用于认证的系统和方法.pdf

摘要
申请专利号：	CN201380004164.5	申请日：	2013.01.06
公开号：	CN103988480A	公开日：	2014.08.13
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|著录事项变更IPC(主分类):H04L 29/06变更事项:发明人变更前:孙晟区国琛李云波变更后:孙晟区国琛李云波菲利普 ·巴贝尔\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20130106\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	华为技术有限公司
发明人：	孙晟; 区国琛; 李云波
地址：	518129 广东省深圳市龙岗区坂田华为总部办公楼
优先权：	2012.01.06 US 61/583,856; 2013.01.04 US 13/734,471
专利代理机构：		代理人：
PDF下载：	PDF下载

内容摘要

执行认证的方法包含通信台接收初始帧和所述通信台传输认证请求。所述认证请求包括基于局域网(LAN)的扩展认证协议(EAP)(EAPOL)开始和快速初始链接建立(FILS)握手的安全参数。

权利要求书

权利要求书1. 一种执行快速初始链路建立(FILS)认证的方法，其特征在于，所述方法包括：通信台接收初始帧；以及所述通信台传输包括以下项的FILS认证请求包含所述FILS的基于局域网(LAN)的扩展认证协议(EAP)(EAPOL)开始，和FILS握手的安全参数。2. 根据权利要求1所述的方法，其特征在于，所述初始帧包括信标帧。3. 根据权利要求1所述的方法，其特征在于，所述初始帧包括探测响应，其中所述方法进一步包括所述通信台在接收所述初始帧之前传输探测请求。4. 根据权利要求1所述的方法，其特征在于，进一步包括执行EAP认证协议交换。5. 根据权利要求1所述的方法，其特征在于，进一步包括：所述通信台接收为FILS认证格式化的第一认证响应消息，所述消息包括EAP认证信息；所述通信台传输关联响应；以及所述通信台接收第二认证响应。6. 根据权利要求5所述的方法，其特征在于，进一步包括所述通信台传输密钥确认。7. 根据权利要求1所述的方法，其特征在于，进一步包括所述通信台与接入点(AP)安全地通信。8. 根据权利要求1所述的方法，其特征在于，进一步包括生成成对主密钥(PMK)。9. 根据权利要求1所述的方法，其特征在于，进一步包括衍生成对临时密钥(PTK)。10. 根据权利要求9所述的方法，其特征在于，进一步包括：所述通信台安装所述PTK；以及安装组临时密钥(GTK)。11. 一种执行认证的方法，其特征在于，所述方法包括：接入点接收包括以下项的认证请求基于局域网(LAN)的扩展认证协议(EAP)(EAPOL)开始，和快速初始链路建立(FILS)握手的安全参数；以及所述接入点传输接入请求帧。12. 根据权利要求11所述的方法，其特征在于，进一步包括所述接入点传输信标帧。13. 根据权利要求11所述的方法，其特征在于，进一步包括所述接入点接收包括以下项的EAP消息：接受消息；EAP成功消息；以及成对主密钥(PMK)。14. 根据权利要求13所述的方法，其特征在于，进一步包括：存储所述PMK；以及生成认证响应。15. 根据权利要求14所述的方法，其特征在于，进一步包括所述接入点传输认证请求。16. 根据权利要求11所述的方法，其特征在于，进一步包括：所述接入点接收关联请求；以及所述接入点传输关联响应。17. 根据权利要求11所述的方法，其特征在于，进一步包括：安装成对临时密钥(PTK)；以及安装完整性组临时密钥(IGTK)。18. 根据权利要求11所述的方法，其特征在于，进一步包括所述接入点与通信台安全地通信。19. 一种通信台，其特征在于，包括：处理器；以及计算机可读存储媒体，所述计算机可读存储媒体存储由所述处理器执行的程序，所述程序包括可进行如下操作的指令：接收初始帧，以及传输包括以下项的认证请求基于局域网(LAN)的扩展认证协议(EAP)(EAPOL)开始，和快速初始链路建立(FILS)握手的安全参数。20. 一种接入点，其特征在于，包括：处理器；以及计算机可读存储媒体，所述计算机可读存储媒体存储由所述处理器执行的程序，所述程序包括可进行如下操作的指令：接收包括以下项的认证请求基于局域网(LAN)的扩展认证协议(EAP)(EAPOL)开始，和快速初始链路建立(FILS)握手的安全参数；以及传输接入请求帧。

说明书

说明书用于认证的系统和方法
相关申请案交叉申请
本发明要求2012年1月6日递交的发明名称为“用于IEEE802.11TGAi FILS认证协议的系统和方法”的第61/583856号美国临时申请案的在先申请优先权，以及要求2013年1月4日递交的发明名称为“用于认证的系统和方法”的第13/734471号美国专利申请案的在先申请优先权，这些在先申请的内容以引用的方式并入本文本中，如全文再现一般。
技术领域
本发明涉及用于无线通信的系统和方法，尤其涉及用于认证的系统和方法。
背景技术
IEEE802.11是一套用于实施无线局域网(WLAN)的标准。IEEE802.11为包括使用相同基础协议的一系列空中半双工调制技术的协议族。该协议定义了媒体接入控制(MAC)层和物理(PHY)层。
IEEE802.11包含IEEE802.1x，IEEE802.1x定义了基于局域网(LAN)的扩展认证协议(EAP)(EAPOL)的封装。使用802.1x的认证涉及请求者(例如，通信台)、认证者(例如，接入点)和认证服务器。
IEEE802.11i提供了涉及四次握手和组密钥握手的强健安全网络关联(RSNA)，其利用认证服务和端口接入控制来建立和改变合适的加密密钥。
发明内容
执行认证的实施例方法包含通信台接收初始帧和所述通信台传输认证请求。所述认证请求包括基于局域网(LAN)的扩展认证协议(EAP)(EAPOL)开始和快速初始链接建立(FILS)握手的安全参数。
执行认证的另一实施例方法包含接入点接收认证请求。所述认证请求包括基于局域网(LAN)的扩展认证协议(EAP)(EAPOL)开始和快速初始链接建立(FILS)握手的安全参数。此外，所述方法包括所述接入点传输接入请求帧。
实施例通信台包括处理器和计算机可读存储介质，所述计算机可读存储介质存储由所述处理器执行的程序。所述程序包括接收初始帧和传输认证请求的指令。所述认证请求包括基于局域网(LAN)的扩展认证协议(EAP)(EAPOL)开始和快速初始链接建立(FILS)握手的安全参数。
实施例接入点包括处理器和计算机可读存储介质，所述计算机可读存储介质存储由所述处理器执行的程序。所述程序包括接收认证请求的指令。所述认证请求包括基于局域网(LAN)的扩展认证协议(EAP)(EAPOL)开始和快速初始链接建立(FILS)握手的安全参数。此外，所述程序包括传输接入请求帧的指令。
上文相当宽泛地概述了本发明的实施例的特征，目的是让人能更好地理解下文对本发明的详细描述。下文中将描述本发明的实施例的额外特征和优点，其形成本发明的权利要求书的标的物。所属领域的技术人员应了解，所公开的概念和具体实施例可容易地用作修改或设计用于实现本发明的相同目的的其他结构或过程的基础。所属领域的技术人员还应意识到，此类等效构造不脱离所附权利要求书中所提出的本发明的精神和范围。
附图说明
为了更完整地理解本发明及其优点，现在参考以下结合附图进行的描述，其中：
图1示出了用于RSNA认证的系统的方框图；
图2示出了用于RSNA认证的状态机；
图3a至3b示出了使用RSNA进行认证的方法的流程图；
图4示出了用于认证的实施例系统；
图5示出了用于认证的实施例状态机；
图6示出了认证的实施例方法的流程图；以及
图7示出了根据实施例的图示一种可用于实施如本文所述的设备和方法的计算平台的方框图。
除非另有指示，否则不同图中的对应标号和符号通常指代对应部分。绘制各图是为了清楚地说明实施例的相关方面，因此未必是按比例绘制的。
具体实施方式
最初应理解，尽管下文提供一个或多个实施例的说明性实施方案，但可使用任意数目的当前已知或现有的技术来实施所公开的系统和/或方法。本发明决不应限于下文所说明的所述说明性实施方案、图式和技术，包含本文所说明并描述的示范性设计和实施方案，而是可以在所附权利要求书的范围以及其均等物的完整范围内修改。
快速初始链路建立(FILS)旨在减少通信台使用MAC层协议连接接入点(AP)所花费的时间，以便通信台和接入节点进行快速认证和关联。图1示出了用于执行RSNA的系统。系统包括通信台(STA)102、接入点(AP) 106和认证服务器(AS)104。通信台102执行策略决策和策略实施。认证服务器104执行策略决策，而接入点106执行策略实施。
图2示出了用于RSNA认证的状态机。状态机包含状态264、状态266、状态267和状态268。状态264中，系统未认证且未关联。此外，当存在成功的802.11认证时，状态机从状态264转换到状态266。随后，当状态机处于状态266，存在成功的关联/再关联且需要RSNA时，状态机转换到状态267。然而，当状态机处于状态266，存在成功的关联/再关联且不需要RSNA，或存在快速基础服务集(BSS)转换时，状态机转换到状态268。当系统已去关联，存在成功的802.11认证或存在失败的关联/再关联，且状态机处于状态267时，状态机转换到状态266。此外，当状态机处于状态267，且存在成功的四次握手时，状态机转换到状态268。此外，当状态机处于状态268，且存在去关联、失败的关联/再关联或成功的802.11认证时，状态机转换到状态266。当状态机处于状态266、状态267或状态268，且系统已去认证时，状态机转换到状态264。
图3a至3b示出了一种执行RSNA认证的方法。该方法包括六个阶段。图3a示出了阶段1、2和3，而图3b示出了阶段4、5和6。当该方法经过阶段1、阶段2、阶段3、阶段4和阶段5时，状态机经过状态264、状态266、状态267和状态268。最初，通信台和接入点未认证、未关联且802.1x受阻。阶段1包括网络和安全能力发现120。步骤136中，接入点将初始帧传输到通信台。在一项实施例中，步骤136中，接入点传输信标帧。在另一项实施例中，步骤136中接入点传输探测响应以响应步骤134中通信台向接入点传输的探测请求。
随后，在阶段2中执行802.11认证和关联122。在步骤138中，通信台向接入点传输802.11认证请求。随后，在步骤140中，接入点向通信台传输 802.11认证响应。接着，在步骤142中，通信台向接入点传输关联请求。之后，在步骤144中，接入点向通信台传输802.11关联响应。
步骤146中，关联的802.1x受阻安全参数在通信台中进行验证；而步骤148中，这些参数在接入点中进行认证。
接着，在阶段3中，执行EAP/802.1x/RADIUS认证124。基于EAP认证执行相互认证协议。接入点充当认证者以转发EAP消息。在步骤150中，通信台可选地传输EAPOL开始。随后，在步骤152中，接入点向通信台传输EAPOL请求标识，以及在步骤154中，通信台向接入点传输EAPOL响应标识。之后，在步骤156中，接入点向认证服务器传输接入点RADIUS请求。在步骤158中，认证服务器和通信台执行相互认证。接着，在步骤160中，认证服务器向接入点传输RADIUS接受信号，以及在步骤162中，接入点向通信台传输EPOL成功信号。
在步骤164中，主会话密钥(MSK)在通信台中生成。在步骤168中，MSK还在认证服务器中生成。此外，在步骤166中，成对主密钥(PMK)在通信台中生成。此外，在步骤170中，PMK在认证服务器中生成，以及在步骤172中，PMK从认证服务器传输到接入点。
之后，在阶段4进行四次握手126。通信台和接入点都可以在具有已认证PMK的情况下相互信任。在步骤174中，接入点向通信台传输A-Nonce值。在步骤176中，通信台随后构造了成对临时密钥(PTK)。接着，在步骤178中，通信台使用包括认证的消息认证码(MIC)将S-Nonce值传输到接入点。之后，在步骤180中，接入点构造PTK和组临时密钥(GTK)。在步骤182中，接入点传输GTK、A-Nonce值、将在下一多播或广播帧中使用的序列号以及另一MIC。在步骤184中，通信台向接入点传输确认。
接着，在步骤190中，GTK在通信台中生成且802.1x服务器在通信台中未受阻。此外，在步骤192中，802.1x在接入点中未受阻。在步骤194中，随机GTK在接入点中生成。随后，在可选阶段5中，执行组密钥握手128。在步骤196中，接入点向通信台传输包含GTK、密钥ID和MIC的EAPOL密钥。在步骤198中，通信台通过向接入点传输新GTK的确认作出响应。
最后，在阶段6中执行安全数据通信130。在步骤202中，在通信台和接入点之间传输受保护的数据包。此外，在步骤204中执行通信台和DHCP服务器之间的动态主机配置协议(DHC)请求和响应。
图4示出了用于认证的实施例系统。该系统包括通信台102，其与接入点106和认证服务器104通信。此外，接入点106和认证服务器104通信。在该系统中，通过绕过状态2和状态3将发生FILS认证。在专用状态期间，与图3a至3b所示的方法相比，FILS认证交换将采取消息交换的压缩版本。图5示出了用于认证的实施例状态机。状态机包含三种状态：状态264、状态268和状态269。在状态264中，该系统未认证且未关联，且存在1级帧。当状态机处于状态264，且存在成功的初始链路建立(FILS)认证时，状态机转换到状态269。当状态机处于状态269时，系统为FILS认证且IEEE802.1x受控端口受阻。此外，存在具有所选管理和数据帧的1级和2级帧。随后，如果系统处于状态269，且存在FILS密钥握手，那么系统转换到状态268。当状态机处于状态268时，系统未认证且未关联，并且IEEE802.1x受控端口未受阻。此外，在状态268中，存在1、2、3级帧。然而，如果状态机处于状态269，且存在FILS去授权时，状态机转换到状态264。类似地，如果状态机处于状态268，且系统已去认证时，状态机转换到状态264。
图6示出了用于认证的实施例方法的流程图，包含通信台、接入点和认证服务器。该方法包括状态264、状态269和状态268。在该实施例中，FILS 特定消息用于促进FILS认证。此外，在该实施例中，绕过了上文参见图3a至3b所论述的阶段2和阶段3。状态264对应于阶段1，状态269对应于阶段4，以及状态268对应于阶段5和阶段6。
状态264包括步骤228和步骤230。此外，状态269包括步骤232至252。状态268包括步骤254、步骤256、步骤258和步骤260。最初，在状态264中，通信台和接入点未认证、未关联且802.1x受阻。而在状态264中，在步骤230中，接入点向通信台传输初始帧。在一项实施例中，在步骤230中，接入点传输信标帧。在另一项实施例中，在步骤230中，接入点传输探测响应以响应步骤228中通信台向接入点传输的探测请求。随后，如果FILS认证成功，系统转换为状态269。
一旦处于状态269，在步骤232中，通信台向接入点传输认证请求。例如，认证请求可包括用于EAPOL开始和FILS握手的安全参数。在一项示例中，将EAP请求标识传输从通信台发送到接入点，且接入点使用EAP响应消息作出响应。接着，在步骤234中，接入点向认证服务器传输接入请求。该接入请求可以是EAP请求。随后，在步骤236中，通信台和认证服务器执行EAP认证协议交换。之后，在步骤238中，认证服务器生成PMK。接着，在步骤240中，认证服务器向接入点传输接受、EAP成功和PMK。在步骤242中，接入点随后存储PMK并生成A-Nonce值。随后，在步骤244中，接入点向服务器传输802.11认证响应。802.11认证响应可包括EAPOL密钥，EAPOL密钥可包括A-Nonce值和单播MIC。接着，通信台在步骤246中生成PMK，在步骤248中衍生出PTK。之后，在步骤250中，通信台向接入点传输802.11关联请求，其可以是EAPOL密钥，可包括S-Nonce值和单播MIC。在步骤252中，接入点随后向通信台传输802.11关联响应。802.11关联响应可包括EAPOL密钥，EAPOL密钥可包括PTK、单播MIC、加密GTK或完整性组临时密钥(IGTK)。
最后，在状态268中，在步骤254中通信台可选地向接入点传输EAPOL，其可包含单播MIC。最后，在步骤256中，服务器安装PTK、GTK和/或IGTK；在步骤258中，接入点安装PTK、GTK和/或IGTK。最后，在步骤260中进行通信台和接入点之间的安全数据通信。
图7是处理系统270的方框图，可以用于实现下文公开的设备和方法。特定设备可以利用所示的所有部件，或仅部件的子集，且集成水平随设备的不同而不同。而且，设备可包含组件的多个实例，如多个处理单元、处理器、存储器、发射器、接收器等等。处理系统可包括配备一个或多个输入设备(如麦克风、鼠标、触摸屏、小键盘、键盘等)的处理单元。此外，处理系统270可配备一个或多个输出设备，例如，扬声器、打印机、显示器等。处理单元可以包括中央处理器(CPU)274、存储器276、大容量存储器设备278、视频适配器280以及连接至总线的I/O接口288。
总线可以为任何类型的若干总线架构中的一个或多个，包括存储总线或者存储控制器、外设总线、视频总线等等。CPU274可包括任意类型的电子数据处理器。存储器276可包括任何类型的系统存储器，例如静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、同步DRAM(SDRAM)、只读存储器(ROM)或其组合等等。在实施例中，存储器可包括在开机时使用的ROM以及执行程序时使用的程序和数据存储器的DRAM。
大容量存储器设备278可以包括任任意类型的存储器设备，其用于存储数据、程序和其它信息，并使这些数据、程序和其它信息通过总线访问。大容量存储器设备278可以包括如下项中的一种或多种：固态磁盘、硬盘驱动器、磁盘驱动器、光盘驱动器等等。
视频适配器280和I/O接口288提供接口以耦合外部输入输出设备至处理单元。如图所示，输入输出设备的示例包括耦合至视频适配器的显示器和耦合至I/O接口的鼠标/键盘/打印机。其它设备可以耦合到处理单元，可以利用附加的或更少的接口卡。例如，可使用串行接口卡(未示出)将串行接口提供给打印机。
处理单元还可包括一个或多个网络接口284，其可包括以太网电缆等有线链路和/或接入节点或不同网络的无线链路。网络接口284允许处理单元通过网络与远程单元通信。例如，网络接口可通过一个或多个发射器/发射天线和一个或多个接收器/接收天线提供无线通信。在实施例中，处理单元耦合到局域网或广域网用于数据处理并与远程设备(例如，其它处理单元、互联网、远程存储设施等等)进行通信。
实施例的优点包括与RSNA安全协议的兼容性及安全性。实施例的另一优点在于一次握手中使用仅9或10条消息。在示例中，四次握手减少为三次握手。
虽然本发明中已提供若干实施例，但应理解，在不脱离本发明的精神或范围的情况下，本发明所公开的系统和方法可以以许多其他特定形式来体现。本发明的实例应被视为说明性而非限制性的，且本发明并不限于本文本所给出的细节。例如，各种元件或部件可以在另一系统中组合或合并，或者某些特征可以省略或不实施。
此外，在不脱离本发明的范围的情况下，各种实施例中描述和说明为离散或单独的技术、系统、子系统和方法可以与其他系统、模块、技术或方法进行组合或合并。展示或论述为彼此耦合或直接耦合或通信的其他项也可以采用电方式、机械方式或其他方式通过某一接口、设备或中间部件间接地耦合或通信。其他变化、替代和改变的示例可以由本领域的技术人员在不脱离本文精神和所公开的范围的情况下确定。

资源描述

《用于认证的系统和方法.pdf》由会员分享，可在线阅读，更多相关《用于认证的系统和方法.pdf（14页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 103988480 A (43)申请公布日 2014.08.13 CN 103988480 A (21)申请号 201380004164.5 (22)申请日 2013.01.06 61/583,856 2012.01.06 US 13/734,471 2013.01.04 US H04L 29/06(2006.01) (71)申请人华为技术有限公司地址 518129 广东省深圳市龙岗区坂田华为总部办公楼 (72)发明人孙晟区国琛李云波 (54) 发明名称用于认证的系统和方法 (57) 摘要执行认证的方法包含通信台接收初始帧和所述通信台传输认证请求。所。

2、述认证请求包括基于局域网(LAN)的扩展认证协议(EAP)(EAPOL)开始和快速初始链接建立 (FILS) 握手的安全参数。 (30)优先权数据 (85)PCT国际申请进入国家阶段日 2014.06.06 (86)PCT国际申请的申请数据 PCT/CN2013/070125 2013.01.06 (87)PCT国际申请的公布数据 WO2013/102449 EN 2013.07.11 (51)Int.Cl. 权利要求书 2 页说明书 5 页附图 6 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书2页说明书5页附图6页 (10)申请公布号 CN 1039。

3、88480 A CN 103988480 A 1/2 页 2 1. 一种执行快速初始链路建立 (FILS) 认证的方法，其特征在于，所述方法包括：通信台接收初始帧；以及所述通信台传输包括以下项的 FILS 认证请求包含所述 FILS 的基于局域网 (LAN) 的扩展认证协议 (EAP)(EAPOL) 开始，和 FILS 握手的安全参数。 2. 根据权利要求 1 所述的方法，其特征在于，所述初始帧包括信标帧。 3. 根据权利要求 1 所述的方法，其特征在于，所述初始帧包括探测响应，其中所述方法进一步包括所述通信台在接收所述初始帧之前传输探测请求。 4. 根据权利要求。

4、 1 所述的方法，其特征在于，进一步包括执行 EAP 认证协议交换。 5. 根据权利要求 1 所述的方法，其特征在于，进一步包括：所述通信台接收为 FILS 认证格式化的第一认证响应消息，所述消息包括 EAP 认证信息；所述通信台传输关联响应；以及所述通信台接收第二认证响应。 6. 根据权利要求 5 所述的方法，其特征在于，进一步包括所述通信台传输密钥确认。 7. 根据权利要求 1 所述的方法，其特征在于，进一步包括所述通信台与接入点 (AP) 安全地通信。 8. 根据权利要求 1 所述的方法，其特征在于，进一步包括生成成对主密钥 (PMK)。 9. 根。

5、据权利要求 1 所述的方法，其特征在于，进一步包括衍生成对临时密钥 (PTK)。 10. 根据权利要求 9 所述的方法，其特征在于，进一步包括：所述通信台安装所述 PTK ；以及安装组临时密钥 (GTK)。 11. 一种执行认证的方法，其特征在于，所述方法包括：接入点接收包括以下项的认证请求基于局域网 (LAN) 的扩展认证协议 (EAP)(EAPOL) 开始，和快速初始链路建立 (FILS) 握手的安全参数；以及所述接入点传输接入请求帧。 12. 根据权利要求 11 所述的方法，其特征在于，进一步包括所述接入点传输信标帧。 13. 根据权利要求 11 。

6、所述的方法，其特征在于，进一步包括所述接入点接收包括以下项的 EAP 消息：接受消息； EAP 成功消息；以及成对主密钥 (PMK)。 14. 根据权利要求 13 所述的方法，其特征在于，进一步包括：存储所述 PMK ；以及生成认证响应。 15. 根据权利要求 14 所述的方法，其特征在于，进一步包括所述接入点传输认证请求。 16. 根据权利要求 11 所述的方法，其特征在于，进一步包括：权利要求书 CN 103988480 A 2 2/2 页 3 所述接入点接收关联请求；以及所述接入点传输关联响应。 17. 根据权利要求 11 所述的方。

7、法，其特征在于，进一步包括：安装成对临时密钥 (PTK) ；以及安装完整性组临时密钥 (IGTK)。 18. 根据权利要求 11 所述的方法，其特征在于，进一步包括所述接入点与通信台安全地通信。 19. 一种通信台，其特征在于，包括：处理器；以及计算机可读存储媒体，所述计算机可读存储媒体存储由所述处理器执行的程序，所述程序包括可进行如下操作的指令：接收初始帧，以及传输包括以下项的认证请求基于局域网 (LAN) 的扩展认证协议 (EAP)(EAPOL) 开始，和快速初始链路建立 (FILS) 握手的安全参数。 20. 一种接入点，其特征在于，。

8、包括：处理器；以及计算机可读存储媒体，所述计算机可读存储媒体存储由所述处理器执行的程序，所述程序包括可进行如下操作的指令：接收包括以下项的认证请求基于局域网 (LAN) 的扩展认证协议 (EAP)(EAPOL) 开始，和快速初始链路建立 (FILS) 握手的安全参数；以及传输接入请求帧。权利要求书 CN 103988480 A 3 1/5 页 4 用于认证的系统和方法 0001 相关申请案交叉申请 0002 本发明要求 2012 年 1 月 6 日递交的发明名称为 “用于 IEEE802.11TGAi FILS 认证协议的系统和方法” 的第 61/。

9、583856 号美国临时申请案的在先申请优先权，以及要求 2013 年 1 月 4 日递交的发明名称为 “用于认证的系统和方法” 的第 13/734471 号美国专利申请案的在先申请优先权，这些在先申请的内容以引用的方式并入本文本中，如全文再现一般。技术领域 0003 本发明涉及用于无线通信的系统和方法，尤其涉及用于认证的系统和方法。背景技术 0004 IEEE802.11 是一套用于实施无线局域网 (WLAN) 的标准。IEEE802.11 为包括使用相同基础协议的一系列空中半双工调制技术的协议族。该协议定义了媒体接入控制 (MAC) 层和物理 (PHY) 层。 0005 I。

10、EEE802.11 包含 IEEE802.1x， IEEE802.1x 定义了基于局域网 (LAN) 的扩展认证协议 (EAP)(EAPOL) 的封装。使用 802.1x 的认证涉及请求者 ( 例如，通信台 )、认证者 ( 例如，接入点 ) 和认证服务器。 0006 IEEE802.11i 提供了涉及四次握手和组密钥握手的强健安全网络关联 (RSNA)，其利用认证服务和端口接入控制来建立和改变合适的加密密钥。发明内容 0007 执行认证的实施例方法包含通信台接收初始帧和所述通信台传输认证请求。所述认证请求包括基于局域网 (LAN) 的扩展认证协议 (EAP)(EAPOL) 。

11、开始和快速初始链接建立 (FILS) 握手的安全参数。 0008 执行认证的另一实施例方法包含接入点接收认证请求。所述认证请求包括基于局域网 (LAN) 的扩展认证协议 (EAP)(EAPOL) 开始和快速初始链接建立 (FILS) 握手的安全参数。此外，所述方法包括所述接入点传输接入请求帧。 0009 实施例通信台包括处理器和计算机可读存储介质，所述计算机可读存储介质存储由所述处理器执行的程序。所述程序包括接收初始帧和传输认证请求的指令。所述认证请求包括基于局域网 (LAN) 的扩展认证协议 (EAP)(EAPOL) 开始和快速初始链接建立 (FILS) 握手的安全参数。 00。

12、10 实施例接入点包括处理器和计算机可读存储介质，所述计算机可读存储介质存储由所述处理器执行的程序。所述程序包括接收认证请求的指令。所述认证请求包括基于局域网 (LAN) 的扩展认证协议 (EAP)(EAPOL) 开始和快速初始链接建立 (FILS) 握手的安全参数。此外，所述程序包括传输接入请求帧的指令。 0011 上文相当宽泛地概述了本发明的实施例的特征，目的是让人能更好地理解下文对本发明的详细描述。下文中将描述本发明的实施例的额外特征和优点，其形成本发明的权说明书 CN 103988480 A 4 2/5 页 5 利要求书的标的物。所属领域的技术人员应了解，所公开。

13、的概念和具体实施例可容易地用作修改或设计用于实现本发明的相同目的的其他结构或过程的基础。所属领域的技术人员还应意识到，此类等效构造不脱离所附权利要求书中所提出的本发明的精神和范围。附图说明 0012 为了更完整地理解本发明及其优点，现在参考以下结合附图进行的描述，其中： 0013 图 1 示出了用于 RSNA 认证的系统的方框图； 0014 图 2 示出了用于 RSNA 认证的状态机； 0015 图 3a 至 3b 示出了使用 RSNA 进行认证的方法的流程图； 0016 图 4 示出了用于认证的实施例系统； 0017 图 5 示出了用于认证的实施例状态机； 0018。

14、图 6 示出了认证的实施例方法的流程图；以及 0019 图 7 示出了根据实施例的图示一种可用于实施如本文所述的设备和方法的计算平台的方框图。 0020 除非另有指示，否则不同图中的对应标号和符号通常指代对应部分。绘制各图是为了清楚地说明实施例的相关方面，因此未必是按比例绘制的。具体实施方式 0021 最初应理解，尽管下文提供一个或多个实施例的说明性实施方案，但可使用任意数目的当前已知或现有的技术来实施所公开的系统和 / 或方法。本发明决不应限于下文所说明的所述说明性实施方案、图式和技术，包含本文所说明并描述的示范性设计和实施方案，而是可以在所附权利要求书的范围。

15、以及其均等物的完整范围内修改。 0022 快速初始链路建立 (FILS) 旨在减少通信台使用 MAC 层协议连接接入点 (AP) 所花费的时间，以便通信台和接入节点进行快速认证和关联。图1示出了用于执行RSNA的系统。系统包括通信台 (STA)102、接入点 (AP)106 和认证服务器 (AS)104。通信台 102 执行策略决策和策略实施。认证服务器 104 执行策略决策，而接入点 106 执行策略实施。 0023 图 2 示出了用于 RSNA 认证的状态机。状态机包含状态 264、状态 266、状态 267 和状态 268。状态 264 中，系统未认证且未关联。此外。

16、，当存在成功的 802.11 认证时，状态机从状态 264 转换到状态 266。随后，当状态机处于状态 266，存在成功的关联 / 再关联且需要 RSNA 时，状态机转换到状态 267。然而，当状态机处于状态 266，存在成功的关联 / 再关联且不需要 RSNA，或存在快速基础服务集 (BSS) 转换时，状态机转换到状态 268。当系统已去关联，存在成功的 802.11 认证或存在失败的关联 / 再关联，且状态机处于状态 267 时，状态机转换到状态 266。此外，当状态机处于状态 267，且存在成功的四次握手时，状态机转换到状态 268。此外，当状。

17、态机处于状态 268，且存在去关联、失败的关联 / 再关联或成功的 802.11 认证时，状态机转换到状态 266。当状态机处于状态 266、状态 267 或状态 268，且系统已去认证时，状态机转换到状态 264。 0024 图 3a 至 3b 示出了一种执行 RSNA 认证的方法。该方法包括六个阶段。图 3a 示出了阶段 1、 2 和 3，而图 3b 示出了阶段 4、 5 和 6。当该方法经过阶段 1、阶段 2、阶段 3、阶段 4 和阶段 5 时，状态机经过状态 264、状态 266、状态 267 和状态 268。最初，通信台和接入点未说明书 CN 1。

18、03988480 A 5 3/5 页 6 认证、未关联且 802.1x 受阻。阶段 1 包括网络和安全能力发现 120。步骤 136 中，接入点将初始帧传输到通信台。在一项实施例中，步骤 136 中，接入点传输信标帧。在另一项实施例中，步骤 136 中接入点传输探测响应以响应步骤 134 中通信台向接入点传输的探测请求。 0025 随后，在阶段 2 中执行 802.11 认证和关联 122。在步骤 138 中，通信台向接入点传输 802.11 认证请求。随后，在步骤 140 中，接入点向通信台传输 802.11 认证响应。接着，在步骤 142 中，通信台向接入点传输。

19、关联请求。之后，在步骤 144 中，接入点向通信台传输 802.11 关联响应。 0026 步骤146中，关联的802.1x受阻安全参数在通信台中进行验证；而步骤148中，这些参数在接入点中进行认证。 0027 接着，在阶段 3 中，执行 EAP/802.1x/RADIUS 认证 124。基于 EAP 认证执行相互认证协议。接入点充当认证者以转发 EAP 消息。在步骤 150 中，通信台可选地传输 EAPOL 开始。随后，在步骤 152 中，接入点向通信台传输 EAPOL 请求标识，以及在步骤 154 中，通信台向接入点传输 EAPOL 响应标识。之后，在步。

20、骤 156 中，接入点向认证服务器传输接入点 RADIUS 请求。在步骤 158 中，认证服务器和通信台执行相互认证。接着，在步骤 160 中，认证服务器向接入点传输 RADIUS 接受信号，以及在步骤 162 中，接入点向通信台传输 EPOL 成功信号。 0028 在步骤 164 中，主会话密钥 (MSK) 在通信台中生成。在步骤 168 中， MSK 还在认证服务器中生成。此外，在步骤 166 中，成对主密钥 (PMK) 在通信台中生成。此外，在步骤 170 中， PMK 在认证服务器中生成，以及在步骤 172 中， PMK 从认证服务器传输到接入点。 0029。

21、之后，在阶段 4 进行四次握手 126。通信台和接入点都可以在具有已认证 PMK 的情况下相互信任。在步骤 174 中，接入点向通信台传输 A-Nonce 值。在步骤 176 中，通信台随后构造了成对临时密钥 (PTK)。接着，在步骤 178 中，通信台使用包括认证的消息认证码 (MIC) 将 S-Nonce 值传输到接入点。之后，在步骤 180 中，接入点构造 PTK 和组临时密钥 (GTK)。在步骤 182 中，接入点传输 GTK、 A-Nonce 值、将在下一多播或广播帧中使用的序列号以及另一 MIC。在步骤 184 中，通信台向接入点传输确认。 0030 。

22、接着，在步骤190中， GTK在通信台中生成且802.1x服务器在通信台中未受阻。此外，在步骤 192 中， 802.1x 在接入点中未受阻。在步骤 194 中，随机 GTK 在接入点中生成。随后，在可选阶段5中，执行组密钥握手128。在步骤196中，接入点向通信台传输包含GTK、密钥 ID 和 MIC 的 EAPOL 密钥。在步骤 198 中，通信台通过向接入点传输新 GTK 的确认作出响应。 0031 最后，在阶段 6 中执行安全数据通信 130。在步骤 202 中，在通信台和接入点之间传输受保护的数据包。此外，在步骤 204 中执行通信台和 DHCP 服。

23、务器之间的动态主机配置协议 (DHC) 请求和响应。 0032 图4示出了用于认证的实施例系统。该系统包括通信台102，其与接入点106和认证服务器 104 通信。此外，接入点 106 和认证服务器 104 通信。在该系统中，通过绕过状态 2 和状态 3 将发生 FILS 认证。在专用状态期间，与图 3a 至 3b 所示的方法相比， FILS 认证交换将采取消息交换的压缩版本。图 5 示出了用于认证的实施例状态机。状态机包含三种状态：状态 264、状态 268 和状态 269。在状态 264 中，该系统未认证且未关联，且存在 1 级帧。当状态机处于状态 264，。

24、且存在成功的初始链路建立 (FILS) 认证时，状态机转换到状说明书 CN 103988480 A 6 4/5 页 7 态 269。当状态机处于状态 269 时，系统为 FILS 认证且 IEEE802.1x 受控端口受阻。此外，存在具有所选管理和数据帧的 1 级和 2 级帧。随后，如果系统处于状态 269，且存在 FILS 密钥握手，那么系统转换到状态 268。当状态机处于状态 268 时，系统未认证且未关联，并且 IEEE802.1x 受控端口未受阻。此外，在状态 268 中，存在 1、 2、 3 级帧。然而，如果状态机处于状态 269，且存在 FILS 。

25、去授权时，状态机转换到状态 264。类似地，如果状态机处于状态 268，且系统已去认证时，状态机转换到状态 264。 0033 图 6 示出了用于认证的实施例方法的流程图，包含通信台、接入点和认证服务器。该方法包括状态 264、状态 269 和状态 268。在该实施例中， FILS 特定消息用于促进 FILS 认证。此外，在该实施例中，绕过了上文参见图 3a 至 3b 所论述的阶段 2 和阶段 3。状态 264 对应于阶段 1，状态 269 对应于阶段 4，以及状态 268 对应于阶段 5 和阶段 6。 0034 状态 264 包括步骤 228 和步骤 230。此外，。

26、状态 269 包括步骤 232 至 252。状态 268 包括步骤 254、步骤 256、步骤 258 和步骤 260。最初，在状态 264 中，通信台和接入点未认证、未关联且802.1x受阻。而在状态264中，在步骤230中，接入点向通信台传输初始帧。在一项实施例中，在步骤 230 中，接入点传输信标帧。在另一项实施例中，在步骤 230 中，接入点传输探测响应以响应步骤 228 中通信台向接入点传输的探测请求。随后，如果 FILS 认证成功，系统转换为状态 269。 0035 一旦处于状态269，在步骤232中，通信台向接入点传输认证请求。例如，。

27、认证请求可包括用于 EAPOL 开始和 FILS 握手的安全参数。在一项示例中，将 EAP 请求标识传输从通信台发送到接入点，且接入点使用 EAP 响应消息作出响应。接着，在步骤 234 中，接入点向认证服务器传输接入请求。该接入请求可以是 EAP 请求。随后，在步骤 236 中，通信台和认证服务器执行 EAP 认证协议交换。之后，在步骤 238 中，认证服务器生成 PMK。接着，在步骤 240中，认证服务器向接入点传输接受、 EAP成功和PMK。在步骤242中，接入点随后存储PMK 并生成 A-Nonce 值。随后，在步骤 244 中，接入点向服务器传输。

28、802.11 认证响应。802.11 认证响应可包括 EAPOL 密钥， EAPOL 密钥可包括 A-Nonce 值和单播 MIC。接着，通信台在步骤 246 中生成 PMK，在步骤 248 中衍生出 PTK。之后，在步骤 250 中，通信台向接入点传输 802.11 关联请求，其可以是 EAPOL 密钥，可包括 S-Nonce 值和单播 MIC。在步骤 252 中，接入点随后向通信台传输 802.11 关联响应。802.11 关联响应可包括 EAPOL 密钥， EAPOL 密钥可包括 PTK、单播 MIC、加密 GTK 或完整性组临时密钥 (IGTK)。 0036 最。

29、后，在状态268中，在步骤254中通信台可选地向接入点传输EAPOL，其可包含单播 MIC。最后，在步骤 256 中，服务器安装 PTK、 GTK 和 / 或 IGTK ；在步骤 258 中，接入点安装 PTK、 GTK 和 / 或 IGTK。最后，在步骤 260 中进行通信台和接入点之间的安全数据通信。 0037 图 7 是处理系统 270 的方框图，可以用于实现下文公开的设备和方法。特定设备可以利用所示的所有部件，或仅部件的子集，且集成水平随设备的不同而不同。而且，设备可包含组件的多个实例，如多个处理单元、处理器、存储器、发射器、接收器等等。处理系统。

30、可包括配备一个或多个输入设备 ( 如麦克风、鼠标、触摸屏、小键盘、键盘等 ) 的处理单元。此外，处理系统 270 可配备一个或多个输出设备，例如，扬声器、打印机、显示器等。处理单元可以包括中央处理器(CPU)274、存储器276、大容量存储器设备278、视频适配器280以及连接至总线的 I/O 接口 288。 0038 总线可以为任何类型的若干总线架构中的一个或多个，包括存储总线或者存储控说明书 CN 103988480 A 7 5/5 页 8 制器、外设总线、视频总线等等。CPU274 可包括任意类型的电子数据处理器。存储器 276 可包括任何类型。

31、的系统存储器，例如静态随机存取存储器 (SRAM)、动态随机存取存储器 (DRAM)、同步DRAM(SDRAM)、只读存储器(ROM)或其组合等等。在实施例中，存储器可包括在开机时使用的 ROM 以及执行程序时使用的程序和数据存储器的 DRAM。 0039 大容量存储器设备 278 可以包括任任意类型的存储器设备，其用于存储数据、程序和其它信息，并使这些数据、程序和其它信息通过总线访问。大容量存储器设备 278 可以包括如下项中的一种或多种：固态磁盘、硬盘驱动器、磁盘驱动器、光盘驱动器等等。 0040 视频适配器 280 和 I/O 接口 288 提供接口以。

32、耦合外部输入输出设备至处理单元。如图所示，输入输出设备的示例包括耦合至视频适配器的显示器和耦合至 I/O 接口的鼠标 / 键盘 / 打印机。其它设备可以耦合到处理单元，可以利用附加的或更少的接口卡。例如，可使用串行接口卡 ( 未示出 ) 将串行接口提供给打印机。 0041 处理单元还可包括一个或多个网络接口 284，其可包括以太网电缆等有线链路和 / 或接入节点或不同网络的无线链路。网络接口 284 允许处理单元通过网络与远程单元通信。例如，网络接口可通过一个或多个发射器 / 发射天线和一个或多个接收器 / 接收天线提供无线通信。在实施例中，处理单元耦合到局域网或广域网用于数。

33、据处理并与远程设备 ( 例如，其它处理单元、互联网、远程存储设施等等 ) 进行通信。 0042 实施例的优点包括与 RSNA 安全协议的兼容性及安全性。实施例的另一优点在于一次握手中使用仅 9 或 10 条消息。在示例中，四次握手减少为三次握手。 0043 虽然本发明中已提供若干实施例，但应理解，在不脱离本发明的精神或范围的情况下，本发明所公开的系统和方法可以以许多其他特定形式来体现。本发明的实例应被视为说明性而非限制性的，且本发明并不限于本文本所给出的细节。例如，各种元件或部件可以在另一系统中组合或合并，或者某些特征可以省略或不实施。 0044 此外，在不脱离。

34、本发明的范围的情况下，各种实施例中描述和说明为离散或单独的技术、系统、子系统和方法可以与其他系统、模块、技术或方法进行组合或合并。展示或论述为彼此耦合或直接耦合或通信的其他项也可以采用电方式、机械方式或其他方式通过某一接口、设备或中间部件间接地耦合或通信。其他变化、替代和改变的示例可以由本领域的技术人员在不脱离本文精神和所公开的范围的情况下确定。说明书 CN 103988480 A 8 1/6 页 9 图 1 说明书附图 CN 103988480 A 9 2/6 页 10 图 2 说明书附图 CN 103988480 A 10 3/6 页 11 图 3a 图 3b 说明书附图 CN 103988480 A 11 4/6 页 12 图 4 说明书附图 CN 103988480 A 12 5/6 页 13 图 5 图 6 说明书附图 CN 103988480 A 13 6/6 页 14 图 7 说明书附图 CN 103988480 A 14 。

展开阅读全文