一种用于在自组无线网络中对认证密钥资料进行安全处理的方法
和系统,实现了,在被多个无线链路分隔的网状认证器(110)与网状
密钥分发器(115)之间的认证密钥资料的安全分发。该方法包括:使
用网状密钥保持器安全性信息元素(MKHSIE),导出用于密钥分发的
成对瞬时密钥(PTK-KD)。然后使用包括数据来源信息的第一网状已
加密密钥信息元素(MEKIE),请求网状认证器成对主密钥(PMK-MA)。
然后使用用于密钥分发的成对瞬时密钥(PTK-KD),解密第二网状已
加密密钥信息元素(MEKIE),以获得网状认证器成对主密钥
(PMK-MA)。
【技术实现步骤摘要】
【国外来华专利技术】
基于基础设施的无线网络,诸如蜂窝网络或卫星网络,通常 包括具有固定且有线连接的网关的通信网络。许多基于基础设施的无 线网络使用移动单元或主机,该移动单元或主机与耦合到有线网络的 固定基站通信。移动单元可以在进行位置迁移的同时通过无线链路与 基站通信。当移动单元移出一个基站的范围时,它可能连接或切换 到新的基站并通过新的基站开始与有线网络的通信。与基于基础设施的无线网络相比,自组网络是可以在没有任 何固定基础设施的情况下进行操作的自形成无线网络,并且在一些情 况中自组网络完全由移动单元构成。自组网络通常包括若干位置上分 散的、潜在的移动单元,有时被称为节点,这些移动单元通过一 个或多个链路(例如,射频通信信道)彼此无线连接。这些节点可以 通过无线媒介彼此通信,无需基于基础设施的网络或有线网络的支持。网状网络是基于移动节点自主集合的自组无线网络的一种 形式,所述移动节点通过具有有限带宽的无线链路彼此通信。网状网 络中的单独节点可以执行路由功能,这实现了,在到达目的地之前通 过从一个节点跳跃到另一个节点,而在阻塞路径或连接不良处重 新配置网状网络。网状网络因此被描述为自修复的,因为即使当特定 的节点损坏或离开网络时,网状网络仍然可以有效地操作。4由于无线通信网络,诸如网状网络,变得更加普遍,安全性一直是通信网络提供商和终端用户关心的主要问题。在无线通信网状 网络中,由于数据很可能被许多节点接收和操纵,因此安全性环境成 为最大的挑战。在无线通信网状网络中使用的无线电链路将穿越网络 的信令和其他数据暴露给窃听者和/或所谓的黑客。在多跳无线通信网状网络中,这需要网状设备之间的每个链路具有通过多跳认证和密钥 管理过程设立的唯一安全性关联。然后,可以通过设立的安全性关联 来保护在链路上通过空中发送的帧。附图说明为使本专利技术容易地被理解和产生实际效果,现结合附图给出 示例实施例的说明,其中在不同的视图中,同样的附图标记指相同或 功能上相似的元素。附图连同下面的详细说明被并入说明书,并形成 说明书的一部分,用来进一步根据本专利技术示出实施例并且阐明各种原理和优点,其中图1是示出根据本专利技术一些实施例的无线通信网状网络的 示意图。图2是示出根据本专利技术一些实施例的为了提供安全密钥传 输而在无线通信网状网络的元件之间进行的交互的消息序列图 (sequence chart)。图3是示出根据本专利技术一些实施例的网状密钥层级 (hierarchy)的框图。图4是示出根据本专利技术一些实施例的、在网状认证器(MA) 与网状密钥分发器(MKD)之间的网状密钥保持器安全性握手的消息 序列图。图5是示出根据本专利技术一些实施例的网状密钥保持器安全 性信息元素(MKHSIE)的示例性字段结构的框图,该MKHSIE可被 用于请求、传送或确认网状认证器成对主密钥(PMK-MA)。图6是示出根据本专利技术一些实施例的密钥传输拉式(pull)协议的消息序列图。图7是示出根据本专利技术一些实施例的网状已加密密钥信息 元素(MEKIE)的示例性字段结构的框图,该MEKIE可被用于请求、 传送,或确认PMK-MA。图8是示出根据本专利技术一些实施例的密钥传输推式(push) 协议的消息序列图。图9是示出根据本专利技术一些实施例,从MA视角,使用网 状密钥传输拉式协议将PMK-MA从MKD传送到MA的方法的通用流 程图。图10是示出根据本专利技术一些实施例,从MKD视角,使用 网状密钥传输拉式协议将PMK-MA从MKD传送到MA的方法的通用 流程图。图11是示出根据本专利技术一些实施例,从MA视角,对网状 网络中的认证密钥资料进行安全处理的方法的通用流程图。图12是示出根据本专利技术一些实施例的无线通信网状网络中 的MA的部件的框图。本领域技术人员将理解,在附图中的元素是为了简单和清楚 而示出的,并且没有必要按比例绘出。例如,相对其它的元素,附图 中一些元素的尺寸可能是夸大的以促进对本专利技术实施例的理解。具体实施例方式在详细描述根据本专利技术的实施例之前,应当注意到,这些实 施例主要在于涉及自组无线网络中的认证密钥资料的安全处理的方法 步骤和装置部件的组合。相应地,在图中已经在合适时使用常规符号 描述了装置部件和方法步骤,只示出了那些与理解本专利技术实施例相关 的特定细节,以便不由于如下细节而模糊本专利技术,这些细节对那些从 此说明书受益的本领域技术人员来说是显而易见的。在本文档中,关系术语,诸如左和右,第一和第二等,可以仅仅用于区别一个实体或动作和另一个实体或动作,并非必然需要或 暗示这类实体或动作之间的任何实际的这种关系或顺序。术语包括, 或者任何其它变形,是用于覆盖非排它的包含,因此包括元素列表的 过程、方法、产品,或装置不仅包含那些元素,还可能包含没有清楚 列出或对于这些过程、方法、产品,或装置固有的其他元素。在没有 更多限制时,包括......之前的元素并不排除在包括该元素的过程、方法、产品,或装置中存在附加的相同元素。将理解,在此描述的本专利技术的实施例可以由一个或多个常规 处理器和唯一存储程序指令组成,所述指令控制一个或多个处理器与 某些非处理器电路一起执行在此描述的在自组无线网络中的认证密钥 资料的安全处理功能的一些、大部分或所有。非处理器电路可以包括, 但不局限于,无线电接收机、无线电发射机、信号驱动器、时钟电路、 电源电路,和用户输入设备。同样地,这些功能可以被解释为在自组 无线网络中对认证密钥资料进行安全处理的方法步骤。替代地, 一些 或全部功能可以通过不具有存储的程序指令的状态机来实现,或在一个或多个专用集成电路(ASIC)中实现,在ASIC中每个功能或特定 功能的某些组合以定制逻辑来实现。当然,也可以使用两个方法的组 合。因此,已经在此描述了用于这些功能的方法和装置。进一步地, 可以预期,尽管存在由例如可用时间、现有技术和经济考虑引起的可 能的重要努力和许多设计选择,但当被在此公开的构思和原理指导时, 本领域技术人员将能够容易地通过最少的实验生成这种软件指令、程 序和IC。参见图1,该图示出了根据本专利技术一些实施例的无线通信网 状网络100。网络100包括多个网状点(MP) 105,也可以称为网状节 点,所述网状点可以在网络100上使用无线链路,例如符合电子及电 气工程师学会(IEEE) 802.11标准的链路,来彼此通信。每个MP 105 可以包含,例如移动电话、双向无线电装置、笔记本电脑或其它的无 线通信设备。为提供在MP 105之间的安全通信,在网状认证器(MA)110与网状密钥分发器(MKD) 115之间设立安全性关联。MA 110通 常是具有特殊安全性资格的MP 105。网状密钥保持器安全性关联用来 在MA 110与MKD 115之间的传递的所有消息中提供消息完整性和数 据来源真实性。进一步地,网状密钥保持器安全性关联提供在密钥传 送协议期间提供对导出密钥和密钥上下文的加密。MKD115可以显著地提高网状安全性机制的效率。当MP 请求者120第一次联系网络100时,MKD 115可以从认证服务器(AS) 125获得网状点(MP)请求者120的主密钥资料,认证服务器(AS) 125可以充当认证、授权和记帐(AAA)服务器。然后,主密钥资料被 高速缓存在作为AAA客户本文档来自技高网...
【技术保护点】
一种用于在自组无线网络中对认证密钥资料进行安全处理的方法,所述方法包括: 使用网状密钥保持器安全性信息元素,导出用于密钥分发的成对瞬时密钥; 使用包含数据来源信息的第一网状已加密密钥信息元素,请求网状认证器成对主密钥; 使 用所述用于密钥分发的成对瞬时密钥,解密第二网状已加密密钥信息元素,以获取所述网状认证器成对主密钥。
【技术特征摘要】
【国外来华专利技术】2006.9.7 US 11/470,9211. 一种用于在自组无线网络中对认证密钥资料进行安全处理的方法,所述方法包括使用网状密钥保持器安全性信息元素,导出用于密钥分发的成对瞬时密钥;使用包含数据来源信息的第一网状已加密密钥信息元素,请求网状认证器成对主密钥;使用所述用于密钥分发的成对瞬时密钥,解密第二网状已加密密钥信息元素,以获取所述网状认证器成对主密钥。2. 如权利要求l所述的方法,进一步包括 使用所述网状认证器成对主密钥,完成请求者安全性交换。3. 如权利要求l所述的方法,其中,所述网状密钥保持器安全性 信息元素包括消息完整性校验值。4. 如权利要求l所述的方法,其中,导出所述用于密钥分发的成 对瞬时密钥的步骤包括处理与网状密钥分发器的三次消息握手。5. 如权利要求l所述的方法,其中,所述用于密钥分发的成对瞬 时密钥包括密钥加密密...
【专利技术属性】
技术研发人员:安东尼·J·布拉斯基奇,史蒂芬·P·埃梅奥特,
申请(专利权)人:摩托罗拉公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。