知財求人 - 知財ポータルサイト「IP Force」
▶ ホアウェイ・テクノロジーズ・カンパニー・リミテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5866030
(24)【登録日】2016年1月8日
(45)【発行日】2016年2月17日
(54)【発明の名称】認証のためのシステムおよび方法
(51)【国際特許分類】
H04W 12/06 20090101AFI20160204BHJP
H04W 84/12 20090101ALI20160204BHJP
【FI】
H04W12/06
H04W84/12
【請求項の数】20
【全頁数】13
(21)【出願番号】特願2014-550631(P2014-550631)
(86)(22)【出願日】2013年1月6日
(65)【公表番号】特表2015-505647(P2015-505647A)
(43)【公表日】2015年2月23日
(86)【国際出願番号】CN2013070125
(87)【国際公開番号】WO2013102449
(87)【国際公開日】20130711
【審査請求日】2014年8月14日
(73)【特許権者】
【識別番号】504161984
【氏名又は名称】ホアウェイ・テクノロジーズ・カンパニー・リミテッド
(74)【代理人】
【識別番号】100146835
【弁理士】
【氏名又は名称】佐伯 義文
(74)【代理人】
【識別番号】100140534
【弁理士】
【氏名又は名称】木内 敬二
(72)【発明者】
【氏名】シェン・スン
(72)【発明者】
【氏名】シュム・クォク・オー
(72)【発明者】
【氏名】ユンボ・リ
【審査官】
望月 章俊
(56)【参考文献】
【文献】
Rob Sun et al.,Authentication Protocol for 11ai,IEEE 802.11-11/1488r0,米国,IEEE,2011年11月
【文献】
Robert Sun et al.,TGai FILS Authentication Protocol,IEEE 802.11-12/0039r2,米国,IEEE,2012年 1月
【文献】
Dan Harkins,Authentication Protocol for 11ai,IEEE 802.11-11/1488r0,米国,IEEE,2011年11月
(58)【調査した分野】(Int.Cl.,DB名)
H04W4/00−H04W99/00
H04B7/24−H04B7/26
3GPP TSG RAN WG1−4
SA WG1−2
CT WG1
(57)【特許請求の範囲】
【請求項1】
ファスト・イニシャル・リンク・セットアップ(FILS)認証を実行する方法であって、前記方法は、
基地局によって、開始フレームを受信するステップと、
前記基地局によって、FILS認証要求を送信するステップと、を具備し、
前記FILS認証要求は、
前記FILSを含むローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートと、
FILSハンドシェイクのためのセキュリティパラメータと、を具備する
方法。
基地局によって、開始フレームを受信するステップと、
前記基地局によって、FILS認証要求を送信するステップと、を具備し、
前記FILS認証要求は、
前記FILSを含むローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートと、
FILSハンドシェイクのためのセキュリティパラメータと、を具備する
方法。
【請求項2】
前記開始フレームは、ビーコンフレームを具備する請求項1に記載の方法。
【請求項3】
前記開始フレームは、プローブ応答を具備し、前記方法は、前記開始フレームを受信する前に、前記基地局によって、プローブ要求を送信するステップをさらに具備する請求項1に記載の方法。
【請求項4】
EAP認証プロトコル交換を実行するステップをさらに具備する請求項1に記載の方法。
【請求項5】
前記基地局によって、FILS認証のためにフォーマットされた第1認証応答メッセージを受信するステップであって、前記第1認証応答メッセージは、EAP認証情報を含む、ステップと、
前記基地局によって、アソシエーション要求を送信するステップと、
前記基地局によって、アソシエーション応答を受信するステップと、
をさらに具備する請求項1に記載の方法。
前記基地局によって、アソシエーション要求を送信するステップと、
前記基地局によって、アソシエーション応答を受信するステップと、
をさらに具備する請求項1に記載の方法。
【請求項6】
前記基地局によって、キー確認を送信するステップをさらに具備する請求項5に記載の方法。
【請求項7】
前記基地局によって、アクセスポイント(AP)と安全に通信するステップをさらに具備する請求項1に記載の方法。
【請求項8】
ペアワイズ・マスター・キー(PMK)を生成するステップをさらに具備する請求項1に記載の方法。
【請求項9】
ペアワイズ・トランジェント・キー(PTK)を導出するステップをさらに具備する請求項1に記載の方法。
【請求項10】
サーバによって、前記PTKをインストールするステップと、
前記サーバによって、グループ・テンポラル・キー(GTK)をインストールするステップと
をさらに具備する請求項9に記載の方法。
前記サーバによって、グループ・テンポラル・キー(GTK)をインストールするステップと
をさらに具備する請求項9に記載の方法。
【請求項11】
認証を実行するための方法であって、前記方法は、
アクセスポイントによって、認証要求を受信するステップと、
前記アクセスポイントによって、アクセス要求フレームを送信するステップと、を具備し、
前記認証要求は、
ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートと、
ファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータと、を具備する
方法。
アクセスポイントによって、認証要求を受信するステップと、
前記アクセスポイントによって、アクセス要求フレームを送信するステップと、を具備し、
前記認証要求は、
ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートと、
ファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータと、を具備する
方法。
【請求項12】
前記アクセスポイントによって、ビーコンフレームを送信するステップをさらに具備する請求項11に記載の方法。
【請求項13】
前記アクセスポイントによって、EAPメッセージを受信するステップをさらに具備し、前記EAPメッセージは、
承認メッセージと、
EAP成功メッセージと、
ペアワイズ・マスター・キー(PMK)と、を具備する請求項11に記載の方法。
承認メッセージと、
EAP成功メッセージと、
ペアワイズ・マスター・キー(PMK)と、を具備する請求項11に記載の方法。
【請求項14】
前記PMKを保存するステップと、
認可応答を生成するステップと、をさらに具備する請求項13に記載の方法。
認可応答を生成するステップと、をさらに具備する請求項13に記載の方法。
【請求項15】
前記アクセスポイントによって、前記
認可応答を送信するステップをさらに具備する請求項14に記載の方法。
認可応答を送信するステップをさらに具備する請求項14に記載の方法。
【請求項16】
前記アクセスポイントによって、アソシエーション要求を受信するステップと、
前記アクセスポイントによって、アソシエーション応答を送信するステップと、をさらに具備する請求項11に記載の方法。
前記アクセスポイントによって、アソシエーション応答を送信するステップと、をさらに具備する請求項11に記載の方法。
【請求項17】
ペアワイズ・トランジェント・キー(PTK)をインストールするステップと、
インテグリティ・グループ・テンポラル・キー(IGTK)をインストールするステップと、をさらに具備する請求項11に記載の方法。
インテグリティ・グループ・テンポラル・キー(IGTK)をインストールするステップと、をさらに具備する請求項11に記載の方法。
【請求項18】
前記アクセスポイントによって、基地局と安全に通信するステップをさらに具備する請求項11に記載の方法。
【請求項19】
プロセッサと、
前記プロセッサによって実行されるためのプログラムを記憶するコンピュータ可読記憶媒体と、を具備する基地局であって、前記プログラムは、
開始フレームを受信するための命令と、
認証要求を送信するための命令と、を含み、
前記認証要求は、
ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートと、
ファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータと、を具備する
基地局。
前記プロセッサによって実行されるためのプログラムを記憶するコンピュータ可読記憶媒体と、を具備する基地局であって、前記プログラムは、
開始フレームを受信するための命令と、
認証要求を送信するための命令と、を含み、
前記認証要求は、
ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートと、
ファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータと、を具備する
基地局。
【請求項20】
プロセッサと、
前記プロセッサによって実行されるためのプログラムを記憶するコンピュータ可読記憶媒体と、を具備するアクセスポイントであって、前記プログラムは、
認証要求を受信する命令と、
アクセス要求フレームを送信する命令と、を含み、
前記認証要求は、
ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートと、
ファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータと、を具備する
アクセスポイント。
前記プロセッサによって実行されるためのプログラムを記憶するコンピュータ可読記憶媒体と、を具備するアクセスポイントであって、前記プログラムは、
認証要求を受信する命令と、
アクセス要求フレームを送信する命令と、を含み、
前記認証要求は、
ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートと、
ファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータと、を具備する
アクセスポイント。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、発明の名称を「IEEE 802.11 TGAi FILS 認証プロトコルのためのシステムおよび方法」として2012年1月6日に出願された米国仮出願第61/583,856号、および発明の名称を「認証のためのシステムおよび方法」として2013年1月4日に出願された米国特許出願第13/734471号の優先権を主張し、両出願はその全体が複製されたかのように参照により本願に組みこまれる。
【0002】
本発明は、ワイヤレス通信のためのシステムおよび方法に関し、特に、認証(authentication)のためのシステムおよび方法に関する。
【背景技術】
【0003】
IEEE802.11は、ワイヤレス・ローカル・エリア・ネットワーク(WLAN)のようなワイヤレス・ローカル・エリア・ネットワークを実施するための一群の標準である。IEEE802.11は、同じ基本プロトコルを使用するエア変調技術(air modulation techniques)に関する一連の半二重(half−duplex)を含むプロトコルのファミリーである。前記プロトコルは、前記メディア・アクセス・コントロール(MAC)レイヤおよび前記物理(PHY)レイヤを定義する。
【0004】
IEEE802.11は、ローカル・エリア・ネットワーク(LAN)上での拡張認証プロトコル(EAP)(EAPOL)のカプセル化を定義するIEEE802.1xを取り込む。802.1xを用いる認証は、サプリカント(supplicant)(例えば、基地局)、認証局(authenticator)(例えば、アクセスポイント)、および認証サーバを含む。
【0005】
IEEE802.11iは、前記適切な暗号キーを確立および変更するために認証サービスおよびポート・アクセス・コントロールを利用する4方向ハンドシェイクおよびグループ・キー・ハンドシェイクを含むロバスト・セキュリティ・ネットワーク・アソシエーション(robust security network association)(RSNA)を提供する。
【発明の概要】
【課題を解決するための手段】
【0006】
認証を実行するための方法の1態様は、基地局によって、開始フレームを受信するステップと、前記基地局によって、認証要求を送信するステップと、を含む。前記認証要求は、ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートおよびファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータを含む。
【0007】
認証を実行するための方法の別の態様は、アクセスポイントによって、認証要求を受信するステップを含む。前記認証要求は、ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートおよびファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータを含む。また、前記方法は、前記アクセスポイントによって、アクセス要求フレームを送信するステップを含む。
【0008】
基地局の1態様は、プロセッサと、前記プロセッサによって実行されるためのプログラムを記憶するコンピュータ可読記憶媒体と、を含む。前記プログラムは、開始フレームを受信するとともに認証要求を送信するための命令を含む。前記認証要求は、ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートおよびファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータを含む。
【0009】
アクセスポイントの1態様は、プロセッサと、前記プロセッサによって実行されるためのプログラムを記憶するコンピュータ可読記憶媒体と、を含む。前記プログラムは、認証要求を受信するための命令を含む。前記認証要求は、ローカル・エリア・ネットワーク(LAN)上で動作する拡張認証プロトコル(EAP)(EAPOL)のスタートおよびファスト・イニシャル・リンク・セットアップ(FILS)・ハンドシェイクのためのセキュリティパラメータを含む。加えて、前記プログラムは、アクセス要求フレームを送信するための命令を含む。
【0010】
上記では、以下の本発明の詳細な説明をよりよく理解することができるように、本発明の実施形態の特徴をある程度大まかに概要を述べた。本発明の実施形態の追加の特徴および利点が以下に記載され、これは本発明の特許請求の範囲の主題を形成するものである。当業者には、開示される概念および特定の実施形態を、本発明の同じ目的を遂行するための他の構造またはプロセスを修正するまたは設計するための基準として容易に利用することができることが理解されるはずである。当業者には、そのような均等の構成が添付の特許請求の範囲に記載された本発明の趣旨および範囲から逸脱しないことも了解されるはずである。
【0011】
本発明および本発明の利点のより完全な理解のために、添付の図面を添えて以下の説明が参照される。
【図面の簡単な説明】
【0012】
【発明を実施するための形態】
【0013】
異なる図において対応する数字および記号は一般に、別段に規定されていない限り、対応する部分を指す。各図は、実施形態の関連する態様を明確に図示するように記載されており、必ずしも一定の縮尺で記載されていない。
【0014】
1または2以上の実施形態の例示的な具体例が以下で提供されるが、開示されるシステムおよび/または方法は、現在知られているかまたは既存であるかに関わらず、任意の数の技術を用いて実施されてもよいことが最初に理解されるべきである。本開示は、本明細書で図示され説明される例示的な設計および具体例を含む、以下で説明される例示的な具体例、図面、および技術を限定するものではなく、添付の特許請求の範囲に加えて均等物の全範囲内で変形されてもよい。
【0015】
ファスト・イニシャル・リンク・セットアップ(FILS)は、高速認証とアクセスポイントを基地局に関連付けることのためのMACレイヤプロトコルを用いて、基地局がアクセスポイント(AP)と接続するためにかかる時間を減らすことを意図されている。図1は、RSNAを実行するためのシステムを図示する。前記システムは、基地局(STA)102、アクセスポイント(AP)106、および認可(authorization)サーバ(AS)104を含む。基地局102は、ポリシー定義(policy decision)及びポリシー執行(policy enforcement)の両方を実行する。アクセスポイント106がポリシー執行を実行する間、認可サーバ104は、ポリシー定義を実行する。
【0016】
RSNA認証のためのステートマシンは、図2において図示される。前記ステートマシンは、状態264、状態266、状態267、および状態268を含む。状態264において、前記システムは、認証されずかつ関連付けられない。また、802.11認証に成功している場合、前記ステートマシンは、状態264から状態266へ遷移する。そして、前記ステートマシンが状態266であり、関連付け/再関連付けが成功するとともに、RSNAが要求される場合に、前記ステートマシンは、状態267へ遷移する。しかしながら、前記ステートマシンが状態266であり、関連付け/再関連付けが成功するとともに、RSNAが要求されないか、または、高速ベーシック・サービス・セット(fast basic service set)(BSS)遷移がある場合に、前記ステートマシンは、状態268へ遷移する。前記ステートマシンが、状態267である場合に、前記システムが、関連付けされていない(de−associated)か、または802.11認証に成功しているか、または、関連付け/再関連付けに成功していない場合に、前記ステートマシンは、状態266へ遷移する。加えて、前記ステートマシンが、状態267であり、4方向ハンドシェイクに成功した場合、前記ステートマシンは、状態268へ遷移する。また、前記ステートマシンが、状態268であるとき、関連付けされていないか、関連付け/再関連付けに成功していないか、802.11認証に成功している場合、前記ステートマシンは、状態266へ遷移する。前記ステートマシンが状態266、状態267、または状態268であり、かつ前記システムが認証されていない場合、前記ステートマシンは、状態264へ遷移する。
【0017】
図3a−bは、RSNA認証を実行するための方法を図示する。前記方法は、6つの段階を含む。段階1、2、および3は、図3aにおいて図示され、一方で、段階4、5、および6は、図3bにおいて図示される。前記方法が、段階1、段階2、段階3、段階4、および段階5を通して進行するように、前記ステートマシンは、状態264、状態266、状態267、および状態268を通して進行する。最初に、前記基地局および前記アクセスポイントは、認証されずかつ関連付けされておらず、かつ802.1xは、ブロックされている。段階1は、ネットワークおよびセキュリティ能力探索120を含む。前記アクセスポイントは、ステップ136において、開始フレームを前記基地局へ送信する。1実施形態において、ステップ136において、前記アクセスポイントは、ビーコンフレームを送信する。別の実施形態において、ステップ134における前記基地局によって前記アクセスポイントへ送信されたプローブ要求に応答して、ステップ136において前記アクセスポイントは、プローブ応答を送信する。
【0018】
そして、段階2において、802.11認証および関連付け122が実行される。ステップ138において、前記基地局は、802.11認証要求を前記アクセスポイントへ送信する。そして、ステップ140において、前記アクセスポイントは、802.11認証応答を前記基地局へ送信する。次に、ステップ142において、前記基地局は、アソシエーション要求を前記アクセスポイントへ送信する。その後、ステップ144において、前記アクセスポイントは、802.11アソシエーション応答を前記基地局へ送信する。
【0019】
関連付けされた802.1xのブロックされたセキュリティパラメータは、ステップ146において前記基地局内で認証されるとともに、ステップ148において前記アクセスポイント内で認証される。
【0020】
次に段階3において、EAP/802.1x/Radius認証124が、実行される。相互認証プロトコルは、EAP認証に基づいて実行される。前記アクセスポイントは、EAPメッセージを中継するために認証局として機能する。ステップ150において、前記基地局は、任意の方法で、EAPOLスタートを送信する。そして、ステップ152において、前記アクセスポイントは、EAPOL要求識別(EAPOL Request Identity)を前記基地局へ送信するとともに、ステップ154において、前記基地局は、前記EAPOL応答識別(EAPOL Response identity)を前記アクセスポイントへ送信する。その後、前記アクセスポイントは、ステップ156においてアクセスポイント・ラディウス(radius)要求を前記認証サーバへ送信する。前記認証サーバおよび前記基地局は、ステップ158において相互認証を実行する。次に、前記認証サーバは、ステップ160において、ラディウス受理信号を前記アクセスポイントへ送信するとともに、前記アクセスポイントは、ステップ162においてEPOL成功信号を前記基地局へ送信する。
【0021】
マスター・セッション・キー(MSK)は、ステップ164において前記基地局内で生成される。前記MSKは、ステップ168において、前記認証サーバ内でも生成される。加えて、前記ペアワイズ・マスター・キー(pairwise master key)(PMK)は、ステップ166において前記基地局内で生成される。また、前記PMKはステップ170において前記認証サーバ内で生成されるとともに、前記PMKは、ステップ172において前記認証サーバから前記アクセスポイントへ送信される。
【0022】
その後、段階4において、4方向ハンドシェイク126が実行される。前記基地局および前記アクセスポイントの両方は、前記認証されたPMKを用いて互いに信用することができる。ステップ174において、A−Nonce値は、前記アクセスポイントによって前記基地局へ送信される。前記基地局は、そのとき、ステップ176においてペアワイズ・トランジェント・キー(PTK)を構成する。次に、ステップ178において、前記基地局は、S−Nonce値を、認証を含むメッセージ認可コード(MIC)を用いて前記アクセスポイントへ送信する。その後、ステップ180において、前記アクセスポイントは、前記PTKおよび前記グループ・テンポラル・キー(GTK)を構築する。前記アクセスポイントは、ステップ182において、前記GTK、前記A−Nonce値、次のマルチキャストまたはブロードキャストフレームにおいて使用される連続した番号、および別のMICを送信する。ステップ184において、前記基地局は、受領通知を前記アクセスポイントへ送信する。
【0023】
次に、ステップ190において、前記GTKは、生成されるとともに、前記802.1xサーバは前記基地局においてブロックされない。また、802.1xは、ステップ192において前記アクセスポイント内でブロックされない。ランダムGTKは、ステップ194において前記アクセスポイント内で生成される。次に、任意の段階5において、グループ・キー・ハンドシェイク128が実行される。ステップ196において、前記アクセスポイントは、前記GTK、キーID、およびMICを含むEAPOLキーを前記基地局へ送信する。ステップ198において、前記新しいGTKの受領通知を前記アクセスポイントへ送信することによって、前記基地局は、応答する。
【0024】
最後に、段階6において、安全なデータ通信130が実行される。ステップ202において、保護されたデータパケットは、前記基地局と前記アクセスポイントとの間で送信される。また、ステップ204において、ダイナミック・ホスト・コンフィギュレーション・プロトコル(dynamic host configuration protocol)(DHC)要求と、前記基地局およびDHCPサーバ間の応答とが実行される。
【0025】
認証のためのシステムの実施形態が、図4において図示される。前記システムは、アクセスポイント106および認証サーバ104と通信する基地局102を含む。加えて、アクセスポイント106は、認証サーバ104と通信する。このシステムにおいて、前記FILS認証は、状態2および状態3をバイパスすることによって行われる。特定の状態において、前記FILS認証交換は、図3a−3bに図示された前記方法と比較して短縮されたバージョンのメッセージ交換を使用する。認証のためのステートマシンの実施形態が、図5において図示される。前記ステートマシンは、3つの状態(状態264、状態268、および状態269)を含む。状態264において、前記システムは、認証されずかつ関連付けされておらず、かつクラス1フレームが存在する。前記ステートマシンが状態264であり、ファスト・イニシャル・リンク・セットアップ(FILS)認証に成功した場合、前記ステートマシンは、状態269へ遷移する。前記ステートマシンが状態269であるとき、前記システムは、FILS認証されており、かつ前記IEEE802.1x制御ポートはブロックされる。また、選択された管理およびデータフレームを有するクラス1および2フレームが存在する。その後、前記システムが状態269であるとともに、FILSキーハンドシェイクが存在する場合、前記システムは、状態268に遷移する。前記ステートマシンが状態268であるとき、前記システムは、認証および関連付けされるとともに、IEEE802.1x制御ポートは、ブロックされない(unblocked)。加えて、状態268において、クラス1、2、および3フレームが存在する。しかしながら、前記ステートマシンが状態269であるとともに、FILS認可がされていない場合、前記ステートマシンは、状態264へ遷移する。同様に、前記ステートマシンが状態268であるとともに、前記システムが認証されていない場合、前記ステートマシンは、状態264へ遷移する。
【0026】
基地局、アクセスポイント、および認証サーバを含む認証のための方法の実施形態のフローチャートが、図6において図示される。前記方法は、状態264、状態269、および状態268を含む。この実施形態において、FILS特定メッセージは、前記FILS認証を容易にするために使用される。また、この実施形態において、段階2および段階3は、図3a−3bに関して上で論じたように、バイパスされる。状態264は、段階1に対応し、状態269は、段階4に対応し、状態268は、段階5および段階6に対応する。
【0027】
状態264は、ステップ228およびステップ230を含む。また、状態269は、ステップ232−252を含む。状態268は、ステップ254、ステップ256、ステップ258、およびステップ260を含む。最初に、状態264において、前記基地局およびアクセスポイントは、認証されておらずかつ関連付けされておらず、かつ802.1xは、ブロックされている。状態264の間、ステップ230において、前記アクセスポイントは、開始フレームを前記基地局へ送信する。1実施形態において、ステップ230において、前記アクセスポイントは、ビーコンフレームを送信する。別の実施形態において、前記アクセスポイントは、ステップ228において前記基地局によって前記アクセスポイントへ送信されたプローブ要求に応答して、ステップ230においてプローブ応答を送信する。その後、FILS認証が成功の場合、前記システムは、状態269へ遷移する。
【0028】
一度、状態269になると、ステップ232において、前記基地局は、認可要求を前記アクセスポイントへ送信する。例えば、前記認可要求は、FILSハンドシェイクのためのセキュリティパラメータを有するEAPOLスタートを含んでもよい。ある例において、EAP要求識別送信は、前記基地局から前記アクセスポイントへ送信されるとともに、前記アクセスポイントは、EAP応答メッセージに応答する。次に、前記アクセスポイントは、ステップ234において、アクセス要求を前記認証サーバへ送信する。前記アクセス要求は、EAP要求であってもよい。その後、ステップ236において、前記基地局および前記認証サーバは、EAP認証プロトコル交換を実行する。その後、前記認可サーバは、ステップ238においてPMKを生成する。次に、ステップ240において、前記認可サーバは、受理通知(acceptance)、EAP成功通知(EAP success)、および前記PMKを前記アクセスポイントへ送信する。ついで、前記アクセスポイントは、ステップ242において、前記PMKを記憶するとともに、A−Nonce値を生成する。そして、ステップ244において、前記アクセスポイントは、802.11認可応答を前記サーバへ送信する。前記802.11認可応答は、EAPOLキーを含んでもよく、前記EAPOLは、前記A−Nonce値およびユニキャストMICを含んでもよい。次に、前記基地局は、ステップ246において、PMKを生成するとともに、ステップ248において、前記PTKを導出する。その後、ステップ250において、前記基地局は、802.11アソシエーション要求を前記アクセスポイントへ送信し、前記802.11アソシエーション要求は、EAPOLキーであってもよく、S−Nonce値およびユニキャストMICを含んでもよい。前記アクセスポイントは、そのとき、ステップ252において、802.11アソシエーション応答を前記基地局へ送信する。前記802.11アソシエーション応答は、PTK、ユニキャストMIC、暗号化されたGTKを含むEAPOLキー、またはインテグリティ・グループ・テンポラル・キー(IGTK)を含む。
【0029】
最後に、状態268において、前記基地局は、ステップ254において、任意の方法でユニキャストMICを含むEAPOLキーを前記アクセスポイントへ送信する。最後に、前記サーバは、ステップ256において、前記PTK、前記GTK、および/または前記IGTKをインストールし、前記アクセスポイントは、ステップ258において、前記PTK、前記GTK、および/または前記IGTKをインストールする。最後に、ステップ260において、前記基地局と前記アクセスポイントとの間の安全なデータ通信が、続行する。
【0030】
図7は、本明明細書において開示された前記デバイスおよび方法を実施するために使用されるシステム270を実施するためのブロック図が図示される。具体的なデバイスは、図示されたコンポーネントの全て、またはコンポーネントのサブセットのみを利用してもよく、かつ統合のレベルをデバイスからデバイスへ変更してもよい。さらに、デバイスは、複数の処理ユニット、プロセッサ、メモリ、トランスミッタ、レシーバ等の複数のコンポーネントのインスタンスを含んでもよい。前記処理システムは、マイクロフォン、マウス、タッチスクリーン、キーパッド、キーボードなどのような、1または2以上の入力デバイスに備え付けられた処理ユニットを具備する。また、処理システム270は、スピーカ、プリンタ、ディスプレイなどのような1または2以上の出力デバイスが備え付けられてもよい。前記処理ユニットは、中央処理ユニット(CPU)274、メモリ276、マス・ストレージ・デバイス278、ビデオアダプタ280、およびバスに接続されたI/Oインターフェース288を含んでもよい。
【0031】
前記バスは、メモリバスまたはメモリコントローラ、周辺バス、ビデオバスなどを含む、1または2以上の任意の種類の様々なバス構造であってもよい。CPU274は、任意の種類の電子データプロセッサを具備してもよい。メモリ276は、スタティック・ランダム・アクセス・メモリ(SRAM)、ダイナミック・ランダム・アクセス・メモリ(DRAM)、シンクロナスDRAM(SDRAM)、リード・オンリー・メモリ(ROM)、それらを組み合わせたものなどのような、任意の種類のシステムメモリを具備してもよい。1実施形態において、前記メモリは、立ち上がりのために使用されるROMと、プログラムおよびプログラム実行中に使用されるデータストレージのためのDRAMとを含んでもよい。
【0032】
マス・ストレージ・デバイス278は、データ、プログラム、および他の情報を記憶するとともに、前記データ、プログラム、および他の情報を前記バスを介してアクセス可能にするように構成された、任意の種類のストレージデバイスを具備してもよい。マス・ストレージ・デバイス278は、例えば、1または2以上のソリッド・ステート・ドライブ、ハード・ディスク・ドライブ、磁気ディスクドライブ、光学ディスクドライブなどを具備してもよい。
【0033】
ビデオアダプタ280およびI/Oインターフェース288は、外部入力および出力デバイスを前記処理ユニットへ接続するためのインターフェースを提供する。説明として、入力および出力デバイスの例は、前記ビデオアダプタに接続された前記ディスプレイ、および前記I/Oインターフェースに接続された前記マウス/キーボード/プリンタを含む。他のデバイスは、前記処理ユニットに接続されてもよく、追加の、或いはわずかなインターフェースカードが使用されてもよい。例えば、シリアル・インターフェース・カード(図示されず)プリンタのためのシリアルインターフェースを提供するために使用されてもよい。
【0034】
前記処理ユニットは、イーサネット(登録商標)ケーブルなどのような有線リンクおよび/またはアクセスノードまたは異なるネットワークへアクセスするためのワイヤレスリンクを具備する、1または2以上のネットワークインターフェース284も含む。ネットワークインターフェース284は、前記処理ユニットが前記ネットワークを介してリモートユニットと通信することを可能にする。例えば、前記ネットワークインターフェースは、1または2以上の送信機/送信アンテナおよび1または2以上の受信機/受信アンテナを介したワイヤレス通信を提供してもよい。1実施形態において、前記処理ユニットは、データ処理のために、ならびに他の処理ユニット、前記インターネット、およびリモートストレージ設備などのようなリモートデバイスとの通信のために、ローカル・エリア・ネットワークまたは広域ネットワークへ接続される。
【0035】
実施形態の利点は、前記RSNAセキュリティプロトコルと、セキュリティとの適合性を含む。実施形態の別の利点は、ハンドシェイクにおいて、9または10メッセージのみを使用することである。例えば、4方向ハンドシェイクは、3方向ハンドシェイクに減少させられる。
【0036】
いくつかの実施形態が本開示において提供されたが、開示されたシステムおよび方法は、本発明の主旨及び範囲から逸脱することなく他の多くの特定形態で具現できることが理解されるべきである。本発明の例は、説明的で非限定的なものとみなすべきであり、その意図は、本明細書で与えられた詳細に限定されるべきではない。例えば、別のシステムにおいて、様々な要素またはコンポーネントを組み合わせること、もしくは統合することができ、またはある特徴を除外すること、もしくは実施しないことができる。
【0037】
加えて、様々な実施形態において、別個または単独なものとして説明され、例示された技術、システム、サブシステム、および方法は、本開示の範囲から逸脱することなく、他のシステム、モジュール、技術、または方法と組み合わせること、または統合することができる。結合もしくは直接的に結合されたものとして、または互いに通信するものとして示され、説明された他の事項は、電気的であるか、機械的であるか、または他の方法であるかに係わらず、いくつかのインターフェース、デバイス、または中間コンポーネントを介して、間接的に結合すること、または通信することができる。変更、置換、および修正の他の例は、当業者によって確認することができ、本明細書で開示された主旨および範囲から逸脱することなく、なされる。
【符号の説明】
【0038】
102 基地局104 認可サーバ
104 認証サーバ
106 アクセスポイント
120 セキュリティ能力探索
124 EAP/802.1x/Radius認証
126 方向ハンドシェイク
128 グループ・キー・ハンドシェイク
130 データ通信