RU2407181C1 - Аутентификация безопасности и управление ключами в инфраструктурной беспроводной многозвенной сети - Google Patents

Аутентификация безопасности и управление ключами в инфраструктурной беспроводной многозвенной сети Download PDF

Info

Publication number
RU2407181C1
RU2407181C1 RU2009112589/09A RU2009112589A RU2407181C1 RU 2407181 C1 RU2407181 C1 RU 2407181C1 RU 2009112589/09 A RU2009112589/09 A RU 2009112589/09A RU 2009112589 A RU2009112589 A RU 2009112589A RU 2407181 C1 RU2407181 C1 RU 2407181C1
Authority
RU
Russia
Prior art keywords
key
level
holder
authentication
requestor
Prior art date
Application number
RU2009112589/09A
Other languages
English (en)
Other versions
RU2009112589A (ru
Inventor
Хеюнь ЧЖЕН (US)
Хеюнь ЧЖЕН
мл. Чарлз Р. БАРКЕР (US)
мл. Чарлз Р. БАРКЕР
Амит ГАНДХИ (US)
Амит ГАНДХИ
Кит Дж. ГОЛДБЕРГ (US)
Кит Дж. ГОЛДБЕРГ
Самер С. ХАННА (US)
Самер С. ХАННА
Сужун ЦЗЭН (US)
Сужун ЦЗЭН
Original Assignee
Моторола, Инк.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Моторола, Инк. filed Critical Моторола, Инк.
Publication of RU2009112589A publication Critical patent/RU2009112589A/ru
Application granted granted Critical
Publication of RU2407181C1 publication Critical patent/RU2407181C1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • H04L63/064Hierarchical key distribution, e.g. by multi-tier trusted parties
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks
    • H04W84/22Self-organising networks, e.g. ad-hoc networks or sensor networks with access to wired networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

Изобретение относится к беспроводной связи, а именно к способу аутентификации безопасности и управления ключами в многозвенной беспроводной сети. Техническим результатом является обеспечение иерархической структуры безопасности по каждому звену беспроводной сети. Технический результат достигается тем, что в способе аутентификации безопасности по каждому звену беспроводной сети держатель ключа верхнего уровня (R0KH) получает и хранит верхний парный главный ключ (РМК_0) для каждого запрашивающего беспроводного устройства после процесса аутентификации. Все точки доступа (АР) аутентификатора принимают на себя роль держателя ключа первого уровня (R1KH) и принимают парный главный ключ следующего уровня (РМК_1) от R0KH. Ключ защиты данных уровня линии связи извлекается из РМК_1 посредством 4-стороннего квитирования связи согласно стандарту 802.11i. 2 н. и 9 з.п. ф-лы, 6 ил.

Description

Область техники, к которой относится изобретение
Настоящее изобретение в целом относится к беспроводной связи, а конкретнее к аутентификации безопасности и управлению ключами в инфраструктурной беспроводной многозвенной сети.
Уровень техники
Инфраструктурная беспроводная сеть, как правило, включает в себя сеть связи со стационарными и проводными шлюзами. Многие инфраструктурные беспроводные сети применяют мобильный модуль или хост, который взаимодействует со стационарной базовой станцией, которая соединена с проводной сетью. Мобильный модуль может перемещаться географически, пока он взаимодействует по беспроводной линии связи с базовой станцией. Когда мобильный модуль выходит из диапазона одной базовой станции, он может подключиться или "выполнить передачу обслуживания" к новой базовой станции, и начинает взаимодействие с проводной сетью посредством новой базовой станции.
По сравнению с инфраструктурными беспроводными сетями, такими как сотовые сети или спутниковые сети, специальные сети являются самоформирующимися сетями, которые могут работать в отсутствии любой стационарной инфраструктуры, и в некоторых случаях специальная сеть целиком образуется из мобильных узлов. Специальная сеть, как правило, включает в себя некоторое количество географически распределенных, возможно мобильных модулей, иногда называемых "узлами", которые подключены по беспроводной связи друг к другу с помощью одной или более линий связи (например, радиочастотных каналов связи). Узлы могут взаимодействовать друг с другом через беспроводную среду без поддержки инфраструктурной или проводной сети.
Поскольку сети беспроводной связи становятся более распространенными, безопасность продолжает оставаться главной заботой как для провайдеров сетей связи, так и конечных пользователей. Это наиболее очевидно при использовании мобильной беспроводной сети, где окружение безопасности может выдвигать значительные проблемы, так как данные могут легко приниматься и управляться многими узлами. Линии радиосвязи, используемые в беспроводной сети, раскрывают сигнализацию и данные, перемещающиеся по сети, подслушивающим и/или возможным взломщикам. В многозвенной беспроводной сети это требует, чтобы каждая линия связи в связанных устройствах имела уникальное сопоставление безопасности, установленное посредством многозвенного процесса аутентификации и управления ключами. Тогда передающиеся по воздуху кадры на линии связи могут быть защищены с помощью установленных сопоставлений безопасности.
Краткое описание чертежей
Прилагаемые чертежи, где одинаковые ссылочные позиции обозначают идентичные или функционально сходные элементы на всех отдельных видах, и которые вместе с подробным описанием ниже включаются в состав и образуют часть описания изобретения, служат для дополнительной иллюстрации различных вариантов осуществления и для разъяснения различных принципов и преимуществ полностью в соответствии с настоящим изобретением.
Фиг.1 иллюстрирует примерную инфраструктурную многозвенную беспроводную сеть в соответствии с некоторыми вариантами осуществления настоящего изобретения.
Фиг.2 иллюстрирует примерный формат сообщения в соответствии с некоторыми вариантами осуществления настоящего изобретения.
Фиг.3 - блок-схема последовательности операций способа, иллюстрирующая процесс распределения ключей и авторизации роли в соответствии с некоторыми вариантами осуществления настоящего изобретения.
Фиг.4 иллюстрирует процедуру аутентификации в соответствии с некоторыми вариантами осуществления настоящего изобретения.
Фиг.5 - структурная схема передачи сообщений, иллюстрирующая сообщения аутентификации, которыми обмениваются различные элементы сети из фиг.1, в соответствии с некоторыми вариантами осуществления настоящего изобретения.
Фиг.6 иллюстрирует больше подробностей в обмене сообщениями из фиг.5 в соответствии с некоторыми вариантами осуществления настоящего изобретения.
Специалисты в данной области техники должны признать, что элементы на чертежах иллюстрируются для простоты и ясности, и необязательно нарисованы в масштабе. Например, размеры некоторых элементов на чертежах могут быть преувеличены относительно других элементов, чтобы помочь улучшить понимание вариантов осуществления настоящего изобретения.
Осуществление изобретения
Перед подробным описанием вариантов осуществления, которые находятся в соответствии с настоящим изобретением, следует обратить внимание, что варианты осуществления в основном заключаются в сочетаниях этапов способа и компонентов устройства, относящихся к аутентификации безопасности и управлению ключами. Соответственно, компоненты устройства и этапы способа представлены, где это уместно, с помощью традиционных символов на чертежах, показывающих только те характерные подробности, которые подходят для понимания вариантов осуществления настоящего изобретения, чтобы не мешать раскрытию изобретения подробностями, которые будут без труда очевидны специалистам в данной области техники на основе настоящего описания.
В данном документе относительные термины, такие как первый и второй, верхний и нижний и т.п., могут использоваться исключительно для различения одного объекта или действия от другого объекта или действия, без обязательного требования или допущения какого-либо действительного такого отношения или порядка между такими объектами или действиями. Термины "содержит", "содержащий" или любая другая их разновидность предназначены для охвата неисключительного указания, так что процесс, способ, изделие или устройство, которое содержит список элементов, не включает в себя только эти элементы, но может включать в себя другие элементы, не перечисленные в явном виде или неотъемлемые для такого процесса, способа, изделия или устройства. Элемент, описываемый с помощью "содержит …", не препятствует, без добавочных ограничений, наличию дополнительных идентичных элементов в процессе, способе, изделии или устройстве, которое содержит этот элемент.
Должно быть признано, что варианты осуществления изобретения, описываемые в этом документе, могут состоять из одного или более традиционных процессоров и уникальных сохраненных программных команд, которые управляют одним или более процессорами для реализации, в сочетании с некоторыми не являющимися процессором схемами, некоторых, большинства или всех функций аутентификации безопасности и управления ключами, описываемых в этом документе. Не являющиеся процессором схемы могут включать в себя, без ограничения, радиоприемник, радиопередатчик, возбудители сигнала, схемы синхронизации, схемы источника питания и пользовательские устройства ввода. По существу, эти функции могут интерпретироваться как этапы способа для выполнения аутентификации безопасности и управления ключами. В качестве альтернативы, некоторые или все функции могли бы быть реализованы с помощью конечного автомата, у которого нет сохраненных программных команд, или в одной или более специализированных интегральных схем (ASIC), в которых каждая функция или некоторые сочетания некоторых из функций реализуются в виде заказной логики. Конечно, могло бы использоваться сочетание двух подходов. Таким образом, способы и средства для этих функций описаны в этом документе. Дополнительно ожидается, что специалист, несмотря на возможное значительное усилие и многие проектные решения, мотивированные, например, доступным временем, текущей уровнем техники и экономическими соображениями, руководствуясь раскрытыми в этом документе идеями и принципами, легко сможет сформировать такие программные команды и программы и ИС с минимальным экспериментированием.
Настоящее изобретение предоставляет схему аутентификации безопасности и управления ключами для инфраструктурной многозвенной беспроводной сети с моделью безопасности по каждому звену. Основными составляющими блоками настоящего изобретения являются IEEE 802.11i и IEEE 802.1x. Для быстрой передачи обслуживания включаются признаки из 802.11r.
IEEE 802.1x является новой технологией, которая обеспечивает почти неограниченную масштабируемость с минимальными административными издержками. Она также допускает выбор пользователями или операторами разных способов аутентификации. В настоящем изобретении для аутентификации пользователя и устройства используется туннелированный протокол безопасности транспортного уровня (TTLS) из-за его относительно сильной защиты и низкой стоимости развертывания. Для устройств аутентификация по протоколу безопасности транспортного уровня (TLS) является необязательным признаком.
Для централизованной аутентификации и поддержки 802.11r держатель ключа верхнего уровня (R0KH) для иерархии ключей по 802.11r проектируется расположенным в проводной сети. Транспортировка сообщений между держателем ключа верхнего уровня (нулевого уровня) и держателями ключа уровня 2 (R1KH) может происходить либо на уровне 2, либо на уровне Интернет-протокола (IP).
В настоящем изобретении иерархия ключей на основе 802.11r приспосабливается среди узловых точек доступа, которые берут на себя роль держателей ключа первого уровня. Предусматривается поток сообщений управления безопасностью между держателями ключей. Управление ключами может поддерживать беспроводные станции, совместимые как с 802.11i, так и с 802.11r. Оно также может поддерживать виртуальные точки доступа с развернутыми возможными многочисленными идентификаторами набора служб (SSID). Поток сообщений безопасности между держателями ключа нулевого уровня и первого уровня может перемещаться по уровню 2 или уровню 3 в зависимости от расположения держателя ключа нулевого уровня. Когда все держатели ключа нулевого уровня развернуты в одном сегменте уровня 2 с держателями ключа первого уровня, может использоваться коммуникационный транспорт уровня 2, а в противном случае следует использовать коммуникационный транспорт уровня 3. Ключ распределения ключей (KDK) получается во время процесса начальной аутентификации и используется для защиты материала ключа, перемещаемого от держателя ключа верхнего уровня к держателям ключа следующего уровня. Роль держателя R1KH ключа первого уровня авторизуется держателем ключа верхнего уровня на основе информации об авторизации от сервера аутентификации.
Система и способ в схеме аутентификации безопасности и управления ключами в многозвенной беспроводной сети предоставляется в этом документе с помощью модели последовательной (по каждому звену) безопасности. Схема приспосабливает иерархию ключей 802.11r к сети узловых точек доступа (AP). В этом подходе держатель ключа верхнего уровня (R0KH) получает и хранит верхний парный главный ключ (PMK_0) для каждого запрашивающего беспроводного устройства после процесса аутентификации. Все точки доступа (AP) аутентификатора принимают на себя роль держателя ключа первого уровня (R1KH) и принимают парный главный ключ следующего уровня (PMK_1) от держателя R0KH ключа верхнего уровня. Ключ защиты данных уровня линии связи получается из PMK_1 посредством 4-стороннего квитирования связи, например 4-стороннего квитирования связи 802.11i.
Фиг.1 иллюстрирует примерную инфраструктурную многозвенную беспроводную сеть 100 в соответствии с некоторыми вариантами осуществления настоящего изобретения. В примерной сети 100 согласно фиг.1, среди держателей ключа используются каналы связи уровня 2, и держатель R0KH ключа верхнего уровня привязывается к центральному коммутатору Ethernet. Таким образом, держатель R0KH ключа верхнего уровня находится в том же сегменте L2 со всеми управляемыми интеллектуальными точками доступа (IAP) и устройствами узловых точек доступа (MAP). Клиент службы аутентификации удаленных пользователей по коммутируемым каналам связи (RADIUS) и аутентификатор 802.1X также реализуются в сети 100 в соответствии с некоторыми вариантами осуществления настоящего изобретения.
Специалисты в данной области техники поймут, что когда каналы связи уровня IP используются для держателя R0KH ключа верхнего уровня и держателя R1KH ключа первого уровня, R0KH может располагаться в любом месте. В соответствии с примерной реализацией R0KH располагается в том же хосте, что и система управления сетью. Все устройства R1KH, подключенные к одному и тому же R0KH, идентифицируются с помощью Идентификатора мобильного домена (MDI), который объявляется во всех сигнальных кадрах.
Как проиллюстрировано, сеть 100 включает в себя одну или более узловых точек 135-n доступа (MAP), которые используются для направления пакетов данных от одной или более интеллектуальных точек 130-n доступа (IAP) к одному или более беспроводных абонентских устройств 140-n (SD) (также называемых станциями (STA)). Одна или более IAP 130-n затем направляют пакеты центральному коммутатору 125 Ethernet, коммуникационно- соединенному с центральным маршрутизатором 115 и держателем 120 ключа верхнего уровня (R0KH). Центральный маршрутизатор 115 соединяется с сервером 105 аутентификации через проводную магистраль 110. Хотя показаны только пути от абонентских устройств (SD) к проводной сети 125, специалисты в данной области техники поймут, что узловые соединения могут быть установлены до тех пор, пока два соседних устройства, например абонентское устройство 140-1 и абонентское устройство 140-2 могут взаимодействовать друг с другом.
Сервер 105 аутентификации работает, чтобы предоставить услуги аутентификации для R0KH 120, и будет описываться ниже. В общем, сервер 105 аутентификации выполняет функцию аутентификации, необходимую для проверки учетных данных запрашивающего от лица аутентификатора, и указывает, авторизован ли запрашивающий на доступ к услугам аутентификатора. В одном варианте осуществления настоящего изобретения сервер 105 аутентификации находится в участке проводной сети, где может быть обеспечена физическая безопасность хоста. Например, сервер 105 аутентификации может быть сервером службы аутентификации удаленных пользователей по коммутируемым каналам связи (RADIUS) с возможностью расширяемого протокола аутентификации - туннелированного протокола безопасности транспортного уровня/расширяемого протокола аутентификации - протокола транспортного уровня (EAP-TTLS/EAP-TLS) для централизованной аутентификации.
Как будет признано специалистами в данной области техники, в сети 100 могут потребоваться абонентские устройства 140-n для отправки и приема зашифрованных данных. Любое устройство в сети 100, требующее/желающее доступ к услугам, предлагаемым системой аутентификатора, называется запрашивающим. Устройство, которое аутентифицирует другое устройство (запрашивающее), которое требует/желает использовать услуги, защищенные аутентификатором, называется аутентификатором. Аутентификатор осуществляет контроль доступа на основе результата аутентификации.
Как будет признано специалистами в данной области техники, каждый узел в сети 100 (то есть IAP 130-n, MAP 135-n и SD 140-n) аутентифицируется для сети 100 перед тем, как он присоединяется к узловой сети. Учетные данные для аутентификации могут основываться, например, на пароле, идентификации карты (I.D.) в модуле идентификации абонента (SIM) или другом I.D., который уникален для конкретного узла и хранится на сервере 105 аутентификации. Каждый узел использует свою связь с сервером 105 аутентификации, чтобы аутентифицировать однократную защищенную узловую MAP или IAP, которая установила защищенное соединение с R0KH 120. R0KH 120 будет использовать услуги аутентификации, предоставляемые сервером 105 аутентификации. Сервер 105 аутентификации также помогает конкретному узлу, который проходит аутентификацию, установить доверительные отношения с его соседними узлами путем распространения материала сеансового главного ключа, который шифруется для R0KH 120. R0KH 120 получает парные главные ключи нулевого уровня и первого уровня (PMK_0, PMK_1). R0KH 120 также сохраняет PMK_0 и отправляет PMK_1 к MAP или IAP аутентификатора, которая принимает на себя роль держателя ключа первого уровня.
В одном варианте осуществления настоящего изобретения сеть 100 включает в себя работоспособность IEEE 802.11r. 802.11r предусматривает быстрые переходы BSS ("Базовый набор служб"). Соответственно 802.11r облегчает связность для транспортных средств в движении с помощью быстрых передач обслуживания от одной базовой станции к другой, управляемых «бесшовным» (без резких переходов) образом. Основным приложением, представляемым в настоящее время для стандарта 802.11r, является VoIP ("голосовая связь по IP-протоколу", или Интернет-телефония) посредством мобильных телефонов, спроектированных для работы с беспроводными Интернет-сетями, вместо (или в дополнение к) стандартным сотовым сетям.
802.11r уточняет процесс перехода мобильного клиента, когда он перемещается между точками доступа. Протокол позволяет беспроводному клиенту устанавливать состояние безопасности и качества обслуживания (QoS) на новой точке доступа перед выполнением перехода, что ведет к минимальной потери подключаемости и разрыва приложения. Общие изменения в протоколе не представляют никаких новых уязвимостей в безопасности. Это сохраняет поведение имеющихся станций и точек доступа. 802.11r предоставляет механизмы мобильным клиентам в роуминге для осуществления связи с подходящими точками доступа, установления ассоциаций безопасности и резервирования ресурсов QoS.
В соответствии с настоящим изобретением в сети 100 из фиг.1 иерархия ключей на основе 802.11r применяется к узловой AP, в силу этого делая возможной быструю передачу обслуживания для одой или более мобильных AP. В этой иерархии ключей ключ PMK_0 верхнего уровня формируется в R0KH 120 из материала главного ключа, принятого от сервера 105 аутентификации. На следующем уровне в R0KH 120 из PMK_0 получается PMK_1. PMK_1 доставляется к R1KH. Парный промежуточный ключ (PTK) получается из PMK_1 между запрашивающим и аутентификатором посредством 4-стороннего квитирования связи 802.11i. В соответствии с некоторыми вариантами осуществления данного изобретения, держатель R0KH 120 ключа верхнего уровня располагается в участке проводной сети и привязывается к центральному коммутатору 125 Ethernet, и все остальные узловые точки доступа (MAP) 135-n и IAP 130-n возьмут на себя роль держателя ключа первого уровня.
В некоторых применениях настоящего изобретения R0KH 120 может содержаться в каждой IAP 130-n, соответственно все MAP 135-n, ассоциированные с тем IAP 130-n, будут R1KH под этим R0KH 120 (не показано). Когда каналы связи уровня IP используются для R0KH и R1KH, R0KH и R1KH могут располагаться в другом сегменте уровня 2.
Посредник EAPOL между держателями ключа
Примерный протокол, используемый для связи между узлами и сервером 105, является EAP (расширяемым протоколом аутентификации). Протокол EAP определяет формат сообщения и квитирование связи обмена для поддержки множества способов аутентификации. EAP, как правило, работает непосредственно на уровнях линий передачи данных, например протоколе двухточечного соединения (PPP) или IEEE 802, не требуя IP. EAP обеспечивает свою собственную поддержку для исключения дубликатов и повторной передачи, но полагается на гарантии упорядочения нижнего уровня. В самом EAP не поддерживается фрагментация. Однако отдельные способы EAP могут поддерживать фрагментацию, например EAP-TLS, где нужно передавать объемные данные сертификатов в нескольких пакетах. Для 802.1X, например, сообщения EAP между запрашивающим аутентификацию и R0KH 120 заключаются в форматы сообщения EAPOL (EAP по локальной сети (LAN)). EAP является гибким и расширяемым в поддержке множества механизмов аутентификации, например пароля пользователя, аутентификации на основе сертификата, одноразового пароля, маркера или смарт-карты аутентификации и т.п. Он обеспечивает средство передачи для согласования и использования подходящих механизмов аутентификации, включая те, которые получают ключевой материал на узле и сервере 105 аутентификации.
Процедура аутентификация начинается, когда узел передает запрос аутентификации с использованием, например, Расширяемого протокола аутентификации (EAP), содержащего пакеты протокола EAP по локальной сети (EAPOL). Процесс аутентификации включает несколько передаваемых и принимаемых пакетов EAPOL, начиная с начального пакета EAP и заканчивая либо пакетом EAP с сообщением об успехе, либо пакетом EAP с сообщением о неудаче. Сервер аутентификации сохраняет учетные данные аутентификации мобильного устройства (обычно называемого «запрашивающим»), которое аутентифицируется. Серверы аутентификации также могут быть подключены к другим серверам аутентификации, чтобы получить учетные данные аутентификации запрашивающего, которые не хранятся локально.
Когда для управления ключами используется иерархия ключей 802.11r, сообщения EAPOL для аутентификации и управления ключами должны перемещаться между держателем R0KH ключа верхнего уровня и держателем R1KH ключа следующего уровня.
Фиг.2 иллюстрирует формат 200 сообщения для использования в работе некоторых вариантов осуществления настоящего изобретения. В частности, фиг.2 иллюстрирует пакетирования сообщения EAP для кадра связи держателя ключа L2 в соответствии с некоторыми вариантами осуществления настоящего изобретения. Заголовок 205 управления доступом к среде передачи (MAC) содержит MAC-адреса источника и получателя каждого транзитного участка. Заголовок 210 специальной (ad hoc) маршрутизации (AHR) содержит MAC-адреса источника и получателя аутентификатора и узлового устройства окончания маршрута (то есть R1KH и R0KH). Специальный id протокола помещается в поле id протокола в заголовке 210 AHR для представления пакета посредника EAPOL. MAC-адрес 220 запрашивающего также включается между заголовком 210 AHR и пакетом 230 EAPOL в формате 200 сообщения. Формат 200 сообщения включает в себя флаг 215 i/r в первом байте тела полезной нагрузки ячейки для поддержки запрашивающих 802.11i и 802.11r. Формат сообщения дополнительно включает в себя элемент 225 информации SSID для поддержки виртуальных AP. MAC-адрес 220 запрашивающего необходим для R0KH 120, чтобы знать, какое это запрашивающее устройство, чтобы иметь возможность привязать PMK_0 и PMK_1 к тому конкретному запрашивающему. Когда флаг 215 i/r указывает запрашивающего 802.11i, R0KH 120 получает PMK на основе стандарта 802.11i и доставляет PMK к R1KH. Когда флаг 215 i/r указывает запрашивающего 802.11r, R0KH 120 получает PMK_0 и PMK_1 на основе иерархии ключей 802.11r и доставляет PMK_1 к аутентификатору (R1KH). SSID 225 необходим для извлечения PMK_0 и PMK_1. Для виртуальных AP запрашивающий может выбрать один SSID из некоторого количества доступных SSID.
В соответствии с настоящим изобретением, когда сообщения между держателями ключа перемещаются на сетевом уровне, кадр 230 EAPOL вместе с полями i/r 215, SPA 220 и SSID 225 помещаются в полезную нагрузку IP-пакета (Интернет-протокол). Более того, MAC-адрес отправляющего держателя ключа также включается в полезную нагрузку IP, которая необходима для извлечения PMK_1.
Как общеизвестно в данной области и как проиллюстрировано на фиг.2, кадр 230 EAPOL включает в себя версию 235 протокола, которая является беззнаковым двоичным числом, значение которого является версией протокола EAPOL. Кадр 230 EAPOL дополнительно включает в себя тип 240 пакета, который является беззнаковым двоичным числом, значение которого определяет тип пакета следующим образом: a) пакет EAP; b) EAPOL-Start; c) EAPOL-Logoff; d) EAPOL-Key; e) заключенное в EAPOL предупреждение ASF. Кадр 230 EAPOL дополнительно включает в себя длину 245 тела пакета, которая является беззнаковым двоичным числом, значение которого определяет длину в октетах поля тела пакета. Кадр 230 EAPOL также включает в себя тело 250 пакета, которое представляется, если тип пакета содержит значение "пакет EAP", "EAPOL-Key", в противном случае оно не представляется.
Как общеизвестно в данной области техники и как проиллюстрировано на фиг.2, тело 250 пакета EAP включает в себя поле 255 кода, которое идентифицирует тип пакета EAP. Коды EAP назначаются следующим образом: 1=Запрос; 2=Ответ; 3=Успех; 4=Неудача. Тело 250 пакета EAP дополнительно включает в себя поле 260 идентификатора, которое помогает в сопоставлении ответов с запросами. Тело 250 пакета EAP дополнительно включает в себя поле 265 длины, которое указывает длину пакета EAP, включая поля кода 255, идентификатора 260, длины 265 и данных 275. Тело 250 пакета EAP дополнительно включает в себя поле 270 типа. Поле типа указывает тип запроса или ответа. Это может быть типом идентичности или конкретным способом аутентификации. Тело 250 пакета EAP также включает в себя поле 275 данных типа. Формат поля 275 данных определяется полем 255 кода и полем 270 типа.
Ключ распределения ключей и Авторизация роли
Как признают специалисты в данной области техники, существуют два типа запрашивающих устройств в сети 100. Два типа запрашивающих устройств в сети 100 являются устройствами MAP 135-n и устройствами STA 140-n. В соответствии с некоторыми вариантами осуществления настоящего изобретения устройства MAP 135-n функционируют в качестве R1KH для иерархии ключей 802.11r. Для защиты распределения PMK_1 от держателя R0KH 120 ключа к R1KH извлекают парный ключ распределения ключей (KDK) для каждой пары R0KH и MAP/IAP, как проиллюстрировано на фиг.3.
Фиг.3 - блок-схема алгоритма, иллюстрирующая процесс 300 распределения ключей и авторизации роли в соответствии с некоторыми вариантами осуществления настоящего изобретения. Как проиллюстрировано на фиг.3, операция начинается с этапа 305 начальной аутентификации. Начальная аутентификация, например, может быть начальной аутентификацией TTLS или TLS. Затем на этапе 310 R0KH 120 получает атрибуты авторизации от сервера 105 аутентификации в итоговом сообщении "аутентификация успешна" для аутентифицированного запрашивающего. Затем на этапе 315 определяется, является ли атрибут роли аутентифицированного запрашивающего держателем ключа первого уровня. Когда атрибут роли аутентифицированного запрашивающего является держателем ключа первого уровня, процесс продолжается до этапа 320, на котором R0KH и запрашивающий R1KH инициируют 4-стороннее квитирование связи типа 802.11i с PMK_0 для извлечения KDK.
Далее на этапе 320 KDK извлекают в виде:
KDK=KDF-KDKLen(PMK_0, "KDK Key derivation", SNonce||ANonce ||AA||SPA).
Где:
• KDF-256 определен в Разделе 8.5A.3 в 802.11r,
• SNonce - случайное число, сформированное R1KH, и
• ANonce - случайное число, сформированное R0KH,
• двумя случайными числами обмениваются во время первых двух сообщений 4-стороннего квитирования связи
• AA-MAC-адрес R0KH
• SPA-MAC-адрес R1KH.
Специалистами в данной области техники будет принято во внимание, что когда R1KH перемещается, KDK остается тем же, пока R0KH не инициирует новое четырехстороннее квитирование связи KDK.
Инициирование Аутентификации и Повторной аутентификации
Фиг.4 иллюстрирует процедуру 400 аутентификации в соответствии с некоторыми вариантами осуществления настоящего изобретения. Как проиллюстрировано на фиг.4, операция начинается с узла 135-n, включающегося на этапе 405. Затем на этапе 410 узел прослушивает/сканирует сигнальные кадры от его соседних устройств, которые могут быть либо MAP 135-n, либо IAP 130-n. Далее на этапе 415 узел выбирает IAP или MAP для начала процесса аутентификации с ним путем выбора устройства, которое указало, что оно имеет соединение с сервером 105 аутентификации. Затем на этапе 420 завершается первая аутентификация для узла с выбранным соседним устройством MAP. На этапе 425, после первой аутентификации узел может инициировать повторную аутентификацию с другими соседними устройствами MAP, которые аутентифицированы и подключены к IAP в том же мобильном домене. Эта повторная аутентификация использует процесс быстрой передачи обслуживания из 802.11r, чтобы избежать транзакции полной аутентификации.
Маршрут Сообщения аутентификации
Фиг.5 - структурная схема 500 передачи сообщений, иллюстрирующая сообщения аутентификации, которыми обмениваются различные элементы сети по фиг.1, в соответствии с некоторыми вариантами осуществления настоящего изобретения. В частности, фиг.5 - структурная схема 500 передачи сообщений, иллюстрирующая сообщения аутентификации, которыми обмениваются запрашивающее устройство и MAP R1KH (или IAP). Управляемый по 802.1X порт у MAP R1KH разблокирован для этих сообщений от неаутентифицированного устройства.
MAP R1KH является устройством MAP или IAP, которое обладает защищенным соединением с R0KH; и предполагается уже аутентифицированным. Оно будет принимать на себя роль R1KH для запрашивающего устройства.
В примерном сценарии схемы 500 из фиг.5 MAP1 135-1 R1KH и MAP2 135-2 R1KH являются уже аутентифицированными и обладают защищенным соединением с R0KH 120. Они могут быть, например, удалены на много звеньев от R0KH 120, как проиллюстрировано многозвенным трактом 505 из фиг.5. Запрашивающий (то есть устройство 140-1) в этом примерном сценарии не аутентифицирован как для MAP1 135-1 R1KH, так и для MAP2 135-2 R1KH, которые являются соседями запрашивающего на один интервал.
В этом примерном сценарии сообщения между R0KH 120 и сервером 105 аутентификации перемещаются по протоколу службы аутентификации удаленных пользователей по коммутируемым каналам связи (RADIUS) на основе Протокола дейтаграмм пользователя (UDP). Сообщения защищаются с использованием механизма безопасности в протоколе RADIUS. Более того, в этом примерном сценарии сообщения аутентификации между R1KH 135-1 и R0KH 120 перемещаются посредством механизма представительства по расширяемому протоколу аутентификации по локальной сети (EAPOL), и ключевые материалы защищаются с помощью KDK между R0KH и R1KH. R1KH 135-1 уведомляет R0KH 120 о SSID, выбранном запрашивающим 140-1 для реализации виртуальной точки доступа (AP).
Как проиллюстрировано на фиг.5, процесс аутентификации начинается, когда запрашивающий 140-1 инициирует запрос 510 ассоциации к его соседней MAP1 135-1. В ответ на MAP1 135-1 отправляет ответ 515 ассоциации. Например, процесс аутентификации по 802.1X будет запущен запрашивающим 140-1 (EAPOL-Start от запрашивающего), если аутентификация 520 EAP по 802.1X выбирается в течение первых двух сообщений ассоциации. После успешной аутентификации EAP по 802.1X будет доставлен MSK от сервера 105 аутентификации к R0KH 120 в сообщении признания доступа вместе с пакетом EAP-успех и другими определениями авторизации. После получения MSK R0KH 120 вычисляет PMK_0 и PMK_1, как описано в стандарте 802.11r.
Чтобы решить, нужно ли проводить процесс извлечения KDK, R0KH 120 проверяет роль запрашивающего из атрибутов авторизации, возвращенных от конечного сервера 105 аутентификации. Если запрашивающий 140-1 обладает ролью R1KH, то проводится обмен 525 сообщениями извлечения KDK. В противном случае для запрашивающего 140-1 никакого процесса извлечения KDK не начинают.
Чтобы сформироваться уникальные имена для PMK_0 и PMK_1, R0KH 120 формирует случайное число, называемое ANonce, которое нужно использовать для извлечения имени PMK_0 и имени PMK_1. Это ANonce отправляется к MAP1 135-1 вместе с PMK_1 и именем PMK_1 в сообщении 530. ANonce должно использоваться MAP1 135-1 в 4-стороннем квитировании связи с запрашивающим 140-1. Запрашивающий 140-1 будет тогда использовать такое же ANonce для извлечения тех же имен ключей.
После приема PMK_1 530 от R0KH 120, MAP1 инициирует 4-стороннее квитирование связи 535 с запрашивающим 140-1, чтобы сформировать PTK для защиты линии связи между запрашивающим 140-1 и MAP3 135-3 (не показано на фиг.5). После этого MAP1 135-1 и запрашивающий 140-1 могут осуществлять связь в защищенной линии 540 связи.
Фиг.6 иллюстрирует примерный подробный обмен 600 сообщениями, который описан ранее в этом документе на фиг.5, когда аутентификацией по 802.1X является EAP-TTLS в соответствии с некоторыми вариантами осуществления настоящего изобретения. Как проиллюстрировано на фиг.6, запрашивающий 140-1 отправляет кадр 605 EAPOL-Start к MAP 135-1 R1KH, когда выбирается аутентификация по 802.1.x. R1KH 135-1 затем перемещает этот кадр 610 к R0KH 120. R0KH 120 управляет всем потоком сообщений между запрашивающим 140-1 и сервером 105 аутентификации. MAP 135-1 R1KH реализует конечный автомат с повторением, чтобы отправить EAPOL-Start к R0KH 120. Последнее сообщение 615 ACK PMK_1 завершает конечный автомат в R0KH 120. Последнее сообщение 620 от R0KH 120 к R1KH 135-1 содержит PMK_1, R1Name и ANonce. Если запрашивающий 140-1 является устройством 802.11i, только PMK 802.11i доставляется к R1KH 135-1.
Повторная аутентификация (Быстрый переход)
Ссылаясь снова на фиг.5, после первой аутентификации с MAP1 135-1 запрашивающий 140-1 может инициировать процесс повторной аутентификации (быстрая передача обслуживания) с любыми соседними устройствами MAP 135-n, которые объявили о защищенном соединении с сервером 105 аутентификации и находятся в том же мобильном домене. Процесс повторной аутентификации придерживается быстрого перехода BSS 802.11r: базовый беспроводной механизм. Запрос повторной аутентификации включает в себя R0Name, R1Name, SNonce и его ассоциированное имя R0KH-ID держателя ключа верхнего уровня. R0Name и R1Name также должны быть включены в состав.
Как проиллюстрировано на фиг.5, после того, как завершается процедура аутентификации между запрашивающим 140-1 и MAP1 135-1, запрашивающий 140-1 инициирует процедуру повторной аутентификации с его следующим соседним устройством MAP2 135-2 R1KH. Например, первое сообщение 545 с быстрой передачей обслуживания отправляется от запрашивающего 140-1 к MAP2 135-2. В ответ MAP2 135-2 отправляет запрос 550 PMK к R0KH 120, запрашивающий соответствующий PMK_1 от R0KH 120, если она не хранит тот PMK_1, идентифицированный по R1Name. Запрос PMK_1 к R0KH должен включать в себя R0Name. В ответ R0KH 120 отправляет PMK_1 555 к MAP2 135-2. После этого MAP2 135-2 отправляет второе сообщение к запрашивающему 140, когда MAP2 135-2 получает соответствующий PMK_1. Запрашивающий 140-1 и MAP2 135-2 заполняют сообщения 560 быстрой передачи обслуживания и получают в результате защищенную линию 565 связи. Специалистами в данной области техники будет принято во внимание, что эта повторная аутентификация в быстрой передаче обслуживания может повторяться для любого количества устройств MAP или IAP в диапазоне связи (в окружении) запрашивающего.
В вышеизложенном описании изобретения описаны определенные варианты осуществления настоящего изобретения. Тем не менее, специалист в данной области техники понимает, что могут быть выполнены различные модификации и изменения без отклонения от объема настоящего изобретения, который формулируется далее в формуле изобретения. Соответственно, описание изобретения и чертежи должны рассматриваться в иллюстративном, а не в ограничительном смысле, и все подобные модификации предназначены для включения в объем настоящего изобретения. Полезные результаты, преимущества, решения проблем и любой элемент(ы), которые могут заставить произойти или стать более явным любой полезный результат, преимущество или решение, не должны истолковываться как важные, обязательные или существенные признаки или элементы любого либо всех пунктов формулы изобретения. Изобретение определяется исключительно прилагаемой формулой изобретения, включающей любые исправления, сделанные во время нахождения этой заявки на рассмотрении, и все эквиваленты той формулы изобретения, которая опубликована.

Claims (11)

1. Способ аутентификации безопасности по каждому звену и управления ключами в инфраструктурной беспроводной многозвенной сети, содержащий этапы, на которых:
исходно аутентифицируют запрашивающего, включая определение одного или более атрибутов роли аутентифицированного запрашивающего с помощью сервера аутентификации;
получают один или более атрибутов авторизации аутентифицированного запрашивающего от сервера аутентификации с помощью держателя ключа верхнего уровня;
определяют, является ли атрибут роли аутентифицированного запрашивающего держателем ключа первого уровня, с помощью держателя ключа верхнего уровня;
если атрибут роли аутентифицированного запрашивающего является держателем ключа первого уровня, то инициируют четырехстороннее квитирование связи между держателем ключа верхнего уровня и запрашивающим с помощью парного главного ключа для извлечения Ключа распределения ключей; и
если атрибут роли аутентифицированного запрашивающего не является держателем ключа первого уровня, то
передают парный главный ключ первого уровня, извлеченный держателем ключа верхнего уровня из парного главного ключа, от держателя ключа верхнего уровня к одному из держателей ключа первого уровня,
инициируют четырехстороннее квитирование связи между держателем ключа первого уровня и запрашивающим с помощью парного главного ключа первого уровня для формирования защищенной линии связи между запрашивающим и держателем ключа первого уровня, и
осуществляют связь по защищенной линии связи между держателем ключа первого уровня и запрашивающим.
2. Способ аутентификации безопасности по каждому звену и управления ключами в инфраструктурной беспроводной многозвенной сети по п.1, в котором четырехстороннее квитирование связи между держателем ключа верхнего уровня и держателем ключа первого уровня содержит четырехстороннее квитирование связи типа 802.11i для извлечения Ключа распределения ключей между держателем ключа верхнего уровня и держателем ключа первого уровня; и причем дополнительно четырехстороннее квитирование связи между держателем ключа первого уровня и запрашивающим содержит четырехстороннее квитирование связи типа 802.11i для извлечения парного промежуточного ключа между держателем ключа первого уровня и запрашивающим.
3. Способ аутентификации безопасности по каждому звену и управления ключами в инфраструктурной беспроводной многозвенной сети по п.1, в котором Ключ распределения ключей извлекают с использованием Функции распределения ключей, имеющей длину результата, равную Длине функции распределения ключей, причем Ключ распределения ключей получают из входных данных, включающих в себя парный главный ключ, описание распределения ключей и конкатенацию из временного значения запрашивающего, временного значения аутентифицирующего, адреса аутентифицирующего и адреса управления доступом к среде передачи (MAC) запрашивающего, где
Длина функции распределения ключей является необходимой длиной, в битах, результата Функции распределения ключей;
описание распределения ключей является текстом «Key distribution Key derivation»;
временное значение запрашивающего является случайным числом, генерируемым запрашиващим;
временное значение аутентифицирующего является случайным числом, генерируемым держателем ключа верхнего уровня; и
адрес аутентифицирующего является адресом управления доступом к среде передача (MAC) держателя ключа верхнего уровня.
4. Способ аутентификации безопасности по каждому звену и управления ключами в инфраструктурной беспроводной многозвенной сети по п.1, в котором этап начальной аутентификации включает в себя передачу итогового сообщения "аутентификация успешна" держателю ключа верхнего уровня, причем дополнительно один или более атрибутов авторизации получают из этого итогового сообщения "аутентификация успешна".
5. Способ аутентификации безопасности по каждому звену и управления ключами в инфраструктурной беспроводной многозвенной сети по п.1, дополнительно содержащий этапы, на которых:
с помощью запрашивающего инициируют повторную аутентификацию с другим одним из держателей ключа первого уровня, причем этот другой один из держателей ключа первого уровня был аутентифицирован и соединен с держателем ключа верхнего уровня в том же мобильном домене, причем повторная аутентификация содержит этапы, на которых:
передают сообщение, используя процесс быстрой передачи обслуживания, от запрашивающего к этому другому одному из держателей ключа первого уровня;
передают парный главный ключ первого уровня от держателя ключа верхнего уровня к этому другому одному из держателей ключа первого уровня;
завершают быструю передачу обслуживания между этим другим одним из держателей ключа первого уровня и запрашивающим, используя парный главный ключ первого уровня для формирования защищенной линии связи между запрашивающим и этим другим одним из держателей ключа первого уровня; и
осуществляют связь по защищенной линии связи между этим другим из держателей ключа первого уровня и запрашивающим.
6. Способ связи между держателем ключа верхнего уровня и держателем ключа первого уровня для аутентификации безопасности по каждому звену и управления ключами в инфраструктурной беспроводной многозвенной сети, содержащий этапы, на которых:
передают сообщение от держателя ключа верхнего уровня к держателю ключа первого уровня,
извлекают из заголовка управления доступом к среде передачи (MAC) этого сообщения: адрес управления доступом к среде передачи (MAC) источника и адрес MAC получателя для по меньшей мере одного транзитного участка, адрес MAC запрашивающего для запрашивающего устройства, предназначенного для безопасного соединения с держателем ключа первого уровня, флаг i/r, который является идентификатором стандарта 802.11i или 802.11r, и идентификатор служебной настройки;
извлекают из заголовка маршрутизации этого сообщения: адрес MAC источника и адрес MAC получателя держателя ключа первого уровня и держателя ключа верхнего уровня, и идентификацию протокола, представляющую пакет-посредник расширяемого протокола аутентификации по локальной сети.
7. Способ по п.6, в котором адрес MAC запрашивающего идентифицирует запрашивающее устройство для привязки парного главного ключа и парного главного ключа первого уровня.
8. Способ по п.6, в котором флаг i/r, указывающий запрашивающего по 802.11i, идентифицирует, что парный главный ключ извлекают на основе стандарта 802.11i и что парный главный ключ должен быть доставлен к держателю ключа второго уровня.
9. Способ по п.6, в котором флаг i/r, указывающий запрашивающего по 802.11r, идентифицирует, что парный главный ключ и парный главный ключ первого уровня извлекают на основе иерархии ключей 802.11r и что парный главный ключ первого уровня должен быть доставлен к держателю ключа второго уровня.
10. Способ по п.6, в котором идентификатор набора служб используется для извлечения парного главного ключа и парного главного ключа первого уровня и причем дополнительно запрашивающее устройство выбирает идентификатор набора служб из множества доступных идентификаторов набора служб.
11. Способ по п.6, в котором сообщение транспортируется на уровне связи, выбранном из группы, содержащей уровень 2 и уровень 3, и
причем дополнительно, когда заголовок MAC упомянутого сообщения размещается в полезной нагрузке пакета Интернет-протокола, адрес MAC держателя ключа второго уровня добавляется в содержимое упомянутого сообщения.
RU2009112589/09A 2006-09-07 2007-07-26 Аутентификация безопасности и управление ключами в инфраструктурной беспроводной многозвенной сети RU2407181C1 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/470,887 2006-09-07
US11/470,887 US7499547B2 (en) 2006-09-07 2006-09-07 Security authentication and key management within an infrastructure based wireless multi-hop network

Publications (2)

Publication Number Publication Date
RU2009112589A RU2009112589A (ru) 2010-10-20
RU2407181C1 true RU2407181C1 (ru) 2010-12-20

Family

ID=39157922

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2009112589/09A RU2407181C1 (ru) 2006-09-07 2007-07-26 Аутентификация безопасности и управление ключами в инфраструктурной беспроводной многозвенной сети

Country Status (11)

Country Link
US (2) US7499547B2 (ru)
EP (1) EP2060052B1 (ru)
JP (1) JP4921557B2 (ru)
KR (1) KR101054202B1 (ru)
CN (1) CN101513092B (ru)
AU (2) AU2007292516B2 (ru)
BR (1) BRPI0716507B1 (ru)
CA (1) CA2663168C (ru)
MX (1) MX2009002507A (ru)
RU (1) RU2407181C1 (ru)
WO (1) WO2008030667A2 (ru)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2656832C2 (ru) * 2012-08-15 2018-06-06 Зе Боинг Компани Геотентификация на основе новой структуры сетевого пакета
RU2738808C2 (ru) * 2015-12-21 2020-12-17 Конинклейке Филипс Н.В. Сетевая система для безопасной связи
RU2744776C2 (ru) * 2016-07-11 2021-03-15 Ямаси Лтд. Способ и система для получения и представления данных о турбулентности через устройства связи, расположенные на самолетах
US11037452B2 (en) 2015-02-05 2021-06-15 Yamasee Ltd. Method and system for obtaining and presenting turbulence data via communication devices located on airplanes
RU2755196C1 (ru) * 2018-04-05 2021-09-14 Нокиа Текнолоджиз Ой Управление унифицированными идентификаторами подписки в системах связи

Families Citing this family (78)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9722766D0 (en) 1997-10-28 1997-12-24 British Telecomm Portable computers
US7890745B2 (en) * 2006-01-11 2011-02-15 Intel Corporation Apparatus and method for protection of management frames
US7499547B2 (en) * 2006-09-07 2009-03-03 Motorola, Inc. Security authentication and key management within an infrastructure based wireless multi-hop network
US8578159B2 (en) * 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network
US7734052B2 (en) * 2006-09-07 2010-06-08 Motorola, Inc. Method and system for secure processing of authentication key material in an ad hoc wireless network
CN101517959B (zh) * 2006-09-18 2012-06-20 英特尔公司 用于无线网格网络中的安全策略的协商的技术
US20080072047A1 (en) * 2006-09-20 2008-03-20 Futurewei Technologies, Inc. Method and system for capwap intra-domain authentication using 802.11r
US8607058B2 (en) * 2006-09-29 2013-12-10 Intel Corporation Port access control in a shared link environment
US20080144579A1 (en) * 2006-12-19 2008-06-19 Kapil Sood Fast transitioning advertisement
US8948046B2 (en) 2007-04-27 2015-02-03 Aerohive Networks, Inc. Routing method and system for a wireless network
US9838365B2 (en) * 2007-07-10 2017-12-05 Qualcomm Incorporated Peer to peer identifiers
US8094634B2 (en) * 2007-09-06 2012-01-10 Polytechnic Institute Of New York University Sender and/or helper node modifications to enable security features in cooperative wireless communications
US8249256B2 (en) * 2007-11-06 2012-08-21 Motorola Solutions, Inc. Method for providing fast secure handoff in a wireless mesh network
US8208635B2 (en) * 2007-11-13 2012-06-26 Rosemount Inc. Wireless mesh network with secure automatic key loads to wireless devices
US20090150665A1 (en) * 2007-12-07 2009-06-11 Futurewei Technologies, Inc. Interworking 802.1 AF Devices with 802.1X Authenticator
TWI345405B (en) * 2007-12-26 2011-07-11 Ind Tech Res Inst Apparatus and method for executing the handoff process in wireless networks
US9246679B2 (en) * 2007-12-28 2016-01-26 Intel Corporation Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks
CN101222325B (zh) * 2008-01-23 2010-05-12 西安西电捷通无线网络通信有限公司 一种基于id的无线多跳网络密钥管理方法
EP2245901A2 (en) * 2008-02-20 2010-11-03 Microchip Technology Incorporated Wireless access point device
US8081568B2 (en) * 2008-02-22 2011-12-20 Cisco Technology, Inc. Role determination for network devices
US8218502B1 (en) 2008-05-14 2012-07-10 Aerohive Networks Predictive and nomadic roaming of wireless clients across different network subnets
US8474023B2 (en) * 2008-05-30 2013-06-25 Juniper Networks, Inc. Proactive credential caching
JP5080406B2 (ja) * 2008-09-05 2012-11-21 株式会社エヌ・ティ・ティ・ドコモ 配信装置、端末装置及びシステム並びに方法
JP5112229B2 (ja) * 2008-09-05 2013-01-09 株式会社エヌ・ティ・ティ・ドコモ 配信装置、端末装置及びシステム並びに方法
US9674892B1 (en) 2008-11-04 2017-06-06 Aerohive Networks, Inc. Exclusive preshared key authentication
US8483194B1 (en) 2009-01-21 2013-07-09 Aerohive Networks, Inc. Airtime-based scheduling
CN101807998A (zh) * 2009-02-13 2010-08-18 英飞凌科技股份有限公司 认证
CN101815293B (zh) * 2009-02-20 2012-08-15 华为技术有限公司 无线中继网络中的链路安全认证方法、装置和系统
US8352741B2 (en) * 2009-06-11 2013-01-08 Microsoft Corporation Discovery of secure network enclaves
US9742560B2 (en) 2009-06-11 2017-08-22 Microsoft Technology Licensing, Llc Key management in secure network enclaves
US9900251B1 (en) 2009-07-10 2018-02-20 Aerohive Networks, Inc. Bandwidth sentinel
US11115857B2 (en) 2009-07-10 2021-09-07 Extreme Networks, Inc. Bandwidth sentinel
US8385549B2 (en) * 2009-08-21 2013-02-26 Industrial Technology Research Institute Fast authentication between heterogeneous wireless networks
JP5472977B2 (ja) * 2009-08-27 2014-04-16 日本電気通信システム株式会社 無線通信装置
JP5543812B2 (ja) * 2010-03-23 2014-07-09 日東電工株式会社 粘着テープ貼付け方法および粘着テープ貼付け装置
DE102010018285A1 (de) * 2010-04-26 2011-10-27 Siemens Enterprise Communications Gmbh & Co. Kg Netzwerkzugangsknoten mit Schlüsselverteilerfunktion
DE102010018286A1 (de) * 2010-04-26 2011-10-27 Siemens Enterprise Communications Gmbh & Co. Kg Schlüsselverteilerknoten für ein Netzwerk
CN101867930B (zh) * 2010-06-04 2012-11-14 西安电子科技大学 无线Mesh网络骨干节点切换快速认证方法
US8671187B1 (en) 2010-07-27 2014-03-11 Aerohive Networks, Inc. Client-independent network supervision application
CN101908961B (zh) * 2010-07-29 2012-07-11 北京交通大学 一种短密钥环境下多方秘密握手方法
US9002277B2 (en) 2010-09-07 2015-04-07 Aerohive Networks, Inc. Distributed channel selection for wireless networks
JP5494829B2 (ja) * 2010-12-28 2014-05-21 富士通株式会社 鍵設定方法、ノード、およびネットワークシステム
CN102655584B (zh) * 2011-03-04 2017-11-24 中兴通讯股份有限公司 一种远程呈现技术中媒体数据发送和播放的方法及系统
US9264230B2 (en) 2011-03-14 2016-02-16 International Business Machines Corporation Secure key management
US8619990B2 (en) 2011-04-27 2013-12-31 International Business Machines Corporation Secure key creation
US8755527B2 (en) 2011-05-04 2014-06-17 International Business Machines Corporation Key management policies for cryptographic keys
US8789210B2 (en) 2011-05-04 2014-07-22 International Business Machines Corporation Key usage policies for cryptographic keys
US8634561B2 (en) * 2011-05-04 2014-01-21 International Business Machines Corporation Secure key management
US8566913B2 (en) 2011-05-04 2013-10-22 International Business Machines Corporation Secure key management
US9826571B2 (en) 2011-06-30 2017-11-21 Aruba Networks, Inc. Mesh node role discovery and automatic recovery
CN102958051B (zh) * 2011-08-23 2016-06-08 上海贝尔股份有限公司 Capwap架构的接入控制器及其密钥管理方法
US10091065B1 (en) 2011-10-31 2018-10-02 Aerohive Networks, Inc. Zero configuration networking on a subnetted network
CN103188662B (zh) * 2011-12-30 2015-07-29 中国移动通信集团广西有限公司 一种验证无线接入点的方法以及装置
US20130305332A1 (en) * 2012-05-08 2013-11-14 Partha Narasimhan System and Method for Providing Data Link Layer and Network Layer Mobility Using Leveled Security Keys
CN104769864B (zh) 2012-06-14 2018-05-04 艾诺威网络有限公司 多播到单播转换技术
WO2014094151A1 (en) * 2012-12-21 2014-06-26 Seccuris Inc. System and method for monitoring data in a client environment
US9413772B2 (en) 2013-03-15 2016-08-09 Aerohive Networks, Inc. Managing rogue devices through a network backhaul
US10389650B2 (en) 2013-03-15 2019-08-20 Aerohive Networks, Inc. Building and maintaining a network
US9465947B2 (en) * 2013-08-05 2016-10-11 Samsung Sds America, Inc. System and method for encryption and key management in cloud storage
CN104469759B (zh) * 2013-09-23 2018-12-21 株式会社理光 管理区域受限网络、接收区域密钥的方法和设备
JP2015070571A (ja) * 2013-09-30 2015-04-13 サイレックス・テクノロジー株式会社 無線基地局装置、無線基地局装置の制御方法、及び、プログラム
US8743758B1 (en) 2013-11-27 2014-06-03 M87, Inc. Concurrent uses of non-cellular interfaces for participating in hybrid cellular and non-cellular networks
CA2933698C (en) * 2013-12-13 2023-05-09 M87, Inc. Methods and systems of secure connections for joining hybrid cellular and non-cellular networks
JP6668598B2 (ja) * 2014-05-19 2020-03-18 株式会社リコー システム、及び通信方法
KR20160000534A (ko) 2014-06-24 2016-01-05 (주)휴맥스 홈 네트워크 자동 연결형 영상 스트리밍 서비스 시스템 및 방법
US10057766B2 (en) * 2014-10-21 2018-08-21 Qualcomm Incorporated Methods and systems for authentication interoperability
US10129031B2 (en) * 2014-10-31 2018-11-13 Convida Wireless, Llc End-to-end service layer authentication
CN104618090B (zh) * 2015-01-08 2017-09-19 重庆邮电大学 一种适用于异构传感器网络的组密钥管理方法
CN105991600B (zh) 2015-02-25 2019-06-21 阿里巴巴集团控股有限公司 身份认证方法、装置、服务器及终端
KR102001753B1 (ko) 2015-03-16 2019-10-01 콘비다 와이어리스, 엘엘씨 공개 키잉 메커니즘들을 사용한 서비스 계층에서의 종단간 인증
CN105636148B (zh) * 2016-01-06 2019-01-04 中央军委装备发展部第六十三研究所 一种无线多跳网络数据传输方法
US10791093B2 (en) * 2016-04-29 2020-09-29 Avago Technologies International Sales Pte. Limited Home network traffic isolation
US10165608B2 (en) 2016-06-02 2018-12-25 Cisco Technology, Inc. System and method to provide fast mobility in a residential Wi-Fi network environment
US11991165B2 (en) * 2018-04-06 2024-05-21 Nec Corporation Authentication method for next generation systems
TWI695645B (zh) * 2018-07-06 2020-06-01 小白投資有限公司 無線網路識別方法
CN113132986B (zh) * 2019-12-31 2023-02-03 青岛海尔科技有限公司 基于DPP协议实现WiFi的mesh网络的实现方法及装置、存储介质
JP2023540264A (ja) * 2020-08-24 2023-09-22 イレブン ソフトウェア インコーポレイテッド 分散コンピューティングを使用したeapolハンドシェイクのためのキー照合
CN113141674A (zh) * 2021-04-08 2021-07-20 成都极米科技股份有限公司 多链路系统中链路配置方法、设备、系统及存储介质

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7072650B2 (en) * 2000-11-13 2006-07-04 Meshnetworks, Inc. Ad hoc peer-to-peer mobile radio access system interfaced to the PSTN and cellular networks
JP3880419B2 (ja) * 2002-02-21 2007-02-14 日本電信電話株式会社 無線アクセスネットワーク、無線マルチホップネットワーク、認証サーバ、基地局及び無線端末
US7165112B2 (en) * 2001-06-22 2007-01-16 Motorola, Inc. Method and apparatus for transmitting data in a communication system
US7350077B2 (en) * 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
KR100555381B1 (ko) * 2002-12-19 2006-02-24 멜코 인코포레이티드 암호키 설정시스템 및 암호키 설정방법
US7263357B2 (en) * 2003-01-14 2007-08-28 Samsung Electronics Co., Ltd. Method for fast roaming in a wireless network
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
JP4158972B2 (ja) * 2003-12-18 2008-10-01 Kddi株式会社 マルチホップ通信方法
US7451316B2 (en) * 2004-07-15 2008-11-11 Cisco Technology, Inc. Method and system for pre-authentication
US20060067272A1 (en) * 2004-09-30 2006-03-30 Wang Huayan A Method and system for fast roaming of a mobile unit in a wireless network
US7558388B2 (en) * 2004-10-15 2009-07-07 Broadcom Corporation Derivation method for cached keys in wireless communication system
US7643451B2 (en) * 2004-10-15 2010-01-05 Nortel Networks Limited Method and apparatus for extending a mobile unit data path between access points
US7236477B2 (en) * 2004-10-15 2007-06-26 Motorola, Inc. Method for performing authenticated handover in a wireless local area network
US7904945B2 (en) * 2004-10-27 2011-03-08 Meshnetworks, Inc. System and method for providing security for a wireless network
WO2006052759A2 (en) * 2004-11-05 2006-05-18 Meshnetworks, Inc. System and method for dynamic frequency selection in a multihopping wireless network
JP4561418B2 (ja) * 2004-11-08 2010-10-13 沖電気工業株式会社 メッセージ認証方法、通信端末装置及びメッセージ認証システム
TWI268083B (en) * 2004-11-17 2006-12-01 Draytek Corp Method used by an access point of a wireless LAN and related apparatus
JP2006166362A (ja) 2004-12-10 2006-06-22 Sony Corp 音響装置
DE602004021043D1 (de) * 2004-12-30 2009-06-18 Telecom Italia Spa Verfahren und system zur erkennung von attacken in drahtlosen datenkommunikationsnetzen
US7814322B2 (en) * 2005-05-03 2010-10-12 Sri International Discovery and authentication scheme for wireless mesh networks
US7738882B2 (en) * 2005-06-13 2010-06-15 Toshiba America Research, Inc. Framework of media-independent pre-authentication improvements: including considerations for failed switching and switchback
US8270947B2 (en) * 2005-12-19 2012-09-18 Motorola Solutions, Inc. Method and apparatus for providing a supplicant access to a requested service
US7483409B2 (en) * 2005-12-30 2009-01-27 Motorola, Inc. Wireless router assisted security handoff (WRASH) in a multi-hop wireless network
US7804807B2 (en) * 2006-08-02 2010-09-28 Motorola, Inc. Managing establishment and removal of security associations in a wireless mesh network
US7793103B2 (en) * 2006-08-15 2010-09-07 Motorola, Inc. Ad-hoc network key management
US8578159B2 (en) * 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network
US7499547B2 (en) * 2006-09-07 2009-03-03 Motorola, Inc. Security authentication and key management within an infrastructure based wireless multi-hop network
US7508803B2 (en) * 2006-09-07 2009-03-24 Motorola, Inc. Transporting management traffic through a multi-hop mesh network

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2656832C2 (ru) * 2012-08-15 2018-06-06 Зе Боинг Компани Геотентификация на основе новой структуры сетевого пакета
US11037452B2 (en) 2015-02-05 2021-06-15 Yamasee Ltd. Method and system for obtaining and presenting turbulence data via communication devices located on airplanes
RU2738808C2 (ru) * 2015-12-21 2020-12-17 Конинклейке Филипс Н.В. Сетевая система для безопасной связи
RU2744776C2 (ru) * 2016-07-11 2021-03-15 Ямаси Лтд. Способ и система для получения и представления данных о турбулентности через устройства связи, расположенные на самолетах
RU2755196C1 (ru) * 2018-04-05 2021-09-14 Нокиа Текнолоджиз Ой Управление унифицированными идентификаторами подписки в системах связи
US11902792B2 (en) 2018-04-05 2024-02-13 Nokia Technologies Oy Unified subscription identifier management in communication systems

Also Published As

Publication number Publication date
CA2663168A1 (en) 2008-03-13
EP2060052A4 (en) 2015-11-18
CN101513092A (zh) 2009-08-19
AU2011201655A1 (en) 2011-05-12
WO2008030667A2 (en) 2008-03-13
AU2007292516B2 (en) 2011-05-19
KR20090052895A (ko) 2009-05-26
US20080065888A1 (en) 2008-03-13
JP4921557B2 (ja) 2012-04-25
BRPI0716507B1 (pt) 2019-12-10
WO2008030667A3 (en) 2008-07-03
US7499547B2 (en) 2009-03-03
KR101054202B1 (ko) 2011-08-03
CN101513092B (zh) 2012-08-15
US7793104B2 (en) 2010-09-07
US20090210710A1 (en) 2009-08-20
EP2060052A2 (en) 2009-05-20
AU2007292516A1 (en) 2008-03-13
EP2060052B1 (en) 2018-09-05
RU2009112589A (ru) 2010-10-20
AU2011201655B2 (en) 2011-12-22
BRPI0716507A2 (pt) 2013-10-08
JP2010503326A (ja) 2010-01-28
WO2008030667B1 (en) 2008-08-14
CA2663168C (en) 2014-01-28
MX2009002507A (es) 2009-03-25

Similar Documents

Publication Publication Date Title
RU2407181C1 (ru) Аутентификация безопасности и управление ключами в инфраструктурной беспроводной многозвенной сети
US8122249B2 (en) Method and arrangement for providing a wireless mesh network
US8731194B2 (en) Method of establishing security association in inter-rat handover
US8561200B2 (en) Method and system for controlling access to communication networks, related network and computer program therefor
CN101379801B (zh) 用于eap扩展(eap-ext)的eap方法
US7545768B2 (en) Utilizing generic authentication architecture for mobile internet protocol key distribution
EP1974553B1 (en) Wireless router assisted security handoff (wrash) in a multi-hop wireless network
JP4000933B2 (ja) 無線情報伝送システム及び無線通信方法、無線端末装置
JP5144679B2 (ja) 通信ネットワークにおけるユーザアクセス管理
EP1650915B1 (en) Method of authenticating a mobile network node for establishing a secure peer-to-peer context between a pair of communicating mobile network nodes
US8270382B2 (en) System and method for securing mesh access points in a wireless mesh network, including rapid roaming
US8374582B2 (en) Access method and system for cellular mobile communication network
KR101002799B1 (ko) 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치
JP2010503326A5 (ja) インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法
JP2010521086A (ja) リアクティブオペレーションのために最適化されるケルベロス化ハンドオーバキーイング
JP2008547304A (ja) 無線携帯インターネットシステム用の認証キー識別子の割り当て方法
CN104982053A (zh) 用于获得认证无线设备的永久身份的方法和网络节点
WO2009051405A2 (en) Method of establishing security association in inter-rat handover
US20110093604A1 (en) Communication system, server apparatus, information communication method, and program

Legal Events

Date Code Title Description
PD4A Correction of name of patent owner
PD4A Correction of name of patent owner
PC41 Official registration of the transfer of exclusive right

Effective date: 20180719