CN102474522A - 具有密钥分配功能的网络接入节点 - Google Patents
具有密钥分配功能的网络接入节点 Download PDFInfo
- Publication number
- CN102474522A CN102474522A CN2011800023991A CN201180002399A CN102474522A CN 102474522 A CN102474522 A CN 102474522A CN 2011800023991 A CN2011800023991 A CN 2011800023991A CN 201180002399 A CN201180002399 A CN 201180002399A CN 102474522 A CN102474522 A CN 102474522A
- Authority
- CN
- China
- Prior art keywords
- network
- node
- key
- map1
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0016—Hand-off preparation specially adapted for end-to-end data sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
无线结合到网络中的终端设备(STA)的网络接入节点(MAP1),包括:a)存储装置(1),其具有用于网络中的终端设备(STA)的第二接入节点(MAP2,…,MAPn)的至少一个第一密钥和地址代码,b)至少一个数据通信装置(2),用于与第二接入节点进行数据交换,c)一个或多个处理器(3),其与存储装置(1)和数据通信装置(2)处于连接中,所述处理器(3)具有用于以下情况的功能:d)从第一密钥中导出第二密钥,其中第二密钥用于保护在终端设备(STA)和第二接入节点之间的连接,e)在使用从第一密钥中导出的密钥的情况下安全地联合终端设备,f)响应于功能d)的实施,通过数据通信装置经由安全的连接和利用通过地址代码的寻址来发送用于保护在终端设备(STA)和第二接入节点之间的连接的第二密钥,其特征在于,第二密钥还包括用于步骤e)的密钥。
Description
技术领域
本发明涉及一种用于无线结合到网络中的终端设备的网络接入节点、一种包括这些网络接入节点中的至少一个的网络、一种用于在该网络中准备转换(Handover)过程的方法、一种用于配置该网络的构成的方法、以及一种具有与本发明方法相对应的指令的计算机程序。
本发明可以在因特网协议承载语音(Voice-over-IP)应用和视频点播(Video-on-Demand)应用中、尤其是在局部网络、尤其是WLAN中使用。本发明可以专门在网状网络中使用。
背景技术
无线网络在家用领域和办公领域中越来越多地得到推广。这种网络的基本标准是IEEE 802.11标准。网状网络是具有灵活布局的无线网络。网状网络的有联网能力的节点具有用于识别布局变化或用于建立备用路由的特征。
对于因特网来说,诸如因特网协议承载语音(VoIP)和视频点播(VoD)的实时应用是已知的。实时通信的终点通常是所谓的“站点”或“客户端”,即没有联网能力的终端设备。
为了结合到网状网络中,这些终端设备必须与网状网络的接入节点相联合。响应于网状网络的布局变化或终端设备经由网状网络接入节点的多个无线电小区的移动,在此设置转换过程,在这些转换过程中,与接入节点联合的终端设备重新与网状网络的另一接入节点相联合。
转换过程的速度特别是对于实时应用来说在采用无线连接的情况下对于这种实时应用的质量和可实施性是决定性的。因此,为了使没有联网能力的终端设备实现实时能力,应该从一个接入节点向另一个接入节点尽可能无延迟地和无分组损失地运行转换过程。
802.11网络利用通常经由有线连接来彼此通信的静止接入节点工作。
在网状网络中,用于接入节点之间的密钥分配的通信由于无线传输而比在有线通信的情况下更不可靠,并且由于多跳通信而具有提高的延迟。这导致了网状网络中的较缓慢的转换过程。由于网状节点以及终端设备或站点的移动性,转换过程在网状网络中此外更加经常地发生。网状节点以及终端设备的移动性可导致转换过程的数量提高。在网状网络中,接入节点经由无线媒体运行易有故障的通信,该通信附加地大多经由多次无线跳跃来执行。由必须与终端设备重新联合的接入节点来请求PMK-R1密钥因此需要时间,并且转换经受延迟。
IEEE 802.11F标准展示了802.11网络中的转换机制,并且记载在“IEEE Trial-Use Recommended Practice for Multi-Vendor Access Point Interoperability via an Inter-Access Point Protocol Across Distribution Systems Supporting IEEE 802.11 Operation, 2003”中。该IEEE 802.11F标准不含有用于优化转换过程的机制。
802.21标准涉及在不同网络之间转换过程的通信和执行,并且记载在“Standard for Media Independent Handover Services, IEEE Computer Society/Local and Metropolitan Area Networks, Draft 802.21-Standard, 2004”中。
Bruce McMurdo著的“Cisco Fast Secure Roaming,2004”展示了在发起转换之后的鉴权的加速。
为了加速转换过程,在Catherine Rosenberg,Edwin K.F.Chong,Hosame Abu-Amara,Jeongjoon Lee著的“Efficient Roaming over Heterogeneous Wireless Networks, Proceedings of WNCG Wireless Networking Symposium,2003”中展示了多接口的使用。为此已经用新的接入节点执行了鉴权,而站点经由第二接口还与旧的接入节点连接。
用于无线802.11网络中的快速转换过程的标准化在“Draft Amendment to Standard for Information Technology-Telecommunications and Information Exchange between Systems-LAN/MAN Specific Requirements-Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications: Amendment 2: Fast BSS Transition, D2.0, 2006年3月”中展示。
为了优化转换过程,根据无线802.11网络中的IEEE 802.11r标准,使用专门的密钥等级。密钥分配的该标准化的变型是这样的,即在可以传送用于转换过程的PMK-R1密钥之前,必须首先在移动域控制器(Mobility Domain Controller,MDC)处请求与PMK-R0密钥保持器(Keyholder)的安全关系。这延迟了转换过程。
在图2中示意性地说明根据IEEE 802.11r标准的转换过程中的通信。
每一个接入节点在其在移动域内的初始登记之后计算出PMK-R0密钥。该PMK-R0密钥借助移动域控制器MDC建立与PMK-R0密钥保持器的安全关系。该PMK-R0密钥保持器在成功鉴权之后从所协定的主密钥中导出,并且存储在接入节点MAP1上,新的接入节点MAP2首次在该接入节点MAP1处登记。该接入节点MAP1也称为PMK-R0密钥保持器。随后从PMK-R0密钥中导出所谓的PMK-R1密钥,该PMK-R1密钥形成了用于保护与接入节点MAP2的通信的基础。
新的有联网能力的接入节点MAP2从终端设备STA获得鉴权请求,由此发起了转换过程。如果终端设备STA在步骤S1中发起转换过程,则新的接入节点MAP2在步骤S0中借助移动域控制器MDC建立与接入节点MAP1的安全关系,该接入节点MAP1是PMK-R0密钥保持器。在接入节点MAP2处,该接入节点MAP2在步骤S2中请求“自己的” PMK-R1密钥,该PMK-R1密钥用来作为保护在终端设备STA和新的接入节点MAP2之间的新通信关系的基础。接入节点MAP1为此在步骤S3中从PMK-R0密钥中导出PMK-R1密钥,并且在步骤S4中向新的接入节点MAP2发送该PMK-R1密钥。新的接入节点MAP2于是在步骤S5中向终端设备发送鉴权应答,终端设备随即在步骤S6中与新的接入节点MAP2相联合,由此可以在不必对终端设备重新鉴权的情况下成功地终止转换过程。
发明内容
本发明的任务是,为无线结合到网络中的终端设备改进在第一和第二接入节点或新的接入节点之间的转换过程的速度和/或质量。
本发明为此涉及用于无线结合到网络中的终端设备的网络接入节点,包括:
a)存储装置,其具有用于网络中的终端设备的第二接入节点的至少一个第一密钥和地址代码,
b)至少一个数据通信装置,用于与第二接入节点进行数据交换,
c)一个或多个处理器,其与存储装置和数据通信装置处于连接中,所述处理器具有用于以下情况的功能:
d)从第一密钥中导出第二密钥,其中第二密钥用于保护在终端设备和第二接入节点之间的连接,
e)在使用从第一密钥中导出的密钥的情况下安全地联合终端设备,
f)响应于功能d)的实施,通过数据通信装置利用通过地址代码的寻址经由安全的连接来发送用于保护在终端设备和第二接入节点之间的连接的第二密钥。
根据本发明,第二密钥还包括采用于步骤e)的密钥。
在此,第一密钥优选是PMK-R0密钥,并且第二密钥是PMK-R1密钥。
本发明因此实现了,将例如PMK-R1密钥的第二密钥向网络接入节点的邻近节点或与网络接入节点具有共同的移动域的所有接入节点分配。因此在转换的情况下,没有由于请求所需要的密钥而产生附加的延迟。
所述网络接入节点有利地是网状网络的节点。
第二密钥可以对终端设备的专有特征、尤其是MAC地址进行编码。
第一和第二密钥尤其是成对对称的密钥,例如PMK-R0密钥和PMK-R1密钥。
地址代码尤其是与网络接入节点具有共同的移动域的所有接入节点的地址代码。
地址代码也可以是第二接入节点的地址代码,这些第二接入节点的无线电小区与用于网络一部分的网络接入节点的无线电小区形成群。因此可以有针对性地向网络接入节点的近邻分配第二密钥。
在向网络接入节点的邻近接入节点分配PMK-R1密钥时,有利地引起相对小的带宽需求。要导出的和要分配的第二密钥的数量因此对于网络接入节点来说是相对小的。
例如可以借助EAPOL密钥帧来实现PMK-R1密钥的发送。用于交换密钥的具体的帧格式不是IEEE 802.11r标准的部分。
在向与网络接入节点具有共同的移动域的所有接入节点分配PMK-R1密钥时,在网状网络中在采用反应的或混合的路由选择协议时,有利地对于PMK-R1密钥的分配没有触发不可忽略的路由选择首部,并且少引起用于生成移动域的所有接入节点的密钥的计算成本。
在移动域中的终端设备是激活的期间,本发明的网络接入节点必要时附加地将所导出的第二密钥的一部分重新分配给添加到移动域中的接入节点并且在其存储装置中更新地址代码。为此在网络中可以使用与该过程相匹配的、在鉴权服务器和网络接入节点之间的通信。
本发明的网状网络包括至少一个本发明的网络接入节点和多个、尤其是多于3个、尤其是多于4个、尤其是多于9个第二接入节点,必要时包括没有终端设备的网络接入功能的转发节点。
在此,根据本发明通过在网络接入节点和第二接入节点之间的安全连接必要时经由转发节点来建立所述网络,并且通向至少一个优选移动域控制器和至少一个优选鉴权服务器。
在具有本发明网络接入节点的本发明网状网络中,尤其是这样定义群,即在所述网络接入节点和每一个第二接入节点之间利用群中的无线电小区建立经由最多三个、尤其是最多两个、尤其是最多一个接入节点的连接。
第二接入节点中的至少一部分、尤其是所有第二接入节点可以是根据本发明的网络接入节点。
为了发送第二密钥中的至少若干个,所述网络优选具有用于如下情况的功能:
g)通过更新网络接入节点中的地址代码来重新定义群,以响应于终端设备与网络接入节点的联合的实施。
作为PMK-R0密钥保持器的本发明网络接入节点于是可以配备用于借助要定义的度量(Metrik)来确定与其邻近的接入节点并向这些接入节点发送其PMK-R1密钥的功能,所述功能专门在每次转换过程之后实施,从而在另外的转换情况下,新的接入节点的近邻也具有PMK-R1密钥并因此可以使延迟最小化。于是这种近邻度量的示例是这样的,即在网络中与参与转换过程的网络接入节点相距不多于一跳的所有接入节点被定义为近邻。跳跃数量的另外有意义的最大值例如是二或三。
在本发明网络中,转发节点、即没有接入节点功能性的网状节点、也称为转发器(Forwarder)可以转发数据,以便改进网络中的、尤其是网状网络中的连接性。跳跃数量的最大值可以与跳跃数量的提高相匹配,该提高在网络中由于接入节点之间的转发节点的存在而引起。
跳跃数量的最大值可以与一种状况相匹配,在该状况下,终端设备可以与两个网络接入节点通信,但是这些网络接入节点互相之间不直接进行无线通信,即客户端位于两个接入节点之间的中心并且见到两者,但是接入节点互相看不见。
通过实施本发明网络接入节点和/或网络的上述功能得出了本发明的方法。特别地,本发明的方法在方法权利要求中定义。
本发明网络在具有安全关系的网络的接入节点之间具有连接。在一种实施方式中,本发明网络中的至少一个网络接入节点也可以构成为具有鉴权服务器和/或移动域控制器的功能的节点,以便首先在较小的网状网络中节省例如鉴权服务器那样的硬件资源,并替代于此地设置优秀的节点。
由本发明实现的密钥分配策略与802.11网络相比是与网状网络的特别特性相匹配的,其中在请求对于转换过程所需要的PMK-R1密钥时减少了延迟。因此可以加速网状网络中的转换过程,并更好地支持诸如因特网协议承载语音的实时应用。可以与网络中的情形有关地来优化密钥分配和密钥管理。
附图说明
以下参照附图来说明本发明的方案和示例性实施方式,其中:
图1示意地说明网络接入节点;
图2示意性地说明根据IEEE 802.11r标准的转换过程中的通信;
图3示意性地说明根据本发明的通信;
图4说明与终端设备连接的本发明的网络。
具体实施方式
在本发明在图1中所示的网络接入节点中,处理器3经由总线4与存储装置1和数据通信装置2连接。该存储装置存储了PMK-R0密钥和具有网络接入节点的网络的第二接入节点MAP2,…,MAPn的地址代码。
图4示出与终端设备STA连接的本发明的网状网络。该网络具有五个有联网能力的接入节点MAP1,MAP2,MAP3,MAP4,MAP5和三个转发节点MP1,MP2,MP3、一个鉴权服务器AS和一个移动域控制器MDC。作为终端设备STA的没有联网能力的移动站点与该网络处于连接中。
图3说明了图4中所示的网络中的通信。
所有有联网能力的接入节点MAP1,MAP2,MAP3,MAP4,MAP5已经在鉴权服务器AS处得到鉴权,并且因此是所示网状网络的激活的组成部分。站点STA初始通过接入节点MAP1进行鉴权,其中该接入节点MAP1向鉴权服务器AS转发鉴权信息。鉴权服务器AS执行接入权的检验,并在成功鉴权的情况下生成主密钥。鉴权服务器AS随后将该主密钥传送给初始的接入节点MAP1,该接入节点MAP1从中导出PMK-R0密钥。在其作为PMK-R0密钥保持器的功能中,该初始的接入节点MAP1将PMK-R0密钥本地存储在其存储装置1中。网络接入节点MAP1直接在STA的鉴权之后导出用于接入节点MAP3,MAP2, MAP4和MAP5的四个另外的PMK-R1密钥。在初始的网络接入节点MAP1和现在与网状网络相联合的站点STA之间,PMK-R1密钥形成了用于保护通信关系的基础。在借助移动域控制器MDC建立了与所有这些接入节点的安全关系之后,由MAP1向相应的接入节点MAP3,MAP2, MAP4和MAP5传送PMK-R1密钥。如果该站点在稍后的时刻发起例如通向新的接入节点MAP4的转换过程,则该接入节点MAP4已经具有合适的PMK-R1密钥。该新的接入节点MAP4因此可以在没有与移动域控制器MDC和作为PMK-R0密钥保持器的网络接入节点的进一步通信的情况下来执行转换过程。
在图4中所说明的网络中,相应地设置了在图3中所说明的方法,该方法具有以下步骤:
S10 在初始的网络接入节点MAP1和所有另外的接入节点MAP2,MAP3,MAP4,MAP5之间建立安全关系,这些接入节点的地址代码由移动域控制器MDC接收并且存储在初始的网络接入节点MAP1的存储装置1中,其中在鉴权服务器AS处对接入节点MAP1,MAP2,MAP3,MAP4,MAP5进行鉴权,
S11 通过实施以下的步骤,在初始的网络接入节点MAP1处发起终端设备STA的鉴权:
- 经由初始的网络接入节点MAP1向鉴权服务器AS发送终端设备的鉴权信息,
- 由鉴权服务器AS验证鉴权信息,并随即生成主密钥,
- 向初始的网络接入节点MAP1发送主密钥,
- 由初始的网络接入节点(MAP1)从主密钥中导出PMK-R0密钥,并将第一密钥存储在初始网络接入节点的存储装置1中,
在从用于终端设备STA的PMK-R0密钥中导出PMK-R1密钥并因此安全地联合终端设备之后,进行以下的步骤:
S12 由初始的网络接入节点MAP10导出另外的PMK-R1密钥,和
S13 向至少接入节点MAP2,MAP3,MAP4,MAP5发送所述另外的PMK-R1密钥。
替代地,初始的网络接入节点在初始鉴权之后不向移动域的所有其他的激活的接入节点、而是仅向例如距其最多n跳的邻近的接入节点传送站点STA的PMK-R1密钥,其中n是1至3,优选是2。初始的接入节点MAP1于是直接在站点STA的初始鉴权之后计算出例如用于邻近接入节点MAP3和MAP4的PMK-R1密钥并且将它们传送给接入节点MAP3和MAP4。在该分配策略中,也可以在没有与MDC和PMK-R0密钥保持器的进一步通信的情况下来执行站点的稍后的转换过程。但是,紧接在成功的转换过程之后,必须通知作为PMK-R0密钥保持器的接入节点MAP1,以便该接入节点MAP1可以导出另外的PMK-R1密钥并向另外的邻近该新的接入节点MAP4的接入节点分配。在上面的示例中,这是接入节点MAP2和MAP5。
附图标记列表
1 存储装置
2 数据通信装置
3 处理器
4 总线
AS 鉴权服务器
STA 终端设备
MAP1 初始的网络接入节点
MAP2,…MAPn 第二接入节点
MP1,MP2,MP3 转发节点
MDC 移动域控制器
Claims (15)
1.一种用于无线结合到网络中的终端设备(STA)的网络接入节点(MAP1),包括:
a)存储装置(1),其具有用于网络中的终端设备(STA)的第二接入节点(MAP2,…,MAPn)的至少一个第一密钥和地址代码,
b)至少一个数据通信装置(2),用于与第二接入节点进行数据交换,
c)一个或多个处理器(3),其与存储装置(1)和数据通信装置(2)处于连接中,所述处理器(3)具有用于以下情况的功能:
d)从第一密钥中导出第二密钥,其中第二密钥用于保护在终端设备(STA)和第二接入节点之间的连接,
e)在使用从第一密钥中导出的密钥的情况下安全地联合终端设备,
f)响应于功能d)的实施,通过数据通信装置经由安全的连接和利用通过地址代码的寻址来发送用于保护在终端设备(STA)和第二接入节点之间的连接的第二密钥,
其特征在于,第二密钥还包括用于步骤e)的密钥。
2.按照权利要求1的网络接入节点(MAP1),其特征在于,所述网络接入节点是网状网络的节点。
3.按照权利要求1的网络接入节点(MAP1),其特征在于,所述第二密钥对终端设备(STA)的专有特征、尤其是MAC地址进行编码。
4.按照前述权利要求之一的网络接入节点(MAP1),其特征在于,所述第一和第二密钥是成对对称的密钥。
5.按照权利要求2至4之一的网络接入节点(MAP1),其特征在于,所述地址代码是网络中所有接入节点的地址代码,这些接入节点与所述网络接入节点(MAP1)具有共同的移动域。
6.按照权利要求2至4之一的网络接入节点(MAP1),其特征在于,所述地址代码是在第二接入节点中的接入节点的地址代码,这些第二接入节点的无线电小区与用于网络一部分的所述网络接入节点(MAP1)的无线电小区形成群。
7.一种网络,包括
至少一个按照前述权利要求之一的网络接入节点(MAP1),和
多个、尤其是多于3个、尤其是多于4个、尤其是多于9个第二接入节点,
必要时的转发节点(MP1,MP2,MP3),
其中所述网络通过在网络接入节点和第二接入节点之间的安全连接必要时经由转发节点(MP1,MP2,MP3)来建立,并且具有通向至少一个优选移动域控制器(MDC)和至少一个优选鉴权服务器(AS)的安全连接。
8.按照权利要求7的网络,其中所述网络接入节点(MAP1)是按照权利要求6的网络接入节点,并且所述群被这样定义,即在所述网络接入节点(MAP1)和每一个第二接入节点(MAP2,…,MAPn)之间利用群中的无线电小区建立经由最多三个、尤其是最多两个、尤其是最多一个接入节点的连接。
9.按照权利要求7或8的网络,其特征在于,至少一部分、尤其是所有第二接入节点(MAP2,…,MAPn)是按照权利要求1至6之一的网络接入节点。
10.按照权利要求9的网络,包括用于以下情况的功能,
g)响应于功能e)的实施,在按照权利要求6的网络接入节点(MAP1)中通过更新所述网络接入节点中的地址代码来重新定义群。
11.一种用于准备在按照权利要求7至10之一的网络中的转移过程的方法,所述网络具有按照权利要求2至6之一的初始网络接入节点(MAP1),
其中其地址代码存储在初始网络节点(MAP1)的存储装置(1)中的所有第二接入节点在鉴权服务器处被鉴权,并且在初始网络节点处通过实施以下步骤来发起终端设备(STA)的鉴权:
- 经由初始网络节点(MAP1)向鉴权服务器(AS)发送终端设备的鉴权信息,
- 由鉴权服务器(AS)验证鉴权信息,并随即生成根密钥,
- 向初始网络节点(MAP1)发送根密钥,
- 由初始网络节点(MAP1)从根密钥中导出第一密钥并且将第一密钥存储在初始网络节点的存储装置(1)中,
其中利用初始网络节点(MAP1)实施以下的步骤:
d’)从第一密钥中导出第二密钥,和
e) 通过使用第二密钥安全地联合终端设备,
以及响应于步骤d’)的实施,实施以下特征性的步骤:
d)由第一网络节点导出另外的第二密钥,
f)向网络的至少一部分、尤其是所有第二接入节点发送所述另外的第二密钥。
12.按照权利要求11的方法,其中初始网络节点(MAP1)是按照权利要求5的网络节点,并且步骤f)中的另外的第二密钥被分别发送给网络的与初始网络节点具有由移动域控制器(MDC)定义的共同移动域的所有接入节点。
13.按照权利要求11的方法,其中初始网络节点(MAP1)是按照权利要求6的网络节点,并且步骤f)中的另外的第二密钥被分别发送给其无线电小区形成群的所有第二接入节点(MAP2,…,MAPn)。
14.一种用于配置按照权利要求10的网络的方法,包括按照权利要求13的方法的实施并且其特征在于功能g)的实施。
15.一种计算机程序,其特征在于与按照权利要求11至14之一的方法相对应的指令。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102010018285A DE102010018285A1 (de) | 2010-04-26 | 2010-04-26 | Netzwerkzugangsknoten mit Schlüsselverteilerfunktion |
DE102010018285.0 | 2010-04-26 | ||
PCT/EP2011/001932 WO2011134608A1 (de) | 2010-04-26 | 2011-04-15 | Verfahren und vorrichtungen mit schlüsselverteilerfunktion zur verbesserung von geschwindigkeit und qualität eines handovers |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102474522A true CN102474522A (zh) | 2012-05-23 |
Family
ID=44263215
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011800023991A Pending CN102474522A (zh) | 2010-04-26 | 2011-04-15 | 具有密钥分配功能的网络接入节点 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20120284773A1 (zh) |
EP (1) | EP2564570A1 (zh) |
CN (1) | CN102474522A (zh) |
DE (1) | DE102010018285A1 (zh) |
WO (1) | WO2011134608A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105706474B (zh) * | 2013-10-30 | 2019-12-13 | 日本电气株式会社 | 基于邻近的服务中的安全直接通信所用的设备、系统和方法 |
US10448246B2 (en) * | 2014-04-29 | 2019-10-15 | Hewlett Packard Enterprise Development Lp | Network re-convergence point |
US11310724B2 (en) * | 2016-03-31 | 2022-04-19 | Arris Enterprises Llc | Key management for fast transitions |
US10165608B2 (en) * | 2016-06-02 | 2018-12-25 | Cisco Technology, Inc. | System and method to provide fast mobility in a residential Wi-Fi network environment |
US12088627B2 (en) * | 2021-09-08 | 2024-09-10 | International Business Machines Corporation | Security and task performance validation for a cooperative device network |
US12088469B2 (en) * | 2022-05-26 | 2024-09-10 | Red Hat, Inc. | Domain specific language for protected mesh communication |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070121947A1 (en) * | 2005-11-30 | 2007-05-31 | Kapil Sood | Methods and apparatus for providing a key management system for wireless communication networks |
US20080070577A1 (en) * | 2006-08-24 | 2008-03-20 | Qualcomm Incorporated | Systems and methods for key management for wireless communications systems |
US20080316988A1 (en) * | 2003-01-14 | 2008-12-25 | Samsung Electronics Co., Ltd. | Method for fast roaming in a wireless network |
US20090116647A1 (en) * | 2007-11-06 | 2009-05-07 | Motorola, Inc. | Method for providing fast secure handoff in a wireless mesh network |
CN101534238A (zh) * | 2008-03-14 | 2009-09-16 | 华为技术有限公司 | 无线Mesh网络中通知代理更新的方法、节点和系统 |
WO2009154277A1 (ja) * | 2008-06-20 | 2009-12-23 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法及び移動局 |
US8474023B2 (en) * | 2008-05-30 | 2013-06-25 | Juniper Networks, Inc. | Proactive credential caching |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7499547B2 (en) * | 2006-09-07 | 2009-03-03 | Motorola, Inc. | Security authentication and key management within an infrastructure based wireless multi-hop network |
FR2911036A1 (fr) * | 2006-12-29 | 2008-07-04 | France Telecom | Procede d'itinerance dans un reseau sans fil. |
US7961684B2 (en) * | 2007-07-13 | 2011-06-14 | Intel Corporation | Fast transitioning resource negotiation |
-
2010
- 2010-04-26 DE DE102010018285A patent/DE102010018285A1/de not_active Withdrawn
-
2011
- 2011-04-15 CN CN2011800023991A patent/CN102474522A/zh active Pending
- 2011-04-15 WO PCT/EP2011/001932 patent/WO2011134608A1/de active Application Filing
- 2011-04-15 US US13/318,949 patent/US20120284773A1/en not_active Abandoned
- 2011-04-15 EP EP11715180A patent/EP2564570A1/de not_active Withdrawn
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080316988A1 (en) * | 2003-01-14 | 2008-12-25 | Samsung Electronics Co., Ltd. | Method for fast roaming in a wireless network |
US20070121947A1 (en) * | 2005-11-30 | 2007-05-31 | Kapil Sood | Methods and apparatus for providing a key management system for wireless communication networks |
US20080070577A1 (en) * | 2006-08-24 | 2008-03-20 | Qualcomm Incorporated | Systems and methods for key management for wireless communications systems |
US20090116647A1 (en) * | 2007-11-06 | 2009-05-07 | Motorola, Inc. | Method for providing fast secure handoff in a wireless mesh network |
CN101534238A (zh) * | 2008-03-14 | 2009-09-16 | 华为技术有限公司 | 无线Mesh网络中通知代理更新的方法、节点和系统 |
US8474023B2 (en) * | 2008-05-30 | 2013-06-25 | Juniper Networks, Inc. | Proactive credential caching |
WO2009154277A1 (ja) * | 2008-06-20 | 2009-12-23 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法及び移動局 |
Also Published As
Publication number | Publication date |
---|---|
WO2011134608A9 (de) | 2012-04-19 |
US20120284773A1 (en) | 2012-11-08 |
DE102010018285A1 (de) | 2011-10-27 |
WO2011134608A1 (de) | 2011-11-03 |
EP2564570A1 (de) | 2013-03-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100628566B1 (ko) | 무선랜에서 보안 정보 형성 방법 | |
CN101366292B (zh) | 工作在多协议无线网络环境中的移动站及其方法 | |
CN101366291B (zh) | 多跳无线网络中的无线路由器协助的安全切换(wrash) | |
JP6120865B2 (ja) | 無線通信システムにおける端末との通信認証のためのセキュリティキーを管理する方法及び装置 | |
JP5040087B2 (ja) | 無線通信ネットワークのセキュリティ設定方法、セキュリティ設定プログラム及び無線通信ネットワークシステム | |
US20060133613A1 (en) | Authentication method of ad hoc network and wireless communication terminal thereof | |
KR100991522B1 (ko) | 휴대인터넷 시스템의 핸드오버용 보안 콘텍스트 전달 방법 | |
CN101785343B (zh) | 用于快速转换资源协商的方法、系统和装置 | |
US20130208693A1 (en) | Dynamic connection of a mobile terminal to a local network | |
KR101002799B1 (ko) | 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치 | |
CN100499673C (zh) | 虚拟终端临时媒体访问控制地址动态变更的方法 | |
CN102474522A (zh) | 具有密钥分配功能的网络接入节点 | |
CN102461062A (zh) | 主动验证 | |
US9686722B2 (en) | Method and device for accounting in WiFi roaming based on AC and AP interworking | |
CN102137395A (zh) | 配置接入设备的方法、装置及系统 | |
JP2008514128A (ja) | ネットワークシステムにおける高速移行を容易にする装置およびそれに関連した方法 | |
CN101232378A (zh) | 一种无线多跳网络的认证接入方法 | |
CN1989756A (zh) | 用于pana的独立于媒体的预认证支持的框架 | |
EP3046351A1 (en) | Method and device for realizing terminal wifi talkback | |
CN101237699B (zh) | 无线网络节点与接入服务器之间建立多隧道的控制方法 | |
US9609541B2 (en) | Method and apparatus for device collaboration via a hybrid network | |
US10270747B2 (en) | Methods and devices having a key distributor function for improving the speed and quality of a handover | |
CN1964576A (zh) | 一种无线接入方法及接入控制器 | |
CN103442450B (zh) | 无线通信方法和无线通信设备 | |
CN102244857B (zh) | 无线局域网漫游用户的控制方法及其装置和网络系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120523 |