專利名稱：在無線網(wǎng)絡(luò)中的安全的兩消息同步的制作方法
技術(shù)領(lǐng)域：
本發(fā)明通常涉及按照無線協(xié)議建立的網(wǎng)絡(luò)。
多種無線協(xié)議能使得在基于處理器的和不基于處理器的系統(tǒng)之間實(shí)現(xiàn)短距離的無線網(wǎng)絡(luò)。一個(gè)網(wǎng)絡(luò)中的站是移動(dòng)的，且可以從一個(gè)區(qū)域移動(dòng)到一個(gè)區(qū)域以致最終它對(duì)一個(gè)或多個(gè)網(wǎng)絡(luò)產(chǎn)生影響。在網(wǎng)絡(luò)希望與一個(gè)范圍內(nèi)的可移動(dòng)站進(jìn)行通信之前，網(wǎng)絡(luò)也許希望鑒權(quán)該移動(dòng)站來保證網(wǎng)絡(luò)安全性不會(huì)由于這種通信的結(jié)果而受到損害。
因此，希望有一個(gè)相對(duì)簡(jiǎn)易的方法來使得無線電設(shè)備在一個(gè)安全的方式下彼此通信。


圖1是本發(fā)明的實(shí)施例的示意性描述；和圖2是本發(fā)明的實(shí)施例的流程圖。
具體實(shí)施例方式
參考圖1，網(wǎng)絡(luò)11可以包括至少兩個(gè)以適當(dāng)?shù)臒o線協(xié)議進(jìn)行通信的裝置10a和10b。在一個(gè)實(shí)施例中，無線協(xié)議可以是IEEE 802.11協(xié)議。(ANSI/IEEE Std.802.11 1999版本)，IEEE標(biāo)準(zhǔn)公布，Piscataway，N.Y.08855。各個(gè)裝置10可以包括一個(gè)天線12，該天線例如可以是一偶極天線。
各個(gè)通信方10a或10b可以是相同網(wǎng)絡(luò)的一部分。例舉幾種例子，當(dāng)事方10a和10b可以是站和接入點(diǎn)，或者它們可以是特設(shè)網(wǎng)絡(luò)中的一對(duì)站或是邊帶信道或轉(zhuǎn)發(fā)器。無線電通信信道在裝置10a和10b之間。
每個(gè)裝置10a和10b可以從一個(gè)信標(biāo)發(fā)起設(shè)備10c接收一信標(biāo)幀或消息18。像裝置10a和10b一樣，該信標(biāo)發(fā)起設(shè)備10c可以是任何無線電設(shè)備，例如包括站，接入點(diǎn)，邊帶信道或者轉(zhuǎn)發(fā)器。該信標(biāo)發(fā)起設(shè)備10c可以產(chǎn)生具有信標(biāo)時(shí)間標(biāo)記域的信標(biāo)，該信標(biāo)時(shí)間標(biāo)記域包含計(jì)時(shí)器同步功能(TSF)16和當(dāng)前時(shí)間(nonce)(N)17的備份。該信標(biāo)發(fā)起設(shè)備10c可以簡(jiǎn)單地是按照802.11協(xié)議產(chǎn)生信標(biāo)消息的一方。各個(gè)信標(biāo)消息向該網(wǎng)絡(luò)宣布重要的協(xié)議，并且代表性地向該網(wǎng)絡(luò)的全部的成員進(jìn)行廣播。在信標(biāo)參數(shù)當(dāng)中存在普通時(shí)間符號(hào)，由TFS 16表示。例如，在802.11網(wǎng)絡(luò)中的裝置可以與網(wǎng)絡(luò)的時(shí)間概念同步到4微秒以內(nèi)。
根據(jù)本發(fā)明的一個(gè)實(shí)施例，信標(biāo)消息18也可以包括當(dāng)前時(shí)間“N”17。在一個(gè)實(shí)施例中，每當(dāng)信標(biāo)發(fā)起設(shè)備10c啟動(dòng)時(shí)，它可以建立它的當(dāng)前時(shí)間17，并且在其又一次重新啟動(dòng)之前使用它的當(dāng)前時(shí)間17。在一個(gè)實(shí)施例中，當(dāng)前時(shí)間17可以被選擇，這樣就不會(huì)和該信標(biāo)的任何重新初始化交叉再使用。因此，該當(dāng)前時(shí)間值可以是一實(shí)時(shí)掛鐘值，一隨機(jī)產(chǎn)生值，或其它的值，這些值直到用來保護(hù)消息交換的加密密鑰被改變后才被重新使用。
當(dāng)裝置10a希望與裝置10b建立一個(gè)同步狀態(tài)時(shí)，裝置10a查閱最近的信標(biāo)消息18來獲悉當(dāng)前TFS 16和信標(biāo)當(dāng)前時(shí)間17。裝置10a然后制定請(qǐng)求消息20給裝置10b。在一個(gè)實(shí)施例中，請(qǐng)求消息20可以包括裝置10a的標(biāo)識(shí)(″idA″)，裝置10a希望同步的裝置10b的標(biāo)識(shí)(″idH″)，狀態(tài)(″s″)，基于TFS 16的時(shí)間概念(″T″)，信標(biāo)當(dāng)前時(shí)間(″N″)17，從裝置10a和電子簽名中隨機(jī)產(chǎn)生的當(dāng)前時(shí)間(″NA″)。簽名可以被計(jì)算作為消息完整性代碼(MIC)。
一加密的安全消息完整性代碼可用于為在802.11信道上發(fā)送的數(shù)據(jù)消息作標(biāo)記。MIC的例子包括執(zhí)行消息認(rèn)證安全散列算法(HMAC-SHA-1)，參見M.Bellare等，RFC 2104(1997二月)，高級(jí)加密標(biāo)準(zhǔn)-密碼分組鏈接-消息鑒別碼(AES-CBC-MAC)，和可平行化的MAC(PMAC)。任何MIC都可以使用在本發(fā)明的一些實(shí)施例中。
裝置10a和10b可以共用一個(gè)用于數(shù)據(jù)認(rèn)證的密鑰(″K″)。該密鑰可以來源于一口令，可以被動(dòng)態(tài)地分配，或可以以其它的方式產(chǎn)生。通常，希望該密鑰以一個(gè)安全的方式來分配，以使它不為可能的對(duì)手所知。
因此，在一個(gè)實(shí)施例中，可以在下列數(shù)據(jù)上使用認(rèn)證密鑰，將簽名計(jì)算為MICA to BidA，idB，s，T，N，NA，MICK(idA，idB，s，T，N，NA)
這些消息元的次序是不重要的，并且一些值可以是隱含的。特別是，狀態(tài)s可以是隱含的或可以僅僅是對(duì)狀態(tài)的引用。然而，在一些實(shí)施例中，希望裝置10a自己的當(dāng)前時(shí)間NA是不可預(yù)知的，并且在密鑰K的生存期間也是不會(huì)重復(fù)的。
當(dāng)裝置10b接收請(qǐng)求消息20時(shí)，它和由idA所標(biāo)識(shí)的一方共用該認(rèn)證K。然后裝置10b判定請(qǐng)求消息的時(shí)間概念T是否和它自己的相配。換句話說，裝置10b判定消息20是否是足夠地接近，以至當(dāng)前時(shí)間N也和目前被用于信標(biāo)消息18的當(dāng)前時(shí)間相配，并且裝置10b在這個(gè)同步協(xié)議中是想要的一方。
裝置10b也使用認(rèn)證密鑰來檢驗(yàn)在請(qǐng)求消息22上的MIC簽名。如果這些檢驗(yàn)中的任何一個(gè)失敗，其后裝置10b將該消息解釋為無效，且減少同步狀態(tài)s的要求。
然而，如果所有這些檢驗(yàn)都成功，裝置10b將請(qǐng)求消息解釋為有效的。裝置10b可以把該請(qǐng)求看作是有效的，因?yàn)樗摃r(shí)間T和信標(biāo)當(dāng)前時(shí)間N，識(shí)別這些請(qǐng)求消息20作為最近產(chǎn)生的消息，并且證實(shí)該數(shù)據(jù)已經(jīng)被MIC保護(hù)。通過假定，密鑰K是任何對(duì)手所不知道的，并且MIC也是加密安全的，因此對(duì)于對(duì)手來說在需要的時(shí)候幀中產(chǎn)生該消息在計(jì)算上是不可行的。
當(dāng)它接收一個(gè)有效的同步請(qǐng)求消息20時(shí)，裝置10b格式化且返回該應(yīng)答消息22。在一個(gè)實(shí)施例中，該應(yīng)答消息22可以類似于該請(qǐng)求消息20，除了它也許不包括時(shí)間T和信標(biāo)當(dāng)前時(shí)間NB to A idA，idB，s，NA，MICK(idA，idB，s，NA)當(dāng)裝置10a接收消息22時(shí)，它驗(yàn)證該應(yīng)答與請(qǐng)求消息20相配，且該消息的MIC是正確的。特別，裝置10a通過核對(duì)包括當(dāng)前時(shí)間NA的應(yīng)答消息22來檢驗(yàn)請(qǐng)求消息22的時(shí)間性。如果請(qǐng)求消息22通過這些測(cè)試，那么裝置10a知道它與裝置10b具有同步狀態(tài)s。此外，在一些實(shí)施例中它只使用兩個(gè)消息來完成。
如圖1所示，各個(gè)裝置10a或10b可以包括一個(gè)存儲(chǔ)器14a或14b，該存儲(chǔ)器存儲(chǔ)有代碼或軟件來執(zhí)行所描述的安全的兩消息同步。在其他的實(shí)施例中，安全的兩消息同步協(xié)議可以實(shí)施在硬件或邏輯電路中。
因此，參照?qǐng)D2，開始，在左邊，裝置10a建立K，如在方框28a中所示。同樣地，裝置10b建立K，如在方框28b中所示。因此，裝置10a和10b具有認(rèn)證密鑰K。
接下來，信標(biāo)消息18可以被提供給裝置10a和10b。結(jié)果，如在方框30a和30b中所示，TFS和信標(biāo)當(dāng)前時(shí)間N可以在各個(gè)裝置10中建立。裝置10a(消息發(fā)起設(shè)備)開始一個(gè)請(qǐng)求消息20來同步s，如方框32所示。如同從方框32到菱形36的箭頭所示的，該請(qǐng)求可以包括參數(shù) idA，idB，s，T，N，NA，MICK(idA，idB，s，T，N，NA)。
當(dāng)請(qǐng)求消息20在裝置10b被接收時(shí)，裝置10b驗(yàn)證消息20，如菱形36所示，并且提供一應(yīng)答消息22給任何有效的請(qǐng)求。應(yīng)答消息可以包括參數(shù)idA，idB，s，NA，MICK(idA，idB，s，NA)。當(dāng)裝置10a接收該應(yīng)答消息22時(shí)，裝置10a驗(yàn)證該應(yīng)答，如菱形34所示。
盡管已經(jīng)參照有限的實(shí)施例而描述了本發(fā)明，本領(lǐng)域技術(shù)人員可以從中獲得各種修改和變換。希望用下面的權(quán)利要求來覆蓋在本發(fā)明的真實(shí)精神和范圍內(nèi)的所有這樣的修改和變化。
權(quán)利要求
1.一種方法，包括接收包括時(shí)間指示的無線信標(biāo)；以及產(chǎn)生一無線請(qǐng)求消息以便在無線網(wǎng)絡(luò)中通過發(fā)送一個(gè)包括時(shí)間指示的消息來建立與另一個(gè)裝置的安全同步。
2.如權(quán)利要求1的方法，包括接收具有計(jì)時(shí)器同步功能的信標(biāo)。
3.如權(quán)利要求2的方法，包括產(chǎn)生一個(gè)包括當(dāng)前時(shí)間的無線請(qǐng)求消息。
4.如權(quán)利要求3的方法，包括產(chǎn)生一個(gè)包括計(jì)時(shí)器同步功能的無線請(qǐng)求消息。
5.如權(quán)利要求1的方法，包括接收信標(biāo)消息中唯一的當(dāng)前時(shí)間。
6.如權(quán)利要求5的方法，包括在無線網(wǎng)絡(luò)上的兩個(gè)無線裝置之間建立一個(gè)同步狀態(tài)。
7.如權(quán)利要求6的方法，包括在發(fā)送給第二無線裝置的請(qǐng)求消息中提供第一無線裝置和第二無線裝置的標(biāo)識(shí)。
8.如權(quán)利要求7的方法，包括在第一無線裝置產(chǎn)生當(dāng)前時(shí)間，以及在請(qǐng)求消息中包含有被包含在新標(biāo)消息中的當(dāng)前時(shí)間，以及由第一個(gè)無線裝置產(chǎn)生的當(dāng)前時(shí)間。
9.如權(quán)利要求8的方法，包括提供一個(gè)安全密鑰給所述的第一和第二裝置。
10.如權(quán)利要求9的方法，包括從所述的第二個(gè)無線裝置接收一個(gè)應(yīng)答消息。
11.如權(quán)利要求10的方法，包括判定接收的請(qǐng)求消息是否足夠新而可被考慮為可信的。
12.如權(quán)利要求11的方法，包括使用來自于第一無線裝置的當(dāng)前時(shí)間來判斷請(qǐng)求消息是否是最近的。
13.如權(quán)利要求12的方法，包括識(shí)別在所述的請(qǐng)求消息中的認(rèn)證密鑰以及檢查所述的認(rèn)證密鑰。
14.如權(quán)利要求13的方法，包括如果該消息被認(rèn)證，返回一個(gè)應(yīng)答消息。
15.如權(quán)利要求14的方法，包括在所述的應(yīng)答消息中具有第一和第二無線裝置的標(biāo)識(shí)。
16.如權(quán)利要求15的方法，包括在所述的第一和第二無線裝置之間提供有關(guān)同步狀態(tài)的信息。
17.如權(quán)利要求16的方法，包括將一個(gè)來自于第一無線裝置的當(dāng)前時(shí)間返回到所述的第一無線裝置。
18.如權(quán)利要求17的方法，包括提供一個(gè)消息完整性代碼給所述的第一無線裝置。
19.如權(quán)利要求18的方法，其中所述的消息完整性代碼包括與第一和第二無線裝置的標(biāo)識(shí)有關(guān)的數(shù)據(jù)。
20.一個(gè)產(chǎn)品，包括存儲(chǔ)指令的媒介，如果該指令被執(zhí)行，它使得基于處理器的系統(tǒng)執(zhí)行以下步驟接收包括時(shí)間指示的無線信標(biāo)；以及產(chǎn)生一無線請(qǐng)求消息以便在一個(gè)無線網(wǎng)絡(luò)中通過發(fā)送一個(gè)包括時(shí)間指示的消息來建立與另一個(gè)裝置的安全同步。
21.如權(quán)利要求20的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行接收一個(gè)具有計(jì)時(shí)器同步功能的信標(biāo)的步驟。
22.如權(quán)利要求21的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行生成一個(gè)包括當(dāng)前時(shí)間的無線請(qǐng)求消息的步驟。
23.如權(quán)利要求22的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行生成一個(gè)包括計(jì)時(shí)器同步功能的無線請(qǐng)求消息的步驟。
24.如權(quán)利要求20的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行接收一個(gè)信標(biāo)消息中的唯一的當(dāng)前時(shí)間的步驟。
25.如權(quán)利要求24的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行在無線網(wǎng)絡(luò)上的兩個(gè)無線裝置之間建立同步狀態(tài)的步驟。
26.如權(quán)利要求25的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行在發(fā)送給第二無線裝置的請(qǐng)求消息中提供第一無線裝置和第二無線裝置的標(biāo)識(shí)的步驟。
27.如權(quán)利要求26的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行在第一無線裝置中生成當(dāng)前時(shí)間，以及在請(qǐng)求消息中包含有所述包含在信標(biāo)信息中的當(dāng)前時(shí)間和由第一無線裝置產(chǎn)生的當(dāng)前時(shí)間的步驟。
28.如權(quán)利要求20的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行提供安全密鑰給所述的第一和第二裝置的步驟。
29.如權(quán)利要求28的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行從所述的第二無線裝置接收應(yīng)答消息的步驟。
30.如權(quán)利要求29的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行判斷接收的請(qǐng)求消息是否足夠新而可被考慮為可信的步驟。
31.如權(quán)利要求30的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行使用來自于第一無線裝置的當(dāng)前時(shí)間來判斷請(qǐng)求消息是否是最近的步驟。
32.如權(quán)利要求31的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行識(shí)別在所述請(qǐng)求消息中的認(rèn)證密鑰以及檢查所述的認(rèn)證密鑰的步驟。
33.如權(quán)利要求32的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行如果該消息被認(rèn)證，返回一個(gè)應(yīng)答消息的步驟。
34.如權(quán)利要求33的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行在所述的應(yīng)答消息中具有第一和第二無線裝置的標(biāo)識(shí)的步驟。
35.如權(quán)利要求34的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行在所述的第一和第二無線裝置之間提供有關(guān)同步狀態(tài)的信息的步驟。
36.如權(quán)利要求35的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行將一個(gè)從所述第一無線裝置接收的當(dāng)前時(shí)間返回到所述的第一無線裝置的步驟。
37.如權(quán)利要求36的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行提供一個(gè)消息完整性代碼給所述的第一無線裝置的步驟。
38.如權(quán)利要求37的產(chǎn)品進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得基于處理器的系統(tǒng)來執(zhí)行步驟，其中所述的消息完整性代碼包括與第一和第二無線裝置的標(biāo)識(shí)有關(guān)的數(shù)據(jù)。
39.一種無線裝置，包括一處理器；和一存儲(chǔ)了指令的存儲(chǔ)器，如果該指令被執(zhí)行，它能使該處理器執(zhí)行步驟接收包括時(shí)間指示的無線信標(biāo)；和產(chǎn)生一無線請(qǐng)求消息，以便在一個(gè)無線網(wǎng)絡(luò)中通過發(fā)送一個(gè)包括時(shí)間指示的消息來建立與另一個(gè)裝置的安全同步。
40.如權(quán)利要求39的裝置，其中所述的存儲(chǔ)器更進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它能使得處理器來執(zhí)行接收具有計(jì)時(shí)器同步功能的信標(biāo)的步驟。
41.如權(quán)利要求39的裝置，其中所述的存儲(chǔ)器更進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它能使得處理器來執(zhí)行產(chǎn)生一個(gè)包括當(dāng)前時(shí)間的無線請(qǐng)求消息的步驟。
42.如權(quán)利要求41的裝置，其中所述的存儲(chǔ)器更進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它能使得處理器來執(zhí)行產(chǎn)生一個(gè)包括時(shí)間同步功能的無線請(qǐng)求消息的步驟。
43.如權(quán)利要求39的裝置，其中所述的存儲(chǔ)器更進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它能使得處理器來執(zhí)行接收信標(biāo)信息中的唯一的當(dāng)前時(shí)間的步驟。
44.如權(quán)利要求43的裝置，其中所述的存儲(chǔ)器更進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它能使得處理器來執(zhí)行和無線網(wǎng)絡(luò)中的另一個(gè)無線裝置建立同步狀態(tài)的步驟。
45.如權(quán)利要求44的裝置，其中所述的存儲(chǔ)器更進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它能使得處理器來執(zhí)行在發(fā)送給第二無線裝置的請(qǐng)求消息中提供第一無線裝置和第二無線裝置的標(biāo)識(shí)的步驟。
46.如權(quán)利要求20的裝置進(jìn)一步存儲(chǔ)有指令，如果被執(zhí)行，它使得處理器來執(zhí)行判定接收的請(qǐng)求消息是否足夠地新而可被考慮為可信的步驟。
全文摘要
在一無線網(wǎng)絡(luò)中，可以用兩個(gè)消息來實(shí)現(xiàn)安全的同步。一信標(biāo)發(fā)起設(shè)備(10c)可以提供一信標(biāo)時(shí)間標(biāo)記域(16)和一信標(biāo)當(dāng)前時(shí)間(17)給網(wǎng)絡(luò)中的裝置(10a，10b)。網(wǎng)絡(luò)中希望與另一個(gè)裝置(10)同步的裝置(10)可以發(fā)送一包含多種參數(shù)的消息，該參數(shù)包括信標(biāo)時(shí)間標(biāo)記域(16)和當(dāng)前時(shí)間(17)。根據(jù)接收的信息，接收裝置(10)可以核對(duì)包括在消息中的密鑰，信標(biāo)時(shí)間標(biāo)記域(16)和當(dāng)前時(shí)間(17)來判定，不僅發(fā)送方具有正確的密鑰，而且消息具有有效時(shí)間，從而可以完全確定該消息不會(huì)被簡(jiǎn)單地復(fù)制。然后接收裝置(10)發(fā)送包含可核實(shí)參數(shù)的響應(yīng)消息來使得消息發(fā)送方(10)能夠確定發(fā)送方(10)是在和有效的接收方(10)通信。
文檔編號(hào)H04L12/28GK1636376SQ03803465
公開日2005年7月6日 申請(qǐng)日期2003年6月27日 優(yōu)先權(quán)日2002年7月5日
發(fā)明者J·瓦爾克 申請(qǐng)人:英特爾公司