用于无线站点的身份混淆

摘要

本公开涉及用于无线站点的身份混淆。本文公开了用于对连接到无线网络的站点(STA)进行身份混淆以防止所述STA被跟踪的系统、方法和计算机程序产品实施方案。实施方案包括STA，所述STA被配置为基于所述站点的原始长期身份和接入点(AP)的身份来建立与所述AP的安全关联。所述STA能够基于所述安全关联向所述AP传输所述STA的新的长期身份。然后，所述STA能够向所述AP传输请求帧以改变分配给所述STA的所述原始短期身份。所述STA能够从所述AP接收响应帧。所述响应帧能够包括由所述AP分配给所述站点的新的短期身份。所述STA然后能够将其新的长期身份映射到由所述AP分配的所述STA的新的短期身份。

说明书

本申请要求于2019年7月12日提交的标题为“Identity Obscuration for aWireless Station”的临时美国专利申请62/873,659的权益，该临时美国专利申请全文以引用方式并入本文。

技术领域

本公开涉及无线通信领域，包括对连接到无线网络的站点(STA)进行身份混淆以防止对STA进行跟踪。

背景技术

在用户使用其电子设备的情况下，无线联网已发生根本改变。现在，用户不仅仅在家或办公室使用其电子设备，还使用其电子设备来连接到在各种其他地方(诸如，咖啡店、百货和机场)处提供的无线网络。用户使用各种无线通信标准连接到这些无线网络。例如，用户通常使用电气和电子工程师协会(IEEE)802.11标准(当前提议和/或未来版本)连接到无线网络。为了管理电子设备与无线网络的关联，无线通信标准诸如IEEE802.11通常使用电子设备的长期身份(例如，电子设备的媒体访问控制(MAC)地址)。这通常需要电子设备将其长期身份包括在其传输的帧中。

但是这些无线通信标准通常包括电子设备的在传输帧中未加密的长期身份。此外，这些无线通信标准通常在电子设备已经连接到无线网络之后防止电子设备改变其长期身份。这在某些环境中可造成隐私问题。例如，可使用拦截经过无线网络的流量的网络嗅探器，经由电子设备的长期身份容易地跟踪该电子设备。

发明内容

根据一些实施方案，可使用站点(STA)的短期身份与所述STA的长期身份之间的映射来允许对所述STA的身份进行混淆，以防止在所述STA连接到无线网络时被跟踪。在一些实施方案中，所述无线网络可使用电气和电子工程师协会(IEEE)802.11标准(当前提议和/或未来版本)或各种其他无线通信协议。

在一些实施方案中，STA可与接入点(AP)建立安全关联，并从所述AP获得短期身份。所述短期身份可以是当所述STA首先建立与所述AP的安全关联时由所述AP分配给所述STA的关联标识(AID)。所述STA可生成其自身的新的长期身份，然后向所述AP传输所述新的长期身份。所述新的长期身份可以是媒体访问控制(MAC)地址。所述STA可通过利用与所述AP的安全关联来传输所述新的长期身份。例如，所述STA可使用由所述安全关联安装的一组加密密钥来加密所述新的长期身份。所述AP和所述STA两者可将所述STA的新的长期身份映射到其由所述AP分配的短期身份；因此，所述STA仅需要将其短期身份包括在向所述AP传输的所述传输帧中。稍后，所述STA可向所述AP传输请求帧以改变由所述AP分配给所述STA自身的所述短期身份。然后所述STA可从所述AP接收响应帧。所述响应帧可包括由所述AP分配给所述STA的新的短期身份。所述新的短期身份可以是由所述AP分配给所述STA的新的AID。所述请求帧和响应帧可被加密以避免被其他设备跟踪。所述AP和所述STA两者然后可将其新的长期身份映射到其由所述AP分配的新的短期身份，并且所述STA可将其新的短期身份包括在向所述AP传输的所述传输帧中。此后，所述STA可周期性地改变其短期身份以防止所述STA被跟踪。只要所述新的长期身份从不通过所述无线网络明确传输，所述STA就可以使用其新的长期身份进一步保持所述STA与所述AP的关联而不被跟踪。

在一些实施方案中，STA可周期性地改变或掩蔽存储在通过无线网络传输的帧中的各种“指纹”字段，以防止在所述STA连接到所述无线网络时被跟踪。例如，每当所述STA的短期身份改变时，所述STA可以将帧中的序列控制(SC)字段重置为随机值。每当所述STA的短期身份改变时，所述STA可以将帧中的计数器模式密码块链消息认证码协议(CCMP)字段的数据包编号(PN)重置为随机值。所述STA可掩蔽帧中的高吞吐量控制(HTC)字段和/或CCMP字段。所述STA还可将帧的一个或多个MAC标头字段连同MAC有效载荷一起加密。

在一些实施方案中，AP可与STA建立安全关联并将短期身份分配给所述STA。当所述STA首先建立与所述AP的安全关联时，短期身份可以是由所述AP分配给所述STA的AID。所述AP然后可从所述STA接收新的长期身份。所述新的长期身份可以是MAC地址。所述AP可基于安全关联接收所述新的长期身份。例如，所述STA可使用由所述安全关联安装的一组加密密钥以加密形式向所述AP传输所述新的长期身份。所述AP和所述STA两者可将所述STA的新的长期身份映射到其由所述AP分配的短期身份；因此，所述AP仅需要将所述STA的短期身份包括在向所述STA传输的所述传输帧中。所述AP然后可从所述STA接收请求帧以改变由所述AP分配给所述STA的所述短期身份。所述AP然后可向所述STA传输响应帧。所述响应帧可包括分配给所述站点的新的短期身份。所述请求帧和响应帧可被加密以避免被其他设备跟踪。所述新的短期身份可以是由所述AP分配给所述STA的新的AID。所述AP可在新的AID改变周期开始时从随机选择的AID块内随机选择所述新的AID。所述AP和所述STA两者可将所述STA的所述新的长期身份映射到分配给所述STA的所述新的短期身份，并且所述AP可将所述STA的新的短期身份包括在向所述STA传输的帧中。此后，所述AP可周期性地改变所述STA的短期身份以防止所述STA被跟踪。所述AP还可使用所述STA的所述新的长期身份来保持与所述STA的关联，而无需通过所述无线网络明确传输所述新的长期身份。

通过附图以及通过具体实施方式，本公开的其他特征将显而易见。

附图说明

附图被并入本文并且构成具体实施方式的一部分。

图1示出了根据一些实施方案的用于对连接到无线网络的站点(STA)进行身份混淆的示例性系统。

图2是根据一些实施方案的通过无线网络传输和接收帧的示例性STA的框图。

图3示出了根据一些实施方案的通过无线网络传输和接收帧的示例性接入点(AP)的框图。

图4是根据一些实施方案的根据电气和电子工程师协会(IEEE)802.11标准的示例性标准兼容帧的框图。

图5是根据一些实施方案的用于连接到无线网络的STA进行身份混淆的示例性方法的流程图。

图6是示出根据一些实施方案的对连接到IEEE 802.11无线网络的STA进行身份混淆的泳道图。

图7是根据一些实施方案的使用局部虚拟位图表示的业务信息图(TIM)字段的示例性TIM位图的框图。

图8是根据一些实施方案的示例性标准兼容帧的框图，其中计数器模式密码块链消息认证码协议(CCMP)字段已作为加密一个或多个MAC标头字段连同MAC有效载荷的一部分一起被移动。

图9是用于实现各种实施方案的示例性计算机系统。

在附图中，类似的参考标号通常表示相同或类似的元件。另外，通常，参考标号的最左边的数字标识首先出现参考标号的附图。

具体实施方式

本文公开了用于对连接到无线网络的站点(STA)进行身份混淆以防止该STA被跟踪的系统、装置、设备、方法和/或计算机程序产品实施方案，以及/或者它们的组合和子组合。由STA操作的一些实施方案在STA的短期身份(例如，AID)和STA的长期身份(例如，媒体访问控制(MAC)地址)之间建立了映射，该短期身份通过无线网络“明确”传输并周期性地改变，该长期身份在该STA与接入点(AP)相关联的同时保持恒定并且从不通过无线网络“明确”传输。此外，由STA操作的实施方案周期性地改变或掩蔽存储在通过无线网络传输的帧中的各种“指纹”字段。

用户通常使用其电子设备(例如，移动电话、膝上型电脑、智能手表以及如本领域的普通技术人员将理解的各种其他电子设备)来连接到在公共场所(诸如，咖啡店、百货和机场)处提供的无线网络。用户使用各种无线通信标准连接到这些无线网络。例如，用户通常使用电气和电子工程师协会(IEEE)802.11标准(当前提议和/或未来版本)连接到无线网络。为了管理电子设备与无线网络的关联，无线通信标准诸如IEEE 802.11通常使用电子设备的长期身份(例如，电子设备的媒体访问控制(MAC)地址)。这通常需要电子设备将其长期身份包括在其传输的帧中。

但是这些无线通信标准通常存储电子设备的在传输帧中未加密的长期身份。此外，这些无线通信标准通常在电子设备已经连接到无线网络之后防止电子设备改变其长期身份。这在某些环境中可造成隐私问题。具体地讲，可使用拦截经过无线网络的流量的网络嗅探器容易地跟踪该电子设备。这是因为电子设备的长期身份以未加密格式存储，并且因为其保持相对恒定。这在公共场所诸如咖啡店、百货商店和机场中尤其如此。

例如，顾客可访问百货商店并将其移动设备连接到百货商店的无线网络。然而，一旦顾客连接到商店的无线网络，该商店中存在的任何网络嗅探器就可以跟踪顾客在商店中打发其时间的地方、他们访问的频率以及甚至他们在其移动设备上浏览的内容。

一些无线通信标准允许电子设备在连接到无线网络之前动态地改变其长期身份。这可降低在加入该无线网络之前电子设备可被跟踪的可能性。但是这仍然存在隐私问题。这是因为一旦电子设备加入无线网络，该电子设备通常就不能改变其长期身份。因此，一旦电子设备加入无线网络，只要其连接到该网络，电子设备仍可被容易地跟踪。因此，常规方法无法在隐藏电子设备的身份时同时管理该电子设备与无线网络的关联。

本文提供了用于解决该技术问题的系统和方法。具体地讲，本文的实施方案涉及在STA的短期身份(例如，AID)和STA的长期身份(例如，MAC地址)之间建立了映射，该短期身份通过无线网络明确传输并周期性地改变，该长期身份在该STA与AP相关联的同时保持恒定并且从不通过无线网络“明确”传输。在本文中，“明确”意指通过无线网络未加密地传输。

图1示出了根据一些实施方案的用于对连接到无线网络的STA进行身份混淆的示例性系统100。系统100包括AP 102和STA 104、106和108。STA 104、106和108连同AP 102一起形成基本服务集(BSS)或扩展服务集(ESS)。应当理解，在不脱离本公开的范围和精神的情况下，系统100可包括除图1所示的STA之外或代替图1所示的STA的其他STA。这些其他STA包括但不限于台式计算机、膝上型电脑、智能电话、平板电脑、触摸板、可穿戴电子设备、智能手表或其他电子设备。

STA 104、106和108可通过AP 102来传输和接收帧。例如，AP 102以及STA 104、106和108可根据IEEE 802.11标准(当前提议和/或未来版本)来传输和接收媒体访问控制协议数据单元(MPDU)帧。如本领域的普通技术人员将理解的，STA 104、106和108可使用各种其他无线通信协议通过AP 102来传输和接收帧。

图2示出了根据一些实施方案的通过无线网络传输和接收帧的示例性STA 200的框图。STA 200可以是系统100的STA(例如，104、106或108)中的任一个STA。STA 200包括处理器210、收发器220、通信基础结构230、存储器240和天线250。存储器240可包括随机存取存储器(RAM)和/或高速缓存，并且可包括控制逻辑部件(例如，计算机软件)和/或数据。处理器210连同存储在存储器240中(或硬连线在处理器210中)的指令一起执行保护STA 200的身份的操作，同时生成通过无线网络使用收发器220传输的各种通信帧(数据和/或控制)。根据一些实施方案，收发器220经由天线250传输和接收通信信号(例如，无线信号)，包括支持在STA 200连接到无线网络时保护该STA的身份的通信帧。通信基础设施230可以是总线。天线250可包括可以是相同或不同类型的一个或多个天线。

图3示出了根据一些实施方案的通过无线网络传输和接收帧的示例性接入点AP300的框图。AP 300可为系统100的AP 102。AP 300包括处理器310、收发器320、通信基础结构330、存储器340、天线350和无线接口360。存储器340可包括随机存取存储器(RAM)和/或高速缓存，并且可包括控制逻辑部件(例如，计算机软件)和/或数据。处理器310连同存储在存储器640中的指令一起执行在STA(例如，STA 104、106或108中的任一者)连接到无线网络时保护STA的身份的操作。收发器320可传输和接收包括支持通过无线接口360保护STA 200的身份的通信帧的通信信号，并且可耦接到天线350。通信基础结构330可以是总线。天线350可包括可以是相同或不同类型的一个或多个天线。

图4是根据一些实施方案的根据IEEE 802.11标准(当前提议和/或未来版本)的示例性标准兼容帧400的框图。参考图1来描述图4，其中STA104、106和108可与AP 102一起传输和接收帧400。

帧400可包括物理(PHY)标头402、MAC标头404和MAC有效载荷406。帧400可包括如本领域的普通技术人员将理解的各种其他字段。帧400可以是数据帧、管理帧、控制帧或如本领域普通技术人员将理解的各种其他类型的帧。

帧400可包括STA(例如，STA 104、106和108)和AP(例如，AP102)的一个或多个身份。例如，PHY标头402可包括STA的关联标识(AID)。AID也可以被称为STA的短期身份。STA的短期身份是在STA连接到AP时可容易地改变的身份。

AID可由AP分配给STA。在STA与AP相关联之后，可将AID分配给STA。AP可使用AID向STA指示各种信息。例如，AP可包括帧400的业务信息图(TIM)字段中的AID。在这种情况下，帧400可以是信标帧。TIM字段中AID的存在可指示下行链路帧可由对应的STA在AP处下载。AP还可包括帧400中的AID以指示对应的STA的资源块分配。在这种情况下，帧400可以是触发帧。AP还可包括帧400中的信号(SIG)字段中的AID，以指示对应的STA的资源块分配。

帧400可包括MAC标头404。MAC标头404可包括STA的一个或多个身份。例如，MAC标头404可包括STA的一个或多个MAC地址。MAC地址也可被称为STA的长期身份。STA的长期身份是当STA连接到AP或该AP所属的ESS网络时不易改变的身份。MAC地址可以是全局唯一MAC地址或本地管理的MAC地址。

STA的网络接口(例如，STA 200的收发器220)由网络接口的制造商分配全局唯一MAC地址。还可将STA的网络接口分配覆盖全局唯一MAC地址的本地管理的MAC地址。例如，网络管理员可将本地管理的MAC地址分配给STA。STA的本地管理的MAC地址可以改变。

AP可使用STA的MAC地址来管理STA。例如，AP可使用STA的MAC地址来管理STA与AP的关联。AP可使用STA的MAC地址来管理分配给STA的逻辑网络地址(例如，互联网协议(IP)地址)。AP可使用STA的MAC地址来执行针对STA的地址解析协议(ARP)高速缓存。AP可使用STA的MAC地址来管理STA的漫游。AP可使用STA的MAC地址来管理如本领域的普通技术人员将理解的与STA相关联的各种其他特性。

在常规方法中，帧400可以未加密格式(即，“明确”)存储STA的MAC地址。因此，网络嗅探器可以拦截帧400并确定STA的MAC地址。这意味着STA可被容易地跟踪。为了避免被跟踪，STA可周期性地将其MAC地址改变为随机值。但是这仍然不能保护STA免于被跟踪。这是因为STA一旦加入无线网络就可能无法改变其MAC地址。一旦STA加入无线网络就可能无法改变其MAC地址，是因为改变该MAC地址可能阻止AP管理STA与AP的关联。因此，一旦STA加入无线网络，通常就可以容易地跟踪STA，直到STA从网络断开连接。

此外，帧400可包括可用于识别STA的各种其他字段(“指纹字段”)。在常规方法中，帧400可以“明确”或未加密方式存储这些字段。因此，网络嗅探器可拦截帧400并监测这些字段的值。这意味着STA也可使用这些字段容易地跟踪。

例如，MAC标头404可包括可携带STA的独特指纹的各种字段。MAC标头404可包括接收器地址(RA)408、发射器地址(TA)410、BSS标识(BSSID)412、序列控制(SC)414、高吞吐量控制(HTC)416以及计数器模式密码块链消息认证码协议(CCMP)418。SC 414可携带帧400的序列号。序列号可在以下帧中顺序地增加。HTC 416可存储各种控制设置。CCMP 418可存储数据包编号(PN)。该PN可在以下帧中顺序地增加。

为了解决这些技术问题，本文的实施方案在STA的短期身份(例如，AID)和STA的长期身份(例如，MAC地址)之间建立了映射，该短期身份通过无线网络“明确”传输并周期性地改变，该长期身份在该STA与AP(或该AP所属的ESS网络)相关联的同时保持恒定并且从不通过无线网络“明确”传输。此外，本文的实施方案周期性地改变和/或掩蔽存储在通过无线网络传输的帧中的各种“指纹”字段。

长期身份中的术语“长期”可指这样的事实：STA的长期身份的改变频率通常低于STA的短期身份的改变频率。例如，在建立与AP的关联之后，STA的长期身份通常无法改变。

图5是根据一些实施方案的用于连接到无线网络的STA进行身份混淆的示例性方法500的流程图。方法500可由处理逻辑部件执行，该处理逻辑部件可包括硬件(例如，电路、专用逻辑部件、可编程逻辑部件、微代码等)、软件(例如，在处理设备上执行的指令)或它们的组合。方法500可与各种无线通信协议一起使用。应当理解，可能不需要所有步骤来执行本文提供的公开内容。此外，如本领域的普通技术人员将理解的那样，这些步骤中的一些步骤可同时执行，或以与图5所示不同的顺序执行。参考图1、图2和图4来描述图5。

在501中，STA(例如，STA 104)广播发现请求帧(例如，探测请求帧)以在其附近发现可用网络(例如，IEEE 802.11网络)。在广播发现请求帧之前，STA获得第一长期身份(例如，本地管理的MAC地址)。STA可在发现请求帧中包括其第一长期身份。

长期身份中的术语“长期”可指这样的事实：STA的长期身份的改变频率通常低于STA的短期身份的改变频率。例如，在建立与AP的关联之后，STA的长期身份通常无法改变。

STA可由其自身生成其第一长期身份，或者由用户、网络管理员、制造商或如本领域普通技术人员理解的其他实体分配其第一长期身份。第一长期身份也可被称为初始长期身份。第一长期身份也可被称为预关联长期身份。这是因为STA可在其加入无线网络之前被配置为具有预关联长期身份。STA可在502之前改变其第一长期身份。例如，STA可将其第一长期身份改变为随机值以避免被跟踪。

在502中，STA响应于发现请求帧的传输而从AP(例如，AP 102)接收发现响应帧。

在503中，STA向AP认证。该认证过程确定STA是否可以加入AP的无线网络。如本领域的普通技术人员将理解的，STA可使用各种类型的认证技术向AP认证。STA可将其第一长期身份包括在认证过程期间使用的一个或多个认证帧中。然而，一旦认证过程开始，STA就不能改变其第一长期身份，直到安全关联被竞争或中止。

在504中，STA传输关联请求帧以加入AP的无线网络。STA将其第一长期身份包括在关联请求帧中。

在505中，STA响应于关联请求帧的传输而从AP接收关联响应帧。关联响应帧可指示AP是否已允许STA加入其无线网络。如果AP已允许STA加入其无线网络，则关联响应帧可包括STA的第一短期身份(例如，AID)。AP可基于随机值将第一短期身份分配给STA。STA的第一短期身份可识别AP的无线网络中的STA。STA然后将其第一短期身份映射到其第一长期身份，并将该映射存储在存储器(诸如存储器240)中。

在506中，STA建立与AP的第一安全关联。STA可使用第一安全关联来加密往返于AP的帧。例如，第一安全关联可包括一组加密密钥，该组加密密钥可由STA用于加密传送到AP和从AP传送的后续帧。STA可基于STA的第一长期身份和AP的身份(例如，AP的MAC地址)来建立第一安全关联。

在507中，STA生成其自身的第二长期身份(“新的长期身份”)。STA可基于随机值生成其第二长期身份。

在508中，STA使用第一安全关联向AP传输其第二长期身份。STA使用第一安全关联将其第二长期身份传输到AP防止第二长期身份被网络嗅探器拦截。

在509中，STA使用其第二长期身份和AP的身份来建立与AP的第二安全关联。在成功建立第一安全关联和第二安全关联之后，STA可使用第二安全关联来加密往返于AP的帧。例如，第二安全关联可包括一组加密密钥，该组加密密钥可由STA用于加密往返于AP的帧。

在510中，STA向AP传输改变其第一短期身份的请求。STA可使用第二安全关联向AP传输改变其第一短期身份的请求。

在511中，STA从AP接收指示STA的第一短期身份已改变为第二短期身份的确认。STA可使用第二安全关联来接收该确认。STA然后将其被分配的第二短期身份映射到其第二长期身份。STA和AP可将STA的第二短期身份和AP的身份(例如，BSSID)包括在帧中，以避免将STA的第二长期身份暴露于其他设备。STA可周期性地改变其短期身份，但是保持其第二长期身份不变，使得该STA可保持与AP的第二安全关联，而不改变加密密钥。

例如，STA和AP可将STA的第二短期身份和AP的身份(例如，BSSID)包括在帧400中，以避免将STA的第二长期身份暴露于其他设备。如果帧400是下行链路数据或管理帧，则PHY标头402可包括AP的身份(例如，BSSID)、STA的第二短期身份、STA的第二短期身份的散列值、AP的身份的散列值，以及/或者STA的第二短期身份和AP的身份的散列值。RA 408可包括AP的身份、STA的第二短期身份，以及/或者STA的第二短期身份和AP的身份的散列值。TA410可包括AP的身份、空STA短期身份，以及/或者空STA短期身份和AP的身份的散列值。BSSID 412可包括AP的身份。

如果帧400是上行链路确认帧或块确认帧，则RA 408可包括AP的身份、空STA短期身份，以及/或者空STA短期身份和AP的身份的散列值。TA 410可包括AP的身份、STA的第二短期身份，以及/或者STA的第二短期身份和AP的身份的散列值。

如果帧400是上行链路数据或管理帧，则PHY标头402可包括AP的身份、空STA短期身份，以及/或者空STA短期身份和AP的身份的散列值。RA 408可包括AP的身份、空STA短期身份，以及/或者空STA短期身份和AP的身份的散列值。TA 410可包括AP的身份、STA的第二短期身份，以及/或者STA的第二短期身份和AP的身份的散列值。BSSID 412可包括AP的身份。

如果帧400是下行链路确认帧或块确认帧，则RA 408可包括AP的身份、STA的第二短期身份，以及/或者STA的第二短期身份和AP的身份的散列值。TA 410可包括AP的身份、空STA短期身份，以及/或者空STA短期身份和AP的身份的散列值。

图6是示出根据一些实施方案的对连接到IEEE 802.11无线网络的STA进行身份混淆的泳道图。参考图1来讨论图6。

在601中，STA(例如，STA 104)可向AP(例如，AP 102)传输探测请求帧以发现其附近的无线网络(例如，BSS)。探测请求帧可通告STA支持的数据速率和能力(例如，IEEE802.11ax能力)。在向AP传输探测请求帧之前，STA获取第一MAC地址并且将第一MAC地址包括在该探测请求帧中。STA可由其自身生成第一MAC地址，或者由用户、网络管理员、制造商或如本领域普通技术人员理解的其他实体分配第一MAC地址。第一MAC地址也可被称为预关联MAC地址。这是因为STA可在其加入无线网络之前获取预关联MAC地址。STA可改变其第一MAC地址直到602。例如，STA可将其第一MAC地址改变为随机值。

在602中，AP可响应于接收到探测请求帧而向STA传输探测响应帧。如果STA能够与AP网络兼容，则AP可向STA传输探测响应帧。探测响应帧可包括AP的BSS的服务集标识(SSID)。探测响应帧可包括一个或多个支持的数据速率、一个或多个支持的加密类型，以及如本领域的普通技术人员将理解的AP的各种其他能力。

在603中，STA可向AP认证。例如，STA可执行IEEE 802.11认证，诸如开放系统认证或共享密钥认证。在开放系统认证中，STA可使用其第一MAC地址向AP认证其自身。例如，STA可向AP传输包含其第一MAC地址的IEEE 802.11认证管理帧。AP然后可检查STA的第一MAC地址并传输回认证验证帧。在603完成之后，STA向AP认证，但尚未与AP相关联。一旦认证过程开始，STA就不能改变其第一MAC地址，直到安全关联完成或中止。

在604中，STA可向AP传输关联请求帧。当STA确定其想要与AP相关联时，STA可向AP传输关联请求帧。STA可将其第一MAC地址包括在关联请求帧中。关联请求帧可包括STA的支持的数据速率、支持的加密类型，以及如本领域的普通技术人员将理解的STA的各种其他能力。

在605中，AP可响应于接收到关联请求帧而向STA传输关联响应帧。AP可在关联响应帧中指示AP是否已允许STA加入其BSS。如果STA的在关联请求帧中指定的能力与AP的能力匹配，则AP可允许STA加入其BSS。如果AP接受来自STA的关联请求，则AP可将随机关联标识(AID)分配给STA。AP可将所分配的AID包括在关联响应帧中。该AID可被称为第一短期标识或原始短期标识。

在606中，STA可基于其第一MAC地址和AP的MAC地址导出第一组加密密钥。类似地，AP可基于STA的第一MAC地址和AP的MAC地址导出相同的一个或多个加密密钥。第一组加密密钥可包括局域网上的可扩展认证协议确认密钥(EAPOL-KCK)和EAPOL加密密钥(EAPOL-KEK)。第一组加密密钥可以是STA和AP之间的第一安全关联的一部分。STA可使用第一安全关联来加密往返于AP的帧。例如，STA可加密STA和AP之间的4次握手的帧。4次握手可基于IEEE 802.11i标准。

在607中，AP可向STA传输4次握手中的第一帧。该第一帧可包括随机数值(例如，ANonce)和密钥重放计数器值。密钥重放计数器值可以是用于匹配正在发送的每对帧的数字。

在608中，STA可响应于从AP接收到4次握手的第一帧而生成随机第二MAC地址。第二MAC地址也可被称为关联后MAC地址。这是因为STA可在其加入无线网络之后使用关联后MAC地址。在完成4次握手之后，STA可开始使用第二MAC地址。

STA可基于第二MAC地址和AP的MAC地址进一步导出第二组加密密钥。第二组加密密钥可以是STA和AP之间的第二安全关联的一部分。在完成4次握手并且STA与AP相关联之后，STA可使用第二安全关联来加密往返于AP的帧。

在609中，STA可使用第一组加密密钥向AP安全地传输4次握手中的第二帧。第二帧可包括第二MAC地址。第二帧可将第二MAC地址包括在其密钥数据字段中，该第二MAC地址基于第一组加密密钥进行加密。换句话讲，AP可以加密形式向AP传输第二帧。

在610中，AP可基于存储在4次握手中的第二帧中的第二MAC地址和AP的MAC地址导出608的第二组加密密钥。

在611中，AP可使用第一组加密密钥向STA安全地传输4次握手中的第三帧。AP可在第三帧中指示AP是否已接受STA的选择来将第二MAC地址分配给其自身。如果AP确定第二MAC地址已被另一个STA使用，则AP可通过将错误代码(例如，“重复MAC地址”)包括在第三帧中来终止4次握手。另一方面，如果AP确定第二MAC地址与另一个STA的MAC地址不冲突，则AP可通过将第二MAC地址包括在第三帧中来确认不存在冲突。第三帧可将第二MAC地址包括在其密钥数据字段中，该第二MAC地址基于第一组加密密钥进行加密。

在612中，STA可使用第一组加密密钥向AP安全地传输4次握手中的第四帧。STA可在第四帧中指示STA是否已确认4次握手中的第三帧是有效的，并且因此完成4次握手。

在613中，STA可响应于完成4次握手而将第二MAC地址分配给其自身(或切换到第二MAC地址)。AP和STA可进一步将605中分配的STA的AID映射到STA的第二MAC地址。STA可进一步使用第二组加密密钥来继续与AP安全地交换帧。STA和AP可将STA的AID和AP的身份(例如，BSSID)包括在帧中，以避免将STA的第二MAC地址暴露于其他设备。STA可周期性地改变其AID，但是保持其第二MAC地址不变，使得该STA可保持与AP的第二安全关联，而不改变加密密钥。

例如，STA和AP可将STA的AID和AP的身份包括在帧400中，以避免将STA的第二MAC地址暴露于其他设备。如果帧400是下行链路数据或管理帧，则PHY标头402可包括AP的身份(例如，BSSID)、STA的AID、STA的AID的散列值、AP的身份的散列值，以及/或者STA的AID和AP的身份的散列值。RA 408可包括AP的身份、STA的AID，以及/或者STA的AID和AP的身份的散列值。TA 410可包括AP的身份、AID为0的STA，以及/或者AID为0的STA和AP的身份的散列值。BSSID 412可包括AP的身份。

例如，如果帧400是上行链路确认帧或块确认帧，则RA 408可包括AP的身份、AID为0的STA，以及/或者AID为0的STA和AP的身份的散列值。TA 410可包括AP的身份、STA的AID，以及/或者STA的AID和AP的身份的散列值。

如果帧400是上行链路数据或管理帧，则PHY标头402可包括AP的身份、AID为0的STA，以及/或者AID为0的STA和AP的身份的散列值。RA 408可包括AP的身份、AID为0的STA，以及/或者AID为0的STA和AP的身份的散列值。TA 410可包括AP的身份、STA的AID，以及/或者STA的AID和AP的身份的散列值。BSSID 412可包括AP的身份。

如果帧400是下行链路确认帧或块确认帧，则RA 408可包括AP的身份、STA的AID，以及/或者STA的AID和AP的身份的散列值。TA 410可包括AP的身份、AID为0的STA，以及/或者AID为0的STA和AP的身份的散列值。

在STA将第二MAC地址(例如，新的长期标识)分配给其自身并将其自身与AP相关联之后，STA可请求AP改变其所分配的AID(例如，其原始短期标识)。周期性地改变STA的所分配的AID可减少网络嗅探器可基于STA的所分配的AID跟踪STA的机会。这是因为所分配的AID可被“明确”传输。

STA可使用AID改变请求、AID改变响应和/或AID更新帧来改变其所分配的AID。AID改变请求、AID改变响应和AID更新帧可以是由第二组加密密钥加密的稳健管理帧。AID改变请求、AID改变响应和AID更新帧也可以是由第二组加密密钥加密的可扩展认证协议(EAP)帧。

在一些实施方案中，在STA将第二MAC地址分配给其自身并将其自身与AP相关联之后，STA可利用期望的AID改变周期向AP传输AID改变请求帧。AID改变周期可指示AP将经由AID更新帧将新的AID(例如，新的短期标识)分配给STA的频率。AID改变周期也可被称为短期身份改变周期。

响应于接收到AID改变请求帧，AP可传输回具有确认的AID改变周期的AID改变响应帧。确认的AID改变周期可不同于期望的AID改变周期。AP然后可向STA传输具有该STA的新的AID的AID更新帧。STA然后可使用新的AID继续进行。AP和STA两者还可将STA的新AID映射到其第二MAC地址。

在一些其他实施方案中，在STA将第二MAC地址分配给其自身并将其自身与AP相关联之后，STA可向AP传输按需AID改变请求帧。AP可向STA传输回具有其新的AID的AID更新帧。STA然后可使用新的AID继续进行。AP和STA两者还可将STA的新AID映射到其第二MAC地址。

在被分配新的AID之后，STA可保持其第二MAC地址并继续使用第二组加密密钥来与AP安全地交换帧。AP和STA两者可将STA的新的AID和AP的身份包括在传输的帧中。

无论STA周期性地或按需分配其新的AID，优选的是AP将不可预测的新的AID分配给STA，以防止网络嗅探器基于对其AID的改变来跟踪该STA。但是AP还优选地将连续AID分配给多个STA。这是因为将连续AID分配给STA减小了由AP广播的信标帧中的业务信息图(TIM)字段的尺寸。

信标帧中的TIM字段可指定AP处可供STA下载的缓冲帧。TIM字段可使用位图来指定AP处可供相关联的STA下载的缓冲帧。位图中的每个位可表示可能分配给STA的AID。位图可以是2008位。

由于位图的大尺寸，整个位图通常从不在信标帧中完整传输。相反，TIM字段可使用局部虚拟位图。局部虚拟位图可表示位图空间的包含指向AP处具有缓冲帧的所有STA的AID的连续部分。TIM字段包括指示局部虚拟位图在较大位图中开始的位置的偏移。这可减小TIM字段的尺寸，这可减少解码时间、介质争用以及相关联的STA处的功率使用。

图7是根据一些实施方案的使用局部虚拟位图706表示的TIM字段的示例性TIM位图702的框图。TIM位图702可表示可用于由AP分配给STA的一系列AID 704。该一系列AID704也可被称为AID空间或短期身份空间。

在图7中，TIM位图702包括2008位。TIM位图702中的每个位可对应于AID 704。1位可指示AP处的缓冲帧可供对应的STA下载。0位可指示AP处无帧可供对应的STA下载。因此，因为TIM位图702包括2008位，所以TIM位图702可指定AP处的缓冲帧是否可供多达2008的STA(例如，AID 0到AID 2007)下载。

但AP通常具有连接到其上的少量STA。为了减小TIM位图702的尺寸，AP可从TIM位图702中的一系列AID 704的连续部分将AID分配给STA。由于未将该连续部分之外的AID分配给STA，因此其不需要在TIM字段中表示。相反，该连续部分可与偏移(例如，n)一起表示为局部虚拟位图706。该偏移可指示局部虚拟位图706在TIM位图702中开始的位置。AP可包括局部虚拟位图706及其在信标帧中的TIM字段中的相关联的偏移。

但是在一些实施方案中，AP还优选地将不可预测的新的AID分配给STA，以防止网络嗅探器基于对STA的AID的改变来跟踪该STA。为了使AP能够为STA选择不可预测的新的AID，同时保持TIM位图702的尺寸减小，AP可使用基于块的策略为STA选择新的AID。

在涉及该基于块的策略的一些实施方案中，AP可估计与AP相关联的STA的最大数量(例如，m个STA)。例如，AP可基于在一段时间内已加入AP的STA的数量来估计与AP相关联的STA的最大数量。AP然后可将整个AID空间(例如，AID 0到AID 2007)划分成多个AID块(例如，s个块)。每个块可包含m个AID。

当新的AID改变周期开始时，AP可从s个AID块中选择随机AID块。AP然后可在所选择的AID块内随机分配和/或重新分配AID，直到AID改变周期结束。换句话讲，AP可基于随机值来分配和/或重新分配所选择的块内的AID。该方法可确保将AID分配给STA的不可预测性，同时仍然使得TIM位图702能够使用局部虚拟位图706以减小的尺寸表示。

在AID分配和/或重新分配期间，AP可检查在两个相邻AID改变周期之间旧的AID与新的AID不冲突。AP还可同时提供支持AID改变的STA和不支持AID改变的STA。AP可通过保持不支持AID改变的STA的原始TIM位图以及支持AID改变的STA的一个或多个新的TIM位图来这样做。

除了在帧中包括STA的一个或多个身份之外，该帧通常还可包括可用于识别STA的各种其他字段(“指纹字段”)。例如，图4的帧400可包括可用于识别STA的各种字段，诸如但不限于SC 414、HTC 416和CCMP418。在常规方法中，帧400可以“明确”或未加密方式存储这些字段。因此，网络嗅探器可拦截帧400并确定这些字段的值。这意味着STA通常可使用这些字段容易地跟踪。

为了解决该技术问题，在一些实施方案中，STA可周期性地改变或掩蔽存储在通过无线网络传输的帧中的各种“指纹”字段，以防止网络嗅探器使用这些字段来跟踪该STA。例如，每当STA的AID(例如，短期身份)改变时，该STA可以将帧中的SC字段(例如，SC 414)重置为随机值。

每当STA的AID(例如，短期身份)改变时，该STA也可以将帧中的CCMP字段(例如，CCMP 418)的数据包编号(PN)重置为随机值。为了避免PN快速到期，STA可在其整个序列空间的第一子空间内将PN重置为随机值。在这种情况下，前m个最高有效位(MSB)被设置为零。为了重置PN，STA还可与AP建立一组新的加密密钥(例如，PTK)。

STA还可在帧中掩蔽HTC字段(例如，HTC 416)和/或CCMP字段(例如，CCMP 418)。这可以使STA能够避免必须改变这些字段的实际值。为了掩蔽这些字段，STA可计算掩码并将该掩码应用于这些字段。STA可使用按位XOR操作将掩码应用于这些字段。如本领域的普通技术人员将理解的，STA可使用各种其他技术将掩码应用于字段。

STA可使用一组加密密钥来计算掩码。该组加密密钥可作为在STA和AP之间建立安全关联的一部分而生成。例如，STA可在图6的步骤607中使用第二组加密密钥。换句话讲，STA可使用建立用于在STA与AP相关联之后使用的该组加密密钥。

STA可通过将密码散列函数应用于来自该组加密密钥的key_mask、AP的BSS标识以及STA的AID来计算掩码。每当将新的AID分配给STA，该STA就可改变掩码。如本领域的普通技术人员将理解的，STA可使用各种类型的密码散列函数来计算掩码，这些密码散列函数诸如但不限于SipHash、安全散列算法(SHA)-1、SHA-2或SHA-3。

STA还可通过将密码散列函数应用于来自该组加密密钥的key_mask、AP的BSS标识、STA的AID以及SC字段(例如，图4中的SC 414)的值来计算掩码。在这种情况下，STA可针对传输的每个帧改变掩码。当将新的AID分配给STA时，STA还可将SC字段重置为随机值。

所述STA还可将帧的一个或多个MAC标头字段连同MAC有效载荷一起加密。例如，STA可将MAC标头字段408-416连同帧400的MAC有效载荷406一起加密。

STA可使用一组加密密钥来加密该数据。该组加密密钥可作为在STA和AP之间建立安全关联的一部分而生成。例如，STA可在图6的步骤607中使用第二组加密密钥。换句话讲，STA可使用建立用于在STA与AP相关联之后使用的该组加密密钥。

然而，为了加密该数据，STA可能需要在加密的数据之前移动一个或多个MAC标头字段。例如，STA可能需要在加密的数据(例如，帧400中的CCMP 418)之前移动CCMP字段。

图8是根据一些实施方案的示例性标准兼容帧800的框图，其中CCMP字段已作为加密一个或多个MAC标头字段连同MAC有效载荷的一部分一起被移动。在图8中，STA对RA 408、TA 410、BSSID 412、SC414和HTC 416连同帧400的MAC有效载荷406一起加密以产生加密的数据802。STA然后在加密的数据802之前移动帧400的CCMP 418。结果是帧800。

STA可使用一组加密密钥对RA 408、TA 410、BSSID 412、SC 414和HTC 416连同MAC有效载荷406一起加密。该组加密密钥可作为在STA和AP之间建立安全关联的一部分而生成。例如，STA可在图6的步骤607中使用第二组加密密钥。换句话讲，STA可使用建立用于在STA与AP相关联之后使用的该组加密密钥。

每当STA的AID(或短期身份)改变时，该STA也可将帧800中的CCMP 418的PN重置为随机值。STA还可掩蔽帧800中的CCMP 418。

各种实施方案可例如使用系统(诸如STA 200和AP 300)来实现。STA 200可用于例如实现图6的方法500和泳道。AP 300可用于例如实现图6的泳道。

各种实施方案还可例如使用一个或多个计算机系统(诸如图9所示的计算机系统900)来实现。计算机系统900可用于例如实现图6的方法500和泳道。计算机系统900可以是能够执行本文所述功能的任何计算机。

计算机系统900包括一个或多个处理器(也称为中央处理单元或CPU)，诸如处理器904。处理器904连接到通信基础结构或总线906。

一个或多个处理器904可各自为图形处理单元(GPU)。在实施方案中，GPU是被设计用于处理数学密集型应用的专用电子电路的处理器。GPU可具有用于并行处理大数据块的有效的并行结构，诸如计算机图形应用、图像、视频等通用的数学密集型数据。

计算机系统900还包括通过用户输入/输出接口902与通信基础结构906进行通信的用户输入/输出设备903，诸如监视器、键盘、指向设备等。

计算机系统900还包括主存储器或主要存储器908，诸如随机存取存储器(RAM)。主存储器908可包括一个或多个级别的高速缓存。主存储器908在其中存储有控制逻辑部件(即，计算机软件)和/或数据。

计算机系统900还可包括一个或多个辅助存储设备或存储器910。辅助存储器910可包括例如硬盘驱动器912和/或可移除存储设备或驱动器914。可移除存储驱动器914可以是软盘驱动器、磁带驱动器、光盘驱动器、光学存储设备、磁带备份设备以及/或者任何其他存储设备/驱动器。

可移除存储驱动器914可与可移除存储单元918交互。可移除存储单元918包括其上存储有计算机软件(控制逻辑部件)和/或数据的计算机可用或可读存储设备。可移除存储单元918可以是软盘、磁带、光盘、DVD、光学存储盘以及/或者任何其他计算机数据存储设备。可移除存储驱动器914以众所周知的方式从可移除存储单元918读取以及/或者写入该可移除存储单元。

根据实施方案，辅助存储器910可包括用于允许计算机系统900访问计算机程序以及/或者其他指令和/或数据的其他装置、手段或其他方法。此类装置、手段或其他方法可包括例如可移除存储单元922和接口920。可移除存储单元922和接口920的示例可包括程序盒和盒接口(诸如在视频游戏设备中找到的接口)、可移除存储器芯片(诸如EPROM或PROM)以及相关联的插座、存储棒和USB端口、存储卡和相关联的存储卡插槽，以及/或者任何其他可移除存储单元和相关联的接口。

计算机系统900还可包括通信或网络接口924。通信接口924使得计算机系统900能够与远程设备、远程网络、远程实体等(单独地和共同地由参考数字928引用)的任何组合进行通信和交互。例如，通信接口924可允许计算机系统900通过通信路径926与远程设备928进行通信，该通信路径可以是有线和/或无线的，并且可包括LAN、WAN、互联网等的任意组合。通信接口924还可被称为发射器。控制逻辑部件和/或数据可经由通信路径926传输到计算机系统900以及从该计算机系统传输。

在实施方案中，有形装置或制品包括有形计算机可用或可读的介质，其上存储有控制逻辑部件(软件)，在本文中也被称为计算机程序产品或程序存储设备。这包括但不限于计算机系统900、主存储器908、辅助存储器910和可移除存储单元918和922，以及体现前述任何组合的有形制品。当由一个或多个数据处理设备(诸如计算机系统900)执行时，此类控制逻辑部件使得此类数据处理设备如本文所述进行操作。

基于本公开中包含的教导，对相关领域技术人员将显而易见的是，如何使用除图9所示以外的数据处理设备、计算机系统和/或计算机体系结构来制作和使用本文公开的实施方案。特别地，实施方案可与除了本文描述的那些之外的软件、硬件和/或操作系统实现一起操作。

应当理解，具体实施方式部分而不是发明内容和摘要部分(如果有的话)旨在用于解释权利要求。发明内容和摘要部分(如果有的话)可阐述发明人所预期的本公开的一个或多个但不是所有示例性实施方案，并且因此，不旨在以任何方式限制本公开或所附权利要求。

尽管本文已经参考示例性领域和应用的示例性实施方案描述了本公开，但是应该理解，本公开不限于此。其他实施方案和修改是可能的，并且在本公开的范围和实质内。例如，并且在不限制本段落的一般性的情况下，实施方案不限于图中所示和/或本文所述的软件、硬件、固件和/或实体。此外，实施方案(无论是否本文明确描述)对于本文描述的示例之外的领域和应用具有显着的实用性。

这里已经借助于示出特定功能及其关系的实现的功能构建块描述了实施方案。为了便于描述，这些功能构建块的边界已在本文被任意地定义。只要适当地执行指定的功能和关系(或其等同物)，就可定义替代边界。另外，另选实施方案可使用与本文描述的顺序不同的顺序来执行功能块、步骤、操作、方法等。

本文对“一个实施方案”、“实施方案”、“示例性实施方案”或类似短语的引用指示所描述的实施方案可包括特定特征结构、结构或特性，但是每个实施方案可不必包括特定特征结构、结构或特性。此外，此类措辞用语不必是指相同的实施方案。此外，当结合实施方案描述特定特征结构、结构或特性时，无论是否本文明确提及或描述，将这些特征结构、结构或特征结合到其他实施方案中在相关领域的技术人员的知识范围内。

本公开的广度和范围不应受任何上述示例性实施方案的限制，而应仅根据所附权利要求及其等同物来限定。

如上所述，本技术的各个方面可以包括收集和使用可从各种来源获得的数据，从而(例如)改进或增强功能。本公开预期，在一些实例中，这些所采集的数据可包括唯一地识别或可用于联系或定位特定人员的个人信息数据。这样的个人信息数据可以包括人口统计数据、基于位置的数据、电话号码、电子邮件地址、推特ID、家庭地址、与用户的健康或健身水平相关的数据或记录(例如，生命体征测量值、用药信息、锻炼信息)、出生日期或任何其他识别信息或个人信息。本公开认识到在本技术中使用此类个人信息数据可用于使用户受益。

本公开设想负责采集、分析、公开、传输、存储或其他使用此类个人信息数据的实体将遵守既定的隐私政策和/或隐私实践。具体地，此类实体应当实行并坚持使用被公认为满足或超出对维护个人信息数据的隐私性和安全性的行业或政府要求的隐私政策和实践。此类政策应该能被用户方便地访问，并应随着数据的采集和/或使用变化而被更新。来自用户的个人信息应当被收集用于实体的合法且合理的用途，并且不在这些合法使用之外共享或出售。此外，此类采集/共享应当仅在接收到用户知情同意后。此外，此类实体应考虑采取任何必要步骤，保卫和保障对此类个人信息数据的访问，并确保有权访问个人信息数据的其他人遵守其隐私政策和流程。另外，这种实体可使其本身经受第三方评估以证明其遵守广泛接受的隐私政策和实践。此外，应当调整政策和实践，以便采集和/或访问的特定类型的个人信息数据，并适用于包括管辖范围的具体考虑的适用法律和标准。例如，在美国，对某些健康数据的收集或获取可能受联邦和/或州法律的管辖，诸如健康保险转移和责任法案(HIPAA)；而其他国家的健康数据可能受到其他法规和政策的约束并应相应处理。因此，在每个国家应为不同的个人数据类型保持不同的隐私实践。

不管前述情况如何，本公开还预期用户选择性地阻止使用或访问个人信息数据的实施方案。即本公开预期可提供硬件元件和/或软件元件，以防止或阻止对此类个人信息数据的访问。例如，本技术可被配置为允许用户在(例如)注册服务期间或其后随时选择性地参与采集个人信息数据的“选择加入”或“选择退出”。除了提供“选择加入”和“选择退出”选项外，本公开设想提供与访问或使用个人信息相关的通知。例如，可在下载应用时向用户通知其个人信息数据将被访问，然后就在个人信息数据被应用访问之前再次提醒用户。

此外，本公开的目的是应管理和处理个人信息数据以最小化无意或未经授权访问或使用的风险。一旦不再需要数据，通过限制数据收集和删除数据可最小化风险。此外，并且当适用时，包括在某些健康相关应用程序中，数据去标识可用于保护用户的隐私。可在适当时通过移除特定标识符(例如，出生日期等)、控制所存储数据的量或特异性(例如，在城市级别而不是在地址级别收集位置数据)、控制数据如何被存储(例如，在用户之间聚合数据)、和/或其他方法来促进去标识。

因此，虽然本公开可广泛地覆盖使用个人信息数据来实现一个或多个各种所公开的实施方案，但本公开还预期各种实施方案也可在无需访问此类个人信息数据的情况下被实现。即，本发明技术的各种实施方案不会由于缺少此类个人信息数据的全部或一部分而无法正常进行。