專利名稱:在無線網(wǎng)絡(luò)中協(xié)商保護管理幀的安全參數(shù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線通信���。本發(fā)明的某些實施方式涉及協(xié)商可用于保護無線節(jié)點 之間通信的管理幀的安全參數(shù)��。
背景
無線網(wǎng)絡(luò)的使用持續(xù)高速增長����。無線網(wǎng)絡(luò)因許多原因而具有吸引力��。它們方 便�����,它們允許靈活性和漫游,并且可支持動態(tài)環(huán)境��。此外�����,與其有線對應(yīng)物相比��, 它們安裝相對簡單�����。在某些情形中��,例如在較陳舊的建筑物中�,部署它們可能更加 便宜����。整個網(wǎng)絡(luò)可在約幾小時而非幾天內(nèi)連接在一起,而不需要配線或重新配線���。
在許多情況下���,盡管有線LAN卡的成本更低���,但無線網(wǎng)絡(luò)還是比其有線對應(yīng)物保 有成本更低。
雖然當(dāng)前無線網(wǎng)絡(luò)有許多優(yōu)點����,但是它們也伴隨有安全問題。因為不需要物 理連接��,所以帶有兼容無線網(wǎng)絡(luò)接口的任何一方都可以檢查無線分組�����,而不管這些 分組是否傳向其系統(tǒng)�。雖然已經(jīng)實現(xiàn)了用于對無線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)幀進行加密的 標(biāo)準(zhǔn),但是它們對管理幀并不正確���。結(jié)果��,無線網(wǎng)絡(luò)仍然易受攻擊����,這些攻擊可中 斷其它用戶的無線會話或者使其它會話的安全狀態(tài)降級��。此外,缺乏對管理幀的保 護使無線網(wǎng)絡(luò)用戶向"中間人"攻擊開放����,其中攻擊者能在任一方都不知道他們之 間的無線鏈路已發(fā)生泄密的情況下讀取、插入和更改雙方之間的消息�。
附圖簡述
圖1A示出根據(jù)本發(fā)明某些實施方式的示例無線網(wǎng)絡(luò);
圖1B示出根據(jù)本發(fā)明某些實施方式的網(wǎng)絡(luò)設(shè)備的進一步細節(jié)��;
圖2是根據(jù)本發(fā)明某些實施方式的管理幀保護協(xié)商過程的流程圖3A和3B示出根據(jù)本發(fā)明某些實施方式的管理幀保護協(xié)商過程的消息序
列��;
圖4A和4B是根據(jù)本發(fā)明某些實施方式的管理幀的框圖���;圖5A和5B是根據(jù)本發(fā)明某些實施方式的管理保護信息元素的框圖。 詳細描述
以下描述和附圖示出本發(fā)明的具體實施方式
���,足以使本領(lǐng)域技術(shù)人員能夠?qū)?施�����。其它實施方式可結(jié)合結(jié)構(gòu)�、邏輯���、電氣���、進程和其它變化�。示例僅僅代表可能 的變型����。除非明確需要,否則個別組件和功能是可任選的�,且操作的順序可改變。 某些實施方式的部分和特征可被包含在其它實施方式中或代替其中的那些�����。權(quán)利要 求書中闡述的本發(fā)明的實施方式涵蓋這些權(quán)利要求的所有可用的等效方案����。本發(fā)明 的實施方式可僅為方便而由術(shù)語"本發(fā)明"單獨或共同指代并且如果實際公開了一 個以上,則不旨在自愿將本申請的范圍限制在任何單個發(fā)明或發(fā)明概念上�。
在附圖中,相同的附圖標(biāo)記通篇用于指代在多個附圖中出現(xiàn)的相同組件�。信 號和連接可由相同的附圖標(biāo)記或標(biāo)簽指代,且實際意思可從其在說明書上下文中的 使用而變得清楚���。
圖1示出根據(jù)本發(fā)明某些實施方式的示例無線網(wǎng)絡(luò)100的組件�����。在某些實施 方式中����,網(wǎng)絡(luò)100可包括一個或多個接入點102以及一個或多個站106。接入點102 向無線站106提供對有線或無線網(wǎng)絡(luò)110的接入�。網(wǎng)絡(luò)IIO可以是任何類型的網(wǎng)絡(luò), 其示例包括但不局限于局域網(wǎng)����、廣域網(wǎng)或公司內(nèi)聯(lián)網(wǎng)。接入點102可以是獨立接入 點�,或者它可以作為諸如網(wǎng)橋、路由器或交換機等另一網(wǎng)絡(luò)設(shè)備的一部分結(jié)合在內(nèi)�����。 為了與接入點102可靠地通信�����,站106必須在接入點102的通信范圍104之內(nèi)���。
站106可以是能夠與其它設(shè)備無線通信的任何類型的設(shè)備。通常這種設(shè)備可 包括個人計算機���、服務(wù)器計算機����、大型計算機、膝上型計算機�、便攜式手持計算機、 機頂盒�����、智能設(shè)備�、個人數(shù)字助理(PDA)、無線電話��、web平板計算機����、無線耳 機、尋呼機���、即時消息通信設(shè)備����、數(shù)碼相機、數(shù)字視頻接收器����、電視機或可無線地 接收和/或發(fā)送信息的其它設(shè)備以及上述設(shè)備的混合。
在某些實施方式中���,站和接入點使用由電氣和電子工程師協(xié)會(IEEE)為無 線通信建立的協(xié)議和標(biāo)準(zhǔn)彼此通信��。例如�,某些實施方式遵守用于無線LAN (WLAN)的IEEE 802.11標(biāo)準(zhǔn)���,即1999年發(fā)布的IEEE std.802.11-1999和以后版 本(下文稱為"IEEE 802.11標(biāo)準(zhǔn)")���。然而,本文所述的系統(tǒng)和方法可應(yīng)用于其它 類型的無線網(wǎng)絡(luò)���。這種網(wǎng)絡(luò)的示例包括IEEE 802.16無線廣域網(wǎng)(WWAN)和諸如 IEEE 802.3以太局域網(wǎng)(LAN)等有線網(wǎng)絡(luò)��。
在某些實施方式中,接入點可被視為特殊類型的站����,如正EE為無線通信所定
義的一樣。某些實施方式遵守正EE 802.11標(biāo)準(zhǔn)����。然而�,本文所述的系統(tǒng)和方法可 被應(yīng)用于在所有類型的IEEE 802.11站之間通信��,包括兩個站之間���、 一個站與一個 接入點之間�、或兩個接入點之間�����。
由于站106落在接入點102的范圍104內(nèi)�,站和接入點通常啟動被設(shè)計成在 站106與接入點之間發(fā)起通信會話的一系列消息。在某些實施方式中����,站106是可 以離開一個接入點的范圍并進入一個或多個其它接入點的范圍的便攜式或移動設(shè) 備,即站106可從一個接入點漫游到另一個�。在如圖l所示的示例中,站106.2已 經(jīng)離開接入點102.1的范圍104.1���,并且已經(jīng)進入接入點102.2和102.3各自的范圍 104.2和104.3內(nèi)����。在此情形中,站106.2通常選擇接入點102.2或102.3之一以繼 續(xù)能夠通過網(wǎng)絡(luò)110來接入系統(tǒng)����。以下提供在各個實施方式中用來與接入點安全地 建立通信并漫游到另一接入點的方法和消息的進一步細節(jié)。
圖1B示出根據(jù)本發(fā)明某些實施方式包含在網(wǎng)絡(luò)設(shè)備中的組件的進一步細節(jié)��。 圖1B中所示的組件可被結(jié)合在諸如無線接入點���、無線站和無線網(wǎng)絡(luò)接口卡等網(wǎng)絡(luò) 設(shè)備中�����。在某些實施方式中����,這些組件包括較高網(wǎng)絡(luò)層120��、媒體訪問控制(MAC) 122�、物理層(PHY) 124和一根或多根天線126。
在某些實施方式中��,較高網(wǎng)絡(luò)層包括在MAC 122層上操作的一個或多個協(xié)議 層����。在某些實施方式中���,該層可包括應(yīng)用程序?qū)印⒈硎緦印拰印鬏攲踊蚓W(wǎng)絡(luò) 層中一個或多個。此外,該層可包括諸如TCP/IP協(xié)議(傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議) 等協(xié)議。
MAC 122在較高網(wǎng)絡(luò)層120與物理層124之間操作����。從較高網(wǎng)絡(luò)層120接收 的網(wǎng)絡(luò)數(shù)據(jù)被處理并經(jīng)由物理層124發(fā)送到其它網(wǎng)絡(luò)節(jié)點。從物理層124接收的網(wǎng) 絡(luò)數(shù)據(jù)被處理并發(fā)送到較高網(wǎng)絡(luò)層120以供處理��。
在某些實施方式中��,物理層124可根據(jù)特定的通信標(biāo)準(zhǔn)�,諸如包括用于無線 局域網(wǎng)(WLAN)的正EE 802.1 l(a)����、 802.11(b)�、 802.11(g/h)和/或802.11(n)標(biāo)準(zhǔn)和/ 或用于無線網(wǎng)狀網(wǎng)絡(luò)的IEEE 802.11(s)禾卩IEEE 802.11(e)標(biāo)準(zhǔn)的IEEE標(biāo)準(zhǔn)�,來發(fā)射 和/或接收RF通信�����,然而物理層124也可適于根據(jù)其它技術(shù)來發(fā)射和/或接收通信�。
天線126可包括一個或多個方向或全向天線��,包括例如偶極天線����、單極天線���、 接線天線(patch ante皿a)�����、環(huán)形天線、微帶天線或適用于由物理層124接收和/或 發(fā)射RF信號的任何類型的天線���。
在某些實施方式中��,MAC 122�����、物理層124和天線126被結(jié)合在網(wǎng)絡(luò)接口卡 (NIC) 128上�����。NIC 128可以是計算機系統(tǒng)的一個組件并且向計算機系統(tǒng)提供無 線網(wǎng)絡(luò)能力���。
以下描述參考管理幀。為本說明書目的,管理幀包括不涉及通信數(shù)據(jù)幀的任 何幀。因此�,管理幀包括連接建立相關(guān)的幀和連接維護幀����。管理幀的示例包括在
IEEE 802.11標(biāo)準(zhǔn)中定義的管理幀����,并且還可包括如在對正EE 802.11標(biāo)準(zhǔn)的修改 IEEE 802.11(e)��、 802.11(h)�、 802.11(k)和802.1(v)中定義的動作幀。此外���,本領(lǐng)域
技術(shù)人員將理解管理幀可包括以后開發(fā)的管理幀和動作幀�。
圖2是根據(jù)本發(fā)明某些實施方式的管理幀保護協(xié)商方法的流程圖��。該方法通 過發(fā)射包括指示發(fā)射器愿意保護的一組管理幀類型的數(shù)據(jù)的第一管理幀而開始(框 202)。通常����,第一管理幀包括由接入點發(fā)出的信標(biāo)管理幀或探測響應(yīng)管理幀。因此���, 接入點可在信標(biāo)幀或探測響應(yīng)幀中告知管理幀保護的可用性�。然而����,本發(fā)明的實施 方式并不局限于特定類型的第一管理幀。在替換實施方式中���,第一管理幀可以是關(guān) 聯(lián)幀�����、關(guān)聯(lián)響應(yīng)幀、重新關(guān)聯(lián)幀�、重新關(guān)聯(lián)響應(yīng)幀或諸如EAPOL (局域網(wǎng)上的可 擴展認證協(xié)議)消息幀等安全握手信息。在某些實施方式中��,指示該組管理幀類型 的數(shù)據(jù)被包含在以下進一步詳細描述的管理保護信息元素中���。
然后���,接收第二管理幀��,它包括指示消息始發(fā)者期望保護的第二組管理幀的 數(shù)據(jù)(框204)���。在某些實施方式中,第二管理幀可以是關(guān)聯(lián)請求幀���。在替換實施 方式中���,第二管理幀可以是關(guān)聯(lián)響應(yīng)幀、重新關(guān)聯(lián)響應(yīng)幀�、或諸如EAPOL消息幀 等安全握手消息。在某些實施方式中�����,指示該組管理幀類型的數(shù)據(jù)被包含在以下將 進一步描述的管理保護信息元素中�。
然后,在第一和第二管理幀中的管理幀之間進行比較以確定作為對兩個通信 系統(tǒng)通用的一組受保護管理幀的那些幀(框206)���。使用相互可接受的安全機制來 保護該組受保護管理幀內(nèi)的后續(xù)的管理幀實例(框208)�。在某些實施方式中,可 以使用的安全機制被包含在第一和第二管理幀中�。可選擇第一和第二管理幀兩者共 用的安全機制來用于保護后續(xù)的管理幀�����。
在某些實施方式中�,可被保護的管理幀包括解除關(guān)聯(lián)幀、解除認證幀��、QoS (服務(wù)質(zhì)量)動作幀��、無線電測量動作幀���、無線電頻譜測量動作幀����、和無線網(wǎng)絡(luò)管 理動作幀�。然而,其它類型的管理幀也可被保護�����,并且實施方式不局限一組于特定 的可保護管理幀�����。
圖3A示出根據(jù)本發(fā)明某些實施方式的管理幀保護協(xié)商過程的消息序列���。該消 息序列以接入點廣播信標(biāo)幀開始(消息302)����。接入點周期性地發(fā)送信標(biāo)幀以宣告 其存在并中繼信息�。在某些實施方式中,信標(biāo)幀包括指示接入點愿意保護哪一管理
幀的數(shù)據(jù)���。例如���,可如下圖3A或3B中所述地格式化信標(biāo)幀以包括如圖5A或5B 中所述的管理保護信息元素(MP-IE)。
然后����,站將探測請求發(fā)送到它期望與之通信的接入點(消息304)。 一個站在 它需要從另一個站獲得信息時發(fā)送探測請求幀���。例如����,站可發(fā)送探測請求以確定在 范圍內(nèi)的接入點。
然后����,接入點發(fā)送探測響應(yīng)(消息306)。探測響應(yīng)通常提供能力信息��、支持 的數(shù)據(jù)速率等����。在某些實施方式中,探測響應(yīng)將包括MP-正�。
然后,站發(fā)送關(guān)聯(lián)請求(消息308)�����。關(guān)聯(lián)請求使接入點能夠為站分配資源并 與其同步��。在某些實施方式中�,關(guān)聯(lián)請求可包含指示該站期望保護哪些管理幀的 MP-正。
然后�,接入點發(fā)送關(guān)聯(lián)響應(yīng)(消息310)。關(guān)聯(lián)響應(yīng)包括對請求關(guān)聯(lián)的站的接 受或拒絕通知���。在某些實施方式中����,關(guān)聯(lián)響應(yīng)可包括指示接入點將要保護的管理幀 的MP-IE�。如果接入點接受該站,則響應(yīng)包括關(guān)于關(guān)聯(lián)的信息����,諸如關(guān)聯(lián)ID和支 持的數(shù)據(jù)速率。如果關(guān)聯(lián)結(jié)果是肯定的��,則該站可利用接入點拉與網(wǎng)絡(luò)110上該接 入點旁的其它設(shè)備和系統(tǒng)通信�����。
然后��,接入點和站完成EAP認證(312)��,且建立稱為PMK的共享秘密����。該 站與接入點然后開始包括消息314-320的EAPOL握手。握手消息可包括在先前分 別由STA和AP發(fā)送的管理消息中的����、確定接入點和站同意保護的管理幀的相同 MP-IE���。在某些實施方式中,握手消息可如下圖4A或4B所述地格式化以包含如 圖5A或5B所述的MP-正��。在握手過程中���,接入點和站導(dǎo)出用于保護安全管理幀 保護協(xié)商的完整性私鑰�。
在該消息情況下����,通過導(dǎo)出僅僅站和新接入點知道的完整性私鑰,作為與前 一接入點的協(xié)商序列的結(jié)果��,握手消息314�����、 316��、 318和320中的MP-IE可得到 完整性保護�����。握手消息使用該完整性私鑰來通過執(zhí)行消息完整性檢查而確保包括 MP-IE的握手消息的內(nèi)容安全。該機制因其防止惡意對手對無線網(wǎng)絡(luò)發(fā)起安全降級 攻擊����、重放攻擊、中間人攻擊和偽造攻擊而合乎需要��。安全降級攻擊強制站或接入 點協(xié)商比正常情況更弱的安全參數(shù)和密鑰���。在某些實施方式中,該機制允許站和接 入點協(xié)商并實施站和接入點支持的最強安全參數(shù)����、算法和密鑰。
圖3B示出根據(jù)本發(fā)明替換實施方式的用于管理幀保護協(xié)商過程的消息序列����。 當(dāng)站在接入點之間移動時,如圖3B所示的消息序列可用于快速漫游或轉(zhuǎn)換的情況�。 消息序列如圖3A所示地開始,即接入點和站交換信標(biāo)����、探測請求和探測響應(yīng)消息302-306。
然后���,該站將重新關(guān)聯(lián)請求消息340發(fā)送到新接入點����。重新關(guān)聯(lián)請求可包含 指示該站期望保護哪些管理字段的MP-IE。然后���,新接入點協(xié)調(diào)仍在前一訪問點的 緩沖器中等待發(fā)送到該站的數(shù)據(jù)幀的轉(zhuǎn)發(fā)�����。
然后�,接入點發(fā)送重新關(guān)聯(lián)響應(yīng)消息342����。重新關(guān)聯(lián)響應(yīng)消息可包含指示該接 入點可保護哪些管理幀的MP-IE。類似于關(guān)聯(lián)過程����,該幀包括關(guān)于關(guān)聯(lián)的信息,諸 如關(guān)聯(lián)ID和支持的數(shù)據(jù)速率以及MP-IE��。
在本消息情況下�����,通過導(dǎo)出僅僅站和新接入點知道的完整性私鑰,作為與前 一接入點的協(xié)商序列的結(jié)果���,重新關(guān)聯(lián)請求和響應(yīng)消息340和342中的MP-IE可 得到完整性保護�。通過應(yīng)用使用完整性私鑰的消息完整性檢查可保護重新關(guān)聯(lián)請求 和重新關(guān)聯(lián)響應(yīng)消息的內(nèi)容不受對手攻擊�����。在某些實施方式中使用的機制可防止惡 意對手對無線網(wǎng)絡(luò)發(fā)起安全降級攻擊�����、重放攻擊���、中間人攻擊和偽造攻擊。安全降 級攻擊強制站和接入點協(xié)商比正常情況下更弱的安全參數(shù)和密鑰��。本實施方式中的 該機制允許站和接入點協(xié)商并實施站和接入點支持的最強安全參數(shù)���、算法和密鑰�����。
然后�����,站和接入點開始如上所述的消息314-320中的4向EAPOL握手協(xié)商�����。
圖4A是描述根據(jù)本發(fā)明某些實施方式的管理幀400的主要組成部分的框圖�。 在某些實施方式中,管理幀400包括前導(dǎo)已有字段402��、更改的EAPOL密鑰描述 符404�、和拖尾己有字段406。前導(dǎo)已有字段402和拖尾已有字段406包括如當(dāng)前 IEEE 802.11標(biāo)準(zhǔn)中定義的管理和動作幀的字段和信息元素����。
更改的EAPOL密鑰描述符404包括己有EAPOL字段412、 MIC字段414和 管理保護信息元素416���。已有EAPOL字段412包括如當(dāng)前IEEE 802.11標(biāo)準(zhǔn)中定 義的字段���。MIC (消息完整性代碼,也稱為消息認證代碼)字段414包括如IEEE 802.11標(biāo)準(zhǔn)中指定地生成的代碼值�����,并且可由站和接入點用來驗證消息的完整性。 MIC的存在表明該消息由僅僅為站和接入點所知的密鑰來進行完整性保護��。管理 保護信息元素(MP-IE) 416包括可用于指定可被保護的管理幀類型以及所使用的 保護類型的數(shù)據(jù)結(jié)構(gòu)����。以下參照圖5A和5B來提供關(guān)于MP-IE的進一步細節(jié)。
圖4B是示出根據(jù)本發(fā)明替換實施方式的管理幀的主要組成部分的框圖����。在某 些實施方式中,管理幀402包括前導(dǎo)已有字段402���、 MP-正416���、和EAPOL密鑰描 述符422�����。如上所述����,前導(dǎo)已有字段402和拖尾已有字段406包括如當(dāng)前IEEE 802.11 標(biāo)準(zhǔn)中定義的管理和動作幀的字段和信息元素。此外��,EAPOL密鑰描述符422包 括如當(dāng)前由正EE 802.11標(biāo)準(zhǔn)定義的EAPOL描述符。MP-IE 416包括可用于指定
可保護管理幀類型以及所使用的保護類型的數(shù)據(jù)結(jié)構(gòu)����。以下參照圖5A和5B來提 供關(guān)于MP-IE的進一步細節(jié)。
從以上可以看出��,MP-IE416可被嵌入在管理幀的已有字段�����,例如EAPOL字 段中�����,或者可作為附加字段添加到一個幀上�����。
圖5A是根據(jù)本發(fā)明各實施方式的管理保護信息元素416的框圖���。在某些實施 方式中�,MP-IE416包括元素ID 502�、長度字段504、版本字段506����、組密碼套件 計數(shù)508���、組密碼套件列表510、成對密碼套件計數(shù)512����、成對密碼套件列表514、 管理保護能力字段516����、管理幀計數(shù)518和管理幀子類型列表520。元素ID 502是 被分配來指示該數(shù)據(jù)結(jié)構(gòu)是MP-IE的值��。長度字段504指定MP-正數(shù)據(jù)結(jié)構(gòu)的大 小�。版本字段506指定MP-IE數(shù)據(jù)結(jié)構(gòu)的版本并指示實現(xiàn)對管理幀的保護的當(dāng)前 支持的協(xié)議版本。
組密碼套件計數(shù)508提供組密碼套件列表510中組密碼套件的數(shù)目�����。組密碼 列表510包括用于在站和接入點之間提供對廣播和多播管理幀的保護的一個或多 個密碼套件的列表�����。站和接入點可使用該列表來協(xié)商站和接入點都支持的密碼套件 之一�。在某些實施方式中,所選密碼套件可使用不同的完整性和/或機密性密鑰����, 該密鑰被導(dǎo)出來提供對廣播/多播幀的完整性和/或機密性保護。
成對密碼套件計數(shù)512提供成對密碼套件列表514中密碼套件的數(shù)目計數(shù)���。 成對密碼套件列表514包括用于對站與接入點之間所有單播管理幀執(zhí)行完整性和/ 或機密性保護計算的一個或多個密碼套件的列表�。在某些實施方式中�����,站與接入點 可協(xié)商兩者都支持的密碼套件之一���。經(jīng)協(xié)商的成對密碼套件可使用不同的完整性和 /或機密性密鑰�,該密鑰被導(dǎo)出以提供對單播幀的完整性和/或機密性保護��。
組密碼套件和成對密碼套件可包括任何類型的密碼算法�����。在某些實施方式中���, 可將以下的密碼算法中的一個或多個的組合用作密碼套件包括AES-OMAC的 AES�、 HMAC或使用SHA-256、 SHA-512算法的Hash���、 TKIP和/或CCMP?���,F(xiàn)在 已知或以后開發(fā)的其它密碼方法也可被包含在組或成對密碼套件中����。
管理保護能力字段516指示可在站與接入點之間協(xié)商的安全參數(shù)。在某些實 施方式中��,該數(shù)據(jù)結(jié)構(gòu)包括具有指示哪些參數(shù)可被協(xié)商的各個位或位組的位掩碼����。 在某些實施方式中,經(jīng)協(xié)商的參數(shù)包括是否啟用管理幀保護����、對正EE802.11i密鑰 層次的支持、以及對IEEE802.11r密鑰層次的支持��?�?砂葱杌虬匆院蟮拈_發(fā)將其它 參數(shù)包含在該數(shù)據(jù)結(jié)構(gòu)中����。
管理幀計數(shù)518提供管理幀子類型列表520中子類型數(shù)目的計數(shù)。管理幀子
類型列表520列出可在站與接入點之間協(xié)商的管理幀的子類型���。這允許網(wǎng)絡(luò)管理員 對特定無線網(wǎng)絡(luò)實現(xiàn)安全策略��。在某些實施方式中��,接入點在其MP-IE中列出支 持網(wǎng)絡(luò)中保護的所有管理幀子類型��。支持管理幀保護的站用其自己的包括管理幀子
類型的MP-IE來響應(yīng)��。該站使用上述字段來選擇該站可支持保護的管理幀子類型
列表���,即所宣告的組密鑰密碼套件之一和所宣告的成對密鑰密碼套件之一。
圖5B是根據(jù)本發(fā)明替換實施方式的管理保護信息元素416的框圖�。在某些替 換實施方式中,MP-IE 416包括元素ID 502�、長度字段504、版本字段506����、組密 碼套件計數(shù)508、組密碼套件列表510、成對密碼套件計數(shù)512���、成對密碼套件列 表514�、管理保護能力字段516�����、管理保護配置文件計數(shù)530和管理保護配置文件 選擇器列表520�����。字段502-516與以上圖5A所示的大致相同�����。
管理保護配置文件計數(shù)530提供管理保護配置文件列表532中配置文件的數(shù) 目�。管理保護配置文件列表532包括標(biāo)識管理保護配置文件的管理保護配置文件選 擇器列表。管理保護配置文件選擇器可以是組織單元標(biāo)識符(OUI)�,以及之后的 類型或值、或者值列表����。在IEEE指定的OUI的情況下,OUI可與IEEE 802.11i 中所指定的相同����。
包含在MP-IE中的管理保護配置文件值指示站或接入點支持的一組管理幀子 類型���。每一管理保護配置文件值或號與可可被保護的一組管理幀相關(guān)聯(lián)����。
由特定管理保護配置文件號保護的該組管理幀可通過許多方法來指定,包括 作為對IEEE 802.11標(biāo)準(zhǔn)的修改��,或者配置文件可由廠商指定����,且每一廠商具有不 同的值。當(dāng)一管理保護配置文件號由802.11修改指定時�����,該配置文件號可以包括 由IEEE指定的先前的管理保護配置文件號所保護的所有管理幀�����。
此外���,廠商可創(chuàng)建其自己的用于宣告它們支持的廠商專用管理幀子集的OUI��。
此外���,網(wǎng)絡(luò)操作員和企業(yè)可創(chuàng)建其自己的用于宣告在其無線網(wǎng)絡(luò)上啟用并支 持的特定的管理幀子集���。
除非另外具體指出,否則諸如處理��、計算���、推算�、確定���、顯示等的術(shù)語是指 一個或多個處理或計算系統(tǒng)或類似設(shè)備的動作和/或進程����,這些動作和/或進程可將 被表示成處理系統(tǒng)寄存器和存儲器內(nèi)的物理(例如電子)量的數(shù)據(jù)處理并轉(zhuǎn)換成類 似地表示成處理系統(tǒng)寄存器或存儲器或者其它這種信息存儲���、傳輸或顯示設(shè)備內(nèi)的 物理量的其它數(shù)據(jù)����。
本發(fā)明的實施方式可用硬件����、固件和軟件之一或組合來實現(xiàn)��。本發(fā)明的實施 方式還可被實現(xiàn)成存儲在機器可讀介質(zhì)上����、可由至少一個處理器讀取并執(zhí)行以執(zhí)行
本文所述的操作的指令����。機器可讀介質(zhì)可包括用于以機器(例如計算機)可讀形式 存儲或傳輸信息的任何機制����。例如,機器可讀介質(zhì)可包括只讀存儲器(ROM)��、隨
機存取存儲器(RAM)�����、磁盤存儲介質(zhì)�、光學(xué)存儲介質(zhì)、閃存設(shè)備�、電、光�、聲或 其它形式的傳播信號(例如載波���、紅外信號、數(shù)字信號等)等等�����。
提供摘要以滿足要求允許讀者確定技術(shù)公開的特征和主旨的摘要的37 C.F.R 的1.72(b)節(jié)��。摘要是在不應(yīng)將其用于限制或解釋權(quán)利要求書的范圍和內(nèi)涵的前提 下提交的���。
在以上詳細描述中�����,為簡化描述而在單個實施方式中將各個特征臨時組合在 一起�。公開的方法不應(yīng)解釋為反映了要求保護的主題實施方式需要比在每一權(quán)利要 求中明確闡述的更多的特征的意圖��。相反����,如所附權(quán)利要求書所反映的,本發(fā)明涉 及少于單個公開實施方式的所有特征�。因此,所附權(quán)利要求書在此結(jié)合到詳細描述
中��,其中每一權(quán)利要求獨立地作為一單獨的較佳實施方式。
權(quán)利要求
1.一種方法����,包括發(fā)射包括指示第一組管理幀類型的數(shù)據(jù)的第一管理幀;接收包括指示第二組管理幀類型的數(shù)據(jù)的第二管理幀����;將所述第一組管理幀類型與所述第二組管理幀類型進行比較以確定一組受保護管理幀類型。
2. 如權(quán)利要求l所述的方法�,其特征在于,所述第一管理幀包括信標(biāo)幀�����。
3. 如權(quán)利要求1所述的方法����,其特征在于�����,所述第一管理幀包括探測響應(yīng)幀���。
4. 如權(quán)利要求1所述的方法���,其特征在于���,所述第二管理幀包括關(guān)聯(lián)幀。
5. 如權(quán)利要求l所述的方法�����,其特征在于���,所述第二管理幀包括重新關(guān)聯(lián)幀���。
6. 如權(quán)利要求l所述的方法,其特征在于����,所述管理幀類型集包括選自包括 以下各項的組的管理幀類型解除關(guān)聯(lián)幀、解除認證幀�����、或者包括QoS動作幀�、 無線電測量動作幀、無線電頻譜測量動作幀和無線網(wǎng)絡(luò)管理動作幀的任何第3類動 作幀。
7. 如權(quán)利要求l所述的方法����,其特征在于,所述第一管理幀還包括指定至少 一種保護方法的數(shù)據(jù)�����。
8. 如權(quán)利要求8所述的方法�,其特征在于,還包括將所述至少一種保護方法 應(yīng)用于具有所述一組受保護管理幀類型中的一個類型的后續(xù)管理幀�。
9. 一種編碼數(shù)據(jù)結(jié)構(gòu)的信號承載介質(zhì),所述數(shù)據(jù)結(jié)構(gòu)包括指示一組一個或多個管理幀類型的字段���;以及指示一組一個或多個保護機制的字段���,其中在一單獨的數(shù)據(jù)處理步驟中�����,所 述一組一個或多個保護機制中的一個被應(yīng)用于所述一組一個或多個管理幀類型��。
10. 如權(quán)利要求9所述的信號承載介質(zhì)���,其特征在于����,所述一組一個或多個管 理幀類型可由組織標(biāo)識符來指定。
11. 如權(quán)利要求9所述的信號承載介質(zhì)�,其特征在于,所述一組一個或多個管 理幀類型在幀類型列表中提供�。
12. —種用于通過在受保護協(xié)商幀中(4向握手消息或在802.11r重新關(guān)聯(lián)請 求/響應(yīng)消息中)包含MP-IE并由接收器將所包含的MP-IE與在先前通信消息中從 對等設(shè)備接收的消息中的MP-IE進行比較而進行的協(xié)商保護。
13. —種無線接入點���,包括 物理層���;以及耦合到所述物理層的媒體訪問控制,可用于發(fā)送包括指示可由所述無線接入點保護的一組管理幀類型的數(shù)據(jù)的第一 管理幀����;接收包括指示可由站保護的一組管理幀類型的數(shù)據(jù)的第二管理幀; 將所述第一組管理幀類型與所述第二組管理幀類型進行比較以確定一組 受保護管理幀類型��。
14. 如權(quán)利要求12所述的無線接入點����,其特征在于,所述第一管理幀包括信 標(biāo)幀��。
15. 如權(quán)利要求12所述的無線接入點,其特征在于����,所述第一管理幀包括探 測響應(yīng)幀。
16. 如權(quán)利要求12所述的無線接入點���,其特征在于����,所述第二管理幀包括關(guān) 聯(lián)幀�����。
17. 如權(quán)利要求12所述的無線接入點�����,其特征在于�,所述第二管理幀包括重 新關(guān)聯(lián)幀。
18. —種網(wǎng)絡(luò)設(shè)備�,包括 物理層���;以及耦合到所述物理層的媒體訪問控制����,可用于接收包括指示可由無線接入點保護的一組管理幀類型的數(shù)據(jù)的第一管理幀;通過將可由所述無線接入點保護的所述一組管理幀類型與可由所述網(wǎng)絡(luò)設(shè)備保護的一組管理幀類型進行比較來確定一組受保護管理幀類型����;以及 發(fā)射包括指示所述一組受保護管理幀類型的數(shù)據(jù)的第二管理幀。
19. 如權(quán)利要求17所述的網(wǎng)絡(luò)設(shè)備�,其特征在于,所述第一管理幀包括信標(biāo)幀���。
20. 如權(quán)利要求n所述的網(wǎng)絡(luò)設(shè)備���,其特征在于,所述第一管理幀包括探測 響應(yīng)幀�����。
21. 如權(quán)利要求17所述的網(wǎng)絡(luò)設(shè)備�,其特征在于,所述第二管理幀包括關(guān)聯(lián)幀��。
22. 如權(quán)利要求17所述的網(wǎng)絡(luò)設(shè)備����,其特征在于��,所述第二管理幀包括重新關(guān)聯(lián)幀����。
23. 如權(quán)利要求17所述的網(wǎng)絡(luò)設(shè)備��,其特征在于�,所述物理層和媒體訪問控制被結(jié)合到網(wǎng)絡(luò)接口卡中。
24. 如權(quán)利要求17所述的網(wǎng)絡(luò)設(shè)備����,其特征在于,所述物理層和媒體訪問控制被結(jié)合到無線站中���。
25. —種系統(tǒng)���,包括 基本上全向的天線; 耦合到所述全向天線的物理層����;以及耦合到所述物理層的媒體訪問控制,可用于發(fā)射包括指示可由無線接入點保護的一組管理幀類型的數(shù)據(jù)的第一管幀�;接收包括指示可由站保護的一組管理幀類型的數(shù)據(jù)的第二管理幀; 將所述第一組管理幀類型與所述第二組管理幀類型進行比較以確定一組受保護管理幀類型�����。
26. 如權(quán)利要求22所述的系統(tǒng)�,其特征在于,所述第一管理幀包括EAPoL握手幀�。
27. 如權(quán)利要求22所述的系統(tǒng),其特征在于�,所述第二管理幀包括EAPoL握手幀。
28. —種具有用于執(zhí)行一方法的機器可執(zhí)行指令的機器可讀介質(zhì)����,所述方法包括發(fā)送包括指示第一組管理幀類型的數(shù)據(jù)的第一管理幀; 接收包括指示第二組管理幀類型的數(shù)據(jù)的第二管理幀�;將所述第一組管理幀類型與第二組管理幀類型進行比較以確定一組受保護管理幀類型。
29. 如權(quán)利要求25所述的機器可讀介質(zhì)���,其特征在于�,所述第一管理幀包括EAPoL幀�����。
30. 如權(quán)利要求25所述的機器可讀介質(zhì)���,其特征在于�����,所述第一管理幀包括探測響應(yīng)幀����。
全文摘要
一種系統(tǒng)和方法為無線站和接入點提供協(xié)商用于保護管理幀的安全參數(shù)的機制。接入點和站確定它們能夠并期望保護哪些管理幀���。然后在站與接入點之間交換指示受保護幀的數(shù)據(jù)以選擇待保護的管理幀和用于保護這些管理幀的保護機制�����。
文檔編號H04W12/06GK101208981SQ200680017249
公開日2008年6月25日 申請日期2006年5月2日 優(yōu)先權(quán)日2005年5月17日
發(fā)明者E·齊, J·沃克, K·索達 申請人:英特爾公司