專利名稱:基于成對(duì)主密鑰的授權(quán)密鑰交換的制作方法
相關(guān)申請(qǐng)的交叉參考本發(fā)明要求于2003年1月10日申請(qǐng)的,序列號(hào)為No.60/439,238的美國(guó)臨時(shí)申請(qǐng)的優(yōu)先權(quán)。
背景技術(shù):
當(dāng)前無線局域網(wǎng)絡(luò)(WLAN)系統(tǒng)在用戶站點(diǎn)(STA)和新的接入節(jié)點(diǎn)(AP)之間至少使用七個(gè)消息循環(huán)往返,以在漫游過程中建立通信。在不采用預(yù)先授權(quán)或者類似機(jī)制的情況下,則消息的開銷會(huì)更大,因?yàn)樵谌魏畏想姎夂碗娮庸こ處焻f(xié)會(huì)(IEEE)802.11環(huán)境的系統(tǒng)中安全的授權(quán)方案都會(huì)導(dǎo)致IEEE 802.11結(jié)構(gòu)中的至少兩個(gè)或者更多的循環(huán)往返。如今,不安全性的操作已經(jīng)使用了前五個(gè)消息。由于非安全的漫游已認(rèn)為是太昂貴了,因此添加最后的十個(gè)或者更多的消息而不優(yōu)化前五個(gè)消息不會(huì)提高系統(tǒng)性能。
此外,在目前IEEE 802.11結(jié)構(gòu),諸如IEEE 802.11a或者IEEE802.11b中,直到交換了第十一個(gè)消息之后,接入節(jié)點(diǎn)才會(huì)得到無賴用戶站點(diǎn)的指示,直到序列中的第十二個(gè)消息之后,經(jīng)過授權(quán)的用戶站點(diǎn)才會(huì)檢測(cè)到無賴接入節(jié)點(diǎn),因此攻擊者能夠騙取到所有的之前的消息。在能夠檢測(cè)到主動(dòng)攻擊之前,用戶站點(diǎn)和接入節(jié)點(diǎn)都投入了很大數(shù)量的資源,典型地為20或者更多毫秒??赡馨l(fā)生附帶的性能下降,例如,攻擊者可能有意識(shí)地使用序列妨礙信道的使用。
在說明書的結(jié)束部分中,詳細(xì)地指出并明確的聲明了作為本發(fā)明的主題。但是,通過在閱讀附圖并參考以下的詳細(xì)說明,可以最佳程度上得以理解本發(fā)明的組織和方法,以及主題,特征和優(yōu)點(diǎn)。
圖1是根據(jù)本發(fā)明的一個(gè)實(shí)施例的無線局域網(wǎng)絡(luò)系統(tǒng)的框圖;圖2是方法表,用于根據(jù)本發(fā)明的一個(gè)實(shí)施例,在接入節(jié)點(diǎn)和用戶站點(diǎn)之間傳輸信息。
圖3是根據(jù)本發(fā)明的一個(gè)實(shí)施例,用于探測(cè)響應(yīng)的現(xiàn)時(shí)信息單元的圖表。
圖4是根據(jù)本發(fā)明的一個(gè)實(shí)施例,用于重關(guān)聯(lián)請(qǐng)求的成對(duì)主密鑰請(qǐng)求信息單元。
圖5是根據(jù)本發(fā)明的一個(gè)實(shí)施例,重關(guān)聯(lián)響應(yīng)的成對(duì)主密鑰響應(yīng)單元;和圖6是根據(jù)本發(fā)明的一個(gè)實(shí)施例的無線局域網(wǎng)絡(luò)系統(tǒng)中,用于授權(quán)密鑰交換的方法的流程圖。
應(yīng)該理解的是,為了闡述的簡(jiǎn)單和清晰,在附圖中所闡述的單元沒有必要按照比例畫出。例如,為了清晰,一些元件的尺寸相對(duì)于其他元件進(jìn)行了放大。此外,在附圖中重復(fù)使用附圖標(biāo)記,以指明是相對(duì)應(yīng)的或者類似的元件。
具體實(shí)施例方式
在以下的詳細(xì)描述中,為了提供對(duì)本發(fā)明的透徹的理解,提出了若干特定的細(xì)節(jié)。然而,本領(lǐng)域技術(shù)人員應(yīng)該理解的是,在沒有這些特定細(xì)節(jié)的情況下也可以實(shí)現(xiàn)本發(fā)明。在其他例子中,眾所周知的方法,過程,元件和電路沒有進(jìn)行詳細(xì)的描述,從而不會(huì)混淆本發(fā)明。
以下的詳細(xì)描述中的一些部分,用計(jì)算機(jī)存儲(chǔ)器中的數(shù)據(jù)比特或者二進(jìn)制數(shù)字信號(hào)的算法和操作符號(hào)表示。這些算法描述和表示可以是數(shù)據(jù)處理技術(shù)領(lǐng)域的技術(shù)人員所使用的技術(shù),從而將他們的工作實(shí)質(zhì)傳達(dá)給本領(lǐng)域的其他技術(shù)人員。
這里有一個(gè)算法,并且通常將認(rèn)為該算法是導(dǎo)致所期望結(jié)果的動(dòng)作或者操作的自相一致的序列。這些包括物理量的物理操作。通常,盡管沒有必要,這些物理量采取能夠進(jìn)行存儲(chǔ),傳輸,合并,比較和其他操作的電子或者磁信號(hào)的形式。已經(jīng)證明的是,有時(shí),主要由于通常使用的原因,將這些信號(hào)作為比特,值,元素,符號(hào),字符,條件,數(shù)字等是方便的。然而,應(yīng)該理解的是,所有這些術(shù)語和類似的術(shù)語都是與適當(dāng)?shù)奈锢砹肯嚓P(guān)的,并且它們僅僅是用于這些量的便利的標(biāo)記。
除非是另有特別聲明,否則如以下描述中所理解的,在整個(gè)說明書描述中使用諸如處理,運(yùn)算,計(jì)算,決定或者類似術(shù)語,表示計(jì)算機(jī)或者計(jì)算系統(tǒng),或者類似的電子計(jì)算設(shè)備的行為或處理,這些設(shè)備對(duì)由計(jì)算系統(tǒng)的寄存器或者存儲(chǔ)器中用物理量,例如電子量所表示的數(shù)據(jù)進(jìn)行操作,或者將數(shù)據(jù)變換為由計(jì)算系統(tǒng)中的存儲(chǔ)器,寄存器或者其他類似信息存儲(chǔ),傳輸或者顯示設(shè)備中的物理量所類似表示的其他數(shù)據(jù)。
本發(fā)明的實(shí)施例可以包括用于執(zhí)行其操作的設(shè)備。這些設(shè)備可以為所期望的目的而特殊構(gòu)造,或者它可以包括通用目的的計(jì)算設(shè)備,該設(shè)備可以由存儲(chǔ)在設(shè)備中的程序選擇性地激活或者重新設(shè)置。這種程序可以存儲(chǔ)在存儲(chǔ)介質(zhì)中,但不局限于例如任何類型的盤體,包括軟盤,光盤,CD-ROM,磁光盤,只讀存儲(chǔ)器(ROM),隨機(jī)存取存儲(chǔ)器(RAM),電可編程只讀存儲(chǔ)器(EPROM),電可擦除且可編程只讀存儲(chǔ)器(EEPROM),閃存存儲(chǔ)器,磁卡或者光卡,或者任何適合存儲(chǔ)電指令并且能夠耦合在用于計(jì)算設(shè)備的系統(tǒng)總線上的介質(zhì)。
這里所示出的過程和顯示并不固有地與任何特定計(jì)算設(shè)備或者其他設(shè)備相關(guān)。根據(jù)這里的講述,各種通用目的的系統(tǒng)都可以用于該程序,或者可以證明構(gòu)建更加特定的設(shè)備以執(zhí)行所期望的方法也是方便的。從以下的描述中,可以得到多種用于這些系統(tǒng)的所期望的結(jié)構(gòu)。此外,本發(fā)明的實(shí)施例并不涉及任何特殊編程語言。應(yīng)該理解的是,各種編程語言都可以執(zhí)行對(duì)這里所描述的本發(fā)明的講授。
在以下的描述和權(quán)利要求中,可以使用耦合和連接,并連同它們的派生物。在特定實(shí)施例中,連接可以用于表示兩個(gè)或者更多元件相互之間進(jìn)行直接物理連接或者進(jìn)行直接電連接。耦合可以表示兩個(gè)或者更多元件之間進(jìn)行直接物理連接或者電連接。然而,耦合還可以意味著兩個(gè)或者更多元件彼此之間沒有直接接觸,而是可以相互配合或相互作用。
現(xiàn)在參考圖1,描述根據(jù)本發(fā)明的一個(gè)實(shí)施例的無線通信系統(tǒng)。在圖1所示的通信系統(tǒng)100中,用戶站點(diǎn)110可以包括無線收發(fā)器112,其與天線118和處理器114耦合。在一個(gè)實(shí)施例中處理器114可以包括單一處理器,或者可以替換的是,可以包括基帶處理器和應(yīng)用處理器,但本發(fā)明的范圍不局限在該方面。處理器114可以耦合至存儲(chǔ)器16,該存儲(chǔ)器16可以包括易失存儲(chǔ)器,諸如DRAM,非易失存儲(chǔ)器,諸如閃存存儲(chǔ)器,或者可以替換的是,可以包括其他類型的存儲(chǔ)器,諸如硬盤驅(qū)動(dòng)器,聚合體存儲(chǔ)器,或者磁存儲(chǔ)器,但是本發(fā)明的范圍不局限在該方面。存儲(chǔ)器116的一部分或者全部可以包含在與處理器114相同的集成電路中,或者可以替換的是,存儲(chǔ)器116的一部分或者全部可以放置在集成電路和其他介質(zhì)中,例如,硬盤驅(qū)動(dòng)器,它可以在處理器114的集成電路的外部,但是本發(fā)明的范圍不局限在該方面。
用戶站點(diǎn)110可以通過無線通信鏈接120與接入節(jié)點(diǎn)124通信,這里接入節(jié)點(diǎn)124,和可選的用戶站點(diǎn)110可以包括至少一個(gè)天線122,或者在可替換的實(shí)施例中可以包括多個(gè)天線,例如在空分多路存取(SDMA)系統(tǒng)中,多個(gè)輸入多個(gè)輸出(MIMO)系統(tǒng)中等等,但是本發(fā)明的范圍不局限在該方面。在可以替換的實(shí)施例中,接入節(jié)點(diǎn)124可以是無線蜂窩電信系統(tǒng)中的基站或者節(jié)點(diǎn)B,但是本發(fā)明的范圍不局限在該方面。接入節(jié)點(diǎn)124可以與網(wǎng)絡(luò)126耦合,從而用戶站點(diǎn)110通過無線通信鏈接120與接入節(jié)點(diǎn)124通信,可以與網(wǎng)絡(luò)126通信,包括與網(wǎng)絡(luò)126耦合的設(shè)備。網(wǎng)絡(luò)126可以包括公共網(wǎng)絡(luò),諸如電話網(wǎng)絡(luò)或者因特網(wǎng),或者可以替換地,網(wǎng)絡(luò)126可以包括專用網(wǎng)絡(luò),諸如內(nèi)部網(wǎng),或者可以是公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的組合,但是本發(fā)明的范圍不局限在該方面。在用戶站點(diǎn)110和接入節(jié)點(diǎn)128之間的通信可以通過無線局域網(wǎng)絡(luò)(WLAN)實(shí)現(xiàn),例如,符合電氣和電子工程師協(xié)會(huì)(IEEE)標(biāo)準(zhǔn),諸如IEEE 802.11a,IEEE 802.11b,IEEE 802.16等的網(wǎng)絡(luò),但是本發(fā)明的范圍不局限在該方面。在另外一個(gè)實(shí)施例中,用戶站點(diǎn)110和接入節(jié)點(diǎn)124之間的通信可以通過符合第三代伙伴計(jì)劃(Third Generation PartnershipProject,3GPP)的蜂窩通信網(wǎng)絡(luò)實(shí)現(xiàn),但是本發(fā)明的范圍不局限在該方面。
現(xiàn)在參考圖2,描述根據(jù)本發(fā)明的一個(gè)實(shí)施例,在接入節(jié)點(diǎn)和用戶站點(diǎn)之間傳輸信息的方法表。在本發(fā)明的一個(gè)實(shí)施例中,根據(jù)IEEE 802.11標(biāo)準(zhǔn),兩個(gè)參與方或者兩個(gè)設(shè)備可以相互建立通信,其中在一個(gè)特定實(shí)施例中可以符合IEEE 802.11i標(biāo)準(zhǔn),但是本發(fā)明的范圍不局限在該方面。這里為了參照的目的,A可以指接入節(jié)點(diǎn)124,S可以指用戶站點(diǎn)110,但是本發(fā)明的范圍不局限在該方面。如圖2所示,接入節(jié)點(diǎn)124可以在探測(cè)響應(yīng)中響應(yīng)來自用戶站點(diǎn)110的探測(cè),在探測(cè)響應(yīng)過程中,接入節(jié)點(diǎn)124可以向用戶站點(diǎn)110發(fā)送現(xiàn)時(shí)信息(nonce)ANONCE(AP→STA)。在本發(fā)明的一個(gè)實(shí)施例中,現(xiàn)時(shí)信息可以是一個(gè)值,該值用于與密鑰的關(guān)聯(lián)中,并且可以在重新產(chǎn)生密鑰中使用。在本發(fā)明的一個(gè)實(shí)施例中,現(xiàn)時(shí)信息可以最多使用一次,但是本發(fā)明的范圍不局限在該方面。在本發(fā)明的一個(gè)實(shí)施例中,現(xiàn)時(shí)信息可以是隨機(jī)或者偽隨機(jī)值。如圖2所示,ANONCE可以指接入節(jié)點(diǎn)124的現(xiàn)時(shí)信息。在稱為重關(guān)聯(lián)請(qǐng)求的過程中,在對(duì)探測(cè)響應(yīng)的應(yīng)答中,用戶站點(diǎn)110可以將ANONCE和用戶站點(diǎn)110的現(xiàn)時(shí)信息SNONCE,連同第一消息完整性碼(MIC1)一起返回傳輸?shù)浇尤牍?jié)點(diǎn)124(STA→AP)。SNONCE同樣可以是隨機(jī)或者偽隨機(jī)值。在響應(yīng)從用戶站點(diǎn)110接收到的重關(guān)聯(lián)請(qǐng)求中,接入節(jié)點(diǎn)124將用戶站點(diǎn)110的現(xiàn)時(shí)信息SNONCE,連同第二消息完整性碼(MIC2)返回傳輸?shù)接脩粽军c(diǎn)110(AP→STA)。消息完整性碼MIC1和MIC2可以用于在IEEE 802.11信道上標(biāo)記信息,并且可以包括HMAC-SHA-1,AES-CBC-MAC和PMAC,或者其它任意密碼學(xué)安全信息完整性碼,但是本發(fā)明的范圍不局限在該方面。
根據(jù)本發(fā)明的一個(gè)實(shí)施例,用戶站點(diǎn)110和接入節(jié)點(diǎn)124可以共享稱之為成對(duì)主密鑰(PMK)的對(duì)稱密鑰,以控制對(duì)它們之間的信道的訪問。根據(jù)本發(fā)明的一個(gè)實(shí)施例,成對(duì)主密鑰可以來自密碼,或者可以替換的是可以動(dòng)態(tài)地被指定,但是本發(fā)明的范圍不局限在該方面。根據(jù)本發(fā)明的一個(gè)實(shí)施例,成對(duì)主密鑰可以以安全的方式發(fā)布,并且因此對(duì)于潛在的對(duì)手是不可知的,但是本發(fā)明的范圍不局限在該方面。此外,如圖2所示,根據(jù)本發(fā)明所執(zhí)行的安全協(xié)議可以用三個(gè)控制消息的序列實(shí)現(xiàn),但是本發(fā)明的范圍不局限在該方面。此外,這樣的控制消息序列可以通過彼此通信的兩個(gè)或者更多節(jié)點(diǎn)中的任意一個(gè)進(jìn)行初始化,典型的是,從第一節(jié)點(diǎn)到第二節(jié)點(diǎn),從第二節(jié)點(diǎn)到第一節(jié)點(diǎn),然后再從第一節(jié)點(diǎn)到第二節(jié)點(diǎn),但是本發(fā)明的范圍不局限在該方面。
現(xiàn)在參考圖3,描述根據(jù)本發(fā)明的一個(gè)實(shí)施例,用于探測(cè)響應(yīng)的現(xiàn)時(shí)信息單元的圖表。現(xiàn)時(shí)信息單元300可以由接入節(jié)點(diǎn)124進(jìn)行傳輸,用于重新產(chǎn)生密鑰的事件。在本發(fā)明的一個(gè)實(shí)施例中,現(xiàn)時(shí)信息單元300可以是如圖2所示的ANONCE,并且可以是偽隨機(jī)值。通過在探測(cè)響應(yīng)中指定ANONCE,可能不會(huì)獲得重關(guān)聯(lián)查詢消息和重關(guān)聯(lián)響應(yīng)消息之外的第三重關(guān)聯(lián)消息。在本發(fā)明的一個(gè)實(shí)施例中,ANONCE由接入節(jié)點(diǎn)124進(jìn)行緩存,以確認(rèn)來自用戶站點(diǎn)110的重關(guān)聯(lián)請(qǐng)求,如下所述。現(xiàn)時(shí)信息單元300可以用于確認(rèn)現(xiàn)時(shí)信息,并且可以由接入節(jié)點(diǎn)124和用戶站點(diǎn)110所支持,接入節(jié)點(diǎn)124和用戶站點(diǎn)110基于授權(quán)密鑰交換(AKE)執(zhí)行成對(duì)主密鑰(PMK)?,F(xiàn)時(shí)信息單元300可以包括一個(gè)八位字節(jié)的單元ID,一個(gè)八位字節(jié)的長(zhǎng)度指示符,和32個(gè)八位字節(jié)或者256比特的當(dāng)前值。在本發(fā)明的一個(gè)實(shí)施例中,現(xiàn)時(shí)信息300可以是不同于每個(gè)探測(cè)響應(yīng)(Probe Response)的偽隨機(jī)值。
現(xiàn)在參考圖4,描述根據(jù)本發(fā)明的一個(gè)實(shí)施例,用于重關(guān)聯(lián)請(qǐng)求的成對(duì)主密鑰請(qǐng)求信息單元。PMK請(qǐng)求信息單元400可以從用戶站點(diǎn)110傳輸?shù)浇尤牍?jié)點(diǎn)124,并且可以包括ANONCE,SNONCE和MIC1,如圖2所示。MIC1值將ANONCE和SNONCE綁定在一起,因此,來自重關(guān)聯(lián)請(qǐng)求中的探測(cè)響應(yīng)和SNONCE的各個(gè)詢問ANONCE不是不獨(dú)立的。PMK請(qǐng)求信息單元400可以包括一個(gè)八位字節(jié)的單元ID,一個(gè)八位字節(jié)的長(zhǎng)度指示符,8個(gè)八位字節(jié)的密鑰ID,32個(gè)八位字節(jié)的ANONCE,32個(gè)八位字節(jié)的SNONCE,和16個(gè)八位字節(jié)的MIC,但是本發(fā)明的范圍不局限在該方面。密鑰ID可以是PMK請(qǐng)求單元400的名字。SNONCE可以是由用戶站點(diǎn)110產(chǎn)生的偽隨機(jī)值。PMK請(qǐng)求信息單元400的MIC可以對(duì)應(yīng)于圖2的MIC1,并且可以使用所得到的密鑰確認(rèn)密鑰(KCK)、ANONCE和SNONCE計(jì)算得到,具體如下MIC(KCK,ANONCE||SNONCE)→MIC1其中||表示級(jí)聯(lián)。密鑰確認(rèn)密鑰可以由如下得到PRF(PMK,BSSIDAP||MAC-ADDRSTA)→KCK||KEK||TK其中,PMK為成對(duì)主密鑰,BSSIDAP為接入節(jié)點(diǎn)124的介質(zhì)訪問控制(MAC)地址,MAC-ADDRSTA為用戶站點(diǎn)110的MAC地址。所獲得的密鑰為密鑰確認(rèn)密鑰(KCK)、密鑰加密密鑰(KEK)和臨時(shí)密鑰(TK),臨時(shí)密鑰為臨時(shí)的或者運(yùn)算中的密鑰。PRF指?jìng)坞S機(jī)函數(shù),它可以是任意的偽隨機(jī)函數(shù)。在重關(guān)聯(lián)請(qǐng)求中,用戶站點(diǎn)110可以根據(jù)從接入節(jié)點(diǎn)124接收到的最新探測(cè)響應(yīng)重新生成現(xiàn)時(shí)信息值A(chǔ)NONCE,如圖2所示,但是本發(fā)明的范圍不局限在該方面。
在本發(fā)明的一個(gè)實(shí)施例中,MIC的值MIC1可以不對(duì)BSSIDAP和MAC-ADDRSTA進(jìn)行顯形保護(hù),因?yàn)樗鼈冇糜谟?jì)算PTK,因此由MIC1進(jìn)行隱性保護(hù),但是本發(fā)明的范圍不局限在該方面。ANONCE的不可預(yù)測(cè)性可以對(duì)接入節(jié)點(diǎn)124確保所獲得的密鑰是新的。該獲取可以將BSSIDAP和MAC-ADDRSTA綁定到PTK,因此表明它們是可以與這些密鑰一同使用的唯一地址,但是本發(fā)明的范圍不局限在該方面。
現(xiàn)在參考圖5,描述根據(jù)本發(fā)明的一個(gè)實(shí)施例,重關(guān)聯(lián)響應(yīng)的PMK響應(yīng)單元。PMK響應(yīng)單元500可以在如圖2所示的重關(guān)聯(lián)響應(yīng)中,從接入節(jié)點(diǎn)124傳輸?shù)接脩粽军c(diǎn)110。PMK響應(yīng)單元500可以包括一個(gè)八位字節(jié)的單元ID,一個(gè)八位字節(jié)的長(zhǎng)度指示符,八個(gè)八位字節(jié)的密鑰ID,一個(gè)八位字節(jié)的組臨時(shí)密鑰(GTK)長(zhǎng)度,一個(gè)GTK長(zhǎng)度個(gè)八位字節(jié)的包裝的GTK,6個(gè)八位字節(jié)的RSC,32個(gè)八位字節(jié)的一組當(dāng)前消息(GNONCE),和16個(gè)八位字節(jié)的MIC。長(zhǎng)度指示符可以是65+n,其中n是GTK長(zhǎng)度域的值,其中長(zhǎng)度指示符是在PMK信息單元500中的八位字節(jié)的數(shù)量。密鑰ID是用于重關(guān)聯(lián)的PMK響應(yīng)單元500的名字,MIC2可以從以下得到MIC(KEK,RSN-IEAP||PMK-RESP-IE)其中KEK可以從對(duì)應(yīng)于圖4敘述的重關(guān)聯(lián)請(qǐng)求中獲得,RSN-IEAP是接入節(jié)點(diǎn)124的探測(cè)響應(yīng)現(xiàn)時(shí)信息單元300,PMK-RESP-IE是用戶站點(diǎn)110的PMK響應(yīng)信息單元400。在本發(fā)明的一個(gè)實(shí)施例中,用戶站點(diǎn)110可以提供隨機(jī)取值的SNONCE,以提供有效的MIC2值,該值可以允許用戶站點(diǎn)110判定如圖2所示的從接入節(jié)點(diǎn)124接收到的重關(guān)聯(lián)響應(yīng)是有效值,而不是重新采用的值。其結(jié)果是,從PMK獲得正確的KCK,從而產(chǎn)生有效的MIC2,因此允許接入節(jié)點(diǎn)124得到對(duì)于用戶站點(diǎn)110的授權(quán),但是本發(fā)明的范圍不局限在該方面。
現(xiàn)在參考圖6,描述根據(jù)本發(fā)明的一個(gè)實(shí)施例的無線局域網(wǎng)絡(luò)系統(tǒng)中,用于授權(quán)密鑰交換的方法的流程圖。如圖6所示,方法600可以表示基于圖1的用戶站點(diǎn)110和接入節(jié)點(diǎn)124之間授權(quán)的密鑰交換(AKE)的成對(duì)主密鑰(PMK),如圖2所闡述,并在這里敘述,但是本發(fā)明的范圍不局限在該方面。在塊610,用戶站點(diǎn)110可以將探測(cè)請(qǐng)求作為詢問傳輸?shù)降慕尤牍?jié)點(diǎn)124。在塊612,在接收到探測(cè)請(qǐng)求后,接入節(jié)點(diǎn)124可以發(fā)送它的現(xiàn)時(shí)信息單元300ANONCE,作為對(duì)探測(cè)請(qǐng)求的探測(cè)響應(yīng)。在塊614,在接收到探測(cè)響應(yīng)后,用戶站點(diǎn)110可以基于ANONCE,它自己的現(xiàn)時(shí)信息SNONCE,和基于第一消息完整性碼MIC1,產(chǎn)生PMK信息單元400。然后,在塊616,通過將PMK信息單元400傳輸?shù)浇尤牍?jié)點(diǎn)124,用戶站點(diǎn)110可以在重關(guān)聯(lián)請(qǐng)求中請(qǐng)求重新產(chǎn)生密鑰。然后,在塊618,基于用戶站點(diǎn)110的現(xiàn)時(shí)信息SNONCE,和基于第二消息完整性碼MIC2,接入節(jié)點(diǎn)124可以產(chǎn)生PMK響應(yīng)信息單元500。在塊620,接入節(jié)點(diǎn)124可以確定從用戶站點(diǎn)110接受到的重關(guān)聯(lián)請(qǐng)求是否有效。在塊628中,在重關(guān)聯(lián)請(qǐng)求無效的情況下,可以拋棄重關(guān)聯(lián)請(qǐng)求。反之,在塊622,如果重關(guān)聯(lián)請(qǐng)求有效,則接入節(jié)點(diǎn)124可以將PMK響應(yīng)信息單元500作為重關(guān)聯(lián)響應(yīng)傳輸?shù)接脩粽军c(diǎn)110。在塊624,用戶站點(diǎn)110可以判斷重關(guān)聯(lián)響應(yīng)是否有效,如果無效,在塊628則可以拋棄該響應(yīng)。反之,在塊626,如果重關(guān)聯(lián)響應(yīng)有效,則用戶站點(diǎn)可以與接入節(jié)點(diǎn)124通信,但是本發(fā)明的范圍不局限在該方面。
盡管采用一定程度上的特殊性描述了本發(fā)明,本領(lǐng)域技術(shù)人員應(yīng)該理解,這里的組成部分可以改變而不會(huì)脫離本發(fā)明的精神和范圍。應(yīng)該確信的是,通過之前的描述,本發(fā)明的基于成對(duì)主密鑰的授權(quán)密鑰交換和伴隨它的很多優(yōu)點(diǎn)應(yīng)該會(huì)被理解。并且應(yīng)該清楚的是,在其中的形式上、結(jié)構(gòu)上和組成部分的排列上可以進(jìn)行各種改變,而不會(huì)脫離本發(fā)明的范圍和思想,或者不會(huì)犧牲它的所有的實(shí)質(zhì)性優(yōu)點(diǎn),這里,之前所述的形式僅僅是其說明性的實(shí)施例,此外也不會(huì)提供其實(shí)質(zhì)性的改變。權(quán)利要求意圖包含和包括這種改變。
權(quán)利要求
1.一種方法,包括響應(yīng)探測(cè)請(qǐng)求,在探測(cè)響應(yīng)中傳輸現(xiàn)時(shí)信息。
2.根據(jù)權(quán)利要求1的方法,還包括從接收所傳輸?shù)默F(xiàn)時(shí)信息的用戶站點(diǎn)接收基于成對(duì)主密鑰的信息單元作為重關(guān)聯(lián)請(qǐng)求,其中用戶站點(diǎn)基于探測(cè)響應(yīng)中傳輸?shù)默F(xiàn)時(shí)信息,附加的現(xiàn)時(shí)信息和消息完整性碼,生成基于成對(duì)主密鑰的信息單元,該消息完整性碼是從成對(duì)主密鑰中得到。
3.根據(jù)權(quán)利要求2的方法,還包括基于附加的現(xiàn)時(shí)信息和附加的消息完整性碼,生成成對(duì)主密鑰響應(yīng)單元,該附加的消息完整性碼從成對(duì)主密鑰中得到;和將成對(duì)主密鑰響應(yīng)單元作為重關(guān)聯(lián)響應(yīng)進(jìn)行傳輸。
4.根據(jù)權(quán)利要求3的方法,還包括在用戶站點(diǎn)接收到重關(guān)聯(lián)響應(yīng)后,與用戶站點(diǎn)進(jìn)行通信。
5.一種方法,包括將探測(cè)請(qǐng)求傳輸?shù)浇尤牍?jié)點(diǎn);和接收響應(yīng)探測(cè)請(qǐng)求而傳輸?shù)默F(xiàn)時(shí)信息。
6.根據(jù)權(quán)利要求5的方法,還包括基于在探測(cè)響應(yīng)中傳輸?shù)默F(xiàn)時(shí)信息、附加的現(xiàn)時(shí)信息和消息完整性碼,生成基于成對(duì)主密鑰的信息單元,該消息完整性碼從該成對(duì)主密鑰中得到;和將基于成對(duì)主密鑰的信息單元作為重關(guān)聯(lián)請(qǐng)求傳輸?shù)浇尤牍?jié)點(diǎn)。
7.根據(jù)權(quán)利要求6的方法,還包括從接入節(jié)點(diǎn)接收成對(duì)主密鑰響應(yīng)單元,其中成對(duì)主密鑰響應(yīng)單元作為重關(guān)聯(lián)響應(yīng)由接入站點(diǎn)進(jìn)行傳輸,并且其是基于附加的現(xiàn)時(shí)信息和附加的消息完整性碼,該附加的消息完整性碼從成對(duì)主密鑰中得到。
8.根據(jù)權(quán)利要求7的方法,還包括在接收到重關(guān)聯(lián)響應(yīng)之后與接入節(jié)點(diǎn)進(jìn)行通信。
9.一種制造的產(chǎn)品,包括其中存儲(chǔ)了指令的存儲(chǔ)介質(zhì),在通過計(jì)算機(jī)平臺(tái)執(zhí)行指令時(shí),通過以下導(dǎo)致授權(quán)密鑰交換響應(yīng)探測(cè)請(qǐng)求,在探測(cè)響應(yīng)中傳輸現(xiàn)時(shí)信息。
10.根據(jù)權(quán)利要求9的產(chǎn)品,其中當(dāng)執(zhí)行該指令時(shí),還通過以下導(dǎo)致授權(quán)密鑰交換從接收所傳輸?shù)默F(xiàn)時(shí)信息的用戶站點(diǎn)接收基于成對(duì)主密鑰的信息單元作為重關(guān)聯(lián)請(qǐng)求,其中用戶站點(diǎn)基于探測(cè)響應(yīng)中的現(xiàn)時(shí)信息,附加的現(xiàn)時(shí)信息和消息完整性碼,生成基于成對(duì)主密鑰的信息單元,該消息完整性碼是從成對(duì)主密鑰中得到。
11.根據(jù)權(quán)利要求10的產(chǎn)品,其中當(dāng)執(zhí)行該指令時(shí),還通過以下導(dǎo)致授權(quán)密鑰交換基于附加的現(xiàn)時(shí)信息和附加的消息完整性碼,生成成對(duì)主密鑰響應(yīng)單元,該附加的消息完整性碼從成對(duì)主密鑰中得到;和將成對(duì)主密鑰響應(yīng)單元作為重關(guān)聯(lián)響應(yīng)進(jìn)行傳輸。
12.根據(jù)權(quán)利要求11的產(chǎn)品,其中當(dāng)執(zhí)行該指令時(shí),還通過在用戶站點(diǎn)接收到重關(guān)聯(lián)響應(yīng)后與用戶站點(diǎn)進(jìn)行通信,導(dǎo)致授權(quán)密鑰交換。
13.一種制造的產(chǎn)品,包括其中存儲(chǔ)了指令的存儲(chǔ)介質(zhì),在通過計(jì)算機(jī)平臺(tái)執(zhí)行指令時(shí),通過以下導(dǎo)致授權(quán)密鑰交換將探測(cè)請(qǐng)求傳輸?shù)浇尤牍?jié)點(diǎn);和接收響應(yīng)探測(cè)請(qǐng)求而傳輸?shù)默F(xiàn)時(shí)信息。
14.根據(jù)權(quán)利要求13的產(chǎn)品備,其中當(dāng)執(zhí)行該指令時(shí),還通過以下導(dǎo)致授權(quán)密鑰交換基于在探測(cè)響應(yīng)中傳輸?shù)默F(xiàn)時(shí)信息、附加的現(xiàn)時(shí)信息和消息完整性碼,生成基于成對(duì)主密鑰的信息單元,該消息完整性碼從成對(duì)主密鑰中得到;和將基于成對(duì)主密鑰的信息單元作為重關(guān)聯(lián)請(qǐng)求傳輸?shù)浇尤牍?jié)點(diǎn)。
15.根據(jù)權(quán)利要求14的產(chǎn)品,其中當(dāng)執(zhí)行該指令時(shí),還通過以下步驟導(dǎo)致授權(quán)密鑰交換從接入節(jié)點(diǎn)接收成對(duì)主密鑰響應(yīng)單元,其中成對(duì)主密鑰響應(yīng)單元作為重關(guān)聯(lián)響應(yīng)由接入站點(diǎn)進(jìn)行傳輸,并且其是基于附加的現(xiàn)時(shí)信息和附加的消息完整性碼,該附加的消息完整性碼從成對(duì)主密鑰中得到。
16.根據(jù)權(quán)利要求15的產(chǎn)品,其中當(dāng)執(zhí)行該指令時(shí),還通過在接收到重關(guān)聯(lián)響應(yīng)之后與接入節(jié)點(diǎn)進(jìn)行通信,導(dǎo)致授權(quán)密鑰交換。
17.一種設(shè)備,包括全向天線;收發(fā)器,其與上述全向天線耦合;和基帶處理器,用于生成要傳輸?shù)浇尤牍?jié)點(diǎn)的探測(cè)請(qǐng)求,并且接收響應(yīng)探測(cè)請(qǐng)求而傳輸?shù)默F(xiàn)時(shí)信息。
18.根據(jù)權(quán)利要求17的設(shè)備,所述基帶處理器基于在探測(cè)響應(yīng)中傳輸?shù)默F(xiàn)時(shí)信息、附加的現(xiàn)時(shí)信息和消息完整性碼,生成基于成對(duì)主密鑰的信息單元,該消息完整性碼從該成對(duì)主密鑰中得到,將基于成對(duì)主密鑰的信息單元作為重關(guān)聯(lián)請(qǐng)求傳輸?shù)浇尤牍?jié)點(diǎn)。
19.根據(jù)權(quán)利要求18的設(shè)備,所述基帶處理器用于從接入節(jié)點(diǎn)接收成對(duì)主密鑰響應(yīng)單元,其中成對(duì)主密鑰響應(yīng)單元作為重關(guān)聯(lián)響應(yīng)由接入站點(diǎn)進(jìn)行傳輸,并且其是基于附加的現(xiàn)時(shí)信息和附加的消息完整性碼,該附加的消息完整性碼從成對(duì)主密鑰中得到。
20.根據(jù)權(quán)利要求19的設(shè)備,所述基帶處理器用于在接收到重關(guān)聯(lián)響應(yīng)之后,建立與接入節(jié)點(diǎn)的通信。
全文摘要
根據(jù)本發(fā)明的一個(gè)實(shí)施例,在無線局域網(wǎng)中可以使用成對(duì)主密鑰以在重新產(chǎn)生密鑰事件期間產(chǎn)生用于授權(quán)密鑰交換的現(xiàn)時(shí)信息。
文檔編號(hào)H04L12/56GK1846398SQ200480025042
公開日2006年10月11日 申請(qǐng)日期2004年8月20日 優(yōu)先權(quán)日2003年9月2日
發(fā)明者J·沃克爾 申請(qǐng)人:英特爾公司