專利名稱:用于協(xié)商建立對(duì)等通信鏈路的能力的設(shè)備和方法
用于協(xié)商建立對(duì)等通信鏈路的能力的設(shè)備和方法技術(shù)領(lǐng)域一般來說,本發(fā)明的實(shí)施例涉及用于建立對(duì)等鏈路的通信策略的 設(shè)備和方法。
背景技術(shù):
可釆用各種體系結(jié)構(gòu)設(shè)計(jì)來構(gòu)成通信網(wǎng)絡(luò)。在許多這類通信網(wǎng)絡(luò) 的設(shè)計(jì)中,安全性是一個(gè)整體要素。當(dāng)開發(fā)通信網(wǎng)絡(luò)的新設(shè)計(jì)時(shí),應(yīng) 當(dāng)解決安全性。但是,安全方案的實(shí)現(xiàn)包括對(duì)內(nèi)容的預(yù)期傳輸增加延 遲和/或復(fù)雜度的處理及過程。應(yīng)當(dāng)著手處理建立通信網(wǎng)絡(luò)中的安全實(shí) 現(xiàn)的復(fù)雜度或時(shí)間的減少,而不使通過通信網(wǎng)絡(luò)的增強(qiáng)設(shè)計(jì)進(jìn)行傳輸 的服務(wù)質(zhì)量降級(jí)。
通過附圖、作為示例而不是限制來說明本發(fā)明的實(shí)施例,附圖包括圖1示出節(jié)點(diǎn)A與節(jié)點(diǎn)B之間的對(duì)等通信鏈路的實(shí)施例的表示。圖2示出具有多個(gè)網(wǎng)格點(diǎn)的網(wǎng)狀網(wǎng)絡(luò)的實(shí)施例的特征,其中基于 對(duì)等來建立兩個(gè)單獨(dú)網(wǎng)格點(diǎn)之間的通信。實(shí)施例的特征的流程圖。圖4示出兩個(gè)網(wǎng)格點(diǎn)之間的消息流程的實(shí)施例。圖5示出根據(jù)協(xié)商對(duì)等鏈路中策略參數(shù)的各種實(shí)施例的無(wú)線通信 裝置的實(shí)施例的框圖。圖6示出根據(jù)協(xié)商對(duì)等鏈路中策略參數(shù)的各種實(shí)施例的系統(tǒng)的實(shí)施例的框圖。
具體實(shí)施方式
在以下詳細(xì)描述中,參照附圖,作為說明,附圖示出可實(shí)現(xiàn)本發(fā) 明的細(xì)節(jié)和實(shí)施例。充分詳細(xì)地描述這些實(shí)施例,使本領(lǐng)域的技術(shù)人 員能夠?qū)崿F(xiàn)本發(fā)明的實(shí)施例??墒褂闷渌鼘?shí)施例并且在沒有背離本發(fā) 明主題的情況下可進(jìn)行結(jié)構(gòu)、邏輯和電氣變更。本文7>開的各種實(shí)施 例不一定相互排斥,因?yàn)槟承?shí)施例可與 一個(gè)或多個(gè)其它實(shí)施例結(jié)合 以組成新的實(shí)施例。因此,以下詳細(xì)說明不應(yīng)被理解為限制性的。圖1示出節(jié)點(diǎn)A與節(jié)點(diǎn)B之間的對(duì)等通信鏈路的實(shí)施例的表示。 在各種實(shí)施例中,可提供對(duì)等配置中的節(jié)點(diǎn)A與節(jié)點(diǎn)B之間的通信策 略的協(xié)商,而無(wú)需依靠對(duì)等鏈路建立之前的信息通知。通信策略是其 中可通過一個(gè)或多個(gè)機(jī)制、協(xié)議或算法來實(shí)現(xiàn)能力或功能的實(shí)體所支 持的能力或功能。協(xié)商的結(jié)果包括選擇機(jī)制、協(xié)議或算法其中之一來 進(jìn)行該功能。通信策略的一個(gè)示例是安全策略。在對(duì)等鏈路建立期間, 可使用確定仲裁器的預(yù)定標(biāo)準(zhǔn)以及用于根據(jù)仲裁標(biāo)準(zhǔn)和對(duì)等鏈路建立 中提供的數(shù)據(jù)選擇通信策略的過程,來進(jìn)行協(xié)商。節(jié)點(diǎn)A和節(jié)點(diǎn)B實(shí)現(xiàn)為獨(dú)立電子裝置,可向它們提供唯一標(biāo)識(shí)符以便在裝置的較大集合中標(biāo)識(shí)各裝置??砂凑仗囟樞?、根據(jù)生成每 個(gè)唯一標(biāo)識(shí)符的方式或者根據(jù)每個(gè)唯一標(biāo)識(shí)符的格式來排列每個(gè)唯一標(biāo)識(shí)符。可使用唯一標(biāo)識(shí)符的特性來定義預(yù)定標(biāo)準(zhǔn)以便創(chuàng)建對(duì)等鏈路 建立中使用的仲裁。例如,如果標(biāo)識(shí)符包括可^^要照大小來量化的數(shù)字 字符或其它唯一符號(hào),則可將節(jié)點(diǎn)A與節(jié)點(diǎn)B之間的協(xié)商的仲裁器與 具有最大唯一標(biāo)識(shí)符的節(jié)點(diǎn)關(guān)聯(lián)?;蛘撸俨闷骺苫谧钚〉奈ㄒ粯?biāo) 識(shí)符。用于確定仲裁器的預(yù)定標(biāo)準(zhǔn)不限于與節(jié)點(diǎn)A和節(jié)點(diǎn)B相關(guān)的唯 一標(biāo)識(shí)符的最大或最小唯一標(biāo)識(shí)符,而是可通過節(jié)點(diǎn)的其它特性來選 擇,其中可將各節(jié)點(diǎn)的唯一特征與該特性關(guān)聯(lián)。在給定仲裁器的預(yù)定標(biāo)準(zhǔn)的情況下,可在對(duì)等鏈路建立期間來實(shí)現(xiàn)節(jié)點(diǎn)A與節(jié)點(diǎn)B之間的協(xié)商,其方式是節(jié)點(diǎn)B向節(jié)點(diǎn)A提供節(jié)點(diǎn) B的唯一標(biāo)識(shí)符以及節(jié)點(diǎn)B的通信策略的參數(shù)或值的集合,并且節(jié)點(diǎn)A 向節(jié)點(diǎn)B提供節(jié)點(diǎn)A的唯一標(biāo)識(shí)符以及節(jié)點(diǎn)A的通信策略的參數(shù)或值 的集合。節(jié)點(diǎn)A和節(jié)點(diǎn)B各自可獨(dú)立使用仲裁器的預(yù)定標(biāo)準(zhǔn),以便從 通信值的兩個(gè)集合(它自己的以及所接收的集合)中選擇協(xié)商參數(shù),其 中從唯一標(biāo)識(shí)符的交換中查明其確定特性??杀容^兩個(gè)集合,并且可 將仲裁標(biāo)準(zhǔn)應(yīng)用于比較??蓤?zhí)行將仲裁標(biāo)準(zhǔn)應(yīng)用于通信參數(shù)的兩個(gè)集合,其中兩個(gè)集合的 每個(gè)作為有序集合來提供??杀容^兩個(gè)有序集合,并且可將仲裁標(biāo)準(zhǔn) 應(yīng)用于考慮排序規(guī)則的比較。 一旦獨(dú)立確定了通信策略的參數(shù)或值, 則節(jié)點(diǎn)的 一個(gè)或兩個(gè)可向另 一個(gè)節(jié)點(diǎn)通信提供包括通信策略的所選值 的指示符的確認(rèn)消息。如果在節(jié)點(diǎn)上接收的通信策略的值的指示符與 在該節(jié)點(diǎn)上獨(dú)立得出的通信策略的值的指示符相同,則協(xié)商成功。可 通過交換的四個(gè)消息來進(jìn)行這樣的過程。在一個(gè)實(shí)施例中,正被協(xié)商 的通信策略可以是安全策略??墒褂镁哂嘘P(guān)聯(lián)認(rèn)證密鑰K的消息完整碼nk以及使用加密隨機(jī)數(shù) 生成器,在節(jié)點(diǎn)A與B之間傳送唯一標(biāo)識(shí)符以及通信策略的值集合。 在節(jié)點(diǎn)A與節(jié)點(diǎn)B之間共享認(rèn)證密鑰,其中,可在建立節(jié)點(diǎn)A與節(jié)點(diǎn) B的對(duì)等鏈路會(huì)話之前,以安全方式來建立認(rèn)證密鑰的共享性質(zhì)。節(jié) 點(diǎn)A可與不同于節(jié)點(diǎn)B的節(jié)點(diǎn)共享不同的i人證密鑰。節(jié)點(diǎn)A和B可以 是網(wǎng)狀通信網(wǎng)絡(luò)中的網(wǎng)格點(diǎn)。圖2示出具有多個(gè)網(wǎng)格點(diǎn)210-1…210-N的網(wǎng)狀網(wǎng)絡(luò)200的實(shí)施例 的特征,其中基于對(duì)等來建立兩個(gè)單獨(dú)網(wǎng)格點(diǎn)之間的通信。網(wǎng)格點(diǎn) 210-1... 210-N之間的直接連通性可根據(jù)應(yīng)用改變。在各種實(shí)施例中, 可根據(jù)網(wǎng)絡(luò)規(guī)則來提供成對(duì)的網(wǎng)格點(diǎn)210-1... 210-N之間的通信信道。 各網(wǎng)格點(diǎn)210-1...210-N具有唯一標(biāo)識(shí)符??筛鶕?jù)規(guī)則集以分級(jí)順序來 排列唯一標(biāo)識(shí)符。各網(wǎng)格點(diǎn)210-1... 210-N具有它自己的、通信策略的參數(shù)或值的集合??砂凑仗囟樞騺砼帕芯W(wǎng)格點(diǎn)上的集合的成員或值。各個(gè)節(jié)點(diǎn)210-1...210-N的每個(gè)上的特定順序可以是節(jié)點(diǎn)特定的。各個(gè)節(jié)點(diǎn) 210-1...210-N上的特定順序可以相互無(wú)關(guān)?;蛘撸骶W(wǎng)格點(diǎn)上的通信 參數(shù)的排序可基于公共規(guī)則。另外, 一個(gè)網(wǎng)格點(diǎn)上的值的集合在其集 合中可具有與另 一個(gè)網(wǎng)格點(diǎn)的集合中的值的數(shù)量不同的多個(gè)值。此外, 網(wǎng)格點(diǎn)上的通信策略的值的集合可以是固定的。或者,可在各個(gè)時(shí)間 在網(wǎng)格點(diǎn)上提供通信策略的值的集合。在對(duì)等協(xié)商期間,各協(xié)商網(wǎng)格 點(diǎn)上的值的集合可在各網(wǎng)格點(diǎn)上保持固定??赏ㄟ^類似于以上針對(duì)節(jié)點(diǎn)A和節(jié)點(diǎn)B所述的方式,來進(jìn)行兩個(gè) 不同網(wǎng)格點(diǎn)210-1與210-J(1SI, GN)之間的點(diǎn)對(duì)點(diǎn)會(huì)話中建立通信 策略的值的協(xié)商,其中,將基于網(wǎng)格點(diǎn)210-1和210-J的唯一標(biāo)識(shí)符 的仲裁標(biāo)準(zhǔn)應(yīng)用于兩個(gè)網(wǎng)格點(diǎn)的通信策略的值的兩個(gè)集合??墒褂霉?享認(rèn)證密鑰對(duì)網(wǎng)格點(diǎn)的任何成對(duì)組合進(jìn)行值集合的交換。規(guī)則集可確 定分析通信值的兩個(gè)集合以及應(yīng)用標(biāo)準(zhǔn)的方式。網(wǎng)格點(diǎn)可屬于無(wú)線網(wǎng) 狀網(wǎng)絡(luò)。無(wú)線通信的各種標(biāo)準(zhǔn)由電氣和電子工程師協(xié)會(huì)(IEEE)提供。當(dāng) IEEE 802. 11標(biāo)準(zhǔn)的一個(gè)修正案IEEE 802. lis完成時(shí),將會(huì)對(duì)無(wú)線局 域網(wǎng)(WLAN)標(biāo)準(zhǔn)增加網(wǎng)格能力。網(wǎng)格體系結(jié)構(gòu)允許在包含多個(gè)無(wú)線跳 的路徑上轉(zhuǎn)發(fā)數(shù)據(jù)。IEEE 802. lis被特許,以便通過增加網(wǎng)格能力來 改進(jìn)數(shù)據(jù)傳輸?shù)耐掏铝浚粫?huì)損害安全性并且不會(huì)使過渡時(shí)的服務(wù) 質(zhì)量(QoS)降級(jí)??蓪⑦@個(gè)修正案用于通過網(wǎng)才各提供視頻流播的應(yīng)用。但是,視頻流可預(yù)期迅速建立網(wǎng)格上的對(duì)等鏈路,而不管無(wú)線保 真(Wi-FiH某體上的噪聲。因此,存在與在可用時(shí)間內(nèi)完成安全對(duì)等鏈 路建立有關(guān)的問題。為了解決這個(gè)問題,正在研究通過將安全握手重 疊在基本對(duì)等鏈路建立協(xié)議之上來加速建立安全鏈路的過程的協(xié)議。 如果無(wú)線局域網(wǎng)(WLAN)網(wǎng)格點(diǎn)(MP)具有對(duì)先前建立的成對(duì)主密鑰(PMK) 的先驗(yàn)知識(shí)和控制,則這樣一種方案允許WLAN MP省略安全鏈路建立 過程中的某些步驟。這種方法可增強(qiáng)無(wú)線網(wǎng)格上的視頻流應(yīng)用的用戶體驗(yàn),^^定MP頻繁丟失某些鏈路上的連通性。IEEE 802. lis對(duì)等鏈路建立協(xié)議的安全增強(qiáng)帶來了新的安全問題 和性能挑戰(zhàn)。第一步驟是協(xié)商啟用單播/多播網(wǎng)格業(yè)務(wù)保護(hù)的安全能 力。對(duì)于兩個(gè)網(wǎng)格點(diǎn)之間的鏈路實(shí)例,兩個(gè)網(wǎng)格點(diǎn)在可完成對(duì)等鏈路 建立過程之前,商定安全參數(shù),例如認(rèn)證方法和加密算法。通常將認(rèn) 證方法和加密算法統(tǒng)稱為密碼適配組。在IEEE 802. 11標(biāo)準(zhǔn)的安全修 正案IEEE 802. lli中,使用客戶機(jī)/服務(wù)器模型來執(zhí)行安全參數(shù)協(xié)商, 其中,WLAN接入點(diǎn)(AP)使用選擇列表來通告各安全參數(shù)的所支持的選 擇,并且WLAN站(STA)從列表中選取它可支持的一個(gè)。WLAN網(wǎng)格可使 用對(duì)等才莫型來建立鏈路。但是,客戶機(jī)-服務(wù)器^f莫型所使用的協(xié)議方法 可能是不可靠的,除非在鏈路建立期間所交換的消息的數(shù)量與列表的 長(zhǎng)度成正比??筛鶕?jù)以下假設(shè)來構(gòu)造一種機(jī)制引導(dǎo)安全參數(shù)協(xié)商的網(wǎng)格點(diǎn)必 需在可發(fā)起協(xié)議之前學(xué)習(xí)對(duì)等MP在對(duì)等鏈路建立協(xié)議之前通知的選 擇列表。這樣一種方案^f艮定經(jīng)由不同的機(jī)制、例如使用信標(biāo)/探測(cè)響應(yīng) 來進(jìn)行這種通知。但是,在一些情況下,僅通過竊聽它的鄰域中的加 密單播業(yè)務(wù), 一個(gè)節(jié)點(diǎn)可將另一個(gè)標(biāo)識(shí)為有效通信伙伴。這樣一個(gè)MP 將無(wú)法區(qū)分信標(biāo)和探測(cè)響應(yīng)。在無(wú)線網(wǎng)格環(huán)境中,這樣一種機(jī)制無(wú)法 提供對(duì)等環(huán)境中預(yù)期的協(xié)議魯棒性。這樣一種方案無(wú)法滿足提供更好 的協(xié)商等待時(shí)間而不會(huì)降低安全性的目標(biāo)。在一個(gè)實(shí)施例中,提供了例如在網(wǎng)格四消息鏈路建立協(xié)議之上的 密碼適配組的安全參數(shù)的協(xié)商而沒有犧牲安全性。MP可在任何時(shí)間發(fā) 起協(xié)議。各種實(shí)施例可包括兩個(gè)加密原語(yǔ)。首先可使用消息完整碼。 消息完整碼表示為itk,并且可用來檢測(cè)偽造消息,其中K是關(guān)聯(lián)認(rèn)證 密鑰。適當(dāng)消息認(rèn)證碼的示例包括根據(jù)基于密碼的消息認(rèn)證碼算法 (CMAC)模式中的高級(jí)加密標(biāo)準(zhǔn)(AES)和密鑰哈希消息認(rèn)證碼(HMAC)模 式中的安全哈希算法256 (SHA-256)的代碼,盡管本發(fā)明的實(shí)施例不限 于這個(gè)方面。其次可使用表示為rng的加密隨機(jī)數(shù)生成器??墒褂眉用茈S機(jī)數(shù)生成器來產(chǎn)生任何多項(xiàng)式時(shí)間算法無(wú)法預(yù)測(cè)的值。ANSI標(biāo)準(zhǔn) X9. 31和X9. 82提供加密隨機(jī)數(shù)生成器的示例??墒褂闷渌用茈S機(jī) 數(shù)生成器。實(shí)施例的特征的流程圖。網(wǎng)格點(diǎn)、即網(wǎng)絡(luò)中的各方,可以是網(wǎng)狀網(wǎng)絡(luò) 中的電子裝置。下文中將兩個(gè)網(wǎng)格點(diǎn)稱作網(wǎng)格點(diǎn)A和網(wǎng)格點(diǎn)B。兩個(gè) 網(wǎng)格點(diǎn)A和網(wǎng)格點(diǎn)B包括唯一的標(biāo)識(shí)符。各標(biāo)識(shí)符具有允許根據(jù)某個(gè) 規(guī)則或標(biāo)準(zhǔn)來選擇標(biāo)識(shí)符其中之一的共同特性或格式。本文中將網(wǎng)格 點(diǎn)A的標(biāo)識(shí)符表示為MPA,而將網(wǎng)格點(diǎn)B的標(biāo)識(shí)符表示為MPB??蓪?duì)網(wǎng) 格點(diǎn)標(biāo)識(shí)符全面排序。在一個(gè)實(shí)施例中,排序可基于一個(gè)標(biāo)識(shí)符相對(duì) 另一個(gè)標(biāo)識(shí)符的相對(duì)量。這引入確定對(duì)等設(shè)定中的"優(yōu)選方"的過程。 例如,網(wǎng)格點(diǎn)A的標(biāo)識(shí)符在排序中可大于B的標(biāo)識(shí)符,并且網(wǎng)格點(diǎn)A 可被兩個(gè)網(wǎng)格點(diǎn)作為"優(yōu)選方"。在一個(gè)實(shí)施例中,網(wǎng)格點(diǎn)A的IEEE 802. ll媒體訪問控制(MAC)地址可以是MPA的值,其中B的IEEE 802.11 MAC地址為MPB的值。在協(xié)商過程的稍后階段,MAC地址的使用允許將 固定標(biāo)準(zhǔn)用于根據(jù)MAC地址的相對(duì)比較來選擇網(wǎng)格A或網(wǎng)格B。這樣一種固定規(guī)則不限于兩個(gè)給定網(wǎng)格點(diǎn)A和B,而是可適用于 網(wǎng)絡(luò)中的所有網(wǎng)格點(diǎn)。作為一個(gè)示例,可通過按詞典方式進(jìn)行排序, 將用作裝置標(biāo)識(shí)符的MAC地址全面排序。在這種排列之下,由于MAC 地址唯一標(biāo)識(shí)裝置,因此,對(duì)于詞典順序, 一個(gè)網(wǎng)才各點(diǎn)的MAC地址也 將嚴(yán)格地大于另一個(gè)的MAC地址。在協(xié)商過程的稍后階段,比較兩個(gè) MAC地址的步驟允許將網(wǎng)格點(diǎn)其中之一的一個(gè)或多個(gè)特性選擇作為有 效仲裁器。除了MAC地址之外,還可使用其它唯一標(biāo)識(shí)符。網(wǎng)絡(luò)中的各網(wǎng)格點(diǎn)處于它保持的狀態(tài)。在一個(gè)實(shí)施例中,網(wǎng)格點(diǎn)A所保持的狀態(tài)包括可接受參數(shù)值C"、 CA2.....G的全面排序列表La,其中,N是LA的長(zhǎng)度。值C"、 CA2..... C^的有序列表標(biāo)識(shí)網(wǎng)格點(diǎn)A支持的參數(shù)值。這些參數(shù)可用于單播網(wǎng)格業(yè)務(wù)保護(hù)。有序列表La可具有 作為網(wǎng)格點(diǎn)A最優(yōu)選的參數(shù)值的CA1,而它的最低優(yōu)選參數(shù)值是C^?;蛘撸行蛄斜鞮A可具有作為網(wǎng)格點(diǎn)A最優(yōu)選的參數(shù)值的CAN,而它的最 低優(yōu)選參數(shù)值是Cu。另外,網(wǎng)格點(diǎn)A保持網(wǎng)格點(diǎn)A與網(wǎng)格點(diǎn)B共享的 唯一認(rèn)證密鑰K,將它用來作為消息認(rèn)證碼iTk的密鑰。這個(gè)認(rèn)證密鑰K 允許網(wǎng)格點(diǎn)A檢測(cè)冒充網(wǎng)格點(diǎn)B的裝置偽造的消息。網(wǎng)格點(diǎn)A使用MPA 向網(wǎng)才各點(diǎn)B標(biāo)識(shí)K。網(wǎng)格點(diǎn)B所保持的狀態(tài)包括可接受參數(shù)值Cn、 CM.....Cbm的全面排序列表Lb,其中,M是U的長(zhǎng)度。有序列表Cm、 Cb2.....C朋標(biāo)識(shí)網(wǎng)格點(diǎn)B支持的參數(shù)值。這些參數(shù)可用于單播網(wǎng)格業(yè)務(wù)保護(hù)。有序列表 LB可具有作為網(wǎng)格點(diǎn)B最優(yōu)選的參數(shù)值的CB1,而它的最低優(yōu)選參數(shù)值 是Cbm。或者,有序列表LB可具有作為網(wǎng)格點(diǎn)B最優(yōu)選的參數(shù)值的cbm, 而它的最低優(yōu)選參數(shù)值是Cw。另外,網(wǎng)格點(diǎn)B保持與網(wǎng)格點(diǎn)A共享的 認(rèn)證密鑰K,將它用來作為消息認(rèn)證碼nk的密鑰。這個(gè)iU正密鑰K允 許網(wǎng)格點(diǎn)B檢測(cè)冒充網(wǎng)格點(diǎn)A的裝置偽造的消息。網(wǎng)格點(diǎn)B使用MPB 向網(wǎng)格點(diǎn)A標(biāo)識(shí)K。在運(yùn)行安全策略協(xié)商之前的提供中,將列表LA中由網(wǎng)格點(diǎn)A所支 持的可接受參數(shù)值配置到網(wǎng)格點(diǎn)A。在運(yùn)行安全策略協(xié)商之前的提供 中,將列表LB中由網(wǎng)格點(diǎn)B所支持的可接受參數(shù)值配置到網(wǎng)格點(diǎn)B。 在特定網(wǎng)格點(diǎn)上沒有進(jìn)行安全策略協(xié)商的時(shí)段中,可在相應(yīng)網(wǎng)格點(diǎn)上改變或更新其列表U和LB。以某種安全方式建立網(wǎng)格點(diǎn)A與網(wǎng)格點(diǎn)B之間共享的認(rèn)證密鑰K。 在一個(gè)實(shí)施例中,將認(rèn)證密鑰K綁定到各方的MAC地址,這樣讓網(wǎng)才各 點(diǎn)A和網(wǎng)格點(diǎn)B知道將認(rèn)證密鑰K用于保護(hù)使用其自己的標(biāo)識(shí)符的裝 置之間交換的消息。在各種實(shí)施例中,將認(rèn)證密鑰K僅用于保護(hù)使用 其自己的標(biāo)識(shí)符的裝置之間交4灸的消息。在310,通知來自兩個(gè)網(wǎng)格點(diǎn)的密碼適配組列表。該過程的實(shí)施 例的這個(gè)部分可看作是第1階段,其中兩個(gè)網(wǎng)格點(diǎn)相互通告它們配置 的密碼適配組列表。這個(gè)通知可通過將其相應(yīng)的參數(shù)值有序的列表插 入對(duì)等鏈路建立協(xié)議的請(qǐng)求消息中來實(shí)現(xiàn),其中來自各網(wǎng)格點(diǎn)的消息包括其標(biāo)識(shí)符。請(qǐng)求消息也可看作是開^:消息。網(wǎng)格點(diǎn)A將LA包含在它的請(qǐng)求消息中,以及網(wǎng)格點(diǎn)B將LB包含在 它的請(qǐng)求消息中。包含在請(qǐng)求消息中的是隨機(jī)數(shù)。網(wǎng)格點(diǎn)A使用它的rng來生成隨機(jī)數(shù)RA。網(wǎng)格點(diǎn)B使用它的rng來生成隨才幾數(shù)RB。來自 網(wǎng)格點(diǎn)A和來自網(wǎng)格點(diǎn)B的請(qǐng)求消息可按照如下所示來生成 A — B: MPAII函II RA || LA || mK (MPA || RA || LA) B ~> A: MPB II MPA || RB || LB || mK (MPB || RB || LB)其中,"II"表示級(jí)聯(lián),A 4 B: M表示網(wǎng)格點(diǎn)A向網(wǎng)格點(diǎn)B發(fā)送消 息M,以及B 4 A: M表示網(wǎng)格點(diǎn)B向網(wǎng)格點(diǎn)A發(fā)送消息M。圖4示出 兩個(gè)網(wǎng)才備點(diǎn)之間的消息流程的 一個(gè)實(shí)施例。協(xié)議開始于網(wǎng)格點(diǎn)A生成Ra并向網(wǎng)格點(diǎn)B發(fā)送消息l(開放消 息)MPA II MPB II RAII LA || mK (MPA || MPB || RA || LA)。將MPA包含在消息1中告訴網(wǎng)格點(diǎn)B要使用哪一個(gè)認(rèn)證密鑰來構(gòu)造通過消息3的響應(yīng)。將 MPB包含在消息1中告訴網(wǎng)格點(diǎn)B關(guān)于網(wǎng)格點(diǎn)B是消息的目標(biāo)。將RA 包含在消息1中允許網(wǎng)格點(diǎn)A稍后檢查消息3是新的,即在消息1之 前可能沒有產(chǎn)生過。將LA包含在消息1中允許網(wǎng)格點(diǎn)B根據(jù)所接收有 序列表LA和本地有序列表LB來進(jìn)行判定。同時(shí)或依次地,網(wǎng)格點(diǎn)B生成隨機(jī)數(shù)RB,并發(fā)送作為 MPB II MPA II RB II LB II mK (MPB || MPA || Rb || Lb)的消息2 (開放消息)。類似地,網(wǎng)格點(diǎn)B通過將MPB包含在消息2來指明要使用的正確認(rèn)證密鑰, 并通過包含MPA來指明消息目標(biāo)。將RB包含在消息2中允許網(wǎng)格點(diǎn)B 稍后檢查消息4是新的,即在消息2之前可能沒有產(chǎn)生過。將LB包含 在消息2中允許網(wǎng)格點(diǎn)A根據(jù)所接收有序列表LB和本地有序列表LA來 進(jìn)行判定。在級(jí)聯(lián)中可使用其它定序,其中這種定序是雙方已知的排 序。第 一方檢查在第二請(qǐng)求消息中接收的隨機(jī)數(shù)RB是否不等于隨機(jī)數(shù) Ra。如果不相等,則第一方丟棄第二請(qǐng)求消息,并且不對(duì)它進(jìn)4亍應(yīng)答。 類似地,笫 一方通過使用共享密鑰來檢驗(yàn)第二請(qǐng)求消息的消息完整碼。如果這個(gè)檢驗(yàn)失敗,則第一方丟棄第二請(qǐng)求消息,并且不對(duì)它進(jìn)行應(yīng)答。類似地,第二方檢查在第一請(qǐng)求消息中接收的隨機(jī)數(shù)RA是否不等于隨機(jī)數(shù)Rb。如果不相等,則第二方丟棄第一請(qǐng)求消息,并且不對(duì)它進(jìn)行應(yīng)答。類似地,第二方通過使用共享密鑰來4企驗(yàn)第一請(qǐng)求消息的 消息完整碼。如果這個(gè)檢驗(yàn)失敗,則第二方丟棄第一請(qǐng)求消息,并且 不對(duì)它進(jìn)行應(yīng)答。使用對(duì)等鏈路建立協(xié)議、利用請(qǐng)求和響應(yīng)消息交換來建立網(wǎng)格點(diǎn)A與網(wǎng)格點(diǎn)B之間的對(duì)等鏈路。兩個(gè)網(wǎng)格點(diǎn)都可單獨(dú)發(fā)起協(xié)議。在一 個(gè)實(shí)施例中,存在協(xié)議運(yùn)行期間交換的至少四個(gè)消息。在整個(gè)過程結(jié) 束時(shí),在網(wǎng)格點(diǎn)A與網(wǎng)格點(diǎn)B之間建立對(duì)等鏈路。在320,各網(wǎng)格點(diǎn)對(duì)于要選擇哪一個(gè)參數(shù)值單獨(dú)進(jìn)行判定。這種 操作可看作是第2階段,判定要使用哪一個(gè)密碼適配組。 一旦網(wǎng)格點(diǎn) 接收到請(qǐng)求消息,則它可單獨(dú)判定要使用哪一個(gè)參數(shù)值。在一個(gè)實(shí)施 例中,向?qū)儆诰哂休^大標(biāo)識(shí)符的裝置的列表賦予優(yōu)先選擇。例如,對(duì) 于A的標(biāo)識(shí)符MPA在排序中大于B的標(biāo)識(shí)符MPB,向從其中選擇協(xié)商 策略值的A的列表LA賦予優(yōu)先選擇。在以下示例中,向A的列表賦予 優(yōu)先選擇。當(dāng)網(wǎng)格點(diǎn)B處理消息1時(shí),它使用K來檢查消息認(rèn)證碼是否有效。 如果有效,則網(wǎng)格點(diǎn)B選擇參數(shù)值C e LA n LB ,它是LA n LB的網(wǎng)格點(diǎn) A的參數(shù)值排序中的最大值。作為一個(gè)示例,假定La-(X,Y,Z)且 Lb = {Z,P,Y}。 B將選擇Y,因?yàn)閘a門lb-(Y,Z),并且網(wǎng)格點(diǎn)A將Y排 列在Z之前?;蛘?,選擇規(guī)則可讓排序中的優(yōu)選值是順序中的最后一 個(gè)。類似地,當(dāng)網(wǎng)格點(diǎn)A處理來自網(wǎng)格點(diǎn)B的開放消息(即消息2 ) 時(shí),網(wǎng)格點(diǎn)A使用K來檢查消息認(rèn)證碼是否有效。如果有效,則網(wǎng)格點(diǎn)a選擇唯一 c,使得Ce:unLB是它的集合LAnLB的排序中的最大值。或者,選擇規(guī)則可讓排序中的優(yōu)選值是排序中最小的值。在330,確定密碼適配組的協(xié)議。這個(gè)操作可看作是第3階段,其中,網(wǎng)格點(diǎn)A和網(wǎng)格點(diǎn)B確定該判定。可通過將其選擇插/0 十等鏈路建立協(xié)議的響應(yīng)消息中,來實(shí)現(xiàn)確認(rèn)。網(wǎng)格點(diǎn)B生成消息3(在過程中充當(dāng)確認(rèn)消息的響應(yīng)消息),以便確認(rèn)它對(duì)C的判定。將Rb和Ra都包含在消息3中允許網(wǎng)格點(diǎn)A檢查它是新的響應(yīng)。這個(gè)確認(rèn)消息可作為以下形式發(fā)送B ~> A: MPB II MPA || RB || RA || C || mK (MPB || MPA || RB || Ra || C)。將Ra包含在消息中允許A確定這實(shí)際上是對(duì)它的先前消息1的響 應(yīng)。將C包含在消息中允許A檢驗(yàn)B的參數(shù)值選擇是否與它自己的匹 配。消息完整碼mk (MPB II MPA II RB II RA II C)防止攻擊者改變某個(gè)值而沒有檢測(cè)到。類似地,網(wǎng)格點(diǎn)A生成消息4 (確認(rèn)消息),以便確認(rèn)它對(duì)C的判 定。將Rb和Ra都包含在消息4中允許網(wǎng)格點(diǎn)B檢查它是新的響應(yīng)。這 個(gè)確認(rèn)消息作為以下形式發(fā)送A — B: MPA||MPB||RA||RB||C||mK(MPA||MPB||RA||RB||C)。在協(xié)議結(jié)束時(shí),網(wǎng)格點(diǎn)A和網(wǎng)格點(diǎn)B都承諾使用C作為A與B之 間的這個(gè)鏈路實(shí)例的參數(shù),它實(shí)現(xiàn)對(duì)安全策略的協(xié)議的單獨(dú)判定。 在各網(wǎng)格點(diǎn)發(fā)送的請(qǐng)求中通知參數(shù)值的排序。 一旦接收到請(qǐng)求消息,則網(wǎng)格點(diǎn)可根據(jù)它自己的列表與所接收列表的重疊單獨(dú)進(jìn)行它的 判定。在一個(gè)實(shí)施例中,根據(jù)具有較大標(biāo)識(shí)符的裝置所指明的順序優(yōu) 先選擇來進(jìn)行選擇。這個(gè)協(xié)議允許網(wǎng)格點(diǎn)同時(shí)發(fā)起協(xié)議,并單獨(dú)地應(yīng) 答開放消息。此外,網(wǎng)格點(diǎn)沒有依靠對(duì)等鏈路建立協(xié)議之前通知的任 何信息以便到這個(gè)協(xié)議結(jié)束時(shí)商定參數(shù)值。協(xié)議可在任何時(shí)間由任何 網(wǎng)格點(diǎn)發(fā)起,并且使用來自其它技術(shù)的減少數(shù)量的消息達(dá)成關(guān)于安全 策略的協(xié)議。在一個(gè)實(shí)施例中,可應(yīng)用協(xié)商過程以便協(xié)商對(duì)等通信體 系結(jié)構(gòu)級(jí)中的參數(shù),其中這種參數(shù)不限于安全策略。協(xié)商過程可適用 于無(wú)線網(wǎng)狀網(wǎng)絡(luò)以及適用于使用對(duì)等通信的其它網(wǎng)絡(luò)。在各種實(shí)施例中,用于協(xié)商對(duì)等鏈路的安全策略的機(jī)制可適用于 各種應(yīng)用。這樣一種機(jī)制可比其它已公布或提出的機(jī)制更有效地取得關(guān)于安全策略的協(xié)議。雖然其它技術(shù)根據(jù)協(xié)商期間來回傳遞的選擇數(shù) 量來交換多個(gè)消息,但是,本文所述的實(shí)施例使用與選擇列表長(zhǎng)度無(wú) 關(guān)的多個(gè)消息交換。另外,各種實(shí)施例還提供防止消息偽造和重放攻 擊的安全性。提供協(xié)商網(wǎng)格中的安全對(duì)等鏈路的安全策略的機(jī)制的實(shí) 施例可應(yīng)用于家庭、小型辦公室、其它客戶空間中的網(wǎng)狀網(wǎng)絡(luò)以及其 它無(wú)線和非無(wú)線應(yīng)用。在協(xié)商過程中提供在網(wǎng)格點(diǎn)上單獨(dú)判定的這類 機(jī)制可增強(qiáng)客戶機(jī)類型裝置參與自配置網(wǎng)格網(wǎng)絡(luò)的能力。在各種實(shí)施例中,本文所述的設(shè)計(jì)可應(yīng)用于其它上下文的對(duì)等協(xié) 商方案中,以便以魯棒性的方式來提供增強(qiáng)效率以及解決消息偽造和 重放攻擊的問題。可提供本文所述的協(xié)商對(duì)等環(huán)境中的安全策略,而 無(wú)需依靠對(duì)等鏈路建立協(xié)議之前的伙伴信息通知。對(duì)等方之間的有序標(biāo)識(shí)符和至少4消息會(huì)話建立可適用于協(xié)商不同于安全策略的、可描述為重疊選擇列表的策略。圖5示出根據(jù)協(xié)商對(duì)等鏈路的策略參數(shù)的各種實(shí)施例的無(wú)線通信 裝置500的一個(gè)實(shí)施例的框圖。通信裝置500可設(shè)置為類似于結(jié)合圖 l-4所述的網(wǎng)格點(diǎn)。通信裝置500包括隨機(jī)數(shù)生成器502、認(rèn)證身份 504、存儲(chǔ)器高速緩存506、網(wǎng)絡(luò)接口電路508和處理電路510。對(duì)于 通信裝置500作為網(wǎng)格網(wǎng)絡(luò)中的網(wǎng)格點(diǎn)的每次出現(xiàn),通信裝置500保 持具有它自己的特性集合的狀態(tài)。在結(jié)合圖3和圖4所述的實(shí)施例中進(jìn)行操作的、例如圖2所示的 網(wǎng)格網(wǎng)絡(luò)中的圖1所示節(jié)點(diǎn)A可實(shí)現(xiàn)為包括通信裝置500,在這里稱 作通信裝置A。在結(jié)合圖3和圖4所述的實(shí)施例中進(jìn)行操作的、例如 圖2所示的網(wǎng)格網(wǎng)絡(luò)中的圖1所示節(jié)點(diǎn)B可實(shí)現(xiàn)為包括通信裝置500, 在這里稱作通信裝置B。通信裝置A包括在網(wǎng)格網(wǎng)絡(luò)中唯一定義的認(rèn) 證身份504 (MPA)以及包括網(wǎng)格點(diǎn)A的會(huì)話密鑰(Ks)和密碼適配組列表 La的存儲(chǔ)器高速緩存506。通信裝置B包括在網(wǎng)格網(wǎng)絡(luò)中唯一定義的認(rèn) 證身份504 (MPB),以及包括網(wǎng)格點(diǎn)B的會(huì)話密鑰(Ks)和密碼適配組列 表U的存儲(chǔ)器高速緩存506??蓪⑻幚黼娐?10用來進(jìn)行用于建立網(wǎng)狀網(wǎng)絡(luò)中的網(wǎng)格A和網(wǎng)格 B之間的對(duì)等鏈路的三階段策略協(xié)商,與結(jié)合圖3和圖4所述的過程 相似。通信裝置A和通信裝置B的每個(gè)的處理電路510可操作以控制 包括它的唯一身份、通過它的隨機(jī)數(shù)生成器502所生成的隨機(jī)數(shù)、它 的與共享認(rèn)證密鑰關(guān)聯(lián)的消息完整碼和它的密碼適配組列表的請(qǐng)求的 傳輸。通信裝置A和通信裝置B的每個(gè)的處理電路510還可操作以便 使用應(yīng)用于MPA和MPB的預(yù)定規(guī)則來選擇網(wǎng)格點(diǎn)A或網(wǎng)格點(diǎn)B作為"優(yōu) 選方"。通信裝置A和通信裝置B的每個(gè)的處理電路510還可操作以 便使用"優(yōu)選方"和規(guī)則集,來從它的密碼適配組列表以及從另一方 所接收的密碼適配組的分析中選擇某個(gè)值作為策略的協(xié)商值。通信裝 置A和通信裝置B的每個(gè)的處理電路510還可操作以便向另一方傳送 它的單獨(dú)確定的協(xié)商參數(shù)、接收另一個(gè)通信裝置單獨(dú)確定的協(xié)商參數(shù)、 以及確定協(xié)商是否成功。在一個(gè)無(wú)線實(shí)施例中,網(wǎng)絡(luò)接口電路508可耦合用于與其它網(wǎng)絡(luò) 裝置進(jìn)行通信的一個(gè)或多個(gè)天線。在一個(gè)有線實(shí)施例中,網(wǎng)絡(luò)接口電 路508可與有線通信元件(例如導(dǎo)線、電纜、總線和/或其它傳輸介質(zhì)) 耦合。雖然通信裝置500表示為具有若干獨(dú)立的功能元件,但是,功能 元件的一個(gè)或多個(gè)可被組合,并且可通過諸如包括數(shù)字信號(hào)處理器 (DSP)的處理元件之類的4欠件配置元件和/或其它硬件元件的組合來實(shí) 現(xiàn)。例如,某些元件可包括一個(gè)或多個(gè)微處理器、DSP、專用集成電路 (ASIC)以及用于執(zhí)行至少本文所述功能的各種硬件和邏輯電路的組 合。通信裝置500的功能元件可表示對(duì)一個(gè)或多個(gè)處理元件進(jìn)行操作 的一個(gè)或多個(gè)處理進(jìn)程。各種實(shí)施例可通過硬件、固件和軟件其中之一或者它們的組合來 實(shí)現(xiàn)。本發(fā)明的實(shí)施例還可實(shí)現(xiàn)為存儲(chǔ)于機(jī)器可讀介質(zhì)中的指令,所 述指令可由至少一個(gè)處理器讀取和運(yùn)行以便執(zhí)行本文所述的操作。機(jī) 器可讀介質(zhì)可包括用于存儲(chǔ)或發(fā)送機(jī)器(如計(jì)算機(jī))可讀形式的信息的任何裝置。機(jī)器可讀介質(zhì)可包括只讀存儲(chǔ)器(R0M),隨機(jī)存取存儲(chǔ)器 (RAM),磁盤存儲(chǔ)介質(zhì),光存儲(chǔ)介質(zhì),閃速存儲(chǔ)裝置,電、光、聲或其 它形式的傳播信號(hào)(例如載波、紅外信號(hào)、數(shù)字信號(hào)等)等等。通信裝置500可使用各種技術(shù)進(jìn)行通信。在各種實(shí)施例中,通信 裝置500可通過多載波通信信道來傳遞正交頻分復(fù)用(OFDM)通信信 號(hào)。多載波通信信道可處于預(yù)定頻譜之內(nèi),并且可包括多個(gè)正交副載 波??赏ㄟ^密集OFDM副載波來定義多載波信號(hào)。通信裝置500可才艮據(jù) 多址技術(shù)(例如正交頻分多址(OFDMA))進(jìn)行通信。通信裝置500可佳: 用擴(kuò)頻信號(hào)進(jìn)行通信。在各種實(shí)施例中,通信裝置500可實(shí)現(xiàn)為便攜無(wú)線通信裝置,例 如個(gè)人數(shù)字助理(PDA)、具有無(wú)線通信能力的膝上型或便攜計(jì)算機(jī)、萬(wàn) 維網(wǎng)手寫板、無(wú)線電話、無(wú)線耳機(jī)、尋呼機(jī)、即時(shí)消息傳遞裝置、數(shù) 字相機(jī)、接入點(diǎn)、電視機(jī)、醫(yī)療設(shè)備或者可通過無(wú)線方式4妄收和/或傳送信息的其它裝置。圖6示出根據(jù)協(xié)商對(duì)等鏈路的策略參數(shù)的各種實(shí)施例的系統(tǒng)的一 個(gè)實(shí)施例的框圖。圖6示出系統(tǒng)600的一個(gè)實(shí)施例的框圖,其中具有 在按照針對(duì)圖1-5所述的實(shí)施例、要建立對(duì)等通信鏈路時(shí)協(xié)商策略的 通信單元610的一個(gè)實(shí)施例。通信單元610可采用硬件體系結(jié)構(gòu)、基 于軟件的體系結(jié)構(gòu)或者硬件/軟件體系結(jié)構(gòu)的組合來實(shí)現(xiàn)。通信單元 610可包括隨機(jī)數(shù)生成器602、認(rèn)證身份604、存儲(chǔ)器高速緩存606和 處理電路607?;蛘撸稍谙到y(tǒng)600的其它元件中或者在系統(tǒng)600的 其它元件之間來實(shí)現(xiàn)隨機(jī)數(shù)生成器602、認(rèn)證身份604、存儲(chǔ)器高速緩 存606和處理電路607中的一個(gè)或多個(gè)。系統(tǒng)600還可包括控制器605和總線630,其中,總線630提供 控制器605與通信單元610之間的通信通路。在一個(gè)實(shí)施例中,控制 器605是處理器??偩€630可以是并行總線。總線630可以是串行總 線??偩€630可與外設(shè)部件互連(PCI)或者與PCI express兼容。在一 個(gè)實(shí)施例中,系統(tǒng)600可包4舌耦合到總線630的存*者器620和附加外圍設(shè)備或多個(gè)附加外圍設(shè)備640。外圍設(shè)備640可包括一個(gè)或多個(gè)顯 示器、字母數(shù)字輸入裝置、光標(biāo)控制、存儲(chǔ)器或者可結(jié)合控制器605、 通信單元610和/或通信單元610進(jìn)行操作的其它控制裝置??蓪?shí)現(xiàn)系統(tǒng)600的各種實(shí)施例。系統(tǒng)600可設(shè)置為網(wǎng)絡(luò)中的節(jié)點(diǎn) 或者節(jié)點(diǎn)的組件。網(wǎng)絡(luò)節(jié)點(diǎn)可實(shí)現(xiàn)為網(wǎng)狀網(wǎng)絡(luò)中的網(wǎng)格點(diǎn)。網(wǎng)狀網(wǎng)絡(luò) 可以是無(wú)線網(wǎng)狀網(wǎng)絡(luò)。通信單元610可包括一個(gè)或多個(gè)網(wǎng)絡(luò)接口 。在一個(gè)無(wú)線實(shí)施例中, 通信單元610可包括耦合到天線615的連接617。在各種實(shí)施例中, 天線615可包括一個(gè)或多個(gè)定向或全向天線,包括例如偶極天線、單 極天線、貼片天線、環(huán)形天線、微帶天線或者適合于傳送射頻(RF)信 號(hào)的其它類型的天線。在各種多輸入多輸出(MIMO)實(shí)施例中,可使用 兩個(gè)或更多天線。在各種實(shí)施例中,不是使用兩個(gè)或更多天線,而是 可使用具有多個(gè)孔徑的單個(gè)天線。各孔徑可看作是獨(dú)立天線。在各種 多天線實(shí)施例中,可將各天線有效地分隔,以^使利用空間分集以及可 在每個(gè)天線與另 一個(gè)無(wú)線通信裝置之間產(chǎn)生的不同信道特性。在各種 多天線實(shí)施例中,可將天線分隔開波長(zhǎng)的1/10或以上。在各種實(shí)施例中,通信單元610可包括耦合到傳輸介質(zhì)611的連 接613。傳輸介質(zhì)611可以是光纖介質(zhì)。傳輸介質(zhì)611可耦合到有線 網(wǎng)絡(luò)。傳輸介質(zhì)611可以是電纜。傳輸介質(zhì)611可包括同軸電纜、無(wú) 屏蔽雙絞電纜或者屏蔽雙絞電纜。系統(tǒng)600可包括vf旦不限于信息處理裝置、無(wú)線系統(tǒng)、電信系統(tǒng)、 光纖系統(tǒng)、光電系統(tǒng)和計(jì)算機(jī),它們構(gòu)造成包括對(duì)等通信能力。這類 實(shí)施例可與以太網(wǎng)信道、包括無(wú)線以太網(wǎng)信道配合使用。通信信道可 以是基于陸地的通信網(wǎng)狀網(wǎng)絡(luò)或無(wú)線通信網(wǎng)狀網(wǎng)絡(luò)的一部分。實(shí)際上, 本發(fā)明的實(shí)施例可以完全實(shí)現(xiàn)為使用多載波無(wú)線通信信道(例如正交 頻分復(fù)用(OFDM)、分立多音調(diào)制(DMT)等)的任何無(wú)線系統(tǒng)的一部分, 例如可非限制性地用于無(wú)線個(gè)人區(qū)域網(wǎng)(WPAN)、無(wú)線局域網(wǎng)(WLAN)、 無(wú)線城域網(wǎng)(WMAN)、無(wú)線廣域網(wǎng)(WWAN)、蜂窩網(wǎng)絡(luò)、第三代(3G)網(wǎng)絡(luò)、第四代(4G)網(wǎng)絡(luò)、通用移動(dòng)電話系統(tǒng)(UMTS)以及類似的通信系統(tǒng)中。雖然本文已經(jīng)說明和描述了具體實(shí)施例,但本領(lǐng)域的技術(shù)人員會(huì) 理解,適合用于實(shí)現(xiàn)相同用途的任何配置均可取代所述的具體實(shí)施例。 大家要理解,以上描述是說明性而不是限制性的,并且本文使用的用 語(yǔ)或術(shù)語(yǔ)是為了便于描述而不是限制。通過閱讀以上說明,本領(lǐng)域的 技術(shù)人員會(huì)清楚地知道以上實(shí)施例的組合以及其它實(shí)施例。
權(quán)利要求
1.一種方法,包括生成從第一方送往第二方的第一請(qǐng)求消息,所述第一請(qǐng)求消息包括所述第一方的標(biāo)識(shí)符、所述第二方的標(biāo)識(shí)符、以及所述第一方的密碼適配組列表,所述密碼適配組列表包含所述第一方所支持的參數(shù)并設(shè)置為有序列表;從所述第二方接收第二請(qǐng)求消息,所述第二請(qǐng)求消息包括所述第二方的標(biāo)識(shí)符、所述第一方的標(biāo)識(shí)符、以及所述第二方的密碼適配組列表,所述第二方的所述密碼適配組列表包含所述第二方所支持的參數(shù)并設(shè)置為有序列表;以及根據(jù)所述第一方的密碼適配組列表和所述第二方所接收的密碼適配組列表的比較來選擇參數(shù),該選擇使用雙方的標(biāo)識(shí)符確定所述選擇的規(guī)則,所選參數(shù)是建立所述第一方與所述第二方之間的對(duì)等通信鏈路時(shí)的策略的協(xié)商參數(shù)。
2. 如權(quán)利要求l所述的方法,其中,使用雙方的標(biāo)識(shí)符確定所述 選擇的規(guī)則包括使用雙方的有序標(biāo)識(shí)符,使得由具有較大標(biāo)識(shí)符的一 方來確定所述參數(shù)的選擇,所選參數(shù)由具有較大標(biāo)識(shí)符的一方從所述 第一方和所述第二方的參數(shù)的密碼適配組列表的交集中選擇作為最優(yōu) 選的參數(shù)。
3. 如權(quán)利要求l所述的方法,其中生成所述第 一請(qǐng)求消息包括通過所述第一請(qǐng)求消息的內(nèi)容來發(fā)送 所述第 一方所生成的隨機(jī)數(shù)連同所述第一方的標(biāo)識(shí)符、所述第二方的 標(biāo)識(shí)符、所述第一方的密碼適配組列表、以及才艮據(jù)所述第一方和所述 第二方共享的認(rèn)證密鑰所計(jì)算的第一消息完整碼;以及接收所述第二請(qǐng)求消息包括通過所述第二請(qǐng)求消息的內(nèi)容來接收 所述第二方所生成的隨^/L數(shù)連同所述第二方的標(biāo)識(shí)符、所述第 一方的標(biāo)識(shí)符、所述第二方的密碼適配組列表、以及根據(jù)所述第一方和所述第二方共享的所述iU正密鑰所計(jì)算的第二消息完整碼。
4. 如權(quán)利要求3所述的方法,其中,所述方法包括通過確認(rèn)消息 的內(nèi)容向所述第二方傳送確認(rèn)消息,所述確認(rèn)消息包括所選參數(shù)連同 所述第二方所生成的隨機(jī)數(shù)、所述第一方所生成的隨機(jī)數(shù)、所述第一 方的標(biāo)識(shí)符、所述第二方的標(biāo)識(shí)符、以及4艮據(jù)所述第一方和所述第二 方共享的所述認(rèn)證密鑰所計(jì)算的第三消息完整碼。
5. 如權(quán)利要求4所述的方法,其中,所述方法包括使用所述隨機(jī) 數(shù)來提供防止重放攻擊的安全性。
6. 如權(quán)利要求l所述的方法,其中,所述方法包括使用所述第一 方的第一 MAC地址作為所述第 一方的標(biāo)識(shí)符,以及^f吏用所述第二方的 第二MAC地址作為所述第二方的標(biāo)識(shí)符。
7. 如權(quán)利要求l所述的方法,其中,所述方法包括進(jìn)行作為無(wú)線 網(wǎng)狀網(wǎng)絡(luò)中的安全策略的協(xié)商的所述協(xié)商。
8. 如權(quán)利要求7所述的方法,其中,進(jìn)行所述協(xié)商包括在消息的 接收無(wú)差錯(cuò)時(shí)使用四個(gè)消息進(jìn)行所述協(xié)商。
9. 一種設(shè)備,包括存儲(chǔ)器高速鄉(xiāng)爰存,存儲(chǔ)會(huì)話認(rèn)證密鑰以及所述設(shè)備所支持的策略 的參數(shù)的密碼適配組列表; 認(rèn)證身4分;以及處理電路,控制建立與另一個(gè)裝置的對(duì)等通信鏈路時(shí)的所述策略 的協(xié)商,其中包括選擇參數(shù)作為所述策略的協(xié)商參數(shù),所述參數(shù)的選 擇從所述密碼適配組列表與在消息中從所述另 一個(gè)裝置接收的密碼適 配組列表的比較得出,所述消息包含所述另一個(gè)裝置的密碼適配組列 表和所述另 一個(gè)裝置的認(rèn)證身份,所述選擇基于所述認(rèn)證身份確定所 述選擇的規(guī)則。
10. 如權(quán)利要求9所述的設(shè)備,其中,所述規(guī)則包括應(yīng)用所述設(shè) 備和所述另一個(gè)裝置的有序的認(rèn)證身份,使得由所述設(shè)備和所述另一 個(gè)裝置中具有較大認(rèn)證身份的一方來確定所述參數(shù)的選擇,所選參數(shù)由具有較大身份的 一方從所述設(shè)備和所述另 一個(gè)裝置的參數(shù)的密碼適 配組列表的交集中選擇作為最優(yōu)選的參數(shù)。
11. 如權(quán)利要求9所述的設(shè)備,其中,所述設(shè)備包括隨機(jī)數(shù)生成 器,以生成隨機(jī)數(shù),以便連同它的認(rèn)證身份、所述另一個(gè)裝置的認(rèn)證 身份、以及它的密碼適配組列表一起包含在送往所述另一個(gè)裝置的消 息中,以及所述處理電路配置成確定所接收消息是否為基于所述隨機(jī) 數(shù)的重放。
12. 如權(quán)利要求9所述的設(shè)備,其中,所述認(rèn)證身份是MAC地址。
13. 如權(quán)利要求9所述的設(shè)備,其中,設(shè)備包括設(shè)置成進(jìn)行無(wú)線 通信的便攜裝置。
14. 如權(quán)利要求9所述的設(shè)備,其中,所述設(shè)備包括存儲(chǔ)指令的 機(jī)器可讀介質(zhì),所述指令在由所述處理電路執(zhí)行時(shí)使所述設(shè)備執(zhí)行生成送往所述另 一個(gè)裝置的第 一請(qǐng)求消息,所述第 一請(qǐng)求消息包 括所述認(rèn)證身份、所述另 一個(gè)裝置的認(rèn)證身份和所述密碼適配組列表;處理從所述另 一個(gè)裝置所接收的第二請(qǐng)求消息,所述第二請(qǐng)求消息包括所述另 一個(gè)裝置的認(rèn)證身份、所述設(shè)備的認(rèn)證身份和所述另一個(gè)裝置的密碼適配組列表;以及 選捧所述參數(shù)。
15. 如權(quán)利要求14所述的設(shè)備,其中,所述處理電路包括數(shù)字信 號(hào)處理器。
16. —種系統(tǒng),包括存儲(chǔ)器,存儲(chǔ)會(huì)話認(rèn)證密鑰以及所述系統(tǒng)所支持的策略的參數(shù)的 密碼適配組列表; 認(rèn)證身份;處理電路,控制建立與另 一個(gè)系統(tǒng)的對(duì)等通信鏈路時(shí)的所述策略 的協(xié)商,其中包括選擇參數(shù)作為所述策略的協(xié)商參數(shù),所述參數(shù)的選 擇從所述密碼適配組列表與在消息中從所述另一個(gè)系統(tǒng)接收的密碼適 配組列表的比較得出,所述消息包含所述另 一個(gè)系統(tǒng)的密碼適配組列表和所述另 一個(gè)系統(tǒng)的認(rèn)證身份,所述選擇基于所述認(rèn)證身份控制所述選擇的規(guī)則;以及基本全向天線,以與所述另一個(gè)系統(tǒng)進(jìn)行通信。
17. 如權(quán)利要求16所述的系統(tǒng),其中所述系統(tǒng)包括隨機(jī)數(shù)生成器,以生成隨機(jī)數(shù),以便連同它的認(rèn)證 身份、所述另一個(gè)系統(tǒng)的認(rèn)證身份、以及它的密碼適配組列表一起包 含在送往所述另 一個(gè)系統(tǒng)的消息中,以及所述處理電路確定接收的消 息是否實(shí)質(zhì)上為基于所述隨機(jī)數(shù)的重放;以及所述規(guī)則包括應(yīng)用所述系統(tǒng)和所述另一個(gè)系統(tǒng)的有序的認(rèn)證身 份,使得由所述系統(tǒng)和所述另 一個(gè)系統(tǒng)中具有較大認(rèn)證身份的一方來 確定所述參數(shù)的選擇,所選參數(shù)由具有較大身份的一方從所述系統(tǒng)和 所述另 一個(gè)系統(tǒng)的參數(shù)的密碼適配組列表的交集中選擇作為最優(yōu)選的 參數(shù)。
18. 如權(quán)利要求16所述的系統(tǒng),其中,所述認(rèn)證身份是MAC地址。
19. 如權(quán)利要求16所述的系統(tǒng),其中,處理電路包括根椐作為與 所述另 一個(gè)系統(tǒng)的共享認(rèn)證密鑰的認(rèn)證密鑰來提供防止消息偽造的安 全性。
20. 如權(quán)利要求16所述的系統(tǒng),其中,所述系統(tǒng)包括建立無(wú)線網(wǎng) 狀阿絡(luò)中的所述對(duì)等通信鏈路的無(wú)線系統(tǒng)。
全文摘要
本文公開了建立對(duì)等鏈路時(shí)協(xié)商策略的參數(shù)的設(shè)備和方法。在一個(gè)實(shí)施例中,在無(wú)線網(wǎng)狀網(wǎng)絡(luò)中建立對(duì)等鏈路時(shí)協(xié)商安全策略。該方法包括生成從第一方送往第二方的第一請(qǐng)求消息,第一請(qǐng)求消息包括第一方標(biāo)識(shí)符、第二方標(biāo)識(shí)符和第一方的密碼適配組列表,該列表包含第一方所支持的參數(shù)并設(shè)置為有序列表;從第二方接收第二請(qǐng)求消息,第二請(qǐng)求消息包括第二方的標(biāo)識(shí)符、第一方的標(biāo)識(shí)符和第二方的密碼適配組列表,該列表包含第二方所支持的參數(shù)并設(shè)置為有序列表;根據(jù)第一方的密碼適配組列表和第二方所接收的密碼適配組列表的比較來選擇參數(shù),該選擇使用雙方的標(biāo)識(shí)符確定選擇的規(guī)則,所選參數(shù)是建立第一方與第二方之間的對(duì)等通信鏈路時(shí)的策略的協(xié)商參數(shù)。
文檔編號(hào)H04L12/66GK101330427SQ20081009969
公開日2008年12月24日 申請(qǐng)日期2008年6月13日 優(yōu)先權(quán)日2007年6月13日
發(fā)明者J·沃爾克, M·趙 申請(qǐng)人:英特爾公司