用于设备的多个链路层地址的制作方法

1.本公开的实施例涉及用于设备的多个链路层地址。


背景技术：

2.电子设备可以通过有线或无线网络进行通信。网络的一个示例包括局域网(lan)，它是一种允许特定区域(物理区域或逻辑区域)中的设备彼此通信的网络。没有适当凭证或权限的设备将无法连接到lan。
3.lan可以包括有线lan或无线lan。无线lan(wlan)包括设备能够无线连接到的无线接入点(ap)。


技术实现要素：

4.根据一些实现，公开了一种设备，包括：链路层，链路层包括硬件处理电路并且被配置为：使用第一链路层地址和第二链路层地址，在设备与无线网络的关联的持续时间内维持第一链路层地址不变，以及在持续时间期间将第二链路层地址从第一值改变为第二值。
5.根据一些实现，公开了一种用于无线网络的接入点ap，包括：链路层，链路层包括硬件处理电路并且被配置为：通过无线网络向设备传输对提供多个链路层地址的链路层地址保护特征的支持的指示，多个链路层地址包括在设备和ap之间的关联的持续时间内将被维持不变的第一链路层地址，以及在持续时间期间将被变化为不同值的第二链路层地址。
6.根据一些实现，公开了一种包括指令的非瞬态机器可读存储介质，指令在执行时使设备：在设备的链路层处，使用第一链路层地址和第二链路层地址，在设备与无线网络的关联的持续时间内维持第一链路层地址不变，以及在持续时间期间将第二链路层地址从第一值改变为第二值。
附图说明
7.关于以下附图来描述本公开的一些实现。
8.图1是根据本公开的一些实现的设备的框图。
9.图2是根据本公开的一些实现的包括接入点(ap)和站(sta)的示例布置的框图。
10.图3是根据本公开的一些实现的sta和ap之间的过程的消息流图。
11.在整个附图中，相同的附图标号指明相似但不一定相同的元件。附图不一定按比例绘制，并且某些部件的尺寸可能被夸大以更清楚地说明所示示例。此外，附图提供了与描述相一致的示例和/或实现；然而，描述不限于附图中所提供的示例和/或实现。
具体实施方式
12.在本公开中，除非上下文另有明确指示，否则术语“一”、“一个”或“该”的使用也旨在包括复数形式。此外，当在本公开中使用时，术语“包括(includes)”“包括(including)”、“包括(comprises)”、“包括(comprising)”、“具有(have)”或“具有(having)”指定所述元件的存在，但是不排除其他元件的存在或添加。
13.1.背景、缩略词和缩写
14.下面的表1列出了各种缩略词和缩写
15.表1
16.17.[0018][0019]
下面的表2列出了所使用的各种术语以及这些术语的对应简要描述。
[0020]
表2
[0021]
[0022][0023]
2.问题
[0024]
2.1总则
[0025]
在局域网(lan)中操作的设备使用其媒体访问控制(mac)地址作为在lan上传输和接收的帧的源地址。lan使用设备的mac地址将lan业务路由到lan上的正确设备。此外，设备的mac地址被用来维持其他状态信息，诸如ip地址。如果设备改变其mac地址，则lan和ip通信都被中断。设备必须剥离并重新附接到lan以重新建立状态信息，这可能会中断任何应用级通信。
[0026]
2.2用户隐私
[0027]
在lan上操作的设备可以被分配全球唯一的mac地址。传统上，设备在lan中操作时使用全球唯一的mac地址作为其地址。随着用户隐私变得越来越重要，一些设备现在将其mac地址分配给本地管理的地址空间中随机衍生的地址以进行通信。在执行发现过程以及在lan上进行连接和操作时，随机衍生的地址被用来与其他设备进行通信。
[0028]
在lan通信和隐私的保护之间存在对设备的相互冲突的行为要求。相互冲突的行为要求的一个示例包括使用mac地址用于在与lan关联的持续时间内运行的安全密钥算法(其基于mac地址生成安全密钥)，以及基于经常改变mac地址以阻止被动观察者的跟踪的隐私增强。应当开发解决方案来解决相互冲突的行为要求。
[0029]
3.示例实现
[0030]
图1示出了能够通过诸如有线lan或无线lan(wlan)之类的网络102进行通信的设备100。设备的示例可以包括以下任意或某种组合：台式计算机、笔记本计算机、平板计算机、智能电话、物联网(iot)设备、交通工具、交通工具中的控制器、游戏电器、家用电器等。
[0031]
设备100包括能够执行存储在非瞬态机器可读或计算机可读存储介质108中的机器可读指令106的一个或多个硬件处理器104。硬件处理器可以包括微处理器、多核微处理器的核心、微控制器、可编程集成电路、可编程门阵列或其他硬件处理电路。
[0032]
存储介质108可以使用一个或多个存储设备来实现。存储设备可以包括易失性存储器设备或非易失性存储器设备。存储设备的另一个示例可以包括永久性存储设备，诸如基于磁盘的存储设备、固态驱动器等。
[0033]
设备100还包括协议栈110，其包括允许设备100和网络102之间的通信的各种层。
[0034]
在一些示例中，网络102是无线网络，诸如wlan、蜂窝网络等等。在其他示例中，网络102(或另一网络)可以包括有线网络，诸如lan。尽管仅描绘了一个网络102，但是应注意，可以存在设备100可与之通信的多个网络，其中网络可以包括无线网络和有线网络。例如，设备100可以与wlan以及与有线lan进行通信。
[0035]
协议栈110的层包括物理层112，其包括物理电路(包括收发器)以通过网络102传输和接收信号。协议栈110还包括在物理层112之上的链路层114。在一些示例中，链路层114包括媒体访问控制(mac)层。
[0036]
协议栈110还包括在链路层114之上的一个或多个较高层116。较高层116的示例可以包括以下中的任意或某个组合：ip层、安全协议层等等。
[0037]
注意，(多个)较高层116和可能的链路层114可以被实现为可由一个或多个硬件处理器104执行的机器可读指令。在另外的示例中，链路层114(和可能的一个或多个较高层116)可以使用硬件处理电路来实现。
[0038]
根据本公开的一些实现，链路层114能够使用多个链路层地址(例如，多个mac地址)用于去往或来自设备100的通信。多个链路层地址包括在设备100与无线网络关联的持续时间内维持不变的第一链路层地址。多个链路层地址还包括第二链路层地址，其在设备100与无线网络关联的持续时间期间从第一值改变为第二值(并且可能改变为其他值)。
[0039]
在一些示例中，在与无线网络关联的持续时间内不变的第一链路层地址被称为lan链路地址118。在设备100与无线网络关联的持续时间期间可以改变的第二链路层地址被称为空中链路地址120。lan链路地址118和空中链路地址120可以被存储在存储介质108(例如，存储器)中以用于在设备的通信100中使用。
[0040]
3.1实现1：lan mac保护
[0041]
根据一些实现，支持使用多个链路层地址用于特定设备(例如，100)的通信的特征被称为lan mac保护特征。在其他示例中，此特征也可以被称为lan mac隐私、mac地址轮换、air mac改变协议等。
[0042]
更一般地，该特征被称为链路层地址保护特征。
[0043]
图2示出了包括接入点(ap)202-1和202-2的示例布置，其是wlan中的无线接入网络节点，无线设备(被称为站或sta)可以与其建立无线连接。ap也可以被称为sta。不是ap的无线设备被称为非ap sta。
[0044]
图2示出了能够与ap 202-1和202-2通信的多个sta(a、b、c、d和e)。sta a、b、c和e是能够与wlan 204中的ap 202-1和202-2无线通信的无线设备。sta d是通过有线lan 206连接到ap 202-1和202-2的有线设备。
[0045]
wlan 204被认为是空中侧，其中sta通过空中(无线)来与ap 202-1或202-2通信。有线lan 206是lan侧的一部分，其中sta通过有线通信介质来与ap 202-1或202-2通信。
[0046]
在图2的示例中，sta a、b和c支持lan mac保护特征，sta e是不支持lan mac保护特征的传统设备。在随后的讨论中，支持lan mac保护特征的sta可以被称为“lan mac保护的sta”。
[0047]
lan mac保护的sta(sta a、b和c中的任何一个)可以使用lan mac保护特征来与使用单个静态mac地址(例如，图1的lan链路地址118)的传统设备(例如，sta e)进行互操作。
[0048]
wlan 204中的ap 202-1或202-2使用由ap传输的消息或信息元素来通告对lan mac保护特征的支持，诸如在信标、探测响应帧等等中。例如，可以通过在空中通信的帧的扩展能力元素中的lan mac保护元素(例如，lan mac保护位)中进行通告来指定对lan mac保护特征的支持。更一般地，ap可以包括链路层(在一些示例中包括硬件处理电路或在其他示例中包括机器可读指令)，其被配置为通过无线网络(例如，wlan 204)向设备(sta a、b或c
2维持用于使用双元组进行单播通信的关联sta(其与ap关联)的映射，其每个都包括对应air mac地址和对应lan mac地址。双元组是上面指出的lan mac-air mac映射表208-1或208-2的一部分。lan mac保护的sta和ap之间的管理业务使用air mac地址作为源或目标mac地址进行寻址。在一些示例中，存在用于处理lan中的mac寻址的两种机制：
[0061]
(a)lan报头在空中链路上被隧道传输。lan mac保护的sta的ip栈被绑定到lan mac地址。ap和lan mac保护的sta之间的单播业务使用air mac地址。
[0062]
(b)lan mac保护的sta和ap使用air mac地址通过空中链路进行通信。当ap从lan mac保护的sta或以lan mac保护的sta为目的地的那些接收帧时，ap将帧中的air mac地址替换为lan mac地址，反之亦然。
[0063]
注意：对于上面的机制(a)，air mac地址的存在对于lan mac保护的sta或ap的操作系统(os)和(多个)上层(例如，ip栈)是完全透明的。此外，lan mac地址和air mac地址(在双元组中)之间的转换由lan mac保护的sta或ap的wlan驱动程序负责。lan mac保护的sta和ap之间建立隧道。
[0064]
对于上面的机制(b)，双元组对于lan mac保护的sta或ap的os而言是已知的，并且os在传输帧时使用正确的地址(air mac地址或lan mac地址)。
[0065]
4.对于广播/多播业务(其是由源设备使用群组地址向多个目标设备传输的业务)，上行链路业务(从lan mac保护的sta到ap)以上面讨论的方式被视为单播业务。下行链路广播/多播业务不使用lan mac保护的sta的mac地址，因此下行链路广播/多播业务以传统设备使用的方式来发送(利用报头字段中的群组地址)。
[0066]
5.在lan mac保护的sta与ap的关联的生命周期期间，air mac地址可以改变，而lan mac地址保持不变。这允许与lan 206的无缝连接，同时减轻观察者长时间跟踪lan mac保护的sta。
[0067]
在lan mac保护的sta和ap之间使用air mac地址来交换管理帧，因此无线通信不使用lan mac地址。具体而言，802.11报头中的3个或4个地址中的任何一个的值都不被设置为去往ap或来自ap的任何通信中的lan mac地址。lan mac地址仅在加密帧(数据帧或管理帧)内使用隧道传输在ap和sta之间进行交换。
[0068]
在一些示例中，ap的链路层从sta接收以目的地设备为目标的帧，将接收到的帧中的air mac地址变换(使用ap中的lan mac-air mac映射表)为对应的lan mac地址，并且将对应的lan mac地址包括在发送给目的地设备的帧中。
[0069]
在进一步的示例中，ap的链路层从源设备接收以sta为目标的帧，(使用ap中的lan mac-air mac映射表)将帧中的lan mac地址变换为对应的air mac地址，并且将对应的air mac地址包括在发送给sta的帧中。
[0070]
当lan mac保护特征被启用时，用于sta和ap的安全关联被绑定到air mac地址。例如，设备100包括作为协议栈110一部分的安全层，其中安全层被配置为使用air mac地址来绑定设备100和wlan 204的ap之间的安全关联。
[0071]
这与传统sta行为一致。从安全角度来看，lan mac地址保护特征的工作如下，如图3中所示。
[0072]
基于管理帧(在302)从sta 300(lan mac保护的sta)到ap 202(ap 202-1或202-2之一)的传输，pmk(成对主密钥)和ptk(成对临时密钥)衍生被绑定到air mac地址，该地址
被用于初始关联到wlan 204中的ap。安全层被配置为使用air mac地址来得出pmk和ptk。设备100的安全层与ap绑定的安全关联是ptksa(ptk安全关联)。
[0073]
由于在sta 300处的air mac地址的改变，管理帧包括新的air mac地址。注意，即使air mac地址的改变导致新的关联(在链路层114)，(多个)较高层(116)的连接或其他关联不变。链路层114之上的较高层被配置为在air mac层地址改变时基于lan mac地址来维持与lan 206的连接。
[0074]
响应于管理帧，sta 300关闭(在304处)sta 300处的802.1x端口，并且ap 202关闭(在306处)ap 202处的802.1x端口。关闭802.1x端口是指ieee 802.1x中指定的虚拟端口的删除。
[0075]
在sta 300和ap 202之间执行(在308处)4向握手以建立sta 300和ap 202之间的关联。在4向握手的消息4中，sta 300加密并在密钥描述符元素(kde)中将其lan mac地址发送到ap 202。
[0076]
当sta 300轮换(改变)其air mac地址时，sta 300向ap 200发送信号以协商新的ptk。该过程工作如下。
[0077]
(a)sta 300轮换其air mac地址并且通过用信号发送lan mac地址隐私指示符来(重新)关联到ap 202。sta 300和ap 202使用rsna(稳健安全网络关联、sae(对等同时认证)、ft(快速基本服务集(bss)转变)或fils(快速初始链路设置)协议中的任何一个来协商新的ptksa(成对临时密钥安全关联)。在4向握手、ft或fils交换的最后一条消息期间，sta 300在kde(密钥数据封装)中将lan mac地址发送到ap 202。
[0078]
(b)sta 300可以使用替代管理帧来用信号发送新的ptksa的协商。例如，可以修改sa(安全关联)查询帧以触发ap 202发起4向握手以得出新的ptksa。
[0079]
当4向握手完成时(如从ap 202向sta 300发送(在310处)的成功指示所指示的)，ieee 802.1x控制端口被sta 300和ap 202打开(分别在312和314处)并且sta 300和ap 202各自存储(分别在316和318处)包含映射的air mac地址和lan mac地址的双元组。
[0080]
为了保护隐私，可以与air mac地址的改变同步地改变附加的标识符。这包括mac帧序列计数器、phy ofdm(正交频分多址)数据加扰器和/或其他标识符。
[0081]
轮换mac地址意味着改变mac地址。mac地址的改变可以采用随机地址或伪随机地址的选择，或者使用其他算法选择的地址。改变后的mac地址不必是循环的。mac地址改变可以在改变发生时进行协商，或者mac地址可以通过ap和sta都可以独立计算下一个air mac地址的方式来确定。
[0082]
在一些示例中，lan mac保护的sta使用扩展能力位或其他指示符来通告其对lan mac保护特征的支持。
[0083]
在一些示例中，ap使用扩展能力位或其他指示符来通告其对lan mac保护特征的支持。
[0084]
在一些示例中，lan mac保护的sta可以基于ap的lan mac保护能力来决定是否关联到ap。lan mac保护的sta可以以多种不同的方式进行配置。如果ap不支持lan mac保护特征，则lan mac保护的sta可以以旧有模式进行关联。如果ap支持lan mac保护特征，则lan mac保护的sta可以避免以旧有模式进行关联。lan mac保护的可以在以旧有模式进行关联之前提示用户。
[0085]
任何前述内容的使用可以基于相关于隐私的不同用户偏好，以及使用旧有模式引起的隐私损失。还可以在lan mac保护的sta中存储允许用于旧有模式的网络列表或者不使用白名单或黑名单机制。
[0086]
类似地，ap可以具有允许或禁止sta以旧有模式进行连接的策略。
[0087]
sta的扫描算法可以考虑lan mac保护特征并且以比不支持它的那些更高的优先级连接到支持该特征的ap。
[0088]
3.2实现2：tdls
[0089]
对等设备将包括它们的lan mac保护元素或扩展能力位作为tdls(隧道直接链路设置)链路设置和tdls发现帧的一部分。
[0090]
tdls允许在同一wlan中操作的sta之间的直接通信。在没有tdls的情况下，所有帧都必须从源sta传输到ap，然后从ap传输到目的地sta。tdls技术通过使得源sta能够直接向目的地sta传输数据，从而允许无线介质的使用减少近一半。tdls技术已在ieee 802.11z修正案中被标准化，并且自2012年起在wi-fi联盟认证计划中进行测试。它被广泛部署在消费类和企业wlan装备中。
[0091]
根据本公开的一些实现，如果发起tdls sta已关联到启用了lan mac地址隐私的ap，则发起tdls sta在tdls链路设置帧中包括设置为指定值(以指示对lan mac保护特征的支持)的lan mac隐私元素或能力位。如果响应方sta已关联到具有lan mac保护的ap并接收到包括设置为指定值的lan mac隐私元素或能力位的tdls链路设置帧，则响应方sta通过在响应中包括lan mac保护元素或扩展能力来进行响应。此信息允许任一tdls对等体优雅地处理tdls链路的拆除——如果另一个对等体改变其mac地址的话。
[0092]
一旦tdls链路设置成功完成，则两个对等设备将使用它们的air mac地址来交换帧。如果其中一个对等设备改变其air mac地址，则tdls链接将被断开。在改变之后随后用新地址重新建立tdls链路。
[0093]
3.3实现3：加密mac地址
[0094]
前述是指轮换air mac地址，改变air mac地址，或者挑选随机air mac地址。这样做的一种机制是从本地地址空间(诸如46位数字空间)中挑选随机mac地址。这与也随机挑选地址的其他设备发生冲突的概率非常小但非零。一些标准进一步将本地地址空间划分为四个象限，每个象限为44位。在设备挑选新地址之后，设备将新地址通知ap。这可能涉及管理帧的交换。从长远来看，还有其他挑选使用较少管理帧的新mac地址的替代方法。
[0095]
加密mac地址的使用可以减少与协商或通知ap或sta新的air mac地址在改变之后将是什么相关联的通信。只有ap和sta知道序列和/或种子的加密序列允许两个设备独立地得出序列中的下一个air mac地址。这可以通过确定性伪随机数生成器来实现。该算法的密码属性使得间歇性被动观察者无法将旧地址和新地址相关，而每个知道这些值的ap和sta都可以计算出序列中的相同的下一个地址。
[0096]
3.4实现4：802.11be多链路地址
[0097]
该实现依附于当前任务组ieee 802.11be正在为多链路设备所做的事情。
[0098]
在日期为2020年1月的ieee 802.11-19/1899r7“mlamac addresses considerations”中描述的ieee 802.11be提出了用于下一代wlan的技术或机制。ieee 802.11be修正案将定义能够支持最大吞吐量至少30gbps的超高吞吐量(eht)phy和mac层。
ieee 802.11be修正案正在研究一种被称为多链路设备(mld)的多链路聚合技术。
[0099]
ieee 802.11be引入了“mld地址”，当使用多个链路时，该mld地址在lan上被使用。设备(诸如设备100)的多个链路用于设备与无线网络(诸如图2的wlan 204)的各个ap的关联。
[0100]
多链路设备概念引入了个体link mac地址到mld(设备)地址的映射。在ieee 802.11be中，个体link mac地址将被视为air mac地址，它可以被映射到不通过空中传输的lan mac地址(mld地址)。
[0101]
根据本公开的一些实现，认证和ptk生成是基于mld mac地址(lan mac地址)的，而只有(多个)link mac地址((多个)air mac地址)被用于sa/ta/ra/da地址字段中。
[0102]
本公开的实现引入了对mld提议的改变，以使得长期存在的mld mac地址免受窃听。为此，只有link mac地址对空中观察者可见。本公开的实现还使用与以上3.1节中讨论的那些技术类似的技术来添加协议以使得link mac地址能够在关联期间进行改变而不丢弃。
[0103]
使用具有link mac地址(air mac地址)和mld地址(lan mac地址)的这种方案，即使当sta仅通过单个链路进行连接时也是提供以上3.1节中的lan mac保护特征的示例实现。
[0104]
更一般地，设备可以建立与多个ap的关联以用于与ap的多个链路。设备的链路层被配置为为多个链路维持相应不同的空中链路地址，其中空中链路地址在关联的持续时间期间每个都是可变的。
[0105]
4.示例益处
[0106]
本公开的实现允许保护用户隐私，该用户隐私基于第二链路层地址的使用来保护第一链路层地址(其在无线设备与ap的关联期间保持不变)，该第二链路层地址可以在关联期间改变一次或多次。以这种方式，第一链路层地址不必以未加密的形式在空中被传输，诸如在ieee 802.11 mac报头中。相反，未加密的ieee 802.11 mac报头包含第二链路层地址，而第一链路层地址可以作为包括ieee 802.11 mac报头的帧中的有效负载进行隧道传输(并加密)。
[0107]
例如，在本地地址空间中使用mac地址而不使用用于所有wlan业务的全局分配的mac地址的益处是：它防止了长时间的跟踪。在跟踪对手是被动观察者的情况下，它防止了跨不同位置的跟踪，因为大多数实现将扫描操作中使用的地址随机化，并在与网络进行关联时为每个ssid使用不同的地址。在一些情况下，mac地址改变实现还提供来自网络提供商的隐私。
[0108]
存储介质(例如，图1中的108)可以包括以下中的任意或某种组合：半导体存储器设备，诸如动态或静态随机存取存储器(dram或sram)、可擦除和可编程只读存储器(eprom)、电可擦除可编程只读存储器(eeprom)和闪存或其他类型的非易失性存储器设备；磁盘，诸如固定磁盘、软磁盘和可移除磁盘；其他类型的磁介质，包括磁带；诸如压缩盘(cd)或数字视盘(dvd)之类的光学介质；或其他类型的存储设备。注意，可以在一个计算机可读或机器可读存储介质上提供上面讨论的指令，或者可替代地，可以在分布在可能具有多个节点的大型系统中的多个计算机可读或机器可读存储介质上提供上面讨论的指令。一个或多个这种计算机可读或机器可读存储介质被认为是物品(或制品)的一部分。物品或制品可
以指的是任何制造的单个组件或多个组件。存储介质可以位于运行机器可读指令的机器中，或者位于可以通过网络从其下载机器可读指令以执行的远程站点处。
[0109]
在前述描述中，阐述了许多细节以提供对本文所公开的主题的理解。然而，可以在没有这些细节中的一些细节的情况下实践各种实现。其他实现可以包括对上述细节的修改和变化。所附权利要求旨在涵盖此类修改和变化。