无线网状(Mesh)网是例如在无线局域网(WLAN,Wireless LocalArea Network)中实施的成网状的网络。在网状网中,移动节点将源自另一移动节点的数据转发给其它移动节点或者传输给基站。在网状网(Mesh-Network)中,可跨越长距离,尤其是在不平坦的或者复杂的地形中跨越长距离。此外,网状网非常可靠地工作,因为每个移动节点都与数个其它节点相连。如果节点发生故障,例如由于硬件缺陷发生故障,该节点的相邻节点搜寻可替换的数据传输路线。网状网可以将固定设备或者移动设备一起包括在内。
在图1中,如上面所阐述的那样,示出了与基础设施网络INFRASTRUCTURE NETWORK相连的网状网MESH,并且该网状网MESH除了具有网状网的节点MP、MAP之外还具有非网状站(nichtMesh-Station),诸如具有按照WLAN运行的站STA。按照WLAN运行的站STA与网状网MESH通过作为WLAN接入点(即WLAN Access Point)工作的网状网节点MAP相连接。
在此,WLAN站STA的网状网MESH也能够接入基础设施网络INFRASTRUCTURE NETWORK,诸如接入企业网或者因特网。
在此,对网状节点MP和/或WLAN站STA的认证例如在使用认证服务器AAA-服务器(AS)的情况下进行,其中所示例子中的网状网MESH通过网关部件GW与基础设施网络INFRASTRUCTURE NETWORK相耦合。
在图2中示出了如由现有技术公知的独立的网状网MESH。在此,独立意味着,网状网MESH只是由网状节点MP构成。
在此,不仅涉及基础设施节点,而且涉及诸如笔记本电脑或者PDA那样的所谓的终端用户节点。
相反,图3示出了如由现有技术公知的带有接入点MAP的独立网状网,该接入点MAP允许诸如所示的WLAN站STA那样的没有网状能力的设备在网络MESH上注册。可是,所示的WLAN站STA并不亲自参与网状路由。
在所示的根据现有技术的设备中,在此通常利用所谓的MAC地址(介质访问控制以太网(Media Access Control Ethernet)ID)在网络中对设备进行识别。MAC地址在此是节点的用于在基于IEEE 802标准的通信网络中(诸如在根据IEEE 802.11的WLAN中和所示的根据IEEE 802.11S的网状网MESH中)进行通信的第二层地址。通常,该地址在全局单义地(eindeutig)与相应硬件有关联。
可是公知的是,不可信的用户攻击者(ATTACKER)MP错误地或者完全故意地使用可信的用户GOOD(好)MP的MAC地址。由于这种也被公知为MAC地址欺诈(MAC Address Spoofing)的操纵,导致对受侵袭的网络的干扰,例如导致拒绝服务(DoS,Denial of Service)攻击,这些干扰通过以下方式形成:牺牲者GOOD MP不再能够进行通信,因为其无线连接(Wireless Link)不再有效。此外,在WLAN热点利用纯粹基于http浏览器的注册可接管(uebernehmen)可信的用户GOODMP的通信会话。
由Joshua Right的“Detecting Wireless LAN MAC AddressSpoofing”(2003年1月21日,http://www.routesecure.net/ content/downloads/pdf/wlan_macspoof_detection.pdf)公开了用于识别WLAN MAC地址欺骗的措施,其中一方面检查是所传送的MAC地址的部分的专门指派给制造商的所谓组织唯一标识符OUI(Organizationally Unique Identifier)(参见http://standards. ieee.org/regauth/oui/oui.txt)究竟是否被指派给该制造商。此外,也可以分析用户的通常连续地增加的WLAN MAC序号,这被实现来使得只要出现较大的间隙(Luecke),就标志着相对应的MAC帧由另一站(攻击者)来发送。
在这种情况下不利的是,只有当MAC地址随机生成时,OUI的检查才起作用,但是如果攻击者ATTACKER MP仅使用了另一可信用户GOODMP的MAC地址,则OUI的检查不起作用。此外,攻击者ATTACKER MP也可以在MAC地址的OUI被指派的附加条件下随机地生成这些MAC地址。
此外,由专利申请US 2006/0114863公知一种用于保护IEEE802.11数据通信免受MAC地址欺诈的方法,在该方法中防止WLAN网络中的MAC地址欺诈来使得:编制MAC地址和在WLAN注册中所使用的用户身份的对照表,并且在随后的WLAN注册时检查所使用的MAC地址以及用户身份与对照表中存在的条目是否一致,并且如果不一致,则拒绝注册。
因而,本发明所基于的任务在于,给出一种改进的用于提供无线网状网的方法以及设备。
该任务从权利要求1的前序部分出发通过其特征部分的特征以及从权利要求24的前序部分出发通过其特征部分的特征得以解决。
在根据本发明的用于提供无线本地网的方法中,其中根据IEEE802.11标准及其衍生物、尤其是IEEE 802.15或者IEEE 802.16构建的固定通信设备以及移动通信设备按照网格方式作为子网被连接,从向子网注册的通信设备方面,注册的MAC地址被传送给子网,此外执行检查来使得注册的MAC地址与从子网方面可获得的MAC地址进行比较,并且在注册的MAC地址与可获得的MAC地址不相交的情况下,注册的通信设备作为子网的站被连接,而对于注册的MAC地址在子网中已经可获得的情况,许可程序(Zulassungsprozedur)被执行来使得阻止在子网之内通过两个不同的通信设备使用该注册的MAC地址。
根据本发明的方法的优点是对MAC地址欺诈的影响有免疫作用,因为根据本发明的行为方式有针对性地阻止以已经可获得的MAC地址的注册,其中这与由现有技术公知的方法相比无需事先要存储的设备与MAC地址之间的关系等。
在本发明的扩展方案中,在此作为许可程序执行拒绝注册的通信。在这种情况下,涉及确保避免MAC地址欺诈的最简单的变型,因为根本无需附加的询问和数据传送。此外,这是该许可程序的最快可能的展开。
可替换地,作为许可程序,注册的MAC地址的转换被执行来使得与可获得的MAC地址不相交的MAC地址在子网之内被指派给注册的通信设备。
由此,与给每个设备在全局单义地分配的MAC地址无关地,在内部针对子网指派对于子网仅仅本地有效的MAC地址,并且如此避免了欺诈,也就是说MAC地址欺诈对网状子网的功能、尤其是对在网状子网之内路由和转发数据有不利影响。
优选地,在此,不相交的MAC地址从子网方面被生成,因为不相交的MAC地址拥有现存的MAC地址的信息或拥有在本地网中有效的地址的信息。在此也有利的是,不相交的MAC地址基于伪随机序列、尤其是基于正好一次产生的“只用一次的数字(Number Used Once),随机数(Nonce)”来生成。
此外有利的是,不相交的MAC地址在扩展方案中与在全局、尤其是从组织方面如根据OUI指派的MAC地址不相交地被选择。由此保证不存在与全局分配的MAC地址的冲突。
优选地,在此将不相交的MAC地址的第41位置为值1,以致本地有效性以简单的方式来表征。
本发明的另一有利的改进方案在于:作为许可程序,从子网方面执行对注册的通信设备与通过对应于注册的MAC地址的可获得的MAC地址所确定的第一通信设备的一致性的检验。由此可以确定注册的通信设备是否是已经已知的通信设备,该已经已知的通信设备仅要在网状网中建立另一链路,这根据网状体系架构也应被保障并且因此不是欺诈的情况,而是合法的注册尝试,并且因而会被许可。
在此,在扩展方案中,一致性检验被执行来使得从子网方面将第一检验信息通过被建立通向对应于注册的MAC地址的可获得的MAC地址所确定的通信设备的子网络线被传送给第一通信设备,此外,子网将返回第一检验信息的请求传送给第一通信设备,以及子网等待通过在注册的站的注册尝试范围内所建立的子网络线、也就是通过要建立的子网链路返回第一检验信息,紧接于此由于未发生返回而拒绝注册的通信设备或在发生返回时检查第一检验信息与所返回的检验信息的相关,并且在达到第一检验信息与所返回的检验信息的所确定的相关度的情况下、尤其是在第一检验信息与所返回的检验信息一致的情况下将注册的通信设备作为子网的站来连接,否则同样拒绝该注册的通信设备。
由此,也就是通过已存在的路线执行检验参数从网络向已注册的站的发送,并且实现等待该检验参数通过要新建的路线返回,这只有当注册的设备是已经以可获得的MAC地址被并入网络中的相同设备时才成功地结束。
一致性检验的另一变型实现来使得第一检验信息从子网方面通过在注册的站的注册尝试的范围内所建立的子网络线被传送给第一通信设备,该子网向第一通信设备传送返回第一检验信息的请求,该子网等待通过被建立通向对应于注册的MAC地址的可获得的MAC地址所确定的通信设备的子网络线来返回第一检验信息,此外在未发生返回时拒绝注册的通信设备,而在发生返回时在其情况下检查第一检验信息与所返回的检验信息的相关,以致在达到第一检验信息与所返回的检验信息的所确定的相关度的情况下、尤其是在第一检验信息与所返回的检验信息一致的情况下将注册的通信设备作为子网的站来连接,否则拒绝注册的通信设备。在这种情况下涉及一种变型,在该变型中,检验参数从网络被发送给刚刚注册的站,其中为此使用要新建的路线,并且紧接于此,该网络等待通过已经存在的路线来返回检验参数。这也只有当注册的设备和已经可获得的设备相同并且因此两条路线都导向其才可实现,以致在此也保证对注册的站与已经可获得的站的一致性的可靠验证。
优选地,子网发起第二和/或第三检验信息的传输或者可替换于此地从注册的通信设备方面自动地进行第二和/或第三检验信息的传输。
用于一致性检验的另一变型在于,第四检验信息通过在注册的站的注册尝试范围内所建立的子网络线被传送给子网,该第四检验信息是从对通过对应于注册的MAC地址的可获得的MAC地址所确定的第一通信设备进行认证的加密密钥方面计算出的,尤其是从由根据所谓的“可扩展认证协议EAP(Extensible Authentication Protocol)”协议的网络注册得到的可供注册的通信设备使用的第一会话密钥方面计算出的;此外,从子网方面在借助基于对通过对应于注册的MAC地址的可获得的MAC地址所确定的通信设备进行认证的第二加密密钥、尤其是由根据“可扩展认证协议EAP”协议的网络注册得到的可供子网使用的第二会话密钥的情况下来确定第四检验信息的有效性,在给定的有效性的情况下将注册的通信设备作为子网的站来连接,否则拒绝该注册的通信设备。
可替换地,进行一致性检验来使得从注册的通信设备方面基于认证该注册的通信设备的第一加密密钥、尤其是基于由根据所谓的“可扩展认证协议EAP”协议的网络注册得到的可供该注册的通信设备使用的第一会话密钥计算出的第五检验信息通过被建立通向对应于注册的MAC地址的可获得的MAC地址所确定的通信设备的路线被传送给子网,此外从子网方面在借助基于对注册的通信设备进行认证的第二加密密钥、尤其是由根据“可扩展认证协议EAP”协议的网络注册得到的可供子网使用的第二会话密钥的情况下确定检验信息的有效性,在给定的有效性的情况下将注册的通信设备作为子网的站来连接,否则拒绝该注册的通信设备。
通过这两种变型能特别可靠地验证一致性,因为这在分配给相应的通信设备或分配给对于这些通信设备现有和相应要新建的链路的加密信息上实现。
在此,优选地将第一和/或第二会话密钥作为根据“可扩展认证协议EAP”协议构成的主会话密钥MSK(Master Session Key)来产生,以致根据本发明的方法可以在通常的EAP环境中或基于该EAP环境来实施。
替换于此地或补充于此地,第一和/或第二会话密钥也可作为根据“可扩展认证协议EAP”协议构成的“扩展的主会话密钥EMSK(ExtendedMaster Session Key)”密钥来产生。
在此,根据加密哈希函数、尤其是SHA-1、SHA-256或者MD5哈希函数的函数适于计算第一、第二、第三、第四和/或第五检验信息,因为此处可以动用公知的例行程序。
可替换地或补充地,有利的是,“带密钥的哈希函数(KeyedHash-Funktion)”、如尤其是EAS-CBC-MAC、HMAC-SHA1、HMAC-SHC256、HMAC-MD5被用于计算第一、第二、第三、第四和/或第五检验信息,其中HMAC函数根据RFC 2104来限定。
在有利的改进方案中,当注册的通信设备作为用户按照网格方式向子网注册时,发起许可程序,以致可在网状用户与非网状用户之间进行区分并且相对应的根据本发明的方法的变型可被采用。
在其它有利的改进方案中,第一、第二、第三、第四和/或第五检验信息作为值、特别是作为诸如随机数的伪随机码的值来产生。
可替换于此地或者补充于此地,在其它有利的改进方案中,第一、第二、第三、第四和/或第五检验信息作为由尤其是作为诸如随机数的伪随机码而产生的值所生成的哈希代码被传送。由此实现了额外的保护以及提高的验证度。
在其它可替换的或补充的改进方案中,由注册的通信设备和/或第一通信设备的工作参数生成的哈希代码作为第一、第二、第三、第四和/或第五检验信息被传送。在此有利的是,可以动用已知的参数,以致不必生成参数并且同时由于这些参数与终端设备的紧密耦合而存在简单的识别该同一设备的可能性。
此外,本发明所基于的任务通过用于提供无线本地网的设备来解决,其特征在于用于执行本方法的装置。
本发明的其它细节和优点应从图1至4中所示的现有技术出发参照图5至12中所示的实施例来进一步阐述。在此,
从图1至4中所示的场景和产生的问题出发,本发明有利地介入并且解决了所述的网状网的问题,如在根据图5的实施例中按照表明该实施例的流程图所示出的那样。
在此,从表示起始状态“开始(START)”的第一步S1出发,在第二步S2得到结果之后,即在使用MAC地址MA的情况下接收到用户设备在网状网上的注册请求之后,根据本发明所构建的方法方式转到第三步S3,在该第三步S3检验具有所传输的MAC地址MA的站是否已在该网状网中注册。
如果涉及已注册的可获得的MAC地址,则在第四步S4执行的检查导向第五步S5中的进一步询问,在该第五步检验该注册的用户站是网状节点、即网状用户还是非网状站。在此,只要涉及非网状站,就在第六步S6拒绝该注册请求。否则,也就是在是网状节点的情况下,在第八步S8针对注册的用户站和MAC地址MA进行在MAC地址所有权检查意义上的检查。在该MAC地址所有权检查中检查用户站是否有权使用所传输的MAC地址MA。
如果询问得到MAC地址所有权检查的结果是肯定的,也就是当涉及已被注册的用户站时,在第十步S10接受注册请求并且该用户站可以建立链路。否则再次进行根据第六步S6所执行的对注册请求的拒绝,以致根据本发明的方法在第七步S7转到结束状态。
因此本发明的核心是:在用户在使用MAC地址的情况下网络接入网状网时通过该网状网来检查,具有由注册的用户所使用的MAC地址的用户节点是否已经注册并且因此在该网络中是否是可获得的,其中对于MAC地址在该网络中还不可获得的情况,注册的用户被接受,可是在具有该MAC地址的用户可获得的情况下以上面描述的方式作出反应。
在此,也存在对上面所描述的许可程序的替换方案。一种替换方案例如会是:在第四步S4检测涉及已经可获得的MAC地址时立即拒绝该注册的用户。
对在许可程序的范围内的所阐述的行为的其它替换方案或补充方案在于:执行MAC地址转换(MAC Address Translation)、也就是替换MAC地址,类似于例如在用于将私有IP地址转换成公有IP地址的所谓的IP地址的网络地址转换(Network Address Translation)中也公知的那样。可是在此,第一MAC地址分别被转换成分配给其的第二MAC地址,而在网络地址转换中,多个私有IP地址被转换到相同的公有IP地址上。
根据本发明,在此,由注册的用户站给出的MAC地址在该网络之内的通信方面通过空闲的MAC地址来替换,其中空闲的MAC地址意味着涉及当前在所涉及的网络之内未被使用的MAC地址,亦即该MAC地址与可获得的MAC地址不相交。
在此,替换的地址可以通过伪随机码来生成,其中这优选地被限于MAC地址范围,该MAC地址范围并不是被指派给根据OUI确定的组织的地址。
这例如能通过以下方式来确保:第41位、即MAC地址的所谓的通用/本地位(Universal/Local Bit)“U/L”具有值1,以致该MAC地址刚好并不是在全局单义的,而是在本地被管理并且因此仅在那里是单义的。效果于是为:给具有在外部多义的MAC地址的注册的用户由此单义地指派在内部单义的MAC地址。
对于在流程图中示出的MAC地址所有权的检查,存在数种实施方案变型,这些实施方案变型应在下文被进一步阐述。
MAC地址所有权检查的基本核心思想是:注册的站在注册时必须证明对MAC所有权检验参数的认知。在此能够实现一致性检查的条件是:该检验参数仅仅对同一已注册并且可获得的站是已知的。
在此,检验参数可以是伪随机地生成的数(所谓的随机数)或者加密值(也就是借助加密方法和密钥计算出的值)或者是诸如序号或者计数器值的其它已知参数。
如果注册的站现在证明对检验参数的认知,则该注册的站被接受。在此,该证明优选地通过在至少两条不同的路线上传输检验参数来进行。一条路线在此始终是刚好要新建的路线,而另一路线可从已存在的空闲路线中选择。
在此由可能的不同的证明过程得出实施方案变型。
例如,过程实现来使得检验参数从网络通过已存在的路线被发送给已被注册的站,并且紧接于此地由网络等待检验参数通过要新建的路线被返回。由此因此确保:注册的和已被注册的站是相同的并且仅仅注册的站会建立另一路线,如原则上根据网状体系架构是可能的那样,因为只有当涉及同一站时,才能通过要新建的路线返回检验参数。攻击者不会拥有该信息。
对此的变型在于:检验参数由网络通过要新建的路线被发送给刚刚注册的站并且紧接于此地等待通过已存在的路线返回检验参数。这因此实质上仅仅是传输方向的反转。
其它变型在于:诸如上面所述的伪随机生成的随机数或Nonce的检验参数从注册的站通过所述的两条路线被传输给网络,这两条路线也就是一方面是要新建的路线而另一方面是通过之前已存在的路线的路线。接着,该网络仅须检验两个通过不同路线输入的参数的相同性,并且在最简单的情况下,在检验参数一致时或在检验参数高度相关时相对应地许可注册的站,以及在不相同时拒绝注册的站。在此,被发起地,可以通过参加的站来触发发送,或者但是由网络侧发起地通过所述两条不同的路线来询问检验参数。
另一可能性在于:检验参数在使用加密密钥的情况下通过刚刚注册的站来实现。这例如可以在由基于EAP的网络注册得到的主会话密钥MSK的基础上来进行。在计算之后接着通过已存在的路线将检验参数发送给如下网络,该网络为了交叉检验而在使用同一密钥的情况下特意计算检验参数并且检验该检验参数与接收到的检验参数的一致性。
类似于此地,被注册的站可以在被分配给其的加密密钥的基础上来计算检验参数并且可将该检验参数通过刚刚要建立的路线发送给网络。
因而,所有权检查的核心是:
-发送检验参数,
-发送得自检验参数的值,诸如检验参数的哈希值或者哈希函数的输入值的哈希值,该哈希函数提供检验参数作为结果,诸如是SHA-1、SHA-256或者MD5。
-使用检验参数作为输入以计算加密校验和、即所谓的消息认证码(Message Authentication Code),诸如HMAC-SHA1、HMAC-SHA256、HMAC-MD5或者AES-CPC-MAC,并且发送该结果。
如果已知用户可以或应该仅仅在该网络注册一次,诸如在传统的WLAN站中的情况那样,则证明过程的两个第一变型、也就是拒绝或MAC地址转换在此是有利的,而当用户可以合法地维持多个到该网络的接入链路时,如例如针对网状网之内的网状节点所许可的那样,接着可以适宜地采用第三变型、即所有权检查。
因而,一种扩展方案规定,对不同类型的用户加以区分,对于上述情况例如具体地在网状用户与非网状用户之间进行区分,其中听凭用户站决定作为网状用户或者非网状用户在网络注册,并且其中接着执行检查来使得对于用户作为非网状用户注册的情况根据本发明检查也没有具有相同的MAC地址的其它用户作为网状用户在该网络注册。也可以检查,没有具有相同的MAC地址的其它用户作为非网状用户已在该网络注册。
在图6中以消息流图的形式示出了所有权检查的第一变型的详细图示。
要认识到的是在包括至少网状节点MP-1和MP-2的网状网注册的站MP-A之间的消息流,该注册的站MP-A具有MAC地址MACA,其中第一站MP-1具有第一MAC地址MAC1而第二站MP-2具有第二MAC地址MAC2。
根据本发明得出的可能的消息流程如下示出。
在第一时刻T1.1,注册的站MP-A将用于建立链路的注册请求发送给网状网的网状节点,该网状节点在所选的例子中为第二站MP-2。
此后,在时刻T1.2通过MP-2检验:注册的站MACA的MAC地址是否已经在网状网中可获得,也就是是否有节点已经以该地址注册。在所示的例子中,应假设这是这种情况。在此,会通过以下方式检查已有的可获得的地址的存在:第二站MP-2在其路由表中搜寻注册MAC地址MACA的条目,或者通过所谓的路由请求(Route Request)消息来进行,该路由请求消息优选地带有针对具有注册的MAC地址MACA的节点的只有目的地“标志”(Destination Only“Flag”)被发出,以便确定可能存在的通过网状网的路线。
由于此处在本情况下注册MAC地址MACA已是在网状网中可获得的地址,所以第二通信设备MP-2在时刻T1.3向注册的站MP-A返回错误消息,该错误消息说明:MAC地址所有权证明MAO是必要的,其中该消息是可选的。
此外,在第四时刻T1.4从第二通信设备MP-2方面产生检验参数N(例如伪随机数)并且可选地与其它数据、尤其是注册的站MP-A的MAC地址MACA一起存储该检验参数N,以便紧接着将该检验参数N用于所有权证明来使得第二通信设备MP-2通过第一通信设备MP-1将该检验参数作为消息发送给注册的站MP-A,其中该消息首先被发送给第一通信设备MP-1,该第一通信设备MP-1接着将该消息转发给注册的站MP-A。
除了检验参数N之外,该消息在此也包含第二通信设备MP-2和注册的站MP-A的MAC地址作为地址信息,以便如果该消息通过多个中间节点被转发,则也仍然成功地到达注册的站MP-A。
在得到该消息后,在第五时刻T1.5从注册的通信设备MP-A方面重新将用于建立链路的注册请求发送给第二通信设备MP-2,其中与在第一时刻T1.1所发送的请求相反,该注册请求也包含检验参数N。
此后,在第六时刻T1.6可以通过第二通信设备MP-2对由注册的站MP-A发送的检验参数N如下地进行检查:该检验参数N是否与所存储的检验参数相一致,这在所示的场景应是这种情况,以致在第七时刻T1.7,第二通信设备MP-2将用于进行确认的OK消息发送给注册的通信设备MP-A,并且因此注册的站MP-A被许可作为网络的用户站。
在图7中现在示出了其它变型,其中证明过程的可替换的实现方案在于:注册的站MP-A本身生成检验参数N,该检验参数N由第二通信设备MP-2通过存在的链路经第一通信设备MP-1被询问。在所示的消息流程图中,证明过程在第一时刻T2.1开始来使得注册的站MP-A首先如通常那样将用于建立链路的注册请求发送给第二通信设备MP-2。
于是,第二通信设备MP-2在第二时刻T2.2检验:从注册的通信设备MP-A方面已被传输的MAC地址、也就是注册地址MACA是否在网状网中已经可获得,也就是节点是否以该MAC地址被注册。在本例中,这也应被假设,其中如参照图6描述的那样的检查会进行。在该变型中,在第三时刻T2.3也从第二通信设备MP-2方面将错误消息返回给注册的通信设备MP-A,该错误消息说明MAC地址所有权证明MAO是必要的,这样接着与上面所描述的变型偏离地,注册的站MP-A本身产生检验参数N,诸如产生伪随机数,并且存储该检验参数N。现在为了使第二通信设备MP-2能够进行检查,注册的站MP-A通过第一通信设备MP-1将消息发送给第二通信设备MP-2,其中该消息首先被发送给第一通信设备MP-1,接着该第一通信设备MP-1将该消息转发给第二通信设备MP-2,并且该消息包含通过注册的通信设备MP-A已产生的检验参数N。通信设备存储接收到的检验参数N并且可选地存储其它数据,尤其是存储注册的站MP-A的MAC地址MACA。
在第五时刻T2.5,注册的通信设备于是重新将用于建立链路的注册请求发送给第二通信设备MP-2,其中与在第二时刻T2.1所发送的消息相反,该注册请求也包含检验参数N。
于是,在第六时刻T2.6,在第二通信设备MP-2已从注册的通信设备MP-A得到消息之后,通过第二通信设备MP-2如下进行检查:由注册的通信设备MP-A所发送的检验参数是否与通过第一通信设备MP-1接收到的检验参数相一致,这在本例子中被假设,以致第二通信设备MP-2在第七时刻T2.7将用于进行确认的OK消息发送给注册的通信设备MP-A并且许可该用户站接入该网络。
对此的替换方案会是:在第一次注册时已从注册的通信设备MP-A方面将检验参数插入到消息中,这会导致几乎相同的流程,该流程仅仅如下来区分:取消了前两个消息。
检验参数在此尤其可以是伪随机生成的随机数(Nonce)。
在图8中,示出了其它变型并且以消息流图为例来阐述,其中放弃了检验参数的产生并且代替其动用了从注册的站MP-A方面存在的信息、也就是参数,该参数从第二通信设备MP-2方面通过两条路线、也就是一次通过要新建的路线以及通过已经存在的路线来询问。
在此,该变型的优点是:可以询问任意参数,以致由此能够实现检查,在该检查中不必改变通常的注册程序本身。仅仅当被分配给该注册的通信设备MP-A的参数是可询问的时侯就足够了。
在此,这些参数尤其可以是注册的通信设备MP-A的序号、所述通信设备的类型、型号、软件版本,此外也可以涉及注册的通信设备MP-A的计数器值(诸如路由消息的包计数器、序号计数器)、注册的通信设备MP-A的特定路由请求序号,也就是说对其通过两个所述的路线提出两个路由请求查询,其必须对该路由请求询问以分别匹配的、即彼此紧密靠近的序号来应答,其中要注意的是,在通过要新建的链路或路线传输的路由请求中,也就是在那些路由请求中,没有关于“目的地序号”的说明,因为否则可能的攻击者节点会获悉当前的并且因此被等待的值。
接着,在随后的检查中测试该值是否相同或计数器值是否彼此足够近,该计数器值可以是不同的,因为询问也在不同的时刻进行。对此,例如会优选阈值比较。
消息在此如下流动。
在第一时刻T3.1,已知的包含注册地址MACA的注册请求从注册的通信设备MP-A方面被发送给第二通信设备MP-2,对此该第二通信设备MP-2检验所传输的注册地址MACA是否已经在网状网中可获得并且在第三时刻T3.3将对任意参数的查询发送给注册的站MP-A,接着注册的站MP-A由此将相对应的参数发送给第二通信设备MP-2,该第二通信设备MP-2接着在第五时刻T3.5存储所述相对应的参数并且在第六时刻T3.6将相同参数的询问通过第一通信设备MP-1发送给注册的通信设备MP-A,于是注册的通信设备MP-A会将所请求的参数通过第一通信设备MP-1传输给第二通信设备MP-2,以致第二通信设备MP-2可在第八时刻T3.8将OK消息传输给注册的站MP-A并且因此实现许可该站接入该网络。
对此的替换方案在于:在一定程度上有所保留地建立链路。也就是说,OK消息会紧接着注册请求被发送并且此后在保留阶段执行如上所示的那样的检验,以致如果检查得出否定结果,则直接的链路再次被撤销。在此,只有当成功地执行检查时(也就是在保留阶段之后),注册的站MP-A与第二通信设备MP-2之间的直接的链路才优选地由第二通信设备MP-2为了路由而被当作存在。
在图9中现在示出了一情景,其中通过网状网、也就是通过网状接入点MAP之一在节点作为非用户(也就是例如作为WLAN站STA)在网状接入点MAP注册时检验:在网状网之内是否已注册有使用与作为非网状用户注册的注册站相同的MAC地址的网状节点。
所示的例子中的特别之处是:仅仅节点的MAC地址在站作为非网状用户注册时被检验并且仅对属于网状节点、即属于作为网状用户注册的用户的MAC地址进行检验。
由此保证了:没有非网状用户使用网状节点的MAC地址或没有非网状用户以该MAC地址在该网状网中是可见的。在此,通过具有所设置的标志的表中的条目可识别出节点不是网状用户,该标志被公知为“被代理的(isProxied)”(参见IEEE 802.11s D0.02第11A.3.5.2章MP代理表),而属于网状用户的网状节点会被列入具有相对应未设置的标志的表中。
根据本发明,如果非网状用户站具有与网状用户站相同的地址,并且更确切地要么拒绝相对应的非网状站的注册或者非网状站使用的MAC地址采用MAC地址转换被翻译为空闲的MAC地址,则在此会采取下列措施。
在此,在变型中可以进行检验来使得不仅相对网状用户而且相对非网状用户确定MAC地址是否已经被使用,也就是检验任意节点MP、MAP、STA以该MAC地址是否可获得。
当没有具有某个MAC地址的节点是否自己参与网状路由的信息可用时,该变型是特别有利的。
MAC地址转换MAC Address Translation应从图10和11出发来进一步阐述。
在此,图10示出了根据IEEE 802.11定义的MAC帧的结构,该MAC帧根据该标准可以包含直至四个地址字段、即所谓的MAC地址(也参见IEEE 802.11第7.2章)。
在此可以涉及:
-所谓的源地址SA
-目的地地址DA
-发射站地址TA
-或者所谓的接收站地址RA。
源地址SA在此表示原始发送方的地址,而目的地地址DA说明了最终的接收方节点的地址。
可是,一般在网状网之内通过多个中间节点来转发帧,以致对此使用地址字段发射站地址TA和接收站地址RA。
在此,发射站地址TA和接收站地址RA始终被包含在该帧中,而只有当源地址SA和目的地地址DA被需要时,也就是不同于发射站地址TA或者接收站地址RA时,才填充该源地址SA和目的地地址DA。
此外,数据帧(Data Frame)原则上也还包含有用数据字段DATA以及具有校验和的字段FCS。
其它对于说明不相关的报头字段(如帧控制(Frame Control)、持续时间(Duration)/ID或者顺序控制(Sequence Control))在此为了简化而未示出。
图11在此说明了这些MAC帧的采用,其中相应的填充是显然的。
最后在图12中从现有技术出发示出了根据本发明的对于已经使用的或可获得的地址的情况的MAC地址转换。
要认识到的是,从MAC接入点MAP-1方面,将非网状用户站STA的MAC地址M-S转换成在网状网之内未使用的、例如伪随机产生的MAC地址M-R,其中“R”为随机的。
该转换因而也被评价为对由非网状用户站STA说明的MAC地址M-S的替换,其中该转换仅仅涉及来自非网状用户节点STA的MAC帧的与源地址SA相同的发射方地址TA,并且在指向非网状用户节点STA的MAC帧中,该转换仅仅涉及与目的地地址DA相同的接收方地址RA。
也示出了在非网状用户站STA通过其来注册的网状接入点中的对照表。在此要认识到的是,该分配表包含多个条目,利用这些条目项来存储分别要相继映射的、被分配给网状网内部的MAC地址(MAC INT)的网状网外部的MAC地址(MAC EXT)。
在这种情况下的变型是:总是进行所述的MAC地址转换(Translation),也就是说与所说明的MAC地址是可获得还是不可获得无关地进行所述的MAC地址转换(Translation)。