EP2564570A1 - Methods and devices having a key distributor function for improving the speed and quality of a handover - Google Patents

Methods and devices having a key distributor function for improving the speed and quality of a handover

Info

Publication number
EP2564570A1
EP2564570A1 EP11715180A EP11715180A EP2564570A1 EP 2564570 A1 EP2564570 A1 EP 2564570A1 EP 11715180 A EP11715180 A EP 11715180A EP 11715180 A EP11715180 A EP 11715180A EP 2564570 A1 EP2564570 A1 EP 2564570A1
Authority
EP
European Patent Office
Prior art keywords
network
key
access node
node
mapi
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP11715180A
Other languages
German (de)
French (fr)
Inventor
Thomas Gamer
Matthias Roth
Michael Bahr
Christian Schwingenschloegl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Unify GmbH and Co KG
Original Assignee
Siemens Enterprise Communications GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Enterprise Communications GmbH and Co KG filed Critical Siemens Enterprise Communications GmbH and Co KG
Publication of EP2564570A1 publication Critical patent/EP2564570A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0016Hand-off preparation specially adapted for end-to-end data sessions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The invention relates to a network access node (MAP1) for a terminal (STA) that is wirelessly incorporated into the network, comprising: a) a memory (1) having at least one first key and address codes of second access nodes (MAP2,..., MAPn) for the terminal (STA), b) at least one data communication unit (2) for exchanging data with the second access nodes, c) connected to the memory (1) and the data communication unit (2), a processor (3) having functions for: d) deriving second keys, among them second keys for securing the connection between the terminal (STA) and the second access nodes, from the first key, e) securely associating the terminal using a key derived from the first key, f) in response to the execution of function d), sending the second keys for securing the connection between the terminal (STA) and the second access nodes by the data communication device via secured connections and with addressing by the address codes, characterised in that the second keys further comprise the key used for step e).

Description

Netzwerkzugangsknoten mit Schlüsselverteilerfunktion  Network access node with key distribution function
Beschreibung Die Erfindung betrifft einen Netzwerkzugangsknoten für ein drahtlos in das Netzwerk eingebundenes Endgerät, ein Netzwerk, das wenigstens einen dieser The invention relates to a network access node for a wirelessly integrated into the network terminal, a network that at least one of these
Netzwerkzugangsknoten umfasst, ein Verfahren zur Network access node includes, a method for
Vorbereitung eines Handover-Vorgangs in diesem Netzwerk, ein Verfahren zur Konfiguration einer Ausgestaltung dieses Netzwerks und ein Computerprogramm mit Anweisungen entsprechend der erfindungsgemäßen Verfahren. Preparation of a handover process in this network, a method for configuring a configuration of this network and a computer program with instructions according to the inventive method.
Die Erfindung kann verwendet werden in einer Voice-over- IP-Anwendung und einer Video-on-Demand-Anwendung, The invention can be used in a voice-over-IP application and a video-on-demand application,
insbesondere in einem lokalen Netzwerk, insbesondere WLAN. Die Erfindung kann speziell in Meshnetzen verwendet werden . Drahtlose Netze finden im Heim- und Office-Bereich zunehmend Verbreitung. Ein grundlegender Standard für solche Netze ist der IEEE 802.11-Standard . Meshnetze sind drahtlose Netze mit flexibler Topologie. Meshfähige in particular in a local network, in particular WLAN. The invention can be used especially in mesh networks. Wireless networks are becoming increasingly popular in the home and office space. A basic standard for such networks is the IEEE 802.11 standard. Mesh networks are wireless networks with flexible topology. Meshfähige
Knoten eines Meshnetzes weisen Merkmale zur Erkennung von Topologie-Änderungen oder zum Aufbau von Fallback-Routen auf . Nodes of a mesh network have features to detect topology changes or to set up fallback routes.
Für das Internet sind Echt Zeitanwendungen wie z.B. Voice- over-IP (VoIP) oder Video-on-Demand (VoD) bekannt. For the Internet, real time applications such as Voice over IP (VoIP) or Video on Demand (VoD) known.
Endpunkte einer Echt zeit kommunikation sind gewöhnlich so genannte „Stations" oder „Clients", d.h. nicht meshfähige Endgeräte . Endpoints of real-time communication are usually this way called "stations" or "clients", ie non-mesh terminals.
Zur Einbindung in ein Meshnetz müssen sich diese For integration into a meshnetz these must
Endgeräte mit Zugangsknoten des Meshnetzes assoziieren. In Erwiderung auf Topologieänderungen des Meshnetzes oder Bewegungen eines Endgeräts über mehrere Funkzellen der Zugangsknoten des Meshnetzes sind dabei Handover-Vorgänge vorgesehen, in denen sich das mit einem Zugangsknoten assoziierte Endgerät mit einem weiteren Zugangsknoten des Meshnetzes neu assoziiert. Associate terminals with access nodes of the meshnetzes. In response to topology changes of the meshnetwork or movements of a terminal over several radio cells of the access nodes of the meshnetwork, handover operations are provided in which the terminal associated with an access node recombines with another access node of the meshnetwork.
Die Geschwindigkeit der Handover-Vorgänge ist speziell für Echt zeitanwendungen entscheidend für Qualität und Ausführbarkeit solcher Echtzeitanwendungen unter Einsatz drahtloser Verbindungen. Um nicht meshfähigen Endgeräten Echtzeitfähigkeit zu ermöglichen, sollen Handover- Vorgänge daher von einem Zugangsknoten zu einem anderen möglichst verzögerungsfrei und ohne Paketverluste The speed of handover is critical to the quality and performance of such real-time applications using wireless connections, especially for real-time applications. In order to enable non-meshed terminals real-time capability, handover operations should therefore be carried out from one access node to another as quickly as possible and without packet losses
ablaufen. expire.
802.11-Netze arbeiten mit stationären Zugangsknoten, die gewöhnlich über drahtgebundene Verbindungen miteinander kommunizieren . 802.11 networks use fixed access nodes that usually communicate with each other over wired links.
In Meshnetzen ist die Kommunikation zur In mesh networks communication is to
Schlüsselverteilung zwischen den Zugangsknoten aufgrund der drahtlosen Übertragung unzuverlässiger als bei drahtgebundener Kommunikation und weist aufgrund der Multihop-Kommunikation eine erhöhte Verzögerung auf. Dies resultiert in langsameren Handover-Vorgängen in Meshnet zen . Aufgrund der Mobilität sowohl von Meshknoten als auch von Endgeräten bzw. Stationen finden Handover- Vorgänge in Meshnetzen außerdem häufiger statt. Sowohl die Mobilität von Meshknoten als auch von Endgeräten kann zu einer erhöhten Anzahl an Handover-Vorgängen führen. In Meshnetzen betreiben Zugangsknoten über ein drahtloses Medium eine fehleranfällige Kommunikation, die zusätzlich meist über mehrere drahtlose Hops durchgeführt wird. Eine Anforderung eines PMK-Rl-Schlüssels durch einen Key distribution between the access nodes due to the wireless transmission unreliable as in wired communication and has due to the multi-hop communication increased delay. This results in slower handover operations in Meshnet zen. Due to the mobility of both mesh nodes and terminals, handover operations in mesh networks also occur more frequently. Both the mobility of mesh nodes and terminals can result in an increased number of handover operations. In mesh networks access nodes operate via a wireless medium error-prone communication, which is also usually carried out over several wireless hops. A request for a PMK-Rl key by a
Zugangsknoten, mit dem sich ein Endgerät neu assoziieren muss, benötigt daher Zeit und der Handover erfährt eine Verzögerung . Access node, with which a terminal needs to re-associate, therefore takes time and the handover experiences a delay.
Der IEEE 802. HF-Standard zeigt Handover-Mechanismen in 802.11-Netzen und ist dokumentiert in IEEE Trial-Use Recommended Practice for Multi-Vendor Access Point The IEEE 802. RF standard shows handover mechanisms in 802.11 networks and is documented in the IEEE Trial Use Recommended Practice for Multi-Vendor Access Point
Interoperability via an Inter-Access Point Protocol Interoperability via to Inter-Access Point Protocol
Across Distribution Systems Supporting IEEE 802.11 Across Distribution Systems Supporting IEEE 802.11
Operation, 2003. Er enthält keine Mechanismen zur Operation, 2003. It does not contain mechanisms for
Optimierung eines Handover-Vorgangs. Optimization of a handover process.
Der 802.21-Standard betrifft die Kommunikation und The 802.21 standard concerns communication and
Durchführung eines Handover-Vorgangs zwischen heterogenen Netzen und ist dokumentiert in Standard for Media Carrying out a handover between heterogeneous networks and documented in Standard for Media
Independent Handover Services, IEEE Computer Independent Handover Services, IEEE Computer
Society/Local and Metropolitan Area Networks, Draft  Society / Local and Metropolitan Area Networks, Draft
802.21-Standard, 2004. 802.21 standard, 2004.
Eine Beschleunigung der Authentifizierung nach Einleitung eines Handovers zeigt Bruce McMurdo, Cisco Fast Secure Roaming, 2004. Zur Beschleunigung von Handover-Vorgängen ist die Nutzung mehrerer Interfaces gezeigt in Catherine Rosenberg, Edwin K.P. Chong, Hosame Abu-Amara, Jeongjoon Lee, Efficient Roaming over Heterogeneous Wireless Networks, Proceedings of WNCG Wireless Networking Symposium, 2003. Dazu wird eine Authentifizierung mit dem neuen Zugangsknoten bereits durchgeführt, während die Station über das zweite Interface noch mit dem alten Zugangsknoten verbunden ist. An acceleration of authentication after initiating a handover is shown by Bruce McMurdo, Cisco Fast Secure Roaming, 2004. To speed up handover operations, Catherine Rosenberg, Edwin KP Chong, Hosame Abu-Amara, Jeongjoon Lee, Efficient Roaming over Heterogenous Wireless Networks, Proceedings of the WNCG Wireless Networking Symposium, Catherine Rosenberg, 2003, will provide authentication with the new access node already performed while the station is still connected via the second interface with the old access node.
Eine Standardisierung für schnelle Handover-Vorgänge in drahtlosen 802.11-Netzen ist gezeigt in Draft Amendment to Standard for Information Technology - Telecommunications and Information Exchange between Standardization for fast handover operations in 802.11 wireless networks is shown in Draft Amendment to Standard for Information Technology - Telecommunications and Information Exchange between
Systems - LAN/MAN Specific Requirements - Part 11: Systems - LAN / MAN Specific Requirements - Part 11:
Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications : Amendment 2: Fast BSS  Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications: Amendment 2: Fast BSS
Transition, D2.0, March 2006. Zur Optimierung von Handover-Vorgängen wird gemäß dem IEEE 802. llr-Standard in drahtlosen 802.11-Netzen eine spezielle Schlüsselhierarchie genutzt. Diese Transition, D2.0, March 2006. To optimize handover, a special key hierarchy is used in 802.11 wireless networks in accordance with the IEEE 802.11r standard. These
standardisierte Variante der Schlüsselverteilung ist derart, dass eine Sicherheitsbeziehung mit dem PMK-R0- Keyholder zuerst beim Mobility Domain Controller (MDC) angefordert werden muss, bevor ein PMK-Rl-Schlüssel für den Handover-Vorgang übermittelt werden kann. Dies verzögert den Handover-Vorgang. In Fig. 2 ist schematisch eine Kommunikation in einem Handover-Vorgang gemäß dem IEEE 802. Ilr-Standard standardized variant of the key distribution is such that a security relationship with the PMK-R0 keyholder must first be requested from the Mobility Domain Controller (MDC) before a PMK-Rl key can be transmitted for the handover process. This delays the handover process. FIG. 2 schematically shows a communication in a handover process according to the IEEE 802. Ilr standard
veranschaulicht . Jeder Zugangsknoten berechnet nach seiner initialen illustrated. Each access node calculates after its initials
Anmeldung innerhalb einer Mobility Domain einen PMK-R0- Schlüssel. Er etabliert mit Hilfe eines Mobility Domain Controllers MDC eine Sicherheitsbeziehung mit einem PMK- RO-Keyholder . Dieser wird nach erfolgreicher  Login within a Mobility Domain a PMK-R0 key. He establishes a security relationship with a PMKRO keyholder with the help of a Mobility Domain Controller MDC. This will be more successful
Authentifizierung vom ausgehandelten Master Key Authentication from the negotiated master key
abgeleitet und ist auf dem Zugangsknoten MAPI, an dem sich der neue Zugangsknoten MAP2 erstmals anmeldet, gespeichert. Dieser Zugangsknoten MAPI wird auch PMK-R0- Keyholder genannt. Vom PMK-RO-Schlüssel wird anschließend ein so genannter PMK-Rl-Schlüssel abgeleitet, welcher die Basis für den Schutz der Kommunikation mit dem and is stored on the access node MAPI, at which the new access node MAP2 logs on for the first time. This access node MAPI is also called PMK-R0 keyholder. The PMK-RO key is then used to derive a so-called PMK-RI key, which forms the basis for protecting communication with the PMK-RO key
Zugangsknoten MAP2 bildet. Access node MAP2 forms.
Der neue meshfähige Zugangsknoten MAP2 erhält einen The new mesh-capable access node MAP2 receives a
Authentication Request von dem Endgerät STA, wodurch der Handover-Vorgang eingeleitet wird. Leitet das Endgerät STA in einem Schritt Sl den Handover-Vorgang ein, so etabliert der neue Zugangsknoten MAP2 in einem Schritt SO mit Hilfe des Mobility Domain Controllers MDC eine Authentication Request from the terminal STA, whereby the handover process is initiated. If the terminal STA initiates the handover procedure in a step S1, then the new access node MAP2 establishes a service using the mobility domain controller MDC in a step SO
Sicherheitsbeziehung mit dem Zugangsknoten MAPI, welcher PMK-RO-Keyholder ist. Bei diesem fordert er in einem Schritt S2 einen „eigenen" PMK-Rl-Schlüssel an, welcher als Grundlage für den Schutz der neuen Security relationship with the access node MAPI, which is PMK-RO keyholder. In this he asks in a step S2 a "own" PMK-Rl-key, which as a basis for the protection of the new
Kommunikationsbeziehung zwischen Endgerät STA und neuem Zugangsknoten MAP2 dient. Dazu leitet der Zugangsknoten MAPI in einem Schritt S3 von dem PMK-RO-Schlüssel den PMK-Rl-Schlüssel ab und versendet in einem Schritt S4 den PMK-Rl-Schlüssel an den neuen Zugangsknoten MAP2. Der neue Zugangsknoten MAP2 versendet dann in einem Schritt S5 eine Authentifizierungsantwort an das Endgerät, worauf sich das Endgerät in einem Schritt S6 mit dem neuen Communication relationship between terminal STA and new access node MAP2 is used. For this purpose, the access node MAPI forwards the PMK-RO key in a step S3 PMK-Rl key and sends in a step S4 the PMK-Rl key to the new access node MAP2. The new access node MAP2 then sends an authentication response to the terminal in a step S5, followed by the terminal in a step S6 with the new
Zugangsknoten MAP2 assoziiert, damit der Handover-Vorgang ohne eine erneute Authentifizierung des Endgeräts Access node MAP2 associated with the handover process without re-authenticating the terminal
erfolgreich beendet werden kann. can be completed successfully.
Aufgabe der Erfindung ist es, die Geschwindigkeit The object of the invention is the speed
und/oder Qualität eines Handover-Vorgangs zwischen ersten und zweiten bzw. neuen Zugangsknoten für ein drahtlos in das Netzwerk eingebundenes Endgerät zu verbessern. and / or quality of a handover operation between first and second and new access nodes for a wirelessly integrated into the network terminal.
Die Erfindung betrifft dazu einen Netzwerkzugangsknoten für ein drahtlos in das Netzwerk eingebundenes Endgerät, umfassend: The invention relates to a network access node for a wirelessly integrated into the network terminal, comprising:
a) eine Speichereinrichtung mit wenigstens einem ersten Schlüssel und Adresscodes zweiter Zugangsknoten für das Endgerät in dem Netzwerk, a) a memory device having at least a first key and address codes of second access nodes for the terminal in the network,
b) wenigstens eine Datenkommunikationseinrichtung zum Datenaustausch mit den zweiten Zugangsknoten, b) at least one data communication device for data exchange with the second access node,
c) in Verbindung stehend mit der Speichereinrichtung und der Datenkommunikationseinrichtung, einen oder mehrere Prozessor (en) mit Funktionen zum: c) associated with the storage device and the data communication device, one or more processors having functions for:
d) Ableiten zweiter Schlüssel, darunter zweiter d) derive second key, including second
Schlüssel zur Sicherung der Verbindung zwischen dem Key to secure the connection between the
Endgerät und den zweiten Zugangsknoten, aus dem ersten Schlüssel, e) gesicherten Assoziieren des Endgeräts unter Terminal and the second access node, from the first key, e) secure association of the terminal under
Verwendung eines aus dem ersten Schlüssel abgeleiteten Schlüssels, Using a key derived from the first key,
f ) in Erwiderung auf die Ausführung von Funktion d) , Versenden der zweiten Schlüssel zur Sicherung der f) in response to the execution of function d), sending the second key to secure the
Verbindung zwischen dem Endgerät und den zweiten  Connection between the terminal and the second
Zugangsknoten durch die Datenkommunikationseinrichtung mit Adressierung durch die Adresscodes über gesicherte Verbindungen . Access node through the data communication device with addressing by the address codes over secure connections.
Erfindungsgemäß umfassen die zweiten Schlüssel weiterhin den für Schritt e) verwendeten Schlüssel. According to the invention, the second keys further comprise the key used for step e).
Dabei ist vorzugsweise der erste Schlüssel ein PMK-R0- Schlüssel und die zweiten Schlüssel sind PMK-Rl-Schlüssel . Preferably, the first key is a PMK-R0 key and the second keys are PMK-Rl keys.
Die Erfindung ermöglicht damit Verteilung von zweiten Schlüsseln wie PMK-Rl-Schlüsseln an benachbarte The invention thus enables distribution of second keys such as PMK-Rl keys to adjacent ones
Zugangsknoten des Netzwerkzugangsknotens oder auch aller Zugangsknoten mit einer mit dem Netzwerkzugangsknoten gemeinsamen Mobility Domain. Somit wird im Falle eines Handovers keine zusätzliche Verzögerung durch die Access node of the network access node or even all access nodes with a shared with the network access node mobility domain. Thus, in the case of a handover, no additional delay is caused by the
Anforderung der benötigten Schlüssel erzeugt. Der Netzwerkzugangsknoten ist vorteilhaft ein Knoten eines Meshnet zwerks . Request of required keys generated. The network access node is advantageously a node of a Meshnet zwerks.
Der zweite Schlüssel kann proprietäre Merkmale des The second key may be proprietary features of the
Endgeräts, insbesondere eine MAC-Adresse codieren. Die ersten und zweiten Schlüssel sind insbesondere paarweise symmetrische Schlüssel, z.B. PMK-R0- und PMK- Rl-Schlüssel . Die Adresscodes sind insbesondere Adresscodes aller Encoding terminal, in particular a MAC address. The first and second keys are in particular pairwise symmetric keys, eg PMK-R0 and PMK-Rl keys. The address codes are in particular address codes of all
Zugangsknoten, die eine gemeinsame Mobility Domain mit dem Netzwerkzugangsknoten haben.  Access nodes having a common mobility domain with the network access node.
Die Adresscodes können auch Adresscodes von zweiten The address codes can also address codes of second
Zugangsknoten sein, deren Funkzellen mit einer Funkzelle des Netzwerkzugangsknotens für einen Teil des Netzwerks ein Cluster bilden. Zweite Schlüssel können so gezielt an Nachbarn des Netzwerkzugangsknotens verteilt werden Bei Verteilung der PMK-Rl-Schlüssel an benachbarte Access nodes whose radio cells cluster with a radio cell of the network access node for part of the network. Second keys can thus be distributed to neighbors of the network access node so that the PMK-Rl keys are distributed to neighboring ones
Zugangsknoten des Netzwerkzugangsknotens wird vorteilhaft ein relativ geringer Bandbreitenbedarf verursacht. Die Anzahl der abzuleitenden und zu verteilenden zweiten Schlüssel ist damit für den Netzwerkzugangsknoten relativ gering.  Access node of the network access node is advantageously caused a relatively low bandwidth requirement. The number of second keys to be derived and distributed is thus relatively small for the network access node.
Das Versenden der PMK-Rl-Schlüssel könnte beispielsweise mit Hilfe von EAPOL-Key Frames realisiert werden. Das konkrete Rahmenformat für den Austausch der Schlüssel ist nicht Teil des IEEE 802. llr-Standards . The sending of PMK-Rl keys could, for example, be realized by means of EAPOL key frames. The actual frame format for key exchange is not part of the IEEE 802.11r standard.
Bei Verteilung der PMK-Rl-Schlüssel an alle Zugangsknoten mit einer mit dem Netzwerkzugangsknoten gemeinsamen When distributing the PMK-Rl keys to all access nodes with one common to the network access node
Mobility Domain wird in einem Meshnetzwerk bei Einsatz eines reaktiven bzw. hybriden Routingprotokolls Mobility domain becomes in a Meshnetzwerk when using a reactive or hybrid routing protocol
vorteilhaft für die Verteilung der PMK-Rl-Schlüssel kein nicht zu vernachlässigender Routing-Overhead ausgelöst und wenig Rechenaufwand zur Erzeugung von Schlüsseln für alle Zugangsknoten einer Mobility Domain verursacht. advantageous for the distribution of PMK-Rl keys no not negligible routing overhead and causes little computational effort to generate keys for all access nodes of a mobility domain.
Während das Endgerät in einer Mobility Domain aktiv ist, verteilt der erfindungsgemäße Netzwerkzugangsknoten gegebenenfalls zusätzlich einen Teil der abgeleiteten zweiten Schlüssel noch neu an in die Mobililty Domain hinzukommende Zugangsknoten und aktualisiert die While the terminal is active in a mobility domain, the network access node according to the invention optionally additionally distributes a part of the derived second key to access nodes which are added to the mobililty domain and updates the latter
Adresscodes in seiner Speichereinrichtung. Dazu kann in dem Netzwerk eine diesem Vorgang angepasste Kommunikation zwischen einem Authentifizierungsserver und dem Address codes in its memory device. For this purpose, in the network adapted to this process communication between an authentication server and the
Netzwerkzugangsknoten dienen. Serving network access nodes.
Ein erfindungsgemäßes Meshnetzwerk, umfasst An inventive meshnetwork includes
wenigstens einen erfindungsgemäßen Netzwerkszugangsknoten und eine Vielzahl, insbesondere mehr als 3, insbesondere mehr als 4, insbesondere mehr als 9 der zweiten at least one network access node according to the invention and a plurality, in particular more than 3, in particular more than 4, in particular more than 9 of the second
Zugangsknoten, Access nodes,
gegebenenfalls Weiterleitungsknoten ohne if necessary forwarding node without
Netzwerkzugangsfunktion für das Endgerät. Network access function for the terminal.
Das Netzwerk erfindungsgemäße ist dabei durch gesicherte Verbindungen unter den Netzwerkszugangsknoten und zweiten Zugangsknoten, gegebenenfalls über die The network according to the invention is here by secured connections under the network access node and second access node, optionally via the
Weiterleitungsknoten, aufgebaut und zu wenigstens einem, vorzugsweise einem Mobility Domain Controller und  Forwarding node, constructed and at least one, preferably a Mobility Domain Controller and
wenigstens einem, vorzugsweise einem at least one, preferably one
Authentifizierungsserver . In dem erfindungsgemäßen Meshnetzwerk mit dem Authentication server. In the Meshnetzwerk invention with the
erfindungsgemäßen Netzwerkszugangsknoten ist das Cluster insbesondere derart definiert, dass zwischen dem The network access node according to the invention, the cluster is defined in particular such that between the
Netzwerkszugangsknoten und jedem zweiten Zugangsknoten mit einer Funkzelle in dem Cluster eine Verbindung über maximal drei, insbesondere maximal zwei, insbesondere maximal einen Knoten aufgebaut ist. Network access node and every second access node with a radio cell in the cluster a connection over a maximum of three, in particular a maximum of two, in particular a maximum of one node is constructed.
Wenigstens ein Teil, insbesondere alle der zweiten At least one part, especially all of the second
Zugangsknoten können erfindungsgemäße Access nodes can according to the invention
Netzwerkzugangsknoten sein. Be network access node.
Zum Versand wenigstens einiger der zweiten Schlüssel hat das Netzwerk vorzugsweise eine Funktion zur For sending at least some of the second keys, the network preferably has a function for
g) Neudefinition des Clusters in Erwiderung auf eine Ausführung der Assoziierung des Endgeräts mit dem Netzwerkzugangsknoten durch Aktualisierung der g) redefining the cluster in response to performing the association of the terminal with the network access node by updating the cluster
Adresscodes in dem Netzwerkzugangsknoten.  Address codes in the network access node.
Ein erfindungsgemäßer Netzwerkszugangsknoten als PMK-R0- Keyholder kann dann mit Funktionen versehen sein, um mittels einer zu definierenden Metrik ihm benachbarte Zugangsknoten zu ermitteln und diesen ihren PMK-Rl- Schlüssel zu senden, welche Funktionen speziell nach jedem Handover-Vorgang ausgeführt werden, damit auch Nachbarn eines neuen Zugangsknotens im Fall eines A network access node according to the invention as a PMK-R0 keyholder can then be provided with functions to determine neighboring access nodes by means of a metric to be defined and send them their PMK-RI key, which functions are executed specifically after each handover procedure also neighbors of a new access node in the case of one
weiteren Handovers über die PMK-Rl-Schlüssel verfügen und dadurch die Verzögerung minimieren können. Ein Beispiel für eine solche Nachbarschafts-Metrik ist dann derart, dass alle Zugangsknoten, die im Netzwerk nicht mehr als ein Hop vom am Handover-Vorgang beteiligten Netzwerkszugangsknoten entfernt sind, als Nachbarn definiert sind. Weitere sinnvolle Maximalwerte für die Anzahl der Hops sind z.B. zwei oder drei. handovers over the PMK-Rl keys and thereby minimize the delay. An example of such a neighborhood metric is then such that all access nodes participating in the network no more than one hop from the handover process Network access nodes are removed, are defined as neighbors. Other useful maximum values for the number of hops are, for example, two or three.
In dem erfindungsgemäßen Netzwerk können die In the network according to the invention, the
Weiterleitungsknoten, d.h. Mesh-Knoten ohne Forwarding nodes, i. Mesh knot without
Zugangsknotenfunktionalität, auch Forwarder genannt, Daten weiterleiten, um die Konnektivität im Netzwerk, insbesondere Meshnetzwerk, zu verbessern. Maximalwerte für die Anzahl der Hops können der Erhöhung der Anzahl von Hops angepasst sein, die im Netzwerk durch die Access node functionality, also called forwarders, forward data to improve connectivity in the network, especially the mesh network. Maximum numbers for the number of hops can be adjusted to increase the number of hops in the network
Gegenwart von Weiterleitungsknoten zwischen Zugangsknoten verursacht wird. Presence of forwarding node between access node is caused.
Maximalwerte für die Anzahl der Hops können einer Maximum values for the number of hops can be one
Situation angepasst sein, in der das Endgerät mit zwei Netzwerkzugangsknoten kommunizieren kann, diese Be adapted situation in which the terminal can communicate with two network access nodes, this
Netzwerkzugangsknoten jedoch untereinander nicht direkt drahtlos kommunizieren, d.h. wenn ein Client sich in der Mitte zwischen zwei Zugangsknoten befindet und beide sieht, aber die Zugangsknoten sich gegenseitig nicht. However, network access nodes do not communicate with each other directly wirelessly, i. if a client is in the middle between two access nodes and sees both, but the access nodes are not each other.
Erfindungsgemäße Verfahren ergeben sich durch Ausführung der oben beschriebenen Funktionen von erfindungsgemäßen Netzwerkzugangsknoten und/oder Netzwerken. Speziell sind erfindungsgemäße Verfahren in den Verfahrensansprüchen definiert . Inventive methods result from carrying out the above-described functions of network access nodes and / or networks according to the invention. Specifically, methods according to the invention are defined in the method claims.
Das erfindungsgemäße Netzwerk hat Verbindungen unter Zugangsknoten des Netzwerks mit Sicherheitsbeziehungen. In einer Ausführung kann wenigstens ein Netzwerkzugangsknoten in dem erfindungsgemäßen Netzwerk auch als Knoten mit Funktionen des The network according to the invention has connections under access nodes of the network with security relationships. In one embodiment, at least one Network access node in the network according to the invention as a node with functions of
Authentifizierungsservers und/oder des Mobility Domain Controllers ausgebildet sein, um vor allem in kleineren Meshnetzen Hardwareressourcen wie einen  Authentication server and / or the mobility domain controller to be trained, especially in smaller mesh networks hardware resources such as a
Authentifizierungsserver zu sparen und stattdessen einen ausgezeichneten Knoten vorzusehen.  To save authentication servers and provide an excellent node instead.
Die durch die Erfindung ermöglichten The enabled by the invention
Schlüsselverteilungsstrategien sind den besonderen Key distribution strategies are the special ones
Eigenschaften von Meshnetzen im Vergleich zu 802.11- Netzen angepasst, wobei Verzögerungen bei der Anforderung des für einen Handover-Vorgang benötigten PMK-Rl- Schlüssels reduziert sind. Dadurch können Handover- Vorgänge in Meshnetzen beschleunigt und  Adapted properties of mesh networks compared to 802.11 networks, reducing delays in requesting the PMK-RI key needed for a handover operation. This can accelerate handover operations in mesh networks and
Echt Zeitanwendungen, wie z.B. Voice-over-IP, besser unterstützt werden. Schlüsselverteilung und  Real time applications, such as Voice over IP, better supported. Key distribution and
Schlüsselverwaltung können abhängig von einem Szenario im Netzwerk optimiert werden. Key management can be optimized depending on a scenario in the network.
Aspekte und beispielhafte Ausführungen der Erfindung werden nachfolgend unter Bezugnahme auf die Figuren beschrieben, in denen: Fig. 1 einen Netzwerkzugangsknoten schematisch Aspects and exemplary embodiments of the invention will now be described with reference to the figures, in which: FIG. 1 schematically illustrates a network access node
veranschaulicht ; illustrated;
Fig. 2 schematisch eine Kommunikation in einem Handover- Vorgang gemäß dem IEEE 802. Ilr-Standard veranschaulicht; Fig. 3 schematisch eine Kommunikation gemäß der Erfindung veranschaulicht; FIG. 2 schematically illustrates communication in a handover process in accordance with the IEEE 802. Ilr standard; FIG. Fig. 3 schematically illustrates a communication according to the invention;
Fig. 4 ein Netzwerk der Erfindung in Verbindung mit einem Endgerät veranschaulicht. Fig. 4 illustrates a network of the invention in connection with a terminal.
Bei dem in Fig. 1 dargestellten Netzwerkzugangsknoten der Erfindung ist ein Prozessor 3 über einen BUS 4 mit einer Speichereinrichtung 1 und einer In the network access node of the invention shown in Fig. 1, a processor 3 via a bus 4 with a memory device 1 and a
Datenkommunikationseinrichtung 2 verbunden. Die Data communication device 2 connected. The
Speichereinrichtung speichert einen PMK-RO-Schlüssel und Adresscodes zweiter Zugangsknoten MAP2, MAPn eines Netzwerks mit dem Netzwerkzugangsknoten. Fig. 4 zeigt ein Meshnetzwerk der Erfindung in Verbindung mit einem Endgerät STA. Das Netzwerk hat fünf meshfähige Zugangsknoten MAPI, MAP2, MAP3, MAP4, MAP5 und drei  Storage means stores a PMK-RO key and address codes of second access nodes MAP2, MAPn of a network with the network access node. Fig. 4 shows a mesh network of the invention in connection with a terminal STA. The network has five mesh-ready access nodes MAPI, MAP2, MAP3, MAP4, MAP5 and three
Weiterleitungsknoten MP1, MP2, MP3, einen Forwarding nodes MP1, MP2, MP3, one
Authentifizierungsserver AS und einen Mobility Domain Controller MDC . Mit dem Netzwerk steht eine nicht Authentication server AS and a Mobility Domain Controller MDC. There is not one with the network
meshfähige mobile Station als Endgerät STA in Meshable mobile station as terminal STA in
Verbindung . Connection .
Fig. 3 veranschaulicht die Kommunikation in dem in Fig. 4 gezeigten Netzwerk. FIG. 3 illustrates the communication in the network shown in FIG.
Alle meshfähigen Zugangsknoten MAPI, MAP2, MAP3, MAP4, MAP5 haben sich bereits beim Authentifizierungsserver AS authentifiziert und daher aktiver Bestandteil des All mesh-capable access nodes MAPI, MAP2, MAP3, MAP4, MAP5 have already been authenticated at the authentication server AS and are therefore an active part of the
gezeigten Meshnetzes. Die Station STA authentifiziert sich initial über den Zugangsknoten MAPI, wobei dieser die Authentifizierungsinformationen an den Authentifizierungsserver AS weiterleitet. Der shown meshnetzes. The station STA is initially authenticated via the access node MAPI, where this forwards the authentication information to the authentication server AS. Of the
Authentifizierungsserver AS führt die Authentication server AS performs the
Überprüfung der Zugangsberechtigung durch und generiert bei erfolgreicher Authentifizierung einen  Checking the access authorization by and generates a successful authentication
Masterschlüssel. Diesen übermittelt er anschließend an den initialen Zugangsknoten MAPI, der daraus den PMK-R0- Schlüssel ableitet. In seiner Funktion als PMK-R0- Keyholder speichert der initiale Netzwerkzugangsknoten MAPI den PMK-RO-Schlüssel in seiner Speichereinrichtung 1 lokal. Der Netzwerkzugangsknoten MAPI leitet direkt nach der Authentifizierung der STA vier weitere PMK-Rl- Schlüssel für die Zugangsknoten MAP3, MAP2 , MAP4 und MAP5 ab. Der PMK-Rl-Schlüssel bildet die Grundlage für den Schutz der Kommunikationsbeziehung zwischen dem initialen Netzwerkzugangsknoten MAPI und der nun mit dem  Master Key. It then transmits this to the initial access node MAPI, which derives the PMK-R0 key therefrom. In its function as a PMK-R0 keyholder, the initial network access node MAPI locally stores the PMK-RO key in its memory device 1. The network access node MAPI derives four further PMK-Rl keys for the access nodes MAP3, MAP2, MAP4 and MAP5 directly after the authentication of the STA. The PMK-Rl key forms the basis for the protection of the communication relationship between the initial network access node MAPI and now with the
Meshnetzwerk assoziierten Station STA. Nach der Meshnetzwerk associated station STA. After
Etablierung einer Sicherheitsbeziehung mit all diesen Zugangsknoten mit Hilfe des Mobility Domain Controllers MDC werden die PMK-Rl-Schlüssel von MAPI an die Establishing a security relationship with all these access nodes using the Mobility Domain Controller MDC will transfer MAPI's PMK-RI keys to the
jeweiligen Zugangsknoten MAP3, MAP2, MAP4 und MAP5 übermittelt. Falls die Station zu einem späteren respective access nodes MAP3, MAP2, MAP4 and MAP5. If the station to a later
Zeitpunkt einen Handover-Vorgang, z.B. zum neuen Time a handover, e.g. to the new
Zugangsknoten MAP4, einleitet, besitzt dieser bereits den passenden PMK-Rl-Schlüssel. Der neue Zugangsknoten MAP4 kann den Handover-Vorgang dadurch ohne weitere Access node MAP4, initiates, this already has the appropriate PMK-Rl key. The new access node MAP4 can thus handle the handover without further
Kommunikation mit dem Mobility Domain Controller MDC und dem Netzwerkzugangsknoten als PMK-RO-Keyholder MAPI durchführen . In dem in Fig. 4 veranschaulichten Netzwerk ist entsprechend ein in Fig. 3 veranschaulichtes Verfahren vorgesehen mit den Schritten: Communicate with the mobility domain controller MDC and the network access node as the PMK-RO keyholder MAPI. In the network illustrated in FIG. 4, a method illustrated in FIG. 3 is accordingly provided with the steps:
510 Etablierung von Sicherheitsbeziehungen unter dem initialen Netzwerkzugangsknoten MAPI und allen weiteren Zugangsknoten MAP2, MAP3 , MAP4 , MAP5, deren Adresscodes vom Mobility Domain Controller MDC empfangen und in der Speichereinrichtung 1 des initialen Netzwerkknotens MAPI gespeichert werden, wobei die Zugangsknoten MAPI, MAP2, MAP3, MAP4, MAP5 bei dem Authentifizierungsserver AS authentifiziert sind,  510 establishment of security relationships under the initial network access node MAPI and all further access nodes MAP2, MAP3, MAP4, MAP5 whose address codes are received by the mobility domain controller MDC and stored in the memory device 1 of the initial network node MAPI, the access nodes MAPI, MAP2, MAP3, MAP4, MAP5 are authenticated with the authentication server AS,
511 Authentifizierung des Endgeräts STA an dem initialen Netzwerkzugangsknoten MAPI eingeleitet ist unter  511 authentication of the terminal STA is initiated at the initial network access node MAPI at
Ausführung der Schritte: Execution of the steps:
- Versand von Authentifizierungsinformationen von dem Endgerät über den initialen Netzwerkzugangsknoten MAPI an den Authentifizierungsserver AS,  Sending authentication information from the terminal via the initial network access node MAPI to the authentication server AS,
Verifizierung der Authentifizierungsinformationen durch den Authentifizierungsserver AS und darauf folgende Generierung des Masterschlüssels,  Verification of the authentication information by the authentication server AS and subsequent generation of the master key,
Versand des Masterschlüssels an den initialen  Sending the master key to the initials
Netzwerkzugangsknoten MAPI,  Network access node MAPI,
Ableitung des PMK-RO-Schlüssels aus dem  Derivation of the PMK-RO key from the
Masterschlüssel durch den initialen Netzwerkknoten (MAPI) und Speichern des ersten Schlüssels in der  Master key through the initial network node (MAPI) and storing the first key in the
Speichereinrichtung 1 des initialen  Memory device 1 of the initial
Net zwerkzugangs knotens ,  Net access node,
Nach Ableiten eines PMK-Rl-Schlüssels aus dem PMK-R0- Schlüssel für das Endgerät STA und damit gesichertem Assoziieren des Endgeräts erfolgen die Schritte: 512 Ableiten weiterer PMK-Rl-Schlüssel durch den initialen Netzwerkzugangsknoten MAPI und After deriving a PMK-Rl key from the PMK-R0 key for the terminal STA and thus secure association of the terminal, the steps are carried out: 512 deriving further PMK-Rl keys through the initial network access node MAPI and
513 Versenden der weiteren PMK-Rl-Schlüssel an  513 Sending the other PMK-Rl keys
wenigstens die Zugangspunkte MAP2, MAP3, MAP4, MAP5. at least the access points MAP2, MAP3, MAP4, MAP5.
Alternativ übermittelt der initiale Netzwerkzugangsknoten die PMK-Rl-Schlüssel der Station STA nach der initialen Authentifizierung nicht an alle anderen aktiven Alternatively, the initial network access node does not transmit the PMK-Rl key of station STA to all other active ones after the initial authentication
Zugangsknoten der Mobility Domain, sondern nur an Access node of the mobility domain, but only to
benachbarte Zugangsknoten, die z.B. maximal n Hops von ihm entfernt sind, wobei n 1 bis 3, vorzugsweise 2 ist. Der initiale Zugangsknoten MAPI berechnet dann direkt nach der initialen Authentifizierung der Station STA die PMK-Rl-Schlüssel z.B. für die benachbarten Zugangsknoten MAP3 und MAP4 und übermittelt sie an diese. Auch bei dieser Verteilstrategie kann ein späterer Handover- Vorgang der Station zum neuen Zugangsknoten MAP4 ohne weitere Kommunikation mit dem MDC und dem PMK-R0- Keyholder durchgeführt werden. Im Anschluss an einen erfolgreichen Handover-Vorgang muss der Zugangsknoten MAPI als PMK-RO-Keyholder allerdings benachrichtigt werden, damit dieser weitere PMK-Rl-Schlüssel ableiten und an weitere dem neuen Zugangsknoten MAP4 benachbarte Zugangsknoten verteilen kann. Im obigen Beispiel sind dies die Zugangsknoten MAP2 und MAP5. adjacent access nodes, for example, a maximum of n hops away from him, where n is 1 to 3, preferably 2. The initial access node MAPI then calculates the PMK-Rl key directly after the initial authentication of the station STA, for example for the adjacent access nodes MAP3 and MAP4 and transmits them to them. In this distribution strategy too, a later handover of the station to the new access node MAP4 can be carried out without further communication with the MDC and the PMK-R0 keyholder. However, following a successful handover operation, the access node MAPI as the PMK-RO keyholder must be notified so that it can derive another PMK-RI key and distribute it to further access nodes adjacent to the new access node MAP4. In the above example these are the access nodes MAP2 and MAP5.
Bezugszeichenliste LIST OF REFERENCE NUMBERS
1 Speichereinrichtung 1 storage device
2 Datenkommunikationseinrichtung2 data communication device
3 Prozessor 3 processor
4 BUS  4 BUS
AS Authentifizierungsserver  AS authentication server
STA Endgerät  STA terminal
MAPI initialer NetzwerkzugangsknotenMAPI initial network access node
MAP2 , ... MAPn zweite ZugangsknotenMAP2, ... MAPn second access node
MP1, MP2, MP3 Weiterleitungsknoten MDC Mobility Domain Controller MP1, MP2, MP3 forwarding node MDC Mobility Domain Controller

Claims

Patentansprüche claims
Netzwerkzugangsknoten (MAPI) für ein drahtlos in das Netzwerk eingebundenes Endgerät (STA) , umfassend: A network access node (MAPI) for a wireless network-attached terminal (STA), comprising:
a) eine Speichereinrichtung (1) mit wenigstens einem ersten Schlüssel und Adresscodes zweiter  a) a memory device (1) with at least a first key and address codes second
Zugangsknoten (MAP2, MAPn) für das Endgerät (STA) in dem Netzwerk,  Access point (MAP2, MAPn) for the terminal (STA) in the network,
b) wenigstens eine Datenkommunikationseinrichtung (2) zum Datenaustausch mit den zweiten Zugangsknoten, c) in Verbindung stehend mit der  b) at least one data communication device (2) for data exchange with the second access node, c) in connection with the
Speichereinrichtung (1) und der  Memory device (1) and the
Datenkommunikationseinrichtung (2), einen oder  Data communication device (2), one or
mehrere Prozessor (en) (3) mit Funktionen zum: several processors (3) with functions for:
d) Ableiten zweiter Schlüssel, darunter zweiter Schlüssel zur Sicherung der Verbindung zwischen dem Endgerät (STA) und den zweiten Zugangsknoten, aus dem ersten Schlüssel, d) deriving second key, including second key for securing the connection between the terminal (STA) and the second access node, from the first key,
e) gesicherten Assoziieren des Endgeräts unter Verwendung eines aus dem ersten Schlüssel e) securely associating the terminal using one of the first key
abgeleiteten Schlüssels, derived key,
f) in Erwiderung auf die Ausführung von  f) in response to the execution of
Funktion d) , Versenden der zweiten Schlüssel zur  Function d), sending the second key to
Sicherung der Verbindung zwischen dem Endgerät (STA) und den zweiten Zugangsknoten durch die  Securing the connection between the terminal (STA) and the second access node through the
Datenkommunikationseinrichtung über gesicherte Data communication device via secured
Verbindungen und mit Adressierung durch die Connections and with addressing by the
Adresscodes, Address code,
dadurch gekennzeichnet, dass die zweiten  characterized in that the second
Schlüssel weiterhin den für Schritt e) verwendeten Schlüssel umfassen. Netzwerkzugangsknoten (MAPI) nach Anspruch 1, dadurch gekennzeichnet, dass der Netzwerkzugangsknoten ein Knoten eines Meshnetzwerks ist. Keys further comprise the key used for step e). Network access node (MAPI) according to claim 1, characterized in that the network access node is a node of a mesh network.
Netzwerkzugangsknoten (MAPI) nach Anspruch 1, dadurch gekennzeichnet, dass der zweite Schlüssel proprietäre Merkmale des Endgeräts (STA) codiert, insbesondere eine MAC-Adresse. Network access node (MAPI) according to claim 1, characterized in that the second key encodes proprietary features of the terminal (STA), in particular a MAC address.
Netzwerkzugangsknoten (MAPI) nach einem der Network Access Node (MAPI) according to one of
vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die ersten und zweiten Schlüssel paarweise symmetrische Schlüssel sind. preceding claims, characterized in that the first and second keys are pairwise symmetric keys.
Netzwerkzugangsknoten (MAPI) nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass die Adresscodes Adresscodes aller Zugangsknoten in dem Netzwerk sind, die eine gemeinsame Mobility Domain mit dem Network access node (MAPI) according to one of claims 2 to 4, characterized in that the address codes are address codes of all access nodes in the network having a common mobility domain with the
Netzwerkzugangsknoten (MAPI) haben. Network Access Node (MAPI).
Netzwerkzugangsknoten (MAPI) nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass die Adresscodes Adresscodes von Zugangsknoten unter den zweiten Network access node (MAPI) according to one of claims 2 to 4, characterized in that the address codes address codes of access node among the second
Zugangsknoten sind, deren Funkzellen mit einer Access nodes are whose radio cells with a
Funkzelle des Netzwerkzugangsknotens (MAPI) für einen Teil des Netzwerks ein Cluster bilden. Network Access Point (MAPI) radio cell to cluster a portion of the network.
Netzwerk, umfassend wenigstens einen Netzwerkszugangsknoten (MAPI) nach einem der vorhergehenden Ansprüche und Network comprising at least one network access node (MAPI) according to one of the preceding claims and
eine Vielzahl, insbesondere mehr als 3,  a large number, in particular more than 3,
insbesondere mehr als 4, insbesondere mehr als 9 der zweiten Zugangsknoten, in particular more than 4, in particular more than 9, of the second access nodes,
gegebenenfalls Weiterleitungsknoten (MP1, MP2, MP3) ,  optionally forwarding nodes (MP1, MP2, MP3),
wobei das Netzwerk durch gesicherte Verbindungen unter den Netzwerkszugangsknoten und zweiten  the network being secured by links under the network access nodes and second
Zugangsknoten, gegebenenfalls über die Access node, possibly over the
Weiterleitungsknoten (MP1, MP2, MP3) , aufgebaut ist und gesicherte Verbindungen zu wenigstens einem, vorzugsweise einem Mobility Domain Controller (MDC) und wenigstens einem, vorzugsweise einem Forwarding node (MP1, MP2, MP3) is constructed and secured connections to at least one, preferably a Mobility Domain Controller (MDC) and at least one, preferably one
Authentifizierungsserver (AS) aufweist. Authentication server (AS).
Netzwerk nach Anspruch 7, wobei der The network of claim 7, wherein the
Netzwerkszugangsknoten (MAPI) ein Network Access Node (MAPI)
Netzwerkszugangsknoten nach Anspruch 6 ist und das Cluster derart definiert ist, dass zwischen dem  The network access node of claim 6 and the cluster is defined such that between the
Netzwerkszugangsknoten (MAPI) und jedem zweiten Network Access Node (MAPI) and every other
Zugangsknoten (MAP2,..., MAPn) mit einer Funkzelle in dem Cluster eine Verbindung über maximal drei, insbesondere maximal zwei, insbesondere maximal einen Zugangsknoten aufgebaut ist.  Access node (MAP2, ..., MAPn) with a radio cell in the cluster a connection over a maximum of three, in particular a maximum of two, in particular a maximum of one access node is constructed.
Netzwerk nach Anspruch 7 oder 8, dadurch Network according to claim 7 or 8, characterized
gekennzeichnet, dass wenigstens ein Teil, characterized in that at least one part,
insbesondere alle der zweiten Zugangsknoten (MAP2,..., MAPn) Netzwerkzugangsknoten nach einem der Ansprüche 1 bis 6 sind. Netzwerk nach Anspruch 9, umfassend eine Funktion zur g) Neudefinition des Clusters in Erwiderung auf eine Ausführung der Funktion e) in einem in particular all of the second access nodes (MAP2, ..., MAPn) are network access nodes according to one of claims 1 to 6. A network according to claim 9, comprising a function of g) redefining the cluster in response to execution of the function e) in one
Netzwerkzugangsknoten (MAPI) nach Anspruch 6 durch Aktualisierung der Adresscodes in dem  Network access node (MAPI) according to claim 6 by updating the address codes in the
Netzwerkzugangsknoten .  Network access node.
Verfahren zur Vorbereitung eines Handover-Vorgangs in einem Netzwerk nach einem der Ansprüche 7 bis 10 mit einem initialen Netzwerkknoten (MAPI) nach einem der Ansprüche 2 bis 6, Method for preparing a handover process in a network according to one of Claims 7 to 10 with an initial network node (MAPI) according to one of Claims 2 to 6,
wobei alle zweiten Zugangsknoten, deren Adresscodes in der Speichereinrichtung (1) des initialen  wherein all the second access nodes whose address codes in the memory device (1) of the initial
Netzwerkknotens (MAPI) gespeichert sind, bei dem Authentifizierungsserver authentifiziert sind und eine Authentifizierung des Endgeräts (STA) an dem initialen Netzwerkknoten eingeleitet ist unter Ausführung der Schritte:  Network nodes (MAPI) are stored, are authenticated to the authentication server and an authentication of the terminal (STA) is initiated at the initial network node by performing the steps:
- Versand von Authentifizierungsinformationen von dem Endgerät über den initialen Netzwerkknoten an den Authentifizierungsserver (AS) ,  Sending authentication information from the terminal via the initial network node to the authentication server (AS),
- Verifizierung der Authentifizierungsinformationen durch den Authentifizierungsserver (AS) und darauf folgende Generierung eines  Verification of the authentication information by the authentication server (AS) and subsequent generation of a
Wurzelschlüsseis ,  Root cutis,
- Versand des Wurzelschlüssels an den initialen  - Sending the root key to the initials
Netzwerkknoten (MAPI),  Network node (MAPI),
- Ableitung des ersten Schlüssels aus dem  Derivation of the first key from the
Wurzelschlüssel durch den initialen Netzwerkknoten (MAPI) und Speichern des ersten Schlüssels in der Speichereinrichtung (1) des initialen Netzwerkknotens, Root key through the initial Network node (MAPI) and storing the first key in the storage device (1) of the initial network node,
wobei mit dem initialen Netzwerkknoten (MAPI) die folgenden Schritte ausgeführt werden:  with the initial network node (MAPI) performing the following steps:
d' ) Ableiten eines zweiten Schlüssels aus dem ersten Schlüssel und  d ') deriving a second key from the first key and
e) gesichertes Assoziieren des Endgeräts unter Verwendung des zweiten Schlüssels, sowie in Erwiderung auf die Ausführung von Schritt d' ) die kennzeichnenden Schritte:  e) securely associating the terminal using the second key, and in response to the execution of step d '), the characterizing steps:
d) Ableiten weiterer zweiter Schlüssel durch den ersten Netzwerkknoten,  d) deriving further second keys by the first network node,
f) Versenden der weiteren zweiten Schlüssel an wenigstens einen Teil, insbesondere alle zweiten Zugangsknoten des Netzwerks.  f) sending the further second keys to at least one part, in particular all second access nodes of the network.
Verfahren nach Anspruch 11, wobei der initiale The method of claim 11, wherein the initial
Netzwerkknoten (MAPI) ein Netzwerkknoten nach Network node (MAPI) a network node after
Anspruch 5 ist und die weiteren zweiten Schlüssel in Schritt f) jeweils an alle Zugangsknoten des Claim 5 and the other second key in step f) to each access node of the
Netzwerks versandt werden, die eine gemeinsame durch den Mobility Domain Controller (MDC) definierte Mobility Domain mit dem initialen Netzwerkknoten haben . Network having a common mobility domain defined by the Mobility Domain Controller (MDC) with the initial network node.
Verfahren nach Anspruch 11, wobei der initiale The method of claim 11, wherein the initial
Netzwerkknoten (MAPI) ein Netzwerkknoten nach Network node (MAPI) a network node after
Anspruch 6 ist und die weiteren zweiten Schlüssel in Schritt f) jeweils an alle zweiten Zugangsknoten (MAP2,..., MAPn) versandt werden, deren Funkzellen das Cluster ausbilden. Claim 6 and the other second key in step f) to each second access node (MAP2, ..., MAPn) whose radio cells form the cluster.
Verfahren zur Konfiguration eines Netzwerks nach Anspruch 10, umfassend die Ausführung des Verfahrens nach Anspruch 13 und gekennzeichnet durch die A method of configuring a network according to claim 10, comprising carrying out the method according to claim 13 and characterized by
Ausführung der Funktion g) . Execution of the function g).
Computerprogramm, gekennzeichnet durch Anweisungen entsprechend einem Verfahren nach einem der Ansprüche Computer program characterized by instructions according to a method according to any one of the claims
EP11715180A 2010-04-26 2011-04-15 Methods and devices having a key distributor function for improving the speed and quality of a handover Withdrawn EP2564570A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102010018285A DE102010018285A1 (en) 2010-04-26 2010-04-26 Network access node with key distribution function
PCT/EP2011/001932 WO2011134608A1 (en) 2010-04-26 2011-04-15 Methods and devices having a key distributor function for improving the speed and quality of a handover

Publications (1)

Publication Number Publication Date
EP2564570A1 true EP2564570A1 (en) 2013-03-06

Family

ID=44263215

Family Applications (1)

Application Number Title Priority Date Filing Date
EP11715180A Withdrawn EP2564570A1 (en) 2010-04-26 2011-04-15 Methods and devices having a key distributor function for improving the speed and quality of a handover

Country Status (5)

Country Link
US (1) US20120284773A1 (en)
EP (1) EP2564570A1 (en)
CN (1) CN102474522A (en)
DE (1) DE102010018285A1 (en)
WO (1) WO2011134608A1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015063991A1 (en) * 2013-10-30 2015-05-07 Nec Corporation Apparatus, system and method for secure direct communcation in proximity based services
US10448246B2 (en) * 2014-04-29 2019-10-15 Hewlett Packard Enterprise Development Lp Network re-convergence point
US11310724B2 (en) * 2016-03-31 2022-04-19 Arris Enterprises Llc Key management for fast transitions
US10165608B2 (en) * 2016-06-02 2018-12-25 Cisco Technology, Inc. System and method to provide fast mobility in a residential Wi-Fi network environment

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7263357B2 (en) * 2003-01-14 2007-08-28 Samsung Electronics Co., Ltd. Method for fast roaming in a wireless network
US7787627B2 (en) * 2005-11-30 2010-08-31 Intel Corporation Methods and apparatus for providing a key management system for wireless communication networks
US8948395B2 (en) * 2006-08-24 2015-02-03 Qualcomm Incorporated Systems and methods for key management for wireless communications systems
US7499547B2 (en) * 2006-09-07 2009-03-03 Motorola, Inc. Security authentication and key management within an infrastructure based wireless multi-hop network
FR2911036A1 (en) * 2006-12-29 2008-07-04 France Telecom Station roaming management method for e.g. wireless telecommunication network, involves receiving master key by access point, where key is issued from negotiation between server and station and received from server by another point
US7961684B2 (en) * 2007-07-13 2011-06-14 Intel Corporation Fast transitioning resource negotiation
US8249256B2 (en) * 2007-11-06 2012-08-21 Motorola Solutions, Inc. Method for providing fast secure handoff in a wireless mesh network
CN101534238B (en) * 2008-03-14 2011-06-08 华为技术有限公司 Method, node and system for notifying agent update in wireless Mesh network
US8474023B2 (en) * 2008-05-30 2013-06-25 Juniper Networks, Inc. Proactive credential caching
JP4465015B2 (en) * 2008-06-20 2010-05-19 株式会社エヌ・ティ・ティ・ドコモ Mobile communication method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2011134608A1 *

Also Published As

Publication number Publication date
US20120284773A1 (en) 2012-11-08
CN102474522A (en) 2012-05-23
WO2011134608A9 (en) 2012-04-19
DE102010018285A1 (en) 2011-10-27
WO2011134608A1 (en) 2011-11-03

Similar Documents

Publication Publication Date Title
DE112005002297B4 (en) A method and system for supporting fast handover of mobile subscriber stations in wireless broadband networks
DE60218289T2 (en) METHOD FOR STORING AND DISTRIBUTING ENCRYPTION KEYS
DE102006038591B4 (en) Method and device for providing a wireless mesh network
DE602004011573T2 (en) IMPROVEMENTS OF AUTHENTICATION AND AUTHORIZATION IN HETEROGENIC NETWORKS
DE60216050T2 (en) METHOD AND DEVICE FOR ENSURING AUTHENTICATION IN A COMMUNICATION SYSTEM
EP1794949B1 (en) Method for the distribution of software and configuration data, and corresponding data network
DE112006000314T5 (en) Method and system of software architectures for the network management of mobile wireless broadband networks
DE112008001844B4 (en) Negotiate resources for fast transitions
EP3398362A1 (en) Communication system for the communication in a communication network having sub-networks
DE19900436A1 (en) Handover method, mobile station for a handover and base station for a handover
WO2011134608A1 (en) Methods and devices having a key distributor function for improving the speed and quality of a handover
EP2497248B1 (en) Methods and devices having a key distributor function for improving the speed and quality of a handover
DE10204624C1 (en) Method for the continuation of a communication link including several radio communication systems
WO2008098827A1 (en) Method and arrangement for providing a wireless mesh network
DE102006040313B3 (en) Local radio network i.e. wireless local area network, configuring method, involves transmitting parameter to install operating channel if terminal supports encoding, and closing transmission channel if terminal does not support encoding
DE102006054091A1 (en) Bootstrapping procedure
DE102007003492B4 (en) Method and device for providing a wireless mesh network
DE60037674T2 (en) METHOD AND DEVICE FOR IMPLEMENTING SAFETY PROCEDURES INCLUDING MOBILE STATIONS IN HYBRID CELLULAR TELECOMMUNICATIONS SYSTEMS
DE102018003539A1 (en) Autonomous security in wireless networks with multiple operators or access points
DE102020123413B4 (en) Process for data transmission in an ad hoc network
EP3599738B1 (en) First vehicle side terminal, method for operating the first terminal, second vehicle side terminal and method for operating the second vehicle side terminal
EP2477373B1 (en) End points and system for the safe transfer of data between secure networks
DE10310522B4 (en) Method for the uninterrupted transmission of data in a Bluetooth communication network
DE102020117565A1 (en) Mobile radio communication device with two time-controlled integrated subscriber identity modules
DE102004047366A1 (en) Method for distributing data on request and corresponding data network

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20121012

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAX Request for extension of the european patent (deleted)
RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: UNIFY GMBH & CO. KG

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20141101