JP4921557B2 - インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法 - Google Patents
インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法 Download PDFInfo
- Publication number
- JP4921557B2 JP4921557B2 JP2009527474A JP2009527474A JP4921557B2 JP 4921557 B2 JP4921557 B2 JP 4921557B2 JP 2009527474 A JP2009527474 A JP 2009527474A JP 2009527474 A JP2009527474 A JP 2009527474A JP 4921557 B2 JP4921557 B2 JP 4921557B2
- Authority
- JP
- Japan
- Prior art keywords
- level
- key
- holding device
- supplicant
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims 6
- 238000000034 method Methods 0.000 claims description 41
- 101100083742 Caenorhabditis elegans pmk-1 gene Proteins 0.000 claims description 28
- 230000008569 process Effects 0.000 claims description 23
- 238000004891 communication Methods 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 8
- 238000013475 authorization Methods 0.000 claims 3
- 101000979001 Homo sapiens Methionine aminopeptidase 2 Proteins 0.000 description 10
- 101000969087 Homo sapiens Microtubule-associated protein 2 Proteins 0.000 description 10
- 102100023174 Methionine aminopeptidase 2 Human genes 0.000 description 10
- 230000006870 function Effects 0.000 description 10
- 101000969594 Homo sapiens Modulator of apoptosis 1 Proteins 0.000 description 9
- 102100021440 Modulator of apoptosis 1 Human genes 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 9
- 230000008901 benefit Effects 0.000 description 5
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 5
- 230000007704 transition Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000013467 fragmentation Methods 0.000 description 2
- 238000006062 fragmentation reaction Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 108091007065 BIRCs Proteins 0.000 description 1
- 241000713321 Intracisternal A-particles Species 0.000 description 1
- 102100028379 Methionine aminopeptidase 1 Human genes 0.000 description 1
- 101710161855 Methionine aminopeptidase 1 Proteins 0.000 description 1
- 101100131116 Oryza sativa subsp. japonica MPK3 gene Proteins 0.000 description 1
- 101100456045 Schizosaccharomyces pombe (strain 972 / ATCC 24843) map3 gene Proteins 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 210000000746 body region Anatomy 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
- H04L63/064—Hierarchical key distribution, e.g. by multi-tier trusted parties
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
- H04W84/22—Self-organising networks, e.g. ad-hoc networks or sensor networks with access to wired networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Description
【0001】
本発明は主に無線通信に関し、特にインフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法に関する。
【0002】
通常、インフラストラクチャベースの無線ネットワークは、固定の有線ゲートウェイを有する通信ネットワークを含む。多くのインフラストラクチャベースの無線ネットワークは、有線ネットワークに接続された固定基地局と通信する移動体端末又はホストを採用している。移動体端末は、無線リンクを通して基地局と通信しながら移動することができる。移動体端末が特定の基地局の通信範囲から離れたとき、その移動体端末は新しい基地局へ接続、即ち「ハンドオーバー」され、その新しい基地局を通じて有線ネットワークと通信を開始する。
【0003】
セルラーネットワークや衛星ネットワークなどのインフラストラクチャベースの無線ネットワークに比べ、アドホックネットワークは自己形成機能を有するネットワークであり、固定インフラストラクチャがなくとも運用が可能である。場合によっては、アドホックネットワークは、完全に移動ノードのみで構成されることもある。通常、アドホックネットワークは、地理的に分布し、かつ1つ以上のリンク(例えば、無線周波数通信チャンネル)によって互いに無線接続される複数の移動体端末(「ノード」とも言う)を含む。ノードは、インフラストラクチャベースのネットワーク又は有線ネットワークの補助が無くとも、無線媒体を通して互いに通信できる。
【0004】
無線通信ネットワークがより広く普及されるにつれ、セキュリティは、プロバイダ及びエンドユーザの両者にとって主な関心事となっている。これは、データが多数のノードによって受信及び操作可能な状態に置かれているため、セキュリティ環境下の移動体無線ネットワークの使用が大きな問題に直面していることからしても明らかである。無線ネットワークにて用いられる無線リンクは、送信される信号及びネットワーク上を流れるデータを盗聴者及び/又は自称ハッカーにさらされている。故に、無線マルチホップネットワークにおいて、メッシュ装置の各リンクは、マルチホップ認証及び鍵管理プロセスを介して確立される固有のセキュリティ接続を有する必要がある。そして、確立されたセキュリティ接続によって、リンク上のエアーフレームが保護される。
【図面の簡単な説明】
【0005】
【図1】本発明のいくらかの実施形態による例示的なインフラストラクチャベースの無線マルチホップネットワークを示す図。
【図2】本発明のいくらかの実施形態による例示的なメッセージフォーマットを示す図。
【図3】本発明のいくらかの実施形態による鍵配布及び役割承認プロセスを示すフローチャート。
【図4】本発明のいくらかの実施形態による認証手続きを示す図。
【図5】本発明のいくらかの実施形態による図1におけるネットワークの各要素の間で交換される認証メッセージを示すメッセージフローチャート。
【図6】本発明のいくらかの実施形態による、図5におけるメッセージ交換をより詳細に示す図。
【発明を実施するための形態】
【0006】
添付の図面は、同一、又は機能的に類似する要素に対しては同一の符号を付しており、下記の詳細な説明と共に本明細書の一部を構成しながら、さらには本発明に従う様々な実施形態を示し、かつ本発明に従う原理及び利点に対する説明を提供する。
【0007】
図面の要素は簡略かつ明瞭に図示されており、必ずしも正確な縮図を必要としないことを、当業者は認識するであろう。たとえば、図面における一部の要素は、本発明の実施形態に対する理解を向上させるため、他の要素より拡大されている場合がある。
【0008】
本発明による詳細な実施形態を説明するに先立って、本実施形態は、主としてセキュリティ認証及び鍵管理に関する方法のステップ及び装置要素の組み合わせに属することが認識されるであろう。従って、本発明によって利益を得る分野の当業者にとって容易に明らかとなる開示を不明瞭としないように、該ステップ及び装置要素を、図面において従来の記号を用いて適切に示し、本発明の実施形態を理解するに適切な具体的な詳細のみを表す。
【0009】
本書において、第1及び第2、並びに上下などの関係語は、任意の物体又は行為を他の物体又は行為と区別するためにのみ用いられるもので、実際に両者間におけるそのような関係及び順序の成立を要求、或いは暗示する訳ではない。「備える」若しくはそれに類似する任意の表現は、非排他的な包括、即ち、ある要素の一群を備えるプロセス、方法、品目、又は装置が、該要素のみならず、また明示的に記載されていない他の要素を含む要素の一群も含むものである。また、「〜を備える」の表現によって先行する要素は、別途の制限なしでも、要素を構成するプロセス、方法、品目、又は装置における付加的な同一要素の存在を排除しない。
【0010】
ここで説明される本発明の実施形態は、非プロセッサ回路と併せて、1つ以上の既存のプロセッサと、1つ以上のプロセッサが本発明のセキュリティ認証及び鍵管理機能の一部又は全部を実行できるように制御する固有のプログラム命令とから構成されてもよい。非プロセッサ回路は、無線受信機、無線送信機、信号ドライバ、クロック回路、電源回路、ユーザ入力装置を備えてもよいが、それに限られる訳ではない。これらの機能は、セキュリティ認証及び鍵管理の実行方法のステップとして解釈されてもよい。若しくは、そのような機能の一部又は全部は、プログラム命令を全く記憶していない機械状態により実行されてもよいし、あるいは1つ以上の特定用途向けの集積回路(ASIC)において、各々の機能又は特定機能の組み合わせがカスタム論理として実行されてもよい。勿論、前記2つの方法の組み合わせを採用してもよい。よって、これらの機能を実行するための方法及び手段をここで説明する。さらに当業者は、例えば利用可能な時間、現在の技術、及び費用上の都合により多大な努力や設計上の変更などを要するとしても、ここで示されたコンセプト及び原理に従えば、最小限の実験のみでそのようなソフトウェア命令、プログラム、及び集積回路を容易に生産可能となるであろう。
【0011】
本発明は、ホップバイホップセキュリティモデルを有するインフラストラクチャベースの無線マルチホップネットワーク用のセキュリティ認証及び鍵管理スキームを提供する。本発明の基本構成用途は、IEEE 802.11i及びIEEE 802.1xである。高速ハンドオフ用として、802.11rの特徴を含む。
【0012】
IEEE 802.1xは、管理オーバーヘッドを最少にしながら、ほとんど無制限のスケーラビリティを提供する新規技術である。この技術によれば、ユーザ又はオペレーターごとに異なる認証方法を選ばせることも可能になる。本発明において、トンネルトランスポート層セキュリティ(TTLS)は、相対的にセキュリティが強固であり、かつ設置費用がより安価であるため、ユーザ及びデバイス認証用として用いられる。デバイスについては、トランスポート層セキュリティ(TLS)認証を選択することもできる。
【0013】
集中型認証及び802.11rのサポートについては、802.11rの鍵階層構造に関するトップレベルの鍵保持デバイス(R0KH)は、有線ネットワークに位置するように設計されている。トップレベル(レベル0)の鍵保持デバイスとレベル2の鍵保持デバイス(R1KH)との間のメッセージ送信は、レイヤー2又はインターネットプロトコル(IP)レイヤーのいずれかにおいて生じる。
【0014】
本発明において、802.11rに基づく鍵階層構造は、レベル1の鍵保持デバイスの役割を担うメッシュアクセスポイント内から選ばれる。よって、複数の鍵保持デバイスの間におけるセキュリティ管理メッセージフローが提供される。鍵管理は、両802.11i及び802.11rと互換性のある無線局をサポートし、また、多数の可能なサービスセットID(SSID)が配置された仮想アクセスポイントもサポートする。レベル0とレベル1の鍵保持デバイスとの間のセキュリティメッセージフローは、レイヤー2またはレイヤー3を通じて送信されるが、これはレベル0の鍵保持デバイスの位置に依存する。全てのレベル0鍵保持デバイスが、レベル1の鍵保持デバイスと共にレイヤー2の同セグメントに位置する場合、レイヤー2の通信が用いられ、さもなければレイヤー3の通信が用いられるべきである。鍵配布鍵(KDK)は、初期認証プロセスにて生成され、トップレベル鍵保持デバイスから次のレベルの鍵保持デバイスへ送信される鍵素材をセキュアなものとするために使用される。レベル1の鍵保持デバイスR1KHの役割は、認証サーバからの承認情報に基づいて、トップレベルの鍵保持デバイスにより承認される。
【0015】
無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理スキームに関するシステム及び方法が、ここにおいてホップバイホップセキュリティモデルと共に提供される。本スキームは、メッシュアクセスポイント(AP)ネットワークに導入された802.11rの鍵階層構造を採用する。この方法では、トップレベルの鍵保持デバイス(R0KH)は、認証プロセスの後、各サプリカントの無線デバイスに対するトップペアマスタ鍵(PMK_0)を生成及び保持する。全オーセンティケータアクセスポイント(AP)は、レベル1の鍵保持デバイス(R1KH)としての役割を担い、かつトップレベルの鍵保持デバイスR0KHから次のレベルのペアマスタ鍵(PMK_1)を受け取る。リンクレベルデータの保護鍵は、802.11iの4段階ハンドシェークなどの4段階ハンドシェークを通じて、PMK_1から生成される。
【0016】
図1は、本発明のいくらかの実施形態による例示的なインフラストラクチャベースの無線マルチホップネットワーク100を示す。図1のネットワーク100において、鍵保持デバイス間においてレベル2の通信チャンネルが用いられ、トップレベルの鍵保持デバイスR0KHは、中央イーサネット(登録商標)スイッチに取り付けられている。よって、トップレベルの鍵保持デバイスR0KHは、制御された全てのインテリジェントアクセスポイント(IAP)とメッシュアクセスポイント(MAP)デバイスと同じレベル2セグメントに位置する。また、遠隔アクセスダイアルアップユーザーサービス(RADIUS)のクライアントと802.1Xの認証コードも、本発明の実施形態によるネットワーク100において実行される。
【0017】
IPレイヤー通信チャンネルをトップレベルの鍵保持デバイスR0KH及びレベル1の鍵保持デバイスR1KHに対して用いた場合、R0KHは任意の位置に存在してもよいことを、当業者は認識するであろう。例示的な実施形態によると、R0KHは、ネットワーク管理システムと同じホスト内に位置する。同一のR0KHに接続されるすべてのR1KHデバイスは、全ビーコンフレーム内に存在するモビリティドメイン識別子(MDI)を介して識別される。
【0018】
図に示すように、ネットワーク100は、1つ以上のメッシュアクセスポイント135−n(MAP)を含む。1つ以上のメッシュアクセスポイント135−n(MAP)は、1つ以上のインテリジェントアクセスポイント130−n(IAP)から1つ以上の無線加入者デバイス140−n(SD、局(STA)とも言う)へデータパケットをルーティングするために使用される。そして、1つ以上のIAP130−nは、中央ルーター115とトップレベルの鍵保持デバイス(R0KH)120とに通信可能に接続された中央イーサネット(登録商標)スイッチ125へパケットをルーティングする。中央ルーター115は、有線基幹回線110を介して認証サーバ105へ接続されている。図面では加入者デバイス(SD)から有線ネットワーク125へのパスのみを示しているが、加入者デバイス140−1及び加入者デバイス140−2のような2つの隣接するデバイス間の相互通信が可能である限り、網目状の接続が構築可能であることは当業者に認識されるであろう。
【0019】
認証サーバ105は、R0KH120に認証サービスを提供する。それに関して下記のように説明する。通常、認証サーバ105は、オーセンティケータの代わりにサプリカントの証明書を確認するために必要な認証機能を実行し、オーセンティケータのサービスへアクセスする権限がサプリカントにあるか否かを示す。本発明の一実施形態において、認証サーバ105は、ホストの物理的セキュリティを提供する有線ネットワークセクション内に位置している。例えば、認証サーバ105は、拡張認証プロトコル−TTLS/拡張認証プロトコル−TLS(EAP−TTLS/EAP−TLS)が利用可能な集中型認証用のRADIUSサーバであってもよい。
【0020】
当業者にとって認識されるように、ネットワーク100における加入者デバイス140−nは、暗号化データの送受信を要求されてもよい。オーセンティケータのシステムが提供するサービスへのアクセスを要求する/望むネットワーク100におけるデバイスはサプリカントと見なされる。一方、オーセンティケータが保護するサービスへのアクセスを必要とする/望むデバイス(サプリカント)を認証するデバイスは、オーセンティケータと見なされる。オーセンティケータは、認証結果に基づき、アクセスを強制的に制御する。
【0021】
当業者にとって認識されるように、ネットワーク100における各ノード(即ち、IAP130−n、MAP135−n、SD140−n)は、メッシュネットワークに接続する前に、ネットワーク100に認証される。認証における証明書は、例えば、パスワード、加入者識別モジュール(SIM)カードID、又は他のIDに基づくものであり、特定のノードに対する固有の情報として認証サーバ105に保存されている。各ノードは、R0KH120とセキュアな接続を確立しているワンホップメッシュMAP又はIAPに対する認証のために、認証サーバ105とのこのような関係を使用する。R0KH120は、認証サーバ105により提供される認証サービスを用いる。また、認証サーバ105は、R0KH120へ暗号化されたセッションマスタ鍵素材を配布することにより、隣接ノードと信頼関係を確立すべく認証を行っている特定のノードを補助する。R0KH120は、レベル0及びレベル1のペアマスタ鍵(PMK_0、PMK_1)を生成する。さらに、R0KH120は、PMK_0を保持し、PMK_1は、レベル1の鍵保持デバイスの役割を担うオーセンティケータのMAPまたはIAPへ送信する。
【0022】
本発明の一実施形態において、ネットワーク100は、IEEE 802.11rの操作性を包含する。802.11rは、高速基本サービスセット(BSS)遷移を提供する。よって、802.11rはある基地局から他の基地局への高速ハンドオフを切れ目無く実行し、移動中の車両に対する接続性を促進する。802.11r規格に対して現在想定されている優先的用途は、標準セルラーネットワークの代わりに、或いはセルラーネットワークに加えて、無線インターネットネットワークと通信可能な携帯電話によるVOIP(ボイスオーバーIP、又はインターネット電話)である。
【0023】
802.11rは、アクセスポイントの間を移動する移動体クライアントの転換プロセスを改善する。該プロトコルは、遷移に先立って無線クライアントが新しいアクセスポイントにてセキュリティ及びサービスの質(QoS)の状態を確保できるようにし、接続性の損失及び使用障害を最小限に抑える。たとえ該プロトコルに完全に替えるとしても、セキュリティ面における脆弱性は生じない。これによって、現在の基地局及びアクセスポイントの機能を保持する。802.11rは、候補となるアクセスポイントと通信し、セキュリティ接続を確立して、かつQoSリソースを保存するように、移動体クライアントをローミングするための機構を提供する。
【0024】
本発明によると、図1のネットワーク100において、802.11rに基づく鍵階層構造はメッシュAPに適用され、これにより1つ以上の移動体APに対する高速ハンドオフを可能とする。この鍵階層構造にて、トップレベル鍵のPMK_0は、認証サーバ105から受け取ったマスタ鍵素材からR0KH120において生成される。次のレベルで、PMK_1は、PMK_0からR0KH120において生成され、R1KHに送信される。ペア一時鍵(PTK)は、802.11iの4段階ハンドシェークを通じて、サプリカントとオーセンティケータとの間でPMK_1から生成される。本発明のいくらかの実施形態によると、トップレベルの鍵保持デバイスR0KH120は有線ネットワークセクションに位置しながら、また中央イーサネット(登録商標)スイッチ125に取り付けられている。他の全てのメッシュアクセスポイント(MAP)135−n及びIAP130−nは、レベル1の鍵保持デバイスとしての役割を担うことになる。
【0025】
本発明のいくらかの配備において、R0KH120は各IAP130−nに含まれていてもよく、従ってIAP130−nと関連付けられた全てのMAP135−nは、そのR0KH120下でR1KHとなる(図示しない)。IPレイヤー通信チャンネルがR0KH及びR1KHに対して用いられる場合、R0KH及びR1KHは、レイヤー2の異なるセグメントに位置してもよい。
【0026】
鍵保持デバイス間のEAPOLプロキシ
ノードとサーバ105との通信に用いられるプロトコルの一例としては、EAP(拡張認証プロトコル)が挙げられる。EAPプロトコルは、メッセージのフォーマットと、多数の認証方法を支援する交換ハンドシェークを定義する。通常、EAPはポイント・ツー・ポイント・プロトコル(PPP)又はIEEE 802のデータリンクレイヤーを直接通過し、IPを必要としない。EAPは重複削除及び再送信もサポートするが、下位レイヤーの順序保証に依存する。EAP自体ではフラグメンテーションがサポートされない。しかしながら、個々のEAPの方法は、例えば長い証明書データを複数のパッケージにて送信しなければならないEAP−TLSにおいては、フラグメンテーションをサポートすることもある。例えば、802.1Xの場合、認証サプリカントとR0KH120との間のEAPメッセージは、EAPOL(LAN上で動作する拡張可能な認証プロトコル)のメッセージフォーマットにカプセル化される。EAPは、ユーザのパスワード、証明書に基づく認証、使い捨てパスワード、認証トークン、スマートカードなどの多数の認証機構をサポートする柔軟性および拡張性を備える。また、妥当な認証機構と折り合いをつけ、それを用い、またノード及び認証サーバ105にて鍵素材を生成するものを含む適切な認証機構とネゴシエートして、認証機構を使用する通信手段提供する。
【0027】
ノードが、例えばEAPOL(LAN上で動作する拡張可能な認証プロトコル)パケットを備えるEAP(拡張認証プロトコル)を用いた認証要求を送信するとき、認証手続きが開始される。認証プロセスは送受信される多数のEAPOLパケットを含む、EAP開始パケットで開始し、EAP成功メッセージパケット又はEAP失敗メッセージパケットで終了する。認証サーバは認証対象である移動体デバイス(一般に、サプリカントと呼ばれる)の認証証明書を保存している。また、認証サーバは、他の認証サーバに接続し、自分が保有していないサプリカントの証明書を取得することも可能である。
【0028】
802.11rの鍵階層構造が鍵管理に用いられる場合、認証用のEAPOLメッセージと鍵管理は、トップレベルの鍵保持デバイスR0KHと次のレベルの鍵保持デバイスR1KHとの間で送信されなければならない。
【0029】
図2は、本発明のいくらかの実施形態の運用において用いられるメッセージフォーマット200を示す。特に図2は、本発明のいくらかの実施形態によるL2鍵保持デバイス通信フレームに対してのEAPメッセージのカプセル化を説明している。メディアアクセスコントロール(MAC)ヘッダ205は、各ホップのソース及び宛先MACアドレスを含んでいる。アドホックルート(AHR)ヘッダ210は、オーセンティケータのソース及び宛先MACアドレス、及びメッシュルートエンディングデバイス(即ち、R1KH及びR0KH)を含んでいる。AHRヘッダ210のプロトコルID領域に位置する特別プロトコルIDは、EAPOLプロキシパケットを示すものである。サプリカントMACアドレス220もまた、メッセージフォーマット200内で、AHRヘッダ210とEAPOLパケット230との間に含まれている。メッセージフォーマット200は、802.11i及び802.11rのサプリカントを両方ともサポートするためのメッシュペイロードボディの第1バイトにおけるi/rフラグ215を備える。さらに、メッセージフォーマットは、仮想APをサポートするSSID情報アイテム225も有する。サプリカントMACアドレス220は、PMK_0及びPMK_1を特定のサプリカントと結合するため、いずれのサプリカントデバイスがそれであるかをR0KH120が知るために必要である。i/rフラグ215が802.11iサプリカントを示すとき、R0KH120は802.11i規格に基づいてPMKを生成し、R1KHへPMKを送信する。i/rフラグ215が802.11rサプリカントを示すとき、R0KH120は802.11rの鍵階層構造に基づいてPMK_0及びPMK_1を生成し、PMK_1をオーセンティケータ(R1KH)へ送信する。SSID225は、PMK_0及びPMK_1の生成に必要である。仮想APに対しては、サプリカントは可能な複数のSSIDの中から1つのSSIDを選択することができる。
【0030】
本発明によると、鍵保持デバイスの中からメッセージをネットワークレイヤーにおいて送信するとき、i/r215、SPA220、及びSSID225の領域に沿うEAPOLフレーム230は、インターネットプロトコル(IP)パケットペイロード内に配置される。加えて、PMK_1の生成に必須である送信している鍵保持デバイスのMACアドレスもまた、IPペイロードに含まれている。
【0031】
当業者にとって公知であるが、図2に示されているように、EAPOLフレーム230は、符号無しの2進数であるプロトコルバージョン235を含む。その値は、EAPOLプロトコルのバージョンに該当する。EAPOLフレーム230は、符号無しの2進数であるパケットタイプ240をさらに含んでおり、その値は以下のパケットタイプ((1)EAP−パケット、(2)EAPOL−スタート、(3)EAPOL−ログオフ、(4)EAPOL−鍵、(5)EAPOL−カプセル化−ASF−警告)を決定するものである。EAPOLフレーム230は、符号無しの2進数であるパケットボディ長245もさらに含んでおり、その値は、パケットボディ領域における8ビットの長さを定義する。また、EAPOLフレーム230は、パケットタイプがEAP−パケットタイプやEAPOL−鍵の場合には表示され、そうでない場合には表示されないパケットボディ250も含んでいる。
【0032】
当業者にとって公知であるが、図2に示されているように、EAPパケットボディ250は、EAPパケットのタイプを識別するコードフィールド255を含む。EAPコードは、1=要求、2=応答、3=成功、4=失敗のように割り当てられる。EAPパケット250は、要求と応答を整合を補助する識別子フィールド260をさらに含む。EAPパケットボディ250は、コード255、識別子260、長さ265、データフィールド275を備えるEAPパケットの長さを示す長さフィールド265を含む。EAPパケットボディ250はさらにタイプフィールド270を含む。タイプフィールドは、要求又は応答の種類を示す。これは、識別タイプ又は特定の認証方法であってもよい。また、EAPパケットボディ250は、タイプデータフィールド275を含む。データフィールド275のフォーマットは、コードフィールド255及びタイプフィールド270によって決定される。
【0033】
鍵配布鍵(KDK)及び役割承認
当業者にとって認識されるように、ネットワーク100におけるサプリカントデバイスには二種類ある。そのネットワーク100における二種類のサプリカントデバイスは、MAPデバイス135−n及びSTAデバイス140−nである。本発明のいくらかの実施形態によると、MAPデバイス135−nは、802.11rの鍵階層構造に対し、R1KHとして機能する。トップの鍵保持デバイスR0KH120からR1KHへのPMK_1の配布を保護するため、ペアKDKは図3に示されるように、R0KH及びMAP/IAPの各ペアから生成される。
【0034】
図3は、本発明のいくらかの実施形態による鍵配布及び役割承認プロセス300を示すフローチャートである。図3に示されるように、その動作は、初期認証ステップ305から始まる。初期認証は、例えば、初期TTLS又はTLS認証であってもよい。次に、ステップ310にて、R0KH120は、認証されたサプリカントへの最終メッセージ「認証成功」において、認証サーバ105から承認属性を取得する。次に、ステップ315にて、認証されたサプリカントの役割属性がレベル1の鍵保持デバイスであるか否かを判定する。認証されたサプリカントの役割属性がレベル1の鍵保持デバイスである場合、処理はステップ320へ移行し、KDKを生成するために、R0KH及びサプリカントのR1KHはPMK_0に対して802.11i規格の4段階ハンドシェークを開始する。
【0035】
次に、ステップ320にて、KDKは以下の式から生成される。
KDK=KDF−KDKLen(PMK_0,“KDK鍵生成”,SNonce‖ANonce‖AA‖SPA)
ここで、
・KDF−256は802.11r規格のセクション8.5A.3.において定義されている。
【0036】
・SNonceはR1KHにより生成される乱数である。
・ANonceはR0KHにより生成される乱数である。
・上記両乱数は、4段階ハンドシェークによる最初の2つのメッセージ間に交換される。
【0037】
・AAはR0KHのMACアドレスである。
・SPAはR1KHのMACアドレスである。
当業者にとって認識されるように、R1KHが移動する場合にも、R0KHが新たなKDKの4段階ハンドシェークを開始しない限り、KDKは同じ状態を維持する。
【0038】
認証、及び再認証開始
図4は、本発明のいくらかの実施形態による認証手続き400を示す。図4に示されるように、その動作は、ステップ405にてノード135−nの電源を入れることから開始される。次に、ステップ415にて、ノードは、MAP135−n又はIAP130−nのいずれかの隣接したデバイスからビーコンフレームをリスンし、又はスキャンする。次に、同ステップ415にて、ノードはIAP又はMAPを選択し、認証サーバ105と接続しているデバイスを選択することにより認証プロセスを開始する。次に、ステップ420にて、選択された隣接するMAPデバイスを用いたノードに対する第1認証が完了する。同ステップ425にて、第1認証の後、ノードは、同一のモビリティドメインにて認証されて、IAPと接続している他の隣接したMAPデバイスと再認証を開始してもよい。これにより、本再認証は、完全認証トランザクションを回避するために、802.11rの高速ハンドオフプロセスを用いる。
【0039】
認証メッセージフロー
図5は、本発明のいくらかの実施形態による図1におけるネットワークの各要素間で交換される認証メッセージを示すメッセージフローチャート500である。特に図5は、サプリカントデバイスとR1KH MAP(又はIAP)との間の認証メッセージ交換を説明するメッセージフローチャート500である。R1KH MAPの802.1xの制御ポートは、非認証デバイスから送られるそのようなメッセージからブロックされる。
【0040】
R1KH MAPは、R0KHとセキュアに接続されているMAP又はIAPデバイスであり、既に認証済みであると見なされる。それは、サプリカントデバイスに対するR1KHの役割を担うことになる。
【0041】
図5によるチャート500の例示的なシナリオにおいて、R1KH MAP1 135−1及びR1KH MAP2 135−2は既に認証済みであり、R0KH120とセキュアに接続されている。これらは、例えば図5のマルチホップパス505によって示されるように、R0KH120からマルチホップ離れていてもよい。本シナリオのサプリカント(即ち、デバイス140−1)は、サプリカントのワンホップ隣であるR1KH MAP1 135−1及びR1KH MAP2 135−2の両方に認証されていない。
【0042】
本シナリオにおいて、R0KH120と認証サーバ105との間のメッセージは、RADIUSプロトコルに基づくユーザー・データグラム・プロトコル(UDP)を通じて送信される。メッセージはRADIUSプロトコルのセキュリティ機構の保護を受けている。さらに、本シナリオにおいて、R1KH135−1とR0KH120との間の認証メッセージはEAPOL(LAN上で動作する拡張可能な認証プロトコル)プロキシ機構を介して送信され、鍵素材はR0KHとR1KHとの間に位置するKDKにより保護される。R1KH135−1は仮想アクセスポイント(AP)の実行のためにサプリカント140−1が選択したSSIDのR0KH120を通知する。
【0043】
図5に示されるように、サプリカント140−1が接続要求510を隣接したMAP1
135−1へ送信するとき、認証プロセスが開始される。その応答として、MAP1 135−1は接続応答515を送信する。例えば、最初の2つの接続メッセージを通じて802.1xのEAP認証520が選択された場合、サプリカント140−1(サプリカントからのEAPOL−スタート)により802.1xの認証プロセスが開始される。802.1xのEAP認証が成功して完了すると、MSKはアクセス承認メッセージに含まれ、EAP−成功パケットや他の承認属性と共に認証サーバ105からR0KH120へ送信される。MSKを取得した後、R0KH120は802.11r規格で説明されている通りに、PMK_0及びPMK_1を演算する。
【0044】
KDK生成プロセスを実行させるか否かを判定するために、R0KH120は、バックエンド認証サーバ105から返ってきた承認属性からサプリカントの役割を確認する。サプリカント140−1がR1KH役割を有している場合、KDK生成メッセージ交換525が実行される。そうでない場合、KDK生成プロセスはサプリカント140−1に対して実行されない。
【0045】
PMK_0及びPMK_1に対する固有の名称を生成するため、R0KH120はPMK_0及びPMK_1の固有の名称の生成に用いられる乱数ANonceを生成する。ANonceは、PMK_1及びPMK_1の名称と共に、メッセージ530としてMAP1 135−1へ送信される。ANonceは、サプリカント140−1と共に、4段階ハンドシェークにおいてMAP1 135−1により用いられる。そして、サプリカント140−1は、同じ鍵の名称を生成するために同一のANonceを用いる。
【0046】
PMK_1 530をR0KH120から受け取った後、MAP1はサプリカント140−1と共に4段階ハンドシェーク535を開始し、PTKを生成してサプリカント140−1とMAP3 135−3の間のリンクを保護する(図5には示されていない)。従って、MAP1 135−1及びサプリカント140−1は、セキュアリンク540を通じて通信することができる。
【0047】
図6は、本発明のいくらかの実施形態による、図5にて既に説明した、EAP−TTLSである802.1x認証の例示的な詳細なメッセージ交換600を示す。図6に示されるように、802.1x認証が選ばれた場合、サプリカント140−1はEAPOL−スタートフレーム605をR1KH MAP 135−1へ送信する。そして、R1KH135−1は該フレーム610をR0KH120に送信する。R0KH120は、サプリカント140−1と認証サーバ105との間で行われる全てのメッセージフローの制御を担当する。R1KH MAP 135−1は、EAPOL−スタートに対する再試行状態機械を実行させ、R0KH120へ送る。最終メッセージPMK_1 ACK 615はR0KH120において状態機械を完了させる。R0KH120からR1KH135−1への最終メッセージ620は、PMK_1、R1Name及びAnonceを含んでいる。サプリカント140−1が802.11iのデバイスである場合、802.11iのPMKのみがR1KH135−1へ送信される。
【0048】
再認証(高速遷移)
図5に戻り、MAP1 135−1の第1認証の後、サプリカント140−1は、認証サーバ105とセキュアに接続されており、同一のモビリティドメインに属する、隣接したMAPデバイス135−nと共に、再認証(高速ハンドオフ)プロセスを開始する。再認証プロセスは、802.11rの高速BSS遷移(無線を通じた基礎機構)に従う。再認証要求は、R0Name、R1Name、SNonce、及び対応するトップレベルの鍵保持デバイスの名称R0KH−IDを含んでいる。R0Name及びR1Nameも、また含まれるようになる。
【0049】
図5に示されるように、サプリカント140−1とMAP1 135−1との間で認証手続きが完了すると、サプリカント140−1は、次の隣接デバイスであるR1KH MAP2 135−2と共に再認証手続きを開始する。例えば、第1ハンドオフ545と共に第1メッセージがサプリカント140−1からMAP2 135−2へ送信される。それに応答して、MAP2 135−2は、R1Nameにより識別されたPMK_1を保持していない場合、R0KH120に対応するPMK_1を要求するPMK要求550をR0KH120へ送信する。PMK_1はR0KHに、R0Nameも含まれるべきであると要求する。それに応答して、R0KH120は、PMK_1 555をMAP2 135−2へ送信する。その後、MAP2 135−2は、MAP2 135−2が対応するPMK_1を取得した場合、サプリカント140へ第2メッセージを送信する。サプリカント140−1及びMAP2 135−2は、第1ハンドオフメッセージ560を完了し、結果としてセキュアリンク565を得る。当業者にとって認識されるように、第1ハンドオフ再認証は、サプリカントの(隣接する)通信範囲において、複数のMAP又はIAPデバイスに対して繰り返されてもよい。
【0050】
前述した明細書において、本発明の特定の実施形態を説明した。しかしながら、当業者にとって認識されるように、以下に請求項に記載された本発明の範囲から逸脱しない限り、様々な変更又は改善が認められる。従って、本明細書及び図面は、限定的な意味ではなくむしろ例示的ものとして見なされるべきであり、そのような変更は全て本発明の範囲内に含まれることを意図している。利点、効果、問題の解決策、及び利点、効果利点、問題の解決策をもたらすか、或いはもたらすと予想される全ての要素は、任意又は全ての請求の範囲の決定的で、必要な、かつ本質的な特徴又は要素として解釈されるべきではない。本発明は添付した請求の範囲のみによって定義されるものであり、その請求の範囲は、本出願の係属中になされた補正と、発行された請求の範囲の全ての均等物とを含む。
Claims (5)
- インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法であって、
認証されたサプリカントの1つ以上の役割属性を認証サーバで判定する工程を含む前記サプリカントの初期認証工程と、
トップレベルの鍵保持デバイスにより前記認証サーバから1つ以上の承認属性を取得する工程と、
前記認証サーバからの1つ以上の承認属性の取得に応じて、前記トップレベルの鍵保持デバイスにより、前記認証されたサプリカントの役割属性がレベル1の鍵保持デバイスであるか否かを判定する工程と、
前記認証されたサプリカントの役割属性がレベル1の鍵保持デバイスであった場合、鍵配布鍵(KDK)を生成するために、ペアマスタ鍵(PMK_0)を用いて前記トップレベルの鍵保持デバイスと前記サプリカントとの間で4段階ハンドシェークを開始する工程と、
前記認証されたサプリカントの役割属性がレベル1の鍵保持デバイスではない場合、前記トップレベルの鍵保持デバイスからレベル1の鍵保持デバイスへ、レベル1のペアマスタ鍵(PMK_1)を通信する工程と、
前記レベル1の鍵保持デバイスと前記サプリカントとの間にセキュアな通信リンクを生成するために、レベル1のペアマスタ鍵(PMK_1)を用いて前記レベル1の鍵保持デバイスと前記サプリカントとの間で4段階ハンドシェークを開始する工程と、
前記セキュアな通信リンクを用いて前記レベル1の鍵保持デバイスと前記サプリカントとの間で通信する工程とを備える方法。 - 前記トップレベルの鍵保持デバイスと前記レベル1の鍵保持デバイスとの間にKDKを生成するための前記トップレベルの鍵保持デバイスと前記レベル1の鍵保持デバイスとの間の4段階ハンドシェークは、802.11i規格の4段階ハンドシェークを備え、さらに、前記レベル1の鍵保持デバイスと前記サプリカントとの間にペア一時鍵(PTK)を生成するための前記レベル1の鍵保持デバイスと前記サプリカントとの間の前記4段階ハンドシェークは、802.11i規格の4段階ハンドシェークを備える請求項1に記載のインフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法。
- 前記KDKは、以下の式から生成され、
KDK=KDF−KDKLen(PMK_0,“KDK鍵の生成”,SNonce‖ANonce‖AA‖SPA)
ここで、KDF−256は所定の数値であり、
SNonceは前記サプリカントにより生成される乱数であり、
ANonceはトップレベルの鍵保持デバイスにより生成される乱数であり、
前記両乱数は、4段階ハンドシェークによる最初の2つのメッセージ中に交換され、
AAはトップレベルの鍵保持デバイスのMACアドレスであり、
SPAは前記サプリカントのMACアドレスである請求項1に記載のインフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法。 - 前記初期認証工程は、最終「認証成功」メッセージの通信を含み、さらに、前記1つ以上の承認属性は、前記最終「認証成功」メッセージから得られる請求項1に記載のインフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法。
- 認証済みであり、かつ同じモビリティドメインにおける前記トップレベルの鍵保持デバイスと接続している他のレベル1の鍵保持デバイスを、前記サプリカントが再認証を開始する工程をさらに備え、該再認証を開始する工程は、
高速ハンドオフプロセスを用いて前記サプリカントから前記他のレベル1の鍵保持デバイスへメッセージを通信する工程と、
前記レベル1のペアマスタ鍵(PMK_1)を前記トップレベルの鍵保持デバイスから前記他のレベル1の鍵保持デバイスへ通信する工程と、
前記サプリカントと前記他のレベル1の鍵保持デバイスとの間にセキュアな通信リンクを生成するために、前記レベル1のペアマスタ鍵(PMK_1)を用いて、前記他のレベル1の鍵保持デバイスと前記サプリカントとの間の前記ハンドオフプロセスを完了する工程と、
前記セキュアな通信リンクを用いて前記他のレベル1の鍵保持デバイスと前記サプリカントの間に通信する工程とを備える請求項1に記載のインフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/470,887 US7499547B2 (en) | 2006-09-07 | 2006-09-07 | Security authentication and key management within an infrastructure based wireless multi-hop network |
US11/470,887 | 2006-09-07 | ||
PCT/US2007/074422 WO2008030667A2 (en) | 2006-09-07 | 2007-07-26 | Security authentication and key management within an infrastructure-based wireless multi-hop network |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2010503326A JP2010503326A (ja) | 2010-01-28 |
JP2010503326A5 JP2010503326A5 (ja) | 2012-02-02 |
JP4921557B2 true JP4921557B2 (ja) | 2012-04-25 |
Family
ID=39157922
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009527474A Active JP4921557B2 (ja) | 2006-09-07 | 2007-07-26 | インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法 |
Country Status (11)
Country | Link |
---|---|
US (2) | US7499547B2 (ja) |
EP (1) | EP2060052B1 (ja) |
JP (1) | JP4921557B2 (ja) |
KR (1) | KR101054202B1 (ja) |
CN (1) | CN101513092B (ja) |
AU (2) | AU2007292516B2 (ja) |
BR (1) | BRPI0716507B1 (ja) |
CA (1) | CA2663168C (ja) |
MX (1) | MX2009002507A (ja) |
RU (1) | RU2407181C1 (ja) |
WO (1) | WO2008030667A2 (ja) |
Families Citing this family (83)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB9722766D0 (en) | 1997-10-28 | 1997-12-24 | British Telecomm | Portable computers |
US7890745B2 (en) * | 2006-01-11 | 2011-02-15 | Intel Corporation | Apparatus and method for protection of management frames |
US7734052B2 (en) * | 2006-09-07 | 2010-06-08 | Motorola, Inc. | Method and system for secure processing of authentication key material in an ad hoc wireless network |
US7499547B2 (en) * | 2006-09-07 | 2009-03-03 | Motorola, Inc. | Security authentication and key management within an infrastructure based wireless multi-hop network |
US8578159B2 (en) * | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
US8037510B2 (en) * | 2006-09-18 | 2011-10-11 | Intel Corporation | Techniques for negotiation of security policies in wireless mesh networks |
US20080072047A1 (en) * | 2006-09-20 | 2008-03-20 | Futurewei Technologies, Inc. | Method and system for capwap intra-domain authentication using 802.11r |
US8607058B2 (en) * | 2006-09-29 | 2013-12-10 | Intel Corporation | Port access control in a shared link environment |
US20080144579A1 (en) * | 2006-12-19 | 2008-06-19 | Kapil Sood | Fast transitioning advertisement |
US8948046B2 (en) | 2007-04-27 | 2015-02-03 | Aerohive Networks, Inc. | Routing method and system for a wireless network |
US9838365B2 (en) * | 2007-07-10 | 2017-12-05 | Qualcomm Incorporated | Peer to peer identifiers |
US8094634B2 (en) * | 2007-09-06 | 2012-01-10 | Polytechnic Institute Of New York University | Sender and/or helper node modifications to enable security features in cooperative wireless communications |
US8249256B2 (en) * | 2007-11-06 | 2012-08-21 | Motorola Solutions, Inc. | Method for providing fast secure handoff in a wireless mesh network |
US8208635B2 (en) * | 2007-11-13 | 2012-06-26 | Rosemount Inc. | Wireless mesh network with secure automatic key loads to wireless devices |
US20090150665A1 (en) * | 2007-12-07 | 2009-06-11 | Futurewei Technologies, Inc. | Interworking 802.1 AF Devices with 802.1X Authenticator |
TWI345405B (en) * | 2007-12-26 | 2011-07-11 | Ind Tech Res Inst | Apparatus and method for executing the handoff process in wireless networks |
US9246679B2 (en) * | 2007-12-28 | 2016-01-26 | Intel Corporation | Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks |
CN101222325B (zh) * | 2008-01-23 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | 一种基于id的无线多跳网络密钥管理方法 |
EP2245901A2 (en) * | 2008-02-20 | 2010-11-03 | Microchip Technology Incorporated | Wireless access point device |
US8081568B2 (en) * | 2008-02-22 | 2011-12-20 | Cisco Technology, Inc. | Role determination for network devices |
US8218502B1 (en) | 2008-05-14 | 2012-07-10 | Aerohive Networks | Predictive and nomadic roaming of wireless clients across different network subnets |
US8474023B2 (en) * | 2008-05-30 | 2013-06-25 | Juniper Networks, Inc. | Proactive credential caching |
JP5080406B2 (ja) * | 2008-09-05 | 2012-11-21 | 株式会社エヌ・ティ・ティ・ドコモ | 配信装置、端末装置及びシステム並びに方法 |
JP5112229B2 (ja) * | 2008-09-05 | 2013-01-09 | 株式会社エヌ・ティ・ティ・ドコモ | 配信装置、端末装置及びシステム並びに方法 |
US9674892B1 (en) * | 2008-11-04 | 2017-06-06 | Aerohive Networks, Inc. | Exclusive preshared key authentication |
US8483194B1 (en) | 2009-01-21 | 2013-07-09 | Aerohive Networks, Inc. | Airtime-based scheduling |
CN101807998A (zh) * | 2009-02-13 | 2010-08-18 | 英飞凌科技股份有限公司 | 认证 |
CN101815293B (zh) * | 2009-02-20 | 2012-08-15 | 华为技术有限公司 | 无线中继网络中的链路安全认证方法、装置和*** |
US9742560B2 (en) | 2009-06-11 | 2017-08-22 | Microsoft Technology Licensing, Llc | Key management in secure network enclaves |
US8352741B2 (en) | 2009-06-11 | 2013-01-08 | Microsoft Corporation | Discovery of secure network enclaves |
US11115857B2 (en) | 2009-07-10 | 2021-09-07 | Extreme Networks, Inc. | Bandwidth sentinel |
US9900251B1 (en) | 2009-07-10 | 2018-02-20 | Aerohive Networks, Inc. | Bandwidth sentinel |
US8385549B2 (en) * | 2009-08-21 | 2013-02-26 | Industrial Technology Research Institute | Fast authentication between heterogeneous wireless networks |
JP5472977B2 (ja) * | 2009-08-27 | 2014-04-16 | 日本電気通信システム株式会社 | 無線通信装置 |
JP5543812B2 (ja) * | 2010-03-23 | 2014-07-09 | 日東電工株式会社 | 粘着テープ貼付け方法および粘着テープ貼付け装置 |
DE102010018285A1 (de) * | 2010-04-26 | 2011-10-27 | Siemens Enterprise Communications Gmbh & Co. Kg | Netzwerkzugangsknoten mit Schlüsselverteilerfunktion |
DE102010018286A1 (de) * | 2010-04-26 | 2011-10-27 | Siemens Enterprise Communications Gmbh & Co. Kg | Schlüsselverteilerknoten für ein Netzwerk |
CN101867930B (zh) * | 2010-06-04 | 2012-11-14 | 西安电子科技大学 | 无线Mesh网络骨干节点切换快速认证方法 |
US8671187B1 (en) | 2010-07-27 | 2014-03-11 | Aerohive Networks, Inc. | Client-independent network supervision application |
CN101908961B (zh) * | 2010-07-29 | 2012-07-11 | 北京交通大学 | 一种短密钥环境下多方秘密握手方法 |
US9002277B2 (en) | 2010-09-07 | 2015-04-07 | Aerohive Networks, Inc. | Distributed channel selection for wireless networks |
JP5494829B2 (ja) * | 2010-12-28 | 2014-05-21 | 富士通株式会社 | 鍵設定方法、ノード、およびネットワークシステム |
CN102655584B (zh) * | 2011-03-04 | 2017-11-24 | 中兴通讯股份有限公司 | 一种远程呈现技术中媒体数据发送和播放的方法及*** |
US9264230B2 (en) | 2011-03-14 | 2016-02-16 | International Business Machines Corporation | Secure key management |
US8619990B2 (en) | 2011-04-27 | 2013-12-31 | International Business Machines Corporation | Secure key creation |
US8566913B2 (en) | 2011-05-04 | 2013-10-22 | International Business Machines Corporation | Secure key management |
US8789210B2 (en) | 2011-05-04 | 2014-07-22 | International Business Machines Corporation | Key usage policies for cryptographic keys |
US8755527B2 (en) | 2011-05-04 | 2014-06-17 | International Business Machines Corporation | Key management policies for cryptographic keys |
US8634561B2 (en) * | 2011-05-04 | 2014-01-21 | International Business Machines Corporation | Secure key management |
US9826571B2 (en) | 2011-06-30 | 2017-11-21 | Aruba Networks, Inc. | Mesh node role discovery and automatic recovery |
CN102958051B (zh) * | 2011-08-23 | 2016-06-08 | 上海贝尔股份有限公司 | Capwap架构的接入控制器及其密钥管理方法 |
US10091065B1 (en) | 2011-10-31 | 2018-10-02 | Aerohive Networks, Inc. | Zero configuration networking on a subnetted network |
CN103188662B (zh) * | 2011-12-30 | 2015-07-29 | ***通信集团广西有限公司 | 一种验证无线接入点的方法以及装置 |
US20130305332A1 (en) * | 2012-05-08 | 2013-11-14 | Partha Narasimhan | System and Method for Providing Data Link Layer and Network Layer Mobility Using Leveled Security Keys |
EP2862301B1 (en) | 2012-06-14 | 2020-12-02 | Extreme Networks, Inc. | Multicast to unicast conversion technique |
CN104521215B (zh) * | 2012-08-15 | 2018-05-22 | 波音公司 | 用于地理认证的***和方法 |
WO2014094151A1 (en) * | 2012-12-21 | 2014-06-26 | Seccuris Inc. | System and method for monitoring data in a client environment |
US10389650B2 (en) | 2013-03-15 | 2019-08-20 | Aerohive Networks, Inc. | Building and maintaining a network |
US9413772B2 (en) | 2013-03-15 | 2016-08-09 | Aerohive Networks, Inc. | Managing rogue devices through a network backhaul |
US9465947B2 (en) * | 2013-08-05 | 2016-10-11 | Samsung Sds America, Inc. | System and method for encryption and key management in cloud storage |
CN104469759B (zh) * | 2013-09-23 | 2018-12-21 | 株式会社理光 | 管理区域受限网络、接收区域密钥的方法和设备 |
JP2015070571A (ja) * | 2013-09-30 | 2015-04-13 | サイレックス・テクノロジー株式会社 | 無線基地局装置、無線基地局装置の制御方法、及び、プログラム |
US8743758B1 (en) | 2013-11-27 | 2014-06-03 | M87, Inc. | Concurrent uses of non-cellular interfaces for participating in hybrid cellular and non-cellular networks |
ES2776375T3 (es) * | 2013-12-13 | 2020-07-30 | M87 Inc | Procedimientos y sistemas de conexiones seguras para unir redes híbridas celulares y no celulares |
JP6668598B2 (ja) * | 2014-05-19 | 2020-03-18 | 株式会社リコー | システム、及び通信方法 |
KR20160000534A (ko) | 2014-06-24 | 2016-01-05 | (주)휴맥스 | 홈 네트워크 자동 연결형 영상 스트리밍 서비스 시스템 및 방법 |
US10057766B2 (en) * | 2014-10-21 | 2018-08-21 | Qualcomm Incorporated | Methods and systems for authentication interoperability |
US10129031B2 (en) * | 2014-10-31 | 2018-11-13 | Convida Wireless, Llc | End-to-end service layer authentication |
CN104618090B (zh) * | 2015-01-08 | 2017-09-19 | 重庆邮电大学 | 一种适用于异构传感器网络的组密钥管理方法 |
US10580312B2 (en) | 2015-07-24 | 2020-03-03 | Yamasee Ltd. | Method and system for obtaining and presenting turbulence data via communication devices located on airplanes |
CN105991600B (zh) | 2015-02-25 | 2019-06-21 | 阿里巴巴集团控股有限公司 | 身份认证方法、装置、服务器及终端 |
EP3272094B1 (en) | 2015-03-16 | 2021-06-23 | Convida Wireless, LLC | End-to-end authentication at the service layer using public keying mechanisms |
KR20180098589A (ko) * | 2015-12-21 | 2018-09-04 | 코닌클리케 필립스 엔.브이. | 보안 통신을 위한 네트워크 시스템 |
CN105636148B (zh) * | 2016-01-06 | 2019-01-04 | ***装备发展部第六十三研究所 | 一种无线多跳网络数据传输方法 |
US10791093B2 (en) * | 2016-04-29 | 2020-09-29 | Avago Technologies International Sales Pte. Limited | Home network traffic isolation |
US10165608B2 (en) | 2016-06-02 | 2018-12-25 | Cisco Technology, Inc. | System and method to provide fast mobility in a residential Wi-Fi network environment |
AU2017294712B2 (en) * | 2016-07-11 | 2021-04-01 | Yamasee, Ltd. | Method and system for obtaining and presenting turbulence data via communication devices located on airplanes |
PL3777269T3 (pl) * | 2018-04-05 | 2022-11-21 | Nokia Technologies Oy | Zarządzanie ujednoliconym identyfikatorem abonenta w systemach komunikacji |
US11991165B2 (en) | 2018-04-06 | 2024-05-21 | Nec Corporation | Authentication method for next generation systems |
TWI695645B (zh) * | 2018-07-06 | 2020-06-01 | 小白投資有限公司 | 無線網路識別方法 |
CN113132986B (zh) * | 2019-12-31 | 2023-02-03 | 青岛海尔科技有限公司 | 基于DPP协议实现WiFi的mesh网络的实现方法及装置、存储介质 |
JP2023540264A (ja) | 2020-08-24 | 2023-09-22 | イレブン ソフトウェア インコーポレイテッド | 分散コンピューティングを使用したeapolハンドシェイクのためのキー照合 |
CN113141674A (zh) * | 2021-04-08 | 2021-07-20 | 成都极米科技股份有限公司 | 多链路***中链路配置方法、设备、***及存储介质 |
Family Cites Families (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7072650B2 (en) * | 2000-11-13 | 2006-07-04 | Meshnetworks, Inc. | Ad hoc peer-to-peer mobile radio access system interfaced to the PSTN and cellular networks |
JP3880419B2 (ja) * | 2002-02-21 | 2007-02-14 | 日本電信電話株式会社 | 無線アクセスネットワーク、無線マルチホップネットワーク、認証サーバ、基地局及び無線端末 |
US7165112B2 (en) * | 2001-06-22 | 2007-01-16 | Motorola, Inc. | Method and apparatus for transmitting data in a communication system |
US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
KR100555381B1 (ko) * | 2002-12-19 | 2006-02-24 | 멜코 인코포레이티드 | 암호키 설정시스템 및 암호키 설정방법 |
US7263357B2 (en) * | 2003-01-14 | 2007-08-28 | Samsung Electronics Co., Ltd. | Method for fast roaming in a wireless network |
US7275157B2 (en) * | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
JP4158972B2 (ja) * | 2003-12-18 | 2008-10-01 | Kddi株式会社 | マルチホップ通信方法 |
US7451316B2 (en) * | 2004-07-15 | 2008-11-11 | Cisco Technology, Inc. | Method and system for pre-authentication |
US20060067272A1 (en) * | 2004-09-30 | 2006-03-30 | Wang Huayan A | Method and system for fast roaming of a mobile unit in a wireless network |
US7643451B2 (en) * | 2004-10-15 | 2010-01-05 | Nortel Networks Limited | Method and apparatus for extending a mobile unit data path between access points |
US7558388B2 (en) * | 2004-10-15 | 2009-07-07 | Broadcom Corporation | Derivation method for cached keys in wireless communication system |
US7236477B2 (en) * | 2004-10-15 | 2007-06-26 | Motorola, Inc. | Method for performing authenticated handover in a wireless local area network |
EP1805920B1 (en) * | 2004-10-27 | 2011-08-10 | Meshnetworks, Inc. | System and method for providing security for a wireless network |
KR100871200B1 (ko) * | 2004-11-05 | 2008-12-01 | 메시네트웍스, 인코포레이티드 | 멀티호핑 무선망에서 동적으로 주파수를 선택하기 위한 통신 방법 및 노드 |
JP4561418B2 (ja) * | 2004-11-08 | 2010-10-13 | 沖電気工業株式会社 | メッセージ認証方法、通信端末装置及びメッセージ認証システム |
TWI268083B (en) * | 2004-11-17 | 2006-12-01 | Draytek Corp | Method used by an access point of a wireless LAN and related apparatus |
JP2006166362A (ja) | 2004-12-10 | 2006-06-22 | Sony Corp | 音響装置 |
US8369830B2 (en) * | 2004-12-30 | 2013-02-05 | Telecom Italia S.P.A. | Method and system for detecting attacks in wireless data communications networks |
US7814322B2 (en) * | 2005-05-03 | 2010-10-12 | Sri International | Discovery and authentication scheme for wireless mesh networks |
US7738882B2 (en) * | 2005-06-13 | 2010-06-15 | Toshiba America Research, Inc. | Framework of media-independent pre-authentication improvements: including considerations for failed switching and switchback |
US8270947B2 (en) * | 2005-12-19 | 2012-09-18 | Motorola Solutions, Inc. | Method and apparatus for providing a supplicant access to a requested service |
US7483409B2 (en) * | 2005-12-30 | 2009-01-27 | Motorola, Inc. | Wireless router assisted security handoff (WRASH) in a multi-hop wireless network |
US7804807B2 (en) * | 2006-08-02 | 2010-09-28 | Motorola, Inc. | Managing establishment and removal of security associations in a wireless mesh network |
US7793103B2 (en) * | 2006-08-15 | 2010-09-07 | Motorola, Inc. | Ad-hoc network key management |
US7508803B2 (en) * | 2006-09-07 | 2009-03-24 | Motorola, Inc. | Transporting management traffic through a multi-hop mesh network |
US8578159B2 (en) * | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
US7499547B2 (en) * | 2006-09-07 | 2009-03-03 | Motorola, Inc. | Security authentication and key management within an infrastructure based wireless multi-hop network |
-
2006
- 2006-09-07 US US11/470,887 patent/US7499547B2/en active Active
-
2007
- 2007-07-26 JP JP2009527474A patent/JP4921557B2/ja active Active
- 2007-07-26 MX MX2009002507A patent/MX2009002507A/es active IP Right Grant
- 2007-07-26 WO PCT/US2007/074422 patent/WO2008030667A2/en active Application Filing
- 2007-07-26 KR KR1020097007071A patent/KR101054202B1/ko active IP Right Grant
- 2007-07-26 CN CN2007800333192A patent/CN101513092B/zh active Active
- 2007-07-26 CA CA2663168A patent/CA2663168C/en active Active
- 2007-07-26 BR BRPI0716507-2A2 patent/BRPI0716507B1/pt active IP Right Grant
- 2007-07-26 EP EP07840526.3A patent/EP2060052B1/en active Active
- 2007-07-26 AU AU2007292516A patent/AU2007292516B2/en active Active
- 2007-07-26 RU RU2009112589/09A patent/RU2407181C1/ru active
-
2009
- 2009-01-14 US US12/353,562 patent/US7793104B2/en active Active
-
2011
- 2011-04-12 AU AU2011201655A patent/AU2011201655B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
RU2407181C1 (ru) | 2010-12-20 |
US20090210710A1 (en) | 2009-08-20 |
RU2009112589A (ru) | 2010-10-20 |
BRPI0716507B1 (pt) | 2019-12-10 |
AU2011201655B2 (en) | 2011-12-22 |
CA2663168A1 (en) | 2008-03-13 |
JP2010503326A (ja) | 2010-01-28 |
KR101054202B1 (ko) | 2011-08-03 |
WO2008030667B1 (en) | 2008-08-14 |
US7793104B2 (en) | 2010-09-07 |
EP2060052A2 (en) | 2009-05-20 |
US20080065888A1 (en) | 2008-03-13 |
AU2011201655A1 (en) | 2011-05-12 |
BRPI0716507A2 (pt) | 2013-10-08 |
WO2008030667A2 (en) | 2008-03-13 |
EP2060052B1 (en) | 2018-09-05 |
CN101513092A (zh) | 2009-08-19 |
US7499547B2 (en) | 2009-03-03 |
CN101513092B (zh) | 2012-08-15 |
EP2060052A4 (en) | 2015-11-18 |
AU2007292516A1 (en) | 2008-03-13 |
MX2009002507A (es) | 2009-03-25 |
AU2007292516B2 (en) | 2011-05-19 |
WO2008030667A3 (en) | 2008-07-03 |
CA2663168C (en) | 2014-01-28 |
KR20090052895A (ko) | 2009-05-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4921557B2 (ja) | インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法 | |
JP2010503326A5 (ja) | インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法 | |
US8122249B2 (en) | Method and arrangement for providing a wireless mesh network | |
KR101901448B1 (ko) | 스테이션과 엑세스 포인트의 결합 방법 및 장치 | |
US8621201B2 (en) | Short authentication procedure in wireless data communications networks | |
US8561200B2 (en) | Method and system for controlling access to communication networks, related network and computer program therefor | |
US8270382B2 (en) | System and method for securing mesh access points in a wireless mesh network, including rapid roaming | |
EP1974553B1 (en) | Wireless router assisted security handoff (wrash) in a multi-hop wireless network | |
EP1650915B1 (en) | Method of authenticating a mobile network node for establishing a secure peer-to-peer context between a pair of communicating mobile network nodes | |
AU2007292554B2 (en) | Method and apparatus for establishing security associations between nodes of an ad hoc wireless network | |
JP2010517329A (ja) | ケルベロス化ハンドオーバキーイング | |
JP2010521086A (ja) | リアクティブオペレーションのために最適化されるケルベロス化ハンドオーバキーイング | |
JP2015502104A (ja) | 融合ワイヤレスネットワークにおいての認証の方法およびデバイス | |
KR20070051233A (ko) | 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법 | |
WO2024026735A1 (zh) | 认证方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110906 |
|
A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20111206 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120104 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120202 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4921557 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150210 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |