CN106134152B - 用于加入社交wi-fi网状网络的方法、设备及装置 - Google Patents
用于加入社交wi-fi网状网络的方法、设备及装置 Download PDFInfo
- Publication number
- CN106134152B CN106134152B CN201580016040.8A CN201580016040A CN106134152B CN 106134152 B CN106134152 B CN 106134152B CN 201580016040 A CN201580016040 A CN 201580016040A CN 106134152 B CN106134152 B CN 106134152B
- Authority
- CN
- China
- Prior art keywords
- member device
- mesh network
- public group
- group cipher
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/005—Discovery of network devices, e.g. terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
描述了用于经由网状网络进行通信的方法、系统和设备。为了加入现有网状网络,无线通信设备可以从现有网状网络中的多个成员设备中标识成员设备。该无线通信设备可以与所标识的成员设备通信以参与单个认证规程。在成功完成单个认证规程之际,无线通信设备可加入该现有网状网络,而无需为了加入现有网状网络而与该多个成员设备中的另一成员设备进行任何附加认证规程。该方法可用于任何网状网络,诸如社交Wi‑Fi网状网络。
Description
背景技术
以下一般涉及无线通信,尤其涉及经由网状网络的无线通信。无线通信系统被广泛部署以提供诸如语音、视频、分组数据、消息接发、广播等各种类型的通信内容。这些系统可以是能够通过共享可用系统资源(例如,时间、频率和功率)来支持与多个用户通信的多址系统。此类多址系统的示例包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统、以及正交频分多址(OFDMA)系统。
移动设备(以及其他无线通信设备)可以在没有基站或除了移动设备本身之外的装备的情况下形成网络。这样的网络的一个示例被称为网状网络。为了使设备加入网状网络,该设备必须与网状网络中的成员设备“对等”。设备(对等方)可使用被称为“等同方同时认证(SAE)”的基于安全口令的认证和密钥建立协议。当希望加入的设备以及每一个成员设备发现彼此(并且启用安全措施)时,希望加入的设备执行与每一个成员设备的单独SAE交换。如果SAE 成功完成,则每一个对等方知道另一方拥有网状口令,并且作为SAE交换的副产品,希望加入的设备与每一个成员设备建立密码术强大的密钥。该密钥与“经认证网状对等交换(AMPE)”一起用来建立安全对等操作并导出用于保护包括路由话务在内的网状话务的密钥。
然而,网状网络的问题源自这样的常规安全对等操作。首先,常规对等操作涉及为了加入网络而与网络中的每一个单独的成员设备的许多消息交换。与维护关于网状网络中的每一个对等方的状态信息相关联的开销也可能降低网络中各设备的总体性能。
概述
所描述的特征一般涉及一个或多个用于经由网状网络进行通信的改进的系统、方法和/或装置。一般而言,该方法是为了简化用于加入网状网络的对等操作。该方法可涉及供无线通信设备加入现有网状网络的单个认证规程。一旦无线通信设备标识出现有网状网络中的一成员设备,则该无线通信设备可以与所标识的成员设备通信以执行认证规程。在成功完成该认证规程之际,无线通信设备可加入该现有网状网络,而无需诸如与现有网状网络中的另一成员设备进行任何附加认证规程。
另一方面是使用单个公共群密钥来加密网状网络中的所有群寻址话务。另一方面涉及管理公共群密钥。
另一方面涉及用于解决网状网络中的碎片化可能性的方法。该方法可帮助减少(例如提供一个或多个相同的服务的)重复(碎片化)的网状网络的数量。例如,该方法可使得碎片化的网状网络能够合并。
描述了用于经由网状网络进行通信的方法。在一个配置中,该方法可涉及从现有网状网络中的多个成员设备中标识成员设备以及与所标识的成员设备通信以参与单个认证规程。在成功完成单个认证规程之际,可加入现有网状网络,而无需为了加入现有网状网络而与该多个成员设备中的另一成员设备进行任何附加认证规程。
在一些实施例中,加入现有网状网络可涉及接收用于与现有网状网络中的多个成员设备中的任意一个成员设备进行通信的公共群密钥。在这些实施例中,该方法可涉及使用公共群密钥来加密消息并经由网状网络将经加密的消息发送到多个成员设备中的任意一个成员设备。同样,该方法可涉及经由网状网络从多个成员设备中的任意一个成员设备接收经加密的消息并使用公共群密钥来解密接收到的经加密的消息。
在一些实施例中,与所标识的成员设备通信以参与单个认证规程可涉及向所标识的成员设备发送包括第一公共值的认证请求。第一公共值可使用口令元素和第一一次性数来生成。口令元素可以从与所标识的成员设备相同的口令中生成。
在一些实施例中,与所标识的成员设备通信以参与单个认证规程还可涉及从所标识的成员设备接收包括第二公共值的认证响应。第二公共值可使用口令元素和第二一次性数来生成。该口令元素可以从相同的口令中生成。
在一些实施例中,与所标识的成员设备通信以参与单个认证规程还可涉及使用第一和第二公共值来生成成对共享密钥(PMK)。可使用所生成的PMK 来生成成对瞬时密钥(PTK)。
此外,在一些实施例中,与所标识的成员设备通信以参与单个认证规程可涉及向所标识的成员设备发送包括消息完整性代码(MIC)的关联请求。MIC 可使用所生成的PTK来生成。在这些实施例中,该方法可涉及接收包括公共群密钥的关联响应,该公共群密钥用于与现有网状网络中的多个成员设备中的任意一个成员设备进行通信。
在一些实施例中,包括公共群密钥的关联响应可以只在关联请求中所包括的MIC是正确的情况下被接收。在一些实施例中,接收到的关联响应中所包括的公共群密钥可使用PTK来加密。另选地或另外地,关联请求和关联响应可通过PTK来保护。
此外,在一些实施例中,与所标识的成员设备通信以参与单个认证规程可涉及连同关联请求一起发送网际协议(IP)地址请求。在这些实施例中,该方法可涉及连同关联响应一起接收IP地址响应。IP地址响应可分配IP地址。
在一些实施例中,该方法可涉及使得Wi-Fi设备能够同步到公共发现窗口以便进行服务发现和网状参数交换的社交Wi-Fi网状网络。
在一些实施例中,该方法可涉及接收用于与现有网状网络中的多个成员设备中的任意一个成员设备进行通信的公共群密钥、当前一次性数和预定文本。在这些实施例中,该方法可涉及使用公共群密钥、当前一次性数和预定文本来生成网状密钥。在一些实施例中,该方法还可涉及接收对当前一次性数的更新。在这种情况下,网状密钥的生成可使用公共群密钥、对当前一次性数的更新和预定文本来执行。另选地或另外地,该方法可涉及接收对公共群密钥的更新。在这种情况下,网状密钥的生成可使用对公共群密钥的更新、当前一次性数和预定文本来执行。
在一些实施例中,该方法可涉及从一个或多个相邻设备接收包括网状密钥的发现消息。在这些实施例中,该方法可涉及将所生成的网状密钥与发现消息中所包括的网状密钥进行比较。基于比较的结果,可确定是否存在用于提供与现有网状网络相同的服务的另一网状网络。
在一些实施例中,用于与现有网状网络中的多个成员设备中的任意一个成员设备进行通信的公共群密钥可包括期满时间值。在这些实施例中,该方法可涉及发起从随机数到预定数的倒计数。在这种情况下,倒计数可以在到达公共群密钥的期满时间值之前发起。在到达预定数之际,可生成新公共群密钥。新公共群密钥可以经由网状网络以安全的方式被发送到多个成员设备。
在一些实施例中,该方法还可涉及在到达预定数之前经由网状网络安全地接收第一新公共群密钥。在接收到第一新公共群密钥之际,可中断倒计数。在这些实施例中,该方法可涉及在接收第一新公共群密钥后的预定时间内经由网状网络安全地接收第二新公共群密钥。在这种情况下,该方法可涉及使用一个或多个抑制准则来确定第一和第二新公共群密钥中的哪一个是有效的。
描述了用于供无线通信设备经由网状网络进行通信的装置。在一种配置中,该装置可包括:被配置成从现有网状网络中的多个成员设备中标识成员设备的第一处理模块;被配置成与所标识的成员设备通信以参与单个认证规程的第二处理模块;以及通信管理模块,其被配置成使得无线通信设备能够在成功完成单个认证规程之际加入现有网状网络,而无需为了加入现有网状网络而与多个成员设备中的另一成员设备进行任何附加认证规程。
在一些实施例中,通信管理模块可被配置成接收用于与现有网状网络中的多个成员设备中的任意一个成员设备进行通信的公共群密钥。
在一些实施例中,第二处理模块可被配置成:向所标识的成员设备发送包括第一公共值的认证请求,该第一公共值使用口令元素和第一一次性数来生成,该口令元素从与所标识的成员设备相同的口令中生成;从所标识的成员设备接收包括第二公共值的认证响应,该第二公共值使用口令元素和第二一次性数来生成,该口令元素从相同的口令中生成;使用第一和第二公共值来生成成对共享密钥(PMK);以及使用所生成的PMK来生成成对瞬时密钥(PTK)。第二处理模块还可被配置成:向所标识的成员设备发送包括消息完整性代码(MIC)的关联请求,该MIC使用所生成的PTK来生成;以及接收包括用于与现有网状网络中的多个成员设备中的任意一个成员设备进行通信的公共群密钥的关联响应。在这些实施例中,包括公共群密钥的关联响应可以只在关联请求中所包括的MIC是正确的情况下被接收。
描述了用于经由网状网络进行通信的设备。在一个配置中,该设备可包括用于从现有网状网络中的多个成员设备中标识成员设备的装置。该设备还可包括用于与所标识的成员设备通信以参与单个认证规程的装置。该设备还可包括用于在成功完成单个认证规程之际加入现有网状网络的装置。这可以无需为了加入现有网状网络而与多个成员设备中的另一成员设备进行任何附加认证规程。
在一些实施例中,用于加入现有网状网络的装置可包括用于接收用于与现有网状网络中的多个成员设备中的任意一个成员设备进行通信的公共群密钥的装置。在这些实施例中,该设备可包括用于使用公共群密钥来加密消息的装置以及用于经由网状网络将经加密的消息发送到多个成员设备中的任意一个成员设备的装置。另选地或另外地,该设备可包括用于经由网状网络从多个成员设备中的任意一个成员设备接收经加密的消息的装置以及用于使用公共群密钥来解密接收到的经加密的消息的装置。
在一些实施例中,用于与所标识的成员设备通信以参与单个认证规程的装置可被配置成向所标识的成员设备发送包括第一公共值的认证请求。第一公共值可使用口令元素和第一一次性数来生成。口令元素可以从与所标识的成员设备相同的口令中生成。
用于通信的装置还可被配置成从所标识的成员设备接收包括第二公共值的认证响应。第二公共值可使用口令元素和第二一次性数来生成。该口令元素可以从相同的口令中生成。
用于通信的装置可被配置成:使用第一和第二公共值来生成成对共享密钥(PMK);以及使用所生成的PMK来生成成对瞬时密钥(PTK)。
在一些实施例中,用于与所标识的成员设备通信以参与单个认证规程的装置可被配置成:向所标识的成员设备发送包括消息完整性代码(MIC)的关联请求。MIC可使用所生成的PTK来生成。在这些实施例中,用于通信的装置可被配置成接收包括用于与现有网状网络中的多个成员设备中的任意一个成员设备进行通信的公共群密钥的关联响应。在一些实施例中,包括公共群密钥的关联响应可以只在关联请求中所包括的MIC是正确的情况下被接收。在一些实施例中,接收到的关联响应中所包括的公共群密钥可使用PTK来加密。另选地或另外地,关联请求和关联响应可由PTK来保护。
在一些实施例中,该设备可包括用于连同关联请求一起发送网际协议(IP) 地址请求的装置。在这些实施例中,该设备可包括用于连同关联响应一起接收 IP地址响应的装置。在这种情况下,IP地址响应可分配IP地址。
在一些实施例中,网络网状可以是使得Wi-Fi设备能够同步到公共发现窗口以便进行服务发现和网状参数交换的社交Wi-Fi网状网络。
在一些实施例中,该设备可包括用于接收用于与现有网状网络中的多个成员设备中的任意一个成员设备进行通信的公共群密钥、当前一次性数和预定文本的装置。在这些实施例中,该设备可包括用于使用公共群密钥、当前一次性数和预定文本来生成网状密钥的装置。该设备还可包括用于接收对当前一次性数的更新的装置。在这种情况下,网状密钥的生成可使用公共群密钥、对当前一次性数的更新和预定文本来执行。另选地或另外地,该设备可包括用于接收对公共群密钥的更新的装置。在这种情况下,网状密钥的生成可使用对公共群密钥的更新、当前一次性数和预定文本来执行。
在一些实施例中,该设备可包括用于从一个或多个相邻设备接收包括网状密钥的服务发现消息的装置。在这些实施例中,该设备可包括用于将所生成的网状密钥与服务发现消息中所包括的网状密钥进行比较的装置。在这种情况下,该设备还可包括用于至少部分地基于比较的结果来确定是否存在用于提供与现有网状网络相同的服务的另一网状网络的装置。
在一些实施例中,该设备可包括用于接收用于与现有网状网络中的多个成员设备中的任意一个成员设备进行通信的公共群密钥的装置。公共群密钥可包括期满时间值。在这些实施例中,该设备可包括用于发起从随机数到预定数的倒计数的装置。倒计数可以在到达公共群密钥的期满时间值之前发起。该设备还可包括用于在到达预定数之际生成新公共群密钥的装置以及用于经由网状网络以安全方式向多个成员设备发送新公共群密钥的装置。
此外,在这些实施例中,该设备还可包括用于在到达预定数之前经由网状网络安全地接收第一新公共群密钥的装置。在这种情况下,该设备还可包括用于在接收到第一新公共群密钥之际中断倒计数的装置。另选地或另外地,该设备可包括用于在接收第一新公共群密钥后的预定时间内经由网状网络安全地接收第二新公共群密钥的装置。在这种情况下,该设备可包括用于使用一个或多个抑制准则来确定第一和第二新公共群密钥中的哪一个是有效的装置。
用于经由网状网络进行通信的装置的另一配置可包括至少一个处理器以及与该至少一个处理器进行电通信的存储器。该存储器可包含可由至少一个处理器执行以执行以下操作的指令:从现有网状网络中的多个成员设备中标识成员设备;与所标识的成员设备通信以参与单个认证规程;以及在成功完成单个认证规程之际加入现有网状网络,而无需为了加入现有网状网络而与多个成员设备中的另一成员设备进行任何附加认证规程。在各实施例中,该装置可包括可由至少一个处理器执行以执行以上描述和/或如本文描述的方法中的部分或全部功能和/或操作的指令。
还描述了计算机程序产品。计算机程序产品可以是存储指令的非瞬态计算机可读介质,这些指令可由处理器执行以便:从现有网状网络中的多个成员设备中标识成员设备;与所标识的成员设备通信以参与单个认证规程;以及在成功完成单个认证规程之际加入现有网状网络,而无需为了加入现有网状网络而与多个成员设备中的另一成员设备进行任何附加认证规程。在各实施例中,该计算机程序产品可包括可由处理器执行以执行以上描述和/或如本文描述的方法中的部分或全部功能和/或操作的指令。
所描述的方法和装置的适用性的进一步范围将因以下具体描述、权利要求和附图而变得明了。详细描述和具体示例仅是藉由解说来给出的,因为落在该描述的精神和范围内的各种变化和改动对于本领域技术人员而言将变得显而易见。
附图简述
通过参照以下附图可实现对本发明的本质和优势的更进一步的理解。在附图中,类似组件或特征可具有相同的附图标记。此外,相同类型的各个组件可通过在附图标记后跟随短划线以及在类似组件之间进行区分的第二标记来加以区分。如果在说明书中仅仅第一附图标记被使用,则该描述可应用于具有相同的第一附图标记的类似组件中的任何一个组件而不论第二附图标记如何。
图1解说了附近有单独的无线通信设备的网状网络的框图;
图2A是解说根据各实施例的无线通信设备的示例的框图;
图2B是解说无线通信设备的附加实施例的框图;
图2C是解说无线通信设备的另一实施例的框图;
图2D是解说无线通信设备的又一实施例的框图;
图2E是解说无线通信设备的再一实施例的框图;
图3是无线通信设备的一种配置的框图;
图4是解说根据各实施例的在寻求方设备与通告方之间的通信流的消息流图;
图5是用于经由网状网络进行通信的方法的实施例的流程图;
图6是用于经由网状网络进行通信的方法的附加实施例的流程图;
图7是用于经由网状网络进行通信的方法的另一实施例的流程图;以及
图8是用于经由网状网络进行通信的方法的又一实施例的流程图。
详细描述
网状网络可以是其中每一个成员设备与网络中的每一个其他设备都具有连接的全网状网络。而且,网状网络可以是部分网状网络,其中一些成员设备可以按全网状模式连接,但其他成员设备只连接到设备中的一个或多个,而不是网络中的所有成员设备。此外,社交Wi-Fi网状网络可扩展社交Wi-Fi框架的能力以使得参与的设备能够建立用于内容发现的网状连通性。可以在一设备与一个或多个其他设备之间形成网状网络以便从一个或多个其他设备向该设备提供一个或多个服务。为了建立用于这样的通信的网状网络,设备(寻求方设备)可发现或以其他方式变得知晓提供所需服务的另一(些)设备。这些其他设备可被称为成员设备和/或通告方设备。
如果只发现一个其他设备,则寻求服务的设备可以与该其他设备协商以形成网状网络。另一方面,如果该设备发现属于现有网状网络的一个或多个设备,则该设备可加入该现有网状网络。如上所述,根据IEEE 802.11s标准的常规安全对等操作涉及必须为了加入网络而对网络中的每一个单独设备重复的许多消息(例如,八条)。
在解决该已知对等操作的问题的方法的一个示例中,无线通信设备可以只执行单个认证规程来加入现有网状网络。无线通信设备可标识现有网状网络中的成员设备。该无线通信设备可以与所标识的成员设备通信以执行单个认证规程。在成功完成单个认证规程之际,无线通信设备可加入该现有网状网络,而无需诸如与现有网状网络中的另一成员设备进行任何附加认证规程。结果,简化了用于加入现有网状网络的对等操作过程。
首先参照图1,示出了包括已建立的网状网络110的布置100。网状网络 110可以被实现为可被称为网状网络110的“节点”115的各种固定和/或移动设备的有线或无线通信网络。节点设备115中的每一个可以在整个网状网络(诸如整个校园、城区、社区网络以及跨其他地理区域)接收和传递数据。节点设备115还可用于将数据从一个节点路由至网状网络内的另一节点。另外,每一个节点通常具有去往/来自网络中的其他节点的不止一个通信链路,这提供了冗余通信链路和可靠的通信系统。
无线网状网络110可包括被实现为利用数据分组路由协议来进行无线通信的各种节点设备115。无线网状网络110还可被实现为与通信地链接到网状网络110的其他网络(诸如另一无线网络、有线网络、广域网(WAN)等) 进行数据通信。
在无线网状网络110中,可以在网络中的各个节点115之间形成通信链路 120。用于网络中的无线通信的数据分组可以经由在多跳无线网状网络中通常被称为“跳跃”的中间节点从源节点(例如,传送方设备)转发或路由至目的地节点(例如,接收方设备)。
在一个配置中,无线通信设备105可以在网状网络110附近。如上所述,网状网络110可包括可以是无线通信设备的多个节点115。如图1所示,网状网络110是部分网状网络,连接或通信链路在节点115-a到115-i之间建立以使得每一个节点都可以与网状网络110中的所有其他节点进行通信(一些直接而一些间接)。在一种配置中,网状网络110中的节点115在此可被称为成员设备和/或通告方设备。一般而言:作为特定服务的源的节点可被称为提供方;使用特定服务的节点可被称为订阅方;而代表提供方通告服务的节点可被称为代理。
网状网络110可通过一个或多个成员设备(例如,该示例中的设备115-i) 与外部网络125(诸如因特网)建立连接或通信链路120来连接到外部网络125。尽管未示出,但设备115-i可建立其与可访问外部网络125的基站的连接。
单独的无线通信设备105可被称为寻求方设备。设备105可“寻求”加入现有网状网络110以获取该网状网络110中的成员设备115提供的一个或多个服务。成员设备115可被称为通告方,其可广播(通告)网状网络110提供的服务。寻求方设备105可经由广播找到所需服务(以及通告方设备115和现有网状网络110)。设备105随后可加入现有网状网络110以获取所需服务。
寻求方设备105和成员设备115可以遍及整个网状网络11 0,且每一个设备可以是静止或移动的。寻求方设备105和成员设备115还可被本领域技术人员称为移动站、订户站、移动单元、订户单元、无线单元、远程单元、移动设备、无线设备、无线通信设备、远程设备、移动订户站、接入终端、移动终端、无线终端、远程终端、手持机、用户代理、用户装备、移动客户机、客户机或某一其他合适的术语。寻求方设备105和成员设备115可以是蜂窝电话、个人数字助理(PDA)、无线调制解调器、无线通信设备、手持式设备、平板计算机、膝上型计算机、无绳电话、无线本地环路(WLL)站、等等。
如下文进一步描述的,无线通信设备105可与所标识的设备(诸如成员设备115-a)执行简化的对等操作过程。如果无线通信设备105已经标识多个设备115,则可以只与所标识的设备115中的一个设备执行简化的对等操作过程。由此,如本文描述的,无线通信设备105只执行用于与整个网状网络110进行对等操作并加入整个网状网络110的单个认证规程。在成功完成单个认证规程之际,无线通信设备105加入现有网状网络110并变为成员设备。不需要诸如与现有网状网络中的另一成员设备的附加认证规程。
现在参照图2A,框图200-a解说了根据各个实施例的寻求方设备105-a。寻求方设备105-a可以是参照图1描述的无线通信设备105的一个或多个方面的示例。寻求方设备105-a也可以是参照图1描述的无线通信设备115(例如,能够与无线通信设备105协作执行单个认证规程)的一个或多个方面的示例。设备105-a也可以是处理器。设备105-a可包括接收机模块205、通信管理模块210、以及发射机模块215。这些组件中的每一者可彼此处于通信中。
设备105-a的组件可个体地或共同地用一个或多个适配成以硬件执行一些或所有适用功能的专用集成电路(ASIC)来实现。替换地,这些功能可以由一个或多个集成电路上的一个或多个其他处理单元(或核)来执行。在其他实施例中,可使用可按本领域任何已知方式来编程的其他类型的集成电路(例如,结构化/平台AISC、现场可编程门阵列(FPGA)、以及其他半定制IC)。每一单元的功能也可以整体或部分地用存储器中存储的、被格式化成由一个或多个通用或专用处理器执行的指令来实现。
发射机模块215可经由信号208将通信从寻求方设备105-a发送到其他设备(诸如图1所示的网状网络110中的成员设备115-a)。发送这些通信可包括用于执行单个认证规程的消息。此外,一旦寻求方设备105-a发现/标识了成员设备115-a,发射机模块215就通过向成员设备115-a传送定向(定址) 通信来发送通信。通信管理模块210可管理由寻求方设备105-a发送的此类通信。
作为单个认证规程的一部分,接收机模块205可以经由信号202从成员设备115-a接收通信。接收机模块205可经由从成员设备115-a传送的定向(定址)消息来接收用于认证规程的消息。通信管理模块210可经由信号204(例如,控制和/或数据)来管理寻求方设备105-a接收到的此类通信。另外,在加入现有网状网络110之际,通信管理模块210可以与网状网络110中的一个或多个成员设备115建立连接,并且可经由信号206(例如,控制和/或数据)来管理经由这些连接的通信。关于通信管理模块210的附加细节将在以下描述。
图2B是解说根据各个实施例的寻求方设备105-b的框图200-b。寻求方设备105-b可以是参照图1和/或2A描述的无线通信设备105以及成员设备115 的一个或多个方面的示例。寻求方设备105-b也可以是处理器。设备105-b可包括接收机模块205-a、通信管理模块210-a、以及发射机模块215-a。这些组件中的每一者可彼此处于通信中。
设备105-b的组件可个体地或整体地用一个或多个适配成以硬件执行一些或所有适用功能的专用集成电路(ASIC)来实现。替换地,这些功能可以由一个或多个集成电路上的一个或多个其他处理单元(或核)来执行。在其他实施例中,可使用可按本领域任何已知方式来编程的其他类型的集成电路(例如,结构化/平台AISC、现场可编程门阵列(FPGA)、以及其他半定制IC)。每一单元的功能也可以整体或部分地用存储器中存储的、被格式化成由一个或多个通用或专用处理器执行的指令来实现。
接收机模块205-a和发射机模块215-a可被配置成执行如先前参照图2A 描述的操作(例如,分别经由信号212和218)。通信管理模块210-a可包括设备标识模块220、认证模块225和加密/解密模块230。
通信管理模块210-a可被配置成执行以上参照图2A描述的各种功能。在该示例中,通信管理模块210-a可管理(经由内部信号(未示出))发现/标识过程以标识提供寻求方设备105-b需要的一个或多个服务的网状网络110。寻求方设备105-b或通信管理模块210-a可包括用于执行此类功能性的处理器。
设备标识模块220可被配置成执行各种操作(诸如经由信号216-a向发射机模块215-a提供数据以及经由信号214-a从接收机模块205-a获取数据),以发现或以其他方式变得知晓提供所需服务的其他设备。结果,设备标识模块 220可以在执行其操作时通过与通信管理模块210-a(或其其他组件)、接收机模块205-a和发射机模块215-a协作来促成发现成员设备115-a。
通信管理模块210-a可管理(经由内部信号(未示出))认证规程以允许寻求方设备105-b加入网状网络110。寻求方设备105-b或通信管理模块210-a 可包括用于执行此类功能性的处理器。
认证模块225可被配置成执行各种操作以参与如本文描述的单个认证规程。在一些实施例中,认证模块225可生成消息并经由信号216-b将消息提供给发射机模块215-a,以便经由信号218传送到参与单个认证规程的成员设备 115-a。此外,认证模块225可被配置成处理经由信号214-b从接收机模块215-a 获取的消息,这些消息是作为认证规程的一部分经由信号212从成员设备115-a 接收到的。由此,认证模块225可以在执行其操作时与通信管理模块210-a(或其其他组件)、接收机模块205-a和发射机模块215-a协作。
通信管理模块210-a可管理(经由内部信号(未示出))用于寻求方设备 105-b的安全性。寻求方设备105-b或通信管理模块210-a可包括用于执行此类功能性的处理器。
加密/解密模块230可被配置成执行包括加密和解密操作的安全操作。对于应当是安全的单个认证规程,加密/解密模块230可经由与认证模块225进行交换的信号219,加密由认证模块225生成的消息并且可以解密从成员设备115-a接收到的消息。
一旦寻求方设备105-b已加入网状网络,加密/解密模块230还可被配置成执行用于设备105-b与一个或多个成员设备115之间的通信的安全操作。网状网络110内的通信应当是安全的。由此,作为网状网络110内的通信的一部分,加密/解密模块230可加密将从设备105-b传送的消息,并且可解密从其他成员设备115接收到的消息。由此,加密/解密模块230可以在执行此类操作时与通信管理模块210-a(或其其他组件)、接收机模块205-a和发射机模块215-a协作。
图2C是解说根据各个实施例的寻求方设备105-c的框图200-c。寻求方设备105-c可以是参照图1、2A和/或2B描述的无线通信设备105以及成员设备 115的一个或多个方面的示例。设备105-c也可以是处理器。设备105-c可包括接收机模块205-b、通信管理模块210-b、以及发射机模块215-b。这些组件中的每一者可彼此处于通信中。
设备105-c的组件可个体地或整体地用一个或多个适配成以硬件执行一些或所有适用功能的专用集成电路(ASIC)来实现。替换地,这些功能可以由一个或多个集成电路上的一个或多个其他处理单元(或核)来执行。在其他实施例中,可使用可按本领域任何已知方式来编程的其他类型的集成电路(例如,结构化/平台AISC、现场可编程门阵列(FPGA)、以及其他半定制IC)。每一单元的功能也可以整体或部分地用存储器中存储的、被格式化成由一个或多个通用或专用处理器执行的指令来实现。
接收机模块205-b和发射机模块215-b可被配置成执行如先前参照图2A 和/或2B描述的操作(例如,分别经由信号222和228)。通信管理模块210-b 可包括设备标识模块220-a、认证模块225-a和加密/解密模块230-a。设备标识模块220-a和加密/解密模块230-a可被配置成执行如先前参照图2A和/或2B 描述的操作。
通信管理模块210-b可被配置成执行以上操作图2A和/或2B描述的各种操作/功能。如上,通信管理模块210-b可管理(经由内部信号(未示出)) 针对寻求方设备105-c需要的一个或多个服务的发现/标识过程。此外,寻求方设备105-c或通信管理模块210-b可包括用于执行此类功能性的处理器。设备标识模块220-a可被配置成执行以上参照图2A和/或2B描述的各种功能(例如,经由信号224-a和226-a)。
通信管理模块210-b可管理(经由内部信号(未示出))认证规程以允许寻求方设备105-c加入网状网络110。寻求方设备105-c或通信管理模块210-a 可包括用于执行此类功能性的处理器。
认证模块225-a可被配置成执行以上参照图2A和/或2B描述的各种功能 (例如,经由信号224-b和226-b)。认证模块225-a可包括一次性数生成器 235、公共值生成器240、口令元素生成器245、PMK(成对主密钥)生成器 250、PTK(成对瞬时密钥)生成器255、MIC(消息完整性代码)生成器260 和/或MIC校验器265。这些模块中的每一个可经由在其间携带信号的总线270 来互连并且可由认证模块225-a来控制。认证模块225-a由此可提供如下描述的附加功能性。
在一些实施例中,单个认证规程可涉及四路握手。假定在四路握手开始之前,无线通信设备105-c和成员设备115-a已经发现彼此并同意继续认证规程。由此,四路握手使得无线通信设备105-c能够经由单个认证(对等操作)规程加入现有网络。四路握手提供了如以下进一步描述的认证和关联。
根据该方法,寻求方设备105-c和成员设备115-a具有共同的秘密口令。例如,寻求方设备105-c和成员设备115-a可被提供共同的口令。口令元素生成器245可使用该共同口令来生成口令元素(P)。一次性数生成器235可生成随机一次性数(只使用一次的任意数)Na。使用一次性数Na,公共值生成器240生成其Diffie-Hellman(DH)公共值PNa。在第一消息中,寻求方设备 105-c向成员设备115-a发送公共值PNa。
成员设备115-a生成其自己的随机一次性数并生成其DH公共值PNb。在第二消息中,寻求方设备105-c从成员设备115-a接收公共值PNb。此时,PMK 生成器250生成用于寻求方设备105-a的成对主密钥(PMK)。成员设备115-a 也生成成对主密钥(PMK)。
PTK生成器255使用PMK生成器250生成的PMK来生成成对瞬时密钥 (PTK)。寻求方设备105-c然后向成员设备115-a发送关联请求消息(第三消息)。在一些实施例中,寻求方设备105-c可以连同关联请求消息一起发送IP地址请求。MIC生成器260使用PTK来创建关联请求的消息完整性代码 (MIC)。寻求方设备105-c在关联请求中包括所生成的MIC。
在接收到关联请求之际,成员设备115-a尝试验证接收到的MIC。如果 MIC是正确(经验证)的,则设备105-c从成员设备115-a接收具有公共群密钥(可使用所建立的PTK来加密)的关联响应消息(第四消息)。在一些实施例中,设备105-c可以连同关联响应消息一起接收对IP地址请求的响应(例如,提供设备105-c的IP地址)。成员设备115-a使用PTK来创建关联响应的MIC并且在关联响应消息中包括其MIC。
每一个MIC被用来确认两个设备具有相同的口令并作为DH密钥交换的结果导出相同的密钥(PMK和PTK)。因为PMK是DH密钥交换的结果,所以无需其他DH来导出PTK。对于PTK导出可能不需要进行一次性数交换;然而,一次性数交换可被用来在关联(例如,关联请求消息和/或关联响应消息) 期间进行密钥确认。
认证和密钥导出可基于如例如IEEE 802.11标准中描述的SAE(等同方同时认证)。其简化版本在下文描述。
寻求方设备105-c(和成员设备115-a)导出:
P=F1(pw,MAC-A,MAC-STA-B) 等式1
其中P是口令元素(PWE)。MAC-A是寻求方设备105-c的媒体接入控制(MAC) 地址、MAC-B是成员设备115-a的MAC地址,而F1是IEEE 802.11中描述的导出P的函数。
根据该方法,寻求方设备105-c随机挑选Na(即,ANonce),计算PNa,并将PNa发送到成员设备115-a(第一消息)。成员设备115-a随机挑选Nb(即, BNonce),并计算keyseedAB=PNaNb。然后,成员设备115-a计算PNb并将PNb发送到寻求方设备105-c(第二消息)。寻求方设备105-c计算keyseedAB= PNaNb。
使用keyseedAB,可导出以下:
KCK||PMK=F2(keyseedAB) 等式2
其中F2是导出KCK和PMK的函数。附加细节在IEEE 802.11中提供。KCK 是用于MIC生成以提供认证消息的真实性的密钥确认密钥。因为设备105-c 无法在未接收到第二消息(认证响应)的情况下为第一消息导出KCK||PMK,所以只有第二消息携带MIC。然而,两个设备都导出KCK和PMK以生成PTK。
通信管理模块210-b可管理(经由内部信号(未示出))用于寻求方设备 105-c的安全性。寻求方设备105-c或通信管理模块210-b可包括用于执行此类功能性的处理器。
一旦寻求方设备105-c已加入网状网络,加密/解密模块230-a可被配置成执行用于设备105-c与一个或多个成员设备115之间的通信的安全操作。网状网络110内的通信应当是安全的。由此,作为网状网络110内的通信的一部分,加密/解密模块230-a可加密将从设备105-c传送的消息,并且可解密从其他成员设备115接收到的消息。由此,加密/解密模块230-a可以在执行此类操作时与通信管理模块210-b(或其其他组件)、接收机模块205-b和发射机模块215-b 协作。
图2D是解说根据各个实施例的寻求方设备105-d的框图200-d。寻求方设备105-d可以是参照图1、2A、2B和/或2C描述的无线通信设备105以及成员设备115的一个或多个方面的示例。寻求方设备105-d也可以是处理器。设备105-d可包括接收机模块205-c、通信管理模块210-c、以及发射机模块215-c。这些组件中的每一者可彼此处于通信中。
寻求方设备105-d的组件可个体地或整体地用一个或多个适配成以硬件执行一些或所有适用功能的专用集成电路(ASIC)来实现。替换地,这些功能可以由一个或多个集成电路上的一个或多个其他处理单元(或核)来执行。在其他实施例中,可使用可按本领域任何已知方式来编程的其他类型的集成电路 (例如,结构化/平台AISC、现场可编程门阵列(FPGA)、以及其他半定制 IC)。每一单元的功能也可以整体或部分地用存储器中存储的、被格式化成由一个或多个通用或专用处理器执行的指令来实现。
接收机模块205-c和发射机模块215-c可被配置成执行如先前参照图2A、 2B和/或2C描述的操作(例如,分别经由信号232和238)。通信管理模块 210-c可包括设备标识模块220-b、认证模块225-b和加密/解密模块230-b。设备标识模块220-b和加密/解密模块230-b可被配置成执行如先前参照图2A、 2B和/或2C描述的操作。
通信管理模块210-c可被配置成执行以上操作图2A、2B和/或2C描述的各种操作/功能。如上,通信管理模块210-c可管理(经由内部信号(未示出)) 针对寻求方设备105-d需要的一个或多个服务的发现过程。此外,寻求方设备 105-d或通信管理模块210-c可包括用于执行此类功能性的处理器。设备标识模块220-b可被配置成执行以上参照图2A、2B和/或2C描述的各种功能(例如,经由信号234-a和236-a)。
认证模块225-b可被配置成执行以上参照图2A、2B和/或2C描述的各种功能(例如,经由信号234-b和236-b)。认证模块225-b可包括网状密钥参数生成器270和/或网状密钥比较器275。认证模块225-b可提供如下描述的附加功能性。
网状网络中的碎片化的可能性(多个提供方设备为相同的服务创建单独的网状网络)可通过具有被配置为寻求方设备105-d的设备来解决。虽然网状密钥参数生成器270和网状密钥比较器275被示为认证模块225-b的一部分,但这些组件可以是其自己的模块的一部分或者是单独模块。一些现有设备可能已经包括用于执行发现操作和/或加密/解密的功能性。由此,此类设备可被修改成包括实现本文描述的各方面的新模块。由此,作为一个示例,网状密钥参数生成器270和网状密钥比较器275被示为认证模块225-b的一部分。
网状密钥参数生成器270和网状密钥比较器275可被配置成使得设备 105-d能够识别正提供相同的服务的多个网状网络的存在。因此,网状密钥参数生成器270和网状密钥比较器275可被用来允许或促成此类重复网状网络的合并(去碎片化)。
网状密钥可被包括在发现通告(例如,NAN(邻居知晓网络)信道上的服务发现消息)广播中或者以其他方式从作为现有网状网络的成员的设备传送。可被包括在发现通告中的其他参数可包括标识特定网状网络的网状ID、标识将被用来与特定网状网络通信的信道的网状信道以及页窗口偏移。
寻求方设备105-d的网状密钥参数生成器270可以为设备105-d已经加入的特定网状网络生成网状密钥以及其他参数(诸如上述参数)。网状密钥比较器275可将被包括在接收机模块205-c经由信号232接收到的发现通告中且经由信号234-b提供给网状密钥比较器275的网状密钥与由网状密钥参数生成器270生成且经由信号239提供给网状密钥比较器的网状密钥进行比较。如果比较确定这两个网状密钥之间存在失配,则寻求方设备105-d可确定发送发现通告的设备是提供相同的服务的不同网状网络的成员。
响应于这一确定,寻求方设备105-d可决定离开(例如,解除关联)其提供相同的服务的当前网状网络并加入对应于接收到的通告的不同的网状网络。该决定可基于任何合适的规则或准则(例如,先验)。如果寻求方设备105-d 的当前网状网络中的其他成员设备被类似地配置并应用相同的规则或准则,则当前网状网络中的所有设备可等同地决定离开和加入不同的网状网络。或者,响应于来自当前网状网络中的各个成员的通告,不同网状网络中的所有成员设备都可以最终决定离开和加入寻求方设备105-d的当前网状网络。在任一种情况下,碎片化(提供相同服务的重复网状网络的数量)可通过这样的合并来减少。
在采用公共群密钥的实施例中,网状密钥可使用公共群密钥、当前一次性数和预定文本来生成。随着时间的推移,寻求方设备105-d可接收对当前一次性数的更新。在这种情况下,经更新的网状密钥可使用公共群密钥、对当前一次性数的更新和预定文本来生成。另外,设备105-d可接收对公共群密钥的更新。在这种情况下,经更新的网状密钥可使用对公共群密钥的更新、当前一次性数和预定文本来生成。
图2E是解说根据各个实施例的寻求方设备105-e的框图200-e。寻求方设备105-e可以是参照图1、2A、2B、2C和/或2D描述的无线通信设备105以及成员设备115的一个或多个方面的示例。寻求方设备105-e也可以是处理器。设备105-e可包括接收机模块205-d、通信管理模块210-d、以及发射机模块 215-d。这些组件中的每一者可彼此处于通信中。
设备105-e的组件可个体地或共同地用一个或多个适配成以硬件执行一些或所有适用功能的专用集成电路(ASIC)来实现。替换地,这些功能可以由一个或多个集成电路上的一个或多个其他处理单元(或核)来执行。在其他实施例中,可使用可按本领域任何已知方式来编程的其他类型的集成电路(例如,结构化/平台AISC、现场可编程门阵列(FPGA)、以及其他半定制IC)。每一单元的功能也可以整体或部分地用存储器中存储的、被格式化成由一个或多个通用或专用处理器执行的指令来实现。
接收机模块205-d和发射机模块215-d可被配置成执行如先前参照图2A、 2B、2C和/或2D描述的操作(例如,分别经由信号242和248)。通信管理模块210-d可包括设备标识模块220-c、认证模块225-c和加密/解密模块230-c。
通信管理模块210-d可被配置成执行以上参照图2A、2B、2C和/或2D描述的各种操作/功能(例如,经由信号242、244、246和248以及内部信号(未示出))。此外,寻求方设备105-e或通信管理模块210-d可包括用于执行此类功能性的处理器。设备标识模块220-c(例如,经由信号244-a和246-a)和加密/解密模块230-c(经由内部信号(未示出))还可被配置成执行以上参照图2A、2B、2C和/或2D描述的操作。
同样,认证模块225-c可被配置成执行以上参照图2A、2B、2C和/或2D 描述的各种功能(例如,经由信号244-b和246-b)。认证模块225-c可包括随机数生成器280、计数器285、公共群密钥生成器290和/或公共群密钥确定子模块295。这些模块中的每一个可经由在其间携带信号的总线275来互连并且可由认证模块225-c来控制。认证模块225-a由此可提供如下描述的附加功能性。
如上所述,作为单个认证规程的一部分,寻求方设备105-e可接收公共群密钥(经由信号224-b)。公共群密钥被现有网状网络110中的所有成员设备 115拥有。由此,当寻求方设备105-e已经加入现有网状网络110时,设备105-e 和所有其他成员设备115-a到115-i可使用公共群密钥来在网状网络110内进行安全通信。
在一些实施例中,公共群密钥可包括期满时间值。这可有助于为网状网络 110提供提高的安全性(例如,通过降低网状网络中的非成员通过中继攻击来发现公共群密钥的可能性)。因为公共群密钥将期满,所以应生成新公共群密钥(其也将在某一时间点期满)以便例如就在现有公共群密钥期满之前替换现有公共群密钥。由此,需要管理用于网状网络110的公共群密钥以实现该特征。接下来描述这样的管理的一个示例。
在到达公共群密钥的期满时间值之前,设备105-e可发起从随机数到预定数的倒计数。由此,就在期满时间之前,随机数生成器280可以通过总线275 从认证模块225-c接收到指示该随机数生成器生成用于倒计数的随机数的信号。计数器285可经由总线275接收所生成的随机数并且随后可执行从所生成的随机数的倒计数。当计数器到达预定数时,认证模块225-c可通过总线275 发送指令以使得公共群密钥生成器生成新公共群密钥。设备105-e然后可经由网状网络110以安全方式向其他成员设备115发送新公共群密钥。
类似地,网状网络110中的其他成员设备115可发起从随机数到预定数的倒计数。因为倒计数的起始数是为每一个单独成员设备115随机生成的,所以每一个成员设备将很有可能具有不同的倒计数时间。目标可以是使得只有一个新公共群密钥由网状网络110中的一个设备生成并且被安全地分发至网状网络中的所有其他设备。由此,一旦一个设备已经生成新公共群密钥,其他设备就可退出生成其自己的供分发的新公共群密钥的过程(例如,通过中断其倒计数)。
例如,如果一个或多个成员设备的倒计数时间少于寻求方设备105-e的倒计数时间,则寻求方设备105-e将有可能在设备105-e的计数器285到达预定数之前从一个成员设备115接收到新公共群密钥(经由信号242)。在这种情况下,在经由信号244-b接收到新公共群密钥之际,认证模块225-c可通过总线275发送指令以使得计数器285中断倒计数。由此,公共群密钥生成器可以不被指示生成新公共群密钥。设备105-e随后可以用接收到的新公共群密钥来替换当前公共群密钥。
然而,因为可能存在消息到达的传播时间的差异(例如,由于延迟),所以从一个成员设备115向设备105-e提供新公共群密钥的消息事实上可能不是第一个生成的新公共群密钥。在这种情况下,设备105-e可以从不同的成员设备115接收另一新公共群密钥。对第二(或第三、第四等)新公共群密钥的这一接收可通过要求该第二(或第三、第四等)新公共群密钥在接收到第一新公共群密钥后的预定时间内接收到来限制。
如果第二(或第三、第四等)新公共群密钥是由寻求方设备105-e在设备 105-e接收到第一新公共群密钥后的预定时间内接收到的,则公共群密钥确定子模块295可经由总线275接收这两个密钥并确定接收到的新公共群密钥中的哪一个是有效的(并且将被用来替换当前公共群密钥)。例如,公共群密钥确定子模块295可使用一个或多个抑制准则来做出其判定。抑制规则/准则可基于一个因素或多个因素的组合,诸如更高的MAC地址、对应的生成方设备在网状网络110中的资历等。网状网络110中的所有设备可被配置成应用相同的抑制规则/准则。
为了使新公共群密钥在整个网状网络110中安全地分发,成员设备可被配置成采用本文描述的认证规程的一个或多个方面。已生成新公共群密钥的成员设备可经由使用马上期满的当前公共群密钥来保护的消息来通知其相邻设备 (例如,单个跳跃内的)。每一个邻居设备都可独立地与该成员设备执行认证并且在成功认证之际接收新公共群密钥。马上期满的公共群密钥甚至在接收到新公共群密钥之后也可以在网状网络110中的每一个设备处保持有效,以允许递送仍然可能在传送中的采用马上期满的公共群密钥的任何话务(例如,消息、视频等)。
图3是解说根据各种实施例的设备105-f的框图300。设备105-f可作为如本文描述的寻求方设备或成员设备来操作,这取决于设备105-f的实际用途。在一个配置中,成员设备115可被称为通告方设备。寻求方设备105-f可被配置成参与发现过程以便经由网状联网来获取所需服务。由此,设备105-f可以分别是图1、2A、2B、2C、2D和/或2E的寻求方设备105和/或通告方设备115。设备105-f可具有各种配置中的任一者,诸如个人计算机(例如,膝上型计算机、上网本计算机、平板计算机等)、蜂窝电话、PDA、数字视频记录器(DVR)、因特网电器、游戏控制台、电子阅读器等。设备105-f可具有用于促成移动操作的内部电源(未示出),诸如小电池。
在所示配置中,设备105-f包括一个或多个天线310、收发机模块315、通信管理模块320、存储器325、处理器模块335、设备标识模块340、认证模块345以及加密/解密模块350,其各自可以直接或间接地相互通信(例如,经由一条或多条总线355)。收发机模块315被配置成经由向天线310发送并从天线310接收的信号312来进行双向通信,如上所述。例如,收发机模块315 可被配置成与图1、2A、2B、2C、2D和/或2E的其他设备105和/或115进行双向通信。收发机模块315可包括如先前描述的图2A、2B、2C、2D和/或2E 的接收机模块205和发射机模块215。在一个实施例中,收发机模块315可进一步包括调制解调器,该调制解调器被配置成调制分组并将经调制分组提供给天线310以供发射,以及解调从天线310接收到的分组。虽然设备105-f可包括单个天线,但设备105-f将通常包括用于多条链路的多个天线310。
存储器325可包括随机存取存储器(RAM)和只读存储器(ROM)。存储器325可以存储包含指令的计算机可读、计算机可执行的软件代码330,这些指令被配置成在被执行时致使处理器模块335执行本文描述的各种功能(例如,标识/确定/获取音频和/或视频流、图形资源和/或渲染指令、接收、传送等)。替换地,软件330可以是不能由处理器模块335直接执行的,而是被配置成(例如,当被编译和执行时)使计算机执行本文描述的功能。
处理器模块335可包括智能硬件设备,例如,中央处理单元(CPU)、微控制器、专用集成电路(ASIC)等。处理器模块335可包括语音编码器(未示出),该语音编码器被配置成经由话筒接收音频、将该音频转换成代表收到音频的分组(例如,长30ms)、将这些音频分组提供给收发机模块315、以及提供对用户是否正在说话的指示。替换地,编码器可以仅向收发机模块315提供分组,其中由分组本身的提供或扣留/抑制来提供对用户是否正在说话的指示。
通信管理模块320可以是设备105-f的组件,该组件经由总线355与设备 105-f的一些或所有其他组件通信。替换地,通信管理模块320的功能性可被实现为收发机模块315的组件、实现为计算机程序产品、和/或实现为处理器模块335的一个或多个控制器元件。通信管理模块320可以是参照图2A、2B、2C、 2D和/或2E描述的通信管理模块210之一的一个或多个方面的示例。
设备标识模块340、认证模块345和加密/解密模块350可以是参照图2A、 2B、2C、2D和/或2E描述的相应模块220、225和230之一的一个或多个方面的示例。由此,这些模块可被配置成执行各种操作中的任一个或提供本文描述的功能性。
设备105-f的组件可个体地或共同地用一个或多个适配成以硬件执行一些或所有适用功能的专用集成电路(ASIC)来实现。替换地,这些功能可以由一个或多个集成电路上的一个或多个其他处理单元(或核)来执行。在其他实施例中,可使用可按本领域任何已知方式来编程的其他类型的集成电路(例如,结构化/平台AISC、现场可编程门阵列(FPGA)、以及其他半定制IC)。每一单元的功能也可以整体或部分地用存储器中体现的、被格式化成由一个或多个通用或专用处理器执行的指令来实现。所述模块中的每一者可以是用于执行与如本文描述的设备105-f的操作有关的一个或多个功能的装置。
图4是解说如以上参照图1描述的寻求方设备(诸如无线通信设备105-g) 和通告方设备115-a(即,成员设备)之间的通信的一个示例的消息流图400。寻求方设备105-g也可以是图2A、2B、2C、2D、2E和/或3的设备105的示例。通告方设备115可以是图2A、2B、2C、2D、2E和/或3中所解说的设备 115的示例。
在一个配置中,寻求方设备105-g和通告方设备115-a可以通信以使得寻求方设备105-g所需要的服务以及现有网状网络110(包括通告方设备115-a) 被找到,在图4中被标示为405。寻求方设备105-g和通告方设备115-a可同意参与认证规程,在图4中被标示为410。认证规程410可以是本文描述的四路握手的实现。由此,如图所示,认证规程410可包括第一消息415、第二消息420、第三消息425和第四消息430,每一个消息都可涉及四路握手中的相应消息的各方面。在成功完成认证规程410之际,寻求方设备105-g可加入现有网状网络110并拥有公共群密钥以使得该设备105-g能够经由网状网络110 发送和接收通信435。本领域技术人员将认识到在寻求方设备105-g和通告方设备115-a之间的协商中可以涉及众多消息以便就继续认证规程410达成共识,并且405仅仅表示实际上可以进行的通信。
图5是解说由寻求方设备105执行的用于经由网状网络进行通信以便诸如由此获取一个或多个服务的方法500的实施例的流程图。为清楚起见,以下参照图1所示的布置100,和/或参照关于图1、2A、2B、2C、2D、2E、3和/或 4描述的寻求方设备105之一以及成员设备115之一来描述方法500。在一种实现中,参照图2A、2B、2C、2D、2E、3描述的通信管理模块210可执行一个或多个代码集以控制寻求方设备105的功能元件执行以下描述的功能。
在一个实施例中,在框505,设备105可以从现有网状网络110中的多个成员设备115中标识成员设备。所标识的成员设备可以是帮助过设备105找到所需服务的成员设备。在框510,设备105可以与所标识的成员设备115-a通信以参与单个认证规程。在框515,如果成功完成单个认证规程,则设备105 可加入现有网状网络,而无需为了加入现有网状网络110而与另一成员设备 115进行任何附加认证规程。
因此,方法500可用于简化供设备加入现有网状网络的对等操作。如上所述,可减少为了与现有网状网络中的设备进行对等操作而交换的消息的数量。此外,设备无需为了加入而与现有网状网络中的每一个单独成员设备进行对等操作。应注意,方法500仅是一种实现且其他实现是可能的。
图6是解说由寻求方设备执行的用于经由网状网络进行通信以便诸如由此获取一个或多个服务的方法600的另一实施例的流程图。为清楚起见,以下参照图1所示的布置100,和/或参照关于图1、2A、2B、2C、2D、2E、3和/ 或4描述的寻求方设备105之一和/或成员设备115之一来描述方法500。在一个实现中,参照图2A、2B、2C、2D、2E、3描述的通信管理模块210可执行一个或多个代码集以控制寻求方设备105的功能元件执行以下描述的功能。
在一个实施例中,在框605,设备105可以向现有网状网络110中的先前标识的设备115-a中发送认证请求。在框610,设备105可以从先前标识的成员设备115-a接收认证响应。接着,在框615,可生成PMK。然后,在框620,可生成PTK。接着,在框625,设备105可以向成员设备115-a发送关联请求。如上所述,关联请求可包括由设备105生成的MIC。如果在框630MIC是不正确的(例如,不匹配由成员设备115作为认证规程的一部分而生成的MIC),则方法600可继续至框635,其中设备105可接收关联拒绝消息。由此,如果 MIC是不正确的,则设备105可以不被允许加入现有网状网络110。
另一方面,如果设备105生成的MIC是正确的(例如,匹配由成员设备 115生成的MIC),则方法600可跳转至框640,其中设备105可接收包括公共群密钥的关联响应。由此,如果MIC是正确的,则设备105可加入现有网状网络110,而无需与网状网络110中的其他成员设备进行对等操作或执行任何附加认证。
因此,方法600可用于简化供设备加入现有网状网络的对等操作。应注意,方法600仅是一种实现且其他实现是可能的。
图7是解说由寻求方设备执行的用于经由网状网络进行通信以便诸如由此获取一个或多个服务的方法700的实施例的流程图。为清楚起见,以下参照图1所示的布置100,和/或参照关于图1、2A、2B、2C、2D、2E、3和/或4 描述的寻求方设备105之一和/或成员设备115之一来描述方法700。在一个实现中,参照图2A、2B、2C、2D、2E、3描述的通信管理模块210可执行一个或多个代码集以控制寻求方设备105的功能元件执行以下描述的功能。
在一个实施例中,在框705,设备105可接收公共群密钥。在框710,设备105可以例如使用公共群密钥、当前一次性数和预定文本来生成网状密钥。如果在框715设备105接收到信息更新,则方法700可继续至框720,其中设备105可使用该更新信息来执行更新。在一些实施例中,接收到的更新信息可包括对当前一次性数的更新。在这种情况下,设备105可使用公共群密钥、对当前一次性数的更新和预定文本来生成经更新的网状密钥。另选地或另外地,接收到的更新信息可包括对公共群密钥的更新。在这种情况下,设备105可使用对公共群密钥的更新、当前一次性数和预定文本来生成经更新的网状密钥。应理解,框715和720处的操作是可选的,且对于特定实现可以不被包括在内。
在设备105完成更新后(当包括框715和720时),该方法可以(在框 715和720未被包括在内时从框710直接)继续至框725。同样,如果在框715 设备105未接收到信息更新,则方法700可跳转至框725。在框725,设备105 可以从相邻设备(例如,射程内的设备)接收包括网状密钥的发现消息。接着,在框730,设备105可将所生成的网状密钥与被包括在发现消息中的网状密钥进行比较。随后,基于比较的结果,在框735,设备105可确定是否存在用于提供与现有网状网络相同的服务的另一网状网络。例如,设备105可确定相邻设备是提供现有网状网络110(设备105是其成员)提供的一个或多个服务的不同网状网络的一部分。
如上所述,基于这一确定,设备105可离开(例如,解除关联)其当前网状网络并加入不同的网状网络。如上所述,可通过这一合并来具有减少碎片化的效果(随时间)。因此,方法700可用于解决网状联网中的碎片化。应注意,方法700仅是一种实现且其他实现是可能的。
图8是解说由设备执行的用于经由网状网络进行通信以便诸如由此获取 (或提供)一个或多个服务的方法800的另一实施例的流程图。为清楚起见,以下参照图1所示的布置100,和/或参照关于图1、2A、2B、2C、2D、2E、3 和/或4描述的寻求方设备105之一和/或成员设备115之一来描述方法800。在一个实现中,参照图2A、2B、2C、2D、2E、3描述的通信管理模块210可执行一个或多个代码集以控制寻求方设备105的功能元件执行以下描述的功能。
在一个实施例中,在框805,设备105可接收公共群密钥。在该示例中,公共群密钥可包括期满时间值。由此,在特定时间点或者在特定时间区间逝去后,公共群密钥将期满。接着,在框810,设备105可以在公共群密钥的期满临近时发起倒计数。如上所述,倒计数可以从随机数到预定数。
在框815,设备可确定它是否已从网状网络110中的另一设备115接收到新公共群密钥。如果否,则在框820设备105可确定是否以到达预定数。如果否,则该方法可返回到框815。如果是,则在框825设备105可生成新公共群密钥。随后在框830,设备可经由网状网络110以安全方式向该网状网络中的其他成员设备发送其新公共群密钥。
如果设备105已经从网状网络110中的另一设备115接收到新公共群密钥 (例如,第一),则方法800可从框815跳转至框835。在框835,设备105 可确定自从设备105接收到新公共群密钥(第一次接收到的新公共群密钥)以来是否已逝去预定时间。如果是,则方法800可继续至框840,其中设备105 可停止/中断其倒计数。然后,在框845,设备105可更新到(第一次且仅仅接收到的)新公共群密钥。
如果预定时间尚未逝去,则方法800可从框835跳转至框850。在框850,设备105可确定它是否已从网状网络110中的另一设备115接收到新公共群密钥(例如,第二等)。如果否,则该方法800可返回到框835。如果是,则方法800可继续至框855,其中设备105可再次确定自从设备105接收到新公共群密钥(第一次接收到的新公共群密钥)以来是否已逝去预定时间。如果否,则该方法可返回到框850。如果是,则方法800可继续至框860,其中设备105确定它接收到的新公共群密钥中的哪一个是有效的(例如,使用一个或多个抑制准则)。然后,在框865,设备105可更新到该有效的新公共群密钥。
尽管未描绘,但应理解方法800可包括设备105自己生成的新公共群密钥与设备105在自从该设备生成或发送其新公共群密钥以来逝去预定时间之前接收到的一个或多个新公共群密钥之间的评估。
因此,方法800可用于管理用于网状网络的公共群密钥,其中该公共群密钥包括期满时间。应注意,方法800仅是一种实现且其他实现是可能的。
应理解,上述方法不是互斥的,并且可以在适当时或者在需要实现所需实现时相互组合(部分地或整体地)。
以上描述提供示例而并非限定权利要求中阐述的范围、适用性或者配置。可以对所讨论的要素的功能和布置作出改变而不会脱离本公开的精神和范围。各种实施例可恰适地省略、替代、或添加各种规程或组件。例如,可以按不同于所描述的次序来执行所描述的方法,并且可以添加、省去、或组合各种步骤。此外,关于某些实施例描述的特征可在其他实施例中加以组合。以下描述可互换地使用术语DTX和非连续传输。
以上结合附图阐述的详细说明描述了示例性实施例而不代表可被实现或者落在权利要求的范围内的仅有实施例。贯穿本描述使用的术语“示例性”意指“用作示例、实例或解说”,而并不意指“优于”或“胜过其他实施例”。本详细描述包括具体细节来提供对所描述的技术的理解。然而,可以在没有这些具体细节的情况下实践这些技术。在一些实例中,众所周知的结构和设备以框图形式示出以避免模糊所描述的实施例的概念。
信息和信号可使用各种各样的不同技艺和技术中的任一种来表示。例如,以上描述通篇可能引述的数据、指令、命令、信息、信号、位(比特)、码元、和码片可由电压、电流、电磁波、磁场或磁粒子、光场或光粒子、或者其任何组合来表示。
结合本文中的公开描述的各种解说性框以及模块可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其设计成执行本文中描述的功能的任何组合来实现或执行。通用处理器可以是微处理器,但在替换方案中,处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合,例如DSP与微处理器的组合、多个微处理器、与DSP核心协作的一个或更多个微处理器、或任何其他此类配置。
本文中所描述的功能可以在硬件、由处理器执行的软件、固件、或其任何组合中实现。如果在由处理器执行的软件中实现则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上或藉其进行传送。其他示例和实现落在本公开及所附权利要求的范围和精神内。例如,由于软件的本质,以上描述的功能可使用由处理器执行的软件、硬件、固件、硬连线或其任意组合来实现。实现功能的特征也可物理地位于各种位置,包括被分布以使得功能的各部分在不同的物理位置处实现。另外,如本文中(包括权利要求中)所使用的,在接有“中的至少一个”的项目列举中使用的“或”指示析取式列举,以使得例如“A、 B或C中的至少一个”的列举表示A或B或C或AB或AC或BC或ABC(即, A和B和C)。
计算机可读介质包括计算机存储介质和通信介质两者,包括促成计算机程序从一地向另一地转移的任何介质。存储介质可以是能被通用或专用计算机访问的任何可用介质。作为示例而非限定,计算机可读介质可包括RAM、ROM、 EEPROM、CD-ROM或其他光盘存储、磁盘存储或其他磁存储设备、或能用来携带或存储指令或数据结构形式的期望程序代码手段且能由通用或专用计算机、或者通用或专用处理器访问的任何其他介质。任何连接也被正当地称为计算机可读介质。例如,如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来,则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文所用的盘(disk)和碟(disc)包括压缩碟(CD)、激光碟、光碟、数字多用碟(DVD)、软盘和蓝光碟,其中盘(disk)常常磁性地再现数据,而碟(disc)用激光来光学地再现数据。上述的组合也被包括在计算机可读介质的范围内。
提供对本公开的先前描述是为使得本领域技术人员皆能够制作或使用本公开。对本公开的各种修改对本领域技术人员来说都将是显而易见的,且本文中所定义的普适原理可被应用到其他变体而不会脱离本公开的精神或范围。贯穿本描述的术语“示例”或“示例性”指示了示例或实例并且并不暗示或要求对所提及的示例的任何偏好。由此,本公开并非被限定于本文中所描述的示例和设计,而是应被授予与本文中所公开的原理和新颖性特征相一致的最广范围。
Claims (33)
1.一种用于经由现有网状网络进行通信的方法,包括:
标识现有网状网络中的多个成员设备中的一个成员设备;
与所标识的成员设备通信以参与单个认证规程;以及
在成功完成所述单个认证规程之际,加入所述现有网状网络,而无需为了加入所述现有网状网络而与所述多个成员设备中的另一成员设备进行任何附加认证规程,
其中所述与所标识的成员设备通信以参与单个认证规程包括:
将包括第一公共值的认证请求发送到所述所标识的成员设备,所述第一公共值使用口令元素和第一一次性数来生成,所述口令元素是从与所述所标识的成员设备共同的口令中生成的;
从所述所标识的成员设备接收包括第二公共值的认证响应,所述第二公共值使用所述口令元素和第二一次性数来生成,所述口令元素是从所述共同的口令中生成的;
使用所述第一公共值和第二公共值来生成成对共享密钥(PMK);以及
使用所生成的PMK来生成成对瞬态密钥(PTK)。
2.如权利要求1所述的方法,其特征在于,加入所述现有网状网络包括:
接收用于与所述现有网状网络中的多个成员设备中的任意一个成员设备进行通信的公共群密钥,所述接收是从所述多个成员设备中标识的任意一个成员设备接收的。
3.如权利要求2所述的方法,其特征在于,进一步包括:
使用所述公共群密钥来加密消息;以及
经由所述现有网状网络向所述多个成员设备中的任一个发送经加密的消息。
4.如权利要求2所述的方法,其特征在于,进一步包括:
经由所述现有网状网络从所述多个成员设备中的任意一个成员设备接收经加密的消息;以及
使用所述公共群密钥来解密接收到的经加密的消息。
5.如权利要求2所述的方法,其特征在于,接收所述公共群密钥进一步包括从所述现有网状网络的所述多个成员设备中的任一个成员设备接收所述公共群密钥。
6.如权利要求1所述的方法,其特征在于,与所标识的成员设备通信以参与所述单个认证规程进一步包括:
将包括消息完整性代码(MIC)的关联请求发送到所述所标识的成员设备,所述MIC使用所生成的PTK来生成;以及
接收包括用于与所述现有网状网络中的多个成员设备中的任意一个成员设备通信的公共群密钥的关联响应。
7.如权利要求6所述的方法,其特征在于,包括所述公共群密钥的关联响应只在所述关联请求中所包括的MIC是正确的情况下被接收。
8.如权利要求6所述的方法,其特征在于,被包括在接收到的关联响应中的所述公共群密钥使用所述PTK来加密。
9.如权利要求6所述的方法,其特征在于,所述关联请求和所述关联响应由所述PTK来保护。
10.如权利要求6所述的方法,其特征在于,进一步包括:
连同所述关联请求一起发送网际协议(IP)地址请求。
11.如权利要求10所述的方法,其特征在于,进一步包括:
连同所述关联响应一起接收IP地址响应,其中所述IP地址响应分配IP地址。
12.如权利要求1所述的方法,其特征在于,所述现有网状网络是使得Wi-Fi设备能够同步到公共发现窗口以便进行服务发现和网状参数交换的社交Wi-Fi网状网络。
13.如权利要求1所述的方法,其特征在于,进一步包括:
接收用于与所述现有网状网络中的多个成员设备中的任意一个成员设备通信的公共群密钥、当前一次性数和预定文本;以及
使用所述公共群密钥、所述当前一次性数和所述预定文本来生成网状密钥。
14.如权利要求13所述的方法,其特征在于,进一步包括:
接收对所述当前一次性数的更新,所述网状密钥的生成使用所述公共群密钥、对所述当前一次性数的更新和所述预定文本来执行。
15.如权利要求13所述的方法,其特征在于,进一步包括:
接收对所述公共群密钥的更新,所述网状密钥的生成使用对所述公共群密钥的更新、所述当前一次性数和所述预定文本来执行。
16.如权利要求13所述的方法,其特征在于,进一步包括:
其中检测服务广告的广播进一步包括:
从一个或多个相邻设备接收包括网状密钥的发现消息;
将所生成的网状密钥与被包括在所述发现消息中的网状密钥进行比较;以及
至少部分地基于所述比较的结果来确定是否存在用于提供与所述现有网状网络相同的服务的另一网状网络。
17.如权利要求1所述的方法,其特征在于,进一步包括:
接收用于与所述现有网状网络中的多个成员设备中的任意一个成员设备进行通信的公共群密钥,所述公共群密钥包括期满时间值,所述接收是从所述多个成员设备中标识的任意一个成员设备接收的。
18.如权利要求17所述的方法,其特征在于,进一步包括:
发起从随机数到预定数的倒计数,所述倒计数是在到达所述公共群密钥的期满时间值之前发起的;
在到达所述预定数之际,生成新公共群密钥;以及
经由所述现有网状网络以安全的方式将所述新公共群密钥发送到所述多个成员设备。
19.如权利要求18所述的方法,其特征在于,进一步包括:
在到达所述预定数之前经由所述现有网状网络安全地接收第一新公共群密钥,所述接收是从所述多个成员设备中标识的任意一个成员设备接收的;以及
在接收到所述第一新公共群密钥之际中断所述倒计数。
20.如权利要求19所述的方法,其特征在于,进一步包括:
在接收到所述第一新公共群密钥后的预定时间内经由所述现有网状网络安全地接收第二新公共群密钥,所述接收是从所述多个成员设备中标识的任意一个成员设备接收的;以及
使用一个或多个抑制准则来确定所述第一新公共群密钥和第二新公共群密钥中的哪一个是有效的。
21.如权利要求1所述的方法,其特征在于,所述现有网状网络是邻居知晓网络(NAN)。
22.一种用于供无线通信设备经由现有网状网络进行通信的装置,包括:
被配置成标识现有网状网络中的多个成员设备中的一个成员设备的第一处理模块;
被配置成与所标识的成员设备通信以参与单个认证规程的第二处理模块;以及
通信管理模块,其被配置成使得所述无线通信设备在成功完成所述单个认证规程之际加入所述现有网状网络,而无需为了加入所述现有网状网络而与所述多个成员设备中的另一成员设备进行任何附加认证规程,
其中所述第二处理模块被配置成:
将包括第一公共值的认证请求发送到所述所标识的成员设备,所述第一公共值使用口令元素和第一一次性数来生成,所述口令元素是从与所述所标识的成员设备共同的口令中生成的;
从所述所标识的成员设备接收包括第二公共值的认证响应,所述第二公共值使用所述口令元素和第二一次性数来生成,所述口令元素是从所述共同的口令中生成的;
使用所述第一公共值和第二公共值来生成成对共享密钥(PMK);以及
使用所生成的PMK来生成成对瞬态密钥(PTK)。
23.如权利要求22所述的装置,其特征在于,所述通信管理模块被配置成接收用于与所述现有网状网络中的多个成员设备中的任意一个成员设备进行通信的公共群密钥,所述接收是从所述多个成员设备中标识的任意一个成员设备接收的。
24.如权利要求22所述的装置,其特征在于,所述第二处理模块被配置成:
将包括消息完整性代码(MIC)的关联请求发送到所述所标识的成员设备,所述MIC使用所生成的PTK来生成;以及
接收包括用于与所述现有网状网络中的多个成员设备中的任意一个成员设备通信的公共群密钥的关联响应。
25.如权利要求24所述的装置,其特征在于,包括所述公共群密钥的关联响应只在所述关联请求中所包括的MIC是正确的情况下被接收。
26.一种用于经由现有网状网络进行通信的设备,包括:
用于标识现有网状网络中的多个成员设备中的一个成员设备的装置;
用于与所标识的成员设备通信以参与单个认证规程的装置;以及
用于在成功完成所述单个认证规程之际加入所述现有网状网络,而无需为了加入所述现有网状网络而与所述多个成员设备中的另一成员设备进行任何附加认证规程的装置,
其中所述用于与所标识的成员设备通信以参与单个认证规程的装置被配置成:
将包括第一公共值的认证请求发送到所述所标识的成员设备,所述第一公共值使用口令元素和第一一次性数来生成,所述口令元素是从与所述所标识的成员设备共同的口令中生成的;
从所述所标识的成员设备接收包括第二公共值的认证响应,所述第二公共值使用所述口令元素和第二一次性数来生成,所述口令元素是从所述共同的口令中生成的;
使用所述第一公共值和第二公共值来生成成对共享密钥(PMK);以及
使用所生成的PMK来生成成对瞬态密钥(PTK)。
27.如权利要求26所述的设备,其特征在于,用于加入所述现有网状网络的装置包括:
用于接收用于与所述现有网状网络中的多个成员设备中的任意一个成员设备通信的公共群密钥的装置,所述接收是从所述多个成员设备中标识的任意一个成员设备接收的。
28.如权利要求27所述的设备,其特征在于,进一步包括:
用于使用所述公共群密钥来加密消息的装置;以及
用于经由所述现有网状网络向所述多个成员设备中的任意一个成员设备发送经加密的消息的装置。
29.一种用于经由现有网状网络进行通信的装置,包括:
至少一个处理器;
与所述至少一个处理器处于电子通信的存储器;以及
存储在所述存储器中的指令,所述指令能由所述至少一个处理器执行以便:
标识所述现有网状网络中的多个成员设备中的一个成员设备;
与所标识的成员设备通信以参与单个认证规程;以及
在成功完成所述单个认证规程之际加入所述现有网状网络,而无需为了加入所述现有网状网络而与所述多个成员设备中的另一成员设备进行任何附加认证规程,
其中能由所述至少一个处理器执行以便与所标识的成员设备通信以参与单个认证规程的指令由所述至少一个处理器执行以便:
将包括第一公共值的认证请求发送到所述所标识的成员设备,所述第一公共值使用口令元素和第一一次性数来生成,所述口令元素是从与所述所标识的成员设备共同的口令中生成的;
从所述所标识的成员设备接收包括第二公共值的认证响应,所述第二公共值使用所述口令元素和第二一次性数来生成,所述口令元素是从所述共同的口令中生成的;
使用所述第一公共值和第二公共值来生成成对共享密钥(PMK);以及
使用所生成的PMK来生成成对瞬态密钥(PTK)。
30.如权利要求29所述的装置,其特征在于,能由所述至少一个处理器执行以加入所述现有网状网络的指令包括:
能由所述至少一个处理器执行以接收用于与所述现有网状网络中的多个成员设备中的任意一个成员设备进行通信的公共群密钥的指令,所述接收是从所述多个成员设备中标识的任意一个成员设备接收的。
31.如权利要求29所述的装置,其特征在于,能由所述至少一个处理器执行以与所述所标识的成员设备通信以参与所述单个认证规程的指令包括进一步能由所述至少一个处理器执行以执行以下操作的指令:
将包括消息完整性代码(MIC)的关联请求发送到所述所标识的成员设备,所述MIC使用所生成的PTK来生成;以及
接收包括用于与所述现有网状网络中的多个成员设备中的任意一个成员设备通信的公共群密钥的关联响应。
32.如权利要求31所述的装置,其特征在于,包括所述公共群密钥的关联响应只在所述关联请求中所包括的MIC是正确的情况下被接收。
33.一种存储用于无线通信的计算机可执行代码的非瞬态计算机可读介质,所述代码能由处理器执行以便:
标识现有网状网络中的多个成员设备中的一个成员设备;
与所标识的成员设备通信以参与单个认证规程;以及
在成功完成所述单个认证规程之际加入所述现有网状网络,而无需为了加入所述现有网状网络而与所述多个成员设备中的另一成员设备进行任何附加认证规程,
其中能由处理器执行以便与所标识的成员设备通信以参与单个认证规程的代码由所述处理器执行以便:
将包括第一公共值的认证请求发送到所述所标识的成员设备,所述第一公共值使用口令元素和第一一次性数来生成,所述口令元素是从与所述所标识的成员设备共同的口令中生成的;
从所述所标识的成员设备接收包括第二公共值的认证响应,所述第二公共值使用所述口令元素和第二一次性数来生成,所述口令元素是从所述共同的口令中生成的;
使用所述第一公共值和第二公共值来生成成对共享密钥(PMK);以及
使用所生成的PMK来生成成对瞬态密钥(PTK)。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/227,872 | 2014-03-27 | ||
US14/227,872 US9462464B2 (en) | 2014-03-27 | 2014-03-27 | Secure and simplified procedure for joining a social Wi-Fi mesh network |
PCT/US2015/020686 WO2015148165A2 (en) | 2014-03-27 | 2015-03-16 | Secure and simplified procedure for joining a social wi-fi mesh network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106134152A CN106134152A (zh) | 2016-11-16 |
CN106134152B true CN106134152B (zh) | 2019-08-13 |
Family
ID=52823794
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580016040.8A Expired - Fee Related CN106134152B (zh) | 2014-03-27 | 2015-03-16 | 用于加入社交wi-fi网状网络的方法、设备及装置 |
Country Status (8)
Country | Link |
---|---|
US (1) | US9462464B2 (zh) |
EP (1) | EP3123693A2 (zh) |
JP (1) | JP6571676B2 (zh) |
KR (1) | KR20160138057A (zh) |
CN (1) | CN106134152B (zh) |
CA (1) | CA2940534A1 (zh) |
TW (1) | TWI654864B (zh) |
WO (1) | WO2015148165A2 (zh) |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150003607A1 (en) * | 2013-06-26 | 2015-01-01 | Samsung Electronics Co., Ltd. | Secure connection method and apparatus of electronic device |
US20170223531A1 (en) * | 2014-07-28 | 2017-08-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication in a wireless communications network |
WO2016077835A1 (en) * | 2014-11-15 | 2016-05-19 | Silicondust Usa Inc. | Adding a device to a protected network without data entry on the device |
US20160223333A1 (en) * | 2015-01-30 | 2016-08-04 | Qualcomm Incorporated | Route determination using neighbor awareness network devices |
GB201506045D0 (en) * | 2015-04-09 | 2015-05-27 | Vodafone Ip Licensing Ltd | SIM security |
EP3286871B1 (en) * | 2015-04-24 | 2020-07-22 | PCMS Holdings, Inc. | Systems, methods, and devices for device credential protection |
JP2017143480A (ja) * | 2016-02-12 | 2017-08-17 | パナソニックIpマネジメント株式会社 | 通信端末、マルチホップ通信システム、およびプログラム |
JP2017152920A (ja) * | 2016-02-24 | 2017-08-31 | パナソニックIpマネジメント株式会社 | 通信端末、マルチホップ通信システム、およびプログラム |
US10292189B2 (en) * | 2016-05-17 | 2019-05-14 | Mediatek Inc. | Method of network configuration for wireless access point |
JP2018046450A (ja) * | 2016-09-15 | 2018-03-22 | キヤノン株式会社 | 通信装置、通信方法、及びプログラム |
US10887295B2 (en) * | 2016-10-26 | 2021-01-05 | Futurewei Technologies, Inc. | System and method for massive IoT group authentication |
US11343312B2 (en) * | 2017-09-21 | 2022-05-24 | Qualcomm Incorporated | Social mesh networks |
KR102114992B1 (ko) * | 2018-04-25 | 2020-05-25 | (주)휴맥스 | 무선 통신 장비 및 무선 통신 장비의 메쉬 네트워크 구성 방법 |
CN109005044B (zh) * | 2018-08-02 | 2020-10-30 | Oppo广东移动通信有限公司 | 数据传输控制方法及相关装置 |
US11641363B2 (en) * | 2019-01-14 | 2023-05-02 | Qatar Foundation For Education, Science And Community Development | Methods and systems for verifying the authenticity of a remote service |
CN112019801B (zh) | 2019-05-31 | 2022-10-25 | 星宸科技股份有限公司 | 影像监控系统及其区域网络系统及建构方法 |
US11463936B2 (en) * | 2019-11-29 | 2022-10-04 | Izuma Tech, Inc. | Multihop network routing extension |
CN114697958A (zh) * | 2020-12-30 | 2022-07-01 | 中兴通讯股份有限公司 | 无线接入点的入网方法、系统、ap及存储介质 |
KR20220124939A (ko) * | 2021-03-04 | 2022-09-14 | 삼성전자주식회사 | 공유 암호 키 갱신을 수행하는 방법 및 이를 지원하는 전자 장치 |
US11546323B1 (en) * | 2022-08-17 | 2023-01-03 | strongDM, Inc. | Credential management for distributed services |
US11736531B1 (en) | 2022-08-31 | 2023-08-22 | strongDM, Inc. | Managing and monitoring endpoint activity in secured networks |
US11765159B1 (en) | 2022-09-28 | 2023-09-19 | strongDM, Inc. | Connection revocation in overlay networks |
US11916885B1 (en) | 2023-01-09 | 2024-02-27 | strongDM, Inc. | Tunnelling with support for dynamic naming resolution |
US11765207B1 (en) | 2023-03-17 | 2023-09-19 | strongDM, Inc. | Declaring network policies using natural language |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101646172A (zh) * | 2009-09-08 | 2010-02-10 | 杭州华三通信技术有限公司 | 一种分布式mesh网络中产生密钥的方法和装置 |
CN101810019A (zh) * | 2007-09-27 | 2010-08-18 | 朗讯科技公司 | 对无线网络中的节点的认证方法和装置 |
CN101911814A (zh) * | 2007-12-28 | 2010-12-08 | 英特尔公司 | 用于协商成对主密钥以使无线网状网络中的对等链路安全的设备和方法 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050243765A1 (en) * | 2003-07-25 | 2005-11-03 | Schrader Mark E | Mesh network and piconet work system and method |
KR101248906B1 (ko) | 2005-05-27 | 2013-03-28 | 삼성전자주식회사 | 무선 랜에서의 키 교환 방법 |
US8761125B2 (en) * | 2006-05-01 | 2014-06-24 | The Hong Kong University Of Science And Technology | Scalable wireless mesh networks |
US8578159B2 (en) * | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
US8451809B2 (en) * | 2007-04-13 | 2013-05-28 | Hart Communication Foundation | Wireless gateway in a process control environment supporting a wireless communication protocol |
US8904177B2 (en) | 2009-01-27 | 2014-12-02 | Sony Corporation | Authentication for a multi-tier wireless home mesh network |
JP5323020B2 (ja) * | 2010-09-29 | 2013-10-23 | 三菱電機株式会社 | 通信システム、通信方法およびハンディターミナル |
JP2012195774A (ja) * | 2011-03-16 | 2012-10-11 | Toshiba Corp | ノード及びプログラム |
US8959607B2 (en) * | 2011-08-03 | 2015-02-17 | Cisco Technology, Inc. | Group key management and authentication schemes for mesh networks |
WO2013022651A1 (en) * | 2011-08-08 | 2013-02-14 | Marvell World Trade Ltd. | Key derivative function for network communications |
US9591525B2 (en) * | 2012-05-03 | 2017-03-07 | Itron Global Sarl | Efficient device handover/migration in mesh networks |
EP2661112A1 (en) * | 2012-05-03 | 2013-11-06 | Itron, Inc. | Authentication using DHCP Services in Mesh Networks |
-
2014
- 2014-03-27 US US14/227,872 patent/US9462464B2/en active Active
-
2015
- 2015-03-10 TW TW104107620A patent/TWI654864B/zh not_active IP Right Cessation
- 2015-03-16 WO PCT/US2015/020686 patent/WO2015148165A2/en active Application Filing
- 2015-03-16 KR KR1020167026451A patent/KR20160138057A/ko not_active Application Discontinuation
- 2015-03-16 EP EP15715535.9A patent/EP3123693A2/en not_active Withdrawn
- 2015-03-16 CN CN201580016040.8A patent/CN106134152B/zh not_active Expired - Fee Related
- 2015-03-16 CA CA2940534A patent/CA2940534A1/en not_active Abandoned
- 2015-03-16 JP JP2016557142A patent/JP6571676B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101810019A (zh) * | 2007-09-27 | 2010-08-18 | 朗讯科技公司 | 对无线网络中的节点的认证方法和装置 |
CN101911814A (zh) * | 2007-12-28 | 2010-12-08 | 英特尔公司 | 用于协商成对主密钥以使无线网状网络中的对等链路安全的设备和方法 |
CN101646172A (zh) * | 2009-09-08 | 2010-02-10 | 杭州华三通信技术有限公司 | 一种分布式mesh网络中产生密钥的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
EP3123693A2 (en) | 2017-02-01 |
CA2940534A1 (en) | 2015-10-01 |
US20150281952A1 (en) | 2015-10-01 |
WO2015148165A2 (en) | 2015-10-01 |
US9462464B2 (en) | 2016-10-04 |
TWI654864B (zh) | 2019-03-21 |
JP6571676B2 (ja) | 2019-09-04 |
WO2015148165A3 (en) | 2015-11-19 |
JP2017513327A (ja) | 2017-05-25 |
CN106134152A (zh) | 2016-11-16 |
KR20160138057A (ko) | 2016-12-02 |
TW201537927A (zh) | 2015-10-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106134152B (zh) | 用于加入社交wi-fi网状网络的方法、设备及装置 | |
De Ree et al. | Key management for beyond 5G mobile small cells: A survey | |
CN107171806B (zh) | 基于区块链的移动终端网络密钥协商方法 | |
Capkun et al. | Mobility helps peer-to-peer security | |
US7793103B2 (en) | Ad-hoc network key management | |
RU2421922C2 (ru) | СПОСОБ И УСТРОЙСТВО ДЛЯ УСТАНОВЛЕНИЯ АССОЦИАЦИЙ БЕЗОПАСНОСТИ МЕЖДУ УЗЛАМИ БЕСПРОВОДНОЙ САМООРГАНИЗУЮЩЕЙСЯ ОДНОРАНГОВОЙ (ad-hoc) СЕТИ | |
CN107317789A (zh) | 密钥分发、认证方法,装置及系统 | |
JP5293284B2 (ja) | 通信方法、メッシュ型ネットワークシステム及び通信端末 | |
JP5364796B2 (ja) | 暗号情報送信端末 | |
CN107800539A (zh) | 认证方法、认证装置和认证系统 | |
Dantu et al. | EAP methods for wireless networks | |
CN108964897B (zh) | 基于群组通信的身份认证系统和方法 | |
Ometov et al. | Securing network-assisted direct communication: The case of unreliable cellular connectivity | |
CN107204847A (zh) | 空天车地轨道专用网络接入认证与密钥协商协议和方法 | |
CN108880799B (zh) | 基于群组密钥池的多次身份认证系统和方法 | |
CN101635922B (zh) | 无线网状网络安全通信方法 | |
CN108833113A (zh) | 一种基于雾计算的增强通讯安全的认证方法及系统 | |
Rong et al. | Wireless network security | |
Pužar et al. | Skimpy: A simple key management protocol for manets in emergency and rescue operations | |
CN105592433A (zh) | 设备到设备限制发现业务广播、监听方法、装置及系统 | |
CN109067705B (zh) | 基于群组通信的改进型Kerberos身份认证系统和方法 | |
CN108768661A (zh) | 一种基于对称密钥池和跨中继的改进型aka身份认证系统和方法 | |
Sieka et al. | Establishing Authenticated Channels and Secure Identifiers in Ad-hoc Networks. | |
Chow | Design of access authentication schemes in 5G wireless networks | |
Zheng | A Novel Authentication Scheme Supporting Multiple User Access for 5G and Beyond |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190813 Termination date: 20210316 |
|
CF01 | Termination of patent right due to non-payment of annual fee |