CN102170637B - 集中控制式mesh网络中的密钥管理方法、系统和装置 - Google Patents
集中控制式mesh网络中的密钥管理方法、系统和装置 Download PDFInfo
- Publication number
- CN102170637B CN102170637B CN201010116746.0A CN201010116746A CN102170637B CN 102170637 B CN102170637 B CN 102170637B CN 201010116746 A CN201010116746 A CN 201010116746A CN 102170637 B CN102170637 B CN 102170637B
- Authority
- CN
- China
- Prior art keywords
- mkd
- key
- mesh
- primary
- pmk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明提供了一种集中控制式MESH网络中的密钥管理方法、系统和装置,在集中控制式MESH网络中设置主用密钥分发者(MKD)和备用MKD,主用MKD正常工作时,由主用MKD负责MESH网络的密钥管理;当MESH网络中的认证方(MA)检测到主用MKD故障时,将本MA的MESH链路安全信息发送给备用MKD,以便备用MKD利用接收到的MESH链路安全信息生成各MA所连接MESH链路的密钥后,由备用MKD成为主用MKD并负责MESH网络的密钥管理。本发明能够提高现有集中控制式MESH组网的安全性和可靠性。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种集中控制式MESH网络中的密钥管理方法、系统和装置。
背景技术
无线网状(MESH)网络和普通的无线接入网一样,也存在无线连接的安全问题,其中最重要的方面在于传输数据时对数据进行加密。MESH链路的加密采用密钥方式,即在无线网状网络接入点(MP)之间使用密钥对数据进行加密和解密,因此,密钥管理是MESH安全体系中的重要部分。
MESH网络中的密钥管理机制为密钥分发者(MKD)分层密钥机制,涉及密钥的生成、协商和分发。这一机制中主要存在三个角色:MKD、认证方(Authenticator)和被认证方(Supplicant)。在集中控制式MESH网络组中,MKD由接入控制器(AC)担任,MP可能同时作为认证方和被认证方中的一个或两个角色,其中,通过MKD认证的MP称为MESH网络认证方(MA),只有MA可以作为认证方对新加入的MP协商MESH链路的安全密钥。
MESH链路安全的密钥如图1所示,分为几个层次,第一层为预共享密钥(PSK),由MKD和被认证方持有;第二层为密钥分发者对主密钥(PMK-MKD),根据PSK生成,MKD和被认证方都持有;第三层为认证方对主密钥(PMK-MA),根据PMK-MKD生成,MKD、认证方和被认证方都持有;第四层为共享会话密钥(PTK),根据PMK-MA生成,该PTK为最终用户数据加密和解密的密钥。当MP之间建立MESH链路后,作为认证方的MP需要向MKD请求PMK-MA和为被认证方分配的随机数MPTK-Anonce,然后认证方和被认证方的MP之间通过四次握手过程协商最终的PTK,可见MKD是整个MESH网络的安全核心。
然而,在如图2所示的集中控制式MESH组网中,仅存在一个MKD,由AC设备担任,一旦AC出现故障,或者连接AC的网络出现故障,则在MP之间则无法建立安全的MESH链路,显然,现有的MESH组网具有较低的安全性和可靠性。
发明内容
有鉴于此,本发明提供了一种集中控制式MESH网络中的密钥管理方法的方法、系统和装置,以便于提高现有集中控制式MESH组网的安全性和可靠性。
一种集中控制式MESH网络中的密钥管理方法,在集中控制式MESH网络中设置主用MKD和备用MKD,主用MKD正常工作时,由主用MKD负责MESH网络的密钥管理;
当MESH网络中的认证方MA检测到主用MKD故障时,将本MA的MESH链路安全信息发送给备用MKD,以便备用MKD利用接收到的MESH链路安全信息生成各MA所连接MESH链路的密钥后,由备用MKD成为主用MKD并负责MESH网络的密钥管理;
其中,所述MA为所述MESH网络中完成密钥分发密钥KDK协商的MESH网络接入点MP。
一种MKD,应用于包含至少两个所述MKD的集中控制式MESH网络中;所述MKD包括:密钥管理单元、信息接收单元和密钥处理单元;
所述密钥管理单元,用于在所述MKD作为主用MKD时,负责所述MESH网络的密钥管理;
所述信息接收单元,用于在所述MKD作为备用MKD时,接收所述MESH网络中的MA在检测到主用MKD故障时发送来的MESH链路安全信息,并将所述MESH链路安全信息提供给所述密钥处理单元;
所述密钥处理单元,用于利用所述信息接收单元提供的MESH链路安全信息,生成各MA所连接MESH链路的密钥,将所属MKD切换为主用MKD;
其中,所述MA为所述MESH网络中完成KDK协商的MP。
一种MP,应用于包含主用MKD和备用MKD的MESH网络,主用MKD正常工作时,由主用MKD负责MESH网络的密钥管理;该MP包括:故障检测单元和切换处理单元;
所述故障检测单元,用于检测主用MKD是否故障;
所述切换处理单元,用于在所属MP为MA时,如果所述故障检测单元检测到主用MKD故障,则将所属MP的MESH链路安全信息发送给备用MKD,以便备用MKD利用接收到的MESH链路安全信息生成各MA所连接MESH链路的密钥后,由备用MKD成为主用MKD并负责MESH网络的密钥管理;
其中,所述MA为所述MESH网络中完成密钥分发密钥KDK协商的MESH网络接入点MP。
一种集中控制式MESH网络中的密钥管理系统,该系统包含:主用MKD、备用MKD和MA;
所述主用MKD,用于在正常工作时,负责MESH网络的密钥管理;
所述MA,用于检测到主用MKD故障时,将本MA的MESH链路安全信息发送给备用MKD;
所述备用MKD,用于利用接收到的MESH链路安全信息生成各MA所连接MESH链路的密钥后,成为主用MKD并负责MESH网络的密钥管理;
其中,所述MA为所述MESH网络中完成KDK协商的MP。
由以上技术方案可以看出,本发明通过在集中控制式MESH网络中配置主用MKD和备用MKD,使得在主用MKD故障时,MESH网络中的MA能够将本MA的MESH链路安全信息发送给备用MKD,以便备用MKD利用接收到的MESH链路安全信息生成各MA所连接MESH链路的密钥后,由备用MKD负责MESH网络的密钥管理。从而保证了在原有主用MKD故障时,将MESH网络的密钥管理切换至备用MKD,避免MESH网络的安全过程长时间中断,从而提高了现有集中控制式MESH组网的安全性和可靠性。
附图说明
图1为MESH链路安全的密钥层次示意图;
图2为现有集中控制式MESH组网示意图;
图3为本发明实施例提供的集中控制式MESH组网示意图;
图4为本发明实施例提供的方法流程图;
图5为本发明提供的MKD的结构示意图;
图6为本发明提供的MP的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明所提供的方法主要包括:在集中控制式MESH网络中配置主用MKD和备用MKD,主用MKD正常工作时,由主用MKD负责MESH网络的密钥管理;当MESH网络中的MA检测到主用MKD故障时,将本MA的MESH链路安全信息发送给备用MKD,以便备用MKD利用接收到的MESH链路安全信息生成各MA所连接MESH链路的密钥后,由备用MKD负责MESH网络的密钥管理。
下面通过图3所示的MESH组网对上述方法进行详细描述。图3所示集中控制式MESH组网中,可以配置其中一台AC担任主用MKD,另一台AC担任备用MKD,这两台AC上针对该MESH网络至少配置了相同的PSK。
本实施例提供的方法流程图如图4所示,主要包括以下步骤:
步骤401:当主用MKD正常工作时,由主用MKD负责MESH网络的密钥管理。
MESH网络中的MA可以通过保活报文进行主用MKD的故障检测,即MA和主用MKD之间可以定时互发保活报文,如果在一定时间内没有收到主用MKD发送的保活报文,则确定主用MKD故障,否则确定主用MKD工作正常。其中,使用的保活报文可以是无线接入点的控制和配置协议(CAPWAP)报文、密钥分发密钥(KDK)报文等。
在MESH网络中的各MP上可以预先配置主用MKD和备用MKD的地址,也可以在各MP上配置相同的选择策略选择其中一个AC作为主用MKD,例如,可以在各MP上配置选择MAC地址最小的AC作为主用MKD,次小的AC作为备用MKD。或者,也可以仅在各MP上预先配置主用MKD的地址,主用MKD工作正常时,由主用MKD将备用MKD的地址发送给已经完成KDK协商的MP,即MA。
在主用MKD正常工作时,主用MKD负责MESH网络的密钥管理,包括:为各MP之间MESH链路分配随机数MPTK-Anonce和生成密钥PMK-MA,以及为MKD与MA之间MESH链路分配随机数MKD-nonce和生成共享会话密钥的分发密钥(MPTK-KD)等。
为了方便对本发明的理解,下面对MP之间MESH链路的密钥协商、MP与MKD之间MESH链路的密钥协商进行简单介绍。
首先介绍MP之间MESH链路的密钥协商过程:当两个MP之间建立MESH链路,新加入的MP作为被认证方,已经在MESH网络中完成了KDK协商的MP即MA作为认证方;作为认证方的MA向MKD请求MPTK-Anonce和PMK-MA;MKD为该MESH链路分配随机数MPTK-Anonce,并结合该MPTK-Anonce和预先配置的PSK生成PMK-MKD,再利用PMK-MKD和MPTK-Anonce生成PMK-MA,然后将PMK-MA和随机数MPTK-Anonce发送给MA;MA根据PMK-MA和MPTK-Anonce与被认证方的MP进行四次握手过程协商出PTK。
MP与MKD之间MESH链路的密钥协商过程,即KDK协商过程:当新加入的MP完成与MA之间的MESH链路的密钥协商后,通知MKD计算MPTK-KD密钥。MP分配随机数MA-nonce并发送给MKD;MKD分配随机数MKD-nonce并发送给MP;然后双方分别根据两个随机数MA-nonce和MKD-nonce分别计算出MPTK-KD,验证一致后,完成KDK握手,该MP成为MA。
步骤402:当检测到主用MKD故障时,各MA将本MA的MESH链路安全信息发送给备用MKD。
本步骤中,MESH网络中的各MA发送给备用MKD的MESH链路安全信息包括:本MA与其它MP所连接MESH链路的随机数MPTK-Anonce、本MA与主用MKD所连接MESH链路的随机数MKD-nonce和MA-Anonce等。
另外,该MESH链路安全信息中还可以包含本MA存储的MA列表,该MA列表中包含与该MA存在MESH连接的MA信息。
更进一步地,该MESH链路安全信息中还可以包含本MP的KDK状态信息,由于在主用MKD故障时,可能某些MP正在与主用MKD进行KDK协商,因此,可能存在某些MP虽然上报了MESH链路安全信息给备用MKD,但实际上该MP还没有完全成为MA,此时,该MA上报的MESH链路安全信息中的KDK状态信息可以指示备用MKD该MP处于KDK协商过程中,这样备用MKD可以重新与该MP进行KDK协商。
步骤403:备用MKD利用接收到的各MA的MESH链路安全信息生成各MA所连接MESH链路的密钥。
备用MKD生成的MESH链路的密钥可以包括:利用MA上送的MESH链路安全信息中的随机数MKD-nonce、MA-Anonce和预先配置的PSK生成MPTK-KD,作为备用MKD与该MA之间MESH链路所使用的密钥。利用MA上送的MESH链路安全信息中MESH链路的MPTK-Anonce和预先配置的PSK,生成该MESH链路的PMK-MKD,再利用PMK-MKD和MPTK-Anonce生成该MESH链路的PMK-MA。
步骤404:备用MKD根据各MA上报的MESH链路安全信息中的MA列表,向MA列表中的各MA发送PMK-MA请求。
为了进一步验证备用MKD生成的各层密钥的正确性,备用MKD可以利用收到的MA列表,通过PULL协议向各MA验证密钥的正确性。
在PULL协议中,PMK-MA请求是由MP向MKD发送,PMK-MA响应由MKD向MP回复的,在本实施例中,逆向使用该PULL协议,由备份MKD向MA列表中的各MA发送PMK-MA请求,各MA向备用MKD回复PMK-MA响应。
步骤405:备用MKD利用接收到的各MA返回的MPK-MA响应中包含的MPTK-KD和PMK-MA与备用MKD生成的MPTK-KD和PMK-MA进行比较,如果一致,执行步骤406;否则执行步骤407。
MA接收到备用MKD发送的PMK-MA请求后,将本MA中各MESH链路的MPTK-KD和PMK-MA等密钥携带在PMK-MA响应中发送给备用MKD。备用MKD将收到的各MESH链路的MPTK-KD和PMK-MA与自身生成的对应MESH链路的MPTK-KD和PMK-MA进行比较,如果一致,说明生成的密钥是正确的;如果不一致,则说明生成的密钥可能是有误的,执行步骤407。
步骤406:备用MKD利用生成的密钥负责该MESH网络的安全管理,结束流程。
步骤407:通知不一致的密钥对应的MA重新进行该密钥所对应MESH链路的密钥协商,协商完成后转至步骤406。
如果不一致的密钥为MPTK-KD,则发送该MPTK-KD的MA与备用MKD重新开始MPTK-KD的协商;如果不一致的密钥为PMK-MA,则发送该PMK-MA的MA重新进行该PMK-MA所对应MESH链路的密钥协商,该协商过程中,MA向备用MKD请求MPTK-Anonce,由备用MKD重新为该MESH链路分配新的随机数MPTK-Anonce,并生成新的PMK-MA。
完成上述流程后,备用MKD成为主用MKD。
如果此时,有新的MP加入,该MP与建立MESH链路的各MA进行PMK-MA密钥的协商,协商完成后,该MP向主用MKD请求KDK协商,如果在设定时间内没有收到主用MKD的响应,则认为主用MKD故障,向备用MKD请求KDK协商,并通过KDK协商过程协商出MPTK-KD。
以上是对本发明所提供的方法进行的详细描述,下面对本发明所提供的系统和装置进行详细描述。本发明所提供的系统可以如图3所示,包括:主用MKD、备用MKD和MA。
主用MKD,用于在正常工作时,负责MESH网络的密钥管理。
MA,用于检测到主用MKD故障时,将本MA的MESH链路安全信息发送给备用MKD;其中,MA为MESH网络中完成KDK协商的MP。
备用MKD,用于利用接收到的MESH链路安全信息生成各MA所连接MESH链路的密钥后,成为主用MKD并负责MESH网络的密钥管理。
图5为本发明所提供的MKD的结构示意图,如图5所示,该MKD可以包括:密钥管理单元501、信息接收单元502和密钥处理单元503。
密钥管理单元501,用于在MKD作为主用MKD时,负责MESH网络的密钥管理。
信息接收单元502,用于在MKD作为备用MKD时,接收MESH网络中的MA在检测到主用MKD故障时发送来的MESH链路安全信息,并将MESH链路安全信息提供给密钥处理单元503。
密钥处理单元503,用于利用信息接收单元502提供的MESH链路安全信息,生成各MA所连接MESH链路的密钥,将所属MKD切换为主用MKD。
其中,MA为MESH网络中完成KDK协商的MP。
具体地,密钥管理单元501为MESH网络中各MP之间的MESH链路分配随机数MPTK-Anonce和生成PMK-MA,以及为所属MKD与MP之间的MESH链路分配随机数MKD-nonce和生成MPTK-KD。
上述MESH链路安全信息可以包括:发送MESH链路安全信息的MA与其它MP所连接MESH链路的随机数MPTK-Anonce,发送MESH链路安全信息的MA与发生故障的主用MKD所连接MESH链路的随机数MKD-nonce和MA-Anonce。
此时,密钥处理单元503可以具体利用随机数MKD-nonce、MA-Anonce和预先配置的PSK生成MPTK-KD,将该MPTK-KD作为所属MKD与发送MESH链路安全信息的MA之间MESH链路的密钥;利用MPTK-Anonce和预先配置的PSK,生成PMK-MKD,再利用PMK-MKD和MPTK-Anonce生成MPTK-Anonce所对应MESH链路的PMK-MA。
更优地,上述MESH链路安全信息还包括:MA列表,该MA列表包含与发送MESH链路安全信息的MA存在MESH连接的其它MA的信息。
MKD还可以包括:密钥验证单元504,用于在密钥处理单元503生成MPTK-KD和PMK-MA之后,向MA列表中的各MA发送PMK-MA请求;将各MA返回的PMK-MA响应中包含的MPTK-KD与备用MK生成的MPTK-KD进行比较,并将PMK-MA响应中包含的PMK-MA与备用MK生成的PMK-MA进行比较,如果都一致,则触发密钥处理单元503将所属MKD切换为主用MKD;如果存在不一致的MPTK-KD,则通知发送该不一致的MPTK-KD的MA重新与所属MKD进行KDK协商并生成新的MPTK-KD;如果存在不一致的PMK-MA,则通知发送不一致的PMK-MA的MA重新进行该不一致的PMK-MA所对应MESH链路的密钥协商并生成新的PMK-MA。
图6为本发明提供的MP结构示意图,如图6所示,该MP可以包括:故障检测单元601和切换处理单元602。
故障检测单元601,用于检测主用MKD是否故障。
切换处理单元602,用于在所属MP为MA时,如果故障检测单元601检测到主用MKD故障,则将所属MP的MESH链路安全信息发送给备用MKD,以便备用MKD利用接收到的MESH链路安全信息生成各MA所连接MESH链路的密钥后,由备用MKD成为主用MKD并负责MESH网络的密钥管理。
更进一步地,该MP还可以包括:密钥反馈单元603,用于接收到备用MKD发送的PMK-MA请求后,将该MP的MPTK-KD和PMK-MA携带在PMK-MA响应中返回给备用MKD。
由于网络中的MP在新加入MESH网络时需要进行密钥协商过程,因此,该MP还可以包括:密钥协商单元604,用于在该MP新加入MESH网络且完成PTK密钥的协商后,按照配置在新加入的MP上的主用MKD地址向主用MKD请求KDK协商,如果在设定时间内没有收到主用MKD返回的响应,则向备用MKD请求KDK协商生成MPTK-KD。
其中,密钥协商单元604协商PTK、MPTK-KD的过程与现有技术相同,切换处理单元602发送的MESH链路安全信息从该密钥协商单元604处获得。
由以上描述可以看出,本发明通过在集中控制式MESH网络中配置主用MKD和备用MKD,使得在主用MKD故障时,MESH网络中的MA能够将本MA的MESH链路安全信息发送给备用MKD,以便备用MKD利用接收到的MESH链路安全信息生成各MA所连接MESH链路的密钥后,由备用MKD负责MESH网络的密钥管理。从而保证了在原有主用MKD故障时,将MESH网络的密钥管理切换至备用MKD,避免MESH网络的安全过程长时间中断,从而提高了现有集中控制式MESH组网的安全性和可靠性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (14)
1.一种集中控制式MESH网络中的密钥管理方法,其特征在于,在集中控制式MESH网络中设置主用密钥分发者MKD和备用MKD,主用MKD正常工作时,由主用MKD负责MESH网络的密钥管理;
当MESH网络中的认证方MA检测到主用MKD故障时,将本MA的MESH链路安全信息发送给备用MKD,以便备用MKD利用接收到的MESH链路安全信息生成各MA所连接MESH链路的密钥后,由备用MKD成为主用MKD并负责MESH网络的密钥管理;
其中,所述MA为所述MESH网络中完成密钥分发密钥KDK协商的MESH网络接入点MP。
2.根据权利要求1所述的方法,其特征在于,MESH网络中的MA通过与主用MKD之间定时互发的保活报文检测所述主用MKD是否故障。
3.根据权利要求1所述的方法,其特征在于,所述负责MESH网络的密钥管理包括:为所述MESH网络中各MP之间的MESH链路分配随机数MPTK-Anonce和生成认证方对主密钥PMK-MA,以及为当前主用MKD与MP之间的MESH链路分配随机数MKD-nonce和生成共享会话密钥的分发密钥MPTK-KD。
4.根据权利要求1、2或3所述的方法,其特征在于,所述MESH链路安全信息包括:发送所述MESH链路安全信息的MA与其它MP所连接MESH链路的随机数MPTK-Anonce,发送所述MESH链路安全信息的MA与发生故障的主用MKD所连接MESH链路的随机数MKD-nonce和MA-Anonce;
所述备用MKD利用接收到的MESH链路安全信息生成各MA所连接MESH链路的密钥包括:利用所述随机数MKD-nonce、MA-Anonce和预先配置的预共享密钥PSK生成MPTK-KD,将该MPTK-KD作为所述备用MKD与发送所述MESH链路安全信息的MA之间MESH链路的密钥;利用所述MPTK-Anonce和预先配置的PSK,生成密钥分发者对主密钥PMK-MKD,再利用PMK-MKD和MPTK-Anonce生成所述MPTK-Anonce所对应MESH链路的PMK-MA。
5.根据权利要求4所述的方法,其特征在于,所述MESH链路安全信息还包括MA列表,所述MA列表包含与发送所述MESH链路安全信息的MA存在MESH连接的其它MA的信息;
在所述备用MKD利用接收到的MESH链路安全信息生成各MA所连接MESH链路的密钥之后,还包括:所述备用MKD向所述MA列表中的各MA发送PMK-MA请求;将各MA返回的PMK-MA响应中包含的MPTK-KD与所述备用MKD生成的MPTK-KD进行比较,并将PMK-MA响应中包含的PMK-MA与所述备用MKD生成的PMK-MA进行比较,如果都一致,则所述备用MKD利用生成的密钥负责所述MESH网络的安全管理,结束流程;如果存在不一致的MPTK-KD,则通知发送该不一致的MPTK-KD的MA重新与所述备用MKD进行KDK协商并生成新的MPTK-KD;如果存在不一致的PMK-MA,则通知发送不一致的PMK-MA的MA重新进行该不一致的PMK-MA所对应MESH链路的密钥协商并生成新的PMK-MA。
6.根据权利要求1、2或3所述的方法,其特征在于,该方法还包括:新加入所述MESH网络的MP完成共享会话密钥PTK的协商后,按照配置在新加入的MP上的主用MKD地址向主用MKD请求KDK协商,如果在设定时间内没有收到主用MKD返回的响应,则向备用MKD请求进行KDK协商以生成MPTK-KD。
7.一种密钥分发者MKD,其特征在于,应用于包含至少两个所述MKD的集中控制式MESH网络中;所述MKD包括:密钥管理单元、信息接收单元和密钥处理单元;
所述密钥管理单元,用于在所述MKD作为主用MKD时,负责所述MESH网络的密钥管理;
所述信息接收单元,用于在所述MKD作为备用MKD时,接收所述MESH网络中的认证方MA在检测到主用MKD故障时发送来的MESH链路安全信息,并将所述MESH链路安全信息提供给所述密钥处理单元;
所述密钥处理单元,用于利用所述信息接收单元提供的MESH链路安全信息,生成各MA所连接MESH链路的密钥,将所属MKD切换为主用MKD;
其中,所述MA为所述MESH网络中完成密钥分发密钥KDK协商的MESH网络接入点MP。
8.根据权利要求7所述的MKD,其特征在于,所述密钥管理单元为所述MESH网络中各MP之间的MESH链路分配随机数MPTK-Anonce和生成认证方对主密钥PMK-MA,以及为所属MKD与MP之间的MESH链路分配随机数MKD-nonce和生成共享会话密钥的分发密钥MPTK-KD。
9.根据权利要求7或8所述的MKD,其特征在于,所述MESH链路安全信息包括:发送所述MESH链路安全信息的MA与其它MP所连接MESH链路的随机数MPTK-Anonce,发送所述MESH链路安全信息的MA与发生故障的主用MKD所连接MESH链路的随机数MKD-nonce和MA-Anonce;
所述密钥处理单元具体利用所述随机数MKD-nonce、MA-Anonce和预先配置的预共享密钥PSK生成MPTK-KD,将该MPTK-KD作为所属MKD与发送所述MESH链路安全信息的MA之间MESH链路的密钥;利用所述MPTK-Anonce和预先配置的PSK,生成密钥分发者对主密钥PMK-MKD,再利用PMK-MKD和MPTK-Anonce生成所述MPTK-Anonce所对应MESH链路的PMK-MA。
10.根据权利要求9所述的MKD,其特征在于,所述MESH链路安全信息还包括MA列表,所述MA列表包含与发送所述MESH链路安全信息的MA存在MESH连接的其它MA的信息;
所述MKD还包括:密钥验证单元,用于在所述密钥处理单元生成MPTK-KD和PMK-MA之后,向所述MA列表中的各MA发送PMK-MA请求;将各MA返回的PMK-MA响应中包含的MPTK-KD与所述备用MKD生成的MPTK-KD进行比较,并将PMK-MA响应中包含的PMK-MA与所述备用MKD生成的PMK-MA进行比较,如果都一致,则触发所述密钥处理单元将所属MKD切换为主用MKD;如果存在不一致的MPTK-KD,则通知发送该不一致的MPTK-KD的MA重新与所属MKD进行KDK协商并生成新的MPTK-KD;如果存在不一致的PMK-MA,则通知发送不一致的PMK-MA的MA重新进行该不一致的PMK-MA所对应MESH链路的密钥协商并生成新的PMK-MA。
11.一种集中控制式MESH网络接入点MP,其特征在于,应用于包含主用密钥分发者MKD和备用MKD的MESH网络,主用MKD正常工作时,由主用MKD负责MESH网络的密钥管理;该MP包括:故障检测单元和切换处理单元;
所述故障检测单元,用于检测主用MKD是否故障;
所述切换处理单元,用于在所属MP为认证方MA时,如果所述故障检测单元检测到主用MKD故障,则将所属MP的MESH链路安全信息发送给备用MKD,以便备用MKD利用接收到的MESH链路安全信息生成各MA所连接MESH链路的密钥后,由备用MKD成为主用MKD并负责MESH网络的密钥管理;
其中,所述MA为所述MESH网络中完成密钥分发密钥KDK协商的MESH网络接入点MP。
12.根据权利要求11所述的MP,其特征在于,该MP还包括:密钥反馈单元,用于接收到备用MKD发送的认证方对主密钥PMK-MA请求后,将该MP的共享会话密钥的分发密钥MPTK-KD和PMK-MA携带在PMK-MA响应中返回给所述备用MKD。
13.根据权利要求11或12所述的MP,其特征在于,该MP还包括:密钥协商单元,用于在该MP新加入所述MESH网络且完成共享会话密钥PTK密钥的协商后,按照配置在新加入的MP上的主用MKD地址向主用MKD请求KDK协商,如果在设定时间内没有收到主用MKD返回的响应,则向备用MKD请求KDK协商生成MPTK-KD。
14.一种集中控制式MESH网络中的密钥管理系统,其特征在于,该系统包含:主用密钥分发者MKD、备用MKD和认证方MA;
所述主用MKD,用于在正常工作时,负责MESH网络的密钥管理;
所述MA,用于检测到主用MKD故障时,将本MA的MESH链路安全信息发送给备用MKD;
所述备用MKD,用于利用接收到的MESH链路安全信息生成各MA所连接MESH链路的密钥后,成为主用MKD并负责MESH网络的密钥管理;
其中,所述MA为所述MESH网络中完成密钥分发密钥KDK协商的MESH网络接入点MP。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010116746.0A CN102170637B (zh) | 2010-02-26 | 2010-02-26 | 集中控制式mesh网络中的密钥管理方法、系统和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010116746.0A CN102170637B (zh) | 2010-02-26 | 2010-02-26 | 集中控制式mesh网络中的密钥管理方法、系统和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102170637A CN102170637A (zh) | 2011-08-31 |
CN102170637B true CN102170637B (zh) | 2014-04-02 |
Family
ID=44491578
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010116746.0A Active CN102170637B (zh) | 2010-02-26 | 2010-02-26 | 集中控制式mesh网络中的密钥管理方法、系统和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102170637B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107222857A (zh) * | 2017-05-23 | 2017-09-29 | 成都希德电子信息技术有限公司 | 特种作战用单兵联络系统 |
CN109842506B (zh) * | 2017-11-27 | 2022-08-12 | 财付通支付科技有限公司 | 密钥管理系统容灾处理方法、装置、系统和存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101083606A (zh) * | 2006-05-29 | 2007-12-05 | 中兴通讯股份有限公司 | 移动交换中心仿真的容灾备份方法及其装置 |
CN101394281A (zh) * | 2008-09-27 | 2009-03-25 | 上海交通大学 | 基于无线局域网的无线网状网络接入安全认证方法 |
CN101605302A (zh) * | 2008-06-11 | 2009-12-16 | 普天信息技术研究院有限公司 | Td-scdma系统中mbms业务的容灾备份方法 |
CN101626370A (zh) * | 2008-07-07 | 2010-01-13 | 华为技术有限公司 | 节点间密钥的分配方法、系统及设备 |
CN101635922A (zh) * | 2009-08-20 | 2010-01-27 | 上海交通大学 | 无线网状网络安全通信方法 |
CN101646172A (zh) * | 2009-09-08 | 2010-02-10 | 杭州华三通信技术有限公司 | 一种分布式mesh网络中产生密钥的方法和装置 |
-
2010
- 2010-02-26 CN CN201010116746.0A patent/CN102170637B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101083606A (zh) * | 2006-05-29 | 2007-12-05 | 中兴通讯股份有限公司 | 移动交换中心仿真的容灾备份方法及其装置 |
CN101605302A (zh) * | 2008-06-11 | 2009-12-16 | 普天信息技术研究院有限公司 | Td-scdma系统中mbms业务的容灾备份方法 |
CN101626370A (zh) * | 2008-07-07 | 2010-01-13 | 华为技术有限公司 | 节点间密钥的分配方法、系统及设备 |
CN101394281A (zh) * | 2008-09-27 | 2009-03-25 | 上海交通大学 | 基于无线局域网的无线网状网络接入安全认证方法 |
CN101635922A (zh) * | 2009-08-20 | 2010-01-27 | 上海交通大学 | 无线网状网络安全通信方法 |
CN101646172A (zh) * | 2009-09-08 | 2010-02-10 | 杭州华三通信技术有限公司 | 一种分布式mesh网络中产生密钥的方法和装置 |
Non-Patent Citations (2)
Title |
---|
WLAN Mesh网络安全接入技术研究;朱近丹等;《通信技术》;20091031;第42卷(第10期);第180页第1节至第181页第2.4节 * |
朱近丹等.WLAN Mesh网络安全接入技术研究.《通信技术》.2009,第42卷(第10期),第180页第1节至第181页第2.4节. |
Also Published As
Publication number | Publication date |
---|---|
CN102170637A (zh) | 2011-08-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9356776B2 (en) | Key managing system and method for sensor network security | |
CN104661171B (zh) | 一种用于mtc设备组的小数据安全传输方法和系统 | |
CN103988480A (zh) | 用于认证的系统和方法 | |
CN109982447A (zh) | 一种无线网络组网方法、系统及无线ap | |
CN103647788B (zh) | 一种智能电网中的节点安全认证方法 | |
CN102209319B (zh) | 提高mesh网络中的接入控制器控制效率的方法及接入控制器 | |
CN101282208B (zh) | 安全连接关联主密钥的更新方法和服务器及网络系统 | |
CN103369529A (zh) | 身份认证方法、访问点及访问控制器 | |
CN103888940B (zh) | 多级加密与认证的wia‑pa网络手持设备的通讯方法 | |
CN111355684A (zh) | 一种物联网数据传输方法、装置、系统、电子设备及介质 | |
CN105792095A (zh) | 用于mtc分组通信的密钥协商方法、系统及网络实体 | |
WO2018113402A1 (zh) | 一种加入接入节点组的方法及设备 | |
CN102056163B (zh) | 分布式mesh网络密钥管理方法和无线接入点设备 | |
CN103024599B (zh) | 机顶盒通信方法、装置和系统 | |
CN102170637B (zh) | 集中控制式mesh网络中的密钥管理方法、系统和装置 | |
CN101635922B (zh) | 无线网状网络安全通信方法 | |
CN105592459A (zh) | 基于无线通信的安全认证装置 | |
CN101192929B (zh) | 一种短距无线网络中的接入方法、系统及装置 | |
CN109104385A (zh) | 一种防止macsec安全通道故障的方法和装置 | |
CN105981028B (zh) | 通信网络上的网络元件认证 | |
CN103139201A (zh) | 一种网络策略获取方法及数据中心交换机 | |
CN102811153B (zh) | Vlan状态的协商方法及边缘设备 | |
CN102970277B (zh) | 一种多源安全关联建立方法及系统 | |
CN101646172B (zh) | 一种分布式mesh网络中产生密钥的方法和装置 | |
CN104581715A (zh) | 物联网领域的传感系统密钥保护方法及无线接入设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CP03 | Change of name, title or address |