用于認(rèn)證的系統(tǒng)和方法
【專利摘要】執(zhí)行認(rèn)證的方法包含通信臺接收初始幀和所述通信臺傳輸認(rèn)證請求��。所述認(rèn)證請求包括基于局域網(wǎng)(LAN)的擴(kuò)展認(rèn)證協(xié)議(EAP)(EAPOL)開始和快速初始鏈接建立(FILS)握手的安全參數(shù)�����。
【專利說明】用于認(rèn)證的系統(tǒng)和方法
[0001]相關(guān)申請案交叉申請
[0002]本發(fā)明要求2012年I月6日遞交的發(fā)明名稱為“用于IEEE802.1lTGAi FILS認(rèn)證協(xié)議的系統(tǒng)和方法”的第61/583856號美國臨時申請案的在先申請優(yōu)先權(quán)�����,以及要求2013年I月4日遞交的發(fā)明名稱為“用于認(rèn)證的系統(tǒng)和方法”的第13/734471號美國專利申請案的在先申請優(yōu)先權(quán)�,這些在先申請的內(nèi)容以引用的方式并入本文本中���,如全文再現(xiàn)一般���。
【技術(shù)領(lǐng)域】
[0003]本發(fā)明涉及用于無線通信的系統(tǒng)和方法,尤其涉及用于認(rèn)證的系統(tǒng)和方法��。
【背景技術(shù)】
[0004]IEEE802.11是一套用于實施無線局域網(wǎng)(WLAN)的標(biāo)準(zhǔn)����。IEEE802.11為包括使用相同基礎(chǔ)協(xié)議的一系列空中半雙工調(diào)制技術(shù)的協(xié)議族。該協(xié)議定義了媒體接入控制(MAC)層和物理(PHY)層��。
[0005]IEEE802.11 包含 IEEE802.lx, IEEE802.1x 定義了基于局域網(wǎng)(LAN)的擴(kuò)展認(rèn)證協(xié)議(EAP) (EAPOL)的封裝。使用802.1x的認(rèn)證涉及請求者(例如��,通信臺)�、認(rèn)證者(例如,接入點)和認(rèn)證服務(wù)器����。
[0006]IEEE802.1li提供了涉及四次握手和組密鑰握手的強(qiáng)健安全網(wǎng)絡(luò)關(guān)聯(lián)(RSNA),其利用認(rèn)證服務(wù)和端口接入控制來建立和改變合適的加密密鑰�。
【發(fā)明內(nèi)容】
[0007]執(zhí)行認(rèn)證的實施例方法包含通信臺接收初始幀和所述通信臺傳輸認(rèn)證請求。所述認(rèn)證請求包括基于局域網(wǎng)(LAN)的擴(kuò)展認(rèn)證協(xié)議(EAP) (EAPOL)開始和快速初始鏈接建立(FILS)握手的安全參數(shù)�。
[0008]執(zhí)行認(rèn)證的另一實施例方法包含接入點接收認(rèn)證請求�。所述認(rèn)證請求包括基于局域網(wǎng)(LAN)的擴(kuò)展認(rèn)證協(xié)議(EAP) (EAPOL)開始和快速初始鏈接建立(FILS)握手的安全參數(shù)。此外����,所述方法包括所述接入點傳輸接入請求幀。
[0009]實施例通信臺包括處理器和計算機(jī)可讀存儲介質(zhì)����,所述計算機(jī)可讀存儲介質(zhì)存儲由所述處理器執(zhí)行的程序。所述程序包括接收初始幀和傳輸認(rèn)證請求的指令�����。所述認(rèn)證請求包括基于局域網(wǎng)(LAN)的擴(kuò)展認(rèn)證協(xié)議(EAP) (EAPOL)開始和快速初始鏈接建立(FILS)握手的安全參數(shù)。
[0010]實施例接入點包括處理器和計算機(jī)可讀存儲介質(zhì)�,所述計算機(jī)可讀存儲介質(zhì)存儲由所述處理器執(zhí)行的程序。所述程序包括接收認(rèn)證請求的指令��。所述認(rèn)證請求包括基于局域網(wǎng)(LAN)的擴(kuò)展認(rèn)證協(xié)議(EAP) (EAPOL)開始和快速初始鏈接建立(FILS)握手的安全參數(shù)�����。此外�,所述程序包括傳輸接入請求幀的指令。
[0011]上文相當(dāng)寬泛地概述了本發(fā)明的實施例的特征��,目的是讓人能更好地理解下文對本發(fā)明的詳細(xì)描述���。下文中將描述本發(fā)明的實施例的額外特征和優(yōu)點����,其形成本發(fā)明的權(quán)利要求書的標(biāo)的物��。所屬領(lǐng)域的技術(shù)人員應(yīng)了解�����,所公開的概念和具體實施例可容易地用作修改或設(shè)計用于實現(xiàn)本發(fā)明的相同目的的其他結(jié)構(gòu)或過程的基礎(chǔ)���。所屬領(lǐng)域的技術(shù)人員還應(yīng)意識到����,此類等效構(gòu)造不脫離所附權(quán)利要求書中所提出的本發(fā)明的精神和范圍。
【專利附圖】
【附圖說明】
[0012]為了更完整地理解本發(fā)明及其優(yōu)點����,現(xiàn)在參考以下結(jié)合附圖進(jìn)行的描述,其中:
[0013]圖1示出了用于RSNA認(rèn)證的系統(tǒng)的方框圖��;
[0014]圖2示出了用于RSNA認(rèn)證的狀態(tài)機(jī)�����;
[0015]圖3a至3b示出了使用RSNA進(jìn)行認(rèn)證的方法的流程圖����;
[0016]圖4示出了用于認(rèn)證的實施例系統(tǒng)����;
[0017]圖5示出了用于認(rèn)證的實施例狀態(tài)機(jī);
[0018]圖6示出了認(rèn)證的實施例方法的流程圖�����;以及
[0019]圖7示出了根據(jù)實施例的圖示一種可用于實施如本文所述的設(shè)備和方法的計算平臺的方框圖。
[0020]除非另有指示����,否則不同圖中的對應(yīng)標(biāo)號和符號通常指代對應(yīng)部分。繪制各圖是為了清楚地說明實施例的相關(guān)方面���,因此未必是按比例繪制的�。
【具體實施方式】
[0021]最初應(yīng)理解���,盡管下文提供一個或多個實施例的說明性實施方案�,但可使用任意數(shù)目的當(dāng)前已知或現(xiàn)有的技術(shù)來實施所公開的系統(tǒng)和/或方法�����。本發(fā)明決不應(yīng)限于下文所說明的所述說明性實施方案���、圖式和技術(shù)�,包含本文所說明并描述的示范性設(shè)計和實施方案��,而是可以在所附權(quán)利要求書的范圍以及其均等物的完整范圍內(nèi)修改����。
[0022]快速初始鏈路建立(FILS)旨在減少通信臺使用MAC層協(xié)議連接接入點(AP)所花費的時間���,以便通信臺和接入節(jié)點進(jìn)行快速認(rèn)證和關(guān)聯(lián)。圖1示出了用于執(zhí)行RSNA的系統(tǒng)�����。系統(tǒng)包括通信臺(STA) 102�����、接入點(AP) 106和認(rèn)證服務(wù)器(AS) 104��。通信臺102執(zhí)行策略決策和策略實施�����。認(rèn)證服務(wù)器104執(zhí)行策略決策�����,而接入點106執(zhí)行策略實施���。
[0023]圖2示出了用于RSNA認(rèn)證的狀態(tài)機(jī)。狀態(tài)機(jī)包含狀態(tài)264����、狀態(tài)266�����、狀態(tài)267和狀態(tài)268����。狀態(tài)264中���,系統(tǒng)未認(rèn)證且未關(guān)聯(lián)����。此外�����,當(dāng)存在成功的802.11認(rèn)證時�����,狀態(tài)機(jī)從狀態(tài)264轉(zhuǎn)換到狀態(tài)266�����。隨后,當(dāng)狀態(tài)機(jī)處于狀態(tài)266�,存在成功的關(guān)聯(lián)/再關(guān)聯(lián)且需要RSNA時,狀態(tài)機(jī)轉(zhuǎn)換到狀態(tài)267����。然而,當(dāng)狀態(tài)機(jī)處于狀態(tài)266��,存在成功的關(guān)聯(lián)/再關(guān)聯(lián)且不需要RSNA�,或存在快速基礎(chǔ)服務(wù)集(BSS)轉(zhuǎn)換時,狀態(tài)機(jī)轉(zhuǎn)換到狀態(tài)268�����。當(dāng)系統(tǒng)已去關(guān)聯(lián)�����,存在成功的802.11認(rèn)證或存在失敗的關(guān)聯(lián)/再關(guān)聯(lián)��,且狀態(tài)機(jī)處于狀態(tài)267時����,狀態(tài)機(jī)轉(zhuǎn)換到狀態(tài)266���。此外,當(dāng)狀態(tài)機(jī)處于狀態(tài)267����,且存在成功的四次握手時,狀態(tài)機(jī)轉(zhuǎn)換到狀態(tài)268�。此外,當(dāng)狀態(tài)機(jī)處于狀態(tài)268,且存在去關(guān)聯(lián)����、失敗的關(guān)聯(lián)/再關(guān)聯(lián)或成功的802.11認(rèn)證時�����,狀態(tài)機(jī)轉(zhuǎn)換到狀態(tài)266�����。當(dāng)狀態(tài)機(jī)處于狀態(tài)266���、狀態(tài)267或狀態(tài)268�,且系統(tǒng)已去認(rèn)證時,狀態(tài)機(jī)轉(zhuǎn)換到狀態(tài)264��。
[0024]圖3a至3b示出了一種執(zhí)行RSNA認(rèn)證的方法��。該方法包括六個階段����。圖3a示出了階段1、2和3�,而圖3b示出了階段4、5和6���。當(dāng)該方法經(jīng)過階段1��、階段2�����、階段3���、階段4和階段5時���,狀態(tài)機(jī)經(jīng)過狀態(tài)264��、狀態(tài)266���、狀態(tài)267和狀態(tài)268�。最初����,通信臺和接入點未認(rèn)證�、未關(guān)聯(lián)且802.1x受阻��。階段I包括網(wǎng)絡(luò)和安全能力發(fā)現(xiàn)120�。步驟136中,接入點將初始幀傳輸?shù)酵ㄐ排_��。在一項實施例中�����,步驟136中,接入點傳輸信標(biāo)幀����。在另一項實施例中�,步驟136中接入點傳輸探測響應(yīng)以響應(yīng)步驟134中通信臺向接入點傳輸?shù)奶綔y請求����。
[0025]隨后,在階段2中執(zhí)行802.11認(rèn)證和關(guān)聯(lián)122���。在步驟138中����,通信臺向接入點傳輸802.11認(rèn)證請求���。隨后���,在步驟140中����,接入點向通信臺傳輸802.11認(rèn)證響應(yīng)����。接著,在步驟142中,通信臺向接入點傳輸關(guān)聯(lián)請求。之后,在步驟144中,接入點向通信臺傳輸802.11關(guān)聯(lián)響應(yīng)����。
[0026]步驟146中���,關(guān)聯(lián)的802.1x受阻安全參數(shù)在通信臺中進(jìn)行驗證���;而步驟148中���,這些參數(shù)在接入點中進(jìn)行認(rèn)證�����。
[0027]接著����,在階段3中�����,執(zhí)行EAP/802.lx/RADIUS認(rèn)證124?���;贓AP認(rèn)證執(zhí)行相互認(rèn)證協(xié)議�����。接入點充當(dāng)認(rèn)證者以轉(zhuǎn)發(fā)EAP消息����。在步驟150中,通信臺可選地傳輸EAPOL開始�����。隨后����,在步驟152中,接入點向通信臺傳輸EAPOL請求標(biāo)識��,以及在步驟154中�,通信臺向接入點傳輸EAPOL響應(yīng)標(biāo)識����。之后�����,在步驟156中����,接入點向認(rèn)證服務(wù)器傳輸接入點RADIUS請求。在步驟158中�,認(rèn)證服務(wù)器和通信臺執(zhí)行相互認(rèn)證����。接著���,在步驟160中���,認(rèn)證服務(wù)器向接入點傳輸RADIUS接受信號,以及在步驟162中����,接入點向通信臺傳輸EPOL成功信號。
[0028]在步驟164中�����,主會話密鑰(MSK)在通信臺中生成。在步驟168中�����,MSK還在認(rèn)證服務(wù)器中生成�����。此外���,在步驟166中,成對主密鑰(PMK)在通信臺中生成����。此外,在步驟170中��,PMK在認(rèn)證服務(wù)器中生成����,以及在步驟172中,PMK從認(rèn)證服務(wù)器傳輸?shù)浇尤朦c����。
[0029]之后�����,在階段4進(jìn)行四次握手126�。通信臺和接入點都可以在具有已認(rèn)證PMK的情況下相互信任�。在步驟174中,接入點向通信臺傳輸A-Nonce值����。在步驟176中,通信臺隨后構(gòu)造了成對臨時密鑰(PTK)��。接著�,在步驟178中,通信臺使用包括認(rèn)證的消息認(rèn)證碼(MIC)將S-Nonce值傳輸?shù)浇尤朦c����。之后,在步驟180中����,接入點構(gòu)造PTK和組臨時密鑰(GTK)。在步驟182中�����,接入點傳輸GTK、A-Nonce值���、將在下一多播或廣播幀中使用的序列號以及另一 MIC��。在步驟184中��,通信臺向接入點傳輸確認(rèn)。
[0030]接著���,在步驟190中��,GTK在通信臺中生成且802.1x服務(wù)器在通信臺中未受阻��。此夕卜����,在步驟192中���,802.1x在接入點中未受阻�����。在步驟194中��,隨機(jī)GTK在接入點中生成���。隨后����,在可選階段5中����,執(zhí)行組密鑰握手128。在步驟196中��,接入點向通信臺傳輸包含GTK����、密鑰ID和MIC的EAPOL密鑰。在步驟198中�,通信臺通過向接入點傳輸新GTK的確認(rèn)作出響應(yīng)。
[0031]最后��,在階段6中執(zhí)行安全數(shù)據(jù)通信130�。在步驟202中,在通信臺和接入點之間傳輸受保護(hù)的數(shù)據(jù)包。此外��,在步驟204中執(zhí)行通信臺和DHCP服務(wù)器之間的動態(tài)主機(jī)配置協(xié)議(DHC)請求和響應(yīng)�。
[0032]圖4示出了用于認(rèn)證的實施例系統(tǒng)。該系統(tǒng)包括通信臺102�,其與接入點106和認(rèn)證服務(wù)器104通信。此外�,接入點106和認(rèn)證服務(wù)器104通信。在該系統(tǒng)中�����,通過繞過狀態(tài)2和狀態(tài)3將發(fā)生FILS認(rèn)證����。在專用狀態(tài)期間��,與圖3a至3b所示的方法相比��,F(xiàn)ILS認(rèn)證交換將采取消息交換的壓縮版本���。圖5示出了用于認(rèn)證的實施例狀態(tài)機(jī)��。狀態(tài)機(jī)包含三種狀態(tài):狀態(tài)264���、狀態(tài)268和狀態(tài)269���。在狀態(tài)264中,該系統(tǒng)未認(rèn)證且未關(guān)聯(lián)���,且存在I級幀���。當(dāng)狀態(tài)機(jī)處于狀態(tài)264,且存在成功的初始鏈路建立(FILS)認(rèn)證時�����,狀態(tài)機(jī)轉(zhuǎn)換到狀態(tài)269��。當(dāng)狀態(tài)機(jī)處于狀態(tài)269時��,系統(tǒng)為FILS認(rèn)證且IEEE802.1x受控端口受阻���。此外�����,存在具有所選管理和數(shù)據(jù)幀的I級和2級幀���。隨后�����,如果系統(tǒng)處于狀態(tài)269�,且存在FILS密鑰握手��,那么系統(tǒng)轉(zhuǎn)換到狀態(tài)268�。當(dāng)狀態(tài)機(jī)處于狀態(tài)268時,系統(tǒng)未認(rèn)證且未關(guān)聯(lián)�����,并且IEEE802.1x受控端口未受阻��。此外����,在狀態(tài)268中��,存在1����、2、3級幀。然而��,如果狀態(tài)機(jī)處于狀態(tài)269����,且存在FILS去授權(quán)時,狀態(tài)機(jī)轉(zhuǎn)換到狀態(tài)264�����。類似地���,如果狀態(tài)機(jī)處于狀態(tài)268,且系統(tǒng)已去認(rèn)證時,狀態(tài)機(jī)轉(zhuǎn)換到狀態(tài)264�����。
[0033]圖6示出了用于認(rèn)證的實施例方法的流程圖��,包含通信臺��、接入點和認(rèn)證服務(wù)器���。該方法包括狀態(tài)264、狀態(tài)269和狀態(tài)268�����。在該實施例中,F(xiàn)ILS特定消息用于促進(jìn)FILS認(rèn)證�����。此外����,在該實施例中,繞過了上文參見圖3a至3b所論述的階段2和階段3���。狀態(tài)264對應(yīng)于階段1��,狀態(tài)269對應(yīng)于階段4�����,以及狀態(tài)268對應(yīng)于階段5和階段6����。
[0034]狀態(tài)264包括步驟228和步驟230�。此外�����,狀態(tài)269包括步驟232至252。狀態(tài)268包括步驟254�����、步驟256���、步驟258和步驟260�。最初��,在狀態(tài)264中�,通信臺和接入點未認(rèn)證、未關(guān)聯(lián)且802.1x受阻�。而在狀態(tài)264中�����,在步驟230中�����,接入點向通信臺傳輸初始幀。在一項實施例中,在步驟230中�����,接入點傳輸信標(biāo)幀�。在另一項實施例中,在步驟230中,接入點傳輸探測響應(yīng)以響應(yīng)步驟228中通信臺向接入點傳輸?shù)奶綔y請求���。隨后�,如果FILS認(rèn)證成功�,系統(tǒng)轉(zhuǎn)換為狀態(tài)269。
[0035]—旦處于狀態(tài)269,在步驟232中�,通信臺向接入點傳輸認(rèn)證請求。例如����,認(rèn)證請求可包括用于EAPOL開始和FILS握手的安全參數(shù)�����。在一項示例中,將EAP請求標(biāo)識傳輸從通信臺發(fā)送到接入點����,且接入點使用EAP響應(yīng)消息作出響應(yīng)�。接著��,在步驟234中�,接入點向認(rèn)證服務(wù)器傳輸接入請求。該接入請求可以是EAP請求�����。隨后���,在步驟236中,通信臺和認(rèn)證服務(wù)器執(zhí)行EAP認(rèn)證協(xié)議交換����。之后,在步驟238中,認(rèn)證服務(wù)器生成PMK����。接著,在步驟240中,認(rèn)證服務(wù)器向接入點傳輸接受、EAP成功和PMK��。在步驟242中��,接入點隨后存儲PMK并生成A-Nonce值�。隨后����,在步驟244中,接入點向服務(wù)器傳輸802.11認(rèn)證響應(yīng)。802.11認(rèn)證響應(yīng)可包括EAPOL密鑰���,EAPOL密鑰可包括A-Nonce值和單播MIC���。接著,通信臺在步驟246中生成PMK��,在步驟248中衍生出PTK�����。之后�����,在步驟250中�,通信臺向接入點傳輸802.11關(guān)聯(lián)請求��,其可以是EAPOL密鑰�����,可包括S-Nonce值和單播MIC。在步驟252中��,接入點隨后向通信臺傳輸802.11關(guān)聯(lián)響應(yīng)�。802.11關(guān)聯(lián)響應(yīng)可包括EAPOL密鑰,EAPOL密鑰可包括PTK�����、單播MIC�����、加密GTK或完整性組臨時密鑰(IGTK)����。
[0036]最后,在狀態(tài)268中��,在步驟254中通信臺可選地向接入點傳輸EAP0L��,其可包含單播MIC��。最后��,在步驟256中,服務(wù)器安裝PTK��、GTK和/或IGTK ;在步驟258中����,接入點安裝PTK, GTK和/或IGTK。最后��,在步驟260中進(jìn)行通信臺和接入點之間的安全數(shù)據(jù)通信���。
[0037]圖7是處理系統(tǒng)270的方框圖�����,可以用于實現(xiàn)下文公開的設(shè)備和方法�。特定設(shè)備可以利用所示的所有部件�����,或僅部件的子集��,且集成水平隨設(shè)備的不同而不同�。而且�,設(shè)備可包含組件的多個實例�,如多個處理單元�、處理器、存儲器��、發(fā)射器�����、接收器等等��。處理系統(tǒng)可包括配備一個或多個輸入設(shè)備(如麥克風(fēng)��、鼠標(biāo)����、觸摸屏、小鍵盤����、鍵盤等)的處理單元。此外�����,處理系統(tǒng)270可配備一個或多個輸出設(shè)備�,例如����,揚聲器�、打印機(jī)、顯示器等�。處理單元可以包括中央處理器(CPU) 274、存儲器276�、大容量存儲器設(shè)備278、視頻適配器280以及連接至總線的I/O接口 288�。
[0038]總線可以為任何類型的若干總線架構(gòu)中的一個或多個,包括存儲總線或者存儲控制器��、外設(shè)總線���、視頻總線等等���。CPU274可包括任意類型的電子數(shù)據(jù)處理器。存儲器276可包括任何類型的系統(tǒng)存儲器���,例如靜態(tài)隨機(jī)存取存儲器(SRAM)、動態(tài)隨機(jī)存取存儲器(DRAM)��、同步DRAM(SDRAM)�����、只讀存儲器(ROM)或其組合等等。在實施例中��,存儲器可包括在開機(jī)時使用的ROM以及執(zhí)行程序時使用的程序和數(shù)據(jù)存儲器的DRAM��。
[0039]大容量存儲器設(shè)備278可以包括任任意類型的存儲器設(shè)備����,其用于存儲數(shù)據(jù)、程序和其它信息���,并使這些數(shù)據(jù)��、程序和其它信息通過總線訪問��。大容量存儲器設(shè)備278可以包括如下項中的一種或多種:固態(tài)磁盤��、硬盤驅(qū)動器���、磁盤驅(qū)動器、光盤驅(qū)動器等等�����。
[0040]視頻適配器280和I/O接口 288提供接口以耦合外部輸入輸出設(shè)備至處理單元。如圖所示���,輸入輸出設(shè)備的示例包括耦合至視頻適配器的顯示器和耦合至I/o接口的鼠標(biāo)/鍵盤/打印機(jī)��。其它設(shè)備可以耦合到處理單元�,可以利用附加的或更少的接口卡�����。例如�����,可使用串行接口卡(未示出)將串行接口提供給打印機(jī)�。
[0041]處理單元還可包括一個或多個網(wǎng)絡(luò)接口 284,其可包括以太網(wǎng)電纜等有線鏈路和/或接入節(jié)點或不同網(wǎng)絡(luò)的無線鏈路�����。網(wǎng)絡(luò)接口 284允許處理單元通過網(wǎng)絡(luò)與遠(yuǎn)程單元通信����。例如�����,網(wǎng)絡(luò)接口可通過一個或多個發(fā)射器/發(fā)射天線和一個或多個接收器/接收天線提供無線通信。在實施例中����,處理單元耦合到局域網(wǎng)或廣域網(wǎng)用于數(shù)據(jù)處理并與遠(yuǎn)程設(shè)備(例如,其它處理單元����、互聯(lián)網(wǎng)、遠(yuǎn)程存儲設(shè)施等等)進(jìn)行通信�����。
[0042]實施例的優(yōu)點包括與RSNA安全協(xié)議的兼容性及安全性��。實施例的另一優(yōu)點在于一次握手中使用僅9或10條消息��。在示例中�����,四次握手減少為三次握手���。
[0043]雖然本發(fā)明中已提供若干實施例�����,但應(yīng)理解�,在不脫離本發(fā)明的精神或范圍的情況下,本發(fā)明所公開的系統(tǒng)和方法可以以許多其他特定形式來體現(xiàn)��。本發(fā)明的實例應(yīng)被視為說明性而非限制性的��,且本發(fā)明并不限于本文本所給出的細(xì)節(jié)���。例如����,各種元件或部件可以在另一系統(tǒng)中組合或合并���,或者某些特征可以省略或不實施�。
[0044]此外���,在不脫離本發(fā)明的范圍的情況下���,各種實施例中描述和說明為離散或單獨的技術(shù)��、系統(tǒng)��、子系統(tǒng)和方法可以與其他系統(tǒng)�、模塊�����、技術(shù)或方法進(jìn)行組合或合并��。展示或論述為彼此耦合或直接耦合或通信的其他項也可以采用電方式�、機(jī)械方式或其他方式通過某一接口����、設(shè)備或中間部件間接地耦合或通信。其他變化����、替代和改變的示例可以由本領(lǐng)域的技術(shù)人員在不脫離本文精神和所公開的范圍的情況下確定。
【權(quán)利要求】
1.一種執(zhí)行快速初始鏈路建立(FILS)認(rèn)證的方法�,其特征在于,所述方法包括: 通?目臺接收初始幀�����;以及 所述通信臺傳輸包括以下項的FILS認(rèn)證請求 包含所述FILS的基于局域網(wǎng)(LAN)的擴(kuò)展認(rèn)證協(xié)議(EAP) (EAPOL)開始,和 FILS握手的安全參數(shù)�����。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述初始幀包括信標(biāo)幀���。
3.根據(jù)權(quán)利要求1所述的方法����,其特征在于�,所述初始幀包括探測響應(yīng),其中所述方法進(jìn)一步包括所述通信臺在接收所述初始幀之前傳輸探測請求����。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于���,進(jìn)一步包括執(zhí)行EAP認(rèn)證協(xié)議交換�����。
5.根據(jù)權(quán)利要求1所述的方法����,其特征在于,進(jìn)一步包括: 所述通信臺接收為FILS認(rèn)證格式化的第一認(rèn)證響應(yīng)消息����,所述消息包括EAP認(rèn)證信息�; 所述通信臺傳輸關(guān)聯(lián)響應(yīng);以及 所述通信臺接收第二認(rèn)證響應(yīng)�����。
6.根據(jù)權(quán)利要求5所述的方法�����,其特征在于�����,進(jìn)一步包括所述通信臺傳輸密鑰確認(rèn)��。
7.根據(jù)權(quán)利要求1所述的方法�����,其特征在于,進(jìn)一步包括所述通信臺與接入點(AP)安全地通信��。
8.根據(jù)權(quán)利要求1所述的方法���,其特征在于�����,進(jìn)一步包括生成成對主密鑰(PMK)���。
9.根據(jù)權(quán)利要求1所述的方法,其特征在于�,進(jìn)一步包括衍生成對臨時密鑰(PTK)。
10.根據(jù)權(quán)利要求9所述的方法��,其特征在于�,進(jìn)一步包括: 所述通信臺安裝所述PTK ;以及 安裝組臨時密鑰(GTK)�����。
11.一種執(zhí)行認(rèn)證的方法����,其特征在于�����,所述方法包括: 接入點接收包括以下項的認(rèn)證請求 基于局域網(wǎng)(LAN)的擴(kuò)展認(rèn)證協(xié)議(EAP) (EAPOL)開始���, 和 快速初始鏈路建立(FILS)握手的安全參數(shù);以及 所述接入點傳輸接入請求幀�����。
12.根據(jù)權(quán)利要求11所述的方法����,其特征在于��,進(jìn)一步包括所述接入點傳輸信標(biāo)幀���。
13.根據(jù)權(quán)利要求11所述的方法���,其特征在于,進(jìn)一步包括所述接入點接收包括以下項的EAP消息: 接受消息����; EAP成功消息��;以及 成對主密鑰(PMK)����。
14.根據(jù)權(quán)利要求13所述的方法�����,其特征在于���,進(jìn)一步包括: 存儲所述PMK ���;以及 生成認(rèn)證響應(yīng)。
15.根據(jù)權(quán)利要求14所述的方法����,其特征在于,進(jìn)一步包括所述接入點傳輸認(rèn)證請求�。
16.根據(jù)權(quán)利要求11所述的方法,其特征在于�����,進(jìn)一步包括:所述接入點接收關(guān)聯(lián)請求;以及 所述接入點傳輸關(guān)聯(lián)響應(yīng)��。
17.根據(jù)權(quán)利要求11所述的方法�,其特征在于,進(jìn)一步包括: 安裝成對臨時密鑰(PTK);以及 安裝完整性組臨時密鑰(IGTK)���。
18.根據(jù)權(quán)利要求11所述的方法��,其特征在于���,進(jìn)一步包括所述接入點與通信臺安全地通信。
19.一種通信臺����,其特征在于,包括: 處理器��;以及 計算機(jī)可讀存儲媒體���,所述計 算機(jī)可讀存儲媒體存儲由所述處理器執(zhí)行的程序,所述程序包括可進(jìn)行如下操作的指令: 接收初始幀�,以及 傳輸包括以下項的認(rèn)證請求 基于局域網(wǎng)(LAN)的擴(kuò)展認(rèn)證協(xié)議(EAP) (EAPOL)開始, 和 快速初始鏈路建立(FILS)握手的安全參數(shù)���。
20.一種接入點����,其特征在于,包括: 處理器����;以及 計算機(jī)可讀存儲媒體,所述計算機(jī)可讀存儲媒體存儲由所述處理器執(zhí)行的程序�����,所述程序包括可進(jìn)行如下操作的指令: 接收包括以下項的認(rèn)證請求 基于局域網(wǎng)(LAN)的擴(kuò)展認(rèn)證協(xié)議(EAP) (EAPOL)開始��,和 快速初始鏈路建立(FILS)握手的安全參數(shù)���;以及 傳輸接入請求幀���。
【文檔編號】H04L29/06GK103988480SQ201380004164
【公開日】2014年8月13日 申請日期:2013年1月6日 優(yōu)先權(quán)日:2012年1月6日
【發(fā)明者】孫晟, 區(qū)國琛, 李云波 申請人:華為技術(shù)有限公司