交叉引用

本專利申請要求于2015年10月29日由lee等人提交的題為“privacyduringre-authenticationofawirelessstationwithanauthenticationserver”的美國專利申請no.14/926,791，以及于2014年11月11日由lee等人提交的題為“privacyduringre-authenticationofawirelessstationwithanauthenticationserver”的美國臨時(shí)專利申請no.62/078,162的優(yōu)先權(quán)；其中每個(gè)申請已轉(zhuǎn)讓給其受讓人。

本公開內(nèi)容例如涉及無線通信系統(tǒng)，并且具體地涉及在無線站向認(rèn)證服務(wù)器的重新認(rèn)證期間的隱私。

背景技術(shù)：

無線通信系統(tǒng)被廣泛被部署以提供各種類型的通信內(nèi)容，諸如語音、視頻、分組數(shù)據(jù)、消息傳送、廣播等。這些系統(tǒng)可以是能夠通過共享可用系統(tǒng)資源(例如，時(shí)間、頻率和功率)來支持與多個(gè)用戶的通信的多址系統(tǒng)。例如諸如wi-fi網(wǎng)絡(luò)(ieee802.11)的無線局域網(wǎng)(wlan)的無線網(wǎng)絡(luò)可以包括可以與站(sta)或移動設(shè)備通信的接入點(diǎn)(ap)。ap可以耦合到諸如因特網(wǎng)的網(wǎng)絡(luò)，并可以使得移動設(shè)備能夠經(jīng)由網(wǎng)絡(luò)進(jìn)行通信(和/或與耦合到接入點(diǎn)的其它設(shè)備進(jìn)行通信)。

可以至少部分地由ap和認(rèn)證服務(wù)器來管理針對可經(jīng)由ap訪問的網(wǎng)絡(luò)的隱私。當(dāng)無線站首次接入網(wǎng)絡(luò)時(shí)，ap可以發(fā)起無線站向認(rèn)證服務(wù)器的認(rèn)證。當(dāng)無線站從經(jīng)由第一ap接入網(wǎng)絡(luò)轉(zhuǎn)換到經(jīng)由第二ap接入網(wǎng)絡(luò)時(shí)，第二ap可以發(fā)起無線站向認(rèn)證服務(wù)器的重新認(rèn)證。在任一情況下，如果認(rèn)證服務(wù)器沒有認(rèn)證(或重新認(rèn)證)無線站，則無線站可能被拒絕接入網(wǎng)絡(luò)。

技術(shù)實(shí)現(xiàn)要素：

所描述的特征通常涉及用于無線通信的各種改進(jìn)的系統(tǒng)、方法和/或裝置。這樣的系統(tǒng)、方法和/或裝置可以在無線站向認(rèn)證服務(wù)器的重新認(rèn)證(例如，作為站移動性以及經(jīng)由不同的接入點(diǎn)接入網(wǎng)絡(luò)的結(jié)果而執(zhí)行的重新認(rèn)證)期間提供隱私。當(dāng)無線站使用可擴(kuò)展認(rèn)證協(xié)議(eap)重新認(rèn)證協(xié)議(eap-rp)向認(rèn)證服務(wù)器重新認(rèn)證時(shí)，無線站可以向認(rèn)證服務(wù)器發(fā)送擴(kuò)展主會話密鑰名稱(emskname)。emskname可以用于識別重新認(rèn)證會話和對應(yīng)的重新認(rèn)證根密鑰(rrk)。然而，在無線站和接入點(diǎn)之間建立安全關(guān)聯(lián)之前，可以通過無線信道來發(fā)送emskname(即，emskname是在不被加密(例如，作為純文本)的情況下發(fā)送的)。因此，被動攻擊方可能截獲emskname，并使用emskname跟蹤與無線站或其用戶相關(guān)的信息。本公開內(nèi)容描述了系統(tǒng)、方法和裝置，在這些系統(tǒng)、方法和裝置中，無線站可以在無線站向認(rèn)證服務(wù)器的重新認(rèn)證期間禁止emskname的傳輸。

在第一組說明性示例中，提供了一種用于無線通信的方法。所述方法可以包括：根據(jù)重新認(rèn)證密鑰和序列號在無線站處導(dǎo)出第一標(biāo)識符，所述重新認(rèn)證密鑰是至少部分地根據(jù)第一會話密鑰導(dǎo)出的；向認(rèn)證方發(fā)送所述第一標(biāo)識符和域名，所述第一標(biāo)識符和所述域名是在所述無線站向認(rèn)證服務(wù)器的第一次重新認(rèn)證期間發(fā)送的；以及禁止所述第一會話密鑰的名稱在所述第一次重新認(rèn)證期間的傳輸。

在一些方面，所述方法可以包括：至少部分地基于所述序列號來生成下一序列號，以及至少部分地基于所述重新認(rèn)證密鑰和所述下一序列號來導(dǎo)出第二標(biāo)識符。在一些方面，該方法可以包括發(fā)送所述第二標(biāo)識符和域名?？梢栽谒鰺o線站向所述認(rèn)證服務(wù)器的第二次重新認(rèn)證期間發(fā)送所述第二標(biāo)識符和所述域名。在一些方面，該方法可以包括：接收重新認(rèn)證失敗消息，以及響應(yīng)于接收所述重新認(rèn)證失敗消息來發(fā)送所述第二標(biāo)識符和所述域名。

在一些方面，該方法可以包括：使用所述第一標(biāo)識符用于所述無線站向所述認(rèn)證服務(wù)器的單次重新認(rèn)證。在一些實(shí)施例中，該方法可以包括：至少部分地基于標(biāo)識符標(biāo)簽來導(dǎo)出所述第一標(biāo)識符。在該方法的一些方面，所述第一次重新認(rèn)證可以包括可擴(kuò)展認(rèn)證協(xié)議(eap)重新認(rèn)證，所述第一會話密鑰可以包括擴(kuò)展主會話密鑰(emsk)，并且所述重新認(rèn)證密鑰可以包括重新認(rèn)證根密鑰(rrk)。

在該方法的一些方面中，可以在向所述認(rèn)證服務(wù)器執(zhí)行完全認(rèn)證之后執(zhí)行所述第一次重新認(rèn)證。在一些方面，該方法可以包括：接收重新認(rèn)證失敗消息，以及響應(yīng)于接收所述重新認(rèn)證失敗消息來執(zhí)行向所述認(rèn)證服務(wù)器的完全認(rèn)證。

在第二組說明性示例中，提供了一種用于無線通信的裝置。該裝置可以包括：處理器；與所述處理器進(jìn)行電子通信的存儲器；以及存儲在所述存儲器中的指令。所述指令可以可由所述處理器執(zhí)行以：根據(jù)重新認(rèn)證密鑰和序列號在無線站處導(dǎo)出第一標(biāo)識符，所述重新認(rèn)證密鑰是至少部分地根據(jù)所述第一會話密鑰導(dǎo)出的；向認(rèn)證方發(fā)送所述第一標(biāo)識符和域名，所述第一標(biāo)識符和所述域名是在所述無線站向認(rèn)證服務(wù)器的第一次重新認(rèn)證期間發(fā)送的；以及停止所述第一會話密鑰的名稱在所述第一次重新認(rèn)證期間的傳輸。

在一些方面，所述裝置可以包括可由所述處理器執(zhí)行以進(jìn)行如下操作的指令：至少部分地基于所述序列號來生成下一序列號，以及至少部分地基于所述重新認(rèn)證密鑰和所述下一序列號來導(dǎo)出第二標(biāo)識符。在一些方面，該裝置可以包括可由所述處理器執(zhí)行以進(jìn)行如下操作的指令：發(fā)送所述第二標(biāo)識符和所述域名?？梢栽谒鰺o線站向所述認(rèn)證服務(wù)器的第二次重新認(rèn)證期間發(fā)送所述第二標(biāo)識符和所述域名。在一些方面，該裝置可以包括可由所述處理器執(zhí)行以進(jìn)行如下操作的指令：接收重新認(rèn)證失敗消息，以及響應(yīng)于接收所述重新認(rèn)證失敗消息來發(fā)送所述第二標(biāo)識符和所述域名。

在一些方面，該裝置可以包括可由所述處理器執(zhí)行以進(jìn)行如下操作的指令：使用所述第一標(biāo)識符用于所述無線站向所述認(rèn)證服務(wù)器的單次重新認(rèn)證。在一些方面，該裝置可以包括可由所述處理器執(zhí)行以進(jìn)行如下操作的指令：至少部分地基于標(biāo)識符標(biāo)簽來導(dǎo)出所述第一標(biāo)識符。在所述裝置的一些方面，所述第一次重新認(rèn)證可以包括可擴(kuò)展eap重新認(rèn)證，所述第一會話密鑰可以包括emsk，并且所述重新認(rèn)證密鑰可以包括rrk。

在所述裝置的一些方面，可以在向所述認(rèn)證服務(wù)器執(zhí)行完全認(rèn)證之后執(zhí)行所述第一次重新認(rèn)證。在一些方面，所述裝置可以包括可由所述處理器執(zhí)行以進(jìn)行如下操作的指令：接收重新認(rèn)證失敗消息，以及響應(yīng)于接收所述重新認(rèn)證失敗消息來執(zhí)行向所述認(rèn)證服務(wù)器的完全認(rèn)證。

在第三組說明性示例中，提供了一種用于無線通信的方法。該方法可以包括：根據(jù)重新認(rèn)證密鑰和序列號在認(rèn)證服務(wù)器處導(dǎo)出第一標(biāo)識符，所述重新認(rèn)證密鑰是至少部分地根據(jù)所述第一會話密鑰導(dǎo)出的；在所述認(rèn)證服務(wù)器處接收第二標(biāo)識符，所述第二標(biāo)識符是在無線站向所述認(rèn)證服務(wù)器的第一次重新認(rèn)證期間接收的；將所述第一標(biāo)識符與所述第二標(biāo)識符進(jìn)行比較；以及至少部分地基于所述比較將第二會話密鑰發(fā)送給所述無線站的認(rèn)證方。

在該方法的一些方面，所述第一標(biāo)識符可以匹配所述第二標(biāo)識符。在一些方面，所述方法可以包括：至少部分地基于所述序列號來生成下一序列號，以及至少部分地基于所述重新認(rèn)證密鑰和所述下一序列號來導(dǎo)出第三標(biāo)識符。在一些方面，所述方法可以包括：在所述無線站向所述認(rèn)證服務(wù)器的第二重新認(rèn)證期間接收第四標(biāo)識符，將所述第三標(biāo)識符與所述第四標(biāo)識符進(jìn)行比較，以及至少部分地基于所述比較來發(fā)送所述第二會話密鑰。在該方法的一些方面，所述第三標(biāo)識符可以匹配所述第四標(biāo)識符。

在一些方面，該方法可以包括：至少部分地基于標(biāo)識符標(biāo)簽來導(dǎo)出所述第一標(biāo)識符。在一些方面，該方法可以包括：當(dāng)所述第一標(biāo)識符未能匹配所述第二標(biāo)識符時(shí)發(fā)送重新認(rèn)證失敗消息。在該方法的一些方面中，所述重新認(rèn)證失敗消息可以包括指示所述第一標(biāo)識符和所述第二標(biāo)識符之間的不匹配的類型長度值(tlv)元素。在該方法的一些方面，所述第一次重新認(rèn)證可以包括eap重新認(rèn)證，所述第一會話密鑰可以包括emsk，所述重新認(rèn)證密鑰可以包括rrk，并且所述第二會話密鑰可以包括rmsk。

在第四組說明性示例中，提供了一種用于無線通信的裝置。該裝置可以包括：處理器；與所述處理器進(jìn)行電子通信的存儲器；以及存儲在所述存儲器中的指令。所述指令可以可由所述處理器執(zhí)行以：根據(jù)所述重新認(rèn)證密鑰和所述序列號在認(rèn)證服務(wù)器處導(dǎo)出第一標(biāo)識符，所述重新認(rèn)證密鑰是至少部分地根據(jù)所述第一會話密鑰導(dǎo)出的；在所述認(rèn)證服務(wù)器處接收第二標(biāo)識符，所述第二標(biāo)識符是在無線站向所述認(rèn)證服務(wù)器的第一次重新認(rèn)證期間接收的；將所述第一標(biāo)識符與所述第二標(biāo)識符進(jìn)行比較；以及至少部分地基于所述比較來將所述第二會話密鑰發(fā)送給所述無線站的認(rèn)證方。

在所述裝置的一些方面，所述第一標(biāo)識符可以匹配所述第二標(biāo)識符。在一些方面，該裝置可以包括可由處理器執(zhí)行以進(jìn)行如下操作的指令：至少部分地基于所述序列號來生成下一序列號，以及至少部分地基于所述重新認(rèn)證密鑰和所述下一序列號來導(dǎo)出第三標(biāo)識符。在一些方面，該裝置可以包括可由所述處理器執(zhí)行以進(jìn)行如下操作的指令：在所述無線站向所述認(rèn)證服務(wù)器的第二次重新認(rèn)證期間接收第四標(biāo)識符，將所述第三標(biāo)識符與所述第四標(biāo)識符進(jìn)行比較，以及至少部分地基于所述比較來發(fā)送所述第二會話密鑰。在所述裝置的一些方面，所述第三標(biāo)識符可以匹配所述第四標(biāo)識符。

在一些方面，所述裝置可以包括可由處理器執(zhí)行以進(jìn)行如下操作的指令：至少部分地基于標(biāo)識符標(biāo)簽來導(dǎo)出所述第一標(biāo)識符。在一些方面，該裝置可以包括可由處理器執(zhí)行以進(jìn)行如下操作的指令：當(dāng)所述第一標(biāo)識符未能匹配所述第二標(biāo)識符時(shí)發(fā)送重新認(rèn)證失敗消息。在所述裝置的一些方面，所述重新認(rèn)證失敗消息可以包括指示所述第一標(biāo)識符和所述第二標(biāo)識符之間的不匹配的tlv元素。在所述裝置的一些方面，所述第一次重新認(rèn)證可以包括eap重新認(rèn)證，所述第一會話密鑰可以包括emsk，所述重新認(rèn)證密鑰可以包括rrk，并且所述第二會話密鑰可以包括rmsk。

前面已經(jīng)相當(dāng)廣泛地概述了根據(jù)本公開內(nèi)容的示例的特征和技術(shù)優(yōu)點(diǎn)，以便可以更好地理解下面的具體實(shí)施方式。以下將描述另外的特征和優(yōu)點(diǎn)。公開的概念和具體示例可以容易地用作修改或設(shè)計(jì)用于實(shí)施本公開內(nèi)容的相同目的的其它結(jié)構(gòu)的基礎(chǔ)。這些等同的結(jié)構(gòu)沒有脫離所附權(quán)利要求書的范圍。當(dāng)結(jié)合附圖考慮時(shí)，根據(jù)下面的描述將更好地理解本文所公開的概念的特征(包括其組織和操作方法)以及相關(guān)聯(lián)的優(yōu)點(diǎn)。每個(gè)附圖僅用于說明和描述的目的，而不是作為對權(quán)利要求書限制的定義。

附圖說明

可以通過參照以下附圖來實(shí)現(xiàn)對本公開內(nèi)容的性質(zhì)和優(yōu)點(diǎn)的進(jìn)一步理解。在附圖中，類似的組件或特征可以具有相同的附圖標(biāo)記。此外，可以通過在附圖標(biāo)記后跟有破折號和用于區(qū)分相似組件的第二標(biāo)記來區(qū)分相同類型的各種組件。如果在說明書中僅使用第一附圖標(biāo)記，則描述適用于具有相同的第一附圖標(biāo)記的相似的組件中的任何一個(gè)，而與第二附圖標(biāo)記無關(guān)。

圖1示出了根據(jù)本公開內(nèi)容的各個(gè)方面的無線通信系統(tǒng)的框圖；

圖2示出了根據(jù)本公開內(nèi)容的各個(gè)方面的可用于無線站向認(rèn)證服務(wù)器的認(rèn)證或重新認(rèn)證的密鑰層級(keyhierarchy)；

圖3示出了根據(jù)本公開內(nèi)容的各個(gè)方面的用于無線通信的裝置的框圖；

圖4示出了根據(jù)本公開內(nèi)容的各個(gè)方面的用于無線通信的裝置的框圖；

圖5示出了根據(jù)本公開內(nèi)容的各個(gè)方面的用于無線通信的無線站的框圖；

圖6示出了根據(jù)本公開內(nèi)容的各個(gè)方面的用于無線通信的裝置的框圖；

圖7示出了根據(jù)本公開內(nèi)容的各個(gè)方面的用于無線通信的裝置的框圖；

圖8示出了根據(jù)本公開內(nèi)容的各個(gè)方面的用于無線通信的認(rèn)證服務(wù)器的框圖；

圖9示出了根據(jù)本公開內(nèi)容的各個(gè)方面示出無線通信的各方面的泳道圖；

圖10示出了根據(jù)本公開內(nèi)容的各個(gè)方面示出無線通信的各方面的泳道圖；

圖11示出了根據(jù)本公開內(nèi)容的各個(gè)方面示出無線通信的各方面的泳道圖；

圖12示出了根據(jù)本公開內(nèi)容的各個(gè)方面示出用于無線通信的方法的示例的流程圖；

圖13示出了根據(jù)本公開內(nèi)容的各個(gè)方面示出用于無線通信的方法的示例的流程圖；

圖14示出了根據(jù)本公開內(nèi)容的各個(gè)方面示出用于無線通信的方法的示例的流程圖；以及

圖15示出了根據(jù)本公開內(nèi)容的各個(gè)方面示出用于無線通信的方法的示例的流程圖。

具體實(shí)施方式

當(dāng)無線站(sta)向認(rèn)證服務(wù)器重新認(rèn)證(例如，作為站移動性以及經(jīng)由不同的接入點(diǎn)接入網(wǎng)絡(luò)的結(jié)果)時(shí)，可以在在無線站和無線站與認(rèn)證服務(wù)器進(jìn)行通信所經(jīng)由的接入點(diǎn)之間建立安全關(guān)聯(lián)之前，將信息從無線站發(fā)送給認(rèn)證服務(wù)器(例如，信息可以通過未加密的信道發(fā)送)。該信息在某些情況下可以包括emskname。截獲emskname的被動攻擊方可以使用emskname跟蹤與無線站或其用戶相關(guān)的信息。

為了減輕攻擊方截獲有用的跟蹤信息，在本公開內(nèi)容中描述的方法、系統(tǒng)、裝置和設(shè)備使得無線站能夠禁止諸如emskname之類的標(biāo)識符在向認(rèn)證服務(wù)器的重新認(rèn)證期間的傳輸。代替發(fā)送emskname以標(biāo)識重新認(rèn)證會話，無線站可以發(fā)送根據(jù)重新認(rèn)證密鑰(例如，rrk)和序列號來導(dǎo)出的標(biāo)識符。序列號可以是在與認(rèn)證服務(wù)器的相互完全認(rèn)證期間或作為與認(rèn)證服務(wù)器的相互完全認(rèn)證的結(jié)果來導(dǎo)出的。在生成用于第一重新認(rèn)證會話的第一標(biāo)識符時(shí)，無線站可以增加序列號，并根據(jù)重新認(rèn)證密鑰和下一序列號來導(dǎo)出第二標(biāo)識符。以這種方式，重新認(rèn)證會話的每個(gè)標(biāo)識符被用于無線站向認(rèn)證服務(wù)器的單次重新認(rèn)證。用于重新認(rèn)證的標(biāo)識符還使得無線站能夠禁止跟蹤可以在emskname中找到的信息。接收這樣的標(biāo)識符的認(rèn)證服務(wù)器可以根據(jù)在無線站與認(rèn)證服務(wù)器之間的先前的相互完全認(rèn)證期間與無線站共享的信息獨(dú)立地導(dǎo)出標(biāo)識符。然后，認(rèn)證服務(wù)器可以將由無線站導(dǎo)出的標(biāo)識符與由認(rèn)證服務(wù)器導(dǎo)出的標(biāo)識符進(jìn)行比較，以確定標(biāo)識符是否匹配。當(dāng)標(biāo)識符匹配時(shí)，無線站可以被重新認(rèn)證，并且認(rèn)證服務(wù)器可以向無線站可以接入網(wǎng)絡(luò)所經(jīng)由的接入點(diǎn)提供會話密鑰。當(dāng)標(biāo)識符不匹配時(shí)，認(rèn)證服務(wù)器可以指示重新認(rèn)證失敗，并且可以至少暫時(shí)指示接入點(diǎn)拒絕無線站對網(wǎng)絡(luò)的接入。

以下描述提供了示例，且不限制權(quán)利要求書中闡述的范圍、適用性或示例。在不脫離本公開內(nèi)容的范圍的情況下，可以對所討論的元件的功能和布置進(jìn)行改變。各種示例可以適當(dāng)?shù)厥÷?、替代或添加各種過程或組件。例如，可以以與所描述的方法相比不同的順序執(zhí)行所描述的方法，并且可以添加、省略或組合各種步驟。此外，關(guān)于一些示例描述的特征可以在其它示例中組合。

首先參照圖1，框圖示出了wlan網(wǎng)絡(luò)100的示例，諸如例如實(shí)現(xiàn)ieee802.11標(biāo)準(zhǔn)系列中的至少一個(gè)的網(wǎng)絡(luò)。wlan網(wǎng)絡(luò)100可以包括接入點(diǎn)(ap)105和無線設(shè)備或站(sta)115，諸如，移動站、個(gè)人數(shù)字助理(pda)、其它手持設(shè)備、上網(wǎng)本、筆記本電腦、平板電腦、筆記本電腦、顯示器設(shè)備(例如，tv、計(jì)算機(jī)監(jiān)視器等)、打印機(jī)等。雖然僅示出了一個(gè)ap105，但是wlan網(wǎng)絡(luò)100可以具有多個(gè)ap105。無線站115中的每一個(gè)也可以稱為移動站(ms)、移動設(shè)備、接入終端(at)、用戶設(shè)備(ue)、訂戶站(ss)或訂戶單元，可以經(jīng)由通信鏈路120與ap105相關(guān)聯(lián)和通信。每個(gè)ap105具有地理覆蓋區(qū)域110，使得該區(qū)域內(nèi)的無線站115通?？梢耘cap105通信。無線站115可以分散在整個(gè)地理覆蓋區(qū)域110中。每個(gè)無線站115可以是固定的或移動的。

盡管在圖1中未示出，但是無線站115可以被多于一個(gè)ap105覆蓋，因此可以在不同的時(shí)間與不同的ap105相關(guān)聯(lián)。單個(gè)ap105和相關(guān)聯(lián)的一組站可以被稱為基本服務(wù)集(bss)。擴(kuò)展服務(wù)集(ess)是一組連接的bss。分布系統(tǒng)(ds)(未示出)用于連接擴(kuò)展服務(wù)集中的ap105。用于接入點(diǎn)105的地理覆蓋區(qū)域110可以被劃分成僅構(gòu)成覆蓋區(qū)域的一部分(未示出)的扇區(qū)。wlan網(wǎng)絡(luò)100可以包括不同類型(例如，城域、家庭網(wǎng)絡(luò)等)的接入點(diǎn)105，具有大小變化的覆蓋區(qū)域和針對不同的技術(shù)的重疊覆蓋區(qū)域。雖然未示出，但是其它無線設(shè)備可以與ap105通信。

雖然無線站115可以使用通信鏈路120通過ap105彼此通信，但是每個(gè)無線站115還可以經(jīng)由直接無線鏈路125與其它無線站115直接通信。兩個(gè)或更多個(gè)無線站115可以當(dāng)兩個(gè)無線站115都位于ap地理覆蓋區(qū)域110中時(shí)，或者當(dāng)一個(gè)或沒有無線站115在ap地理覆蓋區(qū)域110(未示出)內(nèi)時(shí)，經(jīng)由直接無線鏈路125通信。直接無線鏈路125的示例可以包括wi-fi直接連接、通過使用wi-fi隧道直接鏈路設(shè)置(tdls)鏈路來建立的連接以及其它p2p組連接。這些示例中的無線站115可以根據(jù)包括來自ieee802.11標(biāo)準(zhǔn)的物理和mac層的wlan無線電和基帶協(xié)議及其各種版本(包括但不限于802.11b、802.11g、802.11a、802.11n、802.11ac、802.11ad、802.11ah等)進(jìn)行通信。在其它實(shí)現(xiàn)方式中，可以在wlan網(wǎng)絡(luò)100內(nèi)實(shí)現(xiàn)其它對等連接和/或自組織網(wǎng)絡(luò)。

針對wlan網(wǎng)絡(luò)100的隱私可以至少部分地由諸如ap105之類的ap和認(rèn)證服務(wù)器135或重新認(rèn)證服務(wù)器140來管理。當(dāng)無線站115首次訪問wlan網(wǎng)絡(luò)100時(shí)，ap105可以發(fā)起無線站115向認(rèn)證服務(wù)器135的認(rèn)證(例如，完全認(rèn)證)。當(dāng)無線站115從經(jīng)由第一ap接入wlan網(wǎng)絡(luò)100轉(zhuǎn)換到經(jīng)由第二ap(例如，ap105)接入wlan網(wǎng)絡(luò)100時(shí)，ap105可以發(fā)起無線站115向重新認(rèn)證服務(wù)器140的重新認(rèn)證。在一些示例中，認(rèn)證服務(wù)器135可以包括重新認(rèn)證服務(wù)器140或與重新認(rèn)證服務(wù)器140通信，其中重新認(rèn)證服務(wù)器140可以執(zhí)行針對認(rèn)證服務(wù)器135的重新認(rèn)證協(xié)議的部分或全部。為了本公開內(nèi)容的目的，認(rèn)證服務(wù)器135和/或重新認(rèn)證服務(wù)器140被單獨(dú)地或統(tǒng)稱為認(rèn)證服務(wù)器135。

無線站115可以包括：站側(cè)重新認(rèn)證組件130，其管理無線站115和wlan網(wǎng)絡(luò)100(例如，ap105或認(rèn)證服務(wù)器135)之間的無線通信的隱私的各方面。認(rèn)證服務(wù)器135可以包括：服務(wù)器側(cè)重新認(rèn)證組件145，其管理無線站115和wlan網(wǎng)絡(luò)100(例如，ap105或認(rèn)證服務(wù)器135)之間的無線通信的隱私的各方面。在一些示例中，無線站115的站側(cè)重新認(rèn)證組件130和認(rèn)證服務(wù)器135的服務(wù)器側(cè)重新認(rèn)證組件145可以參與無線站115向認(rèn)證服務(wù)器135的重新認(rèn)證。在一些示例中，重新認(rèn)證可以包括可擴(kuò)展認(rèn)證協(xié)議(eap)重新認(rèn)證。

轉(zhuǎn)到圖2，示出了根據(jù)本公開內(nèi)容的各個(gè)方面的可用于無線站向認(rèn)證服務(wù)器的認(rèn)證或重新認(rèn)證或者用于其它目的的示例性密鑰層級200。在一些示例中，密鑰層級200可以是可用于無線站向認(rèn)證服務(wù)器的wi-fi重新認(rèn)證的eap-rp密鑰層級的示例。在一些示例中，無線站或認(rèn)證服務(wù)器可以是關(guān)于圖1描述的無線站115或認(rèn)證服務(wù)器135的各方面的相應(yīng)示例。

密鑰層級200的根包括擴(kuò)展主會話密鑰(emsk)205。根據(jù)因特網(wǎng)工程任務(wù)組(ietf)請求注釋(rfc)3748(rfc3748)，emsk可以作為無線站和認(rèn)證服務(wù)器之間的相互完全認(rèn)證的結(jié)果而被導(dǎo)出，并可以包括至少64個(gè)字節(jié)的長度?？梢允褂胑ap會話id以及二進(jìn)制或文本指示來命名emsk205。eapsession-id(eap會話id)可以基于所使用的eap方法。一種示例性的eap方法是eap傳輸層安全(eap-tls)。eap-tls是在rfc5216中定義的。根據(jù)eap-tls，

key_material＝tls-prf-128(rk，“clienteapencryption”，client.random||serverrandom)(即，1024比特的輸出)

msk(主會話密鑰)＝key_material(0,63)(即，key_material的高位的512個(gè)比特)，

emsk＝key_material(64,127)(即，key_material的低位的512個(gè)比特)，以及

session-id＝0x0d||client.random||server.random，

其中client.random和server.random是在相互完全認(rèn)證期間在認(rèn)證服務(wù)器(as)和無線站(sta)之間交換的隨機(jī)數(shù)(每個(gè)32個(gè)字節(jié))，并且其中tls-prf-x生成x字節(jié)的輸出(即，8x個(gè)比特)，如在rfc4346中定義的。在一些示例中，emsk可以與到期時(shí)間相關(guān)聯(lián)。

根據(jù)emsk導(dǎo)出的密鑰可以由emsk的標(biāo)識符(例如，emskname)和后代密鑰使用的上下文指代，其中例外被以信號發(fā)送。在一些示例中，emskname可以按如下來導(dǎo)出：

emskname＝kdf(eapsession-id，“emsk”|“\0”|length)，其中kdf是密鑰導(dǎo)出函數(shù)，其中l(wèi)ength(長度)可以是8個(gè)字節(jié)(64個(gè)比特)。emskname可以是在相互完全eap認(rèn)證期間或者作為相互完全eap認(rèn)證的結(jié)果來導(dǎo)出的，并可以用于無線站向認(rèn)證服務(wù)器的常規(guī)重新認(rèn)證處理過程，直到在無線站和認(rèn)證服務(wù)器之間執(zhí)行下一相互完全eap認(rèn)證為止。

根據(jù)emsk205導(dǎo)出的密鑰可以包括：使用特定的根密鑰(usrk)210、域特定的根密鑰(dsrk)215或重新認(rèn)證根密鑰(rrk)220。rrk220(或rdsrk)還可以根據(jù)dsrk215導(dǎo)出。域特定的使用特定的根密鑰(dsusrk)240也可以根據(jù)dsrk215導(dǎo)出。rrk220可以按如下導(dǎo)出：

rrk＝kdf(k，s)，

其中k＝emsk或k＝dsrk，其中s＝rrklabel|“\0”|length，并且其中rrklabel(標(biāo)簽)可以是互聯(lián)網(wǎng)編號分配機(jī)構(gòu)(iana)-分配的8比特美國信息交換標(biāo)準(zhǔn)碼(ascii)字符串：eapre-authenticationrootkey(eap重新認(rèn)證根密鑰)@ietf.org。

重新認(rèn)證完整性密鑰(rik)225和重新認(rèn)證主會話密鑰(例如，rmsk1230...rmskn235)可以根據(jù)rrk220(或rdsrk)導(dǎo)出。rik225可以按如下導(dǎo)出：

rik＝kdf(k，s)，

其中k＝rrk，其中s＝riklabel|“\0”|cryptosuite|length，并且其中riklabel可以是8比特的ascii字符串：re-authenticationintegritykey(重新認(rèn)證完整性密鑰)@ietf.org。

rmsk可以按如下導(dǎo)出：

rmsk＝kdf(k，s)，

其中k＝rrk，其中s＝rmsklabel|“\0”|seq|length，其中rmsk標(biāo)簽可以是8比特的ascii字符串：re-authenticationmastersessionkey(重新認(rèn)證主會話密鑰)@ietf.org，并且其中seq可以是無線站在eap發(fā)起/重新認(rèn)證發(fā)起(或eap請求/標(biāo)識)消息中發(fā)送的序列號，并可用于重放保護(hù)。當(dāng)執(zhí)行重新認(rèn)證時(shí)，seq可以增加1，并且當(dāng)導(dǎo)出新的rrk時(shí)，seq可以初始化為0。

在任何上述導(dǎo)出中，hmac-sha-256可以用作默認(rèn)kdf。

當(dāng)無線站(例如，作為站移動性的結(jié)果)從經(jīng)由網(wǎng)絡(luò)中的第一接入點(diǎn)(例如，wlan網(wǎng)絡(luò)中的第一接入點(diǎn))進(jìn)行通信轉(zhuǎn)換到經(jīng)由網(wǎng)絡(luò)中的第二接入點(diǎn)進(jìn)行通信時(shí)，無線站可以向認(rèn)證服務(wù)器重新認(rèn)證其自身。作為無線站從第一接入點(diǎn)到第二接入點(diǎn)的切換的結(jié)果或者由于其它原因，無線站可以經(jīng)由第一接入點(diǎn)進(jìn)行通信轉(zhuǎn)換到經(jīng)由第二接入點(diǎn)進(jìn)行通信。當(dāng)無線站使用eap-rp向認(rèn)證服務(wù)器重新認(rèn)證時(shí)，無線站可以將emskname發(fā)送給認(rèn)證服務(wù)器。emskname可以用于識別重新認(rèn)證會話和對應(yīng)的rrk220。然而，emskname是在無線站和接入點(diǎn)之間建立安全關(guān)聯(lián)之前，通過無線信道發(fā)送的(即，emskname是在沒有被加密的情況下(例如，作為純文本)發(fā)送的)。因此，被動攻擊方可能截獲emskname，并使用emskname跟蹤與無線站或其用戶相關(guān)的信息。本公開內(nèi)容描述了系統(tǒng)、方法和裝置，在這些系統(tǒng)、方法和裝置中，無線站可以禁止emsk名稱在無線站向認(rèn)證服務(wù)器的重新認(rèn)證期間的傳輸。

圖3示出了根據(jù)本公開內(nèi)容的各個(gè)方面的用在用于無線通信的無線站中的裝置115-a的框圖300。在一些示例中，裝置115-a可以是參照圖1描述的無線站115的各方面的示例。裝置115-a還可以是或包括處理器(未示出)。裝置115-a可以包括：接收機(jī)305、站側(cè)重新認(rèn)證組件310和/或發(fā)射機(jī)315。這些組件中的每一個(gè)可以彼此通信。

裝置115-a通過接收機(jī)305、站側(cè)重新認(rèn)證組件310和/或發(fā)射機(jī)315可以執(zhí)行本文描述的功能。例如，裝置115-a可以管理向認(rèn)證服務(wù)器重新認(rèn)證包括裝置115-a的無線站的各方面。

裝置115-a的組件可以單獨(dú)地或集體地使用適用于在硬件中執(zhí)行某些或全部可應(yīng)用功能的專用集成電路(asic)來實(shí)現(xiàn)?；蛘撸δ芸梢杂杉呻娐飞系钠渌幚韱卧?或核)執(zhí)行。在其它示例中，可以使用其它類型的集成電路(例如，結(jié)構(gòu)化/平臺asic、現(xiàn)場可編程門陣列(fpga)和其它半定制ic)，其可以以本領(lǐng)域已知的任何方式編程。每個(gè)組件的功能也可以全部或部分地用包含在存儲器中的指令來實(shí)現(xiàn)，該指令可以被格式化為由通用或?qū)Ｓ锰幚砥鲌?zhí)行。

接收機(jī)305可以接收諸如與各種信息信道(例如，控制信道、數(shù)據(jù)信道等)相關(guān)聯(lián)的分組、用戶數(shù)據(jù)和/或控制信息的信息。接收機(jī)305可以在包括裝置115-a的無線站向認(rèn)證服務(wù)器的重新認(rèn)證期間從接入點(diǎn)接收信號、消息等。信息可以被傳遞到站側(cè)重新認(rèn)證組件310和到裝置115-a的其它組件。

站側(cè)重新認(rèn)證組件310可以監(jiān)測、管理或以其它方式執(zhí)行與向認(rèn)證服務(wù)器重新認(rèn)證包括裝置115-a的無線站的各方面相關(guān)的功能。站側(cè)重新認(rèn)證組件310可以根據(jù)重新認(rèn)證密鑰和序列號(并且在某些情況下，根據(jù)標(biāo)識符標(biāo)簽)導(dǎo)出第一標(biāo)識符?？梢灾辽俨糠值馗鶕?jù)第一會話密鑰導(dǎo)出重新認(rèn)證密鑰。第一會話密鑰可以是在包括裝置115-a的無線站和認(rèn)證服務(wù)器之間的相互完全認(rèn)證期間或作為該相互完全認(rèn)證的結(jié)果而導(dǎo)出的。

站側(cè)重新認(rèn)證組件310還可以向認(rèn)證方(例如，接入點(diǎn))發(fā)送第一標(biāo)識符和域名。第一標(biāo)識符和域名可以是在無線站向認(rèn)證服務(wù)器的第一次重新認(rèn)證期間發(fā)送的，并且可以經(jīng)由接收機(jī)315發(fā)送?？梢栽诘谝淮沃匦抡J(rèn)證期間禁止第一會話密鑰的名稱的傳輸。在一些示例中，第一標(biāo)識符可以用于包括裝置115-a的無線站向認(rèn)證服務(wù)器的單次重新認(rèn)證。

在一些實(shí)施例中，由站側(cè)重新認(rèn)證組件310執(zhí)行的重新認(rèn)證(例如，第一次重新認(rèn)證)可以包括wi-fi重新認(rèn)證。在這些實(shí)施例中，重新認(rèn)證可以包括eap重新認(rèn)證，第一會話密鑰可以包括emsk，并且重新認(rèn)證密鑰可以包括rrk。

發(fā)射機(jī)315可以發(fā)送從裝置115-a的其它組件接收的信號。發(fā)射機(jī)315可以發(fā)送向認(rèn)證服務(wù)器重新認(rèn)證包括裝置115-a的無線站相關(guān)聯(lián)的各種信號、消息等。在一些示例中，發(fā)射機(jī)315可以與收發(fā)機(jī)組件中的接收機(jī)305并置。發(fā)射機(jī)315可以包括單個(gè)天線或多個(gè)天線。

圖4示出了根據(jù)本公開內(nèi)容的各個(gè)方面的用在用于無線通信的無線站中的裝置115-b的框圖400。裝置115-b可以是參照圖1描述的無線站115的各方面的示例。其也可以是參照圖3描述的裝置115-a的示例。裝置115-b可以包括接收機(jī)305a、站側(cè)重新認(rèn)證組件310-a和/或發(fā)射機(jī)315-a，其可以是裝置115-a的對應(yīng)組件的示例。裝置115-b還可以包括處理器(未示出)。這些組件中的每一個(gè)可以彼此通信。站側(cè)重新認(rèn)證組件310-a可以包括重新認(rèn)證發(fā)起管理組件405、標(biāo)識符導(dǎo)出組件410、重新認(rèn)證信息傳輸組件415或重新認(rèn)證失敗管理組件420。接收機(jī)305-a和發(fā)射機(jī)315-a可以分別執(zhí)行圖3的接收機(jī)305和發(fā)射機(jī)315的功能。

重新認(rèn)證發(fā)起管理組件405可以監(jiān)測、管理或以其它方式執(zhí)行與發(fā)起eap重新認(rèn)證相關(guān)的功能。eap重新認(rèn)證可以包括包括裝置115-b的無線站向認(rèn)證服務(wù)器的重新認(rèn)證。在一些方面，重新認(rèn)證發(fā)起管理組件405可以從包括裝置115-b的無線站已被切換到的接入點(diǎn)(或者從包括裝置115-b的無線站嘗試接入網(wǎng)絡(luò)所經(jīng)由的接入點(diǎn))接收eap發(fā)起/重新認(rèn)證開始(或eap請求/標(biāo)識)消息。

在一些方面，標(biāo)識符導(dǎo)出組件410可以管理導(dǎo)出可用于重新認(rèn)證的標(biāo)識符的各方面。在一些示例中，標(biāo)識符導(dǎo)出組件410可以根據(jù)重新認(rèn)證密鑰(例如，rrk)、序列號(seq)和標(biāo)識符標(biāo)簽來導(dǎo)出標(biāo)識符(例如，rrkname)。例如，標(biāo)識符可以使用下面的公式來導(dǎo)出：

rrkname＝kdf(rrk，rrknamelabel|“\0”|seq|length)其中rrknamelabel＝“keyname”，其中seq是序列號，例如在用于重放保護(hù)的rmsk導(dǎo)出中定義的序列號，并且其中l(wèi)ength＝8字節(jié)(即8個(gè)八比特字節(jié))。rrk可以至少部分地根據(jù)第一會話密鑰(例如，emsk)導(dǎo)出。第一會話密鑰可以是在包括裝置115-b的無線站和認(rèn)證服務(wù)器之間的相互完全認(rèn)證期間或作為該相互完全認(rèn)證的結(jié)果來導(dǎo)出的。可以使用用于rrkname的kdf和第一序列號(例如，seq＝seq1)來導(dǎo)出第一標(biāo)識符；可以使用用于rrkname的kdf和第二序列號(例如seq2＝seq1+1)來導(dǎo)出第二標(biāo)識符；等等。

重新認(rèn)證信息傳輸組件415可以在包括裝置115-b的無線站向認(rèn)證服務(wù)器的重新認(rèn)證期間管理或以其它方式執(zhí)行與向認(rèn)證方(例如，接入點(diǎn))發(fā)送標(biāo)識符和域名相關(guān)的功能。例如，重新認(rèn)證信息傳輸組件415可以在無線站向認(rèn)證服務(wù)器的第一次重新認(rèn)證期間向認(rèn)證方發(fā)送第一標(biāo)識符和域名，并且可以在再次嘗試完成第一次重新認(rèn)證期間(或在無線站向認(rèn)證服務(wù)器的第二次重新認(rèn)證期間)向認(rèn)證方發(fā)送第二標(biāo)識符和域名。在再次嘗試完成第一次認(rèn)證期間和/或在第二次重新認(rèn)證期間，可以禁止第一會話密鑰的名稱的傳輸。由標(biāo)識符導(dǎo)出組件410導(dǎo)出的每個(gè)標(biāo)識符可以由重新認(rèn)證信息傳輸組件415發(fā)送一次(例如，在為向認(rèn)證服務(wù)器重新認(rèn)證包括裝置115-b的無線站的單次嘗試期間使用的)。

重新認(rèn)證失敗管理組件420可以單獨(dú)地或與裝置115-b的其它組件協(xié)作地管理重新認(rèn)證失敗。例如，響應(yīng)于接收到重新認(rèn)證失敗消息，重新認(rèn)證失敗管理組件420可以使重新認(rèn)證信息傳輸組件415發(fā)送基于下一序列號(例如，加一后的序列號)的標(biāo)識符。替代地，重新認(rèn)證失敗管理組件420可以指示向認(rèn)證服務(wù)器重新認(rèn)證的失敗和/或觸發(fā)與認(rèn)證服務(wù)器的相互完全認(rèn)證。

轉(zhuǎn)到圖5，示出了圖500，其示出能夠執(zhí)行向認(rèn)證服務(wù)器的重新認(rèn)證的無線站115-c。無線站115-c可以具有各種配置，并且可以包括如下各項(xiàng)或者是如下各項(xiàng)的部分：個(gè)人計(jì)算機(jī)(例如，膝上型計(jì)算機(jī)、上網(wǎng)本計(jì)算機(jī)、平板計(jì)算機(jī)等)、蜂窩電話、pda、數(shù)字錄像機(jī)(dvr)、互聯(lián)網(wǎng)設(shè)備、游戲機(jī)、電子閱讀器等。無線站115-c可以具有諸如小型電池的內(nèi)部電源(未示出)，以便于移動操作。無線站115-c可以是圖1、3和4的無線站115和/或裝置115的示例。

無線站115-c可以包括處理器505、存儲器515、收發(fā)機(jī)535、天線540、站側(cè)重新認(rèn)證組件310-b和通信管理組件510。站側(cè)重新認(rèn)證組件310-b可以是圖3或4的站側(cè)重新認(rèn)證組件310的示例。這些組件中的每一個(gè)可以通過至少一個(gè)總線545直接或間接地彼此通信。

存儲器515可以包括隨機(jī)存取存儲器(ram)或只讀存儲器(rom)。存儲器515可以存儲包含指令的計(jì)算機(jī)可讀的計(jì)算機(jī)可執(zhí)行軟件(sw)代碼520，所述指令在被執(zhí)行時(shí)使得處理器505執(zhí)行本文描述的用于向認(rèn)證服務(wù)器重新認(rèn)證無線站115-c的各種功能。替代地，軟件代碼520可以不是由處理器505直接執(zhí)行，而是使計(jì)算機(jī)(例如，當(dāng)被編譯和執(zhí)行時(shí))執(zhí)行本文所述的功能。

處理器505可以包括智能硬件設(shè)備，例如中央處理單元(cpu)、微控制器、asic等。處理器505可以處理通過收發(fā)機(jī)535接收的和/或要發(fā)送到收發(fā)機(jī)535用于通過天線540進(jìn)行傳輸?shù)男畔ⅰＬ幚砥?05可以單獨(dú)地或與站側(cè)重新認(rèn)證組件310-b結(jié)合地處理向認(rèn)證服務(wù)器重新認(rèn)證無線站115-c的各方面。

收發(fā)機(jī)535可以與圖1所示的至少一個(gè)ap105、或與圖1、3和4所示的其它無線站115、移動設(shè)備和/或裝置雙向通信。在一些示例中，收發(fā)機(jī)535可以被實(shí)現(xiàn)為至少一個(gè)發(fā)射機(jī)組件和至少一個(gè)分開的接收機(jī)組件。收發(fā)機(jī)535可以包括：調(diào)制解調(diào)器，用以調(diào)制分組并將調(diào)制的分組提供給天線540用于傳輸，并且用以解調(diào)從天線540接收的分組。雖然無線站115-c可以包括單個(gè)天線，但是可以存在這樣的方面，在這些方面中無線站115-c可以包括多個(gè)天線540。

根據(jù)圖5的架構(gòu)，無線站115-c還可以包括通信管理組件510。通信管理組件510可以管理與各種接入點(diǎn)105-a、無線站115-d等的通信。通信管理組件510可以是無線站115-c的通過至少一個(gè)總線545與無線站115-c的一些或所有其它組件通信的組件。替代地，通信管理組件510的功能可以實(shí)現(xiàn)為收發(fā)機(jī)的組件535、實(shí)現(xiàn)為計(jì)算機(jī)程序產(chǎn)品、和/或?qū)崿F(xiàn)為處理器505的至少一個(gè)控制器元件。

無線站115-c的組件可以實(shí)現(xiàn)上面關(guān)于圖1、3和4討論的各方面，并且為簡潔起見，這些方面在本文可以不重復(fù)。

圖6示出了根據(jù)本公開內(nèi)容的各個(gè)方面的用在認(rèn)證服務(wù)器中的裝置135-a的框圖600。在一些示例中，裝置135-a可以是參照圖1描述的認(rèn)證服務(wù)器135的各方面的示例。裝置135-a還可以是或包括處理器(未示出)。裝置135-a可以包括接收機(jī)605、服務(wù)器側(cè)重新認(rèn)證組件610和/或發(fā)射機(jī)615。這些組件中的每一個(gè)可以彼此通信。

裝置135-a通過接收機(jī)605、服務(wù)器側(cè)重新認(rèn)證組件610和/或發(fā)射機(jī)615可以執(zhí)行本文所述的功能。例如，裝置135-a可以管理向包括裝置135-a的認(rèn)證服務(wù)器重新認(rèn)證無線站的各方面。

裝置135-a的組件可以單獨(dú)地或集體地使用適于在硬件中執(zhí)行一些或全部可應(yīng)用的功能的asic來實(shí)現(xiàn)?；蛘?，功能可以由集成電路上的其它處理單元(或核)執(zhí)行。在其它示例中，可以使用其它類型的集成電路(例如，結(jié)構(gòu)化/平臺asic、fpga和其它半定制ic)，其可以以本領(lǐng)域已知的任何方式編程。每個(gè)組件的功能也可以全部或部分地用包含在存儲器中的指令來實(shí)現(xiàn)，該指令可以被格式化為由通用或?qū)Ｓ锰幚砥鲌?zhí)行。

接收機(jī)605可以接收諸如與各種信息信道(例如，控制信道、數(shù)據(jù)信道等)相關(guān)聯(lián)的分組、用戶數(shù)據(jù)和/或控制信息的信息。在無線站向包括裝置135-a的認(rèn)證服務(wù)器的重新認(rèn)證期間，接收機(jī)605可以從接入點(diǎn)接收信號、消息等。信息可以被傳遞給服務(wù)器側(cè)重新認(rèn)證組件610和給裝置135-a的其它組件。

服務(wù)器側(cè)重新認(rèn)證組件610可以監(jiān)測、管理或以其它方式執(zhí)行與向認(rèn)證服務(wù)器重新認(rèn)證包括裝置115-a的無線站的各方面相關(guān)的功能。服務(wù)器側(cè)重新認(rèn)證組件610可以根據(jù)重新認(rèn)證密鑰和序列號(以及在某些情況下，根據(jù)標(biāo)識符標(biāo)簽)導(dǎo)出第一標(biāo)識符?？梢灾辽俨糠值馗鶕?jù)第一會話密鑰導(dǎo)出重新認(rèn)證密鑰。第一會話密鑰可以是在無線站和包括裝置135-a的認(rèn)證服務(wù)器之間的相互完全認(rèn)證期間或作為該相互完全認(rèn)證的結(jié)果而導(dǎo)出的。

服務(wù)器側(cè)重新認(rèn)證組件610還可以接收第二標(biāo)識符?？梢栽跓o線站向包括裝置135-a的認(rèn)證服務(wù)器的第一次重新認(rèn)證期間接收第二標(biāo)識符。在一些示例中，第二標(biāo)識符可以用于無線站向包括裝置135-a的認(rèn)證服務(wù)器的單次重新認(rèn)證。在一些示例中，第二標(biāo)識符可以是經(jīng)由認(rèn)證方(例如，接入點(diǎn))在認(rèn)證服務(wù)器處接收的。

此外，服務(wù)器側(cè)重新認(rèn)證組件610可以將第一標(biāo)識符與第二標(biāo)識符進(jìn)行比較。然后，服務(wù)器側(cè)重新認(rèn)證組件610可以至少部分地基于比較來發(fā)送第二會話密鑰。例如，當(dāng)?shù)谝粯?biāo)識符匹配第二標(biāo)識符時(shí)，服務(wù)器側(cè)重新認(rèn)證組件610可以將第二會話密鑰發(fā)送給從無線站接收第二標(biāo)識符所經(jīng)由的認(rèn)證方(例如，接入點(diǎn))。

在一些實(shí)施例中，由服務(wù)器側(cè)重新認(rèn)證組件610執(zhí)行的重新認(rèn)證(例如，第一次重新認(rèn)證)可以包括wi-fi重新認(rèn)證。在這些實(shí)施例中，重新認(rèn)證可以包括eap重新認(rèn)證，第一會話密鑰可以包括emsk，重新認(rèn)證密鑰可以包括rrk，并且第二會話密鑰可以包括rmsk。

發(fā)射機(jī)615可以發(fā)送從裝置135-a的其它組件接收的信號。發(fā)射機(jī)615可以發(fā)送與向包括裝置135-a的認(rèn)證服務(wù)器重新認(rèn)證無線站相關(guān)聯(lián)的各種信號、消息等。在一些示例中，發(fā)射機(jī)615可以與收發(fā)機(jī)組件中的接收機(jī)605并置。發(fā)射機(jī)615可以包括單個(gè)天線或多個(gè)天線。

圖7示出了根據(jù)本公開內(nèi)容的各個(gè)方面的用在用于無線通信的認(rèn)證服務(wù)器中的裝置135-b的框圖700。裝置135-b可以是參照圖1描述的認(rèn)證服務(wù)器135的示例。其也可以是參照圖6描述的裝置135-a的示例。裝置135-b可以包括接收機(jī)605-a、服務(wù)器側(cè)重新認(rèn)證組件610-a和/或發(fā)射機(jī)615-a，其可以是裝置135-a的對應(yīng)組件的示例。裝置135-b還可以包括處理器(未示出)。這些組件中的每一個(gè)可以彼此通信。服務(wù)器側(cè)重新認(rèn)證組件610-a可以包括標(biāo)識符導(dǎo)出組件705、重新認(rèn)證信息接收組件710、重新認(rèn)證管理組件715、重新認(rèn)證信息傳輸組件720或重新認(rèn)證失敗管理組件725。接收機(jī)605-a和發(fā)射機(jī)615-a可以分別執(zhí)行圖6的接收機(jī)605和發(fā)射機(jī)615的功能。

在一些方面，標(biāo)識符導(dǎo)出組件705可以管理導(dǎo)出可用于重新認(rèn)證的標(biāo)識符的各方面。在一些示例中，標(biāo)識符導(dǎo)出組件705可以根據(jù)重新認(rèn)證密鑰(例如，rrk)、序列號(seq)和標(biāo)識符標(biāo)簽來導(dǎo)出標(biāo)識符(例如，rrkname)。例如，可以使用關(guān)于圖4描述的針對rrkname的公式來導(dǎo)出標(biāo)識符?？梢灾辽俨糠值馗鶕?jù)第一會話密鑰(例如，emsk)來導(dǎo)出重新認(rèn)證密鑰(rrk)。第一會話密鑰可以是在無線站和包括裝置115-b的認(rèn)證服務(wù)器之間的相互完全認(rèn)證期間或作為該相互完全認(rèn)證的結(jié)果而導(dǎo)出的?？梢允褂糜糜趓rkname的kdf和第一序列號(例如，seq＝seq1)來導(dǎo)出第一標(biāo)識符；可以使用用于rrkname的kdf和第二序列號(例如，seq2＝seq1+1)來導(dǎo)出第二標(biāo)識符；等等。

重新認(rèn)證信息接收組件710可以管理或以其它方式執(zhí)行與在無線站向包括裝置135-b的認(rèn)證服務(wù)器的重新認(rèn)證期間接收標(biāo)識符相關(guān)的功能。例如，重新認(rèn)證信息接收組件710可以在無線站向認(rèn)證服務(wù)器的第一次重新認(rèn)證期間從無線站接收第一標(biāo)識符，并且可以在為完成第一次重新認(rèn)證的再次嘗試期間(或在無線站向認(rèn)證服務(wù)器的第二次重新認(rèn)證期間)從無線站接收第二標(biāo)識符。標(biāo)識符可以是經(jīng)由認(rèn)證方(例如，接入點(diǎn))從無線站接收的。

在一些方面，重新認(rèn)證管理組件715可以管理或以其它方式執(zhí)行與重新認(rèn)證無線站相關(guān)的功能。例如，重新認(rèn)證管理組件715可以將從無線站接收的標(biāo)識符與由裝置135-b導(dǎo)出的標(biāo)識符進(jìn)行比較。除了在無線站和包括裝置135-b的認(rèn)證服務(wù)器之間的相互完全認(rèn)證期間或作為該相互完全認(rèn)證的結(jié)果而交換密鑰信息之外，無線站和裝置135-b還可以同步其序列號的生成。當(dāng)從無線站接收的標(biāo)識符匹配由裝置135-b導(dǎo)出的標(biāo)識符時(shí)，重新認(rèn)證管理組件715可以使重新認(rèn)證信息傳輸組件720發(fā)送第二會話密鑰。第二會話密鑰可以被發(fā)送給接收從無線站接收的標(biāo)識符所經(jīng)由的認(rèn)證方(例如，接入點(diǎn))。

重新認(rèn)證失敗管理組件725可以單獨(dú)地或與裝置135-b的其它組件協(xié)作地管理重新認(rèn)證失敗。例如，當(dāng)從無線站接收的標(biāo)識符未能匹配由裝置135-b導(dǎo)出的標(biāo)識符時(shí)，重新認(rèn)證失敗管理組件725可以發(fā)送重新認(rèn)證失敗消息(例如，如由rfc6696定義的)。重新認(rèn)證失敗消息可以包括指示標(biāo)識符之間的不匹配的類型長度值(tlv)元素。重新認(rèn)證失敗消息可以被發(fā)送給從其接收到不匹配標(biāo)識符的無線站?？梢越?jīng)由接入點(diǎn)將重新認(rèn)證失敗消息發(fā)送給無線站，其中不匹配標(biāo)識符是通過該接入點(diǎn)由裝置135-b接收的。由于裝置135-b不能匹配標(biāo)識符，重新認(rèn)證失敗消息的傳輸可能不是完整性受保護(hù)的(例如，裝置135-b可能不能定位與rrk相對應(yīng)的rik)。

轉(zhuǎn)到圖8，示出了圖800，其示出了能夠執(zhí)行無線站的重新認(rèn)證的認(rèn)證服務(wù)器135-c。認(rèn)證服務(wù)器135-c可以是圖1、6和7的認(rèn)證服務(wù)器135和/或裝置135的示例。認(rèn)證服務(wù)器135-c可以包括處理器810、存儲器820、收發(fā)機(jī)830、天線840和服務(wù)器側(cè)重新認(rèn)證組件610-b。服務(wù)器側(cè)重新認(rèn)證組件610-b可以是圖6或7的服務(wù)器側(cè)重新認(rèn)證組件610的示例。在一些示例中，認(rèn)證服務(wù)器135-c還可以包括ap/基站通信組件860。這些組件中的每一個(gè)可以通過至少一個(gè)總線805直接或間接地彼此通信。

存儲器820可以包括ram或rom。存儲器820還可以存儲包含指令的計(jì)算機(jī)可讀的計(jì)算機(jī)可執(zhí)行的sw代碼825，該指令在被執(zhí)行時(shí)使得處理器810執(zhí)行本文描述的用于向認(rèn)證服務(wù)器135-c重新認(rèn)證無線站的各種功能。替代地，軟件代碼825可能不可由處理器810直接執(zhí)行，而是使計(jì)算機(jī)(例如，當(dāng)被編譯和執(zhí)行時(shí))執(zhí)行本文所述的功能。

處理器810可以包括智能硬件設(shè)備，例如cpu、微控制器、asic等。處理器810可以處理通過收發(fā)機(jī)830和/或ap/基站通信組件860接收的信息。處理器810還可以處理要發(fā)送到收發(fā)機(jī)830用于通過天線840和/或ap/基站通信組件860進(jìn)行傳輸?shù)男畔ⅰＬ幚砥?10可以單獨(dú)地或與服務(wù)器側(cè)重新認(rèn)證組件610-b結(jié)合地處理與無線臺的重新認(rèn)證相關(guān)的各個(gè)方面。

收發(fā)機(jī)830可以包括：調(diào)制解調(diào)器，用以調(diào)制分組并將調(diào)制的分組提供給天線840用于傳輸，并且用以解調(diào)從天線840接收的分組。收發(fā)機(jī)830可以實(shí)現(xiàn)為至少一個(gè)發(fā)射機(jī)組件以及至少一個(gè)分開的接收機(jī)組件。收發(fā)機(jī)830可以經(jīng)由天線840與諸如關(guān)于圖1描述的接入點(diǎn)105的至少一個(gè)接入點(diǎn)105雙向地通信。認(rèn)證服務(wù)器135-c通?？梢园ǘ鄠€(gè)天線840(例如，天線陣列)。認(rèn)證服務(wù)器135-c可以使用ap/基站通信組件860與ap/基站(諸如接入點(diǎn)/基站105-b或接入點(diǎn)/基站105-c)通信。

認(rèn)證服務(wù)器135-c的組件可以實(shí)現(xiàn)上面關(guān)于圖1、6和7討論的各方面，為簡潔起見，這些方面在本文可以不重復(fù)。

圖9是根據(jù)本公開內(nèi)容的各個(gè)方面示出無線通信的各方面的泳道圖900。圖900可以示出參照圖1描述的wlan網(wǎng)絡(luò)100的各方面。圖900包括無線站(sta)115-e、接入點(diǎn)(ap)105-d和認(rèn)證服務(wù)器(as)135-d。無線站115-e可以是上面關(guān)于圖1和3-5描述的無線站115和/或裝置115中的至少一個(gè)的示例。接入點(diǎn)105-d可以是上面關(guān)于圖1、5和8描述的接入點(diǎn)105中的至少一個(gè)的示例。認(rèn)證服務(wù)器135-d可以是上面關(guān)于圖1和6-8描述的認(rèn)證服務(wù)器135和/或裝置135中的至少一個(gè)的示例。通常，圖900示出了向認(rèn)證服務(wù)器135-d重新認(rèn)證無線站115-e的各方面。在一些示例中，諸如無線站115、裝置115、接入點(diǎn)105、認(rèn)證服務(wù)器135和/或裝置135中的一個(gè)的系統(tǒng)設(shè)備可以執(zhí)行代碼集以控制設(shè)備的功能元件執(zhí)行如下描述的功能的一些或全部。

在框905，無線站115-e可以根據(jù)重新認(rèn)證密鑰和序列號在無線站處導(dǎo)出第一標(biāo)識符。可以至少部分地根據(jù)第一會話密鑰導(dǎo)出重新認(rèn)證密鑰。

在910，無線站115-e可以向接入點(diǎn)105-d(例如，一種類型的認(rèn)證方)發(fā)送第一標(biāo)識符和域名?？梢栽跓o線站115-e向認(rèn)證服務(wù)器135-d的第一次重新認(rèn)證期間發(fā)送第一標(biāo)識符和域名?？梢栽诘谝淮沃匦抡J(rèn)證期間禁止第一會話密鑰的名稱的傳輸。在一些示例中，接入點(diǎn)105-d可以使用域名來識別認(rèn)證服務(wù)器135-d，并且可以將第一標(biāo)識符作為radius-access-request(radius接入請求)915的一部分發(fā)送給認(rèn)證服務(wù)器135-d。在一些示例中，第一次重新認(rèn)證可以包括wi-fi重新認(rèn)證。

圖10是示出根據(jù)本公開內(nèi)容的各個(gè)方面的無線通信的各方面的泳道圖1000。圖1000可以示出參照圖1描述的wlan網(wǎng)絡(luò)100的各方面。圖1000包括無線站(sta)115-f、接入點(diǎn)(ap)105-e和認(rèn)證服務(wù)器(as)135-e。無線站115-f可以是上面關(guān)于圖1、3-5和9描述的無線站115和/或裝置115中的至少一個(gè)的示例。接入點(diǎn)105-e可以是上面參照圖1、5、8和9描述的接入點(diǎn)105中的至少一個(gè)的示例。認(rèn)證服務(wù)器135-e可以是以上關(guān)于圖1和6-9描述的認(rèn)證服務(wù)器135和/或裝置135中的至少一個(gè)的示例。通常，圖1000示出了向認(rèn)證服務(wù)器135-e重新認(rèn)證無線站115-f的各方面。在一些示例中，諸如無線站115、裝置115、接入點(diǎn)105、認(rèn)證服務(wù)器135和/或裝置135中的一個(gè)的系統(tǒng)設(shè)備可以執(zhí)行代碼集以控制設(shè)備的功能元件執(zhí)行如下描述的功能的一些或全部。

在1005，接入點(diǎn)105-e可以請求無線站115-f的標(biāo)識。在一些示例中，接入點(diǎn)105-e可以在無線站115-f切換到接入點(diǎn)105-e時(shí)或在無線站115-f嘗試經(jīng)由接入點(diǎn)105-e接入網(wǎng)絡(luò)或服務(wù)時(shí)請求無線站115-f的標(biāo)識。

在框1010，無線站115-f可以根據(jù)第一重新認(rèn)證密鑰和第一序列號在無線站處導(dǎo)出第一標(biāo)識符?？梢灾辽俨糠值馗鶕?jù)第一會話密鑰導(dǎo)出第一重新認(rèn)證密鑰。

在1015處，響應(yīng)于對其標(biāo)識的請求，無線站115-f可以向接入點(diǎn)105-e(例如，一種類型的認(rèn)證方)發(fā)送第一標(biāo)識符和域名?？梢栽跓o線站115-f向認(rèn)證服務(wù)器135-e的第一次重新認(rèn)證期間發(fā)送第一標(biāo)識符和域名?？梢栽诘谝淮沃匦抡J(rèn)證期間禁止第一會話密鑰的名稱的傳輸。在一些示例中，接入點(diǎn)105-e可以使用域名來識別認(rèn)證服務(wù)器135-e，并且可以在1020處將第一標(biāo)識符作為radius-access-request消息的一部分發(fā)送給認(rèn)證服務(wù)器135-e。

在框1025，認(rèn)證服務(wù)器135-e可以根據(jù)第二重新認(rèn)證密鑰和第二序列號導(dǎo)出第二標(biāo)識符。可以至少部分地根據(jù)第二會話密鑰導(dǎo)出第二重新認(rèn)證密鑰。如果無線站115-f先前完成了與認(rèn)證服務(wù)器135-e的相互完全認(rèn)證，則第一重新認(rèn)證密鑰和第二重新認(rèn)證將相同，第一會話密鑰和第二會話密鑰將是相同，并且第一序列號和第二序列號將相同。

在框1030，認(rèn)證服務(wù)器135-e可以將第一標(biāo)識符與第二標(biāo)識符進(jìn)行比較，并確定第一標(biāo)識符匹配第二標(biāo)識符。

在1035，認(rèn)證服務(wù)器135-e可以向接入點(diǎn)105-e發(fā)送第三會話密鑰。在一些示例中，認(rèn)證服務(wù)器135-e可以將第三會話密鑰作為radius-access-accept(radius接入接受)消息的一部分發(fā)送給接入點(diǎn)105-e。

在框1040和1045，并且至少部分地基于接入點(diǎn)對第三會話密鑰的接收，接入點(diǎn)105-e和無線站115-f可以完成第一次重新認(rèn)證。

在框1050，無線站115-f可以至少部分地基于第一序列號來生成下一序列號(例如，第三序列號)。在框1055，無線站115-f可以至少部分地基于第一重新認(rèn)證密鑰和第三序列號來導(dǎo)出第三標(biāo)識符?？梢栽跓o線站115-f向認(rèn)證服務(wù)器135-e的第二次重新認(rèn)證期間，將第三標(biāo)識符和域名發(fā)送給認(rèn)證服務(wù)器135-e。在一些示例中，可以經(jīng)由接入點(diǎn)105-e之外的接入點(diǎn)來執(zhí)行第二重新認(rèn)證。也可以在第二次重新認(rèn)證期間禁止第一會話密鑰的名稱的傳輸。

在框1060，認(rèn)證服務(wù)器135-e至少部分地基于第二序列號來生成下一序列號(例如，第四序列號)。在框1065，認(rèn)證服務(wù)器135-e可以至少部分地基于第二重新認(rèn)證密鑰和第四序列號來導(dǎo)出第四標(biāo)識符。如果發(fā)起了第二次重新認(rèn)證，則認(rèn)證服務(wù)器135-e可以從無線站115-f接收第三標(biāo)識符，并將第三標(biāo)識符與第四標(biāo)識符進(jìn)行比較。

圖11是根據(jù)本公開內(nèi)容的各個(gè)方面示出無線通信的各方面的泳道圖1100。圖1100可以示出參照圖1描述的wlan網(wǎng)絡(luò)100的各方面。圖1100包括無線站(sta)115-g、接入點(diǎn)(ap)105-f和認(rèn)證服務(wù)器(as)135-f。無線站115-g可以是以上關(guān)于圖1、3-5、9和10描述的無線站115和/或裝置115中的至少一個(gè)的示例。接入點(diǎn)105-f可以是以上關(guān)于圖1、5和8-10描述的接入點(diǎn)105中的至少一個(gè)的示例。認(rèn)證服務(wù)器135-f可以是以上關(guān)于圖1和6-10描述的認(rèn)證服務(wù)器135和/或裝置135中的至少一個(gè)的示例。通常，圖1100示出了向認(rèn)證服務(wù)器135-f重新認(rèn)證無線站115-g的各方面。在一些示例中，諸如無線站115、裝置115、接入點(diǎn)105、認(rèn)證服務(wù)器135和/或裝置135中的一個(gè)的系統(tǒng)設(shè)備可以執(zhí)行代碼集以控制設(shè)備的功能元件來執(zhí)行如下描述的功能的一些或全部。

在1105，接入點(diǎn)105-f可以請求無線站115-g的標(biāo)識。在一些示例中，接入點(diǎn)105-f可以在無線站115-g切換到接入點(diǎn)105-f時(shí)或在無線站115-g嘗試經(jīng)由接入點(diǎn)105-f接入網(wǎng)絡(luò)或服務(wù)時(shí)請求無線站115-f的標(biāo)識。

在框1110，無線站115-g可以根據(jù)第一重新認(rèn)證密鑰和第一序列號在無線站處導(dǎo)出第一標(biāo)識符。可以至少部分地根據(jù)第一會話密鑰導(dǎo)出第一重新認(rèn)證密鑰。

在1115，響應(yīng)于對其標(biāo)識的請求，無線站115-g可以向接入點(diǎn)105-f(例如，一種類型的認(rèn)證方)發(fā)送第一標(biāo)識符和域名?？梢栽跓o線站115-g向認(rèn)證服務(wù)器135-f的第一次重新認(rèn)證期間發(fā)送第一標(biāo)識符和域名。可以在第一次重新認(rèn)證期間禁止第一會話密鑰的名稱的傳輸。在一些示例中，接入點(diǎn)105-f可以使用域名來識別認(rèn)證服務(wù)器135-e，并且可以在1120將第一標(biāo)識符作為radius-access-request消息的一部分發(fā)送給認(rèn)證服務(wù)器135-f。

在框1125，認(rèn)證服務(wù)器135-f可以根據(jù)第二重新認(rèn)證密鑰和第二序列號導(dǎo)出第二標(biāo)識符?？梢灾辽俨糠值貜牡诙捗荑€導(dǎo)出第二重新認(rèn)證密鑰。如果無線站115-g先前已經(jīng)完成與認(rèn)證服務(wù)器135-f的相互完全認(rèn)證，則第一重新認(rèn)證密鑰和第二重新認(rèn)證將相同，第一會話密鑰和第二會話密鑰將相同，并且第一序列號和第二序列號將相同。

在框1130，認(rèn)證服務(wù)器135-f可以將第一標(biāo)識符與第二標(biāo)識符進(jìn)行比較，并且確定第一標(biāo)識符不匹配第二標(biāo)識符。

在1135，認(rèn)證服務(wù)器135-f可以經(jīng)由接入點(diǎn)105-f向無線站115-g發(fā)送重新認(rèn)證失敗消息。重新認(rèn)證失敗消息可以包括指示第一標(biāo)識符和第二標(biāo)識符之間的不匹配的tlv元素。由于認(rèn)證服務(wù)器135-f不能匹配標(biāo)識符，所以重新認(rèn)證失敗消息的傳輸可能不是完整性受保護(hù)的(例如，認(rèn)證服務(wù)器135-f可能無法找到對應(yīng)于rrk的rik)。

在框1140，無線站115-g至少部分地基于第一序列號來生成下一序列號(例如，第三序列號)。在框1145，無線站115-g可以至少部分地基于第一重新認(rèn)證密鑰和第三序列號來導(dǎo)出第三標(biāo)識符。在1150，無線站115-g可以在為執(zhí)行第一次重新認(rèn)證的第二次嘗試中將第三標(biāo)識符和域名發(fā)送給接入點(diǎn)105-f。在一些示例中，接入點(diǎn)105-f可以在1155處將第三標(biāo)識符作為第二radius-access-request消息的一部分發(fā)送給認(rèn)證服務(wù)器135-f。替代地(例如，對1140、1145、1150和1155而言替代地)，無線站115-g可以指示重新認(rèn)證的失敗和/或觸發(fā)無線站115-g與認(rèn)證服務(wù)器135-f的相互完全認(rèn)證。

在框1160，認(rèn)證服務(wù)器135-f可以將第三標(biāo)識符與第二標(biāo)識符進(jìn)行比較。當(dāng)?shù)谌龢?biāo)識符匹配第二標(biāo)識符時(shí)，認(rèn)證服務(wù)器135-f可以在1165向接入點(diǎn)105-f發(fā)送第三會話密鑰。在一些示例中，認(rèn)證服務(wù)器135-f可以將第三會話密鑰作為radius-access-accept消息的一部分發(fā)送給接入點(diǎn)105-f。

在框1170和1175處，并且至少部分地基于接入點(diǎn)對第三會話密鑰的接收，接入點(diǎn)105-f和無線站115-g可以完成第一次重新認(rèn)證。

當(dāng)?shù)谌龢?biāo)識符不匹配第二標(biāo)識符時(shí)，認(rèn)證服務(wù)器135-f可以經(jīng)由接入點(diǎn)105-f向無線站115-g發(fā)送第二重新認(rèn)證失敗消息。第二重新認(rèn)證失敗消息可以觸發(fā)為執(zhí)行第一次重新認(rèn)證的另一次嘗試，或觸發(fā)無線站115-g向認(rèn)證服務(wù)器135-f的完全認(rèn)證的發(fā)起。

圖12是示出根據(jù)本公開內(nèi)容的各個(gè)方面的用于無線通信的方法1200的示例的流程圖。為了清楚起見，下面參照參照圖1、5和9-11描述的無線站的各方面、參照圖3和4描述的裝置的各方面來描述方法1200。在一些示例中，無線站可以執(zhí)行代碼集以控制無線站的功能元件以執(zhí)行下面描述的功能。另外或替代地，無線站可以使用專用硬件來執(zhí)行下面描述的功能。

在框1205，方法1200可以包括：根據(jù)重新認(rèn)證密鑰和序列號來在無線站處導(dǎo)出第一標(biāo)識符?？梢灾辽俨糠值馗鶕?jù)第一會話密鑰導(dǎo)出重新認(rèn)證密鑰。在框1210，方法1200可以包括：向認(rèn)證方(例如，接入點(diǎn))發(fā)送第一標(biāo)識符和域名?？梢栽跓o線站向認(rèn)證服務(wù)器的第一次重新認(rèn)證期間發(fā)送第一標(biāo)識符和域名?？梢栽诘谝淮沃匦抡J(rèn)證期間禁止第一會話密鑰的名稱的傳輸。在一些示例中，方法1200可以包括使用第一標(biāo)識符用于無線站向認(rèn)證服務(wù)器的單次重新認(rèn)證。在一些示例中，第一次重新認(rèn)證可以包括wi-fi重新認(rèn)證。

可以使用參照圖3-5描述的站側(cè)重新認(rèn)證組件310來執(zhí)行框1205和1210的操作。

因此，方法1200可以提供無線通信。應(yīng)當(dāng)注意，方法1200僅僅是一種實(shí)現(xiàn)方式，并且方法1200的操作可以重新排列或以其它方式進(jìn)行修改，使得其它實(shí)現(xiàn)方式是可能的。

圖13是示出根據(jù)本公開內(nèi)容的各個(gè)方面的用于無線通信的方法1300的示例的流程圖。為了清楚起見，下面參照參照圖1、5和9-11描述的無線站的各方面、參照圖3和4描述的裝置的各方面來描述方法1300。在一些示例中，無線站可以執(zhí)行代碼集以控制無線站的功能元件以執(zhí)行下面描述的功能。另外或替代地，無線站可以使用專用硬件來執(zhí)行下面描述的功能。

在框1305，方法1300可以包括：根據(jù)重新認(rèn)證密鑰和序列號來在無線站處導(dǎo)出第一標(biāo)識符?？梢灾辽俨糠值馗鶕?jù)第一會話密鑰導(dǎo)出重新認(rèn)證密鑰。在框1310，方法1300可以包括：向認(rèn)證方(例如，接入點(diǎn))發(fā)送第一標(biāo)識符和域名。可以在無線站向認(rèn)證服務(wù)器的第一次重新認(rèn)證期間發(fā)送第一標(biāo)識符和域名。可以在第一次重新認(rèn)證期間禁止第一會話密鑰的名稱的傳輸。在一些示例中，方法1300可以包括：使用第一標(biāo)識符用于無線站向認(rèn)證服務(wù)器的單次重新認(rèn)證。在一些示例中，第一次重新認(rèn)證可以包括wi-fi重新認(rèn)證。

在框1315，方法1300可以包括：至少部分地基于序列號來生成下一序列號。在框1320，方法1300可以包括：至少部分地基于重新認(rèn)證密鑰和下一序列號來導(dǎo)出第二標(biāo)識符。

在框1325處，并且在第一可選流程中，方法1300可以包括：接收重新認(rèn)證失敗消息。可以在第一次重新認(rèn)證失敗時(shí)接收重新認(rèn)證失敗消息。在框1330，方法1300可以包括：響應(yīng)于接收重新認(rèn)證失敗消息來發(fā)送第二標(biāo)識符和域名。在一些示例中，可以在框1325接收重新認(rèn)證失敗消息之后，生成/導(dǎo)出在框1315生成的下一序列號或者在框1320導(dǎo)出的第二標(biāo)識符。

在框1335處，并且在第二可選流程中，方法1300可以包括：在無線站向認(rèn)證服務(wù)器的第二次重新認(rèn)證期間發(fā)送第二標(biāo)識符和域名。在一些示例中，第一次重新認(rèn)證可以涉及經(jīng)由第一認(rèn)證方(例如，第一接入點(diǎn))將第一標(biāo)識符和域名發(fā)送給認(rèn)證服務(wù)器，第二次重新認(rèn)證可以涉及經(jīng)由第二認(rèn)證方(例如，第二接入點(diǎn))向認(rèn)證服務(wù)器發(fā)送第二標(biāo)識符和域名。

可以當(dāng)在框1330處對重新認(rèn)證失敗消息做出響應(yīng)時(shí)、或者在框1335的第二次重新認(rèn)證期間，禁止第一會話密鑰的名稱的傳輸。在一些示例中，方法1300可以包括使用第一標(biāo)識符和第二標(biāo)識符中的每一個(gè)用于為向認(rèn)證服務(wù)器重新認(rèn)證無線站的單次嘗試。

框1305、1310、1315、1320、1325、1330和1335的操作可以使用參照圖3-5描述的站側(cè)重新認(rèn)證組件310來執(zhí)行。

因此，方法1300可以提供無線通信。應(yīng)當(dāng)注意，方法1300僅僅是一個(gè)實(shí)現(xiàn)方式，并且方法1300的操作可以被重新排列或以其它方式修改，使得其它實(shí)現(xiàn)方式是可能的。

圖14是示出根據(jù)本公開內(nèi)容的各個(gè)方面的用于無線通信的方法1400的示例的流程圖。為了清楚起見，下面參照參照圖1和8-11描述的認(rèn)證服務(wù)器的各方面、參照圖5和6描述的裝置的各方面來描述方法1400。在一些示例中，認(rèn)證服務(wù)器可以執(zhí)行代碼集以控制認(rèn)證服務(wù)器的功能元件來執(zhí)行下面描述的功能。另外或替代地，認(rèn)證服務(wù)器可以使用專用硬件來執(zhí)行下面描述的功能。

在框1405，方法1400可以包括：根據(jù)重新認(rèn)證密鑰和序列號在認(rèn)證服務(wù)器處導(dǎo)出第一標(biāo)識符?？梢灾辽俨糠值馗鶕?jù)第一會話密鑰導(dǎo)出重新認(rèn)證密鑰。在框1410，方法1400可以包括：在認(rèn)證服務(wù)器處接收第二標(biāo)識符?？梢栽跓o線站向認(rèn)證服務(wù)器的第一次重新認(rèn)證期間接收第二標(biāo)識符。在框1415，方法1400可以包括：將第一標(biāo)識符與第二標(biāo)識符進(jìn)行比較。在框1420，方法1400可以包括：至少部分地基于比較來發(fā)送第二會話密鑰。例如，當(dāng)?shù)谝粯?biāo)識符匹配第二標(biāo)識符時(shí)，第二會話密鑰可以被發(fā)送給接收第二標(biāo)識符所經(jīng)由的認(rèn)證方(例如，接入點(diǎn))。在一些示例中，重新認(rèn)證可以包括wi-fi重新認(rèn)證。

框1405、1410、1415和1420的操作可以使用參照圖6-8描述的服務(wù)器側(cè)重新認(rèn)證組件610來執(zhí)行。

因此，方法1400可以提供無線通信。應(yīng)當(dāng)注意，方法1400僅僅是一種實(shí)現(xiàn)方式，并且方法1400的操作可以重新排列或以其它方式進(jìn)行修改，使得其它實(shí)現(xiàn)方式是可能的。

圖15是示出根據(jù)本公開內(nèi)容的各個(gè)方面的用于無線通信的方法1500的示例的流程圖。為了清楚起見，下面參照參照圖1和8-11描述的認(rèn)證服務(wù)器的各方面、參照圖6和7描述的裝置的各方面來描述方法1500。在一些示例中，認(rèn)證服務(wù)器可以執(zhí)行代碼集以控制認(rèn)證服務(wù)器的功能元件執(zhí)行下面描述的功能。另外或替代地，認(rèn)證服務(wù)器可以使用專用硬件來執(zhí)行下面描述的功能。

在框1505，方法1500可以包括：根據(jù)重新認(rèn)證密鑰和序列號在認(rèn)證服務(wù)器處導(dǎo)出第一標(biāo)識符?？梢灾辽俨糠值馗鶕?jù)第一會話密鑰導(dǎo)出重新認(rèn)證密鑰。在框1510，方法1500可以包括：在認(rèn)證服務(wù)器處接收第二標(biāo)識符。可以在無線站向認(rèn)證服務(wù)器的第一次重新認(rèn)證期間接收第二標(biāo)識符。在框1515，方法1500可以包括：將第一標(biāo)識符與第二標(biāo)識符進(jìn)行比較。在一些示例中，重新認(rèn)證可以包括wi-fi重新認(rèn)證。

在框1520，方法1500可以包括：確定第一標(biāo)識符是否匹配第二標(biāo)識符。當(dāng)?shù)谝粯?biāo)識符與第二標(biāo)識符匹配時(shí)，方法1500可以在框1525處繼續(xù)。當(dāng)?shù)谝粯?biāo)識符與第二標(biāo)識符不匹配時(shí)，方法1500可以在框1555繼續(xù)。

在框1525，方法1500可以包括：至少部分地基于比較來發(fā)送第二會話密鑰。第二會話密鑰可以被發(fā)送到從無線站接收第二標(biāo)識符所經(jīng)由的認(rèn)證方(例如，接入點(diǎn))。

在框1530，方法1500可以包括：至少部分地基于序列號來生成下一序列號。在框1535，方法1500可以包括：至少部分地基于重新認(rèn)證密鑰和下一序列號來導(dǎo)出第三標(biāo)識符。

在框1540，方法1500可以包括：在無線站向認(rèn)證服務(wù)器的第二次重新認(rèn)證期間接收第四標(biāo)識符。在框1545，方法1500可以包括：將第三標(biāo)識符與第四標(biāo)識符進(jìn)行比較。在框1550，方法1500可以包括：至少部分地基于比較來發(fā)送第二會話密鑰。例如，當(dāng)?shù)谌龢?biāo)識符與第四標(biāo)識符匹配時(shí)，第二會話密鑰可以被發(fā)送給從無線站接收第四標(biāo)識符所經(jīng)由的認(rèn)證方(例如，接入點(diǎn))。在一些示例中，第一次重新認(rèn)證可以包括經(jīng)由第一接入點(diǎn)從無線站接收第二標(biāo)識符，第二次重新認(rèn)證可以涉及經(jīng)由第二接入點(diǎn)從無線站接收第四標(biāo)識符。

在框1555，方法1500可以包括：當(dāng)?shù)谝粯?biāo)識符未能匹配第二標(biāo)識符時(shí)發(fā)送重新認(rèn)證失敗消息。重新認(rèn)證失敗消息可以包括指示第一標(biāo)識符和第二標(biāo)識符之間的不匹配的tlv元素。在框1560，方法1500可以包括：在無線站為執(zhí)行第一次重新認(rèn)證的第二次嘗試期間接收第四標(biāo)識符。在框1565，方法1500可以包括：將第三標(biāo)識符與第四標(biāo)識符進(jìn)行比較。在框1570，方法1500可以包括：至少部分地基于比較來發(fā)送第二會話密鑰。例如，當(dāng)?shù)谌龢?biāo)識符匹配第四標(biāo)識符時(shí)，第二會話密鑰可以被發(fā)送給從無線站接收第四標(biāo)識符所經(jīng)由的認(rèn)證方(例如，接入點(diǎn))。

框1505、1510、1515、1520、1525、1530、1535、1540、1545、1550、1555、1560、1565和1570的操作可以使用參照圖6-8描述的服務(wù)器側(cè)重新認(rèn)證組件610來執(zhí)行。

因此，方法1500可以提供無線通信。應(yīng)當(dāng)注意，方法1500僅僅是一個(gè)實(shí)現(xiàn)方式，并且方法1500的操作可以被重新排列或以其它方式修改，使得其它實(shí)現(xiàn)方式是可能的。

在一些示例中，來自方法1200和1300的各方面可以組合，或者來自方法1400和1500的各方面可以組合。應(yīng)當(dāng)注意，方法1200、1300等僅僅是示例性實(shí)現(xiàn)方式，并且方法1200-1500的操作可以被重新排列或以其它方式修改，使得其它實(shí)現(xiàn)方式是可能的。

上面結(jié)合附圖闡述的具體實(shí)施方式描述了示例，并且不表示可以實(shí)現(xiàn)的或者在權(quán)利要求書的范圍內(nèi)的唯一示例。當(dāng)在本說明書中使用時(shí)，術(shù)語“示例的”和“示例性的”表示“用作示例、實(shí)例或說明”，而不是“優(yōu)選的”或“優(yōu)于其它示例”。具體實(shí)施方式包括為提供對所述技術(shù)的理解的目的的具體細(xì)節(jié)。然而，這些技術(shù)可以在沒有這些具體細(xì)節(jié)的情況下實(shí)行。在一些情況下，以框圖的形式示出了眾所周知的結(jié)構(gòu)和裝置，以避免模糊所述示例的概念。

信息和信號可以使用各種不同的技術(shù)和技術(shù)中的任何一種來表示。例如，可以在上述描述中引用的數(shù)據(jù)、指令、命令、信息、信號、比特、符號和碼片可以由電壓、電流、電磁波、磁場或粒子、光場或粒子或其任何組合來表示。

可以使用被設(shè)計(jì)用于執(zhí)行本文所述功能的通用處理器、數(shù)字信號處理器(dsp)、asic、fpga或其它可編程邏輯器件、分立門或晶體管邏輯、分立硬件組件或其任何組合來實(shí)現(xiàn)或執(zhí)行結(jié)合本文公開內(nèi)容描述的各種說明性框和組件。通用處理器可以是微處理器，但是替代地，處理器可以是任何常規(guī)的處理器、控制器、微控制器或狀態(tài)機(jī)。處理器還可以被實(shí)現(xiàn)為計(jì)算設(shè)備的組合，例如dsp和微處理器的組合、多個(gè)微處理器、與dsp核結(jié)合的微處理器、或任何其它此類配置。

本文描述的功能可以以硬件、由處理器執(zhí)行的軟件、固件或其任何組合來實(shí)現(xiàn)。如果在由處理器執(zhí)行的軟件中實(shí)現(xiàn)，則這些功能可以作為計(jì)算機(jī)可讀介質(zhì)上的指令或代碼來存儲或傳輸。其它示例和實(shí)現(xiàn)方式在本公開內(nèi)容和所附權(quán)利要求書的范圍內(nèi)。例如，由于軟件的性質(zhì)，可以使用由處理器、硬件、固件、硬連線或這些中的任何種的組合執(zhí)行的軟件來實(shí)現(xiàn)上述功能。實(shí)現(xiàn)功能的特征還可以物理地位于各種位置，包括被分布成使得各部分功能在不同的物理位置實(shí)現(xiàn)。如本文所用地，包括在權(quán)利要求書中，術(shù)語“和/或”當(dāng)用在兩個(gè)或更多個(gè)項(xiàng)目的列表中時(shí)，表示所列項(xiàng)目中的任何一個(gè)可以單獨(dú)使用、或者所列項(xiàng)目中的兩個(gè)或多個(gè)的任何組合可以使用。例如，如果組合物被描述為含有組件a、b和/或c，則組合物可以含有：僅a；僅b；僅c；組合的a和b；組合的a和c；組合的b和c；或組合的a、b和c。此外，如本文所使用地，在權(quán)利要求書中包括地，在項(xiàng)目列表(例如，以諸如“至少一個(gè)”或“一個(gè)或多個(gè)”的短語開頭的項(xiàng)目列表)中使用的“或”指示選擇性列表，使得例如“a、b或c中的至少一個(gè)”的列表表示a或b或c或ab或ac或bc或abc(即，a和b和c)。

計(jì)算機(jī)可讀介質(zhì)包括計(jì)算機(jī)存儲介質(zhì)和通信介質(zhì)，通信介質(zhì)包括便于將計(jì)算機(jī)程序從一個(gè)地方傳送到另一個(gè)地方的任何介質(zhì)。存儲介質(zhì)可以是可由通用或?qū)Ｓ糜?jì)算機(jī)訪問的任何可用介質(zhì)。作為示例而非限制，計(jì)算機(jī)可讀介質(zhì)可以包括ram、rom、eeprom、閃存、cd-rom或其它光盤存儲器、磁盤存儲器或其它磁存儲設(shè)備、或可以用于以指令或數(shù)據(jù)結(jié)構(gòu)的形式攜帶或存儲期望的程序代碼單元并且可以由通用或?qū)Ｓ糜?jì)算機(jī)或者通用或?qū)Ｓ锰幚砥髟L問的任何其它介質(zhì)。而且，任何連接被適當(dāng)?shù)胤Q為計(jì)算機(jī)可讀介質(zhì)。例如，如果使用同軸電纜、光纖電纜、雙絞線、數(shù)字用戶線(dsl)或諸如紅外、無線電和微波的無線技術(shù)從網(wǎng)站、服務(wù)器或其它遠(yuǎn)程源發(fā)送軟件，則同軸電纜、光纖電纜、雙絞線、dsl或諸如紅外、無線電和微波之類的無線技術(shù)包括在介質(zhì)的定義中。如本文所使用的磁盤和光盤包括壓縮光盤(cd)、激光盤、光盤、數(shù)字多功能光盤(dvd)、軟盤和藍(lán)光盤，其中磁盤通常以磁性方式再現(xiàn)數(shù)據(jù)，而光盤用激光光學(xué)地再現(xiàn)數(shù)據(jù)。以上的組合也包括在計(jì)算機(jī)可讀介質(zhì)的范圍內(nèi)。

本公開內(nèi)容的先前描述被提供以使本領(lǐng)域技術(shù)人員能夠制作或使用本公開內(nèi)容。對本公開內(nèi)容的各種修改對于本領(lǐng)域技術(shù)人員將是顯而易見的，并且在不脫離本公開內(nèi)容的范圍的情況下，本文定義的一般原理可以應(yīng)用于其它變型。在整個(gè)本公開內(nèi)容中，術(shù)語“示例的”或“示例性的”表示示例或?qū)嵗⒉灰庵富蛞髮λ鍪纠娜魏纹?。因此，本公開內(nèi)容不限于本文所述的示例和設(shè)計(jì)，而是要符合與本文公開的原理和新穎特征一致的最廣范圍。