BRPI0716507A2 - Autentificação de segurança e gerenciamento de chave dentro de uma rede de salto múltiplo sem fio baseada em infraestrutura - Google Patents

Autentificação de segurança e gerenciamento de chave dentro de uma rede de salto múltiplo sem fio baseada em infraestrutura Download PDF

Info

Publication number
BRPI0716507A2
BRPI0716507A2 BRPI0716507-2A2A BRPI0716507A BRPI0716507A2 BR PI0716507 A2 BRPI0716507 A2 BR PI0716507A2 BR PI0716507 A BRPI0716507 A BR PI0716507A BR PI0716507 A2 BRPI0716507 A2 BR PI0716507A2
Authority
BR
Brazil
Prior art keywords
key
level
maintainer
applicant
pmk
Prior art date
Application number
BRPI0716507-2A2A
Other languages
English (en)
Inventor
Heyun Zheng
Charles R Barker
Amit Gandhi
Keith J Goldberg
Samer S Hanna
Surong Zeng
Original Assignee
Motorola Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Motorola Inc filed Critical Motorola Inc
Publication of BRPI0716507A2 publication Critical patent/BRPI0716507A2/pt
Publication of BRPI0716507B1 publication Critical patent/BRPI0716507B1/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • H04L63/064Hierarchical key distribution, e.g. by multi-tier trusted parties
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks
    • H04W84/22Self-organising networks, e.g. ad-hoc networks or sensor networks with access to wired networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Description

AUTENTICAÇÃO DE SEGURANÇA E GERENCIAMENTO DE CHAVE EM UMA REDE DE SALTO MÚLTIPLO SEM FIO BASEADA EM INFRAESTRUTURA
Campo da Invenção
A presente invenção se refere geralmente a comunicações sem fio e, mais particularmente, a uma autenticação de segurança e a um gerenciamento de chave em uma rede de salto múltiplo sem fio baseada em infraestrutura. Antecedentes
Uma rede sem fio baseada em infraestrutura tipicamente
inclui uma rede de comunicação com gateways fixos e com fio. Muitas redes sem fio baseadas em infraestrutura empregam uma unidade móvel ou host, a qual se comunica com uma estação base fixa que é acoplada a uma rede com fio. A
unidade móvel pode se mover geograficamente enquanto está se comunicando por um enlace sem fio com a estação base. Quando a unidade móvel se move para fora de alcance de uma estação base, ela pode se conectar ou "transferir de ponto a ponto" para uma nova estação base e começar uma
2 0 comunicação com a rede com fio através da nova estação
base.
Em comparação com redes sem fio baseadas em infraestrutura, tais como redes celulares ou redes por satélite, as redes ad hoc são redes de autoformação as
quais podem operar na ausência de qualquer infraestrutura fixa e, em alguns casos, a rede ad hoc é formada inteiramente por nós móveis. Uma rede ad hoc tipicamente inclui várias unidades móveis potencialmente distribuídas geograficamente, às vezes referidas como "nós", os quais
3 0 são conectados de forma sem fio a cada outro por um ou mais enlaces (por exemplo, canais de comunicação de freqüência de rádio). Os nós podem se comunicar uns com os outros por uma mídia sem fio sem o suporte de uma rede baseada em infraestrutura ou com fio.
Conforme as redes de comunicações se tornam mais
prevalentes, a segurança continua a ser uma preocupação principal de provedores de rede de comunicação e usuários finais. Isto é mais evidente quando se usa uma rede sem fio móvel em que o ambiente de segurança pode oferecer os maiores desafios, uma vez que os dados podem ser prontamente recebidos e manipulados por muitos nós. Os enlaces de rádio usados em uma rede sem fio expõem a sinalização e os dados atravessando a rede a bisbilhoteiros e/ou a supostos hackers. Em uma rede sem fio de salto múltiplo, isto requer que cada enlace nos dispositivos em malha (mesh) tenha uma associação de segurança única estabelecida através do processo de autenticação de salto múltiplo e de gerenciamento de recurso. Então, os quadros de ar no enlace podem ser protegidos com as associações de
2 0 segurança estabelecidas.
Breve Descrição dos Desenhos
As figuras associadas, onde números de referência iguais se referem a elementos idênticos ou funcionalmente similares por todas as vistas separadas e os quais em conjunto com a descrição detalhada abaixo são incorporados em e fazem parte do relatório descritivo, servem para ilustração adicional de várias modalidades e para explicação dos vários princípios e vantagens, tudo de acordo com a presente invenção.
3 0 A FIG. 1 ilustra uma rede sem fio de salto múltiplo baseada em infraestrutura de exemplo de acordo com algumas modalidades da presente invenção.
A FIG. 2 ilustra um formato de mensagem de exemplo de algumas modalidades da presente invenção.
A FIG. 3 é um fluxograma que ilustra um processo de
distribuição de chave e de autorização de papel de acordo com algumas modalidades da presente invenção.
A FIG. 4 ilustra um procedimento de autenticação de acordo com algumas modalidades da presente invenção.
A FIG. 5 é um fluxograma de mensagem que ilustra
mensagens de autenticação trocadas entre os vários elementos da rede da FIG. 1, de acordo com algumas modalidades da presente invenção.
A FIG. 6 ilustra maiores detalhes da troca de mensagem
da FIG. 5 de acordo com algumas modalidades da presente invenção.
Os técnicos versados apreciarão que elementos nas figuras são ilustrados por simplicidade e clareza e não foram desenhados necessariamente em escala. Por exemplo, as
2 0 dimensões de alguns dos elementos nas figuras podem ser
exageradas em relação a outros elementos, para se ajudar a melhorar o entendimento das modalidades da presente invenção.
Descrição Detalhada
Antes de se descreverem em detalhes as modalidades que
estão de acordo com a presente invenção, deve ser observado que as modalidades residem primariamente em combinações de etapas de método e componentes de aparelho relacionados à autenticação de segurança e ao gerenciamento de chave.
3 0 Assim sendo, os componentes de aparelho e as etapas de método foram representados, onde apropriado, por símbolos convencionais nos desenhos, mostrando apenas aqueles detalhes específicos que são pertinentes para o entendimento das modalidades da presente invenção, de modo a não se obscurecer a exposição com detalhes que serão prontamente evidentes para aqueles de conhecimento comum na técnica, tendo o benefício da descrição aqui.
Neste documento, termos relacionais tais como primeiro e segundo, topo e fundo e similares podem ser usados unicamente para se distinguir uma entidade ou ação de uma outra entidade ou ação, sem necessariamente requerer ou implicar qualquer relação ou ordem real como essa entre tais entidades ou ações. Os termos "compreende", "compreendendo" ou qualquer outra variação dos mesmos são pretendidos para cobrirem uma inclusão não exclusiva, de modo que um processo, método, artigo ou aparelho que compreende uma lista de elementos não inclua apenas aqueles elementos, mas também inclua outros elementos não expressamente listados ou inerentes nesse processo, método, artigo ou aparelho. Um elemento seguido por "compreende... um" não impede, sem maiores restrições, a existência de elementos idênticos adicionais no processo, método, artigo ou aparelho que compreende o elemento.
Será apreciado que modalidades da invenção descritas aqui podem ser compreendidas por um ou mais processadores convencionais e instruções de programa armazenadas únicas que controlam um ou mais processadores para a implementação, em conjunto com certos circuitos não de processador, de algumas, da maioria ou de todas as funções 3 0 de autenticação de segurança e de gerenciamento de chave descritas aqui. Os circuitos não de processador podem incluir, mas não estão limitados a um receptor de rádio, um transmissor de rádio, controladores de sinal, circuitos de relógio, circuitos de fonte de potência e dispositivos de entrada de usuário. Como tal, estas funções podem ser interpretadas como etapas de um método para a realização de autenticação de segurança e de gerenciamento de chave. Alternativamente, algumas ou todas as funções poderiam ser implementadas por uma máquina de estado que não tenha instruções de programa armazenadas, ou em um ou mais circuitos integrados específicos de aplicação (ASICs) , nos quais cada função ou algumas combinações de certas funções são implementadas como uma lógica personalizada. Obviamente, uma combinação das duas abordagens poderia ser usada. Assim, métodos e meios para estas funções foram descritos aqui. Ainda, é esperado que alguém de conhecimento comum, não obstante possivelmente motivados por esforço significativo e muitas escolhas de projeto, por exemplo, tempo disponível, tecnologia atual e considerações econômicas, quando guiado pelos conceitos e princípios mostrados aqui serão prontamente capazes pela geração de instruções de software e programas e ICs com experimentação mínima.
A presente invenção provê um esquema de autenticação de segurança e de gerenciamento de chave para uma rede sem fio de salto múltiplo baseada em infraestrutura com um modelo de segurança de salto por salto. Os blocos de construção básicos da presente invenção são IEEE 802.Ili e IEEE 802.lx. Para a transferência rápida, os recursos em 802.Ilr são incluídos. O IEEE 8 02. Ix é uma nova tecnologia que provê uma capacidade de escalonamento quase ilimitada com uma supervisão de administração mínima. Ele também permite que métodos de autenticação diferentes sejam selecionados pelos usuários ou pelas operadoras. Na presente invenção, uma Segurança de Camada de Transporte Tunelada (TTLS) é usada para o usuário e a autenticação de dispositivo, devido a sua segurança forte relativa e ao custo de emprego mais baixo. Para os dispositivos, uma autenticação de Segurança de Camada de Transporte (TLS) é um recurso opcional.
Para uma autenticação centralizada e um suporte a 802. llr, o mantenedor de chave de nível de topo (ROKH) para a hierarquia de chave de 802.Ilr é projetado para estar localizado na rede com fio. 0 transporte de mensagem entre o mantenedor de chave de nível de topo (nível zero) e os mantenedores de chave de nível 2 (RlKH) pode ser na camada 2 ou na camada de Protocolo de Internet (IP) .
Na presente invenção, uma hierarquia de chave baseada em 802.Ilr é adaptada dentre os pontos de acesso em malha,
2 0 os quais assumem o papel dos mantenedores de chave de nível
um. 0 fluxo de mensagem de gerenciamento de segurança dentre mantenedores de chave é provido. 0 gerenciamento de chave pode suportar estações sem fio em conformidade com 802.Ili e 802.llr. Ele também pode suportar pontos de acesso virtuais com possíveis identificadores de conjunto de serviço múltiplos (SSID) empregados. 0 fluxo de mensagem de segurança dentre mantenedores de chave de nível zero e de nível um pode ser transportado pela camada 2 ou pela camada 3, dependendo da localização de mantenedor de chave
3 0 de nível zero. Quando todos os mantenedores de chave de nível zero são empregados no mesmo segmento de camada 2 com os mantenedores de chave de nível 1, o transporte de comunicação de camada 2 pode ser usado e, caso contrário, o transporte de comunicação de camada 3 deve ser usado. Uma Chave de Distribuição de Chave (KDK) é derivada durante o processo de autenticação inicial e usada para assegurar o material de chave transportado a partir do mantenedor de chave de nível de topo para os mantenedores de chave de próximo nível. O papel do mantenedor de chave de chave de nível um RlKH é autorizado pelo mantenedor de chave de nível de topo com base na informação de autorização a partir do Servidor de Autenticação.
Um sistema e um método de esquema de autenticação de segurança e de gerenciamento de chave em uma rede sem fio de salto múltiplo são providos aqui, com um modelo de segurança de salto por salto. 0 esquema adapta a hierarquia de chave de 802. Ilr na rede de ponto de acesso (AP) em malha. Nesta abordagem, um mantenedor de chave de nível de topo (ROKH) deriva e mantém a Chave Mestra Formada em Pares de topo (PMK_0) para cada dispositivo sem fio requerente após o processo de autenticação. Todos os pontos de acesso de autenticador (AP) assumem o papel de mantenedor de chave de nível um (RlKH) e recebem a Chave Mestra Formada em Pares de próximo nível (PMK_1) a partir do mantenedor de chave de nível de topo ROKH. A chave de proteção de dados de nível de enlace é derivada a partir de PMK_1 através de um aperto de mão de 4 vias, tal como um aperto de mão de 4 vias de 802.Ili.
A FIG. 1 ilustra uma rede sem fio de salto múltiplo baseada em inf raestrutura de exemplo 100 de acordo com algumas modalidades da presente invenção. Na rede de exemplo 10 0 da FIG. 1, os canais de comunicação de nível 2 dentre os mantenedores de chave são usados e um mantenedor de chave de nível de topo ROKH é anexado a um comutador de Ethernet central. Assim, o mantenedor de chave de nível de topo ROKH está no mesmo segmento de L2 com todos os dispositivos de ponto de acesso inteligente controlado (IAP) e ponto de acesso de malha (MAP) . Um cliente de serviço de usuário de discagem de autenticações remotas (RADIUS) e um autenticador de 802. IX também são implementados na rede 100, de acordo com algumas modalidades da presente invenção.
Será apreciado por aqueles de conhecimento comum na técnica que quando os canais de comunicação de camada de IP são usados para o mantenedor de chave de nível de topo ROKH e o mantenedor de chave de nível um RlKH, o ROKH pode estar localizado em qualquer localização. De acordo com uma implementação de exemplo, ROKH está localizado no mesmo host que o sistema de gerenciamento de rede. Todos os dispositivos de RlKH conectados ao mesmo ROKH são identificados através de um Identificador de Domínio de Mobilidade (MDI), o qual é anunciado em todos os quadros de sinal de orientação.
Conforme ilustrado, a rede 100 inclui um ou mais pontos de acesso de malha 135-n (MAP), os quais são usados para roteamento de pacotes de dados de um ou mais pontos de acesso inteligentes 130-n (IAP) para um ou mais dispositivos de assinante sem fio 140-n (SD) (também referidos como estações (STA)). Um ou mais IAPs 130-n então 3 0 roteiam os pacotes para um comutador de Ethernet central 125 acoplado de forma comunicativa a um roteador central 115, e um mantenedor de chave de nível de topo (ROKH) 12 0. O roteador central 115 é acoplado através de uma espinha dorsal (backbone) com fio 110 para um servidor de autenticação 105. Embora apenas os percursos dos dispositivos de assinante (SD) para a rede com fio 125 sejam mostrados, será apreciado por aqueles de conhecimento comum na técnica que conexões em malha podem ser estabelecidas, desde que dois dispositivos vizinhos, tais como o dispositivo de assinante 140-1 e o dispositivo de assinante 14 0-2 possam se comunicar um com o outro.
O servidor de autenticação 105 funciona para prover serviços de autenticação para o ROKH 120 e será descrito a partir deste ponto. Em geral, o servidor de autenticação 105 realiza uma função de autenticação necessária para se checarem as credenciais de um requerente em nome do autenticador e indica se o requerente está autorizado a acessar serviços de autenticador. Em uma modalidade da presente invenção, o servidor de autenticação 105 está localizado na seção de rede com fio em que a segurança física do host pode ser provida. Por exemplo, o servidor de autenticação 105 pode ser um servidor de serviço de usuário de discagem de autenticações remotas (RADIUS) habilitado para protocolo de autenticação extensível - Segurança de Camada de Transporte tunelada / protocolo de autenticação extensível - protocolo de camada de transporte (ΕΑΡ-TTLS / EAP-TLS) para uma autenticação centralizada.
Conforme será apreciado por aqueles de conhecimento comum na técnica, os dispositivos de assinante 140-n na rede 100 podem ser requeridos para o envio e a recepção de dados encriptados. Qualquer dispositivo na rede 100 requerendo / desejando acesso aos serviços oferecidos pelo sistema de autenticador é referido como um requerente. Um dispositivo que autentica um outro dispositivo (requerente) o qual requer / deseja usar os serviços protegidos pelo autenticador é referido como um autenticador. 0 autenticador faz cumprir um controle de acesso com base no resultado do autenticador.
Conforme será apreciado por aqueles de conhecimento comum na técnica, cada nó na rede 100 (isto é, os IAPs 130- n, os MAPs 135-n e os SDs 140-n) é autenticado para a rede 100, antes de se unir à rede em malha. As credenciais para a autenticação podem ser com base, por exemplo, em uma senha, uma identificação (I.D.) de cartão de módulo de identidade de assinante (SIM) ou outra I.D. que seja única para o nó em particular e seja armazenada no servidor de autenticação 105. Cada nó usa esta relação com o servidor de autenticação 105 para autenticação para um MAP ou IAP em malha seguro de um salto, o qual estabeleceu uma conexão segura com o ROKH 120. 0 R0KH 120 usará os serviços de autenticação providos pelo servidor de autenticação 105. O servidor de autenticação 105 também ajuda ao nó em particular que esteja se autenticando para o estabelecimento de uma relação confiável com seus nós vizinhos pela distribuição de um material de chave mestra de sessão que é encriptado para o ROKH 12 0. O ROKH 12 0 deriva as Chaves Mestras Formadas em Pares de nível zero e de nível um (PMK_0, PMK_1) . O ROKH 120 também mantém PMK_0 e envia PMK_1 para o MAP ou IAP de autenticador, o qual 3 0 está assumindo o papel de um mantenedor de chave de nível um.
Em uma modalidade da presente invenção, a rede 100 incorpora uma operabilidade de IEEE 802.Ilr. O 8 02.Ilr provê transições de BSS ("Conjunto de Serviço Básico") rápidas. O 802.Ilr assim facilita a conectividade a bordo de veículos em movimento, com transferências rápidas de uma estação base para uma outra gerenciadas de uma maneira sem emendas. A aplicação primária atualmente divisada para o padrão 802.Ilr é em VoIP ("voz por IP" ou telefonia baseada em Internet) através de telefones móveis projetados para funcionarem com redes de Internet sem fio, ao invés de (ou além de) redes celulares padronizadas.
O 802.Ilr refina o processo de transição de um cliente móvel, conforme ele se move entre os pontos de acesso. 0 protocolo permite que um cliente sem fio estabeleça um estado de segurança e de qualidade de serviço (QoS) em um novo ponto de acesso, antes de fazer uma transição, o que leva a uma perda de conectividade e uma perturbação de aplicação mínimas. As mudanças gerais no protocolo não introduzem quaisquer novas vulnerabilidades de segurança. Isto preserva o comportamento de estações e pontos de acesso atuais. 0 802.Ilr provê mecanismos para roaming de clientes móveis para comunicação com pontos de acesso candidatos, estabelecimento de associações de segurança e reserva de recursos de QoS.
De acordo com a presente invenção, na rede 10 0 da FIG. 1, uma hierarquia de chave baseada em 802.Ilr é aplicada a um AP em malha, desse modo tornando uma transferência rápida possível para um ou mais APs móveis. Nesta 3 0 hierarquia de chave, uma chave de nível de topo PMK_0 é gerada no ROKH 120 a partir do material de chave mestra recebido a partir do servidor de autenticação 105. No próximo nível, uma PMK_1 é derivada no ROKH 12 0 a partir da PMK_0. A PMK_1 é entregue para o RlKH. A chave transiente formada em pares (PTK) é derivada a partir de PMK_1 entre o requerente e o autenticador através de um aperto de mão de 4 vias de 802.Ili. De acordo com algumas modalidades da presente invenção, o mantenedor de chave de nivel de topo ROKH 120 está localizado na seção de rede com fio e afixado ao comutador de Ethernet central 125 e todos os outros pontos de acesso em malha (MAP) 135-n e os IAPs 130-n assumirão o papel de mantenedor de chave de nível um.
Em alguns empregos da presente invenção, o ROKH 12 0 pode estar contido em cada IAP 130-n, desse modo todo o MAP 135-n associado àquele IAP 130-n será RlKH sob aquele ROKH 120. (não mostrado) Quando os canais de comunicação de camada de IP são usados para ROKH e RlKH, os ROKH e RlKH podem estar localizados em um segmento de camada 2 diferente.
Proxy de EAPOL dentre Mantenedores de Chave
Um protocolo de exemplo usado para comunicações entre os nós e o servidor 105 é um EAP (Protocolo de Autenticação Extensível). 0 protocolo de EAP define um formato de mensagem e um aperto de mão de troca para suporte de múltiplos métodos de autenticação. 0 EAP tipicamente roda diretamente por camadas de enlace de dados, tal como um Protocolo de Ponto a Ponto (PPP) ou IEEE 802, sem requerer um IP. 0 EAP provê seu próprio suporte para duplicação de eliminação e retransmissão, mas confia em garantias de 3 0 ordenação de camada mais baixa. Uma fragmentação não é suportada no EAP em si. Contudo, métodos de EAP individuais podem suportar uma fragmentação, tal como EAP-TLS, onde dados de certificado longos precisam ser transmitidos em vários pacotes. Para 802.IX, por exemplo, as mensagens de EAP entre o requerente de autenticação e o ROKH 12 0 são encapsuladas em formatos de mensagem de EAPOL (ΕΑΡ por rede de área local (LAN) ) . 0 EAP é flexível e extensível no suporte de múltiplos mecanismos de autenticação, tais como senha de usuário, autenticação baseada em certificado, senha de uso único, ficha de autenticação ou cartão inteligente, e similares. Ele prove um veículo para negociação e uso de mecanismos de autenticação apropriados incluindo aqueles os quais derivam um material de chaveamento no nó e o servidor de autenticação 105. Um procedimento de autenticação começa quando um nó
transmite uma requisição de autenticação usando, por exemplo, um Protocolo de Autenticação Extensível (EAP) compreendendo pacotes de EAP Por Rede de Área Local (EAPOL). 0 processo de autenticação envolve vários pacotes 2 0 de EAPOL serem transmitidos e recebidos, começando com um pacote de começo de EAP e terminando com um pacote de mensagem de sucesso de EAP ou um pacote de mensagem de falha de ΕΑΡ. 0 servidor de autenticação armazena as credenciais de autenticação de um dispositivo móvel (tipicamente denominado um Requerente) que está sendo autenticado. Os servidores de autenticação também podem ser conectados a outros servidores de autenticação para a obtenção de credenciais de autenticação de Requerente que não estejam armazenadas localmente. Quando a hierarquia de chave de 802.Ilr é usada para o gerenciamento de chave, as mensagens de EAPOL para a autenticação e o gerenciamento de chave têm que ser transportadas entre o mantenedor de chave de nível de topo ROKH e o mantenedor de chave de próximo nível RlKH.
A FIG. 2 ilustra um formato de mensagem 200 para uso
na operação de algumas modalidades da presente invenção. Especificamente, a FIG. 2 ilustra uma encapsulação de mensagem de EAP para um quadro de com de mantenedor de chave de L2 de acordo com algumas modalidades da presente invenção. 0 cabeçalho de Controle de Acesso a Mídia (MAC) 2 05 contém os endereços de MAC de origem e de destino de cada salto. 0 cabeçalho de Roteamento Ad hoc (AHR) 210 contém os endereços de MAC de origem e de destino do autenticador e o dispositivo final de rota em malha (isto é, RlKH e ROKH). Um id de protocolo especial é colocado no campo de id de protocolo de cabeçalho de AHR 210 para representação do pacote de proxy de EAPOL. Um endereço de MAC de requerente 22 0 também é incluído entre o cabeçalho de AHR 210 e o pacote de EAPOL 23 0 no formato de mensagem 200. 0 formato de mensagem 200 inclui um indicador (flag) de i/r 215 no primeiro byte do corpo de carga útil de malha para suporte de requerentes de 802.Ili e 802.Ilr. 0 formato de mensagem ainda inclui um item de informação de SSID 225 para suporte de APs virtuais. O endereço de MAC de requerente 220 é necessário para o ROKH 120 conhecer qual dispositivo requerente de modo a ser capaz de ligar a PMK_0 e a PMK_1 àquele requerente em particular. Quando o indicador (flag) de i/r 215 indica um requerente de 802.Ili, o ROKH 120 deriva a PMK com base no padrão 802.Ili e entrega a PMK para o RlKH. Quando o indicador (flag) de i/r 215 indica um requerente de 802.Ilr, o ROKH 120 deriva a PMK_0 e a PMK_1 com base na hierarquia de chave de 802.Ilr e entrega a PMK_1 para o autenticador (RlKH). O SSID 225 é necessário para a derivação de PMK_0 e de PMK_1.
Para APs virtuais, o requerente pode selecionar um SSID a partir de um número de SSIDs disponíveis.
De acordo com a presente invenção, quando as mensagens dentre mantenedores de chave são transportadas na camada de rede, o quadro de EAPOL 23 0 juntamente com os campos de i/r 215, de SPA 220 e SSID 225 são colocados na carga útil de pacote de IP (protocolo de internet). Adicionalmente, o envio do endereço de MAC de mantenedor de chave também é incluído na carga útil de IP, o que é necessário para a derivação de PMK_1. Conforme é bem conhecido na técnica, conforme
ilustrado na FIG. 2, o quadro de EAPOL 23 0 inclui uma versão de protocolo 235, a qual é um número binário não sinalizado, cujo valor é a versão do protocolo de EAPOL. 0 quadro de EAPOL 23 0 ainda inclui um tipo de pacote 24 0, o qual é um número binário não sinalizado, cujo valor determina o tipo de pacote conforme se segue: a) EAP- packet; b) EAPOL-Start; c) EAPOL- Logoff; d) EAPOL-Key; e) EAPOL-Encapsulated-ASF-Alert. 0 quadro de EAPOL 23 0 ainda inclui um comprimento de corpo de pacote 245, o qual é um binário não sinalizado, cujo valor define o comprimento em octetos do campo de corpo de pacote. O quadro de EAPOL 23 0 também inclui um corpo de pacote 250, o qual é apresentado, se o tipo de pacote contiver o valor EAP-Packet, EAPOL-Key; caso contrário, ele não é apresentado. 3 0 Conforme é bem conhecido na técnica, conforme ilustrado na FIG. 2, o corpo de pacote de EAP 25 0 inclui ura campo de código 255, o qual identifica o tipo de pacote de ΕΑΡ. Os códigos de EAP são atribuídos conforme se segue: 1 = Requisição; 2 = Resposta; 3 = Sucesso; 4 = Falha. 0 corpo de pacote de EAP 250 ainda inclui um campo de identificador 260, o qual ajuda na combinação de respostas com requisições. 0 corpo de pacote de EAP 250 ainda inclui um campo de comprimento 265, o qual indica o comprimento do pacote de EAP incluindo os campos de Código 255, Identificador 260, Comprimento 265 e de Dados 275. O corpo de pacote de EAP 250 ainda inclui um campo de tipo 270. O campo de tipo indica o tipo da requisição ou da resposta. Isto pode ser um tipo de identidade ou um método de autenticação em particular. 0 corpo de pacote de EAP 250 também inclui um campo de dados de tipo 275. 0 formato do campo de dados 275 é determinado pelo campo de dados de tipo 275. 0 formato do campo de dados 275 é determinado pelo campo de Código 255 e pelo campo de tipo 270. Chave de Distribuição de Chave e Autorização de Papel 2 0 Conforme será apreciado por aqueles de conhecimento
comum na técnica, há dois tipos de dispositivos requerentes na rede 100. Os dois tipos de dispositivos requerentes na rede 100 são os dispositivos de MAP 135-n e os dispositivos de STA 14 0-n. De acordo com algumas modalidades da presente invenção, os dispositivos de MAP 135-n funcionam como RlKH para a hierarquia de chave de 802.Ilr. Para proteção da distribuição de PMK_1 a partir do mantenedor de chave de topo ROKH 120 para RlKH, uma Chave de Distribuição de Chave formada em pares (KDK) é derivada para cada par de ROKH e MAP/IAP, conforme ilustrado na FIG. 3. A FIG. 3 é um fluxograma que ilustra um processo de distribuição de chave e de autorização de papel 3 00 de acordo com algumas modalidades da presente invenção. Conforme ilustrado na FIG. 3, a operação começa com uma etapa de autenticação inicial 3 05. A autenticação inicial, por exemplo, pode ser uma autenticação de TTLS ou TLS inicial. Em seguida, na Etapa 310, o ROKH 120 obtém os atributos de autorização a partir do servidor de autenticação 105 na mensagem de "sucesso de autenticação" final para o requerente autenticado. Em seguida, na Etapa 315, é determinado se o atributo de papel de requerente autenticado é um mantenedor de chave de nível um, quando o atributo de papel de requerente autenticado é um mantenedor de chave de nível um, o processo continua para a Etapa 320, na qual o ROKH e o RlKH requerente iniciam um aperto de mão de 4 vias no estilo de 8902.Ili com PMK_0 para a derivação da KDK.
Em seguida, na Etapa 320, a KDK é derivada como:
KDK = KDF-KDKLen(PMK_0, "KDK Key derivation", SNonce ||
ANonce || AA || SPA).
onde :
• KDF-256 é definida na Seção 8.5.A.3 de 802.Ilr.
• SNonce é um número randômico gerado pode RlKH, e
• ANonce é um número randômico gerado por ROKH.
• Os dois números randômicos são trocados durante duas primeiras mensagens do aperto de mão de 4 vias.
• AA é o endereço de MAC de ROKH
• SPA é o endereçamento e MAC de RlKH.
Será apreciado por aqueles de conhecimento comum na técnica que, quando RlKH se move, a KDK fica a mesma, a menos que ROKH inicie um novo aperto de mão de quatro vias de KDK.
Autenticação e Iniciação de Reautenticação
A FIG. 4 ilustra um procedimento de autenticação 4 00 de acordo com algumas modalidades da presente invenção. Conforme ilustrado na FIG. 4, a operação começa com um nó 135-n se ativando na Etapa 405. Em seguida, na Etapa 415, o nó ouve / varre os quadros de sinal de orientação a partir de seus dispositivos vizinhos, os quais podem ser um MAP 135-n ou um IAP 130-n. Em seguida, na Etapa 415, o nó seleciona um IAP ou um MAP para começar o processo de autenticação pela escolha de um dispositivo que tenha indicado que ele tem uma conexão com um servidor de autenticação 105. Em seguida, na Etapa 420, uma primeira autenticação é completada para o nó com o dispositivo de MAP vizinho selecionado. Na Etapa 524, após a primeira autenticação, o nó pode iniciar uma reautenticação com outros dispositivos de MAP vizinhos os quais foram autenticados e conectados a um IAP no mesmo domínio de mobilidade. Esta reautenticação usa um processo de transferência rápida de 802.Ilr para se evitar uma transação de autenticação plena. Fluxo de Mensagem de Autenticação
A FIG. 5 é um fluxograma de mensagem 500 que ilustra mensagens de autenticação trocadas entre vários elementos da rede da FIG. 1 de acordo com algumas modalidades da presente invenção. Especificamente, a FIG. 5 é um fluxograma de mensagem 500 que ilustra mensagens trocadas entre um dispositivo requerente e um MAP (ou IAP) de RlKH. A porta controlada de 802. Ix de MAP de RlKH é desbloqueada para aquelas mensagens a partir de um dispositivo não autenticado.
Um MAP de RlKH é um dispositivo de MAP ou de IAP o qual tem uma conexão segura para um ROKH; e é presumido já autenticado. Ele assumirá o papel de RlKH para o dispositivo requerente.
No cenário de exemplo do diagrama 5 00 da FIG. 5, o MAPl de RlKH 135-1 e o MAP2 de RlKH 135-2 já estão autenticados e têm uma conexão segura com ROKH 12 0. Eles podem ser, por exemplo, um salto múltiplo a partir de ROKH 120, conforme ilustrado pelo percurso de salto múltiplo 505 da FIG. 5. O requerente (isto é, o dispositivo 140-1) neste cenário de exemplo, ainda não foi autenticado para o MAPl de RlKH 135-1 e o MAP 2 de RlKH 135-2, os quais são os vizinhos de um salto do requerente.
Neste cenário de exemplo, as mensagens entre ROKH 12 0 e o servidor de autenticação 105 são transportadas pelo protocolo de serviço de usuário de discagem de autenticação remota (RADIUS) baseado em Protocolo de Datagrama de Usuário (UDP) . As mensagens são protegidas pelo uso de um esquema de modulação e de codificação de segurança de protocolo RADIUS. Ainda, neste cenário de exemplo, as mensagens de autenticação entre RlKH 135-1 e ROKH 120 são transportadas pelo mecanismo de criação de proxy de protocolo de autenticação extensível por rede de área local (EAPOL) e os materiais de chave são protegidos com KDK entre o ROKH e o RlKH. 0 RlKH 135-1 notifica o R0KH 120 do SSID selecionado pelo requerente 140-1 para uma implementação de ponto de acesso (AP) virtual. 3 0 Conforme ilustrado na FIG. 5, o processo de autenticação começa quando o requerente 14 0-1 inicia uma requisição de associação 510 com seu MAPl vizinho 135-1. Em resposta, o MAPl 135-1 envia uma resposta de associação 515. Por exemplo, o processo de autenticação 802.Ix será começado pelo requerente 140-1 (EAPOL-Start a partir do requerente), se a autenticação de EAP de 802. IX 520 for selecionada através das duas primeiras mensagens de associação. Após uma autenticação de EAP de 802. Ix bem sucedida, uma MSK será entregue a partir do servidor de autenticação 105 para o ROKH 120 na mensagem de Acesso Aceito em conjunto com o pacote de EAP-Success e outras atribuições de autorização. Após obter MSK, o ROKH 12 0 computa uma PMK_0 e uma PMK_1, conforme descrito no padrão 802.Ilr.
Para decidir se um processo de derivação de KDK é ou
não para ser conduzido, o ROKH 120 checa o papel do requerente a partir dos atributos de autorização retornados a partir do servidor de autenticação de back end 105. Se o requerente 14 0-1 tiver um papel de RlKH, a troca de 2 0 mensagem de derivação de KDK 52 5 será conduzida. Caso contrário, nenhum processo de derivação de KDK será iniciado para o requerente 140-1.
Para a geração dos nomes únicos para a PMK_0 e a PMK_1, o ROKH 12 0 gera um número randômico denominado ANonce a ser usado para a derivação do nome de PMK_0 e do nome de PMK_1. Este ANonce é enviado para o MAPl 135-1 em conjunto com a PMK_1 e o nome de PMK_1 na mensagem 53 0. O ANonce é para ser usado por MAPl 135-1 no aperto de mão de 4 vias com o requerente 140-1. 0 requerente 140-1 então usará o mesmo ANonce para derivar os mesmos nomes de chave. Após receber a PMK_1 53 0 a partir do ROKH 12 0, o MAPl inicia um aperto de mão de 4 vias 53 5 com o requerente 14Ο- Ι para a geração de uma PTK para proteção do enlace entre o requerente 14 0-1 e o MAP3 135-3 (não mostrado na FIG. 5) .
Após isso, o MAPl 135-1 e o requerente 140-1 podem se comunicar em um enlace seguro 540.
A FIG. 6 ilustra uma troca de mensagem detalhada de exemplo 600, conforme descrito previamente aqui na FIG. 5, quando a autenticação de 802.Ix é EAP-TTLS, de acordo com algumas modalidades da presente invenção. Conforme ilustrado na FIG. 6, o requerente 140-1 envia um quadro EAPOL-start 605 para o MAPl de RlKH 135-1, quando uma autenticação de 802.Ix é selecionada. 0 RlKH 135-1 então transporta este quadro 610 para o R0KH 120. O ROKH 120 assume o controle de todo o fluxo de mensagem entre o requerente 140-1 e o servidor de autenticação 105. O MAPl de RlKH 135-1 implementa uma máquina de estado de nova tentativa para o EAPOL-Start para envio para o ROKH 120. A última mensagem PMK_1 ACK 615 completa a máquina de estado em ROKH 120. A última mensagem 620 a partir de R0KH 120 para RlKH 135-1 contém PMK_1, RlName e Anonce. Se o requerente 140-1 for um dispositivo de 802.lli, apenas a PMK de 802.Ili será entregue para o RlKH 135-1. Reautenticação (Transição Rápida) Com referência de volta à FIG. 5, após a primeira
autenticação com o MAPl 135-1, o requerente 14 0-1 pode iniciar um processo de reautenticação (transferência rápida) com quaisquer dispositivos de MAP vizinhos 135-n, os quais tenham anunciado uma conexão segura com um servidor de autenticação 105 e estejam no mesmo domínio de mobilidade. 0 processo de reautenticação segue uma transição de BSS rápida de 802.llr; mecanismo de base pelo ar. A requisição de reautenticação inclui ROName, RlName, SNonce e seu nome de mantenedor de chave de nível de topo associado ROKH-ID. ROName e RlName também são para serem incluídos.
Conforme ilustrado na FIG. 5, após o procedimento de autenticação ser completado entre o requerente 14 0-1 e o MAPl 135-1, o requerente 140-1 inicia um procedimento de reautenticação com seu próximo dispositivo vizinho RlKH MAP 2 135-2. Por exemplo, uma primeira mensagem com transferência rápida 545 é enviada a partir do requerente 140-1 para o MAP2 135-2. Em resposta, o MAP2 135-2 envia uma requisição de PMK 550 para o ROKH 120 requisitando a PMK_1 correspondente a partir do R0KH 120, se ele não mantiver aquela PMK_1 identificada por RlName. A
requisição de PMK_1 para o ROKH deve incluir o ROName. Em resposta, o ROKH 120 envia a PMK_1 555 para o MAP2 135-2. Após isso, o MAP2 135-2 envia a segunda mensagem para o 2 0 requerente 14 0, quando o MAP 2 135-2 obtiver a PMK_1 correspondente. 0 requerente 140-1 e o MAP2 135-2 completam as mensagens de transferência rápida 560 e resultam em um enlace seguro 565. Será apreciado por aqueles de conhecimento comum na técnica que esta reautenticação de
2 5 transferência rápida pode ser repetida para qualquer número
de dispositivos de MAP ou de IAP no alcance de comunicação (na vizinhança) do requerente.
No relatório descritivo precedente, modalidades específicas da presente invenção foram descritas. Contudo,
3 0 alguém de conhecimento comum na técnica aprecia que várias modificações e mudanças podem ser feitas, sem que se desvie do escopo da presente invenção, conforme estabelecido nas reivindicações abaixo. Assim sendo, o relatório descritivo e as figuras devem ser considerados em um sentido ilustrativo, ao invés de restritivo, e pretende-se que todas essas modificações sejam incluídas no escopo da presente invenção. Os benefícios, as vantagens, as soluções para problemas e qualquer (quaisquer) elemento(s) que possam fazer com que qualquer benefício, vantagem ou solução ocorram ou se tornem mais pronunciados não devem ser construídos como recursos críticos, requeridos ou essenciais ou elementos de qualquer uma ou de todas as reivindicações. A invenção é definida unicamente pelas reivindicações em apenso, incluindo quaisquer emendas feitas durante a pendência deste pedido e todos os equivalentes daquelas reivindicações, conforme emitido.

Claims (11)

1. Método de autenticação de segurança e de gerenciamento de chave em uma rede de salto múltiplo sem fio baseada em infraestrutura, o método caracterizado pelo fato de compreender: inicialmente, a autenticação de um requerente incluindo a determinação de um ou mais atributos de papel de requerente autenticado com um servidor de autenticação; a obtenção de um ou mais atributos de autorização a partir do servidor de autenticação por um mantenedor de chave de nível de topo; determinar se o atributo de papel de requerente autenticado é um mantenedor de chave de nível um pelo mantenedor de chave de nível de topo; iniciar um aperto de mão de quatro vias entre o mantenedor de chave de nível de topo e o requerente com uma chave mestra formada em pares (PMK)_0 para a derivação de uma Chave de Distribuição de Chave (KDK) quando o atributo de papel de requerente autenticado for um mantenedor de chave de nível um; e quando o atributo de papel de requerente autenticado não for um mantenedor de chave de nível um: a comunicação de uma chave mestra formada em pares de nível um (PMK) _1 a partir do mantenedor de chave de nível de topo para um mantenedor de chave de nível um, a iniciação de um aperto de mão de quatro vias entre o mantenedor de chave de nível um e o requerente com a chave mestra formada em pares de nível um (PMK)_1 para a geração de um enlace de comunicação seguro entre o requerente e o mantenedor de chave de nível um, e a comunicação no enlace seguro entre o mantenedor de chave de nível um e o requerente.
2. Método de autenticação de segurança e de gerenciamento de chave em uma rede de salto múltiplo sem fio baseada em infraestrutura, de acordo com a reivindicação 1, caracterizado pelo fato de o aperto de mão de quatro vias entre o mantenedor de chave de nível de topo e o mantenedor de chave de nível um compreender um aperto de mão de quatro vias no estilo de 802.Ili para a derivação de uma KDK entre o mantenedor de chave de nível de topo e o mantenedor de chave de nível um; e ainda onde o aperto de mão de quatro vias entre o mantenedor de chave de nível um e o requerente compreende um aperto de mão de quatro vias no estilo de 802. Ili para a derivação de uma chave transiente formada em pares (PTK) entre o mantenedor de chave de nível um e o requerente.
3. Método de autenticação de segurança e de gerenciamento de chave em uma rede de salto múltiplo sem fio baseada em infraestrutura, de acordo com a reivindicação 1, caracterizado pelo fato de a KDK ser derivada como: KDK = KDF-KDKLen(PMK_0, "KDK Key derivation", SNonce || ANonce || AA || SPA). onde: KDF-256 é definida na Seção 8.5.A.3 de 802.llr, SNonce é um número randômico gerado pode RlKH, e ANonce é um número randômico gerado por ROKH, os dois números randômicos são trocados durante duas primeiras mensagens do aperto de mão de quatro vias, AA é o endereço de MAC de ROKH, e SPA é o endereçamento e MAC de RlKH.
4. Método de autenticação de segurança e de gerenciamento de chave em uma rede de salto múltiplo sem fio baseada em infraestrutura, de acordo com a reivindicação 1, caracterizado pelo fato de a etapa de autenticação inicial incluir uma comunicação de uma mensagem de "sucesso de autenticação" final, e ainda onde um ou mais atributos de autorização são obtidos a partir da mensagem de "sucesso de autenticação" final.
5. Método de autenticação de segurança e de gerenciamento de chave em uma rede de salto múltiplo sem fio baseada em infraestrutura, de acordo com a reivindicação 1, caracterizado pelo fato de o método ainda compreender: a iniciação de uma reautenticação com um outro mantenedor de chave de nível um pelo requerente, onde o outro mantenedor de chave de nível um foi autenticado e conectado ao mantenedor de chave de nível de topo em um mesmo domínio de mobilidade, onde a reautenticação compreende: a comunicação de uma mensagem usando um processo de transferência rápida a partir do requerente para o outro mantenedor de chave de nível um; a comunicação da chave mestra formada em pares de nível um (PMK) _1 a partir do mantenedor de chave de nível de topo para o outro mantenedor de chave de nível ura; a conclusão de uma transferência rápida entre o outro mantenedor de chave de nível um e o requerente usando a chave mestra formada em pares de nível um (PMK)_1 para a geração de um enlace de comunicação seguro entre o requerente e o outro mantenedor de chave de nível um; e a comunicação no enlace seguro entre o outro mantenedor de chave de nível um e o requerente.
6. Método para comunicação entre um mantenedor de chave de nível de topo em um mantenedor de chave de nível um para uma autenticação de segurança e um gerenciamento de chave em uma rede de salto múltiplo sem fio baseada em infraestrutura, caracterizado pelo fato de compreender: a comunicação de uma mensagem tendo um formato de mensagem que compreende: um cabeçalho de Controle de Acesso a Mídia (MAC) contendo um endereço de MAC de origem e de destino de pelo menos um salto; um cabeçalho de Roteamento Ad hoc (AHR) contendo: um endereço de MAC de origem e um de destino do mantenedor de chave de nível um e do mantenedor de chave de nível de topo, e uma identificação de protocolo representando um pacote de proxy de protocolo de autenticação extensível por uma rede de área local (EAPOL); um endereço de MAC de requerente; um indicador (flag) de i/r; e um SSID.
7. Método, de acordo com a reivindicação 6, caracterizado pelo fato de o endereço de MAC de requerente identificar qual dispositivo requerente ligar a uma chave mestra formada em pares_0 (PMK_0) e uma PMK_1.
8. Método, de acordo com a reivindicação 6, caracterizado pelo fato de o indicador (flag) de i/r indicando um requerente de 802.lli identificar que a PMK é derivada com base no padrão 802. Ili e a PMK é para ser enviada para um RlKH.
9. Método, de acordo com a reivindicação 6, caracterizado pelo fato de o indicador (flag) de i/r indicando um requerente de 802.Ilr identificar que PMK_0 e PMK_1 são enviadas com base em uma hierarquia de chave de 802.Ilr e a PMK_1 é para ser entregue para o autenticador.
10. Método, de acordo com a reivindicação 6, caracterizado pelo fato de o SSID ser usado para derivação de PMK_0 e PMK_1 para um ponto de acesso virtual, e ainda onde um requerente seleciona um SSID a partir de uma pluralidade de SSIDs disponíveis.
11. Método, de acordo com a reivindicação 6, caracterizado pelo fato de a mensagem ser transportada em uma camada de comunicação selecionada a partir do grupo que compreende uma camada 2 e uma camada 3, e ainda onde quando o formato de mensagem é colocado na carga útil de pacote de protocolo de internet (IP) , um endereço de MAC de RlKH ser adicionado em conteúdos de mensagem.
BRPI0716507-2A2 2006-09-07 2007-07-26 método de autenticação de segurança e de gerenciamento de chave e método para comunicação entre um mantenedor de chave de nível de topo e um mantenedor de chave de nível um BRPI0716507B1 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/470,887 US7499547B2 (en) 2006-09-07 2006-09-07 Security authentication and key management within an infrastructure based wireless multi-hop network
US11/470.887 2006-09-07
PCT/US2007/074422 WO2008030667A2 (en) 2006-09-07 2007-07-26 Security authentication and key management within an infrastructure-based wireless multi-hop network

Publications (2)

Publication Number Publication Date
BRPI0716507A2 true BRPI0716507A2 (pt) 2013-10-08
BRPI0716507B1 BRPI0716507B1 (pt) 2019-12-10

Family

ID=39157922

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0716507-2A2 BRPI0716507B1 (pt) 2006-09-07 2007-07-26 método de autenticação de segurança e de gerenciamento de chave e método para comunicação entre um mantenedor de chave de nível de topo e um mantenedor de chave de nível um

Country Status (11)

Country Link
US (2) US7499547B2 (pt)
EP (1) EP2060052B1 (pt)
JP (1) JP4921557B2 (pt)
KR (1) KR101054202B1 (pt)
CN (1) CN101513092B (pt)
AU (2) AU2007292516B2 (pt)
BR (1) BRPI0716507B1 (pt)
CA (1) CA2663168C (pt)
MX (1) MX2009002507A (pt)
RU (1) RU2407181C1 (pt)
WO (1) WO2008030667A2 (pt)

Families Citing this family (83)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9722766D0 (en) 1997-10-28 1997-12-24 British Telecomm Portable computers
US7890745B2 (en) * 2006-01-11 2011-02-15 Intel Corporation Apparatus and method for protection of management frames
US8578159B2 (en) * 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network
US7734052B2 (en) * 2006-09-07 2010-06-08 Motorola, Inc. Method and system for secure processing of authentication key material in an ad hoc wireless network
US7499547B2 (en) * 2006-09-07 2009-03-03 Motorola, Inc. Security authentication and key management within an infrastructure based wireless multi-hop network
EP2070253A4 (en) * 2006-09-18 2012-10-24 Intel Corp METHOD FOR TREATING SAFETY GUIDELINES IN A WIRELESS NETWORK
US20080072047A1 (en) * 2006-09-20 2008-03-20 Futurewei Technologies, Inc. Method and system for capwap intra-domain authentication using 802.11r
US8607058B2 (en) * 2006-09-29 2013-12-10 Intel Corporation Port access control in a shared link environment
US20080144579A1 (en) * 2006-12-19 2008-06-19 Kapil Sood Fast transitioning advertisement
US8948046B2 (en) 2007-04-27 2015-02-03 Aerohive Networks, Inc. Routing method and system for a wireless network
US9838365B2 (en) * 2007-07-10 2017-12-05 Qualcomm Incorporated Peer to peer identifiers
US8094634B2 (en) * 2007-09-06 2012-01-10 Polytechnic Institute Of New York University Sender and/or helper node modifications to enable security features in cooperative wireless communications
US8249256B2 (en) * 2007-11-06 2012-08-21 Motorola Solutions, Inc. Method for providing fast secure handoff in a wireless mesh network
US8208635B2 (en) * 2007-11-13 2012-06-26 Rosemount Inc. Wireless mesh network with secure automatic key loads to wireless devices
US20090150665A1 (en) * 2007-12-07 2009-06-11 Futurewei Technologies, Inc. Interworking 802.1 AF Devices with 802.1X Authenticator
TWI345405B (en) * 2007-12-26 2011-07-11 Ind Tech Res Inst Apparatus and method for executing the handoff process in wireless networks
US9246679B2 (en) * 2007-12-28 2016-01-26 Intel Corporation Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks
CN101222325B (zh) * 2008-01-23 2010-05-12 西安西电捷通无线网络通信有限公司 一种基于id的无线多跳网络密钥管理方法
WO2009105721A2 (en) * 2008-02-20 2009-08-27 Zerog Wireless, Inc. Wireless access point device
US8081568B2 (en) * 2008-02-22 2011-12-20 Cisco Technology, Inc. Role determination for network devices
US8218502B1 (en) 2008-05-14 2012-07-10 Aerohive Networks Predictive and nomadic roaming of wireless clients across different network subnets
US8474023B2 (en) * 2008-05-30 2013-06-25 Juniper Networks, Inc. Proactive credential caching
JP5080406B2 (ja) * 2008-09-05 2012-11-21 株式会社エヌ・ティ・ティ・ドコモ 配信装置、端末装置及びシステム並びに方法
JP5112229B2 (ja) * 2008-09-05 2013-01-09 株式会社エヌ・ティ・ティ・ドコモ 配信装置、端末装置及びシステム並びに方法
US9674892B1 (en) 2008-11-04 2017-06-06 Aerohive Networks, Inc. Exclusive preshared key authentication
US8483194B1 (en) 2009-01-21 2013-07-09 Aerohive Networks, Inc. Airtime-based scheduling
CN101807998A (zh) * 2009-02-13 2010-08-18 英飞凌科技股份有限公司 认证
CN101815293B (zh) * 2009-02-20 2012-08-15 华为技术有限公司 无线中继网络中的链路安全认证方法、装置和系统
US8352741B2 (en) * 2009-06-11 2013-01-08 Microsoft Corporation Discovery of secure network enclaves
US9742560B2 (en) 2009-06-11 2017-08-22 Microsoft Technology Licensing, Llc Key management in secure network enclaves
US11115857B2 (en) 2009-07-10 2021-09-07 Extreme Networks, Inc. Bandwidth sentinel
US9900251B1 (en) 2009-07-10 2018-02-20 Aerohive Networks, Inc. Bandwidth sentinel
US8385549B2 (en) * 2009-08-21 2013-02-26 Industrial Technology Research Institute Fast authentication between heterogeneous wireless networks
JP5472977B2 (ja) * 2009-08-27 2014-04-16 日本電気通信システム株式会社 無線通信装置
JP5543812B2 (ja) * 2010-03-23 2014-07-09 日東電工株式会社 粘着テープ貼付け方法および粘着テープ貼付け装置
DE102010018286A1 (de) * 2010-04-26 2011-10-27 Siemens Enterprise Communications Gmbh & Co. Kg Schlüsselverteilerknoten für ein Netzwerk
DE102010018285A1 (de) * 2010-04-26 2011-10-27 Siemens Enterprise Communications Gmbh & Co. Kg Netzwerkzugangsknoten mit Schlüsselverteilerfunktion
CN101867930B (zh) * 2010-06-04 2012-11-14 西安电子科技大学 无线Mesh网络骨干节点切换快速认证方法
US8671187B1 (en) 2010-07-27 2014-03-11 Aerohive Networks, Inc. Client-independent network supervision application
CN101908961B (zh) * 2010-07-29 2012-07-11 北京交通大学 一种短密钥环境下多方秘密握手方法
US9002277B2 (en) 2010-09-07 2015-04-07 Aerohive Networks, Inc. Distributed channel selection for wireless networks
JP5494829B2 (ja) * 2010-12-28 2014-05-21 富士通株式会社 鍵設定方法、ノード、およびネットワークシステム
CN102655584B (zh) * 2011-03-04 2017-11-24 中兴通讯股份有限公司 一种远程呈现技术中媒体数据发送和播放的方法及系统
US9264230B2 (en) 2011-03-14 2016-02-16 International Business Machines Corporation Secure key management
US8619990B2 (en) 2011-04-27 2013-12-31 International Business Machines Corporation Secure key creation
US8634561B2 (en) * 2011-05-04 2014-01-21 International Business Machines Corporation Secure key management
US8789210B2 (en) 2011-05-04 2014-07-22 International Business Machines Corporation Key usage policies for cryptographic keys
US8755527B2 (en) 2011-05-04 2014-06-17 International Business Machines Corporation Key management policies for cryptographic keys
US8566913B2 (en) 2011-05-04 2013-10-22 International Business Machines Corporation Secure key management
US9826571B2 (en) 2011-06-30 2017-11-21 Aruba Networks, Inc. Mesh node role discovery and automatic recovery
CN102958051B (zh) * 2011-08-23 2016-06-08 上海贝尔股份有限公司 Capwap架构的接入控制器及其密钥管理方法
US10091065B1 (en) 2011-10-31 2018-10-02 Aerohive Networks, Inc. Zero configuration networking on a subnetted network
CN103188662B (zh) * 2011-12-30 2015-07-29 中国移动通信集团广西有限公司 一种验证无线接入点的方法以及装置
US20130305332A1 (en) * 2012-05-08 2013-11-14 Partha Narasimhan System and Method for Providing Data Link Layer and Network Layer Mobility Using Leveled Security Keys
CN104769864B (zh) 2012-06-14 2018-05-04 艾诺威网络有限公司 多播到单播转换技术
CN104521215B (zh) * 2012-08-15 2018-05-22 波音公司 用于地理认证的系统和方法
CA2895522A1 (en) * 2012-12-21 2014-06-26 Seccuris Inc. System and method for monitoring data in a client environment
US10389650B2 (en) 2013-03-15 2019-08-20 Aerohive Networks, Inc. Building and maintaining a network
US9413772B2 (en) 2013-03-15 2016-08-09 Aerohive Networks, Inc. Managing rogue devices through a network backhaul
US9465947B2 (en) * 2013-08-05 2016-10-11 Samsung Sds America, Inc. System and method for encryption and key management in cloud storage
CN104469759B (zh) * 2013-09-23 2018-12-21 株式会社理光 管理区域受限网络、接收区域密钥的方法和设备
JP2015070571A (ja) * 2013-09-30 2015-04-13 サイレックス・テクノロジー株式会社 無線基地局装置、無線基地局装置の制御方法、及び、プログラム
US8743758B1 (en) 2013-11-27 2014-06-03 M87, Inc. Concurrent uses of non-cellular interfaces for participating in hybrid cellular and non-cellular networks
AU2014361864B2 (en) * 2013-12-13 2019-04-18 M87, Inc. Methods and systems of secure connections for joining hybrid cellular and non-cellular networks
JP6668598B2 (ja) * 2014-05-19 2020-03-18 株式会社リコー システム、及び通信方法
KR20160000534A (ko) 2014-06-24 2016-01-05 (주)휴맥스 홈 네트워크 자동 연결형 영상 스트리밍 서비스 시스템 및 방법
US10057766B2 (en) * 2014-10-21 2018-08-21 Qualcomm Incorporated Methods and systems for authentication interoperability
JP6508688B2 (ja) * 2014-10-31 2019-05-08 コンヴィーダ ワイヤレス, エルエルシー エンドツーエンドサービス層認証
CN104618090B (zh) * 2015-01-08 2017-09-19 重庆邮电大学 一种适用于异构传感器网络的组密钥管理方法
US10580312B2 (en) 2015-07-24 2020-03-03 Yamasee Ltd. Method and system for obtaining and presenting turbulence data via communication devices located on airplanes
CN105991600B (zh) 2015-02-25 2019-06-21 阿里巴巴集团控股有限公司 身份认证方法、装置、服务器及终端
KR102001753B1 (ko) 2015-03-16 2019-10-01 콘비다 와이어리스, 엘엘씨 공개 키잉 메커니즘들을 사용한 서비스 계층에서의 종단간 인증
MY190785A (en) * 2015-12-21 2022-05-12 Koninklijke Philips Nv Network system for secure communication
CN105636148B (zh) * 2016-01-06 2019-01-04 中央军委装备发展部第六十三研究所 一种无线多跳网络数据传输方法
US10791093B2 (en) * 2016-04-29 2020-09-29 Avago Technologies International Sales Pte. Limited Home network traffic isolation
US10165608B2 (en) 2016-06-02 2018-12-25 Cisco Technology, Inc. System and method to provide fast mobility in a residential Wi-Fi network environment
EP3481725A4 (en) * 2016-07-11 2020-03-25 Yamasee Ltd. METHOD AND SYSTEM FOR OBTAINING AND PRESENTING TURBULENCE DATA THROUGH AIRCRAFT COMMUNICATION DEVICES
RU2755196C1 (ru) * 2018-04-05 2021-09-14 Нокиа Текнолоджиз Ой Управление унифицированными идентификаторами подписки в системах связи
WO2019194155A1 (en) * 2018-04-06 2019-10-10 Nec Corporation An authentication method for next generation systems
TWI695645B (zh) * 2018-07-06 2020-06-01 小白投資有限公司 無線網路識別方法
CN113132986B (zh) * 2019-12-31 2023-02-03 青岛海尔科技有限公司 基于DPP协议实现WiFi的mesh网络的实现方法及装置、存储介质
WO2022046798A1 (en) * 2020-08-24 2022-03-03 Eleven Software Inc. Key matching for eapol handshake using distributed computing
CN113141674A (zh) * 2021-04-08 2021-07-20 成都极米科技股份有限公司 多链路系统中链路配置方法、设备、系统及存储介质

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7072650B2 (en) * 2000-11-13 2006-07-04 Meshnetworks, Inc. Ad hoc peer-to-peer mobile radio access system interfaced to the PSTN and cellular networks
JP3880419B2 (ja) * 2002-02-21 2007-02-14 日本電信電話株式会社 無線アクセスネットワーク、無線マルチホップネットワーク、認証サーバ、基地局及び無線端末
US7165112B2 (en) * 2001-06-22 2007-01-16 Motorola, Inc. Method and apparatus for transmitting data in a communication system
US7350077B2 (en) * 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
KR100555381B1 (ko) * 2002-12-19 2006-02-24 멜코 인코포레이티드 암호키 설정시스템 및 암호키 설정방법
US7263357B2 (en) * 2003-01-14 2007-08-28 Samsung Electronics Co., Ltd. Method for fast roaming in a wireless network
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
JP4158972B2 (ja) * 2003-12-18 2008-10-01 Kddi株式会社 マルチホップ通信方法
US7451316B2 (en) * 2004-07-15 2008-11-11 Cisco Technology, Inc. Method and system for pre-authentication
US20060067272A1 (en) * 2004-09-30 2006-03-30 Wang Huayan A Method and system for fast roaming of a mobile unit in a wireless network
US7236477B2 (en) * 2004-10-15 2007-06-26 Motorola, Inc. Method for performing authenticated handover in a wireless local area network
US7558388B2 (en) 2004-10-15 2009-07-07 Broadcom Corporation Derivation method for cached keys in wireless communication system
US7643451B2 (en) * 2004-10-15 2010-01-05 Nortel Networks Limited Method and apparatus for extending a mobile unit data path between access points
ATE520085T1 (de) * 2004-10-27 2011-08-15 Meshnetworks Inc System und verfahren zur gewährleistung von sicherheit für ein drahtloses netzwerk
US20060109815A1 (en) 2004-11-05 2006-05-25 Ozer Sebnem Z System and method for dynamic frequency selection in a multihopping wireless network
JP4561418B2 (ja) * 2004-11-08 2010-10-13 沖電気工業株式会社 メッセージ認証方法、通信端末装置及びメッセージ認証システム
TWI268083B (en) * 2004-11-17 2006-12-01 Draytek Corp Method used by an access point of a wireless LAN and related apparatus
JP2006166362A (ja) 2004-12-10 2006-06-22 Sony Corp 音響装置
EP1834466B1 (en) * 2004-12-30 2009-05-06 Telecom Italia S.p.A. Method and system for detecting attacks in wireless data communication networks
US7814322B2 (en) * 2005-05-03 2010-10-12 Sri International Discovery and authentication scheme for wireless mesh networks
US7738882B2 (en) * 2005-06-13 2010-06-15 Toshiba America Research, Inc. Framework of media-independent pre-authentication improvements: including considerations for failed switching and switchback
US8270947B2 (en) * 2005-12-19 2012-09-18 Motorola Solutions, Inc. Method and apparatus for providing a supplicant access to a requested service
US7483409B2 (en) * 2005-12-30 2009-01-27 Motorola, Inc. Wireless router assisted security handoff (WRASH) in a multi-hop wireless network
US7804807B2 (en) 2006-08-02 2010-09-28 Motorola, Inc. Managing establishment and removal of security associations in a wireless mesh network
US7793103B2 (en) * 2006-08-15 2010-09-07 Motorola, Inc. Ad-hoc network key management
US7499547B2 (en) 2006-09-07 2009-03-03 Motorola, Inc. Security authentication and key management within an infrastructure based wireless multi-hop network
US8578159B2 (en) 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network
US7508803B2 (en) * 2006-09-07 2009-03-24 Motorola, Inc. Transporting management traffic through a multi-hop mesh network

Also Published As

Publication number Publication date
US7793104B2 (en) 2010-09-07
US20090210710A1 (en) 2009-08-20
US7499547B2 (en) 2009-03-03
AU2011201655B2 (en) 2011-12-22
KR101054202B1 (ko) 2011-08-03
BRPI0716507B1 (pt) 2019-12-10
RU2009112589A (ru) 2010-10-20
CA2663168A1 (en) 2008-03-13
CN101513092A (zh) 2009-08-19
US20080065888A1 (en) 2008-03-13
RU2407181C1 (ru) 2010-12-20
CA2663168C (en) 2014-01-28
AU2007292516A1 (en) 2008-03-13
JP2010503326A (ja) 2010-01-28
EP2060052A2 (en) 2009-05-20
CN101513092B (zh) 2012-08-15
EP2060052A4 (en) 2015-11-18
EP2060052B1 (en) 2018-09-05
AU2007292516B2 (en) 2011-05-19
KR20090052895A (ko) 2009-05-26
MX2009002507A (es) 2009-03-25
WO2008030667B1 (en) 2008-08-14
WO2008030667A3 (en) 2008-07-03
AU2011201655A1 (en) 2011-05-12
JP4921557B2 (ja) 2012-04-25
WO2008030667A2 (en) 2008-03-13

Similar Documents

Publication Publication Date Title
BRPI0716507A2 (pt) Autentificação de segurança e gerenciamento de chave dentro de uma rede de salto múltiplo sem fio baseada em infraestrutura
AU2003295466C1 (en) 802.11using a compressed reassociation exchange to facilitate fast handoff
JP5043114B2 (ja) Eapからのケルベロス・ブートストラッピング(bke)
US8122249B2 (en) Method and arrangement for providing a wireless mesh network
US8561200B2 (en) Method and system for controlling access to communication networks, related network and computer program therefor
CN101379801B (zh) 用于eap扩展(eap-ext)的eap方法
EP2168068B1 (en) Method and arrangement for certificate handling
AU2004231612C1 (en) 802.11 using a compressed reassociation exchange to facilitate fast handoff
JP2010503326A5 (ja) インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法
BRPI0716621A2 (pt) Gerenciamento de chave de rede ad-hoc
BR112016025700B1 (pt) Métodos para protegerem trocas de mensagens, mídia legível por computador, nó de rede, servidor de autenticação, de autorização, e de contabilização, e, equipamento de usuário

Legal Events

Date Code Title Description
B25D Requested change of name of applicant approved

Owner name: MOTOROLA SOLUTIONS, INC (US)

B06F Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette]
B06T Formal requirements before examination [chapter 6.20 patent gazette]
B15K Others concerning applications: alteration of classification

Free format text: AS CLASSIFICACOES ANTERIORES ERAM: H04L 9/00 , H04W 12/04 , H04W 12/06 , H04W 84/12

Ipc: H04L 9/08 (1990.01), H04L 9/32 (1990.01), H04W 12/

B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted

Free format text: PRAZO DE VALIDADE: 10 (DEZ) ANOS CONTADOS A PARTIR DE 10/12/2019, OBSERVADAS AS CONDICOES LEGAIS. (CO) 10 (DEZ) ANOS CONTADOS A PARTIR DE 10/12/2019, OBSERVADAS AS CONDICOES LEGAIS

B25G Requested change of headquarter approved

Owner name: MOTOROLA SOLUTIONS, INC. (US)

B25A Requested transfer of rights approved

Owner name: ARRIS ENTERPRISES LLC (US)