在基于基础结构的无线多跳网络中的安全认证和密钥管理制造技术

文中提供了一种在多跳无线网络中具有逐跳安全模型的安全认证 和密钥管理方案的系统和方法。该方案将802.11r密钥层次适配到网状 的AP网络中。在这种方法中，顶部密钥持有者(R0KH)在认证处理 后，得出和保留用于每个申请者无线装置的顶部成对主密钥(PMK_0)。 所有的认证器AP采取第一级密钥持有者(R1KH)角色，并且从R0KH 接收下一级成对主密钥(PMK_1)。经由802.11i4路握手来从PMK_1 得出链路级数据保护密钥。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般地涉及无线通信，并且更具体地涉及在基于基础结构 的无线多跳网络中的安全认证和密钥管理。
技术介绍
基于基础结构的无线网络通常包括具有固定和有线的网关的通信 网络。许多基于基础结构的无线网络使用移动单元或者主机，所述移 动单元或者主机与耦接到有线网络的固定基站通信。所述移动单元可以在其通过无线链路与基站通信的同时在地理上移动。当移动单元移 出一个基站的范围时，它可以连接或者切换到新的基站，并且开 始通过所述新的基站与所述有线网络通信。与基于基础结构的无线网络(诸如蜂窝网络或者卫星网络)相比较，自组织(adhoc)网络是可以在没有任何固定基础结构的情况下工 作的自行形成的网络，并且在一些情况下，所述自组织网络完全由移 动节点形成。自组织网络通常包括多个地理上分布的、可能移动的单 元，所述多个地理上分布的、可能移动的单元有时被称为节点， 它们通过一个或多个链路(例如，射频通信信道)而彼此无线地连接。 所述节点可以通过无线媒体在没有基于基础结构的或者有线的网络的 支持的情况下彼此通信。随着无线通信网络变得更为普遍，安全对于通信网络提供商和终 端用户双方而言继续成为主要的关注问题。当使用移动无线网络时， 这一点最明显，在所述移动无线网络中，安全环境可以提供最大的挑 战，因为许多节点可以很容易地接收和操纵数据。在无线网络中使用 的无线链路将穿越所述网络的信令和数据暴露于窃听者和/或将要成为5的黑客。在多跳无线网络中，这要求在网状装置中的每个链路具有通 过多跳认证和密钥管理处理而建立的唯一安全关联。于是，可以利用 所建立的安全关联来保护在链路上的空中的帧。附图说明在附图中，在全部单独的视图中，相同的附图标号表示相同或者 功能上类似的元件，并且所述附图与下面的详细说明一起被包含在说明书中并且形成说明书的一部分，用于进一步图示各种实施例，并且 解释所有根据本专利技术的各种原理和优点。图l图示了根据本专利技术的一些实施例的示例性的基于基础结构的多跳无线网络。图2图示了根据本专利技术的一些实施例的示例性消息格式。 图3是图示根据本专利技术的一些实施例的密钥分发和角色授权处理的流程图。-图4图示了根据本专利技术的一些实施例的认证过程。 图5是图示根据本专利技术的一些实施例的在图1的网络的各种元件之间交换的认证消息的消息流图。图6图示了根据本专利技术的一些实施例的图5的消息交换的更多细节。技术人员将理解，为了简单和清楚而图示附图中的元件，并且在 附图中的元件不一定按比例绘制。例如，附图中的一些元件的尺寸可 能相对于其他元件被放大，以有助于改善对于本专利技术的实施例的理解。具体实施例方式在详细描述根据本专利技术的实施例之前，应当观察到，所述实施例 主要存在于与安全认证和密钥管理相关的方法步骤和设备部件的组合 中。因此，已经在适当的位置通过在附图中的常规的符号表示了所述 设备部件和方法步骤，所述常规符号仅仅示出了与理解本专利技术的实施 例相关的那些具体细节，以便不将本公开与受益于在此的描述的本领6域中的技术人员容易显而易见的细节混淆。在本文中，诸如第一和第二、上和下等的关系术语可以唯一用于将一个实体或者行为与另一个实体或者行为相区别，而不一定要求或者暗示在这样的实体或者行为之间的任何实际的这样的关系或者顺序。术语包括或者其任何变化形式旨在涵盖非独占性包括，以便包括一列元素的处理、方法、制品或者设备不仅仅包括那些元素，而且可以包括未明确地列出或者这样的处理、方法、制品或者设备固有的其他元素。由包括开始的元素没有更多的限制地不排除在包括所述元素的处理、方法、制品或者设备中存在另外的相同的元素。应当理解，在此描述的本专利技术的实施例可以由一个或多个常规的处理器和唯一存储的程序指令构成，所述唯一存储的程序指令控制所述一个或多个处理器，以结合特定的非处理器电路实现在此描述的安全认证和密钥管理的一些、大多数或者全部功能。所述非处理器电路可以包括但是不限于无线电接收机、无线电发射机、信号驱动器、时钟电路、电源电路和用户输入装置。同样，这些功能可以被解译为一种执行安全认证和密钥管理的方法的步骤。替代地，可以通过状态机来实现一些或者全部功能，所述状态机没有任何所存储的程序指令，或者， 一些或者全部功能可以被实现在一个或多个专用集成电路(ASIC)中，其中，每个功能或者所述功能的特定的一些组合被实现为定制逻辑。当然，可以使用所述两种方法的组合。因此，在此已经说明了用于这些功能的方法和装置。而且，预期在尽管具有可能相当的努力和由例如可用时间、当前技术和经济考虑而促使许多设计选择的情况下，普通技术人员当被在此公开的思想和原理指导时，将很容易能够以最少的试验来产生这样的软件指令和程序以及集成电路。本专利技术提供了一种用于具有逐跳安全模型的基于基础结构的多跳无线网络的安全认证和密钥管理方案。本专利技术的基本构件是IEEE802.1 li和IEEE 802.1x。对于快速的切换来说，包括在802.1 lr中的特征。IEEE 802.1x是一种以最小的管理开销提供几乎无限的可扩展性的新技术。其也允许用户或者运营商选择不同的认证方法。在本专利技术中，隧道传输层安全(TTLS)由于其相对强的安全性和较低的部署成本而用于用户和装置认证。对于所述装置来说，传输层安全(TLS)认证是可选特征。对于集中认证和802.11r支持来说，用于802.11r密钥层次的顶级密钥持有者(ROKH)被设计成位于有线网络中。在顶级(第O级)密钥持有者和第2级密钥持有者(R1KH)之间的消息传送可以在层2中或者在因特网协议(IP)层中。在本专利技术中，基于802.11r的密钥层次适应于在角色为第一级密钥持有者的网状接入点之间。在密钥持有者之间的安全管理消息流被提供。密钥管理可以支持符合802.11i和802.11r两者的无线站。其也可以支持具有被部署的可能的多个服务集标识符(SSID)的虚拟接入点。可以根据第0级密钥持有者的位置通过层2或者层3来传送在第0级和第一级密钥持有者之间的安全消息流。当所有的第O级密钥持有者被部署在与第一级密钥持有者相同的层2分段中时，可以使用层2通信传送，否则将使用层3通信传送。密钥分发密钥(KDK)在初始认证处理期间被得出，并且用于确保从顶级密钥持有者向下一级密钥持有者传送的密钥材料的安全。第一级密钥持有者R1KH的角色被顶级密钥持有者基于来自认证服务器的授权信息而授权。在此，提供了在多跳无线网络中具有逐跳安全模型的安全认证和密钥管理方案的系统和方法。所述方案将802.11r密钥层次适配到网状的接入点(AP)网络中。在这种方法中，顶级密钥持有者(ROKH)在认证处理后得出和保留用于每个申请者无线装置的顶部成对主密钥(PMK—0)。所有的认证器接入点(AP)釆取第一级密钥持有者(R1KH)角色，并且从顶级密钥持有者ROKH接收下一级成对主密钥(PMKJ)。8经由诸如802.11i4路握手的4路握手来从PMK一l得出链路级数据保护密钥。图l图示了根据本专利技术的一些实施例的示例性的基于基础结构的多跳无线网络IOO。在图1的示例性网络100中，使用在密钥持有者之间的第2级通信信道，并且将顶级密钥持有者ROKH附接到中央的以太网交换机。因此，顶级密钥持有者ROKH在与所有受控的智能接入点(IAP)和网状本文档来自技高网...

【技术保护点】
一种在基于基础结构的无线多跳网络中的安全认证和密钥管理的方法，所述方法包括：　初始认证申请者，包括确定一个或多个被认证的申请者角色属性；　由顶级密钥持有者从认证服务器获得一个或多个授权属性；　由所述顶级密钥持有者确定所述被 认证的申请者角色属性是否是第一级密钥持有者；并且　当所述被认证的申请者角色属性是第一级密钥持有者时，利用成对主密钥（ＰＭＫ）＿０来启动在所述顶级密钥持有者和所述申请者之间的四路握手，以得出密钥分发密钥（ＫＤＫ）。

【技术特征摘要】
【国外来华专利技术】2006.9.7 US 11/470,8871. 一种在基于基础结构的无线多跳网络中的安全认证和密钥管理的方法，所述方法包括初始认证申请者，包括确定一个或多个被认证的申请者角色属性；由顶级密钥持有者从认证服务器获得一个或多个授权属性；由所述顶级密钥持有者确定所述被认证的申请者角色属性是否是第一级密钥持有者；并且当所述被认证的申请者角色属性是第一级密钥持有者时，利用成对主密钥(PMK)_0来启动在所述顶级密钥持有者和所述申请者之间的四路握手，以得出密钥分发密钥(KDK)。2. 根据权利要求l所述的在基于基础结构的无线多跳网络中的安 全认证和密钥管理的方法，其中，所述四路握手包括802.11i型四路握 手，以得出在所述顶级密钥持有者和所述第一级密钥持有者之间的 KDK。3. 根据权利要求l所述的在基于基础结构的无线多跳网络中的安 全认证和密钥管理的方法，其中，所述KDK被得出为KDK = KDF - KDKLen(PMK—0, KDK 密钥得出， SNonce||ANonce||AA||SPA) 其中.-KDF-256是预定数，SNonce是由所述申请者产生的随机数，ANonce是由所述顶级密钥持有者产生的随机数，所述两个随机数在所述四路握手的前两个消息期间交换，AA是所述顶级密钥持有者MAC地址，并且SPA是申请者MAC地址。4. 根据权利要求1所述的在基于基础结构的无线多跳网络中的安全认证和密钥管理的方法，其中，所述初始认证步骤包括最后的认 证成功消息的通信，而且进一步地，其中，从所述最后的认证成 功消息获得所述一个或多个授权属性。5. —种在基于基础结构的无线多跳网络中的节点的安全认证的 方法，所述方法包括在所述节点中，从一个或多个相邻节点扫描一个或多个信标帧；通过选择可通信地耦接到认证服务器的相邻节点，选择要从其开始认证处理的相邻节点；完成对所述被选择的相邻装置的第一认证；并且 启动对一个或多个其他相邻节点的重新认证，所述一个或多个其他相邻节点已经被认证并且连接到在同一移动性域中的接入点，其中，所述重...

【专利技术属性】
技术研发人员：郑和云，小查尔斯·R·巴克尔，阿米特·甘地，凯特·J·戈尔德贝格，萨默尔·S·汉娜，曾苏蓉，
申请(专利权)人：摩托罗拉公司，
类型：发明
国别省市：US