执行链路建立和认证的系统和方法技术方案

公开了执行链路建立和认证的系统和方法。第一种方法利用不受保护的关联请求和包括接入点一次性数（ANonce）的关联响应。第二种方法包括在使用第一ANonce的第一链路建立期间接收第二ANonce以供在第二链路建立中使用。第三种方法利用临时密钥来保护关联请求。第四种方法包括在移动设备处基于从接入点接收到的ANonce种子来生成ANonce。

【技术实现步骤摘要】
【国外来华专利技术】相关申请的交叉引用本申请要求来自共同拥有的2011年9月12日提交的美国临时专利申请第61/533,627号（高通案卷号113346P1）、2011年9月15日提交的美国临时专利申请第61/535,234号（高通案卷号113346P2）、2012年1月4日提交的美国临时专利申请第61/583,052号（高通案卷号113346P3）、2012年3月5日提交的美国临时专利申请第61/606,794号（高通案卷号121585P1）、以及2012年5月11日提交的美国临时专利申请第61/645,987号（高通案卷号121585P2）和2012年3月15日提交的美国临时专利申请第61/611,553号（高通案卷号121602P1）的优先权，这些临时专利申请的内容通过整体引用明确地结合于此。此外，2012年9月11日提交的具有高通案卷号113346的题为“WIRELESSCOMMUNICATION USING CONCURRENT RE-AUTHENTICATION ANDCONNECTION SETUP（使用并发重认证和连接建立的无线通信）”的非临时申请和2012年9月11日提交的具有高通案卷号121602的题为“SYSTEMS ANDMETHODS FOR ENCODING EXCHANGES WITH A SET OF SHAREDEPHEMERAL KEY DATA（用于用一组共享短暂密钥数据对交换进行编码的系统和方法）”的非临时申请的内容通过引用结合于此。背景领域以下一般涉及无线通信，尤其涉及无线通信中的链路建立和认证过程。相关技术描述技术进步已导致越来越小且越来越强大的计算设备。例如，当前存在各种各样的便携式个人计算设备，包括小、轻且用户易于携带的无线计算设备，诸如便携式无线电话、个人数字助理（PDA）、以及寻呼设备。更具体地，便携式无线电话（诸如蜂窝电话和网际协议（IP）电话）可在无线网络上传达语音和数据分组。此外，许多这样的无线电话包括被结合于此的其他类型的设备。例如，无线电话还可包括数码相机、数码摄像机、数字记录器、以及音频文件播放器。另外，此类无线电话可处理可执行指令，包括可被用于访问因特网的软件应用（诸如web浏览器应用）。由此，这些无线电话可包括显著的计算能力。无线通信网络使得通信设备能够在移动的同时传送和/或接收信息。这些无线通信网络可被通信地耦合至其他公共网或专用网以使得能够向和从移动接入终端进行信息传递。此类通信网络通常包括多个接入点（AP），这些接入点提供至接入终端（例如，移动通信设备、移动电话、无线用户终端）的无线通信链路。这些接入点可以是静止的（例如，固定在地面上）或移动的（例如，安装在车辆、卫星上等），并且可被定位成提供当接入终端在覆盖区内移动时的广覆盖区。便携式设备可被配置成经由这些无线网络来传达数据。例如，许多设备被配置成根据使得能经由接入点进行无线数据交换的电气和电子工程师协会（IEEE）802.11规范来操作。在一些通信系统中，当移动接入终端通过接入点附连至通信网络时，其执行网络接入认证。移动接入终端每次连接至不同接入点时，可能需要重复该认证过程。然而，重复该认证过程会引入显著的建立延迟。许多通信设备被配置成在初始连接阶段以及一个或多个重连接阶段两者执行链路建立。当前系统对认证后进行的AP-IP地址指派采取预共享密钥以保护IP地址指派。尽管利用系统中的两个或更多个消息处理点之间传达的多条消息允许链路建立，但减少所传达的消息数目同时维持所需的通信认证级别是高度期望的。此外，在链路建立可被执行之前，移动通信设备可能要扫描附近的接入点。该扫描可以是“被动的”或“主动的”。在“被动”扫描中，设备可监听接入点活动（例如，控制消息）。在“主动”扫描中，设备可广播一查询并且随后等待来自附近接入点的响应。因此，“被动”扫描可能是耗时的，而“主动”扫描可能既消耗时间又消耗移动通信设备处的功率。附图简述在结合附图理解下面阐述的详细描述时，各种特征、本质、和优点会变得明显，在附图中，相像的附图标记贯穿始终相应地标识类似元素。图1是解说无线网络的示例的概念图。图2是解说示例性用户设备的框图。图3是解说在常规连接建立中可执行的消息收发的流程图。图4是解说可根据本公开的一个或多个方面来执行的消息收发的流程图。图5是解说在执行链路建立和认证时可执行的消息收发的流程图。图6是解说可根据链路建立和认证的其他方面来执行的消息收发的流程图。图7是解说可根据链路建立和认证的其他方面来执行的消息收发的流程图。图8是解说可根据链路建立和认证的其他方面来执行的消息收发的流程图。图9是解说可根据链路建立和认证的其他方面来执行的消息收发的流程图。图10是解说可根据链路建立和认证的其他方面来执行的消息收发的流程图。图11是解说可根据链路建立和认证的其他方面来执行的消息收发的流程图。图12是解说在重认证协议期间可执行的消息收发的流程图。图13解说可被用于重认证协议的密钥分层结构。图14是示出用于生成重认证请求和发现请求并将其集束成关联请求的示例性过程的流程图。图15是示出可在基站处操作以接收由站/终端发送的关联请求并从该关联请求中提取重认证请求和上层消息的示例性过程的流程图。图16是解说可根据链路建立和认证的其他方面来执行的消息收发的流程图。图17是示出可在图16的站处操作以执行链路建立和认证的示例性过程的流程图。图18是示出可在图16的接入点处操作以执行链路建立和认证的示例性过程的流程图。图19是解说可根据链路建立和认证的其他方面来执行的消息收发的流程图。图20是解说可根据链路建立和认证的其他方面来执行的消息收发的流程图。图21是示出可在图19-20的站处操作以执行链路建立和认证的示例性过程的流程图。图22是示出可在图19-20的接入点处操作以执行链路建立和认证的示例性过程的流程图。图23是解说可根据链路建立和认证的其他方面来执行的消息收发的图示。图24是示出可在站处操作以执行如图23所示的链路建立和认证的示例性过程的流程图。图25是示出可在接入点处操作以执行如图23所示的链路建立和认证的示例性过程的流程图。图26是解说可根据链路建立和认证的其他方面来执行的消息收发的图示。图27是示出可本文档来自技高网...

【技术保护点】
一种方法，包括：从移动设备向接入点发送不受保护的关联请求；从所述接入点接收关联响应，其中所述关联响应包括接入点一次性数（ANonce）；以及在所述移动设备处使用所述ANonce来生成成对瞬态密钥（PTK）。

【技术特征摘要】
【国外来华专利技术】2011.09.12 US 61/533,627;2011.09.15 US 61/535,234;1.一种方法，包括：
从移动设备向接入点发送不受保护的关联请求；
从所述接入点接收关联响应，其中所述关联响应包括接入点一次性数
（ANonce）；以及
在所述移动设备处使用所述ANonce来生成成对瞬态密钥（PTK）。
2.如权利要求1所述的方法，其特征在于，进一步包括：
在向所述接入点发送所述不受保护的关联请求之前，在所述移动设备处生成
重认证主会话密钥（rMSK）和站一次性数（SNonce），
其中所述PTK是使用所述rMSK和所述SNonce来生成的。
3.如权利要求1所述的方法，其特征在于，进一步包括：
从所述移动设备的存储器中检索所述接入点的基本服务集标识符（BSSID），
其中所述不受保护的关联请求是基于所述BSSID被发送至所述接入点的。
4.如权利要求1所述的方法，其特征在于，所述不受保护的关联请求是响应
于在所述移动设备处确定的位置信息而发送的。
5.如权利要求1所述的方法，其特征在于，所述关联请求中除所述ANonce
以外的信息元素是使用所述ANonce来保护的，并且所述方法进一步包括使用所述
PTK来证实所述关联响应的完整性。
6.一种装置，包括：
处理器；以及
存储指令的存储器，所述指令能由所述处理器执行以：
向接入点发送不受保护的关联请求；
从所述接入点接收关联响应，其中所述关联响应包括接入点一次性数
（ANonce）；以及
使用所述ANonce来生成成对瞬态密钥（PTK）。
7.如权利要求6所述的装置，其特征在于，所述指令能进一步由所述处理器
执行以：
在向所述接入点发送所述不受保护的关联请求之前，生成重认证主会话密钥

\t（rMSK）和站一次性数（SNonce）,
其中所述PTK是使用所述rMSK和所述SNonce来生成的。
8.如权利要求6所述的装置，其特征在于，所述存储器进一步存储所述接入
点的基本服务集标识符（BSSID），并且所述指令能进一步由所述处理器执行以：
从所述存储器中检索所述接入点的BSSID，
其中所述不受保护的关联请求是基于所述BSSID被发送至所述接入点的。
9.一种设备，包括：
用于从移动设备向接入点发送不受保护的关联请求的装置；
用于从所述接入点接收关联响应的装置，其中所述关联响应包括接入点一次
性数（ANonce）；以及
用于在所述移动设备处使用所述ANonce来生成成对瞬态密钥（PTK）的装置。
10.一种包括指令的非瞬态处理器可读介质，所述指令当由处理器执行时使
所述处理器：
生成要由移动设备发送至接入点的不受保护的关联请求；以及
使用从来自所述接入点的关联响应中检索的接入点一次性数（ANonce）来生
成成对瞬态密钥（PTK）。
11.一种方法，包括：
在接入点处，从移动设备接收不受保护的关联请求；
从所述不受保护的关联请求中提取发起消息；
将所述发起消息发送至认证服务器；
从所述认证服务器接收应答消息，其中所述应答消息包括重认证主会话密钥
（rMSK）；
生成接入点一次性数（ANonce）；以及
将关联响应发送至所述移动设备，其中所述关联响应包括所述ANonce。
12.如权利要求11所述的方法，其特征在于，进一步包括：
在所述接入点处，使用所述rMSK、所述ANonce、以及包括在所述不受保护
的关联请求中的站一次性数（SNonce）来生成成对瞬态密钥（PTK），
其中所述关联响应是使用所述PTK来保护的。
13.一种装置，包括：
处理器；以及
存储指令的存储器，所述指令能由所述处理器执行以：
从移动设备接收不受保护的关联请求；
从所述不受保护的关联请求中提取发起消息；
将所述发起消息发送至认证服务器；
从所述认证服务器接收应答消息，其中所述应答消息包括重认证主会话
密钥（rMSK）；
生成接入点一次性数（ANonce）；以及
将关联响应发送至所述移动设备，其中所述关联响应包括所述ANonce。
14.如权利要求13所述的装置，其特征在于，所述指令能进一步由所述处理
器执行以：
使用所述rMSK、所述ANonce、以及包括在所述不受保护的关联请求中的站
一次性数（SNonce）来生成成对瞬态密钥（PTK），
其中所述关联响应是使用所述PTK来保护的。
15.一种设备，包括：
用于在接入点处从移动设备接收不受保护的关联请求的装置；
用于从所述不受保护的关联请求中提取发起消息的装置；
用于将所述发起消息发送至认证服务器的装置；
用于从所述认证服务器接收应答消息的装置，其中所述应答消息包括重认证
主会话密钥（rMSK）；
用于生成接入点一次性数（ANonce）的装置；以及
用于将关联响应从所述接入点发送至所述移动设备的装置，其中该关联响应
包括所述ANonce。
16.一种包括指令的非瞬态处理器可读介质，所述指令当由处理器执行时使
所述处理器：
从自移动设备接收到的不受保护的关联请求中提取发起消息；
从响应于所述发起消息自认证服务器接收到的应答消息中提取重认证主会话
密钥（rMSK）；
生成接入点一次性数（ANonce）；以及
生成要发送至所述移动设备的关联响应，其中所述关联响应包括所述
ANonce。
17.一种方法，包括：
在移动设备处，使用第一接入点一次性数（ANonce）来发起与接入点的第一
链路建立；以及
在与所述接入点的第一链路建立期间，接收第二ANonce以供在第一链路建立
之后与所述接入点的第二链路建立中使用，其中第二ANonce与第一ANonce不同。
18.如权利要求17所述的方法，其特征在于，第一ANonce是从所述移动设
备的存储器中检索到的、经由信标或探测响应从所述接入点接收到的、或其任何组
合。
19.如权利要求17所述的方法，其特征在于，第二ANonce是在关联响应中、
在局域网（LAN）上的可扩展认证协议（EAP）（EAPOL）消息中、或其任何组
合中接收到的。
20.如权利要求17所述的方法，其特征在于，第二ANonce具有有效性生存
期。
21.如权利要求20所述的方法，其特征在于，进一步包括在发起后续链路建
立之前，当第二ANonce的有效性生存期流逝时：
经由信标或探测响应接收第三ANonce；
使用第三ANonce发起第二链路建立；以及
在第二链路建立期间，接收第四ANonce以供在与所述接入点的第三链路建立
中使用。
22.如权利要求17所述的方法，其特征在于，进一步包括：
在所述移动设备处使用第二ANonce发起与所述接入点的第二链路建立；以及
在与所述接入点的第二链路建立期间，接收第三ANonce以供在与所述接入点
的后续第三链路建立中使用。
23.一种装置，包括：
处理器；以及
存储指令的存储器，所述指令能由所述处理器执行以：
使用第一接入点一次性数（ANonce）来发起与接入点的第一链路建立；
以及
在与所述接入点的第一链路建立期间，接收第二ANonce以供在第一链
路建立之后与所述接入点的第二链路建立中使用，其中第二ANonce与第一
ANonce不同。
24.如权利要求23所述的装置，其特征在于：
第一ANonce是从所述存储器检索到的、经由信标或探测响应从所述接入点接
收到的、或其任何组合；以及
第二ANonce是在关联响应中、在局域网（LAN）上的可扩展认证协议（EAP）
（EAPOL）消息中、或其任何组合中接收到的。
25.如权利要求23所述的装置，其特征在于，第二ANonce具有有效性生存
期。
26.如权利要求25所述的装置，其特征在于，所述指令能进一步由所述处理
器执行以在发起后续链路建立之前，当第二ANonce的所述有效性生存期流逝时：
经由信标或探测响应接收第三ANonce；
使用第三ANonce发起第二链路建立；以及
在第二链路建立期间，接收第四ANonce以供在与所述接入点的第三链路建立
中使用。
27.如权利要求23所述的装置，其特征在于，所述指令能进一步由所述处理
器执行以：
使用第二ANonce发起与所述接入点的第二链路建立；以及
在与所述接入点的第二链路建立期间，接收第三ANonce以供在与所述接入点
的后续第三链路建立中使用。
28.一种设备，包括：
用于在移动设备处使用第一接入点一次性数（ANonce）来发起与接入点的第
一链路建立的装置；以及
用于在与所述接入点的第一链路建立期间，接收第二ANonce以供在第一链路
建立之后与所述接入点的第二链路建立中使用的装置，其中第二ANonce与第一
ANonce不同。
29.一种包括指令的非瞬态处理器可读介质，所述指令当由处理器执行时使

\t所述处理器：
在移动设备处，使用第一接入点一次性数（ANonce）来发起与接入点的第一
链路建立；以及
在与所述接入点的第一链路建立期间，接收第二ANonce以供在第一链路建立
之后与所述接入点的第二链路建立中使用，其中第二ANonce与第一ANonce不同。
30.一种方法，包括：
在使用第一接入点一次性数（ANonce）的第一链路建立期间，将第二ANonce
从接入点发送至移动设备以供在第一链路建立之后与所述移动设备的第二链路建
立中使用，其中第二ANonce与第一ANonce不同。
31.如权利要求30所述的方法，其特征在于，进一步包括在发起第一链路建
立之前，经由信标或探测响应将第一ANonce发送至所述移动设备。
32.如权利要求30所述的方法，其特征在于，第二ANonce是经由关联响应、
局域网（LAN）上的可扩展认证协议（EAP）（EAPOL）消息、或其任何组合来
发送至所述移动设备的。
33.如权利要求30所述的方法，其特征在于，第二ANonce与有效性生存期

【专利技术属性】
技术研发人员：G·切瑞安，P·M·霍克斯，S·P·阿伯拉翰，H·萨姆帕斯，
申请(专利权)人：高通股份有限公司，
类型：发明
国别省市：美国;US