1.本公开实施例通常涉及通信技术,以及更具体地,涉及与随机化(random)媒体访问控制(mediaaccesscontrol,mac)地址相关的无线通信方法及装置,其具有快速的重连机制。
背景技术:
::2.媒体访问控制(mac)地址是一串独特的字母和数字,用于标识网络上的设备并允许它与其它设备进行通信。mac地址通常在设备制造时分配的,并且在从一个网络移动到另一个网络时通常不会更改。换句话说,mac地址历来是静态的,并且对于每个设备来说都是唯一的。但是,由于接入点(accesspoint,ap)或任何wi-fi嗅探器(sniffer)都可以在未经用户同意的情况下通过mac地址监控设备位置,因此,该独特的mac地址会对用户隐私产生不利影响。3.为了解决这个问题,提供了mac地址随机化(randomization)来允许用户设备通过使用不同的mac地址连接到ap,即mac地址随机化可以防止监听者使用mac地址建立设备活动的历史记录。虽然mac地址随机化能够增强用户隐私,但是,一些快速重连机制,例如,成对主密钥安全关联(pairwisemasterkeysecurityassociation,pmksa)缓存(caching),可能无法使用。具体来说,当设备第一次连接到ap时,设备向ap发起802.1x/sae(simultaneousauthenticationofequals,对等实体同时验证)认证,认证成功后,设备和ap将推导出(derived)的成对主密钥(pairwisemasterkey,pmk)和成对主密钥标识符(pairwisemasterkeyidentifier,pmkid)保存在内部缓存中,其中,成对主密钥(pmk)和成对主密钥标识符(pmkid)与设备的mac地址相关联。那么,如果设备由于某种原因与ap断开连接,以及,设备需要重新连接到ap,则如若设备有相同的mac地址,该设备可以简单地使用pmk和pmkid重新连接到ap,而无需802.1x/sae认证。因此,如果设备使用不同的mac地址重新连接到ap,则使用pmksa缓存重连的方法会失效,以及,需要重新进行耗时较长的802.1x/sae认证。技术实现要素:4.有鉴于此,本发明的目的之一是提供一种无线通信方法及相关的装置,其允许设备使用mac地址随机化和pmksa缓存重新连接到ap,以解决上述问题。5.根据本发明一实施例,一种无线通信方法(其适用于站点)包括以下步骤:通过使用第一媒体访问控制(mac)地址及执行认证来连接至接入点(ap),以产生参考成对主密钥(pmk)和相对应的参考成对主密钥标识符(pmkid);如果该站点与该ap的连接中断且该站点尝试重新连接至该ap,生成包含该站点的第二mac地址和与该参考pmkid相关联的pmkid(例如,该pmkid是利用第二mac地址和参考pmkid产生的)的信息的关联请求,其中,该关联请求不包含该站点的该第一mac地址;以及,向该ap发送该关联请求。6.在一些实施例中,生成包含该站点的第二mac地址和与该参考pmkid相关联的pmkid的信息的关联请求的步骤包括:将该第二mac地址与该参考pmkid混合,以生成混合后的pmkid;以及,生成包含该第二mac地址和该混合后的pmkid的关联请求。7.在一些实施例中,产生包括该站点的第二mac地址和与该参考pmkid相关联的pmkid的信息的关联请求的步骤包括:将该第二mac地址与该参考pmkid混合,以生成混合后的pmkid;使用该参考pmk对该混合后的pmkid进行加密,以生成加密后的pmkid;以及,生成包含该第二mac地址和该加密后的pmkid的关联请求。8.在一些实施例中,将该第二mac地址与该参考pmkid混合以生成混合后的pmkid的步骤包括:对该第二mac地址和该参考pmkid进行异或运算,以生成该混合后的pmkid。9.在一些实施例中,该关联请求还包括指示该站点支持随机mac地址和pmksa缓存机制的信息元素。10.根据本发明的另一实施例,一种接入点的无线通信方法包括以下步骤:接收来自站点的关联请求;从该关联请求中读取pmkid和该站点的mac地址;利用该站点的该mac地址对该pmkid进行计算以得到原本的pmkid;确定该原本的pmkid是否与该缓存表中的任一参考pmkid匹配,其中,该缓存表中存储有多个参考媒体访问控制(mac)地址和相应的参考成对主密钥标识符(pmkid);以及,如果该原本的pmkid与该缓存表中的其中一个参考pmkid匹配,则确定出该缓存表中记录的与匹配的参考pmkid相对应的参考mac地址和该关联请求中的mac地址属于同一个站点。11.在一些实施例中,利用该站点的该mac地址对该pmkid进行计算以得到原本的pmkid之前,该方法还包括:检查该关联请求中携带的该pmkid是否与该缓存表中的内容(如任一参考pmkid)匹配;其中,如果该pmkid与该缓存表中的内容不匹配,则利用该站点的该mac地址对该pmkid进行计算,以得到原本的pmkid。12.在一些实施例中,利用该站点的该mac地址对该pmkid进行计算以得到原本的pmkid的步骤包括:将该mac地址与该pmkid混合,以生成混合后的pmkid作为该原本的pmkid。13.在一些实施例中,利用该站点的该mac地址对该pmkid进行计算以得到该原本的pmkid的步骤包括:使用该缓存表中的至少一个参考pmkid相对应的pmk来解密该pmkid,以生成解密后的pmkid;以及,将该mac地址与该pmkid混合,以生成混合后的pmkid作为该原本的pmkid。14.在一些实施例中,该方法还包括:如果该原本的pmkid与该缓存表中的其中一个参考pmkid匹配,则使用该关联请求中记录的该mac地址更新该缓存表中记录的该参考mac。15.在一些实施例中,该缓存表还包括:与该参考mac地址相应的站点是否支持随机mac地址和pmksa缓存机制的信息。16.在一些实施例中,利用该站点的该mac地址对该pmkid进行计算以得到原本的pmkid的步骤包括:参照该缓存表以选择支持该随机mac地址和pmksa缓存机制的至少一个站点;使用与所选站点相对应的pmk来解密该pmkid,以生成解密后的pmkid;以及,将该mac地址与该pmkid混合,以生成混合后的pmkid作为该原本的pmkid。17.在一些实施例中,将该mac地址与该pmkid混合以产生混合后的pmkid作为该原本的pmkid的步骤包括:对该mac地址与该pmkid进行异或操作,以生成该混合后的pmkid作为该原本的pmkid。18.根据本发明的另一实施例,提供了一种通信装置,其适用于站点,其中,该通信装置包括收发器和处理器,该收发器和该处理器被配置为执行以下操作:通过使用第一媒体访问控制(mac)地址及执行认证来连接至接入点(ap),以产生参考成对主密钥(pmk)和相对应的参考成对主密钥标识符(pmkid);19.如果该站点与该ap的连接中断且该站点尝试重新连接至该ap,生成包含该站点的第二mac地址和与该参考pmkid相关联的pmkid的信息的关联请求,其中,该关联请求不包含该站点的该第一mac地址;以及,向该ap发送该关联请求。20.在一些实施例中,生成包含该站点的第二mac地址和与该参考pmkid相关联的pmkid的信息的关联请求的步骤包括:将该第二mac地址与该参考pmkid混合,以生成混合后的pmkid;使用该参考pmk对该混合后的pmkid进行加密,以生成加密后的pmkid;以及,生成包含该第二mac地址和该加密后的pmkid的关联请求。21.根据本发明的另一实施例,提供了一种通信装置,其适用于接入点,包括收发器和处理器,该收发器和处理器被配置为执行以下操作:接收来自站点的关联请求;从该关联请求中读取成对主密钥标识符(pmkid)和该站点的媒体访问控制(mac)地址;利用该站点的该mac地址对该pmkid进行计算以得到原本的pmkid;确定该原本的pmkid是否与该缓存表中的任一参考pmkid匹配,其中,该缓存表中存储有多个参考mac地址和相应的参考pmkid;以及,如果该原本的pmkid与该缓存表中的其中一个参考pmkid匹配,则确定出该缓存表中记录的与匹配的参考pmkid相对应的参考mac地址和该关联请求中的mac地址属于同一个站点。22.在一些实施例中,利用该站点的该mac地址对该pmkid进行计算以得到原本的pmkid之前,还包括执行以下操作:检查该关联请求中携带的该pmkid是否与该缓存表中的内容匹配;其中,如果该pmkid与该缓存表中的内容不匹配,则利用该站点的该mac地址对该pmkid进行计算,以得到原本的pmkid。23.在一些实施例中,利用该站点的该mac地址对该pmkid进行计算以得到该原本的pmkid的步骤包括:使用该缓存表中的至少一个参考pmkid相对应的pmk来解密该pmkid,以生成解密后的pmkid;以及,将该mac地址与该pmkid混合,以生成混合后的pmkid作为该原本的pmkid。24.本领域技术人员在阅读附图所示优选实施例的下述详细描述之后,可以毫无疑义地理解本发明的这些目的及其它目的。详细的描述将参考附图在下面的实施例中给出。附图说明25.通过阅读后续的详细描述以及参考附图所给的示例,可以更全面地理解本发明,其中:26.图1为本发明一实施例的无线通信系统的示意图。27.图2a是根据本发明一实施例的使用sae认证在站点与ap之间建立链路的方法的流程示意图。28.图2b为本发明实施例提供的一种利用802.1x认证在站点与ap之间建立链路的方法流程示意图。29.图3是根据本发明一实施例的利用pmksa缓存在站点和ap之间建立连接的方法的流程示意图。identifier,bssid)(即ap110的mac地址,macap)以及对应于站点sta1和ap110的pmkid(pmkidsta1_ap);ap110将站点sta1的mac地址macsta1和相应的pmkid(pmkidsta1_ap)存储在缓存表(cachetable)中,其中,该缓存表还包括其它站点的mac地址和相应的pmkid,例如,该缓存表还包括针对站点sta2的macsta2和pmkidsta2_ap,…,以及,针对站点stan的macstan和pmkidstan_ap。在以下描述中,存储在ap110的缓存表中的mac地址和pmkid(成对主密钥标识符)被分别称为参考(reference)mac地址和参考pmkid。需要说明的是,sae认证和pmk/pmkid的生成为本领域技术人员所熟知,因此,相关描述本文不再赘述。在另一可选实施例中,该缓存表中的每个条目还可以包括/存储该参考pmkid对应的参考pmk,但本发明对此并不做任何限制,原因在于:pmkid和pmk是成对使用的。也就是说,当ap得知pmkid时通常能够相应的得知该pmkid对应的pmk。在另一可选实施例中,该参考pmkid及其对应的参考pmk可以不位于相同的缓存表中。40.然后,站点sta1和ap110执行关联(association)和(四次握手协议,4way)基于局域网的扩展认证协议(extensibleauthenticationprotocoloverlan,eapol),以用于站点sta1和ap110之间的进一步通信,例如,进行正常的收发操作(图中标注为“eapol4way/normaltrx”)。41.图2a所示的推导pmksa的步骤使用sae认证(authentication)。在一些实施例中,推导pmksa(成对主密钥安全关联)的步骤可以是802.1x认证,如图2b所示,其在站点sta1和后端eap认证服务器之间建立了pmksa。42.在一些情况下,站点sta1由于某些原因与ap110断开连接,例如,站点sta1远离ap110。那么,如果站点sta1被再次带到靠近ap110的地方,则站点sta1将自动重新连接到ap110。另外,为了提供更好的私密性,站点sta1可以使用随机化/随机的(random)mac地址连接到ap110,即站点sta1在这次重新连接程序中使用的mac地址与之前连接中使用的mac地址macsta1不同。在本实施例中,虽然站点sta1使用不同的mac地址,但是站点sta1和ap110可以使用开放认证(openauthentication)和pmksa缓存以快速建立连接,而无需使用802.1x/sae认证,即进行快速认证。具体地,参考图3,其示出了根据本发明一实施例的使用pmksa缓存在站点sta1和ap110之间建立连接的方法的流程示意图。在步骤300处,流程开始。在步骤302中,站点sta1将新mac地址macsta1new与pmkidsta1_ap混合(mix),以生成混合后的pmkid(mixedpmkid,如图3中标注的“m(macsta1new,pmkid)”)。在一实施例中,站点sta1可以对新mac地址和pmkidsta1_ap进行异或(exclusiveor,xor)运算,以生成该混合后的pmkid。然后,站点sta1使用pmkidsta1_ap相对应的pmk(成对主密钥)对该混合后的pmkid进行加密,以生成加密后的pmkid(encryptedpmkid,如图3中标注的“epmk(m(macsta1new,pmkid))”)。43.在步骤304中,站点sta1向ap110发送关联请求(associationrequest),其中,该关联请求中携带了所述加密后的pmkid(例如,对pmkidsta1_ap进行混合和/或加密处理后形成的成对主密钥标识符),例如,该关联请求的pmkid字段中包括步骤302中生成的所述加密后的pmkid。需要说明的是,该关联请求还包括站点sta1的新mac地址macsta1new,但不包括先前的(previous)mac地址macsta1,以保护设备隐私。也就是说,在站点期望重新连接至ap时,其发送的关联请求中包括随机mac地址(通常,其不同于上次/首次连接的mac地址)和pmkid。在一实施例中,关联请求中携带的pmkid是对参考pmkid进行处理后获得的pmkid,例如,混合和/或加密处理,以确保不被识别出来。在另一实施例中,关联请求中携带的pmkid是参考pmkid。可以理解地,本发明通过在关联请求中携带pmkid可以与现行的处理方式兼容。44.在步骤306中,ap110接收站点sta1的关联请求,以及,ap110判断(determine)pmkid字段内的pmkid(即上述加密后的pmkid)是否与图2a和图2b所示的缓存表内的pmkid中的任意一个匹配。可以理解地,步骤306是为了兼容不使用随机mac地址的sta(即现行的处理方式),从而通过步骤306可以直接判别出是否匹配,如果匹配,则可快速建立连接。如果是(匹配),流程进入步骤314(即确定出该缓存表中记录的与匹配的参考pmkid相对应的参考mac地址和该关联请求中的mac地址属于同一个站点);如果否(不匹配),则流程进入步骤308。在本实施例中,由于关联请求的pmkid字段包含使用混合步骤和加密步骤生成的上述加密后的pmkid,因此,关联请求中的pmkid(即上述加密后的pmkid)将不匹配缓存表中的pmkidsta1_ap,pmkidsta2_ap,...,pmkidstan_ap中的任何一个。45.在步骤308处,ap110依次使用各站点的pmk对关联请求中携带的pmkid进行解密(decrypt),以生成解密后的pmkid(decryptedpmkid)。可以理解地,对于缓存表中存储的n个条目(例如,每个条目包括参考mac地址和相应的参考pmkid),步骤308将获得n个解密后的pmkid。例如,ap110使用站点sta1的pmk解密关联请求中的pmkid(例如,上述加密后的pmkid)以生成第一个解密后的pmkid,使用站点sta2的pmk解密关联请求中的pmkid以生成第二个解密后的pmkid,……,以及,使用站点stan的pmk解密关联请求中的pmkid,以生成第n个解密后的pmkid。在本实施例中,利用站点sta1的pmk生成的第一个解密后的pmkid应该等于步骤302中生成的上述混合后的pmkid。46.在步骤310中,对于在步骤308中生成的每个解密后的pmkid,ap110将解密后的pmkid与新的mac地址macsta1new混合(例如,使用xor操作)以生成原本的pmkid(originalpmkid),以及,ap110确定该原本的pmkid(例如,n个)中的任意一个是否与匹配缓存表中的pmkidsta1_ap、pmkidsta2_ap、……、pmkidstan_ap的其中一个相匹配,如果是,则流程进入步骤314;如果否,则进入步骤316。在本实施例中,使用站点sta1的pmk生成的该原本的pmkid应该等于pmkidsta1_ap(即sta1对应的参考pmkid)。47.需要说明的是,步骤308和步骤310可以合并为一个步骤,一旦ap110发现当前处理的所述原本的pmkid与缓存表中的pmkidsta1_ap、pmkidsta2_ap、…、pmkidstan_ap的其中一者匹配,则ap110停止使用剩余的(remaining)pmk解密pmkid。例如,在本实施例中,使用站点sta1的pmk生成的所述原本的pmkid等于位于缓存表第一行(row)的pmkidsta1_ap,因此,ap110不需要使用其它站点sta2–stan的任何一个的pmk来解密pmkid,从而可以进一步节省连接时间。48.在步骤314中(即确定出该缓存表中记录的与匹配的参考pmkid相对应的参考mac地址和该关联请求中的mac地址属于同一个站点),ap110向站点sta1发送指示重连成功的关联响应(associationresponse),例如,该关联响应的状态码(statuscode)记录重连成功。也就是说,pmksa快速认证成功。另外,ap110通过用macsta1new替换macsta1来更新缓存表,这样可以保留设计上的弹性,但本发明实施例对此并不做限制。49.在步骤316中,ap110向站点sta1发送指示关联请求中的pmkid无效的关联响应,例如,关联响应的状态码记录关联请求中的pmkid是无效的(invalid)。也就是说,pmksa快速认证失败,接下来需重新执行完整认证,例如,802.1x认证、sae认证等。50.在本实施例中,在步骤314之后,由于站点sta1通过利用pmksa缓存成功连接到ap110(利用pmksa缓存快速认证成功),因此,站点sta1和ap110能够直接执行eapol(4次握手)以在站点sta1和ap110之间进行进一步通信,而无需执行802.1x/sae认证。51.综上所述,在图2a、图2b和图3所示的实施例中,站点能够有效地使用mac地址随机化(randomization)和pmksa缓存来重新连接到ap110,而无需执行802.1x/sae认证。因此,站点将具有更短的连接时间。52.需要说明的是,步骤302中的加密操作和步骤308中的解密操作是可选的,例如,站点sta1发送的关联请求的pmkid字段中可以包括通过将新mac地址macsta1new与pmkidsta1_ap混合而产生的混合后的pmkid,以及,ap110将该关联请求中携带的pmkid(如该混合后的pmkid)与该关联请求中携带的新mac地址macsta1new混合以生成原本的pmkid(如第一次连接过程中获得的参考pmkid)。这种替代设计应落入本发明的范围内。在另一变型实施例中,站点sta1可以直接使用参考pmk对参考pmkid进行加密(不利用新的mac地址执行混合操作),并在关联请求中携带加密后的pmkid。相应地,ap依次采用缓存表中的pmkid对应的pmk进行解密等操作。具体地,本发明对此不做限制。53.图4a是根据本发明另一实施例的使用sae认证在站点sta1和ap110之间建立链路的方法的流程示意图。如图4a所示,最初,站点sta1开始连接到ap110,以及,站点sta1和ap110执行sae认证,以建立链路。认证成功后,站点sta1和ap110一般会推导出pmk,并且还计算出对应于站点sta1和ap110的pmkid,其中,上述信息的集合称为pmksa(成对主密钥安全关联)。然后,站点sta1存储ap110的bssid(即ap110的mac地址,macap)及对应于站点sta1和ap110的pmkid(pmkidsta1_ap);以及,ap110将站点sta1的mac地址macsta1和相应的pmkid(pmkidsta1_ap)存储在缓存表中,其中,缓存表还包括其它站点的mac地址和相应的pmkid,例如,缓存表还包括用于站点sta2的macsta2和pmkidsta2_ap,以及,用于站点stan的macstan和pmkidstan_ap。可选地,与pmkid相对应的pmk也可以同pmkid存储在同一缓存表中。此外,在站点sta1和ap110之间的通信中,来自ap110的信标或探测响应(beaconsorproberesponses)可以具有指示ap110支持随机mac地址和pmksa缓存机制的信息元素(informationelement),以及,来自站点sta1的关联请求还可以包括指示站点sta1支持随机mac地址和pmksa缓存机制的信息元素。例如,该信息元素可以为供货商信息元素(vendorinformationelemet)。因此,ap110能够在缓存表中标记出支持这种机制的一个或多个站点。54.然后,站点sta1和ap110执行关联和eapol(4次握手),以在站点sta1和ap110之间进一步通信。55.图4a所示的推导pmksa的步骤使用sae认证。推导pmksa的步骤可以是802.1x认证,如图4b所示,即在站点sta1和后端eap认证服务器之间建立pmksa。56.在一些情况下,站点sta1由于某些原因与ap110断开连接,例如,站点sta1被带走而远离ap110。那么,如果站点sta1被再次带到靠近ap110的地方,站点sta1会自动连接到ap110。另外,为了提供更好的私密性,站点sta1使用随机mac地址连接到ap110,即站点sta1在这次重连程序中使用的mac地址与之前连接中使用的mac地址macsta1不同。在本实施例中,虽然站点sta1使用不同的mac地址,但是站点sta1和ap110可以使用开放认证和pmksa缓存来快速建立连接,而不使用802.1x/sae认证。具体地,参考图5,其示出了根据本发明一实施例的利用pmksa缓存在站点sta1和ap110之间建立连接的方法的流程示意图。在步骤500,流程开始。在步骤502中,站点sta1将新mac地址macsta1new与pmkidsta1_ap混合,以生成混合后的pmkid。在一实施例中,站点sta1可以对新mac地址和pmkidsta1_ap进行异或(xor)运算,以生成该混合后的pmkid。然后,站点sta1使用pmk(成对主密钥)对该混合后的pmkid进行加密,以生成加密后的pmkid。57.在步骤504中,站点sta1向ap110发送包括pmkid的关联请求,例如,关联请求的pmkid字段包括在步骤502中生成的上述加密后的pmkid。需要说明的是,关联请求还包括站点sta1的新mac地址macsta1new,但不包括先前的mac地址macsta1,以保护设备隐私。此外,来自站点sta1的关联请求还可以包括指示其支持随机mac地址和pmksa缓存机制的指示,例如,指示站点sta1支持随机mac地址和pmksa缓存机制的供货商信息元素。58.在步骤506中,ap110参考关联请求中的供货商信息元素来确定站点sta1是否支持随机mac地址和pmksa缓存的机制,如果是,则流程进入步骤510;如果否,则流程进入步骤508。59.在步骤508中,ap110确定位于关联请求(如关联请求的pmkid字段)内的pmkid是否与图4a和图4b所示的缓存表内的任何一个参考pmkid匹配。如果是,则流程进入步骤516;如果否,则流程进入步骤518。60.在步骤510中,ap110参考缓存表以选择支持随机mac地址和pmksa缓存机制的(一个或多个)站点的至少一部分,ap110依次使用所选站点的pmk解密上述位于关联请求中的pmkid,以生成解密后的pmkid。具体地,ap110使用站点sta1的pmk对pmkid进行解密,以生成第一个解密后pmkid,以及,使用站点stan的pmk对pmkid进行解密以生成第n个解密后的pmkid。在本实施例中,利用站点sta1的pmk生成的第一个解密后的pmkid应该等于步骤502中生成的所述混合后的pmkid。61.在步骤512中,对于在步骤510中生成的每个解密后的pmkid,ap110将解密后的pmkid与新的mac地址macsta1new混合(例如,使用xor运算),以生成原本的pmkid,以及,在步骤514中,ap110判断该原本的pmkid中的任何一个是否与缓存表中支持随机mac地址和pmksa缓存的(一个或多个)站点所对应的参考pmkid(如pmkidsta1_ap、…、pmkidstan_ap)中的其中一个匹配,如果是,则流程进入步骤516;如果否,则进入步骤518。在本实施例中,使用站点sta1的pmk生成的所述原本的pmkid应该等于pmkidsta1_ap。62.需要说明的是,步骤510和步骤512可以合并为一个步骤,一旦ap110发现当前处理的所述原本的pmkid与缓存表中支持随机mac地址和pmksa缓存的站点所对应的参考pmkid的其中一个匹配,ap110停止使用剩余的pmk来解密pmkid。具体地,在本实施例中,使用站点sta1的pmk生成的原本的pmkid等于位于缓存表第一行的pmkidsta1_ap,因此ap110不需要使用其它站点sta2–stan的任何一个的pmk解密pmkid。63.在步骤516中,ap向站点sta1发送关联响应,其中,关联响应的状态码记录重连成功。另外,ap110通过用macsta1new替换macsta1来更新缓存表。64.在步骤518中,ap向站点sta1发送关联响应,其中,关联响应的状态码记录关联请求中的pmkid是无效的。65.在本实施例中,在步骤516之后,由于站点sta1利用pmksa缓存成功连接到ap110,从而,站点sta1和ap110能够直接执行eapol(4次握手),以在站点sta1和ap110之间进行进一步通信,而无需执行802.1x/sae认证。66.需要说明的是,步骤502中的加密操作和步骤510中的解密操作是可选的,即站点sta1发送的关联请求的pmkid字段可以包括混合后的pmkid,其是通过将新mac地址macsta1new与pmkidsta1_ap混合产生的,以及,ap110将携带在关联请求中的pmkid与新mac地址macsta1new混合生成原本的pmkid。这种替代设计应落入本发明的范围内。67.图6根据本发明实施例示出了至少具有示例装置610和示例装置620的示例系统600。装置610和装置620中的每一个可以执行各种功能以实现本文中描述的允许设备使用mac地址随机化和pmksa缓存重新连接到ap的无线通信有关的方案,技术,过程和方法,包括以上描述的关于提议的各种设计,概念,方案,系统和方法。例如,装置610可以是sta1的示例实现,以及,装置620可以是ap的示例实现。68.装置610和装置620中的每一个可以是电子装置的一部分,该电子装置可以是sta或ap,诸如便携式或移动装置,可穿戴装置,无线通信装置或计算装置。例如,装置610和装置620中的每一个可被实现在智慧手机,智能手表,个人数字助理,数字相机或计算设备(诸如平板计算机,便携式计算器或笔记本计算机)中。装置610和装置620中的每一个也可以是机器型装置的一部分,该机器型装置可以是iot装置,诸如不动的或固定的装置,家用装置,有线通信装置或计算装置。例如,装置610和装置620中的每一个可被实现在智慧恒温器,智慧冰箱,智慧门锁,无线扬声器或家庭控制中心中。当被实现在网络装置中或被实现为网络装置时,装置610和/或装置620可以被实现在网络节点中,诸如wlan中的sta和/或ap。69.在一些实现中,装置610和装置620中的每一个可以以一个或多个集成电路(integrated-circuit,ic)芯片的形式实现,例如但不限于,一个或多个单核处理器,一个或多个多核处理器,一个或多个简化指令集计算(reduced-instruction-set-computing,risc)处理器,或一个或多个复杂指令集计算(complex-instruction-set-computing,cisc)处理器。在以上描述的各方案中,装置610和装置620中的每一个可以被实现在sta或ap中或被实现为sta或ap。装置610和装置620中的每一个可以分别至少包括图6中所示的那些组件中的一些,诸如处理器612和处理器622。装置610和装置620中的每一个可以进一步包括与本发明的提议方案不相关的一个或多个其它组件(例如,内部电源,显示器件和/或用户接口器件),因此,为了简化和简洁起见,这样的组件在图6所示的装置610和装置620中的每一个中未示出,且下面也不进行描述。70.在一方面,处理器612和处理器622中的每一个可以以一个或多个单核处理器、一个或多个多核处理器、一个或多个risc处理器,或者,一个或多个cisc处理器的形式实现。也就是说,尽管本文使用单数术语“处理器”来指代处理器612和处理器622,但处理器612和处理器622中的每一个在一些实现中可以包括多个处理器,以及,在根据本发明的其它实施方式中可以包括单个处理器。在另一方面,处理器612和处理器622中的每一个可以以具有电子组件的硬件(以及可选地,固体)的形式来实现,所述电子组件包括例如但不限于一个或多个晶体管、一个或多个二极管、一个或多个电容器、一个或多个电阻器、一个或多个电感器、一个或多个忆阻器,和/或,一个或多个变容二极管,其被配置和布置成根据本发明实施例实现特定目的。换句话说,在至少一些实现中,根据本发明实施例的各种实现,处理器612和处理器622中的每一个是被专门设计、布置和配置成执行特定任务的专用机器,该特定任务包括与移动通信中使用mac地址随机化和pmksa缓存重新连接到ap的方案有关。71.在一些实现中,装置610还可以包括耦接到处理器612的收发器616。收发器616能够无线地发送和接收数据。在一些实现中,装置620可进一步包括耦接到处理器622的收发器626。收发器626包括能够无线地发送和接收数据的收发器。装置610的收发器616和装置620的收发器626可以通过无线网络彼此通信。72.在一些实施方式中,装置610可以进一步包括耦接至处理器612并且能够被处理器612访问(access)并在其中存储数据的内存614。在一些实施方式中,装置620可以进一步包括耦接到处理器622并且能够被处理器622访问并在其中存储数据的内存624。内存614和内存624中的每一个可以包括一种类型的随机存取内存(random-accessmemory,ram),诸如动态ram(dynamicram,dram),静态ram(staticram,sram),晶闸管ram(thyristorram,t-ram)和/或零电容器ram(zero-capacitorram,z-ram)。替代地或附加地,内存614和内存624中的每一个可以包括一种类型的只读存储器(read-onlymemory,rom),诸如掩模rom,可程序设计rom(programmablerom,prom),可擦除可程序设计rom(erasableprogrammablerom,eprom)和/或电可擦除可程序设计rom(electricallyerasableprogrammablerom,eeprom)。替代地或另外地,内存614和内存624中的每一个可以包括一种类型的非易失性随机存取内存(non-volatilerandom-accessmemory,nvram),诸如闪存(flashmemory),固态内存(solid-statememory),铁电ram(ferroelectricram,feram),磁阻ram(magnetoresistiveram,mram)和/或相变内存(phase-changememory)。73.装置610和装置620的每一个可以是能够利用根据本发明的各种提议方案彼此通信的通信实体,其用于实现以上描述的无线通信方法。在一实施例中,装置610中的收发器和处理器被配置为:通过使用第一媒体访问控制(mac)地址及执行认证来连接至接入点(ap),以产生参考成对主密钥(pmk)和相对应的参考成对主密钥标识符(pmkid);如果该站点与该ap的连接中断且该站点尝试重新连接至该ap,生成包含该站点的第二mac地址和pmkid(例如,该pmkid是利用第二mac地址和该参考pmkid产生的)的信息的关联请求,其中,该关联请求不包含该站点的该第一mac地址;以及,向该ap发送该关联请求。在另一实施例中,装置620中的收发器和处理器被配置为:接收来自站点的关联请求;从该关联请求中读取pmkid(成对主密钥标识符)和该站点的参考媒体访问控制(mac)地址;利用该站点的该mac地址对该pmkid进行计算以得到原本的pmkid;确定该原本的pmkid是否与该缓存表中的任一参考pmkid匹配,其中,该缓存表中存储有多个mac地址和相应的参考pmkid;以及,如果该原本的pmkid与该缓存表中的其中一个参考pmkid匹配,则确定出该缓存表中记录的与匹配的参考pmkid相对应的参考mac地址和该关联请求中的mac地址属于同一个站点。其它实施例的类似描述可参考前述实施例,这里不再一一赘述。74.综上所述,在图4a、图4b、图5和图6所示的实施例中,站点能够有效地使用mac地址随机化和pmksa缓存重新连接到ap110,而无需执行802.1x/sae认证,以及,ap110可以仅使用部分站点(例如,支持随机mac地址和pmksa缓存的这部分站点)的pmk来解密携带在关联请求中的pmkid。因此,站点的连接时间会更短。另外,与图3所示的实施例相比,对于包括表明站点支持随机化mac地址和pmksa缓存的供货商信息的关联请求,ap110只需要处理与支持随机化mac地址和pmksa缓存的站点所对应的那些pmk/pmkid,而不是在步骤510、步骤512和步骤514的期间处理缓存表中的所有pmk/pmkid。因此,可以进一步缩短重连时间。75.虽然本发明已经通过示例的方式以及依据优选实施例进行了描述,但是,应当理解的是,本发明并不限于公开的实施例。相反,它旨在覆盖各种变型和类似的结构(如对于本领域技术人员将是显而易见的),例如,不同实施例中的不同特征的组合或替换。因此,所附权利要求的范围应被赋予最宽的解释,以涵盖所有的这些变型和类似的结构。当前第1页12当前第1页12
背景技术:
::2.媒体访问控制(mac)地址是一串独特的字母和数字,用于标识网络上的设备并允许它与其它设备进行通信。mac地址通常在设备制造时分配的,并且在从一个网络移动到另一个网络时通常不会更改。换句话说,mac地址历来是静态的,并且对于每个设备来说都是唯一的。但是,由于接入点(accesspoint,ap)或任何wi-fi嗅探器(sniffer)都可以在未经用户同意的情况下通过mac地址监控设备位置,因此,该独特的mac地址会对用户隐私产生不利影响。3.为了解决这个问题,提供了mac地址随机化(randomization)来允许用户设备通过使用不同的mac地址连接到ap,即mac地址随机化可以防止监听者使用mac地址建立设备活动的历史记录。虽然mac地址随机化能够增强用户隐私,但是,一些快速重连机制,例如,成对主密钥安全关联(pairwisemasterkeysecurityassociation,pmksa)缓存(caching),可能无法使用。具体来说,当设备第一次连接到ap时,设备向ap发起802.1x/sae(simultaneousauthenticationofequals,对等实体同时验证)认证,认证成功后,设备和ap将推导出(derived)的成对主密钥(pairwisemasterkey,pmk)和成对主密钥标识符(pairwisemasterkeyidentifier,pmkid)保存在内部缓存中,其中,成对主密钥(pmk)和成对主密钥标识符(pmkid)与设备的mac地址相关联。那么,如果设备由于某种原因与ap断开连接,以及,设备需要重新连接到ap,则如若设备有相同的mac地址,该设备可以简单地使用pmk和pmkid重新连接到ap,而无需802.1x/sae认证。因此,如果设备使用不同的mac地址重新连接到ap,则使用pmksa缓存重连的方法会失效,以及,需要重新进行耗时较长的802.1x/sae认证。技术实现要素:4.有鉴于此,本发明的目的之一是提供一种无线通信方法及相关的装置,其允许设备使用mac地址随机化和pmksa缓存重新连接到ap,以解决上述问题。5.根据本发明一实施例,一种无线通信方法(其适用于站点)包括以下步骤:通过使用第一媒体访问控制(mac)地址及执行认证来连接至接入点(ap),以产生参考成对主密钥(pmk)和相对应的参考成对主密钥标识符(pmkid);如果该站点与该ap的连接中断且该站点尝试重新连接至该ap,生成包含该站点的第二mac地址和与该参考pmkid相关联的pmkid(例如,该pmkid是利用第二mac地址和参考pmkid产生的)的信息的关联请求,其中,该关联请求不包含该站点的该第一mac地址;以及,向该ap发送该关联请求。6.在一些实施例中,生成包含该站点的第二mac地址和与该参考pmkid相关联的pmkid的信息的关联请求的步骤包括:将该第二mac地址与该参考pmkid混合,以生成混合后的pmkid;以及,生成包含该第二mac地址和该混合后的pmkid的关联请求。7.在一些实施例中,产生包括该站点的第二mac地址和与该参考pmkid相关联的pmkid的信息的关联请求的步骤包括:将该第二mac地址与该参考pmkid混合,以生成混合后的pmkid;使用该参考pmk对该混合后的pmkid进行加密,以生成加密后的pmkid;以及,生成包含该第二mac地址和该加密后的pmkid的关联请求。8.在一些实施例中,将该第二mac地址与该参考pmkid混合以生成混合后的pmkid的步骤包括:对该第二mac地址和该参考pmkid进行异或运算,以生成该混合后的pmkid。9.在一些实施例中,该关联请求还包括指示该站点支持随机mac地址和pmksa缓存机制的信息元素。10.根据本发明的另一实施例,一种接入点的无线通信方法包括以下步骤:接收来自站点的关联请求;从该关联请求中读取pmkid和该站点的mac地址;利用该站点的该mac地址对该pmkid进行计算以得到原本的pmkid;确定该原本的pmkid是否与该缓存表中的任一参考pmkid匹配,其中,该缓存表中存储有多个参考媒体访问控制(mac)地址和相应的参考成对主密钥标识符(pmkid);以及,如果该原本的pmkid与该缓存表中的其中一个参考pmkid匹配,则确定出该缓存表中记录的与匹配的参考pmkid相对应的参考mac地址和该关联请求中的mac地址属于同一个站点。11.在一些实施例中,利用该站点的该mac地址对该pmkid进行计算以得到原本的pmkid之前,该方法还包括:检查该关联请求中携带的该pmkid是否与该缓存表中的内容(如任一参考pmkid)匹配;其中,如果该pmkid与该缓存表中的内容不匹配,则利用该站点的该mac地址对该pmkid进行计算,以得到原本的pmkid。12.在一些实施例中,利用该站点的该mac地址对该pmkid进行计算以得到原本的pmkid的步骤包括:将该mac地址与该pmkid混合,以生成混合后的pmkid作为该原本的pmkid。13.在一些实施例中,利用该站点的该mac地址对该pmkid进行计算以得到该原本的pmkid的步骤包括:使用该缓存表中的至少一个参考pmkid相对应的pmk来解密该pmkid,以生成解密后的pmkid;以及,将该mac地址与该pmkid混合,以生成混合后的pmkid作为该原本的pmkid。14.在一些实施例中,该方法还包括:如果该原本的pmkid与该缓存表中的其中一个参考pmkid匹配,则使用该关联请求中记录的该mac地址更新该缓存表中记录的该参考mac。15.在一些实施例中,该缓存表还包括:与该参考mac地址相应的站点是否支持随机mac地址和pmksa缓存机制的信息。16.在一些实施例中,利用该站点的该mac地址对该pmkid进行计算以得到原本的pmkid的步骤包括:参照该缓存表以选择支持该随机mac地址和pmksa缓存机制的至少一个站点;使用与所选站点相对应的pmk来解密该pmkid,以生成解密后的pmkid;以及,将该mac地址与该pmkid混合,以生成混合后的pmkid作为该原本的pmkid。17.在一些实施例中,将该mac地址与该pmkid混合以产生混合后的pmkid作为该原本的pmkid的步骤包括:对该mac地址与该pmkid进行异或操作,以生成该混合后的pmkid作为该原本的pmkid。18.根据本发明的另一实施例,提供了一种通信装置,其适用于站点,其中,该通信装置包括收发器和处理器,该收发器和该处理器被配置为执行以下操作:通过使用第一媒体访问控制(mac)地址及执行认证来连接至接入点(ap),以产生参考成对主密钥(pmk)和相对应的参考成对主密钥标识符(pmkid);19.如果该站点与该ap的连接中断且该站点尝试重新连接至该ap,生成包含该站点的第二mac地址和与该参考pmkid相关联的pmkid的信息的关联请求,其中,该关联请求不包含该站点的该第一mac地址;以及,向该ap发送该关联请求。20.在一些实施例中,生成包含该站点的第二mac地址和与该参考pmkid相关联的pmkid的信息的关联请求的步骤包括:将该第二mac地址与该参考pmkid混合,以生成混合后的pmkid;使用该参考pmk对该混合后的pmkid进行加密,以生成加密后的pmkid;以及,生成包含该第二mac地址和该加密后的pmkid的关联请求。21.根据本发明的另一实施例,提供了一种通信装置,其适用于接入点,包括收发器和处理器,该收发器和处理器被配置为执行以下操作:接收来自站点的关联请求;从该关联请求中读取成对主密钥标识符(pmkid)和该站点的媒体访问控制(mac)地址;利用该站点的该mac地址对该pmkid进行计算以得到原本的pmkid;确定该原本的pmkid是否与该缓存表中的任一参考pmkid匹配,其中,该缓存表中存储有多个参考mac地址和相应的参考pmkid;以及,如果该原本的pmkid与该缓存表中的其中一个参考pmkid匹配,则确定出该缓存表中记录的与匹配的参考pmkid相对应的参考mac地址和该关联请求中的mac地址属于同一个站点。22.在一些实施例中,利用该站点的该mac地址对该pmkid进行计算以得到原本的pmkid之前,还包括执行以下操作:检查该关联请求中携带的该pmkid是否与该缓存表中的内容匹配;其中,如果该pmkid与该缓存表中的内容不匹配,则利用该站点的该mac地址对该pmkid进行计算,以得到原本的pmkid。23.在一些实施例中,利用该站点的该mac地址对该pmkid进行计算以得到该原本的pmkid的步骤包括:使用该缓存表中的至少一个参考pmkid相对应的pmk来解密该pmkid,以生成解密后的pmkid;以及,将该mac地址与该pmkid混合,以生成混合后的pmkid作为该原本的pmkid。24.本领域技术人员在阅读附图所示优选实施例的下述详细描述之后,可以毫无疑义地理解本发明的这些目的及其它目的。详细的描述将参考附图在下面的实施例中给出。附图说明25.通过阅读后续的详细描述以及参考附图所给的示例,可以更全面地理解本发明,其中:26.图1为本发明一实施例的无线通信系统的示意图。27.图2a是根据本发明一实施例的使用sae认证在站点与ap之间建立链路的方法的流程示意图。28.图2b为本发明实施例提供的一种利用802.1x认证在站点与ap之间建立链路的方法流程示意图。29.图3是根据本发明一实施例的利用pmksa缓存在站点和ap之间建立连接的方法的流程示意图。identifier,bssid)(即ap110的mac地址,macap)以及对应于站点sta1和ap110的pmkid(pmkidsta1_ap);ap110将站点sta1的mac地址macsta1和相应的pmkid(pmkidsta1_ap)存储在缓存表(cachetable)中,其中,该缓存表还包括其它站点的mac地址和相应的pmkid,例如,该缓存表还包括针对站点sta2的macsta2和pmkidsta2_ap,…,以及,针对站点stan的macstan和pmkidstan_ap。在以下描述中,存储在ap110的缓存表中的mac地址和pmkid(成对主密钥标识符)被分别称为参考(reference)mac地址和参考pmkid。需要说明的是,sae认证和pmk/pmkid的生成为本领域技术人员所熟知,因此,相关描述本文不再赘述。在另一可选实施例中,该缓存表中的每个条目还可以包括/存储该参考pmkid对应的参考pmk,但本发明对此并不做任何限制,原因在于:pmkid和pmk是成对使用的。也就是说,当ap得知pmkid时通常能够相应的得知该pmkid对应的pmk。在另一可选实施例中,该参考pmkid及其对应的参考pmk可以不位于相同的缓存表中。40.然后,站点sta1和ap110执行关联(association)和(四次握手协议,4way)基于局域网的扩展认证协议(extensibleauthenticationprotocoloverlan,eapol),以用于站点sta1和ap110之间的进一步通信,例如,进行正常的收发操作(图中标注为“eapol4way/normaltrx”)。41.图2a所示的推导pmksa的步骤使用sae认证(authentication)。在一些实施例中,推导pmksa(成对主密钥安全关联)的步骤可以是802.1x认证,如图2b所示,其在站点sta1和后端eap认证服务器之间建立了pmksa。42.在一些情况下,站点sta1由于某些原因与ap110断开连接,例如,站点sta1远离ap110。那么,如果站点sta1被再次带到靠近ap110的地方,则站点sta1将自动重新连接到ap110。另外,为了提供更好的私密性,站点sta1可以使用随机化/随机的(random)mac地址连接到ap110,即站点sta1在这次重新连接程序中使用的mac地址与之前连接中使用的mac地址macsta1不同。在本实施例中,虽然站点sta1使用不同的mac地址,但是站点sta1和ap110可以使用开放认证(openauthentication)和pmksa缓存以快速建立连接,而无需使用802.1x/sae认证,即进行快速认证。具体地,参考图3,其示出了根据本发明一实施例的使用pmksa缓存在站点sta1和ap110之间建立连接的方法的流程示意图。在步骤300处,流程开始。在步骤302中,站点sta1将新mac地址macsta1new与pmkidsta1_ap混合(mix),以生成混合后的pmkid(mixedpmkid,如图3中标注的“m(macsta1new,pmkid)”)。在一实施例中,站点sta1可以对新mac地址和pmkidsta1_ap进行异或(exclusiveor,xor)运算,以生成该混合后的pmkid。然后,站点sta1使用pmkidsta1_ap相对应的pmk(成对主密钥)对该混合后的pmkid进行加密,以生成加密后的pmkid(encryptedpmkid,如图3中标注的“epmk(m(macsta1new,pmkid))”)。43.在步骤304中,站点sta1向ap110发送关联请求(associationrequest),其中,该关联请求中携带了所述加密后的pmkid(例如,对pmkidsta1_ap进行混合和/或加密处理后形成的成对主密钥标识符),例如,该关联请求的pmkid字段中包括步骤302中生成的所述加密后的pmkid。需要说明的是,该关联请求还包括站点sta1的新mac地址macsta1new,但不包括先前的(previous)mac地址macsta1,以保护设备隐私。也就是说,在站点期望重新连接至ap时,其发送的关联请求中包括随机mac地址(通常,其不同于上次/首次连接的mac地址)和pmkid。在一实施例中,关联请求中携带的pmkid是对参考pmkid进行处理后获得的pmkid,例如,混合和/或加密处理,以确保不被识别出来。在另一实施例中,关联请求中携带的pmkid是参考pmkid。可以理解地,本发明通过在关联请求中携带pmkid可以与现行的处理方式兼容。44.在步骤306中,ap110接收站点sta1的关联请求,以及,ap110判断(determine)pmkid字段内的pmkid(即上述加密后的pmkid)是否与图2a和图2b所示的缓存表内的pmkid中的任意一个匹配。可以理解地,步骤306是为了兼容不使用随机mac地址的sta(即现行的处理方式),从而通过步骤306可以直接判别出是否匹配,如果匹配,则可快速建立连接。如果是(匹配),流程进入步骤314(即确定出该缓存表中记录的与匹配的参考pmkid相对应的参考mac地址和该关联请求中的mac地址属于同一个站点);如果否(不匹配),则流程进入步骤308。在本实施例中,由于关联请求的pmkid字段包含使用混合步骤和加密步骤生成的上述加密后的pmkid,因此,关联请求中的pmkid(即上述加密后的pmkid)将不匹配缓存表中的pmkidsta1_ap,pmkidsta2_ap,...,pmkidstan_ap中的任何一个。45.在步骤308处,ap110依次使用各站点的pmk对关联请求中携带的pmkid进行解密(decrypt),以生成解密后的pmkid(decryptedpmkid)。可以理解地,对于缓存表中存储的n个条目(例如,每个条目包括参考mac地址和相应的参考pmkid),步骤308将获得n个解密后的pmkid。例如,ap110使用站点sta1的pmk解密关联请求中的pmkid(例如,上述加密后的pmkid)以生成第一个解密后的pmkid,使用站点sta2的pmk解密关联请求中的pmkid以生成第二个解密后的pmkid,……,以及,使用站点stan的pmk解密关联请求中的pmkid,以生成第n个解密后的pmkid。在本实施例中,利用站点sta1的pmk生成的第一个解密后的pmkid应该等于步骤302中生成的上述混合后的pmkid。46.在步骤310中,对于在步骤308中生成的每个解密后的pmkid,ap110将解密后的pmkid与新的mac地址macsta1new混合(例如,使用xor操作)以生成原本的pmkid(originalpmkid),以及,ap110确定该原本的pmkid(例如,n个)中的任意一个是否与匹配缓存表中的pmkidsta1_ap、pmkidsta2_ap、……、pmkidstan_ap的其中一个相匹配,如果是,则流程进入步骤314;如果否,则进入步骤316。在本实施例中,使用站点sta1的pmk生成的该原本的pmkid应该等于pmkidsta1_ap(即sta1对应的参考pmkid)。47.需要说明的是,步骤308和步骤310可以合并为一个步骤,一旦ap110发现当前处理的所述原本的pmkid与缓存表中的pmkidsta1_ap、pmkidsta2_ap、…、pmkidstan_ap的其中一者匹配,则ap110停止使用剩余的(remaining)pmk解密pmkid。例如,在本实施例中,使用站点sta1的pmk生成的所述原本的pmkid等于位于缓存表第一行(row)的pmkidsta1_ap,因此,ap110不需要使用其它站点sta2–stan的任何一个的pmk来解密pmkid,从而可以进一步节省连接时间。48.在步骤314中(即确定出该缓存表中记录的与匹配的参考pmkid相对应的参考mac地址和该关联请求中的mac地址属于同一个站点),ap110向站点sta1发送指示重连成功的关联响应(associationresponse),例如,该关联响应的状态码(statuscode)记录重连成功。也就是说,pmksa快速认证成功。另外,ap110通过用macsta1new替换macsta1来更新缓存表,这样可以保留设计上的弹性,但本发明实施例对此并不做限制。49.在步骤316中,ap110向站点sta1发送指示关联请求中的pmkid无效的关联响应,例如,关联响应的状态码记录关联请求中的pmkid是无效的(invalid)。也就是说,pmksa快速认证失败,接下来需重新执行完整认证,例如,802.1x认证、sae认证等。50.在本实施例中,在步骤314之后,由于站点sta1通过利用pmksa缓存成功连接到ap110(利用pmksa缓存快速认证成功),因此,站点sta1和ap110能够直接执行eapol(4次握手)以在站点sta1和ap110之间进行进一步通信,而无需执行802.1x/sae认证。51.综上所述,在图2a、图2b和图3所示的实施例中,站点能够有效地使用mac地址随机化(randomization)和pmksa缓存来重新连接到ap110,而无需执行802.1x/sae认证。因此,站点将具有更短的连接时间。52.需要说明的是,步骤302中的加密操作和步骤308中的解密操作是可选的,例如,站点sta1发送的关联请求的pmkid字段中可以包括通过将新mac地址macsta1new与pmkidsta1_ap混合而产生的混合后的pmkid,以及,ap110将该关联请求中携带的pmkid(如该混合后的pmkid)与该关联请求中携带的新mac地址macsta1new混合以生成原本的pmkid(如第一次连接过程中获得的参考pmkid)。这种替代设计应落入本发明的范围内。在另一变型实施例中,站点sta1可以直接使用参考pmk对参考pmkid进行加密(不利用新的mac地址执行混合操作),并在关联请求中携带加密后的pmkid。相应地,ap依次采用缓存表中的pmkid对应的pmk进行解密等操作。具体地,本发明对此不做限制。53.图4a是根据本发明另一实施例的使用sae认证在站点sta1和ap110之间建立链路的方法的流程示意图。如图4a所示,最初,站点sta1开始连接到ap110,以及,站点sta1和ap110执行sae认证,以建立链路。认证成功后,站点sta1和ap110一般会推导出pmk,并且还计算出对应于站点sta1和ap110的pmkid,其中,上述信息的集合称为pmksa(成对主密钥安全关联)。然后,站点sta1存储ap110的bssid(即ap110的mac地址,macap)及对应于站点sta1和ap110的pmkid(pmkidsta1_ap);以及,ap110将站点sta1的mac地址macsta1和相应的pmkid(pmkidsta1_ap)存储在缓存表中,其中,缓存表还包括其它站点的mac地址和相应的pmkid,例如,缓存表还包括用于站点sta2的macsta2和pmkidsta2_ap,以及,用于站点stan的macstan和pmkidstan_ap。可选地,与pmkid相对应的pmk也可以同pmkid存储在同一缓存表中。此外,在站点sta1和ap110之间的通信中,来自ap110的信标或探测响应(beaconsorproberesponses)可以具有指示ap110支持随机mac地址和pmksa缓存机制的信息元素(informationelement),以及,来自站点sta1的关联请求还可以包括指示站点sta1支持随机mac地址和pmksa缓存机制的信息元素。例如,该信息元素可以为供货商信息元素(vendorinformationelemet)。因此,ap110能够在缓存表中标记出支持这种机制的一个或多个站点。54.然后,站点sta1和ap110执行关联和eapol(4次握手),以在站点sta1和ap110之间进一步通信。55.图4a所示的推导pmksa的步骤使用sae认证。推导pmksa的步骤可以是802.1x认证,如图4b所示,即在站点sta1和后端eap认证服务器之间建立pmksa。56.在一些情况下,站点sta1由于某些原因与ap110断开连接,例如,站点sta1被带走而远离ap110。那么,如果站点sta1被再次带到靠近ap110的地方,站点sta1会自动连接到ap110。另外,为了提供更好的私密性,站点sta1使用随机mac地址连接到ap110,即站点sta1在这次重连程序中使用的mac地址与之前连接中使用的mac地址macsta1不同。在本实施例中,虽然站点sta1使用不同的mac地址,但是站点sta1和ap110可以使用开放认证和pmksa缓存来快速建立连接,而不使用802.1x/sae认证。具体地,参考图5,其示出了根据本发明一实施例的利用pmksa缓存在站点sta1和ap110之间建立连接的方法的流程示意图。在步骤500,流程开始。在步骤502中,站点sta1将新mac地址macsta1new与pmkidsta1_ap混合,以生成混合后的pmkid。在一实施例中,站点sta1可以对新mac地址和pmkidsta1_ap进行异或(xor)运算,以生成该混合后的pmkid。然后,站点sta1使用pmk(成对主密钥)对该混合后的pmkid进行加密,以生成加密后的pmkid。57.在步骤504中,站点sta1向ap110发送包括pmkid的关联请求,例如,关联请求的pmkid字段包括在步骤502中生成的上述加密后的pmkid。需要说明的是,关联请求还包括站点sta1的新mac地址macsta1new,但不包括先前的mac地址macsta1,以保护设备隐私。此外,来自站点sta1的关联请求还可以包括指示其支持随机mac地址和pmksa缓存机制的指示,例如,指示站点sta1支持随机mac地址和pmksa缓存机制的供货商信息元素。58.在步骤506中,ap110参考关联请求中的供货商信息元素来确定站点sta1是否支持随机mac地址和pmksa缓存的机制,如果是,则流程进入步骤510;如果否,则流程进入步骤508。59.在步骤508中,ap110确定位于关联请求(如关联请求的pmkid字段)内的pmkid是否与图4a和图4b所示的缓存表内的任何一个参考pmkid匹配。如果是,则流程进入步骤516;如果否,则流程进入步骤518。60.在步骤510中,ap110参考缓存表以选择支持随机mac地址和pmksa缓存机制的(一个或多个)站点的至少一部分,ap110依次使用所选站点的pmk解密上述位于关联请求中的pmkid,以生成解密后的pmkid。具体地,ap110使用站点sta1的pmk对pmkid进行解密,以生成第一个解密后pmkid,以及,使用站点stan的pmk对pmkid进行解密以生成第n个解密后的pmkid。在本实施例中,利用站点sta1的pmk生成的第一个解密后的pmkid应该等于步骤502中生成的所述混合后的pmkid。61.在步骤512中,对于在步骤510中生成的每个解密后的pmkid,ap110将解密后的pmkid与新的mac地址macsta1new混合(例如,使用xor运算),以生成原本的pmkid,以及,在步骤514中,ap110判断该原本的pmkid中的任何一个是否与缓存表中支持随机mac地址和pmksa缓存的(一个或多个)站点所对应的参考pmkid(如pmkidsta1_ap、…、pmkidstan_ap)中的其中一个匹配,如果是,则流程进入步骤516;如果否,则进入步骤518。在本实施例中,使用站点sta1的pmk生成的所述原本的pmkid应该等于pmkidsta1_ap。62.需要说明的是,步骤510和步骤512可以合并为一个步骤,一旦ap110发现当前处理的所述原本的pmkid与缓存表中支持随机mac地址和pmksa缓存的站点所对应的参考pmkid的其中一个匹配,ap110停止使用剩余的pmk来解密pmkid。具体地,在本实施例中,使用站点sta1的pmk生成的原本的pmkid等于位于缓存表第一行的pmkidsta1_ap,因此ap110不需要使用其它站点sta2–stan的任何一个的pmk解密pmkid。63.在步骤516中,ap向站点sta1发送关联响应,其中,关联响应的状态码记录重连成功。另外,ap110通过用macsta1new替换macsta1来更新缓存表。64.在步骤518中,ap向站点sta1发送关联响应,其中,关联响应的状态码记录关联请求中的pmkid是无效的。65.在本实施例中,在步骤516之后,由于站点sta1利用pmksa缓存成功连接到ap110,从而,站点sta1和ap110能够直接执行eapol(4次握手),以在站点sta1和ap110之间进行进一步通信,而无需执行802.1x/sae认证。66.需要说明的是,步骤502中的加密操作和步骤510中的解密操作是可选的,即站点sta1发送的关联请求的pmkid字段可以包括混合后的pmkid,其是通过将新mac地址macsta1new与pmkidsta1_ap混合产生的,以及,ap110将携带在关联请求中的pmkid与新mac地址macsta1new混合生成原本的pmkid。这种替代设计应落入本发明的范围内。67.图6根据本发明实施例示出了至少具有示例装置610和示例装置620的示例系统600。装置610和装置620中的每一个可以执行各种功能以实现本文中描述的允许设备使用mac地址随机化和pmksa缓存重新连接到ap的无线通信有关的方案,技术,过程和方法,包括以上描述的关于提议的各种设计,概念,方案,系统和方法。例如,装置610可以是sta1的示例实现,以及,装置620可以是ap的示例实现。68.装置610和装置620中的每一个可以是电子装置的一部分,该电子装置可以是sta或ap,诸如便携式或移动装置,可穿戴装置,无线通信装置或计算装置。例如,装置610和装置620中的每一个可被实现在智慧手机,智能手表,个人数字助理,数字相机或计算设备(诸如平板计算机,便携式计算器或笔记本计算机)中。装置610和装置620中的每一个也可以是机器型装置的一部分,该机器型装置可以是iot装置,诸如不动的或固定的装置,家用装置,有线通信装置或计算装置。例如,装置610和装置620中的每一个可被实现在智慧恒温器,智慧冰箱,智慧门锁,无线扬声器或家庭控制中心中。当被实现在网络装置中或被实现为网络装置时,装置610和/或装置620可以被实现在网络节点中,诸如wlan中的sta和/或ap。69.在一些实现中,装置610和装置620中的每一个可以以一个或多个集成电路(integrated-circuit,ic)芯片的形式实现,例如但不限于,一个或多个单核处理器,一个或多个多核处理器,一个或多个简化指令集计算(reduced-instruction-set-computing,risc)处理器,或一个或多个复杂指令集计算(complex-instruction-set-computing,cisc)处理器。在以上描述的各方案中,装置610和装置620中的每一个可以被实现在sta或ap中或被实现为sta或ap。装置610和装置620中的每一个可以分别至少包括图6中所示的那些组件中的一些,诸如处理器612和处理器622。装置610和装置620中的每一个可以进一步包括与本发明的提议方案不相关的一个或多个其它组件(例如,内部电源,显示器件和/或用户接口器件),因此,为了简化和简洁起见,这样的组件在图6所示的装置610和装置620中的每一个中未示出,且下面也不进行描述。70.在一方面,处理器612和处理器622中的每一个可以以一个或多个单核处理器、一个或多个多核处理器、一个或多个risc处理器,或者,一个或多个cisc处理器的形式实现。也就是说,尽管本文使用单数术语“处理器”来指代处理器612和处理器622,但处理器612和处理器622中的每一个在一些实现中可以包括多个处理器,以及,在根据本发明的其它实施方式中可以包括单个处理器。在另一方面,处理器612和处理器622中的每一个可以以具有电子组件的硬件(以及可选地,固体)的形式来实现,所述电子组件包括例如但不限于一个或多个晶体管、一个或多个二极管、一个或多个电容器、一个或多个电阻器、一个或多个电感器、一个或多个忆阻器,和/或,一个或多个变容二极管,其被配置和布置成根据本发明实施例实现特定目的。换句话说,在至少一些实现中,根据本发明实施例的各种实现,处理器612和处理器622中的每一个是被专门设计、布置和配置成执行特定任务的专用机器,该特定任务包括与移动通信中使用mac地址随机化和pmksa缓存重新连接到ap的方案有关。71.在一些实现中,装置610还可以包括耦接到处理器612的收发器616。收发器616能够无线地发送和接收数据。在一些实现中,装置620可进一步包括耦接到处理器622的收发器626。收发器626包括能够无线地发送和接收数据的收发器。装置610的收发器616和装置620的收发器626可以通过无线网络彼此通信。72.在一些实施方式中,装置610可以进一步包括耦接至处理器612并且能够被处理器612访问(access)并在其中存储数据的内存614。在一些实施方式中,装置620可以进一步包括耦接到处理器622并且能够被处理器622访问并在其中存储数据的内存624。内存614和内存624中的每一个可以包括一种类型的随机存取内存(random-accessmemory,ram),诸如动态ram(dynamicram,dram),静态ram(staticram,sram),晶闸管ram(thyristorram,t-ram)和/或零电容器ram(zero-capacitorram,z-ram)。替代地或附加地,内存614和内存624中的每一个可以包括一种类型的只读存储器(read-onlymemory,rom),诸如掩模rom,可程序设计rom(programmablerom,prom),可擦除可程序设计rom(erasableprogrammablerom,eprom)和/或电可擦除可程序设计rom(electricallyerasableprogrammablerom,eeprom)。替代地或另外地,内存614和内存624中的每一个可以包括一种类型的非易失性随机存取内存(non-volatilerandom-accessmemory,nvram),诸如闪存(flashmemory),固态内存(solid-statememory),铁电ram(ferroelectricram,feram),磁阻ram(magnetoresistiveram,mram)和/或相变内存(phase-changememory)。73.装置610和装置620的每一个可以是能够利用根据本发明的各种提议方案彼此通信的通信实体,其用于实现以上描述的无线通信方法。在一实施例中,装置610中的收发器和处理器被配置为:通过使用第一媒体访问控制(mac)地址及执行认证来连接至接入点(ap),以产生参考成对主密钥(pmk)和相对应的参考成对主密钥标识符(pmkid);如果该站点与该ap的连接中断且该站点尝试重新连接至该ap,生成包含该站点的第二mac地址和pmkid(例如,该pmkid是利用第二mac地址和该参考pmkid产生的)的信息的关联请求,其中,该关联请求不包含该站点的该第一mac地址;以及,向该ap发送该关联请求。在另一实施例中,装置620中的收发器和处理器被配置为:接收来自站点的关联请求;从该关联请求中读取pmkid(成对主密钥标识符)和该站点的参考媒体访问控制(mac)地址;利用该站点的该mac地址对该pmkid进行计算以得到原本的pmkid;确定该原本的pmkid是否与该缓存表中的任一参考pmkid匹配,其中,该缓存表中存储有多个mac地址和相应的参考pmkid;以及,如果该原本的pmkid与该缓存表中的其中一个参考pmkid匹配,则确定出该缓存表中记录的与匹配的参考pmkid相对应的参考mac地址和该关联请求中的mac地址属于同一个站点。其它实施例的类似描述可参考前述实施例,这里不再一一赘述。74.综上所述,在图4a、图4b、图5和图6所示的实施例中,站点能够有效地使用mac地址随机化和pmksa缓存重新连接到ap110,而无需执行802.1x/sae认证,以及,ap110可以仅使用部分站点(例如,支持随机mac地址和pmksa缓存的这部分站点)的pmk来解密携带在关联请求中的pmkid。因此,站点的连接时间会更短。另外,与图3所示的实施例相比,对于包括表明站点支持随机化mac地址和pmksa缓存的供货商信息的关联请求,ap110只需要处理与支持随机化mac地址和pmksa缓存的站点所对应的那些pmk/pmkid,而不是在步骤510、步骤512和步骤514的期间处理缓存表中的所有pmk/pmkid。因此,可以进一步缩短重连时间。75.虽然本发明已经通过示例的方式以及依据优选实施例进行了描述,但是,应当理解的是,本发明并不限于公开的实施例。相反,它旨在覆盖各种变型和类似的结构(如对于本领域技术人员将是显而易见的),例如,不同实施例中的不同特征的组合或替换。因此,所附权利要求的范围应被赋予最宽的解释,以涵盖所有的这些变型和类似的结构。当前第1页12当前第1页12
再多了解一些
本文用于创业者技术爱好者查询,仅供学习研究,如用于商业用途,请联系技术所有人。
