TWI654864B - 用於加入社交wi-fi網狀網路的安全且簡化的規程 - Google Patents

用於加入社交wi-fi網狀網路的安全且簡化的規程

Info

Publication number
TWI654864B
TWI654864B TW104107620A TW104107620A TWI654864B TW I654864 B TWI654864 B TW I654864B TW 104107620 A TW104107620 A TW 104107620A TW 104107620 A TW104107620 A TW 104107620A TW I654864 B TWI654864 B TW I654864B
Authority
TW
Taiwan
Prior art keywords
mesh network
group key
public group
generated
key
Prior art date
Application number
TW104107620A
Other languages
English (en)
Other versions
TW201537927A (zh
Inventor
帕提爾雅伯西斯克普拉蒙德
李秀凡
伽里恩喬治
瑞西尼亞阿利雷扎
阿伯拉罕桑圖希保羅
Original Assignee
美商高通公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商高通公司 filed Critical 美商高通公司
Publication of TW201537927A publication Critical patent/TW201537927A/zh
Application granted granted Critical
Publication of TWI654864B publication Critical patent/TWI654864B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/005Discovery of network devices, e.g. terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

描述了用於經由網狀網路進行通訊的方法、系統和設備。為了加入現有網狀網路,無線通訊設備可以從現有網狀網路中的複數個成員設備中標識成員設備。該無線通訊設備可以與所標識的成員設備通訊以參與單個認證規程。在成功完成單個認證規程之際,無線通訊設備可加入該現有網狀網路,而無需為了加入現有網狀網路而與該複數個成員設備中的另一成員設備進行任何額外認證規程。該方法可用於任何網狀網路,諸如社交Wi-Fi網狀網路。

Description

用於加入社交WI-FI網狀網路的安全且簡化的規程
本案涉及用於加入社交Wi-Fi網狀網路的安全且簡化的規程。
以下一般涉及無線通訊,尤其涉及經由網狀網路的無線通訊。無線通訊系統被廣泛布署以提供諸如語音、視訊、封包資料、訊息接發、廣播等各種類型的通訊內容。這些系統可以是能夠經由共用可用系統資源(例如,時間、頻率和功率)來支援與多個使用者通訊的多工存取系統。此類多工存取系統的示例包括分碼多工存取(CDMA)系統、分時多工存取(TDMA)系統、分頻多工存取(FDMA)系統、以及正交分頻多工存取(OFDMA)系統。
行動設備(以及其他無線通訊設備)可以在沒有基地台或除了行動設備本身之外的裝備的情況下形成網路。此類網路的一個示例被稱為網狀網路。為了使設備加入網狀網路,該設備必須與網狀網路中的成員設備「對等」。設備(同級點)可使用被稱為「等同方同時認證(SAE)」的基於安全 密碼的認證和金鑰建立協定。當希望加入的設備以及每一個成員設備發現彼此(並且啟用安全措施)時,希望加入的設備執行與每一個成員設備的單獨SAE交換。若SAE成功完成,則每一個同級點知道另一方擁有網狀密碼,並且作為SAE交換的副產品,希望加入的設備與每一個成員設備建立密碼術強大的金鑰。該金鑰與「經認證網狀對等交換(AMPE)」一起用來建立安全對等操作並匯出用於保護包括路由話務在內的網狀話務的金鑰。
然而,網狀網路的問題源自此類一般安全對等操作。首先,習知對等操作涉及為了加入網路而與網路中的每一個單獨的成員設備的許多訊息交換。與維護關於網狀網路中的每一個同級點的狀態資訊相關聯的管理負擔亦可能降低網路中各設備的整體效能。
所描述的特徵一般涉及一或多個用於經由網狀網路進行通訊的改進的系統、方法及/或裝置。一般而言,該方法是為了簡化用於加入網狀網路的對等操作。該方法可涉及供無線通訊設備加入現有網狀網路的單個認證規程。一旦無線通訊設備標識出現有網狀網路中的一成員設備,則該無線通訊設備可以與所標識的成員設備通訊以執行認證規程。在成功完成該認證規程之際,無線通訊設備可加入該現有網狀網路,而無需諸如與現有網狀網路中的另一成員設備進行任何額外認證規程。
另一態樣是使用單個公共群金鑰來加密網狀網路中 的所有群定址話務。另一態樣涉及管理公共群金鑰。
另一態樣涉及用於解決網狀網路中的碎片化可能性的方法。該方法可幫助減少(例如提供一或多個相同的服務的)重複(碎片化)的網狀網路的數量。例如,該方法可使得碎片化的網狀網路能夠合併。
描述了用於經由網狀網路進行通訊的方法。在一個配置中,該方法可涉及從現有網狀網路中的複數個成員設備中標識成員設備以及與所標識的成員設備通訊以參與單個認證規程。在成功完成單個認證規程之際,可加入現有網狀網路,而無需為了加入現有網狀網路而與該複數個成員設備中的另一成員設備進行任何額外認證規程。
在一些實施例中,加入現有網狀網路可涉及接收用於與現有網狀網路中的複數個成員設備中的任意一個成員設備進行通訊的公共群金鑰。在這些實施例中,該方法可涉及使用公共群金鑰來加密訊息並經由網狀網路將經加密的訊息發送到複數個成員設備中的任意一個成員設備。同樣,該方法可涉及經由網狀網路從複數個成員設備中的任意一個成員設備接收經加密的訊息並使用公共群金鑰來解密接收到的經加密的訊息。
在一些實施例中,與所標識的成員設備通訊以參與單個認證規程亦可涉及從所標識的成員設備接收包括第二公共值的認證回應。第二公共值可使用密符號素和第二一次性數來產生。該密符號素可以從相同的密碼中產生。
在一些實施例中,與所標識的成員設備通訊以參與單個認證規程亦可涉及使用第一和第二公共值來產生成對主金鑰(PMK)。可使用所產生的PMK來產生成對暫態金鑰(PTK)。
此外,在一些實施例中,與所標識的成員設備通訊以參與單個認證規程可涉及向所標識的成員設備發送包括訊息完整性代碼(MIC)的關聯請求。MIC可使用所產生的PTK來產生。在這些實施例中,該方法可涉及接收包括公共群金鑰的關聯回應,該公共群金鑰用於與現有網狀網路中的複數個成員設備中的任意一個成員設備進行通訊。
在一些實施例中,包括公共群金鑰的關聯回應可以只在關聯請求中所包括的MIC是正確的情況下被接收。在一些實施例中,接收到的關聯回應中所包括的公共群金鑰可使用PTK來加密。另選地或額外地,關聯請求和關聯回應可經由PTK來保護。
此外,在一些實施例中,與所標識的成員設備通訊以參與單個認證規程可涉及連同關聯請求一起發送網際協定(IP)位址請求。在這些實施例中,該方法可涉及連同關聯回應一起接收IP位址回應。IP位址回應可分配IP位址。
在一些實施例中,該方法可涉及使得Wi-Fi設備能夠 同步到公共發現訊窗以便進行服務發現和網狀參數交換的社交Wi-Fi網狀網路。
在一些實施例中,該方法可涉及接收用於與現有網狀網路中的複數個成員設備中的任意一個成員設備進行通訊的公共群金鑰、當前一次性數和預定文本。在這些實施例中,該方法可涉及使用公共群金鑰、當前一次性數和預定文本來產生網狀金鑰。在一些實施例中,該方法亦可涉及接收對當前一次性數的更新。在這種情況下,網狀金鑰的產生可使用公共群金鑰、對當前一次性數的更新和預定文本來執行。另選地或額外地,該方法可涉及接收對公共群金鑰的更新。在這種情況下,網狀金鑰的產生可使用對公共群金鑰的更新、當前一次性數和預定文本來執行。
在一些實施例中,該方法可涉及從一或多個相鄰設備接收包括網狀金鑰的發現訊息。在這些實施例中,該方法可涉及將所產生的網狀金鑰與發現訊息中所包括的網狀金鑰進行比較。基於比較的結果,可決定是否存在用於提供與現有網狀網路相同的服務的另一網狀網路。
在一些實施例中,用於與現有網狀網路中的複數個成員設備中的任意一個成員設備進行通訊的公共群金鑰可包括期滿時間值。在這些實施例中,該方法可涉及發起從亂數到預定數的倒計數。在這種情況下,倒計數可以在到達公共群金鑰的期滿時間值之前發起。在到達預定數之際,可產生新公共群金鑰。新公共群金鑰可以經由網狀網路以安全的方式被發送到複數個成員設備。
在一些實施例中,該方法亦可涉及在到達預定數之前經由網狀網路安全地接收第一新公共群金鑰。在接收到第一新公共群金鑰之際,可中斷倒計數。在這些實施例中,該方法可涉及在接收第一新公共群金鑰後的預定時間內經由網狀網路安全地接收第二新公共群金鑰。在這種情況下,該方法可涉及使用一或多個抑制準則來決定第一和第二新公共群金鑰中的哪一個是有效的。
描述了用於供無線通訊設備經由網狀網路進行通訊的裝置。在一種配置中,該裝置可包括:被配置成從現有網狀網路中的複數個成員設備中標識成員設備的第一處理模組;被配置成與所標識的成員設備通訊以參與單個認證規程的第二處理模組;及通訊管理模組,其被配置成使得無線通訊設備能夠在成功完成單個認證規程之際加入現有網狀網路,而無需為了加入現有網狀網路而與複數個成員設備中的另一成員設備進行任何額外認證規程。
在一些實施例中,通訊管理模組可被配置成接收用於與現有網狀網路中的複數個成員設備中的任意一個成員設備進行通訊的公共群金鑰。
在一些實施例中,第二處理模組可被配置成:向所標識的成員設備發送包括第一公共值的認證請求,該第一公共值使用密符號素和第一一次性數來產生,該密符號素從與所標識的成員設備相同的密碼中產生;從所標識的成員設備接收包括第二公共值的認證回應,該第二公共值使用密符號素和第二一次性數來產生,該密符號素從相同的密碼中產生 ;使用第一和第二公共值來產生成對主金鑰(PMK);及使用所產生的PMK來產生成對暫態金鑰(PTK)。第二處理模組亦可被配置成:向所標識的成員設備發送包括訊息完整性代碼(MIC)的關聯請求,該MIC使用所產生的PTK來產生;及接收包括用於與現有網狀網路中的複數個成員設備中的任意一個成員設備進行通訊的公共群金鑰的關聯回應。在這些實施例中,包括公共群金鑰的關聯回應可以只在關聯請求中所包括的MIC是正確的情況下被接收。
描述了用於經由網狀網路進行通訊的設備。在一個配置中,該設備可包括用於從現有網狀網路中的複數個成員設備中標識成員設備的裝置。該設備亦可包括用於與所標識的成員設備通訊以參與單個認證規程的裝置。該設備亦可包括用於在成功完成單個認證規程之際加入現有網狀網路的裝置。這可以無需為了加入現有網狀網路而與複數個成員設備中的另一成員設備進行任何額外認證規程。
在一些實施例中,用於加入現有網狀網路的裝置可包括用於接收用於與現有網狀網路中的複數個成員設備中的任意一個成員設備進行通訊的公共群金鑰的裝置。在這些實施例中,該設備可包括用於使用公共群金鑰來加密訊息的裝置以及用於經由網狀網路將經加密的訊息發送到複數個成員設備中的任意一個成員設備的裝置。另選地或額外地,該設備可包括用於經由網狀網路從複數個成員設備中的任意一個成員設備接收經加密的訊息的裝置以及用於使用公共群金鑰來解密接收到的經加密的訊息的裝置。
在一些實施例中,用於與所標識的成員設備通訊以參與單個認證規程的裝置可被配置成向所標識的成員設備發送包括第一公共值的認證請求。第一公共值可使用密符號素和第一一次性數來產生。密符號素可以從與所標識的成員設備相同的密碼中產生。
用於通訊的裝置亦可被配置成從所標識的成員設備接收包括第二公共值的認證回應。第二公共值可使用密符號素和第二一次性數來產生。該密符號素可以從相同的密碼中產生。
用於通訊的裝置可被配置成:使用第一和第二公共值來產生成對主金鑰(PMK);及使用所產生的PMK來產生成對暫態金鑰(PTK)。
在一些實施例中,用於與所標識的成員設備通訊以參與單個認證規程的裝置可被配置成:向所標識的成員設備發送包括訊息完整性代碼(MIC)的關聯請求。MIC可使用所產生的PTK來產生。在這些實施例中,用於通訊的裝置可被配置成接收包括用於與現有網狀網路中的複數個成員設備中的任意一個成員設備進行通訊的公共群金鑰的關聯回應。在一些實施例中,包括公共群金鑰的關聯回應可以只在關聯請求中所包括的MIC是正確的情況下被接收。在一些實施例中,接收到的關聯回應中所包括的公共群金鑰可使用PTK來加密。另選地或額外地,關聯請求和關聯回應可由PTK來保護。
在一些實施例中,該設備可包括用於連同關聯請求一起發送網際協定(IP)位址請求的裝置。在這些實施例中 ,該設備可包括用於連同關聯回應一起接收IP位址回應的裝置。在這種情況下,IP位址回應可分配IP位址。
在一些實施例中,網路網狀可以是使得Wi-Fi設備能夠同步到公共發現訊窗以便進行服務發現和網狀參數交換的社交Wi-Fi網狀網路。
在一些實施例中,該設備可包括用於接收用於與現有網狀網路中的複數個成員設備中的任意一個成員設備進行通訊的公共群金鑰、當前一次性數和預定文本的裝置。在這些實施例中,該設備可包括用於使用公共群金鑰、當前一次性數和預定文本來產生網狀金鑰的裝置。該設備亦可包括用於接收對當前一次性數的更新的裝置。在這種情況下,網狀金鑰的產生可使用公共群金鑰、對當前一次性數的更新和預定文本來執行。另選地或額外地,該設備可包括用於接收對公共群金鑰的更新的裝置。在這種情況下,網狀金鑰的產生可使用對公共群金鑰的更新、當前一次性數和預定文本來執行。
在一些實施例中,該設備可包括用於從一或多個相鄰設備接收包括網狀金鑰的服務發現訊息的裝置。在這些實施例中,該設備可包括用於將所產生的網狀金鑰與服務發現訊息中所包括的網狀金鑰進行比較的裝置。在這種情況下,該設備亦可包括用於至少部分地基於比較的結果來決定是否存在用於提供與現有網狀網路相同的服務的另一網狀網路的裝置。
在一些實施例中,該設備可包括用於接收用於與現 有網狀網路中的複數個成員設備中的任意一個成員設備進行通訊的公共群金鑰的裝置。公共群金鑰可包括期滿時間值。在這些實施例中,該設備可包括用於發起從亂數到預定數的倒計數的裝置。倒計數可以在到達公共群金鑰的期滿時間值之前發起。該設備亦可包括用於在到達預定數之際產生新公共群金鑰的裝置以及用於經由網狀網路以安全方式向複數個成員設備發送新公共群金鑰的裝置。
此外,在這些實施例中,該設備亦可包括用於在到達預定數之前經由網狀網路安全地接收第一新公共群金鑰的裝置。在這種情況下,該設備亦可包括用於在接收到第一新公共群金鑰之際中斷倒計數的裝置。另選地或額外地,該設備可包括用於在接收第一新公共群金鑰後的預定時間內經由網狀網路安全地接收第二新公共群金鑰的裝置。在這種情況下,該設備可包括用於使用一或多個抑制準則來決定第一和第二新公共群金鑰中的哪一個是有效的裝置。
用於經由網狀網路進行通訊的裝置的另一配置可包括至少一個處理器以及與該至少一個處理器進行電通訊的記憶體。該記憶體可包含可由至少一個處理器執行以執行以下操作的指令:從現有網狀網路中的複數個成員設備中標識成員設備;與所標識的成員設備通訊以參與單個認證規程;及在成功完成單個認證規程之際加入現有網狀網路,而無需為了加入現有網狀網路而與複數個成員設備中的另一成員設備進行任何額外認證規程。在各實施例中,該裝置可包括可由至少一個處理器執行以執行以上描述及/或如本文描述的方法 中的部分或全部功能及/或操作的指令。
亦描述了電腦程式產品。電腦程式產品可以是儲存指令的非瞬態電腦可讀取媒體,這些指令可由處理器執行以便:從現有網狀網路中的複數個成員設備中標識成員設備;與所標識的成員設備通訊以參與單個認證規程;及在成功完成單個認證規程之際加入現有網狀網路,而無需為了加入現有網狀網路而與複數個成員設備中的另一成員設備進行任何額外認證規程。在各實施例中,該電腦程式產品可包括可由處理器執行以執行以上描述及/或如本文描述的方法中的部分或全部功能及/或操作的指令。
所描述的方法和裝置的適用性的進一步範疇將因以下具體描述、請求項和附圖而變得明瞭。詳細描述和具體示例僅是藉由圖示來提供的,因為落在該描述的精神和範疇內的各種變化和改動對於本發明所屬領域中熟習此項技術者而言將變得顯而易見。
100‧‧‧佈置
105‧‧‧無線通訊設備
105-a‧‧‧尋求方設備
105-b‧‧‧尋求方設備
105-c‧‧‧尋求方設備
105-d‧‧‧尋求方設備
105-e‧‧‧尋求方設備
105-f‧‧‧尋求方設備
105-g‧‧‧尋求方設備
110‧‧‧網狀網路
115-a‧‧‧節點
115-b‧‧‧節點
115-c‧‧‧節點
115-d‧‧‧節點
115-e‧‧‧節點
115-f‧‧‧節點
115-g‧‧‧節點
115-h‧‧‧節點
115-i‧‧‧節點
120‧‧‧通訊鏈路
125‧‧‧外部網路
200-a‧‧‧方塊圖
200-b‧‧‧方塊圖
200-c‧‧‧方塊圖
200-d‧‧‧方塊圖
200-e‧‧‧方塊圖
202‧‧‧信號
204‧‧‧信號
205-a‧‧‧接收器模組
205-b‧‧‧接收器模組
205-c‧‧‧接收器模組
205-d‧‧‧接收器模組
206‧‧‧信號
208‧‧‧信號
210‧‧‧通訊管理模組
210-a‧‧‧通訊管理模組
210-b‧‧‧通訊管理模組
210-c‧‧‧通訊管理模組
210-d‧‧‧通訊管理模組
212‧‧‧信號
214-a‧‧‧信號
214-b‧‧‧信號
215‧‧‧發射器模組
215-a‧‧‧發射器模組
215-b‧‧‧發射器模組
215-c‧‧‧發射器模組
215-d‧‧‧發射器模組
216-a‧‧‧信號
216-b‧‧‧信號
218‧‧‧信號
219‧‧‧信號
220‧‧‧設備標識模組
220-a‧‧‧設備標識模組
220-b‧‧‧設備標識模組
220-c‧‧‧設備標識模組
222‧‧‧信號
224-a‧‧‧信號
224-b‧‧‧信號
225‧‧‧認證模組
225-a‧‧‧認證模組
225-b‧‧‧認證模組
225-c‧‧‧認證模組
226-a‧‧‧信號
226-b‧‧‧信號
228‧‧‧信號
230‧‧‧加密/解密模組
230-a‧‧‧加密/解密模組
230-b‧‧‧加密/解密模組
230-c‧‧‧加密/解密模組
232‧‧‧信號
234-a‧‧‧信號
234-b‧‧‧信號
235‧‧‧一次性數產生器
236-a‧‧‧信號
236-b‧‧‧信號
238‧‧‧信號
239‧‧‧信號
240‧‧‧公共值產生器
242‧‧‧信號
244-a‧‧‧信號
244-b‧‧‧信號
245‧‧‧密碼元素產生器
246-a‧‧‧信號
246-b‧‧‧信號
248‧‧‧信號
250‧‧‧PMK(成對主金鑰)產生器
255‧‧‧PTK(成對暫態金鑰)產生器
260‧‧‧MIC(訊息完整性代碼)產生器
265‧‧‧MIC校驗器
270‧‧‧匯流排
275‧‧‧網狀金鑰比較器
280‧‧‧亂數產生器
285‧‧‧計數器
290‧‧‧公共群金鑰產生器
295‧‧‧公共群金鑰決定子模組
310‧‧‧天線
312‧‧‧信號
315‧‧‧收發機模組
320‧‧‧通訊管理模組
325‧‧‧記憶體
330‧‧‧電腦可執行的軟體代碼
335‧‧‧處理器模組
340‧‧‧設備標識模組
345‧‧‧認證模組
350‧‧‧加密/解密模組
355‧‧‧匯流排
400‧‧‧訊息流程圖
405‧‧‧通訊
410‧‧‧認證規程
415‧‧‧第一訊息
420‧‧‧第二訊息
425‧‧‧第三訊息
430‧‧‧第四訊息
435‧‧‧通訊
500‧‧‧方法
505‧‧‧方塊
510‧‧‧方塊
515‧‧‧方塊
600‧‧‧方法
605‧‧‧方塊
610‧‧‧方塊
615‧‧‧方塊
620‧‧‧方塊
625‧‧‧方塊
630‧‧‧方塊
635‧‧‧方塊
640‧‧‧方塊
700‧‧‧方法
705‧‧‧方塊
710‧‧‧方塊
715‧‧‧方塊
720‧‧‧方塊
725‧‧‧方塊
730‧‧‧方塊
735‧‧‧方塊
800‧‧‧方法
805‧‧‧方塊
810‧‧‧方塊
815‧‧‧方塊
820‧‧‧方塊
825‧‧‧方塊
830‧‧‧方塊
835‧‧‧方塊
840‧‧‧方塊
845‧‧‧方塊
850‧‧‧方塊
855‧‧‧方塊
860‧‧‧方塊
865‧‧‧方塊
經由參照以下附圖可實現對本發明的本質和優勢的更進一步的理解。在附圖中,類似元件或特徵可具有相同的元件符號。此外,相同類型的各個元件可經由在元件符號後跟隨短劃線以及在類似元件之間進行區分的第二標記來加以區分。若在說明書中僅僅第一元件符號被使用,則該描述可應用於具有相同的第一元件符號的類似元件中的任何一個元件而不論第二元件符號如何。
圖1圖示了附近有單獨的無線通訊設備的網狀網路 的方塊圖;圖2A是圖示根據各實施例的無線通訊設備的示例的方塊圖;圖2B是圖示無線通訊設備的另一實施例的方塊圖;圖2C是圖示無線通訊設備的另一實施例的方塊圖;圖2D是圖示無線通訊設備的又一實施例的方塊圖;圖2E是圖示無線通訊設備的再一實施例的方塊圖;圖3是無線通訊設備的一種配置的方塊圖;圖4是圖示根據各實施例的在尋求方設備與通告方之間的通訊流的訊息流程圖;圖5是用於經由網狀網路進行通訊的方法的實施例的流程圖;圖6是用於經由網狀網路進行通訊的方法的另一實施例的流程圖;圖7是用於經由網狀網路進行通訊的方法的另一實施例的流程圖;及圖8是用於經由網狀網路進行通訊的方法的又一實施例的流程圖。
網狀網路可以是其中每一個成員設備與網路中的每一個其他設備皆具有連接的全網狀網路。而且,網狀網路可以是部分網狀網路,其中一些成員設備可以按全網狀模式連接,但其他成員設備只連接到設備中的一或多個,而不是網路中的所有成員設備。此外,社交Wi-Fi網狀網路可擴展社交 Wi-Fi框架的能力以使得參與的設備能夠建立用於內容發現的網狀連通性。可以在一設備與一或多個其他設備之間形成網狀網路以便從一或多個其他設備向該設備提供一或多個服務。為了建立用於此類通訊的網狀網路,設備(尋求方設備)可發現或以其他方式變得知曉提供所需服務的另一(些)設備。這些其他設備可被稱為成員設備及/或通告方設備。
若只發現一個其他設備,則尋求服務的設備可以與該其他設備協商以形成網狀網路。另一態樣,若該設備發現屬於現有網狀網路的一或多個設備,則該設備可加入該現有網狀網路。如前述,根據IEEE 802.11s標準的習知安全對等操作涉及必須為了加入網路而對網路中的每一個單獨設備重複的許多訊息(例如,八條)。
在解決該已知對等操作的問題的方法的一個示例中,無線通訊設備可以只執行單個認證規程來加入現有網狀網路。無線通訊設備可標識現有網狀網路中的成員設備。該無線通訊設備可以與所標識的成員設備通訊以執行單個認證規程。在成功完成單個認證規程之際,無線通訊設備可加入該現有網狀網路,而無需諸如與現有網狀網路中的另一成員設備進行任何額外認證規程。結果,簡化了用於加入現有網狀網路的對等操作程序。
首先參照圖1,圖示包括已建立的網狀網路110的佈置100。網狀網路110可以被實現為可被稱為網狀網路110的「節點」115的各種固定及/或行動設備的有線或無線通訊網路。節點設備115中的每一個可以在整個網狀網路(諸如整個校園 、城區、細胞網路以及跨其他地理區域)接收和傳遞資料。節點設備115亦可用於將資料從一個節點路由至網狀網路內的另一節點。另外,每一個節點通常具有去往/來自網路中的其他節點的不止一個通訊鏈路,這提供了冗餘通訊鏈路和可靠的通訊系統。
無線網狀網路110可包括被實現為利用資料封包路由式通訊協定來進行無線通訊的各種節點設備115。無線網狀網路110亦可被實現為與通訊地連結到網狀網路110的其他網路(諸如另一無線網路、有線網路、廣域網(WAN)等)進行資料通訊。
在無線網狀網路110中,可以在網路中的各個節點115之間形成通訊鏈路120。用於網路中的無線通訊的資料封包可以經由在多跳無線網狀網路中通常被稱為「跳躍」的中間節點從源節點(例如,傳送方設備)轉發或路由至目的地節點(例如,接收方設備)。
在一個配置中,無線通訊設備105可以在網狀網路110附近。如前述,網狀網路110可包括可以是無線通訊設備的複數個節點115。如圖1所示,網狀網路110是部分網狀網路,連接或通訊鏈路在節點115-a到115-i之間建立以使得每一個節點皆可以與網狀網路110中的所有其他節點進行通訊(一些直接而一些間接)。在一種配置中,網狀網路110中的節點115在此可被稱為成員設備及/或通告方設備。一般而言:作為特定服務的源的節點可被稱為提供方;使用特定服務的節點可被稱為訂閱方;而代表提供方通告服務的節點可被稱為代理 。
網狀網路110可經由一或多個成員設備(例如,該示例中的設備115-i)與外部網路125(諸如網際網路)建立連接或通訊鏈路120來連接到外部網路125。儘管未圖示,但設備115-i可建立其與可存取外部網路125的基地台的連接。
單獨的無線通訊設備105可被稱為尋求方設備。設備105可「尋求」加入現有網狀網路110以獲取該網狀網路110中的成員設備115提供的一或多個服務。成員設備115可被稱為通告方,其可廣播(通告)網狀網路110提供的服務。尋求方設備105可經由廣播找到所需服務(以及通告方設備115和現有網狀網路110)。設備105隨後可加入現有網狀網路110以獲取所需服務。
尋求方設備105和成員設備115可以遍及整個網狀網路100,且每一個設備可以是靜止或行動的。尋求方設備105和成員設備115亦可被本發明所屬領域中熟習此項技術者稱為行動站、用戶站、行動單元、用戶單元、無線單元、遠端單元、行動設備、無線設備、無線通訊設備、遠端設備、行動用戶站、存取終端、行動終端、無線終端、遠端終端機、手持機、使用者代理、使用者裝備、行動客戶機、客戶機或某一其他合適的術語。尋求方設備105和成員設備115可以是蜂巢式電話、個人數位助理(PDA)、無線數據機、無線通訊設備、掌上型設備、平板電腦、膝上型電腦、無繩電話、無線區域迴路(WLL)站、等等。
如下文進一步描述的,無線通訊設備105可與所標識 的設備(諸如成員設備115-a)執行簡化的對等操作程序。若無線通訊設備105已經標識多個設備115,則可以只與所標識的設備115中的一個設備執行簡化的對等操作程序。由此,如本文描述的,無線通訊設備105只執行用於與整個網狀網路110進行對等操作並加入整個網狀網路110的單個認證規程。在成功完成單個認證規程之際,無線通訊設備105加入現有網狀網路110並變為成員設備。不需要諸如與現有網狀網路中的另一成員設備的額外認證規程。
現在參照圖2A,方塊圖200-a圖示了根據各個實施例的尋求方設備105-a。尋求方設備105-a可以是參照圖1描述的無線通訊設備105的一或多個態樣的示例。尋求方設備105-a亦可以是參照圖1描述的無線通訊設備115(例如,能夠與無線通訊設備105協調執行單個認證規程)的一或多個態樣的示例。設備105-a亦可以是處理器。設備105-a可包括接收器模組205、通訊管理模組210、以及發射器模組215。這些元件中的每一者可彼此處於通訊中。
設備105-a的元件可個體地或共同地用一或多個適配成以硬體執行一些或所有適用功能的特殊應用積體電路(ASIC)來實現。替換地,這些功能可以由一或多個積體電路上的一或多個其他處理單元(或核)來執行。在其他實施例中,可使用可按本發明所屬領域中任何已知方式來程式設計的其他類型的積體電路(例如,結構化/平臺AISC、現場可程式設計閘陣列(FPGA)、以及其他半定製IC)。每一單元的功能亦可以整體或部分地用記憶體中儲存的、被格式化成由一 或多個通用或專用處理器執行的指令來實現。
發射器模組215可經由信號208將通訊從尋求方設備105-a發送到其他設備(諸如圖1所示的網狀網路110中的成員設備115-a)。發送這些通訊可包括用於執行單個認證規程的訊息。此外,一旦尋求方設備105-a發現/標識了成員設備115-a,發射器模組215就經由向成員設備115-a傳送定向(定址)通訊來發送通訊。通訊管理模組210可管理由尋求方設備105-a發送的此類通訊。
作為單個認證規程的一部分,接收器模組205可以經由信號202從成員設備115-a接收通訊。接收器模組205可經由從成員設備115-a傳送的定向(定址)訊息來接收用於認證規程的訊息。通訊管理模組210可經由信號204(例如,控制及/或資料)來管理尋求方設備105-a接收到的此類通訊。另外,在加入現有網狀網路110之際,通訊管理模組210可以與網狀網路110中的一或多個成員設備115建立連接,並且可經由信號206(例如,控制及/或資料)來管理經由這些連接的通訊。關於通訊管理模組210的其他細節將在以下描述。
圖2B是圖示根據各個實施例的尋求方設備105-b的方塊圖200-b。尋求方設備105-b可以是參照圖1及/或2A描述的無線通訊設備105以及成員設備115的一或多個態樣的示例。設備105-b亦可以是處理器。設備105-b可包括接收器模組205-a、通訊管理模組210-a、以及發射器模組215-a。這些元件中的每一者可彼此處於通訊中。
設備105-b的元件可個體地或整體地用一或多個適 配成以硬體執行一些或所有適用功能的特殊應用積體電路(ASIC)來實現。替換地,這些功能可以由一或多個積體電路上的一或多個其他處理單元(或核)來執行。在其他實施例中,可使用可按本發明所屬領域中任何已知方式來程式設計的其他類型的積體電路(例如,結構化/平臺AISC、現場可程式設計閘陣列(FPGA)、以及其他半定製IC)。每一單元的功能亦可以整體或部分地用記憶體中儲存的、被格式化成由一或多個通用或專用處理器執行的指令來實現。
接收器模組205-a和發射器模組215-a可被配置成執行如先前參照圖2A描述的操作(例如,分別經由信號212和218)。通訊管理模組210-a可包括設備標識模組220、認證模組225和加密/解密模組230。
通訊管理模組210-a可被配置成執行以上參照圖2A描述的各種功能。在該示例中,通訊管理模組210-a可管理(經由內部信號(未圖示))發現/標識程序以標識提供尋求方設備105-b需要的一或多個服務的網狀網路110。尋求方設備105-b或通訊管理模組210-a可包括用於執行此類功能性的處理器。
設備標識模組220可被配置成執行各種操作(諸如經由信號216-a向發射器模組215-a提供資料以及經由信號214-a從接收器模組205-a獲取資料),以發現或以其他方式變得知曉提供所需服務的其他設備。結果,設備標識模組220可以在執行其操作時經由與通訊管理模組210-a(或其其他元件)、接收器模組205-a和發射器模組215-a協調來促成發現成員設備 115-a。
通訊管理模組210-a可管理(經由內部信號(未圖示))認證規程以允許尋求方設備105-b加入網狀網路110。尋求方設備105-b或通訊管理模組210-a可包括用於執行此類功能性的處理器。
認證模組225可被配置成執行各種操作以參與如本文描述的單個認證規程。在一些實施例中,認證模組225可產生訊息並經由信號216-b將訊息提供給發射器模組215-a,以便經由信號218傳送到參與單個認證規程的成員設備115-a。此外,認證模組225可被配置成處理經由信號214-b從接收器模組215-a獲取的訊息,這些訊息是作為認證規程的一部分經由信號212從成員設備115-a接收到的。由此,認證模組225可以在執行其操作時與通訊管理模組210-a(或其其他元件)、接收器模組205-a和發射器模組215-a協調。
通訊管理模組210-a可管理(經由內部信號(未圖示))用於尋求方設備105-b的安全性。尋求方設備105-b或通訊管理模組210-a可包括用於執行此類功能性的處理器。
加密/解密模組230可被配置成執行包括加密和解密操作的安全操作。對於應當是安全的單個認證規程,加密/解密模組230可經由與認證模組225進行交換的信號219,加密由認證模組225產生的訊息並且可以解密從成員設備115-a接收到的訊息。
一旦尋求方設備105-b已加入網狀網路,加密/解密模組230亦可被配置成執行用於設備105-b與一或多個成員設 備115之間的通訊的安全操作。網狀網路110內的通訊應當是安全的。由此,作為網狀網路110內的通訊的一部分,加密/解密模組230可加密將從設備105-b傳送的訊息,並且可解密從其他成員設備115接收到的訊息。由此,加密/解密模組230可以在執行此類操作時與通訊管理模組210-a(或其其他元件)、接收器模組205-a和發射器模組215-a協調。
圖2C是圖示根據各個實施例的尋求方設備105-c的方塊圖200-c。尋求方設備105-c可以是參照圖1、2A及/或2B描述的無線通訊設備105以及成員設備115的一或多個態樣的示例。設備105-c亦可以是處理器。設備105-c可包括接收器模組205-b、通訊管理模組210-b、以及發射器模組215-b。這些元件中的每一者可彼此處於通訊中。
設備105-c的元件可個體地或整體地用一或多個適配成以硬體執行一些或所有適用功能的特殊應用積體電路(ASIC)來實現。替換地,這些功能可以由一或多個積體電路上的一或多個其他處理單元(或核)來執行。在其他實施例中,可使用可按本發明所屬領域中任何已知方式來程式設計的其他類型的積體電路(例如,結構化/平臺AISC、現場可程式設計閘陣列(FPGA)、以及其他半定製IC)。每一單元的功能亦可以整體或部分地用記憶體中儲存的、被格式化成由一或多個通用或專用處理器執行的指令來實現。
接收器模組205-b和發射器模組215-b可被配置成執行如先前參照圖2A及/或2B描述的操作(例如,分別經由信號222和228)。通訊管理模組210-b可包括設備標識模組220-a、 認證模組225-a和加密/解密模組230-a。設備標識模組220-a和加密/解密模組230-a可被配置成執行如先前參照圖2A及/或2B描述的操作。
通訊管理模組210-b可被配置成執行以上參照圖2A及/或2B描述的各種操作/功能。如上,通訊管理模組210-b可管理(經由內部信號(未圖示))針對尋求方設備105-c需要的一或多個服務的發現/標識程序。此外,尋求方設備105-c或通訊管理模組210-b可包括用於執行此類功能性的處理器。設備標識模組220-a可被配置成執行以上參照圖2A及/或2B描述的各種功能(例如,經由信號224-a和226-a)。
通訊管理模組210-b可管理(經由內部信號(未圖示))認證規程以允許尋求方設備105-c加入網狀網路110。尋求方設備105-c或通訊管理模組210-a可包括用於執行此類功能性的處理器。
認證模組225-a可被配置成執行以上參照圖2A及/或2B描述的各種功能(例如,經由信號224-b和226-b)。認證模組225-a可包括一次性數產生器235、公共值產生器240、密碼元素產生器245、PMK(成對主金鑰)產生器250、PTK(成對暫態金鑰)產生器255、MIC(訊息完整性代碼)產生器260及/或MIC校驗器265。這些模組中的每一個可經由在其間攜帶信號的匯流排270來互連並且可由認證模組225-a來控制。認證模組225-a由此可提供如下描述的額外功能性。
在一些實施例中,單個認證規程可涉及四路交握。假定在四路交握開始之前,無線通訊設備105-c和成員設備 115-a已經發現彼此並同意繼續認證規程。由此,四路交握使得無線通訊設備105-c能夠經由單個認證(對等操作)規程加入現有網路。四路交握提供了如以下進一步描述的認證和關聯。
根據該方法,尋求方設備105-c和成員設備115-a具有共同的秘密密碼。例如,尋求方設備105-c和成員設備115-a可被提供共同的密碼。密碼元素產生器245可使用該共同密碼來產生密符號素(P)。一次性數產生器235可產生隨機一次性數(只使用一次的任意數)Na。使用一次性數Na,公共值產生器240產生其Diffie-Hellman(DH)公共值PNa。在第一訊息中,尋求方設備105-c向成員設備115-a發送公共值PNa
成員設備115-a產生其自己的隨機一次性數並產生其DH公共值PNb。在第二訊息中,尋求方設備105-c從成員設備115-a接收公共值PNb。此時,PMK產生器250產生用於尋求方設備105-a的成對主金鑰(PMK)。成員設備115-a亦產生成對主金鑰(PMK)。
PTK產生器255使用PMK產生器250產生的PMK來產生成對暫態金鑰(PTK)。尋求方設備105-c隨後向成員設備115-a發送關聯請求訊息(第三訊息)。在一些實施例中,尋求方設備105-c可以連同關聯請求訊息一起發送IP位址請求。MIC產生器260使用PTK來建立關聯請求的訊息完整性代碼(MIC)。尋求方設備105-c在關聯請求中包括所產生的MIC。
在接收到關聯請求之際,成員設備115-a嘗試驗證接收到的MIC。若MIC是正確(經驗證)的,則設備105-c從成 員設備115-a接收具有公共群金鑰(可使用所建立的PTK來加密)的關聯回應訊息(第四訊息)。在一些實施例中,設備105-c可以連同關聯回應訊息一起接收對IP位址請求的回應(例如,提供設備105-c的IP位址)。成員設備115-a使用PTK來建立關聯回應的MIC並且在關聯回應訊息中包括其MIC。
每一個MIC被用來確認兩個設備具有相同的密碼並作為DH金鑰交換的結果匯出相同的金鑰(PMK和PTK)。因為PMK是DH金鑰交換的結果,所以無需其他DH來匯出PTK。對於PTK匯出可能不需要進行一次性數交換;然而,一次性數交換可被用來在關聯(例如,關聯請求訊息及/或關聯回應訊息)期間進行金鑰確認。
認證和金鑰匯出可基於如例如IEEE 802.11標準中描述的SAE(等同方同時認證)。其簡化版本在下文描述。
尋求方設備105-c(和成員設備115-a)匯出:P=F1(pw,MAC-A,MAC-STA-B) 等式1其中P是密符號素(PWE)。MAC-A是尋求方設備105-c的媒體存取控制(MAC)位址、MAC-B是成員設備115-a的MAC位址,而F1是IEEE 802.11中描述的匯出P的函數。
根據該方法,尋求方設備105-c隨機挑選Na(亦即,ANonce),計算PNa,並將PNa發送到成員設備115-a(第一訊息)。成員設備115-a隨機挑選Nb(亦即,BNonce),並計算keyseedAB=PNaNb。隨後,成員設備115-a計算PNb並將PNb發送到尋求方設備105-c(第二訊息)。尋求方設備105-c計算keyseedAB=PNaNb
使用keyseedAB,可匯出以下:KCK∥PMK=F2(keyseedAB) 等式2其中F2是匯出金鑰確認金鑰(KCK)和PMK的函數。其他細節在IEEE 802.11中提供。KCK用於產生MIC以提供認證訊息的真實性。因為設備105-c無法在未接收到第二訊息(認證回應)的情況下為第一訊息匯出KCK∥PMK,所以只有第二訊息攜帶MIC。然而,兩個設備皆匯出KCK和PMK以產生PTK。
通訊管理模組210-b可管理(經由內部信號(未圖示))用於尋求方設備105-c的安全性。尋求方設備105-c或通訊管理模組210-b可包括用於執行此類功能性的處理器。
一旦尋求方設備105-c已加入網狀網路,加密/解密模組230-a可被配置成執行用於設備105-c與一或多個成員設備115之間的通訊的安全操作。網狀網路110內的通訊應當是安全的。由此,作為網狀網路110內的通訊的一部分,加密/解密模組230-a可加密將從設備105-c傳送的訊息,並且可解密從其他成員設備115接收到的訊息。由此,加密/解密模組230-a可以在執行此類操作時與通訊管理模組210-b(或其其他元件)、接收器模組205-b和發射器模組215-b協調。
圖2D是圖示根據各個實施例的尋求方設備105-d的方塊圖200-d。尋求方設備105-d可以是參照圖1、2A、2B及/或2C描述的無線通訊設備105以及成員設備115的一或多個態樣的示例。尋求方設備105-d亦可以是處理器。設備105-d可包括接收器模組205-c、通訊管理模組210-c、以及發射器模組215-c。這些元件中的每一者可彼此處於通訊中。
尋求方設備105-d的元件可個體地或整體地用一或多個適配成以硬體執行一些或所有適用功能的特殊應用積體電路(ASIC)來實現。替換地,這些功能可以由一或多個積體電路上的一或多個其他處理單元(或核)來執行。在其他實施例中,可使用可按本發明所屬領域中任何已知方式來程式設計的其他類型的積體電路(例如,結構化/平臺AISC、現場可程式設計閘陣列(FPGA)、以及其他半定製IC)。每一單元的功能亦可以整體或部分地用記憶體中儲存的、被格式化成由一或多個通用或專用處理器執行的指令來實現。
接收器模組205-c和發射器模組215-c可被配置成執行如先前參照圖2A、2B及/或2C描述的操作(例如,分別經由信號232和238)。通訊管理模組210-c可包括設備標識模組220-b、認證模組225-b和加密/解密模組230-b。設備標識模組220-b和加密/解密模組230-b可被配置成執行如先前參照圖2A、2B及/或2C描述的操作。
通訊管理模組210-c可被配置成執行以上參照圖2A、2B及/或2C描述的各種操作/功能。如上,通訊管理模組210-c可管理(經由內部信號(未圖示))針對尋求方設備105-d需要的一或多個服務的發現程序。此外,尋求方設備105-d或通訊管理模組210-c可包括用於執行此類功能性的處理器。設備標識模組220-b可被配置成執行以上參照圖2A、2B及/或2C描述的各種功能(例如,經由信號234-a和236-a)。
認證模組225-b可被配置成執行以上參照圖2A、2B及/或2C描述的各種功能(例如,經由信號234-b和236-b)。認 證模組225-b可包括網狀金鑰參數產生器270及/或網狀金鑰比較器275。認證模組225-b可提供如下描述的額外功能性。
網狀網路中的碎片化的可能性(多個提供方設備為相同的服務建立單獨的網狀網路)可經由具有被配置為尋求方設備105-d的設備來解決。儘管網狀金鑰參數產生器270和網狀金鑰比較器275被示為認證模組225-b的一部分,但這些元件可以是其自己的模組的一部分或者是單獨模組。一些現有設備可能已經包括用於執行發現操作及/或加密/解密的功能性。由此,此類設備可被修改成包括實現本文描述的各態樣的新模組。由此,作為一個示例,網狀金鑰參數產生器270和網狀金鑰比較器275被示為認證模組225-b的一部分。
網狀金鑰參數產生器270和網狀金鑰比較器275可被配置成使得設備105-d能夠辨識正提供相同的服務的多個網狀網路的存在。因此,網狀金鑰參數產生器270和網狀金鑰比較器275可被用來允許或促成此類重複網狀網路的合併(去碎片化)。
網狀金鑰可被包括在發現通告(例如,NAN(鄰點知曉網路)通道上的服務發現訊息)廣播中或者以其他方式從作為現有網狀網路的成員的設備傳送。可被包括在發現通告中的額外參數可包括標識特定網狀網路的網狀ID、標識將被用來與特定網狀網路通訊的通道的網狀通道以及頁訊窗偏移。
尋求方設備105-d的網狀金鑰參數產生器270可以為設備105-d已經加入的特定網狀網路產生網狀金鑰以及其他參 數(諸如上述參數)。網狀金鑰比較器275可將被包括在接收器模組205-c經由信號232接收到的發現通告中且經由信號234-b提供給網狀金鑰比較器275的網狀金鑰與由網狀金鑰參數產生器270產生且經由信號239提供給網狀金鑰比較器的網狀金鑰進行比較。若比較決定這兩個網狀金鑰之間存在失配,則尋求方設備105-d可決定發送發現通告的設備是提供相同的服務的不同網狀網路的成員。
回應於這一決定,尋求方設備105-d可決定離開(例如,解除關聯)其提供相同的服務的當前網狀網路並加入對應於接收到的通告的不同的網狀網路。該決定可基於任何合適的規則或準則(例如,先驗)。若尋求方設備105-d的當前網狀網路中的其他成員設備被類似地配置並應用相同的規則或準則,則當前網狀網路中的所有設備可等同地決定離開和加入不同的網狀網路。或者,回應於來自當前網狀網路中的各個成員的通告,不同網狀網路中的所有成員設備皆可以最終決定離開和加入尋求方設備105-d的當前網狀網路。在任一種情況下,碎片化(提供相同服務的重複網狀網路的數量)可經由此類合併來減少。
在採用公共群金鑰的實施例中,網狀金鑰可使用公共群金鑰、當前一次性數和預定文本來產生。隨著時間的推移,尋求方設備105-d可接收對當前一次性數的更新。在這種情況下,經更新的網狀金鑰可使用公共群金鑰、對當前一次性數的更新和預定文本來產生。另外,設備105-d可接收對公共群金鑰的更新。在這種情況下,經更新的網狀金鑰可使用 對公共群金鑰的更新、當前一次性數和預定文本來產生。
圖2E是圖示根據各個實施例的尋求方設備105-e的方塊圖200-e。尋求方設備105-e可以是參照圖1、2A、2B、2C及/或2D描述的無線通訊設備105以及成員設備115的一或多個態樣的示例。尋求方設備105-e亦可以是處理器。設備105-e可包括接收器模組205-d、通訊管理模組210-d、以及發射器模組215-d。這些元件中的每一者可彼此處於通訊中。
設備105-e的元件可個體地或共同地用一或多個適配成以硬體執行一些或所有適用功能的特殊應用積體電路(ASIC)來實現。替換地,這些功能可以由一或多個積體電路上的一或多個其他處理單元(或核)來執行。在其他實施例中,可使用可按本發明所屬領域中任何已知方式來程式設計的其他類型的積體電路(例如,結構化/平臺AISC、現場可程式設計閘陣列(FPGA)、以及其他半定製IC)。每一單元的功能亦可以整體或部分地用記憶體中儲存的、被格式化成由一或多個通用或專用處理器執行的指令來實現。
接收器模組205-d和發射器模組215-d可被配置成執行如先前參照圖2A、2B、2C及/或2D描述的操作(例如,分別經由信號242和248)。通訊管理模組210-d可包括設備標識模組220-c、認證模組225-c和加密/解密模組230-c。
通訊管理模組210-d可被配置成執行以上參照圖2A、2B、2C及/或2D描述的各種操作/功能(例如,經由信號242、244、246和248以及內部信號(未圖示))。此外,尋求方設備105-e或通訊管理模組210-d可包括用於執行此類功能性的 處理器。設備標識模組220-c(例如,經由信號244-a和246-a)和加密/解密模組230-c(經由內部信號(未圖示))亦可被配置成執行以上參照圖2A、2B、2C及/或2D描述的操作。
同樣,認證模組225-c可被配置成執行以上參照圖2A、2B、2C及/或2D描述的各種功能(例如,經由信號244-b和246-b)。認證模組225-c可包括亂數產生器280、計數器285、公共群金鑰產生器290及/或公共群金鑰決定子模組295。這些模組中的每一個可經由在其間攜帶信號的匯流排275來互連並且可由認證模組225-c來控制。認證模組225-a由此可提供如下描述的額外功能性。
如前述,作為單個認證規程的一部分,尋求方設備105-e可接收公共群金鑰(經由信號224-b)。公共群金鑰被現有網狀網路110中的所有成員設備115擁有。由此,當尋求方設備105-e已經加入現有網狀網路110時,設備105-e和所有其他成員設備115-a到115-i可使用公共群金鑰來在網狀網路110內進行安全通訊。
在一些實施例中,公共群金鑰可包括期滿時間值。這可有助於為網狀網路110提供提高的安全性(例如,經由降低網狀網路中的非成員經由中繼攻擊來發現公共群金鑰的可能性)。因為公共群金鑰將期滿,所以應產生新公共群金鑰(其亦將在某一時間點期滿)以便例如就在現有公共群金鑰期滿之前替換現有公共群金鑰。由此,需要管理用於網狀網路110的公共群金鑰以實現該特徵。接下來描述此類管理的一個示例。
在到達公共群金鑰的期滿時間值之前,設備105-e可發起從亂數到預定數的倒計數。由此,就在期滿時間之前,亂數產生器280可以經由匯流排275從認證模組225-c接收到指示該亂數產生器產生用於倒計數的亂數的信號。計數器285可經由匯流排275接收所產生的亂數並且隨後可執行從所產生的亂數的倒計數。當計數器到達預定數時,認證模組225-c可經由匯流排275發送指令以使得公共群金鑰產生器產生新公共群金鑰。設備105-e隨後可經由網狀網路110以安全方式向其他成員設備115發送新公共群金鑰。
類似地,網狀網路110中的其他成員設備115可發起從亂數到預定數的倒計數。因為倒計數的起始數是為每一個單獨成員設備115隨機產生的,所以每一個成員設備將很有可能具有不同的倒計數時間。目標可以是使得只有一個新公共群金鑰由網狀網路110中的一個設備產生並且被安全地分發至網狀網路中的所有其他設備。由此,一旦一個設備已經產生新公共群金鑰,其他設備就可退出產生其自己的供分發的新公共群金鑰的程序(例如,經由中斷其倒計數)。
例如,若一或多個成員設備的倒計數時間少於尋求方設備105-e的倒計數時間,則尋求方設備105-e將有可能在設備105-e的計數器285到達預定數之前從一個成員設備115接收到新公共群金鑰(經由信號242)。在這種情況下,在經由信號244-b接收到新公共群金鑰之際,認證模組225-c可經由匯流排275發送指令以使得計數器285中斷倒計數。由此,公共群金鑰產生器可以不被指示產生新公共群金鑰。設備105-e隨後 可以用接收到的新公共群金鑰來替換當前公共群金鑰。
然而,因為可能存在訊息到達的傳播時間的差異(例如,由於延遲),所以從一個成員設備115向設備105-e提供新公共群金鑰的訊息事實上可能不是第一個產生的新公共群金鑰。在這種情況下,設備105-e可以從不同的成員設備115接收另一新公共群金鑰。對第二(或第三、第四等)新公共群金鑰的這一接收可經由要求該第二(或第三、第四等)新公共群金鑰在接收到第一新公共群金鑰後的預定時間內接收到來限制。
若第二(或第三、第四等)新公共群金鑰是由尋求方設備105-e在設備105-e接收到第一新公共群金鑰後的預定時間內接收到的,則公共群金鑰決定子模組295可經由匯流排275接收這兩個金鑰並決定接收到的新公共群金鑰中的哪一個是有效的(並且將被用來替換當前公共群金鑰)。例如,公共群金鑰決定子模組295可使用一或多個抑制準則來做出其判定。抑制規則/準則可基於一個因素或多個因素的組合,諸如更高的MAC位址、對應的產生方設備在網狀網路110中的資歷等。網狀網路110中的所有設備可被配置成應用相同的抑制規則/準則。
為了使新公共群金鑰在整個網狀網路110中安全地分發,成員設備可被配置成採用本文描述的認證規程的一或多個態樣。已產生新公共群金鑰的成員設備可經由使用馬上期滿的當前公共群金鑰來保護的訊息來通知其相鄰設備(例如,單個跳躍內的)。每一個鄰點設備皆可獨立地與該成員設 備執行認證並且在成功認證之際接收新公共群金鑰。馬上期滿的公共群金鑰甚至在接收到新公共群金鑰之後亦可以在網狀網路110中的每一個設備處保持有效,以允許遞送仍然可能在傳送中的採用馬上期滿的公共群金鑰的任何話務(例如,訊息、視訊等)。
圖3是圖示根據各種實施例的設備105-f的方塊圖300。設備105-f可作為如本文描述的尋求方設備或成員設備來操作,這取決於設備105-f的實際用途。在一個配置中,成員設備115可被稱為通告方設備。尋求方設備105-f可被配置成參與發現程序以便經由網狀聯網來獲取所需服務。由此,設備105-f可以分別是圖1、2A、2B、2C、2D及/或2E的尋求方設備105及/或通告方設備115。設備105-f可具有各種配置中的任一者,諸如個人電腦(例如,膝上型電腦、小筆電電腦、平板電腦等)、蜂巢式電話、PDA、數位視訊記錄器(DVR)、網際網路電器、遊戲控制台、電子閱讀器等。設備105-f可具有用於促成行動操作的內部電源(未圖示),諸如小電池。
在所示配置中,設備105-f包括一或多個天線310、收發機模組315、通訊管理模組320、記憶體325、處理器模組335、設備標識模組340、認證模組345以及加密/解密模組350,其各自可以直接或間接地相互通訊(例如,經由一或多條匯流排355)。收發機模組315被配置成經由向天線310發送並從天線310接收的信號312來進行雙向通訊,如前述。例如,收發機模組315可被配置成與圖1、2A、2B、2C、2D及/或2E的其他設備105及/或115進行雙向通訊。收發機模組315可包括 如先前描述的圖2A、2B、2C、2D及/或2E的接收器模組205和發射器模組215。在一個實施例中,收發機模組315可進一步包括數據機,該數據機被配置成調制封包並將經調制封包提供給天線310以供發射,以及解調從天線310接收到的封包。儘管設備105-f可包括單個天線,但設備105-f將通常包括用於多條鏈路的多個天線310。
記憶體325可包括隨機存取記憶體(RAM)和唯讀記憶體(ROM)。記憶體325可以儲存包含指令的電腦可讀、電腦可執行的軟體代碼330,這些指令被配置成在被執行時致使處理器模組335執行本文描述的各種功能(例如,標識/決定/獲取音訊及/或視訊流、圖形資源及/或渲染指令、接收、傳送等)。替換地,軟體330可以是不能由處理器模組335直接執行的,而是被配置成(例如,當被編譯和執行時)使電腦執行本文描述的功能。
處理器模組335可包括智慧硬體設備,例如,中央處理單元(CPU)、微控制器、特殊應用積體電路(ASIC)等。處理器模組335可包括語音編碼器(未圖示),該語音編碼器被配置成經由話筒接收音訊、將該音訊轉換成代表收到音訊的封包(例如,長30ms)、將這些音訊封包提供給收發機模組315、以及提供對使用者是否正在說話的指示。替換地,編碼器可以僅向收發機模組315提供封包,其中由封包本身的提供或扣留/抑制來提供對使用者是否正在說話的指示。
通訊管理模組320可以是設備105-f的元件,該元件經由匯流排355與設備105-f的一些或所有其他組件通訊。替換 地,通訊管理模組320的功能性可被實現為收發機模組315的元件、實現為電腦程式產品、及/或實現為處理器模組335的一或多個控制器元件。通訊管理模組320可以是參照圖2A、2B、2C、2D及/或2E描述的通訊管理模組210之一的一或多個態樣的示例。
設備標識模組340、認證模組345和加密/解密模組350可以是參照圖2A、2B、2C、2D及/或2E描述的相應模組220、225和230之一的一或多個態樣的示例。由此,這些模組可被配置成執行各種操作中的任一個或提供本文描述的功能性。
設備105-f的元件可個體地或共同地用一或多個適配成以硬體執行一些或所有適用功能的特殊應用積體電路(ASIC)來實現。替換地,這些功能可以由一或多個積體電路上的一或多個其他處理單元(或核)來執行。在其他實施例中,可使用可按本發明所屬領域中任何已知方式來程式設計的其他類型的積體電路(例如,結構化/平臺AISC、現場可程式設計閘陣列(FPGA)、以及其他半定製IC)。每一單元的功能亦可以整體或部分地用記憶體中體現的、被格式化成由一或多個通用或專用處理器執行的指令來實現。所述模組中的每一者可以是用於執行與如本文描述的設備105-f的操作有關的一或多個功能的裝置。
圖4是圖示如以上參照圖1描述的尋求方設備(諸如無線通訊設備105-g)和通告方設備115-a(亦即,成員設備)之間的通訊的一個示例的訊息流程圖400。尋求方設備105-g 亦可以是圖2A、2B、2C、2D、2E及/或3的設備105的示例。通告方設備115可以是圖2A、2B、2C、2D、2E及/或3中所圖示的設備115的示例。
在一個配置中,尋求方設備105-g和通告方設備115-a可以通訊以使得尋求方設備105-g所需要的服務以及現有網狀網路110(包括通告方設備115-a)被找到,在圖4中被標示為405。尋求方設備105-g和通告方設備115-a可同意參與認證規程,在圖4中被標示為410。認證規程410可以是本文描述的四路交握的實現。由此,如圖所示,認證規程410可包括第一訊息415、第二訊息420、第三訊息425和第四訊息430,每一個訊息皆可涉及四路交握中的相應訊息的各態樣。在成功完成認證規程410之際,尋求方設備105-g可加入現有網狀網路110並擁有公共群金鑰以使得該設備105-g能夠經由網狀網路110發送和接收通訊435。本發明所屬領域中熟習此項技術者將認識到在尋求方設備105-g和通告方設備115-a之間的協商中可以涉及眾多訊息以便就繼續認證規程410達成共識,並且405僅僅表示實際上可以進行的通訊。
圖5是圖示由尋求方設備105執行的用於經由網狀網路進行通訊以便諸如由此獲取一或多個服務的方法500的實施例的流程圖。為清楚起見,以下參照圖1所示的佈置100,及/或參照關於圖1、2A、2B、2C、2D、2E、3及/或4描述的尋求方設備105之一以及成員設備115之一來描述方法500。在一種實現中,參照圖2A、2B、2C、2D、2E、3描述的通訊管理模組210可執行一或多個代碼集以控制尋求方設備105的功能 元件執行以下描述的功能。
在一個實施例中,在方塊505,設備105可以從現有網狀網路110中的複數個成員設備115中標識成員設備。所標識的成員設備可以是說明過設備105找到所需服務的成員設備。在方塊510,設備105可以與所標識的成員設備115-a通訊以參與單個認證規程。若成功完成單個認證規程,則設備105可加入現有網狀網路,而無需為了加入現有網狀網路110而與另一成員設備115進行任何額外認證規程。
因此,方法500可用於簡化供設備加入現有網狀網路的對等操作。如前述,可減少為了與現有網狀網路中的設備進行對等操作而交換的訊息的數量。此外,設備無需為了加入而與現有網狀網路中的每一個單獨成員設備進行對等操作。應注意,方法500僅是一種實現且其他實現是可能的。
圖6是圖示由尋求方設備執行的用於經由網狀網路進行通訊以便諸如由此獲取一或多個服務的方法600的另一實施例的流程圖。為清楚起見,以下參照圖1所示的佈置100,及/或參照關於圖1、2A、2B、2C、2D、2E、3及/或4描述的尋求方設備105之一及/或成員設備115之一來描述方法500。在一個實現中,參照圖2A、2B、2C、2D、2E、3描述的通訊管理模組210可執行一或多個代碼集以控制尋求方設備105的功能元件執行以下描述的功能。
在一個實施例中,在方塊605,設備105可以向現有網狀網路110中的先前標識的設備115-a中發送認證請求。在方塊610,設備105可以從先前標識的成員設備115-a接收認證回 應。接著,在方塊615,可產生PMK。隨後,在方塊625,可產生PTK。接著,在方塊625,設備105可以向成員設備115-a發送關聯請求。如前述,關聯請求可包括由設備105產生的MIC。若在方塊630MIC是不正確的(例如,不匹配由成員設備115作為認證規程的一部分而產生的MIC),則方法600可繼續至方塊635,其中設備105可接收關聯拒絕訊息。由此,若MIC是不正確的,則設備105可以不被允許加入現有網狀網路110。
另一態樣,若設備105產生的MIC是正確的(例如,匹配由成員設備115產生的MIC),則方法600可跳轉至方塊640,其中設備105可接收包括公共群金鑰的關聯回應。由此,若MIC是正確的,則設備105可加入現有網狀網路110,而無需與網狀網路110中的其他成員設備進行對等操作或執行任何額外認證。
因此,方法600可用於簡化供設備加入現有網狀網路的對等操作。應注意,方法600僅是一種實現且其他實現是可能的。
圖7是圖示由尋求方設備執行的用於經由網狀網路進行通訊以便諸如由此獲取一或多個服務的方法700的實施例的流程圖。為清楚起見,以下參照圖1所示的佈置100,及/或參照關於圖1、2A、2B、2C、2D、2E、3及/或4描述的尋求方設備105之一及/或成員設備115之一來描述方法700。在一個實現中,參照圖2A、2B、2C、2D、2E、3描述的通訊管理模組210可執行一或多個代碼集以控制尋求方設備105的功能元件執行以下描述的功能。
在一個實施例中,在方塊705,設備105可接收公共群金鑰。在方塊710,設備105可以例如使用公共群金鑰、當前一次性數和預定文本來產生網狀金鑰。若在方塊715設備105接收到資訊更新,則方法700可繼續至方塊720,其中設備105可使用該更新資訊來執行更新。在一些實施例中,接收到的更新資訊可包括對當前一次性數的更新。在這種情況下,設備105可使用公共群金鑰、對當前一次性數的更新和預定文本來產生經更新的網狀金鑰。另選地或額外地,接收到的更新資訊可包括對公共群金鑰的更新。在這種情況下,設備105可使用對公共群金鑰的更新、當前一次性數和預定文本來產生經更新的網狀金鑰。應理解,方塊715和720處的操作是可選的,且對於特定實現可以不被包括在內。
在設備105完成更新後(當包括方塊715和720時),該方法可以(在方塊715和720未被包括在內時從方塊710直接)繼續至方塊725。同樣,若在方塊715設備105未接收到資訊更新,則方法700可跳轉至方塊725。在方塊725,設備105可以從相鄰設備(例如,射程內的設備)接收包括網狀金鑰的發現訊息。接著,在方塊730,設備105可將所產生的網狀金鑰與被包括在發現訊息中的網狀金鑰進行比較。隨後,基於比較的結果,設備105可決定是否存在用於提供與現有網狀網路相同的服務的另一網狀網路。例如,設備105可決定相鄰設備是提供現有網狀網路110(設備105是其成員)提供的一或多個服務的不同網狀網路的一部分。
如前述,基於這一決定,設備105可離開(例如,解 除關聯)其當前網狀網路並加入不同的網狀網路。如前述,可經由這一合併來具有減少碎片化的效果(隨時間)。因此,方法700可用於解決網狀聯網中的碎片化。應注意,方法700僅是一種實現且其他實現是可能的。
圖8是圖示由設備執行的用於經由網狀網路進行通訊以便諸如由此獲取(或提供)一或多個服務的方法800的另一實施例的流程圖。為清楚起見,以下參照圖1所示的佈置100,及/或參照關於圖1、2A、2B、2C、2D、2E、3及/或4描述的尋求方設備105之一及/或成員設備115之一來描述方法800。在一個實現中,參照圖2A、2B、2C、2D、2E、3描述的通訊管理模組210可執行一或多個代碼集以控制尋求方設備105的功能元件執行以下描述的功能。
在一個實施例中,在方塊805,設備105可接收公共群金鑰。在該示例中,公共群金鑰可包括期滿時間值。由此,在特定的時間點或者在特定的時間區間逝去後,公共群金鑰將期滿。接著,在方塊810,設備105可以在公共群金鑰的期滿臨近時發起倒計數。如前述,倒計數可以從亂數到預定數。
在方塊815,設備可決定它是否已從網狀網路110中的另一設備115接收到新公共群金鑰。若否,則在方塊820設備105可決定是否以到達預定數。若否,則該方法可返回到方塊815。若是,則在方塊825設備105可產生新公共群金鑰。隨後在方塊830,設備可經由網狀網路110以安全方式向該網狀網路中的其他成員設備發送其新公共群金鑰。
若設備105已經從網狀網路110中的另一設備115接收到新公共群金鑰(例如,第一),則方法800可從方塊815跳轉至方塊835。在方塊835,設備105可決定自從設備105接收到新公共群金鑰(第一次接收到的新公共群金鑰)以來是否已逝去預定時間。若是,則方法800可繼續至方塊840,其中設備105可停止/中斷其倒計數。隨後,在方塊845,設備105可更新到(第一次且僅僅接收到的)新公共群金鑰。
若預定時間尚未逝去,則方法800可從方塊835跳轉至方塊850。在方塊850,設備105可決定它是否已從網狀網路110中的另一設備115接收到新公共群金鑰(例如,第二等)。若否,則該方法800可返回到方塊835。若是,則方法800可繼續至方塊855,其中設備105可再次決定自從設備105接收到新公共群金鑰(第一次接收到的新公共群金鑰)以來是否已逝去預定時間。若否,則該方法可返回到方塊850。若是,則方法800可繼續至方塊860,其中設備105決定它接收到的新公共群金鑰中的哪一個是有效的(例如,使用一或多個抑制準則)。隨後,在方塊865,設備105可更新到該有效的新公共群金鑰。
儘管未圖示,但應理解方法800可包括設備105自己產生的新公共群金鑰與設備105在自從該設備產生或發送其新公共群金鑰以來逝去預定時間之前接收到的一或多個新公共群金鑰之間的評估。
因此,方法800可用於管理用於網狀網路的公共群金鑰,其中該公共群金鑰包括期滿時間。應注意,方法800僅是 一種實現且其他實現是可能的。
應理解,上述方法不是互斥的,並且可以在適當時或者在需要實現所需實現時相互組合(部分地或整體地)。
以上描述提供示例而並非限定請求項中闡述的範疇、適用性或者配置。可以對所討論的要素的功能和佈置作出改變而不會脫離本案的精神和範疇。各種實施例可合適地省略、替代、或添加各種規程或元件。例如,可以按不同於所描述的次序來執行所描述的方法,並且可以添加、省去、或組合各種步驟。此外,關於某些實施例描述的特徵可在其他實施例中加以組合。以下描述可互換地使用術語DTX和非連續傳輸。
以上結合附圖闡述的詳細說明描述了示例性實施例而不代表可被實現或者落在請求項的範疇內的僅有實施例。貫穿本描述使用的術語「示例性」意指「用作示例、實例或圖示」,而並不意指「優於」或「勝過其他實施例」。本詳細描述包括具體細節來提供對所描述的技術的理解。然而,可以在沒有這些具體細節的情況下實踐這些技術。在一些實例中,眾所周知的結構和設備以方塊圖形式示出以避免模糊所描述的實施例的概念。
資訊和信號可使用各種各樣的不同技藝和技術中的任一種來表示。例如,以上描述通篇可能引述的資料、指令、命令、資訊、信號、位元、符號、和碼片可由電壓、電流、電磁波、磁場或磁粒子、光場或光粒子、或者其任何組合來表示。
結合本文中的公開描述的各種說明性方塊以及模組可用通用處理器、數位信號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)或其他可程式設計邏輯裝置、個別閘或電晶體邏輯、個別的硬體元件、或其設計成執行本文中描述的功能的任何組合來實現或執行。通用處理器可以是微處理器,但在替換方案中,處理器可以是任何習知的處理器、控制器、微控制器、或狀態機。處理器亦可以被實現為計算設備的組合,例如DSP與微處理器的組合、多個微處理器、與DSP核心協調的一或多個微處理器、或任何其他此類配置。
本文中所描述的功能可以在硬體、由處理器執行的軟體、韌體、或其任何組合中實現。若在由處理器執行的軟體中實現,則各功能可以作為一或多個指令或代碼儲存在電腦可讀取媒體上或藉其進行傳送。其他示例和實現落在本案及所附請求項的範疇和精神內。例如,由於軟體的本質,以上描述的功能可使用由處理器執行的軟體、硬體、韌體、硬佈線或其任意組合來實現。實現功能的特徵亦可實體地位於各種位置,包括被分佈以使得功能的各部分在不同的實體位置處實現。另外,如本文中(包括請求項中)所使用的,在接有「中的至少一個」的項目列舉中使用的「或」指示析取式列舉,以使得例如「A、B或C中的至少一個」的列舉表示A或B或C或AB或AC或BC或ABC(亦即,A和B和C)。
電腦可讀取媒體包括電腦儲存媒體和通訊媒體兩者,包括促成電腦程式從一地向另一地轉移的任何媒體。儲存 媒體可以是能被通用或專用電腦存取的任何可用媒體。作為示例而非限定,電腦可讀取媒體可包括RAM、ROM、EEPROM、CD-ROM或其他光碟儲存、磁碟儲存或其他磁存放裝置、或能用來攜帶或儲存指令或資料結構形式的期望程式碼手段且能由通用或專用電腦、或者通用或專用處理器存取的任何其他媒體。任何連接亦被正當地稱為電腦可讀取媒體。例如,若軟體是使用同軸電纜、光纖電纜、雙絞線、數位用戶線(DSL)、或諸如紅外、無線電、以及微波之類的無線技術從web網站、伺服器、或其他遠端源傳送而來,則該同軸電纜、光纖電纜、雙絞線、DSL、或諸如紅外、無線電、以及微波之類的無線技術就被包括在媒體的定義之中。如本文所用的盤(disk)和碟(disc)包括壓縮光碟(CD)、鐳射光碟、光碟、數位多功能光碟(DVD)、軟碟和藍光光碟,其中盤(disk)常常磁性地再現資料,而碟(disc)用鐳射來光學地再現資料。上述的組合亦被包括在電腦可讀取媒體的範疇內。
提供對本案的先前描述是為使得本發明所屬領域中熟習此項技術者皆能夠製作或使用本案。對本案的各種修改對本發明所屬領域中熟習此項技術者來說皆將是顯而易見的,且本文中所定義的普適原理可被應用到其他變體而不會脫離本案的精神或範疇。貫穿本描述的術語「示例」或「示例性」指示了示例或實例並且並不暗示或要求對所提及的示例的任何偏好。由此,本案並非被限定於本文中所描述的示例和設計,而是應被授予與本文中所揭示的原理和新穎性特徵相一致的最廣範疇。

Claims (31)

  1. 一種用於經由一網狀網路進行通訊的方法,包括以下步驟:從一現有網狀網路中的複數個成員設備中標識一成員設備;與該所標識的成員設備通訊以參與一單個認證規程;及在成功完成該單個認證規程之際,加入該現有網狀網路,而無需為了加入該現有網狀網路而與該複數個成員設備中的另一成員設備進行任何額外認證規程;其中與該所標識的成員設備通訊以參與該單個認證規程包括以下步驟:將包括一第一公共值的一認證請求發送到該所標識的成員設備,該第一公共值使用一密符號素和一第一一次性數來產生,該密符號素是從與該所標識的成員設備相同的一密碼產生的;從該所標識的成員設備接收包括一第二公共值的一認證回應,該第二公共值使用該密符號素和一第二一次性數來產生,該密符號素是從該相同的該密碼產生的;使用該等第一和第二公共值來產生一成對主金鑰(PMK);及使用該所產生的PMK來產生一成對瞬態金鑰(PTK)。
  2. 如請求項1之方法,其中加入該現有網狀網路包括以下步驟:接收用於與該現有網狀網路中的該複數個成員設備中的任意一個成員設備進行通訊的一公共群金鑰。
  3. 如請求項2之方法,進一步包括以下步驟:使用該公共群金鑰來加密一訊息;及經由該網狀網路向該複數個成員設備中的任一個發送該經加密的訊息。
  4. 如請求項2之方法,進一步包括以下步驟:經由該網狀網路從該複數個成員設備中的任意一個成員設備接收一經加密的訊息;及使用該公共群金鑰來解密該接收到的經加密的訊息。
  5. 如請求項1之方法,其中與該所標識的成員設備通訊以參與該單個認證規程進一步包括以下步驟:將包括一訊息完整性代碼(MIC)的一關聯請求發送到該所標識的成員設備,該MIC使用該所產生的PTK來產生;及接收包括用於與該現有網狀網路中的複數個成員設備中的任意一個成員設備通訊的一公共群金鑰的一關聯回應。
  6. 如請求項5之方法,其中包括該公共群金鑰的該關聯回應只在該關聯請求中所包括的該MIC是正確的情況下被接收。
  7. 如請求項5之方法,其中被包括在該接收到的關聯回應中的該公共群金鑰使用該PTK來加密。
  8. 如請求項5之方法,其中該關聯請求和該關聯回應由該PTK來保護。
  9. 如請求項5之方法,進一步包括以下步驟:連同該關聯請求一起發送一網際網路協定(IP)位址請求。
  10. 如請求項9之方法,進一步包括以下步驟:連同該關聯回應一起接收一IP位址回應,其中該IP位址回應分配一IP位址。
  11. 如請求項1之方法,其中該網路網狀是使得Wi-Fi設備能夠同步到一公共發現訊窗以便進行服務發現和網狀參數交換的一社交Wi-Fi網狀網路。
  12. 如請求項1之方法,進一步包括以下步驟:接收用於與該現有網狀網路中的複數個成員設備中的任意一個成員設備通訊的一公共群金鑰、一當前一次性數和一預定文本;及使用該公共群金鑰、該當前一次性數和該預定文本來產生一網狀金鑰。
  13. 如請求項12之方法,進一步包括以下步驟:接收對該當前一次性數的一更新,該網狀金鑰的該產生使用該公共群金鑰、該預定文本和對該當前一次性數的該更新來執行。
  14. 如請求項12之方法,進一步包括以下步驟:接收對該公共群金鑰的一更新,該網狀金鑰的該產生使用該預定文本、該當前一次性數和對該公共群金鑰的該更新來執行。
  15. 如請求項12之方法,進一步包括以下步驟:從一或多個相鄰設備接收包括一網狀金鑰的一發現訊息,該一或多個相鄰設備不為該現有網狀網路的一成員;將該所產生的網狀金鑰與被包括在該發現訊息中的該網狀金鑰進行比較;及至少部分地基於該比較的一結果來決定是否存在用於提供與該現有網狀網路相同的一服務的另一網狀網路。
  16. 如請求項1之方法,進一步包括以下步驟:接收用於與該現有網狀網路中的複數個成員設備中的任意一個成員設備進行通訊的一公共群金鑰,該公共群金鑰包括一期滿時間值。
  17. 如請求項16之方法,進一步包括以下步驟:發起從一亂數到一預定數的一倒計數,該倒計數與該期滿時間值不同且是在到達該公共群金鑰的該期滿時間值之前發起的;在到達該預定數之際,產生一新公共群金鑰;及經由該網狀網路以一安全的方式將該新公共群金鑰發送到該複數個成員設備。
  18. 如請求項17之方法,進一步包括以下步驟:在到達該預定數之前經由該網狀網路安全地接收一第一新公共群金鑰;及在接收到該第一新公共群金鑰之際中斷該倒計數。
  19. 如請求項18之方法,進一步包括以下步驟:在接收到該第一新公共群金鑰後的一預定時間內經由該網狀網路安全地接收一第二新公共群金鑰;及使用一或多個抑制準則來決定該等第一和第二新公共群金鑰中的哪一個是有效的。
  20. 一種用於供一無線通訊設備經由一網狀網路進行通訊的裝置,包括:被配置成從一現有網狀網路中的複數個成員設備中標識一成員設備的一第一處理模組;被配置成與該所標識的成員設備通訊以參與一單個認證規程的一第二處理模組;及一通訊管理模組,其被配置成使得該無線通訊設備在成功完成該單個認證規程之際加入該現有網狀網路,而無需為了加入該現有網狀網路而與該複數個成員設備中的另一成員設備進行任何額外認證規程;其中該單個認證規程包括以下步驟:將包括一第一公共值的一認證請求發送到該所標識的成員設備,該第一公共值使用一密符號素和一第一一次性數來產生,該密符號素是從與該所標識的成員設備相同的一密碼產生的;從該所標識的成員設備接收包括一第二公共值的一認證回應,該第二公共值使用該密符號素和一第二一次性數來產生,該密符號素是從該相同的密碼產生的;使用該等第一和第二公共值來產生一成對主金鑰(PMK);及使用該所產生的PMK來產生一成對瞬態金鑰(PTK)。
  21. 如請求項20之裝置,其中該通訊管理模組被配置成接收用於與該現有網狀網路中的複數個成員設備中的任意一個成員設備進行通訊的一公共群金鑰。
  22. 如請求項20之裝置,其中該第二處理模組被配置成:將包括一訊息完整性代碼(MIC)的一關聯請求發送到該所標識的成員設備,該MIC使用該所產生的PTK來產生;及接收包括用於與該現有網狀網路中的複數個成員設備中的任意一個成員設備通訊的一公共群金鑰的一關聯回應。
  23. 如請求項22之裝置,其中包括該公共群金鑰的該關聯回應只在該關聯請求中所包括的該MIC是正確的情況下被接收。
  24. 一種用於經由一網狀網路進行通訊的設備,包括:用於從一現有網狀網路中的複數個成員設備中標識一成員設備的裝置;用於與該所標識的成員設備通訊以參與一單個認證規程的裝置;及用於在成功完成該單個認證規程之際加入該現有網狀網路,而無需為了加入該現有網狀網路而與該複數個成員設備中的另一成員設備進行任何額外認證規程的裝置;其中用於與該所標識的成員設備通訊以參與該單個認證規程的裝置被配置成:將包括一第一公共值的一認證請求發送到該所標識的成員設備,該第一公共值使用一密符號素和一第一一次性數來產生,該密符號素是從與該所標識的成員設備相同的一密碼產生的;從該所標識的成員設備接收包括一第二公共值的一認證回應,該第二公共值使用該密符號素和一第二一次性數來產生,該密符號素是從該相同的密碼產生的;使用該等第一和第二公共值來產生一成對主金鑰(PMK);及使用該所產生的PMK來產生一成對瞬態金鑰(PTK)。
  25. 如請求項24之設備,其中用於加入該現有網狀網路的裝置包括:用於接收用於與該現有網狀網路中的該複數個成員設備中的任意一個成員設備通訊的一公共群金鑰的裝置。
  26. 如請求項25之設備,進一步包括:用於使用該公共群金鑰來加密一訊息的裝置;及用於經由該網狀網路向該複數個成員設備中的任意一個成員設備發送該經加密的訊息的裝置。
  27. 一種用於經由一網狀網路進行通訊的裝置,包括:至少一個處理器;與該至少一個處理器處於電子通訊的一記憶體;及儲存在該記憶體中的指令,該等指令能由該至少一個處理器執行以便:從一現有網狀網路中的複數個成員設備中標識一成員設備;與該所標識的成員設備通訊以參與一單個認證規程;及在成功完成該單個認證規程之際加入該現有網狀網路,而無需為了加入該現有網狀網路而與該複數個成員設備中的另一成員設備進行任何額外認證規程;其中能由該至少一個處理器執行以與該所標識的成員設備通訊以參與該單個認證規程的該等指令,包括能由該至少一個處理器執行以執行以下操作的指令:將包括一第一公共值的一認證請求發送到該所標識的成員設備,該第一公共值使用一密符號素和一第一一次性數來產生,該密符號素是從與該所標識的成員設備相同的一密碼產生的;從該所標識的成員設備接收包括一第二公共值的一認證回應,該第二公共值使用該密符號素和一第二一次性數來產生,該密符號素是從該相同的密碼產生的;使用該等第一和第二公共值來產生一成對主金鑰(PMK);及使用該所產生的PMK來產生一成對瞬態金鑰(PTK)。
  28. 如請求項27之裝置,其中能由該至少一個處理器執行以加入該現有網狀網路的指令包括:能由該至少一個處理器執行以接收用於與該現有網狀網路中的複數個成員設備中的任意一個成員設備進行通訊的一公共群金鑰的指令。
  29. 如請求項27之裝置,其中能由該至少一個處理器執行以與該所標識的成員設備通訊以參與該單個認證規程的指令包括進一步能由該至少一個處理器執行以執行以下操作的指令:將包括一訊息完整性代碼(MIC)的一關聯請求發送到該所標識的成員設備,該MIC使用該所產生的PTK來產生;及接收包括用於與該現有網狀網路中的複數個成員設備中的任意一個成員設備通訊的一公共群金鑰的一關聯回應。
  30. 如請求項29之裝置,其中包括該公共群金鑰的該關聯回應只在該關聯請求中所包括的該MIC是正確的情況下被接收。
  31. 一種用於經由一網狀網路進行通訊的電腦程式產品,該電腦程式產品包括儲存指令的一非瞬態電腦可讀取媒體,當該等指令由一處理器執行時,造成該處理器進行以下步驟:從一現有網狀網路中的複數個成員設備中標識一成員設備;與該所標識的成員設備通訊以參與一單個認證規程;及在成功完成該單個認證規程之際加入該現有網狀網路,而無需為了加入該現有網狀網路而與該複數個成員設備中的另一成員設備進行任何額外認證規程,其中能由該處理器執行以與該所標識的成員設備通訊以參與該單個認證規程的該等指令,包括由該處理器執行時造成該處理器進行以下步驟的指令:將包括一第一公共值的一認證請求發送到該所標識的成員設備,該第一公共值使用一密符號素和一第一一次性數來產生,該密符號素是從與該所標識的成員設備相同的一密碼產生的;從該所標識的成員設備接收包括一第二公共值的一認證回應,該第二公共值使用該密符號素和一第二一次性數來產生,該密符號素是從該相同的密碼產生的;使用該等第一和第二公共值來產生一成對主金鑰(PMK);及使用該所產生的PMK來產生一成對瞬態金鑰(PTK)。
TW104107620A 2014-03-27 2015-03-10 用於加入社交wi-fi網狀網路的安全且簡化的規程 TWI654864B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/227,872 2014-03-27
US14/227,872 US9462464B2 (en) 2014-03-27 2014-03-27 Secure and simplified procedure for joining a social Wi-Fi mesh network

Publications (2)

Publication Number Publication Date
TW201537927A TW201537927A (zh) 2015-10-01
TWI654864B true TWI654864B (zh) 2019-03-21

Family

ID=52823794

Family Applications (1)

Application Number Title Priority Date Filing Date
TW104107620A TWI654864B (zh) 2014-03-27 2015-03-10 用於加入社交wi-fi網狀網路的安全且簡化的規程

Country Status (8)

Country Link
US (1) US9462464B2 (zh)
EP (1) EP3123693A2 (zh)
JP (1) JP6571676B2 (zh)
KR (1) KR20160138057A (zh)
CN (1) CN106134152B (zh)
CA (1) CA2940534A1 (zh)
TW (1) TWI654864B (zh)
WO (1) WO2015148165A2 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11184587B2 (en) 2019-05-31 2021-11-23 Sigmastar Technology Ltd. Image surveillance system, local area network system and establishing method of the same

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150003607A1 (en) * 2013-06-26 2015-01-01 Samsung Electronics Co., Ltd. Secure connection method and apparatus of electronic device
EP3175639B1 (en) * 2014-07-28 2021-04-14 Telefonaktiebolaget LM Ericsson (publ) Authentication during handover between two different wireless communications networks
WO2016077835A1 (en) * 2014-11-15 2016-05-19 Silicondust Usa Inc. Adding a device to a protected network without data entry on the device
US20160223333A1 (en) * 2015-01-30 2016-08-04 Qualcomm Incorporated Route determination using neighbor awareness network devices
GB201506045D0 (en) * 2015-04-09 2015-05-27 Vodafone Ip Licensing Ltd SIM security
EP3286871B1 (en) * 2015-04-24 2020-07-22 PCMS Holdings, Inc. Systems, methods, and devices for device credential protection
JP2017143480A (ja) * 2016-02-12 2017-08-17 パナソニックIpマネジメント株式会社 通信端末、マルチホップ通信システム、およびプログラム
JP2017152920A (ja) * 2016-02-24 2017-08-31 パナソニックIpマネジメント株式会社 通信端末、マルチホップ通信システム、およびプログラム
US10292189B2 (en) * 2016-05-17 2019-05-14 Mediatek Inc. Method of network configuration for wireless access point
JP2018046450A (ja) * 2016-09-15 2018-03-22 キヤノン株式会社 通信装置、通信方法、及びプログラム
US10887295B2 (en) * 2016-10-26 2021-01-05 Futurewei Technologies, Inc. System and method for massive IoT group authentication
US11343312B2 (en) * 2017-09-21 2022-05-24 Qualcomm Incorporated Social mesh networks
KR102114992B1 (ko) * 2018-04-25 2020-05-25 (주)휴맥스 무선 통신 장비 및 무선 통신 장비의 메쉬 네트워크 구성 방법
CN109005044B (zh) * 2018-08-02 2020-10-30 Oppo广东移动通信有限公司 数据传输控制方法及相关装置
US11641363B2 (en) * 2019-01-14 2023-05-02 Qatar Foundation For Education, Science And Community Development Methods and systems for verifying the authenticity of a remote service
US11463936B2 (en) * 2019-11-29 2022-10-04 Izuma Tech, Inc. Multihop network routing extension
CN114697958A (zh) * 2020-12-30 2022-07-01 中兴通讯股份有限公司 无线接入点的入网方法、***、ap及存储介质
KR20220124939A (ko) * 2021-03-04 2022-09-14 삼성전자주식회사 공유 암호 키 갱신을 수행하는 방법 및 이를 지원하는 전자 장치
US11546323B1 (en) * 2022-08-17 2023-01-03 strongDM, Inc. Credential management for distributed services
US11736531B1 (en) 2022-08-31 2023-08-22 strongDM, Inc. Managing and monitoring endpoint activity in secured networks
US11765159B1 (en) 2022-09-28 2023-09-19 strongDM, Inc. Connection revocation in overlay networks
US11916885B1 (en) 2023-01-09 2024-02-27 strongDM, Inc. Tunnelling with support for dynamic naming resolution
US11765207B1 (en) 2023-03-17 2023-09-19 strongDM, Inc. Declaring network policies using natural language

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050243765A1 (en) * 2003-07-25 2005-11-03 Schrader Mark E Mesh network and piconet work system and method
KR101248906B1 (ko) 2005-05-27 2013-03-28 삼성전자주식회사 무선 랜에서의 키 교환 방법
US8761125B2 (en) * 2006-05-01 2014-06-24 The Hong Kong University Of Science And Technology Scalable wireless mesh networks
US8578159B2 (en) * 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network
US8451809B2 (en) * 2007-04-13 2013-05-28 Hart Communication Foundation Wireless gateway in a process control environment supporting a wireless communication protocol
US9198033B2 (en) 2007-09-27 2015-11-24 Alcatel Lucent Method and apparatus for authenticating nodes in a wireless network
US9246679B2 (en) * 2007-12-28 2016-01-26 Intel Corporation Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks
US8904177B2 (en) 2009-01-27 2014-12-02 Sony Corporation Authentication for a multi-tier wireless home mesh network
CN101646172B (zh) * 2009-09-08 2011-11-09 杭州华三通信技术有限公司 一种分布式mesh网络中产生密钥的方法和装置
JP5323020B2 (ja) * 2010-09-29 2013-10-23 三菱電機株式会社 通信システム、通信方法およびハンディターミナル
JP2012195774A (ja) * 2011-03-16 2012-10-11 Toshiba Corp ノード及びプログラム
US8959607B2 (en) * 2011-08-03 2015-02-17 Cisco Technology, Inc. Group key management and authentication schemes for mesh networks
US8953791B2 (en) * 2011-08-08 2015-02-10 Marvell World Trade Ltd. Key derivative function for network communications
US9591525B2 (en) * 2012-05-03 2017-03-07 Itron Global Sarl Efficient device handover/migration in mesh networks
EP2661112A1 (en) * 2012-05-03 2013-11-06 Itron, Inc. Authentication using DHCP Services in Mesh Networks

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11184587B2 (en) 2019-05-31 2021-11-23 Sigmastar Technology Ltd. Image surveillance system, local area network system and establishing method of the same

Also Published As

Publication number Publication date
WO2015148165A2 (en) 2015-10-01
TW201537927A (zh) 2015-10-01
US20150281952A1 (en) 2015-10-01
EP3123693A2 (en) 2017-02-01
US9462464B2 (en) 2016-10-04
CA2940534A1 (en) 2015-10-01
CN106134152A (zh) 2016-11-16
JP6571676B2 (ja) 2019-09-04
WO2015148165A3 (en) 2015-11-19
JP2017513327A (ja) 2017-05-25
KR20160138057A (ko) 2016-12-02
CN106134152B (zh) 2019-08-13

Similar Documents

Publication Publication Date Title
TWI654864B (zh) 用於加入社交wi-fi網狀網路的安全且簡化的規程
US9554270B2 (en) Enhanced security for direct link communications
KR101144572B1 (ko) 무선 다중?홉 네트워크에 대한 인증 엑세스 방법 및 인증 엑세스 시스템
JP6508688B2 (ja) エンドツーエンドサービス層認証
CN109428875B (zh) 基于服务化架构的发现方法及装置
TWI575917B (zh) 在不進行昂貴的網狀對等操作的情況下建立可靠路線
CN107769914B (zh) 保护数据传输安全的方法和网络设备
JP2023040071A (ja) Ue及びその通信方法
JP6512111B2 (ja) 通信システム、ネットワーク及びue並びにそれらの通信方法
JP2017534217A (ja) インフラストラクチャレスピアツーピアネットワークにおいてピアを認証するための方法
WO2008021855A2 (en) Ad-hoc network key management
JP2016526805A (ja) セキュアシステム、及び、セキュア通信を行う方法
CN104584516A (zh) 协商mac地址的改变
Ometov et al. Securing network-assisted direct communication: The case of unreliable cellular connectivity
Rong et al. Wireless network security
JP5472977B2 (ja) 無線通信装置
Zemmoudj et al. Securing D2D Therapeutic Hiking Group in 5G Networks for Partial Coverage Scenario
CN117939450A (zh) 蓝牙mesh网络的连接方法、装置和蓝牙通信***

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees