MX2009002507A - Autentificacion de seguridad y gestion de claves dentro de una red de multisalto inalambrica basada en infraestructura. - Google Patents

Autentificacion de seguridad y gestion de claves dentro de una red de multisalto inalambrica basada en infraestructura.

Info

Publication number
MX2009002507A
MX2009002507A MX2009002507A MX2009002507A MX2009002507A MX 2009002507 A MX2009002507 A MX 2009002507A MX 2009002507 A MX2009002507 A MX 2009002507A MX 2009002507 A MX2009002507 A MX 2009002507A MX 2009002507 A MX2009002507 A MX 2009002507A
Authority
MX
Mexico
Prior art keywords
level
key
supplicant
authentication
pmk
Prior art date
Application number
MX2009002507A
Other languages
English (en)
Inventor
Charles R Barker Jr
Heyun Zheng
Amit Glandhi
Keith J Goldberg
Samer S Hanna
Surong Zeng
Original Assignee
Motorola Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Motorola Inc filed Critical Motorola Inc
Publication of MX2009002507A publication Critical patent/MX2009002507A/es

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • H04L63/064Hierarchical key distribution, e.g. by multi-tier trusted parties
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks
    • H04W84/22Self-organising networks, e.g. ad-hoc networks or sensor networks with access to wired networks

Abstract

Un sistema y método de autentificación de seguridad y esquema de gestión de claves en una red inalámbrica de multisalto se proporciona en la presente con un modelo de seguridad de salto por salto. El esquema adapta la jerarquía de clave 802.llr en la red de AP poligonal. En este procedimiento, un tenedor de claves superior (ROKFI) deriva y mantiene la Clave Maestra Dos a Dos (PMK_O) superior para cada dispositivo inalámbrico suplicante después del proceso de autentificación. Todo el AP de]. autentificador toma la función de tenedor de claves de nivel uno (R1KH) y recibe la Clave Maestra Dos a Dos (PMK_l) del siguiente nivel de ROKH. La clave de protección de datos del 'nivel de enlace se deriva de PMK1 mediante el saludo inicial de 4 vías 802.lli.

Description

AUTENTIFICACIÓN DE SEGURIDAD Y GESTIÓN DE CLAVES DENTRO DE UNA RED DE MULTISALTO INALÁMBRICA BASADA EN INFRAESTRUCTURA CAMPO DE LA INVENCIÓN La presente invención se refiere generalmente a comunicaciones inalámbricas y más particularmente a autentificación de seguridad y gestión de claves dentro de una red de multisalto inalámbrica basada en infraestructura.
ANTECEDENTES DE LA INVENCIÓN Una red inalámbrica basada en infraestructura típicamente incluye una red de comunicación con puertos de enlace fijo y alámbrico. Muchas redes inalámbricas basadas en infraestructura emplean una unidad móvil o servidor que se comunica con una estación base fija que se acopla a una red alámbrica. La unidad móvil puede moverse geográficamente mientras se está comunicando sobre un enlace inalámbrico a la estación base. Cuando la unidad móvil se cambia de campo de acción de una estación base, puede conectarse o "transferirse" a una nueva estación base y comenzar a comunicarse con la red alámbrica a través de la nueva estación base.
SUMARIO DE LA INVENCIÓN En comparación con las redes inalámbricas basadas en infraestructura, tales como redes celulares o redes satelitales, y redes ad hoc son redes de autoformación que pueden operar en ausencia de cualquier infraestructura fija, y en algunos casos la red ad hoc se forma totalmente de nodos móviles. Una red ad hoc típicamente incluye un número de unidades potencialmente móviles, geográficamente distribuidas algunas veces referidas como "nodos" , las cuales se conectan inalámbricamente entre sí por uno o más enlaces (por ejemplo, canales de comunicación de radiofrecuencia) . Los nodos pueden comunicarse entre sí sobre un medio inalámbrico sin el soporte de una red basada en infraestructura o alámbrica. Conforme las redes de comunicación inalámbrica se vuelven más prevalentes, la seguridad continúa siendo una mayor preocupación para proveedores de redes de comunicación y usuarios finales. Esto es más evidente cuando se utiliza una red inalámbrica móvil donde el ambiente de seguridad puede ofrecer los mayores desafíos puesto que los datos pueden ser recibido y manipulados fácilmente por muchos nodos. Los enlaces de radio utilizados en una red inalámbrica exponen la señalización y los datos que recorren la red a fisgones y/o posibles piratas informáticos. En una red inalámbrica de multisalto, esto requiere cada enlace en los dispositivos conectados que tenga una asociación de seguridad única establecida a través del proceso de autentificación de multisalto y gestión de claves. Entonces, las tramas aéreas en el enlace pueden ser protegidas con las asociaciones de seguridad establecida .
BREVE DESCRIPCIÓN DE LAS FIGURAS Las figuras anexas, donde números de referencia similares se refieren a elementos idénticos o funcionalmente similares a través de las vistas separadas y que junto con la descripción detallada siguiente se incorporan en y forman parte de la especificación, sirven para ilustrar adicionalmente varias modalidades y para explicar varios principios y ventajas todo de acuerdo con la presente invención. La FIGURA 1 ilustra una red inalámbrica de multisalto basada en infraestructura ejemplar de acuerdo con algunas modalidades de la presente invención. La FIGURA 2 ilustra un formato de mensaje ejemplar de acuerdo con algunas modalidades de la presente invención. La FIGURA 3 es un diagrama de flujo que ilustra un proceso de distribución de claves y autorización de funciones de acuerdo con algunas modalidades de la presente invención . La FIGURA 4 ilustra un procedimiento de autentificación, de acuerdo con algunas modalidades de la presente invención. La FIGURA 5 es un diagrama de flujo de mensajes que ilustra mensajes de autentificación intercambiados entre varios elementos de la red de la FIGURA 1, de acuerdo con algunas modalidades de la presente invención. La FIGURA 6 ilustra más detalle del intercambio de mensajes de la FIGURA 5, de acuerdo con algunas modalidades de la presente invención. Aquellos con experiencia en la técnica apreciarán que elementos en las figuras se ilustran para simplicidad y claridad y no necesariamente se han dibujado a escala. Por ejemplo, las dimensiones de algunos de los elementos en las figuras pueden exagerarse con respecto a otros elementos para ayudar a mejorar el entendimiento de las modalidades de la presente invención.
DESCRIPCIÓN DETALLADA DE LA INVENCIÓN Antes de describir en detalle las modalidades que son de acuerdo con la presente invención, se debe observar que las modalidades que residen principalmente en combinaciones de etapas de métodos y componentes de aparatos relacionados con autentificación de seguridad y gestión de claves. Por consiguiente, los componentes de aparatos y etapas de métodos se han representado donde es apropiado por símbolos convencionales en las figuras, mostrando sólo esos destalles específicos que son pertinentes para entender las modalidades de la presente invención para no obscurecer la descripción con detalles que fácilmente serán aparentes para aquellos de experiencia ordinaria en la técnica teniendo el beneficio de la descripción en la presente. En este documento, términos relaciónales tales como primero y segundo, superior e inferior, y similares pueden utilizarse solamente para distinguir una entidad o acción de otra entidad o acción sin requerir necesariamente o implicar ninguna relación actual u orden entre tales entidades o acciones. Los términos "comprende", "que comprende", o cualquier otra variación de los mismos, se pretenden para cubrir una inclusión no exclusiva, de modo que un proceso, método, artículo o aparato que comprende una lista de elementos no incluye sólo esos elementos sino que puede incluir otros elementos no expresamente listados o inherentes para tal proceso, método, artículo o aparato. Un elemento precedido por "comprende ... uno" , sin más restricciones, no impide la existencia de elementos idénticos adicionales en el proceso, método, artículo o aparato que comprende el elemento. Se apreciará que las modalidades de la invención descritas en la presente pueden comprenderse de uno o más procesadores convencionales y de instrucciones de programación almacenadas únicas que controlan uno o más procesadores para implementar, junto con ciertos circuitos sin procesador, algunas, la mayoría o todas las funciones de autentificación de seguridad y gestión de claves descritas en la presente. Los circuitos sin procesador pueden incluir, pero no se limitan a un receptor de radio, un transmisor de radio, excitadores de señales, circuitos de reloj , circuitos de fuente de energía, y dispositivos de entrada de usuario. Como tales, estas funciones pueden interpretarse como etapas de un método para realizar autentificación de seguridad y gestión de claves. Alternativamente, algunas o todas las funciones podrían implementarse por una máquina de estado que no tiene instrucciones de programación almacenadas, o en uno o más circuitos integrados de aplicación especifica (ASIC) , en los cuales cada función o algunas combinaciones de ciertas funciones se implementan como lógica a medida. Desde luego, una combinación de los dos procedimientos podría utilizarse. De este modo, métodos y medios para estas funciones se han descrito en la presente. Además, se espera que alguien con experiencia ordinaria en la técnica, sin importar un esfuerzo posiblemente significante y muchas opciones de diseño motivadas por, por ejemplo, el tiempo disponible, la tecnología actual y consideraciones económicas, cuando son guiadas por los conceptos y principios descritos en la presente serán fácilmente capaz de generar tales instrucciones y programas de software e IC con mínima experimentación. La presente invención proporciona una autentificación de seguridad y esquema de gestión de claves para una red inalámbrica de multisalto basado en infraestructura con un modelo de seguridad de salto por salto. Los bloques de construcción básicos de la presente invención son IEEE 802. lli e IEEE 802. lx. Para una transferencia rápida, características en 802. llr se incluyen . IEEE 802. lx es una nueva tecnología que proporciona escalabilidad casi ilimitada con gastos de administración mínimos. También permite que diferentes métodos de autentificación sean seleccionados por los usuarios o los operadores. En la presente invención, la Seguridad de Capa de Transporte Canalizado (TTLS) se utiliza para la autentificación de usuario y dispositivo debido a su seguridad relativamente fuerte y al costo de despliegue menor. Para los dispositivos la Autentificación de Seguridad de Capa de Transporte (TLS) es una característica opcional. Para autentificación centralizada y soporte 802. llr, el tenedor de claves de nivel superior (R0KH) para la jerarquía de clave 802. llr se diseña para ser localizado en la red alámbrica. El transporte de mensajes entre el tenedor de claves de nivel superior (nivel cero) y los tenedores de claves de nivel 2 (R1KH) pueden estar ya sea en la capa 2 o en la capa de Protocolo de Internet (IP) . En la presente invención, una jerarquía de clave basada en 802. llr se adapta entre los puntos de acceso conectados, los cuales toman la función de los tenedores de claves de nivel uno. El flujo de mensajes de gestión de seguridad entre los tenedores de claves se proporciona. La gestión de claves puede soportar ambas estaciones inalámbricas que cumplen con 802. lli y 802. llr. También puede soportar puntos de acceso virtuales posibles, identificadores de conjuntos de servicios múltiples posibles (SSID) desplegados. El flujo de mensajes de seguridad entre los tenedores de claves de nivel cero y nivel uno puede ser transportado sobre la capa 2 o capa 3 dependiendo de la ubicación del tenedor de claves de nivel cero. Cuando todos los tenedores de claves de nivel cero se despliegan en el mismo segmento de capa 2 con los tenedores de claves de nivel uno, el transporte de comunicación de capa 2 puede utilizarse y de otra forma, el transporte de comunicación de capa 3 debe utilizarse. Una Clave de Distribución de Claves (KDK) se deriva durante el proceso de autentificación inicial y se utiliza para asegurar el material de clave transportado desde el tenedor de claves de nivel superior a los tenedores de clave de siguiente nivel. La función del tenedor de claves de nivel uno R1KH se autoriza por el tenedor de claves de nivel superior basándose en la información de autorización del Servidor de Autentificación . Un sistema y método de autentificación de seguridad y esquema de gestión de claves en una red inalámbrica de multisalto se proporciona en la presente con un modelo de seguridad de salto por salto. El esquema se adapta a la jerarquía de claves 802. llr en la red de punto de acceso (AP) poligonal. En ese procedimiento, un tenedor de claves de nivel superior (ROKH) deriva y mantiene la Clave Maestra Dos a Dos (PMK_0) superior para cada dispositivo inalámbrico suplicante después del proceso de autentificación . Todos los puntos de acceso (AP) del autentificador toman el nivel de la función del tenedor de claves de nivel uno (R1KH) y recibe la Clave Maestra Dos a Dos (PMK_1) del siguiente nivel del tenedor de claves de nivel superior ROKH. La clave de protección de datos de nivel de enlace se deriva de PMK_1 mediante saludo inicial de 4 vías tal como un saludo inicial de cuatro vías 802. lli . La FIGURA 1 ilustra una red 100 inalámbrica de multisalto basada en infraestructura ejemplar de acuerdo con algunas modalidades de la presente invención. En la red 100 ejemplar de la FIGURA 1, los canales de comunicación de nivel 2 entre los tenedores de clave se utilizan y un tenedor de claves de nivel superior ROKH se conecta a un conmutador de Ethernet central. De este modo, el tenedor de claves de nivel superior ROKH está en el mismo segmento L2 con todos los dispositivos controlados de punto de acceso inteligente (LAP) y punto de acceso poligonal (MAP) . Un cliente de servicio de usuario de marcación de autentificación remota (RADIUS) y autentificador 802. IX también se implementan dentro de la red 100 de acuerdo con algunas modalidades de la presente invención. Se apreciará por aquellos con experiencia ordinaria en la técnica que cuando los canales de comunicación de capa de IP se utilizan para el tenedor de claves de nivel superior ROKH y el tenedor de claves de nivel uno R1KH, el ROKH puede localizarse en cualquier ubicación. De acuerdo con una implementación ejemplar, ROKH se localiza dentro del mismo servidor que el sistema de gestión de red. Todos los dispositivos R1KH conectados al mismo ROKH se identifican a través de un Identificador de Dominio de Movilidad (MD1) el cual se anuncia en todas las tramas de baliza. Como se ilustra, la red 100 incluye uno o más puntos de acceso poligonales (MAP) 135-n los cuales se utilizan para enrutar los paquetes de datos de uno o más puntos de acceso inteligente (IAP) 130-n a uno o más dispositivos de suscriptor inalámbrico (SD) 140-n (también referidos como estaciones (STA) ) . Uno o más IAP 130-n entonces se enrutan en los paquetes a un conmutador 125 de Ethernet central acoplado comunicativamente a un enrutador 115 central, y un tenedor de claves de nivel superior (ROKH) 120. El enrutador 115 central se acopla mediante una infraestructura 110 alámbrica a un servidor 105 de autentificación . Aunque sólo las trayectorias para los dispositivos del suscriptor (SD) a la red 125 alámbrica se muestran, se apreciará por aquellos de experiencia ordinaria en la técnica que las conexiones poligonales pueden establecerse siempre y cuando dos dispositivos vecinos tales como el dispositivo 140-1 de suscriptor y el dispositivo 140-2 de suscriptor puedan comunicarse entre sí . El servidor 105 de autentificación funciona para proporcionar servicios de autentificación al ROKH 120 y se describirá después de esto. En general, el servidor 105 de autentificación realiza la función de autentificación necesaria para comprobar las credenciales de un suplicante a nombre del autentificador e indica si el suplicante está autorizado para acceder a los servicios del autentificador . En una modalidad de la presente invención, el servidor 105 de autentificación se localiza en la sección de red alámbrica donde la seguridad física de un servidor puede proporcionarse. Por ejemplo, el servidor 105 de autentificación puede ser un servidor de servicio de usuario de marcación de autentificación remota (RADIUS) habilitado por protocolo de autentificación extensible-Seguridad de Capa de Transporte Canalizado/protocolo de autentificación extensible-protocolo de capa de transporte (EAP-TTLS/EAP-TLS) para la autentificación centralizada. Como se apreciará por aquellos con experiencia ordinaria en la técnica, los dispositivos 140-n de suscriptor en la red 100 se les puede requerir enviar y recibir datos encriptados . Cualquier dispositivo dentro de la red 100 que requiera/desee acceso a los servicios ofrecidos por el sistema de autentificador se refieren como suplicante. Un dispositivo que autentifica otros dispositivo (suplicante) que requiere/desea utilizar los servicios protegidos por el autentificador se refiere como autentificador . El autentificador ejecuta el control de acceso basándose en el resultado de autentificación . Como se apreciará por aquellos de experiencia ordinaria en la técnica, cada nodo en la red 100 (es decir, los IAP 130-n, los MPA 135-n, y los SD 140-n) se autentifican a la red 100 antes de que se una a la red poligonal. Las credenciales para la autentificación pueden basarse por ejemplo, en una contraseña, un módulo de identidad de suscriptor (SIM) , identificación de tarjeta (I.D.), u otra I.D., la cual es única para un nodo particular y se almacena en el servidor 105 de autentificación. Cada nodo utiliza su relación con el servidor 105 de autentificación para autentificar un MAP o IAP poligonal con seguridad de un salto el cual ha establecido una conexión de seguridad a ROKH 120. El ROKH 120 utilizará los servicios de autentificación proporcionados por el servidor 105 de autentificación . El servidor 105 de autentificación también ayuda al nodo particular que está autentificando para establecer una relación confiable con sus nodos vecinos al distribuir un material de clave maestra de sesión que se encripta en el ROKH 120. El ROKH 120 deriva Claves Maestras Dos a Dos de nivel cero y nivel uno (PMK_0. PMK_1) . El ROKH 120 también mantiene el PMK_0 y envía PMK_1 al autentificador MAP o IAP el cual está tomando la función del tenedor de claves de nivel uno. En una modalidad de la presente invención, la red 100 incorpora la operabilidad IEEE 802. llr. 802. llr proporciona las transiciones BSS rápido ("Conjunto de Servicio Básico"). 802. llr de este modo facilita la conectividad a bordo de vehículos en movimiento, con transferencia rápida de una estación base a otra manejada en una forma inalámbrica. La aplicación primaria visualizada actualmente para el estándar 802. llr es VOIP ("voz sobre IP"), o telefonía basada en Internet) mediante teléfonos móviles diseñados para funcionar con redes inalámbricas de Internet, en lugar de (o además de) redes de celular estándares . 802. llr refina el proceso de transición de un cliente móvil conforme se mueve entre puntos de acceso. El protocolo permite a un cliente inalámbrico establecer un estado de seguridad y calidad de servicio (QoS) en un nuevo punto de acceso antes de hacer una transición, lo cual lleva a una mínima pérdida de conectividad e interrupción de aplicación. Los cambios generales para el protocolo no presentan nuevas vulnerabilidades de seguridad. Esto preserva el comportamiento de las estaciones actuales y los puntos de acceso. 802. llr proporciona mecanismos para que clientes móviles de itinerancia se comuniquen con puntos de acceso candidatos, establezcan asociaciones de seguridad y reserven recursos de QoS. De acuerdo con la presente invención, dentro de la red 100 de la FIGURA 1, una jerarquía de clave basada en 802. llr se aplica a un AP poligonal, por el cual hace posible una transferencia rápida para uno o más AP móviles. En esta jerarquía de clave, una clave de nivel superior PMK_0 se genera en el R0KH 120 a partir del material de clave maestra recibido del servidor 105 de autentificación . En el siguiente nivel, un PMK_1 se deriva en el ROKH 120 del PMK_0. El PMK_1 se deriva al R1KH . La clave transitoria dos a dos (PTK) se deriva de PMK_1 entre el suplicante y el autentificador a través de un saludo inicial de 4 vías 802. lli. De acuerdo con algunas modalidades de la presente invención, el tenedor de claves de nivel superior ROKH 120 se localiza en la sección de red alámbrica y se conecta al conmutador 125 de Ethernet central y todos los otros puntos de acceso poligonales (MAP) 135-n y los IAP 130-n tomarán la función de tenedor de claves de nivel uno. En algunos despliegues de la presente invención, ROKH 120 puede contenerse dentro de IAP 130-n, de este modo todos los MAP 135-n asociados con ese IAP 130-n serán R1KH bajo ese ROKH 120 (no mostrado) . Cuando los canales de comunicación de capa IP se utilizan para ROKH y R1KH el ROKH y R1KH pueden localizarse en un segmento diferente de capa 2.
Representante de EAPOL entre Tenedores de Clave Un protocolo ejemplar utilizado para comunicaciones entre los nodos y el servidor 105 es EAP (Protocolo de Autentificación Extensible) . El protocolo de EAP define un formato de mensaje y saludo inicial de intercambio para soportar múltiples métodos de autentificación . EAP típicamente se ejecuta directamente sobre capas de enlace de datos tales como el protocolo de Punto a Punto (PPP) o IEEE 802, sin requerir un IP. EAP proporciona su propio soporte para eliminación de duplicados y retransmisión, pero se basa en garantías de órdenes de capa inferior. La fragmentación no es soportada dentro del EAP mismo. Sin embargo, métodos individuales de EAP pueden soportar fragmentación tales como EAP-TLS donde los datos de certificados grandes necesitan transmitirse en varios paquetes. Para 802. IX, por ejemplo, los mensajes EAP entre el suplicante de autentificación y ROKH 120 se encapsulan en formatos de mensaje EAPOL (EAP sobre red de área local (LAN) ) . EAP es flexible y extensible para soportar múltiples mecanismos de autentificación tales como contraseña de usuario, autentificación basada en certificado, contraseña de una sola vez, ficha de autentificación o tarjeta inteligente, y similares. Se proporciona un vehículo para negociar y utilizar mecanismos apropiados de autentificación que incluyen aquellos que derivan material de claves en el nodo y el servidor 105 de autentificación . Un procedimiento de autentificación comienza cuando un nodo trasmite una solicitud de autentificación utilizando por ejemplo, un protocolo de autentificación extensible (EAP) que comprende paquetes de EAP Sobre la Red de Área Local (EAPOL) . El proceso de autentificación involucra varios paquetes de EAPOL que se transmiten y reciben, comenzando con un paquete de inicio de EAP y terminando con un paquete de mensaje de éxito de EAP o un paquete de mensaje de falla de EAP. El servidor de autentificación almacena las credenciales de autentificación de un dispositivo móvil (típicamente llamado Suplicante) que se está autentificando. Los servidores de autentificación también pueden conectarse a otros servidores de autentificación para obtener credenciales de autentificación de Suplicante que no se almacenan localmente . Cuando la jerarquía de clave 802. llr se utiliza para la gestión de claves, los mensajes de EAPOL para la autentificación y gestión de claves tienen que transportarse entre el tenedor de claves de nivel superior ROKH y el tenedor de claves de siguiente nivel RIKH. La FIGURA 2 ilustra un formato 200 de mensaje para su uso en la operación de algunas modalidades de la presente invención. Específicamente, la FIGURA 2 ilustra una encapsulación de mensaje EAP para una trama de comunicación de tenedor de claves L2 de acuerdo con algunas modalidades de la presente invención. El encabezado 205 de Control de Acceso a Medios (MAC) contiene las direcciones de MAC de origen de destino de cada salto. El encabezado 210 de Enrutamiento Ad Hoc (AHR) contiene las direcciones de MAC de origen y destino del autentificador y el dispositivo de finalización de ruta poligonal (es decir, R1KH y ROKH) . Un id de protocolo especial se coloca en el campo de id de protocolo del encabezado 210 de AHR para representar el paquete de representante de EAPOL . Una dirección 220 de MAC de suplicante también se incluye entre el encabezado 210 de AHR y el paquete 230 de EAPOL dentro del formato 200 de mensaje. El formato 200 de mensaje incluye un indicador 215 de i/r en el primer byte del cuerpo de carga útil poligonal para soportar ambos suplicantes 802. lli y 802. llr. El formato de mensaje además incluye un elemento 225 de información SSID para soportar AP virtuales. La dirección 220 de MAC suplicante se necesita para que el ROKH 120 conozca qué dispositivo de suplicante será capaz de enlazar el PMK_0 y PMK_1 a ese suplicante particular. Cuando el indicador 215 de i/r indica un suplicante 802. lli, el ROKH 120 deriva el PMK basándose en el estándar 802. lli y distribuye el PMK al R1KH. Cuando el indicador 215 de i/r indica un suplicante 802. llr, el ROKH 120 deriva al PMK_0 y PMK_1 basándose en una jerarquía de clave 802. llr y distribuye el PMK_1 al autentificador (R1KH) . El SSID 225 se necesita para la derivación de PMK_0 y PMK_1. Para AP virtuales, el suplicante puede seleccionar un SSID de un número de SSID disponibles . De acuerdo con la presente invención, cuando los mensajes entre los tenedores de claves que se transportan en la capa de red, la trama 230 de EAPOL junto con los campos i/r 215, SPA 220 y SSID 225 se colocan en la carga útil del paquete de IP (protocolo de internet) . Adicionalmente , al enviar la dirección de MAC del tenedor de claves también se incluye en la carga útil de IP, la cual se necesita para derivar PMK_1. Como se conoce bien en la técnica, como se ilustra en la FIGURA 2, la trama 230 de EAPOL incluye una versión 235 de protocolo la cual es un número binario sin signo, cuyo valor es la versión del protocolo de EAPOL. La trama 230 de EAPOL además incluye un tipo 240 de paquete el cual es un número binario sin signo, cuyo valor determina el tipo de paquete como sigue: a) EAP-paquete ; b) EAPOL-Inicio; c) EAPOL-Cerrar sesión; d) EAPOL-Clave; e) EAPOL-Encapsulado-ASF-Alerta . La trama 230 de EAPOL además incluye una longitud 245 del cuerpo de paquete la cual es un binario sin signo, cuyo valor define la longitud en octetos del campo de cuerpo de paquete. La trama 230 de EAPOL también incluye un cuerpo 250 de paquete el cual se presenta si el tipo de paquete contiene el valor de EAP-Paquete, EAPOL-Clave, de otra forma, no se presenta. Como se conoce bien en la técnica, como se ilustra en la FIGURA 2, el cuerpo 250 de paquete EAP incluye un campo 255 de código que identifica el tipo de paquete de EAP. Los Códigos de EAP se asignan como sigue: 1 = Solicitud; 2 = Respuesta; 3 = Éxito; 4 = Falla. El cuerpo 250 de paquete de EAP además incluye un campo 260 de identificador el cual ayuda a correlacionar respuestas con solicitudes. El cuerpo 250 de paquete de EAP además incluye un campo 265 de longitud que identifica la longitud del paquete de EAP que incluye el Código 255, Identificador 260, Longitud 265 y Campos 275 de Datos. El cuerpo 250 de paquete de EAP además incluye un campo 270 de tipo. El campo de tipo indica el tipo de la solicitud o respuesta. Este puede ser un tipo de identidad o un método de autentificación particular. El cuerpo 250 de paquete de EAP también incluye un campo 275 de datos tipo. El formato del campo 275 datos se determina por el campo 255 de Código y el campo 270 de tipo.
Clave de Distribución de Clave y Autorización de Función Como se apreciará por aquellos de experiencia ordinaria en la técnica, existen dos tipos de dispositivos suplicantes dentro de la red 100. Los dos tipos de dispositivos suplicantes dentro de la red 100 son los dispositivos de MAP 135-n y los dispositivos STA 140-n. De acuerdo con algunas modalidades de la presente invención, los dispositivos de MAP 135-n funcionan como R1KH para la jerarquía de clave 802. llr. Para proteger la distribución de PMK_1 del tenedor de claves superior ROKH 120 a R1KH, una Clave de Distribución de Clave (KDK) dos a dos se deriva para cada par de ROKH y MAP/IAP como se ilustra en la FIGURA 3. La FIGURA 3 es un diagrama de flujo que ilustra un proceso 300 de distribución de clave y autorización de función de acuerdo con algunas modalidades de la presente invención. Como se ilustra en la FIGURA 3, la operación comienza con una etapa 305 de autentificación inicial. La autentificación inicial, por ejemplo, puede ser una autentificación inicial de TTLS o TLS . Después, en la Etapa 310, el ROKH 120 obtiene los atributos de autorización del servidor 105 de autentificación en el mensaje final "éxito de autentificación" para el suplicante autentificado. Después, en la Etapa 315, se determina si el atributo de la función de suplicante autentificado es o no un tenedor de claves de nivel uno. Cuando el atributo de función de suplicante autentificado es un tenedor de claves de nivel uno, el proceso continúa en la Etapa 320 en la cual ROKH y R1KH suplicante inician un saludo inicial de 4 vías estilo 802. lli con PMK_0 para derivar KDK. Después, en la Etapa 320, la KDK se deriva como: KDK=KDF-KDKLen ( PMK_0 , "KDK Key derivation" , Snonce || Anonce || AA || SPA) . Donde : • KDF-256 se define en las secciones 8.5A.3 de 802. llr . · SNonce es un número aleatorio generado por RIKH, y ANonce es un número aleatorio generado ROKH. • los dos números aleatorios se intercambian durante los primeros dos mensajes de saludo inicial de 4 vías • AA es la dirección de MAC ROKH • SPA es la dirección de MAC RIKH Se apreciará por aquellos de experiencia ordinaria en la técnica que cuando un RIKH se mueve, la KDK sigue siendo la misma a menos que ROKH inicie un nuevo saludo inicial de cuatro vías KDK.
Autentificación e Inicio de Reautentificación La FIGURA 4 ilustra un procedimiento 400 de autentificación de acuerdo con algunas modalidades de la presente invención. Como se ilustra en la FIGURA 4, la operación comienza con un nodo 135 -n que se enciende en la Etapa 405. Después, en la Etapa 415, el nodo escucha para/explora las tramas de baliza de sus dispositivos vecinos que pueden ser ya sea un MAP 135 -n o un IAP 130-n. Después, en la Etapa 415, el nodo selecciona un IAP o MAP para comenzar el proceso de autentificación al elegir un dispositivo que ha indicado que tiene una conexión a un servidor 105 de autentificación . Después en la Etapa 420, una primera autentificación se completa para el nodo con el dispositivo de MAP vecino seleccionado. En la Etapa 425, después de la primera autentificación, el nodo puede iniciar la re-autentificación con otros dispositivos MAP vecinos que se han conectado y autentificado a un IAP dentro del mismo dominio de movilidad. Esta re-autentificación utiliza el proceso de transferencia rápida 802. llr para evitar la transacción completa de autentificación .
Flujo de Mensajes de Autentificación La FIGURA 5 es un diagrama 500 de flujo de mensaje que ilustra mensajes de autentificación intercambiados entre varios elementos de la red de la FIGURA 1 de acuerdo con algunas modalidades de la presente invención. Específicamente, la FIGURA 5 es un diagrama 500 de flujo de mensajes que ilustra mensajes de autentificación intercambiados entre un dispositivo suplicante y un MAP de R1KH (o IAP) . El puerto controlado 802. lx de MAP de R1KH es desbloqueado para estos mensajes desde un dispositivo no autentificado. Un MAP de R1KH es un dispositivo de MAP o IAP que tiene una conexión segura a ROKH; y se presume ya autentificado. Tomará la función R1KH para el dispositivo suplicante. En el escenario ejemplar del diagrama 500 de la FIGURA 5, MAPI 135-1 de R1KH y MAP2 135-2 de R1KH ya autentifican y tiene una conexión segura con ROKH 120. Por ejemplo, pueden ser un multisalto lejos de ROKH 120 como se ilustra por la trayectoria 505 de multisalto de la FIGURA 5. El suplicante (es decir, el dispositivo 140-1) en este escenario ejemplar, no se ha autentificado para MAPI 135-1 de R1KH y MAP2 135-2 de R1KH, los cuales son vecinos de un salto del suplicante. En este escenario ejemplar, los mensajes entre ROKH 120 y el servidor 105 de autentificación se transportan sobre el protocolo de servicio de usuario de marcación de autentificación remota (RADIUS) basada en el Protocolo de Datagrama de Usuario (UDP) . Los mensajes son protegidos al utilizar un mecanismo de seguridad de protocolo de RADIUS. Además, en este escenario ejemplar, los mensajes de autentificación entre R1KH 135-1 y ROKH 120 se transportan sobre el mecanismo intermediario de protocolo de autentificación extensible sobre red de área local (EAPOL) y los materiales de clave son protegidos con KDK entre el ROKH y R1KH. R1KH 135-1 notifica a ROKH 120 del SSID seleccionado por el suplicante 140-1 para la implementación de punto de acceso (AP) virtual. Como se ilustra en la FIGURA 5, el proceso de autentificación comienza cuando el suplicante 140-1 inicia una solicitud 510 de asociación a su MAPI 135-1 vecino. En respuesta, el MAPI 135-1 envía una respuesta 515 de asociación. Por ejemplo, el proceso de autentificación 802. lx será iniciado por el suplicante 140-1 (EAPOL-Inicio de suplicante) si la autentificación 520 de EAP 802. IX se selecciona a través de los primeros dos mensajes de asociación. Después de una autentificación exitosa de EAP 802. lx, un MSK será derivado del servidor 105 de autentificación a ROKH 120 en el mensaje de Aceptación de Acceso junto con el paquete de EAP-Éxito y otros atributos de autorización. Después de obtener MSK, ROKH 120 calcula un PMK_0 y un PMK_1 como se describe en el estándar 802. llr . Para decidir si un proceso de derivación de KDK va a llevarse a cabo o no, ROKH 120 comprueba la función del suplicante a partir de los atributos de autorización regresados del servidor 105 de autentificación secundario. Si el suplicante 140-1 tiene una función R1KH, se lleva a cabo el intercambio 525 de mensaje de derivación KDK. De otra manera, ningún proceso de derivación de KDK se comienza para el suplicante 140-1. Para generar los nombres únicos para el PMK_0 y PMK_1, ROKH 120 genera un número aleatorio denominado ANonce para utilizarse para derivar el nombre de PMK_0 y el nombre de PMK_1. Este A once se envía a MAPI 135-1 junto con PMK_1 y el nombre de PMK_1 en el mensaje 530. El ANonce se utilizará por MAPI 135-1 en el saludo inicial de 4 vías con el suplicante 140-1. El suplicante 140-1 entonces utilizará el mismo ANonce para derivar los mismos nombres de claves. Después de recibir el PMK_1 530 de ROKH 120, MAP 1 inicia un saludo inicial 535 de 4 vías con el suplicante 140-1 para generar un PTK para proteger el enlace entre el suplicante 140-1 y MAP3 135-3 (no mostrado en la FIGURA 5) . Después de esto, MAPI 135-1 y el suplicante 140-1 pueden comunicarse dentro de un enlace 540 seguro. La FIGURA 6 ilustra un intercambio 600 de mensaje detallado ejemplar como se describe previamente en la presente en la FIGURA 5 cuando la autentificación 802. lx es EAP-TTLS de acuerdo con algunas modalidades de la presente invención. Como se ilustra en la FIGURA 6, el suplicante 140-1 envía una trama 605 EAPOL-inicio al MAP 135-1 de R1KH cuando se selecciona la autentificación 802. lx. R1KH 135-1 entonces transporta esta trama 610 a ROKH 120. El ROKH 120 toma el control de todo el flujo de mensaje entre el suplicante 140-1 y el servidor 105 de autentificación . El MAP 135-1 de R1KH implementa una máquina de estado de reintento para que EAPOL-Inicio envíe al ROKH 120. El último mensaje PMK_1 ACK 615 completa la máquina de estado en ROKH 120. El último mensaje 620 de ROKH 120 a R1KH 135-1 contiene PMK_1, el Nombre Rl y Añonee . Si el suplicante 140-1 es un dispositivo 802. lli, sólo PMK 802. lli se distribuye a R1KH 135-1.
RE-Autentificación (Transición Rápida) Con referencia nuevamente a la FIGURA 5, después de la primera autentificación con MAPI 135-1, el suplicante 140-1 puede iniciar el proceso de re-autentificación (transferencia rápida) con cualquiera de los dispositivo 135-n de MAP vecinos que han anunciado una conexión segura a un servidor 105 de autentificación y están en el mismo dominio de movilidad. El proceso de re-autentificación sigue la transición BSS rápida 802. llr: mecanismo base sobre el aire. La solicitud de re-autentificación incluye ROName, RIName, SNonce y su nombre ROKH- ID del tenedor de claves de nivel superior asociado. ROName y RIName también se incluyen. Como se ilustra en la FIGURA 5, después de que se completa el procedimiento de autentificación entre el suplicante 140-1 y MAPI 135-1, el suplicante 140-1 inicia un procedimiento de re-autentificación con su siguiente dispositivo vecino MAP2 135-2 de R1KH. Por ejemplo, un primer mensaje con transferencia rápida 545 se envía desde el suplicante 141-1 a MAP2 135-2. En respuesta, AP2 135-2 envía una solicitud 550 de PMK a ROKH 120 que solicita el PMK_1 correspondiente de ROKH 120 si no contiene ese PMK_1 identificado por RI ame . La solicitud PMK_1 a ROKH debe incluir el ROName . En respuesta, ROKH 120 envía PMK_1 555 a MAP2 135-2. Después de esto, el MAP2 135-2 envía el segundo mensaje al suplicante 140 cuando MAP2 135-2 obtiene el PMK_1 correspondiente. El suplicante 140-1 y MAP2 135-2 completan los mensajes 560 de transferencia rápida y resultan en un enlace 565 seguro. Se apreciará por aquellos de experiencia ordinaria en la técnica que esta re-autentificación de transferencia rápida puede repetirse para cualquier número de dispositivos de MAP o IAP dentro del campo de acción de comunicación (en el vecindario) del suplicante . En la especificación anterior, modalidades especificas de la presente invención se han descrito. Sin embargo, alguien de experiencia ordinaria en la técnica aprecia que varias modificaciones y cambios pueden hacerse sin apartarse del alcance de la presente invención como se establece en las reivindicaciones siguiente. Por consiguiente, la especificación y las figuras se interpretarán como en un sentido ilustrativo en lugar de uno restrictivo, y todas las modificaciones se pretenden para incluirse dentro del alcance de la presente invención. Los beneficios, ventajas, soluciones a los problemas, y cualesquier elementos que pueden provocar algún beneficio, ventaja o solución para presentarse o pronunciarse más no se interpretarán como una característica o elemento crítico, requerido o esencial de cualquiera o todas las reivindicaciones. La invención se define solamente por las reivindicaciones anexas que incluyen cualesquier enmiendas durante hechas durante el estado pendiente de esta solicitud y todos los equivalentes de estas reivindicaciones como se emitieron.

Claims (11)

  1. NOVEDAD DE LA INVENCIÓN Habiendo descrito la presente invención se considera como novedad y por lo tanto se reclama como propiedad lo descrito en las siguientes reivindicaciones.
  2. REIVINDICACIONES 1. Un método de autentificación de seguridad y gestión de claves dentro de una red de multisalto inalámbrica basada en la infraestructura, el método caracterizado porque comprende: autentificar inicialmente un suplicante que incluye determinar uno o más atributos de función de suplicante autentificados con un servidor de autentificación; obtener uno o más atributos de autorización del servidor de autentificación mediante un tenedor de claves de nivel superior; determinar si el atributo de la función de solicitante autentificado es un tenedor de claves de nivel uno mediante el tenedor de claves de nivel superior; iniciar un saludo inicial de cuatro vías entre el tenedor de claves de nivel superior y el suplicante con una clave maestra dos a dos (PMK)_0 para derivar una Clave de Distribución de Clave (KDK) cuando el atributo de función de suplicante autentificado es un tenedor de claves de nivel uno; y cuando el atributo de función de suplicante autentificado no es un tenedor de claves de nivel uno; comunicar una clave maestra dos a dos de nivel uno (PMK)_1 del tenedor de claves de nivel superior a un tenedor de claves de nivel uno, iniciar un saludo inicial de cuatro vías entre el tenedor de claves de nivel uno y el suplicante con la clave maestra de dos a dos de nivel uno (PMK)_1 para generar un enlace de comunicación segura entre el suplicante y el tenedor de claves de nivel uno, y comunicarse en el enlace seguro entre el tenedor de claves de nivel uno y el suplicante. 2. El método de autentificación de seguridad y gestión de claves dentro de una red de multisalto inalámbrica basada en la infraestructura de conformidad con la reivindicación 1, caracterizado porque el saludo inicial de cuatro vías entre el tenedor de claves de nivel superior y el tenedor de claves de nivel uno comprende un saludo inicial de cuatro vías estilo 802. lli para derivar una KDK entre el tenedor de claves de nivel superior y el tenedor de claves de nivel uno; y además donde el saludo inicial de cuatro vías entre el tenedor de claves de nivel uno y el suplicante comprende un saludo inicial de cuatro vías estilo 802. lli para derivar una clave transitoria dos a dos
  3. (PTK) entre el tenedor de claves de nivel uno y el suplicante . 3. El método de autentificación de seguridad y gestión de claves dentro de una red de multisalto inalámbrica basada en la infraestructura de conformidad con la reivindicación 1, caracterizado porque la KDK se deriva como : KDK = KDF-KDKLen (PMK_0 , "KDK Key derivation" , SNonce II ANonce || AA || SPA) . donde : KDF-256 es un número predefinido, SNonce es un número aleatorio generado por el suplicante , ANonce es un número aleatorio generado por el tenedor de claves de nivel superior, los dos números aleatorios se intercambian durante los primeros dos mensajes del saludo inicial de cuatro vías, AA es la dirección de MAC del tenedor de claves de nivel superior, y SPA es la dirección de MAC del suplicante
  4. 4. El método de autentificación de seguridad y gestión de claves dentro de una red de multisalto inalámbrica basada en la infraestructura de conformidad con la reivindicación 1, caracterizado porque la etapa de autentificación inicial incluye comunicación de un mensaje final de "éxito de autentificación" , y además donde uno o más atributos de autorización se obtienen del mensaje final de "éxito de autentificación" .
  5. 5. El método de autentificación segura de un nodo dentro de una red de multisalto inalámbrica basada en la infraestructura de conformidad con la reivindicación 1, el método caracterizado además porque comprende: iniciar una re-autentificación con otro tenedor de claves de nivel uno por el suplicante, donde otro tenedor de claves de nivel uno ha sido autentificado y conectado al tenedor de claves de nivel superior dentro de un mismo dominio de movilidad en donde la re-autentificación comprende: comunicar un mensaje utilizando un proceso de transferencia rápida desde el suplicante hasta el otro tenedor de claves de nivel uno; comunicar la clave maestra dos a dos del nivel uno (PMK)_1 del tenedor de claves de nivel superior al otro tenedor de claves de nivel uno; completar una transferencia rápida entre el otro tenedor de claves de nivel uno y el suplicante utilizando la clave maestra dos a dos de nivel uno (PMK)_1 para generar un enlace de comunicación segura entre el suplicante y el otro tenedor de claves de nivel uno; y comunicarse en el mismo enlace seguro entre el otro tenedor de claves de nivel uno y el suplicante.
  6. 6. Un método para comunicar entre un tenedor de claves de nivel superior y un tenedor de claves de nivel uno para autentificación de seguridad y gestión de claves dentro de una red de multisalto inalámbrica basada en la infraestructura, caracterizado porque comprende: comunicar un mensaje que tiene un formato de mensaje que comprende: un encabezado de Control de Acceso a Medios (MAC) que contiene direcciones de MAC de origen y destino de por lo menos un salto; un encabezado de Enrutamiento Ad Hoc (AHR) que contiene : unas direcciones de MAC de origen y un destino del tenedor de claves de nivel uno y el tenedor de claves de nivel superior, y una identificación de protocolo que representa un paquete representante de protocolo de autentificación extensible sobre red de área local (EAPOL) ; una dirección de MAC suplicante; un indicador de i/r; y un SSID.
  7. 7. El método de conformidad con la reivindicación 6, caracterizado porque la dirección de MAC de suplicante identifica qué dispositivo suplicante enlaza una clave maestra dos a dos_0 (PMK_0) y una PMK_1.
  8. 8. El método de conformidad con la reivindicación 6, caracterizado porque el indicador de i/r que indica un suplicante 802. lli identifica que el PMK se deriva basándose en un estándar 802. lli y el PMK se distribuirá a un R1KH.
  9. 9. El método de conformidad con la reivindicación 6, caracterizado porque el indicador de i/r que indica un suplicante 802. llr identifica que el PMK_0 y PMK_1 se derivan basándose en la jerarquía de clave 802. llr y el PMK_1 se distribuirá al autentificador .
  10. 10. El método de conformidad con la reivindicación 6, caracterizado porque el SSID se utiliza para la derivación de PMK_0 y PMK_1 para un punto de acceso virtual, y además donde un suplicante selecciona un SSID de una pluralidad de SSID disponibles.
  11. 11. El método de conformidad con la reivindicación 6, caracterizado porque el mensaje se transporta en una capa de comunicación seleccionada de un grupo que comprende una capa 2 y una capa 3 , y además, en donde cuando el formato de mensaje se coloca en la carga útil de paquete de protocolo de Internet (IP), una dirección de MAC R1KH se agrega en los contenidos de un mensaje.
MX2009002507A 2006-09-07 2007-07-26 Autentificacion de seguridad y gestion de claves dentro de una red de multisalto inalambrica basada en infraestructura. MX2009002507A (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/470,887 US7499547B2 (en) 2006-09-07 2006-09-07 Security authentication and key management within an infrastructure based wireless multi-hop network
PCT/US2007/074422 WO2008030667A2 (en) 2006-09-07 2007-07-26 Security authentication and key management within an infrastructure-based wireless multi-hop network

Publications (1)

Publication Number Publication Date
MX2009002507A true MX2009002507A (es) 2009-03-25

Family

ID=39157922

Family Applications (1)

Application Number Title Priority Date Filing Date
MX2009002507A MX2009002507A (es) 2006-09-07 2007-07-26 Autentificacion de seguridad y gestion de claves dentro de una red de multisalto inalambrica basada en infraestructura.

Country Status (11)

Country Link
US (2) US7499547B2 (es)
EP (1) EP2060052B1 (es)
JP (1) JP4921557B2 (es)
KR (1) KR101054202B1 (es)
CN (1) CN101513092B (es)
AU (2) AU2007292516B2 (es)
BR (1) BRPI0716507B1 (es)
CA (1) CA2663168C (es)
MX (1) MX2009002507A (es)
RU (1) RU2407181C1 (es)
WO (1) WO2008030667A2 (es)

Families Citing this family (83)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9722766D0 (en) 1997-10-28 1997-12-24 British Telecomm Portable computers
US7890745B2 (en) * 2006-01-11 2011-02-15 Intel Corporation Apparatus and method for protection of management frames
US8578159B2 (en) * 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network
US7734052B2 (en) * 2006-09-07 2010-06-08 Motorola, Inc. Method and system for secure processing of authentication key material in an ad hoc wireless network
US7499547B2 (en) * 2006-09-07 2009-03-03 Motorola, Inc. Security authentication and key management within an infrastructure based wireless multi-hop network
EP2070253A4 (en) * 2006-09-18 2012-10-24 Intel Corp METHOD FOR TREATING SAFETY GUIDELINES IN A WIRELESS NETWORK
US20080072047A1 (en) * 2006-09-20 2008-03-20 Futurewei Technologies, Inc. Method and system for capwap intra-domain authentication using 802.11r
US8607058B2 (en) * 2006-09-29 2013-12-10 Intel Corporation Port access control in a shared link environment
US20080144579A1 (en) * 2006-12-19 2008-06-19 Kapil Sood Fast transitioning advertisement
US8948046B2 (en) 2007-04-27 2015-02-03 Aerohive Networks, Inc. Routing method and system for a wireless network
US9838365B2 (en) * 2007-07-10 2017-12-05 Qualcomm Incorporated Peer to peer identifiers
US8094634B2 (en) * 2007-09-06 2012-01-10 Polytechnic Institute Of New York University Sender and/or helper node modifications to enable security features in cooperative wireless communications
US8249256B2 (en) * 2007-11-06 2012-08-21 Motorola Solutions, Inc. Method for providing fast secure handoff in a wireless mesh network
US8208635B2 (en) * 2007-11-13 2012-06-26 Rosemount Inc. Wireless mesh network with secure automatic key loads to wireless devices
US20090150665A1 (en) * 2007-12-07 2009-06-11 Futurewei Technologies, Inc. Interworking 802.1 AF Devices with 802.1X Authenticator
TWI345405B (en) * 2007-12-26 2011-07-11 Ind Tech Res Inst Apparatus and method for executing the handoff process in wireless networks
US9246679B2 (en) * 2007-12-28 2016-01-26 Intel Corporation Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks
CN101222325B (zh) * 2008-01-23 2010-05-12 西安西电捷通无线网络通信有限公司 一种基于id的无线多跳网络密钥管理方法
WO2009105721A2 (en) * 2008-02-20 2009-08-27 Zerog Wireless, Inc. Wireless access point device
US8081568B2 (en) * 2008-02-22 2011-12-20 Cisco Technology, Inc. Role determination for network devices
US8218502B1 (en) 2008-05-14 2012-07-10 Aerohive Networks Predictive and nomadic roaming of wireless clients across different network subnets
US8474023B2 (en) * 2008-05-30 2013-06-25 Juniper Networks, Inc. Proactive credential caching
JP5080406B2 (ja) * 2008-09-05 2012-11-21 株式会社エヌ・ティ・ティ・ドコモ 配信装置、端末装置及びシステム並びに方法
JP5112229B2 (ja) * 2008-09-05 2013-01-09 株式会社エヌ・ティ・ティ・ドコモ 配信装置、端末装置及びシステム並びに方法
US9674892B1 (en) 2008-11-04 2017-06-06 Aerohive Networks, Inc. Exclusive preshared key authentication
US8483194B1 (en) 2009-01-21 2013-07-09 Aerohive Networks, Inc. Airtime-based scheduling
CN101807998A (zh) * 2009-02-13 2010-08-18 英飞凌科技股份有限公司 认证
CN101815293B (zh) * 2009-02-20 2012-08-15 华为技术有限公司 无线中继网络中的链路安全认证方法、装置和系统
US8352741B2 (en) * 2009-06-11 2013-01-08 Microsoft Corporation Discovery of secure network enclaves
US9742560B2 (en) 2009-06-11 2017-08-22 Microsoft Technology Licensing, Llc Key management in secure network enclaves
US11115857B2 (en) 2009-07-10 2021-09-07 Extreme Networks, Inc. Bandwidth sentinel
US9900251B1 (en) 2009-07-10 2018-02-20 Aerohive Networks, Inc. Bandwidth sentinel
US8385549B2 (en) * 2009-08-21 2013-02-26 Industrial Technology Research Institute Fast authentication between heterogeneous wireless networks
JP5472977B2 (ja) * 2009-08-27 2014-04-16 日本電気通信システム株式会社 無線通信装置
JP5543812B2 (ja) * 2010-03-23 2014-07-09 日東電工株式会社 粘着テープ貼付け方法および粘着テープ貼付け装置
DE102010018286A1 (de) * 2010-04-26 2011-10-27 Siemens Enterprise Communications Gmbh & Co. Kg Schlüsselverteilerknoten für ein Netzwerk
DE102010018285A1 (de) * 2010-04-26 2011-10-27 Siemens Enterprise Communications Gmbh & Co. Kg Netzwerkzugangsknoten mit Schlüsselverteilerfunktion
CN101867930B (zh) * 2010-06-04 2012-11-14 西安电子科技大学 无线Mesh网络骨干节点切换快速认证方法
US8671187B1 (en) 2010-07-27 2014-03-11 Aerohive Networks, Inc. Client-independent network supervision application
CN101908961B (zh) * 2010-07-29 2012-07-11 北京交通大学 一种短密钥环境下多方秘密握手方法
US9002277B2 (en) 2010-09-07 2015-04-07 Aerohive Networks, Inc. Distributed channel selection for wireless networks
JP5494829B2 (ja) * 2010-12-28 2014-05-21 富士通株式会社 鍵設定方法、ノード、およびネットワークシステム
CN102655584B (zh) * 2011-03-04 2017-11-24 中兴通讯股份有限公司 一种远程呈现技术中媒体数据发送和播放的方法及系统
US9264230B2 (en) 2011-03-14 2016-02-16 International Business Machines Corporation Secure key management
US8619990B2 (en) 2011-04-27 2013-12-31 International Business Machines Corporation Secure key creation
US8634561B2 (en) * 2011-05-04 2014-01-21 International Business Machines Corporation Secure key management
US8789210B2 (en) 2011-05-04 2014-07-22 International Business Machines Corporation Key usage policies for cryptographic keys
US8755527B2 (en) 2011-05-04 2014-06-17 International Business Machines Corporation Key management policies for cryptographic keys
US8566913B2 (en) 2011-05-04 2013-10-22 International Business Machines Corporation Secure key management
US9826571B2 (en) 2011-06-30 2017-11-21 Aruba Networks, Inc. Mesh node role discovery and automatic recovery
CN102958051B (zh) * 2011-08-23 2016-06-08 上海贝尔股份有限公司 Capwap架构的接入控制器及其密钥管理方法
US10091065B1 (en) 2011-10-31 2018-10-02 Aerohive Networks, Inc. Zero configuration networking on a subnetted network
CN103188662B (zh) * 2011-12-30 2015-07-29 中国移动通信集团广西有限公司 一种验证无线接入点的方法以及装置
US20130305332A1 (en) * 2012-05-08 2013-11-14 Partha Narasimhan System and Method for Providing Data Link Layer and Network Layer Mobility Using Leveled Security Keys
CN104769864B (zh) 2012-06-14 2018-05-04 艾诺威网络有限公司 多播到单播转换技术
CN104521215B (zh) * 2012-08-15 2018-05-22 波音公司 用于地理认证的系统和方法
CA2895522A1 (en) * 2012-12-21 2014-06-26 Seccuris Inc. System and method for monitoring data in a client environment
US10389650B2 (en) 2013-03-15 2019-08-20 Aerohive Networks, Inc. Building and maintaining a network
US9413772B2 (en) 2013-03-15 2016-08-09 Aerohive Networks, Inc. Managing rogue devices through a network backhaul
US9465947B2 (en) * 2013-08-05 2016-10-11 Samsung Sds America, Inc. System and method for encryption and key management in cloud storage
CN104469759B (zh) * 2013-09-23 2018-12-21 株式会社理光 管理区域受限网络、接收区域密钥的方法和设备
JP2015070571A (ja) * 2013-09-30 2015-04-13 サイレックス・テクノロジー株式会社 無線基地局装置、無線基地局装置の制御方法、及び、プログラム
US8743758B1 (en) 2013-11-27 2014-06-03 M87, Inc. Concurrent uses of non-cellular interfaces for participating in hybrid cellular and non-cellular networks
AU2014361864B2 (en) * 2013-12-13 2019-04-18 M87, Inc. Methods and systems of secure connections for joining hybrid cellular and non-cellular networks
JP6668598B2 (ja) * 2014-05-19 2020-03-18 株式会社リコー システム、及び通信方法
KR20160000534A (ko) 2014-06-24 2016-01-05 (주)휴맥스 홈 네트워크 자동 연결형 영상 스트리밍 서비스 시스템 및 방법
US10057766B2 (en) * 2014-10-21 2018-08-21 Qualcomm Incorporated Methods and systems for authentication interoperability
JP6508688B2 (ja) * 2014-10-31 2019-05-08 コンヴィーダ ワイヤレス, エルエルシー エンドツーエンドサービス層認証
CN104618090B (zh) * 2015-01-08 2017-09-19 重庆邮电大学 一种适用于异构传感器网络的组密钥管理方法
US10580312B2 (en) 2015-07-24 2020-03-03 Yamasee Ltd. Method and system for obtaining and presenting turbulence data via communication devices located on airplanes
CN105991600B (zh) 2015-02-25 2019-06-21 阿里巴巴集团控股有限公司 身份认证方法、装置、服务器及终端
KR102001753B1 (ko) 2015-03-16 2019-10-01 콘비다 와이어리스, 엘엘씨 공개 키잉 메커니즘들을 사용한 서비스 계층에서의 종단간 인증
MY190785A (en) * 2015-12-21 2022-05-12 Koninklijke Philips Nv Network system for secure communication
CN105636148B (zh) * 2016-01-06 2019-01-04 中央军委装备发展部第六十三研究所 一种无线多跳网络数据传输方法
US10791093B2 (en) * 2016-04-29 2020-09-29 Avago Technologies International Sales Pte. Limited Home network traffic isolation
US10165608B2 (en) 2016-06-02 2018-12-25 Cisco Technology, Inc. System and method to provide fast mobility in a residential Wi-Fi network environment
EP3481725A4 (en) * 2016-07-11 2020-03-25 Yamasee Ltd. METHOD AND SYSTEM FOR OBTAINING AND PRESENTING TURBULENCE DATA THROUGH AIRCRAFT COMMUNICATION DEVICES
RU2755196C1 (ru) * 2018-04-05 2021-09-14 Нокиа Текнолоджиз Ой Управление унифицированными идентификаторами подписки в системах связи
WO2019194155A1 (en) * 2018-04-06 2019-10-10 Nec Corporation An authentication method for next generation systems
TWI695645B (zh) * 2018-07-06 2020-06-01 小白投資有限公司 無線網路識別方法
CN113132986B (zh) * 2019-12-31 2023-02-03 青岛海尔科技有限公司 基于DPP协议实现WiFi的mesh网络的实现方法及装置、存储介质
WO2022046798A1 (en) * 2020-08-24 2022-03-03 Eleven Software Inc. Key matching for eapol handshake using distributed computing
CN113141674A (zh) * 2021-04-08 2021-07-20 成都极米科技股份有限公司 多链路系统中链路配置方法、设备、系统及存储介质

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7072650B2 (en) * 2000-11-13 2006-07-04 Meshnetworks, Inc. Ad hoc peer-to-peer mobile radio access system interfaced to the PSTN and cellular networks
JP3880419B2 (ja) * 2002-02-21 2007-02-14 日本電信電話株式会社 無線アクセスネットワーク、無線マルチホップネットワーク、認証サーバ、基地局及び無線端末
US7165112B2 (en) * 2001-06-22 2007-01-16 Motorola, Inc. Method and apparatus for transmitting data in a communication system
US7350077B2 (en) * 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
KR100555381B1 (ko) * 2002-12-19 2006-02-24 멜코 인코포레이티드 암호키 설정시스템 및 암호키 설정방법
US7263357B2 (en) * 2003-01-14 2007-08-28 Samsung Electronics Co., Ltd. Method for fast roaming in a wireless network
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
JP4158972B2 (ja) * 2003-12-18 2008-10-01 Kddi株式会社 マルチホップ通信方法
US7451316B2 (en) * 2004-07-15 2008-11-11 Cisco Technology, Inc. Method and system for pre-authentication
US20060067272A1 (en) * 2004-09-30 2006-03-30 Wang Huayan A Method and system for fast roaming of a mobile unit in a wireless network
US7236477B2 (en) * 2004-10-15 2007-06-26 Motorola, Inc. Method for performing authenticated handover in a wireless local area network
US7558388B2 (en) 2004-10-15 2009-07-07 Broadcom Corporation Derivation method for cached keys in wireless communication system
US7643451B2 (en) * 2004-10-15 2010-01-05 Nortel Networks Limited Method and apparatus for extending a mobile unit data path between access points
ATE520085T1 (de) * 2004-10-27 2011-08-15 Meshnetworks Inc System und verfahren zur gewährleistung von sicherheit für ein drahtloses netzwerk
US20060109815A1 (en) 2004-11-05 2006-05-25 Ozer Sebnem Z System and method for dynamic frequency selection in a multihopping wireless network
JP4561418B2 (ja) * 2004-11-08 2010-10-13 沖電気工業株式会社 メッセージ認証方法、通信端末装置及びメッセージ認証システム
TWI268083B (en) * 2004-11-17 2006-12-01 Draytek Corp Method used by an access point of a wireless LAN and related apparatus
JP2006166362A (ja) 2004-12-10 2006-06-22 Sony Corp 音響装置
EP1834466B1 (en) * 2004-12-30 2009-05-06 Telecom Italia S.p.A. Method and system for detecting attacks in wireless data communication networks
US7814322B2 (en) * 2005-05-03 2010-10-12 Sri International Discovery and authentication scheme for wireless mesh networks
US7738882B2 (en) * 2005-06-13 2010-06-15 Toshiba America Research, Inc. Framework of media-independent pre-authentication improvements: including considerations for failed switching and switchback
US8270947B2 (en) * 2005-12-19 2012-09-18 Motorola Solutions, Inc. Method and apparatus for providing a supplicant access to a requested service
US7483409B2 (en) * 2005-12-30 2009-01-27 Motorola, Inc. Wireless router assisted security handoff (WRASH) in a multi-hop wireless network
US7804807B2 (en) 2006-08-02 2010-09-28 Motorola, Inc. Managing establishment and removal of security associations in a wireless mesh network
US7793103B2 (en) * 2006-08-15 2010-09-07 Motorola, Inc. Ad-hoc network key management
US7499547B2 (en) 2006-09-07 2009-03-03 Motorola, Inc. Security authentication and key management within an infrastructure based wireless multi-hop network
US8578159B2 (en) 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network
US7508803B2 (en) * 2006-09-07 2009-03-24 Motorola, Inc. Transporting management traffic through a multi-hop mesh network

Also Published As

Publication number Publication date
US7793104B2 (en) 2010-09-07
US20090210710A1 (en) 2009-08-20
US7499547B2 (en) 2009-03-03
AU2011201655B2 (en) 2011-12-22
KR101054202B1 (ko) 2011-08-03
BRPI0716507B1 (pt) 2019-12-10
RU2009112589A (ru) 2010-10-20
CA2663168A1 (en) 2008-03-13
CN101513092A (zh) 2009-08-19
US20080065888A1 (en) 2008-03-13
RU2407181C1 (ru) 2010-12-20
CA2663168C (en) 2014-01-28
BRPI0716507A2 (pt) 2013-10-08
AU2007292516A1 (en) 2008-03-13
JP2010503326A (ja) 2010-01-28
EP2060052A2 (en) 2009-05-20
CN101513092B (zh) 2012-08-15
EP2060052A4 (en) 2015-11-18
EP2060052B1 (en) 2018-09-05
AU2007292516B2 (en) 2011-05-19
KR20090052895A (ko) 2009-05-26
WO2008030667B1 (en) 2008-08-14
WO2008030667A3 (en) 2008-07-03
AU2011201655A1 (en) 2011-05-12
JP4921557B2 (ja) 2012-04-25
WO2008030667A2 (en) 2008-03-13

Similar Documents

Publication Publication Date Title
US7499547B2 (en) Security authentication and key management within an infrastructure based wireless multi-hop network
US8561200B2 (en) Method and system for controlling access to communication networks, related network and computer program therefor
EP1650915B1 (en) Method of authenticating a mobile network node for establishing a secure peer-to-peer context between a pair of communicating mobile network nodes
US8122249B2 (en) Method and arrangement for providing a wireless mesh network
EP1974553B1 (en) Wireless router assisted security handoff (wrash) in a multi-hop wireless network
US8374582B2 (en) Access method and system for cellular mobile communication network
WO2019019736A1 (zh) 安全实现方法、相关装置以及系统
JP2010503326A5 (ja) インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法
US20090028101A1 (en) Authentication method in a radio communication system, a radio terminal device and radio base station using the method, a radio communication system using them, and a program thereof
JP2015502104A (ja) 融合ワイヤレスネットワークにおいての認証の方法およびデバイス
US11490252B2 (en) Protecting WLCP message exchange between TWAG and UE
WO2023212904A1 (zh) 中继通信的方法及设备
Kumar et al. Seamless and Secure Communication for 5G Subscribers in 5G-WLAN Heterogeneous Networks
KR20090048530A (ko) 보안 다이렉트 링크의 설정 및 관리 방법

Legal Events

Date Code Title Description
FG Grant or registration
HC Change of company name or juridical status