用于端到端服务控制保护的加密机制的方法和装置专利检索-实施例专利权专利检索查询-专利查询网

积极推动地理标志专门立法

2022-03-10 地理标志，立法，知识产权
保护知识产权是对创新最大的激励

2022-03-10 保护知识产权，创新，激励
谢商华：加快制定知识产权基本法

2022-03-10 知识产权基本法
擦亮“双奥之城”品牌

2022-03-10 双奥，知识产权
让冰雪运动“热”力全开

2022-03-10 冰雪运动，知识产权
携手共奋进　走好强国路

2022-03-10 强国，知识产权
坚持创新引领　方能稳中求进

2022-03-10 创新，稳中求进，知识产权
答好“两张卷” 奋进新征程

2022-03-10 知识产权
专家解读政府工作报告中的创新和知识产权相关部署

2022-03-10 政府工作报告，创新，知识产权
今年政府工作报告指出：加强知识产权保护和运用

2022-03-10 政府工作报告，知识产权保护

用于端到端服务控制保护的加密机制的方法和装置

阅读：1057发布：2020-08-27

IPRDB可以提供用于端到端服务控制保护的加密机制的方法和装置专利检索，专利查询，专利分析的服务。并且本发明的实施例针对无线网络中端到端服务控制保护提供了加密机制所用的一些方法和装置。本文还可公开其它实施例，并对其主张权利。，下面是用于端到端服务控制保护的加密机制的方法和装置专利的具体信息内容。

权利要求

1、一种方法，包括：

当移动站(STA)与无线网络关联时，向所述STA提供服务控制器的服务控制器标识符；

代表所述STA，向所述服务控制器转发从所述STA接收的服务配置请求，以使所述服务控制器对称地生成时间完整性成对密钥(TIPK)用于所述服务控制器和所述STA之间的安全的控制通信，其中所述服务配置请求包括所述STA在收到所述服务控制器标识符后生成的第一随机数，所述 TIPK包括所述第一随机数和第二随机数，其中第二随机数是所述服务控制器在收到所述第一随机数后生成的；

代表所述服务控制器，向所述STA转发从所述服务控制器接收的服务配置响应，以使所述STA对称地生成TIPK用于与所述服务控制器的所述安全的控制通信，其中所述服务配置响应包括所述服务控制器生成的所述第二随机数。

2、根据权利要求1所述的方法，其中，所述服务配置请求还包括：所述STA的媒体访问控制(MAC)地址。

3、根据权利要求1所述的方法，其中，所述TIPK包括服务成对密钥 (SPK)，其中所述SPK包括移动站密钥(MSK)、所述STA的媒体访问控制(MAC)地址的至少一部分、所述服务控制器标识符(ID)和所述SPK 的长度。

4、根据权利要求3所述的方法，其中，所述TIPK还包括：

服务类型标识符、所述第一随机数、所述第二随机数以及所述TIPK的长度。

5、根据权利要求1所述的方法，还包括：

使用所述TIPK，对从所述STA向所述服务控制器发射的后续消息进行认证。

6、一种装置，包括：

发射模块，用于为容纳所述装置的移动站(STA)向服务控制器发射服务配置请求和服务控制消息，其中，所述服务控制器控制至少一种与无线网络内的无线通信相关的服务；

接收模块，与所述发射模块操作性地相耦合，用于从所述服务控制器接收服务配置响应和服务控制消息；

控制模块，与所述发射模块和所述接收模块操作性地相耦合，用于：当所述STA与网络关联时，在收到服务控制器标识符后，生成要包括在服务配置请求消息中的第一随机数；

对称地生成时间完整性成对密钥(TIPK)，其中，所述TIPK包括所述第一随机数和第二随机数，所述第二随机数是同服务配置响应消息一起接收到的，所述第二随机数是所述服务控制器在收到所述第一随机数后生成的。

7、根据权利要求6所述的装置，其中，所述控制模块还用于：

生成服务成对密钥(SPK)，其中所述SPK包括移动站密钥(MSK)、所述STA的媒体访问控制(MAC)地址的至少一部分、服务控制器标识符 (ID)和所述SPK的长度。

8、根据权利要求7所述的装置，其中，所述控制模块还用于：

生成所述TIPK，其中所述TIPK包括所述SPK、所述第一随机数、所述第二随机数、服务类型标识符和所述TIPK的长度。

9、根据权利要求6所述的装置，其中，所述控制模块用于：

生成所述网络提供的每一种服务的TIPK。

10、根据权利要求9所述的装置，其中，所述网络提供包括寻呼服务在内的多种服务，所述控制模块还用于操作处于和离开寻呼模式的所述 STA。

11、根据权利要求6所述的装置，其中，在生成所述TIPK之后，所述控制模块使用所述TIPK验证从所述服务控制器接收的控制消息的真伪。

12、根据权利要求6所述的装置，其中，在生成所述TIPK之后，所述发射模块和所述控制模块用于生成由所述TIPK保护的消息，并向所述服务控制器发射所述消息。

13、根据权利要求6所述的装置，其中，至少所述发射模块和所述接收模块是具有至少一个公共组件的收发机的一部分。

14、一种系统，包括：

全向天线；

服务控制器，与所述天线操作性地相耦合，用于控制无线网络的服务，所述服务包括至少一种与无线通信相关的服务，所述服务控制器用于从代表移动站(STA)的网络接入点(AP)接收服务配置消息，所述服务配置消息包括所述STA生成的第一随机数，所述服务控制器用于向所述AP发射服务配置响应消息以便向所述 STA转发，所述服务配置响应消息包括第二随机数，所述服务控制器还用于生成所述第二随机数和对称地生成唯一的时间完整性成对密钥(TIPK)，所述TIPK用于所述服务控制器与所述STA之间安全的控制消息通信，所述TIPK包括所述第一随机数和所述第二随机数。

15、根据权利要求14所述的系统，其中，所述服务控制器用于生成服务成对密钥(SPK)和生成所述TIPK，其中，所述SPK包括移动站密钥 (MSK)、所述STA的媒体访问控制(MAC)地址的至少一部分、服务控制器标识符(ID)和所述SPK的长度，所述TIPK包括所述SPK、服务类型标识符、所述第一随机数、所述第二随机数和所述TIPK的长度。

16、根据权利要求14所述的系统，其中，在生成所述TIPK之后，所述服务控制器使用所述TIPK验证从所述STA接收的控制消息的真伪。

说明书全文

技术领域

[0001]概括地说，本发明的实施例涉及无线网络领域，具体地说，本发明的实施例涉及无线网络内端到端服务控制的加密机制。

背景技术

[0002]随着诸如无线局域网(WLAN)之类的无线网络如今在企业中广泛地投入使用，已为这些网络引入了众多的应用服务。例如，在WLAN中引入定位服务用于资产跟踪，而寻呼服务则被视为能使移动客户设备显著省电。在这些应用中，定位服务控制器和寻呼服务控制器需要向/从移动客户端通告或获取管理/配置信息。但是，目前在移动站和服务控制器之间定义的信道是非安全信道。

附图说明

[0003]将附图与下文说明书结合起来，则可以容易地理解本发明的实施例。为了便于描述，相同的附图标记表示相同的结构单元。本发明的实施例以举例的方式加以解释说明，而不受限于附图中的图示。

[0004]图1是根据本发明的各种实施例的示例无线通信系统的示意图；

[0005]图2是根据本发明的各种实施例，在无线网络的端到端服务控制保护的加密机制中使用的服务成对密钥的示意图；

[0006]图3是根据本发明的各种实施例，在无线网络的端到端服务控制保护的加密机制中使用的时间完整性成对密钥的示意图；

[0007]图4是对加密机制的一个示例进行说明的流程图，其中，根据本发明的各种实施例，该加密机制用于无线网络的端到端服务控制保护；

[0008]图5是可以用于实现本发明的各个方面的示例处理器系统的模块图。

具体实施方式

[0009]在下文的具体实施方式中，参考构成说明书一部分的附图，其中，相同的标记表示贯穿全文的相同的部件，并且附图示出了本发明可以付诸实施的示例实施例。应当理解的是，在不脱离本发明保护范围的基础上，可以使用其它实施例并且可以进行结构上和逻辑上改变。因此，下文的具体实施方式不应是限制性的，并且根据本发明的实施例的保护范围由权利要求书和其等同物来界定。

[0010]可以将各种操作描述为按顺序的多个不连续的操作，以便帮助理解本发明的实施例；但是，所描述的顺序不应理解为暗示这些操作需要依赖顺序。

[0011]本申请的描述可以使用基于视角的描述，诸如上/下、后/前和顶/底。这些描述仅仅是用于方便讨论，其并不意味着限制本发明实施例的应用。

[0012]为了便于描述本发明，短语“A/B”意味着A或B。为了便于描述本发明，短语“A和/或B”意味着“(A)、(B)或(A和B)”。为了便于描述本发明，短语“A、B和C的至少一个”意味着“(A)、(B)、(C)、(A 和B)、(A和C)、(B和C)或(A、B和C)”。为了便于描述本发明，短语“(A)B”意味着“(B)或(AB)”，也就是说，A是一个可选项。

[0013]本申请的描述可以使用短语“在一个实施例中”或“在实施例中”，其每一个指代一个或多个相同或不同的实施例。此外，如针对本发明的实施例所使用的，术语“包含”、“包括”、“具有”等属于同义词。

[0014]本发明的实施例提供了用于无线网络的端到端服务控制保护的加密机制的方法和装置。

[0015]参见图1，示例无线通信系统100可以包括一个或多个通常如110和 120所示的无线通信网络。具体地说，无线通信系统100可以包括无线局域网(WLAN)110和无线城域网(WMAN)120。虽然图1描述了两个无线通信网络，但无线通信系统100可以包括另外的或更少的无线通信网络。例如，无线通信网络100可以包括更多或更少的WLAN和/或WMAN。本申请描述的方法和装置在这方面不受限制。

[0016]无线通信系统100还可以包括一个或多个通常如140、142和144所示的移动设备，这些移动设备也称作为用户站。例如，用户站140、142和 144可以包括诸如以下的无线电子设备，如：桌上型计算机、膝上型计算机、手持计算机、平板计算机、蜂窝电话、寻呼机、音频和/或视频播放器(例如，MP3播放器或DVD播放器)、游戏设备、摄像机、数字照相机、导航设备(例如，全球定位卫星(GPS)设备)、无线外围设备(例如，打印机、扫描仪、头戴装置、键盘、鼠标等等)、医疗设备(例如，心率监视器、血压监视器等等)和/或其它适当的固定、便携或移动电子设备。虽然图1描述了三个用户站，但是无线通信系统100可以包括更多或更少的用户站。

[0017]用户站140、142和144可以使用诸如以下的多种调制技术以经过无线链路进行通信，如：扩频调制(例如，直接序列码分多址(DS-CDMA) 和/或跳频码分多址(FH-CDMA))、时分复用(TDM)调制、频分复用(FDM) 调制、正交频分复用(OFDM)调制、多载波调制(MDM)和/或其它适当的调制技术。

[0018]举一个例子，膝上型计算机140可以使用直接序列扩频(DSSS)调制和/或跳频扩频(FHSS)调制实现WLAN 110(例如，根据电气和电子工程师协会(IEEE)开发的802.11标准系列的任何一种调制技术和/或这些标准的变型和演变的调制技术)。例如，膝上型计算机140可以经由无线链路与同WLAN 110相关联的设备(例如，手持计算机142和/或智能电话144) 进行通信。膝上型计算机140还可以经由无线链路与接入点(AP)150进行通信。通常来说，WLAN和WMAN包括多个AP 150。AP 150可以与路由器152操作性地相耦合，这在下文中进一步详细描述。或者，可以将AP 150和路由器152集成到单一设备中(如，无线路由器)。

[0019]通过将无线频率信号划分成多个小的子信号，然后同时在不同的频率发射这些子信号，膝上型计算机140可以使用OFDM调制来发射大量的数字数据。具体地说，膝上型计算机140可以使用OFDM调制实现WMAN 120。例如，膝上型计算机140可以根据IEEE开发的802.16标准系列进行工作，从而用于固定、便携和/或移动宽带无线接入(BWA)网络(例如，由IEEE2004公布的IEEE标准802.16)，使膝上型计算机140经由无线链路与通常如160、162和164所示的基站进行通信。

[0020]虽然用IEEE开发的标准描述上文的一些示例，但本申请公开的方法和装置可以容易地适用于其它特定利益集团和/或标准开发组织(例如，无线保真(Wi-Fi)联盟、全球互通微波接入(WiMax)论坛、红外数据协会 (IrDA)、第三代合作组织(3GPP)等等)开发的多种规范和/或标准。本申请描述的方法和装置在这方面不受限制。

[0021]WLAN110和WMAN 120可以与诸如以下的共同的公用或私有网络 170操作性地相耦合，如：因特网、电话网(例如，公用交换电话网(PSTN))、局域网(LAN)、有线网络和/或经由以太网、数字用户线(DSL)、电话线、同轴线和/或任何无线连接等连接的另一个无线网络。举一个例子，WLAN 110可以经由AP150和/或路由器152与共同的公用或私有网络170进行操作性的耦合。再举一个例子，WMAN 120可以经由基站160、162和/或164 与共同的公用或私有网络170进行工作上相耦合。

[0022]无线通信系统100可以包括其它适当的无线通信网络。例如，无线通信系统100可以包括无线广域网(WWAN)(没有示出)。膝上型计算机 140可以根据其它无线通信协议进行工作以支持WWAN。具体地说，这些无线通信协议可以是基于模拟、数字和/或双模式的通信系统技术(例如为全球移动通信系统(GSM)技术、宽带码分多址(WCDMA)技术、通用分组无线业务(GPRS)技术、增强型数据GSM环境(EDGE)技术、通用移动通信系统(UMTS)技术)、基于这些技术的标准、这些标准的变型和演变和/或其它适当的无线通信标准。虽然图1描述了WLAN和WMAN，但无线通信系统100可以包括WLAN、WMAN和/或WWAN的其它组合。本申请描述的方法和装置在这方面不受限制。

[0023]无线通信系统100可以包括其它WLAN、WMAN和/或WWAN设备 (没有示出)(例如，网络接口设备和外围设备(如，网络接口卡(NIC))、接入点(AP)、重新分配点、终端点、网关、网桥、网络集线器等)实现蜂窝电话系统、卫星系统、个人通信系统(PCS)、双向无线电系统、单向寻呼系统、双向寻呼系统、个人计算机(PC)系统、个人数据助理(PDA) 系统、个人计算附属(PCA)系统和/或任何其它适当的通信系统。虽然上文描述了某些示例，但本发明的覆盖范围并不受其限制。

[0024]通常，本发明提供管理/配置消息(也称作为控制消息)的加密机制和端到端保护，其中，这些消息在无线网络的移动站(STA)和服务控制器之间发送。使用加密机制，保护从STA向与其相关联的发射/接收接入点 (AP)发送的广播/多播消息。

[0025]具体地说，本发明提供服务控制器与移动客户端之间端到端保护的密钥等级体系。根据本发明的各种实施例的处理提供如下操作：一旦STA 完成与扩展服务集(ESS)的关联(第一次联系)，网络认证服务器(NAS) 就向服务控制器分配一个移动站密钥(MSK)。如果在ESS中存在超过一个服务控制器，则NAS向所有的服务控制器分配MSK。

[0026]服务控制器/STA根据MSK的比特256-511导出服务成对密钥 (SPK)。或者，可以使用缓存的预共享密钥(PSK)的比特256-511。如图 2所示，使用第一域210中的MSK的比特256-511、第二域220中的STA 的媒体访问控制(MAC)地址、第三域230中的服务控制器标识符和第四域240中的密钥长度，通过密钥导出函数生成SPK 200。

[0027]在STA和服务控制器之间交换服务配置之后，服务控制器和STA根据SPK生成时间完整性成对密钥(TIPK)。如图3所示，使用第一域310 中的SPK、第二域320中的服务类型标识符(例如，“寻呼服务”)、第三域 330中的STA生成的随机数A、第四域340中的服务控制器生成的随机数B 和第五域350中的密钥长度，通过密钥导出函数生成TIPK 300。

[0028]因此，TIPK是保护STA和服务控制器之间上行链路和下行链路消息的双向密钥。根据本发明的各种实施例，对于不同类型的服务控制器，STA 可以具有不同的TIPK。

[0029]因此，本发明提供双向握手消息以导出网络的服务控制器和STA之间的TIPK。图4说明了根据本发明的各种实施例的加密生成和传送。在关联期间(与ESS的第一次联系)，在模块400，STA和AP交换网络的服务能力，例如，寻呼支持或定位支持。如果ESS支持所指定的服务类型(如，寻呼)，则在模块410，AP在关联响应消息中向STA提供服务控制器标识符(ID)，而在模块420，STA将向AP发送服务配置请求行动帧。服务配置请求包括对话令牌、所请求的服务类型和随机数A。当AP接收到服务配置请求行动时，在模块430，AP生成配置请求消息并向相应的服务控制器转发。该配置请求消息包括随机数A和STA的MAC地址。一旦服务控制器处理完STA的服务配置请求，在模块440，服务控制器生成随机数B并通过配置响应消息向AP发送。在模块450，AP通过服务配置响应消息向 STA转发随机数B。在模块460，STA和服务控制器都使用随机数A和B 导出并安装TIPK。根据本发明的各种实施例，服务配置请求/响应行动帧是第三类行动帧，并且可以由管理帧保护进行保护。

[0030]因此，一旦STA和服务控制器生成TIPK，则该TIPK用于对STA、服务控制器和任何介入的AP之间交换的消息进行认证。STA和服务控制器通过使用TIPK校验消息完整性代码来验证所接收的消息。

[0031]通常，STA包括全向天线、控制模块、发射模块和接收模块，其中，发射模块操作性地耦合至控制模块和天线，而接收模块操作性地耦合至控制模块和天线。至少发射模块和接收模块可以是具有至少一个公共组件的收发机的一部分。

[0032]图5是用于实现本申请公开的根据各种实施例的方法和装置的示例处理器系统2000的模块图。处理器系统2000可以是桌上型计算机、膝上型计算机、手持计算机、平板计算机、PDA、服务器、网络设备和/或任何其它类型的计算设备。处理器系统2000可以用作STA、AP或具有服务控制器功能的服务器。

[0033]图5中说明的处理器系统2000可以包括芯片组2010，后者包括存储控制器2012和输入/输出(I/O)控制器2014。芯片组2010可以提供存储器和I/O管理功能，以及处理器2020可以访问或使用的多个通用和/或专用寄存器、定时器等。可以使用一个或多个无线个人区域网(WPAN)组件、无线局域网(WLAN)组件、无线城域网(WMAN)组件、无线广域网(WWAN) 组件和/或其它适当的网络组件实现芯片组2010。具体地说，在设计为STA 或AP的各种实施例中，可以将实现上文描述加密机制的选定方面的本发明内容赋于芯片组2010中。处理器2020可以使用一个或多个处理器来实现，其中这些处理器例如为具有CoreTM技术、技术、技术、CentrinoTM技术、CoreTM Duo技术、XeonTM 技术和/或技术的那些处理器。或者，可以使用其它处理技术实现处理器2020。处理器2020可以包括高速缓存2022，后者可以使用第一级统一高速缓存(L1)、第二级统一高速缓存(L2)、第三级统一高速缓存(L3)和/或存储数据的任何其它适当结构实现。

[0034]存储控制器2012可以实现如下功能，即，使处理器2020能够通过总线2040访问主存储器2030并与主存储器2030通信，其中主存储器2030 包括易失性存储器2032和非易失性存储器2034。易失性存储器2032可以用同步动态随机存取存储器(SDRAM)、动态随机存取存储器(DRAM)、 RAMBUS动态随机存取存储器(RDRAM)和/或任何其它类型随机存储器器件实现。非易失性存储器2034可以用闪存、只读存储器(ROM)、电可擦写可编程只读存储器(EEPROM)和/或任何其它期望类型的存储器器件实现。在设计为用作服务器的各种实施例中，主存储器2030可以包括实现所有或一部分上文描述服务控制器功能的指令(的非永久拷贝)，其中，服务器是具有上文描述的服务控制器功能的适当服务器。

[0035]处理器系统2000还可以包括耦合到总线2040的接口电路2050。该接口电路2050可以用任何类型的接口标准来实现，例如，以太网接口、通用串行总线(USB)、第三代输入/输出(3GIO)接口和/或任何其它适当类型的接口。在设计为STA或AP的各种实施例中，除了或替代芯片组2010 的功能之外，可以在接口电路2050中实现上文描述的加密机制的选定方面。 [0036]可以将一个或多个输入设备2060连接到接口电路2050。输入设备 2060允许个人向处理器2020输入数据和命令。例如，输入设备2060可以用键盘、鼠标、触摸屏、跟踪板、跟踪球、等位点(isopoint)和/或语音识别系统实现。

[0037]还可以将一个或多个输出设备2070连接到接口电路2050。例如，输出设备2070可以用显示设备(例如，发光显示器(LED)、液晶显示器(LCD)、阴极射线管(CRT)显示器、打印机和/或扬声器)实现。接口电路2050可以包括图形驱动卡等等。

[0038]处理器系统2000还可以包括一个或多个存储软件和数据的大容量存储设备2080。这种大容量存储设备2080的例子包括：软盘及驱动器、硬盘驱动器、光盘及驱动器和数字通用光盘(DVD)及驱动器。在设计为用作服务器的各种实施例中，大容量存储设备可以包括实现所有或一部分上文描述服务控制器功能的指令(的非永久拷贝)，其中，服务器是具有上文描述的服务控制器功能的适当服务器。

[0039]接口电路2050还可以包括诸如调制解调器或网络接口卡的通信设备，以便于经由网络与外部计算机进行数据交换。处理器系统2000和网络之间的通信链路可以是任何类型的网络连接，例如，以太网连接、数字用户线(DSL)、电话线、蜂窝电话系统、同轴线等。

[0040]I/O控制器2014可以控制对输入设备2060、输出设备2070、大容量存储设备2080和/或网络的访问。具体地说，I/O控制器2014可以实现如下功能，即，使处理器2020经过总线2040和接口电路2050，能够与输入设备2060、输出设备2070、大容量存储设备2080和/或网络进行通信。

[0041]虽然将图5中示出的组件描述成处理器系统2000中不同的模块，但由一些这些模块执行的功能可以集成在单一的半导体电路中或者可以用两个或更多个不同的集成电路实现。例如，虽然将存储控制器2012和I/O控制器2014描述成芯片组2010中不同的模块，但也可以将存储控制器2012 和I/O控制器2014集成在单一的半导体电路中。

[0042]虽然为了描述优选实施例，本申请说明和描述了特定的实施例，但本领域的普通技术人员应当理解的是，在不脱离本发明的保护范围基础上，可用来实现相同目的的各种替代性和/或等同的实施例或实施方式都可替换所示出和描述的实施例。本领域的普通技术人员很容易理解，可以用很多种方法实现依照本发明的实施例。本申请旨在覆盖这里讨论的实施例的任何变通和变型。因此，根据本发明的实施例仅由权利要求书和其等同物进行界定是很明确的。

标题	发布/更新时间	阅读量
机械设计实施例纸展示辅助系统-专利编号CN106579892A	2020-05-12	825
外汇交易的系统（实施例）-专利编号CN103329156A	2020-05-12	302
一种面向虚拟化实例的启动配置实施方法-专利编号CN105430043B	2020-05-13	603
一种机械设计制实施例辅助系统-专利编号CN106607803A	2020-05-11	294
用于生产铁矿石球团的炉料（实施例）-专利编号CN110199037A	2020-05-12	675
用于动态实施防火墙例外的系统-专利编号CN107026837A	2020-05-11	729
基于大数据撰写实施例的方法及装置-专利编号CN106776767A	2020-05-11	492
有多谐振电路的电源模块与各种实施例-专利编号CN103733489A	2020-05-13	553
发光二极管灯串的优选实施例-专利编号CN1430864A	2020-05-11	931
一种信息安全评估的实施用例的生成方法-专利编号CN102495731A	2020-05-13	1059

用于端到端服务控制保护的加密机制的方法和装置

技术领域

背景技术

附图说明

具体实施方式

IPRDB

热门服务

关于我们

友情链接

联系方式