KR20170072206A - 인증 상호운용성을 위한 방법들 및 시스템들 - Google Patents

인증 상호운용성을 위한 방법들 및 시스템들 Download PDF

Info

Publication number
KR20170072206A
KR20170072206A KR1020177010363A KR20177010363A KR20170072206A KR 20170072206 A KR20170072206 A KR 20170072206A KR 1020177010363 A KR1020177010363 A KR 1020177010363A KR 20177010363 A KR20177010363 A KR 20177010363A KR 20170072206 A KR20170072206 A KR 20170072206A
Authority
KR
South Korea
Prior art keywords
authentication
access point
key
service set
basic service
Prior art date
Application number
KR1020177010363A
Other languages
English (en)
Other versions
KR102341270B1 (ko
Inventor
수 범 이
조지 체리안
아브히? 프라모드 파틸
아브히™r 프라모드 파틸
산토쉬 아브라함
조우니 멀린
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20170072206A publication Critical patent/KR20170072206A/ko
Application granted granted Critical
Publication of KR102341270B1 publication Critical patent/KR102341270B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

디바이스를 인증하기 위한 시스템들, 방법들, 및 컴퓨터 판독가능 매체들은, 제 2 디바이스에서, 디바이스에 대한 제 1 인증 프로토콜 재인증 응답을 수신하는 단계 ― 인증 응답은 재인증 마스터 세션 키(rMSK)를 포함함 ―, 제 2 디바이스에서, 재인증 마스터 세션 키에 기초하여 제 2의 제 1 인증 프로토콜 재인증 응답을 제 1 액세스 포인트에 송신하는 단계, 제 2 디바이스에서, 재인증 마스터 세션 키에 기초하여 제 1 쌍 방식 마스터 키(PMK)를 생성하는 단계, 제 2 디바이스에서, 제 1 쌍 방식 마스터 키를 포함하도록 키 메시지를 생성하는 단계, 및 제 2 디바이스에서, 제 2 액세스 포인트에 키 메시지를 송신하는 단계의 방법을 수행한다.

Description

인증 상호운용성을 위한 방법들 및 시스템들{METHODS AND SYSTEMS FOR AUTHENTICATION INTEROPERABILITY}
[0001] 본 출원은 일반적으로 무선 통신 시스템들에 관한 것으로, 더 구체적으로는, 무선 통신 시스템들 내에서의 인증을 위한 시스템들, 방법들, 및 디바이스들에 관한 것이다.
[0002] Wi-Fi 네트워킹 애플리케이션들에서, 보안 특성들은 더 강건하고 더 양호한 통합된 보안 툴들을 제공하도록 점차 발전되어 왔다. IEEE(Institute of Electrical and Electronics Engineers)에 의해 반포된 802.11의 확장가능 인증 프로토콜(EAP; Extensible Authentication Protocol) 표준에서, "4-웨이 핸드셰이크(4-Way handshake)"로 지칭되는 메커니즘을 포함하는 인증 기술이 사용될 수 있다. 4-웨이 핸드셰이크 메커니즘에서, 일반적으로 "스테이션"으로 지칭되는 클라이언트 디바이스, 이를테면 랩톱 컴퓨터, 스마트폰, 또는 다른 클라이언트 디바이스는 일반적으로 "액세스 포인트"로 지칭되는 무선 라우터 또는 다른 디바이스와 협상하여 안전한 네트워킹 세션을 설정한다. 세션 동안, 스테이션은 인터넷 또는 다른 네트워크들로의 연결을 탐색할 수 있다.
[0003] 4-웨이 핸드셰이크 접근법에서, 스테이션 및 액세스 포인트는 일련의 4개의 정의된 메시지들을 교환하며, 이에 기초하여 상호 인증이 수행될 수 있다. 액세스 포인트는 RADIUS(remote authentication dial in user service) 서버 또는 다른 인증 서버, 플랫폼, 또는 서비스와 상호작용하여, 4-웨이 핸드셰이크 절차를 실행하기 위해 스테이션 및 액세스 포인트에 의해 사용되는 공유된 시크릿(secret)들 및/또는 공개(public) 및 개인(private) 키들의 세트를 설정할 수 있다. 4-웨이 핸드셰이크 절차의 일부로서, 스테이션 및 액세스 포인트는 쌍 방식 마스터 키(PMK; pair Wise master key)를 포함할 수 있는 공유된 시크릿에 액세스할 수 있다. 스테이션과 액세스 포인트 간에 교환되는 메시지들은, 추가적인 암호화 키 계층들에 대한 생성자로서 쌍-방식 마스터 키를 사용하여 구성될 수 있는 추가적인 세트들의 공개 및 개인 키들(트랜션트 쌍 방식 키(PTK; transient pairwise key)를 포함함)을 사용하여 인코딩될 수 있다.
[0004] 본 발명의 시스템들, 방법들 및 디바이스들 각각은 몇몇 양상들을 갖고, 이 양상들 중 어떠한 단일 양상도 본 발명의 바람직한 속성들을 단독으로 담당하지 않는다. 후속하는 청구항들에 의해 표현되는 바와 같은 본 발명의 범위를 제한하지 않으면서, 이제 일부 특징들이 간략하게 논의될 것이다. 이 논의를 고려한 후, 그리고 특히, "상세한 설명"으로 명명된 섹션을 읽은 후, 본 발명의 특징들이, 무선 네트워크의 액세스 포인트들과 스테이션들 사이에서 개선된 통신들을 포함하는 이점들을 어떻게 제공하는지를 이해할 것이다.
[0005] 본 개시내용의 몇몇 양상들은 2개의 상이한 인증 방법들의 적어도 부분들 간의 상호운용성을 제공한다. 예를 들어, 몇몇 양상들에서, 제 1 인증 방법은 제 2 인증 방법에 비해 몇몇 이득들을 제공할 수 있다. 그러나, 제 1 인증 방법이 아직 배치되어 있지 않은 반면 제 2 인증 방법은 광범위하게 배치될 수 있다. 부가적으로, 제 1 인증 방법의 배치는 비용 및 다른 팩터들로 인해 지연될 수 있다.
[0006] 따라서, 제 2 인증 방법을 지원하기 위해 무선 네트워크 내에 이미 배치되어 있는 네트워크 기반구조의 많은 부분을 활용하는 한편, 제 1 인증 방법의 선택 부분들을 무선 네트워크 기반구조로 이식(porting)하는 것이 유리할 수 있다. 그러한 접근법은, 제 1 인증 방법의 모든 컴포넌트들이 무선 네트워크에 배치되었으면 달성될 수 있는 것보다 더 빠르게 제 1 인증 방법의 선택 부분들의 배치를 제공할 수 있다. 제 1 인증 방법의 선택 부분들만의 배치는 그럼에도 불구하고 하나 또는 그 초과의 양상들에서 네트워크 성능을 개선할 수 있다. 이러한 성능 개선은, 개시된 방법들, 시스템들, 및 컴퓨터 판독가능 매체를 활용함으로써, 제 1 인증 방법의 전체 배치와 연관된 타임라인과 비교할 경우 더 신속하게 실현될 수 있다.
[0007] 본 개시내용의 일 양상은 제 1 디바이스를 인증하기 위한 방법을 제공한다. 방법은, 제 2 디바이스에서, 제 1 디바이스에 대한 제 1 인증 프로토콜 재인증 응답을 수신하는 단계 ― 재인증 응답은 재인증 마스터 세션 키를 포함함 ―, 제 2 디바이스에서, 재인증 마스터 세션 키에 기초하여 제 2의 제 1 인증 프로토콜 재인증 응답을 제 1 액세스 포인트에 송신하는 단계, 제 2 디바이스에서, 재인증 마스터 세션 키에 기초하여 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 생성하는 단계(fast basic service set transition second level pairwise master key), 제 2 디바이스에서, 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 포함하도록 키 메시지를 생성하는 단계, 및 제 2 디바이스에서, 제 2 액세스 포인트에 키 메시지를 송신하는 단계를 포함한다.
[0008] 몇몇 양상들에서, 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 생성하는 단계는, 재인증 마스터 세션 키에 기초하여 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키를 생성하는 단계, 및 제 1 레벨 쌍 방식 마스터 키에 기초하여 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 생성하는 단계를 포함한다.
[0009] 몇몇 양상들에서, 방법은 또한, 제 2 디바이스에서, 제 1 액세스 포인트의 하나 또는 그 초과의 속성들 및 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키에 기초하여 제 1 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 생성하는 단계, 및 제 2 디바이스에서, 제 1 액세스 포인트에 대한 쌍 방식 마스터 키를 포함하도록 제 2 의 제 1 인증 프로토콜 재인증 응답을 생성하는 단계를 포함한다. 몇몇 양상들에서, 방법은, 제 2 디바이스에서, 제 2 액세스 포인트로부터 키 요청 메시지를 수신하는 단계, 및 제 2 디바이스에 의해, 키 요청 메시지의 수신에 대한 응답으로 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 제 2 액세스 포인트에 송신하는 단계를 포함한다. 몇몇 양상들에서, 제 2 액세스 포인트는, 제 1 디바이스와의 제 2 인증 프로토콜 교환에 대한 응답으로 제 2 디바이스에 키 요청 메시지를 송신한다. 몇몇 양상들에서, 제 1 인증 프로토콜은 확장가능 인증 프로토콜 재인증 프로토콜이고, 제 2 인증 프로토콜은 고속 기본 서비스 세트 트랜지션 인증이다.
[0010] 개시된 다른 양상은 디바이스를 인증하기 위한 장치이다. 장치는, 디바이스에 대한 제 1 인증 프로토콜 재인증 응답을 수신하도록 구성되는 수신기 ― 재인증 응답은 재인증 마스터 세션 키를 포함함 ―, 재인증 마스터 세션 키에 기초하여 제 2의 제 1 인증 프로토콜 재인증 응답을 제 1 액세스 포인트에 송신하도록 구성되는 송신기, 및 재인증 마스터 세션 키에 기초하여 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 생성하고 그리고 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 포함하도록 제 2 인증 프로토콜 재인증 응답 메시지를 생성하도록 구성되는 프로세서를 포함하며, 여기서, 송신기는 추가로, 제 2 액세스 포인트에 제 2 인증 프로토콜 재인증 응답 메시지를 송신하도록 구성된다.
[0011] 몇몇 양상들에서, 프로세서는 추가로, 재인증 마스터 세션 키에 기초하여 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키를 생성함으로써 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 생성하고, 그리고 제 2 액세스 포인트의 하나 또는 그 초과의 속성들 및 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키에 기초하여 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 생성하도록 구성된다.
[0012] 몇몇 양상들에서, 프로세서는 추가로, 제 1 액세스 포인트의 하나 또는 그 초과의 속성들 및 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키에 기초하여 제 1 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 생성하고 그리고 제 1 액세스 포인트에 대한 쌍 방식 마스터 키를 포함하도록 제 2 의 제 1 인증 프로토콜 재인증 응답을 생성하도록 구성된다. 장치의 몇몇 양상들에서, 수신기는 추가로, 제 1 액세스 포인트로부터 디바이스에 대한 제 1 인증 프로토콜 재인증 요청을 수신하도록 구성되고, 여기서, 송신기는 추가로, 수신기가 제 1 액세스 포인트로부터 제 1 인증 프로토콜 재인증 요청을 수신하는 것에 대한 응답으로 디바이스에 대한 제 1 인증 프로토콜 재인증 요청을 송신하도록 구성된다. 몇몇 양상들에서, 제 1 인증 프로토콜은 확장가능 인증 프로토콜 재인증 프로토콜이고, 제 2 인증 프로토콜은 고속 기본 서비스 세트 트랜지션 인증이다.
[0013] 몇몇 양상들에서, 수신기는 추가로, 제 2 액세스 포인트로부터 키 요청 메시지를 수신하도록 구성되고, 송신기는 추가로, 키 요청 메시지의 수신에 대한 응답으로 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 제 2 액세스 포인트에 송신하도록 구성된다.
[0014] 개시된 다른 양상은 디바이스에 의한 네트워크를 통한 인증의 방법이다. 방법은, 제 1 액세스 포인트로부터 네트워크 메시지를 수신하는 단계, 네트워크 메시지에 기초하여, 제 1 액세스 포인트와 제 1 인증 프로토콜을 통해 인증을 수행할지 또는 제 2 인증 프로토콜을 통해 인증을 수행할지를 결정하는 단계; 및 결정된 인증 프로토콜을 사용하여 제 1 액세스 포인트와 인증을 수행하는 단계를 포함한다. 몇몇 양상들에서, 네트워크 메시지는 모빌리티(mobility) 도메인 식별자를 포함하고, 제 1 액세스 포인트와 제 1 인증 프로토콜을 통해 인증을 수행할지 또는 제 2 인증 프로토콜을 통해 인증을 수행할지를 결정하는 단계는 모빌리티 도메인 식별자에 기초한다. 몇몇 양상들에서, 네트워크 메시지는 액세스 포인트에 의해 지원되는 인증 프로토콜들의 하나 또는 그 초과의 표시자들을 포함하고, 제 1 액세스 포인트와 제 1 인증 프로토콜을 통해 인증을 수행할지 또는 제 2 인증 프로토콜을 통해 인증을 수행할지를 결정하는 단계는 하나 또는 그 초과의 표시자들에 기초한다. 몇몇 양상들에서, 제 1 인증 프로토콜은 확장가능 인증 프로토콜-재인증 프로토콜이고, 제 2 인증 프로토콜은 고속 기본 서비스 세트 트랜지션 인증이다. 몇몇 양상들에서, 방법은 또한, 제 1 액세스 포인트에 대한 제 1 모빌리티 도메인 식별자를 표시하는 메시지를 제 1 액세스 포인트로부터 수신하는 단계, 제 2 모빌리티 도메인 식별자를 갖는 제 2 액세스 포인트와 인증을 수행하는 단계, 제 1 모빌리티 도메인 식별자가 제 2 모빌리티 도메인 식별자와 상이한 것에 대한 응답으로 확장가능 인증 프로토콜-재인증 프로토콜을 사용하여 제 1 액세스 포인트와 인증을 수행하는 단계를 포함한다.
[0015] 몇몇 양상들에서, 방법은, 제 1 모빌리티 도메인 식별자가 제 2 모빌리티 도메인 식별자에 매칭(match)하는 것에 대한 응답으로 고속 기본 서비스 세트 트랜지션 인증 프로토콜을 사용하여 제 1 액세스 포인트와 인증을 수행하는 단계를 포함한다. 몇몇 양상들에서, 제 2 액세스 포인트를 통한 인증은 확장가능 인증 프로토콜 재인증 프로토콜을 사용하고, 방법은 추가로, 제 2 액세스 포인트와의 확장가능 인증 프로토콜 재인증 프로토콜 교환에 기초하여 재인증 마스터 세션 키를 결정하는 단계, 재인증 마스터 세션 키로부터 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키를 유도(derive)하는 단계, 제 2 액세스 포인트의 하나 또는 그 초과의 속성들 및 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키에 기초하여 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 유도하는 단계, 및 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키에 기초하여 제 2 액세스 포인트와 통신하는 단계를 포함한다. 몇몇 양상들에서, 방법은 또한, 제 1 액세스 포인트의 하나 또는 그 초과의 속성들 및 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키에 기초하여 제 2 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 유도하는 단계; 및 제 2 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키에 기초하여 제 1 액세스 포인트와 통신하는 단계를 포함한다.
[0016] 몇몇 양상들에서, 방법은 또한, 제 1 액세스 포인트와 디피-헬만(diffie-hellman) 키 교환을 수행하는 단계, 디피-헬만 키 교환 및 제 2 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키에 기초하여 쌍 방식 트랜션트 키를 유도하는 단계, 및 유도된 쌍 방식 트랜션트 키에 기초하여 제 1 액세스 포인트와 통신하는 단계를 포함한다.
[0017] 개시된 다른 양상은 디바이스에 의한 네트워크를 통한 인증을 위한 장치이다. 장치는, 제 1 액세스 포인트로부터 네트워크 메시지를 수신하도록 구성되는 수신기, 네트워크 메시지에 기초하여, 제 1 액세스 포인트와 제 1 인증 프로토콜을 통해 인증을 수행할지 또는 제 2 인증 프로토콜을 통해 인증을 수행할지를 결정하고 그리고 결정된 인증 프로토콜을 사용하여 제 1 액세스 포인트와 인증을 수행하도록 구성되는 프로세서를 포함한다. 몇몇 양상들에서, 네트워크 메시지는 모빌리티 도메인 식별자를 포함하고, 프로세서는 추가로, 모빌리티 도메인 식별자에 기초하여, 제 1 액세스 포인트와 제 1 인증 프로토콜을 통해 인증을 수행할지 또는 제 2 인증 프로토콜을 통해 인증을 수행할지를 결정하도록 구성된다. 몇몇 양상들에서, 네트워크 메시지는 액세스 포인트에 의해 지원되는 인증 프로토콜들의 하나 또는 그 초과의 표시자들을 포함하고, 프로세서는 추가로, 하나 또는 그 초과의 표시자들에 기초하여, 제 1 액세스 포인트와 제 1 인증 프로토콜을 통해 인증을 수행할지 또는 제 2 인증 프로토콜을 통해 인증을 수행할지를 결정하도록 구성된다. 몇몇 양상들에서, 제 1 인증 프로토콜은 확장가능 인증 프로토콜-재인증 프로토콜이고, 제 2 인증 프로토콜은 고속 기본 서비스 세트 트랜지션 인증이다. 몇몇 양상들에서, 프로세서는 추가로, 제 1 액세스 포인트에 대한 제 1 모빌리티 도메인 식별자를 표시하는 메시지를 제 1 액세스 포인트로부터 수신하고, 제 2 모빌리티 도메인 식별자를 갖는 제 2 액세스 포인트와 인증을 수행하고, 제 1 모빌리티 도메인 식별자가 제 2 모빌리티 도메인 식별자와 상이한 것에 대한 응답으로 확장가능 인증 프로토콜-재인증 프로토콜을 사용하여 제 1 액세스 포인트와 인증을 수행하도록 구성된다.
[0018] 몇몇 양상들에서, 프로세서는 추가로, 제 1 모빌리티 도메인 식별자가 제 2 모빌리티 도메인 식별자에 매칭하는 것에 대한 응답으로 고속 기본 서비스 세트 트랜지션 인증 프로토콜을 사용하여 제 1 액세스 포인트와 인증을 수행하도록 구성된다. 몇몇 양상들에서, 제 2 액세스 포인트를 통한 인증은 확장가능 인증 프로토콜 재인증 프로토콜을 사용하고, 프로세서는 추가로, 제 2 액세스 포인트와의 확장가능 인증 프로토콜 재인증 프로토콜 교환에 기초하여 재인증 마스터 세션 키를 결정하고, 재인증 마스터 세션 키로부터 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키를 유도하고, 제 2 액세스 포인트의 하나 또는 그 초과의 속성들 및 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키에 기초하여 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 유도하고, 그리고 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키에 기초하여 제 2 액세스 포인트와 통신하도록 구성된다.
[0019] 몇몇 양상들에서, 프로세서는 추가로, 제 1 액세스 포인트의 하나 또는 그 초과의 속성들 및 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키에 기초하여 제 2 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 유도하고 그리고 제 2 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키에 기초하여 제 1 액세스 포인트와 통신하도록 구성된다. 몇몇 양상들에서, 프로세서는 추가로, 제 1 액세스 포인트와 디피-헬만 키 교환을 수행하고, 디피-헬만 키 교환 및 제 2 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키에 기초하여 쌍 방식 트랜션트 키를 유도하고, 그리고 유도된 쌍 방식 트랜션트 키에 기초하여 제 1 액세스 포인트와 통신하도록 구성된다.
[0020] 도 1은 본 개시내용의 양상들이 이용될 수 있는 예시적인 무선 통신 시스템을 도시한다.
[0021] 도 2는, 도 1의 무선 디바이스들 중의 하나 또는 그 초과의 무선 디바이스들 중 일 무선 디바이스의 예시적인 실시예를 예시한다.
[0022] 도 3은 확장형 인증 프로토콜(EAP; extended authentication protocol) 인증 및 확장형 인증 프로토콜 재인증 프로토콜(EAP-RP; extended authentication protocol reauthentication protocol) 인증 동안의 메시지 흐름들을 예시한다.
[0023] 도 4는 고속 기본 서비스 세트(BSS; basic service set) 트랜지션(FT; transition) 인증 동안의 메시지 흐름들을 예시한다.
[0024] 도 5는 인증 프로세스의 일 실시예 동안의 무선 네트워크 컴포넌트들 간의 메시지 흐름들을 예시한다.
[0025] 도 6은 인증 프로세스의 다른 실시예에서의 무선 네트워크 컴포넌트들 간의 메시지 흐름들을 예시한다.
[0026] 도 7은 인증 프로세스의 다른 실시예에서의 무선 네트워크 컴포넌트들 간의 메시지 흐름들을 예시한다.
[0027] 도 8은 인증 프로세스의 다른 실시예에서의 무선 네트워크 컴포넌트들 간의 메시지 흐름들을 예시한다.
[0028] 도 9는, 어떠한 로컬 ER 서버도 존재하지 않는 경우에 인증 프로세스의 다른 실시예에서의 무선 네트워크 컴포넌트들 간의 메시지 흐름들을 예시한다.
[0029] 도 10은, 제 1 인증 프로토콜 및 제 2 인증 프로토콜로부터의 인증 메시지의 사용을 도시하는 메시지 시퀀스 도면이다.
[0030] 도 11은 인증 방법에서의 키 계층을 도시한다.
[0031] 도 12는 디바이스를 인증하는 방법의 흐름도이다.
[0032] 도 13은 디바이스를 인증하는 방법의 흐름도이다.
[0033] 신규한 시스템들, 장치들 및 방법들의 다양한 양상들이 첨부된 도면들을 참조하여 아래에서 더 완전히 설명된다. 그러나, 본 개시내용은 많은 상이한 형태들로 구현될 수 있고, 본 개시내용 전반에 걸쳐 제시되는 임의의 특정 구조 또는 기능으로 제한되는 것으로 해석되어서는 안된다. 오히려, 이들 양상들은, 본 개시내용이 철저하고 완전해질 것이도록, 그리고 당업자들에게 본 개시내용의 범위를 완전히 전달하도록 제공된다. 본원의 교시들에 기초하여, 당업자는, 본 개시내용의 범위가, 본 발명의 임의의 다른 양상과는 독립적으로 구현되는 또는 임의의 다른 양상과 결합되어 구현되는지에 관계없이, 본원에 개시된 신규한 시스템들, 장치들 및 방법들의 임의의 양상을 커버하도록 의도됨을 인식해야 한다. 예를 들어, 본 명세서에서 기술된 임의의 수의 양상들을 사용하여 장치가 구현될 수 있거나 방법이 실시될 수 있다. 부가하여, 본 발명의 범위는, 본원에 기재된 본 발명의 다양한 양상들에 부가하여 또는 그 이외의 다른 구조, 기능 또는 구조 및 기능을 사용하여 실시되는 그러한 장치 또는 방법을 커버하도록 의도된다. 본원에서 개시되는 임의의 양상은 청구항의 하나 또는 그 초과의 엘리먼트들에 의해 구현될 수 있음이 이해되어야 한다.
[0034] 특정한 양상들이 본원에서 설명되지만, 이들 양상들의 많은 변형들 및 치환들은 본 개시내용의 범위 내에 속한다. 선호되는 양상들의 몇몇 이익들 및 이점들이 언급되지만, 본 개시내용의 범위는 특정한 이점들, 사용들, 또는 목적들로 제한되도록 의도되지 않는다. 오히려, 본 개시내용의 양상들은, 상이한 무선 기술들, 시스템 구성들, 네트워크들 및 송신 프로토콜들에 광범위하게 적용가능하도록 의도되고, 이들 중 일부는, 선호되는 양상들의 하기 설명 및 도면들에서 예로서 예시된다. 상세한 설명 및 도면들은 제한적이기 보다는 단지 본 개시 내용의 예시이며, 본 개시내용의 범위는 첨부된 청구항들 및 그들의 등가물들에 의해 정의된다.
[0035] 도 1은 본 개시내용의 양상들이 이용될 수 있는 예시적인 무선 통신 시스템(100)을 도시한다. 무선 통신 시스템(100)은 액세스 포인트(AP)(104a)를 포함하며, 액세스 포인트(104a)는 기본 서비스 세트(BSS)(107a)에서 복수의 스테이션(STA)들(106a-106d)과 통신한다. 무선 통신 시스템(100)은 BSS(107b)에서 통신할 수 있는 제 2 AP(104b)를 더 포함할 수 있다. 하나 또는 그 초과의 STA들(106)은 예컨대 열차(120)를 통해 BSS들(107a-107b) 내에서 그리고/또는 외부로 이동할 수 있다. 본원에 설명된 다양한 실시예들에서, STA들(106 및 106a-106d)은, 특히 BSS들(107a 및/또는 107b) 내로 이동하는 경우, AP(104a 및/또는 104b)와 무선 링크들을 신속하게 설정하도록 구성될 수 있다. 스테이션과 액세스 포인트 간에 무선 통신을 설정하는 것은 인증 및 연관 중 하나 또는 그 초과를 포함할 수 있다.
[0036] 다양한 실시예들에서, 무선 통신 시스템(100)은 무선 로컬 영역 네트워크(WLAN)를 포함할 수 있다. WLAN은, 하나 또는 그 초과의 네트워킹 프로토콜들을 이용하여, 인근 디바이스들을 상호연결시키는데 사용될 수 있다. 본원에서 설명되는 다양한 양상들은 임의의 통신 표준, 이를테면 IEEE 802.11 무선 프로토콜들에 적용될 수 있다. 예를 들어, 본원에서 설명되는 다양한 양상들은 IEEE 802.11a, 802.11b, 802.11g, 802.11n, 802.11ah, 및/또는 802.11ai 프로토콜들의 일부로서 사용될 수 있다. 802.11 프로토콜들의 구현들은 센서들, 홈 오토메이션(home automation), 개인 건강관리 네트워크들, 감시(surveillance) 네트워크들, 계측, 스마트 그리드 네트워크들, 차량-내 및 차량-간 통신, 응급 조정(emergency coordination) 네트워크들, 셀룰러(예컨대, 3G/4G) 네트워크 오프로드, (예컨대, 핫스폿들로의 사용을 위한) 단거리 및/또는 장거리 인터넷 액세스, M2M(machine-to-machine) 통신 등에 대해 사용될 수 있다.
[0037] AP들(104a-104b)은 무선 통신 시스템(100)에 대한 허브(hub) 또는 기지국으로서 기능할 수 있다. 예를 들어, AP(104a)는 BSS(107a)에서 무선 통신 커버리지를 제공할 수 있고, AP(104b)는 BSS(107b)에서 무선 통신 커버리지를 제공할 수 있다. AP(104a 및/또는 104b)는 또한 NodeB, 라디오 네트워크 제어기(RNC), eNodeB, 기지국 제어기(BSC), 베이스 트랜시버 스테이션(BTS), 기지국(BS), 트랜시버 기능부(TF), 라디오 라우터, 라디오 트랜시버, 또는 일부 다른 용어를 포함하거나, 이들로 구현되거나 또는 이들로 알려져 있을 수 있다.
[0038] STA들(106 및106a-106d)(본원에서 집합적으로 STA들(106)로 지칭됨)은, 예를 들어, 랩톱 컴퓨터들, 개인 휴대 정보 단말(PDA)들, 모바일 폰들 등과 같은 다양한 디바이스들을 포함할 수 있다. STA들(106)은, 인터넷에 대한 또는 다른 광역 네트워크들에 대한 일반적 연결을 획득하기 위해, WiFi(예컨대, 802.11ai와 같은 IEEE 802.11 프로토콜) 준수(compliant) 무선 링크를 통해 AP들(104a-104b)에 연결되거나 또는 이들과 연관될 수 있다. STA들(106)은 또한 "클라이언트들"로 지칭될 수 있다.
[0039] 다양한 실시예들에서, STA들(106)은, 액세스 단말(AT)들, 가입자 스테이션들, 가입자 유닛들, 모바일 스테이션들, 원격 스테이션들, 원격 단말들, 사용자 단말(UT)들, 단말들, 사용자 에이전트들, 사용자 디바이스들, 사용자 장비(UE)들, 또는 몇몇 다른 용어를 포함하거나, 이들로 구현될 수 있거나, 또는 이들로 알려져 있을 수 있다. 몇몇 구현들에서, STA(106)는 셀룰러 텔레폰, 코드리스 텔레폰, 세션 개시 프로토콜(SIP) 폰, 무선 로컬 루프(WLL) 스테이션, 개인 휴대 정보 단말(PDA), 무선 연결 능력을 갖는 핸드헬드 디바이스 또는 무선 모뎀에 연결되는 몇몇 다른 적절한 프로세싱 디바이스를 포함할 수 있다. 따라서, 본원에 교시된 하나 또는 그 초과의 양상들은, 폰(예컨대, 셀룰러 폰 또는 스마트폰), 컴퓨터(예컨대, 랩탑), 휴대용 통신 디바이스, 헤드셋, 휴대용 컴퓨팅 디바이스(예컨대, 개인 휴대 정보 단말), 엔터테인먼트 디바이스(예컨대, 뮤직 또는 비디오 디바이스, 또는 위성 라디오), 게이밍 디바이스 또는 시스템, 글로벌 포지셔닝 시스템 디바이스, 또는 무선 매체를 통해 통신하도록 구성되는 임의의 다른 적절한 디바이스에 통합될 수 있다.
[0040] AP(104a)와 연관되고 통신을 위해 AP(104a)를 사용하도록 구성되는 STA들(106a-106d)과 함께 AP(104a)는, 기본 서비스 세트(BSS)로 지칭될 수 있다. 몇몇 실시예들에서, 무선 통신 시스템(100)은 중앙 AP(104a)를 갖지 않을 수 있다. 예를 들어, 몇몇 실시예들에서, 무선 통신 시스템(100)은 STA들(106) 사이에서 피어-투-피어 네트워크로서 기능할 수 있다. 따라서, 본원에서 설명되는 AP(104a)의 기능들은 대안적으로 STA들(106) 중 하나 또는 그 초과에 의해 수행될 수 있다. 또한, 몇몇 실시예들에서, AP(104a)는 STA들(106)에 관하여 설명된 하나 또는 그 초과의 양상들을 구현할 수 있다.
[0041] AP(104a)로부터 STA들(106) 중 하나 또는 그 초과로의 송신을 가능하게 하는 통신 링크는 다운링크(DL)(130)로 지칭될 수 있고, STA들(106) 중 하나 또는 그 초과로부터 AP(104a)로의 송신을 가능하게 하는 통신 링크는 업링크(UL)(140)로 지칭될 수 있다. 대안적으로, 다운링크(130)는 순방향 링크 또는 순방향 채널로 지칭될 수 있고, 업링크(140)는 역방향 링크 또는 역방향 채널로 지칭될 수 있다.
[0042] AP(104a)와 STA들(106) 사이의 무선 통신 시스템(100)에서의 송신들을 위해 다양한 프로세스들 및 방법들이 사용될 수 있다. 몇몇 양상들에서, 무선 신호들은, 직교 주파수-분할 멀티플렉싱(OFDM), 다이렉트-시퀀스 확산 스펙트럼(DSSS; direct-sequence spread spectrum) 통신들, OFDM 및 DSSS 통신들의 결합 또는 다른 방식들을 사용하여 송신될 수 있다. 예를 들어, 신호들은 OFDM/OFDMA 프로세스들에 따라 AP(104a)와 STA들(106) 사이에서 전송 및 수신될 수 있다. 따라서, 무선 통신 시스템(100)은 OFDM/OFDMA 시스템으로 지칭될 수 있다. 다른 예로서, 신호들은 CDMA 프로세스들에 따라 AP(104a)와 STA들(106) 사이에서 전송 및 수신될 수 있다. 따라서, 무선 통신 시스템(100)은 CDMA 시스템으로 지칭될 수 있다.
[0043] 그러한 프로토콜들을 구현하는 특정 디바이스들(이를테면 AP(104a) 및 STA들(106))의 양상들은 다른 무선 프로토콜들을 구현하는 디바이스들보다 더 적은 전력을 소모할 수 있다. 디바이스들은 비교적 긴 범위, 예컨대 약 1 킬로미터 또는 그보다 긴 범위에 걸쳐 무선 신호들을 송신하는데 사용될 수 있다. 본원에서 더 상세히 설명되는 바와 같이, 몇몇 실시예들에서, 디바이스들은 다른 무선 프로토콜들을 구현하는 디바이스들보다 더 빠르게 무선 링크들을 설정하도록 구성될 수 있다.
연관 및 인증
[0044] 일반적으로, IEEE 802.1X 프로토콜들에서, 인증은 STA와 인증 서버(예컨대, 아이덴티티(identity) 검증, 인가, 프라이버시(privacy), 및 부인 방지(non-repudiation)와 같은 인증 서비스들을 제공하는 서버) 사이에서 발생한다. 예를 들어, 인증자(authenticator)로서 기능하는 AP는, 인증 프로세스 동안 AP와 인증 서버 사이에서 메시지들을 중계한다. 몇몇 예시들에서, STA와 AP 간의 인증 메시지들은 EAPOL(extensible authentication protocol over local area network) 프레임들을 사용하여 전달된다. EAPOL 프레임들은 IEEE 802.11i 프로토콜에서 정의될 수 있다. AP와 인증 서버 간의 인증 메시지들은 RADIUS(remote authentication dial in user service) 프로토콜 또는 Diameter 인증, 인가, 및 어카운팅(accounting) 프로토콜을 사용하여 전달될 수 있다.
[0045] 인증 프로세스 동안, 인증 서버는 AP로부터 수신되는 메시지들에 응답하는데 긴 시간을 소요할 수 있다. 예를 들어, 인증 서버가 AP로부터 먼 위치에 물리적으로 로케이팅될 수 있으므로, 지연은 백홀(backhaul) 링크 속도에 기인할 수 있다. 다른 예로서, 인증 서버는, STA들 및/또는 AP들에 의해 개시되는 많은 수의 인증 요청들을 프로세싱하고 있을 수 있다(예컨대, 열차(120)와 같은 조밀한 영역에 각각이 연결을 설정하려 시도하고 있는 많은 수의 STA들이 존재할 수 있음). 따라서, 지연은 인증 서버 상에서의 부하(loading)(예컨대, 트래픽)에 기인할 수 있다.
[0046] 인증 서버에 기인한 지연 때문에, STA들은 긴 시간 기간들 동안 유휴상태일 수 있다.
[0047] 도 2는, 도 1의 무선 네트워크(100) 내에서 이용될 수 있는 무선 디바이스(202)의 예시적인 기능 블록도를 도시한다. 무선 디바이스(202)는, 본원에서 설명되는 다양한 방법들을 구현하도록 구성될 수 있는 디바이스의 일 예이다. 예를 들어, 무선 디바이스(202)는 도 1에서의 디바이스들(104 또는 106) 중 하나를 포함할 수 있다.
[0048] 무선 디바이스(202)는, 무선 디바이스(202)의 동작을 제어하는 프로세서(204)를 포함할 수 있다. 프로세서(204)는 또한 중앙 프로세싱 유닛(CPU)으로 지칭될 수 있다. 판독 전용 메모리(ROM) 및 랜덤 액세스 메모리(RAM) 둘 모두를 포함할 수 있는 메모리(206)는 프로세서(204)에 명령들 및 데이터를 제공할 수 있다. 메모리(206)의 일부는 또한 비휘발성 랜덤 액세스 메모리(NVRAM)를 포함할 수 있다. 프로세서(204)는 통상적으로, 메모리(206) 내에 저장된 프로그램 명령들에 기초하여 논리적 및 산술적 연산들을 수행한다. 메모리(206) 내의 명령들은 본원에서 설명되는 방법들을 구현하도록 실행가능할 수 있다.
[0049] 프로세서(204)는, 하나 또는 그 초과의 프로세서들로 구현되는 프로세싱 시스템의 컴포넌트이거나 이를 포함할 수 있다. 하나 또는 그 초과의 프로세서들은, 범용 마이크로프로세서들, 마이크로제어기들, 디지털 신호 프로세서들(DSP들), 필드 프로그래밍가능 게이트 어레이(FPGA들), 프로그래밍가능 로직 디바이스들(PLD들), 제어기들, 상태 머신들, 게이트된(gated) 로직, 이산 하드웨어 컴포넌트들, 전용 하드웨어 유한 상태 머신들, 또는 정보의 계산들 또는 다른 조작들을 수행할 수 있는 임의의 다른 적절한 엔티티(entity)들의 임의의 결합으로 구현될 수 있다.
[0050] 프로세싱 시스템은 또한, 소프트웨어를 저장하기 위한 머신-판독가능 매체를 포함할 수 있다. 소프트웨어는, 소프트웨어, 펌웨어, 미들웨어, 마이크로코드, 하드웨어 디스크립션 언어로 지칭되든 또는 이와 달리 지칭되든, 임의의 타입의 명령들을 의미하도록 광범위하게 해석될 것이다. 명령들은 코드를 (예컨대, 소스 코드 포맷, 2진 코드 포맷, 실행가능한 코드 포맷 또는 코드의 임의의 다른 적절한 포맷으로) 포함할 수 있다. 명령들은, 하나 또는 그 초과의 프로세서들에 의해 실행되는 경우, 프로세싱 시스템으로 하여금, 본원에서 설명되는 다양한 기능들을 수행하게 한다.
[0051] 무선 디바이스(202)는 또한, 무선 디바이스(202)와 원격 위치 사이에서의 데이터의 송신 및 수신을 허용하기 위한 송신기(210) 및/또는 수신기(212)를 포함할 수 있는 하우징(208)을 포함할 수 있다. 송신기(210) 및 수신기(212)는 트랜시버(214)로 결합될 수 있다. 안테나(216)는 하우징(208)에 부착되고 트랜시버(214)에 전기적으로 커플링될 수 있다. 무선 디바이스(202)는 또한, (도시되지 않은) 다수의 송신기들, 다수의 수신기들, 다수의 트랜시버들 및/또는 다수의 안테나들을 포함할 수 있다.
[0052] 무선 디바이스(202)는 또한, 트랜시버(214)에 의해 수신된 신호들의 레벨을 검출 및 정량화하기 위한 노력으로 사용될 수 있는 신호 검출기(218)를 포함할 수 있다. 신호 검출기(218)는 그러한 신호들을 총 에너지, 심볼 당 서브캐리어 당 에너지, 전력 스펙트럼 밀도 및 다른 신호들로서 검출할 수 있다. 무선 디바이스(202)는 또한 프로세싱 신호들에 사용하기 위한 디지털 신호 프로세서(DSP)(220)를 포함할 수 있다. DSP(220)는 송신을 위한 패킷을 생성하도록 구성될 수 있다. 일부 양상들에서, 패킷은 물리 계층 데이터 유닛(PPDU)을 포함할 수 있다.
[0053] 무선 디바이스(202)는 몇몇 양상들에서 사용자 인터페이스(222)를 더 포함할 수 있다. 사용자 인터페이스(222)는 키패드, 마이크로폰, 스피커 및/또는 디스플레이를 포함할 수 있다. 사용자 인터페이스(222)는, 무선 디바이스(202)의 사용자에게 정보를 전달하고 그리고/또는 사용자로부터 입력을 수신하는 임의의 엘리먼트 또는 컴포넌트를 포함할 수 있다.
[0054] 무선 디바이스(202)의 다양한 컴포넌트들은 버스 시스템(226)에 의해 함께 커플링될 수 있다. 버스 시스템(226)은, 예를 들어, 데이터 버스 뿐만 아니라, 데이터 버스에 부가하여 전력 버스, 제어 신호 버스 및 상태 신호 버스를 포함할 수 있다. 무선 디바이스(202)의 컴포넌트들이, 일부 다른 메커니즘을 사용하여 함께 커플링되거나 또는 서로에게 입력들을 제공하거나 수용할 수 있음을 당업자들은 인식할 것이다.
[0055] 다수의 별개의 컴포넌트들이 도 2에 예시되어 있지만, 컴포넌트들 중 하나 또는 그 초과는 결합되거나 또는 공통으로 구현될 수 있음을 당업자들은 인지할 것이다. 예를 들어, 프로세서(204)는, 프로세서(204)에 관하여 위에서 설명된 기능을 구현할 뿐만 아니라, 신호 검출기(218) 및/또는 DSP(220)에 관하여 위에서 설명된 기능을 구현하기 위해 사용될 수 있다. 추가로, 도 2에 예시된 컴포넌트들 각각은 복수의 별개의 엘리먼트들을 사용하여 구현될 수 있다.
[0056] 무선 디바이스(202)는 도 1에 도시된 무선 디바이스들 중 임의의 무선 디바이스를 포함할 수 있고, 통신들을 송신 및/또는 수신하기 위해 사용될 수 있다. 즉, 무선 디바이스들(104 또는 106) 중 임의의 무선 디바이스는 송신기 또는 수신기 디바이스들로 기능할 수 있다. 특정 양상들은, 송신기 또는 수신기의 존재를 검출하기 위해, 프로세서(204) 및 메모리(206) 상에서 구동되는 소프트웨어에 의해 사용되고 있는 신호 검출기(218)를 고려한다.
[0057] 위에 설명된 바와 같이, 무선 디바이스, 이를테면 무선 디바이스(202)는, 무선 통신 시스템(100)과 같은 무선 통신 시스템 내에서 서비스들을 제공하도록 구성될 수 있다.
[0058] 도 3은, 예컨대 IETF RFC 2284(이의 내용들은 이로써 그 전체가 인용에 의해 포함됨)에 정의된 바와 같은 확장가능 인증 프로토콜(EAP) 전체 인증 프로세스(EAP)(302) 및 예컨대 IETF RFC 6696(이의 내용들은 이로써 그 전체가 인용에 의해 포함됨)에 정의된 바와 같은 재인증 프로세스(EAP-RP)(304)의 메시지 흐름들을 도시한다. 몇몇 양상들에서, 전체 EAP 인증(302)은 스테이션(106)이 EAP 인증자로부터 EAP 요청/아이덴티티 메시지(306a)를 수신하는 것을 포함한다. 몇몇 양상들에서, EAP 인증자(308)는 액세스 포인트 또는 무선 랜(lan) 제어기일 수 있다. 인증자로부터의 이러한 트리거에 대한 응답으로, STA(106)는, 메시지 흐름들(314)에 포함될 수 있는 EAP-개시/재-인증 메시지를 송신함으로 ERP 교환을 개시할 수 있다.
[0059] 예시된 실시예에서, 인증 서버(312)는, AS 서버와 상이한 로직 엔티티인 ER 서버(도시되지 않음)를 포함할 수 있다. EAP 전체 인증 동안, 인증 서버(312)는, 마스터 세션 키(MSK; master session key), 확장형 마스터 세션 키(EMSK; extended master session key), 재-인증 루트 키(rRK; re-authentication root key), 및 재-인증 무결성 키(rIK; re-authentication integrity key) 중 하나 또는 그 초과를 생성할 수 있다. 예를 들어, rRK 및 rIK는, 예시된 실시예에서 인증 서버(312)와 콜로케이팅(collocate)되는 ER 서버에 송신될 수 있다.
[0060] 전체 EAP 인증이 완료된 경우, 인증 서버(312)는 메시지(316)를 통해 EAP 성공 상태를 STA(106)에 전송할 수 있다. 마스터 세션 키(MSK)가 또한 메시지(316)에서 STA(106)에 제공될 수 있다.
[0061] 스테이션(106)은 그 후, 제 2 인증자(310)와 EAP 재인증 프로세스(EAP-RP)(304)를 수행할 수 있다. 몇몇 양상들에서, 제 2 인증자(310)는 제 2 액세스 포인트일 수 있다. 몇몇 양상들에서, 제 2 인증자(310)는 무선 랜 제어기일 수 있다. 스테이션(106)은 EAP 인증자(310)를 통해 확장가능 인증 프로토콜 재-인증 요청(318)을 인증 서버(312)에 전송할 수 있다. 몇몇 양상들에서, 확장가능 인증 프로토콜 재인증 요청(318)은 제 2 확장가능 인증 프로토콜 재인증 요청(318)을 형성하도록 하나의 디바이스로부터 다른 디바이스로 소프트(soft) "중계"될 수 있다. 몇몇 양상들에서, 2개의 메시지들 간에 몇몇 차이들이 존재할 수 있지만, 이들 2개의 메시지들 각각은 EAP 재-인증(Re-auth) 개시 메시지로서 기능할 것이다. 인증 서버(312)는 몇몇 양상들에서, 재인증 마스터 세션 키(rMSK)를 생성하고 EAP 인증자(310)를 통해 EAP 재-인증 종료 메시지(320)를 STA(106)에 송신할 수 있다. rMSK는 메시지(320)를 통해 EAP 인증자(310)에 제공될 수 있다. 몇몇 양상들에서, 메시지(320)는 확장가능 인증 프로토콜 재인증 응답 메시지로 고려될 수 있다. 메시지(320)는 EAP 인증 서버(312)로부터 EAP 인증자(310)로, EAP 인증자(308)로 "중계"될 수 있음을 유의한다. 따라서, 메시지(320)는, 2개의 디바이스들(이를테면 인증 서버(312)와 EAP 인증자(310)) 간의 제 1 확장가능 인증 프로토콜 재인증 응답 메시지, 및 2개의 다른 디바이스들(이를테면 EAP 인증자(310)와 EAP 인증자(308)) 간의 제 2 확장가능 인증 프로토콜 재인증 응답 메시지로 고려될 수 있다.
[0062] STA(106)는 rMSK를 별개로 유도할 수 있다.
[0063] 도 4는 고속 기본 서비스 세트(BSS) 트랜지션(FT) 인증 및 재인증 프로세스(400)를 도시한다. STA(106)는 먼저 메시지 흐름들(406)을 통해 성공 및 세션 설정 및 데이터 송신을 제 1 액세스 포인트(104a)와 수행할 수 있다. 메시지 흐름들(406)은 몇몇 양상들(도시되지 않음)에서 무선 랜 제어기(402) 및/또는 인증 서버(404)를 포함할 수 있지만 제 2 액세스 포인트(104b)를 포함하지 않을 수 있다. 무선 랜 제어기(402)는 또한 몇몇 양상들에서 모빌리티 도메인 제어기로 지칭될 수 있다.
[0064] STA(106)의 제 1 액세스 포인트(104a)와의 고속 기본 서비스 세트 인증 동안, 인증 서버(404)는 마스터 세션 키(MSK)를 무선 랜 제어기(402)에 제공할 수 있다. 마스터 세션 키로부터, 무선 랜 제어기는 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키를 유도할 수 있다. PMK1로 도 4에 도시된 바와 같은 제 1 레벨 PMK로부터, 하나 또는 그 초과의 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키들이 유도될 수 있다. PMK1은 그 후 제 1 액세스 포인트(104a)에 제공될 수 있다. 제 1 액세스 포인트(104a)는 STA(106)와 안전한 연관을 이루기 위해 WLC(402)에 의해 제공되는 PMK1을 활용할 수 있다. 예를 들어, 제 1 액세스 포인트(104a)와 STA(106) 간의 통신들은 WLC(402)에 의해 제공되는 PMK1로부터 유도된 키(즉, PTK)를 사용하여 암호화될 수 있다.
[0065] STA(106)는 그 후, 제 2 액세스 포인트(104b)의 범위 내로 이동할 수 있다. STA(106)는 그 후, 802.11 인증 요청(408)을 제 2 액세스 포인트(104b)에 송신할 수 있다. 응답으로, AP(104b)는 키 요청 메시지(409a)를 무선 랜 제어기(402)에 송신할 수 있다. 무선 랜 제어기(402)는 키 응답 메시지(409b)를 통해 제 2 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키(PMK2)를 제 2 액세스 포인트에 제공한다. 몇몇 양상들에서, 메시지(409b)에는 명시적 키 요청 메시지(409a)가 선행될 수 없으며, 메시지(409b)는 키 메시지로 알려져 있을 수 있다. 키 응답 메시지(409b)는, 키 요청 메시지(409a)가 선행되는 경우라 하더라도 키 메시지로 또한 알려져 있을 수 있다. 제 2 액세스 포인트(104b)는 PTK2를 유도하기 위해 제 2 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키(PMK2)를 활용하고, 그리고 PTK2를 사용하여 STA(106)와 제 2 액세스 포인트(104b) 간의 통신을 암호화할 수 있다. AP(104b)는 그 후 802.11 인증 응답 메시지(410)를 STA(106)에 송신한다. STA(106)는 또한, 재연관 요청/응답 메시지들(412/414)을 통해 제 2 액세스 포인트(104b)와 재연관을 수행할 수 있다.
[0066] 도 5는, 인증 방법의 일 실시예에서의 네트워크 디바이스 컴포넌트들 간의 메시지 흐름들의 예시이다. 도 5는, 2개의 모빌리티 도메인들(505a 및 505b)과 함께, 인증 서버(501)를 포함하는 홈 도메인(502)을 도시한다. 각각의 모빌리티 도메인(505a-b) 내에 2개의 액세스 포인트들, 즉 AP들(104a-b) 및 AP들(104c-d)이 각각 존재한다. 각각의 모빌리티 도메인(505a-b)은 또한 무선 랜 제어기(WLC)(506a-b)를 포함한다. 무선 랜 제어기들(506a-b)은 또한 모빌리티 도메인 제어기들로 지칭될 수 있다. WLC들(506a-b)은 또한 "R0 키 홀더(holder)들"로 알려져 있을 수 있다. 도 5의 하단에 도시된 STA(106)는 도면의 좌측으로부터 우측으로 이동할 수 있다. STA(106)가 이동함에 따라, STA(106)는 AP(104a)와 인증을 수행하고, 그 후 AP(104b)에, 그 후 AP(104c)에, 그리고 그 후 AP(104d)와 인증을 수행할 수 있다.
[0067] 인증 메시지 교환(515a)은 도 3에 도시된 바와 같이 전체 EAP 인증을 수행할 수 있다. 전체 EAP 인증에 대해, STA(106)에 의해 개시되는 인증은 메시지들이 인증 서버(501)와 교환되게 할 것이다. 예를 들어, 인증 서버(501)는 마스터 세션 키(MSK1)를 생성하여 MSK1을 WLC(506a)에 제공할 수 있다. WLC(506a)는 그 후 MSK1에 기초하여 쌍 방식 마스터 키(PMK)를 유도하고, PMK를 AP(104a)에 제공할 수 있다(이러한 키는 도 5에 PMK-R1-1로 도시됨). AP(104a)에 제공되는 PMK는 또한 AP(104a)의 특성, 이를테면 몇몇 양상들에서는 AP(104a)의 매체 액세스 제어(MAC) 어드레스에 기초하여 유도될 수 있다.
[0068] STA(106)는 그 후 인증 메시지 교환(515b)을 통해 AP(104b)와 인증을 수행할 수 있다. AP(104b)가 AP(104a)와 동일한 모빌리티 도메인 내에 있으므로, STA(106)는 AP(104b)와 전체 EAP 인증을 수행할 필요가 없다고 (AP(104b)로부터의 비콘(beacon) 메시지들을 통해) 결정할 수 있지만, 대신, WLC(506a)에 저장된 마스터 세션 키(MSK1)에 기초하여 인증을 수행할 수 있다. 인증은, MSK1로부터 유도된 PMK-R0에 기초한다는 점에서 MSK1에 기초할 수 있다.
[0069] 몇몇 양상들에서, STA(106)는 인증 메시지 교환(515b)의 일부로서 고속 기본 서비스 세트 트랜지션 인증을 수행하며, 이러한 예는 도 4를 참조하여 위에 도시되어 있다. 이러한 인증은, STA(106)가 AP(104b)와 인증을 수행하는 경우에 WLC(506a)가 인증 서버(501)와 메시지들을 교환할 것을 요구하지 않을 수 있다. 대신, WLC(506a)는 STA(106)가 AP(104a)와 인증을 수행한 경우, 인증 서버(501)에 의해 제공되는 제 1 마스터 세션 키(MSK1)에 기초하여 제 2 PMK(PMK-R1-2로 도 5에 도시됨)를 유도한다. 제 2 PMK인 PMK-R1-2는 또한, 몇몇 양상들에서 AP(104b)의 하나 또는 그 초과의 특성들, 이를테면 AP(104b)의 MAC 어드레스에 기초하여 유도될 수 있다. STA(106)가 AP(104b)와 인증을 수행하는 경우 어떠한 메시지들도 인증 서버(501)와 교환될 필요가 없을 수 있으므로, 인증 메시지 교환(515b)은 인증 메시지 교환(515a)보다 더 신속하게 발생할 수 있다. 부가적으로, 새로운 액세스 포인트와 인증을 수행할 때마다 STA(106)에 인증 서버(501)와의 인증을 요구하는 솔루션에 비해 인증 서버(501)에 대한 부하가 감소될 수 있다.
[0070] STA(106)는 그 후, AP(104b)가 범위 밖에 있게 하는 위치로 이동할 수 있고, STA(106)는 메시지 교환(515c)을 통해 AP(104c)와 인증을 수행할 수 있다. IEEE 802.11r에서, STA(106)는 그 후, AP(104c)가 AP(104a)(이는 모빌리티 도메인(505a)에 있음)와 상이한 모빌리티 도메인(505b)에 있으므로, 메시지 교환(515c)의 일부로서 다른 전체 EAP 인증을 수행할 것이다. 전체 EAP 인증 동안, 인증 서버(501)는 새로운 마스터 세션 키(MSK2)를 생성하여 MSK2를 무선 랜 제어기(WLC)(506b)에 송신한다. WLC(506b)는 그 후, MSK2에 기초하여 그리고 몇몇 양상들에서 AP(104c)의 하나 또는 그 초과의 특성들에 또한 기초하여 PMK를 생성한다. STA(106)가 다시 이동하여 AP(104d)와 연결되는 경우, AP(104d)가 AP(104c)와 동일한 모빌리티 도메인에 있으므로 STA(106)는 메시지 교환(515d)을 통해 인증을 수행할 수 있다. 몇몇 양상들에서, 메시지 교환(515d)은 고속 기본 서비스 세트 트랜지션 인증을 수행하며, 이러한 예는 도 4를 참조하여 위에 도시되어 있다. 이러한 인증 동안, WLC(506b)는 인증 서버(501)로부터 수신되는 이전에 유도된 MSK2에 기초하여 새로운 PMK(PMK-R1-4)를 생성할 수 있다. MSK2가 WLC(506b)에 저장될 수 있으므로, 이러한 인증은 반드시 인증 서버(501)와 통신할 필요는 없이 발생할 수 있다.
[0071] 도 6은 인증 프로세스의 다른 실시예 동안의 무선 네트워크 컴포넌트들 간의 메시지 흐름들을 예시한다. 도 6은 홈 도메인(602) 및 2개의 모빌리티 도메인들(605a-b)을 도시한다. 홈 도메인(602)은 인증 서버(601)를 포함한다. 모빌리티 도메인들(605a-b) 각각은 EAP 재-인증 서버 또는 로컬 ER 서버(606a-b)를 포함한다. 디바이스들(606a-b)은 또한 모빌리티 도메인 제어기들로 지칭될 수 있다. 모빌리티 도메인들(605a-b) 각각은 각각 2개의 액세스 포인트들, 즉 AP들(104e-f) 및 AP들(104g-h)을 포함한다.
[0072] 도 5와 유사하게, 도 6에서, STA(106)는 먼저 메시지 교환(615a)을 통해 AP(104e)와 인증을 수행한다. 이러한 제 1 인증은 메시지 교환(615a)의 일부로서 인증 서버(601)와 확장형 인증 프로토콜 재인증 프로토콜(EAP-RP) 인증을 수행한다. 예를 들어, STA(106)는 EAP 개시/재-인증(initiate/Re-Auth) 메시지를 AP(104e)에 송신할 수 있다. AP(104e)는 STA(106)와 인증 서버(601) 간의 교환 동안 중계 서비스들을 수행할 수 있다. 인증 서버(601)가 EAP 개시/재-인증 메시지를 수신하는 경우, (초기 전체 EAP 인증 직후에 수행되는) 인증 서버(601)의 동작에서, 인증 서버(601)는 재인증 루트 키(rRK1) 또는 도메인 특정 루트 키(DSRK1)를 생성하고 rRK1 또는 DSRK1을 로컬 ER 서버(606a)에 제공한다. 로컬 ER 서버(606a)는 그 후, DSRK1 또는 rRK1로부터 재인증 마스터 세션 키(rMSK1)를 유도하여 rMSK1을 AP(104e)에 제공할 수 있다. 이러한 정보는, 몇몇 양상들에서 RFC 6696에서 설명된 바와 같이, EAP-종료 재-인증(EAP-Finish Re-Auth) 메시지를 통해 STA(106)에 제공될 수 있다.
[0073] AP(104e)는 그 후 rMSK1을 사용하여 STA(106)와의 통신을 수행한다. STA(106)는 그 후, AP(104e)의 범위 밖으로 이동할 수 있고, 메시지 교환(615b)을 통해 AP(104f)와 인증을 수행할 수 있다. 로컬 ER 서버(606a)가 AP(104e)와의 STA(106) 제 1 인증으로부터 rRK1을 저장했으므로, 메시지 교환(615b)을 통해 발생하는 제 2 (EAP-RP) 인증은 인증 서버(601)와의 통신을 요구하지 않을 수 있다. 대신, 로컬 ER 서버(606a)는 도메인 특정 루트 키(DSRK1) 또는 재인증 루트 키 rRK1로부터 제 2 재인증 마스터 세션 키(rMSK2)를 유도하여 rMSK2를 AP(104f)에 제공할 수 있다. AP(104f)는 그 후 rMSK2에 기초하여 STA(106)와 통신할 수 있다.
[0074] STA(106)는 그 후 더 이상 AP(104f)의 범위 내에 있지 않도록 이동할 수 있다. STA(106)는 그 후 EAP-RP로 AP(104g)와 인증을 수행할 수 있다. 로컬 ER 서버(606b)는 STA(106)와 연관된 키를 갖지 않으므로, 로컬 ER 서버(606b)는 스테이션(106)에 대한 도메인 특정 루트 키 DSRK2 또는 재-인증 루트 키 rRK2를 획득하기 위해 인증 서버(601)와 통신한다. 로컬 ER 서버(606b)는 그 후 STA(106)에 대한 재인증 마스터 세션 키(rMSK3)를 유도하여 키를 AP(104g)에 제공하며, AP(104g)는 STA(106)와의 통신에서 rMSK3 키를 사용한다.
[0075] STA(106)는 그 후 AP(104h)와 인증을 수행한다. 로컬 ER 서버(606b)가 STA(106)와 연관된 키(즉, rRK2)를 가지므로, 로컬 ER 서버(606b)는, STA(106)와 AP(104h) 사이에서 사용하기 위해, 인증 서버(601)로부터 수신되는 키(DSRK2 또는 rRK2 중 어느 하나)에 기초하여 새로운 재인증 마스터 세션 키(rMSK4)를 유도한다. AP(104h)는 그 후 rMSK4를 사용하여 STA(106)와 통신한다.
[0076] 도 7은 인증 프로세스의 다른 실시예에서의 무선 네트워크 컴포넌트들 간의 메시지 흐름들을 예시한다. 통신 시스템(700)은 홈 도메인(702) 및 2개의 모빌리티 도메인들(705a-b)을 포함한다. 홈 도메인 내에 인증 서버(701)가 있다. 모빌리티 도메인들(705a-b) 각각 내에 로컬 ER 서버(706a-b)가 각각 있다. 디바이스들(706a-b)은 또한 모빌리티 도메인 제어기들로 지칭될 수 있다. 몇몇 양상들에서, 로컬 ER 서버들(706a-b) 중 어느 하나는 도 2의 디바이스(202)일 수 있다. 각각의 모빌리티 도메인들(705a-b)은 또한 2개의 액세스 포인트들 AP들(104i-j) 및 AP들(104k-l)을 각각 포함한다. 도 7에서, 로컬 ER 서버들(706a-b)은 또한 IEEE 802.11r 명세에 설명된 바와 같은 R0 키 홀더 디바이스들과 연관된 기능들을 수행할 수 있다.
[0077] 도 6에 관하여 설명된 인증 방법과 유사하게, 인증 서버(701)는 재인증 루트 키들(rRK1 및 rRK2) 또는 도메인 특정 루트 키들(DSRK1 및 DSRK2) 중 어느 하나를 각각 로컬 ER 서버들(706a 및 706b)에 제공한다. 키들은 STA(106)가 로컬 ER 서버들 각각에 연결된 액세스 포인트들((706a)에 대해 AP들(104i-j) 그리고 (706b)에 대해 AP(104k-l))을 통해 인증을 수행하는 것에 대한 응답으로 제공될 수 있다.
[0078] 도 7은 모바일 스테이션 STA(106)와 AP(104i) 간의 제 1 인증 메시지 교환(715a)을 도시한다. 몇몇 양상들에서, 이러한 인증 메시지 교환은 제 1 인증 프로토콜, 이를테면 EAP 재인증(EAP-RP) 인증 프로토콜을 활용할 수 있다. 몇몇 양상들에서, 로컬 ER 서버들(706a-b)은 인증 서버(701)에 의해 제공되는 키들, 이를테면 도 7에 도시된 바와 같은 rRK1/RK2 또는 DSRK1/DSRK2에 기초하여 재인증 마스터 세션 키(rMSK)를 생성할 수 있다. 재인증 마스터 세션 키는 그 후, 액세스 포인트들 AP(104i-l)에 제공되는 PMK들을 생성하는데 사용될 수 있다. 예를 들어, 로컬 ER 서버(706a)는, STA(106)가 인증 메시지 교환(715a)을 통해 AP(104i)를 경유하여 인증을 수행하는 경우, 인증 서버(701)로부터 수신되는 재인증 루트 키 rRK1로부터 제 1 재인증 마스터 세션 키(rMSK1)를 유도할 수 있다. 몇몇 양상들에서, 로컬 ER 서버(706a)는 재인증 마스터 세션 키 rMSK1에 기초하여 제 1 PMK를 생성할 수 있다. 몇몇 양상들에서, 이러한 제 1 PMK는 PMK-R0과 같은 IEEE 802.11 고속 BSS 트랜지션(FT) 제 1 레벨 PMK이다. 로컬 ER 서버(706a)는 그 후 rMSK1에 기초하여 제 2 PMK, 이를테면 도 7에 도시된 바와 같은 PMK-R1-1을 생성할 수 있다. 몇몇 양상들에서, PMK-R1의 생성은 AP(104i)의 매체 액세스 제어 어드레스와 같은 AP(104i)의 하나 또는 그 초과의 특성들, 및/또는 STA(106)의 MAC 어드레스와 같은 STA(106)의 특성들에 부가적으로 기초할 수 있다. 로컬 ER 서버(706a)는 또한, AP(104j)를 통한 STA(106)로부터의 인증 메시지 교환(715b)에 대한 응답으로, rMSK1에 또한 기초하여, 도 7에서 PMK-R1-2로 도시된 제 2 PMK를 생성할 수 있다. 인증 메시지 교환(715b)은 STA(106)로부터 AP(104j)로의 제 2 인증 프로토콜 재인증 요청을 포함할 수 있다.
[0079] 몇몇 양상들에서, 인증 메시지 교환(715a)은 EAP-RP 교환이고, 인증 메시지 교환(715b)은 고속 BSS 트랜지션(FT) 인증이다. AP(104j)는, STA(106)로부터 제 2 인증 프로토콜 재인증 요청을 수신하는 경우, 로컬 ER 서버(706a)에 키를 요청할 수 있다. 키 요청을 수신하는 것에 대한 응답으로, 로컬 ER 서버(706a)는 제 2 PMK인 PMK-R1-2를 생성할 수 있다. 대안적으로, 로컬 ER 서버(706a)는 EAP-RP 재인증 동안 또는 그에 대한 응답으로 AP(104j)에 대한 PMK를 사전에(proactively) 생성할 수 있다. 몇몇 실시예들에서, STA(106)와 인증 메시지 교환(715b)이 발생하는 경우에 STA(106)에 대해 사용하는데 이용가능한 PMK-R1을 AP(104j)가 이미 갖고 있도록, AP(104j)에 대한 PMK-R1이 사전에 AP(104j)에 송신될 수 있다.
[0080] 메시지 교환(715c)은 STA(106)와 AP(104k) 사이에서 EAP-RP 재인증일 수 있다. EAP-RP 재인증은, STA(106) 및 로컬 ER 서버(706b)가 EAP-RP 프로토콜 메시지들을 교환하도록, AP(104k)를 통해 전달될 수 있다. 인증 메시지 교환(715d)은 제 2 인증 프로토콜, 예컨대 고속 BSS 트랜지션(FT) 인증을 활용할 수 있다. 몇몇 양상들에서, AP(104l)는, 제 2 인증 프로토콜의 일부로서 인증 요청 메시지를 수신할 시, STA(106)와의 통신에서 사용하기 위한 키를 요청하는 메시지를 로컬 ER 서버(706b)에 송신할 수 있다.
[0081] 도 8에 도시된 바와 같이, 몇몇 다른 양상들에서, 위에서 설명된 로컬 ER 서버(706a-b)의 몇몇 기능들은 로컬 ER 서버들(806a-b 및 807a-b)과 같은 다수의 디바이스들에 의해 수행될 수 있다. 이들 양상들 중 몇몇에서, 디바이스들(807a-b)은 도 2에서 위에 도시된 무선 디바이스(202)일 수 있다.
[0082] 도 8에 도시된 것들과 같은 일부 모빌리티 도메인들에서, 무선 디바이스 STA(106)와 같은 무선 디바이스들의 인증을 수행하기 위해 로컬 ER 서버(806a-b) 및 별개의 키 홀더 디바이스(807a-b)가 사용될 수 있다. 디바이스들(807a-b)은 또한 모빌리티 도메인 제어기들로 지칭될 수 있다. 예를 들어, 몇몇 양상들에서, 로컬 ER 서버는 재인증 마스터 세션 키(이를테면, 위에 논의된 rMSK1 및/또는 rMSK2)를 유도하여 이들 키들을 "R0 키 홀더" 디바이스(807a-b)에 제공할 수 있다. R0 키 홀더 디바이스들(807a-b)은 그 후, 재인증 마스터 세션 키에 기초하여 액세스 포인트에 대한 PMK를 생성할 수 있다. 예를 들어, 도 8은 PMK-R1-1을 AP(104i)에 제공하는 키 홀더 디바이스(807a)를 도시한다. 키 홀더 디바이스(807a)는 로컬 ER 서버(806a)에 의해 제공되는 rMSK1에 기초하여 PMK-R1-1을 유도했을 수 있다. 몇몇 양상들에서, PMK-R0과 같은 중간(intermediate) PMK가 재인증 마스터 세션 키(rMSK1 또는 rMSK2)로부터 먼저 유도될 수 있고, 그 후 PMK-R1이 PMK-R0으로부터 유도된다.
[0083] 도 7의 설명을 참조하면, STA(106)에 의해 인증 메시지 교환(715a)(도 4)을 통한 제 1 인증은 AP(104i)를 통해 발생한다. 이러한 인증은 각각 인증 서버(701)를 사용하여 수행될 수 있고, 몇몇 양상들에서는 확장형 인증 프로토콜 재인증 프로토콜(EAP-RP)을 활용할 수 있다. 인증 메시지 교환(715b)을 통해 수행되는 제 2 인증은 인증 서버(701)에 반드시 접속할 필요는 없이 수행될 수 있다. 예를 들어, 로컬 ER 서버(706a)(또는 도 8의 키 홀더 디바이스)는 재인증 마스터 세션 키 rMSK1을 저장했을 수 있고, 인증 서버(701)와 통신함이 없이 AP(104j)에 대한 PMK-R1-2가 생성될 수 있다.
[0084] STA(106)가 메시지 교환(715c)을 통해 AP(104k)와 인증을 수행하는 경우, EAP 재인증(EAP-RP)이 인증 서버(701)에 대해 수행될 수 있다. STA(106)는, AP(104k)가 AP(104j)와 상이한 모빌리티 도메인에 있다고 결정하는 것에 적어도 부분적으로 기초하여 EAP-RP를 수행할 것을 결정할 수 있다. 이러한 정보는 AP(104j) 및 AP(104k)에 의해 송신되는 비콘 신호들을 통해 제공될 수 있다. STA(106)는 또한, AP(104k)에 의해 송신되는 비콘 신호들을 통해, 자신의 홈 인증 서버(701)가 AP(104k)를 통해 액세스가능하다는 것을 결정할 수 있다. 메시지 교환(715c)을 통해 발생하는 EAP 재인증은 홈 인증 서버(701)로 하여금 재인증 루트 키 rRK2를 로컬 ER 서버(706b)에 제공하게 할 수 있다. 로컬 ER 서버(706b)는 재인증 루트 키 rRK2로부터 재인증 마스터 세션 키 rMSK2를 유도한다. 그 후, rMSK2에 기초하여(몇몇 양상들에서는, PMK-R0과 같은 중간 쌍 방식 마스터 키를 통해) PMK-R1-3이 유도된다. PMK-R1-3은 그 후, AP(104k)와 STA(106) 간의 통신에 대해 사용된다.
[0085] STA(106)가 인증 메시지 교환(715d)을 통해 AP(104l)와 인증을 수행하는 경우, 로컬 ER 서버(706b)(또는 도 8의 키 홀더 디바이스(807b))는 STA(106)와 AP(104l) 간의 통신에서 사용하기 위한 키를 요청하는 키 요청 메시지를 AP(104l)로부터 수신할 수 있다. 로컬 ER 서버(706b)가 rMSK2를 저장했으므로, 로컬 ER 서버(706b)는 AP(104l)와 STA(106) 간의 통신에서 사용하기 위한 PMK-R1-4를 유도하여 PMK-R1-4를 포함하는 키 응답 메시지를 AP(104l)에 송신할 수 있다.
[0086] 도 8에서, 메시지 교환(815a)은, 도 3에 관하여 위에 논의된 바와 같이, 확장가능 인증 프로토콜 재인증 프로토콜(EAP-RP) 인증을 수행할 수 있다. 메시지 교환(815b)은, 몇몇 양상들에서, 도 4에 관하여 위에 논의된 바와 같이, 고속 기본 서비스 세트 트랜지션(FT) 인증을 수행할 수 있다. 유사하게, 메시지 교환(815c)은 EAP-RP 인증을 수행할 수 있는 한편, 메시지 교환(815d)은 FT 인증을 수행한다.
[0087] 도 7에 관하여 논의된 메시징과 유사하게, AP(104j) 및/또는 AP(104l)가 STA(106)와 고속 기본 서비스 세트 트랜지션 인증을 수행하는 것에 대한 응답으로, AP들(104j) 및/또는 AP(104l)는 각각 키 요청 메시지들을 R0 키 홀더 디바이스들(807a 및/또는 807b)에 송신할 수 있다. AP들(104j) 및/또는 AP(104l)는 키 요청 메시지에 대한 응답으로 PMK-R1-2 및/또는 PMK-R1-4를 생성하여 키 응답 메시지를 통해 PMK들을 AP들에 송신할 수 있다. 대안적으로, R0 키 홀더 디바이스들(807a-b)은, 재인증 마스터 세션 키가 각각 로컬 ER 서버들(806a-b)로부터 수신되는 경우 PMK-R1들을 AP들에 사전에 송신할 수 있다.
[0088] 도 8에 도시된 인증 방법(800)을 이용하여, 로컬 ER 서버들(806a-b)과 같은 단일 로컬 ER 서버가 다수의 모빌리티 도메인들(즉, 키 홀더 디바이스들(807a-b)과 같은 다수의 키 홀더 디바이스들)을 지원할 수 있다.
[0089] 도 9는 인증 프로세스의 다른 실시예에서의 무선 네트워크 컴포넌트들 간의 메시지 흐름들을 예시한다. 인증 방법(900)에서, 모빌리티 도메인들(905a-b) 내에 어떠한 로컬 ER 서버들도 존재하지 않는다. 따라서, 예를 들어, 도 7 또는 도 8에 도시된 바와 같이 인증 서버들(701 및 801)이 각각 로컬 ER 서버들(806a-b)에 재인증 루트 키들 rRK1 및 rRK2를 제공하는 경우, 인증 서버(901)가 재인증 루트 키를 로컬 ER 서버들에 제공하는 대신, 인증 서버(901)는 재인증 마스터 세션 키 rMSK1 및 rMSK2를 각각 키 홀더 디바이스들(907a-b)에 제공한다. 키 홀더 디바이스들(907a-b)은 또한 모빌리티 도메인 제어기들로 지칭될 수 있다. 몇몇 양상들에서, 키 홀더 디바이스들(907a-b)은 도 2에 도시된 무선 디바이스(202)일 수 있다. 키 홀더 디바이스들(907a-b)은 그 후, 위의 도 8에 관하여 설명된 키 홀더 디바이스들(807a-b)과 유사하게 동작할 수 있다. 예를 들어, 메시지 교환들(915a 및 915c) 각각은 EAP-RP 인증을 수행할 수 있는 한편, 메시지 교환들(915b 및 915d)은 고속 기본 서비스 세트 트랜지션(FT) 인증을 수행한다.
[0090] 도 9에서, 메시지 교환(915a)은, 도 3에 관하여 위에 논의된 바와 같이, 확장가능 인증 프로토콜 재인증 프로토콜(EAP-RP) 인증을 수행할 수 있다. 메시지 교환(915b)은, 몇몇 양상들에서, 도 4에 관하여 위에 논의된 바와 같이, 고속 기본 서비스 세트 트랜지션(FT) 인증을 수행할 수 있다. 유사하게, 메시지 교환(915c)은 EAP-RP 인증을 수행할 수 있는 한편, 메시지 교환(915d)은 FT 인증을 수행한다.
[0091] 도 10은 무선 스테이션(106), 2개의 액세스 포인트들(AP(104o-p)), 키 홀더 디바이스 간의 메시지 시퀀스 도면이며, 이러한 경우에서는, 무선 랜 제어기(807a), 및 로컬 ER 서버, 이를테면 도 7의 로컬 ER 서버(706a 또는 706b), 또는 인증 서버, 이를테면 인증 서버들(801 또는 901) 중 임의의 인증 서버 간의 메시지 시퀀스 도면이다. 몇몇 양상들에서, 키 홀더 디바이스는 도 2의 무선 디바이스(202)일 수 있다. 몇몇 양상들에서, 키 홀더 디바이스는 모빌리티 도메인 제어기로 지칭될 수 있다.
[0092] 메시지 시퀀스(1000)가 발생하기 이전에, STA(106)는 제 1 모빌리티 도메인 내에서 자신의 홈 인증 서버와 전체 EAP 인증을 수행했을 수 있다. AP(104o)는 제 1 모빌리티 도메인과 상이한 제 2 모빌리티 도메인에 있을 수 있다. 몇몇 양상들에서, STA(106)는 AP(104o)에 의해 송신되는 비콘 신호들을 통해 AP(104o)가 제 2 모빌리티 도메인에 있다고 결정할 수 있다. STA(106)는 또한, 자신의 홈 인증 서버가 AP(104o)를 통해 액세스가능함을 결정할 수 있다. STA(106)는 그 후, 자신의 홈 인증 서버를 표시하는 EAP 재인증 요청(1002a)을 AP(104o)에 송신한다. EAP 재인증 요청(1002)은 메시지(1002b)로서 AP(104o)에 의해 무선 랜 제어기(WLC)(807a)에 포워딩(forward)될 수 있다. WLC(807a)는 메시지(1002c)로서 EAP 재인증 요청에 의해 표시되는 홈 도메인 인증 서버 또는 로컬 ER 서버에 EAP 재인증 요청 메시지를 송신할 수 있다.
[0093] 응답으로, 로컬 ER 서버 또는 홈 도메인 인가 서버는 STA(106)에 대한 재인증 마스터 세션 키(rMSK)("rMSK"로 도시됨)를 생성하고 재인증 응답(1004a)을 WLC(807a)에 송신한다. WLC(807a)는 재인증 마스터 세션 키(rRK)를 저장할 수 있다. WLC(807a)는 그 후, 재인증 마스터 세션 키(rMSK)에 기초하여 쌍 방식 마스터 키를 생성한다. WLC(807a)는 또한, 제 1 쌍 방식 마스터 키에 기초하여 제 2 쌍 방식 마스터 키를 생성할 수 있다. 몇몇 양상들에서, 제 1 쌍 방식 마스터 키는 PMK-R0인 한편, 제 2 쌍 방식 마스터 키는 PMK-R1이다. WLC(607a)는 그 후 EAP 재인증 응답 메시지(1004b)를 AP(104o)에 송신한다. 재인증 응답 메시지(1004b)는, 로컬 ER 서버 또는 홈 도메인 인증 서버로부터 수신되는 재인증 마스터 세션 키에 기초하는 PMK-R1과 같은 PMK를 포함할 수 있다. AP(1040)는 그 후 메시지(1004c)로서 재인증을 STA(106)에 포워딩한다.
[0094] 다음으로, STA(106)는 고속 기본 서비스 세트 트랜지션(FT) 인증 메시지를 AP(104p)에 송신한다. 응답으로, AP(104p)는 키 요청 메시지(1008)를 통해 WLC(807a)에 키를 요청한다. WLC(807a)는 그 후, STA(106)와의 통신에 대해 AP(104p)에 의해 사용하기 위한 제 2 PMK를 생성한다. 이러한 PMK는 STA(106) 및/또는 AP(104p)의 하나 또는 그 초과의 속성들에 기초하여 생성될 수 있다. 이러한 PMK, 즉 "PMK-R1-2"는 키 응답 메시지(1010)에서 AP(104p)에 송신된다.
[0095] AP(104p)는, WLC(807a)로부터 PMK-R1-2를 수신한 이후 메시지(1012)를 통해 STA(106)와의 FT 인증을 완료할 수 있다.
[0096] 몇몇 다른 양상들에서, "PMK-R1-2"는 키 요청 메시지(1008)의 수신 이전에 WLC(807a)에 의해 사전에 생성될 수 있다. 예를 들어, PMK-R1-2는 STA(106)와의 EAP-RP 교환(1002/1004) 동안 생성될 수 있다. 몇몇 양상들에서, PMK-R1-2는 FT 인증 메시지(1006)가 STA(106)에 의해 송신되기 이전이라 하더라도 WLC(807a)에 의해 액세스 포인트에 송신될 수 있다.
[0097] 도 11은 도 8-10에 도시된 인증 방법과 같은 인증 방법에서의 키 계층을 도시한다. 도 11은 루트 키(1102)를 도시한다. 마스터 세션 키(MSK)(1104)는 루트 키(1102)로부터 유도될 수 있다. 하나 또는 그 초과의 유도된 마스터 세션 키(MSK)들(1106)은 마스터 세션 키(1104)로부터 유도될 수 있다. 쌍 방식 마스터 키(PMK)(1108)는 유도된 마스터 세션 키(1106)로부터 유도될 수 있다.
[0098] 확장형 마스터 세션 키(EMSK)(1110)는 루트 키(1102)로부터 유도될 수 있다. 몇몇 양상들에서, EMSK는 적어도 64 비트일 수 있고, RFC 3748에 따른 STA와 인증 서버 간의 상호 인증의 결과로서 유도될 수 있다. 몇몇 양상들에서, EMSK는 RFC 5247에 따라 바이너리(binary) 또는 텍스트(textual) 표시 및 확장가능 인증 프로토콜 세션 식별자를 사용하여 명명될 수 있다. 세션 식별자는 (RFC 5217 부록에 따라) 확장가능 인증 프로토콜(EAP) 방법에 기초하여 정의될 수 있다. EAP-TLS (RFC 5216)의 경우 다음과 같다.
Key_Material = TLS-PRF-128(RK, "client EAP encryption", client.random || server.random)(TLS-PRF-128은 1024비트 출력을 생성함)
MSK = Key_Material(0,63) (즉, 더 높은 512 비트의 Key_Material)
EMSK = Key_Material(64,127) (즉, 더 낮은 512 비트의 Key_Material)
Figure pct00001
여기서, client.random 및 server.random은 인증 동안 서버(AS)와 클라이언트(STA) 간에 교환되는 난수들(각각 32B)이며, TLS-PRF-X는 X 옥텟(즉, 8X 비트들) 값을 출력하고 RFC4346에서 정의된다.
[0099] 하나 또는 그 초과의 도메인 특정 루트 키들(DSRK)(1112)은 EMSK(1110)로부터 유도될 수 있다. 재인증 루트 키(1114)는 도메인 특정 루트 키들(1112) 중 하나로부터 유도될 수 있다. 몇몇 양상들에서, 재인증 루트 키(1114)의 유도는 RFC 6696의 섹션 4.1에서 명시된다. 예를 들어, 재인증 루트 키는 다음에 의해 정의될 수 있다.
rRK = KDF(K,S), 여기서:
K = EMSK 또는 K = DSRK 및
Figure pct00002
rRK 라벨은 IANA-할당 8-비트 ASCII 스트링, 즉 RFC 5295에 언급된 정책에 따라 "USRK Key Labels" 명칭 공간으로부터 할당된 EAP Re-authentication Root [email protected]이다.
키 유도 함수(KDF; Key Derivation Function) 및 KDF에 대한 알고리즘 어질리티(agility)는 RFC 5295에 정의된 바와 같다.
[00100] 재인증 무결성 키(1115)는 재인증 루트 키(1114)로부터 유도될 수 있다. 몇몇 양상들에서, 재인증 루트 키(1114)는 RFC 6696에 명시된 바와 같이 유도될 수 있다. 예를 들어, rIK는 다음과 같이 유도될 수 있다.
rIK = KDF (K, S), 여기서
K = rRK 및
Figure pct00003
[00101] rIK 라벨은 8-비트 ASCII 스트링, 즉 Re-authentication Integrity [email protected]이다. 길이 필드는 rIK의 길이를 옥텟 단위로 나타내며, RFC 5295에 명시된 바와 같이 인코딩된다.
[00102] 하나 또는 그 초과의 재인증마스터 세션 키들(rMSK)(1116)은 재인증 루트 키(1114)로부터 유도될 수 있다. 몇몇 양상들에서, rMSK는 RFC 6696에 따라 유도될 수 있다. 예를 들어, rMSK는 다음과 같이 유도될 수 있다.
rMSK = KDF (K, S), 여기서
K = rRK 및
Figure pct00004
rMSK 라벨은 8-비트 ASCII 스트링, 즉 Re-authentication Master Session [email protected]이다.
길이 필드는 rMSK의 길이를 옥텟 단위로 나타내며, RFC 5295에 명시된 바와 같이 인코딩된다.
[00103] 도 8-10에 관하여 위에 논의된 바와 같이, 하나 또는 그 초과의 쌍 방식 마스터 키(PMK)들(1118)이 재인증 마스터 세션 키(1116)로부터 유도될 수 있다. 도 11에 도시된 바와 같이, 재인증 마스터 세션 키(1116)로부터 유도되는 쌍 방식 마스터 키들은 PMK-R0 쌍 방식 마스터 키들이다. 하나 또는 그 초과의 제 2 레벨 쌍 방식 마스터 키들(1120)이 단일 고속 기본 서비스 세트 트랜지션 제 1 레벨 PMK(1118)로부터 유도될 수 있다. 도 11에 도시된 바와 같이, 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키들(1120)은 PMK-R1 쌍 방식 마스터 키들이다. 위에 논의된 키 유도들 중 임의의 것에서, HMAC-SHA-256이 디폴트(default) 키 유도 함수(KDF)로서 사용될 수 있다.
[00104] 도 12는 디바이스를 인증하는 방법의 흐름도이다. 몇몇 양상들에서, 방법(1200)은 도 7-10에 관하여 위에 설명된 무선 LAN 제어기들, 모빌리티 도메인 제어기들, 및/또는 도 2의 무선 디바이스(202)에 의해 수행될 수 있다. 예를 들어, 방법(1200)은 도 7의 로컬 ER 서버(706a-b), 도 8의 로컬 ER 서버들(806a-b) 및/또는 별개의 키 홀더 디바이스들(807a-b), 도 9의 키 홀더 디바이스들(907a-b), 또는 도 10의 WLC(807a) 중 하나 또는 그 초과에 의해 수행될 수 있다. 몇몇 양상들에서, 방법(1200)은 IEEE 802.11 고속 트랜지션 키 홀더 아키텍쳐에서 정의되는 바와 같은 R0 키 홀더 디바이스에 의해 수행된다.
[00105] 몇몇 양상들에서, 도 12는 2개의 상이한 인증 프로토콜들 간에 상호운용성을 제공할 수 있다. 예를 들어, 제 1 인증 프로토콜은 제 2 인증 프로토콜에 비해 몇몇 이점들을 제공할 수 있다. 제 2 인증 프로토콜은 무선 네트워크 내에 광범위하게 배치될 수 있다. 제 1 인증 프로토콜을 네트워크 전반에 걸쳐 광범위하게 배치하는 것은 엄청난 비용이 들 수 있으며, 제 1 인증 프로토콜이 완전히 활용될 수 있도록 배치가 완료될 수 있기 이전에 상당한 시간 기간을 요구할 수 있다. 제 2 인증 프로토콜은 제 1 인증 프로토콜에 비해 몇몇 이점들을 제공할 수 있지만, 무선 네트워크 전반에 걸쳐 광범위하게 제 2 인증 프로토콜을 배치하는 것은 많은 비용이 들 수 있고 향후의 상당한 시간 기간 동안 달성되지 않을 수 있다. 아래에 설명되는 방법(1200)은, 제 1 인증 프로토콜이 이미 광범위하게 배치될 수 있다는 점에서, 일부 구현들이 제 1 인증 프로토콜의 이점들을 레버리징(leverage)하는 것을 허용할 수 있다.
[00106] 방법(1200)은 2개의 별개의 액세스 포인트들을 통한 무선 디바이스의 인증을 달성하기 위해 제 1 및 제 2 인증 프로토콜들을 둘 모두를 활용한다. 2개의 인증 프로토콜들을 통한 하이브리드 인증 접근법을 활용함으로써, 2개의 액세스 포인트들을 통해 제 1 무선 디바이스를 인증하기 위해 제 1 인증 프로토콜을 독점적으로 활용하는 배치와 비교하여 개선된 효율을 가능하게 하는데 있어 더 적은 배치들의 제 2 인증 프로토콜이 필요할 수 있다.
[00107] 블록(1205)에서, 제 1 무선 디바이스에 대한 제 1 인증 프로토콜 재인증 응답이 디바이스에 의해 수신된다. 몇몇 양상들에서, 재인증 응답은 로컬 ER 서버 또는 인증 서버로부터 수신된다. 몇몇 양상들에서, 제 1 인증 프로토콜은 확장가능 인증 프로토콜 재인증 프로토콜(EAP-RP)이다. 몇몇 양상들에서, 재인증 응답은 몇몇 양상들에서는 RFC 6696에서 정의되는 바와 같은 EAP 종료/재-인증 패킷들일 수 있다.
[00108] 재인증 응답은 재인증 마스터 세션 키(rMSK)를 포함한다. 재인증 마스터 세션 키는 재인증 응답으로부터 디코딩될 수 있다. 재인증 마스터 세션 키는 재인증 루트 키로부터 유도될 수 있다. 예를 들어, 도 11에 도시된 바와 같이, rMSK(1116)는 재인증 루트 키 rRK(1114)로부터 유도될 수 있다.
[00109] 몇몇 양상들에서, ER 서버 또는 인증 서버로부터 블록(1205)에서 수신되는 재인증 응답은, 디바이스에 의해 로컬 ER 또는 인증 서버에 송신되는 제 1 인증 프로토콜 재인증 요청에 대한 응답으로 이루어진다. 몇몇 양상들에서, 재인증 요청 메시지는 RFC6696에서 설명되는 바와 같은 EAP 개시/재-인증 패킷일 수 있다. 디바이스는 제 1 액세스 포인트로부터 무선 디바이스에 대한 재인증 요청을 수신할 수 있다. 디바이스는 그 후, 제 1 액세스 포인트로부터 수신되는 재인증 요청을 로컬 ER 서버 또는 요청에 의해 표시되는 홈 인증 서버로 중계할 수 있다.
[00110] 몇몇 양상들에서, 디바이스는, 재인증 응답에 포함된 재인증 마스터 세션 키에 기초하여 제 1 쌍 방식 마스터 키(PMK)를 생성한다. 몇몇 양상들에서, 제 1 PMK는 IEEE PMK-R0이고, 이는 몇몇 양상들에서, 802.11 고속 기본 서비스 세트 트랜지션 키 계층에서의 제 1 레벨 키이다. 그 후, 제 2 쌍 방식 마스터 키(PMK)가 제 1 PMK에 기초하여 생성될 수 있다. 몇몇 양상들에서, 이러한 제 2 PMK는 고속 트랜지션 키 홀더 아키텍쳐의 제 2 레벨 PMK(즉, PMK-R1)이다. 몇몇 양상들에서, 제 2 PMK는 무선 디바이스 및/또는 제 1 액세스 포인트의 하나 또는 그 초과의 특성들에 기초하여 생성된다. 몇몇 양상들에서, 블록(1205)은 무선 디바이스(202)의 수신기(212)에 의해 수행될 수 있다.
[00111] 블록(1210)에서, 제 1 인증 프로토콜 재인증 응답이 제 1 액세스 포인트에 송신된다. 몇몇 양상들에서, 재인증 응답은 IETF RFC 6696에서 설명되는 바와 같은 EAP 종료/재-인증 패킷일 수 있다. 제 1 인증 프로토콜 재인증 응답은 재인증 마스터 세션 키(rMSK)에 기초하는데, 예를 들어, 응답은 rMSK 또는 rMSK로부터 유도되는 데이터를 포함하거나 또는 그렇지 않으면 이를 표시할 수 있다. 몇몇 양상들에서, 제 1 인증 프로토콜 재인증 응답은 재인증 마스터 세션 키에 기초하는데, 이는, 재인증 마스터 세션 키가, 재인증 마스터 세션 키로부터 유도되는 IEEE 802.11 고속 BSS 트랜지션(FT) 제 1 레벨 PMK(예컨대, PMK-R0)와 같은 다른 PMK로부터 유도되는, 위에 논의된 제 2 레벨 PMK(즉, PMK-R1)와 같은 PMK를 포함하기 때문이다. 몇몇 양상들에서, 블록(1210)은 무선 디바이스(202)의 송신기(210)에 의해 수행될 수 있다.
[00112] 몇몇 양상들에서, 제 2 액세스 포인트와 무선 디바이스 간의 통신에 대한 키 요청 메시지는 제 2 액세스 포인트로부터 수신된다. 이들 양상들 중 일부에서, 키 요청 메시지는, 제 2 액세스 포인트가 무선 디바이스에 대한 제 2 인증 프로토콜 인증 요청을 수신하는 것에 대한 응답으로 수신된다. 몇몇 양상들에서, 제 2 인증 프로토콜 요청은, 예컨대 도 4에 관하여 위에 설명된 바와 같이, IEEE 802.11 고속 기본 서비스 세트(BSS) 트랜지션(FT) 인증 요청이다. 몇몇 양상들에서, 제 2 인증 프로토콜은 오픈(open) 시스템 인증 알고리즘을 사용하는 IEEE 802.11 인증이다. 몇몇 양상들에서, 제 2 인증 프로토콜 인증은 SAE(simultaneous authentication of equals)를 사용하는 IEEE 802.11 인증이다.
[00113] 블록(1220)에서, 쌍 방식 마스터 키(PMK)가 생성된다. 블록(1220)에서 생성되는 PMK는, 블록(1205)에서 ER(또는 인증) 서버로부터 수신되는 제 1 인증 프로토콜 인증 응답으로부터 디코딩되는 재인증 마스터 세션 키(rMSK)에 기초할 수 있다. 몇몇 양상들에서, PMK는 또한 무선 디바이스 및/또는 제 2 액세스 포인트의 하나 또는 그 초과의 속성들에 기초하여 생성된다. 예를 들어, 위에 논의된 바와 같이, IEEE 802.11 고속 BSS 트랜지션(FT) 제 1 레벨 PMK(즉, PMK-R0)는 재인증 마스터 세션 키(rMSK)에 기초하여 생성될 수 있다. 블록(1220)에서 생성되는 PMK는 위에 논의된 PMK-R0(이는, 재인증 마스터 세션 키에 기초함)에 기초할 수 있다. 따라서, 블록(1220)에서 생성되는 PMK는, IEEE 802.11 고속 BSS 트랜지션(FT) 제 1 레벨 PMK에 기초하여 생성되기 때문에 제 2 레벨 PMK로 고려될 수 있다. 블록(1220)에서 생성되는 PMK는 몇몇 양상들에서 IEEE 802.11 고속 BSS 트랜지션(FT) 제 2 레벨 PMK(이를테면, PMK-R1)일 수 있다. 도 12가 블록(1205-1210)에 관하여 위에 논의된 PMK들에 대해 블록(1220)에서 생성되는 PMK를 제 1 PMK로 지칭하지만, 이는 제 3 PMK일 수 있다. 몇몇 양상들에서, 위에 논의된 PMK들은 IEEE 802.11r 프로토콜 표준에 따라 생성될 수 있다. 몇몇 양상들에서, 블록(1220)은 무선 디바이스(202)의 프로세서(204)에 의해 수행될 수 있다.
[00114] 블록(1225)에서, 블록(1220)에서 생성된 PMK를 포함하도록 키 메시지가 생성된다. 몇몇 양상들에서, 블록(1225)은 무선 디바이스(202)의 프로세서(204)에 의해 수행될 수 있다.
[00115] 블록(1230)에서, 키 메시지가 제 2 액세스 포인트에 송신된다. 블록(1225)에서 생성된 PMK는 무선 디바이스와 제 2 액세스 포인트 간의 통신에 대해 사용된다. 예를 들어, PMK는 제 2 액세스 포인트와 무선 디바이스 간에 송신되는 데이터를 암호화하기 위해 사용될 수 있다.
[00116] 제 2 액세스 포인트에 대한 PMK를 포함하는 키 메시지를 수신하는 것에 대한 응답으로, 제 2 액세스 포인트는 제 1 무선 디바이스와의 제 2 인증 프로토콜을 완료할 수 있다. 몇몇 양상들에서, 제 2 인증 프로토콜을 완료하는 것은, 고속 기본 서비스 세트(BSS) 트랜지션(FT) 인증 응답을 제 1 무선 디바이스에 송신하는 것을 포함한다. 몇몇 양상들에서, 제 2 인증 프로토콜은 오픈 시스템 인증 알고리즘 또는 SAE 중 어느 하나를 사용하는 IEEE 802.11 인증 응답이다. 몇몇 양상들에서, 블록(1230)은 무선 디바이스(202)의 송신기(210)에 의해 수행될 수 있다.
[00117] 도 13은 디바이스에 의한 네트워크를 통한 인증 방법의 흐름도이다. 몇몇 양상들에서, 프로세스(1300)는 위에 설명된 스테이션(106)에 의해 수행될 수 있다. 몇몇 양상들에서, 프로세스(1300)는 2개의 상이한 인증 프로토콜들 간에 상호운용성을 제공할 수 있다. 예를 들어, 제 1 인증 프로토콜은 제 2 인증 프로토콜에 비해 몇몇 이점들을 제공할 수 있다. 제 2 인증 프로토콜은 무선 네트워크 내에 광범위하게 배치될 수 있다. 제 1 인증 프로토콜을 네트워크 전반에 걸쳐 광범위하게 배치하는 것은 엄청난 비용이 들 수 있으며, 제 1 인증 프로토콜이 완전히 활용될 수 있도록 배치가 완료될 수 있기 이전에 상당한 시간 기간을 요구할 수 있다. 제 2 인증 프로토콜은 제 1 인증 프로토콜에 비해 몇몇 이점들을 제공할 수 있지만, 무선 네트워크 전반에 걸쳐 광범위하게 제 2 인증 프로토콜을 배치하는 것은 많은 비용이 들 수 있고 향후의 상당한 시간 기간 동안 달성되지 않을 수 있다. 아래에 설명되는 프로세스(1300)는, 제 1 인증 프로토콜이 이미 광범위하게 배치될 수 있다는 점에서, 일부 구현들이 제 1 인증 프로토콜의 이점들을 레버리징하는 것을 허용할 수 있다.
[00118] 위에 논의된 바와 같이, 몇몇 양상들에서, 제 1 액세스 포인트로부터 제 2 액세스 포인트로 이동하는 스테이션은, 예를 들어 제 1 및 제 2 액세스 포인트들이 동일한 모빌리티 도메인의 일부인 경우, 동일한 모빌리티 도메인 내에 머무를 수 있다. 이러한 경우가 발생하는 경우, 스테이션은 전체 EAP 인증을 수행함이 없이 제 2 액세스 포인트와 인증을 수행하는 것이 가능할 수 있다. 대신, 2개의 액세스 포인트들이 동일한 모빌리티 도메인들 내에 있으면, 스테이션은 802.11 고속 BSS 트랜지션 인증을 사용하여 인증을 수행할 수 있다.
[00119] 프로세스(1300)는 2개의 별개의 액세스 포인트들을 통한 무선 디바이스의 인증을 달성하기 위해 제 1 및 제 2 인증 프로토콜들을 둘 모두를 활용한다. 2개의 인증 프로토콜들을 통한 하이브리드 인증 접근법을 활용함으로써, 2개의 액세스 포인트들을 통해 제 1 무선 디바이스를 인증하기 위해 제 1 인증 프로토콜을 독점적으로 활용하는 배치와 비교하여 개선된 효율을 가능하게 하는데 있어 더 적은 배치들의 제 2 인증 프로토콜이 필요할 수 있다.
[00120] 블록(1305)에서, 인증 디바이스에 의해, 네트워크를 통해 제 1 액세스 포인트로부터 메시지가 수신된다. 메시지는 제 1 액세스 포인트에 의해 지원되는 하나 또는 그 초과의 인증 프로토콜들을 표시할 수 있다. 예를 들어, 몇몇 양상들에서, 메시지에 포함된 능력 리스트는 제 1 액세스 포인트가 제 1 및/또는 제 2 인증 프로토콜을 지원하는지 여부를 표시할 수 있다. 예를 들어, 메시지는, 제 1 액세스 포인트가 IEEE 802.11 고속 BSS 트랜지션(FT) 인증을 지원하는지 여부, 및/또는 제 1 액세스 포인트가 EAP(EAP-RP를 포함함) 인증을 지원하는지 여부를 표시할 수 있다. 몇몇 양상들에서, 블록(1305)은 수신기(212) 및/또는 프로세서(204)에 의해 수행될 수 있다.
[00121] 블록(1310)에서, 인증 디바이스에 의해, 블록(1310)에서 수신되는 메시지에 기초하여, 제 1 액세스 포인트와 제 1 인증 프로토콜을 통해 인증을 수행할지 또는 제 2 인증 프로토콜을 통해 인증을 수행할지의 결정이 이루어진다. 몇몇 양상들에서, 인증 디바이스는 액세스 포인트에 의해 지원되는 것으로 발견된 인증 방법들을 우선순위화할 수 있다. 몇몇 양상들에서, 제 1 인증 프로토콜이 지원되면, 디바이스는 제 1 인증 프로토콜을 선택할 수 있다. 몇몇 다른 구현들에서, 우선순위화가 상이할 수 있기 때문에, 동일한 상황에서 제 2 인증 프로토콜이 지원된다.
[00122] 몇몇 양상들에서, 네트워크 메시지는, 어느 모빌리티 도메인 식별자에 제 1 액세스 포인트가 연관되는지를 표시하는 모빌리티 도메인 식별자를 표시할 수 있다. 블록(1310)의 몇몇 양상들은 또한, 제 2 액세스 포인트와 인증을 수행하는 것, 및 제 2 액세스 포인트의 제 2 모빌리티 도메인 식별자를 표시하는 메시지를 제 2 액세스 포인트로부터 수신하는 것을 포함한다. 몇몇 양상들에서, 인증 디바이스는 또한 제 2 액세스 포인트와 인증을 수행한다. 인증 디바이스는 그 후 물리적 위치들을 이동할 수 있고, 제 1 액세스 포인트와 인증을 수행할 수 있다. 몇몇 양상들에서, (인증디바이스가 이전에 제 2 액세스 포인트와 인증을 수행한 이후에 통신하는) 제 1 액세스 포인트의 모빌리티 도메인이 제 2 액세스 포인트와 상이한 제 2 모빌리티 도메인에 있으면, 디바이스는 제 1 액세스 포인트와 EAP-RP 인증을 수행할 것을 결정할 수 있다.
[00123] 대조적으로, 2개의 액세스 포인트들의 모빌리티 도메인들이 동일하면, 인증 디바이스는 제 1 액세스 포인트와 인증을 수행하기 위해 IEEE 802.11 고속 BSS 트랜지션(FT) 인증을 활용할 수 있다.
[00124] 몇몇 양상들에서, 결정은 네트워크 메시지 이외의 부가적인 팩터들에 기초할 수 있다. 예를 들어, 몇몇 양상들에서, 프로세스(1300)를 수행하는 디바이스에 의해 전체 EAP 인증이 수행된 이후의 시간 기간이 시간 임계치를 초과하면, 다른 인증 프로토콜들이 제 1 액세스 포인트에 의해 지원되는 것으로 (네트워크 메시지를 통해) 표시되는지 여부에 관계없이 제 1 액세스 포인트와 전체 EAP 인증이 수행될 수 있다. 부가하여, 인증 디바이스가 액세스 포인트를 통해 한 번도 인증이 수행되지 않았으면, 네트워크 메시지의 표시들에 관계없이 전체 EAP 인증이 수행될 수 있다. 몇몇 양상들에서, 블록(1310)에 관하여 위에 논의된 기능들 중 하나 또는 그 초과는 프로세서(204)에 의해 수행될 수 있다.
[00125] 블록(1320)에서, 인증 디바이스는 결정된 인증 프로토콜을 사용하여 제 1 액세스 포인트와 인증을 수행한다. 따라서, 몇몇 양상들에서, 블록(1320)은, 예컨대 도 4에 관하여 위에 설명된 바와 같이, 제 1 액세스 포인트와 IEEE 802.11 고속 BSS 트랜지션(FT) 인증 메시지 교환을 수행한다. 몇몇 양상들에서, 인증 디바이스는, 도 3의 예에 대해 위에 설명된 바와 같이, EAP(및/또는 EAP-RP) 인증을 사용하여 제 1 액세스 포인트와 인증을 수행한다.
[00126] EAP-RP 인증을 사용하여, 인증 디바이스는 재인증 마스터 세션 키(rMSK)를 유도할 수 있다. 예를 들어, rMSK는 rMSK - KDF (K, S)로 유도될 수 있으며, 여기서, K = rRK 이고
Figure pct00005
이다. rMSK 라벨은 8-비트 ASCII 스트링, 즉 "Re-authentication Master Session [email protected]"이다. 길이 필드는 rMSK의 길이를 옥텟 단위로 나타낸다. rRK는 EMSK 또는 DSRK로부터 유도될 수 있다. 더 세부적인 사항들은 RFC 5296을 참조한다.
[00127] 인증 디바이스는 그 후, 재인증 마스터 세션 키에 기초하여 제 1 고속 기본 서비스 세트 트랜지션 쌍 방식 마스터 키를 생성할 수 있다. 이러한 제 1 고속 기본 서비스 세트 트랜지션 쌍 방식 마스터 키는 제 1 레벨 IEEE 고속 BSS 트랜지션(FT) 인증 PMK일 수 있다. 몇몇 양상들에서, 제 1 쌍 방식 마스터 키는, IEEE 802.11 고속 BSS 트랜지션 프로토콜 표준들에 설명된 바와 같이, PMK-R0 쌍 방식 마스터 키의 생성에 따라 생성될 수 있다. 그 후, 제 2 고속 기본 서비스 세트 트랜지션 쌍 방식 마스터 키가 제 1 쌍 방식 마스터 키에 기초하여 생성될 수 있다. 몇몇 양상들에서, 이러한 제 2 고속 기본 서비스 세트 트랜지션 쌍 방식 마스터 키는, 제 1 액세스 포인트의 BSS 식별자 및/또는 스테이션 어드레스와 같은 제 1 액세스 포인트의 하나 또는 그 초과의 속성들에 기초하여 생성될 수 있다. 몇몇 양상들에서, 유도된 제 2 고속 기본 서비스 세트 트랜지션 쌍 방식 마스터 키는 IEEE 802.11 고속 BSS 트랜지션(FT) 제 2 레벨 PMK일 수 있다. 인증 디바이스는 그 후 제 2 쌍 방식 마스터 키를 사용하여 제 1 액세스 포인트와 통신할 수 있다. 예를 들어, 제 1 액세스 포인트에 전송되거나 또는 이로부터 수신된 하나 또는 그 초과의 메시지들은 각각 제 2 쌍 방식 마스터 키를 사용하거나 또는 아래에 논의되는 제 2 쌍 방식 마스터 키로부터 유도된 키, 이를테면 PTK를 사용하여 암호화 및/또는 복호화될 수 있다.
[00128] 몇몇 양상들에서, 인증 디바이스는 제 1 쌍 방식 마스터 키에 기초하여 제 3 쌍 방식 마스터 키를 생성할 수 있다. 이러한 제 3 쌍 방식 마스터 키는 IEEE 802.11 고속 BSS 트랜지션 프로토콜 명세들에서 설명되는 바와 같이 PMK-R1에 따라 생성될 수 있다. 다시 말해서, 제 3 쌍 방식 마스터 키는 IEEE 802.11 고속 BSS 트랜지션(FT) 제 2 레벨 PMK일 수 있다. 제 3 쌍 방식 마스터 키는 또한, 몇몇 양상들에서, 제 2 액세스 포인트의 MAC 스테이션 어드레스 및/또는 제 2 액세스 포인트의 BSS 식별자와 같은 제 2 액세스 포인트의 하나 또는 그 초과의 속성들에 기초하여 생성될 수 있다. 제 2 액세스 포인트와의 통신은 제 3 쌍 방식 마스터 키에 기초할 수 있다. 예를 들어, 제 2 액세스 포인트로 송신 및/또는 수신되는 메시지들은 제 3 쌍 방식 마스터 키 또는 제 3 쌍 방식 마스터 키로부터 유도된 키, 이를테면 PTK에 기초할 수 있다.
[00129] 몇몇 양상들에서, 인증 디바이스는, 제 1 액세스 포인트와의 통신에 대해 PFS(perfect forward secrecy)가 요구되는지 여부를 결정할 수 있다. 몇몇 양상들에서, 이러한 결정은 블록(1305)에서 수신되는 네트워크 메시지에 기초할 수 있다. PFS가 요구된다고 결정되면, 인증 디바이스는, 결정에 대한 응답으로 제 1 액세스 포인트와 디피-헬만 키 교환을 수행할 수 있다. 몇몇 양상들에서, 디피-헬만 키 교환은 쌍 방식 트랜션트 키(PTK)를 생성하는데 사용된다. 몇몇 양상들에서, 쌍 방식 트랜션트 키는
Figure pct00006
로 유도될 수 있고, 여기서, A는 STA의 시크릿이고, B는 AP의 시크릿이고(또는 A가 AP의 시크릿이고 B가 STA의 시크릿임), 그리고 gAB는 DH 키 교환의 결과이다. 그러므로, 몇몇 양상들에서, STA 및 AP가 PTK를 유도하기 전에 이들은 gA 및 gB를 교환할 수 있는데, 즉 디피-헬만(DH) 키 교환을 수행할 수 있다.
[00130] 몇몇 양상들에서, PTK는 그 후 제 1 액세스 포인트와의 통신에 대해 사용될 수 있다. 예를 들어, 제 1 액세스 포인트에/로부터 송신 및/또는 수신되는 메시지들은 PTK를 사용하여 암호화 및/또는 복호화될 수 있다. 몇몇 양상들에서, 제 2 액세스 포인트와의 통신(메시지들의 암호화/복호화)에서 사용하기 위해, 위에 설명된 방식과 유사한 방식으로 제 2 PTK가 생성될 수 있다.
[00131] 몇몇 양상들에서, 블록(1320)에 관하여 위에서 논의된 기능들 중 하나 또는 그 초과는 프로세서(204)에 의해 수행될 수 있고, 몇몇 양상들에서는, 수신기(212) 및/또는 송신기(210) 중 하나 또는 그 초과와 함께 수행될 수 있다.
[00132] 본원에서 사용되는 용어 "결정"은 광범위한 동작들을 포함한다. 예를 들어, "결정"은 계산, 컴퓨팅, 프로세싱, 유도, 검사, 검색(예컨대, 표, 데이터베이스 또는 다른 데이터 구조에서의 검색), 확인 등을 포함할 수 있다. 또한, "결정"은 수신(예컨대, 정보 수신), 액세스(예컨대, 메모리 내의 데이터에 액세스) 등을 포함할 수 있다. 또한, "결정"은 해결, 선택, 선정, 설정 등을 포함할 수 있다. 추가로, 본원에서 사용되는 "채널 폭"은 특정 양상들에서 대역폭을 포함할 수 있거나 또는 대역폭으로 또한 지칭될 수 있다.
[00133] 본원에서 사용되는 바와 같이, 아이템들의 리스트 "중 적어도 하나"를 지칭하는 어구는 단일 멤버들을 포함하여 그 아이템들의 임의의 결합을 지칭한다. 예로서, “a, b, 또는 c 중 적어도 하나”는, a, b, c, a-b, a-c, b-c, 및 a-b-c를 커버하도록 의도된다.
[00134] 위에서 설명된 방법들의 다양한 동작들은, 다양한 하드웨어 및/또는 소프트웨어 컴포넌트(들), 회로들 및/또는 모듈(들)과 같은, 동작들을 수행할 수 있는 임의의 적절한 수단에 의해 수행될 수 있다. 일반적으로, 도면들에서 예시되는 임의의 동작들은, 그 동작들을 수행하는 것이 가능한 대응하는 기능 수단에 의해 수행될 수 있다.
[00135] 본 개시내용과 관련하여 설명되는 다양한 예시적인 로직 블록들, 모듈들, 및 회로들은 범용 프로세서, DSP(digital signal processor), ASIC(application specific integrated circuit), FPGA(field programmable gate array signal) 또는 다른 PLD(programmable logic device), 이산 게이트 또는 트랜지스터 로직, 이산 하드웨어 컴포넌트들 또는 본원에 설명된 기능들을 수행하도록 설계되는 이들의 임의의 조합으로 구현 또는 수행될 수 있다. 범용 프로세서는 마이크로프로세서일 수 있지만, 대안으로 프로세서는 임의의 상업적으로 이용가능한 프로세서, 제어기, 마이크로제어기 또는 상태 머신일 수 있다. 또한, 프로세서는 컴퓨팅 디바이스들의 조합, 예컨대 DSP와 마이크로프로세서의 조합, 복수의 마이크로프로세서들, DSP 코어와 결합된 하나 또는 그 초과의 마이크로프로세서들, 또는 임의의 다른 그러한 구성으로서 구현될 수 있다.
[00136] 하나 또는 그 초과의 양상들에서, 설명된 기능들은 하드웨어, 소프트웨어, 펌웨어, 또는 이들의 임의의 조합으로 구현될 수 있다. 소프트웨어로 구현되면, 기능들은 컴퓨터-판독가능 매체 상에 하나 또는 그 초과의 명령들 또는 코드로서 저장되거나 이들을 통해 송신될 수 있다. 컴퓨터-판독가능 매체들은, 일 장소에서 다른 장소로의 컴퓨터 프로그램의 전달을 용이하게 하는 임의의 매체를 포함한 통신 매체들 및 컴퓨터 저장 매체들 양자 모두를 포함한다. 저장 매체들은 컴퓨터에 의해 액세스될 수 있는 임의의 이용가능한 매체들일 수 있다. 제한이 아닌 예로서, 그러한 컴퓨터-판독가능 매체들은 RAM, ROM, EEPROM, CD-ROM 또는 다른 광학 디스크 저장부, 자기 디스크 저장 또는 다른 자기 저장 디바이스들, 또는 명령들 또는 데이터 구조들의 형태로 원하는 프로그램 코드를 반송 또는 저장하는데 사용될 수 있고, 컴퓨터에 의해 액세스될 수 있는 임의의 다른 매체를 포함할 수 있다. 또한, 임의의 연결수단(connection)이 컴퓨터-판독가능 매체로 적절히 지칭된다. 예컨대, 소프트웨어가 동축 케이블, 광섬유 케이블, 연선, DSL(digital subscriber line), 또는 적외선, 라디오 및 마이크로파와 같은 무선 기술들을 사용하여 웹사이트, 서버 또는 다른 원격 소스로부터 전송된다면, 동축 케이블, 광섬유 케이블, 연선, DSL, 또는 적외선, 라디오 및 마이크로파와 같은 무선 기술들이 매체의 정의에 포함된다. 본원에서 사용되는 바와 같이, 디스크(disk) 및 디스크(disc)는 컴팩트 디스크(disc)(CD), 레이저 디스크(disc), 광학 디스크(disc), 디지털 다목적 디스크(digital versatile disc)(DVD), 플로피 디스크(disk) 및 blu-Ray 디스크(disc)를 포함하며, 여기서 디스크(disk)들은 일반적으로 데이터를 자기적으로 재생하지만, 디스크(disc)들은 레이저들을 이용하여 광학적으로 데이터를 재생한다. 따라서, 일부 양상들에서, 컴퓨터-판독가능 매체는 비-일시적인 컴퓨터 판독가능 매체(예컨대, 유형적인(tangible) 매체)를 포함할 수 있다. 부가하여, 일부 양상들에서, 컴퓨터 판독가능 매체는 일시적인 컴퓨터-판독가능 매체(예컨대, 신호)를 포함할 수 있다. 또한, 상기의 것들의 조합들은 컴퓨터-판독가능 매체들의 범위 내에 포함되어야 한다.
[00137] 본원에서 개시된 방법들은 설명된 방법을 달성하기 위한 하나 또는 그 초과의 단계들 또는 동작들을 포함한다. 방법 단계들 및/또는 동작들은 청구항들의 범위를 벗어나지 않으면서 서로 상호교환될 수 있다. 즉, 단계들 또는 동작들의 특정한 순서가 특정되지 않으면, 특정 단계들 및/또는 동작들의 순서 및/또는 사용은 청구항들의 범위를 벗어나지 않으면서 수정될 수 있다.
[00138] 설명된 기능들은 하드웨어, 소프트웨어, 펌웨어, 또는 이들의 임의의 결합으로 구현될 수 있다. 소프트웨어로 구현되는 경우, 기능들은 컴퓨터-판독가능 매체 상에 하나 이상의 명령들로서 저장될 수 있다. 저장 매체는 컴퓨터에 의해 액세스 가능한 임의의 이용가능한 매체일 수 있다. 제한이 아닌 예로서, 그러한 컴퓨터-판독가능 매체들은 RAM, ROM, EEPROM, CD-ROM 또는 다른 광학 디스크 저장부, 자기 디스크 저장 또는 다른 자기 저장 디바이스들, 또는 명령들 또는 데이터 구조들의 형태로 원하는 프로그램 코드를 반송 또는 저장하는데 사용될 수 있고, 컴퓨터에 의해 액세스될 수 있는 임의의 다른 매체를 포함할 수 있다. 본원에 사용되는 바와 같이, 디스크(disk) 및 디스크(disc)는 컴팩트 디스크(disc)(CD), 레이저 디스크(disc), 광학 디스크(disc), DVD(digital versatile disc), 플로피 디스크(disk), 및 Blu-ray® 디스크(disc)를 포함하며, 여기서 디스크(disk)들은 일반적으로 데이터를 자기적으로 재생하지만 디스크(disc)들은 레이저들을 이용하여 데이터를 광학적으로 재생한다.
[00139] 따라서, 특정 양상들은 본원에서 제시된 동작들을 수행하기 위한 컴퓨터 프로그램 제품을 포함할 수 있다. 예를 들어, 이러한 컴퓨터 프로그램 제품은 명령들이 저장된(그리고/또는 인코딩된) 컴퓨터-판독가능 매체를 포함할 수 있고, 명령들은, 본 명세서에서 설명되는 동작들을 수행하도록 하나 또는 그 초과의 프로세서들에 의해 실행가능하다. 특정 양상들에 대해, 컴퓨터 프로그램 제품은 패키징 재료를 포함할 수 있다.
[00140] 소프트웨어 또는 명령들은 또한 송신 매체를 통해 송신될 수 있다. 예를 들어, 소프트웨어가 동축 케이블, 광섬유 케이블, 연선(twisted pair), 디지털 가입자 라인(DSL), 또는 (적외선, 라디오, 및 마이크로파와 같은) 무선 기술들을 사용하여 웹사이트, 서버, 또는 다른 원격 소스로부터 전송되면, 동축 케이블, 광섬유 케이블, 연선, DSL, 또는 (적외선, 라디오, 및 마이크로파와 같은) 무선 기술들은 송신 매체의 정의 내에 포함된다.
[00141] 추가로, 본원에서 설명된 방법들 및 기법들을 수행하기 위한 모듈들 및/또는 다른 적절한 수단이 적용가능한 경우 사용자 단말 및/또는 기지국에 의해 다운로드되고 그리고/또는 이와 다르게 획득될 수 있다는 점이 이해되어야 한다. 예컨대, 그러한 디바이스는, 본원에 설명된 방법들을 수행하기 위한 수단의 전달을 가능하게 하기 위해 서버에 커플링될 수 있다. 대안적으로, 본원에서 설명된 다양한 방법들은, 저장 수단(예컨대, RAM, ROM, CD(compact disc) 또는 플로피 디스크와 같은 물리적 저장 매체 등)을 통해 제공될 수 있어서, 사용자 단말 및/또는 기지국이 디바이스에 저장 수단을 커플링시키거나 제공할 시에 다양한 방법들을 획득할 수 있게 한다. 더욱이, 본원에서 설명된 방법들 및 기술들을 디바이스에 제공하기 위한 임의의 다른 적절한 기술이 이용될 수 있다.
[00142] 청구항들이 위에서 예시된 정확한 구성 및 컴포넌트들로 제한되지 않는다는 것이 이해될 것이다. 다양한 수정들, 변화들 및 변경들은 청구항들의 범위로부터 벗어나지 않으면서 전술된 방법들 및 장치의 어레인지먼트(arrangement), 동작 및 세부사항들 내에서 이루어질 수 있다.
[00143] 전술한 내용은 본 개시내용의 양상들에 관한 것이지만, 본 개시내용의 기본 범위를 벗어남이 없이 본 개시내용의 다른 양상들 및 추가적인 양상들이 고안될 수 있고, 본 개시내용의 범위는 하기 청구항들에 의해 결정된다.

Claims (26)

  1. 제 1 액세스 포인트, 제 2 액세스 포인트, 모빌리티 도메인(mobility domain) 제어기, 및 인증 서버를 포함하는 통신 시스템에서 스테이션을 인증하는 방법으로서,
    상기 모빌리티 도메인 제어기에서, 상기 인증 서버로부터 상기 스테이션에 대한 확장가능(extensible) 인증 프로토콜 재인증 응답을 수신하는 단계 ― 상기 확장가능 인증 프로토콜 재인증 응답은 재인증 마스터 세션 키를 포함함 ―;
    상기 모빌리티 도메인 제어기에서, 상기 재인증 마스터 세션 키에 기초하여 제 2 확장가능 인증 프로토콜 재인증 응답을 상기 제 1 액세스 포인트에 송신하는 단계;
    상기 모빌리티 도메인 제어기에서, 상기 재인증 마스터 세션 키에 기초하여 상기 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키(fast basic service set transition second level pairwise master key)를 생성하는 단계;
    상기 모빌리티 도메인 제어기에서, 상기 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 포함하도록 키 메시지를 생성하는 단계; 및
    상기 모빌리티 도메인 제어기에서, 상기 제 2 액세스 포인트에 상기 키 메시지를 송신하는 단계를 포함하는, 통신 시스템에서 스테이션을 인증하는 방법.
  2. 제 1 항에 있어서,
    상기 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 생성하는 단계는, 상기 재인증 마스터 세션 키에 기초하여 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키를 생성하는 단계, 및 상기 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키에 기초하여 상기 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 생성하는 단계를 포함하는, 통신 시스템에서 스테이션을 인증하는 방법.
  3. 제 2 항에 있어서,
    상기 모빌리티 도메인 제어기에서, 상기 제 1 액세스 포인트의 하나 또는 그 초과의 속성들 및 상기 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키에 기초하여 상기 제 1 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 생성하는 단계; 및
    상기 모빌리티 도메인 제어기에서, 상기 제 1 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 포함하도록 상기 제 2 확장가능 인증 프로토콜 재인증 응답을 생성하는 단계를 더 포함하는, 통신 시스템에서 스테이션을 인증하는 방법.
  4. 제 3 항에 있어서,
    상기 모빌리티 도메인 제어기에서, 상기 제 2 액세스 포인트로부터 키 요청 메시지를 수신하는 단계; 및
    상기 모빌리티 도메인 제어기에서, 상기 키 요청 메시지의 수신에 대한 응답으로 상기 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 상기 제 2 액세스 포인트에 송신하는 단계를 더 포함하는, 통신 시스템에서 스테이션을 인증하는 방법.
  5. 제 4 항에 있어서,
    상기 제 2 액세스 포인트는, 상기 스테이션과의 고속 기본 서비스 세트 트랜지션 인증에 대한 응답으로 상기 모빌리티 도메인 제어기에 상기 키 요청 메시지를 송신하는, 통신 시스템에서 스테이션을 인증하는 방법.
  6. 제 1 액세스 포인트, 제 2 액세스 포인트, 및 인증 서버를 포함하는 무선 통신 시스템에서 스테이션을 인증하기 위한 모빌리티 도메인 제어기로서,
    상기 인증 서버로부터 상기 스테이션에 대한 확장가능 인증 프로토콜 재인증 응답을 수신하도록 구성되는 수신기 ― 제 1 인증 프로토콜 재인증 응답은 재인증 마스터 세션 키를 포함함 ―;
    상기 재인증 마스터 세션 키에 기초하여 제 2 확장가능 인증 프로토콜 재인증 응답을 상기 제 1 액세스 포인트에 송신하도록 구성되는 송신기; 및
    프로세서를 포함하며,
    상기 프로세서는,
    상기 재인증 마스터 세션 키에 기초하여 상기 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 생성하고, 그리고
    상기 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 포함하도록 키 메시지를 생성
    하도록 구성되고,
    상기 송신기는 추가로, 상기 키 메시지를 상기 제 2 액세스 포인트에 송신하도록 구성되는, 모빌리티 도메인 제어기.
  7. 제 6 항에 있어서,
    상기 프로세서는 추가로,
    상기 재인증 마스터 세션 키에 기초하여 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키를 생성함으로써 상기 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 생성하고, 그리고
    상기 제 2 액세스 포인트의 하나 또는 그 초과의 속성들 및 상기 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키에 기초하여 상기 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 생성
    하도록 구성되는, 모빌리티 도메인 제어기.
  8. 제 7 항에 있어서,
    상기 프로세서는 추가로,
    상기 제 1 액세스 포인트의 하나 또는 그 초과의 속성들 및 상기 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키에 기초하여 상기 제 1 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 생성하고, 그리고
    상기 제 1 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 포함하도록 상기 제 2 확장가능 인증 프로토콜 재인증 응답을 생성
    하도록 구성되는, 모빌리티 도메인 제어기.
  9. 제 6 항에 있어서,
    상기 수신기는 추가로, 상기 제 1 액세스포인트로부터 상기 스테이션에 대한 확장가능 인증 프로토콜 재인증 요청을 수신하도록 구성되고,
    상기 송신기는 추가로, 상기 수신기가 상기 제 1 액세스 포인트로부터 상기 스테이션에 대한 상기 확장가능 인증 프로토콜 재인증 요청을 수신하는 것에 대한 응답으로, 상기 스테이션에 대한 제 2 확장가능 인증 프로토콜 재인증 요청을 송신하도록 구성되는, 모빌리티 도메인 제어기.
  10. 제 7 항에 있어서,
    상기 수신기는 추가로, 상기 제 2 액세스 포인트로부터 키 요청 메시지를 수신하도록 구성되고, 상기 송신기는 추가로, 상기 키 요청 메시지의 수신에 대한 응답으로 상기 제 2 액세스 포인트에 대한 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 상기 제 2 액세스 포인트에 송신하도록 구성되는, 모빌리티 도메인 제어기.
  11. 스테이션에 의해 제 1 액세스 포인트 및 제 2 액세스 포인트를 포함하는 네트워크를 통해 인증하는 방법으로서,
    상기 스테이션에서, 상기 제 1 액세스 포인트로부터 네트워크 메시지를 수신하는 단계;
    상기 스테이션에서, 상기 네트워크 메시지에 기초하여, 상기 제 1 액세스 포인트와 확장가능 인증 프로토콜을 통해 인증을 수행할지 또는 고속 기본 서비스 세트 트랜지션 인증 프로토콜을 통해 인증을 수행할지를 결정하는 단계; 및
    상기 스테이션에서, 결정된 인증 프로토콜을 사용하여 상기 제 1 액세스 포인트와 인증을 수행하는 단계를 포함하는, 네트워크를 통해 인증하는 방법.
  12. 제 11 항에 있어서,
    상기 네트워크 메시지는 모빌리티 도메인 식별자를 포함하고, 상기 제 1 액세스 포인트와 확장가능 인증 프로토콜을 통해 인증을 수행할지 또는 고속 기본 서비스 세트 트랜지션 인증 프로토콜을 통해 인증을 수행할지를 결정하는 단계는 상기 모빌리티 도메인 식별자에 기초하는, 네트워크를 통해 인증하는 방법.
  13. 제 11 항에 있어서,
    상기 네트워크 메시지는 상기 제 1 액세스 포인트에 의해 지원되는 인증 프로토콜들의 하나 또는 그 초과의 표시자들을 포함하고, 상기 제 1 액세스 포인트와 확장가능 인증 프로토콜을 통해 인증을 수행할지 또는 고속 기본 서비스 세트 트랜지션 인증 프로토콜을 통해 인증을 수행할지를 결정하는 단계는 상기 하나 또는 그 초과의 표시자들에 기초하는, 네트워크를 통해 인증하는 방법.
  14. 제 11 항에 있어서,
    상기 제 1 액세스 포인트에 대한 제 1 모빌리티 도메인 식별자를 표시하는 메시지를 상기 제 1 액세스 포인트로부터 수신하는 단계;
    제 2 모빌리티 도메인 식별자를 갖는 제 2 액세스 포인트와 인증을 수행하는 단계; 및
    상기 제 1 모빌리티 도메인 식별자가 상기 제 2 모빌리티 도메인 식별자와 상이한 것에 대한 응답으로 상기 확장가능 인증 프로토콜 재인증 프로토콜을 사용하여 상기 제 1 액세스 포인트와 인증을 수행하는 단계를 더 포함하는, 네트워크를 통해 인증하는 방법.
  15. 제 14 항에 있어서,
    상기 제 1 모빌리티 도메인 식별자가 상기 제 2 모빌리티 도메인 식별자에 매칭하는 것에 대한 응답으로 상기 고속 기본 서비스 세트 트랜지션 인증 프로토콜을 사용하여 상기 제 1 액세스 포인트와 인증을 수행하는 단계를 더 포함하는, 네트워크를 통해 인증하는 방법.
  16. 제 14 항에 있어서,
    상기 제 2 액세스 포인트를 통한 인증은 상기 확장가능 인증 프로토콜 재인증 프로토콜 사용하고,
    상기 방법은,
    상기 제 2 액세스 포인트와의 상기 확장가능 인증 프로토콜 재인증 프로토콜에 기초하여 재인증 마스터 세션 키를 결정하는 단계;
    상기 재인증 마스터 세션 키로부터 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키를 유도하는 단계;
    상기 제 2 액세스 포인트의 하나 또는 그 초과의 속성들 및 상기 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키에 기초하여 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 유도하는 단계; 및
    상기 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키에 기초하여 상기 제 2 액세스 포인트와 통신하는 단계
    를 더 포함하는, 네트워크를 통해 인증하는 방법.
  17. 제 16 항에 있어서,
    상기 제 1 액세스 포인트의 하나 또는 그 초과의 속성들 및 상기 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키에 기초하여 제 2 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 유도하는 단계; 및
    유도된 제 2 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키에 기초하여 상기 제 1 액세스 포인트와 통신하는 단계를 더 포함하는, 네트워크를 통해 인증하는 방법.
  18. 제 17 항에 있어서,
    상기 제 1 액세스 포인트와 디피-헬만(diffie-hellman) 키 교환을 수행하는 단계;
    상기 디피-헬만 키 교환 및 상기 제 2 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키에 기초하여 쌍 방식 트랜션트 키(pairwise transient key)를 유도하는 단계; 및
    유도된 쌍 방식 트랜션트 키에 기초하여 상기 제 1 액세스 포인트와 통신하는 단계를 더 포함하는, 네트워크를 통해 인증하는 방법.
  19. 네트워크를 통해 인증하기 위한 스테이션으로서,
    제 1 액세스 포인트로부터 네트워크 메시지를 수신하도록 구성되는 수신기;
    프로세서를 포함하며,
    상기 프로세서는,
    상기 네트워크 메시지에 기초하여, 상기 제 1 액세스 포인트와 확장가능 인증 프로토콜을 통해 인증을 수행할지 또는 고속 기본 서비스 세트 트랜지션 인증 프로토콜을 통해 인증을 수행할지를 결정하고, 그리고
    결정된 인증 프로토콜을 사용하여 상기 제 1 액세스 포인트와 인증을 수행
    하도록 구성되는, 네트워크를 통해 인증하기 위한 스테이션.
  20. 제 19 항에 있어서,
    상기 네트워크 메시지는 모빌리티 도메인 식별자를 포함하고, 상기 프로세서는 추가로, 상기 모빌리티 도메인 식별자에 기초하여, 상기 제 1 액세스 포인트와 상기 확장가능 인증 프로토콜을 통해 인증을 수행할지 또는 상기 고속 기본 서비스 세트 트랜지션 인증 프로토콜을 통해 인증을 수행할지를 결정하도록 구성되는, 네트워크를 통해 인증하기 위한 스테이션.
  21. 제 19 항에 있어서,
    상기 네트워크 메시지는 상기 제 1 액세스 포인트에 의해 지원되는 인증 프로토콜들의 하나 또는 그 초과의 표시자들을 포함하고, 상기 프로세서는 추가로, 상기 하나 또는 그 초과의 표시자들에 기초하여, 상기 제 1 액세스 포인트와 상기 확장가능 인증 프로토콜을 통해 인증을 수행할지 또는 상기 고속 기본 서비스 세트 인증 프로토콜을 통해 인증을 수행할지를 결정하도록 구성되는, 네트워크를 통해 인증하기 위한 스테이션.
  22. 제 19 항에 있어서,
    상기 프로세서는 추가로,
    상기 제 1 액세스 포인트에 대한 제 1 모빌리티 도메인 식별자를 표시하는 메시지를 상기 제 1 액세스 포인트로부터 수신하고, 그리고
    제 2 모빌리티 도메인 식별자를 갖는 제 2 액세스 포인트와 인증을 수행하고, 그리고 상기 제 1 모빌리티 도메인 식별자가 상기 제 2 모빌리티 도메인 식별자와 상이한 것에 대한 응답으로 상기 확장가능 인증 프로토콜 재인증 프로토콜을 사용하여 상기 제 1 액세스 포인트와 인증을 수행
    하도록 구성되는, 네트워크를 통해 인증하기 위한 스테이션.
  23. 제 22 항에 있어서,
    상기 프로세서는 추가로, 상기 제 1 모빌리티 도메인 식별자가 상기 제 2 모빌리티 도메인 식별자에 매칭하는 것에 대한 응답으로 상기 고속 기본 서비스 세트 트랜지션 인증 프로토콜을 사용하여 상기 제 1 액세스 포인트와 인증을 수행하도록 구성되는, 네트워크를 통해 인증하기 위한 스테이션.
  24. 제 22 항에 있어서,
    상기 제 2 액세스 포인트를 통한 인증은 상기 확장가능 인증 프로토콜 재인증 프로토콜 사용하고,
    상기 프로세서는 추가로,
    상기 제 2 액세스 포인트와의 상기 확장가능 인증 프로토콜 재인증 프로토콜에 기초하여 재인증 마스터 세션 키를 결정하고,
    상기 재인증 마스터 세션 키로부터 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키를 유도하고,
    상기 제 2 액세스 포인트의 하나 또는 그 초과의 속성들 및 상기 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키에 기초하여 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 유도하고, 그리고
    상기 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키에 기초하여 상기 제 2 액세스 포인트와 통신
    하도록 구성되는, 네트워크를 통해 인증하기 위한 스테이션.
  25. 제 24 항에 있어서,
    상기 프로세서는 추가로,
    상기 제 1 액세스 포인트의 하나 또는 그 초과의 속성들 및 상기 고속 기본 서비스 세트 트랜지션 제 1 레벨 쌍 방식 마스터 키에 기초하여 제 2 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키를 유도하고, 그리고
    유도된 제 2 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키에 기초하여 상기 제 1 액세스 포인트와 통신
    하도록 구성되는, 네트워크를 통해 인증하기 위한 스테이션.
  26. 제 25 항에 있어서,
    상기 프로세서는 추가로,
    상기 제 1 액세스 포인트와 디피-헬만 키 교환을 수행하고,
    상기 디피-헬만 키 교환 및 상기 제 2 고속 기본 서비스 세트 트랜지션 제 2 레벨 쌍 방식 마스터 키에 기초하여 쌍 방식 트랜션트 키를 유도하고, 그리고
    유도된 쌍 방식 트랜션트 키에 기초하여 상기 제 1 액세스 포인트와 통신
    하도록 구성되는, 네트워크를 통해 인증하기 위한 스테이션.
KR1020177010363A 2014-10-21 2015-10-21 인증 상호운용성을 위한 방법들 및 시스템들 KR102341270B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201462066796P 2014-10-21 2014-10-21
US62/066,796 2014-10-21
US14/918,470 US10057766B2 (en) 2014-10-21 2015-10-20 Methods and systems for authentication interoperability
US14/918,470 2015-10-20
PCT/US2015/056718 WO2016114830A2 (en) 2014-10-21 2015-10-21 Methods and systems for authentication interoperability

Publications (2)

Publication Number Publication Date
KR20170072206A true KR20170072206A (ko) 2017-06-26
KR102341270B1 KR102341270B1 (ko) 2021-12-17

Family

ID=55750163

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177010363A KR102341270B1 (ko) 2014-10-21 2015-10-21 인증 상호운용성을 위한 방법들 및 시스템들

Country Status (9)

Country Link
US (2) US10057766B2 (ko)
EP (2) EP3210404B1 (ko)
JP (1) JP6752786B2 (ko)
KR (1) KR102341270B1 (ko)
CN (1) CN107079016B (ko)
AU (1) AU2015377154A1 (ko)
BR (1) BR112017008214A2 (ko)
HU (1) HUE047301T2 (ko)
WO (1) WO2016114830A2 (ko)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10057766B2 (en) 2014-10-21 2018-08-21 Qualcomm Incorporated Methods and systems for authentication interoperability
US10205598B2 (en) * 2015-05-03 2019-02-12 Ronald Francis Sulpizio, JR. Temporal key generation and PKI gateway
US10791093B2 (en) * 2016-04-29 2020-09-29 Avago Technologies International Sales Pte. Limited Home network traffic isolation
US10630682B1 (en) 2016-11-23 2020-04-21 Amazon Technologies, Inc. Lightweight authentication protocol using device tokens
US10129223B1 (en) * 2016-11-23 2018-11-13 Amazon Technologies, Inc. Lightweight encrypted communication protocol
US10932129B2 (en) * 2017-07-24 2021-02-23 Cisco Technology, Inc. Network access control
US11411942B1 (en) 2019-07-22 2022-08-09 Cisco Technology, Inc. Systems and methods for roaming management between access points
US11777935B2 (en) 2020-01-15 2023-10-03 Cisco Technology, Inc. Extending secondary authentication for fast roaming between service provider and enterprise network
US11778463B2 (en) 2020-03-31 2023-10-03 Cisco Technology, Inc. Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network
US11706619B2 (en) 2020-03-31 2023-07-18 Cisco Technology, Inc. Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network
US11765581B2 (en) * 2020-03-31 2023-09-19 Cisco Technology, Inc. Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information
WO2022126327A1 (zh) * 2020-12-14 2022-06-23 Oppo广东移动通信有限公司 无线通信方法、终端设备以及网元
GB2625993A (en) * 2023-01-04 2024-07-10 Nokia Technologies Oy Authentication in a personal area network

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080100746A (ko) * 2007-05-14 2008-11-19 삼성전자주식회사 이동 통신 시스템에서 보안키 생성 방법 및 장치
WO2013003535A1 (en) * 2011-06-28 2013-01-03 Interdigital Patent Holdings, Inc. Automated negotiation and selection of authentication protocols

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5953420A (en) * 1996-10-25 1999-09-14 International Business Machines Corporation Method and apparatus for establishing an authenticated shared secret value between a pair of users
US7350077B2 (en) * 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
US7911997B2 (en) * 2006-05-10 2011-03-22 Intel Corporation Quality of service resource negotiation
US7499547B2 (en) * 2006-09-07 2009-03-03 Motorola, Inc. Security authentication and key management within an infrastructure based wireless multi-hop network
US20080072047A1 (en) * 2006-09-20 2008-03-20 Futurewei Technologies, Inc. Method and system for capwap intra-domain authentication using 802.11r
US8571211B2 (en) 2007-05-14 2013-10-29 Samsung Electronics Co., Ltd Method and apparatus for generating security key in a mobile communication system
TWI345405B (en) * 2007-12-26 2011-07-11 Ind Tech Res Inst Apparatus and method for executing the handoff process in wireless networks
CN101471795B (zh) * 2007-12-29 2012-07-25 财团法人工业技术研究院 无线网络中执行换手程序的装置与方法
CN101599878A (zh) * 2008-06-06 2009-12-09 华为技术有限公司 重认证方法、***及鉴权装置
WO2010078492A2 (en) 2008-12-31 2010-07-08 Interdigital Patent Holdings, Inc. Authentication method selection using a home enhanced node b profile
EP2428019A4 (en) * 2009-05-03 2015-01-28 Toshiba Kk MEDIA-INDEPENDENT TRANSFER PROTOCOL SECURITY
US8385549B2 (en) 2009-08-21 2013-02-26 Industrial Technology Research Institute Fast authentication between heterogeneous wireless networks
US8553647B2 (en) * 2010-01-22 2013-10-08 Telefonaktiebolaget Lm Ericsson (Publ) Optimization of non-optimized handoff from a first access technology to a second access technology
US20110213897A1 (en) * 2010-02-26 2011-09-01 Qualcomm Incorporated Systems and methods for releasing stale connection contexts
US9439067B2 (en) * 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication
US8837741B2 (en) * 2011-09-12 2014-09-16 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
US9143937B2 (en) * 2011-09-12 2015-09-22 Qualcomm Incorporated Wireless communication using concurrent re-authentication and connection setup
JP5643741B2 (ja) * 2011-12-02 2014-12-17 株式会社東芝 認証装置、認証方法および認証プログラム
US20130196708A1 (en) * 2012-01-31 2013-08-01 Partha Narasimhan Propagation of Leveled Key to Neighborhood Network Devices
US9084111B2 (en) * 2012-02-07 2015-07-14 Aruba Networks, Inc. System and method for determining leveled security key holder
US20130298209A1 (en) * 2012-05-02 2013-11-07 Interdigital Patent Holdings, Inc. One round trip authentication using sngle sign-on systems
US9204299B2 (en) * 2012-05-11 2015-12-01 Blackberry Limited Extended service set transitions in wireless networks
US10231120B2 (en) * 2012-10-16 2019-03-12 Cisco Technology, Inc. Offloaded security as a service
US9167427B2 (en) * 2013-03-15 2015-10-20 Alcatel Lucent Method of providing user equipment with access to a network and a network configured to provide access to the user equipment
US9961545B2 (en) * 2014-06-03 2018-05-01 Qualcomm Incorporated Systems, methods, and apparatus for authentication during fast initial link setup
US9398629B2 (en) * 2014-06-13 2016-07-19 Alcatel Lucent System and method for a distributed wireless network
US10057766B2 (en) 2014-10-21 2018-08-21 Qualcomm Incorporated Methods and systems for authentication interoperability
US20160127903A1 (en) * 2014-11-05 2016-05-05 Qualcomm Incorporated Methods and systems for authentication interoperability

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080100746A (ko) * 2007-05-14 2008-11-19 삼성전자주식회사 이동 통신 시스템에서 보안키 생성 방법 및 장치
WO2013003535A1 (en) * 2011-06-28 2013-01-03 Interdigital Patent Holdings, Inc. Automated negotiation and selection of authentication protocols

Also Published As

Publication number Publication date
BR112017008214A2 (pt) 2017-12-26
CN107079016A (zh) 2017-08-18
WO2016114830A3 (en) 2016-11-24
AU2015377154A1 (en) 2017-03-30
JP2017538321A (ja) 2017-12-21
EP3210404B1 (en) 2020-01-01
EP3210404A2 (en) 2017-08-30
JP6752786B2 (ja) 2020-09-09
KR102341270B1 (ko) 2021-12-17
US10057766B2 (en) 2018-08-21
CN107079016B (zh) 2020-10-16
US20160112869A1 (en) 2016-04-21
US20180084416A1 (en) 2018-03-22
HUE047301T2 (hu) 2020-04-28
EP3413606A1 (en) 2018-12-12
WO2016114830A2 (en) 2016-07-21

Similar Documents

Publication Publication Date Title
KR102341270B1 (ko) 인증 상호운용성을 위한 방법들 및 시스템들
US20160127903A1 (en) Methods and systems for authentication interoperability
KR101770708B1 (ko) Nfc를 통한 보안 고속 링크 유지를 위한 시스템들 및 방법들
KR102147446B1 (ko) 고속 초기 링크 셋업 동안의 인증을 위한 시스템들, 방법들, 및 장치
US9654972B2 (en) Secure provisioning of an authentication credential
EP3513526B1 (en) System and method for massive iot group authentication
KR101861546B1 (ko) 무선 디바이스들의 플렉서블한 구성 및 인증
JP2019512942A (ja) 5g技術のための認証機構
US9491621B2 (en) Systems and methods for fast initial link setup security optimizations for PSK and SAE security modes
US10212140B2 (en) Key management
US20170070343A1 (en) Unicast key management across multiple neighborhood aware network data link groups
Kumar et al. Seamless and Secure Communication for 5G Subscribers in 5G-WLAN Heterogeneous Networks

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant