CN101513092A - 在基于基础结构的无线多跳网络中的安全认证和密钥管理 - Google Patents
在基于基础结构的无线多跳网络中的安全认证和密钥管理 Download PDFInfo
- Publication number
- CN101513092A CN101513092A CNA2007800333192A CN200780033319A CN101513092A CN 101513092 A CN101513092 A CN 101513092A CN A2007800333192 A CNA2007800333192 A CN A2007800333192A CN 200780033319 A CN200780033319 A CN 200780033319A CN 101513092 A CN101513092 A CN 101513092A
- Authority
- CN
- China
- Prior art keywords
- key holder
- key
- applicant
- pmk
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 47
- 101100083742 Caenorhabditis elegans pmk-1 gene Proteins 0.000 claims abstract description 34
- 230000008569 process Effects 0.000 claims abstract description 11
- 238000004891 communication Methods 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 12
- 238000013475 authorization Methods 0.000 claims description 11
- 230000009191 jumping Effects 0.000 claims description 4
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 claims 5
- 101000979001 Homo sapiens Methionine aminopeptidase 2 Proteins 0.000 description 9
- 101000969087 Homo sapiens Microtubule-associated protein 2 Proteins 0.000 description 9
- 101000969594 Homo sapiens Modulator of apoptosis 1 Proteins 0.000 description 9
- 102100021118 Microtubule-associated protein 2 Human genes 0.000 description 9
- 102100021440 Modulator of apoptosis 1 Human genes 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 7
- 230000004044 response Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 5
- 230000011218 segmentation Effects 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012797 qualification Methods 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 101100131116 Oryza sativa subsp. japonica MPK3 gene Proteins 0.000 description 1
- 101100456045 Schizosaccharomyces pombe (strain 972 / ATCC 24843) map3 gene Proteins 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
- H04L63/064—Hierarchical key distribution, e.g. by multi-tier trusted parties
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
- H04W84/22—Self-organising networks, e.g. ad-hoc networks or sensor networks with access to wired networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
文中提供了一种在多跳无线网络中具有逐跳安全模型的安全认证和密钥管理方案的***和方法。该方案将802.11r密钥层次适配到网状的AP网络中。在这种方法中,顶部密钥持有者(R0KH)在认证处理后,得出和保留用于每个申请者无线装置的顶部成对主密钥(PMK_0)。所有的认证器AP采取第一级密钥持有者(R1KH)角色,并且从R0KH接收下一级成对主密钥(PMK_1)。经由802.11i4路握手来从PMK_1得出链路级数据保护密钥。
Description
技术领域
本发明一般地涉及无线通信,并且更具体地涉及在基于基础结构的无线多跳网络中的安全认证和密钥管理。
背景技术
基于基础结构的无线网络通常包括具有固定和有线的网关的通信网络。许多基于基础结构的无线网络使用移动单元或者主机,所述移动单元或者主机与耦接到有线网络的固定基站通信。所述移动单元可以在其通过无线链路与基站通信的同时在地理上移动。当移动单元移出一个基站的范围时,它可以连接或者“切换”到新的基站,并且开始通过所述新的基站与所述有线网络通信。
与基于基础结构的无线网络(诸如蜂窝网络或者卫星网络)相比较,自组织(ad hoc)网络是可以在没有任何固定基础结构的情况下工作的自行形成的网络,并且在一些情况下,所述自组织网络完全由移动节点形成。自组织网络通常包括多个地理上分布的、可能移动的单元,所述多个地理上分布的、可能移动的单元有时被称为“节点”,它们通过一个或多个链路(例如,射频通信信道)而彼此无线地连接。所述节点可以通过无线媒体在没有基于基础结构的或者有线的网络的支持的情况下彼此通信。
随着无线通信网络变得更为普遍,安全对于通信网络提供商和终端用户双方而言继续成为主要的关注问题。当使用移动无线网络时,这一点最明显,在所述移动无线网络中,安全环境可以提供最大的挑战,因为许多节点可以很容易地接收和操纵数据。在无线网络中使用的无线链路将穿越所述网络的信令和数据暴露于窃听者和/或将要成为的黑客。在多跳无线网络中,这要求在网状装置中的每个链路具有通过多跳认证和密钥管理处理而建立的唯一安全关联。于是,可以利用所建立的安全关联来保护在链路上的空中的帧。
附图说明
在附图中,在全部单独的视图中,相同的附图标号表示相同或者功能上类似的元件,并且所述附图与下面的详细说明一起被包含在说明书中并且形成说明书的一部分,用于进一步图示各种实施例,并且解释所有根据本发明的各种原理和优点。
图1图示了根据本发明的一些实施例的示例性的基于基础结构的多跳无线网络。
图2图示了根据本发明的一些实施例的示例性消息格式。
图3是图示根据本发明的一些实施例的密钥分发和角色授权处理的流程图。
图4图示了根据本发明的一些实施例的认证过程。
图5是图示根据本发明的一些实施例的在图1的网络的各种元件之间交换的认证消息的消息流图。
图6图示了根据本发明的一些实施例的图5的消息交换的更多细节。
技术人员将理解,为了简单和清楚而图示附图中的元件,并且在附图中的元件不一定按比例绘制。例如,附图中的一些元件的尺寸可能相对于其他元件被放大,以有助于改善对于本发明的实施例的理解。
具体实施方式
在详细描述根据本发明的实施例之前,应当观察到,所述实施例主要存在于与安全认证和密钥管理相关的方法步骤和设备部件的组合中。因此,已经在适当的位置通过在附图中的常规的符号表示了所述设备部件和方法步骤,所述常规符号仅仅示出了与理解本发明的实施例相关的那些具体细节,以便不将本公开与受益于在此的描述的本领域中的技术人员容易显而易见的细节混淆。
在本文中,诸如第一和第二、上和下等的关系术语可以唯一用于将一个实体或者行为与另一个实体或者行为相区别,而不一定要求或者暗示在这样的实体或者行为之间的任何实际的这样的关系或者顺序。术语“包括”或者其任何变化形式旨在涵盖非独占性包括,以便包括一列元素的处理、方法、制品或者设备不仅仅包括那些元素,而且可以包括未明确地列出或者这样的处理、方法、制品或者设备固有的其他元素。由“包括”开始的元素没有更多的限制地不排除在包括所述元素的处理、方法、制品或者设备中存在另外的相同的元素。
应当理解,在此描述的本发明的实施例可以由一个或多个常规的处理器和唯一存储的程序指令构成,所述唯一存储的程序指令控制所述一个或多个处理器,以结合特定的非处理器电路实现在此描述的安全认证和密钥管理的一些、大多数或者全部功能。所述非处理器电路可以包括但是不限于无线电接收机、无线电发射机、信号驱动器、时钟电路、电源电路和用户输入装置。同样,这些功能可以被解译为一种执行安全认证和密钥管理的方法的步骤。替代地,可以通过状态机来实现一些或者全部功能,所述状态机没有任何所存储的程序指令,或者,一些或者全部功能可以被实现在一个或多个专用集成电路(ASIC)中,其中,每个功能或者所述功能的特定的一些组合被实现为定制逻辑。当然,可以使用所述两种方法的组合。因此,在此已经说明了用于这些功能的方法和装置。而且,预期在尽管具有可能相当的努力和由例如可用时间、当前技术和经济考虑而促使许多设计选择的情况下,普通技术人员当被在此公开的思想和原理指导时,将很容易能够以最少的试验来产生这样的软件指令和程序以及集成电路。
本发明提供了一种用于具有逐跳安全模型的基于基础结构的多跳无线网络的安全认证和密钥管理方案。本发明的基本构件是IEEE802.11i和IEEE 802.1x。对于快速的切换来说,包括在802.11r中的特征。
IEEE 802.1x是一种以最小的管理开销提供几乎无限的可扩展性的新技术。其也允许用户或者运营商选择不同的认证方法。在本发明中,隧道传输层安全(TTLS)由于其相对强的安全性和较低的部署成本而用于用户和装置认证。对于所述装置来说,传输层安全(TLS)认证是可选特征。
对于集中认证和802.11r支持来说,用于802.11r密钥层次的顶级密钥持有者(R0KH)被设计成位于有线网络中。在顶级(第0级)密钥持有者和第2级密钥持有者(R1KH)之间的消息传送可以在层2中或者在因特网协议(IP)层中。
在本发明中,基于802.11r的密钥层次适应于在角色为第一级密钥持有者的网状接入点之间。在密钥持有者之间的安全管理消息流被提供。密钥管理可以支持符合802.11i和802.11r两者的无线站。其也可以支持具有被部署的可能的多个服务集标识符(SSID)的虚拟接入点。可以根据第0级密钥持有者的位置通过层2或者层3来传送在第0级和第一级密钥持有者之间的安全消息流。当所有的第0级密钥持有者被部署在与第一级密钥持有者相同的层2分段中时,可以使用层2通信传送,否则将使用层3通信传送。密钥分发密钥(KDK)在初始认证处理期间被得出,并且用于确保从顶级密钥持有者向下一级密钥持有者传送的密钥材料的安全。第一级密钥持有者R1KH的角色被顶级密钥持有者基于来自认证服务器的授权信息而授权。
在此,提供了在多跳无线网络中具有逐跳安全模型的安全认证和密钥管理方案的***和方法。所述方案将802.11r密钥层次适配到网状的接入点(AP)网络中。在这种方法中,顶级密钥持有者(R0KH)在认证处理后得出和保留用于每个申请者无线装置的顶部成对主密钥(PMK_0)。所有的认证器接入点(AP)采取第一级密钥持有者(R1KH)角色,并且从顶级密钥持有者R0KH接收下一级成对主密钥(PMK_1)。经由诸如802.11i4路握手的4路握手来从PMK_1得出链路级数据保护密钥。
图1图示了根据本发明的一些实施例的示例性的基于基础结构的多跳无线网络100。在图1的示例性网络100中,使用在密钥持有者之间的第2级通信信道,并且将顶级密钥持有者R0KH附接到中央的以太网交换机。因此,顶级密钥持有者R0KH在与所有受控的智能接入点(IAP)和网状接入点(MAP)装置相同的L2分段中。在根据本发明的一些实施例的网络100中,也实现了远程认证拨入用户服务(RADIUS)客户端和802.1X认证器。
本领域中的技术人员应当理解,当IP层通信信道用于顶级密钥持有者R0KH和第一级密钥持有者R1KH时,R0KH可以位于任何位置。按照示例性实现,R0KH位于与网络管理***相同的主机中。通过在所有的信标帧中通告的移动域标识符(MDI)来识别连接到同一R0KH的所有R1KH装置。
如图所示,网络100包括一个或多个网状的接入点135-n(MAP),它们用于将数据分组从一个或多个智能接入点130-n(IAP)路由到一个或多个无线用户装置140-n(SD)(也称为站(STA))。然后,一个或多个IAP 130-n将分组路由到可通信地耦接到中央路由器115的中央以太网交换机125和顶级密钥持有者(R0KH)120。中央路由器115经由有线干线110而耦接到认证服务器105。虽然仅仅示出了从用户装置(SD)到有线网络125的路径,但是,本领域中的技术人员应当理解,可以建立网状的连接,只要诸如用户装置140-1和用户装置140-2的两个相邻装置可以彼此通信。
认证服务器105工作以向R0KH 120提供认证服务,并且将在下面对其进行描述。一般,认证服务器105执行代表认证器核查申请者的证书所需要的认证功能,并且指示该申请者是否被授权访问认证器的服务。在本发明的一个实施例中,认证服务器105位于其中可以提供主机的物理安全的有线网络分段中。例如,认证服务器105可以是用于集中认证的、可扩展的认证协议——隧道传输层安全/可扩展认证协议——传输层协议(EAP-TTLS/EAP-TLS)使能的远程认证拨入用户服务(RADIUS)服务器。
如本领域中的技术人员应当理解的,可以要求在网络100中的用户装置140-n发送和接收加密的数据。要求/期望访问由认证器的***提供的服务的在网络100中的任何装置被称为申请者。认证要求/期望使用由认证器保护的服务的另一个装置(申请者)的装置被称为认证器。认证器基于认证结果来实施访问控制。
如本领域中的技术人员应当理解的,在网络100中的每个节点(即IAP 130-n、MAP 135-n和SD 140-n)在其加入网状网络之前对于网络100被认证。用于所述认证的证书可以基于例如密码、用户识别模块(SIM)卡标识(I.D.)或者对于特定的节点唯一并且被存储在认证服务器105的其他I.D.。每个节点使用与认证服务器105的这个关系,以对已经建立了到R0KH 120的安全连接的一跳安全网状MAP或者IAP认证。R0KH120将使用由认证服务器105提供的认证服务。认证服务器105也帮助特定节点,所述特定节点正在认证以通过分发相对于R0KH 120被加密的会话主密钥材料而建立与其相邻的节点的信任关系。R0KH 120得出第0级和第一级成对主密钥(PMK_0,PMK_1)。R0KH120也保留PMK_0,并且向采取第一级密钥持有者角色的认证器MAP或者IAP发送PMK_1。
在本发明的一个实施例中,网络100包括IEEE 802.11r可操作性。802.11r提供用于快速BSS(“基本服务集”)转变。802.11r因此便利了在运动中的汽车上的连接性,并且以无缝的方式管理从一个基站向另一个的快速切换。802.11r标准当前设想的主要应用是经由移动电话的VOIP(“IP语音”或者基于因特网的电话),所述移动电话被设计成与无线因特网网络而不是(或者除了)标准蜂窝网络一起工作。
802.11r改进了当移动客户端在接入点之间移动时所述移动客户端的转变过程。所述协议允许无线客户端在进行转变之前在新的接入点建立安全和服务质量(QoS)状态,这导致最小的连接损耗和应用破坏。对于所述协议的整体改变不引入任何新的安全弱点。这保护了当前站和接入点的行为。802.11r提供了用于漫游移动客户端以与候选的接入点通信、建立安全关联和保留QoS资源的机制。
根据本发明,在图1的网络100中,基于802.11r的密钥层次被应用到网状的AP,由此使得对于一个或多个移动AP而言可以进行快速切换。在这个密钥层次中,从认证服务器105接收的主密钥材料在R0KH120中产生顶级密钥PMK_0。在下一个级中,从PMK_0在R0KH 120中得出PMK_1。PMK_1被传递到R1KH。通过802.11i4路握手在申请者和认证器之间从PMK_1得出成对瞬时密钥(PTK)。根据本发明的一些实施例,顶级密钥持有者R0KH120位于有线网络分段中,并且被附接到中央以太网交换机125,并且所有的其他网状接入点(MAP)135-n和IAP 130-n将采取第一级密钥持有者的角色。
在本发明的一些部署中,R0KH 120可以被包含在每个IAP 130-n中,因此,与那个IAP 130-n相关联的所有的MAP 135-n将是在那个R0KH 120之下的R1KH(未示出)。当IP层通信信道用于R0KH和R1KH时,R0KH和R1KH可以位于不同的第2层分段中。
在密钥持有者之间的EAPOL代理
用于在节点和服务器105之间通信的示例协议是EAP(可扩展认证协议)。EAP协议定义了支持多种认证方法的消息格式和交换握手。EAP通常直接地运行在诸如点到点协议(PPP)或者IEEE 802的数据链路层上,而不要求IP。EAP提供对于重复消除和重发的其本身的支持,但是依赖于较低层的定制保证。在EAP本身中不支持分片。但是,个别的EAP方法可以支持分片,诸如EAP-TLS,其中,需要在几个包中发送长的证书数据。例如,对于802.1X来说,以EAPOL(在局域网上的EAP)消息格式来封装在认证申请者和R0KH 120之间的EAP消息。EAP在支持诸如用户密码、基于证书的认证、一次密码和认证令牌或者智能卡等上是灵活的和可扩展的。其提供了用于协商和使用适当的认证机制的媒介物,所述适当的认证机制包括在节点和认证服务器105得出密钥材料的那些机制。
当节点使用例如可扩展的认证协议(EAP)——包括在局域网上的EAP(EAPOL)分组——来发送认证请求时,认证过程开始。所述认证处理包括发送和接收几个EAPOL分组,以EAP开始分组开始,并且以EAP成功消息分组或者EAP失败消息分组结束。认证服务器存储正被认证的移动装置(通常被称为申请者)的认证证书。认证服务器也可以连接到其他的认证服务器,以获得未本地存储的申请者认证证书。
当802.11r密钥层次用于密钥管理时,必须在顶级密钥持有者R0KH和下一级密钥持有者R1KH之间传送用于认证和密钥管理的EAPOL消息。
图2图示了用于本发明的一些实施例的操作的消息格式200。具体地,图2图示了根据本发明的一些实施例的用于L2密钥持有者通信帧的EAP消息封装。媒体访问控制(MAC)报头205包括每个跳的源和目的地MAC地址。自组织路由(AHR)报头210包括认证器和网状的路由结束装置(即R1KH和R0KH)的源和目的地MAC地址。一个特殊协议ID位于AHR报头210协议ID字段中,以表示EAPOL代理分组。申请者MAC地址220也被包括在消息格式200中的AHR报头210和EAPOL分组230之间。消息格式200在用于支持802.11i和802.11r申请者的网格有效负荷体的第一字节中包括i/r标记215。所述消息格式还包括SSID信息项225,用于支持虚拟的AP。对于R0KH 120需要申请者MAC地址220,以知道哪个申请者装置,以便能够将PMK_0和PMK_1绑定到那个特定的申请者。当i/r标记215指示802.11j申请者时,R0KH120基于802.11i标准得出PMK,并且向R1KH传递PMK。当i/r标记215指示802.11r申请者时,R0KH 120基于802.11r密钥层次来得出PMK_0和PMK_1,并且向认证器(R1KH)传递PMK_1。SSID 225需要用于PMK_0和PMK_1的得出,。对于虚拟AP来说,申请者可以从多个可用SSID选择一个SSID。
根据本发明,当在网络层中传送在密钥持有者之间的消息时,EAPOL帧230连同i/r215、SPA 220和SSID 225字段一起位于(因特网协议)IP分组的有效负荷中。另外,发送的密钥持有者的MAC地址也被包括在IP有效负荷中,其需要用于得出PMK_1。
如本领域中公知的,如图2所示中,EAPOL帧230包括协议版本235,其是无符号的二进制数,其值是EAPOL协议的版本。EAPOL帧230还包括分组类型240,其是无符号的二进制数,其值确定分组的类型如下:a)EAP分组;b)EAPOL开始;c)EAPOL注销;d)EAPOL密钥;e)EAPOL封装的ASF警告。EAPOL帧230还包括分组主体长度245,其是无符号的二进制数,其值限定在分组主体字段的八位位组中的长度。EAPOL帧230也包括分组主体250,如果分组类型包括值EAP分组、EAPOL密钥,则提供分组主体250,否则不提供它。
如本领域中公知的,如图2中所示,EAP分组主体250包括代码字段255,其识别EAP分组的类型。EAP代码被分配如下:1=请求;2=响应;3=成功;4=失败。EAP分组主体250还包括标识符字段260,其有助于将响应与请求匹配。EAP分组主体250还包括长度字段265,其指示包括代码255、标识符260、长度265和数据字段275的EAP分组的长度。EAP分组主体250还包括类型字段270。类型字段指示请求或者响应的类型。这可以是身份类型或者特定的认证方法。EAP分组主体250也包括类型数据字段275。通过代码字段255和类型字段270来确定数据字段275的格式。
密钥分发密钥和角色授权
如本领域中的技术人员应当理解的,在网络100中存在两种类型的申请者装置。在网络100中的两种类型的申请者装置是MAP装置135-n和STA装置140-n。根据本发明的一些实施例,MAP装置135-n用作802.11r密钥层次的R1KH。为了保护从顶密钥持有者R0KH 120到R1KH的PMK_1的分发,如图3所示,中对于每对R0KH和MAP/IAP得出成对密钥分发密钥(KDK)。
图3是图示根据本发明的一些实施例的密钥分发和角色授权处理300的流程图。如图3中所示,操作以初始认证步骤305开始。初始认证例如可以是初始TTLS或者TLS认证。接着,在步骤310,R0KH 120在用于被认证的申请者的最后的“认证成功”消息中获得来自认证服务器105的授权属性。接着,在步骤315中,确定被认证的申请者角色属性是否是第一级密钥持有者。当被认证的申请者角色属性是第一级密钥持有者时,处理继续到步骤320,其中,R0KH和申请者R1KH启动与PMK_0的802.11i型的4路握手,以得出KDK。
接着,在步骤320,KDK被得出为:
KDK=KDF-KDKLen(PMK_0,“KDK密钥得出”,SNonce‖ANonce‖AA‖SPA)
其中:
●在802.11r章节8.5A.3中定义了KDF-256。
●SNonce是由R1KH产生的随机数,并且
●ANonce是由R0KH产生的随机数。
●在所述4路握手的前两个消息期间交换所述两个随机数
●AA是R0KH MAC地址
●SPA是R1KH MAC地址。
本领域中的技术人员应当理解,当R1KH移动时,KDK保持相同,除非R0KH启动新的KDK四路握手。
认证和重新认证启动
图4图示了根据本发明的一些实施例的认证过程400。如图4所示中,操作以节点135-n在步骤405加电开始。接着,在步骤415,节点从其相邻的装置收听/扫描信标帧,所述其相邻的装置可以是MAP 135-n或者IAP 130-n。接着,在步骤415,所述节点通过选择已经指示其具有到认证服务器105的连接的装置来选择IAP或者MAP,以开始认证处理。接着,在步骤420,利用所选择的相邻的MAP装置完成所述节点的第一认证。在步骤425,在第一认证后,所述节点可以启动对于已经被认证和连接到在同一移动性域中的IAP的其他相邻的MAP装置的重新认证。这种重新认证使用802.11r快速切换处理,以避免完全的认证交易。
认证消息流
图5是图示根据本发明的一些实施例的在图1网络的各种元件之间交换的认证消息的消息流图500。具体地,图5是图示在申请者装置和R1KH MAP(或者IAP)之间交换的认证消息的消息流图500。对于来自未经认证的装置的那些消息,R1KH MAP的802.1x受控的端口未被阻挡。
R1KH MAP是具有到R0KH的安全连接的MAP或者IAP装置;并且被假定已经被认证。其将采取用于申请者装置的R1KH角色。
在图5的图500的示例性情况下,R1KH MAP1 135-1和R1KH MAP2135-2已经被认证,并且具有与R0KH 120的安全连接。它们可以例如是从R0KH 120出来的多跳,如图5的多跳路径505所示。申请者(即装置140-1)在这种示例性情况下还没有对于作为申请者的一跳邻居的R1KHMAP1 135-1和R1KH MAP2 135-2被认证。
在这种示例性情况下,通过基于用户数据报协议(UDP)的远程认证拨入用户服务(RADIUS)协议而传送在R0KH 120和认证服务器105之间的消息。通过使用RADIUS协议安全机制来保护所述消息。而且,在这种示例性情况下,通过在局域网上的可扩展的认证协议(EAPOL)代理机制来传送在R1KH 135-1和R0KH 120之间的认证消息,并且利用在R0KH和R1KH之间的KDK来保护密钥材料。R1KH135-1向R0KH 120通知由申请者140-1选择的SSID用于虚拟接入点(AP)实现。
如图5所示中,当申请者140-1启动到其邻居MAP1 135-1的关联请求510时,认证处理开始。作为响应,MAP1 135-1发送关联响应515。例如,如果通过前两个相关消息选择了802.1X EAP认证520,则申请者140-1将开始802.1x认证处理(来自申请者的EAPOL开始)。在成功的802.1x EAP认证后,将在接入-接受消息中连同EAP成功分组和其他授权属性中从认证服务器105向R0KH 120传递MSK。在获得MSK后,R0KH 120计算如在802.11r标准中所描述的PMK_0和PMK_1。
为了决定是否要进行KDK得出处理,R0KH 120从自后端认证服务器105返回的授权属性核查申请者的角色。如果申请者140-1具有R1KH角色,则进行KDK得出消息交换132。否则,对于申请者140-1不开始任何KDK得出处理。
为了产生PMK_0和PMK_1的唯一名称,R0KH 120产生称为ANonce的随机数,以用于得出PMK_0名称和PMK_1名称。这个ANonce在消息530中与PMK_1和PMK_1名称一起被发送到MAP1 135-1。ANonce被MAP1 135-1用于与申请者140-1的4路握手中。然后,申请者140-1将使用同一ANonce来得出相同的密钥名称。
在从R0KH 120接收到PMK_1530后,MAP1启动与申请者140-1的4路握手535,以产生PTK来保护在申请者140-1和MAP3 135-3中之间的链路(图5未示出)。其后,MAP1 135-1和申请者140-1可以在安全链路540中通信。
图6图示了根据本发明的一些实施例的当802.1x认证是EAP-TTLS时预先在图5中所描述的示例性详细消息交换600。如图6中所示,当选择802.1.x认证时,申请者140-1向R1KH MAP 135-1发送EAPOL开始帧605。然后,R1KH 135-1将这个帧610传送到R0KH 120。R0KH 120控制在申请者140-1和认证服务器105之间的所有的消息流。R1KH MAP135-1实现用于EAPOL开始的重试状态机,以发送到R0KH 120。最后的消息PMK_1 ACK 615在R0KH 120中完成所述状态机。从R0KH 120到R1KH135-1的最后消息620包括PMK_1、R1Name和Anonce。如果申请者140-1是802.11i装置,则仅向R1KH 135-1传递802.11i PMK。
重新认证(快速转变)
返回参考图5,在对MAP1 135-1的第一认证后,申请者140-1可以启动对任何相邻的MAP装置135-n的重新认证(快速切换)处理,所述任何相邻的MAP装置135-n已经向认证服务器105通告了安全连接,并且在同一移动性域中。重新认证处理遵循802.11r快速BSS转变:在空中的基本机制。重新认证请求包括R0Name、R1Name、Snonce及其相关联的顶级密钥持有者名称R0KH-ID。R0Name和R1Name也被包括。
如图5中所示,在申请者140-1和MAP1 135-1之间完成认证过程后,申请者140-1启动对其下一个邻居装置R1KH MAP2 135-2的重新认证过程。例如,从申请者140-1向MAP2 135-2发送具有快速切换545的第一消息。作为响应,如果MAP2 135-2没有保留由R1Name识别的PMK_1,则MAP2 135-2向从R0KH 120发送PMK请求550,从R0KH 120请求所述对应的PMK_1。向R0KH的PMK_1请求将包括R0Name。作为响应,R0KH 120向MAP2 135-2发送PMK_1555。其后,当MAP2 135-2获得对应的PMK_1时,MAP2 135-2向申请者140发送第二消息。申请者140-1和MAP2 135-2完成快速切换消息560,并且产生安全链路565。本领域中的技术人员应当理解,可以对于在申请者的通信范围中(附近)的任何数量的MAP或者IAP装置重复这个快速切换重新认证。
在前面的说明书中,已经描述了本发明的具体实施例。但是,本领域中的技术人员理解,在不脱离如下面的权利要求中阐明的本发明的范围的情况下,可以进行各种修改和改变。因此,应当在说明性而不是限定性的意义上看待说明书和附图,并且所有这样的修改旨在被包括在本发明的范围中。益处、优点、对于问题的解决方案和可以使得任何益处、优点或者解决方案出现或者变得更显著的任何因素不应当被解释为任何或者全部权利要求的关键的、要求的或者必要的特征。所附的权利要求唯一地限定本发明,所述权利要求包括在本申请未决期间进行的任何修改和所授权的那些权利要求的所有等同物中。
权利要求书(按照条约第19条的修改)
1.一种在基于基础结构的无线多跳网络中的安全认证和密钥管理的方法,所述方法包括:
利用认证服务器初始认证申请者,包括确定一个或多个被认证的申请者角色属性;
由顶级密钥持有者从所述认证服务器获得一个或多个授权属性;
由所述顶级密钥持有者确定所述被认证的申请者角色属性是否是第一级密钥持有者;
当所述被认证的申请者角色属性是第一级密钥持有者时,利用成对主密钥(PMK)_0来启动在所述顶级密钥持有者和所述申请者之间的四路握手,以得出密钥分发密钥(KDK);以及
当所述被认证的申请者角色属性不是第一级密钥持有者时:
从所述顶级密钥持有者向第一级密钥持有者传送第一级成对主密钥(PMK)_1,
利用所述第一级成对主密钥(PMK)_1来启动在所述第一级密钥持有者和所述申请者之间的四路握手,以产生在所述申请者和所述第一级密钥持有者之间的安全通信,并且
在所述第一级密钥持有者和所述申请者之间的所述安全链路上通信。
2.根据权利要求1所述的在基于基础结构的无线多跳网络中的安全认证和密钥管理的方法,其中,在所述顶级密钥持有者和所述第一级密钥持有者之间的所述四路握手包括802.11i型四路握手,以得出在所述顶级密钥持有者和所述第一级密钥持有者之间的KDK;而且其中,进一步地,在所述第一级密钥持有者和所述申请者之间的所述四路握手包括802.11i型四路握手,以得出在所述第一级密钥持有者和所述申请者之间的成对瞬时密钥(PTK)。
3.根据权利要求1所述的在基于基础结构的无线多跳网络中的安全认证和密钥管理的方法,其中,所述KDK被得出为:
KDK=KDF-KDKLen(PMK_0,“KDK密钥得出”,SNonce‖ANonce‖AA‖SPA)
其中:
KDF-256是预定数,
SNonce是由所述申请者产生的随机数,
ANonce是由所述顶级密钥持有者产生的随机数,
所述两个随机数在所述四路握手的前两个消息期间交换,
AA是顶级密钥持有者MAC地址,并且
SPA是申请者MAC地址。
4.根据权利要求1所述的在基于基础结构的无线多跳网络中的安全认证和密钥管理的方法,其中,所述初始认证步骤包括最后的“认证成功”消息的通信,而且进一步地,其中,从所述最后的“认证成功”消息获得所述一个或多个授权属性。
5.根据权利要求1所述的在基于基础结构的无线多跳网络中的安全认证和密钥管理的方法,所述方法包括还包括:
由所述申请者启动对另一个第一级密钥持有者的重新认证,其中,所述另一个第一级密钥持有者已经被认证,并且连接到在同一移动性域中的顶级密钥持有者,其中,所述重新认证包括:
使用快速切换处理从所述申请者向所述另一个第一级密钥持有者传送消息;
从所述顶级密钥持有者向所述另一个第一级密钥持有者传送所述第一级成对主密钥(PMK)_1;
使用所述第一级成对主密钥(PMK)_1在所述另一个第一级密钥持有者和所述申请者之间完成快速切换,以产生在所述申请者和所述另一个第一级密钥持有者之间的安全的通信链路;并且
在所述另一个第一级密钥持有者和所述申请者之间的所述安全链路上通信。
6.一种用于在基于基础结构的无线多跳网络中的安全认证和密钥管理的在顶级密钥持有者和第一级密钥持有者之间通信的方法,包括:
传送具有消息格式的消息,所述消息格式包括:
媒体访问控制(MAC)报头,包含至少一个跳的源和目的地MAC地址;
自组织路由(AHR)报头,包括:
所述第一级密钥持有者和所述顶级密钥持有者的源和目的地MAC地址,以及
协议标识,表示在局域网上的可扩展的认证协议(EAPOL)代理分组;
申请者MAC地址;
i/r标记;以及
SSID。
7.根据权利要求6所述的方法,其中,所述申请者MAC地址识别哪个申请者装置要绑定成对主密钥_0(PMK_0)和PMK_1。
8.根据权利要求6所述的方法,其中,指示802.11i申请者的所述i/r标记识别基于802.11i标准得出所述PMK,并且所述PMK要被传递到R1KH。
9.根据权利要求6所述的方法,其中,指示802.11r申请者的所述i/r标记识别基于802.11r密钥层次得出所述PMK_0和PMK_1,并且所述PMK_1要被传递到所述认证器。
10.根据权利要求6所述的方法,其中,所述SSID用于虚拟接入点的PMK_0和PMK_1得出,而且进一步地,其中,申请者从多个可用SSID选择SSID。
11.根据权利要求6所述的方法,其中,在从包括层2和层3的组中选择的通信层上传送所述消息,而且
进一步地,其中,所述消息格式被置于因特网协议(IP)分组有效负荷中,将R1KH MAC地址添加到消息内容中。
Claims (11)
1.一种在基于基础结构的无线多跳网络中的安全认证和密钥管理的方法,所述方法包括:
初始认证申请者,包括确定一个或多个被认证的申请者角色属性;
由顶级密钥持有者从认证服务器获得一个或多个授权属性;
由所述顶级密钥持有者确定所述被认证的申请者角色属性是否是第一级密钥持有者;并且
当所述被认证的申请者角色属性是第一级密钥持有者时,利用成对主密钥(PMK)_0来启动在所述顶级密钥持有者和所述申请者之间的四路握手,以得出密钥分发密钥(KDK)。
2.根据权利要求1所述的在基于基础结构的无线多跳网络中的安全认证和密钥管理的方法,其中,所述四路握手包括802.11i型四路握手,以得出在所述顶级密钥持有者和所述第一级密钥持有者之间的KDK。
3.根据权利要求1所述的在基于基础结构的无线多跳网络中的安全认证和密钥管理的方法,其中,所述KDK被得出为:
KDK=KDF-KDKLen(PMK_0,“KDK密钥得出”,SNonce‖ANonce‖AA‖SPA)
其中:
KDF-256是预定数,
SNonce是由所述申请者产生的随机数,
ANonce是由所述顶级密钥持有者产生的随机数,
所述两个随机数在所述四路握手的前两个消息期间交换,
AA是所述顶级密钥持有者MAC地址,并且
SPA是申请者MAC地址。
4.根据权利要求1所述的在基于基础结构的无线多跳网络中的安全认证和密钥管理的方法,其中,所述初始认证步骤包括最后的“认证成功”消息的通信,而且进一步地,其中,从所述最后的“认证成功”消息获得所述一个或多个授权属性。
5.一种在基于基础结构的无线多跳网络中的节点的安全认证的方法,所述方法包括:在所述节点中,
从一个或多个相邻节点扫描一个或多个信标帧;
通过选择可通信地耦接到认证服务器的相邻节点,选择要从其开始认证处理的相邻节点;
完成对所述被选择的相邻装置的第一认证;并且
启动对一个或多个其他相邻节点的重新认证,所述一个或多个其他相邻节点已经被认证并且连接到在同一移动性域中的接入点,其中,所述重新认证使用快速切换处理。
6.一种用于在基于基础结构的无线多跳网络中的安全认证和密钥管理的在顶级密钥持有者和第一级密钥持有者之间的消息格式,所述消息格式包括:
媒体访问控制(MAC)报头,包括至少一个跳的源和目的地MAC地址;
自组织路由(AHR)报头,包括:
所述第一级密钥持有者和所述顶级密钥持有者的源和目的地MAC地址,以及
协议标识,表示在局域网上的可扩展的认证协议(EAPOL)代理分组;
申请者MAC地址;
i/r标记;以及
SSID。
7.根据权利要求6所述的用于在基于基础结构的无线多跳网络中的安全认证和密钥管理的在顶级密钥持有者和第一级密钥持有者之间的消息格式,其中,所述申请者MAC地址识别哪个申请者装置要绑定成对主密钥_0(PMK_0)和PMK_1。
8.根据权利要求6所述的用于在基于基础结构的无线多跳网络中的安全认证和密钥管理的在顶级密钥持有者和第一级密钥持有者之间的消息格式,其中,指示802.11i申请者的所述i/r标记识别基于802.11i标准得出所述PMK,并且所述PMK要被传递到R1KH。
9.根据权利要求6所述的用于在基于基础结构的无线多跳网络中的安全认证和密钥管理的在顶级密钥持有者和第一级密钥持有者之间的消息格式,其中,指示802.11r申请者的所述i/r标记识别基于802.11r密钥层次得出所述PMK_0和PMK_1,并且所述PMK_1要被传递到所述认证器。
10.根据权利要求6所述的用于在基于基础结构的无线多跳网络中的安全认证和密钥管理的在顶级密钥持有者和第一级密钥持有者之间的消息格式,还包括:
SSID,其中,所述SSID用于虚拟接入点的PMK_0和PMK_1得出,并且进一步地,其中,申请者从多个可用SSID选择SSID。
11.根据权利要求6所述的用于在基于基础结构的无线多跳网络中的安全认证和密钥管理的在顶级密钥持有者和第一级密钥持有者之间的消息格式,其中,在从包括层2和层2的组中选择的通信层上传送所述消息,以及
进一步地,其中,所述消息格式被置于因特网协议(IP)分组有效负荷中,将R1KH MAC地址添加到消息内容中。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/470,887 | 2006-09-07 | ||
US11/470,887 US7499547B2 (en) | 2006-09-07 | 2006-09-07 | Security authentication and key management within an infrastructure based wireless multi-hop network |
PCT/US2007/074422 WO2008030667A2 (en) | 2006-09-07 | 2007-07-26 | Security authentication and key management within an infrastructure-based wireless multi-hop network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101513092A true CN101513092A (zh) | 2009-08-19 |
CN101513092B CN101513092B (zh) | 2012-08-15 |
Family
ID=39157922
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007800333192A Active CN101513092B (zh) | 2006-09-07 | 2007-07-26 | 在基于基础结构的无线多跳网络中的安全认证和密钥管理 |
Country Status (11)
Country | Link |
---|---|
US (2) | US7499547B2 (zh) |
EP (1) | EP2060052B1 (zh) |
JP (1) | JP4921557B2 (zh) |
KR (1) | KR101054202B1 (zh) |
CN (1) | CN101513092B (zh) |
AU (2) | AU2007292516B2 (zh) |
BR (1) | BRPI0716507B1 (zh) |
CA (1) | CA2663168C (zh) |
MX (1) | MX2009002507A (zh) |
RU (1) | RU2407181C1 (zh) |
WO (1) | WO2008030667A2 (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101867930A (zh) * | 2010-06-04 | 2010-10-20 | 西安电子科技大学 | 无线Mesh网络骨干节点切换快速认证方法 |
CN102958051A (zh) * | 2011-08-23 | 2013-03-06 | 上海贝尔股份有限公司 | Capwap架构的接入控制器及其密钥管理方法 |
CN104469759A (zh) * | 2013-09-23 | 2015-03-25 | 株式会社理光 | 管理区域受限网络、接收区域密钥的方法和设备 |
CN105101185A (zh) * | 2014-05-19 | 2015-11-25 | 株式会社理光 | ***、通信设备和通信方法 |
CN111669842A (zh) * | 2013-12-13 | 2020-09-15 | 艾姆巴奇公司 | 用于连结混合的蜂窝网络和非蜂窝网络的方法和*** |
CN113132986A (zh) * | 2019-12-31 | 2021-07-16 | 青岛海尔科技有限公司 | 基于DPP协议实现WiFi的mesh网络的实现方法及装置、存储介质 |
CN113141674A (zh) * | 2021-04-08 | 2021-07-20 | 成都极米科技股份有限公司 | 多链路***中链路配置方法、设备、***及存储介质 |
Families Citing this family (76)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB9722766D0 (en) | 1997-10-28 | 1997-12-24 | British Telecomm | Portable computers |
US7890745B2 (en) * | 2006-01-11 | 2011-02-15 | Intel Corporation | Apparatus and method for protection of management frames |
US7734052B2 (en) * | 2006-09-07 | 2010-06-08 | Motorola, Inc. | Method and system for secure processing of authentication key material in an ad hoc wireless network |
US8578159B2 (en) * | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
US7499547B2 (en) * | 2006-09-07 | 2009-03-03 | Motorola, Inc. | Security authentication and key management within an infrastructure based wireless multi-hop network |
WO2008036694A2 (en) * | 2006-09-18 | 2008-03-27 | Intel Corporation | Techniques for negotiation of security policies in wireless mesh networks |
US20080072047A1 (en) * | 2006-09-20 | 2008-03-20 | Futurewei Technologies, Inc. | Method and system for capwap intra-domain authentication using 802.11r |
US8607058B2 (en) * | 2006-09-29 | 2013-12-10 | Intel Corporation | Port access control in a shared link environment |
US20080144579A1 (en) * | 2006-12-19 | 2008-06-19 | Kapil Sood | Fast transitioning advertisement |
US8948046B2 (en) | 2007-04-27 | 2015-02-03 | Aerohive Networks, Inc. | Routing method and system for a wireless network |
US9838365B2 (en) * | 2007-07-10 | 2017-12-05 | Qualcomm Incorporated | Peer to peer identifiers |
US8094634B2 (en) * | 2007-09-06 | 2012-01-10 | Polytechnic Institute Of New York University | Sender and/or helper node modifications to enable security features in cooperative wireless communications |
US8249256B2 (en) * | 2007-11-06 | 2012-08-21 | Motorola Solutions, Inc. | Method for providing fast secure handoff in a wireless mesh network |
US8208635B2 (en) * | 2007-11-13 | 2012-06-26 | Rosemount Inc. | Wireless mesh network with secure automatic key loads to wireless devices |
US20090150665A1 (en) * | 2007-12-07 | 2009-06-11 | Futurewei Technologies, Inc. | Interworking 802.1 AF Devices with 802.1X Authenticator |
TWI345405B (en) * | 2007-12-26 | 2011-07-11 | Ind Tech Res Inst | Apparatus and method for executing the handoff process in wireless networks |
US9246679B2 (en) * | 2007-12-28 | 2016-01-26 | Intel Corporation | Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks |
CN101222325B (zh) * | 2008-01-23 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | 一种基于id的无线多跳网络密钥管理方法 |
EP2245901A2 (en) * | 2008-02-20 | 2010-11-03 | Microchip Technology Incorporated | Wireless access point device |
US8081568B2 (en) * | 2008-02-22 | 2011-12-20 | Cisco Technology, Inc. | Role determination for network devices |
US8218502B1 (en) | 2008-05-14 | 2012-07-10 | Aerohive Networks | Predictive and nomadic roaming of wireless clients across different network subnets |
US8474023B2 (en) * | 2008-05-30 | 2013-06-25 | Juniper Networks, Inc. | Proactive credential caching |
JP5080406B2 (ja) * | 2008-09-05 | 2012-11-21 | 株式会社エヌ・ティ・ティ・ドコモ | 配信装置、端末装置及びシステム並びに方法 |
JP5112229B2 (ja) * | 2008-09-05 | 2013-01-09 | 株式会社エヌ・ティ・ティ・ドコモ | 配信装置、端末装置及びシステム並びに方法 |
US9674892B1 (en) * | 2008-11-04 | 2017-06-06 | Aerohive Networks, Inc. | Exclusive preshared key authentication |
US8483194B1 (en) | 2009-01-21 | 2013-07-09 | Aerohive Networks, Inc. | Airtime-based scheduling |
CN101807998A (zh) * | 2009-02-13 | 2010-08-18 | 英飞凌科技股份有限公司 | 认证 |
CN101815293B (zh) * | 2009-02-20 | 2012-08-15 | 华为技术有限公司 | 无线中继网络中的链路安全认证方法、装置和*** |
US8352741B2 (en) * | 2009-06-11 | 2013-01-08 | Microsoft Corporation | Discovery of secure network enclaves |
US9742560B2 (en) | 2009-06-11 | 2017-08-22 | Microsoft Technology Licensing, Llc | Key management in secure network enclaves |
US9900251B1 (en) | 2009-07-10 | 2018-02-20 | Aerohive Networks, Inc. | Bandwidth sentinel |
US11115857B2 (en) | 2009-07-10 | 2021-09-07 | Extreme Networks, Inc. | Bandwidth sentinel |
US8385549B2 (en) * | 2009-08-21 | 2013-02-26 | Industrial Technology Research Institute | Fast authentication between heterogeneous wireless networks |
JP5472977B2 (ja) * | 2009-08-27 | 2014-04-16 | 日本電気通信システム株式会社 | 無線通信装置 |
JP5543812B2 (ja) * | 2010-03-23 | 2014-07-09 | 日東電工株式会社 | 粘着テープ貼付け方法および粘着テープ貼付け装置 |
DE102010018286A1 (de) * | 2010-04-26 | 2011-10-27 | Siemens Enterprise Communications Gmbh & Co. Kg | Schlüsselverteilerknoten für ein Netzwerk |
DE102010018285A1 (de) * | 2010-04-26 | 2011-10-27 | Siemens Enterprise Communications Gmbh & Co. Kg | Netzwerkzugangsknoten mit Schlüsselverteilerfunktion |
US8671187B1 (en) | 2010-07-27 | 2014-03-11 | Aerohive Networks, Inc. | Client-independent network supervision application |
CN101908961B (zh) * | 2010-07-29 | 2012-07-11 | 北京交通大学 | 一种短密钥环境下多方秘密握手方法 |
US9002277B2 (en) | 2010-09-07 | 2015-04-07 | Aerohive Networks, Inc. | Distributed channel selection for wireless networks |
JP5494829B2 (ja) * | 2010-12-28 | 2014-05-21 | 富士通株式会社 | 鍵設定方法、ノード、およびネットワークシステム |
CN102655584B (zh) * | 2011-03-04 | 2017-11-24 | 中兴通讯股份有限公司 | 一种远程呈现技术中媒体数据发送和播放的方法及*** |
US9264230B2 (en) | 2011-03-14 | 2016-02-16 | International Business Machines Corporation | Secure key management |
US8619990B2 (en) | 2011-04-27 | 2013-12-31 | International Business Machines Corporation | Secure key creation |
US8789210B2 (en) | 2011-05-04 | 2014-07-22 | International Business Machines Corporation | Key usage policies for cryptographic keys |
US8755527B2 (en) | 2011-05-04 | 2014-06-17 | International Business Machines Corporation | Key management policies for cryptographic keys |
US8566913B2 (en) | 2011-05-04 | 2013-10-22 | International Business Machines Corporation | Secure key management |
US8634561B2 (en) * | 2011-05-04 | 2014-01-21 | International Business Machines Corporation | Secure key management |
US9826571B2 (en) * | 2011-06-30 | 2017-11-21 | Aruba Networks, Inc. | Mesh node role discovery and automatic recovery |
US10091065B1 (en) | 2011-10-31 | 2018-10-02 | Aerohive Networks, Inc. | Zero configuration networking on a subnetted network |
CN103188662B (zh) * | 2011-12-30 | 2015-07-29 | ***通信集团广西有限公司 | 一种验证无线接入点的方法以及装置 |
US20130305332A1 (en) * | 2012-05-08 | 2013-11-14 | Partha Narasimhan | System and Method for Providing Data Link Layer and Network Layer Mobility Using Leveled Security Keys |
US8787375B2 (en) | 2012-06-14 | 2014-07-22 | Aerohive Networks, Inc. | Multicast to unicast conversion technique |
EP2885902B1 (en) * | 2012-08-15 | 2018-12-26 | The Boeing Company | System and method for geothentication |
CA2895522A1 (en) * | 2012-12-21 | 2014-06-26 | Seccuris Inc. | System and method for monitoring data in a client environment |
US10389650B2 (en) | 2013-03-15 | 2019-08-20 | Aerohive Networks, Inc. | Building and maintaining a network |
US9413772B2 (en) | 2013-03-15 | 2016-08-09 | Aerohive Networks, Inc. | Managing rogue devices through a network backhaul |
US9465947B2 (en) * | 2013-08-05 | 2016-10-11 | Samsung Sds America, Inc. | System and method for encryption and key management in cloud storage |
JP2015070571A (ja) * | 2013-09-30 | 2015-04-13 | サイレックス・テクノロジー株式会社 | 無線基地局装置、無線基地局装置の制御方法、及び、プログラム |
US8743758B1 (en) | 2013-11-27 | 2014-06-03 | M87, Inc. | Concurrent uses of non-cellular interfaces for participating in hybrid cellular and non-cellular networks |
KR20160000534A (ko) | 2014-06-24 | 2016-01-05 | (주)휴맥스 | 홈 네트워크 자동 연결형 영상 스트리밍 서비스 시스템 및 방법 |
US10057766B2 (en) * | 2014-10-21 | 2018-08-21 | Qualcomm Incorporated | Methods and systems for authentication interoperability |
JP6508688B2 (ja) * | 2014-10-31 | 2019-05-08 | コンヴィーダ ワイヤレス, エルエルシー | エンドツーエンドサービス層認証 |
CN104618090B (zh) * | 2015-01-08 | 2017-09-19 | 重庆邮电大学 | 一种适用于异构传感器网络的组密钥管理方法 |
US10580312B2 (en) | 2015-07-24 | 2020-03-03 | Yamasee Ltd. | Method and system for obtaining and presenting turbulence data via communication devices located on airplanes |
WO2018011791A2 (en) * | 2016-07-11 | 2018-01-18 | Yamasee Ltd. | Method and system for obtaining and presenting turbulence data via communication devices located on airplanes |
CN105991600B (zh) | 2015-02-25 | 2019-06-21 | 阿里巴巴集团控股有限公司 | 身份认证方法、装置、服务器及终端 |
US10110595B2 (en) | 2015-03-16 | 2018-10-23 | Convida Wireless, Llc | End-to-end authentication at the service layer using public keying mechanisms |
KR20180098589A (ko) * | 2015-12-21 | 2018-09-04 | 코닌클리케 필립스 엔.브이. | 보안 통신을 위한 네트워크 시스템 |
CN105636148B (zh) * | 2016-01-06 | 2019-01-04 | ***装备发展部第六十三研究所 | 一种无线多跳网络数据传输方法 |
US10791093B2 (en) * | 2016-04-29 | 2020-09-29 | Avago Technologies International Sales Pte. Limited | Home network traffic isolation |
US10165608B2 (en) | 2016-06-02 | 2018-12-25 | Cisco Technology, Inc. | System and method to provide fast mobility in a residential Wi-Fi network environment |
RU2755196C1 (ru) | 2018-04-05 | 2021-09-14 | Нокиа Текнолоджиз Ой | Управление унифицированными идентификаторами подписки в системах связи |
US11991165B2 (en) * | 2018-04-06 | 2024-05-21 | Nec Corporation | Authentication method for next generation systems |
TWI695645B (zh) * | 2018-07-06 | 2020-06-01 | 小白投資有限公司 | 無線網路識別方法 |
US11917407B2 (en) | 2020-08-24 | 2024-02-27 | Eleven Software Inc. | Key matching for EAPOL handshake using distributed computing |
Family Cites Families (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7072650B2 (en) * | 2000-11-13 | 2006-07-04 | Meshnetworks, Inc. | Ad hoc peer-to-peer mobile radio access system interfaced to the PSTN and cellular networks |
JP3880419B2 (ja) * | 2002-02-21 | 2007-02-14 | 日本電信電話株式会社 | 無線アクセスネットワーク、無線マルチホップネットワーク、認証サーバ、基地局及び無線端末 |
US7165112B2 (en) * | 2001-06-22 | 2007-01-16 | Motorola, Inc. | Method and apparatus for transmitting data in a communication system |
US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
KR100555381B1 (ko) * | 2002-12-19 | 2006-02-24 | 멜코 인코포레이티드 | 암호키 설정시스템 및 암호키 설정방법 |
US7263357B2 (en) * | 2003-01-14 | 2007-08-28 | Samsung Electronics Co., Ltd. | Method for fast roaming in a wireless network |
US7275157B2 (en) * | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
JP4158972B2 (ja) * | 2003-12-18 | 2008-10-01 | Kddi株式会社 | マルチホップ通信方法 |
US7451316B2 (en) * | 2004-07-15 | 2008-11-11 | Cisco Technology, Inc. | Method and system for pre-authentication |
US20060067272A1 (en) * | 2004-09-30 | 2006-03-30 | Wang Huayan A | Method and system for fast roaming of a mobile unit in a wireless network |
US7558388B2 (en) * | 2004-10-15 | 2009-07-07 | Broadcom Corporation | Derivation method for cached keys in wireless communication system |
US7236477B2 (en) * | 2004-10-15 | 2007-06-26 | Motorola, Inc. | Method for performing authenticated handover in a wireless local area network |
US7643451B2 (en) * | 2004-10-15 | 2010-01-05 | Nortel Networks Limited | Method and apparatus for extending a mobile unit data path between access points |
KR100923176B1 (ko) * | 2004-10-27 | 2009-10-22 | 메시네트웍스, 인코포레이티드 | 무선 네트워크에 보안성을 제공하기 위한 시스템 및 방법 |
US20060109815A1 (en) * | 2004-11-05 | 2006-05-25 | Ozer Sebnem Z | System and method for dynamic frequency selection in a multihopping wireless network |
JP4561418B2 (ja) * | 2004-11-08 | 2010-10-13 | 沖電気工業株式会社 | メッセージ認証方法、通信端末装置及びメッセージ認証システム |
TWI268083B (en) * | 2004-11-17 | 2006-12-01 | Draytek Corp | Method used by an access point of a wireless LAN and related apparatus |
JP2006166362A (ja) | 2004-12-10 | 2006-06-22 | Sony Corp | 音響装置 |
WO2006069604A1 (en) * | 2004-12-30 | 2006-07-06 | Telecom Italia S.P.A. | Method and system for detecting attacks in wireless data communication networks |
US7814322B2 (en) * | 2005-05-03 | 2010-10-12 | Sri International | Discovery and authentication scheme for wireless mesh networks |
US7738882B2 (en) * | 2005-06-13 | 2010-06-15 | Toshiba America Research, Inc. | Framework of media-independent pre-authentication improvements: including considerations for failed switching and switchback |
US8270947B2 (en) * | 2005-12-19 | 2012-09-18 | Motorola Solutions, Inc. | Method and apparatus for providing a supplicant access to a requested service |
US7483409B2 (en) * | 2005-12-30 | 2009-01-27 | Motorola, Inc. | Wireless router assisted security handoff (WRASH) in a multi-hop wireless network |
US7804807B2 (en) * | 2006-08-02 | 2010-09-28 | Motorola, Inc. | Managing establishment and removal of security associations in a wireless mesh network |
US7793103B2 (en) * | 2006-08-15 | 2010-09-07 | Motorola, Inc. | Ad-hoc network key management |
US8578159B2 (en) * | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
US7499547B2 (en) * | 2006-09-07 | 2009-03-03 | Motorola, Inc. | Security authentication and key management within an infrastructure based wireless multi-hop network |
US7508803B2 (en) * | 2006-09-07 | 2009-03-24 | Motorola, Inc. | Transporting management traffic through a multi-hop mesh network |
-
2006
- 2006-09-07 US US11/470,887 patent/US7499547B2/en active Active
-
2007
- 2007-07-26 CN CN2007800333192A patent/CN101513092B/zh active Active
- 2007-07-26 KR KR1020097007071A patent/KR101054202B1/ko active IP Right Grant
- 2007-07-26 AU AU2007292516A patent/AU2007292516B2/en active Active
- 2007-07-26 JP JP2009527474A patent/JP4921557B2/ja active Active
- 2007-07-26 RU RU2009112589/09A patent/RU2407181C1/ru active
- 2007-07-26 MX MX2009002507A patent/MX2009002507A/es active IP Right Grant
- 2007-07-26 EP EP07840526.3A patent/EP2060052B1/en active Active
- 2007-07-26 BR BRPI0716507-2A2 patent/BRPI0716507B1/pt active IP Right Grant
- 2007-07-26 CA CA2663168A patent/CA2663168C/en active Active
- 2007-07-26 WO PCT/US2007/074422 patent/WO2008030667A2/en active Application Filing
-
2009
- 2009-01-14 US US12/353,562 patent/US7793104B2/en active Active
-
2011
- 2011-04-12 AU AU2011201655A patent/AU2011201655B2/en active Active
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101867930B (zh) * | 2010-06-04 | 2012-11-14 | 西安电子科技大学 | 无线Mesh网络骨干节点切换快速认证方法 |
CN101867930A (zh) * | 2010-06-04 | 2010-10-20 | 西安电子科技大学 | 无线Mesh网络骨干节点切换快速认证方法 |
CN102958051B (zh) * | 2011-08-23 | 2016-06-08 | 上海贝尔股份有限公司 | Capwap架构的接入控制器及其密钥管理方法 |
CN102958051A (zh) * | 2011-08-23 | 2013-03-06 | 上海贝尔股份有限公司 | Capwap架构的接入控制器及其密钥管理方法 |
CN104469759B (zh) * | 2013-09-23 | 2018-12-21 | 株式会社理光 | 管理区域受限网络、接收区域密钥的方法和设备 |
CN104469759A (zh) * | 2013-09-23 | 2015-03-25 | 株式会社理光 | 管理区域受限网络、接收区域密钥的方法和设备 |
CN111669842A (zh) * | 2013-12-13 | 2020-09-15 | 艾姆巴奇公司 | 用于连结混合的蜂窝网络和非蜂窝网络的方法和*** |
CN111669842B (zh) * | 2013-12-13 | 2023-08-15 | 艾姆巴奇公司 | 用于连结混合的蜂窝网络和非蜂窝网络的方法和*** |
US11832097B2 (en) | 2013-12-13 | 2023-11-28 | M87, Inc. | Methods and systems and secure connections for joining wireless networks |
CN105101185A (zh) * | 2014-05-19 | 2015-11-25 | 株式会社理光 | ***、通信设备和通信方法 |
CN105101185B (zh) * | 2014-05-19 | 2019-01-25 | 株式会社理光 | ***、通信设备和通信方法 |
CN113132986A (zh) * | 2019-12-31 | 2021-07-16 | 青岛海尔科技有限公司 | 基于DPP协议实现WiFi的mesh网络的实现方法及装置、存储介质 |
CN113132986B (zh) * | 2019-12-31 | 2023-02-03 | 青岛海尔科技有限公司 | 基于DPP协议实现WiFi的mesh网络的实现方法及装置、存储介质 |
CN113141674A (zh) * | 2021-04-08 | 2021-07-20 | 成都极米科技股份有限公司 | 多链路***中链路配置方法、设备、***及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
US20090210710A1 (en) | 2009-08-20 |
CA2663168C (en) | 2014-01-28 |
CA2663168A1 (en) | 2008-03-13 |
US7793104B2 (en) | 2010-09-07 |
US20080065888A1 (en) | 2008-03-13 |
BRPI0716507B1 (pt) | 2019-12-10 |
EP2060052B1 (en) | 2018-09-05 |
BRPI0716507A2 (pt) | 2013-10-08 |
RU2407181C1 (ru) | 2010-12-20 |
WO2008030667A2 (en) | 2008-03-13 |
CN101513092B (zh) | 2012-08-15 |
AU2007292516A1 (en) | 2008-03-13 |
EP2060052A2 (en) | 2009-05-20 |
RU2009112589A (ru) | 2010-10-20 |
JP2010503326A (ja) | 2010-01-28 |
AU2007292516B2 (en) | 2011-05-19 |
AU2011201655A1 (en) | 2011-05-12 |
MX2009002507A (es) | 2009-03-25 |
JP4921557B2 (ja) | 2012-04-25 |
WO2008030667A3 (en) | 2008-07-03 |
EP2060052A4 (en) | 2015-11-18 |
WO2008030667B1 (en) | 2008-08-14 |
KR20090052895A (ko) | 2009-05-26 |
KR101054202B1 (ko) | 2011-08-03 |
AU2011201655B2 (en) | 2011-12-22 |
US7499547B2 (en) | 2009-03-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101513092B (zh) | 在基于基础结构的无线多跳网络中的安全认证和密钥管理 | |
EP2067296B1 (en) | Method and apparatus for establishing security associations between nodes of an ad hoc wireless network | |
EP1972125B1 (en) | Apparatus and method for protection of management frames | |
KR101901448B1 (ko) | 스테이션과 엑세스 포인트의 결합 방법 및 장치 | |
JP2010503326A5 (ja) | インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法 | |
CN101500229B (zh) | 建立安全关联的方法和通信网络*** | |
CN107566115A (zh) | 密钥配置及安全策略确定方法、装置 | |
CN109361655B (zh) | 一种安全保护的方法及装置 | |
KR20140066232A (ko) | 동시적 재인증 및 접속 셋업을 이용하는 무선 통신 | |
CN102144370A (zh) | 发送装置、接收装置、发送方法及接收方法 | |
CN102223634A (zh) | 一种用户终端接入互联网方式的控制方法及装置 | |
CN106304400B (zh) | 无线网络的ip地址分配方法和*** | |
CN106817695B (zh) | 访问电信网的方法、相关的网络无线访问点及无线用户站 | |
CN118400734A (zh) | 切片服务验证方法及其装置 | |
KR20080004920A (ko) | 범용 이동 통신 시스템-무선랜-와이브로 연동을 위한티켓기반의 개선된 이에이피-아카 프로토콜 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220314 Address after: Georgia Patentee after: AI Ruishi Enterprise Co.,Ltd. Address before: Illinois, America Patentee before: MOTOROLA SOLUTIONS, Inc. |
|
TR01 | Transfer of patent right |