CN102056163B - 分布式mesh网络密钥管理方法和无线接入点设备 - Google Patents

分布式mesh网络密钥管理方法和无线接入点设备 Download PDF

Info

Publication number
CN102056163B
CN102056163B CN200910235979.XA CN200910235979A CN102056163B CN 102056163 B CN102056163 B CN 102056163B CN 200910235979 A CN200910235979 A CN 200910235979A CN 102056163 B CN102056163 B CN 102056163B
Authority
CN
China
Prior art keywords
mkd
territory
authenticating party
mptk
anonce
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200910235979.XA
Other languages
English (en)
Other versions
CN102056163A (zh
Inventor
吴蔷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN200910235979.XA priority Critical patent/CN102056163B/zh
Publication of CN102056163A publication Critical patent/CN102056163A/zh
Application granted granted Critical
Publication of CN102056163B publication Critical patent/CN102056163B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提出一种分布式MESH网络密钥管理方法,以认证方为中心将MESH网络划分成多个MKD域,由作为认证方的MP作为MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD域,每个MKD域的MKD为本MKD域中的被认证方分配MPTK-Anonce,被认证方根据本MKD域的MKD分配的MPTK-Anonce与本MKD域的认证方协商各层密钥。本发明还提出了一种MP。采用本发明提出的分布式MESH网络密钥管理方法和MP,当某个MP作为被认证方加入不同的MKD域时,在不同的MKD域中根据不同的MPTK-Anonce协商密码,因此增加了密钥管理的安全性。

Description

分布式MESH网络密钥管理方法和无线接入点设备
技术领域
本发明涉及移动通信技术,特别涉及一种分布式MESH网络链路加密方法和无线接入点设备。
背景技术
符合IEEE802.11s标准的无线局域网称为网状(MESH)网络。目前,根据配置管理方式和安全策略应用方式的不同,MESH网络分为集中控制式和分布式两种。在分布式MESH网络中,网络中没有管理和配置中心,每一MESH网络无线接入点(Mesh Access Point,MP)独立运行,即:每一个MP独立进行配置,独立应用安全策略,独立转发数据报文。分布式MESH网络结构的一个具体实施例如图1所示,将图中所示的5个MP分别标记为MP1、MP2、MP3、MP4和MP5,图中的点线表示MESH链路,各个MP之间通过MESH链路进行通信。
MESH链路在传输数据时采用密钥对数据进行加密,即MESH链路的双方MP分别使用密钥对数据加解密,因此密钥的管理是MESH安全体系中的关键部分。MESH网络中的密钥管理方法称为MESH密钥分发者(MESHKey Distributor,MKD)分层密钥机制,在这一机制中存在MKD、认证方与被认证方。MKD是MESH网络的密钥生成和分发者,是MESH网络的安全认证中心。认证方(Authenticator)是建立MESH链路时的认证方,需要在MKD的协助下完成认证过程。能担当Authenticator的MP必须已经获得MKD的认证,已经与MKD建立了安全的通信通道,这样的MP也称为MESH认证方(Mesh Authenticator,MA)。被认证方(Supplicant)是建立MESH链路时的被认证方。在一次安全认证过程中,Supplicant既可以是未经MKD认证的MP,也可以是MA。当被认证方是MA时,虽然建立MESH链路的双方都具备MA的资格,但是在本次认证中分任认证方和被认证方的角色。
根据MKD为MESH网络划分MKD域。MKD域通过MKD域身份标识(MKDD-ID)进行标识。每一个MKD域中只有一个MKD,并且至少有一个MA。在同一MKD域内的MP执行相同的安全认证策略。目前的实现中,每个MESH网络中都只有一个MKD域,即单域的MESH网络。
MESH链路的密钥分为4个层次,图2为MESH链路密钥分层示意图,参见图2。其中第一层密钥为预共享密钥(PSK),从用户配置的共享式密码生成,由MKD和被认证方持有。第二层密钥为MKD成对主控密钥(PMK-MKD),从PSK生成,由MKD和被认证方持有,当同一个MP通过建立多条MESH链路加入同一个MKD域时,所对应的PMK-MKD只有一个,如果一个MP在同一个MKD域的不同MESH链路认证中得到的PMK-MKD不同,则该MP认为MESH链路安全出现问题,因此将当前全部MESH链路关闭。第三层密钥为MA成对主控密钥(PMK-MA),从PMK-MKD生成,由MKD、认证方和被认证方持有,与多个认证方建立MESH链路时,对应每一个认证方生成不同的PMK-MA。第四层密钥为成对临时密钥(PTK),从PMK-MA生成,由认证方和被认证方协商而得,共同持有,对于加入某一MKD域内的某一MP而言,PTK用于实际MESH链路的加解密,不同的MESH链路有不同的PTK,而且每一链路的PTK在超过设定时间之后还会自动更新,以降低破解密钥的概率。
认证方和被认证方之间通过4次握手的方式协商PTK。其过程是:MKD为被认证方随机分配一个数值,称为MESH PTK A随机数(MPTK-Anonce),每一MP一次只会分配一个MPTK-Anonce。然后MKD为被认证方生成对应的PMK-MKD和PMK-MA,将PMK-MA和MPTK-Anonce发送给认证方,通知认证方开始4次握手,与被认证方协商对应链路的PTK。4次握手中,认证方向被认证方发送第1个报文,该报文携带MPTK-Anonce,被认证方通过第1个报文携带的MPTK-Anonce计算出PMK-MKD、PMK-MA,并为对应的MESH链路随机分配的随机数,称为MESH PTK S随机数(MPTK-Snonce),进而根据MPTK-Snonce计算出PTK。与MPTK-Anonce不同,MP每次生成MPTK-Snonce都不同,而且在PTK自动更新时也会变化。被认证方向认证方发送第2个报文,该报文携带MPTK-Snonce,认证方通过第2个报文携带的MPTK-Snonce计算PTK。通过第3个和第4个报文,认证方发送组播密钥,并且双方验证计算的PTK的一致性,最终认证方和被认证方获得一致的PTK。
采用上述MESH链路密钥管理方法,在分布式MESH网络中,由于不存在安全认证和管理中心,每一个MP上都同时存在作为MKD和作为认证方的两种功能。在建立MESH连接时,两个MP分别为认证方和被认证方,这一结构的示意图如图3所示。在图1所示的分布式MESH网络中,以MP2与MP3建立MESH连接为例,MP2为认证方,MP3为被认证方,则位于MP3上的MKD功能部分作为上述MESH链路密钥管理方法中的MKD,负责完成对该链路的MESH安全处理,生成PMK-MKD和PMK-MA、分配MPTK-Anonce,而MP2上的认证方功能部分则作为上述MESH链路密钥管理方法中的认证方,根据PMK-MA和MPTK-Anonce等,与MP3协商和计算出PTK。同样的,如果以MP3与MP5建立MESH链路为例,MP5为认证方,MP3为被认证方,则MP5上的MKD功能部分作为上述MESH链路密钥管理方法中的MKD,为MP3生成PMK-MKD和PMK-MA、分配MPTK-Anonce。在目前单域MESH网络的情况下,在上述两次建立MESH链路过程中,因为MP3、MP2和MP5位于同一个MKD域中,因此要求这两次认证过程中MP3获得的PMK-MKD必须相同,因而要求MP2与MP5为MP3生成的MPTK-Anonce必须相同。否则,如果MP3在同一MKD域内的不同MESH链路认证中收到不同的MPTK-Anonce,则MP3认为MKD不一致,MESH链路安全出现问题,因此MP3会关闭当前全部MESH链路。为了保证同一MP在同一MKD域内的不同MESH链路认证中收到的MPTK-Anonce相同,目前分布式MESH网络在为被认证方分配MPTK-Anonce时,以MESH网络的标识符(MESH ID)和被认证方的物理(MAC)地址作为MPTK-Anonce生成函数的种子,因为同一个MKD域的MESH ID和某一MP的MAC地址均固定不变,因此MPTK-Anonce固定不变的,同一MP在同一MKD域内的不同MESH链路认证中收到的MPTK-Anonce相同。
但是采用上述密钥管理方法,由于同一个MP加入同一网络的MPTK-Anonce固定不变,并且在上述4次握手协商PTK的过程中,第1个报文携带的MPTK-Anonce并未加密,因此同样的数值在4次握手的报文中反复出现,增大了MPTK-Anonce被监听和获取的可能性,因而增大了密钥被破解的可能性,从而降低了MESH链路的安全性。
发明内容
本发明实施例提供一种分布式MESH网络密钥管理方法,以增大MESH链路密钥管理的安全性。
本发明实施例提供一种MP设备,以增大MESH链路密钥管理的安全性。
针对第一个目的,本发明实施例的技术方案具体是这样实现的:
一种分布式网状MESH网络密钥管理方法,包括以下步骤:
MESH网络中的无线接入点MP在与其它MP建立MESH链路时,由作为认证方的MP作为MESH密钥分发者MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD域,将MESH网络划分成多个MKD域;
每个MKD域的MKD分别为本MKD域中作为被认证方的MP分配MESH成对临时密钥A随机数MPTK-Anonce,属于多个MKD域的MP接收到不同的MPTK-Anonce;
在每个MKD域中,被认证方根据本MKD域的MKD分配的MPTK-Anonce与本MKD域的认证方通过4次握手的方式协商成对临时密钥PTK。
上述方案中,所述将MESH网络划分成多个MKD域之后进一步包括:
为每个MKD域配置不同的MKD域身份标识MKDD-ID,所述通过4次握手的方式协商成对临时密钥PTK时,每个MKD域内的认证方和被认证方根据本MKD域的MKDD-ID计算MKD成对主控密钥PMK-MKD。
上述方案中,所述将MESH网络划分成多个MKD域之后进一步包括:
为同一MESH网络中的所有MKD域配置相同的MKDD-ID,所述通过4次握手的方式协商成对临时密钥PTK时,每个MKD域内的认证方和被认证方根据认证方的指定参数计算MKD成对主控密钥PMK-MKD。
上述方案中,所述认证方的指定参数为认证方的物理MAC地址。
上述方案中,该方法进一步包括:
所述MESH网络中的无线接入点MP在与其它MP建立MESH链路时,作为被认证方的MP在建立每一个初始MESH连接的同时,记录该连接对应的MKD域;
当MP接收到MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP确定该MPTK-Anonce对应的MKD域;
如果MP接收到两个或两个以上的MPTK-Anonce对应相同的MKD域,则MP断开在该MKD域内自身的所有MESH链路;否则,不断开现有的MESH链路。
针对第二个目的,本发明实施例是这样实现的:
一种无线接入点MP设备,该MP设备包括:
MKD功能模块,用于为作为被认证方的MP随机分配并发送MPTK-Anonce,计算生成PMK-MKD和MA成对主控密钥PMK-MA并发送给认证方功能模块;
认证方功能模块,根据MKD功能模块发来的PMK-MKD和PMK-MA与作为被认证方的MP通过4次握手的方式协商PTK;
被认证方功能模块,接收作为MKD的MP发来的MPTK-Anonce,根据MPTK-Anonce与作为认证方的MP通过4次握手的方式协商PTK;
控制模块,确定本MP所在的MKD域以及本MP的角色,如果本MP为认证方,将本MP确定为MKD,将本MP和以本MP为认证方的被认证方MP确定为一个MKD域,启动MKD功能模块和认证方功能模块;如果本MP为被认证方,将本MP作为被认证方的认证方MP确定为MKD,并将该MP和以该MP为认证方的被认证方MP确定为一个MKD域,启动被认证方功能模块。
上述方案中,
所述认证方功能模块或被认证方功能模块为每个MKD域配置不同的MKDD-ID,所述通过4次握手的方式协商PTK时,根据本MKD域的MKDD-ID计算PMK-MKD。
上述方案中,
所述认证方功能模块或被认证方功能模块为同一MESH网络中的所有MKD域配置相同的MKDD-ID;
所述通过4次握手的方式协商PTK时,如果所述控制模块确定本MP为认证方,则所述认证方功能模块提供认证方指定参数并发送给被认证方;如果所述控制模块确定本MP为被认证方,则所述被认证方功能模块根据从认证方接收的认证方指定参数计算PMK-MKD。
上述方案中,所述认证方指定参数为认证方的MAC地址。
上述方案中,所述被认证方功能模块在建立每一个初始MESH连接的同时记录该连接对应的MKD域,每当接收到作为MKD的MP发来的MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP确定该MPTK-Anonce对应的MKD域,如果接收到两个或两个以上的MPTK-Anonce对应相同的MKD域,则断开在该MKD域内自身的所有MESH链路;否则,不断开现有的MESH链路。
由上述的技术方案可见,本发明以认证方为中心将MESH网络划分成多个MKD域,由作为认证方的MP作为MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD域,每个MKD域的MKD为本MKD域中的被认证方分配MPTK-Anonce,被认证方根据本MKD域的MKD分配的MPTK-Anonce与本MKD域的认证方通过4次握手的方式协商PTK。由于根据认证方将MESH网络划分为多个MKD域,每个MKD域独立为域内被认证方分配MPTK-Anonce,因此,当某个MP作为被认证方加入不同的MKD域时,在不同的MKD域中获得的MPTK-Anonce不同,而在密钥管理过程中根据MPTK-Anonce协商获得各层密钥,因此增加了密钥管理的安全性和可靠性,降低了密钥被破解的概率。
附图说明
图1为分布式MESH网络结构示意图;
图2为MESH链路密钥分层示意图;
图3为分布式MESH网络MP功能示意图;
图4为本发明实施例分布式MESH网络密钥管理方法流程图;
图5为本发明实施例分布式MESH网络中多MKD域划分的示意图;
图6为本发明实施例MP内部结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
目前的MESH标准中并未限制同一个MESH网络只能存在一个MKD域,在本发明实施例中,根据认证方将MESH网络划分成多个MKD域,每个MKD域独立计算MESH链路的各层密钥。
采用本发明实施例提出的划分多个MKD域的方法,分布式MESH网络链路密钥的管理方法的流程如图4所示,具体包括以下步骤:
步骤401:根据认证方将MESH网络划分成多个MKD域。
本步骤中根据认证方将MESH网络划分成多个MKD域的具体方法是:MESH网络中的MP在与其它MP建立MESH链路时,由作为认证方的MP作为MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD域。因此,按照上述划分方法,同一个MP可以处于多个MKD域中,但只能在其中一个MKD域中担当MKD角色,即只能在该MP作为认证方的MKD域中作为MKD。
步骤402:每个MKD域的MKD分别为本MKD域中作为被认证方的MP分配MPTK-Anonce。
因此,如果某一个MP在多个MKD域中均作为被认证方,该MP将会分别接收来自不同MKD域的多个MPTK-Anonce,上述多个MPTK-Anonce可能并不相同,与现有方法不同的是,本发明实施例中该MP在接收到多个不同的MPTK-Anonce时,不再将所有MESH链路断开。为实现MP在收到来自不同的MKD域的不同的MPTK-Anonce时不断开MESH链路,作为被认证方的MP在建立每一个初始MESH连接的同时,记录该连接对应的MKD域,每当MP接收到一个MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP确定该MPTK-Anonce对应的MKD域。当MP接收到多个不同的MPTK-Anonce时,分别确定每个MPTK-Anonce对应的MKD域,如果它们分别对应不同的MKD域,则不断开现有的MESH链路;如果它们对应同一个MKD域,则MP断开在该MKD域内自身的所有MESH链路。
步骤403:在每个MKD域中,被认证方根据本MKD域的MKD分配的MPTK-Anonce与本MKD域的认证方通过4次握手的方式协商PTK。
此步骤中,认证方与被认证方通过4次握手的方式协商PTK的方法与背景技术中所述的相同,在此不再赘述。如果某一个MP在多个MKD域中均作为被认证方,该MP根据某一个MKD域的MKD分配的MPTK-Anonce,与该MKD域的认证方通过4次握手的方式协商PTK,并且采用同样的方法完成该MP所在的不同MKD域中的4次握手。
下面以图1所示的分布式MESH网络为例,对图4所示的分布式MESH网络链路密钥管理方法进行详细说明。
首先,根据认证方将MESH网络划分成多个MKD域。以图1所示分布式MESH网路为例,对其进行MKD域划分的示意图如图5所示。参见图5,以认证方为中心,将该网络划分为3个MKD域,分别标记为MKD域1、MKD域2和MKD域3,具体划分方法为:在建立MESH链路时,以MP2作为认证方的被认证方包括MP1和MP3,则MP2为认证方和MKD,由MP2、MP1和MP3三者组成MKD域1。在建立MESH链路时,以MP4作为认证方的被认证方仅包括MP2,则MP4为认证方和MKD,由MP4和MP2二者组成MKD域2。在建立MESH链路时,以MP5为认证方的被认证方仅包括MP2,则MP5为认证方和MKD,由MP5和MP2二者组成MKD域3。按照上述多域划分方法,MP2位于多个MKD域中,但只有在MP2作为认证方的MKD域1中作为MKD,在其它的MKD域中,MP2仅作为被认证方。
然后,每个MKD域的MKD分别为本MKD域中作为被认证方的MP分配MPTK-Anonce。按照图5所示进行MKD域划分的MESH网络,在MKD域1中,MP2作为MKD,为MP1和MP3分别分配MPTK-Anonce。在MKD域2和MKD域3中,MP2作为被认证方,分别接收MP4和MP5分配的MPTK-Anonce,因为来自MP4和MP5的MPTK-Anonce属于不同的MKD域,因此在本发明实施例中当MP2接收到来自MP4和MP5的不同的MPTK-Anonce时,不断开MESH链路。
最后,在进行4次握手协商PTK时,在MKD1域中,MP1与MP3分别根据MP2分配的MPTK-Anonce与MP2通过4次握手的方式协商PTK。在MKD域2中,MP2根据MP4分配的MPTK-Anonce与MP4通过4次握手的方式协商PTK。在MKD域3中,MP2根据MP5分配的MPTK-Anonce与MP5通过4次握手的方式协商PTK。
进一步地,在采用上述将MESH网络划分为多MKD域的链路密钥管理方法的基础上,本发明实施例还提出对多MKD域的MKDD-ID进行更优化的改进。
与现有的密钥管理方法相同的是,MKD域通过配置的MKDD-ID进行标识,在MP相互认证过程中,通过MP的信标(Beacon)报文和探测(Probe)报文发送给其它MP。根据MESH标准802.11s-draft1.06,在4次握手协商PTK过程中的计算PMK-MKD时,需要用到MKDD-ID。因此,可以为每个MKD域配置不同的MKDD-ID,也可以采取一种更优化的方法,其具体如下所述。
分布式MESH网络中,在建立MESH链路时,通过建立MESH链路的双方MP协商确定某个MP担任认证方或被认证方角色,并且,当某一MP在实际组网中不断移动时,对端MP在不断变化,因此该MP所担任的角色也会不断变化,因此,如果不同MKD域配置不同MKDD-ID,配置工作量巨大,而且网络规模的扩展性差。为此,本发明实施例提出,不区分MP所属的MKD域,为同一MESH网络中的所有MP配置相同的MKDD-ID,在Beacon报文和Probe报文中对应的MKDD-ID中也填写该MKDD-ID;但是,在实际计算PMK-MKD时,用认证方的指定参数替换MKDD-ID进行计算,一种较优的方法是采用认证方的MAC地址作为该指定参数,也可以采用其它可以认证方的相关参数作为指定参数。因此,既不必在每个MP上根据不同的MKD域配置大量的MKDD-ID,也能够实现在多MKD域的划分的MESH网络中各个MKD域独立计算PMK-MKD,进而独立计算MESH链路的各层密钥。
采用本发明所述的划分多个MKD域的分布式MESH网络链路密钥的管理方法,需要相应地对MP进行改进,本发明实施例中MP的内部结构如图6所示。参见图6,MP内部包括MKD功能模块601、认证方功能模块602和被认证方功能模块603,在本发明实施例中,为实现多MKD域划分的MESH网络链路密钥管理方法,在MP中加入控制模块604。
MKD功能模块601,用于为作为被认证方的MP随机分配并发送MPTK-Anonce,计算生成PMK-MKD和PMK-MA并发送给认证方功能模块602。
认证方功能模块602,根据MKD功能模块601发来的PMK-MKD和PMK-MA与作为被认证方的MP通过4次握手的方式协商PTK。
被认证方功能模块603,接收作为MKD的MP发来的MPTK-Anonce,确定该MPTK-Anonce对应的MKD域,根据MPTK-Anonce与作为认证方的MP通过4次握手的方式协商PTK;为实现MP在收到来自不同的MKD域的不同的MPTK-Anonce时不断开MESH链路,被认证方功能模块603在建立每一个初始MESH连接的同时记录该连接对应的MKD域,每当接收到一个MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP确定该MPTK-Anonce对应的MKD域,分别确定每一个MPTK-Anonce对应的MKD域,如果不同的MPTK-Anonce对应不同的MKD域,则不断开现有的MESH链路,如果两个或两个以上的MPTK-Anonce对应同一个MKD域,则断开本MP在该MKD域内的MESH链路。
控制模块604,确定本MP所在的MKD域以及本MP的角色,如果本MP为认证方,将本MP确定为MKD,将本MP和以本MP为认证方的被认证方MP确定为一个MKD域,启动MKD功能模块601和认证方功能模块602;如果本MP为被认证方,将本MP作为被认证方的认证方MP确定为MKD,并将该MP和以该MP为认证方的被认证方MP确定为一个MKD域,启动被认证方功能模块603。
由以上实施例可见,本发明根据认证方将MESH网络划分成多个MKD域,由作为认证方的MP作为MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD域,每个MKD域的MKD为本MKD域中的被认证方分配MPTK-Anonce,被认证方根据本MKD域的MKD分配的MPTK-Anonce与本MKD域的认证方通过4次握手的方式协商PTK。由于根据认证方将MESH网络划分为多个MKD域,每个MKD域独立为域内被认证方分配MPTK-Anonce,因此,当某个MP作为被认证方加入不同的MKD域时,在不同的MKD域中获得的MPTK-Anonce不同,而在密钥管理过程中根据MPTK-Anonce协商获得各层密钥,因此增加了密钥管理的安全性和可靠性,降低了密钥被破解的概率。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种分布式网状MESH网络密钥管理方法,其特征在于,包括以下步骤:
MESH网络中的无线接入点MP在与其它MP建立MESH链路时,由作为认证方的MP作为MESH密钥分发者MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD域,将MESH网络划分成多个MKD域;
每个MKD域的MKD分别为本MKD域中作为被认证方的MP分配MESH成对临时密钥A随机数MPTK-Anonce,属于多个MKD域的MP接收到不同的MPTK-Anonce;
在每个MKD域中,被认证方根据本MKD域的MKD分配的MPTK-Anonce与本MKD域的认证方通过4次握手的方式协商成对临时密钥PTK。
2.如权利要求1所述的方法,其特征在于,所述将MESH网络划分成多个MKD域之后进一步包括:
为每个MKD域配置不同的MKD域身份标识MKDD-ID,所述通过4次握手的方式协商成对临时密钥PTK时,每个MKD域内的认证方和被认证方根据本MKD域的MKDD-ID计算MKD成对主控密钥PMK-MKD。
3.如权利要求1所述的方法,其特征在于,所述将MESH网络划分成多个MKD域之后进一步包括:
为同一MESH网络中的所有MKD域配置相同的MKDD-ID,所述通过4次握手的方式协商成对临时密钥PTK时,每个MKD域内的认证方和被认证方根据认证方的指定参数计算MKD成对主控密钥PMK-MKD。
4.如权利要求3所述的方法,其特征在于,所述认证方的指定参数为认证方的物理MAC地址。
5.如权利要求1至4中任意一项所述的方法,其特征在于,该方法进一步包括:
所述MESH网络中的无线接入点MP在与其它MP建立MESH链路时,作为被认证方的MP在建立每一个初始MESH连接的同时,记录该连接对应的MKD域;
当MP接收到MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP确定该MPTK-Anonce对应的MKD域;
如果MP接收到两个或两个以上的MPTK-Anonce对应相同的MKD域,则MP断开在该MKD域内自身的所有MESH链路;否则,不断开现有的MESH链路。
6.一种无线接入点MP设备,其特征在于,该MP设备包括:
MKD功能模块,用于为作为被认证方的MP随机分配并发送MPTK-Anonce,计算生成PMK-MKD和MA成对主控密钥PMK-MA并发送给认证方功能模块;
认证方功能模块,根据MKD功能模块发来的PMK-MKD和PMK-MA与作为被认证方的MP通过4次握手的方式协商PTK;
被认证方功能模块,接收作为MKD的MP发来的MPTK-Anonce,根据MPTK-Anonce与作为认证方的MP通过4次握手的方式协商PTK;
控制模块,确定本MP所在的MKD域以及本MP的角色,如果本MP为认证方,将本MP确定为MKD,将本MP和以本MP为认证方的被认证方MP确定为一个MKD域,启动MKD功能模块和认证方功能模块;如果本MP为被认证方,将本MP作为被认证方的认证方MP确定为MKD,并将该MP和以该MP为认证方的被认证方MP确定为一个MKD域,启动被认证方功能模块。
7.如权利要求6所述的MP设备,其特征在于,
所述认证方功能模块或被认证方功能模块为每个MKD域配置不同的MKDD-ID,所述通过4次握手的方式协商PTK时,根据本MKD域的MKDD-ID计算PMK-MKD。
8.如权利要求6所述的MP设备,其特征在于,
所述认证方功能模块或被认证方功能模块为同一MESH网络中的所有MKD域配置相同的MKDD-ID;
所述通过4次握手的方式协商PTK时,如果所述控制模块确定本MP为认证方,则所述认证方功能模块提供认证方指定参数并发送给被认证方;如果所述控制模块确定本MP为被认证方,则所述被认证方功能模块根据从认证方接收的认证方指定参数计算PMK-MKD。
9.如权利要求8所述的MP设备,其特征在于,所述认证方指定参数为认证方的MAC地址。
10.如权利要求6至9中任意一项所述的MP设备,其特征在于,
所述被认证方功能模块在建立每一个初始MESH连接的同时记录该连接对应的MKD域,每当接收到作为MKD的MP发来的MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP确定该MPTK-Anonce对应的MKD域,如果接收到两个或两个以上的MPTK-Anonce对应相同的MKD域,则断开在该MKD域内自身的所有MESH链路;否则,不断开现有的MESH链路。
CN200910235979.XA 2009-11-03 2009-11-03 分布式mesh网络密钥管理方法和无线接入点设备 Expired - Fee Related CN102056163B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN200910235979.XA CN102056163B (zh) 2009-11-03 2009-11-03 分布式mesh网络密钥管理方法和无线接入点设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200910235979.XA CN102056163B (zh) 2009-11-03 2009-11-03 分布式mesh网络密钥管理方法和无线接入点设备

Publications (2)

Publication Number Publication Date
CN102056163A CN102056163A (zh) 2011-05-11
CN102056163B true CN102056163B (zh) 2013-06-05

Family

ID=43959977

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200910235979.XA Expired - Fee Related CN102056163B (zh) 2009-11-03 2009-11-03 分布式mesh网络密钥管理方法和无线接入点设备

Country Status (1)

Country Link
CN (1) CN102056163B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102387014B (zh) * 2011-10-24 2014-01-01 北京工业大学 一种Mesh网络的密钥管理方法
CN103312495B (zh) * 2013-06-25 2016-07-06 杭州华三通信技术有限公司 一种成组ca的形成方法和装置
CN104333914B (zh) * 2013-07-22 2019-05-07 新华三技术有限公司 一种Mesh链路建立方法和设备
CN104936168B (zh) * 2015-05-04 2019-01-29 北京柏惠维康科技有限公司 一种高效的无线mesh组网方法
US20190059041A1 (en) 2017-08-17 2019-02-21 Hype Labs Inc. Systems and methods for wireless communication network loop detection
CN113055909B (zh) * 2021-03-01 2022-05-20 武汉大学 一种适合深度并行数据处理的无线Mesh网路由节点装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101155029A (zh) * 2006-09-28 2008-04-02 三星电子株式会社 无线网格网络中的认证设备和方法
CN101426201A (zh) * 2008-12-16 2009-05-06 北京工业大学 无线Mesh网络中安全有效的即时认证方法
CN101512537A (zh) * 2006-09-07 2009-08-19 摩托罗拉公司 在自组无线网络中安全处理认证密钥资料的方法和系统
CN101516090A (zh) * 2008-02-20 2009-08-26 华为技术有限公司 网络认证通信方法及网状网络系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101327177B1 (ko) * 2006-09-20 2013-11-06 삼성전자주식회사 셀프-컨피규레이션을 위한 키 생성방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101512537A (zh) * 2006-09-07 2009-08-19 摩托罗拉公司 在自组无线网络中安全处理认证密钥资料的方法和系统
CN101155029A (zh) * 2006-09-28 2008-04-02 三星电子株式会社 无线网格网络中的认证设备和方法
CN101516090A (zh) * 2008-02-20 2009-08-26 华为技术有限公司 网络认证通信方法及网状网络系统
CN101426201A (zh) * 2008-12-16 2009-05-06 北京工业大学 无线Mesh网络中安全有效的即时认证方法

Also Published As

Publication number Publication date
CN102056163A (zh) 2011-05-11

Similar Documents

Publication Publication Date Title
CN111478902B (zh) 电力边缘网关设备及基于该设备的传感数据上链存储方法
CN101222325B (zh) 一种基于id的无线多跳网络密钥管理方法
Wei et al. A privacy-preserving fog computing framework for vehicular crowdsensing networks
CN102056163B (zh) 分布式mesh网络密钥管理方法和无线接入点设备
CN101094056B (zh) 无线工业控制网络安全系统及安全策略实现方法
CN103988480B (zh) 用于认证的系统和方法
CN108809637B (zh) 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法
CN104780069B (zh) 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统
CN107453868A (zh) 一种安全高效的量子密钥服务方法
CN101626370B (zh) 节点间密钥的分配方法、系统及设备
CN101516090B (zh) 网络认证通信方法及网状网络系统
CN101420686B (zh) 基于密钥的工业无线网络安全通信实现方法
CN108683510A (zh) 一种加密传输的用户身份更新方法
CN102077545A (zh) 用于进行无处不在的病人监测的个人安全管理器
CN101282208B (zh) 安全连接关联主密钥的更新方法和服务器及网络系统
CN102209319B (zh) 提高mesh网络中的接入控制器控制效率的方法及接入控制器
CN108377188A (zh) 一种用于特种应急自组网通信的量子加密系统
CN109936509A (zh) 一种基于多元身份的设备群组认证方法及系统
CN107396350A (zh) 基于sdn‑5g网络架构的sdn组件间安全保护方法
CN108964897A (zh) 基于群组通信的身份认证系统和方法
CN109640325A (zh) 基于可扩展式贡献组密钥协商的面向车队的安全管理方法
CN113207121A (zh) 一种智能配电网通信系统密钥管理方法及系统
CN103888940B (zh) 多级加密与认证的wia‑pa网络手持设备的通讯方法
Gawdan et al. A novel secure key management module for hierarchical clustering wireless sensor networks
CN104618317A (zh) 一种基于信任的物联网数据安全系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Patentee after: Xinhua three Technology Co., Ltd.

Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base

Patentee before: Huasan Communication Technology Co., Ltd.

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130605

Termination date: 20191103