專利名稱:分布式mesh網絡密鑰管理方法和無線接入點設備的制作方法
技術領域:
本發(fā)明涉及移動通信技術�,特別涉及一種分布式MESH網絡鏈路加密方法和無線 接入點設備����。
背景技術:
符合IEEE802. Ils標準的無線局域網稱為網狀(MESH)網絡。目前�,根據(jù)配置管理 方式和安全策略應用方式的不同�,MESH網絡分為集中控制式和分布式兩種���。在分布式MESH 網絡中,網絡中沒有管理和配置中心�����,每一 MESH網絡無線接入點(Mesh Access Point,MP) 獨立運行���,即每一個MP獨立進行配置�����,獨立應用安全策略�����,獨立轉發(fā)數(shù)據(jù)報文����。分布式 MESH網絡結構的一個具體實施例如圖1所示����,將圖中所示的5個MP分別標記為MP1、MP2��、 MP3、MP4和MP5�����,圖中的點線表示MESH鏈路��,各個MP之間通過MESH鏈路進行通信�。MESH鏈路在傳輸數(shù)據(jù)時采用密鑰對數(shù)據(jù)進行加密,即MESH鏈路的雙方MP分別使 用密鑰對數(shù)據(jù)加解密����,因此密鑰的管理是MESH安全體系中的關鍵部分。MESH網絡中的密 鑰管理方法稱為MESH密鑰分發(fā)者(MESHKey Distributor, MKD)分層密鑰機制���,在這一機 制中存在MKD�����、認證方與被認證方���。MKD是MESH網絡的密鑰生成和分發(fā)者,是MESH網絡的 安全認證中心����。認證方(Authenticator)是建立MESH鏈路時的認證方���,需要在MKD的協(xié)助 下完成認證過程����。能擔當Authenticator的MP必須已經獲得MKD的認證,已經與MKD建立 了安全的通信通道����,這樣的MP也稱為MESH認證方(Mesh Authenticator, ΜΑ)。被認證方 (Supplicant)是建立MESH鏈路時的被認證方���。在一次安全認證過程中��,Supplicant既可 以是未經MKD認證的MP����,也可以是MA���。當被認證方是MA時����,雖然建立MESH鏈路的雙方都 具備MA的資格,但是在本次認證中分任認證方和被認證方的角色�。根據(jù)MKD為MESH網絡劃分MKD域。MKD域通過MKD域身份標識(MKDD-ID)進行標 識�。每一個MKD域中只有一個MKD,并且至少有一個MA��。在同一 MKD域內的MP執(zhí)行相同的 安全認證策略��。目前的實現(xiàn)中��,每個MESH網絡中都只有一個MKD域�����,即單域的MESH網絡�。MESH鏈路的密鑰分為4個層次,圖2為MESH鏈路密鑰分層示意圖�,參見圖2。其中 第一層密鑰為預共享密鑰(PSK)�,從用戶配置的共享式密碼生成,由MKD和被認證方持有���。 第二層密鑰為MKD成對主控密鑰(PMK-MKD)�����,從PSK生成���,由MKD和被認證方持有���,當同一個 MP通過建立多條MESH鏈路加入同一個MKD域時,所對應的PMK-MKD只有一個�����,如果一個MP 在同一個MKD域的不同MESH鏈路認證中得到的PMK-MKD不同��,則該MP認為MESH鏈路安全 出現(xiàn)問題�,因此將當前全部MESH鏈路關閉����。第三層密鑰為MA成對主控密鑰(PMK-MA),從 PMK-MKD生成����,由MKD、認證方和被認證方持有����,與多個認證方建立MESH鏈路時,對應每一個 認證方生成不同的PMK-MA。第四層密鑰為成對臨時密鑰(PTK)����,從PMK-MA生成,由認證方 和被認證方協(xié)商而得���,共同持有���,對于加入某一 MKD域內的某一 MP而言,PTK用于實際MESH 鏈路的加解密�����,不同的MESH鏈路有不同的PTK�����,而且每一鏈路的PTK在超過設定時間之后還 會自動更新����,以降低破解密鑰的概率。認證方和被認證方之間通過4次握手的方式協(xié)商PTK����。其過程是MKD為被認4證方隨機分配一個數(shù)值�����,稱為MESH PTK A隨機數(shù)(MPTK-Anonce)���,每一 MP —次只會分配 一個MPTK-Anonce。然后MKD為被認證方生成對應的PMK-MKD和PMK-MA����,將PMK-MA和 MPTK-Anonce發(fā)送給認證方,通知認證方開始4次握手���,與被認證方協(xié)商對應鏈路的PTK。4 次握手中���,認證方向被認證方發(fā)送第1個報文����,該報文攜帶MPTK-Anonce����,被認證方通過第 1個報文攜帶的MPTK-Anonce計算出PMK-MKD、PMK-MA,并為對應的MESH鏈路隨機分配的 隨機數(shù)�����,稱為MESH PTK S隨機數(shù)(MPTK-Snonce),進而根據(jù)MPTK-Snonce計算出PTK����。與 MPTK-Anonce不同,MP每次生成MPTK-Snonce都不同�,而且在PTK自動更新時也會變化。被 認證方向認證方發(fā)送第2個報文����,該報文攜帶MPTK-Snonce,認證方通過第2個報文攜帶的 MPTK-Snonce計算PTK���。通過第3個和第4個報文���,認證方發(fā)送組播密鑰,并且雙方驗證計 算的PTK的一致性�����,最終認證方和被認證方獲得一致的PTK�。采用上述MESH鏈路密鑰管理方法,在分布式MESH網絡中�����,由于不存在安全認證和 管理中心,每一個MP上都同時存在作為MKD和作為認證方的兩種功能�。在建立MESH連接 時,兩個MP分別為認證方和被認證方�����,這一結構的示意圖如圖3所示��。在圖1所示的分布式 MESH網絡中�����,以MP2與MP3建立MESH連接為例�����,MP2為認證方�,MP3為被認證方��,則位于MP3 上的MKD功能部分作為上述MESH鏈路密鑰管理方法中的MKD��,負責完成對該鏈路的MESH安 全處理���,生成PMK-MKD和PMK-MA�����、分配MPTK-Anonce�����,而MP2上的認證方功能部分則作為上 述MESH鏈路密鑰管理方法中的認證方��,根據(jù)PMK-MA和MPTK-Anonce等���,與MP3協(xié)商和計算 出PTK���。同樣的,如果以MP3與MP5建立MESH鏈路為例���,MP5為認證方��,MP3為被認證方��,則 MP5上的MKD功能部分作為上述MESH鏈路密鑰管理方法中的MKD�,為MP3生成PMK-MKD和 PMK-MA����、分配MPTK-Anonce�。在目前單域MESH網絡的情況下�����,在上述兩次建立MESH鏈路過 程中��,因為MP3��、MP2和MP5位于同一個MKD域中���,因此要求這兩次認證過程中MP3獲得的 PMK-MKD必須相同��,因而要求MP2與MP5為MP3生成的MPTK-Anonce必須相同����。否則����,如果 MP3在同一 MKD域內的不同MESH鏈路認證中收到不同的MPTK-Anonce�����,則MP3認為MKD不 一致,MESH鏈路安全出現(xiàn)問題�����,因此MP3會關閉當前全部MESH鏈路�����。為了保證同一 MP在同 一 MKD域內的不同MESH鏈路認證中收到的MPTK-Anonce相同���,目前分布式MESH網絡在為 被認證方分配MPTK-Anonce時��,以MESH網絡的標識符(MESH ID)和被認證方的物理(MAC) 地址作為MPTK-Anonce生成函數(shù)的種子�����,因為同一個MKD域的MESH ID和某一 MP的MAC地 址均固定不變���,因此MPTK-Anonce固定不變的,同一 MP在同一 MKD域內的不同MESH鏈路認 證中收到的MPTK-Anonce相同�。但是采用上述密鑰管理方法,由于同一個MP加入同一網絡的MPTK-Anonce固定不 變��,并且在上述4次握手協(xié)商PTK的過程中,第1個報文攜帶的MPTK-Anonce并未加密����,因 此同樣的數(shù)值在4次握手的報文中反復出現(xiàn),增大了 MPTK-Anonce被監(jiān)聽和獲取的可能性�, 因而增大了密鑰被破解的可能性,從而降低了 MESH鏈路的安全性�。
發(fā)明內容
本發(fā)明實施例提供一種分布式MESH網絡密鑰管理方法,以增大MESH鏈路密鑰管 理的安全性���。本發(fā)明實施例提供一種MP設備��,以增大MESH鏈路密鑰管理的安全性�。針對第一個目的���,本發(fā)明實施例的技術方案具體是這樣實現(xiàn)的
一種分布式網狀MESH網絡密鑰管理方法�����,包括以下步驟MESH網絡中的無線接入點MP在與其它MP建立MESH鏈路時��,由作為認證方的MP 作為MESH密鑰分發(fā)者MKD��,由該MP和所有以該MP作為認證方的被認證方MP組成一個MKD 域,將MESH網絡劃分成多個MKD域;每個MKD域的MKD分別為本MKD域中作為被認證方的MP分配MESH成對臨時密鑰 A隨機數(shù)MPTK-Anonce���,屬于多個MKD域的MP接收到不同的MPTK-Anonce �����;在每個MKD域中�����,被認證方根據(jù)本MKD域的MKD分配的MPTK-Anonce與本MKD域 的認證方通過4次握手的方式協(xié)商成對臨時密鑰PTK�����。上述方案中���,所述將MESH網絡劃分成多個MKD域之后進一步包括為每個MKD域配置不同的MKD域身份標識MKDD-ID,所述通過4次握手的方式協(xié) 商成對臨時密鑰PTK時�����,每個MKD域內的認證方和被認證方根據(jù)本MKD域的MKDD-ID計算 MKD成對主控密鑰PMK-MKD��。上述方案中����,所述將MESH網絡劃分成多個MKD域之后進一步包括為同一 MESH網絡中的所有MKD域配置相同的MKDD-ID�,所述通過4次握手的方式 協(xié)商成對臨時密鑰PTK時�����,每個MKD域內的認證方和被認證方根據(jù)認證方的指定參數(shù)計算 MKD成對主控密鑰PMK-MKD���。上述方案中����,所述認證方的指定參數(shù)為認證方的物理MAC地址�����。上述方案中����,該方法進一步包括所述MESH網絡中的無線接入點MP在與其它MP建立MESH鏈路時,作為被認證方 的MP在建立每一個初始MESH連接的同時�����,記錄該連接對應的MKD域����;當MP接收到MPTK-Anonce時���,根據(jù)發(fā)送該MPTK-Anonce的認證方MP確定該 MPTK-Anonce 對應的 MKD 域����;如果MP接收到兩個或兩個以上的MPTK-Anonce對應相同的MKD域,則MP斷開在 該MKD域內自身的所有MESH鏈路��;否則�����,不斷開現(xiàn)有的MESH鏈路���。針對第二個目的�,本發(fā)明實施例是這樣實現(xiàn)的一種無線接入點MP設備�,該MP設備包括MKD功能模塊,用于為作為被認證方的MP隨機分配并發(fā)送MPTK-Anonce��,計算生成 PMK-MKD和MA成對主控密鑰PMK-MA并發(fā)送給認證方功能模塊����;認證方功能模塊��,根據(jù)MKD功能模塊發(fā)來的PMK-MKD和PMK-MA與作為被認證方的 MP通過4次握手的方式協(xié)商PTK ����;被認證方功能模塊�,接收作為MKD的MP發(fā)來的MPTK-Anonce,根據(jù)MPTK-Anonce與 作為認證方的MP通過4次握手的方式協(xié)商PTK ��;控制模塊�,確定本MP所在的MKD域以及本MP的角色,如果本MP為認證方���,將本MP 確定為MKD����,將本MP和以本MP為認證方的被認證方MP確定為一個MKD域�����,啟動MKD功能 模塊和認證方功能模塊���;如果本MP為被認證方��,將本MP作為被認證方的認證方MP確定為 MKD,并將該MP和以該MP為認證方的被認證方MP確定為一個MKD域�,啟動被認證方功能模塊。上述方案中�,所述認證方功能模塊或被認證方功能模塊為每個MKD域配置不同的MKDD-ID,所述通過4次握手的方式協(xié)商PTK時��,根據(jù)本MKD域的MKDD-ID計算PMK-MKD���。上述方案中,所述認證方功能模塊或被認證方功能模塊為同一 MESH網絡中的所有MKD域配置 相同的MKDD-ID ��;所述通過4次握手的方式協(xié)商PTK時���,如果所述控制模確定本MP為認證方�����,則所 述認證方功能模塊提供認證方指定參數(shù)并發(fā)送給被認證方�;如果所述控制模確定本MP為 被認證方��,則所述被認證方功能模塊根據(jù)從認證方接收的認證方指定參數(shù)計算PMK-MKD�����。上述方案中�����,所述認證方指定參數(shù)為認證方的MAC地址。上述方案中���,所述被認證方功能模塊在建立每一個初始MESH連接的同時記錄 該連接對應的MKD域����,每當接收到作為MKD的MP發(fā)來的MPTK-Anonce時����,根據(jù)發(fā)送該 MPTK-Anonce的認證方MP確定該MPTK-Anonce對應的MKD域,如果接收到兩個或兩個以上 的MPTK-Anonce對應相同的MKD域���,則斷開在該MKD域內自身的所有MESH鏈路����;否則����,不斷 開現(xiàn)有的MESH鏈路。由上述的技術方案可見����,本發(fā)明以認證方為中心將MESH網絡劃分成多個MKD域�����, 由作為認證方的MP作為MKD�����,由該MP和所有以該MP作為認證方的被認證方MP組成一個 MKD域��,每個MKD域的MKD為本MKD域中的被認證方分配MPTK-Anonce���,被認證方根據(jù)本MKD 域的MKD分配的MPTK-Anonce與本MKD域的認證方通過4次握手的方式協(xié)商PTK�����。由于根據(jù) 認證方將MESH網絡劃分為多個MKD域����,每個MKD域獨立為域內被認證方分配MPTK-Anonce, 因此����,當某個MP作為被認證方加入不同的MKD域時,在不同的MKD域中獲得的MPTK-Anonce 不同���,而在密鑰管理過程中根據(jù)MPTK-Anonce協(xié)商獲得各層密鑰����,因此增加了密鑰管理的 安全性和可靠性,降低了密鑰被破解的概率��。
圖1為分布式MESH網絡結構示意圖�;圖2為MESH鏈路密鑰分層示意圖;圖3為分布式MESH網絡MP功能示意圖���;圖4為本發(fā)明實施例分布式MESH網絡密鑰管理方法流程圖�;圖5為本發(fā)明實施例分布式MESH網絡中多MKD域劃分的示意圖���;圖6為本發(fā)明實施例MP內部結構示意圖��。
具體實施例方式為使本發(fā)明的目的��、技術方案及優(yōu)點更加清楚明白����,以下參照附圖并舉實施例�����,對 本發(fā)明進一步詳細說明。目前的MESH標準中并未限制同一個MESH網絡只能存在一個MKD域��,在本發(fā)明實 施例中�,根據(jù)認證方將MESH網絡劃分成多個MKD域,每個MKD域獨立計算MESH鏈路的各層 密鑰���。采用本發(fā)明實施例提出的劃分多個MKD域的方法�,分布式MESH網絡鏈路密鑰的管 理方法的流程如圖4所示����,具體包括以下步驟步驟401 根據(jù)認證方將MESH網絡劃分成多個MKD域。
本步驟中根據(jù)認證方將MESH網絡劃分成多個MKD域的具體方法是MESH網絡中 的MP在與其它MP建立MESH鏈路時�,由作為認證方的MP作為MKD,由該MP和所有以該MP 作為認證方的被認證方MP組成一個MKD域�����。因此��,按照上述劃分方法�����,同一個MP可以處于 多個MKD域中�����,但只能在其中一個MKD域中擔當MKD角色��,S卩只能在該MP作為認證方的MKD 域中作為MKD��。步驟402 每個MKD域的MKD分別為本MKD域中作為被認證方的MP分配 MPTK-Anonce�。
因此,如果某一個MP在多個MKD域中均作為被認證方��,該MP將會分別接收來自不 同MKD域的多個MPTK-Anonce�����,上述多個MPTK-Anonce可能并不相同�,與現(xiàn)有方法不同的是, 本發(fā)明實施例中該MP在接收到多個不同的MPTK-Anonce時���,不再將所有MESH鏈路斷開�。為 實現(xiàn)MP在收到來自不同的MKD域的不同的MPTK-Anonce時不斷開MESH鏈路�,作為被認證 方的MP在建立每一個初始MESH連接的同時,記錄該連接對應的MKD域�����,每當MP接收到一 個MPTK-Anonce時,根據(jù)發(fā)送該MPTK-Anonce的認證方MP確定該MPTK-Anonce對應的MKD 域�����。當MP接收到多個不同的MPTK-Anonce時��,分別確定每個MPTK-Anonce對應的MKD域����, 如果它們分別對應不同的MKD域,則不斷開現(xiàn)有的MESH鏈路�;如果它們對應同一個MKD域, 則MP斷開在該MKD域內自身的所有MESH鏈路�����。步驟403 在每個MKD域中����,被認證方根據(jù)本MKD域的MKD分配的MPTK-Anonce與 本MKD域的認證方通過4次握手的方式協(xié)商PTK����。此步驟中,認證方與被認證方通過4次握手的方式協(xié)商PTK的方法與背景技術中 所述的相同,在此不再贅述�。如果某一個MP在多個MKD域中均作為被認證方,該MP根據(jù)某 一個MKD域的MKD分配的MPTK-Anonce��,與該MKD域的認證方通過4次握手的方式協(xié)商PTK���, 并且采用同樣的方法完成該MP所在的不同MKD域中的4次握手�。下面以圖1所示的分布式MESH網絡為例���,對圖4所示的分布式MESH網絡鏈路密 鑰管理方法進行詳細說明���。首先,根據(jù)認證方將MESH網絡劃分成多個MKD域��。以圖1所示分布式MESH網路 為例�,對其進行MKD域劃分的示意圖如圖5所示。參見圖5�����,以認證方為中心����,將該網絡劃 分為3個MKD域��,分別標記為MKD域1�、MKD域2和MKD域3���,具體劃分方法為在建立MESH 鏈路時�����,以MP2作為認證方的被認證方包括MPl和MP3���,則MP2為認證方和MKD,由MP2��、MP1 和MP3三者組成MKD域1��。在建立MESH鏈路時�,以MP4作為認證方的被認證方僅包括MP2, 則MP4為認證方和MKD���,由MP4和MP2 二者組成MKD域2���。在建立MESH鏈路時,以MP5為認 證方的被認證方僅包括MP2��,則MP5為認證方和MKD�,由MP5和MP2 二者組成MKD域3。按 照上述多域劃分方法���,MP2位于多個MKD域中��,但只有在MP2作為認證方的MKD域1中作為 MKD��,在其它的MKD域中����,MP2僅作為被認證方����。然后,每個MKD域的MKD分別為本MKD域中作為被認證方的MP分配MPTK-Anonce����。 按照圖5所示進行MKD域劃分的MESH網絡,在MKD域1中��,MP2作為MKD��,為MPl和MP3分 別分配MPTK-Anonce����。在MKD域2和MKD域3中�,MP2作為被認證方����,分別接收MP4和MP5 分配的MPTK-Anonce,因為來自MP4和MP5的MPTK-Anonce屬于不同的MKD域�,因此在本發(fā) 明實施例中當MP2接收到來自MP4和MP5的不同的MPTK-Anonce時,不斷開MESH鏈路����。最后,在進行4次握手協(xié)商PTK時�����,在MKDl域中��,MPl與MP3分別根據(jù)MP2分配8的MPTK-Anonce與MP2通過4次握手的方式協(xié)商PTK�����。在MKD域2中���,MP2根據(jù)MP4分配 的MPTK-Anonce與MP4通過4次握手的方式協(xié)商PTK���。在MKD域3中�����,MP2根據(jù)MP5分配的 MPTK-Anonce與MP5通過4次握手的方式協(xié)商PTK。進一步地����,在采用上述將MESH網絡劃分為多MKD域的鏈路密鑰管理方法的基礎 上,本發(fā)明實施例還提出對多MKD域的MKDD-ID進行更優(yōu)化的改進�����。與現(xiàn)有的密鑰管理方法相同的是�,MKD域通過配置的MKDD-ID進行標識,在MP相 互認證過程中�,通過MP的信標(Beacon)報文和探測O^robe)報文發(fā)送給其它MP。根據(jù) MESH標準802. lls-draftl. 06���,在4次握手協(xié)商PTK過程中的計算PMK-MKD時�����,需要用到 MKDD-ID�。因此,可以為每個MKD域配置不同的MKDD-ID��,也可以采取一種更優(yōu)化的方法���,其 具體如下所述�����。分布式MESH網絡中��,在建立MESH鏈路時�����,通過建立MESH鏈路的雙方MP協(xié)商確定 某個MP擔任認證方或被認證方角色��,并且�,當某一 MP在實際組網中不斷移動時��,對端MP在 不斷變化����,因此該MP所擔任的角色也會不斷變化,因此,如果不同MKD域配置不同MKDD-ID���, 配置工作量巨大���,而且網絡規(guī)模的擴展性差。為此���,本發(fā)明實施例提出��,不區(qū)分MP所屬的 MKD域,為同一 MESH網絡中的所有MP配置相同的MKDD-ID���,在Beacon報文和Probe報文中 對應的MKDD-ID中也填寫該MKDD-ID �;但是�,在實際計算PMK-MKD時,用認證方的指定參數(shù) 替換MKDD-ID進行計算�,一種較優(yōu)的方法是采用認證方的MAC地址作為該指定參數(shù),也可以 采用其它可以認證方的相關參數(shù)作為指定參數(shù)�����。因此�,既不必在每個MP上根據(jù)不同的MKD 域配置大量的MKDD-ID,也能夠實現(xiàn)在多MKD域的劃分的MESH網絡中各個MKD域獨立計算 PMK-MKD,進而獨立計算MESH鏈路的各層密鑰����。采用本發(fā)明所述的劃分多個MKD域的分布式MESH網絡鏈路密鑰的管理方法,需要 相應地對MP進行改進�,本發(fā)明實施例中MP的內部結構如圖6所示。參見圖6���,MP內部包括 MKD功能模塊601����、認證方功能模塊602和被認證方功能模塊603���,在本發(fā)明實施例中����,為實 現(xiàn)多MKD域劃分的MESH網絡鏈路密鑰管理方法��,在MP中加入控制模塊604�。MKD功能模塊601,用于為作為被認證方的MP隨機分配并發(fā)送MPTK-Anonce���,計算 生成PMK-MKD和PMK-MA并發(fā)送給認證方功能模塊602��。認證方功能模塊602�,根據(jù)MKD功能模塊601發(fā)來的PMK-MKD和PMK-MA與作為被 認證方的MP通過4次握手的方式協(xié)商PTK。被認證方功能模塊603���,接收作為MKD的MP發(fā)來的MPTK-Anonce��,確定該 MPTK-Anonce對應的MKD域�,根據(jù)MPTK-Anonce與作為認證方的MP通過4次握手的方式協(xié) 商PTK �����;為實現(xiàn)MP在收到來自不同的MKD域的不同的MPTK-Anonce時不斷開MESH鏈路�����,被 認證方功能模塊603在建立每一個初始MESH連接的同時記錄該連接對應的MKD域�����,每當接 收到一個MPTK-Anonce時�����,根據(jù)發(fā)送該MPTK-Anonce的認證方MP確定該MPTK-Anonce對應 的MKD域�,分別確定每一個MPTK-Anonce對應的MKD域,如果不同的MPTK-Anonce對應不同 的MKD域�,則不斷開現(xiàn)有的MESH鏈路,如果兩個或兩個以上的MPTK-Anonce對應同一個MKD 域����,則斷開本MP在該MKD域內的MESH鏈路?�?刂颇K604�����,確定本MP所在的MKD域以及本MP的角色��,如果本MP為認證方����,將 本MP確定為MKD,將本MP和以本MP為認證方的被認證方MP確定為一個MKD域��,啟動MKD 功能模塊601和認證方功能模塊602 ����;如果本MP為被認證方,將本MP作為被認證方的認證方MP確定為MKD����,并將該MP和以該MP為認證方的被認證方MP確定為一個MKD域�,啟動被 認證方功能模塊603����。由以上實施例可見,本發(fā)明根據(jù)認證方將MESH網絡劃分成多個MKD域��,由作為認 證方的MP作為MKD���,由該MP和所有以該MP作為認證方的被認證方MP組成一個MKD域�����,每 個MKD域的MKD為本MKD域中的被認證方分配MPTK-Anonce�����,被認證方根據(jù)本MKD域的MKD 分配的MPTK-Anonce與本MKD域的認證方通過4次握手的方式協(xié)商PTK。由于根據(jù)認證方 將MESH網絡劃分為多個MKD域��,每個MKD域獨立為域內被認證方分配MPTK-Anonce���,因此�����, 當某個MP作為被認證方加入不同的MKD域時�,在不同的MKD域中獲得的MPTK-Anonce不同, 而在密鑰管理過程中根據(jù)MPTK-Anonce協(xié)商獲得各層密鑰�����,因此增加了密鑰管理的安全性 和可靠性�����,降低了密鑰被破解的概率����。總之����,以上所述僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍����。 凡在本發(fā)明的精神和原則之內,所作的任何修改�����、等同替換、改進等����,均應包含在本發(fā)明的 保護范圍之內。
權利要求
1.一種分布式網狀MESH網絡密鑰管理方法�����,其特征在于����,包括以下步驟MESH網絡中的無線接入點MP在與其它MP建立MESH鏈路時,由作為認證方的MP作為 MESH密鑰分發(fā)者MKD��,由該MP和所有以該MP作為認證方的被認證方MP組成一個MKD域���, 將MESH網絡劃分成多個MKD域��;每個MKD域的MKD分別為本MKD域中作為被認證方的MP分配MESH成對臨時密鑰A隨 機數(shù)MPTK-Anonce���,屬于多個MKD域的MP接收到不同的MPTK-Anonce �;在每個MKD域中�,被認證方根據(jù)本MKD域的MKD分配的MPTK-Anonce與本MKD域的認 證方通過4次握手的方式協(xié)商成對臨時密鑰PTK�����。
2.如權利要求1所述的方法����,其特征在于,所述將MESH網絡劃分成多個MKD域之后進 一步包括為每個MKD域配置不同的MKD域身份標識MKDD-ID�����,所述通過4次握手的方式協(xié)商成對 臨時密鑰PTK時�����,每個MKD域內的認證方和被認證方根據(jù)本MKD域的MKDD-ID計算MKD成 對主控密鑰PMK-MKD���。
3.如權利要求1所述的方法��,其特征在于�,所述將MESH網絡劃分成多個MKD域之后進 一步包括為同一 MESH網絡中的所有MKD域配置相同的MKDD-ID�,所述通過4次握手的方式協(xié)商 成對臨時密鑰PTK時,每個MKD域內的認證方和被認證方根據(jù)認證方的指定參數(shù)計算MKD 成對主控密鑰PMK-MKD。
4.如權利要求3所述的方法�,其特征在于,所述認證方的指定參數(shù)為認證方的物理MAC 地址�����。
5.如權利要求1至4中任意一項所述的方法����,其特征在于,該方法進一步包括所述MESH網絡中的無線接入點MP在與其它MP建立MESH鏈路時�,作為被認證方的MP 在建立每一個初始MESH連接的同時,記錄該連接對應的MKD域��;當MP接收到MPTK-Anonce時�,根據(jù)發(fā)送該MPTK-Anonce的認證方MP確定該 MPTK-Anonce 對應的 MKD 域;如果MP接收到兩個或兩個以上的MPTK-Anonce對應相同的MKD域��,則MP斷開在該MKD 域內自身的所有MESH鏈路���;否則�,不斷開現(xiàn)有的MESH鏈路���。
6.一種無線接入點MP設備�,其特征在于,該MP設備包括MKD功能模塊��,用于為作為被認證方的MP隨機分配并發(fā)送MPTK-Anonce��,計算生成 PMK-MKD和MA成對主控密鑰PMK-MA并發(fā)送給認證方功能模塊�;認證方功能模塊�����,根據(jù)MKD功能模塊發(fā)來的PMK-MKD和PMK-MA與作為被認證方的MP 通過4次握手的方式協(xié)商PTK �����;被認證方功能模塊���,接收作為MKD的MP發(fā)來的MPTK-Anonce���,根據(jù)MPTK-Anonce與作為 認證方的MP通過4次握手的方式協(xié)商PTK ;控制模塊�,確定本MP所在的MKD域以及本MP的角色,如果本MP為認證方����,將本MP確 定為MKD,將本MP和以本MP為認證方的被認證方MP確定為一個MKD域,啟動MKD功能模塊 和認證方功能模塊��;如果本MP為被認證方����,將本MP作為被認證方的認證方MP確定為MKD, 并將該MP和以該MP為認證方的被認證方MP確定為一個MKD域����,啟動被認證方功能模塊。
7.如權利要求6所述的MP設備�����,其特征在于���,所述認證方功能模塊或被認證方功能模塊為每個MKD域配置不同的MKDD-ID����,所述通 過4次握手的方式協(xié)商PTK時�,根據(jù)本MKD域的MKDD-ID計算PMK-MKD。
8.如權利要求6所述的MP設備���,其特征在于�,所述認證方功能模塊或被認證方功能模塊為同一 MESH網絡中的所有MKD域配置相同 的 MKDD-ID ;所述通過4次握手的方式協(xié)商PTK時���,如果所述控制模確定本MP為認證方���,則所述認 證方功能模塊提供認證方指定參數(shù)并發(fā)送給被認證方;如果所述控制模確定本MP為被認 證方���,則所述被認證方功能模塊根據(jù)從認證方接收的認證方指定參數(shù)計算PMK-MKD。
9.如權利要求8所述的MP設備�����,其特征在于�����,所述認證方指定參數(shù)為認證方的MAC地址���。
10.如權利要求6至9中任意一項所述的MP設備�,其特征在于����,所述被認證方功能模塊在建立每一個初始MESH連接的同時記錄該連接對應的MKD域��, 每當接收到作為MKD的MP發(fā)來的MPTK-Anonce時���,根據(jù)發(fā)送該MPTK-Anonce的認證方MP 確定該MPTK-Anonce對應的MKD域,如果接收到兩個或兩個以上的MPTK-Anonce對應相同 的MKD域���,則斷開在該MKD域內自身的所有MESH鏈路��;否則����,不斷開現(xiàn)有的MESH鏈路��。
全文摘要
本發(fā)明提出一種分布式MESH網絡密鑰管理方法���,以認證方為中心將MESH網絡劃分成多個MKD域����,由作為認證方的MP作為MKD�,由該MP和所有以該MP作為認證方的被認證方MP組成一個MKD域,每個MKD域的MKD為本MKD域中的被認證方分配MPTK-Anonce��,被認證方根據(jù)本MKD域的MKD分配的MPTK-Anonce與本MKD域的認證方協(xié)商各層密鑰��。本發(fā)明還提出了一種MP。采用本發(fā)明提出的分布式MESH網絡密鑰管理方法和MP����,當某個MP作為被認證方加入不同的MKD域時,在不同的MKD域中根據(jù)不同的MPTK-Anonce協(xié)商密碼���,因此增加了密鑰管理的安全性����。
文檔編號H04W84/12GK102056163SQ200910235979
公開日2011年5月11日 申請日期2009年11月3日 優(yōu)先權日2009年11月3日
發(fā)明者吳薔 申請人:杭州華三通信技術有限公司