使用信標(biāo)消息的無線認(rèn)證的制作方法
【專利摘要】本發(fā)明描述與使用信標(biāo)消息的無線認(rèn)證關(guān)聯(lián)的系統(tǒng)�����、方法和其它實施例���。根據(jù)一個實施例���,一種接入點控制器包括被配置用于無線地發(fā)送信標(biāo)消息的發(fā)送器。信標(biāo)消息被配置用于向遠(yuǎn)程設(shè)備通報無線接入點可用于提供對網(wǎng)絡(luò)的接入���。信標(biāo)消息包括標(biāo)識用于無線接入點的公共密鑰的安全標(biāo)識符��。
【專利說明】使用信標(biāo)消息的無線認(rèn)證
[0001]有關(guān)申請的交叉引用
[0002]本專利公開內(nèi)容要求于2011年5月4日提交的第61/482����,520號美國臨時申請的權(quán)益���,其通過引用的方式全部并入于此���。
【背景技術(shù)】
[0003]這里提供的【背景技術(shù)】描述是為了一般性地呈現(xiàn)公開內(nèi)容的背景的目的。當(dāng)前發(fā)明人的工作(到在此【背景技術(shù)】部分描述的工作的程度)以及在提交時可能無法以其他方式作為現(xiàn)有技術(shù)衡量的本描述的諸多方面����,既不被明確地也不被暗含地承認(rèn)為本公開內(nèi)容的現(xiàn)有技術(shù)。
[0004]無線網(wǎng)絡(luò)提供一種用于設(shè)備接入計算機網(wǎng)絡(luò)的便利方式�����。許多不同設(shè)備的接入和從許多不同位置的接入在繁瑣布線被無線連接能力取代時變得簡單。然而隨著無線網(wǎng)絡(luò)的普及性增長�����,這一通信形式特有的安全問題最可能被利用�����。
[0005]無線接入點(WAP)是允許無線設(shè)備連接到有線計算機網(wǎng)絡(luò)的設(shè)備�����。無線通信呈現(xiàn)許多安全難題�����。例如無線接入點與無線客戶端設(shè)備之間的通信易遭受惡意用戶的竊聽和攻擊�����。為了提供防范這些威脅的安全性���,設(shè)備通常加密無線通信。然而使用加密保護安全網(wǎng)絡(luò)并非沒有難題���。定義無線接入點和客戶端如何交互的協(xié)議不斷改變并且經(jīng)常配置起來困難和耗時���。
[0006]信息技術(shù)專業(yè)人員或者其他技術(shù)人員經(jīng)常配置設(shè)備以用于無線接入�����?���;九渲眠^程可以包括人工錄入數(shù)據(jù)并且在設(shè)備之間交換配置信息��。此外���,一旦基本配置完成�����,設(shè)備的認(rèn)證和連接可能由于在設(shè)備與無線接入點之間的通信多樣性而緩慢��。因而���,連接到無線網(wǎng)絡(luò)的方法可能是低效的。
【發(fā)明內(nèi)容】
[0007]在一個實施例中�,一種接入點控制器包括被配置用于無線地發(fā)送信標(biāo)消息的發(fā)送器�。發(fā)送器被配置用于修改信標(biāo)消息以包括安全標(biāo)識符���。信標(biāo)消息包括標(biāo)識用于無線接入點的公共密鑰的安全標(biāo)識符�����。信標(biāo)消息被配置用于向遠(yuǎn)程設(shè)備通報無線接入點可用于提供對網(wǎng)絡(luò)的接入����。信標(biāo)消息中的安全標(biāo)識符被配置用于通過使遠(yuǎn)程設(shè)備向無線接入點發(fā)送包括遠(yuǎn)程設(shè)備的安全證書的回復(fù)來使遠(yuǎn)程設(shè)備發(fā)起與無線接入點的認(rèn)證交換����。
[0008]在另一實施例中,信標(biāo)消息中的安全標(biāo)識符被配置用于使遠(yuǎn)程設(shè)備通過使用無線接入點的公共密鑰和來自信標(biāo)消息的第一加密密文(cryptographic secret)來認(rèn)證無線接入點�����。信標(biāo)消息被配置用于通過在遠(yuǎn)程設(shè)備中發(fā)起認(rèn)證過程來使遠(yuǎn)程設(shè)備向無線接入點提供回復(fù)�����?��;貜?fù)是從遠(yuǎn)程設(shè)備向無線接入點發(fā)送的初始消息而無居間消息�����。在另一實施例中�,回復(fù)包括完成在無線接入點與遠(yuǎn)程設(shè)備之間的安全交換的第二加密密文����。在另一實施例中,安全標(biāo)識符是無線接入點的公共密鑰����、公共密鑰的散列(hash)、公共密鑰的標(biāo)識符或者包括公共密鑰的無線接入點的證書��。
[0009]在另一實施例中���,接入點控制器也包括認(rèn)證邏輯����。認(rèn)證邏輯被配置用于確定響應(yīng)于信標(biāo)消息而從遠(yuǎn)程設(shè)備接收的回復(fù)是否包括完成與遠(yuǎn)程設(shè)備的認(rèn)證交換的安全信息���。在另一實施例中����,認(rèn)證邏輯被配置用于使用安全信息以確定用于與遠(yuǎn)程設(shè)備進行通信的加密密鑰。在另一實施例中��,認(rèn)證邏輯被配置用于通過確定遠(yuǎn)程設(shè)備的加密隨機數(shù)(cryptographic nonce)是否至少部分地基于用于無線接入點的公共密鑰而被加密來確定回復(fù)是否包括安全信息���。
[0010]在另一實施例中��,一種方法包括生成信標(biāo)消息��。信標(biāo)消息包括標(biāo)識用于無線接入點的公共密鑰的安全標(biāo)識符��。該方法也包括無線地發(fā)送信標(biāo)消息以向遠(yuǎn)程設(shè)備通報無線接入點可用于提供網(wǎng)絡(luò)接入����。
[0011]在另一實施例中����,該方法通過在信標(biāo)消息中發(fā)送安全標(biāo)識符使遠(yuǎn)程設(shè)備發(fā)起與無線接入點的認(rèn)證交換。響應(yīng)于信標(biāo)消息而從遠(yuǎn)程設(shè)備接收的回復(fù)完成認(rèn)證交換��。
[0012]在另一實施例中��,該方法也包括確定響應(yīng)于信標(biāo)消息而從遠(yuǎn)程設(shè)備接收的回復(fù)是否包括安全信息����。該方法包括使用來自回復(fù)的安全信息來認(rèn)證遠(yuǎn)程設(shè)備。接收安全信息完成在遠(yuǎn)程設(shè)備與無線接入點之間的加密密鑰的安全交換�。
[0013]在另一實施例中,該方法包括確定回復(fù)是否包括至少部分地基于用于無線接入點的公共密鑰而被加密的遠(yuǎn)程設(shè)備的加密隨機數(shù)��?�;貜?fù)是來自遠(yuǎn)程設(shè)備���、去往無線接入點的初始消息��。
[0014]在一個實施例中�����,信標(biāo)消息中的安全標(biāo)識符使遠(yuǎn)程設(shè)備使用無線接入點的公共密鑰和來自信標(biāo)消息的第一加密隨機數(shù)來認(rèn)證無線接入點�。信標(biāo)消息通過在遠(yuǎn)程設(shè)備中發(fā)起認(rèn)證過程來使遠(yuǎn)程設(shè)備向無線接入點提供回復(fù)�。回復(fù)包括完成無線接入點與遠(yuǎn)程設(shè)備之間的安全交換的第二加密隨機數(shù)��。
[0015]在一個實施例中����,一種集成電路包括被配置用于無線地發(fā)送信標(biāo)消息的發(fā)送器。信標(biāo)消息被配置用于向遠(yuǎn)程設(shè)備通報無線接入點可用于提供對網(wǎng)絡(luò)的接入��。信標(biāo)消息包括標(biāo)識用于無線接入點的公共密鑰的安全標(biāo)識符。信標(biāo)消息中的安全標(biāo)識符被配置用于通過使遠(yuǎn)程設(shè)備向無線接入點發(fā)送包括遠(yuǎn)程設(shè)備的安全證書的回復(fù)來使遠(yuǎn)程設(shè)備發(fā)起與無線接入點的認(rèn)證交換����。
[0016]在另一實施例中,集成電路也包括被配置用于確定響應(yīng)于信標(biāo)消息而從遠(yuǎn)程設(shè)備接收的回復(fù)是否包括完成與遠(yuǎn)程設(shè)備的認(rèn)證交換的安全信息的認(rèn)證邏輯�。在另一實施例中,認(rèn)證邏輯被配置用于使用安全信息以確定用于與遠(yuǎn)程設(shè)備進行通信的加密密鑰�。認(rèn)證邏輯被配置用于通過確定遠(yuǎn)程設(shè)備的加密隨機數(shù)是否至少部分地基于用于無線接入點的公共密鑰而被加密來確定回復(fù)是否包括安全信息?;貜?fù)是從遠(yuǎn)程設(shè)備向無線接入點發(fā)送的初始消息,而不存在居間消息�����。
【專利附圖】
【附圖說明】
[0017]并入于說明書中并且構(gòu)成說明書的部分的附圖圖示公開內(nèi)容中的各種系統(tǒng)���、方法和其它實施例�����。圖中的所示單元邊界(例如框��、框組或者其它形狀)代表邊界的一個例子����。在一些例子中����,一個單元可以被設(shè)計為多個單元或者多個單元可以被設(shè)計為一個單元。在一些例子中���,被示為另一單元的內(nèi)部部件的單元以被實現(xiàn)為外部部件�,并且反之亦然�����。另夕卜����,單元可以未按比例繪制。
[0018]圖1圖示與使用信標(biāo)消息的無線認(rèn)證關(guān)聯(lián)的接入點控制器的一個實施例�。[0019]圖2圖示與使用信標(biāo)消息的無線認(rèn)證關(guān)聯(lián)的方法的一個實施例。
[0020]圖3圖示用于在無線認(rèn)證交換中發(fā)送的消息的時序圖的一個示例�����。
[0021]圖4圖示用于在無線認(rèn)證交換中發(fā)送的消息的時序圖的另一示例�。
[0022]圖5圖示與無線認(rèn)證關(guān)聯(lián)的信標(biāo)消息的一個實施例。
[0023]圖6圖示與使用信標(biāo)消息的無線認(rèn)證關(guān)聯(lián)的集成電路的一個實施例。
【具體實施方式】
[0024]這里描述與使用信標(biāo)消息的高效無線認(rèn)證關(guān)聯(lián)的示例方法�����、裝置和其它實施例���。例如無線接入點可以使用信標(biāo)消息以向在無線接入點附近的遠(yuǎn)程設(shè)備通報無線接入點存在和可用��。信標(biāo)消息可以包括關(guān)于遠(yuǎn)程設(shè)備在連接到由無線接入點提供的無線網(wǎng)絡(luò)時使用的該無線接入點的配置的信息�。在一個實施例中��,信標(biāo)消息被配置用于通過在信標(biāo)消息中包括安全信息來發(fā)起與遠(yuǎn)程設(shè)備的認(rèn)證交換���。以這一方式�,附加信息被包括在信標(biāo)消息中���,并且無線接入點與遠(yuǎn)程設(shè)備之間交換的消息數(shù)目可以得以減少����。作為以這一方式使用信標(biāo)消息的結(jié)果����,建立與無線接入點的連接可以在更少時間內(nèi)發(fā)生�����。
[0025]在一個實施例中�����,在信標(biāo)消息中包括用于無線接入點的公共密鑰。遠(yuǎn)程設(shè)備在接收到信標(biāo)消息之后確定公共密鑰存在�,并且然后可以立即使用公共密鑰來加密發(fā)送回?zé)o線接入點的回復(fù)。因此�����,在信標(biāo)消息中包括公共密鑰可以允許遠(yuǎn)程設(shè)備安全地與無線接入點進行通信而不交換多個不安全消息集合��、因此更高效地傳達信息以建立可信的安全連接��。
[0026]參照圖1����,示出與使用信標(biāo)消息的高效無線認(rèn)證關(guān)聯(lián)的接入點控制器100的一個實施例。在以下示例中�����,考慮接入點控制器100是接入點110的部分并且接入點110為在接入點Iio的傳輸覆蓋區(qū)(footprint)中存在的遠(yuǎn)程設(shè)備提供向計算機網(wǎng)絡(luò)(例如遠(yuǎn)程服務(wù)器150)的接入。接入點控制器100至少包括用于控制經(jīng)由天線120A的無線傳輸?shù)陌l(fā)送器120和以下描述的用于認(rèn)證遠(yuǎn)程設(shè)備的認(rèn)證邏輯130�����。
[0027]在附近遠(yuǎn)程設(shè)備(例如遠(yuǎn)程設(shè)備140)初始地進入接入點110的覆蓋區(qū)(例如發(fā)送范圍)時�,遠(yuǎn)程設(shè)備未連接到無線網(wǎng)絡(luò)并且并未得知接入點110的配置。為了讓附近設(shè)備知道接入點Iio存在�����,接入點控制器100例如使發(fā)送器120經(jīng)由天線120A(可以在內(nèi)部和/或芯片的部分)通過無線網(wǎng)絡(luò)發(fā)送信標(biāo)消息��。以這一方式����,接入點110使用信標(biāo)消息以通報無線網(wǎng)絡(luò)的可用性并且向遠(yuǎn)程設(shè)備140提供用于通過接入點110連接到無線網(wǎng)絡(luò)的發(fā)現(xiàn)信息。在一個實施例中��,發(fā)現(xiàn)信息概括接入點100的配置和能力�����。
[0028]在遠(yuǎn)程設(shè)備140在傳輸范圍內(nèi)時�,遠(yuǎn)程設(shè)備140經(jīng)由天線140A接收信標(biāo)消息并且在嘗試建立與接入點110的連接時使用發(fā)現(xiàn)信息以配置回復(fù)。與發(fā)現(xiàn)信息一起����,接入點控制器100在信標(biāo)消息中插入(一個或多個)安全標(biāo)識符�。
[0029]通過在信標(biāo)消息中包括安全標(biāo)識符�,信標(biāo)消息使遠(yuǎn)程設(shè)備140在交換任何附加消息之前發(fā)起與接入點110的認(rèn)證交換。以這一方式���,接入點110可以避免例如在信標(biāo)消息中未包括安全標(biāo)識符則為了交換它而將出現(xiàn)的交換居間通信����。因此��,向信標(biāo)消息添加安全標(biāo)識符可以減少用于認(rèn)證遠(yuǎn)程設(shè)備140并且建立與遠(yuǎn)程設(shè)備140的連接的時間�����,因為可以交換更少消息���。
[0030]在一個實施例中,發(fā)送器120被配置用于修改信標(biāo)消息以包括安全標(biāo)識符,或者發(fā)送器120可以重新設(shè)計信標(biāo)消息中的現(xiàn)有字段以包括安全標(biāo)識符�。以這一方式,由安全標(biāo)識符體現(xiàn)的附加信息在向遠(yuǎn)程設(shè)備140發(fā)送時被包括在信標(biāo)消息中�����。例如,遠(yuǎn)程設(shè)備140在回復(fù)信標(biāo)消息時使用安全標(biāo)識符����。考慮到安全標(biāo)識符可以向遠(yuǎn)程設(shè)備140提供信標(biāo)消息原本不可用的附加信息�。附加信息可以包括沒有在接入點110與遠(yuǎn)程設(shè)備140之間的若干居間請求和回復(fù)就原本不會交換的信息。
[0031]在一個實施例中��,信標(biāo)消息中的安全標(biāo)識符是用于接入點110的公用/私用不對稱密鑰對的公共密鑰��。具有公共密鑰允許遠(yuǎn)程設(shè)備140緊接在接收信標(biāo)消息之后保護與接入點110的通信�。因此,遠(yuǎn)程設(shè)備140可以使用來自信標(biāo)消息的公共密鑰來加密向接入點110發(fā)送的回復(fù)中的敏感信息而無需交換附加消息以獲得公共密鑰����。另外,使用接入點110的公共密鑰���,遠(yuǎn)程設(shè)備140可以向接入點110發(fā)送敏感信息���,該敏感信息可以用來根據(jù)信標(biāo)消息直接構(gòu)造安全共享密文并且在通信序列中及早防止竊聽或者其它惡意入侵。
[0032]用公共密鑰修改的信標(biāo)消息可以用于其它功能��。在一個實施例中����,遠(yuǎn)程設(shè)備140可以使用來自信標(biāo)消息的公共密鑰以在回復(fù)信標(biāo)消息之前認(rèn)證接入點110��。以這一方式��,遠(yuǎn)程設(shè)備140可以保證接入點110被信任而不是惡意設(shè)備(例如入侵者�、詐騙者)����。在認(rèn)證接入點110時,遠(yuǎn)程設(shè)備140可以使用接入點110的公共密鑰以解密信標(biāo)消息中的消息認(rèn)證碼(MAC)���、向第三方設(shè)備(例如遠(yuǎn)程服務(wù)器150)提供安全標(biāo)識符用于驗證�、比對內(nèi)部信任列表認(rèn)證安全標(biāo)識符等等�。
[0033]在其它實施例中��,取代包含實際公共密鑰�����,信標(biāo)消息中的安全標(biāo)識符可以是公共密鑰的散列��、公共密鑰的標(biāo)識符����、接入點110的包括公共密鑰的證書���、從其取回公共密鑰的位置等等。在安全標(biāo)識符未包括公共密鑰而代之以包括公共密鑰的標(biāo)識符時����,遠(yuǎn)程設(shè)備140可以請求來自可以適當(dāng)處理安全標(biāo)識符的第三方服務(wù)器(例如遠(yuǎn)程服務(wù)器150)或者其它認(rèn)證設(shè)備或者服務(wù)的公共密鑰。因此��,在一個實施例中�,通過要求使用安全標(biāo)識符從可信源取回公共密鑰來向過程中集成附加安全性。因而���,通過在信標(biāo)消息中提供安全標(biāo)識符�,接入點110提供用于在設(shè)備之間高效建立安全通信和/或可信關(guān)系的健壯機制����。
[0034]在一個實施例中,由于遠(yuǎn)程設(shè)備140可以根據(jù)信標(biāo)消息中的信息認(rèn)證接入點110���,所以遠(yuǎn)程設(shè)備140可以響應(yīng)于信標(biāo)消息而生成回復(fù)��,這完成在接入點110與遠(yuǎn)程設(shè)備140之間的認(rèn)證交換���。認(rèn)證交換例如是交換用于構(gòu)造共享秘密密鑰的密碼信息����、相互認(rèn)證握手等等�。例如,如果在從遠(yuǎn)程設(shè)備140接收回復(fù)時已經(jīng)交換用于構(gòu)造共享秘密密鑰的信息�����,則認(rèn)證交換完成���。
[0035]在接入點110接收回復(fù)時����,認(rèn)證邏輯130處理回復(fù)以確定回復(fù)是否為正確形式并且包括用于完成認(rèn)證交換的某些信息(例如加密密鑰信息)��。例如認(rèn)證邏輯130可以通過確定回復(fù)或者回復(fù)的部分是否用來自接入點110的公共密鑰(將已經(jīng)是信標(biāo)消息的部分)而被加密來確定回復(fù)是否包括安全信息����。在一個示例中����,如果用公共密鑰加密回復(fù)�,則認(rèn)證邏輯130將能夠用密鑰對的對應(yīng)私用部分解密回復(fù)以揭示加密的信息����。如果解密失敗,則認(rèn)證邏輯130知道加密未使用來自接入點110的公共密鑰并且認(rèn)證過程終止和/或不安全交換可能開始����。
[0036]如果解密成功,則在一個實施例中����,認(rèn)證邏輯130使用解密的信息以構(gòu)造用于與遠(yuǎn)程設(shè)備140安全通信的共享對稱加密密鑰。此外��,認(rèn)證邏輯130可以認(rèn)證遠(yuǎn)程設(shè)備140為可信的設(shè)備���。為了認(rèn)證遠(yuǎn)程設(shè)備140��,認(rèn)證邏輯130可以向執(zhí)行認(rèn)證����、比較安全信息與已認(rèn)證設(shè)備數(shù)據(jù)庫等等的遠(yuǎn)程服務(wù)器150提供安全信息����。在一個示例中�����,遠(yuǎn)程服務(wù)器150是為網(wǎng)絡(luò)中的計算機提供集中認(rèn)證����、授權(quán)和記賬管理的遠(yuǎn)程認(rèn)證撥號用戶服務(wù)(RADIUS)服務(wù)器�。
[0037]在一個實施例中,回復(fù)中的安全信息可以例如是遠(yuǎn)程設(shè)備140的公共密鑰��、遠(yuǎn)程設(shè)備140的安全證書如可信的證書����、用于安全密鑰協(xié)商的加密隨機數(shù)等等。例如考慮認(rèn)證交換可以包括交換用于構(gòu)造秘密對稱密鑰的安全信息��。在一個實施例中���,接入點110和遠(yuǎn)程設(shè)備140使用秘密對稱密鑰以加密并且由此保護通信以防被竊聽和其它有害入侵��。秘密對稱密鑰可以是按組瞬態(tài)密鑰(GTK)或者為了維持密鑰的完整性而保持私用的其它對稱密鑰�����。因此�,信標(biāo)消息可以包括在構(gòu)造這樣的密鑰時使用的第一加密密文(例如第一加密隨機數(shù))�����。
[0038]此外��,來自遠(yuǎn)程設(shè)備140的回復(fù)可以包括用于構(gòu)造秘密對稱密鑰的第二加密密文(例如第二加密隨機數(shù))���。在認(rèn)證交換期間在遠(yuǎn)程設(shè)備140與接入點110之間交換的數(shù)據(jù)可以是符合Diffie-Helman密鑰交換���、可擴展認(rèn)證協(xié)議(EAP)、IEEE802.1X�����、IEEE802.ll1���、IEEE802.lla1�、WiFi保護的接入(WPA)�、WPA2 (例如WPA24路握手)、健壯安全網(wǎng)絡(luò)(RSN)協(xié)議等等的數(shù)據(jù)��。因而,一旦遠(yuǎn)程設(shè)備140響應(yīng)于信標(biāo)消息而提供回復(fù)��,如果回復(fù)包括正確信息�,則認(rèn)證交換有效地完成。
[0039]將結(jié)合圖2討論認(rèn)證交換和使用信標(biāo)消息以傳達安全標(biāo)識符的更多細(xì)節(jié)����。圖2圖示與使用信標(biāo)消息的高效無線認(rèn)證關(guān)聯(lián)的方法200。從方法200由無線接入點(例如接入點110)實施和執(zhí)行以通過無線網(wǎng)絡(luò)建立與遠(yuǎn)程設(shè)備(例如遠(yuǎn)程設(shè)備140)的安全連接這樣的視角討論圖2���。應(yīng)當(dāng)理解方法200可以支持并行地與在接入點的覆蓋區(qū)內(nèi)的多個遠(yuǎn)程設(shè)備的交換���。提供以下關(guān)于單個遠(yuǎn)程設(shè)備的討論作為示例。
[0040]在方法200的210處����,接入點生成信標(biāo)消息。在一個實施例中�����,為了生成信標(biāo)消息�����,接入點可以通過添加附加字段或者通過重新指派現(xiàn)有字段以包括安全標(biāo)識符來修改標(biāo)準(zhǔn)信標(biāo)消息(例如IEEE802.11信標(biāo)幀)。根據(jù)接入點實施的用于認(rèn)證遠(yuǎn)程設(shè)備的協(xié)議�,安全標(biāo)識符可以是用于無線接入點的公用/私用密鑰對的公共密鑰的標(biāo)識符、公共密鑰本身和/或其它安全信息���。
[0041]在220處,接入點無線地發(fā)送信標(biāo)消息���。在一個實施例中�����,無線地發(fā)送信標(biāo)消息包括發(fā)送信標(biāo)消息為廣播或者多播傳輸以便向在接入點的附近的遠(yuǎn)程設(shè)備(例如遠(yuǎn)程設(shè)備140)提供信標(biāo)消息��。如先前說明的那樣�����,信標(biāo)消息向監(jiān)聽并且能夠建立與無線網(wǎng)絡(luò)的連接的遠(yuǎn)程設(shè)備通報接入點的存在和可用�。以這一方式����,信標(biāo)消息可以傳達遠(yuǎn)程設(shè)備在嘗試建立與接入點的連接時使用的發(fā)現(xiàn)消息。
[0042]在一個實施例中����,通過在信標(biāo)消息中提供安全標(biāo)識符��,接入點可以引起遠(yuǎn)程設(shè)備發(fā)起與接入點的認(rèn)證交換�����。然而在一個實施例中�����,為了遠(yuǎn)程設(shè)備發(fā)起認(rèn)證交換���,遠(yuǎn)程設(shè)備先需要識別信標(biāo)消息包括安全標(biāo)識符。因而��,遠(yuǎn)程設(shè)備可以被配置用于處理信標(biāo)消息并且在回復(fù)信標(biāo)消息之前校驗安全標(biāo)識符����。以這一方式,遠(yuǎn)程設(shè)備可以認(rèn)證接入點和/或在對信標(biāo)消息的回復(fù)中提供安全信息以完成認(rèn)證交換�����。
[0043]例如在遠(yuǎn)程設(shè)備被配置用于參與高效認(rèn)證交換時��,響應(yīng)于信標(biāo)消息(包括安全標(biāo)識符)的來自遠(yuǎn)程設(shè)備的回復(fù)將包括安全信息。接入點然后使用安全信息(例如遠(yuǎn)程設(shè)備的安全證書���、加密密文)以認(rèn)證遠(yuǎn)程設(shè)備和/或構(gòu)造共享秘密密鑰���。秘密密鑰例如是可以在構(gòu)造加密密鑰時使用的偽隨機數(shù)、隨機數(shù)或者其它信息���。
[0044]在方法200的230處,接入點從遠(yuǎn)程設(shè)備接收對信標(biāo)消息的回復(fù)�。在一個實施例中,在接收回復(fù)時�����,接入點尚未知遠(yuǎn)程設(shè)備是否已經(jīng)基于來自信標(biāo)消息的安全標(biāo)識符而發(fā)起認(rèn)證交換�。然而在240處,該方法確定回復(fù)是否包括指示認(rèn)證交換的安全信息或者例如回復(fù)是否包括如下信息���,該信息指示遠(yuǎn)程設(shè)備正在請求根據(jù)次級策略連接�����。
[0045]在一個實施例中��,在240處��,接入點通過使用用于接入點的公用/私用密鑰對的私用密鑰解密回復(fù)的部分(例如有效載荷)來確定回復(fù)是否包括安全信息���。備選地�����,回復(fù)可以包括指示是否包括安全信息的字段��。在240處如果回復(fù)包括安全信息��,則接入點進行至250�����,其中接入點嘗試認(rèn)證遠(yuǎn)程設(shè)備���。如果認(rèn)證遠(yuǎn)程設(shè)備,則方法200進行至260�����,其中建立并且完成連接。因此����,如果遠(yuǎn)程設(shè)備用正確安全信息回復(fù),則可以僅需在接入點與遠(yuǎn)程設(shè)備之間交換兩個消息以完成認(rèn)證交換�。將參照圖3討論通信交換的序列的示例。
[0046]參照圖3���,圖示通信序列300��。序列300是在接入點110與遠(yuǎn)程設(shè)備140之間的傳輸交換��。在序列300中,接入點110發(fā)送包括如先前討論的安全標(biāo)識符的信標(biāo)消息310��。這里����,遠(yuǎn)程設(shè)備140被配置用于在接收具有安全標(biāo)識符的信標(biāo)消息時發(fā)起認(rèn)證序列。因此�����,認(rèn)證交換通過遠(yuǎn)程設(shè)備140使用在來自信標(biāo)消息310的安全標(biāo)識符中包括的信息認(rèn)證接入點110來在遠(yuǎn)程設(shè)備中開始����。
[0047]在遠(yuǎn)程設(shè)備140認(rèn)證接入點110之后,構(gòu)造回復(fù)320以包括遠(yuǎn)程設(shè)備140的安全證書��。安全證書例如用于接入點110在認(rèn)證遠(yuǎn)程設(shè)備140時使用和/或用于構(gòu)造共享密文�。遠(yuǎn)程設(shè)備140然后可以加密回復(fù)320或者回復(fù)320的部分(例如有效載荷)以掩蓋所包括的安全信息��。遠(yuǎn)程設(shè)備然后向接入點110發(fā)送回復(fù)320以完成認(rèn)證交換�。如序列300中所示,可以在設(shè)備之間發(fā)送具有可選第三消息的兩個消息以共享秘密密鑰并且相互認(rèn)證���,該第三消息是認(rèn)證交換的完成確認(rèn)330����。
[0048]對照而言���,如果對信標(biāo)消息的回復(fù)不是以適當(dāng)形式(例如未包括安全證書)���,則如圖4的序列400中所示備選次級交換可能出現(xiàn)。圖4圖示如下示例�,在該示例中,遠(yuǎn)程設(shè)備140未被配置用于參與高效認(rèn)證交換或者另外選擇未參與高效交換����。在任一情況下,跟隨的消息系列更復(fù)雜并且可能消耗比如圖3中所示序列300更多的時間。例如序列400始于可以包括安全標(biāo)識符的信標(biāo)消息400以在遠(yuǎn)程設(shè)備140中發(fā)起認(rèn)證交換���。
[0049]然而在序列400中���,遠(yuǎn)程設(shè)備140例如用未包括安全信息和/或未恰當(dāng)加密的認(rèn)證請求420回復(fù)。因此�����,接入點110確定(例如在圖2中的方法200的240)安全信息不存在并且繼續(xù)發(fā)送指示可用認(rèn)證方法的回復(fù)430����。通過向遠(yuǎn)程設(shè)備140發(fā)送消息430,設(shè)備可以發(fā)現(xiàn)并且協(xié)商兩個設(shè)備支持的協(xié)議�。然而回復(fù)430已經(jīng)代表在設(shè)備之間的交換復(fù)雜性增力口。例如回復(fù)430比圖3的序列300中的交換超過一個消息����。此外���,在發(fā)送回復(fù)430時�,設(shè)備尚未完成協(xié)商待使用的公共協(xié)議�,而序列300在這一傳輸次數(shù)完成。序列400中的其余傳輸(例如440、450��、460�����、470)圖示可以出現(xiàn)的消息序列的一個示例�,該消息序列用于建立與在序列300中實現(xiàn)的連接相似的連接而傳輸比序列300更多,因為在序列400中未使用信標(biāo)消息中的安全標(biāo)識符��。傳輸440�、450、460���、470代表公共認(rèn)證過程并且這里將不具體加以討論���。提供它們僅為了與圖2和3的過程和序列比較來示范它們的相對復(fù)雜性和消息數(shù)目。
[0050]圖5圖示信標(biāo)消息500的一個實施例�����,該信標(biāo)消息包括無線接入點可以使用的如先前討論的安全標(biāo)識符����。當(dāng)然�����,不同協(xié)議可以具有不同信標(biāo)消息配置���,因此本系統(tǒng)和方法可以被相應(yīng)地調(diào)整而不受所示示例限制。信標(biāo)消息500可以包括字段序列�����。在一個示例中�����,字段序列包括介質(zhì)訪問控制(MAC)報頭505�、具有密碼塊鏈消息認(rèn)證碼的計數(shù)器模式協(xié)議(CCMP)報頭515、信標(biāo)幀體525和幀校驗序列(FCS)字段530��。
[0051]MAC報頭505包括一系列子字段(例如508��、509����、510等)����。MAC報頭505的子字段包括用來在網(wǎng)絡(luò)中的節(jié)點之間發(fā)送分組的信息�����。應(yīng)當(dāng)理解在不同實施例中�,MAC報頭505可以包括如適合于實施并且如與實施的標(biāo)準(zhǔn)(例如IEEE802.11-2007標(biāo)準(zhǔn)或者其它標(biāo)準(zhǔn))兼容的更多或者更少字段���。
[0052]MAC報頭505子字段508-510可以是地址字段�����。例如地址字段508包括48位目的地MAC地址���。地址字段509包括發(fā)送分組的AP的48位MAC地址。地址字段510是發(fā)起分組的設(shè)備的48位MAC地址���。地址字段510指示分組的原有源���。地址字段508、509和510指示參與發(fā)送和接收分組的設(shè)備的2層MAC地址��。地址字段509例如指示廣播目的地地址��。以這一方式,向在無線接入點的傳輸范圍內(nèi)的遠(yuǎn)程設(shè)備傳達信標(biāo)消息500��。
[0053]在一個實施例中���,CCMP報頭515可以用來指示用來發(fā)起與遠(yuǎn)程設(shè)備的認(rèn)證交換的安全標(biāo)識符�。CCMP報頭515可以包括在六個分組編號字段516���、517��、520�����、521��、522和523之間劃分的48位分組編號�����。分組編號字段可以是用作安全標(biāo)識符的一個要素���。CCMP報頭515也包括保留字段518和密鑰ID字段519。密鑰ID字段519和保留字段518也可以用于安全標(biāo)識符���。在其它實施例中���,其它字段可以用于安全標(biāo)識符,或者可以向信標(biāo)消息添加附加字段以容納安全標(biāo)識符�。
[0054]在一個實施例中,密鑰ID字段519與源地址和/或接入點地址組合用作安全標(biāo)識符��。例如密鑰ID字段519和接入點源地址的組合可以用來向接入點綁定公共密鑰����。遠(yuǎn)程設(shè)備可以使用這一組合以驗證可信接入點。應(yīng)當(dāng)理解在其它實施例中��,CCMP報頭515可以包括如適合于實施并且如與選擇的標(biāo)準(zhǔn)(例如IEEE802.11-2007標(biāo)準(zhǔn)或者其它實施的標(biāo)準(zhǔn))兼容的更多或者更少字段��。在一個實施例中�����,在信標(biāo)消息中簡單地包括CCMP報頭可以服務(wù)于充當(dāng)安全標(biāo)識符����。此外,在其它實施例中�,在信標(biāo)消息500中可以不包括CCMP報頭�。
[0055]繼續(xù)信標(biāo)消息500����,信標(biāo)體525是信標(biāo)消息500的包括發(fā)現(xiàn)信息的部分并且也可以包括安全標(biāo)識符。FCS字段530包括用于保證信標(biāo)消息500不包括任何錯誤的錯誤校驗段��。在一個實施例中���,F(xiàn)CS530包括用于信標(biāo)消息500的循環(huán)冗余校驗(CRC)值�。
[0056]圖6圖示用單獨集成電路和/或芯片配置的來自圖1的接入點控制器100的一個附加實施例�����。在這一實施例中�����,體現(xiàn)來自圖1的發(fā)送器120為單獨集成電路610����。此外,在單獨的集成電路630上體現(xiàn)認(rèn)證邏輯130�。也在單獨的集成電路620上體現(xiàn)天線120A。經(jīng)由連接路徑連接電路以傳達信號。盡管圖示集成電路610���、620和630為單獨集成電路���,但是可以將它們集成到公共電路板600中����。此外,可以將集成電路610����、620和630集成為比所示電路更少的集成電路或者分成更多的集成電路。此外��,在另一實施例中����,可以將集成電路610和630中所示的發(fā)送器120和認(rèn)證邏輯130組合成單獨的專用集成電路。在其它實施例中��,可以體現(xiàn)與發(fā)送器120和認(rèn)證邏輯130關(guān)聯(lián)的功能的部分為可由處理器執(zhí)行并且存儲在非瞬態(tài)存儲器中的固件���。
[0057]下文包括這里運用的所選術(shù)語的定義��。定義包括落入術(shù)語的范圍內(nèi)并且可以用于實施的部件的各種示例和/或形式���。示例并非旨在于限制���。術(shù)語的單數(shù)和復(fù)數(shù)形式二者可以在定義內(nèi)。
[0058]引用“一個實施例”����、“實施例”、“一個示例”�、“示例”等指示這樣描述的實施例或者示例可以包括特定特征、結(jié)構(gòu)�、特性、性質(zhì)����、單元或者限制,但是并非每個實施例或者示例必然包括該特定特征��、結(jié)構(gòu)����、特性、性質(zhì)���、單元或者限制���。另外�,反復(fù)使用短語“在一個實施例中”雖然可以��、但是未必指代相同實施例�����。
[0059]“邏輯”如這里所用包括但不限于用于執(zhí)行功能或者動作和/或引起來自另一邏輯�����、方法和/或系統(tǒng)的功能或者動作的硬件���、固件、在非瞬態(tài)介質(zhì)上存儲或者在機器上執(zhí)行的指令和/或各項的組合���。邏輯可以包括被編程用于執(zhí)行公開的功能中的一個或者多個功能的微處理器�、分立邏輯(例如ASIC)����、模擬電路、數(shù)字電路、編程的邏輯器件��、包含指令的存儲器設(shè)備等����。邏輯可以包括一個或者多個門、門組合或者其它電路部件����。在描述多個邏輯時,可以有可能向一個物理邏輯中并入多個邏輯���。類似地�,在描述單個邏輯時��,可以有可能使該單個邏輯分布在多個物理邏輯之間�?����?梢允褂眠壿媶卧械囊粋€或者多個邏輯單元來實施這里描述的部件和功能中的一個或者多個部件和功能。
[0060]盡管出于說明簡化的目的而示出和描述所示方法為一系列的塊����。但是方法不受塊的順序限制����,因為一些塊可以按與示出和描述的順序不同的順序和/或與其它塊并行地出現(xiàn)����。另外,可以使用比所有所示塊少的塊來實施示例方法���?�?梢越M合塊或者將塊分離成多個部件��。另外����,附加和/或備選方法可以運用附加的未圖示的塊���。
[0061]在【具體實施方式】或者權(quán)利要求中運用術(shù)語“包括(include)”的程度上,它旨在于以與術(shù)語“包括(comprise) ”在該術(shù)語在運用時解釋為權(quán)利要求中的過渡詞時相似的方式有包含意義�。
[0062]盡管已經(jīng)通過描述示例來舉例說明示例系統(tǒng)、方法等并且盡管已經(jīng)以相當(dāng)多的細(xì)節(jié)描述示例����,但是 申請人:的意圖并非是約束或者以任何方式使所附權(quán)利要求的范圍限于這樣的細(xì)節(jié)����。當(dāng)然不可能出于描述這里描述的系統(tǒng)��、方法等的目的而描述每個可設(shè)想的部件或者方法組合����。因此,公開內(nèi)容不限于示出和描述的具體細(xì)節(jié)����、代表的裝置和示例。因此��,本申請旨在于涵蓋落入所附權(quán)利要求的范圍內(nèi)的變更�����、修改和變化���。
【權(quán)利要求】
1.一種接入點控制器����,包括: 發(fā)送器��,被配置用于無線地發(fā)送信標(biāo)消息,其中所述信標(biāo)消息被配置用于向遠(yuǎn)程設(shè)備通報無線接入點可用于提供對網(wǎng)絡(luò)的接入����,并且其中所述信標(biāo)消息包括標(biāo)識用于所述無線接入點的公共密鑰的安全標(biāo)識符。
2.根據(jù)權(quán)利要求1所述的接入點控制器�,其中所述信標(biāo)消息中的所述安全標(biāo)識符被配置用于通過使所述遠(yuǎn)程設(shè)備向所述無線接入點發(fā)送包括所述遠(yuǎn)程設(shè)備的安全證書的回復(fù)來使所述遠(yuǎn)程設(shè)備發(fā)起與所述無線接入點的認(rèn)證交換。
3.根據(jù)權(quán)利要求1所述的接入點控制器�,其中所述發(fā)送器被配置用于修改所述信標(biāo)消息以包括所述安全標(biāo)識符。
4.根據(jù)權(quán)利要求1所述的接入點控制器�����,包括: 認(rèn)證邏輯��,被配置用于確定響應(yīng)于所述信標(biāo)消息而從所述遠(yuǎn)程設(shè)備接收的回復(fù)是否包括完成與所述遠(yuǎn)程設(shè)備的認(rèn)證交換的安全信息����。
5.根據(jù)權(quán)利要求4所述的接入點控制器�����,其中所述認(rèn)證邏輯被配置用于使用所述安全信息以確定用于與所述遠(yuǎn)程設(shè)備進行通信的加密密鑰�����。
6.根據(jù)權(quán)利要求4所述的接入點控制器,其中所述認(rèn)證邏輯被配置用于通過確定所述遠(yuǎn)程設(shè)備的加密隨機數(shù)是否至少部分地基于用于所述無線接入點的所述公共密鑰而被加密來確定所述回復(fù)是否包括所述安全信息���,并且 其中所述回復(fù)是從所述遠(yuǎn)程設(shè)備向所述無線接入點發(fā)送的初始消息�����,而不存在居間消息��。
7.根據(jù)權(quán)利要求1所述的接入點控制器�,其中所述信標(biāo)消息中的所述安全標(biāo)識符被配置用于使所述遠(yuǎn)程設(shè)備通過使用所述無線接入點的所述公共密鑰和來自所述信標(biāo)消息的第一加密密文來認(rèn)證所述無線接入點����,并且其中所述信標(biāo)消息使所述遠(yuǎn)程設(shè)備向所述無線接入點提供回復(fù)。
8.根據(jù)權(quán)利要求7所述的接入點控制器�,其中所述信標(biāo)消息被配置用于通過在所述遠(yuǎn)程設(shè)備中發(fā)起認(rèn)證過程來使所述遠(yuǎn)程設(shè)備向所述無線接入點提供所述回復(fù),并且其中所述回復(fù)包括完成所述無線接入點與所述遠(yuǎn)程設(shè)備之間的安全交換的第二加密密文�。
9.根據(jù)權(quán)利要求1所述的接入點控制器,其中所述安全標(biāo)識符是所述無線接入點的所述公共密鑰���、所述公共密鑰的散列��、所述公共密鑰的標(biāo)識符或者包括所述公共密鑰的所述無線接入點的證書����。
10.一種方法,包括: 生成信標(biāo)消息����,其中所述信標(biāo)消息包括標(biāo)識用于無線接入點的公共密鑰的安全標(biāo)識符;以及 無線地發(fā)送所述信標(biāo)消息以向遠(yuǎn)程設(shè)備通報所述無線接入點可用于提供網(wǎng)絡(luò)接入����。
11.根據(jù)權(quán)利要求10所述的方法,還包括: 通過在所述信標(biāo)消息中發(fā)送所述安全標(biāo)識符使所述遠(yuǎn)程設(shè)備發(fā)起與所述無線接入點的認(rèn)證交換���,其中響應(yīng)于所述信標(biāo)消息而從所述遠(yuǎn)程設(shè)備接收的回復(fù)完成所述認(rèn)證交換����。
12.根據(jù)權(quán)利要求10所述的方法����,包括: 確定響應(yīng)于所述信標(biāo)消息而從 所述遠(yuǎn)程設(shè)備接收的回復(fù)是否包括安全信息。
13.根據(jù)權(quán)利要求12所述的方法�����,包括:使用來自所述回復(fù)的所述安全信息來認(rèn)證所述遠(yuǎn)程設(shè)備�����,其中所述安全信息完成加密密鑰在所述遠(yuǎn)程設(shè)備與所述無線接入點之間的安全交換�。
14.根據(jù)權(quán)利要求12所述的方法,還包括: 確定所述回復(fù)是否包括至少部分地基于用于所述無線接入點的所述公共密鑰而被加密的所述遠(yuǎn)程設(shè)備的加密隨機數(shù)���,其中所述回復(fù)是來自所述遠(yuǎn)程設(shè)備�����、去往所述無線接入點的初始消息�����。
15.根據(jù)權(quán)利要求10所述的方法�����,其中所述信標(biāo)消息中的所述安全標(biāo)識符使所述遠(yuǎn)程設(shè)備使用所述無線接入點的所述公共密鑰和來自所述信標(biāo)消息的第一加密隨機數(shù)來認(rèn)證所述無線接入點����,其中所述信標(biāo)消息通過在所述遠(yuǎn)程設(shè)備中發(fā)起認(rèn)證過程來使所述遠(yuǎn)程設(shè)備向所述無線接入點提供回復(fù)�,并且其中所述回復(fù)包括完成所述無線接入點與所述遠(yuǎn)程設(shè)備之間的安全交換的第二加密隨機數(shù)。
16.—種集成電路,包括: 發(fā)送器��,被配置用于無線地發(fā)送信標(biāo)消息,其中所述信標(biāo)消息被配置用于向遠(yuǎn)程設(shè)備通報無線接入點可用于提供對網(wǎng)絡(luò)的接入���,并且其中所述信標(biāo)消息包括標(biāo)識用于所述無線接入點的公共密鑰的安全標(biāo)識符���。
17.根據(jù)權(quán)利要求16所述的集成電路,其中所述信標(biāo)消息中的所述安全標(biāo)識符被配置用于通過使所述遠(yuǎn)程設(shè)備向所述無線接入點發(fā)送包括所述遠(yuǎn)程設(shè)備的安全證書的回復(fù)來使所述遠(yuǎn)程設(shè)備發(fā)起與所述無線接入點的認(rèn)證交換�。
18.根據(jù)權(quán)利要求16所述的集成電路,包括: 認(rèn)證邏輯����,被配置用于確定響應(yīng)于所述信標(biāo)消息而從所述遠(yuǎn)程設(shè)備接收的回復(fù)是否包括完成與所述遠(yuǎn)程設(shè)備的認(rèn)證交換的安全信息。
19.根據(jù)權(quán)利要求18所述的集成電路�,其中所述認(rèn)證邏輯被配置用于使用所述安全信息以確定用于與所述遠(yuǎn)程設(shè)備進行通信的加密密鑰。
20.根據(jù)權(quán)利要求18所述的集成電路����,其中所述認(rèn)證邏輯被配置用于通過確定所述遠(yuǎn)程設(shè)備的加密隨機數(shù)是否至少部分地基于用于所述無線接入點的所述公共密鑰而被加密來確定所述回復(fù)是否包括所述安全信息,并且 其中所述回復(fù)是從所述遠(yuǎn)程設(shè)備向所述無線接入點發(fā)送的初始消息����,而不存在居間消肩、O
【文檔編號】H04W12/06GK103621127SQ201280029895
【公開日】2014年3月5日 申請日期:2012年5月3日 優(yōu)先權(quán)日:2011年5月4日
【發(fā)明者】P·A·蘭伯特 申請人:馬維爾國際貿(mào)易有限公司