CN101232378B - 一种无线多跳网络的认证接入方法 - Google Patents

一种无线多跳网络的认证接入方法 Download PDF

Info

Publication number
CN101232378B
CN101232378B CN2008100051915A CN200810005191A CN101232378B CN 101232378 B CN101232378 B CN 101232378B CN 2008100051915 A CN2008100051915 A CN 2008100051915A CN 200810005191 A CN200810005191 A CN 200810005191A CN 101232378 B CN101232378 B CN 101232378B
Authority
CN
China
Prior art keywords
telegon
terminal equipment
authentication
key
pki
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2008100051915A
Other languages
English (en)
Other versions
CN101232378A (zh
Inventor
肖跃雷
曹军
赖晓龙
黄振海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN2008100051915A priority Critical patent/CN101232378B/zh
Publication of CN101232378A publication Critical patent/CN101232378A/zh
Application granted granted Critical
Publication of CN101232378B publication Critical patent/CN101232378B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Abstract

本发明涉及一种无线多跳网络的认证接入方法。其适用于WAPI框架方法(TePA,基于三元对等鉴别的访问控制方法)在包括无线局域网、无线城域网和无线个域网在内的具体网络上应用时的安全应用协议。终端设备和协调器具有端口控制能力,协调器广播信标帧后,终端设备选定认证及密钥管理套件发送连接请求命令协调器,协调器根据终端设备选定的认证及密钥管理套件与该终端设备进行认证,认证结束后,向该终端设备发送连接响应命令;终端设备与协调器根据认证结果对端口进行控制,从而实现了无线多跳网络的认证接入。其解决了现有无线多跳网络的认证方法存在安全隐患的技术问题。

Description

一种无线多跳网络的认证接入方法 
技术领域
本发明涉及一种网络认证接入方法,尤其涉及一种无线多跳网络的认证接入方法。 
背景技术
随着计算机网络和全球移动通信技术的发展,便携的数字处理终端设备已经成为人们日常生活和办公的必需品,这些终端设备包括笔记本电脑、个人数字助理(PDA)、计算机外设、移动电话、寻呼机和家用电子产品等。它们都具有较强的处理能力和较大的存储空间,从而形成了一个个人操作空间(POS)。但是目前这些终端设备之间的信息交换大都还依赖于电缆的连接,使用非常不方便,人们越来越需要一种无线技术将个人操作空间内的这些终端设备连接起来,真正实现终端设备之间可移动的、自动的互联,这就是无线多跳网络技术。在无线多跳网络中,非相邻终端设备之间的通信数据需要以多跳路由的方式传输。 
在无线多跳网络中存在着四种角色的设备:终端设备、路由协调器、网络协调器和可信中心。终端设备可与该网络中的其他设备进行通信,但在该网络中不能为其他设备转发数据,即不能完成路由功能。路由协调器除了完成终端设备的功能外还负责为该网络中的其他设备转发数据,即能完成路由功能。网络协调器负责发送网络信标、建立一个网络、管理网络节点、存储网络节点信息、寻找一对节点间的路由消息和不断地接收信息,也能为该网络中的其他设备转发数据,即能完成路由功能。网络协调器和路由协调器可统称为协调器。可信中心是该网络的密钥管理中心,负责为该网络中的所有设备配置密钥信息。可信中心可以由网络协调器充当,也可以由网络协调器在该网络中指定的其他设备充当。如图1A至图1C所示无线多跳网络支持两种网络拓扑结构:星型网络和点到点网络,点到点网络的网络拓扑结构又可分为网状结构和簇型结构。 
对于无线多跳网络,目前采用的安全方案为: 
第一种安全方案:自组织网的形式。设备首先连接到无线多跳网络中,然后从无线多跳网络动态获取密钥信息,如:从无线多跳网络中的分布式CA获取 基于ID(基于身份密码体制)的私钥,最后利用基于ID的公私钥对进行安全通信。 
第二种安全方案:连接后认证的形式。设备首先连接到无线多跳网络中,然后网络协调器完成对设备的认证,最后利用协商的会话密钥进行安全通信,例如:IEEE802.15.4/ZigBee标准。 
对于第一种安全方案,任何设备都可以成为无线多跳网络的成员,没有合法设备和非法设备的分别,显然是不安全的。对于第二种安全方案,因为网络协调器在设备连接到无线多跳网络之后才对设备进行认证,所以任何设备都可以连接到某无线多跳网络中,且在网络协调器把它移离该网络之前可以与网络中其他设备进行通信,这也是不安全的,同时也造成一定的通信浪费。 
发明内容
本发明的目的是提供一种无线多跳网络的认证接入方法,其解决了现有无线多跳网络的认证方法存在安全隐患的技术问题。 
本发明的技术解决方案是: 
一种无线多跳网络的认证接入方法,包括以下步骤: 
步骤11]定义终端设备和协调器的非受控端口和受控端口,使得终端设备和协调器的非受控端口通行认证协议数据包及管理信息,终端设备和协调器的受控端口通行应用数据包; 
步骤12]协调器广播信标帧;所述信标帧中包括协调器所支持的认证及密钥管理套件; 
步骤13]当终端设备收到协调器的信标帧时,终端设备选定一种认证及密钥管理套件,然后向协调器发送连接请求命令;所述连接请求命令包括终端设备选定的认证及密钥管理套件; 
步骤14]当协调器收到终端设备的连接请求命令时,协调器根据终端设备选定的认证及密钥管理套件与该终端设备进行认证过程; 
步骤15]若认证成功,则协调器打开受控端口,允许该终端设备接入无线多跳网络,同时向该终端设备发送连接响应命令;终端设备收到该协调器的连接响应命令后,打开受控端口,从而接入到该无线多跳网络; 
所述认证及密钥管理套件包括基于预共享密钥方式的认证及密钥管理套件和基于ID方式的认证及密钥管理套件; 
若认证及密钥管理套件为基于ID方式的认证及密钥管理套件时,所述步骤 14]的具体认证过程为: 
步骤21]当协调器从终端设备发送的连接请求命令中得知终端设备选定的认证及密钥管理套件为基于ID方式的认证及密钥管理套件时,生成协调器认证询问,然后协调器将协调器认证询问和协调器公钥组成认证激活发送给终端设备; 
步骤22]终端设备收到认证激活后,验证协调器公钥的有效性;若验证不通过,则丢弃该认证激活,若验证通过,则终端设备生成终端设备认证询问、公钥撤销查询标识和终端设备临时公钥,然后将终端设备认证询问、协调器认证询问、终端设备公钥、公钥撤销查询标识、终端设备临时公钥以及终端设备对前面五项信息的签名组成认证请求发送给协调器; 
步骤23]协调器收到认证请求后,验证认证请求签名的合法性、协调器认证询问的一致性和终端设备临时公钥的有效性;若验证不通过,则认证失败,若验证通过,根据公钥撤销查询标识决定是否进行公钥撤销查询;如果不进行公钥撤销查询,协调器生成协调器临时公钥和接入结果,然后协调器将公钥撤销查询标识、终端设备认证询问、协调器临时公钥、接入结果以及协调器对前面四项信息的签名组成认证响应发送给终端设备,然后进行步骤27];如果进行公钥撤销查询,协调器向设备发送公钥撤销查询请求; 
步骤24]可信中心收到公钥撤销查询请求后,验证公钥撤销查询请求信息后向协调器发送公钥撤销查询响应; 
步骤25]协调器收到公钥撤销查询响应后,验证公钥撤销查询响应信息后向设备发送认证响应;同时,协调器根据终端设备临时公钥和协调器临时私钥生成终端设备和协调器之间的基密钥; 
步骤26]终端设备收到认证响应后,验证认证响应信息,若验证不通过,则认证失败;若验证通过,则终端设备根据终端设备临时公钥和协调器临时私钥生成终端设备和协调器之间的基密钥,认证成功; 
步骤27]终端设备收到步骤23]中协调器发送的认证响应后,验证认证响应的签名的有效性、终端设备认证询问的一致性和接入结果;若验证不通过,则认证失败;若验证通过,则终端设备根据终端设备临时公钥和协调器临时私钥生成终端设备和协调器之间的基密钥,认证成功; 
若认证及密钥管理套件为基于预共享密钥方式的认证及密钥管理套件时,所述步骤14]的具体认证过程为: 
步骤101]当协调器从终端设备发送的连接请求命令中得知终端设备选定的认证及密钥管理套件为基于预共享密钥方式的认证及密钥管理套件时,协调器首先对本地存储的协调器与该终端设备之间的预共享密钥进行扩展得到相应的基密钥,生成协调器预共享密钥的认证询问,然后将协调器预共享密钥的认证询问组成认证请求发送给终端设备; 
步骤102]终端设备收到认证请求后,首先对本地存储的协调器与该终端设备之间的预共享密钥进行扩展得到相应的基密钥,生成终端设备预共享密钥的认证询问,根据该基密钥、协调器预共享密钥的认证询问和终端设备预共享密钥的认证询问生成终端设备与协调器之间的单播密钥,然后将协调器预共享密钥的认证询问、终端设备预共享密钥的认证询问和消息鉴别码组成的认证响应发送给协调器;所述的消息鉴别码是终端设备根据协调器预共享密钥的认证询问和终端设备预共享密钥的认证询问计算得到的消息鉴别码; 
步骤103]协调器收到认证响应后,根据步骤101]中生成的基密钥、协调器预共享密钥的认证询问和终端设备预共享密钥的认证询问计算单播密钥,然后验证协调器预共享密钥的认证询问的一致性和终端设备的消息鉴别码的有效性,若验证不通过,则认证失败;若验证通过,则协调器将终端设备预共享密钥的认证询问和协调器对终端设备预共享密钥的认证询问计算的消息鉴别码组成的认证确认发送给终端设备; 
步骤104]终端设备收认证确认后,验证终端设备预共享密钥的认证询问的一致性和协调器的消息鉴别码的有效性;若验证不通过,则认证失败,若验证通过,认证成功。 
上述认证接入方法还包括终端设备成功连接到该协调器时,协调器与终端设备进行单播密钥协商的步骤:当认证成功且协调器需要与该终端设备进行单播密钥协商时,协调器与该终端设备进行单播密钥协商。 
若认证及密钥管理套件为基于ID方式的认证及密钥管理套件时,所述单播密钥协商过程为: 
步骤41]认证成功后,协调器需要建立或更新单播密钥时,生成协调器单播密钥协商询问,协调器将协调器单播密钥协商询问组成单播密钥协商请求发送给终端设备; 
步骤42]终端设备收到单播密钥协商请求后,生成终端设备单播密钥协商询问,根据基密钥、协调器单播密钥协商询问和终端设备单播密钥协商询问生成 终端设备与协调器之间的单播密钥;然后将协调器单播密钥协商询问、终端设备单播密钥协商询问和消息鉴别码组成的单播密钥协商响应发送给协调器;所述的消息鉴别码是终端设备根据协调器单播密钥协商询问和终端设备单播密钥协商询问计算得到的消息鉴别码; 
步骤43]协调器收到单播密钥协商响应后,根据基密钥、协调器单播密钥协商询问和终端设备单播密钥协商询问计算单播密钥,然后验证协调器单播密钥协商询问的一致性和终端设备的消息鉴别码的有效性,若验证不通过,则单播密钥协商失败;若验证通过,则协调器将协调器单播密钥协商询问以及对终端设备单播密钥协商询问计算的消息鉴别码组成的单播密钥协商确认发送给终端设备; 
步骤44]终端设备收到单播密钥协商确认后,验证终端设备单播密钥协商询问的一致性和协调器的消息鉴别码的有效性;若验证不通过,则单播密钥协商失败;若验证通过,则单播密钥协商成功; 
若认证及密钥管理套件为基于预共享密钥方式的认证及密钥管理套件时,所述单播密钥协商的步骤具体包括:认证成功后,协调器需要建立或更新单播密钥时,协调器判断是不是首次单播密钥协商;如果是首次单播密钥协商,则其过程与认证过程相同,如果不是首次单播密钥协商,则其过程与基于ID方式下的单播密钥协商过程相同。 
上述认证接入方法还包括单播密钥协商完成后的协调器与终端设备进行组播密钥通告的过程;若单播密钥协商通过且协调器需要与该终端设备进行组播密钥协商,则协调器与该终端设备进行组播密钥通告过程。 
所述认证接入方法中的组播密钥通告过程为: 
步骤51]单播密钥协商成功后,协调器要建立或更新组播密钥时,首先利用通告主密钥计算组播密钥,然后使用单播密钥中的加密密钥对通告主密钥进行加密,生成组播密钥通告标识,最后将组播密钥通告标识、已加密的组播通告主密钥和消息鉴别码组成组播密钥通告发送给终端设备;所述的消息鉴别码是协调器利用组播密钥中的鉴别密钥对组播密钥通告标识和已加密的组播通告主密钥计算得到的消息鉴别码; 
步骤52]终端设备收到组播密钥通告后,首先验证组播密钥通告标识并利用通告主密钥计算组播密钥,然后继续验证协调器的消息鉴别码的有效性,若验证不通过,则组播密钥协商失败,若验证通过,则终端设备将组播密钥通告标 识和消息鉴别码组成组播密钥响应发送给协调器;所述的消息鉴别码是终端设备利用本地生成组播密钥中的鉴别密钥对组播密钥通告标识消息计算得到的消息鉴别码; 
步骤53]协调器收到组播密钥响应后,协调器验证组播密钥通告标识的一致性和终端设备的消息鉴别码的有效性;若验证不通过,则组播密钥协商失败,若验证通过,组播密钥协商成功。 
本发明具有如下优点: 
1、终端设备经认证后才能连接到协调器,从而实现了终端设备到无线多跳网络的认证接入。终端设备也可以对协调器进行认证,从而根据认证结果判定是否连接到该协调器。因此,提高了终端设备接入无线多跳网络的安全性和性能。 
2、终端设备和协调器都定义了非受控端口和受控端口,并利用认证结果对它们进行控制,从而形成端口访问控制体系,提高了终端设备接入无线多跳网络的安全性。 
3、终端设备和协调器为不同的安全服务定义了单播密钥协商过程和组播密钥通告过程,从而保证了终端设备和协调器之间的通信安全。 
4、在基于ID方式下,采用了三元对等鉴别协议,可信中心为终端设备和协调器提供公钥撤销表,实现终端设备和协调器的双向认证,提高了终端设备接入无线多跳网络的安全性。 
5、在基于ID方式下,由于基于ID的公钥本身具有撤销特性且基于ID的公钥长度较短,所以减少了公钥撤销查询的次数和减少了传输的通信量,从而提高了终端设备接入无线多跳网络的性能。 
6、在基于ID方式下,可信中心发送给协调器的信息在安全通道中传输,而该安全通道可以利用协调器和可信中心的公私钥对通过非交互方式建立,消除了它们之间的密钥协商过程且降低了可信中心发送给协调器的信息复杂度,从而提高了终端设备接入无线多跳网络的性能。 
附图说明
图1为无线多跳网络的网络拓扑结构图,其中图1A为星型网络拓扑结构图,图1B为网状网络拓扑结构图,图1C为簇型网络拓扑结构图,协调器用“●”表示,终端设备用“○”表示,通信信道用“
Figure 2008100051915_0
”表示,S为网络协调器且充当 网络的可信中心; 
图2是无线多跳网络的认证接入系统结构示意图;图2中,A为请求认证接入的终端设备,B是A所关联的协调器,S是该无线多跳网络的可信中心; 
图3是本发明方法中基于ID方式的认证过程示意图; 
图4是本发明方法中基于ID方式的单播密钥协商过程示意图; 
图5是本发明方法中组播密钥协商过程示意图; 
图6是本发明方法中基于预共享密钥方式的认证过程示意图; 
图7是本发明方法中基于1D方式的认证过程的流程示意图; 
图3、图4、图5、图6中的符号意义如下: 
N1      协调器认证询问; 
N2       终端设备认证询问; 
N3       协调器公钥撤销查询询问; 
N4       协调器单播密钥协商询问; 
N5       终端设备单播密钥协商询问; 
NM       组播密钥通告标识; 
HMACCU   单播密钥协商时协调器的消息鉴别码; 
HMACTU   单播密钥协商时终端设备的消息鉴别码; 
HMACCM   组播密钥协商时协调器的消息鉴别码; 
HMACTM   组播密钥协商时终端设备的消息鉴别码; 
ADDID    终端设备和协调器的MAC地址的级联值; 
PECC     ECC域参数; 
PID      基于ID的公共参数; 
SKID-S   可信中心私钥; 
PKID-S   可信中心公钥; 
SKID-T   终端设备私钥; 
PKID-T   终端设备公钥; 
SKID-C   协调器私钥; 
PKID-C   协调器公钥; 
IDC      协调器的身份标识; 
IDT      终端设备的身份标识; 
IDS-CA   无线多跳网络中可信中心的CA证书的主体身份; 
IDNet       无线多跳网络标识; 
TLT-PK      终端设备公钥的有效期; 
TLC-PK      协调器公钥的有效期; 
QFPK        公钥撤销查询标识; 
ReI         接入结果; 
ReT         终端设备公钥撤销结果; 
ReC         协调器公钥撤销结果; 
ResultC-PK  协调器公钥撤销查询结果; 
SigT        终端设备认证请求签名; 
SigC        协调器认证响应签名; 
SigS        公钥撤销查询签名; 
UEK         单播加密密钥; 
UCK         单播完整性校验密钥; 
UMAK        单播消息鉴别密钥; 
NMK         组播通告主密钥 
NMKE        已加密的组播通告主密钥 
MEK         组播加密密钥; 
MCK         组播完整性校验密钥; 
N6          协调器预共享密钥的认证询问; 
N7          终端设备预共享密钥的认证询问; 
HMACCA      预共享密钥认证过程时协调器的消息鉴别码; 
HMACTA      预共享密钥认证过程时终端设备的消息鉴别码。 
具体实施方式
本发明适用于WAPI框架方法(TePA,基于三元对等鉴别的访问控制方法)在包括无线局域网、无线城域网在内的具体网络上应用时的安全应用协议。 
在无线多跳网络的认证接入系统中,认证的目的是要在终端设备和它所关联的协调器之间建立信任,并对在它们之间的链路上传递的数据进行保护。终端设备和它所关联的协调器属于同一个管理域,也就是某个无线多跳网络,而该无线多跳网络的可信中心需要为该无线多跳网络中的所有设备进行配置,如:配置不同认证及密钥管理套件下的密钥信息。 
在无线多跳网络的认证接入系统中,协调器广播信标帧,终端设备通过协调器的信标帧识别协调器所支持的认证及密钥管理套件,然后验证是否支持该协调器信标帧中的认证及密钥管理套件,若支持其中一种认证及密钥管理套件且具有该认证及密钥管理套件下的密钥信息,则终端设备向该协调器发送连接请求命令。若终端设备支持该协调器信标帧中的多种认证及密钥管理套件且具有这些认证及密钥管理套件下的密钥信息,则终端设备选定一种认证及密钥管理套件,然后向协调器发送连接请求命令。连接请求命令中包含终端设备选定的认证及密钥管理套件。 
当协调器收到终端设备的连接请求命令后,协调器在终端设备选定的认证及密钥管理套件下与该终端设备进行认证过程,然后向该终端设备发送连接响应命令。若认证成功,则协调器将该终端设备接入无线多跳网络,它发送的连接响应命令中包含一些接入信息,如:分配的网络地址。若认证成功且协调器需要与该终端设备进行单播密钥协商,则协调器与该终端设备进行单播密钥协商过程。若单播密钥协商通过且协调器需要与该终端设备进行组播密钥协商,则协调器与该终端设备进行组播密钥通告过程。 
终端设备与协调器进行认证过程后将收到该协调器发送的连接响应命令,当终端设备收到该协调器的连接响应命令时,若终端设备与该协调器的认证成功且该协调器发送的连接响应命令中包含一些接入信息,则终端设备连接到该协调器,从而接入该无线多跳网络。若终端设备接入网络后收到该协调器发送的单播密钥协商请求命令,则终端设备与该协调器进行单播密钥协商过程。若终端设备成功完成单播密钥协商过程后收到该协调器发送的组播密钥通告请求命令,则终端设备与该协调器进行组播密钥通告过程。 
终端设备和协调器都定义了非受控端口和受控端口,且具有端口控制能力。非受控端口只能通行认证协议数据包和认证成功前的管理信息,而受控端口可以通行应用数据包。在终端设备和协调器在认证成功前,它们只能使用非受控端口进行通信,而只有在它们认证成功后,它们才会打开受控端口进行通信。 
图2是无线多跳网络的认证接入系统,A为请求认证接入的终端设备,B是A所关联的协调器,S是该无线多跳网络的可信中心,并要求A和B都拥有S所配置的密钥信息,实线表示已认证接入状态,虚线表示需要进行认证接入的状态。 
上述认证及密钥管理套件可以为:基于预共享密钥方式的认证及密钥管理 套件和基于ID方式的认证及密钥管理套件。预共享密钥分为三种:第一种,预共享密钥为整个无线多跳网络共享的主密钥;第二种,预共享密钥为无线多跳网络中的设备与该无线多跳网络的可信中心之间共享的主密钥;第三种,预共享密钥为无线多跳网络中设备之间的主密钥。 
LR-WPAN、HR-WPAN和WSN都支持这种无线多跳网络拓扑结构,所以这种认证接入方法可适用于它们。 
当认证及密钥管理套件为基于ID方式的认证及密钥管理套件时,认证过程的具体实现如下,参见图3。认证过程的流程示意图参见图7。 
步骤1]当协调器从终端设备发送的连接请求命令中得知终端设备选定的认证及密钥管理套件为基于ID方式的认证及密钥管理套件时,协调器进行如下处理: 
a)利用随机数产生器产生协调器认证询问N1,询问也称为挑战字、随机数等; 
b)向终端设备发送协调器认证询问N1、协调器的身份标识IDC和协调器公钥的有效期TLC-PK。 
步骤2]终端设备收到步骤1]中协调器发送的信息后,进行如下处理: 
a)验证协调器公钥的有效期TLT-PK,若已经逾期,则丢弃该信息;否则,利用随机数产生器产生终端设备认证询问N2; 
b)利用预安装的ECC域参数PECC产生用于ECDH交换的临时私钥x和临时公钥x·P; 
c)若终端设备需要请求对协调器公钥PKID-C进行撤销查询,则将公钥撤销查询标识QFPK比特0的值为设为1;否则,设为0; 
d)终端设备使用终端设备私钥SKID-T对公钥撤销查询标识QFPK协调器认证询问N1、终端设备认证询问N2、临时公钥x·P、协调器的身份标识IDC、终端设备的身份标识IDT和终端设备公钥的有效期TLT-PK进行签名计算,生成终端设备认证请求签名SigT; 
e)向协调器发送公钥撤销查询标识QFPK、协调器认证询问N1、终端设备认证询问N2、终端设备临时公钥x·P、协调器的身份标识IDC、终端设备公钥PKID-T 中的后两个字段和终端设备所生成的终端设备认证请求签名SigT。 
步骤3]协调器收到步骤2]中终端设备发送的信息后,进行如下处理: 
a)验证协调器认证询问N1和协调器的身份标识IDC是否与自己在步骤1]中 发送的对应值保持一致,若不一致,则丢弃该信息; 
b)验证终端设备公钥的有效期TLT-PK,若已经逾期,则丢弃该信息; 
c)级联终端设备公钥PKID-T中的后两个字段、无线多跳网络中可信中心的CA证书的主体身份IDS-CA和无线多跳网络标识IDNet,构成终端设备公钥PKID-T,然后使用该终端设备公钥PKID-T和预安装的基于身份的公开参数PID验证终端设备认证请求签名SigT,若签名验证不成功,则丢弃该信息; 
d)检查公钥撤销查询标识QFPK的比特0,若比特0的值为1,则执行e)操作;否则,执行f)操作; 
e)利用随机数生成算法生成协调器公钥撤销查询询问N3。若协调器也需要请求对终端设备公钥PKID-T进行撤销查询,则将公钥撤销查询标识QFPK的比特1的值设为1,向可信中心发送公钥撤销查询标识QFPK、终端设备认证询问N2、协调器公钥撤销查询询问N3、终端设备的身份标识IDT、终端设备的公钥的有效期TLT-PK、协调器的身份标识IDC和协调器公钥的有效期TLC-PK;否则,将公钥撤销查询标识QFPK的比特1的值设为0,向可信中心发送公钥撤销查询标识QFPK、终端设备认证询问N2、协调器公钥撤销查询询问N3、协调器的身份标识IDC和协调器公钥的有效期TLC-PK; 
f)若协调器需要请求对终端设备公钥PKID-T进行撤销查询,则将公钥撤销查询标识QFPK的比特1的值设为1,利用随机数生成算法生成协调器公钥撤销查询询问N3,向可信中心发送公钥撤销查询标识QFPK、协调器公钥撤销查询询问N3、终端设备的身份标识IDT和设备的公钥的有效期TLT-PK;否则,将公钥撤销查询标识QFPK的比特1的值设为0,利用预安装的ECC域参数PECC生成用于ECDH交换的临时私钥y、临时公钥y·P,使用自己的临时私钥y和步骤2中终端设备发送的临时公钥x·P进行ECDH计算,得到主密钥种子(x·y·P)abscissa,对其进行扩展KD-HMAC-SHA256((x·y·P)abscissa,N1‖N2‖“base key expansion forkey and additional nonce”),生成终端设备与协调器之间的基密钥BK,生成接入结果ReI,使用协调器私钥SKID-C对公钥撤销查询标识QFPK终端设备认证询问N2、临时公钥y·P、终端设备的身份标识IDT和接入结果ReI进行签名计算,生成协调器认证响应签名SigC,向终端设备发送公钥撤销查询标识QFPK、终端设备认证询问N2、临时公钥y·P、终端设备的身份标识IDT、接入结果ReI和协调器所生成的协调器认证响应签名SigC,然后执行步骤6]。 
步骤4]可信中心收到步骤3]中协调器发送的信息后,进行如下处理: 
a)检查公钥撤销查询标识QFPK的比特0和比特1的值,若比特0和比特1的值都为1,则执行b)操作;若比特0的值为1而比特1的值为0,则执行c)操作;若比特0的值为0而比特1的值为1,则执行d)操作; 
b)级联无线多跳网络中可信中心的CA证书的主体身份IDS-CA、无线多跳网络标识IDNet、终端设备的身份标识IDT和终端设备公钥的有效期TLT-PK,构成终端设备公钥PKID-T,级联无线多跳网络中可信中心的CA证书的主体身份IDS-CA、无线多跳网络标识IDNet、协调器的身份标识IDC和协调器公钥的有效期TLC-PK,构成协调器公钥PKID-C,然后查询可信中心中该无线多跳网络的基于ID的公钥撤销表,生成终端设备公钥撤销结果ReT和协调器公钥撤销查询结果ResultC-PK,使用可信中心私钥SKID-S对协调器公钥撤销查询结果ResultC-PK进行签名计算,生成公钥撤销查询签名SigS,向协调器发送公钥撤销查询标识QFPK、协调器公钥撤销查询询问N3、终端设备公钥撤销结果ReT、协调器公钥撤销查询结果ResultC-PK和公钥撤销查询签名SigS。协调器公钥撤销查询结果ResultC-PK由终端设备询问N2、协调器公钥撤销结果ReC、协调器的身份标识IDC和协调器公钥的有效期TLC-PK构成; 
c)级联无线多跳网络中可信中心的CA证书的主体身份IDS-CA、无线多跳网络标识IDNet、协调器的身份标识IDC和协调器公钥的有效期TLC-PK,构成协调器公钥PKID-C,然后查询可信中心中该无线多跳网络的基于身份的公钥撤销表,生成协调器公钥撤销查询结果ResultC-PK,使用可信中心私钥SKID-S对协调器公钥撤销查询结果ResultC-PK进行签名计算,生成公钥撤销查询签名SigS,向协调器发送公钥撤销查询标识QFPK协调器公钥撤销查询询问N3、协调器公钥撤销查询结果ResultC-PK和公钥撤销查询签名SigS; 
d)级联无线多跳网络中可信中心的CA证书的主体身份IDS-CA、无线多跳网络标识IDNet、终端设备的身份标识IDT和终端设备公钥的有效期TLT-PK,构成终端设备公钥PKID-T,然后查询可信中心中该无线多跳网络的基于身份的公钥撤销表,生成终端设备公钥撤销结果ReT,向协调器发送公钥撤销查询标识QFPK协调器公钥撤销查询询问N3和终端设备公钥撤销结果ReT; 
可信中心向协调器发送的这些信息在协调器与可信中心之间和安全通道中传输。该安全通道可由协调器和可信中心通过非交互方式建立,如:协调器利用自身的私钥和可信中心公钥生成会话密钥,而可信中心利用自身的私钥和协调器公钥生成会话密钥。 
步骤5]协调器收到步骤4]中可信中心发送的信息后,进行如下处理: 
a)验证公钥撤销查询标识QFPK和协调器公钥撤销查询询问N3是否与步骤3中协调器发送的对应值一致,若不一致,则丢弃信息;否则,则检查公钥撤销查询标识QFPK的比特0和比特1的值,若比特0和比特1的值都为1,则执行b)操作;若比特0的值为1而比特1的值为0,则执行c)操作;若比特0的值为0而比特1的值为1,则执行d)操作; 
b)验证终端设备公钥撤销结果ReT。若终端设备公钥PKID-T已被撤销,则中止该认证过程;否则,执行e)操作后协调器使用协调器私钥SKID-C对公钥撤销查询标识QFPX终端设备认证询问N2、临时公钥y·P、终端设备的身份标识IDT、接入结果ReI、协调器公钥撤销查询结果ResultC-PK和公钥撤销查询签名SigS进行签名计算,生成协调器认证响应签名SigC,向终端设备发送公钥撤销查询标识QFPK终端设备认证询问N2、协调器临时公钥y·P、终端设备的身份标识IDT、接入结果ReI、协调器公钥撤销查询结果ResultC-PK、公钥撤销查询签名SigS和协调器认证响应签名SigC; 
c)执行e)操作后协调器使用协调器私钥SKID-C对公钥撤销查询标识QFPK终端设备认证询问N2、临时公钥y·P、终端设备的身份标识IDT、接入结果ReI、协调器公钥撤销查询结果ResultC-PK和公钥撤销查询签名SigS进行签名计算,生成协调器认证响应签名SigC,向终端设备发送公钥撤销查询标识QFPK、终端设备认证询问N2、临时公钥y·P、终端设备的身份标识IDT、接入结果ReI、协调器公钥撤销查询结果ResultC-PK、公钥撤销查询签名SigS和协调器认证响应签名SigC; 
d)验证终端设备公钥撤销结果ReT。若终端设备公钥PKID-T已被撤销,则中止该认证过程;否则,执行e)操作后协调器使用协调器私钥SKID-C对公钥撤销查询标识QFPK终端设备认证询问N2、临时公钥y·P、终端设备的身份标识IDT和接入结果ReI进行签名计算,生成协调器认证响应签名SigC,向终端设备发送公钥撤销查询标识QFPK终端设备认证询问N2、临时公钥y·P、终端设备的身份标识IDT、接入结果ReI和协调器所生成的协调器认证响应签名SigC; 
e)利用预安装的ECC域参数PECC生成用于ECDH交换的临时私钥y、临时公钥y·P,使用自己的临时私钥y和步骤2中终端设备发送的临时公钥x·P进行ECDH计算,得到主密钥种子(x·y·P)abscissa,对其进行扩展KD-HMAC-SHA256((x·y·P)abscissa,N1‖N2‖“base key expansion for key and additionalnonce”),生成终端设备与协调器之间的基密钥BK,生成接入结果ReI。 
步骤6]终端设备收到步骤3]或步骤5]中协调器发送的信息后,进行如下处理: 
a)验证终端设备询问N2、终端设备的身份标识IDT和公钥撤销查询标识QFPK 的比特0的值是否与步骤2中终端设备发送的对应值一致,若不一致,则丢弃信息; 
b)级联无线多跳网络中可信中心的CA证书的主体身份IDS-CA、无线多跳网络标识IDNet、协调器的身份标识IDC和协调器公钥的有效期TLC-PK,构成协调器公钥PKID-C,使用协调器公钥PKID-C和预安装的基于身份的公开参数PID验证协调器认证响应签名SigC,若签名验证不成功,则丢弃该信息; 
c)若公钥撤销查询标识QFPK的比特0的值为1时,则执行d)操作;否则,执行e)操作; 
d)使用可信中心公钥PKID-S和预安装的基于身份的公开参数PID验证公钥撤销查询签名SigS,若签名验证不成功,则丢弃该信息;否则,验证协调器公钥撤销查询结果ResultC-PK中终端设备询问N2、协调器的身份标识IDC和协调器公钥的有效期TLC-PK的一致性以及协调器公钥撤销结果ReC。若满足一致性且协调器公钥未被撤销,则执行e)操作;否则,丢弃该信息; 
e)终端设备使用自己的临时私钥x和协调器临时公钥y·P进行ECDH计算,得到主密钥种子(x·y·P)abscissa,对其进行扩展KD-HMAC-SHA256((x·y·P)abscissa,N1‖N2‖“base key expansion for key and additional nonce”),生成终端设备与协调器之间的基密钥BK。 
当认证及密钥管理套件为基于ID方式的认证及密钥管理套件时,单播密钥协商过程的具体实现如下,参见图4。 
步骤1]认证成功后,协调器要建立或更新单播密钥时,协调器进行如下处理: 
协调器利用随机数产生器产生协调器单播密钥协商询问N4,向终端设备发送协调器单播密钥协商询问N4; 
步骤2]终端设备收到步骤1]中协调器发送的信息后,进行如下处理: 
a)级联终端设备和协调器的MAC地址,得到终端设备和协调器的MAC地址的级联值ADDID; 
b)终端设备利用随机数产生器产生终端设备单播密钥协商询问N5,然后计算KD-HMAC-SHA256(BK,ADDID‖N4‖N5‖“pairwise key expansion for unicast and additional keys and nonce”),生成单播加密密钥UEK、单播完整性校验密钥UCK和单播消息鉴别密钥UMAK。BK是终端设备在认证过程中产生的终端设备与协调器之间的基密钥BK。 
c)用单播消息鉴别密钥UMAK通过HMAC-SHA256算法对协调器单播密钥协商询问N4和终端设备单播密钥协商询问N5进行消息鉴别码计算,生成单播密钥协商时终端设备的消息鉴别码HMACTU,然后向协调器发送协调器单播密钥协商询问N4、终端设备单播密钥协商询问N5和单播密钥协商时终端设备的消息鉴别码HMACTU。 
步骤3]协调器收到步骤2]中终端设备发送的信息后,进行如下处理: 
a)验证协调器单播密钥协商询问N4的一致性,若不一致,则丢弃该信息; 
b)级联终端设备和协调器的MAC地址,得到终端设备和协调器的MAC地址的级联值ADDID。 
c)计算KD-HMAC-SHA256(BK,ADDID‖N4‖N5‖“pairwise key expansionfor unicast and additional keys and nonce”),生成单播加密密钥UEK、单播完整性校验密钥UCK和单播消息鉴别密钥UMAK。BK是终端设备在认证过程中产生的终端设备与协调器之间的基密钥BK。利用所生成的单播消息鉴别密钥UMAK通过HMAC-SHA256算法本地计算协调器单播密钥协商询问N4和终端设备单播密钥协商询问N5的消息鉴别码,与所接收到信息中的单播密钥协商时终端设备的消息鉴别码HMACTU比较,若相同,则执行操作d);否则,丢弃该信息。 
d)用协调器所生成的单播消息鉴别密钥UMAK通过HMAC-SHA256算法对终端设备单播密钥协商询问N5进行消息鉴别码计算,生成单播密钥协商时协调器的消息鉴别码HMACCU,然后向终端设备发送终端设备单播密钥协商询问N5和单播密钥协商时协调器的消息鉴别码HMACCU。 
步骤4]终端设备收到步骤3]中协调器发送的信息后,进行如下处理: 
a)验证终端设备单播密钥协商询问N5的一致性,若不一致,则丢弃该信息; 
b)利用本地所生成的单播消息鉴别密钥UMAK通过HMAC-SHA256算法本地计算终端设备单播密钥协商询问N5的消息鉴别码,与所接收到信息中的单播密钥协商时协调器的消息鉴别码HMACCU比较,若相同,则单播密钥协商成功;否则,丢弃该信息。 
当认证及密钥管理套件为基于ID方式的认证及密钥管理套件时,组播密钥协商过程的具体实现如下,参见图5。 
步骤1]单播密钥协商成功后,协调器要建立或更新组播密钥时,协调器进行如下处理: 
a)利用随机数产生器产生组播密钥通告标识NM和组播通告主密钥NMK; 
b)利用协调器和终端设备之间的单播加密密钥UEK对组播通告主密钥NMK进行加密; 
c)利用协调器和终端设备之间的单播消息鉴别密钥UMAK通过HMAC-SHA256算法对组播密钥通告标识NM和已加密的组播通告主密钥NMKE进行消息鉴别码计算,得到组播密钥协商时协调器的消息鉴别码HMACCM。其中,组播密钥通告标识NM为一个整数,存在初始值,在每次密钥更新通告时该值加1。若通告的密钥不变,则该值保持不变。 
d)向终端设备发送组播密钥通告标识NM、已加密的组播通告主密钥NMKE和组播密钥协商时协调器的消息鉴别码HMACCM。 
步骤2]终端设备收到步骤1]中协调器发送的信息后,进行如下处理: 
a)利用协调器和终端设备之间的单播消息鉴别密钥UMAK通过HMAC-SHA256算法本地计算组播密钥通告标识NM和已加密的组播通告主密钥NMKE的消息鉴别码,与所接收到信息中的组播密钥协商时协调器的消息鉴别码HMACCM比较,若不相同,则丢弃该信息; 
b)检查组播密钥通告标识NM是否单调递增,若不是单调递增,则丢弃该信息; 
c)利用协调器和终端设备之间的单播加密密钥UEK对已加密的组播通告主密钥NMKE进行解密,得到组播通告主密钥NMK,利用KD-HMAC-SHA256算法进行扩展,则生成组播加密密钥MEK和组播完整性校验密钥MCK; 
d)利用协调器和终端设备之间的单播消息鉴别密钥UMAK通过HMAC-SHA256算法对组播密钥通告标识NM进行消息鉴别码计算,得到组播密钥协商时终端设备的消息鉴别码HMACTM; 
e)向协调器发送组播密钥通告标识NM和组播密钥协商时终端设备的消息鉴别码HMACTM。 
步骤3]协调器收到步骤2]中终端设备发送的信息后,进行如下处理: 
a)利用协调器和终端设备之间的单播消息鉴别密钥UMAK通过HMAC-SHA256算法本地计算组播密钥通告标识NM的消息鉴别码,与所接收到信息中的组播密钥协商时终端设备的消息鉴别码HMACTM比较,若不相同,则丢弃该信息; 
b)比较组播密钥通告标识NM与步骤1协调器所发送的对应值,若相同,则本次组播密钥协商成功;否则,丢弃该信息。 
c)利用KD-HMAC-SHA256算法对自己生成的组播通告主密钥NMK进行扩展,则生成组播加密密钥MEK和组播完整性校验密钥MCK。 
终端设备认证接入之后,终端设备和可信中心利用公私钥对采用基于ID的非交互密码分享形式建立安全通道。当终端设备作为协调器运行认证接入时,上述建立的安全通道也就可以保护认证过程中协商器和可信中心之间的通信。 
当认证及密钥管理套件为基于预共享密钥方式的认证及密钥管理套件时,认证过程的具体实现如下,参见图6。 
步骤1]当协调器从终端设备发送的连接请求命令中得知终端设备选定的认证及密钥管理套件为基于预共享密钥方式的认证及密钥管理套件且得知预共享密钥的种类时,协调器进行如下处理: 
协调器使用KD-HMAC-SHA256对本地存储的协调器与该终端设备之间的共享密钥进行扩展得到相应的基密钥BK,然后协调器利用随机数产生器产生协调器预共享密钥的认证询问N6,向终端设备发送协调器预共享密钥的认证询问N6。若预共享密钥为第一种和第二种,则上面使用的本地存储的协调器与该终端设备之间的共享密钥都为第一种预共享密钥;否则,为第三种预共享密钥; 
步骤2]终端设备收到步骤1]中协调器发送的信息后,进行如下处理: 
a)终端设备使用KD-HMAC-SHA256对本地存储的终端设备与该协调器之间共享密钥进行扩展得到相应的基密钥BK。若预共享密钥为第一种和第二种,则上面使用的本地存储的协调器与该终端设备之间的共享密钥都为第一种预共享密钥;否则,为第三种预共享密钥; 
b)级联终端设备和协调器的MAC地址,得到终端设备和协调器的MAC地址的级联值ADDID; 
c)终端设备利用随机数产生器产生终端设备预共享密钥的认证询问N7,然后计算KD-HMAC-SHA256(BK,ADDID‖N6‖N7‖“pairwise key expansion forunicast and additional keys and nonce”),生成单播加密密钥UEK、单播完整性校验密钥UCK和单播消息鉴别密钥UMAK。 
d)用单播消息鉴别密钥UMAK通过HMAC-SHA256算法对协调器预共享密钥的认证询问N6和终端设备预共享密钥的认证询问N7进行消息鉴别码计算,生成预共享密钥认证过程时终端设备的消息鉴别码HMACTA,然后向协调器发送协调器预 共享密钥的认证询问N6、终端设备预共享密钥的认证询问N7和预共享密钥认证过程时终端设备的消息鉴别码HMACTA。 
3]协调器收到步骤2中终端设备发送的信息后,进行如下处理: 
a)验证协调器预共享密钥的认证询问N6的一致性,若不一致,则丢弃该信息; 
b)级联终端设备和协调器的MAC地址,得到终端设备和协调器的MAC地址的级联值ADDID。 
c)计算KD-HMAC-SHA256(BK,ADDID‖N6‖N7‖“pairwise key expansionfor unicast and additional keys and nonce”),生成单播加密密钥UEK、单播完整性校验密钥UCK和单播消息鉴别密钥UMAK。利用所生成的单播消息鉴别密钥UMAK通过HMAC-SHA256算法本地计算协调器预共享密钥的认证询问N6和终端设备预共享密钥的认证询问N7的消息鉴别码,与所接收到信息中的预共享密钥认证过程时终端设备的消息鉴别码HMACTA比较,若相同,则执行操作d);否则,丢弃该信息。 
d)用协调器所生成的单播消息鉴别密钥UMAK通过HMAC-SHA256算法对终端设备预共享密钥的认证询问N7进行消息鉴别码计算,生成预共享密钥认证过程时协调器的消息鉴别码HMACCA,然后向终端设备发送终端设备预共享密钥的认证询问N7和预共享密钥认证过程时协调器的消息鉴别码HMACCA。 
4]终端设备收到步骤3中协调器发送的信息后,进行如下处理: 
a)验证终端设备预共享密钥的认证询问N7的一致性,若不一致,则丢弃该信息; 
b)利用本地所生成的单播消息鉴别密钥UMAK通过HMAC-SHA256算法本地计算终端设备预共享密钥的认证询问N7的消息鉴别码,与所接收到信息中的预共享密钥认证过程时协调器的消息鉴别码HMACCA比较,若相同,则认证成功;否则,丢弃该信息。 
当认证及密钥管理套件为基于预共享密钥方式的认证及密钥管理套件时,若协调器与终端设备首次进行单播密钥协商,则单播密钥协商过程与认证过程相同,具体实现参见图6;否则,单播密钥协商过程与基于ID方式下的单播密钥协商过程相同,具体实现参见图4。 
当认证及密钥管理套件为基于预共享密钥方式的认证及密钥管理套件时,组播密钥通告过程与基于ID方式下的组播密钥通告过程相同,具体参见图5。 

Claims (5)

1.一种无线多跳网络的认证接入方法,其特征在于:其包括以下步骤:
步骤11]定义终端设备和协调器的非受控端口和受控端口,使得终端设备和协调器的非受控端口通行认证协议数据包及管理信息,终端设备和协调器的受控端口通行应用数据包;
步骤12]协调器广播信标帧;所述信标帧中包括协调器所支持的认证及密钥管理套件;
步骤13]当终端设备收到协调器的信标帧时,终端设备选定认证及密钥管理套件,然后向协调器发送连接请求命令;所述连接请求命令包括终端设备选定的认证及密钥管理套件;
步骤14]当协调器收到终端设备的连接请求命令时,协调器根据终端设备选定的认证及密钥管理套件与该终端设备进行认证过程;
步骤15]若认证成功,则协调器打开受控端口,允许该终端设备接入无线多跳网络,同时向该终端设备发送连接响应命令;终端设备收到该协调器的连接响应命令后,打开受控端口,从而接入到该无线多跳网络;
所述认证及密钥管理套件包括基于预共享密钥方式的认证及密钥管理套件和基于ID方式的认证及密钥管理套件;
若认证及密钥管理套件为基于ID方式的认证及密钥管理套件时,所述步骤14]的具体认证过程为:
步骤21]当协调器从终端设备发送的连接请求命令中得知终端设备选定的认证及密钥管理套件为基于ID方式的认证及密钥管理套件时,生成协调器认证询问,然后协调器将协调器认证询问和协调器公钥组成认证激活发送给终端设备;
步骤22]终端设备收到认证激活后,验证协调器公钥的有效性;若验证不通过,则丢弃该认证激活,若验证通过,则终端设备生成终端设备认证询问、公钥撤销查询标识和终端设备临时公钥,然后将终端设备认证询问、协调器认证询问、终端设备公钥、公钥撤销查询标识、终端设备临时公钥以及终端设备对前面五项信息的签名组成认证请求发送给协调器;
步骤23]协调器收到认证请求后,验证认证请求签名的合法性、协调器认证询问的一致性和终端设备临时公钥的有效性;若验证不通过,则认证失败,若 验证通过,根据公钥撤销查询标识决定是否进行公钥撤销查询;如果不进行公钥撤销查询,协调器生成协调器临时公钥和接入结果,然后协调器将公钥撤销查询标识、终端设备认证询问、协调器临时公钥、接入结果以及协调器对前面四项信息的签名组成认证响应发送给终端设备,然后进行步骤27];如果进行公钥撤销查询,协调器向可信中心发送公钥撤销查询请求;
步骤24]可信中心收到公钥撤销查询请求后,验证公钥撤销查询请求信息后向协调器发送公钥撤销查询响应;
步骤25]协调器收到公钥撤销查询响应后,验证公钥撤销查询响应信息后向终端设备发送认证响应;同时,协调器根据终端设备临时公钥和协调器临时私钥生成终端设备和协调器之间的基密钥;
步骤26]终端设备收到认证响应后,验证认证响应信息,若验证不通过,则认证失败;若验证通过,则终端设备根据终端设备临时私钥和协调器临时公钥生成终端设备和协调器之间的基密钥,认证成功;
步骤27]终端设备收到步骤23]中协调器发送的认证响应后,验证认证响应的签名的有效性、终端设备认证询问的一致性和接入结果;若验证不通过,则认证失败;若验证通过,则终端设备根据终端设备临时私钥和协调器临时公钥生成终端设备和协调器之间的基密钥,认证成功;
若认证及密钥管理套件为基于预共享密钥方式的认证及密钥管理套件时,所述步骤14]的具体认证过程为:
步骤101]当协调器从终端设备发送的连接请求命令中得知终端设备选定的认证及密钥管理套件为基于预共享密钥方式的认证及密钥管理套件时,协调器首先对本地存储的协调器与该终端设备之间的预共享密钥进行扩展得到相应的基密钥,生成协调器预共享密钥的认证询问,然后将协调器预共享密钥的认证询问组成认证请求发送给终端设备;
步骤102]终端设备收到认证请求后,首先对本地存储的协调器与该终端设备之间的预共享密钥进行扩展得到相应的基密钥,生成终端设备预共享密钥的认证询问,根据该基密钥、协调器预共享密钥的认证询问和终端设备预共享密钥的认证询问生成终端设备与协调器之间的单播密钥,然后将协调器预共享密钥的认证询问、终端设备预共享密钥的认证询问和消息鉴别码组成的认证响应发送给协调器;所述的消息鉴别码是终端设备根据协调器预共享密钥的认证询问和终端设备预共享密钥的认证询问计算得到的消息鉴别码; 
步骤103]协调器收到认证响应后,根据步骤101]中生成的基密钥、协调器预共享密钥的认证询问和终端设备预共享密钥的认证询问计算单播密钥,然后验证协调器预共享密钥的认证询问的一致性和终端设备的消息鉴别码的有效性,若验证不通过,则认证失败;若验证通过,则协调器将终端设备预共享密钥的认证询问和协调器对终端设备预共享密钥的认证询问计算的消息鉴别码组成的认证确认发送给终端设备;
步骤104]终端设备收到认证确认后,验证终端设备预共享密钥的认证询问的一致性和协调器的消息鉴别码的有效性;若验证不通过,则认证失败,若验证通过,认证成功。
2.根据权利要求1所述的无线多跳网络的认证接入方法,其特征在于:所述认证接入方法还包括终端设备成功连接到该协调器时,协调器与终端设备进行单播密钥协商。
3.根据权利要求2所述的无线多跳网络的认证接入方法,其特征在于:若认证及密钥管理套件为基于ID方式的认证及密钥管理套件时,所述单播密钥协商过程为:
步骤41]认证成功后,协调器需要建立或更新单播密钥时,生成协调器单播密钥协商询问,协调器将协调器单播密钥协商询问组成单播密钥协商请求发送给终端设备;
步骤42]终端设备收到单播密钥协商请求后,生成终端设备单播密钥协商询问,根据基密钥、协调器单播密钥协商询问和终端设备单播密钥协商询问生成终端设备与协调器之间的单播密钥;然后将协调器单播密钥协商询问、终端设备单播密钥协商询问和消息鉴别码组成的单播密钥协商响应发送给协调器;所述的消息鉴别码是终端设备根据协调器单播密钥协商询问和终端设备单播密钥协商询问计算得到的消息鉴别码;
步骤43]协调器收到单播密钥协商响应后,根据基密钥、协调器单播密钥协商询问和终端设备单播密钥协商询问计算单播密钥,然后验证协调器单播密钥协商询问的一致性和终端设备的消息鉴别码的有效性,若验证不通过,则单播密钥协商失败;若验证通过,则协调器将协调器单播密钥协商询问以及对终端设备单播密钥协商询问计算的消息鉴别码组成的单播密钥协商确认发送给终端设备;
步骤44]终端设备收到单播密钥协商确认后,验证终端设备单播密钥协商询 问的一致性和协调器的消息鉴别码的有效性;若验证不通过,则单播密钥协商失败;若验证通过,则单播密钥协商成功;
若认证及密钥管理套件为基于预共享密钥方式的认证及密钥管理套件时,协调器与设备认证成功后,协调器需要建立或更新单播密钥时,协调器判断是不是首次单播密钥协商;如果是首次单播密钥协商,则其过程与认证过程相同,如果不是首次单播密钥协商,则其过程与基于ID方式下的单播密钥协商过程相同。
4.根据权利要求2或3所述的无线多跳网络的认证接入方法,其特征在于:所述认证接入方法还包括单播密钥协商完成后的协调器与终端设备进行组播密钥通告的过程;
若单播密钥协商通过且协调器需要与该终端设备进行组播密钥协商,则协调器与该终端设备进行组播密钥通告过程。
5.根据权利要求4所述的无线多跳网络的认证接入方法,其特征在于:
所述认证接入方法中的组播密钥通告过程为:
步骤51]单播密钥协商成功后,协调器要建立或更新组播密钥时,首先利用通告主密钥计算组播密钥,然后使用单播密钥中的加密密钥对通告主密钥进行加密,生成组播密钥通告标识,最后将组播密钥通告标识、已加密的组播通告密钥和消息鉴别码组成组播密钥通告发送给终端设备;所述的消息鉴别码是协调器利用组播密钥中的鉴别密钥对组播密钥通告标识和已加密的组播通告主密钥计算得到的消息鉴别码;
步骤52]终端设备收到组播密钥通告后,首先验证组播密钥通告标识并利用通告主密钥计算组播密钥,然后继续验证协调器的消息鉴别码的有效性,若验证不通过,则组播密钥协商失败,若验证通过,则终端设备将组播密钥通告标识和消息鉴别码组成组播密钥响应发送给协调器;所述的消息鉴别码是终端设备利用本地生成组播密钥中的鉴别密钥对组播密钥通告标识消息计算得到的消息鉴别码;
步骤53]协调器收到组播密钥响应后,协调器验证组播密钥通告标识的一致性和终端设备的消息鉴别码的有效性;若验证不通过,则组播密钥协商失败,若验证通过,组播密钥协商成功。 
CN2008100051915A 2007-12-29 2008-01-23 一种无线多跳网络的认证接入方法 Expired - Fee Related CN101232378B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2008100051915A CN101232378B (zh) 2007-12-29 2008-01-23 一种无线多跳网络的认证接入方法

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200710307299.5 2007-12-29
CN200710307299 2007-12-29
CN2008100051915A CN101232378B (zh) 2007-12-29 2008-01-23 一种无线多跳网络的认证接入方法

Publications (2)

Publication Number Publication Date
CN101232378A CN101232378A (zh) 2008-07-30
CN101232378B true CN101232378B (zh) 2010-12-08

Family

ID=39898576

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008100051915A Expired - Fee Related CN101232378B (zh) 2007-12-29 2008-01-23 一种无线多跳网络的认证接入方法

Country Status (7)

Country Link
US (1) US8656153B2 (zh)
EP (1) EP2234366A4 (zh)
JP (1) JP5421926B2 (zh)
KR (1) KR101144572B1 (zh)
CN (1) CN101232378B (zh)
RU (1) RU2446606C1 (zh)
WO (1) WO2009089738A1 (zh)

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2821225B1 (fr) * 2001-02-20 2005-02-04 Mobileway Systeme de paiement electronique a distance
CN101232378B (zh) * 2007-12-29 2010-12-08 西安西电捷通无线网络通信股份有限公司 一种无线多跳网络的认证接入方法
CN101222772B (zh) * 2008-01-23 2010-06-09 西安西电捷通无线网络通信有限公司 一种基于id的无线多跳网络认证接入方法
CN101383823B (zh) * 2008-10-08 2011-03-23 东南大学 一种可信接入中的网络资源访问控制方法
CN101447992B (zh) 2008-12-08 2011-04-06 西安西电捷通无线网络通信股份有限公司 一种基于三元对等鉴别的可信网络连接实现方法
US8699704B2 (en) * 2010-01-13 2014-04-15 Entropic Communications, Inc. Secure node admission in a communication network
CN101815293B (zh) * 2009-02-20 2012-08-15 华为技术有限公司 无线中继网络中的链路安全认证方法、装置和系统
CN101583083B (zh) * 2009-06-01 2011-11-30 中兴通讯股份有限公司 一种实时数据业务的实现方法和实时数据业务系统
CN101610452B (zh) 2009-07-15 2011-06-01 西安西电捷通无线网络通信股份有限公司 一种传感器网络鉴别与密钥管理机制的融合方法
US8850203B2 (en) * 2009-08-28 2014-09-30 Alcatel Lucent Secure key management in multimedia communication system
US8301883B2 (en) 2009-08-28 2012-10-30 Alcatel Lucent Secure key management in conferencing system
CN102006671B (zh) * 2009-08-31 2014-06-18 中兴通讯股份有限公司 一种实现来电转接的系统及方法
CN101741548B (zh) * 2009-12-18 2012-02-01 西安西电捷通无线网络通信股份有限公司 交换设备间安全连接的建立方法及系统
CN101729249B (zh) 2009-12-21 2011-11-30 西安西电捷通无线网络通信股份有限公司 用户终端之间安全连接的建立方法及系统
JP5378296B2 (ja) * 2010-05-10 2013-12-25 株式会社東芝 通信装置および通信方法
US9385862B2 (en) * 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
US8839373B2 (en) 2010-06-18 2014-09-16 Qualcomm Incorporated Method and apparatus for relay node management and authorization
KR101083127B1 (ko) 2010-08-25 2011-11-11 경희대학교 산학협력단 멀티홉 무선 통신 환경에서 센서 노드들의 비밀값 공유 방법
US8464061B2 (en) * 2010-08-30 2013-06-11 Apple Inc. Secure wireless link between two devices using probes
JP5323020B2 (ja) * 2010-09-29 2013-10-23 三菱電機株式会社 通信システム、通信方法およびハンディターミナル
CN102098668B (zh) * 2010-12-20 2012-11-07 西安西电捷通无线网络通信股份有限公司 一种wapi设备协议中实现健壮性的负面测试的检测系统及其检测方法
CN102223636B (zh) * 2011-07-20 2013-10-23 广州杰赛科技股份有限公司 无线城域网安全接入协议的实现方法及系统
US9756036B2 (en) * 2012-06-15 2017-09-05 Nokia Technologies Oy Mechanisms for certificate revocation status verification on constrained devices
CN102724197B (zh) * 2012-06-25 2015-08-12 上海交通大学 无线中继网络中的链路双向安全认证方法
CN103533541A (zh) * 2012-07-03 2014-01-22 国民技术股份有限公司 网络安全接入方法、网络配置方法及密钥装置
KR101419745B1 (ko) * 2012-08-07 2014-07-17 한국전자통신연구원 물리적 복제 방지 기능을 기반으로 하는 인증 요청 장치, 인증 처리 장치 및 인증 수행 방법
CN102821162B (zh) * 2012-08-24 2016-04-27 上海和辰信息技术有限公司 云计算网络环境下面向松散云节点服务平台的系统
CN102801812B (zh) * 2012-08-24 2016-09-07 上海和辰信息技术有限公司 松散网络环境下新型云服务组件管理的系统与方法
CN102821160B (zh) * 2012-08-24 2016-06-01 上海和辰信息技术有限公司 一种云计算网络环境下面向松散云节点多层次数据保护的系统与方法
EP2738948A1 (en) * 2012-11-28 2014-06-04 Sercel Method for setting frequency channels in a multi-hop wireless mesh network.
WO2014088130A1 (en) * 2012-12-05 2014-06-12 Inha-Industry Partnership Institute Proxy signature scheme
KR101507572B1 (ko) * 2014-03-20 2015-03-31 충남대학교산학협력단 센서 데이터 통신의 보안을 위한 id기반 키 인증 방법
CN104954130B (zh) 2014-03-31 2019-08-20 西安西电捷通无线网络通信股份有限公司 一种实体鉴别方法及装置
US9762395B2 (en) 2014-04-30 2017-09-12 International Business Machines Corporation Adjusting a number of dispersed storage units
CN105208554B (zh) * 2014-06-12 2019-03-05 四川长虹电器股份有限公司 一种实现zigbee终端设备入网的方法、系统和设备
US10091310B2 (en) * 2014-07-17 2018-10-02 Verizon Patent And Licensing Inc. Method and system for high-latency data collection from sensors
CN105323754B (zh) * 2014-07-29 2019-02-22 北京信威通信技术股份有限公司 一种基于预共享密钥的分布式鉴权方法
CN105577365B (zh) * 2014-11-11 2019-04-26 中国移动通信集团公司 一种用户接入wlan的密钥协商方法及装置
EP3941101A1 (en) * 2015-05-22 2022-01-19 Huawei Device Co., Ltd. Cryptographic unit for public key infrastructure (pki) operations
RU2018103181A (ru) 2015-06-30 2019-07-31 Виза Интернэшнл Сервис Ассосиэйшн Конфиденциальные аутентификация и обеспечение
JP6525783B2 (ja) * 2015-07-21 2019-06-05 キヤノン株式会社 通信装置、提供方法、および、プログラム
US10171496B2 (en) * 2016-01-19 2019-01-01 Cisco Technology, Inc. Beacon spoofing prevention
EP3410758B1 (en) 2016-01-29 2020-02-26 Tencent Technology (Shenzhen) Company Limited Wireless network connecting method and apparatus, and storage medium
US20180049027A1 (en) * 2016-08-11 2018-02-15 Qualcomm Incorporated Adding authenticatable signatures to acknowledgements
JP6278290B1 (ja) * 2017-09-14 2018-02-14 タメコ株式会社 認証方法
RU2704268C1 (ru) * 2018-05-18 2019-10-25 Общество с ограниченной ответственностью Фирма "Анкад" Способ, система и устройство криптографической защиты каналов связи беспилотных авиационных комплексов
JP7115027B2 (ja) * 2018-05-22 2022-08-09 ブラザー工業株式会社 通信装置と通信装置のためのコンピュータプログラム
CN109040060B (zh) * 2018-08-01 2021-03-02 广州杰赛科技股份有限公司 终端匹配方法和系统、计算机设备
JP7289111B2 (ja) * 2019-06-26 2023-06-09 パナソニックIpマネジメント株式会社 通信装置、認証方法およびコンピュータプログラム
CN110891273B (zh) * 2019-11-19 2022-09-02 成都亿佰特电子科技有限公司 一种基于ZigBee3.0的无线透传模组互联互通方法
US11363582B2 (en) 2019-12-20 2022-06-14 Qualcomm Incorporated Key provisioning for broadcast control channel protection in a wireless network
CN112512042B (zh) * 2020-10-14 2022-10-14 锐捷网络股份有限公司 通信密钥生成方法、装置、设备和存储介质
CN112399414B (zh) * 2020-11-13 2023-04-14 Oppo广东移动通信有限公司 网络连接方法、装置、电子设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1655504A (zh) * 2005-02-21 2005-08-17 西安西电捷通无线网络通信有限公司 基于端口的对等访问控制方法
CN1835436A (zh) * 2005-03-14 2006-09-20 华为技术有限公司 一种通用鉴权框架及一种实现鉴权的方法
CN101009919A (zh) * 2006-01-24 2007-08-01 华为技术有限公司 一种基于移动网络端到端通信的认证方法

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9903124D0 (en) * 1999-02-11 1999-04-07 Nokia Telecommunications Oy An authentication method
US20020161921A1 (en) * 2001-04-27 2002-10-31 Docomo Communications Laboratories Usa, Inc. Method of selecting a network access measure from multiple access measures
JP3612528B2 (ja) * 2001-10-29 2005-01-19 Necインフロンティア株式会社 パラメータ設定システム
US7363354B2 (en) 2001-11-29 2008-04-22 Nokia Corporation System and method for identifying and accessing network services
JP3940670B2 (ja) * 2001-12-26 2007-07-04 株式会社東芝 無線通信システム及び無線通信装置並びに無線通信方法
EP1504621B1 (en) * 2002-05-13 2013-04-17 Thomson Licensing Seamless user authentication in a public wireless local area network
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
EP1566938A1 (en) 2004-02-18 2005-08-24 Sony International (Europe) GmbH Device registration in a wireless multi-hop ad-hoc network
US20050238171A1 (en) * 2004-04-26 2005-10-27 Lidong Chen Application authentication in wireless communication networks
WO2006069604A1 (en) * 2004-12-30 2006-07-06 Telecom Italia S.P.A. Method and system for detecting attacks in wireless data communication networks
JP4715239B2 (ja) * 2005-03-04 2011-07-06 沖電気工業株式会社 無線アクセス装置、無線アクセス方法及び無線ネットワーク
JP5030948B2 (ja) * 2005-05-12 2012-09-19 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 無線メッシュネットワークに関する分散型媒体アクセスプロトコル
JP2006332788A (ja) * 2005-05-23 2006-12-07 Toshiba Corp 基地局装置、無線通信システム、基地局制御プログラムおよび基地局制御方法
JP2006345205A (ja) * 2005-06-08 2006-12-21 Toyota Industries Corp 無線lan接続管理方法、無線lan接続管理システム及び設定用無線中継装置
US7676676B2 (en) * 2005-11-14 2010-03-09 Motorola, Inc. Method and apparatus for performing mutual authentication within a network
US8191161B2 (en) 2005-12-13 2012-05-29 Microsoft Corporation Wireless authentication
CN101421981B (zh) * 2006-03-15 2013-11-27 松下电器产业株式会社 用于自组织网络的分布式无线媒体访问控制协议
WO2008088052A1 (ja) * 2007-01-19 2008-07-24 Panasonic Corporation 無線通信方法および無線通信装置
CN100534036C (zh) * 2007-08-01 2009-08-26 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接方法
CN101232378B (zh) * 2007-12-29 2010-12-08 西安西电捷通无线网络通信股份有限公司 一种无线多跳网络的认证接入方法
CN101222772B (zh) 2008-01-23 2010-06-09 西安西电捷通无线网络通信有限公司 一种基于id的无线多跳网络认证接入方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1655504A (zh) * 2005-02-21 2005-08-17 西安西电捷通无线网络通信有限公司 基于端口的对等访问控制方法
CN1835436A (zh) * 2005-03-14 2006-09-20 华为技术有限公司 一种通用鉴权框架及一种实现鉴权的方法
CN101009919A (zh) * 2006-01-24 2007-08-01 华为技术有限公司 一种基于移动网络端到端通信的认证方法

Also Published As

Publication number Publication date
EP2234366A4 (en) 2013-03-06
RU2010131184A (ru) 2012-02-10
JP2011512699A (ja) 2011-04-21
KR101144572B1 (ko) 2012-05-14
WO2009089738A1 (fr) 2009-07-23
RU2446606C1 (ru) 2012-03-27
US20100293370A1 (en) 2010-11-18
KR20100095653A (ko) 2010-08-31
JP5421926B2 (ja) 2014-02-19
US8656153B2 (en) 2014-02-18
CN101232378A (zh) 2008-07-30
EP2234366A1 (en) 2010-09-29

Similar Documents

Publication Publication Date Title
CN101232378B (zh) 一种无线多跳网络的认证接入方法
CN101222772B (zh) 一种基于id的无线多跳网络认证接入方法
CN101222325B (zh) 一种基于id的无线多跳网络密钥管理方法
JP4551202B2 (ja) アドホックネットワークの認証方法、および、その無線通信端末
US9356778B2 (en) Secured communication for local area network
US9509670B2 (en) System and method for managing secure communications in an Ad-Hoc network
CN101442749B (zh) 基于wapi的无线网状网的认证方法
CN101448262A (zh) 基于wapi的无线网状网的认证方法
EP2475147B1 (en) Local area network
CN101635922B (zh) 无线网状网络安全通信方法
KR100892616B1 (ko) 무선 센서 네트워크에서의 새로운 장치 참여 방법
Tao et al. Piconet security in IEEE 802: 15.3 WPAN
Sanchez et al. Extending private personal area networks to personal network federations in heterogeneous ad hoc scenarios
Ismail et al. A SECURE PROTOCOL FOR IMPULSIVE WIRELESS ADHOC NETWORK

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20101208

Termination date: 20220123