启用对无线链路建立的密钥生存期的访问的制作方法

启用对无线链路建立的密钥生存期的访问的制作方法
【专利摘要】一种特定方法包括在与接入点执行可扩展认证协议(EAP)认证之后在与EAP认证相关联的主会话密钥(MSK)期满之前在移动设备处执行自举式EAP重新认证协议(ERP)重新认证。另一种特定方法包括在接入点处执行移动设备的自举式ERP重新认证而不中断与移动设备的数据分组流。
【专利说明】启用对无线链路建立的密钥生存期的访问
[0001]相关申请的交叉引用
[0002]本申请要求共同拥有的于2011年11月8日提交的美国临时专利申请N0.61/556，921的优先权，该临时申请的内容通过援弓I全部明确纳入于此。
发明领域
[0003]本公开涉及无线通信系统。
【背景技术】
[0004]技术进步已导致越来越小且越来越强大的计算设备。例如，当前存在各种各样的便携式个人计算设备，包括较小、轻量且用户易于携带的无线计算设备，诸如便携式无线电话、个人数字助理(PDA)以及寻呼设备。更具体地，便携式无线电话(诸如蜂窝电话和网际协议(IP)电话)可通过无线网络传输语音和数据分组。许多此类无线电话纳入附加设备以便为终端用户提供增强的功能性。例如，无线电话还可包括数码相机、数码摄像机、数字记录器以及音频文件播放器。同样，此类无线电话可执行软件应用，诸如可被用于访问因特网的web浏览器应用。由此，这些无线电话可包括显著的计算能力。
[0005]移动通信设备(诸如无线电话)可包括无线联网(例如，W1-Fi)能力。例如，设备可搜索可用无线网络并且可连接至可用的特定无线网络。无线网络可受保护或不受保护。当无线网络受保护时，设备还可“记住”与该无线网络相关联的认证详情(例如，网络口令)，从而到该无线网络的后续连接可以更快地建立。有时，移动设备可在短时间量内迁入和迁出特定无线网络覆盖区域。例如，具有启用W1-Fi的设备的火车乘客可在约几分钟(如果不是几秒钟)内进入及离开特定火车站的W1-Fi覆盖区域。典型的认证方法可能不能快到足以(例如，可涉及过多的消息交换)使设备在如此短的时间段内建立经认证的W1-Fi会话以及发送/接收数据。
[0006]无线网络可使用各种认证协议来实现安全性。认证协议的一个示例是可扩展认证协议(ΕΑΡ)。当用于无线网络认证时，EAP可涉及移动设备、接入点和认证服务器之间多个消息的交换。为了使后续重新认证更快，请求评注(RFC) 5296定义了 EAP重新认证协议(ERP)7ERP可在已经执行完整EAP认证后在某些情况下启用更快的重新认证。在EPR重新认证期间，可生成并使用各种密钥。密钥可与有效性时间段(例如，生存期)相关联，并且可在有效性时间段消逝时期满。因为移动设备可能不知晓密钥生存期，故而即使密钥已经期满，移动设备可能仍尝试发起ERP重新认证。一旦确定EPR重新认证不成功，移动设备就可能发起完整EAP认证并生成新密钥。然而，不成功的ERP重新认证中所涉及的(诸)附加消息收发往返行程可增加移动设备的总链路建立时间。
[0007]概述
[0008]公开了启用对无线链路建立的密钥生存期的访问的方法和装置。某些实施例可包括将认证和网际协议(IP)地址指派集束到无线链路建立中。所提议的技术可向移动站(STA)提供密钥生存期信息，从而移动设备可在发起ERP重新认证之前确定ERP重新认证是否会由于期满的密钥而不成功。因此，STA可以能够避免因此类不成功的ERP重新认证所导致的消息收发延迟。
[0009]可以按多种方式向STA提供密钥生存期信息。例如，在第一实现中，STA可被编程为在完整EAP认证之后不久执行自举式(bootstrapped) ERP重新认证，即使在与相同的无线接入点(AP)执行EAP认证和ERP重新认证的情形下。STA可在自举式ERP重新认证期间请求并接收密钥生存期信息。AP可在信标或控制消息中向STA指示是否支持自举式ERP重新认证以及支持什么类型的IP地址和IP地址指派方法。此外，AP可进行自举式ERP重新认证而不中断与STA的IP话务流。
[0010]作为另一个示例，在第二实现中，STA可在EAP认证期间使用重新认证根密钥(rRK)生存期请求以指示STA对ERP重新认证感兴趣并请求rRK生存期。一旦接收到rRK生存期请求，认证服务器就可向STA发送所请求的rRK生存期(例如，经由AP)。
[0011]在第三实现中，可在STA处预配置密钥生存期信息。例如，默认rRK计时器值可被存储在STA的非易失性存储器(例如，订户身份模块(SM))中并且可在预设期间被访问。如果基于rRK计时器值的ERP重新认证不成功，则STA可改变(例如，减小)rRK计时器值以尝试避免后续不成功的ERP重新认证。
[0012]在特定实施例中，一种方法包括在移动设备处从接入点接收至少一个消息并在接收该至少一个消息之后执行EAP认证。该方法还包括在执行EAP认证之后在该移动设备处执行自举式ERP重新认证。在与EAP认证相关联的主会话密钥(MSK)期满前执行自举式ERP重新认证。
[0013]在另一特定实施例中，一种方法包括在移动设备处执行与接入点的EAP认证。该方法还包括在移动设备处执行自举式ERP重新认证，其中响应于EAP认证完成的指示而执行该自举式ERP重新认证。
[0014]在另一特定实施例中，一种方法包括在接入点处执行移动设备的自举式ERP重新认证而不中断与该移动设备的数据分组流。
[0015]在另一个特定实施例中，一种接入点包括被配置成与移动设备传达数据分组的话务端口。该接入点还包括被配置成进行移动设备的自举式ERP重新认证而不中断经由话务端口的数据分组通信的认证端口。
[0016]在另一特定实施例中，一种方法包括从移动设备传送包括对rRK生存期的请求的第一 EAP消息。该方法还包括在移动设备处接收第二 EAP消息，其中第二 EAP消息包括所请求的rRK生存期。例如，第一 EAP消息可包括EAP发起消息而第二 EAP消息可包括EAP结束消息。
[0017]在另一特定实施例中，一种方法包括在认证服务器处接收包括对rRK生存期的请求的第一 EAP消息。该方法还包括从认证服务器传送包括所请求的rRK生存期的第二 EAP消息。
[0018]在另一特定实施例中，一种方法包括在移动设备处基于所存储的rRK生存期是否已经消逝来确定是执行EAP认证还是执行自举式ERP重新认证。rRK生存期被存储在移动设备中的非易失性存储器内。
[0019]在另一特定实施例中，一种非瞬态处理器可读介质包括指令，这些指令在由处理器执行时使得该处理器从移动设备传送包括对rRK生存期的请求的第一 EAP消息。这些指令在由处理器执行时还使得该处理器在移动设备处接收包括所请求的rRK生存期的第二EAP消息。
[0020]由所公开的实施例中的至少一个实施例所提供的一个特定优点是向移动设备提供密钥生存期信息从而移动设备可预测ERP重新认证是否将失败的能力。通过避免或减少失败的ERP重新认证的发生，可以达成更快的初始链路建立时间。由所公开的实施例中的至少一个实施例所提供的另一个特定优点是进行一个或多个附加的ERP重新认证而不中断移动设备和接入点之间的现有网际协议(IP)会话的能力。
[0021]本公开的其他方面、优点和特征将在阅读了整个申请后变得明了，所述申请包括下述章节:附图简要说明、详细描述以及权利要求。
[0022]附图简要说明
[0023]图1是能操作用于启用对无线链路建立的密钥生存期的访问的系统的第一实施例的图示；
[0024]图2是图1的信标/控制消息的特定实施例的图示；
[0025]图3是图1系统中移动设备的操作方法的特定实施例的流程图；
[0026]图4是图1系统中接入点的操作方法的特定实施例的流程图；
[0027]图5是能操作用于启用对无线链路建立的密钥生存期的访问的系统的第二实施例的图示；
[0028]图6是启用对无线链路建立的密钥生存期(包括存储在移动设备的非易失性存储器的使用密钥生存期)的访问的方法的特定实施例的流程图；以及
[0029]图7是包括能操作用于启用对无线链路建立的密钥生存期的访问的系统的无线设备的框图。
[0030]详细描述
[0031]电气和电子工程师协会(IEEE) 802.11工作组(TG) ai (以下称为“TGai ”)是参与快速初始链路建立(FILS)研究的工作组。TGai提议将ERP用于FILS。TGai提议和提案可以从IEEE802标准委员会www.1eee802.0rg获取。根据TGai提议，移动站(STA)在上电之际可能不知晓任何认证上下文。为了与接入点(AP)建立经认证的会话，STA可与AP执行完整EAP认证，该完整EAP认证还可涉及与认证服务器(AS)的通信。完整EAP认证可包括在STA处建立各种密钥，包括扩展主会话密钥(EMSK)、域专有根密钥(DSRK)、重新认证根密钥(rRK)、重新认证完整性密钥(rIK)和主会话密钥(MSK)。还可在AS处建立EMSK、DSRK、rRK和rIK，并且可在AP和AS两者处建立MSK。一般而言，每当执行完整EAP时就可生成新的rRK和rIK。应当注意，尽管在EAP认证期间可在STA处建立各种密钥，但可以不向STA提供有关密钥生存期的信息。
[0032]当STA切换到新AP时，STA可尝试与新AP执行ERP重新认证。EAP重新认证可快于完整EAP认证(例如，因为可以重用某些密钥)。每当ERP重新认证成功时，可在STA、AP和AS处建立新的重新认证主会话密钥(rMSK)。每当STA移动到新AP时或rMSK期满时，可执行ERP重新认证。然而，当STA与AP断开连接并随后与同一 AP重新连接时，可以不执行ERP重新认证。万一 ERP重新认证失败(例如，由于rRK已经期满)，则STA可执行另一完整EAP认证。
[0033]因此，在某些TGai提案中，在确定是执行完整EAP认证还是执行ERP重新认证时STA可以是“反应式的”，因为STA可对不成功的ERP重新认证“作出反应”而执行完整EAP认证。AS可维护(诸)ERP计时器及密钥生存期。与之相对，所公开的系统和方法可通过向STA提供密钥生存期信息(例如，rRK和/或rMSK生存期信息)来实现关于是执行完整EAP认证还是ERP重新认证的“主动式”确定。
[0034]参考图1，示出了能操作用于启用对无线链路建立的密钥生存期的访问的系统100的第一实施例。系统100包括移动设备(被标为STA) 110、接入点(被标为AP) 120和认证服务器(被标为AS) 130。应当注意，尽管图1描绘了单个接入点120，但系统100中可存在任何数目的接入点。
[0035]移动设备110可以是能操作用于经由无线网络发送和接收数据的电子设备。例如，移动设备Iio可以是无线电话、PDA、便携式计算设备、平板计算设备、便携式媒体播放器或其任何组合。
[0036]接入点120可以是无线网络的节点，诸如与W1-Fi网络相关联的IEEE802.1l(W1-Fi)接入点。接入点120可包括多个端口，其包括至少一个认证端口和至少一个话务端口。(诸)认证端口可被配置成向/从移动设备(例如，移动设备110)发送/接收与认证规程有关的消息。(诸)话务端口可被配置成向/从移动设备(例如，移动设备110)发送/接收数据话务消息。在一个实施例中，可为连接至接入点110的每一移动设备分配不同的认证和/或话务端口。例如，在图1的示例中，接入点120包括分配给移动设备110的两个认证端口(EAP认证端口 121和自举式ERP重新认证端口 123)以及一个话务端口(IP话务端口 122)。
[0037]认证服务器130可以是能与接入点120通信的服务器或其他计算设备。在特定实施例中，接入点120及认证服务器130可集成到单个计算设备中而不是如图1所解说的分立的计算设备。
[0038]在操作期间，接入点120可向移动设备110传送消息101，其中消息101指示接入点是否支持自举式ERP重新认证。例如，该消息可以是彳目标消息(例如，IEEE802.11 /[目标消息)、探测响应、控制消息(例如，管理帧)或其任何组合。信标/控制消息的解说性实施例参照图2来进一步描述。在特定实施例中，接入点110可在移动设备110进入或重新进入接入点120的覆盖区域时向移动设备110传送信标/控制消息101、在移动设备110处于接入点120的覆盖区域内时周期性地向移动设备110传送信标/控制消息101、或其任何组
入
口 ο
[0039]移动设备110和接入点120可执行EAP认证102。在特定实施例中，EAP认证还可包括在接入点120和认证服务器130之间的消息收发。例如，认证服务器130可生成并经由接入点120向移动设备110传送一个或多个密钥(例如，EMSK, DRSK, MSK等)和/或验证由移动设备110生成的一个或多个密钥(例如，EMSK, DRSK, MSK等)。在完成EAP认证102后，移动设备110可使用在EAP认证102期间创建的一个或多个密钥来建立与接入点120的经认证会话。移动设备110可使用经认证会话经由接入点120发送和接收数据分组
103。然而，移动设备110可能不知道在EAP认证102期间所建立的密钥将有效多长时间。
[0040]为了访问密钥生存期信息，移动设备110可在与EAP认证相关联的MSK期满以前与接入点120执行自举式ERP重新认证104 (如果接入点120在信标/控制消息101中指示了支持此类规程)。因此，即使移动设备尚未改变到新的接入点，图1的系统仍能够使自举式ERP重新认证得以执行。此外，不同于在认证期间中断话务流(例如，通过禁用话务端口)的系统，图1的接入点120可经由自举式ERP重新认证端口 123执行自举式ERP重新认证104而不中断(例如，在现有IP会话期间)经由IP话务端口 122的数据分组103的通信。将理解，因为移动设备110的完整EAP认证102已经完成，故而在自举式ERP重新认证104期间维持话务流不会造成安全性风险。然而，当经由EAP认证端口 121执行完整EAP认证时，可出于安全性目的而禁用IP话务端口 122。在特定实施例中，自举式ERP重新认证可以是隐性自举式ERP规程或根据请求评注(RFC)5296的§ 5.1而执行的显性自举式ERP。[0041 ] 在特定实施例中，移动设备110可在完整EAP认证102完成之后不久和/或响应于完整EAP认证102的完成而执行自举式ERP重新认证104。例如，移动设备110可响应于接收到对EAP认证102完成的指示(诸如，EAP成功消息)而执行自举式ERP重新认证104。ERP重新认证信令交换可被用来获取密钥生存期信息，但可能无法用于rMSK密钥更新。
[0042]在自举式ERP重新认证104期间，移动设备110可请求并接收密钥生存期信息。例如，移动设备110可请求并接收rRK生存期和rMSK生存期。当rRK生存期已期满时，移动设备110可主动执行完整EAP认证以生成新的rRK而不是尝试可能由于期满的rRK而无法成功的ERP重新认证。当rMSK生存期已经期满时，即使移动设备110尚未改变接入点，移动设备110仍可主动执行ERP重新认证以生成新的rMSK。
[0043]因此，图1的系统100可向移动设备110提供对密钥生存期信息的访问，从而移动设备110可减少不成功的ERP重新认证尝试次数，这可减少移动设备110的总无线链路建立时间。将理解，可通过修改移动设备和接入点操作而不需对EAP和ERP标准作出修改来实现图1的系统100。
[0044]为了解说，移动设备110可执行“完整”EAP认证，在此期间可建立MSK和rRK。例如，MSK可具有I小时的生存期而rRK可具有一个月的生存期。移动设备110可随后(例如，在MSK期满以前)执 行自举式ERP重新认证，在此期间可建立rMSK并且在此期间移动设备110可接收rRK和rMSK生存期信息。例如，rMSK可具有I小时的生存期。在rRK —个月的生存期期间，移动设备110可执行续展/延长rMSK的一个或多个快速认证/重新认证(例如，FILS)或建立新的I小时rMSK。然而，此类快速认证/重新认证在rRK —个月的生存期消逝之后可能会失败。有利地，因为移动设备110能够访问密钥生存期信息，因此移动设备110可响应于检测到rRK生存期已经消逝而制止执行快速认证/重新认证，并且可替代地执行“完整”EAP认证以生成新的rRK。
[0045]有利地，因为移动设备110能够访问密钥生存期信息，因此移动设备110可按机会主义方式主动地执行“完整”EAP认证以生成新的rRK。例如，在rRK生存期期满前，移动设备110可检测无数据活动时段(例如，在午夜时)。作为响应，移动设备110可发起完整EAP认证。因此，在上面的示例中，移动设备110可在一个月的rRK生存期期满前的晚上发起完整EAP认证。
[0046]图2是信标/控制消息201的特定实施例的图示。例如，信标/控制消息201可以是图1的信标/控制消息101。
[0047]如参照图1的信标/控制消息101所述的，信标/控制消息201可由接入点传送到移动设备以指示自举式ERP重新认证是否被该接入点支持。为了解说，信标/控制消息201可包括指示自举式ERP重新认证是否被支持的标志210或其他信息元素。[0048]在特定实施例中，信标/控制消息201还可指示是否支持某些IP地址类型和IP地址指派方法。将领会，因为本文中所公开的特定实施例集束了认证和IP地址指派，因此在信标/控制消息中包括此类指示可能是有益的。例如，信标/控制消息201可包括指示接入点是否支持网际协议(IP)版本4 (IPv4) IP地址的标志220、以及指示接入点是否支持IP版本6 (IPv6) IP地址的标志230。信标/控制消息201还可包括指示接入点是否支持动态主机配置协议(DHCP) IP地址指派的标志240、指示接入点是否支持带有快速提交的DHCP的IP地址指派的标志270、指示接入点是否支持IPv6的DHCP(DHCPv6) IP地址指派的标志250、以及指示接入点是否支持基于路由器请求(RS)/路由器广告(RA)的IP地址指派的标志260。信标控制消息201还可包括指示是否支持使用安全性证书的自举式操作的标志280。例如，安全性证书的使用可涉及移动设备和接入点或认证服务器之间的Diffie-Hellman密钥交换。在特定实施例中，标志210和标志280可被指示是否支持快速认证协议(其涉及自举式ERP和安全性证书的使用)的单个标志所替代。
[0049]图3是图1系统100中移动设备110的操作方法300的特定实施例的流程图。
[0050]方法300可包括:在302，在移动设备处从接入点接收消息。该消息(例如，信标消息或控制消息)可指示自举式ERP重新认证是否被接入点支持。该消息还可指示该接入点所支持的IP地址类型和IP地址指派方法。例如，在图1中，移动设备110可从接入点120接收信标/控制消息101。在解说性实施例中，信标/控制消息可包括如参照图2的信标/控制消息201所述的各种指示符标志或信息元素。
[0051]方法300还可包括:在304，在会话期间从移动设备向接入点传达至少一个消息。例如，在图1中，移动设备Iio可建立与接入点120的经认证会话，并且可在经认证会话期间向接入点传达一个或多个数据分组103。
[0052]继续到306，可与接入点执行自举式ERP重新认证。可在会话终止以前且响应于EAP认证完成的指示来执行该自举式ERP重新认证。例如，EAP成功消息可指示EAP认证的完成。在自举式ERP重新认证期间，移动设备可接收指示rRK生存期和rMSK生存期的一个或多个消息。例如，在图1中，移动设备110可执行自举式ERP重新认证104并且可在自举式ERP重新认证期间接收rRK生存期和rMSK生存期。
[0053]前进至308，可继续移动设备和接入点之间的会话。例如，在图1中，可在会话期间在移动设备110和接入点120之间传达附加的数据分组103。
[0054]在310，移动设备可基于rRK生存期是否已经消逝来确定是否执行EAP认证而不是ERP重新认证。移动设备还可基于rMSK生存期是否已经消逝来确定是否与接入点(即，同一接入点)执行ERP重新认证。
[0055]图4是图1系统100中接入点120的操作方法的特定实施例的流程图。
[0056]方法400可包括:在402，经由话务端口与移动设备传达数据分组。例如，在图1中，接入点120可经由IP话务端口 122与移动设备110传达数据分组103。
[0057]在404，可经由重新认证端口来进行对移动设备的自举式ERP重新认证而不中断经由话务端口的数据分组通信。在特定实施例中，因为重新认证端口可在成功完成完整EAP认证之后才打开，故而自举式ERP重新认证可在完整EAP认证之后才执行。此外，可在与完整EAP认证相关联的主会话密钥(MSK)期满前执行自举式ERP重新认证。例如，在图1中，接入点120可经由重新认证端口 123进行自举式ERP重新认证104而不中断经由IP话务端口 122的数据分组103的通信。
[0058]图5是能操作用于启用对无线链路建立的密钥生存期访问的系统500的第二实施例的图示。系统500可包括可通信地耦合到认证服务器530的移动设备510。例如，移动设备510可经由接入点(诸如，图1的接入点120)可通信地耦合到认证服务器530。
[0059]在操作期间，替代如参照图1-4所述的利用自举式ERP重新认证来请求密钥生存期信息，移动设备510可取而代之地在EAP认证期间请求密钥生存期信息。例如，移动设备510可向认证服务器530传送第一 EAP消息501，其中第一 EAP消息包括对重新认证根密钥(rRK)生存期的请求。在特定实施例中，第一 EAP消息501可以是EAP发起消息。
[0060]认证服务器530可接收第一 EAP消息501并且作为响应可发送第二 EAP消息502，其中第二 EAP消息包括所请求的rRK生存期。在特定实施例中，第二 EAP消息502可以是EAP结束消息。
[0061]图5的系统500可因此向移动设备510提供对密钥生存期信息的访问而不用执行如图1系统100中的自举式ERP重新认证规程。实现图5的系统500可涉及修改EAP标准以向一个或多个EAP消息添加rRK生存期请求/响应参数。
[0062]图6是启用对无线链路建立的密钥生存期(包括存储在移动设备的非易失性存储器处的使用密钥生存期)的访问的方法600的特定实施例的流程图。在解说性实施例中，方法600可由移动设备(诸如图1的移动设备110、图5的移动设备510、或图7的移动通信设备700)执行。
[0063]方法600可包括:在602,在移动设备处访问该移动设备的非易失性存储器以从该非易失性存储器读取rRK生存期值。例如，非易失性存储器可以是移动设备的订户身份模块(SM)并且可在移动设备的预设期间(例如，在上电和/或初始化期间)被访问。
[0064]继续到604，移动设备可基于rRK生存期是否已经消逝来确定是执行EAP认证还是执行自举式ERP重新认证。在606，移动设备可响应于确定自举式ERP重新认证不成功而改变rRK生存期的值。例如，如果移动设备的SIM存储为10分钟的“默认” rRK生存期值，则移动设备可在存储器(例如，随机存取存储器(RAM))中存储为10分钟的rRK生存期值。然而，如果在10分钟生存期内的ERP重新认证由于rRK期满而不成功，则移动设备可减小存储器中的rRK生存期值以试图改进rRK生存期值以及避免额外的不成功ERP重新认证。
[0065]因此，图6的方法600可向移动设备提供可用于确定是发起完整EAP认证还是发起自举式ERP重新认证的密钥生存期信息。将领会，可实现图6的方法600而不修改EAP/ERP标准且不修改接入点/认证服务器行为。实现图6的方法600可涉及移动设备和/或移动设备SIM的预配置。
[0066]图7是移动通信设备700的框图。在一个实施例中，移动通信设备700或其组件包括或被包括于图1的移动设备110、图5的移动设备510或其任何组合。此外，图3和图6中所述方法的全部或部分可在移动通信设备700处执行或由移动通信设备700执行。移动通信设备700包括耦合到存储器732的处理器710 (诸如，数字信号处理器(DSP))。
[0067]移动通信设备700可包括被配置成容纳SM772的SM接口 770。例如，SM接口770可以是SM卡连接器，其包括具有SIM卡容纳空间和用于接纳所容纳的SIM卡的导电端子的多个连通插座的本体。可通过导电端子和插座与SM卡进行电信令联系。示例接口可包括串行或并行(例如，7引脚或8引脚)连接。此外，多个SIM卡尺寸可被容适(例如，全尺寸、小型SIM或微型SIM)。
[0068]图7还示出耦合至处理器710以及显示器728的显示控制器726。编码器/解码器(CODEC) 734也可耦合至处理器710。扬声器736和话筒738可被耦合至C0DEC734。图7还指示了无线控制器740可被耦合至处理器710，其中无线控制器740与无线天线742通?目。
[0069]存储器732可以是存储指令760的非瞬态有形计算机可读存储介质。指令760可由处理器710执行以执行本文中所述的一个或多个功能或方法(诸如，参照图3和图6所述的方法)。
[0070]在特定实施例中，SM772可存储密钥生存期信息774。例如，密钥生存期信息774可以是“默认”rRK生存期值，如参照图6所述的。此外，如参照图6所述，密钥生存期信息774可在预设期间被复制到存储器732作为密钥生存期信息762。
[0071]在特定实施例中，处理器710、显示控制器726、存储器732、C0DEC734、以及无线控制器740被包括在系统级封装或片上系统设备722中。在特定实施例中，输入设备730和电源744被耦合至片上系统设备722。此外，在特定实施例中，如图7中所解说的，显示设备728、输入设备730、扬声器736、话筒738、无线天线742、电源744、SIM772和SIM接口 770可在片上系统设备722外部。然而，显示设备728、输入设备730、扬声器736、话筒738、无线天线742、电源744、SM772和SM接口 770中的每一者可耦合至片上系统设备722的组件，诸如接口或控制器。
[0072]在特定实施例中，图7的移动通信设备700的一个或多个组件或对应组件可被包括在接入点和/或认证服务器中。例如，无线网络的接入点(例如，图1的接入点120)可包括一个或多个天线(例如，可操作用于传达数据分组和与EAP认证及ERP重新认证相关联的消息)、处理器、存储有可由处理器执行以执行图4的方法400的指令的存储器。作为另一个示例，无线网络的认证服务器(例如，图1的认证服务器130或图5的认证服务器530)可包括处理器和存储可由处理器执行以生成和/或验证与EAP认证和/或ERP重新认证相关联的密钥的指令的存储器。
[0073]结合所描述的实施例，一种设备可包括用于与移动设备传达数据分组的装置。例如，该用于传达的装置可包括图1的IP话务端口 122、被配置成传达数据的另一设备或模块(例如，网络接口、控制器和/或处理器)、或其任何组合。
[0074]该设备还可包括用于进行移动设备的自举式ERP重新认证而不中断经由该用于传达的装置的数据分组通信的装置。例如，用于进行自举式ERP重新认证的装置可包括图1的自举式ERP重新认证端口 123、被配置成进行自举式ERP重新认证的另一设备或模块(例如，处理器)、或其任何组合。
[0075]该设备可进一步包括用于执行移动设备的EAP认证的装置，其中该用于执行的装置不同于该用于进行的装置。例如，该用于执行EAP认证的装置可包括图1的EAP认证端口 121、被配置成执行EAP认证的另一设备或模块(例如，处理器)、或其任何组合。
[0076]本领域技术人员将进一步领会，结合本文所公开的实施例来描述的各种解说性逻辑框、配置、模块、电路、和算法步骤可实现为电子硬件、计算机软件或这两者的组合。各种解说性组件、框、配置、模块、电路、和步骤已经在上文以其功能性的形式作了一般化描述。此类功能性是被实现为硬件还是软件取决于具体应用和施加于整体系统的设计约束。技术人员可针对每种特定应用以不同方式来实现所描述的功能性，但此类实现决策不应被解读为致使脱离本公开的范围。
[0077]结合本文所公开的实施例描述的方法或算法的各个步骤可直接用硬件、由处理器执行的软件模块或两者的组合来实现。软件模块可驻留在随机存取存储器(RAM)、闪存、只读存储器(ROM)、可编程只读存储器(PROM)、可擦式可编程只读存储器(EPROM)、电可擦式可编程只读存储器(EEPROM)、寄存器、硬盘、可移动盘、压缩盘只读存储器(CD-ROM)或本领域中所知的任何其他形式的非瞬态存储介质中。示例性存储介质耦合到处理器以使得该处理器能从该存储介质读取信息以及向该存储介质写入信息。替换地，存储介质可以被整合到处理器。处理器和存储介质可驻留在专用集成电路(ASIC)中。ASIC可驻留在计算设备或用户终端(例如移动电话或PDA)中。在替换方案中，处理器和存储介质可作为分立组件驻留在计算设备或用户终端中。
[0078]提供前面对所公开的实施例的描述是为了使本领域技术人员皆能制作或使用所公开的实施例。对这些实施例的各种修改对于本领域技术人员而言将是显而易见的，并且本文中定义的原理可被应用于其他实施例而不会脱离本公开的范围。因此，本公开并非旨在被限定于本文中公开的实施例，而是应被授予与如由所附权利要求定义的原理和新颖性特征一致的最广的可能范围。
【权利要求】
1.一种方法，包括: 在移动设备处从接入点接收至少一个消息； 在接收所述至少一个消息之后，在所述移动设备处执行可扩展认证协议(EAP)认证；以及 在执行所述EAP认证之后，在与所述EAP认证相关联的主会话密钥(MSK)期满前在所述移动设备处执行自举式EAP重新认证协议(ERP)重新认证。
2.如权利要求1所述的方法，其特征在于，进一步包括在与所述接入点的会话期间从所述移动设备向所述接入点传达至少一个第二消息，其中在所述会话终止前执行所述自举式ERP重新认证。
3.如权利要求1所述的方法，其特征在于，进一步包括在所述自举式ERP重新认证期间接收重新认证根密钥(rRK)生存期和重新认证MSK(rMSK)生存期。
4.如权利要求3所述的方法，其特征在于，进一步包括响应于确定所述rRK生存期已经消逝而执行EAP认证而非ERP重新认证。
5.如权利要求3所述的方法，其特征在于，进一步包括响应于确定所述rMSK生存期已经消逝而与所述接入点执行 ERP重新认证。
6.一种方法，包括: 在移动设备处执行与接入点的可扩展认证协议(EAP)认证；以及 在所述移动设备处执行自举式EAP重新认证协议(ERP)重新认证，其中响应于所述EAP认证完成的指示而执行所述自举式ERP重新认证。
7.如权利要求6所述的方法，其特征在于，进一步包括接收指示所述EAP认证完成的EAP成功消息。
8.如权利要求6所述的方法，其特征在于，进一步包括在所述自举式ERP重新认证期间接收重新认证根密钥(rRK)生存期和重新认证主会话密钥(rMSK)生存期。
9.一种方法，包括: 在接入点处执行移动设备的自举式可扩展认证协议(EAP)重新认证协议(ERP)重新认证而不中断与所述移动设备的数据分组流。
10.如权利要求9所述的方法，其特征在于，进一步包括在执行所述自举式ERP重新认证以前向所述移动设备发送自举式ERP重新认证被所述接入点支持的指示。
11.如权利要求10所述的方法，其特征在于，所述指示包括消息中的标志，所述消息包括信标消息、探测响应、控制消息或其任何组合。
12.如权利要求11所述的方法，其特征在于，所述消息进一步指示所述接入点是否支持网际协议(IP)版本4 (IPv4) IP地址、IP版本6 (IPv6) IP地址、动态主机配置协议(DHCP)IP地址指派、IPv6的DHCP (DHCPv6) IP地址指派、基于路由器请求(RS)/路由器广告(RA)的IP地址指派，或其任何组合。
13.一种接入点设备，包括: 话务端口，其被配置成与移动设备传达数据分组；以及 第一认证端口，其被配置成进行所述移动设备的自举式可扩展认证协议(EAP)重新认证协议(ERP)重新认证而不中断经由所述话务端口的数据分组的通信。
14.如权利要求13所述的接入点设备，其特征在于，进一步包括第二认证端口，其不同于所述第一认证端口并且被配置成执行所述移动设备的EAP认证。
15.—种方法,包括: 从移动设备传送包括对重新认证根密钥(rRK)生存期的请求的第一可扩展认证协议(EAP)消息；以及 在所述移动设备处接收包括所请求的rRK生存期的第二 EAP消息。
16.如权利要求15所述的方法，其特征在于，所述第一EAP消息包括EAP发起消息而所述第二 EAP消息包括EAP结束消息。
17.—种方法,包括: 在认证服务器处接收包括对重新认证根密钥(rRK)生存期的请求的第一可扩展认证协议(EAP)消息；以及 从所述认证服务器传送包括所请求的rRK生存期的第二 EAP消息。
18.如权利要求17所述的方法，其特征在于，所述第一EAP消息包括EAP发起消息而所述第二 EAP消息包括EAP结束消息。
19.一种方法,包括: 在移动设备处基于所存储的重新认证根密钥(rRK)生存期是否已经消逝来确定是执行可扩展认证协议(EAP)认 证还是执行自举式EAP重新认证协议(ERP)重新认证，其中所述rRK生存期被存储在所述移动设备中的非易失性存储器内。
20.如权利要求19所述的方法，其特征在于，进一步包括在所述移动设备的预设期间访问所述非易失性存储器。
21.如权利要求20所述的方法，其特征在于，所述非易失性存储器包括订户身份模块(SIM)，且所述方法进一步包括在所述预设期间从所述SIM读取所述rRK生存期的值。
22.如权利要求19所述的方法，其特征在于，进一步包括响应于确定所述自举式ERP重新认证不成功而改变所述rRK生存期的值。
23.—种设备,包括: 用于与移动设备传达数据分组的装置；以及 用于进行所述移动设备的自举式可扩展认证协议(EAP)重新认证协议(ERP)重新认证而不中断经由所述用于传达的装置的数据分组通信的装置。
24.如权利要求23所述的设备，其特征在于，进一步包括用于执行所述移动设备的EAP认证的装置，其中所述用于执行的装置不同于所述用于进行的装置。
25.—种包括指令的非瞬态处理器可读介质，所述指令当由处理器执行时使所述处理器: 从移动设备传送包括对重新认证根密钥(rRK)生存期的请求的第一可扩展认证协议(EAP)消息；以及 在所述移动设备处接收包括所请求的rRK生存期的第二 EAP消息。
【文档编号】H04W12/06GK103999495SQ201280054661
【公开日】2014年8月20日 申请日期:2012年11月8日 优先权日:2011年11月8日
【发明者】G·切瑞安, A·帕拉尼格朗德, S·P·阿伯拉翰 申请人:高通股份有限公司