用于认证互操作性的方法和系统技术方案

用于对设备进行认证的系统、方法和计算机可读介质执行下面的方法：在第二设备处，接收针对该设备的第一认证协议再认证响应，该认证响应包括再认证主会话密钥(rMSK)；在第二设备处，向第一接入点发送基于该再认证主会话密钥的第二第一认证协议再认证响应；在第二设备处，基于该再认证主会话密钥，生成第一成对主密钥(PMK)；在第二设备处，生成用于包括第一成对主密钥的密钥消息；以及在第二设备处，向第二接入点发送该密钥消息。

【技术实现步骤摘要】
【国外来华专利技术】用于认证互操作性的方法和系统
概括地说，本申请涉及无线通信系统，具体地说，本申请涉及用于无线通信系统中的认证的系统、方法和设备。
技术介绍
在Wi-Fi网络应用中，安全功能已逐渐演变为提供更强大和更好的综合安全工具。在电气与电子工程师协会(IEEE)颁布的802.11的EAP(可扩展认证协议)标准中，可以使用包括称为“四次握手”的机制的认证技术。在该四次握手机制中，诸如膝上型计算机、智能电话或者其它客户端设备之类的客户端设备(其通常称为“站”)与无线路由器或其它设备(其通常称为“接入点”)协商，以建立安全网络会话。在该会话期间，站可以寻求与互联网或者其它网络的连接。在该四次握手方法中，站和接入点交换一系列的四个定义的消息，基于这些消息，可以执行相互认证。接入点可以与远程用户拨号认证服务(RADIUS)服务器或者其它认证服务器、平台或者服务进行交互，以建立该站和接入点为了执行四次握手过程而使用的一组共享秘密和/或公钥和私钥。作为四次握手过程的一部分，站和接入点可以访问共享秘密，该共享秘密可以包括成对主密钥(PMK)。可以使用包括成对暂时密钥(PTK)的公钥和私钥的另外集合，对站和接入点之间交换的消息进行编码，其中可以使用作为进一步加密密钥层的发生器的成对主密钥来构建该PTK。
技术实现思路
本专利技术的系统、方法和设备均具有一些方面，但这些方面中没有单一的一个可以单独地对其期望的属性负责。在不限制如下文的权利要求书所表述的本专利技术的保护范围的基础上，现在将简要地讨论一些特征。在仔细思考该讨论之后，特别是在阅读标题为“具体实施方式”的部分之后，人们将理解本专利技术的特征是如何提供优势的，这些优势包括：无线网络中的接入点和站之间的改进的通信。本公开内容的一些方面提供了两个不同的认证方法的至少部分之间的互操作性。例如，在一些方面，相对于第二认证方法，第一认证方法可以提供一些益处。但是，第二认证方法可能是广泛部署的，而第一认证方法还没有部署。另外，由于成本和其它因素，第一认证方法的部署可能被延迟。因此，有利的是，利用已经在无线网络中部署的网络基础设施的大部分来支持第二认证方法，同时将第一认证方法的选定部分移植到无线网络基础设施。与将第一认证方法的所有组成部分都部署到无线网络时能够完成的相比，这种方式可以提供第一认证方法的选定部分的更快速部署。仅仅部署第一认证方法的选定部分，仍然可以在一个或多个方面提高网络性能。与和第一认证方法的完全部署相关联的时间轴相比，通过使用所公开的方法、系统和计算机可读介质，可以更快速地实现这种性能提高。本公开内容的一个方面提供了一种用于对第一设备进行认证的方法。该方法包括：在第二设备处，接收针对第一设备的第一认证协议再认证响应，该再认证响应包括再认证主会话密钥；在第二设备处，向第一接入点发送基于再认证主会话密钥的第二第一认证协议再认证响应；在第二设备处，基于该再认证主会话密钥，生成用于第二接入点的快速基本服务集转换第二层级成对主密钥；在第二设备处，生成密钥消息以包括用于第二接入点的快速基本服务集转换第二层级成对主密钥；以及在第二设备处，向第二接入点发送该密钥消息。在一些方面，生成用于第二接入点的快速基本服务集转换第二层级成对主密钥包括：基于所述再认证主会话密钥，生成快速基本服务集转换第一层级成对主密钥；以及基于第一层级成对主密钥，生成用于第二接入点的快速基本服务集转换第二层级成对主密钥。在一些方面，该方法还包括：在第二设备处，基于所述快速基本服务集转换第一层级成对主密钥和第一接入点的一个或多个属性，生成用于第一接入点的快速基本服务集转换第二层级成对主密钥；以及在第二设备处，生成第二第一认证协议再认证响应，以包括用于第一接入点的成对主密钥。在一些方面，该方法包括：在第二设备处，从第二接入点接收密钥请求消息；以及响应于该密钥请求消息的接收，由第二设备向第二接入点发送用于第二接入点的快速基本服务集转换第二层级成对主密钥。在一些方面，响应于与第一设备的第二认证协议交换，第二接入点向第二设备发送所述密钥请求消息。在一些方面，第一认证协议是可扩展认证协议再认证协议，第二认证协议是快速基本服务集转换认证。公开的另一个方面是一种用于对设备进行认证的装置。该装置包括：接收机，其被配置为接收针对该设备的第一认证协议再认证响应，该再认证响应包括再认证主会话密钥；发射机，其被配置为向第一接入点发送基于该再认证主会话密钥的第二第一认证协议再认证响应；以及处理器，其被配置为：基于该再认证主会话密钥，生成用于第二接入点的快速基本服务集转换第二层级成对主密钥；以及生成第二认证协议再认证响应消息以包括用于第二接入点的快速基本服务集转换第二层级成对主密钥，并且其中，所述发射机还被配置为向第二接入点发送第二认证协议再认证响应消息。在一些方面，所述处理器还被配置为：通过基于所述再认证主会话密钥，生成快速基本服务集转换第一层级成对主密钥，来生成用于第二接入点的快速基本服务集转换第二层级成对主密钥；以及基于所述快速基本服务集转换第一层级成对主密钥和第二接入点的一个或多个属性，生成用于第二接入点的快速基本服务集转换第二层级成对主密钥。在一些方面，所述处理器还被配置为：基于所述快速基本服务集转换第一层级成对主密钥和第一接入点的一个或多个属性，生成用于第一接入点的快速基本服务集转换第二层级成对主密钥；以及生成第二第一认证协议再认证响应，以包括用于第一接入点的成对主密钥。在该装置的一些方面，所述接收机还被配置为：从第一接入点接收针对所述设备的第一认证协议再认证请求，并且其中，所述发射机还被配置为：响应于所述接收机从第一接入点接收到第一认证协议再认证请求，发送针对所述设备的第一认证协议再认证请求。在一些方面，第一认证协议是可扩展认证协议再认证协议，第二认证协议是快速基本服务集转换认证。在一些方面，所述接收机还被配置为从第二接入点接收密钥请求消息，并且所述发射机还被配置为：响应于该密钥请求消息的接收，向第二接入点发送用于第二接入点的快速基本服务集转换第二层级成对主密钥。公开的另一个方面是一种由设备在网络上进行认证的方法。该方法包括：从第一接入点接收网络消息；基于该网络消息，判断是经由第一认证协议，还是第二认证协议，向第一接入点进行认证；以及使用所确定的认证协议，向第一接入点进行认证。在一些方面，该网络消息包括移动域标识符，并且判断是经由第一认证协议还是第二认证协议来向第一接入点进行认证，是基于该移动域标识符。在一些方面，该网络消息包括由接入点支持的认证协议的一个或多个指示符，并且判断是经由第一认证协议还是第二认证协议来向第一接入点进行认证，是基于所述一个或多个指示符。在一些方面，第一认证协议是可扩展认证协议再认证协议，第二认证协议是快速基本服务集转换认证。在一些方面，该方法还包括：从第一接入点接收用于指示第一接入点的第一移动域标识符的消息；向具有第二移动域标识符的第二接入点进行认证；响应于第一移动域标识符与第二移动域标识符是不同的，使用可扩展认证协议再认证协议，向第一接入点进行认证。在一些方面，该方法包括：响应于第一移动域标识符与第二移动域标识符相匹配，使用快速基本服务集转换认证协议，向第一接入点进行认证。在一些方面，向第二接入点的认证使用本文档来自技高网...

【技术保护点】
一种在包括第一接入点、第二接入点、移动域控制器和认证服务器的通信系统中对站进行认证的方法，所述方法包括：在所述移动域控制器处，从所述认证服务器接收针对所述站的可扩展认证协议再认证响应，所述可扩展认证协议再认证响应包括再认证主会话密钥；在所述移动域控制器处，向所述第一接入点发送基于所述再认证主会话密钥的第二可扩展认证协议再认证响应；在所述移动域控制器处，生成用于所述第二接入点的基于所述再认证主会话密钥的快速基本服务集转换第二层级成对主密钥；在所述移动域控制器处，生成密钥消息以包括用于所述第二接入点的所述快速基本服务集转换第二层级成对主密钥；以及在所述移动域控制器处，向所述第二接入点发送所述密钥消息。

【技术特征摘要】
【国外来华专利技术】2014.10.21 US 62/066,796;2015.10.20 US 14/918,4701.一种在包括第一接入点、第二接入点、移动域控制器和认证服务器的通信系统中对站进行认证的方法，所述方法包括：在所述移动域控制器处，从所述认证服务器接收针对所述站的可扩展认证协议再认证响应，所述可扩展认证协议再认证响应包括再认证主会话密钥；在所述移动域控制器处，向所述第一接入点发送基于所述再认证主会话密钥的第二可扩展认证协议再认证响应；在所述移动域控制器处，生成用于所述第二接入点的基于所述再认证主会话密钥的快速基本服务集转换第二层级成对主密钥；在所述移动域控制器处，生成密钥消息以包括用于所述第二接入点的所述快速基本服务集转换第二层级成对主密钥；以及在所述移动域控制器处，向所述第二接入点发送所述密钥消息。2.根据权利要求1所述的方法，其中，生成用于所述第二接入点的所述快速基本服务集转换第二层级成对主密钥包括：基于所述再认证主会话密钥，生成快速基本服务集转换第一层级成对主密钥；以及基于所述快速基本服务集转换第一层级成对主密钥，生成用于所述第二接入点的所述快速基本服务集转换第二层级成对主密钥。3.根据权利要求2所述的方法，还包括：在所述移动域控制器处，基于所述快速基本服务集转换第一层级成对主密钥和所述第一接入点的一个或多个属性，生成用于所述第一接入点的快速基本服务集转换第二层级成对主密钥；以及在所述移动域控制器处，生成所述第二可扩展认证协议再认证响应，以包括用于所述第一接入点的所述快速基本服务集转换第二层级成对主密钥。4.根据权利要求3所述的方法，还包括：在所述移动域控制器处，从所述第二接入点接收密钥请求消息；以及响应于所述密钥请求消息的接收，由所述移动域控制器向所述第二接入点发送用于所述第二接入点的所述快速基本服务集转换第二层级成对主密钥。5.根据权利要求4所述的方法，其中，响应于与所述站的快速基本服务集转换认证，所述第二接入点向所述移动域控制器发送所述密钥请求消息。6.一种用于在包括第一接入点、第二接入点和认证服务器的无线通信系统中，对站进行认证的移动域控制器，所述移动域控制器包括：接收机，其被配置为从所述认证服务器接收针对于所述站的可扩展认证协议再认证响应，所述第一认证协议再认证响应包括再认证主会话密钥；发射机，其被配置为向所述第一接入点发送基于所述再认证主会话密钥的第二可扩展认证协议再认证响应；以及处理器，其被配置为：基于所述再认证主会话密钥，生成用于所述第二接入点的快速基本服务集转换第二层级成对主密钥；以及生成密钥消息以包括用于所述第二接入点的所述快速基本服务集转换第二层级成对主密钥，其中，所述发射机还被配置为向所述第二接入点发送所述密钥消息。7.根据权利要求6所述的移动域控制器，其中，所述处理器还被配置为：通过基于所述再认证主会话密钥，生成快速基本服务集转换第一层级成对主密钥，来生成用于所述第二接入点的所述快速基本服务集转换第二层级成对主密钥，以及基于所述快速基本服务集转换第一层级成对主密钥和所述第二接入点的一个或多个属性，来生成用于所述第二接入点的所述快速基本服务集转换第二层级成对主密钥。8.根据权利要求7所述的移动域控制器，其中，所述处理器还被配置为：基于所述快速基本服务集转换第一层级成对主密钥和所述第一接入点的一个或多个属性，生成用于所述第一接入点的快速基本服务集转换第二层级成对主密钥；以及生成所述第二可扩展认证协议再认证响应，以包括用于所述第一接入点的所述快速基本服务集转换第二层级成对主密钥。9.根据权利要求6所述的移动域控制器，其中，所述接收机还被配置为：从所述第一接入点接收针对所述站的可扩展认证协议再认证请求，以及其中，所述发射机还被配置为：响应于所述接收机从所述第一接入点接收针对所述站的所述可扩展认证协议再认证请求，发送针对所述站的第二可扩展认证协议再认证请求。10.根据权利要求7所述的移动域控制器，其中，所述接收机还被配置为从所述第二接入点接收密钥请求消息；以及所述发射机还被配置为：响应于所述密钥请求消息的接收，向所述第二接入点发送用于所述第二接入点的所述快速基本服务集转换第二层级成对主密钥。11.一种由站在包括第一接入点和第二接入点的网络上进行认证的方法，包括：在所述站处，从所述第一接入点接收网络消息；在所述站处，基于所述网络消息，判断是经由可扩展认证协议，还是快速基本服务集转换认证协议，向所述第一接入点进行认证；以及在所述站处，使用所确定的认证协议，向所述第一接入点进行认证。12.根据权利要求11所述的方法，其中，所述网络消息包括移动域标识符...

【专利技术属性】
技术研发人员：S·B·李，G·谢里安，A·P·帕蒂尔，S·亚伯拉罕，J·马利宁，
申请(专利权)人：高通股份有限公司，
类型：发明
国别省市：美国,US