TWI474667B

TWI474667B - 生成和分佈網路安全參數之系統及方法

Info

Publication number: TWI474667B
Application number: TW101119379A
Authority: TW
Inventors: Philippe Klein; Avi Kliger
Original assignee: Broadcom Corp
Priority date: 2011-06-01
Filing date: 2012-05-30
Publication date: 2015-02-21
Also published as: CN102811216B; US9369448B2; EP2530900A3; EP2530900B1; EP2530900A2; CN102811216A; US20120311683A1; TW201304456A

Description

生成和分佈網路安全參數之系統及方法

交叉引用相關申請

本申請要求2011年6月1日提交的題為“生成與分佈網路安全參數(NETWORK SECURITY PARAMETER GENERATION AND DISTRIBUTION)”、申請號為61/429,240的美國臨時專利申請的優先權和權益，其全部內容通過引用結合於此。

本發明有關於一種聚合式網路，且特別是有關於一種具有生成和分佈網路安全參數的聚合式網路。

家庭聯網中存在多種不同類型的技術。一些家庭具有運行至不同位置的超5類或更好的非遮罩雙絞線(UTP)佈線，在這種類型的電纜上可運行電氣與電子工程師協會(IEEE)802.3乙太網路(Ethernet)。然而，許多家庭可能不能連接到乙太網路，並且添加這種線路可能成本太高。

IEEE 802.11 Wi-Fi為允許進行無線家庭聯網的替代品，但是由於干擾、距離、視線阻礙等等，其性能容易降低。家庭私人網路適配器(HPNA)以及同軸電纜多媒體聯盟(MoCA)分別提供通過普通老式電話服務(POTS)電纜和同軸電纜(這些可能已經存在於電話和/或電視服務房間內)進行聯網的標準。電源線通信(PLC)標準，例如IEEE 1901、HomePlug AV等等，提供通過交流(AC)電源線進行的聯網，在任何電源插座處均可用。由於各種聯網技術的特徵不同，家庭可採用多種技術。

本發明實施例提供一種系統，此系統包括多個網路裝置，透過採用多種異構鏈路層技術的聚合式資料通信網路進行資料通信。其中，所述網路裝置中的至少一個網路裝置包括到所述聚合式資料通信網路的多個網路介面，所述網路介面中的第一網路介面採用所述異構鏈路層技術中的第一異構鏈路層技術，所述網路介面中的第二網路介面採用所述異構鏈路層技術中的第二異構鏈路層技術。所述網路裝置中的所述至少一個網路裝置進一步地包括網路安全參數管理邏輯，所述網路安全參數管理邏輯被配置為：獲得聚合式網路密碼；以及通過至少部分地基於所述聚合式網路密碼、使用相應的一種異構鏈路層技術的本地配對協定為所述網路介面中的一個網路介面配對，連接至所述聚合式資料通信網路。

本發明涉及在採用多個異構鏈路層技術的聚合式資料通信網路中生成和分佈網路安全參數。電氣與電子工程師協會(IEEE)P1905.1為討論中的一個標準，該標準能夠使用多個不同鏈路層聯網技術(例如IEEE P1901電源線通信(PLC)、IEEE 802.11 Wi-Fi、IEEE 802.3乙太網路、同軸電纜多媒體聯盟(MoCA)1.1和/或其他聯網技術)，在家庭網路或其他網路中連接裝置。IEEE P1905.1限定了抽象層(abstraction layer)，該層為異構聯網技術提供通用資料和控制服務接入點，以便提供無縫用戶體驗。由於家庭中網路裝置的位置、網路裝置的性能、應用程式的特定品質服務需要和/或其他原因，可採用不同的聯網技術。

本發明的各種實施方式有助於在IEEE P1905.1網路和/或相似的網路內生成和分佈網路安全參數。在一個實施方式中，用戶可提供單個聚合式網路密碼，用於每個支援的鏈路技術的本地安全/保密協定的各個安全和保密參數可源自該密碼。這種本地協定的實例可包括IEEE P1901簡單連接，Wi-Fi受保護設置(WPS：Wi-Fi Protected Setup)等等。在另一個實例中，可使用利用密鑰分佈的按鈕配對(push-button pairing)將任何網路裝置配對至聚合式資料通信網路。在一時間段內，在新裝置上可按下按鈕並且在聚合式網路上的任何其他裝置上可按下另一按鈕，以有助於配對，即使這兩個裝置不共用相同鏈路層聯網技術的共同鏈路。

術語“配對”此處用於表示將網路裝置認證至通過加密和/或其他安全/保密控制進行保護的聚合式網路。在各種實施方式中，配對交換網路密鑰，而非交換密碼，而且密碼不能源自密鑰。而且，可保持網路分離，使得來自一個聚合式網路的密鑰不被分佈給不同的聚合式網路的裝置。在下面的討論中，大致描述該系統和其部件，然後討論其操作。

請參照圖1，圖1示出了根據各種實施方式的聚合式網路的一個實例的功能方塊圖。聚合式網路100有助於在多個終端103、多個中繼器106、閘道109以及網路112之間進行資料通信。網路112例如包括網際網路、內部網、外部網、廣域網(WAN)、局域網(LAN)、有線網、無線網或者其他合適的網路等，或者兩個以上這種網路的任何組合。雖然圖1中示出了閘道109以及網路112，但是聚合式網路100的其他實例中可能沒有閘道109和/或網路112。

終端103和中繼器106對應於聚合式網路裝置，可包括任何類型的計算裝置。每個終端103和中繼器106對應於一個聚合式網路裝置，包括其邏輯鏈路控制(LLC)層和下面的異構鏈路層(媒體存取控制/物理層(MAC/PHY))之間的抽象層。每個終端103能夠將聚合式網路管理訊框中繼到其他聚合式網路裝置中。每個中繼器106能夠將聚合式網路管理訊框以及資料訊框中繼到其他聚合式網路裝置中。

在圖1的實例中，聚合式網路100採用五種異構鏈路層技術：乙太網路、PLC、MoCA、電話線上HomePNA(HPNA)連接以及Wi-Fi。圖1中所示的聯網技術僅構成聚合式網路100中可採用的異構聯網技術的一個非限制性實例。使用圖1的圖例中的各個標記，在圖1中示出了終端103、中繼器106以及閘道109之間的連接。利用異構聯網技術中的每種所具有的各自的形狀，在圖1中描繪了各聚合式網路介面。方形表示乙太網路介面，三角形表示PLC介面，五角形表示MoCA介面，圓形表示HPNA介面以及菱形表示Wi-Fi介面。

閘道109可包括閘道系統115、密鑰分佈邏輯118以及其他可執行的應用程式和/或數位邏輯。閘道109可存儲資料，例如網路密鑰121、網路拓撲124和/或其他資料。在通常情況下，通過電纜數據機、數位用戶線(DSL)、WiMAX、普通老式電話服務(POTS)撥號、綜合業務數位網(ISDN)、T1、和/或另一種連接，閘道系統115為終端103和中繼器106提供對WAN網路112的訪問。閘道系統115可包括路由功能、防火牆功能、網路位址轉換(NAT)功能和/或其他功能。

在一個實施方式中，密鑰分佈邏輯118為聚合式網路100提供集中式密鑰分佈功能。用於聚合式網路100的對應於不同的聯網技術的區段或部分的網路密鑰121可被保持在閘道109中。此外，在閘道109中可保持用於聚合式網路100的網路拓撲124，以便密鑰分佈邏輯118分佈合適的網路密鑰121。在另一個實施方式中，可在所有聚合式網路裝置中執行密鑰分佈邏輯118，以便提供將要描述的分散式密鑰分佈功能。而且，在另一個實施方式中，可從閘道109在不同的聚合式網路裝置中執行密鑰分佈邏輯118，以提供集中式密鑰分佈功能。

請參照圖2，圖2示出了根據本發明的一個實施方式的網路裝置的示意性框圖。網路裝置200可對應於於聚合式網路100(圖1)中的終端103(圖1)或中繼器106(圖1)。網路裝置200包括至少一個處理器電路，例如具有處理器203和記憶體206，均耦合到本地介面209。為此，網路裝置200例如可包括至少一個通用計算裝置、至少一個嵌入式計算裝置、路由器、交換機和/或可耦合到聚合式網路100中的任何其他裝置。可理解，本地介面209例如可包括具有伴隨的位址/控制匯流排或其他匯流排結構的一條或多條資料匯流排。

多個網路介面212a…212N和一個配對裝置215也可耦合到本地介面209。網路介面212對應於聚合式網路100的MAC/PHY介面，聚合式網路100在某些情況下可採用不同的MAC/PHY聯網技術。配對裝置215可對應於於按鈕配對裝置、發起配對的通用串列匯流排(USB)電子狗、生物(biometric)配對裝置、基於軟體的虛擬配對裝置和/或任何其他協調系統，以發起到聚合式網路100的認證並且與聚合式網路進行配對，而無需手動指定網路密碼。

可由處理器203執行的資料和若干元件均儲存在記憶體206中。具體地，MAC抽象層218、密鑰管理邏輯221以及潛在的其他應用程式儲存在記憶體206中並且可由處理器203執行。網路密鑰224和其他資料也可儲存在記憶體206中。此外，作業系統可儲存在記憶體206中，並且也可由處理器203執行。在各種實施方式中，所有或部分MAC抽象層218和/或密鑰管理邏輯221可對應於不單獨由處理器203執行的數位邏輯。

執行MAC抽象層218，以便給各種異構聯網技術提供通用資料和控制服務接入點。MAC抽象層218可支援動態介面選擇，用於傳輸來自任何網路介面212或上協定層的資料包。MAC抽象層218也可支援端對端服務品質(QoS)。在各種實施方式中可執行密鑰管理邏輯221，以便生成網路密鑰224、與其他網路裝置200共用網路密鑰224、從其他網路裝置200獲得網路密鑰224和/或執行其他功能。

請參照圖3，圖3示出了根據本發明的一個實施方式的閘道的示意性框圖。閘道109包括至少一個處理器電路，例如具有處理器303和記憶體306，均耦合到本地介面309。為此，閘道109例如可包括至少一個通用計算裝置、至少一個嵌入式計算裝置、路由器、交換機和/或可耦合至聚合式網路100(圖1)的任何其他裝置。可理解，本地介面309例如可包括具有伴隨的位址/控制匯流排或其他匯流排結構的一條或多條資料匯流排。多個網路介面212a…212N(圖2)、一個配對裝置215(圖2)以及WAN介面312也可耦合到本地介面309。WAN介面312用於將閘道109連接到網路112(圖1)。

可由處理器303執行的資料和若干元件均儲存在記憶體306中。具體地，閘道系統115、MAC抽象層218、密鑰管理邏輯221、密鑰分佈邏輯118以及潛在的其他應用程式儲存在記憶體306並且可由處理器303執行。網路拓撲124、網路密鑰121和其他資料也可儲存在記憶體306中。此外，作業系統可儲存在記憶體306中，並且也可由處理器303執行。在各種實施方式中，所有或部分閘道系統115、MAC抽象層218、密鑰管理邏輯221和/或密鑰分佈邏輯118可對應於不單獨由處理器303執行的數位邏輯。

請參照圖4，圖4示出了根據本發明的各種實施方式的表示聚合式網路100(圖1)中採用的分層網路模式400的示意圖。在分層網路模式400中，上層實體403將資料傳送給MAC抽象層218，用於發送到聚合式網路100，並且通過MAC抽象層218從聚合式網路100中獲得資料。根據開放式系統互連(OSI)模式，上層實體403可對應於第三層或更高的層。例如，上層實體403可對應於互聯網協定(IP)、用戶資料報協定(UDP)、傳輸控制協議(TCP)和/或其他上層實體403。

MAC抽象層218為上層實體403提供與MAC無關的單個統一的介面。MAC抽象層218可為網路介面212(圖2和圖3)提供一個或多個到抽象層的MAC專用介面。在圖4中，多個MAC類型406a、406b…406N被示出為結合多個PHY類型409a、409b…409N。每個PHY類型耦合到多個網段412a、412b…412N中的各自的一個。網段412可分別對應於Wi-Fi、IEEE 1901、MoCA、乙太網路和/或其他類型的網段412。從網路裝置200(圖1)中的作業系統的觀點來看，MAC抽象層218可被視為輸出資料和控制服務接入點(SAP)的單個裝置。MAC位址(例如48比特位址或某個其他長度)可被分配給MAC抽象層218。MAC位址對於每個聚合式網路100而言可以是唯一的。

現在一併參看圖1至圖4，提供了聚合式網路100的各元件的操作的總體描述。首先，假定的家庭設置被用於描述圖1的各種元件。例如，假設閘道109為小型集成路由器/交換機裝置，位於房屋的底層，靠近網路112電路的終端。在該實例中，閘道109具有HomePNA網路介面212以及對應於可橋接或可不橋接的獨立埠的多個乙太網路介面212。通過IEEE 802.1AE(MACsec)或另一標準，乙太網路可被保護或者可不被保護。通過Wi-Fi保護接入2(WPA2)或另一標準，Wi-Fi網路可被保護。

例如，假設終端103a為膝上型電腦，有時可靠近家庭中乙太網路埠或電話插座。通過到閘道109的HomePNA網路介面212和/或通過到閘道109的乙太網路介面212，將終端103a連接到聚合式網路100。例如，假設終端103b為臺式電腦，該電腦也物理上位於家庭的底層。通過到閘道109的乙太網路介面212，將終端103b連接到聚合式網路100。

例如，假設中繼器106a為底層中的裝置，被配置成通過乙太網路介面212在閘道109之間中繼網路流量以及通過PLC網路介面212和MoCA網路介面212將網路流量中繼到其他網路裝置200。因此，通過房屋的其他房間中現有的同軸電纜和/或電源線，這些裝置可連接到聚合式網路100，無需使用Cat5e或其他電纜佈線。例如，假設中繼器106b位於家庭的主要樓層，並且被用於將Wi-Fi網路上的潛在裝置連接到聚合式網路100。為此，中繼器106b可包括PLC網路介面212和Wi-Fi網路介面212。

例如，假設中繼器106c為機頂盒，具有兩個MoCA網路介面212和一個Wi-Fi網路介面212。假設中繼器106c位於具有同軸電纜插座的家庭的較高樓層的臥室中。中繼器106c可通過Wi-Fi連接到中繼器106b，以及通過MoCA連接到中繼器106a。例如，假設終端103c為數位電視，也位於較高層的臥室中。假設終端103c的MoCA網路介面212通過同軸電纜連接到中繼器106c，並且終端103c的PLC網路介面212通過家庭的電源線連接到中繼器106a和中繼器106b。

除了連接具有不同聯網技術的網路介面212的網路裝置200，在圖1中可看出，在聚合式網路100中可提供冗餘路徑。這種冗餘路徑可由MAC抽象層218進行平衡，以增大網路裝置200之間的吞吐量。作為非限制性實例，終端103a和閘道109之間的HomePNA鏈路可提供20百萬位元每秒的資料率，同時終端103a和閘道109之間的10-Base-T鏈路可提供10百萬位元每秒的資料率。MAC抽象層218可被配置成對鏈路進行組合，以在終端103a和閘道109之間提供高達30百萬位元每秒的總數據率。

而且，當一個鏈路的連接性減弱或丟失時，聚合式網路100的冗余路徑可用於提供可靠的連接。作為非限制性實例，在家庭中操作電力裝置時，PLC連接容易受到脈衝噪音和/或其他干擾的影響。因此，當終端103c和中繼器106a之間的PLC鏈路減弱、超載、不可使用等時，可代替PLC鏈路而在兩個MoCA鏈路上路由終端103c和中繼器106a之間的網路流量。

通過用戶密碼配置或按鈕配置方法，可將網路裝置200配對至聚合式網路100。在用戶密碼配置中，用戶為每個網路裝置200手動提供相同的聚合式網路密碼。每個所支援的鏈路層技術的本地安全/保密協定的單個安全/保密參數(例如網路密鑰224)源自這一單個聚合式網路密碼。作為非限制性實例，可採用散列(hash)函數為每個所支援的鏈路層技術生成單個密碼。作為另一個非限制性實例，可採用散列函數生成任何一個鏈路層技術所需要的最大密碼尺寸，並且可將該密碼縮短(截短)，以便為其他鏈路層技術創建較小的密碼。一旦鏈路層密碼源自聚合式網路密碼，那麼每個網路介面212執行其自身的本地安全協議並且可獲得額外的安全參數。

利用按鈕配置方法，每當通過配對裝置215在網路裝置200中發生配對事件時，網路裝置200廣播配對事件，以將聚合式網路100通知給其他網路裝置200。一旦獲得配對事件，網路裝置200在每個其所支援的網路介面212上發起本地按鈕配對協定。網路裝置200通過本地按鈕配對協定進行配對。如果通過多個鏈路類型連接新的網路裝置200，那麼執行每個鏈路的本地按鈕配對協定，以獲得每個鏈路類型的共用網路密鑰224。網路密鑰224可通過集中式密鑰分佈方法或分散式密鑰分佈方法來分佈。

要注意的是，可物理上或邏輯上驅動配對裝置215。即，可按壓網路裝置200上的物理按鈕，或者可通過軟體來驅動邏輯配對裝置215。而且，可使用除按鈕外的其他類型的配對裝置215，例如USB電子狗、生物掃描器等等。

在某些情況下，在同一聚合式網路100內可結合基於密碼的配對使用按鈕配對。在第一種情況下，假設兩個網路裝置D1和D2通過本地配對事件協議進行配對，並且生成Key1A。假設網路裝置D3僅支援一個用戶密碼。在配對D3之前，用戶在D1(或D2)上輸入密碼。D1從用戶密碼中獲得Key2A、Key2B以及Key2C。D1將Key2A、Key2B以及Key2C廣播給D2。Key2A、Key2B以及Key2C可重寫先前的任何密鑰，例如Key1A。用戶輸入密碼之後，D3被配對至聚合式網路。D3從用戶密碼中獲得相同的Key2A、Key2B以及Key2C。假設網路裝置D4支援本地配對事件協定，但不支援基於密碼的配對。D4通過本地配對事件協議獲得Key2A、Key2B和/或Key2C。

在第二種情況下，假設用戶在網路裝置D1和D2中輸入密碼。D1和D2從用戶密碼中獲得Key2A、Key2B以及Key2C。假設網路裝置D3支援本地配對事件協定，而不支援基於密碼的配對。如果D1或D2支援本地配對事件協議，那麼D3可通過該本地配對事件協議從D1或D2中獲得Key2A、Key2B和/或Key2C。接下來結合圖5至圖11，進一步討論聚合式網路100中的配對。

請參照圖5，圖5示出了提供根據各種實施方式的密鑰管理邏輯221(圖2)的一部分的操作的一個實例的流程圖。具體地，圖5涉及使用用戶密碼配置在聚合式網路100(圖1)中提供配對的實施方式。應理解，圖5的流程圖提供可用於實施文中所述的密鑰管理邏輯221的一部分的操作的多種不同類型的功能配置的僅僅一個實例。另外，圖5的流程圖可被視為描述根據一個或多個實施方式的網路裝置200(圖2)中所實施的方法步驟的實例。

從步驟503開始，密鑰管理邏輯221透過用戶獲得網路配置和聚合式網路密碼。例如，用戶可打開由網路裝置200的作業系統提供的圖形用戶介面配置對話。或者，網路裝置200可具有集成的螢幕和輸入裝置，以便用戶指定網路配置和聚合式網路密碼。

在步驟506中，密鑰管理邏輯221從聚合式網路密碼生成用於一個網路介面212的介面密碼。網路裝置200的不同網路介面212可具有不同的密碼尺寸要求。在一個實施方式中，密鑰管理邏輯221首先使用散列函數生成一個具有所要求的最大尺寸的密碼，其次對於各網路介面212根據需要縮短密碼。在另一個實施方式中，密鑰管理邏輯221使用散列函數從單個聚合式網路密碼中為每個不同的網路介面212生成單獨的密碼。所使用的散列函數可為單向散列，使得從介面密碼不可得到聚合式網路密碼。在各種實施方式中，相同網路類型的所有網段412(圖4)可採用相同的介面密碼，但在其他實施方式中，對於相同網路類型的不同網段412可採用不同的介面密碼。

在步驟509中，使用至少部分從聚合式網路密碼生成的介面密碼來配對網路介面212。使用網路介面212的鏈路層技術的本地安全/保密協定來配對網路介面212。透過本地安全/保密協議可獲得額外的安全參數，並且該參數可由密鑰管理邏輯221儲存在網路密鑰224中。在步驟512中，密鑰管理邏輯221確定另一個網路介面212在網路裝置200中是否有效。如果另一個網路介面212有效，那麼密鑰管理邏輯221返回步驟506，並且生成用於要配對的下一個網路介面212的介面密碼。否則，結束密鑰管理邏輯221的該部分。

請參照圖6，圖6示出了根據各種實施方式的密鑰管理邏輯221(圖2)的一部分的操作的另一實例的流程圖。具體地，圖6涉及利用按鈕配對和密鑰分佈在聚合式網路100(圖1)中提供配對的實施方式。應理解的是，圖6的流程圖提供了可用於實施文中所述的密鑰管理邏輯221的一部分的多種不同類型的功能配置的僅僅一個實例。另外，圖6的流程圖可被視為描述根據一個或多個實施方式的網路裝置200(圖2)中所實施的方法步驟的實例。

從步驟603開始，密鑰管理邏輯221從網路裝置200的配對裝置215(圖1)中獲得配對事件，例如物理或邏輯按鈕的按下等。在步驟606中，密鑰管理邏輯221使用網路介面212所使用的鏈路層技術的本地配對協定為網路介面212(圖1)進行配對。通過該任務，可為網路介面212生成網路密鑰224(圖1)。在步驟609中，密鑰管理邏輯221確定是否已經發生超時。例如，雖然在網路裝置200中可生成配對事件，但是情況可能如下，在預定的時間長度到期之前，從聚合式網路100的遠端網路裝置200接收不到相應的配對事件。如果發生超時，則鏈路配對失效，密鑰管理邏輯221的該部分結束。

如果不發生超時，那麼密鑰管理邏輯221繼續至步驟612。在步驟612中，密鑰管理邏輯221確定是否使用了集中式密鑰分佈。如果使用了集中式密鑰分佈，那麼密鑰管理邏輯221繼續至步驟615，並且將配對產生的任何網路密鑰224提供給閘道109(圖1)。在步驟618中，密鑰管理邏輯221可從閘道109獲得網路密鑰224，用於網路裝置200的其他有效網路介面212。密鑰管理邏輯221繼續至框621。

如果密鑰管理邏輯221在步驟612中確定未使用集中式密鑰分佈，那麼代替使用了密鑰分佈的分散式方式，並且密鑰管理邏輯221從步驟612轉換至步驟624。在步驟624中，密鑰管理邏輯221向與其配對的其他網路裝置200公告該網路裝置200的網路密鑰224。在步驟627中，密鑰管理邏輯221為網路裝置200的未配對鏈路請求網路密鑰224。該請求可通過聚合式網路100從網路裝置200傳播開。最後，密鑰管理邏輯221通過已配對的中繼器106(圖1)獲得丟失的網路密鑰224。密鑰管理邏輯221繼續至步驟621。

在步驟621中，密鑰管理邏輯221確定是否存在可利用新的可用的網路密鑰224被配對的網路裝置200的其他網路介面212。如果是的話，在步驟633中密鑰管理邏輯221發起網路介面212的配對。密鑰管理邏輯221繼續至步驟步驟636。如果沒有其他的網路介面212進行配對，那麼密鑰管理邏輯221也繼續至步驟636。在步驟636中，密鑰管理邏輯221確定網路裝置200的另一個網路介面212是否變得有效。例如，用戶可將USB Wi-Fi網路介面212或者其他可***式網路介面212***網路裝置200。如果另一個網路介面212已經變得有效，那麼密鑰管理邏輯221返回至步驟612，並且繼續獲得用於網路介面212的網路密鑰224。否則，密鑰管理邏輯221的該部分結束。

請參照圖7，圖7示出了根據各種實施方式的密鑰分佈邏輯118(圖1)的一部分的操作的一個實例的流程圖。應理解的是，圖7的流程圖提供可用於實現文中所述的密鑰分佈邏輯118的一部分的操作的多種不同類型的功能配置的僅僅一個實例。另外，圖7的流程圖可被視為描述根據一個或多個實施方式的閘道109(圖1)中所實施的方法步驟的實例。

從步驟703開始，密鑰分佈邏輯118發現新的網路裝置200(圖2)，該裝置已經添加到聚合式網路100(圖1)的網路拓撲124(圖1)中。在步驟706中，密鑰分佈邏輯118獲得透過配對新的網路裝置200而得到的網路密鑰224(圖2)。網路密鑰224可儲存在網路密鑰121(圖1)中，該網路密鑰121可將網路密鑰224映射到網路拓撲124中。

在步驟709中，密鑰分佈邏輯118確定新的網路裝置200是否具有其他未配對的網路介面212(圖2)。例如，密鑰分佈邏輯118可從網路裝置200獲得對用於其未配對的網路介面212的網路密鑰224的請求。如果是的話，密鑰分佈邏輯118將合適的網路密鑰224提供給新的網路裝置200，如果可用的話，用於新的網路裝置200所支援的其他網路介面212。密鑰分佈邏輯118繼續至步驟715。如果新的網路裝置200沒有其他未配對的網路介面212，則密鑰分佈邏輯118也從步驟709繼續至步驟715。

在步驟715中，作為配對新的網路裝置200的結果，密鑰分佈邏輯118確定新的網路密鑰224是否已經添加到網路密鑰121中。如果已經添加了新的網路密鑰224，那麼密鑰分佈邏輯118為連接到聚合式網路100的其他網路裝置200提供新的網路密鑰224，其他網路裝置200支援與新的網路密鑰224相關的各種網路介面212。密鑰分佈邏輯118繼續至步驟721。如果未添加新的網路密鑰224，那麼密鑰分佈邏輯118從步驟715轉換到步驟721。

在步驟721中，密鑰分佈邏輯118確定另一個新的網路裝置200是否已經添加到聚合式網路100中。如果已經添加了另一個新的網路裝置200，那麼密鑰分佈邏輯118返回至步驟703。如果沒有添加新的網路裝置200，那麼密鑰分佈邏輯118的該部分結束。

請參照圖8，圖8示出了根據各種實施方式的密鑰管理邏輯221(圖2)的一部分的操作的另一個實例的流程圖。具體地來說，圖8涉及基於配對事件的獲得來中繼配對事件以及發起配對。應理解的是，圖8的流程圖提供了可用於實施文中所述的密鑰管理邏輯221的一部分的操作的多種不同類型的功能配置的僅僅一個實例。另外，圖8的流程圖可被視為描述根據一個或多個實施方式的網路裝置200(圖2)中實施的方法步驟的實例。

從步驟803開始，密鑰管理邏輯221獲得配對事件。配對事件可為本地物理或邏輯按鈕的按下，或者可從聚合式網路100(圖1)上的另一個網路裝置200獲得。在步驟806中，密鑰管理邏輯221通過網路裝置200的其他網路介面212(圖2)中繼配對事件。在步驟809中，密鑰管理邏輯221確定是否存在連接到網路裝置200的未配對的網路裝置200。如果不存在連接到網路裝置200的未配對的網路裝置200，那麼密鑰管理邏輯221的該部分結束。

另外，如果存在連接到網路裝置200的未配對的網路裝置200，那麼取而代之密鑰管理邏輯221前進至步驟812。在步驟812中，密鑰管理邏輯221確定在超時之前，是否從未配對的網路裝置200獲得相應的配對事件。可在步驟803中獲得的配對事件之前或之後獲得這種相應的配對事件，但是兩個配對事件之間的時間長度限於預定的時間長度。如果發生超時，那麼密鑰管理邏輯221的該部分結束，而不為未配對的網路裝置200配對。

如果未發生超時，那麼取而代之密鑰管理邏輯221轉換至步驟815，並且使用其他網路裝置200的未配對的網路介面212的本地配對事件協定(例如按鈕配對協定或其他協定)與其他網路裝置200進行配對。要注意的是，未配對的網路裝置200可具有多個網路介面212。在各種實施方式中，未建立任何配對優先順序。一旦一個網路介面212被配對，那麼對應於未配對的網路介面212的網路密鑰224可通過被配對的網路介面212分佈給其他網路裝置200。之後，密鑰管理邏輯221的該部分結束。

參看圖9A至圖9C，圖9A至圖9C示出了在聚合式網路100(圖1)中使用由閘道109(圖1)集中的網路密鑰分佈的網路裝置200(圖2)之間的網路密鑰分佈的一個實例的序列圖。採用圖1的實例中給出的聚合式網路100的樣本拓撲。在圖9A至圖9C中，矩形表示乙太網路介面212 (圖2)，三角形表示PLC網路介面212，菱形表示Wi-Fi網路介面212，五角形表示MoCA網路介面212。各個形狀內的“K”表示配對的介面，而各個形狀內沒有“K”表示未配對的介面。

從圖9A開始，最初通過乙太網路介面212在聚合式網路100中配對閘道109和中繼器106a。中繼器106a也具有未配對的PLC和MoCA網路介面212。在時間900處，中繼器106b加入聚合式網路100。中繼器106b最初具有未配對的PLC和Wi-Fi網路介面212。在時間903處，中繼器106b經由PLC網路介面212的本地配對協定與中繼器106a配對。生成和交換網路密鑰224(圖2)。在時間906處，用於PLC網段412(圖4)的網路密鑰224被發送回閘道109。這樣，在時間906後，網路密鑰121包括用於乙太網路和PLC網路介面的安全/保密參數。

接下來，在圖9B中，在時間912處，中繼器106c加入聚合式網路100。最初，中繼器106c具有未配對的MoCA和Wi-Fi網路介面212。在時間915處，中繼器106c通過Wi-Fi網路介面212的本地配對協定與中繼器106b配對。生成和交換網路密鑰224。在時間918處，通過中繼器106a將用於Wi-Fi網段412的網路密鑰224發送回閘道109。這樣，在時間918後，網路密鑰121包括用於乙太網路、PLC以及Wi-Fi網路介面212的安全/保密參數。

在圖9C中，在時間921處，終端103c加入聚合式網路100。最初，終端103c具有未配對的MoCA和PLC網路介面212。在時間924處，終端103c經由MoCA網路介面212的本地配對協定與中繼器106c配對。生成和交換網路密鑰224。在時間927處，通過中繼器106a和中繼器106b將用於MoCA網段412的網路密鑰224發送回閘道109。這樣，在時間927後，網路密鑰121包括用於乙太網路、PLC、Wi-Fi以及MoCA網路介面的安全/保密參數。

在時間930處，閘道109為中繼器106a提供MoCA安全/保密參數。在時間933處，中繼器106a的MoCA網路介面212使用閘道109所提供的安全/保密參數，與中繼器106c的MoCA網路介面212配對。在時間936處，閘道109為終端103c提供PLC安全/保密參數。在時間939處，終端103c的PLC網路介面212使用閘道109所提供的安全/保密參數，與中繼器106a的PLC網路介面212配對。要注意的是，可在時間930處傳送MoCA參數之前，在時間936處傳送PLC參數，以及可在時間933處進行配對之前，在時間939處進行配對。而且，雖然在圖9A至圖9C中按順序示出了某些任務，但是應理解，在其他實施方式中，它們可並行地或者以其他的順序發生。

參看圖10，圖10示出了在聚合式網路100(圖1)中使用分散的網路密鑰分佈的網路裝置200(圖2)之間的網路密鑰分佈的一個實例的序列圖。使用圖1的實例中給出的聚合式網路100的樣本拓撲。在圖10中，矩形表示乙太網路介面212(圖2)，三角形表示PLC網路介面212，菱形表示Wi-Fi網路介面212，五角形表示MoCA網路介面212。各個形狀內的“K”表示配對的介面，各個形狀內沒有“K”表示未配對的介面。

最初，在時間1000處，在聚合式網路100中配對了中繼器106a、106b和106c。中繼器106a具有配對的乙太網路和PLC網路介面212以及未配對的MoCA網路介面212。中繼器106b具有配對的PLC和Wi-Fi網路介面212。中繼器106c具有配對的Wi-Fi網路介面212和未配對的MoCA網路介面212。終端103c具有未配對的PLC和MoCA網路介面212。

在時間1003處，通過將其MoCA網路介面212與中繼器106c的MoCA網路介面212配對，終端103c加入聚合式網路100。生成和交換網路密鑰224。在時間1006處，通過聚合式網路100，用於MoCA網段412(圖4)的安全/保密參數被傳送給中繼器106b和中繼器106a。也傳送對PLC安全/保密參數的請求。在時間1009處，使用在時間1006處傳送的用於MoCA網段412的安全/保密參數，中繼器106a的MoCA網路介面212被配對。

在時間1012處，中繼器106b回應於對PLC安全/保密參數的請求，並且通過中繼器106c將PLC參數發送給終端103c。在時間1015處，終端103c的PLC網路介面212使用在時間1012處獲得的PLC參數進行了配對。雖然在圖10中按照順序示出了某些任務，但是可理解的是，在其他實施方式中，它們可並行地或者以其他的順序發生。

繼續看圖11，圖11示出了說明在聚合式網路100(圖1)中關於配對事件在網路裝置200(圖2)之間進行配對的序列圖。採用圖1的實例中給出的聚合式網路100的樣本拓撲。在圖11中，矩形表示乙太網路介面212(圖1)，五角形表示MoCA網路介面212。各個形狀內的“K”表示配對的介面，各個形狀內沒有“K”表示未配對的介面。

最初，在時間1100處，通過乙太網路和MoCA網路介面212，在聚合式網路100中，將閘道109和中繼器106a和106b進行配對。在時間1100處，在未配對的終端103c中產生配對事件(例如物理或邏輯按鈕的按下等)。在時間1103處，在閘道109中生成配對事件並且通過乙太網路鏈路將該配對事件發送給中繼器106a。在時間1106處，中繼器106a複製配對事件並且通過MoCA鏈路將其轉發給中繼器106b。在時間1109處，中繼器106b從中繼器106a獲得配對事件。

假設時間1100和時間1109之間的時間不滿足超時閾值，則在時間1112處中繼器106b使用MoCA介面的本地配對協定與終端103c進行配對。可生成用於MoCA網段412(圖1)的安全/保密參數。在時間1115處，終端103c的MoCA網路介面被配對至聚合式網路100。

返回看圖2和圖3，應理解的是，可存在其他應用程式，這些應用程式儲存在記憶體206、306中，並且可由處理器203、303執行，如可意識到的那樣。當以軟體的形式執行文中所討論的任何元件時，可使用多種程式語言中的任何一種語言，例如C、C++、C#、Objective C、Java®、JavaScript®、Perl、PHP、Visual Basic®、Python®、Ruby、Delphi®、Flash®，或者其他程式語言。

多個軟體元件儲存在記憶體206、306中，並且可由處理器203、303執行。在這方面，術語“可執行”表示程式檔，該程式檔具有最終可由處理器203、303運行的形式。可執行的程式的實例例如可為編譯程序，該編譯程序可轉換成機器代碼，該機器代碼具有可被載入進記憶體206、306的隨機存取部分中的形式並且可由處理器203、303運行；該編譯程序還可轉換成可用適當的格式表達的源代碼，例如能夠被載入進記憶體206、306的隨機存取部分中並且由處理器203、303執行的目標代碼；或者該編譯程序可轉換成可由另一可執行程式解釋的源代碼，以在記憶體206、306的隨機存取部分中生成指令，從而由處理器203、303執行；等等。可執行程式可儲存在記憶體206、306的任何部分或元件中，記憶體206、306例如包括隨機存取記憶體(RAM)、唯讀記憶體(ROM)、硬碟驅動器、固態驅動器、USB快閃記憶體盤、存儲卡、光碟(例如壓縮盤(CD)或數位化通用磁片(DVD))、軟碟、磁帶或其他記憶體元件。

記憶體206、306文中限定為包括易失性和非易失性記憶體和數位儲存元件。易失性組件為那些掉電時不保留資料值的元件。非易失性組件為那些掉電時保留資料值的元件。因此，記憶體206、306例如可包括隨機存取記憶體(RAM)、唯讀記憶體(ROM)、硬碟驅動器、固態驅動器、USB快閃記憶體盤、通過讀卡器訪問的存儲卡、通過相關聯的軟碟驅動器訪問的軟碟、通過光碟驅動器訪問的光碟、通過合適的磁帶驅動器訪問的磁帶和/或其他記憶體元件、或這些記憶體元件中的兩個以上元件的組合。此外，RAM例如可包括靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)或磁性隨機存取記憶體(MRAM)以及其他這種裝置。ROM例如可包括可編程唯讀記憶體(PROM)、可擦可編程唯讀記憶體(EPROM)、電可擦可編程唯讀記憶體(EEPROM)或者其他類似的記憶體裝置。

同樣，處理器203、303可表示多個處理器203、303，並且記憶體206、306可表示分別在並行處理電路中操作的多個記憶體206、306。在這種情況下，本地介面209、309可為合適的網路，該網路有助於在多個處理器203、303的任何兩個之間、任何處理器203、303和任何記憶體206、306之間、或者任何兩個記憶體206、306之間等進行通信。本地介面209、309可包括被設計成協調該通信的其他系統，例如包括執行負載平衡。處理器203、303可為電力或一些其他可用的結構。

雖然閘道系統115、MAC抽象層218、密鑰管理邏輯221、密鑰分佈邏輯118以及文中所述的各種其他系統可被實現為上述通用硬體執行的軟體或代碼，但是作為選擇，也可被實現為專用硬體或軟體/通用硬體和專用硬體的組合。如果實現為專用硬體，則每個均可被實施為採用多種技術中的任何一種技術或多種技術的組合的電路或狀態機。這些技術可包括但不限於，具有用於在被施加一個或多個資料信號時實施各種邏輯功能的邏輯門的離散邏輯電路、具有適當的邏輯門的專用積體電路，或其他組件等。本領域技術人員通常熟知這樣的技術，因此文中不詳述。

圖5至圖8的流程圖示出了密鑰管理邏輯221和密鑰分佈邏輯118的一部分的實施形式的功能和操作。如果實現為軟體，則每個塊可表示代碼的一個模組、區段或部分，該代碼包括程式指令，以實施特定的邏輯功能。程式指令可被實現為源代碼或機器代碼的形式，源代碼包括以編程語言或機器代碼編寫的人類可讀的語句，機器代碼包括適當的執行系統(例如電腦系統中的處理器203、303或其他系統)可識別的數位指令。可從源代碼等轉換機器代碼。如果實現為硬體，那麼每個塊可表示一個電路或多個互連的電路，以便執行特定的邏輯功能。

雖然圖5至圖8的流程圖示出了特定的執行順序，但是應理解，該執行順序可與所描繪的順序不同。例如，相對於所示出的順序，兩個或更多個塊的執行順序可被打亂。並且，可同時或部分同時執行圖5至圖8中連續示出的兩個或更多個塊。此外，在一些實施方式中，可跳過或省略圖5至圖8中示出的一個或多個塊。此外，為了增強效用、進行結算、性能測量或幫助排除故障等，可將任何數量的計數器、狀態變數、警告信號機或消息添加到文中所述的邏輯流中。應理解，所有這種變化均在本發明的範圍內。

並且，文中所述的包括軟體或代碼的任何邏輯或應用程式可被實現為任何非瞬態電腦可讀介質，由指令執行系統使用或結合指令執行系統(例如電腦系統中的處理器203、303或其他系統)使用，該邏輯或應用程式包括閘道系統115、MAC抽象層218、密鑰管理邏輯221以及密鑰分佈邏輯118。從這個意義上來說，邏輯例如可包括包含指令和聲明的語句，這些語句可從電腦可讀介質中取得並且可由指令執行系統執行。在本發明的背景下，“電腦可讀介質”可為任何可包含、儲存或維持文中所述的邏輯或應用程式的介質，由指令執行系統使用或結合指令執行系統使用。電腦可讀介質可包括多種物理介質(例如磁性、光學或半導體介質)中的任何一種。適當的電腦可讀介質更具體的實例包括但不限於，磁帶、磁性軟碟、磁性硬碟驅動器、存儲卡、固態驅動器、USB快閃記憶體盤或光碟。並且，電腦可讀介質可為隨機存取記憶體(RAM)，例如包括靜態隨機存取記憶體(SRAM)和動態隨機存取記憶體(DRAM)，或磁性隨機存取記憶體(MRAM)。此外，電腦可讀介質可為唯讀記憶體(ROM)、可編程唯讀記憶體(PROM)、可擦可編程唯讀記憶體(EPROM)、電可擦可編程唯讀記憶體(EEPROM)或者其他類型的記憶體裝置。

要強調的是，本發明的上述實施方式僅是為了清楚地理解本發明的原理而提出的實現方式的可能實例。上述實施方式可進行多種變化和修改，而本質上不背離本發明的精神和原理。文中所有這些修改和變化均意在包含在本發明的範圍內，並且由所附權利要求保護。

100‧‧‧聚合式網路

103a、103b、103c‧‧‧終端

106a、106b、106c‧‧‧中繼器

112‧‧‧網路

109‧‧‧閘道

115‧‧‧閘道系統

118‧‧‧密鑰分佈邏輯

121‧‧‧網路密鑰

124‧‧‧網路拓撲

200‧‧‧網路裝置

203、303‧‧‧處理器

206、306‧‧‧記憶體

209、309‧‧‧本地介面

218‧‧‧MAC抽象層

221‧‧‧密鑰管理邏輯

224‧‧‧網路密鑰

212a~212N‧‧‧網路介面

215‧‧‧配對裝置

312‧‧‧WAN介面

400‧‧‧分層網路模式

403‧‧‧上層實體

406a~406N‧‧‧MAC類型

409a~409N‧‧‧PHY類型

412a~412N‧‧‧網段

503~512、603~636、703~721、803~815‧‧‧步驟流程

900~906、912~918、921~939、1000~1015、1100~1115‧‧‧時間點

圖1為根據本發明的各種實施方式的聚合式網路的功能方塊圖。

圖2為提供根據本發明的各種實施方式的圖1的聚合式網路中所採用的網路裝置的一個實例圖示的示意性框圖。

圖3為提供根據本發明的各種實施方式的圖1的聚合式網路中所採用的閘道的一個實例圖示的示意性框圖。

圖4為根據本發明的各種實施方式的表示圖1的聚合式網路中所採用的分層網路模型的示意圖。

圖5至圖8為示出被實現為根據本發明的各種實施方式的作為圖1的聚合式網路中的網路裝置中執行的密鑰管理邏輯和/或密鑰分佈邏輯的部分的功能性實例的流程圖。

圖9A至圖9C為示出根據本發明的各種實施方式的圖1的聚合式網路中使用由閘道集中的網路密鑰分佈的網路裝置之間的網路密鑰分佈的序列圖。

圖10為示出根據本發明的各種實施方式的圖1的聚合式網路中使用分散的網路密鑰分佈的網路裝置之間的網路密鑰分佈的序列圖。

圖11為示出根據本發明的各種實施方式圖1的聚合式網路中關於配對事件在網路裝置之間進行配對的序列圖。