CN101375545A - 用于提供无线网状网的方法和设备 - Google Patents
用于提供无线网状网的方法和设备 Download PDFInfo
- Publication number
- CN101375545A CN101375545A CNA2007800033906A CN200780003390A CN101375545A CN 101375545 A CN101375545 A CN 101375545A CN A2007800033906 A CNA2007800033906 A CN A2007800033906A CN 200780003390 A CN200780003390 A CN 200780003390A CN 101375545 A CN101375545 A CN 101375545A
- Authority
- CN
- China
- Prior art keywords
- key
- aaa
- communication equipment
- eap
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
Abstract
本发明涉及一种方法以及一种设备,其中新添加的网格节点(MP-B)针对认证不需要到AAA服务器的连接。为此,借助于已经位于网状网中的具有到AAA服务器的连接的节点(MP-A)执行认证。
Description
本发明涉及一种根据权利要求1的前序部分所述的用于提供无线网状网(Mesh-Netzwerk)的方法以及一种根据权利要求25的前序部分所述的用于提供无线网状网的设备。
本发明涉及一种用于提供密钥以对在网状网的节点之间的消息进行加密的方法和系统。
无线网状网是成网状的网络,所述成网状的网络例如被实施在无线局域网(WLAN)中。在网状网中,移动节点可以将来自另一移动节点的数据转发给其他移动节点或者传输给基站。在网状网中,可以跨越宽距离,尤其是在不平坦的或复杂的地形中可以跨越宽距离。此外,网状网非常可靠地工作,因为每个移动节点都与数个另外的节点相连接。如果一个节点例如由于硬件失灵而发生故障,则其相邻节点寻求可替换的数据传输路由。网状网可以包括固定的或者移动的设备在内。
图1示意性地示出根据现有技术的网状网。节点包括专用网格点(MN,Maschenknoten),所述专用网格点属于网络的基础设施。这些专用网格点可以是固定基站BS,但也可以是移动站MS。除了专用网格点之外,网状网还包括用户的移动终端设备或移动节点。移动节点可以直接与另一移动节点进行通信,并且或者直接地或者间接地经由其他节点与基站BS交换数据,所述基站BS被连接在数据网络的网关GW上。在此,数据分组DP从一个设备或节点被转发到下一设备,直至到达目标设备或网关GW。数据分组DP的转发在此通过动态路由选择来实现。在此,以动态的方式基于节点的可用性和基于网络利用率(Netzauslastung)来计算传输数据分组DP的路由。通常,网状网的特征在于高度的网络覆盖、高可靠性,并且在于对可用资源的经济使用。在无线网状网中,通常通过WLAN(无线局域网(Wireless Local AreaNetwork))传输线路来实现无线传输线路。不同于无线个人局域网(WPAN,Wireless Personal Area Network),WLAN网络具有较大的发射功率和有效距离并且提供较高的数据传输速率。
为了对节点或计算机进行认证,采用所谓的EAP(可扩展认证协议(Extensible Authentication Protocol))。图2示出用于描述在传统WLAN网络情况下的认证过程的信号图。在WLAN中,EAP协议被用于保护网络接入。多种具体的认证方法(所谓的EAP方法)可以通过EAP协议来运送,例如通过EAP-TLS、EAP-AKA、PEAP-MSChapv2来运送。在认证时,确定密码密钥或会话密钥MSK、EMSK(MSK:主会话密钥(Master-Session Key);EMSK:扩展主会话密钥(Extended MasterSession Key)),所述密钥随后例如在链路层加密时被用于保护数据通信。用户的认证在用户(请求者(Supplicant))和认证服务器(AAA服务器)之间进行。在认证成功时,认证服务器向认证者(Authentikator)(例如WLAN接入点AP)发送认证结果和来自认证的会话密钥MSK。接入点(Access-Point)AP和认证服务器之间的通信通常通过Radius-或者Diameter-数据传输协议来实现。在此,作为数据属性的会话密钥MSK作为EAP成功消息(EAP-Success-Nachricht)的部分被发送给接入点AP。所传输的会话密钥MSK随后经由根据802.11I EEE标准的在用户和接入点之间的802.114路握手(4-Wege-Handshake)4WHS而被采用。
在常规网络的情况下,接入点AP是值得信赖的节点,也即是网络基础设施的节点。因此,在常规网络的情况下,接入点不是终端用户节点。
图3示出在常规WLAN网络的情况下对两个节点MP-A、MP-B的认证。两个节点MP-A、MP-B例如可以是网状网的两个网格点。为了在两个节点MP-A、MP-B之间建立数据连接,端节点MP-A(作为请求者)首先在所属的认证服务器AS处借助于EAP数据传输协议进行认证。节点MP-B(认证者)在EAP成功消息中获得会话密钥MSK1。随后,节点MP-B与节点MP-A执行4路握手,并且在此使用所获得的会话密钥MSK1。随后,节点MP-B(现在作为请求者)在所属的认证服务器AS上执行认证,而MP-A(现在为认证者)在EAP成功消息中获得第二会话密钥MSK2。节点MP-A随后在使用第二会话密钥MSK2的情况下与节点MP-B执行4路握手。代替依次进行,这两个认证也可以彼此交错地进行。
在两个节点MP-A、MP-B之间继续通信时,该通信可以通过两个会话密钥MSK1、MSK2之一得以保护。
在图3中所示的根据现有技术的处理方式的缺点在于,两个节点MP-A和MP-B在此必需到认证服务器AS的连接,更确切地说不仅在请求者角色下而且在认证者角色下必需该连接。如果新的节点建立到相邻节点的第一链路,则该新的节点一般还不具有到基础设施网络的连接并且因此也不具有到认证服务器AS的连接。此外,认证服务器AS必须执行两个认证并且由此被加重负荷。
因此,本发明所基于的任务在于,说明用于提供无线网状网的经改善的方法以及设备。
该任务以权利要求1的前序部分为出发点通过其特征部分的特征得以解决,以及以权利要求25的前序部分为出发点通过其特征部分的特征得以解决。
在根据本发明的用于提供无线局域网的方法中,其中根据IEEE-802.11标准及其衍生标准(尤其是IEEE 802.15或者IEEE802.16)所构造的固定通信设备以及移动通信设备按照网格的方式被连接为子网,并且这些固定通信设备以及移动通信设备通过这些通信设备中的第一通信设备被连接到基础设施网络上,使得这些通信设备在使用可扩展认证协议EAP的情况下能够与被布置在基础设施网络中的认证授权记账(Authentication Authorization Accounting)AAA服务器交换认证消息,在登记时进行根据EAP所限定的第一过程,其中如果第二通信设备以根据EAP协议所限定的请求者角色进行认证,则第一通信设备以根据EAP协议所限定的认证者角色与AAA服务器进行通信。此外,AAA服务器在第一过程中为子网产生被分配给第二通信设备的基本加密信息,所述基本加密信息被传送给第一通信设备。此外,在登记时进行根据EAP所限定的第二过程,其中第一通信设备以根据EAP协议所限定的请求者角色在不与AAA服务器通信的情况下与第二通信设备进行通信,其中在第二过程的范围内基于基本加密信息的至少一部分来进行认证。
通过根据本发明的方法,在没有事先在子网中的不具有到AAA服务器的连接的网格节点(Mesh-Knoten)上设立第一通信设备的安全材料(Sicherheitsmaterial)的情况下,可以实现第二EAP过程。更确切地说,如由WLAN公知的那样,相关的网格节点仅仅只须利用安全材料来配置,所述安全材料使得所述网格节点能够实现相对于中央AAA服务器的认证。
在此,基本加密信息优选地包含至少一个第一加密密钥,以致为第二通信设备提供相对于AAA服务器的认证。
在此,有利地在第一通信设备中存储第一加密密钥,以致这里为即将来临的事务和通信保持所述第一加密密钥。
在此,优选地在使用第一加密密钥作为所谓的(尤其是秘密的)共有密钥(“Preshared-Key(预共享密钥)”)的情况下进行第二过程中的认证。
如果在基本加密信息中附上确定附加网络属性的、被分配给第一通信设备的第一参数(尤其是所谓的策略,如最大带宽、QoS预留、有效期限、用户有关的账户信息和/或通信量过滤规则(Verkehrsfilterregeln)),则可以以匹配的方式来执行第二通信设备与第一通信设备的通信的匹配,使得第一通信设备实施这些参数。
如果在基本加密信息中附上确定附加网络属性的、被分配给第二通信设备的第二参数(尤其是所谓的策略,如最大带宽、QoS预留、有效期限、用户有关的账户信息和/或通信量过滤规则),则如由现有技术所公知的那样,第一通信设备可以从AAA服务器方面安排与第二通信设备进行通信。
如果第二参数以通过第二加密密钥来保护的方式作为经加密的第一参数被传输,则第一通信设备不能操纵从其转发给第二通信设备的网络属性。
另一有利扩展方案在于,保护在第二通信设备和AAA服务器之间的通信的第三加密密钥被推导出,其中这种推导不仅由AAA服务器而且由第二通信设备来执行。由此,设立到AAA服务器的安全通信,以致第二通信设备也可以认证其他网格节点。
为此,优选地传送AAA服务器与第二通信设备之间的通信的配置,该配置由AAA服务器借助于第三加密密钥来加密。
在此,简单的实施变型方案在于,针对第三加密密钥使用第二加密密钥。
另一有利的扩展方案在于,在利用可扩展认证协议EAP协议的情况下,子网的通信设备和AAA服务器之间的通信借助于按照代理服务器的方式起作用的站在省略AAA服务器的情况下基于第三加密密钥来运行。由此,实现在一些应用场景中所期望的、AAA服务器的解耦并且保证所述通信是安全的。
如果站作为子网和基础设施网络之间的变换器(Umsetzer)起作用,则保证特别简单和适当地实现这种解耦或减负。
在本发明的另一有利改进方案中,保护在第二通信设备与作为子网和基础设施网络之间的变换器起作用的站之间的通信的第四加密密钥被推导出,其中这种推导由AAA服务器执行并且通过根据EAP协议所限定的EAP成功消息来传送。由此,提供一种实现方案,所述实现方案支持应在子网和基础设施网络之间安装网关的场景,这此外允许与所述网关的安全通信。
此外有利的是,从分配给子网的会话密钥中推导出第一加密密钥、第二加密密钥、第三加密密钥和/或第四加密密钥,其中这种推导优选地基于根据EAP协议所构成的主会话密钥MSK而在使用密钥推导函数的情况下来进行,或者可替换地或补充地基于根据EAP协议所构成的扩展主会话密钥EMSK而在使用密钥推导函数的情况下被转换,以致保证在EAP结构中的简单实施。
在此,根据加密散列(Hash)函数(尤其是SHA1、SHA265或者MD5散列函数)的函数优选地被用作密钥推导函数。可替换地或者补充地,如果根据散列消息认证码函数(带有密钥的散列函数(Keyed-Hash-Funktion))的函数(尤其是按照RFC2104的HMAC)被用作密钥推导函数,则是有利的。
在此,在使用密钥推导函数的情况下得到第一加密密钥的有利扩展方案,所述密钥推导函数通过公式:
MA-Key=HMAC-SHA1(MSK,“网格接入密钥(Mesh-Access-Key)”)构成,其中利用“MA-Key”表示所分配的密钥,利用“HMAC-SHA1”表示带有密钥的散列函数HMAC-SHA1,并且利用“MSK”表示根据EAP协议所确定的主会话密钥和利用“网格接入密钥”表示尤其是再现密钥的应用目的的字符串。
可替换于此地,也可以按照上述公式确定第一密钥,区别仅仅在于,使用根据EAP协议所确定的“扩展主会话密钥”,而不是使用MSK,以致仅仅AAA服务器和第二通信设备可以推导出密钥,而在应该不仅从第一通信设备方面也从第二通信设备方面进行推导的情况下,应优选基于MSK的推导。
优选地,为了确定第二加密密钥也使用在以下公式上构成的密钥推导函数:
PP-Key=HMAC-SHA1(EMSK,“网格策略保护密钥(Mesh-Policy-Protection-Key)”),其中利用“PP-Key”表示所分配的密钥,利用“HMAC-SHA1”表示带有密钥的散列函数HMAC-SHA1并且用“EMSK”表示根据EAP协议所确定的“扩展主会话密钥”和用“网格策略保护密钥”表示尤其是再现密钥的应用目的的字符串。
本发明所基于的任务也可以由用于提供无线局域网的设备通过允许实现本方法的方式来解决,所述设备具有用于执行所述方法的装置。
以在图1至3中所示的根据现有技术的初始情形为出发点,借助于在图4中所示的实施例来阐述本发明的其他优点以及细节。在此:
图1示出网状网场景,
图2示出根据草案D0.01I EEE 802.11s的网格认证(Mesh-Authentisierung)的流程图,
图3示出根据现有技术的WALN认证的流程图,
图4示出根据本发明的实施例的流程图。
在图4中能看出,以根据现有技术的在图1至3中所示的场景为出发点实现登记,使得在第一过程1中在第一通信设备MP-B以及第二通信设备MP-A之间设立根据802.11的连接,并且紧接于此地如在现有技术中公知的那样实现根据EAP所执行的认证EAP AUTHENTICATION1(EAP认证1),使得第一通信设备MP-B以认证者AUTH角色对处于作为请求者SUPP的角色的第二通信设备MP-A进行认证。在这种情况下,通信运行至AAA服务器AAA-S,所述AAA服务器AAA-S用作认证服务器并且将具有基本加密信息MSK1,MA-key[POLICY-A][AST POLICY-B]的EAP成功消息EAP SUCCESS作为所述第一认证尝试EAPAUTHENTICATION1(EAP认证1)的应答传输给第一通信设备,所述第一通信设备存储所述EAP成功消息EAP SUCCESS并且仅仅可选地将包含经加密的网络属性的消息AST(POLI CY-B)传输给第二通信设备MP-A,以致在下一步可以进行4路握手4WHS-1(MSK1)。
根据本发明,现在在根据EAP所规定的认证者或请求者角色互换的情况下可以进行第二EAP认证EAP AUTHENTICATION 2(EAP认证2),而第二通信设备不必具有或不必使用到AAA服务器的连接。
在这种情况下,在第二过程2中,基于特意为根据本发明的目的而推导出的第一密钥MA-KEY以及可选地基于受保护的策略AST(POLICY-B)来执行第二EAP认证EAP AUTHENTICATION 2(EAP认证2),以致AAA服务器AAA-S被减负。
能看出,在引起未示出的具有第二会话密钥的EAP成功消息的该第二EAP认证EAP AUTHENTICATION 2(EAP认证2)之后,可以实现第二过程的4路握手4WHS-2(MSK2),以致随后可以基于第一或者第二会话密钥在通信设备MP-B与第二通信设备MP-A之间进行受保护的通信。
总之,因此能够说,通过根据本发明的方法来设立附加的网格接入密钥MA-KEY,其中所述附加的网格接入密钥MA-KEY优选地从扩展会话密钥EMSK中通过密钥推导函数KDF来推导出并且作为EAP成功消息EAP-SUCCESS的部分从AAA服务器AAA-S被传输给第二通信设备MP-B。在此,通过第一通信设备MP-A以及AAA服务器AAS来实现推导。
在此,作为密钥推导函数,尤其是诸如SHA-1、SHA256、MD5的加密散列函数或者基于此的带有密钥的散列函数(诸如按照RFC2104的HMAC)有利地适用于本发明。
特别适用的具体实施方案因此例如是:
MA-KEY=HMAC-SHA1(EMSK,“网格接入密钥”)。在此,“网格接入密钥”是说明应用目的的字符串。
但是,根据本发明也可以可选地将其他参数作为字符串的部分包含到密钥推导(Key Derivation)中。认证者AUTH(也即在相应的EAP过程中承担认证者角色的那个网格节点,如这里例如是第一通信设备MP-B)的MAC地址尤其适用于此。只要所述信息在第一次EPA认证EAPAUTHENTICATION 1(EAP认证1)时被发送给AAA服务器AAA-S,请求者SUPP(也即在所述EAP过程中占据请求者角色的那个网格节点,在图示中是第二通信设备MP-A)的MAC地址也是适用的。
于是,这样根据本发明所推导出的网格接入密钥MA-KEY作为所谓的预发布密钥(Pre-Issued-Key)被用于第二EAP认证EAP-AUTHENTICATION 2(EAP认证2)。在此,适当的EAP方法是方法EAP-PSK。此外,当前由IETF工作组EMU正研发的EAP方法(参见http://www.ietf.org/html.charters/emu-charter.html)也有利地适用于本发明方法。
可替换地,根据本发明也能从会话密钥MSK中而不是从扩展会话密钥EMSK中推导出网格接入密钥MA-KEY,其中这具有以下优点:第二通信设备MP-B可以独立地推导出该密钥。
关于由AAA服务器AAA-S针对请求者SUPP所考虑的策略,根据本发明能确定,AAA服务器AAA-S可以将为第一通信设备MP-A所考虑的策略POLICY-A发送给第二通信设备MP-B,如这已经根据现有技术而公知的那样。如所示的那样,根据本发明,AAA服务器AAA-S此外也可以发送针对第二通信设备MP-B的策略POLICY-B,其中由第一通信设备MP-A在与第二通信设备MP-B的通信中实施所述策略POLICY-B。
在此,本发明规定,所述策略POLICY-B不能从AAA服务器AAA-S直接被发送给第二通信设备MP-B,以致根据本发明规定,首先将所述策略发送给第二通信设备MP-B,然后该第二通信设备MP-B将所述策略转送给第一通信设备MP-A。
作为另一扩展方案,本发明在此有利地规定:为了避免对所述策略POLICY-B的操纵,利用密码校验和(消息认证码(MessageAuthentication Code),MAC)来保护所述策略POLICY-B,以致因此产生所谓的断言的策略(Asserted Policy)AST(POLICY-B)。在此,优选地能从扩展会话密钥EMSK中推导另一密钥PP-KEY(策略保护密钥(Policy Protection Key))作为密钥。
该推导的具体扩展方案通过公式
PP-KEY=HMAC-SHA1(EMSK,“网格策略保护密钥”)给出,其中所述另一密钥PP-KEY不从AAA服务器AAA-S被传输给第二通信设备MP-B。
受保护的策略B AST(POLICY-B)于是从第二通信设备MP-B被传输给第一通信设备MP-A,并且可以通过密码校验和并且基于第二通信设备MP-B没有识别出所述另一密钥PP-KEY的事实而不操纵受保护的策略AST(Policy-B),即使所述受保护的策略涉及第二通信设备MP-B。
在此,如下描述根据本发明设立到AAA服务器AAA-S的安全通信。
对于登记的第一通信设备MP-A也应该可以认证其他网格节点的情况,因此必须使其在原则上第一次能够实现到AAA服务器AAA-S的通信。
已知的是,明确地配置相对应的参数,如AAA服务器AAA-S的地址以及用于保护通信的共享秘密(Shared Secret)。但是,这是不切合实际的并且对于大量网格节点而言按比例扩大性差。
因此,根据本发明设立用于网格节点和AAA服务器AAA-S之间的安全通信的密钥AAA-Key,其中所述密钥AAA-Key根据本发明如下从扩展会话密钥EMSK中被推导出:
AAA-KEY=HMAC-SHA1(EMS,“网格-AAA-密钥(Mesh-AAA-Key)”)。
该密钥也由AAA服务器AAA-S和第一通信设备MP-A计算并且被用于保护在所述两个节点之间的通信。
用于与AAA服务器AAA-S进行通信的其他参数(诸如AAA服务器AAA-S的IP地址或者其他密钥材料)可以以同样通过密钥AAA-Key来保护的方式从AAA服务器AAA-S被传输给第一通信设备MP-A。这可以与针对受保护的策略AST(POLI CY-B)类似地来实现,以致传输受保护的配置AST(AAA-CONFIG),其中所述受保护的配置AST(AAA-CONFIG)相对应地由另一密钥(也即所述的AAA-KEY)来保护。
根据另一有利的扩展方案,对于必须传输AAA-KEY的情况,除了完整性保护以外也保护机密性。此外,根据本发明可以设想,也使用另一所推导出的密钥作为用于通信的(Radi us)共享秘密。也可以设想,使用另一密钥PP-KEY作为AAA-KEY。
根据本发明,如下描述设立到AAA-PROXY的安全通信,所述AAA-PROXY被使用在某些场景中,在这些场景中,期望网格节点不是直接地、而是经由中间连接的站AAA-PROXY与AAA服务器AAA-S进行通信。
为了能够例如在网格网关(Mesh-Gateway)上实现代理AAA-PROXY的功能,AAA-KEY作为EAP成功消息EAP-SUCCESS的部分从AAA-S被发送给AAA-Proxy。所述站AAA-PROXY在此存储所述密钥,用于稍后与第一通信设备MP-A进行通信,所述通信如上所述能受到保护。在此,在其将消息转发给第二通信设备MP-B之前,所述站AAA-PROXY将该属性去除。
可替换地,也可以从会话密钥MSK而不是从扩展会话密钥EMSK中推导出AAA-KEY。这具有以下优点,即推导不仅可以由AAA服务器AAA-S进行而且也可以由站AAA-PROXY自身进行。但是,在这种情况下,会话密钥MSK应该由站AAA-PROXY去除并且由从会话密钥MSK中所推导出的另一密钥来代替。这必须被通知给第一通信设备MP-A,其中这例如经由利用原始的会话密钥MSK所保护的受保护的配置AST(AAA-CONFIG)来进行。
根据本发明,也考虑以下场景,其中可能期望附加地设立到网格网关节点的安全关系,其中如果网关节点GW位于AAA消息路径中,则如上针对站AAA-PROXY所说明的那样,这能得以实现。GW节点GW可以使用在此来自成功消息EAP-SUCCESS的相对应密钥并且用于通信。在有利的具体化情况中,所述GW密钥如下所示:
GW-KEY=HMAC-SHA1(EMSK,“网格-GW-密钥(Mesh-GW-Key)”)。
尤其可以使用所述GW密钥GW-KEY,以便例如借助于IP-SEC来保护第一通信设备MP-A与基础设施网络INFRASTRUCTURE NETWORK的通信,以致网状网的中间节点由此不访问第一通信设备MP-A的纯文本数据(Klartextdaten)。
因此,本发明解决了网状网登记的问题,其中仅仅两个网格节点之一具有到中央AAA服务器AAA-S的连接性,其中这基本上通过以下核心步骤来实现。
a)在第一EAP过程中,具有到AAA服务器AAA-S的连接性的那个网格节点承担认证者角色AUTH。
在所述第一EAP过程中,设立另一安全材料(密钥,可选地为策略),其在第二EAP过程中被使用。
所述安全材料在此被递交给本地认证服务器AS,以便能够实现第二EAP过程。
此外,如果所述安全材料被设立,则在此这里在本地实现认证服务器AS,也就是说在不具有到AAA服务器AAA-S的连接的那个网格节点(认证者)上实现认证服务器AS。
在此,通过根据本发明的处理方式可以不再并行地执行EAP过程,而是仅仅顺序地以预先给定的顺序来执行。但是,这不是问题,因为两个EAP过程可以被任意地相互交错。在现有EAP系统中实现本发明因此可能是耗费少的,因为任意的交错也包括以下可能性:依次执行这些EAP过程。
总之也能够说,根据本发明也可以设立另一安全材料用于第一通信设备MP-A与AAA服务器AAA-S或站AAA-PROXY或者网关GW之间的通信。
在此能够如下总结本发明的优点:
优点在于,可以在不必在不具有到AAA服务器AAA-S的连接的那个网格节点上事先设立另一网格节点的安全材料的情况下实现第二EAP过程。通过本发明仅仅需要,如在正常的WLAN站的情况下常见的那样,仅仅用安全材料来配置,这使得所述安全材料能够实现相对于中央AAA服务器AAA-S的认证。
也就是说,AAA服务器AAA-S不必在网格节点上被复制,以致大规模的数据库不再必需,并且因此不再必需增加的存储器需求。此外,避免以下危险:在其上复制了AAA服务器功能性的网格节点滥用地冒充用于其他业务(诸如基于IKEv2的IPsec VPN)的AAA服务器,并且从而降低了所述业务的安全性。也避免了其他设备的安全相关的数据被安放在不同的值得信赖的网格节点(例如终端用户设备)上。
Claims (25)
1.用于提供无线局域网的方法,其中按照IEEE 802.11标准及其衍生标准、尤其是IEEE 802.15或者IEEE 802.16所构造的固定通信设备(AP)以及移动通信设备(STA,AP,MP-A,MP-B)按照网格的方式被连接为子网(MESH NODES)并且经由所述通信设备中的第一通信设备(MP-B,AAA-PROXY)被连接到基础设施网络(INFRASTRUKTURNETZWERK),使得可以在使用“可扩展认证协议-EAP”协议的情况下与被布置在基础设施网络(INFRASTRUKTUR NETZWERK)中的“认证、授权、记账AAA”服务器(AAA-S)交换认证消息,其特征在于,
a)实现在登记时根据EAP所限定的第一过程(1),其中所述第一通信设备(MP-B)以根据EAP协议所限定的“认证者”(AUTH)角色与所述AAA服务器(AAA-S)进行通信,
b)所述AAA服务器(AAA-S)在所述第一过程中产生用于子网(MESHNODES)的基本加密信息(MA-KEY,MSK1,POLICY-A,AST(POLICY-B)),
c)所述基本加密信息(MA-KEY,MSK1,POLICY-A,AST(POLICY-B))被传送给所述第一通信设备(MP-B),
d)实现在登记时根据EAP所限定的第二过程(2),其中所述第一通信设备(MP-B)以根据EAP协议所限定的“请求者”(SUPP)角色在不与所述AAA服务器(AAA-S)通信的情况下与第二通信设备(MP-A)进行通信,其中基于所述基本加密信息(MA-KEY,MSK1,POLICY-A,AST(POLICY-B))的至少一部分来进行第二过程(2)范围中的认证。
2.按照权利要求1所述的方法,其特征在于,所述基本加密信息(MA-KEY,MSK1,POLICY-A,AST(POLICY-B))包含至少一个第一加密密钥(MA-KEY)。
3.按照权利要求1或2所述的方法,其特征在于,所述第一加密密钥(MA-KEY)被存储在所述第一通信设备(MP-B)中。
4.按照前述权利要求之一所述的方法,其特征在于,在使用所述第一加密密钥(MA-KEY)作为共有的、尤其是秘密的密钥“预共享密钥”的情况下进行第二过程中的认证。
5.按照前述权利要求之一所述的方法,其特征在于,在所述基本加密信息(MA-KEY,MSK1,POLICY-A,AST(POLICY-B))中附上确定附加网络属性的、被分配给所述第一通信设备(MP-B)的第一参数,尤其是附上所谓的策略(AST(POLICY-B)),如最大带宽、QoS预留、有效期限、用户有关的账户信息和/或通信量过滤规则。
6.按照前述权利要求之一所述的方法,其特征在于,在所述基本加密信息(MA-KEY,MSK1,POLICY-A,AST(POLICY-B))中附上确定附加网络属性的、被分配给所述第二通信设备(MP-A)的第二参数,尤其是附上所谓的策略(POLICY-A),如最大带宽、QoS预留、有效期限、用户有关的账户信息和/或通信量过滤规则。
7.按照权利要求6所述的方法,其特征在于,所述第二参数(POLICY-B)受第二加密密钥保护地作为经加密的第一参数(AST(POLICY-B))被传输。
8.按照权利要求7所述的方法,其特征在于,所述第二参数(AST(POLICY-B))从所述第一通信设备(MP-B)被传输到所述第二通信设备(MP-A)。
9.按照前述权利要求之一所述的方法,其特征在于,保护在第二通信设备(MP-A)和AAA服务器(AAA-S)之间的通信的第三加密密钥被推导出,其中所述推导不仅由所述AAA服务器(AAA-S)而且由所述第二通信设备(MP-A)来执行。
10.按照权利要求9所述的方法,其特征在于,所述AAA服务器(AAA-S)传送在AAA服务器(AAA-S)与第二通信设备(MP-B)之间的通信的配置(AST(AAA-CONFIG)),所述配置(AST(AAA-CONFIG))借助于第三加密密钥被加密。
11.按照权利要求7至10之一所述的方法,其特征在于,所述第三加密密钥对应于所述第二加密密钥。
12.按照权利要求9至11之一所述的方法,其特征在于,在利用“可扩展认证协议-EAP”协议的情况下,所述子网(MESH NODE)的通信设备(MP-A,MP-B)和AAA服务器(AAA-S)的通信借助于按照代理服务器的方式起作用的站(AAA-PROXY)在省略所述AAA服务器(AAA-S)的情况下基于所述第三加密密钥来运行。
13.按照权利要求12所述的方法,其特征在于,所述站作为在子网(MESH NODES)和基础设施网络(INFRASTRUCTURE NETWORK)之间的变换器(GW)起作用。
14.按照前述权利要求之一所述的方法,其特征在于,保护在第二通信设备(MP-A)和站(GW)之间的通信的第四加密密钥被推导出,所述站(GW)作为在子网(MESH NODES)和基础设施网络(INFRASTRUCTURENETWORK)之间的变换器(GW)起作用,其中所述推导由AAA服务器(AAA-S)执行,并且经由根据EAP协议所限定的EAP成功消息(EAP-SUCCESS)被传送。
15.按照前述权利要求之一所述的方法,其特征在于,从被分配给所述子网的会话密钥(EMSK,MSK)推导出第一加密密钥、第二加密密钥、第三加密密钥和/或第四加密密钥。
16.按照权利要求15所述的方法,其特征在于,所述推导基于使用根据EAP协议所构成的“主会话密钥MSK”的密钥推导函数(KDF)来实现。
17.按照前述权利要求之一所述的方法,其特征在于,所述推导基于使用根据EAP协议所构成的“扩展主会话密钥EMSK”的密钥推导函数(KDF)来实现。
18.按照权利要求17所述的方法,其特征在于,根据加密散列函数、尤其是SHA-1或MD5散列函数的函数被用作密钥推导函数(KDF)。
19.按照前述权利要求之一所述的方法,其特征在于,散列消息认证码函数“带有密钥的散列函数”、尤其是根据RFC2104的HMAC被用作密钥推导函数(KDF)。
20.按照前述权利要求之一所述的方法,其特征在于,所述第一加密密钥根据基于密钥推导函数的以下公式来构成:
MA-Key=HMAC-SHA1(MSK,“网格接入密钥”),
其中:
用MA-Key表示所分配的密钥,
用HMAC-SHA1表示在使用散列函数SHA-1的情况下的带有密钥的散列函数HMAC,并且
用MSK表示根据EAP协议所确定的“主会话密钥”,以及
用“网格接入密钥”表示尤其是再现密钥的应用目的的字符串。
21.按照前述权利要求之一所述的方法,其特征在于,所述第一加密密钥根据基于密钥推导函数的以下公式构成:
MA-Key=HMAC-SHA1(EMSK,“网格接入密钥”),
其中,
用MA-Key表示所分配的密钥,
用HMAC-SHA1表示在使用散列函数SHA-1的情况下的带有密钥的散列函数HMAC,并且
用EMSK表示根据EAP协议所确定的“扩展主会话密钥”,以及
用“网格接入密钥”表示尤其是再现密钥的应用目的的字符串。
22.按照前述权利要求之一所述的方法,其特征在于,所述第二加密密钥根据基于密钥推导函数的以下公式构成:
PP-Key=HMAC-SHA1(EMSK,“网格策略保护密钥”),
其中,
用PP-Key表示所分配的密钥,
用HMAC-SHA1表示在使用散列函数SHA-1的情况下的带有密钥的散列函数HMAC,并且
用EMSK表示根据EAP协议所确定的“扩展主会话密钥”,以及
用“网格策略保护密钥”表示尤其是再现密钥的应用目的的字符串。
23.按照前述权利要求之一所述的方法,其特征在于,所述第三加密密钥根据基于密钥推导函数的以下公式构成:
AAA-Key=HMAC-SHA1(EMSK,“网格-AAA-密钥”),
其中,
用AAA-Key表示所分配的密钥,
用HMAC-SHA1表示在使用散列函数SHA-1的情况下的带有密钥的散列函数HMAC,并且
用EMSK表示根据EAP协议所确定的“扩展主会话密钥”,以及
用“网格-AAA-密钥”表示尤其是再现密钥的应用目的的字符串。
24.按照前述权利要求之一所述的方法,其特征在于,所述第四加密密钥根据基于密钥推导函数的以下公式构成:
GW-Key=HMAC-SHA1(EMSK,“网格-GW-密钥”),
其中,
用GW-Key表示所分配的密钥,
用HMAC-SHA1表示在使用散列函数SHA-1的情况下的带有密钥的散列函数HMAC,并且
用EMSK表示根据EAP协议所确定的“扩展主会话密钥”,以及用“网格-GW-密钥”表示尤其是再现密钥的应用目的的字符串。
25.用于提供无线局域网的设备,其特征在于用于执行按照前述权利要求之一所述的方法的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102006038592A DE102006038592B4 (de) | 2006-08-17 | 2006-08-17 | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks |
| DE102006038592.6 | 2006-08-17 | ||
| PCT/EP2007/057932 WO2008019942A1 (de) | 2006-08-17 | 2007-08-01 | Verfahren und anordnung zum bereitstellen eines drahtlosen mesh-netzwerks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101375545A true CN101375545A (zh) | 2009-02-25 |
| CN101375545B CN101375545B (zh) | 2012-06-13 |
Family
ID=38669497
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800033906A Expired - Fee Related CN101375545B (zh) | 2006-08-17 | 2007-08-01 | 用于提供无线网状网的方法和设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8495360B2 (zh) |
| EP (1) | EP2052487B1 (zh) |
| CN (1) | CN101375545B (zh) |
| DE (2) | DE102006038592B4 (zh) |
| WO (1) | WO2008019942A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102017715A (zh) * | 2008-05-09 | 2011-04-13 | 西门子公司 | 用于为无线网状网络创建分配消息的至少一个扩展的方法和装置 |
| CN104604181A (zh) * | 2012-06-28 | 2015-05-06 | 塞尔蒂卡姆公司 | 无线通信的密钥协定 |
| CN108990050A (zh) * | 2012-12-04 | 2018-12-11 | 三星电子株式会社 | 客户端设备、组拥有者设备以及二者之间直接通信的方法 |
Families Citing this family (84)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10181953B1 (en) * | 2013-09-16 | 2019-01-15 | Amazon Technologies, Inc. | Trusted data verification |
| WO2008030549A2 (en) * | 2006-09-06 | 2008-03-13 | Sslnext Inc. | Method and system for providing authentication service for internet users |
| US7941663B2 (en) * | 2007-10-23 | 2011-05-10 | Futurewei Technologies, Inc. | Authentication of 6LoWPAN nodes using EAP-GPSK |
| JP5283925B2 (ja) | 2008-02-22 | 2013-09-04 | キヤノン株式会社 | 通信装置、通信装置の通信方法、プログラム、記憶媒体 |
| US8515996B2 (en) * | 2008-05-19 | 2013-08-20 | Emulex Design & Manufacturing Corporation | Secure configuration of authentication servers |
| US8402111B2 (en) | 2009-01-28 | 2013-03-19 | Headwater Partners I, Llc | Device assisted services install |
| US8346225B2 (en) | 2009-01-28 | 2013-01-01 | Headwater Partners I, Llc | Quality of service for device assisted services |
| US8839387B2 (en) | 2009-01-28 | 2014-09-16 | Headwater Partners I Llc | Roaming services network and overlay networks |
| US8832777B2 (en) | 2009-03-02 | 2014-09-09 | Headwater Partners I Llc | Adapting network policies based on device service processor configuration |
| US8340634B2 (en) | 2009-01-28 | 2012-12-25 | Headwater Partners I, Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
| US8391834B2 (en) | 2009-01-28 | 2013-03-05 | Headwater Partners I Llc | Security techniques for device assisted services |
| US8275830B2 (en) | 2009-01-28 | 2012-09-25 | Headwater Partners I Llc | Device assisted CDR creation, aggregation, mediation and billing |
| US8635335B2 (en) | 2009-01-28 | 2014-01-21 | Headwater Partners I Llc | System and method for wireless network offloading |
| US8626115B2 (en) | 2009-01-28 | 2014-01-07 | Headwater Partners I Llc | Wireless network service interfaces |
| US8924469B2 (en) | 2008-06-05 | 2014-12-30 | Headwater Partners I Llc | Enterprise access control and accounting allocation for access networks |
| US8548428B2 (en) | 2009-01-28 | 2013-10-01 | Headwater Partners I Llc | Device group partitions and settlement platform |
| US8898293B2 (en) | 2009-01-28 | 2014-11-25 | Headwater Partners I Llc | Service offer set publishing to device agent with on-device service selection |
| US8589541B2 (en) | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
| US8725123B2 (en) | 2008-06-05 | 2014-05-13 | Headwater Partners I Llc | Communications device with secure data path processing agents |
| US8924543B2 (en) | 2009-01-28 | 2014-12-30 | Headwater Partners I Llc | Service design center for device assisted services |
| US8406748B2 (en) | 2009-01-28 | 2013-03-26 | Headwater Partners I Llc | Adaptive ambient services |
| US8131296B2 (en) * | 2008-08-21 | 2012-03-06 | Industrial Technology Research Institute | Method and system for handover authentication |
| US8990569B2 (en) * | 2008-12-03 | 2015-03-24 | Verizon Patent And Licensing Inc. | Secure communication session setup |
| US10248996B2 (en) | 2009-01-28 | 2019-04-02 | Headwater Research Llc | Method for operating a wireless end-user device mobile payment agent |
| US9571559B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners I Llc | Enhanced curfew and protection associated with a device group |
| US9609510B2 (en) | 2009-01-28 | 2017-03-28 | Headwater Research Llc | Automated credential porting for mobile devices |
| US10237757B2 (en) | 2009-01-28 | 2019-03-19 | Headwater Research Llc | System and method for wireless network offloading |
| US8893009B2 (en) | 2009-01-28 | 2014-11-18 | Headwater Partners I Llc | End user device that secures an association of application to service policy with an application certificate check |
| US10492102B2 (en) | 2009-01-28 | 2019-11-26 | Headwater Research Llc | Intermediate networking devices |
| US9578182B2 (en) | 2009-01-28 | 2017-02-21 | Headwater Partners I Llc | Mobile device and service management |
| US10326800B2 (en) | 2009-01-28 | 2019-06-18 | Headwater Research Llc | Wireless network service interfaces |
| US9557889B2 (en) | 2009-01-28 | 2017-01-31 | Headwater Partners I Llc | Service plan design, user interfaces, application programming interfaces, and device management |
| US11973804B2 (en) | 2009-01-28 | 2024-04-30 | Headwater Research Llc | Network service plan design |
| US10200541B2 (en) | 2009-01-28 | 2019-02-05 | Headwater Research Llc | Wireless end-user device with divided user space/kernel space traffic policy system |
| US9351193B2 (en) | 2009-01-28 | 2016-05-24 | Headwater Partners I Llc | Intermediate networking devices |
| US10783581B2 (en) | 2009-01-28 | 2020-09-22 | Headwater Research Llc | Wireless end-user device providing ambient or sponsored services |
| US9253663B2 (en) | 2009-01-28 | 2016-02-02 | Headwater Partners I Llc | Controlling mobile device communications on a roaming network based on device state |
| US9755842B2 (en) | 2009-01-28 | 2017-09-05 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
| US9647918B2 (en) | 2009-01-28 | 2017-05-09 | Headwater Research Llc | Mobile device and method attributing media services network usage to requesting application |
| US10484858B2 (en) | 2009-01-28 | 2019-11-19 | Headwater Research Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
| US9392462B2 (en) | 2009-01-28 | 2016-07-12 | Headwater Partners I Llc | Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy |
| US9980146B2 (en) | 2009-01-28 | 2018-05-22 | Headwater Research Llc | Communications device with secure data path processing agents |
| US10779177B2 (en) | 2009-01-28 | 2020-09-15 | Headwater Research Llc | Device group partitions and settlement platform |
| US9955332B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Method for child wireless device activation to subscriber account of a master wireless device |
| US10057775B2 (en) | 2009-01-28 | 2018-08-21 | Headwater Research Llc | Virtualized policy and charging system |
| US9858559B2 (en) | 2009-01-28 | 2018-01-02 | Headwater Research Llc | Network service plan design |
| US9572019B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners LLC | Service selection set published to device agent with on-device service selection |
| US9706061B2 (en) | 2009-01-28 | 2017-07-11 | Headwater Partners I Llc | Service design center for device assisted services |
| US10715342B2 (en) | 2009-01-28 | 2020-07-14 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
| US11218854B2 (en) | 2009-01-28 | 2022-01-04 | Headwater Research Llc | Service plan design, user interfaces, application programming interfaces, and device management |
| US8606911B2 (en) | 2009-03-02 | 2013-12-10 | Headwater Partners I Llc | Flow tagging for service policy implementation |
| US8793758B2 (en) | 2009-01-28 | 2014-07-29 | Headwater Partners I Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US10798252B2 (en) | 2009-01-28 | 2020-10-06 | Headwater Research Llc | System and method for providing user notifications |
| US9954975B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Enhanced curfew and protection associated with a device group |
| US10064055B2 (en) | 2009-01-28 | 2018-08-28 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US9270559B2 (en) | 2009-01-28 | 2016-02-23 | Headwater Partners I Llc | Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow |
| US10264138B2 (en) | 2009-01-28 | 2019-04-16 | Headwater Research Llc | Mobile device and service management |
| US10841839B2 (en) | 2009-01-28 | 2020-11-17 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US9565707B2 (en) | 2009-01-28 | 2017-02-07 | Headwater Partners I Llc | Wireless end-user device with wireless data attribution to multiple personas |
| US8745191B2 (en) | 2009-01-28 | 2014-06-03 | Headwater Partners I Llc | System and method for providing user notifications |
| JP2010178867A (ja) * | 2009-02-05 | 2010-08-19 | Fujifilm Corp | 放射線撮影用ネットワークシステム及び放射線画像撮影システム制御方法 |
| US8813201B2 (en) | 2009-06-24 | 2014-08-19 | Marvell World Trader Ltd. | Generating security material |
| US8812833B2 (en) | 2009-06-24 | 2014-08-19 | Marvell World Trade Ltd. | Wireless multiband security |
| US8560848B2 (en) | 2009-09-02 | 2013-10-15 | Marvell World Trade Ltd. | Galois/counter mode encryption in a wireless network |
| GB2473849B (en) * | 2009-09-25 | 2015-06-17 | Ge Aviat Systems Ltd | Module communication |
| US8839372B2 (en) | 2009-12-23 | 2014-09-16 | Marvell World Trade Ltd. | Station-to-station security associations in personal basic service sets |
| US9154826B2 (en) | 2011-04-06 | 2015-10-06 | Headwater Partners Ii Llc | Distributing content and service launch objects to mobile devices |
| US8948386B2 (en) | 2012-06-27 | 2015-02-03 | Certicom Corp. | Authentication of a mobile device by a network and key generation |
| US9088408B2 (en) | 2012-06-28 | 2015-07-21 | Certicom Corp. | Key agreement using a key derivation key |
| KR101880493B1 (ko) | 2012-07-09 | 2018-08-17 | 한국전자통신연구원 | 무선 메쉬 네트워크에서의 인증 방법 |
| WO2014016695A2 (en) | 2012-07-27 | 2014-01-30 | Assa Abloy Ab | Presence-based credential updating |
| ES2872351T3 (es) | 2012-07-27 | 2021-11-02 | Assa Abloy Ab | Controles de ajuste automático basados en la información de presencia fuera de la habitación |
| US9451643B2 (en) * | 2012-09-14 | 2016-09-20 | Futurewei Technologies, Inc. | System and method for a multiple IP interface control protocol |
| US10356640B2 (en) | 2012-11-01 | 2019-07-16 | Intel Corporation | Apparatus, system and method of cellular network communications corresponding to a non-cellular network |
| US9414392B2 (en) | 2012-12-03 | 2016-08-09 | Intel Corporation | Apparatus, system and method of user-equipment (UE) centric access network selection |
| US9226211B2 (en) * | 2013-01-17 | 2015-12-29 | Intel IP Corporation | Centralized partitioning of user devices in a heterogeneous wireless network |
| US9167427B2 (en) * | 2013-03-15 | 2015-10-20 | Alcatel Lucent | Method of providing user equipment with access to a network and a network configured to provide access to the user equipment |
| US9509636B2 (en) | 2013-03-15 | 2016-11-29 | Vivint, Inc. | Multicast traffic management within a wireless mesh network |
| US9160515B2 (en) | 2013-04-04 | 2015-10-13 | Intel IP Corporation | User equipment and methods for handover enhancement using scaled time-to-trigger and time-of-stay |
| US9712332B2 (en) | 2014-03-11 | 2017-07-18 | Vivint, Inc. | Node directed multicast traffic management systems and methods for mesh networks |
| US10791093B2 (en) * | 2016-04-29 | 2020-09-29 | Avago Technologies International Sales Pte. Limited | Home network traffic isolation |
| US11799634B2 (en) * | 2020-09-30 | 2023-10-24 | Qatar Foundation For Education, Science And Community Development | Mesh network for resource-constrained devices |
| EP4060947A1 (de) | 2021-03-16 | 2022-09-21 | Siemens Aktiengesellschaft | Authentifizieren eines knotens in einem kommunikationsnetz einer automatisierungsanlage |
| US11770362B2 (en) | 2021-12-29 | 2023-09-26 | Uab 360 It | Access control in a mesh network |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050152305A1 (en) * | 2002-11-25 | 2005-07-14 | Fujitsu Limited | Apparatus, method, and medium for self-organizing multi-hop wireless access networks |
| US7526640B2 (en) * | 2003-06-30 | 2009-04-28 | Microsoft Corporation | System and method for automatic negotiation of a security protocol |
| US8713626B2 (en) * | 2003-10-16 | 2014-04-29 | Cisco Technology, Inc. | Network client validation of network management frames |
| US7194763B2 (en) * | 2004-08-02 | 2007-03-20 | Cisco Technology, Inc. | Method and apparatus for determining authentication capabilities |
| JP4715239B2 (ja) * | 2005-03-04 | 2011-07-06 | 沖電気工業株式会社 | 無線アクセス装置、無線アクセス方法及び無線ネットワーク |
| US7562224B2 (en) * | 2005-04-04 | 2009-07-14 | Cisco Technology, Inc. | System and method for multi-session establishment for a single device |
| US8850194B2 (en) * | 2005-04-19 | 2014-09-30 | Motorola Solutions, Inc. | System and methods for providing multi-hop access in a communications network |
| US7596225B2 (en) * | 2005-06-30 | 2009-09-29 | Alcatl-Lucent Usa Inc. | Method for refreshing a pairwise master key |
| KR100770928B1 (ko) * | 2005-07-02 | 2007-10-26 | 삼성전자주식회사 | 통신 시스템에서 인증 시스템 및 방법 |
| US7716721B2 (en) * | 2005-10-18 | 2010-05-11 | Cisco Technology, Inc. | Method and apparatus for re-authentication of a computing device using cached state |
| KR20070051233A (ko) * | 2005-11-14 | 2007-05-17 | 삼성전자주식회사 | 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법 |
| US20070154016A1 (en) * | 2006-01-05 | 2007-07-05 | Nakhjiri Madjid F | Token-based distributed generation of security keying material |
| US8064948B2 (en) * | 2006-01-09 | 2011-11-22 | Cisco Technology, Inc. | Seamless roaming for dual-mode WiMax/WiFi stations |
| US7903817B2 (en) * | 2006-03-02 | 2011-03-08 | Cisco Technology, Inc. | System and method for wireless network profile provisioning |
| US20070220598A1 (en) * | 2006-03-06 | 2007-09-20 | Cisco Systems, Inc. | Proactive credential distribution |
| US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
| US8347077B2 (en) * | 2006-05-04 | 2013-01-01 | Cisco Technology, Inc. | Authenticating a registration request with a mobility key provided to an authenticator |
| US7793103B2 (en) * | 2006-08-15 | 2010-09-07 | Motorola, Inc. | Ad-hoc network key management |
-
2006
- 2006-08-17 DE DE102006038592A patent/DE102006038592B4/de not_active Expired - Fee Related
-
2007
- 2007-08-01 CN CN2007800033906A patent/CN101375545B/zh not_active Expired - Fee Related
- 2007-08-01 WO PCT/EP2007/057932 patent/WO2008019942A1/de active Application Filing
- 2007-08-01 EP EP07802454A patent/EP2052487B1/de active Active
- 2007-08-01 DE DE502007003534T patent/DE502007003534D1/de active Active
- 2007-08-01 US US12/223,203 patent/US8495360B2/en active Active
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102017715A (zh) * | 2008-05-09 | 2011-04-13 | 西门子公司 | 用于为无线网状网络创建分配消息的至少一个扩展的方法和装置 |
| CN102017715B (zh) * | 2008-05-09 | 2014-09-24 | 西门子企业通讯有限责任两合公司 | 用于为无线网状网络创建分配消息的至少一个扩展的方法和装置 |
| CN104604181A (zh) * | 2012-06-28 | 2015-05-06 | 塞尔蒂卡姆公司 | 无线通信的密钥协定 |
| CN104604181B (zh) * | 2012-06-28 | 2018-04-27 | 塞尔蒂卡姆公司 | 无线通信的密钥协定 |
| US10057053B2 (en) | 2012-06-28 | 2018-08-21 | Certicom Corp. | Key agreement for wireless communication |
| US10187202B2 (en) | 2012-06-28 | 2019-01-22 | Certicom Corp. | Key agreement for wireless communication |
| CN108990050A (zh) * | 2012-12-04 | 2018-12-11 | 三星电子株式会社 | 客户端设备、组拥有者设备以及二者之间直接通信的方法 |
| CN108990050B (zh) * | 2012-12-04 | 2021-07-09 | 三星电子株式会社 | 客户端设备、组拥有者设备以及二者之间直接通信的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008019942A1 (de) | 2008-02-21 |
| US8495360B2 (en) | 2013-07-23 |
| US20100228980A1 (en) | 2010-09-09 |
| EP2052487B1 (de) | 2010-04-21 |
| CN101375545B (zh) | 2012-06-13 |
| DE502007003534D1 (de) | 2010-06-02 |
| DE102006038592B4 (de) | 2008-07-03 |
| DE102006038592A1 (de) | 2008-02-21 |
| EP2052487A1 (de) | 2009-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101375545B (zh) | 用于提供无线网状网的方法和设备 | |
| CN101222331B (zh) | 一种认证服务器及网状网中双向认证的方法及系统 | |
| US9735957B2 (en) | Group key management and authentication schemes for mesh networks | |
| US8122249B2 (en) | Method and arrangement for providing a wireless mesh network | |
| EP1997292B1 (en) | Establishing communications | |
| US8561200B2 (en) | Method and system for controlling access to communication networks, related network and computer program therefor | |
| US7793103B2 (en) | Ad-hoc network key management | |
| US9769653B1 (en) | Efficient key establishment for wireless networks | |
| US20090175454A1 (en) | Wireless network handoff key | |
| US8959333B2 (en) | Method and system for providing a mesh key | |
| WO2008030667B1 (en) | Security authentication and key management within an infrastructure-based wireless multi-hop network | |
| JP2010503326A5 (ja) | インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法 | |
| EP1805920A2 (en) | System and method for providing security for a wireless network | |
| WO2009103214A1 (zh) | 网络认证通信方法及网状网络系统 | |
| CN102223634A (zh) | 一种用户终端接入互联网方式的控制方法及装置 | |
| CN101635922B (zh) | 无线网状网络安全通信方法 | |
| Moustafa et al. | AAA in vehicular communication on highways with ad hoc networking support: a proposed architecture | |
| CN101478389B (zh) | 支持多级安全的移动IPSec传输认证方法 | |
| Haq et al. | Towards Robust and Low Latency Security Framework for IEEE 802.11 Wireless Networks | |
| Shiyang | Compare of new security strategy with several others in WLAN | |
| CN1996838A (zh) | 一种多主机WiMAX系统中的AAA认证优化方法 | |
| Hur et al. | An efficient pre-authentication scheme for IEEE 802.11-based vehicular networks | |
| Lee et al. | A secure wireless lan access technique for home network | |
| CN101496375A (zh) | 提供Mesh密钥的方法和系统 | |
| KR20100034461A (ko) | 통신 네트워크에서 인증 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120613 Termination date: 20210801 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |