CN101512958A - 通过网格网络隧道传送安全关联消息 - Google Patents
通过网格网络隧道传送安全关联消息 Download PDFInfo
- Publication number
- CN101512958A CN101512958A CNA2007800333099A CN200780033309A CN101512958A CN 101512958 A CN101512958 A CN 101512958A CN A2007800333099 A CNA2007800333099 A CN A2007800333099A CN 200780033309 A CN200780033309 A CN 200780033309A CN 101512958 A CN101512958 A CN 101512958A
- Authority
- CN
- China
- Prior art keywords
- eap
- message
- grid
- node
- field
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及用于在网格认证器和网格密钥分配器之间建立用于传输安全关联消息的安全链路的工艺和技术。该安全链路可以允许网格密钥分配器将认证过程的结果传送到网格认证器。
Description
技术领域
本发明总体上涉及无线通信,并且更特别地涉及多跳自组织(AdHoc)网络中的安全。
背景技术
无线网络的类型包括基于基础设施的无线网络和Ad Hoc无线网络。
Ad Hoc网络是可以在没有任何固定基础设施的情况下操作的自行形成的网络,并且在一些情况下,Ad Hoc网络完全由移动节点形成。Ad Hoc网络通常包括许多在地理上分布的潜在移动单元,所述移动单元有时称为“节点”,它们通过一个或多个链路(例如射频通信信道)而相互无线地连接。所述节点可以在没有基础设施网络或有线网络支持的情况下通过无线媒体来相互通信。当现有节点在Ad Hoc网络内移动时、当新的节点加入或进入Ad Hoc网络时或当现有节点离开或退出Ad Hoc网络时,这些节点之间的链路或连接可以以任意方式动态地变化。由于Ad Hoc网络的拓扑结构可以显著变化,所以需要可以允许Ad Hoc网络动态地调整至这些变化的技术。由于没有中央控制器,所以许多网络控制功能可以被分布在节点之间,以便节点可以响应于拓扑结构变化而自行组织和重新配置。
节点的一个特征在于每个节点可以通过短程与相隔单“跳”远的节点直接通信。此类节点有时称为“邻居节点”。当节点向目的地节点发射分组并且节点相隔超过一个跳(例如,两个节点之间的距离超过节点的无线电传输范围,或者节点之间存在物理障碍)时,可以经由中间节点来中继分组(“多跳”)直到分组到达目的地节点。在此类情况下,每个中间节点沿着路线将分组(例如,数据和控制信息)路由到下一个节点,直到分组到达其最终目的地。
随着无线通信网络变得更加普及,安全继续成为通信网络提供商和最终用户都关注的主要问题。这在使用其中安全环境可以提供最大挑战的移动无线网络时最明显,因为许多节点可以很容易地接收并操纵数据。无线网络中使用的无线电链路将穿越所述网络的信令和数据暴露于给窃听者和/或将要成为的黑客。在多跳无线网络中,这要求节点之间的每个链路具有通过多跳认证和密钥管理进程而建立的唯一安全关联。然后,可以利用所建立的安全关联来保护链路上的通信。
诸如蜂窝式电话、个人数字助理(PDA)和笔记本计算机等移动节点在接入远程数据库或网络时常常要求认证。在现有***中,遵循集中认证程序,其中诸如基站等接入点(AP)充当移动无线网络与有线回程网络之间的入口并且处理在AP范围内的所有节点的认证过程。例如,遵守美国国家标准学会/电气和电子工程师学会(ANSI/IEEE)802.1X或ANSI/UEEE 802.11i标准的***利用此类集中式程序来控制接入网络资源。
IEEE 802.1X是最初被设计成在有线和无线网络中提供认证、接入控制以及密钥管理的IEEE标准。在802.1X中定义的三个实体是申请者(supplicant)、认证器(authenticator)和认证服务器(AS)。所述申请者是寻求认证和接入授权的节点。接入服务器(AS)(有时也称为认证、授权和计费(AAA)服务器)如果被授权则基于申请者的证书而认证并准予接入申请者。AS可以与认证器共址。认证可以在认证器充当认证消息传递站(pass-through)的同时在申请者和认证服务器之间进行。对于每个客户端,认证器具有不受控端口和受控端口。在认证客户端之前,只允许认证消息通过不受控端口。只有在成功地认证申请者之后,才可以经由受控端口来传递其它业务。
用于申请者与认证服务器之间的这些通信的协议是EAP(可扩展认证协议)。对于802.1X,以EAPOL(局域网(LAN)上的EAP)消息格式来封装在申请者和认证器之间的EAP消息。EAP在支持诸如用户密码、基于证书的认证、一次性密码、认证令牌或智能卡等多种认证机制方面是灵活并且可扩展的。其提供了用于协商并使用适当的认证机制的媒介物,所述适当的认证机制包括在申请者和AS处导出密钥材料的那些认证机制。
认证程序可以当节点使用例如包括局域网上的EAP(EAPOL)分组的可扩展认证协议(EAP)分组来发射认证请求时开始。所述认证过程涉及被发射和接收、以EAP开始分组开始并以EAP成功消息分组或EAP失败消息分组结束的多个EAPOL分组。EAP是“锁步”协议,因为在接收到有效的响应之前无法发送新的请求。参见[RFC 3748]。
所述认证服务器存储正在被认证的移动设备(通常称为申请者)的认证证书。也可以将认证服务器连接到其它认证服务器以获得未被本地存储的申请者认证证书。
如2004年7月的ANSI/IEEE 802.11i-2004“信息技术IEEE标准—***间电信和信息交换-局域网和城域网-特定要求-第11部分:无线局域网媒体接入控制(MAC)和物理层(PHY)规范—修改件6:媒体接入控制(MAC)安全增强”中所述,申请者(或寻求认证和获得接入的节点)被假定为来自同意或拒绝接入的认证器(例如接入点(AP))的一个跳。传统的802.11i不考虑在申请者和认证器之间的多跳通信。因为每个申请者可以仅经由AP来认证,所以在具有AP无线通信范围外的节点的多跳Ad Hoc无线通信网络中,要求申请者与AP之间的单跳通信的此类集中式程序可能不实用,所述AP提供在移动无线网络和有线回程网络之间的桥接服务。
附图说明
附图连同下文的详细说明一起构成本说明书的一部分,并用于进一步图示各种实施例并且解释所有依照本发明的原理和优点。
图1是示例性通信网络的框图;
图2是在本发明的一些实施例的操作中使用的示例性节点的框图;
图3是示出依照本发明的一些实施例、用于在申请者节点的认证期间在网格认证器节点和网格密钥分配器140之间提供安全信道或链路的EAP封装进程的协议的消息流图;
图4是示出依照本发明的一些实施例的网格管理帧的格式的数据结构;
图5是示出依照本发明的一些实施例的通用EAP封装认证消息的格式的数据结构;
图6是示出依照本发明的一些实施例的网格EAP传输协议的消息流图;
图7是示出依照本发明的一些实施例的用于在多跳网络中的网格认证器(MA)处的EAP封装的示例性过程的流程图;以及
图8是示出依照本发明的一些实施例的用于在多跳网络中的网格密钥分配器(MKD)处的EAP封装的示例性过程的流程图。
技术人员将理解,图中的元件是为简单和清楚的目的而图示的,并且不一定按比例绘制。例如,图中的一些元件的尺寸可以相对于其它元件被放大以帮助改善对本发明的实施例的理解。
具体实施方式
在详细描述依照本发明的实施例之前,应当注意,所述实施例主要属于与在网格认证器和网格密钥分配器之间建立用于传输诸如可扩展认证协议(EAP)消息等安全关联消息的安全链路有关的方法步骤和装置组件的组合。因此,已经在附图中用常规符号在适当之处表示了所述装置组件和方法步骤,仅示出了与理解本发明的实施例有关的那些特定细节,以免由于对获益于本文描述的本领域技术人员来说很容易显而易见的细节而使本公开模糊。
在本文档中,诸如第一和第二等关系术语可以仅仅用来将一个实体或动作与另一个实体或动作区别开,而不一定要求或暗示此类实体或动作之间的任何实际的此类关系或顺序。术语“包括”、“包含”或其任何其它变体旨在涵盖非排他性包括,以便包括一列元件的过程、方法、制品或装置不仅包括那些元件,而且可以包括未明确列出或为此类过程、方法、制品或装置所固有的其它元件。以“包括”开始的元素在没有更多约束的情况下不排除在包括该元素的过程、方法、制品或装置中存在另外的相同元素。
应当理解,本文所述的本发明的实施例可以由一个或多个常规处理器和唯一存储程序指令组成,所述唯一存储程序指令结合某些非处理器电路控制所述一个或多个处理器实现用于在网格认证器和网格密钥分配器之间建立用于传输诸如本文所述的可扩展认证协议(EAP)消息等安全关联消息的安全链路的一些、大多数或所有功能。所述非处理器电路可以包括但不限于无线电接收机、无线电发射机、信号驱动器、时钟电路、电源电路以及用户输入设备。同样地,可以将这些功能解释为用于在网格认证器和网格密钥分配器之间建立用于传输诸如本文所述的可扩展认证协议(EAP)消息等安全关联消息的安全链路的方法的步骤。替代地,一些或所有功能可以由不具有存储的程序指令的状态机或在一个或多个专用集成电路(ASIC)中实现,其中,每个功能或某些功能的一些组合被实现为定制逻辑。当然,可以使用两种方法的组合。因此,本文已经描述了用于这些功能的方法和装置。此外,预期本领域的技术人员虽然可能相当的努力和由例如可用时间、当前技术以及经济考虑所激发的许多设计选择,但是当由本文所公开的构思和原理引导时,将很容易被设计成允许以最少的实验来生成此类软件指令和程序以及IC。
在本文中使用词语“示例性”意指“充当示例、实例或例证”。在本文中被描述为“示例性”的任何实施例不一定被解释为比其它实施例更优选或有利。本具体实施方式中描述的所有实施例是为了使本领域的技术人员能够制造或使用本发明而提供的示例性实施例,并且不限制由权利要求限定的本发明的范围。
缩写词
以下说明使用下列缩写词中的至少一些:
EAPIE EAP封装信息元素
EMSA 高效网格安全关联
EMSAIE EMSA握手信息元素
KCK-KD 用于密钥分配的密钥确认密钥
KDK 密钥分配密钥
KEK-KD 用于密钥分配的密钥加密密钥
MA 网格认证器
MA-ID 网格认证器标识符
MEKIE 网格加密密钥信息元素
MKD 网格密钥分配器
MKD-ID 网格密钥分配器标识符
MKHSIE 网格密钥持有者安全信息元素
MSD-ID 网格安全域标识符
MSDIE 网格安全域信息元素
PMK 成对主密钥
PMK-MA 网格认证器PMK
PMK-MKD 网格密钥分配器PMK
PTK-KD 用于密钥分配的成对瞬时密钥
示例性Ad Hoc多跳网络
图1是示例性Ad Hoc多跳通信网络100的框图。如本文所使用的,术语“多跳通信网络”指的是在作为网络的一部分的节点之间采用路由协议的任何类型的无线网络。网络100包括多个节点或“网格点(MP)”110、132、134、136、网格认证器(MA)节点130、可以在例如网格点入口(MPP)141处实现的网格密钥分配器(MKD)140、也可以在MPP141处实现的认证、授权和计费客户端(AAA客户端)142以及可以在例如认证、授权和计费服务器(AAA服务器)处实现的认证服务器(AS)150。在图1所示的特定网络配置中,节点110也称为“申请者节点或申请者网格节点”。
由于可以存在于申请者网格点110的邻居内的节点数目可以很多,并且由于在节点可以向其邻居发送路由消息之前需要安全关联,所以重要的是一种机制在每个网格认证器130处的适当位置,从而允许网格认证器130在其与网格网络的首次接触和认证期间与网格密钥分配器140通信以基于由申请者网格点110创建的密钥材料而获得导出的密钥,并且允许网格认证器130为申请者网格点110提供其需要的信息以识别此密钥材料并请求将其用于完成高效的安全关联交换。
本发明包括支持安全关联的高效建立的网格认证器机制。此机制可以根据其邻居的能力和偏好而以网格申请者或网格认证器的角色操作,并且当以网格认证器的角色操作时可以中继EAP认证消息并从网格密钥分配器请求密钥传输。当依照本发明来实现时,网格认证器广播允许申请者网格点加入网格并与其本身和网格密钥分配器建立安全关联的信息。其还保持来自密钥传递分级结构的密钥,该密钥允许其请求并解开用来与申请者网格点邻居建立安全关联的密钥。最后,认证器支持可扩展认证协议(EAP)认证消息从申请者网格点传输到密钥分配器,并且支持传递来自网格密钥分配器的密钥材料。
在图1所示的示例性Ad Hoc多跳通信网络100中,所述网络的基础设施或“有线”部分包括通过安全有线信道而耦合到AS 150的网格点入口(MPP)141。虽然图1未示出,但是网格点入口141可以经由路由器或其它实体(未示出)而耦合到AS 150。在此示例性网络中,网格密钥分配器(MKD)140和AAA客户端142可以在网格点入口(MPP)141处实现并使用进程间消息来耦合。在此示例性网络配置中,节点136与MPP 141相距一个跳,节点132、134与MPP 141相距两个跳,节点130与MPP 141相距三个跳,并且节点110与MPP 141相距四个跳。在本发明的一些实施例中,实现MKD实体的网格点入口141也实现MA实体。
在图1所示的示例性Ad Hoc多跳通信网络100中,网格密钥分配器140耦合到认证、授权和计费客户端(AAA客户端)142,后者又可通信地耦合到认证、授权和计费服务器(AAA服务器)150。MKD 140:(a)从MA向AAA客户端或从AAA客户端向MA提供EAP认证消息转发服务;(b)导出密钥并将导出的密钥传递到一个或多个网格认证器140,允许申请者110加入Ad Hoc网络100或建立新的安全关联;(c)导出用于密钥分配的成对瞬时密钥(PTK-KD),其允许MA 130请求并解开用来允许与申请者网格点邻居建立安全关联,并且***和验证消息完整性检查值的密钥,所述消息完整性检查值用来确认数据来源真实性和密钥传递及EAP认证消息的消息完整性。
网格密钥分配器140包括两组导出的密钥,一组用于与网格认证器通信,并且一组用于向网格认证器传递密钥以允许申请者网格点加入Ad Hoc网络或建立新的安全关联。这些导出的密钥组是根据单一主密钥而创建的,所述单一主密钥是当网格认证器在其与网格网络的首次接触期间与认证、授权和计费(AAA)服务器执行EAP认证时创建的。这提供设置网格认证器的高效方法,而不需要用于网格认证器角色的明确、单独的认证。在示例性Ad Hoc多跳通信网络100中存在的网格密钥分配器限定了网格安全域。在网格安全域内,可以存在多个网格认证器MA 130,每个在MP处实现,并且每个MA保持到MKD 140的路线和与MKD 140的安全关联。
网格密钥分配器140使用层2协议和预定数据帧与网格认证器130通信。网格密钥分配器140利用层2协议来与网格认证器通信的能力允许实现高效网格安全关联所需的安全协议。在本发明的一些实施例中,用于网格安全域中的多个网格认证器130的网格密钥分配器(MKD140)可以在中央控制器中实现,该中央控制器存在于有线网络上并且可经由提供网格入口服务的多个网格点到达所述多个网格认证器。
可通信地耦合到网格密钥分配器140的是至少一个网格认证器(MA)130。虽然在图1的示例性Ad Hoc多跳通信网络100中图示了一个网格认证器130,但是应当理解,依照本发明可以利用一个或任何多个网格认证器。网格认证器130:(a)通告使申请者(即网格点(MP)申请者110)能够加入的服务;(b)提供EAP认证消息转发服务;(c)从网格密钥分配器140请求或获得导出的密钥,从而允许申请者110加入Ad Hoc网络100或建立新的安全关联;(d)导出成对瞬时密钥(PTK)以保证与申请者110的链路;以及(e)导出用于密钥分配的成对瞬时密钥(PTK-KD),其允许MA 130请求并解开用来与申请者网格点邻居建立安全关联并***和验证消息完整性检查值的密钥,所述消息完整性检查值用来确认数据来源真实性和密钥传递及EAP认证消息的消息完整性。
本发明中提供的网格认证器130保持两组导出的密钥,一组用于其本身与密钥分配器之间的密钥传输,并且第二组用于与其对等实体通信。这些导出的密钥组是根据单一主密钥而创建的,所述单一主密钥是当网格认证器在其与网格网络的首次接触期间对认证、授权和计费(AAA)服务器执行EAP认证时创建的。这提供设置网格认证器的高效方法,而不需要用于网格认证器角色的明确、单独的认证。所述认证器广播被申请者网格点用来在网格安全域中选择允许使用其在首次接触期间创建的密钥分级结构的网格点认证器的信息。认证器还使用层2协议和预定的数据帧与密钥分配器通信。网格认证器利用层2协议来与网格密钥分配器通信的能力允许实现高效网格安全关联所需的安全协议。
节点110、130、132、134、136通常支持无基础设置模式和有基础设施模式下的同时操作,并且可以在基于基础设施的网络(包括,例如网格点入口141的那些)与无任何基础设施的基于客户端的对等网络之间无缝地移动。例如,可以在多个节点110、130、132、134、136(每个具有无线重发器和/或路由能力)与可选的有线网格点入口(MPP)141之间创建Ad Hoc多跳通信网络100。本领域的技术人员应当理解,虽然图1的Ad Hoc网络100被示为在有基础设施的模式(例如,包括网格点入口(MPP)141)下操作,但是图1的Ad Hoc网络100不需要任何网络基础设施存在。
在Ad Hoc多跳网络100中,向和/或从节点110、130、132、134、136的通信可以相互“跳”以到达网络中的其它节点110、130、132、134、136。节点110、130、132、134、136通常可以是被设计成允许接收分组化音频、视频和/或数据信息的无线设备。下面在图2中描述示例性节点中的一些组件,诸如示例性处理器、发射机、接收机和天线。节点110、130、132、134、136可以交换信息作为通过载波频率而发射的数据分组,每个包括一个或多个无线通信信道。
在基础设施模式下,MPP 141通常耦合到有线网络(未示出),并且可以提供音频、视频和/或数据信息的一个或多个源。MPP 141可以是例如蜂窝基站或其它无线接入点。
虽然图1未示出,但本领域的技术人员应当理解,节点110、130、132、134、136也可以通过无线通信介质而与基于蜂窝的网络(未示出)传送信息分组,每个根据基于蜂窝的网络中使用的多址接入方案而包括一个或多个无线通信信道。
当申请者节点110尝试加入网格网络100时,申请者节点110需要与认证服务器(AS)150交换EAP认证业务。例如,在用于在网格网络中建立安全关联的一种方法中,在加入网格网络100时的首次接触中,申请者节点110接触网格认证器(MA)130(在相邻节点处实现),以便开始对在线AAA服务器150的EAP认证。然而,在这种方法中,网格认证器节点130不提供AAA客户端服务,而是与网格密钥分配器140通信以获得用于申请者节点110的导出密钥材料。除其它功能之外,网格密钥分配器140还耦合到代表网格网络中的节点与AS 150通信的AAA客户端142。
在许多情况下,如图1所示,网格认证器(MA)130可以位于与网格密钥分配器(MKD)140相距多个无线跳的位置。因此,将来自申请者节点110的EAP消息从网格认证器节点130发送到网格密钥分配器140,并且还在相反的方向上传输EAP消息。换言之,由MA 130从申请者节点110接收到的EAP业务被传送到MKD 140,以便由耦合到MKD 140的AAA客户端142发送到AS 150。同样地,由耦合到MKD 140的AAA客户端142接收来自AS 150的EAP业务,然后必须在EAP业务被发送到申请者节点110之前将其从MKD 140发送到MA130。
现在将相对于图2来提供示例性节点的一些组件的说明。
示例性节点
图2是示例性节点200的框图。节点200包括处理器201、包括发射机电路203和接收机电路205的收发机202、天线206、显示器207、输入设备208、用于存储由处理器201执行的操作指令的程序存储器209、缓冲存储器211、一个或多个通信接口213以及可移动存储单元215。虽然未示出,但是节点200还优选地包括天线开关、双工器、循环器或用于间歇地从发射机电路203向天线206以及从天线206向接收机电路205提供信息分组的其它高度隔离装置(未示出)。节点200优选为至少包含图2所示的所有元件的集成单元以及节点200执行其特定功能所需的任何其它元件。替代地,节点200可以包括许多适当互连的单元或设备,其中,此类单元或设备执行等同于节点200的元件所执行功能的功能。例如,节点200可以包括膝上型计算机和无线LAN(局域网)卡。
处理器201优选地包括一个或多个微处理器、微控制器、DSP(数字信号处理器)、状态机、逻辑电路或任何其它设备或基于操作或编程指令来处理信息的设备。此类操作或编程指令优选地存储在程序存储器209中。程序存储器209可以是IC(集成电路)存储器芯片,其包含任何形式的RAM(随机存取存储器)或ROM(只读存储器)、软盘、CD-ROM(压缩磁盘只读存储器)、硬盘驱动器、DVD(数字视频磁盘)、闪速存储卡或用于存储数字信息的任何其它介质。本领域中的普通技术人员应当认识到,当处理器201使其一个或多个功能由状态机或逻辑电路来执行时,可以在状态机或逻辑电路内嵌入包含相应操作指令的存储器209。下面将详细描述由处理器201或节点200的其余部分执行的操作。
发射机电路203和接收机电路205使节点200能够向另一节点传送信息分组并从所述另一节点获取信息分组。在这点上,发射机电路203和接收机电路205包括常规电路以使得能够通过无线通信信道进行数字或模拟传输。发射机电路203和接收机电路205被设计成通过蜂窝式空中接口(例如全球移动通信***(GSM)、码分多址(CDMA)、宽带CDMA(WCDMA)、通用移动通信***(UMTS)等等)和Ad Hoc网络空中接口(例如,BLUETOOTH、802.11 WLAN(无线局域网)、802.16 WiMax等等)来操作。
发射机电路203和接收机电路205的实现取决于节点200的实现。例如,可以将发射机电路203和接收机电路205实现为适当的无线调制解调器,或者实现为双向无线通信设备的常规发射和接收组件。在发射机电路203和接收机电路205被实现为无线调制解调器的情况下,调制解调器可以在节点200内部或者可***节点200(例如,在个人计算机存储器卡国际联合会(PCMCIA)卡上实现的无线射频(RF)调制解调器中体现)。对于无线通信设备,优选地将发射机电路203和接收机电路205实现为依照已知技术的无线设备硬件和软件体系结构的一部分。发射机电路203和/或接收机电路205的大部分(如果不是全部)功能可以在诸如处理器201等处理器中实现。然而,在本文中已将处理器201、发射机电路203、和接收机电路205人为地分开以有利于更好的理解。
接收机电路205被设计成如果与最近设备的通信在除网络通信频带之外的频带中,则允许接收来自至少一个带宽或可选的更多带宽内的RF信号。接收机电路205可以可选地包括第一接收机和第二接收机,或被设计成允许在两个或更多带宽内接收的一个接收机。收发机202包括至少一组发射机电路203。所述至少一个发射机203包括可以被设计成允许向多个频带上的多个设备发射。如同接收机205一样,可以可选地采用双发射机203,其中一个发射机用于到最近节点的传输或到WLAN的直接链路建立,并且另一发射机用于到蜂窝基站的传输。
天线206包括任何已知或开发的用于在包含无线载波频率的频率范围内放射和接收电磁能的结构。
缓冲存储器211可以是诸如RAM等任何形式的易失性存储器,并依照本发明用于临时存储接收到的信息分组。
当节点200被构造成从视频源接收视频信息时,节点200优选地还包括被设计成允许将当前运动图像专家组(MPEG)标准或某种其它视频解码标准解码的视频解码器。当节点200被进一步设计成允许发射视频信息时,节点200优选地还包括被设计成允许将视频数据编码成至少一个前述视频标准的视频编码器。此类视频编码器和解码器优选地被实现为处理器201的一部分。
总结
为了加强网络100中的安全,理想地将是提供用于在网格认证器节点130和网格密钥分配器140之间安全地传输EAP消息的机制。从互操作性观点来看,理想的将是提供在层2处或以下处操作的用于安全地传输EAP消息的机制,因为此类机制可以为不同的设备供应商提供用于传输EAP消息的通用技术,从而允许来自不同设备供应商的节点和设备互操作。
提供了用于在网格认证器节点130和网格密钥分配器140之间建立用于在网格认证器节点130和网格密钥分配器140之间传输诸如可扩展认证协议(EAP)安全消息等安全关联消息的安全链路(或隧道)的技术和工艺。这种依照本发明而实现的安全链路(或隧道)可以允许网格密钥分配器140将在线认证过程的结果(例如,认证成功和失败)传送到网格认证器节点130。
还提供了安全消息传输协议,其采用称为“网格动作”帧的特定类型的网格管理帧,,用于传输消息。在一个非限制性的示例性实现中,所公开的安全消息传输协议可以在遵守诸如IEEE 802.11s等IEEE802.11标准的设备和网络环境下应用。
“网格动作”帧用来跨越一个或多个网格链路传输管理业务。网格动作帧类型将消息与数据帧区别开,从而允许由适当的内部功能来处理内容。所述网格动作帧允许网格节点在用户业务与管理业务之间进行区别以允许通过网格高效的转发,因为节点可以在不检查正在转发的帧的内容的情况下转发业务。将网格动作帧转发到其目的地节点的中间节点可以以与网格数据帧相同的方式来处理帧。所述目的地帧可以使用“网格动作”帧类型,以有利于在接收到帧时的处理。
网格动作帧包含种类和动作字段,后面是消息内容。种类和动作字段中的数值唯一地指定消息内容的格式,其可以包括信息元素。为了保护消息内容,使用与网格数据帧相同的机制在每个跳处将网格动作数据帧的内容加密。
再次参照图1,一旦申请者节点110开始对网格认证器节点130的EAP认证,网格认证器节点130和网格密钥分配器140可以相互发射网格动作帧。该消息的种类和动作值被设置成允许网格动作帧的内容被自定义成用于EAP传输应用的特定值。例如,网格认证器节点可以生成指定“网格安全”种类和“网格EAP封装”动作值的特定网格动作帧。
连同其它特征一起,所公开的技术和工艺可以在EAP封装帧中实现另外的字段,以允许在网格认证器节点130和网格密钥分配器140之间交换对于协议的正确操作所必不可少的信息并保证消息传递的端到端完整性。例如,这种特定网格动作帧包括:用于完整性检查的消息完整性检查(MIC)字段、特殊的EAP消息类型字段、可以用来将请求和响应帧匹配的每个帧中的消息令牌、指定申请者节点110的地址的字段以及由申请者节点110生成的EAP帧。
消息完整性检查(MIC)字段保护EAP消息不被修改。MIC保证有效的EAP从MA 130被传递到申请者节点110,或者从MKD 140被传递到认证服务器(AS)150。所述特殊的EAP消息类型是为最终响应消息而定义的,所述最终响应消息用于传送诸如安全关联接受消息或安全关联拒绝消息等认证结果消息以向MA 130提供附加信息。所述特殊的EAP消息类型对应于用于MK 140处的简单分配的RADIUS代码[RFC 2865]。所述安全关联“接受”EAP消息类型和安全关联“拒绝”EAP消息类型向MA 130提供对认证申请者节点110执行适当动作的指示。EAP消息类型受到完整性保护(经由MIC),因为它们影响MA处的接入控制特性。由于消息令牌允许请求消息与响应消息匹配,所以其使得能够实现与EAP兼容的锁步协议。
根据该协议,当网格认证器节点130接收到EAPOL分组内的EAP消息时,网格认证器节点130向网格密钥分配器140发射特定网格动作帧。在接收到该特定网格动作帧时,网格密钥分配器140可以使用诸如Radius等安全消息传输协议将消息的内容转发到在线AAA服务器150,并用响应来回复网格认证器节点130。替代地,网格密钥分配器140可以充当用于在线Radius客户端的代理,并使用用于进一步处理和协议转换的任何私有消息传输协议将消息的内容转发到在线Radius客户端。
图3是示出依照本发明的一些实施例、用于在申请者节点110的认证期间在网状认证器节点130和网状密钥分发器140之间提供安全信道或链路的EAP封装进程300的协议的消息流图。
当网格认证器节点130通过向申请者节点110发送初始EAP消息来发起对申请者节点110的IEEE 802.1X认证时,进程300在步骤362开始。所述初始EAP消息在EAPOL分组内被承载。
在步骤364,申请者节点110通过将在EAPOL分组内的EAP消息发射到MA节点130来对初始EAP消息作出响应,以便继续在网格认证器节点130和申请者节点110之间的认证。
如本文所使用的,术语“EAP封装请求消息”指的是具有EAP消息类型“请求”的EAP封装网格动作消息。术语“EAP封装响应消息”指的是具有EAP消息类型“响应”的EAP封装网格动作消息。术语“最终EAP封装响应消息”指的是具有EAP消息类型“接受”或“拒绝”的EAP封装网格动作消息。
当MA节点130从申请者节点110接收到EAPOL分组内的EAP消息时,在步骤366,MA节点130向MKD 140发送包含从申请者节点110接收到的EAP消息的EAP封装请求消息。该消息通过在网格认证器节点130和网格密钥分配器140之间的安全信道(例如隧道)被发送到网格密钥分配器140。
在接收到初始EAP封装请求消息时,网格密钥分配器140可以使用诸如Radius等安全消息传输协议通过有线链路将消息的内容转发到在线AAA服务器150。替代地,网格密钥分配器140可以充当用于在线Radius客户端的代理,并使用用于进一步处理和协议转换的任何私有消息传输协议将消息的内容转发到在线Radius客户端。
在步骤368,网格密钥分配器140从AS 150接收目的地为申请者节点110的EAP响应消息,并向MA节点130发送包含从AS 150接收到的EAP响应消息的EAP封装响应消息。通过在网格认证器节点130和网格密钥分配器140之间的安全信道(例如,隧道)来发送该消息。在步骤370,网格认证器节点130将EAP响应消息在EAPOL分组内转发到申请者节点110。
在步骤372,申请者节点110通过将在EAPOL分组内的EAP请求消息发射到网格认证器节点130来对EAP响应消息作出响应。在步骤374,网格认证器节点130通过在网格认证器节点130和网格密钥分配器140之间的安全信道(例如,隧道)将包含从申请者节点110接收到的EAP消息的EAP封装请求消息发送到网格密钥分配器140。在接收到EAP封装请求消息时,网格密钥分配器140可以使用诸如Radius等安全消息传输协议通过有线链路将消息的内容转发到在线AAA服务器150。替代地,网格密钥分配器140可以充当用于在线Radius客户端的代理,并使用用于进一步处理和协议转换的任何私有消息传输协议将EAP封装请求消息转发到在线Radius客户端。
在步骤376,网格密钥分配器140从AS 150接收目的地为申请者节点110的最终EAP响应消息。网格密钥分配器140通过在网格认证器节点130和网格密钥分配器140之间的安全信道(例如,隧道)将包含从AS 150接收到的EAP响应消息的最终EAP封装响应消息发送到网格认证器节点130。
所述最终EAP封装响应消息包含特殊的EAP消息类型。如果申请者节点110的EAP认证成功并且“接受”指示被提供给MKD,则MKD 140发送具有EAP消息类型“接受”的最终消息以指示MA 130申请者节点110应被准予接入。例如,如果申请者节点110的EAP认证导致申请者节点110被接受,则最终EAP封装响应消息可以具有可以用来指示接受申请者节点110的EAP消息类型(例如,消息类型=2)。替代地,如果EAP认证失败,则MKD 140向MA 130发送具有类型“拒绝”的最终消息。例如,如果申请者节点110的EAP认证导致申请者节点110被拒绝,则最终EAP封装响应消息可以具有指示拒绝申请者节点110的EAP消息类型(例如,消息类型=3)。在接收到类型“拒绝”的最终EAP封装响应消息时,MA 130终止与申请者节点110的关联。
在步骤378,网格认证器节点130将最终EAP响应消息在EAPOL分组内转发到申请者节点110。
图4是示出依照本发明的一些实施例的网格管理帧400的格式的数据结构。网格管理帧400包括帧控制字段402、持续时间字段404、接收机地址字段406、发射机地址字段408、目的地地址字段410、序列控制字段412、源地址字段412、网格转发控制字段416、主体字段418和FCS字段420。
帧控制字段402包含将帧识别为网格管理帧所需的信息。此外,帧控制字段包含可以指示加密消息主体418的受保护帧子字段。
持续时间字段404包含与以位为单位的帧长度成比例的持续时间值。用于网格管理帧的持续时间值计算是基于确定用以发射帧交换序列中的控制帧的数据速率的规则。
网格管理帧400包括四个地址字段,包括接收机地址字段406、发射机地址字段408、目的地地址字段410以及源地址字段414。接收机地址字段406是作为帧的即刻计划(immediate intended)接收机的节点(或“网格点”)的单播地址或作为帧的即刻计划接收机的节点(或“网格点”)的多播或广播地址。发射机地址字段408是正在发射帧的节点(或“网格点”)的地址。目的地地址字段410是帧主体字段中的网格动作数据单元的目的地。源地址字段414是发起帧主体字段中的网格动作数据单元的节点(或“网格点”)的地址。节点(或“网格点”)使用RA字段406的内容来执行用于接收判定的地址匹配。在RA字段406包含组地址的情况下,SA 414也被验证以保证来源于接收节点(或“网格点”)已具有与之建立的链路的节点(或“网格点”)的广播或多播。节点(或“网格点”)使用TA字段408的内容来指示应答,如果需要应答。
通过发射网格点来设置序列控制字段412,以允许接收网格点通过按照帧被发送的顺序来设置接收到的帧来正确地处理接收到的帧并消除重复接收到的帧。
网格转发控制字段416包含数字端到端序列号值和生存时间值。端到端序列号值允许目的地节点适当地将从源节点接收到的网格动作数据单元排序。生存时间字段降低在网格网络中的某些路由错误的可能性。
主体字段418包括网格动作数据单元以及安全报头和安全报尾(当且仅当帧控制字段中的受保护帧子字段被设置为1时)。所述网格动作数据单元包含下面将参照图5更详细地描述的网格动作字段。所述网格动作字段包括种类和动作值字段,后面是为每个网格动作定义的信息元素。
FCS字段420包含循环冗余校验,以检测在传输期间可能已发生的帧错误。
图5是示出依照本发明的一些实施例的通用EAP封装网格动作消息500的格式的数据结构。EAP封装网格动作消息500包括种类字段526(例如,种类0)和包括动作值528(例如,动作值6)的网格动作细节及EAP封装信息元素(EAPIE)530。EAP封装网格动作消息是特定类型的网格动作帧。EAP封装信息元素530是用来提供EAP消息及相关安全信息的传输并提供完整性保护的信息元素。
EAP封装信息元素530包括元素标识符(ID)字段502、长度字段504、消息完整性检查(MIC)控制字段506、消息完整性检查(MIC)字段514、EAP消息类型字段516、消息令牌字段518、申请者地址(SPA)字段520和EAP消息字段522。EAP封装帧530中的字段可以允许在网格认证器节点130和网格密钥分配器140之间交换对于协议的正确操作必不可少的信息并保证消息传递的端到端完整性。
长度字段504包含指示元素ID 502和长度504字段后面的信息字段506-522中的八位字节的数目。
MIC控制字段506包括MIC算法字段508、预留字段510和信息元素(IE)计数字段512。MIC控制字段506的IE计数字段512指示受到MIC保护并包括在MIC计算中的信息元素的数目。零值指示不存在MIC。MIC算法字段508用来选择计算MIC的可用算法。例如,IETF如RFC 2104和IETF RFC 1321所定义的,MIC算法字段508可以包含对应于特定MIC算法的值,诸如HMAC-MD5。
MIC字段514包含用于完整性检查的消息完整性检查值。使用成对密钥和由MIC控制字段506的MCI算法字段508所选择的算法来计算MIC字段514。消息完整性检查(MIC)字段514保护此IE(例如,EAP消息)及附加报头信息(例如,目的地地址410和源地址414)的内容不被修改。消息完整性检查(MIC)字段514保证有效的EAP从MA130被传递到申请者节点110,或者从MKD 140被传递到认证服务器(AS)150。
EAP消息类型字段516识别EAP封装消息的类型,并将请求消息和响应消息区别开。响应消息被进一步区分成三种子类型。对于诸如安全关联接受消息或安全关联拒绝消息等用于传送关于EAP认证结果的信息的最终响应消息定义了特殊的消息类型,以向MA 130提供附加信息。所述特殊的消息类型对应于用于MKD 140处的简单分配的RADIUS代码[RFC 2865]。所述关联“接受”消息类型和关联“拒绝”消息类型向MA 130提供对认证申请者节点110执行适当动作的指示。消息类型受到完整性保护(经由MIC),因为其影响MA处的接入控制特性。
每个帧中的消息令牌字段518可以用来使响应消息与请求消息匹配(例如,将请求和响应帧对匹配)。在请求消息(例如,具有请求类型的消息)中,消息令牌字段518包含随机乱数(random nonce)。在响应消息(例如,具有响应消息类型、安全关联接受消息类型以及安全关联拒绝消息类型的消息)中,消息令牌字段518包含相应请求消息中的消息令牌字段的值(例如,响应消息对应的请求消息中的消息令牌字段的值)。由于消息令牌允许使请求消息与响应消息匹配,所以其使得能够实现与EAP兼容的锁步协议。
SPA字段520包含经历EAP认证的申请者节点110的媒体接入控制(MAC)地址。EAP消息字段522包含具有如IETF RFC 3748中定义的格式的EAP分组。
图6是示出依照本发明的一些实施例的网格EAP消息传输协议600的消息流图。网格EAP消息传输协议600描述MA 130如何在申请者节点的初始高效网格安全关联(EMSA)认证期间发起并对申请者节点110执行EAP认证。网格EAP消息传输协议600允许通过在MA130和MKD 140之间的网格网络来传输EAP请求消息(由申请者节点110发起并针对AS 150)并且传输EAP响应消息(由AS 150发起并针对申请者节点110)。
网格EAP消息传输协议600可以利用网格动作帧来在网格密钥持有者之间中继EAP认证消息以允许加入的申请者节点110对中央AS150认证。
在步骤610,MA 130向网格密钥分配器140发送EAP封装网格动作消息(例如,帧),以传输来自申请者节点110的EAP消息或请求AS发起EAP认证(“EAP开始”)。在步骤610发射的EAP封装网格动作请求消息包括种类字段(例如,种类0)和包括动作值(例如,指示EAP封装消息的动作值6)的网格动作细节及EAP封装信息元素530。MKD 140的MAC地址在消息报头的DA字段中声明,并且MA 130的MAC地址在消息报头的SA字段中声明。
当由MA 130发送的EAP封装网格动作消息是EAP封装请求消息时,EAP封装信息元素包括元素标识符(ID)字段,其将该元素识别为EAP封装IE;长度字段;包括用来选择计算MIC的可用算法的MIC算法字段的消息完整性检查(MIC)控制字段、预留字段和指定一个IE受到MIC保护并包括在MIC计算中的信息元素(IE)计数字段;消息完整性检查(MIC)字段,其包含用于完整性检查并保证有效的EAP消息从MKD140被传递到认证服务器(AS)150的消息完整性检查值;EAP消息类型字段,其指定消息类型是请求(例如,值为1);消息令牌字段,其指定由MA节点130选择的唯一乱数值;申请者地址(SPA)字段,其指定参与EAP认证的申请者节点110的MAC地址;以及EAP消息字段,其包含具有如IETF RFC 3748中定义的格式的EAP分组。如上所述,消息完整性检查(MIC)字段514保护此IE(例如,EAP消息)和附加报头信息的内容不被修改。消息完整性检查(MIC)字段包含用于完整性检查的消息完整性检查值。对按以下顺序的级联通过以下的MIC控制字段的MIC算法子字段所选择的算法而使用成对密钥(例如,在MA节点130和MKD 140之间共享的安全密钥)来计算MIC字段:
MA MAC地址,
MKD MAC地址,
EAP封装IE的内容,MIC字段被设置为0。
当由MA 130发送的EAP封装网格动作消息是EAP开始通知消息时,EAP封装信息元素除可以省略的EAP消息字段之外包括许多相同的字段。
在接收到来自MA 130的EAP封装请求消息时,MKD 140检验MIC并存储用于构造EAP封装响应消息的消息令牌。
在步骤620,网格密钥分配器140对来自MA节点130的请求作出响应并向MA 130发送EAP封装网格动作消息以传输来自AS 150的EAP消息,并在序列的最终响应消息中提供EAP认证成功的指示。EAP封装网格动作消息(例如,EAP封装EMSA网格动作帧)可以根据上下文而具有至少三种不同类型之一。一种类型是“响应”类型(例如,EAP封装网格动作响应消息)。另一种类型是“拒绝”类型(例如,EAP封装网格动作拒绝消息)。再一种类型是“接受”类型(例如,EAP封装网格动作接受消息)。在这些消息中,MA 130的MAC地址可以在消息报头的DA字段中声明,并且MKD 140的MAC地址可以在消息报头的SA字段中声明。
在图6中,在步骤620发射的EAP封装网格动作消息包括种类字段(例如,种类0)和包括动作值(例如,指示EAP封装消息的动作值6)的网格动作细节及EAP封装信息元素,诸如图5所示的。
EAP封装信息元素包括元素标识符(ID)字段,其将元素识别为EAP封装IE;长度字段,其指示元素ID和长度字段之后的信息字段中的八位字节的数目;消息完整性检查(MIC)控制字段,其包括用来选择用于计算MIC的可用算法的MIC算法字段、预留字段和指定帧包括将受到MIC保护并包括在MIC计算中的一个IE的信息元素(IE)计数字段;消息完整性检查(MIC)字段,其包含用于完整性检查的消息完整性检查值以保证有效的EAP消息从MA 130被传递到申请者节点110;EAP消息类型字段,其指定消息类型是响应、安全关联接受或安全关联拒绝类型(例如,值2、3或11);消息令牌字段,其包含在响应消息对应的相应请求消息中的消息令牌字段的值(例如,指定与MA130所选择的唯一乱数值相同并被发射到MKD 140的乱数值);申请者地址(SPA)字段,其指定正在经历或参与EAP认证的申请者节点110的MAC地址(例如,SPA字段可以被设置成包含在此EAP封装响应消息对应的EAP封装请求消息中的值);以及EAP消息字段,其包含具有如IETF RFC 3748中定义的格式的EAP分组。
对按以下顺序的级联通过以下的MIC控制字段的MIC算法子字段所选择的算法而使用成对密钥(例如,在MA节点130和MKD 140之间共享的安全密钥)来计算在消息完整性检查(MIC)字段中的消息完整性检查值:
MA MAC地址,
MKD MAC地址,
EAP封装IE的内容,MIC字段被设置为0。
如上所述,消息类型字段指定EAP封装网格动作消息的消息“类型”(例如,EAP封装EMSA网格动作帧)。消息类型受到完整性保护(经由MIC),因为它们影响MA 130处的接入控制特性。EAP封装网格动作消息可以根据上下文而具有至少三种不同类型之一。
一种类型是“接受”类型(例如,EAP封装网格动作接受消息)。例如,在一种实现中,如果EAP封装网格动作消息是序列的最终消息,并且申请者节点110的EAP认证导致“接受”指示,则EAP消息类型字段可以被设置为二(例如,0x02)以指示“接受”(例如,为指示申请者节点110的“接受”的安全关联接受消息)。
另一种类型是“拒绝”类型(例如,EAP封装网格动作拒绝消息)。例如,在一种实现中,如果EAP封装网格动作消息是序列的最终消息,并且申请者节点110的EAP认证导致“拒绝”指示(例如,指示申请者节点110的“拒绝”的安全关联拒绝消息),则EAP消息类型字段可以为三(例如,0x03)以指示“拒绝”。
还有另一种消息类型是“响应”消息类型(例如,EAP封装网格动作响应消息)。例如,如果EAP封装网格动作消息不是EAP封装网格动作接受消息或EAP封装网格动作拒绝消息,则EAP消息类型字段可以被设置为11(例如,0x0B)以指示“响应”消息类型。
因此,“接受”消息类型和“拒绝”消息类型可以由此被用来当认证申请者节点110时向MA 130提供执行适当动作的指示。
在接收到来自MKD 140的EAP封装网格动作消息时,MA 130检验MIC。而且如上所述,在每个帧中的消息令牌字段可以被用来使响应消息与请求消息匹配(例如,将请求和响应帧对匹配)。同样地,在接收到来自MKD 140的EAP封装网格动作消息时,MA 130也检验在响应消息中接收到的消息令牌与在最近请求消息中发送的值匹配。如果最后响应消息接收具有EAP消息类型“拒绝”,则MA 130可以终止与申请者节点110的关联。
下面将相对于图7和8分别进一步描述在EAP封装协议600期间在MA节点130和网格密钥分配器(MKD)140处发生的处理。
图7是示出依照本发明的一些实施例的用于多跳网络100中的网格认证器(MA)130处的EAP封装的示例性过程700的流程图700。
当网格认证器(MA)130接收到申请者节点110已经执行与MA130的关联但尚未被认证的指示时,过程700在步骤702开始。在步骤704,网格认证器(MA)130确定网格认证器(MA)130是否知道要发送的第一EAP消息。例如,MA 130可以基于申请者节点110的MAC地址知道配置申请者节点110使用的特定认证协议,并且还可以知道必须被发送到申请者节点110的认证协议的第一消息的格式。如果MA130不知道要发送的第一消息的格式,则其可以向MKD发送EAP封装请求消息,以便请求由AS 150生成认证协议的第一消息。
如果网格认证器(MA)节点130不知道要发送的第一EAP消息,则过程700继续进行到步骤706,其中网格认证器(MA)节点130利用指定消息类型为请求(例如,1或0x01)的EAP消息类型字段、指定MA节点130所选择的唯一乱数值的消息令牌字段以及指定参与EAP认证的申请者的MAC地址的申请者地址(SPA)字段来构造EAP封装信息元素。在步骤706,网格认证器(MA)节点130也省略EAP消息字段,并且计算和***消息完整性检查(MIC)字段。消息完整性检查(MIC)字段保护此IE(例如,EAP消息)和附加报头信息的内容不被修改。在步骤706,网格认证器(MA)节点130也构造网格动作帧,将EAP封装信息元素***网格动作帧中,并将该网格动作帧发送到MKD 140。然后,过程700继续进行到步骤714。
如果网格认证器(MA)130知道要发送的第一EAP消息,则过程700继续进行到步骤708,其中网格认证器(MA)130将第一EAP消息在EAPOL分组内发送到申请者节点110。在步骤710,网格认证器(MA)130等待并接收来自申请者节点110的EAPOL分组内的EAP消息。
在步骤712,网格认证器(MA)130利用指定消息类型为请求(例如,0x01)的EAP消息类型字段、指定MA节点130所选择的唯一乱数值的消息令牌字段以及指定参与EAP认证的申请者节点110的MAC地址的申请者地址(SPA)字段来构造EAP封装信息元素。在步骤712,网格认证器(MA)节点130也***从申请者节点110获得的EAP消息,并且计算和***消息完整性检查(MIC)字段,该消息完整性检查(MIC)字段包含用于完整性检查的消息完整性检查值以保证有效的EAP消息从MKD 140被传递到认证服务器(AS)150。消息完整性检查(MIC)字段保护此IE(例如,EAP消息)和附加报头信息的内容不被修改。在步骤712,网格认证器(MA)节点130也构造网格动作帧,将EAP封装信息元素***网格动作帧中,并将网格动作帧发送到MKD 140。然后,过程700继续进行到步骤714。
在步骤714,网格认证器(MA)节点130等待并接收来自MKD 140的EAP封装网格动作消息。
一旦网格认证器(MA)节点130接收到来自MKD 140的EAP封装网格动作消息,则在步骤716,网格认证器(MA)130确定来自消息完整性检查(MIC)字段的消息完整性检查值是否有效。而且如上所述,在每个帧中的消息令牌字段可以被用来使EAP封装响应消息与EAP封装请求消息匹配(例如,将请求和响应帧对匹配)。在步骤716,网格认证器(MA)130还确定在EAP封装响应消息中接收到的申请者地址(SPA)字段和消息令牌字段中指定的申请者节点的MAC地址是否与在最近EAP封装请求消息中指定的那些地址匹配。
如果在步骤716这些条件之一不满足,则过程700继续进行到718,其中过程700返回到网格认证器(MA)节点130等待并接收来自MKD140的另一或新EAP封装响应消息的步骤714。相反,如果满足了步骤716的每个条件,则过程700继续进行到网格认证器(MA)130将EAP消息在EAPOL分组内发送到申请者节点110的步骤720。
如果申请者节点110的EAP认证被AS 150接受,则最终EAP封装响应消息具有等于2(例如,0x02)的EAP消息类型。同样地,在步骤722,网格认证器(MA)130确定最终EAP封装响应消息是否包含EAP消息类型2,以确定申请者节点110是否被接受。如果最终EAP封装响应消息包含EAP消息类型2,则在步骤724,网格认证器(MA)130执行“接受”处理,并且过程700在步骤726结束。
如果申请者节点110的EAP认证失败,则MKD 140向MA 130发送具有类型“拒绝”的最终EAP封装响应消息。同样地,在步骤728,网格认证器(MA)130确定最终EAP封装响应消息是否具有等于3(例如,0x03)的EAP消息类型,以确定申请者节点110是否被拒绝。在接收到类型“拒绝”的最终EAP封装响应消息时,MA 130终止与申请者节点110的关联。在步骤730,网格认证器(MA)130执行“拒绝”处理,并且过程700在步骤726结束。
在步骤732,过程700进行到网格认证器(MA)130等待并接收来自申请者节点110的EAPOL分组内的另一EAP消息的步骤710。在这种情况下,已经确定EAP封装响应消息不是包含EAP消息类型“接受”或“拒绝”的最终EAP封装响应消息,并且因此,应当考虑来自MKD 140的另一EAP封装网格动作消息。
图8是示出依照本发明的一些实施例的用于在多跳网络100中的网格密钥分配器(MKD)140处的EAP封装的示例性过程的流程图800。
当网格密钥分配器(MKD)140接收到诸如参照图6描述的EAP封装请求消息时,过程800在步骤802开始。
在步骤804,网格密钥分配器(MKD)140确定在EAP封装网格动作消息中的MIC值是否有效,以保证接收到的消息的完整性。如果在EAP封装网格动作消息中的MIC值无效,则该过程在步骤830结束。
如果在EAP封装请求消息中的MIC值有效,则在步骤806,网格密钥分配器(MKD)140存储来自EAP封装请求消息的消息令牌和申请者地址(SPA)。消息令牌字段包含由MA 130选择的唯一乱数值。所述SPA字段指定正在经历或参与EAP认证的申请者节点110的MAC地址。
在步骤808,网格密钥分配器(MKD)140确定EAP消息是否被包括在EAP封装请求消息内的EAP封装IE中。如果IE不包括EAP消息,则在步骤810,网格密钥分配器(MKD)140向AAA客户端发送EAP开始指示。然后,该过程继续进行到步骤814。
如果在EAP封装请求消息内的EAP封装IE不包括EAP消息,则在步骤812,网格密钥分配器(MKD)140向正运行在MKD 140上的客户端进程提供EAP消息用于传递到AS 150。
在步骤814,网格密钥分配器(MKD)140从正运行在MKD 140上的AAA客户端进程接收由AS 150生成的EAP消息。
在步骤816,MKD 140构造EAP封装信息元素,该EAP封装信息元素包括来自在步骤806存储的EAP封装请求消息的消息令牌和SPA,并包括来自在步骤814中接收到的AAA客户端的EAP消息。
如上所述,来自AAA客户端的EAP消息将包括消息类型字段,该消息类型字段可以具有指定EAP封装响应消息的EAP消息类型的至少三种不同类型之一。
在步骤818,网格密钥分配器(MKD)140确定AAA客户端是否指示申请者节点110请求的“接受”。
如果AAA客户端指示接受,则在步骤820,网格密钥分配器(MKD)140设置EAP封装IE的EAP消息类型字段,以指示申请者节点110的“接受”。例如,在一种实现中,如果EAP消息是序列的最终消息,并且申请者节点110的EAP认证导致“接受”指示,则EAP消息类型字段可以被设置为二(例如0x02),以指示“接受”(例如,指示申请者节点110的“接受”)。然后,过程800继续进行到步骤828。
如果在步骤818中AAA客户端未指示接受,则在步骤822,网格密钥分配器(MKD)140确定AAA客户端是否指示申请者节点110请求的“拒绝”。
如果AAA客户端指示申请者节点110认证的“拒绝”,则在步骤824,网格密钥分配器(MKD)140设置EAP封装IE的EAP消息类型字段以指示申请者节点110的“拒绝”。例如,在一种实现中,如果EAP消息是序列的最终消息,并且申请者节点110的EAP认证导致“拒绝”指示,则EAP消息类型字段可以是三(例如,0x03)以指示“拒绝”(例如,指示申请者节点110的“拒绝”)。
如果AAA客户端未指示申请者节点110请求的“拒绝”,则在步骤826,网格密钥分配器(MKD)140将EAP封装IE的EAP消息类型字段设置成“响应”消息类型。例如,在一种实现中,如果EAP封装响应消息不是指示“接受”或“拒绝”的最终EAP封装响应消息,则EAP封装IE的EAP消息类型字段可以被设置为11(例如,0x0B)以指示“响应”消息类型。然后,过程800继续进行到步骤828。
在步骤828,网格密钥分配器(MKD)140计算MIC,将其***EAP封装IE中,构造包含EAP封装IE的网格动作帧,并将该网格动作帧发送到MA 130。对按以下顺序的级联通过以下的MIC控制字段的MIC算法子字段所选择的算法而使用成对密钥来计算消息完整性检查(MIC)字段中的消息完整性检查值:MA MAC地址、MKD MAC地址以及MIC字段设置为0的EAP封装IE的内容。在步骤830,过程800结束。
在前述说明书中,已经描述了本发明的特定实施例。然而,本领域的技术人员理解,在不脱离如以下权利要求所阐明的本发明的范围的情况下可以进行各种修改和变更。
因此,本说明书和附图应当被视为说明性而非限制性的,并且所有此类修改旨在被包括在本发明的范围内。益处、优点、问题解决方案以及可能使得任何益处、优点或解决方案发生或变得更加明显的任何元素不应被解释为任何或全部权利要求的关键、要求或必要特征或元素。本发明仅由权利要求单独地限定,权利要求包括在本申请待决期间进行的任何修改和授权的那些权利要求的所有等同物。
权利要求书(按照条约第19条的修改)
1.一种用于在无线通信网络内建立安全关联的方法,所述方法包括:
认证服务器使用网格密钥分配器作为用于所述认证服务器的认证、授权和计费(AAA)客户端,认证一个或多个网格认证器,包括为每个网格认证器创建主密钥并将所述主密钥传递到所述网格密钥分配器;
使用在所述网格密钥分配器和一个或多个网格认证器之间的一个或多个层2协议来保持安全通信信道,包括从所述一个或多个网格认证器中的每个的所述主密钥导出:
用于在所述网格密钥分配器和所述网格认证器之间传送的至少一个导出的网格认证器密钥,以及
用于从所述网格密钥分配器到所述网格认证器的密钥传递的至少一个导出的网格认证器密钥,用于建立新的申请者安全关联;以及
建立申请者节点的安全关联,包括:
将可扩展认证协议(EAP)请求消息从所述申请者节点传送到所述网格认证器中的一个;
通过使用用于传送的所导出的密钥通过所述安全通信信道将在EAP封装请求消息内的所述EAP请求消息从所述网格认证器传递到所述网格密钥分配器,并且从所述网格密钥分配器传递到所述认证服务器,将所述EAP请求消息从所述申请者节点传送到所述认证服务器,
将EAP响应消息从所述认证服务器传送到所述网格密钥分配器,
将包括所述EAP响应消息和消息类型的EAP封装响应消息从所述网格密钥分配器传送到所述网格认证器,
将所述EAP响应消息从所述网格认证器传送到所述申请者节点,以及
当所述消息类型是接受消息类型时,使用分配的解开的密钥来建立所述申请者节点的所述安全关联。
2.根据权利要求1所述的方法,还包括:
在将所述EAP响应消息从所述认证服务器传送到所述网格密钥分配器之前,在所述认证服务器处认证所述申请者节点。
3.根据权利要求2所述的方法,其中,所述消息类型包括:
当所述申请者节点的所述认证成功并且所述认证服务器向所述网格密钥分配器提供指示所述申请者节点被接受的接受指示时的接受消息类型。
4.根据权利要求2所述的方法,其中,所述消息类型包括:
当所述申请者节点的所述认证失败并且所述认证服务器向所述网格密钥分配器提供指示所述申请者节点被拒绝的拒绝指示时的拒绝消息类型。
5.根据权利要求4所述的方法,还包括:
当所述网格认证器接收到包括所述拒绝消息类型的所述EAP封装响应消息时,在所述网格认证器处终止与所述申请者节点的关联。
6.根据权利要求1所述的方法,其中,所述EAP封装请求消息包括:
种类字段;
动作值字段;以及
EAP封装信息元素。
7.根据权利要求6所述的方法,其中,所述EAP封装信息元素包括:
消息完整性检查(MIC)字段,包含用于完整性检查的消息完整性检查值并保证有效的EAP消息从所述网格密钥分配器被传递到所述认证服务器;
EAP消息类型字段,指定所述消息类型是请求;
消息令牌字段,指定由所述网格认证器选择的唯一乱数值;以及
EAP消息字段,包含所述EAP请求消息。
8.根据权利要求7所述的方法,其中,所述EAP封装信息元素还包括:
消息完整性检查(MIC)控制字段,包括用来选择计算所述MIC的算法的MIC算法字段、预留字段和信息元素(IE)计数字段,所述信息元素计数字段指定一个IE受到所述MIC保护并包括在所述MIC计算中;以及
地址字段,指定所述申请者节点的媒体接入控制(MAC)地址。
9.根据权利要求7所述的方法,还包括在所述网格密钥分配器处接收到所述EAP封装请求消息时:
检验所述MIC值;以及
存储在所述消息令牌字段中指定的所述唯一乱数值,用于构造所述EAP封装响应消息。
10.根据权利要求1所述的方法,其中,所述EAP封装响应消息包括:
种类字段;
动作值;以及
EAP封装信息元素。
11.根据权利要求10所述的方法,其中,所述EAP封装信息元素包括:
消息完整性检查(MIC)字段,包含用于完整性检查的消息完整性检查值,以保证有效的EAP响应消息从所述网格认证器被传递到所述申请者节点;
EAP消息类型字段,指定所述消息类型;
消息令牌字段,包含在所述EAP封装响应消息对应的相应EAP封装请求消息中的所述消息令牌字段的所述值,其中,所述消息令牌字段指定与所述网格认证器所选择的所述唯一乱数值相同的值;以及
EAP消息字段,包含所述EAP响应消息。
12.根据权利要求11所述的方法,其中,所述EAP封装信息元素还包括:
消息完整性检查(MIC)控制字段,包括用来选择计算所述MIC的算法的MIC算法字段、预留字段和信息元素(IE)计数字段,所述信息元素计数字段指定所述帧包括受到所述MIC保护并包括在所述MIC计算中的一个IE;以及
地址字段,指定所述申请者节点的媒体接入控制(MAC)地址。
13.根据权利要求11所述的方法,还包括在所述网格认证器处接收到来自所述网格密钥分配器的所述EAP封装响应消息时:
在所述网格认证器处检验所述消息完整性检查值;
使用所述消息令牌字段来检验在所述EAP封装响应消息中接收到的所述消息令牌与在相应EAP封装请求消息中发送的所述消息令牌匹配。
Claims (10)
1.一种网络,包括:
第一节点,被配置成向网格认证器节点发射第一分组,其中,所述第一分组包括EAP请求消息;
网格认证器节点,被配置成接收所述第一分组并发射第一EAP封装请求消息,其中,所述第一EAP封装请求消息包括所述EAP请求消息;
网格密钥分配器,被配置成通过在所述网格认证器节点和网格密钥分配器之间的安全信道来接收所述第一EAP封装请求消息;以及
认证服务器,被配置成通过有线链路从所述网格密钥分配器接收所述第一EAP封装消息的内容以认证所述第一节点,生成最终EAP响应消息,并且将所述最终EAP响应消息发射到所述网格密钥分配器,
其中,所述网格密钥分配器被配置成从所述认证服务器接收所述最终EAP响应消息,向所述网格认证器节点生成最终EAP封装响应消息,并且通过所述安全信道将所述最终EAP封装响应消息发射到所述网格认证器,其中,所述最终EAP封装响应消息包括EAP响应消息并具有消息类型。
2.根据权利要求1所述的网络,其中,所述第一EAP封装消息包括:
EAP封装请求消息,包括第一EAP封装信息元素。
3.根据权利要求2所述的网络,其中,所述第一EAP封装信息元素包括:
第一消息完整性检查(MIC)字段,包含用于完整性检查的消息完整性检查值并保证有效的EAP消息从所述网格密钥分配器被传递到所述认证服务器;
第一EAP消息类型字段,指定所述消息类型是请求;
第一消息令牌字段,指定由所述网格认证器节点选择的唯一乱数值;以及
第一EAP消息字段,包含EAP请求消息。
4.根据权利要求3所述的网络,其中,所述第一EAP封装信息元素还包括:
第一消息完整性检查(MIC)控制字段,包括用来选择计算所述MIC的算法的MIC算法字段、预留字段和信息元素(IE)计数字段,该信息元素计数字段指定一个IE受到所述MIC保护并包括在所述MIC计算中;以及
第一地址字段,指定所述第一节点的所述MAC地址。
5.根据权利要求1所述的网络,其中,所述最终EAP封装响应消息还包括第二EAP封装信息元素。
6.根据权利要求5所述的网络,其中,所述第二EAP封装信息元素包括:
第二消息完整性检查(MIC)字段,包含用于完整性检查的消息完整性检查值以保证有效的EAP响应消息将从所述网格认证器节点被传递到所述第一节点;
第二EAP消息类型字段,指定所述消息类型;
第二消息令牌字段,包含在所述EAP封装响应消息对应的相应EAP封装请求消息中的所述消息令牌字段的所述值,其中,所述第二消息令牌字段指定与所述网格认证器节点所选择的所述唯一乱数值相同的值;以及
第二EAP消息字段,包含EAP响应消息。
7.根据权利要求6所述的网络,其中,所述第二EAP封装信息元素还包括:
第二消息完整性检查(MIC)控制字段,包括用来选择计算所述MIC的算法的MIC算法字段、预留字段和信息元素(IE)计数字段,该信息元素计数字段指定所述帧包括将受到所述MIC保护并包括在所述MIC计算中的一个IE;以及
第二地址字段,指定所述第一节点的所述MAC地址。
8.一种方法,包括:
将第一分组从第一节点发射到第二节点,其中,所述第一分组包括EAP请求消息;
在所述第二节点处接收所述第一分组;
通过在所述第二节点和网格密钥分配器之间的所述安全信道将第一EAP封装请求消息从所述第二节点发射到所述网格密钥分配器,其中,所述第一EAP封装请求消息包括所述EAP请求消息;以及
通过在所述第二节点和所述网格密钥分配器之间的所述安全信道将最终EAP封装响应消息从所述网格密钥分配器发射到所述第二节点,其中,所述最终EAP封装响应消息包括消息类型的指示。
9.根据权利要求8所述的方法,还包括:
将所述第一EAP封装请求消息的内容从所述网格密钥分配器传递到认证服务器;
在所述认证服务器处认证所述第一节点,并在所述网格密钥分配器处生成最终EAP封装响应消息,以及将所述最终EAP封装响应消息发射到所述第二节点,其中所述最终EAP封装响应消息包括EAP响应消息并具有消息类型;以及
在所述第二节点处接收来自所述网格密钥分配器的所述最终EAP封装响应消息。
10.根据权利要求8所述的方法,其中,所述第一EAP封装消息包括:
EAP封装请求消息,包括:
第一种类字段;
第一动作值字段;以及
第一EAP封装信息元素。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/470,973 US7707415B2 (en) | 2006-09-07 | 2006-09-07 | Tunneling security association messages through a mesh network |
| US11/470,973 | 2006-09-07 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101512958A true CN101512958A (zh) | 2009-08-19 |
Family
ID=39157927
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007800333099A Pending CN101512958A (zh) | 2006-09-07 | 2007-08-08 | 通过网格网络隧道传送安全关联消息 |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US7707415B2 (zh) |
| EP (1) | EP2060047A2 (zh) |
| JP (1) | JP2010503328A (zh) |
| KR (1) | KR20090067156A (zh) |
| CN (1) | CN101512958A (zh) |
| AU (1) | AU2007292528A1 (zh) |
| BR (1) | BRPI0716186A2 (zh) |
| CA (1) | CA2663176A1 (zh) |
| MX (1) | MX2009002506A (zh) |
| RU (1) | RU2009112627A (zh) |
| WO (1) | WO2008030679A2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016070602A1 (zh) * | 2014-11-06 | 2016-05-12 | 中兴通讯股份有限公司 | 完整性校验码mic检查方法及装置 |
| CN109660334A (zh) * | 2017-10-11 | 2019-04-19 | 华为技术有限公司 | 一种生成密钥的方法和装置 |
Families Citing this family (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5123209B2 (ja) * | 2006-01-24 | 2013-01-23 | ▲ホア▼▲ウェイ▼技術有限公司 | モバイルネットワークに基づくエンドツーエンド通信での認証の方法、システム、および認証センタ |
| US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
| US8578159B2 (en) * | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
| US7707415B2 (en) | 2006-09-07 | 2010-04-27 | Motorola, Inc. | Tunneling security association messages through a mesh network |
| US7734052B2 (en) * | 2006-09-07 | 2010-06-08 | Motorola, Inc. | Method and system for secure processing of authentication key material in an ad hoc wireless network |
| EP1936878A1 (en) * | 2006-12-22 | 2008-06-25 | IBBT vzw | Method for channel assignment in multi-radio wireless mesh networks and corresponding network node |
| US8005224B2 (en) * | 2007-03-14 | 2011-08-23 | Futurewei Technologies, Inc. | Token-based dynamic key distribution method for roaming environments |
| US20080244262A1 (en) * | 2007-03-30 | 2008-10-02 | Intel Corporation | Enhanced supplicant framework for wireless communications |
| WO2009055061A1 (en) | 2007-10-25 | 2009-04-30 | Trilliant Networks, Inc. | Gas meter having ultra-sensitive magnetic material retrofitted onto meter dial and method for performing meter retrofit |
| US8208635B2 (en) * | 2007-11-13 | 2012-06-26 | Rosemount Inc. | Wireless mesh network with secure automatic key loads to wireless devices |
| WO2009067248A1 (en) * | 2007-11-25 | 2009-05-28 | Trilliant Networks, Inc. | Application layer authorization token and method |
| US8138934B2 (en) | 2007-11-25 | 2012-03-20 | Trilliant Networks, Inc. | System and method for false alert filtering of event messages within a network |
| WO2009067254A1 (en) | 2007-11-25 | 2009-05-28 | Trilliant Networks, Inc. | System and method for operating mesh devices in multi-tree overlapping mesh networks |
| US8332055B2 (en) | 2007-11-25 | 2012-12-11 | Trilliant Networks, Inc. | Energy use control system and method |
| EP2215556B1 (en) | 2007-11-25 | 2019-08-28 | Trilliant Networks, Inc. | System and method for transmitting power status notifications in an advanced metering infrastructure network |
| US20090136043A1 (en) * | 2007-11-26 | 2009-05-28 | Motorola, Inc. | Method and apparatus for performing key management and key distribution in wireless networks |
| US20100023752A1 (en) * | 2007-12-27 | 2010-01-28 | Motorola, Inc. | Method and device for transmitting groupcast data in a wireless mesh communication network |
| US8756675B2 (en) * | 2008-08-06 | 2014-06-17 | Silver Spring Networks, Inc. | Systems and methods for security in a wireless utility network |
| CA2734953A1 (en) * | 2008-09-04 | 2010-03-11 | Trilliant Networks, Inc. | A system and method for implementing mesh network communications using a mesh network protocol |
| US8289182B2 (en) | 2008-11-21 | 2012-10-16 | Trilliant Networks, Inc. | Methods and systems for virtual energy management display |
| US8966265B2 (en) * | 2009-01-30 | 2015-02-24 | Texas Instruments Incorporated | Pairwise temporal key creation for secure networks |
| CA2753074A1 (en) | 2009-03-11 | 2010-09-16 | Trilliant Networks, Inc. | Process, device and system for mapping transformers to meters and locating non-technical line losses |
| KR101674947B1 (ko) * | 2009-04-21 | 2016-11-10 | 엘지전자 주식회사 | 효율적인 보안 관련 처리 |
| KR101683286B1 (ko) * | 2009-11-25 | 2016-12-06 | 삼성전자주식회사 | 이동통신망을 이용한 싱크 인증 시스템 및 방법 |
| DE102010018286A1 (de) * | 2010-04-26 | 2011-10-27 | Siemens Enterprise Communications Gmbh & Co. Kg | Schlüsselverteilerknoten für ein Netzwerk |
| CA2809034A1 (en) | 2010-08-27 | 2012-03-01 | Randy Frei | System and method for interference free operation of co-located tranceivers |
| CA2813534A1 (en) | 2010-09-13 | 2012-03-22 | Trilliant Networks, Inc. | Process for detecting energy theft |
| US8555067B2 (en) * | 2010-10-28 | 2013-10-08 | Apple Inc. | Methods and apparatus for delivering electronic identification components over a wireless network |
| US8725196B2 (en) * | 2010-11-05 | 2014-05-13 | Qualcomm Incorporated | Beacon and management information elements with integrity protection |
| US8832428B2 (en) | 2010-11-15 | 2014-09-09 | Trilliant Holdings Inc. | System and method for securely communicating across multiple networks using a single radio |
| US9282383B2 (en) | 2011-01-14 | 2016-03-08 | Trilliant Incorporated | Process, device and system for volt/VAR optimization |
| US8970394B2 (en) | 2011-01-25 | 2015-03-03 | Trilliant Holdings Inc. | Aggregated real-time power outages/restoration reporting (RTPOR) in a secure mesh network |
| EP3285458B1 (en) | 2011-02-10 | 2022-10-26 | Trilliant Holdings, Inc. | Device and method for facilitating secure communications over a cellular network |
| WO2012122310A1 (en) | 2011-03-08 | 2012-09-13 | Trilliant Networks, Inc. | System and method for managing load distribution across a power grid |
| US9515925B2 (en) | 2011-05-19 | 2016-12-06 | Qualcomm Incorporated | Apparatus and methods for media access control header compression |
| US9125181B2 (en) * | 2011-08-23 | 2015-09-01 | Qualcomm Incorporated | Systems and methods for compressing headers |
| US9001787B1 (en) | 2011-09-20 | 2015-04-07 | Trilliant Networks Inc. | System and method for implementing handover of a hybrid communications module |
| JP2013090282A (ja) * | 2011-10-21 | 2013-05-13 | Sony Corp | 受信装置及び方法、プログラム、並びに情報処理システム |
| US9215075B1 (en) | 2013-03-15 | 2015-12-15 | Poltorak Technologies Llc | System and method for secure relayed communications from an implantable medical device |
| WO2014179722A1 (en) * | 2013-05-02 | 2014-11-06 | Interdigital Patent Holdings, Inc. | Method for selecting an entity based on a total link quality |
| CN104426660A (zh) * | 2013-09-04 | 2015-03-18 | 中兴通讯股份有限公司 | 一种Portal认证方法、BNG、Portal服务器和*** |
| US20160212632A1 (en) * | 2015-01-16 | 2016-07-21 | Qualcomm Incorporated | Efficient physical cell identifier collision and confusion avoidance using lte-direct |
| US9608963B2 (en) * | 2015-04-24 | 2017-03-28 | Cisco Technology, Inc. | Scalable intermediate network device leveraging SSL session ticket extension |
| JP6661288B2 (ja) * | 2015-07-07 | 2020-03-11 | キヤノン株式会社 | シート給送装置、及び画像形成装置 |
| FR3058290B1 (fr) * | 2016-10-27 | 2019-08-02 | Thales | Equipement avionique avec signature a usage unique d'un message emis, systeme avionique, procede de transmission et programme d'ordinateur associes |
| JP6698060B2 (ja) | 2017-11-08 | 2020-05-27 | アライドテレシスホールディングス株式会社 | 無線通信装置および方法 |
| WO2019165235A1 (en) * | 2018-02-23 | 2019-08-29 | Neji, Inc. | Secure encrypted network tunnels using osi layer 2 protocol |
| CN114024708A (zh) * | 2021-09-23 | 2022-02-08 | 广东电力信息科技有限公司 | 一种基于入侵检测技术的网络边界防护方法 |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5572528A (en) | 1995-03-20 | 1996-11-05 | Novell, Inc. | Mobile networking method and apparatus |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| US7016949B1 (en) * | 2000-11-20 | 2006-03-21 | Colorado Computer Training Institute | Network training system with a remote, shared classroom laboratory |
| US20020184487A1 (en) | 2001-03-23 | 2002-12-05 | Badamo Michael J. | System and method for distributing security processing functions for network applications |
| US20020184055A1 (en) * | 2001-05-29 | 2002-12-05 | Morteza Naghavi | System and method for healthcare specific operating system |
| US7043758B2 (en) * | 2001-06-15 | 2006-05-09 | Mcafee, Inc. | Scanning computer files for specified content |
| EP1286506B1 (en) | 2001-08-07 | 2005-10-19 | Kabushiki Kaisha Toshiba | Wireless communication system and wireless station |
| US7039068B1 (en) | 2001-09-26 | 2006-05-02 | Cisco Technology, Inc. | Packet assembly |
| US6996714B1 (en) * | 2001-12-14 | 2006-02-07 | Cisco Technology, Inc. | Wireless authentication protocol |
| US7016948B1 (en) | 2001-12-21 | 2006-03-21 | Mcafee, Inc. | Method and apparatus for detailed protocol analysis of frames captured in an IEEE 802.11 (b) wireless LAN |
| US7418596B1 (en) * | 2002-03-26 | 2008-08-26 | Cellco Partnership | Secure, efficient, and mutually authenticated cryptographic key distribution |
| US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
| US8630414B2 (en) * | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| US7788705B2 (en) * | 2002-08-12 | 2010-08-31 | Mcafee, Inc. | Fine grained access control for wireless networks |
| JP3992579B2 (ja) | 2002-10-01 | 2007-10-17 | 富士通株式会社 | 鍵交換代理ネットワークシステム |
| US7448068B2 (en) * | 2002-10-21 | 2008-11-04 | Microsoft Corporation | Automatic client authentication for a wireless network protected by PEAP, EAP-TLS, or other extensible authentication protocols |
| US7350077B2 (en) | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
| JP3891145B2 (ja) | 2003-05-16 | 2007-03-14 | ソニー株式会社 | 無線通信装置、無線通信方法及びプログラム |
| US7275157B2 (en) | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
| US7171555B1 (en) * | 2003-05-29 | 2007-01-30 | Cisco Technology, Inc. | Method and apparatus for communicating credential information within a network device authentication conversation |
| US7693143B2 (en) | 2003-08-15 | 2010-04-06 | Accton Technology Corporation | Forwarding and routing method for wireless transport service |
| WO2005045642A2 (en) | 2003-11-04 | 2005-05-19 | Nexthop Technologies, Inc. | Secure, standards-based communications across a wide-area network |
| GB2412038B (en) | 2004-03-10 | 2006-04-19 | Toshiba Res Europ Ltd | Packet format |
| US7231530B1 (en) | 2004-04-06 | 2007-06-12 | Cisco Technology, Inc. | System and method for saving power in a wireless network by reducing power to a wireless station for a time interval if a received packet fails an integrity check |
| US20060002426A1 (en) | 2004-07-01 | 2006-01-05 | Telefonaktiebolaget L M Ericsson (Publ) | Header compression negotiation in a telecommunications network using the protocol for carrying authentication for network access (PANA) |
| US7194763B2 (en) * | 2004-08-02 | 2007-03-20 | Cisco Technology, Inc. | Method and apparatus for determining authentication capabilities |
| WO2006080623A1 (en) | 2004-09-22 | 2006-08-03 | Samsung Electronics Co., Ltd. | Method and apparatus for managing communication security in wireless network |
| US7502331B2 (en) * | 2004-11-17 | 2009-03-10 | Cisco Technology, Inc. | Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices |
| US7330696B2 (en) | 2004-11-24 | 2008-02-12 | Symbol Technologies, Inc. | System and method for multi-mode radio operation |
| US7724732B2 (en) | 2005-03-04 | 2010-05-25 | Cisco Technology, Inc. | Secure multipoint internet protocol virtual private networks |
| US7752441B2 (en) * | 2006-02-13 | 2010-07-06 | Alcatel-Lucent Usa Inc. | Method of cryptographic synchronization |
| US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
| JP4804983B2 (ja) * | 2006-03-29 | 2011-11-02 | 富士通株式会社 | 無線端末、認証装置、及び、プログラム |
| US20070265965A1 (en) * | 2006-05-15 | 2007-11-15 | Community College Foundation | Real-time status and event monitoring system for foster children with various user levels of access |
| US7508803B2 (en) | 2006-09-07 | 2009-03-24 | Motorola, Inc. | Transporting management traffic through a multi-hop mesh network |
| US7707415B2 (en) | 2006-09-07 | 2010-04-27 | Motorola, Inc. | Tunneling security association messages through a mesh network |
-
2006
- 2006-09-07 US US11/470,973 patent/US7707415B2/en active Active
-
2007
- 2007-08-08 BR BRPI0716186-7A2A patent/BRPI0716186A2/pt not_active IP Right Cessation
- 2007-08-08 KR KR1020097007088A patent/KR20090067156A/ko not_active Application Discontinuation
- 2007-08-08 RU RU2009112627/09A patent/RU2009112627A/ru unknown
- 2007-08-08 AU AU2007292528A patent/AU2007292528A1/en not_active Abandoned
- 2007-08-08 EP EP07813872A patent/EP2060047A2/en not_active Withdrawn
- 2007-08-08 MX MX2009002506A patent/MX2009002506A/es not_active Application Discontinuation
- 2007-08-08 CA CA002663176A patent/CA2663176A1/en not_active Abandoned
- 2007-08-08 CN CNA2007800333099A patent/CN101512958A/zh active Pending
- 2007-08-08 WO PCT/US2007/075439 patent/WO2008030679A2/en active Application Filing
- 2007-08-08 JP JP2009527476A patent/JP2010503328A/ja not_active Withdrawn
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016070602A1 (zh) * | 2014-11-06 | 2016-05-12 | 中兴通讯股份有限公司 | 完整性校验码mic检查方法及装置 |
| US10484396B2 (en) | 2014-11-06 | 2019-11-19 | Xi'an Zhongxing New Software Co., Ltd. | Method and device for examining message integrity check |
| CN109660334A (zh) * | 2017-10-11 | 2019-04-19 | 华为技术有限公司 | 一种生成密钥的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2663176A1 (en) | 2008-03-13 |
| KR20090067156A (ko) | 2009-06-24 |
| JP2010503328A (ja) | 2010-01-28 |
| BRPI0716186A2 (pt) | 2013-11-12 |
| MX2009002506A (es) | 2009-03-25 |
| RU2009112627A (ru) | 2010-10-20 |
| US7707415B2 (en) | 2010-04-27 |
| WO2008030679A2 (en) | 2008-03-13 |
| US20080063205A1 (en) | 2008-03-13 |
| WO2008030679B1 (en) | 2008-12-04 |
| AU2007292528A1 (en) | 2008-03-13 |
| WO2008030679A3 (en) | 2008-10-09 |
| EP2060047A2 (en) | 2009-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101512958A (zh) | 通过网格网络隧道传送安全关联消息 | |
| CN101512980B (zh) | 通过多跳网格网络传输管理业务 | |
| CN100579304C (zh) | 利用密钥重定认证漫游移动节点的方法和装置 | |
| EP1805920B1 (en) | System and method for providing security for a wireless network | |
| CN102100030B (zh) | 加密控制信号的方法 | |
| CN102035845B (zh) | 支持链路层保密传输的交换设备及其数据处理方法 | |
| CN103765848A (zh) | 用于媒体访问控制替换的装置和方法 | |
| CN101379801A (zh) | 用于eap扩展(eap-ext)的eap方法 | |
| JP2006505222A (ja) | ブリッジ暗号vlan | |
| CN101512537A (zh) | 在自组无线网络中安全处理认证密钥资料的方法和*** | |
| KR20090032624A (ko) | Ieee 802.15.4 네트워크에서의 보안 설정 가능한 맥프레임 제공 방법 및 장치 | |
| CN103430478A (zh) | 用于在无线通信***中加密短数据的方法和设备 | |
| CN101218780A (zh) | 在ad hoc网络中安全传输数据的方法和装置 | |
| CN101253747B (zh) | 在采用多跳方法的通信***中传输数据的方法和装置 | |
| US8447033B2 (en) | Method for protecting broadcast frame | |
| CN101998393A (zh) | 无线通信***中减少数据完整性校验的开销的方法和装置 | |
| Bhosle et al. | Applying security to data using symmetric encryption in MANET | |
| WO2012148257A1 (en) | Method for use in multi hop wireless sensor network | |
| EP4250641A1 (en) | Method, devices and system for performing key management | |
| EP3432538A1 (en) | A communication device for providing a data packet to be authenticated by a further communication device | |
| Gupta et al. | Shared Information Based Security Solution for Mobile Ad Hoc Networks | |
| ES2346251T3 (es) | Configuracion de red inalambrica. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090819 |