WO2011134608A9 - Verfahren und vorrichtungen mit schlüsselverteilerfunktion zur verbesserung von geschwindigkeit und qualität eines handovers - Google Patents
Verfahren und vorrichtungen mit schlüsselverteilerfunktion zur verbesserung von geschwindigkeit und qualität eines handovers Download PDFInfo
- Publication number
- WO2011134608A9 WO2011134608A9 PCT/EP2011/001932 EP2011001932W WO2011134608A9 WO 2011134608 A9 WO2011134608 A9 WO 2011134608A9 EP 2011001932 W EP2011001932 W EP 2011001932W WO 2011134608 A9 WO2011134608 A9 WO 2011134608A9
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- network
- node
- key
- mapi
- access node
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 27
- 238000004891 communication Methods 0.000 claims abstract description 26
- 101000979001 Homo sapiens Methionine aminopeptidase 2 Proteins 0.000 claims abstract description 23
- 101000969087 Homo sapiens Microtubule-associated protein 2 Proteins 0.000 claims abstract description 23
- 230000006870 function Effects 0.000 claims abstract description 16
- 230000004044 response Effects 0.000 claims abstract description 8
- 102100021118 Microtubule-associated protein 2 Human genes 0.000 claims abstract 5
- 108010041420 microbial alkaline proteinase inhibitor Proteins 0.000 claims description 43
- 230000008569 process Effects 0.000 claims description 11
- 238000003860 storage Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 2
- 238000009795 derivation Methods 0.000 claims description 2
- 238000012795 verification Methods 0.000 claims description 2
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 claims 2
- 101000969594 Homo sapiens Modulator of apoptosis 1 Proteins 0.000 abstract 1
- 102100021440 Modulator of apoptosis 1 Human genes 0.000 abstract 1
- 102100023174 Methionine aminopeptidase 2 Human genes 0.000 description 18
- HONKEGXLWUDTCF-YFKPBYRVSA-N (2s)-2-amino-2-methyl-4-phosphonobutanoic acid Chemical compound OC(=O)[C@](N)(C)CCP(O)(O)=O HONKEGXLWUDTCF-YFKPBYRVSA-N 0.000 description 12
- 101000616438 Homo sapiens Microtubule-associated protein 4 Proteins 0.000 description 12
- 102100021794 Microtubule-associated protein 4 Human genes 0.000 description 12
- 108090001040 Microtubule-associated protein 1B Proteins 0.000 description 8
- 102000004866 Microtubule-associated protein 1B Human genes 0.000 description 8
- 101100131116 Oryza sativa subsp. japonica MPK3 gene Proteins 0.000 description 8
- 101100456045 Schizosaccharomyces pombe (strain 972 / ATCC 24843) map3 gene Proteins 0.000 description 8
- 238000009826 distribution Methods 0.000 description 8
- 235000008694 Humulus lupulus Nutrition 0.000 description 6
- 230000001934 delay Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005315 distribution function Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0016—Hand-off preparation specially adapted for end-to-end data sessions
Definitions
- the invention relates to a network access node for a wirelessly integrated into the network terminal, a network that at least one of these
- Network access node includes, a method for
- the invention can be used in a voice-over-IP application and a video-on-demand application,
- Wireless networks are becoming increasingly popular in the home and office space.
- a basic standard for such networks is the IEEE 802.11 standard.
- Mesh networks are wireless networks with flexible topology.
- Nodes of a mesh network have features to detect topology changes or to set up fallback routes.
- VoIP Voice over IP
- VoD Video on Demand
- Endpoints of real-time communication are usually this way called “stations” or “clients”, ie non-mesh terminals.
- the speed of handover is critical to the quality and performance of such real-time applications using wireless connections, especially for real-time applications.
- handover operations should therefore be carried out from one access node to another as quickly as possible and without packet losses
- 802.11 networks use fixed access nodes that usually communicate with each other over wired links.
- Access node with which a terminal needs to re-associate, therefore takes time and the handover experiences a delay.
- the IEEE 802. RF standard shows handover mechanisms in 802.11 networks and is documented in the IEEE Trial Use Recommended Practice for Multi-Vendor Access Point
- the 802.21 standard concerns communication and
- FIG. 2 schematically shows a communication in a handover process according to the IEEE 802. Ilr standard
- Each access node calculates after its initials
- This access node MAPI is also called PMK-R0 keyholder.
- the PMK-RO key is then used to derive a so-called PMK-RI key, which forms the basis for protecting communication with the PMK-RO key
- Access node MAP2 forms.
- the new mesh-capable access node MAP2 receives a
- the new access node MAP2 establishes a service using the mobility domain controller MDC in a step SO
- the access node MAPI forwards the PMK-RO key in a step S3 PMK-Rl key and sends in a step S4 the PMK-Rl key to the new access node MAP2.
- the new access node MAP2 then sends an authentication response to the terminal in a step S5, followed by the terminal in a step S6 with the new
- the object of the invention is the speed
- the invention relates to a network access node for a wirelessly integrated into the network terminal, comprising:
- a memory device having at least a first key and address codes of second access nodes for the terminal in the network
- processors having functions for:
- Terminal and the second access node, from the first key e) secure association of the terminal under
- Access node through the data communication device with addressing by the address codes over secure connections.
- the second keys further comprise the key used for step e).
- the first key is a PMK-R0 key and the second keys are PMK-Rl keys.
- the invention thus enables distribution of second keys such as PMK-Rl keys to adjacent ones
- Access node of the network access node or even all access nodes with a shared with the network access node mobility domain no additional delay is caused by the
- the network access node is advantageously a node of a Meshnet zwerks.
- the second key may be proprietary features of the
- Encoding terminal in particular a MAC address.
- the first and second keys are in particular pairwise symmetric keys, eg PMK-R0 and PMK-Rl keys.
- the address codes are in particular address codes of all
- Access nodes having a common mobility domain with the network access node.
- the address codes can also address codes of second
- Second keys can thus be distributed to neighbors of the network access node so that the PMK-Rl keys are distributed to neighboring ones
- Access node of the network access node is advantageously caused a relatively low bandwidth requirement.
- the number of second keys to be derived and distributed is thus relatively small for the network access node.
- the sending of PMK-Rl keys could, for example, be realized by means of EAPOL key frames.
- the actual frame format for key exchange is not part of the IEEE 802.11r standard.
- Mobility domain becomes in a Meshnetzwerk when using a reactive or hybrid routing protocol
- the network access node While the terminal is active in a mobility domain, the network access node according to the invention distributes
- An inventive meshnetwork includes
- At least one network access node according to the invention and a plurality, in particular more than 3, in particular more than 4, in particular more than 9 of the second
- the network according to the invention is constructed by secure connections under the network access nodes and second access nodes, optionally via the forwarding nodes, and has secure connections to at least one, preferably a mobility domain controller and at least one, preferably an authentication server.
- a mobility domain controller and at least one, preferably an authentication server.
- the network access node according to the invention, the cluster is defined in particular such that between the
- Network access node and every second access node with a radio cell in the cluster a connection over a maximum of three, in particular a maximum of two, in particular a maximum of one node is constructed.
- Access nodes can according to the invention
- the network For sending at least some of the second keys, the network preferably has a function for
- a network access node according to the invention as a PMK-R0 keyholder can then be provided with functions to determine neighboring access nodes by means of a metric to be defined and send them their PMK-RI key, which functions are executed specifically after each handover procedure also neighbors of a new access node in the case of one
- Access node functionality also called forwarders, forward data to improve connectivity in the network, especially the mesh network.
- Maximum numbers for the number of hops can be adjusted to increase the number of hops in the network
- network access nodes do not communicate with each other directly wirelessly, i. if a client is in the middle between two access nodes and sees both, but the access nodes are not each other.
- the network according to the invention has connections under access nodes of the network with security relationships.
- Authentication server and / or the mobility domain controller to be trained, especially in smaller mesh networks hardware resources such as a
- Key management can be optimized depending on a scenario in the network.
- FIG. 1 schematically illustrates a network access node
- FIG. 2 schematically illustrates communication in a handover process in accordance with the IEEE 802. Ilr standard
- FIG. Fig. 3 schematically illustrates a communication according to the invention
- Fig. 4 illustrates a network of the invention in connection with a terminal.
- a processor 3 via a bus 4 with a memory device 1 and a
- Storage means stores a PMK-RO key and address codes of second access nodes MAP2, MAPn of a network with the network access node.
- Fig. 4 shows a mesh network of the invention in connection with a terminal STA. The network has five mesh-ready access nodes MAPI, MAP2, MAP3, MAP4, MAP5 and three
- FIG. 3 illustrates the communication in the network shown in FIG.
- the station STA is initially authenticated via the access node MAPI, where this forwards the authentication information to the authentication server AS.
- the access node MAPI the access node
- the initial network access node MAPI In its function as a PMK-R0 keyholder, the initial network access node MAPI locally stores the PMK-RO key in its memory device 1.
- the network access node MAPI derives four further PMK-Rl keys for the access nodes MAP3, MAP2, MAP4 and MAP5 directly after the authentication of the STA.
- the PMK-Rl key forms the basis for the protection of the communication relationship between the initial network access node MAPI and now with the
- Mobility Domain Controller MDC Establishing a security relationship with all these access nodes using the Mobility Domain Controller MDC will transfer MAPI's PMK-RI keys to the
- Access node MAP4 initiates, this already has the appropriate PMK-Rl key.
- the new access node MAP4 can thus handle the handover without further
- the steps are carried out: 512 deriving further PMK-Rl keys through the initial network access node MAPI and
- the initial network access node does not transmit the PMK-Rl key of station STA to all other active ones after the initial authentication
- Access node of the mobility domain but only to
- the initial access node MAPI calculates the PMK-Rl key directly after the initial authentication of the station STA, for example for the adjacent access nodes MAP3 and MAP4 and transmits them to them.
- a later handover of the station to the new access node MAP4 can be carried out without further communication with the MDC and the PMK-R0 keyholder.
- the access node MAPI as the PMK-RO keyholder must be notified so that it can derive another PMK-RI key and distribute it to further access nodes adjacent to the new access node MAP4.
- these are the access nodes MAP2 and MAP5.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Netzwerkzugangsknoten (MAP1) für ein drahtlos in das Netzwerk eingebundenes Endgerät (STA), umfassend: a) eine Speichereinrichtung (1) mit wenigstens einem ersten Schlüssel und Adresscodes zweiter Zugangsknoten (MAP2,..., MAPn) für das Endgerät (STA), b) wenigstens eine Datenkommunikationseinrichtung (2) zum Datenaustausch mit den zweiten Zugangsknoten, c) in Verbindung stehend mit der Speichereinrichtung (1) und der Datenkommunikationseinrichtung (2), einen Prozessor (3) mit Funktionen zum: d) Ableiten zweiter Schlüssel, darunter zweiter Schlüssel zur Sicherung der Verbindung zwischen dem Endgerät (STA) und den zweiten Zugangsknoten, aus dem ersten Schlüssel, e) gesicherten Assoziieren des Endgeräts unter Verwendung eines aus dem ersten Schlüssel abgeleiteten Schlüssels, f ) in Erwiderung auf die Ausführung von Funktion d), Versenden der zweiten Schlüssel zur Sicherung der Verbindung zwischen dem Endgerät (STA) und den zweiten Zugangsknoten durch die Datenkommunikationseinrichtung über gesicherte Verbindungen und mit Adressierung durch die Adresscodes, dadurch gekennzeichnet, dass die zweiten Schlüssel weiterhin den für Schritt e) verwendeten Schlüssel umfassen.
Description
Netzwerkzugangsknoten mit Schlüsselverteilerfunktion
Beschreibung Die Erfindung betrifft einen Netzwerkzugangsknoten für ein drahtlos in das Netzwerk eingebundenes Endgerät, ein Netzwerk, das wenigstens einen dieser
Netzwerkzugangsknoten umfasst, ein Verfahren zur
Vorbereitung eines Handover-Vorgangs in diesem Netzwerk, ein Verfahren zur Konfiguration einer Ausgestaltung dieses Netzwerks und ein Computerprogramm mit Anweisungen entsprechend der erfindungsgemäßen Verfahren.
Die Erfindung kann verwendet werden in einer Voice-over- IP-Anwendung und einer Video-on-Demand-Anwendung,
insbesondere in einem lokalen Netzwerk, insbesondere LAN. Die Erfindung kann speziell in Meshnetzen verwendet werden . Drahtlose Netze finden im Heim- und Office-Bereich zunehmend Verbreitung. Ein grundlegender Standard für solche Netze ist der IEEE 802.11-Standard . Meshnetze sind drahtlose Netze mit flexibler Topologie. Meshfähige
Knoten eines Meshnetzes weisen Merkmale zur Erkennung von Topologie-Änderungen oder zum Aufbau von Fallback-Routen auf .
Für das Internet sind Echt Zeitanwendungen wie z.B. Voice- over-IP (VoIP) oder Video-on-Demand (VoD) bekannt.
Endpunkte einer Echt zeit kommunikation sind gewöhnlich so
genannte „Stations" oder „Clients", d.h. nicht meshfähige Endgeräte .
Zur Einbindung in ein Meshnetz müssen sich diese
Endgeräte mit Zugangsknoten des Meshnetzes assoziieren. In Erwiderung auf Topologieänderungen des Meshnetzes oder Bewegungen eines Endgeräts über mehrere Funkzellen der Zugangsknoten des Meshnetzes sind dabei Handover-Vorgänge vorgesehen, in denen sich das mit einem Zugangsknoten assoziierte Endgerät mit einem weiteren Zugangsknoten des Meshnetzes neu assoziiert.
Die Geschwindigkeit der Handover-Vorgänge ist speziell für Echt zeitanwendungen entscheidend für Qualität und Ausführbarkeit solcher Echtzeitanwendungen unter Einsatz drahtloser Verbindungen. Um nicht meshfähigen Endgeräten Echtzeitfähigkeit zu ermöglichen, sollen Handover- Vorgänge daher von einem Zugangsknoten zu einem anderen möglichst verzögerungsfrei und ohne Paketverluste
ablaufen.
802.11-Netze arbeiten mit stationären Zugangsknoten, die gewöhnlich über drahtgebundene Verbindungen miteinander kommunizieren .
In Meshnetzen ist die Kommunikation zur
Schlüsselverteilung zwischen den Zugangsknoten aufgrund der drahtlosen Übertragung unzuverlässiger als bei drahtgebundener Kommunikation und weist aufgrund der Multihop-Kommunikation eine erhöhte Verzögerung auf. Dies resultiert in langsameren Handover-Vorgängen in
Meshnet zen . Aufgrund der Mobilität sowohl von Meshknoten als auch von Endgeräten bzw. Stationen finden Handover- Vorgänge in Meshnetzen außerdem häufiger statt. Sowohl die Mobilität von Meshknoten als auch von Endgeräten kann zu einer erhöhten Anzahl an Handover-Vorgängen führen. In Meshnetzen betreiben Zugangsknoten über ein drahtloses Medium eine fehleranfällige Kommunikation, die zusätzlich meist über mehrere drahtlose Hops durchgeführt wird. Eine Anforderung eines PMK-Rl-Schlüssels durch einen
Zugangsknoten, mit dem sich ein Endgerät neu assoziieren muss, benötigt daher Zeit und der Handover erfährt eine Verzögerung .
Der IEEE 802. HF-Standard zeigt Handover-Mechanismen in 802.11-Netzen und ist dokumentiert in IEEE Trial-Use Recommended Practice for Multi-Vendor Access Point
Interoperability via an Inter-Access Point Protocol
Across Distribution Systems Supporting IEEE 802.11
Operation, 2003. Er enthält keine Mechanismen zur
Optimierung eines Handover-Vorgangs.
Der 802.21-Standard betrifft die Kommunikation und
Durchführung eines Handover-Vorgangs zwischen heterogenen Netzen und ist dokumentiert in Standard for Media
Independent Handover Services, IEEE Computer
Society/Local and Metropolitan Area Networks, Draft
802.21-Standard, 2004.
Eine Beschleunigung der Authentifizierung nach Einleitung eines Handovers zeigt Bruce McMurdo, Cisco Fast Secure Roaming, 2004.
Zur Beschleunigung von Handover-Vorgängen ist die Nutzung mehrerer Interfaces gezeigt in Catherine Rosenberg, Edwin K.P. Chong, Hosame Abu-Amara, Jeongjoon Lee, Efficient Roaming over Heterogeneous Wireless Networks, Proceedings of NCG Wireless Networking Symposium, 2003. Dazu wird eine Authentifizierung mit dem neuen Zugangsknoten bereits durchgeführt, während die Station über das zweite Interface noch mit dem alten Zugangsknoten verbunden ist.
Eine Standardisierung für schnelle Handover-Vorgänge in drahtlosen 802.11-Netzen ist gezeigt in Draft Amendment to Standard for Information Technology - Telecommunications and Information Exchange between
Systems - LAN/MAN Specific Requirements - Part 11:
Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications : Amendment 2: Fast BSS
Transition, D2.0, March 2006. Zur Optimierung von Handover-Vorgängen wird gemäß dem IEEE 802. llr-Standard in drahtlosen 802.11-Netzen eine spezielle Schlüsselhierarchie genutzt. Diese
standardisierte Variante der Schlüsselverteilung ist derart, dass eine Sicherheitsbeziehung mit dem PMK-R0- Keyholder zuerst beim Mobility Domain Controller (MDC) angefordert werden muss, bevor ein PMK-Rl-Schlüssel für den Handover-Vorgang übermittelt werden kann. Dies verzögert den Handover-Vorgang.
In Fig. 2 ist schematisch eine Kommunikation in einem Handover-Vorgang gemäß dem IEEE 802. Ilr-Standard
veranschaulicht . Jeder Zugangsknoten berechnet nach seiner initialen
Anmeldung innerhalb einer Mobility Domain einen PMK-R0- Schlüssel. Er etabliert mit Hilfe eines Mobility Domain Controllers MDC eine Sicherheitsbeziehung mit einem PMK- RO-Keyholder . Dieser wird nach erfolgreicher
Authentifizierung vom ausgehandelten Master Key
abgeleitet und ist auf dem Zugangsknoten MAPI, an dem sich der neue Zugangsknoten MAP2 erstmals anmeldet, gespeichert. Dieser Zugangsknoten MAPI wird auch PMK-R0- Keyholder genannt. Vom PMK-RO-Schlüssel wird anschließend ein so genannter PMK-Rl-Schlüssel abgeleitet, welcher die Basis für den Schutz der Kommunikation mit dem
Zugangsknoten MAP2 bildet.
Der neue meshfähige Zugangsknoten MAP2 erhält einen
Authentication Request von dem Endgerät STA, wodurch der Handover-Vorgang eingeleitet wird. Leitet das Endgerät STA in einem Schritt Sl den Handover-Vorgang ein, so etabliert der neue Zugangsknoten MAP2 in einem Schritt SO mit Hilfe des Mobility Domain Controllers MDC eine
Sicherheitsbeziehung mit dem Zugangsknoten MAPI, welcher PMK-RO-Keyholder ist. Bei diesem fordert er in einem Schritt S2 einen „eigenen" PMK-Rl-Schlüssel an, welcher als Grundlage für den Schutz der neuen
Kommunikationsbeziehung zwischen Endgerät STA und neuem Zugangsknoten MAP2 dient. Dazu leitet der Zugangsknoten MAPI in einem Schritt S3 von dem PMK-RO-Schlüssel den
PMK-Rl-Schlüssel ab und versendet in einem Schritt S4 den PMK-Rl-Schlüssel an den neuen Zugangsknoten MAP2. Der neue Zugangsknoten MAP2 versendet dann in einem Schritt S5 eine Authentifizierungsantwort an das Endgerät, worauf sich das Endgerät in einem Schritt S6 mit dem neuen
Zugangsknoten MAP2 assoziiert, damit der Handover-Vorgang ohne eine erneute Authentifizierung des Endgeräts
erfolgreich beendet werden kann.
Aufgabe der Erfindung ist es, die Geschwindigkeit
und/oder Qualität eines Handover-Vorgangs zwischen ersten und zweiten bzw. neuen Zugangsknoten für ein drahtlos in das Netzwerk eingebundenes Endgerät zu verbessern.
Die Erfindung betrifft dazu einen Netzwerkzugangsknoten für ein drahtlos in das Netzwerk eingebundenes Endgerät, umfassend:
a) eine Speichereinrichtung mit wenigstens einem ersten Schlüssel und Adresscodes zweiter Zugangsknoten für das Endgerät in dem Netzwerk,
b) wenigstens eine Datenkommunikationseinrichtung zum Datenaustausch mit den zweiten Zugangsknoten,
c) in Verbindung stehend mit der Speichereinrichtung und der Datenkommunikationseinrichtung, einen oder mehrere Prozessor (en) mit Funktionen zum:
d) Ableiten zweiter Schlüssel, darunter zweiter
Schlüssel zur Sicherung der Verbindung zwischen dem
Endgerät und den zweiten Zugangsknoten, aus dem ersten Schlüssel,
e) gesicherten Assoziieren des Endgeräts unter
Verwendung eines aus dem ersten Schlüssel abgeleiteten Schlüssels,
f ) in Erwiderung auf die Ausführung von Funktion d) , Versenden der zweiten Schlüssel zur Sicherung der
Verbindung zwischen dem Endgerät und den zweiten
Zugangsknoten durch die Datenkommunikationseinrichtung mit Adressierung durch die Adresscodes über gesicherte Verbindungen .
Erfindungsgemäß umfassen die zweiten Schlüssel weiterhin den für Schritt e) verwendeten Schlüssel.
Dabei ist vorzugsweise der erste Schlüssel ein PMK-R0- Schlüssel und die zweiten Schlüssel sind PMK-Rl-Schlüssel .
Die Erfindung ermöglicht damit Verteilung von zweiten Schlüsseln wie PMK-Rl-Schlüsseln an benachbarte
Zugangsknoten des Netzwerkzugangsknotens oder auch aller Zugangsknoten mit einer mit dem Netzwerkzugangsknoten gemeinsamen Mobility Domain. Somit wird im Falle eines Handovers keine zusätzliche Verzögerung durch die
Anforderung der benötigten Schlüssel erzeugt. Der Netzwerkzugangsknoten ist vorteilhaft ein Knoten eines Meshnet zwerks .
Der zweite Schlüssel kann proprietäre Merkmale des
Endgeräts, insbesondere eine MAC-Adresse codieren.
Die ersten und zweiten Schlüssel sind insbesondere paarweise symmetrische Schlüssel, z.B. PMK-R0- und PMK- Rl-Schlüssel . Die Adresscodes sind insbesondere Adresscodes aller
Zugangsknoten, die eine gemeinsame Mobility Domain mit dem Netzwerkzugangsknoten haben.
Die Adresscodes können auch Adresscodes von zweiten
Zugangsknoten sein, deren Funkzellen mit einer Funkzelle des Netzwerkzugangsknotens für einen Teil des Netzwerks ein Cluster bilden. Zweite Schlüssel können so gezielt an Nachbarn des Netzwerkzugangsknotens verteilt werden Bei Verteilung der PMK-Rl-Schlüssel an benachbarte
Zugangsknoten des Netzwerkzugangsknotens wird vorteilhaft ein relativ geringer Bandbreitenbedarf verursacht. Die Anzahl der abzuleitenden und zu verteilenden zweiten Schlüssel ist damit für den Netzwerkzugangsknoten relativ gering.
Das Versenden der PMK-Rl-Schlüssel könnte beispielsweise mit Hilfe von EAPOL-Key Frames realisiert werden. Das konkrete Rahmenformat für den Austausch der Schlüssel ist nicht Teil des IEEE 802. llr-Standards .
Bei Verteilung der PMK-Rl-Schlüssel an alle Zugangsknoten mit einer mit dem Netzwerkzugangsknoten gemeinsamen
Mobility Domain wird in einem Meshnetzwerk bei Einsatz eines reaktiven bzw. hybriden Routingprotokolls
vorteilhaft für die Verteilung der PMK-Rl-Schlüssel kein
nicht zu vernachlässigender Routing-Overhead ausgelöst und wenig Rechenaufwand zur Erzeugung von Schlüsseln für alle Zugangsknoten einer Mobility Domain verursacht. Während das Endgerät in einer Mobility Domain aktiv ist, verteilt der erfindungsgemäße Netzwerkzugangsknoten
gegebenenfalls zusätzlich einen Teil der abgeleiteten zweiten Schlüssel noch neu an in die Mobililty Domain hinzukommende Zugangsknoten und aktualisiert die
Adresscodes in seiner Speichereinrichtung. Dazu kann in dem Netzwerk eine diesem Vorgang angepasste Kommunikation zwischen einem Authentifizierungsserver und dem
Netzwerkzugangsknoten dienen. Ein erfindungsgemäßes Meshnetzwerk, umfasst
wenigstens einen erfindungsgemäßen Netzwerkszugangsknoten und eine Vielzahl, insbesondere mehr als 3, insbesondere mehr als 4, insbesondere mehr als 9 der zweiten
Zugangsknoten,
gegebenenfalls Weiterleitungsknoten ohne
Netzwerkzugangsfunktion für das Endgerät.
Das erfindungsgemäße Netzwerk ist dabei durch gesicherte Verbindungen unter den Netzwerkszugangsknoten und zweiten Zugangsknoten, gegebenenfalls über die Weiterleitungsknoten, aufgebaut und weist gesicherte Verbindungen zu wenigstens einem, vorzugsweise einem Mobility Domain Controller und wenigstens einem, vorzugsweise einem Authentifizierungsserver auf .
In dem erfindungsgemäßen Meshnetzwerk mit dem
erfindungsgemäßen Netzwerkszugangsknoten ist das Cluster insbesondere derart definiert, dass zwischen dem
Netzwerkszugangsknoten und jedem zweiten Zugangsknoten mit einer Funkzelle in dem Cluster eine Verbindung über maximal drei, insbesondere maximal zwei, insbesondere maximal einen Knoten aufgebaut ist.
Wenigstens ein Teil, insbesondere alle der zweiten
Zugangsknoten können erfindungsgemäße
Netzwerkzugangsknoten sein.
Zum Versand wenigstens einiger der zweiten Schlüssel hat das Netzwerk vorzugsweise eine Funktion zur
g) Neudefinition des Clusters in Erwiderung auf eine Ausführung der Assoziierung des Endgeräts mit dem Netzwerkzugangsknoten durch Aktualisierung der
Adresscodes in dem Netzwerkzugangsknoten.
Ein erfindungsgemäßer Netzwerkszugangsknoten als PMK-R0- Keyholder kann dann mit Funktionen versehen sein, um mittels einer zu definierenden Metrik ihm benachbarte Zugangsknoten zu ermitteln und diesen ihren PMK-Rl- Schlüssel zu senden, welche Funktionen speziell nach jedem Handover-Vorgang ausgeführt werden, damit auch Nachbarn eines neuen Zugangsknotens im Fall eines
weiteren Handovers über die PMK-Rl-Schlüssel verfügen und dadurch die Verzögerung minimieren können. Ein Beispiel für eine solche Nachbarschafts-Metrik ist dann derart, dass alle Zugangsknoten, die im Netzwerk nicht mehr als ein Hop vom am Handover-Vorgang beteiligten
Netzwerkszugangsknoten entfernt sind, als Nachbarn definiert sind. Weitere sinnvolle Maximalwerte für die Anzahl der Hops sind z.B. zwei oder drei.
In dem erfindungsgemäßen Netzwerk können die
Weiterleitungsknoten, d.h. Mesh-Knoten ohne
Zugangsknotenfunktionalität, auch Forwarder genannt, Daten weiterleiten, um die Konnektivität im Netzwerk, insbesondere Meshnetzwerk, zu verbessern. Maximalwerte für die Anzahl der Hops können der Erhöhung der Anzahl von Hops angepasst sein, die im Netzwerk durch die
Gegenwart von Weiterleitungsknoten zwischen Zugangsknoten verursacht wird.
Maximalwerte für die Anzahl der Hops können einer
Situation angepasst sein, in der das Endgerät mit zwei Netzwerkzugangsknoten kommunizieren kann, diese
Netzwerkzugangsknoten jedoch untereinander nicht direkt drahtlos kommunizieren, d.h. wenn ein Client sich in der Mitte zwischen zwei Zugangsknoten befindet und beide sieht, aber die Zugangsknoten sich gegenseitig nicht.
Erfindungsgemäße Verfahren ergeben sich durch Ausführung der oben beschriebenen Funktionen von erfindungsgemäßen Netzwerkzugangsknoten und/oder Netzwerken. Speziell sind erfindungsgemäße Verfahren in den Verfahrensansprüchen definiert .
Das erfindungsgemäße Netzwerk hat Verbindungen unter Zugangsknoten des Netzwerks mit Sicherheitsbeziehungen. In einer Ausführung kann wenigstens ein
Netzwerkzugangsknoten in dem erfindungsgemäßen Netzwerk auch als Knoten mit Funktionen des
Authentifizierungsservers und/oder des Mobility Domain Controllers ausgebildet sein, um vor allem in kleineren Meshnetzen Hardwareressourcen wie einen
Authentifizierungsserver zu sparen und stattdessen einen ausgezeichneten Knoten vorzusehen.
Die durch die Erfindung ermöglichten
Schlüsselverteilungsstrategien sind den besonderen
Eigenschaften von Meshnetzen im Vergleich zu 802.11- Netzen angepasst, wobei Verzögerungen bei der Anforderung des für einen Handover-Vorgang benötigten PMK-Rl- Schlüssels reduziert sind. Dadurch können Handover- Vorgänge in Meshnetzen beschleunigt und
Echt Zeitanwendungen, wie z.B. Voice-over-IP, besser unterstützt werden. Schlüsselverteilung und
Schlüsselverwaltung können abhängig von einem Szenario im Netzwerk optimiert werden.
Aspekte und beispielhafte Ausführungen der Erfindung werden nachfolgend unter Bezugnahme auf die Figuren beschrieben, in denen: Fig. 1 einen Netzwerkzugangsknoten schematisch
veranschaulicht ;
Fig. 2 schematisch eine Kommunikation in einem Handover- Vorgang gemäß dem IEEE 802. Ilr-Standard veranschaulicht;
Fig. 3 schematisch eine Kommunikation gemäß der Erfindung veranschaulicht;
Fig. 4 ein Netzwerk der Erfindung in Verbindung mit einem Endgerät veranschaulicht.
Bei dem in Fig. 1 dargestellten Netzwerkzugangsknoten der Erfindung ist ein Prozessor 3 über einen BUS 4 mit einer Speichereinrichtung 1 und einer
Datenkommunikationseinrichtung 2 verbunden. Die
Speichereinrichtung speichert einen PMK-RO-Schlüssel und Adresscodes zweiter Zugangsknoten MAP2, MAPn eines Netzwerks mit dem Netzwerkzugangsknoten. Fig. 4 zeigt ein Meshnetzwerk der Erfindung in Verbindung mit einem Endgerät STA. Das Netzwerk hat fünf meshfähige Zugangsknoten MAPI, MAP2, MAP3, MAP4, MAP5 und drei
Weiterleitungsknoten MP1, MP2, MP3, einen
Authentifizierungsserver AS und einen Mobility Domain Controller MDC . Mit dem Netzwerk steht eine nicht
meshfähige mobile Station als Endgerät STA in
Verbindung .
Fig. 3 veranschaulicht die Kommunikation in dem in Fig. 4 gezeigten Netzwerk.
Alle meshfähigen Zugangsknoten MAPI, MAP2, MAP3, MAP4, MAP5 haben sich bereits beim Authentifizierungsserver AS authentifiziert und daher aktiver Bestandteil des
gezeigten Meshnetzes. Die Station STA authentifiziert sich initial über den Zugangsknoten MAPI, wobei
dieser die Authentifizierungsinformationen an den Authentifizierungsserver AS weiterleitet. Der
Authentifizierungsserver AS führt die
Überprüfung der Zugangsberechtigung durch und generiert bei erfolgreicher Authentifizierung einen
Masterschlüssel. Diesen übermittelt er anschließend an den initialen Zugangsknoten MAPI, der daraus den PMK-R0- Schlüssel ableitet. In seiner Funktion als PMK-R0- Keyholder speichert der initiale Netzwerkzugangsknoten MAPI den PMK-RO-Schlüssel in seiner Speichereinrichtung 1 lokal. Der Netzwerkzugangsknoten MAPI leitet direkt nach der Authentifizierung der STA vier weitere PMK-Rl- Schlüssel für die Zugangsknoten MAP3, MAP2, MAP4 und MAP5 ab. Der PMK-Rl-Schlüssel bildet die Grundlage für den Schutz der Kommunikationsbeziehung zwischen dem initialen Netzwerkzugangsknoten MAPI und der nun mit dem
Meshnetzwerk assoziierten Station STA. Nach der
Etablierung einer Sicherheitsbeziehung mit all diesen Zugangsknoten mit Hilfe des Mobility Domain Controllers MDC werden die PMK-Rl-Schlüssel von MAPI an die
jeweiligen Zugangsknoten MAP3, MAP2, MAP4 und MAP5 übermittelt. Falls die Station zu einem späteren
Zeitpunkt einen Handover-Vorgang, z.B. zum neuen
Zugangsknoten MAP4, einleitet, besitzt dieser bereits den passenden PMK-Rl-Schlüssel. Der neue Zugangsknoten MAP4 kann den Handover-Vorgang dadurch ohne weitere
Kommunikation mit dem Mobility Domain Controller MDC und dem Netzwerkzugangsknoten als PMK-RO-Keyholder MAPI durchführen .
In dem in Fig. 4 veranschaulichten Netzwerk ist entsprechend ein in Fig. 3 veranschaulichtes Verfahren vorgesehen mit den Schritten:
510 Etablierung von Sicherheitsbeziehungen unter dem initialen Netzwerkzugangsknoten MAPI und allen weiteren Zugangsknoten MAP2, MAP3 , MAP4 , MAP5, deren Adresscodes vom Mobility Domain Controller MDC empfangen und in der Speichereinrichtung 1 des initialen Netzwerkknotens MAPI gespeichert werden, wobei die Zugangsknoten MAPI, MAP2, MAP3, MAP4, MAP5 bei dem Authentifizierungsserver AS authentifiziert sind,
511 Authentifizierung des Endgeräts STA an dem initialen Netzwerkzugangsknoten MAPI eingeleitet ist unter
Ausführung der Schritte:
- Versand von Authentifizierungsinformationen von dem Endgerät über den initialen Netzwerkzugangsknoten MAPI an den Authentifizierungsserver AS,
Verifizierung der Authentifizierungsinformationen durch den Authentifizierungsserver AS und darauf folgende Generierung des Masterschlüssels,
Versand des Masterschlüssels an den initialen
Netzwerkzugangsknoten MAPI,
Ableitung des PMK-RO-Schlüssels aus dem
Masterschlüssel durch den initialen Netzwerkknoten (MAPI) und Speichern des ersten Schlüssels in der
Speichereinrichtung 1 des initialen
Net zwerkzugangs knotens ,
Nach Ableiten eines PMK-Rl-Schlüssels aus dem PMK-R0- Schlüssel für das Endgerät STA und damit gesichertem Assoziieren des Endgeräts erfolgen die Schritte:
512 Ableiten weiterer PMK-Rl-Schlüssel durch den initialen Netzwerkzugangsknoten MAPI und
513 Versenden der weiteren PMK-Rl-Schlüssel an
wenigstens die Zugangspunkte MAP2, MAP3, MAP4, MAP5.
Alternativ übermittelt der initiale Netzwerkzugangsknoten die PMK-Rl-Schlüssel der Station STA nach der initialen Authentifizierung nicht an alle anderen aktiven
Zugangsknoten der Mobility Domain, sondern nur an
benachbarte Zugangsknoten, die z.B. maximal n Hops von ihm entfernt sind, wobei n 1 bis 3, vorzugsweise 2 ist. Der initiale Zugangsknoten MAPI berechnet dann direkt nach der initialen Authentifizierung der Station STA die PMK-Rl-Schlüssel z.B. für die benachbarten Zugangsknoten MAP3 und MAP4 und übermittelt sie an diese. Auch bei dieser Verteilstrategie kann ein späterer Handover- Vorgang der Station zum neuen Zugangsknoten MAP4 ohne weitere Kommunikation mit dem MDC und dem PMK-R0- Keyholder durchgeführt werden. Im Anschluss an einen erfolgreichen Handover-Vorgang muss der Zugangsknoten MAPI als PMK-RO-Keyholder allerdings benachrichtigt werden, damit dieser weitere PMK-Rl-Schlüssel ableiten und an weitere dem neuen Zugangsknoten MAP4 benachbarte Zugangsknoten verteilen kann. Im obigen Beispiel sind dies die Zugangsknoten MAP2 und MAP5.
Bezugszeichenliste
1 Speichereinrichtung
2 Datenkommunikationseinrichtung
3 Prozessor
4 BUS
AS Authentifizierungsserver
STA Endgerät
MAPI initialer Netzwerkzugangsknoten
MAP2 , ... MAPn zweite Zugangsknoten
MP1, MP2, MP3 Weiterleitungsknoten MDC Mobility Domain Controller
Claims
Netzwerkzugangsknoten (MAPI) für ein drahtlos in das Netzwerk eingebundenes Endgerät (STA) , umfassend:
a) eine Speichereinrichtung (1) mit wenigstens einem ersten Schlüssel und Adresscodes zweiter
Zugangsknoten (MAP2, MAPn) für das Endgerät (STA) in dem Netzwerk,
b) wenigstens eine Datenkommunikationseinrichtung (2) zum Datenaustausch mit den zweiten Zugangsknoten, c) in Verbindung stehend mit der
Speichereinrichtung (1) und der
Datenkommunikationseinrichtung
(2), einen oder
mehrere Prozessor (en)
(3) mit Funktionen zum:
d) Ableiten zweiter Schlüssel, darunter zweiter Schlüssel zur Sicherung der Verbindung zwischen dem Endgerät (STA) und den zweiten Zugangsknoten, aus dem ersten Schlüssel,
e) gesicherten Assoziieren des Endgeräts unter Verwendung eines aus dem ersten Schlüssel
abgeleiteten Schlüssels,
f) in Erwiderung auf die Ausführung von
Funktion d) , Versenden der zweiten Schlüssel zur
Sicherung der Verbindung zwischen dem Endgerät (STA) und den zweiten Zugangsknoten durch die
Datenkommunikationseinrichtung über gesicherte
Verbindungen und mit Adressierung durch die
Adresscodes,
dadurch gekennzeichnet, dass die zweiten
Schlüssel weiterhin den für Schritt e) verwendeten Schlüssel umfassen.
Netzwerkzugangsknoten (MAPI) nach Anspruch 1, dadurch gekennzeichnet, dass der Netzwerkzugangsknoten ein Knoten eines Meshnetzwerks ist.
Netzwerkzugangsknoten (MAPI) nach Anspruch 1, dadurch gekennzeichnet, dass der zweite Schlüssel proprietäre Merkmale des Endgeräts (STA) codiert, insbesondere eine MAC-Adresse.
Netzwerkzugangsknoten (MAPI) nach einem der
vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die ersten und zweiten Schlüssel paarweise symmetrische Schlüssel sind.
Netzwerkzugangsknoten (MAPI) nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass die Adresscodes Adresscodes aller Zugangsknoten in dem Netzwerk sind, die eine gemeinsame Mobility Domain mit dem
Netzwerkzugangsknoten (MAPI) haben.
Netzwerkzugangsknoten (MAPI) nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass die Adresscodes Adresscodes von Zugangsknoten unter den zweiten
Zugangsknoten sind, deren Funkzellen mit einer
Funkzelle des Netzwerkzugangsknotens (MAPI) für einen Teil des Netzwerks ein Cluster bilden.
Netzwerk, umfassend
wenigstens einen Netzwerkszugangsknoten (MAPI) nach einem der vorhergehenden Ansprüche und
eine Vielzahl, insbesondere mehr als 3,
insbesondere mehr als 4, insbesondere mehr als 9 der zweiten Zugangsknoten,
gegebenenfalls Weiterleitungsknoten (MP1, MP2, MP3) ,
wobei das Netzwerk durch gesicherte Verbindungen unter den Netzwerkszugangsknoten und zweiten
Zugangsknoten, gegebenenfalls über die
Weiterleitungsknoten (MP1, MP2, MP3) , aufgebaut ist und gesicherte Verbindungen zu wenigstens einem, vorzugsweise einem Mobility Domain Controller (MDC) und wenigstens einem, vorzugsweise einem
Authentifizierungsserver (AS) aufweist.
Netzwerk nach Anspruch 7, wobei der
Netzwerkszugangsknoten (MAPI) ein
Netzwerkszugangsknoten nach Anspruch 6 ist und das Cluster derart definiert ist, dass zwischen dem
Netzwerkszugangsknoten (MAPI) und jedem zweiten
Zugangsknoten (MAP2,..., MAPn) mit einer Funkzelle in dem Cluster eine Verbindung über maximal drei, insbesondere maximal zwei, insbesondere maximal einen Zugangsknoten aufgebaut ist.
Netzwerk nach Anspruch 7 oder 8, dadurch
gekennzeichnet, dass wenigstens ein Teil,
insbesondere alle der zweiten Zugangsknoten (MAP2,..., MAPn) Netzwerkzugangsknoten nach einem der Ansprüche 1 bis 6 sind.
Netzwerk nach Anspruch 9, umfassend eine Funktion zur g) Neudefinition des Clusters in Erwiderung auf eine Ausführung der Funktion e) in einem
Netzwerkzugangsknoten (MAPI) nach Anspruch 6 durch Aktualisierung der Adresscodes in dem
Netzwerkzugangsknoten .
Verfahren zur Vorbereitung eines Handover-Vorgangs in einem Netzwerk nach einem der Ansprüche 7 bis 10 mit einem initialen Netzwerkknoten (MAPI) nach einem der Ansprüche 2 bis 6,
wobei alle zweiten Zugangsknoten, deren Adresscodes in der Speichereinrichtung (1) des initialen
Netzwerkknotens (MAPI) gespeichert sind, bei dem Authentifizierungsserver authentifiziert sind und eine Authentifizierung des Endgeräts (STA) an dem initialen Netzwerkknoten eingeleitet ist unter Ausführung der Schritte:
- Versand von Authentifizierungsinformationen von dem Endgerät über den initialen Netzwerkknoten an den Authentifizierungsserver (AS) ,
- Verifizierung der Authentifizierungsinformationen durch den Authentifizierungsserver (AS) und darauf folgende Generierung eines
Wurzelschlüsseis ,
- Versand des Wurzelschlüssels an den initialen
Netzwerkknoten (MAPI),
- Ableitung des ersten Schlüssels aus dem
Wurzelschlüssel durch den initialen
Netzwerkknoten (MAPI) und Speichern des ersten Schlüssels in der Speichereinrichtung (1) des initialen Netzwerkknotens,
wobei mit dem initialen Netzwerkknoten (MAPI) die folgenden Schritte ausgeführt werden:
d' ) Ableiten eines zweiten Schlüssels aus dem ersten Schlüssel und
e) gesichertes Assoziieren des Endgeräts unter Verwendung des zweiten Schlüssels, sowie in Erwiderung auf die Ausführung von Schritt d' ) die kennzeichnenden Schritte:
d) Ableiten weiterer zweiter Schlüssel durch den ersten Netzwerkknoten,
f) Versenden der weiteren zweiten Schlüssel an wenigstens einen Teil, insbesondere alle zweiten Zugangsknoten des Netzwerks.
Verfahren nach Anspruch 11, wobei der initiale
Netzwerkknoten (MAPI) ein Netzwerkknoten nach
Anspruch 5 ist und die weiteren zweiten Schlüssel in Schritt f) jeweils an alle Zugangsknoten des
Netzwerks versandt werden, die eine gemeinsame durch den Mobility Domain Controller (MDC) definierte Mobility Domain mit dem initialen Netzwerkknoten haben .
Verfahren nach Anspruch 11, wobei der initiale
Netzwerkknoten (MAPI) ein Netzwerkknoten nach
Anspruch 6 ist und die weiteren zweiten Schlüssel in Schritt f) jeweils an alle zweiten Zugangsknoten
(MAP2,..., MAPn) versandt werden, deren Funkzellen das Cluster ausbilden.
4. Verfahren zur Konfiguration eines Netzwerks nach
Anspruch 10, umfassend die Ausführung des Verfahrens nach Anspruch 13 und gekennzeichnet durch die
Ausführung der Funktion g) .
5. Computerprogramm, gekennzeichnet durch Anweisungen entsprechend einem Verfahren nach einem der Ansprüche 11 bis 14.
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/318,949 US20120284773A1 (en) | 2010-04-26 | 2011-04-15 | Network Access Points in Key Distribution Function |
| CN2011800023991A CN102474522A (zh) | 2010-04-26 | 2011-04-15 | 具有密钥分配功能的网络接入节点 |
| EP11715180A EP2564570A1 (de) | 2010-04-26 | 2011-04-15 | Verfahren und vorrichtungen mit schlüsselverteilerfunktion zur verbesserung von geschwindigkeit und qualität eines handovers |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102010018285.0 | 2010-04-26 | ||
| DE102010018285A DE102010018285A1 (de) | 2010-04-26 | 2010-04-26 | Netzwerkzugangsknoten mit Schlüsselverteilerfunktion |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| WO2011134608A1 WO2011134608A1 (de) | 2011-11-03 |
| WO2011134608A9 true WO2011134608A9 (de) | 2012-04-19 |
Family
ID=44263215
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/EP2011/001932 WO2011134608A1 (de) | 2010-04-26 | 2011-04-15 | Verfahren und vorrichtungen mit schlüsselverteilerfunktion zur verbesserung von geschwindigkeit und qualität eines handovers |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20120284773A1 (de) |
| EP (1) | EP2564570A1 (de) |
| CN (1) | CN102474522A (de) |
| DE (1) | DE102010018285A1 (de) |
| WO (1) | WO2011134608A1 (de) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10212597B2 (en) * | 2013-10-30 | 2019-02-19 | Nec Corporation | Apparatus, system and method for secure direct communication in proximity based services |
| WO2015167462A1 (en) * | 2014-04-29 | 2015-11-05 | Hewlett-Packard Development Company, L.P. | Network re-convergence point |
| WO2017171835A1 (en) * | 2016-03-31 | 2017-10-05 | Ruckus Wireless, Inc. | Key management for fast transitions |
| US10165608B2 (en) * | 2016-06-02 | 2018-12-25 | Cisco Technology, Inc. | System and method to provide fast mobility in a residential Wi-Fi network environment |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7263357B2 (en) * | 2003-01-14 | 2007-08-28 | Samsung Electronics Co., Ltd. | Method for fast roaming in a wireless network |
| US7787627B2 (en) * | 2005-11-30 | 2010-08-31 | Intel Corporation | Methods and apparatus for providing a key management system for wireless communication networks |
| US8948395B2 (en) * | 2006-08-24 | 2015-02-03 | Qualcomm Incorporated | Systems and methods for key management for wireless communications systems |
| US7499547B2 (en) * | 2006-09-07 | 2009-03-03 | Motorola, Inc. | Security authentication and key management within an infrastructure based wireless multi-hop network |
| FR2911036A1 (fr) * | 2006-12-29 | 2008-07-04 | France Telecom | Procede d'itinerance dans un reseau sans fil. |
| US7961684B2 (en) * | 2007-07-13 | 2011-06-14 | Intel Corporation | Fast transitioning resource negotiation |
| US8249256B2 (en) * | 2007-11-06 | 2012-08-21 | Motorola Solutions, Inc. | Method for providing fast secure handoff in a wireless mesh network |
| CN101534238B (zh) * | 2008-03-14 | 2011-06-08 | 华为技术有限公司 | 无线Mesh网络中通知代理更新的方法、节点和系统 |
| US8474023B2 (en) * | 2008-05-30 | 2013-06-25 | Juniper Networks, Inc. | Proactive credential caching |
| JP4465015B2 (ja) * | 2008-06-20 | 2010-05-19 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法 |
-
2010
- 2010-04-26 DE DE102010018285A patent/DE102010018285A1/de not_active Withdrawn
-
2011
- 2011-04-15 CN CN2011800023991A patent/CN102474522A/zh active Pending
- 2011-04-15 WO PCT/EP2011/001932 patent/WO2011134608A1/de active Application Filing
- 2011-04-15 EP EP11715180A patent/EP2564570A1/de not_active Withdrawn
- 2011-04-15 US US13/318,949 patent/US20120284773A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| CN102474522A (zh) | 2012-05-23 |
| DE102010018285A1 (de) | 2011-10-27 |
| EP2564570A1 (de) | 2013-03-06 |
| WO2011134608A1 (de) | 2011-11-03 |
| US20120284773A1 (en) | 2012-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE112005002297B4 (de) | Verfahren und System zum Unterstützen einer schnellen Übergabe von mobilen Teilnehmerstationen in drahtlosen Breitbandnetzen | |
| DE60218289T2 (de) | Verfahren zum speichern und verteilen von verschlüsselungsschlüsseln | |
| DE102006038591B4 (de) | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks | |
| EP1794949B1 (de) | Verfahren zum verteilen von software und konfigurationsdaten sowie entsprechendes datennetz | |
| DE112008001844B4 (de) | Verhandlung über Ressourcen für schnelle Übergänge | |
| DE60030527T2 (de) | Rpcu (radio port control unit) und entsprechendes verfahren | |
| EP3398362A1 (de) | Kommunikationssystem für die Kommunikation in einem Kommunikationsnetzwerk mit Subnetzwerken | |
| EP2239978A1 (de) | Mobilfunksystem und entsprechendes Weiterreichungsverfahren | |
| DE10138718A1 (de) | Verfahren zur Übermittlung von Chiffrierungsinformationen an Teilnehmer einer Multicast-Gruppe | |
| EP1743502A1 (de) | Aufbau von multihop-kommunikationsverbindungen in abhängigkeit von begrenzungswerten | |
| WO2011134608A9 (de) | Verfahren und vorrichtungen mit schlüsselverteilerfunktion zur verbesserung von geschwindigkeit und qualität eines handovers | |
| EP2497248B1 (de) | Verfahren und vorrichtungen mit schlüsselverteilerfunktion zur verbesserung von geschwindigkeit und qualität eines handovers | |
| DE10204624C1 (de) | Verfahren zur Weiterführung einer Kommunikationsverbindung unter Einbeziehung mehrerer Funk-Kommunikationssysteme | |
| WO2008098827A1 (de) | Verfahren und anordnung zum bereitstellen eines drahtlosen mesh-netzwerks | |
| DE102006040313B3 (de) | Verfahren und Anordnung zur automatischen Konfiguration eines lokalen Funknetzwerkes | |
| DE102006054091A1 (de) | Bootstrapping-Verfahren | |
| WO2001039432A2 (de) | Verfahren zur steuerung von funkstationen | |
| DE102007003492B4 (de) | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks | |
| DE60037674T2 (de) | Verfahren und gerät zur durchführung von sicherheitsprozeduren unter einbeziehung von mobilstationen in hybriden, zellularen telekommunikationssystemen | |
| EP3599738B1 (de) | Erstes fahrzeugseitiges endgerät, verfahren zum betreiben des ersten endgeräts, zweites fahrzeugseitiges endgerät und verfahren zum betreiben des zweiten fahrzeugseitigen endgeräts | |
| DE10310522B4 (de) | Verfahren zum unterbrechungsfreien Übertragen von Daten in einem Bluetooth-Kommunikationsnetz | |
| EP2477373B1 (de) | Endpunkte und System zur sicheren Übertragung von Daten zwischen sicheren Netzwerken | |
| DE102004047366A1 (de) | Verfahren zum Verteilen von Daten auf Anforderung sowie entsprechendes Datennetz | |
| EP4064747A1 (de) | Verfahren und datenkommunikationssystem zum selektiven synchronisieren von datenverbindungs-informationen zwischen firewalls eines ip-basierten kernnetzes eines mobilfunknetzes | |
| CH716446B1 (de) | Mobilfunk-Kommunikationsgerät mit zwei zeitgesteuerten integrierten Teilnehmer-Identitätsmodulen. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| WWE | Wipo information: entry into national phase |
Ref document number: 201180002399.1 Country of ref document: CN |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 13318949 Country of ref document: US |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 5002/KOLNP/2011 Country of ref document: IN |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 11715180 Country of ref document: EP Kind code of ref document: A1 |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2011715180 Country of ref document: EP |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |