專利名稱:用于在無(wú)線局域網(wǎng)中預(yù)認(rèn)證無(wú)線站的裝置、方法和制品的制作方法
用于在無(wú)線局域網(wǎng)中預(yù)認(rèn)證無(wú)線站的裝置、方法和制品
站旦 ff豕
無(wú)線聯(lián)網(wǎng)硬件要求使用處理射頻以及數(shù)據(jù)傳輸?shù)牡讓蛹夹g(shù)。被最為廣泛地使用的標(biāo)準(zhǔn) 是由電氣和電子工程師學(xué)會(huì)(IEEE)所提出的802.11。這是定義射頻無(wú)線聯(lián)網(wǎng)的所有方面 的標(biāo)準(zhǔn)。IEEE 802.1 li定義用于正EE 802.11無(wú)線局域網(wǎng)(WLAN)的安全性體系結(jié)構(gòu)。 這一新的體系結(jié)構(gòu)的一個(gè)重要部分在于它的密鑰管理協(xié)議,該密鑰管理協(xié)議被稱為4次握 手(4-Way Handshake) 。 IEEE 802.11i可以使用4次握手來(lái)建立可以用來(lái)保護(hù)后續(xù)數(shù)據(jù)分 組(packet)的加密會(huì)話(session)密鑰。盡管4次握手是一種正EE 802.Ui交換,但是 該協(xié)議可以使用正EE 802.1X消息來(lái)實(shí)現(xiàn)。
IEEE 802.1 li體系結(jié)構(gòu)的限制在于它僅可以在移動(dòng)無(wú)線局域網(wǎng)站(station, STA)與 AP關(guān)聯(lián)之后使用。這是因?yàn)镮EEE 802.11i定義了固定的步驟序列發(fā)現(xiàn),關(guān)聯(lián),認(rèn)證, 建立密鑰,以及傳送數(shù)據(jù)。這意味著在該體系結(jié)構(gòu)之下,在4次握手完成之前保護(hù)任何被 交換的分組可能是不可行的。具體來(lái)說(shuō),這可能使802.11管理幀面臨直接的攻擊。這可以 包括諸如關(guān)聯(lián)、解除關(guān)聯(lián)和解除認(rèn)證的傳統(tǒng)管理幀,并且還可以包括諸如正EE 802.11k 無(wú)線電測(cè)量幀的較新的機(jī)制(mechanism)。針對(duì)關(guān)聯(lián)、解除關(guān)聯(lián)和解除認(rèn)證幀的攻擊可 能許可敵方制造新的拒絕服務(wù)攻擊以及截獲合法會(huì)話。針對(duì)無(wú)線電測(cè)量幀的攻擊可以破壞 通過(guò)優(yōu)化連接來(lái)改善用戶感受的能力。因此,對(duì)于為IEEE 802.11無(wú)線通信(包括無(wú)線局 域網(wǎng))提供安全性體系結(jié)構(gòu)并因此使更安全、高效和可靠的無(wú)線通信和聯(lián)網(wǎng)能夠進(jìn)行的更 好方式而言,存在著持續(xù)的需求。
附圖簡(jiǎn)要說(shuō)明
在本說(shuō)明書的結(jié)論部分,特別指出并清楚地要求了本發(fā)明的主題。然而,當(dāng)與附圖一 起閱讀時(shí),通過(guò)參考以下詳細(xì)描述,本發(fā)明關(guān)于操作的組織和方法,以及本發(fā)明的目的、 特征和優(yōu)點(diǎn)可以得到最好的理解,其中
圖1圖示預(yù)認(rèn)證信道所使用的消息流路徑(path);
圖2圖示正常情況下在預(yù)認(rèn)證信道上的消息流;以及
圖3描繪錯(cuò)誤情況下在預(yù)認(rèn)證信道上的消息流。
應(yīng)該理解,為了圖示說(shuō)明的簡(jiǎn)單和清晰,附圖中圖示的要素沒(méi)有必要按比例繪制。例 如,為了清晰, 一些要素的尺寸可能相對(duì)于其他要素被夸大。此外,在被認(rèn)為適當(dāng)?shù)牡胤剑?在附圖中重復(fù)了參考數(shù)字,以指示對(duì)應(yīng)或者類似的要素。
詳細(xì)描述 在以下描述中,闡述了很多具體的細(xì)節(jié),以提供對(duì)本發(fā)明的完整理解。然而,本領(lǐng)域 技術(shù)人員將會(huì)理解,無(wú)需這些具體的細(xì)節(jié)可以實(shí)踐本發(fā)明。此外,沒(méi)有詳細(xì)描述公知的方 法、過(guò)程、組件和電路,以免模糊本發(fā)明。
下面詳細(xì)說(shuō)明的某些部分是根據(jù)計(jì)算機(jī)存儲(chǔ)器內(nèi)針對(duì)數(shù)據(jù)位或者二進(jìn)制數(shù)字信號(hào)的 操作的算法和符號(hào)表示來(lái)進(jìn)行描述的。這些算法的描述和表示可以是數(shù)據(jù)處理領(lǐng)域技術(shù)人 員用來(lái)將他們工作的實(shí)質(zhì)傳達(dá)給本領(lǐng)域其他技術(shù)人員的技術(shù)。
算法在這里,并且普遍地,被認(rèn)為是導(dǎo)致所要求結(jié)果的自我一致的(self-consistent) 動(dòng)作或者操作序列。它們包括物理量的物理處理。雖然不是必須的,這些量通常采取能夠 被儲(chǔ)存、傳送、組合、比較和以其他方式操作的電信號(hào)或者磁信號(hào)的形式。主要出于通用 的原因,將這些信號(hào)稱為位、值、元素、符號(hào)、字符、項(xiàng)、數(shù)等已常常證明是方便的。然 而,應(yīng)該可以理解,所有這些和類似的術(shù)語(yǔ)都是與適當(dāng)?shù)奈锢砹肯嚓P(guān)聯(lián)的,并且僅僅是應(yīng) 用于這些量的簡(jiǎn)便標(biāo)記。
除非另外具體陳述,正如從下面的討論中可以看出,應(yīng)該可以理解,在整個(gè)說(shuō)明書討 論中使用術(shù)語(yǔ)比如"處理"、"計(jì)算"、"運(yùn)算"、"確定"等等是指計(jì)算機(jī)或計(jì)算系統(tǒng)、或類似 電子計(jì)算設(shè)備的動(dòng)作或過(guò)程(process),所述動(dòng)作和/或過(guò)程將表示為計(jì)算系統(tǒng)的寄存器 或存儲(chǔ)器內(nèi)的物理(如電子)量的數(shù)據(jù)操作或轉(zhuǎn)換成為類似地表示為計(jì)算系統(tǒng)的存儲(chǔ)器、 寄存器或者其他此類信息存儲(chǔ)、傳輸或者顯示設(shè)備內(nèi)的物理量的其他數(shù)據(jù)。
本發(fā)明的實(shí)施方案可以包括用于進(jìn)行本文所述操作的裝置。裝置可以為所期望的目的 而專門構(gòu)造,或者可以包括通用計(jì)算設(shè)備,所述計(jì)算設(shè)備由存儲(chǔ)在該設(shè)備里的程序來(lái)有選 擇性地激活或者重新配置。這樣的程序可儲(chǔ)存在儲(chǔ)存介質(zhì)上,例如,但不局限于,任何類 型的盤,包括軟盤、光盤、致密盤只讀存儲(chǔ)器(CD-ROM)、磁光盤、只讀存儲(chǔ)器(ROM)、 隨機(jī)訪問(wèn)存儲(chǔ)器(RAM)、電可編程只讀存儲(chǔ)器(EPROM)、電可擦除和可編程只讀存 儲(chǔ)器(EEPROM)、磁或光卡,或者其他任何類型的適合于儲(chǔ)存電子指令并且能夠耦合到 計(jì)算設(shè)備系統(tǒng)總線上的介質(zhì)。
此處所介紹的過(guò)程和顯示并不固有地涉及任何特定的計(jì)算設(shè)備或者其他裝置。不同的 通用系統(tǒng)可以與根據(jù)本文教導(dǎo)的程序一起使用,或者,可以證明構(gòu)造更專門的裝置來(lái)實(shí)現(xiàn) 所期望的方法是方便的。用于各種這些系統(tǒng)的所期望結(jié)構(gòu)將出現(xiàn)在以下的描述中。另外, 本發(fā)明的實(shí)施方案沒(méi)有參照任何特定程序設(shè)計(jì)語(yǔ)言來(lái)描述。應(yīng)該可以意識(shí)到,各種不同的 編程語(yǔ)言可以被用來(lái)實(shí)現(xiàn)如本文中所描述的本發(fā)明的教導(dǎo)。此外,應(yīng)該理解,本文中所描 述的操作、能力和特征可以用硬件(分立或集成電路)和軟件的任何組合來(lái)實(shí)現(xiàn)。
可以使用術(shù)語(yǔ)"耦合"和"連接"以及它們的派生詞。應(yīng)該理解,這些術(shù)語(yǔ)并不想要作為 彼此的同義詞。相反,在特定實(shí)施方案中,"連接"可以用來(lái)指示兩個(gè)或更多部件彼此直接
物理或電接觸。"耦合"可以用來(lái)指示兩個(gè)或更多部件彼此直接或不直接(在它們之間具有 其他中間部件)物理或電接觸,和/或這兩個(gè)或更多部件彼此協(xié)作或相互作用(例如,如 同處于因果關(guān)系中)。
應(yīng)該理解,本發(fā)明的實(shí)施方案可以在各種應(yīng)用中使用。盡管本發(fā)明在此方面不受限制, 此處公開(kāi)的電路可以在很多裝置中使用,例如在無(wú)線電系統(tǒng)的發(fā)射機(jī)和接收機(jī)中使用。僅 以實(shí)施例的方式來(lái)表示,期望被包括在本發(fā)明范圍內(nèi)的無(wú)線電系統(tǒng)包括蜂窩無(wú)線電話通 信系統(tǒng)、衛(wèi)星通信系統(tǒng)、雙向無(wú)線通信系統(tǒng)、單向?qū)ず粝到y(tǒng)、雙向?qū)ず粝到y(tǒng)、個(gè)人通信系
統(tǒng)(PCS)、個(gè)人數(shù)字助理(PDA)、無(wú)線局域網(wǎng)(WLAN)、個(gè)人區(qū)域網(wǎng)(PAN等等)。
當(dāng)前,無(wú)線加密技術(shù)僅在802.11關(guān)聯(lián)之后可用。這使得難以在4次握手完成之前保護(hù) 任何正EE 802.1 l管理消息,所述4次握手僅僅發(fā)生在關(guān)聯(lián)之后。這意味著關(guān)聯(lián)消息不可 以被保護(hù),結(jié)果,保護(hù)解除關(guān)聯(lián)和解除認(rèn)證消息變得毫無(wú)意義。本發(fā)明的實(shí)施方案可以將 加密會(huì)話密鑰置于關(guān)聯(lián)之前,所以從原則上來(lái)說(shuō)這些密鑰可以被用來(lái)保護(hù)包括關(guān)聯(lián)消息的 管理幀以及數(shù)據(jù)幀。
本發(fā)明的實(shí)施方案還可以提供會(huì)話建立序列的重新排序,從而從一個(gè)AP移動(dòng)到第二 AP時(shí)所遭遇的唯一的轉(zhuǎn)移延遲就是關(guān)聯(lián)延遲。實(shí)驗(yàn)測(cè)量顯示,4次握手可能要求40毫秒, 而本發(fā)明的實(shí)施方案可以允許AP間轉(zhuǎn)移時(shí)間在10毫秒的數(shù)量級(jí)上,這對(duì)于VoIP來(lái)說(shuō)可 能是足夠快的。
因?yàn)檎J(rèn)證是耗時(shí)的過(guò)程,所以除了上面所列出的功能性之外,IEEE 802.1 li還定義了 可選的機(jī)制來(lái)許可移動(dòng)WLAN站(STA)在從一個(gè)接入點(diǎn)(AP)轉(zhuǎn)移到另一個(gè)接入點(diǎn)之 前使用IEEE 802.IX進(jìn)行認(rèn)證,所述可選的機(jī)制被稱為預(yù)認(rèn)證。預(yù)認(rèn)證通過(guò)使移動(dòng)STA 經(jīng)由它已經(jīng)關(guān)聯(lián)的AP與新AP通信來(lái)工作。即,該STA向老AP發(fā)送針對(duì)新AP的IEEE 802.1X認(rèn)證消息,并且老AP將該消息轉(zhuǎn)發(fā)到新AP。因此,該老AP充當(dāng)該STA和新AP 之間的代理,轉(zhuǎn)發(fā)形成該對(duì)話(conversation)的所有IEEE 802.1X認(rèn)證消息。
盡管本發(fā)明在此方面不受限制,但是典型地,老AP和新AP可以經(jīng)由分發(fā)系統(tǒng) (Distribution System, DS)來(lái)通信。所述分發(fā)系統(tǒng)可以是所述多個(gè)AP所連接到的以太網(wǎng)。 所述DS可以為所述第一和第二 AP提供通信手段而無(wú)需求助于無(wú)線電。
所述STA可以通過(guò)它的關(guān)聯(lián)來(lái)與第一 AP通信。第一 AP可以通過(guò)所述DS來(lái)與第二 AP通信。因此,預(yù)認(rèn)證信道可以由STA-第一AP關(guān)聯(lián)和DS上的第一AP-第二AP信道組 成。預(yù)認(rèn)證以太類(Ethertype)分組可以形成該信道上從STA到第二 AP的通道(tunnel)。
預(yù)認(rèn)證可以顯著地縮短在從一個(gè)AP轉(zhuǎn)移另一個(gè)AP期間通常為從幾秒到50毫秒數(shù)量 級(jí)的服務(wù)中斷。盡管這些時(shí)間僅僅是性能的示例說(shuō)明,并且并不想要將本發(fā)明限制為給出 的中斷時(shí)間,如所預(yù)期前,各種中斷時(shí)間落入本發(fā)明的范屈內(nèi)。這可以是幾乎足以支持基
于IP的語(yǔ)音傳輸(VoIP)和類似的實(shí)時(shí)應(yīng)用,但并非非常好。
本發(fā)明可以規(guī)定成對(duì)主密鑰(Pairwise Master Key, PMK)的IEEE 802.1 li密鑰緩存、 新的4次握手請(qǐng)求消息、新的拒絕消息、4次握手消息和IEEE 802.11i預(yù)認(rèn)證架構(gòu)。本發(fā) 明可以以IEEE 802.1 li規(guī)范已經(jīng)希望的方式"a means to optimize away unneeded authentications on subsequent visits to an AP (—種去除對(duì)AP的后續(xù)訪問(wèn)的不需要的認(rèn)證的 優(yōu)化方式)"重新使用被緩存的PMK。
本發(fā)明可以使用新的4次握手請(qǐng)求消息來(lái)觸發(fā)4次握手。此外,該請(qǐng)求消息可以采用 兩個(gè)參數(shù),即請(qǐng)求STA的MAC地址和將被使用的被緩存PMK的正EE 802.1 li密鑰標(biāo)識(shí) 符。
拒絕消息可以指示因?yàn)檫m當(dāng)?shù)腜MK沒(méi)有被緩存所以請(qǐng)求不能被滿足,并且所述拒絕 消息可以傳遞與請(qǐng)求相同的參數(shù)。
本發(fā)明的一個(gè)實(shí)施方案可以在關(guān)聯(lián)之前重新使用IEEE 802.11i預(yù)認(rèn)證架構(gòu)來(lái)執(zhí)行4次 握手。這是可行的,因?yàn)镮EEE 802.11i可以將4次握手消息表達(dá)為正EE 802.11X消息, 并且預(yù)認(rèn)證機(jī)制可以轉(zhuǎn)發(fā)IEEE 802.1 IX消息。預(yù)認(rèn)證架構(gòu)可以通過(guò)當(dāng)前關(guān)聯(lián)的AP在STA 和目標(biāo)AP之間創(chuàng)建在本文中被命名為預(yù)認(rèn)證信道的信道??梢酝ㄟ^(guò)將IEEE 802.1X消息 有效載荷以預(yù)認(rèn)證以太類(88-C7)的方式封裝(wrap)在802幀中來(lái)創(chuàng)建預(yù)認(rèn)證架構(gòu)。 所述以太類可以通知當(dāng)前關(guān)聯(lián)的AP轉(zhuǎn)發(fā)所述幀而不是自己處理所述幀。預(yù)認(rèn)證幀可以這 樣被尋址,即STA或目標(biāo)AP中的一個(gè)作為最終的幀發(fā)送者,而另一個(gè)作為最終的接收者。
現(xiàn)在轉(zhuǎn)向附圖,被一般地示為IOO的圖1圖示預(yù)認(rèn)證信道所使用的消息流路徑。圖l 中描繪的是裝置115,所述裝置115包括能夠與所述裝置115進(jìn)行無(wú)線通信的第一接入 點(diǎn)(AP) 120;與所述第一接入點(diǎn)(AP) 120通信的第二接入點(diǎn)(AP) 105;以及在所述 裝置115和所述第二接入點(diǎn)105之間通過(guò)所述第一接入點(diǎn)(AP) 120的預(yù)認(rèn)證信道125, 所述預(yù)認(rèn)證信道125使所述裝置和所述第二接入點(diǎn)(AP) 105之間預(yù)加密的(pre-keying) 關(guān)聯(lián)能夠進(jìn)行。
盡管本發(fā)明在此方面不受限制,裝置115可以是移動(dòng)的無(wú)線局域網(wǎng)站(STA)。此外, 第一 AP 120可以通過(guò)無(wú)線LAN分布式系統(tǒng)(distributed system)與所述第二 AP 105通信。
所述裝置115和所述第二'接入點(diǎn)105之間通過(guò)所述第一接入點(diǎn)(AP) 120的預(yù)認(rèn)證信 道可以通過(guò)將IEEE 802.1X消息有效載荷以預(yù)認(rèn)證以太類的方式封裝在802幀中來(lái)從 IEEE802.11i預(yù)認(rèn)證架構(gòu)創(chuàng)建。但是本發(fā)明在此方面不受限制,因?yàn)槠渌A(yù)認(rèn)證架構(gòu)被預(yù) 期為落入本發(fā)明的范圍內(nèi),并且前述的僅僅是預(yù)認(rèn)證方法的一個(gè)圖示說(shuō)明性實(shí)施例。
本發(fā)明的實(shí)施方案可以規(guī)定,正EE 802.11i預(yù)認(rèn)證架構(gòu)可以被用于在關(guān)聯(lián)之前執(zhí)行
IEEE 802.11i的4次握手。4次握手請(qǐng)求消息110可以被用于觸發(fā)4次握手。盡管可以預(yù) 期其他方法可能發(fā)起握手請(qǐng)求,而且除4次握手之外的其他握手方法的確被確定為在本發(fā) 明的范圍內(nèi),4次握手僅僅是用于本發(fā)明的實(shí)施方案的一個(gè)圖示說(shuō)明性實(shí)施例。
盡管本發(fā)明在此方面不受限制,以太類可以告知當(dāng)前關(guān)聯(lián)的第一 AP 120在DS上將 幀轉(zhuǎn)發(fā)給第二 AP 105而不是自己處理所述幀,并且預(yù)認(rèn)證幀可以這樣被尋址,即STA 115 或第二 AP 105作為最終的幀發(fā)送者,而另一個(gè)作為最終的接收者。
4次握手請(qǐng)求消息110可以采用兩個(gè)參數(shù)請(qǐng)求的STA 115的MAC地址和在4次握 手中將被使用的被緩存正EE 802.1 li成對(duì)主密鑰(PMK)的正EE 802.1 li密鑰標(biāo)識(shí)符。然 而,本發(fā)明在此方面不受限制,因?yàn)槠渌麉?shù)可能形成4次握手消息并且被確定為在本發(fā) 明的范圍內(nèi)。
盡管本發(fā)明在此方面不受限制,請(qǐng)求消息110的傳輸?shù)刂房梢允撬鯯TA 115的MAC 地址,并且所述請(qǐng)求115的目的地址可以是第二AP 105的BSSID,而且所述請(qǐng)求115的 接收地址可以是第一AP120。
盡管本發(fā)明在此方面不受限制,裝置115可以使用成對(duì)主密鑰(PMK)的IEEE S02.11i 密鑰緩存、4次握手請(qǐng)求消息、拒絕消息、4次握手消息和IEEE 802.1 li預(yù)認(rèn)證架構(gòu)來(lái)使 所述裝置115和第二接入點(diǎn)(AP) 120之間預(yù)加密的關(guān)聯(lián)能夠進(jìn)行。
拒絕消息可以指示因?yàn)檫m當(dāng)?shù)腜MK沒(méi)有被緩存所以請(qǐng)求115不能被滿足,并且所述 拒絕消息可以傳遞與所述請(qǐng)求115相同的參數(shù)。
現(xiàn)在轉(zhuǎn)向圖2,在200處被一般地圖示的是在正常情況下預(yù)認(rèn)證信道125上的消息流。 在建立與AP120的安全信道之后,STA115監(jiān)視它之后可能會(huì)關(guān)聯(lián)的另一個(gè)AP105。盡 管在本發(fā)明的一個(gè)實(shí)施方案中使用一個(gè)AP,但是STA 115可以搜索任何數(shù)量的潛在AP, 并且還可以選擇任意數(shù)量的AP來(lái)用于與STA115的可能的預(yù)認(rèn)證。同樣地,盡管在本發(fā) 明的一個(gè)實(shí)施方案中圖示一個(gè)STA 115,但是任意數(shù)量的STA可以搜索任意數(shù)量的AP, 并且可以與任意數(shù)量的未來(lái)的AP進(jìn)行預(yù)認(rèn)證。此外,盡管在本發(fā)明的一個(gè)實(shí)施方案中圖 示一個(gè)STA,但是可以預(yù)期任意數(shù)量和任何類型的能夠進(jìn)行無(wú)線通信的裝置被確定為在本 發(fā)明的范圍內(nèi)。
當(dāng)STA 115識(shí)別潛在的AP 105時(shí),STA 115為針對(duì)該AP 105的項(xiàng)檢查它的正EE 802.1 li密鑰緩存。如果STA 115不具有為該AP 105緩存的正EE 802.1 li成對(duì)主密鑰 (PMK),則它發(fā)起例如通過(guò)執(zhí)行IEEE 802.1 li預(yù)認(rèn)證來(lái)將這樣的PMK插入它的緩存的 過(guò)程。盡管在本發(fā)明的一個(gè)實(shí)施方案中圖示了執(zhí)行正EE 802.11i預(yù)認(rèn)證的操作,但是可以 預(yù)期,使用任何現(xiàn)在己知和今后開(kāi)發(fā)的預(yù)認(rèn)證技術(shù)落入本發(fā)明的范圍內(nèi)。 如果STA 115探測(cè)到它具有為目標(biāo)AP 105緩存的PMK (在230處示出),則在220 處它通過(guò)它當(dāng)前關(guān)聯(lián)的AP 120和預(yù)認(rèn)證信道125向目標(biāo)AP 105發(fā)送4次握手請(qǐng)求i 10消 息。從AP 105到AP 120的傳輸在225處被示出。STA 115可以使用正EE 802.11i預(yù)認(rèn)證 以太類(88-C7)而不是正常的正EE 802.1X以太類來(lái)指示該消息將通過(guò)預(yù)認(rèn)證架構(gòu)被發(fā) 送。但是,本發(fā)明在此方面不受限制。請(qǐng)求消息110的內(nèi)容可以包括請(qǐng)求STA 115的MAC 地址和被緩存PMK的密鑰標(biāo)識(shí)符,但是本發(fā)明在此方面不受限制。該消息的傳輸?shù)刂房?以是STA 115的MAC地址;請(qǐng)求IIO的目的地址可以是目標(biāo)AP105的BSSID,并且請(qǐng) 求110的接收地址可以是當(dāng)前關(guān)聯(lián)的AP 120,但是本發(fā)明不限于這種尋址方法。
當(dāng)當(dāng)前關(guān)聯(lián)的AP 120接收到該消息時(shí),它可以將所述消息轉(zhuǎn)發(fā)到目標(biāo)AP 105(在225 處示出),因?yàn)樗鱿⒖梢允蔷哂幸蕴愵A(yù)認(rèn)證并且尋址到目標(biāo)AP的正EE 802.1X消 息。當(dāng)目標(biāo)AP 105從關(guān)聯(lián)的AP 120接收到被轉(zhuǎn)發(fā)的消息時(shí),它可以檢查它的IEEE 802.1 li PMK緩存。如果所述PMK緩存不包含由請(qǐng)求STA 115的MAC地址或被請(qǐng)求的密鑰標(biāo)識(shí) 符所索引的密鑰(在圖3中330處示出),則目標(biāo)AP105可以通過(guò)關(guān)聯(lián)的AP120返回拒 絕消息(在圖3中335處被示為從目標(biāo)AP到關(guān)聯(lián)的AP 120;并且在圖3中340處被示為 從關(guān)聯(lián)的AP 120到STA115)到STA115;但是本發(fā)明不限于該轉(zhuǎn)發(fā)和返回由請(qǐng)求STA115 所索引的密鑰的技術(shù)。AP 120可以使用預(yù)認(rèn)證以太類發(fā)送所述拒絕。但是,本發(fā)明不限 于針對(duì)拒絕的發(fā)送使用預(yù)以太類。
如果目標(biāo)AP 120具有被緩存的適當(dāng)?shù)拿荑€,則它通過(guò)使用所選擇的PMK和STA 115 的MAC地址發(fā)起IEEE 802.1 li 4次握手來(lái)響應(yīng)。然而,因?yàn)樗稣?qǐng)求是通過(guò)預(yù)認(rèn)證信道 到來(lái)的,所以AP 120可以使用預(yù)認(rèn)證信道125通過(guò)關(guān)聯(lián)的AP 120來(lái)發(fā)送第一 4次握手消 息到STA 115 (在235和240處示出)。
如果STA 115通過(guò)預(yù)認(rèn)證信道125從目標(biāo)AP 120接收到拒絕消息,則它可以為該AP 建立新的PMK。如果相反STA 115在預(yù)認(rèn)證信道125上接收到第一 4次握手消息,則STA 115以預(yù)認(rèn)證信道125上的第二4次握手消息作出響應(yīng)(在245和250處示出)。
如果目標(biāo)AP 120在預(yù)認(rèn)證信道125上從STA 115接收到有效的第二 4次握手消息, 則它通過(guò)在預(yù)認(rèn)證信道125上向STA 115發(fā)送回第三4次握手消息來(lái)響應(yīng)(在255和260 處示出)。如果STA115在預(yù)認(rèn)證信道125上從目標(biāo)AP120接收到有效的第三4次握手 消息,則它已經(jīng)成功地建立了與該AP 120的安全的會(huì)話。STA 115可以通過(guò)在預(yù)認(rèn)證信 道125上向目標(biāo)AP 120發(fā)送最后的4次握手125消息(在265和270處示出)和配置會(huì) 話密鑰來(lái)響應(yīng);STA 115可以在該點(diǎn)交換被保護(hù)的消息到目標(biāo)AP 120。
如果目標(biāo)AP 120在預(yù)認(rèn)證信道125上從STA 115接收到有效的第四4次握手消息, 則它己經(jīng)成功地建立了與STA 115的安全會(huì)話。目標(biāo)AP 120可以通過(guò)配置會(huì)話密鑰來(lái)響 應(yīng);隨著PTK和組密鑰就位(如在275處針對(duì)STA 115示出的和在280處針對(duì)目標(biāo)AP 105 處示出的),AP120可以在該點(diǎn)交換被保護(hù)的消息到STA115。
盡管在此已圖示并描述了本發(fā)明的某些特征,但是本領(lǐng)域技術(shù)人員將會(huì)作出許多修 改、替換、改變和等同物。因此,可以理解,所附權(quán)利要求書打算覆蓋落入本發(fā)明真正的 精神內(nèi)的所有這樣的修改和改變。
權(quán)利要求
1.一種裝置,包括能夠與所述裝置進(jìn)行無(wú)線通信的第一接入點(diǎn)(AP);與所述第一接入點(diǎn)(AP)通信的第二接入點(diǎn)(AP);以及在所述裝置和所述第二接入點(diǎn)之間經(jīng)由所述第一接入點(diǎn)(AP)的預(yù)認(rèn)證信道,所述預(yù)認(rèn)證信道使所述裝置和所述第二接入點(diǎn)(AP)之間預(yù)加密的關(guān)聯(lián)能夠進(jìn)行。
2. 如權(quán)利要求1所述的裝置,其中所述裝置是移動(dòng)的無(wú)線局域網(wǎng)站(STA)。
3. 如權(quán)利要求1所述的裝置,其中所述第一 AP經(jīng)由無(wú)線LAN分布式系統(tǒng)與所述第 二 AP通信。
4. 如權(quán)利要求4所述的裝置,其中在所述裝置和所述第二接入點(diǎn)之間經(jīng)由所述第一 接入點(diǎn)(AP)的所述預(yù)認(rèn)證信道是通過(guò)將IEEE 802.1X消息有效載荷以預(yù)認(rèn)證以太類的方 式封裝在802幀中來(lái)從IEEE 802.1 li預(yù)認(rèn)證架構(gòu)被創(chuàng)建的。
5. 如權(quán)利要求4所述的裝置,其中所述IEEE 802.1 li預(yù)認(rèn)證架構(gòu)被用于在關(guān)聯(lián)之前 執(zhí)行IEEE 802.11i4次握手。
6. 如權(quán)利要求4所述的裝置,其中所述以太類告知當(dāng)前關(guān)聯(lián)的第一AP在所述DS上 將幀轉(zhuǎn)發(fā)給所述第二 AP而不是自己處理所述幀,并且其中所述預(yù)認(rèn)證幀以所述STA或所 述第二 AP作為最終的幀發(fā)送者而另一個(gè)作為最終的接收者的方式被尋址。
7. 如權(quán)利要求5所述的裝置,其中4次握手請(qǐng)求消息被用來(lái)觸發(fā)所述4次握手。
8. 如權(quán)利要求7所述的裝置,其中所述4次握手請(qǐng)求消息采用兩個(gè)參數(shù)所述請(qǐng)求 的STA的MAC地址和在所述4次握手中將被使用的被緩存IEEE 802.1 li成對(duì)主密鑰(PMK)的正EE 802.1 li密鑰標(biāo)識(shí)符。
9. 如權(quán)利要求8所述的裝置,其中所述請(qǐng)求消息的傳輸?shù)刂肥撬鯯TA的MAC地 址,并且所述請(qǐng)求的目的地址是所述第二AP的BSSID,而且所述請(qǐng)求的接收地址是所述 第一AP。
10. 如權(quán)利要求l所述的裝置,其中所述裝置使用成對(duì)主密鑰(PMK)的IEEE802.11i 密鑰緩存、4次握手請(qǐng)求消息、拒絕消息和IEEE 802.1 li預(yù)認(rèn)證架構(gòu)來(lái)使所述裝置和所述 第二接入點(diǎn)(AP)之間所述預(yù)加密的關(guān)聯(lián)能夠進(jìn)行。
11. 如權(quán)利要求10所述的^l7其中所述拒ie^m指示因?yàn)檫m當(dāng)?shù)腜MK沒(méi)有被緩存 所以請(qǐng)求不能被滿足,并且所述拒絕消息傳遞與所述請(qǐng)求相同的參數(shù)。
12. —種在無(wú)線局域網(wǎng)中與一裝置進(jìn)行預(yù)加密的關(guān)聯(lián)的方法,所述方法包括 提供能夠與所述裝置進(jìn)行無(wú)線通信的第一接入點(diǎn)(AP);提供與所述第一接入點(diǎn)(AP)通信的第二接入點(diǎn)(AP);以及 通過(guò)提供在所述裝置和所述第二接入點(diǎn)之間經(jīng)由所述第一接入點(diǎn)(AP)的預(yù)認(rèn)證信 道,使所述裝置和所述第二接入點(diǎn)(AP)之間預(yù)加密的關(guān)聯(lián)能夠進(jìn)行。
13. 如權(quán)利要求12所述的方法,其中所述裝置是移動(dòng)的無(wú)線局域網(wǎng)站(STA)。
14. 如權(quán)利要求12所述的方法,其中所述第一AP經(jīng)由無(wú)線LAN分布式系統(tǒng)與所述 第二AP通信。
15. 如權(quán)利要求13所述的方法,其中在所述裝置和所述第二接入點(diǎn)之間經(jīng)由所述第 一接入點(diǎn)(AP)的預(yù)認(rèn)證信道是通過(guò)將IEEE802.1X消息有效載荷以預(yù)認(rèn)證以太類的方式 封裝在802幀中來(lái)從IEEE 802.1 li預(yù)認(rèn)證架構(gòu)被創(chuàng)建的。
16. 如權(quán)利要求15所述的方法,還包括通過(guò)使用所述IEEE 802.1 li預(yù)認(rèn)證架構(gòu)在關(guān) 聯(lián)之前執(zhí)行4次握手。
17. 如權(quán)利要求15所述的方法,其中所述以太類告知當(dāng)前關(guān)聯(lián)的第一AP在所述DS 上將幀轉(zhuǎn)發(fā)給所述第二 AP而不是自己處理所述幀,并且其中所述預(yù)認(rèn)證幀以所述STA或 所述第二 AP作為最終的幀發(fā)送者而另一個(gè)作為最終的接收者的方式被尋址。
18. 如權(quán)利要求16所述的方法,還包括用4次握手請(qǐng)求消息來(lái)觸發(fā)所述4次握手。
19. 如權(quán)利要求18所述的方法,其中所述4次握手請(qǐng)求消息采用兩個(gè)參數(shù)所述請(qǐng) 求的STA的MAC地址和在所述4次握手中將被使用的被緩存IEEE 802.1 li成對(duì)主密鑰(PMK)的IEEE 802.1 li密鑰標(biāo)識(shí)符。
20. 如權(quán)利要求19所述的方法,其中所述請(qǐng)求消息的傳輸?shù)刂肥撬鯯TA的MAC 地址,并且所述請(qǐng)求的目的地址是所述第二AP的BSSID,而且所述請(qǐng)求的接收地址是所 述第一 AP。
21. 如權(quán)利要求20所述的方法,其中所述裝置使用成對(duì)主密鑰(PMK)的IEEE 802.1 li 密鑰緩存、4次握手請(qǐng)求消息、拒絕消息和IEEE 802.1 li預(yù)認(rèn)證架構(gòu)來(lái)使所述裝置和所述 第二接入點(diǎn)(AP)之間預(yù)加密的關(guān)聯(lián)能夠進(jìn)行。
22. 如權(quán)利要求21所述的方法,其中所述拒ISmm指示茵為適當(dāng)?shù)腜MK沒(méi)有被緩存 所以請(qǐng)求不能被滿足,并且所述拒絕消息傳遞與所述請(qǐng)求相同的參數(shù)。
23. —種包括其上儲(chǔ)存有指令的儲(chǔ)存介質(zhì)的制品,當(dāng)所述指令被計(jì)算平臺(tái)執(zhí)行時(shí),通 過(guò)提供在無(wú)線局域網(wǎng)中一裝置和所述無(wú)線局域網(wǎng)中第二接入點(diǎn)之間經(jīng)由所述無(wú)線局域網(wǎng) 中與所述第二接入點(diǎn)(AP)通信的第一接入點(diǎn)(AP)的預(yù)認(rèn)證信道,使在所述裝置和所 述第二接入點(diǎn)之間經(jīng)由所述第一接入點(diǎn)的預(yù)加密的關(guān)聯(lián)能夠進(jìn)行。
24. 如權(quán)利要求23所述的制品,其中所述裝置是移動(dòng)的無(wú)線局域網(wǎng)站(STA)。
25. 如權(quán)利要求23所述的制品,其中在所述裝置和所述第二接入點(diǎn)之間經(jīng)由所述第 一接入點(diǎn)(AP)的所述預(yù)認(rèn)證信道是通過(guò)將IEEE 802.1X消息有效載荷以預(yù)認(rèn)證以太類的 方式封裝在802幀中來(lái)從正EE 802.1 li預(yù)認(rèn)證架構(gòu)被創(chuàng)建的。
26. 如權(quán)利要求25所述的制品,其中所述以太類告知當(dāng)前關(guān)聯(lián)的第一 AP轉(zhuǎn)發(fā)幀而 不是自己處理所述幀,并且其中所述預(yù)認(rèn)證幀以所述STA或所述第二 AP作為最終的幀發(fā) 送者而另一個(gè)作為最終的接收者的方式被尋址。
全文摘要
WLAN中站(STA)的預(yù)認(rèn)證。因?yàn)檎J(rèn)證是一個(gè)耗時(shí)的過(guò)程,它可能影響涉及STA的漫游或切換的質(zhì)量,所以本發(fā)明允許所述STA通過(guò)它當(dāng)前關(guān)聯(lián)的接入點(diǎn)(AP)預(yù)認(rèn)證到一個(gè)或更多個(gè)它當(dāng)前沒(méi)有關(guān)聯(lián)的接入點(diǎn),并且所述當(dāng)前關(guān)聯(lián)的接入點(diǎn)在STA預(yù)認(rèn)證時(shí)作為中繼方。所述預(yù)認(rèn)證是一種IEEE 802.11i4次握手。針對(duì)所述預(yù)認(rèn)證,在所述STA(115)和第二接入點(diǎn)(105)之間存在經(jīng)由第一接入點(diǎn)(120)的預(yù)認(rèn)證信道(125),所述預(yù)認(rèn)證信道(125)使所述STA和所述第二接入點(diǎn)(105)之間預(yù)加密的關(guān)聯(lián)能進(jìn)行。
文檔編號(hào)H04L12/28GK101107813SQ200580019964
公開(kāi)日2008年1月16日 申請(qǐng)日期2005年4月13日 優(yōu)先權(quán)日2004年4月28日
發(fā)明者埃米莉·齊, 杰西·沃克 申請(qǐng)人:英特爾公司