CN102056163B - 分布式mesh网络密钥管理方法和无线接入点设备 - Google Patents
分布式mesh网络密钥管理方法和无线接入点设备 Download PDFInfo
- Publication number
- CN102056163B CN102056163B CN200910235979.XA CN200910235979A CN102056163B CN 102056163 B CN102056163 B CN 102056163B CN 200910235979 A CN200910235979 A CN 200910235979A CN 102056163 B CN102056163 B CN 102056163B
- Authority
- CN
- China
- Prior art keywords
- mkd
- territory
- authenticating party
- mptk
- anonce
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出一种分布式MESH网络密钥管理方法,以认证方为中心将MESH网络划分成多个MKD域,由作为认证方的MP作为MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD域,每个MKD域的MKD为本MKD域中的被认证方分配MPTK-Anonce,被认证方根据本MKD域的MKD分配的MPTK-Anonce与本MKD域的认证方协商各层密钥。本发明还提出了一种MP。采用本发明提出的分布式MESH网络密钥管理方法和MP,当某个MP作为被认证方加入不同的MKD域时,在不同的MKD域中根据不同的MPTK-Anonce协商密码,因此增加了密钥管理的安全性。
Description
技术领域
本发明涉及移动通信技术,特别涉及一种分布式MESH网络链路加密方法和无线接入点设备。
背景技术
符合IEEE802.11s标准的无线局域网称为网状(MESH)网络。目前,根据配置管理方式和安全策略应用方式的不同,MESH网络分为集中控制式和分布式两种。在分布式MESH网络中,网络中没有管理和配置中心,每一MESH网络无线接入点(Mesh Access Point,MP)独立运行,即:每一个MP独立进行配置,独立应用安全策略,独立转发数据报文。分布式MESH网络结构的一个具体实施例如图1所示,将图中所示的5个MP分别标记为MP1、MP2、MP3、MP4和MP5,图中的点线表示MESH链路,各个MP之间通过MESH链路进行通信。
MESH链路在传输数据时采用密钥对数据进行加密,即MESH链路的双方MP分别使用密钥对数据加解密,因此密钥的管理是MESH安全体系中的关键部分。MESH网络中的密钥管理方法称为MESH密钥分发者(MESHKey Distributor,MKD)分层密钥机制,在这一机制中存在MKD、认证方与被认证方。MKD是MESH网络的密钥生成和分发者,是MESH网络的安全认证中心。认证方(Authenticator)是建立MESH链路时的认证方,需要在MKD的协助下完成认证过程。能担当Authenticator的MP必须已经获得MKD的认证,已经与MKD建立了安全的通信通道,这样的MP也称为MESH认证方(Mesh Authenticator,MA)。被认证方(Supplicant)是建立MESH链路时的被认证方。在一次安全认证过程中,Supplicant既可以是未经MKD认证的MP,也可以是MA。当被认证方是MA时,虽然建立MESH链路的双方都具备MA的资格,但是在本次认证中分任认证方和被认证方的角色。
根据MKD为MESH网络划分MKD域。MKD域通过MKD域身份标识(MKDD-ID)进行标识。每一个MKD域中只有一个MKD,并且至少有一个MA。在同一MKD域内的MP执行相同的安全认证策略。目前的实现中,每个MESH网络中都只有一个MKD域,即单域的MESH网络。
MESH链路的密钥分为4个层次,图2为MESH链路密钥分层示意图,参见图2。其中第一层密钥为预共享密钥(PSK),从用户配置的共享式密码生成,由MKD和被认证方持有。第二层密钥为MKD成对主控密钥(PMK-MKD),从PSK生成,由MKD和被认证方持有,当同一个MP通过建立多条MESH链路加入同一个MKD域时,所对应的PMK-MKD只有一个,如果一个MP在同一个MKD域的不同MESH链路认证中得到的PMK-MKD不同,则该MP认为MESH链路安全出现问题,因此将当前全部MESH链路关闭。第三层密钥为MA成对主控密钥(PMK-MA),从PMK-MKD生成,由MKD、认证方和被认证方持有,与多个认证方建立MESH链路时,对应每一个认证方生成不同的PMK-MA。第四层密钥为成对临时密钥(PTK),从PMK-MA生成,由认证方和被认证方协商而得,共同持有,对于加入某一MKD域内的某一MP而言,PTK用于实际MESH链路的加解密,不同的MESH链路有不同的PTK,而且每一链路的PTK在超过设定时间之后还会自动更新,以降低破解密钥的概率。
认证方和被认证方之间通过4次握手的方式协商PTK。其过程是:MKD为被认证方随机分配一个数值,称为MESH PTK A随机数(MPTK-Anonce),每一MP一次只会分配一个MPTK-Anonce。然后MKD为被认证方生成对应的PMK-MKD和PMK-MA,将PMK-MA和MPTK-Anonce发送给认证方,通知认证方开始4次握手,与被认证方协商对应链路的PTK。4次握手中,认证方向被认证方发送第1个报文,该报文携带MPTK-Anonce,被认证方通过第1个报文携带的MPTK-Anonce计算出PMK-MKD、PMK-MA,并为对应的MESH链路随机分配的随机数,称为MESH PTK S随机数(MPTK-Snonce),进而根据MPTK-Snonce计算出PTK。与MPTK-Anonce不同,MP每次生成MPTK-Snonce都不同,而且在PTK自动更新时也会变化。被认证方向认证方发送第2个报文,该报文携带MPTK-Snonce,认证方通过第2个报文携带的MPTK-Snonce计算PTK。通过第3个和第4个报文,认证方发送组播密钥,并且双方验证计算的PTK的一致性,最终认证方和被认证方获得一致的PTK。
采用上述MESH链路密钥管理方法,在分布式MESH网络中,由于不存在安全认证和管理中心,每一个MP上都同时存在作为MKD和作为认证方的两种功能。在建立MESH连接时,两个MP分别为认证方和被认证方,这一结构的示意图如图3所示。在图1所示的分布式MESH网络中,以MP2与MP3建立MESH连接为例,MP2为认证方,MP3为被认证方,则位于MP3上的MKD功能部分作为上述MESH链路密钥管理方法中的MKD,负责完成对该链路的MESH安全处理,生成PMK-MKD和PMK-MA、分配MPTK-Anonce,而MP2上的认证方功能部分则作为上述MESH链路密钥管理方法中的认证方,根据PMK-MA和MPTK-Anonce等,与MP3协商和计算出PTK。同样的,如果以MP3与MP5建立MESH链路为例,MP5为认证方,MP3为被认证方,则MP5上的MKD功能部分作为上述MESH链路密钥管理方法中的MKD,为MP3生成PMK-MKD和PMK-MA、分配MPTK-Anonce。在目前单域MESH网络的情况下,在上述两次建立MESH链路过程中,因为MP3、MP2和MP5位于同一个MKD域中,因此要求这两次认证过程中MP3获得的PMK-MKD必须相同,因而要求MP2与MP5为MP3生成的MPTK-Anonce必须相同。否则,如果MP3在同一MKD域内的不同MESH链路认证中收到不同的MPTK-Anonce,则MP3认为MKD不一致,MESH链路安全出现问题,因此MP3会关闭当前全部MESH链路。为了保证同一MP在同一MKD域内的不同MESH链路认证中收到的MPTK-Anonce相同,目前分布式MESH网络在为被认证方分配MPTK-Anonce时,以MESH网络的标识符(MESH ID)和被认证方的物理(MAC)地址作为MPTK-Anonce生成函数的种子,因为同一个MKD域的MESH ID和某一MP的MAC地址均固定不变,因此MPTK-Anonce固定不变的,同一MP在同一MKD域内的不同MESH链路认证中收到的MPTK-Anonce相同。
但是采用上述密钥管理方法,由于同一个MP加入同一网络的MPTK-Anonce固定不变,并且在上述4次握手协商PTK的过程中,第1个报文携带的MPTK-Anonce并未加密,因此同样的数值在4次握手的报文中反复出现,增大了MPTK-Anonce被监听和获取的可能性,因而增大了密钥被破解的可能性,从而降低了MESH链路的安全性。
发明内容
本发明实施例提供一种分布式MESH网络密钥管理方法,以增大MESH链路密钥管理的安全性。
本发明实施例提供一种MP设备,以增大MESH链路密钥管理的安全性。
针对第一个目的,本发明实施例的技术方案具体是这样实现的:
一种分布式网状MESH网络密钥管理方法,包括以下步骤:
MESH网络中的无线接入点MP在与其它MP建立MESH链路时,由作为认证方的MP作为MESH密钥分发者MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD域,将MESH网络划分成多个MKD域;
每个MKD域的MKD分别为本MKD域中作为被认证方的MP分配MESH成对临时密钥A随机数MPTK-Anonce,属于多个MKD域的MP接收到不同的MPTK-Anonce;
在每个MKD域中,被认证方根据本MKD域的MKD分配的MPTK-Anonce与本MKD域的认证方通过4次握手的方式协商成对临时密钥PTK。
上述方案中,所述将MESH网络划分成多个MKD域之后进一步包括:
为每个MKD域配置不同的MKD域身份标识MKDD-ID,所述通过4次握手的方式协商成对临时密钥PTK时,每个MKD域内的认证方和被认证方根据本MKD域的MKDD-ID计算MKD成对主控密钥PMK-MKD。
上述方案中,所述将MESH网络划分成多个MKD域之后进一步包括:
为同一MESH网络中的所有MKD域配置相同的MKDD-ID,所述通过4次握手的方式协商成对临时密钥PTK时,每个MKD域内的认证方和被认证方根据认证方的指定参数计算MKD成对主控密钥PMK-MKD。
上述方案中,所述认证方的指定参数为认证方的物理MAC地址。
上述方案中,该方法进一步包括:
所述MESH网络中的无线接入点MP在与其它MP建立MESH链路时,作为被认证方的MP在建立每一个初始MESH连接的同时,记录该连接对应的MKD域;
当MP接收到MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP确定该MPTK-Anonce对应的MKD域;
如果MP接收到两个或两个以上的MPTK-Anonce对应相同的MKD域,则MP断开在该MKD域内自身的所有MESH链路;否则,不断开现有的MESH链路。
针对第二个目的,本发明实施例是这样实现的:
一种无线接入点MP设备,该MP设备包括:
MKD功能模块,用于为作为被认证方的MP随机分配并发送MPTK-Anonce,计算生成PMK-MKD和MA成对主控密钥PMK-MA并发送给认证方功能模块;
认证方功能模块,根据MKD功能模块发来的PMK-MKD和PMK-MA与作为被认证方的MP通过4次握手的方式协商PTK;
被认证方功能模块,接收作为MKD的MP发来的MPTK-Anonce,根据MPTK-Anonce与作为认证方的MP通过4次握手的方式协商PTK;
控制模块,确定本MP所在的MKD域以及本MP的角色,如果本MP为认证方,将本MP确定为MKD,将本MP和以本MP为认证方的被认证方MP确定为一个MKD域,启动MKD功能模块和认证方功能模块;如果本MP为被认证方,将本MP作为被认证方的认证方MP确定为MKD,并将该MP和以该MP为认证方的被认证方MP确定为一个MKD域,启动被认证方功能模块。
上述方案中,
所述认证方功能模块或被认证方功能模块为每个MKD域配置不同的MKDD-ID,所述通过4次握手的方式协商PTK时,根据本MKD域的MKDD-ID计算PMK-MKD。
上述方案中,
所述认证方功能模块或被认证方功能模块为同一MESH网络中的所有MKD域配置相同的MKDD-ID;
所述通过4次握手的方式协商PTK时,如果所述控制模块确定本MP为认证方,则所述认证方功能模块提供认证方指定参数并发送给被认证方;如果所述控制模块确定本MP为被认证方,则所述被认证方功能模块根据从认证方接收的认证方指定参数计算PMK-MKD。
上述方案中,所述认证方指定参数为认证方的MAC地址。
上述方案中,所述被认证方功能模块在建立每一个初始MESH连接的同时记录该连接对应的MKD域,每当接收到作为MKD的MP发来的MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP确定该MPTK-Anonce对应的MKD域,如果接收到两个或两个以上的MPTK-Anonce对应相同的MKD域,则断开在该MKD域内自身的所有MESH链路;否则,不断开现有的MESH链路。
由上述的技术方案可见,本发明以认证方为中心将MESH网络划分成多个MKD域,由作为认证方的MP作为MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD域,每个MKD域的MKD为本MKD域中的被认证方分配MPTK-Anonce,被认证方根据本MKD域的MKD分配的MPTK-Anonce与本MKD域的认证方通过4次握手的方式协商PTK。由于根据认证方将MESH网络划分为多个MKD域,每个MKD域独立为域内被认证方分配MPTK-Anonce,因此,当某个MP作为被认证方加入不同的MKD域时,在不同的MKD域中获得的MPTK-Anonce不同,而在密钥管理过程中根据MPTK-Anonce协商获得各层密钥,因此增加了密钥管理的安全性和可靠性,降低了密钥被破解的概率。
附图说明
图1为分布式MESH网络结构示意图;
图2为MESH链路密钥分层示意图;
图3为分布式MESH网络MP功能示意图;
图4为本发明实施例分布式MESH网络密钥管理方法流程图;
图5为本发明实施例分布式MESH网络中多MKD域划分的示意图;
图6为本发明实施例MP内部结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
目前的MESH标准中并未限制同一个MESH网络只能存在一个MKD域,在本发明实施例中,根据认证方将MESH网络划分成多个MKD域,每个MKD域独立计算MESH链路的各层密钥。
采用本发明实施例提出的划分多个MKD域的方法,分布式MESH网络链路密钥的管理方法的流程如图4所示,具体包括以下步骤:
步骤401:根据认证方将MESH网络划分成多个MKD域。
本步骤中根据认证方将MESH网络划分成多个MKD域的具体方法是:MESH网络中的MP在与其它MP建立MESH链路时,由作为认证方的MP作为MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD域。因此,按照上述划分方法,同一个MP可以处于多个MKD域中,但只能在其中一个MKD域中担当MKD角色,即只能在该MP作为认证方的MKD域中作为MKD。
步骤402:每个MKD域的MKD分别为本MKD域中作为被认证方的MP分配MPTK-Anonce。
因此,如果某一个MP在多个MKD域中均作为被认证方,该MP将会分别接收来自不同MKD域的多个MPTK-Anonce,上述多个MPTK-Anonce可能并不相同,与现有方法不同的是,本发明实施例中该MP在接收到多个不同的MPTK-Anonce时,不再将所有MESH链路断开。为实现MP在收到来自不同的MKD域的不同的MPTK-Anonce时不断开MESH链路,作为被认证方的MP在建立每一个初始MESH连接的同时,记录该连接对应的MKD域,每当MP接收到一个MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP确定该MPTK-Anonce对应的MKD域。当MP接收到多个不同的MPTK-Anonce时,分别确定每个MPTK-Anonce对应的MKD域,如果它们分别对应不同的MKD域,则不断开现有的MESH链路;如果它们对应同一个MKD域,则MP断开在该MKD域内自身的所有MESH链路。
步骤403:在每个MKD域中,被认证方根据本MKD域的MKD分配的MPTK-Anonce与本MKD域的认证方通过4次握手的方式协商PTK。
此步骤中,认证方与被认证方通过4次握手的方式协商PTK的方法与背景技术中所述的相同,在此不再赘述。如果某一个MP在多个MKD域中均作为被认证方,该MP根据某一个MKD域的MKD分配的MPTK-Anonce,与该MKD域的认证方通过4次握手的方式协商PTK,并且采用同样的方法完成该MP所在的不同MKD域中的4次握手。
下面以图1所示的分布式MESH网络为例,对图4所示的分布式MESH网络链路密钥管理方法进行详细说明。
首先,根据认证方将MESH网络划分成多个MKD域。以图1所示分布式MESH网路为例,对其进行MKD域划分的示意图如图5所示。参见图5,以认证方为中心,将该网络划分为3个MKD域,分别标记为MKD域1、MKD域2和MKD域3,具体划分方法为:在建立MESH链路时,以MP2作为认证方的被认证方包括MP1和MP3,则MP2为认证方和MKD,由MP2、MP1和MP3三者组成MKD域1。在建立MESH链路时,以MP4作为认证方的被认证方仅包括MP2,则MP4为认证方和MKD,由MP4和MP2二者组成MKD域2。在建立MESH链路时,以MP5为认证方的被认证方仅包括MP2,则MP5为认证方和MKD,由MP5和MP2二者组成MKD域3。按照上述多域划分方法,MP2位于多个MKD域中,但只有在MP2作为认证方的MKD域1中作为MKD,在其它的MKD域中,MP2仅作为被认证方。
然后,每个MKD域的MKD分别为本MKD域中作为被认证方的MP分配MPTK-Anonce。按照图5所示进行MKD域划分的MESH网络,在MKD域1中,MP2作为MKD,为MP1和MP3分别分配MPTK-Anonce。在MKD域2和MKD域3中,MP2作为被认证方,分别接收MP4和MP5分配的MPTK-Anonce,因为来自MP4和MP5的MPTK-Anonce属于不同的MKD域,因此在本发明实施例中当MP2接收到来自MP4和MP5的不同的MPTK-Anonce时,不断开MESH链路。
最后,在进行4次握手协商PTK时,在MKD1域中,MP1与MP3分别根据MP2分配的MPTK-Anonce与MP2通过4次握手的方式协商PTK。在MKD域2中,MP2根据MP4分配的MPTK-Anonce与MP4通过4次握手的方式协商PTK。在MKD域3中,MP2根据MP5分配的MPTK-Anonce与MP5通过4次握手的方式协商PTK。
进一步地,在采用上述将MESH网络划分为多MKD域的链路密钥管理方法的基础上,本发明实施例还提出对多MKD域的MKDD-ID进行更优化的改进。
与现有的密钥管理方法相同的是,MKD域通过配置的MKDD-ID进行标识,在MP相互认证过程中,通过MP的信标(Beacon)报文和探测(Probe)报文发送给其它MP。根据MESH标准802.11s-draft1.06,在4次握手协商PTK过程中的计算PMK-MKD时,需要用到MKDD-ID。因此,可以为每个MKD域配置不同的MKDD-ID,也可以采取一种更优化的方法,其具体如下所述。
分布式MESH网络中,在建立MESH链路时,通过建立MESH链路的双方MP协商确定某个MP担任认证方或被认证方角色,并且,当某一MP在实际组网中不断移动时,对端MP在不断变化,因此该MP所担任的角色也会不断变化,因此,如果不同MKD域配置不同MKDD-ID,配置工作量巨大,而且网络规模的扩展性差。为此,本发明实施例提出,不区分MP所属的MKD域,为同一MESH网络中的所有MP配置相同的MKDD-ID,在Beacon报文和Probe报文中对应的MKDD-ID中也填写该MKDD-ID;但是,在实际计算PMK-MKD时,用认证方的指定参数替换MKDD-ID进行计算,一种较优的方法是采用认证方的MAC地址作为该指定参数,也可以采用其它可以认证方的相关参数作为指定参数。因此,既不必在每个MP上根据不同的MKD域配置大量的MKDD-ID,也能够实现在多MKD域的划分的MESH网络中各个MKD域独立计算PMK-MKD,进而独立计算MESH链路的各层密钥。
采用本发明所述的划分多个MKD域的分布式MESH网络链路密钥的管理方法,需要相应地对MP进行改进,本发明实施例中MP的内部结构如图6所示。参见图6,MP内部包括MKD功能模块601、认证方功能模块602和被认证方功能模块603,在本发明实施例中,为实现多MKD域划分的MESH网络链路密钥管理方法,在MP中加入控制模块604。
MKD功能模块601,用于为作为被认证方的MP随机分配并发送MPTK-Anonce,计算生成PMK-MKD和PMK-MA并发送给认证方功能模块602。
认证方功能模块602,根据MKD功能模块601发来的PMK-MKD和PMK-MA与作为被认证方的MP通过4次握手的方式协商PTK。
被认证方功能模块603,接收作为MKD的MP发来的MPTK-Anonce,确定该MPTK-Anonce对应的MKD域,根据MPTK-Anonce与作为认证方的MP通过4次握手的方式协商PTK;为实现MP在收到来自不同的MKD域的不同的MPTK-Anonce时不断开MESH链路,被认证方功能模块603在建立每一个初始MESH连接的同时记录该连接对应的MKD域,每当接收到一个MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP确定该MPTK-Anonce对应的MKD域,分别确定每一个MPTK-Anonce对应的MKD域,如果不同的MPTK-Anonce对应不同的MKD域,则不断开现有的MESH链路,如果两个或两个以上的MPTK-Anonce对应同一个MKD域,则断开本MP在该MKD域内的MESH链路。
控制模块604,确定本MP所在的MKD域以及本MP的角色,如果本MP为认证方,将本MP确定为MKD,将本MP和以本MP为认证方的被认证方MP确定为一个MKD域,启动MKD功能模块601和认证方功能模块602;如果本MP为被认证方,将本MP作为被认证方的认证方MP确定为MKD,并将该MP和以该MP为认证方的被认证方MP确定为一个MKD域,启动被认证方功能模块603。
由以上实施例可见,本发明根据认证方将MESH网络划分成多个MKD域,由作为认证方的MP作为MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD域,每个MKD域的MKD为本MKD域中的被认证方分配MPTK-Anonce,被认证方根据本MKD域的MKD分配的MPTK-Anonce与本MKD域的认证方通过4次握手的方式协商PTK。由于根据认证方将MESH网络划分为多个MKD域,每个MKD域独立为域内被认证方分配MPTK-Anonce,因此,当某个MP作为被认证方加入不同的MKD域时,在不同的MKD域中获得的MPTK-Anonce不同,而在密钥管理过程中根据MPTK-Anonce协商获得各层密钥,因此增加了密钥管理的安全性和可靠性,降低了密钥被破解的概率。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种分布式网状MESH网络密钥管理方法,其特征在于,包括以下步骤:
MESH网络中的无线接入点MP在与其它MP建立MESH链路时,由作为认证方的MP作为MESH密钥分发者MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD域,将MESH网络划分成多个MKD域;
每个MKD域的MKD分别为本MKD域中作为被认证方的MP分配MESH成对临时密钥A随机数MPTK-Anonce,属于多个MKD域的MP接收到不同的MPTK-Anonce;
在每个MKD域中,被认证方根据本MKD域的MKD分配的MPTK-Anonce与本MKD域的认证方通过4次握手的方式协商成对临时密钥PTK。
2.如权利要求1所述的方法,其特征在于,所述将MESH网络划分成多个MKD域之后进一步包括:
为每个MKD域配置不同的MKD域身份标识MKDD-ID,所述通过4次握手的方式协商成对临时密钥PTK时,每个MKD域内的认证方和被认证方根据本MKD域的MKDD-ID计算MKD成对主控密钥PMK-MKD。
3.如权利要求1所述的方法,其特征在于,所述将MESH网络划分成多个MKD域之后进一步包括:
为同一MESH网络中的所有MKD域配置相同的MKDD-ID,所述通过4次握手的方式协商成对临时密钥PTK时,每个MKD域内的认证方和被认证方根据认证方的指定参数计算MKD成对主控密钥PMK-MKD。
4.如权利要求3所述的方法,其特征在于,所述认证方的指定参数为认证方的物理MAC地址。
5.如权利要求1至4中任意一项所述的方法,其特征在于,该方法进一步包括:
所述MESH网络中的无线接入点MP在与其它MP建立MESH链路时,作为被认证方的MP在建立每一个初始MESH连接的同时,记录该连接对应的MKD域;
当MP接收到MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP确定该MPTK-Anonce对应的MKD域;
如果MP接收到两个或两个以上的MPTK-Anonce对应相同的MKD域,则MP断开在该MKD域内自身的所有MESH链路;否则,不断开现有的MESH链路。
6.一种无线接入点MP设备,其特征在于,该MP设备包括:
MKD功能模块,用于为作为被认证方的MP随机分配并发送MPTK-Anonce,计算生成PMK-MKD和MA成对主控密钥PMK-MA并发送给认证方功能模块;
认证方功能模块,根据MKD功能模块发来的PMK-MKD和PMK-MA与作为被认证方的MP通过4次握手的方式协商PTK;
被认证方功能模块,接收作为MKD的MP发来的MPTK-Anonce,根据MPTK-Anonce与作为认证方的MP通过4次握手的方式协商PTK;
控制模块,确定本MP所在的MKD域以及本MP的角色,如果本MP为认证方,将本MP确定为MKD,将本MP和以本MP为认证方的被认证方MP确定为一个MKD域,启动MKD功能模块和认证方功能模块;如果本MP为被认证方,将本MP作为被认证方的认证方MP确定为MKD,并将该MP和以该MP为认证方的被认证方MP确定为一个MKD域,启动被认证方功能模块。
7.如权利要求6所述的MP设备,其特征在于,
所述认证方功能模块或被认证方功能模块为每个MKD域配置不同的MKDD-ID,所述通过4次握手的方式协商PTK时,根据本MKD域的MKDD-ID计算PMK-MKD。
8.如权利要求6所述的MP设备,其特征在于,
所述认证方功能模块或被认证方功能模块为同一MESH网络中的所有MKD域配置相同的MKDD-ID;
所述通过4次握手的方式协商PTK时,如果所述控制模块确定本MP为认证方,则所述认证方功能模块提供认证方指定参数并发送给被认证方;如果所述控制模块确定本MP为被认证方,则所述被认证方功能模块根据从认证方接收的认证方指定参数计算PMK-MKD。
9.如权利要求8所述的MP设备,其特征在于,所述认证方指定参数为认证方的MAC地址。
10.如权利要求6至9中任意一项所述的MP设备,其特征在于,
所述被认证方功能模块在建立每一个初始MESH连接的同时记录该连接对应的MKD域,每当接收到作为MKD的MP发来的MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP确定该MPTK-Anonce对应的MKD域,如果接收到两个或两个以上的MPTK-Anonce对应相同的MKD域,则断开在该MKD域内自身的所有MESH链路;否则,不断开现有的MESH链路。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910235979.XA CN102056163B (zh) | 2009-11-03 | 2009-11-03 | 分布式mesh网络密钥管理方法和无线接入点设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910235979.XA CN102056163B (zh) | 2009-11-03 | 2009-11-03 | 分布式mesh网络密钥管理方法和无线接入点设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102056163A CN102056163A (zh) | 2011-05-11 |
CN102056163B true CN102056163B (zh) | 2013-06-05 |
Family
ID=43959977
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910235979.XA Expired - Fee Related CN102056163B (zh) | 2009-11-03 | 2009-11-03 | 分布式mesh网络密钥管理方法和无线接入点设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102056163B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102387014B (zh) * | 2011-10-24 | 2014-01-01 | 北京工业大学 | 一种Mesh网络的密钥管理方法 |
CN103312495B (zh) * | 2013-06-25 | 2016-07-06 | 杭州华三通信技术有限公司 | 一种成组ca的形成方法和装置 |
CN104333914B (zh) * | 2013-07-22 | 2019-05-07 | 新华三技术有限公司 | 一种Mesh链路建立方法和设备 |
CN104936168B (zh) * | 2015-05-04 | 2019-01-29 | 北京柏惠维康科技有限公司 | 一种高效的无线mesh组网方法 |
US20190059041A1 (en) | 2017-08-17 | 2019-02-21 | Hype Labs Inc. | Systems and methods for wireless communication network loop detection |
CN113055909B (zh) * | 2021-03-01 | 2022-05-20 | 武汉大学 | 一种适合深度并行数据处理的无线Mesh网路由节点装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101155029A (zh) * | 2006-09-28 | 2008-04-02 | 三星电子株式会社 | 无线网格网络中的认证设备和方法 |
CN101426201A (zh) * | 2008-12-16 | 2009-05-06 | 北京工业大学 | 无线Mesh网络中安全有效的即时认证方法 |
CN101512537A (zh) * | 2006-09-07 | 2009-08-19 | 摩托罗拉公司 | 在自组无线网络中安全处理认证密钥资料的方法和系统 |
CN101516090A (zh) * | 2008-02-20 | 2009-08-26 | 华为技术有限公司 | 网络认证通信方法及网状网络系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101327177B1 (ko) * | 2006-09-20 | 2013-11-06 | 삼성전자주식회사 | 셀프-컨피규레이션을 위한 키 생성방법 |
-
2009
- 2009-11-03 CN CN200910235979.XA patent/CN102056163B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101512537A (zh) * | 2006-09-07 | 2009-08-19 | 摩托罗拉公司 | 在自组无线网络中安全处理认证密钥资料的方法和系统 |
CN101155029A (zh) * | 2006-09-28 | 2008-04-02 | 三星电子株式会社 | 无线网格网络中的认证设备和方法 |
CN101516090A (zh) * | 2008-02-20 | 2009-08-26 | 华为技术有限公司 | 网络认证通信方法及网状网络系统 |
CN101426201A (zh) * | 2008-12-16 | 2009-05-06 | 北京工业大学 | 无线Mesh网络中安全有效的即时认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102056163A (zh) | 2011-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111478902B (zh) | 电力边缘网关设备及基于该设备的传感数据上链存储方法 | |
CN101222325B (zh) | 一种基于id的无线多跳网络密钥管理方法 | |
Wei et al. | A privacy-preserving fog computing framework for vehicular crowdsensing networks | |
CN102056163B (zh) | 分布式mesh网络密钥管理方法和无线接入点设备 | |
CN101094056B (zh) | 无线工业控制网络安全系统及安全策略实现方法 | |
CN103988480B (zh) | 用于认证的系统和方法 | |
CN108809637B (zh) | 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法 | |
CN104780069B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
CN107453868A (zh) | 一种安全高效的量子密钥服务方法 | |
CN101626370B (zh) | 节点间密钥的分配方法、系统及设备 | |
CN101516090B (zh) | 网络认证通信方法及网状网络系统 | |
CN101420686B (zh) | 基于密钥的工业无线网络安全通信实现方法 | |
CN108683510A (zh) | 一种加密传输的用户身份更新方法 | |
CN102077545A (zh) | 用于进行无处不在的病人监测的个人安全管理器 | |
CN101282208B (zh) | 安全连接关联主密钥的更新方法和服务器及网络系统 | |
CN102209319B (zh) | 提高mesh网络中的接入控制器控制效率的方法及接入控制器 | |
CN108377188A (zh) | 一种用于特种应急自组网通信的量子加密系统 | |
CN109936509A (zh) | 一种基于多元身份的设备群组认证方法及系统 | |
CN107396350A (zh) | 基于sdn‑5g网络架构的sdn组件间安全保护方法 | |
CN108964897A (zh) | 基于群组通信的身份认证系统和方法 | |
CN109640325A (zh) | 基于可扩展式贡献组密钥协商的面向车队的安全管理方法 | |
CN113207121A (zh) | 一种智能配电网通信系统密钥管理方法及系统 | |
CN103888940B (zh) | 多级加密与认证的wia‑pa网络手持设备的通讯方法 | |
Gawdan et al. | A novel secure key management module for hierarchical clustering wireless sensor networks | |
CN104618317A (zh) | 一种基于信任的物联网数据安全系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130605 Termination date: 20191103 |