用于提供无线网状网络的方法和设备的制作方法

专利名称：用于提供无线网状网络的方法和设备的制作方法
技术领域：
本发明涉及一种根据权利要求1的前序部分所述的用于提供无线网
状网络的方法以及一种根据权利要求15的前序部分所述的用于提供无 线网状网络的设备，
背景技术：
无线网格或网状网络是称为节点的终端设备的网格状网络，该网络 例如在无线局域网络(WLAN)中实施.节点既可以是基础结构节点，也 可以是所谓的最终用户节点、例如笔记本电脑或者PDA.
在网状网络的情况下，移动节点可以将来自另一移动节点的数据转 发给其它移动节点或者传输给基站，在网格网络(Maschennetzwerk) 或网状网络(Mesh-Netzwerk)中，可以跨越远的距离、尤其是在不平 的或者复杂的地形中.此外，网格网络非常可靠地工作，因为每个移动 节点都与几个其它节点连接.当节点例如由于硬件损坏发生故障时，该 节点的相邻节点寻找替代的数据传输路由，网格网络或网状网络可以将 固定设备或者移动设备包括在内.
在接纳新的、通常是移动的节点的范围内，执行鉴权.该鉴权通常 在使用鉴权服务器"AAA服务器"的情况下进行，其中网状网络可以通 过网关组件或者提供加密材料的所谓网状密钥分配器 (Mesh-Key-Distributor)与基础结构网络INFRASTRUCTURE NETWORK 辆合.为了鉴权节点或计算机，通常使用所谓的EAP ( Extensible Authentication Protocol,可扩展鉴权协议)协议，EAP协议在WUN 的情况下被用于保陣网络接入，各种具体的鉴权方法、即所谓的EAP方 法可以通过EAP协议来传输、例如EAP - TLS、EAP - AU、EPA - SIM、TTLS、 PEAP - MSChapv2 ,在鉴权时确定加密密钥或会话密钥MSK、 EMSK (MSK:Master-Session Key，主会话密钥'，EMSK: Extended Master Session Key,扩展主会话密钥)，所述密钥或会话密钥随后例如在链路 层加密的情况下用于保护数据通信.用户的鉴权在用户(Supplicant,恳请者)和鉴权服务器(AAA服务器)之间进行。在成功鉴权的情况下， 答权服务器将姿权结果和来自鉴权的会话密钥MSK发送给鉴权器 (Autehnticator)、例如WLAN接入点(WLAN - Access - Point )。接入 节点或接入点与鉴权服务器之间的通信通常通过Radius或者Diameter 数据传输协议来进行.在此，作为数据属性的会话密钥MSK被发送给接 入节点AP作为EAP成功消息的一部分.接着，所传输的会话密钥MSK 被使用在根据802. 11 IEEE标准在用户与接入节点之间的802. 11 4路 握手(4-Wege-Handshake) 802. 11 4WHS中,
因此基于鉴权服务器AAA服务器的鉴权将恳请者角色和鉴权器角色 区分开来，该鉴权详细地导致，恳请者通过鉴权器相对于AAA服务器来 进行鉴权，该AAA服务器又将结果通知该鉴权器.根据该结果，该鉴权 器向该恳请者提供到网状网络的接入或者不提供到网状网络的接入.
在通常的网络、例如基于WLAN的网络中，在网络登录时客户端分 别想要获得对网络的接入，而这种情况在网状网络中是对称的，因为鉴 权在两个类似的网状节点之间进行.因此出现了如下问题，即必须确定， 两个节点中的哪个作为鉴权器角色、哪个作为恳请者角色.

发明内容
因此，本发明所基于的任务是，说明一种用于.提供无线网状网络的 改进方法以及设备.
该任务根据权利要求1的前序部分通过其特征以及根据权利要求 15的前序部分通过其特征来解决，
根据本发明的用于提供无线本地网络的方法，其中固定通信装置以及移 动通信装置按照网状方式作为子网络相连，所述子网络尤其连接在基础结构 网络上，并且所述子网络被构造，使得所述子网络能够与至少一个尤其是布 置在基础结构网络中的提供鉴权功能的通信装置交换鉴权消息，在尝试从与 提供鉴权功能的通信装置具有连接的第一通信装置到与提供鉴权功能的通信 装置具有连接的笫二通信装置建立笫 一链路时，给第一和第二通信装置中的 以下通信装置分配在鉴权范围内待分配的鉴权器角色在该通信装置中检验
至少一个与连接相关的特性是否满足准则.
通过根据本发明的方法，优化所需的角色分配，使得连接特性被一 同加以考虑，从而网络可以更有效地工作.此外，还由此平均地实现了对资源的更好分配.
在此，在本发明的扩展方案中，有利地在第一和第二通信装置側对与
连接相关的参量进行检测.这所具有的优点例如是，将AAA服务器从这种确 定中减轻负担，并且根据本发明的基本效果、即提高效率和对满负荷进行均 匀分配得到了更大程度的改善.
在改进方案中，优选将通向提供鉴权功能的通信装置的跳数作为相关的 参量进行检测，因为通过该值使得能够对用于消息传输所需的时间进行良好 估计，其中优选地作为准则，检验至少一个根据路由协议、尤其是根据网状 路由协议可确定的参量，尤其是作为准则，检验跳数的最小值，因为由此有 望更快地进行该鉴权过程的该连接^t检测.
可替代地或者补充地根据另一有利扩展方案，将连接的物理特性、尤其 是无线电质量作为相关的参量来检测，其中作为准則，对指示更好质量的尺 度(Mafi)进行检验，通过该变型方案，同样保证了快速的进展，因为例如 由于物理连接中断而所需的多重传输得以避免.
如下给出了另一有利补充方案或者可替代的改进方案作为相关的参量
能的通信装置的连接的通信装置的满负荷Uuslastung)进行检测，其中作 为准则，检验满负荷的最小值.如前述，除了效率提高以外，该改进方案同 样也有助于保证更快的i^L此外，该实施方式在此负责更好地分配网络内 的负荷。
可替代地，而且尤其是作为补充地，根据改进方案，作为相关的参量来 检测提供鉴权功能和/或实现通向提供鉴权功能的通信装置的连接的该通信 装置的供电类型，其中作为准則，检验网络供电(Netzstromversorgung). 这防止由于缺少用于运行有关节点的能量而引起的可能中断，使得在这里也
避免时间损耗并提高i^艮的速度，
如果作为对现有扩展方案的可替代的改进方案或者补充方案而检測该进 行提供的通信装置的处理器功率栽荷(Beanspmchuiig)和/或实现通向提供
其中作为准则,检验栽荷尺度的最小值，則进一步地支^根据本发明的如下 优点分配负荷用以更有效地并且罔此也更快速地来进展.
如果在检验结果一致的情况下基于第一与笫二通信装置的媒体访问控制 "MAC"地址的比较来分配待分配的鉴权器角色，则给出回复位置(Riickfallposition)，从而在这种情况下系统也可以采取所定义的状态.
在此，优选地向第一和第二通信装置中的其MAC地址较小的该通信装置 分配鉴权器的角色。
根据本发明的另 一改进方案，对于第一和第二通信装置具有通向多个提 供鉴权功能的通信装置(AAA-S， MKD)的连接的情况，
a) 形成提供鉴权功能的通信装置(AAA-S， MKD)的交集，所迷交集包含 第 一和第二通信装置两者都分別与之具有连接的、提供鉴权功能的通信装置，
b) 在所迷交集包含至少一个笫一和笫二提供鉴权功能的通信装置 (AAA-S, MKD)的情况下，将鉴权器角色分配给第一和第二通信装置中的以
下通信装置，即在该通信装置中至少一个与连接相关的特性最好地满足准則， c )在交集为空集的情况下，将鉴权器角色分配给笫一和笫二通信装置中 的其至少一个与通向提供姿权功能的通信装置的连接相关的特性最好地满足 准则的通信装置.
由此，本发明也可以在所谓的定标(Skalienmg)情况下应用，此外为 这种场景保证快速的网状内部鉴权。
如果基于检验结果进行鉴权方法的自适应，尤其是选择根据可扩展鉴权 协议"EAP"所定义的方法，则可以根据实际情况对所述进展更细地进 行优化.
本发明所基于的任务还由用于提供无线本地网络的设备通过允许 实现所述方法来解决，其中所述设备具有用于执行所述方法的装置.


根据在图1中所示的场景借助于在图2中所示的实施例进一步阐述
本发明的其它细节以及优点.其中 闺1示出了示例性的网状网络，
图2示意性示出了在实现本发明的网状网络中的本发明的实施例.
具体实施例方式
在图1中，如上面所阐述的那样，示出了与基础结构网络 INFRASTURCTURE NETWORK连接的网状网络MESH.可以看出，该网状网 络除了节点MP之外，还具有基础结构节点、如网状密钥分配器MKD和"鉴权、授权、计费(Authentication, Authorization, Accounting)" 鉴权服务器AAA-S.
在此，网状密钥分配器MKD是网关节点，其将网状网络MESH与基 础结构网络INFRASTRUCTURE NETWORK耦合并调节密钥分配.此外，网 状密钥分配器MKD是网状节点，但是其在网状网络MESH内承担上面提 到的密钥分配或网关功能性作为附加任务.
另外可看出的是，在几个所示出的节点MP之间存在经鉴权的直接 连接、即在节点MP之间的链路(通过闪电符号表示).
为了在两个节点MP之间建立这种链路，需要通过鉴权服务器利用 上面所述的在鉴权器和恳请者之间的角色分配来筌权，
为了可以将鉴权器的角色分配给节点MP中的一个，至少一个所迷 节点需要通向AAA-服务器AAA - S的连接.在此，该连接可以通过多个 链路、即通过多个节点MP; MO.
如果现在只有网状节点中的一个具有通向鉴权服务器AAA-S的连 接并因此可以当作鉴权器，则角色分配是明确的(如果没有节点可以作 为鉴权器，则鉴权是不可能的).
但是，如果两个网状节点都能够作为鉴权器，则根据本发明的方法 起作用，
对此，在困2中，强调节点MP的第一节点MP-A和第二节点MP-B 作为建立直接连接的节点.
在此可看出，不但笫一节点MP-A具有通向鉴权服务器AAA-S的 第一连接(这在困2中以点线表示)，而且笫二节点具有通向鉴权服务 器AAA-S的第二连接(这在图2中以长虚线表示)，从而现在不但第一 节点MP - A而且笫二节点MP - B均对于鉴权器的角色可供使用.
该实施例包括根据本发明的发明核心，其在于，网状节点借助于"信 息元素"用信号通知度量(Metrik),该度量说明通向用于筌权的鉴权 服务器AAA — S、将网状网络MESH与筌权服务器AAA - S相连接的网状密 钥分配器MKD或者另一在网状网络内负责鉴权的节点的第一连接和/或 第二连接有多"好"，据此分配鉴权器的角色.
通常，度量已知地表示特征数的系统或者用于测量可量化的参量的 方法。也即根据本发明确定与通向鉴权服务器AAA-S的连接相关的值.
因此，该值是网状节点如何好地适用于在鉴权时承担鉴权器角色的尺度(鉴权器需要通向鉴权服务器的连接；而恳请者通过鉴权器不直接 地与鉴权服务器通信).
在此，根据本发明，度量尤其可以是通向网状密钥分配节点MKD的 跳数MKD-DISTANZ1; MKD-DISTANZ2,还可根据本发明可替代地或者附 加地考虑根据网状路由协议的数据确定的另一度量.
此外，还可以更进一步考虑链路的满负荷或者链路所基于的无线电 连接的质量.本发明的改进方案还规定，在度量中包含网状节点的其它 数据，例如供电类型(电网端子或者电池)、还有电池的充电状态、节 点的当前负荷("CPU Load")或者网络的当前负荷("Network Load"),
如上面所阐述的那样，节点MP-A; MP-B中的哪一个应该是鉴权器 的判决借助于指示更好连接的度量来作出.也就是，对或者独立地通过 测量实现的或者通过(协议)消息所请求的所确定的值进行比较，并且 在最优连接特性意义下更好的值确定要判以鉴权器角色的节点MP-A; MP-B，
但是，如果所述值相同、即存在相同的度量，则根据本发明基于两 个节点MP-A; MP-B的MAC地址的比较作出判决.例如，具有较小MAC 地址的节点可以被确定为鉴权器或者相反.如果不能为一个或者两个节 点确定度量，则可以进行相同的.
如果被判以恳请者的节点支持多个鉴权可能性(EAP方法)，则可以 补充地根据鉴权器的度量(和自身的信息、例如电池充电状态)来选择 用于鉴权的匹配的EAP方法这样可以在差的度量的情况下选择有效的 EAP方法，在该EAP方法中只有少量消息在恳请者和鉴权服务器AAA — S 之间被交换或者该EAP方法只具有微小的电流消耗(例如，因为该EAP 方法只使用简单的密码採作，也就是例如只基于秘密密钥而不是基于公 钥).
除了选择根据可扩展鉴权协议"EAP"所定义的方法之外，还可在 这种方法内选择选项.
对此的示例是，例如在EAP-TLS内
-所使用的密码套件(Ciphersuite)(例如AES或者DBS加密)， -所使用的凭证(Credential)(例如短的或者长的密钥/证书(1024 比特RSA密钥或者2048比特RSA密钥)；用于RSA或者用于ECC的密钥 /证书->密码在椭圃曲线ECC的情况下比在比较强的RSA的情况下要这只是EAP方法内的选项(0ptionen)的一部分.根据本发明，为 了匹配和优化，基本上可以使每个可能的选项依赖于本发明的度量分 析。
虽然该实施例只示出了网状密钥分配器MKD或由此可达的鉴权服务 器AAA-S，但是本发明还提供用于如下网络的解决方案其中在网络中 存在多个鉴权服务器AAA-S或网状密钥分配器MKD (定标).
对于这种情况，根据本发明为每个网状节点不仅针对该网状节点可 达的莶权服务器AAA-S或网状密钥分配器MKD,而且针对多个、通常所 有从相应节点可达的负责鉴权的节点AAA-S; MKD说明度量，
对于这样的情况的本发明流程是如此的首先对为鉴权功能设置的 对两个网状节点MP-A; MP-B而言已知的节点AAA-S; MKD进行比较.
在此，为了识别为鉴权功能所设置的节点MKD、 AAA-S并且明确地 给其分配所确定的相应度量，可以考虑为鉴权功能所设置的节点的所谓 MKD标识符或MAC地址，
为此，两个网状节点MP-A; MP-B中的每一个都将对其已知的为鉴 权功能所设置的节点AAA-S; MKD与相应另 一节点的为鉴权功能所设置 的节点AAA-S; MKD相比较.此外，可以亊先相互以尤其是被构造为所 谓的"通告(Announcement)"的消息来通知相应的为鉴权功能所设置 的节点.
根据本发明的方法的优点在于，在存在一致的情况下，快速的网状 网络内部的鉴权是可能的.
因此，根据本发明，由所通知的为鉴权功能所设置的节点AAA-S; MKD来形成交集，该交集包舍由两个网状节点一致通知的为鉴权功能所 设置的节点AAA-S; MKD.
然后，按照本发明的核心思想，从该交集中选择为鉴权功能所设置 的节点AAA-S; MKD中的具有最好度量的该节点，并且将鉴权器的角色 分配给为其通向所选择的提供鉴权功能的节点AAA-S; MKD的连接已 确定了该度量的该节点MP-A; MP-B.
本发明还考虑以下情况，即不存在公共的为鉴权功能所设置的节点 AAA-S; MKD，也就是说交集为空，相应地，对于这种情况，在所有通知 的AAA-S; MKD下选择具有最好度量的为鉴权功能所设置的节点AAA-S;MKD，其中为其通向所选择的提供鉴权功能的节点AAA-S; MKD的连接已 确定了该度量的那个节点MP-A; M-B又成为鉴权器.
在此，另一优点通过以下方式得出，在网状网络中，与根据现有技 术所公知的方法相比在萘权时占用更少的资源，因为根据本发明始终通 过网状网络内的更有利路径来传输鉴权消息.
在图2所示的在上述可能变型方案中为更容易理解而保持比较简单 的实施例中假设，第一节点MP-A和第二节点MP-B将在第一步骤中建立 链路。
接着，在第二步骤中，两个节点MP-A; MP-B在所选择的实施例的 情况下将距离MKD-DISTANZ1; MKD-DISTANZ2、也即通向网状密钥分配 器MKD的跳数作为度量来用信号通知给相应另一个.
在图中可以看出，针对第一节点MP-A的第一度量MKD-DISTANZ1总 计为3(跳)，而针对第二节点MP-B，第二度量MKD—DISTANZ2总计为2 跳.
根据本发明，在该实施例的情况下，两个网状节点MP-A; MP-B中 具有更好度量(更小值)的该网状节点成为鉴权器.为此比较度量的值， 其中在该例中，选择准则是所需跳的较小数目，因此根据该实施例为第 二节点MP-B分配鉴权器角色.
权利要求
1.用于提供无线本地网络的方法，其中固定通信装置(AP)以及移动通信装置(MP，MP-A，MP-B)按照作为子网络(MESH)的网状方式相连，所述子网络(MESH)尤其连接到基础结构网络(INFRASTRUCTURE NETWORK)，并且所述子网络被构造使得所述子网络(MESH)能够与至少一个尤其布置在基础结构网络(INFRASTRUCTURE NETWORK)中的提供鉴权功能的通信装置(AAA-S，MKD)交换鉴权消息，其特征在于，在尝试从与提供鉴权功能的通信装置具有连接的第一通信装置(MP-A)到与提供鉴权功能的通信装置具有连接的第二通信装置(MP-B)建立第一链路时，给第一和第二通信装置中的其中检验至少一个与连接相关的特性是否满足准则的该通信装置分配在鉴权范围内待分配的鉴权器角色。
2. 根据权利要求1所述的方法，其特征在于，在第一和第二通信装置側， 对与连接相关的参量进行检测。
3. 根据前迷权利要求之一所迷的方法，其特征在于，作为相关的参量对 通向提供鉴权功能的通信装置的跳数进行检测.
4. 根据前述权利要求之一所述的方法，其特征在于，作为准則，检验至 少一个根据路由协议、尤其是网状路由协议可确定的参量。
5. 根据前迷权利要求之一所述的方法，其特征在于，作为准則，检验跳 数的最小值。
6. 根据前迷权利要求之一所述的方法，其特征在于，作为相关的参量对 连接的物理特性、尤其是无线电质量进行检测，其中作为准则，对指示更好 质量的尺度进行检验。
7. 根据前迷权利要求之一所述的方法，其特征在于，作为相关的参量对 通向提供鉴权功能的通信装置的连接的满负荷和/或实现通向提供鉴权功能 的通信装置的连接的通信装置的满负荷进行检测，其中作为准则，检验满负 荷的最小值。
8. 根据前迷权利要求之一所述的方法，其特征在于，作为相关的参量对装^的连接的通信^置的供电的类型进行检测:其中)为;則，检验网^电。
9. 根据前述权利要求之一所述的方法，其特征在于，作为相关的参量对进行提供的通信装置的处理器功率的栽荷和/或实现通向提供鉴权功能的通 信装置的连接的通信装置的栽荷进行检测，其中作为准则，检验栽荷尺度的 最小值。
10. 根据前迷权利要求之一所述的方法，其特征在于，在检验结果一致的 情况下，基于笫一和笫二通信装置的媒体访问控制"MAC"地址的比较来实现 待分配的筌权器角色。
11. 根据前述权利要求之一所迷的方法，其特征在于，在检验结果不能确 定的情况下，基于第一和第二通信装置的媒体访问控制"MAC"地址的比较来 实现待分配的鉴权器角色.
12. 根据前述两个权利要求之一所述的方法，其特征在于，给笫一和第二 通信装置中的其MAC地址较小的通信装置分配鉴权器的角色.
13. 根据前迷权利要求之一所述的方法，其特征在于，对于笫一和第二通 信装置具有通向多个提供鉴权功能的通信装置(AAA-S, MKD)的连接的情况，a) 形成提供姿权功能的通信装置(AAA-S， MKD)的交集，所述交集包含 第 一和第二通信装置两者分别与之具有连接的提供鉴权功能的通信装置，b) 在所述交集包含至少一个第一和第二提供鉴权功能的通信装置 (AAA-S， MKD)的情况下，将鉴权器角色分配给笫一和笫二通信装置中的其中至少 一个与连接相关的特性最佳地满足准则的通信装置，c) 在交集为空集的情况下，将鉴权器角色分配给第一和第二通信装置中 的其至少一个与通向提供鉴权功能的通信装置的连接相关的特性最佳地满足 准則的通信装置。
14. 祁^据前述权利要求之一所迷的方法，其特征在于，基于检验结果进行 鉴权方法的自适应，尤其是选择根据可扩展鉴权协议"BAP"所定义的方 法.
15. 用于提供无线本地网络的设备，其特征在于用于执行根据前述 权利要求之一所述的方法的装置，
全文摘要
本发明涉及一种用于提供无线本地网络的方法，其中固定通信装置以及移动通信装置按照作为子网络的网状方式相连，所述子网络尤其连接到基础结构网络，并且所述子网络被构造使得所述子网络能够与至少一个、尤其布置在基础结构网络中的提供鉴权功能的通信装置交换鉴权消息，在尝试从与具有提供鉴权功能的通信装置具有连接的第一通信装置到与提供鉴权功能的通信装置具有连接的第二通信装置建立第一链路时，将在鉴权范围内待分配的鉴权器角色分配给第一和第二通信装置中的其中检验至少一个与连接相关的特性是否满足准则的该通信装置。此外，本发明涉及一种具有用于执行所述方法的装置的设备。
文档编号H04L12/28GK101622825SQ200880005021
公开日2010年1月6日 申请日期2008年1月25日 优先权日2007年2月14日
发明者F·科尔迈耶, R·法尔克 申请人:西门子企业通讯有限责任两合公司