专利名称:基于成对主密钥的验证式密钥交换的制作方法
基于成对主密钥的验证式密钥交换本申请是申请日为2004年8月20日、申请号为200480025042. 5、发明名称为“基 于成对主密钥的授权密钥交换”的专利申请的分案申请。相关申请的交叉参考本发明要求于2003年1月10日申请的,序列号为No. 60/439,238的美国临时申 请的优先权。
背景技术:
当前无线局域网络(WLAN)系统在用户站(STA)和新的接入点(AP)之间至少使用 七个消息循环往返,以在漫游过程中建立通信。在不采用预先验证或者类似机制的情况下, 则消息的开销会更大,因为在任何符合电气和电子工程师协会(IEEE)802. 11环境的系统 中安全的验证方案都会导致IEEE 802. 11结构中的至少两个或者更多的循环往返。如今, 不安全性的操作已经使用了前五个消息。由于非安全的漫游已认为是太昂贵了,因此添加 最后的十个或者更多的消息而不优化前五个消息不会提高系统性能。此外,在目前IEEE 802. 11结构,诸如IEEE 802. 1 Ia或者IEEE802. 1 Ib中,直到交 换了第十一个消息之后,接入点才会得到无赖用户站的指示,直到序列中的第十二个消息 之后,经过授权的用户站才会检测到无赖接入点,因此攻击者能够骗取到所有的之前的消 息。在能够检测到主动攻击之前,用户站和接入点都投入了很大数量的资源,典型地为20 或者更多毫秒。可能发生附带的性能下降,例如,攻击者可能有意识地使用序列妨碍信道的 使用。
在说明书的结束部分中,详细地指出并明确的声明了作为本发明的主题。但是,通 过在阅读附图并参考以下的详细说明,可以最佳程度上得以理解本发明的组织和方法,以 及主题,特征和优点。图1是根据本发明的一个实施例的无线局域网络系统的框图;图2是方法表,用于根据本发明的一个实施例,在接入点和用户站之间传输信息。图3是根据本发明的一个实施例,用于探测响应的现时信息单元的图表。图4是根据本发明的一个实施例,用于重关联请求的成对主密钥请求信息单元。图5是根据本发明的一个实施例,重关联响应的成对主密钥响应单元;和图6是根据本发明的一个实施例的无线局域网络系统中,用于验证式密钥交换的 方法的流程图。应该理解的是,为了阐述的简单和清晰,在附图中所阐述的单元没有必要按照比 例画出。例如,为了清晰,一些元件的尺寸相对于其他元件进行了放大。此外,在附图中重 复使用附图标记,以指明是相对应的或者类似的元件。
具体实施例方式在以下的详细描述中,为了提供对本发明的透彻的理解,提出了若干特定的细节。 然而,本领域技术人员应该理解的是,在没有这些特定细节的情况下也可以实现本发明。在其 他例子中,众所周知的方法,过程,元件和电路没有进行详细的描述,从而不会混淆本发明。以下的详细描述中的一些部分,用计算机存储器中的数据比特或者二进制数字信 号的算法和操作符号表示。这些算法描述和表示可以是数据处理技术领域的技术人员所使 用的技术,从而将他们的工作实质传达给本领域的其他技术人员。这里有一个算法,并且通常将认为该算法是导致所期望结果的动作或者操作的自 相一致的序列。这些包括物理量的物理操作。通常,尽管没有必要,这些物理量采取能够进 行存储,传输,合并,比较和其他操作的电子或者磁信号的形式。已经证明的是,有时,主要 由于通常使用的原因,将这些信号作为比特,值,元素,符号,字符,条件,数字等是方便的。 然而,应该理解的是,所有这些术语和类似的术语都是与适当的物理量相关的,并且它们仅 仅是用于这些量的便利的标记。除非是另有特别声明,否则如以下描述中所理解的,在整个说明书描述中使用诸 如处理,运算,计算,决定或者类似术语,表示计算机或者计算系统,或者类似的电子计算设 备的行为或处理,这些设备对由计算系统的寄存器或者存储器中用物理量,例如电子量所 表示的数据进行操作,或者将数据变换为由计算系统中的存储器,寄存器或者其他类似信 息存储,传输或者显示设备中的物理量所类似表示的其他数据。本发明的实施例可以包括用于执行其操作的设备。这些设备可以为所期望的目的 而特殊构造,或者它可以包括通用目的的计算设备,该设备可以由存储在设备中的程序选 择性地激活或者重新设置。这种程序可以存储在存储介质中,但不局限于例如任何类型的 盘体,包括软盘,光盘,CD-ROM,磁光盘,只读存储器(ROM),随机存取存储器(RAM),电可编 程只读存储器(EPROM),电可擦除且可编程只读存储器(EEPROM),闪存存储器,磁卡或者光 卡,或者任何适合存储电指令并且能够耦合在用于计算设备的系统总线上的介质。这里所示出的过程和显示并不固有地与任何特定计算设备或者其他设备相关。根 据这里的讲述,各种通用目的的系统都可以用于该程序,或者可以证明构建更加特定的设 备以执行所期望的方法也是方便的。从以下的描述中,可以得到多种用于这些系统的所期 望的结构。此外,本发明的实施例并不涉及任何特殊编程语言。应该理解的是,各种编程语 言都可以执行对这里所描述的本发明的讲授。在以下的描述和权利要求中,可以使用耦合和连接,并连同它们的派生物。在特定 实施例中,连接可以用于表示两个或者更多元件相互之间进行直接物理连接或者进行直接 电连接。耦合可以表示两个或者更多元件之间进行直接物理连接或者电连接。然而,耦合 还可以意味着两个或者更多元件彼此之间没有直接接触,而是可以相互配合或相互作用。现在参考图1,描述根据本发明的一个实施例的无线通信系统。在图1所示的通 信系统100中,用户站110可以包括无线收发器112,其与天线118和处理器114耦合。在 一个实施例中处理器114可以包括单一处理器,或者可以替换的是,可以包括基带处理器 和应用处理器,但本发明的范围不局限在该方面。处理器114可以耦合至存储器16,该存 储器16可以包括易失存储器,诸如DRAM,非易失存储器,诸如闪存存储器,或者可以替换的 是,可以包括其他类型的存储器,诸如硬盘驱动器,聚合体存储器,或者磁存储器,但是本发
4明的范围不局限在该方面。存储器116的一部分或者全部可以包含在与处理器114相同的 集成电路中,或者可以替换的是,存储器116的一部分或者全部可以放置在集成电路和其 他介质中,例如,硬盘驱动器,它可以在处理器114的集成电路的外部,但是本发明的范围 不局限在该方面。用户站110可以通过无线通信链接120与接入点124通信,这里接入点124,和可 选的用户站Iio可以包括至少一个天线122,或者在可替换的实施例中可以包括多个天线, 例如在空分多路存取(SDMA)系统中,多个输入多个输出(MIMO)系统中等等,但是本发明的 范围不局限在该方面。在可以替换的实施例中,接入点124可以是无线蜂窝电信系统中的 基站或者节点B,但是本发明的范围不局限在该方面。接入点124可以与网络126耦合,从 而用户站110通过无线通信链接120与接入点124通信,可以与网络126通信,包括与网络 126耦合的设备。网络126可以包括公共网络,诸如电话网络或者因特网,或者可以替换地, 网络126可以包括专用网络,诸如内部网,或者可以是公共网络和专用网络的组合,但是本 发明的范围不局限在该方面。在用户站110和接入点128之间的通信可以通过无线局域网 络(WLAN)实现,例如,符合电气和电子工程师协会(IEEE)标准,诸如IEEE 802. 11a, IEEE 802.11b,IEEE 802. 16等的网络,但是本发明的范围不局限在该方面。在另外一个实施例 中,用户站110和接入点124之间的通信可以通过符合第三代伙伴计划(ThirdGeneration Partnership Pro ject, 3GPP)的蜂窝通信网络实现,但是本发明的范围不局限在该方面。现在参考图2,描述根据本发明的一个实施例,在接入点和用户站之间传输信息的 方法表。在本发明的一个实施例中,根据IEEE802. 11标准,两个参与方或者两个设备可以 相互建立通信,其中在一个特定实施例中可以符合IEEE 802. Ili标准,但是本发明的范围 不局限在该方面。这里为了参照的目的,A可以指接入点124,S可以指用户站110,但是 本发明的范围不局限在该方面。如图2所示,接入点124可以在探测响应中响应来自用户 站110的探测,在探测响应过程中,接入点124可以向用户站110发送现时信息(nonce) ANONCE (AP — STA)。在本发明的一个实施例中,现时信息可以是一个值,该值用于与密钥 的关联中,并且可以在重新产生密钥中使用。在本发明的一个实施例中,现时信息可以最 多使用一次,但是本发明的范围不局限在该方面。在本发明的一个实施例中,现时信息可 以是随机或者伪随机值。如图2所示,ANONCE可以指接入点124的现时信息。在称为重 关联请求的过程中,在对探测响应的应答中,用户站110可以将ANONCE和用户站110的现 时信息SN0NCE,连同第一消息完整性码(MICl) —起返回传输到接入点124(STA —AP)。 SNONCE同样可以是随机或者伪随机值。在响应从用户站110接收到的重关联请求中,接入 点124将用户站110的现时信息SN0NCE,连同第二消息完整性码(MIC2)返回传输到用户站 110 (AP — STA)。消息完整性码MICl和MIC2可以用于在IEEE 802. 11信道上标记信息,并 且可以包括HMAC-SHA-I ,AES-CBC-MAC和PMAC,或者其它任意密码学安全信息完整性码,但 是本发明的范围不局限在该方面。根据本发明的一个实施例,用户站110和接入点124可以共享称之为成对主密钥 (PMK)的对称密钥,以控制对它们之间的信道的访问。根据本发明的一个实施例,成对主密 钥可以来自密码,或者可以替换的是可以动态地被指定,但是本发明的范围不局限在该方 面。根据本发明的一个实施例,成对主密钥可以以安全的方式发布,并且因此对于潜在的对 手是不可知的,但是本发明的范围不局限在该方面。此外,如图2所示,根据本发明所执行
5的安全协议可以用三个控制消息的序列实现,但是本发明的范围不局限在该方面。此外,这 样的控制消息序列可以通过彼此通信的两个或者更多节点中的任意一个进行初始化,典型 的是,从第一节点到第二节点,从第二节点到第一节点,然后再从第一节点到第二节点,但 是本发明的范围不局限在该方面。现在参考图3,描述根据本发明的一个实施例,用于探测响应的现时信息单元的图 表。现时信息单元300可以由接入点124进行传输,用于重新产生密钥的事件。在本发明 的一个实施例中,现时信息单元300可以是如图2所示的AN0NCE,并且可以是伪随机值。通 过在探测响应中指定AN0NCE,可能不会获得重关联查询消息和重关联响应消息之外的第三 重关联消息。在本发明的一个实施例中,ANONCE由接入点124进行缓存,以确认来自用户 站110的重关联请求,如下所述。现时信息单元300可以用于确认现时信息,并且可以由接 入点124和用户站110所支持,接入点124和用户站110基于验证式密钥交换(AKE)执行 成对主密钥(PMK)。现时信息单元300可以包括一个八位字节的单元ID,一个八位字节的 长度指示符,和32个八位字节或者256比特的当前值。在本发明的一个实施例中,现时信 息300可以是不同于每个探测响应(Probe Response)的伪随机值。现在参考图4,描述根据本发明的一个实施例,用于重关联请求的成对主密钥请 求信息单元。PMK请求信息单元400可以从用户站110传输到接入点124,并且可以包括 ANONCE, SNONCE和MIC1,如图2所示。MICl值将ANONCE和SNONCE绑定在一起,因此,来 自重关联请求中的探测响应和SNONCE的各个询问ANONCE不是不独立的。PMK请求信息单 元400可以包括一个八位字节的单元ID,一个八位字节的长度指示符,8个八位字节的密钥 ID, 32个八位字节的AN0NCE,32个八位字节的SN0NCE,和16个八位字节的MIC,但是本发明 的范围不局限在该方面。密钥ID可以是PMK请求单元400的名字。SNONCE可以是由用户 站110产生的伪随机值。PMK请求信息单元400的MIC可以对应于图2的MIC1,并且可以 使用所得到的密钥确认密钥(KCK)、ANONCE和SNONCE计算得到,具体如下MIC (KCK, ANONCE Il SN0NCE) — MICl其中Il表示级联。密钥确认密钥可以由如下得到PRF (PMK, BSSIDAP Il MAC-ADDRSTA) — KCK Il KEK Il TK其中,PMK为成对主密钥,BSSIDAP为接入点124的介质访问控制(MAC)地址, MAC-ADDRSTA为用户站110的MAC地址。所获得的密钥为密钥确认密钥(KCK)、密钥加密密 钥(KEK)和临时密钥(TK),临时密钥为临时的或者运算中的密钥。PRF指伪随机函数,它可 以是任意的伪随机函数。在重关联请求中,用户站110可以根据从接入点124接收到的最 新探测响应重新生成现时信息值AN0NCE,如图2所示,但是本发明的范围不局限在该方面。在本发明的一个实施例中,MIC的值MICl可以不对BSSIDAP和MAC-ADDRSTA进行 显形保护,因为它们用于计算PTK,因此由MICl进行隐性保护,但是本发明的范围不局限在 该方面。ANONCE的不可预测性可以对接入点124确保所获得的密钥是新的。该获取可以 将BSSIDAP和MAC-ADDRSTA绑定到PTK,因此表明它们是可以与这些密钥一同使用的唯一地 址,但是本发明的范围不局限在该方面。现在参考图5,描述根据本发明的一个实施例,重关联响应的PMK响应单元。PMK响 应单元500可以在如图2所示的重关联响应中,从接入节124传输到用户站110。PMK响应 单元500可以包括一个八位字节的单元ID,一个八位字节的长度指示符,八个八位字节的
6密钥ID,一个八位字节的组临时密钥(GTK)长度,一个GTK长度个八位字节的包装的GTK,6 个八位字节的RSC,32个八位字节的一组当前消息(GNONCE),和16个八位字节的MIC。长 度指示符可以是65+n,其中η是GTK长度域的值,其中长度指示符是在PMK信息单元500中 的八位字节的数量。密钥ID是用于重关联的PMK响应单元500的名字,MIC2可以从以下 得到MIC (KEK, RSN-IEAP Il PMK-RESP-IE)其中KEK可以从对应于图4叙述的重关联请求中获得,RSN-IEAP是接入点124的 探测响应现时信息单元300,PMK-RESP-IE是用户站110的PMK响应信息单元400。在本发 明的一个实施例中,用户站110可以提供随机取值的SN0NCE,以提供有效的MIC2值,该值可 以允许用户站110判定如图2所示的从接入点124接收到的重关联响应是有效值,而不是 重新采用的值。其结果是,从PMK获得正确的KCK,从而产生有效的MIC2,因此允许接入点 124得到对于用户站110的验证,但是本发明的范围不局限在该方面。现在参考图6,描述根据本发明的一个实施例的无线局域网络系统中,用于验证 式密钥交换的方法的流程图。如图6所示,方法600可以表示基于图1的用户站110和接 入点124之间验证式密钥交换(AKE)的成对主密钥(PMK),如图2所阐述,并在这里叙述, 但是本发明的范围不局限在该方面。在块610,用户站110可以将探测请求作为询问传输 到的接入点124。在块612,在接收到探测请求后,接入点124可以发送它的现时信息单元 300AN0NCE,作为对探测请求的探测响应。在块614,在接收到探测响应后,用户站110可以 基于AN0NCE,它自己的现时信息SN0NCE,和基于第一消息完整性码MIC1,产生PMK信息单 元400。然后,在块616,通过将PMK信息单元400传输到接入点124,用户站110可以在重 关联请求中请求重新产生密钥。然后,在块618,基于用户站110的现时信息SN0NCE,和基 于第二消息完整性码MIC2,接入点124可以产生PMK响应信息单元500。在块620,接入点 124可以确定从用户站110接受到的重关联请求是否有效。在块628中,在重关联请求无效 的情况下,可以抛弃重关联请求。反之,在块622,如果重关联请求有效,则接入点124可以 将PMK响应信息单元500作为重关联响应传输到用户站110。在块624,用户站110可以判 断重关联响应是否有效,如果无效,在块628则可以抛弃该响应。反之,在块626,如果重关 联响应有效,则用户站可以与接入点124通信,但是本发明的范围不局限在该方面。尽管采用一定程度上的特殊性描述了本发明,本领域技术人员应该理解,这里的 组成部分可以改变而不会脱离本发明的精神和范围。应该确信的是,通过之前的描述,本发 明的基于成对主密钥的验证式密钥交换和伴随它的很多优点应该会被理解。并且应该清楚 的是,在其中的形式上、结构上和组成部分的排列上可以进行各种改变,而不会脱离本发明 的范围和思想,或者不会牺牲它的所有的实质性优点,这里,之前所述的形式仅仅是其说明 性的实施例,此外也不会提供其实质性的改变。权利要求意图包含和包括这种改变。
权利要求
一种用于基于成对主密钥PMK的验证式密钥交换的方法,包括通过接入点将ANonce传输到站;以及通过接入点从所述站接收重关联请求,其中重关联请求包括SNonce、消息完整性码MIC和信息单元IE,并且其中基于PMK来计算MIC。
2.如权利要求1所述的方法,其中还利用密钥确认密钥KCK、PMK、ANonce和SNonce、基 于MIC算法来计算MIC,其中KCK由PMK导出。
3.如权利要求1所述的方法,还包括响应于所接收的重关联请求,通过接入点将重关联响应传输到站,其中重关联响应包 括MIC和组临时密钥GTK。
4.如权利要求1所述的方法,其中通过接入点将ANonce传输到站还包括响应于通过接 入点从所述站接收的探测请求而通过接入点将ANonce传输到站。
5.如权利要求1所述的方法,其中接入点和站至少部分符合IEEE802.Iln标准。
6.一种用于基于成对主密钥PMK的验证式密钥交换的方法,包括通过接入点将ANonce传输到站;以及响应于所接收的重关联请求,通过接入点将重关联响应传输到所述站,其中重关联响 应包括消息完整性码MIC和组临时密钥GTK。
7.如权利要求6所述的方法,还包括通过接入点从所述站接收重关联请求,其中重关联请求包括SNonce、MIC和信息单元 IE,其中基于PMK计算MIC。
8.如权利要求7所述的方法,其中还利用密钥确认密钥KCK、PMK、ANonCe和SNonce、基 于MIC算法来计算MIC,其中KCK由PMK导出。
9.如权利要求6所述的方法,其中通过接入点将ANonce传输到站还包括响应于通过接 入点从所述站接收的探测请求而通过接入点将ANonce传输到站。
10.如权利要求6所述的方法,其中接入点和站至少部分符合IEEE802.Iln标准。
全文摘要
本发明涉及基于成对主密钥的验证式密钥交换。根据本发明的一个实施例,在无线局域网中可以使用成对主密钥以在重新产生密钥事件期间产生用于授权密钥交换的现时信息。
文档编号H04L9/32GK101917714SQ20101022714
公开日2010年12月15日 申请日期2004年8月20日 优先权日2003年9月2日
发明者J·沃克尔 申请人:英特尔公司