一種網(wǎng)絡(luò)設(shè)備及其認證和密鑰管理方法
【專利摘要】本發(fā)明公開了一種網(wǎng)絡(luò)設(shè)備及其認證和密鑰管理方法���,方法包括:網(wǎng)絡(luò)設(shè)備生成網(wǎng)絡(luò)密鑰(NK)�;網(wǎng)絡(luò)設(shè)備與通信對端設(shè)備進行認證協(xié)議交互����,并根據(jù)認證協(xié)議交互的參數(shù)、以及所述NK���,計算得到基礎(chǔ)會話密鑰(BSK)����;網(wǎng)絡(luò)設(shè)備根據(jù)所述BSK計算得到各種接入技術(shù)的媒體接入控制(MAC)和物理(PHY)層所使用的鏈路加密密鑰(EK)���,并將各EK分別提供給對應(yīng)的MAC和PHY層功能模塊�����。通過本發(fā)明�����,實現(xiàn)了對異構(gòu)的網(wǎng)絡(luò)設(shè)備執(zhí)行一次認證過程驗證該設(shè)備的合法性��,并對各種不同的MAC層技術(shù)實現(xiàn)了統(tǒng)一的密鑰管理���。
【專利說明】一種網(wǎng)絡(luò)設(shè)備及其認證和密鑰管理方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及異構(gòu)網(wǎng)絡(luò)融合技術(shù)�,尤其涉及一種網(wǎng)絡(luò)設(shè)備及其認證和密鑰管理方法�。
【背景技術(shù)】
[0002]目前家庭網(wǎng)絡(luò)可以通過多種網(wǎng)絡(luò)技術(shù)接入,例如:以太網(wǎng)IEEE 802.3�����、電力線通信(PLC’Power Line Communication)���、同軸電纜(MoCA,Multimedia over Coax Alliance)和無線局域網(wǎng)(WiFi, Wireless Fidelity)技術(shù)等等,每種接入技術(shù)都對應(yīng)網(wǎng)絡(luò)系統(tǒng)模型的物理(PHY)層和媒體接入控制(MAC����,Media Access Control)層。這些異構(gòu)網(wǎng)絡(luò)技術(shù)的融合是實現(xiàn)家庭網(wǎng)絡(luò)信息共享和無縫連接的基礎(chǔ)���。
[0003]如圖1所示����,圖1是現(xiàn)有技術(shù)中異構(gòu)網(wǎng)絡(luò)融合的結(jié)構(gòu)示意圖�。圖中的設(shè)備I和設(shè)備2是具有三種MAC層和PHY層接入技術(shù)的家庭網(wǎng)絡(luò)設(shè)備�。由于各種網(wǎng)絡(luò)接入技術(shù)使用的通信介質(zhì)、媒體控制接入方式和傳輸幀的格式等都不相同����,因此對應(yīng)的網(wǎng)絡(luò)系統(tǒng)的PHY層和MAC層使用的技術(shù)也不一樣。從而�,當多種網(wǎng)絡(luò)接入技術(shù)在一個設(shè)備上實現(xiàn)時,需要一個融合控制模塊實現(xiàn)各種MAC層和PHY層技術(shù)的協(xié)調(diào)和調(diào)度�,以實現(xiàn)無縫的技術(shù)融合。每個設(shè)備對應(yīng)一個融合控制模塊�����,每個融合控制模塊可以協(xié)調(diào)和管理至少兩種的MAC層和PHY層功能1吳塊�。
[0004]目前,家庭組網(wǎng)最常用的安全配置是通過用戶在網(wǎng)絡(luò)設(shè)備上輸入口令密碼的方式來實現(xiàn)的�,雖然PLC�、MoCA和WiFi等MAC層技術(shù)里都有支持用戶輸入口令密碼的安全配置方式�����,但是各種MAC層技術(shù)的認證和密鑰管理流程對用戶輸入的口令密碼的處理過程是不相同的�����,這就導致了各種安全管理處理流程互不相通�。例如,在圖1中的設(shè)備I和設(shè)備2上同時配置了相同的用戶口令密碼���,如果兩個設(shè)備僅通過PLC鏈路連接���,那么他們將用戶口令密碼按照PLC的認證和密鑰協(xié)商過程進行處理并計算出PLC的鏈路加密密鑰;如果設(shè)備I和設(shè)備2通過了三種MAC層技術(shù)連接���,那么這兩個設(shè)備需要使用用戶口令密碼分別按照三種MAC層指定的認證和密鑰協(xié)商過程進行處理��,分別得到三種鏈路的鏈路加密密鑰���。也就是說,現(xiàn)有技術(shù)中的安全認證和密鑰管理過程是對一個網(wǎng)絡(luò)設(shè)備上的各種MAC層接口執(zhí)行的�����,而不是對設(shè)備本身執(zhí)行的;由于各種MAC層的認證和密鑰管理方法都不相同���,因此當網(wǎng)絡(luò)設(shè)備之間通過多種MAC層技術(shù)連接時�����,需要分別按照各MAC層指定的認證和密鑰協(xié)商過程進行處理���,這無疑會造成執(zhí)行認證過程的計算資源浪費��。
【發(fā)明內(nèi)容】
[0005]有鑒于此����,本發(fā)明的主要目的在于提供一種網(wǎng)絡(luò)設(shè)備及其認證和密鑰管理方法,以解決現(xiàn)有技術(shù)中各種MAC層的認證和密鑰管理方法不相同��,造成執(zhí)行認證過程的計算資源浪費的問題�����。
[0006]為達到上述目的��,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的:
[0007]本發(fā)明提供了一種網(wǎng)絡(luò)設(shè)備的認證和密鑰管理方法,該方法包括:[0008]網(wǎng)絡(luò)設(shè)備生成網(wǎng)絡(luò)密鑰NK �����;
[0009]所述網(wǎng)絡(luò)設(shè)備與通信對端設(shè)備進行認證協(xié)議交互���,并根據(jù)認證協(xié)議交互的參數(shù)�����、以及所述NK�����,計算得到基礎(chǔ)會話密鑰BSK ��;
[0010]所述網(wǎng)絡(luò)設(shè)備根據(jù)所述BSK計算得到各種接入技術(shù)的媒體接入控制MAC和物理PHY層所使用的鏈路加密密鑰EK����,并將各EK分別提供給對應(yīng)的MAC和PHY層功能模塊��。
[0011]較佳的�,所述網(wǎng)絡(luò)設(shè)備根據(jù)獲取的口令密鑰生成NK、或者所述網(wǎng)絡(luò)設(shè)備通過在無線局域網(wǎng)WiFi中使用安全對碼按鈕的方式生成NK。
[0012]較佳的�����,在將各EK分別提供給對應(yīng)的MAC和PHY層功能模塊之后�����,該方法還包括:
[0013]所述MAC和PHY層功能模塊根據(jù)獲取的EK����,對所述網(wǎng)絡(luò)設(shè)備與通信對端設(shè)備通信的數(shù)據(jù)進行加解密保護。
[0014]較佳的�����,在網(wǎng)絡(luò)設(shè)備根據(jù)獲取的口令密碼生成NK之前����,該方法還包括:
[0015]所述網(wǎng)絡(luò)設(shè)備和通信對端設(shè)備交互設(shè)備能力信息�����,并在確認雙方都支持特定的認證和密鑰管理功能時����,才執(zhí)行后續(xù)的處理操作����。
[0016]較佳的��,所述網(wǎng)絡(luò)設(shè)備根據(jù)BSK計算得到各種接入技術(shù)的MAC和PHY層所使用的EK,并將各EK分別提供給對應(yīng)的MAC和PHY層功能模塊���,包括:
[0017]將所述BSK輸入到哈希函數(shù)實現(xiàn)的密鑰推導算法進行計算�����,并按照各種接入技術(shù)的MAC和PHY層所需使用的EK長度����,輸出對應(yīng)長度的EK給對應(yīng)的MAC和PHY層功能模塊���。
[0018]較佳的�����,所述各種接入技術(shù)的MAC和PHY層包括:
[0019]電力線通信PLC的MAC和PHY層����;
[0020]同軸電纜MoCA的MAC和PHY層;
[0021]無線局域網(wǎng)WiFi的MAC和PHY層���。
[0022]較佳的�����,所述認證協(xié)議交互的參數(shù)包括:所述網(wǎng)絡(luò)設(shè)備的融合控制模塊標識����、所述網(wǎng)絡(luò)設(shè)備選取的隨機數(shù)�����、所述通信對端設(shè)備的融合控制模塊標識�、所述通信對端設(shè)備選取的隨機數(shù);
[0023]所述網(wǎng)絡(luò)設(shè)備的融合控制模塊標識為���,所述網(wǎng)絡(luò)設(shè)備的融合控制模塊的MAC地址����、或唯一標識所述網(wǎng)絡(luò)設(shè)備身份的MAC地址�����;
[0024]所述通信對端設(shè)備的融合控制模塊標識為����,所述通信對端設(shè)備的融合控制模塊的MAC地址、或唯一標識所述通信對端設(shè)備身份的MAC地址����。
[0025]較佳的,所述BSK包括:單播的BSKJP /或組播的BSK ����;
[0026]相應(yīng)的,該方法進一步包括:
[0027]網(wǎng)絡(luò)設(shè)備根據(jù)單播的BSK計算得到單播的EK����,根據(jù)組播的BSK計算得到組播的EK ;
[0028]網(wǎng)絡(luò)設(shè)備的MAC和PHY層功能模塊根據(jù)單播的EK�,對單播的數(shù)據(jù)進行加解密保護;根據(jù)組播的EK����,對組播的數(shù)據(jù)進行加解密保護。
[0029]本發(fā)明還提供了一種網(wǎng)絡(luò)設(shè)備��,包括:融合控制模塊和各種接入技術(shù)的媒體接入控制MAC和物理PHY層功能模塊�����;其中,
[0030]所述融合控制模塊��,用于生成網(wǎng)絡(luò)密鑰NK ;還用于執(zhí)行所述網(wǎng)絡(luò)設(shè)備與通信對端設(shè)備之間的認證協(xié)議交互�����,并根據(jù)認證協(xié)議交互的參數(shù)��、以及所述NK���,計算得到基礎(chǔ)會話密鑰BSK���,根據(jù)所述BSK計算得到各種接入技術(shù)的MAC和PHY層所使用的鏈路加密密鑰EK,并將各EK分別提供給對應(yīng)的MAC和PHY層功能模塊���;
[0031 ] 所述MAC和PHY層功能模塊��,用于接收所述融合控制模塊提供的對應(yīng)EK�����。
[0032]較佳的��,所述融合控制模塊根據(jù)獲取的口令密鑰生成NK��、或者通過在無線局域網(wǎng)WiFi中使用安全對碼按鈕的方式生成NK���。
[0033]較佳的,所述MAC和PHY層功能模塊還用于�����,根據(jù)獲取的EK��,對所述網(wǎng)絡(luò)設(shè)備與通信對端設(shè)備通信的數(shù)據(jù)進行加解密保護����。
[0034]較佳的,所述融合控制模塊還用于���,在根據(jù)獲取的口令密碼生成NK之前�,與所述通信對端設(shè)備交互設(shè)備能力信息���,并在確認網(wǎng)絡(luò)設(shè)備和通信對端設(shè)備都支持特定的認證和密鑰管理功能時�����,才執(zhí)行后續(xù)的處理操作��。
[0035]較佳的���,所述融合控制模塊進一步用于����,將所述BSK輸入到哈希函數(shù)實現(xiàn)的密鑰推導算法密鑰導出函數(shù)進行計算�����,并按照各種接入技術(shù)的MAC和PHY層所需使用的EK長度�����,輸出對應(yīng)長度的EK給對應(yīng)的MAC和PHY層功能模塊����。
[0036]較佳的,所述各種接入技術(shù)的MAC和PHY層包括:
[0037]電力線通信PLC的MAC和PHY層�;
[0038]同軸電纜MoCA的MAC和PHY層;
[0039]無線局域網(wǎng)WiFi的MAC和PHY層���。
[0040]較佳的����,所述認證協(xié)議交互的參數(shù)包括:所述網(wǎng)絡(luò)設(shè)備的融合控制模塊標識、所述網(wǎng)絡(luò)設(shè)備選取的隨機數(shù)���、所述通信對端設(shè)備的融合控制模塊標識、所述通信對端設(shè)備選取的隨機數(shù)����;
[0041]所述網(wǎng)絡(luò)設(shè)備的融合控制模塊標識為,所述網(wǎng)絡(luò)設(shè)備的融合控制模塊的MAC地址���、或唯一標識所述網(wǎng)絡(luò)設(shè)備身份的MAC地址��;
[0042]所述通信對端設(shè)備的融合控制模塊標識為�,所述通信對端設(shè)備的融合控制模塊的MAC地址�����、或唯一標識所述通信對端設(shè)備身份的MAC地址�。
[0043]較佳的,所述BSK包括:單播的BSKJP /或組播的BSK ����;
[0044]相應(yīng)的��,所述融合控制模塊進一步用于�,根據(jù)單播的BSK計算得到單播的EK��,根據(jù)組播的BSK計算得到組播的EK �;
[0045]所述MAC和PHY層功能模塊進一步用于,根據(jù)單播的EK����,對單播的數(shù)據(jù)進行加解密保護;根據(jù)組播的EK����,對組播的數(shù)據(jù)進行加解密保護。
[0046]本發(fā)明所提供的一種網(wǎng)絡(luò)設(shè)備及其認證和密鑰管理方法����,網(wǎng)絡(luò)設(shè)備僅需要融合控制模塊執(zhí)行一次統(tǒng)一的認證協(xié)議流程,不需要網(wǎng)絡(luò)設(shè)備上的多個MAC和PHY層功能模塊分別使用用戶輸入的口令密碼執(zhí)行各種MAC和PHY層的認證協(xié)議流程�,就可以實現(xiàn)網(wǎng)絡(luò)對設(shè)備、設(shè)備對設(shè)備之間的合法性認證�����,從而節(jié)省了認證過程的計算資源。另外�����,本發(fā)明對各種不同的MAC和PHY層技術(shù)實現(xiàn)統(tǒng)一的密鑰管理���,能夠保持各種MAC和PHY層功能模塊使用的數(shù)據(jù)加解密方式不做改變���,因此設(shè)備實現(xiàn)該功能的升級代價不會太大�。
【專利附圖】
【附圖說明】
[0047]圖1為現(xiàn)有技術(shù)中異構(gòu)網(wǎng)絡(luò)融合的結(jié)構(gòu)示意圖;
[0048]圖2為本發(fā)明實施例一的一種網(wǎng)絡(luò)設(shè)備的認證和密鑰管理方法的流程圖�;
[0049]圖3為本發(fā)明實施例二的一種網(wǎng)絡(luò)設(shè)備的認證和密鑰管理方法的流程圖;[0050]圖4為本發(fā)明實施例三的一種網(wǎng)絡(luò)設(shè)備的認證和密鑰管理方法的流程圖����;
[0051]圖5為本發(fā)明實施例中設(shè)備能力信息交互的流程圖;
[0052]圖6為本發(fā)明實施例中認證協(xié)議交互的流程圖��。
【具體實施方式】
[0053]下面結(jié)合附圖和具體實施例對本發(fā)明的技術(shù)方案進一步詳細闡述�。
[0054]本發(fā)明實施例一提供的一種網(wǎng)絡(luò)設(shè)備的認證和密鑰管理方法,如圖2所示�����,
[0055]主要包括:
[0056]步驟201,網(wǎng)絡(luò)設(shè)備生成網(wǎng)絡(luò)密鑰(NK)�。
[0057]網(wǎng)絡(luò)設(shè)備可以根據(jù)獲取的口令密鑰生成NK,具體包括:用戶從網(wǎng)絡(luò)設(shè)備的用戶接口輸入口令密碼���,口令密碼的長度不能超出用戶接口設(shè)定的最大長度�,網(wǎng)絡(luò)設(shè)備將用戶輸入的口令密碼輸入到偽隨機函數(shù)進行計算���,得到長度固定的NK����。
[0058]除了通過用戶輸入口令密碼的方式獲取NK以外�����,如果網(wǎng)絡(luò)設(shè)備按照WiFi簡單配置的實施規(guī)范實現(xiàn)了簡單安全配置的功能�,那么網(wǎng)絡(luò)設(shè)備還可以通過在WiFi中使用安全對碼按鈕的方式生成NK,具體包括:
[0059]通信雙方的網(wǎng)絡(luò)設(shè)備上都有安全對碼按鈕并且都具有WiFi簡單配置規(guī)范中的通信協(xié)議功能�,那么這兩個網(wǎng)絡(luò)設(shè)備通過物理介質(zhì)連接后的特定時間(如2分鐘)內(nèi)分別按下兩個網(wǎng)絡(luò)設(shè)備上的安全對碼按鈕,兩個網(wǎng)絡(luò)設(shè)備會按照WiFi簡單配置規(guī)范中的通信協(xié)議進行交互�����。協(xié)議執(zhí)行成功后��,兩個網(wǎng)絡(luò)設(shè)備上會獲得長度固定的NK。
[0060]步驟202�����,網(wǎng)絡(luò)設(shè)備與通信對端設(shè)備進行認證協(xié)議交互�,并根據(jù)認證協(xié)議交互的參數(shù)、以及所述NK�,計算得到基礎(chǔ)會話密鑰(BSK)。
[0061]網(wǎng)絡(luò)設(shè)備將認證協(xié)議交互的參數(shù)�����、以及所述NK����,輸入到哈希函數(shù)進行計算得到BSK����。
[0062]所述認證可以是網(wǎng)絡(luò)側(cè)對網(wǎng)絡(luò)設(shè)備的認證,也可以是網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)設(shè)備的認證��;如果是網(wǎng)絡(luò)側(cè)對網(wǎng)絡(luò)設(shè)備的認證�����,那么通信對端設(shè)備為網(wǎng)絡(luò)側(cè)的認證設(shè)備,如果是網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)設(shè)備的認證�����,那么通信對端設(shè)備為另一臺網(wǎng)絡(luò)設(shè)備����。
[0063]認證協(xié)議交互的過程由網(wǎng)絡(luò)設(shè)備與通信對端設(shè)備各自的融合控制模塊來執(zhí)行,具體的認證協(xié)議交互過程將在后續(xù)的實施例中詳細闡述���。
[0064]步驟203�����,網(wǎng)絡(luò)設(shè)備根據(jù)所述BSK計算得到各種接入技術(shù)的MAC和PHY層所使用的鏈路加密密鑰(EK)��,并將各EK分別提供給對應(yīng)的MAC和PHY層功能模塊�。
[0065]本發(fā)明實施例中�����,各種接入技術(shù)的MAC和PHY層至少包括:PLC的MAC和PHY層�����、MoCA的MAC和PHY層、WiFi的MAC和PHY層等等�。
[0066]網(wǎng)絡(luò)設(shè)備的融合控制模塊將所述BSK輸入到哈希函數(shù)實現(xiàn)的密鑰推導算法進行計算,并按照各種接入技術(shù)的MAC和PHY層所需使用的EK長度�,輸出對應(yīng)長度的EK給對應(yīng)的MAC和PHY層功能模塊。其中���,哈希函數(shù)實現(xiàn)的密鑰推導算法能夠輸出足夠長度的密鑰�����,假設(shè)PLC的MAC和PHY層需要使用的密鑰長度為m����,WiFi的MAC和PHY層需要使用的密鑰長度為n�,MoCA的MAC和PHY層需要使用的密鑰長度為t,那么所述哈希函數(shù)實現(xiàn)的密鑰推導算法能夠輸出的密鑰長度X應(yīng)該大于等于m�����、n��、t中最大的數(shù)值��。
[0067]融合控制模塊按照特定MAC和PHY層需要使用的密鑰長度輸出相應(yīng)長度的EK����,所述特定MAC和PHY層可以是WiFi的MAC和PHY層、或者是MoCA的MAC和PHY層���、或者是PLC的MAC和PHY層���。由于哈希函數(shù)實現(xiàn)的密鑰推導算法產(chǎn)生的密鑰長度X大于等于m、n�����、t中最大的數(shù)值�����,因此假設(shè)該特定MAC和PHY層需要使用的密鑰長度η小于χ時�����,融合控制模塊需要從長度為X的密鑰串中提取長度為η的部分(可以從密鑰串的任意位置提取)作為該特定MAC和PHY層的EK輸出��。融合控制模塊將輸出的EK傳遞給特定的MAC和PHY層功能模塊����。例如:哈希函數(shù)實現(xiàn)的密鑰推導算法產(chǎn)生的密鑰串長度為512bit���,PLC的MAC和PHY層所需的密鑰長度為256bit,那么從密鑰串中提取前256bit作為PLC的MAC和PHY層的EK ;融合控制模塊將提取的256bit的EK輸出給PLC的MAC和PHY層功能模塊��。
[0068]作為本發(fā)明的一種較佳實施例�,如圖3所示,在步驟203之后�,還可以執(zhí)行步驟204 =MAC和PHY層功能模塊根據(jù)獲取的EK,對所述網(wǎng)絡(luò)設(shè)備與通信對端設(shè)備通信的數(shù)據(jù)進行加解密保護����。具體的,MAC和PHY層功能模塊對獲取的EK進行保存并安裝���,使用安裝的EK對后續(xù)所述網(wǎng)絡(luò)設(shè)備與通信對端設(shè)備通信的數(shù)據(jù)進行加解密保護�����。例如:PLC的MAC和PHY層功能模塊獲取的是融合控制模塊輸出的對應(yīng)PLC的MAC和PHY層的EK��,MoCA的MAC和PHY層功能模塊獲取的是融合控制模塊輸出的對應(yīng)MoCA的MAC和PHY層的EK�����,WiFi的MAC和PHY層功能模塊獲取的是融合控制模塊輸出的對應(yīng)WiFi的MAC和PHY層的EK����。
[0069]需要說明的是���,本發(fā)明實施例的BSK包括:單播的BSK��、和/或組播的BSK ;相應(yīng)的����,網(wǎng)絡(luò)設(shè)備根據(jù)單播的BSK計算得到單播的EK����,根據(jù)組播的BSK計算得到組播的EK ;網(wǎng)絡(luò)設(shè)備的MAC和PHY層功能模塊根據(jù)單播的EK����,對單播的數(shù)據(jù)進行加解密保護;根據(jù)組播的EK��,對組播的數(shù)據(jù)進行加解密保護����。
[0070]作為本發(fā)明的另一種較佳實施例,如圖4所示,在步驟201之前���,還可以執(zhí)行步驟200:所述網(wǎng)絡(luò)設(shè)備和通信對端設(shè)備交互設(shè)備能力信息����,并在確認雙方都支持本發(fā)明實施例的特定認證和密鑰管理功能(即具備執(zhí)行步驟20f204的功能)時���,才執(zhí)行后續(xù)的處理操作(即步驟20廣204)����。以設(shè)備A和設(shè)備B交互設(shè)備能力信息為例�����,具體流程如圖5所示��,主要包括:
[0071]步驟501,設(shè)備B向設(shè)備A發(fā)起設(shè)備能力請求消息��。
[0072]所述設(shè)備能力請求消息中包含設(shè)備B是否具有本發(fā)明實施例所述的特定認證和密鑰管理功能�����。例如:該請求消息中的某個特定字段的取值為0��,表示設(shè)備B不支持本發(fā)明實施例所述的特定認證和密鑰管理功能;所述特定字段的取值為1�,表示設(shè)備B支持本發(fā)明實施例所述的特定認證和密鑰管理功能��。
[0073]步驟502�����,設(shè)備A向設(shè)備B發(fā)送設(shè)備能力響應(yīng)消息�����。
[0074]所述設(shè)備能力響應(yīng)消息中包含設(shè)備A是否具有本發(fā)明實施例所述的特定認證和密鑰管理功能�����。例如:該請求消息中的某個特定字段的取值為0���,表示設(shè)備A不支持本發(fā)明實施例所述的特定認證和密鑰管理功能����;所述特定字段的取值為1���,表示設(shè)備A支持本發(fā)明實施例所述的特定認證和密鑰管理功能���。
[0075]只有在設(shè)備A和設(shè)備B都支持本發(fā)明實施例所述的特定認證和密鑰管理功能時���,才能執(zhí)行后續(xù)步驟20廣204的操作。
[0076]下面結(jié)合圖6對本發(fā)明實施例的認證協(xié)議交互流程進行詳細闡述�����,如圖6所示��,主要包括以下步驟:
[0077]步驟601,設(shè)備B向設(shè)備A發(fā)起認證請求消息��。[0078]所述認證請求消息中至少包括:所述設(shè)備B上的融合控制模塊標識(簡稱IDB)��,以及設(shè)備B選取的隨機數(shù)(簡稱RNB )��。
[0079]步驟602��, 設(shè)備A收到認證請求消息后��,向設(shè)備B回復認證響應(yīng)消息�����。
[0080]所述認證響應(yīng)消息中至少包括:所述設(shè)備A上的融合控制模塊標識(簡稱IDA)�,設(shè)備A選取的隨機數(shù)(簡稱RNA)��,以及驗證該認證響應(yīng)消息合法性的消息認證碼���。
[0081]步驟603,設(shè)備B收到認證響應(yīng)消息后��,向設(shè)備A回復認證確認消息�。
[0082]所述認證確認消息中至少包括:認證成功或者失敗的狀態(tài)信息�����,設(shè)備B上的融合控制模塊標識(IDB)�,以及驗證該認證確認消息合法性的消息認證碼。
[0083]步驟604����,設(shè)備A收到設(shè)備B回復的認證確認消息后,發(fā)送完成消息給設(shè)備B��。
[0084]所述完成消息中至少包括:認證成功或者失敗的狀態(tài)信息��,以及驗證該完成消息合法性的消息認證碼��。
[0085]上述涉及的融合控制模塊標識在具體應(yīng)用中可以使用融合控制模塊的MAC���,也可以使用能夠唯一標識設(shè)備身份的MAC地址���。
[0086]通過上述認證協(xié)議交互���,設(shè)備A和設(shè)備B實現(xiàn)了基于預共享網(wǎng)絡(luò)密鑰的雙向認證。在認證成功后����,設(shè)備A和設(shè)備B將設(shè)備B上的IDB、設(shè)備A上的IDA���、設(shè)備B選取的RNB和設(shè)備A選取的RNA����,作為上述步驟204中的認證協(xié)議交互的參數(shù)�,與上述步驟203中得到的NK一起輸入到哈希函數(shù)計算出BSK。
[0087]由此可以看出���,在網(wǎng)絡(luò)設(shè)備與通信對端設(shè)備輸入相同的口令密鑰��,并執(zhí)行上述相同的步驟200-204后����,網(wǎng)絡(luò)設(shè)備的PLC的MAC和PHY層功能模塊、與通信對端設(shè)備的PLC的MAC和PHY層功能模塊��,能夠獲得相同的ΕΚ��,并能根據(jù)該EK對它們之間通信的數(shù)據(jù)進行加解密保護���;同樣的�����,網(wǎng)絡(luò)設(shè)備的MoCA的MAC和PHY層功能模塊、與通信對端設(shè)備的MoCA的MAC和PHY層功能模塊�����,也能夠獲得相同的ΕΚ�����,并能根據(jù)該EK對它們之間通信的數(shù)據(jù)進行加解密保護���;網(wǎng)絡(luò)設(shè)備的WiFi的MAC和PHY層功能模塊����、與通信對端設(shè)備的WiFi的MAC和PHY層功能模塊,也能夠獲得相同的ΕΚ�,并能根據(jù)該EK對它們之間通信的數(shù)據(jù)進行加解密保護。
[0088]通過本發(fā)明的實施例���,網(wǎng)絡(luò)設(shè)備僅需要融合控制模塊執(zhí)行一次統(tǒng)一的認證協(xié)議流程�,不需要網(wǎng)絡(luò)設(shè)備上的多個MAC和PHY層功能模塊分別使用用戶輸入的口令密碼執(zhí)行各種MAC和PHY層的認證協(xié)議流程���,就可以實現(xiàn)網(wǎng)絡(luò)對設(shè)備��、設(shè)備對設(shè)備之間的合法性認證����,從而節(jié)省了認證過程的計算資源����。另外,本發(fā)明對各種不同的MAC和PHY層技術(shù)實現(xiàn)統(tǒng)一的密鑰管理�����,能夠保持各種MAC和PHY層功能模塊使用的數(shù)據(jù)加解密方式不做改變��,因此設(shè)備實現(xiàn)該功能的升級代價不會太大�。
[0089]對應(yīng)上述認證和密鑰管理方法�,本發(fā)明的實施例還提供了一種網(wǎng)絡(luò)設(shè)備��,包括:融合控制模塊和各種接入技術(shù)的MAC和PHY層功能模塊���,其中�,
[0090]融合控制模塊�����,用于生成NK ;還用于執(zhí)行所述網(wǎng)絡(luò)設(shè)備與通信對端設(shè)備之間的認證協(xié)議交互���,并根據(jù)認證協(xié)議交互的參數(shù)�、以及所述ΝΚ��,計算得到BSK��,根據(jù)所述BSK計算得到各種接入技術(shù)的MAC和PHY層所使用的ΕΚ��,并將各EK分別提供給對應(yīng)的MAC和PHY層功能豐旲塊;
[0091 ] MAC和PHY層功能模塊�����,用于接收所述融合控制模塊提供的對應(yīng)ΕΚ����。
[0092]所述各種接入技術(shù)的MAC和PHY層至少包括:PLC的MAC和PHY層��;MoCA的MAC和PHY 層�;WiFi 的 MAC 和 PHY 層��。
[0093]較佳的��,融合控制模塊可以根據(jù)獲取的口令密鑰生成NK�、或者通過在WiFi中使用安全對碼按鈕的方式生成NK��。
[0094]較佳的�,MAC和PHY層功能模塊還用于,根據(jù)獲取的EK���,對所述網(wǎng)絡(luò)設(shè)備與通信對端設(shè)備通信的數(shù)據(jù)進行加解密保護��。
[0095]較佳的�����,融合控制模塊還用于��,在根據(jù)獲取的口令密碼生成NK之前�����,與所述通信對端設(shè)備交互設(shè)備能力信息���,并在確認網(wǎng)絡(luò)設(shè)備和通信對端設(shè)備都支持特定的認證和密鑰管理功能時����,才執(zhí)行后續(xù)的處理操作���。
[0096]較佳的��,融合控制模塊進一步用于��,將所述BSK輸入到哈希函數(shù)實現(xiàn)的密鑰推導算法進行計算�����,并按照各種接入技術(shù)的MAC和PHY層所需使用的EK長度,輸出對應(yīng)長度的EK給對應(yīng)的MAC和PHY層功能模塊����。
[0097]認證協(xié)議交互的參數(shù)包括:所述網(wǎng)絡(luò)設(shè)備的融合控制模塊標識、所述網(wǎng)絡(luò)設(shè)備選取的隨機數(shù)、所述通信對端設(shè)備的融合控制模塊標識�����、所述通信對端設(shè)備選取的隨機數(shù)����;
[0098]所述網(wǎng)絡(luò)設(shè)備的融合控制模塊標識為,所述網(wǎng)絡(luò)設(shè)備的融合控制模塊的MAC地址�����、或唯一標識所述網(wǎng)絡(luò)設(shè)備身份的MAC地址��;
[0099]所述通信對端設(shè)備的融合控制模塊標識為�,所述通信對端設(shè)備的融合控制模塊的MAC地址、或唯一標識所述通信對端設(shè)備身份的MAC地址���。
[0100]所述BSK包括:單播的BSKJP /或組播的BSK �����;
[0101]相應(yīng)的��,所述融合控制模塊進一步用于����,根據(jù)單播的BSK計算得到單播的EK,根據(jù)組播的BSK計算得到組播的EK ;單播的BSK計算得到單播的EK����、與組播的BSK計算得到組播的EK,所采用的方法相同�;
[0102]所述MAC和PHY層功能模塊進一步用于,根據(jù)單播的EK��,對單播的數(shù)據(jù)進行加解密保護���;根據(jù)組播的EK����,對組播的數(shù)據(jù)進行加解密保護���。
[0103]以上所述���,僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍�����。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)設(shè)備的認證和密鑰管理方法�����,其特征在于�,該方法包括: 網(wǎng)絡(luò)設(shè)備生成網(wǎng)絡(luò)密鑰NK; 所述網(wǎng)絡(luò)設(shè)備與通信對端設(shè)備進行認證協(xié)議交互,并根據(jù)認證協(xié)議交互的參數(shù)�����、以及所述NK���,計算得到基礎(chǔ)會話密鑰BSK ����; 所述網(wǎng)絡(luò)設(shè)備根據(jù)所述BSK計算得到各種接入技術(shù)的媒體接入控制MAC和物理PHY層所使用的鏈路加密密鑰EK���,并將各EK分別提供給對應(yīng)的MAC和PHY層功能模塊����。
2.根據(jù)權(quán)利要求1所述網(wǎng)絡(luò)設(shè)備的認證和密鑰管理方法����,其特征在于��,所述網(wǎng)絡(luò)設(shè)備根據(jù)獲取的口令密鑰生成NK���、或者所述網(wǎng)絡(luò)設(shè)備通過在無線局域網(wǎng)WiFi中使用安全對碼按鈕的方式生成NK。
3.根據(jù)權(quán)利要求1所述網(wǎng)絡(luò)設(shè)備的認證和密鑰管理方法�����,其特征在于�,在將各EK分別提供給對應(yīng)的MAC和PHY層功能模塊之后,該方法還包括: 所述MAC和PHY層功能模塊根據(jù)獲取的EK�����,對所述網(wǎng)絡(luò)設(shè)備與通信對端設(shè)備通信的數(shù)據(jù)進行加解密保護�����。
4.根據(jù)權(quán)利要求1�����、2或3所述網(wǎng)絡(luò)設(shè)備的認證和密鑰管理方法�,其特征在于,在網(wǎng)絡(luò)設(shè)備根據(jù)獲取的口令密碼生成NK之前��,該方法還包括: 所述網(wǎng)絡(luò)設(shè)備和通信對端設(shè)備交互設(shè)備能力信息,并在確認雙方都支持特定的認證和密鑰管理功能時����,才執(zhí)行后續(xù)的處理操作��。
5.根據(jù)權(quán)利要求1�����、2或3所述網(wǎng)絡(luò)設(shè)備的認證和密鑰管理方法���,其特征在于����,所述網(wǎng)絡(luò)設(shè)備根據(jù)BSK計算得到各種接入技術(shù)的MAC和PHY層所使用的EK���,并將各EK分別提供給對應(yīng)的MAC和PHY層功能模塊�,包括: 將所述BSK輸入到哈希函數(shù)實現(xiàn)的密鑰推導算法進行計算���,并按照各種接入技術(shù)的MAC和PHY層所需使用的EK長度��,輸出對應(yīng)長度的EK給對應(yīng)的MAC和PHY層功能模塊����。
6.根據(jù)權(quán)利要求1、2或3所述網(wǎng)絡(luò)設(shè)備的認證和密鑰管理方法����,其特征在于,所述各種接入技術(shù)的MAC和PHY層包括: 電力線通信PLC的MAC和PHY層�; 同軸電纜MoCA的MAC和PHY層; 無線局域網(wǎng)WiFi的MAC和PHY層����。
7.根據(jù)權(quán)利要求1、2或3所述網(wǎng)絡(luò)設(shè)備的認證和密鑰管理方法����,其特征在于,所述認證協(xié)議交互的參數(shù)包括:所述網(wǎng)絡(luò)設(shè)備的融合控制模塊標識�、所述網(wǎng)絡(luò)設(shè)備選取的隨機數(shù)、所述通信對端設(shè)備的融合控制模塊標識�、所述通信對端設(shè)備選取的隨機數(shù); 所述網(wǎng)絡(luò)設(shè)備的融合控制模塊標識為�,所述網(wǎng)絡(luò)設(shè)備的融合控制模塊的MAC地址、或唯一標識所述網(wǎng)絡(luò)設(shè)備身份的MAC地址���; 所述通信對端設(shè)備的融合控制模塊標識為��,所述通信對端設(shè)備的融合控制模塊的MAC地址�����、或唯一標識所述通信對端設(shè)備身份的MAC地址��。
8.根據(jù)權(quán)利要求1����、2或3所述網(wǎng)絡(luò)設(shè)備的認證和密鑰管理方法�,其特征在于,所述BSK包括:單播的BSKJP /或組播的BSK �����; 相應(yīng)的,該方法進一步包括: 網(wǎng)絡(luò)設(shè)備根據(jù)單播的BSK計算得到單播的EK��,根據(jù)組播的BSK計算得到組播的EK ���; 網(wǎng)絡(luò)設(shè)備的MAC和PHY層功能模塊根據(jù)單播的EK�,對單播的數(shù)據(jù)進行加解密保護�����;根據(jù)組播的EK,對組播的數(shù)據(jù)進行加解密保護��。
9.一種網(wǎng)絡(luò)設(shè)備���,其特征在于�����,包括:融合控制模塊和各種接入技術(shù)的媒體接入控制MAC和物理PHY層功能模塊�����;其中���, 所述融合控制模塊,用于生成網(wǎng)絡(luò)密鑰NK ;還用于執(zhí)行所述網(wǎng)絡(luò)設(shè)備與通信對端設(shè)備之間的認證協(xié)議交互���,并根據(jù)認證協(xié)議交互的參數(shù)�����、以及所述NK����,計算得到基礎(chǔ)會話密鑰BSK,根據(jù)所述BSK計算得到各種接入技術(shù)的MAC和PHY層所使用的鏈路加密密鑰EK,并將各EK分別提供給對應(yīng)的MAC和PHY層功能模塊�����; 所述MAC和PHY層功能模塊��,用于接收所述融合控制模塊提供的對應(yīng)EK����。
10.根據(jù)權(quán)利要求9所述網(wǎng)絡(luò)設(shè)備,其特征在于��,所述融合控制模塊根據(jù)獲取的口令密鑰生成NK��、或者通過在無線局域網(wǎng)WiFi中使用安全對碼按鈕的方式生成NK��。
11.根據(jù)權(quán)利要求9所述網(wǎng)絡(luò)設(shè)備���,其特征在于,所述MAC和PHY層功能模塊還用于��,根據(jù)獲取的EK���,對所述網(wǎng)絡(luò)設(shè)備與通信對端設(shè)備通信的數(shù)據(jù)進行加解密保護��。
12.根據(jù)權(quán)利要求9��、10或11所述網(wǎng)絡(luò)設(shè)備���,其特征在于�����,所述融合控制模塊還用于����,在根據(jù)獲取的口令密碼生成NK之前�����,與所述通信對端設(shè)備交互設(shè)備能力信息���,并在確認網(wǎng)絡(luò)設(shè)備和通信對端設(shè)備都支持特定的認證和密鑰管理功能時�,才執(zhí)行后續(xù)的處理操作���。
13.根據(jù)權(quán)利要求9��、10或11所述網(wǎng)絡(luò)設(shè)備��,其特征在于�����,所述融合控制模塊進一步用于�����,將所述BSK輸入到哈希函數(shù)實現(xiàn)的密鑰推導算法密鑰導出函數(shù)進行計算�����,并按照各種接入技術(shù)的MAC和PHY層所需使用的EK長度��,輸出對應(yīng)長度的EK給對應(yīng)的MAC和PHY層功能模塊���。`
14.根據(jù)權(quán)利要求9、10或11所述網(wǎng)絡(luò)設(shè)備�����,其特征在于���,所述各種接入技術(shù)的MAC和PHY層包括: 電力線通信PLC的MAC和PHY層���; 同軸電纜MoCA的MAC和PHY層����; 無線局域網(wǎng)WiFi的MAC和PHY層��。
15.根據(jù)權(quán)利要求9�����、10或11所述網(wǎng)絡(luò)設(shè)備����,其特征在于,所述認證協(xié)議交互的參數(shù)包括:所述網(wǎng)絡(luò)設(shè)備的融合控制模塊標識�����、所述網(wǎng)絡(luò)設(shè)備選取的隨機數(shù)�����、所述通信對端設(shè)備的融合控制模塊標識�、所述通信對端設(shè)備選取的隨機數(shù)�; 所述網(wǎng)絡(luò)設(shè)備的融合控制模塊標識為����,所述網(wǎng)絡(luò)設(shè)備的融合控制模塊的MAC地址、或唯一標識所述網(wǎng)絡(luò)設(shè)備身份的MAC地址�; 所述通信對端設(shè)備的融合控制模塊標識為,所述通信對端設(shè)備的融合控制模塊的MAC地址�、或唯一標識所述通信對端設(shè)備身份的MAC地址。
16.根據(jù)權(quán)利要求9�����、10或11所述網(wǎng)絡(luò)設(shè)備�����,其特征在于�,所述BSK包括:單播的BSK、和/或組播的BSK ����; 相應(yīng)的�,所述融合控制模塊進一步用于,根據(jù)單播的BSK計算得到單播的EK���,根據(jù)組播的BSK計算得到組播的EK �����; 所述MAC和PHY層功能模塊進一步用于�����,根據(jù)單播的EK��,對單播的數(shù)據(jù)進行加解密保護��;根據(jù)組播的EK���,對組播的數(shù)據(jù)進行加解密保護���。
【文檔編號】H04L9/08GK103490887SQ201210195842
【公開日】2014年1月1日 申請日期:2012年6月14日 優(yōu)先權(quán)日:2012年6月14日
【發(fā)明者】梁瓊文, 張偉良, 王琳, 張俊劍, 張德智, 張博山 申請人:中興通訊股份有限公司