概括地說，本申請涉及無線通信系統(tǒng)，具體地說，本申請涉及用于無線通信系統(tǒng)中的認證的系統(tǒng)、方法和設(shè)備。

背景技術(shù)：

在wi-fi網(wǎng)絡(luò)應(yīng)用中，安全功能已逐漸演變?yōu)樘峁└鼜姶蠛透玫木C合安全工具。在電氣與電子工程師協(xié)會(ieee)頒布的802.11的eap(可擴展認證協(xié)議)標(biāo)準(zhǔn)中，可以使用包括稱為“四次握手”的機制的認證技術(shù)。在該四次握手機制中，諸如膝上型計算機、智能電話或者其它客戶端設(shè)備之類的客戶端設(shè)備(其通常稱為“站”)與無線路由器或其它設(shè)備(其通常稱為“接入點”)協(xié)商，以建立安全網(wǎng)絡(luò)會話。在該會話期間，站可以尋求與互聯(lián)網(wǎng)或者其它網(wǎng)絡(luò)的連接。

在該四次握手方法中，站和接入點交換一系列的四個定義的消息，基于這些消息，可以執(zhí)行相互認證。接入點可以與遠程用戶撥號認證服務(wù)(radius)服務(wù)器或者其它認證服務(wù)器、平臺或者服務(wù)進行交互，以建立該站和接入點為了執(zhí)行四次握手過程而使用的一組共享秘密和/或公鑰和私鑰。作為四次握手過程的一部分，站和接入點可以訪問共享秘密，該共享秘密可以包括成對主密鑰(pmk)?？梢允褂冒ǔ蓪簳r密鑰(ptk)的公鑰和私鑰的另外集合，對站和接入點之間交換的消息進行編碼，其中可以使用作為進一步加密密鑰層的發(fā)生器的成對主密鑰來構(gòu)建該ptk。

技術(shù)實現(xiàn)要素：

本發(fā)明的系統(tǒng)、方法和設(shè)備均具有一些方面，但這些方面中沒有單一的一個可以單獨地對其期望的屬性負責(zé)。在不限制如下文的權(quán)利要求書所表述的本發(fā)明的保護范圍的基礎(chǔ)上，現(xiàn)在將簡要地討論一些特征。在仔細思考該討論之后，特別是在閱讀標(biāo)題為“具體實施方式”的部分之后，人們將理解本發(fā)明的特征是如何提供優(yōu)勢的，這些優(yōu)勢包括：無線網(wǎng)絡(luò)中的接入點和站之間的改進的通信。

本公開內(nèi)容的一些方面提供了兩個不同的認證方法的至少部分之間的互操作性。例如，在一些方面，相對于第二認證方法，第一認證方法可以提供一些益處。但是，第二認證方法可能是廣泛部署的，而第一認證方法還沒有部署。另外，由于成本和其它因素，第一認證方法的部署可能被延遲。

因此，有利的是，利用已經(jīng)在無線網(wǎng)絡(luò)中部署的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的大部分來支持第二認證方法，同時將第一認證方法的選定部分移植到無線網(wǎng)絡(luò)基礎(chǔ)設(shè)施。與將第一認證方法的所有組成部分都部署到無線網(wǎng)絡(luò)時能夠完成的相比，這種方式可以提供第一認證方法的選定部分的更快速部署。僅僅部署第一認證方法的選定部分，仍然可以在一個或多個方面提高網(wǎng)絡(luò)性能。與和第一認證方法的完全部署相關(guān)聯(lián)的時間軸相比，通過使用所公開的方法、系統(tǒng)和計算機可讀介質(zhì)，可以更快速地實現(xiàn)這種性能提高。

本公開內(nèi)容的一個方面提供了一種用于對第一設(shè)備進行認證的方法。該方法包括：在第二設(shè)備處，接收針對第一設(shè)備的第一認證協(xié)議再認證響應(yīng)，該再認證響應(yīng)包括再認證主會話密鑰；在第二設(shè)備處，向第一接入點發(fā)送基于再認證主會話密鑰的第二第一認證協(xié)議再認證響應(yīng)；在第二設(shè)備處，基于該再認證主會話密鑰，生成用于第二接入點的快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰；在第二設(shè)備處，生成密鑰消息以包括用于第二接入點的快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰；以及在第二設(shè)備處，向第二接入點發(fā)送該密鑰消息。

在一些方面，生成用于第二接入點的快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰包括：基于所述再認證主會話密鑰，生成快速基本服務(wù)集轉(zhuǎn)換第一層級成對主密鑰；以及基于第一層級成對主密鑰，生成用于第二接入點的快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰。

在一些方面，該方法還包括：在第二設(shè)備處，基于所述快速基本服務(wù)集轉(zhuǎn)換第一層級成對主密鑰和第一接入點的一個或多個屬性，生成用于第一接入點的快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰；以及在第二設(shè)備處，生成第二第一認證協(xié)議再認證響應(yīng)，以包括用于第一接入點的成對主密鑰。在一些方面，該方法包括：在第二設(shè)備處，從第二接入點接收密鑰請求消息；以及響應(yīng)于該密鑰請求消息的接收，由第二設(shè)備向第二接入點發(fā)送用于第二接入點的快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰。在一些方面，響應(yīng)于與第一設(shè)備的第二認證協(xié)議交換，第二接入點向第二設(shè)備發(fā)送所述密鑰請求消息。在一些方面，第一認證協(xié)議是可擴展認證協(xié)議再認證協(xié)議，第二認證協(xié)議是快速基本服務(wù)集轉(zhuǎn)換認證。

公開的另一個方面是一種用于對設(shè)備進行認證的裝置。該裝置包括：接收機，其被配置為接收針對該設(shè)備的第一認證協(xié)議再認證響應(yīng)，該再認證響應(yīng)包括再認證主會話密鑰；發(fā)射機，其被配置為向第一接入點發(fā)送基于該再認證主會話密鑰的第二第一認證協(xié)議再認證響應(yīng)；以及處理器，其被配置為：基于該再認證主會話密鑰，生成用于第二接入點的快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰；以及生成第二認證協(xié)議再認證響應(yīng)消息以包括用于第二接入點的快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰，并且其中，所述發(fā)射機還被配置為向第二接入點發(fā)送第二認證協(xié)議再認證響應(yīng)消息。

在一些方面，所述處理器還被配置為：通過基于所述再認證主會話密鑰，生成快速基本服務(wù)集轉(zhuǎn)換第一層級成對主密鑰，來生成用于第二接入點的快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰；以及基于所述快速基本服務(wù)集轉(zhuǎn)換第一層級成對主密鑰和第二接入點的一個或多個屬性，生成用于第二接入點的快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰。

在一些方面，所述處理器還被配置為：基于所述快速基本服務(wù)集轉(zhuǎn)換第一層級成對主密鑰和第一接入點的一個或多個屬性，生成用于第一接入點的快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰；以及生成第二第一認證協(xié)議再認證響應(yīng)，以包括用于第一接入點的成對主密鑰。在該裝置的一些方面，所述接收機還被配置為：從第一接入點接收針對所述設(shè)備的第一認證協(xié)議再認證請求，并且其中，所述發(fā)射機還被配置為：響應(yīng)于所述接收機從第一接入點接收到第一認證協(xié)議再認證請求，發(fā)送針對所述設(shè)備的第一認證協(xié)議再認證請求。在一些方面，第一認證協(xié)議是可擴展認證協(xié)議再認證協(xié)議，第二認證協(xié)議是快速基本服務(wù)集轉(zhuǎn)換認證。

在一些方面，所述接收機還被配置為從第二接入點接收密鑰請求消息，并且所述發(fā)射機還被配置為：響應(yīng)于該密鑰請求消息的接收，向第二接入點發(fā)送用于第二接入點的快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰。

公開的另一個方面是一種由設(shè)備在網(wǎng)絡(luò)上進行認證的方法。該方法包括：從第一接入點接收網(wǎng)絡(luò)消息；基于該網(wǎng)絡(luò)消息，判斷是經(jīng)由第一認證協(xié)議，還是第二認證協(xié)議，向第一接入點進行認證；以及使用所確定的認證協(xié)議，向第一接入點進行認證。在一些方面，該網(wǎng)絡(luò)消息包括移動域標(biāo)識符，并且判斷是經(jīng)由第一認證協(xié)議還是第二認證協(xié)議來向第一接入點進行認證，是基于該移動域標(biāo)識符。在一些方面，該網(wǎng)絡(luò)消息包括由接入點支持的認證協(xié)議的一個或多個指示符，并且判斷是經(jīng)由第一認證協(xié)議還是第二認證協(xié)議來向第一接入點進行認證，是基于所述一個或多個指示符。在一些方面，第一認證協(xié)議是可擴展認證協(xié)議再認證協(xié)議，第二認證協(xié)議是快速基本服務(wù)集轉(zhuǎn)換認證。在一些方面，該方法還包括：從第一接入點接收用于指示第一接入點的第一移動域標(biāo)識符的消息；向具有第二移動域標(biāo)識符的第二接入點進行認證；響應(yīng)于第一移動域標(biāo)識符與第二移動域標(biāo)識符是不同的，使用可擴展認證協(xié)議再認證協(xié)議，向第一接入點進行認證。

在一些方面，該方法包括：響應(yīng)于第一移動域標(biāo)識符與第二移動域標(biāo)識符相匹配，使用快速基本服務(wù)集轉(zhuǎn)換認證協(xié)議，向第一接入點進行認證。在一些方面，向第二接入點的認證使用可擴展認證協(xié)議再認證協(xié)議，并且該方法還包括：基于與第二接入點的可擴展認證協(xié)議再認證協(xié)議交換，確定再認證主會話密鑰；根據(jù)該再認證主會話密鑰，推導(dǎo)快速基本服務(wù)集轉(zhuǎn)換第一層級成對主密鑰；基于該快速基本服務(wù)集轉(zhuǎn)換第一層級成對主密鑰和第二接入點的一個或多個屬性，推導(dǎo)快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰；以及基于該快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰，與第二接入點進行通信。在一些方面，該方法還包括：基于快速基本服務(wù)集轉(zhuǎn)換第一層級成對主密鑰和第一接入點的一個或多個屬性，推導(dǎo)第二快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰；以及基于第二快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰，與第一接入點進行通信。

在一些方面，該方法還包括：與第一接入點執(zhí)行diffie-hellman密鑰交換；基于該diffie-hellman密鑰交換和第二快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰，推導(dǎo)成對暫時密鑰；以及基于所推導(dǎo)的成對暫時密鑰，與第一接入點進行通信。

公開的另一個方面是一種用于通過設(shè)備在網(wǎng)絡(luò)上進行認證的裝置。該裝置包括：接收機，其被配置為從第一接入點接收網(wǎng)絡(luò)消息；處理器，其被配置為：基于該網(wǎng)絡(luò)消息，判斷是經(jīng)由第一認證協(xié)議還是第二認證協(xié)議，向第一接入點進行認證；以及使用所確定的認證協(xié)議，向第一接入點進行認證。在一些方面，該網(wǎng)絡(luò)消息包括移動域標(biāo)識符，并且所述處理器還被配置為：基于該移動域標(biāo)識符，判斷是經(jīng)由第一認證協(xié)議還是第二認證協(xié)議來向第一接入點進行認證。在一些方面，該網(wǎng)絡(luò)消息包括由所述接入點支持的認證協(xié)議的一個或多個指示符，并且所述處理器還被配置為：基于所述一個或多個指示符，判斷是經(jīng)由第一認證協(xié)議還是第二認證協(xié)議來向第一接入點進行認證。在一些方面，第一認證協(xié)議是可擴展認證協(xié)議再認證協(xié)議，第二認證協(xié)議是快速基本服務(wù)集轉(zhuǎn)換認證。在一些方面，所述處理器還被配置為：從第一接入點接收用于指示第一接入點的第一移動域標(biāo)識符的消息；向具有第二移動域標(biāo)識符的第二接入點進行認證，響應(yīng)于第一移動域標(biāo)識符與第二移動域標(biāo)識符是不同的，使用可擴展認證協(xié)議再認證協(xié)議，向第一接入點進行認證。

在一些方面，所述處理器還被配置為：響應(yīng)于第一移動域標(biāo)識符與第二移動域標(biāo)識符相匹配，使用快速基本服務(wù)集轉(zhuǎn)換認證協(xié)議，向第一接入點進行認證。在一些方面，向第二接入點的認證使用可擴展認證協(xié)議再認證協(xié)議，并且所述處理器還被配置為：基于與第二接入點的可擴展認證協(xié)議再認證協(xié)議交換，確定再認證主會話密鑰；根據(jù)該再認證主會話密鑰，推導(dǎo)快速基本服務(wù)集轉(zhuǎn)換第一層級成對主密鑰；基于快速基本服務(wù)集轉(zhuǎn)換第一層級成對主密鑰和第二接入點的一個或多個屬性，推導(dǎo)快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰；以及基于快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰，與第二接入點進行通信。

在一些方面，所述處理器還被配置為：基于快速基本服務(wù)集轉(zhuǎn)換第一層級成對主密鑰和第一接入點的一個或多個屬性，推導(dǎo)第二快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰；以及基于第二快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰，與第一接入點進行通信。在一些方面，所述處理器還被配置為：與第一接入點執(zhí)行diffie-hellman密鑰交換；基于該diffie-hellman密鑰交換和第二快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰，推導(dǎo)成對暫時密鑰；以及基于所推導(dǎo)的成對暫時密鑰，與第一接入點進行通信。

附圖說明

圖1示出了可以在其中使用本公開內(nèi)容的方面的示例性無線通信系統(tǒng)。

圖2示出了圖1的無線設(shè)備中的一個或多個的無線設(shè)備的示例性實施例。

圖3示出了在擴展認證協(xié)議(eap)認證和擴展認證協(xié)議再認證協(xié)議(eap-rp)認證期間的消息流。

圖4示出了在快速基本服務(wù)集(bss)轉(zhuǎn)換(ft)認證期間的消息流。

圖5示出了在認證過程的一個實施例期間，在無線網(wǎng)絡(luò)組件之間的消息流。

圖6示出了在認證過程的另一個實施例中，在無線網(wǎng)絡(luò)組件之間的消息流。

圖7示出了在認證過程的另一個實施例中，在無線網(wǎng)絡(luò)組件之間的消息流。

圖8示出了在認證過程的另一個實施例中，在無線網(wǎng)絡(luò)組件之間的消息流。

圖9示出了當(dāng)不存在本地er服務(wù)器時，在認證過程的另一個實施例中，在無線網(wǎng)絡(luò)組件之間的消息流。

圖10是示出使用來自第一認證協(xié)議和第二認證協(xié)議的認證消息的消息序列圖。

圖11示出了一種認證方法中的密鑰分級結(jié)構(gòu)。

圖12是一種對設(shè)備進行認證的方法的流程圖。

圖13是一種對設(shè)備進行認證的方法的流程圖。

具體實施方式

下文參照附圖更全面地描述新穎性系統(tǒng)、裝置和方法的各個方面。但是，本公開內(nèi)容可以以多種不同的形式實現(xiàn)，并且其不應(yīng)被解釋為受限于貫穿本公開內(nèi)容給出的任何特定結(jié)構(gòu)或功能。相反，提供這些方面只是使得本公開內(nèi)容變得透徹和完整，并將向本領(lǐng)域的普通技術(shù)人員完整地傳達本公開內(nèi)容的保護范圍。根據(jù)本文中的教導(dǎo)內(nèi)容，本領(lǐng)域普通技術(shù)人員應(yīng)當(dāng)理解的是，本公開內(nèi)容的保護范圍旨在覆蓋本文所公開的新穎性系統(tǒng)、裝置和方法的任何方面，無論其是獨立于本發(fā)明的任何其它方面來實現(xiàn)的還是結(jié)合本發(fā)明的任何其它方面來實現(xiàn)的。例如，可以使用本文闡述的任意數(shù)量的方面來實現(xiàn)裝置或?qū)嵺`方法。此外，本發(fā)明的保護范圍旨在覆蓋這樣的裝置或方法：可以通過使用其它結(jié)構(gòu)、功能、或者除本文所闡述的本發(fā)明的各個方面的結(jié)構(gòu)和功能、或不同于本文所闡述的本發(fā)明的各個方面的結(jié)構(gòu)和功能來實現(xiàn)的裝置或方法。應(yīng)當(dāng)理解的是，本文所公開的任何方面可以通過權(quán)利要求中的一個或多個要素來體現(xiàn)。

雖然本文描述了一些特定的方面，但是這些方面的多種變型和排列也落入本公開內(nèi)容的保護范圍之內(nèi)。雖然提及了優(yōu)選的方面的一些益處和優(yōu)點，但是本公開內(nèi)容的保護范圍并不受到特定的益處、用途或目的的限制。相反，本公開內(nèi)容的方面旨在廣泛地適用于不同的無線技術(shù)、系統(tǒng)配置、網(wǎng)絡(luò)和傳輸協(xié)議，其中的一些通過示例的方式在附圖和下文優(yōu)選方面的描述中進行了說明。具體實施方式和附圖僅僅是對本公開內(nèi)容的說明而不是限制，本公開內(nèi)容的保護范圍由所附權(quán)利要求書及其等同物進行界定。

圖1示出了可以在其中使用本公開內(nèi)容的方面的示例性無線通信系統(tǒng)100。無線通信系統(tǒng)100包括接入點(ap)104a，后者可以與基本服務(wù)集(bss)107a中的多個站(sta)106a-106d進行通信。此外，無線通信系統(tǒng)100還可以包括在bss107b中進行通信的第二ap104b。一個或多個sta106可以例如經(jīng)由火車120，移入和/或移出bss107a-107b。在本文所描述的各個實施例中，sta106和106a-106d可以被配置為與ap104a和/或ap104b快速地建立無線鏈路，特別是當(dāng)移入到bss107a和/或107b時。在站和接入點之間建立無線通信，可以包括認證和關(guān)聯(lián)中的一個或多個。

在各個實施例中，無線通信系統(tǒng)100可以包括無線局域網(wǎng)(wlan)。wlan可以用于使用一種或多種網(wǎng)絡(luò)協(xié)議來互連附近的設(shè)備。本文描述的各個方面可以應(yīng)用于任何通信標(biāo)準(zhǔn)(例如，ieee802.11無線協(xié)議)。例如，本文描述的各個方面可以使用成ieee802.11a、802.11b、802.11g、802.11n、802.11ah和/或802.11ai協(xié)議的一部分。802.11協(xié)議的實現(xiàn)可以用于傳感器、家庭自動化、個人醫(yī)療保健網(wǎng)絡(luò)、監(jiān)管網(wǎng)絡(luò)、計量、智能網(wǎng)格網(wǎng)絡(luò)、車輛內(nèi)和車輛間通信、緊急協(xié)調(diào)網(wǎng)絡(luò)、蜂窩(例如，3g/4g)網(wǎng)絡(luò)卸載、短和/或長距離互聯(lián)網(wǎng)接入(例如，結(jié)合熱點使用)、機器對機器(m2m)通信等等。

ap104a-104b可以用作用于無線通信系統(tǒng)100的集線器或者基站。例如，ap104a可以在bss107a中提供通信覆蓋，ap104b可以在bss107b中提供通信覆蓋。ap104a和/或ap104b可以包括、實現(xiàn)為或者稱為節(jié)點b、無線網(wǎng)絡(luò)控制器(rnc)、演進節(jié)點b(enodeb)、基站控制器(bsc)、基站收發(fā)機(bts)、基站(bs)、收發(fā)機功能(tf)、無線路由器、無線收發(fā)機或者某種其它術(shù)語。

sta106和106a-106d(本文統(tǒng)稱為sta106)可以包括各種各樣的設(shè)備，例如，膝上型計算機、個人數(shù)字助理(pda)、移動電話等等。sta106可以經(jīng)由遵循wifi(例如，諸如802.11ai之類的ieee802.11協(xié)議)的無線鏈路，連接到ap104a-104b或者與之相關(guān)聯(lián)，以獲得與互聯(lián)網(wǎng)或者其它廣域網(wǎng)的通常連接。sta106還可以稱為“客戶端”。

在各個實施例中，sta106可以包括、實現(xiàn)為或者稱為接入終端(at)、用戶站、用戶單元、移動站、遠程站、遠程終端、用戶終端(ut)、終端、用戶代理、用戶設(shè)備、用戶設(shè)備(ue)或某種其它術(shù)語。在一些實現(xiàn)中，sta106可以包括蜂窩電話、無繩電話、會話發(fā)起協(xié)議(sip)電話、無線本地環(huán)路(wll)站、個人數(shù)字助理(pda)、具有無線連接能力的手持設(shè)備、或者連接到無線調(diào)制解調(diào)器的某種其它適當(dāng)處理設(shè)備。因此，本文所教示的一個或多個方面可以并入到電話(例如，蜂窩電話或智能電話)、計算機(例如，膝上型計算機)、便攜式通信設(shè)備、頭戴裝置、便攜式計算設(shè)備(例如，個人數(shù)據(jù)助理)、娛樂設(shè)備(例如，音樂或視頻設(shè)備、或衛(wèi)星無線設(shè)備)、游戲設(shè)備或系統(tǒng)、全球定位系統(tǒng)設(shè)備或者被配置為經(jīng)由無線介質(zhì)進行通信的任何其它適當(dāng)設(shè)備。

ap104a連同與該ap104a相關(guān)聯(lián)的sta106a-106d(它們被配置為使用ap104a來進行通信)可以稱為一個基本服務(wù)集(bss)。在一些實施例中，無線通信系統(tǒng)100可以不具有中央ap104a。例如，在一些實施例中，無線通信系統(tǒng)100可以充當(dāng)為sta106之間的對等網(wǎng)絡(luò)。因此，本文描述的ap104a的功能可以替代地由sta106中的一個或多個sta來執(zhí)行。此外，在一些實施例中，ap104a可以實現(xiàn)參照sta106所描述的一個或多個方面。

有助于實現(xiàn)從ap104a到sta106中的一個或多個sta的傳輸?shù)耐ㄐ沛溌房梢苑Q為下行鏈路(dl)130，有助于實現(xiàn)從sta106中的一個或多個sta到ap104a的傳輸?shù)耐ㄐ沛溌房梢苑Q為上行鏈路(ul)140。替代地，下行鏈路130可以稱為前向鏈路或前向信道，上行鏈路140可以稱為反向鏈路或反向信道。

各種各樣的處理和方法可以用于ap104a和sta106之間的在無線通信系統(tǒng)100中的傳輸。在一些方面，可以使用正交頻分復(fù)用(ofdm)、直接序列擴頻(dsss)通信、ofdm和dsss通信的組合或者其它方案，來發(fā)送無線信號。例如，可以根據(jù)ofdm/ofdma處理，在ap104a和sta106之間發(fā)送和接收信號。因此，無線通信系統(tǒng)100可以稱為ofdm/ofdma系統(tǒng)。再舉一個例子，可以根據(jù)cdma處理，在ap104a和sta106之間發(fā)送和接收信號。因此，無線通信系統(tǒng)100可以稱為cdma系統(tǒng)。

與實現(xiàn)其它無線協(xié)議的設(shè)備相比，實現(xiàn)這些協(xié)議的某些設(shè)備(例如，ap104a和sta106)的方面可以消耗更少的功率。這些設(shè)備可以用于跨度相對較長的距離(例如，大約一公里或者更長)來發(fā)送無線信號。如本文所進一步詳細描述的，在一些實施例中，設(shè)備可以被配置為比實現(xiàn)其它無線協(xié)議的設(shè)備，更快速地建立無線鏈路。

關(guān)聯(lián)和認證

通常，在ieee802.1x協(xié)議中，在sta和認證服務(wù)器(例如，提供諸如身份驗證、授權(quán)、隱私和不可否認之類的認證服務(wù)的服務(wù)器)之間發(fā)生認證。例如，充當(dāng)為認證器的ap在認證過程期間，在該ap和認證服務(wù)器之間中繼消息。在一些實例中，使用局域網(wǎng)承載可擴展認證協(xié)議(eapol)幀，傳輸sta和ap之間的認證消息。在ieee802.11i協(xié)議中，規(guī)定了eapol幀。可以使用遠程用戶撥號認證服務(wù)(radius)協(xié)議或者直徑認證、授權(quán)和計費協(xié)議，來傳輸ap和認證服務(wù)器之間的認證消息。

在認證過程期間，認證服務(wù)器可能花費較長的時間，來響應(yīng)從ap接收的消息。例如，認證服務(wù)器可以物理地位于遠離該ap的位置，所以這種延遲可能歸因于回程鏈路速度。再舉一個例子，認證服務(wù)器可能在處理由sta和/或ap發(fā)起的很大數(shù)量的認證請求(例如，在密集區(qū)域中可能存在很大數(shù)量的sta(如，在火車120上)，這些sta中的每一個都在嘗試建立連接)。因此，這種延遲可以歸因于認證服務(wù)器上的負載(例如，業(yè)務(wù))。

由于歸因于認證服務(wù)器的這種延遲，sta可能在較長的一段時間都在空閑。

圖2示出了可以在圖1的無線網(wǎng)絡(luò)100中使用的無線設(shè)備202的示例性功能框圖。無線設(shè)備202是可以被配置為實現(xiàn)本文所描述的各種方法的設(shè)備的例子。例如，無線設(shè)備202可以包括圖1中的設(shè)備104或106里的一個。

無線設(shè)備202可以包括處理器204，后者控制無線設(shè)備202的操作。處理器204還可以稱作為中央處理單元(cpu)?？梢园ㄖ蛔x存儲器(rom)和隨機存取存儲器(ram)二者的存儲器206，可以向處理器204提供指令和數(shù)據(jù)。存儲器206的一部分還可以包括非易失性隨機存取存儲器(nvram)。處理器204通常基于存儲在存儲器206中的程序指令來執(zhí)行邏輯和算術(shù)運算。存儲器206中的指令可以是可執(zhí)行的以用于實現(xiàn)本文所描述的方法。

處理器204可以包括或者可以是使用一個或多個處理器實現(xiàn)的處理系統(tǒng)的組件。所述一個或多個處理器可以使用下面的任意組合來實現(xiàn)：通用微處理器、微控制器、數(shù)字信號處理器(dsp)、現(xiàn)場可編程門陣列(fpga)、可編程邏輯器件(pld)、控制器、狀態(tài)機、門控邏輯、分離硬件組件、專用硬件有限狀態(tài)機、或者可以執(zhí)行計算或者信息的其它操作的任何其它適當(dāng)實體。

此外，該處理系統(tǒng)還可以包括用于存儲軟件的機器可讀介質(zhì)。軟件應(yīng)當(dāng)被廣泛地解釋為意味著任何類型的指令，無論是稱為軟件、固件、中間件、微代碼、硬件描述語言、還是其它術(shù)語。指令可以包括代碼(例如，具有源代碼格式、二進制代碼格式、可執(zhí)行代碼格式、或者任何其它適當(dāng)?shù)拇a格式)。當(dāng)這些指令由所述一個或多個處理器執(zhí)行時，致使處理系統(tǒng)執(zhí)行本文所描述的各種功能。

無線設(shè)備202還可以包括殼體208，后者可以包括發(fā)射機210和/或接收機212，以便允許在無線設(shè)備202和遠程位置之間進行數(shù)據(jù)的發(fā)送和接收?？梢詫l(fā)射機210和接收機212組合到收發(fā)機214中?？梢詫⑻炀€216連接到殼體208和電耦合到收發(fā)機214。此外，無線設(shè)備202還可以包括(沒有示出)多個發(fā)射機、多個接收機、多個收發(fā)機和/或多付天線。

此外，無線設(shè)備202還可以包括信號檢測器218，后者可以用于盡力檢測和量化由收發(fā)機214所接收的信號的電平。信號檢測器218可以檢測諸如總能量、每子載波每符號的能量、功率譜密度之類的信號和其它信號。此外，無線設(shè)備202還可以包括用于對信號進行處理的數(shù)字信號處理器(dsp)220。dsp220可以被配置為生成用于傳輸?shù)姆纸M。在一些方面，該分組可以包括物理層數(shù)據(jù)單元(ppdu)。

此外，在一些方面，無線設(shè)備202還可以包括用戶接口222。用戶接口222可以包括鍵盤、麥克風(fēng)、揚聲器和/或顯示器。用戶接口222可以包括用于向無線設(shè)備202的用戶傳送信息和/或從用戶接收輸入的任何元件或者組件。

可以通過總線系統(tǒng)226將無線設(shè)備202的各個組件耦合在一起。例如，總線系統(tǒng)226可以包括數(shù)據(jù)總線，以及除了數(shù)據(jù)總線之外，還可以包括電源總線、控制信號總線和狀態(tài)信號總線。本領(lǐng)域普通技術(shù)人員應(yīng)當(dāng)理解，無線設(shè)備202的組件可以耦合在一起，或者使用某種其它機制來彼此之間接受輸入或者提供輸入。

雖然在圖2中示出了多個單獨的組件，但本領(lǐng)域普通技術(shù)人員應(yīng)當(dāng)認識到，可以對這些組件中的一個或多個進行組合或者共同地實現(xiàn)。例如，處理器204可以用于不僅實現(xiàn)上面參照處理器204所描述的功能，還可以實現(xiàn)上面參照信號檢測器218和/或dsp220所描述的功能。此外，可以使用多個單獨的元件來實現(xiàn)圖2中所示出的組件里的每一個。

無線設(shè)備202可以包括圖1中所示出的無線設(shè)備里的任何一個，可以用于發(fā)送和/或接收通信。也就是說，無線設(shè)備104或106中的任何一個可以用作發(fā)射機或者接收機設(shè)備。某些方面預(yù)期在存儲器206和處理器204上運行的軟件使用信號檢測器218，來檢測發(fā)射機或者接收機的存在。

如上所述，諸如無線設(shè)備202之類的無線設(shè)備可以被配置為在諸如無線通信系統(tǒng)100之類的無線通信系統(tǒng)中提供服務(wù)。

圖3示出了可擴展認證協(xié)議(eap)完全認證過程(eap)302(例如，如ietfrfc2284中所規(guī)定的，以引用方式將其全部內(nèi)容并入本文)和再認證過程(eap-rp)304(例如，如ietfrfc6696中所規(guī)定的，以引用方式將其全部內(nèi)容并入本文)的消息流。在一些方面，完全eap認證302包括：站106從eap認證器接收eap請求/身份消息306a。在一些方面，eap認證器308可以是接入點或者無線lan控制器。響應(yīng)于來自認證器的該觸發(fā)，sta106可以通過發(fā)送eap發(fā)起/再認證消息來發(fā)起erp交換，其中eap發(fā)起/再認證消息可以包括在消息流314中。

在所示出的實施例中，認證服務(wù)器312可以包括er服務(wù)器(沒有示出)，后者是與as服務(wù)器不同的邏輯實體。在eap完全認證期間，認證服務(wù)器312可以生成下面中的一個或多個：主會話密鑰(msk)、擴展主會話密鑰(emsk)、再認證根密鑰(rrk)和再認證完整性密鑰(rik)。例如，rrk和rik可以發(fā)送給er服務(wù)器，在所示出的實施例中，er服務(wù)器與認證服務(wù)器312并置在一起。

當(dāng)完全eap認證已經(jīng)完成時，認證服務(wù)器312可以經(jīng)由消息316，向sta106發(fā)送eap成功狀態(tài)。此外，還可以在消息316中，向sta106提供主會話密鑰(msk)。

隨后，站106可以執(zhí)行與第二認證器310的eap再認證過程(eap-rp)304。在一些方面，第二認證器310可以是第二接入點。在一些方面，第二認證310可以是無線lan控制器。站106可以經(jīng)由eap認證器310，向認證服務(wù)器312發(fā)送可擴展認證協(xié)議再認證請求318。在一些方面，可擴展認證協(xié)議再認證請求318可以從一個設(shè)備軟“中繼”到另一個設(shè)備，以便形成第二可擴展認證協(xié)議再認證請求318。在一些方面，在這兩個消息之間可能存在一些差異，但這兩個消息中的每一個都將充當(dāng)eap再認證發(fā)起消息。在一些方面，認證服務(wù)器312可以生成再認證主會話密鑰(rmsk)，并經(jīng)由eap認證器310，向sta106發(fā)送eap再認證完成消息320?？梢越?jīng)由消息320，將rmsk提供給eap認證器310。在一些方面，消息320可以被認為是可擴展認證協(xié)議再認證響應(yīng)消息。應(yīng)當(dāng)注意，消息320可以從eap認證服務(wù)器312“中繼”到eap認證器310、到eap認證器308。因此，消息320可以認為是兩個設(shè)備(例如，認證服務(wù)器312和eap認證器310)之間的第一可擴展認證協(xié)議再認證響應(yīng)消息，兩個其它設(shè)備(例如，eap認證器310和eap認證器308)之間的第二可擴展認證協(xié)議再認證響應(yīng)消息。

sta106可以單獨地推導(dǎo)rmsk。

圖4示出了快速基本服務(wù)集(bss)轉(zhuǎn)換(ft)認證和再認證過程400。首先，sta106可以經(jīng)由消息流406，與第一接入點104a執(zhí)行成功的會話建立和數(shù)據(jù)傳輸。在一些方面，消息流406可以包括無線lan控制器402和/或認證服務(wù)器404(沒有示出)，但可以不包括第二接入點104b。在一些方面，無線lan控制器402還可以稱為移動域控制器。

在sta106與第一接入點104a的快速基本服務(wù)集認證期間，認證服務(wù)器404可以向無線lan控制器402提供主會話密鑰(msk)。根據(jù)該主會話密鑰，無線lan控制器可以推導(dǎo)快速基本服務(wù)集轉(zhuǎn)換第一層級成對主密鑰。根據(jù)第一層級pmk，可以推導(dǎo)一個或多個快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰，如圖4中示出成pmk1。隨后，可以將pmk1提供給第一接入點104a。第一接入點104a可以使用由wlc402提供的pmk1，與sta106進行安全關(guān)聯(lián)。例如，可以使用根據(jù)由wlc402所提供的pmk1所導(dǎo)出的密鑰(即，ptk)，對第一接入點104a和sta106之間的通信進行加密。

隨后，sta106可能移入到第二接入點104b的范圍之內(nèi)。隨后，sta106可以向第二接入點104b發(fā)送802.11認證請求408。作為響應(yīng)，ap104b可以向無線lan控制器402發(fā)送密鑰請求消息409a。無線lan控制器402經(jīng)由密鑰響應(yīng)消息409b，向第二接入點提供第二快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰(pmk2)。在一些方面，消息409b之前可以不具有顯式的密鑰請求消息409a，并且其可以稱為密鑰消息。密鑰響應(yīng)消息409b(即使其之前具有密鑰請求消息409a)也可以稱為密鑰消息。第二接入點104b可以使用第二快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰(pmk2)來推導(dǎo)ptk2，并使用ptk2，對sta106和第二接入點104b之間的通信進行加密。隨后，ap104b向sta106發(fā)送802.11認證響應(yīng)消息410。此外，sta106還可以經(jīng)由重新關(guān)聯(lián)請求/答復(fù)消息412/414，與第二接入點104b執(zhí)行重新關(guān)聯(lián)。

圖5是示出在認證方法的一個實施例中，在網(wǎng)絡(luò)設(shè)備組件之間的消息流的視圖。圖5示出了包括認證服務(wù)器501的歸屬域502，以及兩個移動域505a和505b。在每一個移動域505a-b中，分別存在兩個接入點ap104a-b和ap104c-d。此外，每一個移動域505a-b還包括無線lan控制器(wlc)506a-b。無線lan控制器506a-b還可以稱為移動域控制器。wlc的506a-b還可以稱為“r0密鑰持有者”。在圖5的底部示出的sta106可以從圖的左側(cè)移動到右側(cè)。隨著sta106移動，其可以向ap104a進行認證，隨后向ap104b進行認證，隨后向ap104c進行認證，并隨后向ap104d進行認證。

認證消息交換515a可以執(zhí)行完全eap認證，如圖3中所示。使用完全eap認證，由sta106發(fā)起的認證將造成與認證服務(wù)器501交換消息。例如，認證服務(wù)器501可以生成主會話密鑰(msk1)，并向wlc506a提供msk1。隨后，wlc506a可以基于msk1來推導(dǎo)成對主密鑰(pmk)，并向ap104a提供該pmk(該密鑰在圖5中示出成pmk-r1-1)。在一些方面，提供給ap104a的pmk，還可以是基于ap104a的特性(例如，ap104a的媒體訪問控制(mac)地址)來推導(dǎo)的。

隨后，sta106可以經(jīng)由認證消息交換515b，向ap104b進行認證。由于ap104b與ap104a位于相同的移動域中，因此sta106可以(經(jīng)由來自ap104b的信標(biāo)消息)確定其不需要向ap104b執(zhí)行完全eap認證，而是可以替代地基于在wlc506a處存儲的主會話密鑰(msk1)來執(zhí)行認證。該認證可以是基于msk1，這是由于其是基于從msk1推導(dǎo)的pmk-r0。

在一些方面，作為認證消息交換515b的一部分，sta106執(zhí)行快速基本服務(wù)集轉(zhuǎn)換認證，上面參照圖4示出了其的一個例子。當(dāng)sta106向ap104b進行認證時，該認證不需要wlc506a與認證服務(wù)器501交換消息。事實上，wlc506a基于當(dāng)sta106向ap104a進行認證時，由認證服務(wù)器501所提供的第一主會話密鑰(msk1)，來推導(dǎo)第二pmk，其在圖5中示出成pmk-r1-2。此外，在一些方面，還可以基于ap104b的一個或多個特性(例如，ap104b的mac地址)，來推導(dǎo)第二pmkpmk-r1-2。由于當(dāng)sta106向ap104b進行認證時，不需要與認證服務(wù)器501交換消息，因此與認證消息交換515a相比，可以更快速地發(fā)生認證消息交換515b。另外，相對于在sta106每一次向新的接入點進行認證時，都需要向認證服務(wù)器501進行認證的解決方案相比，減少了認證服務(wù)器501上的負載。

隨后，sta106可以移動到某個位置，使得ap104b在范圍之外，sta106可以經(jīng)由消息交換515c，向ap104c進行認證。在ieee802.11r中，隨后sta106將執(zhí)行另一個完全eap認證(作為消息交換515c的一部分)，這是由于ap104c位于與ap104a(其處于移動域505a中)不同的移動域(505b)中。在該完全eap認證期間，認證服務(wù)器501生成新的主會話密鑰(msk2)，并向無線lan控制器(wlc)506b發(fā)送msk2。隨后，wlc506b基于該msk2(此外在一些方面，還基于ap104c的一個或多個特性)來生成pmk。當(dāng)sta106再次移動并與ap104d進行連接時，由于ap104d與ap104c位于相同的移動域中，因此sta106可以經(jīng)由消息交換515d來執(zhí)行認證。在一些方面，消息交換515d執(zhí)行快速基本服務(wù)集轉(zhuǎn)換認證，上面參照圖4示出了其的一個例子。在該認證期間，wlc506b可以基于從認證服務(wù)器501接收的先前推導(dǎo)的msk2，來生成新的pmk(pmk-r1-4)。由于msk2可以存儲在wlc506b處，因此可以在無需與認證服務(wù)器501進行通信的情況下發(fā)生該認證。

圖6示出了在認證過程的另一個實施例期間，在無線網(wǎng)絡(luò)組件之間的消息流。圖6示出了歸屬域602和兩個移動域605a-b。歸屬域602包括認證服務(wù)器601。移動域605a-b中的每一個移動域包括eap再認證服務(wù)器或者本地er服務(wù)器606a-b。此外，設(shè)備606a-b還可以稱為移動域控制器。移動域605a-b中的每一個移動域分別包括兩個接入點ap104e-f和ap104g-h。

類似于圖5，在圖6中，sta106首先經(jīng)由消息交換615a，向ap104e進行認證。作為消息交換615a的一部分，該第一認證向認證服務(wù)器601執(zhí)行擴展認證協(xié)議再認證協(xié)議(eap-rp)認證。例如，sta106可以向ap104e發(fā)送eap發(fā)起/再認證消息。在sta106和認證服務(wù)器601之間的交換期間，ap104e可以執(zhí)行中繼服務(wù)。當(dāng)認證服務(wù)器601接收到eap發(fā)起/再認證消息時，認證服務(wù)器601(其在初始的完全eap認證之后立即執(zhí)行)，認證服務(wù)器601生成再認證根密鑰(rrk1)或者特定于域的根密鑰(dsrk1)，并向本地er服務(wù)器606a提供rrk1或者dsrk1。隨后，本地er服務(wù)器606a根據(jù)dsrk1或者rrk1來推導(dǎo)再認證主會話密鑰(rmsk1)，并向ap104e提供rmsk1。在一些方面，如rfc6696中所描述的，可以經(jīng)由eap完成再認證消息，向sta106提供該信息。

隨后，ap104e使用rmsk1，執(zhí)行與sta106的通信。隨后，sta106可能移出ap104e的范圍，并經(jīng)由消息交換615b來向ap104f進行認證。由于本地er服務(wù)器606a存儲了sta106第一次向ap104e進行認證時的rrk1，因此經(jīng)由消息交換615b發(fā)生的第二(eap-rp)認證，可以不需要與認證服務(wù)器601進行通信。替代地，本地er服務(wù)器606a可以根據(jù)特定于域的根密鑰(dsrk1)或者再認證根密鑰rrk1來推導(dǎo)第二再認證主會話密鑰(rmsk2)，并向ap104f提供該rmsk2。隨后，ap104f可以基于該rmsk2，與sta106進行通信。

隨后，sta106可以進行移動，使得其不再位于ap104f的范圍之內(nèi)。隨后，sta106使用eap-rp，向ap104g進行認證。由于本地er服務(wù)器606b不具有與該sta106相關(guān)聯(lián)的密鑰，因此本地er服務(wù)器606b與認證服務(wù)器601進行通信，以獲得用于該站106的再認證根密鑰rrk2或者特定于域的根密鑰dsrk2。隨后，本地er服務(wù)器606b推導(dǎo)用于sta106的再認證主會話密鑰(rmsk3)，并向ap104g提供該密鑰，其中ap104g使用該rmsk3密鑰與sta106進行通信。

隨后，sta106向ap104h進行認證。由于本地er服務(wù)器606b具有與sta106相關(guān)聯(lián)的密鑰(即，rrk2)，因此本地er服務(wù)器606b基于從認證服務(wù)器601接收的密鑰(dsrk2或者rrk2)來推導(dǎo)新的再認證主會話密鑰(rmsk4)，以便在sta106和ap104h之間進行使用。隨后，ap104h使用rmsk4與sta106進行通信。

圖7示出了在認證過程的另一個實施例中，在無線網(wǎng)絡(luò)組件之間的消息流。通信系統(tǒng)700包括歸屬域702和兩個移動域705a-b。在歸屬域中，存在認證服務(wù)器701。在移動域705a-b中的每一個移動域之內(nèi)，分別存在本地er服務(wù)器706a-b。此外，設(shè)備706a-b還可以稱為移動域控制器。在一些方面，本地er服務(wù)器706a-b中的任意一個可以是圖2的設(shè)備202。此外，每一個移動域705a-b還分別包括兩個接入點ap104i-j和ap104k-l。在圖7中，如ieee802.11r規(guī)范中所描述的，本地er服務(wù)器706a-b還可以執(zhí)行與r0密鑰持有者設(shè)備相關(guān)聯(lián)的功能。

類似于參照圖6所描述的認證方法，認證服務(wù)器701分別向本地er服務(wù)器706a和706b提供再認證根密鑰rrk1和rrk2或者特定于域的根密鑰dsrk1和dsrk2。這些密鑰可以是響應(yīng)于經(jīng)由連接到本地er服務(wù)器706a和706b中的每一個的接入點(連接到706a(ap104i-j)和連接到706b(ap104k-l))的sta106認證來提供的。

圖7示出了在移動站sta106和ap104i之間的第一認證消息交換715a。在一些方面，該認證消息交換可以使用第一認證協(xié)議，例如，eap再認證(eap-rp)認證協(xié)議。在一些方面，本地er服務(wù)器706a-b可以基于由認證服務(wù)器701提供的密鑰(例如，如圖7中所示出的rrk1/rk2或者dsrk1/dsrk2)，生成再認證主會話密鑰(rmsk)。隨后，可以使用該再認證主會話密鑰來生成向接入點ap104i-l提供的pmk。例如，當(dāng)sta106經(jīng)由認證消息交換715a、經(jīng)由ap104i來認證時，本地er服務(wù)器706a可以根據(jù)從認證服務(wù)器701接收的再認證根密鑰rrk1，來推導(dǎo)第一再認證主會話密鑰(rmsk1)。在一些方面，本地er服務(wù)器706a可以基于再認證主會話密鑰rmsk1，來生成第一pmk。在一些方面，該第一pmk是ieee802.11快速bss轉(zhuǎn)換(ft)第一層級pmk(例如，pmk-r0)。隨后，本地er服務(wù)器706a可以基于rmsk1，生成第二pmk(例如，如圖7中所示的pmk-r1-1)。在一些方面，pmk-r1的生成可以是另外地基于ap104i的一個或多個特性(例如，其媒體訪問控制地址)和/或sta106的特性(例如，其mac地址)。此外，本地er服務(wù)器706a還可以響應(yīng)于經(jīng)由ap104j的來自于sta106的認證消息交換715b，還基于rmsk1，生成第二pmk(在圖7中示出成pmk-r1-2)。認證消息交換715b可以包括從sta106到ap104j的第二認證協(xié)議再認證請求。

在一些方面，認證消息交換715a是eap-rp交換，認證消息交換715b是快速bss轉(zhuǎn)換(ft)認證。當(dāng)ap104j從sta106接收到第二認證協(xié)議再認證請求時，其可以從本地er服務(wù)器706a請求密鑰。響應(yīng)于接收到該密鑰請求，本地er服務(wù)器706a可以生成第二pmkrmk-r1-2。替代地，本地er服務(wù)器706a可以在eap-rp再認證期間或者響應(yīng)于eap-rp再認證，前攝性地生成用于ap104j的pmk。在一些實施例中，可以前攝性地向ap104j發(fā)送用于ap104j的pmk-r1，使得當(dāng)與sta106發(fā)生認證消息交換715b時，ap104j已經(jīng)具有可用于結(jié)合該sta106使用的pmk-r1。

消息交換715c可以是sta106和ap104k之間的eap-rp再認證。eap-rp再認證可以被傳送通過ap104k，使得sta106和本地er服務(wù)器706b交換eap-rp協(xié)議消息。認證消息交換715d可以使用第二認證協(xié)議，例如，快速bss轉(zhuǎn)換(ft)認證。在一些方面，在接收到作為第二認證協(xié)議的一部分的認證請求消息時，ap104l可以向本地er服務(wù)器706b發(fā)送用于請求在與sta106進行通信時使用的密鑰的消息。

如圖8中所示，在一些其它方面，上面所描述的本地er服務(wù)器706a-b的一些功能，可以由諸如本地er服務(wù)器806a-b和807a-b之類的多個設(shè)備來執(zhí)行。在這些方面中的一些，設(shè)備807a-b可以是上面在圖2中所示出的無線設(shè)備202。

在一些移動域中，諸如圖8中所示出的那些，本地er服務(wù)器806a-b和單獨的密鑰持有者設(shè)備807a-b可以用于執(zhí)行無線設(shè)備(例如，無線設(shè)備sta106)的認證。設(shè)備807a-b還可以稱為移動域控制器。例如，在一些方面，本地er服務(wù)器可以推導(dǎo)再認證主會話密鑰(例如，上面所討論的rmsk1和/或rmsk2)，并將這些密鑰提供給“r0密鑰持有者”設(shè)備807a-b。隨后，r0密鑰持有者設(shè)備807a-b可以基于該再認證主會話密鑰，來生成用于接入點的pmk。例如，圖8示出了密鑰持有者設(shè)備807a向ap104i提供pmk-r1-1。密鑰持有者設(shè)備807a可以基于由本地er服務(wù)器806a提供的rmsk1，來推導(dǎo)pmk-r1-1。在一些方面，可以首先根據(jù)再認證主會話密鑰(rmsk1或者rmsk2)來推導(dǎo)中間pmk(例如，pmk-r0)，隨后根據(jù)該pmk-r0來推導(dǎo)pmk-r1。

返回到圖7的描述，sta106與ap104i發(fā)生經(jīng)由認證消息交換715a的第一認證(圖4)。該認證可以相應(yīng)地使用認證服務(wù)器701來執(zhí)行，在一些方面，該認證可以使用擴展認證協(xié)議再認證協(xié)議(eap-rp)?？梢栽跓o需聯(lián)系認證服務(wù)器701的情況下，執(zhí)行經(jīng)由認證消息交換715b來執(zhí)行的第二認證。例如，由于本地er服務(wù)器706a(或者圖8的密鑰持有者設(shè)備)已存儲了再認證主會話密鑰rmsk1，因此可以在無需與認證服務(wù)器701進行通信的情況下，生成用于ap104j的pmk-r1-2。

當(dāng)sta106經(jīng)由消息交換715c來向ap104k進行認證時，可以與認證服務(wù)器701執(zhí)行eap再認證(eap-rp)。sta106可以至少部分地基于確定ap104k與ap104j處于不同的移動域中，確定要執(zhí)行eap-rp。可以經(jīng)由ap104j和ap104k所發(fā)送的信標(biāo)信號，來提供該信息。此外，sta106還可以經(jīng)由ap104k所發(fā)送的信標(biāo)信號，確定其歸屬認證服務(wù)器701可經(jīng)由ap104k來訪問。經(jīng)由消息交換715c發(fā)生的eap再認證，可以致使歸屬認證服務(wù)器701向本地er服務(wù)器706b提供再認證根密鑰rrk2。本地er服務(wù)器706b根據(jù)該再認證根密鑰rrk2，推導(dǎo)再認證主會話密鑰rmsk2。隨后，基于該rmsk2來推導(dǎo)pmk-r1-3(在一些方面，經(jīng)由諸如pmk-r0之類的中間成對主密鑰)。隨后，該pmk-r1-3用于ap104k和sta106之間的通信。

當(dāng)sta106經(jīng)由認證消息交換715d來向ap104l進行認證時，本地er服務(wù)器706b(或者圖8中的密鑰持有者設(shè)備807b)可以從ap104l接收密鑰請求消息，該消息請求在sta106和ap104l之間的通信中使用的密鑰。由于本地er服務(wù)器706b已存儲了rmsk2，因此其可以推導(dǎo)在ap104l和sta106之間的通信中使用的pmk-r1-4，并向ap104l發(fā)送包括該pmk-r1-4的密鑰響應(yīng)消息。

在圖8中，如上面參照圖3所討論的，消息交換815a可以執(zhí)行可擴展認證協(xié)議再認證協(xié)議(eap-rp)認證。在一些方面，消息交換815b可以執(zhí)行快速基本服務(wù)集轉(zhuǎn)換(ft)認證，如上面參照圖4所討論的。類似地，消息交換815c可以執(zhí)行eap-rp認證，而消息交換815d執(zhí)行ft認證。

類似于參照圖7所討論的消息傳送，響應(yīng)于ap104j和/或ap104l與sta106執(zhí)行快速基本服務(wù)集轉(zhuǎn)換認證，ap104j和/或ap104l可以分別向r0密鑰持有者設(shè)備807a和/或807b發(fā)送密鑰請求消息。響應(yīng)于該密鑰請求消息，ap104j和/或ap104l可以生成pmk-r1-2和/或pmk-r1-4，并經(jīng)由密鑰響應(yīng)消息，將這些pmk發(fā)送給ap。替代地，當(dāng)從本地er服務(wù)器806a-b相應(yīng)地接收到再認證主會話密鑰時，r0密鑰持有者設(shè)備807a-b可以前攝性地向ap發(fā)送pmk-r1。

使用圖8中所示出的認證方法800，單個本地er服務(wù)器(例如，本地er服務(wù)器806a-b)可以支持多個移動域(即，諸如密鑰持有者設(shè)備807a-b之類的多個密鑰持有者設(shè)備)。

圖9示出了在認證過程的另一個實施例中，在無線網(wǎng)絡(luò)組件之間的消息流。在該認證方法900中，在移動域905a-b中，不存在本地er服務(wù)器。因此，替代于認證服務(wù)器901向本地er服務(wù)器提供再認證根密鑰(例如，如圖7或圖8中所示，其中，認證服務(wù)器701和801分別向本地er服務(wù)器806a-b提供再認證根密鑰rrk1和rrk2)，認證服務(wù)器901向密鑰持有者設(shè)備907a-b分別提供再認證主會話密鑰rmsk1和rmsk2。此外，密鑰持有者設(shè)備907a-b還可以稱為移動域控制器。在一些方面，密鑰持有者設(shè)備907a-b可以是圖2中所示出的無線設(shè)備202。隨后，密鑰持有者設(shè)備907a-b可以類似于上面參照圖8所描述的密鑰持有者設(shè)備807a-b進行操作。例如，消息交換915-a和915c中的每一個可以執(zhí)行eap-rp認證，而消息交換915-b和915d執(zhí)行快速基本服務(wù)集轉(zhuǎn)換(ft)認證。

在圖9中，消息交換915a可以執(zhí)行可擴展認證協(xié)議再認證協(xié)議(eap-rp)認證，如上面參照圖3所討論的。在一些方面，消息交換915b可以執(zhí)行快速基本服務(wù)集轉(zhuǎn)換(ft)認證，如上面參照圖4所討論的。類似地，消息交換915c可以執(zhí)行eap-rp認證，而消息交換915d執(zhí)行ft認證。

圖10是無線站106、兩個接入點ap104o-p、密鑰持有者設(shè)備(在該情況下，無線lan控制器807a)和本地er服務(wù)器(例如，圖7中的本地er服務(wù)器706a或706b)或者認證服務(wù)器(例如，認證服務(wù)器801或901中的任何一個)之間的消息序列圖。在一些方面，密鑰持有者設(shè)備可以是圖2的無線設(shè)備202。在一些方面，該密鑰持有者設(shè)備可以稱為移動域控制器。

在發(fā)生消息序列1000之前，sta106可以已在第一移動域中，向其歸屬認證服務(wù)器執(zhí)行了完全eap認證。ap104o可以位于與第一移動域不同的第二移動域之中。在一些方面，sta106可以經(jīng)由ap104o發(fā)送的信標(biāo)信號，確定ap104o處于第二移動域中。此外，sta106還可以確定其歸屬認證服務(wù)器可經(jīng)由ap104o來訪問。隨后，sta106向ap104o發(fā)送用于指示其歸屬認證服務(wù)器的eap再認證請求1002a。ap104o可以將eap再認證請求1002，作為消息1002b轉(zhuǎn)發(fā)給無線lan控制器(wlc)807a。wlc807a可以將eap再認證請求消息作為消息1002c，發(fā)送給本地er服務(wù)器或者由該eap再認證請求所指示的歸屬域認證服務(wù)器。

作為響應(yīng)，本地er服務(wù)器或者歸屬域認證服務(wù)器生成用于sta106的再認證主會話密鑰(rmsk)(示出成“rmsk”)，并向wlc807a發(fā)送再認證響應(yīng)1004a。wlc807a可以存儲該再認證主會話密鑰(rrk)。隨后，wlc807a基于該再認證主會話密鑰(rmsk)，生成成對主密鑰。此外，wlc807a還可以基于第一成對主密鑰，來生成第二成對主密鑰。在一些方面，第一成對主密鑰是pmk-r0，而第二成對主密鑰是pmk-r1。隨后，wlc607a向ap104o發(fā)送eap再認證響應(yīng)消息1004b。該再認證響應(yīng)消息1004b可以包括pmk(例如，pmk-r1)，后者是基于從本地er服務(wù)器或者歸屬域認證服務(wù)器接收的再認證主會話密鑰的。隨后，ap1040將該再認證作為消息1004c，轉(zhuǎn)發(fā)給sta106。

接著，sta106向ap104p發(fā)送快速基本服務(wù)集轉(zhuǎn)換(ft)認證消息。作為響應(yīng)，ap104p經(jīng)由密鑰請求消息1008，從wlc807a請求密鑰。隨后，wlc807a生成第二pmk，以用于由ap104p與sta106進行通信。可以基于sta106和/或ap104p的一個或多個屬性來生成該pmk。在密鑰響應(yīng)消息1010中，向ap104p發(fā)送該pmk(“pmk-r1-2”)。

在從wlc807a接收到pmk-r1-2之后，ap104p可以經(jīng)由消息1012，來完成與sta106的ft認證。

在一些其它方面，可以在接收到密鑰請求消息1008之前，由wlc807a前攝性地生成該“pmk-r1-2”。例如，可以在與sta106的eap-rp交換1002/1004期間，生成pmk-r1-2。在一些方面，甚至可以在sta106發(fā)送ft認證消息1006之前，由wlc807a將pmk-r1-2發(fā)送給接入點。

圖11示出了一種認證方法(例如，圖8-10中所示出的認證方法)中的密鑰分級結(jié)構(gòu)。圖11示出了根密鑰1102?？梢愿鶕?jù)根密鑰1102來推導(dǎo)主會話密鑰(msk)1104。可以根據(jù)主會話密鑰1104，來推導(dǎo)一個或多個導(dǎo)出的主會話密鑰(msk)1106。可以根據(jù)導(dǎo)出的主會話密鑰1106，來推導(dǎo)成對主密鑰(pmk)1108。

可以根據(jù)根密鑰1102，來推導(dǎo)擴展主會話密鑰(emsk)1110。在一些方面，emsk可以是至少64比特，并且可以按照rfc3748，由于sta和認證服務(wù)器之間的相互認證來推導(dǎo)。在一些方面，可以按照rfc5247，使用可擴展認證協(xié)議會話標(biāo)識符和二進制或者文本指示，來命名emsk?？梢曰诳蓴U展認證協(xié)議(eap)方法來規(guī)定會話標(biāo)識符(按照rfc5217附錄)。對于eap-tls(rfc5216)而言：

key_material＝tls-prf-128(rk,"clienteapencryption",client.random||server.random)(tls-prf-128產(chǎn)生1024比特輸出)

msk＝key_material(0,63)(即，key_material的高512比特)

emsk＝key_material(64,127)(即，key_material的低512比特)

session-id＝0x0d||client.random||server.random.

其中，client.random和server.random是在認證期間，在服務(wù)器(as)和客戶端(sta)之間交換的隨機數(shù)(每一個32b)，tls-prf-x輸出x個八位字節(jié)(即，8x比特)值，并在rfc4346中進行規(guī)定。

可以根據(jù)emsk1110來推導(dǎo)一個或多個特定于域的根密鑰(dsrk)1112。再認證根密鑰1114可以是根據(jù)特定于域的根密鑰1112中的一個來導(dǎo)出的。在一些方面，在rfc6696的4.1節(jié)中，詳細說明了再認證根密鑰1114的推導(dǎo)。例如，可以通過下式來規(guī)定再認證根密鑰：

rrk＝kdf(k,s),其中：

k＝emsk或者k＝dsrk并且

s＝rrklabel|"\0"|length

rrklabel是iana分配的8比特ascii字符串：根據(jù)在rfc5295中所陳述的策略，從"usrkkeylabels"命名空間中分配的eap再認證根密鑰@ietf.org。

密鑰推導(dǎo)函數(shù)(kdf)和用于kdf的算法敏捷性，如在rfc5295中所規(guī)定的。

可以根據(jù)再認證根密鑰1114，來推導(dǎo)再認證完整性密鑰1115。在一些方面，可以如rfc6696中所詳細說明地，來推導(dǎo)再認證根密鑰1114。例如，可以如下所述地推導(dǎo)rik：

rik＝kdf(k,s),其中

k＝rrk并且

s＝riklabel|"\0"|cryptosuite|length

riklabel是8比特ascii字符串：再認證完整性密鑰@ietf.org。length(長度)字段指代八位字節(jié)的rik的長度，并如rfc5295中所詳細說明地進行編碼。

可以根據(jù)再認證根密鑰1114，來推導(dǎo)一個或多個再認證主會話密鑰(rmsk)1116。在一些方面，可以根據(jù)rfc6696來推導(dǎo)rmsk。例如，可以如下所述地推導(dǎo)rmsk：

rmsk＝kdf(k,s),其中

k＝rrk并且

s＝rmsklabel|"\0"|seq|length

rmsklabel是8比特ascii字符串：再認證主會話密鑰@ietf.org。length(長度)字段指代八位字節(jié)的rmsk的長度，并如rfc5295中所詳細說明地進行編碼。

如上面參照圖8-10所討論的，可以根據(jù)再認證主會話密鑰1116來推導(dǎo)一個或多個成對主密鑰(pmk)1118。如圖11中所示，根據(jù)再認證主會話密鑰1116所導(dǎo)出的成對主密鑰是pmk-r0成對主密鑰?？梢愿鶕?jù)單個快速基本服務(wù)集轉(zhuǎn)換第一層級pmk1118，來推導(dǎo)一個或多個第二層級成對主密鑰1120。如圖11中所示，快速基本服務(wù)集轉(zhuǎn)換第二層級成對主密鑰1120是pmk-r1成對主密鑰。在上面所討論的密鑰推導(dǎo)中的任何一個中，可以將hmac-sha-256使用成缺省密鑰推導(dǎo)函數(shù)(kdf)。

圖12是一種對設(shè)備進行認證的方法的流程圖。在一些方面，方法1200可以由上面參照圖7-10所描述的無線lan控制器、移動域控制器和/或圖2的無線設(shè)備202來執(zhí)行。例如，方法1200可以由下面中的一個或多個來執(zhí)行：圖7的本地er服務(wù)器706a-b、圖8的本地er服務(wù)器806a-b和/或單獨的密鑰持有者設(shè)備807a-b、圖9的密鑰持有者設(shè)備907a-b、或者圖10的wlc807a。在一些方面，方法1200是由如在ieee802.11快速轉(zhuǎn)換密鑰持有者架構(gòu)中所規(guī)定的r0密鑰持有者設(shè)備來執(zhí)行的。

在一些方面，圖12可以提供兩種不同的認證協(xié)議之間的互操作性。例如，相對于第二認證協(xié)議，第一認證協(xié)議可以提供一些優(yōu)勢。在無線網(wǎng)絡(luò)中，可能廣泛地部署了第二認證協(xié)議。在整個網(wǎng)絡(luò)中廣泛地部署第一認證協(xié)議可能是成本高昂的，并且在完成部署使得可以完全利用第一認證協(xié)議之前，可能需要大量的時間。盡管相對于第一認證協(xié)議，第二認證協(xié)議可以提供一些優(yōu)勢，但廣泛地貫穿整個無線網(wǎng)絡(luò)來部署第二認證協(xié)議可能是昂貴的，并且可能無法在未來相當(dāng)長一段時間內(nèi)完成。下面所描述的方法1200可以允許一些實現(xiàn)方式利用第一認證協(xié)議的益處，其在于第一認證協(xié)議可能已經(jīng)廣泛地部署。

方法1200使用第一認證協(xié)議和第二認證協(xié)議二者來完成無線設(shè)備向兩個分別的接入點的認證。與唯一地使用第一認證協(xié)議來向兩個接入點認證第一無線設(shè)備的部署相比，通過使用經(jīng)由這兩種認證協(xié)議的混合認證方法，可以需要部署更少的第二認證協(xié)議來促進提高的效率。

在方框1205中，設(shè)備接收針對于第一無線設(shè)備的第一認證協(xié)議再認證響應(yīng)。在一些方面，從本地er服務(wù)器或者認證服務(wù)器接收該再認證響應(yīng)。在一些方面，第一認證協(xié)議是可擴展認證協(xié)議再認證協(xié)議(eap-rp)。在一些方面，該再認證響應(yīng)可以是如在一些方面中在rfc6696中所規(guī)定的eap完成/再認證分組。

再認證響應(yīng)包括再認證主會話密鑰(rmsk)?？梢詮脑僬J證響應(yīng)中解碼再認證主會話密鑰。再認證主會話密鑰可以是根據(jù)再認證根密鑰來推導(dǎo)的。例如，如圖11中所示，rmsk1116可以是根據(jù)再認證根密鑰rrk1114來推導(dǎo)的。

在一些方面，在方框1205中從er服務(wù)器或者認證服務(wù)器接收的再認證響應(yīng)，是對于由該設(shè)備向本地er服務(wù)器或者認證服務(wù)器發(fā)送的第一認證協(xié)議再認證請求的響應(yīng)。在一些方面，該再認證請求消息可以是如rfc6696中所描述的eap發(fā)起/再認證分組。設(shè)備可以從第一接入點接收針對該無線設(shè)備的再認證請求。隨后，設(shè)備可以將從第一接入點接收的再認證請求，中繼到本地er服務(wù)器或者由該請求所指示的歸屬認證服務(wù)器。

在一些方面，設(shè)備基于在再認證響應(yīng)中包括的再認證主會話密鑰，生成第一成對主密鑰(pmk)。在一些方面，第一pmk是ieeepmk-r0，在一些方面，其是802.11快速基本服務(wù)集轉(zhuǎn)換密鑰分級結(jié)構(gòu)中的第一層級密鑰。隨后，可以基于第一pmk來生成第二成對主密鑰(pmk)。在一些方面，該第二pmk是快速轉(zhuǎn)換密鑰持有者架構(gòu)的第二層級pmk(即，pmk-r1)。在一些方面，第二pmk是基于該無線設(shè)備和/或第一接入點的一個或多個特性來生成的。在一些方面，方框1205可以由無線設(shè)備202的接收機212來執(zhí)行。

在方框1210中，第一認證協(xié)議再認證響應(yīng)被發(fā)送給第一接入點。在一些方面，該再認證響應(yīng)可以是如ietfrfc6696中所描述的eap完成/再認證分組。第一認證協(xié)議再認證響應(yīng)是基于再認證主會話密鑰(rmsk)，例如，該響應(yīng)可以包括或者以其他方式指示該rmsk或者根據(jù)該rmsk所導(dǎo)出的數(shù)據(jù)。在一些方面，第一認證協(xié)議再認證響應(yīng)是基于再認證主會話密鑰，這是由于其包括如上所討論的根據(jù)另一個pmk(例如，ieee802.11快速bss轉(zhuǎn)換(ft)第一層級pmk(如，pmk-r0))所導(dǎo)出的pmk(例如，第二層級pmk(即，pmk-r1))，其中所述另一個pmk是根據(jù)再認證主會話密鑰來導(dǎo)出的。在一些方面，方框1210可以由無線設(shè)備202的發(fā)射機210來執(zhí)行。

在一些方面，從第二接入點接收針對第二接入點和無線設(shè)備之間的通信的密鑰請求消息。在這些方面中的一些，該密鑰請求消息是響應(yīng)于第二接入點接收到針對該無線設(shè)備的第二認證協(xié)議認證請求而接收的。在一些方面，第二認證協(xié)議請求是ieee802.11快速基本服務(wù)集(bss)轉(zhuǎn)換(ft)認證請求，例如，如上面參照圖4所描述的。在一些方面，第二認證協(xié)議是使用開放系統(tǒng)認證算法的ieee802.11認證。在一些其它方面，第二認證協(xié)議認證是使用相等的同時認證(sae)的ieee802.11認證。

在方框1220中，生成成對主密鑰(pmk)。在方框1220中生成的pmk可以是基于：從第一認證協(xié)議認證響應(yīng)中解碼的再認證主會話密鑰(rmsk)，該第一認證協(xié)議認證響應(yīng)是在方框1205中從er(或認證)服務(wù)器接收的。在一些方面，該pmk還是基于該無線設(shè)備和/或第二接入點的一個或多個屬性來生成的。例如，如上面所討論的，可以基于再認證主會話密鑰(rmsk)來生成ieee802.11快速bss轉(zhuǎn)換(ft)第一層級pmk(即，pmk-r0)。在方框1220中生成的pmk可以是基于上面所討論的pmk-r0(其是基于再認證主會話密鑰)。因此，在方框1220中生成的pmk可以認為是第二層級pmk，這是由于其是基于ieee802.11快速bss轉(zhuǎn)換(ft)第一層級pmk來生成的。在一些方面，在方框1220中生成的pmk可以是ieee802.11快速bss轉(zhuǎn)換(ft)第二層級pmk(例如，pmk-r1)。盡管圖12將方框1220中生成的pmk指代成第一pmk(參照上面通過方框1205-1210所討論的pmk)，但其可以是第三pmk。在一些方面，可以根據(jù)ieee802.11r協(xié)議標(biāo)準(zhǔn)，來生成上面所討論的pmk。在一些方面，方框1220可以由無線設(shè)備202的處理器204來執(zhí)行。

在方框1225中，生成密鑰消息以包括在方框1220中生成的pmk。在一些方面，方框1225可以由無線設(shè)備202的處理器204來執(zhí)行。

在方框1230中，向第二接入點發(fā)送該密鑰消息。在方框1225中生成的pmk，用于在該無線設(shè)備和第二接入點之間的通信。例如，可以使用該pmk，對在第二接入點和該無線設(shè)備之間發(fā)送的數(shù)據(jù)進行加密。

響應(yīng)于接收到包括用于第二接入點的pmk的密鑰消息，第二接入點可以完成與第一無線設(shè)備的第二認證協(xié)議。在一些方面，完成第二認證協(xié)議包括：向第一無線設(shè)備發(fā)送快速基本服務(wù)集(bss)轉(zhuǎn)換(ft)認證響應(yīng)。在一些方面，第二認證協(xié)議是使用開放系統(tǒng)認證算法或者sae的ieee802.11認證響應(yīng)。在一些方面，方框1230可以由無線設(shè)備202的發(fā)射機210來執(zhí)行。

圖13是一種由設(shè)備在網(wǎng)絡(luò)上進行認證的方法的流程圖。在一些方面，處理1300可以由上面所描述的站106來執(zhí)行。在一些方面，處理1300可以提供兩種不同的認證協(xié)議之間的互操作性。例如，相對于第二認證協(xié)議，第一認證協(xié)議可以提供一些優(yōu)勢。在無線網(wǎng)絡(luò)中，可能廣泛地部署了第二認證協(xié)議。在整個網(wǎng)絡(luò)中廣泛地部署第一認證協(xié)議可能是成本高昂的，在完成部署使得可以完全利用第一認證協(xié)議之前，可能需要大量的時間。盡管相對于第一認證協(xié)議，第二認證協(xié)議可以提供一些優(yōu)勢，但廣泛地貫穿整個無線網(wǎng)絡(luò)來部署第二認證協(xié)議可能是昂貴的，并且可能無法在未來相當(dāng)長一段時間內(nèi)完成。下面所描述的處理1300可以允許一些實現(xiàn)方式利用第一認證協(xié)議的益處，其在于第一認證協(xié)議可能已經(jīng)廣泛地部署。

如上面所討論的，在一些方面，從第一接入點移動到第二接入點的站可以保持在相同的移動域中，例如，在第一接入點和第二接入點是同一移動域的部分的情況下。當(dāng)發(fā)生這種情形時，對于該站來說有可能在無需執(zhí)行完全eap認證的情況下，向第二接入點進行認證。替代地，如果兩個接入點位于相同的移動域中，則站可以使用802.11快速bss轉(zhuǎn)換認證來進行認證。

處理1300使用第一認證協(xié)議和第二認證協(xié)議二者來完成無線設(shè)備向兩個分別的接入點的認證。與唯一地使用第一認證協(xié)議來向兩個接入點認證第一無線設(shè)備的部署相比，通過使用經(jīng)由這兩種認證協(xié)議的混合認證方法，可以需要部署更少的第二認證協(xié)議來促進提高的效率。

在方框1305中，認證設(shè)備在網(wǎng)絡(luò)上從第一接入點接收消息。該消息可以指示由第一接入點所支持的一個或多個認證協(xié)議。例如，在一些方面，在該消息中包括的能力列表可以指示第一接入點是否支持第一認證協(xié)議和/或第二認證協(xié)議。例如，該消息可以指示第一接入點是否支持ieee802.11快速bss轉(zhuǎn)換(ft)認證，和/或第一接入點是否支持eap(其包括eap-rp)認證。在一些方面，方框1305可以由接收機212和/或處理器204來執(zhí)行。

在方框1310中，認證設(shè)備基于在方框1310中接收的消息，做出是經(jīng)由第一認證協(xié)議還是第二認證協(xié)議來向第一接入點進行認證的判斷。在一些方面，認證設(shè)備可以對所發(fā)現(xiàn)的該接入點支持的認證方法劃分優(yōu)先級。在一些方面，如果支持第一認證協(xié)議，則設(shè)備可以選擇第一認證協(xié)議。在一些其它實現(xiàn)中，該優(yōu)先級劃分可以是不同的，而在相同的情形下，支持第二認證協(xié)議。

在一些方面，所述網(wǎng)絡(luò)消息可以指示移動域標(biāo)識符，該移動域標(biāo)識符指示第一接入點與哪個移動域相關(guān)聯(lián)。此外，方框1310的一些方面還包括：向第二接入點進行認證，以及從第二接入點接收用于指示第二接入點的第二移動域標(biāo)識符的消息。在一些方面，認證設(shè)備還向第二接入點進行認證。隨后，認證設(shè)備可能移動物理位置，并且向第一接入點進行認證。在一些方面，如果第一接入點的移動域(其中，認證設(shè)備在先前向第二接入點進行認證之后，與第一接入點進行通信)處于與第二接入點不同的第二移動域中，則該設(shè)備可以確定執(zhí)行與第一接入點的eap-rp認證。

相比而言，如果這兩個接入點的移動域是相同的，則認證設(shè)備可以使用ieee802.11快速bss轉(zhuǎn)換(ft)認證來向第一接入點進行認證。

在一些方面，所述確定可以是基于除了網(wǎng)絡(luò)消息之外的額外因素。例如，在一些方面，如果自從執(zhí)行處理1300的設(shè)備已經(jīng)執(zhí)行了完全eap認證以來的時間段超過某個時間門限，則可以與第一接入點執(zhí)行完全eap認證，而不管經(jīng)由網(wǎng)絡(luò)消息指示第一接入點是否將支持其它認證協(xié)議。此外，如果認證設(shè)備從來沒有向接入點進行認證，則不管該網(wǎng)絡(luò)消息中的指示，都要執(zhí)行完全eap認證。在一些方面，上面參照方框1310所討論的功能中的一個或多個可以由處理器204來執(zhí)行。

在方框1320中，認證設(shè)備使用所確定的認證協(xié)議，向第一接入點進行認證。因此，在一些方面，方框1320執(zhí)行與第一接入點的ieee802.11快速bss轉(zhuǎn)換(ft)認證消息交換，例如，如上面參照圖4所描述的。在一些方面，認證設(shè)備使用eap(和/或eap-rp)認證來向第一接入點進行認證，例如，如上面在圖3中所描述的。

使用eap-rp認證，認證設(shè)備可以推導(dǎo)再認證主會話密鑰(rmsk)。例如，可以將rmsk推導(dǎo)成rmsk–kdf(k,s)，其中k＝rrk，s＝rmsklabel|“\0”|seq\length。rmsklabel是8比特ascii字符串：“re-authenticationmastersessionkey@ietf.org”。length(長度)字段指代rmsk的八位字節(jié)的長度?？梢愿鶕?jù)emsk或者dsrk來推導(dǎo)rrk。更多細節(jié)請參見rfc5296。

隨后，認證設(shè)備可以基于再認證主會話密鑰，生成第一快速基本服務(wù)集轉(zhuǎn)換成對主密鑰。該第一快速基本服務(wù)集轉(zhuǎn)換成對主密鑰可以是第一層級ieee快速bss轉(zhuǎn)換(ft)認證pmk。在一些方面，可以根據(jù)pmk-r0成對主密鑰的生成，來生成第一成對主密鑰，如在ieee802.11快速bss轉(zhuǎn)換協(xié)議標(biāo)準(zhǔn)中所描述的。隨后，可以基于第一成對主密鑰，來生成第二快速基本服務(wù)集轉(zhuǎn)換成對主密鑰。在一些方面，該第二快速基本服務(wù)集轉(zhuǎn)換成對主密鑰可以是基于第一接入點的一個或多個屬性(例如，第一接入點的站地址和/或bss標(biāo)識符)來生成的。在一些方面，所推導(dǎo)的第二快速基本服務(wù)集轉(zhuǎn)換成對主密鑰，可以是ieee802.11快速bss轉(zhuǎn)換(ft)第二層級pmk。隨后，認證設(shè)備可以使用第二成對主密鑰，與第一接入點進行通信。例如，可以使用第二成對主密鑰或者使用根據(jù)第二成對主密鑰所導(dǎo)出的密鑰(例如，下面討論的ptk)，對發(fā)送給第一接入點或者從第一接入點接收的一個或多個消息進行相應(yīng)地加密和/或解密。

在一些方面，認證設(shè)備可以基于第一成對主密鑰，生成第三成對主密鑰。該第三成對主密鑰可以是根據(jù)如ieee802.11快速bss轉(zhuǎn)換協(xié)議規(guī)范中所描述的pmk-r1來生成的。換言之，第三成對主密鑰可以是ieee802.11快速bss轉(zhuǎn)換(ft)第二層級pmk。此外，在一些方面，還可以基于第二接入點的一個或多個屬性(例如，第二接入點的mac站地址和/或第二接入點的bss標(biāo)識符)，來生成第三成對主密鑰。與第二接入點的通信可以是基于第三成對主密鑰的。例如，通過第二接入點發(fā)送和/或接收的消息，可以是基于第三成對主密鑰、或者根據(jù)第三成對主密鑰所導(dǎo)出的密鑰(例如，ptk)。

在一些方面，認證設(shè)備可以判斷與第一接入點的通信是否需要完美前向保密(pfs)。在一些方面，該判斷是基于在方框1305中接收的網(wǎng)絡(luò)消息的。如果確定需要pfs，則認證設(shè)備可以響應(yīng)于該確定，執(zhí)行與第一接入點的diffie-hellman密鑰交換。在一些方面，diffie-hellman密鑰交換用于生成成對暫時密鑰(ptk)。在一些方面，可以將該成對暫時密鑰推導(dǎo)成：ptk＝kdf(pmk,anonce|snonce|g^ab)，其中a是sta的秘密，b是ap的秘密(或者反之亦然)，g^ab是dh密鑰交換的結(jié)果。因此，在一些方面，在sta和ap推導(dǎo)ptk之前，它們可以交換g^a和g^b，即，執(zhí)行diffie-hellman(dh)密鑰交換。

在一些方面，隨后可以使用該ptk來與第一接入點進行通信。例如，可以使用該ptk，對向第一接入點發(fā)送的和/或從第一接入點接收的消息進行加密和/或解密。在一些方面，可以按照與如上所述的類似方式來生成第二ptk，以便用于與第二接入點的通信(對消息的加密/解密)。

在一些方面，上面參照方框1320所討論的功能中的一個或多個，可以由處理器204來執(zhí)行，在一些方面，可以結(jié)合接收機212和/或發(fā)射機210中的一個或多個來執(zhí)行。

如本文所使用的，術(shù)語“確定”涵蓋很多種動作。例如，“確定”可以包括計算、運算、處理、推導(dǎo)、研究、查詢(例如，查詢表、數(shù)據(jù)庫或其它數(shù)據(jù)結(jié)構(gòu))、斷定等等。此外，“確定”還可以包括接收(例如，接收信息)、存取(例如，存取存儲器中的數(shù)據(jù))等等。此外，“確定”還可以包括解析、選定、選擇、建立等等。此外，在某些方面，如本文所使用的“信道寬度”可以涵蓋帶寬，或者還可以稱為帶寬。

如本文所使用的，指代一個項目列表“中的至少一個”的短語是指這些項目的任意組合，其包括單個成員。舉例而言，“a、b或c中的至少一個”旨在覆蓋：a、b、c、a-b、a-c、b-c和a-b-c。

上面所描述的方法的各種操作，可以由能夠執(zhí)行這些操作的任何適當(dāng)單元(例如，各種硬件和/或軟件組件、電路和/或模塊)來執(zhí)行。通常，在附圖中示出的任何操作，可以由能夠執(zhí)行這些操作的相應(yīng)功能單元來執(zhí)行。

可以利用被設(shè)計用于執(zhí)行本文所述功能的通用處理器、數(shù)字信號處理器(dsp)、專用集成電路(asic)、現(xiàn)場可編程門陣列(fpga)或其它可編程邏輯器件(pld)、分立門或者晶體管邏輯、分立硬件組件或者其任意組合，來實現(xiàn)或執(zhí)行結(jié)合本公開內(nèi)容描述的各種示例性邏輯框、模塊和電路。通用處理器可以是微處理器，或者，該處理器也可以是任何商業(yè)可用處理器、控制器、微控制器或者狀態(tài)機。處理器還可以實現(xiàn)為計算設(shè)備的組合，例如，dsp和微處理器的組合、多個微處理器、一個或多個微處理器與dsp內(nèi)核的結(jié)合，或者任何其它此種結(jié)構(gòu)。

在一個或多個方面，所描述的功能可以利用硬件、軟件、固件或者其任意組合來實現(xiàn)。當(dāng)使用軟件來實現(xiàn)時，可以將這些功能存儲在計算機可讀介質(zhì)上或者作為計算機可讀介質(zhì)上的一個或多個指令或代碼進行傳輸。計算機可讀介質(zhì)包括計算機存儲介質(zhì)和通信介質(zhì)二者，其中通信介質(zhì)包括便于從一個地方向另一個地方傳送計算機程序的任何介質(zhì)。存儲介質(zhì)可以是計算機能夠存取的任何可用介質(zhì)。舉例而言，但非做出限制，這種計算機可讀介質(zhì)可以包括ram、rom、eeprom、cd-rom或其它光盤存儲器、磁盤存儲器或其它磁存儲設(shè)備、或者能夠用于攜帶或存儲具有指令或數(shù)據(jù)結(jié)構(gòu)形式的期望的程序代碼并能夠由計算機進行存取的任何其它介質(zhì)。此外，可以將任何連接適當(dāng)?shù)胤Q作計算機可讀介質(zhì)。舉例而言，如果軟件是使用同軸電纜、光纖線纜、雙絞線、數(shù)字用戶線路(dsl)或者諸如紅外線、無線和微波之類的無線技術(shù)，從網(wǎng)站、服務(wù)器或其它遠程源傳輸?shù)模敲此鐾S電纜、光纖線纜、雙絞線、dsl或者諸如紅外線、無線和微波之類的無線技術(shù)包括在所述介質(zhì)的定義中。如本文所使用的，磁盤和光盤包括壓縮光盤(cd)、激光盤、光盤、數(shù)字通用光盤(dvd)、軟盤和藍光盤，其中磁盤通常磁性地復(fù)制數(shù)據(jù)，而光盤則用激光來光學(xué)地復(fù)制數(shù)據(jù)。因此，在一些方面，計算機可讀介質(zhì)可以包括非臨時性計算機可讀介質(zhì)(例如，有形介質(zhì))。此外，在一些方面，計算機可讀介質(zhì)可以包括臨時性計算機可讀介質(zhì)(例如，信號)。上述的組合也應(yīng)當(dāng)包括在計算機可讀介質(zhì)的范圍之內(nèi)。

本文所公開方法包括用于實現(xiàn)所描述方法的一個或多個步驟或動作。在不脫離權(quán)利要求的范圍的基礎(chǔ)上，這些方法步驟和/或動作可以相互交換。換言之，除非指定步驟或動作的特定順序，否則可以在不脫離權(quán)利要求的范圍的基礎(chǔ)上，修改特定步驟和/或動作的順序和/或使用。

所描述的功能可以利用硬件、軟件、固件或者其任意組合來實現(xiàn)。當(dāng)使用軟件來實現(xiàn)時，可以將這些功能存儲成計算機可讀介質(zhì)上的一個或多個指令。存儲介質(zhì)可以是計算機能夠存取的任何可用介質(zhì)。舉例而言，但并非做出限制，這種計算機可讀介質(zhì)可以包括ram、rom、eeprom、cd-rom或其它光盤存儲器、磁盤存儲器或其它磁存儲設(shè)備、或者能夠用于攜帶或存儲具有指令或數(shù)據(jù)結(jié)構(gòu)形式的期望的程序代碼并能夠由計算機進行存取的任何其它介質(zhì)。如本文所使用的，磁盤和光盤包括壓縮光盤(cd)、激光盤、光盤、數(shù)字通用光盤(dvd)、軟盤和藍光光盤，其中磁盤通常磁性地復(fù)制數(shù)據(jù)，而光盤則用激光來光學(xué)地復(fù)制數(shù)據(jù)。

因此，某些方面可以包括用于執(zhí)行本文所給出的操作的計算機程序產(chǎn)品。例如，這種計算機程序產(chǎn)品可以包括在其上有存儲(和/或編碼的)的指令的計算機可讀介質(zhì)，可以由一個或多個處理器執(zhí)行這些指令以執(zhí)行本文所描述的這些操作。對于某些方面而言，計算機程序產(chǎn)品可以包括封裝材料。

此外，軟件或指令還可以通過傳輸介質(zhì)來發(fā)送。舉例而言，如果軟件是使用同軸電纜、光纖線纜、雙絞線、數(shù)字用戶線路(dsl)或者諸如紅外線、無線和微波之類的無線技術(shù)，從網(wǎng)站、服務(wù)器或其它遠程源傳輸?shù)?，那么所述同軸電纜、光纖線纜、雙絞線、dsl或者諸如紅外線、無線和微波之類的無線技術(shù)包括在所述傳輸介質(zhì)的定義中。

此外，應(yīng)當(dāng)理解的是，用于執(zhí)行本文所述方法和技術(shù)的模塊和/或其它適當(dāng)單元可以通過用戶終端和/或基站按需地進行下載和/或以其他方式獲得。例如，這種設(shè)備可以耦合至服務(wù)器，以便有助于傳送用于執(zhí)行本文所述方法的單元?；蛘?，本文所描述的各種方法可以經(jīng)由存儲單元(例如，ram、rom、諸如壓縮光盤(cd)或軟盤之類的物理存儲介質(zhì)等等)來提供，使得用戶終端和/或基站在將存儲單元耦合至或提供給該設(shè)備時，可以獲得各種方法。此外，還可以使用向設(shè)備提供本文所描述方法和技術(shù)的任何其它適當(dāng)技術(shù)。

應(yīng)當(dāng)理解的是，權(quán)利要求并不受限于上文示出的精確配置和組件。在不脫離權(quán)利要求的范圍的基礎(chǔ)上，可以對上文所述方法和裝置的排列、操作和細節(jié)做出各種修改、改變和變化。

盡管上述內(nèi)容是針對于本公開內(nèi)容的一些方面，但可以在不脫離本發(fā)明的基本范圍的基礎(chǔ)上，設(shè)計出本公開內(nèi)容的其它和另外方面，并且本發(fā)明的范圍由所附的權(quán)利要求來確定。