专利名称:在两个台站之间提供安全的直接链路的方法、装置和计算机的制作方法
背景技术:
在无线局域网(WLAN)中,例如基于IEEE-802.11-1999标准的WLAN,基本业务集(BSS)可以包括一组可以相互通信的台站(station)。例如,在一些WLAN中,BSS可以包括两个台站(STA)和接入点(AP)。在那些WLAN的一些中,第一台站(STA1)或第二台站(STA2)可以与AP通信,但是不能相互通信。
IEEE-802.11e-203草案是IEEE 802.11-1999标准的扩展,它引入了在BSS中的两个台站(例如STA1和STA2)间进行数据分组(packet)传输的机制。此机制可以被称作和/或定名(term)为“直接链路”或“侧流量(side traffic)”。然而,可以根据上述机制传输的数据分组可能不能以安全的方式传输,并且可以被WLAN的其他台站监测数据分组的内容。
在本说明书的结论部分,特别指出并清楚地要求了本发明的主题。然而,当与所述附图一起阅读时,通过参考以下详细描述,本发明关于操作的组织和方法,以及本发明的目的、特征和优点可以得到最好的理解,其中图1是根据本发明的示例性实施方案的无线通信系统的示意图;图2是根据本发明的示例性实施方案的接入点的框图;图3是根据本发明的示例性实施方案的台站的框图;以及图4是根据本发明的示例性实施方案,在至少两个台站间建立安全的通信链路的方法的流程图。
应该理解,为了图示说明的简单和明晰,图中的要素没有必要按比例绘制。例如,为了清晰,一些要素的尺寸可能相对于其他要素被夸大。此外,在被认为适当的地方,在这些图中重复了参考数字,以指示对应或者类似的要素。
具体实施例方式
在下面的详细描述中,阐述了很多具体的细节,以提供对本发明的完整理解。然而,本领域中的熟练技术人员将会清楚,无需使用这些具体的细节可以实现本发明。此外,公知的方法、过程、组件和电路没有详细描述,以免模糊本发明。
下述的详细说明的某些部分是通过使用算法和符号表达式来表示在计算机存储器内对数据位(bit)或二进制数字信号的操作来呈现的。这些算法的描述及表达式可以是那些数据处理领域的技术人员用来将他们的工作传递给本领域其他技术人员的技术。
除非特定声明,否则和以下的讨论一样,在整个说明书讨论中使用诸如“处理”、“计算”、“运算”、“确定”、“建立”、“发出”、“交换”或等术语来表示计算机或计算系统或者类似的电子计算设备的行为或过程,所述行为或过程即处理数据,或将在计算系统寄存器或存储器中被表示为物理量(如电子的)的数据转换为在该计算系统的存储器、寄存器或其他这样的信息存储介质中被类似地表示为物理量的其他数据,如果需要的话,所述信息存储介质可以存储指令以执行操作和/或过程。
应该理解,本发明可以用于各种应用。尽管本发明在此方面不受限制,但是这里公开电路和技术可以用于许多装置,例如无线电系统的台站(station)。意图被包括在本发明范围内的台站(仅以示例性的方式)包括,无线局域网(WLAN)台站、双向无线电台站、数字系统台站、模拟系统台站、蜂窝无线电话台站等等。
意图落在本发明范围内的WLAN台站的类型包括,但不限于,移动台、接入点、用于接收和发送扩频信号(例如跳频扩频(FHSS)、直接序列扩频(DSSS)、补偿编码键控(CCK)、正交频分复用(OFDM)等等)的台站。
首先参照图1,示出了无线通信系统100(例如WLAN通信系统)。尽管本发明的范围在此方面不受限制,但是示例性WLAN通信系统100可以由例如IEEE.802.11-1999标准定义为基本业务集(BSS)。例如,BSS可以包括至少一个通信台站,例如可以包括接入点(AP)110、台站120(STA1)和台站130(STA2)。在一些实施方案中,台站120和台站130可以在无线通信系统100上发送和/或接收一个或更多个数据分组。分组可以包括数据、控制消息、网络信息等等。附加地或者可替换地,在本发明的其他实施方案中,无线通信系统100可以包括两个或更多个AP以及两个或更多个移动台。无线通信系统100的这种方案(arrangement)可以被IEEE 802.11-1999标准称为扩展的服务集(ESS),尽管本发明的范围在此方面不受限制。
尽管本发明的范围在此方面不受限制,但是在本发明的一些实施方案中,台站120可以通过链路125与AP110通信,并且台站130可以通过链路135与AP110通信。此外,台站120和130可以通过链路140相互通信。尽管本发明的范围在此方面不受限制,但是链路140可以是直接链路。
尽管本发明的范围在此方面不受限制,例如,如果需要的话,STA1120和STA2130可以根据IEEE802.11e标准在链路140上通信,以传输数据分组。此外,STA1120和STA2130可以以安全的方式在链路140上中通信,以传输数据分组,这将在下面详细描述。在本发明的实施方案中,如果需要的话,可以根据安全直接链路协议(Secure Direct LinkProtocol,SDLP)来执行以安全方式在链路140上进行的数据分组传输。
参照图2,示出了根据本发明的一些示例性实施方案的接入点(AP)200的框图。尽管本发明的范围在此方面不受限制,但是如果需要的话,AP200可以包括天线210、发送射频(RF)信号的发射机(TX)220、接收RF信号的接收机(RX)230、SDLP控制器240、以及给STA1120和STA2130提供成对的(pair-wise)密钥的密钥生成器250。
尽管本发明的范围在此方面不受限制,但是天线210可以是全向天线、单极天线、双极天线、端部馈电天线(end fed antenna)、圆极化天线、微带天线、分集天线等等。
尽管本发明的范围在此方面不受限制,但是天线210可以接收RF信号,所述RF信号可以包括SDLP消息和/或来自STA1120和/或STA2130的数据分组。RX230可以解调RF信号,以接收数据分组,和/或以处理SDLP消息,并且可以将SDLP消息传输给SDLP控制器240。SDLP控制器240可以生成响应消息,并且可以将所述响应消息提供给TX220。如果需要的话,TX220可以通过天线210将SDLP响应消息发送给STA1120和/或STA2130。在本发明的一些实施方案中,如果需要的话,成对的密钥可以用来加密在链路140上传输的数据分组。成对的密钥可以由密钥生成器250提供。
尽管本发明的范围在此方面不受限制,但是密钥生成器250可以根据选择的加密方法生成成对的密钥,所述加密方法例如鲁棒的安全性网络(Robust Security Network,RSN)方法,例如动态密钥完整性协议(Temporal Key Integrity Protocol,TKIP)和/或密码分块链(Cipher Block Chaining,CBC)计数器模式(Counter Mode,CCM),和/或Wi-Fi受保护接入(Wi-Fi Protected Access,WPA)方法等等。在本发明的实施方案中,如果需要的话,密钥生成器250可以生成与所选择的加密方法一起使用的成对的密钥。
参照图3,示出了根据本发明的一些示例性实施方案的台站(STA)300的框图。尽管本发明的范围在此方面不受限制,STA300可以包括至少一个天线310,所述天线310可以用于在无线通信系统100(图1)(例如WLAN)上发送和/或接收数据分组。在本发明的实施方案中,天线310可以是全向天线、单极天线、双极天线、端部馈电天线、圆极化天线、微带天线、分集天线等等。
尽管本发明的范围在此方面不受限制,STA300可以包括发射机(TX)320、接收机(RX)330、SDLP控制器340、可以存储并提供至少一种通信速率和/或通信速率集给SDLP控制器的速率(rate)单元350、以及根据所选择的安全性方法加密、解密和/或鉴别(authenticate)数据分组的安全性模块360。TX320和RX330可以用来在通信链路(例如链路140)上发送和/或接收分组。
尽管本发明的范围在此方面不受限制,SDLP控制器340可以从速率单元350接收定义通信速率的信息,并且可以从安全性模块360接收定义安全性方法的信息。在本发明的一些实施方案中,SDLP控制器330可以提供和/或接收来自AP的SDLP消息。例如,SDLP消息可以包括建立安全链路的请求、对所述请求或多个请求的响应、“成功”消息、“接受”消息等等。附加地或可替换地,SDLP消息可以包括通信速率信息、安全性方法信息、成对的密钥等等。尽管本发明的范围在此方面不受限制,SDLP控制器340可以包括应用处理器、数字信号处理器、介质访问控制器等等。附加地或可替换地,SDLP控制器340可以在软件、硬件和/或软件和硬件的组合中实现。
尽管本发明的范围在此方面不受限制,但是速率单元350可以包括寄存器和/或存储器,速率单元350中可以包括通信速率值和/或多个其他可选择的通信速率值。在本发明的实施方案中,安全性模块360可以在软件、硬件和/或软件和硬件的组合中实现。
参照图4,示出了根据本发明的一些示例性实施方案在至少两个台站间建立安全通信链路的方法的流程图。尽管本发明的范围在此方面不受限制,但是示例性方法可以由STA1(例如图1的台站120)开始,STA1可以向AP(例如AP110)发出(send)SDLP请求,例如从而与STA2(例如图1的台站310)建立安全的直接链路(方框400)。例如,如果需要的话,SDLP请求可以包括SDLP消息,所述SDLP消息包括STA1和STA2的介质访问控制(MAC)地址、STA1的受支持通信速率集,以及STA1的受支持的加密方法和/或多种加密方法。尽管本发明的范围在此方面不受限制,在SDLP消息中,STA1可以被称作和/或定义为SDLP的发起者(initiator),STA2可以被称作和/或定义为接收者,并且AP可以被称作和/或定义为中间者(mediator)。
尽管本发明的范围在此方面不受限制,AP可以向STA2发出SDLP请求,作为应答,STA2可以向AP发出响应(方框410)。响应可以包括关于STA2支持SDLP的能力的信息。在本发明的一些实施方案中,STA2可以不支持SDLP。在那些实施方案中,AP可以向STA1发出“拒绝”消息,以中止建立SDLP链路的尝试。在本发明的一些其他实施方案中,STA2可以支持SDLP。在那些实施方案中,AP(例如AP110)可以向STA1和STA2发出SDLP消息,所述SDLP消息可以包括受支持的通信速率集和受支持的加密方法和/或多种加密方法,尽管本发明的范围在此方面不受限制(方框420)。AP,例如AP100,可以从由两个台站都支持的通信速率子集中选择通信速率,并且可以选择可以被两个台站都支持的公共加密方法。
尽管本发明的范围在此方面不受限制,在一些实施方案中,其中可能并非两个台站(例如STA1和STA2)都支持RSN加密方法和/或多种加密方法(方框430),或者两个台站(STA1和STA2)都支持有线等效私密性(wired equivalent privacy,WEP)加密(例如IEEE 802.11加密协议),则AP可以在STA1和STA2间建立安全的链路(方框470)。安全链路建立以后,如果需要的话,台站(例如STA1,STA2)可以以安全的方式交换数据分组。
尽管本发明的范围在此方面不受限制,如果两个台站都支持相似的RSN加密方法(方框430),例如CCM、TKIP等等,那么AP可以发出SDLP响应给两个台站。这样的响应可以包括受支持的通信速率的子集和用于STA1和STA2间的加密方法,例如TKIP。此外,如果需要的话,AP可以与STA1和STA2交换可扩展鉴权协议(EAP)帧。
在本发明的实施方案中,如果需要的话,AP(例如图2的AP200)可以在交换EAP帧前,例如使用密钥生成器250生成成对的密钥(方框440)。在一些实施方案中,AP200可以生成可以提供给STA1与STA2的单播TX和RX成对的密钥。例如,STA1可以接收STA2的MAC地址,以及可以根据选择的加密方法生成的单播TX和RX成对的密钥。此外,STA2可以接收STA1的MAC地址,以及可以根据选择的加密方法生成的单播TX和RX成对的密钥。例如,如果需要的话,AP200可以发出“EAP接受”消息,所述“EAP接受”消息中可以包括例如TX和RX成对的密钥以及STA2或STA1的MAC地址(方框440)。如果需要的话,台站(例如STA1和STA2)可以安装成对的密钥,并且可以用“EAP成功”消息响应该AP。
尽管本发明的范围在此方面不受限制,AP可以通过向STA1和STA2发出“准备好”消息来建立安全链路(方框470)。这可以完成AP和台站间的握手过程。接着,如果需要的话,台站(例如STA1和STA2)可以以安全方式交换数据分组。当数据交换完成时,如果需要的话,AP可以向STA1和STA2发出“SDLP_End”消息,以结束SDLP会话(方框480)。
尽管在这里描述和图示说明了本发明的某些特征,但是本领域的技术人员将会想到很多修改、替换、改变和等同物。因此,应该理解,所附权利要求书意图要覆盖所有落入本发明的真实精神的这些修改和改变。
权利要求
1.一种方法,包括通过在接入点和第一台站间以及在所述接入点和第二台站间交换两个或更多个协议消息,在无线局域网的所述第一台站和所述第二台站间建立安全的直接链路。
2.如权利要求1所述的方法,包括从所述第一台站接收请求,以建立所述安全的直接链路,其中所述请求包括通信速率信息和加密方法信息。
3.如权利要求1所述的方法,包括从所述第二台站接收请求,以建立所述安全的直接链路,其中所述请求包括通信速率信息和加密方法信息。
4.如权利要求2所述的方法,其中,建立操作包括向所述第二台站发出消息,以建立所述安全的直接链路,其中所述消息包括所述第一台站的通信速率信息和所述第一台站的加密方法信息。
5.如权利要求3所述的方法,其中,建立操作包括向所述第一台站发出消息,以建立所述安全的直接链路,其中所述消息包括所述第二台站的通信速率信息和所述第二台站的加密方法信息。
6.如权利要求1所述的方法,包括从通信速率集中选择受支持的通信速率。
7.如权利要求6所述的方法,其中,选择操作包括从所述通信速率集的子集中选择所述受支持的通信速率,其中所述第一台站和所述第二台站至少部分地支持所述子集中的所述速率。
8.如权利要求1所述的方法,包括选择所述第一台站和所述第二台站都支持的加密方法;以及根据所述选择的加密方法生成成对的密钥。
9.如权利要求8所述的方法,其中,生成操作包括生成单播成对的密钥来加密数据分组;以及生成单播成对的密钥来解密所述数据分组。
10.如权利要求8所述的方法,其中,选择所述加密方法的操作包括从鲁棒的安全性网络加密方法组中选择所述加密方法。
11.一种装置,包括控制器,所述控制器通过与第一台站和第二台站交换两个或更多个协议消息,在无线局域网的所述第一台站和所述第二台站间建立安全的直接链路。
12.如权利要求11所述的装置,其中,所述控制器能够接收来自所述第一台站的请求,以建立所述安全的直接链路,所述请求包括第一通信速率集和至少一种受支持的加密方法的类型,并且其中所述控制器还能够基于从所述第二台站接收到的信息生成响应消息,所述响应消息至少包括第二通信速率集和所述受支持的加密方法的所述类型。
13.如权利要求12所述的装置,其中,所述控制器能够从所述第一通信速率集和所述第二通信速率集中选择所述第一台站和所述第二台站支持的通信速率子集。
14.如权利要求12所述的装置,其中,所述控制器能够基于所述加密方法的所述支持的类型,选择所述第一台站和所述第二台站支持的加密方法。
15.如权利要求14所述的装置,包括密钥生成器,所述密钥生成器根据所述加密方法生成成对的密钥。
16.如权利要求15所述的装置,其中,所述控制器可以生成两个或更多个包括了通信速率子集和所述成对的密钥的响应消息。
17.如权利要求17所述的装置,包括发射机,所述发射机发送所述响应消息给所述第一台站和所述第二台站。
18.一种装置,包括双极天线,所述双极天线接收和发送两个或更多个协议消息;以及控制器,所述控制器通过与第一台站和第二台站交换两个或更多个协议消息,在无线局域网的所述第一台站和所述第二台站间建立安全的直接链路。
19.如权利要求17所述的装置,其中,所述控制器能够接收来自所述第一台站的请求,以建立所述安全的直接链路,所述请求包括第一通信速率集和至少一种受支持的加密方法的类型,并且其中所述控制器还可以基于从所述第二台站接收到的信息生成响应消息,所述响应消息至少包括第二通信速率集和所述受支持的加密方法的所述类型。
20.如权利要求17所述的装置,其中,所述控制器能够从所述第一通信速率集和所述第二通信速率集中选择所述第一台站和所述第二台站支持的通信速率子集。
21.如权利要求17所述的装置,其中,所述控制器能够基于所述加密方法的所述受支持的类型,选择所述第一台站和所述第二台站支持的加密方法。
22.如权利要求18所述的装置,包括密钥生成器,所述密钥生成器根据所述选择的加密方法生成成对的密钥。
23.如权利要求21所述的装置,其中,所述控制器能够生成两个或更多个包括了通信速率子集和所述成对的密钥的响应消息。
24.如权利要求22所述的装置,包括发射机,所述发射机发送所述响应消息给所述第一台站和所述第二台站。
25.一种无线通信系统,包括接入点,所述接入点包括控制器,以通过与第一台站和第二台站交换两个或更多个协议消息,在无线局域网的所述第一台站和所述第二台站间建立安全的直接链路。
26.如权利要求24所述的无线通信系统,其中,所述控制器可以接收来自所述第一台站的请求,以建立所述安全的直接链路,所述请求包括第一通信速率集和至少一种受支持的加密方法的类型,并且其中所述控制器还可以基于从所述第二台站接收到的信息生成响应消息,所述响应消息至少包括第二通信速率集和所述受支持的加密方法的所述类型。
27.如权利要求24所述的无线通信系统,其中,所述控制器能够从所述第一通信速率集和所述第二通信速率集中选择所述第一台站和所述第二台站支持的通信速率子集。
28.如权利要求24所述的无线通信系统,其中,所述控制器能够基于所述加密方法的所述受支持的类型,选择所述第一台站和所述第二台站支持的加密方法。
29.如权利要求25所述的无线通信系统,包括密钥生成器,所述密钥生成器根据所述选择的加密方法生成成对的密钥。
30.如权利要求28所述的无线通信系统,其中,所述控制器能够生成两个或更多个包括了通信速率子集和所述成对的密钥的响应消息。
31.如权利要求29所述的无线通信系统,包括发射机,所述发射机发送所述响应消息给所述第一台站和所述第二台站。
32.一种制品,包括其上已经存储了指令的存储介质,当执行所述指令时,导致通过在接入点和第一台站间以及在所述接入点和第二台站间交换两个或更多个协议消息,在无线局域网的所述第一台站和所述第二台站间建立安全的直接链路。
33.如权利要求31所述的制品,其中,当执行所述建立的指令时,导致从所述第一台站接收请求,以建立所述安全的直接链路,其中所述请求包括通信速率信息和加密方法信息。
34.如权利要求32所述的制品,其中,当执行所述建立的指令时,导致从所述第二台站接收请求,以建立所述安全的直接链路,其中所述请求包括通信速率信息和加密方法信息。
35.如权利要求31所述的制品,其中,当执行所述指令时,导致向所述第二台站发出消息,以建立所述安全的直接链路,其中所述消息包括所述第一台站的通信速率信息和所述第一台站的加密方法信息。
全文摘要
简要地,可以在无线局域网(100)的第一台站(130)和第二台站(120)间建立安全的直接链路(140)的方法和装置(110)。这样的安全的直接链路的建立可以由接入点完成,所述建立过程可以在第一台站,第二台站和接入点(135,135)间交换协议消息。
文档编号H04L29/06GK1879364SQ200480033127
公开日2006年12月13日 申请日期2004年10月20日 优先权日2003年11月13日
发明者鲍里斯·金兹伯格, 马克斯·富迪姆, 弗拉迪密尔·康德拉替夫 申请人:英特尔公司