JP5010744B2 - 無線メッシュネットワークでピアリンクを保護するべくペアマスタ鍵をネゴシエートする装置および方法 - Google Patents

無線メッシュネットワークでピアリンクを保護するべくペアマスタ鍵をネゴシエートする装置および方法 Download PDF

Info

Publication number
JP5010744B2
JP5010744B2 JP2010540714A JP2010540714A JP5010744B2 JP 5010744 B2 JP5010744 B2 JP 5010744B2 JP 2010540714 A JP2010540714 A JP 2010540714A JP 2010540714 A JP2010540714 A JP 2010540714A JP 5010744 B2 JP5010744 B2 JP 5010744B2
Authority
JP
Japan
Prior art keywords
pmk
network device
default
identifier list
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010540714A
Other languages
English (en)
Other versions
JP2011509023A (ja
Inventor
ザオ、メイヤン
ウォーカー、ジェシー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of JP2011509023A publication Critical patent/JP2011509023A/ja
Application granted granted Critical
Publication of JP5010744B2 publication Critical patent/JP5010744B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B5/00Near-field transmission systems, e.g. inductive or capacitive transmission systems
    • H04B5/70Near-field transmission systems, e.g. inductive or capacitive transmission systems specially adapted for specific purposes
    • H04B5/72Near-field transmission systems, e.g. inductive or capacitive transmission systems specially adapted for specific purposes for local intradevice communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明の実施形態は概して、無線ネットワークに関する。本発明の実施形態は特に、無線アドホックネットワークにおける認証プロトコルを実行する装置および方法に関する。
近年においては無線化の傾向があり、無線製品が急増している。略全ての製品について無線用バージョンがある。過去10年間において大きな成長を見せている無線技術分野として、無線ネットワーク化がある。より具体的に言えば、無線ローカルエリアネットワーク(WLAN)である。無線ネットワークは、普及が進んでおり、利用できない場所がほとんどないほどである。市中では市内無線ネットワークが配備され、会社、家庭、図書館、空港、そして喫茶店でさえ無線接続を利用することができる。無線ネットワークの便益は否定のしようがない。利便性が非常に高いので、移動先での利用がより容易となり、より効率良く生活を営むことができる。また、無線ネットワークは、拡張および配備が容易である。しかし、WLANには、無線ネットワークによって得られる数多くの利点がありつつも、安全性、範囲、および速度に関して問題が存在する。
WLANの主な規格は、IEEE802.11プロトコルである。無線ネットワーク化技術の開発が進むにつれて、IEEE802.11規格は何度も修正されてきた。それぞれの修正は、無線ネットワークの特定の欠点に対処することを目的として為されている。これらの修正は「802.11」の後に付与される文字によって識別され、元々の802.11規格に対してさまざまな点で改善を加えてきた。802.11b規格および802.11g規格は、家庭用無線ネットワークを実現する際に広く利用されている、変調に関する2つの規格である。802.11i規格は、無線ネットワークについてさまざまな安全性メカニズムを実現するべく802.11規格を修正したものである。802.11i規格により、WiFi Protected Access2(WPA2)プロトコルが導入され、これはWired Equivalent Privacy(WEP)プロトコルおよびWiFi Protected Access(WPA)プロトコルを補完するものである。WPA2では、セキュアなリンクを構築するべくペアマスタ鍵(PMK)を提供する際に、Extensible Authentication Protocol(EAP)を利用する。
IEEE802.11規格について現在開発中の修正は、802.11s規格である。802.11s規格は、メッシュ機能を追加することによって無線ネットワークにおけるデータ送信スループットを改善するべく認可された。メッシュ機能によって、複数の無線ホップから構成される経路でデータを送信することが可能となる。メッシュ機能を有する802.11s規格を開発する際に主に注目されたのは、ビデオストリーミング性能を改善する点であった。しかし、ビデオストリーミングによって、構築されるべきリンクに割り当てられる時間に制限が課されてしまい、既存の認証プロトコルではセキュアなリンクを構築することが困難となっている。特に、割り当てられた時間内に認証済みのピアリンクを構築するべくPMKをネゴシエートすることが困難である。
本発明は、添付図面と共に以下に記載する実施形態例の詳細な説明を参照することによって、より明らかとなるであろう。添付図面は以下の通りである。
本発明の実施形態に係る無線アドホックローカルエリアネットワークを示す図である。 本発明の実施形態に係るメッシュポイントの一例を示すブロック図である。 本発明の一実施形態に応じたメッシュポイント間でのデータ交換の一例を説明するためのフローチャートである。 本発明の実施形態に応じたペアマスタ鍵(PMK)のネゴシエートの一例を説明するためのフローチャートである。 本発明の実施形態に応じたペアマスタ鍵(PMK)のネゴシエートの一例を説明するためのフローチャートである。 本発明の実施形態に応じたペアマスタ鍵のネゴシエーションの確定の一例を説明するためのフローチャートである。
本発明の実施形態は、ペアマスタ鍵(PMK)をネゴシエートするシステムに関する。PMKは、2つのネットワークデバイス間で送信されるデータの暗号化および復号化を可能とする共有鍵である。PMKは、寿命が制限されているとしてよく、データを実際に暗号化および復号化するためのペア一時鍵(pairwise transient key:PTK)を導き出すべく利用されるとしてよい。PMKは、2つのネットワークデバイス間で接続が続いている全期間にわたって、接続が終了するか、または、失われるまで、利用されるとしてもよい。PMKに基づく認証プロトコルは、無線ネットワークで一般的に利用されているが、有線ネットワークを実現する場合にも同様に利用することができる。各ネットワークデバイスは、プロセッサ、ストレージデバイス、乱数生成器、および、データの送受信が可能な通信デバイスを備えている。また、各ネットワークデバイスは、PMKがネゴシエートされる前に、デフォルトPMKを選択する。選択されるデフォルトPMKは、利用可能なPMKのリストのうち最も優先度が高いPMKであってよい。尚、優先度は、各PMKの有効期限に応じて決まる。PMKのリストをソートする方法は、接続を構築するメッシュポイント双方にとって並び替えの基準が既知である限り、その他の方法を用いるとしてもよい。このように有効期限の順にPMKが並べられたリストは、PMK識別子リストとしても知られている。PMK識別子リストは、2つの特定のメッシュポイント間に固有のものであって、その2つの特定のメッシュポイントが共有しているPMKであって、その2つの特定のメッシュポイント間の接続を構築する際に利用可能なPMKのリストを含む。ネットワークデバイスは、接続を形成しようと試みる場合にオープンメッセージにPMK識別子リストを追加することによって、自身が保有しているPMKを広告する。各ネットワークデバイスは、他のネットワークデバイスからPMK識別子リストを受信して、それぞれ独立して、デフォルトPMKおよび送受信したPMK識別子リストに基づいてインタプリタアルゴリズムを利用して、ネゴシエーションPMK、つまり、ネットワークデバイス同士が構築する接続が継続する期間にわたって両ネットワークデバイスが利用するPMKを選択する。ネットワークデバイスは、ネゴシエーションPMKを選択した後、プロトコルを完了させるべく、リンクを構築している相手のネットワークデバイスに対して確認通知を送る。本発明の実施形態によれば、PMKのネゴシエーションを、少なくとも4つのメッセージで実行することができる。これが可能なのは、それぞれのPMKの有効期限に応じて利用可能なPMKを格付けした順序で並べたPMKリストを利用するためであり、この結果、ネットワークデバイスは、PMKのネゴシエーションが始まる前に接続の形成を試みる場合に最初の送信で利用すべきデフォルトPMKとして、最も優先度が高いPMKを選択することができる。
「ハンドシェイク」という用語は、ITおよび通信に関連する分野のハンドシェイキングを意味している。これらの分野では、ハンドシェイキングは、2つの実体の間で構築される通信チャネルを介して通常の通信が開始される前に、当該通信チャネルのパラメータを動的に設定する自動ネゴシエーションプロセスである。ハンドシェイキングは、チャネルが物理的に構築された後、且つ、通常通り情報が伝送される前に実行される。ハンドシェイキングは、通信チャネルの両端にある設備およびシステムの許容範囲にあるパラメータをネゴシエートするべく利用されるプロセスであるとしてよい。そのようなパラメータには、例えば、これらに限定されないが、情報伝送レート、符号の種類、パリティ、割り込み手順、および、その他のプロトコル方式またはハードウェア設定を含む。
ハンドシェイキングによって、人間が介入してパラメータを設定しなくても、通信チャネルを介して比較的異質なシステムまたは設備同士を接続することができるようになる。ハンドシェイキングの一例を挙げると、モデムのハンドシェイキングがある。モデムのハンドシェイキングでは通常、接続が最初に構築されると、短期間にわたって通信パラメータをネゴシエートして、その後に、そのパラメータを利用してチャネルを介してチャネルの品質および機能に応じて最適な情報の伝送を行う。一部のモデムで接続が確立された後すぐにスピーカから「キーキー」というノイズ(実際には、1秒当たり100回ピッチが切り替わっている音)が聞こえるが、これは実際には、両端のモデムがハンドシェイキング手続きを行っている音であり、ハンドシェイキング手続きが完了すれば、ドライバによるが、スピーカからこの後は聞こえなくなる。
これは、コンピュータがデバイスとの間で通信を開始して当該通信に関するルールを定める場合に行われるプロセスである。
ネットワークデバイスは、データを無線で送受信するべく構成されていることが好ましい。ネットワークデバイスが無線アドホックネットワークのメッシュポイントであることが好ましい。オープンメッセージは、PMK識別子リストを送信するネットワークデバイスと対応付けられているネットワークデバイス識別子、オープンメッセージを送信するネットワークデバイスと対応付けられて生成された乱数、オープンメッセージを送信するネットワークデバイスと対応付けられているPMKのリスト、オープンメッセージを送信するネットワークデバイスと対応付けられているデフォルトPMK、および、デフォルトPMKを用いて形成されているメッセージ認証コードを含むことが好ましい。PMKのリストは、リストに含まれているPMKそれぞれに対応付けられている有効期限に基づいて並べられていることが好ましい。ネゴシエーションPMKは、インタプリタアルゴリズムに基づいて選択されることが好ましい。確認メッセージは、確認メッセージを送信するネットワークデバイスに対応付けられているネットワークデバイス識別子、確認メッセージを受信するネットワークデバイスに対応付けられているネットワークデバイス識別子、確認メッセージを送信するネットワークデバイスに対応付けられて生成された乱数、確認メッセージを受信するネットワークデバイスに対応付けられて生成された乱数、ネゴシエーションPMK、および、ネゴシエーションPMKで形成されているメッセージ認証コードを含むことが好ましい。PMKは、インタプリタ型アルゴリズムに基づいて選択されることが好ましい。
本発明の別の実施形態は、リンクを構築するネットワークデバイス間でペアマスタ鍵(PMK)をネゴシエートする方法に関する。まず、ネットワークデバイスにおいて、リンクを構築するための新しいインスタンスが作成される。ネットワークデバイスで利用可能なPMKの中からデフォルトPMKが選択され、ネットワークデバイスは、選択されたデフォルトPMKを用いて、別のネットワークデバイスに対して利用可能なPMKを広告するべく、PMK識別子リストを形成する。PMK識別子リストは、ネットワークデバイスで利用可能であって、且つ、接続を構築しようと試みている相手のメッシュポイントと共有しているPMKが優先度の順位に従って並べられているリストであり、デフォルトPMKは優先度が最も高いPMKであることが好ましい。そしてネットワークデバイスは、他のネットワークデバイスにPMK識別子リストを送信して、第2のネットワークデバイスが送信したPMK識別子リストを受信する。ネットワークデバイスは、PMK識別子リストを受信すると、受信したPMK識別子リストに基づきインタプリタ型アルゴリズムを用いてネゴシエーションPMKを選択し、PMKがネゴシエートされれば、確認メッセージを作成して第2のネットワークデバイスに送信する。いずれのPMKも選択されず不成功に終わった場合、確認メッセージは形成または作成されず、リンクのインスタンスは破棄される。
上記の方法は、第2のネットワークデバイスに対応付けられている第2のデフォルトPMKを決定する段階と、第2のネットワークデバイスに対応付けられている第2のPMK識別子リストを形成する段階と、第2のPMK識別子リストを第1のネットワークデバイスに送信する段階と、第1のネットワークデバイスが送信する第1のPMK識別子リストを受信する段階と、受信した第1のPMK識別子リストに基づいて第2のPMKを独立して選択する段階と、選択された第2のPMKに基づき第2の確認メッセージを作成する段階と、第2の確認メッセージを第1のネットワークデバイスに送信する段階を備えることが好ましい。送信段階は、無線方式で行われるのが好ましい。第1のネットワークデバイスおよび第2のネットワークデバイスは、無線アドホックネットワークのメッシュポイントであることが好ましい。
本発明の別の実施形態は、2つのネットワークデバイスの間でペアマスタ鍵をネゴシエートする方法に関する。本実施形態では、両方のネットワークデバイスがそれぞれ、リンクを構築するための新しいインスタンスを作成して、利用可能なPMKの中からデフォルトPMKを選択する。ネットワークデバイスはそれぞれ、このようなPMKおよび利用可能なPMKを用いてPMK識別子リストメッセージを作成して、互いにPMK識別子リストメッセージを送信する。両方のネットワークデバイスがPMK識別子リストを受信した後、各ネットワークデバイスはPMKを選択する。各ネットワークデバイスは、PMKを選択した後、確認メッセージを作成して互いに送信する。いずれのPMKも選択されず不成功に終わった場合は、確認メッセージは形成または作成されず、リンクインスタンスは破棄される。
図1は、本発明の実施形態に係る無線アドホックネットワークの一例を示す図である。図1に示した無線ネットワーク100は5つのメッシュポイント、メッシュポイント110、120、130、140、および150を備えるものとして図示されているが、無線ネットワーク100が備える無線メッシュポイントの数は任意であってよい。また、メッシュポイント110、120、130、140、および150は、ノート型コンピュータ、パーソナルコンピュータ、無線アクセスポイント等、どのような種類の無線ノードまたは無線ネットワーク機器であってもよい。図1に図示しているのは一般的な無線ネットワークであり、無線メッシュネットワークの設計内容は当該ネットワークの用途および実施例に応じて大きく変わるので、図1には、ほかの無線メッシュネットワークの実施例には存在する無線メッシュネットワークの特徴を図示していない。また、本発明は実施形態例に基づいて説明するが、本発明の特徴は略全ての無線メッシュネットワークで実現し得るものであり、本発明の実施形態はIEEE802.11s規格の草稿に組み込まれている。
図2は、本発明の実施形態で利用されるメッシュポイント200を示すブロック図である。図2のブロック図で示すメッシュポイント200は、図1に示すメッシュポイント110、120、130、140、および150のうちいずれであってもよい。メッシュポイント200は、無線ネットワーク機器であればどのような種類のものであってもよく、例えば、ノート型コンピュータ、パーソナルコンピュータ(PC)、携帯情報端末(PDA)、無線アクセスポイント等であってよい。図2には、メッシュポイント200が備える可能性のある基本的なさまざまな構成要素を図示している。メッシュポイント200は、認証済み識別子210を含むとしてよい。認証済み識別子210は、メッシュポイント200の媒体アクセス制御(MAC)アドレスであってもよいし、または、メッシュポイント200のその他の任意の一意的な識別子であってよい。メッシュポイント200はさらに、乱数生成器220を備えるとしてよい。乱数生成器220は、メッシュポイント200用のオペレーティングシステムの一部であるソフトウェアアプリケーションであってもよいし、または、別個の特定のスタンドアローン型アプリケーションであってもよい。乱数生成器220は、乱数生成規格であるANSI X9.31およびANSI X9.82に準拠しているとしてよい。メッシュポイント200はさらに、メモリ230を備えるとしてよい。メモリ230は、ハードドライブ、キャッシュメモリ、または、任意の種類の固体メモリ等であってよい。メモリ230は、メッシュネットワーク内の任意の他のメッシュポイントとリンクを構築する場合、または、メッシュポイントが実行するその他の任意のタスクを実行する場合にメッシュポイント200が利用する任意のデータを格納する。メモリ230が格納するデータには、PMK識別子リスト、メッシュポイント200が利用可能なPMKのリスト、既存のリンクに利用されているPMK、利用されているPMKに対応する認証鍵等が含まれるとしてよい。メッシュポイント200はさらに、プロセッサ240を備えるとしてよい。プロセッサ240は、メッシュポイント200の機能を実行するべく設計されている任意の種類のデバイスであってよい。
図3は、本発明の実施形態に応じてPMKをネゴシエートする際にメッセージをやり取りする2つのメッシュポイント310および320を示すブロック図である。本発明の実施形態は有するメッシュポイントが2つのみである無線アドホックネットワークに基づいて説明しているが、本発明の特徴は任意の数のメッシュポイントを有する実質的に全ての設計および構成の無線ネットワークに利用することができる。図3に示すメッシュポイント310および320は、図1に示すメッシュポイントのうち任意のものであってよく、図2のブロック図に示したメッシュポイント200と同じ構成を持つとしてよい。本発明の実施形態によると、PMKのネゴシエーションを開始する場合、少なくとも1つのメッシュポイントが新しいリンクインスタンスを形成し、デフォルトPMKを選択して、対応するPMK識別子リストを広告する。PMK識別子リストは、2つの特定のメッシュポイントが両者間に接続を構築する際に共有するPMKを順序に従って並べたリストであり、PMKは優先度の順位に従って並べられており、PMKの有効期限に応じて並べられるのが好ましい。PMKは、ネットワーク内のメッシュポイントの1対毎に一意的であり、接続を構築しようと試みるメッシュポイントの1対毎に異なる。本実施形態例では、PMK識別子リストには、メッシュポイント310および320が共有しており、且つ、両者間に接続を構築しようとする際に利用可能なPMKが含まれている。デフォルトPMKは、PMK識別子リストで最も優先度が高いPMKであることが好ましい。本発明の実施形態例によると、最も優先度が高いPMKは、有効期限が最も遅いPMKである。メッシュポイントは、デフォルトPMKを選択した後、オープンメッセージに含めてPMK識別子リストを送信する。オープンメッセージは、形成されたPMK識別子リスト、メッシュポイントの認証済み識別子、乱数、選択されたデフォルトPMK、および、選択されたデフォルトPMKから導き出されたメッセージ認証コード鍵によって算出されたメッセージ用のメッセージ認証コードを含む。PMK識別子リストが形成される前にデフォルトPMKが選択される一実施形態を説明したが、別の実施形態では、デフォルトPMKが選択される前にPMK識別子リストが形成されるとしてもよい。メッシュポイントの認証済み識別子は、図2に示す認証済み識別子210であってよく、乱数は乱数生成器220によって生成されるとしてよい。メッセージ認証コードは、AES(Advanced Encryption Standard)等の暗号化規格に応じて生成されるとしてよい。本発明の実施形態によると、オープンメッセージは以下のように形成されるとしてよい。
MP‖R‖L‖K‖mKK(MP‖R‖L‖K)
尚、MPは送信側メッシュポイントの認証済み識別子であり、Rは乱数であり、Lはメッシュポイントに利用可能なPMKの識別子のリストであり、Kは選択されたデフォルトPMKの識別子であり、KKはKから導きだされたメッセージ認証コード鍵であり、mKK(MP‖R‖L‖K)はKKを用いて算出されたメッセージ認証コードであり、「‖」は連結を表す。また、各メッシュポイントの利用可能なPMKのリストでは、PMKが所定の順序で並べられている。各PMKには有効な期間が対応付けられているので、利用可能なPMKのリスト(L)に含まれているPMK識別子は、各PMKの有効期限に応じて順番に並べられている。Lの最初のPMK識別子は、Lで特定されているすべてのPMKのうち最後に有効期限が切れるPMKを特定しており、Lの最後のPMK識別子は、Lで特定されているすべてのPMKのうち最初に有効期限が切れるPMKを特定している。選択されるデフォルトPMKは通常、Lの最初のPMK識別子であり、最後に有効期限が切れるPMKである。
メッシュポイントがPMK識別子リストを形成してデフォルトPMKを選択した後、PMK識別子リストをオープンメッセージに含めて他のメッシュポイントに送信する。メッシュポイント310がメッシュポイント320との間でPMKのネゴシエーションを開始する実施形態の場合、メッシュポイント310は、PMK識別子リストを形成して、当該リストをオープンメッセージ330に含めて、矢印335で示すように、オープンメッセージ330をメッシュポイント320に送信する。メッシュポイント320がPMKのネゴシエーションを開始する実施形態の場合、メッシュポイント320は、PMK識別子リストを形成して、当該リストをオープンメッセージ340に含めて、矢印345で示すように、オープンメッセージ340をメッシュポイント310に送信する。メッシュポイント310および320の両方がネゴシエーションを開始する実施形態の場合、矢印335および345で示すように、オープンメッセージ330および340は共に同時に形成および送信される。
各メッシュポイントは、オープンメッセージを受信して、デフォルトPMKに基づいて、インタプリタ型アルゴリズムと、対応する複数のメッシュポイントのPMK識別子リストとを用いて、現在のリンクに使用すべきPMKを独立して決定する。しかし、このステップは、1つのメッシュポイントのみがリンクを開始する実施形態の場合、PMK識別子リストの形成の前に実行されるとしてもよい。例えば、メッシュポイント310がメッシュポイント320との間でリンクを開始する実施形態の場合、メッシュポイント310がPMK識別子リストを形成して、当該リストをオープンメッセージ330に含め、オープンメッセージ330をメッシュポイント320に送信する。メッシュポイント320は、オープンメッセージ330を受信して、現在のリンクに使用すべきPMKを独立して決定する。メッシュポイント320は、PMKを選定した後、選定されたPMKを含むPMK識別子リストを形成して、当該PMK識別子リストをオープンメッセージ340に含めてメッシュポイント310に送信する。
両方のメッシュポイントがPMK識別子リストを形成して、オープンメッセージに含めて当該リストを送信して、受信したオープンメッセージに基づいて利用すべきネゴシエーションPMKを独立して選定した後、両方のメッシュポイントは、ネゴシエーションPMKが同じであれば、確認メッセージを作成して、他方のメッシュポイントに確認メッセージを送信する。図3では、メッシュポイント310が確認メッセージ350を作成して、メッシュポイント320が確認メッセージ360を作成している。確認メッセージは、両方のメッシュポイントの認証済み識別子、両方のメッシュポイントがそれぞれ対応するPMK識別子リストで送信した乱数、選択されたネゴシエーションPMK、および、ネゴシエーションPMKを用いて算出された確認メッセージのメッセージ認証コードを含む。本発明の実施形態では、メッシュポイント310からメッシュポイント320へ送信される確認メッセージは、以下のように作成されるとしてよい。
MP310‖MP320‖R310‖R320‖K‖mKK(MP310‖MP320‖R310‖R320‖K)
尚、MP310はメッシュポイント310の認証済み識別子であり、MP320はメッシュポイント320の認証済み識別子であり、R310はメッシュポイント310が生成してオープンメッセージで送信した乱数であり、R320はメッシュポイント320が生成してオープンメッセージで送信した乱数であり、Kは選択されたネゴシエーションPMKであり、KKはKから導き出されたメッセージ認証コード鍵であり、mKK(MP310‖MP320‖R310‖R320‖K)はKKを用いて算出されたメッセージ認証コードであり、「‖」は連結を表す。メッシュポイント320は、プロトコルを完了させるべく、同様の確認メッセージを作成してメッシュポイント310に送信して、Kで示されている選定されたPMKを利用するという両メッシュポイントの約束を確認する。メッシュポイント320が対応して作成および送信する確認メッセージは以下の通りである。
MP320‖MP310‖R320‖R310‖K‖mKK(MP320‖MP310‖R320‖R310‖K)
尚、MP320はメッシュポイント320の認証済み識別子であり、MP310はメッシュポイント310の認証済み識別子であり、R320はメッシュポイント320が生成してオープンメッセージで送信した乱数であり、R310はメッシュポイント310が生成してオープンメッセージで送信した乱数であり、Kは選択されたネゴシエーションPMKであり、KKはKから導き出されたメッセージ認証コード鍵であり、mKK(MP320‖MP310‖R320‖R310‖K)はKKを用いて算出された認証コードであり、「‖」は連結を表す。確認メッセージに乱数を2つ含めることによって、リプレーアタックを防ぎ、メッセージが新しいものであることが両メッシュポイントに確認される。2つの確認メッセージ350および360が送信されることは、2つの矢印355および365によって示されている。しかし、PMKのネゴシエーションが不成功に終われば、確認メッセージは作成も送信もされない。
図4は、ネゴシエーションPMKを独立して選択する際にメッシュポイントが実行するインタプリタ型アルゴリズムのステップを示す、本発明の実施形態に係る方法400を示すフローチャートである。方法400のステップは、図1および図3にそれぞれ図示している無線アドホックネットワーク100およびメッシュポイント310が備える要素および特徴に基づいて説明している。しかし、方法400のステップは、上述した本発明の実施形態に限定されない。
方法400の最初のステップであるステップ405では、メッシュポイント310がリンクを構築しようと試みており、PMKをネゴシエートする必要がある。ステップ405において、メッシュポイント310は、リンクを構築する準備として、新しいリンクの新しいインスタンスを作成する。ステップ410において、メッシュポイント310は、利用可能なPMKのリストからデフォルトPMKを選択する。利用可能なPMKは、有効期限の順にソートされているとしてよく、有効期限が最も遅いPMKに最も高い優先順位が与えられており、有効期限が最も近いPMKは最下位となっている。デフォルトPMKは最も優先度が高いPMK(つまり、最後に有効期限が切れるPMK)であることが好ましい。ステップ415において、メッシュポイント310は、デフォルトPMKを選定した後、上述したようにオープンメッセージに含められるPMK識別子リストを形成する。その後、ステップ420において、メッシュポイント310は、オープンメッセージをネットワーク100内の別のメッシュポイントに送信する。メッシュポイント310は、ステップ420においてオープンメッセージを送信した後、ステップ425においてネットワーク100内の別のメッシュポイントからオープンメッセージを受信する場合がある。他のメッシュポイントとは、図3に示すメッシュポイント320であってよい。
メッシュポイント310は、別のメッシュポイントからオープンメッセージを受信した後、利用可能なPMKおよび受信したオープンメッセージに基づいてネゴシエーションPMKを独立して選択する。メッシュポイント310は、ステップ430においていずれのPMKも選択できない場合、リンクの現在のインスタンスを終了して、方法400を再度開始する。しかし、メッシュポイント310は、ステップ430でPMKを選択すると、ステップ440において、上述したように確認メッセージを作成する。その後、メッシュポイント310は、ステップ445において確認メッセージを送信して、ステップ450において別のメッシュポイントから確認メッセージを受信する。選定されたPMK同士が一致すると、プロトコルは終了して、リンクの構築が成功する。
図5は、方法400のPMKを独立して選択するステップ430においてメッシュポイント310等のメッシュポイントによって実行される、本発明の実施形態に係る方法500の一例を示すフローチャートである。方法500は、メッシュポイント310がリンクを構築しようと試みる際に、または、リンクを構築しようと試みている別のメッシュポイントからオープンメッセージを受信した際に、メッシュポイント310において実行されるとしてもよい。方法500のステップは、図1および図3にそれぞれ図示している無線アドホックネットワーク100およびメッシュポイント310が備える要素および特徴に基づいて説明している。しかし、方法500のステップは、上述した本発明の実施形態に限定されない。方法500を説明する際、Kはメッシュポイントが利用しているPMKの変数を表し、K2はステップ505において受信したオープンメッセージに含まれているPMKを表し、L1はメッシュポイント310に利用可能なPMKのリストを表し、L2はステップ505においてメッシュポイント310が受信したオープンメッセージを送信したメッシュポイントに利用可能なPMKのリストを表すものとする。
ステップ505において、メッシュポイント310は、無線アドホックネットワーク内の別のメッシュポイントからオープンメッセージを受信する。メッシュポイント310は、判断ブロック510において、使用すべきPMK(K)を既に保有しているか否かを判断する。メッシュポイント310は、使用すべきPMKが既にあると判断すれば、ステップ515において、使用すべきPMKと受信したオープンメッセージに含まれているK2とが同じか否かを調べる。この2つのPMKが一致すれば、メッシュポイント310は、ステップ530において、選択されたPMK(K2)を含む確認メッセージを形成および送信する。2つのPMKが一致しなければ、ステップ525においてオープンメッセージを破棄して、終了する。
メッシュポイント310が利用すべきPMKを保有していない場合には、メッシュポイント310は、判断ブロック520において、利用可能なPMKのリスト(L1)にK2が含まれているか否かを確認する。K2がL1に含まれていない場合、オープンメッセージは破棄されて、終了する。しかし、K2がL1に含まれている場合、メッシュポイント310は、ステップ535において、K2がリストL1内で最も高い優先順位のPMK(K1、有効期限が最後のPMK)と同じPMKであるか否かを確かめる。K1およびK2が同じであれば、メッシュポイントは、ステップ540において、利用すべきPMKとしてK2を設定するので、確認メッセージを形成および送信する。しかし、K1およびK2が同じでない場合、メッシュポイント310は、L1とL2との間で共有するPMKがあるか否かを確認する。共有するPMKがない場合、プロトコルは終了する。共通のPMKが少なくとも1つある場合、メッシュポイント310は、ステップ545において、共有されるPMKのうち優先度が最も高い(有効期限が最後)PMK(S1)はどれか判断する。続いて、ステップ550で、メッシュポイント310は、S1およびK1が同じであるか否かを調べる。S1およびK1が同じである場合、メッシュポイント310はK1を用いてオープンメッセージを形成して、対応するオープンメッセージに含めてリストを送信する。しかし、S1およびK1が同じでない場合、メッシュポイントは現在のリンクインスタンスを破棄して、S1を含む新しいオープンメッセージを形成して、メッシュポイント320に送信する。このように、方法500でPMKのネゴシエーションが成功すれば、結果として得られたネゴシエーションPMKは、2つのメッシュポイントが共有するPMKのうち優先度が最も高いPMKである。
図6は、ネゴシエーションPMKを確定するべく確認メッセージを受信した場合に方法400のステップ450においてメッシュポイント310等のメッシュポイントによって実行される、本発明の実施形態に係る方法600の一例を示すフローチャートである。方法600のステップは、図1および図3にそれぞれ図示している無線アドホックネットワーク100およびメッシュポイント310が備える要素および特徴に基づいて説明している。しかし、方法600のステップは、上述した本発明の実施形態に限定されない。
ステップ605において、メッシュポイント310は、確認メッセージを受信する。判断ブロック610において、メッシュポイント310は、利用中のPMK(K)を既に保有しているか否かを判断する。利用中のPMKが確立されていれば、メッシュポイント310は、ステップ615において、確認メッセージに含められて受信したPMK(K2)と利用中のPMKとが同じであるか否かを確認する。2つのPMKが同じであれば、メッシュポイント310は、確認メッセージに含まれている認証コードを承認する。その後、メッシュポイント310は、ステップ630および640において、対応して確認メッセージを作成および送信して、方法を終了させる。2つのPMKが同じでない場合、メッシュポイント310は確認メッセージを破棄して、方法を終了させる。
しかし、確立されているPMK(K)がない場合、メッシュポイントは、ステップ620において、有効期限に応じて並べられている利用可能なPMKのリストにおいて優先順位が最も高いPMK(K1)がK2と同じPMKであるか否かを調べる。K1およびK2が同じ場合、メッシュポイントは、ステップ625において、利用すべきPMKとしてK2を設定し、ステップ630および640において確認メッセージを対応して形成および送信する。
本発明の根幹を成す新規の特徴を複数の実施形態に応用して、図示、説明および指摘してきたが、本発明の精神および範囲から逸脱することなく、記載した実施形態の構成、詳細な内容、および動作についてさまざまな要素を削除、交換、および変更することは当業者には明らかであると理解されたい。実施形態間で要素を置き換えることもまた、十分に意図および考慮の範囲内である。本発明は、本願特許請求の範囲および本明細書の記載内容の均等物によってのみ定められるものである。

Claims (23)

  1. ペアマスタ鍵(PMK)をネゴシエートするシステムであって、
    少なくとも第1のネットワークデバイスおよび第2のネットワークデバイスを備え、
    少なくとも1つのネットワークデバイスが、前記PMKがネゴシエートされる前に、順序が決められたPMK識別子リストからデフォルトPMKを選択して、前記デフォルトPMKおよび前記順序が決められたPMK識別子リストに基づいて、前記PMKをネゴシエートするシステム。
  2. 少なくとも1つのネットワークデバイスは、プロセッサと、ストレージデバイスと、乱数生成器と、データの送受信を行う通信デバイスとを有し、
    前記第1のネットワークデバイスは、リンクを構築するためのインスタンスを形成し、第1のデフォルトPMKを選択し、第1のPMK識別子リストを形成し、前記第1のPMK識別子リストを含む第1のオープンメッセージを作成し、前記第2のネットワークデバイスに前記第1のオープンメッセージを送信し、前記第2のネットワークデバイスが形成した第2のPMK識別子リストおよび第2のデフォルトPMKを含む第2のオープンメッセージを受信し、前記第1のデフォルトPMK、前記第1のPMK識別子リスト、および前記第2のPMK識別子リストに基づいてネゴシエーションPMKを独立して選択する請求項1に記載のシステム。
  3. 前記第1のネットワークデバイスおよび前記第2のネットワークデバイスは、無線アドホックネットワークにおけるメッシュポイントである請求項2に記載のシステム。
  4. 前記第1のオープンメッセージは、
    前記第1のネットワークデバイスと対応付けられている第1のネットワークデバイス識別子と、
    前記第1のネットワークデバイスと対応付けられて生成された乱数と、
    前記第1のネットワークデバイスおよび前記第2のネットワークデバイスに対応付けられているPMKのリストを含む前記第1のPMK識別子リストと、
    前記第1のネットワークデバイスと対応付けられている前記第1のデフォルトPMKと、
    前記第1のデフォルトPMKを用いて形成されているメッセージ認証コードと
    を含む請求項2に記載のシステム。
  5. 前記第2のオープンメッセージは、
    前記第2のネットワークデバイスと対応付けられている第2のネットワークデバイス識別子と、
    前記第2のネットワークデバイスと対応付けられて生成された乱数と、
    前記第1のネットワークデバイスおよび前記第2のネットワークデバイスに対応付けられているPMKのリストを含む前記第2のPMK識別子リストと、
    前記第2のネットワークデバイスと対応付けられている前記第2のデフォルトPMKと、
    前記第2のデフォルトPMKを用いて形成されているメッセージ認証コードと
    を含む請求項2に記載のシステム。
  6. 前記第1のPMK識別子リストおよび前記第2のPMK識別子リストでは、各リストに含まれているPMKのうち少なくとも1つに対応付けられている有効期限に基づいて決まる優先度の順序でPMKが並べられており、前記第1のデフォルトPMKは、前記第1のPMK識別子リストに含まれるPMKであって、前記第1のPMK識別子リストにおいて最も優先度が高く、前記第2のデフォルトPMKは、前記第2のPMK識別子リストに含まれるPMKであって、前記第2のPMK識別子リストにおいて最も優先度が高い請求項2に記載のシステム。
  7. 前記優先度の順序で最も優先度が高いのは、有効期限が最も遅いPMKである
    請求項6に記載のシステム。
  8. 前記ネゴシエーションPMKは、前記第1のネットワークデバイスおよび前記第2のネットワークデバイスの両方が共有するPMKのうち最も優先度が高いPMKを含む
    請求項2に記載のシステム。
  9. 前記第1のネットワークデバイスおよび前記第2のネットワークデバイスはさらに、前記PMKのネゴシエーションが成功すると、第1の確認メッセージおよび第2の確認メッセージを送信し、前記ネゴシエーションが成功するのは、前記第1のデフォルトPMKおよび前記第2のデフォルトPMKが同じPMKである場合であり、前記第1の確認メッセージおよび前記第2の確認メッセージはそれぞれ、
    前記第1のネットワークデバイスに対応付けられている第1のネットワークデバイス識別子と、
    前記第2のネットワークデバイスに対応付けられている第2のネットワークデバイス識別子と、
    前記第1のネットワークデバイスに対応付けられて生成された第1の乱数と、
    前記第2のネットワークデバイスに対応付けられて生成された第2の乱数と、
    前記ネゴシエーションPMKと、
    前記ネゴシエーションPMKを用いて形成されているメッセージ認証コードと
    を含む請求項2に記載のシステム。
  10. ペアマスタ鍵(PMK)をネゴシエートする方法であって、
    前記PMKをネゴシエートする前に、順序が決められたPMK識別子リストからデフォルトPMKを選択する段階と、
    前記デフォルトPMKおよび前記順序が決められたPMK識別子リストに基づいて、前記PMKをネゴシエートする段階と
    を備える方法。
  11. リンクを構築するべくインスタンスを形成する段階と、
    第1のネットワークデバイスで、前記第1のネットワークデバイスおよび第2のネットワークデバイスに対応付けられる第1のPMK識別子リストを形成する段階と、
    前記第1のネットワークデバイスに対応付けられている第1のデフォルトPMKを決定する段階と、
    前記第1のPMK識別子リストを含む第1のオープンメッセージを第2のネットワークデバイスに送信する段階と、
    前記第2のネットワークデバイスに対応付けられている第2のPMK識別子リストを含む第2のオープンメッセージを受信する段階と、
    前記第1のデフォルトPMK、前記第1のPMK識別子リスト、および前記第2のPMK識別子リストに基づいてネゴシエーションPMKを独立して選択する段階と
    をさらに備える請求項10に記載の方法。
  12. 前記第2のネットワークデバイスで、前記第2のネットワークデバイスおよび前記第1のネットワークデバイスに対応付けられている前記第2のPMK識別子リストを形成する段階と、
    前記第2のネットワークデバイスに対応付けられている第2のデフォルトPMKを決定する段階と、
    前記第2のPMK識別子リストを含む前記第2のオープンメッセージを前記第1のネットワークデバイスに送信する段階と、
    前記第1のネットワークデバイスが送信する前記第1のPMK識別子リストを含む前記第1のオープンメッセージを受信する段階と、
    受信した前記第1のPMK識別子リスト、前記第2のデフォルトPMK、および前記第2のPMK識別子リストに基づいて、前記ネゴシエーションPMKを独立して選択する段階と
    をさらに備える請求項11に記載の方法。
  13. 前記第1のデフォルトPMKと前記第2のデフォルトPMKとが同じである場合に、前記PMKのネゴシエートに成功する段階と、
    前記第1のネットワークデバイスで、前記ネゴシエーションPMKに基づいて第1の確認メッセージを形成する段階と、
    前記第2のネットワークデバイスに前記第1の確認メッセージを送信する段階と、
    前記第2のネットワークデバイスから、前記ネゴシエーションPMKに基づく第2の確認メッセージを受信する段階と
    をさらに備える請求項12に記載の方法。
  14. 前記第1のデフォルトPMKと前記第2のデフォルトPMKとが同じである場合に、前記PMKのネゴシエートに成功する段階と、
    前記第2のネットワークデバイスで、前記ネゴシエーションPMKに基づいて前記第2の確認メッセージを形成する段階と、
    前記第1のネットワークデバイスに前記第2の確認メッセージを送信する段階と、
    前記第1のネットワークデバイスから、前記ネゴシエーションPMKに基づく前記第1の確認メッセージを受信する段階と
    をさらに備える請求項13に記載の方法。
  15. 前記第1のネットワークデバイスおよび前記第2のネットワークデバイスは、無線アドホックネットワークのメッシュポイントである請求項11に記載の方法。
  16. 前記第1のオープンメッセージは、
    前記第1のネットワークデバイスと対応付けられている第1のネットワークデバイス識別子と、
    前記第1のネットワークデバイスと対応付けられて生成された乱数と、
    前記第1のネットワークデバイスおよび前記第2のネットワークデバイスに対応付けられているPMKのリストを含む前記第1のPMK識別子リストと、
    前記第1のネットワークデバイスと対応付けられている前記第1のデフォルトPMKと、
    前記第1のデフォルトPMKを用いて形成されているメッセージ認証コードと
    を含む請求項11に記載の方法。
  17. 前記第2のオープンメッセージは、
    前記第2のネットワークデバイスと対応付けられている第2のネットワークデバイス識別子と、
    前記第2のネットワークデバイスと対応付けられて生成された乱数と、
    前記第1のネットワークデバイスおよび前記第2のネットワークデバイスに対応付けられているPMKのリストを含む前記第2のPMK識別子リストと、
    前記第2のネットワークデバイスと対応付けられている前記第2のデフォルトPMKと、
    前記第2のデフォルトPMKを用いて形成されているメッセージ認証コードと
    を含む請求項12に記載の方法。
  18. 前記ネゴシエーションPMKは、前記第1のネットワークデバイスおよび前記第2のネットワークデバイスの両方が共有するPMKのうち最も優先度が高いPMKを含む請求項11に記載の方法。
  19. 前記第1のPMK識別子リストおよび前記第2のPMK識別子リストでは、各リストに含まれているPMKのうち少なくとも1つに対応付けられている有効期限に基づいて決まる優先度の順序でPMKが並べられており、前記第1のデフォルトPMKは、前記第1のPMK識別子リストに含まれるPMKであって、前記第1のPMK識別子リストにおいて最も優先度が高く、前記第2のデフォルトPMKは、前記第2のPMK識別子リストに含まれるPMKであって、前記第2のPMK識別子リストにおいて最も優先度が高い請求項12に記載の方法。
  20. 前記優先度の順序で最も優先度が高いのは、有効期限が最も遅いPMKである請求項19に記載の方法。
  21. 前記第1の確認メッセージおよび前記第2の確認メッセージは、
    前記第1のネットワークデバイスに対応付けられている第1のネットワークデバイス識別子と、
    前記第2のネットワークデバイスに対応付けられている第2のネットワークデバイス識別子と、
    前記第1のネットワークデバイスに対応付けられて生成された第1の乱数と、
    前記第2のネットワークデバイスに対応付けられて生成された第2の乱数と、
    前記ネゴシエーションPMKと、
    前記ネゴシエーションPMKで形成されているメッセージ認証コードと
    を含む請求項14に記載の方法。
  22. 第1のネットワークデバイスで、リンクを構築するための第1のインスタンスを作成する段階と、
    第2のネットワークデバイスで、リンクを構築するための第2のインスタンスを作成する段階と、
    前記第1のネットワークデバイスで、前記第1のネットワークデバイスおよび前記第2のネットワークデバイスに対応付けられている第1のPMK識別子リストを形成する段階と、
    前記第2のネットワークデバイスで、前記第1のネットワークデバイスおよび前記第2のネットワークデバイスに対応付けられている第2のPMK識別子リストを形成する段階と、
    前記第1のネットワークデバイスに対応付けられている第1のデフォルトPMKを選択する段階と、
    前記第2のネットワークデバイスに対応付けられている第2のデフォルトPMKを選択する段階と、
    前記第1のPMK識別子リストを含む第1のオープンメッセージを前記第2のネットワークデバイスに送信する段階と、
    前記第2のPMK識別子リストを含む第2のオープンメッセージを前記第1のネットワークデバイスに送信する段階と、
    前記第2のネットワークデバイスで前記第1のオープンメッセージを受信する段階と、
    前記第1のネットワークデバイスで前記第2のオープンメッセージを受信する段階と、
    前記第1のネットワークデバイスで、受信した前記第2のPMK識別子リストに基づいてネゴシエーションPMKを独立して選択する段階と、
    前記第2のネットワークデバイスで、受信した前記第1のPMK識別子リストに基づいて前記ネゴシエーションPMKを独立して選択する段階と
    をさらに備える請求項10に記載の方法。
  23. 前記第1のデフォルトPMKと前記第2のデフォルトPMKとが同じである場合に、前記PMKのネゴシエートに成功する段階と、
    前記第1のネットワークデバイスで、前記ネゴシエーションPMKに基づき第1の確認メッセージを形成する段階と、
    前記第2のネットワークデバイスで、前記ネゴシエーションPMKに基づき第2の確認メッセージを形成する段階と、
    前記第1の確認メッセージを前記第2のネットワークデバイスへ送信する段階と、
    前記第2の確認メッセージを前記第1のネットワークデバイスへ送信する段階と、
    前記第1のネットワークデバイスから前記第1の確認メッセージを前記第2のネットワークデバイスで受信する段階と、
    前記第2のネットワークデバイスから前記第2の確認メッセージを前記第1のネットワークデバイスで受信する段階と
    をさらに備える請求項22に記載の方法。
JP2010540714A 2007-12-28 2008-12-01 無線メッシュネットワークでピアリンクを保護するべくペアマスタ鍵をネゴシエートする装置および方法 Expired - Fee Related JP5010744B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/966,776 US9246679B2 (en) 2007-12-28 2007-12-28 Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks
US11/966,776 2007-12-28
PCT/US2008/085110 WO2009085528A2 (en) 2007-12-28 2008-12-01 Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks

Publications (2)

Publication Number Publication Date
JP2011509023A JP2011509023A (ja) 2011-03-17
JP5010744B2 true JP5010744B2 (ja) 2012-08-29

Family

ID=40798478

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010540714A Expired - Fee Related JP5010744B2 (ja) 2007-12-28 2008-12-01 無線メッシュネットワークでピアリンクを保護するべくペアマスタ鍵をネゴシエートする装置および方法

Country Status (7)

Country Link
US (1) US9246679B2 (ja)
EP (1) EP2225909A4 (ja)
JP (1) JP5010744B2 (ja)
KR (1) KR101175864B1 (ja)
CN (1) CN101911814B (ja)
BR (1) BRPI0819474A2 (ja)
WO (1) WO2009085528A2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9173095B2 (en) * 2013-03-11 2015-10-27 Intel Corporation Techniques for authenticating a device for wireless docking
US9462464B2 (en) * 2014-03-27 2016-10-04 Qualcomm Incorporated Secure and simplified procedure for joining a social Wi-Fi mesh network
CN106162633B (zh) * 2015-04-20 2019-11-29 北京华为数字技术有限公司 一种密钥传输方法和装置

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5534520A (en) * 1978-08-31 1980-03-11 Fujitsu Ltd Encrypt data communication system containing multi- encrypt key
DE19513959C2 (de) * 1995-04-12 1997-02-13 Siemens Ag Verfahren zur Steuerung von Funktionen zum Funkbereichswechsel von Kommunikationsendgeräten
US5930362A (en) * 1996-10-09 1999-07-27 At&T Wireless Services Inc Generation of encryption key
US6965674B2 (en) * 2002-05-21 2005-11-15 Wavelink Corporation System and method for providing WLAN security through synchronized update and rotation of WEP keys
US7212837B1 (en) * 2002-05-24 2007-05-01 Airespace, Inc. Method and system for hierarchical processing of protocol information in a wireless LAN
US7234063B1 (en) * 2002-08-27 2007-06-19 Cisco Technology, Inc. Method and apparatus for generating pairwise cryptographic transforms based on group keys
DE60202863T2 (de) * 2002-08-30 2005-06-30 Errikos Pitsos Verfahren, Gateway und System zur Datenübertragung zwischen einer Netzwerkvorrichtung in einem öffentlichen Netzwerk und einer Netzwerkvorrichtung in einem privaten Netzwerk
US7486795B2 (en) 2002-09-20 2009-02-03 University Of Maryland Method and apparatus for key management in distributed sensor networks
US7263357B2 (en) * 2003-01-14 2007-08-28 Samsung Electronics Co., Ltd. Method for fast roaming in a wireless network
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
US7350233B1 (en) * 2003-09-12 2008-03-25 Nortel Networks Limited Fast re-establishment of communications for virtual private network devices
EP1531645A1 (en) * 2003-11-12 2005-05-18 Matsushita Electric Industrial Co., Ltd. Context transfer in a communication network comprising plural heterogeneous access networks
JP5042834B2 (ja) 2004-08-25 2012-10-03 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート 無線携帯インターネットシステムでeapを利用する保安関係交渉方法
US7603700B2 (en) * 2004-08-31 2009-10-13 Aol Llc Authenticating a client using linked authentication credentials
US7558388B2 (en) * 2004-10-15 2009-07-07 Broadcom Corporation Derivation method for cached keys in wireless communication system
KR100923176B1 (ko) * 2004-10-27 2009-10-22 메시네트웍스, 인코포레이티드 무선 네트워크에 보안성을 제공하기 위한 시스템 및 방법
JP4551202B2 (ja) * 2004-12-07 2010-09-22 株式会社日立製作所 アドホックネットワークの認証方法、および、その無線通信端末
KR100729725B1 (ko) 2005-02-02 2007-06-18 한국전자통신연구원 무선 휴대 인터넷 시스템에서 인증 방법 및 그 인증 시스템
US7596376B2 (en) * 2005-02-18 2009-09-29 Cisco Technology, Inc. Methods, apparatuses and systems facilitating client handoffs in wireless network systems
US20060233377A1 (en) * 2005-03-31 2006-10-19 Hwang-Daw Chang Key distribution method of mobile ad hoc network
US8532304B2 (en) * 2005-04-04 2013-09-10 Nokia Corporation Administration of wireless local area networks
WO2006137624A1 (en) * 2005-06-22 2006-12-28 Electronics And Telecommunications Research Institute Method for allocating authorization key identifier for wireless portable internet system
US7602918B2 (en) * 2005-06-30 2009-10-13 Alcatel-Lucent Usa Inc. Method for distributing security keys during hand-off in a wireless communication system
US7545810B2 (en) * 2005-07-01 2009-06-09 Cisco Technology, Inc. Approaches for switching transport protocol connection keys
KR100770928B1 (ko) * 2005-07-02 2007-10-26 삼성전자주식회사 통신 시스템에서 인증 시스템 및 방법
US8576846B2 (en) * 2005-10-05 2013-11-05 Qualcomm Incorporated Peer-to-peer communication in ad hoc wireless network
US7461253B2 (en) * 2005-11-22 2008-12-02 Motorola, Inc. Method and apparatus for providing a key for secure communications
US7706800B2 (en) * 2005-12-28 2010-04-27 Intel Corporation System, apparatus and method of hand over in wireless communication system
US8031872B2 (en) * 2006-01-10 2011-10-04 Intel Corporation Pre-expiration purging of authentication key contexts
JP2007188321A (ja) * 2006-01-13 2007-07-26 Sony Corp 通信装置および通信方法、プログラム、並びに記録媒体
US7333464B2 (en) * 2006-02-01 2008-02-19 Microsoft Corporation Automated service discovery and wireless network set-up
US8023478B2 (en) * 2006-03-06 2011-09-20 Cisco Technology, Inc. System and method for securing mesh access points in a wireless mesh network, including rapid roaming
CN101052035B (zh) * 2006-04-27 2011-08-03 华为技术有限公司 多主机安全架构及其空口密钥分发方法
US7804807B2 (en) * 2006-08-02 2010-09-28 Motorola, Inc. Managing establishment and removal of security associations in a wireless mesh network
US7499547B2 (en) * 2006-09-07 2009-03-03 Motorola, Inc. Security authentication and key management within an infrastructure based wireless multi-hop network
US8594315B1 (en) * 2006-10-03 2013-11-26 Avaya Inc. Speed dial administration based on call history
JP4823015B2 (ja) * 2006-10-26 2011-11-24 富士通株式会社 遠隔制御プログラム、携帯端末装置およびゲートウェイ装置
US8902793B2 (en) * 2007-02-15 2014-12-02 Broadcom Corporation Method and system for a low-complexity spanning tree algorithm in communication networks
US8175272B2 (en) * 2007-03-12 2012-05-08 Motorola Solutions, Inc. Method for establishing secure associations within a communication network
US9313658B2 (en) * 2007-09-04 2016-04-12 Industrial Technology Research Institute Methods and devices for establishing security associations and performing handoff authentication in communications systems

Also Published As

Publication number Publication date
EP2225909A4 (en) 2016-06-01
CN101911814B (zh) 2013-10-16
KR20100087768A (ko) 2010-08-05
US9246679B2 (en) 2016-01-26
WO2009085528A3 (en) 2009-08-27
KR101175864B1 (ko) 2012-08-21
BRPI0819474A2 (pt) 2015-09-29
WO2009085528A2 (en) 2009-07-09
US20090169011A1 (en) 2009-07-02
CN101911814A (zh) 2010-12-08
JP2011509023A (ja) 2011-03-17
EP2225909A2 (en) 2010-09-08

Similar Documents

Publication Publication Date Title
KR102053829B1 (ko) 보안 nan 데이터 링크 설정
EP2007110B1 (en) Apparatus and methods for negotiating a capability in establishing a peer-to-peer communication link
JP4682250B2 (ja) マルチホップ無線ネットワークにおける無線ルータ支援セキュリティハンドオフ(wrash)
JP5597676B2 (ja) 鍵マテリアルの交換
JP6522861B2 (ja) 複数のセキュリティレベルを備える無線通信システム
JP2004297783A (ja) 無線ネットワークハンドオフ暗号鍵
WO2009097789A1 (zh) 建立安全关联的方法和通信系统
JP5010744B2 (ja) 無線メッシュネットワークでピアリンクを保護するべくペアマスタ鍵をネゴシエートする装置および方法
WO2011064858A1 (ja) 無線認証端末
WO2024185454A1 (ja) 通信装置、制御方法、及び、プログラム
EP4322472A1 (en) Improved security establishment methods and systems
EP4322460A1 (en) Reliability setting for improved security establishment methods and systems
JP6961951B2 (ja) ネットワーク構築システム、方法及び無線ノード
WO2024033252A1 (en) Improved security establishment methods and systems
Mavrogiannopoulos On Bluetooth. Security

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120425

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120508

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120601

R150 Certificate of patent or registration of utility model

Ref document number: 5010744

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150608

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees