專利名稱:在無線網(wǎng)絡(luò)中協(xié)商保護(hù)管理幀的安全參數(shù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線通信��。本發(fā)明的某些實(shí)施方式涉及協(xié)商可用于保護(hù)無線節(jié)點(diǎn) 之間通信的管理幀的安全參數(shù)�����。
背景
無線網(wǎng)絡(luò)的使用持續(xù)高速增長���。無線網(wǎng)絡(luò)因許多原因而具有吸引力。它們方 便�����,它們?cè)试S靈活性和漫游�,并且可支持動(dòng)態(tài)環(huán)境�。此外�,與其有線對(duì)應(yīng)物相比, 它們安裝相對(duì)簡單����。在某些情形中,例如在較陳舊的建筑物中����,部署它們可能更加 便宜。整個(gè)網(wǎng)絡(luò)可在約幾小時(shí)而非幾天內(nèi)連接在一起�,而不需要配線或重新配線。
在許多情況下�����,盡管有線LAN卡的成本更低����,但無線網(wǎng)絡(luò)還是比其有線對(duì)應(yīng)物保 有成本更低。
雖然當(dāng)前無線網(wǎng)絡(luò)有許多優(yōu)點(diǎn)�����,但是它們也伴隨有安全問題。因?yàn)椴恍枰?理連接���,所以帶有兼容無線網(wǎng)絡(luò)接口的任何一方都可以檢查無線分組�,而不管這些 分組是否傳向其系統(tǒng)�����。雖然已經(jīng)實(shí)現(xiàn)了用于對(duì)無線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)幀進(jìn)行加密的 標(biāo)準(zhǔn)�,但是它們對(duì)管理幀并不正確。結(jié)果���,無線網(wǎng)絡(luò)仍然易受攻擊����,這些攻擊可中 斷其它用戶的無線會(huì)話或者使其它會(huì)話的安全狀態(tài)降級(jí)���。此外���,缺乏對(duì)管理幀的保 護(hù)使無線網(wǎng)絡(luò)用戶向"中間人"攻擊開放�,其中攻擊者能在任一方都不知道他們之 間的無線鏈路已發(fā)生泄密的情況下讀取、插入和更改雙方之間的消息��。
附圖簡述
圖1A示出根據(jù)本發(fā)明某些實(shí)施方式的示例無線網(wǎng)絡(luò);
圖1B示出根據(jù)本發(fā)明某些實(shí)施方式的網(wǎng)絡(luò)設(shè)備的進(jìn)一步細(xì)節(jié)����;
圖2是根據(jù)本發(fā)明某些實(shí)施方式的管理幀保護(hù)協(xié)商過程的流程圖3A和3B示出根據(jù)本發(fā)明某些實(shí)施方式的管理幀保護(hù)協(xié)商過程的消息序
列;
圖4A和4B是根據(jù)本發(fā)明某些實(shí)施方式的管理幀的框圖����;圖5A和5B是根據(jù)本發(fā)明某些實(shí)施方式的管理保護(hù)信息元素的框圖。 詳細(xì)描述
以下描述和附圖示出本發(fā)明的具體實(shí)施方式
����,足以使本領(lǐng)域技術(shù)人員能夠?qū)?施。其它實(shí)施方式可結(jié)合結(jié)構(gòu)���、邏輯���、電氣、進(jìn)程和其它變化�����。示例僅僅代表可能 的變型��。除非明確需要����,否則個(gè)別組件和功能是可任選的�����,且操作的順序可改變�����。 某些實(shí)施方式的部分和特征可被包含在其它實(shí)施方式中或代替其中的那些����。權(quán)利要 求書中闡述的本發(fā)明的實(shí)施方式涵蓋這些權(quán)利要求的所有可用的等效方案�。本發(fā)明 的實(shí)施方式可僅為方便而由術(shù)語"本發(fā)明"單獨(dú)或共同指代并且如果實(shí)際公開了一 個(gè)以上,則不旨在自愿將本申請(qǐng)的范圍限制在任何單個(gè)發(fā)明或發(fā)明概念上�����。
在附圖中����,相同的附圖標(biāo)記通篇用于指代在多個(gè)附圖中出現(xiàn)的相同組件。信 號(hào)和連接可由相同的附圖標(biāo)記或標(biāo)簽指代�����,且實(shí)際意思可從其在說明書上下文中的 使用而變得清楚����。
圖1示出根據(jù)本發(fā)明某些實(shí)施方式的示例無線網(wǎng)絡(luò)100的組件。在某些實(shí)施 方式中���,網(wǎng)絡(luò)100可包括一個(gè)或多個(gè)接入點(diǎn)102以及一個(gè)或多個(gè)站106�。接入點(diǎn)102 向無線站106提供對(duì)有線或無線網(wǎng)絡(luò)110的接入�。網(wǎng)絡(luò)IIO可以是任何類型的網(wǎng)絡(luò), 其示例包括但不局限于局域網(wǎng)��、廣域網(wǎng)或公司內(nèi)聯(lián)網(wǎng)�����。接入點(diǎn)102可以是獨(dú)立接入 點(diǎn)����,或者它可以作為諸如網(wǎng)橋、路由器或交換機(jī)等另一網(wǎng)絡(luò)設(shè)備的一部分結(jié)合在內(nèi)�。 為了與接入點(diǎn)102可靠地通信,站106必須在接入點(diǎn)102的通信范圍104之內(nèi)��。
站106可以是能夠與其它設(shè)備無線通信的任何類型的設(shè)備�����。通常這種設(shè)備可 包括個(gè)人計(jì)算機(jī)、服務(wù)器計(jì)算機(jī)��、大型計(jì)算機(jī)��、膝上型計(jì)算機(jī)���、便攜式手持計(jì)算機(jī)�����、 機(jī)頂盒��、智能設(shè)備�、個(gè)人數(shù)字助理(PDA)����、無線電話、web平板計(jì)算機(jī)��、無線耳 機(jī)����、尋呼機(jī)��、即時(shí)消息通信設(shè)備���、數(shù)碼相機(jī)�����、數(shù)字視頻接收器����、電視機(jī)或可無線地 接收和/或發(fā)送信息的其它設(shè)備以及上述設(shè)備的混合。
在某些實(shí)施方式中����,站和接入點(diǎn)使用由電氣和電子工程師協(xié)會(huì)(IEEE)為無 線通信建立的協(xié)議和標(biāo)準(zhǔn)彼此通信。例如��,某些實(shí)施方式遵守用于無線LAN (WLAN)的IEEE 802.11標(biāo)準(zhǔn)�,即1999年發(fā)布的IEEE std.802.11-1999和以后版 本(下文稱為"IEEE 802.11標(biāo)準(zhǔn)")。然而��,本文所述的系統(tǒng)和方法可應(yīng)用于其它 類型的無線網(wǎng)絡(luò)����。這種網(wǎng)絡(luò)的示例包括IEEE 802.16無線廣域網(wǎng)(WWAN)和諸如 IEEE 802.3以太局域網(wǎng)(LAN)等有線網(wǎng)絡(luò)�。
在某些實(shí)施方式中��,接入點(diǎn)可被視為特殊類型的站��,如正EE為無線通信所定
義的一樣��。某些實(shí)施方式遵守正EE 802.11標(biāo)準(zhǔn)���。然而���,本文所述的系統(tǒng)和方法可 被應(yīng)用于在所有類型的IEEE 802.11站之間通信,包括兩個(gè)站之間�、 一個(gè)站與一個(gè) 接入點(diǎn)之間、或兩個(gè)接入點(diǎn)之間���。
由于站106落在接入點(diǎn)102的范圍104內(nèi)�����,站和接入點(diǎn)通常啟動(dòng)被設(shè)計(jì)成在 站106與接入點(diǎn)之間發(fā)起通信會(huì)話的一系列消息�����。在某些實(shí)施方式中���,站106是可 以離開一個(gè)接入點(diǎn)的范圍并進(jìn)入一個(gè)或多個(gè)其它接入點(diǎn)的范圍的便攜式或移動(dòng)設(shè) 備����,即站106可從一個(gè)接入點(diǎn)漫游到另一個(gè)����。在如圖l所示的示例中����,站106.2已 經(jīng)離開接入點(diǎn)102.1的范圍104.1,并且已經(jīng)進(jìn)入接入點(diǎn)102.2和102.3各自的范圍 104.2和104.3內(nèi)����。在此情形中,站106.2通常選擇接入點(diǎn)102.2或102.3之一以繼 續(xù)能夠通過網(wǎng)絡(luò)110來接入系統(tǒng)��。以下提供在各個(gè)實(shí)施方式中用來與接入點(diǎn)安全地 建立通信并漫游到另一接入點(diǎn)的方法和消息的進(jìn)一步細(xì)節(jié)�。
圖1B示出根據(jù)本發(fā)明某些實(shí)施方式包含在網(wǎng)絡(luò)設(shè)備中的組件的進(jìn)一步細(xì)節(jié)。 圖1B中所示的組件可被結(jié)合在諸如無線接入點(diǎn)�、無線站和無線網(wǎng)絡(luò)接口卡等網(wǎng)絡(luò) 設(shè)備中。在某些實(shí)施方式中�,這些組件包括較高網(wǎng)絡(luò)層120、媒體訪問控制(MAC) 122����、物理層(PHY) 124和一根或多根天線126�����。
在某些實(shí)施方式中�,較高網(wǎng)絡(luò)層包括在MAC 122層上操作的一個(gè)或多個(gè)協(xié)議 層����。在某些實(shí)施方式中,該層可包括應(yīng)用程序?qū)?�、表示層����、?huì)話層、傳輸層或網(wǎng)絡(luò) 層中一個(gè)或多個(gè)�����。此外�����,該層可包括諸如TCP/IP協(xié)議(傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議) 等協(xié)議。
MAC 122在較高網(wǎng)絡(luò)層120與物理層124之間操作��。從較高網(wǎng)絡(luò)層120接收 的網(wǎng)絡(luò)數(shù)據(jù)被處理并經(jīng)由物理層124發(fā)送到其它網(wǎng)絡(luò)節(jié)點(diǎn)�。從物理層124接收的網(wǎng) 絡(luò)數(shù)據(jù)被處理并發(fā)送到較高網(wǎng)絡(luò)層120以供處理。
在某些實(shí)施方式中���,物理層124可根據(jù)特定的通信標(biāo)準(zhǔn)���,諸如包括用于無線 局域網(wǎng)(WLAN)的正EE 802.1 l(a)、 802.11(b)���、 802.11(g/h)和/或802.11(n)標(biāo)準(zhǔn)和/ 或用于無線網(wǎng)狀網(wǎng)絡(luò)的IEEE 802.11(s)禾卩IEEE 802.11(e)標(biāo)準(zhǔn)的IEEE標(biāo)準(zhǔn),來發(fā)射 和/或接收RF通信�,然而物理層124也可適于根據(jù)其它技術(shù)來發(fā)射和/或接收通信。
天線126可包括一個(gè)或多個(gè)方向或全向天線�����,包括例如偶極天線����、單極天線、 接線天線(patch ante皿a)���、環(huán)形天線����、微帶天線或適用于由物理層124接收和/或 發(fā)射RF信號(hào)的任何類型的天線。
在某些實(shí)施方式中��,MAC 122�、物理層124和天線126被結(jié)合在網(wǎng)絡(luò)接口卡 (NIC) 128上。NIC 128可以是計(jì)算機(jī)系統(tǒng)的一個(gè)組件并且向計(jì)算機(jī)系統(tǒng)提供無 線網(wǎng)絡(luò)能力�。
以下描述參考管理幀。為本說明書目的�,管理幀包括不涉及通信數(shù)據(jù)幀的任 何幀。因此��,管理幀包括連接建立相關(guān)的幀和連接維護(hù)幀���。管理幀的示例包括在
IEEE 802.11標(biāo)準(zhǔn)中定義的管理幀����,并且還可包括如在對(duì)正EE 802.11標(biāo)準(zhǔn)的修改 IEEE 802.11(e)���、 802.11(h)����、 802.11(k)和802.1(v)中定義的動(dòng)作幀。此外����,本領(lǐng)域
技術(shù)人員將理解管理幀可包括以后開發(fā)的管理幀和動(dòng)作幀。
圖2是根據(jù)本發(fā)明某些實(shí)施方式的管理幀保護(hù)協(xié)商方法的流程圖����。該方法通 過發(fā)射包括指示發(fā)射器愿意保護(hù)的一組管理幀類型的數(shù)據(jù)的第一管理幀而開始(框 202)。通常�,第一管理幀包括由接入點(diǎn)發(fā)出的信標(biāo)管理幀或探測響應(yīng)管理幀。因此����, 接入點(diǎn)可在信標(biāo)幀或探測響應(yīng)幀中告知管理幀保護(hù)的可用性。然而����,本發(fā)明的實(shí)施 方式并不局限于特定類型的第一管理幀�����。在替換實(shí)施方式中��,第一管理幀可以是關(guān) 聯(lián)幀�、關(guān)聯(lián)響應(yīng)幀、重新關(guān)聯(lián)幀、重新關(guān)聯(lián)響應(yīng)幀或諸如EAPOL (局域網(wǎng)上的可 擴(kuò)展認(rèn)證協(xié)議)消息幀等安全握手信息�����。在某些實(shí)施方式中���,指示該組管理幀類型 的數(shù)據(jù)被包含在以下進(jìn)一步詳細(xì)描述的管理保護(hù)信息元素中�。
然后���,接收第二管理幀��,它包括指示消息始發(fā)者期望保護(hù)的第二組管理幀的 數(shù)據(jù)(框204)����。在某些實(shí)施方式中��,第二管理幀可以是關(guān)聯(lián)請(qǐng)求幀���。在替換實(shí)施 方式中��,第二管理幀可以是關(guān)聯(lián)響應(yīng)幀���、重新關(guān)聯(lián)響應(yīng)幀�����、或諸如EAPOL消息幀 等安全握手消息��。在某些實(shí)施方式中����,指示該組管理幀類型的數(shù)據(jù)被包含在以下將 進(jìn)一步描述的管理保護(hù)信息元素中�。
然后,在第一和第二管理幀中的管理幀之間進(jìn)行比較以確定作為對(duì)兩個(gè)通信 系統(tǒng)通用的一組受保護(hù)管理幀的那些幀(框206)�����。使用相互可接受的安全機(jī)制來 保護(hù)該組受保護(hù)管理幀內(nèi)的后續(xù)的管理幀實(shí)例(框208)��。在某些實(shí)施方式中�����,可 以使用的安全機(jī)制被包含在第一和第二管理幀中��?��?蛇x擇第一和第二管理幀兩者共 用的安全機(jī)制來用于保護(hù)后續(xù)的管理幀����。
在某些實(shí)施方式中�����,可被保護(hù)的管理幀包括解除關(guān)聯(lián)幀�、解除認(rèn)證幀、QoS (服務(wù)質(zhì)量)動(dòng)作幀��、無線電測量動(dòng)作幀�、無線電頻譜測量動(dòng)作幀、和無線網(wǎng)絡(luò)管 理動(dòng)作幀���。然而�����,其它類型的管理幀也可被保護(hù)����,并且實(shí)施方式不局限一組于特定 的可保護(hù)管理幀�。
圖3A示出根據(jù)本發(fā)明某些實(shí)施方式的管理幀保護(hù)協(xié)商過程的消息序列。該消 息序列以接入點(diǎn)廣播信標(biāo)幀開始(消息302)�。接入點(diǎn)周期性地發(fā)送信標(biāo)幀以宣告 其存在并中繼信息����。在某些實(shí)施方式中��,信標(biāo)幀包括指示接入點(diǎn)愿意保護(hù)哪一管理
幀的數(shù)據(jù)�����。例如���,可如下圖3A或3B中所述地格式化信標(biāo)幀以包括如圖5A或5B 中所述的管理保護(hù)信息元素(MP-IE)�。
然后�����,站將探測請(qǐng)求發(fā)送到它期望與之通信的接入點(diǎn)(消息304)�。 一個(gè)站在 它需要從另一個(gè)站獲得信息時(shí)發(fā)送探測請(qǐng)求幀。例如�����,站可發(fā)送探測請(qǐng)求以確定在 范圍內(nèi)的接入點(diǎn)�����。
然后����,接入點(diǎn)發(fā)送探測響應(yīng)(消息306)。探測響應(yīng)通常提供能力信息���、支持 的數(shù)據(jù)速率等�����。在某些實(shí)施方式中���,探測響應(yīng)將包括MP-正。
然后�,站發(fā)送關(guān)聯(lián)請(qǐng)求(消息308)。關(guān)聯(lián)請(qǐng)求使接入點(diǎn)能夠?yàn)檎痉峙滟Y源并 與其同步�����。在某些實(shí)施方式中�,關(guān)聯(lián)請(qǐng)求可包含指示該站期望保護(hù)哪些管理幀的 MP-正。
然后����,接入點(diǎn)發(fā)送關(guān)聯(lián)響應(yīng)(消息310)�。關(guān)聯(lián)響應(yīng)包括對(duì)請(qǐng)求關(guān)聯(lián)的站的接 受或拒絕通知��。在某些實(shí)施方式中����,關(guān)聯(lián)響應(yīng)可包括指示接入點(diǎn)將要保護(hù)的管理幀 的MP-IE。如果接入點(diǎn)接受該站����,則響應(yīng)包括關(guān)于關(guān)聯(lián)的信息,諸如關(guān)聯(lián)ID和支 持的數(shù)據(jù)速率�����。如果關(guān)聯(lián)結(jié)果是肯定的�����,則該站可利用接入點(diǎn)拉與網(wǎng)絡(luò)110上該接 入點(diǎn)旁的其它設(shè)備和系統(tǒng)通信���。
然后����,接入點(diǎn)和站完成EAP認(rèn)證(312),且建立稱為PMK的共享秘密���。該 站與接入點(diǎn)然后開始包括消息314-320的EAPOL握手��。握手消息可包括在先前分 別由STA和AP發(fā)送的管理消息中的、確定接入點(diǎn)和站同意保護(hù)的管理幀的相同 MP-IE���。在某些實(shí)施方式中�����,握手消息可如下圖4A或4B所述地格式化以包含如 圖5A或5B所述的MP-正��。在握手過程中,接入點(diǎn)和站導(dǎo)出用于保護(hù)安全管理幀 保護(hù)協(xié)商的完整性私鑰。
在該消息情況下���,通過導(dǎo)出僅僅站和新接入點(diǎn)知道的完整性私鑰�����,作為與前 一接入點(diǎn)的協(xié)商序列的結(jié)果����,握手消息314、 316�、 318和320中的MP-IE可得到 完整性保護(hù)。握手消息使用該完整性私鑰來通過執(zhí)行消息完整性檢查而確保包括 MP-IE的握手消息的內(nèi)容安全�����。該機(jī)制因其防止惡意對(duì)手對(duì)無線網(wǎng)絡(luò)發(fā)起安全降級(jí) 攻擊��、重放攻擊����、中間人攻擊和偽造攻擊而合乎需要。安全降級(jí)攻擊強(qiáng)制站或接入 點(diǎn)協(xié)商比正常情況更弱的安全參數(shù)和密鑰��。在某些實(shí)施方式中�,該機(jī)制允許站和接 入點(diǎn)協(xié)商并實(shí)施站和接入點(diǎn)支持的最強(qiáng)安全參數(shù)、算法和密鑰�����。
圖3B示出根據(jù)本發(fā)明替換實(shí)施方式的用于管理幀保護(hù)協(xié)商過程的消息序列����。 當(dāng)站在接入點(diǎn)之間移動(dòng)時(shí),如圖3B所示的消息序列可用于快速漫游或轉(zhuǎn)換的情況���。 消息序列如圖3A所示地開始��,即接入點(diǎn)和站交換信標(biāo)��、探測請(qǐng)求和探測響應(yīng)消息302-306���。
然后��,該站將重新關(guān)聯(lián)請(qǐng)求消息340發(fā)送到新接入點(diǎn)。重新關(guān)聯(lián)請(qǐng)求可包含 指示該站期望保護(hù)哪些管理字段的MP-IE�����。然后����,新接入點(diǎn)協(xié)調(diào)仍在前一訪問點(diǎn)的 緩沖器中等待發(fā)送到該站的數(shù)據(jù)幀的轉(zhuǎn)發(fā)。
然后���,接入點(diǎn)發(fā)送重新關(guān)聯(lián)響應(yīng)消息342�。重新關(guān)聯(lián)響應(yīng)消息可包含指示該接 入點(diǎn)可保護(hù)哪些管理幀的MP-IE���。類似于關(guān)聯(lián)過程����,該幀包括關(guān)于關(guān)聯(lián)的信息,諸 如關(guān)聯(lián)ID和支持的數(shù)據(jù)速率以及MP-IE�����。
在本消息情況下�����,通過導(dǎo)出僅僅站和新接入點(diǎn)知道的完整性私鑰����,作為與前 一接入點(diǎn)的協(xié)商序列的結(jié)果,重新關(guān)聯(lián)請(qǐng)求和響應(yīng)消息340和342中的MP-IE可 得到完整性保護(hù)���。通過應(yīng)用使用完整性私鑰的消息完整性檢查可保護(hù)重新關(guān)聯(lián)請(qǐng)求 和重新關(guān)聯(lián)響應(yīng)消息的內(nèi)容不受對(duì)手攻擊���。在某些實(shí)施方式中使用的機(jī)制可防止惡 意對(duì)手對(duì)無線網(wǎng)絡(luò)發(fā)起安全降級(jí)攻擊、重放攻擊�����、中間人攻擊和偽造攻擊��。安全降 級(jí)攻擊強(qiáng)制站和接入點(diǎn)協(xié)商比正常情況下更弱的安全參數(shù)和密鑰。本實(shí)施方式中的 該機(jī)制允許站和接入點(diǎn)協(xié)商并實(shí)施站和接入點(diǎn)支持的最強(qiáng)安全參數(shù)��、算法和密鑰����。
然后,站和接入點(diǎn)開始如上所述的消息314-320中的4向EAPOL握手協(xié)商��。
圖4A是描述根據(jù)本發(fā)明某些實(shí)施方式的管理幀400的主要組成部分的框圖�����。 在某些實(shí)施方式中�����,管理幀400包括前導(dǎo)已有字段402�、更改的EAPOL密鑰描述 符404�����、和拖尾己有字段406�����。前導(dǎo)已有字段402和拖尾已有字段406包括如當(dāng)前 IEEE 802.11標(biāo)準(zhǔn)中定義的管理和動(dòng)作幀的字段和信息元素。
更改的EAPOL密鑰描述符404包括己有EAPOL字段412���、 MIC字段414和 管理保護(hù)信息元素416���。已有EAPOL字段412包括如當(dāng)前IEEE 802.11標(biāo)準(zhǔn)中定 義的字段。MIC (消息完整性代碼����,也稱為消息認(rèn)證代碼)字段414包括如IEEE 802.11標(biāo)準(zhǔn)中指定地生成的代碼值,并且可由站和接入點(diǎn)用來驗(yàn)證消息的完整性�����。 MIC的存在表明該消息由僅僅為站和接入點(diǎn)所知的密鑰來進(jìn)行完整性保護(hù)�。管理 保護(hù)信息元素(MP-IE) 416包括可用于指定可被保護(hù)的管理幀類型以及所使用的 保護(hù)類型的數(shù)據(jù)結(jié)構(gòu)。以下參照?qǐng)D5A和5B來提供關(guān)于MP-IE的進(jìn)一步細(xì)節(jié)���。
圖4B是示出根據(jù)本發(fā)明替換實(shí)施方式的管理幀的主要組成部分的框圖�。在某 些實(shí)施方式中�����,管理幀402包括前導(dǎo)已有字段402����、 MP-正416�����、和EAPOL密鑰描 述符422����。如上所述�����,前導(dǎo)已有字段402和拖尾已有字段406包括如當(dāng)前IEEE 802.11 標(biāo)準(zhǔn)中定義的管理和動(dòng)作幀的字段和信息元素���。此外����,EAPOL密鑰描述符422包 括如當(dāng)前由正EE 802.11標(biāo)準(zhǔn)定義的EAPOL描述符���。MP-IE 416包括可用于指定
可保護(hù)管理幀類型以及所使用的保護(hù)類型的數(shù)據(jù)結(jié)構(gòu)。以下參照?qǐng)D5A和5B來提 供關(guān)于MP-IE的進(jìn)一步細(xì)節(jié)���。
從以上可以看出�,MP-IE416可被嵌入在管理幀的已有字段,例如EAPOL字 段中��,或者可作為附加字段添加到一個(gè)幀上����。
圖5A是根據(jù)本發(fā)明各實(shí)施方式的管理保護(hù)信息元素416的框圖。在某些實(shí)施 方式中�,MP-IE416包括元素ID 502、長度字段504�����、版本字段506�、組密碼套件 計(jì)數(shù)508、組密碼套件列表510�����、成對(duì)密碼套件計(jì)數(shù)512��、成對(duì)密碼套件列表514�����、 管理保護(hù)能力字段516、管理幀計(jì)數(shù)518和管理幀子類型列表520�。元素ID 502是 被分配來指示該數(shù)據(jù)結(jié)構(gòu)是MP-IE的值。長度字段504指定MP-正數(shù)據(jù)結(jié)構(gòu)的大 小�����。版本字段506指定MP-IE數(shù)據(jù)結(jié)構(gòu)的版本并指示實(shí)現(xiàn)對(duì)管理幀的保護(hù)的當(dāng)前 支持的協(xié)議版本��。
組密碼套件計(jì)數(shù)508提供組密碼套件列表510中組密碼套件的數(shù)目��。組密碼 列表510包括用于在站和接入點(diǎn)之間提供對(duì)廣播和多播管理幀的保護(hù)的一個(gè)或多 個(gè)密碼套件的列表����。站和接入點(diǎn)可使用該列表來協(xié)商站和接入點(diǎn)都支持的密碼套件 之一。在某些實(shí)施方式中�����,所選密碼套件可使用不同的完整性和/或機(jī)密性密鑰��, 該密鑰被導(dǎo)出來提供對(duì)廣播/多播幀的完整性和/或機(jī)密性保護(hù)��。
成對(duì)密碼套件計(jì)數(shù)512提供成對(duì)密碼套件列表514中密碼套件的數(shù)目計(jì)數(shù)�。 成對(duì)密碼套件列表514包括用于對(duì)站與接入點(diǎn)之間所有單播管理幀執(zhí)行完整性和/ 或機(jī)密性保護(hù)計(jì)算的一個(gè)或多個(gè)密碼套件的列表����。在某些實(shí)施方式中�����,站與接入點(diǎn) 可協(xié)商兩者都支持的密碼套件之一��。經(jīng)協(xié)商的成對(duì)密碼套件可使用不同的完整性和 /或機(jī)密性密鑰�,該密鑰被導(dǎo)出以提供對(duì)單播幀的完整性和/或機(jī)密性保護(hù)���。
組密碼套件和成對(duì)密碼套件可包括任何類型的密碼算法��。在某些實(shí)施方式中�����, 可將以下的密碼算法中的一個(gè)或多個(gè)的組合用作密碼套件包括AES-OMAC的 AES�����、 HMAC或使用SHA-256���、 SHA-512算法的Hash、 TKIP和/或CCMP?����,F(xiàn)在 已知或以后開發(fā)的其它密碼方法也可被包含在組或成對(duì)密碼套件中。
管理保護(hù)能力字段516指示可在站與接入點(diǎn)之間協(xié)商的安全參數(shù)�����。在某些實(shí) 施方式中�,該數(shù)據(jù)結(jié)構(gòu)包括具有指示哪些參數(shù)可被協(xié)商的各個(gè)位或位組的位掩碼。 在某些實(shí)施方式中���,經(jīng)協(xié)商的參數(shù)包括是否啟用管理幀保護(hù)���、對(duì)正EE802.11i密鑰 層次的支持、以及對(duì)IEEE802.11r密鑰層次的支持����。可按需或按以后的開發(fā)將其它 參數(shù)包含在該數(shù)據(jù)結(jié)構(gòu)中�����。
管理幀計(jì)數(shù)518提供管理幀子類型列表520中子類型數(shù)目的計(jì)數(shù)�����。管理幀子
類型列表520列出可在站與接入點(diǎn)之間協(xié)商的管理幀的子類型。這允許網(wǎng)絡(luò)管理員 對(duì)特定無線網(wǎng)絡(luò)實(shí)現(xiàn)安全策略���。在某些實(shí)施方式中,接入點(diǎn)在其MP-IE中列出支 持網(wǎng)絡(luò)中保護(hù)的所有管理幀子類型�����。支持管理幀保護(hù)的站用其自己的包括管理幀子
類型的MP-IE來響應(yīng)��。該站使用上述字段來選擇該站可支持保護(hù)的管理幀子類型
列表���,即所宣告的組密鑰密碼套件之一和所宣告的成對(duì)密鑰密碼套件之一�。
圖5B是根據(jù)本發(fā)明替換實(shí)施方式的管理保護(hù)信息元素416的框圖����。在某些替 換實(shí)施方式中,MP-IE 416包括元素ID 502����、長度字段504、版本字段506�、組密 碼套件計(jì)數(shù)508、組密碼套件列表510��、成對(duì)密碼套件計(jì)數(shù)512、成對(duì)密碼套件列 表514��、管理保護(hù)能力字段516�、管理保護(hù)配置文件計(jì)數(shù)530和管理保護(hù)配置文件 選擇器列表520。字段502-516與以上圖5A所示的大致相同��。
管理保護(hù)配置文件計(jì)數(shù)530提供管理保護(hù)配置文件列表532中配置文件的數(shù) 目���。管理保護(hù)配置文件列表532包括標(biāo)識(shí)管理保護(hù)配置文件的管理保護(hù)配置文件選 擇器列表��。管理保護(hù)配置文件選擇器可以是組織單元標(biāo)識(shí)符(OUI)���,以及之后的 類型或值、或者值列表���。在IEEE指定的OUI的情況下�,OUI可與IEEE 802.11i 中所指定的相同���。
包含在MP-IE中的管理保護(hù)配置文件值指示站或接入點(diǎn)支持的一組管理幀子 類型�����。每一管理保護(hù)配置文件值或號(hào)與可可被保護(hù)的一組管理幀相關(guān)聯(lián)��。
由特定管理保護(hù)配置文件號(hào)保護(hù)的該組管理幀可通過許多方法來指定�,包括 作為對(duì)IEEE 802.11標(biāo)準(zhǔn)的修改,或者配置文件可由廠商指定�����,且每一廠商具有不 同的值�。當(dāng)一管理保護(hù)配置文件號(hào)由802.11修改指定時(shí)���,該配置文件號(hào)可以包括 由IEEE指定的先前的管理保護(hù)配置文件號(hào)所保護(hù)的所有管理幀�����。
此外�����,廠商可創(chuàng)建其自己的用于宣告它們支持的廠商專用管理幀子集的OUI�����。
此外�,網(wǎng)絡(luò)操作員和企業(yè)可創(chuàng)建其自己的用于宣告在其無線網(wǎng)絡(luò)上啟用并支 持的特定的管理幀子集����。
除非另外具體指出����,否則諸如處理�����、計(jì)算�、推算、確定�、顯示等的術(shù)語是指 一個(gè)或多個(gè)處理或計(jì)算系統(tǒng)或類似設(shè)備的動(dòng)作和/或進(jìn)程,這些動(dòng)作和/或進(jìn)程可將 被表示成處理系統(tǒng)寄存器和存儲(chǔ)器內(nèi)的物理(例如電子)量的數(shù)據(jù)處理并轉(zhuǎn)換成類 似地表示成處理系統(tǒng)寄存器或存儲(chǔ)器或者其它這種信息存儲(chǔ)��、傳輸或顯示設(shè)備內(nèi)的 物理量的其它數(shù)據(jù)��。
本發(fā)明的實(shí)施方式可用硬件����、固件和軟件之一或組合來實(shí)現(xiàn)。本發(fā)明的實(shí)施 方式還可被實(shí)現(xiàn)成存儲(chǔ)在機(jī)器可讀介質(zhì)上�����、可由至少一個(gè)處理器讀取并執(zhí)行以執(zhí)行
本文所述的操作的指令��。機(jī)器可讀介質(zhì)可包括用于以機(jī)器(例如計(jì)算機(jī))可讀形式 存儲(chǔ)或傳輸信息的任何機(jī)制。例如�����,機(jī)器可讀介質(zhì)可包括只讀存儲(chǔ)器(ROM)����、隨
機(jī)存取存儲(chǔ)器(RAM)、磁盤存儲(chǔ)介質(zhì)����、光學(xué)存儲(chǔ)介質(zhì)�、閃存設(shè)備、電�、光、聲或 其它形式的傳播信號(hào)(例如載波�、紅外信號(hào)、數(shù)字信號(hào)等)等等�����。
提供摘要以滿足要求允許讀者確定技術(shù)公開的特征和主旨的摘要的37 C.F.R 的1.72(b)節(jié)�����。摘要是在不應(yīng)將其用于限制或解釋權(quán)利要求書的范圍和內(nèi)涵的前提 下提交的。
在以上詳細(xì)描述中�����,為簡化描述而在單個(gè)實(shí)施方式中將各個(gè)特征臨時(shí)組合在 一起��。公開的方法不應(yīng)解釋為反映了要求保護(hù)的主題實(shí)施方式需要比在每一權(quán)利要 求中明確闡述的更多的特征的意圖�����。相反�,如所附權(quán)利要求書所反映的,本發(fā)明涉 及少于單個(gè)公開實(shí)施方式的所有特征�。因此,所附權(quán)利要求書在此結(jié)合到詳細(xì)描述
中���,其中每一權(quán)利要求獨(dú)立地作為一單獨(dú)的較佳實(shí)施方式����。
權(quán)利要求
1.一種方法��,包括發(fā)射包括指示第一組管理幀類型的數(shù)據(jù)的第一管理幀��;接收包括指示第二組管理幀類型的數(shù)據(jù)的第二管理幀;將所述第一組管理幀類型與所述第二組管理幀類型進(jìn)行比較以確定一組受保護(hù)管理幀類型�����。
2. 如權(quán)利要求l所述的方法��,其特征在于��,所述第一管理幀包括信標(biāo)幀����。
3. 如權(quán)利要求1所述的方法,其特征在于�,所述第一管理幀包括探測響應(yīng)幀。
4. 如權(quán)利要求1所述的方法����,其特征在于�����,所述第二管理幀包括關(guān)聯(lián)幀��。
5. 如權(quán)利要求l所述的方法��,其特征在于,所述第二管理幀包括重新關(guān)聯(lián)幀�����。
6. 如權(quán)利要求l所述的方法����,其特征在于,所述管理幀類型集包括選自包括 以下各項(xiàng)的組的管理幀類型解除關(guān)聯(lián)幀����、解除認(rèn)證幀、或者包括QoS動(dòng)作幀����、 無線電測量動(dòng)作幀、無線電頻譜測量動(dòng)作幀和無線網(wǎng)絡(luò)管理動(dòng)作幀的任何第3類動(dòng) 作幀����。
7. 如權(quán)利要求l所述的方法,其特征在于�,所述第一管理幀還包括指定至少 一種保護(hù)方法的數(shù)據(jù)。
8. 如權(quán)利要求8所述的方法�,其特征在于,還包括將所述至少一種保護(hù)方法 應(yīng)用于具有所述一組受保護(hù)管理幀類型中的一個(gè)類型的后續(xù)管理幀����。
9. 一種編碼數(shù)據(jù)結(jié)構(gòu)的信號(hào)承載介質(zhì)�����,所述數(shù)據(jù)結(jié)構(gòu)包括指示一組一個(gè)或多個(gè)管理幀類型的字段���;以及指示一組一個(gè)或多個(gè)保護(hù)機(jī)制的字段,其中在一單獨(dú)的數(shù)據(jù)處理步驟中���,所 述一組一個(gè)或多個(gè)保護(hù)機(jī)制中的一個(gè)被應(yīng)用于所述一組一個(gè)或多個(gè)管理幀類型�。
10. 如權(quán)利要求9所述的信號(hào)承載介質(zhì)����,其特征在于,所述一組一個(gè)或多個(gè)管 理幀類型可由組織標(biāo)識(shí)符來指定��。
11. 如權(quán)利要求9所述的信號(hào)承載介質(zhì)�,其特征在于����,所述一組一個(gè)或多個(gè)管 理幀類型在幀類型列表中提供。
12. —種用于通過在受保護(hù)協(xié)商幀中(4向握手消息或在802.11r重新關(guān)聯(lián)請(qǐng) 求/響應(yīng)消息中)包含MP-IE并由接收器將所包含的MP-IE與在先前通信消息中從 對(duì)等設(shè)備接收的消息中的MP-IE進(jìn)行比較而進(jìn)行的協(xié)商保護(hù)�����。
13. —種無線接入點(diǎn),包括 物理層�����;以及耦合到所述物理層的媒體訪問控制�����,可用于發(fā)送包括指示可由所述無線接入點(diǎn)保護(hù)的一組管理幀類型的數(shù)據(jù)的第一 管理幀��;接收包括指示可由站保護(hù)的一組管理幀類型的數(shù)據(jù)的第二管理幀�; 將所述第一組管理幀類型與所述第二組管理幀類型進(jìn)行比較以確定一組 受保護(hù)管理幀類型。
14. 如權(quán)利要求12所述的無線接入點(diǎn)��,其特征在于����,所述第一管理幀包括信 標(biāo)幀。
15. 如權(quán)利要求12所述的無線接入點(diǎn)�����,其特征在于����,所述第一管理幀包括探 測響應(yīng)幀����。
16. 如權(quán)利要求12所述的無線接入點(diǎn)��,其特征在于���,所述第二管理幀包括關(guān) 聯(lián)幀�����。
17. 如權(quán)利要求12所述的無線接入點(diǎn)��,其特征在于,所述第二管理幀包括重 新關(guān)聯(lián)幀��。
18. —種網(wǎng)絡(luò)設(shè)備�,包括 物理層;以及耦合到所述物理層的媒體訪問控制��,可用于接收包括指示可由無線接入點(diǎn)保護(hù)的一組管理幀類型的數(shù)據(jù)的第一管理幀�;通過將可由所述無線接入點(diǎn)保護(hù)的所述一組管理幀類型與可由所述網(wǎng)絡(luò)設(shè)備保護(hù)的一組管理幀類型進(jìn)行比較來確定一組受保護(hù)管理幀類型����;以及 發(fā)射包括指示所述一組受保護(hù)管理幀類型的數(shù)據(jù)的第二管理幀����。
19. 如權(quán)利要求17所述的網(wǎng)絡(luò)設(shè)備��,其特征在于���,所述第一管理幀包括信標(biāo)幀����。
20. 如權(quán)利要求n所述的網(wǎng)絡(luò)設(shè)備�,其特征在于,所述第一管理幀包括探測 響應(yīng)幀�。
21. 如權(quán)利要求17所述的網(wǎng)絡(luò)設(shè)備,其特征在于���,所述第二管理幀包括關(guān)聯(lián)幀���。
22. 如權(quán)利要求17所述的網(wǎng)絡(luò)設(shè)備,其特征在于����,所述第二管理幀包括重新關(guān)聯(lián)幀�����。
23. 如權(quán)利要求17所述的網(wǎng)絡(luò)設(shè)備�����,其特征在于���,所述物理層和媒體訪問控制被結(jié)合到網(wǎng)絡(luò)接口卡中。
24. 如權(quán)利要求17所述的網(wǎng)絡(luò)設(shè)備�,其特征在于,所述物理層和媒體訪問控制被結(jié)合到無線站中��。
25. —種系統(tǒng)�����,包括 基本上全向的天線����; 耦合到所述全向天線的物理層;以及耦合到所述物理層的媒體訪問控制�����,可用于發(fā)射包括指示可由無線接入點(diǎn)保護(hù)的一組管理幀類型的數(shù)據(jù)的第一管幀;接收包括指示可由站保護(hù)的一組管理幀類型的數(shù)據(jù)的第二管理幀���; 將所述第一組管理幀類型與所述第二組管理幀類型進(jìn)行比較以確定一組受保護(hù)管理幀類型。
26. 如權(quán)利要求22所述的系統(tǒng)���,其特征在于��,所述第一管理幀包括EAPoL握手幀����。
27. 如權(quán)利要求22所述的系統(tǒng)�����,其特征在于�����,所述第二管理幀包括EAPoL握手幀��。
28. —種具有用于執(zhí)行一方法的機(jī)器可執(zhí)行指令的機(jī)器可讀介質(zhì)����,所述方法包括發(fā)送包括指示第一組管理幀類型的數(shù)據(jù)的第一管理幀�����; 接收包括指示第二組管理幀類型的數(shù)據(jù)的第二管理幀����;將所述第一組管理幀類型與第二組管理幀類型進(jìn)行比較以確定一組受保護(hù)管理幀類型�����。
29. 如權(quán)利要求25所述的機(jī)器可讀介質(zhì)���,其特征在于���,所述第一管理幀包括EAPoL幀。
30. 如權(quán)利要求25所述的機(jī)器可讀介質(zhì)����,其特征在于,所述第一管理幀包括探測響應(yīng)幀�。
全文摘要
一種系統(tǒng)和方法為無線站和接入點(diǎn)提供協(xié)商用于保護(hù)管理幀的安全參數(shù)的機(jī)制。接入點(diǎn)和站確定它們能夠并期望保護(hù)哪些管理幀����。然后在站與接入點(diǎn)之間交換指示受保護(hù)幀的數(shù)據(jù)以選擇待保護(hù)的管理幀和用于保護(hù)這些管理幀的保護(hù)機(jī)制���。
文檔編號(hào)H04W12/06GK101208981SQ200680017249
公開日2008年6月25日 申請(qǐng)日期2006年5月2日 優(yōu)先權(quán)日2005年5月17日
發(fā)明者E·齊, J·沃克, K·索達(dá) 申請(qǐng)人:英特爾公司