專利名稱:在無線網絡中協商保護管理幀的安全參數的制作方法
技術領域:
本發明涉及無線通信。本發明的某些實施方式涉及協商可用于保護無線節點 之間通信的管理幀的安全參數。
背景
無線網絡的使用持續高速增長。無線網絡因許多原因而具有吸引力。它們方 便,它們允許靈活性和漫游,并且可支持動態環境。此外,與其有線對應物相比, 它們安裝相對簡單。在某些情形中,例如在較陳舊的建筑物中,部署它們可能更加 便宜。整個網絡可在約幾小時而非幾天內連接在一起,而不需要配線或重新配線。
在許多情況下,盡管有線LAN卡的成本更低,但無線網絡還是比其有線對應物保 有成本更低。
雖然當前無線網絡有許多優點,但是它們也伴隨有安全問題。因為不需要物 理連接,所以帶有兼容無線網絡接口的任何一方都可以檢查無線分組,而不管這些 分組是否傳向其系統。雖然已經實現了用于對無線網絡上傳輸的數據幀進行加密的 標準,但是它們對管理幀并不正確。結果,無線網絡仍然易受攻擊,這些攻擊可中 斷其它用戶的無線會話或者使其它會話的安全狀態降級。此外,缺乏對管理幀的保 護使無線網絡用戶向"中間人"攻擊開放,其中攻擊者能在任一方都不知道他們之 間的無線鏈路已發生泄密的情況下讀取、插入和更改雙方之間的消息。
附圖簡述
圖1A示出根據本發明某些實施方式的示例無線網絡;
圖1B示出根據本發明某些實施方式的網絡設備的進一步細節;
圖2是根據本發明某些實施方式的管理幀保護協商過程的流程圖3A和3B示出根據本發明某些實施方式的管理幀保護協商過程的消息序
列;
圖4A和4B是根據本發明某些實施方式的管理幀的框圖;圖5A和5B是根據本發明某些實施方式的管理保護信息元素的框圖。 詳細描述
以下描述和附圖示出本發明的具體實施方式
,足以使本領域技術人員能夠實 施。其它實施方式可結合結構、邏輯、電氣、進程和其它變化。示例僅僅代表可能 的變型。除非明確需要,否則個別組件和功能是可任選的,且操作的順序可改變。 某些實施方式的部分和特征可被包含在其它實施方式中或代替其中的那些。權利要 求書中闡述的本發明的實施方式涵蓋這些權利要求的所有可用的等效方案。本發明 的實施方式可僅為方便而由術語"本發明"單獨或共同指代并且如果實際公開了一 個以上,則不旨在自愿將本申請的范圍限制在任何單個發明或發明概念上。
在附圖中,相同的附圖標記通篇用于指代在多個附圖中出現的相同組件。信 號和連接可由相同的附圖標記或標簽指代,且實際意思可從其在說明書上下文中的 使用而變得清楚。
圖1示出根據本發明某些實施方式的示例無線網絡100的組件。在某些實施 方式中,網絡100可包括一個或多個接入點102以及一個或多個站106。接入點102 向無線站106提供對有線或無線網絡110的接入。網絡IIO可以是任何類型的網絡, 其示例包括但不局限于局域網、廣域網或公司內聯網。接入點102可以是獨立接入 點,或者它可以作為諸如網橋、路由器或交換機等另一網絡設備的一部分結合在內。 為了與接入點102可靠地通信,站106必須在接入點102的通信范圍104之內。
站106可以是能夠與其它設備無線通信的任何類型的設備。通常這種設備可 包括個人計算機、服務器計算機、大型計算機、膝上型計算機、便攜式手持計算機、 機頂盒、智能設備、個人數字助理(PDA)、無線電話、web平板計算機、無線耳 機、尋呼機、即時消息通信設備、數碼相機、數字視頻接收器、電視機或可無線地 接收和/或發送信息的其它設備以及上述設備的混合。
在某些實施方式中,站和接入點使用由電氣和電子工程師協會(IEEE)為無 線通信建立的協議和標準彼此通信。例如,某些實施方式遵守用于無線LAN (WLAN)的IEEE 802.11標準,即1999年發布的IEEE std.802.11-1999和以后版 本(下文稱為"IEEE 802.11標準")。然而,本文所述的系統和方法可應用于其它 類型的無線網絡。這種網絡的示例包括IEEE 802.16無線廣域網(WWAN)和諸如 IEEE 802.3以太局域網(LAN)等有線網絡。
在某些實施方式中,接入點可被視為特殊類型的站,如正EE為無線通信所定
義的一樣。某些實施方式遵守正EE 802.11標準。然而,本文所述的系統和方法可 被應用于在所有類型的IEEE 802.11站之間通信,包括兩個站之間、 一個站與一個 接入點之間、或兩個接入點之間。
由于站106落在接入點102的范圍104內,站和接入點通常啟動被設計成在 站106與接入點之間發起通信會話的一系列消息。在某些實施方式中,站106是可 以離開一個接入點的范圍并進入一個或多個其它接入點的范圍的便攜式或移動設 備,即站106可從一個接入點漫游到另一個。在如圖l所示的示例中,站106.2已 經離開接入點102.1的范圍104.1,并且已經進入接入點102.2和102.3各自的范圍 104.2和104.3內。在此情形中,站106.2通常選擇接入點102.2或102.3之一以繼 續能夠通過網絡110來接入系統。以下提供在各個實施方式中用來與接入點安全地 建立通信并漫游到另一接入點的方法和消息的進一步細節。
圖1B示出根據本發明某些實施方式包含在網絡設備中的組件的進一步細節。 圖1B中所示的組件可被結合在諸如無線接入點、無線站和無線網絡接口卡等網絡 設備中。在某些實施方式中,這些組件包括較高網絡層120、媒體訪問控制(MAC) 122、物理層(PHY) 124和一根或多根天線126。
在某些實施方式中,較高網絡層包括在MAC 122層上操作的一個或多個協議 層。在某些實施方式中,該層可包括應用程序層、表示層、會話層、傳輸層或網絡 層中一個或多個。此外,該層可包括諸如TCP/IP協議(傳輸控制協議/互聯網協議) 等協議。
MAC 122在較高網絡層120與物理層124之間操作。從較高網絡層120接收 的網絡數據被處理并經由物理層124發送到其它網絡節點。從物理層124接收的網 絡數據被處理并發送到較高網絡層120以供處理。
在某些實施方式中,物理層124可根據特定的通信標準,諸如包括用于無線 局域網(WLAN)的正EE 802.1 l(a)、 802.11(b)、 802.11(g/h)和/或802.11(n)標準和/ 或用于無線網狀網絡的IEEE 802.11(s)禾卩IEEE 802.11(e)標準的IEEE標準,來發射 和/或接收RF通信,然而物理層124也可適于根據其它技術來發射和/或接收通信。
天線126可包括一個或多個方向或全向天線,包括例如偶極天線、單極天線、 接線天線(patch ante皿a)、環形天線、微帶天線或適用于由物理層124接收和/或 發射RF信號的任何類型的天線。
在某些實施方式中,MAC 122、物理層124和天線126被結合在網絡接口卡 (NIC) 128上。NIC 128可以是計算機系統的一個組件并且向計算機系統提供無 線網絡能力。
以下描述參考管理幀。為本說明書目的,管理幀包括不涉及通信數據幀的任 何幀。因此,管理幀包括連接建立相關的幀和連接維護幀。管理幀的示例包括在
IEEE 802.11標準中定義的管理幀,并且還可包括如在對正EE 802.11標準的修改 IEEE 802.11(e)、 802.11(h)、 802.11(k)和802.1(v)中定義的動作幀。此外,本領域
技術人員將理解管理幀可包括以后開發的管理幀和動作幀。
圖2是根據本發明某些實施方式的管理幀保護協商方法的流程圖。該方法通 過發射包括指示發射器愿意保護的一組管理幀類型的數據的第一管理幀而開始(框 202)。通常,第一管理幀包括由接入點發出的信標管理幀或探測響應管理幀。因此, 接入點可在信標幀或探測響應幀中告知管理幀保護的可用性。然而,本發明的實施 方式并不局限于特定類型的第一管理幀。在替換實施方式中,第一管理幀可以是關 聯幀、關聯響應幀、重新關聯幀、重新關聯響應幀或諸如EAPOL (局域網上的可 擴展認證協議)消息幀等安全握手信息。在某些實施方式中,指示該組管理幀類型 的數據被包含在以下進一步詳細描述的管理保護信息元素中。
然后,接收第二管理幀,它包括指示消息始發者期望保護的第二組管理幀的 數據(框204)。在某些實施方式中,第二管理幀可以是關聯請求幀。在替換實施 方式中,第二管理幀可以是關聯響應幀、重新關聯響應幀、或諸如EAPOL消息幀 等安全握手消息。在某些實施方式中,指示該組管理幀類型的數據被包含在以下將 進一步描述的管理保護信息元素中。
然后,在第一和第二管理幀中的管理幀之間進行比較以確定作為對兩個通信 系統通用的一組受保護管理幀的那些幀(框206)。使用相互可接受的安全機制來 保護該組受保護管理幀內的后續的管理幀實例(框208)。在某些實施方式中,可 以使用的安全機制被包含在第一和第二管理幀中。可選擇第一和第二管理幀兩者共 用的安全機制來用于保護后續的管理幀。
在某些實施方式中,可被保護的管理幀包括解除關聯幀、解除認證幀、QoS (服務質量)動作幀、無線電測量動作幀、無線電頻譜測量動作幀、和無線網絡管 理動作幀。然而,其它類型的管理幀也可被保護,并且實施方式不局限一組于特定 的可保護管理幀。
圖3A示出根據本發明某些實施方式的管理幀保護協商過程的消息序列。該消 息序列以接入點廣播信標幀開始(消息302)。接入點周期性地發送信標幀以宣告 其存在并中繼信息。在某些實施方式中,信標幀包括指示接入點愿意保護哪一管理
幀的數據。例如,可如下圖3A或3B中所述地格式化信標幀以包括如圖5A或5B 中所述的管理保護信息元素(MP-IE)。
然后,站將探測請求發送到它期望與之通信的接入點(消息304)。 一個站在 它需要從另一個站獲得信息時發送探測請求幀。例如,站可發送探測請求以確定在 范圍內的接入點。
然后,接入點發送探測響應(消息306)。探測響應通常提供能力信息、支持 的數據速率等。在某些實施方式中,探測響應將包括MP-正。
然后,站發送關聯請求(消息308)。關聯請求使接入點能夠為站分配資源并 與其同步。在某些實施方式中,關聯請求可包含指示該站期望保護哪些管理幀的 MP-正。
然后,接入點發送關聯響應(消息310)。關聯響應包括對請求關聯的站的接 受或拒絕通知。在某些實施方式中,關聯響應可包括指示接入點將要保護的管理幀 的MP-IE。如果接入點接受該站,則響應包括關于關聯的信息,諸如關聯ID和支 持的數據速率。如果關聯結果是肯定的,則該站可利用接入點拉與網絡110上該接 入點旁的其它設備和系統通信。
然后,接入點和站完成EAP認證(312),且建立稱為PMK的共享秘密。該 站與接入點然后開始包括消息314-320的EAPOL握手。握手消息可包括在先前分 別由STA和AP發送的管理消息中的、確定接入點和站同意保護的管理幀的相同 MP-IE。在某些實施方式中,握手消息可如下圖4A或4B所述地格式化以包含如 圖5A或5B所述的MP-正。在握手過程中,接入點和站導出用于保護安全管理幀 保護協商的完整性私鑰。
在該消息情況下,通過導出僅僅站和新接入點知道的完整性私鑰,作為與前 一接入點的協商序列的結果,握手消息314、 316、 318和320中的MP-IE可得到 完整性保護。握手消息使用該完整性私鑰來通過執行消息完整性檢查而確保包括 MP-IE的握手消息的內容安全。該機制因其防止惡意對手對無線網絡發起安全降級 攻擊、重放攻擊、中間人攻擊和偽造攻擊而合乎需要。安全降級攻擊強制站或接入 點協商比正常情況更弱的安全參數和密鑰。在某些實施方式中,該機制允許站和接 入點協商并實施站和接入點支持的最強安全參數、算法和密鑰。
圖3B示出根據本發明替換實施方式的用于管理幀保護協商過程的消息序列。 當站在接入點之間移動時,如圖3B所示的消息序列可用于快速漫游或轉換的情況。 消息序列如圖3A所示地開始,即接入點和站交換信標、探測請求和探測響應消息302-306。
然后,該站將重新關聯請求消息340發送到新接入點。重新關聯請求可包含 指示該站期望保護哪些管理字段的MP-IE。然后,新接入點協調仍在前一訪問點的 緩沖器中等待發送到該站的數據幀的轉發。
然后,接入點發送重新關聯響應消息342。重新關聯響應消息可包含指示該接 入點可保護哪些管理幀的MP-IE。類似于關聯過程,該幀包括關于關聯的信息,諸 如關聯ID和支持的數據速率以及MP-IE。
在本消息情況下,通過導出僅僅站和新接入點知道的完整性私鑰,作為與前 一接入點的協商序列的結果,重新關聯請求和響應消息340和342中的MP-IE可 得到完整性保護。通過應用使用完整性私鑰的消息完整性檢查可保護重新關聯請求 和重新關聯響應消息的內容不受對手攻擊。在某些實施方式中使用的機制可防止惡 意對手對無線網絡發起安全降級攻擊、重放攻擊、中間人攻擊和偽造攻擊。安全降 級攻擊強制站和接入點協商比正常情況下更弱的安全參數和密鑰。本實施方式中的 該機制允許站和接入點協商并實施站和接入點支持的最強安全參數、算法和密鑰。
然后,站和接入點開始如上所述的消息314-320中的4向EAPOL握手協商。
圖4A是描述根據本發明某些實施方式的管理幀400的主要組成部分的框圖。 在某些實施方式中,管理幀400包括前導已有字段402、更改的EAPOL密鑰描述 符404、和拖尾己有字段406。前導已有字段402和拖尾已有字段406包括如當前 IEEE 802.11標準中定義的管理和動作幀的字段和信息元素。
更改的EAPOL密鑰描述符404包括己有EAPOL字段412、 MIC字段414和 管理保護信息元素416。已有EAPOL字段412包括如當前IEEE 802.11標準中定 義的字段。MIC (消息完整性代碼,也稱為消息認證代碼)字段414包括如IEEE 802.11標準中指定地生成的代碼值,并且可由站和接入點用來驗證消息的完整性。 MIC的存在表明該消息由僅僅為站和接入點所知的密鑰來進行完整性保護。管理 保護信息元素(MP-IE) 416包括可用于指定可被保護的管理幀類型以及所使用的 保護類型的數據結構。以下參照圖5A和5B來提供關于MP-IE的進一步細節。
圖4B是示出根據本發明替換實施方式的管理幀的主要組成部分的框圖。在某 些實施方式中,管理幀402包括前導已有字段402、 MP-正416、和EAPOL密鑰描 述符422。如上所述,前導已有字段402和拖尾已有字段406包括如當前IEEE 802.11 標準中定義的管理和動作幀的字段和信息元素。此外,EAPOL密鑰描述符422包 括如當前由正EE 802.11標準定義的EAPOL描述符。MP-IE 416包括可用于指定
可保護管理幀類型以及所使用的保護類型的數據結構。以下參照圖5A和5B來提 供關于MP-IE的進一步細節。
從以上可以看出,MP-IE416可被嵌入在管理幀的已有字段,例如EAPOL字 段中,或者可作為附加字段添加到一個幀上。
圖5A是根據本發明各實施方式的管理保護信息元素416的框圖。在某些實施 方式中,MP-IE416包括元素ID 502、長度字段504、版本字段506、組密碼套件 計數508、組密碼套件列表510、成對密碼套件計數512、成對密碼套件列表514、 管理保護能力字段516、管理幀計數518和管理幀子類型列表520。元素ID 502是 被分配來指示該數據結構是MP-IE的值。長度字段504指定MP-正數據結構的大 小。版本字段506指定MP-IE數據結構的版本并指示實現對管理幀的保護的當前 支持的協議版本。
組密碼套件計數508提供組密碼套件列表510中組密碼套件的數目。組密碼 列表510包括用于在站和接入點之間提供對廣播和多播管理幀的保護的一個或多 個密碼套件的列表。站和接入點可使用該列表來協商站和接入點都支持的密碼套件 之一。在某些實施方式中,所選密碼套件可使用不同的完整性和/或機密性密鑰, 該密鑰被導出來提供對廣播/多播幀的完整性和/或機密性保護。
成對密碼套件計數512提供成對密碼套件列表514中密碼套件的數目計數。 成對密碼套件列表514包括用于對站與接入點之間所有單播管理幀執行完整性和/ 或機密性保護計算的一個或多個密碼套件的列表。在某些實施方式中,站與接入點 可協商兩者都支持的密碼套件之一。經協商的成對密碼套件可使用不同的完整性和 /或機密性密鑰,該密鑰被導出以提供對單播幀的完整性和/或機密性保護。
組密碼套件和成對密碼套件可包括任何類型的密碼算法。在某些實施方式中, 可將以下的密碼算法中的一個或多個的組合用作密碼套件包括AES-OMAC的 AES、 HMAC或使用SHA-256、 SHA-512算法的Hash、 TKIP和/或CCMP。現在 已知或以后開發的其它密碼方法也可被包含在組或成對密碼套件中。
管理保護能力字段516指示可在站與接入點之間協商的安全參數。在某些實 施方式中,該數據結構包括具有指示哪些參數可被協商的各個位或位組的位掩碼。 在某些實施方式中,經協商的參數包括是否啟用管理幀保護、對正EE802.11i密鑰 層次的支持、以及對IEEE802.11r密鑰層次的支持。可按需或按以后的開發將其它 參數包含在該數據結構中。
管理幀計數518提供管理幀子類型列表520中子類型數目的計數。管理幀子
類型列表520列出可在站與接入點之間協商的管理幀的子類型。這允許網絡管理員 對特定無線網絡實現安全策略。在某些實施方式中,接入點在其MP-IE中列出支 持網絡中保護的所有管理幀子類型。支持管理幀保護的站用其自己的包括管理幀子
類型的MP-IE來響應。該站使用上述字段來選擇該站可支持保護的管理幀子類型
列表,即所宣告的組密鑰密碼套件之一和所宣告的成對密鑰密碼套件之一。
圖5B是根據本發明替換實施方式的管理保護信息元素416的框圖。在某些替 換實施方式中,MP-IE 416包括元素ID 502、長度字段504、版本字段506、組密 碼套件計數508、組密碼套件列表510、成對密碼套件計數512、成對密碼套件列 表514、管理保護能力字段516、管理保護配置文件計數530和管理保護配置文件 選擇器列表520。字段502-516與以上圖5A所示的大致相同。
管理保護配置文件計數530提供管理保護配置文件列表532中配置文件的數 目。管理保護配置文件列表532包括標識管理保護配置文件的管理保護配置文件選 擇器列表。管理保護配置文件選擇器可以是組織單元標識符(OUI),以及之后的 類型或值、或者值列表。在IEEE指定的OUI的情況下,OUI可與IEEE 802.11i 中所指定的相同。
包含在MP-IE中的管理保護配置文件值指示站或接入點支持的一組管理幀子 類型。每一管理保護配置文件值或號與可可被保護的一組管理幀相關聯。
由特定管理保護配置文件號保護的該組管理幀可通過許多方法來指定,包括 作為對IEEE 802.11標準的修改,或者配置文件可由廠商指定,且每一廠商具有不 同的值。當一管理保護配置文件號由802.11修改指定時,該配置文件號可以包括 由IEEE指定的先前的管理保護配置文件號所保護的所有管理幀。
此外,廠商可創建其自己的用于宣告它們支持的廠商專用管理幀子集的OUI。
此外,網絡操作員和企業可創建其自己的用于宣告在其無線網絡上啟用并支 持的特定的管理幀子集。
除非另外具體指出,否則諸如處理、計算、推算、確定、顯示等的術語是指 一個或多個處理或計算系統或類似設備的動作和/或進程,這些動作和/或進程可將 被表示成處理系統寄存器和存儲器內的物理(例如電子)量的數據處理并轉換成類 似地表示成處理系統寄存器或存儲器或者其它這種信息存儲、傳輸或顯示設備內的 物理量的其它數據。
本發明的實施方式可用硬件、固件和軟件之一或組合來實現。本發明的實施 方式還可被實現成存儲在機器可讀介質上、可由至少一個處理器讀取并執行以執行
本文所述的操作的指令。機器可讀介質可包括用于以機器(例如計算機)可讀形式 存儲或傳輸信息的任何機制。例如,機器可讀介質可包括只讀存儲器(ROM)、隨
機存取存儲器(RAM)、磁盤存儲介質、光學存儲介質、閃存設備、電、光、聲或 其它形式的傳播信號(例如載波、紅外信號、數字信號等)等等。
提供摘要以滿足要求允許讀者確定技術公開的特征和主旨的摘要的37 C.F.R 的1.72(b)節。摘要是在不應將其用于限制或解釋權利要求書的范圍和內涵的前提 下提交的。
在以上詳細描述中,為簡化描述而在單個實施方式中將各個特征臨時組合在 一起。公開的方法不應解釋為反映了要求保護的主題實施方式需要比在每一權利要 求中明確闡述的更多的特征的意圖。相反,如所附權利要求書所反映的,本發明涉 及少于單個公開實施方式的所有特征。因此,所附權利要求書在此結合到詳細描述
中,其中每一權利要求獨立地作為一單獨的較佳實施方式。
權利要求
1.一種方法,包括發射包括指示第一組管理幀類型的數據的第一管理幀;接收包括指示第二組管理幀類型的數據的第二管理幀;將所述第一組管理幀類型與所述第二組管理幀類型進行比較以確定一組受保護管理幀類型。
2. 如權利要求l所述的方法,其特征在于,所述第一管理幀包括信標幀。
3. 如權利要求1所述的方法,其特征在于,所述第一管理幀包括探測響應幀。
4. 如權利要求1所述的方法,其特征在于,所述第二管理幀包括關聯幀。
5. 如權利要求l所述的方法,其特征在于,所述第二管理幀包括重新關聯幀。
6. 如權利要求l所述的方法,其特征在于,所述管理幀類型集包括選自包括 以下各項的組的管理幀類型解除關聯幀、解除認證幀、或者包括QoS動作幀、 無線電測量動作幀、無線電頻譜測量動作幀和無線網絡管理動作幀的任何第3類動 作幀。
7. 如權利要求l所述的方法,其特征在于,所述第一管理幀還包括指定至少 一種保護方法的數據。
8. 如權利要求8所述的方法,其特征在于,還包括將所述至少一種保護方法 應用于具有所述一組受保護管理幀類型中的一個類型的后續管理幀。
9. 一種編碼數據結構的信號承載介質,所述數據結構包括指示一組一個或多個管理幀類型的字段;以及指示一組一個或多個保護機制的字段,其中在一單獨的數據處理步驟中,所 述一組一個或多個保護機制中的一個被應用于所述一組一個或多個管理幀類型。
10. 如權利要求9所述的信號承載介質,其特征在于,所述一組一個或多個管 理幀類型可由組織標識符來指定。
11. 如權利要求9所述的信號承載介質,其特征在于,所述一組一個或多個管 理幀類型在幀類型列表中提供。
12. —種用于通過在受保護協商幀中(4向握手消息或在802.11r重新關聯請 求/響應消息中)包含MP-IE并由接收器將所包含的MP-IE與在先前通信消息中從 對等設備接收的消息中的MP-IE進行比較而進行的協商保護。
13. —種無線接入點,包括 物理層;以及耦合到所述物理層的媒體訪問控制,可用于發送包括指示可由所述無線接入點保護的一組管理幀類型的數據的第一 管理幀;接收包括指示可由站保護的一組管理幀類型的數據的第二管理幀; 將所述第一組管理幀類型與所述第二組管理幀類型進行比較以確定一組 受保護管理幀類型。
14. 如權利要求12所述的無線接入點,其特征在于,所述第一管理幀包括信 標幀。
15. 如權利要求12所述的無線接入點,其特征在于,所述第一管理幀包括探 測響應幀。
16. 如權利要求12所述的無線接入點,其特征在于,所述第二管理幀包括關 聯幀。
17. 如權利要求12所述的無線接入點,其特征在于,所述第二管理幀包括重 新關聯幀。
18. —種網絡設備,包括 物理層;以及耦合到所述物理層的媒體訪問控制,可用于接收包括指示可由無線接入點保護的一組管理幀類型的數據的第一管理幀;通過將可由所述無線接入點保護的所述一組管理幀類型與可由所述網絡設備保護的一組管理幀類型進行比較來確定一組受保護管理幀類型;以及 發射包括指示所述一組受保護管理幀類型的數據的第二管理幀。
19. 如權利要求17所述的網絡設備,其特征在于,所述第一管理幀包括信標幀。
20. 如權利要求n所述的網絡設備,其特征在于,所述第一管理幀包括探測 響應幀。
21. 如權利要求17所述的網絡設備,其特征在于,所述第二管理幀包括關聯幀。
22. 如權利要求17所述的網絡設備,其特征在于,所述第二管理幀包括重新關聯幀。
23. 如權利要求17所述的網絡設備,其特征在于,所述物理層和媒體訪問控制被結合到網絡接口卡中。
24. 如權利要求17所述的網絡設備,其特征在于,所述物理層和媒體訪問控制被結合到無線站中。
25. —種系統,包括 基本上全向的天線; 耦合到所述全向天線的物理層;以及耦合到所述物理層的媒體訪問控制,可用于發射包括指示可由無線接入點保護的一組管理幀類型的數據的第一管幀;接收包括指示可由站保護的一組管理幀類型的數據的第二管理幀; 將所述第一組管理幀類型與所述第二組管理幀類型進行比較以確定一組受保護管理幀類型。
26. 如權利要求22所述的系統,其特征在于,所述第一管理幀包括EAPoL握手幀。
27. 如權利要求22所述的系統,其特征在于,所述第二管理幀包括EAPoL握手幀。
28. —種具有用于執行一方法的機器可執行指令的機器可讀介質,所述方法包括發送包括指示第一組管理幀類型的數據的第一管理幀; 接收包括指示第二組管理幀類型的數據的第二管理幀;將所述第一組管理幀類型與第二組管理幀類型進行比較以確定一組受保護管理幀類型。
29. 如權利要求25所述的機器可讀介質,其特征在于,所述第一管理幀包括EAPoL幀。
30. 如權利要求25所述的機器可讀介質,其特征在于,所述第一管理幀包括探測響應幀。
全文摘要
一種系統和方法為無線站和接入點提供協商用于保護管理幀的安全參數的機制。接入點和站確定它們能夠并期望保護哪些管理幀。然后在站與接入點之間交換指示受保護幀的數據以選擇待保護的管理幀和用于保護這些管理幀的保護機制。
文檔編號H04W12/06GK101208981SQ200680017249
公開日2008年6月25日 申請日期2006年5月2日 優先權日2005年5月17日
發明者E·齊, J·沃克, K·索達 申請人:英特爾公司