執(zhí)行鏈路建立和認(rèn)證的系統(tǒng)和方法
【專利摘要】公開了執(zhí)行鏈路建立和認(rèn)證的系統(tǒng)和方法���。第一種方法利用不受保護(hù)的關(guān)聯(lián)請(qǐng)求和包括接入點(diǎn)一次性數(shù)(ANonce)的關(guān)聯(lián)響應(yīng)�。第二種方法包括在使用第一ANonce的第一鏈路建立期間接收第二ANonce以供在第二鏈路建立中使用��。第三種方法利用臨時(shí)密鑰來保護(hù)關(guān)聯(lián)請(qǐng)求����。第四種方法包括在移動(dòng)設(shè)備處基于從接入點(diǎn)接收到的ANonce種子來生成ANonce。
【專利說明】執(zhí)行鏈路建立和認(rèn)證的系統(tǒng)和方法
[0001]相關(guān)申請(qǐng)的交叉引用
[0002]本申請(qǐng)要求來自共同擁有的2011年9月12日提交的美國(guó)臨時(shí)專利申請(qǐng)第61/533,627號(hào)(高通案卷號(hào)113346P1)���、2011年9月15日提交的美國(guó)臨時(shí)專利申請(qǐng)第61/535,234號(hào)(高通案卷號(hào)113346P2)、2012年I月4日提交的美國(guó)臨時(shí)專利申請(qǐng)第61/583�����,052號(hào)(高通案卷號(hào)113346P3)�����、2012年3月5日提交的美國(guó)臨時(shí)專利申請(qǐng)第61/606,794號(hào)(高通案卷號(hào)121585P1)、以及2012年5月11日提交的美國(guó)臨時(shí)專利申請(qǐng)第61/645,987號(hào)(高通案卷號(hào)121585P2)和2012年3月15日提交的美國(guó)臨時(shí)專利申請(qǐng)第61/611�����,553號(hào)(高通案卷號(hào)121602P1)的優(yōu)先權(quán)���,這些臨時(shí)專利申請(qǐng)的內(nèi)容通過整體引用明確地結(jié)合于此���。此外,2012年9月11日提交的具有高通案卷號(hào)113346的題為iiWlRELESSCOMMUNICATION USING CONCURRENT RE-AUTHENTICATION ANDC0NNECT10N SETUP(使用并發(fā)重認(rèn)證和連接建立的無線通信)”的非臨時(shí)申請(qǐng)和2012年9月11日提交的具有高通案卷號(hào) 121602 的題為 “SYSTEMS ANDMETHODS FOR ENCODING EXCHANGES WITH A SETOF SHAREDEPHEMERAL KEY DATA (用于用一組共享短暫密鑰數(shù)據(jù)對(duì)交換進(jìn)行編碼的系統(tǒng)和方法)”的非臨時(shí)申請(qǐng)的內(nèi)容通過引用結(jié)合于此����。
[0003]背景
[0004]領(lǐng)域
[0005]以下一般涉及無線通信,尤其涉及無線通信中的鏈路建立和認(rèn)證過程�����。
[0006]相關(guān)技術(shù)描述
[0007]技術(shù)進(jìn)步已導(dǎo)致越來越小且越來越強(qiáng)大的計(jì)算設(shè)備��。例如��,當(dāng)前存在各種各樣的便攜式個(gè)人計(jì)算設(shè)備�����,包括小、輕且用戶易于攜帶的無線計(jì)算設(shè)備���,諸如便攜式無線電話���、個(gè)人數(shù)字助理(PDA)、以及尋呼設(shè)備����。更具體地,便攜式無線電話(諸如蜂窩電話和網(wǎng)際協(xié)議(IP)電話)可在無線網(wǎng)絡(luò)上傳達(dá)語音和數(shù)據(jù)分組��。此外�����,許多這樣的無線電話包括被結(jié)合于此的其他類型的設(shè)備���。例如,無線電話還可包括數(shù)碼相機(jī)�、數(shù)碼攝像機(jī)、數(shù)字記錄器�、以及音頻文件播放器���。另外,此類無線電話可處理可執(zhí)行指令�,包括可被用于訪問因特網(wǎng)的軟件應(yīng)用(諸如web瀏覽器應(yīng)用)。由此����,這些無線電話可包括顯著的計(jì)算能力。
[0008]無線通信網(wǎng)絡(luò)使得通信設(shè)備能夠在移動(dòng)的同時(shí)傳送和/或接收信息����。這些無線通信網(wǎng)絡(luò)可被通信地耦合至其他公共網(wǎng)或?qū)S镁W(wǎng)以使得能夠向和從移動(dòng)接入終端進(jìn)行信息傳遞。此類通信網(wǎng)絡(luò)通常包括多個(gè)接入點(diǎn)(AP)����,這些接入點(diǎn)提供至接入終端(例如,移動(dòng)通信設(shè)備���、移動(dòng)電話�����、無線用戶終端)的無線通信鏈路���。這些接入點(diǎn)可以是靜止的(例如���,固定在地面上)或移動(dòng)的(例如,安裝在車輛�����、衛(wèi)星上等)��,并且可被定位成提供當(dāng)接入終端在覆蓋區(qū)內(nèi)移動(dòng)時(shí)的廣覆蓋區(qū)���。
[0009]便攜式設(shè)備可被配置成經(jīng)由這些無線網(wǎng)絡(luò)來傳達(dá)數(shù)據(jù)�。例如��,許多設(shè)備被配置成根據(jù)使得能經(jīng)由接入點(diǎn)進(jìn)行無線數(shù)據(jù)交換的電氣和電子工程師協(xié)會(huì)(IEEE) 802.11規(guī)范來操作�。在一些通信系統(tǒng)中,當(dāng)移動(dòng)接入終端通過接入點(diǎn)附連至通信網(wǎng)絡(luò)時(shí)����,其執(zhí)行網(wǎng)絡(luò)接入認(rèn)證。移動(dòng)接入終端每次連接至不同接入點(diǎn)時(shí)���,可能需要重復(fù)該認(rèn)證過程��。然而����,重復(fù)該認(rèn)證過程會(huì)弓I入顯著的建立延遲���。[0010]許多通信設(shè)備被配置成在初始連接階段以及一個(gè)或多個(gè)重連接階段兩者執(zhí)行鏈路建立�。當(dāng)前系統(tǒng)對(duì)認(rèn)證后進(jìn)行的AP-1P地址指派采取預(yù)共享密鑰以保護(hù)IP地址指派�����。
[0011]盡管利用系統(tǒng)中的兩個(gè)或更多個(gè)消息處理點(diǎn)之間傳達(dá)的多條消息允許鏈路建立����,但減少所傳達(dá)的消息數(shù)目同時(shí)維持所需的通信認(rèn)證級(jí)別是高度期望的。
[0012]此外�,在鏈路建立可被執(zhí)行之前,移動(dòng)通信設(shè)備可能要掃描附近的接入點(diǎn)�。該掃描可以是“被動(dòng)的”或“主動(dòng)的”。在“被動(dòng)”掃描中���,設(shè)備可監(jiān)聽接入點(diǎn)活動(dòng)(例如�����,控制消息)����。在“主動(dòng)”掃描中,設(shè)備可廣播一查詢并且隨后等待來自附近接入點(diǎn)的響應(yīng)��。因此����,“被動(dòng)”掃描可能是耗時(shí)的,而“主動(dòng)”掃描可能既消耗時(shí)間又消耗移動(dòng)通信設(shè)備處的功率����。
[0013]附圖簡(jiǎn)述
[0014]在結(jié)合附圖理解下面闡述的詳細(xì)描述時(shí),各種特征�、本質(zhì)、和優(yōu)點(diǎn)會(huì)變得明顯���,在附圖中���,相像的附圖標(biāo)記貫穿始終相應(yīng)地標(biāo)識(shí)類似元素。
[0015]圖1是解說無線網(wǎng)絡(luò)的示例的概念圖��。
[0016]圖2是解說示例性用戶設(shè)備的框圖��。
[0017]圖3是解說在常規(guī)連接建立中可執(zhí)行的消息收發(fā)的流程圖。
[0018]圖4是解說可根據(jù)本公開的一個(gè)或多個(gè)方面來執(zhí)行的消息收發(fā)的流程圖�。
[0019]圖5是解說在執(zhí)行鏈路建立和認(rèn)證時(shí)可執(zhí)行的消息收發(fā)的流程圖。
[0020]圖6是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖���。
[0021]圖7是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。
[0022]圖8是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖�。
[0023]圖9是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。
[0024]圖10是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖���。
[0025]圖11是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖��。
[0026]圖12是解說在重認(rèn)證協(xié)議期間可執(zhí)行的消息收發(fā)的流程圖����。
[0027]圖13解說可被用于重認(rèn)證協(xié)議的密鑰分層結(jié)構(gòu)�。
[0028]圖14是示出用于生成重認(rèn)證請(qǐng)求和發(fā)現(xiàn)請(qǐng)求并將其集束成關(guān)聯(lián)請(qǐng)求的示例性過程的流程圖。
[0029]圖15是示出可在基站處操作以接收由站/終端發(fā)送的關(guān)聯(lián)請(qǐng)求并從該關(guān)聯(lián)請(qǐng)求中提取重認(rèn)證請(qǐng)求和上層消息的示例性過程的流程圖��。
[0030]圖16是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖�����。
[0031]圖17是示出可在圖16的站處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程的流程圖���。
[0032]圖18是示出可在圖16的接入點(diǎn)處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程的流程圖�。
[0033]圖19是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖����。
[0034]圖20是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖���。
[0035]圖21是示出可在圖19-20的站處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程的流程圖�。
[0036]圖22是示出可在圖19-20的接入點(diǎn)處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程的流程圖�����。[0037]圖23是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的圖示��。
[0038]圖24是示出可在站處操作以執(zhí)行如圖23所示的鏈路建立和認(rèn)證的示例性過程的流程圖�����。
[0039]圖25是示出可在接入點(diǎn)處操作以執(zhí)行如圖23所示的鏈路建立和認(rèn)證的示例性過程的流程圖����。
[0040]圖26是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的圖示。
[0041]圖27是示出可在站處操作以執(zhí)行如圖26所示的鏈路建立和認(rèn)證的示例性過程的流程圖���。
[0042]圖28是示出可在接入點(diǎn)處操作以執(zhí)行如圖26所示的鏈路建立和認(rèn)證的示例性過程的流程圖�。
[0043]詳細(xì)描述
[0044]在以下描述中參考了附圖,附圖中以解說方式示出本公開可在其中實(shí)踐的具體實(shí)施例���。這些實(shí)施例旨在充分詳細(xì)地描述本公開的各方面以使得本領(lǐng)域技術(shù)人員能夠?qū)嵺`本發(fā)明�����??衫闷渌鼘?shí)施例�����,以及可對(duì)所公開的實(shí)施例作出改變而不會(huì)背離本公開的范圍��。以下詳細(xì)描述不被理解為限制意義���,且本發(fā)明的范圍僅由所附權(quán)利要求來定義。
[0045]本文描述的各特征和方面提供了用于在連接建立的重認(rèn)證過程期間的快速建立時(shí)間的設(shè)備和方法�。例如,所描述的技術(shù)可以使移動(dòng)設(shè)備(例如���,站(STA))能夠關(guān)于接入點(diǎn)(AP)執(zhí)行鏈路建立���,而無需首先監(jiān)聽信標(biāo)或懇求來自該接入點(diǎn)的探測(cè)響應(yīng)��。信標(biāo)或探測(cè)響應(yīng)通?�?砂▽⒃阪溌方⑵陂g使用的接入點(diǎn)一次性數(shù)(ANonce)���。因此,所描述的技術(shù)可以使STA能夠在先前沒有收到該Anonce的情況下執(zhí)行鏈路建立����。根據(jù)“經(jīng)修改的4路握手”技術(shù),STA可向AP發(fā)送不受保護(hù)的關(guān)聯(lián)請(qǐng)求�����,并且可在關(guān)聯(lián)響應(yīng)中接收來自AP的ANonce�����。收到ANonce隨后可用于密鑰導(dǎo)出���。根據(jù)“下一個(gè)ANonce”技術(shù),在使用第一 ANonce所發(fā)起的第一鏈路建立期間��,STA可接收第二 ANonce以供在第一鏈路建立之后的第二鏈路建立中使用�。
[0046]所描述的技術(shù)還可允許使用臨時(shí)密鑰進(jìn)行上層信令保護(hù)����。例如��,代替發(fā)送不受保護(hù)的關(guān)聯(lián)請(qǐng)求�,STA可經(jīng)由來自AP的信標(biāo)或探測(cè)響應(yīng)來接收第一 ANonce (例如���,ANoncel)并且可基于第一 ANonce導(dǎo)出第一密鑰(例如���,第一成對(duì)瞬態(tài)密鑰(PTK))。第一密鑰可用于保護(hù)由STA發(fā)送至AP的關(guān)聯(lián)請(qǐng)求�����。響應(yīng)于接收到關(guān)聯(lián)請(qǐng)求���,AP可生成第二 ANonce (例如,ANonce2)�����,并且可基于第二 ANonce導(dǎo)出第二密鑰(例如����,第二 PTK)�����。AP可將關(guān)聯(lián)響應(yīng)傳送至STA�,該關(guān)聯(lián)響應(yīng)包括第二 ANonce并且使用第二密鑰來保護(hù)��。STA可基于第二 ANonce導(dǎo)出第二密鑰���,并且可使用第二密鑰來處理關(guān)聯(lián)響應(yīng)并且完成鏈路建立��。第二密鑰還可用于保護(hù)在STA與AP之間傳達(dá)的后續(xù)消息(例如��,數(shù)據(jù)消息)����。
[0047]或者,代替經(jīng)由信標(biāo)或探測(cè)響應(yīng)從AP接收ANonce, STA可在該信標(biāo)或探測(cè)響應(yīng)中接收ANonce種子���。ANonce種子可以是由AP頻繁更新的密碼種子值��。STA可通過用STA的媒體接入控制(MAC)地址對(duì)ANonce種子進(jìn)行散列化來生成ANonce��。因此��,與經(jīng)由信標(biāo)消息廣播到多個(gè)STA的ANonce不同����,在STA處基于ANonce種子以及STA的MAC地址所生成的ANonce對(duì)于STA可以是唯一的。STA可使用所生成的ANonce來發(fā)起與AP的鏈路建立����。在鏈路建立期間,AP可基于ANonce種子以及STA的MAC地址來生成ANonce�����,STA的MAC地址可被包括在來自STA的鏈路建立消息(例如����,關(guān)聯(lián)請(qǐng)求)中。將注意到��,與其他握手技術(shù)形成對(duì)比�����,該技術(shù)可涉及STA在AP之前生成ANonce�。有利地���,ANonce對(duì)于STA可以是唯一的���,可按“明文”(即���,不加密)發(fā)送,并且在由AP傳送之前可能不是未經(jīng)授權(quán)的設(shè)備可預(yù)測(cè)的����。
[0048]在一個(gè)特定實(shí)施例中,一種方法包括將不受保護(hù)的關(guān)聯(lián)請(qǐng)求從移動(dòng)設(shè)備發(fā)送至接入點(diǎn)�。該方法還包括從接入點(diǎn)接收關(guān)聯(lián)響應(yīng),其中該關(guān)聯(lián)響應(yīng)包括ANonce��。該方法包括在移動(dòng)設(shè)備處使用ANonce生成成對(duì)瞬態(tài)密鑰(PTK)���。
[0049]在另一特定實(shí)施例中��,一種裝置包括處理器和存儲(chǔ)指令的存儲(chǔ)器��,該指令可由處理器執(zhí)行以將不受保護(hù)的關(guān)聯(lián)請(qǐng)求發(fā)送至接入點(diǎn)并且從接入點(diǎn)接收關(guān)聯(lián)響應(yīng)���,其中該關(guān)聯(lián)響應(yīng)包括ANonce。該指令還可由處理器執(zhí)行以使用ANonce來生成PTK�。
[0050]在另一特定實(shí)施例中,一種方法包括在接入點(diǎn)處從移動(dòng)設(shè)備接收不受保護(hù)的關(guān)聯(lián)請(qǐng)求。該方法還包括從不受保護(hù)的關(guān)聯(lián)請(qǐng)求提取發(fā)起消息�,并且將發(fā)起消息發(fā)送至認(rèn)證服務(wù)器。該方法還包括從認(rèn)證服務(wù)器接收應(yīng)答消息�,其中該應(yīng)答消息包括重認(rèn)證主會(huì)話密鑰(rMSK)。該方法包括生成ANonce并且將關(guān)聯(lián)響應(yīng)發(fā)送至移動(dòng)設(shè)備���,其中該關(guān)聯(lián)響應(yīng)包括ANonce0
[0051]在另一特定實(shí)施例中�,一種裝置包括處理器和存儲(chǔ)指令的存儲(chǔ)器����,該指令可由處理器執(zhí)行以從移動(dòng)設(shè)備接收不受保護(hù)的關(guān)聯(lián)請(qǐng)求。該指令還可由處理器執(zhí)行以從不受保護(hù)的關(guān)聯(lián)請(qǐng)求中提取發(fā)起消息��,并且將發(fā)起消息發(fā)送至認(rèn)證服務(wù)器�。該指令可進(jìn)一步由處理器執(zhí)行以從認(rèn)證服務(wù)器接收應(yīng)答消息,其中該應(yīng)答消息包括rMSK�。該指令可由處理器執(zhí)行以生成ANonce并且將關(guān)聯(lián)響應(yīng)發(fā)送至移動(dòng)設(shè)備,其中該關(guān)聯(lián)響應(yīng)包括ANonce����。
[0052]在另一特定實(shí)施例中,一種方法包括在移動(dòng)設(shè)備處使用第一 ANonce發(fā)起與接入點(diǎn)的第一鏈路建立�。該方法還包括在與接入點(diǎn)的第一鏈路建立期間�,接收第二 ANonce以供在第一鏈路建立之后與接入點(diǎn)進(jìn)行的第二鏈路建立中使用,其中第二 ANonce與第一ANonce 不同。
[0053]在另一特定實(shí)施例中����,一種裝置包括處理器和存儲(chǔ)指令的存儲(chǔ)器,該指令可由處理器執(zhí)行以使用第一 ANonce發(fā)起與接入點(diǎn)的第一鏈路建立��。該指令還可由處理器執(zhí)行以在與接入點(diǎn)的第一鏈路建立期間�����,接收第二 ANonce以供在第一鏈路建立之后與接入點(diǎn)進(jìn)行的第二鏈路建立中使用��,其中第二 ANonce與第一 ANonce不同����。
[0054]在另一特定實(shí)施例中,一種方法包括在使用第一 ANonce的第一鏈路建立期間��,將第二 ANonce從接入點(diǎn)發(fā)送至移動(dòng)設(shè)備以供在第一鏈路建立之后與移動(dòng)設(shè)備進(jìn)行的第二鏈路建立中使用�����,其中第二 ANonce與第一 ANonce不同����。
[0055]在另一特定實(shí)施例中���,一種裝置包括處理器和存儲(chǔ)指令的存儲(chǔ)器,該指令可由處理器執(zhí)行以在使用第一 ANonce的第一鏈路建立期間���,將第二 ANonce發(fā)送至移動(dòng)設(shè)備以供在第一鏈路建立之后與移動(dòng)設(shè)備進(jìn)行的第二鏈路建立中使用�����,其中第二 ANonce與第一ANonce 不同�����。
[0056]在另一特定實(shí)施例中����,一種方法包括在移動(dòng)設(shè)備處從接入點(diǎn)接收第一 ANonce�。該方法還包括使用第一 ANonce生成第一 PTK。該方法進(jìn)一步包括將關(guān)聯(lián)請(qǐng)求發(fā)送至接入點(diǎn)��,其中該關(guān)聯(lián)請(qǐng)求包括SNonce并且使用第一 PTK來保護(hù)�。該方法包括從接入點(diǎn)接收關(guān)聯(lián)響應(yīng),其中該關(guān)聯(lián)響應(yīng)包括第二 ANonce并且使用第二 PTK來保護(hù)���。該方法還包括使用第二ANonce和SNonce生成第二 PTK����。該方法進(jìn)一步包括使用第二 PTK來保護(hù)要發(fā)送至接入點(diǎn)的至少一條后續(xù)消息�����。[0057]在另一特定實(shí)施例中�����,一種裝置包括處理器和存儲(chǔ)指令的存儲(chǔ)器�����,該指令可由處理器執(zhí)行以在接入點(diǎn)處生成要發(fā)送至移動(dòng)設(shè)備的ANonce種子����。該指令還可由處理器執(zhí)行以基于ANonce種子和從移動(dòng)設(shè)備接收到的該移動(dòng)設(shè)備的MAC地址來生成ANonce。該指令可進(jìn)一步由處理器執(zhí)行以基于所生成的ANonce來執(zhí)行與移動(dòng)設(shè)備的鏈路建立��。
[0058]在無線網(wǎng)絡(luò)(諸如802.11 (WiFi)網(wǎng)絡(luò))中�����,移動(dòng)用戶可從一個(gè)網(wǎng)絡(luò)移動(dòng)至另一網(wǎng)絡(luò)����。在某些情況下��,這些網(wǎng)絡(luò)可由同一網(wǎng)絡(luò)承運(yùn)商或?qū)嶓w來管理����。
[0059]此類使用情況的某些非限制性示例是:
[0060]1.熱點(diǎn)通過
[0061](A)用戶可經(jīng)過(若干非重疊的)公眾可接入WiFi熱點(diǎn)(例如���,在咖啡店或其他公共場(chǎng)所)��。在具有連通性時(shí)���,用戶終端可上傳和下載信息(諸如電子郵件、社交聯(lián)網(wǎng)消息等)��。另一示例是乘坐火車的乘客����,這些火車可能穿過具有WiFi接入點(diǎn)的多個(gè)火車站。
[0062]2.火車
[0063](B)用戶可能乘坐經(jīng)由本地接入點(diǎn)(AP)向顧客提供WiFi服務(wù)的火車�。該AP可使用基于無線802.11的主干線來連接至軌旁基礎(chǔ)設(shè)施。定向天線可用于沿軌道提供連續(xù)覆
至JHL ο
[0064]3.駛過收費(fèi)/稱重站
[0065](C)在高速公路上駛過收費(fèi)站或經(jīng)過稱重站的車輛可能能夠連接到該收費(fèi)站或稱重站的AP��。在駛過(或被稱重)時(shí)�����,信息(諸如向顧客收通行費(fèi)或貨物信息交換)可被提供。
[0066]啟用針對(duì)這些非重疊但相關(guān)的連接的應(yīng)用可依賴于標(biāo)準(zhǔn)IP協(xié)議集����,并且潛在地信任底層無線技術(shù)以建立安全鏈路���。
[0067]在用于建立網(wǎng)際協(xié)議(IP)連接的某些所提議的系統(tǒng)中�,在接收信標(biāo)之前�,可能存在16個(gè)往返交換(往返接入終端傳達(dá)的32條消息)來為該接入終端建立安全鏈路。
[0068]在本文描述的所提議系統(tǒng)的所選實(shí)施例中���,可以執(zhí)行快速鏈路建立�,其中用于在接收到信標(biāo)之后建立IP連接和安全鏈路的消息數(shù)目從先前16個(gè)往返交換(32條消息)減少至I個(gè)往返交換(2條消息)�����?����?蓴U(kuò)展認(rèn)證協(xié)議/重認(rèn)證協(xié)議(EAP/ERP)可用作快速鏈路建立的一部分��。
[0069]圖1是解說用于在一個(gè)或多個(gè)終端與接入點(diǎn)之間傳達(dá)數(shù)據(jù)的無線網(wǎng)絡(luò)配置的一個(gè)示例的概念圖。圖1的網(wǎng)絡(luò)配置100可用于在一個(gè)或多個(gè)終端與接入點(diǎn)之間傳達(dá)數(shù)據(jù)���。網(wǎng)絡(luò)配置100包括耦合至網(wǎng)絡(luò)104的接入點(diǎn)102���。接入點(diǎn)102可被配置成向各種通信設(shè)備提供無線通信,這些通信設(shè)備諸如無線設(shè)備(在本文中也可被稱為站(STA)和接入終端(AT)106��、108���、110)�����。作為一個(gè)非限制性示例���,接入點(diǎn)102可以是基站。作為非限制性示例����,站/終端106、108��、110可以是個(gè)人計(jì)算機(jī)(PC)、膝上型計(jì)算機(jī)���、平板計(jì)算機(jī)��、移動(dòng)電話����、個(gè)人數(shù)字助理(PDA )�����、和/或被配置成用于無線地發(fā)送和/或接收數(shù)據(jù)的任何設(shè)備���、或其任何組合。網(wǎng)絡(luò)104可包括分布式計(jì)算機(jī)網(wǎng)絡(luò)�����,諸如傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP)網(wǎng)絡(luò)�。
[0070]接入點(diǎn)102可被配置成提供各種無線通信服務(wù),包括但不限于:無線保真(WiFi)服務(wù)���、微波接入全球互通性(WiMAX)服務(wù)�����、以及無線會(huì)話發(fā)起協(xié)議(SIP)服務(wù)�����。站/終端106�、108,110可被配置成用于無線通信(包括但不限于遵循由電氣和電子工程師協(xié)會(huì)(IEEE)開發(fā)的802.11,802.11-2007、和802.1lx規(guī)范族的通信)���。另外����,站/終端106����、108、110可被配置成向接入點(diǎn)102發(fā)送數(shù)據(jù)以及從接入點(diǎn)102接收數(shù)據(jù)��。[0071]圖2是解說一示例性站/終端200的框圖���。處理器210 (例如����,數(shù)字信號(hào)處理器(DSP))耦合至存儲(chǔ)器232,該存儲(chǔ)器232用于存儲(chǔ)信息(諸如用于處理和傳送的數(shù)據(jù))以及供在處理器210上執(zhí)行的指令260��。如本文描述的���,該指令可由處理器210執(zhí)行以用于執(zhí)行站/終端的各種方法和功能����。此外��,如本文描述的�,接入點(diǎn)(AP )、認(rèn)證服務(wù)器(AS )�����、和動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器可類似地包括處理器和存儲(chǔ)指令的存儲(chǔ)器�����,該指令可由處理器執(zhí)行以用于分別執(zhí)行AP���、AS和DHCP服務(wù)器的各種方法和功能。
[0072]顯示控制器226可耦合至處理器210和顯示設(shè)備228��。編碼器/解碼器(CODEC)234也可耦合至處理器210。作為用戶接口設(shè)備的非限制性示例����,揚(yáng)聲器236和話筒238可耦合至C0DEC234。無線控制器240可耦合至處理器210和天線242��。在一個(gè)特定示例中�,可將處理器210、顯示控制器226��、存儲(chǔ)器232����、C0DEC234和無線控制器240包括在系統(tǒng)級(jí)封裝或片上系統(tǒng)設(shè)備222中。在一個(gè)特定示例中���,輸入設(shè)備230和電源244可耦合至片上系統(tǒng)設(shè)備222�����。此外����,在一個(gè)特定示例中��,如所解說的,顯示設(shè)備228����、輸入設(shè)備230、揚(yáng)聲器236��、話筒238���、天線242���、和電源244可在片上系統(tǒng)設(shè)備222外部。然而��,顯示設(shè)備228��、輸入設(shè)備230�、揚(yáng)聲器236、話筒238�����、無線天線242���、和電源244中的每一者可耦合至片上系統(tǒng)設(shè)備222的一組件��,諸如接口或控制器�。
[0073]圖3是解說在常規(guī)連接建立中可執(zhí)行的消息收發(fā)的流程圖����。在站/終端302與接入點(diǎn)304之間所示的消息可包括探測(cè)和認(rèn)證請(qǐng)求。局域網(wǎng)(LAN)上的可擴(kuò)展認(rèn)證協(xié)議(EAP)(EAPOL)過程可以開始并且包括標(biāo)識(shí)階段�����、受保護(hù)的EAP (PEAP)階段�����、以及EAP-微軟質(zhì)詢握手認(rèn)證協(xié)議(EAP-MSCHAPv2)�����。一旦EAP成功�,EAPOL密鑰就可被建立。因此���,為了建立鏈路建立和認(rèn)證�����,必須向或從站/終端302傳達(dá)至少16條消息���。
[0074]在本文描述的所提議系統(tǒng)的各特定實(shí)施例中��,用于(在接收到信標(biāo)之后)建立IP連接的消息數(shù)目(從16條消息)減少至2條消息��?����?蓴U(kuò)展認(rèn)證協(xié)議重認(rèn)證協(xié)議(ERP)可用作如下文參照?qǐng)D12和13更完整地描述的重認(rèn)證的一部分��,并且可包括以下優(yōu)化�。站/終端(STA)302可執(zhí)行一次完整的EAP認(rèn)證����,并且此后保持使用ERP快速重認(rèn)證來進(jìn)行快速初始鏈路建立。
[0075]在發(fā)送關(guān)聯(lián)請(qǐng)求之前�����,由站/終端302生成重認(rèn)證主會(huì)話密鑰(rMSK)��,而無需從網(wǎng)絡(luò)獲得質(zhì)詢��。由站(STA) 302從rMSK生成成對(duì)瞬態(tài)密鑰(PTK)�����,并且該成對(duì)瞬態(tài)密鑰(PTK)包括密鑰確認(rèn)密鑰(KCK)�����、密鑰加密密鑰(KEK)��、以及瞬態(tài)密鑰(TK)����。
[0076]關(guān)聯(lián)請(qǐng)求由站302發(fā)送,并且將EAP重授權(quán)請(qǐng)求與帶有快速提交的動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)發(fā)現(xiàn)以及SNonce (例如���,SNonce由STA302拾取��,即��,站一次性數(shù))進(jìn)行集束�。經(jīng)集束的消息可被包括作為一個(gè)或多個(gè)信息元素(IE)���。EAP重授權(quán)請(qǐng)求由認(rèn)證服務(wù)器(AuthServer) 308使用重認(rèn)證完整性密鑰(rIK)來認(rèn)證��。使用重認(rèn)證主會(huì)話密鑰(rMSK)或從該rMSK導(dǎo)出的成對(duì)瞬態(tài)密鑰(PTK)來保護(hù)帶有快速提交的DHCP發(fā)現(xiàn)和SNonce����。帶有快速提交的DHCP發(fā)現(xiàn)可以是經(jīng)加密且經(jīng)MIC (消息完整性編碼)的、或是未經(jīng)加密但經(jīng)MIC的����。盡管本文的示例中的某一些可利用發(fā)現(xiàn)請(qǐng)求(例如,帶有快速提交的發(fā)現(xiàn))來解說高效的重認(rèn)證概念����,但應(yīng)當(dāng)理解,可改為使用在(協(xié)議棧的)上層用于指派IP地址的任何消息���。
[0077]如果DHCP消息被加密�,則接入點(diǎn)304可保持帶有快速提交的DHCP發(fā)現(xiàn)和SNonce消息��,直到EAP重認(rèn)證請(qǐng)求被認(rèn)證服務(wù)器308證實(shí)�����。為證實(shí)該消息�����,接入點(diǎn)(AP)304等待直到它從認(rèn)證服務(wù)器308接收到rMSK并且導(dǎo)出成對(duì)瞬態(tài)密鑰(PTK)?�;趶恼J(rèn)證服務(wù)器308獲得的rMSK����,接入點(diǎn)304導(dǎo)出PTK�����,該P(yáng)TK用于MIC (消息完整性代碼)以及用于對(duì)該消息進(jìn)行解密��。
[0078]如果DHCP消息未被加密�����,則在大多數(shù)情況下消息來自正確設(shè)備的預(yù)期下����,接入點(diǎn)304可將帶有快速提交的DHCP發(fā)現(xiàn)轉(zhuǎn)發(fā)至DHCP服務(wù)器(但保留SNonce消息直到EAP重認(rèn)證請(qǐng)求被認(rèn)證服務(wù)器308證實(shí))。即使帶有快速提交的DHCP發(fā)現(xiàn)可被發(fā)送至DHCP服務(wù)器�,接入點(diǎn)304也將保持DHCP確認(rèn),直到它基于從認(rèn)證服務(wù)器308獲得的rMSK驗(yàn)證了 DHCP發(fā)現(xiàn)消息并且接入點(diǎn)304導(dǎo)出了 PTK����。
[0079]接入點(diǎn)(AP) 304隨后發(fā)送用PTK保護(hù)的DHCP確認(rèn)+ GTK/IGTK��。換言之�,DHCP確認(rèn)被加密并且消息完整性被保護(hù)��。
[0080]一個(gè)非限制性方面可在用于鏈路建立和認(rèn)證的過程中包括以下步驟中的一個(gè)或多個(gè)步驟�����。
[0081]第一���,用戶可獲得站/終端302并且執(zhí)行完整的EAP認(rèn)證����,作為與特定網(wǎng)絡(luò)(例如��,特定WiFi網(wǎng)絡(luò))的初始建立的一部分�。作為一個(gè)非限制性示例,可能完整的EAP認(rèn)證可被維持達(dá)一特定認(rèn)證時(shí)段�,諸如舉例來說,一年�����。
[0082]第二,在該認(rèn)證時(shí)段期間�,用戶經(jīng)過(若干非重疊的)公眾可接入WiFi熱點(diǎn)(例如,在咖啡店和其他公共場(chǎng)所)��。換言之�,該步驟可在該認(rèn)證時(shí)段期間被執(zhí)行多次并且與作為建立網(wǎng)絡(luò)的一部分的多個(gè)接入點(diǎn)304來執(zhí)行。站/終端302將使用ERP來執(zhí)行與網(wǎng)絡(luò)的快速初始鏈路建立(FILS)����。如下文更完整地解釋的���,使用關(guān)聯(lián)請(qǐng)求消息將ERP與DHCP快速發(fā)現(xiàn)進(jìn)行集束將使得用于該關(guān)聯(lián)請(qǐng)求的信令減少至一個(gè)往返��。在該認(rèn)證時(shí)段期間����,用戶的站/終端302可以在與網(wǎng)絡(luò)連接時(shí)繼續(xù)執(zhí)行ERP以用于快速初始鏈路建立(FILS)���。
[0083]第三���,隨著該認(rèn)證時(shí)段的期滿將至,可警告用戶在給定時(shí)段(例如2周)內(nèi)再次執(zhí)行與網(wǎng)絡(luò)的“完整附連”���。在該時(shí)段期間����,基于早先的完整EAP認(rèn)證,用戶將繼續(xù)能夠使用快速認(rèn)證直到它期滿或完整附連被執(zhí)行���。完整附連通知可源自網(wǎng)絡(luò)��,或可在站/終端302上被本地配置����。
[0084]第四���,如果用戶不執(zhí)行完整附連����,則一年之后��,網(wǎng)絡(luò)將使ERP失敗��,并且將發(fā)起針對(duì)另一年的完整EAP認(rèn)證(如步驟I中概括的)����。
[0085]圖4-11解說用于執(zhí)行兩消息鏈路建立和認(rèn)證的各種不同場(chǎng)景��。
[0086]圖4是解說為客戶站執(zhí)行高效鏈路建立和認(rèn)證的第一示例的流程圖����。在步驟Oa和Ob,當(dāng)通信地耦合至第一接入點(diǎn)AP1304A時(shí)����,站/終端(STA) 302可執(zhí)行完整EAP認(rèn)證。一旦移動(dòng)(步驟I)至更接近第二接入點(diǎn)AP2304B并且檢測(cè)到它的信標(biāo)(步驟2)�����,站/終端302就可尋求經(jīng)由第二接入點(diǎn)AP2304B來重認(rèn)證它自己��。在該過程中�����,接入點(diǎn)304B傳送信標(biāo)/探測(cè)���,該信標(biāo)/探測(cè)包括用于快速初始鏈路建立(FILS)的能力指示符。該能力指示符可指示處理帶有經(jīng)集束的ERP與DHCP快速發(fā)現(xiàn)的關(guān)聯(lián)請(qǐng)求的能力���。在步驟3中����,在發(fā)送關(guān)聯(lián)請(qǐng)求之前,站/終端302使用ERP生成重認(rèn)證主會(huì)話密鑰(rMSK)(參見圖13)����,其中:
[0087]rMSK=KDF (K, S);
[0088]K=rRK;并且
[0089]S=rMSK 標(biāo)簽 | 〃\0〃 | SEQ | 長(zhǎng)度。
[0090]站/終端302將該一條或多條消息打包成關(guān)聯(lián)請(qǐng)求的信息元素(IE)(或參數(shù)/有效載荷)(步驟3)�。例如,此類關(guān)聯(lián)請(qǐng)求可包括:1)EAP重認(rèn)證發(fā)起(使用rIK的消息完整性)�����;2)帶有快速提交的DHCP發(fā)現(xiàn)(經(jīng)加密的及使用KCK/KEK的消息完整性)����;和/或3)EAPOL密鑰(SNonce、ANonce)(使用KCK的消息完整性)��。EAPOL密鑰可被配置成整個(gè)幀或子集����。ANonce (即,接入點(diǎn)一次性數(shù))可由站/終端302選擇����,并且被發(fā)送至接入點(diǎn)AP2304B���。例如,接入點(diǎn)(AP2)304B可確保站/終端302正使用在過去若干秒/毫秒內(nèi)所發(fā)送的ANonce(例如�����,從AP2的信標(biāo)所獲得的最新近ANonce )�。接入點(diǎn)AP2304B保持DHCP和EAPOL密鑰消息,直到它從認(rèn)證服務(wù)器308接收到根主會(huì)話密鑰(rMSK)����。接入點(diǎn)AP2304B從rMSK生成PTK0接入點(diǎn)AP2304B為DHCP和EAPOL密鑰消息執(zhí)行消息完整性代碼(MIC)交換,并且對(duì)DHCP進(jìn)行解密�����。在發(fā)送到站/終端302之前���,接入點(diǎn)AP2304B使用rMSK導(dǎo)出KCK/KEK以保護(hù)DHCP確認(rèn)和EAPOL密鑰消息。
[0091]在各個(gè)示例中��,ANonce可由AP2304B通過以下方式發(fā)送:或是使用信標(biāo)來發(fā)送以允許使用被動(dòng)掃描的站��,或是當(dāng)主動(dòng)掃描被使用時(shí)在探測(cè)響應(yīng)消息中發(fā)送����。當(dāng)ANonce由AP2304B使用信標(biāo)來發(fā)送時(shí)�,ANonce可在每一信標(biāo)或多個(gè)信標(biāo)中被改變����。站302可將由站302拾取的ANonce包括在從站302發(fā)送至AP2304B的關(guān)聯(lián)請(qǐng)求消息中。
[0092]圖5是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖��。該過程可被稱為選項(xiàng)la����。圖5中執(zhí)行的過程類似于圖4中執(zhí)行的那些過程(選項(xiàng)1),除了 rMSK(而不是PTK的KCK/KEK)被用來認(rèn)證封裝在關(guān)聯(lián)請(qǐng)求消息中的DHCP發(fā)現(xiàn)和EAPOL密鑰消肩����、O
[0093]圖6是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。該過程可被稱為選項(xiàng)lb�。圖6中執(zhí)行的過程類似于圖4中執(zhí)行的過程(選項(xiàng)1),除了以下可能的差別����。在圖6上示出的步驟2中,接入點(diǎn)304可廣告DHCP請(qǐng)求可被加密的能力����。在圖6上示出的步驟4中�����,站/終端302可決定DHCP消息是否應(yīng)被加密�����。站/終端302可考慮若干因素���,諸如舉例來說,DHCP發(fā)現(xiàn)請(qǐng)求是否包含任何私有信息等�。如果站/終端決定對(duì)DHCP發(fā)現(xiàn)請(qǐng)求進(jìn)行加密,則接入點(diǎn)304可保持該消息(如圖4和5中所示)�����。
[0094]如果站/終端決定不對(duì)DHCP發(fā)現(xiàn)請(qǐng)求進(jìn)行加密��,則可執(zhí)行以下步驟���。在圖6上示出的步驟4中,DHCP發(fā)現(xiàn)請(qǐng)求信息元素(IE)或參數(shù)僅僅是受消息完整性保護(hù)的����?;诓襟E4��,接入點(diǎn)304發(fā)送帶有快速提交的DHCP發(fā)現(xiàn)(步驟6)����,而無需等待對(duì)EAP重認(rèn)證發(fā)起請(qǐng)求的響應(yīng)(步驟9)。該過程導(dǎo)致IP地址指派與EAP重認(rèn)證規(guī)程并行發(fā)生���。在圖6上示出的步驟7a中��,接入點(diǎn)保持來自DHCP服務(wù)器的DHCP確認(rèn)直到步驟10b�,在該步驟IOb中DHCP發(fā)現(xiàn)被證實(shí)��。如果消息完整性失敗����,則接入點(diǎn)304發(fā)起一規(guī)程來刪除使用DHCP確認(rèn)所指派的IP地址。
[0095]圖7是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖��。該過程可被稱為選項(xiàng)2���。圖7中執(zhí)行的過程類似于圖4中執(zhí)行的過程(選項(xiàng)1)��,除了以下可能的差別���。代替獨(dú)立地認(rèn)證DHCP消息和EAPOL密鑰消息���,可使用KCK/KEK來認(rèn)證包括EAP重認(rèn)證、DHCP發(fā)現(xiàn)和EAPOL密鑰在內(nèi)的組合有效載荷����。接入點(diǎn)304提取EAP重認(rèn)證發(fā)起消息,并且將其轉(zhuǎn)發(fā)至認(rèn)證服務(wù)器308���,而無需證實(shí)使用KCK/KEK認(rèn)證了的整個(gè)消息�。接入點(diǎn)304在從認(rèn)證服務(wù)器308接收到rMSK之后認(rèn)證整個(gè)消息�����。
[0096]圖8是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖�����。該過程可被稱為選項(xiàng)2a����。圖8中執(zhí)行的過程類似于圖5中執(zhí)行的過程(選項(xiàng)la)�,除了以下可能的差別��。代替獨(dú)立地認(rèn)證DHCP消息和EAPOL密鑰消息�,可使用rMSK來認(rèn)證包括EAP重認(rèn)證����、DHCP發(fā)現(xiàn)和EAPOL密鑰在內(nèi)的組合有效載荷。接入點(diǎn)304提取EAP重認(rèn)證發(fā)起消息�����,并且將其轉(zhuǎn)發(fā)至認(rèn)證服務(wù)器308�����,而無需證實(shí)使用rMSK認(rèn)證了的整個(gè)消息���。接入點(diǎn)304在從認(rèn)證服務(wù)器308接收到rMSK之后認(rèn)證整個(gè)消息����?��?稍诓襟E5之前發(fā)送DHCP發(fā)現(xiàn)消息(步驟9)�����。在這種情況下��,如果認(rèn)證不成功�,則所指派的IP地址被忽略。
[0097]圖9是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖��。該過程可被稱為選項(xiàng)2b�����。圖9中執(zhí)行的過程類似于圖4中執(zhí)行的過程�,除了以下可能的差別。在步驟2�����,接入點(diǎn)可廣告DHCP請(qǐng)求可被加密的能力����。在步驟4,站/終端302決定DHCP消息是否應(yīng)被加密��。站/終端302可考慮若干因素�,諸如舉例來說��,DHCP發(fā)現(xiàn)請(qǐng)求是否包含任何私有信息等�����。如果站/終端302決定對(duì)DHCP發(fā)現(xiàn)請(qǐng)求進(jìn)行加密,則接入點(diǎn)304將保持該消息����,如上文在選項(xiàng)2和選項(xiàng)2a中描述的。如果站/終端302決定不對(duì)DHCP發(fā)現(xiàn)請(qǐng)求進(jìn)行加密��,則可執(zhí)行以下步驟�。在步驟4,DHCP發(fā)現(xiàn)消息IE是僅僅受消息完整性保護(hù)的����。基于步驟4��,接入點(diǎn)304發(fā)送帶有快速提交的DHCP發(fā)現(xiàn)(步驟6)�����,而無需等待對(duì)EAP重認(rèn)證發(fā)起請(qǐng)求的響應(yīng)(步驟9)�����。該過程導(dǎo)致IP地址指派與EAP重認(rèn)證規(guī)程并行發(fā)生。在步驟7a中��,接入點(diǎn)304保持來自DHCP服務(wù)器的DHCP確認(rèn)直到步驟10b����,在該步驟IOb中DHCP發(fā)現(xiàn)被證實(shí)。如果消息完整性失敗����,則接入點(diǎn)304發(fā)起一規(guī)程來刪除使用DHCP確認(rèn)消息所指派的IP地址。
[0098]圖10是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖��。該過程可被稱為選項(xiàng)3�。圖10中執(zhí)行的過程類似于圖4和5中執(zhí)行的過程(選項(xiàng)I和la),除了以下可能的差別�����。ANonce可在關(guān)聯(lián)響應(yīng)中連同“安裝PTK�、GTK、IGTK"消息一起被發(fā)送����。圖10中的步驟9和11可與如選項(xiàng)Ib和選項(xiàng)2b中描述的步驟5-7并行執(zhí)行��。
[0099]選項(xiàng)4也可從選項(xiàng)I和2中導(dǎo)出�,除了以下可能的差別���。代替步驟4處的單條消息(即�����,關(guān)聯(lián)請(qǐng)求),關(guān)聯(lián)請(qǐng)求可被拆分成封裝DHCP發(fā)現(xiàn)消息的消息I (Ml)以及封裝EAP重認(rèn)證發(fā)起消息和SNonce的消息2(M2)����。接入點(diǎn)304直到接收到EAPOL密鑰才對(duì)DHCP發(fā)現(xiàn)消息進(jìn)行動(dòng)作。這兩條消息(Ml和M2)可分隔開SIFS時(shí)段����。該選項(xiàng)4可具有EAPOL結(jié)構(gòu)可被重用的優(yōu)勢(shì)。
[0100]圖11是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖�。該過程可被稱為選項(xiàng)5。圖11中執(zhí)行的過程類似于圖4中執(zhí)行的過程(選項(xiàng)1)�,除了以下可能的差別。接入點(diǎn)304傳送信標(biāo)/探測(cè)響應(yīng)����,該信標(biāo)/探測(cè)響應(yīng)包括用于并發(fā)ERP和/或IP地址指派的快速初始鏈路建立(FILS)能力指示符�。在該場(chǎng)景中����,由接入點(diǎn)304指派的IP地址的租賃定時(shí)器未期滿。站/終端302在發(fā)送至第二接入點(diǎn)304的DHCP請(qǐng)求中使用由第一接入點(diǎn)304A指派的IP地址��,以確認(rèn)它是否能繼續(xù)使用該IP地址����。如果該IP地址已期滿,則DHCP服務(wù)器306發(fā)送DHCP-NAK�。
[0101]圖12是解說在重認(rèn)證協(xié)議期間可執(zhí)行的消息收發(fā)的流程圖。在站/終端302首次附連至網(wǎng)絡(luò)時(shí)����,站/終端302執(zhí)行與認(rèn)證服務(wù)器308的完整EAP交換。結(jié)果���,主會(huì)話密鑰(MSK)被分發(fā)給EAP認(rèn)證器���。認(rèn)證器和站/終端302隨后使用主會(huì)話密鑰(MSK)按需建立瞬態(tài)會(huì)話密鑰(TSK)。在初始EAP交換之時(shí)��,站/終端302和認(rèn)證服務(wù)器308還導(dǎo)出EMSK��,該EMSK被用來導(dǎo)出重認(rèn)證根密鑰(rRK)。更具體地����,重認(rèn)證根密鑰(rRK)可從擴(kuò)展MSK(EMSK)或從域?qū)S懈荑€(DSRK)導(dǎo)出,該DSRK本身是從EMSK導(dǎo)出的�����。重認(rèn)證根密鑰(rRK)可僅對(duì)站/終端302和認(rèn)證服務(wù)器308可用�,并且一般不被分發(fā)給任何其他實(shí)體。此外��,重認(rèn)證完整性密鑰(rIK)可從重認(rèn)證根密鑰(rRK)導(dǎo)出�。站/終端302和認(rèn)證服務(wù)器308可使用重認(rèn)證完整性密鑰(rIK)來在執(zhí)行ERP交換時(shí)提供擁有證明����。重認(rèn)證完整性密鑰(rIK) 一般也不被發(fā)放給任何其他實(shí)體,并且一般僅對(duì)站/終端302和認(rèn)證服務(wù)器308可用�����。
[0102]出于EAP重認(rèn)證的目的��,定義了兩個(gè)新EAP代碼:EAP發(fā)起和EAP完成����。當(dāng)站/終端302請(qǐng)求ERP時(shí)�����,它執(zhí)行圖12的底部框中示出的ERP交換�����。
[0103]圖13解說可被用于重認(rèn)證協(xié)議的密鑰分層結(jié)構(gòu)����。主會(huì)話密鑰(MSK)可從根密鑰導(dǎo)出��,并且成對(duì)主密鑰(PMK)可從主會(huì)話密鑰(MSK)導(dǎo)出����。擴(kuò)展MSK (EMSK)可從根密鑰導(dǎo)出。對(duì)于ERP交換��,各種附加密鑰可從擴(kuò)展MSK (EMSK)導(dǎo)出�。DSRKl-DSRKn可被導(dǎo)出。每一個(gè)域?qū)S懈荑€(DSRK)密鑰都可包括rRK���?��?蓮闹卣J(rèn)證根密鑰(rRK)導(dǎo)出重認(rèn)證完整性密鑰(rIK)和重認(rèn)證主會(huì)話密鑰(rMSKI"^rMSKnX每一個(gè)rMSK都可包括成對(duì)主密鑰(PMK)���。成對(duì)瞬態(tài)密鑰(PTK)(其可包括密鑰確認(rèn)密鑰(KCK)、密鑰加密密鑰(KEK)和瞬態(tài)密鑰(TK))可從PMK導(dǎo)出�。
[0104]圖14是示出可在站/終端處操作以生成重認(rèn)證請(qǐng)求和上層消息(例如,發(fā)現(xiàn)請(qǐng)求)并將其集束成關(guān)聯(lián)請(qǐng)求的示例性過程1400的流程圖��。操作框1402指示從接入點(diǎn)接收包括隨機(jī)數(shù)或一次性數(shù)(例如�,ANonce)的信標(biāo)。在操作框1404����,終端使用該隨機(jī)數(shù)或一次性數(shù)根據(jù)加密密鑰用可擴(kuò)展認(rèn)證協(xié)議來生成重認(rèn)證請(qǐng)求。在操作框1406�����,終端生成上層消息��。例如�,此類上層消息可以是發(fā)現(xiàn)請(qǐng)求��、帶有快速提交的動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)發(fā)現(xiàn)請(qǐng)求、和/或網(wǎng)際協(xié)議(IP)地址指派消息�。
[0105]操作框1408指示在某些方面,終端可響應(yīng)于先前認(rèn)證過程的結(jié)果來生成重認(rèn)證主會(huì)話密鑰(rMSK)���。操作框1410指示在某些方面�����,終端可根據(jù)rMSK��、隨機(jī)數(shù)(ANonce)JP/或本地生成的隨機(jī)數(shù)(SNonce)來生成成對(duì)瞬態(tài)密鑰(PTK)����。
[0106]操作框1412指示在某些方面�����,終端可以用rMSK來對(duì)上層消息進(jìn)行加密���。操作框1414指示在某些方面�,終端可以用PTK或者KCK與KEK的組合來對(duì)上層消息進(jìn)行加密�。在其他方面,上層消息可以是不經(jīng)加密的�����。
[0107]操作框1416指示在某些方面,終端可將關(guān)聯(lián)請(qǐng)求生成為封裝DHCP發(fā)現(xiàn)消息的第一消息�、封裝EAPOL重認(rèn)證發(fā)起消息的第二消息。
[0108]操作框1418指示終端將該上層消息與重認(rèn)證請(qǐng)求集束成關(guān)聯(lián)請(qǐng)求���。操作框1420指示在某些方面�,終端可分開傳送第一消息和第二消息�。
[0109]圖15是示出可在基站處操作以接收由站/終端發(fā)送的關(guān)聯(lián)請(qǐng)求并從該關(guān)聯(lián)請(qǐng)求中提取重認(rèn)證請(qǐng)求和上層消息的示例性過程1500的流程圖。操作框1502指示在某些方面�����,接入點(diǎn)可生成隨機(jī)數(shù)�����,并且傳送包括該隨機(jī)數(shù)的信標(biāo)���。
[0110]操作框1504指示接入點(diǎn)從終端接收關(guān)聯(lián)請(qǐng)求,該關(guān)聯(lián)請(qǐng)求包括被集束在一起的上層消息(例如��,發(fā)現(xiàn)請(qǐng)求)與重認(rèn)證請(qǐng)求。操作框1506指示接入點(diǎn)從該關(guān)聯(lián)請(qǐng)求中提取上層消息���,并且將其轉(zhuǎn)發(fā)至配置服務(wù)器�。操作框1508指示接入點(diǎn)從該關(guān)聯(lián)請(qǐng)求中提取重認(rèn)證請(qǐng)求,并且將其轉(zhuǎn)發(fā)至認(rèn)證服務(wù)器��。
[0111]操作框1510指示在某些方面�����,接入點(diǎn)可從認(rèn)證服務(wù)器接收加密密鑰�。操作框1512指示在某些方面,接入點(diǎn)可從該加密密鑰�、該隨機(jī)數(shù)、和從終端接收到的收到隨機(jī)數(shù)生成PTK0操作框1514指示在某些方面�����,接入點(diǎn)可以用PTK內(nèi)的KCK和KEK的組合來驗(yàn)證上層消息�����,該P(yáng)TK包括LAN上的可擴(kuò)展認(rèn)證協(xié)議(EAPOL)密鑰確認(rèn)密鑰(KCK)以及EAPOL密鑰加密密鑰(KEK)����。
[0112]將注意到,參考圖4-15描述的特定實(shí)施例可涉及用于快速初始鏈接建立的4路握手。一般而言�,4路握手可包括:I) AP向STA發(fā)送ANonce����,2 ) STA向AP發(fā)送SNonce�����,3 ) AP向STA發(fā)送PTK�����,以及4) STA確認(rèn)該握手完成�����。
[0113]因此����,4路握手的第一部分可涉及在發(fā)起與接入點(diǎn)的鏈路建立之前����,STA監(jiān)聽信標(biāo)或懇求來自接入點(diǎn)的探測(cè)響應(yīng)。例如�,信標(biāo)或探測(cè)響應(yīng)可包括將由STA用于加密和/或消息完整性目的的ANonce。然而��,監(jiān)聽信標(biāo)可能消耗時(shí)間,而懇求探測(cè)響應(yīng)可能消耗時(shí)間和功率���。因此,通過使STA能夠執(zhí)行鏈路建立而無需首先監(jiān)聽信標(biāo)或懇求來自接入點(diǎn)的探測(cè)響應(yīng)�����,可以節(jié)省STA處的時(shí)間和功率���。
[0114]圖16是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖����。具體而言��,圖16解說允許鏈路建立而無需首先監(jiān)聽信標(biāo)或懇求來自接入點(diǎn)的探測(cè)響應(yīng)的經(jīng)修改的4路握手����。
[0115]圖16中解說的所選消息和操作可與圖4-11中解說的消息和操作相對(duì)應(yīng),其中具有以下修改���。STA302可在步驟2生成rMSK和SNonce�����,并且在步驟3向AP304發(fā)送不受保護(hù)的關(guān)聯(lián)請(qǐng)求���。不受保護(hù)的關(guān)聯(lián)請(qǐng)求可包括SNonce���。與圖4的實(shí)施例形成對(duì)比,STA302可在接收ANonce和導(dǎo)出PTK之前執(zhí)行這些操作����。由于STA302在接收ANonce和導(dǎo)出PTK之前發(fā)送關(guān)聯(lián)請(qǐng)求,因此AP304可提取關(guān)聯(lián)請(qǐng)求的EAP重認(rèn)證發(fā)起部分并且將其轉(zhuǎn)發(fā)至AS308(如步驟4指示的)�,而無需執(zhí)行如圖4中描述的ANonce驗(yàn)證。相反����,AP304可依賴于AS308傳送帶有所導(dǎo)出的rMSK的應(yīng)答消息(步驟7)作為對(duì)STA302的認(rèn)證。
[0116]在接收到rMSK之后�����,AP304可在步驟9生成ANonce�����,并且在步驟IOa基于ANonce、rMSK和SNonce導(dǎo)出PTK���。因此���,在STA302處導(dǎo)出PTK之前,可在AP304處導(dǎo)出PTK�。在步驟12, AP304可將包括ANonce的關(guān)聯(lián)響應(yīng)發(fā)送至STA302���,其中該關(guān)聯(lián)響應(yīng)是使用PTK的KCK和KEK來保護(hù)的�����。在接收到來自AP304的關(guān)聯(lián)響應(yīng)之后����,在步驟12a�,STA302可使用rMSK、SNonce和該關(guān)聯(lián)響應(yīng)中的ANonce生成PTK��。
[0117]從AP304發(fā)送的關(guān)聯(lián)響應(yīng)(其包括ANonce)是使用ANonce進(jìn)行完整性保護(hù)的�。關(guān)聯(lián)響應(yīng)中除ANonce以外的信息元素也可被加密。因此�����,AP304可使用在AP304處使用關(guān)聯(lián)請(qǐng)求中從STA302獲得的SNonce、從AS308獲得的rMSK����、以及本地生成且尚未傳送至STA302的Anonce生成的PTK對(duì)關(guān)聯(lián)響應(yīng)進(jìn)行“預(yù)保護(hù)”(即,預(yù)加密/預(yù)完整性保護(hù))��。一旦接收到關(guān)聯(lián)響應(yīng)���,STA302就從關(guān)聯(lián)響應(yīng)中提取ANonce����、生成PTK����、并且驗(yàn)證對(duì)消息的完整性保護(hù)。因此����,STA302基于從消息中獲得的密鑰來對(duì)該消息進(jìn)行“后證實(shí)”。與首先確認(rèn)密鑰并且隨后使用這些密鑰來保護(hù)數(shù)據(jù)的常規(guī)握手方案相比�,此類預(yù)保護(hù)和后證實(shí)可允許更快的鏈路建立。
[0118]圖16的實(shí)施例因此可以使STA302能夠執(zhí)行用于鏈路建立的經(jīng)修改的4路握手�,而無需首先監(jiān)聽信標(biāo)或懇求探測(cè)響應(yīng)。這可減少鏈路建立時(shí)間并且節(jié)省STA302處的功率。應(yīng)當(dāng)注意����,由于STA302不等待信標(biāo)/探測(cè)響應(yīng),因此STA302可對(duì)不受保護(hù)的關(guān)聯(lián)請(qǐng)求使用替換尋址機(jī)制�����。例如�,當(dāng)AP304為STA302所“已知”時(shí),STA302可能先前已將AP304的基本服務(wù)集標(biāo)識(shí)符(BSSID)存儲(chǔ)在STA302的存儲(chǔ)器中���。為發(fā)起鏈路建立,STA302可檢索所存儲(chǔ)的BSSID���,并且可基于BSSID將不受保護(hù)的關(guān)聯(lián)請(qǐng)求發(fā)送至AP304�����。AP304可能為STA302所“已知”的情形包括當(dāng)AP304先前已被STA302訪問時(shí)(例如���,“家庭” AP或“辦公室”AP)、以及當(dāng)STA302最近未移動(dòng)時(shí)(例如��,如由STA302的蜂窩和/或全球定位系統(tǒng)(GPS)能力所確定的)。因此��,在一個(gè)特定實(shí)施例中���,STA302可響應(yīng)于在STA302處所確定的位置信息而發(fā)送關(guān)聯(lián)請(qǐng)求(例如����,當(dāng)STA302 “知道”目標(biāo)AP304在STA302附近時(shí))��。
[0119]圖17是示出可在圖16的STA302處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程1700的流程圖��。在1702���,移動(dòng)設(shè)備(例如��,STA302)可檢索該移動(dòng)設(shè)備先前訪問過的接入點(diǎn)的BSSID��。行進(jìn)至1704�����,移動(dòng)設(shè)備可生成rMSK和SNonce�����。前進(jìn)至1706��,移動(dòng)設(shè)備可基于BSSID將不受保護(hù)的關(guān)聯(lián)請(qǐng)求發(fā)送至接入點(diǎn)��。例如���,參考圖16���,在步驟3,STA302可將不受保護(hù)的關(guān)聯(lián)請(qǐng)求發(fā)送至AP304�����。
[0120]繼續(xù)至1708���,移動(dòng)設(shè)備可從接入點(diǎn)接收關(guān)聯(lián)響應(yīng),其中該關(guān)聯(lián)響應(yīng)包括ANonce��。在1710����,移動(dòng)設(shè)備可使用rMSK、Snonce以及收到關(guān)聯(lián)響應(yīng)中的ANonce來生成PTK�。例如�����,參考圖16��,STA302可在步驟12從AP304接收關(guān)聯(lián)響應(yīng)���,并且可在步驟12a導(dǎo)出PTK。
[0121]圖18是示出可在圖16的AP304處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程1800的流程圖����。在1802,接入點(diǎn)可從移動(dòng)設(shè)備接收不受保護(hù)的關(guān)聯(lián)請(qǐng)求��,其中該不受保護(hù)的關(guān)聯(lián)請(qǐng)求包括SNonce���。行進(jìn)至1804���,接入點(diǎn)可從不受保護(hù)的關(guān)聯(lián)請(qǐng)求中提取發(fā)起消息。繼續(xù)至1806�,接入點(diǎn)可將發(fā)起消息發(fā)送至認(rèn)證服務(wù)器,并且可從該認(rèn)證服務(wù)器接收應(yīng)答消息�����,其中該應(yīng)答消息包括rMSK。例如����,參考圖16,AP304可在步驟3從STA302接收不受保護(hù)的關(guān)聯(lián)請(qǐng)求�����,并且可在步驟8從AS308接收rMSK���。
[0122]前進(jìn)至1808�,接入點(diǎn)可生成ANonce���。在1810����,接入點(diǎn)還可使用rMSK��、ANonce和SNonce生成PTK����。繼續(xù)至1812�����,接入點(diǎn)可將關(guān)聯(lián)響應(yīng)發(fā)送至移動(dòng)設(shè)備,其中該關(guān)聯(lián)響應(yīng)包括ANonce且使用PTK來保護(hù)�����。例如��,參考圖16����,AP304可在步驟9生成ANonce,在步驟IOa導(dǎo)出PTK�����,并且在步驟12將關(guān)聯(lián)響應(yīng)發(fā)送至STA302���。
[0123]圖19是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖�����。具體而言�,圖19解說在第一鏈路建立期間提供可在第一鏈路建立之后的第二鏈路建立期間使用的“下一個(gè)” ANonce���。
[0124]圖16中解說的所選消息和操作可與圖4-11中解說的消息和操作相對(duì)應(yīng)���,其中具有以下修改�。STA302可使用第一 ANonce (例如�,ANonce [x])來發(fā)起與AP304的第一鏈路建立1902。在一個(gè)特定實(shí)施例中�����,第一 ANonce可能先前已經(jīng)由信標(biāo)或探測(cè)響應(yīng)由AP304發(fā)送并由STA302接收(例如���,如步驟2a所示)�����、從STA302的存儲(chǔ)器中檢索(例如��,如步驟2b所示)���、或其任何組合。
[0125]在第一鏈路建立1902期間����,STA302可使用第一 ANonce (例如,ANonce [x])將關(guān)聯(lián)請(qǐng)求傳送至AP304���。在第一鏈路建立1902期間�����,AP304可將第二 ANonce(例如���,ANonce [x+1])提供給STA302。第二 ANonce可供在與AP304的后續(xù)第二鏈路建立1904中使用��。例如��,可在關(guān)聯(lián)響應(yīng)(例如����,如步驟4a所示)中、在EAPOL消息(例如��,如步驟4b所示)中�、或其任何組合中提供第二 ANonce。
[0126]當(dāng)STA302發(fā)起與AP304的第二鏈路建立1904時(shí)��,STA302可使用第二 ANonce (例如,ANonce [x+1]),而不是等待信標(biāo)或懇求探測(cè)響應(yīng)。在一個(gè)特定實(shí)施例中��,第二ANonce(例如�����,ANonce [x+1])可具有由AP304設(shè)置的有效性生存期(validity lifetime),并且STA302在發(fā)起第二鏈路建立1904之前可在步驟5a確定第二 ANonce是有效的���。如果第二 ANonce被確定為無效��,則STA302可如參考圖20描述地行進(jìn)���。[0127]一旦確定第二 ANonce (例如,ANonce [x+1])是有效的�,STA就可使用第二 ANonce發(fā)起第二鏈路建立1904。如步驟6所示����,在第二鏈路建立1904期間,STA302可使用第二ANonce發(fā)送第二關(guān)聯(lián)請(qǐng)求���。如步驟7a或7b所示��,STA302還可接收將在與AP304的后續(xù)第三鏈路建立中使用的第三ANonce (例如��,ANonce [x+2])�����。
[0128]圖20是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖��。圖20中解說的消息和操作可與圖19中示出的那些消息和操作相對(duì)應(yīng)�,其中具有以下修改��。
[0129]在步驟5a���,STA302可確定第二 ANonce (例如���,ANonce [x+1])是無效的(例如,由于有效時(shí)段期滿)�����。因此��,如步驟5b所示����,并非能夠在第二鏈路建立1904期間使用第二ANonce, STA302可等待或懇求經(jīng)由信標(biāo)或探測(cè)響應(yīng)的新ANonce (例如,ANonce[y])。新ANonce隨后可用于發(fā)起第二鏈路建立1904�����。在第二鏈路建立1904期間��,STA302可從AP304接收另一 ANonce (例如�,ANonce [y+Ι])以供后續(xù)第三鏈路建立中使用。
[0130]因此���,在圖19-20中描述的實(shí)施例可以向移動(dòng)設(shè)備提供“下一個(gè)ANonce”���,以使得后續(xù)鏈路建立可被更快執(zhí)行并且可消耗更少功率。另外�����,應(yīng)當(dāng)注意����,為便于解說,圖19-20的實(shí)施例可能沒有包括鏈路建立中所涉及的所有消息收發(fā)��。例如�,未示出與DHCP操作有關(guān)的消息收發(fā)以及AP304與AS308之間的消息收發(fā)��。
[0131]圖21是示出可在圖19-20的STA302處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程2100的流程圖����。在2102����,移動(dòng)設(shè)備可使用第一 ANonce發(fā)起與接入點(diǎn)的第一鏈路建立���。第一ANonce可從存儲(chǔ)器中檢索��、和/或經(jīng)由信標(biāo)或探測(cè)響應(yīng)從接入點(diǎn)接收�����。前進(jìn)至2104��,移動(dòng)設(shè)備可在與接入點(diǎn)的第一鏈路建立期間接收第二 ANonce��,以供在與接入點(diǎn)的后續(xù)第二鏈路建立中使用�����。第二 ANonce可在關(guān)聯(lián)響應(yīng)和/或EAPOL消息中被接收�����。例如�����,參考圖19-20�,STA302可使用第一 ANonce (例如,ANonce [x])發(fā)起第一鏈路建立1902����,并且可在第一鏈路建立1902期間接收第二 ANonce (例如,ANonce [x+1])�。
[0132]繼續(xù)至2106,移動(dòng)設(shè)備可確定第二 ANonce是否有效����。例如,移動(dòng)設(shè)備可在發(fā)起第二鏈路建立之前作出這樣的確定�����。為進(jìn)行解說�����,移動(dòng)設(shè)備可使用連同第二ANonce —起發(fā)送的定時(shí)器或預(yù)配置的定時(shí)器來確定第二 ANonce是否有效。當(dāng)?shù)诙?ANonce被確定為有效時(shí)�����,在2108����,移動(dòng)設(shè)備可使用第二 ANonce發(fā)起第二鏈路建立。例如�����,參考圖19����,STA302可使用第二 ANonce (例如�,ANonce [x+1])發(fā)起第二鏈路建立1904。
[0133]當(dāng)?shù)诙?ANonce被確定為無效時(shí),在2110,移動(dòng)設(shè)備可從接入點(diǎn)接收新ANonce���。新ANonce可在信標(biāo)或探測(cè)響應(yīng)中被接收�����。行進(jìn)至2112,移動(dòng)設(shè)備可使用新ANonce發(fā)起與接入點(diǎn)的鏈路建立���。例如��,參考圖20���,移動(dòng)設(shè)備可對(duì)該鏈路建立使用新ANonce (例如,ANonce[y])�����。
[0134]圖22是示出可在圖19-20的AP304處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程2200的流程圖��。在2202�,接入點(diǎn)可將第一 ANonce發(fā)送至移動(dòng)設(shè)備。第一 ANonce可在發(fā)起使用第一 ANonce的第一鏈路建立之前被發(fā)送���。前進(jìn)至2204�,接入點(diǎn)可在第一鏈路建立期間向移動(dòng)設(shè)備發(fā)送第二 ANonce���,以供在與移動(dòng)設(shè)備的后續(xù)第二鏈路建立中使用��。例如�����,參考圖19-20��,在使用第一 ANonce (例如�,ANonce [x])的第一鏈路建立1902期間,AP304可向STA302發(fā)送第二 ANonce (例如����,ANonce [x+1])以供在后續(xù)第二鏈路建立1904中使用。
[0135]圖23是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的圖示�����。具體而言��,圖23解說使用“臨時(shí)”密鑰(例如�����,PTK)進(jìn)行鏈路建立期間的上層信令保護(hù)��。由于上層信令消息(在STA302與認(rèn)證服務(wù)器308之間)具有內(nèi)置安全保護(hù)��,因此上層信令消息可使用“較弱的”ANonce (例如�����,具有較低安全性質(zhì)的ANonce )來保護(hù)���,這可允許更快的信令規(guī)程用于關(guān)聯(lián)�����?����!拜^強(qiáng)的”ANonce與上層信令并行地被導(dǎo)出��,并且被用于如本文描述的進(jìn)一步數(shù)據(jù)傳遞���。
[0136]圖23中解說的所選消息和操作可與圖4-11中解說的消息和操作相對(duì)應(yīng),其中具有以下修改��。如步驟2所示�,AP304可將第一 ANonce (例如,ANoncel)發(fā)送至STA302�。如步驟3a所示,STA302可基于ANoncel和STA302的SNonce導(dǎo)出第一 PTK (例如�����,PTKl )。在步驟4��,STA302可將關(guān)聯(lián)請(qǐng)求發(fā)送至AP304��。關(guān)聯(lián)請(qǐng)求可包括SNonce并且可使用PTKl來保護(hù)�。為進(jìn)行解說,關(guān)聯(lián)請(qǐng)求可使用從PTKl導(dǎo)出的第一密鑰確認(rèn)密鑰(KCKl)來保護(hù)���。
[0137]在步驟8a���,AP304可基于ANoncel和關(guān)聯(lián)請(qǐng)求中所包括的SNonce來導(dǎo)出PTK1。在步驟12, AP可生成第二 ANonce (例如,ANonce2),并且可基于ANonce2和SNonce來導(dǎo)出第二 PTK (例如�,PTK2)。在步驟13���,AP304可將關(guān)聯(lián)響應(yīng)發(fā)送至STA302��,其中該關(guān)聯(lián)響應(yīng)包括ANonce2并且使用PTK2來保護(hù)�。為進(jìn)行解說�,關(guān)聯(lián)響應(yīng)可使用基于PTK2導(dǎo)出的KCK和密鑰加密密鑰(KEK)來保護(hù)���。在步驟14�����,STA302可基于SNonce和ANonce2生成PTK2以完成鏈路建立��。PTK2可被STA302和AP304用來保護(hù)STA302與AP304之間所傳達(dá)的后續(xù)消息(例如�,數(shù)據(jù)消息)。
[0138]因此���,不同于圖16中解說的消息流(其涉及不受保護(hù)的關(guān)聯(lián)請(qǐng)求的傳輸)����,圖23的消息流使用“臨時(shí)”PTKl來保護(hù)關(guān)聯(lián)請(qǐng)求��。將注意到�����,盡管PTKl是使用可能為多個(gè)STA所知的ANonce (例如�����,可經(jīng)由信標(biāo)將ANoncel廣播到多個(gè)STA)來生成的���,但僅僅一條消息(關(guān)聯(lián)請(qǐng)求)是使用“臨時(shí)”密鑰PTKl來保護(hù)的�����。各后續(xù)消息(包括STA302與AP304之間的關(guān)聯(lián)響應(yīng)和數(shù)據(jù)消息)是使用不同的密鑰PTK2來保護(hù)的��。圖23的消息流因此在AP不被“知道”或不被“信任”(諸如在公共接入?yún)^(qū)域)的情形中可以是優(yōu)選的�。
[0139]圖24是示出可在站(諸如�����,如圖23解說的傳達(dá)和處理消息的STA302)處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程2400的流程圖。在2402����,移動(dòng)設(shè)備(例如,STA302)可從接入點(diǎn)(例如���,AP304)接收第一 ANonce (例如,ANoncel )����。前進(jìn)至2404,移動(dòng)設(shè)備可使用第一ANonce生成第一 PTK (例如���,PTK1)。繼續(xù)至2406���,移動(dòng)設(shè)備可將關(guān)聯(lián)請(qǐng)求發(fā)送至接入點(diǎn)�����。關(guān)聯(lián)請(qǐng)求可包括SNonce并且可使用第一 PTK來保護(hù)���。
[0140]在2408,移動(dòng)設(shè)備可從接入點(diǎn)接收關(guān)聯(lián)響應(yīng)����。關(guān)聯(lián)響應(yīng)可包括第二 ANonce (例如,ANonce2)并且可使用第二 PTK (例如��,PTK2)來保護(hù)��。前進(jìn)至2410�,移動(dòng)設(shè)備可使用第二 ANonce和SNonce生成第二 PTK�����。繼續(xù)至2412�����,移動(dòng)設(shè)備可使用第二 PTK來保護(hù)要發(fā)送至接入點(diǎn)的一條或多條后續(xù)消息�。
[0141]圖25是示出可在接入點(diǎn)(諸如����,如圖23解說的傳達(dá)和處理消息的AP304)處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程2500的流程圖。在2502�,接入點(diǎn)(例如,AP304)可將第一 ANonce (例如�����,ANoncel)發(fā)送至移動(dòng)設(shè)備(例如�����,STA302)��。例如,第一 ANonce可經(jīng)由單播探測(cè)響應(yīng)或廣播信標(biāo)來發(fā)送����。前進(jìn)至2504����,接入點(diǎn)可從移動(dòng)設(shè)備接收關(guān)聯(lián)請(qǐng)求�����。關(guān)聯(lián)請(qǐng)求可包括SNonce并且可使用第一 PTK (例如���,PTK1)來保護(hù)。在2506�,接入點(diǎn)可基于第一ANonce 和 SNonce 生成第一 PTK。
[0142]繼續(xù)至2508,接入點(diǎn)可生成第二 ANonce (例如����,ANonce2),并且可基于第二 ANonce和SNonce生成第二 PTK (例如,PTK2)�。在2510,接入點(diǎn)可將關(guān)聯(lián)響應(yīng)發(fā)送至移動(dòng)設(shè)備��。關(guān)聯(lián)響應(yīng)可包括第二 ANonce并且可使用第二 PTK來保護(hù)��。
[0143]圖26是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的圖示�。具體而言���,圖26解說使用ANonce種子來生成ANonce。
[0144]圖26中解說的所選消息和操作可與圖4-11中解說的消息和操作相對(duì)應(yīng)���,其中具有以下修改�����。如步驟2所示��,AP304可在信標(biāo)或探測(cè)響應(yīng)中將ANonce種子發(fā)送至STA302�。在一個(gè)特定實(shí)施例中���,ANonce種子是由AP304頻繁更新的64位密碼種子值�����。在一個(gè)特定實(shí)施例中�,ANonce種子(例如�,在信標(biāo)中)被廣播到多個(gè)STA。如步驟3所示��,STA302可使用ANonce種子來生成設(shè)備專有ANonce。在一個(gè)特定實(shí)施例中,通過對(duì)ANonce種子以及對(duì)于STA302是唯一的和/或描述STA302的值(例如��,STA302的MAC地址或與STA302相關(guān)聯(lián)的某一其他值)執(zhí)行一函數(shù)(例如���,散列函數(shù))來生成ANonce���。將理解,與廣播到多個(gè)STA的ANonce不同�����,在步驟3中生成的ANonce對(duì)于STA302可以是唯一的��。STA302可基于所生成的ANonce來執(zhí)行與AP304的鏈路建立�����。
[0145]在步驟8a��,AP304可基于ANonce種子以及STA302的MAC地址來導(dǎo)出ANonce�。例如�����,STA302的MAC地址可由AP304從步驟4中所發(fā)送的關(guān)聯(lián)響應(yīng)中檢索��。在生成ANonce之后,AP304可執(zhí)行并且完成與STA302的鏈路建立����。
[0146]將注意到,與其他握手技術(shù)不同�����,圖26的實(shí)施例涉及STA302在AP304之前生成ANonce�。然而,為保留后向兼容性,根據(jù)圖26的ANonce種子技術(shù)所生成的ANonce可共享與握手技術(shù)中各ANonce類似的性質(zhì)。例如����,ANonce對(duì)于STA302可以是唯一的���,ANonce和/或ANonce種子可按“明文”(例如,使用如步驟2所示的信標(biāo)或探測(cè)響應(yīng)消息或如步驟4所示的EAPOL密鑰消息)發(fā)送��,并且ANonce在由AP304傳送之前可能不是未經(jīng)授權(quán)的設(shè)備可預(yù)測(cè)的���。
[0147]圖27是示出可在站(諸如��,如圖26解說的傳達(dá)和處理消息的STA302)處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程2700的流程圖��。在2702���,移動(dòng)設(shè)備(例如�,STA302)可從接入點(diǎn)(例如����,AP304)接收ANonce種子。前進(jìn)至2704���,移動(dòng)設(shè)備可基于ANonce種子和移動(dòng)設(shè)備的MAC地址來生成ANonce�。繼續(xù)至2706���,移動(dòng)設(shè)備可基于所生成的ANonce來執(zhí)行與接入點(diǎn)的鏈路建立�。
[0148]圖28是示出可在接入點(diǎn)(諸如,如圖26解說的傳達(dá)和處理消息的AP304)處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程2800的流程圖�。在2802���,接入點(diǎn)(例如,AP304)可將ANonce種子發(fā)送至移動(dòng)設(shè)備(例如,STA302)���。前進(jìn)至2804��,接入點(diǎn)可接收移動(dòng)設(shè)備的MAC地址。例如�,MAC地址可被包括在來自移動(dòng)設(shè)備的消息(諸如�,關(guān)聯(lián)請(qǐng)求)中���。繼續(xù)至2806����,接入點(diǎn)可基于ANonce種子和移動(dòng)設(shè)備的MAC地址來生成ANonce���。在2808�,接入點(diǎn)可通過將移動(dòng)設(shè)備所報(bào)告的ANonce與接入點(diǎn)所計(jì)算出的ANonce相比較來驗(yàn)證移動(dòng)設(shè)備的真實(shí)性���。如果移動(dòng)設(shè)備通過驗(yàn)證�,則接入點(diǎn)可基于所生成的ANonce來執(zhí)行與移動(dòng)設(shè)備的鏈路建立���。
[0149]應(yīng)當(dāng)注意到��,盡管各個(gè)實(shí)施例和選項(xiàng)可能在本文中被描述為替換方案����,但來自不同實(shí)施例和選項(xiàng)的不同特征可被組合以執(zhí)行鏈路建立和認(rèn)證�。
[0150]本文描述的各種技術(shù)可應(yīng)用于基于拉取和基于推送的數(shù)據(jù)場(chǎng)景。例如��,參考圖16-18描述的經(jīng)修改的4路握手以及參考圖19-22描述的“下一個(gè)” ANonce技術(shù)可應(yīng)用于基于拉取和基于推送的數(shù)據(jù)場(chǎng)景。由移動(dòng)設(shè)備執(zhí)行的一個(gè)或多個(gè)應(yīng)用(諸如�����,電子郵件和社交聯(lián)網(wǎng)應(yīng)用)可周期性地檢查數(shù)據(jù)更新�����。經(jīng)修改的4路握手或“下一個(gè)”ANonce技術(shù)可以使此類數(shù)據(jù)更新拉取能夠更快地且移動(dòng)設(shè)備處的電池消耗降低地發(fā)生�。作為另一示例,移動(dòng)設(shè)備處的(諸)應(yīng)用可被配置成(例如���,從服務(wù)器)接收經(jīng)推送的數(shù)據(jù)更新����。數(shù)據(jù)更新的初始部分可在蜂窩連接上被接收����。然而,數(shù)據(jù)更新的其余部分可以(例如�����,通過WiFi)來更快地接收和/或以降低的電池消耗來接收,因?yàn)閿?shù)據(jù)更新的初始部分觸發(fā)了使用如本文描述的經(jīng)修改的4路握手或“下一個(gè)” ANonce技術(shù)的快速初始鏈路建立���。參考圖23-25描述的臨時(shí)PTK技術(shù)以及參考圖26-28描述的ANonce種子技術(shù)也可用于此類基于拉取和基于推送的數(shù)據(jù)場(chǎng)景中。
[0151]結(jié)合所描述的各實(shí)施例��,第一設(shè)備可包括用于將不受保護(hù)的關(guān)聯(lián)請(qǐng)求從移動(dòng)設(shè)備發(fā)送至接入點(diǎn)的裝置����。例如,用于發(fā)送的裝置可包括:STA106-110的一個(gè)或多個(gè)組件���、無線控制器240����、天線242�、STA302的一個(gè)或多個(gè)組件、被配置成發(fā)送不受保護(hù)的關(guān)聯(lián)請(qǐng)求的一個(gè)或多個(gè)其他設(shè)備��、或其任何組合��。第一設(shè)備還可包括用于從接入點(diǎn)接收關(guān)聯(lián)響應(yīng)的裝置�����,其中該關(guān)聯(lián)響應(yīng)包括ANonce。例如����,用于接收的裝置可包括:STA106_110的一個(gè)或多個(gè)組件、無線控制器240�、天線242、STA302的一個(gè)或多個(gè)組件��、被配置成接收關(guān)聯(lián)響應(yīng)的一個(gè)或多個(gè)其他設(shè)備�、或其任何組合。第一設(shè)備可進(jìn)一步包括用于在移動(dòng)設(shè)備處使用ANonce來生成PTK的裝置����。例如,用于生成的裝置可包括:STA106-110的一個(gè)或多個(gè)組件�����、處理器210�����、STA302的一個(gè)或多個(gè)組件����、被配置成生成PTK的一個(gè)或多個(gè)其他設(shè)備、或其任何組合。
[0152]第二設(shè)備可包括用于在接入點(diǎn)處從移動(dòng)設(shè)備接收不受保護(hù)的關(guān)聯(lián)請(qǐng)求的裝置����。例如,用于接收不受保護(hù)的關(guān)聯(lián)請(qǐng)求的裝置可包括:AP102的一個(gè)或多個(gè)組件�����、AP304的一個(gè)或多個(gè)組件���、被配置成接收不受保護(hù)的關(guān)聯(lián)請(qǐng)求的一個(gè)或多個(gè)其他設(shè)備(例如,AP的無線控制器和/或天線)���、或其任何組合���。第二設(shè)備還可包括用于從該不受保護(hù)的關(guān)聯(lián)請(qǐng)求提取發(fā)起消息的裝置。例如��,用于提取的裝置可包括:AP102的一個(gè)或多個(gè)組件��、AP304的一個(gè)或多個(gè)組件�、被配置成提取發(fā)起消息的一個(gè)或多個(gè)其他設(shè)備(例如,AP的處理器)�、或其任何組合。第二設(shè)備可進(jìn)一步包括用于將該發(fā)起消息發(fā)送至AS的裝置。例如���,用于發(fā)送該發(fā)起消息的裝置可包括:AP102的一個(gè)或多個(gè)組件�、AP304的一個(gè)或多個(gè)組件�����、被配置成發(fā)送發(fā)起消息的一個(gè)或多個(gè)其他設(shè)備(例如�,AP的無線控制器和/或天線)、或其任何組合����。
[0153]第二設(shè)備可包括用于從AS接收應(yīng)答消息的裝置,其中該應(yīng)答消息包括rMSK����。例如,用于接收應(yīng)答消息的裝置可包括:AP102的一個(gè)或多個(gè)組件�、AP304的一個(gè)或多個(gè)組件、被配置成接收應(yīng)答消息的一個(gè)或多個(gè)其他設(shè)備(例如���,AP的無線控制器和/或天線)��、或其任何組合�。第二設(shè)備還可包括用于生成ANonce的裝置。例如����,用于生成的裝置可包括:AP102的一個(gè)或多個(gè)組件、AP304的一個(gè)或多個(gè)組件�����、被配置成生成ANonce的一個(gè)或多個(gè)其他設(shè)備(例如��,AP的處理器)����、或其任何組合��。第二設(shè)備可進(jìn)一步包括用于將關(guān)聯(lián)響應(yīng)從接入點(diǎn)發(fā)送至移動(dòng)設(shè)備的裝置���,其中該關(guān)聯(lián)響應(yīng)包括ANonce��。例如����,用于發(fā)送該關(guān)聯(lián)響應(yīng)的裝置可包括:AP102的一個(gè)或多個(gè)組件�、AP304中的一個(gè)或多個(gè)組件�����、被配置成發(fā)送關(guān)聯(lián)響應(yīng)的一個(gè)或多個(gè)其他設(shè)備(例如�,AP的無線控制器和/或天線)�����、或其任何組合��。
[0154]第三設(shè)備可包括用于在移動(dòng)設(shè)備處使用第一 ANonce發(fā)起與接入點(diǎn)的第一鏈路建立的裝置��。例如�,用于發(fā)起的裝置可包括:STA106-110的一個(gè)或多個(gè)組件、處理器210���、STA302的一個(gè)或多個(gè)組件����、被配置成發(fā)起鏈路建立的一個(gè)或多個(gè)其他設(shè)備����、或其任何組合。第三設(shè)備還可包括用于在與接入點(diǎn)的第一鏈路建立期間接收第二 ANonce以供在第一鏈路建立之后與接入點(diǎn)的第二鏈路建立中使用的裝置��。例如,用于接收的裝置可包括:STA106-110的一個(gè)或多個(gè)組件����、無線控制器240、天線242�、STA302的一個(gè)或多個(gè)組件、被配置成接收ANonce的一個(gè)或多個(gè)其他設(shè)備�����、或其任何組合����。
[0155]第四設(shè)備可包括用于在使用第一 ANonce的第一鏈路建立期間將第二 ANonce從接入點(diǎn)發(fā)送至移動(dòng)設(shè)備以供在第一鏈路建立之后與移動(dòng)設(shè)備的第二鏈路建立中使用的裝置。例如����,用于發(fā)送第二 ANonce的裝置可包括:AP102的一個(gè)或多個(gè)組件���、AP304中的一個(gè)或多個(gè)組件�、被配置成發(fā)送ANonce的一個(gè)或多個(gè)其他設(shè)備(例如�,AP的無線控制器和/或天線)、或其任何組合��。第四設(shè)備還可包括用于在發(fā)起第一鏈路建立之前經(jīng)由信標(biāo)或探測(cè)響應(yīng)將第一 ANonce發(fā)送至移動(dòng)設(shè)備的裝置,其中第二 ANonce與第一 ANonce不同。例如,用于發(fā)送第一 ANonce的裝置可包括:AP102的一個(gè)或多個(gè)組件�����、AP304的一個(gè)或多個(gè)組件����、被配置成發(fā)送ANonce的一個(gè)或多個(gè)其他設(shè)備(例如,AP的無線控制器和/或天線)���、或其任何組合���。
[0156]第五設(shè)備可包括在移動(dòng)設(shè)備處從接入點(diǎn)接收第一ANonce的裝置。例如��,用于接收的裝置可包括:STA106-110的一個(gè)或多個(gè)組件�、無線控制器240、天線242����、STA302的一個(gè)或多個(gè)組件、被配置成接收ANonce的一個(gè)或多個(gè)其他設(shè)備�����、或其任何組合。該設(shè)備還可包括用于使用第一 ANonce來生成第一 PTK的裝置�。例如,用于生成的裝置可包括:STA106_110的一個(gè)或多個(gè)組件��、處理器210���、STA302的一個(gè)或多個(gè)組件��、被配置成生成PTK的一個(gè)或多個(gè)其他設(shè)備���、或其任何組合。第一 ANonce可被視為“弱”ANonce���,例如由于其在信標(biāo)中被廣播到多個(gè)STA或由于其值是可預(yù)測(cè)的�����。然而,因?yàn)樯蠈有帕钕⒅星度氲碾[式安全性�����,所以使用此類“弱” ANonce是可接受的���。此外��,如本文描述的�����,第二“較強(qiáng)的” ANonce可被導(dǎo)出并用于進(jìn)一步的數(shù)據(jù)傳遞����。
[0157]該設(shè)備可進(jìn)一步包括用于將關(guān)聯(lián)請(qǐng)求發(fā)送至接入點(diǎn)的裝置,其中該關(guān)聯(lián)請(qǐng)求包括SNonce并且使用第一 PTK來保護(hù)�。例如,用于發(fā)送的裝置可包括:STA106_110的一個(gè)或多個(gè)組件���、無線控制器240�、天線242�����、STA302的一個(gè)或多個(gè)組件���、被配置成發(fā)送關(guān)聯(lián)請(qǐng)求的一個(gè)或多個(gè)其他設(shè)備��、或其任何組合�����。
[0158]該設(shè)備可包括用于在移動(dòng)設(shè)備處從接入點(diǎn)接收關(guān)聯(lián)響應(yīng)的裝置�,其中該關(guān)聯(lián)響應(yīng)包括第二 ANonce并且使用第二 PTK來保護(hù)。例如����,用于接收的裝置可包括:STA106_110的一個(gè)或多個(gè)組件、無線控制器240�、天線242、STA302的一個(gè)或多個(gè)組件����、被配置成接收關(guān)聯(lián)響應(yīng)的一個(gè)或多個(gè)其他設(shè)備、或其任何組合���。第二 ANonce可被視為“強(qiáng)” ANonce�����。
[0159]該設(shè)備還可包括用于在移動(dòng)設(shè)備處使用第二 ANonce和SNonce來生成第二 PTK的裝置����。例如����,用于生成的裝置可包括:STA106-110的一個(gè)或多個(gè)組件、處理器210���、STA302的一個(gè)或多個(gè)組件�、被配置成生成PTK的一個(gè)或多個(gè)其他設(shè)備���、或其任何組合����。該設(shè)備可進(jìn)一步包括用于使用第二 PTK來保護(hù)要從移動(dòng)設(shè)備發(fā)送至接入點(diǎn)的至少一條后續(xù)消息的裝置�����。例如����,用于使用的裝置可包括:STA106-110的一個(gè)或多個(gè)組件、處理器210����、STA302的一個(gè)或多個(gè)組件、被配置成保護(hù)消息的一個(gè)或多個(gè)其他設(shè)備、或其任何組合�。
[0160]第六設(shè)備可包括用于將第一 ANonce從接入點(diǎn)發(fā)送至移動(dòng)設(shè)備的裝置。例如���,用于發(fā)送的裝置可包括:AP102的一個(gè)或多個(gè)組件��、AP304的一個(gè)或多個(gè)組件��、被配置成發(fā)送ANonce的一個(gè)或多個(gè)其他設(shè)備�����、或其任何組合����。該設(shè)備還可包括用于從移動(dòng)設(shè)備接收關(guān)聯(lián)請(qǐng)求的裝置����,其中該關(guān)聯(lián)請(qǐng)求包括SNonce并且使用第一 PTK來保護(hù)。例如��,用于接收的裝置可包括:AP102的一個(gè)或多個(gè)組件�、AP304的一個(gè)或多個(gè)組件、被配置成接收關(guān)聯(lián)請(qǐng)求的一個(gè)或多個(gè)其他設(shè)備���、或其任何組合����。[0161]該設(shè)備可進(jìn)一步包括用于在接入點(diǎn)處基于第一 ANonce和SNonce來生成第一 PTK的裝置�。例如,用于生成的裝置可包括:AP102的一個(gè)或多個(gè)組件��、AP304的一個(gè)或多個(gè)組件�、被配置成生成PTK的一個(gè)或多個(gè)其他設(shè)備、或其任何組合�。該設(shè)備可包括用于生成第二ANonce的裝置。例如�,用于生成第二 ANonce的裝置可包括:AP102的一個(gè)或多個(gè)組件、AP304的一個(gè)或多個(gè)組件��、被配置成生成ANonce的一個(gè)或多個(gè)其他設(shè)備�、或其任何組合。該設(shè)備還可包括用于基于第二 ANonce和SNonce來生成第二 PTK的裝置����。例如,用于生成的裝置可包括:AP102的一個(gè)或多個(gè)組件���、AP304的一個(gè)或多個(gè)組件�����、被配置成生成PTK的一個(gè)或多個(gè)其他設(shè)備���、或其任何組合�。
[0162]該設(shè)備可進(jìn)一步包括用于將關(guān)聯(lián)響應(yīng)發(fā)送至移動(dòng)設(shè)備的裝置�����,其中該關(guān)聯(lián)響應(yīng)包括第二 ANonce并且使用第二 PTK來保護(hù)����。例如�����,用于發(fā)送的裝置可包括:AP102的一個(gè)或多個(gè)組件�、AP304的一個(gè)或多個(gè)組件、被配置成發(fā)送關(guān)聯(lián)響應(yīng)的一個(gè)或多個(gè)其他設(shè)備�����、或其任何組合�。
[0163]第七設(shè)備可包括在移動(dòng)設(shè)備處從接入點(diǎn)接收ANonce種子的裝置����。ANonce種子可(例如�����,經(jīng)由信標(biāo))被廣播到多個(gè)設(shè)備�。例如�����,用于接收ANonce種子的裝置可包括:STA106-110的一個(gè)或多個(gè)組件�、無線控制器240、天線242��、STA302的一個(gè)或多個(gè)組件����、被配置成接收ANonce種子的一個(gè)或多個(gè)其他設(shè)備、或其任何組合�����。該設(shè)備還可包括用于在移動(dòng)設(shè)備處基于ANonce種子以及移動(dòng)設(shè)備的MAC地址來生成ANonce的裝置�。例如���,用于生成的裝置可包括:STA106-110的一個(gè)或多個(gè)組件、處理器210��、STA302的一個(gè)或多個(gè)組件�、被配置成生成ANonce的一個(gè)或多個(gè)其他設(shè)備、或其任何組合�����。
[0164]該設(shè)備可進(jìn)一步包括用于基于所生成的ANonce來執(zhí)行與接入點(diǎn)的鏈路建立的裝置��。例如�,用于執(zhí)行的裝置可包括:STA106-110的一個(gè)或多個(gè)組件、處理器210�����、STA302的一個(gè)或多個(gè)組件�、被配置成執(zhí)行鏈路建立的一個(gè)或多個(gè)其他設(shè)備、或其任何組合��。
[0165]第八設(shè)備可包括用于將ANonce種子從接入點(diǎn)發(fā)送至移動(dòng)設(shè)備的裝置���。例如��,用于發(fā)送的裝置可包括:AP102的一個(gè)或多個(gè)組件�����、AP304的一個(gè)或多個(gè)組件����、被配置成發(fā)送ANonce種子的一個(gè)或多個(gè)其他設(shè)備、或其任何組合����。
[0166]該設(shè)備還可包括用于接收移動(dòng)設(shè)備的MAC地址的裝置����。例如,用于接收的裝置可包括:AP102的一個(gè)或多個(gè)組件�、AP304的一個(gè)或多個(gè)組件、被配置成接收MAC地址的一個(gè)或多個(gè)其他設(shè)備����、或其任何組合。該設(shè)備可進(jìn)一步包括用于基于ANonce種子和移動(dòng)設(shè)備的MAC地址來生成ANonce的裝置�。例如,用于生成的裝置可包括:AP102的一個(gè)或多個(gè)組件、AP304的一個(gè)或多個(gè)組件�、被配置成生成ANonce的一個(gè)或多個(gè)其他設(shè)備�、或其任何組合��。
[0167]該設(shè)備可包括用于基于所生成的ANonce來執(zhí)行與移動(dòng)設(shè)備的鏈路建立的裝置�����。例如�����,用于執(zhí)行的裝置可包括:AP102的一個(gè)或多個(gè)組件�、AP304的一個(gè)或多個(gè)組件、被配置成執(zhí)行鏈路建立的一個(gè)或多個(gè)其他設(shè)備��、或其任何組合��。
[0168]提供前面對(duì)所公開的實(shí)施例的描述是為了使本領(lǐng)域技術(shù)人員皆能制作或使用所公開的實(shí)施例����。對(duì)這些實(shí)施例的各種修改對(duì)于本領(lǐng)域技術(shù)人員而言將是顯而易見的,并且本文中定義的原理可被應(yīng)用于其他實(shí)施例而不會(huì)脫離本公開的范圍�����。因此,本公開并非旨在被限定于本文中公開的實(shí)施例�,而是應(yīng)被授予與如由所附權(quán)利要求定義的原理和新穎性特征一致的最廣的可能范圍。
[0169]本文描述的各元素可包括同一元素的多個(gè)實(shí)例���。這些元素可由數(shù)字標(biāo)號(hào)(例如�����,110)來一般地指示����,并且可由跟有字母標(biāo)號(hào)的數(shù)字指示符(例如��,110A)或之前有“破折號(hào)”的數(shù)字指示符(例如��,110-1)來具體地指示�����。為了便于跟上描述���,絕大部分元素?cái)?shù)字指示符以介紹或最全面地描述這些元素的圖的編號(hào)開始。
[0170]應(yīng)當(dāng)理解����,本文中使用諸如“第一”�、“第二”等指定對(duì)元素的任何引述并不限制這些元素的量或次序�,除非顯式陳述此類限制。相反��,這些指定可在本文中用作區(qū)別兩個(gè)或更多個(gè)元素或者元素實(shí)例的便捷方法�。因此,對(duì)第一元素和第二元素的引述并不意味著此處可采用僅兩個(gè)元素或者第一元素必須以某種方式位于第二元素之前��。另外��,除非另行說明�,否則元素集可包括一個(gè)或更多個(gè)元素。
[0171]除非在本文中另行指出����,否則所示出和所描述的具體實(shí)現(xiàn)僅僅是示例并且不應(yīng)解釋成用于實(shí)現(xiàn)本公開的僅有的方式。本領(lǐng)域普通技術(shù)人員將容易明白����,本公開中的各個(gè)示例可通過眾多其它劃分系統(tǒng)來實(shí)踐。
[0172]本領(lǐng)域普通技術(shù)人員將可理解����,信息和信號(hào)可使用各種不同技術(shù)和技藝中的任一種來表示�。例如���,貫穿本描述可能述及的數(shù)據(jù)�、指令�����、命令����、信息、信號(hào)�、位、碼元���、和碼片可由電壓�����、電流���、電磁波��、磁場(chǎng)或磁粒子、光場(chǎng)或光粒子���、或其任何組合來表示�����。為了陳述和描述的清楚性����,一些附圖可能將諸信號(hào)解說為單個(gè)信號(hào)�����。本領(lǐng)域普通技術(shù)人員將理解�,信號(hào)可表示信號(hào)總線,其中該總線可具有各種各樣的位寬并且本公開可在任何數(shù)目的數(shù)據(jù)信號(hào)上實(shí)現(xiàn)����,包括單個(gè)數(shù)據(jù)信號(hào)。
[0173]在該描述中�����,元件��、電路、和功能可能以框圖形式示出以免將本公開湮沒在不必要的細(xì)節(jié)中���。相反��,除非在本文中另行指出��,否則所示出和所描述的具體實(shí)現(xiàn)僅僅是示例性的并且不應(yīng)解釋成用于實(shí)現(xiàn)本公開的僅有的方式�。另外�����,塊定義和各個(gè)塊之間的邏輯劃分對(duì)于具體實(shí)現(xiàn)是示例性的���。本領(lǐng)域普通技術(shù)人員將容易明白�����,本公開可通過眾多其它劃分系統(tǒng)來實(shí)踐����。對(duì)于大部分而言��,涉及時(shí)序考量及諸如此類的細(xì)節(jié)已被省略����,其中此類細(xì)節(jié)對(duì)于獲得對(duì)本公開的完整理解并不是必需的且在相關(guān)領(lǐng)域普通技術(shù)人員的能力之內(nèi)。
[0174]本文描述的以及附圖中解說的一個(gè)或更多個(gè)組件��、動(dòng)作�、特征、和/或功能可以被重新安排和/或組合成單個(gè)組件����、動(dòng)作、特征��、或功能��,或?qū)嵤┰跀?shù)個(gè)組件����、動(dòng)作、特征��、或功能中����。還可添加附加的元件、組件���、動(dòng)作���、和/或功能而不會(huì)脫離本發(fā)明�����。本文中描述的算法也可以高效地實(shí)現(xiàn)在軟件中和/或嵌入在硬件中����。
[0175]還應(yīng)注意��,這些實(shí)施例可能是作為被描繪為流程圖�����、流圖��、結(jié)構(gòu)圖���、或框圖的過程來描述的����。盡管流程圖可能會(huì)把諸操作描述為順序過程,但是這些操作中有許多能夠并行或并發(fā)地執(zhí)行���。另外����,這些操作的次序可以被重新安排���。過程在其操作完成時(shí)終止。過程可對(duì)應(yīng)于方法���、函數(shù)�、規(guī)程�����、子例程��、子程序等���。當(dāng)過程對(duì)應(yīng)于函數(shù)時(shí)����,它的終止對(duì)應(yīng)于該函數(shù)返回調(diào)用方函數(shù)或主函數(shù)��。
[0176]此外,存儲(chǔ)介質(zhì)可表示用于存儲(chǔ)數(shù)據(jù)的一個(gè)或多個(gè)設(shè)備�����,包括只讀存儲(chǔ)器(ROM)�、隨機(jī)存取存儲(chǔ)器(RAM)、磁盤存儲(chǔ)介質(zhì)�、光學(xué)存儲(chǔ)介質(zhì)、閃存設(shè)備和/或其他用于存儲(chǔ)信息的機(jī)器可讀介質(zhì)���、以及處理器可讀介質(zhì)�����、和/或計(jì)算機(jī)可讀介質(zhì)�。術(shù)語“機(jī)器可讀介質(zhì)”��、“計(jì)算機(jī)可讀介質(zhì)”和/或“處理器可讀介質(zhì)”可包括��,但不限于非瞬態(tài)介質(zhì)�����,諸如便攜或固定的存儲(chǔ)設(shè)備、光存儲(chǔ)設(shè)備�����、以及能夠存儲(chǔ)��、包含或承載指令和/或數(shù)據(jù)的各種其它介質(zhì)�����。因此�,本文中描述的各種方法可全部或部分地由可存儲(chǔ)在“機(jī)器可讀介質(zhì)”���、“計(jì)算機(jī)可讀介質(zhì)”和/或“處理器可讀介質(zhì)”中并由一個(gè)或更多個(gè)處理器����、機(jī)器和/或設(shè)備執(zhí)行的指令和/或數(shù)據(jù)來實(shí)現(xiàn)�。
[0177]此外,諸實(shí)施例可以由硬件���、軟件��、固件�、中間件、微代碼���、或其任何組合來實(shí)現(xiàn)�����。當(dāng)在軟件����、固件����、中間件或微碼中實(shí)現(xiàn)時(shí),執(zhí)行必要任務(wù)的程序代碼或代碼段可被存儲(chǔ)在諸如存儲(chǔ)介質(zhì)之類的機(jī)器可讀介質(zhì)或其它存儲(chǔ)中���。處理器可以執(zhí)行這些必要的任務(wù)�����。代碼段可表示規(guī)程�����、函數(shù)�����、子程序�、程序、例程��、子例程�、模塊、軟件包�、類,或是指令���、數(shù)據(jù)結(jié)構(gòu)�����、或程序語句的任何組合。通過傳遞和/或接收信息��、數(shù)據(jù)�、自變量、參數(shù)�����、或存儲(chǔ)器內(nèi)容,一代碼段可被耦合到另一代碼段或硬件電路����。信息、自變量����、參數(shù)、數(shù)據(jù)等可以經(jīng)由包括存儲(chǔ)器共享�����、消息傳遞����、令牌傳遞、網(wǎng)絡(luò)傳輸?shù)鹊娜魏魏线m的手段被傳遞�、轉(zhuǎn)發(fā)、或傳輸�����。
[0178]結(jié)合本文中公開的示例描述的各個(gè)解說性邏輯塊�����、模塊、電路�、元件和/或組件可用通用處理器、數(shù)字信號(hào)處理器(DSP)���、專用集成電路(ASIC)��、現(xiàn)場(chǎng)可編程門陣列(FPGA)或其他可編程邏輯組件����、分立的門或晶體管邏輯���、分立的硬件組件���、或其設(shè)計(jì)成執(zhí)行本文中描述的功能的任何組合來實(shí)現(xiàn)或執(zhí)行。通用處理器可以是微處理器�����,但替換地��,處理器可以是任何常規(guī)的處理器��、控制器���、微控制器����、或狀態(tài)機(jī)����。處理器還可以實(shí)現(xiàn)為計(jì)算組件的組合,例如DSP與微處理器的組合��、數(shù)個(gè)微處理器�����、與DSP核心協(xié)作的一個(gè)或多個(gè)微處理器�、或任何其他此類配置。配置成用于執(zhí)行本文描述的實(shí)施例的通用處理器被認(rèn)為是執(zhí)行此類實(shí)施例的專用處理器���。類似地��,通用計(jì)算機(jī)在配置成用于執(zhí)行本文描述的實(shí)施例時(shí)被認(rèn)為是專用計(jì)算機(jī)�。
[0179]結(jié)合本文中公開的示例描述的方法或算法可直接在硬件中�����、在能由處理器執(zhí)行的軟件模塊中、或在這兩者的組合中以處理單元�����、編程指令����、或其他指示的形式實(shí)施,并且可包含在單個(gè)設(shè)備中或跨多個(gè)設(shè)備分布�。軟件模塊可駐留在RAM存儲(chǔ)器、閃存�����、ROM存儲(chǔ)器����、EPROM存儲(chǔ)器、EEPROM存儲(chǔ)器���、寄存器�����、硬盤��、可移動(dòng)盤�、CD-ROM���、或本領(lǐng)域中所知的任何其他形式的存儲(chǔ)介質(zhì)中���。存儲(chǔ)介質(zhì)可耦合到處理器以使得該處理器能從/向該存儲(chǔ)介質(zhì)讀寫信息。替換地�,存儲(chǔ)介質(zhì)可以被整合到處理器。
[0180]例如����,STA功能性可使用存儲(chǔ)在處理器可讀介質(zhì)上的指令來實(shí)現(xiàn)。一種特定介質(zhì)可存儲(chǔ)指令���,這些指令可被執(zhí)行以使處理器生成將由移動(dòng)設(shè)備發(fā)送至接入點(diǎn)的不受保護(hù)的關(guān)聯(lián)請(qǐng)求�����。這些指令還可被執(zhí)行以使處理器使用從來自接入點(diǎn)的關(guān)聯(lián)響應(yīng)中檢索的ANonce來生成PTK��。另一種特定介質(zhì)可存儲(chǔ)指令�����,這些指令可由處理器執(zhí)行以在移動(dòng)設(shè)備處使用第一 ANonce發(fā)起與接入點(diǎn)的第一鏈路建立�。這些指令還可被執(zhí)行以使處理器在與接入點(diǎn)的第一鏈路建立期間接收第二 ANonce以供在第一鏈路建立之后與接入點(diǎn)的第二鏈路建立中使用。
[0181]作為另一示例�,AP功能性可使用存儲(chǔ)在處理器可讀介質(zhì)上的指令來實(shí)現(xiàn)。例如�����,一種特定介質(zhì)可存儲(chǔ)指令���,這些指令可被執(zhí)行以使處理器從自移動(dòng)設(shè)備接收到的不受保護(hù)的關(guān)聯(lián)請(qǐng)求中提取發(fā)起消息���。這些指令還可被執(zhí)行以使處理器從響應(yīng)于該發(fā)起消息自認(rèn)證服務(wù)器接收到的應(yīng)答消息中提取rMSK。這些指令可進(jìn)一步被執(zhí)行以使處理器生成ANonce并且生成要發(fā)送至移動(dòng)設(shè)備的關(guān)聯(lián)響應(yīng)���,其中該關(guān)聯(lián)響應(yīng)包括ANonce�����。另一種特定介質(zhì)可存儲(chǔ)指令���,這些指令可由處理器執(zhí)行以在使用第一 ANonce的第一鏈路建立期間將第二ANonce從接入點(diǎn)發(fā)送至移動(dòng)設(shè)備以供在第一鏈路建立之后與移動(dòng)設(shè)備的第二鏈路建立中使用。
[0182]本領(lǐng)域技術(shù)人員將可進(jìn)一步領(lǐng)會(huì),結(jié)合本文中公開的實(shí)施例描述的各種解說性邏輯塊����、模塊����、電路、和算法步驟可被實(shí)現(xiàn)為電子硬件�����、計(jì)算機(jī)軟件���、或兩者的組合��。為清楚地解說硬件與軟件的這一可互換性���,各種解說性組件、框���、模塊��、電路����、和步驟在上面是以其功能性的形式作一般化描述的。此類功能性是被實(shí)現(xiàn)為硬件�����、軟件還是其組合取決于具體應(yīng)用和加諸于整體系統(tǒng)的設(shè)計(jì)選擇����。
[0183]本文中所描述的本發(fā)明的各種特征可實(shí)現(xiàn)于不同系統(tǒng)中而不脫離本發(fā)明。應(yīng)注意�����,以上實(shí)施例僅是示例�,且不應(yīng)被解釋成限定本發(fā)明。這些實(shí)施例的描述旨在解說���,而并非旨在限定權(quán)利要求的范圍�����。由此����,本發(fā)明的教導(dǎo)可以現(xiàn)成地應(yīng)用于其他類型的裝置,并且許多替換�、修改、和變形對(duì)于本領(lǐng)域技術(shù)人員將是顯而易見的�。
【權(quán)利要求】
1.一種方法,包括: 從移動(dòng)設(shè)備向接入點(diǎn)發(fā)送不受保護(hù)的關(guān)聯(lián)請(qǐng)求�; 從所述接入點(diǎn)接收關(guān)聯(lián)響應(yīng),其中所述關(guān)聯(lián)響應(yīng)包括接入點(diǎn)一次性數(shù)(ANonce);以及 在所述移動(dòng)設(shè)備處使用所述ANonce來生成成對(duì)瞬態(tài)密鑰(PTK)�。
2.如權(quán)利要求1所述的方法�,其特征在于,進(jìn)一步包括: 在向所述接入點(diǎn)發(fā)送所述不受保護(hù)的關(guān)聯(lián)請(qǐng)求之前��,在所述移動(dòng)設(shè)備處生成重認(rèn)證主會(huì)話密鑰(rMSK)和站一次性數(shù)(SNonce )����, 其中所述PTK是使用所述rMSK和所述SNonce來生成的。
3.如權(quán)利要求1所述的方法���,其特征在于���,進(jìn)一步包括: 從所述移動(dòng)設(shè)備的存儲(chǔ)器中檢索所述接入點(diǎn)的基本服務(wù)集標(biāo)識(shí)符(BSSID), 其中所述不受保護(hù)的關(guān)聯(lián)請(qǐng)求是基于所述BSSID被發(fā)送至所述接入點(diǎn)的�����。
4.如權(quán)利要求1所述的方法,其特征在于�,所述不受保護(hù)的關(guān)聯(lián)請(qǐng)求是響應(yīng)于在所述移動(dòng)設(shè)備處確定的位置信息而發(fā)送的。
5.如權(quán)利要求1所述的方法�����,其特征在于���,所述關(guān)聯(lián)請(qǐng)求中除所述ANonce以外的信息元素是使用所述ANonce來保護(hù)的���,并且所述方法進(jìn)一步包括使用所述PTK來證實(shí)所述關(guān)聯(lián)響應(yīng)的完整性。
6.一種裝置��,包括: 處理器�����;以及 存儲(chǔ)指令的存儲(chǔ)器�����,所述指令能由所述處理器執(zhí)行以: 向接入點(diǎn)發(fā)送不受保護(hù)的關(guān)聯(lián)請(qǐng)求�; 從所述接入點(diǎn)接收關(guān)聯(lián)響應(yīng),其中所述關(guān)聯(lián)響應(yīng)包括接入點(diǎn)一次性數(shù)(ANonce);以及 使用所述ANonce來生成成對(duì)瞬態(tài)密鑰(PTK)�����。
7.如權(quán)利要求6所述的裝置,其特征在于�����,所述指令能進(jìn)一步由所述處理器執(zhí)行以: 在向所述接入點(diǎn)發(fā)送所述不受保護(hù)的關(guān)聯(lián)請(qǐng)求之前�����,生成重認(rèn)證主會(huì)話密鑰(rMSK)和站一次性數(shù)(SNonce), 其中所述PTK是使用所述rMSK和所述SNonce來生成的�。
8.如權(quán)利要求6所述的裝置�����,其特征在于�����,所述存儲(chǔ)器進(jìn)一步存儲(chǔ)所述接入點(diǎn)的基本服務(wù)集標(biāo)識(shí)符(BSSID)����,并且所述指令能進(jìn)一步由所述處理器執(zhí)行以: 從所述存儲(chǔ)器中檢索所述接入點(diǎn)的BSSID, 其中所述不受保護(hù)的關(guān)聯(lián)請(qǐng)求是基于所述BSSID被發(fā)送至所述接入點(diǎn)的�。
9.一種設(shè)備,包括: 用于從移動(dòng)設(shè)備向接入點(diǎn)發(fā)送不受保護(hù)的關(guān)聯(lián)請(qǐng)求的裝置�; 用于從所述接入點(diǎn)接收關(guān)聯(lián)響應(yīng)的裝置�,其中所述關(guān)聯(lián)響應(yīng)包括接入點(diǎn)一次性數(shù)(ANonce);以及 用于在所述移動(dòng)設(shè)備處使用所述ANonce來生成成對(duì)瞬態(tài)密鑰(PTK)的裝置��。
10.一種包括指令的非瞬態(tài)處理器可讀介質(zhì)����,所述指令當(dāng)由處理器執(zhí)行時(shí)使所述處理器: 生成要由移動(dòng)設(shè)備發(fā)送至接入點(diǎn)的不受保護(hù)的關(guān)聯(lián)請(qǐng)求;以及 使用從來自所述接入點(diǎn)的關(guān)聯(lián)響應(yīng)中檢索的接入點(diǎn)一次性數(shù)(ANonce)來生成成對(duì)瞬態(tài)密鑰(PTK)��。
11.一種方法�,包括: 在接入點(diǎn)處,從移動(dòng)設(shè)備接收不受保護(hù)的關(guān)聯(lián)請(qǐng)求�����; 從所述不受保護(hù)的關(guān)聯(lián)請(qǐng)求中提取發(fā)起消息����; 將所述發(fā)起消息發(fā)送至認(rèn)證服務(wù)器; 從所述認(rèn)證服務(wù)器接收應(yīng)答消息���,其中所述應(yīng)答消息包括重認(rèn)證主會(huì)話密鑰(rMSK)����; 生成接入點(diǎn)一次性數(shù)(ANonce);以及 將關(guān)聯(lián)響應(yīng)發(fā)送至所述移動(dòng)設(shè)備,其中所述關(guān)聯(lián)響應(yīng)包括所述ANonce���。
12.如權(quán)利要求11所述的方法�����,其特征在于�,進(jìn)一步包括: 在所述接入點(diǎn)處��,使用所述rMSK���、所述ANonce�����、以及包括在所述不受保護(hù)的關(guān)聯(lián)請(qǐng)求中的站一次性數(shù)(SNonce)來生成成對(duì)瞬態(tài)密鑰(PTK), 其中所述關(guān)聯(lián)響應(yīng)是使用所述PTK來保護(hù)的�。
13.一種裝置,包括: 處理器����;以及 存儲(chǔ)指令的存儲(chǔ)器,所述指令能由所述處理器執(zhí)行以: 從移動(dòng)設(shè)備接收不受保護(hù)的`關(guān)聯(lián)請(qǐng)求�����; 從所述不受保護(hù)的關(guān)聯(lián)請(qǐng)求中提取發(fā)起消息; 將所述發(fā)起消息發(fā)送至認(rèn)證服務(wù)器�����; 從所述認(rèn)證服務(wù)器接收應(yīng)答消息�,其中所述應(yīng)答消息包括重認(rèn)證主會(huì)話密鑰(rMSK); 生成接入點(diǎn)一次性數(shù)(ANonce);以及 將關(guān)聯(lián)響應(yīng)發(fā)送至所述移動(dòng)設(shè)備����,其中所述關(guān)聯(lián)響應(yīng)包括所述ANonce。
14.如權(quán)利要求13所述的裝置,其特征在于����,所述指令能進(jìn)一步由所述處理器執(zhí)行以: 使用所述rMSK��、所述ANonce��、以及包括在所述不受保護(hù)的關(guān)聯(lián)請(qǐng)求中的站一次性數(shù)(SNonce)來生成成對(duì)瞬態(tài)密鑰(PTK)����, 其中所述關(guān)聯(lián)響應(yīng)是使用所述PTK來保護(hù)的。
15.一種設(shè)備,包括: 用于在接入點(diǎn)處從移動(dòng)設(shè)備接收不受保護(hù)的關(guān)聯(lián)請(qǐng)求的裝置�; 用于從所述不受保護(hù)的關(guān)聯(lián)請(qǐng)求中提取發(fā)起消息的裝置; 用于將所述發(fā)起消息發(fā)送至認(rèn)證服務(wù)器的裝置��; 用于從所述認(rèn)證服務(wù)器接收應(yīng)答消息的裝置����,其中所述應(yīng)答消息包括重認(rèn)證主會(huì)話密鑰(rMSK); 用于生成接入點(diǎn)一次性數(shù)(ANonce)的裝置�;以及 用于將關(guān)聯(lián)響應(yīng)從所述接入點(diǎn)發(fā)送至所述移動(dòng)設(shè)備的裝置,其中該關(guān)聯(lián)響應(yīng)包括所述ANonce0
16.一種包括指令的非瞬態(tài)處理器可讀介質(zhì)�,所述指令當(dāng)由處理器執(zhí)行時(shí)使所述處理器: 從自移動(dòng)設(shè)備接收到的不受保護(hù)的關(guān)聯(lián)請(qǐng)求中提取發(fā)起消息; 從響應(yīng)于所述發(fā)起消息自認(rèn)證服務(wù)器接收到的應(yīng)答消息中提取重認(rèn)證主會(huì)話密鑰(rMSK)����;生成接入點(diǎn)一次性數(shù)(ANonce);以及 生成要發(fā)送至所述移動(dòng)設(shè)備的關(guān)聯(lián)響應(yīng),其中所述關(guān)聯(lián)響應(yīng)包括所述ANonce���。
17.—種方法,包括: 在移動(dòng)設(shè)備處���,使用第一接入點(diǎn)一次性數(shù)(ANonce)來發(fā)起與接入點(diǎn)的第一鏈路建立���;以及 在與所述接入點(diǎn)的第一鏈路建立期間����,接收第二 ANonce以供在第一鏈路建立之后與所述接入點(diǎn)的第二鏈路建立中使用,其中第二 ANonce與第一 ANonce不同����。
18.如權(quán)利要求17所述的方法,其特征在于��,第一ANonce是從所述移動(dòng)設(shè)備的存儲(chǔ)器中檢索到的��、經(jīng)由信標(biāo)或探測(cè)響應(yīng)從所述接入點(diǎn)接收到的�、或其任何組合。
19.如權(quán)利要求17所述的方法�����,其特征在于�,第二ANonce是在關(guān)聯(lián)響應(yīng)中、在局域網(wǎng)(LAN)上的可擴(kuò)展認(rèn)證協(xié)議(EAP) (EAPOL)消息中���、或其任何組合中接收到的��。
20.如權(quán)利要求17所述的方法�,其特征在于���,第二ANonce具有有效性生存期�����。
21.如權(quán)利要求20所述的方法����,其特征在于,進(jìn)一步包括在發(fā)起后續(xù)鏈路建立之前���,當(dāng)?shù)诙?ANonce的有效性生存期流逝時(shí): 經(jīng)由信標(biāo)或探測(cè)響應(yīng)接收第三ANonce ��; 使用第三ANonce發(fā)起第二鏈路建立����;以及 在第二鏈路建立期間�,接 收第四ANonce以供在與所述接入點(diǎn)的第三鏈路建立中使用。
22.如權(quán)利要求17所述的方法��,其特征在于�����,進(jìn)一步包括: 在所述移動(dòng)設(shè)備處使用第二 ANonce發(fā)起與所述接入點(diǎn)的第二鏈路建立�;以及在與所述接入點(diǎn)的第二鏈路建立期間,接收第三ANonce以供在與所述接入點(diǎn)的后續(xù)第三鏈路建立中使用��。
23.一種裝置���,包括: 處理器����;以及 存儲(chǔ)指令的存儲(chǔ)器���,所述指令能由所述處理器執(zhí)行以: 使用第一接入點(diǎn)一次性數(shù)(ANonce)來發(fā)起與接入點(diǎn)的第一鏈路建立����; 以及 在與所述接入點(diǎn)的第一鏈路建立期間���,接收第二 ANonce以供在第一鏈路建立之后與所述接入點(diǎn)的第二鏈路建立中使用�,其中第二 ANonce與第一 ANonce不同��。
24.如權(quán)利要求23所述的裝置����,其特征在于: 第一 ANonce是從所述存儲(chǔ)器檢索到的、經(jīng)由信標(biāo)或探測(cè)響應(yīng)從所述接入點(diǎn)接收到的���、或其任何組合�����;以及 第二 ANonce是在關(guān)聯(lián)響應(yīng)中���、在局域網(wǎng)(LAN)上的可擴(kuò)展認(rèn)證協(xié)議(EAP) (EAPOL)消息中��、或其任何組合中接收到的��。
25.如權(quán)利要求23所述的裝置���,其特征在于,第二ANonce具有有效性生存期����。
26.如權(quán)利要求25所述的裝置,其特征在于��,所述指令能進(jìn)一步由所述處理器執(zhí)行以在發(fā)起后續(xù)鏈路建立之前��,當(dāng)?shù)诙?ANonce的所述有效性生存期流逝時(shí): 經(jīng)由信標(biāo)或探測(cè)響應(yīng)接收第三ANonce �����; 使用第三ANonce發(fā)起第二鏈路建立;以及 在第二鏈路建立期間�,接收第四ANonce以供在與所述接入點(diǎn)的第三鏈路建立中使用。
27.如權(quán)利要求23所述的裝置�,其特征在于�,所述指令能進(jìn)一步由所述處理器執(zhí)行以: 使用第二 ANonce發(fā)起與所述接入點(diǎn)的第二鏈路建立;以及 在與所述接入點(diǎn)的第二鏈路建立期間���,接收第三ANonce以供在與所述接入點(diǎn)的后續(xù)第三鏈路建立中使用�。
28.—種設(shè)備,包括: 用于在移動(dòng)設(shè)備處使用第一接入點(diǎn)一次性數(shù)(ANonce)來發(fā)起與接入點(diǎn)的第一鏈路建立的裝置���;以及 用于在與所述接入點(diǎn)的第一鏈路建立期間�,接收第二 ANonce以供在第一鏈路建立之后與所述接入點(diǎn)的第二鏈路建立中使用的裝置���,其中第二 ANonce與第一 ANonce不同���。
29.—種包括指令的非瞬態(tài)處理器可讀介質(zhì),所述指令當(dāng)由處理器執(zhí)行時(shí)使所述處理器: 在移動(dòng)設(shè)備處�����,使用第一接入點(diǎn)一次性數(shù)(ANonce)來發(fā)起與接入點(diǎn)的第一鏈路建立�����;以及 在與所述接入點(diǎn)的第一鏈路建立期間,接收第二 ANonce以供在第一鏈路建立之后與所述接入點(diǎn)的第二鏈路建立中使用�����,其中第二 ANonce與第一 ANonce不同����。
30.一種方法,包括: 在使用第一接入點(diǎn)一次性數(shù)(ANonce)的第一鏈路建立期間,將第二 ANonce從接入點(diǎn)發(fā)送至移動(dòng)設(shè)備以供在第一鏈路建立之后與所述移動(dòng)設(shè)備的第二鏈路建立中使用,其中第二 ANonce 與第一 ANonce 不同�。
31.如權(quán)利要求30所述的方法,其特征在于�����,進(jìn)一步包括在發(fā)起第一鏈路建立之前�����,經(jīng)由信標(biāo)或探測(cè)響應(yīng)將第一 ANonce發(fā)送至所述移動(dòng)設(shè)備���。
32.如權(quán)利要求30所述的方法�����,其特征在于�,第二ANonce是經(jīng)由關(guān)聯(lián)響應(yīng)、局域網(wǎng)(LAN)上的可擴(kuò)展認(rèn)證協(xié)議(EAP) (EAPOL)消息����、或其任何組合來發(fā)送至所述移動(dòng)設(shè)備的。
33.如權(quán)利要求30所述的方法����,其特征在于����,第二ANonce與有效性生存期相關(guān)聯(lián)。
34.一種裝置�,包括: 處理器;以及 存儲(chǔ)指令的存儲(chǔ)器����,所述指令能由所述處理器執(zhí)行以在使用第一接入點(diǎn)一次性數(shù)(ANonce)的第一鏈路建立期間,將第二 ANonce發(fā)送至移動(dòng)設(shè)備以供在第一鏈路建立之后與所述移動(dòng)設(shè)備的第二鏈路建立中使用�����,其中第二 ANonce與第一 ANonce不同����。
35.如權(quán)利要求34所述的裝置�����,其特征在于�,所述指令能進(jìn)一步由所述處理器執(zhí)行以在發(fā)起第一鏈路建立之前���,經(jīng)由信標(biāo)或探測(cè)響應(yīng)將第一 ANonce發(fā)送至所述移動(dòng)設(shè)備����。
36.如權(quán)利要求34所述的裝置��,其特征在于���,第二ANonce是經(jīng)由關(guān)聯(lián)響應(yīng)�����、局域網(wǎng)(LAN)上的可擴(kuò)展認(rèn)證協(xié)議(EAP) ( EAPOL)消息����、或其任何組合來發(fā)送至所述移動(dòng)設(shè)備的。
37.如權(quán)利要求34所述的裝置�����,其特征在于����,第二ANonce與有效性生存期相關(guān)聯(lián)。
38.一種設(shè)備,包括: 用于在使用第一接入點(diǎn)一次性數(shù)(ANonce)的第一鏈路建立期間將第二 ANonce從接入點(diǎn)發(fā)送至移動(dòng)設(shè)備以供在第一鏈路建立之后與所述移動(dòng)設(shè)備的第二鏈路建立中使用的裝置�����;以及 用于在發(fā)起第一鏈路建立之前經(jīng)由信標(biāo)或探測(cè)響應(yīng)將第一 ANonce發(fā)送至所述移動(dòng)設(shè)備的裝置����,其中第二 ANonce與第一 ANonce不同�。
39.一種包括指令的非瞬態(tài)處理器可讀介質(zhì),所述指令當(dāng)由處理器執(zhí)行時(shí)使所述處理器: 在使用第一接入點(diǎn)一次性數(shù)(ANonce)的第一鏈路建立期間,將第二 ANonce從接入點(diǎn)發(fā)送至移動(dòng)設(shè)備以供在第一鏈路建立之后與所述移動(dòng)設(shè)備的第二鏈路建立中使用��,其中第二 ANonce 與第一 ANonce 不同�����。
40.一種方法����,包括: 在移動(dòng)設(shè)備處從接入點(diǎn)接收第一接入點(diǎn)一次性數(shù)(ANonce)���; 使用第一 ANonce來生成第一成對(duì)瞬態(tài)密鑰(PTK); 將關(guān)聯(lián)請(qǐng)求發(fā)送至所述接入點(diǎn)�,其中所述關(guān)聯(lián)請(qǐng)求包括站一次性數(shù)(SNonce),并且所述關(guān)聯(lián)請(qǐng)求是使用第一 PTK來保護(hù)的�����; 在所述移動(dòng)設(shè)備處從所述接入點(diǎn)接收關(guān)聯(lián)響應(yīng)����,其中所述關(guān)聯(lián)響應(yīng)包括第二 ANonce并且是使用第二 PTK來保護(hù)的; 在所述移動(dòng)設(shè)備處����,使用第二 ANonce和所述SNonce來生成第二 PTK ;以及 使用第二 PTK來保護(hù)要從所述移動(dòng)設(shè)備發(fā)送至所述接入點(diǎn)的至少一條后續(xù)消息���。
41.一種方法,包括: 從接入點(diǎn)向移動(dòng)設(shè)備發(fā)送第一接入點(diǎn)一次性數(shù)(ANonce)�����; 從所述移動(dòng)設(shè)備接收關(guān)聯(lián)請(qǐng)求��,`其中所述關(guān)聯(lián)請(qǐng)求包括站一次性數(shù)(SNonce )并且是使用第一成對(duì)瞬態(tài)密鑰(PTK)來保護(hù)的�; 在所述接入點(diǎn)處,基于第一 ANonce和所述SNonce來生成第一 PTK ��; 生成第二 ANonce ����; 基于第二 ANonce和所述SNonce生成第二 PTK ;以及 將關(guān)聯(lián)響應(yīng)發(fā)送至所述移動(dòng)設(shè)備�����,其中所述關(guān)聯(lián)響應(yīng)包括第二 ANonce并且是使用第二 PTK來保護(hù)的����。
42.一種裝置,包括: 處理器����;以及 存儲(chǔ)指令的存儲(chǔ)器���,所述指令能由所述處理器執(zhí)行以: 在移動(dòng)設(shè)備處����,使用從接入點(diǎn)接收到的第一接入點(diǎn)一次性數(shù)(ANonce)來生成第一成對(duì)瞬態(tài)密鑰(PTK); 生成要從所述移動(dòng)設(shè)備發(fā)送至所述接入點(diǎn)的關(guān)聯(lián)請(qǐng)求����,其中所述關(guān)聯(lián)請(qǐng)求包括站一次性數(shù)(SNonce),并且所述關(guān)聯(lián)請(qǐng)求是使用第一 PTK來保護(hù)的���; 使用所述SNonce以及經(jīng)由來自所述接入點(diǎn)的關(guān)聯(lián)響應(yīng)接收到的第二 ANonce來生成第二 PTK�����,其中所述關(guān)聯(lián)響應(yīng)是使用第二 PTK來保護(hù)的��;以及 使用第二 PTK來保護(hù)要發(fā)送至所述接入點(diǎn)的至少一條后續(xù)消息�����。
43.一種裝置�����,包括: 處理器���;以及 存儲(chǔ)指令的存儲(chǔ)器,所述指令能由所述處理器執(zhí)行以: 在接入點(diǎn)處生成要發(fā)送至移動(dòng)設(shè)備的第一接入點(diǎn)一次性數(shù)(ANonce); 基于第一 ANonce和經(jīng)由來自所述移動(dòng)設(shè)備的關(guān)聯(lián)請(qǐng)求接收到的站一次性數(shù)(SNonce)來生成第一成對(duì)瞬態(tài)密鑰(PTK)�����,其中所述關(guān)聯(lián)請(qǐng)求是使用第一 PTK來保護(hù)的; 生成第二 ANonce ����; 基于第二 ANonce和所述SNonce生成第二 PTK ;以及 生成要發(fā)送至所述移動(dòng)設(shè)備的關(guān)聯(lián)響應(yīng)�,其中所述關(guān)聯(lián)響應(yīng)包括第二 ANonce并且是使用第二 PTK來保護(hù)的。
44.一種包括指令的非瞬態(tài)處理器可讀介質(zhì)�,所述指令當(dāng)由處理器執(zhí)行時(shí)使所述處理器: 在移動(dòng)設(shè)備處,使用從接入點(diǎn)接收到的第一接入點(diǎn)一次性數(shù)(ANonce)來生成第一成對(duì)瞬態(tài)密鑰(PTK)�����; 生成要從所述移動(dòng)設(shè)備發(fā)送至所述接入點(diǎn)的關(guān)聯(lián)請(qǐng)求���,其中所述關(guān)聯(lián)請(qǐng)求包括站一次性數(shù)(SNonce)��,并且所述關(guān)聯(lián)請(qǐng)求是使用第一 PTK來保護(hù)的��; 使用所述SNonce以及經(jīng)由來自所述接入點(diǎn)的關(guān)聯(lián)響應(yīng)接收到的第二 ANonce來生成第二 PTK����,其中所述關(guān)聯(lián)響應(yīng)是使用第二 PTK來保護(hù)的��;以及 使用第二 PTK來保護(hù)要發(fā)送至所述接入點(diǎn)的至少一條后續(xù)消息����。
45.一種包括指令的非瞬態(tài)處理器可讀介質(zhì),所述指令當(dāng)由處理器執(zhí)行時(shí)使所述處理器:` 在接入點(diǎn)處生成要發(fā)送至移動(dòng)設(shè)備的第一接入點(diǎn)一次性數(shù)(ANonce); 基于第一 ANonce和經(jīng)由來自所述移動(dòng)設(shè)備的關(guān)聯(lián)請(qǐng)求接收到的站一次性數(shù)(SNonce)來生成第一成對(duì)瞬態(tài)密鑰(PTK)�,其中所述關(guān)聯(lián)請(qǐng)求是使用第一 PTK來保護(hù)的; 生成第二 ANonce �; 基于第二 ANonce和所述SNonce生成第二 PTK ;以及 生成要發(fā)送至所述移動(dòng)設(shè)備的關(guān)聯(lián)響應(yīng)�����,其中所述關(guān)聯(lián)響應(yīng)包括第二 ANonce并且是使用第二 PTK來保護(hù)的���。
46.一種設(shè)備�,包括: 用于在移動(dòng)設(shè)備處從接入點(diǎn)接收第一接入點(diǎn)一次性數(shù)(ANonce)的裝置�; 用于使用第一 ANonce來生成第一成對(duì)瞬態(tài)密鑰(PTK)的裝置; 用于將關(guān)聯(lián)請(qǐng)求發(fā)送至所述接入點(diǎn)的裝置���,其中所述關(guān)聯(lián)請(qǐng)求包括站一次性數(shù)(SNonce),并且所述關(guān)聯(lián)請(qǐng)求是使用第一 PTK來保護(hù)的��; 用于在所述移動(dòng)設(shè)備處從所述接入點(diǎn)接收關(guān)聯(lián)響應(yīng)的裝置�,其中所述關(guān)聯(lián)響應(yīng)包括第二 ANonce并且是使用第二 PTK來保護(hù)的�; 用于在所述移動(dòng)設(shè)備處使用第二 ANonce和所述SNonce來生成第二 PTK的裝置���;以及用于使用第二 PTK來保護(hù)要從所述移動(dòng)設(shè)備發(fā)送至所述接入點(diǎn)的至少一條后續(xù)消息的裝置。
47.一種設(shè)備����,包括: 用于從接入點(diǎn)向移動(dòng)設(shè)備發(fā)送第一接入點(diǎn)一次性數(shù)(ANonce)的裝置; 用于從所述移動(dòng)設(shè)備接收關(guān)聯(lián)請(qǐng)求的裝置�,其中所述關(guān)聯(lián)請(qǐng)求包括站一次性數(shù)(SNonce)并且是使用第一成對(duì)瞬態(tài)密鑰(PTK)來保護(hù)的; 用于在所述接入點(diǎn)處基于第一 ANonce和所述SNonce來生成第一 PTK的裝置��; 用于生成第二 ANonce的裝置�;用于基于第二 ANonce和所述SNonce生成第二 PTK的裝置;以及用于將關(guān)聯(lián)響應(yīng)發(fā)送至所述移動(dòng)設(shè)備的裝置���,其中所述關(guān)聯(lián)響應(yīng)包括第二 ANonce并且是使用第二 PTK來保護(hù)的�。
48.一種方法���,包括: 在移動(dòng)設(shè)備處從接入點(diǎn)接收接入點(diǎn)一次性數(shù)(ANonce)種子(ANonce_seed)�����; 在所述移動(dòng)設(shè)備處�,基于所述ANonce種子以及所述移動(dòng)設(shè)備的媒體接入控制(MAC)地址來生成ANonce ;以及 基于所生成的ANonce來執(zhí)行與所述接入點(diǎn)的鏈路建立�。
49.一種方法,包括: 從接入點(diǎn)向移動(dòng)設(shè)備發(fā)送接入點(diǎn)一次性數(shù)(ANonce)種子(ANonce-seed)��; 接收所述移動(dòng)設(shè)備的媒體接入控制(MAC)地址����; 基于所述ANonce種子以及所述移動(dòng)設(shè)備的MAC地址來生成ANonce ;以及 基于所生成的ANonce來執(zhí)行與所述移動(dòng)設(shè)備的鏈路建立。
50.一種裝置��,包括: 處理器���;以及 存儲(chǔ)指令的存儲(chǔ)器�����,所述指令能由所述處理器執(zhí)行以: 在移動(dòng)設(shè)備處����,基于所述移動(dòng)設(shè)備的媒體接入控制(MAC)地址以及從接入點(diǎn)接收到的接入點(diǎn)一次性數(shù)種子(ANonce-seed)來生成接入點(diǎn)一次性數(shù)(ANonce);以及基于所生成的ANonce來執(zhí)行與所述接入點(diǎn)的鏈路建立��。
51.一種裝置�,包括: 處理器;以及 存儲(chǔ)指令的存儲(chǔ)器�,所述指令能由所述處理器執(zhí)行以: 在接入點(diǎn)處,生成要發(fā)送至移動(dòng)設(shè)備的接入點(diǎn)一次性數(shù)(ANonce)種子(ANonce-seed); 基于所述ANonce種子以及從所述移動(dòng)設(shè)備接收到的所述移動(dòng)設(shè)備的MAC地址來生成ANonce �����;以及 基于所生成的ANonce來執(zhí)行與所述移動(dòng)設(shè)備的鏈路建立��。
52.一種包括指令的非瞬態(tài)處理器可讀介質(zhì)���,所述指令當(dāng)由處理器執(zhí)行時(shí)使所述處理器: 在移動(dòng)設(shè)備處���,基于所述移動(dòng)設(shè)備的媒體接入控制(MAC)地址以及從接入點(diǎn)接收到的接入點(diǎn)一次性數(shù)種子(ANonce-seed)來生成接入點(diǎn)一次性數(shù)(ANonce);以及基于所生成的ANonce來執(zhí)行與所述接入點(diǎn)的鏈路建立。
53.一種包括指令的非瞬態(tài)處理器可讀介質(zhì)�����,所述指令當(dāng)由處理器執(zhí)行時(shí)使所述處理器: 在接入點(diǎn)處�,生成要發(fā)送至移動(dòng)設(shè)備的接入點(diǎn)一次性數(shù)(ANonce)種子(ANonce-seed); 基于所述ANonce種子以及從所述移動(dòng)設(shè)備接收到的所述移動(dòng)設(shè)備的媒體接入控制(MAC)地址來生成ANonce ���;以及 基于所生成的 ANonce來執(zhí)行與所述移動(dòng)設(shè)備的鏈路建立���。
54.一種設(shè)備,包括: 用于在移動(dòng)設(shè)備處從接入點(diǎn)接收接入點(diǎn)一次性數(shù)(ANonce)種子(ANonce-seed)的裝置���; 用于在所述移動(dòng)設(shè)備處基于所述ANonce種子以及所述移動(dòng)設(shè)備的媒體接入控制(MAC)地址來生成ANonce的裝置�����;以及 用于基于所生成的ANonce來執(zhí)行與所述接入點(diǎn)的鏈路建立的裝置�。
55.一種設(shè)備��,包括: 用于從接入點(diǎn)向移動(dòng)設(shè)備發(fā)送接入點(diǎn)一次性數(shù)(ANonce)種子(ANonce-seed)的裝置�����; 用于接收所述移動(dòng)設(shè)備的媒體接入控制(MAC)地址的裝置����; 用于基于所述ANonce種子以及所述移動(dòng)設(shè)備的MAC地址來生成ANonce的裝置;以及 用于基于所生成的ANonc e來執(zhí)行與所述移動(dòng)設(shè)備的鏈路建立的裝置����。
【文檔編號(hào)】H04W12/04GK103797831SQ201280044189
【公開日】2014年5月14日 申請(qǐng)日期:2012年9月12日 優(yōu)先權(quán)日:2011年9月12日
【發(fā)明者】G·切瑞安, P·M·霍克斯, S·P·阿伯拉翰, H·薩姆帕斯 申請(qǐng)人:高通股份有限公司