使MAC地址模糊化 |
|||||||
| 申请号 | CN201380044591.6 | 申请日 | 2013-08-02 | 公开(公告)号 | CN104604206A | 公开(公告)日 | 2015-05-06 |
| 申请人 | 高通股份有限公司; | 发明人 | S·P·阿伯拉翰; G·切瑞安; R·德维格特; | ||||
| 摘要 | 本文描述了用于在无线通信设备中传送和接收发现和寻呼消息的方法、设备和 计算机程序 产品。在一个方面,一种能在无线通信系统中操作的无线装置包括:处理器,配置成通过生成随机数和包括第一瞬时密钥的瞬时地址模糊化密钥来模糊 帧 的媒体接入控制地址,其中该瞬时地址模糊化密钥是地址模糊化密钥和该随机数的函数;将该随机数包括在该帧的地址模糊化报头字段中;以及用新第一地址来替代该帧的地址字段中的原始第一地址,该新第一地址是该原始第一地址和第一瞬时密钥的函数。该处理器被进一步配置成在该帧的第一字段中包括对该模糊化的指示。该无线装置进一步包括被配置成向接收设备传送该帧的发射机。 | ||||||
| 权利要求 | 1.一种能在无线通信系统中操作的无线装置,包括: |
||||||
| 说明书全文 | 使MAC地址模糊化[0001] 本申请要求于2012年8月29日提交的题为“SYSTEMS AND METHODS FOR SECURELY TRANSMITTING AND RECEIVING DISCOVERY AND PAGING MESSAGES(用于安全地传送和接收发现和寻呼消息的系统和方法)”的美国临时申请S/N.61/694,536的优先权,该临时申请已转让给本申请的受让人并通过援引全部纳入于此。本申请进一步要求于2012年10月22日提交的题为“SYSTEMS AND METHODS FOR SECURELY TRANSMITTING AND RECEIVING DISCOVERY AND PAGING MESSAGES(用于安全地传送和接收发现和寻呼消息的系统和方法)”的美国临时申请S/N.61/717,014的优先权,该临时申请已转让给本申请的受让人并通过援引全部纳入于此。 [0002] 背景 [0003] 领域 [0004] 本申请一般涉及无线通信,并且尤其涉及用于安全地传送和接收发现和寻呼消息的系统、方法和设备。 [0005] 背景 [0006] 在许多电信系统中,通信网络被用于在若干个空间上分开的交互设备之间交换消息。网络可根据地理范围来分类,该地理范围可以例如是城市区域、局部区域、或者个人区域。此类网络可分别被指定为广域网(WAN)、城域网(MAN)、局域网(LAN)、无线局域网(WLAN)、或个域网(PAN)。网络还根据用于互连各种网络节点和设备的交换/路由技术(例如,电路交换-分组交换)、用于传输的物理介质的类型(例如,有线-无线)、和所使用的通信协议集(例如,网际协议集、SONET(同步光学联网)、以太网等)而有所不同。 [0007] 当网络元件是移动的并由此具有动态连通性需求时,或者在网络架构以自组织(ad hoc)拓扑而非固定拓扑来形成的情况下,无线网络往往是优选的。无线网络使用无线电、微波、红外、光等频带中的电磁波以非制导传播模式来采用无形的物理介质。在与固定的有线网络相比较时,无线网络有利地促成用户移动性和快速的现场部署。 [0008] 无线网络中的设备可以向和从彼此传送和/或接收信息。该信息可包括分组,其在一些方面可被称为数据单元。分组可包括帮助通过网络来路由分组、标识分组中的数据、处理分组等的开销信息(例如,报头信息、分组性质等)。分组可进一步包括可在分组的有效载荷中携带的数据,诸如用户数据、多媒体内容等。分组可附加地被用于引入在介质上通信的两个不同设备。通信介质可由多个设备共享并且可能被寻求滥用(例如,截取、重放等)所传达的分组的潜在有害设备所监视。因此,期望有用于保护经由介质传送和/或接收的分组或消息的通信的安全的改进系统、方法和设备。 [0009] 概述 [0010] 本文所讨论的系统、方法、设备和计算机程序产品各自具有若干方面,其中并非仅靠任何单一方面来负责其期望属性。在不限定如所附权利要求所表达的本发明的范围的情况下,以下简要地讨论一些特征。在考虑此讨论后,并且尤其是在阅读了题为“详细描述”的章节之后,将理解本发明的有利特征如何包括在介质上引入设备时降低的功耗。 [0011] 本公开的一个方面是能在无线通信系统中操作的无线装置,该无线装置包括被配置成通过以下操作来模糊帧的媒体接入控制地址的处理器:生成随机数和包括第一瞬时密钥的瞬时地址模糊化密钥,其中该瞬时地址模糊化密钥是地址模糊化密钥和该随机数的函数;在该帧的地址模糊化报头字段中包括该随机数;以及用新第一地址来替代该帧的地址字段中的原始第一地址,该新第一地址是该原始第一地址和第一瞬时密钥的函数。该处理器被进一步配置成在该帧的第一字段中包括对该模糊化的指示。该无线装置进一步包括被配置成向接收设备传送该帧的发射机。 [0012] 本公开的另一方面是一种在无线通信系统中安全地传送分组的方法,包括通过以下操作来模糊帧的媒体接入控制地址:生成随机数和包括第一瞬时密钥的瞬时地址模糊化密钥,其中该瞬时地址模糊化密钥是地址模糊化密钥和该随机数的函数;在该帧的地址模糊化报头字段中包括该随机数;以及用新第一地址来替代该帧的地址字段中的原始第一地址,该新第一地址是该原始第一地址和第一瞬时密钥的函数。该方法进一步包括在该帧的第一字段中包括对此模糊化的指示以及向接收设备传送该帧。 [0013] 本公开的又一方面是一种能在无线通信系统中操作的无线装置,该无线装置包括用于通过以下操作来模糊帧的媒体接入控制地址的装置:生成随机数和包括第一瞬时密钥的瞬时地址模糊化密钥,其中该瞬时地址模糊化密钥是地址模糊化密钥和该随机数的函数;在该帧的地址模糊化报头字段中包括该随机数;以及用新第一地址来替代该帧的地址字段中的原始第一地址,该新第一地址是该原始第一地址和第一瞬时密钥的函数。该无线装置进一步包括用于在该帧的第一字段中包括对该模糊化的指示的装置以及用于向接收设备传送该帧的装置。 [0014] 本公开的又一方面是一种计算机程序产品,包括:计算机可读介质。该计算机可读介质包括在由计算机执行时使该计算机模糊帧的媒体接入控制地址的代码,包括:用于生成随机数和包括第一瞬时密钥的瞬时地址模糊化密钥的代码,其中该瞬时地址模糊化密钥是地址模糊化密钥和该随机数的函数;用于在该帧的地址模糊化报头字段中包括该随机数的代码;以及用于用新第一地址来替代该帧的地址字段中的原始第一地址的代码,该新第一地址是该原始第一地址和第一瞬时密钥的函数。该计算机可读介质进一步包括在由计算机执行时使该计算机在该帧的第一字段中包括对该模糊化的指示以及向接收设备传送该帧的代码。 [0016] 图1解说了其中可采用本公开的各方面的无线通信系统的示例。 [0017] 图2解说了可在图1的无线通信系统内采用的无线设备的功能框图。 [0018] 图3a解说了根据本公开的各方面的无线通信系统中的示例性通信时间线。 [0019] 图3b是根据本公开的各方面的在无线通信系统中发现设备的示例性过程的流程图。 [0020] 图3c是根据本公开的各方面的在无线通信系统中查询设备的示例性过程的流程图。 [0021] 图4解说了可在图2的无线设备内采用的安全性系统的功能框图。 [0022] 图5解说了根据本公开的各方面的发现分组的示例性部分。 [0023] 图5a解说了根据本公开的各方面的示例性发现分组。 [0025] 图7解说了另一示例性信号流图,该示例性信号流图解说在图1中解说的实体间交换的信号流。 [0026] 图8解说了另一示例性信号流图,该示例性信号流图解说在图1中解说的实体间交换的信号流。 [0027] 图9解说了一功能框图,该功能性框图解说一个或多个媒体接入控制地址的模糊化。 [0028] 图10是根据本公开的各方面的在无线通信系统中安全地传送分组的示例性过程的流程图。 [0029] 图11是可在图1的无线通信系统内采用的示例性无线设备的功能框图。 [0030] 图12是根据本公开的各方面的在无线通信系统中安全地传送分组的另一示例性过程的流程图。 [0031] 图13是可在图1的无线通信系统内采用的示例性无线设备的功能框图。 [0032] 图14是根据本公开的各方面的在无线通信系统中使用接入点来安全地传送分组的另一示例性过程的流程图。 [0033] 图15是可在图1的无线通信系统内采用的示例性无线设备的功能框图。 [0034] 图16是根据本公开的各方面的在无线通信系统中使用接入点来安全地传送分组的另一示例性过程的流程图。 [0035] 图17是可在图1的无线通信系统内采用的示例性无线设备的功能框图。 [0036] 详细描述 [0037] 本文使用词语“示例性”来意指“用作示例、实例或解说”。本文中描述为“示例性”的任何实施例不必被解释为优于或胜过其他实施例。以下参照附图更全面地描述本新颖系统、装置和方法的各种方面。然而,本公开可用许多不同形式来实施并且不应解释为被限定于本公开通篇给出的任何具体结构或功能。确切而言,提供这些方面是为了使本公开将是透彻和完整的,并且其将向本领域技术人员完全传达本公开的范围。基于本文中的教导,本领域技术人员应领会到,本公开的范围旨在覆盖本文中公开的这些新颖的系统、装置和方法的任何方面,不论其是独立实现的还是与本发明的任何其他方面组合实现的。例如,可以使用本文所阐述的任何数目的方面来实现装置或实践方法。另外,本发明的范围旨在覆盖使用作为本文中所阐述的本发明各种方面的补充或者与之不同的其他结构、功能性、或者结构及功能性来实践的装置或方法。应当理解,本文披露的任何方面可以由权利要求的一个或多个要素来实施。 [0038] 尽管本文描述了特定方面,但这些方面的众多变体和置换落在本公开的范围之内。尽管提到了优选方面的一些益处和优点,但本公开的范围并非旨在被限定于特定益处、用途或目标。确切而言,本公开的各方面旨在宽泛地适用于不同的无线技术、系统配置、网络、和传输协议,其中一些藉由示例在附图和以下对优选方面的描述中解说。详细描述和附图仅仅解说本公开而非限定本公开,本公开的范围由所附权利要求及其等效技术方案来定义。 [0039] 流行的无线网络技术可包括各种类型的无线局域网(WLAN)。WLAN可被用于采用广泛使用的联网协议来将近旁设备互连在一起。本文中所描述的各个方面可应用于任何通信标准,诸如无线协议。 [0040] 在一些实现中,WLAN包括作为接入无线网络的组件的各种设备。例如,可以有两种类型的设备:接入点(“AP”)和客户端(亦称为站,或“STA”)。一般而言,AP可用作WLAN的中枢或基站,而STA用作WLAN的用户。例如,STA可以是膝上型计算机、个人数字助理(PDA)、移动电话等。在一示例中,STA经由遵循WiFi(例如,IEEE 802.11协议)的无线链路连接到AP以获得到因特网或到其它广域网的一般连通性。在一些实现中,STA也可被用作AP。 [0041] 接入点(“AP”)还可包括、被实现为、或被称为B节点、无线电网络控制器(“RNC”)、演进型B节点(eNodeB)、基站控制器(“BSC”)、基收发机站(“BTS”)、基站(“BS”)、收发机功能(“TF”)、无线电路由器、无线电收发机或其他某个术语。 [0042] 站“STA”还可包括、被实现为、或被称为接入终端(“AT”)、订户站、订户单元、移动站、远程站、远程终端、用户终端、用户代理、用户设备、用户装备或其他某个术语。在一些实现中,接入终端可包括蜂窝电话、无绳电话、会话发起协议(“SIP”)话机、无线本地环路(“WLL”)站、个人数字助理(“PDA”)、具有无线连接能力的手持式设备、或连接至无线调制解调器的其他某种合适的处理设备或无线设备。相应地,本文所教导的一个或多个方面可被纳入到电话(例如,蜂窝电话或智能电话)、计算机(例如,膝上型设备)、便携式通信设备、手持机、便携式计算设备(例如,个人数据助理)、娱乐设备(例如,音乐或视频设备、或卫星无线电)、游戏设备或系统、全球定位系统设备、或被配置成经由无线介质通信的任何其他合适的设备中。 [0043] 设备(诸如一群站(STA))例如可被用于邻域知悉性联网,或者社交WiFi联网。例如,网络内的各个STA可在设备到设备(例如,对等通信)的基础上关于每一个STA支持的应用来彼此通信。在社交Wi-Fi网络中使用的发现协议使STA能够广告自身(例如,通过发送发现分组)以及发现由其它STA提供的服务(例如,通过发送寻呼或查询分组)而同时确保安全通信和低功耗是期望的。应注意,发现分组还可被称为发现消息或发现帧。还应注意,寻呼或查询分组还可被称为寻呼或查询消息或寻呼或查询帧。 [0044] 图1解说了其中可采用本公开的各方面的无线通信系统100的示例。无线通信系统100可按照无线标准(诸如802.11标准)来操作。无线通信系统100可包括与STA 106通信的AP 104。在一些方面,无线通信系统100可包括一个以上AP。另外,STA 106可与其它STA 106通信。作为示例,第一STA 106a可与第二STA 106b通信。作为另一示例,第一STA 106a可与第三STA 106c通信,尽管图1中并未解说这一通信链路。 [0045] 可以将各种过程和方法用于无线通信系统100中在AP 104与STA 106之间以及在个体STA(诸如第一STA 106a)与另一个体STA(诸如第二STA 106b)之间的传输。例如,可以根据OFDM/OFDMA技术发送和接收信号。如果是这种情形,则无线通信系统100可以被称为OFDM/OFDMA系统。替换地,可以根据CDMA技术在AP 104与STA 106之间以及在个体STA(诸如第一STA106a)与另一个体STA(诸如第二STA 106b)之间发送和接收信号。如果是这种情形,则无线通信系统100可被称为CDMA系统。 [0046] 促成从AP 104至一个或多个STA 106的传输的通信链路可被称为下行链路(DL)108,而促成从一个或多个STA 106至AP 104的传输的通信链路可被称为上行链路(UL)110。替换地,下行链路108可被称为前向链路或前向信道,而上行链路110可被称为反向链路或反向信道。 [0047] 通信链路可在各STA之间被建立,诸如在社交Wi-Fi联网期间。图1中解说了各STA之间的一些可能通信链路。作为示例,通信链路112可促成从第一STA 106a到第二STA106b的传输。另一通信链路114可促成从第二STA106b到第一STA 106a的传输。 [0048] AP 104可充当基站并提供基础服务区域(BSA)102中的无线通信覆盖。AP 104连同与AP 104相关联并使用AP 104来无线通信的STA 106一起可被称为基本服务集(BSS)。应注意,无线通信系统100可以不具有中央AP 104,而是可以作为STA 106之间的对等网络起作用。相应地,本文中所描述的AP104的功能可替换地由一个或多个STA 106来执行。 [0049] 图2解说了可在无线通信系统100内可采用的无线设备202中利用的各种组件。无线设备202是可被配置成实现本文描述的各种方法的设备的示例。例如,无线设备202可包括AP 104或者各STA 106中的一个STA。 [0050] 无线设备202可包括控制无线设备202的操作的处理器204。处理器204也可被称为中央处理单元(CPU)。可包括只读存储器(ROM)和随机存取存储器(RAM)两者的存储器206可以向处理器204提供指令和数据。存储器206的一部分还可包括非易失性随机存取存储器(NVRAM)。处理器204通常基于存储器206内存储的程序指令来执行逻辑和算术运算。存储器206中的指令可以是可执行的以实现本文描述的方法。 [0051] 处理器204可包括用一个或多个处理器实现的处理系统或者可以是其组件。这一个或多个处理器可以用通用微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、可编程逻辑器件(PLD)、控制器、状态机、选通逻辑、分立硬件组件、专用硬件有限状态机、或能够对信息执行演算或其他操纵的任何其他合适实体的任何组合来实现。 [0052] 处理系统还可包括用于存储软件的机器可读介质。软件应当被宽泛地解释成意指任何类型的指令,无论其被称作软件、固件、中间件、微代码、硬件描述语言、或是其他。指令可包括代码(例如,呈源代码格式、二进制代码格式、可执行代码格式、或任何其他合适的代码格式)。这些指令在由该一个或多个处理器执行时使处理系统执行本文描述的各种功能。 [0053] 无线设备202还可包括外壳208,该外壳208可包括发射机210和/或接收机212以允许在无线设备202与远程位置之间进行数据的传送和接收。发射机210和接收机212可被组合成收发机214。天线216可被附连至外壳208并且电耦合至收发机214。无线设备202还可包括(未示出)多个发射机、多个接收机、多个收发机、和/或多个天线。 [0054] 发射机210可配置成无线地传送具有不同分组类型或功能的分组。例如,发射机210可被配置成传送由处理器204生成的不同类型的分组。当无线设备202被实现为或用作AP 104或STA 106时,处理器204可配置成处理多种不同分组类型的分组。例如,处理器204可被配置成确定分组类型并且相应地处理该分组和/或该分组的字段。当无线设备 202被实现为或者被用作AP 104时,处理器204还可被配置成选择并生成多个分组类型之一。例如,处理器204可被配置成生成包括发现消息的发现分组并且确定要在特定实例中使用何种类型的分组信息。 [0055] 接收机212可被配置成无线地接收具有不同分组类型的分组。在一些方面,接收机212可被配置成检测所使用的分组的类型并相应地处理该分组。 [0056] 无线设备202还可包括可被用于力图检测和量化由收发机214收到的信号电平的信号检测器218。信号检测器218可检测诸如总能量、每副载波每码元能量、功率谱密度之类的信号以及其它信号。无线设备202还可包括用于处理信号的数字信号处理器(DSP)220。DSP 220可被配置成生成分组以供传输。在一些方面,分组可包括物理层数据单元(PPDU)。 [0057] 在一些方面,无线设备202可进一步包括用户接口222。用户接口222可包括按键板、话筒、扬声器、和/或显示器。用户接口222可包括向无线设备202的用户传达信息和/或从该用户接收输入的任何元件或组件。 [0058] 无线设备202的各种组件可由总线系统226耦合在一起。总线系统226可包括例如数据总线,以及除了数据总线之外还有电源总线、控制信号总线、和状态信号总线。无线设备202的组件可以使用其他某种机制耦合在一起或者彼此接受或提供输入。 [0059] 尽管图2中解说了数个分开的组件,但这些组件中的一个或多个组件可被组合或者共同地实现。例如,处理器204可被用于不仅实现以上关于处理器204描述的功能性,而且还实现以上关于信号检测器218和/或DSP 220描述的功能性。另外,图2中解说的每个组件可使用多个分开的元件来实现。 [0060] 为了确保各设备之间(诸如,AP 104和STA 106之间或多个STA 106之间)的恰当通信,AP 104或STA 106可能需要关于AP 104或STA 106的特性的信息。例如,STA 106可能需要关于AP 104的定时信息,以便在STA 106和AP 104之间同步通信定时。另外地或替换地,STA 106可能需要其它信息,诸如,AP 104或另一STA的媒体接入控制(MAC)地址、由AP 104服务的基本服务集(BSS)的标识符等。STA 106可以独立地确定它是否需要此类信息,诸如通过使用存储器206和处理器204执行的软件来进行确定。 [0061] AP 104或STA 106可以具有多种操作模式。例如,STA 106可以具有被称为活跃模式、正常操作模式、或全功率模式的第一操作模式。在活跃模式中,STA 106可以始终处于“苏醒”状态并且活跃地向另一STA 106传送数据/从其接收数据。此外,STA 106可以具有被称为省电模式或休眠模式的第二操作模式。在省电模式中,STA 106可以处于“苏醒”状态或可以处于“打盹”或“休眠”状态,其中STA 106不在活跃地向另一STA 106传送数据/从其接收数据。例如,STA 106的接收机212以及可能还有DSP 220和信号检测器218可以在打盹状态中使用降低的功耗来操作。此外,在省电模式中,STA 106可以不时地进入苏醒状态以监听来自AP 104或来自其它STA的消息(例如,寻呼消息),这些消息向STA 106指示该STA 106是否需要在某个时间“苏醒”(例如,进入苏醒状态)以便能够与AP 104或另一STA进行数据传送/接收。 [0062] 图3a解说了其中各设备可经由一个信道来通信的无线通信系统中的示例性通信时间线300a。示例性通信时间线300a可包括时间历时ΔA 306a的发现区间(DI)302、时间历时ΔB 308a的寻呼区间(PI)304a、以及时间历时ΔC310a的总区间。在一些方面,通信也可经由其它信道发生。时间在时间轴上跨页面水平地增加。 [0063] 在DI 302a期间,AP或STA可通过广播消息(诸如发现分组)来广告服务。AP或STA可以监听由其它AP或STA传送的广播消息。在一些方面,DI的历时可随时间变化。在其它方面,DI的历时可以在一时间段上保持固定。如图3中所解说的,DI 302的结束可与后续PI 304a的开头分开达第一剩余时间段。如图3中所解说的,PI 304a的结束可与后续DI的开头分开达不同的剩余时间段。 [0064] 在PI 304a期间,AP或STA可通过传送寻呼请求消息(诸如,寻呼请求分组)来指示对广播消息中所广告的多个服务中的一个或多个服务感兴趣。AP或STA可监听由其它AP或STA传送的寻呼请求消息。在一些方面,PI的历时可随时间变化。在其它方面,PI的历时可以在一段时间上保持恒定。在一些方面,PI的历时可以小于DI的历时。 [0065] 如图3a中所解说的,历时ΔC 310a的总区间可衡量从一个DI的开头到后续DI的开头的时间段。在一些方面,总区间的历时可随时间变化。在其它方面,总区间的历时可以在一段时间上保持恒定。在历时ΔC 310a的总区间完结处,另一总区间可以开始,包括DI、PI、以及剩余区间。接连的总区间可无限地跟随其后或者继续达一固定时间段。 [0066] 当STA不在传送或监听或者不预期要传送或监听时,STA可进入休眠或省电模式。作为示例,STA可在除DI或PI以外的时段期间休眠。处于休眠模式或省电模式中的STA可在DI或PI的开头处苏醒或返回正常模式或全功率模式以实现由STA进行的传输或监听。 在一些方面,STA可在当该STA预期要与另一设备通信时,或者作为接收到指令该STA苏醒的通知分组的结果,而在其它时间苏醒或返回正常操作或全功率模式。STA可提早苏醒以确保该STA接收传输。 [0067] 如上所述,在DI期间,AP或STA可传送发现分组(DP)。在PI期间,AP或STA可传送寻呼请求分组(PR)。DP可以是被配置成广告由STA或AP提供的多个服务以及指示何时寻呼区间是用于传送该发现分组的设备的分组。DP可包括数据帧、管理帧、或者管理动作帧。DP可以携带由较高层发现协议或者基于应用的发现协议生成的信息。PR可以是被配置成指示对由AP或STA提供的该多个服务中的至少一个服务感兴趣的分组。 [0068] DI和PI的开始和结束可经由众多方法被期望传送发现分组或寻呼请求分组的每个STA知晓。在一些方面,每个STA可将其时钟与其它AP或STA同步,并且设置共享的DI和PI开始时间以及DI历时和PI历时。在其它方面,设备可发送信号(诸如专用的允许发送(S-CTS)信号)以清除媒体上的旧式通信(诸如可能与本公开的各方面冲突或不兼容的通信),并且指示DI或PI时段的开头和历时、以及关于DI和PI历时的附加信息。 [0069] 潜在地对经由(诸如来自其它STA的)发现分组所广告的服务感兴趣的STA可在DI期间苏醒或保持苏醒并处理发现分组以确定特定发现分组是否包括关于接收方STA可能感兴趣的多个服务中的一个或多个服务的信息。在DI时段之后,不打算进行信息通信的STA可以进入休眠或省电模式达一休息时段直至下一次这些STA打算要通信。在一些方面,STA可以进入休眠或省电模式直至该STA可在DI或PI以外与另一设备进行附加信息的通信。在一些方面,STA可以进入休眠或省电模式直至下一PI的开头。在PI的开头处,有兴趣的STA可以苏醒以向服务的提供者传送寻呼请求分组。 [0070] 等待对所传送的发现分组(诸如传送给其它STA的发现分组)的响应的STA可在PI期间苏醒或保持苏醒并处理寻呼请求分组以确定特定寻呼请求分组是否指示有另一设备对由该STA提供的多个服务中的至少一个服务感兴趣。在PI时段之后,不打算进行信息通信的STA可以进入休眠或省电模式达一休息时段直至下一次这些STA打算要通信。在一些方面,STA可以进入休眠或省电模式直至该STA可在DI或PI以外与另一设备进行达附加信息的通信。在一些方面,STA可以进入休眠或省电模式直至下一DI的开头。 [0071] 作为示例,在一些方面,总区间的历时ΔC可以等于大约一到五秒。在其它方面,总区间可以少于一秒或多于五秒。DI的历时ΔA在一些方面可以等于大约16ms,而在其它方面可以多于或少于16ms。PI的历时ΔB在一些方面可以约等于历时ΔA。在其它方面,历时ΔB可以多于或少于历时ΔA。 [0072] 图3b是根据本公开的各方面的在无线通信系统中发现设备的示例性过程300b的流程图。过程300b可被用于介绍两个设备,诸如两个STA。例如,一STA可以广告关于各个其它STA可能感兴趣的多个服务中的一个或多个服务的信息,该信息指向各个其它STA。在一些实施例中,由STA提供的服务可包括由用户已经下载或该STA本机的应用(例如,游戏应用、购物应用、社交联网应用等)所提供的服务。例如,STA的用户可能希望邀请该应用的其它用户经由该应用与该用户交互。在框302b,该STA可以发起宣告传输。每一宣告可包括发现分组或消息,该发现分组或消息包括关于该一个或多个服务的信息。在框304b,该STA可以在发现区间期间从省电模式或休眠模式苏醒以向一个或多个STA发送宣告。在框306b,STA可以发送关于特定服务(诸如“Jack的水果店”)的一个或多个短宣告以促成对该STA的发现。这些短宣告可包括发现分组或消息。对由该STA广告的该一个或多个服务感兴趣的接收方STA可用指示对由该STA提供的服务感兴趣的寻呼请求(或查询请求)分组或消息来响应。在框308b,STA可以接收对关于该特定服务(诸如“Jack的水果店”)的信息的查询(例如,寻呼或查询请求)。作为响应,在框310b,STA可发送对这些查询的响应。该STA与各个查询方STA之间接续的消息接发可发生。该STA和各个STA可在STA之间的消息交换之间的区间中进入省电模式或休眠模式。此接收例如可由接收机212或收发机214来执行,而此传送例如可由发射机210或收发机214来执行。 [0073] 图3c是根据本公开的各方面的在无线通信系统中查询设备的示例性过程300c的流程图。在框302c,STA可以输入购物清单,该购物清单可包括该STA的用户可能感兴趣的各个供应商。例如,用户可以从因特网下载购物清单。尽管关于购物应用来描述过程300c,但本领域普通技术人员将领会,过程300c适用于其它应用,诸如游戏应用、社交联网应用等。在框304c,STA可设立对该购物清单的过滤器。例如,过滤器可被设立以允许该STA仅在接收到特定供应商或应用的发现分组或消息时才从省电模式或休眠模式苏醒。在框306c,STA可在发现区间期间苏醒以监听宣告。每一宣告可包括发现分组或消息,该发现分组或消息包括关于由一个或多个其它STA提供的一个或多个服务的信息。在框308c,该STA可从第二STA接收宣告,诸如“Jack的水果店”宣告。该STA可以确定它是否对与此宣告有关的一个或多个信息集感兴趣并且可用指示其对该信息感兴趣的寻呼请求(或查询请求)分组或消息来响应。例如,如果该STA对由第二STA提供的特定促销项目感兴趣,则STA可用寻呼请求(或查询请求)分组或消息来响应。在框310c,STA可发送对关于该宣告的更多信息(诸如关于Jack的水果店的更多信息)的查询。在框312c,该STA可以接收对该STA发送给其它STA的关于由这些其它STA提供的服务的一个或多个查询的响应。 [0074] 期望以上描述的STA(例如使用在社交Wi-Fi网络中使用的发现协议的STA)能够使用安全通信协议并且在保持低功耗的同时广告自身以及发现由其它STA提供的服务。例如,期望STA通过安全地发送发现分组或消息来广告其提供的服务并且该STA通过安全地发送寻呼或查询分组或消息来发现由其它STA提供的服务。 [0075] 图4解说了可在图2的无线设备202内采用的安全性系统400的功能框图。安全性系统400包括存储器(未示出)、应用402、发现引擎404、安全性模块408、媒体接入控制406层。应用可被存储在存储器中,并且可由计算机或处理器来执行以提供一个或多个服务。在一些实施例中,存储器和应用402可与安全性系统400分开,并且可与安全性系统处于通信中。无线设备202和/或安全性系统400可包括多个应用。应用可包括例如游戏应用、音乐应用、购物应用及类似应用等等,并且可各自向无线设备202的用户以及向被配置成从无线设备202接收发现消息的一个或多个接收方设备提供服务。 [0076] 这多个应用(包括应用402)中的每个应用可向安全性模块408请求安全性服务。在一些实施例中,安全性模块408可被包括在发现引擎404中。在其它实施例中,安全性模块408可与发现引擎404分开。这些应用(包括应用402)中的每个应用可向安全性模块 408传递凭证以允许安全性模块408适当地保护由无线设备202传送的消息或分组的安全。 各凭证可以是因每个特定应用而异的。各凭证可包括被用于加密旨在被传送给另一无线设备的消息或分组的加密密钥。发现引擎404和安全性模块408可驻留在媒体接入控制406层之上的层2内,从而这些凭证从应用402被传递给层2处的安全性模块。在一些实施例中,发现引擎和安全性模块408可驻留在媒体接入控制层内。由安全性模块408提供的安全性服务的示例包括对宣告(例如,发现消息或分组)的加密、对寻呼或查询消息或分组的加密、对等设备(例如,对等STA)的认证、以及媒体接入控制模糊化。例如,安全性模块408可以使用由应用402提供的凭证来加密发现分组、寻呼请求分组、或从无线设备202传送的任何其它分组。安全性模块408还可认证尝试与无线设备202通信的其它无线设备。安全性模块408还可以使无线设备202的媒体接入控制地址模糊以防止对发送给无线设备202和从无线设备202发送的分组的未经授权的使用。 [0077] 图5解说了根据本公开的各方面的发现分组的示例性部分500。发现分组的该部分500解说了可被安全性模块408加密的发现分组的经加密字段的示例。发现分组可被从一个STA传送给社交WiFi网络中的另一STA。被下载或STA本机的各个应用可以要求宣告或发现分组仅可被预定的一群其它STA解码。例如,游戏应用可以要求仅该应用的订户需要知道该游戏应用是否活跃(例如,具有该游戏应用的STA正在广播发现分组),并且因此可仅向特定订户的那些STA提供为解码与该应用有关的分组或消息所必需的凭证。这些凭证可以提供为加密和/或解密包括在这些分组中的信息所需的密钥。这些凭证可由该应用来提供。发现分组的该部分500包括各个部分或子字段,包括序列号子字段502、经加密宣告消息子字段504、以及消息完好性校验(MIC)子字段506。应当注意,以下描述的发现分组部分500的各子字段并非必需要按与所描述的次序相同的次序被包括在发现分组中。确切而言,各子字段可按任何次序被包括在发现分组部分500中或被包括在发现分组部分 500的任何部分中。然而,给定发现分组的各子字段的次序可以是预定的(例如,在设备的制造商处或在设备的初始化之际编程、在无线设备之间的单独消息中传达等),从而使得无线设备(例如STA)具有关于发现分组中的哪些位对应于哪些部分的信息。还应注意,发现分组的该部分500可包括具有附加信息的其它子字段,诸如长度子字段、加密指示子字段、设备/服务信息子字段等,这将在以下关于图5a来进一步讨论。 [0078] 序列号502可以提供对试图截取由第一STA传送的信息的未经授权的STA所作出的攻击的保护。例如,未经授权的STA可能在该未经授权的STA尝试截取传送给第一STA和传送自第一STA的分组的情况下尝试重放攻击。该未经授权的STA可以随后向合法STA重放该分组以哄骗该合法STA相信所重放的分组是由第一STA合法发送的。该合法STA将不会意识到该未经授权的的STA已经截取并重放了该分组,因为该未经授权的STA未曾更改该分组。序列号502可被用于通过每次传送包括部分500的分组时发生递增或增加来防止这一类型的攻击。合法接收方STA将预期序列号502高于它上一次从第一STA接收到分组时的序列号,并且因此将仅在分组包括高于先前接收到的序列号的情况下才接受该分组。如果所重放的分组被合法STA接收到,则序列号将不会高于或将低于由该合法STA最后一次接收到的序列号,并且该合法STA将不接受所重放的分组。 [0079] 发现分组的该部分500的经加密宣告消息504可包括应用名称、无线装置名称(例如宣告方STA名称)、应用描述、设备描述、用户信息、或与宣告方STA、应用、和/或STA的用户有关的任何其它私有信息。宣告消息504可使用任何已知加密算法来加密。例如,临时密钥完好性协议可被用于使用48位初始化向量来加密宣告消息504。作为另一示例,Diffie-Hellman密钥交换协议可被用于加密宣告消息504。发起加密的应用可以提供为执行加密和/或解密所必需的密钥。经加密宣告消息(例如,经加密应用名称、经加密无线装置名称等)可使用一个或多个凭证来加密。 [0080] 发现分组的部分500的MIC 506可被用于进一步保护对传送给第一STA或传送自第一STA的分组的未经授权的截取或使用。MIC 506可被用于通过检测已经被未经授权的STA重放或伪造的分组来保护分组的有效载荷和/或报头。MIC 506可包括使用散列算法所生成的散列。MIC 506可针对每个分组以及针对每个发送方-接收方对来生成。在一些实施例中,第一MIC可被用于从第一STA传送给合法STA发送方的分组,而第二MIC可被用于从合法STA传送给第一STA的分组。MIC 506可以基于被用于产生密钥(例如,初始化向量)的值、目的地媒体接入控制地址、源媒体接入控制地址、优先级、和/或有效载荷。MIC506可被附加至发现分组的该部分500的末尾。一旦接收到具有MIC 506的分组,接收方STA就将尝试验证MIC 506。如果检测到MIC失败,则可采取对策并可结束通信。如果MIC得到了接收方STA的验证,则该帧将被接收方STA接受并处理。在一些实施例中,在MIC被验证后,接收方STA可记录序列号502的值,从而将来的分组必须包括大于所记录的值的序列号。此外,传送方STA可以使用认证协议来认证自其接收到寻呼分组的一个或多个接收方设备,如以下进一步描述的。 [0081] 在一些实施例中,发现分组可包括具有一个或多个经加密字段以及一个或多个未经加密字段的多个字段。例如,图5a解说了根据本公开的各方面的示例性发现分组500。发现分组500a包括至少一个经加密字段510a和至少一个未经加密字段512a。取决于特定发现分组500a的使用,字段514a和516a可以是经加密或未经加密的。在一些实施例中,发现引擎404a和/或安全性模块408可以加密字段和/或字段内的信息,并且可以将经加密字段和未经加密字段插入到发现分组500a中。在一些实施例中,STA中的一个或多个应用和程序可以仅要求宣告或发现分组或消息中的某些信息被加密。这一个或多个应用或程序可通过使包括在宣告或发现消息中的其它信息保持未经加密来允许使该信息公开或共用以供网络中的所有STA解码。例如,STA中的第一应用和第二应用可以提示要在发现分组(例如,发现分组500a)中传送的宣告中的安全信息和非安全信息的传输。STA可在第一经加密字段(例如,字段510a)中包括来自第一应用的安全信息并且可在第一未经加密字段(例如,字段512a)中包括来自第一应用的非安全信息。STA可进一步在第二经加密字段(例如,字段514a或516a)中包括来自第二应用的安全信息并且可在第二未经加密字段(例如,字段514a或516a)中包括来自第二应用的非安全信息。例如,安全信息可包括来自游戏应用的指示该游戏应用活跃的信息、关于该应用的用户的私有信息、口令信息等。非安全信息可包括不是私有的任何信息并且可包括例如位置信息(例如,全球定位系统(GPS)位置等)、应用和/或服务类型、关于STA上的非专有应用的信息、应用名称、无线装置名称等。应注意,取决于发现分组500a的特定使用,发现分组500a可包括更多或更少数量的经加密和/或未经加密字段。还应注意,比图5a中解说的那些字段更多的字段可被包括在发现分组500a中。 [0082] 经加密字段510a可包括各种子字段,诸如长度子字段518a、经加密指示子字段520a、序列号子字段502a、经加密宣告消息子字段504a、以及消息完好性校验(MIC)子字段 506a。序列号502a、经加密宣告消息504a、和消息完好性校验(MIC)506a以与以上关于图5描述的相同方式来操作。长度子字段518a向接收方STA提供对字段510a的长度(例如,位数)的指示。经加密指示子字段520a向接收方STA提供关于字段510a是经加密还是未经加密的指示。例如,经加密指示子字段520a可包括单个比特,其中值1向接收方STA指示字段510a是经加密的。本领域技术人员将理解具有值0的单个比特、或者具有其它比特值组合的多个比特也可被用于向接收方STA指示字段510a是经加密或未经加密的。 [0083] 未经加密字段512a可包括各种子字段,诸如长度子字段522a、经加密指示子字段524a、未经加密宣告消息子字段526a、以及设备/服务信息子字段528a。长度子字段522a向接收方STA提供对字段512a的长度的指示。经加密指示子字段524a向接收方STA提供关于字段510a是经加密还是未经加密的指示,例如使用值为0或1的单个比特或者具有各种比特值组合的多个比特。未经加密宣告消息子字段526a可包括宣告方STA上的应用或程序旨在使之公开或共用以供网络中的所有接收方STA接收并解码的非安全信息。设备/服务信息子字段528a还可包括旨在使之公开或共用以供所有接收方STA接收并解码的非安全未经加密信息。包括在设备/服务信息子字段528a中的信息可具体地与宣告方STA的设备信息和/或由宣告方STA和/或宣告方STA上的应用提供的服务信息有关。非安全信息可包括不是私有的任何信息并且可包括例如位置信息(例如,全球定位系统(GPS)位置等)、应用和/或服务类型、关于STA上的非专有应用的信息、应用名称、无线装置名称、或者用户和/或应用不旨在保密的任何其它信息。例如,宣告方STA的应用可以提示关于其GPS位置的非安全宣告信息的传输从而任何接收方STA可以确定其位置、与该应用的应用名称或该STA的无线装置名称有关的非安全宣告信息、以及关于该应用的特定用户的安全宣告信息。非安全位置信息可被包括在未经加密字段512a的未经加密设备/服务信息子字段528a内,非安全应用名称信息可被包括在未经加密字段512a的未经加密宣告消息子字段526a内,而安全消息可被包括在经加密字段510a的经加密宣告消息子字段504a内。 因此,宣告方STA可以使用经加密字段和未经加密字段来传送具有安全信息和非安全信息的发现分组500a。 [0084] 发现分组500a可进一步包括发现分组标签508a。发现分组标签508a可被用于唯一性地标识发现分组500a。在一些实施例中,宣告方STA可持续改变包括在发现分组的传送地址字段(未示出)中的媒体接入控制(MAC)地址以防止一个或多个未经授权设备(诸如未经授权STA)通过该宣告方STA的MAC地址来跟踪该STA。结果,两个或更多个STA可能不时地使用相同的MAC地址和/或宣告方STA可以在搜索方STA能基于发现分组或帧来发送查询之前改变其所使用的MAC地址。发现分组标签508a可由宣告方STA(例如,由发现引擎404和/或安全性模块408)来生成以唯一性地标识发现分组。在一些实施例中,发现分组标签508a可以是由宣告方STA中的随机数发生器生成的随机生成的数字。例如,宣告方STA可以传送包括由宣告方STA生成的发现分组标签的发现分组。至少一个搜索方STA可以接收发现分组。当搜索方STA基于接收到的发现分组而向宣告方STA发送查询时,搜索方STA可以将该查询分组的接收地址字段中的接收地址设置为被包括在接收到的发现分组的传送地址字段中的传送地址。搜索方STA可进一步将包括在接收到的发现分组中的发现分组标签包括在内。结果,宣告方STA可通过检查接收地址以及发现分组标签值来唯一性地确定该查询分组旨在给宣告方STA。在一些实施例中,使发现分组标签的长度充分大以确保两个STA选取相同MAC地址和相同发现分组标签值的概率很小。例如,发现分组标签长度可在4字节到32字节之间。作为另一示例,如果发现分组中有足够空间可用,则发现分组长度可以大于32字节。 [0085] 应当注意,以上描述的经加密字段和未经加密字段的各子字段并非必需要按所描述的相同次序来被包括。确切而言,各子字段可按任何次序被包括或被包括在各字段的任何部分中。还应注意,经加密和未经加密字段可包括比图5a中解说的那些子字段更多的具有附加信息的子字段或者更少的子字段。 [0086] 图6解说了一示例性信号流图,该示例性信号流图解说在图1中解说的实体间交换的信号流。图6中解说的信号流提供了用于供STA对正对由该STA发送的发现分组作出响应的寻呼方STA进行认证的机制。如果广告方STA仅希望具有某些凭证的STA来寻呼它,则对寻呼方STA的认证可能是期望的。例如,寻呼方STA上使用社交WiFi的社交联网应用可以要求若寻呼请求分组不是来自使用相同社交联网应用的STA的情况下则它们应被丢弃。作为另一示例,寻呼方STA上的游戏应用可以要求它验证寻呼请求消息是传送自使用相同游戏应用的另一STA。 [0087] 在一些实施例中,对等STA的认证可包括使用认证协议,诸如等同方认证安全认证协议。该等同方认证安全认证协议可被用于允许两个对等STA在不使用中央服务器的情况下安全地验证对共享口令的拥有。每个STA可以发起该协议并被认为是认证过程中的等同方。广告方STA可要求希望向该广告方STA发送寻呼请求消息的任何STA必须在寻呼该广告方STA之前完成等同方认证安全认证过程。等同方认证安全认证协议包括每个对等STA个体地定义相同的口令,该口令被用于认证消息交换。该协议不要求使该口令的任何部分暴露于来自第三方的威胁,因为该口令不在这两个STA之间交换。作为在这两个STA之间成功认证的结果,配对主密钥(PMK)在这些STA之间被生成和共享。 [0088] 当第一和第二STA彼此认证了时,每个STA可从共享秘密中推导出一数字。第一STA可随后连同标识符一起向第二STA传送所推导出的数字,该数字可以是一标量。第二STA将验证它使用相同标识符将推导出相同数字。 [0089] 如图6中所解说的,等同方安全认证过程包括查询方STA和响应方STA之间的两个消息交换,包括承诺交换和确认交换。承诺消息交换操作以迫使每个STA承诺对口令的单次猜测。确认消息交换操作以证明该口令猜测是正确的。认证帧可被用于执行这些消息交换。 [0090] 该消息交换通过响应方STA向查询方STA传送发现分组而始于交换602。发现分组可被用于广告关于由响应方STA提供的多个服务中查询方STA可能感兴趣的一个或多个服务的信息。一旦查询方STA接收到发现分组,它就开始等同方过程的安全认证,这指示响应方STA要求使用等同方认证安全认证协议进行认证。在交换604,查询方STA用具有等同方安全认证承诺交换消息的查询或寻呼分组来响应。一旦响应方STA接收到该承诺交换消息,它就处理该消息以验证查询方STA是否已经正确地猜出口令。在交换610,响应方STA发送具有其自己的承诺交换消息的查询或寻呼分组。查询方STA接收该承诺交换消息并处理该消息以验证响应方STA是否已经正确地猜出口令。 [0091] 确认交换消息可以不被传送,直至双方STA都已经承诺。一旦双方STA已经承诺,在交换612,查询方STA就发送具有等同方安全认证确认交换消息的查询或寻呼分组。响应方STA接收确认交换消息并接受认证而不发送答复。在交换614,响应方STA发送具有其自己的等同方安全认证确认交换消息的查询或寻呼分组。查询方STA接收该确认交换消息并接受认证而不发送答复。等同方安全认证过程在双方STA已经首先发送了承诺交换消息然后接收到确认交换消息之际完成。一旦完成了等同方安全认证过程,查询方STA和响应方STA双方就生成PMK。一旦生成了PMK,STA就可开始安全地交换经加密消息。如果认证规程成功完成,则每个对等STA知道其它STA拥有该口令并且作为等同方安全认证交换的副产品,这两个对等STA在它们之间建立密码学上强壮的密钥。 [0092] 抗堵塞令牌可进一步被用于以上描述的等同方认证安全认证协议,例如在交换606和608处。要求STA在接收到承诺交换消息之际进行大量的处理。抗堵塞令牌可以防止攻击者迫使STA针对等同方安全认证协议进行不必要的计算。为了实现抗堵塞令牌,STA维护指示待决承诺交换消息的数量的计数器。一旦计算器满足阈值要求,STA就可以用包括抗堵塞令牌的拒绝来响应每个收到的承诺交换消息。例如,响应方STA可以在收到具有认证承诺交换消息的查询或寻呼分组之际在交换606处用包括包含抗堵塞令牌的查询或寻呼分组的拒绝来作出响应。查询方STA随后必须在后续承诺交换消息中包括抗堵塞令牌。 例如,在交换608,查询方STA用包括抗堵塞令牌的查询或寻呼分组来响应。响应方STA将拒绝不包括抗堵塞令牌的所有承诺交换消息。响应于接收到没有抗堵塞令牌的承诺交换消息,响应方STA可向查询方STA发送要重发包括有抗堵塞令牌的承诺交换消息的请求。 [0093] 等同方认证安全认证协议不受基于中继或重放的攻击,因为攻击方STA不能确定口令或结果所得的PMK。等同方认证安全认证协议进一步防止攻击方STA对口令进行反复猜测。协议的先前运行中PMK的泄密也不向试图从任何其它实例确定口令或共享密钥的未经授权STA提供任何益处。 [0094] 图7解说了另一示例性信号流图,该示例性信号流图解说在图1中解说的实体间交换的信号流。图7中解说的信号流提供了用于加密寻呼请求分组的机制。寻呼方或搜索方STA可能希望保护寻呼请求分组的安全以防止向任何未经授权设备暴露与该寻呼方STA有关的信息。例如,如果由寻呼方STA接收到的发现分组广告多个服务,则寻呼方STA可能希望防止嗅探设备确定该寻呼方STA正在寻找的特定服务。作为另一示例,发现分组可以向寻呼方STA请求私有信息(例如,电子邮件地址、地址、口令等)。期望保护寻呼方STA可能发送给广告方STA的任何寻呼请求分组的安全。 [0095] 如图7中所解说的,广告方STA可与搜索方或寻呼方STA交换消息。为了能够实现对寻呼分组的加密,可以使用Diffie-Hellman密钥交换协议,该协议允许这两个STA推导出可被用于加密这两个STA之间的通信的秘密密钥。为了实现密钥交换,广告方STA和寻呼方STA同意使用质数p和基数g。项“p”是质数而“g”是等于模p的原根。广告方STAa生成公钥PK-A,其包括g mod p。术语“a”是由广告方STA生成的仅为该广告方STA所知的第一随机数(即,第一随机生成的数字)。广告方STA在发现分组中包括公钥PK-A并在b 702向搜索方STA传送该发现分组。搜索方STA生成其自身的公钥PK-B,其包括g mod p。 项“b”是由搜索方STA生成的仅为该搜索方STA所知的第二随机数(即,第二随机生成的a 数字)。搜索方STA基于公钥PK-A(即g mod p)和b来推导加密密钥。所推导出的加密ab 密钥等于g mod p。在704,搜索方STA使用所推导出的加密密钥来加密寻呼请求分组的一部分并向广告方STA传送包括经加密消息和公钥PK-B的寻呼请求分组。一旦接收到公钥b PK-B,广告方STA就基于该公钥PK-B(即,g mod p)和a来推导出相同的加密密钥。因此,ba 由广告方STA通过计算g mod p(其等于加密密钥)来推导出该加密密钥。因为广告方STA是知道a的唯一设备,并且搜索方STA是知道b的唯一设备,所以仅这两个STA可以确定该ba 加密密钥(即,g mod p)并使用该密钥来解密经加密消息。因此,仅广告方STA可以解密接收自搜索方STA的寻呼方请求分组。在706,这两个STA之间的进一步的经加密通信可使用共享加密密钥来加密和解密。 [0096] 由未经授权STA作出的攻击可通过使用广告方STA与搜索方STA之间的认证规程来防止。例如,未经授权STA可以截取由广告方STA传送的并且旨在给搜索方STA的公钥。未经授权STA可用由未经授权STA生成的另一公钥来替代预期的公钥并将该替代公钥发送给第一STA。在一些实施例中,为了防止未经授权使用,公钥可由STA来证明或签名。例如,公钥PK-A可由广告方STA使用随机生成的数a来证明,而公钥PK-B可由搜索方STA使用b来证明或签名,从而这些STA可以彼此认证。 [0097] 图8和9提供了用于使彼此处于通信中的两个设备的媒体接入控制地址模糊的机制。媒体接入控制地址可被不加密地传送,这使得攻击方设备(例如,攻击方STA)能以未经授权方式来使用这些媒体接入控制地址,诸如以跟踪设备之间的通信和/或跟踪设备的在场性。媒体接入控制模糊化可被用于通过改变这些STA或AT中的一方或双方的媒体接入控制地址来降低攻击方设备跟踪这两个STA或AT之间的通信的能力。例如,源和/或目的地地址可被改变以防止攻击。 [0098] 图8解说了一示例性信号流图,该示例性信号流图解说在图1中解说的实体间交换的信号流,并且图8提供了一种用于使一个或者多个设备的媒体接入控制地址模糊的技术。图8中解说的技术允许媒体接入控制地址在一时间段上改变。旨在交换数据通信的两个设备(诸如第一STA和第二STA或者第一或AT和第二或AT)可在其彼此的通信期间协商它们的媒体接入控制地址中的一者或两者的改变。改变请求可在常规数据通信区间之间被发送。所传送的数据的发送方或接收方可以发起地址改变请求。在802,第一STA(STA 1)向第二STA(STA 2)传送媒体接入控制地址改变请求消息,该消息请求为STA 1创建新媒体接入控制地址(例如,源地址)。在一些实施例中,媒体接入控制地址改变请求包括该新媒体接入控制地址的值。在一些实施例中,媒体接入控制地址改变请求不包括新媒体接入控制地址的值。在一些实施例中,媒体接入控制地址改变请求消息可以请求STA 2的媒体接入控制地址(例如,目的地地址)的改变,或者可以请求STA 1和STA 2两者的媒体接入控制地址的改变。作为响应,在804,STA 2向STA 1传送媒体接入控制改变响应消息。媒体接入控制改变请求和响应可被加密从而第三方设备不可确定新媒体接入控制地址。在804,STA1向STA2传送媒体接入控制地址改变确认消息。在一些实施例中,媒体接入控制地址改变确认消息包括新媒体接入控制地址的值。在接收到媒体接入控制地址确认消息后,在STA 1与STA 2之间交换的所有新数据分组将包括STA 1和/或STA 2的新媒体接入控制地址。 [0099] 图9解说了一功能框图,该功能框图解说一个或多个媒体接入控制地址的模糊化。图9中解说的模糊化技术允许逐分组地改变媒体接入控制地址。在要求高度保护以免受跟踪类型的攻击的应用中,数据源和数据目的地双方逐分组地改变地址可能是有用的。图9进一步解说了传送自源STA的分组936的示例。在源STA与目的地STA之间交换的每个分组(诸如分组936)在地址1字段920、地址2字段922、以及地址3字段926中填充有不同的源地址和目的地地址。例如,接收方地址可被包括在地址1字段(称为接收方地址(RA)字段)中,传送方地址可被包括在地址2字段(称为传送方地址(TA)字段)中,而目的地地址可被包括在地址3字段中。为了确保地址模糊化的有效性,目的地STA需要快速地确定它在空中观察到的分组是否旨在给该STA并且需要快速地发出确收。每个目的地STA生成其自身的秘密地址模糊化密钥(AOK)902以用于地址模糊化。在连接建立过程期间,目的地STA向源STA发送AOK 902。 [0100] 在传送分组之前,源STA生成随机数(一次性数)904以及对应的瞬时地址模糊化密钥(TAOK)。该TAOK是基于与随机数904级联的AOK 902的散列函数906来生成的。散列函数906的输出是彼此级联的一群瞬时密钥T1、T2、T3和T4。例如,TAOK等于HASH(AOK‖随机一次性数),HASH(AOK||随机一次性数)等于T1||T2||T3||T4。T1、T2、T3和T4是各自包括位串并且被用于使媒体接入控制地址模糊的瞬时密钥。为了使媒体接入控制地址模糊,地址字段920、922和926用作为在前媒体接入控制地址和一个或多个瞬时密钥的函数的经模糊化的地址字段来替代。例如,先前被存储在地址1字段920中的在前媒体接入控制地址A1被A1’替代,A1’被计算为A1和T1的函数。用于生成A1’的函数可以是异或函数。例如,该函数可以规定A1’等于使用XOR函数908的XOR(A1,T1)。作为另一示例,先前存储在地址2字段922中的在前媒体接入控制地址A2被A2’替代,A2’被计算为A2和T2的函数。用于生成A2’的函数也可以是异或函数。例如,该函数可以规定A2’等于使用XOR函数910的XOR(A2,T2)。作为另一示例,先前被存储在地址3字段926中的在前媒体接入控制地址A3被A3’替代,A3’被计算为A3和T3的函数。用于生成A3’的函数也可以是异或函数。例如,该函数可以规定A3’等于使用XOR函数912的XOR(A3,T3)。 [0101] 帧校验序列(FCS)由分组936的源STA来计算。FCS随后被改变为经修改FCS并被包括在FCS字段934中。经修改FCS可被计算为原始计算出的FCS和T4的函数。用于生成经修改FCS的函数可以是异或函数。例如,该函数可以规定经修改FCS等于使用XOR函数914的XOR(FCS,T4)。 [0102] 源STA在分组936的地址模糊化报头字段930中包括随机数904。帧控制字段916包括被用于指示该帧具有经模糊的媒体接入控制地址的一个或多个位。例如,a1可被包括在帧控制字段916中以指示该帧具有经模糊的媒体接入控制报头。 [0103] 一旦经模糊地址和经修改FCS字段被计算并包括在分组936中,源STA就向目的地STA传送该分组。一旦接收到分组936,目的地STA就基于在地址模糊化报头930中指示的随机数904和目的地STA原始生成的秘密AOK 902来生成TAOK。如果在A1和T1的XOR函数之后新媒体接入控制地址A1’(例如目的地地址)匹配,则目的地STA随后检查帧936的RA字段920。目的地STA进一步检查在原始FCS与T4的XOR函数之后的经修改FCS。该FCS在不知道TAOK的任何设备处将失败。如果FCS通过,则目的地STA传送对A2’的确收,该确收是源STA的新媒体接入控制传送地址。 [0104] 图10是根据本公开的各方面在无线通信系统中安全地传送分组的示例性过程1000的流程图。过程1000可被用于保护在各设备之间发送的分组的安全,例如如图4、5和 6的描述中所讨论的。尽管以下关于无线设备202的元件描述了过程1000,但是本领域普通技术人员将领会,其他组件可被用于实现本文描述的各步骤中的一个或多个步骤。 [0105] 过程1000在框1002处通过使用应用的一个或多个凭证来加密发现分组的至少一部分开始,该应用在被执行时提供一个或多个服务,该发现分组包括用于广告由该应用向一个或多个接收设备提供的至少一个服务的信息。例如,第一STA可以从被下载至第一STA或第一STA本机的应用接收一个或多个凭证并且可以使用这些凭证来加密发现分组(诸如以上关于图5和5a讨论的发现分组)。在框1004,过程1000传送发现分组以供由这一个或多个接收设备接收。该传输例如可由发射机214来执行。 [0106] 图11是可在图1的无线通信系统内采用的示例性无线设备1100的功能框图。无线设备1100可包括用于接收从应用传达而来的一个或多个凭证的接收模块1102。接收模块1102可对应于接收机212、收发机214、存储器206、发现引擎404、或安全性模块408。无线设备1100可进一步包括用于使用该应用的这一个或多个凭证来加密发现分组的至少一部分的加密模块1106,该应用在被执行时提供一个或多个服务,该发现分组包括用于向一个或多个接收设备广告由该应用提供的至少一个服务的信息。加密模块1106可被配置成执行以上关于图10的框1002讨论的一个或多个功能。加密模块1106可对应于发射机 210、收发机214、(诸)处理器单元204、存储器206、发现引擎404、或安全性模块408。无线设备1100可进一步包括用于传送发现分组以供由一个或多个接收设备接收的传送模块 1104。传送模块1104可被配置成执行以上关于图10的框1004讨论的一个或多个功能。传送模块1104可对应于发射机210、收发机214、存储器206、或发现引擎404。 [0107] 此外,在一个方面,用于接收从应用传达而来的一个或多个凭证的装置可包括接收模块1102。在另一方面,用于基于这一个或多个凭证来加密发现分组的至少一部分的装置可包括加密模块1104。在另一方面,用于向一个或多个接收设备传送发现分组的装置可包括传送模块1106。 [0108] 此外,其他模块可被包括在无线设备1100中,诸如用于使用认证协议来认证从其接收到该至少一个寻呼分组的这一个或多个接收设备的认证模块。 [0109] 图12是根据本公开的各方面在无线通信系统中安全地传送分组的另一示例性过程1200的流程图。过程1200可被用于保护在各设备之间发送的分组的安全,例如如在图4和7的描述中所讨论的。尽管以下关于无线设备202的元件描述了过程1200,但本领域普通技术人员将领会,其他组件可被用于实现本文描述的各步骤中的一个或多个步骤。 [0110] 过程1200在框1202通过从第一设备接收发现分组开始,该发现分组包括第一公钥和广告由第一设备提供的服务的信息。该接收可例如由接收机212来执行。在框1204,过程1200通过生成寻呼请求分组来继续进行,该寻呼请求分组包括第二公钥和指示对由第一设备提供的服务感兴趣的信息。在框1206,过程1200至少部分地基于第一公钥和第二公钥来生成加密密钥。在框1208,该过程通过向一个或多个接收设备传送包括第二公钥的寻呼请求分组来继续进行。该传输例如可由发射机214来执行。 [0111] 图13是可在图1的无线通信系统内采用的示例性无线设备1300的功能框图。无线设备1300可包括用于生成寻呼请求分组的生成模块1302,该寻呼请求分组包括第二公钥和指示对由第一设备提供的服务感兴趣的信息,并且生成模块1302进一步用于至少部分地基于第一公钥和第二公钥来生成加密密钥。生成模块1302可被配置成执行以上关于图12的框1204和1206讨论的一个或多个功能。生成模块1302可对应于(诸)处理器单元204、存储器206、发现引擎404、和/或安全性模块408。无线设备1300可进一步包括用于从第一设备接收发现分组的接收模块1304,该发现分组包括第一公钥和广告由第一设备提供的服务的信息。接收模块1304可被配置成执行以上关于图12的框1202所讨论的一个或多个功能。接收模块1304可对应于接收机212、收发机214、存储器206、发现引擎404、或安全性模块408。无线设备1300可进一步包括用于使用所生成的加密密钥来加密寻呼请求分组的至少一部分的加密模块1308。加密模块1308可被配置成执行以上关于图12的框1208讨论的一个或多个功能。加密模块1308可对应于(诸)处理器单元204、存储器206、发现引擎404、和/或安全性模块408。无线设备1300可进一步包括用于向第一设备传送包括第二公钥和指示对服务感兴趣的信息的经加密寻呼请求分组的传送模块1306。传送模块1306可被配置成执行以上关于图12的框1210讨论的一个或多个功能。传送模块1306可对应于发射机210、收发机214、存储器206、或发现引擎404。 [0112] 此外,在一个方面,用于从第一设备接收发现分组的装置可包括接收模块1304。在另一方面,用于生成包括第二公钥的寻呼请求分组的装置可包括生成模块1302。在另一方面,用于向一个或多个接收设备传送包括第二公钥的寻呼请求分组的装置可包括传送模块1306。 [0113] 此外,其他模块可被包括在无线设备1300中,诸如用于用加密密钥来加密寻呼请求分组的至少一部分的加密模块。 [0114] 图14是根据本公开的各方面在无线通信系统中安全地传送分组的另一示例性过程1400的流程图。过程1400可被用于保护在各设备之间发送的分组的安全,例如如在图4和8的描述中所讨论的。尽管以下关于无线设备202的元件描述了过程1400,但本领域普通技术人员将领会,其他组件可被用于实现本文描述的各步骤中的一个或多个步骤。 [0115] 过程1400在框1402通过向接入终端传送媒体接入控制改变请求消息以发起无线装置的媒体接入控制地址的改变来开始。该传输例如可由发射机214来执行。在框1404,过程1400通过从该接入终端接收媒体接入控制改变响应消息来继续进行。该接收可例如由接收机212来执行。在框1406,过程1400响应于接收到媒体接入控制改变响应来改变无线功率装置的媒体接入控制地址。在框1408,该过程通过向该接入终端传送媒体接入控制改变确认消息来继续进行。 [0116] 图15是可在图1的无线通信系统内采用的示例性无线设备1500的功能框图。无线设备1500可包括用于向接入终端传送媒体接入控制改变请求消息以发起无线装置的媒体接入控制地址的改变以及用于向该接入终端传送媒体接入控制改变确认消息的传送模块1504。传送模块1504可被配置成执行以上关于图14的框1402和1408讨论的一个或多个功能。传送模块1504可对应于发射机210、收发机214、存储器206、或发现引擎404。无线设备1500可进一步包括用于从接入终端接收媒体接入控制改变响应消息的接收模块 1502。接收模块1502可被配置成执行以上关于图14的框1404所讨论的一个或多个功能。 接收模块1502可对应于接收机212、收发机214、存储器206、发现引擎404、或安全性模块 408。无线设备1500可进一步包括用于响应于接收到媒体接入控制改变响应来改变无线功率装置的媒体接入控制地址的改变模块1506。改变模块1506可被配置成执行以上关于图 14的框1406讨论的一个或多个功能。改变模块1506可对应于(诸)处理器204、存储器 206、发现引擎404、或安全性模块408。 [0117] 此外,在一个方面,用于向接入终端传送媒体接入控制改变请求消息以发起无线装置的媒体接入控制地址的改变的装置以及用于向接入终端传送媒体接入控制改变确认消息的装置可包括传送模块1504。在另一方面,用于从接入终端接收媒体接入控制改变响应消息的装置可包括接收模块1502。在另一方面,用于响应于接收到媒体接入控制改变响应来改变无线功率装置的媒体接入控制地址的装置可包括改变模块1506。 [0118] 图16是根据本公开的各方面在无线通信系统中安全地传送分组的另一示例性过程1600的流程图。过程1600可被用于保护在各设备之间发送的分组的安全,例如如在图4和9的描述中所讨论的。尽管以下关于无线设备202的元件描述了过程1600,但本领域普通技术人员将领会,其他组件可被用于实现本文描述的各步骤中的一个或多个步骤。 [0119] 过程1600在框1602通过以下操作使帧的媒体接入控制地址模糊而开始:生成随机数和包括第一瞬时密钥的瞬时地址模糊化密钥,其中该瞬时地址模糊化密钥是地址模糊化密钥和该随机数的函数;在该帧的地址模糊化报头字段中包括该随机数;以及用新第一地址来替代该帧的地址字段中的原始第一地址,该新第一地址是该原始第一地址和第一瞬时密钥的函数。在一些方面,模糊该帧的媒体接入控制地址进一步包括:生成随机数和包括第一瞬时密钥的瞬时地址模糊化密钥,其中该瞬时地址模糊化密钥是地址模糊化密钥和该随机数的函数。模糊该帧的媒体接入控制地址可进一步包括:在该帧的地址模糊化报头字段中包括该随机数以及用新第一地址来替代该帧的地址字段中的原始第一地址,该新第一字段是该原始第一地址和第一瞬时密钥的函数。 [0120] 过程1600可进一步包括生成帧校验序列字段,生成经修改帧校验序列字段,该经修改帧校验序列字段是该帧校验序列字段和第二瞬时密钥的函数,以及在该帧中包括此经修改帧校验序列字段。在一些方面,用于生成经修改帧校验序列字段的函数可以是异或函数。 [0121] 在一些方面,过程1600进一步包括模糊要被传送的每个帧的媒体接入控制地址。因此,方法1600可以允许逐分组地来改变媒体接入控制地址。 [0122] 在框1604,过程1600通过在帧的第一字段中包括对此模糊化的指示来继续进行。例如,如以上关于图9所描述的,帧控制字段916可包括用于指示该帧具有经模糊的媒体接入控制地址的一个或多个位。在框1606,过程1600通过向接收设备传送该帧来继续进行。 该传输例如可由发射机214来执行。 [0123] 图17是可在图1的无线通信系统内采用的示例性无线设备1700的功能框图。无线设备1700可包括接收模块1702。接收模块1702可对应于接收机212、收发机214、存储器206、发现引擎404、或安全性模块408。无线设备1700可进一步包括用于通过以下操作来使帧的媒体接入控制地址模糊的模糊化模块1706:生成随机数和包括第一瞬时密钥的瞬时地址模糊化密钥,其中该瞬时地址模糊化密钥是地址模糊化密钥和该随机数的函数;在该帧的地址模糊化报头字段中包括该随机数;以及用新第一地址来替代该帧的地址字段中的原始第一地址,该新第一地址是该原始第一地址和第一瞬时密钥的函数。模糊化模块 1706可进一步在该帧的第一字段中包括对该模糊化的指示。模糊化模块1706可被配置成执行以上关于图16的框1602和1604讨论的一个或多个功能。模糊化模块1706可对应于(诸)处理器单元204、存储器206、发现引擎404、或安全性模块408。无线设备1700可包括用于向接收设备传送该帧的传送模块1704。传送模块1704可被配置成执行以上关于图 16的框1606讨论的一个或多个功能。传送模块1704可对应于发射机210、收发机214、存储器206、或发现引擎404。 [0124] 此外,在一个方面,用于使帧的媒体接入控制地址模糊的装置可包括模糊化模块1706。在另一方面,用于向接收设备传送该帧的装置可包括传送模块1704。 [0125] 此外,其他模块可被包括在无线设备1700中,诸如用于生成随机数和包括第一瞬时密钥的瞬时地址模糊化密钥的生成模块,其中该瞬时地址模糊化密钥是地址模糊化密钥和该随机数的函数。此外,无线设备1700可包括用于在该帧的地址模糊化报头字段中包括该随机数的包括模块。无线设备1700可进一步包括用于用新第一地址来替代该帧的地址字段中的原始第一地址的替代模块,该新第一地址是该原始第一地址和第一瞬时密钥的函数。 [0126] 应当理解,本文中使用诸如“第一”、“第二”等之类的指定对元素的任何引述一般并不限定这些元素的数量或次序。相反,这些指定可在本文中用作区别两个或更多个元素或者元素实例的便捷方法。因此,对第一元素和第二元素的引述并不意味着这里可采用仅两个元素或者第一元素必须以某种方式位于第二元素之前。同样,除非另外声明,否则元素集合可包括一个或多个元素。 [0127] 本领域普通技术人员/人士将可理解,信息和信号可使用各种不同技术和技艺中的任一种来表示。例如,以上描述通篇可能引述的数据、指令、命令、信息、信号、位(比特)、码元、和码片可由电压、电流、电磁波、磁场或磁粒子、光场或光粒子、或其任何组合来表示。 [0128] 本领域普通技术人员还应当进一步领会,结合本文中所公开的方面描述的各种解说性逻辑块、模块、处理器、装置、电路、和算法步骤中的任一者可被实现为电子硬件(例如,数字实现、模拟实现或这两者的组合,它们可使用源编码或其它某种技术来设计)、各种形式的纳入指令的程序或设计代码(出于简便起见,在本文中可称之为“软件”或“软件模块”)、或两者的组合。为清楚地解说硬件与软件的这一可互换性,各种解说性组件、块、模块、电路、和步骤在上面是以其功能性的形式作一般化描述的。此类功能性是被实现为硬件还是软件取决于具体应用和施加于整体系统的设计约束。技术人员可针对每种特定应用以不同方式来实现所描述的功能性,但此类实现决策不应被解读为致使脱离本发明的范围。 [0129] 结合文本所公开的各个方面并且结合图1-11描述的各种解说性逻辑块、模块和电路可在集成电路(IC)、接入终端、或接入点内实现或由其来执行。IC可包括通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、或其它可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、电组件、光学组件、机械组件、或其设计成执行本文中所描述的功能的任何组合,并且可执行驻在IC内部、IC外部或两者的代码或指令。这些逻辑块、模块和电路可以包括天线和/或收发机以与网络内或设备内的各种组件通信。通用处理器可以是微处理器,但在替换方案中,该处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合,例如DSP与微处理器的组合、多个微处理器、与DSP核心协同的一个或多个微处理器或任何其它此类配置。可以按如本文中所教导的某个其他方式来实现这些模块的功能性。本文中(例如,关于附图中的一幅或多幅附图)所描述的功能性在一些方面可以对应于所附权利要求中类似地命名为“用于……的装置”的功能性。 [0130] 如果在软件中实现,则各功能可以作为一条或多条指令或代码存储在计算机可读介质上或藉其进行传送。本文中所公开的方法或算法的步骤可在可驻留在计算机可读介质上的处理器可执行软件模块中实现。计算机可读介质包括计算机存储介质和通信介质两者,其包括可被实现成将计算机程序从一地转移到另一地的任何介质。存储介质可以是能被计算机访问的任何可用介质。作为示例而非限定,此类计算机可读介质可包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储或其他磁存储设备、或能被用来存储指令或数据结构形式的期望程序代码且能被计算机访问的任何其他介质。任何连接也可被恰当地称为计算机可读介质。如本文中所使用的盘(disk)和碟(disc)包括压缩碟(CD)、激光碟、光碟、数字通用碟(DVD)、软盘和蓝光碟,其中盘(disk)往往以磁的方式再现数据而碟(disc)用激光以光学方式再现数据。上述的组合应当也被包括在计算机可读介质的范围内。另外,方法或算法的操作可作为代码和指令之一或者代码和指令的任何组合或集合而驻留在可被纳入计算机程序产品中的机器可读介质和计算机可读介质上。 [0131] 应当理解,任何所公开的过程中的步骤的任何特定次序或位阶都是范例办法的示例。基于设计偏好,应理解这些过程中步骤的具体次序或层次可被重新安排而仍在本公开的范围之内。所附方法权利要求以样本次序呈现各种步骤的要素,且并不意味着被限定于所呈现的具体次序或层次。 [0132] 对本公开中描述的实现的各种改动对于本领域技术人员可能是明显的,并且本文中所定义的普适原理可应用于其他实现而不会脱离本公开的精神或范围。由此,本公开并非旨在被限定于本文中示出的实现,而是应被授予与权利要求书、本文中所公开的原理和新颖性特征一致的最广义的范围。本文中专门使用词语“示例性”来表示用作“示例、实例或解说”。本文中描述为“示例性”的任何实现不必然被解释为优于或胜过其他实现。 [0133] 本说明书中在分开实现的上下文中描述的某些特征也可组合地实现在单个实现中。相反,在单个实现的上下文中描述的各种特征也可在多个实现中分开地或以任何合适的子组合实现。此外,虽然诸特征在上文可能被描述为以某些组合的方式起作用且甚至最初是如此要求保护的,但来自所要求保护的组合的一个或多个特征在一些情形中可从该组合中去掉,且所要求保护的组合可以针对子组合、或子组合的变体。 [0134] 类似地,虽然在附图中以特定次序描绘了诸操作,但这不应当被理解为要求此类操作以所示的特定次序或按顺序次序来执行、或要执行所有所解说的操作才能达成期望的结果。在某些环境中,多任务处理和并行处理可能是有利的。此外,上文所描述的实现中的各种系统组件的分开不应被理解为在所有实现中都要求此类分开,并且应当理解,所描述的程序组件和系统一般可以一起整合在单个软件产品中或封装成多个软件产品。另外,其他实现也落在所附权利要求书的范围内。在一些情形中,权利要求中叙述的动作可按不同次序来执行并且仍达成期望的结果。 |
||||||
QQ群二维码
意见反馈
意见反馈