CN101330427B - 用于协商建立对等通信链路的能力的设备和方法 - Google Patents
用于协商建立对等通信链路的能力的设备和方法 Download PDFInfo
- Publication number
- CN101330427B CN101330427B CN2008100996939A CN200810099693A CN101330427B CN 101330427 B CN101330427 B CN 101330427B CN 2008100996939 A CN2008100996939 A CN 2008100996939A CN 200810099693 A CN200810099693 A CN 200810099693A CN 101330427 B CN101330427 B CN 101330427B
- Authority
- CN
- China
- Prior art keywords
- party
- password
- identifier
- parameter
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Abstract
本文公开了建立对等通信链路时协商策略的参数的设备和方法。在一个实施例中,在无线网状网络中建立对等链路时协商安全策略。该方法包括生成从第一方送往第二方的第一请求消息,第一请求消息包括第一方标识符、第二方标识符和第一方的密码适配组列表,该列表包含第一方所支持的参数并设置为有序列表;从第二方接收第二请求消息,第二请求消息包括第二方的标识符、第一方的标识符和第二方的密码适配组列表,该列表包含第二方所支持的参数并设置为有序列表;根据第一方的密码适配组列表和第二方所接收的密码适配组列表的比较来选择参数,该选择使用双方的标识符确定选择的规则,所选参数是建立第一方与第二方之间的对等通信链路时的策略的协商参数。
Description
技术领域
一般来说,本发明的实施例涉及用于建立对等链路的通信策略的设备和方法。
背景技术
可采用各种体系结构设计来构成通信网络。在许多这类通信网络的设计中,安全性是一个整体要素。当开发通信网络的新设计时,应当解决安全性。但是,安全方案的实现包括对内容的预期传输增加延迟和/或复杂度的处理及过程。应当着手处理建立通信网络中的安全实现的复杂度或时间的减少,而不使通过通信网络的增强设计进行传输的服务质量降级。
发明内容
根据第一实施例,本发明提供了一种协商建立对等通信链路的能力的方法,所述方法包括:
生成从第一方送往第二方的第一请求消息,所述第一请求消息包括所述第一方的标识符、所述第二方的标识符、以及所述第一方的密码适配组列表,所述密码适配组列表包含所述第一方所支持的参数并设置为有序列表;
从所述第二方接收第二请求消息,所述第二请求消息包括所述第二方的标识符、所述第一方的标识符、以及所述第二方的密码适配组列表,所述第二方的所述密码适配组列表包含所述第二方所支持的参数并设置为有序列表;以及
根据所述第一方的密码适配组列表和所述第二方的密码适配组列表的比较来选择参数,该选择使用双方的标识符确定所述选择的规则,所选参数是建立所述第一方与所述第二方之间的对等通信链路时的策略的协商参数,
其中,第一方和第二方的密码适配组列表是按照参数的优先次序来排列的有序列表,按照具有较大标识符的一方在其密码适配组列表中指定的优先次序,从第一方和第二方的密码适配组列表的交集中选择最优选的参数。
根据第二实施例,本发明提供了一种协商建立对等通信链路的能力并具有认证标识符的设备,所述设备包括:
存储器高速缓存,存储会话认证密钥以及所述设备所支持的策略的参数的密码适配组列表;
以及
处理电路,控制建立与另一个装置的对等通信链路时的所述策略的协商,其中包括选择参数作为所述策略的协商参数,所述参数的选择从所述密码适配组列表与在第二请求消息中从所述另一个装置接收的密码适配组列表的比较得出,所述第二请求消息包含所述另一个装置的密码适配组列表和所述另一个装置的认证标识符,所述选择基于所述设备的认证标识符和所述另一个装置的认证标识符确定所述选择的规则,
其中,所述设备和所述另一个装置的密码适配组列表是按照参数的优先次序来排列的有序列表,按照所述设备和所述另一个装置中具有较大认证标识符的一方在其密码适配组列表中指定的优先次序,从所述设备和所述另一个装置的密码适配组列表的交集中选择最优选的参数。
根据第三实施例,本发明提供了一种协商建立对等通信链路的能力的系统,所述系统具有认证标识符并包括:
存储器,存储会话认证密钥以及所述系统所支持的策略的参数的密码适配组列表;
处理电路,控制建立与另一个系统的对等通信链路时的所述策略的协商,其中包括选择参数作为所述策略的协商参数,所述参数的选择从所述密码适配组列表与在消息中从所述另一个系统接收的密码适配组列表的比较得出,所述消息包含所述另一个系统的密码适配组列表和所述另一个系统的认证标识符,所述选择基于所述系统的认证标识符和所述另一个系统的认证标识符控制所述选择的规则;以及
基本全向天线,以与所述另一个系统进行通信,
其中,所述系统和所述另一个系统的密码适配组列表是按照参数的优先次序来排列的有序列表,按照所述系统和所述另一个系统中具有较大认证标识符的一方在其密码适配组列表中指定的优先次序,从所述系统和所述另一个系统的密码适配组列表的交集中选择最优选的参数。
附图说明
通过附图、作为示例而不是限制来说明本发明的实施例,附图包括:
图1示出节点A与节点B之间的对等通信链路的实施例的表示。
图2示出具有多个网格点的网状网络的实施例的特征,其中基于对等来建立两个单独网格点之间的通信。
图3示出协商网状网络上的两个网格点之间的安全策略的方法的实施例的特征的流程图。
图4示出两个网格点之间的消息流程的实施例。
图5示出根据协商对等链路中策略参数的各种实施例的无线通信装置的实施例的框图。
图6示出根据协商对等链路中策略参数的各种实施例的系统的实施例的框图。
具体实施方式
在以下详细描述中,参照附图,作为说明,附图示出可实现本发明的细节和实施例。充分详细地描述这些实施例,使本领域的技术人员能够实现本发明的实施例。可使用其它实施例并且在没有背离本发明主题的情况下可进行结构、逻辑和电气变更。本文公开的各种实施例不一定相互排斥,因为某些实施例可与一个或多个其它实施例结合以组成新的实施例。因此,以下详细说明不应被理解为限制性的。
图1示出节点A与节点B之间的对等通信链路的实施例的表示。在各种实施例中,可提供对等配置中的节点A与节点B之间的通信策略的协商,而无需依靠对等链路建立之前的信息通知。通信策略是其中可通过一个或多个机制、协议或算法来实现能力或功能的实体所支持的能力或功能。协商的结果包括选择机制、协议或算法其中之一来进行该功能。通信策略的一个示例是安全策略。在对等链路建立期间,可使用确定仲裁器的预定标准以及用于根据仲裁标准和对等链路建立中提供的数据选择通信策略的过程,来进行协商。
节点A和节点B实现为独立电子装置,可向它们提供唯一标识符以便在装置的较大集合中标识各装置。可按照特定顺序、根据生成每个唯一标识符的方式或者根据每个唯一标识符的格式来排列每个唯一标识符。可使用唯一标识符的特性来定义预定标准以便创建对等链路建立中使用的仲裁。例如,如果标识符包括可按照大小来量化的数字字符或其它唯一符号,则可将节点A与节点B之间的协商的仲裁器与具有最大唯一标识符的节点关联。或者,仲裁器可基于最小的唯一标识符。用于确定仲裁器的预定标准不限于与节点A和节点B相关的唯一标识符的最大或最小唯一标识符,而是可通过节点的其它特性来选择,其中可将各节点的唯一特征与该特性关联。
在给定仲裁器的预定标准的情况下,可在对等链路建立期间来实现节点A与节点B之间的协商,其方式是:节点B向节点A提供节点B的唯一标识符以及节点B的通信策略的参数或值的集合,并且节点A向节点B提供节点A的唯一标识符以及节点A的通信策略的参数或值的集合。节点A和节点B各自可独立使用仲裁器的预定标准,以便从通信值的两个集合(它自己的以及所接收的集合)中选择协商参数,其中从唯一标识符的交换中查明其确定特性。可比较两个集合,并且可将仲裁标准应用于比较。
可执行将仲裁标准应用于通信参数的两个集合,其中两个集合的每个作为有序集合来提供。可比较两个有序集合,并且可将仲裁标准应用于考虑排序规则的比较。一旦独立确定了通信策略的参数或值,则节点的一个或两个可向另一个节点通信提供包括通信策略的所选值的指示符的确认消息。如果在节点上接收的通信策略的值的指示符与在该节点上独立得出的通信策略的值的指示符相同,则协商成功。可通过交换的四个消息来进行这样的过程。在一个实施例中,正被协商的通信策略可以是安全策略。
可使用具有关联认证密钥K的消息完整码mK以及使用加密随机数生成器,在节点A与B之间传送唯一标识符以及通信策略的值集合。在节点A与节点B之间共享认证密钥,其中,可在建立节点A与节点B的对等链路会话之前,以安全方式来建立认证密钥的共享性质。节点A可与不同于节点B的节点共享不同的认证密钥。节点A和B可以是网状通信网络中的网格点。
图2示出具有多个网格点210-1...210-N的网状网络200的实施例的特征,其中基于对等来建立两个单独网格点之间的通信。网格点210-1...210-N之间的直接连通性可根据应用改变。在各种实施例中,可根据网络规则来提供成对的网格点210-1...210-N之间的通信信道。各网格点210-1...210-N具有唯一标识符。可根据规则集以分级顺序来排列唯一标识符。
各网格点210-1...210-N具有它自己的、通信策略的参数或值的集合。可按照特定顺序来排列网格点上的集合的成员或值。各个节点210-1...210-N的每个上的特定顺序可以是节点特定的。各个节点210-1...210-N上的特定顺序可以相互无关。或者,各网格点上的通信参数的排序可基于公共规则。另外,一个网格点上的值的集合在其集合中可具有与另一个网格点的集合中的值的数量不同的多个值。此外,网格点上的通信策略的值的集合可以是固定的。或者,可在各个时间在网格点上提供通信策略的值的集合。在对等协商期间,各协商网格点上的值的集合可在各网格点上保持固定。
可通过类似于以上针对节点A和节点B所述的方式,来进行两个不同网格点210-I与210-J(1≤I,J≤N)之间的点对点会话中建立通信策略的值的协商,其中,将基于网格点210-I和210-J的唯一标识符的仲裁标准应用于两个网格点的通信策略的值的两个集合。可使用共享认证密钥对网格点的任何成对组合进行值集合的交换。规则集可确定分析通信值的两个集合以及应用标准的方式。网格点可属于无线网状网络。
无线通信的各种标准由电气和电子工程师协会(IEEE)提供。当IEEE 802.11标准的一个修正案IEEE 802.11s完成时,将会对无线局域网(WLAN)标准增加网格能力。网格体系结构允许在包含多个无线跳的路径上转发数据。IEEE 802.11s被特许,以便通过增加网格能力来改进数据传输的吞吐量,而不会损害安全性并且不会使过渡时的服务质量(QoS)降级。可将这个修正案用于通过网格提供视频流播的应用。
但是,视频流可预期迅速建立网格上的对等链路,而不管无线保真(Wi-Fi)媒体上的噪声。因此,存在与在可用时间内完成安全对等链路建立有关的问题。为了解决这个问题,正在研究通过将安全握手重叠在基本对等链路建立协议之上来加速建立安全链路的过程的协议。如果无线局域网(WLAN)网格点(MP)具有对先前建立的成对主密钥(PMK)的先验知识和控制,则这样一种方案允许WLAN MP省略安全链路建立过程中的某些步骤。这种方法可增强无线网格上的视频流应用的用户体验,假定MP频繁丢失某些链路上的连通性。
IEEE 802.11s对等链路建立协议的安全增强带来了新的安全问题和性能挑战。第一步骤是协商启用单播/多播网格业务保护的安全能力。对于两个网格点之间的链路实例,两个网格点在可完成对等链路建立过程之前,商定安全参数,例如认证方法和加密算法。通常将认证方法和加密算法统称为密码适配组。在IEEE 802.11标准的安全修正案IEEE 802.11i中,使用客户机/服务器模型来执行安全参数协商,其中,WLAN接入点(AP)使用选择列表来通告各安全参数的所支持的选择,并且WLAN站(STA)从列表中选取它可支持的一个。WLAN网格可使用对等模型来建立链路。但是,客户机-服务器模型所使用的协议方法可能是不可靠的,除非在链路建立期间所交换的消息的数量与列表的长度成正比。
可根据以下假设来构造一种机制:引导安全参数协商的网格点必需在可发起协议之前学习对等MP在对等链路建立协议之前通知的选择列表。这样一种方案假定经由不同的机制、例如使用信标/探测响应来进行这种通知。但是,在一些情况下,仅通过窃听它的邻域中的加密单播业务,一个节点可将另一个标识为有效通信伙伴。这样一个MP将无法区分信标和探测响应。在无线网格环境中,这样一种机制无法提供对等环境中预期的协议鲁棒性。这样一种方案无法满足提供更好的协商等待时间而不会降低安全性的目标。
在一个实施例中,提供了例如在网格四消息链路建立协议之上的密码适配组的安全参数的协商而没有牺牲安全性。MP可在任何时间发起协议。各种实施例可包括两个加密原语。首先可使用消息完整码。消息完整码表示为mK,并且可用来检测伪造消息,其中K是关联认证密钥。适当消息认证码的示例包括根据基于密码的消息认证码算法(CMAC)模式中的高级加密标准(AES)和密钥哈希消息认证码(HMAC)模式中的安全哈希算法256(SHA-256)的代码,尽管本发明的实施例不限于这个方面。其次可使用表示为rng的加密随机数生成器。可使用加密随机数生成器来产生任何多项式时间算法无法预测的值。ANSI标准X9.31和X9.82提供加密随机数生成器的示例。可使用其它加密随机数生成器。
图3示出协商网状网络上的两个网格点之间的安全策略的方法的实施例的特征的流程图。网格点、即网络中的各方,可以是网状网络中的电子装置。下文中将两个网格点称作网格点A和网格点B。两个网格点A和网格点B包括唯一的标识符。各标识符具有允许根据某个规则或标准来选择标识符其中之一的共同特性或格式。本文中将网格点A的标识符表示为MPA,而将网格点B的标识符表示为MPB。可对网格点标识符全面排序。在一个实施例中,排序可基于一个标识符相对另一个标识符的相对量。这引入确定对等设定中的“优选方”的过程。例如,网格点A的标识符在排序中可大于B的标识符,并且网格点A可被两个网格点作为“优选方”。在一个实施例中,网格点A的IEEE802.11媒体访问控制(MAC)地址可以是MPA的值,其中B的IEEE 802.11MAC地址为MPB的值。在协商过程的稍后阶段,MAC地址的使用允许将固定标准用于根据MAC地址的相对比较来选择网格A或网格B。
这样一种固定规则不限于两个给定网格点A和B,而是可适用于网络中的所有网格点。作为一个示例,可通过按词典方式进行排序,将用作装置标识符的MAC地址全面排序。在这种排列之下,由于MAC地址唯一标识装置,因此,对于词典顺序,一个网格点的MAC地址也将严格地大于另一个的MAC地址。在协商过程的稍后阶段,比较两个MAC地址的步骤允许将网格点其中之一的一个或多个特性选择作为有效仲裁器。除了MAC地址之外,还可使用其它唯一标识符。
网络中的各网格点处于它保持的状态。在一个实施例中,网格点A所保持的状态包括可接受参数值CA1、CA2、...、CAN的全面排序列表LA,其中,N是LA的长度。值CA1、CA2、...、CAN的有序列表标识网格点A支持的参数值。这些参数可用于单播网格业务保护。有序列表LA可具有作为网格点A最优选的参数值的CA1,而它的最低优选参数值是CAN。或者,有序列表LA可具有作为网格点A最优选的参数值的CAN,而它的最低优选参数值是CA1。另外,网格点A保持网格点A与网格点B共享的唯一认证密钥K,将它用来作为消息认证码mK的密钥。这个认证密钥K允许网格点A检测冒充网格点B的装置伪造的消息。网格点A使用MPA向网格点B标识K。
网格点B所保持的状态包括可接受参数值CB1、CB2、...、CBM的全面排序列表LB,其中,M是LB的长度。有序列表CB1、CB2、...、CBM标识网格点B支持的参数值。这些参数可用于单播网格业务保护。有序列表LB可具有作为网格点B最优选的参数值的CB1,而它的最低优选参数值是CBM。或者,有序列表LB可具有作为网格点B最优选的参数值的CBM,而它的最低优选参数值是CB1。另外,网格点B保持与网格点A共享的认证密钥K,将它用来作为消息认证码mK的密钥。这个认证密钥K允许网格点B检测冒充网格点A的装置伪造的消息。网格点B使用MPB向网格点A标识K。
在运行安全策略协商之前的提供中,将列表LA中由网格点A所支持的可接受参数值配置到网格点A。在运行安全策略协商之前的提供中,将列表LB中由网格点B所支持的可接受参数值配置到网格点B。在特定网格点上没有进行安全策略协商的时段中,可在相应网格点上改变或更新其列表LA和LB。
以某种安全方式建立网格点A与网格点B之间共享的认证密钥K。在一个实施例中,将认证密钥K绑定到各方的MAC地址,这样让网格点A和网格点B知道将认证密钥K用于保护使用其自己的标识符的装置之间交换的消息。在各种实施例中,将认证密钥K仅用于保护使用其自己的标识符的装置之间交换的消息。
在310,通知来自两个网格点的密码适配组列表。该过程的实施例的这个部分可看作是第1阶段,其中两个网格点相互通告它们配置的密码适配组列表。这个通知可通过将其相应的参数值有序的列表插入对等链路建立协议的请求消息中来实现,其中来自各网格点的消息包括其标识符。请求消息也可看作是开放消息。
网格点A将LA包含在它的请求消息中,以及网格点B将LB包含在它的请求消息中。包含在请求消息中的是随机数。网格点A使用它的rng来生成随机数RA。网格点B使用它的rng来生成随机数RB。来自网格点A和来自网格点B的请求消息可按照如下所示来生成:
A→B:MPA‖MPB‖RA‖LA‖mK(MPA‖RA‖LA)
B→A:MPB‖MPA‖RB‖LB‖mK(MPB‖RB‖LB)
其中,“‖”表示级联,A→B:M表示网格点A向网格点B发送消息M,以及B→A:M表示网格点B向网格点A发送消息M。图4示出两个网格点之间的消息流程的一个实施例。
协议开始于网格点A生成RA并向网格点B发送消息1(开放消息)MPA‖MPB‖RA‖LA‖mK(MPA‖MPB‖RA‖LA)。将MPA包含在消息1中告诉网格点B要使用哪一个认证密钥来构造通过消息3的响应。将MPB包含在消息1中告诉网格点B关于网格点B是消息的目标。将RA包含在消息1中允许网格点A稍后检查消息3是新的,即在消息1之前可能没有产生过。将LA包含在消息1中允许网格点B根据所接收有序列表LA和本地有序列表LB来进行判定。
同时或依次地,网格点B生成随机数RB,并发送作为MPB‖MPA‖RB‖LB‖mK(MPB‖MPA‖RB‖LB)的消息2(开放消息)。类似地,网格点B通过将MPB包含在消息2来指明要使用的正确认证密钥,并通过包含MPA来指明消息目标。将RB包含在消息2中允许网格点B稍后检查消息4是新的,即在消息2之前可能没有产生过。将LB包含在消息2中允许网格点A根据所接收有序列表LB和本地有序列表LA来进行判定。在级联中可使用其它定序,其中这种定序是双方已知的排序。
第一方检查在第二请求消息中接收的随机数RB是否不等于随机数RA。如果不相等,则第一方丢弃第二请求消息,并且不对它进行应答。类似地,第一方通过使用共享密钥来检验第二请求消息的消息完整码。如果这个检验失败,则第一方丢弃第二请求消息,并且不对它进行应答。类似地,第二方检查在第一请求消息中接收的随机数RA是否不等于随机数RB。如果不相等,则第二方丢弃第一请求消息,并且不对它进行应答。类似地,第二方通过使用共享密钥来检验第一请求消息的消息完整码。如果这个检验失败,则第二方丢弃第一请求消息,并且不对它进行应答。
使用对等链路建立协议、利用请求和响应消息交换来建立网格点A与网格点B之间的对等链路。两个网格点都可单独发起协议。在一个实施例中,存在协议运行期间交换的至少四个消息。在整个过程结束时,在网格点A与网格点B之间建立对等链路。
在320,各网格点对于要选择哪一个参数值单独进行判定。这种操作可看作是第2阶段,判定要使用哪一个密码适配组。一旦网格点接收到请求消息,则它可单独判定要使用哪一个参数值。在一个实施例中,向属于具有较大标识符的装置的列表赋予优先选择。例如,对于A的标识符MPA在排序中大于B的标识符MPB,向从其中选择协商策略值的A的列表LA赋予优先选择。在以下示例中,向A的列表赋予优先选择。
当网格点B处理消息1时,它使用K来检查消息认证码是否有效。如果有效,则网格点B选择参数值C∈LA∩LB,它是LA∩LB的网格点A的参数值排序中的最大值。作为一个示例,假定LA={X,Y,Z}且LB={Z,P,Y}。B将选择Y,因为LA∩LB={Y,Z},并且网格点A将Y排列在Z之前。或者,选择规则可让排序中的优选值是顺序中的最后一个。
类似地,当网格点A处理来自网格点B的开放消息(即消息2)时,网格点A使用K来检查消息认证码是否有效。如果有效,则网格点A选择唯一C,使得C∈LA∩LB是它的集合LA∩LB的排序中的最大值。或者,选择规则可让排序中的优选值是排序中最小的值。
在330,确定密码适配组的协议。这个操作可看作是第3阶段,其中,网格点A和网格点B确定该判定。可通过将其选择插入对等链路建立协议的响应消息中,来实现确认。网格点B生成消息3(在过程中充当确认消息的响应消息),以便确认它对C的判定。将RB和RA都包含在消息3中允许网格点A检查它是新的响应。这个确认消息可作为以下形式发送
B→A:MPB‖MPA‖RB‖RA‖C‖mK(MPB‖MPA‖RB‖RA‖C)。
将RA包含在消息中允许A确定这实际上是对它的先前消息1的响应。将C包含在消息中允许A检验B的参数值选择是否与它自己的匹配。消息完整码mK(MPB‖MPA‖RB‖RA‖C)防止攻击者改变某个值而没有检测到。
类似地,网格点A生成消息4(确认消息),以便确认它对C的判定。将RB和RA都包含在消息4中允许网格点B检查它是新的响应。这个确认消息作为以下形式发送
A→B:MPA‖MPB‖RA‖RB‖C‖mK(MPA‖MPB‖RA‖RB‖C)。
在协议结束时,网格点A和网格点B都承诺使用C作为A与B之间的这个链路实例的参数,它实现对安全策略的协议的单独判定。
在各网格点发送的请求中通知参数值的排序。一旦接收到请求消息,则网格点可根据它自己的列表与所接收列表的重叠单独进行它的判定。在一个实施例中,根据具有较大标识符的装置所指明的顺序优先选择来进行选择。这个协议允许网格点同时发起协议,并单独地应答开放消息。此外,网格点没有依靠对等链路建立协议之前通知的任何信息以便到这个协议结束时商定参数值。协议可在任何时间由任何网格点发起,并且使用来自其它技术的减少数量的消息达成关于安全策略的协议。在一个实施例中,可应用协商过程以便协商对等通信体系结构级中的参数,其中这种参数不限于安全策略。协商过程可适用于无线网状网络以及适用于使用对等通信的其它网络。
在各种实施例中,用于协商对等链路的安全策略的机制可适用于各种应用。这样一种机制可比其它已公布或提出的机制更有效地取得关于安全策略的协议。虽然其它技术根据协商期间来回传递的选择数量来交换多个消息,但是,本文所述的实施例使用与选择列表长度无关的多个消息交换。另外,各种实施例还提供防止消息伪造和重放攻击的安全性。提供协商网格中的安全对等链路的安全策略的机制的实施例可应用于家庭、小型办公室、其它客户空间中的网状网络以及其它无线和非无线应用。在协商过程中提供在网格点上单独判定的这类机制可增强客户机类型装置参与自配置网格网络的能力。
在各种实施例中,本文所述的设计可应用于其它上下文的对等协商方案中,以便以鲁棒性的方式来提供增强效率以及解决消息伪造和重放攻击的问题。可提供本文所述的协商对等环境中的安全策略,而无需依靠对等链路建立协议之前的伙伴信息通知。对等方之间的有序标识符和至少4消息会话建立可适用于协商不同于安全策略的、可描述为重叠选择列表的策略。
图5示出根据协商对等链路的策略参数的各种实施例的无线通信装置500的一个实施例的框图。通信装置500可设置为类似于结合图1-4所述的网格点。通信装置500包括随机数生成器502、认证身份504、存储器高速缓存506、网络接口电路508和处理电路510。对于通信装置500作为网格网络中的网格点的每次出现,通信装置500保持具有它自己的特性集合的状态。
在结合图3和图4所述的实施例中进行操作的、例如图2所示的网格网络中的图1所示节点A可实现为包括通信装置500,在这里称作通信装置A。在结合图3和图4所述的实施例中进行操作的、例如图2所示的网格网络中的图1所示节点B可实现为包括通信装置500,在这里称作通信装置B。通信装置A包括在网格网络中唯一定义的认证身份504(MPA)以及包括网格点A的会话密钥(Ks)和密码适配组列表LA的存储器高速缓存506。通信装置B包括在网格网络中唯一定义的认证身份504(MPB),以及包括网格点B的会话密钥(Ks)和密码适配组列表LB的存储器高速缓存506。
可将处理电路510用来进行用于建立网状网络中的网格A和网格B之间的对等链路的三阶段策略协商,与结合图3和图4所述的过程相似。通信装置A和通信装置B的每个的处理电路510可操作以控制包括它的唯一身份、通过它的随机数生成器502所生成的随机数、它的与共享认证密钥关联的消息完整码和它的密码适配组列表的请求的传输。通信装置A和通信装置B的每个的处理电路510还可操作以便使用应用于MPA和MPB的预定规则来选择网格点A或网格点B作为“优选方”。通信装置A和通信装置B的每个的处理电路510还可操作以便使用“优选方”和规则集,来从它的密码适配组列表以及从另一方所接收的密码适配组的分析中选择某个值作为策略的协商值。通信装置A和通信装置B的每个的处理电路510还可操作以便向另一方传送它的单独确定的协商参数、接收另一个通信装置单独确定的协商参数、以及确定协商是否成功。
在一个无线实施例中,网络接口电路508可耦合用于与其它网络装置进行通信的一个或多个天线。在一个有线实施例中,网络接口电路508可与有线通信元件(例如导线、电缆、总线和/或其它传输介质)耦合。
虽然通信装置500表示为具有若干独立的功能元件,但是,功能元件的一个或多个可被组合,并且可通过诸如包括数字信号处理器(DSP)的处理元件之类的软件配置元件和/或其它硬件元件的组合来实现。例如,某些元件可包括一个或多个微处理器、DSP、专用集成电路(ASIC)以及用于执行至少本文所述功能的各种硬件和逻辑电路的组合。通信装置500的功能元件可表示对一个或多个处理元件进行操作的一个或多个处理进程。
各种实施例可通过硬件、固件和软件其中之一或者它们的组合来实现。本发明的实施例还可实现为存储于机器可读介质中的指令,所述指令可由至少一个处理器读取和运行以便执行本文所述的操作。机器可读介质可包括用于存储或发送机器(如计算机)可读形式的信息的任何装置。机器可读介质可包括:只读存储器(ROM),随机存取存储器(RAM),磁盘存储介质,光存储介质,闪速存储装置,电、光、声或其它形式的传播信号(例如载波、红外信号、数字信号等)等等。
通信装置500可使用各种技术进行通信。在各种实施例中,通信装置500可通过多载波通信信道来传递正交频分复用(OFDM)通信信号。多载波通信信道可处于预定频谱之内,并且可包括多个正交副载波。可通过密集OFDM副载波来定义多载波信号。通信装置500可根据多址技术(例如正交频分多址(OFDMA))进行通信。通信装置500可使用扩频信号进行通信。
在各种实施例中,通信装置500可实现为便携无线通信装置,例如个人数字助理(PDA)、具有无线通信能力的膝上型或便携计算机、万维网手写板、无线电话、无线耳机、寻呼机、即时消息传递装置、数字相机、接入点、电视机、医疗设备或者可通过无线方式接收和/或传送信息的其它装置。
图6示出根据协商对等链路的策略参数的各种实施例的系统的一个实施例的框图。图6示出系统600的一个实施例的框图,其中具有在按照针对图1-5所述的实施例、要建立对等通信链路时协商策略的通信单元610的一个实施例。通信单元610可采用硬件体系结构、基于软件的体系结构或者硬件/软件体系结构的组合来实现。通信单元610可包括随机数生成器602、认证身份604、存储器高速缓存606和处理电路607。或者,可在系统600的其它元件中或者在系统600的其它元件之间来实现随机数生成器602、认证身份604、存储器高速缓存606和处理电路607中的一个或多个。
系统600还可包括控制器605和总线630,其中,总线630提供控制器605与通信单元610之间的通信通路。在一个实施例中,控制器605是处理器。总线630可以是并行总线。总线630可以是串行总线。总线630可与外设部件互连(PCI)或者与PCI express兼容。在一个实施例中,系统600可包括耦合到总线630的存储器620和附加外围设备或多个附加外围设备640。外围设备640可包括一个或多个显示器、字母数字输入装置、光标控制、存储器或者可结合控制器605、通信单元610和/或通信单元610进行操作的其它控制装置。
可实现系统600的各种实施例。系统600可设置为网络中的节点或者节点的组件。网络节点可实现为网状网络中的网格点。网状网络可以是无线网状网络。
通信单元610可包括一个或多个网络接口。在一个无线实施例中,通信单元610可包括耦合到天线615的连接617。在各种实施例中,天线615可包括一个或多个定向或全向天线,包括例如偶极天线、单极天线、贴片天线、环形天线、微带天线或者适合于传送射频(RF)信号的其它类型的天线。在各种多输入多输出(MIMO)实施例中,可使用两个或更多天线。在各种实施例中,不是使用两个或更多天线,而是可使用具有多个孔径的单个天线。各孔径可看作是独立天线。在各种多天线实施例中,可将各天线有效地分隔,以便利用空间分集以及可在每个天线与另一个无线通信装置之间产生的不同信道特性。在各种多天线实施例中,可将天线分隔开波长的1/10或以上。
在各种实施例中,通信单元610可包括耦合到传输介质611的连接613。传输介质611可以是光纤介质。传输介质611可耦合到有线网络。传输介质611可以是电缆。传输介质611可包括同轴电缆、无屏蔽双绞电缆或者屏蔽双绞电缆。
系统600可包括但不限于信息处理装置、无线系统、电信系统、光纤系统、光电系统和计算机,它们构造成包括对等通信能力。这类实施例可与以太网信道、包括无线以太网信道配合使用。通信信道可以是基于陆地的通信网状网络或无线通信网状网络的一部分。实际上,本发明的实施例可以完全实现为使用多载波无线通信信道(例如正交频分复用(OFDM)、分立多音调制(DMT)等)的任何无线系统的一部分,例如可非限制性地用于无线个人区域网(WPAN)、无线局域网(WLAN)、无线城域网(WMAN)、无线广域网(WWAN)、蜂窝网络、第三代(3G)网络、第四代(4G)网络、通用移动电话系统(UMTS)以及类似的通信系统中。
虽然本文已经说明和描述了具体实施例,但本领域的技术人员会理解,适合用于实现相同用途的任何配置均可取代所述的具体实施例。大家要理解,以上描述是说明性而不是限制性的,并且本文使用的用语或术语是为了便于描述而不是限制。通过阅读以上说明,本领域的技术人员会清楚地知道以上实施例的组合以及其它实施例。
Claims (18)
1.一种协商建立对等通信链路的能力的方法,所述方法包括:
生成从第一方送往第二方的第一请求消息,所述第一请求消息包括所述第一方的标识符、所述第二方的标识符、以及所述第一方的密码适配组列表,所述密码适配组列表包含所述第一方所支持的参数并设置为有序列表;
从所述第二方接收第二请求消息,所述第二请求消息包括所述第二方的标识符、所述第一方的标识符、以及所述第二方的密码适配组列表,所述第二方的所述密码适配组列表包含所述第二方所支持的参数并设置为有序列表;以及
根据所述第一方的密码适配组列表和所述第二方的密码适配组列表的比较来选择参数,该选择使用双方的标识符确定所述选择的规则,所选参数是建立所述第一方与所述第二方之间的对等通信链路时的策略的协商参数,
其中,第一方和第二方的密码适配组列表是按照参数的优先次序来排列的有序列表,按照具有较大标识符的一方在其密码适配组列表中指定的优先次序,从第一方和第二方的密码适配组列表的交集中选择最优选的参数。
2.如权利要求1所述的方法,其中:
生成所述第一请求消息包括通过所述第一请求消息的内容来发送所述第一方所生成的随机数连同所述第一方的标识符、所述第二方的标识符、所述第一方的密码适配组列表、以及根据所述第一方和所述第二方共享的认证密钥所计算的第一消息完整码;以及
接收所述第二请求消息包括通过所述第二请求消息的内容来接收所述第二方所生成的随机数连同所述第二方的标识符、所述第一方的标识符、所述第二方的密码适配组列表、以及根据所述第一方和所述第二方共享的所述认证密钥所计算的第二消息完整码。
3.如权利要求2所述的方法,其中,所述方法包括通过确认消息的内容向所述第二方传送确认消息,所述确认消息包括所选参数连同所述第二方所生成的随机数、所述第一方所生成的随机数、所述第一方的标识符、所述第二方的标识符、以及根据所述第一方和所述第二方共享的所述认证密钥所计算的第三消息完整码。
4.如权利要求3所述的方法,其中,所述方法包括使用所述随机数来提供防止重放攻击的安全性。
5.如权利要求1所述的方法,其中,所述方法包括使用所述第一方的第一MAC地址作为所述第一方的标识符,以及使用所述第二方的第二MAC地址作为所述第二方的标识符。
6.如权利要求1所述的方法,其中,所述方法包括进行无线网状网络中的协商参数的确定。
7.如权利要求6所述的方法,其中,进行所述协商参数的确定包括在消息的接收无差错时使用包括第一请求消息和第二请求消息在内的四个消息进行所述协商。
8.一种协商建立对等通信链路的能力并具有认证标识符的设备,所述设备包括:
存储器高速缓存,存储会话认证密钥以及所述设备所支持的策略的参数的密码适配组列表;
以及
处理电路,控制建立与另一个装置的对等通信链路时的所述策略的协商,其中包括选择参数作为所述策略的协商参数,所述参数的选择从所述密码适配组列表与在第二请求消息中从所述另一个装置接收的密码适配组列表的比较得出,所述第二请求消息包含所述另一个装置的密码适配组列表和所述另一个装置的认证标识符,所述选择基于所述设备的认证标识符和所述另一个装置的认证标识符确定所述选择的规则,
其中,所述设备和所述另一个装置的密码适配组列表是按照参数的优先次序来排列的有序列表,按照所述设备和所述另一个装置中具有较大认证标识符的一方在其密码适配组列表中指定的优先次序,从所述设备和所述另一个装置的密码适配组列表的交集中选择最优选的参数。
9.如权利要求8所述的设备,其中,所述设备包括随机数生成器,以生成随机数,以便连同所述设备的认证标识符、所述另一个装置的认证标识符、以及所述设备的密码适配组列表一起包含在送往所述另一个装置的消息中,以及所述处理电路配置成基于所述随机数来确定所接收消息是否为重放。
10.如权利要求8所述的设备,其中,所述认证标识符是MAC地址。
11.如权利要求8所述的设备,其中,所述设备是设置成进行无线通信的便携装置。
12.如权利要求8所述的设备,其中,所述处理电路执行如下步骤:
生成送往所述另一个装置的第一请求消息,所述第一请求消息包括所述设备的认证标识符、所述另一个装置的认证标识符和所述密码适配组列表;
处理从所述另一个装置所接收的第二请求消息,所述第二请求消息包括所述另一个装置的认证标识符、所述设备的认证标识符和所述另一个装置的密码适配组列表;以及
选择所述参数。
13.如权利要求12所述的设备,其中,所述处理电路包括数字信号处理器。
14.一种协商建立对等通信链路的能力的系统,所述系统具有认证标识符并包括:
存储器,存储会话认证密钥以及所述系统所支持的策略的参数的密码适配组列表;
处理电路,控制建立与另一个系统的对等通信链路时的所述策略的协商,其中包括选择参数作为所述策略的协商参数,所述参数的选择从所述密码适配组列表与在消息中从所述另一个系统接收的密码适配组列表的比较得出,所述消息包含所述另一个系统的密码适配组列表和所述另一个系统的认证标识符,所述选择基于所述系统的认证标识符和所述另一个系统的认证标识符控制所述选择的规则;以及基本全向天线,以与所述另一个系统进行通信,
其中,所述系统和所述另一个系统的密码适配组列表是按照参数的优先次序来排列的有序列表,按照所述系统和所述另一个系统中具有较大认证标识符的一方在其密码适配组列表中指定的优先次序,从所述系统和所述另一个系统的密码适配组列表的交集中选择最优选的参数。
15.如权利要求14所述的系统,其中:
所述系统包括随机数生成器,以生成随机数,以便连同所述系统的认证标识符、所述另一个系统的认证标识符、以及所述系统的密码适配组列表一起包含在送往所述另一个系统的消息中,以及所述处理电路基于所述随机数来确定接收的消息是否实质上为重放。
16.如权利要求14所述的系统,其中,所述认证标识符是MAC地址。
17.如权利要求14所述的系统,其中,处理电路根据作为与所述另一个系统的共享认证密钥的认证密钥来提供防止消息伪造的安全性。
18.如权利要求14所述的系统,其中,所述系统是建立无线网状网络中的所述对等通信链路的无线系统。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/762426 | 2007-06-13 | ||
| US11/762,426 US8010778B2 (en) | 2007-06-13 | 2007-06-13 | Apparatus and methods for negotiating a capability in establishing a peer-to-peer communication link |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101330427A CN101330427A (zh) | 2008-12-24 |
| CN101330427B true CN101330427B (zh) | 2011-12-14 |
Family
ID=39884982
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100996939A Expired - Fee Related CN101330427B (zh) | 2007-06-13 | 2008-06-13 | 用于协商建立对等通信链路的能力的设备和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8010778B2 (zh) |
| EP (1) | EP2007110B1 (zh) |
| CN (1) | CN101330427B (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100488280C (zh) * | 2005-06-04 | 2009-05-13 | 华为技术有限公司 | 一种鉴权方法及相应的信息传递方法 |
| US8175272B2 (en) * | 2007-03-12 | 2012-05-08 | Motorola Solutions, Inc. | Method for establishing secure associations within a communication network |
| RU2488974C2 (ru) * | 2008-08-12 | 2013-07-27 | Телефонактиеболагет Л М Эрикссон (Пабл) | Способы и устройства для уведомления о чрезвычайных ситуациях |
| JP4687808B2 (ja) | 2009-03-31 | 2011-05-25 | ブラザー工業株式会社 | 画像伝送システム |
| DE102009002396A1 (de) * | 2009-04-15 | 2010-10-21 | Robert Bosch Gmbh | Verfahren zum Manipulationsschutz eines Sensors und von Sensordaten des Sensors und einen Sensor hierzu |
| WO2010138035A1 (en) * | 2009-05-28 | 2010-12-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for implementing policy rules in peer-to-peer communication |
| GB2471455A (en) | 2009-06-29 | 2011-01-05 | Nec Corp | Secure network connection |
| CN101646172B (zh) * | 2009-09-08 | 2011-11-09 | 杭州华三通信技术有限公司 | 一种分布式mesh网络中产生密钥的方法和装置 |
| US9949305B2 (en) | 2009-10-02 | 2018-04-17 | Blackberry Limited | Methods and apparatus for peer-to-peer communications in a wireless local area network |
| US9614641B2 (en) * | 2010-05-12 | 2017-04-04 | Qualcomm Incorporated | Resource coordination for peer-to-peer groups through distributed negotiation |
| US10517098B2 (en) * | 2010-07-30 | 2019-12-24 | Qualcomm Incorporated | Interference coordination for peer-to-peer (P2P) communication and wide area network (WAN) communication |
| US8924573B2 (en) * | 2012-03-12 | 2014-12-30 | Microsoft Corporation | Secure capability negotiation between a client and server |
| EP2954710A1 (en) * | 2013-02-07 | 2015-12-16 | Interdigital Patent Holdings, Inc. | Method and apparatus for directional mesh initialization |
| US9871771B2 (en) * | 2014-11-25 | 2018-01-16 | Ncr Corporation | Cryptographic security profiles |
| US10911371B1 (en) * | 2015-03-16 | 2021-02-02 | Amazon Technologies, Inc. | Policy-based allocation of provider network resources |
| US9722803B1 (en) | 2016-09-12 | 2017-08-01 | InfoSci, LLC | Systems and methods for device authentication |
| US10419226B2 (en) | 2016-09-12 | 2019-09-17 | InfoSci, LLC | Systems and methods for device authentication |
| US10057269B1 (en) * | 2017-04-21 | 2018-08-21 | InfoSci, LLC | Systems and methods for device verification and authentication |
| US11463439B2 (en) | 2017-04-21 | 2022-10-04 | Qwerx Inc. | Systems and methods for device authentication and protection of communication on a system on chip |
| US10546139B2 (en) * | 2017-04-21 | 2020-01-28 | Ntropy Llc | Systems and methods for securely transmitting large data files |
| US10560522B2 (en) * | 2018-05-25 | 2020-02-11 | Zebra Technologies Corporation | Method, system and apparatus for dynamically assigning master devices in communication sessions |
| EP3821577A1 (en) * | 2018-07-12 | 2021-05-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Security information exchange between a client and a server |
| US11178190B2 (en) | 2018-11-06 | 2021-11-16 | Blackberry Limited | Methods and devices for establishing secure communication channels |
| US20220201480A1 (en) * | 2020-12-18 | 2022-06-23 | Cypress Semiconductor Corporation | Secure fine time measurement for wireless communication protocols |
| WO2023245318A1 (en) * | 2022-06-20 | 2023-12-28 | Huawei Technologies Co., Ltd. | Devices and methods for policy communication in a wireless local area network |
| US20240098052A1 (en) * | 2022-09-16 | 2024-03-21 | Itron, Inc. | Messaging among agents in a mesh network |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006124347A2 (en) * | 2005-05-17 | 2006-11-23 | Intel Corporation | Negotiation of security parameters for protecting management frames in wireless networks |
| US7219223B1 (en) * | 2002-02-08 | 2007-05-15 | Cisco Technology, Inc. | Method and apparatus for providing data from a service to a client based on encryption capabilities of the client |
Family Cites Families (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7107051B1 (en) * | 2000-09-28 | 2006-09-12 | Intel Corporation | Technique to establish wireless session keys suitable for roaming |
| US20030093663A1 (en) * | 2001-11-09 | 2003-05-15 | Walker Jesse R. | Technique to bootstrap cryptographic keys between devices |
| US7444507B2 (en) * | 2002-06-30 | 2008-10-28 | Intel Corporation | Method and apparatus for distribution of digital certificates |
| US20040006705A1 (en) * | 2002-07-05 | 2004-01-08 | Walker Jesse R. | Secure two-message synchronization in wireless networks |
| DE60303613T2 (de) * | 2002-08-30 | 2006-08-17 | Medical Research Council | Optische projektionstomographie |
| US7395427B2 (en) * | 2003-01-10 | 2008-07-01 | Walker Jesse R | Authenticated key exchange based on pairwise master key |
| US20040259633A1 (en) * | 2003-04-16 | 2004-12-23 | Gentles Thomas A. | Remote authentication of gaming software in a gaming system environment |
| JP4655470B2 (ja) * | 2003-11-18 | 2011-03-23 | ソニー株式会社 | コンテンツデータ処理装置及びコンテンツデータ処理方法、並びにコンテンツデータ管理システム及びコンテンツデータ管理方法 |
| US7457953B2 (en) * | 2003-12-18 | 2008-11-25 | Intel Corporation | Method and apparatus to provide secure communication |
| US7805603B2 (en) * | 2004-03-17 | 2010-09-28 | Intel Corporation | Apparatus and method of protecting management frames in wireless LAN communications |
| US20050226175A1 (en) * | 2004-03-30 | 2005-10-13 | Ajay Gupta | Device, system and method for configuration of wireless access point |
| US20050243769A1 (en) * | 2004-04-28 | 2005-11-03 | Walker Jesse R | Apparatus and method capable of pre-keying associations in a wireless local area network |
| US8146142B2 (en) * | 2004-09-03 | 2012-03-27 | Intel Corporation | Device introduction and access control framework |
| US20060068758A1 (en) * | 2004-09-30 | 2006-03-30 | Abhay Dharmadhikari | Securing local and intra-platform links |
| US7236477B2 (en) * | 2004-10-15 | 2007-06-26 | Motorola, Inc. | Method for performing authenticated handover in a wireless local area network |
| JP4804454B2 (ja) * | 2005-03-04 | 2011-11-02 | パナソニック株式会社 | 鍵配信制御装置、無線基地局装置および通信システム |
| US7624271B2 (en) * | 2005-03-24 | 2009-11-24 | Intel Corporation | Communications security |
| US7706789B2 (en) * | 2005-03-31 | 2010-04-27 | Intel Corporation | Techniques to manage roaming |
| US7463607B2 (en) * | 2005-04-15 | 2008-12-09 | Intel Corporation | Apparatus, system and method capable of pre-allocating and communicating IP address information during wireless communication |
| US7647508B2 (en) * | 2005-06-16 | 2010-01-12 | Intel Corporation | Methods and apparatus for providing integrity protection for management and control traffic of wireless communication networks |
| US7394800B2 (en) * | 2005-06-30 | 2008-07-01 | Intel Corporation | Reservation with access points |
| US20070008903A1 (en) * | 2005-07-11 | 2007-01-11 | Kapil Sood | Verifying liveness with fast roaming |
| US7392037B2 (en) * | 2005-08-19 | 2008-06-24 | Intel Corporation | Wireless communication device and methods for protecting broadcasted management control messages in wireless networks |
| US20070064660A1 (en) * | 2005-09-16 | 2007-03-22 | Qi Emily H | Techniques for enhanced transition from access point to access point by a mobile wireless device |
| US8121146B2 (en) * | 2005-09-21 | 2012-02-21 | Intel Corporation | Method, apparatus and system for maintaining mobility resistant IP tunnels using a mobile router |
| US8001584B2 (en) * | 2005-09-30 | 2011-08-16 | Intel Corporation | Method for secure device discovery and introduction |
| US20070097934A1 (en) * | 2005-11-03 | 2007-05-03 | Jesse Walker | Method and system of secured direct link set-up (DLS) for wireless networks |
| US7630406B2 (en) * | 2005-11-04 | 2009-12-08 | Intel Corporation | Methods and apparatus for providing a delayed attack protection system for network traffic |
| US20070110244A1 (en) * | 2005-11-16 | 2007-05-17 | Kapil Sood | Method, apparatus and system for enabling a secure wireless platform |
| US8180923B2 (en) * | 2005-11-29 | 2012-05-15 | Intel Corporation | Network access control for many-core systems |
| US7787627B2 (en) * | 2005-11-30 | 2010-08-31 | Intel Corporation | Methods and apparatus for providing a key management system for wireless communication networks |
| US8099495B2 (en) * | 2005-12-29 | 2012-01-17 | Intel Corporation | Method, apparatus and system for platform identity binding in a network node |
| US7890745B2 (en) * | 2006-01-11 | 2011-02-15 | Intel Corporation | Apparatus and method for protection of management frames |
| US7764650B2 (en) * | 2006-03-02 | 2010-07-27 | Intel Corporation | Mobile station and method for fast roaming with integrity protection and source authentication using a common protocol |
| US7706799B2 (en) * | 2006-03-24 | 2010-04-27 | Intel Corporation | Reduced wireless context caching apparatus, systems, and methods |
| US7882255B2 (en) * | 2006-03-29 | 2011-02-01 | Intel Corporation | Method and apparatus for maintaining local area network (“LAN”) and wireless LAN (“WLAN”) security associations |
| US7702333B2 (en) * | 2006-05-11 | 2010-04-20 | Intel Corporation | Wireless local area network and methods for secure resource reservations for fast roaming |
| US7945053B2 (en) * | 2006-05-15 | 2011-05-17 | Intel Corporation | Methods and apparatus for a keying mechanism for end-to-end service control protection |
| US7613436B2 (en) * | 2006-05-15 | 2009-11-03 | Intel Corporation | Methods and apparatus for a protected paging indication mechanism within wireless networks including multiple access points |
| US8281387B2 (en) * | 2006-06-30 | 2012-10-02 | Intel Corporation | Method and apparatus for supporting a virtual private network architecture on a partitioned platform |
| US7826858B2 (en) * | 2006-07-12 | 2010-11-02 | Intel Corporation | Protected paging indication mechanism within wireless networks |
| US8578159B2 (en) * | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
| US20080069067A1 (en) * | 2006-09-15 | 2008-03-20 | Kapil Sood | Apparatus, systems, and methods for mobile client secure session parameter updates |
| CN101517959B (zh) | 2006-09-18 | 2012-06-20 | 英特尔公司 | 用于无线网格网络中的安全策略的协商的技术 |
| CN101518112B (zh) * | 2006-09-18 | 2012-08-15 | 英特尔公司 | 用于无线网格网络中的安全通信的密钥导出的技术 |
| US7864768B2 (en) * | 2006-10-13 | 2011-01-04 | Intel Corporation | Device, system and method of multicast/broadcast communication |
| US20080313462A1 (en) * | 2007-06-13 | 2008-12-18 | Meiyuan Zhao | Apparatus and method for deriving keys for securing peer links |
| US20090034443A1 (en) * | 2007-07-30 | 2009-02-05 | Jesse Walker | Power saving idle mode algorithm for an access point |
-
2007
- 2007-06-13 US US11/762,426 patent/US8010778B2/en not_active Expired - Fee Related
-
2008
- 2008-03-27 EP EP08153445.5A patent/EP2007110B1/en not_active Not-in-force
- 2008-06-13 CN CN2008100996939A patent/CN101330427B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7219223B1 (en) * | 2002-02-08 | 2007-05-15 | Cisco Technology, Inc. | Method and apparatus for providing data from a service to a client based on encryption capabilities of the client |
| WO2006124347A2 (en) * | 2005-05-17 | 2006-11-23 | Intel Corporation | Negotiation of security parameters for protecting management frames in wireless networks |
Non-Patent Citations (4)
| Title |
|---|
| /D1.03- Draft STANDARD for Part 11: Wireless LAN Medium Access Control: ESS Mesh Networking.《IEEE P802.11s™ |
| /D1.03- Draft STANDARD for Part 11: Wireless LAN Medium Access Control: ESS Mesh Networking》.IEEE,2007,94-119. |
| 802.11 Working Group of the IEEE 802 Committee.IEEE P802.11s™ |
| 802.11 Working Group of the IEEE 802 Committee.IEEE P802.11s™/D1.03- Draft STANDARD for Part 11: Wireless LAN Medium Access Control: ESS Mesh Networking.《IEEE P802.11s™/D1.03- Draft STANDARD for Part 11: Wireless LAN Medium Access Control: ESS Mesh Networking》.IEEE,2007,94-119. * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080313698A1 (en) | 2008-12-18 |
| CN101330427A (zh) | 2008-12-24 |
| EP2007110A1 (en) | 2008-12-24 |
| EP2007110B1 (en) | 2013-05-15 |
| US8010778B2 (en) | 2011-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101330427B (zh) | 用于协商建立对等通信链路的能力的设备和方法 | |
| EP2034659A2 (en) | Apparatus and method for deriving keys for securing peer links | |
| CN101444041B (zh) | 用于为快速漫游安全地预留资源的方法和无线局域网 | |
| EP3186992B1 (en) | System and method for securing pre-association service discovery | |
| EP1972125B1 (en) | Apparatus and method for protection of management frames | |
| Shen et al. | Secure device-to-device communications over WiFi direct | |
| JP6522861B2 (ja) | 複数のセキュリティレベルを備える無線通信システム | |
| CN107769914B (zh) | 保护数据传输安全的方法和网络设备 | |
| US9473941B1 (en) | Method, apparatus, and computer program product for creating an authenticated relationship between wireless devices | |
| CN107431913A (zh) | 参与nan数据链路的设备之间的多播调度 | |
| CN101208981A (zh) | 在无线网络中协商保护管理帧的安全参数 | |
| WO2010088060A2 (en) | Authentication for a multi-tier wireless home mesh network | |
| CN107005927A (zh) | 用户设备ue的接入方法、设备及系统 | |
| CN106788977A (zh) | 低功耗蓝牙设备通讯加密方法及系统 | |
| US8037510B2 (en) | Techniques for negotiation of security policies in wireless mesh networks | |
| Dao et al. | Achievable multi-security levels for lightweight IoT-enabled devices in infrastructureless peer-aware communications | |
| CN100525182C (zh) | 用于无线网络的鉴别与保密方法 | |
| US9246679B2 (en) | Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks | |
| Ma et al. | Security Access in Wireless Local Area Networks | |
| EP4322455A1 (en) | Improved security establishment methods and systems | |
| EP4322461A1 (en) | Improved security establishment methods and systems | |
| Mavrogiannopoulos | On Bluetooth. Security | |
| Nleya | A mutual authentication protocol for telecare services in an IoT network | |
| Haque | On Security in Bluetooth Wireless Network. | |
| Ma et al. | Security Architecture Framework |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111214 Termination date: 20150613 |
|
| EXPY | Termination of patent right or utility model |