专利名称:用于为快速漫游安全地预留资源的方法和无线局域网的制作方法
技术领域:
图1是依照本发明的一些实施例的无线网络; [0005图2示出了依照本发明的一些实施例的哈希链表; [0006图3示出了依照本发明的一些实施例的快速漫游过程; [0007图4是依照本发明的一些实施例的无线通信设备的框图。
具体实施方式
0008以下说明书和附图充分例示了本发明的特定实施例以使本领域普通 技术人员能够将其付诸实施。其它实施例可以有结构、逻辑、电气、过程 和其它变化。范例仅仅代表可能的变型。各组件和功能都是可选的,除非 明确地需要,并且操作次序可以变化。 一些实施例的各部分和特征可以包 括在其它实施例的部分和特征中,或作为其替代。权利要求中阐述的本发 明实施例涵盖这些权利要求的所有可能等价表述。在本文中,仅仅出于方 便的原因,可以用"发明" 一词单独地或总体地指称本发明的实施例,如 果实际上公开了超过一个实施例,并非意在将本申请的保护范围限制到任 何单个发明或发明构思。
0009图1是依照本发明一些实施例的无线网络的示意图。无线网络100 可以包括多个接入点112、授权服务器104和一个或多个移动站(通常举例 为移动站102和103)。接入点112能够与移动站102和103进行基于分组 的无线通信,使得移动站102和103在无线网络100中进行通信,也使得 移动站102和103与外部网络(比如互联网)进行通{言。在一些实施例中, 无线网络100可以是无线局域网(WLAN),但是本发明的保护范围并不仅 限于此。在一些实施例中,移动站102和103也可以包括用于与其它网络 设备通信(比如接入点112和/或授权服务器104)的一个或多个天线IOI。00101依照本发明的一些实施例,移动站102和103可以在它们位置改变 时,在接入点112之间转换以便维持通信。如图1所示,移动站102可以 与当前相连接的接入点(比如当前接入点106)安全地连接,但是本发明的 保护范围并不仅限于此。移动站102可能期望转换到另一个接入点,比如 目标接入点108或目标接入点110。在这些实施例中,授权服务器104可以 授权移动站102在接入点112中的一个或多个接入点上安全地预留带宽, 用于在无线网络100中快速漫游。在这些实施例中,授权服务器104可以 验证通过接入点112之一从移动站102接收到的资源预留请求中的预留令 牌。这些预留令牌是哈希链表的成员,很难伪造并且需要进行验证。在这 些实施例中,授权服务器104可以提供挑战值(challengevalue),由移动站 102根据该挑战值生成哈希链表。在这些实施例中,当移动站102希望在目 标接入点108和110上预留资源时,授权服务器104通过对接收到的与该 挑战值链接的预留令牌进行哈希运算和验证,来验证在预留请求消息中接收到的预留令牌。本发明的这些实施例使得移动站102在与目标接入点(比 如目标接入点108)安全连接之前,能够在该目标接入点上预留带宽。00111这样,就能将移动站102可以预留带宽的接入点112的数量安全地 限于哈希链表中预留令牌的数量。在这些实施例中,移动站102生成的预 留令牌的预定数量对应于预留限度,在下文将详细讨论。在一些实施例中, 资源预留可以包括带宽预留,可以包括特定业务流的QoS要求,比如语音 或视频业务流,但是本发明的保护范围并不仅限于此。下文将更详细地讨 论这些实施例。下文的描述将同时参照图1、 2和3。在获取授权的阶段301之前, 移动站102可以与当前接入点106安全地连接,如通信302所示。在移动 站102与当前接入点106安全连接之后,当前接入点106在消息304中向 移动站102提供预留限度。该预留限度对应于移动站102将获得授权而在 目标接入点108和IIO上预留的资源数量。在一些实施例中,可以事先在接入点112中的一个或多个接入点与 授权服务器104之间建立来源认证和防伪信道。在一些实施例中,可以事 先在移动站102和当前接入点106之间,以及在移动站102和授权服务器 104之间,建立来源认证和防伪信道。在一些实施例中,可以为每个来源认 证和防伪信道建立会话密钥,但是本发明的保护范围并不仅限于此。图3 中所示的通信可以在这些事先建立的来源认证和防伪信道上进行,但是本 发明的保护范围并不仅限于此。在一些实施例中,获取应答消息308的第一部分可以包括与该随机 数链接的站标识符、挑战值,和第二部分。在这些实施例中,第二部分包 括消息认证码。在这些实施例中,获取请求消息306中的站标识符使得授 权服务器104能够确定用于构造获取应答消息308的会话密钥。在获取请 求消息306和获取应答消息308中都包含该随机数,这使得移动站102可以验证获取应答消息308是一个新的消息,而不是在获取请求消息306之 前生成的。在这些实施例中,消息认证码将认证密钥用于检测伪造的消息。 适合的消息认证码的例子包括依照高级加密标准(AES)的基于密文的消息 认证码(CMAC)算法模式下的代码,以及依照安全哈希算法256(SHA-256) 的密钥散列消息认证码(HMAC)模式下的代码,但是本发明的保护范围 并不仅限于此。在一些实施例中,当//。"'(/^||0,其中/ = 1,2,...,"时,拒绝资源预 留请求314, 乂是接收到的预留令牌(即,预留令牌204之一)。这样,只 有传送当前哈希链表值的预留请求能够获得批准。当7^=^(^110,其中 / = 1,2,...,"时,也拒绝资源预留请求314, A.是先前接收到的预留令牌(即, 预留令牌204之一)。在这些表达式中,上标"i"表示第i次哈希函数迭代。 在一些实施例中,哈希运算可以如下式所述进行迭代
0030, = ii C) = A1(/^ II C), = il C) = A2(//J C),其通常由下面 的表达式表示在这些实施例中,可以避免攻击者重新利用已经公开的先前用过的 预留令牌。当许可资源预留请求314之后,授权服务器104可以利用接收 到的预留令牌204为移动站102更新其数据库。本发明的这些实施例限制 了单个移动站可以占有的预留资源总数,但是本发明的保护范围并不仅限 于此。此外,本发明的一些实施例允许无线网络100控制和管理其QoS资 源,不过,这存在欺诈移动站和接入点的可能性,但是本发明的保护范围 并不仅限于此。图4是依照本发明的一些实施例的无线通信设备的框图。通信设备 400适合用作接入点112之一 (图1)、移动站102 (图1)和/或授权服务器104 (图l)。通信设备400可以包括随机数生成器402、身份认证器404、
存储器406、网络接口电路408和处理电路410。在一些无线实施例中,网
络接口电路408可以与一条或多条天线耦合,比如天线IOI (图l),以便
与其它网络设备进行通信。在一些有线实施例中,网络接口电路408可以
与有线的和/或有线线路通信单元(比如,电线、光缆、总线,等等)相耦 合。除非特别声明,否则例如处理、估计、计算、判断、显示等的术语 用于指一个或多个处理或计算系统或类似的设备的动作和/或处理过程,该 系统或设备用于将表示处理系统的寄存器和存储器中物理量(比如,电子 的)的数据处理并转换为处理系统的寄存器或存储器或者其它信息存储器、 传输或显示设备中类似表示为物理量的其它数据。此外,如本申请中所用 的,计算设备包括一个或多个与计算机可读存储器耦合的单元,该存储器 可以是易失性或非易失性存储器或二者的结合。提供摘要是为了符合37C.F.R,第1.72 (b)节的规定,其要求提供摘 要,以便读者能够明白技术公开的本质和要点。应当理解的是,不应将其 用于解释或限制权利要求的保护范围或含义。
0053在前面的详细描述中,在单个实施例中为了公开的流畅起见,有时 候将各个特征集中到一起。这种公开方法不应被理解为反映如下动机本 发明的实施例需要比每项权利要求明确列举的更多特征。确切而言,如权 利要求书所反映的那样,本发明可以体现在比单个公开实施例的所有特征 要少的特征中。因此权利要求应结合到说明书中,每项权利要求自身代表 独立的优选实施例。
权利要求
1、一种授权服务器,包括网络接口电路,用于从目标接入点接收资源预留请求;处理电路,用于验证从移动站接收的预留令牌,如果验证了所述预留令牌,就授权所述目标接入点在其上预留带宽;其中,所述预留令牌是在所述资源预留请求中被接收到的,并且是由所述目标接入点提供给所述授权服务器的。
2、 权利要求1所述的授权服务器,还包括随机数生成器,用于生成挑战值,所述挑战值由所述移动站用来生成 哈希链表,所述哈希链表包括预定数量的预留令牌;处理电路,用于通过对接收到的与所述挑战值链接的预留令牌进行哈 希计算和验证,验证所述预留令牌;其中,所述授权服务器与所述接入点建立来源认证和防伪信道。
3、 权利要求2所述的授权服务器,其中,如果所述移动站接收到获取 应答消息,就通过下述方法生成哈希链表首先利用所述移动站的随机数生成器生成哈希链表根节点; 对于所述哈希链表的每个后续预留令牌,通过对先前生成的预留令牌和所述挑战值的链接迭代地执行哈希运算来生成;其中,所述哈希链表根节点是所述预留令牌中初始的一个令牌,并且用于生成所述预留令牌中的下一个令牌。
4、 权利要求3中所述的授权服务器,其中,所述预留令牌中最后生成的令牌包括承诺值, 其中,所述移动站在获取确认消息中将所述承诺值发送给所述授权服 务器;其中,如果所述授权服务器验证了所述获取确认消息,就授权所述移 动站在与所述哈希链表的预定数量的预留令牌相对应数量的目标接入点上预留带宽。
5、 权利要求2所述的授权服务器,其中,当接收到的与所述挑战值链接的预留令牌的哈希值不等于所述 承诺值时,所述授权服务器拒绝所述资源预留请求;当接收到的与所述挑战值链接的预留令牌的哈希值等于先前接收的预 留令牌时,所述授权服务器也拒绝所述资源预留请求;当接收到的与所述挑战值链接的预留令牌的哈希值等于所述承诺值, 并且没有拒绝所述资源预留请求时,所述授权服务器许可所述资源预留请 求。
6、 权利要求2所述的授权服务器,其中,如果从所述移动站接收到所述资源预留请求,所述目标接入点 就向所述授权服务器发送授权请求消息,请求为所述移动站预留带宽的授 权;其中,所述授权服务器许可或拒绝这个请求,并且向所述目标接入点 提供授权应答消息;其中,所述目标接入点向所述移动站提供预留应答消息,以指示允许 所述移动站预留带宽还是不允许所述移动站预留带宽。
7、 一种无线网络,包括 ' 多个接入点,用于从移动站接收资源预留请求;授权服务器,用于通过验证所述资源预留请求中从所述移动站接收到 的预留令牌,授权所述接入点在其上为漫游预留带宽。
8、 权利要求7所述的无线网络,其中,在所述接入点和所述授权服务器之间建立来源认证和防伪信道; 其中,所述移动站根据所述授权服务器提供的挑战值生成哈希链表,所述哈希链表包括预定数量的预留令牌,每个预留令牌在一个接入点上预留带宽。
9、 权利要求8所述的无线网络,其中,所述授权服务器包括随机数生成器,用于如果从所述移动站 接收到获取请求消息,就生成所述挑战值;其中,所述授权服务器将所述挑战值作为获取应答消息的一部分发送 给所述移动站,所述获取应答消息利用消息认证码进行保护。
10、 权利要求9所述的无线网络,其中,所述获取请求消息包括站标识符和由所述移动站生成的随机数; 其中,所述获取应答消息包括所述站标识符、由所述移动站生成的随 机数、由所述授权服务器生成的挑战值和所述消息认证码。
11、 权利要求8所述的无线网络,其中,如果所述移动站接收到获取 应答消息,就通过下述方法生成所述哈希链表 首先利用所述移动站的随机数生成器生成哈希链表根节点; 对于所述哈希链表的每个后续预留令牌,通过对先前生成的预留令牌和所述挑战值的链接迭代地执行哈希运算来生成,其中,所述哈希链表根节点是所述预留令牌中初始的一个令牌,并用于生成所述预留令牌中的下一个令牌。
12、 权利要求ll所述的无线网络,其中,所述预留令牌中最后生成的令牌包括承诺值; 其中,所述移动站在获取确认消息中将所述承诺值发送给所述授权服 务器;其中,如果所述授权服务器验证了所述获取确认消息,就授权所述移 动站在与所述哈希链表的预定数量的预留令牌相对应数量的目标接入点上 预留带宽。
13、 权利要求8所述的无线网络,其中,所述授权服务器通过对接收 到的与所述挑战值链接的预留令牌进行哈希运算和验证,对资源预留请求做出授权。
14、 一种用于在无线网络中的接入点上安全地为快速漫游预留带宽的 方法,包括.-通过验证资源预留请求中经由所述接入点从移动站接收的预留令牌, 授权所述接入点在其上预留带宽。
15、 权利要求14所述的方法,还包括提供挑战值,所述移动站利用所述挑战值生成哈希链表,所述哈希链表包括预定数量的预留令牌;通过对接收到的与所述挑战值链接的预留令牌进行哈希运算和验证, 验证所述预留令牌。
16、 权利要求15所述的方法,其中,在所述接入点和所述授权服务器 之间建立来源认证和防伪信道,所述方法还包括如果从所述移动站接收到获取请求消息,就利用随机数生成器生 成所述挑战值;将所述挑战值作为获取应答消息的一部分发送给所述移动站,所 述获取应答消息利用消息认证码进行保护。
17、 权利要求16所述的方法,其中,所述获取请求消息包括站标识符和由所述移动站生成的随机数, 其中,所述获取应答消息包括所述站标识符、由所述移动站生成的随 机数、由所述授权服务器生成的挑战值和所述消息认证码。
18、 权利要求15所述的方法,其中,如果所述移动站接收到获取应答 消息,就通过下述方法生成所述哈希链表首先利用所述移动站的随机数生成器生成哈希链表根节点; 对于所述哈希链表的每个后续预留令牌,通过对先前生成的预留令牌和所述挑战值的链接迭代地执行哈希运算来生成;其中,所述哈希链表根节点是所述预留令牌中初始的一个令牌,并且 用于生成所述预留令牌中的下一个令牌。
19、 权利要求18所述的方法,其中,最后生成的预留令牌包括承诺值,其中,所述移动站在获取确认消息中将所述承诺值发送给所述授权服 务器,其中,所述方法还包括如果验证了所述获取确认消息,就授权所述 移动站在与所述哈希链表的预定数量的预留令牌相对应数量的目标接入点 上预留带宽。
20、 权利要求15所述的方法,还包括当所接收的与所述挑战值链接的预留令牌的哈希值不等于所述承诺值 时,拒绝所述资源预留请求;当所接收的与所述挑战值链接的预留令牌的哈希值等于先前接收的预 留令牌时,拒绝所述资源预留请求;当所接收的与所述挑战值链接的预留令牌的哈希值等于所述承诺值并 且没有拒绝所述资源预留请求时,许可所述资源预留请求。
全文摘要
本申请概括描述了用于在无线网络中安全地预留资源的授权服务器和方法的实施例。也可以描述其它的实施例,并对其主张权利。在一些实施例中,接入点通过对从移动站接收的预留令牌进行验证来在其上预留带宽。
文档编号H04L12/28GK101444041SQ200780016798
公开日2009年5月27日 申请日期2007年5月9日 优先权日2006年5月11日
发明者J·沃克, K·索德, M·赵 申请人:英特尔公司