用于为无线通信网络的管理和控制业务提供完整性保护的方法和装置的制作方法

专利名称：用于为无线通信网络的管理和控制业务提供完整性保护的方法和装置的制作方法
技术领域：
本公开通常涉及无线通信系统，并且更特别地，涉及用于为无线 通信网络的管理和控制业务提供完整性保护的方法和装置。
背景技术：
随着无线通信在办公室、家里、学校等中变得越来越受欢迎，对 于确保无线环境的安全而言，经由无线链接进行管理和控制业务的保 护是关键的。在没有此种保护的情况下，无线通信网络易受安全威胁， 比如拒绝服务、伪造攻击和/或向与相应网络断开的经过认证的用户 传送未经过认证的消息。例如，非法设备可以模仿合法设备的认证证
书(例如，媒介访问控制(MAC)地址)。因此，对经由无线链接进 行的管理和控制业务的认证可以提供无线环境的数据完整性和数据 机密性。


图1是表示根据这里公开的方法和装置的一个实施例的实例无 线通信系统的示意图2是表示实例完整性保护系统的方框图3是表示图2的实例完整性保护系统的实例通信节点的方框
图4是表示图2的实例完整性保护系统的实例信息要素的方框
图5是表示图2的实例完整性保护系统的实例完整性保护密钥等 级的方框图6是表示图2的实例完整性保护系统的实例管理帧的方框图7是表示其中图2的实例完整性保护系统可以被配置来为无线
网络的管理和控制业务提供完整性保护的一个方式的流程图8是表示可被用于实现图2的实例完整性保护系统的实例处理
器系统的方框图。
具体实施例方式
通常，这里描述用于为无线网络的管理和控制业务提供完整性保 护的方法和装置。这里所描述的方法和装置并不限于这个方面。
参见图1，这里描述的实例无线通信系统ioo包括一个或多个无 线通信网络，通常被示为110、 120和130。尽管图1描述了三个无 线通信网络，但是无线通信系统100可以包括附加的或更少的无线通 信网络。无线通信网络110、 120和130中的每一个可以包括一个或 多个通信节点。在一个实例中，无线通信网络110可以是无线网格网 络。所述无线网格网络110可以包括两个或多个网格点(MP) 140。 尽管图1描述了五个MP，但是无线网格网络110可以包括附加的或 更少的MP。 MP 140可以包括接入点、重分发点、结束点和/或适合 于经由网状路径进行的业务流的其它连接点。
MP 140可以使用各种调制技术来彼此通信，比如扩频调制(例 如，直序码分多址(DS-CDMA)和/或跳频码分多址(FH-CDMA))、 时分复用(TDM)调制、频分复用(FDM)调制、正交频分复用(OFDM) 调制、多载波调制(MDM)和/或其它适合的调制技术。例如，MP 140 可以执行OFDM调制，通过将射频信号分离为随后以不同频率同时 发送的多个较小的子信号来发送大量数字数据。特别地，MP 140可 以使用如电气与电子工程学会(IEEE)所开发的标准的802.xx家族 内或这些标准的变化和演变(例如802.11、 802.15、 802.16等等)中 描述的OFDM调制，来经由无线链接彼此通信(例如，在无线网格 网络110中转发数据)。MP 140还可以根据要求非常低的功率的其它 适合的无线通信协议操作来彼此通信，所述其它适合的无线通信协议
比如是蓝牙、超宽带(UWB)和/或射频标识(RFID)。
无线通信系统100还可以包括无线非网格网络。在一个实例中， 无线通信网络120可以是基本服务集(BSS)网络。所述BSS网络 120可以包括一个或多个站150，通常被示为151、 152、 153和154。 尽管图l描述了四个站，但是BSS120可以包括附加的或更少的站。 例如，BSS120可以包括膝上型计算机、台式计算机、手持计算机、 平板计算机、蜂窝电话、寻呼机、音频/视频设备(例如，MP3播放 器)、游戏设备、导航设备(例如，GPS设备)、监视器、打印机、服 务器和/或其它适合的无线电子设备。
所述站150可以经由如电气与电子工程学会(IEEE)所开发的 标准的802.xx家族内或这些标准的变化和演变(例如802.11、 802.15、 802.16等等)中描述的无线链接进行通信。在一个实例中，所述站 150可以根据正EE开发的标准的802.16家族进行操作，该标准支持 固定、便携式和/或移动宽带无线接入(BWA)网络(例如，2004年 公开的正EE标准802.16)。所述站150还可以使用直序扩频(DSSS) 调制(例如，IEEE标准802.lib)和/或跳频扩频(FHSS)调制(例 如，IEEE标准802.11)。此外，所述站150还可以根据要求非常低的 功率的其它适合无线通信协议进行操作，以经由无线链接来进行通 信，所述其它适合无线通信协议比如是蓝牙、超宽带(UWB)和/或 射频标识(RFID)。或者，所述站150可以经由有线链接(未示出) 来进行通信。例如，所述站150可以使用串行接口、并行接口、小计 算机系统接口 (SCSI)、以太网接口、通用串行总线(USB)接口、 高性能串行总线接口 (例如，正EE 1394接口)、和/或其它合适类型 的有线接口来进行通信。这里描述的方法和装置并不限于这个方面。 BSS 120还可以包括一个或多个通信节点(比如接入点(AP)160) 来向所述站150提供无线通信服务。尽管图1描述了一个AP，但是 BSS 120可以包括附加的AP。所述AP 160还可以结合所述站151、 152、 153禾口/或154来接收和/或发送数据。除了作为BSS网络120 中的接入点进行操作外，AP160可以作为网格AP进行操作。例如， AP 160可以作为无线网格网络110中的MP进行操作，以与MP 140进行通信。特别地，AP160可以结合多个MP140中的一个或多个来 接收和/或发送数据。结果是，AP 160可以作为网格AP操作，以与 无线网格网络110中的MP 140禾nBSS网络120中的站150两者来进
行通信。
无线通信系统IOO还可以包括无线接入网络(RAN) 130 (例如， 蜂窝网络)。所述RAN 130可以包括一个或多个基站170。尽管图l 描述了七个基站，但是RAN 130可以包括附加的或更少的基站。基 站170可以根据若干无线通信协议中的一个或多个来进行操作，以与 无线网格网络110、BSS网络120和/或其它无线通信网络中的无线通 信设备和/或节点进行通信。在一个实例中，RAN 130中的基站170 可以直接与BSS网络120中的基站150进行通信(例如，在不使用 AP160的情况下)。特别地，这些无线通信协议可以基于模拟、数字 和/或双模通信系统标准，比如基于频分多址(FDMA)的标准，基 于时分多址(TDMA)的标准(例如，全球移动通信系统(GSM)、 通用分组无线服务(GPRS)、增强数据型GSM环境(EDGE)、通用 移动电信系统(UMTS)等)、基于码分多址(CDMA)的标准、基 于宽带CDMA (WCDMA)的标准、这些标准的变形和演变、和/或 其它合适的无线通信标准。这里所描述的方法和装置并不限于这个方 面。
此外，无线通信系统100可以包括其它无线个人区域网(WPAN) 设备、无线局域网(WLAN)设备、无线城域网(WMAN)设备和/ 或无线广域网(WWAN)设备，比如网络接口设备和外围设备(例 如，网络接口卡(NIC))、接入点(AP)、网关、网桥、集线器等， 以实现蜂窝电话系统、卫星系统、个人通信系统(PCS)、双向无线 电系统、单向寻呼系统、双向寻呼系统、个人计算机(PC)系统、 个人数据助理(PDA)系统、个人计算附件(Personal Computing Accessory, PCA)系统和/或其它合适的通信系统(未示出)。相应地， 无线网格网络110可以被实现来提供WPAN、 WLAN、 WMAN禾口/ 或其它合适的无线通信网络。尽管已经如上所述公开了特定实例，但 是本公开所覆盖的范围并不限于此。
在图2的实例中，完整性保护系统200可以包括两个或多个通信 节点，通常被示为第一通信节点210和第二通信节点220。第一通信 节点210和第二通信节点220中的每一个可以是接入点、网格点、站 或网络服务器。通常，第一通信节点210和第二通信节点220可以彼 此通信，以揭示安全能力，协商安全，认证通信，管理完整性保护密 钥和/或保护第一和第二通信节点210和220之间的管理或控制业务。
参见图3，通信节点300可以包括通信接口 310、完整性保护生 成器320和加密器330。所述通信接口 310可以包括接收器312、发 射器314和天线316。
通信接口 310可以接收和/或发送管理和控制业务。天线316可 以是一个或多个定向或全向天线，例如包括耦极子天线、单极子天线、 平板天线、环形天线、微带天线和/或适合于发送射频(RF)信号的 其它天线。尽管图3描述了单天线，但是通信节点300可以包括附加 天线。例如，通信节点300可以包括多个天线来实现多入多出(MIMO) 系统。
如同下面详细描述的，完整性保护生成器320可以生成或导出与 通信节点320的管理和控制业务相关联的完整性保护信息。完整性保 护生成器320可以生成成对的完整性密钥(PIK)，以保证管理和控制 业务的安全。特别地，完整性保护生成器320可以是本地协议组件， 以协作与远程实体间的认证和密钥管理。在一个实例中，完整性保护 生成器320可以是位于站(例如，无线设备)处的恳求者(supplicant)。 在另一实例中，完整性保护生成器320可以是位于接入点或网格点处 的认证器。基于PIK，加密器330对管理数据和/或控制数据进行加密。
虽然图3中的组件被描述为通信节点300内的分离块，但是由这 些块执行的功能可以集成在单个半导体电路内，或者可以使用两个或 多个分离的集成电路来实现。例如，虽然接收器312和发射器314被 描述为通信接口 310内的分离块，但是接收器312可以被集成进发射 器314中(例如，收发信机)。在另一实例中，虽然完整性保护生成 器320和加密器330被描述为分离块，但是完整性保护生成器320和 加密器330可以集成进单个组件中。这里所描述的方法和装置并不限
于这个方面。
重新参见图2，例如，第一通信节点210可以是接入点(AP)， 第二通信节点220可以是站(STA)。 AP210可以向站220通告或通 知AP 210根据保证AP 210和站220之间的管理和控制业务的安全的 完整性保护协议进行操作(例如，安全特性发现)。特别地，AP210 向站220 (230)发送与AP210相关联的安全特性信息。
在图4的实例中，信息要素(正)400可以包括特征字段410、 强制字段420，以及一个或多个IE字段，通常被示为430和440。尽 管图4描述了两个IE字段，但是正400可以包括附加的或更少的正 字段。此外，尽管图4中例示了特定的字段顺序，但是这些字段可以 按照其它顺序排列。信息要素400可以是用于向通信节点(比如AP 210)通告安全能力的数据结构。例如，信息要素400可以是健壮安 全网络信息要素(RSN-IE)或管理协议信息要素(MP-IE)。
特征字段410可以指示AP 210是否根据完整性保护协议进行操 作。在一个实例中，为零(0)的比特值可以指示AP210不是根据完 整性保护协议进行操作(例如，未启动完整性保护)，而为l (1)的 比特值可以指示AP210根据完整性保护协议进行操作(例如，启动 完整性保护)。如果完整性保护未启动，则站220可以忽略或忽视来 自AP210的完整性保护协议的特征信息。否则，如果完整性保护被 启动，则站220可以从AP2iO读取完整性保护协议的特征信息，该 特征信息包括强制字段420。
强制字段420可以指示管理和控制业务的完整性保护是否是强 制的。特别地，为零(0)的比特值可以指示完整性保护是可选的， 而为1 (1)的比特值可以指示完整性保护是强制的。例如，如果特 征字段410是为零(O)的比特值，则站220可以忽略或忽视强制字段 420。否则，如果特征字段410是为1 (1)的比特值，则站220可以 通过确定强制字段420的比特值是为1 (即，完整性保护是强制的) 或为0 (即，完整性保护是可选的)，来确定管理和控制业务的完整 性保护是否是强制的。这里所描述的方法和装置并不限于这个方面。
重新参见图2， AP 210可以经由信标、探测答复和/或相关答复来将信息要素400传送到站220。在一个实例中，AP210可以经由广 播传输来将信标自动地发送到站220，以指示AP 210根据完整性保 护协议进行操作。另外或者替换地，AP 210可以响应于接收到探测 请求或相关请求，分别向站220发送探测答复或相关答复。
AP210和站220可以彼此通信(即，四次握手)，以生成完整性 保护密钥(例如，安全协商和认证)(240)。在图5的实例中，符合 例如IEEE标准證.lli (2003年公布)或IEEE任务组802.11r建议 中描述的无线通信协议的完整性保护密钥等级500可以包括成对的 主密钥(PMK) 510(例如，大的随机数)。特别地，PMK510可以是 实施接入控制判定的授权令牌。
基于PMK510和伪随机功能(PRF)，可以为会话生成成对的瞬 时密钥(PTK) 520，以开始数据加密。所述PTK 520可以包括密钥 确认密钥(KCK) 530、密钥加密密钥(KEK) 540和临时密钥(TK) 550。所述KCK 530可以是用于保护和保证AP 210和站220之间的 协商的安全的会话认证密钥。KEK 540可以是用于对密钥进行加密的 会话密钥。TK 550可以是会话加密密钥。这里所描述的方法和装置 并不限于这个方面。
为了为AP 210和站220之间的管理和控制业务提供完整性保护， PTK520还可以包括成对的完整性密钥(PIK) 560。如同下面结合图 6进行的详细描述，PIK 560可用于保护AP 210和站220之间的管理 和控制业务(例如，密钥管理和数据保护)(250)。例如，可以根据 安全协议来使用PIK560，所述安全协议比如是采用加密块链(CBC) -消息认证码(MAC)协议(CCMP)的计数器模式，临时密钥完整 性协议(TKIP)，或具有一个密钥CBCMAC操作模式的高级加密标 准协议。
参见图6，实例管理帧600可以包括媒介访问控制(MAC)头字 段610、完整性头字段620、帧主体字段630、消息完整性代码(MIC) 值字段640以及帧校验序列(FCS)字段650。例如，管理帧600可 以是MAC管理协议数据单元(MMPDU)。尽管图6中例示了字段的 特定顺序，但是这些字段可以按照其它顺序排列。
MAC头字段610可以包括帧控制字段、目的地址字段、站地址 字段、基本服务集(BSS)字段、以及序列控制字段。特别地，序列 控制字段可以包括段编号和序列编号，用于确定管理帧600是否是分 段的MMPDU。 AP210可以确定MMPDU是否是分段的，这是因为 完整性头字段620和MIC值字段640可以增加MMPDU的大小。
完整性头字段620可以包括帧计数器622和密钥ID字段624。 帧计数器字段622可以用于再现保护。例如，站210检测到管理帧 600的再现，站210可以忽略和丢弃管理帧600。站210还可以记录 再现的出现。所述帧计数器可以被初始化为O，或者初始化为使用硬 件随机化器、软件随机化器和/或PRF随机生成的值。在每次使用管 理帧600后，帧计数器加l。此外，每次生成PIK时，重新初始化帧 计数器。
密钥ID字段624唯一地标识PIK 520。在一个实例中，PIK 520 的密钥ID可以被分配唯一的名称PIK ID = SHA1(PMK ID||AA||SPA||ANonce||SNonce)。PMK ID字段可以是PMK 510的名称。 AA字段可以是AP 210的BSSID。 SPA字段可以是站220的802.11 MAC地址。ANonce和Snonce字段可以是用于导出PIK 520的会话 特有信息(例如，大的随机数输入)。
MIC值字段640可以包括MIC。特别地，MIC可以指示管理帧 600的内容是利用AP 210和站220之间协商的PIK进行完整性保护 的。所述MIC可以基于PIK 560和MAC头字段610的若干子字段来 进行计算。这里所描述的方法和装置并不限于这个方面。
特别地，图7描述了其中图3的实例通信节点可以被配置来为管 理和控制业务提供完整性保护的一个方式。实例过程700可以被实现 为机器可访问的指令，该指令使用存储在机器可访问介质的任何组合 上的若干不同编程代码中的任何一个，所述机器可访问介质比如是易 失性或非易失性存储器或其它海量存储设备(例如，软盘、CD和 DVD)。例如，机器可访问指令可以包含在机器可访问介质中，比如 可编程门阵列、专用集成电路(ASIC)、可擦除可编程只读存储器 (EPROM)、只读存储器(ROM)、随机存取存储器(RAM)、磁性介质、光学介质和/或其它适合类型的介质。
此外，尽管图7中例示了动作的特定顺序，但是这些动作可以按
照其它顺序执行。再次，仅仅结合图l、 2和3中的装置提供和描述 实例过程700，作为将通信节点配置来为无线通信网络的管理和控制 业务提供完整性保护的一个方式的实例。
在图7的实例中，过程700开始于通信节点300，该通信节点300 通过向其它通信节点发送与通信节点300相关联的安全特性信息，来 (例如，经由通信接口 310)通告通信节点300的完整性保护能力(方 框710)。在一个实例中，AP210 (图2)可以向其它通信节点(比如 站220)自动地发送包括正400的信标。另外或者替换地，AP 210 可以响应于来自站220和/或其它通信节点的请求(例如，分别响应 于探测请求或相关请求)而发送包括正400的答复(例如，探测答 复或相关答复)。
通信节点300可以(例如，经由完整性保护生成器320)生成PIK (方框720)。例如，AP210可以基于在AP210和站220之间协商的 PMK510，(例如，经由认证器)生成PIK520。基于该PIK，通信节 点300可以(例如，经由完整性保护生成器320)生成MIC(方框730)。 特别地，该MIC可以指示管理帧600的完整性由PIK 520保护。
通信节点300可以(例如，经由加密器330)利用PIK对管理消 息禾卩/或控制消息进行加密。例如，AP210可以利用PIK对管理帧600 进行加密，并且计算MIC来保护MAC头字段610、完整性头字段 620、帧主体字段630和/或管理帧600的其它适合字段的完整性。相 应地，通信节点300可以(例如，经由通信接口310)保护通信节点 300的管理和/或控制业务(方框750)。在一个实例中，AP210可以 向站220发送管理帧600。这里所描述的方法和装置并不限于这个方 面。
尽管上述实例是相对于AP和站进行描述的，但是这里所描述的 方法和装置可以被实现来为其它通信节点之间的管理和控制业务提 供完整性保护。在一个实例中，这里所描述的方法和装置可以被实现 来为两个或多个AP或站之间的管理和控制业务提供完整性保护。在
另一实例中，这里所描述的方法和装置可以被实现来为其它通信节点
AP和认证服务器(未示出)之间的管理和控制业务提供完整性保护。 图8是适于实现这里所描述的方法和装置的实例处理器系统 2000的方框图。所述处理器系统2000可以是台式计算机、膝上型计 算机、手持计算机、平板计算机、PDA、服务器、因特网装置和/或 其它类型的计算设备。
图8中例示的处理器系统2000包括芯片组2010，其包括存储器 控制器2012和输入/输出(I/O)控制器2014。芯片组2010可以提供 存储器和I/0管理功能以及多个通用和/或专用寄存器，定时器等，其 可由处理器2020访问或使用。处理器2000可以使用一个或多个处理 器、WLAN组件、WMAN组件、WWAN组件和/或其它合适的处理 组件来实现。例如，处理器2020可以使用Intel Pentiim^技术、Intel Itaniun^技术、Intel Centrinc)TM技术、Intel XeonTM技术禾口/或Intel Xscal^技术中的一种或多种来实现。在替代方案中，其它处理技术 可以被使用来实现处理器2020。处理器2020可以包括高速缓存2022， 其可以使用第一级统一高速缓存(Ll)、第二级统一高速缓存(L2)、 第三级统一高速缓存(L3)和/或任何其它合适的结构来存储数据。
存储器控制器2012可以执行使得处理器2020能够经由总线2040 访问和与主存储器2030进行通信的功能，该主存储器2030包括易失 性存储器2032和非易失性存储器2034。易失性存储器2032可以利 用同步动态随机存取存储器(SDRAM)、动态随机存取存储器
(DRAM)、 RAMBUS动态随机存取存储器(RDRAM)和/或其它类 型的随机存取存储器设备来实现。非易失性存储器2034可以使用快 闪存储器、只读存储器(ROM)、电可擦写可编程只读存储器
(EEPROM)和/或其它类型的存储器设备来实现。
处理器系统2000还可以包括耦合至总线2040的接口电路2050。 接口电路2050可以使用任何类型的接口标准来实现，比如以太网接 口、通用串行总线(USB)、第三代输入,/输出(3GIO )接口和/或其 它合适类型的接口。
一个或多个输入设备2060可以连接到接口电路2050。输入设备
2060允许个体将数据和命令输入到处理器2020。例如，输入设备2060 可以利用键盘、鼠标、触摸敏感显示器、轨迹板(track pad)、轨迹 球、Isopoint和/或语音识别系统来实现。
一个或多个输出设备2070可以连接到接口电路2050。例如，输 出设备2070可以利用显示设备(例如，发光显示器(LED)、液晶显 示器(LCD)、阴极射线管(CRT)显示器、打印机和/或扬声器)来 实现。除此之外，接口电路2050可以包括图形驱动卡。
处理器系统2000还可以包括一个或多个海量存储设备2080来存 储软件和数据。此种海量存储设备2080的实例包括软盘和驱动器、 硬盘驱动器、压缩盘和驱动器、以及数字通用盘(DVD)和驱动器。
接口电路2050还可以包括通信设备(比如调制解调器或网络接 口卡)来便于经由网络与外部计算机交换数据。处理器系统2000和 网络之间的通信链接可以是任何类型的网络连接，比如以太网连接、 数字用户线路(DSL)、电话线路、蜂窝电话系统、同轴线缆等。
对输入设备2060、输出设备2070、海量存储设备2080和/或网 络的访问可以由I/O控制器2014来进行控制。特别地，I/O控制器 2014可以执行使得处理器2020能够经由总线2040和接口电路2050 与输入设备2060、输出设备2070、海量存储设备2080和/或网络进 行通信的功能。
虽然图8中的组件被描述为处理器系统2000内的分离块，但是 由这些块中的一些执行的功能可以集成在单个半导体电路内，或者可 以使用两个或多个分离的集成电路来实现。例如，虽然存储器控制器 2012和I/O控制器2014被描述为芯片组2010内的分离块，但是存储 器控制器2012和I/O控制器2014可以集成进单个组件中。
虽然这里已经描述了特定实例方法、装置和产品，但是本公开的 覆盖范围并不限于此。相反，本公开覆盖文字上或在等价物的原则下 清楚地落入所附权利要求的范围内的所有方法、装置和产品。例如， 虽然上述公开的实例系统除其它组件外，包括在硬件上执行的软件或 固件，但是应该注意到，此种系统仅仅是例示性的，并不认为是限制 性的。特别地，所预期的是，所公开的硬件、软件和/或固件组件中
的任何一个或所有应该被排他地具体化为硬件、排他地具体化为软 件、排他地具体化为固件，或者排他地具体化为硬件、软件和/或固 件的一些组合。
权利要求
1、一种方法，包括发送与通信节点相关联的安全特性信息，所述通信节点根据完整性保护协议进行操作；并且生成与所述通信节点的管理业务或控制业务相关联的完整性保护信息。
2、 如权利要求l所述的方法，其中，发送所述安全特性信息包 括经由信标、探测答复或相关答复中的一个来发送所述安全特性信 息。
3、 如权利要求l所述的方法，其中，发送所述安全特性信息包括下述发送方式中的一种经由广播传输来自动地发送所述安全特性信息，或者响应于接收到探测请求或相关请求中的一个请求，经由单 播传输来发送所述安全特性信息。
4、 如权利要求l所述的方法，其中，发送所述安全特性信息包 括发送信息要素，所述信息要素具有特征字段或强制字段中的至少一 个，并且其中所述信息要素包括健壮安全网络信息要素或管理协议信 息要素中之一。
5、 如权利要求1所述的方法，其中，发送所述安全特性信息包 括发送与接入点、站、网格点或网络服务器中之一相关联的安全特性 信息。
6、 如权利要求l所述的方法，其中，生成所述完整性保护信息 包括基于成对的主密钥生成成对的完整性密钥。
7、 如权利要求l所述的方法，其中，生成所述完整性保护信息包括基于成对的完整性密钥生成消息完整性代码。
8、 如权利要求1所述的方法，还包括发送管理帧，所述管理帧 包括完整性头部或消息完整性代码中至少一个，并且其中所述完整性 头部包括帧计数器或密钥标识符中至少之一。
9、 如权利要求1所述的方法，还包括发送媒介访问控制(MAC) 管理协议数据单元，所述媒介访问控制管理协议数据单元包括完整性 头字段或消息完整性代码字段中至少之一，并且其中所述完整性头字 段包括帧计数器字段或密钥标识符字段中至少之一。
10、 一种包括内容的产品，当被访问时，所述内容使得机器发送与通信节点相关联的安全特性信息，所述通信节点根据完整性保护协议进行操作；并且生成与所述通信节点的管理业务或控制业务相关联的完整性保 护信息。
11、 如权利要求10所述的产品，其中，当被访问时，所述内容 使得机器通过发送具有特征字段或强制字段中至少之一的信息要素 来发送所述安全特性信息，并且其中所述信息要素包括健壮安全网络 信息要素或管理协议信息要素中之一。
12、 如权利要求IO所述的产品，其中，当被访问时，所述内容 使得机器通过基于成对的主密钥生成成对的完整性密钥来生成所述 完整性保护信息。
13、 如权利要求IO所述的产品，其中，当被访问时，所述内容 使得机器通过基于成对的完整性密钥生成消息完整性代码来生成所 述完整性保护信息。
14、 如权利要求IO所述的产品，其中，当被访问时，所述内容 使得机器发送管理帧，所述管理帧包括完整性头部或消息完整性代码 中至少一个，并且其中所述完整性头部包括帧计数器或密钥标识符中 至少之一。
15、 一种装置，包括通信接口，用于发送与通信节点相关联的安全特性信息，所述通 信节点根据完整性保护协议进行操作；以及完整性保护生成器，其耦合到所述通信接口，用于生成与所述通 信节点的管理业务或控制业务之一相关联的完整性保护信息。
16、 如权利要求15所述的装置，其中，所述通信接口被配置来 经由信标、探测答复或相关答复中之一来发送所述安全特性信息。
17、 如权利要求15所述的装置，其中，所述通信接口被配置来 发送信息要素，所述信息要素具有特征字段或强制字段中的至少一 个，并且其中所述信息要素包括健壮安全网络信息要素或管理协议信 息要素中之一。
18、 如权利要求15所述的装置，其中，所述通信接口被配置来 发送管理帧，所述管理帧包括完整性头部或消息完整性代码中至少一 个，并且其中所述完整性头部包括帧计数器或密钥标识符中至少之
19、 如权利要求15所述的装置，其中，所述完整性保护生成器 被配置来基于成对的主密钥生成成对的完整性密钥。
20、 如权利要求15所述的装置，其中，所述完整性保护生成器 包括恳求者或认证器中之一。
全文摘要
这里通常公开了用于为无线通信网络的管理和控制业务提供完整性保护的方法和装置的实施例。其它实施例也被描述和要求。
文档编号H04L29/06GK101199182SQ200680021290
公开日2008年6月11日 申请日期2006年6月16日 优先权日2005年6月16日
发明者E·齐, J·沃克, K·索德 申请人:英特尔公司