図面 (/)

この項目の情報は公開日時点(2017年12月21日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (14)

課題・解決手段

デバイスを認証するためのシステム、方法、およびコンピュータ可読媒体は、第2のデバイスにおいて、デバイスのための第1の認証プロトコル再認応答を受信することと、認証応答が再認証マスターセッション鍵(rMSK)を含む、第2のデバイスにおいて、再認証マスターセッション鍵に基づいて第1のアクセスポイントに第2の第1の認証プロトコル再認証応答を送信することと、第2のデバイスにおいて再認証マスターセッション鍵に基づいて第1のペアワイズマスター鍵(PMK)を生成することと、第2のデバイスにおいて第1のペアワイズマスター鍵を含むように鍵メッセージを生成することと、第2のデバイスにおいて第2のアクセスポイントに鍵メッセージを送信することとを行う方法を実行する。

概要

背景

[0002]Wi−Fi(登録商標ネットワーキングアプリケーションにおいて、セキュリティ機能は、よりロバストでより良い統合セキュリティツールを提供するために徐々に発展してきた。電気電子技術者協会(IEEE)によって公表された802.11のEAP拡張認証プロトコル規格では、「4ウェイハンドシェイク」と呼ばれる機構を含む認証技法が使用され得る。4ウェイハンドシェイク機構では、セキュアネットワーキングセッション確立するために、ラップトップコンピュータスマートフォン、または、一般に「局」と呼ばれる他のクライアントデバイスなどのクライアントデバイスは、ワイヤレスルータまたは、一般に「アクセスポイント」と呼ばれる他のデバイスネゴシエートする。セッション中に、局は、インターネットまたは他のネットワークへの接続を求め得る
[0003]4ウェイハンドシェイク手法では、局とアクセスポイントとは、どの相互認証が実行され得るかに基づいて一連の4つの定義されたメッセージ交換する。アクセスポイントは、4ウェイハンドシェイク手順を実行するために局およびアクセスポイントによって使用される共有秘密ならびに/または公開および秘密鍵のセットを確立するために、リモート認証ダイヤルインユーザサービスRADIUS)サーバまたは他の認証サーバプラットフォーム、あるいはサービス対話することができる。4ウェイハンドシェイク手順の一部として、局およびアクセスポイントは、共有秘密にアクセスすることができ、これは、ペアワイズマスター鍵(PMK:pair Wise master key)を含むことができる。局とアクセスポイントとの間で交換されるメッセージは、一時ペアワイズ鍵(PTK:transient pairwise key)を含む公開および秘密鍵のさらなるセットを使用して符号化され得、これは、さらなる暗号化鍵レイヤのための生成器としてペアワイズマスター鍵を使用して構築され得る。

概要

デバイスを認証するためのシステム、方法、およびコンピュータ可読媒体は、第2のデバイスにおいて、デバイスのための第1の認証プロトコル再認応答を受信することと、認証応答が再認証マスターセッション鍵(rMSK)を含む、第2のデバイスにおいて、再認証マスターセッション鍵に基づいて第1のアクセスポイントに第2の第1の認証プロトコル再認証応答を送信することと、第2のデバイスにおいて再認証マスターセッション鍵に基づいて第1のペアワイズマスター鍵(PMK)を生成することと、第2のデバイスにおいて第1のペアワイズマスター鍵を含むように鍵メッセージを生成することと、第2のデバイスにおいて第2のアクセスポイントに鍵メッセージを送信することとを行う方法を実行する。

目的

[0002]Wi−Fi(登録商標)ネットワーキングアプリケーションにおいて、セキュリティ機能は、よりロバストでより良い統合セキュリティツールを提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

第1のアクセスポイントと、第2のアクセスポイントと、モビリティドメインコントローラと、認証サーバとを含む通信ステム中で局を認証する方法であって、前記モビリティドメインコントローラにおいて、前記認証サーバから前記局のための拡張認証プロトコル再認応答を受信することと、前記拡張認証プロトコル再認証応答が、再認証マスターセッション鍵を含む、前記モビリティドメインコントローラにおいて、前記再認証マスターセッション鍵に基づいて前記第1のアクセスポイントに第2の拡張認証プロトコル再認証応答を送信することと、前記モビリティドメインコントローラにおいて、前記再認証マスターセッション鍵に基づいて前記第2のアクセスポイントのための高速基本サービスセット遷移第2レベルペアワイズマスター鍵を生成することと、前記モビリティドメインコントローラにおいて、前記第2のアクセスポイントのための前記高速基本サービスセット遷移第2レベルペアワイズマスター鍵を含むように鍵メッセージを生成することと、前記モビリティドメインコントローラにおいて、前記第2のアクセスポイントに前記鍵メッセージを送信することとを備える方法。

請求項2

前記第2のアクセスポイントのための前記高速基本サービスセット遷移第2レベルペアワイズマスター鍵を生成することが、前記再認証マスターセッション鍵に基づいて高速基本サービスセット遷移第1レベルペアワイズマスター鍵を生成することと、前記高速基本サービスセット遷移第1レベルペアワイズマスター鍵に基づいて前記第2のアクセスポイントのための前記高速基本サービスセット遷移第2レベルペアワイズマスター鍵を生成することとを備える、請求項1に記載の方法。

請求項3

前記モビリティドメインコントローラにおいて、前記高速基本サービスセット遷移第1レベルペアワイズマスター鍵と前記第1のアクセスポイントの1つまたは複数のプロパティとに基づいて前記第1のアクセスポイントのための高速基本サービスセット遷移第2レベルペアワイズマスター鍵を生成することと、前記モビリティドメインコントローラにおいて、前記第1のアクセスポイントのための前記高速基本サービスセット遷移第2レベルペアワイズマスター鍵を含むように前記第2の拡張認証プロトコル再認証応答を生成することとをさらに備える、請求項2に記載の方法。

請求項4

前記モビリティドメインコントローラにおいて、前記第2のアクセスポイントから鍵要求メッセージを受信することと、前記モビリティドメインコントローラによって、前記鍵要求メッセージの受信に応答して前記第2のアクセスポイントに前記第2のアクセスポイントのための前記高速基本サービスセット遷移第2レベルペアワイズマスター鍵を送信することとをさらに備える、請求項3に記載の方法。

請求項5

前記第2のアクセスポイントが、前記局との高速基本サービスセット遷移認証に応答して前記モビリティドメインコントローラに前記鍵要求メッセージを送信する、請求項4に記載の方法。

請求項6

第1のアクセスポイントと、第2のアクセスポイントと、認証サーバとを含むワイヤレス通信システムにおいて局を認証するためのモビリティドメインコントローラであって、前記認証サーバから前記局のための拡張認証プロトコル再認証応答を受信するように構成された受信機と、前記第1の認証プロトコル再認証応答が、再認証マスターセッション鍵を含む、前記再認証マスターセッション鍵に基づいて前記第1のアクセスポイントに第2の拡張認証プロトコル再認証応答を送信するように構成された送信機と、プロセッサとを備え、前記プロセッサが、前記再認証マスターセッション鍵に基づいて前記第2のアクセスポイントのための高速基本サービスセット遷移第2レベルペアワイズマスター鍵を生成することと、前記第2のアクセスポイントのための前記高速基本サービスセット遷移第2レベルペアワイズマスター鍵を含むように鍵メッセージを生成することとを行うように構成され、ここにおいて、前記送信機が、前記第2のアクセスポイントに前記鍵メッセージを送信するようにさらに構成された、モビリティドメインコントローラ。

請求項7

前記プロセッサが、前記再認証マスターセッション鍵に基づいて高速基本サービスセット遷移第1レベルペアワイズマスター鍵を生成することによって、前記第2のアクセスポイントのための前記高速基本サービスセット遷移第2レベルペアワイズマスター鍵を生成することと、前記高速基本サービスセット遷移第1レベルペアワイズマスター鍵と前記第2のアクセスポイントの1つまたは複数のプロパティとに基づいて前記第2のアクセスポイントのための前記高速基本サービスセット遷移第2レベルペアワイズマスター鍵を生成することとを行うようにさらに構成された、請求項6に記載のモビリティドメインコントローラ。

請求項8

前記プロセッサが、前記高速基本サービスセット遷移第1レベルペアワイズマスター鍵と前記第1のアクセスポイントの1つまたは複数のプロパティとに基づいて前記第1のアクセスポイントのための高速基本サービスセット遷移第2レベルペアワイズマスター鍵を生成することと、前記第1のアクセスポイントのための前記高速基本サービスセット遷移第2レベルペアワイズマスター鍵を含むように前記第2の拡張認証プロトコル再認証応答を生成することとを行うようにさらに構成された、請求項7に記載のモビリティドメインコントローラ。

請求項9

前記受信機が、前記第1のアクセスポイントから前記局のための拡張認証プロトコル再認証要求を受信するようにさらに構成され、ここにおいて、前記送信機が、前記受信機が前記第1のアクセスポイントから前記局のための前記拡張認証プロトコル再認証要求を受信したことに応答して、前記局のための第2の拡張認証プロトコル再認証要求を送信するようにさらに構成された、請求項6に記載のモビリティドメインコントローラ。

請求項10

前記受信機が、前記第2のアクセスポイントから鍵要求メッセージを受信するようにさらに構成され、前記送信機が、前記鍵要求メッセージの受信に応答して前記第2のアクセスポイントに前記第2のアクセスポイントのための前記高速基本サービスセット遷移第2レベルペアワイズマスター鍵を送信するようにさらに構成された、請求項7に記載のモビリティドメインコントローラ。

請求項11

局によって第1のアクセスポイントと第2のアクセスポイントとを含むネットワークを介して認証する方法であって、前記局において、前記第1のアクセスポイントからネットワークメッセージを受信することと、前記局において、前記ネットワークメッセージに基づいて、拡張認証プロトコルまたは高速基本サービスセット遷移認証プロトコルを介して前記第1のアクセスポイントと認証すべきかを決定することと、前記局において、前記決定された認証プロトコルを使用して前記第1のアクセスポイントと認証することとを備える、方法。

請求項12

前記ネットワークメッセージがモビリティドメイン識別子を含み、前記拡張認証プロトコルまたは高速基本サービスセット遷移認証プロトコルを介して前記第1のアクセスポイントと認証すべきかを前記決定することが、前記モビリティドメイン識別子に基づく、請求項11に記載の方法。

請求項13

前記ネットワークメッセージが、前記第1のアクセスポイントによってサポートされる認証プロトコルの1つまたは複数のインジケータを含み、前記拡張認証プロトコルまたは前記高速基本サービスセット遷移認証プロトコルを介して前記第1のアクセスポイントと認証すべきかを前記決定することが、前記1つまたは複数のインジケータに基づく、請求項11に記載の方法。

請求項14

前記第1のアクセスポイントのための第1のモビリティドメイン識別子を示すメッセージを前記第1のアクセスポイントから受信することと、第2のモビリティドメイン識別子を有する第2のアクセスポイントと認証することと、前記第1のモビリティドメイン識別子が前記第2のモビリティドメイン識別子とは異なることに応答して、前記拡張認証プロトコル再認証プロトコルを使用して前記第1のアクセスポイントと認証することとをさらに備える、請求項11に記載の方法。

請求項15

前記第1のモビリティドメイン識別子が前記第2のモビリティドメイン識別子に一致したことに応答して、前記高速基本サービスセット遷移認証プロトコルを使用して前記第1のアクセスポイントと認証することをさらに備える、請求項14に記載の方法。

請求項16

前記第2のアクセスポイントとの前記認証が前記拡張認証プロトコル再認証プロトコルを使用し、前記方法が、前記第2のアクセスポイントとの前記拡張認証プロトコル再認証プロトコルに基づいて再認証マスターセッション鍵を決定することと、前記再認証マスターセッション鍵から高速基本サービスセット遷移第1レベルペアワイズマスター鍵を導出することと、前記高速基本サービスセット遷移第1レベルペアワイズマスター鍵と前記第2のアクセスポイントの1つまたは複数のプロパティとに基づいて高速基本サービスセット遷移第2レベルペアワイズマスター鍵を導出することと、前記高速基本サービスセット遷移第2レベルペアワイズマスター鍵に基づいて前記第2のアクセスポイントと通信することとをさらに備える、請求項14に記載の方法。

請求項17

前記高速基本サービスセット遷移第1レベルペアワイズマスター鍵と前記第1のアクセスポイントの1つまたは複数のプロパティとに基づいて第2の高速基本サービスセット遷移第2レベルペアワイズマスター鍵を導出することと、前記導出された第2の高速基本サービスセット遷移第2レベルペアワイズマスター鍵に基づいて前記第1のアクセスポイントと通信することとをさらに備える、請求項16に記載の方法。

請求項18

前記第1のアクセスポイントとのディフィールマ鍵交換を実行することと、前記ディフィーへルマン鍵交換と前記第2の高速基本サービスセット遷移第2レベルペアワイズマスター鍵とに基づいてペアワイズ一時鍵を導出することと、前記導出されたペアワイズ一時鍵に基づいて前記第1のアクセスポイントと通信することとをさらに備える、請求項17に記載の方法。

請求項19

ネットワークを介して認証するための局であって、第1のアクセスポイントからネットワークメッセージを受信するように構成された受信機と、プロセッサとを備え、前記プロセッサが、前記ネットワークメッセージに基づいて、拡張認証プロトコルまたは高速基本サービスセット遷移認証プロトコルを介して前記第1のアクセスポイントと認証すべきかを決定することと、前記決定された認証プロトコルを使用して前記第1のアクセスポイントと認証することとを行うように構成された、局。

請求項20

前記ネットワークメッセージがモビリティドメイン識別子を含み、前記プロセッサが、前記モビリティドメイン識別子に基づいて拡張認証プロトコルまたは高速基本サービスセット遷移認証プロトコルを介して前記第1のアクセスポイントと認証すべきかを決定するようにさらに構成された、請求項19に記載の局。

請求項21

前記ネットワークメッセージが、前記第1のアクセスポイントによってサポートされる認証プロトコルの1つまたは複数のインジケータを含み、前記プロセッサが、前記1つまたは複数のインジケータに基づいて拡張認証プロトコルまたは高速基本サービスセット認証プロトコルを介して前記第1のアクセスポイントと認証すべきかを決定するようにさらに構成された、請求項19に記載の局。

請求項22

前記プロセッサが、前記第1のアクセスポイントのための第1のモビリティドメイン識別子を示すメッセージを前記第1のアクセスポイントから受信することと、第2のモビリティドメイン識別子を有する第2のアクセスポイントと認証し、前記第1のモビリティドメイン識別子が前記第2のモビリティドメイン識別子とは異なることに応答して、拡張認証プロトコル再認証プロトコルを使用して前記第1のアクセスポイントと認証することとを行うようにさらに構成された、請求項19に記載の局。

請求項23

前記プロセッサが、前記第1のモビリティドメイン識別子が前記第2のモビリティドメイン識別子に一致したことに応答して、前記高速基本サービスセット遷移認証プロトコルを使用して前記第1のアクセスポイントと認証するようにさらに構成された、請求項22に記載の局。

請求項24

前記第2のアクセスポイントとの前記認証が前記拡張認証プロトコル再認証プロトコルを使用し、前記プロセッサが、前記第2のアクセスポイントとの前記拡張認証プロトコル再認証プロトコルに基づいて再認証マスターセッション鍵を決定することと、前記再認証マスターセッション鍵から高速基本サービスセット遷移第1レベルペアワイズマスター鍵を導出することと、前記高速基本サービスセット遷移第1レベルペアワイズマスター鍵と前記第2のアクセスポイントの1つまたは複数のプロパティとに基づいて高速基本サービスセット遷移第2レベルペアワイズマスター鍵を導出することと、前記高速基本サービスセット遷移第2レベルペアワイズマスター鍵に基づいて前記第2のアクセスポイントと通信することとを行うようにさらに構成された、請求項22に記載の局。

請求項25

前記プロセッサが、前記高速基本サービスセット遷移第1レベルペアワイズマスター鍵と前記第1のアクセスポイントの1つまたは複数のプロパティとに基づいて第2の高速基本サービスセット遷移第2レベルペアワイズマスター鍵を導出することと、前記導出された第2の高速基本サービスセット遷移第2レベルペアワイズマスター鍵に基づいて前記第1のアクセスポイントと通信することとを行うようにさらに構成された、請求項24に記載の局。

請求項26

前記プロセッサが、前記第1のアクセスポイントとのディフィーへルマン鍵交換を実行することと、前記ディフィーへルマン鍵交換と前記第2の高速基本サービスセット遷移第2レベルペアワイズマスター鍵とに基づいてペアワイズ一時鍵を導出することと、前記導出されたペアワイズ一時鍵に基づいて前記第1のアクセスポイントと通信することとを行うようにさらに構成された、請求項25に記載の局。

技術分野

0001

[0001]本出願は、概して、ワイヤレス通信システムに関し、より詳細には、ワイヤレス通信システム内での認証のためのシステム、方法、およびデバイスに関する。

背景技術

0002

[0002]Wi−Fi(登録商標ネットワーキングアプリケーションにおいて、セキュリティ機能は、よりロバストでより良い統合セキュリティツールを提供するために徐々に発展してきた。電気電子技術者協会(IEEE)によって公表された802.11のEAP拡張認証プロトコル規格では、「4ウェイハンドシェイク」と呼ばれる機構を含む認証技法が使用され得る。4ウェイハンドシェイク機構では、セキュアネットワーキングセッション確立するために、ラップトップコンピュータスマートフォン、または、一般に「局」と呼ばれる他のクライアントデバイスなどのクライアントデバイスは、ワイヤレスルータまたは、一般に「アクセスポイント」と呼ばれる他のデバイスとネゴシエートする。セッション中に、局は、インターネットまたは他のネットワークへの接続を求め得る
[0003]4ウェイハンドシェイク手法では、局とアクセスポイントとは、どの相互認証が実行され得るかに基づいて一連の4つの定義されたメッセージ交換する。アクセスポイントは、4ウェイハンドシェイク手順を実行するために局およびアクセスポイントによって使用される共有秘密ならびに/または公開および秘密鍵のセットを確立するために、リモート認証ダイヤルインユーザサービスRADIUS)サーバまたは他の認証サーバプラットフォーム、あるいはサービス対話することができる。4ウェイハンドシェイク手順の一部として、局およびアクセスポイントは、共有秘密にアクセスすることができ、これは、ペアワイズマスター鍵(PMK:pair Wise master key)を含むことができる。局とアクセスポイントとの間で交換されるメッセージは、一時ペアワイズ鍵(PTK:transient pairwise key)を含む公開および秘密鍵のさらなるセットを使用して符号化され得、これは、さらなる暗号化鍵レイヤのための生成器としてペアワイズマスター鍵を使用して構築され得る。

0003

[0004]本発明のシステム、方法、およびデバイスは各々、いくつかの態様を有し、それらのうちのいずれの単一の態様も単独では本発明の望ましい属性を担わない。ここで、後記の特許請求の範囲によって表される本発明の範囲を限定することなく、いくつかの特徴について簡単に説明する。この説明を考慮した後、特に「発明を実施するための形態」と題されるセクションを読んだ後で、本発明の特徴が、ワイヤレスネットワーク中のアクセスポイントと局との間の改善された通信を含む利点をどのように提供するかが理解されよう。

0004

[0005]本開示のいくつかの態様は、2つの異なる認証方法の少なくとも部分間の相互運用性を提供する。たとえば、いくつかの態様では、第1の認証方法は、第2の認証方法に勝るいくつかの利益を与え得る。しかしながら、第2の認証方法は、広く展開され得るが、第1の認証方法はまだ展開されていない。さらに、第1の認証方法の展開は、コストおよび他のファクタにより遅延され得る。

0005

[0006]したがって、第2の認証方法をサポートするためにワイヤレスネットワーク内にすでに展開されたネットワークインフラストラクチャの大部分を利用するとともに、ワイヤレスネットワークインフラストラクチャに第1の認証方法の選択部分移植することは有利であり得る。そのような手法は、第1の認証方法のすべての構成要素がワイヤレスネットワークに展開された場合に達成され得るよりも迅速に第1の認証方法の選択部分の展開を提供し得る。第1の認証方法の選択された部分のみの展開は、1つまたは複数の態様ではネットワークパフォーマンスを依然として改善し得る。このパフォーマンス改善は、第1の認証方法の全面展開に関連するタイムラインと比較して、開示する方法、システム、およびコンピュータ可読媒体を利用することによってより迅速に実現され得る。

0006

[0007]本開示の一態様は、第1のデバイスを認証するための方法を提供する。本方法は、第2のデバイスにおいて、第1のデバイスのための第1の認証プロトコル再認応答を受信することと、再認証応答が、再認証マスターセッション鍵を含む、第2のデバイスにおいて、再認証マスターセッション鍵に基づいて第1のアクセスポイントに第2の第1の認証プロトコル再認証応答を送信することと、第2のデバイスにおいて、再認証マスターセッション鍵に基づいて第2のアクセスポイントのための高速基本サービスセット遷移第2レベルペアワイズマスター鍵を生成することと、第2のデバイスにおいて、第2のアクセスポイントのための高速基本サービスセット遷移第2レベルペアワイズマスター鍵を含むように鍵メッセージを生成することと、第2のデバイスにおいて、第2のアクセスポイントに鍵メッセージを送信することとを含む。

0007

[0008]いくつかの態様では、第2のアクセスポイントのための高速基本サービスセット遷移第2レベルペアワイズマスター鍵を生成することは、再認証マスターセッション鍵に基づいて高速基本サービスセット遷移第1レベルペアワイズマスター鍵を生成することと、第1レベルペアワイズマスター鍵に基づいて第2のアクセスポイントのための高速基本サービスセット遷移第2レベルペアワイズマスター鍵を生成することとを備える。

0008

[0009]いくつかの態様では、本方法はまた、第2のデバイスにおいて、高速基本サービスセット遷移第1レベルペアワイズマスター鍵と第1のアクセスポイントの1つまたは複数のプロパティとに基づいて第1のアクセスポイントのための高速基本サービスセット遷移第2レベルペアワイズマスター鍵を生成することと、第2のデバイスにおいて、第1のアクセスポイントのためのペアワイズマスター鍵を含むように第2の第1の認証プロトコル再認証応答を生成することとを含む。いくつかの態様では、本方法は、第2のデバイスにおいて、第2のアクセスポイントから鍵要求メッセージを受信することと、第2のデバイスによって、鍵要求メッセージの受信に応答して第2のアクセスポイントに第2のアクセスポイントのための高速基本サービスセット遷移第2レベルペアワイズマスター鍵を送信することとを含む。いくつかの態様では、第2のアクセスポイントは、第1のデバイスとの第2の認証プロトコル交換に応答して第2のデバイスに鍵要求メッセージを送信する。いくつかの態様では、第1の認証プロトコルは、拡張認証プロトコル再認証プロトコルであり、第2の認証プロトコルは、高速基本サービスセット遷移認証である。

0009

[0010]開示する別の態様は、デバイスを認証するための装置である。本装置は、デバイスのための第1の認証プロトコル再認証応答を受信するように構成された受信機と、再認証応答が、再認証マスターセッション鍵を含む、再認証マスターセッション鍵に基づいて第1のアクセスポイントに第2の第1の認証プロトコル再認証応答を送信するように構成された送信機と、プロセッサとを含み、プロセッサが、再認証マスターセッション鍵に基づいて第2のアクセスポイントのための高速基本サービスセット遷移第2レベルペアワイズマスター鍵を生成することと、第2のアクセスポイントのための高速基本サービスセット遷移第2レベルペアワイズマスター鍵を含むように第2の認証プロトコル再認証応答メッセージを生成することとを行うように構成されたプロセッサと、ここにおいて、送信機は、第2のアクセスポイントに第2の認証プロトコル再認証応答メッセージを送信するようにさらに構成される、を含む。

0010

[0011]いくつかの態様では、プロセッサは、再認証マスターセッション鍵に基づいて高速基本サービスセット遷移第1レベルペアワイズマスター鍵を生成することによって第2のアクセスポイントのための高速基本サービスセット遷移第2レベルペアワイズマスター鍵を生成することと、高速基本サービスセット遷移第1レベルペアワイズマスター鍵と第2のアクセスポイントの1つまたは複数のプロパティとに基づいて第2のアクセスポイントのための高速基本サービスセット遷移第2レベルペアワイズマスター鍵を生成することとを行うようにさらに構成される。

0011

[0012]いくつかの態様では、プロセッサは、高速基本サービスセット遷移第1レベルペアワイズマスター鍵と第1のアクセスポイントの1つまたは複数のプロパティとに基づいて第1のアクセスポイントのための高速基本サービスセット遷移第2レベルペアワイズマスター鍵を生成することと、第1のアクセスポイントのためのペアワイズマスター鍵を含むように第2の第1の認証プロトコル再認証応答を生成することとを行うようにさらに構成される。本装置のいくつかの態様では、受信機は、第1のアクセスポイントからデバイスのための第1の認証プロトコル再認証要求を受信すること、ここにおいて、送信機は、受信機が第1のアクセスポイントから第1の認証プロトコル再認証要求を受信したことに応答して、デバイスのための第1の認証プロトコル再認証要求を送信するようにさらに構成される、を行うようにさらに構成される。いくつかの態様では、第1の認証プロトコルは、拡張認証プロトコル再認証プロトコルであり、第2の認証プロトコルは、高速基本サービスセット遷移認証である。

0012

[0013]いくつかの態様では、受信機は、第2のアクセスポイントから鍵要求メッセージを受信するようにさらに構成され、送信機は、鍵要求メッセージの受信に応答して第2のアクセスポイントに第2のアクセスポイントのための高速基本サービスセット遷移第2レベルペアワイズマスター鍵を送信するようにさらに構成される。

0013

[0014]開示する別の態様は、デバイスによるネットワークを介した認証の方法である。本方法は、第1のアクセスポイントからネットワークメッセージを受信することと、ネットワークメッセージに基づいて、第1の認証プロトコルまたは第2の認証プロトコルを介して第1のアクセスポイントと認証すべきかを決定することと、決定された認証プロトコルを使用して第1のアクセスポイントと認証することとを含む。いくつかの態様では、ネットワークメッセージは、モビリティドメイン識別子を含み、第1のまたは第2の認証プロトコルを介して第1のアクセスポイントと認証すべきかを決定することは、モビリティドメイン識別子に基づく。いくつかの態様では、ネットワークメッセージは、アクセスポイントによってサポートされる認証プロトコルの1つまたは複数のインジケータを含み、第1のまたは第2の認証プロトコルを介して第1のアクセスポイントと認証すべきかを決定することは、1つまたは複数のインジケータに基づく。いくつかの態様では、第1の認証プロトコルは、拡張認証プロトコル再認証プロトコルであり、第2の認証プロトコルは、高速基本サービスセット遷移認証である。いくつかの態様では、本方法はまた、第1のアクセスポイントのための第1のモビリティドメイン識別子を示すメッセージを第1のアクセスポイントから受信することと、第2のモビリティドメイン識別子を有する第2のアクセスポイントと認証することと、第1のモビリティドメイン識別子が第2のモビリティドメイン識別子とは異なることに応答して、拡張認証プロトコル再認証プロトコルを使用して第1のアクセスポイントと認証することとを含む。

0014

[0015]いくつかの態様では、本方法は、第1のモビリティドメイン識別子が第2のモビリティドメイン識別子に一致したことに応答して、高速基本サービスセット遷移認証プロトコルを使用して第1のアクセスポイントと認証することを含む。いくつかの態様では、第2のアクセスポイントとの認証は、拡張認証プロトコル再認証プロトコルを使用し、本方法は、第2のアクセスポイントとの拡張認証プロトコル再認証プロトコル交換に基づいて再認証マスターセッション鍵を決定することと、再認証マスターセッション鍵から高速基本サービスセット遷移第1レベルペアワイズマスター鍵を導出することと、高速基本サービスセット遷移第1レベルペアワイズマスター鍵と第2のアクセスポイントの1つまたは複数のプロパティとに基づいて高速基本サービスセット遷移第2レベルペアワイズマスター鍵を導出することと、高速基本サービスセット遷移第2レベルペアワイズマスター鍵に基づいて第2のアクセスポイントと通信することとをさらに含む。いくつかの態様では、本方法はまた、高速基本サービスセット遷移第1レベルペアワイズマスター鍵と第1のアクセスポイントの1つまたは複数のプロパティとに基づいて第2の高速基本サービスセット遷移第2レベルペアワイズマスター鍵を導出することと、第2の高速基本サービスセット遷移第2レベルペアワイズマスター鍵に基づいて第1のアクセスポイントと通信することとを含む。

0015

[0016]いくつかの態様では、本方法はまた、第1のアクセスポイントとのディフィールマ鍵交換を実行することと、ディフィーへルマン鍵交換と第2の高速基本サービスセット遷移第2レベルペアワイズマスター鍵とに基づいてペアワイズ一時鍵を導出することと、導出されたペアワイズ一時鍵に基づいて第1のアクセスポイントと通信することとを含む。

0016

[0017]開示する別の態様は、デバイスによるネットワークを介した認証の装置である。本装置は、第1のアクセスポイントからネットワークメッセージを受信するように構成された受信機と、プロセッサとを含み、プロセッサが、ネットワークメッセージに基づいて、第1の認証プロトコルまたは第2の認証プロトコルを介して第1のアクセスポイントと認証すべきかを決定することと、決定された認証プロトコルを使用して第1のアクセスポイントと認証することとを行うように構成される。いくつかの態様では、ネットワークメッセージは、モビリティドメイン識別子を含み、プロセッサは、モビリティドメイン識別子に基づいて第1のまたは第2の認証プロトコルを介して第1のアクセスポイントと認証すべきかを決定するようにさらに構成される。いくつかの態様では、ネットワークメッセージは、アクセスポイントによってサポートされる認証プロトコルの1つまたは複数のインジケータを含み、プロセッサは、1つまたは複数のインジケータに基づいて第1のまたは第2の認証プロトコルを介して第1のアクセスポイントと認証すべきかを決定するようにさらに構成される。いくつかの態様では、第1の認証プロトコルは、拡張認証プロトコル再認証プロトコルであり、第2の認証プロトコルは、高速基本サービスセット遷移認証である。いくつかの態様では、プロセッサは、第1のアクセスポイントのための第1のモビリティドメイン識別子を示すメッセージを第1のアクセスポイントから受信することと、第2のモビリティドメイン識別子を有する第2のアクセスポイントと認証することと、第1のモビリティドメイン識別子が第2のモビリティドメイン識別子とは異なることに応答して、拡張認証プロトコル再認証プロトコルを使用して第1のアクセスポイントと認証することとを行うようにさらに構成される。

0017

[0018]いくつかの態様では、プロセッサは、第1のモビリティドメイン識別子が第2のモビリティドメイン識別子に一致したことに応答して、高速基本サービスセット遷移認証プロトコルを使用して第1のアクセスポイントと認証するようにさらに構成される。いくつかの態様では、第2のアクセスポイントとの認証は、拡張認証プロトコル再認証プロトコルを使用し、プロセッサは、第2のアクセスポイントとの拡張認証プロトコル再認証プロトコル交換に基づいて再認証マスターセッション鍵を決定することと、再認証マスターセッション鍵から高速基本サービスセット遷移第1レベルペアワイズマスター鍵を導出することと、高速基本サービスセット遷移第1レベルペアワイズマスター鍵と第2のアクセスポイントの1つまたは複数のプロパティとに基づいて高速基本サービスセット遷移第2レベルペアワイズマスター鍵を導出することと、高速基本サービスセット遷移第2レベルペアワイズマスター鍵に基づいて第2のアクセスポイントと通信することとを行うようにさらに構成される。

0018

[0019]いくつかの態様では、プロセッサは、高速基本サービスセット遷移第1レベルペアワイズマスター鍵と第1のアクセスポイントの1つまたは複数のプロパティとに基づいて第2の高速基本サービスセット遷移第2レベルペアワイズマスター鍵を導出することと、第2の高速基本サービスセット遷移第2レベルペアワイズマスター鍵に基づいて第1のアクセスポイントと通信することとを行うようにさらに構成される。いくつかの態様では、プロセッサは、第1のアクセスポイントとのディフィーへルマン鍵交換を実行することと、ディフィーへルマン鍵交換と第2の高速基本サービスセット遷移第2レベルペアワイズマスター鍵とに基づいてペアワイズ一時鍵を導出することと、導出されたペアワイズ一時鍵に基づいて第1のアクセスポイントと通信することとを行うようにさらに構成される。

図面の簡単な説明

0019

[0020]本開示の態様が採用され得る例示的なワイヤレス通信システムを示す図。
[0021]図1ワイヤレスデバイスのうちの1つまたは複数としてのワイヤレスデバイスの例示的な実施形態を示す図。
[0022]拡張認証プロトコル(EAP)認証および拡張認証プロトコル再認証プロトコル(EAP−RP)認証中メッセージフローを示す図。
[0023]高速基本サービスセット(BSS)遷移(FT)認証中のメッセージフローを示す図。
[0024]認証プロセスの一実施形態中のワイヤレスネットワーク構成要素間のメッセージフローを示す図。
[0025]認証プロセスの別の実施形態におけるワイヤレスネットワーク構成要素間のメッセージフローを示す図。
[0026]認証プロセスの別の実施形態におけるワイヤレスネットワーク構成要素間のメッセージフローを示す図。
[0027]認証プロセスの別の実施形態におけるワイヤレスネットワーク構成要素間のメッセージフローを示す図。
[0028]ローカルERサーバが存在しないときの認証プロセスの別の実施形態におけるワイヤレスネットワーク構成要素間のメッセージフローを示す図。
[0029]第1の認証プロトコルと第2の認証プロトコルとからの認証メッセージの使用を示すメッセージシーケンス図
[0030]認証方法における鍵階層を示す図。
[0031]デバイスを認証する方法のフローチャート
[0032]デバイスを認証する方法のフローチャート。

実施例

0020

[0033]添付の図面を参照しながら、新規のシステム、装置、および方法の様々な態様について、以下でより十分に説明する。ただし、本開示は、多くの異なる形態で実施され得、本開示全体にわたって提示するいかなる特定の構造または機能にも限定されるものと解釈されるべきではない。むしろ、これらの態様は、本開示が周到で完全になり、本開示の範囲を当業者に十分に伝えるために与えられる。本明細書の教示に基づいて、本開示の範囲は、本発明の他の態様とは無関係に実装されるにせよ、本発明の他の態様と組み合わされるにせよ、本明細書で開示する新規のシステム、装置、および方法のいかなる態様をもカバーするものであることを、当業者は諒解されたい。たとえば、本明細書に記載する態様をいくつ使用しても、装置は実装され得、または方法は実施され得る。さらに、本発明の範囲は、本明細書に記載される本発明の様々な態様に加えてまたはそれらの態様以外に、他の構造、機能、または構造および機能を使用して実施されるそのような装置または方法をカバーするものとする。本明細書で開示するいかなる態様も請求項の1つまたは複数の要素によって実施され得ることを理解されたい。

0021

[0034]本明細書において特定の態様が記載されるが、これらの態様の多くの変形および置換は本開示の範囲内に入る。好適な態様のいくつかの利益および利点について説明するが、本開示の範囲は、特定の利益、使用、または目的に限定されるようには意図されていない。むしろ、本開示の態様は、様々なワイヤレス技術システム構成、ネットワーク、および伝送プロトコルに広く適用可能であるものとし、それらのうちのいくつかを例として、図において、および好適な態様についての以下の説明において示す。発明を実施するための形態および図面は、限定的ではなく本開示の例示にすぎず、本開示の範囲は、添付の特許請求の範囲およびその均等物によって定義される。

0022

[0035]図1に、本開示の態様が採用され得る例示的なワイヤレス通信システム100を示す。ワイヤレス通信システム100はアクセスポイント(AP)104aを含み、AP104aは、基本サービスセット(BSS)107a中の複数の局(STA)106a〜106dと通信する。ワイヤレス通信システム100は、BSS107b内で通信することができる第2のAP104bをさらに含み得る。1つまたは複数のSTA106は、たとえば、列車120により、BSS107a〜107bに入る、および/または出ることができる。本明細書で説明される様々な実施形態では、特にBSS107aおよび/または107bに移動するときに、STA106および106a〜106dは、AP104aおよび/または104bとワイヤレスリンクを迅速に確立するように構成され得る。局とアクセスポイントとの間のワイヤレス通信を確立することは、認証およびアソシエーションのうちの1つまたは複数を含み得る。

0023

[0036]様々な実施形態では、ワイヤレス通信システム100は、ワイヤレスローカルエリアネットワーク(WLAN)を含み得る。WLANは、1つまたは複数のネットワーキングプロトコルを利用して、近くのデバイスを相互接続するのに使用され得る。本明細書で説明する様々な態様は、IEEE802.11ワイヤレスプロトコルなど、任意の通信規格に適用され得る。たとえば、本明細書で説明される様々な態様は、IEEE802.11aプロトコル、IEEE802.11bプロトコル、IEEE802.11gプロトコル、IEEE802.11nプロトコル、IEEE802.11ahプロトコル、および/またはIEEE802.11aiプロトコルの一部として使用され得る。802.11プロトコルの実施態様は、センサホームオートメーションパーソナルヘルスケアネットワーク、監視ネットワーク計測スマートグリッドネットワーク、車間通信車内通信、緊急調整ネットワークセルラー(たとえば、3G/4G)ネットワークオフロード短距離および/または長距離インターネットアクセス(たとえば、ホットスポットと使用するための)、マシンツーマシン(M2M)通信などに使用され得る。

0024

[0037]AP104a〜104bは、ワイヤレス通信システム100用のハブまたは基地局として働くことができる。たとえば、AP104aは、BSS107a内でワイヤレス通信カバレージを提供することができ、AP104bは、BSS107b内でワイヤレス通信カバレージを提供することができる。AP104aおよび/または104bは、ノードB、無線ネットワークコントローラ(RNC)、eノードB、基地局コントローラ(BSC)、送受信基地局BTS)、基地局(BS)、トランシーバ機能(TF)、無線ルータ無線トランシーバ、または何らかの他の用語を含むか、それらのいずれかとして実装されるか、あるいはそれらのいずれかとして知られていることがある。

0025

[0038]STA106および106a〜106d(本明細書ではまとめてSTA106と呼ばれる)は、たとえば、ラップトップコンピュータ、携帯情報端末(PDA)、モバイル電話などのような様々なデバイスを含み得る。STA106は、インターネットまたは他のワイドエリアネットワークへの一般的接続性を取得するためにWiFi(登録商標)(たとえば、802.11aiなどのIEEE802.11プロトコル)準拠ワイヤレスリンクを介して、AP104a〜104bに接続またはアソシエートすることができる。STA106は、「クライアント」と呼ばれることもある。

0026

[0039]様々な実施形態では、STA106は、アクセス端末(AT)、加入者局加入者ユニット移動局遠隔局遠隔端末ユーザ端末UT)、端末ユーザエージェントユーザデバイスユーザ機器(UE)、または何らかの他の用語を含むか、それらのいずれかとして実装されるか、あるいはそれらのいずれかとして知られていることがある。いくつかの実装形態では、STA106は、セルラー電話コードレス電話セッション開始プロトコルSIP電話ワイヤレスローカルループ(WLL)局、携帯情報端末(PDA)、ワイヤレス接続能力を有するハンドヘルドデバイス、またはワイヤレスモデムに接続された何らかの他の好適な処理デバイスを含むことができる。したがって、本明細書で教示する1つまたは複数の態様は、電話(たとえば、セルラー電話またはスマートフォン)、コンピュータ(たとえば、ラップトップ)、ポータブル通信デバイスヘッドセットポータブルコンピューティングデバイス(たとえば、個人情報端末)、エンターテインメントデバイス(たとえば、音楽またはビデオデバイス、あるいは衛星ラジオ)、ゲームデバイスまたはシステム、全地球測位システムデバイス、あるいはワイヤレス媒体を介して通信するように構成された他の好適なデバイスに組み込まれ得る。

0027

[0040]AP104aは、AP104aに関連し、また通信のためにAP104aを使用するように構成されたSTA106a〜106dとともに、基本サービスセット(BSS)と呼ばれることがある。いくつかの実施形態では、ワイヤレス通信システム100は中央AP104aを有しないことがある。たとえば、いくつかの実施形態では、ワイヤレス通信システム100は、STA106の間のピアツーピアネットワークとして機能し得る。したがって、本明細書で説明するAP104aの機能は、STA106のうちの1つまたは複数によって代替的に実施され得る。さらに、AP104aは、いくつかの実施形態では、STA106を参照して記載する1つまたは複数の態様を実装することができる。

0028

[0041]AP104aからSTA106のうちの1つまたは複数への送信を可能にする通信リンクダウンリンク(DL)130と呼ばれることがあり、STA106のうちの1つまたは複数からAP104aへの送信を可能にする通信リンクはアップリンク(UL)140と呼ばれることがある。代替的に、ダウンリンク130を順方向リンクまたは順方向チャネルと呼び、アップリンク140を逆方向リンクまたは逆方向チャネルと呼ぶことができる。

0029

[0042]様々なプロセスおよび方法は、AP104aとSTA106との間の、ワイヤレス通信システム100における送信のために使用され得る。いくつかの態様では、ワイヤレス信号は、直交周波数分割多重(OFDM)、直接シーケンススペクトル拡散(DSSS:direct-sequence spread spectrum)通信、OFDMとDSSS通信との組合せ、または他の方式を使用して送信され得る。たとえば、信号は、OFDM/OFDMAプロセスに従って、AP104aとSTA106との間で送信および受信され得る。したがって、ワイヤレス通信システム100はOFDM/OFDMAシステムと呼ぶことができる。別の例として、信号は、CDMAプロセスに従って、AP104aとSTA106との間で送信および受信され得る。したがって、ワイヤレス通信システム100はCDMAシステムと呼ぶことができる。

0030

[0043]そのようなプロトコルを実装するいくつかのデバイス(AP104aおよびSTA106など)の態様は、他のワイヤレスプロトコルを実装するデバイスよりも少ない電力消費し得る。これらのデバイスは、比較的長距離、たとえば約1キロメートルまたはそれ以上にわたってワイヤレス信号を送信するのに使うことができる。本明細書でより詳細に説明するように、いくつかの実施形態では、デバイスは、他のワイヤレスプロトコルを実装するデバイスよりも速くワイヤレスリンクを確立するように構成され得る。

0031

アソシエーションおよび認証
[0044]一般に、IEEE802.1Xプロトコルでは、認証は、STAと認証サーバ(たとえば、識別検証、認可、プライバシ、および否認防止などの認証サービスを提供するサーバ)との間で行われる。たとえば、オーセンティケータとして機能するAPは、認証プロセス中にAPと認証サーバとの間でメッセージを中継する。いくつかの例で、STAとAPとの間の認証メッセージは、extensible authentication protocol over local area network(EAPOL)フレームを使用してトランスポートされる。EAPOLフレームは、IEEE802.11iプロトコルにおいて定義され得る。APと認証サーバとの間の認証メッセージは、remote authentication dial in user service(RADIUS)プロトコルまたはDiameter認証、認可、および課金プロトコルを使用してトランスポートされ得る。

0032

[0045]認証プロセス中に、認証サーバは、APから受信されたメッセージに応答するのに長い時間がかかり得る。たとえば、認証サーバは、APからリモートにあるロケーション物理的に位置し得るので、遅延は、バックホールリンク速度に起因し得る。別の例として、認証サーバは、STAおよび/またはAPによって開始された多数の認証要求を処理していることがある(たとえば、電車120上など高密度エリア中に多数のSTAがあり得、その各々が接続を確立しようと試みている)。したがって、遅延は、認証サーバ上でのローディング(たとえば、トラフィック)に起因し得る。

0033

[0046]認証サーバに起因する遅延のために、STAは、長い時間期間の間アイドルであり得る。

0034

[0047]図2は、図1のワイヤレスネットワーク100内で採用され得るワイヤレスデバイス202の例示的な機能ブロック図を示す。ワイヤレスデバイス202は、本明細書で説明する様々な方法を実装するように構成され得るデバイスの一例である。たとえば、ワイヤレスデバイス202は、図1中のデバイス104または106のうちの1つを備え得る。

0035

[0048]ワイヤレスデバイス202は、ワイヤレスデバイス202の動作を制御するプロセッサ204を含み得る。プロセッサ204は中央処理ユニット(CPU)と呼ばれることもある。読取り専用メモリ(ROM)とランダムアクセスメモリ(RAM)の両方を含み得るメモリ206は、命令とデータとをプロセッサ204に与え得る。メモリ206の一部分は不揮発性ランダムアクセスメモリ(NVRAM)をも含み得る。プロセッサ204は、一般に、メモリ206内に記憶されたプログラム命令に基づいて論理演算算術演算とを実行する。メモリ206中の命令は、本明細書で説明する方法を実装するために実行可能であり得る。

0036

[0049]プロセッサ204は、1つまたは複数のプロセッサとともに実装された処理システムを備えるか、またはそれの構成要素であり得る。1つまたは複数のプロセッサは、汎用マイクロプロセッサマイクロコントローラデジタル信号プロセッサ(DSP)、フィールドプログラマブルゲートアレイFPGA)、プログラマブル論理デバイスPLD)、コントローラ状態機械ゲート論理、個別ハードウェア構成要素専用ハードウェア有限状態機械、あるいは情報の計算または他の操作を実施することができる任意の他の好適なエンティティの任意の組合せを用いて実装され得る。

0037

[0050]処理システムは、ソフトウェアを記憶するための機械可読媒体をも含み得る。ソフトウェアは、ソフトウェア、ファームウェアミドルウェアマイクロコードハードウェア記述言語などの名称にかかわらず、任意のタイプの命令を意味すると広く解釈されたい。命令は、(たとえば、ソースコード形式バイナリコード形式、実行可能コード形式、または任意の他の好適なコード形式の)コードを含み得る。命令は、1つまたは複数のプロセッサによって実行されたとき、処理システムに本明細書で説明する様々な機能を実行することを行わせる。

0038

[0051]ワイヤレスデバイス202はまた、ワイヤレスデバイス202と遠隔ロケーションとの間のデータの送信および受信を可能にするために送信機210および/または受信機212を含み得る、ハウジング208を含み得る。送信機210と受信機212とは組み合わされてトランシーバ214になり得る。アンテナ216は、ハウジング208に取り付けられ、トランシーバ214に電気的に結合され得る。ワイヤレスデバイス202はまた、複数の送信機、複数の受信機、複数のトランシーバ、および/または複数のアンテナを含み得る(図示せず)。

0039

[0052]ワイヤレスデバイス202は、トランシーバ214によって受信された信号のレベルを検出し、定量化するために使用され得る信号検出器218をも含み得る。信号検出器218は、そのような信号を、総エネルギーシンボルごとのサブキャリア当たりエネルギー電力スペクトル密度、および他の信号として検出し得る。ワイヤレスデバイス202は、信号の処理に使用するためのデジタル信号プロセッサ(DSP)220をも含み得る。DSP220は、送信のためにパケットを生成するように構成され得る。いくつかの態様では、パケットは物理レイヤデータユニットPPDU:physical layer data unit)を備え得る。

0040

[0053]ワイヤレスデバイス202は、いくつかの態様ではユーザインターフェース222をさらに備え得る。ユーザインターフェース222は、キーパッドマイクロフォンスピーカー、および/またはディスプレイを備え得る。ユーザインターフェース222は、ワイヤレスデバイス202のユーザに情報を伝えるおよび/またはユーザからの入力を受信する、任意の要素または構成要素を含み得る。

0041

[0054]ワイヤレスデバイス202の様々な構成要素はバスシステム226によって互いに結合され得る。バスシステム226は、たとえば、データバス、ならびに、データバスに加えて、電力バス制御信号バス、およびステータス信号バスを含み得る。ワイヤレスデバイス202の構成要素は、何らかの他の機構を使用して、互いに結合されるか、または互いに入力を受け付け、もしくは与え得ることを当業者は諒解されよう。

0042

[0055]図2には、いくつかの別個の構成要素が示されているが、構成要素のうちの1つまたは複数が組み合わされ得るかまたは共通に実装され得ることを当業者は認識されよう。たとえば、プロセッサ204は、プロセッサ204に関して上記で説明した機能を実装するためだけでなく、信号検出器218および/またはDSP220に関して上記で説明した機能を実装するためにも使用され得る。さらに、図2に示されている構成要素の各々は、複数の別個の要素を使用して実装され得る。

0043

[0056]ワイヤレスデバイス202は、図1に示すワイヤレスデバイスのいずれかを備え得、通信を送信および/または受信するために使用され得る。すなわち、ワイヤレスデバイス104または106のいずれも、送信機デバイスまたは受信機デバイスとして働き得る。いくつかの態様は、信号検出器218が、送信機または受信機の存在を検出するために、メモリ206およびプロセッサ204上で実行されるソフトウェアによって使用されることを企図する。

0044

[0057]上記で説明したように、ワイヤレスデバイス202など、ワイヤレスデバイスは、ワイヤレス通信システム100など、ワイヤレス通信システム内でサービスを提供するように構成され得る。

0045

[0058]図3に、たとえば、その内容全体が参照により本明細書に組み込まれるIETF RFC2284において定義されている拡張認証プロトコル(EAP)完全認証プロセス(EAP)302と、たとえば、その内容全体が参照により本明細書に組み込まれるIETF RFC6696において定義されている再認証プロセス(EAP−RP)304のメッセージフローを示す。いくつかの態様では、完全EAP認証302は、EAPオーセンティケータからEAP要求識別メッセージ306aを受信する局106を含む。いくつかの態様では、EAPオーセンティケータ308は、アクセスポイントまたはワイヤレスlanコントローラであり得る。オーセンティケータからのこのトリガに応答して、STA106は、EAP開始/再認証メッセージを送信することによって、ERP交換を開始し得、これは、メッセージフロー314中に含まれ得る。

0046

[0059]図示の実施形態では、認証サーバ312は、ERサーバ(図示せず)を含み得、これは、ASサーバとは異なる論理エンティティである。EAP完全認証中に、認証サーバ312は、マスターセッション鍵(MSK)、拡張マスターセッション鍵(EMSK)、再認証ルート鍵(rRK)および再認証完全性鍵(rIK)のうちの1つまたは複数を生成し得る。たとえば、rRKとrIKとは、ERサーバに送信され得、これは、図示の実施形態では、認証サーバ312とコロケートされる
[0060]完全EAP認証が完了すると、認証サーバ312は、メッセージ316を介してSTA106にEAP成功ステータス送り得る。マスターセッション鍵(MSK)も、メッセージ316中でSTA106に与えられ得る。

0047

[0061]局106は、次いで、第2のオーセンティケータ310とEAP再認証プロセス(EAP−RP)304を実行し得る。いくつかの態様では、第2のオーセンティケータ310は、第2のアクセスポイントであり得る。いくつかの態様では、第2の認証310は、ワイヤレスlanコントローラであり得る。局106は、EAPオーセンティケータ310を介して認証サーバ312に拡張認証プロトコル再認証要求318を送り得る。いくつかの態様では、拡張認証プロトコル再認証要求318は、第2の拡張認証プロトコル再認証要求318を形成するために、1つのデバイスから別のデバイスにソフト「リレー」され得る。いくつかの態様では、2つのメッセージ間にいくつかの差異があり得るが、これらの2つのメッセージの各々は、EAP再認証開始メッセージとして機能することになる。認証サーバ312は、いくつかの態様では、再認証マスターセッション鍵(rMSK)を生成し、EAPオーセンティケータ310を介してSTA106にEAP再認証完了メッセージ320を送信し得る。rMSKは、メッセージ320を介してEAPオーセンティケータ310に与えられ得る。いくつかの態様では、メッセージ320は、拡張認証プロトコル再認証応答メッセージと見なされ得る。メッセージ320が、EAP認証サーバ312からEAPオーセンティケータ310に、次いで、EAPオーセンティケータ308に「リレー」され得ることに留意されたい。したがって、メッセージ320は、認証サーバ312およびEAPオーセンティケータ310などの2つのデバイス間の第1の拡張認証プロトコル再認証応答メッセージと、EAPオーセンティケータ310およびEAPオーセンティケータ308などの2つの他のデバイス間の第2の拡張認証プロトコル再認証応答メッセージと見なされ得る。

0048

[0062]STA106は、rMSKを別個に導出し得る。

0049

[0063]図4に、高速基本サービスセット(BSS)遷移(FT)認証および再認証プロセス400を示す。STA106は、最初に、メッセージフロー406を介して第1のアクセスポイント104aとの成功およびセッション確立およびデータ送信を実行し得る。メッセージフロー406は、いくつかの態様では、ワイヤレスlanコントローラ402および/または認証セバ404(図示せず)を含み得るが、第2のアクセスポイント104bを含まないことがある。ワイヤレスlanコントローラ402は、いくつかの態様では、モビリティドメインコントローラと呼ばれることもある。

0050

[0064]第1のアクセスポイント104aとのSTA106の高速基本サービスセット認証中に、認証サーバ404は、ワイヤレスlanコントローラ402にマスターセッション鍵(MSK)を与え得る。マスターセッション鍵から、ワイヤレスlanコントローラは、高速基本サービスセット遷移第1レベルペアワイズマスター鍵を導出し得る。第1レベルPMKから、図4にPMK1として示すように、1つまたは複数の高速基本サービスセット遷移第2レベルペアワイズマスター鍵が導出され得る。PMK1は、次いで、第1のアクセスポイント104aに与えられ得る。第1のアクセスポイント104aは、STA106とセキュアなアソシエーションを行うためにWLC402によって与えられたPMK1を利用し得る。たとえば、第1のアクセスポイント104aとSTA106との間の通信は、WLC402によって与えられたPMK1から導出された鍵(すなわち、PTK)を使用して暗号化され得る。

0051

[0065]STA106は、次いで、第2のアクセスポイント104bの範囲内に移動し得る。STA106は、次いで、第2のアクセスポイント104bに802.11認証要求408を送信し得る。それに応答して、AP104bは、ワイヤレスlanコントローラ402に鍵要求メッセージ409aを送信し得る。ワイヤレスlanコントローラ402は、鍵応答メッセージ409bを介して第2のアクセスポイント(PMK2)に第2の高速基本サービスセット遷移第2レベルペアワイズマスター鍵を与える。いくつかの態様では、メッセージ409bは、明示的な鍵要求メッセージ409aによって先行されないことがあり、鍵メッセージとして知られていることがある。鍵応答メッセージ409bは、鍵要求メッセージ409aによって先行されるときでも、やはり鍵メッセージとして知られていることがある。第2のアクセスポイント104bは、PTK2を導出し、PTK2を使用してSTA106と第2のアクセスポイント104bとの間の通信を暗号化するために、第2の高速基本サービスセット遷移第2レベルペアワイズマスター鍵(PMK2)を利用し得る。AP104bは、次いで、STA106に802.11認証応答メッセージ410を送信する。STA106はまた、再アソシエーション要求/応答メッセージ412/414を介して第2のアクセスポイント104bとの再アソシエーションを実行し得る。

0052

[0066]図5は、認証方法の一実施形態における、ネットワークデバイス構成要素間のメッセージフローの図である。図5に、2つのモビリティドメイン505aおよび505bとともに、認証サーバ501を含むホームドメイン502を示す。各モビリティドメイン505a−b内には、それぞれ2つのアクセスポイント、AP104a−bおよびAP104c−dがある。各モビリティドメイン505a−bはまた、ワイヤレスlanコントローラ(WLC)506a−bを含む。ワイヤレスlanコントローラ506a−bは、モビリティドメインコントローラと呼ばれることもある。WLCの506a−bは、「R0鍵ホルダ」としても知られていることがある。図5の下部に示すSTA106は、図の左側から右側に移動し得る。STA106は、移動するにつれて、AP104a、次いで、AP104b、次いで、AP104c、次いで、AP104dと認証し得る。

0053

[0067]認証メッセージ交換515aは、図3に示すように、完全EAP認証を実行し得る。完全EAP認証では、STA106によって開始される認証は、認証サーバ501とメッセージを交換することを行わせることになる。たとえば、認証サーバ501は、マスターセッション鍵(MSK1)を作成し、WLC506aにMSK1を与え得る。WLC506aは、次いで、MSK1に基づいてペアワイズマスター鍵(PMK)を導出し、AP104aにPMKを与え得る(この鍵は、図5にPMK−R1−1として示す)。AP104aに与えられたPMKはまた、いくつかの態様では、AP104aの媒体アクセス制御(MAC)アドレスなど、AP104aの特徴に基づいて導出され得る。

0054

[0068]STA106は、次いで、認証メッセージ交換515bを介してAP104bと認証し得る。AP104bが、AP104aと同じモビリティドメイン内にあるので、STA106は、AP104bとの完全EAP認証を実行する必要がなく、代わりに、WLC506aに記憶されたマスターセッション鍵(MSK1)に基づいて認証を実行することができることを(AP104bからのビーコンメッセージを介して)決定し得る。認証は、MSK1から導出されたPMK−R0に基づいたので、MSK1に基づき得る。

0055

[0069]いくつかの態様では、STA106は、それの一例を図4を参照しながら上記に示した高速基本サービスセット遷移認証を認証メッセージ交換515bの一部として実行する。この認証は、STA106がAP104bと認証するときに、WLC506aが認証サーバ501とメッセージを交換することを必要としないことがある。代わりに、WLC506aは、STA106がAP104aと認証したときに認証サーバ501によって与えられた第1のマスターセッション鍵(MSK1)に基づいて図5にPMK−R1−2として示す第2のPMKを導出する。第2のPMK、PMK−R1−2はまた、いくつかの態様では、AP104bのMACアドレスなど、AP104bの1つまたは複数の特性に基づいて導出され得る。STA106がAP104bと認証するときに認証サーバ501とメッセージを交換する必要がないことがあるので、認証メッセージ交換515bは、認証メッセージ交換515aよりも迅速に行われ得る。さらに、STA106が、新しいアクセスポイントと認証したときはいつでも認証サーバ501との認証を必要とするソリューションと比較して、認証サーバ501に対する負荷が低減され得る。

0056

[0070]STA106は、次いで、AP104bが範囲外にあるようなロケーションに移動し得、STA106は、メッセージ交換515cを介してAP104cと認証し得る。IEEE802.11rでは、AP104cは、(モビリティドメイン505a中にある)AP104aとは異なるモビリティドメイン(505b)中にあるので、STA106は、次いで、メッセージ交換515cの一部として別の完全EAP認証を実行することになる。完全EAP認証中に、認証サーバ501は、新しいマスターセッション鍵(MSK2)を生成し、ワイヤレスlanコントローラ(WLC)506bにMSK2を送信する。WLC506bは、次いで、MSK2に基づき、また、いくつかの態様では、AP104cの1つまたは複数の特性に基づいてPMKを生成する。STA106が、再び移動し、AP104dと接続すると、AP104dがAP104cと同じモビリティドメイン中にあるので、STA106は、メッセージ交換515dを介して認証を実行し得る。いくつかの態様では、メッセージ交換515dは、それの一例を図4を参照しながら上記に示した高速基本サービスセット遷移認証を実行する。この認証中に、WLC506bは、認証サーバ501から受信された以前に導出されたMSK2に基づいて新しいPMK(PMK−R1−4)を生成し得る。MSK2がWLC506bに記憶され得るので、この認証は、認証サーバ501と必ずしも通信する必要なしに行われることができる。

0057

[0071]図6に、認証プロセスの別の実施形態中のワイヤレスネットワーク構成要素間のメッセージフローを示す。図6に、ホームドメイン602と2つのモビリティドメイン605a−bとを示す。ホームドメイン602は、認証サーバ601を含む。モビリティドメイン605a−bの各々は、EAP再認証サーバまたはローカルERサーバ606a−bを含む。デバイス606s−bは、モビリティドメインコントローラと呼ばれることもある。モビリティドメイン605a−bの各々はそれぞれ、2つのアクセスポイント、それぞれ、AP104e−fおよびAP104g−hを含む。

0058

[0072]図5と同様に、図6では、STA106は、最初に、メッセージ交換615aを介してAP104eと認証する。この第1の認証は、メッセージ交換615aの一部として認証サーバ601との拡張認証プロトコル再認証プロトコル(EAP−RP)認証を実行する。その例について、STa106は、AP104eにEAP開始/再認証メッセージを送信し得る。AP104eは、STA106と認証サーバ601との間の交換中にリレーサービスを実行し得る。認証サーバ601がEAP開始/再認証メッセージを受信すると、(最初の完全EAP認証の直後に実行される)認証サーバ601、認証サーバ601は、再認証ルート鍵(rRK1)またはドメイン固有ルート鍵(DSRK1)を作成し、ローカルERサーバ606aにrRK1またはDSRK1を与える。ローカルERサーバ606aは、次いで、DSRK1またはrRK1から再認証マスターセッション鍵(rMSK1)を導出し、AP104eにrMSK1を与え得る。この情報は、いくつかの態様では、RFC6696に記載されているように、EAP完了再認証メッセージを介してSTA106に与えられ得る。

0059

[0073]AP104eは、次いで、rMSK1を使用してSTA106との通信を実行する。STA106は、次いで、AP104eの範囲外に移動し、メッセージ交換615bを介してAP104fと認証し得る。ローカルERサーバ606aが、AP104eとのSTA106の第1の認証からのrRK1を記憶したので、メッセージ交換615bを介して行われた第2の(EAP−RP)認証は、認証サーバ601との通信を必要しないことがある。代わりに、ローカルERサーバ606aは、ドメイン固有ルート鍵(DSRK1)または再認証ルート鍵rRK1から第2の再認証マスターセッション鍵(rMSK2)を導出し、AP104fにrMSK2を与え得る。AP104fは、次いで、rMSK2に基づいてSTA106と通信し得る。

0060

[0074]STA106は、次いで、それがAP104fの範囲中にもはやないように移動し得る。STA106は、次いで、EAP−RPを用いてAP104gと認証し得る。ローカルERサーバ606bが、STA106に関連する鍵を有しないので、ローカルERサーバ606bは、局106のための再認証ルート鍵rRK2またはドメイン固有ルート鍵DSRK2を取得するために認証サーバ601と通信する。ローカルERサーバ606bは、次いで、STA106のための再認証マスターセッション鍵(rMSK3)を導出し、AP104gに鍵を与え、これは、STA106との通信にrMSK3鍵を使用する。

0061

[0075]STA106は、次いで、AP104hと認証する。ローカルERサーバ606bが、STA106に関連する鍵(すなわちrRK2)を有するので、ローカルERサーバ606bは、STA106とAP104hとの間での使用のために認証サーバ601から受信された鍵(DSRK2またはrRK2のいずれか)に基づいて新しい再認証マスターセッション鍵(rMSK4)を導出する。AP104hは、次いで、STA106と通信するためにrMSK4を使用する。

0062

[0076]図7に、認証プロセスの別の実施形態におけるワイヤレスネットワーク構成要素間のメッセージフローを示す。通信システム700は、ホームドメイン702と2つのモビリティドメイン705a−bとを含む。ホームドメイン内には認証サーバ701がある。モビリティドメイン705a−bの各々の内には、それぞれ、ローカルERサーバ706a−bがある。デバイス706a−bは、モビリティドメインコントローラと呼ばれることもある。いくつかの態様では、ローカルERサーバ706a−bのいずれかは、図2のデバイス202であり得る。各モビリティドメイン705a−bはまた、それぞれ、2つのアクセスポイントAP104i−jおよびAP104k−lを含む。図7では、ローカルERサーバ706a−bはまた、IEEE802.11r仕様に記載されているように、R0鍵ホルダデバイスに関連する機能を実行し得る。

0063

[0077]図6に関して説明した認証方法と同様に、認証サーバ701は、それぞれ、ローカルERサーバの706aおよび706bに再認証ルート鍵rRK1およびrRK2またはドメイン固有ルート鍵DSRK1およびDSRK2のいずれかを与える。鍵は、STA106がローカルERサーバの706a(AP104i−j)および706b(AP104k−l)の各々に接続されたアクセスポイントを介して認証したことに応答して与えられ得る。

0064

[0078]図7に、移動局STA106とAP104iとの間の第1の認証メッセージ交換715aを示す。いくつかの態様では、この認証メッセージ交換は、EAP再認証(EAP−RP)認証プロトコルなどの第1の認証プロトコルを利用し得る。いくつかの態様では、ローカルERサーバ706a−bは、図7に示すrRK1/RK2またはDSRK1/DSRK2など、認証サーバ701によって与えられる鍵に基づいて再認証マスターセッション鍵(rMSK)を生成し得る。再認証マスターセッション鍵は、次いで、アクセスポイントAP104i−lに与えられるPMKのものを生成するために使用され得る。たとえば、ローカルERサーバ706aは、STA106が認証メッセージ交換715aを介してAP104iを介して認証するときに認証サーバ701から受信された再認証ルート鍵rRK1から第1の再認証マスターセッション鍵(rMSK1)を導出し得る。いくつかの態様では、ローカルERサーバ706aは、再認証マスターセッション鍵rMSK1に基づいて第1のPMKを生成し得る。いくつかの態様では、この第1のPMKは、PMK−R0などのIEEE802.11高速BSS遷移(FT)第1レベルPMKである。ローカルERサーバ706aは、次いで、rMSK1に基づいて図7に示すPMK−R1−1などの第2のPMKを生成し得る。いくつかの態様では、PMK−R1の生成は、さらに、それのメディアアクセス制御アドレスなど、AP104iの1つまたは複数の特性および/またはそれのMACアドレスなど、STA106の特性に基づき得る。ローカルERサーバ706aはまた、AP104jを介したSTA106からの認証メッセージ交換715bに応答して、rMSK1に同じく基づいて図7にPMK−R1−2として示す第2のPMKを生成し得る。認証メッセージ交換715bは、STA106からAP104jへの第2の認証プロトコル再認証要求を含み得る。

0065

[0079]いくつかの態様では、認証メッセージ交換715aは、EAP−RP交換であり、認証メッセージ交換715bは、高速BSS遷移(FT)認証である。AP104jは、STA106から第2の認証プロトコル再認証要求を受信すると、ローカルERサーバ706aに鍵を要求し得る。鍵要求を受信したことに応答して、ローカルERサーバ706aは、第2のPMK RMK−R1−2を生成し得る。代替的に、ローカルERサーバ706aは、EAP−RP再認証中に、またはそれに応答してAP104jのためのPMKをプロアクティブに生成し得る。いくつかの実施形態では、AP104jのためのPMK−R1は、AP104jにプロアクティブに送信され得、したがって、認証メッセージ交換715bがSTA106と行われるとき、AP104jは、STA106との使用のために利用可能なPMK−R1をすでに有する。

0066

[0080]メッセージ交換715cは、STA106とAP104kとの間のEAP−RP再認証であり得る。EAP−RP再認証は、STA106とローカルERサーバ706bとがEAP−RPプロトコルメッセージを交換するようにAP104kを通過し得る。認証メッセージ交換715dは、第2の認証プロトコル、たとえば、高速BSS遷移(FT)認証を利用し得る。いくつかの態様では、AP104lは、第2の認証プロトコルの一部として認証要求メッセージを受信すると、STA106との通信のために使用するための鍵を要求するローカルERサーバ706bにメッセージを送信し得る。

0067

[0081]図8に示すように、いくつかの他の態様では、上記で説明したローカルERサーバ706a−bのいくつかの機能は、ローカルERサーバ806a−bおよび807a−bなどの複数のデバイスによって実行され得る。これらの態様のうちのいくつかでは、デバイス807a−bは、図2中で上記に示したワイヤレスデバイス202であり得る。

0068

[0082]図8に示すモビリティドメインなどのいくつかのモビリティドメインでは、ローカルERサーバ806a−bおよび別個の鍵ホルダデバイス807a−bは、ワイヤレスデバイスSTA106などのワイヤレスデバイスの認証を実行するために使用され得る。デバイス807a−bは、モビリティドメインコントローラと呼ばれることもある。たとえば、いくつかの態様では、ローカルERサーバは、上記で説明した再認証マスターセッション鍵(rMSK1および/またはrMSK2などを導出し、「R0鍵ホルダ」デバイス807a−bにこれらの鍵を与え得る。R0鍵ホルダデバイス807a−bは、次いで、再認証マスターセッション鍵に基づいてアクセスポイントのためのPMKを生成し得る。たとえば、図8に、AP104iにPMK−R1−1を与える鍵ホルダデバイス807aを示す。鍵ホルダデバイス807aは、ローカルERサーバ806aによって与えられたrMSK1に基づいてPMK−R1−1を導出していることがある。いくつかの態様では、PMK−R0などの中間PMKが、最初に、再認証マスターセッション鍵(rMSK1またはrMSK2)から導出され得、次いで、PMK−R1が、PMK−R0から導出される。

0069

[0083]図7の説明に戻ると、STA106による認証メッセージ交換715a(図4)を介した第1の認証は、AP104iと行われる。この認証は、それぞれ、認証サーバ701を使用して実行され得、いくつかの態様では、拡張認証プロトコル再認証プロトコル(EAP−RP)を利用し得る。認証メッセージ交換715bを介して実行される第2の認証は、認証サーバ701に必ずしも接触する必要なしに実行され得る。たとえば、ローカルERサーバ706a(または図8の鍵ホルダデバイス)は、再認証マスターセッション鍵rMSK1を記憶していることがあるので、PMK−R1−2は、認証サーバ701と通信することなしにAP104jのために生成され得る。

0070

[0084]STA106が、メッセージ交換715c介してAP104kと認証するとき、EAP再認証(EAP−RP)は、認証サーバ701と実行され得る。STA106は、AP104kがAP104jとは異なるモビリティドメイン中にあると決定することに少なくとも部分的に基づいてEAP−RPを実行することを決定し得る。この情報は、AP104jおよびAP104kによって送信されるビーコン信号を介して与えられ得る。STA106はまた、AP104kによって送信されるビーコン信号を介してそれのホーム認証サーバ701がAP104kを介してアクセス可能であると決定し得る。メッセージ交換715cを介して行われるEAP再認証は、ホーム認証サーバ701に、ローカルERサーバ706bに再認証ルート鍵rRK2を与えることを行わせ得る。ローカルERサーバ706bは、再認証ルート鍵rRK2から再認証マスターセッション鍵rMSK2を導出する。PMK−R1−3は、次いで、(いくつかの態様では、PMK−R0などの中間ペアワイズマスター鍵を介して)rMSK2に基づいて導出される。PMK−R1−3は、次いで、AP104kとSTA106との間の通信のために使用される。

0071

[0085]STA106が、認証メッセージ交換715dを介してAP104lと認証するとき、ローカルERサーバ706b(または図8中の鍵ホルダデバイス807b)は、STA106とAP104lとの間の通信において使用するための鍵を要求する鍵要求メッセージをAP104lから受信し得る。ローカルERサーバ706bは、rMSK2を記憶しているので、AP104lとSTA106との間の通信において使用するためのPMK−R1−4を導出し、PMK−R1−4を含む鍵応答メッセージをAP104lに送信し得る。

0072

[0086]図8では、メッセージ交換815aは、図3に関して上記で説明したように、拡張認証プロトコル再認証プロトコル(EAP−RP)認証を実行し得る。メッセージ交換815bは、いくつかの態様では、図4に関して上記で説明したように、高速基本サービスセット遷移(FT)認証を実行し得る。同様に、メッセージ交換815cは、EAP−RP認証を実行し得、一方、メッセージ交換815dは、FT認証を実行する。

0073

[0087]図7に関して説明したメッセージングと同様に、AP104jおよび/またはAP104lがSTA106と高速基本サービスセット遷移認証を実行したことに応答して、APの104jおよび/またはAP104lは、それぞれR0鍵ホルダデバイス807aおよび/または807bに鍵要求メッセージを送信し得る。APs104jおよび/またはAP104lは、鍵要求メッセージに応答してPMK−R1−2および/またはPMK−R1−4を生成し、鍵応答メッセージを介してAPにPMKを送信し得る。代替的に、R0鍵ホルダデバイス807a−bは、再認証マスターセッション鍵がそれぞれローカルERサーバ806a−bから受信されたとき、APのものにPMK−R1のものをプロアクティブに送信し得る。

0074

[0088]図8に示す認証方法800では、ローカルERサーバ806a−bなどの単一のローカルERサーバは、複数のモビリティドメイン(すなわち、鍵ホルダデバイス807a−bなどの複数の鍵ホルダデバイス)をサポートし得る。

0075

[0089]図9に、認証プロセスの別の実施形態におけるワイヤレスネットワーク構成要素間のメッセージフローを示す。認証方法900では、ローカルERサーバは、モビリティドメイン905a−b内に存在しない。したがって、たとえば、認証サーバ701および801が、それぞれローカルERサーバ806a−bに再認証ルート鍵rRK1およびrRK2を与えたときに図7または図8に示したように、認証サーバ901がローカルERサーバに再認証ルート鍵を与えるのではなく、認証サーバ901が、それぞれ、鍵ホルダデバイス907a−bに再認証マスターセッション鍵rMSK1およびrMSK2を与える。鍵ホルダデバイス907a−bは、モビリティドメインコントローラと呼ばれることもある。いくつかの態様では、鍵ホルダデバイス907a−bは、図2に示したワイヤレスデバイス202であり得る。鍵ホルダデバイス907a−bは、次いで、上記で図8に関して説明した鍵ホルダデバイス807a−bと同様に動作し得る。たとえば、メッセージ交換915aおよび915cの各々は、EAP−RP認証を実行し得、一方、メッセージ交換915bおよび915dは、高速基本サービスセット遷移(FT)認証を実行する。

0076

[0090]図9では、メッセージ交換915aは、図3に関して上記で説明したように、拡張認証プロトコル再認証プロトコル(EAP−RP)認証を実行し得る。メッセージ交換915bは、いくつかの態様では、図4に関して上記で説明したように、高速基本サービスセット遷移(FT)認証を実行し得る。同様に、メッセージ交換915cは、EAP−RP認証を実行し得、一方、メッセージ交換915dは、FT認証を実行する。

0077

[0091]図10は、無線局106と、2つのアクセスポイントAP104o−pと、鍵ホルダデバイス、この場合、ワイヤレスlanコントローラ807aと、図7中のローカルERサーバ706aまたは706bなどのローカルERサーバあるいは認証サーバ801または901のいずれかなどの認証サーバとの間のメッセージシーケンス図である。いくつかの態様では、鍵ホルダデバイスは、図2のワイヤレスデバイス202であり得る。いくつかの態様では、鍵ホルダデバイスはモビリティドメインコントローラと呼ばれることがある。

0078

[0092]メッセージシーケンス1000が行われる前に、STA106は、それのホーム認証サーバと第1のモビリティドメイン内で完全EAP認証を実行していることがある。AP104oは、第1のモビリティドメインとは異なる第2のモビリティドメイン中にあり得る。いくつかの態様では、STA106は、AP104oによって送信されたビーコン信号を介してAP104oが第2のモビリティドメイン中にあることを決定し得る。STA106はまた、それのホーム認証サーバがAP104oを介してアクセス可能であると決定し得る。STA106は、次いで、それのホーム認証サーバを示すEAP再認証要求1002aをAP104oに送信する。EAP再認証要求1002は、メッセージ1002bとしてワイヤレスlanコントローラ(WLC)807aにAP104oによって転送され得る。WLC807aは、メッセージ1002cとしてEAP再認証要求によって示されるEAP再認証要求メッセージをローカルERサーバまたはホームドメイン認証サーバに送信し得る。

0079

[0093]それに応答して、ローカルERサーバまたはホームドメイン認証サーバは、(「rMSK」として示されている)STA106のための再認証マスターセッション鍵(rMSK)を生成し、WLC807aに再認証応答1004aを送信する。WLC807aは、再認証マスターセッション鍵(rRK)を記憶し得る。WLC807aは、次いで、再認証マスターセッション鍵(rMSK)に基づいてペアワイズマスター鍵を生成する。WLC807aはまた、第1のペアワイズマスター鍵に基づいて第2のペアワイズマスター鍵を生成し得る。いくつかの態様では、第1のペアワイズマスター鍵は、PMK−R0であり、一方、第2のペアワイズマスター鍵は、PMK−R1である。WLC607aは、次いで、AP104oにEAP再認証応答メッセージ1004bを送信する。再認証応答メッセージ1004bは、ローカルERサーバまたはホームドメイン認証サーバから受信された再認証マスターセッション鍵に基づくPMK−R1などのPMKを含み得る。AP1040は、次いで、メッセージ1004cとしてSTA106に再認証を転送する。

0080

[0094]次に、STA106は、AP104pに高速基本サービスセット遷移(FT)認証メッセージを送信する。それに応答して、AP104pは、鍵要求メッセージ1008を介してWLC807aに鍵を要求する。WLC807aは、次いで、STA106との通信のためにAP104pが使用するための第2のPMKを生成する。このPMKは、STA106および/またはAP104pの1つまたは複数のプロパティに基づいて生成され得る。このPMK「PMK−R1−2」は、鍵応答メッセージ1010中でAP104pに送信される。

0081

[0095]AP104pは、WLC807aからPMK−R1−2を受信した後にメッセージ1012を介してSTA106とのFT認証を完了し得る。

0082

[0096]いくつかの他の態様では、PMK−R1−2”は、鍵要求メッセージ1008の受信の前にWLC807aによってプロアクティブに生成され得る。たとえば、PMK−R1−2は、STA106とのEAP−RP交換1002/1004中に生成され得る。いくつかの態様では、PMK−R1−2は、FT認証メッセージ1006がSTA106によって送信される前にさえWLC807aによってアクセスポイントに送信され得る。

0083

[0097]図11に、図8図10に示した認証方法などの認証方法における鍵階層を示す。図11に、ルート鍵1102を示す。マスターセッション鍵(MSK)1104は、ルート鍵1102から導出され得る。1つまたは複数の導出されたマスターセッション鍵(MSK)1106は、マスターセッション鍵1104から導出され得る。ペアワイズマスター鍵(PMK)1108は、導出されたマスターセッション鍵1106から導出され得る。

0084

[0098]拡張マスターセッション鍵(EMSK)1110は、ルート鍵1102から導出され得る。いくつかの態様では、EMSKは、少なくとも64のビットであり、RFC3748に従ってSTAと認証サーバとの間の相互認証の結果として導出され得る。いくつかの態様では、EMSKは、RFC5247に従って拡張認証プロトコルセッション識別子バイナリまたはテキスト指示とを使用して名前がつけられ得る。セッション識別子は、(RFC5217付録に従って)拡張認証プロトコル(EAP)方法に基づいて定義され得る。EAP−TLS(RFC5216)の場合:

0085

0086

[0099]1つまたは複数のドメイン固有ルート鍵(DSRK)1112は、EMSK1110から導出され得る。再認証ルート鍵1114は、ドメイン固有ルート鍵1112のうちの1つから導出され得る。いくつかの態様では、再認証ルート鍵1114の導出は、RFC6696のセクション4.1において指定されている。たとえば、再認証ルート鍵は、以下によって定義され得る。

0087

0088

rRKラベルは、RFC5295に明示されているポリシーに従って「USRK鍵ラベル名前空間から割り当てられるIANA割当て8ビットASCIIストリング:EAPRe−authentication Root Key@ietf.orgである。
導出関数(KDF)とKDFのためのアルゴリズムアジティとは、RFC5295において定義されている。

0089

[00100]再認証完全性鍵1115は、再認証ルート鍵1114から導出され得る。いくつかの態様では、再認証ルート鍵1114は、RFC6696において指定されているように導出され得る。たとえば、rIKは次のように導出され得る。

0090

0091

[00101]rIKラベルは、8ビットASCIIストリング:Re−authentication Integrity Key@ietf.orgである。長さフィールドは、オクテットでのrIKの長さを指し、RFC5295において指定されているように符号化される。

0092

[00102]1つまたは複数の再認証マスターセッション鍵(rMSK)1116は、再認証ルート鍵1114から導出され得る。いくつかの態様では、rMSKは、RFC6696に従って導出され得る。たとえば、rMSKは、次のように導出され得る。

0093

0094

rMSKラベルは、8ビットASCIIストリング:Re−authentication Master Session Key@ietf.orgである。
長さフィールドは、オクテットでのrMSKの長さを指し、RFC5295において指定されているように符号化される。

0095

[00103]図8図10に関して上記で説明したように、1つまたは複数のペアワイズマスター鍵(PMK)1118は、再認証マスターセッション鍵1116から導出され得る。図11に示すように、再認証マスターセッション鍵1116から導出されるペアワイズマスター鍵は、PMK−R0ペアワイズマスター鍵である。1つまたは複数の第2レベルペアワイズマスター鍵1120は、単一の高速基本サービスセット遷移第1レベルPMK1118から導出され得る。図11に示すように、高速基本サービスセット遷移第2レベルペアワイズマスター鍵1120は、PMK−R1ペアワイズマスター鍵である。上記で説明した鍵導出のいずれにおいても、HMAC−SHA−256が、デフォルトの鍵導出関数(KDF)として使用され得る。

0096

[00104]図12は、デバイスを認証する方法のフローチャートである。いくつかの態様では、方法1200は、図7図10に関して上記で説明したワイヤレスLANコントローラ、モビリティドメインコントローラ、および/または図2のワイヤレスデバイス202によって実行され得る。たとえば、方法1200は、図7のローカルERサーバ706a−b、図8のローカルERサーバ806a−bおよび/または別個の鍵ホルダデバイス807a−b、図9の鍵ホルダデバイス907a−b、あるいは図10のWLC807aのうちの1つまたは複数によって実行され得る。いくつかの態様では、方法1200は、IEEE802.11高速遷移鍵ホルダアーキテクチャにおいて定義されているようにR0鍵ホルダデバイスによって実行される。

0097

[00105]いくつかの態様では、図12は、2つの異なる認証プロトコル間の相互運用性を提供し得る。たとえば、第1の認証プロトコルは、第2の認証プロトコルに勝るいくつかの利益を与え得る。第2の認証プロトコルは、ワイヤレスネットワーク内で広く展開され得る。ネットワーク全体にわたって広く第1の認証プロトコルを展開することは法外なコストがかかることがあり、第1の認証プロトコルがそれのエンタイアリで利用され得るように展開が完了し得る前にかなりの時間期間を必要とし得る。第2の認証プロトコルは、第1の認証プロトコルに勝るいくつかの利点を与え得るが、ワイヤレスネットワーク全体にわたって広く第2の認証プロトコルを展開することは、費用のかかることがあり、将来かなりの時間期間の間達成されないことがある。以下で説明する方法1200により、いくつかの実装形態は、第1の認証プロトコルがすでに広く展開されていることがあるという点で、第1の認証プロトコルの利益を活用することが可能になり得る。

0098

[00106]方法1200は、2つの別個のアクセスポイントとのワイヤレスデバイスの認証を達成するために、第1の認証プロトコルと第2の認証プロトコルの両方を利用する。2つの認証プロトコルを介したハイブリッド認証手法を利用することによって、第2の認証プロトコルのより少ない展開は、2つのアクセスポイントと第1のワイヤレスデバイスを認証するために第1の認証プロトコルを排他的に利用する展開と比較して効率の改善を容易にするのに必要になり得る。

0099

[00107]ブロック1205では、第1のワイヤレスデバイスのための第1の認証プロトコル再認証応答がデバイスによって受信される。いくつかの態様では、再認証応答は、ローカルERサーバまたは認証サーバから受信される。いくつかの態様では、第1の認証プロトコルは、拡張認証プロトコル再認証プロトコル(EAP−RP)である。いくつかの態様では、再認証応答は、いくつかの態様では、RFC6696において定義されているEAP完了/再認証パケットであり得る。

0100

[00108]再認証応答は、再認証マスターセッション鍵(rMSK)を含む。再認証マスターセッション鍵は、再認証応答から復号され得る。再認証マスターセッション鍵は、再認証ルート鍵から導出され得る。たとえば、図11に示したように、rMSK1116は、再認証ルート鍵rRK1114から導出され得る。

0101

[00109]いくつかの態様では、ERサーバまたは認証サーバからブロック1205において受信された再認証応答は、ローカルERまたは認証サーバにデバイスによって送信された第1の認証プロトコル再認証要求に応答したものである。いくつかの態様では、再認証要求メッセージは、RFC6696に記載されているEAP開始/再認証パケットであり得る。デバイスは、第1のアクセスポイントからワイヤレスデバイスのための再認証要求を受信し得る。デバイスは、次いで、要求によって示されたローカルERサーバまたはホーム認証サーバに第1のアクセスポイントから受信された再認証要求をリレーし得る。

0102

[00110]いくつかの態様では、デバイスは、再認証応答中に含まれる再認証マスターセッション鍵に基づいて第1のペアワイズマスター鍵(PMK)を生成する。いくつかの態様では、第1のPMKは、IEEE PMK−R0であり、これは、いくつかの態様では、802.11高速基本サービスセット遷移鍵階層中の第1レベルの鍵である。第2のペアワイズマスター鍵(PMK)は、次いで、第1のPMKに基づいて生成され得る。いくつかの態様では、この第2のPMKは、高速遷移鍵ホルダアーキテクチャの第2レベルPMK(すなわち、PMK−R1)である。いくつかの態様では、第2のPMKは、ワイヤレスデバイスおよび/または第1のアクセスポイントの1つまたは複数の特性に基づいて生成される。いくつかの態様では、ブロック1205は、ワイヤレスデバイス202の受信機212によって実行され得る。

0103

[00111]ブロック1210では、第1の認証プロトコル再認証応答は、第1のアクセスポイントに送信される。いくつかの態様では、再認証応答は、IETF RFC6696に記載されているEAP完了/再認証パケットであり得る。第1の認証プロトコル再認証応答は、再認証マスターセッション鍵(rMSK)に基づき、たとえば、応答は、rMSKまたはrMSKから導出されたデータを含むか、またはそれを示し得る。いくつかの態様では、第1の認証プロトコル再認証応答は、再認証マスターセッション鍵から導出されたIEEE802.11高速BSS遷移(FT)第1レベルPMK(たとえば、PMK−R0)などの別のPMKから導出された、上記で説明した第2レベルPMK(すなわち、PMK−R1)などのPMKを含むので、再認証マスターセッション鍵に基づく。いくつかの態様では、ブロック1210は、ワイヤレスデバイス202の送信機210によって実行され得る。

0104

[00112]いくつかの態様では、第2のアクセスポイントとワイヤレスデバイスとの間の通信のための鍵要求メッセージは、第2のアクセスポイントから受信される。これらの態様のうちのいくつかでは、鍵要求メッセージは、第2のアクセスポイントがワイヤレスデバイスのための第2の認証プロトコル認証要求を受信したことに応答して受信される。いくつかの態様では、第2の認証プロトコル要求は、たとえば、図4に関して上記で説明したIEEE802.11高速基本サービスセット(BSS)遷移(FT)認証要求である。いくつかの態様では、第2の認証プロトコルは、オープンシステム認証アルゴリズムを使用するIEEE802.11認証である。いくつかの他の態様では、第2の認証プロトコル認証は、同等性同時認証(SAE:simultaneous authentication of equals)を使用するIEEE802.11認証である。

0105

[00113]ブロック1220では、ペアワイズマスター鍵(PMK)が生成される。ブロック1220において生成されるPMKは、ブロック1205においてER(または認証)サーバから受信された第1の認証プロトコル認証応答から復号された再認証マスターセッション鍵(rMSK)に基づき得る。いくつかの態様では、PMKはまた、ワイヤレスデバイスおよび/または第2のアクセスポイントの1つまたは複数のプロパティに基づいて生成される。たとえば、上記で説明したように、IEEE802.11高速BSS遷移(FT)第1レベルPMK(すなわち、PMK−R0)は、再認証マスターセッション鍵(rMSK)に基づいて生成され得る。ブロック1220において生成されるPMKは、(再認証マスターセッション鍵に基づく)上記で説明したPMK−R0に基づき得る。したがって、ブロック1220において生成されるPMKは、IEEE802.11高速BSS遷移(FT)第1レベルPMKに基づいて生成されるので、第2レベルPMKと見なされ得る。ブロック1220において生成されるPMKは、いくつかの態様では、(PMK−R1などの)IEEE802.11高速BSS遷移(FT)第2レベルPMKであり得る。図12は、ブロック1205〜1210に関して上記で説明したPMKのものに関して、ブロック1220において生成されるPMKを第1のPMKとして言及するが、それは第3のPMKであり得る。いくつかの態様では、上記で説明したPMKは、IEEE802.11rプロトコル規格に従って生成され得る。いくつかの態様では、ブロック1220は、ワイヤレスデバイス202のプロセッサ204によって実行され得る。

0106

[00114]ブロック1225において、鍵メッセージは、ブロック1220において生成されたPMKを含むように生成される。いくつかの態様では、ブロック1225は、ワイヤレスデバイス202のプロセッサ204によって実行され得る。

0107

[00115]ブロック1230において、鍵メッセージは、第2のアクセスポイントに送信される。ブロック1225において生成されたPMKは、ワイヤレスデバイスと第2のアクセスポイントとの間の通信のために使用される。たとえば、PMKは、第2のアクセスポイントとワイヤレスデバイスとの間で送信されるデータを暗号化するために使用され得る。

0108

[00116]第2のアクセスポイントのためのPMKを含む鍵メッセージを受信したことに応答して、第2のアクセスポイントは、第1のワイヤレスデバイスとの第2の認証プロトコルを完了し得る。いくつかの態様では、第2の認証プロトコルを完了することは、第1のワイヤレスデバイスに高速基本サービスセット(BSS)遷移(FT)認証応答を送信することを含む。いくつかの態様では、第2の認証プロトコルは、オープンシステム認証アルゴリズムまたはSAEのいずれかを使用するIEEE802.11認証応答である。いくつかの態様では、ブロック1230は、ワイヤレスデバイス202の送信機210によって実行され得る。

0109

[00117]図13は、デバイスによるオーバアネットワークとの認証の方法のフローチャートである。いくつかの態様では、プロセス1300は、上記で説明した局106によって実行され得る。いくつかの態様では、プロセス1300は、2つの異なる認証プロトコル間の相互運用性を提供し得る。たとえば、第1の認証プロトコルは、第2の認証プロトコルに勝るいくつかの利益を与え得る。第2の認証プロトコルは、ワイヤレスネットワーク内で広く展開され得る。ネットワーク全体にわたって広く第1の認証プロトコルを展開することは法外なコストがかかることがあり、第1の認証プロトコルがそれのエンタイアリで利用され得るように展開が完了し得る前にかなりの時間期間を必要とし得る。第2の認証プロトコルは、第1の認証プロトコルに勝るいくつかの利点を与え得るが、ワイヤレスネットワーク全体にわたって広く第2の認証プロトコルを展開することは、費用のかかることがあり、将来かなりの時間期間の間達成されないことがある。以下で説明するプロセス1300により、いくつかの実装形態は、第1の認証プロトコルがすでに広く展開されていることがあるという点で、第1の認証プロトコルの利益を活用することが可能になり得る。

0110

[00118]上記で説明したように、いくつかの態様では、たとえば、第1のアクセスポイントと第2のアクセスポイントとが同じモビリティドメインの一部である場合、第1のアクセスポイントから第2のアクセスポイントに移動する局は、同じモビリティドメイン内にとどまり得る。これが行われるとき、局は、完全EAP認証を実行することなしに第2のアクセスポイントと認証することが可能であり得る。代わりに、2つのアクセスポイントが同じモビリティドメイン内にある場合、局は、802.11高速BSS遷移認証を使用して認証することができる。

0111

[00119]プロセス1300は、2つの別個のアクセスポイントとのワイヤレスデバイスの認証を達成するために、第1の認証プロトコルと第2の認証プロトコルの両方を利用する。2つの認証プロトコルを介したハイブリッド認証手法を利用することによって、第2の認証プロトコルのより少ない展開は、2つのアクセスポイントと第1のワイヤレスデバイスを認証するために第1の認証プロトコルを排他的に利用する展開と比較して効率の改善を容易にするのに必要になり得る。

0112

[00120]ブロック1305において、メッセージは、認証デバイスによってネットワークを介して第1のアクセスポイントから受信される。メッセージは、第1のアクセスポイントによってサポートされる1つまたは複数の認証プロトコルを示し得る。たとえば、いくつかの態様では、メッセージ中に含まれる能力リストは、第1のアクセスポイントが第1のおよび/または第2の認証プロトコルをサポートするのかを示し得る。たとえば、メッセージは、第1のアクセスポイントがIEEE802.11高速BSS遷移(FT)認証をサポートするのか、および/または第1のアクセスポイントが(EAP−RPを含む)EAP認証をサポートするのかを示し得る。いくつかの態様では、ブロック1305は、受信機212および/またはプロセッサ204によって実行され得る。

0113

[00121]ブロック1310において、認証デバイスによって、ブロック1310において受信されたメッセージに基づいて第1の認証プロトコルまたは第2の認証プロトコルを介して第1のアクセスポイントと認証すべきかの決定が行われる。いくつかの態様では、認証デバイスは、アクセスポイントによってサポートされることがわかった認証方法を優先させ得る。いくつかの態様では、第1の認証プロトコルがサポートされる場合、デバイスは、第1の認証プロトコルを選択し得る。いくつかの他の実装形態では、優先順位付けは異なることがあり、同じ状況であるが、第2の認証プロトコルがサポートされる。

0114

[00122]いくつかの態様では、ネットワークメッセージは、第1のアクセスポイントがどのモビリティドメインに関連付けられるのかを示すモビリティドメイン識別子を示し得る。ブロック1310のいくつかの態様はまた、第2のアクセスポイントと認証することと、第2のアクセスポイントの第2のモビリティドメイン識別子を示すメッセージを第2のアクセスポイントから受信することとを含む。いくつかの態様では、認証デバイスはまた、第2のアクセスポイントと認証する。認証デバイスは、次いで、物理的ロケーションを移動し、第1のアクセスポイントと認証し得る。いくつかの態様では、(認証デバイスが第2のアクセスポイントと以前に認証した後に通信する)第1のアクセスポイントのモビリティドメインが第2のアクセスポイントとは異なる第2のモビリティドメイン中にある場合、デバイスは、第1のアクセスポイントとのEAP−RP認証を実行することを決定し得る。

0115

[00123]対照的に、2つのアクセスポイントのモビリティドメインが同じである場合、認証デバイスは、第1のアクセスポイントと認証するためにIEEE802.11高速BSS遷移(FT)認証を利用し得る。

0116

[00124]いくつかの態様では、決定は、ネットワークメッセージのほかに追加のファクタに基づき得る。たとえば、いくつかの態様では、プロセス1300を実行するデバイスによって完全EAP認証が実行されたときからの時間期間が、時間しきい値を超える場合、ネットワークメッセージを介して他の認証プロトコルが第1のアクセスポイントによってサポートされることが示されるのかどうかにかかわらず、第1のアクセスポイントとの完全EAP認証が実行され得る。さらに、認証デバイスが、アクセスポイントと認証されたことがこれまでなかった場合、ネットワークメッセージ中の指示にかかわらず、完全EAP認証が実行され得る。いくつかの態様では、ブロック1310に関して上記で説明した機能のうちの1つまたは複数は、プロセッサ204によって実行され得る。

0117

[00125]ブロック1320において、認証デバイスは、決定された認証プロトコルを使用して第1のアクセスポイントと認証する。したがって、いくつかの態様では、ブロック1320は、たとえば、図4に関して上記で説明したように、第1のアクセスポイントとのIEEE802.11高速BSS遷移(FT)認証メッセージ交換を実行する。いくつかの態様では、認証デバイスは、たとえば、図3において上記で説明したようにEAP(および/またはEAP−RP)認証を使用して第1のアクセスポイントと認証する。

0118

[00126]EAP−RP認証を使用すると、認証デバイスは、再認証マスターセッション鍵(rMSK)を導出し得る。たとえば、rMSKは、rMSK−KDF(K,S)ここで、K=rRKおよびS=rMSKラベル|”\0”|SEQ\長さのように導出され得る。rMSKラベルは、8ビットASCIIストリング:「Re−authentication Master Session Key@ietf.org」である。長さフィールドは、オクテットでのrMSKの長さを指す。rRKは、EMSKまたはDSRKから導出され得る。さらなる詳細についてはRFC5296を参照されたい。

0119

[00127]認証デバイスは、次いで、再認証マスターセッション鍵に基づいて第1の高速基本サービスセット遷移ペアワイズマスター鍵を生成し得る。この第1の高速基本サービスセット遷移ペアワイズマスター鍵は、第1レベルIEEE高速BSS遷移(FT)認証PMKであり得る。いくつかの態様では、第1のペアワイズマスター鍵は、IEEE802.11高速BSS遷移プロトコル規格に記載されているように、PMK−R0ペアワイズマスター鍵の生成に従って生成され得る。第2の高速基本サービスセット遷移ペアワイズマスター鍵は、次いで、第1のペアワイズマスター鍵に基づいて生成され得る。いくつかの態様では、この第2の高速基本サービスセット遷移ペアワイズマスター鍵は、第1のアクセスポイントの局アドレスおよび/またはBSS識別子など、第1のアクセスポイントの1つまたは複数のプロパティに基づいて生成され得る。いくつかの態様では、導出された第2の高速基本サービスセット遷移ペアワイズマスター鍵は、IEEE802.11高速BSS遷移(FT)第2レベルPMKであり得る。認証デバイスは、次いで、第2のペアワイズマスター鍵を使用して第1のアクセスポイントと通信し得る。たとえば、第1のアクセスポイントとの間で送信または受信される1つまたは複数のメッセージは、それぞれ、第2のペアワイズマスター鍵を使用して、または以下で説明するPTKなどの第2のペアワイズマスター鍵から導出される鍵を使用して暗号化および/または復号され得る。

0120

[00128]いくつかの態様では、認証デバイスは、第1のペアワイズマスター鍵に基づいて第3のペアワイズマスター鍵を生成し得る。この第3のペアワイズマスター鍵は、IEEE802.11高速BSS遷移プロトコル仕様に記載されているようにPMK−R1に従って生成され得る。言い換えれば、第3のペアワイズマスター鍵は、IEEE802.11高速BSS遷移(FT)第2レベルPMKであり得る。第3のペアワイズマスター鍵はまた、いくつかの態様では、第2のアクセスポイントのMAC局アドレスおよび/または第2のアクセスポイントのBSS識別子など、第2のアクセスポイントの1つまたは複数のプロパティに基づいて生成され得る。第2のアクセスポイントとの通信は、第3のペアワイズマスター鍵に基づき得る。たとえば、第2のアクセスポイントと送信および/または受信されるメッセージは、第3のペアワイズマスター鍵に、またはPTKなど、第3のペアワイズマスター鍵から導出された鍵に基づき得る。

0121

[00129]いくつかの態様では、認証デバイスは、第1のアクセスポイントとの通信のために完全転送秘密(PFS:perfect forward secrecy)が必要であるのかどうかを決定し得る。いくつかの態様では、この決定は、ブロック1305において受信されたネットワークメッセージに基づく。PFSが必要であると決定された場合、認証デバイスは、決定したことに応答して第1のアクセスポイントとのディフィーへルマン鍵交換を実行し得る。いくつかの態様では、ディフィーへルマン鍵交換は、ペアワイズ一時鍵(PTK:pairwise transient key)を生成するために使用される。いくつかの態様では、ペアワイズ一時鍵は、PTK=KDF(PMK,ANonce|SNonce|gAB)のように導出され得、ここで、Aは、STAの秘密であり、Bは、APの秘密であり(またその逆も同様)、gABは、DHキー交換の結果である。したがって、いくつかの態様では、STAとAPとは、PTKを導出する前に、gAとgBとを交換し得る、すなわち、ディフィーへルマン(DH)鍵交換を実行し得る。

0122

[00130]いくつかの態様では、PTKは、次いで、第1のアクセスポイントとの通信のために使用され得る。たとえば、第1のアクセスポイントとの間で送信およびまたは受信されるメッセージは、PTKを使用して暗号化および/または復号され得る。いくつかの態様では、第2のPTKは、第2のアクセスポイントとの通信(メッセージの暗号化/解読)において使用するために上記で説明したのと同様の方法で生成され得る。

0123

[00131]いくつかの態様では、ブロック1320に関して上記で説明した機能のうちの1つまたは複数は、プロセッサ204によって、および、いくつかの態様では、受信機212および/または送信機210のうちの1つまたは複数と連携して実行され得る。

0124

[00132]本明細書で使用される「決定すること」という用語は、多種多様な行為を包含する。たとえば、「決定すること」は、計算すること、算出すること、処理すること、導出すること、調査すること、探索すること(たとえば、テーブル、データベースまたは別のデータ構造において探索すること)、確認することなどを含み得る。また、「決定すること」は、受信すること(たとえば、情報を受信すること)、アクセスすること(たとえば、メモリ中のデータにアクセスすること)などを含み得る。また、「決定すること」は、解決すること、選択すること、選定すること、確立することなどを含み得る。さらに、本明細書で使用される「チャネル幅」は、特定の態様では帯域幅を包含し得、または帯域幅とも呼ばれることもある。

0125

[00133]本明細書で使用する、項目リスト「のうちの少なくとも1つ」を指すは、単一のメンバーを含む、それらの項目の任意の組合せを指す。一例として、「a、b、またはcのうちの少なくとも1つ」は、a、b、c、a−b、a−c、b−c、およびa−b−cを包含するものとする。

0126

[00134]上記で説明した方法の様々な動作は、様々なハードウェアおよび/またはソフトウェア構成要素回路、および/またはモジュールなど、それらの動作を実施することが可能な任意の好適な手段によって実行され得る。一般に、図に示すどの動作も、その動作を実行することが可能な対応する機能的手段によって実行され得る。

0127

[00135]本開示に関連して説明した様々な例示的な論理ブロック、モジュール、および回路は、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路ASIC)、フィールドプログラマブルゲートアレイ信号(FPGA)または他のプログラマブル論理デバイス(PLD)、個別ゲートまたはトランジスタ論理、個別ハードウェア構成要素、あるいは本明細書で説明した機能を実行するように設計されたそれらの任意の組合せを用いて実装または実行され得る。汎用プロセッサはマイクロプロセッサであり得るが、代替として、プロセッサは、任意の市販のプロセッサ、コントローラ、マイクロコントローラまたは状態機械であり得る。プロセッサはまた、コンピューティングデバイスの組合せ、たとえば、DSPとマイクロプロセッサとの組合せ、複数のマイクロプロセッサ、DSPコアと連携する1つまたは複数のマイクロプロセッサ、あるいは任意の他のそのような構成として実装され得る。

0128

[00136]1つまたは複数の態様では、説明した機能は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組合せで実装され得る。ソフトウェアで実装される場合、機能は、1つまたは複数の命令またはコードとして、コンピュータ可読媒体上に記憶され得るか、またはコンピュータ可読媒体を介して送信され得る。コンピュータ可読媒体は、ある場所から別の場所へのコンピュータプログラムの転送を容易にする任意の媒体を含む、コンピュータ記憶媒体通信媒体の両方を含む。記憶媒体は、コンピュータによってアクセスされ得る任意の利用可能な媒体であり得る。限定ではなく例として、そのようなコンピュータ可読媒体は、RAM、ROM、EEPROM(登録商標)、CD−ROMもしくは他の光ディスクストレージ磁気ディスクストレージもしくは他の磁気ストレージデバイス、または、命令もしくはデータ構造の形態の所望のプログラムコードを搬送もしくは記憶するために使用することができ、コンピュータによってアクセスすることができる任意の他の媒体を備えることができる。さらに、いかなる接続もコンピュータ可読媒体と適切に呼ばれる。たとえば、同軸ケーブル光ファイバーケーブルツイストペアデジタル加入者線(DSL)、または赤外線無線、およびマイクロ波などのワイヤレス技術を使用して、ソフトウェアがウェブサイト、サーバまたは他のリモートソースから送信される場合、同軸ケーブル、光ファイバーケーブル、ツイストペア、DSL、または赤外線、無線、およびマイクロ波などワイヤレス技術は、媒体の定義に含まれる。本明細書で使用するディスク(disk)およびディスク(disc)は、コンパクトディスク(disc)(CD)、レーザーディスク(登録商標)(disc)、光ディスク(disc)、デジタル多用途ディスク(disc)(DVD)、フロッピー(登録商標)ディスク(disk)およびblu−rayディスク(disc)を含み、ディスク(disk)は通常、データを磁気的に再生し、ディスク(disc)は、データをレーザー光学的に再生する。したがって、いくつかの態様では、コンピュータ可読媒体は非一時的コンピュータ可読媒体(たとえば、有形媒体)を備え得る。さらに、いくつかの態様では、コンピュータ可読媒体は一時的コンピュータ可読媒体(たとえば、信号)を備え得る。上記の組合せもコンピュータ可読媒体の範囲に含まれるべきである。

0129

[00137]本明細書で開示した方法は、説明した方法を達成するための1つまたは複数のステップまたはアクションを備える。本方法のステップおよび/またはアクションは、特許請求の範囲から逸脱することなく、互いに交換され得る。言い換えれば、ステップまたは行為の特定の順序が指定されていない限り、特定のステップおよび/または行為の順序および/または使用は、特許請求の範囲から逸脱することなく変更され得る。

0130

[00138]説明した機能は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組合せで実施され得る。ソフトウェアで実装される場合、機能は1つまたは複数の命令としてコンピュータ可読媒体上に記憶され得る。記憶媒体は、コンピュータによってアクセスされ得る任意の利用可能な媒体であり得る。限定ではなく例として、そのようなコンピュータ可読媒体は、RAM、ROM、EEPROM、CD−ROMもしくは他の光ディスクストレージ、磁気ディスクストレージもしくは他の磁気ストレージデバイス、または、命令もしくはデータ構造の形態の所望のプログラムコードを搬送もしくは記憶するために使用することができ、コンピュータによってアクセスすることができる任意の他の媒体を備えることができる。本明細書で使用するディスク(disk)およびディスク(disc)は、コンパクトディスク(disc)(CD)、レーザーディスク(disc)、光ディスク(disc)、デジタル多用途ディスク(disc)(DVD)、フロッピーディスク(disk)およびBlu−ray(登録商標)ディスク(disc)を含み、ディスク(disk)は通常、データを磁気的に再生し、ディスク(disc)は、データをレーザーで光学的に再生する。

0131

[00139]したがって、いくつかの態様は、本明細書で提示した動作を実施するためのコンピュータプログラム製品を備え得る。たとえば、そのようなコンピュータプログラム製品は、本明細書で説明した動作を実施するために1つまたは複数のプロセッサによって実行可能である命令をその上に記憶した(および/または符号化した)コンピュータ可読媒体を備え得る。いくつかの態様では、コンピュータプログラム製品はパッケージング材料を含み得る。

0132

[00140]ソフトウェアまたは命令は、送信媒体上でも送信され得る。たとえば、同軸ケーブル、光ファイバーケーブル、ツイストペア、デジタル加入者線(DSL)、または赤外線、無線、およびマイクロ波などのワイヤレス技術を使用して、ソフトウェアがウェブサイト、サーバまたは他のリモートソースから送信される場合、同軸ケーブル、光ファイバーケーブル、ツイストペア、DSL、または赤外線、無線、およびマイクロ波などワイヤレス技術は、送信媒体の定義に含まれる。

0133

[00141]さらに、本明細書で説明した方法および技法を実行するためのモジュールおよび/または他の適切な手段は、適用可能な場合にユーザ端末および/または基地局によってダウンロードされ、および/または他の方法で取得され得ることを諒解されたい。たとえば、そのようなデバイスは、本明細書で説明した方法を実行するための手段の転送を容易にするためにサーバに結合され得る。代替的に、本明細書で説明した様々な方法は、ユーザ端末および/または基地局が記憶手段をデバイスに結合するかまたは与えると様々な方法を得ることができるように、記憶手段(たとえば、RAM、ROM、コンパクトディスク(CD)またはフロッピーディスクなどの物理記憶媒体など)によって提供され得る。その上、本明細書で説明した方法および技法をデバイスに提供するための任意の他の好適な技法が利用され得る。

0134

[00142]特許請求の範囲は、上記で示した厳密な構成および構成要素に限定されないことを理解されたい。上記の方法および装置の構成、動作および詳細において、特許請求の範囲から逸脱することなく、様々な改変、変更および変形が行われ得る。

0135

[00143]上記は本開示の態様を対象とするが、本開示の他の態様およびさらなる態様は、それの基本的範囲から逸脱することなく考案され得、それの範囲は以下の特許請求の範囲によって決定される。

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

  • 株式会社NTTドコモの「 ユーザ端末及び無線通信方法」が 公開されました。( 2020/12/17)

    【課題・解決手段】ビーム失敗回復手順に用いられる周波数リソースを適切に設定するために、ユーザ端末は、ビーム失敗を検出した場合にビーム失敗回復要求を送信する送信部と、前記ビーム失敗回復要求に対する応答を... 詳細

  • 株式会社NTTドコモの「 ユーザ装置」が 公開されました。( 2020/12/17)

    【課題・解決手段】ユーザ装置であって、当該ユーザ装置の能力情報を格納する能力情報格納部と、前記能力情報を基地局に通知する能力情報通知部とを有し、前記能力情報通知部は、当該ユーザ装置によってサポートされ... 詳細

  • 株式会社NTTドコモの「 ユーザ装置、及び上り送信タイミング調整方法」が 公開されました。( 2020/12/17)

    【課題・解決手段】基地局とユーザ装置とを備える無線通信システムにおける前記ユーザ装置において、前記基地局に上り信号を送信する信号送信部と、前記基地局から下り信号を受信する信号受信部と、前記信号送信部か... 詳細

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ