CN101516090B - 网络认证通信方法及网状网络系统 - Google Patents
网络认证通信方法及网状网络系统 Download PDFInfo
- Publication number
- CN101516090B CN101516090B CN200810082212.3A CN200810082212A CN101516090B CN 101516090 B CN101516090 B CN 101516090B CN 200810082212 A CN200810082212 A CN 200810082212A CN 101516090 B CN101516090 B CN 101516090B
- Authority
- CN
- China
- Prior art keywords
- key
- mkd
- network equipment
- authentication
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种网络认证通信方法及网状网络系统,其中方法包括:网状密钥分发节点MKD及网络设备根据各自的密钥凭证信息及所述网络设备的设备标识,计算并记录二级密钥及相应的密钥标识;所述网络设备中的各个射频模块根据所述密钥标识分别与所述MKD建立安全关联。系统包括MKD和网络设备。通过本发明,由于对密钥层次的计算过程进行了重新划分,使得二级密钥的计算过程仅与设备标识相关联系,而不与设备中的各个射频模块绑定,因此无需各个射频模块进行重复的初始认证过程,使具有多个射频模块的网络设备仅经过一次初始认证就能与其他网络设备建立安全关联。从而避免了重复认证,提高了认证的效率。
Description
技术领域
本发明涉及一种网络认证通信方法及网状网络系统,尤其涉及一种可以对无线网状网络中的网络设备进行认证和设备之间建立密钥进行安全通信的方法及能够实现该方法的网状网络系统,属于无线通信技术领域。
背景技术
网状网络(也称:Mesh网络)是一种新型的无线网络技术,网状网络中的每个节点都可以发送和接收信号,每个节点都可以与一个或者多个对等节点进行直接通信。各网络节点通过相邻的其他网络节点以无线多跳方式相连,可以大大增加无线系统的覆盖范围。
如图1所示为现有网状网络的网络拓扑结构示意图。其中,网状网络包括四种逻辑网络设备。分别为终端(Station,简称:STA),网状节点(Mesh Point,简称:MP),网状接入节点(Mesh Access Point,简称:MAP)和带入口的网状节点(Mesh Point with a Portal,简称:MPP)。为了防止非法设备的接入和通信窃听,构建安全的接入认证和私密通信机制。
在网状网络中,关于STA和AP之间的接入认证和通信安全802.11i标准已提供了成熟的解决方案,因此网状网络中MAP、MP、MPP之间节点的互相认证和通信安全是网状网络中亟需解决的问题。现有802.11s中无线网状网络安全框架主要思路是将整个无线网状网络的设备按照设备的主要逻辑功能进行划分,如图2所示,为现有无线网状网络的逻辑功能划分结构示意图。其中,MAP可看成在802.11AP(接入点,Access point)的基础之上增加MP逻辑节点的功能;MPP可看成是在portal的基础上增加MP逻辑节点的功能。因此,无线网 状网的安全问题归根于MP逻辑节点之间的互相认证和安全通信。具体地,在无线网状网络中增加一个称为网状密钥分发节点(Mesh Key Distributor,简称:MKD)的逻辑节点,对每一个节点进行认证,并为网状网络中的网状设备提供互相通信的主密钥。
MKD对网络设备进行认证时的安全机制主要包括密钥层次、初始认证和认证后的安全关联三个部分。图3A所示为现有无线网状网络的网状密钥层次图。其中,MSK表示主会话密钥(Main Session Key),PSK表示预共享密钥(Pre-Shared Key),PMK表示成对主密钥(Pairwise Master Key),MKDK表示网状密钥分发密钥(Mesh Key Distribution Key),PTK表示成对瞬时密钥(Pairwise Transient Key),PMK-MKD表示与MKD共享的成对主密钥(Mesh KeyDistributor PMK),PMK-MA表示与MA共享的PMK(Mesh Authenticator PMK),和MPTK-KD表示用于密钥分发的临时成对密钥(Mesh PTK for KeyDistribution)。图3B所示为现有MP节点的初始认证的流程图。图3C所示为现有两个MP节点认证后的安全关联流程图。
现有技术的缺陷在于:现有的上述安全机制在进行认证建立密钥层次时与设备正在请求认证的射频的MAC地址绑定,当MP设备有多个射频时,每个射频有一个独立的媒体接入控制(Media Access Controlling,简称:MAC)地址。此时,上述安全机制会存在如下问题:
1.网络设备的重复认证问题。
由于现有对网络设备进行认证的过程是与密钥分配在一起的,通过认证建立密钥层次。但是各密钥层次都是与射频模块的MAC地址绑定的,而在有些情况下,为了增加系统容量,一个网络设备可能挂靠多个射频模块,几个射频模块同时工作在不同信道。如果一个网络设备,如:MP设备、MAP设备、MPP设备等具有多个射频模块,每个射频模块与其他网络设备的射频模块建立安全关联时,都需要通过认证建立各自相应的密钥层次。因此,具有多个射频模块的网络设备基于现有安全机制进行认证时需要重复多次认证。
2.网络设备与MKD节点进行安全关联时的重复认证问题。
现有安全机制中,网络设备与MKD节点关联时,MKD通过在与MP设备的握手消息中获得的MAC地址索引MKDK,因此,MKDK的索引也是与网络设备中的每个射频模块一一对应的。如果网络设备有多个射频模块,则需要为每个射频与MKD节点之间的安全关联进行重新认证并建立不同的MKDK。因此,对于多射频的设备在与MKD进行安全关联时也需要重复多次认证。
另外,在上述的重复多次认证过程中,当每个射频模块都重复进行认证时,在接入服务器(Access Server,以下简称:AS)上,会造成认证行为的混乱,从而导致计费的混乱。
发明内容
本发明要的目的是:提供一种支持具有多射频模块的网络设备使用安全机制进行认证和密钥管理,使网络设备仅需要一次初始认证,即可以与其他网络设备和MKD节点进行安全关联的方法。
为了实现上述目的,本发明的一个实施例是提供了一种网络认证通信方法,其中包括:
网状密钥分发节点MKD及网络设备根据各自的密钥凭证信息及所述网络设备的设备标识,计算并记录二级密钥及相应的密钥标识;
所述网络设备中的各个射频模块根据所述密钥标识分别与所述MKD建立安全关联。
为了实现上述目的,本发明的一个实施例是提供了网状网络系统,其中包括MKD和网络设备,其中,
所述MKD包括:
第一分发模块,用于根据密钥凭证信息及所述网络设备的设备标识,计算并记录二级密钥MKDK和PMK-MKD及相应的密钥标识MKDKName和PMK-MKDName;
第二分发模块,用于根据由第一分发模块得到的二级密钥及相应的密钥标 识与所述网络设备建立安全关联;
所述网络设备包括:
第一设备模块,用于根据密钥凭证信息及所述网络设备的设备标识,计算并记录二级密钥MKDK和PMK-MKD及相应的密钥标识MKDKName和PMK-MKDName;
多个射频模块,用于根据由第一设备模块得到的二级密钥及相应的密钥标识与所述MKD建立安全关联。
通过本发明,由于对密钥层次的计算过程进行了重新划分,使得二级密钥的计算过程仅与设备标识相关联系,而不与设备中的各个射频模块绑定,因此无需各个射频模块进行重复的初始认证过程,使具有多个射频模块的网络设备仅经过一次初始认证就能与其他网络设备建立安全关联。从而避免了重复认证,提高了认证的效率。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为现有网状网络的网络拓扑结构示意图;
图2为现有无线网状网络的逻辑功能划分结构示意图;
图3A为现有无线网状网络的网状密钥层次图;
图3B为现有MP节点的初始认证的流程图;
图3C为现有两个MP节点初始认证后的安全关联流程图;
图4为本发明的网络认证通信方法实施例1所述网络认证通信方法的流程图;
图5为本发明的网络认证通信方法实施例1所述网络认证通信方法的信令图;
图6为本发明的网络认证通信方法实施例1所述密钥层次示意图;
图7为本发明的网络认证通信方法实施例1所述多跳行为帧的帧格式示意图;
图8A为本发明的网络认证通信方法实施例1所述四步握手过程的流程图;
图8B为本发明的网络认证通信方法实施例1所述四步握手过程的信令图;
图9为本发明的网络认证通信方法实施例2的流程图;
图10为本发明的网状网络系统结构示意图。
具体实施方式
首先需要说明的是,网状网络中包括:MP、MAP和MPP等种网络设备。其中,MP用于支持网状网络互连的路由功能,可以通过无线多跳通信,以较低的发射功率获得同样的无线覆盖范围;MAP具有MP的功能和传统WLAN中AP的功能,用于提供中继/网关功能,支持mesh网络互联,并为用户终端提供接入功能;MPP除了具备安全功能,实现用户漫游外,还可以进行带宽管理,以实现 二层和三层的转换。为了便于叙述和表达,本发明以下各实施例中仅以MP为例进行说明,而对于MAP和MPP等其他网络设备,原理相同,不再赘述。
方法实施例1
本实施例提供了一种网络认证通信方法,如图4所示,包括:
步骤101,认证服务器(Authenticating Server,简称:AS)对MP进行初始认证,认证通过后返回密钥凭证信息。具体过程可采用如信令图5所示流程中的步骤3-1至3-9完成。具体包括但不限于如下步骤:
3-1)MP作为请求方(Supplicant)接入mesh网络,在相邻MP中寻找一个宣称已认证过的MP节点作为网状认证服务器(Mesh Authenticator,简称:MA),并发起认证请求;
3-2)MA发出扩展认证协议(Extensible Authentication Protocol,简称:EAP)包(EAP-Packet)询问新接入的MP的身份;
3-3)MP向MA响应其身份(EAP-Response Identity);
3-4)MA节点以行为帧(action frame)的格式封装所述MP的身份信息,并转发给MKD;
3-5)MKD以远端用户拨入验证服务(Remote Authentication Dial In User Service,简称:Radius)/Diameter协议封装MP的身份信息,发送给AS;
3-6)AS根据所述MP的身份信息,选择预先注册的认证协议,与MP进行交互认证;
3-7)认证完成之后,AS根据认证结果返回响应的信息。如果失败,返回失败消息(EAP-Failure);如果成功,返回成功消息(EAP-Success),并返回认证后的密钥凭证信息,如MSK。
3-8)MKD将认证结果封装为行为帧发送给MA;
3-9)MA将该认证结果转发给新接入的所述MP。
步骤102,MKD及MP根据在初始认证过程中获得的MSK,计算并记录二级密钥PMK-MKD、MKDK及用于唯一标识二级密钥的密钥标识PMK-MKDName、MKDKName。具体计算方法可以采用如下密钥推导公式进行:
PMK-MKD=KDF(MSK,MeshIDlength||MeshID||NASIDlength|MKD-NAS-ID||MKDD-ID||Dev_ID||MPTKAnoce)
MKDK=KDF(MSK,MeshIDlength||MeshID||NASIDlength||MKD-NAS-ID||MK DD-ID||Dev_ID||MPTKAnoce)
PMK-MKDName=Truncate-128(SHA-256(“MKD Key Name”||MeshIDlength||MeshID||NASIDlength||MKD-NAS-ID||MKDD-ID||Dev_ID||MPTKANonce))
MKDKName=Truncate-128(SHA-256(“MKD Key Name”||MeshIDlength||MeshID||NASIDlength||MKD-NAS-ID||MKDD-ID||Dev_ID||MPTKANonce))
其中,“||”表示字段连接符;MKDD-ID表示MKD的MAC地址;MPTKANonce是在初始认证时产生的随机数。与现有技术的最大不同在于,上述密钥推导公式中将现有PMK-MKD及PMK-MKDName的推导公式中的“SPA”字段均替换为设备标识字段,表示为“Dev_ID”字段;将现有MKDK及MKDKName的推导公式中的中的“MA_ID”字段也都替换成“Dev_ID”。
现有密钥推导公式中的“SPA”字段和“MA_ID”字段均表示MP正在发起认证请求的射频的MAC地址,其中,SPA用在PMK-MKD的推导公式中,表示请求方MP的MAC地址;MA_ID用在MKDK的推导公式中,表示MA的标识。由于每个MAC地址对应于MP中的一个射频模块,即二级密钥的推导是与射频模块的MAC地址相绑定的。而在本实施例中采用的“Dev_ID”字段仅用于标识一个网络设备MP,具体可以使用设备认证信息中的用户名(User_Name)、MP的主MAC地址标识或MP中通过初始认证的射频模块的MAC地址标识。其中,MP在上述初始认证过程中会向AS发送其用户名,使AS获得该MP的用户名;主MAC地址是AS从与MP交互的信息中获得的,如果选用主MAC地址标识,则需要MP在初始认证时使用具有该主MAC地址标识的射频模块进行认证。
此处需要说明的是,MKD及MP计算二级密钥及相应的密钥标识时,除了根据从初始认证过程中获得的MSK以外,还可以采用各自预先共享的PSK代替上述密钥推导公式中的MSK进行计算。其中,PSK是MP和MKD预先已共享的密钥凭证信息,因此无需通过初始认证过程进行传递。
通过使用设备标识字段,在认证时,不管MP通过哪个射频模块接口进行认证,认证产生的二级密钥PMK-MKD和MKDK及相应的密钥标识PMK-MKDName和 MKDKName均只与MP的设备信息相关联的,而与每个射频模块的MAC地址无关。该二级密钥由MP的设备管理层进行存储管理,而MP内部的各个射频模块均共用该认证后的二级密钥信息。如图6所示为相应的密钥层次,其中,由MSK或PSK计算得到的PMK-MKD和MKDK属于设备管理层,设备管理层生成和存储PMK-MKD和MKDK,设备管理层完成认证的密钥凭证管理;由PMK和MKDK计算得到的PMK-MA、PTK及MPTK-KD属于射频管理层,射频管理层生成和存储各自的PMK-MA、PTK及MPTK-KD,射频管理层用于管理各射频会话级密钥。
至此,该新节点MP完成了mesh网络的入网认证,该MP与MKD之间建立了密钥层次中的两个二级密钥PMK-MKD和MKDK。
步骤103,所述MP中的各个射频模块分别与其他设备和所述MKD建立安全关联。建立安全关联后的产生的会话密钥信息PMK-MA、PTK、MPTK-KD等由各个射频模块独立维护。具体地,建立与其他设备的安全关联与现有的方案一致,如图3C所示主要包括以下步骤:
2-1)至2-2),MP节点通过对端链路开启(Peer link open)帧,告知对方可用于双方会话连接的已有PMK-MA,以及该密钥对应的上层密钥PMK-MKD的密钥标识PMK-MKDName;然后双方再根据11s草案中的密钥协商规则协商使用哪个PMK-MA;
2-3),如果双方协商后决定使用MP1的PMK-MA1,而MP2没有PMK-MA1,则可以通过与MKD建立的安全隧道发起密钥请求(key request),以请求获得用于与MP1通信的会话主密钥PMK-MA1;
2-4),MKD根据MP2的密钥请求中提供的PMK-MKDName,索引得到相对应的密钥PMK-MKD,并根据双方通信的射频模块的MAC地址,产生PMK-MA1,通过密钥响应消息返回给MP2;
2-5)至2-6),MP1与MP2确认协商后的PMK-MA密钥,并建立安全链路。此后,可通过关联(associate)过程建立安全关联。
另外,所述MP建立与所述MKD的安全关联时,可以采用如下所述的四步握手过程。
此处,首先对四步握手过程中可采用的帧格式进行说明。在建立安全关联的四步握手过程中,可以采用多跳行为帧(multihop action frame)进行传输,其帧格式如图7所示。由于在实际应用中,MKD可以同时与包括MP在内的多个网络设备进行通信,因此,在密钥持有者安全(Key Holder Security)元素中增加了一个密钥标识字段,用于表示MKDK的密钥标识MKDKName。其中,密钥标识字段中的密钥标识MKDKName用于查找与某个网络设备相对应的MKDK。多跳行为帧中的网状标识MeshID表示一个网状网络的标识符。
四步握手过程的流程图如图8A所示,信令图如图8B所示,包括:
步骤110,MP将第一握手消息中的握手序列“HandShakeSequence”字段设置为1;在“MA-ID”字段中填写MP中欲与MKD建立安全关联的射频模块的MAC地址;在“MKD-ID”字段中填写MKD的MAC地址;在“MANonce”字段中填写MP产生的随机数;在初始认证时产生的MKDK密钥的标识MKDKName。
步骤111,MKD收到第一握手消息后,产生随机数填写于“MKDNonce”字段中,根据密钥标识MKDKName索引得到与所述MP相应的二级密钥MKDK,根据MA-Nonce,MKD-Nonce,MA-ID,MKD-ID等计算得到会话密钥信息MPTK-KD,并计算MIC码,在第二握手消息中将“HandShakeSequence”设置为2,填写MA-Nonce,MKD-Nonce,MA-ID,MKD-ID,MKDKName,消息完整性校验码(Message Integrity Check,简称:MIC)等信息,并发送给MP。
步骤112,MP接收到第二握手消息后,检查MKDKName、MA-ID,MKD-ID,MA-Nonce等的一致性,如果一致,则根据MKD产生的MKD-Nonce,计算MPTK-KD,对MIC进行校验,校验正确,返回第三握手消息,包括MA-Nonce,MKD-Nonce,MA-ID,MKD-ID,MKDK-Name,MIC等,发送给MKD;
步骤113,MKD同样对第三握手消息进行会话参数一致性校验和MIC校验,校验通过后,发送第四握手消息对第三握手消息进行确认。
方法实施例2
本实施例提供了另一种网络认证通信方法,如图9所示,包括:
步骤201,AS对MP进行初始认证时,所述MP将其所有的射频模块的MAC地址作为身份信息发送给MKD。
步骤202,所述MKD将接收到的所述MAC地址与所述MP的设备标识相关联保存。
步骤203,所述MKD及所述MP根据获得的MSK计算并记录二级密钥及相应的密钥标识。其中,具体可以采用MP的用户名、MP的主MAC地址标识或MP中通过初始认证的射频模块的MAC地址标识作为密钥推导公式中的Dev_ID字段。具体的密钥推导公式可参见步骤102。
步骤204,完成二级密钥的计算后,还要建立安全关联。具体地,所述MP建立与其他MP的安全关联,其具体过程与现有技术一致,可参见图3C及其相关说明,此处不再赘述。另外,所述MP中的各个射频模块分别与所述MKD建立安全关联时,仍然可以采用如步骤105所述的四步握手过程。但区别在于,本实施例中不需要在多跳行为帧中增加密钥标识MKDKName对二级密钥MKDK进行索引,而是根据MKD中相关联保存的所述MAC地址与所述MP的设备标识查找与该MP相应的MKDK,然后再根据该MKDK与所述MP中的所述射频模块建立安全关联。
系统实施例
本实施例提供了一种能够实现上述方法的网状网络系统,如图10所示,包括MKD10和网络设备20,其中的网络设备20具体可以为MP,MAP或MPP。其工作原理如下:
MKD10中的第一分发模块11和网络设备20中的第一设备模块21根据密钥凭证信息及网络设备20的设备标识,计算并记录二级密钥MKDK和PMK-MKD及相应的密钥标识MKDKName和PMK-MKDName。其中,可以采用MKD1和网络设备20中各自预先共享的PSK进行计算。或者,也可以图10所示,进一步设置AS30。在计算二级密钥之前,由AS30中的第一认证模块31于对网络设备20进行初始认证,在认证过程中,网络设备20与AS30会分别产生相应的MSK;再由第二认证 模块32将AS30的第一认证模块31认证通过后产生的MSK作为密钥凭证信息发送给MKD10。MKD10中的第一分发模块11和网络设备20中的第一设备模块21再根据各自的MSK及网络设备20的设备标识进行计算。从而建立网络设备20与MKD10之间密钥层次中的两个二级密钥PMK-MKD和MKDK。具体的密钥推导公式可参见方法实施例1。
完成二级密钥的计算后,还要建立安全关联。具体地,网络设备20要建立与其他网络设备的安全关联,其具体过程与现有技术一致,可参见图3C及其相关说明,此处不再赘述;另外,网络设备20还要建立与MKD10的安全关联,具体如下:
MKD10中的第二分发模块12根据由第一分发模块11得到的二级密钥及相应的密钥标识与所述网络设备20建立安全关联;相应地,网络设备20中还设置有多个射频模块,图10中以射频模块22为代表进行说明。射频模块22用于根据由第一设备模块21得到的二级密钥及相应的密钥标识与MKD10建立安全关联。具体建立安全关联的过程可参见方法实施例1所述的四步握手过程,此处不再赘述。
通过本发明上述各实施例,由于对密钥层次的计算过程进行了重新划分,使得二级密钥的计算过程仅与设备标识相关联系,而不与设备中的各个射频模块绑定,因此无需各个射频模块进行重复的初始认证过程,使具有多个射频模块的网络设备仅经过一次初始认证就能与其他网络设备建立安全关联。从而避免了重复认证,提高了认证的效率。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种网络认证通信方法,其特征在于包括:
网状密钥分发节点MKD及网络设备根据各自的密钥凭证信息及所述网络设备的设备标识,计算并记录二级密钥及相应的密钥标识,所述二级密钥及相应的密钥标识与所述网络设备的设备信息相关联、与所述网络设备中的每个射频模块MAC地址无关;
所述网络设备中的各个射频模块根据所述密钥标识分别与所述MKD建立安全关联。
2.根据权利要求1所述网络认证通信方法,其特征在于所述MKD及所述网络设备根据所述密钥凭证信息及所述设备标识计算所述二级密钥及相应的密钥标识包括:
所述网络设备与认证服务器AS进行初始认证,认证通过后返回主会话密钥MSK;
所述MKD及所述网络设备根据所述MSK及所述设备标识计算所述二级密钥及相应的密钥标识。
3.根据权利要求1所述网络认证通信方法,其特征在于所述MKD及所述网络设备根据所述密钥凭证信息及所述设备标识计算所述二级密钥及相应的密钥标识包括:所述MKD及所述网络设备根据各自预先共享的预共享密钥PSK及所述设备标识计算所述二级密钥及相应的密钥标识。
4.根据权利要求1所述网络认证通信方法,其特征在于所述二级密钥包括网状密钥分发密钥MKDK和与MKD共享的成对主密钥PMK-MKD,所述MKDK的密钥标识为网状密钥分发密钥标识MKDKName,所述PMK-MKD的密钥标识为与MKD共享的成对主密钥标识PMK-MKDName。
5.根据权利要求4所述网络认证通信方法,其特征在于所述网络设备中的各个射频模块根据所述密钥标识分别与所述MKD建立安全关联包括:
所述网络设备将该网络设备产生的MKDKName携带于第一握手消息中发送 给所述MKD;
所述MKD根据所述MKDKName索引得到该MKD产生的MKDK;
所述射频模块根据所述MKDK与所述MKD建立安全关联。
6.根据权利要求5所述网络认证通信方法,其特征在于将所述MKDKName携带于第一握手消息中发送给所述MKD包括:
所述第一握手消息为多跳行为帧,将所述MKDKName携带于所述多跳行为帧中的密钥标识字段中发送给所述MKD。
7.根据权利要求2所述网络认证通信方法,其特征在于所述计算并记录二级密钥及相应的密钥标识之前还包括:
所述网络设备将其所有的射频模块的MAC地址作为身份信息发送给所述MKD;
所述MKD将接收到的所述MAC地址与所述网络设备的设备标识相关联保存。
8.根据权利要求1所述网络认证通信方法,其特征在于所述网络设备中的各个射频模块根据所述密钥标识分别与所述MKD建立安全关联包括:
所述MKD根据在该MKD中相关联保存的所述MAC地址与所述网络设备的设备标识查找与该网络设备相应的MKDK;
所述MKD根据查找到的该MKDK与所述射频模块建立安全关联。
9.根据权利要求1-8任一所述网络认证通信方法,其特征在于所述设备标识包括:所述网络设备的用户名、主媒体访问控制层MAC地址标识或所述网络设备中通过初始认证的射频模块的MAC地址标识。
10.一种网状网络系统,其特征在于包括MKD和网络设备,其中,
所述MKD包括:
第一分发模块,用于根据密钥凭证信息及所述网络设备的设备标识,计算并记录二级密钥MKDK和PMK-MKD及相应的密钥标识MKDKName和PMK-MKDName,所述二级密钥及相应的密钥标识与所述网络设备的设备信息相关联、与所 述网络设备中的每个射频模块MAC地址无关;
第二分发模块,用于根据由第一分发模块得到的二级密钥及相应的密钥标识与所述网络设备建立安全关联;
所述网络设备包括:
第一设备模块,用于根据密钥凭证信息及所述网络设备的设备标识,计算并记录二级密钥MKDK和PMK-MKD及相应的密钥标识MKDKName和PMK-MKDName;
多个射频模块,用于根据由第一设备模块得到的二级密钥及相应的密钥标识与所述MKD建立安全关联。
11.根据权利要求10所述网状网络系统,其特征在于还包括AS,其中,所述AS包括:
第一认证模块,用于对所述网络设备进行初始认证;
第二认证模块,用于将第一认证模块认证通过后产生的MSK作为密钥凭证信息发送给所述MKD。
12.根据权利要求10或11所述网状网络系统,其特征在于所述网络设备为网状节点MP,网状接入节点MAP或带入口的网状节点MPP。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810082212.3A CN101516090B (zh) | 2008-02-20 | 2008-02-20 | 网络认证通信方法及网状网络系统 |
| PCT/CN2008/073615 WO2009103214A1 (zh) | 2008-02-20 | 2008-12-19 | 网络认证通信方法及网状网络系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810082212.3A CN101516090B (zh) | 2008-02-20 | 2008-02-20 | 网络认证通信方法及网状网络系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101516090A CN101516090A (zh) | 2009-08-26 |
| CN101516090B true CN101516090B (zh) | 2013-09-11 |
Family
ID=40985057
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810082212.3A Active CN101516090B (zh) | 2008-02-20 | 2008-02-20 | 网络认证通信方法及网状网络系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101516090B (zh) |
| WO (1) | WO2009103214A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102056163B (zh) * | 2009-11-03 | 2013-06-05 | 杭州华三通信技术有限公司 | 分布式mesh网络密钥管理方法和无线接入点设备 |
| CN103490887B (zh) | 2012-06-14 | 2017-06-13 | 中兴通讯股份有限公司 | 一种网络设备及其认证和密钥管理方法 |
| US9253185B2 (en) * | 2012-12-12 | 2016-02-02 | Nokia Technologies Oy | Cloud centric application trust validation |
| CN103368942A (zh) * | 2013-05-25 | 2013-10-23 | 中山市中商港科技有限公司 | 一种云数据安全存储及管理的方法 |
| CN103312495B (zh) * | 2013-06-25 | 2016-07-06 | 杭州华三通信技术有限公司 | 一种成组ca的形成方法和装置 |
| CN104283853B (zh) | 2013-07-08 | 2018-04-10 | 华为技术有限公司 | 一种提高信息安全性的方法、终端设备及网络设备 |
| CN104968032B (zh) * | 2015-05-04 | 2018-05-29 | 广东欧珀移动通信有限公司 | 一种mp节点进网方法、mp节点及mpp节点 |
| CN105744524B (zh) * | 2016-05-06 | 2019-03-22 | 重庆邮电大学 | 一种wia-pa工业无线网络中移动设备入网认证方法 |
| CN107979498B (zh) * | 2018-01-03 | 2020-12-11 | 深圳市吉祥腾达科技有限公司 | 一种mesh网络集群及基于所述集群的大文件传输方法 |
| CN108964912B (zh) * | 2018-10-18 | 2022-02-18 | 深信服科技股份有限公司 | Psk生成方法、装置、用户设备、服务器和存储介质 |
| CN114830602A (zh) * | 2019-12-17 | 2022-07-29 | 微芯片技术股份有限公司 | 用于低吞吐量通信链路的系统的相互认证协议及用于执行该协议的设备 |
| CN114697958A (zh) * | 2020-12-30 | 2022-07-01 | 中兴通讯股份有限公司 | 无线接入点的入网方法、系统、ap及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101047978A (zh) * | 2006-03-27 | 2007-10-03 | 华为技术有限公司 | 对用户设备中的密钥进行更新的方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4969106B2 (ja) * | 2006-01-05 | 2012-07-04 | ルネサスエレクトロニクス株式会社 | マイクロコントローラ |
| US7881474B2 (en) * | 2006-07-17 | 2011-02-01 | Nortel Networks Limited | System and method for secure wireless multi-hop network formation |
| US7804807B2 (en) * | 2006-08-02 | 2010-09-28 | Motorola, Inc. | Managing establishment and removal of security associations in a wireless mesh network |
-
2008
- 2008-02-20 CN CN200810082212.3A patent/CN101516090B/zh active Active
- 2008-12-19 WO PCT/CN2008/073615 patent/WO2009103214A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101047978A (zh) * | 2006-03-27 | 2007-10-03 | 华为技术有限公司 | 对用户设备中的密钥进行更新的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009103214A1 (zh) | 2009-08-27 |
| CN101516090A (zh) | 2009-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101516090B (zh) | 网络认证通信方法及网状网络系统 | |
| Parne et al. | Segb: Security enhanced group based aka protocol for m2m communication in an iot enabled lte/lte-a network | |
| CN101222325B (zh) | 一种基于id的无线多跳网络密钥管理方法 | |
| US10555170B2 (en) | Method and apparatus for authentication of wireless devices | |
| CN101222772B (zh) | 一种基于id的无线多跳网络认证接入方法 | |
| US9735957B2 (en) | Group key management and authentication schemes for mesh networks | |
| CN101222331B (zh) | 一种认证服务器及网状网中双向认证的方法及系统 | |
| CN104660603B (zh) | IPSec VPN中扩展使用量子密钥的方法及系统 | |
| CN108809637B (zh) | 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法 | |
| CN101232378B (zh) | 一种无线多跳网络的认证接入方法 | |
| EP1997292B1 (en) | Establishing communications | |
| CN101500229B (zh) | 建立安全关联的方法和通信网络系统 | |
| CN103686709B (zh) | 一种无线网格网认证方法和系统 | |
| CN101931955B (zh) | 认证方法、装置及系统 | |
| CN102421095B (zh) | 无线网状网的接入认证方法 | |
| CN101500230B (zh) | 建立安全关联的方法和通信网络 | |
| MX2009002507A (es) | Autentificacion de seguridad y gestion de claves dentro de una red de multisalto inalambrica basada en infraestructura. | |
| CN102215487A (zh) | 通过公共无线网络安全地接入专用网络的方法和系统 | |
| CN109644134A (zh) | 用于大型物联网组认证的系统和方法 | |
| CN101371491A (zh) | 提供无线网状网络的方法和装置 | |
| KR20180066899A (ko) | 디피 헬먼(Diffie-Hellman) 절차를 이용한 세션 키 생성 방법 및 시스템 | |
| US20100161958A1 (en) | Device for Realizing Security Function in Mac of Portable Internet System and Authentication Method Using the Device | |
| CN101621434A (zh) | 无线网状网络系统以及密钥分配的方法 | |
| CN113746632B (zh) | 一种物联网系统多级身份认证方法 | |
| CN108882238A (zh) | 一种用于移动自组织网中基于共识算法的轻量级轮转ca认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |