在无线站向认证服务器的重新认证期间的隐私制造技术

本文描述了用于在无线站向认证服务器的重新认证期间的隐私的方法、系统、装置和设备。无线站可以根据重新认证密钥和序列号来导出第一标识符。可以至少部分地根据第一会话密钥来导出重新认证密钥。无线站可以向认证方发送第一标识符和域名。可以在无线站向认证服务器的第一次重新认证期间发送第一标识符和域名。可以在第一次重新认证期间禁止第一会话密钥的名称的传输。

【技术实现步骤摘要】
【国外来华专利技术】在无线站向认证服务器的重新认证期间的隐私交叉引用本专利申请要求于2015年10月29日由Lee等人提交的题为“PrivacyDuringRe-AuthenticationofaWirelessStationwithanAuthenticationServer”的美国专利申请No.14/926,791，以及于2014年11月11日由Lee等人提交的题为“PrivacyDuringRe-AuthenticationofaWirelessStationwithanAuthenticationServer”的美国临时专利申请No.62/078,162的优先权；其中每个申请已转让给其受让人。
本公开内容例如涉及无线通信系统，并且具体地涉及在无线站向认证服务器的重新认证期间的隐私。
技术介绍
无线通信系统被广泛被部署以提供各种类型的通信内容，诸如语音、视频、分组数据、消息传送、广播等。这些系统可以是能够通过共享可用系统资源(例如，时间、频率和功率)来支持与多个用户的通信的多址系统。例如诸如Wi-Fi网络(IEEE802.11)的无线局域网(WLAN)的无线网络可以包括可以与站(STA)或移动设备通信的接入点(AP)。AP可以耦合到诸如因特网的网络，并可以使得移动设备能够经由网络进行通信(和/或与耦合到接入点的其它设备进行通信)。可以至少部分地由AP和认证服务器来管理针对可经由AP访问的网络的隐私。当无线站首次接入网络时，AP可以发起无线站向认证服务器的认证。当无线站从经由第一AP接入网络转换到经由第二AP接入网络时，第二AP可以发起无线站向认证服务器的重新认证。在任一情况下，如果认证服务器没有认证(或重新认证)无线站，则无线站可能被拒绝接入网络。
技术实现思路
所描述的特征通常涉及用于无线通信的各种改进的系统、方法和/或装置。这样的系统、方法和/或装置可以在无线站向认证服务器的重新认证(例如，作为站移动性以及经由不同的接入点接入网络的结果而执行的重新认证)期间提供隐私。当无线站使用可扩展认证协议(EAP)重新认证协议(EAP-RP)向认证服务器重新认证时，无线站可以向认证服务器发送扩展主会话密钥名称(EMSKname)。EMSKname可以用于识别重新认证会话和对应的重新认证根密钥(rRK)。然而，在无线站和接入点之间建立安全关联之前，可以通过无线信道来发送EMSKname(即，EMSKname是在不被加密(例如，作为纯文本)的情况下发送的)。因此，被动攻击方可能截获EMSKname，并使用EMSKname跟踪与无线站或其用户相关的信息。本公开内容描述了系统、方法和装置，在这些系统、方法和装置中，无线站可以在无线站向认证服务器的重新认证期间禁止EMSKname的传输。在第一组说明性示例中，提供了一种用于无线通信的方法。所述方法可以包括：根据重新认证密钥和序列号在无线站处导出第一标识符，所述重新认证密钥是至少部分地根据第一会话密钥导出的；向认证方发送所述第一标识符和域名，所述第一标识符和所述域名是在所述无线站向认证服务器的第一次重新认证期间发送的；以及禁止所述第一会话密钥的名称在所述第一次重新认证期间的传输。在一些方面，所述方法可以包括：至少部分地基于所述序列号来生成下一序列号，以及至少部分地基于所述重新认证密钥和所述下一序列号来导出第二标识符。在一些方面，该方法可以包括发送所述第二标识符和域名。可以在所述无线站向所述认证服务器的第二次重新认证期间发送所述第二标识符和所述域名。在一些方面，该方法可以包括：接收重新认证失败消息，以及响应于接收所述重新认证失败消息来发送所述第二标识符和所述域名。在一些方面，该方法可以包括：使用所述第一标识符用于所述无线站向所述认证服务器的单次重新认证。在一些实施例中，该方法可以包括：至少部分地基于标识符标签来导出所述第一标识符。在该方法的一些方面，所述第一次重新认证可以包括可扩展认证协议(EAP)重新认证，所述第一会话密钥可以包括扩展主会话密钥(EMSK)，并且所述重新认证密钥可以包括重新认证根密钥(rRK)。在该方法的一些方面中，可以在向所述认证服务器执行完全认证之后执行所述第一次重新认证。在一些方面，该方法可以包括：接收重新认证失败消息，以及响应于接收所述重新认证失败消息来执行向所述认证服务器的完全认证。在第二组说明性示例中，提供了一种用于无线通信的装置。该装置可以包括：处理器；与所述处理器进行电子通信的存储器；以及存储在所述存储器中的指令。所述指令可以可由所述处理器执行以：根据重新认证密钥和序列号在无线站处导出第一标识符，所述重新认证密钥是至少部分地根据所述第一会话密钥导出的；向认证方发送所述第一标识符和域名，所述第一标识符和所述域名是在所述无线站向认证服务器的第一次重新认证期间发送的；以及停止所述第一会话密钥的名称在所述第一次重新认证期间的传输。在一些方面，所述装置可以包括可由所述处理器执行以进行如下操作的指令：至少部分地基于所述序列号来生成下一序列号，以及至少部分地基于所述重新认证密钥和所述下一序列号来导出第二标识符。在一些方面，该装置可以包括可由所述处理器执行以进行如下操作的指令：发送所述第二标识符和所述域名。可以在所述无线站向所述认证服务器的第二次重新认证期间发送所述第二标识符和所述域名。在一些方面，该装置可以包括可由所述处理器执行以进行如下操作的指令：接收重新认证失败消息，以及响应于接收所述重新认证失败消息来发送所述第二标识符和所述域名。在一些方面，该装置可以包括可由所述处理器执行以进行如下操作的指令：使用所述第一标识符用于所述无线站向所述认证服务器的单次重新认证。在一些方面，该装置可以包括可由所述处理器执行以进行如下操作的指令：至少部分地基于标识符标签来导出所述第一标识符。在所述装置的一些方面，所述第一次重新认证可以包括可扩展EAP重新认证，所述第一会话密钥可以包括EMSK，并且所述重新认证密钥可以包括rRK。在所述装置的一些方面，可以在向所述认证服务器执行完全认证之后执行所述第一次重新认证。在一些方面，所述装置可以包括可由所述处理器执行以进行如下操作的指令：接收重新认证失败消息，以及响应于接收所述重新认证失败消息来执行向所述认证服务器的完全认证。在第三组说明性示例中，提供了一种用于无线通信的方法。该方法可以包括：根据重新认证密钥和序列号在认证服务器处导出第一标识符，所述重新认证密钥是至少部分地根据所述第一会话密钥导出的；在所述认证服务器处接收第二标识符，所述第二标识符是在无线站向所述认证服务器的第一次重新认证期间接收的；将所述第一标识符与所述第二标识符进行比较；以及至少部分地基于所述比较将第二会话密钥发送给所述无线站的认证方。在该方法的一些方面，所述第一标识符可以匹配所述第二标识符。在一些方面，所述方法可以包括：至少部分地基于所述序列号来生成下一序列号，以及至少部分地基于所述重新认证密钥和所述下一序列号来导出第三标识符。在一些方面，所述方法可以包括：在所述无线站向所述认证服务器的第二重新认证期间接收第四标识符，将所述第三标识符与所述第四标识符进行比较，以及至少部分地基于所述比较来发送所述第二会话密钥。在该方法的一些方面，所述第三标识符可以匹配所述第四标识符本文档来自技高网...

【技术保护点】
一种用于无线通信的方法，包括：根据重新认证密钥和序列号在无线站处导出第一标识符，所述重新认证密钥是至少部分地根据所述第一会话密钥导出的；向认证方发送所述第一标识符和域名，所述第一标识符和所述域名是在所述无线站向认证服务器的第一次重新认证期间发送的；以及禁止所述第一会话密钥的名称在所述第一次重新认证期间的传输。

【技术特征摘要】
【国外来华专利技术】2014.11.11 US 62/078,162;2015.10.29 US 14/926,7911.一种用于无线通信的方法，包括：根据重新认证密钥和序列号在无线站处导出第一标识符，所述重新认证密钥是至少部分地根据所述第一会话密钥导出的；向认证方发送所述第一标识符和域名，所述第一标识符和所述域名是在所述无线站向认证服务器的第一次重新认证期间发送的；以及禁止所述第一会话密钥的名称在所述第一次重新认证期间的传输。2.根据权利要求1所述的方法，还包括：至少部分地基于所述序列号来生成下一序列号；以及至少部分地基于所述重新认证密钥和所述下一序列号来导出第二标识符。3.根据权利要求2所述的方法，还包括：发送所述第二标识符和所述域名，所述第二标识符和所述域名是在所述无线站向所述认证服务器的第二次重新认证期间发送的。4.根据权利要求2所述的方法，还包括：接收重新认证失败消息；以及响应于接收所述重新认证失败消息来发送所述第二标识符和所述域名。5.根据权利要求1所述的方法，还包括：使用所述第一标识符用于所述无线站向所述认证服务器的单次重新认证。6.根据权利要求1所述的方法，还包括：至少部分地基于标识符标签来导出所述第一标识符。7.根据权利要求1所述的方法，其中，所述第一次重新认证包括可扩展认证协议(EAP)重新认证，所述第一会话密钥包括扩展主会话密钥(EMSK)，并且所述重新认证密钥包括重新认证根密钥(rRK)。8.根据权利要求1所述的方法，其中，所述第一次重新认证是在执行向所述认证服务器的完全认证之后执行的。9.根据权利要求1所述的方法，还包括：接收重新认证失败消息；以及响应于接收所述重新认证失败消息来执行向所述认证服务器的完全认证。10.一种用于无线通信的装置，包括：处理器；与所述处理器进行电子通信的存储器；以及被存储在所述存储器中的指令，所述指令可由所述处理器执行以：根据重新认证密钥和序列号在无线站处导出第一标识符，所述重新认证密钥是至少部分地根据所述第一会话密钥导出的；向认证方发送所述第一标识符和域名，所述第一标识符和所述域名是在所述无线站向认证服务器的第一次重新认证期间发送的；以及禁止所述第一会话密钥的名称在所述第一次重新认证期间的传输。11.根据权利要求10所述的装置，还包括可由所述处理器执行以进行如下操作的指令：至少部分地基于所述序列号来生成下一序列号；以及至少部分地基于所述重新认证密钥和所述下一序列号来导出第二标识符。12.根据权利要求11所述的装置，还包括可由所述处理器执行以进行如下操作的指令：发送所述第二标识符和所述域名，所述第二标识符和所述域名是在所述无线站向所述认证服务器的第二次重新认证期间发送的。13.根据权利要求11所述的装置，还包括可由所述处理器执行以进行如下操作的指令：接收重新认证失败消息；以及响应于接收所述重新认证失败消息来发送所述第二标识符和所述域名。14.根据权利要求10所述的装置，还包括可由所述处理器执行以进行如下操作的指令：使用所述第一标识符用于所述无线站向所述认证服务器的单次重新认证。15.根据权利要求10所述的装置，还包括...

【专利技术属性】
技术研发人员：S·B·李，G·谢里安，
申请(专利权)人：高通股份有限公司，
类型：发明
国别省市：美国,US