一種類型的非易失性隨機存取記憶體(non-volatile random-access memory,NVRAM),諸如快閃記憶體(flash memory),固態記憶體(solid-state memory),鐵電RAM(ferroelectric RAM,FeRAM),磁阻RAM(magnetoresistive RAM,MRAM)和/或相變記憶體(phase-change memory)。
裝置610和裝置620的每一個可以是能夠利用根據本發明的各種提議方案彼此通訊的通訊實體,其用於實現以上描述的無線通訊方法。在一實施例中,裝置610中的收發器和處理器被配置為:通過使用第一媒體訪問控制(MAC)地址及執行認證來連接至接入點(AP),以產生參考成對主密鑰(PMK)和相對應的參考成對主密鑰標識符(PMKID);如果該站點與該AP的連接中斷且該站點嘗試重新連接至該AP,生成包含該站點的第二MAC地址和PMKID(例如,該PMKID是利用第二MAC地址和該參考PMKID產生的)的信息的關聯請求,其中,該關聯請求不包含該站點的該第一MAC地址;以及,向該AP發送該關聯請求。在另一實施例中,裝置620中的收發器和處理器被配置為:接收來自站點的關聯請求;從該關聯請求中讀取PMKID(成對主密鑰標識符)和該站點的參考媒體訪問控制(MAC)地址;利用該站點的該MAC地址對該PMKID進行計算以得到原本的PMKID;確定該原本的PMKID是否與該緩存表中的任一參考PMKID匹配,其中,該緩存表中存儲有多個MAC地址和相應的參考PMKID;以及,如果該原本的PMKID與該緩存表中的其中一個參考PMKID匹配,則確定出該緩存表中記錄的與匹配的參考PMKID相對應的參考MAC地址和該關聯請求中的MAC地址屬於同一個站點。其它實施例的類似描述可參考前述實施例,這裡不再一一贅述。
綜上所述,在第4A圖、第4B圖、第5圖和第6圖所示的實施例中,站點能夠有效地使用MAC地址隨機化和PMKSA緩存重新連接到AP 110,而無需執行802.1X/SAE認證,以及,AP 110可以僅使用部分站點(例如,支持隨機MAC地址和PMKSA緩存的這部分站點)的PMK來解密攜帶在關聯請求中的PMKID。因此,站點的連接時間會更短。另外,與第3圖所示的實施例相比,對於包括表明站點支持隨機化MAC地址和PMKSA緩存的供應商信息的關聯請求,AP 110只需要處理與支持隨機化MAC地址和PMKSA緩存的站點所對應的那些PMK/PMKID,而不是在步驟510、步驟512和步驟514的期間處理緩存表中的所有PMK/PMKID。因此,可以進一步縮短重連時間。
在申請專利範圍中使用諸如“第一”,“第二”,“第三”等序數術語來修改申請專利要素,其本身並不表示一個申請專利要素相對於另一個申請專利要素的任何優先權、優先級或順序,或執行方法動作的時間順序,但僅用作標記,以使用序數詞來區分具有相同名稱的一個申請專利要素與具有相同名稱的另一個元素要素。
雖然已經對本發明實施例及其優點進行了詳細說明,但應當理解的係,在不脫離本發明的精神以及申請專利範圍所定義的範圍內,可以對本發明進行各種改變、替換和變更,例如,可以通過結合不同實施例的若干部分來得出新的實施例。所描述的實施例在所有方面僅用於說明的目的而並非用於限制本發明。本發明的保護範圍當視所附的申請專利範圍所界定者為准。所屬技術領域中具有通常知識者皆在不脫離本發明之精神以及範圍內做些許更動與潤飾。 以上所述僅為本發明之較佳實施例,凡依本發明申請專利範圍所做之均等變化與修飾,皆應屬本發明之涵蓋範圍。
110:接入點(AP) 112:處理器 114:無線通訊模組 300,302,304,306,308,310,312,314,316:步驟 500,502,504,506,508,510,512,514,516,518:步驟 600:系統 610,620:裝置 612,622:處理器 614,624:記憶體 616,626:收發器
通過閱讀後續的詳細描述和實施例可以更全面地理解本發明,該實施例參照附圖給出。 第1圖為本發明一實施例的無線通訊系統的示意圖。 第2A圖是根據本發明一實施例的使用SAE認證在站點與AP之間建立鏈路的方法的流程示意圖。 第2B圖為本發明實施例提供的一種利用802.1X認證在站點與AP之間建立鏈路的方法流程示意圖。 第3圖是根據本發明一實施例的利用PMKSA緩存在站點和AP之間建立連接的方法的流程示意圖。 第4A圖是根據本發明另一實施例的利用SAE認證在站點與AP之間建立鏈路的方法的流程示意圖。 第4B圖是根據本發明另一實施例的利用802.1X認證在站點與AP之間建立鏈路的方法的流程示意圖。 第5圖是根據本發明另一實施例的利用PMKSA緩存在站點與AP之間建立連接的方法的流程示意圖。 第6圖是根據本發明實施例的示例性通訊系統的框圖。
300,302,304,306,308,310,312,314,316:步驟

Claims (18)

  1. 一種無線通訊方法,其適用於站點,其中,該方法包括: 通過使用第一媒體訪問控制(MAC)地址及執行認證來連接至接入點(AP),以產生參考成對主密鑰(PMK)和相應的參考成對主密鑰標識符(PMKID); 如果該站點與該AP的連接中斷且該站點嘗試重新連接至該AP,生成包括該站點的第二MAC地址和與該參考PMKID相關聯的PMKID的信息的關聯請求,其中,該關聯請求不包含該站點的該第一MAC地址;以及, 向該AP發送該關聯請求。
  2. 如請求項1所述之無線通訊方法,其中,生成包括該站點的第二MAC地址和與該參考PMKID相關聯的PMKID的信息的關聯請求的步驟包括: 將該第二MAC地址與該參考PMKID混合,以生成混合後的PMKID;以及, 生成包括該第二MAC地址和該混合後的PMKID的關聯請求。
  3. 如請求項1所述之無線通訊方法,其中,生成包括該站點的第二MAC地址和與該參考PMKID相關聯的PMKID的信息的關聯請求的步驟包括: 將該第二MAC地址與該參考PMKID混合,以生成混合後的PMKID; 使用該參考PMK對該混合後的PMKID進行加密,以生成加密後的PMKID;以及, 生成包括該第二MAC地址和該加密後的PMKID的關聯請求。
  4. 如請求項2或3所述之無線通訊方法,其中,將該第二MAC地址與該參考PMKID混合以生成混合後的PMKID的步驟包括: 對該第二MAC地址和該參考PMKID進行異或運算,以生成該混合後的PMKID。
  5. 如請求項1所述之無線通訊方法,其中,該關聯請求還包括指示該站點支持隨機MAC地址和PMKSA緩存機制的信息元素。
  6. 一種無線通訊方法,其適用於接入點,其中,該方法包括: 接收來自站點的關聯請求; 從該關聯請求中讀取成對主密鑰標識符(PMKID)和該站點的媒體訪問控制(MAC)地址; 利用該站點的該MAC地址對該PMKID進行計算以得到原本的PMKID; 確定該原本的PMKID是否與緩存表中的任一參考PMKID匹配,其中,該緩存表中存儲有多個參考MAC地址和相應的參考PMKID;以及, 如果該原本的PMKID與該緩存表中的其中一個參考PMKID匹配,則確定出該緩存表中記錄的與匹配的參考PMKID相對應的參考MAC地址和該關聯請求中的MAC地址屬於同一個站點。
  7. 如請求項6所述之無線通訊方法,其中,在利用該站點的該MAC地址對該PMKID進行計算以得到原本的PMKID之前,該方法還包括: 檢查該關聯請求中攜帶的該PMKID是否與該緩存表中的任一參考PMKID匹配; 其中,如果該PMKID與該緩存表的內容不匹配,則利用該站點的該MAC地址對該PMKID進行計算,以得到該原本的PMKID。
  8. 如請求項6所述之無線通訊方法,其中,利用該站點的該MAC地址對該PMKID進行計算以得到原本的PMKID的步驟包括: 將該MAC地址與該PMKID混合,以生成混合後的PMKID作為該原本的PMKID。
  9. 如請求項6所述之無線通訊方法,其中,利用該站點的該MAC地址對該PMKID進行計算以得到該原本的PMKID的步驟包括: 使用該緩存表中的至少一個參考PMKID相對應的PMK來解密該PMKID,以生成解密後的PMKID;以及, 將該MAC地址與該PMKID混合,以生成混合後的PMKID作為該原本的PMKID。
  10. 如請求項6所述之無線通訊方法,其中,該方法還包括: 如果該原本的PMKID與該緩存表中的其中一個參考PMKID匹配,則使用該關聯請求中記錄的該MAC地址更新該緩存表中記錄的該參考MAC。
  11. 如請求項6所述之無線通訊方法,其中,該緩存表還包括:與該參考MAC地址相對應的站點是否支持隨機MAC地址和PMKSA緩存機制的資訊。
  12. 如請求項11所述之無線通訊方法,其中,利用該站點的該MAC地址對該PMKID進行計算以得到原本的PMKID的步驟包括: 參照該緩存表以選擇支持該隨機MAC地址和PMKSA緩存機制的至少一個站點; 使用與所選站點相對應的PMK來解密該PMKID,以生成解密後的PMKID;以及, 將該MAC地址與該PMKID混合,以生成混合後的PMKID作為該原本的PMKID。
  13. 如請求項8、9、12中任意一項所述之無線通訊方法,其中,將該MAC地址與該PMKID混合以生成混合後的PMKID作為該原本的PMKID的步驟包括: 對該MAC地址與該PMKID進行異或操作,以生成該混合後的PMKID作為該原本的PMKID。
  14. 一種通訊裝置,其適用於站點,其中,該通訊裝置包括收發器和處理器,以及,該收發器和該處理器被配置為執行以下操作: 通過使用第一媒體訪問控制(MAC)地址及執行認證來連接至接入點(AP),以生成參考成對主密鑰(PMK)和相應的參考成對主密鑰標識符(PMKID); 如果該站點與該AP的連接中斷且該站點嘗試重新連接至該AP,生成包含該站點的第二MAC地址和與該參考PMKID相關聯的PMKID的信息的關聯請求,其中,該關聯請求不包含該站點的該第一MAC地址;以及, 向該AP發送該關聯請求。
  15. 如請求項14所述之通訊裝置,其中,生成包含該站點的第二MAC地址和與該參考PMKID相關聯的PMKID的信息的關聯請求的步驟包括: 將該第二MAC地址與該參考PMKID混合,以生成混合後的PMKID; 使用該參考PMK對該混合後的PMKID進行加密,以生成加密後的PMKID;以及, 生成包含該第二MAC地址和該加密後的PMKID的關聯請求。
  16. 一種通訊裝置,其適用於接入點,其中,該通訊裝置包括收發器和處理器,以及,該收發器和處理器被配置為執行以下操作: 接收來自站點的關聯請求; 從該關聯請求中讀取成對主密鑰標識符(PMKID)和該站點的媒體訪問控制(MAC)地址; 利用該站點的該MAC地址對該PMKID進行計算以得到原本的PMKID; 確定該原本的PMKID是否與該緩存表中的任一參考PMKID匹配,其中,該緩存表中存儲有多個參考MAC地址和相應的參考PMKID;以及, 如果該原本的PMKID與該緩存表中的其中一個參考PMKID匹配,則確定出該緩存表中記錄的與匹配的參考PMKID相對應的參考MAC地址和該關聯請求中的MAC地址屬於同一個站點。
  17. 如請求項16所述之通訊裝置,其中,在利用該站點的該MAC地址對該PMKID進行計算以得到原本的PMKID之前,還包括執行以下操作: 檢查該關聯請求中攜帶的該PMKID是否與該緩存表中的任一參考PMKID匹配; 其中,如果該PMKID與該緩存表的內容不匹配,則利用該站點的該MAC地址對該PMKID進行計算,以得到該原本的PMKID。
  18. 如請求項16所述之通訊裝置,其中,利用該站點的該MAC地址對該PMKID進行計算以得到該原本的PMKID的步驟包括: 使用該緩存表中的至少一個參考PMKID相對應的PMK來解密該PMKID,以生成解密後的PMKID;以及, 將該MAC地址與該PMKID混合,以生成混合後的PMKID作為該原本的PMKID。
TW110139828A 2021-08-04 2021-10-27 一種無線通訊方法及相關的裝置 TWI772211B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/394,338 US12041442B2 (en) 2021-08-04 2021-08-04 Random media access control address with fast reconnection mechanism
US17/394,338 2021-08-04

Publications (2)

Publication Number Publication Date
TWI772211B true TWI772211B (zh) 2022-07-21
TW202308421A TW202308421A (zh) 2023-02-16

Family

ID=83081619

Family Applications (1)

Application Number Title Priority Date Filing Date
TW110139828A TWI772211B (zh) 2021-08-04 2021-10-27 一種無線通訊方法及相關的裝置

Country Status (4)

Country Link
US (1) US12041442B2 (zh)
EP (1) EP4131048A1 (zh)
CN (1) CN115706982A (zh)
TW (1) TWI772211B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12034695B2 (en) * 2022-02-16 2024-07-09 Cisco Technology, Inc. Wireless client media access control (MAC) address collision avoidance

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201427361A (zh) * 2012-08-15 2014-07-01 Interdigital Patent Holdings 增強致能快速安全性設置
US9204473B2 (en) * 2012-01-11 2015-12-01 Interdigital Patent Holdings, Inc. Method and apparatus for accelerated link setup

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11849344B2 (en) * 2020-05-15 2023-12-19 Cisco Technology, Inc. Dynamic media access control addresses in a wireless network
US20210345105A1 (en) * 2021-06-25 2021-11-04 Intel Corporation 4-way handshake optimization

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9204473B2 (en) * 2012-01-11 2015-12-01 Interdigital Patent Holdings, Inc. Method and apparatus for accelerated link setup
TW201427361A (zh) * 2012-08-15 2014-07-01 Interdigital Patent Holdings 增強致能快速安全性設置
US20160142915A1 (en) * 2012-08-15 2016-05-19 Interdigital Patent Holdings, Inc. Enhancements to enable fast security setup

Also Published As

Publication number Publication date
US12041442B2 (en) 2024-07-16
TW202308421A (zh) 2023-02-16
CN115706982A (zh) 2023-02-17
US20230043950A1 (en) 2023-02-09
EP4131048A1 (en) 2023-02-08

Similar Documents

Publication Publication Date Title
US11683162B2 (en) Hosted device provisioning protocol with servers and a networked responder
US9936384B2 (en) Systems and methods for providing security to different functions
US8538023B2 (en) Methods and apparatuses for administrator-driven profile update
US9699655B1 (en) Cellular device authentication
US20060089123A1 (en) Use of information on smartcards for authentication and encryption
WO2020223319A1 (en) Distributed eap-tls authentication for wireless networks with concealed subscriber identities
US20100246818A1 (en) Methods and apparatuses for generating dynamic pairwise master keys
US20190253403A1 (en) Network Authentication Triggering Method and Related Device
US11838417B2 (en) Subscription concealed identifier (SUCI) supporting post-quantum cryptography
TW201304486A (zh) 通信系統中之金鑰產生
WO2018076740A1 (zh) 数据传输方法及相关设备
KR20050027015A (ko) 셀룰러 시스템과 연관된 보안값(들)에 기초하여 무선근거리 네트워크에 대한 액세스를 인증하는 방법
WO2019214351A1 (zh) 消息处理方法及装置
US20190260587A1 (en) Security authentication method and system, and integrated circuit
US11962692B2 (en) Encrypting data in a pre-associated state
JP2010503319A (ja) ネットワーク信用証明書を獲得するためのシステムおよび方法
US20230208656A1 (en) Mutual authentication method and apparatus
TWI772211B (zh) 一種無線通訊方法及相關的裝置
JP4960613B2 (ja) 再設定可能なキー検索エンジン
US20240080666A1 (en) Wireless communication network authentication for a wireless user device that has a circuitry identifier
US20230362631A1 (en) Secure storage and processing of sim data
CN113556736A (zh) 接入方法、服务端、待接入端、电子设备及存储介质
JP3721176B2 (ja) 認証システムおよび暗号化通信システム