CN101371491A - 提供无线网状网络的方法和装置 - Google Patents
提供无线网状网络的方法和装置 Download PDFInfo
- Publication number
- CN101371491A CN101371491A CNA2007800021928A CN200780002192A CN101371491A CN 101371491 A CN101371491 A CN 101371491A CN A2007800021928 A CNA2007800021928 A CN A2007800021928A CN 200780002192 A CN200780002192 A CN 200780002192A CN 101371491 A CN101371491 A CN 101371491A
- Authority
- CN
- China
- Prior art keywords
- key
- aaa
- mesh
- eap
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Abstract
本发明涉及用于提供无线网状网络的方法和装置,其中具有新的节点(或节点上的功能),其连接在网格节点(MP-A,MP-C)和设置在基础设施网络中的AAA服务器(AAA-S)之间,并基于加密基础信息在随后的认证尝试中以代理服务器的类型尤其是时间有限地代替AAA服务器执行认证,该加密基础信息是该节点在第一网格节点的初始成功认证之后获得的。
Description
技术领域
本发明涉及一种用于提供按照权利要求1的前序部分的无线网状网络的方法,以及一种用于提供按照权利要求30的前序部分的无线网状网络的装置。
本发明涉及用于提供对网状网络的节点之间的消息进行加密的密钥的方法和系统。
背景技术
无线网状网络是一种连成网格的网络,其例如实施在无线局域网(WLAN)中。在网状网络中,移动节点可以将来自另一个移动节点的数据传送给其它移动节点或者传送给基站。在网状网络中,可以跨越非常大的距离,尤其是在不平坦的或复杂的地区。网状网络还非常可靠地工作,因为每个移动节点都与其它若干节点连接。如果一个节点出现故障,例如因为硬件缺陷,则其相邻节点会查找替代的数据传输路径。固定的或移动的设备都可以参与网状网络。
图1示意性示出现有技术的网状网络。节点包括专用网格节点(MN),这些节点属于该网络的基本结构。这些专用网格节点可以是固定的基站BS,也可以是移动站MS。除了专用的网格节点之外,网状网络还包括用户的移动终端设备或移动节点。移动节点可以直接与其它移动节点通信,并直接或间接通过其它节点与连接到数据网络的网关GW的基站BS交换数据。在此,数据分组DP从一个设备或节点传递到下个设备,直到到达目标设备或网关GW为止。数据分组DP的传递在此通过动态路由进行。数据分组DP传输经过的路径在此是动态地基于节点的可用性以及基于网络负载来计算出来的。总的来说,网状网络的特征在于很高的网络覆盖、很高的可靠性以及对可用资源的节省的利用。在无线网状网络中,无线的传输路段通常通过WLAN(无线局域网)的传输路段实现。与无线个人域网(WPAN)相比,WLAN网络具有更大的发送功率和作用范围,并提供更高的数据传输率。
为了认证节点或计算机,采用所谓的EAP(可扩展认证协议)。图2示出显示传统WLAN网络中的认证过程的信号图。EAP协议在WLAN中用于保护网络入口。多种具体的认证方法,即所谓的EAP方法可以通过EAP协议传输,如EAP-TLS,EAP-AKA,PEAP-MSChapv2。在认证时确定密码密钥或会话密钥MSK、EMSK(MSK:Master-Session Key,主会话密钥;EMSK:Extended Master Session Key,扩展主会话密钥),该密钥随后例如在链路层加密中用于保护数据通信。用户的认证在用户和认证服务器(AAA服务器)之间进行。在认证成功的情况下,认证服务器向认证者(如WLAN接入点AP)发送认证的结果以及来自该认证的会话密钥MSK。接入点AP和认证服务器之间的通信通常通过半径或直径数据传输协议进行。在此,会话密钥MSK作为数据属性发送给接入节点AP,以作为EAP成功消息的一部分。所传送的会话密钥MSK接着根据802.11IEEE标准用在用户和接入点之间的802.114路径握手802.114WHS中。
在传统的网络中,接入节点AP是可信任的节点,即网络基础结构的节点。因此接入节点在传统的网络中不是终端用户节点。
图3示出对传统WLAN网络中两个节点MP-A、MP-B的认证。两个节点MP-A、MP-B例如可以是网状网络的两个网格节点。为了在两个节点MP-A、MP-B之间建立数据连接,首先在对应的认证服务器AS中借助EAP数据传输协议认证终端节点MP-A(作为请求者)。在EAP成功消息中,节点MP-B(认证者)获得会话密钥MSK1。接着节点MP-B与节点MP-A进行4路径握手,并在此过程中采用所获得的会话密钥MSK1。接着,节点MP-B(现在作为请求者)在对应的认证服务器AS中进行认证,而且MP-A(现在是认证者)在EAP成功消息中获得第二会话密钥MSK2。接着节点MP-A与节点MP-B在采用第二会话密钥MSK2的情况下进行4路径握手。这两次认证可以不是连续的而是交错地进行。
在两个节点MP-A、MP-B之间的其它通信中,该通信可以通过两个会话密钥MSK1、MSK2之一来保护。
图3所示的现有技术的措施的缺点在于,节点MP-A、MP-B可以是网格节点,它们不是网络接入基础结构的一部分,因此是可操纵的。由于网格节点与相邻的网格节点通信,因此对一个网格节点需要进行多次认证。这导致认证服务器的负担过高,而且向基础设施网络中的认证服务器传送认证消息的信令费用过高。
发明内容
本发明要解决的技术问题是给出用于提供无线网状网络的改进的方法和装置。
该技术问题基于权利要求1的前序部分通过特征部分的特征解决,以及基于权利要求30的前序部分通过特征部分的特征解决。
在本发明用于提供无线局域网的方法中,根据IEEE802.11标准及其衍生物、尤其是IEEE802.15或IEEE802.16建立的静止通信装置以及移动通信装置按照网格的形式连接成子网,该子网连接到基础设施网络,使得该子网可以与设置在基础设施网络中的“认证授权计费”AAA服务器,在使用扩展认证协议EAP的条件下通过对应于子网的站交换认证消息,在对子网的第一通信装置进行了首次成功认证之后,通过给出关于为了认证第一通信装置而要完成的根据EAP协议定义的认证者角色的子网通信装置的第一身份信息,第一服务器在第一有效时间段中产生恰好一次对该子网有效的加密基础信息,其中该加密基础信息被传送给唯一对应于该子网的战,该站至少存储该加密基础信息,而且向第一通信装置分配给出的身份信息,该站在首次认证之后通过在忽略AAA服务器的情况下给出按照代理服务器类型的第二身份信息,基于通过给出的第二身份信息确定的加密基础信息忽略,并通过使用扩展认证协议EAP在第一通信装置上对子网的第二通信装置进行认证尝试,以及第二通信装置提供通过采用所存储的加密基础信息为第二通信装置获得的密钥,用于与第一通信装置进行密码保护的通信。
由本发明的方法给出的优点一方面在于基础设施服务器AAA服务器比现有技术中的负担更少。这是因为,AAA服务器原则上只需要进行第一通信装置的第一次登录,而第一通信装置的随后的登录借助站来进行。此外,基础设施网络内的用于传送所需要的EAP登录消息的信令费用减小了。此外,刚开始的登录之后的登录可以明显更快地执行,因为向站的消息传输比向通常远距离的基础设施AAA服务器的消息传输更快地进行。该费用另外还限于各第一通信装置,因为对于保证认证者角色的通信装置来说,是第一次认证还是随后的认证并不重要。
在优选的扩展中,加密基础信息包含至少一个加密密钥作为信息,利用该加密密钥可以执行保密的认证,因此提供密码密钥,该密钥可以用于两个网格通信装置之间的保护的通信。所提供的密钥在保护的认证中优选动态地作为会话密钥产生。因此为了保护链接到每个相邻的通信装置而提供不同的密钥材料。
如果加密密钥通过站存储为分配给第一通信设备的密钥,则确保每个第一通信设备具有本发明的密钥。
优选的,为了实施认证尝试而使用该存储的密钥。尤其是可以使用EAP方法之一EAP PSK、具有TLS-PSK的EAP TLS(采用预共享密钥的TLS)或EAP AKA。
如果站存储了从加密密钥中推导出并分配给第一通信设备的密钥,则加密密钥不用于不同的目的,而是推导出的密钥例如用于第一通信装置的其它认证,从而提供附加的安全性。
此外优选的是,AAA服务器从加密密钥中推导出密钥,并作为在首次认证中分配给第一通信设备的密钥作为密钥信息的一部分传送。
优选的,分配的密钥的传送用按照EAP协议实施为EAP成功消息的消息进行。其优点是本发明的方法可以在现有系统中不进行较大匹配的情况下实施,因为各第二通信装置都获得在现有技术中已经公知的密钥。
如果该推导如下进行:所分配的密钥借助密钥推导功能基于按照EAP协议形成的主会话密钥MSK密钥产生,则可以更为轻松地执行本发明的方法,如果该推导如下进行:所分配的密钥借助密钥推导功能基于按照EAP协议形成的扩展主会话密钥EMSK密钥产生,则也可以轻松地执行本发明的方法,因为两个都是在IEEE802.11及其衍生物中使用的加密密钥。
如果该推导通过AAA服务器进行,其优点是可以使用MSK和EMSK密钥。
在从EMSK密钥中推导时,优选除了MSK之外,还从AAA服务器向站传送从EMSK推导出的密钥。
如果该推导通过站进行,则AAA服务器不必扩展到执行该密钥推导。
如果作为所分配的加密密钥的密钥推导函数采用按照密码哈希函数的函数,如SHA-1、SHA-256或MD5,则保证密码的分离,从而避免将唯一的一个密钥用于不同目的。
相反,如果所分配的加密密钥的密钥推导函数基于所谓的键控哈希函数,尤其是根据RFC2104的HMAC,则其优点是,还可以在密钥推导中加入字符串,其例如说明所推导的密钥的使用目的。
在非常实用的扩展中,所分配的加密密钥按照从以下公式给出的密钥推导函数形成:
M-AAA-KEY=HMAC-SHA-1(MSK,“MESH-AAA-KEY”)
其中,用“M-AAA-KEY”表示所推导的密钥,用“HMAC-SHA-1”表示在采用哈希函数“SHA-1”的情况下的键控哈希函数HMAC,用“MSK”表示根据EAP协议确定的主会话密钥,用“MESH-AAA-KEY”表示任意字符串,尤其是说明密钥的使用目的的字符串。
优选的,用根据EAP协议形成的主会话密钥MSK密钥或扩展主会话密钥EMSK密钥分配的密钥具有密钥身份,因为这是计算花费较少的变形。
如果第一有效时间段等于根据EAP协议形成的主会话密钥和/或扩展主会话密钥的有效持续时间,则随后的认证的有效性不会比第一次认证的有效性长,而是第一次认证的密钥的有效持续时间对随后的认证也适用,从而绝对终点时刻是相同的,同时确定所分配的密钥的有效持续时间的第二有效时间段导致从认证开始测得的相对有效持续时间是相同的,该第二有效时间段等于根据EAP协议形成的主会话密钥的有效持续时间。
替换的,确定所分配的密钥的有效持续时间的第二有效时间段通过固定次数的可靠认证来确定,从而可以限制认证的次数。
同样合适的扩展在于,作为站采用将子网与基础设施网络连接的转换器(网关)。
如果向加密信息添加确定网络属性的参数,尤其是所谓的策略如最大带宽、QoS预留、有效持续时间、涉及使用者的帐户信息和/或通信过滤规则,则也为随后对各认证者通信装置的认证提供该信息。
特别合适的是,在第一次认证之后的认证根据按照EAP协议指定的EAP-PSK方法进行。其优点是,借助所采用的方法确定站,使得该站在代理服务器含意下为当前的认证尝试,在忽略与AAA服务器通信的条件下执行该认证。
有利的是,所述实施根据代理服务器的类型进行,使得在首次进行的认证之后通过在站中结束按照EAP协议形成的消息来忽略AAA服务器,其中该结束依据与该消息相关的信息进行。由此提供了一种简单的方法,利用该方法执行本发明的方法,从而按照本发明的方法进行的认证尝试可以在站中结束,同时第一次认证尝试和其它消息可以继续发送给AAA服务器,这在现有技术中公知。
一种没有很大修改花费的简单实施现有系统的方法在于,作为相关的信息检测所采用的EAP协议方法的类型。替换的,优选作为相关的信息操纵“网络接入标识符”NAI,其尤其具有user@realm的形式,其中“user”表示发送消息的站,“realm”表示尤其是通过AAA服务器提供的域,使得由该与消息相关的信息给出所述站作为收件人。由此在EAP系统中常见的用于寻址的结构前后一致地用于本发明。在此,优选添加表示站的字符串,NAI尤其是具有“{mesh-aaa}user@realm”的形式、“user{mesh-aaa}@realm”或user@{mesh-aaa}.realm的形式,这有利地导致站被唯一的表示和寻址。另一个优选的替换是,作为对域表示符号的操纵而设置站的表示符号,并尤其具有user@mesh-aaa的形式。
如果在有效时间段结束之后其它认证仅在新的、尤其是在该有效时间段结束之前在AAA服务器上执行的第一次认证之后成功进行,则第一次认证和随后的基于该第一次认证的认证的有效性是有限的,从而提高了安全性,因为必须启动新的、保证安全性的认证过程。
替换的或补充的,加密基础信息包括至少一个按照RFC4187第一节形成的AKA的类型的认证向量作为信息,其中优选为了形成AKA加密向量设置按照EAP协议形成的主会话密钥作为根据AKA类型需要的秘密密钥。
附图说明
本发明的其他细节和优点从图1至图3显示的现有技术出发,借助图4至图7显示的实施例详细解释。
图1示出网状网络的情况,
图2示出按照Draft D0.01 IEEE802.11的网格认证的流程图,
图3示出按照现有技术的WLAN认证的流程图,
图4示出按照本发明实施例的初始网格登录的流程图,
图5示出在初始网格登录之后的认证的流程图,
图6示出本发明第二实施例的流程图,
图7示出本发明第三实施例的流程图。
具体实施方式
基于在图1至图3中示出的场景,在随后的附图中借助实施例详细解释本发明的方法,其中相同的部件和方法步骤包含相同的附图标记。
本发明的核心在于,在图4至图6中用MESH-AAA表示的新的节点或在该节点上实现的功能将作为AAA代理运行,该AAA代理连接在网格节点和AAA服务器之间。
该新的节点MESH-AAA例如可以在网格网关节点GW上实现,该网格网关节点将网状网络与基础设施网络连接。
本发明的方法在于,在对第一网格节点、即新节点的第一通信装置MP-A进行了成功的认证之后,站MESH-AAA存储了由AAA服务器AAA-S获得的密钥或由该密钥推导的密钥,而且使得该密钥被分配给第一通信装置MP-A。
在图4中,该密钥称为M-AAA密钥。替换或补充的,按照本发明如果AAA服务器AAA-S具有用于运行连接的参数,即用于第一通信装置MP-A的所谓策略POLICY,则同样将该参数发送给站MESH-AAA,而且还对应于第一通信装置MP-A地存储起来。
涉及第一通信装置MP-A或密钥M-AAA-KEY的其它属性或参POLICY,如密钥LT的有效持续时间或用户标识,同样对应于第一通信装置MP-A地存储在站MESH-AAA中。在此优选密钥M-AAA-KEY的有效持续时间等于会话密钥MSK的有效持续时间。
第一通信装置MP-A也存储定向的、并传送给站MESH-AAA的密钥M-AAA-KEY,其中该密钥还没有传送给第一通信装置MP-A,而是由第一通信装置MP-A本身确定为公知EAP认证的结果。
此外按照本发明,为了让第一通信装置MP-A在网状网络的其它网格节点上进行EAP登录而采用密钥M-AAA-KEY,其中优选采用适合于该保密密钥或所谓的秘密密钥的EAP方法,如EAP-PSK方法。
此外,在其他登录中站MESH-AAA作为AAA服务器工作,也就是认证尝试导致站MESH-AAA结束EAP协议,为此采用所存储的数据如密钥M-AAA-KEY以及参数POLICY,基础设施网络INFRASTRUCTURENETWORK的AAA服务器AAA-S不再参与这些登录。
该措施的效果一方面在于,在例如根据会话密钥MSK的有效持续时间确定的有限的持续时间期间,AAA服务器AAA-S的任务由代表MESH网状网络的所有AAA客户的站MESH-AAA执行。
确定本发明的网格密钥M-AAA-KEY可以如下所示实现。一方面,可以将密钥M-AAA-KEY设置为与会话密钥MSK相同,该会话密钥MSK是由EAP认证产生的,或者网格密钥M-AAA-KEY基于密钥推导函数KDF从会话密钥MSK中确定,这可以通过AAA服务器AAA-S或者通过站MESH-AAA进行。最后还可以基于密钥推导函数KDF用扩展的会话密钥EMSK在AAA服务器AAA-S上计算出密钥M-AAA-KEY。在此,对密钥推导函数KDF首先适用密码哈希函数,如SHA-1、MD5、SHA256或基于它们的键控哈希函数,如根据RFC2104的HMAC。
作为密钥推导函数的具体实施方式,例如采用
M-AAA-KEY=HMAC-SHA-1(MSK,“MESH-AAA-KEY”)
其中字符串“MESH-AAA-KEY”清楚说明所推导的密钥的使用目的。
如果网格密钥M-AAA-KEY的密钥推导在AAA服务器AAA-S上进行,则AAA服务器AAA-S将推导出的密钥M-AAA-KEY作为EAP成功消息EAP-SUCCESS的一部分发送出去,而在该推导在站MESH-AAA上进行,或者网格密钥M-AAA-KEY采用会话密钥MSK的值,即不采用密钥推导的情况下,从AAA服务器AAA-S不传送其它密钥。在此,首次提到的选择从安全角度来考虑是优选的,而第二种从部署角度来考虑更为简单。
按照EAP网络接入标识符NAI的识别信息通常具有“user@realm”的格式,而且按照本发明就以这种格式应用,也就是说在“@”后面给出AAA服务器AAA-S的域,而根据本发明在随后的认证尝试中,即在采用所存储的密钥M-AAA-KEY的情况下,由于站MESH-AAA接管AAA服务器AAA-S的功能而对其寻址。为此按照本发明存在以下的优选实施可能:
暗示:第一通信装置MP-A在随后的登录中也使用相同的NAI,以及站MESH-AAA仅借助采用的EAP协议方法如EAP-PSK检测到是站MESH-AAA而不是AAA服务器AAA-S应当处理EAP协议。
此外还可以转换原始NAI的格式,即在常见NAI形式的任意位置上添加字符串,其中这样的例子是站MESH-AAA的符号,从而原则上提供采用“{mesh-aaa}user@realm”的形式、“user{mesh-aaa}@realm”或“user@{mesh-aaa}.realm”作为地址的可能。
最后还可以将站MESH-AAA的区域清楚地设置为realm,从而NAI具有user@mesh-aaa的形式。
密钥M-AAA-KEY的有效持续时间,也就是其最大寿命通过密钥M-AAA-KEY的有效持续时间确定。如果该有效持续时间结束,则不能用站MESH-AAA执行新的EAP认证,从而客户的EAP登录失败,该客户据此必须进行新的认证,如在本发明的第一步骤中用AAA服务器AAA-S执行的,由此又将新的密钥(其有效持续时间还没有结束)M-AAA-KEY用于站MESH-AAA。
优选的,第一通信装置MP-A与AAA服务器AAA-S早在密钥M-AAA-KEY的有效持续时间结束之前一些时间就重新执行认证。
对采用如密钥M-AAA-KEY的秘密密钥的替换在于,AAA服务器AAA-S不产生密钥M-AAA-KEY而产生所谓的AKA认证向量AV,并将其传送给站MESH-AAA,其中为了在网状网络MESH中对第一通信装置MP-A进行后续认证而采用AKA认证向量。
适用于此的方法是EAP方法EAP-AKA(根据RFC4187)。
密钥M-AAA-KEY和AKA认证向量的集合之间的主要区别是,密钥M-AAA-KEY可以用于在有效时间段内的任意多次的认证,相反AKA认证向量只能用于一次认证,此后就耗尽了。
在此,按照本发明应当采用第一次EAP登录的会话密钥MSK或EMSK来代替秘密密钥,否则该秘密密钥在AKA中在AKA定义的“身份模块”和“家用环境”之间持续使用(参见RFC4187,第一节)。第一通信装置MP-A在此不一定使用身份模块,如3GPP SIM卡或USIM,而是执行相应的操作本身,并为此使用会话密钥MSK或EMSK作为秘密密钥。同样,站MESH-AAA执行家用环境的操作,也就是产生认证向量。
为了根据RFC4187,第一节进行产生而需要的序列号,在每次成功执行时都用AAA服务器AAA-S重新初始化,例如用零值。由于AKA秘密密钥也是新定义的,因此不会影响安全性,从而该变形的优点总的来说很大,使得在有效时间段内不能有任意多次的认证通过站MESH-AAA执行,而是在由AAA服务器AAA-S检查的条件下只要执行与提供的认证向量一样多的认证。
本发明的主要优点在于,只有网格节点的第一次EAP认证必须由AAA服务器AAA-S执行,而其它EAP过程只需在使用站MESH-AAA的情况下进行。
此外,通过本发明的方法基于密钥M-AAA-KEY的使用为随后的EAP过程执行非常有效的、基于秘密密钥的认证,而AAA服务器AAA-S可以使用任意的EAP方法,包括那些需要很多计算的证明检验或公共密钥运算,如EAP-TLS或PEAP。AAA服务器AAA-S由此不会被现有的认证尝试占用,由此可以被施加更少的功率。
在图4中示出本发明方法的首次登录的流程图。
在此可以看出,由第一通信装置MP-A与通信装置MP-B进行按照标准IEEE802.11的连接建立,该第一通信装置在示出的登录中扮演请求者SUPP的角色,通信装置MP-B则扮演认证者AUTH的角色。该连接建立在下个步骤中触发按照现有技术的公知的第一次EAP认证EAP认证1。在该EAP认证中,第一通信装置MP-A与AAA服务器AAA-S通信,后者在EAP认证成功之后将EAP成功消息EAP-SUCCESS与第一会话密钥MSK1以及该连接的参数或属性策略-A(POLICY-A)、LT-A传送给本发明的站MESH-AAA。该站接着存储用于第一通信装置MP-A的NAI、密钥M-AAA-KEY,其是从会话密钥MSK1中通过密钥推导函数KDF确定的、参数或属性POLICY-A、LT-A作为分配给第一通信装置MP-A的数据组,并将EAP成功消息EAP-SUCCESS发送给扮演认证者角色的站MP-B,从而接下来在公知的握手方法中EAP过程趋向结束。接下来,如现有技术公知的,认证者和请求者SUPP的角色互换,并基于按照现有技术公知的NAI重新执行新的EAP过程EAP认证2,从而对于现在按照本发明扮演第一通信装置角色的站MP-B来说,同样从AAA服务器AAA-S向站MESH-AAA传送会话密钥以及参数和属性,从而以类似于第一通信装置MP-A的方式存储分配给站MP-B的数据组,并结束针对站MP-B的EAP过程,从而第一通信装置MP-A和第二通信装置MP-B之间的通信基于第一会话密钥MSK1或第二会话密钥MSK2受保护地进行。
总而言之,本发明的核心是,首先对第一通信装置MP-A和第二通信装置MP-B来说都在站MESH-AAA上不存在项目,并进行通过现有技术公知的第一次认证,与现有技术的区别是:根据本发明站MESH-AAA在成功认证之后存储分配给相应通信装置(网格节点)的项目,其中该项目包括各网格节点在登录时使用的身份信息NAI,分配给该网格节点的密钥M-AAA-KEY,以及所分配的其它由AAA服务器AAA-S提供的数据,如策略POLICY-A...POLICY-C、寿命LT-A...LT-C,以及可能存在的其它属性。
在认证之后为第一通信设备MP-A和第二通信设备MP-B在站MESH-AAA上分别存储一个数据组,该数据组用于其它认证。根据本发明的方法,两个站都有一次扮演第一通信装置的角色。
为了进行在第一次成功的认证之后的认证,图5所示的例子的流程如下所示:
如果第一通信装置MP-A在第三通信装置MP-C上进行随后的认证,则在站MESH-AAA中结束EAP协议,例如因为该站检测到将使用EAP方法EAP-PSK,或者如图所示因为随后的认证EAP认证1’是基于经过修改的NAI MP-A进行的,从而如果在站MESH-AAA中可以找到与该NAI匹配的项目,则基于为第一通信装置MP-A存储的密钥M-AAA-KEY执行EAP方法,否则没有成功地中断认证。
还可以看出,在成功的情况下,就像根据现有技术通过AAA服务器AAA-S进行的那样,从站MESH-AAA向第三通信装置MP-C发送EAP成功消息EAP-SUCCESS以及会话密钥MSK’,还有参数和属性POLICY-A、LT-A,从而最后在4路径握手中使用作为密钥M-AAA-KEY的推导物产生的密钥。
此外还可以识别出,在第三通信装置MP-C作为请求者SUPP出现的过程中,执行象在现有技术中的认证,因为对于第三通信装置MP-C来说这是在网状网络中的第一次认证,根据本发明这又导致存储分配给第三通信装置MP-C的密钥M-AAA-KEY以及参数和属性POLICY-C、LT-C。据此一方面基于本发明的第一密钥MSK1,以及用于第三通信装置的会话密钥MSK3,在第一通信装置MP-A和第三通信装置MP-C之间进行受保护的通信。
在图6中显示本发明的初始登录的变形。
在该变形中,借助AAA服务器AAA-S的认证只是用于在站MESH-AAA上存储一个项目。此后在采用对应的数据组的情况下进行另一次EAP认证。
也就是说,在第一通信装置MP-A的首次登录时用第一通信装置MP-A以请求者SUPP的角色进行两次EAP过程,一次过程是在AAA服务器AAA-S用作认证服务器的情况下进行,另一次过程是在站MESH-AAA扮演该角色的情况下进行。
另一个初始登录的变形在图7中示出。
该变形在于,不采用两个分开的EAP过程,而是采用所谓的隧道EAP方法,如通过EAP-PEAP给出的。
在该方法中,外部方法的隧道终点、站MESH-AAA和内部EAP方法的终点都是AAA服务器AAA-S。
此外,根据PEAP规范推导出PEAP密钥,与该密钥的区别在于,采用通过内部EAP方法建立的会话密钥MSK来推导出密钥M-AAA-KEY。
PEAP和所谓的早期结束(意即内部和外部EAP方法在不同的节点上结束)的使用描述在Intel白皮书“Public WLAN InterworkingStudy”,2004,3.2.7节中。
Claims (30)
1.一种用于提供无线局域网的方法,其中根据IEEE802.11标准及该标准的衍生物、尤其是IEEE802.15或IEEE802.16建立的静止通信装置(AP)以及移动通信装置(STA,AP,MP-A,MP-B)按照网格的形式连接成子网(MESH),该子网连接到基础设施网络,使得该子网可以与设置在基础设施网络中的“认证、授权、计费”AAA服务器(AAA-S),在使用扩展认证协议EAP的条件下通过分配给该子网的站(MESH-AAA)交换认证消息,其特征在于,
a)在对子网(MESH)的第一通信装置(STA,AP,MP-A,MP-B)进行了第一次成功认证之后,通过给出关于子网(MESH)的为了认证第一通信装置而要完成的根据EAP协议定义的“认证者”角色的通信装置(STA,AP,MP-A,MP-B)的第一身份信息,第一服务器(AAA-S)在第一有效时间段中产生恰好一次对该子网(MESH)有效的加密基础信息,
b)该加密基础信息被传送给唯一分配给该子网(MESH)的站(MESH-AAA),
c)该站(MESH-AAA)至少存储该加密基础信息,而且该站分配由第一通信装置给出的身份信息(NAI),
d)该站(MESH-AAA)通过在忽略AAA服务器的情况下给出按照代理服务器类型的第二身份信息(NAI’),基于通过给出的第二身份信息(NAI’)确定的加密基础信息,并通过使用扩展认证协议EAP对子网(MESH)的第二通信装置(STA,AP,MP-A,MP-B)实施在首次认证之后的认证尝试,
e)该站(MESH-AAA)向第二通信装置提供通过采用所存储的加密基础信息为第二通信装置获得的密钥,用于与第一通信装置进行密码保护的通信。
2.根据权利要求1所述的方法,其特征在于,加密基础信息包含至少一个加密密钥作为信息。
3.根据权利要求2所述的方法,其特征在于,所述站(MESH-AAA)将加密密钥存储为分配给第一通信设备的密钥(M-AAA-KEY)。
4.根据权利要求3所述的方法,其特征在于,为了实施认证尝试而使用所述存储的密钥(M-AAA-KEY)。
5.根据权利要求2所述的方法,其特征在于,所述站(MESH-AAA)从加密密钥中推导出一密钥,并将该密钥存储为分配给第一通信设备的密钥(M-AAA-KEY)。
6.根据权利要求2所述的方法,其特征在于,AAA服务器从加密密钥中推导出密钥,并作为分配给第一通信设备的密钥(M-AAA-KEY)以及在首次认证中作为加密信息的一部分传送。
7.根据权利要求2至6之一所述的方法,其特征在于,所分配的密钥的传送用按照EAP协议实施为EAP成功消息(EAP-SUCCESS)的消息进行。
8.根据权利要求2至7之一所述的方法,其特征在于,所述推导如下进行:所分配的密钥借助密钥推导功能基于按照EAP协议形成的“主会话密钥”MSK密钥产生。
9.根据上述权利要求之一所述的方法,其特征在于,所述推导如下进行:所分配的密钥借助密钥推导功能基于按照EAP协议形成的“扩展主会话密钥”EMSK密钥产生。
10.根据上述权利要求之一所述的方法,其特征在于,所述推导通过AAA服务器(AAA-S)进行。
11.根据权利要求2至9之一所述的方法,其特征在于,所述推导通过所述站(MESH-AAA)进行。
12.根据上述权利要求之一所述的方法,其特征在于,作为所分配的加密密钥(M-AAA-KEY)的密钥推导函数采用按照密码哈希函数的函数,尤其是SHA-1、SHA256或MD5。
13.根据上述权利要求之一所述的方法,其特征在于,所分配的加密密钥(M-AAA-KEY)的密钥推导函数(KDF)基于键控哈希函数,尤其是根据RFC2104的HMAC。
14.根据上述权利要求之一所述的方法,其特征在于,所分配的加密密钥按照从以下公式给出的密钥推导函数形成:
M-AAA-KEY=HMAC-SHA1(MSK,“MESH-AAA-KEY”)
其中,用“M-AAA-KEY”表示所推导的密钥,用“HMAC-SHA1”表示在采用哈希函数“SHA-1”的情况下的键控哈希函数HMAC,用“MSK”表示根据EAP协议确定的主会话密钥,用“MESH-AAA-KEY”表示字符串,尤其是说明密钥的使用目的的字符串。
15.根据权利要求8或9所述的方法,其特征在于,所述推导这样进行:用根据EAP协议形成的“主会话密钥”MSK密钥或“扩展主会话密钥”EMSK密钥分配的密钥具有身份。
16.根据上述权利要求之一所述的方法,其特征在于,第一有效时间段等于根据EAP协议形成的主会话密钥和/或扩展主会话密钥的有效持续时间。
17.根据上述权利要求之一所述的方法,其特征在于,确定所分配的密钥的有效持续时间的第二有效时间段等于根据EAP协议形成的主会话密钥的有效持续时间。
18.根据权利要求1至16之一所述的方法,其特征在于,确定所分配的密钥的有效持续时间的第二有效时间段通过固定次数的可靠认证来确定。
19.根据上述权利要求之一所述的方法,其特征在于,作为站采用将子网(MESH)与基础设施网络连接的转换器(GW)。
20.根据上述权利要求之一所述的方法,其特征在于,向加密信息添加确定网络属性的参数,尤其是所谓的“策略”如最大带宽、QoS预留、有效持续时间、涉及使用者的帐户信息和/或通信过滤规则。
21.根据上述权利要求之一所述的方法,其特征在于,在第一次认证之后的认证根据按照EAP协议指定的EAP-PSK方法进行。
22.根据上述权利要求之一所述的方法,其特征在于,所述实施根据代理服务器的类型进行,使得在首次进行的认证之后通过在所述站中结束按照EAP协议形成的消息来忽略AAA服务器,其中该结束依据与该消息相关的信息进行。
23.根据上述权利要求之一所述的方法,其特征在于,作为相关的信息检测所采用的EAP协议方法的类型。
24.根据权利要求22所述的方法,其特征在于,作为相关的信息操纵“网络接入标识符”NAI,使得由与所述消息相关的信息给出站作为收件人,该“网络接入标识符”NAI尤其是具有user@realm的形式,其中“user”表示发送所述消息的站,“realm”表示尤其是通过AAA服务器提供的域。
25.根据上述权利要求之一所述的方法,其特征在于,作为操纵,向NAI尤其是通过分隔符号隔开地添加表示站的字符串,而且NAI尤其是具有“{mesh-aaa}user@realm”、“user{mesh-aaa}@realm”或user@{mesh-aaa}.realm的形式。
26.根据权利要求23所述的方法,其特征在于,作为对域表示符号的操纵而设置站的表示符号,该站的表示符号尤其具有user@mesh-aaa的形式。
27.根据上述权利要求之一所述的方法,其特征在于,在有效时间段结束之后其它认证仅在新的、尤其是在该有效时间段结束之前在AAA服务器上执行的第一次认证之后成功进行。
28.根据上述权利要求之一所述的方法,其特征在于,加密基础信息包括至少一个按照RFC4187第一节形成的AKA认证向量作为信息。
29.根据上述权利要求之一所述的方法,其特征在于,为了形成AKA加密向量设置按照EAP协议形成的“主会话密钥”MSK作为根据AKA类型需要的秘密密钥。
30.一种用于提供无线局域网的装置,其特征在于包括用于执行根据上述权利要求之一所述方法的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102006038591A DE102006038591B4 (de) | 2006-08-17 | 2006-08-17 | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks |
| DE102006038591.8 | 2006-08-17 | ||
| PCT/EP2007/057936 WO2008019943A1 (de) | 2006-08-17 | 2007-08-01 | Verfahren und anordnung zum bereitstellen eines drahtlosen mesh-netzwerks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101371491A true CN101371491A (zh) | 2009-02-18 |
| CN101371491B CN101371491B (zh) | 2012-03-21 |
Family
ID=38670893
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800021928A Expired - Fee Related CN101371491B (zh) | 2006-08-17 | 2007-08-01 | 提供无线网状网络的方法和装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8122249B2 (zh) |
| EP (1) | EP1952574B1 (zh) |
| CN (1) | CN101371491B (zh) |
| DE (2) | DE102006038591B4 (zh) |
| WO (1) | WO2008019943A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101646172B (zh) * | 2009-09-08 | 2011-11-09 | 杭州华三通信技术有限公司 | 一种分布式mesh网络中产生密钥的方法和装置 |
| CN102843683A (zh) * | 2012-08-21 | 2012-12-26 | 北京星网锐捷网络技术有限公司 | 一种wlan的接入方法、装置及系统 |
| CN103686709A (zh) * | 2012-09-17 | 2014-03-26 | 中兴通讯股份有限公司 | 一种无线网格网认证方法和系统 |
| CN107483203A (zh) * | 2017-07-13 | 2017-12-15 | 深圳市盛路物联通讯技术有限公司 | 物联网接入点接收数据的分时段加密方法及装置 |
| US11172541B2 (en) | 2011-04-21 | 2021-11-09 | Gilbarco Italia S.R.L. | Fueling environment wireless architecture |
| CN116249106A (zh) * | 2023-02-15 | 2023-06-09 | 喻荣先 | 无线通信内容分向加密控制系统 |
Families Citing this family (70)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4881813B2 (ja) * | 2007-08-10 | 2012-02-22 | キヤノン株式会社 | 通信装置、通信装置の通信方法、プログラム、記憶媒体 |
| US7941663B2 (en) * | 2007-10-23 | 2011-05-10 | Futurewei Technologies, Inc. | Authentication of 6LoWPAN nodes using EAP-GPSK |
| JP5225459B2 (ja) * | 2008-04-30 | 2013-07-03 | 聯發科技股▲ふん▼有限公司 | トラフィック暗号化キーの派生方法 |
| US8340634B2 (en) | 2009-01-28 | 2012-12-25 | Headwater Partners I, Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
| US8402111B2 (en) | 2009-01-28 | 2013-03-19 | Headwater Partners I, Llc | Device assisted services install |
| US8548428B2 (en) | 2009-01-28 | 2013-10-01 | Headwater Partners I Llc | Device group partitions and settlement platform |
| US8725123B2 (en) | 2008-06-05 | 2014-05-13 | Headwater Partners I Llc | Communications device with secure data path processing agents |
| US8924543B2 (en) | 2009-01-28 | 2014-12-30 | Headwater Partners I Llc | Service design center for device assisted services |
| US8626115B2 (en) | 2009-01-28 | 2014-01-07 | Headwater Partners I Llc | Wireless network service interfaces |
| US8589541B2 (en) | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
| US8898293B2 (en) | 2009-01-28 | 2014-11-25 | Headwater Partners I Llc | Service offer set publishing to device agent with on-device service selection |
| US8391834B2 (en) | 2009-01-28 | 2013-03-05 | Headwater Partners I Llc | Security techniques for device assisted services |
| US8924469B2 (en) | 2008-06-05 | 2014-12-30 | Headwater Partners I Llc | Enterprise access control and accounting allocation for access networks |
| US9137739B2 (en) | 2009-01-28 | 2015-09-15 | Headwater Partners I Llc | Network based service policy implementation with network neutrality and user privacy |
| US8832777B2 (en) | 2009-03-02 | 2014-09-09 | Headwater Partners I Llc | Adapting network policies based on device service processor configuration |
| US8346225B2 (en) | 2009-01-28 | 2013-01-01 | Headwater Partners I, Llc | Quality of service for device assisted services |
| US8635335B2 (en) | 2009-01-28 | 2014-01-21 | Headwater Partners I Llc | System and method for wireless network offloading |
| US8406748B2 (en) | 2009-01-28 | 2013-03-26 | Headwater Partners I Llc | Adaptive ambient services |
| US8275830B2 (en) | 2009-01-28 | 2012-09-25 | Headwater Partners I Llc | Device assisted CDR creation, aggregation, mediation and billing |
| US8606911B2 (en) | 2009-03-02 | 2013-12-10 | Headwater Partners I Llc | Flow tagging for service policy implementation |
| US9755842B2 (en) | 2009-01-28 | 2017-09-05 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
| US10715342B2 (en) | 2009-01-28 | 2020-07-14 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
| US8745191B2 (en) | 2009-01-28 | 2014-06-03 | Headwater Partners I Llc | System and method for providing user notifications |
| US8893009B2 (en) | 2009-01-28 | 2014-11-18 | Headwater Partners I Llc | End user device that secures an association of application to service policy with an application certificate check |
| US9858559B2 (en) | 2009-01-28 | 2018-01-02 | Headwater Research Llc | Network service plan design |
| US10779177B2 (en) | 2009-01-28 | 2020-09-15 | Headwater Research Llc | Device group partitions and settlement platform |
| US9572019B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners LLC | Service selection set published to device agent with on-device service selection |
| US9647918B2 (en) | 2009-01-28 | 2017-05-09 | Headwater Research Llc | Mobile device and method attributing media services network usage to requesting application |
| US9253663B2 (en) | 2009-01-28 | 2016-02-02 | Headwater Partners I Llc | Controlling mobile device communications on a roaming network based on device state |
| US11218854B2 (en) | 2009-01-28 | 2022-01-04 | Headwater Research Llc | Service plan design, user interfaces, application programming interfaces, and device management |
| US9609510B2 (en) | 2009-01-28 | 2017-03-28 | Headwater Research Llc | Automated credential porting for mobile devices |
| US9351193B2 (en) | 2009-01-28 | 2016-05-24 | Headwater Partners I Llc | Intermediate networking devices |
| US9565707B2 (en) | 2009-01-28 | 2017-02-07 | Headwater Partners I Llc | Wireless end-user device with wireless data attribution to multiple personas |
| US9557889B2 (en) | 2009-01-28 | 2017-01-31 | Headwater Partners I Llc | Service plan design, user interfaces, application programming interfaces, and device management |
| US10057775B2 (en) | 2009-01-28 | 2018-08-21 | Headwater Research Llc | Virtualized policy and charging system |
| US10200541B2 (en) | 2009-01-28 | 2019-02-05 | Headwater Research Llc | Wireless end-user device with divided user space/kernel space traffic policy system |
| US10492102B2 (en) | 2009-01-28 | 2019-11-26 | Headwater Research Llc | Intermediate networking devices |
| US9270559B2 (en) | 2009-01-28 | 2016-02-23 | Headwater Partners I Llc | Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow |
| US9578182B2 (en) | 2009-01-28 | 2017-02-21 | Headwater Partners I Llc | Mobile device and service management |
| US10783581B2 (en) | 2009-01-28 | 2020-09-22 | Headwater Research Llc | Wireless end-user device providing ambient or sponsored services |
| US10841839B2 (en) | 2009-01-28 | 2020-11-17 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US10264138B2 (en) | 2009-01-28 | 2019-04-16 | Headwater Research Llc | Mobile device and service management |
| US10237757B2 (en) | 2009-01-28 | 2019-03-19 | Headwater Research Llc | System and method for wireless network offloading |
| US8793758B2 (en) | 2009-01-28 | 2014-07-29 | Headwater Partners I Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US10248996B2 (en) | 2009-01-28 | 2019-04-02 | Headwater Research Llc | Method for operating a wireless end-user device mobile payment agent |
| US9571559B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners I Llc | Enhanced curfew and protection associated with a device group |
| US10484858B2 (en) | 2009-01-28 | 2019-11-19 | Headwater Research Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
| US9392462B2 (en) | 2009-01-28 | 2016-07-12 | Headwater Partners I Llc | Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy |
| US9706061B2 (en) | 2009-01-28 | 2017-07-11 | Headwater Partners I Llc | Service design center for device assisted services |
| US9980146B2 (en) | 2009-01-28 | 2018-05-22 | Headwater Research Llc | Communications device with secure data path processing agents |
| US9955332B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Method for child wireless device activation to subscriber account of a master wireless device |
| US10798252B2 (en) | 2009-01-28 | 2020-10-06 | Headwater Research Llc | System and method for providing user notifications |
| US10326800B2 (en) | 2009-01-28 | 2019-06-18 | Headwater Research Llc | Wireless network service interfaces |
| US9954975B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Enhanced curfew and protection associated with a device group |
| US10064055B2 (en) | 2009-01-28 | 2018-08-28 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| JP2010178867A (ja) * | 2009-02-05 | 2010-08-19 | Fujifilm Corp | 放射線撮影用ネットワークシステム及び放射線画像撮影システム制御方法 |
| US9154826B2 (en) | 2011-04-06 | 2015-10-06 | Headwater Partners Ii Llc | Distributing content and service launch objects to mobile devices |
| US8990892B2 (en) * | 2011-07-06 | 2015-03-24 | Cisco Technology, Inc. | Adapting extensible authentication protocol for layer 3 mesh networks |
| US8930700B2 (en) * | 2012-12-12 | 2015-01-06 | Richard J. Wielopolski | Remote device secure data file storage system and method |
| US9882713B1 (en) * | 2013-01-30 | 2018-01-30 | vIPtela Inc. | Method and system for key generation, distribution and management |
| US9148344B1 (en) * | 2013-03-01 | 2015-09-29 | PulseIQ LLC. | Linking a mesh node |
| US9125049B2 (en) * | 2013-03-15 | 2015-09-01 | Oplink Communications, Inc. | Configuring secure wireless networks |
| CN106465106B (zh) | 2014-05-02 | 2020-02-14 | 皇家Kpn公司 | 用于从无线电接入网络提供安全性的方法和系统 |
| EP2961207A1 (en) * | 2014-06-24 | 2015-12-30 | Gemalto SA | Method, server and telecommunications system for establishing, through an OTA server, a secured communication channel between an administrative agent comprised in a device and a third party server |
| US10623951B2 (en) * | 2016-03-09 | 2020-04-14 | Qualcomm Incorporated | WWAN-WLAN aggregation security |
| JP6473876B2 (ja) * | 2016-12-01 | 2019-02-27 | 株式会社ユートピア企画 | セキュアネットワーク通信方法 |
| US20180317086A1 (en) | 2017-01-27 | 2018-11-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Secondary Authentication of a User Equipment |
| PL3915289T3 (pl) * | 2019-01-21 | 2023-08-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Sposoby uwierzytelniania i zarządzania kluczami w sieci komunikacji bezprzewodowej i powiązane aparaty |
| US11956345B2 (en) * | 2019-05-06 | 2024-04-09 | Cryptography Research, Inc. | DPA-resistant key derivation function |
| US11617076B2 (en) * | 2020-06-15 | 2023-03-28 | Cisco Technology, Inc. | Clientless VPN roaming with 802.1x authentication |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0113902D0 (en) * | 2001-06-07 | 2001-08-01 | Nokia Corp | Security in area networks |
| CN1338695A (zh) * | 2001-07-17 | 2002-03-06 | 天津南开戈德集团有限公司 | 网络自助服务系统及其运作方法 |
| CN1268093C (zh) * | 2002-03-08 | 2006-08-02 | 华为技术有限公司 | 无线局域网加密密钥的分发方法 |
| ATE380424T1 (de) | 2002-05-01 | 2007-12-15 | Ericsson Telefon Ab L M | System, apparat und methode zur sim basierten authentifizierung und verschlüsselung beim zugriff auf ein drahtloses lokales netz |
| US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
| US20050152305A1 (en) * | 2002-11-25 | 2005-07-14 | Fujitsu Limited | Apparatus, method, and medium for self-organizing multi-hop wireless access networks |
| CN1271822C (zh) * | 2003-07-04 | 2006-08-23 | 华为技术有限公司 | 无线局域网中用户终端网络选择信息的交互处理方法 |
| US7272129B2 (en) * | 2005-10-13 | 2007-09-18 | Motorola, Inc. | Method and apparatus for synchronizing a node within an ad-hoc communication system |
| US7561692B2 (en) * | 2006-02-27 | 2009-07-14 | Alvarion Ltd. | Method of authenticating mobile terminal |
| US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
| DE102006036109B4 (de) * | 2006-06-01 | 2008-06-19 | Nokia Siemens Networks Gmbh & Co.Kg | Verfahren und System zum Bereitstellen eines Mesh-Schlüssels |
| US20080108322A1 (en) * | 2006-11-03 | 2008-05-08 | Motorola, Inc. | Device and / or user authentication for network access |
| US9198033B2 (en) * | 2007-09-27 | 2015-11-24 | Alcatel Lucent | Method and apparatus for authenticating nodes in a wireless network |
-
2006
- 2006-08-17 DE DE102006038591A patent/DE102006038591B4/de not_active Expired - Fee Related
-
2007
- 2007-08-01 DE DE502007006598T patent/DE502007006598D1/de active Active
- 2007-08-01 US US12/087,620 patent/US8122249B2/en active Active
- 2007-08-01 WO PCT/EP2007/057936 patent/WO2008019943A1/de active Application Filing
- 2007-08-01 EP EP07788107A patent/EP1952574B1/de active Active
- 2007-08-01 CN CN2007800021928A patent/CN101371491B/zh not_active Expired - Fee Related
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101646172B (zh) * | 2009-09-08 | 2011-11-09 | 杭州华三通信技术有限公司 | 一种分布式mesh网络中产生密钥的方法和装置 |
| US11172541B2 (en) | 2011-04-21 | 2021-11-09 | Gilbarco Italia S.R.L. | Fueling environment wireless architecture |
| CN102843683A (zh) * | 2012-08-21 | 2012-12-26 | 北京星网锐捷网络技术有限公司 | 一种wlan的接入方法、装置及系统 |
| CN102843683B (zh) * | 2012-08-21 | 2015-04-22 | 北京星网锐捷网络技术有限公司 | 一种wlan的接入方法、装置及系统 |
| CN103686709A (zh) * | 2012-09-17 | 2014-03-26 | 中兴通讯股份有限公司 | 一种无线网格网认证方法和系统 |
| CN107483203A (zh) * | 2017-07-13 | 2017-12-15 | 深圳市盛路物联通讯技术有限公司 | 物联网接入点接收数据的分时段加密方法及装置 |
| CN107483203B (zh) * | 2017-07-13 | 2020-09-04 | 深圳市盛路物联通讯技术有限公司 | 物联网接入点接收数据的分时段加密方法及装置 |
| CN116249106A (zh) * | 2023-02-15 | 2023-06-09 | 喻荣先 | 无线通信内容分向加密控制系统 |
| CN116249106B (zh) * | 2023-02-15 | 2023-10-20 | 上海威锐电子科技股份有限公司 | 无线通信内容分向加密控制系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102006038591A1 (de) | 2008-02-21 |
| DE502007006598D1 (de) | 2011-04-14 |
| CN101371491B (zh) | 2012-03-21 |
| DE102006038591B4 (de) | 2008-07-03 |
| US20090172398A1 (en) | 2009-07-02 |
| WO2008019943A1 (de) | 2008-02-21 |
| EP1952574B1 (de) | 2011-03-02 |
| EP1952574A1 (de) | 2008-08-06 |
| US8122249B2 (en) | 2012-02-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101371491B (zh) | 提供无线网状网络的方法和装置 | |
| US9735957B2 (en) | Group key management and authentication schemes for mesh networks | |
| US7676676B2 (en) | Method and apparatus for performing mutual authentication within a network | |
| US7793103B2 (en) | Ad-hoc network key management | |
| US7461253B2 (en) | Method and apparatus for providing a key for secure communications | |
| KR101485230B1 (ko) | 안전한 멀티 uim 인증 및 키 교환 | |
| US8001381B2 (en) | Method and system for mutual authentication of nodes in a wireless communication network | |
| US8510560B1 (en) | Efficient key establishment for wireless networks | |
| JP2011139457A (ja) | 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム | |
| JP2010503330A (ja) | アドホック無線ネットワークのノード間においてセキュリティ・アソシエーションを確立するための方法及び装置 | |
| Dantu et al. | EAP methods for wireless networks | |
| JP2010503326A (ja) | インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理 | |
| CN102883316A (zh) | 建立连接的方法、终端和接入点 | |
| JP2008547245A (ja) | 無線分散システムの認証方法 | |
| CN105323754A (zh) | 一种基于预共享密钥的分布式鉴权方法 | |
| JP4550759B2 (ja) | 通信システム及び通信装置 | |
| CN101784048A (zh) | 动态更新密钥的身份认证和密钥协商方法及系统 | |
| Dey et al. | An efficient dynamic key based EAP authentication framework for future IEEE 802.1 x Wireless LANs | |
| Kumar et al. | A secure, efficient and lightweight user authentication scheme for wireless LAN | |
| JP5472977B2 (ja) | 無線通信装置 | |
| Hur et al. | An efficient pre-authentication scheme for IEEE 802.11-based vehicular networks | |
| CN1996838A (zh) | 一种多主机WiMAX系统中的AAA认证优化方法 | |
| Nomula et al. | Multi-photon tolerant protocols for quantum secure communication in wireless standards | |
| Lee et al. | A secure wireless lan access technique for home network | |
| Hur et al. | An efficient proactive key distribution scheme for fast handoff in IEEE 802.11 wireless networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120321 Termination date: 20210801 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |