有助于网络系统中的快速转换的设备和相关方法

专利名称：有助于网络系统中的快速转换的设备和相关方法
技术领域：
本发明涉及网络技术，具体地说，涉及有助于无线通信系统的网络站之间移动单元通信转换的机制。更具体地说，本发明涉及一种有助于无线局域网(WLAN)中接入点之间的快速转换的、预密钥(pre-keying)和重新关联过程的设备、方法和计算机可读介质。
背景技术：
通信技术的进步引发了对很多不同类型的通信系统的开发以及后续的部署。通信系统用来依照很多不同类型的通信服务中的任何一个来传送数据。通信系统由一组通信站形成，数据在所述通信站之间传送。这组通信站中的至少一个形成发送站，而这组通信站中的至少另一个形成接收站。发送和接收站通过通信信道来互连，并且通过通信信道将发送站传送的数据递送到接收站。
无线通信系统是一种通信信道由无线信道形成的通信系统，其中通信信道互连通信站，且在其上传送数据。无线信道基于包括电磁频谱的部分的无线链路来限定。当使用无线信道在通信站之间传送数据时，通信站不需要通过有线线路即固定连接来互连。由于无线通信系统的通信站的定位不依赖于互连通信站的有线连接的可用性，因此通信站可以以多种方式在多个位置被定位，而这在有线通信系统中是不可能的。因此，通过在不能定位和使用有线通信站的位置以及在所述位置之间使用无线通信系统，通信变为可能。另外，无线通信系统可实施为移动通信系统，其中，在其间传送数据的通信站中的一个或多个通信站具有通信移动性。
蜂窝通信系统是移动无线通信系统的典型类型。在蜂窝通信系统中，遍及允许通信的地理区域，安装了网络基础设施。网络基础设施一般包括多个间隔开的固定站点收发器，其中每个收发器限定一个小区。通常，如此选择所述固定站点收发器的定位，使小区以如下方式部分重叠即，使得小区共同地覆盖整个地理区域。一般为便携移动的无线收发器被用来与固定站点收发器进行通信。便携收发器通常与该便携收发器位于其小区内的固定站点收发器进行通信。当便携收发器在由不同固定站点收发器所限定的小区之间行进时，进行通信切换，以允许便携收发器的连续通信以及与该便携收发器的连续通信。
已经开发和部署了展现蜂窝通信系统特性的其它类型的无线通信系统。例如，无线局域网(WLAN)展现了蜂窝通信系统的一些特性。无线局域网包括网络部分，所述网络部分一般也包括多个收发器，其中每个收发器限定小区或以其它方式限定的覆盖区域。可在无线局域网中操作的收发器，这里也被称为移动站(STA)和移动单元(MU)，其与该STA位于其覆盖区域内的网络部分收发器进行通信。当STA在由不同网络部分收发器限定的覆盖区域之间移动时，连续的网络部分收发器之间的通信切换允许连续通信。
在这里也称为通信转换的通信切换中，期望迅速地进行网络部分收发器之间的切换或转换，以使通信切换期间的通信服务中断最小化。然而，依照该转换，需要各种信令。
由于STA在不同的网络部分收发器之间的转换，会发生间歇性连接性丢失。当STA释放与一个网络部分收发器的连接，并建立与不同网络部分收发器的另一新连接时，存在在转换期间发生的连接性丢失。连接性丢失可以导致诸如丢失包的通信丢失。在各种服务情形下，连接性丢失是非常不期望的，并且可不利地影响提供给STA的通信服务。例如，当STA从事于语音数据的实时传输时，例如，在运行电话或其它语音流服务时，可导致不理想的听觉效果。在其它情况下，可能丢失语音连接。
因此，存在这样的需要，即，当从一个网络部分收发器转换到另一网络部分收发器时，减少在移动站通信的转换期间经历的连接性丢失的持续时间。

发明内容
本发明的实施例有利地提供了一种设备、相关方法、以及计算机可读介质，以有助于在诸如WLAN的无线通信系统的网络站之间移动单元通信的快速转换，其中WLAN可操作于IEEE 802操作规范的变体。在此所述实施例的实现通过在开始重新关联过程之前执行认证过程的预-密钥预机制，减少了转换持续时间。在其它实施例中，允许移动站来选择是否通过空中接口与目标转换接入点执行预-密钥过程，或者是否通过分布式系统来执行预-密钥过程。


通过结合附图阅读下面详细描述，将最好地理解本公开的各方面。
图1是其中可以有利地实现本发明实施例的示例性网络系统的简化框图；图2是传统上用于执行四向握手的移动站和接入点之间的信令交换的图示；图3A是传统上移动站检测要转换到的候选接入点的图示；图3B是传统上移动站执行与接入点的重新关联过程的图示；图3C是传统上的认证过程的图示，其中该认证过程包括在移动站和接入点之间的重新关联过程随后其之间的四向握手；图4是用于如图3A-3C所述、传统上执行的转换过程的消息时序的图示；图5A是移动站在网络系统中检测要转换到的候选接入点的实施例的图示；图5B是可以在重新关联过程之前执行的、有助于接入点之间的快速转换的预-密钥过程的实施例的图示；图5C是在图5B所述的预-密钥过程之后、在移动站和接入点之间执行的重新关联过程的实施例的图示；图6A是有助于快速转换过程的预-密钥过程的实施例的图示；图6B是有助于快速转换过程的预-密钥过程的另一实施例的图示；图7A是用于执行有助于当前接入点和转换接入点之间的快速转换的预-密钥过程的、在移动站和转换接入点之间的信令交换的实施例的图示；图7B是用于通过空中接口执行预-密钥过程的、在移动站与候选或目标转换接入点之间的信令交换的另一实施例的图示，其中预-密钥过程有助于WLAN中当前接入点和目标接入点之间的快速BSS转换；
图7C是用于通过DS接口执行预-密钥过程的、在STA 520与候选或目标转换AP 541之间的信令交换700的实施例的图示，其中预-密钥过程有助于WLAN中当前AP和目标AP之间的快速BSS转换；图7D是用于通过DS接口执行预-密钥过程的、在移动站与候选或目标转换接入点之间的信令交换的另一实施例的图示，其中预-密钥过程有助于WLAN中当前接入点和目标接入点之间的快速BSS转换；以及图8是用于根据本发明实施例实现的快速转换过程的消息时序的图示。
具体实施例方式
应当理解，下面公开提供了多个不同的实施例或示例，以便实现各个实施例的不同特征。为了简化本公开，下面描述组件和配置的特定示例。当然，这些仅仅是示例，并且不意欲进行限制。另外，本公开可能在不同的示例中重复参考标号和/或字母。该重复是为了简明和清楚起见，并且其本身不规定所讨论的各个实施例和/或配置之间的关系。
图1是其中可以有利地实现这里公开的实施例的示例性网络系统100的简化框图。系统100是共享资源网络的示例，如遵循IEEE 802.11标准变体的无线局域网(WLAN)。
在说明性示例中，系统100包括两个基本服务集(BSS)10和11，不过在系统100中可以包括任何数目的BSS。BSS 10和11提供了各自的覆盖区域或小区，其中诸如移动STA 20的WLAN站(STA)可以通过无线介质相互进行通信，或者与其它外部网络中的其它通信或计算设备进行通信，其中该其它外部网络与系统100相互作用。BSS 10和11通过分布式系统(DS)30以通信的方式互连。通过提供用于处理地址到目的地的映射和多个BSS的一体化的必需的逻辑服务，DS 30使得能够支持移动设备。BSS10和11中的每个包括各自的接入点(AP)40和41，该接入点提供到DS 30的接入。由BSS 10和11、以及AP 40和41提供的DS 30有助于创建任意大小和复杂性的无线网络，并且BSS 10-11和DS 30的集合通常被称为扩展服务集网络。系统100与非IEEE 802.11 LAN例如LAN 50之间的逻辑一体化可以由入口60来提供。网络100的各种其它配置是可能的。例如，BSS 10和11可以部分重叠或者可以被并置。BSS 10和11中的每个被指派各自的基本服务集标识符(BSSID)，该标识符在系统100内唯一地标识BSS 10和11。
DS 30被提供或者维护关联数据，以识别对于给定的STA要接入哪个AP 40-41。该信息通过可由STA调用的STA-AP关联服务来提供。在STA通过AP在系统100中发送数据之前，首先将STA与AP相关联。这里将站与其相关联的AP称为当前AP。关联服务将STA映射到AP。然后，DS可以利用STA和AP映射来执行消息分发服务。STA在特定时间仅仅与一个AP相关联，从而使DS 30能够确定哪个AP当前正在为该STA服务。
例如当移动站在接入点中的不同接入点的重叠覆盖区域之间行进时，系统100提供通过STA和与该STA进行的通信在接入点之间的通信转换。有时也出于其它原因来实施通信转换，以有助于网络中的通信操作。通过由STA所调用的DS的重新关联服务，来提供允许STA在AP之间漫游的转换能力。当STA与AP的关联变化至该STA与另一AP的关联时，发生转换，并且通过执行重新关联服务来进行该转换，并且该转换包括STA到该STA已转换到的AP的重新映射。为了终止关联，可以由STA或AP来调用关联解除服务。通过认证服务来提供系统100中到STA的接入。
由STA来使用认证服务，以向可以与其通信的站建立其身份。如果两个站之间的认证级别可由这两个站接受，则可以建立关联。另外，系统100可以支持共享密钥认证。共享密钥认证机制通过共享且秘密的加密密钥的知识来帮助证明身份。
可以调用认证取消服务，来终止现有认证。因为进行关联必须执行认证，所以如果先前已经与网络实体进行了关联，则与该网络实体的认证取消会导致关联解除。
依照通信转换，执行各种信令操作，并且必须作出各种决策，以进行转换。转换过程有时耗费数百毫秒的时间。在转换过程期间，可发生通信中断或数据丢失，不利地影响依照移动站通信会话的通信。本发明提供用于在AP之间快速转换的机制。适于根据这里描述的实施例执行快速转换的AP可以称为快速BSS转换使能的接入点(TAP)，而适于根据这里描述的实施例执行快速转换的移动站可以称为快速转换使能的站(TSTA)或简称为站(STA)。
用于在系统100中提供安全性的传统实现包括成对密钥机制，以便为单播业务提供安全性。为了执行成对密钥机制，在完成认证过程之后，执行四向握手。这样，密钥建立过程的持续时间包括重新关联过程的持续时间、以及例如四向握手的认证过程的持续时间。在转换持续时间期间可能发生连接性丢失，导致转换期间的不利或不理想的服务。
图2是传统上用于执行四向握手的、STA和AP之间的信令交换200的图示。在由STA发出重新关联请求，并且由该STA从目标或候选转换AP接收重新关联响应之后，执行图2所示的四向握手过程。尝试与AP 41进行认证的站20具有随机值的申请者现时(Supplicant nonce，SNonce)，而AP 41具有随机值的认证者现时(Authenticator nonce，ANonce)。现时(Nonce)是其中没有两个值相同的数集合中的成员。例如，如果重复序列大于集合大小，则可以通过伪随机数算法来生成现时。在优选实现中，现时可以包括值集合中的值，其中该值集合包括顺序值。可以使用各种现时来实现这里描述的实施例，包括SNonce、ANonce、申请者转换现时(STNonce)和认证者转换现时(ATNonce)。通过AP 41发送包括ANonce 51的“LAN上可扩展认证协议”(EAPOL)-密钥帧205，来发起四向握手(步骤210)。一旦接收到EAPOL-密钥帧205，STA 20就根据ANonce 60和SNonce 61来计算或者以其它方式得到成对瞬时密钥(PTK)(步骤220)。然后，STA 20将EAPOL-密钥帧215发送到AP 41(步骤230)。EAPOL-密钥帧215包括SNonce 61，并且可以包括其它信息，例如对认证进行限定的鲁棒安全性网络(RSN)信息元素(或其内容)、以及由STA根据重新关联请求帧和消息完整性代码(MIC)获得的成对加密信息。然后，AP 41根据从EAPOL-密钥帧215读取的ANonce 60和SNonce值来计算或者以其它方式得到PTK，并且验证由STA 20向其提供的MIC(步骤240)。然后，AP 41向STA 20发送EAPOL-密钥帧225，该密钥帧225包括ANonce、来自AP信标或探测响应消息的RSN信息元素、以及MIC(步骤250)。可以将其它信息包括在帧225内，例如，给STA 20的关是否安装临时密钥和经封装的GTK的指示。如果握手成功，则STA 20安装临时密钥(步骤260)，并且STA 20将EAPOL-密钥帧235返回到AP 41，以确认临时密钥的安装(步骤270)。四向握手耗费时间tH，并由此在切换或转换过程中引入对应的延迟，这可能不利地影响通信服务、特别是实时服务，诸如语音、视频或其它流媒体服务。
图3A是传统上STA检测要转换到的候选AP的图示。在说明性示例中，STA 20与当前AP 40相关联，并且通过无线链路46与其以通信的方式耦接。例如，通过检测由AP 41广播的信标信号310，STA 20可以识别或发现AP 41。如果STA 20期望执行到AP 41的转换，则执行与AP 41的重新关联过程，如图3B的图示所示，其中图3B示出STA 20执行与AP 41的重新关联过程。与AP 41建立媒体接入控制(MAC)链路320，并且在STA 20和AP 41之间执行重新关联过程。当完成重新关联时，可以释放STA 20和AP 40之间的链路46，然后，STA 20可以开始认证或安全性过程，例如用于建立临时密钥的安装的四向握手，如图3C的图示所示，其中图3示出了STA与该STA完成了与其的重新关联过程的AP 41执行四向握手。然后，在完成握手之后，可以在STA 20和AP 41之间开始安全通信。重新关联和四向握手的累计持续时间可能不利地影响在调用转换过程之前正在由STA 20执行的通信或服务。例如，语音服务、视频服务或其它流应用或服务可能经历不可接受的或不期望的中断，或者可能由于在转换期间STA 20可经历的通信延迟而停止。
图4是用于如图3A-3C所述传统上执行的转换过程的消息时序的图示。STA 20与AP 40相关联，并且以通信的方式耦接(步骤410)。然后，STA 20可以发现该STA 20可选择尝试向其转换的候选或潜在AP 41(步骤420)。然后，由STA 20调用重新关联过程，而该重新关联过程包括将重新关联请求传达到候选转换AP 41、以及等待接收由候选转换AP 41返回到其的重新关联响应(步骤430)。然后，建立与AP 41的关联(步骤440)。一旦STA 20与AP 41相关联，STA 20就可以调用与AP 41的四向握手过程(步骤450)。一旦完成握手过程，STA 20就可以通过AP 41开始系统100中的安全通信(步骤460)。值得注意的是，在STA 20从事系统100中的安全通信会话的情况下，从AP 40到AP 41的通信切换所消耗的转换时间从重新关联过程的调用延伸至握手的完成。因此，转换时间包括重新关联过程时间(TA)和握手持续时间(tH)的累计持续时间。
这里描述的实施例通过在开始重新关联过程之前执行密钥建立过程的预-密钥机制，来减少转换持续时间。具体地，这里描述的实施例提供了用于在调用重新关联过程之前建立密钥例如STA和候选AP的相应成对临时密钥(PTK)的机制。在由执行快速转换的STA、以及该STA与其执行快速转换的AP计算PTK随后，调用重新关联过程。通过重新关联请求和重新关联响应中的参数交换，有助于快速转换过程。在一个实施例中，STA在重新关联请求中包括在由候选转换AP提供给该STA的快速转换响应中所接收的认证者转换现时(ATNonce)的散列(hash)。以类似的方式，候选转换AP在重新关联响应中包括在由STA提供给该AP的快速转换请求中所接收的申请者转换现时(STNonce)的散列。因此，建立了PTK，并且一旦完成重新关联过程，就可以使用它，而没有用于诸如四向握手的认证的另外的延迟。因此，有利地缩短了转换时间，并且可为在系统100中AP之间漫游或转换的STA实现改进的通信服务。
图5A是在诸如遵循802.11操作标准变体的WLAN的网络系统500中STA 520检测或发现要转换到的候选转换AP的实施例的图示。在说明性示例中，STA 520、AP 540和541、以及DS 530代表适于根据这里描述的实施例来执行快速转换的STA、AP和DS。在说明性示例中，STA 520与当前AP 540相关联，并且通过无线链路546与其以通信的方式耦接。例如，通过检测由AP 541广播的信标信号510，STA 520可以识别候选转换AP 541。图5B示出了可以在重新关联过程之前执行的、有助于AP之间的快速转换的预-密钥过程的实施例的图示。STA 520可以通过一个或多个链路或通信信道515，来调用与AP 541的预-密钥过程。在说明性示例中，预-密钥被示出为在STA 520和候选AP 541之间直接执行。这样的实现仅仅是说明性的，而其它预-密钥机制是可以实现的，如下文中更全面描述的那样。一般而言，在STA和候选转换AP之间执行的预-密钥过程可以提供密钥建立过程，例如，用于建立用于安全通信会话的诸如PTK的密钥，以供在该STA在以后执行到候选AP的转换的情况下使用。如图5C中的重新关联过程的实施例的图示所示，在预-密钥过程之后，STA520可以通过与AP 541建立的MAC链路525来调用与候选AP 541的重新关联过程。当完成重新关联时，则可以建立STA 520和AP 541之间的安全通信链路547，并且然后，STA 20可以通过AP 541开始系统500中的安全通信。有利地，转换持续时间限于重新关联过程持续时间。因此，相对于传统的转换过程，减轻或减少了在转换期间所遇到的通信服务中断。
图6A是有助于快速转换的预-密钥过程的实施例的图示。在说明性示例中，STA 520与AP 540相关联，并且通过无线链路546与其以通信的方式耦接。在该实现中，通过DS 530来执行预-密钥过程。例如，STA 520可以调用预-密钥过程，并且可以通过DS 530和STA 520当前与其相关联的AP 540，来进行用于执行预-密钥过程的通信。例如，可以通过无线链路570a将密钥建立消息从STA 520传送到当前AP 540，并且AP 540可以充当STA 520和候选AP 541之间的中继，通过DS 530的链路570b将密钥建立消息传送到AP 541。同样，可以通过DS 530将由AP 541生成的响应消息传送到当前AP 540，再到STA 520，而AP 540又可以将响应消息转发到STA 520。可以基于图6A所示的预-密钥过程的结果、在STA520和候选转换AP 541处生成用于安全通信的PTK。然后，在图6A所示的预-密钥过程随后，可以开始重新关联过程，并且有利地将转换持续时间限于重新关联过程的持续时间。
图6B是有助于快速转换的预-密钥过程的另一实施例的图示。在说明性示例中，STA 520与AP 540相关联，并且通过无线链路546与其以通信的方式耦接。在该实现中，通过空中接口，例如，通过无线链路548，执行预-密钥过程。例如，STA 520可以调用预-密钥过程，并且可以通过链路548在STA 520和候选转换AP 541之间直接进行用于执行预-密钥过程的通信。同样，可以通过链路548将由AP 541生成的响应消息传送到STA 520。可以基于图6B所示的预-密钥过程的结果，在STA 520和候选转换AP 541处生成用于安全通信的PTK。然后，在图6B所示的预-密钥过程随后，可以开始重新关联过程，并且有利地将转换持续时间限于重新关联过程的持续时间。
在图6A和6B所示的任一个预-密钥过程中，在成功完成预-密钥过程之后，STA 520则可调用与候选AP 541的重新关联请求。在一个实施例中，在重新关联过程期间，在STA和候选转换AP之间交换参数，其有助于相互检验STA和候选转换AP中的每个具有用于参加安全通信的当前密钥。因此，有利地将在当前AP 540和转换AP 541之间切换通信所消耗的转换时间减小为重新关联过程的持续时间。
图7A是用于通过空中接口来执行预-密钥过程的、在STA 520与候选或目标转换AP 541之间的信令交换700的实施例的图示，其中预-密钥过程有助于在WLAN中当前AP和目标AP之间的快速BSS转换。所示的信令交换示出了有助于站从当前AP到候选或目标AP的快速转换的快速转换(FT)例程的功能步骤。当STA与当前AP相关联，并且检测到或者发现了存在适于根据这里描述的实施例执行FT过程的另一AP时，可以由STA调用FT例程。
STA 520可以使用SNonce 561和ANonce 560或从ANonce得到的值，来计算PTK(步骤703a)。例如，STA 520可以从由AP 541广播的信标信号获得ANonce的值。可以适当地以其它用于从目标AP 541获得ANonce的值的实现来代替。STA 520可以使用SNonce和ANonce值来计算PTK，或者在其它实现中，STA可以使用其SNonce值、以及ANonce值的派生值(例如，ANonce的递增值)。STA 520生成包括EAPOL-密钥帧705的快速转换(FT)请求消息(FT Req)，并且将其发送到先前被STA 520检测到的目标或候选转换AP 541(步骤710a)。请求消息可以包括SNonce、ANonce和MIC值。可以通过所计算的PTK来保护请求消息的EAPOL-密钥帧705(或其部分)。EAPOL-密钥帧705可以包括各种参数或值，以有助于STA 520的预认证。在本示例中，EAPOL-密钥帧705可以包括由STA 520生成或以其它方式获得的SNonce 561。SNonce 561包括值集合中的唯一值，并且可以与其它值一起使用以便生成PTK安全关联(PTKSA)。另外，EAPOL-密钥帧705可以附加地包括资源请求、以及STA的RSN(STARSN)信息元素。可以将EAPOL-密钥帧705封装在一个或多个数据结构中，例如，具有头和一个或多个附加信息元素的信息元素。EAPOL-密钥帧或封装数据结构的头可以在源地址字段中包括STA 520的标识符，例如MAC地址。另外，该头可以在目的地址字段中包括目标转换AP 541的地址。
一旦接收到EAPOL-密钥帧705，目标转换AP 541就可以验证从在步骤710a接收的请求消息中读取的ANonce值，使用由AP 541获得或生成的ANonce 560、以及从EAPOL-密钥帧705中读取的SNonce值来计算PTK，并且验证从EAPOL-密钥帧705中读取的MIC(步骤712a)。然后，AP 541可以存储STA RSN信息元素或从其得到的内容(步骤714a)。AP541可以选择性地评价从EAPOL-密钥帧705中读取的资源请求(如果被包括)，并且可以生成对其的资源响应，该响应指示AP 541是否具有必要的能力和资源来支持STA 520的需要。
然后，AP 541生成包括MIC和EAPOL-密钥帧715的FT响应消息，并且将包括EAPOL-密钥帧715的FT响应消息发送到STA 520(步骤720a)。FT EAPOL-密钥帧715可以包括有助于STA 520的认证的各种参数或值。在本示例中，EAPOL-密钥帧715包括来自AP信标或探测响应消息或其内容的AP RSN信息元素(AP_RSN)。FT响应消息可以附加地包括资源响应。
EAPOL-密钥帧715可以封装在一个或多个数据结构中，例如，具有头和一个或多个附加信息元素的信息元素。EAPOL-密钥帧715或封装数据结构的头可以在源地址字段中包括AP 541的标识符，例如MAC地址。另外，该头可以在目的地址字段中包括STA 520的地址。可以将各种其它数据包括在EAPOL-密钥帧715或其封装数据结构中，作为头或开销数据。例如，可以由AP 541指定重新关联期限，并且将其包括在EAPOL-密钥帧715或其封装数据结构的头或字段中。重新关联期限可以指定为STA 520分配的、用于发起与AP 541的重新关联的时间。如果在调用重新关联过程之前，重新关联期限过期，则如果以后要执行快速转换，就可要求STA 520重新发起预-密钥过程。
一旦接收到EAPOL-密钥帧715，STA 520可以检查从其中读取的AP_RSN值，并且检验EAPOL-密钥帧715中的AP_RSN与从AP 541的信标信号中获得的AP-RSN信息元素相匹配(步骤722a)。另外，STA 520可以评价从EAPOL-密钥帧715中读取的资源响应(如果被包括)，以确定AP 541是否具有用于向其转换的适当的能力和资源。
有利地，STA 520和AP 541建立了PTK，以便在完成重新关联随后立即再继续数据业务。随后，STA 520可以在由重新关联期限所限定的间隔内开始重新关联过程，其中重新关联期限在EAPOL-密钥帧715中被提供给STA 520。
STA 520生成重新关联请求(Reassociation Req)725消息，该请求包括STA 520的身份或源地址、以及AP 541的身份或目的地址(步骤726a)。然后，AP 541可以生成重新关联响应(Reassociation Resp)735消息，该响应包括AP 541的身份或源地址、以及STA 520的身份或目的地址，并且将该重新关联响应发送到STA 520(步骤730a)。然后，可以在STA 520和AP 541之间交换安全通信(步骤734a)。
图7B是用于通过空中接口执行预-密钥过程的、在STA 520和候选或目标转换AP 541之间的信令交换700的另一实施例的图示，其中预-密钥过程有助于在WLAN中当前AP和目标AP之间的快速BSS转换。所示的信令交换示出了有助于站从当前AP到候选或目标AP的快速转换的快速转换(FT)例程的功能步骤。当STA与当前AP相关联，并且检测到或者发现了存在适于根据这里描述的实施例执行FT过程的另一AP时，可以由STA调用FT例程。
STA 520可以获得或生成申请者转换现时(STNonce)563(步骤703b)。STA 520可以使用SNonce 561和ANonce 560或从ANonce得到的值，来计算PTK(步骤704b)。例如，STA 520可以从由AP 541广播的信标信号中获得ANonce值。可以适当地以其它用于从目标AP 541中获得ANonce值的实现来代替。STA 520可以使用SNonce和ANonce值来计算PTK，或者在其它实现中，STA可以使用其SNonce值、以及ANonce值的派生值(例如，ANonce的递增值)。STA 520生成快速转换(FT)请求消息(FTReq)，该请求消息可以包括SNonce、ANonce和MIC值并且包括EAPOL-密钥帧705，并且将该请求消息发送到先前被STA 520检测到的目标或候选转换AP 541(步骤710b)。EAPOL-密钥帧705可以包括各种参数或值，以有助于STA 520的预认证。在本示例中，EAPOL-密钥帧705可以包括由STA520生成或以其它方式获得的SNonce 561。可以将SNonce 561与其它值一起使用，以便生成PTK安全性关联(PTKSA)。另外，EAPOL-密钥帧705可以附加地包括资源请求、STA的RSN(STA RSN)信息元素和STNonce 563。EAPOL-密钥帧705可以封装在一个或多个数据结构中，例如，具有头和一个或多个附加信息元素的信息元素。EAPOL-密钥帧或封装数据结构的头可以在源地址字段中包括STA 520的标识符，例如MAC地址。另外，该头可以在目的地址字段中包括目标转换AP 541的地址。
一旦接收到EAPOL-密钥帧705，目标转换AP 541就可以验证从在步骤710b接收的请求消息中读取的ANonce值，使用由AP 541获得或生成的ANonce 560、以及从EAPOL-密钥帧705中读取的SNonce值来计算PTK，并且验证从EAPOL-密钥帧705中读取的MIC(步骤712b)。然后，AP 541可以存储STA RSN信息元素或从其中得到的内容(步骤714b)。AP541可以选择性地评价从EAPOL-密钥帧705中读取的资源请求(如果被包括)，并且可以生成对其的资源响应，该响应指示AP 541是否具有必要的能力和资源来支持STA 520的需要。然后，可以由AT 541生成或获得包括伪随机生成值的随机转换现时(ATNonce)(步骤718b)。
然后，AP 541生成包括MIC和EAPOL-密钥帧715的FT响应消息，并且将包括EAPOL-密钥帧715的FT响应消息发送到STA 520(步骤720b)。EAPOL-密钥帧715可以包括用于有助于STA 520的认证的各种参数或值。在本示例中，EAPOL-密钥帧715包括由AP 541生成或获得的ATNonce、以及来自AP信标或探测响应消息或其内容的AP RSN信息元素(AP_RSN)。FT响应消息可以附加地包括资源响应。
EAPOL-密钥帧715可以封装在一个或多个数据结构中，例如，具有头和一个或多个附加信息元素的信息元素。EAPOL-密钥帧715或封装数据结构的头可以在源地址字段中包括AP 541的标识符，例如MAC地址。另外，头可以在目的地址字段中包括STA 520的地址。可以将各种其它数据包括在EAPOL-密钥帧715或其封装数据结构中，作为头或开销数据。例如，可以由AP 541来指定重新关联期限，并且将其包括在EAPOL-密钥帧715或其封装数据结构的头或字段中。重新关联期限可以指定为STA520分配的、用于发起与AP 541的重新关联的时间。如果在调用重新关联过程之前，重新关联期限过期，则如果以后要执行快速转换，就可能要求STA 520重新发起预-密钥过程。
一旦接收到EAPOL-密钥帧715，STA 520就可以检查从其中读取的AP_RSN值，并且检验EAPOL-密钥帧715中的AP_RSN与从AP 541的信标信号中获得的AP-RSN信息元素相匹配(步骤722b)。另外，STA 520可以评价从EAPOL-密钥帧715中读取的资源响应(如果被包括)，以确定AP 541是否具有用于向其转换的适当的能力和资源。有利地，STA 520和AP 541建立了PTK，以便在完成重新关联之后立即再继续数据业务。随后，STA 520可以在由重新关联期限所限定的间隔内开始重新关联过程，其中重新关联期限在EAPOL-密钥帧715中被提供给STA 520。
STA 520生成重新关联请求(Reassociation Req)725消息，该请求包括STA 520的身份或源地址、以及AP 541的身份或目的地址(步骤726b)。另外，重新关联请求725可以包括由STA 520从EAPOL-密钥帧715中读取的ATNonce的摘要或散列值(或从ATNonce得到的另一值)。因此，一旦接收到重新关联请求725，AP 541就可以通过对ATNonce 564执行散列、并且将其与从重新关联请求725中读取的摘要或散列值进行比较，来检验STA 520是有效的(live)(也就是，具有当前PTK)(步骤728b)。如果AP 541检验STA 520为有效，则AP 541可以生成重新关联响应(Reassociation Resp)735消息，该响应包括AP 541的身份或源地址、以及STA 520的身份或目的地址，并且将该重新关联响应发送到STA 520(步骤730b)。另外，重新关联响应735可以包括由AP 541从EAPOL-密钥帧715中读取的STNonce的摘要或散列值(或从STNonce得到的另一值)。因此，一旦接收到重新关联响应735，STA 520就可以通过对STNonce 563执行散列、并且将其与从重新关联响应735中读取的摘要或散列值进行比较，来检验AP 541是有效的(步骤732b)。如果STA 520检验AP 541是有效的，则可以在STA 520和AP 541之间交换安全通信(步骤734b)。
因此，根据这里的实施例，在调用重新关联之前，执行了预-密钥。在移动或调用有助于移动站从当前AP移动到转换AP的过程之前，有利地执行了预-密钥过程。因此，有利地将获得密钥所涉及的处理持续时间从转换持续时间中排除。
虽然图7A和7B通过STA和目标转换AP之间的消息交换示出了用于执行快速转换的消息交换，但是这样的配置仅仅是说明性的，并且仅仅旨在有助于对本发明的理解。例如，可以在仅仅作较少修改的情况下，采用在DS 530上执行的类似消息交换来执行快速转换的实施例。在一个实现中，将EAPOL-密钥帧705、EAPOL-密钥帧715、重新关联请求725和重新关联响应735中的每个封装在相应帧中，例如，包括目标AP字段的动作帧。在该情况下，目标转换AP 541的身份或地址可以包括在每个相应封装帧的目标AP字段中。另外，在优选实施例中，移动站可以选择通过空中接口或通过DS来执行预-密钥过程。
图7C是用于通过DS接口执行预-密钥过程的、在STA 520和候选或目标转换AP 541之间的信令交换700的实施例的图示，其中预-密钥过程有助于在WLAN中当前AP和目标AP之间的快速BSS转换。所示的信令交换示出了有助于站从当前AP到候选或目标AP的快速转换的快速转换(FT)例程的功能步骤。当STA与当前AP相关联，并且检测到或者发现了存在适于根据这里描述的实施例执行FT过程的另一AP时，可以由STA来调用FT例程。
STA 520可以使用SNonce 561和ANonce 560或从ANonce得到的值，来计算PTK(步骤703c)。例如，STA 520可以从由AP 541广播的信标信号中获得ANonce值。可以适当地以其它用于从目标AP 541获得ANonce值的实现来代替。STA 520可以使用SNonce和ANonce值来计算PTK，或者在其它实现中，STA可以使用其SNonce值、以及ANonce值的派生值(例如，ANonce的递增值)。STA 520生成包括EAPOL-密钥帧705c的FT动作请求(Act Req)，并且通过当前AP 540将其发送到先前被STA 520检测到的目标或候选转换AP 541(步骤710c1和c2)。动作请求可以包括SNonce、ANonce和MIC值、以及EAPOL-密钥帧705。可以通过所计算的PTK来保护EAPOL-密钥帧705(或其部分)。EAPOL-密钥帧705可以包括各种参数或值，以有助于STA 520的预认证。在本示例中，EAPOL-密钥帧705可以包括由STA 520生成或以其它方式获得的SNonce 561。SNonce 561包括值集合中的唯一值，并且可以与其它值一起使用以便生成PTK安全性关联(PTKSA)。另外，EAPOL-密钥帧705可以附加地包括资源请求、以及STA的RSN(STA RSN)信息元素。EAPOL-密钥帧705可以封装在一个或多个数据结构中，例如，具有头和一个或多个附加信息元素的信息元素。EAPOL-密钥帧或封装数据结构的头可以在源地址字段中包括STA 520的标识符，例如MAC地址。另外，该头可以在目的地址字段中包括目标转换AP 541的地址。
一旦接收到EAPOL-密钥帧705，目标转换AP 541可以验证从在步骤710c2接收的请求消息中读取的ANonce，使用由AP 541获得或生成的ANonce 560、以及从EAPOL-密钥帧705中读取的SNonce值来计算PTK，并且验证从EAPOL-密钥帧705中读取的MIC(步骤712c)。然后，AP 541可以存储STARSN信息元素或从其中得到的内容(步骤714c)。AP 541可以选择性地评价从EAPOL-密钥帧705中读取的资源请求(如果被包括)，并且可以生成对其的资源响应，该响应指示AP 541是否具有必要的能力和资源来支持STA 520的需要。
然后，AP 541生成包括MIC和EAPOL-密钥帧715的FT动作响应(Act Resp)消息，并且通过当前AP 540将包括EAPOL-密钥帧715的动作响应消息发送到STA 520(步骤720c1和720c2)。EAPOL-密钥帧715可以包括有助于STA 520的认证的各种参数或值。在本示例中，EAPOL-密钥帧715包括来自AP信标或探测响应消息或其内容的AP RSN信息元素(AP_RSN)。FT响应消息可以附加地包括资源响应。
EAPOL-密钥帧715可以封装在一个或多个数据结构中，例如，具有头和一个或多个附加信息元素的信息元素。EAPOL-密钥帧715或封装数据结构的头或可以在源地址字段中包括AP 541的标识符，例如MAC地址。另外，该头可以在目的地址字段中包括STA 520的地址。可以将各种其它数据包括在EAPOL-密钥帧715或其封装数据结构中，作为头或开销数据。例如，可以由AP 541指定重新关联期限，并且将其包括在EAPOL-密钥帧715或其封装数据结构的头或字段中。重新关联期限可以指定为STA 520分配的、用于发起与AP 541的重新关联的时间。如果在调用重新关联过程之前，重新关联期限过期，则如果以后要执行快速转换，就可能要求STA 520重新发起预-密钥过程。
一旦接收到EAPOL-密钥帧715，STA 520就可以检查从其中读取的AP_RSN值，并且检验EAPOL-密钥帧715中的AP_RSN与从AP 541的信标信号中获得的AP-RSN信息元素相匹配(步骤722c)。另外，STA 520可以评价从EAPOL-密钥帧715中读取的资源响应(如果被包括)，以确定AP 541是否具有用于向其转换的适当的能力和资源。
有利地，STA 520和AP 541建立了PTK，以便在完成重新关联之后立即再继续数据业务。随后，STA 520可以在由重新关联期限所限定的间隔内开始重新关联过程，其中重新关联期限在EAPOL-密钥帧715中被提供给STA 520。
STA 520生成重新关联请求(Reassociation Req)725消息，该请求包括STA 520的身份或源地址、以及AP 541的身份或目的地址(步骤726c)。然后，AP 541可以生成重新关联响应(Reassociation Resp)735消息，该响应包括AP 541的身份或源地址、以及STA 520的身份或目的地址，并且将该重新关联响应发送到STA 520(步骤730c)。然后，可以在STA 520和AP 541之间交换安全通信(步骤734c)。
图7D是用于通过DS接口执行预-密钥过程的、在STA 520和候选或目标转换AP 541之间的信令交换700的另一实施例的图示，其中预-密钥过程有助于在WLAN中当前AP和目标AP之间的快速BSS转换。所示的信令交换示出了有助于站从当前AP到候选或目标AP的快速转换的快速转换(FT)例程的功能步骤。当STA与当前AP相关联，并且检测到或者发现了存在适于根据这里描述的实施例执行FT过程的另一AP时，可以由STA来调用FT例程。
STA 520可以获得或者生成申请者转换现时(STNonce)563(步骤703d)。STA 520可以使用SNonce 561和ANonce 560或从ANonce得到的值，来计算PTK(步骤704d)。例如，STA 520可以从由AP 541广播的信标信号中获得ANonce值。可以适当地以其它用于从目标AP 541获得ANonce值的实现来代替。STA 520可以使用SNonce和ANonce值来计算PTK，或者在其它实现中，STA可以使用其SNonce值、以及ANonce值的派生值(例如，ANonce的递增值)。STA 520生成包括EAPOL-密钥帧705的FT动作消息，并且通过当前AP 540将其发送到先前被STA 520检测到的目标或候选转换AP 541(步骤710d1和d2)。动作请求可以包括SNonce、ANonce和MIC值、以及EAPOL-密钥帧705。EAPOL-密钥帧705可以包括各种参数或值，以有助于STA 520的预认证。在本示例中，EAPOL-密钥帧705可以包括由STA 520生成或以其它方式获得的SNonce 561。可以将SNonce 561与其它值一起使用，以便生成PTK安全性关联(PTKSA)。另外，EAPOL-密钥帧705可以附加地包括资源请求、STA的RSN(STA RSN)信息元素、以及STNonce 563。可以将EAPOL-密钥帧705封装在一个或多个数据结构中，例如，具有头和一个或多个附加信息元素的信息元素。EAPOL-密钥帧或封装数据结构的头可以在源地址字段中包括STA 520的标识符，例如MAC地址。另外，该头可以在目的地址字段中包括目标转换AP 541的地址。
一旦接收到EAPOL-密钥帧705，目标转换AP 541就可以验证从在步骤710d2接收的请求消息中读取的ANonce值，使用由AP 541获得或生成的包括伪随机生成值的ANonce 560、以及从EAPOL-密钥帧705读取中的SNonce值来计算PTK，并且验证从EAPOL-密钥帧705中读取的MIC(步骤712d)。然后，AP 541可以存储STA RSN信息元素或从其中得到的内容(步骤714d)。AP 541可以选择性地评价从EAPOL-密钥帧705中读取的资源请求(如果被包括)，并且可以生成对其的资源响应，该响应指示AP 541是否具有必要的能力和资源来支持STA 520的需要。然后，可以由AT 541生成或获得包括伪随机生成值的随机转换现时(ATNonce)(步骤718d)。
然后，AP 541生成包括MIC和EAPOL-密钥帧715的FT动作响应消息，并且通过当前AP 540将包括EAPOL-密钥帧715的动作响应消息发送到STA 520(步骤720d1和720d2)。EAPOL-密钥帧715可以包括有助于STA 520的认证的各种参数或值。在本示例中，EAPOL-密钥帧715包括由AP 541生成或获得的ATNonce、以及来自AP信标或探测响应消息或其内容的AP RSN信息元素(AP_RSN)。FT响应消息可以附加地包括资源响应。
EAPOL-密钥帧715可以封装在一个或多个数据结构中，例如，具有头和一个或多个附加信息元素的信息元素。EAPOL-密钥帧715或封装数据结构的头或可以在源地址字段中包括AP 541的标识符，例如MAC地址。另外，该头可以在目的地址字段中包括STA 520的地址。可以将各种其它数据包括在EAPOL-密钥帧715或其封装数据结构中，作为头或开销数据。例如，可以由AP 541指定重新关联期限，并且将其包括在EAPOL-密钥帧715或其封装数据结构的头或字段中。重新关联期限可以指定为STA 520分配的、用于发起与AP 541的重新关联的时间。如果在调用重新关联过程之前，重新关联期限过期，则如果以后要执行快速转换，就可能要求STA 520重新发起预-密钥过程。
一旦接收到EAPOL-密钥帧715，STA 520就可以检查从其中读取的AP_RSN值，并且检验EAPOL-密钥帧715中的AP_RSN与从AP 541的信标信号中获得的AP-RSN信息元素相匹配(步骤722d)。另外，STA 520可以评价从EAPOL-密钥帧715中读取的资源响应(如果被包括)，以确定AP 541是否具有用于向其转换的适当的能力和资源。有利地，STA 520和AP 541建立了PTK，以便在完成重新关联之后立即再继续数据业务。随后，STA 520可以在由重新关联期限所限定的间隔内开始重新关联过程，其中重新关联期限在EAPOL-密钥帧715中被提供给STA 520。
STA 520生成重新关联请求(Reassociation Req)725消息，该请求包括STA 520的身份或源地址、以及AP 541的身份或目的地址(步骤726d)。另外，重新关联请求725可以包括由STA 520从EAPOL-密钥帧715中读取的ATNonce的摘要或散列值(或从ATNonce得到的另一值)。因此，一旦接收到重新关联请求725，AP 541就可以通过对ATNonce 564执行散列、并且将其与从重新关联请求725中读取的摘要或散列值进行比较，检验STA 520是有效的(也就是，具有当前PTK)(步骤728d)。如果AP 541检验STA 520为有效，则AP 541可以生成重新关联响应(ReassociationResp)735消息，该响应包括AP 541的身份或源地址、以及STA 520的身份或目的地址，并且将该重新关联响应发送到STA 520(步骤730d)。另外，重新关联响应735可以包括由AP 541从EAPOL-密钥帧705中读取的STNonce的摘要或散列值(或从STNonce得到的另一值)。因此，一旦接收到重新关联响应735，STA 520就可以通过对STNonce 563执行散列、并且将其与从重新关联响应735中读取的摘要或散列值进行比较，来检验AP 541是有效的(步骤732b)。如果STA 520检验AP 541是有效的，则可以在STA 520和AP 541之间交换安全通信(步骤734d)。
在图7C和7D所述的实现中，在调用重新关联之前，执行了预-密钥，由此在移动或调用有助于移动站从当前AP移动到转换AP的过程之前，有利地执行了预-密钥。因此，有利地将获得密钥所涉及的处理持续时间从转换持续时间中排除。另外，提供了用于通过空中接口直接与转换AP执行预-密钥过程或通过DS执行预-密钥过程的机制。在优选实施例中，移动站可以选择通过空中接口或DS来执行预-密钥过程。
图8是用于根据这里描述的本发明实施例来实现的快速转换过程的消息时序的图示。将STA 520与AP 540相关联，并且以通信的方式耦接(步骤810)。然后，STA 5520可以发现STA 5520可选择尝试向其转换的候选或潜在转换AP 541(步骤820)。然后，由STA 520调用预-密钥过程(步骤830)。随后，执行重新关联过程，其包括将重新关联请求从STA 520发送到候选转换AP 541、以及将重新关联响应消息从AP 541发送到STA 520(步骤840)。然后，将STA 520与AP 541相关联(步骤850)，然后，可以开始与AP 541的安全通信。有利地，从AP 540到AP 541的通信切换所消耗的转换时间不包括为获得PTK而执行的预-密钥过程的持续时间。
这里描述的实施例通过在开始重新关联过程之前执行认证过程的预-密钥机制，减少了转换持续时间。因此，有利地缩短了转换时间，并且为在WLAN中漫游的STA实现了改进的通信服务。
先前描述是用于实现本发明的优选实例，并且本发明的范围不应该为该描述所限制。本发明的范围是由所附权利要求来限定的。
权利要求
1.一种在网络系统中从第一接入点转换到第二接入点的方法，其包括在与所述第一接入点以通信的方式耦接的同时，发现所述第二接入点；获得第一伪随机值；生成对用于快速转换的请求进行限定的数据结构，其中所述第一伪随机值被包括在所述数据结构中；将所述数据结构发送到所述第二接入点；基于对所述数据结构的第一响应，确定是否调用重新关联过程。
2.如权利要求1所述的方法，其还包括基于从所述响应中读取的第二伪随机值和第三伪随机值，计算第一密钥。
3.如权利要求2所述的方法，其还包括在计算所述第一密钥随后，生成重新关联请求，其中所述重新关联请求包括根据所述第三伪随机值得到的值；以及将所述重新关联请求发送到所述第二接入点。
4.如权利要求3所述的方法，其中所述的根据所述第三伪随机值得到的值包括所述第三伪随机值的散列。
5.如权利要求3所述的方法，其还包括接收重新关联响应消息；以及基于所述重新关联响应消息的内容，检验所述第二接入点具有当前密钥。
6.如权利要求2所述的方法，其中所述第一伪随机值包括申请者转换现时值，并且其中所述第三伪随机值包括认证转换现时值。
7.如权利要求1所述的方法，还包括在确定了调用重新关联过程随后，释放与所述第一接入点的无线链路。
8.一种有助于网络系统中的移动站的快速转换的方法，其包括接收对用于快速转换的请求进行限定的数据结构，所述数据结构包括与移动站相关联的第一伪随机值；使用由第一接入点获得的第二伪随机值和所述第一伪随机值，计算密钥；获得第三伪随机值；生成被寻址到所述移动站的响应消息，所述响应消息包括所述第三伪随机值；以及发送所述响应消息。
9.如权利要求8所述的方法，其还包括接收重新关联请求，所述重新关联请求包括根据所述第三伪随机值得到的值；以及基于所述的根据所述第三伪随机值得到的值，检验所述移动站具有当前密钥。
10.如权利要求9所述的方法，其中所述的根据所述第三伪随机值得到的值包括所述第三伪随机值的散列。
11.一种具有由处理系统执行的计算机可执行指令的计算机可读介质，所述计算机可执行指令有助于网络系统中的快速转换，所述计算机可执行指令包括发现接入点的指令；获得第一伪随机值的指令；生成对用于快速转换的请求进行限定的数据结构的指令，其中所述第一伪随机值被包括在所述数据结构中；将所述数据结构发送到所述接入点的指令；基于对所述数据结构的第一响应来确定是否调用与所述接入点的重新关联过程的指令。
12.如权利要求11所述的计算机可读介质，其还包括基于从所述响应中读取的第二伪随机值和第三伪随机值来计算密钥的指令。
13.如权利要求12所述的计算机可读介质，其还包括在计算所述密钥随后生成重新关联请求的指令，其中所述重新关联请求包括根据所述第三伪随机值得到的值；以及将所述重新关联请求发送到所述接入点的指令。
14.如权利要求13所述的计算机可读介质，其中所述的根据所述第三伪随机值得到的值包括所述第三伪随机值的散列。
15.如权利要求13所述的计算机可读介质，其还包括接收重新关联响应消息的指令；以及基于所述重新关联响应消息的内容来检验所述第二点具有当前密钥的指令。
16.如权利要求13所述的计算机可读介质，其中所述第一伪随机值包括申请者转换现时值，并且其中所述第三伪随机值包括认证转换现时值。
17.如权利要求11所述的计算机可读介质，其还包括在确定了调用重新关联过程随后释放与当前接入点的无线链路的指令。
18.一种具有由处理系统执行的计算机可执行指令的计算机可读介质，所述计算机可执行指令有助于网络系统中的快速转换，所述计算机可执行指令包括接收对用于快速转换的请求进行限定的数据结构的指令，所述数据结构包括与移动站相关联的第一伪随机值；使用由第一接入点获得的第二伪随机值和所述第一伪随机值来计算密钥的指令；获得第三伪随机值的指令；生成被寻址到所述移动站的响应消息的指令，所述响应消息包括所述第三伪随机值；以及发送所述响应消息的指令。
19.如权利要求18所述的计算机可读介质，其还包括接收重新关联请求的指令，所述重新关联请求包括根据所述第三伪随机值得到的值；以及基于根据所述第三伪随机密钥得到的值来检验所述移动站具有当前密钥的指令。
20.如权利要求19所述的计算机可读介质，其中所述的根据所述第三伪随机值得到的值包括所述第三伪随机值的散列。
全文摘要
提供了一种有助于在诸如WLAN的无线通信系统的网络站之间迅速转换移动站通信的设备、系统、计算机可读介质、以及方法，其中该WLAN可操作于IEEE 802操作规范的变体。在此所述实施例的实现通过在开始重新关联过程之前执行认证过程的预－密钥机制，减少了转换持续时间。在其它实施例中，允许移动站来选择是否通过空中接口与目标转换接入点执行预－密钥过程，或者是否通过分布式系统来执行预－密钥过程。
文档编号H04W36/08GK101053210SQ200580030769
公开日2007年10月10日 申请日期2005年9月15日 优先权日2004年9月15日
发明者斯特凡诺·法钦, 乔纳森·P·埃德尼 申请人:诺基亚有限公司, 诺基亚股份有限公司