CN103490887A - 一种网络设备及其认证和密钥管理方法 - Google Patents
一种网络设备及其认证和密钥管理方法 Download PDFInfo
- Publication number
- CN103490887A CN103490887A CN201210195842.8A CN201210195842A CN103490887A CN 103490887 A CN103490887 A CN 103490887A CN 201210195842 A CN201210195842 A CN 201210195842A CN 103490887 A CN103490887 A CN 103490887A
- Authority
- CN
- China
- Prior art keywords
- mac
- phy layer
- network equipment
- equipment
- bsk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种网络设备及其认证和密钥管理方法,方法包括:网络设备生成网络密钥(NK);网络设备与通信对端设备进行认证协议交互,并根据认证协议交互的参数、以及所述NK,计算得到基础会话密钥(BSK);网络设备根据所述BSK计算得到各种接入技术的媒体接入控制(MAC)和物理(PHY)层所使用的链路加密密钥(EK),并将各EK分别提供给对应的MAC和PHY层功能模块。通过本发明,实现了对异构的网络设备执行一次认证过程验证该设备的合法性,并对各种不同的MAC层技术实现了统一的密钥管理。
Description
技术领域
本发明涉及异构网络融合技术,尤其涉及一种网络设备及其认证和密钥管理方法。
背景技术
目前家庭网络可以通过多种网络技术接入,例如:以太网IEEE 802.3、电力线通信(PLC,Power Line Communication)、同轴电缆(MoCA,Multimediaover Coax Alliance)和无线局域网(WiFi,Wireless Fidelity)技术等等,每种接入技术都对应网络系统模型的物理(PHY)层和媒体接入控制(MAC,MediaAccess Control)层。这些异构网络技术的融合是实现家庭网络信息共享和无缝连接的基础。
如图1所示,图1是现有技术中异构网络融合的结构示意图。图中的设备1和设备2是具有三种MAC层和PHY层接入技术的家庭网络设备。由于各种网络接入技术使用的通信介质、媒体控制接入方式和传输帧的格式等都不相同,因此对应的网络系统的PHY层和MAC层使用的技术也不一样。从而,当多种网络接入技术在一个设备上实现时,需要一个融合控制模块实现各种MAC层和PHY层技术的协调和调度,以实现无缝的技术融合。每个设备对应一个融合控制模块,每个融合控制模块可以协调和管理至少两种的MAC层和PHY层功能模块。
目前,家庭组网最常用的安全配置是通过用户在网络设备上输入口令密码的方式来实现的,虽然PLC、MoCA和WiFi等MAC层技术里都有支持用户输入口令密码的安全配置方式,但是各种MAC层技术的认证和密钥管理流程对用户输入的口令密码的处理过程是不相同的,这就导致了各种安全管理处理流程互不相通。例如,在图1中的设备1和设备2上同时配置了相同的用户口令密码,如果两个设备仅通过PLC链路连接,那么他们将用户口令密码按照PLC的认证和密钥协商过程进行处理并计算出PLC的链路加密密钥;如果设备1和设备2通过了三种MAC层技术连接,那么这两个设备需要使用用户口令密码分别按照三种MAC层指定的认证和密钥协商过程进行处理,分别得到三种链路的链路加密密钥。也就是说,现有技术中的安全认证和密钥管理过程是对一个网络设备上的各种MAC层接口执行的,而不是对设备本身执行的;由于各种MAC层的认证和密钥管理方法都不相同,因此当网络设备之间通过多种MAC层技术连接时,需要分别按照各MAC层指定的认证和密钥协商过程进行处理,这无疑会造成执行认证过程的计算资源浪费。
发明内容
有鉴于此,本发明的主要目的在于提供一种网络设备及其认证和密钥管理方法,以解决现有技术中各种MAC层的认证和密钥管理方法不相同,造成执行认证过程的计算资源浪费的问题。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供了一种网络设备的认证和密钥管理方法,该方法包括:
网络设备生成网络密钥NK;
所述网络设备与通信对端设备进行认证协议交互,并根据认证协议交互的参数、以及所述NK,计算得到基础会话密钥BSK;
所述网络设备根据所述BSK计算得到各种接入技术的媒体接入控制MAC和物理PHY层所使用的链路加密密钥EK,并将各EK分别提供给对应的MAC和PHY层功能模块。
较佳的,所述网络设备根据获取的口令密钥生成NK、或者所述网络设备通过在无线局域网WiFi中使用安全对码按钮的方式生成NK。
较佳的,在将各EK分别提供给对应的MAC和PHY层功能模块之后,该方法还包括:
所述MAC和PHY层功能模块根据获取的EK,对所述网络设备与通信对端设备通信的数据进行加解密保护。
较佳的,在网络设备根据获取的口令密码生成NK之前,该方法还包括:
所述网络设备和通信对端设备交互设备能力信息,并在确认双方都支持特定的认证和密钥管理功能时,才执行后续的处理操作。
较佳的,所述网络设备根据BSK计算得到各种接入技术的MAC和PHY层所使用的EK,并将各EK分别提供给对应的MAC和PHY层功能模块,包括:
将所述BSK输入到哈希函数实现的密钥推导算法进行计算,并按照各种接入技术的MAC和PHY层所需使用的EK长度,输出对应长度的EK给对应的MAC和PHY层功能模块。
较佳的,所述各种接入技术的MAC和PHY层包括:
电力线通信PLC的MAC和PHY层;
同轴电缆MoCA的MAC和PHY层;
无线局域网WiFi的MAC和PHY层。
较佳的,所述认证协议交互的参数包括:所述网络设备的融合控制模块标识、所述网络设备选取的随机数、所述通信对端设备的融合控制模块标识、所述通信对端设备选取的随机数;
所述网络设备的融合控制模块标识为,所述网络设备的融合控制模块的MAC地址、或唯一标识所述网络设备身份的MAC地址;
所述通信对端设备的融合控制模块标识为,所述通信对端设备的融合控制模块的MAC地址、或唯一标识所述通信对端设备身份的MAC地址。
较佳的,所述BSK包括:单播的BSK、和/或组播的BSK;
相应的,该方法进一步包括:
网络设备根据单播的BSK计算得到单播的EK,根据组播的BSK计算得到组播的EK;
网络设备的MAC和PHY层功能模块根据单播的EK,对单播的数据进行加解密保护;根据组播的EK,对组播的数据进行加解密保护。
本发明还提供了一种网络设备,包括:融合控制模块和各种接入技术的媒体接入控制MAC和物理PHY层功能模块;其中,
所述融合控制模块,用于生成网络密钥NK;还用于执行所述网络设备与通信对端设备之间的认证协议交互,并根据认证协议交互的参数、以及所述NK,计算得到基础会话密钥BSK,根据所述BSK计算得到各种接入技术的MAC和PHY层所使用的链路加密密钥EK,并将各EK分别提供给对应的MAC和PHY层功能模块;
所述MAC和PHY层功能模块,用于接收所述融合控制模块提供的对应EK。
较佳的,所述融合控制模块根据获取的口令密钥生成NK、或者通过在无线局域网WiFi中使用安全对码按钮的方式生成NK。
较佳的,所述MAC和PHY层功能模块还用于,根据获取的EK,对所述网络设备与通信对端设备通信的数据进行加解密保护。
较佳的,所述融合控制模块还用于,在根据获取的口令密码生成NK之前,与所述通信对端设备交互设备能力信息,并在确认网络设备和通信对端设备都支持特定的认证和密钥管理功能时,才执行后续的处理操作。
较佳的,所述融合控制模块进一步用于,将所述BSK输入到哈希函数实现的密钥推导算法密钥导出函数进行计算,并按照各种接入技术的MAC和PHY层所需使用的EK长度,输出对应长度的EK给对应的MAC和PHY层功能模块。
较佳的,所述各种接入技术的MAC和PHY层包括:
电力线通信PLC的MAC和PHY层;
同轴电缆MoCA的MAC和PHY层;
无线局域网WiFi的MAC和PHY层。
较佳的,所述认证协议交互的参数包括:所述网络设备的融合控制模块标识、所述网络设备选取的随机数、所述通信对端设备的融合控制模块标识、所述通信对端设备选取的随机数;
所述网络设备的融合控制模块标识为,所述网络设备的融合控制模块的MAC地址、或唯一标识所述网络设备身份的MAC地址;
所述通信对端设备的融合控制模块标识为,所述通信对端设备的融合控制模块的MAC地址、或唯一标识所述通信对端设备身份的MAC地址。
较佳的,所述BSK包括:单播的BSK、和/或组播的BSK;
相应的,所述融合控制模块进一步用于,根据单播的BSK计算得到单播的EK,根据组播的BSK计算得到组播的EK;
所述MAC和PHY层功能模块进一步用于,根据单播的EK,对单播的数据进行加解密保护;根据组播的EK,对组播的数据进行加解密保护。
本发明所提供的一种网络设备及其认证和密钥管理方法,网络设备仅需要融合控制模块执行一次统一的认证协议流程,不需要网络设备上的多个MAC和PHY层功能模块分别使用用户输入的口令密码执行各种MAC和PHY层的认证协议流程,就可以实现网络对设备、设备对设备之间的合法性认证,从而节省了认证过程的计算资源。另外,本发明对各种不同的MAC和PHY层技术实现统一的密钥管理,能够保持各种MAC和PHY层功能模块使用的数据加解密方式不做改变,因此设备实现该功能的升级代价不会太大。
附图说明
图1为现有技术中异构网络融合的结构示意图;
图2为本发明实施例一的一种网络设备的认证和密钥管理方法的流程图;
图3为本发明实施例二的一种网络设备的认证和密钥管理方法的流程图;
图4为本发明实施例三的一种网络设备的认证和密钥管理方法的流程图;
图5为本发明实施例中设备能力信息交互的流程图;
图6为本发明实施例中认证协议交互的流程图。
具体实施方式
下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。
本发明实施例一提供的一种网络设备的认证和密钥管理方法,如图2所示,
主要包括:
步骤201,网络设备生成网络密钥(NK)。
网络设备可以根据获取的口令密钥生成NK,具体包括:用户从网络设备的用户接口输入口令密码,口令密码的长度不能超出用户接口设定的最大长度,网络设备将用户输入的口令密码输入到伪随机函数进行计算,得到长度固定的NK。
除了通过用户输入口令密码的方式获取NK以外,如果网络设备按照WiFi简单配置的实施规范实现了简单安全配置的功能,那么网络设备还可以通过在WiFi中使用安全对码按钮的方式生成NK,具体包括:
通信双方的网络设备上都有安全对码按钮并且都具有WiFi简单配置规范中的通信协议功能,那么这两个网络设备通过物理介质连接后的特定时间(如2分钟)内分别按下两个网络设备上的安全对码按钮,两个网络设备会按照WiFi简单配置规范中的通信协议进行交互。协议执行成功后,两个网络设备上会获得长度固定的NK。
步骤202,网络设备与通信对端设备进行认证协议交互,并根据认证协议交互的参数、以及所述NK,计算得到基础会话密钥(BSK)。
网络设备将认证协议交互的参数、以及所述NK,输入到哈希函数进行计算得到BSK。
所述认证可以是网络侧对网络设备的认证,也可以是网络设备对网络设备的认证;如果是网络侧对网络设备的认证,那么通信对端设备为网络侧的认证设备,如果是网络设备对网络设备的认证,那么通信对端设备为另一台网络设备。
认证协议交互的过程由网络设备与通信对端设备各自的融合控制模块来执行,具体的认证协议交互过程将在后续的实施例中详细阐述。
步骤203,网络设备根据所述BSK计算得到各种接入技术的MAC和PHY层所使用的链路加密密钥(EK),并将各EK分别提供给对应的MAC和PHY层功能模块。
本发明实施例中,各种接入技术的MAC和PHY层至少包括:PLC的MAC和PHY层、MoCA的MAC和PHY层、WiFi的MAC和PHY层等等。
网络设备的融合控制模块将所述BSK输入到哈希函数实现的密钥推导算法进行计算,并按照各种接入技术的MAC和PHY层所需使用的EK长度,输出对应长度的EK给对应的MAC和PHY层功能模块。其中,哈希函数实现的密钥推导算法能够输出足够长度的密钥,假设PLC的MAC和PHY层需要使用的密钥长度为m,WiFi的MAC和PHY层需要使用的密钥长度为n,MoCA的MAC和PHY层需要使用的密钥长度为t,那么所述哈希函数实现的密钥推导算法能够输出的密钥长度x应该大于等于m、n、t中最大的数值。
融合控制模块按照特定MAC和PHY层需要使用的密钥长度输出相应长度的EK,所述特定MAC和PHY层可以是WiFi的MAC和PHY层、或者是MoCA的MAC和PHY层、或者是PLC的MAC和PHY层。由于哈希函数实现的密钥推导算法产生的密钥长度x大于等于m、n、t中最大的数值,因此假设该特定MAC和PHY层需要使用的密钥长度n小于x时,融合控制模块需要从长度为x的密钥串中提取长度为n的部分(可以从密钥串的任意位置提取)作为该特定MAC和PHY层的EK输出。融合控制模块将输出的EK传递给特定的MAC和PHY层功能模块。例如:哈希函数实现的密钥推导算法产生的密钥串长度为512bit,PLC的MAC和PHY层所需的密钥长度为256bit,那么从密钥串中提取前256bit作为PLC的MAC和PHY层的EK;融合控制模块将提取的256bit的EK输出给PLC的MAC和PHY层功能模块。
作为本发明的一种较佳实施例,如图3所示,在步骤203之后,还可以执行步骤204:MAC和PHY层功能模块根据获取的EK,对所述网络设备与通信对端设备通信的数据进行加解密保护。具体的,MAC和PHY层功能模块对获取的EK进行保存并安装,使用安装的EK对后续所述网络设备与通信对端设备通信的数据进行加解密保护。例如:PLC的MAC和PHY层功能模块获取的是融合控制模块输出的对应PLC的MAC和PHY层的EK,MoCA的MAC和PHY层功能模块获取的是融合控制模块输出的对应MoCA的MAC和PHY层的EK,WiFi的MAC和PHY层功能模块获取的是融合控制模块输出的对应WiFi的MAC和PHY层的EK。
需要说明的是,本发明实施例的BSK包括:单播的BSK、和/或组播的BSK;相应的,网络设备根据单播的BSK计算得到单播的EK,根据组播的BSK计算得到组播的EK;网络设备的MAC和PHY层功能模块根据单播的EK,对单播的数据进行加解密保护;根据组播的EK,对组播的数据进行加解密保护。
作为本发明的另一种较佳实施例,如图4所示,在步骤201之前,还可以执行步骤200:所述网络设备和通信对端设备交互设备能力信息,并在确认双方都支持本发明实施例的特定认证和密钥管理功能(即具备执行步骤201~204的功能)时,才执行后续的处理操作(即步骤201~204)。以设备A和设备B交互设备能力信息为例,具体流程如图5所示,主要包括:
步骤501,设备B向设备A发起设备能力请求消息。
所述设备能力请求消息中包含设备B是否具有本发明实施例所述的特定认证和密钥管理功能。例如:该请求消息中的某个特定字段的取值为0,表示设备B不支持本发明实施例所述的特定认证和密钥管理功能;所述特定字段的取值为1,表示设备B支持本发明实施例所述的特定认证和密钥管理功能。
步骤502,设备A向设备B发送设备能力响应消息。
所述设备能力响应消息中包含设备A是否具有本发明实施例所述的特定认证和密钥管理功能。例如:该请求消息中的某个特定字段的取值为0,表示设备A不支持本发明实施例所述的特定认证和密钥管理功能;所述特定字段的取值为1,表示设备A支持本发明实施例所述的特定认证和密钥管理功能。
只有在设备A和设备B都支持本发明实施例所述的特定认证和密钥管理功能时,才能执行后续步骤201~204的操作。
下面结合图6对本发明实施例的认证协议交互流程进行详细阐述,如图6所示,主要包括以下步骤:
步骤601,设备B向设备A发起认证请求消息。
所述认证请求消息中至少包括:所述设备B上的融合控制模块标识(简称IDB),以及设备B选取的随机数(简称RNB)。
步骤602,设备A收到认证请求消息后,向设备B回复认证响应消息。
所述认证响应消息中至少包括:所述设备A上的融合控制模块标识(简称IDA),设备A选取的随机数(简称RNA),以及验证该认证响应消息合法性的消息认证码。
步骤603,设备B收到认证响应消息后,向设备A回复认证确认消息。
所述认证确认消息中至少包括:认证成功或者失败的状态信息,设备B上的融合控制模块标识(IDB),以及验证该认证确认消息合法性的消息认证码。
步骤604,设备A收到设备B回复的认证确认消息后,发送完成消息给设备B。
所述完成消息中至少包括:认证成功或者失败的状态信息,以及验证该完成消息合法性的消息认证码。
上述涉及的融合控制模块标识在具体应用中可以使用融合控制模块的MAC,也可以使用能够唯一标识设备身份的MAC地址。
通过上述认证协议交互,设备A和设备B实现了基于预共享网络密钥的双向认证。在认证成功后,设备A和设备B将设备B上的IDB、设备A上的IDA、设备B选取的RNB和设备A选取的RNA,作为上述步骤204中的认证协议交互的参数,与上述步骤203中得到的NK一起输入到哈希函数计算出BSK。
由此可以看出,在网络设备与通信对端设备输入相同的口令密钥,并执行上述相同的步骤200~204后,网络设备的PLC的MAC和PHY层功能模块、与通信对端设备的PLC的MAC和PHY层功能模块,能够获得相同的EK,并能根据该EK对它们之间通信的数据进行加解密保护;同样的,网络设备的MoCA的MAC和PHY层功能模块、与通信对端设备的MoCA的MAC和PHY层功能模块,也能够获得相同的EK,并能根据该EK对它们之间通信的数据进行加解密保护;网络设备的WiFi的MAC和PHY层功能模块、与通信对端设备的WiFi的MAC和PHY层功能模块,也能够获得相同的EK,并能根据该EK对它们之间通信的数据进行加解密保护。
通过本发明的实施例,网络设备仅需要融合控制模块执行一次统一的认证协议流程,不需要网络设备上的多个MAC和PHY层功能模块分别使用用户输入的口令密码执行各种MAC和PHY层的认证协议流程,就可以实现网络对设备、设备对设备之间的合法性认证,从而节省了认证过程的计算资源。另外,本发明对各种不同的MAC和PHY层技术实现统一的密钥管理,能够保持各种MAC和PHY层功能模块使用的数据加解密方式不做改变,因此设备实现该功能的升级代价不会太大。
对应上述认证和密钥管理方法,本发明的实施例还提供了一种网络设备,包括:融合控制模块和各种接入技术的MAC和PHY层功能模块,其中,
融合控制模块,用于生成NK;还用于执行所述网络设备与通信对端设备之间的认证协议交互,并根据认证协议交互的参数、以及所述NK,计算得到BSK,根据所述BSK计算得到各种接入技术的MAC和PHY层所使用的EK,并将各EK分别提供给对应的MAC和PHY层功能模块;
MAC和PHY层功能模块,用于接收所述融合控制模块提供的对应EK。
所述各种接入技术的MAC和PHY层至少包括:PLC的MAC和PHY层;MoCA的MAC和PHY层;WiFi的MAC和PHY层。
较佳的,融合控制模块可以根据获取的口令密钥生成NK、或者通过在WiFi中使用安全对码按钮的方式生成NK。
较佳的,MAC和PHY层功能模块还用于,根据获取的EK,对所述网络设备与通信对端设备通信的数据进行加解密保护。
较佳的,融合控制模块还用于,在根据获取的口令密码生成NK之前,与所述通信对端设备交互设备能力信息,并在确认网络设备和通信对端设备都支持特定的认证和密钥管理功能时,才执行后续的处理操作。
较佳的,融合控制模块进一步用于,将所述BSK输入到哈希函数实现的密钥推导算法进行计算,并按照各种接入技术的MAC和PHY层所需使用的EK长度,输出对应长度的EK给对应的MAC和PHY层功能模块。
认证协议交互的参数包括:所述网络设备的融合控制模块标识、所述网络设备选取的随机数、所述通信对端设备的融合控制模块标识、所述通信对端设备选取的随机数;
所述网络设备的融合控制模块标识为,所述网络设备的融合控制模块的MAC地址、或唯一标识所述网络设备身份的MAC地址;
所述通信对端设备的融合控制模块标识为,所述通信对端设备的融合控制模块的MAC地址、或唯一标识所述通信对端设备身份的MAC地址。
所述BSK包括:单播的BSK、和/或组播的BSK;
相应的,所述融合控制模块进一步用于,根据单播的BSK计算得到单播的EK,根据组播的BSK计算得到组播的EK;单播的BSK计算得到单播的EK、与组播的BSK计算得到组播的EK,所采用的方法相同;
所述MAC和PHY层功能模块进一步用于,根据单播的EK,对单播的数据进行加解密保护;根据组播的EK,对组播的数据进行加解密保护。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (16)
1.一种网络设备的认证和密钥管理方法,其特征在于,该方法包括:
网络设备生成网络密钥NK;
所述网络设备与通信对端设备进行认证协议交互,并根据认证协议交互的参数、以及所述NK,计算得到基础会话密钥BSK;
所述网络设备根据所述BSK计算得到各种接入技术的媒体接入控制MAC和物理PHY层所使用的链路加密密钥EK,并将各EK分别提供给对应的MAC和PHY层功能模块。
2.根据权利要求1所述网络设备的认证和密钥管理方法,其特征在于,所述网络设备根据获取的口令密钥生成NK、或者所述网络设备通过在无线局域网WiFi中使用安全对码按钮的方式生成NK。
3.根据权利要求1所述网络设备的认证和密钥管理方法,其特征在于,在将各EK分别提供给对应的MAC和PHY层功能模块之后,该方法还包括:
所述MAC和PHY层功能模块根据获取的EK,对所述网络设备与通信对端设备通信的数据进行加解密保护。
4.根据权利要求1、2或3所述网络设备的认证和密钥管理方法,其特征在于,在网络设备根据获取的口令密码生成NK之前,该方法还包括:
所述网络设备和通信对端设备交互设备能力信息,并在确认双方都支持特定的认证和密钥管理功能时,才执行后续的处理操作。
5.根据权利要求1、2或3所述网络设备的认证和密钥管理方法,其特征在于,所述网络设备根据BSK计算得到各种接入技术的MAC和PHY层所使用的EK,并将各EK分别提供给对应的MAC和PHY层功能模块,包括:
将所述BSK输入到哈希函数实现的密钥推导算法进行计算,并按照各种接入技术的MAC和PHY层所需使用的EK长度,输出对应长度的EK给对应的MAC和PHY层功能模块。
6.根据权利要求1、2或3所述网络设备的认证和密钥管理方法,其特征在于,所述各种接入技术的MAC和PHY层包括:
电力线通信PLC的MAC和PHY层;
同轴电缆MoCA的MAC和PHY层;
无线局域网WiFi的MAC和PHY层。
7.根据权利要求1、2或3所述网络设备的认证和密钥管理方法,其特征在于,所述认证协议交互的参数包括:所述网络设备的融合控制模块标识、所述网络设备选取的随机数、所述通信对端设备的融合控制模块标识、所述通信对端设备选取的随机数;
所述网络设备的融合控制模块标识为,所述网络设备的融合控制模块的MAC地址、或唯一标识所述网络设备身份的MAC地址;
所述通信对端设备的融合控制模块标识为,所述通信对端设备的融合控制模块的MAC地址、或唯一标识所述通信对端设备身份的MAC地址。
8.根据权利要求1、2或3所述网络设备的认证和密钥管理方法,其特征在于,所述BSK包括:单播的BSK、和/或组播的BSK;
相应的,该方法进一步包括:
网络设备根据单播的BSK计算得到单播的EK,根据组播的BSK计算得到组播的EK;
网络设备的MAC和PHY层功能模块根据单播的EK,对单播的数据进行加解密保护;根据组播的EK,对组播的数据进行加解密保护。
9.一种网络设备,其特征在于,包括:融合控制模块和各种接入技术的媒体接入控制MAC和物理PHY层功能模块;其中,
所述融合控制模块,用于生成网络密钥NK;还用于执行所述网络设备与通信对端设备之间的认证协议交互,并根据认证协议交互的参数、以及所述NK,计算得到基础会话密钥BSK,根据所述BSK计算得到各种接入技术的MAC和PHY层所使用的链路加密密钥EK,并将各EK分别提供给对应的MAC和PHY层功能模块;
所述MAC和PHY层功能模块,用于接收所述融合控制模块提供的对应EK。
10.根据权利要求9所述网络设备,其特征在于,所述融合控制模块根据获取的口令密钥生成NK、或者通过在无线局域网WiFi中使用安全对码按钮的方式生成NK。
11.根据权利要求9所述网络设备,其特征在于,所述MAC和PHY层功能模块还用于,根据获取的EK,对所述网络设备与通信对端设备通信的数据进行加解密保护。
12.根据权利要求9、10或11所述网络设备,其特征在于,所述融合控制模块还用于,在根据获取的口令密码生成NK之前,与所述通信对端设备交互设备能力信息,并在确认网络设备和通信对端设备都支持特定的认证和密钥管理功能时,才执行后续的处理操作。
13.根据权利要求9、10或11所述网络设备,其特征在于,所述融合控制模块进一步用于,将所述BSK输入到哈希函数实现的密钥推导算法密钥导出函数进行计算,并按照各种接入技术的MAC和PHY层所需使用的EK长度,输出对应长度的EK给对应的MAC和PHY层功能模块。
14.根据权利要求9、10或11所述网络设备,其特征在于,所述各种接入技术的MAC和PHY层包括:
电力线通信PLC的MAC和PHY层;
同轴电缆MoCA的MAC和PHY层;
无线局域网WiFi的MAC和PHY层。
15.根据权利要求9、10或11所述网络设备,其特征在于,所述认证协议交互的参数包括:所述网络设备的融合控制模块标识、所述网络设备选取的随机数、所述通信对端设备的融合控制模块标识、所述通信对端设备选取的随机数;
所述网络设备的融合控制模块标识为,所述网络设备的融合控制模块的MAC地址、或唯一标识所述网络设备身份的MAC地址;
所述通信对端设备的融合控制模块标识为,所述通信对端设备的融合控制模块的MAC地址、或唯一标识所述通信对端设备身份的MAC地址。
16.根据权利要求9、10或11所述网络设备,其特征在于,所述BSK包括:单播的BSK、和/或组播的BSK;
相应的,所述融合控制模块进一步用于,根据单播的BSK计算得到单播的EK,根据组播的BSK计算得到组播的EK;
所述MAC和PHY层功能模块进一步用于,根据单播的EK,对单播的数据进行加解密保护;根据组播的EK,对组播的数据进行加解密保护。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210195842.8A CN103490887B (zh) | 2012-06-14 | 2012-06-14 | 一种网络设备及其认证和密钥管理方法 |
| PCT/CN2013/076315 WO2013185531A1 (zh) | 2012-06-14 | 2013-05-28 | 一种网络设备及其认证和密钥管理方法 |
| US14/407,525 US9698978B2 (en) | 2012-06-14 | 2013-05-28 | Network equipment and authentication and key management method for same |
| EP13804786.5A EP2863578B1 (en) | 2012-06-14 | 2013-05-28 | Network device and authentication thereof and key management method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210195842.8A CN103490887B (zh) | 2012-06-14 | 2012-06-14 | 一种网络设备及其认证和密钥管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103490887A true CN103490887A (zh) | 2014-01-01 |
| CN103490887B CN103490887B (zh) | 2017-06-13 |
Family
ID=49757495
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210195842.8A Active CN103490887B (zh) | 2012-06-14 | 2012-06-14 | 一种网络设备及其认证和密钥管理方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9698978B2 (zh) |
| EP (1) | EP2863578B1 (zh) |
| CN (1) | CN103490887B (zh) |
| WO (1) | WO2013185531A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106576042A (zh) * | 2014-07-14 | 2017-04-19 | 三菱电机株式会社 | 无线通信系统以及无线通信方法 |
| CN111629012A (zh) * | 2020-07-28 | 2020-09-04 | 杭州海康威视数字技术股份有限公司 | 通信方法、装置及门禁系统、设备、存储介质 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106301793B (zh) * | 2016-09-06 | 2018-04-10 | 中国电子技术标准化研究院 | 一种plc认证和安全通信的方法 |
| US20180092138A1 (en) * | 2016-09-29 | 2018-03-29 | Intel Corporation | Wireless connection through remote wi-fi protected setup |
| US11294417B2 (en) * | 2020-03-10 | 2022-04-05 | Cisco Technology, Inc. | Distribution of trusted physical layer timing information using attestation |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060291663A1 (en) * | 2005-06-28 | 2006-12-28 | Selim Aissi | Link key injection mechanism for personal area networks |
| CN101304319A (zh) * | 2007-03-21 | 2008-11-12 | 三星电子株式会社 | 移动通信网络以及用于认证其中的移动节点的方法和装置 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7876772B2 (en) * | 2003-08-01 | 2011-01-25 | Foundry Networks, Llc | System, method and apparatus for providing multiple access modes in a data communications network |
| US20060236116A1 (en) * | 2005-04-18 | 2006-10-19 | Lucent Technologies, Inc. | Provisioning root keys |
| DE102006038037A1 (de) * | 2006-08-14 | 2008-02-21 | Siemens Ag | Verfahren und System zum Bereitstellen eines zugangsspezifischen Schlüssels |
| CN101141241B (zh) | 2006-09-06 | 2010-08-18 | 华为技术有限公司 | 实现mac安全的方法以及网络设备 |
| CN101068143B (zh) | 2007-02-12 | 2012-04-11 | 中兴通讯股份有限公司 | 一种网络设备认证方法 |
| KR100924168B1 (ko) | 2007-08-07 | 2009-10-28 | 한국전자통신연구원 | 주파수 오버레이 기반의 통신 시스템의 인증키 생성 방법및 인증 방식 협상 방법 |
| CN101516090B (zh) | 2008-02-20 | 2013-09-11 | 华为技术有限公司 | 网络认证通信方法及网状网络系统 |
| CN101621374A (zh) | 2008-06-30 | 2010-01-06 | 华为技术有限公司 | 一种网络认证的方法、装置、系统及服务器 |
| CN101815294B (zh) * | 2009-02-20 | 2013-08-14 | 华为技术有限公司 | P2p网络的接入认证方法、设备和系统 |
| US8385549B2 (en) * | 2009-08-21 | 2013-02-26 | Industrial Technology Research Institute | Fast authentication between heterogeneous wireless networks |
| US8886935B2 (en) * | 2010-04-30 | 2014-11-11 | Kabushiki Kaisha Toshiba | Key management device, system and method having a rekey mechanism |
| CN102447690B (zh) | 2010-10-12 | 2015-04-01 | 中兴通讯股份有限公司 | 一种密钥管理方法与网络设备 |
| EP2686997B1 (en) * | 2011-03-14 | 2018-10-10 | Qualcomm Incorporated | Hybrid networking master passphrase |
| US9369448B2 (en) * | 2011-06-01 | 2016-06-14 | Broadcom Corporation | Network security parameter generation and distribution |
| GB2495550A (en) * | 2011-10-14 | 2013-04-17 | Ubiquisys Ltd | An access point that can be used to establish connections with UE devices using both cellular and wifi air interfaces |
-
2012
- 2012-06-14 CN CN201210195842.8A patent/CN103490887B/zh active Active
-
2013
- 2013-05-28 WO PCT/CN2013/076315 patent/WO2013185531A1/zh active Application Filing
- 2013-05-28 EP EP13804786.5A patent/EP2863578B1/en active Active
- 2013-05-28 US US14/407,525 patent/US9698978B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060291663A1 (en) * | 2005-06-28 | 2006-12-28 | Selim Aissi | Link key injection mechanism for personal area networks |
| CN101304319A (zh) * | 2007-03-21 | 2008-11-12 | 三星电子株式会社 | 移动通信网络以及用于认证其中的移动节点的方法和装置 |
| US20080311906A1 (en) * | 2007-03-21 | 2008-12-18 | Samsung Electronics Co., Ltd. | Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106576042A (zh) * | 2014-07-14 | 2017-04-19 | 三菱电机株式会社 | 无线通信系统以及无线通信方法 |
| CN106576042B (zh) * | 2014-07-14 | 2019-12-06 | 三菱电机株式会社 | 无线通信系统以及无线通信方法 |
| CN111629012A (zh) * | 2020-07-28 | 2020-09-04 | 杭州海康威视数字技术股份有限公司 | 通信方法、装置及门禁系统、设备、存储介质 |
| CN111629012B (zh) * | 2020-07-28 | 2020-10-30 | 杭州海康威视数字技术股份有限公司 | 通信方法、装置及门禁系统、设备、存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2863578A4 (en) | 2015-09-02 |
| CN103490887B (zh) | 2017-06-13 |
| WO2013185531A1 (zh) | 2013-12-19 |
| EP2863578A1 (en) | 2015-04-22 |
| EP2863578B1 (en) | 2019-10-30 |
| US9698978B2 (en) | 2017-07-04 |
| US20150172047A1 (en) | 2015-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105684344B (zh) | 一种密钥配置方法和装置 | |
| CN104540132B (zh) | 蓝牙设备的通讯方法、移动设备、电子签名设备和服务器 | |
| EP3700124B1 (en) | Security authentication method, configuration method, and related device | |
| US9674702B2 (en) | Systems and methods for authentication | |
| CN102957584B (zh) | 家庭网络设备的管理方法、控制设备和家庭网络设备 | |
| CN102299797A (zh) | 认证方法、密钥分配方法及认证与密钥分配方法 | |
| CN101500229A (zh) | 建立安全关联的方法和通信网络系统 | |
| CN101282208B (zh) | 安全连接关联主密钥的更新方法和服务器及网络系统 | |
| CN105577365B (zh) | 一种用户接入wlan的密钥协商方法及装置 | |
| CN103490887A (zh) | 一种网络设备及其认证和密钥管理方法 | |
| CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
| CN111147257A (zh) | 身份认证和信息保密的方法、监控中心和远程终端单元 | |
| CN110691358B (zh) | 无线传感器网络中基于属性密码体制的访问控制系统 | |
| CN105792095A (zh) | 用于mtc分组通信的密钥协商方法、系统及网络实体 | |
| CN102045343B (zh) | 基于数字证书的通讯加密安全控制方法、服务器及系统 | |
| CN108306793B (zh) | 智能设备、智能家居网关、建立连接的方法及系统 | |
| CN105262662A (zh) | 装置配对方法和通信装置 | |
| CN104753682A (zh) | 一种会话秘钥的生成系统及方法 | |
| CN114070579A (zh) | 一种基于量子密钥的工控业务鉴权认证方法和系统 | |
| CN107135228B (zh) | 一种基于中心节点的认证系统与认证方法 | |
| CN103281324A (zh) | 一种Android客户端的安全通信方法 | |
| CN113098830B (zh) | 通信方法及相关产品 | |
| CN103856938A (zh) | 一种加密解密的方法、系统及设备 | |
| CN104994107A (zh) | 一种基于iec62351的mms报文离线分析方法 | |
| CN107276755B (zh) | 一种安全关联方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |