本申請是申請日為2012年9月12日、申請?zhí)枮?01280044189.3(國際申請?zhí)杙ct/us2012/054874)、發(fā)明名稱為“執(zhí)行鏈路建立和認(rèn)證的系統(tǒng)和方法”的中國專利申請的分案申請。

相關(guān)申請的交叉引用

本申請要求來自共同擁有的2011年9月12日提交的美國臨時專利申請第61/533,627號(高通案卷號113346p1)、2011年9月15日提交的美國臨時專利申請第61/535,234號(高通案卷號113346p2)、2012年1月4日提交的美國臨時專利申請第61/583,052號(高通案卷號113346p3)、2012年3月5日提交的美國臨時專利申請第61/606,794號(高通案卷號121585p1)、以及2012年5月11日提交的美國臨時專利申請第61/645,987號(高通案卷號121585p2)和2012年3月15日提交的美國臨時專利申請第61/611,553號(高通案卷號121602p1)的優(yōu)先權(quán)，這些臨時專利申請的內(nèi)容通過整體引用明確地結(jié)合于此。此外，2012年9月11日提交的具有高通案卷號113346的題為“wirelesscommunicationusingconcurrentre-authenticationandconnectionsetup(使用并發(fā)重認(rèn)證和連接建立的無線通信)”的非臨時申請和2012年9月11日提交的具有高通案卷號121602的題為“systemsandmethodsforencodingexchangeswithasetofsharedephemeralkeydata(用于用一組共享短暫密鑰數(shù)據(jù)對交換進行編碼的系統(tǒng)和方法)”的非臨時申請的內(nèi)容通過引用結(jié)合于此。

背景

以下一般涉及無線通信，尤其涉及無線通信中的鏈路建立和認(rèn)證過程。

背景技術(shù)：

技術(shù)進步已導(dǎo)致越來越小且越來越強大的計算設(shè)備。例如，當(dāng)前存在各種各樣的便攜式個人計算設(shè)備，包括小、輕且用戶易于攜帶的無線計算設(shè)備，諸如便攜式無線電話、個人數(shù)字助理(pda)、以及尋呼設(shè)備。更具體地，便攜式無線電話(諸如蜂窩電話和網(wǎng)際協(xié)議(ip)電話)可在無線網(wǎng)絡(luò)上傳達語音和數(shù)據(jù)分組。此外，許多這樣的無線電話包括被結(jié)合于此的其他類型的設(shè)備。例如，無線電話還可包括數(shù)碼相機、數(shù)碼攝像機、數(shù)字記錄器、以及音頻文件播放器。另外，此類無線電話可處理可執(zhí)行指令，包括可被用于訪問因特網(wǎng)的軟件應(yīng)用(諸如web瀏覽器應(yīng)用)。由此，這些無線電話可包括顯著的計算能力。

無線通信網(wǎng)絡(luò)使得通信設(shè)備能夠在移動的同時傳送和/或接收信息。這些無線通信網(wǎng)絡(luò)可被通信地耦合至其他公共網(wǎng)或?qū)Ｓ镁W(wǎng)以使得能夠向和從移動接入終端進行信息傳遞。此類通信網(wǎng)絡(luò)通常包括多個接入點(ap)，這些接入點提供至接入終端(例如，移動通信設(shè)備、移動電話、無線用戶終端)的無線通信鏈路。這些接入點可以是靜止的(例如，固定在地面上)或移動的(例如，安裝在車輛、衛(wèi)星上等)，并且可被定位成提供當(dāng)接入終端在覆蓋區(qū)內(nèi)移動時的廣覆蓋區(qū)。

便攜式設(shè)備可被配置成經(jīng)由這些無線網(wǎng)絡(luò)來傳達數(shù)據(jù)。例如，許多設(shè)備被配置成根據(jù)使得能經(jīng)由接入點進行無線數(shù)據(jù)交換的電氣和電子工程師協(xié)會(ieee)802.11規(guī)范來操作。在一些通信系統(tǒng)中，當(dāng)移動接入終端通過接入點附連至通信網(wǎng)絡(luò)時，其執(zhí)行網(wǎng)絡(luò)接入認(rèn)證。移動接入終端每次連接至不同接入點時，可能需要重復(fù)該認(rèn)證過程。然而，重復(fù)該認(rèn)證過程會引入顯著的建立延遲。

許多通信設(shè)備被配置成在初始連接階段以及一個或多個重連接階段兩者執(zhí)行鏈路建立。當(dāng)前系統(tǒng)對認(rèn)證后進行的ap-ip地址指派采取預(yù)共享密鑰以保護ip地址指派。

盡管利用系統(tǒng)中的兩個或更多個消息處理點之間傳達的多條消息允許鏈路建立，但減少所傳達的消息數(shù)目同時維持所需的通信認(rèn)證級別是高度期望的。

此外，在鏈路建立可被執(zhí)行之前，移動通信設(shè)備可能要掃描附近的接入點。該掃描可以是“被動的”或“主動的”。在“被動”掃描中，設(shè)備可監(jiān)聽接入點活動(例如，控制消息)。在“主動”掃描中，設(shè)備可廣播一查詢并且隨后等待來自附近接入點的響應(yīng)。因此，“被動”掃描可能是耗時的，而“主動”掃描可能既消耗時間又消耗移動通信設(shè)備處的功率。

技術(shù)實現(xiàn)要素：

本發(fā)明公開了一種方法，包括：在接入點處，從移動設(shè)備接收請求；從所述請求中提取可擴展認(rèn)證協(xié)議(eap)重認(rèn)證發(fā)起消息和站一次性數(shù)(snonce)，其中所述eap重認(rèn)證發(fā)起消息被包括在所述請求的第一信息元素中且所述snonce被包括在所述請求的第二信息元素中，所述第一信息元素不同于所述第二信息元素；將所述eap重認(rèn)證發(fā)起消息發(fā)送至認(rèn)證服務(wù)器；從所述認(rèn)證服務(wù)器接收應(yīng)答消息，其中所述應(yīng)答消息包括重認(rèn)證主會話密鑰(rmsk)；生成接入點一次性數(shù)(anonce)；以及將響應(yīng)發(fā)送至所述移動設(shè)備，其中所述響應(yīng)包括所述anonce。還公開了相應(yīng)的裝置、裝備和非瞬態(tài)處理器可讀介質(zhì)。

附圖說明

在結(jié)合附圖理解下面闡述的詳細(xì)描述時，各種特征、本質(zhì)、和優(yōu)點會變得明顯，在附圖中，相像的附圖標(biāo)記貫穿始終相應(yīng)地標(biāo)識類似元素。

圖1是解說無線網(wǎng)絡(luò)的示例的概念圖。

圖2是解說示例性用戶設(shè)備的框圖。

圖3是解說在常規(guī)連接建立中可執(zhí)行的消息收發(fā)的流程圖。

圖4是解說可根據(jù)本公開的一個或多個方面來執(zhí)行的消息收發(fā)的流程圖。

圖5是解說在執(zhí)行鏈路建立和認(rèn)證時可執(zhí)行的消息收發(fā)的流程圖。

圖6是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。

圖7是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。

圖8是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。

圖9是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。

圖10是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。

圖11是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。

圖12是解說在重認(rèn)證協(xié)議期間可執(zhí)行的消息收發(fā)的流程圖。

圖13解說可被用于重認(rèn)證協(xié)議的密鑰分層結(jié)構(gòu)。

圖14是示出用于生成重認(rèn)證請求和發(fā)現(xiàn)請求并將其集束成關(guān)聯(lián)請求的示例性過程的流程圖。

圖15是示出可在基站處操作以接收由站/終端發(fā)送的關(guān)聯(lián)請求并從該關(guān)聯(lián)請求中提取重認(rèn)證請求和上層消息的示例性過程的流程圖。

圖16是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。

圖17是示出可在圖16的站處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程的流程圖。

圖18是示出可在圖16的接入點處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程的流程圖。

圖19是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。

圖20是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。

圖21是示出可在圖19-20的站處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程的流程圖。

圖22是示出可在圖19-20的接入點處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程的流程圖。

圖23是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的圖示。

圖24是示出可在站處操作以執(zhí)行如圖23所示的鏈路建立和認(rèn)證的示例性過程的流程圖。

圖25是示出可在接入點處操作以執(zhí)行如圖23所示的鏈路建立和認(rèn)證的示例性過程的流程圖。

圖26是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的圖示。

圖27是示出可在站處操作以執(zhí)行如圖26所示的鏈路建立和認(rèn)證的示例性過程的流程圖。

圖28是示出可在接入點處操作以執(zhí)行如圖26所示的鏈路建立和認(rèn)證的示例性過程的流程圖。

具體實施方式

在以下描述中參考了附圖，附圖中以解說方式示出本公開可在其中實踐的具體實施例。這些實施例旨在充分詳細(xì)地描述本公開的各方面以使得本領(lǐng)域技術(shù)人員能夠?qū)嵺`本發(fā)明?？衫闷渌鼘嵤├?，以及可對所公開的實施例作出改變而不會背離本公開的范圍。以下詳細(xì)描述不被理解為限制意義，且本發(fā)明的范圍僅由所附權(quán)利要求來定義。

本文描述的各特征和方面提供了用于在連接建立的重認(rèn)證過程期間的快速建立時間的設(shè)備和方法。例如，所描述的技術(shù)可以使移動設(shè)備(例如，站(sta))能夠關(guān)于接入點(ap)執(zhí)行鏈路建立，而無需首先監(jiān)聽信標(biāo)或懇求來自該接入點的探測響應(yīng)。信標(biāo)或探測響應(yīng)通常可包括將在鏈路建立期間使用的接入點一次性數(shù)(anonce)。因此，所描述的技術(shù)可以使sta能夠在先前沒有收到該anonce的情況下執(zhí)行鏈路建立。根據(jù)“經(jīng)修改的4路握手”技術(shù)，sta可向ap發(fā)送不受保護的關(guān)聯(lián)請求，并且可在關(guān)聯(lián)響應(yīng)中接收來自ap的anonce。收到anonce隨后可用于密鑰導(dǎo)出。根據(jù)“下一個anonce”技術(shù)，在使用第一anonce所發(fā)起的第一鏈路建立期間，sta可接收第二anonce以供在第一鏈路建立之后的第二鏈路建立中使用。

所描述的技術(shù)還可允許使用臨時密鑰進行上層信令保護。例如，代替發(fā)送不受保護的關(guān)聯(lián)請求，sta可經(jīng)由來自ap的信標(biāo)或探測響應(yīng)來接收第一anonce(例如，anonce1)并且可基于第一anonce導(dǎo)出第一密鑰(例如，第一成對瞬態(tài)密鑰(ptk))。第一密鑰可用于保護由sta發(fā)送至ap的關(guān)聯(lián)請求。響應(yīng)于接收到關(guān)聯(lián)請求，ap可生成第二anonce(例如，anonce2)，并且可基于第二anonce導(dǎo)出第二密鑰(例如，第二ptk)。ap可將關(guān)聯(lián)響應(yīng)傳送至sta，該關(guān)聯(lián)響應(yīng)包括第二anonce并且使用第二密鑰來保護。sta可基于第二anonce導(dǎo)出第二密鑰，并且可使用第二密鑰來處理關(guān)聯(lián)響應(yīng)并且完成鏈路建立。第二密鑰還可用于保護在sta與ap之間傳達的后續(xù)消息(例如，數(shù)據(jù)消息)。

或者，代替經(jīng)由信標(biāo)或探測響應(yīng)從ap接收anonce，sta可在該信標(biāo)或探測響應(yīng)中接收anonce種子。anonce種子可以是由ap頻繁更新的密碼種子值。sta可通過用sta的媒體接入控制(mac)地址對anonce種子進行散列化來生成anonce。因此，與經(jīng)由信標(biāo)消息廣播到多個sta的anonce不同，在sta處基于anonce種子以及sta的mac地址所生成的anonce對于sta可以是唯一的。sta可使用所生成的anonce來發(fā)起與ap的鏈路建立。在鏈路建立期間，ap可基于anonce種子以及sta的mac地址來生成anonce，sta的mac地址可被包括在來自sta的鏈路建立消息(例如，關(guān)聯(lián)請求)中。將注意到，與其他握手技術(shù)形成對比，該技術(shù)可涉及sta在ap之前生成anonce。有利地，anonce對于sta可以是唯一的，可按“明文”(即，不加密)發(fā)送，并且在由ap傳送之前可能不是未經(jīng)授權(quán)的設(shè)備可預(yù)測的。

在一個特定實施例中，一種方法包括將不受保護的關(guān)聯(lián)請求從移動設(shè)備發(fā)送至接入點。該方法還包括從接入點接收關(guān)聯(lián)響應(yīng)，其中該關(guān)聯(lián)響應(yīng)包括anonce。該方法包括在移動設(shè)備處使用anonce生成成對瞬態(tài)密鑰(ptk)。

在另一特定實施例中，一種裝置包括處理器和存儲指令的存儲器，該指令可由處理器執(zhí)行以將不受保護的關(guān)聯(lián)請求發(fā)送至接入點并且從接入點接收關(guān)聯(lián)響應(yīng)，其中該關(guān)聯(lián)響應(yīng)包括anonce。該指令還可由處理器執(zhí)行以使用anonce來生成ptk。

在另一特定實施例中，一種方法包括在接入點處從移動設(shè)備接收不受保護的關(guān)聯(lián)請求。該方法還包括從不受保護的關(guān)聯(lián)請求提取發(fā)起消息，并且將發(fā)起消息發(fā)送至認(rèn)證服務(wù)器。該方法還包括從認(rèn)證服務(wù)器接收應(yīng)答消息，其中該應(yīng)答消息包括重認(rèn)證主會話密鑰(rmsk)。該方法包括生成anonce并且將關(guān)聯(lián)響應(yīng)發(fā)送至移動設(shè)備，其中該關(guān)聯(lián)響應(yīng)包括anonce。

在另一特定實施例中，一種裝置包括處理器和存儲指令的存儲器，該指令可由處理器執(zhí)行以從移動設(shè)備接收不受保護的關(guān)聯(lián)請求。該指令還可由處理器執(zhí)行以從不受保護的關(guān)聯(lián)請求中提取發(fā)起消息，并且將發(fā)起消息發(fā)送至認(rèn)證服務(wù)器。該指令可進一步由處理器執(zhí)行以從認(rèn)證服務(wù)器接收應(yīng)答消息，其中該應(yīng)答消息包括rmsk。該指令可由處理器執(zhí)行以生成anonce并且將關(guān)聯(lián)響應(yīng)發(fā)送至移動設(shè)備，其中該關(guān)聯(lián)響應(yīng)包括anonce。

在另一特定實施例中，一種方法包括在移動設(shè)備處使用第一anonce發(fā)起與接入點的第一鏈路建立。該方法還包括在與接入點的第一鏈路建立期間，接收第二anonce以供在第一鏈路建立之后與接入點進行的第二鏈路建立中使用，其中第二anonce與第一anonce不同。

在另一特定實施例中，一種裝置包括處理器和存儲指令的存儲器，該指令可由處理器執(zhí)行以使用第一anonce發(fā)起與接入點的第一鏈路建立。該指令還可由處理器執(zhí)行以在與接入點的第一鏈路建立期間，接收第二anonce以供在第一鏈路建立之后與接入點進行的第二鏈路建立中使用，其中第二anonce與第一anonce不同。

在另一特定實施例中，一種方法包括在使用第一anonce的第一鏈路建立期間，將第二anonce從接入點發(fā)送至移動設(shè)備以供在第一鏈路建立之后與移動設(shè)備進行的第二鏈路建立中使用，其中第二anonce與第一anonce不同。

在另一特定實施例中，一種裝置包括處理器和存儲指令的存儲器，該指令可由處理器執(zhí)行以在使用第一anonce的第一鏈路建立期間，將第二anonce發(fā)送至移動設(shè)備以供在第一鏈路建立之后與移動設(shè)備進行的第二鏈路建立中使用，其中第二anonce與第一anonce不同。

在另一特定實施例中，一種方法包括在移動設(shè)備處從接入點接收第一anonce。該方法還包括使用第一anonce生成第一ptk。該方法進一步包括將關(guān)聯(lián)請求發(fā)送至接入點，其中該關(guān)聯(lián)請求包括snonce并且使用第一ptk來保護。該方法包括從接入點接收關(guān)聯(lián)響應(yīng)，其中該關(guān)聯(lián)響應(yīng)包括第二anonce并且使用第二ptk來保護。該方法還包括使用第二anonce和snonce生成第二ptk。該方法進一步包括使用第二ptk來保護要發(fā)送至接入點的至少一條后續(xù)消息。

在另一特定實施例中，一種裝置包括處理器和存儲指令的存儲器，該指令可由處理器執(zhí)行以在接入點處生成要發(fā)送至移動設(shè)備的anonce種子。該指令還可由處理器執(zhí)行以基于anonce種子和從移動設(shè)備接收到的該移動設(shè)備的mac地址來生成anonce。該指令可進一步由處理器執(zhí)行以基于所生成的anonce來執(zhí)行與移動設(shè)備的鏈路建立。

在無線網(wǎng)絡(luò)(諸如802.11(wifi)網(wǎng)絡(luò))中，移動用戶可從一個網(wǎng)絡(luò)移動至另一網(wǎng)絡(luò)。在某些情況下，這些網(wǎng)絡(luò)可由同一網(wǎng)絡(luò)承運商或?qū)嶓w來管理。

此類使用情況的某些非限制性示例是：

1.熱點通過

(a)用戶可經(jīng)過(若干非重疊的)公眾可接入wifi熱點(例如，在咖啡店或其他公共場所)。在具有連通性時，用戶終端可上傳和下載信息(諸如電子郵件、社交聯(lián)網(wǎng)消息等)。另一示例是乘坐火車的乘客，這些火車可能穿過具有wifi接入點的多個火車站。

2.火車

(b)用戶可能乘坐經(jīng)由本地接入點(ap)向顧客提供wifi服務(wù)的火車。該ap可使用基于無線802.11的主干線來連接至軌旁基礎(chǔ)設(shè)施。定向天線可用于沿軌道提供連續(xù)覆蓋。

3.駛過收費/稱重站

(c)在高速公路上駛過收費站或經(jīng)過稱重站的車輛可能能夠連接到該收費站或稱重站的ap。在駛過(或被稱重)時，信息(諸如向顧客收通行費或貨物信息交換)可被提供。

啟用針對這些非重疊但相關(guān)的連接的應(yīng)用可依賴于標(biāo)準(zhǔn)ip協(xié)議集，并且潛在地信任底層無線技術(shù)以建立安全鏈路。

在用于建立網(wǎng)際協(xié)議(ip)連接的某些所提議的系統(tǒng)中，在接收信標(biāo)之前，可能存在16個往返交換(往返接入終端傳達的32條消息)來為該接入終端建立安全鏈路。

在本文描述的所提議系統(tǒng)的所選實施例中，可以執(zhí)行快速鏈路建立，其中用于在接收到信標(biāo)之后建立ip連接和安全鏈路的消息數(shù)目從先前16個往返交換(32條消息)減少至1個往返交換(2條消息)?？蓴U展認(rèn)證協(xié)議/重認(rèn)證協(xié)議(eap/erp)可用作快速鏈路建立的一部分。

圖1是解說用于在一個或多個終端與接入點之間傳達數(shù)據(jù)的無線網(wǎng)絡(luò)配置的一個示例的概念圖。圖1的網(wǎng)絡(luò)配置100可用于在一個或多個終端與接入點之間傳達數(shù)據(jù)。網(wǎng)絡(luò)配置100包括耦合至網(wǎng)絡(luò)104的接入點102。接入點102可被配置成向各種通信設(shè)備提供無線通信，這些通信設(shè)備諸如無線設(shè)備(在本文中也可被稱為站(sta)和接入終端(at)106、108、110)。作為一個非限制性示例，接入點102可以是基站。作為非限制性示例，站/終端106、108、110可以是個人計算機(pc)、膝上型計算機、平板計算機、移動電話、個人數(shù)字助理(pda)、和/或被配置成用于無線地發(fā)送和/或接收數(shù)據(jù)的任何設(shè)備、或其任何組合。網(wǎng)絡(luò)104可包括分布式計算機網(wǎng)絡(luò)，諸如傳輸控制協(xié)議/網(wǎng)際協(xié)議(tcp/ip)網(wǎng)絡(luò)。

接入點102可被配置成提供各種無線通信服務(wù)，包括但不限于：無線保真(wifi)服務(wù)、微波接入全球互通性(wimax)服務(wù)、以及無線會話發(fā)起協(xié)議(sip)服務(wù)。站/終端106、108、110可被配置成用于無線通信(包括但不限于遵循由電氣和電子工程師協(xié)會(ieee)開發(fā)的802.11、802.11-2007、和802.11x規(guī)范族的通信)。另外，站/終端106、108、110可被配置成向接入點102發(fā)送數(shù)據(jù)以及從接入點102接收數(shù)據(jù)。

圖2是解說一示例性站/終端200的框圖。處理器210(例如，數(shù)字信號處理器(dsp))耦合至存儲器232，該存儲器232用于存儲信息(諸如用于處理和傳送的數(shù)據(jù))以及供在處理器210上執(zhí)行的指令260。如本文描述的，該指令可由處理器210執(zhí)行以用于執(zhí)行站/終端的各種方法和功能。此外，如本文描述的，接入點(ap)、認(rèn)證服務(wù)器(as)、和動態(tài)主機配置協(xié)議(dhcp)服務(wù)器可類似地包括處理器和存儲指令的存儲器，該指令可由處理器執(zhí)行以用于分別執(zhí)行ap、as和dhcp服務(wù)器的各種方法和功能。

顯示控制器226可耦合至處理器210和顯示設(shè)備228。編碼器/解碼器(codec)234也可耦合至處理器210。作為用戶接口設(shè)備的非限制性示例，揚聲器236和話筒238可耦合至codec234。無線控制器240可耦合至處理器210和天線242。在一個特定示例中，可將處理器210、顯示控制器226、存儲器232、codec234和無線控制器240包括在系統(tǒng)級封裝或片上系統(tǒng)設(shè)備222中。在一個特定示例中，輸入設(shè)備230和電源244可耦合至片上系統(tǒng)設(shè)備222。此外，在一個特定示例中，如所解說的，顯示設(shè)備228、輸入設(shè)備230、揚聲器236、話筒238、天線242、和電源244可在片上系統(tǒng)設(shè)備222外部。然而，顯示設(shè)備228、輸入設(shè)備230、揚聲器236、話筒238、無線天線242、和電源244中的每一者可耦合至片上系統(tǒng)設(shè)備222的一組件，諸如接口或控制器。

圖3是解說在常規(guī)連接建立中可執(zhí)行的消息收發(fā)的流程圖。在站/終端302與接入點304之間所示的消息可包括探測和認(rèn)證請求。局域網(wǎng)(lan)上的可擴展認(rèn)證協(xié)議(eap)(eapol)過程可以開始并且包括標(biāo)識階段、受保護的eap(peap)階段、以及eap-微軟質(zhì)詢握手認(rèn)證協(xié)議(eap-mschapv2)。一旦eap成功，eapol密鑰就可被建立。因此，為了建立鏈路建立和認(rèn)證，必須向或從站/終端302傳達至少16條消息。

在本文描述的所提議系統(tǒng)的各特定實施例中，用于(在接收到信標(biāo)之后)建立ip連接的消息數(shù)目(從16條消息)減少至2條消息?？蓴U展認(rèn)證協(xié)議重認(rèn)證協(xié)議(erp)可用作如下文參照圖12和13更完整地描述的重認(rèn)證的一部分，并且可包括以下優(yōu)化。站/終端(sta)302可執(zhí)行一次完整的eap認(rèn)證，并且此后保持使用erp快速重認(rèn)證來進行快速初始鏈路建立。

在發(fā)送關(guān)聯(lián)請求之前，由站/終端302生成重認(rèn)證主會話密鑰(rmsk)，而無需從網(wǎng)絡(luò)獲得質(zhì)詢。由站(sta)302從rmsk生成成對瞬態(tài)密鑰(ptk)，并且該成對瞬態(tài)密鑰(ptk)包括密鑰確認(rèn)密鑰(kck)、密鑰加密密鑰(kek)、以及瞬態(tài)密鑰(tk)。

關(guān)聯(lián)請求由站302發(fā)送，并且將eap重授權(quán)請求與帶有快速提交的動態(tài)主機配置協(xié)議(dhcp)發(fā)現(xiàn)以及snonce(例如，snonce由sta302拾取，即，站一次性數(shù))進行集束。經(jīng)集束的消息可被包括作為一個或多個信息元素(ie)。eap重授權(quán)請求由認(rèn)證服務(wù)器(authserver)308使用重認(rèn)證完整性密鑰(rik)來認(rèn)證。使用重認(rèn)證主會話密鑰(rmsk)或從該rmsk導(dǎo)出的成對瞬態(tài)密鑰(ptk)來保護帶有快速提交的dhcp發(fā)現(xiàn)和snonce。帶有快速提交的dhcp發(fā)現(xiàn)可以是經(jīng)加密且經(jīng)mic(消息完整性編碼)的、或是未經(jīng)加密但經(jīng)mic的。盡管本文的示例中的某一些可利用發(fā)現(xiàn)請求(例如，帶有快速提交的發(fā)現(xiàn))來解說高效的重認(rèn)證概念，但應(yīng)當(dāng)理解，可改為使用在(協(xié)議棧的)上層用于指派ip地址的任何消息。

如果dhcp消息被加密，則接入點304可保持帶有快速提交的dhcp發(fā)現(xiàn)和snonce消息，直到eap重認(rèn)證請求被認(rèn)證服務(wù)器308證實。為證實該消息，接入點(ap)304等待直到它從認(rèn)證服務(wù)器308接收到rmsk并且導(dǎo)出成對瞬態(tài)密鑰(ptk)?；趶恼J(rèn)證服務(wù)器308獲得的rmsk，接入點304導(dǎo)出ptk，該ptk用于mic(消息完整性代碼)以及用于對該消息進行解密。

如果dhcp消息未被加密，則在大多數(shù)情況下消息來自正確設(shè)備的預(yù)期下，接入點304可將帶有快速提交的dhcp發(fā)現(xiàn)轉(zhuǎn)發(fā)至dhcp服務(wù)器(但保留snonce消息直到eap重認(rèn)證請求被認(rèn)證服務(wù)器308證實)。即使帶有快速提交的dhcp發(fā)現(xiàn)可被發(fā)送至dhcp服務(wù)器，接入點304也將保持dhcp確認(rèn)，直到它基于從認(rèn)證服務(wù)器308獲得的rmsk驗證了dhcp發(fā)現(xiàn)消息并且接入點304導(dǎo)出了ptk。

接入點(ap)304隨后發(fā)送用ptk保護的dhcp確認(rèn)+gtk/igtk。換言之，dhcp確認(rèn)被加密并且消息完整性被保護。

一個非限制性方面可在用于鏈路建立和認(rèn)證的過程中包括以下步驟中的一個或多個步驟。

第一，用戶可獲得站/終端302并且執(zhí)行完整的eap認(rèn)證，作為與特定網(wǎng)絡(luò)(例如，特定wifi網(wǎng)絡(luò))的初始建立的一部分。作為一個非限制性示例，可能完整的eap認(rèn)證可被維持達一特定認(rèn)證時段，諸如舉例來說，一年。

第二，在該認(rèn)證時段期間，用戶經(jīng)過(若干非重疊的)公眾可接入wifi熱點(例如，在咖啡店和其他公共場所)。換言之，該步驟可在該認(rèn)證時段期間被執(zhí)行多次并且與作為建立網(wǎng)絡(luò)的一部分的多個接入點304來執(zhí)行。站/終端302將使用erp來執(zhí)行與網(wǎng)絡(luò)的快速初始鏈路建立(fils)。如下文更完整地解釋的，使用關(guān)聯(lián)請求消息將erp與dhcp快速發(fā)現(xiàn)進行集束將使得用于該關(guān)聯(lián)請求的信令減少至一個往返。在該認(rèn)證時段期間，用戶的站/終端302可以在與網(wǎng)絡(luò)連接時繼續(xù)執(zhí)行erp以用于快速初始鏈路建立(fils)。

第三，隨著該認(rèn)證時段的期滿將至，可警告用戶在給定時段(例如2周)內(nèi)再次執(zhí)行與網(wǎng)絡(luò)的“完整附連”。在該時段期間，基于早先的完整eap認(rèn)證，用戶將繼續(xù)能夠使用快速認(rèn)證直到它期滿或完整附連被執(zhí)行。完整附連通知可源自網(wǎng)絡(luò)，或可在站/終端302上被本地配置。

第四，如果用戶不執(zhí)行完整附連，則一年之后，網(wǎng)絡(luò)將使erp失敗，并且將發(fā)起針對另一年的完整eap認(rèn)證(如步驟1中概括的)。

圖4-11解說用于執(zhí)行兩消息鏈路建立和認(rèn)證的各種不同場景。

圖4是解說為客戶站執(zhí)行高效鏈路建立和認(rèn)證的第一示例的流程圖。在步驟0a和0b，當(dāng)通信地耦合至第一接入點ap1304a時，站/終端(sta)302可執(zhí)行完整eap認(rèn)證。一旦移動(步驟1)至更接近第二接入點ap2304b并且檢測到它的信標(biāo)(步驟2)，站/終端302就可尋求經(jīng)由第二接入點ap2304b來重認(rèn)證它自己。在該過程中，接入點304b傳送信標(biāo)/探測，該信標(biāo)/探測包括用于快速初始鏈路建立(fils)的能力指示符。該能力指示符可指示處理帶有經(jīng)集束的erp與dhcp快速發(fā)現(xiàn)的關(guān)聯(lián)請求的能力。在步驟3中，在發(fā)送關(guān)聯(lián)請求之前，站/終端302使用erp生成重認(rèn)證主會話密鑰(rmsk)(參見圖13)，其中：

rmsk＝kdf(k,s)；

k＝rrk；并且

s＝rmsk標(biāo)簽|"\0"|seq|長度。

站/終端302將該一條或多條消息打包成關(guān)聯(lián)請求的信息元素(ie)(或參數(shù)/有效載荷)(步驟3)。例如，此類關(guān)聯(lián)請求可包括：1)eap重認(rèn)證發(fā)起(使用rik的消息完整性)；2)帶有快速提交的dhcp發(fā)現(xiàn)(經(jīng)加密的及使用kck/kek的消息完整性)；和/或3)eapol密鑰(snonce、anonce)(使用kck的消息完整性)。eapol密鑰可被配置成整個幀或子集。anonce(即，接入點一次性數(shù))可由站/終端302選擇，并且被發(fā)送至接入點ap2304b。例如，接入點(ap2)304b可確保站/終端302正使用在過去若干秒/毫秒內(nèi)所發(fā)送的anonce(例如，從ap2的信標(biāo)所獲得的最新近anonce)。接入點ap2304b保持dhcp和eapol密鑰消息，直到它從認(rèn)證服務(wù)器308接收到根主會話密鑰(rmsk)。接入點ap2304b從rmsk生成ptk。接入點ap2304b為dhcp和eapol密鑰消息執(zhí)行消息完整性代碼(mic)交換，并且對dhcp進行解密。在發(fā)送到站/終端302之前，接入點ap2304b使用rmsk導(dǎo)出kck/kek以保護dhcp確認(rèn)和eapol密鑰消息。

在各個示例中，anonce可由ap2304b通過以下方式發(fā)送：或是使用信標(biāo)來發(fā)送以允許使用被動掃描的站，或是當(dāng)主動掃描被使用時在探測響應(yīng)消息中發(fā)送。當(dāng)anonce由ap2304b使用信標(biāo)來發(fā)送時，anonce可在每一信標(biāo)或多個信標(biāo)中被改變。站302可將由站302拾取的anonce包括在從站302發(fā)送至ap2304b的關(guān)聯(lián)請求消息中。

圖5是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。該過程可被稱為選項1a。圖5中執(zhí)行的過程類似于圖4中執(zhí)行的那些過程(選項1)，除了rmsk(而不是ptk的kck/kek)被用來認(rèn)證封裝在關(guān)聯(lián)請求消息中的dhcp發(fā)現(xiàn)和eapol密鑰消息。

圖6是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。該過程可被稱為選項1b。圖6中執(zhí)行的過程類似于圖4中執(zhí)行的過程(選項1)，除了以下可能的差別。在圖6上示出的步驟2中，接入點304可廣告dhcp請求可被加密的能力。在圖6上示出的步驟4中，站/終端302可決定dhcp消息是否應(yīng)被加密。站/終端302可考慮若干因素，諸如舉例來說，dhcp發(fā)現(xiàn)請求是否包含任何私有信息等。如果站/終端決定對dhcp發(fā)現(xiàn)請求進行加密，則接入點304可保持該消息(如圖4和5中所示)。

如果站/終端決定不對dhcp發(fā)現(xiàn)請求進行加密，則可執(zhí)行以下步驟。在圖6上示出的步驟4中，dhcp發(fā)現(xiàn)請求信息元素(ie)或參數(shù)僅僅是受消息完整性保護的?；诓襟E4，接入點304發(fā)送帶有快速提交的dhcp發(fā)現(xiàn)(步驟6)，而無需等待對eap重認(rèn)證發(fā)起請求的響應(yīng)(步驟9)。該過程導(dǎo)致ip地址指派與eap重認(rèn)證規(guī)程并行發(fā)生。在圖6上示出的步驟7a中，接入點保持來自dhcp服務(wù)器的dhcp確認(rèn)直到步驟10b，在該步驟10b中dhcp發(fā)現(xiàn)被證實。如果消息完整性失敗，則接入點304發(fā)起一規(guī)程來刪除使用dhcp確認(rèn)所指派的ip地址。

圖7是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。該過程可被稱為選項2。圖7中執(zhí)行的過程類似于圖4中執(zhí)行的過程(選項1)，除了以下可能的差別。代替獨立地認(rèn)證dhcp消息和eapol密鑰消息，可使用kck/kek來認(rèn)證包括eap重認(rèn)證、dhcp發(fā)現(xiàn)和eapol密鑰在內(nèi)的組合有效載荷。接入點304提取eap重認(rèn)證發(fā)起消息，并且將其轉(zhuǎn)發(fā)至認(rèn)證服務(wù)器308，而無需證實使用kck/kek認(rèn)證了的整個消息。接入點304在從認(rèn)證服務(wù)器308接收到rmsk之后認(rèn)證整個消息。

圖8是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。該過程可被稱為選項2a。圖8中執(zhí)行的過程類似于圖5中執(zhí)行的過程(選項1a)，除了以下可能的差別。代替獨立地認(rèn)證dhcp消息和eapol密鑰消息，可使用rmsk來認(rèn)證包括eap重認(rèn)證、dhcp發(fā)現(xiàn)和eapol密鑰在內(nèi)的組合有效載荷。接入點304提取eap重認(rèn)證發(fā)起消息，并且將其轉(zhuǎn)發(fā)至認(rèn)證服務(wù)器308，而無需證實使用rmsk認(rèn)證了的整個消息。接入點304在從認(rèn)證服務(wù)器308接收到rmsk之后認(rèn)證整個消息?？稍诓襟E5之前發(fā)送dhcp發(fā)現(xiàn)消息(步驟9)。在這種情況下，如果認(rèn)證不成功，則所指派的ip地址被忽略。

圖9是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。該過程可被稱為選項2b。圖9中執(zhí)行的過程類似于圖4中執(zhí)行的過程，除了以下可能的差別。在步驟2，接入點可廣告dhcp請求可被加密的能力。在步驟4，站/終端302決定dhcp消息是否應(yīng)被加密。站/終端302可考慮若干因素，諸如舉例來說，dhcp發(fā)現(xiàn)請求是否包含任何私有信息等。如果站/終端302決定對dhcp發(fā)現(xiàn)請求進行加密，則接入點304將保持該消息，如上文在選項2和選項2a中描述的。如果站/終端302決定不對dhcp發(fā)現(xiàn)請求進行加密，則可執(zhí)行以下步驟。在步驟4，dhcp發(fā)現(xiàn)消息ie是僅僅受消息完整性保護的?；诓襟E4，接入點304發(fā)送帶有快速提交的dhcp發(fā)現(xiàn)(步驟6)，而無需等待對eap重認(rèn)證發(fā)起請求的響應(yīng)(步驟9)。該過程導(dǎo)致ip地址指派與eap重認(rèn)證規(guī)程并行發(fā)生。在步驟7a中，接入點304保持來自dhcp服務(wù)器的dhcp確認(rèn)直到步驟10b，在該步驟10b中dhcp發(fā)現(xiàn)被證實。如果消息完整性失敗，則接入點304發(fā)起一規(guī)程來刪除使用dhcp確認(rèn)消息所指派的ip地址。

圖10是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。該過程可被稱為選項3。圖10中執(zhí)行的過程類似于圖4和5中執(zhí)行的過程(選項1和1a)，除了以下可能的差別。anonce可在關(guān)聯(lián)響應(yīng)中連同“安裝ptk、gtk、igtk”消息一起被發(fā)送。圖10中的步驟9和11可與如選項1b和選項2b中描述的步驟5-7并行執(zhí)行。

選項4也可從選項1和2中導(dǎo)出，除了以下可能的差別。代替步驟4處的單條消息(即，關(guān)聯(lián)請求)，關(guān)聯(lián)請求可被拆分成封裝dhcp發(fā)現(xiàn)消息的消息1(m1)以及封裝eap重認(rèn)證發(fā)起消息和snonce的消息2(m2)。接入點304直到接收到eapol密鑰才對dhcp發(fā)現(xiàn)消息進行動作。這兩條消息(m1和m2)可分隔開sifs時段。該選項4可具有eapol結(jié)構(gòu)可被重用的優(yōu)勢。

圖11是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。該過程可被稱為選項5。圖11中執(zhí)行的過程類似于圖4中執(zhí)行的過程(選項1)，除了以下可能的差別。接入點304傳送信標(biāo)/探測響應(yīng)，該信標(biāo)/探測響應(yīng)包括用于并發(fā)erp和/或ip地址指派的快速初始鏈路建立(fils)能力指示符。在該場景中，由接入點304指派的ip地址的租賃定時器未期滿。站/終端302在發(fā)送至第二接入點304的dhcp請求中使用由第一接入點304a指派的ip地址，以確認(rèn)它是否能繼續(xù)使用該ip地址。如果該ip地址已期滿，則dhcp服務(wù)器306發(fā)送dhcp-nak。

圖12是解說在重認(rèn)證協(xié)議期間可執(zhí)行的消息收發(fā)的流程圖。在站/終端302首次附連至網(wǎng)絡(luò)時，站/終端302執(zhí)行與認(rèn)證服務(wù)器308的完整eap交換。結(jié)果，主會話密鑰(msk)被分發(fā)給eap認(rèn)證器。認(rèn)證器和站/終端302隨后使用主會話密鑰(msk)按需建立瞬態(tài)會話密鑰(tsk)。在初始eap交換之時，站/終端302和認(rèn)證服務(wù)器308還導(dǎo)出emsk，該emsk被用來導(dǎo)出重認(rèn)證根密鑰(rrk)。更具體地，重認(rèn)證根密鑰(rrk)可從擴展msk(emsk)或從域?qū)Ｓ懈荑€(dsrk)導(dǎo)出，該dsrk本身是從emsk導(dǎo)出的。重認(rèn)證根密鑰(rrk)可僅對站/終端302和認(rèn)證服務(wù)器308可用，并且一般不被分發(fā)給任何其他實體。此外，重認(rèn)證完整性密鑰(rik)可從重認(rèn)證根密鑰(rrk)導(dǎo)出。站/終端302和認(rèn)證服務(wù)器308可使用重認(rèn)證完整性密鑰(rik)來在執(zhí)行erp交換時提供擁有證明。重認(rèn)證完整性密鑰(rik)一般也不被發(fā)放給任何其他實體，并且一般僅對站/終端302和認(rèn)證服務(wù)器308可用。

出于eap重認(rèn)證的目的，定義了兩個新eap代碼：eap發(fā)起和eap完成。當(dāng)站/終端302請求erp時，它執(zhí)行圖12的底部框中示出的erp交換。

圖13解說可被用于重認(rèn)證協(xié)議的密鑰分層結(jié)構(gòu)。主會話密鑰(msk)可從根密鑰導(dǎo)出，并且成對主密鑰(pmk)可從主會話密鑰(msk)導(dǎo)出。擴展msk(emsk)可從根密鑰導(dǎo)出。對于erp交換，各種附加密鑰可從擴展msk(emsk)導(dǎo)出。dsrk1-dsrkn可被導(dǎo)出。每一個域?qū)Ｓ懈荑€(dsrk)密鑰都可包括rrk。可從重認(rèn)證根密鑰(rrk)導(dǎo)出重認(rèn)證完整性密鑰(rik)和重認(rèn)證主會話密鑰(rmsk1…rmskn)。每一個rmsk都可包括成對主密鑰(pmk)。成對瞬態(tài)密鑰(ptk)(其可包括密鑰確認(rèn)密鑰(kck)、密鑰加密密鑰(kek)和瞬態(tài)密鑰(tk))可從pmk導(dǎo)出。

圖14是示出可在站/終端處操作以生成重認(rèn)證請求和上層消息(例如，發(fā)現(xiàn)請求)并將其集束成關(guān)聯(lián)請求的示例性過程1400的流程圖。操作框1402指示從接入點接收包括隨機數(shù)或一次性數(shù)(例如，anonce)的信標(biāo)。在操作框1404，終端使用該隨機數(shù)或一次性數(shù)根據(jù)加密密鑰用可擴展認(rèn)證協(xié)議來生成重認(rèn)證請求。在操作框1406，終端生成上層消息。例如，此類上層消息可以是發(fā)現(xiàn)請求、帶有快速提交的動態(tài)主機配置協(xié)議(dhcp)發(fā)現(xiàn)請求、和/或網(wǎng)際協(xié)議(ip)地址指派消息。

操作框1408指示在某些方面，終端可響應(yīng)于先前認(rèn)證過程的結(jié)果來生成重認(rèn)證主會話密鑰(rmsk)。操作框1410指示在某些方面，終端可根據(jù)rmsk、隨機數(shù)(anonce)、和/或本地生成的隨機數(shù)(snonce)來生成成對瞬態(tài)密鑰(ptk)。

操作框1412指示在某些方面，終端可以用rmsk來對上層消息進行加密。操作框1414指示在某些方面，終端可以用ptk或者kck與kek的組合來對上層消息進行加密。在其他方面，上層消息可以是不經(jīng)加密的。

操作框1416指示在某些方面，終端可將關(guān)聯(lián)請求生成為封裝dhcp發(fā)現(xiàn)消息的第一消息、封裝eapol重認(rèn)證發(fā)起消息的第二消息。

操作框1418指示終端將該上層消息與重認(rèn)證請求集束成關(guān)聯(lián)請求。操作框1420指示在某些方面，終端可分開傳送第一消息和第二消息。

圖15是示出可在基站處操作以接收由站/終端發(fā)送的關(guān)聯(lián)請求并從該關(guān)聯(lián)請求中提取重認(rèn)證請求和上層消息的示例性過程1500的流程圖。操作框1502指示在某些方面，接入點可生成隨機數(shù)，并且傳送包括該隨機數(shù)的信標(biāo)。

操作框1504指示接入點從終端接收關(guān)聯(lián)請求，該關(guān)聯(lián)請求包括被集束在一起的上層消息(例如，發(fā)現(xiàn)請求)與重認(rèn)證請求。操作框1506指示接入點從該關(guān)聯(lián)請求中提取上層消息，并且將其轉(zhuǎn)發(fā)至配置服務(wù)器。操作框1508指示接入點從該關(guān)聯(lián)請求中提取重認(rèn)證請求，并且將其轉(zhuǎn)發(fā)至認(rèn)證服務(wù)器。

操作框1510指示在某些方面，接入點可從認(rèn)證服務(wù)器接收加密密鑰。操作框1512指示在某些方面，接入點可從該加密密鑰、該隨機數(shù)、和從終端接收到的收到隨機數(shù)生成ptk。操作框1514指示在某些方面，接入點可以用ptk內(nèi)的kck和kek的組合來驗證上層消息，該ptk包括lan上的可擴展認(rèn)證協(xié)議(eapol)密鑰確認(rèn)密鑰(kck)以及eapol密鑰加密密鑰(kek)。

將注意到，參考圖4-15描述的特定實施例可涉及用于快速初始鏈接建立的4路握手。一般而言，4路握手可包括：1)ap向sta發(fā)送anonce，2)sta向ap發(fā)送snonce，3)ap向sta發(fā)送ptk，以及4)sta確認(rèn)該握手完成。

因此，4路握手的第一部分可涉及在發(fā)起與接入點的鏈路建立之前，sta監(jiān)聽信標(biāo)或懇求來自接入點的探測響應(yīng)。例如，信標(biāo)或探測響應(yīng)可包括將由sta用于加密和/或消息完整性目的的anonce。然而，監(jiān)聽信標(biāo)可能消耗時間，而懇求探測響應(yīng)可能消耗時間和功率。因此，通過使sta能夠執(zhí)行鏈路建立而無需首先監(jiān)聽信標(biāo)或懇求來自接入點的探測響應(yīng)，可以節(jié)省sta處的時間和功率。

圖16是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。具體而言，圖16解說允許鏈路建立而無需首先監(jiān)聽信標(biāo)或懇求來自接入點的探測響應(yīng)的經(jīng)修改的4路握手。

圖16中解說的所選消息和操作可與圖4-11中解說的消息和操作相對應(yīng)，其中具有以下修改。sta302可在步驟2生成rmsk和snonce，并且在步驟3向ap304發(fā)送不受保護的關(guān)聯(lián)請求。不受保護的關(guān)聯(lián)請求可包括snonce。與圖4的實施例形成對比，sta302可在接收anonce和導(dǎo)出ptk之前執(zhí)行這些操作。由于sta302在接收anonce和導(dǎo)出ptk之前發(fā)送關(guān)聯(lián)請求，因此ap304可提取關(guān)聯(lián)請求的eap重認(rèn)證發(fā)起部分并且將其轉(zhuǎn)發(fā)至as308(如步驟4指示的)，而無需執(zhí)行如圖4中描述的anonce驗證。相反，ap304可依賴于as308傳送帶有所導(dǎo)出的rmsk的應(yīng)答消息(步驟7)作為對sta302的認(rèn)證。

在接收到rmsk之后，ap304可在步驟9生成anonce，并且在步驟10a基于anonce、rmsk和snonce導(dǎo)出ptk。因此，在sta302處導(dǎo)出ptk之前，可在ap304處導(dǎo)出ptk。在步驟12，ap304可將包括anonce的關(guān)聯(lián)響應(yīng)發(fā)送至sta302，其中該關(guān)聯(lián)響應(yīng)是使用ptk的kck和kek來保護的。在接收到來自ap304的關(guān)聯(lián)響應(yīng)之后，在步驟12a，sta302可使用rmsk、snonce和該關(guān)聯(lián)響應(yīng)中的anonce生成ptk。

從ap304發(fā)送的關(guān)聯(lián)響應(yīng)(其包括anonce)是使用anonce進行完整性保護的。關(guān)聯(lián)響應(yīng)中除anonce以外的信息元素也可被加密。因此，ap304可使用在ap304處使用關(guān)聯(lián)請求中從sta302獲得的snonce、從as308獲得的rmsk、以及本地生成且尚未傳送至sta302的anonce生成的ptk對關(guān)聯(lián)響應(yīng)進行“預(yù)保護”(即，預(yù)加密/預(yù)完整性保護)。一旦接收到關(guān)聯(lián)響應(yīng)，sta302就從關(guān)聯(lián)響應(yīng)中提取anonce、生成ptk、并且驗證對消息的完整性保護。因此，sta302基于從消息中獲得的密鑰來對該消息進行“后證實”。與首先確認(rèn)密鑰并且隨后使用這些密鑰來保護數(shù)據(jù)的常規(guī)握手方案相比，此類預(yù)保護和后證實可允許更快的鏈路建立。

圖16的實施例因此可以使sta302能夠執(zhí)行用于鏈路建立的經(jīng)修改的4路握手，而無需首先監(jiān)聽信標(biāo)或懇求探測響應(yīng)。這可減少鏈路建立時間并且節(jié)省sta302處的功率。應(yīng)當(dāng)注意，由于sta302不等待信標(biāo)/探測響應(yīng)，因此sta302可對不受保護的關(guān)聯(lián)請求使用替換尋址機制。例如，當(dāng)ap304為sta302所“已知”時，sta302可能先前已將ap304的基本服務(wù)集標(biāo)識符(bssid)存儲在sta302的存儲器中。為發(fā)起鏈路建立，sta302可檢索所存儲的bssid，并且可基于bssid將不受保護的關(guān)聯(lián)請求發(fā)送至ap304。ap304可能為sta302所“已知”的情形包括當(dāng)ap304先前已被sta302訪問時(例如，“家庭”ap或“辦公室”ap)、以及當(dāng)sta302最近未移動時(例如，如由sta302的蜂窩和/或全球定位系統(tǒng)(gps)能力所確定的)。因此，在一個特定實施例中，sta302可響應(yīng)于在sta302處所確定的位置信息而發(fā)送關(guān)聯(lián)請求(例如，當(dāng)sta302“知道”目標(biāo)ap304在sta302附近時)。

圖17是示出可在圖16的sta302處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程1700的流程圖。在1702，移動設(shè)備(例如，sta302)可檢索該移動設(shè)備先前訪問過的接入點的bssid。行進至1704，移動設(shè)備可生成rmsk和snonce。前進至1706，移動設(shè)備可基于bssid將不受保護的關(guān)聯(lián)請求發(fā)送至接入點。例如，參考圖16，在步驟3，sta302可將不受保護的關(guān)聯(lián)請求發(fā)送至ap304。

繼續(xù)至1708，移動設(shè)備可從接入點接收關(guān)聯(lián)響應(yīng)，其中該關(guān)聯(lián)響應(yīng)包括anonce。在1710，移動設(shè)備可使用rmsk、snonce以及收到關(guān)聯(lián)響應(yīng)中的anonce來生成ptk。例如，參考圖16，sta302可在步驟12從ap304接收關(guān)聯(lián)響應(yīng)，并且可在步驟12a導(dǎo)出ptk。

圖18是示出可在圖16的ap304處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程1800的流程圖。在1802，接入點可從移動設(shè)備接收不受保護的關(guān)聯(lián)請求，其中該不受保護的關(guān)聯(lián)請求包括snonce。行進至1804，接入點可從不受保護的關(guān)聯(lián)請求中提取發(fā)起消息。繼續(xù)至1806，接入點可將發(fā)起消息發(fā)送至認(rèn)證服務(wù)器，并且可從該認(rèn)證服務(wù)器接收應(yīng)答消息，其中該應(yīng)答消息包括rmsk。例如，參考圖16，ap304可在步驟3從sta302接收不受保護的關(guān)聯(lián)請求，并且可在步驟8從as308接收rmsk。

前進至1808，接入點可生成anonce。在1810，接入點還可使用rmsk、anonce和snonce生成ptk。繼續(xù)至1812，接入點可將關(guān)聯(lián)響應(yīng)發(fā)送至移動設(shè)備，其中該關(guān)聯(lián)響應(yīng)包括anonce且使用ptk來保護。例如，參考圖16，ap304可在步驟9生成anonce，在步驟10a導(dǎo)出ptk，并且在步驟12將關(guān)聯(lián)響應(yīng)發(fā)送至sta302。

圖19是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。具體而言，圖19解說在第一鏈路建立期間提供可在第一鏈路建立之后的第二鏈路建立期間使用的“下一個”anonce。

圖16中解說的所選消息和操作可與圖4-11中解說的消息和操作相對應(yīng)，其中具有以下修改。sta302可使用第一anonce(例如，anonce[x])來發(fā)起與ap304的第一鏈路建立1902。在一個特定實施例中，第一anonce可能先前已經(jīng)由信標(biāo)或探測響應(yīng)由ap304發(fā)送并由sta302接收(例如，如步驟2a所示)、從sta302的存儲器中檢索(例如，如步驟2b所示)、或其任何組合。

在第一鏈路建立1902期間，sta302可使用第一anonce(例如，anonce[x])將關(guān)聯(lián)請求傳送至ap304。在第一鏈路建立1902期間，ap304可將第二anonce(例如，anonce[x+1])提供給sta302。第二anonce可供在與ap304的后續(xù)第二鏈路建立1904中使用。例如，可在關(guān)聯(lián)響應(yīng)(例如，如步驟4a所示)中、在eapol消息(例如，如步驟4b所示)中、或其任何組合中提供第二anonce。

當(dāng)sta302發(fā)起與ap304的第二鏈路建立1904時，sta302可使用第二anonce(例如，anonce[x+1])，而不是等待信標(biāo)或懇求探測響應(yīng)。在一個特定實施例中，第二anonce(例如，anonce[x+1])可具有由ap304設(shè)置的有效性生存期(validitylifetime)，并且sta302在發(fā)起第二鏈路建立1904之前可在步驟5a確定第二anonce是有效的。如果第二anonce被確定為無效，則sta302可如參考圖20描述地行進。

一旦確定第二anonce(例如，anonce[x+1])是有效的，sta就可使用第二anonce發(fā)起第二鏈路建立1904。如步驟6所示，在第二鏈路建立1904期間，sta302可使用第二anonce發(fā)送第二關(guān)聯(lián)請求。如步驟7a或7b所示，sta302還可接收將在與ap304的后續(xù)第三鏈路建立中使用的第三anonce(例如，anonce[x+2])。

圖20是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的流程圖。圖20中解說的消息和操作可與圖19中示出的那些消息和操作相對應(yīng)，其中具有以下修改。

在步驟5a，sta302可確定第二anonce(例如，anonce[x+1])是無效的(例如，由于有效時段期滿)。因此，如步驟5b所示，并非能夠在第二鏈路建立1904期間使用第二anonce，sta302可等待或懇求經(jīng)由信標(biāo)或探測響應(yīng)的新anonce(例如，anonce[y])。新anonce隨后可用于發(fā)起第二鏈路建立1904。在第二鏈路建立1904期間，sta302可從ap304接收另一anonce(例如，anonce[y+1])以供后續(xù)第三鏈路建立中使用。

因此，在圖19-20中描述的實施例可以向移動設(shè)備提供“下一個anonce”，以使得后續(xù)鏈路建立可被更快執(zhí)行并且可消耗更少功率。另外，應(yīng)當(dāng)注意，為便于解說，圖19-20的實施例可能沒有包括鏈路建立中所涉及的所有消息收發(fā)。例如，未示出與dhcp操作有關(guān)的消息收發(fā)以及ap304與as308之間的消息收發(fā)。

圖21是示出可在圖19-20的sta302處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程2100的流程圖。在2102，移動設(shè)備可使用第一anonce發(fā)起與接入點的第一鏈路建立。第一anonce可從存儲器中檢索、和/或經(jīng)由信標(biāo)或探測響應(yīng)從接入點接收。前進至2104，移動設(shè)備可在與接入點的第一鏈路建立期間接收第二anonce，以供在與接入點的后續(xù)第二鏈路建立中使用。第二anonce可在關(guān)聯(lián)響應(yīng)和/或eapol消息中被接收。例如，參考圖19-20，sta302可使用第一anonce(例如，anonce[x])發(fā)起第一鏈路建立1902，并且可在第一鏈路建立1902期間接收第二anonce(例如，anonce[x+1])。

繼續(xù)至2106，移動設(shè)備可確定第二anonce是否有效。例如，移動設(shè)備可在發(fā)起第二鏈路建立之前作出這樣的確定。為進行解說，移動設(shè)備可使用連同第二anonce一起發(fā)送的定時器或預(yù)配置的定時器來確定第二anonce是否有效。當(dāng)?shù)诙nonce被確定為有效時，在2108，移動設(shè)備可使用第二anonce發(fā)起第二鏈路建立。例如，參考圖19，sta302可使用第二anonce(例如，anonce[x+1])發(fā)起第二鏈路建立1904。

當(dāng)?shù)诙nonce被確定為無效時，在2110，移動設(shè)備可從接入點接收新anonce。新anonce可在信標(biāo)或探測響應(yīng)中被接收。行進至2112，移動設(shè)備可使用新anonce發(fā)起與接入點的鏈路建立。例如，參考圖20，移動設(shè)備可對該鏈路建立使用新anonce(例如，anonce[y])。

圖22是示出可在圖19-20的ap304處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程2200的流程圖。在2202，接入點可將第一anonce發(fā)送至移動設(shè)備。第一anonce可在發(fā)起使用第一anonce的第一鏈路建立之前被發(fā)送。前進至2204，接入點可在第一鏈路建立期間向移動設(shè)備發(fā)送第二anonce，以供在與移動設(shè)備的后續(xù)第二鏈路建立中使用。例如，參考圖19-20，在使用第一anonce(例如，anonce[x])的第一鏈路建立1902期間，ap304可向sta302發(fā)送第二anonce(例如，anonce[x+1])以供在后續(xù)第二鏈路建立1904中使用。

圖23是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的圖示。具體而言，圖23解說使用“臨時”密鑰(例如，ptk)進行鏈路建立期間的上層信令保護。由于上層信令消息(在sta302與認(rèn)證服務(wù)器308之間)具有內(nèi)置安全保護，因此上層信令消息可使用“較弱的”anonce(例如，具有較低安全性質(zhì)的anonce)來保護，這可允許更快的信令規(guī)程用于關(guān)聯(lián)?！拜^強的”anonce與上層信令并行地被導(dǎo)出，并且被用于如本文描述的進一步數(shù)據(jù)傳遞。

圖23中解說的所選消息和操作可與圖4-11中解說的消息和操作相對應(yīng)，其中具有以下修改。如步驟2所示，ap304可將第一anonce(例如，anonce1)發(fā)送至sta302。如步驟3a所示，sta302可基于anonce1和sta302的snonce導(dǎo)出第一ptk(例如，ptk1)。在步驟4，sta302可將關(guān)聯(lián)請求發(fā)送至ap304。關(guān)聯(lián)請求可包括snonce并且可使用ptk1來保護。為進行解說，關(guān)聯(lián)請求可使用從ptk1導(dǎo)出的第一密鑰確認(rèn)密鑰(kck1)來保護。

在步驟8a，ap304可基于anonce1和關(guān)聯(lián)請求中所包括的snonce來導(dǎo)出ptk1。在步驟12，ap可生成第二anonce(例如，anonce2)，并且可基于anonce2和snonce來導(dǎo)出第二ptk(例如，ptk2)。在步驟13，ap304可將關(guān)聯(lián)響應(yīng)發(fā)送至sta302，其中該關(guān)聯(lián)響應(yīng)包括anonce2并且使用ptk2來保護。為進行解說，關(guān)聯(lián)響應(yīng)可使用基于ptk2導(dǎo)出的kck和密鑰加密密鑰(kek)來保護。在步驟14，sta302可基于snonce和anonce2生成ptk2以完成鏈路建立。ptk2可被sta302和ap304用來保護sta302與ap304之間所傳達的后續(xù)消息(例如，數(shù)據(jù)消息)。

因此，不同于圖16中解說的消息流(其涉及不受保護的關(guān)聯(lián)請求的傳輸)，圖23的消息流使用“臨時”ptk1來保護關(guān)聯(lián)請求。將注意到，盡管ptk1是使用可能為多個sta所知的anonce(例如，可經(jīng)由信標(biāo)將anonce1廣播到多個sta)來生成的，但僅僅一條消息(關(guān)聯(lián)請求)是使用“臨時”密鑰ptk1來保護的。各后續(xù)消息(包括sta302與ap304之間的關(guān)聯(lián)響應(yīng)和數(shù)據(jù)消息)是使用不同的密鑰ptk2來保護的。圖23的消息流因此在ap不被“知道”或不被“信任”(諸如在公共接入?yún)^(qū)域)的情形中可以是優(yōu)選的。

圖24是示出可在站(諸如，如圖23解說的傳達和處理消息的sta302)處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程2400的流程圖。在2402，移動設(shè)備(例如，sta302)可從接入點(例如，ap304)接收第一anonce(例如，anonce1)。前進至2404，移動設(shè)備可使用第一anonce生成第一ptk(例如，ptk1)。繼續(xù)至2406，移動設(shè)備可將關(guān)聯(lián)請求發(fā)送至接入點。關(guān)聯(lián)請求可包括snonce并且可使用第一ptk來保護。

在2408，移動設(shè)備可從接入點接收關(guān)聯(lián)響應(yīng)。關(guān)聯(lián)響應(yīng)可包括第二anonce(例如，anonce2)并且可使用第二ptk(例如，ptk2)來保護。前進至2410，移動設(shè)備可使用第二anonce和snonce生成第二ptk。繼續(xù)至2412，移動設(shè)備可使用第二ptk來保護要發(fā)送至接入點的一條或多條后續(xù)消息。

圖25是示出可在接入點(諸如，如圖23解說的傳達和處理消息的ap304)處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程2500的流程圖。在2502，接入點(例如，ap304)可將第一anonce(例如，anonce1)發(fā)送至移動設(shè)備(例如，sta302)。例如，第一anonce可經(jīng)由單播探測響應(yīng)或廣播信標(biāo)來發(fā)送。前進至2504，接入點可從移動設(shè)備接收關(guān)聯(lián)請求。關(guān)聯(lián)請求可包括snonce并且可使用第一ptk(例如，ptk1)來保護。在2506，接入點可基于第一anonce和snonce生成第一ptk。

繼續(xù)至2508，接入點可生成第二anonce(例如，anonce2)，并且可基于第二anonce和snonce生成第二ptk(例如，ptk2)。在2510，接入點可將關(guān)聯(lián)響應(yīng)發(fā)送至移動設(shè)備。關(guān)聯(lián)響應(yīng)可包括第二anonce并且可使用第二ptk來保護。

圖26是解說可根據(jù)鏈路建立和認(rèn)證的其他方面來執(zhí)行的消息收發(fā)的圖示。具體而言，圖26解說使用anonce種子來生成anonce。

圖26中解說的所選消息和操作可與圖4-11中解說的消息和操作相對應(yīng)，其中具有以下修改。如步驟2所示，ap304可在信標(biāo)或探測響應(yīng)中將anonce種子發(fā)送至sta302。在一個特定實施例中，anonce種子是由ap304頻繁更新的64位密碼種子值。在一個特定實施例中，anonce種子(例如，在信標(biāo)中)被廣播到多個sta。如步驟3所示，sta302可使用anonce種子來生成設(shè)備專有anonce。在一個特定實施例中，通過對anonce種子以及對于sta302是唯一的和/或描述sta302的值(例如，sta302的mac地址或與sta302相關(guān)聯(lián)的某一其他值)執(zhí)行一函數(shù)(例如，散列函數(shù))來生成anonce。將理解，與廣播到多個sta的anonce不同，在步驟3中生成的anonce對于sta302可以是唯一的。sta302可基于所生成的anonce來執(zhí)行與ap304的鏈路建立。

在步驟8a，ap304可基于anonce種子以及sta302的mac地址來導(dǎo)出anonce。例如，sta302的mac地址可由ap304從步驟4中所發(fā)送的關(guān)聯(lián)響應(yīng)中檢索。在生成anonce之后，ap304可執(zhí)行并且完成與sta302的鏈路建立。

將注意到，與其他握手技術(shù)不同，圖26的實施例涉及sta302在ap304之前生成anonce。然而，為保留后向兼容性，根據(jù)圖26的anonce種子技術(shù)所生成的anonce可共享與握手技術(shù)中各anonce類似的性質(zhì)。例如，anonce對于sta302可以是唯一的，anonce和/或anonce種子可按“明文”(例如，使用如步驟2所示的信標(biāo)或探測響應(yīng)消息或如步驟4所示的eapol密鑰消息)發(fā)送，并且anonce在由ap304傳送之前可能不是未經(jīng)授權(quán)的設(shè)備可預(yù)測的。

圖27是示出可在站(諸如，如圖26解說的傳達和處理消息的sta302)處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程2700的流程圖。在2702，移動設(shè)備(例如，sta302)可從接入點(例如，ap304)接收anonce種子。前進至2704，移動設(shè)備可基于anonce種子和移動設(shè)備的mac地址來生成anonce。繼續(xù)至2706，移動設(shè)備可基于所生成的anonce來執(zhí)行與接入點的鏈路建立。

圖28是示出可在接入點(諸如，如圖26解說的傳達和處理消息的ap304)處操作以執(zhí)行鏈路建立和認(rèn)證的示例性過程2800的流程圖。在2802，接入點(例如，ap304)可將anonce種子發(fā)送至移動設(shè)備(例如，sta302)。前進至2804，接入點可接收移動設(shè)備的mac地址。例如，mac地址可被包括在來自移動設(shè)備的消息(諸如，關(guān)聯(lián)請求)中。繼續(xù)至2806，接入點可基于anonce種子和移動設(shè)備的mac地址來生成anonce。在2808，接入點可通過將移動設(shè)備所報告的anonce與接入點所計算出的anonce相比較來驗證移動設(shè)備的真實性。如果移動設(shè)備通過驗證，則接入點可基于所生成的anonce來執(zhí)行與移動設(shè)備的鏈路建立。

應(yīng)當(dāng)注意到，盡管各個實施例和選項可能在本文中被描述為替換方案，但來自不同實施例和選項的不同特征可被組合以執(zhí)行鏈路建立和認(rèn)證。

本文描述的各種技術(shù)可應(yīng)用于基于拉取和基于推送的數(shù)據(jù)場景。例如，參考圖16-18描述的經(jīng)修改的4路握手以及參考圖19-22描述的“下一個”anonce技術(shù)可應(yīng)用于基于拉取和基于推送的數(shù)據(jù)場景。由移動設(shè)備執(zhí)行的一個或多個應(yīng)用(諸如，電子郵件和社交聯(lián)網(wǎng)應(yīng)用)可周期性地檢查數(shù)據(jù)更新。經(jīng)修改的4路握手或“下一個”anonce技術(shù)可以使此類數(shù)據(jù)更新拉取能夠更快地且移動設(shè)備處的電池消耗降低地發(fā)生。作為另一示例，移動設(shè)備處的(諸)應(yīng)用可被配置成(例如，從服務(wù)器)接收經(jīng)推送的數(shù)據(jù)更新。數(shù)據(jù)更新的初始部分可在蜂窩連接上被接收。然而，數(shù)據(jù)更新的其余部分可以(例如，通過wifi)來更快地接收和/或以降低的電池消耗來接收，因為數(shù)據(jù)更新的初始部分觸發(fā)了使用如本文描述的經(jīng)修改的4路握手或“下一個”anonce技術(shù)的快速初始鏈路建立。參考圖23-25描述的臨時ptk技術(shù)以及參考圖26-28描述的anonce種子技術(shù)也可用于此類基于拉取和基于推送的數(shù)據(jù)場景中。

結(jié)合所描述的各實施例，第一設(shè)備可包括用于將不受保護的關(guān)聯(lián)請求從移動設(shè)備發(fā)送至接入點的裝置。例如，用于發(fā)送的裝置可包括：sta106-110的一個或多個組件、無線控制器240、天線242、sta302的一個或多個組件、被配置成發(fā)送不受保護的關(guān)聯(lián)請求的一個或多個其他設(shè)備、或其任何組合。第一設(shè)備還可包括用于從接入點接收關(guān)聯(lián)響應(yīng)的裝置，其中該關(guān)聯(lián)響應(yīng)包括anonce。例如，用于接收的裝置可包括：sta106-110的一個或多個組件、無線控制器240、天線242、sta302的一個或多個組件、被配置成接收關(guān)聯(lián)響應(yīng)的一個或多個其他設(shè)備、或其任何組合。第一設(shè)備可進一步包括用于在移動設(shè)備處使用anonce來生成ptk的裝置。例如，用于生成的裝置可包括：sta106-110的一個或多個組件、處理器210、sta302的一個或多個組件、被配置成生成ptk的一個或多個其他設(shè)備、或其任何組合。

第二設(shè)備可包括用于在接入點處從移動設(shè)備接收不受保護的關(guān)聯(lián)請求的裝置。例如，用于接收不受保護的關(guān)聯(lián)請求的裝置可包括：ap102的一個或多個組件、ap304的一個或多個組件、被配置成接收不受保護的關(guān)聯(lián)請求的一個或多個其他設(shè)備(例如，ap的無線控制器和/或天線)、或其任何組合。第二設(shè)備還可包括用于從該不受保護的關(guān)聯(lián)請求提取發(fā)起消息的裝置。例如，用于提取的裝置可包括：ap102的一個或多個組件、ap304的一個或多個組件、被配置成提取發(fā)起消息的一個或多個其他設(shè)備(例如，ap的處理器)、或其任何組合。第二設(shè)備可進一步包括用于將該發(fā)起消息發(fā)送至as的裝置。例如，用于發(fā)送該發(fā)起消息的裝置可包括：ap102的一個或多個組件、ap304的一個或多個組件、被配置成發(fā)送發(fā)起消息的一個或多個其他設(shè)備(例如，ap的無線控制器和/或天線)、或其任何組合。

第二設(shè)備可包括用于從as接收應(yīng)答消息的裝置，其中該應(yīng)答消息包括rmsk。例如，用于接收應(yīng)答消息的裝置可包括：ap102的一個或多個組件、ap304的一個或多個組件、被配置成接收應(yīng)答消息的一個或多個其他設(shè)備(例如，ap的無線控制器和/或天線)、或其任何組合。第二設(shè)備還可包括用于生成anonce的裝置。例如，用于生成的裝置可包括：ap102的一個或多個組件、ap304的一個或多個組件、被配置成生成anonce的一個或多個其他設(shè)備(例如，ap的處理器)、或其任何組合。第二設(shè)備可進一步包括用于將關(guān)聯(lián)響應(yīng)從接入點發(fā)送至移動設(shè)備的裝置，其中該關(guān)聯(lián)響應(yīng)包括anonce。例如，用于發(fā)送該關(guān)聯(lián)響應(yīng)的裝置可包括：ap102的一個或多個組件、ap304中的一個或多個組件、被配置成發(fā)送關(guān)聯(lián)響應(yīng)的一個或多個其他設(shè)備(例如，ap的無線控制器和/或天線)、或其任何組合。

第三設(shè)備可包括用于在移動設(shè)備處使用第一anonce發(fā)起與接入點的第一鏈路建立的裝置。例如，用于發(fā)起的裝置可包括：sta106-110的一個或多個組件、處理器210、sta302的一個或多個組件、被配置成發(fā)起鏈路建立的一個或多個其他設(shè)備、或其任何組合。第三設(shè)備還可包括用于在與接入點的第一鏈路建立期間接收第二anonce以供在第一鏈路建立之后與接入點的第二鏈路建立中使用的裝置。例如，用于接收的裝置可包括：sta106-110的一個或多個組件、無線控制器240、天線242、sta302的一個或多個組件、被配置成接收anonce的一個或多個其他設(shè)備、或其任何組合。

第四設(shè)備可包括用于在使用第一anonce的第一鏈路建立期間將第二anonce從接入點發(fā)送至移動設(shè)備以供在第一鏈路建立之后與移動設(shè)備的第二鏈路建立中使用的裝置。例如，用于發(fā)送第二anonce的裝置可包括：ap102的一個或多個組件、ap304中的一個或多個組件、被配置成發(fā)送anonce的一個或多個其他設(shè)備(例如，ap的無線控制器和/或天線)、或其任何組合。第四設(shè)備還可包括用于在發(fā)起第一鏈路建立之前經(jīng)由信標(biāo)或探測響應(yīng)將第一anonce發(fā)送至移動設(shè)備的裝置，其中第二anonce與第一anonce不同。例如，用于發(fā)送第一anonce的裝置可包括：ap102的一個或多個組件、ap304的一個或多個組件、被配置成發(fā)送anonce的一個或多個其他設(shè)備(例如，ap的無線控制器和/或天線)、或其任何組合。

第五設(shè)備可包括在移動設(shè)備處從接入點接收第一anonce的裝置。例如，用于接收的裝置可包括：sta106-110的一個或多個組件、無線控制器240、天線242、sta302的一個或多個組件、被配置成接收anonce的一個或多個其他設(shè)備、或其任何組合。該設(shè)備還可包括用于使用第一anonce來生成第一ptk的裝置。例如，用于生成的裝置可包括：sta106-110的一個或多個組件、處理器210、sta302的一個或多個組件、被配置成生成ptk的一個或多個其他設(shè)備、或其任何組合。第一anonce可被視為“弱”anonce，例如由于其在信標(biāo)中被廣播到多個sta或由于其值是可預(yù)測的。然而，因為上層信令消息中嵌入的隱式安全性，所以使用此類“弱”anonce是可接受的。此外，如本文描述的，第二“較強的”anonce可被導(dǎo)出并用于進一步的數(shù)據(jù)傳遞。

該設(shè)備可進一步包括用于將關(guān)聯(lián)請求發(fā)送至接入點的裝置，其中該關(guān)聯(lián)請求包括snonce并且使用第一ptk來保護。例如，用于發(fā)送的裝置可包括：sta106-110的一個或多個組件、無線控制器240、天線242、sta302的一個或多個組件、被配置成發(fā)送關(guān)聯(lián)請求的一個或多個其他設(shè)備、或其任何組合。

該設(shè)備可包括用于在移動設(shè)備處從接入點接收關(guān)聯(lián)響應(yīng)的裝置，其中該關(guān)聯(lián)響應(yīng)包括第二anonce并且使用第二ptk來保護。例如，用于接收的裝置可包括：sta106-110的一個或多個組件、無線控制器240、天線242、sta302的一個或多個組件、被配置成接收關(guān)聯(lián)響應(yīng)的一個或多個其他設(shè)備、或其任何組合。第二anonce可被視為“強”anonce。

該設(shè)備還可包括用于在移動設(shè)備處使用第二anonce和snonce來生成第二ptk的裝置。例如，用于生成的裝置可包括：sta106-110的一個或多個組件、處理器210、sta302的一個或多個組件、被配置成生成ptk的一個或多個其他設(shè)備、或其任何組合。該設(shè)備可進一步包括用于使用第二ptk來保護要從移動設(shè)備發(fā)送至接入點的至少一條后續(xù)消息的裝置。例如，用于使用的裝置可包括：sta106-110的一個或多個組件、處理器210、sta302的一個或多個組件、被配置成保護消息的一個或多個其他設(shè)備、或其任何組合。

第六設(shè)備可包括用于將第一anonce從接入點發(fā)送至移動設(shè)備的裝置。例如，用于發(fā)送的裝置可包括：ap102的一個或多個組件、ap304的一個或多個組件、被配置成發(fā)送anonce的一個或多個其他設(shè)備、或其任何組合。該設(shè)備還可包括用于從移動設(shè)備接收關(guān)聯(lián)請求的裝置，其中該關(guān)聯(lián)請求包括snonce并且使用第一ptk來保護。例如，用于接收的裝置可包括：ap102的一個或多個組件、ap304的一個或多個組件、被配置成接收關(guān)聯(lián)請求的一個或多個其他設(shè)備、或其任何組合。

該設(shè)備可進一步包括用于在接入點處基于第一anonce和snonce來生成第一ptk的裝置。例如，用于生成的裝置可包括：ap102的一個或多個組件、ap304的一個或多個組件、被配置成生成ptk的一個或多個其他設(shè)備、或其任何組合。該設(shè)備可包括用于生成第二anonce的裝置。例如，用于生成第二anonce的裝置可包括：ap102的一個或多個組件、ap304的一個或多個組件、被配置成生成anonce的一個或多個其他設(shè)備、或其任何組合。該設(shè)備還可包括用于基于第二anonce和snonce來生成第二ptk的裝置。例如，用于生成的裝置可包括：ap102的一個或多個組件、ap304的一個或多個組件、被配置成生成ptk的一個或多個其他設(shè)備、或其任何組合。

該設(shè)備可進一步包括用于將關(guān)聯(lián)響應(yīng)發(fā)送至移動設(shè)備的裝置，其中該關(guān)聯(lián)響應(yīng)包括第二anonce并且使用第二ptk來保護。例如，用于發(fā)送的裝置可包括：ap102的一個或多個組件、ap304的一個或多個組件、被配置成發(fā)送關(guān)聯(lián)響應(yīng)的一個或多個其他設(shè)備、或其任何組合。

第七設(shè)備可包括在移動設(shè)備處從接入點接收anonce種子的裝置。anonce種子可(例如，經(jīng)由信標(biāo))被廣播到多個設(shè)備。例如，用于接收anonce種子的裝置可包括：sta106-110的一個或多個組件、無線控制器240、天線242、sta302的一個或多個組件、被配置成接收anonce種子的一個或多個其他設(shè)備、或其任何組合。該設(shè)備還可包括用于在移動設(shè)備處基于anonce種子以及移動設(shè)備的mac地址來生成anonce的裝置。例如，用于生成的裝置可包括：sta106-110的一個或多個組件、處理器210、sta302的一個或多個組件、被配置成生成anonce的一個或多個其他設(shè)備、或其任何組合。

該設(shè)備可進一步包括用于基于所生成的anonce來執(zhí)行與接入點的鏈路建立的裝置。例如，用于執(zhí)行的裝置可包括：sta106-110的一個或多個組件、處理器210、sta302的一個或多個組件、被配置成執(zhí)行鏈路建立的一個或多個其他設(shè)備、或其任何組合。

第八設(shè)備可包括用于將anonce種子從接入點發(fā)送至移動設(shè)備的裝置。例如，用于發(fā)送的裝置可包括：ap102的一個或多個組件、ap304的一個或多個組件、被配置成發(fā)送anonce種子的一個或多個其他設(shè)備、或其任何組合。

該設(shè)備還可包括用于接收移動設(shè)備的mac地址的裝置。例如，用于接收的裝置可包括：ap102的一個或多個組件、ap304的一個或多個組件、被配置成接收mac地址的一個或多個其他設(shè)備、或其任何組合。該設(shè)備可進一步包括用于基于anonce種子和移動設(shè)備的mac地址來生成anonce的裝置。例如，用于生成的裝置可包括：ap102的一個或多個組件、ap304的一個或多個組件、被配置成生成anonce的一個或多個其他設(shè)備、或其任何組合。

該設(shè)備可包括用于基于所生成的anonce來執(zhí)行與移動設(shè)備的鏈路建立的裝置。例如，用于執(zhí)行的裝置可包括：ap102的一個或多個組件、ap304的一個或多個組件、被配置成執(zhí)行鏈路建立的一個或多個其他設(shè)備、或其任何組合。

提供前面對所公開的實施例的描述是為了使本領(lǐng)域技術(shù)人員皆能制作或使用所公開的實施例。對這些實施例的各種修改對于本領(lǐng)域技術(shù)人員而言將是顯而易見的，并且本文中定義的原理可被應(yīng)用于其他實施例而不會脫離本公開的范圍。因此，本公開并非旨在被限定于本文中公開的實施例，而是應(yīng)被授予與如由所附權(quán)利要求定義的原理和新穎性特征一致的最廣的可能范圍。

本文描述的各元素可包括同一元素的多個實例。這些元素可由數(shù)字標(biāo)號(例如，110)來一般地指示，并且可由跟有字母標(biāo)號的數(shù)字指示符(例如，110a)或之前有“破折號”的數(shù)字指示符(例如，110-1)來具體地指示。為了便于跟上描述，絕大部分元素數(shù)字指示符以介紹或最全面地描述這些元素的圖的編號開始。

應(yīng)當(dāng)理解，本文中使用諸如“第一”、“第二”等指定對元素的任何引述并不限制這些元素的量或次序，除非顯式陳述此類限制。相反，這些指定可在本文中用作區(qū)別兩個或更多個元素或者元素實例的便捷方法。因此，對第一元素和第二元素的引述并不意味著此處可采用僅兩個元素或者第一元素必須以某種方式位于第二元素之前。另外，除非另行說明，否則元素集可包括一個或更多個元素。

除非在本文中另行指出，否則所示出和所描述的具體實現(xiàn)僅僅是示例并且不應(yīng)解釋成用于實現(xiàn)本公開的僅有的方式。本領(lǐng)域普通技術(shù)人員將容易明白，本公開中的各個示例可通過眾多其它劃分系統(tǒng)來實踐。

本領(lǐng)域普通技術(shù)人員將可理解，信息和信號可使用各種不同技術(shù)和技藝中的任一種來表示。例如，貫穿本描述可能述及的數(shù)據(jù)、指令、命令、信息、信號、位、碼元、和碼片可由電壓、電流、電磁波、磁場或磁粒子、光場或光粒子、或其任何組合來表示。為了陳述和描述的清楚性，一些附圖可能將諸信號解說為單個信號。本領(lǐng)域普通技術(shù)人員將理解，信號可表示信號總線，其中該總線可具有各種各樣的位寬并且本公開可在任何數(shù)目的數(shù)據(jù)信號上實現(xiàn)，包括單個數(shù)據(jù)信號。

在該描述中，元件、電路、和功能可能以框圖形式示出以免將本公開湮沒在不必要的細(xì)節(jié)中。相反，除非在本文中另行指出，否則所示出和所描述的具體實現(xiàn)僅僅是示例性的并且不應(yīng)解釋成用于實現(xiàn)本公開的僅有的方式。另外，塊定義和各個塊之間的邏輯劃分對于具體實現(xiàn)是示例性的。本領(lǐng)域普通技術(shù)人員將容易明白，本公開可通過眾多其它劃分系統(tǒng)來實踐。對于大部分而言，涉及時序考量及諸如此類的細(xì)節(jié)已被省略，其中此類細(xì)節(jié)對于獲得對本公開的完整理解并不是必需的且在相關(guān)領(lǐng)域普通技術(shù)人員的能力之內(nèi)。

本文描述的以及附圖中解說的一個或更多個組件、動作、特征、和/或功能可以被重新安排和/或組合成單個組件、動作、特征、或功能，或?qū)嵤┰跀?shù)個組件、動作、特征、或功能中。還可添加附加的元件、組件、動作、和/或功能而不會脫離本發(fā)明。本文中描述的算法也可以高效地實現(xiàn)在軟件中和/或嵌入在硬件中。

還應(yīng)注意，這些實施例可能是作為被描繪為流程圖、流圖、結(jié)構(gòu)圖、或框圖的過程來描述的。盡管流程圖可能會把諸操作描述為順序過程，但是這些操作中有許多能夠并行或并發(fā)地執(zhí)行。另外，這些操作的次序可以被重新安排。過程在其操作完成時終止。過程可對應(yīng)于方法、函數(shù)、規(guī)程、子例程、子程序等。當(dāng)過程對應(yīng)于函數(shù)時，它的終止對應(yīng)于該函數(shù)返回調(diào)用方函數(shù)或主函數(shù)。

此外，存儲介質(zhì)可表示用于存儲數(shù)據(jù)的一個或多個設(shè)備，包括只讀存儲器(rom)、隨機存取存儲器(ram)、磁盤存儲介質(zhì)、光學(xué)存儲介質(zhì)、閃存設(shè)備和/或其他用于存儲信息的機器可讀介質(zhì)、以及處理器可讀介質(zhì)、和/或計算機可讀介質(zhì)。術(shù)語“機器可讀介質(zhì)”、“計算機可讀介質(zhì)”和/或“處理器可讀介質(zhì)”可包括，但不限于非瞬態(tài)介質(zhì)，諸如便攜或固定的存儲設(shè)備、光存儲設(shè)備、以及能夠存儲、包含或承載指令和/或數(shù)據(jù)的各種其它介質(zhì)。因此，本文中描述的各種方法可全部或部分地由可存儲在“機器可讀介質(zhì)”、“計算機可讀介質(zhì)”和/或“處理器可讀介質(zhì)”中并由一個或更多個處理器、機器和/或設(shè)備執(zhí)行的指令和/或數(shù)據(jù)來實現(xiàn)。

此外，諸實施例可以由硬件、軟件、固件、中間件、微代碼、或其任何組合來實現(xiàn)。當(dāng)在軟件、固件、中間件或微碼中實現(xiàn)時，執(zhí)行必要任務(wù)的程序代碼或代碼段可被存儲在諸如存儲介質(zhì)之類的機器可讀介質(zhì)或其它存儲中。處理器可以執(zhí)行這些必要的任務(wù)。代碼段可表示規(guī)程、函數(shù)、子程序、程序、例程、子例程、模塊、軟件包、類，或是指令、數(shù)據(jù)結(jié)構(gòu)、或程序語句的任何組合。通過傳遞和/或接收信息、數(shù)據(jù)、自變量、參數(shù)、或存儲器內(nèi)容，一代碼段可被耦合到另一代碼段或硬件電路。信息、自變量、參數(shù)、數(shù)據(jù)等可以經(jīng)由包括存儲器共享、消息傳遞、令牌傳遞、網(wǎng)絡(luò)傳輸?shù)鹊娜魏魏线m的手段被傳遞、轉(zhuǎn)發(fā)、或傳輸。

結(jié)合本文中公開的示例描述的各個解說性邏輯塊、模塊、電路、元件和/或組件可用通用處理器、數(shù)字信號處理器(dsp)、專用集成電路(asic)、現(xiàn)場可編程門陣列(fpga)或其他可編程邏輯組件、分立的門或晶體管邏輯、分立的硬件組件、或其設(shè)計成執(zhí)行本文中描述的功能的任何組合來實現(xiàn)或執(zhí)行。通用處理器可以是微處理器，但替換地，處理器可以是任何常規(guī)的處理器、控制器、微控制器、或狀態(tài)機。處理器還可以實現(xiàn)為計算組件的組合，例如dsp與微處理器的組合、數(shù)個微處理器、與dsp核心協(xié)作的一個或多個微處理器、或任何其他此類配置。配置成用于執(zhí)行本文描述的實施例的通用處理器被認(rèn)為是執(zhí)行此類實施例的專用處理器。類似地，通用計算機在配置成用于執(zhí)行本文描述的實施例時被認(rèn)為是專用計算機。

結(jié)合本文中公開的示例描述的方法或算法可直接在硬件中、在能由處理器執(zhí)行的軟件模塊中、或在這兩者的組合中以處理單元、編程指令、或其他指示的形式實施，并且可包含在單個設(shè)備中或跨多個設(shè)備分布。軟件模塊可駐留在ram存儲器、閃存、rom存儲器、eprom存儲器、eeprom存儲器、寄存器、硬盤、可移動盤、cd-rom、或本領(lǐng)域中所知的任何其他形式的存儲介質(zhì)中。存儲介質(zhì)可耦合到處理器以使得該處理器能從/向該存儲介質(zhì)讀寫信息。替換地，存儲介質(zhì)可以被整合到處理器。

例如，sta功能性可使用存儲在處理器可讀介質(zhì)上的指令來實現(xiàn)。一種特定介質(zhì)可存儲指令，這些指令可被執(zhí)行以使處理器生成將由移動設(shè)備發(fā)送至接入點的不受保護的關(guān)聯(lián)請求。這些指令還可被執(zhí)行以使處理器使用從來自接入點的關(guān)聯(lián)響應(yīng)中檢索的anonce來生成ptk。另一種特定介質(zhì)可存儲指令，這些指令可由處理器執(zhí)行以在移動設(shè)備處使用第一anonce發(fā)起與接入點的第一鏈路建立。這些指令還可被執(zhí)行以使處理器在與接入點的第一鏈路建立期間接收第二anonce以供在第一鏈路建立之后與接入點的第二鏈路建立中使用。

作為另一示例，ap功能性可使用存儲在處理器可讀介質(zhì)上的指令來實現(xiàn)。例如，一種特定介質(zhì)可存儲指令，這些指令可被執(zhí)行以使處理器從自移動設(shè)備接收到的不受保護的關(guān)聯(lián)請求中提取發(fā)起消息。這些指令還可被執(zhí)行以使處理器從響應(yīng)于該發(fā)起消息自認(rèn)證服務(wù)器接收到的應(yīng)答消息中提取rmsk。這些指令可進一步被執(zhí)行以使處理器生成anonce并且生成要發(fā)送至移動設(shè)備的關(guān)聯(lián)響應(yīng)，其中該關(guān)聯(lián)響應(yīng)包括anonce。另一種特定介質(zhì)可存儲指令，這些指令可由處理器執(zhí)行以在使用第一anonce的第一鏈路建立期間將第二anonce從接入點發(fā)送至移動設(shè)備以供在第一鏈路建立之后與移動設(shè)備的第二鏈路建立中使用。

本領(lǐng)域技術(shù)人員將可進一步領(lǐng)會，結(jié)合本文中公開的實施例描述的各種解說性邏輯塊、模塊、電路、和算法步驟可被實現(xiàn)為電子硬件、計算機軟件、或兩者的組合。為清楚地解說硬件與軟件的這一可互換性，各種解說性組件、框、模塊、電路、和步驟在上面是以其功能性的形式作一般化描述的。此類功能性是被實現(xiàn)為硬件、軟件還是其組合取決于具體應(yīng)用和加諸于整體系統(tǒng)的設(shè)計選擇。

本文中所描述的本發(fā)明的各種特征可實現(xiàn)于不同系統(tǒng)中而不脫離本發(fā)明。應(yīng)注意，以上實施例僅是示例，且不應(yīng)被解釋成限定本發(fā)明。這些實施例的描述旨在解說，而并非旨在限定權(quán)利要求的范圍。由此，本發(fā)明的教導(dǎo)可以現(xiàn)成地應(yīng)用于其他類型的裝置，并且許多替換、修改、和變形對于本領(lǐng)域技術(shù)人員將是顯而易見的。