知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6382241
(24)【登録日】2018年8月10日
(45)【発行日】2018年8月29日
(54)【発明の名称】リンク設定および認証を実行するシステムおよび方法
(51)【国際特許分類】
H04L 9/08 20060101AFI20180820BHJP
H04L 9/32 20060101ALI20180820BHJP
H04W 12/06 20090101ALI20180820BHJP
H04W 48/16 20090101ALI20180820BHJP
【FI】
H04L9/00 601C
H04L9/00 675A
H04W12/06
H04W48/16 110
【請求項の数】30
【外国語出願】
【全頁数】48
(21)【出願番号】特願2016-8945(P2016-8945)
(22)【出願日】2016年1月20日
(62)【分割の表示】特願2014-530755(P2014-530755)の分割
【原出願日】2012年9月12日
(65)【公開番号】特開2016-136724(P2016-136724A)
(43)【公開日】2016年7月28日
【審査請求日】2016年2月10日
【審判番号】不服2017-9042(P2017-9042/J1)
【審判請求日】2017年6月21日
(31)【優先権主張番号】61/533,627
(32)【優先日】2011年9月12日
(33)【優先権主張国】US
(31)【優先権主張番号】61/535,234
(32)【優先日】2011年9月15日
(33)【優先権主張国】US
(31)【優先権主張番号】61/583,052
(32)【優先日】2012年1月4日
(33)【優先権主張国】US
(31)【優先権主張番号】61/606,794
(32)【優先日】2012年3月5日
(33)【優先権主張国】US
(31)【優先権主張番号】61/611,553
(32)【優先日】2012年3月15日
(33)【優先権主張国】US
(31)【優先権主張番号】61/645,987
(32)【優先日】2012年5月11日
(33)【優先権主張国】US
(31)【優先権主張番号】13/610,730
(32)【優先日】2012年9月11日
(33)【優先権主張国】US
【早期審査対象出願】
(73)【特許権者】
【識別番号】595020643
【氏名又は名称】クゥアルコム・インコーポレイテッド
【氏名又は名称原語表記】QUALCOMM INCORPORATED
(74)【代理人】
【識別番号】100108855
【弁理士】
【氏名又は名称】蔵田 昌俊
(74)【代理人】
【識別番号】100109830
【弁理士】
【氏名又は名称】福原 淑弘
(74)【代理人】
【識別番号】100158805
【弁理士】
【氏名又は名称】井関 守三
(74)【代理人】
【識別番号】100112807
【弁理士】
【氏名又は名称】岡田 貴志
(72)【発明者】
【氏名】ジョージ・シェリアン
(72)【発明者】
【氏名】フィリップ・マイケル・ホークス
(72)【発明者】
【氏名】サントシュ・ポール・アブラハム
(72)【発明者】
【氏名】ヘマンス・サンパス
【合議体】
【審判長】
仲間 晃
【審判官】
石井 茂和
【審判官】
須田 勝巳
(56)【参考文献】
【文献】
米国特許出願公開第2006/0121883(US,A1)
【文献】
特表2010−503330(JP,A)
【文献】
国際公開第2011/005567(WO,A2)
【文献】
特開2008−236094(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/08, H04L 9/32, H04W 12/06, H04W 48/16
(57)【特許請求の範囲】
【請求項1】
方法であって、
モバイル・デバイスにおいて、アクセス・ポイントから、第1のアクセス・ポイント・ノンス(ANonce)を受信することと、
前記第1のANonceを用いて、第1のペアワイズ・トランジェント鍵(PTK)を生成することと、
前記アクセス・ポイントへ、認証要求を送信することと、ここで、前記認証要求は、局ノンス(SNonce)を含み、前記認証要求は、前記第1のPTKを用いて保護されている、
前記モバイル・デバイスにおいて、前記アクセス・ポイントから認証応答を受信することと、ここで、前記認証応答は、第2のANonceを含み、第2のPTKを用いて保護されている、
前記モバイル・デバイスにおいて、前記第2のANonceおよび前記SNonceを用いて、前記第2のPTKを生成することと、
前記モバイル・デバイスから前記アクセス・ポイントへ送信されるべき少なくとも1つの後続するメッセージを保護するために前記第2のPTKを用いることと、を備える方法。
モバイル・デバイスにおいて、アクセス・ポイントから、第1のアクセス・ポイント・ノンス(ANonce)を受信することと、
前記第1のANonceを用いて、第1のペアワイズ・トランジェント鍵(PTK)を生成することと、
前記アクセス・ポイントへ、認証要求を送信することと、ここで、前記認証要求は、局ノンス(SNonce)を含み、前記認証要求は、前記第1のPTKを用いて保護されている、
前記モバイル・デバイスにおいて、前記アクセス・ポイントから認証応答を受信することと、ここで、前記認証応答は、第2のANonceを含み、第2のPTKを用いて保護されている、
前記モバイル・デバイスにおいて、前記第2のANonceおよび前記SNonceを用いて、前記第2のPTKを生成することと、
前記モバイル・デバイスから前記アクセス・ポイントへ送信されるべき少なくとも1つの後続するメッセージを保護するために前記第2のPTKを用いることと、を備える方法。
【請求項2】
前記第1のANonceは、ビーコンによって受信される、請求項1記載の方法。
【請求項3】
前記第1のANonceは、プローブ応答によって受信される、請求項1記載の方法。
【請求項4】
前記第1のPTKは、前記第1のANonce、前記SNonce、および再認証マスタ・セッション鍵(rMSK)を用いて生成される、請求項1記載の方法。
【請求項5】
前記rMSKは、前記モバイル・デバイスにおいて生成される、請求項4記載の方法。
【請求項6】
前記認証要求は、前記第1のANonceをさらに含む、請求項1記載の方法。
【請求項7】
前記第2のPTKは、前記第2のANonce、前記SNonce、および再認証マスタ・セッション鍵(rMSK)を用いて生成される、請求項1記載の方法。
【請求項8】
前記rMSKは、前記モバイル・デバイスにおいて生成される、請求項7記載の方法。
【請求項9】
前記認証要求は、前記第1のPTKのうちの少なくとも鍵確認鍵(KCK)部分を用いて保護されている、請求項1記載の方法。
【請求項10】
前記認証応答は、少なくとも前記第2のPTKの鍵確認鍵(KCK)部分、前記第2のPTKの鍵暗号鍵(KEK)部分、またはこれらの組み合わせを用いて保護されている、請求項1記載の方法。
【請求項11】
装置であって、
プロセッサと、
アクセス・ポイントにおいて、モバイル・デバイスへ送信されるべき第1のアクセス・ポイント・ノンス(ANonce)を生成することと、
前記モバイル・デバイスからの認証要求によって受信された局ノンス(SNonce)および前記第1のANonceに基づいて、第1のペアワイズ・トランジェント鍵(PTK)を生成することと、ここで、前記認証要求は、前記第1のPTKを用いて保護されている、
第2のANonceを生成することと、
前記第2のANonceおよび前記SNonceに基づいて第2のPTKを生成することと、
前記モバイル・デバイスへ送信されるべき認証応答を生成することと、ここで、前記認証応答は、前記第2のANonceを含み、前記第2のPTKを用いて保護されている、のために前記プロセッサによって実行可能な命令群を格納するメモリと、を備える装置。
プロセッサと、
アクセス・ポイントにおいて、モバイル・デバイスへ送信されるべき第1のアクセス・ポイント・ノンス(ANonce)を生成することと、
前記モバイル・デバイスからの認証要求によって受信された局ノンス(SNonce)および前記第1のANonceに基づいて、第1のペアワイズ・トランジェント鍵(PTK)を生成することと、ここで、前記認証要求は、前記第1のPTKを用いて保護されている、
第2のANonceを生成することと、
前記第2のANonceおよび前記SNonceに基づいて第2のPTKを生成することと、
前記モバイル・デバイスへ送信されるべき認証応答を生成することと、ここで、前記認証応答は、前記第2のANonceを含み、前記第2のPTKを用いて保護されている、のために前記プロセッサによって実行可能な命令群を格納するメモリと、を備える装置。
【請求項12】
前記第1のANonceは、ビーコンによって前記モバイル・デバイスに送信される、請求項11記載の装置。
【請求項13】
前記第1のANonceは、プローブ応答によって前記モバイル・デバイスに送信される、請求項11記載の装置。
【請求項14】
前記認証要求は、前記第1のPTKのうちの少なくとも鍵確認鍵(KCK)部分を用いて保護されている、請求項11記載の装置。
【請求項15】
前記第2のPTKは、前記第2のANonce、前記SNonce、および再認証マスタ・セッション鍵(rMSK)に基づいて生成される、請求項11記載の装置。
【請求項16】
前記認証応答は、少なくとも前記第2のPTKの鍵確認鍵(KCK)部分、前記第2のPTKの鍵暗号鍵(KEK)部分、またはこれらの組み合わせを用いて保護されている、請求項11記載の装置。
【請求項17】
装置であって、
モバイル・デバイスにおいて、アクセス・ポイントから、第1のアクセス・ポイント・ノンス(ANonce)を受信する手段と、
前記第1のANonceを用いて、第1のペアワイズ・トランジェント鍵(PTK)を生成する手段と、
認証要求を前記アクセス・ポイントへ送信する手段と、ここで、前記認証要求は、局ノンス(SNonce)を含み、前記認証要求は、前記第1のPTKを用いて保護されている、
前記モバイル・デバイスにおいて、前記アクセス・ポイントから認証応答を受信する手段と、ここで、前記認証応答は、第2のANonceを含み、第2のPTKを用いて保護されている、
前記モバイル・デバイスにおいて、前記第2のANonceおよび前記SNonceを用いて、前記第2のPTKを生成する手段と、
前記モバイル・デバイスから前記アクセス・ポイントへ送信されるべき少なくとも1つの後続するメッセージを保護するために前記第2のPTKを用いる手段と、を備える装置。
モバイル・デバイスにおいて、アクセス・ポイントから、第1のアクセス・ポイント・ノンス(ANonce)を受信する手段と、
前記第1のANonceを用いて、第1のペアワイズ・トランジェント鍵(PTK)を生成する手段と、
認証要求を前記アクセス・ポイントへ送信する手段と、ここで、前記認証要求は、局ノンス(SNonce)を含み、前記認証要求は、前記第1のPTKを用いて保護されている、
前記モバイル・デバイスにおいて、前記アクセス・ポイントから認証応答を受信する手段と、ここで、前記認証応答は、第2のANonceを含み、第2のPTKを用いて保護されている、
前記モバイル・デバイスにおいて、前記第2のANonceおよび前記SNonceを用いて、前記第2のPTKを生成する手段と、
前記モバイル・デバイスから前記アクセス・ポイントへ送信されるべき少なくとも1つの後続するメッセージを保護するために前記第2のPTKを用いる手段と、を備える装置。
【請求項18】
前記第1のANonceは、ビーコンによって受信される、請求項17記載の装置。
【請求項19】
前記第1のANonceは、プローブ応答によって受信される、請求項17記載の装置。
【請求項20】
前記第1のPTKは、前記第1のANonce、前記SNonce、および再認証マスタ・セッション鍵(rMSK)を用いて生成される、請求項17記載の装置。
【請求項21】
前記認証要求は、前記第1のANonceをさらに含む、請求項17記載の装置。
【請求項22】
前記第2のPTKは、前記第2のANonce、前記SNonce、および再認証マスタ・セッション鍵(rMSK)を用いて生成される、請求項17記載の装置。
【請求項23】
前記認証要求は、前記第1のPTKのうちの少なくとも鍵確認鍵(KCK)部分を用いて保護されている、請求項17記載の装置。
【請求項24】
前記認証応答は、少なくとも前記第2のPTKの鍵確認鍵(KCK)部分、前記第2のPTKの鍵暗号鍵(KEK)部分、またはこれらの組み合わせを用いて保護されている、請求項17記載の装置。
【請求項25】
プロセッサによって実行された場合、前記プロセッサに対して、
アクセス・ポイントにおいて、モバイル・デバイスへ送信されるべき第1のアクセス・ポイント・ノンス(ANonce)を生成することと、
前記モバイル・デバイスからの認証要求によって受信された前記第1のANonceおよび局ノンス(SNonce)に基づいて、第1のペアワイズ・トランジェント鍵(PTK)を生成することと、ここで、前記認証要求は、前記第1のPTKを用いて保護されている、
第2のANonceを生成することと、
前記第2のANonceおよび前記SNonceに基づいて第2のPTKを生成することと、
前記モバイル・デバイスへ送信されるべき認証応答を生成することと、ここで、前記認証応答は、前記第2のANonceを含み、前記第2のPTKを用いて保護されている、をさせる命令群を備える非一時的なプロセッサ読取可能な記憶媒体。
アクセス・ポイントにおいて、モバイル・デバイスへ送信されるべき第1のアクセス・ポイント・ノンス(ANonce)を生成することと、
前記モバイル・デバイスからの認証要求によって受信された前記第1のANonceおよび局ノンス(SNonce)に基づいて、第1のペアワイズ・トランジェント鍵(PTK)を生成することと、ここで、前記認証要求は、前記第1のPTKを用いて保護されている、
第2のANonceを生成することと、
前記第2のANonceおよび前記SNonceに基づいて第2のPTKを生成することと、
前記モバイル・デバイスへ送信されるべき認証応答を生成することと、ここで、前記認証応答は、前記第2のANonceを含み、前記第2のPTKを用いて保護されている、をさせる命令群を備える非一時的なプロセッサ読取可能な記憶媒体。
【請求項26】
前記第1のANonceは、ビーコンによって前記モバイル・デバイスに送信される、請求項25記載の非一時的なプロセッサ読取可能な記憶媒体。
【請求項27】
前記第1のANonceは、プローブ応答によって前記モバイル・デバイスに送信される、請求項25記載の非一時的なプロセッサ読取可能な記憶媒体。
【請求項28】
前記認証要求は、前記第1のPTKのうちの少なくとも鍵確認鍵(KCK)部分を用いて保護されている、請求項25記載の非一時的なプロセッサ読取可能な記憶媒体。
【請求項29】
前記第2のPTKは、前記第2のANonce、前記SNonce、および再認証マスタ・セッション鍵(rMSK)に基づいて生成される、請求項25記載の非一時的なプロセッサ読取可能な記憶媒体。
【請求項30】
前記認証応答は、少なくとも前記第2のPTKの鍵確認鍵(KCK)部分、前記第2のPTKの鍵暗号鍵(KEK)部分、またはこれらの組み合わせを用いて保護されている、請求項25記載の非一時的なプロセッサ読取可能な記憶媒体。
【発明の詳細な説明】
【関連出願に対する相互参照】
【0001】
本特許出願は、共同所有されている、2011年9月12日出願の米国仮出願61/533,627(クゥオルコム整理番号113346P1)、2011年9月15日出願の米国仮出願61/535,234(クゥオルコム整理番号113346P2)、2012年1月4日出願の米国仮出願61/583,052(クゥオルコム整理番号113346P3)、2012年3月5日出願の米国仮出願61/606,794(クゥオルコム整理番号121585P1)、2012年5月11日出願の米国仮出願61/645,987(クゥオルコム整理番号121585P2)、および2012年3月15日出願の米国仮出願61/611,553(クゥオルコム整理番号121602P1)からの優先権を主張する。これらの内容は、その全体における参照によって、本明細書に明確に組み込まれている。さらに、2012年9月11日に出願され、並列的な再認証および接続設定を用いた無線通信(WIRELESS COMMUNICATION USING CONCURRENT RE-AUTHENTICATION AND CONNECTION SETUP)と題された、クゥオルコム整理番号113346の仮出願と、2012年9月11日に出願され、共有された暫定鍵データのセットとの交換をエンコードするためのシステムおよび方法(SYSTEMS AND METHODS FOR ENCODING EXCHANGES WITH A SET OF SHARED EPHEMERAL KEY DATA)と題された、クゥオルコム整理番号121602の仮出願との内容が、本明細書において参照によって組み込まれている。
【技術分野】
【0002】
以下は、一般に、無線通信に関し、さらに詳しくは、無線通信におけるリンク設定処理および認証処理に関する。
【背景技術】
【0003】
技術の進歩の結果、より小型で、よりパワフルなコンピューティング・デバイスが出現した。
【0004】
例えば、現在、ポータブル無線電話、情報携帯端末(PDA)、およびページング・デバイスのように、小型で、軽量で、ユーザによって容易に携帯される無線コンピューティング・デバイスを含む、さまざまなポータブル・パーソナル・コンピューティング・デバイスが存在する。
【0005】
さらに詳しくは、例えば、セルラ電話およびインターネット・プロトコル(IP)電話のようなポータブル無線電話は、無線ネットワークを介して音声パケットおよびデータ・パケットを通信しうる。
【0006】
さらに、そのような多くの無線電話は、組み込まれたその他のタイプのデバイスを含んでいる。
【0007】
例えば、無線電話はまた、デジタル静止カメラ、デジタル・ビデオ・カメラ、デジタル・レコーダ、およびオーディオ・ファイル・プレーヤを含みうる。
【0008】
また、そのような無線電話は、例えばウェブ・ブラウザ・アプリケーションのように、インターネットにアクセスするために使用されうるソフトウェア・アプリケーションを含む、実行可能な命令群を処理しうる。
【0009】
このため、これらの無線電話は、著しいコンピューティング能力を含みうる。
【0010】
無線通信ネットワークによって、通信デバイスは、移動中に、情報を送信および/または受信できるようになった。
【0011】
これらの無線通信ネットワークは、モバイル・アクセス端末への、および、モバイル・アクセス端末からの情報の転送を可能にするために、その他のパブリック・ネットワークまたはプライベート・ネットワークに通信可能に接続されうる。
【0012】
そのような通信ネットワークは、アクセス端末(例えば、モバイル通信デバイス、モバイル電話、無線ユーザ端末)へ無線通信リンクを提供する複数のアクセス・ポイント(AP)を含む。
【0013】
アクセス・ポイントは、据置式(例えば、陸上に固定されている)か、または、モバイル(例えば、車両、衛星等の搭載されている)であり、アクセス端末は有効通信範囲エリア内を移動するので、広いエリアの有効通信範囲を提供するように配置されうる。
【0014】
ポータブル・デバイスは、これら無線ネットワークを経由してデータを通信するように構成されうる。
【0015】
例えば、多くのデバイスが、アクセス・ポイントを経由したデータの無線交換を可能にする電気電子学会(IEEE)802.11仕様にしたがって動作するように構成される。
【0016】
いくつかの通信システムでは、モバイル・アクセス端末が、アクセス・ポイントを介して通信ネットワークに接続する場合、アクセス・ポイントは、ネットワーク・アクセス認証を行なう。
【0017】
モバイル・アクセス端末が異なるアクセス・ポイントへ接続する毎に、認証処理が繰り返される必要がありうる。
【0018】
しかしながら、この認証処理の繰り返しは、著しい設定遅れをもたらしうる。
【0019】
多くの通信デバイスが、初期接続段階と、1または複数の再接続段階との両方においてリンク設定を実行するように構成される。
【0020】
現在のシステムは、IPアドレス割当を保護するために、認証後に、AP IPアドレス割当に対して事前に共有された鍵を仮定する。
【0021】
システム内の2またはそれ以上のメッセージ処理ポイント間で通信されている複数のメッセージを利用することが、リンク設定を可能にする一方、この通信の必要とされている認証レベルを維持することが高く要求されている間、通信されるメッセージの数が低減される。
【0022】
さらに、モバイル通信デバイスは、リンク設定が実行されうる前に、近くのアクセス・ポイントを求めてスキャンしうる。
【0023】
このスキャンは、「パッシブ」または「アクティブ」でありうる。
【0024】
「パッシブ」なスキャンでは、デバイスは、アクセス・ポイント(例えば、制御メッセージ)を求めてアクティブにリスンしうる。
【0025】
「アクティブ」なスキャンでは、デバイスは、クエリをブロードキャストし、その後、近くのアクセス・ポイントからの応答を待ちうる。
【0026】
したがって、「パッシブ」なスキャンは、時間がかかり、「アクティブ」なスキャンは、時間のみならず、モバイル通信デバイスにおける電力をも消費しうる。
【図面の簡単な説明】
【0027】
同一の参照符号が、全体を通じて類似の要素を特定している図面とともに考慮された場合、さまざまな特徴、特性、および利点が、以下に記載する詳細な記載からより明らかになりうる。【発明を実施するための形態】
【0028】
以下の記載では、本開示が実現されうる具体的な実施形態が例示によって図示されている添付図面に対する参照がなされる。これら実施形態は、当業者が本発明を実施できるように十分詳細な開示の態様を記述することが意図されている。その他の実施形態が利用され、本開示の範囲から逸脱することなく、開示された実施形態に対する変更がなされうる。以下の詳細記載は、限定する意味でなされているのではなく、本発明の範囲は、特許請求の範囲によってのみ定義される。
【0029】
本明細書に記載された特徴および態様は、接続設定の再認証処理中における速い設定時間のためのデバイスおよび方法を提供する。例えば、記載された技術によって、モバイル・デバイス(例えば、局(STA))は、先ずビーコンを求めてリスンすることも、または、アクセス・ポイントからのプローブ応答を要求することもなく、アクセス・ポイント(AP)に関するリンク設定を実行できるようになりうる。ビーコンまたはプローブ応答は、一般に、リンク設定中に用いられるべきアクセス・ポイント・ノンス(ANonce)を含みうる。したがって、記載された技術によって、STAは、以前に受信したANonceを有することなく、リンク設定を実行できるようになりうる。「修正4方式ハンドシェイク」技術にしたがって、STAは、保護されていない関連付け要求をAPへ送信し、関連付け応答で、ATからANonceを受信しうる。受信されたANonceは、その後、鍵導出のために用いられうる。「次のANonce」技術にしたがって、STAは、第1のANonceを用いて開始された第1のリンク設定中に、第1のリンク設定に後続する第2のリンク設定において用いるための第2のANonceを受信しうる。
【0030】
記載された技術はまた、上部レイヤ・シグナリング保護のためのテンポラリ鍵の使用をも可能にしうる。例えば、STAは、保護されていない関連付け要求を送信する代わりに、ビーコンまたはプローブ応答によって、APから第1のANonce(例えば、ANonce1)を受信し、第1のANonceに基づいて第1の鍵(例えば、第1のペアワイズ・トランジェント鍵(PTK))を導出しうる。第1の鍵は、STAによってAPへ送信された関連付け要求を保護するために用いられうる。この関連付け要求を受信することに応じて、APは、第2のANonce(例えば、ANonce2)を生成し、第2のANonceに基づいて、第2の鍵(例えば、第2のPTK)を導出しうる。APは、STAへ関連付け応答を送信しうる。関連付け応答は、第2のANonceを含んでおり、第2の鍵を用いて保護される。STAは、第2のANonceに基づいて第2の鍵を導出し、この第2の鍵を用いて、関連付け応答を処理し、リンク設定を完了する。第2の鍵はまた、STAとAPとの間で通信される、後続するメッセージ(例えば、データ・メッセージ)を保護するためにも用いられうる。
【0031】
あるいは、STAは、ビーコンまたはプローブ応答によってAPからANonceを受信するのではなく、ビーコンまたはプローブ応答でANonceシードを受信しうる。ANonceシードは、APによって頻繁に更新される暗号シード値でありうる。STAは、ANonceシードを、STAの媒体アクセス制御(MAC)アドレスを用いてハッシュすることによって、ANonceを生成しうる。したがって、ビーコン・メッセージによって複数のSTAへブロードキャストされるANonceとは異なり、ANonceシードおよびSTAのMACアドレスに基づいてSTAにおいて生成されるANonceは、STAにユニークでありうる。生成されたANonceは、APとのリンク設定を開始するためにSTAによって用いられうる。APは、リンク設定中、STAからのリンク設定メッセージ(例えば、関連付け要求)に含まれうるSTAのMACアドレスおよびANonceシードに基づいて、ANonceを生成しうる。その他のハンドシェイク技術とは対照的に、この技術は、APの前にSTAがANonceを生成することを含みうる。有利なことに、ANonceは、STAにユニークでありうり、「クリアに」(すなわち、暗号化されずに)送信されうる。そして、APによる送信前に、許可されていないデバイスによって予測可能ではないことがありうる。
【0032】
特定の実施形態では、方法は、保護されていない関連付け要求を、モバイル・デバイスからアクセス・ポイントへ送信することを含む。この方法はまた、アクセス・ポイントから関連付け応答を受信することを含む。関連付け応答は、ANonceを含む。この方法は、モバイル・デバイスにおいて、ANonceを用いてペアワイズ・トランジェント鍵(PTK)を生成することを含む。
【0033】
別の特定の実施形態では、装置は、プロセッサとメモリとを含む。このメモリは、保護されていない関連付け要求をアクセス・ポイントへ送信し、アクセス・ポイントから、関連付け応答を受信するために、プロセッサによって実行可能な命令群を格納している。関連付け応答は、ANonceを含む。これら命令群はまた、ANonceを用いてPTKを生成するためにプロセッサによって実行可能である。
【0034】
別の特定の実施形態では、方法は、保護されていない関連付け要求を、アクセス・ポイントにおいて、モバイル・デバイスから受信することを含む。この方法はまた、保護されていない関連付け要求から開始メッセージを抽出することと、開始メッセージを、認証サーバへ送信することと、を含む。この方法はさらに、認証サーバから回答メッセージを受信することを含む。回答メッセージは、再認証マスタ・セッション鍵(rMSK)を含む。この方法は、ANonceを生成することと、関連付け応答をモバイル・デバイスへ送信することとを含む。関連付け応答は、ANonceを含む。
【0035】
別の特定の実施形態では、装置は、プロセッサとメモリとを含む。メモリは、保護されていない関連付け要求をモバイル・デバイスから受信するためにプロセッサによって実行可能な命令群を格納している。これら命令群はまた、保護されていない関連付け要求から開始メッセージを抽出し、開始メッセージを認証サーバへ送信するためにプロセッサによって実行可能である。これら命令群はさらに、認証サーバから回答メッセージを受信するためにプロセッサによって実行可能である。回答メッセージは、rMSKを含む。これら命令群は、ANonceを生成するため、および、モバイル・デバイスへ関連付け応答を送信するためにプロセッサによって実行可能である。関連付け応答は、ANonceを含む。
【0036】
別の特定の実施形態では、方法は、モバイル・デバイスにおいて、第1のANonceを用いて、アクセス・ポイントとの第1のリンク設定を開始することを含む。この方法はまた、アクセス・ポイントとの第1のリンク設定中、第1のリンク設定に後続する、アクセス・ポイントとの第2のリンク設定に用いるための第2のANonceを受信することを含む。第2のANonceは、第1のANonceとは異なる。
【0037】
別の特定の実施形態では、装置は、プロセッサとメモリとを含む。メモリは、第1のANonceを用いて、アクセス・ポイントとの第1のリンク設定を開始するために、プロセッサによって実行可能な命令群を格納する。これら命令群はまた、アクセス・ポイントとの第1のリンク設定中、第1のリンク設定に後続する、アクセス・ポイントとの第2のリンク設定に用いるための第2のANonceを受信するためにプロセッサによって実行可能である。第2のANonceは、第1のANonceとは異なる。
【0038】
別の特定の実施形態では、第1のリンク設定に後続する、モバイル・デバイスとの第2のリンク設定に用いるための第2のANonceを、第1のANonceを用いる第1のリンク設定中に、アクセス・ポイントからモバイル・デバイスへ送信することを含む。第2のANonceは、第1のANonceとは異なる。
【0039】
別の特定の実施形態では、装置は、プロセッサとメモリとを含む。メモリは、第1のリンク設定に後続する、モバイル・デバイスとの第2のリンク設定に用いるための第2のANonceを、第1のANonceを用いる第1のリンク設定中に、モバイル・デバイスへ送信するためにプロセッサによって実行可能である。第2のANonceは、第1のANonceとは異なる。
【0040】
別の特定の実施形態では、方法は、モバイル・デバイスにおいて、アクセス・ポイントから第1のANonceを受信することを含む。この方法はまた、第1のANonceを用いて第1のPTKを生成することを含む。この方法はさらに、関連付け要求をアクセス・ポイントへ送信することを含む。関連付け要求は、SNonceを含んでおり、第1のPTKを用いて保護されている。この方法は、アクセス・ポイントから関連付け応答を受信することを含む。関連付け応答は、第2のANonceを含んでおり、第2のPTKを用いて保護されている。この方法はまた、第2のANonceおよびSNonceを用いて第2のPTKを生成することを含む。この方法はさらに、アクセス・ポイントへ送信されるべき少なくとも1つの後続するメッセージを保護するために、第2のPTKを用いることを含む。
【0041】
別の特定の実施形態では、装置は、プロセッサとメモリとを含む。メモリは、モバイル・デバイスへ送信されるべきANonceシードを、アクセス・ポイントにおいて生成するためにプロセッサによって実行可能な命令群を格納する。これら命令群はまた、モバイル・デバイスから受信されたモバイル・デバイスのMACアドレスおよびANonceシードに基づいてANonceを生成するためにプロセッサによって実行可能である。これら命令群はさらに、生成されたANonceに基づいて、モバイル・デバイスとのリンク設定を実行するためにプロセッサによって実行可能である。
【0042】
例えば802.11(WiFi)ネットワークのような無線ネットワークでは、モバイル・ユーザは、1つのネットワークから別のネットワークへ移動しうる。いくつかの場合には、これらネットワークは、同じネットワーク・キャリアまたはエンティティによって管理されうる。
【0043】
このような用途の場合のいくつかの限定しない例を以下に示す。 1.ホット・スポット・パス・スルー
(A)ユーザは、(いくつかの、オーバラップしない)公的にアクセス可能なWiFiホット・スポット(例えば、コーヒー・ショップまたはその他の公共的な場所)を通過しうる。接続を有している間、ユーザ端末は、例えば、電子メール、ソーシャル・ネットワーキング・メッセージ等のような情報をアップロードおよびダウンロードしうる。別の例は、WiFiアクセス・ポイントを備えた多くの列車駅を通過する列車に乗った乗客である。
2.列車
(B)ユーザは、WiFiサービスがローカル・アクセス・ポイント(AP)を介して顧客に提供される列車に乗車しうる。このAPは、トラック側インフラストラクチャに接続するために、無線の802.11ベースのバックボーンを用いうる。トラックに沿った連続的な有効通信範囲を提供するために、指向性アンテナが用いられうる。
3.運転中の料金/重量検査所
(C)料金所を通り抜けるか、または、重量検査所を通過する、高速道路上の車両は、料金所または重量検査所において、APにアクセスすることが可能でありうる。運転中(または重量がかけられている間)、例えば、貨物情報の交換または料金を顧客に課すことのような情報が提供されうる。
【0044】
これらオーバラップしていないが関連する接続のためのアプリケーションをイネーブルすることは、安全なリンクを確立するために、標準的なIPプロトコル・スイートに依存し、根本となる無線技術を潜在的に信頼しうる。
【0045】
インターネット・プロトコル(IP)接続の設定のためのいくつかの提案されたシステムでは、ビーコンの受信後、アクセス端末のための安全なリンクを確立するために、往復16回の交換(アクセス端末へ、および、アクセス端末からの32のメッセージ)が存在しうる。
【0046】
本明細書に記載された提案されたシステムの選択された実施形態では、高速なリンク設定が実行されうる。ここでは、ビーコンの受信後に、IP接続および安全なリンクを設定するためのメッセージの数が、以前の往復16回の交換(32のメッセージ)から、往復1回の交換(2つのメッセージ)へ低減される。拡張可能認証プロトコル/再認証プロトコル(EAP/ERP:Extensible Authentication Protocol/Re-authentication Protocol)が、高速なリンク設定の一部として用いられうる。
【0047】
図1は、1または複数の端末と、アクセス・ポイントとの間でデータを通信するための無線ネットワーク構成の例を例示する概念図である。図1のネットワーク構成100は、1または複数の端末と、アクセス・ポイントとの間でデータを通信するために用いられうる。ネットワーク構成100は、ネットワーク104に接続されたアクセス・ポイント102を含んでいる。アクセス・ポイント102は、例えば(ここでは、局(STA)よびアクセス端末(AT)106,108,110とも称されうる)無線デバイスのようなさまざまな通信デバイスへ無線通信を提供するように構成されうる。限定しない例として、アクセス・ポイント102は、基地局でありうる。限定しない例として、局/端末106,108,110は、パーソナル・コンピュータ(PC)、ラップトップ・コンピュータ、タブレット・コンピュータ、モバイル電話、携帯情報端末(PDA)、および/または、データを無線で送信および/または受信するように構成された任意のデバイス、または、これら任意の組み合わせでありうる。ネットワーク104は、例えば、送信制御プロトコル/インターネット・プロトコル(TCP/IP)ネットワークのような分散型コンピュータ・ネットワークを含みうる。
【0048】
アクセス・ポイント102は、限定される訳ではないが、ワイヤレス・フィデリティ(WiFi)サービス、ワールドワイド・インタオペラビリティ・フォー・マイクロウェーブ・アクセス(WiMAX)サービス、および無線セッション開始プロトコル(SIP)サービスを含むさまざまな無線通信サービスを提供するように構成されうる。局/端末106,108,110は、(限定される訳ではないが、電気電子学会(IEEE)によって開発された802.11、802.11−2007、および802.11x仕様ファミリに準拠した通信を含む)無線通信のために構成されうる。さらに、局/端末106,108,110は、アクセス・ポイント102へデータを送信し、アクセス・ポイント102からデータを受信するように構成されうる。
【0049】
図2は、典型的な局/端末200を例示するブロック図である。プロセッサ210(例えば、デジタル信号プロセッサ(DSP))は、プロセッサ210における実行のための命令群260および送信を処理するためのデータのような情報を格納するためのメモリ232に接続されている。これら命令群は、本明細書に記載されるように、局/端末のさまざまな方法および機能を実行するためにプロセッサ210によって実行可能でありうる。さらに、アクセス・ポイント(AP)、認証サーバ(AS)、およびダイナミック・ホスト・コンフィギュレーション・プロトコル(DHCP)サーバも同様に、プロセッサおよびメモリを含みうる。メモリは、本明細書で記載されたように、AP、AS、およびDCHPサーバそれぞれのさまざまな方法および機能を実行するためにプロセッサによって実行可能な命令群を格納している。
【0050】
ディスプレイ・コントローラ226は、プロセッサ210およびディスプレイ・デバイス228へ接続されうる。コーダ/デコーダ(CODEC)234も、プロセッサ210に接続されうる。ユーザ・インタフェース・デバイスの限定しない例として、スピーカ236およびマイクロホン238が、CODEC234に接続されうる。無線コントローラ240が、プロセッサ210およびアンテナ242に接続されうる。特定の例では、プロセッサ210、ディスプレイ・コントローラ226、メモリ232、CODEC234、および無線コントローラ240は、システム・イン・パッケージまたはシステム・オン・チップ・デバイス222に含まれうる。特定の例では、入力デバイス230および電源244が、システム・オン・チップ・デバイス222に接続されうる。さらに、特定の例では、例示されるように、ディスプレイ・デバイス228、入力デバイス230、スピーカ236、マイクロホン238、アンテナ242、および電源244は、システム・オン・チップ・デバイス222の外側にありうる。しかしながら、ディスプレイ・デバイス228、入力デバイス230、スピーカ236、マイクロホン238、無線アンテナ242、および電源244の各々は、インタフェースまたはコントローラのようなシステム・オン・チップ・デバイス222の構成要素に接続されうる。
【0051】
図3は、従来の接続設定において実行されうるメッセージングを例示するフロー図である。局/端末302とアクセス・ポイント304の間に示されているメッセージは、プローブと認証要求とを含みうる。拡張可能認証プロトコル(EAP:Extensible Authentication Protocol) オーバ・ローカル・エリア・ネットワーク(LAN) (EAPOL)処理は、識別フェーズ、保護EAP(PEAP)フェーズ、およびEAP−マイクロソフト・チャレンジ・ハンドシェイク認証プロトコル(EAP−MSCHAPv2)を開始および含みうる。EAPが成功すると、EAPOL鍵が確立されうる。したがって、リンク設定および認証を確立するために、少なくとも16のメッセージが、局/端末302へ通信されうるか、または、局/端末302から通信されうる。
【0052】
本明細書に記載された提案されたシステムの特定の実施形態では、(ビーコン受信後)IP接続を設定するためのメッセージの数が、(16のメッセージから)2つのメッセージへ低減される。拡張可能認証プロトコル再認証プロトコル(ERP)は、図12および13に関して以下により十分に記載されているような再認証の一部として使用され、以下の最適化を含みうる。局/端末(STA)302は、フルなEAP認証を実行すると、その後、高速な初期リンク設定のためのERP高速再認証を用いて、EAP認証を維持する。
【0053】
関連付け要求を送信する前に、ネットワークからのチャレンジを取得することなく、再認証マスタ・セッション鍵(rMSK)が局/端末302によって生成される。rMSKから、局(STA)302によって、ペアワイズ・トランジェント鍵(PTK)が生成される。ペアワイズ・トランジェント鍵(PTK)は、鍵確認鍵(KCK)、鍵暗号鍵(KEK)、およびトランジェント鍵(TK)を含む。
【0054】
この関連付け要求は、局302によって送信され、EAP再認証要求を、ダイナミック・ホスト・コンフィギュレーション・プロトコル(DHCP)−Discover−with−Rapid−Commitと、SNonceとバンドルする(例えば、SNonceは、局302によってピック・アップされる。すなわち、局ノンス)。バンドルされたメッセージは、1または複数の情報要素(IE)として含まれうる。EAP再認可要求は、再認証保全鍵(rIK)を用いて認証サーバ(Authサーバ)308によって認証される。DHCP−Discover−with−Rapid−Commit と、SNonceとは、再認証マスタ・セッション鍵(rMSK)を用いて、または、rMSKから導出されたペアワイズ・トランジェント鍵(PTK)を用いて保護される。DHCP−Discover−with−Rapid−Commitが暗号化され、MIC(メッセージ保全符号)化されるか、または、暗号化されずにMIC化される。本明細書に記載された例のいくつかは、効率的な再認証概念を例示するために、発見要求(例えば、Discover−with−Rapid−Commit)を利用するが、IPアドレスを割り当てるために(プロトコル・スタックの)上部レイヤにおいて用いられる任意のメッセージが、代わりに用いられうることが理解されるべきである。
【0055】
DHCPメッセージが暗号化されているのであれば、アクセス・ポイント304は、EAP再認証要求が認証サーバ308によって検証されるまで、Discover−with−Rapid−CommitメッセージとSNonceメッセージとを保持しうる。メッセージを検証にするために、アクセス・ポイント(AP)304は、認証サーバ308からrMSKを受信し、ペアワイズ・トランジェント鍵(PTK)を導出するまで待つ。認証サーバ308から取得したrMSKに基づいて、アクセス・ポイント304は、MIC(メッセージ保全符号)のために用いられるのみならず、メッセージを解読するためにも用いられるPTKを導出する。
【0056】
DHCPメッセージが暗号化されていないのであれば、アクセス・ポイント304は、多くのケースにおいて、メッセージが、正しいデバイスから到来したとの予測の下、Discover−with−Rapid−CommitをDHCPサーバへ転送しうる(が、EAP再認証要求が認証サーバ308によって検証されるまでSNonceメッセージを保持する)。アクセス・ポイント304は、Discover−with−Rapid−CommitがDHCPサーバへ送信されても、認証サーバ308から取得されたrMSKに基づいてDHCPディスカバ・メッセージを有効にし、PTKを導出するまで、DHCPアクノレッジを保持するだろう。
【0057】
その後、アクセス・ポイント(AP)304は、PTKで保護されたGTK/IGTK+DCHPアクノレッジを送信する。言い換えれば、DHCPアクノレッジが暗号化され、メッセージ保全性が保護される。
【0058】
限定しない態様は、リンク設定および認証のための処理における以下のステップのうちの1または複数を含みうる。
【0059】
第1に、ユーザは、局/端末302を取得し、特定のネットワーク(例えば、特定のWiFiネットワーク)との初期設定の一部として、フルEPA認証を実行しうる。限定しない例として、恐らく、例えば1年のような特定の認証期間、フルEPA認証が維持されうる。
【0060】
第2に、認証期間中、ユーザは、(いくつかの、オーバラップしない)公的にアクセス可能なWiFiホット・スポット(例えば、コーヒー・ショップおよびその他の公共的な場所)を通り過ぎる。言い換えれば、このステップは、認証期間中に、複数回、かつ、設定ネットワークの一部である複数のアクセス・ポイント304と実行されうる。局/端末302は、ERPを用いてネットワークと高速初期リンク設定(FILS:Fast Initial Link Setup)を実行するだろう。関連付け要求メッセージを用いてERPをDHCP-Rapid−Discoveryとバンドルすることは、以下により詳しく説明されるように、関連付け要求のためのシグナリングを、1往復に減少させるだろう。認証期間中、ユーザの局/端末302は、ネットワークと接続している場合に、高速初期リンク設定(FILS)を求めてERPを実行し続けうる。
【0061】
第3に、認証期間アプローチが終了すると、ユーザは、(例えば、2週間のような)所与の期間内、ネットワークへの「フル・アタッチメント」を実行するように再度警告されうる。この期間中、ユーザは、早期のフルEAP認証が終了するまで、または、フル・アタッチメントが実行されるまで、早期のフルEAP認証に基づいて、高速認証を用いることが可能であり続けるだろう。フル・アタッチメント通知は、ネットワークから発行されうるか、または、局/端末302においてローカルに設定されうる。
【0062】
第4に、ユーザが、フル・アタッチメントを実行しないのであれば、1年後に、ネットワークは、ERPに失敗し、ステップ1において概説されるように、別の年のために、フルEAP認証を開始するだろう。
【0063】
図4−11は、2つのメッセージ・リンク設定および認証を実行するためのさまざまな別のシナリオを例示する。
【0064】
図4は、クライアント局のための効率的なリンク設定および認証を実行する第1の例を例示するフロー図である。ステップ0aおよび0bでは、局/端末(STA)302は、第1のアクセス・ポイントAP1 304Aに通信可能に接続されている間、フルEAP認証を実行しうる。局/端末302は、第2のアクセス・ポイントAP2 304Bに接近し(ステップ1)、そのビーコンを検出する(ステップ2)と、第2のアクセス・ポイントAP2 304Bを介して、自己を再認証するように努めうる。この処理では、アクセス・ポイント304Bは、高速初期リンク設定(FILS)のための能力インジケータを含むビーコン/プローブを送信する。能力インジケータは、バンドルされたERPおよびDCHP−Rapid−Discoveryを伴う関連付け要求を取り扱うための能力を示しうる。ステップ3では、局/端末302は、関連付け要求を送信する前に、ERPを用いて、再認証マスタ・セッション鍵(rMSK)(図13参照)を生成する。ここで、 rMSK=KDF(K、S);
K=rRK;および、
S=rMSK label |“\0”|SEQ| length
である。
【0065】
局/端末302は、1または複数のメッセージを、関連付け要求の情報要素(IE)(または、パラメータ/ペイロード)としてパックする。例えば、このような関連付け要求は、1)EAP再認証開始(rIKを用いたメッセージ保全);2)DHCP−Discover−with−Rapid−Commit(KCK/KEKを用いた暗号化&メッセージ保全);および/または、3)EAPOL鍵(SNonce,ANonce)(KCKを用いたメッセージ保全)を含みうる。EAPOL鍵は、フレーム全体またはサブセットとして構成されうる。ANonce(すなわち、アクセス・ポイント・ノンス)は、局/端末302によって選択され、アクセス・ポイントAP2 304Bへ送信されうる。アクセス・ポイント(AP2)304Bは、局/端末302が、例えば、過去の数秒/ミリ秒で送信されたANonce(例えば、AP2のため、ビーコンから取得された最近のANonce)を用いていることを保証しうる。アクセス・ポイントAP2 304Bは、認証サーバ308からルート・マスタ・セッション鍵(rMSK)を受信するまで、DHCP&EAPOL鍵メッセージを保持する。アクセス・ポイントAP2 304Bは、rMSKからPTKを生成する。アクセス・ポイントAP2 304Bは、DHCP&EAPOL鍵メッセージのためのメッセージ保全符号(MIC)交換を実行し、DHCPを解読する。アクセス・ポイントAP2 304Bは、KCK/KEKを導出するためにrMSKを用い、DHCPアクノレッジとEAPOL鍵メッセージとを、局/端末302へ送信する前に保護する。
【0066】
さまざまな例において、ANonceは、局がパッシブ・スキャンを用いることを可能にするビーコンを用いて、または、アクティブ・スキャンが用いられる場合、プローブ応答メッセージで、AP2 304Bによって送信されうる。ビーコンを用いてANonceがAP2 304Bによって送信される場合、ANonceは、ビーコン毎に、または、複数のビーコンにおいて変更されうる。局302は、局302からAP2 304Bへ送信される関連付け要求メッセージに、局302によって取得されたANonceを含めうる。
【0067】
図5は、リンク設定および認証の別の態様にしたがって実行されうるメッセージングを例示するフロー図である。この処理は、オプション1aと称されうる。図5において実行される処理は、関連付け要求メッセージにカプセル化されたDHCP発見メッセージおよびEAPOL鍵メッセージを認証するために(PTKのKCK/KEKの代わりに)rMSKが用いられることを除いて、図4(オプション1)で実行されるものに類似している。
【0068】
図6は、リンク設定および認証の別の態様にしたがって実行されうるメッセージングを例示するフロー図である。この処理はオプション1bと称されうる。図6において実行される処理は、次のようなありうる相違点を除いて、図4(オプション1)で実行されるものに類似している。図6に図示されるステップ2では、アクセス・ポイント304は、DHCP要求が暗号化されうるという能力を通知しうる。図6に図示されるステップ4では、局/端末302は、DHCPメッセージが暗号化されるべきであるか否かを決定しうる。例えば、DCHP発見要求が、何らかのプライベート情報等を含んでいるのであれば、いくつかの要因が、局/端末302によって考慮されうる。局/端末が、DHCP発見要求を暗号化すると決定すると、アクセス・ポイント304は、(図4および5に図示されるように)このメッセージを保持しうる。
【0069】
局/端末が、DHCP発見要求を暗号化しないと決定すると、以下のステップが実行されうる。図6に図示されるステップ4では、DHCP発見要求情報要素(IE)またはパラメータは、メッセージ保全性のみが保護される。ステップS4に基づいて、アクセス・ポイント304は、EAP再認証開始要求に対する応答(ステップ9)を待つことなく、DHCP−Discover−Rapid−Commitを送信する(ステップ6)。この処理によって、EAP再認証手順と並行して、IPアドレス割当がなされる。図6に図示されるステップ7aでは、アクセス・ポイントは、DHCPサーバから到来したDHCPアクノレッジを、DHCP発見が検証されるステップ10bまで保持する。メッセージ保全に失敗すると、アクセス・ポイント304は、DHCPアクノレッジを用いて、割り当てられたIPアドレスを削除するための手順を開始する。
【0070】
図7は、リンク設定および認証の別の態様にしたがって実行されうるメッセージングを例示するフロー図である。この処理は、オプション2と称されうる。図7において実行される処理は、次のようなありうる相違点を除いて、図4(オプション1)で実行されるものに類似している。DHCPメッセージとEAPOL鍵メッセージとを独立して認証する代わりに、EAP再認証、DHCP発見、およびEAPOL鍵を含む結合されたペイロードが、KCK/KEKを用いて認証されうる。アクセス・ポイント304は、EAP再認証開始メッセージを抽出し、KCK/KEKを用いて認証されたメッセージ全体を検証することなく認証サーバ308へ転送する。アクセス・ポイント304は、認証サーバ308からrMSKを受信した後、メッセージ全体を認証する。
【0071】
図8は、リンク設定および認証の別の態様にしたがって実行されうるメッセージングを例示するフロー図である。この処理は、オプション2aと称されうる。図8において実行される処理は、次のようなありうる相違点を除いて、図5(オプション1a)で実行されるものに類似している。DHCPメッセージとEAPOL鍵メッセージとを独立して認証する代わりに、EAP再認証、DHCP発見、およびEAPOL鍵とを含む結合されたペイロードが、rMSKを用いて認証されうる。アクセス・ポイント304は、EAP再認証開始メッセージを抽出し、rMSKを用いて認証されたメッセージ全体を検証することなく認証サーバ308へ転送する。アクセス・ポイント304は、認証サーバ308からrMSKを受信した後、メッセージ全体を認証する。DHCP発見メッセージ(ステップ9)が、ステップ5の前に送信されうる。このケースでは、認証が成功しなかったのであれば、割り当てられたIPアドレスは無視される。
【0072】
図9は、リンク設定および認証の別の態様にしたがって実行されうるメッセージングを例示するフロー図である。この処理は、オプション2bと称されうる。図9において実行される処理は、次のようなありうる相違点を除いて、図4で実行されるものに類似している。ステップ2では、アクセス・ポイントは、DHCP要求が暗号化されうるとの能力を通知しうる。ステップ4では、局/端末302は、DHCPメッセージが暗号化されるべきか否かを決定する。例えば、DCHP発見要求が、何らかのプライベート情報等を含んでいるのであれば、いくつかの要因が、局/端末302によって考慮されうる。局/端末302が、DHCP発見要求を暗号化すると決定すると、アクセス・ポイント304は、オプション2およびオプション2aにおいて前述したようにメッセージを保持しうる。局/端末302が、DHCP発見要求を暗号化しないことを決定すると、以下のステップが実行されうる。ステップ4では、メッセージ保全性のみが保護される。ステップS4に基づいて、アクセス・ポイント304は、EAP再認証開始要求に対する応答(ステップ9)を待つことなく、DHCP−Discover−With−Rapid−Commitを送信する(ステップ6)。この処理によって、EAP再認証手順と並行して、IPアドレス割当がなされる。ステップ7aでは、アクセス・ポイント304は、DHCPサーバから到来したDHCPアクノレッジを、DHCP発見が検証されるステップ10bまで保持する。メッセージ保全に失敗すると、アクセス・ポイント304は、DHCPアクノレッジ・メッセージを用いて、割り当てられたIPアドレスを削除するための手順を開始する。
【0073】
図10は、リンク設定および認証の別の態様にしたがって実行されうるメッセージングを例示するフロー図である。この処理は、オプション3と称されうる。図10において実行される処理は、次のようなありうる相違点を除いて、図4および5(オプション1および1a)で実行されるものに類似している。ANonceは、「インストールPTK,GTK,IGTK」メッセージとともに関連付け応答で送信されうる。図10におけるステップ9および11は、オプション1bおよびオプション2bに記載されるようなステップ5−7と並行して実行されうる。
【0074】
オプション4はまた、次のようなありうる相違点を除いて、オプション1および2から導出されうる。関連付け要求は、ステップ4における単一のメッセージ(すなわち、関連付け要求)ではなく、メッセージ1(M1)として分離されうる。メッセージ1(M1)は、DHCP発見メッセージおよびメッセージ2(M2)をカプセル化し、メッセージ2(M2)は、EAP再認証開始メッセージおよびSNonceをカプセル化する。アクセス・ポイント304は、EAPOL鍵を受信するまで、DHCP発見メッセージに作用しないだろう。これら2つのメッセージ(M1&M2)は、SIFS期間によって分離されうる。このオプション4は、EAPOL構造が再使用されうるという利点を有しうる。
【0075】
図11は、リンク設定および認証の別の態様にしたがって実行されうるメッセージングを例示するフロー図である。この処理は、オプション5と称されうる。図11において実行される処理は、次のようなありうる相違点を除いて、図4(オプション1)で実行されるものに類似している。アクセス・ポイント304は、ビーコン/プローブ応答を送信する。これは、同時ERPおよび/またはIPアドレス割当のための高速初期リンク設定(FILS)能力インジケータを含む。このシナリオでは、アクセス・ポイント304によって割り当てられたIPアドレスのリース・タイマは終了しない。局/端末302は、このIPアドレスを使用し続けることができるか否かを確認するために、第2のアクセス・ポイント304に送信されたDHCP要求において、第1のアクセス・ポイント304Aによって割り当てられたIPアドレスを用いる。IPアドレスが終了すると、DHCPサーバ306は、DHCP−NAKを送信する。
【0076】
図12は、再認証プロトコル中に実行されうるメッセージングを例示するフロー図である。局/端末302は、初めてネットワークにアタッチした時に、認証サーバ308とのフルEAP交換を実行する。その結果、マスタ・セッション・キー(MSK)が、EAP認証部に配信される。その後、必要に応じて、トランジェント・セッション鍵(TSK)を確立するために、マスタ・セッション鍵(MSK)が認証部および局/端末302によって用いられる。局/端末302および認証サーバ308はまた、最初のEAP交換時に、EMSKを導出する。これは、再認証ルート鍵(rRK)を導出するために用いられる。さらに詳しくは、再認証ルート鍵(rRK)が、拡張MSK(EMSK)から、または、ドメイン特有ルート鍵(DSRK)から導出されうる。ドメイン特有ルート鍵(DSRK)自身も、EMSKから導出される。再認証ルート鍵(rRK)は、局/端末302と認証サーバ308とに対してのみ利用可能でありうる。そして、一般には、その他の何れのエンティティにも配信されない。さらに、再認証保全鍵(rIK)が、再認証ルート鍵(rRK)から導出されうる。局/端末302および認証サーバ308は、ERP交換を実行している間、所有の証拠を提供するために、再認証保全鍵(rIK)を用いうる。再認証保全鍵(rIK)はまた、一般に、その他のどのエンティティへ渡されず、一般には、局/端末302と認証サーバ308に対してのみ利用可能である。
【0077】
2つの新たなEAP符号、すなわち、EAP開始およびEPA終了が、EAP再認証のために定義される。局/端末302は、ERPを要求した場合、図12の下の箱に図示されるように、ERP交換を実行する。
【0078】
図13は、再認証プロトコルのために用いられうる鍵階層を例示する。マスタ・セッション鍵(MSK)が、ルート・キーから導出され、ペアワイズ・マスタ鍵(PMK)が、マスタ・セッション鍵(MSK)から導出されうる。拡張MSK(EMSK)が、ルート鍵から導出されうる。ERP交換のために、追加のさまざまな鍵が、拡張MSK(EMSK)から導出されうる。DSRK1−DSRKnが導出される。ドメイン特有ルート鍵(DSRK)のおのおのは、rRKを含みうる。再認証ルート鍵(rRK)から、再認証保全鍵(rIK)および再認証マスタ・セッション鍵(rMSK1・・・rMSKn)が導出されうる。rMSKのおのおのは、ペアワイズ・マスタ鍵(PMK)を含みうる。(鍵確認鍵(KCK)、鍵暗号鍵(KEK)、およびトランジェント鍵(TK)を含みうる)ペアワイズ・トランジェント鍵(PTK)が、PMKから導出されうる。
【0079】
図14は、再認証要求と上部レイヤ・メッセージ(例えば、発見要求)を生成し、関連付け要求へバンドルするために局/端末において動作可能な典型的な処理1400を図示するフロー図である。動作ブロック1402は、乱数またはノンス(例えば、ANonce)を含むビーコンが、アクセス端末から受信されたことを示す。動作ブロック1404では、端末は、乱数またはノンスを用いて、暗号鍵から、拡張可能な認証プロトコルを備える再認証要求を生成する。動作ブロック1406では、端末は、上部レイヤ・メッセージを生成する。例えば、このような上部レイヤ・メッセージは、発見要求、ダイナミック・ホスト・コンフィギュレーション・プロトコル(DHCP)discover−with−rapid−commit要求、および/または、インターネット・プロトコル(IP)アドレス割当メッセージでありうる。
【0080】
動作ブロック1408において、いくつかの態様では、端末は、以前の認証処理の結果に応じて、再認証マスタ・セッション鍵(rMSK)を生成しうる。動作ブロック1410において、いくつかの態様では、端末は、rMSK、乱数(ANonce)、および/または、ローカルに生成された乱数(SNonce)から、ペアワイズ・トランジェント鍵(PTK)を生成しうる。
【0081】
動作ブロック1412は、いくつかの態様では、端末が、rMSKを用いて上部レイヤ・メッセージを暗号化しうることを示す。動作ブロック1414は、いくつかの態様では、端末が、PTKを用いて、または、KCKとKEKとの組み合わせを用いて、上部レイヤ・メッセージを暗号化しうることを示す。別の態様では、上部レイヤ・メッセージは、解読されうる。
【0082】
動作ブロック1416は、いくつかの態様では、端末は、DHCP発見メッセージをカプセル化する第1のメッセージ、および、EAPOL再認証開始メッセージをカプセル化する第2のメッセージとして、関連付け要求を生成しうる。
【0083】
動作ブロック1418は、端末が、上部レイヤ・メッセージと再認証要求とを、関連付け要求としてバンドルすることを示す。動作ブロック1420は、いくつかの態様では、端末が、第1のメッセージおよび第2のメッセージを個別に送信しうることを示す。
【0084】
図15は、基地局において、局/端末から送信された関連付け要求から再認証要求および上部レイヤ・メッセージを受信し抽出するように動作可能な典型的な処理1500を図示するフロー図である。動作ブロック1502は、いくつかの態様では、アクセス・ポイントが、乱数を生成し、乱数を含むビーコンを送信しうることを示す。
【0085】
動作ブロック1504は、アクセス・ポイントが、上部レイヤ・メッセージと、ともにバンドルされた再認証要求とを含む関連付け要求を端末から受信することを示す。動作ブロック1506は、アクセス・ポイントが、関連付け要求から上部レイヤ・メッセージを抽出し、コンフィギュレーション・サーバへ転送することを示す。動作ブロック1508は、アクセス・ポイントが、関連付け要求から再認証要求を抽出し、認証サーバへ転送することを示す。
【0086】
動作ブロック1510は、いくつかの態様では、アクセス・ポイントが、認証サーバから暗号鍵を受信しうることを示す。動作ブロック1512は、いくつかの態様では、アクセス・ポイントが、暗号鍵、乱数、および、端末から受信した乱数からPTKを生成しうることを示す。動作ブロック1514は、いくつかの態様では、アクセス・ポイントが、PTK内のKCKとKEKとの組み合わせを用いて、上部レイヤ・メッセージを検証しうる。この組み合わせは、拡張可能認証プロトコル・オーバLAN(EAPOL)鍵確認鍵(KCK)およびEAPOL鍵暗号鍵(KEK)を含む。
【0087】
図4−15に関して記述された特定の実施形態は、高速初期リンク設定のための4方式ハンドシェイクを含みうることが注目されるだろう。一般に、4方式ハンドシェイクは、1)STAにANonceを送信するAP、2)APにSNonceを送信するSTA、3)STAにPTKを送信するAP、および4)ハンドシェイクの完了を確認するSTA、を含みうる。
【0088】
したがって、4方式ハンドシェイクの第1の部分は、STAが、アクセス・ポイントとのリンク設定を開始する前に、アクセス・ポイントからのプローブ応答を要求するか、または、ビーコンを求めてリスンすることを含みうる。例えば、ビーコンまたはプローブ応答は、暗号目的および/またはメッセージ保全目的のためにSTAによって用いられるであろうANonceを含みうる。しかしながら、ビーコンを求めてリスンすることは、時間を浪費しうるし、プローブ応答を要求することは、時間及び電力を消費しうる。したがって、STAにおける時間および電力は、STAが、最初に、アクセス・ポイントからのプローブ応答を要求したり、または、ビーコンを求めてリンスしたりすることなく、リンク設定を実行することを可能にすることによって節約されうる。
【0089】
図16は、リンク設定および認証の別の態様にしたがって実行されうるメッセージングを例示するフロー図である。特に、図16は、最初に、アクセス・ポイントからプローブ応答を要求することも、または、ビーコンを求めることもなくリンク設定を可能にする、修正4方式ハンドシェイクを例示する。
【0090】
図16において例示された選択されたメッセージおよび動作は、以下の修正を伴って、図4−11に例示されたメッセージおよび動作に対応しうる。STA302は、ステップ2において、rMSKおよびSNonceを生成し、ステップ3において、保護されていない関連付け要求をAP304へ送信しうる。保護されていない関連付け要求は、SNonceを含みうる。図4の実施形態とは対照的に、STA302は、ANonceを受信しPTKを導出する前に、これらの動作を実行しうる。STA302は、ANonceを受信しPTKを導出する前に、関連付け要求を送信するので、AP304は、図4に記載されたANonce有効化を実行することなく、ステップ4において示されるように、関連付け要求のEAP再認証開始部分を抽出し、AS308へ転送しうる。その代わりに、AP304は、STA302のための認証として、AS308が、導出されたrMSK(ステップ7)とともに回答メッセージを送信することに依存しうる。
【0091】
AP304は、rMSKを受信した後、ステップ9においてANonceを生成し、ステップ10aにおいて、ANonce、rMSK、およびSNonceに基づいてPTKを導出しうる。したがって、PTKは、STA302において導出される前に、AP304において導出されうる。AP304は、ステップ12において、ANonceを含む関連付け応答を、STA302へ送信しうる。この関連付け応答は、PTKのKCKおよびKEKを用いて保護されている。STA302は、AP304から関連付け応答を受信した後、ステップ12aにおいて、関連付け応答におけるrMSK、SNonce、およびANonceを用いてPTKを生成しうる。
【0092】
AP304から送信された関連付け応答(ANonceを含む)は、ANonceを用いて保全保護される。関連付け応答におけるANonce以外の情報要素もまた暗号化されうる。したがって、関連付け要求においてSTA302から取得されたSNonceを用いてAT304において生成されたPTK、AS308から取得されたrMSK、および、まだSTA302へ送信されていないローカルに生成されたANonceを用いて、関連付け応答を「事前保護」(すなわち、事前暗号化/事前保全保護)しうる。STA302は、関連付け応答を受信すると、関連付け応答からANonceを抽出し、PTKを生成し、このメッセージの保全保護を有効にする。したがって、STA302は、メッセージから取得された鍵に基づいてメッセージを「事後検証」する。このような事前保護および事後検証によって、先ず鍵を確認し、次に、鍵を用いてデータを保護する、従来のハンドシェイク・スキームよりも高速なリンク設定を可能としうる。
【0093】
したがって、図16の実施形態によって、STA302は、先ず、ビーコンを求めてリスンすることも、プローブ応答を要求することもなく、リンク設定のために、修正4方式ハンドシェイクを実行できるようになりうる。これはリンク設定時間を短縮し、STA302における電力を節約しうる。STA302は、ビーコン/プローブ応答を待たないので、保護されていない関連付け要求のために、代替のアドレシング・メカニズムを用いうる。例えば、AP304が、STA302に「知られている」場合、STA302は、STA302のメモリに、AP304の基本サービス・セット識別子(BSSIC)を既に格納しているかもしれない。STA302は、リンク設定を開始するために、格納されたBSSIDを検索し、保護されていない関連付け要求を、BSSIDに基づいてAP304へ送信しうる。AP304がSTA302に「知られうる」状況は、AP304が、以前にSTA302によって訪問されている場合(例えば、「ホーム」APまたは「オフィス」AP)と、(例えば、STA302のセルラおよび/またはグローバル・ポジショニング・システム(GPS)機能によって決定されたように)STA302が最近移動していない場合とを含む。したがって、特定の実施形態では、STA302は、(例えば、STA302が、ターゲットAP304がSTA302の近傍にあることを「知っている」場合、)STA302において決定された位置情報に応じて、関連付け要求を送信しうる。
【0094】
図17は、リンク設定および認証を実行するために図16のSTA302において動作可能な典型的な処理1700を図示するフロー図である。1702では、モバイル・デバイス(例えば、STA302)が、モバイル・デバイスによって以前に訪問されたアクセス・ポイントのBSSIDを検索しうる。1704に進んで、モバイル・デバイスはrMSKとSNonceとを生成しうる。1706に進んで、モバイル・デバイスは、保護されていない関連付け要求を、BSSIDに基づいて、アクセス・ポイントへ送信しうる。例えば、図16に示すように、STA302は、ステップ3において、保護されていない関連付け要求を、AP304へ送信しうる。
【0095】
1708へ進んで、モバイル・デバイスは、アクセス・ポイントから、関連付け応答を受信しうる。関連付け応答は,ANonceを含む。1710では、モバイル・デバイスは、受信した関連付け応答におけるrMSK、SNonce、およびANonceを用いてPTKを生成しうる。例えば、図16に示すように、STA302は、ステップ12において、AP304から関連付け応答を受信し、ステップ12aにおいて、PTKを導出しうる。
【0096】
図18は、リンク設定および認証を実行するために、図16のAP304において動作可能な典型的な処理1800を図示するフロー図である。1802において、アクセス・ポイントは、モバイル・デバイスから、保護されていない関連付け要求を受信しうる。保護されていない関連付け要求は、SNonceを含む。1804に進んで、アクセス・ポイントは、保護されていない関連付け要求から、開始メッセージを抽出しうる。1806に進んで、アクセス・ポイントは、認証サーバへ開始メッセージを送信し、認証サーバから回答メッセージを受信しうる。回答メッセージは、rMSKを含む。例えば、図16に示すように、AP304は、ステップ3において、STA302から、保護されていない関連付け要求を受信し、ステップ8において、AS308から、rMSKを受信しうる。
【0097】
1808に進んで、アクセス・ポイントは、ANonceを生成しうる。アクセス・ポイントはまた、1810において、rMSK、ANonce、およびSNonceを用いてPTKを生成しうる。1812に進んで、アクセス・ポイントは、関連付け応答をモバイル・デバイスへ送信しうる。関連付け応答は、ANonceを含み、PTKを用いて保護されている。例えば、図16に示すように、AP304は、ステップ9においてANonceを生成し、ステップ10aにおいてPTKを導出し、ステップ12において、関連付け応答をSTA302へ送信しうる。
【0098】
図19は、リンク設定および認証の別の態様にしたがって実行されうるメッセージングを例示するフロー図である。特に、図19は、第1のリンク設定中に、第1のリンク設定に後続する第2のリンク設定中に用いられうる「次の」ANonceを提供することを例示する。
【0099】
図16に例示された選択されたメッセージおよび動作は、以下の修正を伴い、図4−11に例示されるメッセージおよび動作に対応しうる。STA302は、第1のANoce(例えば、ANonce 第1のリンク設定1902中、STA302は、第1のANonce(例えば、ANonce[x])を用いて、AP304へ、関連付け要求を送信しうる。AP304は、第1のリンク設定1902中、STA302へ第2のANonce(例えば、ANonce[x+1])を提供しうる。第2のANonceは、AP304との、後続する第2のリンク設定1904における使用のためのものでありうる。例えば、第2のANonceは、(例えば、図4aに図示されるような)関連付け応答で、(例えば、図4bにおいて図示されるような)EAPOLメッセージで、またはこれら任意の組み合わせで提供されうる。
【0100】
STA302がAP304との第2のリンク設定を開始した場合、STA302は、ビーコンを待つ代わりに、または、プローブ応答を要求する代わりに、第2のANonce(例えば、ANonce[x+1])を用いうる。特定の実施形態では、第2のANonce(例えば、ANonce[x+1])が、AP304によって設定された有効性寿命を有しうる。そして、STA302は、ステップ5aにおいて、第2のリンク設定1904を開始する前に、第2のANonceが有効であると判定しうる。第2のANonceが無効であると判定されると、STA302は、図20を参照して記載したように続けうる。
【0101】
第2のANonce(例えば、ANonce[x+1])が有効であると判定されると、STAは、第2のANonceを用いて、第2のリンク設定1904を開始しうる。第2のリンク設定1904中、STA302は、ステップ6に図示されるように、第2のANonceを用いて、第2の関連付け要求を送信しうる。STA302はまた、ステップ7aまたはステップ7bに図示されるように、後続する第3のリンク設定において用いられるべき第3のANonce(例えば、ANonce[x+2])を受信しうる。
【0102】
図20は、リンク設定および認証の他の態様にしたがって実行されうるメッセージを例示するフロー図である。図20において例示されるメッセージおよび動作は、以下の修正を伴い、図19に図示されるものに相当しうる。
【0103】
ステップ5aにおいて、STA302は、(例えば、有効期間の終了によって、)第2のANonce(例えば、ANonce したがって、図19−20に記載される実施形態は、「次のANonce」をモバイル・デバイスへ提供しうる。これによって、後続するリンク設定は、より高速に実行され、より少ない電力しか消費しないようになりうる。さらに、例示を容易にするために、図19−20の実施形態は、リンク設定に含まれるすべてのメッセージングを必ずしも含むものではないことが注目されるべきである。例えば、DHCP動作に関連するメッセージングと、AP304とAS308との間のメッセージングとは図示されていない。
【0104】
図21は、リンク設定および認証を実行するために、図19−20のSTA302において動作可能な典型的な処理2100を図示するフロー図である。2102において、モバイル・デバイスは、第1のANonceを用いて、アクセス・ポイントとの第1のリンク設定を開始しうる。第1のANonceが、メモリから検索されうるか、および/または、ビーコンまたはプローブ応答によってアクセス・ポイントから受信されうる。2104に進んで、モバイル・デバイスは、アクセス・ポイントとの第1のリンク設定中に、アクセス・ポイントとの、後続する第2のリンク設定において用いられるための第2のANonceを受信しうる。第2のANonceは、関連付け応答および/またはEAPOLメッセージで受信されうる。例えば、図19−20に示すように、STA302は、第1のANonce(例えば、ANonce[x])を用いて第1のリンク設定1902を開始し、第1のリンク設定1902中に、第2のANonce(例えば、ANonce[x+1])を受信しうる。
【0105】
2106へ進んで、モバイル・デバイスは、第2のANonceが有効であるか否かを判定しうる。例えば、モバイル・デバイスは、第2のリンク設定を開始する前に、このような判定を行いうる。例示するために、モバイル・デバイスは、第2のANonceとともに送信されたタイマを用いうるか、または、第2のANonceが有効であるか否かを判定するために予め設定されたタイマを用いうる。第2のANonceが有効であると判定された場合、モバイル・デバイスは、2108において、第2のANonceを用いて、第2のリンク設定を開始しうる。例えば、図19に示すように、STA302は、第2のANonce(例えば、ANonce[x+1])を用いて第2のリンク設定1904を開始しうる。
【0106】
第2のANonceが、無効であると判定された場合、モバイル・デバイスは、2110において、アクセス・ポイントから新たなANonceを受信しうる。新たなANonceは、ビーコンまたはプローブ応答で受信されうる。2112へ進んで、モバイル・デバイスは、新たなANonceを用いて、アクセス・ポイントとのリンク設定を開始しうる。例えば、図20に示すように、モバイル・デバイスは、リンク設定のために、この新たなANonce(例えば、ANonce[y])を用いうる。
【0107】
図22は、リンク設定および認証を実行するために、図19−20のAP304において動作可能な典型的な処理2200を図示するフロー図である。2202において、アクセス・ポイントは、モバイル・デバイスへ第1のANonceを送信しうる。第1のANonceは、第1のANonceを用いる第1のリンク設定の開始前に送信されうる。2204へ進んで、アクセス・ポイントは、第1のリンク設定中、モバイル・デバイスとの、後続する第2のリンク設定において用いるために、第2のANonceをモバイル・デイバスへ送信しうる。例えば、図19−20に示すように、AP304は、第1のANonce(例えば、ANonce 図23は、リンク設定および認証の別の態様にしたがって実行されうるメッセージングを例示する図解である。特に、図23は、リンク設定中の上部レイヤ・シグナリング保護のため、「テンポラリ」鍵(例えば、PTK)を使用を例示する。上部レイヤ・シグナリング・メッセージは、(STA302と認証サーバ308との間に)内蔵型セキュリティ保護を有しているので、上部レイヤ・シグナリング・メッセージは、「より弱い」ANonce(例えば、より低いセキュリティ特性を有するANonce)を用いて保護されうる。これは、関連付けのためのより高速なシグナリング手順を可能にしうる。本明細書に記載されるように、「より強い」ANonceが上部レイヤ・シグナリングと並行して導出され、さらなるデータ転送のために用いられる。
【0108】
図23に例示された、選択されたメッセージおよび動作は、以下の修正を伴って、図4−11に例示されたメッセージおよび動作に相当しうる。ステップ2において図示されるように、AP304はSTA302に第1のANonce(例えばANonce1)を送信しうる。ステップ3aにおいて図示されるように、STA302は、STA302のSNonceおよびANonce1に基づいて、第1のPTK(例えば、PTK1)を導出しうる。ステップ4において、STA302は、AP304に関連付け要求を送信しうる。関連付け要求は、SNonceを含みうる。そして、PTK1を用いて保護されうる。例示するために、関連付け要求は、PTK1から導出された第1の鍵確認鍵(KCK1)を用いて保護されうる。【0109】
ステップ8aにおいて、AP304は、関連付け要求に含まれるSNonceおよびANonce1に基づいてPTK1を導出しうる。ステップ12において、APは、第2のANonce(例えば、ANonce2)を生成しうる。そして、SNonceおよびANonce2に基づいて、第2のPTK(例えば、PTK2)を導出しうる。ステップ13において、AP304は、STA302へ、関連付け応答を送信しうる。関連付け応答は、ANonce2を含んでおり、PTK2を用いて保護される。例示するために、関連付け応答は、PTK2に基づいて導出された鍵暗号鍵(KEK)とKCKを用いて保護されうる。STA302は、リンク設定を完了するために、ステップ14において、SNonceに基づいてPTK2を生成しうる。PTK2は、STA302とAP304との間で通信される後続するメッセージ(例えば、データ・メッセージ)を保護するために、STA302およびAP304によって用いられうる。
【0110】
したがって、保護されていない関連付け要求の送信を含む、図16に例示されるメッセージ・フローとは異なり、図23のメッセージ・フローは、「テンポラリ」PTK1を用いて、関連付け要求を保護する。PTK1は、複数のSTAに知られうるANonceを用いて生成される(例えば、ANonce1は、ビーコンによって複数のSTAへブロードキャストされうる)が、「テンポラリ」鍵PTK1を用いて、1つのメッセージ(関連付け要求)しか保護されないことが注目されるだろう。STA302とSTA304との間のデータ・メッセージおよび関連付け応答を含む後続するメッセージは、異なる鍵PTK2を用いて保護される。図23のメッセージ・フローは、例えば公衆アクセス・エリアのように、APが「知られている」または「信頼されている」状況においては、望ましいことでありうる。
【0111】
図24は、リンク設定および認証を実行するために、図23によって例示されているようにメッセージを通信し処理するSTA302のような局において動作可能な典型的な処理2400を図示するフロー図である。2402において、モバイル・デバイス(例えば、STA302)は、アクセス・ポイント(例えば、AP304)から、第1のANonce(例えば、ANonce1)を受信しうる。2404に進んで、モバイル・デバイスは、第1のANonceを用いて第1のPTK(例えば、PTK1)を生成しうる。2406に進んで、モバイル・デバイスはアクセス・ポイントへ関連付け要求を送信しうる。関連付け要求は、SNonceを含みうる。そして、第1のPTKを用いて保護されうる。
【0112】
2408において、モバイル・デバイスは、アクセス・ポイントから、関連付け応答を受信しうる。関連付け応答は、第2のANonce(例えば、ANonce2)を含みうる。そして、第2のPTK(例えば、PTK2)を用いて保護されうる。2410に進んで、モバイル・デバイスは、第2のANonceおよびSNonceを用いて第2のPTKを生成しうる。2412に進んで、モバイル・デバイスは、アクセス・ポイントへ送信されるべき1または複数の後続するメッセージを保護するために、第2のPTKを用いうる。
【0113】
図25は、リンク設定および認証を実行するために、図23によって例示されているようにメッセージを通信し処理するAP304のようなアクセス・ポイントにおいて動作可能な典型的な処理2500を図示するフロー図である。2502において、アクセス・ポイント(例えば、AP304)は、モバイル・デバイス(例えば、STA302)へ、第1のANonce(例えば、ANonce1)を送信しうる。例えば、第1のANonceは、ユニキャスト・プローブ応答またはブロードキャスト・ビーコンによって送信されうる。2504に進んで、アクセス・ポイントは、モバイル・デバイスから関連付け要求を受信しうる。関連付け要求は、SNonceを含みうる。そして、第1のPTK(例えば、PTK1)を用いて保護されうる。2506において、アクセス・ポイントは、第1のANonceおよびSNonceに基づいて、第1のPTKを生成しうる。
【0114】
2508に進んで、アクセス・ポイントは、第2のANonce(例えば、ANonce2)を生成し、第2のANonceおよびSNonceに基づいて、第2のPTK(例えば、PTK2)を生成しうる。2510において、アクセス・ポイントは、モバイル・デバイスへ、関連付け応答を送信しうる。関連付け応答は、第2のANonceを含みうる。そして、第2のPTKを用いて保護されうる。
【0116】
図26に例示された、選択されたメッセージおよび動作は、以下の修正を伴い、図4−11において例示されたメッセージおよび動作に相当しうる。ステップ2において図示されるように、AP304は、ビーコンまたはプローブ応答で、STA302にANonceシードを送信しうる。特定の実施形態では、ANonceシードは、AP304によって頻繁に更新される64ビットの暗号シード値である。特定の実施形態では、ANonceシードは、複数のSTAへ(例えば、ビーコンで)ブロードキャストされる。ステップ3に図示されるように、STA302は、デバイス特定のANonceを生成するためにANonceシードを用いうる。特定の実施形態では、ANonceは、STA302を記述する、および/または、(例えば、STA302のMACアドレス、または、STA302に関連付けられたその他いくつかの値のような)STA302にユニークな値およびANonceシードに関数(例えば、ハッシュ関数)を実行することによって生成されうる。複数のSTAへブロードキャストされたANonceとは異なり、ステップ3で生成されたANonceは、STA302にユニークでありうることが認識されるだろう。STA302は、生成されたANonceに基づいて、AP304とのリンク設定を実行しうる。
【0117】
ステップ8aにおいて、AP304は、STA302のMACアドレスおよびANonceシードに基づいてANonceを導出しうる。例えば、STA302のMACアドレスは、ステップ4において送信された関連付け応答からAP304によって検索されうる。AP304は、ANonceを生成した後、STA302とのリンク設定を実行し、完了しうる。
【0118】
他のハンドシェイク技術とは異なり、図26の実施形態は、AP304の前にSTA302がANonceを生成することを含むことが注目されるだろう。しかしながら、後方互換性を保つために、図26のANonceシード技術にしたがって生成されたANonceは、ハンドシェイク技術で、類似の特性をANonceへ共有しうる。例えば、ANonceは、STA302へユニークであり、ANonceおよび/またはANonceシードは、(例えば、ステップ2において図示されるようなビーコンまたはプローブ応答メッセージ、または、ステップ4において図示されるようなEAPOL鍵メッセージを用いて)「クリアに」送信されうる。そして、ANonceは、AP304による送信前に、認証されていないデバイスによって予測可能ではないことがありうる。
【0119】
図27は、リンク設定および認証を実行するために、図26によって例示されているようにメッセージを通信し処理するSTA302のような局において動作可能な典型的な処理2700を図示するフロー図である。2702において、モバイル・デバイス(例えば、STA302)は、アクセス・ポイント(例えば、AP304)から、ANonceシードを受信しうる。2704に進んで、モバイル・デバイスは、モバイル・デバイスのMACアドレスおよびANonceシードに基づいて、ANonceを生成しうる。2706に進んで、モバイル・デバイスは、生成されたANonceに基づいて、アクセス・ポイントとのリンク設定を実行しうる。
【0120】
図28は、リンク設定および認証を実行するために、図26によって例示されているようにメッセージを通信し処理するAP304のようなアクセス・ポイントにおいて動作可能な典型的な処理2800を図示するフロー図である。2802において、アクセス・ポイント(例えば、AP304)は、モバイル・デバイス(例えば、STA302)へ、ANonceシードを送信しうる。2804に進んで、アクセス・ポイントは、モバイル・デバイスのMACアドレスを受信しうる。例えば、MACアドレスは、モバイル・デバイスからの、例えば関連付け要求のようなメッセージに含まれうる。2806に進んで、アクセス・ポイントは、モバイル・デバイスのMACアドレスおよびANonceシードに基づいて、ANonceを生成しうる。2808において、アクセス・ポイントは、モバイル・デバイスによってレポートされたANonceを、アクセス・ポイントによって計算されたモバイル・デバイスと比較することにより、モバイル・デバイスの認証性を検証しうる。モバイル・デバイスが検証に合格すると、アクセス・ポイントは、生成されたANonceに基づいて、モバイル・デバイスとのリンク設定を実行しうる。
【0121】
さまざまな実施形態およびオプションが、本明細書において代案として記載されているが、別の実施形態およびオプションとは異なる特性が、リンク設定および認証を実行するために結合されうることが注目されるべきである。
【0122】
本明細書に記載されたさまざまな技術は、プル・ベースおよびプッシュ・ベースのデータ・シナリオに適用されうる。例えば、図16−18を参照して記載された修正4方式ハンドシェイクと、図19−22を参照して記載された「次の」ANonce技術が、プル・ベースおよびプッシュ・ベースのデータ・シナリオに適用されうる。例えば、電子メールおよびソーシャル・ネットワーク・アプリケーションのように、モバイル・デバイスによって実行される1または複数のアプリケーションは、データ更新を求めて定期的にチェックしうる。修正4方式ハンドシェイクまたは「次の」ANonce技術によって、このようなデータ更新プルは、より高速に、かつ、モバイル・デバイスのおけるバッテリ消費量を低減して実行できるようになりうる。別の例として、モバイル・デバイスにおけるアプリケーション(単数または複数)は、(例えば、サーバから)プッシュされたデータ更新を受信するように構成されうる。データ更新の最初の部分は、セル接続で受信されうる。しかしながら、データ更新の残りは、(例えば、WiFiによって)より高速に、および/または、バッテリ消費量を低減して受信されうる。なぜなら、データ更新の最初の部分は、本明細書に記載されたように、修正4方式ハンドシェイクまたは「次の」ANonce技術を用いて、高速初期リンク設定をトリガするからである。図23−25を参照して記載されたテンポラリPTK技術と、図26−28を参照して記載されたANonceシード技術とはまた、このようなプル・ベースおよびプッシュ・ベースのデータ・シナリオで用いられうる。
【0123】
記載された実施形態と連携して、第1の装置は、保護されていない関連付け要求をモバイル・デバイスからアクセス・ポイントへ送信する手段を含みうる。例えば、この送信する手段は、STA106−110の1または複数の構成要素、無線コントローラ240、アンテナ242、STA302の1または複数の構成要素、保護されていない関連付け要求を送信するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。第1の装置はまた、アクセス・ポイントから関連付け応答を受信する手段を含みうる。関連付け応答は、ANonceを含む。例えば、受信する手段は、STA106−110の1または複数の構成要素、無線コントローラ240、アンテナ242、STA302の1または複数の構成要素、関連付け応答を受信するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。第1の装置はさらに、モバイル・デバイスにおいて、ANonceを用いてPTKを生成する手段を含みうる。例えば、生成する手段は、STA106−110の1または複数の構成要素、プロセッサ210、STA302の1または複数の構成要素、PTKを生成するように構成された1または複数の他のデバイス、またはこれら任意の組み合わせを含みうる。
【0124】
第2の装置は、モバイル・デバイスから、保護されていない関連付け要求を、アクセス・ポイントにおいて受信する手段を含みうる。例えば、保護されていない関連付け要求を受信する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、保護されていない関連付け要求を受信するように構成された1または複数の他のデバイス(例えば、無線コントローラおよび/またはAPのアンテナ)、またはこれら任意の組み合わせを含みうる。第2の装置はまた、保護されていない関連付け要求から、開始メッセージを抽出する手段を含みうる。例えば、抽出する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、開始メッセージを抽出するように構成された1または複数の他のデバイス(例えば、APのプロセッサ)、またはこれら任意の組み合わせを含みうる。第2の装置はさらに、ASに開始メッセージを送信する手段を含みうる。例えば、開始メッセージを送信する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、開始メッセージを送信するように構成された1または複数の他のデバイス(例えば、無線コントローラおよび/またはAPのアンテナ)、またはこれら任意の組み合わせを含みうる。
【0125】
第2の装置は、ASから回答メッセージを受信する手段を含みうる。回答メッセージは、rMSKを含む。例えば、回答メッセージを受信する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、回答メッセージを受信するように構成された1または複数の他のデバイス(例えば、無線コントローラおよび/またはAPのアンテナ)またはこれら任意の組み合わせを含みうる。第2の装置はまた、ANonceを生成する手段を含みうる。例えば、生成する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、ANonceを生成するように構成された1または複数の他のデバイス(例えば、APのプロセッサ)、またはこれら任意の組み合わせを含みうる。第2の装置はさらに、アクセス・ポイントからモバイル・デバイスへ関連付け応答を送信する手段を含みうる。関連付け応答は、ANonceを含む。例えば、関連付け応答を送信する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、関連付け応答を送信するように構成された1または複数の他のデバイス(例えば、無線コントローラおよび/またはAPのアンテナ)、またはこれら任意の組み合わせを含みうる。
【0126】
第3の装置は、モバイル・デバイスにおいて、第1のANonceを用いてアクセス・ポイントとの第1のリンク設定を開始する手段を含みうる。例えば、開始する手段は、STA106−110の1または複数の構成要素、プロセッサ210、STA302の1または複数の構成要素、リンク設定を開始するように構成された1または複数の他のデバイス、またはこれら任意の組み合わせを含みうる。第3の装置はまた、アクセス・ポイントとの第1のリンク設定中、第1のリンク設定に後続する、アクセス・ポイントとの第2のリンク設定に用いるための第2のANonceを受信する手段を含みうる。例えば、受信する手段は、STA106−110の1または複数の構成要素、無線コントローラ240、アンテナ242、STA302の1または複数の構成要素、ANonceを受信するように構成された1または複数の他のデバイス、またはこれら任意の組み合わせを含みうる。
【0127】
第4の装置は、第1のANonceを用いる第1のリンク設定中に、アクセス・ポイントからモバイル・デバイスへ、第1のリンク設定に後続する、モバイル・デバイスとの第2のリンク設定のために用いる第2のANonceを送信する手段を含みうる。例えば、第2のANonceを送信する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、ANonceを送信するように構成された1または複数のその他のデバイス(例えば、無線コントローラおよび/またはAPのアンテナ)、またはこれら任意の組み合わせを含みうる。第4の装置はまた、第1のリンク設定の開始前に、ビーコンまたはプローブ応答で、モバイル・デバイスへ第1のANonceを送信する手段を含みうる。第2のANonceは、第1のANonceとは異なる。例えば、第1のANonceを送信する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、ANonceを送信するように構成された1または複数のその他のデバイス(例えば、無線コントローラおよび/またはAPのアンテナ)、またはこれら任意の組み合わせを含みうる。
【0128】
第5の装置は、モバイル・デバイスにおいて、アクセス・ポイントから第1のANonceを受信する手段を含みうる。例えば、受信する手段は、STA106−110の1または複数の構成要素、無線コントローラ240、アンテナ242、STA302の1または複数の構成要素、ANonceを受信するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。この装置はまた、第1のANonceを用いて第1のPTKを生成する手段を含みうる。例えば、生成する手段は、STA106−110の1または複数の構成要素、プロセッサ210、STA302の1または複数の構成要素、PTKを生成するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。第1のANonceは、例えば、ビーコンで複数のSTAへブロードキャストされる、または、値が予測可能であることによって、「弱い」ANonceであると考えられうる。しかしながら、上部レイヤ・シグナリング・メッセージに埋め込まれた暗黙的なセキュリティによって、そのような「弱い」ANonceを用いることは許容可能でありうる。さらに、本明細書に記載されるように、第2の、「より強い」ANonceが導出され、さらなるデータ転送のために用いられうる。
【0129】
装置はさらに、関連付け要求をアクセス・ポイントへ送信する手段を含みうる。関連付け要求は、SNonceを含み、第1のPTKを用いて保護される。例えば、送信する手段は、STA106−110の1または複数の構成要素、無線コントローラ240、アンテナ242、STA302の1または複数の構成要素、関連付け要求を送信するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。
【0130】
装置は、アクセス・ポイントからの関連付け応答を、モバイル・デバイスにおいて受信する手段を含みうる。関連付け応答は、第2のANonceを含み、第2のPTKを用いて保護される。例えば、受信する手段は、STA106−110の1または複数の構成要素、無線コントローラ240、アンテナ242、STA302の1または複数の構成要素、関連付け応答を受信するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。第2のANonceは、「強い」ANonceと考えられうる。
【0131】
装置はまた、モバイル・デバイスにおいて、第2のANonceおよびSNonceを用いて第2のPTKを生成する手段を含みうる。例えば、生成する手段は、STA106−110の1または複数の構成要素、プロセッサ210、STA302の1または複数の構成要素、PTKを生成するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。この装置はさらに、モバイル・デバイスからアクセス・ポイントへ送信されるべき少なくとも1つの後続するメッセージを保護するために、第2のPTKを用いる手段を含みうる。例えば、用いる手段は、STA106−110の1または複数の構成要素、プロセッサ210、STA302の1または複数の構成要素、メッセージを保護するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。
【0132】
第6の装置は、アクセス・ポイントからモバイル・デバイスへ第1のANonceを送信する手段を含みうる。例えば、送信する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、ANonceを送信するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。この装置はまた、モバイル・デバイスから関連付け要求を受信する手段を含みうる。関連付け要求は、SNonceを含んでおり、第1のPTKを用いて保護される。例えば、受信する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、関連付け要求を受信するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。
【0133】
この装置はさらに、アクセス・ポイントにおいて、第1のANonceおよびSNonceに基づいて第1のPTKを生成する手段を含みうる。例えば、生成する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、PTKを生成するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。この装置は、第2のANonceを生成する手段を含みうる。例えば、第2のANonceを生成する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、ANonceを生成するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。この装置はまた、第2のANonceおよびSNonceに基づいて第2のPTKを生成する手段を含みうる。例えば、生成する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、PTKを生成するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。
【0134】
この装置はさらに、関連付け応答をモバイル・デバイスへ送信する手段を含みうる。関連付け応答は、第2のANonceを含み、第2のPTKを用いて保護される。例えば、送信する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、関連付け応答を送信するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。
【0135】
第7の装置は、モバイル・デバイスにおいて、アクセス・ポイントからANonceシードを受信する手段を含みうる。ANonceシードは、(例えば、ビーコンによって)複数のデバイスへブロードキャストされうる。例えば、ANonceシードを受信する手段は、STA106−110の1または複数の構成要素、無線コントローラ240、アンテナ242、STA302の1または複数の構成要素、ANonceシードを受信するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。装置はまた、モバイル・デバイスのMACアドレスおよびANonceシードに基づいて、モバイル・デバイスにおいて、ANonceを生成する手段を含みうる。例えば、生成する手段は、STA106−110の1または複数の構成要素、プロセッサ210、STA302の1または複数の構成要素、ANonceを生成するように構成された1または複数のデバイス、またはこれら任意の組み合わせを含みうる。
【0136】
装置はさらに、生成されたANonceに基づいて、アクセス・ポイントとのリンク設定を実行する手段を含みうる。例えば、実行する手段は、STA106−110の1または複数の構成要素、プロセッサ210、STA302の1または複数の構成要素、リンク設定を実行するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。
【0137】
第8の装置は、アクセス・ポイントからモバイル・デバイスへANonceシードを送信する手段を含みうる。例えば、送信する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、ANonceシードを送信するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。
【0138】
装置はまた、モバイル・デバイスのMACアドレスを受信する手段を含みうる。例えば、受信する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、MACアドレスを受信するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。この装置はまた、モバイル・デバイスのMACアドレスおよびANonceシードに基づいて、ANonceを生成する手段を含みうる。例えば、生成する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、ANonceを生成するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。
【0139】
装置は、生成されたANonceに基づいて、モバイル・デバイスとのリンク設定を実行する手段を含みうる。例えば、実行する手段は、AP102の1または複数の構成要素、AP304の1または複数の構成要素、リンク設定を実行するように構成された1または複数のその他のデバイス、またはこれら任意の組み合わせを含みうる。
【0140】
開示された実施形態の上記記載は、当業者が、開示された実施形態の製造または利用を可能とするように提供される。これら実施形態に対するさまざまな変形例もまた、当業者に明らかであって、本明細書で定義された原理は、本開示の範囲から逸脱することなく他の例にも適用されうる。したがって、本開示は、本明細書で開示された実施形態に限定されるものではなく、後述する特許請求の範囲によって定義されたような原理および新規な特徴に一致することが可能な最も広い範囲に相当することが意図されている。
【0141】
本明細書において記載された要素は、同じ要素の複数の実例を含みうる。これらの要素は、一般に、数字指定(例えば、110)によって示され、特に、アルファベットが後続する数字表示(例えば、110A)、または、「ダッシュ」が先行する数字表示(例えば、110−1)によって示されうる。以下の記載を容易にするために、大部分は、要素番号指定は、これら要素が導入または最も十分に記載されている図面の番号とともに始まる。
【0142】
本明細書において、例えば、「第1の」、「第2の」等のような要素に対するいずれの参照も、明示的に限定されていないのであれば、これら要素の数も順序も限定しないことが理解されるべきである。むしろ、これら指定は、本明細書において、複数の要素または要素の事例を区別する従来の方法として使用されうる。したがって、第1の要素および第2の要素への参照は、2つのみの要素しか適用されていないことも、第1の要素が、ある方式において、第2の要素に先行することも意味していない。さらに、特に述べられていないのであれば、これら要素のセットは、1または複数の要素を備えうる。
【0143】
図示および記載された特定の実施例は、単なる例であり、本明細書において指定されていないのであれば、本開示を実現するための唯一の方法であると解釈されるべきではない。本開示におけるさまざまな例は、その他多くの分割システムによって実現されうることが当業者に容易に明らかである。
【0144】
当業者であれば、情報および信号は、さまざまな異なる技術および技法のうちの何れかを用いて表されうることを理解するであろう。例えば、本記載を通じて参照されたデータ、命令群、指示、情報、信号、ビット、シンボル、およびチップは、電圧、電流、電磁波、磁場または磁気粒子、光場または光粒子、またはこれらの任意の組み合わせによって表されうる。いくつかの図面は、表示および記載の明瞭化のために、複数の信号を、単一の信号として例示しうる。信号は、複数の信号のバスを表しうることが当業者によって理解されるだろう。ここで、バスは、さまざまなビット幅を有し、本開示は、単一のデータ信号を含む任意の数のデータ信号で実現されうる。
【0145】
この記載では、本開示を不必要に詳細に不明確にしないために、要素、回路、および機能が、ブロック図形式で示されうる。逆に、図示および記載された特定の実施は、単なる典型例であって、本明細書において指定されていないのであれば、本開示を実現するための唯一の方法であると解釈されるべきではない。さらに、ブロック定義や、さまざまなブロック間のロジックの分割は、特定の実施例の典型例である。本開示は、その他多くの分割システムによって実現されうることが当業者に容易に明らかである。ほとんどの部分において、タイミング考慮等に関する詳細は、それが本開示の完全な理解を得るために必ずしも必要ではなく、かつ、当業者の能力内である場合には、省略されている。
【0146】
本明細書に記載され、図面に例示されている構成要素、動作、および/または、機能のうちの1または複数は、単一の構成要素、動作、特徴、または機能に再構成および/または結合されうるか、または、いくつかの構成要素、動作、特徴、または機能に組み込まれうる。さらなる要素、構成要素、動作、および/または、機能も、本発明から逸脱することなく追加されうる。本明細書に記載されたアルゴリズムはまた、効率的に、ソフトウェアで実現されうるか、および/または、ハードウェアに組み込まれうる。
【0147】
さらに、実施形態は、フローチャート、フロー図、構成図、またはブロック図として図示される処理として記述されうることが注目される。フローチャートは、動作をシーケンシャルな処理として記述しうるが、これら動作の多くは並行して、または、同時に実行されうる。さらに、これら動作の順序は、再構成されうる。動作が完了した場合、処理が終了する。処理は、方法、機能、手順、サブルーチン、サブプログラム等に相当しうる。処理が機能に相当する場合、その終了は、コール元機能またはメイン機能へ機能を戻すことに相当する。
【0148】
さらに、記憶媒体は、読取専用メモリ(ROM)、ランダム・アクセス・メモリ(RAM)、磁気ディスク記憶媒体、光記憶媒体、フラッシュ・メモリ・デバイスおよび/またはその他の機械読取可能媒体、およびプロセッサ読取可能媒体、および/または、情報を格納するためのコンピュータ読取可能媒体を含む、データ格納のための1または複数のデバイスを表しうる。用語「機械読取可能媒体」、「コンピュータ読取可能媒体」、および/または、「プロセッサ読取可能媒体」は、限定される訳ではないが、例えば、ポータブルまたは据置式記憶デバイス、光記憶デバイス、および、命令群(単数または複数)および/またはデータを格納、包含、または搬送することが可能なその他さまざまな媒体のような非一時的な媒体を含みうる。したがって、本明細書に記載されたさまざまな方法は、「機械読取可能媒体」、「コンピュータ読取可能媒体」、および/または、「プロセッサ読取媒体」に格納されうる命令群および/またはデータによって完全にまたは部分的に実現され、1または複数のプロセッサ、機械および/またはデバイスによって実行されうる。
【0149】
さらに、実施形態は、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、またはこれらの任意の組み合わせによって実現されうる。ソフトウェア、ファームウェア、ミドルウェア、またはマイクロコードにおいて実現される場合、必要なタスクを実行するためのコード・セグメントまたはプログラム・コードは、例えば記憶媒体またはその他の記憶装置(単数または複数)のような機械読取可能媒体に格納されうる。プロセッサは、必要なタスクを実行しうる。コード・セグメントは、手順、機能、サブプログラム、プログラム、ルーチン、サブルーチン、モジュール、ソフトウェア・パッケージ、クラス、あるいは命令群、データ構造、あるいはプログラム文の任意の組み合わせを示しうる。コード・セグメントは、情報、データ、引数、パラメータ、あるいはメモリ・コンテンツの引き渡しおよび/または受け取りを行うことによって、他のコード・セグメントあるいはハードウェア回路に接続されうる。情報、引数、パラメータ、データ等は、メモリ共有、メッセージ引き渡し、トークン引き渡し、ネットワーク送信等を含む任意の適切な手段によって引き渡し、転送、または送信されうる。
【0150】
本明細書で開示された例に関連して記述されたさまざまな例示的な論理ブロック、モジュール、回路、要素、および/または、構成要素は、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールド・プログラマブル・ゲート・アレイ(FPGA)、あるいはその他のプログラマブル論理構成要素、ディスクリート・ゲートあるいはトランジスタ・ロジック、ディスクリート・ハードウェア構成要素、または上述された機能を実現するために設計された上記何れかの組み合わせを用いて実現または実施されうる。汎用プロセッサは、マイクロ・プロセッサでありうるが、代替例では、このプロセッサは、従来のプロセッサ、コントローラ、マイクロ・コントローラ、またはステート・マシンでありうる。プロセッサは、例えばDSPとマイクロ・プロセッサとの組み合わせ、多くのマイクロ・プロセッサ、DSPコアと連携する1または複数のマイクロ・プロセッサ、またはその他任意のこのような構成であるコンピューティング構成要素の組み合わせとして実現されうる。本明細書に記載された実施形態を実行するように構成された汎用プロセッサは、このような実施形態を実行するための専用プロセッサと考えられる。同様に、汎用コンピュータは、本明細書に記載された実施形態を実行するように構成されている場合、専用コンピュータであると考えられる。
【0151】
本明細書の開示された例に関連して記載された方法またはアルゴリズムは、処理ユニット、プログラミング命令群、またはその他の指示の形態で、直接的にハードウェアで、プロセッサによって実行可能なソフトウェア・モジュールで、または、これら両方の組み合わせで具体化されうる。そして、単一のデバイスに含まれうるか、または、複数のデバイスに分散されうる。ソフトウェア・モジュールは、RAMメモリ、フラッシュ・メモリ、ROMメモリ、EPROMメモリ、EEPROM(登録商標)メモリ、レジスタ、ハード・ディスク、リムーバブル・ディスク、CD−ROM、あるいは当該技術分野で知られているその他の型式の記憶媒体に存在しうる。記憶媒体は、プロセッサが記憶媒体から情報を読み取ったり、記憶媒体へ情報を書き込んだりできるように、プロセッサに接続されうる。あるいは、この記憶媒体は、プロセッサに統合されうる。
【0152】
例えば、STA機能は、プロセッサ読取可能な媒体に格納された命令群を用いて実施されうる。特定の媒体は、モバイル・デバイスによってアクセス・ポイントへ送信されるべき保護されていない関連付け要求を、プロセッサに対して生成させるように実行可能な命令群を格納しうる。これら命令群はまた、アクセス・ポイントからの関連付け応答から検索されたANonceを用いてPTKを、プロセッサに対して生成させるように実行可能でありうる。別の特定の媒体は、モバイル・デバイスにおいて、第1のANonceを用いてアクセス・ポイントとの第1のリンク設定を開始するためにプロセッサによって実行可能な命令群を格納しうる。これら命令群はまた、アクセス・ポイントとの第1のリンク設定中に、第1のリンク設定に後続する、アクセス・ポイントとの第2のリンク設定のために用いる第2のANonceをプロセッサに対して受信させるように実行可能でありうる。
【0153】
別の例として、AP機能は、プロセッサ読取可能な媒体に格納された命令群を用いて実施されうる。例えば、特定の媒体は、プロセッサに対して、モバイル・デバイスから受信した、保護されていない関連付け要求から、開始メッセージを抽出させるように実行可能な命令群を格納しうる。これら命令群はまた、プロセッサに対して、開始メッセージに応じて、認証サーバから受信した回答メッセージから、rMSKを抽出させるように実行可能でもありうる。これら命令群はさらに、プロセッサに対して、ANonceを生成させ、さらに、モバイル・デバイスへ送信されるべき関連付け応答を生成させるように実行可能でありうる。ここで、関連付け応答は、ANonceを含む。別の特定の媒体は、第1のANonceを用いる第1のリンク設定中に、アクセス・ポイントからモバイル・デバイスへ、第1のリンク設定に後続する、モバイル・デバイスとの第2のリンク設定に用いるための第2のANonceを送信するようにプロセッサによって実行可能な命令群を格納しうる。
【0154】
当業者であればさらに、本明細書で開示された実施形態に関連して記載されたさまざまな例示的な論理ブロック、モジュール、回路、およびアルゴリズム・ステップが、電子工学ハードウェア、コンピュータ・ソフトウェア、あるいはこれらの組み合わせとして実現されることを理解するであろう。ハードウェアとソフトウェアとの相互置換性を明確に説明するために、さまざまな例示的な構成要素、ブロック、モジュール、回路、およびステップが、これらの機能の観点から一般的に記載された。これら機能がハードウェアとして、ソフトウェアとして、またはこれらの組み合わせとして実現されるかは、システム全体に課せられている設計選択および特定のアプリケーションに依存する。
【0155】
本明細書に記載された発明のさまざまな特徴は、本発明から逸脱することなく、別のシステムにおいて実現されうる。前述した実施形態は、単なる例であり、本発明を限定するものとして解釈されるべきではないことが注目されるべきである。実施形態の記載は、例示であって、請求項の範囲を制限するものではことが意図されている。そのため、本教示は、その他のタイプの装置および多くの代替例、修正、および変更が、当業者に明らかになるだろう。以下に、本願出願の当初の特許請求の範囲に記載された発明を付記する。
[1] 方法であって、
モバイル・デバイスからアクセス・ポイントへ、保護されていない関連付け要求を送信することと、
前記アクセス・ポイントから、関連付け応答を受信することと、ここで、前記関連付け応答は、アクセス・ポイント・ノンス(ANonce)を含む、
前記モバイル・デバイスにおいて、前記ANonceを用いて、ペアワイズ・トランジェント鍵(PTK)を生成することと、
を備える方法。
[2] 前記モバイル・デバイスにおいて、前記保護されていない関連付け要求を前記アクセス・ポイントへ送信する前に、再認証マスタ・セッション鍵(rMSK)および局ノンス(SNonce)を生成することをさらに備え、
前記PTKは、前記rMSKおよび前記SNonceを用いて生成される、[1]に記載の方法。
[3] 前記モバイル・デバイスのメモリから、前記アクセス・ポイントの基本サービス・セット識別子(BSSID)を検索することをさらに備え、
前記保護されていない関連付け要求は、前記BSSIDに基づいて前記アクセス・ポイントへ送信される、[1]に記載の方法。
[4] 前記モバイル・デバイスにおいて位置情報が決定されることに応じて、前記保護されていない関連付け要求が送信される、[1]に記載の方法。
[5] 前記ANonce以外の、前記関連付け要求における情報要素が、前記ANonceを用いて保護され、
前記方法はさらに、前記PTKを用いて、前記関連付け応答の保全性を検証すること、を備える[1]に記載の方法。
[6] 装置であって、
プロセッサと、
アクセス・ポイントへ、保護されていない関連付け要求を送信することと、
前記アクセス・ポイントから、関連付け応答を受信することと、ここで、前記関連付け応答は、アクセス・ポイント・ノンス(ANonce)を含む、
前記ANonceを用いて、ペアワイズ・トランジェント鍵(PTK)を生成することと、
のために前記プロセッサによって実行可能な命令群を格納するメモリと、
を備える装置。
[7] 前記命令群はさらに、前記保護されていない関連付け要求を前記アクセス・ポイントへ送信する前に、再認証マスタ・セッション鍵(rMSK)および局ノンス(SNonce)を生成することのために前記プロセッサによって実行可能であり、
前記PTKは、前記rMSKおよび前記SNonceを用いて生成される、[6]に記載の装置。
[8] 前記メモリはさらに、前記アクセス・ポイントの基本サービス・セット識別子(BSSID)を格納し、
前記命令群はさらに、前記メモリから前記アクセス・ポイントのBSSIDを検索することのために前記プロセッサによって実行可能であり、
前記保護されていない関連付け要求は、前記BSSIDに基づいて前記アクセス・ポイントへ送信される、[6]に記載の装置。
[9] 装置であって、
モバイル・デバイスからアクセス・ポイントへ、保護されていない関連付け要求を送信する手段と、
前記アクセス・ポイントから関連付け応答を受信する手段と、ここで、前記関連付け応答は、アクセス・ポイント・ノンス(ANonce)を含む、
前記モバイル・デバイスにおいて、前記ANonceを用いて、ペアワイズ・トランジェント鍵(PTK)を生成する手段と、
を備える装置。
[10] プロセッサによって実行された場合、前記プロセッサに対して、
モバイル・デバイスによってアクセス・ポイントへ送信されるべき、保護されていない関連付け要求を生成することと、
前記アクセス・ポイントからの関連付け応答から検索されたアクセス・ポイント・ノンス(ANonce)を用いて、ペアワイズ・トランジェント鍵(PTK)を生成することと、
をさせる命令群を備える非一時的なプロセッサ読取可能な媒体。
[11] 方法であって、
アクセス・ポイントにおいて、モバイル・デバイスから、保護されていない関連付け要求を受信することと、
前記保護されていない関連付け要求から、開始メッセージを抽出することと、
前記開始メッセージを、認証サーバへ送信することと、
前記認証サーバから、回答メッセージを受信することと、ここで、前記回答メッセージは、再認証マスタ・セッション鍵(rMSK)を含む、
アクセス・ポイント・ノンス(ANonce)を生成することと、
前記モバイル・デバイスへ、関連付け応答を送信することと、ここで、前記関連付け応答は、前記ANonceを含む、
を備える方法。
[12] 前記アクセス・ポイントにおいて、前記保護されていない関連付け要求に含まれる局ノンス(SNonce)、前記ANonce、および前記rMSKを用いて、ペアワイズ・トランジェント鍵(PTK)を生成することをさらに備え、
前記関連付け応答は、前記PTKを用いて保護されている、[11]に記載の方法。
[13] 装置であって、
プロセッサと、
モバイル・デバイスから、保護されていない関連付け要求を受信することと、
前記保護されていない関連付け要求から、開始メッセージを抽出することと、
前記開始メッセージを、認証サーバへ送信することと、
前記認証サーバから、回答メッセージを受信することと、ここで、前記回答メッセージは、再認証マスタ・セッション鍵(rMSK)を含む、
アクセス・ポイント・ノンス(ANonce)を生成することと、
前記モバイル・デバイスへ関連付け応答を送信することと、ここで、前記関連付け応答は、前記ANonceを含む、
のために前記プロセッサによって実行可能な命令群を格納するメモリと、
を備える装置。
[14] 前記命令群はさらに、前記保護されていない関連付け要求に含まれる局ノンス(SNonce)、前記ANonce、および前記rMSKを用いて、ペアワイズ・トランジェント鍵(PTK)を生成することのために前記プロセッサによって実行可能であり、
前記関連付け応答は、前記PTKを用いて保護されている、[13]に記載の装置。
[15] 装置であって、
アクセス・ポイントにおいて、モバイル・デバイスから、保護されていない関連付け要求を受信する手段と、
前記保護されていない関連付け要求から、開始メッセージを抽出する手段と、
前記開始メッセージを、認証サーバへ送信する手段と、
前記認証サーバから、回答メッセージを受信する手段と、ここで、前記回答メッセージは、再認証マスタ・セッション鍵(rMSK)を含む、
アクセス・ポイント・ノンス(ANonce)を生成する手段と、
前記アクセス・ポイントから前記モバイル・デバイスへ、関連付け応答を送信する手段と、ここで、前記関連付け応答は、前記ANonceを含む、
を備える装置。
[16] プロセッサによって実行された場合、前記プロセッサに対して、
モバイル・デバイスから受信された、保護されていない関連付け要求から、開始メッセージを抽出することと、
前記開始メッセージに応じて、認証サーバから受信された回答メッセージから再認証マスタ・セッション鍵(rMSK)を抽出することと、
アクセス・ポイント・ノンス(ANonce)を生成することと、
前記モバイル・デバイスへ送信されるべき関連付け応答を生成することと、ここで、前記関連付け応答は、前記ANonceを含む、
をさせる命令群を備える非一時的なプロセッサ読取可能な媒体。
[17] 方法であって、
モバイル・デバイスにおいて、第1のアクセス・ポイント・ノンス(ANonce)を用いて、アクセス・ポイントとの第1のリンク設定を開始することと、
前記アクセス・ポイントとの第1のリンク設定中、前記第1のリンク設定に後続する、前記アクセス・ポイントとの第2のリンク設定に用いるための第2のANonceを受信することと、ここで、前記第2のANonceは、前記第1のANonceとは異なる、
を備える方法。
[18] 前記第1のANonceは、前記モバイル・デバイスのメモリから検索されるか、前記アクセス・ポイントからビーコンまたはプローブ応答で受信されるか、これら任意の組み合わせで取得される、[17]に記載の方法。
[19] 前記第2のANonceは、関連付け応答で、拡張可能認証プロトコル(EAP)オーバ・ローカル・エリア・ネットワーク(LAN)(EAPOL)メッセージで、または、これら任意の組み合わせで受信される、[17]に記載の方法。
[20] 前記第2のANonceは、有効性寿命を有する、[17]に記載の方法。
[21] 前記後続するリンク設定の開始前に、前記第2のANonceの有効性寿命が終了した場合、
ビーコンまたはプローブ応答で第3のANonceを受信することと、
前記第3のANonceを用いて前記第2のリンク設定を開始することと、
前記第2のリンク設定中、前記アクセス・ポイントとの第3のリンク設定に用いるための第4のANonceを受信することと、
をさらに備える[20]に記載の方法。
[22] 前記モバイル・デバイスにおいて、前記第2のANonceを用いて、前記アクセス・ポイントとの第2のリンク設定を開始することと、
前記アクセス・ポイントとの第2のリンク設定中、前記アクセス・ポイントとの、後続する第3のリンク設定において用いるための第3のANonceを受信することと、
をさらに備える[17]に記載の方法。
[23] 装置であって、
プロセッサと、
第1のアクセス・ポイント・ノンス(ANonce)を用いて、アクセス・ポイントとの第1のリンク設定を開始することと、
前記アクセス・ポイントとの第1のリンク設定中、前記第1のリンク設定に後続する、前記アクセス・ポイントとの第2のリンク設定に用いるための第2のANonceを受信することと、ここで、前記第2のANonceは、前記第1のANonceとは異なる、
のために前記プロセッサによって実行可能な命令群を格納するメモリと、
を備える装置。
[24] 前記第1のANonceは、前記メモリから検索されるか、前記アクセス・ポイントからビーコンまたはプローブ応答で受信されるか、これら任意の組み合わせで取得され、
前記第2のANonceは、関連付け応答で、拡張可能認証プロトコル(EAP)オーバ・ローカル・エリア・ネットワーク(LAN)(EAPOL)メッセージで、または、これら任意の組み合わせで受信される、[23]に記載の装置。
[25] 前記第2のANonceは、有効性寿命を有する、[23]に記載の装置。
[26] 前記命令群はさらに、
前記後続するリンク設定の開始前に、前記第2のANonceの有効性寿命が終了した場合、
ビーコンまたはプローブ応答で第3のANonceを受信することと、
前記第3のANonceを用いて前記第2のリンク設定を開始することと、
前記第2のリンク設定中、前記アクセス・ポイントとの第3のリンク設定に用いるための第4のANonceを受信することと、
のために前記プロセッサによって実行可能である、[25]に記載の装置。
[27] 前記命令群はさらに、
前記第2のANonceを用いて、前記アクセス・ポイントとの第2のリンク設定を開始することと、
前記アクセス・ポイントとの第2のリンク設定中、前記アクセス・ポイントとの、後続する第3のリンク設定に用いるための第3のANonceを受信することと、
のために前記プロセッサによって実行可能である、[23]に記載の装置。
[28] 装置であって、
モバイル・デバイスにおいて、第1のアクセス・ポイント・ノンス(ANonce)を用いて、アクセス・ポイントとの第1のリンク設定を開始する手段と、
前記アクセス・ポイントとの第1のリンク設定中、前記第1のリンク設定に後続する、前記アクセス・ポイントとの第2のリンク設定に用いるための第2のANonceを受信する手段と、ここで、前記第2のANonceは、前記第1のANonceとは異なる、
を備える装置。
[29] プロセッサによって実行された場合、前記プロセッサに対して、
モバイル・デバイスにおいて、第1のアクセス・ポイント・ノンス(ANonce)を用いて、アクセス・ポイントとの第1のリンク設定を開始することと、
前記アクセス・ポイントとの第1のリンク設定中、前記第1のリンク設定に後続する、前記アクセス・ポイントとの第2のリンク設定に用いるための第2のANonceを受信することと、ここで、前記第2のANonceは、前記第1のANonceとは異なる、
をさせる命令群を備える非一時的なプロセッサ読取可能な媒体。
[30] 方法であって、
第1のアクセス・ポイント・ノンス(ANonce)を用いる第1のリンク設定中に、アクセス・ポイントからモバイル・デバイスへ、前記第1のリンク設定に後続する、前記モバイル・デバイスとの第2のリンク設定に用いるための第2のANonceを送信することを備え、ここで、前記第2のANonceは、前記第1のANonceとは異なる、方法。
[31] 前記第1のリンク設定の開始前に、前記第1のANonceを、ビーコンまたはプローブ応答で、前記モバイル・デバイスへ送信すること、をさらに備える[30]に記載の方法。
[32] 前記第2のANonceは、前記モバイル・デバイスへ、関連付け応答で、拡張可能認証プロトコル(EAP)オーバ・ローカル・エリア・ネットワーク(LAN)(EAPOL)メッセージで、または、これら任意の組み合わせで送信される、[30]に記載の方法。
[33] 前記第2のANonceは、有効性寿命に関連付けられる、[30]に記載の方法。
[34] 装置であって、
プロセッサと、
第1のアクセス・ポイント・ノンス(ANonce)を用いる第1のリンク設定中、前記第1のリンク設定に後続する、前記モバイル・デバイスとの第2のリンク設定に用いるための第2のANonceをモバイル・デバイスへ送信すること、ここで、前記第2のANonceは、前記第1のANonceとは異なる、のために前記プロセッサによって実行可能な命令群を格納するメモリと、
を備える装置。
[35] 前記命令群は、前記第1のリンク設定の開始前に、前記第1のANonceをビーコンまたはプローブ応答によって前記モバイル・デバイスへ送信することのために前記プロセッサによってさらに実行可能である、[34]に記載の装置。
[36] 前記第2のANonceは、前記モバイル・デバイスへ、関連付け応答で、拡張可能認証プロトコル(EAP)オーバ・ローカル・エリア・ネットワーク(LAN)(EAPOL)メッセージで、または、これら任意の組み合わせで送信される、[34]に記載の装置。
[37] 前記第2のANonceは、有効性寿命に関連付けられる、[34]に記載の装置。
[38] 装置であって、
第1のアクセス・ポイント・ノンス(ANonce)を用いる第1のリンク設定中に、アクセス・ポイントからモバイル・デバイスへ、前記第1のリンク設定に後続する、前記モバイル・デバイスとの第2のリンク設定に用いるための第2のANonceを送信する手段と、
前記第1のリンク設定の開始前に、前記第1のANonceを、ビーコンまたはプローブ応答で、前記モバイル・デバイスへ送信する手段と、ここで、前記第2のANonceは、前記第1のANonceとは異なる、
を備える装置。
[39] プロセッサによって実行された場合、前記プロセッサに対して、
第1のアクセス・ポイント・ノンス(ANonce)を用いる第1のリンク設定中に、アクセス・ポイントからモバイル・デバイスへ、前記第1のリンク設定に後続する、前記モバイル・デバイスとの第2のリンク設定に用いるための第2のANonceを送信させる命令群を備え、ここで、前記第2のANonceは、前記第1のANonceとは異なる、非一時的なプロセッサ読取可能な媒体。
[40] 方法であって、
モバイル・デバイスにおいて、アクセス・ポイントから、第1のアクセス・ポイント・ノンス(ANonce)を受信することと、
前記第1のANonceを用いて、第1のペアワイズ・トランジェント鍵(PTK)を生成することと、
前記アクセス・ポイントへ、関連付け要求を送信することと、ここで、前記関連付け要求は、局ノンス(SNonce)を含み、前記関連付け要求は、前記第1のPTKを用いて保護されている、
前記モバイル・デバイスにおいて、前記アクセス・ポイントから関連付け応答を受信することと、ここで、前記関連付け応答は、第2のANonceを含み、第2のPTKを用いて保護されている、
前記モバイル・デバイスにおいて、前記第2のANonceおよびSNonceを用いて、前記第2のPTKを生成することと、
前記モバイル・デバイスから前記アクセス・ポイントへ送信されるべき少なくとも1つの後続するメッセージを保護するために前記第2のPTKを用いることと、
を備える方法。
[41] 方法であって、
アクセス・ポイントからモバイル・デバイスへ第1のアクセス・ポイント・ノンス(ANonce)を送信することと、
前記モバイル・デバイスから、関連付け要求を受信することと、ここで、前記関連付け要求は、局ノンス(SNonce)を含み、第1のペアワイズ・トランジェント鍵(PTK)を用いて保護されている、
前記アクセス・ポイントにおいて、前記第1のANonceおよびSNonceに基づいて、前記第1のPTKを生成することと、
第2のANonceを生成することと、
前記第2のANonceおよびSNonceに基づいて、第2のPTKを生成することと、
前記モバイル・デバイスへ、関連付け応答を送信することと、ここで、前記関連付け応答は、前記第2のANonceを含み、前記第2のPTKを用いて保護されている、
を備える方法。
[42] 装置であって、
プロセッサと、
モバイル・デバイスにおいて、アクセス・ポイントから受信された第1のアクセス・ポイント・ノンス(ANonce)を用いて、第1のペアワイズ・トランジェント鍵(PTK)を生成することと、
前記モバイル・デバイスから前記アクセス・ポイントへ送信されるべき関連付け要求を生成することと、ここで、前記関連付け要求は、局ノンス(SNonce)を含み、前記関連付け要求は、前記第1のPTKを用いて保護されている、
前記アクセス・ポイントから、関連付け応答によって受信された第2のANonceおよび前記SNonceを用いて第2のPTKを生成することと、ここで、前記関連付け応答は、前記第2のPTKを用いて保護されている、
前記アクセス・ポイントへ送信されるべき少なくとも1つの後続するメッセージを保護するために前記第2のPTKを用いることと、
のために前記プロセッサによって実行可能な命令群を格納するメモリと、
を備える装置。
[43] 装置であって、
プロセッサと、
アクセス・ポイントにおいて、モバイル・デバイスへ送信されるべき第1のアクセス・ポイント・ノンス(ANonce)を生成することと、
前記モバイル・デバイスからの関連付け要求によって受信された局ノンス(SNonce)および前記第1のANonceに基づいて、第1のペアワイズ・トランジェント鍵(PTK)を生成することと、ここで、前記関連付け要求は、前記第1のPTKを用いて保護されている、
第2のANonceを生成することと、
前記第2のANonceおよびSNonceに基づいて第2のPTKを生成することと、
前記モバイル・デバイスへ送信されるべき関連付け応答を生成することと、ここで、前記関連付け応答は、前記第2のANonceを含み、前記第2のPTKを用いて保護されている、
のために前記プロセッサによって実行可能な命令群を格納するメモリと、
を備える装置。
[44] プロセッサによって実行された場合、前記プロセッサに対して、
モバイル・デバイスにおいて、アクセス・ポイントから受信された第1のアクセス・ポイント・ノンス(ANonce)を用いて、第1のペアワイズ・トランジェント鍵(PTK)を生成することと、
前記モバイル・デバイスから前記アクセス・ポイントへ送信されるべき関連付け要求を生成することと、ここで、前記関連付け要求は、局ノンス(SNonce)を含み、
前記関連付け要求は、前記第1のPTKを用いて保護されている、
前記アクセス・ポイントから、関連付け応答によって受信された第2のANonceおよび前記SNonceを用いて第2のPTKを生成することと、ここで、前記関連付け応答は、前記第2のPTKを用いて保護されている、
前記アクセス・ポイントへ送信されるべき少なくとも1つの後続するメッセージを保護するために前記第2のPTKを用いることと、
をさせる命令群を備える非一時的なプロセッサ読取可能な媒体。
[45] プロセッサによって実行された場合、前記プロセッサに対して、
アクセス・ポイントにおいて、モバイル・デバイスへ送信されるべき第1のアクセス・ポイント・ノンス(ANonce)を生成することと、
前記モバイル・デバイスからの関連付け要求によって受信された前記第1のANonceおよび局ノンス(SNonce)に基づいて、第1のペアワイズ・トランジェント鍵(PTK)を生成することと、ここで、前記関連付け要求は、前記第1のPTKを用いて保護されている、
第2のANonceを生成することと、
前記第2のANonceおよびSNonceに基づいて第2のPTKを生成することと、
前記モバイル・デバイスへ送信されるべき関連付け応答を生成することと、ここで、前記関連付け応答は、前記第2のANonceを含み、前記第2のPTKを用いて保護されている、
をさせる命令群を備える非一時的なプロセッサ読取可能な媒体。
[46] 装置であって、
モバイル・デバイスにおいて、アクセス・ポイントから、第1のアクセス・ポイント・ノンス(ANonce)を受信する手段と、
前記第1のANonceを用いて、第1のペアワイズ・トランジェント鍵(PTK)を生成する手段と、
関連付け要求を前記アクセス・ポイントへ送信する手段と、ここで、前記関連付け要求は、局ノンス(SNonce)を含み、前記関連付け要求は、前記第1のPTKを用いて保護されている、
前記モバイル・デバイスにおいて、前記アクセス・ポイントから関連付け応答を受信する手段と、ここで、前記関連付け応答は、第2のANonceを含み、第2のPTKを用いて保護されている、
前記モバイル・デバイスにおいて、前記第2のANonceおよびSNonceを用いて、前記第2のPTKを生成する手段と、
前記モバイル・デバイスから前記アクセス・ポイントへ送信されるべき少なくとも1つの後続するメッセージを保護するために前記第2のPTKを用いる手段と、
を備える装置。
[47] 装置であって、
アクセス・ポイントから、モバイル・デバイスへ、第1のアクセス・ポイント・ノンス(ANonce)を送信する手段と、
前記モバイル・デバイスから、関連付け要求を受信する手段と、ここで、前記関連付け要求は、局ノンス(SNonce)を含み、第1のペアワイズ・トランジェント鍵(PTK)を用いて保護されている、
前記アクセス・ポイントにおいて、前記第1のANonceおよびSNonceに基づいて、前記第1のPTKを生成する手段と、
第2のANonceを生成する手段と、
前記第2のANonceおよびSNonceに基づいて第2のPTKを生成する手段と、
前記モバイル・デバイスへ、関連付け応答を送信する手段と、ここで、前記関連付け応答は、前記第2のANonceを含み、前記第2のPTKを用いて保護されている、
を備える装置。
[48] 方法であって、
モバイル・デバイスにおいて、アクセス・ポイントから、アクセス・ポイント・ノンス(ANonce)シード(ANonceシード)を受信することと、
前記モバイル・デバイスにおいて、前記モバイル・デバイスの媒体アクセス制御(MAC)アドレスおよび前記ANonceシードに基づいて、ANonceを生成することと、
前記生成されたANonceに基づいて、前記アクセス・ポイントとのリンク設定を実行することと、
を備える方法。
[49] 方法であって、
アクセス・ポイントから、モバイル・デバイスへ、アクセス・ポイント・ノンス(ANonce)シード(ANonceシード)を送信することと、
前記モバイル・デバイスの媒体アクセス制御(MAC)アドレスを受信することと、
前記モバイル・デバイスのMACアドレスおよび前記ANonceシードに基づいてANonceを生成することと、
前記生成されたANonceに基づいて、前記モバイル・デバイスとのリンク設定を実行することと、
を備える方法。
[50] 装置であって、
プロセッサと、
モバイル・デバイスにおいて、アクセス・ポイントから受信したアクセス・ポイント・ノンス・シード(ANonceシード)および前記モバイル・デバイスの媒体アクセス制御(MAC)アドレスに基づいて、アクセス・ポイント・ノンス(ANonce)を生成することと、
前記生成されたANonceに基づいて、前記アクセス・ポイントとのリンク設定を実行することと
のために前記プロセッサによって実行可能な命令群を格納するメモリと、
を備える装置。
[51] 装置であって、
プロセッサと、
アクセス・ポイントにおいて、モバイル・デバイスへ送信されるべきアクセス・ポイント・ノンス(ANonce)シード(ANonceシード)を生成することと、
前記モバイル・デバイスから受信された前記モバイル・デバイスのMACアドレスおよび前記ANonceシードに基づいてANonceを生成することと、
前記生成されたANonceに基づいて、前記モバイル・デバイスとのリンク設定を実行することと、
のために前記プロセッサによって実行可能な命令群を格納するメモリと、
を備える装置。
[52] プロセッサによって実行された場合、前記プロセッサに対して、
モバイル・デバイスにおいて、アクセス・ポイントから受信したアクセス・ポイント・ノンス・シード(ANonceシード)および前記モバイル・デバイスの媒体アクセス制御(MAC)アドレスに基づいて、アクセス・ポイント・ノンス(ANonce)を生成することと、
前記生成されたANonceに基づいて、前記アクセス・ポイントとのリンク設定を実行することと、
をさせる命令群を備える非一時的なプロセッサ読取可能な媒体。
[53] プロセッサによって実行された場合、前記プロセッサに対して、
アクセス・ポイントにおいて、モバイル・デバイスへ送信されるべきアクセス・ポイント・ノンス(ANonce)シード(ANonceシード)を生成することと、
前記モバイル・デバイスから受信された前記モバイル・デバイスの媒体アクセス制御(MAC)アドレスおよび前記ANonceシードに基づいてANonceを生成することと、
前記生成されたANonceに基づいて、前記モバイル・デバイスとのリンク設定を実行することと、
をさせる命令群を備える非一時的なプロセッサ読取可能な媒体。
[54] 装置であって、
モバイル・デバイスにおいて、アクセス・ポイントからアクセス・ポイント・ノンス(ANonce)シード(ANonceシード)を受信する手段と、
前記モバイル・デバイスにおいて、前記モバイル・デバイスの媒体アクセス制御(MAC)アドレスおよび前記ANonceシードに基づいて、ANonceを生成する手段と、
前記生成されたANonceに基づいて、前記アクセス・ポイントとのリンク設定を実行する手段と、
を備える装置。
[55] 装置であって、
アクセス・ポイントから、モバイル・デバイスへ、アクセス・ポイント・ノンス(ANonce)シード(ANonceシード)を送信する手段と、
前記モバイル・デバイスの媒体アクセス制御(MAC)アドレスを受信する手段と、
前記モバイル・デバイスのMACアドレスおよび前記ANonceシードに基づいてANonceを生成する手段と、
前記生成されたANonceに基づいて、前記モバイル・デバイスとのリンク設定を実行する手段と、
を備える装置。