用於在adhoc無線網絡的節點之間建立安全關聯的方法和裝置的製作方法

2023-10-07 21:45:09

專利名稱：用於在ad hoc無線網絡的節點之間建立安全關聯的方法和裝置的製作方法
技術領域：
本發明總的來說涉及無線通信，更確切地說，涉及在adhoc
無線網絡內的節點之間建立安全關聯。
背景技術：
基於基礎設施的無線網絡通常包括具有固定和有線網關的 通信網絡。許多基於基礎設施的無線網絡使用移動單元或主機，該移 動單元或主機與耦合至有線網絡的固定基站通信。該移動單元在通過 無線鏈路與基站通信時，可以地理地移動。當該移動單元移出了一個 基站範圍時，其可以連接或被"移交"至新的基站，並且開始通過該 新的基站與有線網絡通信。較之基於基礎設施的無線網絡，諸如蜂窩網絡或衛星網絡， ad hoc網絡是自組網絡，其能夠在沒有任何固定基礎設施的情況下操 作，並且在某些情形下，adhoc網絡完全由移動節點形成。adhoc網絡 通常包含數個地理上分散的潛在移動單元，有時被稱為"節點"，它 們通過一個或多個鏈路(例如無線頻率通信信道)彼此無線地連接。 這些節點在沒有基於基礎設施或有線網絡支持的情況下，能夠通過無 線介質彼此通信。隨著無線通信網絡變得越來越普及，安全性一直是通信網絡 提供商和終端用戶的主要顧慮。在安全性環境可能存在最大挑戰的情 況下使用移動無線網絡時，這一點最為明顯，因為數據可能被許多節 點很容易地接收並操縱。在無線網絡中使用的無線鏈路將在該網絡上 傳輸的信令和數據暴露給竊聽者和/或可能的黑客。在多跳無線網絡中， 這要求在網狀網絡設備中的每個鏈路具有通過多跳認證和密鑰管理過程所建立的唯一安全關聯。然後，利用該建立的安全關聯，能夠保護
在該鏈路上的無線傳輸幀(airframe)。現今的安全解決方案通常在認證伺服器和加入網絡的節點 之間建立安全關聯。不幸的是，節點完成與認證伺服器的認證可能需 要十秒鐘。當移動站與接入點關聯時，例如，存在允許該站使用其在 與該網絡的第一次聯繫期間所建立的密鑰材料以加速與該網絡中的其 他接入點的將來重新連接的可用技術。例如，當前提出的用於 IEEE802.11r標準的一種解決方案包括具有與在線認證伺服器的完整認 證的第一聯繫步驟，以及重新使用在第一聯繫期間所建立的密鑰材料 以加速安全握手過程的基礎機制。該完整認證建立了密鑰層次，用於 隨後的鏈路建立，從而支持在接入點之間的快速站過渡。當網狀網絡節點加入網狀網絡，並且與其網狀網絡的鄰居之 一建立安全連結時，提供加速的安全機制是有利的，該加速的安全機 制能夠確保在該網狀網絡節點和也同樣是該網狀網絡的成員的多個其 他鄰近網狀網絡節點之間的安全連結。


在附圖中，遍及獨立視圖相同的附圖標記指相同或功能類似 的元件，並且附圖和下文的具體描述一起被包含在本說明書中並且構 成本說明書的部分，用於進一步示出所有根據本發明的各種實施例以 及解釋各種原理和優勢。圖l示出了根據本發明的某些實施例的示例性ad hoc無線網絡。圖2示出了用於實現在圖1的網絡內的本發明的某些實施例 的網狀網絡密鑰層次。圖3總結了根據本發明的某些實施例的圖1的網絡內由網狀 網絡認證方向請求方網狀點提供的各種服務。圖4A示出了用於根據本發明的某些實施例的圖1的網絡內的信標和探測響應幀的消息格式。圖4B是示出根據本發明的某些實施例的圖4A的消息格式的 網狀網絡安全域信息元素的示例性欄位結構的結構圖。圖5示出了根據本發明的某些實施例的圖4A的消息格式的 部分中所定義的認證和密鑰管理(AKM)套件。圖6是示出根據本發明某些實施例的圖1的網絡元素之間示 例性交互的消息序列圖。圖7A示出了根據本發明某些實施例的圖6的示例性互交互
的進一步細節。圖7B是示出在根據本發明某些實施例的圖6和7A的示例性 交互中所使用的有效網狀網絡安全關聯信息元素的示例性欄位結構的 結構圖。圖8是示出在根據本發明某些實施例的圖1的網絡中操作的 網狀網絡認證方的示例性操作的流程圖。
圖9示出了根據本發明某些實施例的圖1的網絡元素之間交 互的消息序列圖。圖10示出了根據本發明某些實施例的圖9的消息序列圖的進
一步細節。圖11是示出在根據本發明某些實施例的圖1的網絡內的網狀 網絡認證方的示例性操作的流程圖。本領域的技術人員應理解，在附圖中所示出的元件是出於簡 明目的，並不必要按實際比例繪製。例如，附圖中的某些元件的尺寸 相對於其他元件可能作了誇大，以有助於提高對本發明的實施例的理 解。
具體實施例方式在具體描述根據本發明的實施例之前，應注意到，這些實施 例主要屬於涉及在ad hoc無線網絡的節點之間建立安全關聯的方法步 驟和裝置組件的組合。因此，在附圖中適當地由傳統符號表示裝置組 件和方法步驟，僅示出了與理解本發明相關的以及具有在此描述的好處的那些具體細節，以避免因那些對於本領域的技術人員顯而易見的 細節模糊了本公開。在本文中，諸如第一和第二、上和下等相關術語僅用於將一 個實體或動作與另一個實體或動作區別開，並不必然要求或意味著在
這種實體或動作之間的任何實際這種關係。術語"包括(comprises)"、 "包括(comprising)"或其任何其他變形目的在於覆蓋非排他性包括， 以便包括一系列元素的過程、方法、物品或裝置不僅包括那些元素， 也可以包括未明確列出的或對於過程、方法、物品或裝置所固有的其 他元素。在沒有更多限制條件的情況下， 一種元素前面的"包含 (comprises)……一個"，不排除在包含該元素的過程、方法、條目 或裝置中存在另外的相同元素。應理解的是，此處所描述的本發明的實施例可以由一個或多 個傳統處理器和控制該一個或多個處理器的唯一存儲的程序指令構 成，與某些非處理器電路結合，實現此處所描述的在ad hoc無線網絡
的節點之間建立安全關聯的某些、大多數或所有功能。非處理器電路 可以包括，但不限於，無線電接收器、無線電發射器、信號驅動器、 時鐘電路、電源電路以及用戶輸入設備。同樣地，這些功能可以被解 釋為在ad hoc無線網絡的節點之間建立安全關聯的方法的步驟。可選 地，通過不具有存儲的程序指令的狀態機或在將每個功能或某些功能 的某些組合實現為定製邏輯的一個或多個特定應用集成電路(ASIC) 中，可以實現某些或所有功能。當然，可以使用這兩種方法的組合。 因此，用於這些功能的方法和裝置已經在此處作了描述。而且，預期 的是，本領域的技術人員在例如可用時間、當前技術和經濟考慮的驅 動下雖然可能付出顯著努力並得出許多設計選擇，但在此處所公開的 概念和原則的引導下，將能夠以最少的實驗，容易地生成這種軟體指 令和程序以及IC。用於網狀網絡的一種有效安全解決方案取決於兩種能力，即，請求方網格點生成與網狀網絡安全關聯的能力，以及請求方重新 使用在第一次聯繫時生成的密鑰材料以有效建立與網狀網絡的另外連 接的能力。第二個特徵避免了棘手的執行問題，即如果網狀網絡的成 員之間的每個關聯需要與第一次聯繫相同的時間量，則可能出現路由 建立瓶頸，其可能超過十秒鐘。因為處於請求方網格點附近的節點數目可能較大，並且因為 在一個節點可以向其鄰居發送路由消息之前需要安全關聯，因此，重 要的是，每個網狀網絡認證方存在機制，該機制允許其與網狀網絡密 鑰分發方通信，以基於由請求方網格點在第一次聯繫所生成的密鑰材 料，獲取導出密鑰，並且允許該網狀網絡認證方向該請求方網格點提 供其識別該密鑰材料所需要的信息，並且請求使用該信息以完成有效 的安全關聯交換。本發明包括網狀網絡認證方機制，該機制支持安全關聯的有 效建立。這種機制能夠根據其鄰居的能力和偏好，以網狀網絡請求方 或認證方的角色操作，並且當以網狀網絡認證方角色操作時，可以轉 發認證消息，並且從網狀網絡密鑰分發方請求密鑰傳遞。當根據本發 明實施時，網狀網絡認證方廣播信息允許請求方網格點加入網狀網絡， 並且與其本身和網狀網絡分發方建立安全關聯。它也能夠保持來自密
鑰分發層次的密鑰，密鑰分發層次允許它請求並展開密鑰，以建立與 請求方網格點鄰居的安全關聯。最後，認證方支持將可擴展認證協議 (EAP)認證消息從請求方網格點傳輸至密鑰分發方，並且支持來自網 狀網絡密鑰分發方的密鑰材料的分發。在本發明中所提供的網狀網絡認證方保持兩組導出密鑰，一 組用於其自己和密鑰分發方之間的密鑰傳輸，另一組用於與其同類的 通信。這些組導出的密鑰從單個主密鑰生成，該單個主密鑰是在網狀 網絡認證方執行與認證、授權和計費(AAA)伺服器的EAP認證時生 成的。這提供了建立網狀網絡認證方的有效方法，而不需要對於該網狀網絡認證方角色的明確、獨立認證。認證方廣播信息，網格點使用 該信息以在允許使用它在第一次聯繫期間所生成的密鑰層次的網狀網 絡安全域中，選擇網格點認證方。它也與使用層二協議和預定義數據 幀的密鑰分發方進行通信。網狀網絡認證方使用層二協議與網狀網絡 密鑰分發方通信的能力，允許必需的安全協議實現有效網狀網絡安全 關聯。在本發明中，使用有效的網狀網絡安全聯盟(EMSA)服務， 以允許在無線網狀網絡中的兩個網格點(MP)之間的鏈路安全的有效 建立。通過使用網狀網絡密鑰層次，提供EMSA服務，通過使用預共 享密鑰(PSK)或當MP執行與AAA伺服器的認證(即，IEEE802.1X 認證)時，建立導出的密鑰層次。EMSA的操作依靠網狀網絡密鑰持有方，密鑰持有方通常在 無線網狀網絡內的MP處實現。定義兩種類型的網狀網絡密鑰持有方 網狀網絡認證方(MA)和網狀網絡密鑰分發方(MKD)。在本發明的 某些實施例中，用於在網狀網絡安全域中的多個網狀網絡認證方的網 狀網絡密鑰分發方(MKD)可以在位於有線網絡上的中央控制器中實 現，並且對於多個網狀網絡認證方經由提供網狀網絡埠服務的多個 網格點是可達到的。EMSA提供在MP與MA的初始關聯期間交換的信息，並且 被稱為"初始EMSA認證"。與在相同網狀網絡安全域(以及相同無 線區域網(WLAN)網狀網絡，如通過網狀網絡識別(ID)所識別的) 網絡內的其他MA的隨後關聯可以使用簡短的EMSA握手機制。EMSA也提供用於在網狀網絡密鑰持有方之間的安全通信 的機制。圖1示出了根據本發明的某些實施例的示例性ad hoc無線網絡100。例如，adhoc無線網絡IOO可以是網狀網絡架構(MEA)網 絡或802.11網絡(即，802.11a、 802.11b、 802.llg、 or 802.11s)。本
領域的技術人員應當理解，根據本發明的通信網絡100能夠可選地包 括任何分組化通信網網絡，其中，數據包通過多次無線跳被轉發。例 如，adhoc無線網絡IOO可以是使用諸如OFDMA (正交頻分多址)、 TDMA (時分多址)、GPRS (通用分組無線服務)以及EGPRS (增強 GPRS)的分組數據協議。此外，分組化通信網絡IOO的每個無線跳可 以使用與其他跳相同的分組數據協議或每跳唯一的分組數據協議。如在圖1中所示的，ad hoc無線網絡100包括認證伺服器 (AS) 105。認證伺服器105用於向在adhoc無線網絡100內的各個節 點提供認證服務，並且下文將進行描述。總之，認證伺服器105代表 認證方執行對於檢査請求方的證書所必要的認證功能，並且指示該請 求方是否被授權接入該網絡的服務。在本發明的一個實施例中，認證 伺服器105位於其中能夠提供主機的物理安全性的有線網絡部分中。 例如，認證伺服器105可以是用於集中認證的使能擴展認證協議一一 隧道傳輸層安全/擴展認證協議——傳輸層協議(EAP-TTLS/EAP-TLS) 的遠程認證撥入用戶服務(RADIUS)伺服器。通信地耦合至認證伺服器105的是網狀網絡分發方(MKD) 110。網狀網絡分發方110導出密鑰並且向一個或多個網狀網絡認證方 115-n分發密鑰。網狀網絡密鑰分發方110進一步實現認證、授權和計 費(AAA)客戶端，並且與認證伺服器105交換安全消息。通信地耦合至網狀網絡密鑰110的是至少一個網狀網絡認 證方(MA) 115-n。雖然在圖1的ad hoc無線網絡中示出兩個網狀網 絡認證方115-1、 115-2，但應理解的是，根據本發明可以使用一個或多 個網狀網絡認證方。網狀網絡認證方115-n: (a)通告服務使得請求 方(即，網格點(MP)請求方120)能夠加入；(b)提供EAP認證 消息轉發服務；(c)從網狀網絡密鑰分發方110請求或獲取導出的密鑰，允許請求方120加入ad hoc網絡IOO或建立新的安全關聯；以及 (d)導出成對瞬時密鑰(PTK)，以保障與請求方120的連結。網狀 網絡認證方115-n獲得密鑰材料，用於建立來自網狀網絡密鑰分發方 IIO的安全關聯。如此處將描述的，在諸如圖1的ad hoc無線網絡100的網 絡中所實現的本發明提供兩種類型的認證初始的第一聯繫步驟，被 稱為初始EMSA認證(基於AAA的認證)；以及"輕量型"步驟，被 稱為簡短EMSA握手，其重新使用在第一聯繫期間生成的密鑰材料。在本發明的某些實施例的操作中，網狀網絡密鑰持有方，即 MA和MKD，通過執行密鑰導出和安全密鑰分發來管理網狀網絡密鑰 層次。網狀網絡安全域由單個MKD110的存在來定義，在本發明的某 些實施例中，其在網狀網絡中的網格點(MP)實現。如本文前面所提 到的，在該網狀網絡安全域中，可以存在若干個MA 115-n,每個都在 MP實現，並且每個MA115-n都保持到MKD IIO的路由以及與MKD 110的安全關聯。MKD IIO導出密鑰，以生成網狀網絡密鑰層次，並且將導 出的密鑰分發至MA 115-n。在本發明的某些實施例中，實現MKD實 體的設備也實現了 MA實體。MA 115-n參與由請求方MP 120 (包括 初始EMSA認證和簡短EMSA握手)所發起的有效網狀網絡安全關聯 (EMSA)交換。MA 115-n從MKD IIO接收導出的密鑰，並且導出另 外的密鑰，用於保障與請求方MP120的連結的安全。圖2示出了用於實現本發明的某些實施例的網狀網絡密鑰 層次200。網狀網絡密鑰層次允許MP生成與同類MP的安全關聯，而 不需要每次執行IEEE 802.1X認證。網狀網絡密鑰層次可以與IEEE 802.1X認證或成對會話密鑰(PSK)使用。為了示例性目的，此處假 設PSK對於單個MP和單個MKD是具體的。
本發明的密鑰層次由用於網狀網絡內的兩個分支構成。鏈路
安全分支240由三個等級構成，支持在網狀網絡密鑰持有方之間的密 鑰分發，以允許在請求方MP和MA之間的簡短EMSA握手。密鑰分 發分支245提供密鑰，以保障在網狀網絡密鑰持有方之間的密鑰傳輸 和管理的安全。如在圖2中所示的，當每個請求方加入網狀網絡時，為其生 成主會話密鑰(MSK) 205。主會話密鑰205是密鑰材料，該密鑰材料 在MP的可擴展認證協議(EAP)認證期間生成，並且被分發至網狀網 絡密鑰分發方110 (例如，通過遠程認證撥入用戶服務(RADIUS))。 XXKey(XX密鑰)210是MSK205的一部分。XXKey210是成對會話密 鑰(PSK)或主會話密鑰(MSK)的第二個256位。網狀網絡密鑰分發方110根據從在AS 105和請求方120之 間的成功IEEE 802.1X認證所產生的PSK或MSK,為兩個分支生成第一 等級密鑰。例如，如所示的，導出第一導出密鑰，即成對主密鑰網狀 網絡密鑰分發方(PMK-MKD) 215作為MSK或PSK以及網狀網絡ID 的函數。它被請求方MP 120和PMK-MKD密鑰持有方，S卩，MKD 110， 存儲。該密鑰由請求方MP 120和MKD 110相互導出。僅單個 PMK-MKD 215在請求方MP 120和網狀網絡安全域之間導出。網狀網絡密鑰分發方110使用密鑰導出功能(KDF)以生成 在密鑰層次中的密鑰。密鑰導出功能是這樣的函數接收私鑰(即主 密鑰)和非秘密信息作為輸入，並且輸出新的私鑰，稱為導出的密鑰。 該密鑰導出函數是不可逆的，以使得對導出的密鑰和非秘密信息的知 曉不會提供關於主密鑰的任何信息。網狀網絡密鑰層次鏈路安全分支240的最高等級密鑰， PMK-MKD 215將請求方MAC地址(SPA)、網狀網絡安全域標識符以及網狀網絡ID與從協商AKM所產生的密鑰材料綁定。PMK-MKD 215的推導如下
PMK-MKD = KDF-256(XXKey， "MKD Key Derivation", MeshIDlength || MeshID || MSD-ID || 0x00 || SPA)
其中
KDF-256是用於生成256位長度的密鑰的KDF。
XXKey是MSK或PSK的第二個256位。
" MKD Key Derivation " ( MKD 密鑰推導)是 0x4D4B44204B65792044657269766174696F6E。
MeshIDLength (MeshID長度)是單個八位字節，其值是在網狀 網絡ID中的八位字節的數目。
MeshID (網狀網絡ID)是網狀網絡標識符，即八位字節的可變 長度序列，如其在信標和探測響應中所存在的。
MSD-ID是來自在初始EMSA認證期間所使用的網狀網絡安全 域信息元素的48個八位字節網狀網絡安全域標識符欄位。
SPA是請求方MP的MAC地址。PMK-MKD被引用並且命名如下
PMK-MKDName = Truncate-128(SHA-256("MKD Key Name" || MeshIDlength || MeshID || MSD-ID || 0x00 || SPA || ANonce))
其中
"MKD Key Name" ( MKD 密鑰名稱)是 0x4D4B44204B6579204E616D65。
ANonce (A隨機數)是不可預測的隨機值，其由PMK-MKD持 有方(MKD)生成，並且與PMK-MA—起被遞送至MA，並且在初始 EMSA認證期間，由MA提供至請求方MP。 Truncate (截取)-128(-)返回其自變量的第一 個128位，並且將 餘下部分安全地銷毀掉。MKD10也生第二導出的密鑰，即成對主密鑰網狀網絡認證 方(PMK-MA) 220-n，以使能快速安全關聯。MKD110根據需要為每 個MA115-n導出唯一 PMK-MA 220-n。 PMK-MA 220-n被分發給適當 的MA 115-n。例如，如果在圖2中所示的，PMK-MA 220-1被分發至 MA 115-1。 PMK-MA 220-n由請求方MP 120和MKD 110互相導出。 其由MKD 110發送給MA 115-n，以允許完成在請求方MP 120和MA U5-n之間的網狀網絡握手。網狀網絡密鑰層次鏈路安全分支240的第二等級密鑰 PMK-MA 220-n是256位密鑰，用於導出PTK 225。 PMK-MA 220-n捆 綁SPA、 MKD和MA，並且推導如下
PMK-MA = KDF-256(PMK-MKD， "MA Key Derivation", PMK-MKDName |1 MA-ID " 0x00 || SPA)
其中
KDF-256是用於生成256位長度密鑰的KDF。
" MA Key Derivation " ( MA 密鑰推導)是 0x4D41204B65 792044657269766174696F6E 。
MA-ID是PMK-MA (MA)的標識符。
SPA是請求方MP的MAC地址。PMK-MA被引用並命名如下
PMK-MAName = Truncate-128(SHA-256("MA Key Name" || PMK—MKDName || MA—ID || 0x00 || SPA))其中，"MA Key Name " ( MA 密鑰名稱)是 0x4D41204B6579204E616D65 。瞬時密鑰，即成對瞬時密鑰(PTK) 225，由MA 115-n和 請求方MP 120從PMK-MA 220-n相互導出。PTK 225是鏈路安全分支 的第三等級，其定義IEEE 802.11和IEEE 802.1X保護密鑰。PTK 225 由請求方120和PMK-MA密鑰持有方相互導出，即，MA115-n。網狀網絡密鑰層次鏈路安全分支240的第三等級是PTK 225。該密鑰由請求方MP和MA將該密鑰長度作為協商密碼套件的函 數，互相導出。PTK推導如下
PTK = KDF-PTKLen(PMK-MA, "Mesh PTK Key derivation", SNonce || ANonce || SPA || MAA || PMK-MAName)
其中
KDF-PTKLen是用於生成長度PTKLen的PTK的KDF。
PMK-MA是在請求方MP和MA之間共享的密鑰。
"Mesh PTK Key derivation"(網格網絡PTK密鑰推導)是 0x4D6573682050544B204B65792064657269766174696F6E。
SNonce (S隨機數)是由請求方MP所貢獻的256位隨機位字符串。
ANonce (A隨機數)是由MKD或MA所貢獻的256位隨機字符串。
SPA是請求方MP的MAC地址。
MAA是MA的MAC地址。
PMK-MAName是如先前所導出的。
PTKlen是要導出的總位數，例如，PTK的位數。該長度取決於協商密碼套件。每個PTK包括三個關聯的密鑰，即密鑰確認密鑰(KCK)、 密鑰加密密鑰(KEK)以及臨時密鑰(TK)。PTK被引用並且命名如下
PTKName = Truncate-128(SHA-256(PMK-MAName || "Mesh PTK Name" || SNonce || ANonce || MAA || SPA))
其中"Mesh PTK Name " (網格網絡PTK名稱)是 0x4D6573682050544B204E616D65。第二分支，即密鑰分發分支245由二個等級構成，並且導致 PTK-KD 235，用於允許MP變成MA，並且用於保障MA和MKD之 間的通信安全。密鑰分發密鑰(KDK) 230是密鑰分發分支245的第一 等級。該密鑰作為MSK或PSK和網狀網絡ID的函數被導出，並且由 請求方MP 120和MKD 110存儲。該密鑰由請求方MP 120和MKD 110 互相導出。僅單個的KDK 230在請求方MP和網狀網絡安全域之間導 出。密鑰分發分支245的第一層等級KDK 230將MA-ID (建立 KDK以變成MA的MP的MAC地址)、網狀網絡安全域標識符和網 狀網絡ID與從協商的AKM所得到的密鑰材料捆綁。該KDK用於導 出PTK-KD 。KDK的推導如下
KDK = KDF-256(XXKey, "Mesh Key Distribution Key", MeshIDLength || MeshID || MSD-ID || 0x00 || MA-ID)
其中， KDF-256是用於生成256位長度的密鑰的KDF。
XXKey是MSK或PSK的第二個256位。
" Mesh Key Distribution Key " (網格網絡分發密鑰)是 0x4D657368204B657920446973747269627574696F6E204B6579。
MeshIDLength (網格網絡ID長度)是單個八位字節，其值是在 網狀網絡ID中的八位字節的數目。
Mesh ID (網格網絡ID)是網狀網絡標識符，八位字節的可變 長度序列，如其出現在信標和探測響應中。
MSD-ID是來自在初始EMSA認證期間所使用的網狀網絡安全 域信息元素的48個八位字節網狀網絡安全域標識符欄位。
MA-ID是導出用於保障與MKD安全通信的KDK的MP的MAC地址。KDK被引用並且命名如下
KDKName = Truncate-128(SHA國256("KDK Name" || MeshIDLength II MeshID II MSD隱ID || 0x00 || MA-ID))
其中
"KDKName" (KDK名稱)是0x4B444B204E616D65。
Truncate (截取)-128(-)返回其自變量的第一個128位，並且將
其餘部分安全地銷毀掉。成對瞬時密鑰-密鑰分發(PTK-KD) 235是密鑰分發分支的 第二等級，其定義用於在MA 115-n和MKD 110之間的通信的保護密 鑰。PTK-KD 235由請求方MP (當其變成MA 115-n)和MKD 110相
互導出。密鑰分發分支245的第二等級密鑰，即PTK-KD 235是256 位密鑰，其由MA和MKD相互導出。PTK-KD的推導如下formula see original document page 21
其中
，KDK是此處先前所定義的密鑰。
" Mesh PTK-KD Key " (網格網絡PTK-KD密鑰)是 0x4D6573682050544B2D4B44204B6579。
MA-Nonce (MA-隨機數)是由MA貢獻的256位隨機字符串。
MKD-Nonce (MKD-隨機數)是由MKD貢獻的256位隨機字符串。
MA-ID是MA的MAC地址。
MKD-ID是MKD的MAC地址。PTK-KD具有兩個關聯密鑰，即密鑰確認密鑰-密鑰分發 (KCK-KD)和密鑰加密密鑰-密鑰分發(KEK-KD)，其推導如下將KCK-KD作為PTK-KD的第一個128位(0-127位)來
計算
KCK-KD = L(PTK-KD, 0, 128) 其中，L(-)在8.5.1中定義。KCK-KD用於在MA和MKD之間交換的消息中提供數據源 真實性。將KEK-KD作為PTK-KT的128-255位來計算 KEK-KD = L (PTK-KD， 128, 128)KEK-KD用於在MA和MKD之間交換的消息中提供數據機密性。
PTK-KD被引用並命名如下
PTK-KDName = Truncate-128(SHA-256(KDKName || "PTK-KD Name" || MA-Nonce || MKD-Nonce || MA-ID || MKD-ID))
其中， "PTK-KD Name " ( PTK-KD 名稱)是 0x50544B2D4B44204E616D65 。將從PSK或MSK導出的所有密鑰的有效期綁定至PSK或 MSK的有效期。例如，802.1XAS 105可以與MSK205傳遞MSK密鑰 有效期。如果提供了這種屬性，則PMK-MKD215和KDK230的有效 期將不會超過MSK205的有效期。PTK 225和PMK-MA 220-n的有效 期與PMK-MKD 215的有效期相同，並且PTK-KD 235的有效期與 KDK 230的有效期相同，如上面所計算的。當密鑰有效期終止時，每 個密鑰持有方刪除其各自導出的密鑰。密鑰層次的構造確保在鏈路安全分支中的密鑰資料的危害 被隔離在層級的僅那部份或子分支。例如，網狀網絡認證方僅具有解 密由從其PMK-MA所導出的PTK保護的那些會話的知識。在某些密鑰管理系統中，在PMK-MA密鑰被導出之後，可 以由MKD刪除PMK-MKD密鑰。這種操作在不再需要PMK-MKD的 情形下，有助於保護密鑰層次的良好安全性實踐。在這種情形下，密 鑰管理系統僅需要維護關於PMK-MA密鑰的信息。這種PMK-MKD密 鑰的消除不表示密鑰層次的無效。圖3總結了每個網狀網絡認證方115-n向每個請求方網格點 120提供的各種服務。如圖所示，網狀網絡認證方115-n向請求方網格 點120提供下列服務發現(300)、第一次聯繫(307)、快速安全關聯(310)以及密鑰持有方(315)。對於發現300， MA使用廣播信標幀和單播探測響應幀向其 同類通告其性能和構造。通過信標和探測響應的使用，MA允許請求方 MP發現MA支持EMSA服務。通過提供網狀網絡ID和網狀網絡安全 域ID，MA允許請求方確定其在第一聯繫期間生成的密鑰層次在該MA 是可用的。圖4示出了用於信標和探測響應幀的消息格式400。如圖所 示，支持網狀網絡快速鏈路建立的MP在其信標和探測響應400中包括 魯棒安全網絡信息元素(RSN IE)405，通告對於認證和密鑰管理(AKM) 套件類型5和/或6的支持，以及網狀網絡域信息元素(MSDIE) 410。 RSN IE 405在AKM套件列表中通告使用網狀網絡快速鏈路密鑰層次 的能力。MSDIE410和網狀網絡ID415—起向請求方提供信息，以確 保其密鑰層次在通告信標400的MA處可用。網狀網絡安全域信息元 素410包含網狀網絡安全域標識符。網狀網絡認證方使用網狀網絡安 全域信息元素410通告其作為MA的狀態，並且通告它被包含在構成 網狀網絡安全域的MA組中。圖4B是示出了網狀網絡安全域信息元素(MSDIE) 410的 示例性欄位結構的結構圖，網狀網絡認證方使用網狀網絡安全域信息 元素(MSDIE) 410通告其作為MA的狀態，並且通告其被包含在構成 網狀網絡安全域的MA組中。塊420是信息元素(IE)識別(ID)字 段，其識別特定有效網狀網絡安全關聯消息元素(EMSAIE)，如下文 將進一步詳細討論的。塊425是長度欄位，其定義EMSAIE的長度。 塊430包含網狀網絡安全域標識符值。圖5示出了在RSN IE 405中定義的認證和密鑰管理(AKM) 套件500。如此處先前所描述的，在信標和探測響應400中通告RSN IE 405，並且在消息交換中出現，以便利第一次聯繫和快速安全關聯。
圖6是示出根據本發明某些實施例的用於快速認證方服務 的第一次聯繫的消息圖600。在該網狀網絡的第一次認證中，MP能夠 使用網狀網絡密鑰層次以當確保未來鏈路安全時，支持簡短EMSA握 手。這被稱為初始EMSA認證機制，並且包含在MP和其正在關聯的 MA之間所交換的通信。在該序列中，MP發出關聯請求，該關聯請求包含其希望建 立網狀網絡密鑰層次的指示(MSDIE) 。 MP接收關聯響應消息，該關 聯響應消息包含MP執行密鑰導出和建立鏈路安全所需要的信息。如果 需要，接下來進行802.1X認證，隨後是EMSA四次握手(4-way handshake)。如圖所示根據802.11管理技術，例如，在請求方120和網 狀網絡認證方115之間出現關聯605，以響應網狀網絡認證方115通告 服務，使得請求方120能夠加入。接下來，網狀網絡認證方115使能 請求方120執行EAP認證。在請求方120和網狀網絡115之間執行EAP 認證610，例如，使用EAPOL。在網狀網絡認證方115和網狀網絡密 鑰分發方IIO之間也執行EAP認證515，例如，使用EA。在網狀網絡 分發方110和認證方伺服器105之間也執行EAP認證620，例如使用 經由RADIUS的EAP。接下來，發生密鑰遞送625，其中，網狀網絡 認證方115從網狀網絡密鑰分發方110獲取導出密鑰，以支持與請求 方120的握手，如此處先前所描述的。接下來，網狀網絡認證方115 使用諸如通過EAPOL的四次握手630，導出PTK，以保障與請求方120 的連結的安全。接下來，在請求方120和網狀網絡認證方115之間發 生路由建立635。最後，在請求方120和網狀網絡密鑰分發方110之間 執行密鑰持有方建立握手640。圖7A示出了如此處前面圖6所描述的在第一次聯繫時的請 求方120和網狀網絡認證方115之間的消息通信的進一步細節。如圖7A的消息信號705和710所示的，首先發生開放式認證。例如，開放 式認證可以根據802.11標準。開放式認證允許任何設備認證，然後， 試圖與網狀網絡認證方通信。使用開放式認證，任何無線設備可以與 網狀網絡認證方進行認證，但該設備只能使用諸如關聯請求的某些消 息類型與網狀網絡認證方通信。開放式認證不依賴於網絡100的認證 伺服器105。如圖所示，使用開放式認證，請求方120將認證請求705 發送至網狀網絡認證方115，反過來，網狀網絡認證方U5將認證響應 發送給請求方120。接下來，如在圖7A中所示，請求方120將關聯請求715 發送至網狀網絡認證方(MA) 115。關聯請求715包括完全如網狀網 絡認證方115所通告的MSDIE; RSNIE405，其包含請求方在PMKID 列表為空的情況下的安全能力。網狀網絡認證方115以關聯響應720 進行回復。關聯響應720包括完全如網狀網絡認證方115所通告的 MSDIE 410。關聯響應720進一步包括有效網狀網絡安全關聯信息元素
(EMSAIE)，該有效網狀網絡安全關聯信息元素(EMSAIE)包括 MKD-ID，其識別MKD 110， MA 115與MKD 110具有預先存在的安 全關聯；MA-ID識別發送消息的MA115;所有其他欄位被設置為零。 關聯響應720也包括RSN IE 405，其描述PMKID列表為空的情況下 MA 115的安全能力。圖7B是示出了根據本發明的某些實施例的有效網狀網絡安 全關聯信息元素(EMSAIE)的示例性欄位結構的結構圖，其用於在簡 短EMSA握手期間的認證序列。塊755是識別特定EMSAIE的信息元 素(IE)識別(ID)欄位。塊760是長度欄位，其定義EMSAIE的長 度。塊762是消息完整性代碼(MIC)控制欄位，該欄位包括保留欄位 776、 MIC算法欄位774以及信息元素計算欄位778，信息元素計數字 段778包括在MIC計算中所包含的信息元素的數目。塊764是MIC字 段，其包括使用通過MIC控制欄位的MIC算法欄位所選擇的算法所計 算的MIC值。塊766是ANonce欄位，其包括由網狀網絡認證方所選擇的當前值。塊768是SNonce欄位，其包括由請求方所選擇的當前值。 塊770是MA-ID欄位，其包括網狀網絡認證方的MAC地址。塊772是可選參數欄位，其可能包括一個或多個信息參數。 每個信息參數包括塊780，識別信息類型的子元素標識符；長度塊782， 識別信息長度；以及包含該信息的數據塊784。回過來再參考圖7A，在成功關聯之後，如果需要，請求方 MP和MA繼續進行IEEE 802. IX認證。使用在IEEE 802.11數據幀中 承載的EAPOL消息，在請求方MP和MA之間發送IEEE 802.IX交換。 MA發起與請求方MP的IEEE 802.1X交換，並且使用網狀網絡EAP 消息傳輸協議，將802.1X交換傳輸至MKD。除非預先共享密鑰處於使用中，否則在MA 115便於EAP 消息的傳輸的情況下，在請求方120和具有MA 115的在線AAA服務 器105之間發生EAP認證725。在EAP認證725之後，請求方120被 接受，那麼MA 115獲取請求方120的PMK-MA220。如果請求方120 被拒絕，則MA 115將遵循諸如解除請求方120的關聯的流程。在IEEE 802.1X認證成功完成之後，MKD接收MSK以及 與其和請求方MP相關的授權屬性。如果用於該請求方的網狀網絡密鑰 層次已經存在，則MKD將刪除舊的PMK-MKD和PMK-MA安全關聯。 然後，其計算PMK-MKD和PMK-MKDName。 PMK-MKD安全關聯包 括
MSD-ID
PMK-MKD
PMK-MKDName
SPA，以及
包括PMK-MKD有效期的授權信息。
然後，MKD生成用於MA的PMK-MA。 PMK-MA安全關 聯包括
PMK-MA
PMK-MA有效期
PMK國MAName
MA-ID
PMK-MKDName，以及
SPA該MKD然後將PMK-MA遞送至MA。 一旦該PMK-MA被 遞送，則MA和請求方MP隨後執行EMSA四次握手(730、 735、 740、 745)。該四次握手由MA115根據例如802.11標準發起並執行。使用 EAPOL-Key消息承載該握手。例如，根據802.11標準可以實現握手消 息傳送。四次握手#1消息730包括EAPOL-Key消息，EAPOL-Key 消息包含ANonce，其中，該ANonce是MA 115在PMK-MA220的遞 送期間從MKD IIO接收到的值(它是由MKD IIO為請求方120執行 密鑰導出的值)。在接收到四次握手#1消息730以後，請求方120生成隨機 數(SNonce)並計算PTK225。四次握手#2消息735包括EAPOL-Key消息，EAPOL-Key 消息包括SNonce、 MIC、 RSNIE、 MSDIE、 EMSAIE、和GTKKDE。 其中
SNonce是由請求方120所選擇的隨機數。
MIC是在EAPOL-Key消息體(MIC欄位=0)上所計算的消息 完整性代碼。
RSNIE: PMKID欄位包含PMK-MA名稱。在關聯請求消息中所有其他欄位匹配RSNIE。
MSDIE:完全如在關聯響應中。
EMSAIE:完全如在關聯響應中。
GTKKDE是組臨時密鑰數據封裝，其包含請求方120的GTK。如在本技術中所熟知的，MIC是能伴隨數據以確保其完整 性的計算值。MIC計算的輸入項包括要保護的數據以及密鑰。MIC向 接收方提供數據源真實性和消息完整性。數據源真實性向接收方確保 發送方是處理該私鑰的某一方。當僅兩方了解該私鑰時，它向接收方 提供該發送方身份的保證。消息完整性向發送方確保受保護的數據在 傳輸期間未被修改。如在本說明書中所使用的，MIC類似於在密碼術 領域中已知的"消息認證代碼"。本領域的技術人員應當理解，根據 本發明的某些實施例的MIC的操作，也可以使用能夠提供數據源真實 性和消息完整性的各種其他類型的數據源信息來執行。在接收到四次握手#2消息735以後，MA 115計算PTK225， 並且驗證該MIC。 MA 115計算PMK-MAName，並且驗證其與在四次 握手弁2消息735中所發送的值匹配。MA 115如所預期的驗證其他內容。 最後，MA 115安裝GTK，用於解密來自請求方120的多播流量。四次握手#3消息740包括EAPOL-Key消息，EAPOL-Key 消息包括ANonce、 MIC、 RSNIE、 MSDIE、 EMSAIE、 GTK KDE、 以及Lifetime KDE。
其中
ANonce與在握手消息W中的值相同。
MIC通過EAPOL-Key幀的主體(其中MIC欄位=0)計算。
RSNIE: PMKID欄位包含PMK-MAName。在關聯請求消息中
所有其他欄位匹配RSNIE。
MSDIE:完全如在關聯響應中。
EMSAIE:完全如在關聯響應中。
GTKKDE是組臨時密鑰數據封裝，其包含MA 115的GTK。
Lifetime KDE是4個八位字節欄位，其包含在PMK-MA的生 命周期中保持的秒數。在接收到四次握手#3消息740以後，請求方120驗證MIC 並且如所預期的驗證其他內容。請求方120安裝GTK，用於解密來自 MA的多播流量。該四次握手#4消息745包括EAPOL-Key消息，該 EAPOL-Key消息包括MIC，其中，MIC通過EAPOL-Key幀的主體(其 中MIC欄位,)計算。在接收到四次握手#4消息745之後，MA 115驗證MIC。如 果有效，MA115安裝PTK 225，用於與請求方120進行通信。在該流程成功完成以後，請求方120和網狀網絡認證方115 被關聯，並且將PTK 225用於保護在兩個網格點(即，請求方120和 網狀網絡認證方115)之間的數據流量。MA 115允許請求方120通過 802.1X控制埠發送流量，該埠要求使用PTK225保護流量。圖8是示出了根據本發明的某些實施例的在第一次聯繫期 間的網狀網絡認證方的示例性操作800的流程圖。如圖所示，操作在 步驟805中開始，其中，網狀網絡認證方從請求方接收包含了 MSDIE 的關聯請求。接下來，在步驟810，網狀網絡確認方驗證MSDIE通告 該認證方的安全域，並且也驗證所選擇的RSNIE策略匹配本地策略。 接下來，在步驟815，確定是否所有內容已經被可接收地驗證。如果內 容未被驗證，則該操作前進至步驟885，在該步驟中，請求方連結被斷 開，並且操作結束。當內容在步驟815中被驗證時，該操作繼續至步驟820，在該步驟，網狀網絡認證方構造MSDIE、 EMSAIE以及RSNIE，並且用 於發送關聯響應。換言之，網狀網絡認證方與請求方關聯，以允許認 證。網狀網絡認證方向請求方提供密鑰上下文，使得請求方能夠導出 密鑰(PMK-MA)。接下來，在步驟825，網狀網絡認證方使用EAP傳輸協議 發起與請求方的EAP認證，用於與MKD進行通信。換言之，MA將 從請求方收到的EAP消息傳送至AAA-客戶端，並且反之亦然，使能 請求方的認證。接下來，在步驟830，網狀網絡認證方利用MKD執行 密鑰傳輸協議，以獲取PMK-MA。 MA代表請求方獲取導出的密鑰。接下來，在步驟835中，網狀網絡認證方構造四次握手#1 消息，該消息包括從MKD接收的ANonce。接下來，在步驟840，網 狀網絡認證方等待並接收四次握手#2消息。接下來，網狀網絡認證方 使用四次握手#2消息中的SNonce計算PTK。在步驟850，網狀網絡認 證方確認MIC有效。當其無效時，操作返回至步驟845。當其有效時， 網狀網絡認證方確定在步驟855中的消息內容是否正確。當消息內容 不正確時，操作前進至步驟885，其中，請求方的連結被斷開，並且操 作結束。當消息內容正確時，該操作前進至步驟860，其中，網狀網 絡認證方解密並且安裝GTK，用於接收請求方的多播流量。接下來， 在步驟865，網狀網絡認證方構造MSDIE、 EMSAIE、 RSNIE以及包含 MA的GTK的密鑰數據封裝(KDE)。網狀網絡認證方使用PTK進一 步加密，並且將這些插入在四次握手#3消息中。該網狀網絡認證方進 一步計算MIC並且插入在消息中，然後，將該消息發送至請求方。接下來，在步驟870，網狀網絡認證方等待並接收四次握手 #4消息。然後，在步驟875中，網狀網絡認證方確定MIC是否有效。 當MIC無效時，操作返回至步驟870。當MIC有效時，操作繼續至步驟880，在該步驟，網狀網絡認證方打開802.1X控制埠，並且安裝 用於與請求方的PTK。然後，該操作結束。圖9示出了根據本發明的某些實施例的在快速安全關聯期 間的示例性網絡操作900的消息發送圖。在已經完成了初始EMSA認 證的請求方MP完成其發現和選擇流程之後，簡短EMSA握手機制開 始。該機制允許請求方MP與MA交換隨機數，並且在關聯之前建立 PTK。請求方MP不發起與MA的簡短EMSA握手，除非該MA 是網狀網絡安全域(如MSDIE所通告的)和其中請求方MP執行初始 EMSA認證的網狀網絡(如網狀網絡IDIE所通告的)的成員。為了執 行簡短EMSA握手機制，請求方MP發起四次消息交換。如在圖9中所示的，在網狀網絡認證方通告服務，使得請求 方能夠加入之後，該操作開始請求方120與網狀網絡認證方115的交 換認證信息905，例如，使用根據802.11標準的認證管理幀。接下來， 執行在網狀網絡認證方115和網狀網絡密鑰分發方110之間的密鑰遞 送910，其中，網狀網絡認證方115獲取導出的密鑰，以使能與請求方 120的握手。然後，網狀網絡認證方115導出PTK，以保障與請求方鏈 接的安全，然後，使用例如根據802.11標準的關聯幀，執行在請求方 120和網狀網絡認證方115之間的關聯。最後，完成在請求方120和網 狀網絡認證方115之間的路由建立920。圖10示出了進一步詳細描述根據本發明的某些實施例的 請求方120與網狀網絡認證方115之間的用於快速鏈路建立的通信的 消息發送圖1000。如在圖10中所示的，將認證消息#1 1005從請求方 120發送至網狀網絡認證方115。該認證消息#1 1005包括
MSDIE:完全如MA所通告的在信標和探測響應中配置。
EMSAIE包含 MA-ID被設置成網狀網絡認證方115的MAC地址
SNonce:被設置成由請求方120隨機選擇的值 ，所有其他欄位被設置為零。
RSN IE:
PMKID欄位包含在請求方初始EMSA認證期間所獲取的
PMK誦MKDName。 ，根據請求方120的結構，設置所有其他欄位。在接收到第一消息以後，MA計算PMK-MAName。如果不 包含在通過PMK-MAName所識別的密鑰，則它可以嘗試使用密鑰傳輸 協議，從MKD重新獲得它。然後，網狀網絡認證方115將認證消息#2 IOIO發送至請求 方120。認證方消息弁2 IOIO包括
MSDIE:完全如MA所通告的在信標和探測響應中配置。
EMSAIE包括
來自第一認證消息1005的SNonce。
MA-ID: MA的MAC地址。
ANonce:被設置成由MA隨機選擇的值。 ，所有其他欄位被設置為零。
RSN IE:
如在第一認證消息1005中設置的PMKID欄位 .如在MA在信標和探測響應中所通告的RSNIE中的所有其 他欄位。在發送認證消息#2 1010以後，請求方120可以計算 PMK-MA和PMK-MAName。而且，請求方和MA均計算PTK和 PTKName。接下來，請求方120將關聯請求1015發送至網狀網絡認證方115。該關聯請求IE包括
MSDIE:完全如在第一認證消息1005中的。
EMSAIE包含
.如在第二認證消息1010中的ANonce、 SNonce禾Q MA-ID。
請求方MP的GTK (使用PTK加密) ，MIC控制欄位的MIC算法子欄位，其被設置成指示用於計
算MIC的加密算法。
MIC控制欄位的信息元素計數欄位被設置成3，即在該幀
中的消息元素的數目。 M吏用PTK，通過由MIC算法子欄位所選擇的算法，以下列
順序的串接(concatenation)來計算MIC:
O SPA (請求方MAC地址)
O MA MAC地址
O交易序列號(1個八位字節)，設置為值3. O MSDIE的內容
O EMSAIE的內容，其中MIC欄位設置為0 O RSNIE的內容 ，所有其他欄位設置為零。
RSN IE: PMKID包含PMK-MAName，並且根據請求方120的
結構來設置所有其他欄位。MA驗證在EMSAIE中的MIC，如果它不正確，則丟棄該 消息。MA解開GTK並且安裝，用於解密從請求方接收的廣播消息。最後，網狀網絡認證方115將關聯響應1020發送至請求方 120。關聯響應IE包括
MSDIE:完全如在第二認證消息1010中的。
EMSAIE包含
如在第二認證消息1010中的MA-ID 、 ANonce和SNonce 。
MA的GTK (使用PTK加密) MIC控制欄位的MIC算法子欄位，其被設置成指示用於計
算MIC的加密算法。
MIC控制欄位的信息元素計數欄位被設置成3，即在該幀
中的消息元素的數目。 '使用PTK,通過MIC算法子欄位所選擇的算法，以下列順
序的串接來計算MIC:
O SPA (請求方MAC地址)
O MA MAC地址
O交易序列號(1個八字節)，設置為值4. O MSDIE的內容
O EMSAIE的內容，其中MIC欄位設置為0 O RSNIE的內容
，所有其他欄位設置為零。
RSN IE: PMKID欄位包含PMK-MAName，並且如在信標和探 測響應中由MA所通告的RSNIE中的來配置所有其他欄位。請求方120驗證EMSAIE中的MIC，如果其不正確，則丟 棄該消息。請求方120解開GTK並且將其安裝，用於解密從MA 115 所接收的廣播消息。在該流程成功完成以後，MP被關聯，並且PTK被用於保護 兩個MP之間的數據流量。MA允許請求方經由802.1X控制埠，使 用PTK發送受保護的流量。圖11是示出了根據本發明某些實施例的在快速鏈路建立期 間的網狀網絡認證方的示例性操作1100的流程圖。如在圖11中所示 的，當網狀網絡認證方接收到包含MSDIE的認證消息時，操作在步驟 1105中開始。接下來，在步驟1U0中，網狀網絡認證方驗證在接收到 的認證請求中的MSDIE通告MA的安全域，以及RSNIE策略匹配本 地策略。接下來，在步驟1115，確定這些內容是否被驗證。如果這些內容未被驗證，則該操作結束。如果這些內容已被驗證，則操作繼續 至步驟1120，在該步驟中，網狀網絡認證方確定其是否具有以
PMK-MAName命名的密鑰的本地副本。如果它沒有本地副本，則該操 作前進至步驟1125，在該步驟中，網狀網絡認證方對在第一認證消息 中所識別的MKD執行密鑰傳輸協議，以接收PMK-MA。接下來，當網狀網絡認證方具有密鑰的本地副本時，操作前 進至步驟1130，在該步驟中，網狀網絡認證方選擇隨機的ANonce，構 造MSDIE、 EMSAIE、以及RSNIE，並發送認證消息#2。接下來，在步驟1135中，網狀網絡認證方使用來自第一接 收到的認證消息的SNonce，計算PTK，並且在本地選擇ANonce。然 後，在步驟1140中，網狀網絡認證方等待並接收關聯請求IE。在接收 到時，操作繼續至步驟1145，在該步驟中，網狀網絡認證方確定MIC 是否有效。如果MIC無效，則操作返回步驟1140。如果MIC有效， 則操作繼續至步驟1150，在該步驟中，網狀網絡認證方解密並安裝 GTK，用於接收請求方的多播流量。接下來，在步驟1155中，網狀網絡認證方構造MSDIE、 EMSAIE和RSNIE，使用PTK加密其GTK並將其插入EMSAIE中， 計算MIC並將其插入EMSAIE中，並且構造和發送關聯響應。最後， 網狀網絡認證方安裝PTK，用於保護其自身與請求方之間的單播流量。本發明將認證分成兩個步驟初始第一聯繫步驟(基於AAA 的認證)以及重新使用在第一次聯繫期間生成的密鑰材料的"輕量型" 步驟。本發明也將認證方的角色分成兩部分。網狀網絡認證方的第 一角色是實現802.1X埠接入實體(PAE)，通過四次握手推導出用 於與請求方網格點的加密的瞬時密鑰，並管理與密鑰分發方的後端通信。網狀網絡認證方的第二個角色是作為密鑰分發方，實現AAA客戶
端並推導出用於在第一聯繫或快速安全關聯期間認證網格點的密鑰。 在不通過網狀網絡鏈路傳輸這些信息的情況下，密鑰分發方和在線
AAA伺服器可以使用Radius彼此通信。本發明進一步解決了使用層2協議的密鑰遞送挑戰。它將 EAP認證消息從請求方網格點隧道傳送至密鑰分發方。它還從網狀網 絡密鑰分發方取得密鑰材料的傳送。它以有效方式並且使用可以在層2 指定的協議和幀類型，執行這些任務。在前面的說明中，已經描述了本發明的特定實施例。然而， 本領域的技術人員應當理解，在不脫離如下面權利要求所定義的本發 明的範圍的條件下，可以做出各種修改和變更。因此，本說明書和附 圖應被視為說明性而非限制性，並且所有這種修改應包含在本發明的 範圍內。這些益處、優勢、問題解決方案以及可能導致任何益處、優 勢或解決方案出現或變得更明顯的任何元件，不應被視為任何或所有 權利要求的關鍵、必須或本質特徵或元件。本發明僅由隨附的權利要 求定義，包括如所發布的在本申請未決期間內的任何修改和那些權利 要求的所有等價內容。
權利要求
1.一種用於與ad hoc無線網絡的一個或多個節點建立安全關聯的方法包括執行節點的初始認證，所述初始認證包括將來自所述節點的關聯請求發送至認證方節點，將來自所述認證方節點的關聯響應發送至所述節點，其中，所述關聯響應包括安全關聯信息元素，其中，所述安全關聯信息元素包括識別密鑰分發方的密鑰分發方地址，所述認證方節點與所述密鑰分發方具有預先存在的安全關聯，在所述節點、所述認證節點、所述密鑰分發方和認證伺服器之間執行認證，通過在所述認證方節點和所述節點之間執行四次握手，將所述節點與所述認證方節點關聯；以及基於所述分發方地址，通過將密鑰持有方安全關聯消息從所述節點發送至所述密鑰分發方，來在所述節點和所述密鑰分發方之間建立密鑰持有方安全關聯；以及執行簡短的認證，所述簡短的認證包括利用所述認證方節點認證所述節點，在所述認證方節點和所述密鑰分發方之間交換密鑰遞送，以及通過在所述認證方節點和所述節點之間執行簡短握手，將所述節點與所述認證方節點關聯。
2. —種adhoc無線網絡，包括認證伺服器；密鑰分發方節點，通信地耦合到所述認證伺服器；認證方節點，通信地耦合到所述密鑰分發方節點，所述認證方節點被設計成通告一個或多個服務，所述一個或多個服務使得請求方節點能夠加入所述ad hoc無線網絡，提供認證消息轉發服務，用於在所述請求方和所述密鑰分發 方節點之間轉發認證消息，從所述密鑰分發方節點獲取一個或多個導出密鑰，其中，所 述一個或多個導出密鑰允許請求方建立至少一個新的安全關聯，以及導出成對瞬時密鑰，以保障與所述請求方節點的連結的安全；以及所述請求方節點。
3. —種用於建立adhoc無線網絡節點的安全關聯的認證方節點， 所述認證方節點被設計成通告一個或多個服務，所述一個或多個服務使得請求方節點能夠 加入所述ad hoc無線網絡；提供認證消息轉發服務，用於在所述請求方和耦合至認證方服務 器的密鑰分發方節點之間轉發認證消息；從所述密鑰分發方節點獲取一個或多個導出密鑰，其中，所述一 個或多個導出密鑰允許所述請求方建立至少一個新的安全關聯；以及導出成對瞬時密鑰，以保障與所述請求方節點的連結的安全。
4. 一種用於建立adhoc無線網絡節點的安全關聯的網狀網絡認證 方的操作方法，所述方法包括在初始認證期間與請求方節點進行通信，以接收由所述請求方節 點所生成的一個或多個密鑰材料；與密鑰分發方節點進行通信，以基於所述一個或多個密鑰材料， 獲取一個或多個導出密鑰；以及將與所述一個或多個導出密鑰相關的一個或多個信息提供給所述 請求方節點，以便所述請求方節點將所述一個或多個信息用於與至少 一個其他節點的至少一個安全關聯交換中。
5. 根據權利要求4所述的用於建立adhoc無線網絡節點的安全關 聯的網狀網絡認證方的操作方法，其中，所述提供步驟還包括將與所述一個或多個導出密鑰相關的一個或多個信息提供給所述 請求方節點，以便所述請求方節點使用所述一個或多個信息建立與所 述密鑰分發方的安全關聯，以便用於與至少一個其他節點的至少一個 安全關聯交換中。
6. 根據權利要求4所述的用於建立adhoc無線網絡節點的安全關 聯的網狀網絡認證方的操作方法，在所述初始認證步驟之前還包括利用認證伺服器進行認證，包括從所述認證伺服器接收主密鑰， 而且其中，所述方法包括遵循在所述第一聯繫步驟期間的所述通信導出第一組密鑰，用於與所述密鑰分發方的密鑰傳輸，以及 導出第二組密鑰，用於與包括所述請求方節點的所述節點的通信。
7. —種用於建立adhoc無線網絡節點的安全關聯的網狀網絡認證 方的操作方法，所述方法包括執行初始認證，包括從請求方接收關聯請求，所述關聯請求包括網狀網絡安全域 信息元素(MSDIE)和魯棒安全網絡信息元素(RSNIE)，將關聯響應發送至所述請求方以允許認證，其中，所述關聯 響應包括MSDIE、有效網狀網絡安全關聯信息元素(EMSAIE)以及 RS訓，使能所述請求方與網狀網絡密鑰分發方和認證伺服器的認證，執行與所述網狀網絡密鑰分發方的密鑰協議傳輸，以代表所述請求方獲取導出密鑰，執行與所述請求方的四次握手，以及打開802.1X控制埠，並且安裝成對瞬時密鑰，用於所述請求方；以及執行快速鏈路建立，包括接收包含MSDIE的認證消息，驗證在所接收到的認證請求中的MSDIE通告所述MA的安全域，驗證所述RSNIE策略匹配所述本地策略， 選擇隨機ANonce，構造並發送包含所述MSDIE、所述EMSAIE以及所述RSNIE 的認證響應，使用來自所接收到的認證消息和本地選擇的Anonce來計算PTK，接收關聯請求信息元素，解密並安裝GTK，用於接收所述請求方的多播流量， 構造並發送包括所述MSDIE、所述EMSAIE、以及所述RSNIE的關聯響應，以及安裝PTK，用於保護在所述網狀網絡認證方和所述請求方之間的單播流量。
8. 根據權利要求7所述的用於建立adhoc無線網絡節點安全關聯 的網狀網絡認證方的操作方法，在接收關聯請求之後所述方法還包括驗證所述MSDIE通告所述網狀網絡認證方的安全域，驗證所選擇的RSNIE策略匹配本地策略，以及當所述MSDIE或所述RSNIE驗證失敗時，斷開所述請求方的連結。
9. 根據權利要求7所述的用於建立adhoc無線網絡節點的安全關 聯的網狀網絡認證方的操作方法，其中，所述關聯響應還向所述請求 方提供密鑰上下文，使得所述請求方能夠推導出與所述網狀網絡認證 方的成對主密鑰。
10. —種在ad hoc無線網絡的一個或多個節點內的請求方節點的 操作方法，包括執行與認證方節點的第一聯繫，包括在關聯響應幀中接收來自所述認證方節點的安全關聯信息元 素，其中，所述安全關聯信息元素包括密鑰分發方節點的地址；處理所述密鑰分發方節點的地址，用於建立與所述密鑰分發方的安全關聯；以及使用所建立的安全關聯，執行與至少一個其他節點的至少一個安 全交換。
全文摘要
一種用於在ad hoc無線網絡節點的之間建立安全關聯的方法和裝置，包括兩個認證步驟初始第一聯繫步驟(基於認證、授權和計費(AAA)的認證)，以及重新使用在第一次聯繫期間生成密鑰材料的「輕量」步驟。在網絡內的網狀網絡認證方提供兩種角色。第一種角色是實現802.1X埠接入實體(PAE)，導出用於通過四次握手與請求方網格點加密的瞬時密鑰，並且獲得與密鑰分發方的後端通信。第二種角色是作為密鑰分發方，實現AAA客戶端，並且導出用於在第一次聯繫或快速安全關聯期間認證網格點的密鑰。在沒有通過網狀網絡鏈路傳輸的這些消息的情況下，密鑰分發方和在線認證伺服器可以彼此通信。
文檔編號H04L9/00GK101529794SQ200780039577
公開日2009年9月9日 申請日期2007年8月23日 優先權日2006年9月7日
發明者史蒂芬·P·埃梅奧特, 安東尼·J·布拉斯基奇 申請人:摩託羅拉公司