专利名称:对无线网络中的节点的认证方法和装置的制作方法
技术领域:
本发明涉及通信网络领域,更具体地,涉及无线网络。
背景技术:
紧急响应组织愈发地依赖于无线通信技术,以在紧急情况期间提供通信。然而,不 利的是,紧急情况通常导致现有网络架构的损坏,或有时候甚至是现有网络架构的破坏,从 而阻止了应急人员之间的通信。换句话说,现有通信架构缺乏生存性。此外,即使现有通信 架构的某些部分在紧急情况时幸存,现有通信架构也不能够处理在紧急情况期间典型增加 的业务负载。具体地,由于应急人员和一般公众尝试各种类型的通信,所以现有通信架构的 剩余部分可能被过载。这样的缺陷在2001年9月11日事件期间、以及在飓风卡特里娜事 件期间变得明显。通常,广泛地研究了在静态网络中对于网络节点和用户设备的认证问题的解决方 案,并且在文献中描述了若干算法,并且在实践中实施。类似地,近年来,还研究了在不具有 任何中心化控制或认证数据库的对等网络中的网络节点和用户设备的认证问题。然而,不 利的是,现有解决方案太复杂或太不实际,进而完全不适用于在其中为一个或多个节点分 配作为用于网络中的其他节点的认证服务器(多个)运行的特定角色的网络架构。
发明内容
可通过一种对请求加入无线网络的无线节点的认证方法和装置的本发明来解决 现有技术的各种缺陷。方法包括从所述无线节点接收认证请求;与所述无线节点协定至 少一个认证参数;使用所述至少一个认证参数导出第一加密密钥;使用所述第一加密密钥 加密第二加密密钥;以及向所述无线节点传播所加密的第二加密密钥,其中所述无线节点 独立地导出所述第一加密密钥,用于解密从所述认证服务器节点接收的所加密的第二加密 密钥。所述无线节点解密所加密的第二加密密钥,并存储所述第二加密密钥,用于与网络的 其他无线节点安全地通信。本发明可使用不同的可扩展认证协议(EAP)版本之一的修改版本来实施。在一个实施例中,本发明可使用EAP-TLS协议、或某些其他基于EAP的协议的修改 版本来实施,其中并非从认证服务器节点向无线节点发送成对主密钥(PMK),认证服务器节 点和无线节点均导出PMK,并且认证服务器节点通过使用PMK加密组加密密钥,从而向无线 节点安全地提供组加密密钥。在该实施例中,因为无线节点包括接入节点(认证者)功能 和目标节点(请求者)功能,即,认证者和请求者共置于无线节点中,所以组加密密钥的安 全分发是可能的。在一个实施例中,本发明可使用EAP-TTLS或PEAP、或某些其他基于EAP的协议的 修改版本来实施,其中在认证服务器节点和无线节点之间建立TLS隧道。在该实施例中, 通过与使用EAP-TLS协议的修改版本的方案类似方式,发生无线节点的认证和组加密密钥 (多个)的分发;然而,使用TLS隧道交换在认证服务器节点和无线节点之间交换的EAP消息。在该实施例中,类似于EAP-TLS实施例,因为无线节点包括接入节点和目标节点功能,所以组加密密钥的安全分发是可能的。
通过结合附图考虑以下具体实施方式
,可容易理解本发明的教导,其中图1示出独立于任意现有网络架构的独立式911-N0W通信网络架构;图2示出集成911-N0W无线网络架构,其利用911-N0W网状网络和现有网络架构;图3示出911-N0W节点的一个实施例的高级框图;图4示出图3的911-N0W通信网络架构,其中额外911-N0W节点到达紧急站点;图5是额外911-N0W节点与用于认证额外911-N0W节点和向额外911-N0W节点分 发加密密钥的主要911-N0W节点之间的通信;图6示出根据本发明一个实施例的方法;图7示出根据本发明一个实施例的方法,其中根据本发明修改了 EAP-TTL协议;图8示出根据本发明一个实施例的方法;以及图9示出适用于执行这里所述功能的通用计算机的高级框图。为了便于理解,在可能的情况下,使用了相同的标号来指定对于附图共同的相同元素。
具体实施例方式在可快速部署的无线网络(这里指定为911车轮上的网络(network onwheels), 即911-N0W网络)的环境中描述本发明;然而,本发明还适用于各种其他网络。通过将 911-N0W节点(多个)放置在移动平台(多个)上来形成911-N0W网络,从而当为网络站点 派发移动平台(多个)时,911-N0W节点(多个)提供无线通信网络。如上所述,可部署一 个或多个911-N0W节点以形成无线网络。911-N0W网络可以是独立于现有网络架构的独立 式无线网络或利用现有网络架构的集成无线网络。图1示出独立于任意现有网络架构的独立式911-N0W通信网络架构。具体地,独 立式911-N0W通信网络架构100包括多个911-N0W节点1 IOa-I IOg (共同称为911-N0W节点 110),他们支持在紧急站点101处的无线通信。由于911-N0W节点110中的每个支持RAN功 能、CORE网络功能、和服务,所以独立式911-N0W通信网络架构100提供全功能网络。如图 1所示,911-N0W节点110中的每个位于或安装于移动平台上,并且被运输至紧急站点101。 911-N0W节点110在紧急站点101处形成无线网络。紧急站点101可以是需要无线网络的任何位置或位置组合。紧急站点101可以 是局部化站点、局部化站点的集合、广泛分布站点、广泛分布站点的集合等、及其各种组合。 例如,紧急站点101可以是城镇或城市中的一个位置、多个位置,或者甚至跨越一个或多个 县、州、国家或甚至大陆。911-N0W网络不受紧急站点的范围的限制。紧急站点101可关联 于任意类型的紧急情况。例如,紧急站点101可关联于自然灾害(例如洪水、飓风、龙卷风 等)、人为灾害(例如化学溢出、恐怖袭击等)等等、及其各种组合。如图1所示,应急人员(这里指定为911-N0W网络100的用户102)响应于紧急情 况。用户102正在紧急站点101的不同区域处执行各种不同功能。例如,用户可能正在控制灾害,参与撤退操作,参与搜索和救援操作等,及其各种组合。用户102在响应于紧急情 况时使用设备,包括能够无线接收和发送信息的设备(这里指定为用户102的无线用户设 备104)。无线用户设备104包括通信设备,并且可包括各种其他类型的紧急设备(依据紧 急情况的类型、紧急情况的严重性、紧急站点的后勤、和各种其他因素)。
例如,无线用户设备104可包括应急人员携带的无线设备,用于与其他应急人员 通信,在紧急站点处接收用于响应的信息,在紧急站点处收集信息,在紧急站点处监视条件 等,及其各种组合。例如,无线用户设备104可包括例如无线电话机、无线耳机、蜂窝电话、 个人数字助理(PDA)、膝上型电脑等及其各种组合的设备。无线用户设备104可包括各种 其他设备,例如监视器(例如用于监视呼吸、脉搏、和其他特征;用于监视温度、降水、和其 他环境特征;等)、传感器(例如用于检测空气质量改变、化学或生物制剂的存在、辐射强度 等)、以及各种其他设备。如图1所示,通过向紧急站点101部署911-N0W节点110(图示地,911-N0W节点 IIOa-IIOe),在紧急站点101处建立基于911-N0W的网络。911-N0W节点110可使用移动平 台来部署。911-N0W节点110可使用独立式移动平台来部署。例如,911-N0W节点110可位 于背包、手提箱、和可由个人携带的类似移动箱体中。911-N0W节点110可使用移动交通工 具来部署,包括陆基交通工具、海基交通工具、和/或空基交通工具。例如,911-N0W节点可 位于(和/或安装于)警车、反恐特警卡车、消防车、救护车、悍马车、快艇、直升机、飞艇、飞 机、无人机、卫星等,及其各种组合。911-N0W节点110可使用各种其他移动平台来部署。如图1所示,911-N0W节点IIOa使用消防车来部署,911-N0W节点IIObH用消防 车来部署,911-N0W节点110。使用消防车来部署,911-N0W节点IIOd被部署为独立式节点, 911-N0W节点1 IOe使用飞艇来部署,911-N0W节点1 IOf被部署为独立式节点,而911-N0W节 点IlOe使用消防车来部署。911-N0W节点110的固有移动性能够在需要时快速和灵活部署 无线网络(例如在需要无线网络时,在需要无线网络处、以及如何需要无线网络),从而提 供由应急人员需要的按需服务的可伸缩能力和覆盖。由于每个911-N0W节点110支持RAN 功能、CORE网络功能、和各种服务器功能,所以即使1个911-N0W节点的部署也能生成全功 能无线网络。如图1所示,911-N0W节点110支持用于无线用户设备104的无线通信(这里指定 为无线接入通信)。无线接入通信包括在911-N0W节点110和该911-N0W节点110所服务 的无线用户设备之间的无线通信。911-N0W节点110包括一个或多个无线接入接口,其使用 在无线用户设备104和911-N0W节点110之间建立的各个无线接入连接111支持用于无线 用户设备104的无线通信。911-N0W节点110还支持在紧急站点101处用户设备104的移 动性,从而在用户102围绕紧急站点101移动时,在911-N0W节点110之间无缝地传送在那 些用户102的无线用户设备104和911-N0W节点110之间的通信会话。如图1所示,911-N0W节点110支持911-N0W节点110之间的无线通信(这里指定 为无线网状通信)。无线网状通信包括911-N0W节点110之间的无线通信,包括在无线用 户设备104之间传送的信息、在911-N0W节点110之间交换的控制信息等,及其各种组合。 911-N0W节点110可包括一个或多个无线网状接口,其支持与一个或多个其他911-N0W节点 110的无线通信。使用在911-N0W节点110之间建立的无线网状连接112来支持911-N0W 节点110之间的无线网状通信。
如图1所示,以下成对的911-N0W节点110使用各个无线网状连接112来通信 911-N0W 节点 IIOa 和 110B、911_N0W 节点 IIOa 和 110C、911_N0W 节点 IIOa 和 110D、911-N0W 节点 110Β Ρ 110c、911-N0W 节点 IlOc 和 110D、911_N0W 节点 110Β Π 110E、911_N0W 节点 IlOc 禾口 110F、911-N0W 节点 IIOd 禾Π 110e、911-N0W 节点 IIOe 和 110F、911_N0W 节点 IIOf 和 110e。 这样,图1的911-N0W节点110通信,以形成无线网状网络。尽管参照图1示出和描述特定 无线网状配置,但是911-N0W节点110可通信以形成各种其他无线网状配置,并且可在条件 改变时实时修改网状配置。 如图1所示,911-N0W节点110支持用于一个或多个管理设备105的无线通信(这 里指定为无线管理通信)。无线管理通信包括911-N0W节点110和该911-N0W节点110所 服务的管理设备(多个)105之间的无线通信。911-N0W节点110包括支持用于管理设备 (多个)105的无线通信的一个或多个无线管理接口。可使用管理设备105和911-N0W节 点IIOd之间建立的无线管理连接113来支持管理设备105和911-N0W节点IIOd之间的无 线管理通信。管理设备105可操作用于配置和控制独立式911-N0W网络100。例如,管理设备 105可用于配置和再配置一个或多个911-N0W节点110,控制对911-N0W节点的访问,控 制911-N0W节点110支持的功能和服务,升级911-N0W节点110,执行用于911-N0W节点或 911-N0W节点的组合的元件/网络管理功能(例如故障、性能、和类似管理功能)等,及其各 种组合。管理设备105可通过使用现有设备(例如膝上型电脑、PDA等)、或使用新设计的 设备(适于支持这样的管理功能)来实施。管理设备105可直接和/或使用有线和/或无 线接口间接连接至一个或多个911-N0W节点110。911-N0W节点110使用一个或多个无线技术来支持无线通信。为了无线接入通信, 每个911-N0W节点110可支持一个或多个不同无线技术,例如全球移动通信系统(GSM)、通 用分组无线业务(GPRS)、演进-数据优化(IxEV-DO)、通用移动电信系统(UTMS)、高速下行 链路分组接入(HSDPA)、微波存取全球互通(WiMAX)等。为了无线网状通信,每个911-N0W 节点110可支持无线保真(WiFi)或WiMAX技术、微波技术、或任意其他无线技术。为了无 线管理通信,每个911-N0W节点110可支持一个或多个这样的蜂窝技术,并且可进一步支持 WiFi技术、蓝牙技术、或任意其他无线技术。911-N0W节点110支持的无线通信传送用户信息、控制信息等,及其各种组合。例 如,用户信息可包括语音通信(例如语音呼叫、音频会议、一键通等)、数据通信(例如基于 文本的通信、高速数据下载/上传、文件传输等)、视频通信(例如视频广播、会议等)、多媒 体通信等、及其各种组合。911-N0W节点110支持的通信可传送内容的各种组合,例如音频、 文本、图像、视频、多媒体等,及其各种组合。例如,控制信息可包括网络配置信息、网络控制 信息、管理信息等,及其各种组合。因此,911-N0W节点110支持任意信息的无线通信。尽管示出和描述部署特定数目的911-N0W节点110以形成911-N0W网络,但是还 可部署更少或更多911-N0W节点以形成911-N0W网络,以支持提供有效紧急情况响应所需 的通信。类似地,尽管示出和描述部署911-N0W节点110的特定配置以形成911-N0W网络, 但是还可在各种其他配置中部署911-N0W节点(包括在一个紧急站点处或多个紧急站点之 间的不同位置、911-N0W节点之间的网状连接的不同组合等,及其各种组合)以形成独立式 911-NOff网络,其支持RAN功能、CORE网络功能、的各种服务,从而支持提供有效紧急响应的多媒体通信。如上所述,尽管一个或多个911-N0W节点110能够形成不依赖于现有架构(固 定或可变的)的全功能的独立式网状无线网络,其中存在有现有架构(其没有被损坏或 破坏),但是独立式911-N0W无线网络可影响现有网络架构,以形成能够支持各种额外功 能的集成911-N0W无线网络(例如支持与一个或多个其他独立式911-N0W无线网络的通 信,支持与一个或多个远程紧急情况管理总部的通信,支持与其他资源的通信等,及其各种 组合)。参照图2示出和描述集成911-N0W无线网络,其包括与现有网络架构通信的网状 911-NOff 网络。图2示出包括911-N0W网状网络和现有网络架构的集成911-N0W通信网络架构。 具体地,集成911-N0W通信网络架构200包括911-N0W网状网络100 (参照图1所示和所 述)和现有网络架构201。现有网络架构201可包括适于支持用于911-N0W网状网络100 的通信的任意现有通信架构(例如包括无线通信功能、回程功能、网络功能、服务等,及其 各种组合)。现有网络架构201可包括无线接入功能(例如无线电接入网络、卫星接入网络等, 及其各种组合)、回程功能(例如支持移动管理功能、路由功能、和网关功能、及其各种其他 相关功能的公共和/或私有、有线和/或无线、回程网络)、核心网络功能(例如AAA功能、 DNS功能、DHCP功能、呼叫/会话控制功能等)、服务功能(例如应用服务器、媒体服务器等) 等等,及其各种组合。由于911-N0W节点110也支持这样的功能,所以在某些实施例中,可 在必要时依赖于现有网络架构201的这些功能的至少一部分。如图2所示,现有网络架构201支持无线回程连接。具体地,现有网络架构201支 持来自911-N0W网状网络100的两个无线回程连接。现有网络架构201使用卫星202支持 与911-N0W节点IIOe的第一无线回程连接214,其中卫星202在因特网206的边缘处与卫 星回程节点203进行无线回程通信。现有网络架构201使用蜂窝基站204支持与911-N0W 节点IlOe的第二无线回程连接214,其中蜂窝基站204在因特网206的边缘处与蜂窝回程 节点205进行有线回程通信。如图2所示,现有网络架构201还支持可与紧急站点101的用户102通信的其他 位置的其他连接。现有网络架构201包括路由器207,其支持用于紧急情况总部220的通信 (可包括例如应急人员和/或紧急系统)。现有网络架构201包括蜂窝回程节点208和关 联基站209,其支持用于一个或多个其他911-N0W网状网络2301-230N的通信(即在远程紧 急站点建立的一个或多个独立式911-N0W网络)。现有网络架构201支持用于911-N0W网状网络100的通信。现有网络架构201可 支持在911-N0W网状网络100的无线用户设备104之间的通信(例如实施在独立式911-N0W 网络100的911-N0W节点110之间的无线网状通信)。现有网络架构201可支持在911-N0W 网状网络100的无线用户设备104和其他应急人员和/或紧急系统之间的通信。例如,现 有网络架构201可支持在911-N0W网状网络100的无线用户设备104和紧急情况总部220、 一个或多个其他911-N0W网状网络230(例如在与紧急站点101远程的紧急站点)等、及其 各种组合之间的通信。如图2所示,除了支持一个或多个无线接入接口、一个或多个无线网状接口、和 一个或多个无线管理接口,911-N0W节点110还支持一个或多个无线回程接口,其支持在911-N0W节点110和现有网络架构(图示地,现有网络架构201)之间的通信。使用在 911-NOff节点110和现有网络架构201之间建立的无线回程连接214来支持在911-N0W节 点110和现有网络架构201之间的无线回程通信。无线回程连接214可使用一个或多个无 线技术来提供,例如GSM、GPRS、EV-DO、UMTS、HSDPA、WiFi、WiMAX、微波、卫星等,及其各种组
口 O
通过使用与现有网络架构201的无线回程连接与911-N0W节点110提供的回程网 络功能组合,由911-N0W节点110提供的网状网络功能能够在一个紧急站点的应急人员之 间(例如连接至独立式911-N0W网状网络的911-N0W节点110的用户之间)、在不同紧急 站点的应急人员之间(例如连接至不同独立式无线网状网络的911-N0W节点110的用户之 间)、在一个或多个紧急站点的应急人员和紧急管理人员之间(例如位于紧急情况总部220 的用户)等及其各种组合进行通信。因此,911-N0W节点110均可支持4个不同类型的无线接口。911-N0W节点110支 持用户设备104可访问911-N0W节点110所借助的一个或多个无线接入接口。911-N0W节 点110支持用户设备104可与其他911-N0W节点110通信所借助的一个或多个无线网状接 口。911-N0W节点110支持911-N0W节点110与现有网络架构通信所借助的一个或多个无 线回程接口。911-N0W节点110支持网络管理员可管理基于911-N0W的无线网络所借助的 一个或多个无线管理接口。可参照图3更好地理解911-N0W节点110的功能。图3示出911-N0W节点的一个实施例的高级框图。具体地,如图3所示,911-N0W 节点110包括功能模块301、处理器340、存储器350、和支持电路360 (以及支持911 -NOW节 点110的各个功能所需的各种其他处理器、模块、存储设备、支持电路等)。功能模块301与 处理器340、存储器350、和支持电路360协作,以提供911-N0W节点110的各种功能(如上 所示和所述)。处理器340控制911-N0W节点110的操作,包括在功能模块301、存储器350和支 持电路(多个)360之间的通信。存储器350包括程序351、应用352、支持数据353 (例如 用户概况、服务质量概况等,及其各种组合)、和用户数据354(例如用于向/从与911-N0W 节点110关联的用户设备通信的任意信息)。存储器350可存储其他类型的信息。支持电 路(多个)360可包括适于支持911-N0W节点110的任意电路或模块,例如电源、电源放大 器、收发器、编码器、解码器等,及其各种组合。功能模块301包括无线功能模块309、核心(CORE)网络功能模块320、和服务模 块330。无线功能模块309包括无线电接入网络(RAN)功能模块310和可选的无线接口模 块315。CORE网络功能模块320提供CORE网络功能。服务模块330提供一个或多个服务。 RAN功能模块310 (以及,当存在时,无线接口模块315)与CORE网络功能模块320和服务模 块330两者通信,并且CORE网络功能模块320和服务模块330通信,以提供这里所示和所 述的功能。无线功能模块309、C0RE网络功能模块320、和服务模块330协作(与处理器340、 存储器350、和支持电路360、以及任意其他所需模块、控制器等组合,为了清楚的目的可 忽略),以提供可快速部署的无线节点,其可形成(1)单节点,独立式无线网络;(2)多节 点,独立式无线网络(S卩,使用911-N0W节点之间的无线网状连接);或(3)集成无线网络 (即,使用一个或多个911-N0W节点和现有网络架构之间的无线回程连接,和可选地使用911-N0W节点之间的无线网状连接)。RAN功能模块310提供RAN功能。RAN功能包括支持用于与无线用户设备关联的通信的一个或多个无线接入接口。具体地,RAN功能模块310支持多个空中接口 “1)311^311,(共同称为AI 311)。AI 311提供支持与无线用户设备关联的通信的无线接 入接口。例如,AI 311可支持典型地由基础收发器站(BTS)提供的功能。RAN功能模块310提供控制功能。控制功能可包括典型地由无线电接入网络中的 控制器执行的任意控制功能。例如,控制功能可包括例如准入控制、电源控制、分组调度、负 载控制、切换控制、安全功能等及其各种组合的功能。例如,在一个实施例中,控制功能可包 括典型地由RAN网络控制器(RNC)或类似无线网络控制器执行的功能。RAN功能模块310提供网络网关功能。网络网关功能可包括典型地被执行以桥接 RAN和CORE网络的任意功能,例如IP会话管理功能、移动管理功能、分组路由功能等,及其 各种组合。例如,在使用基于CDMA2000的无线技术时,网络网关功能可包括典型地由分组 数据服务节点(PDSN)执行的功能。例如,在使用基于GPRS和/或基于UMTS的无线技术时, 网络网关功能可包括典型地由GPRS网关支持节点(GGSN)和服务GPRS支持节点(SGSN)的 组合执行的功能。在一个实施例中,RAN功能模块310可实现为基站路由器(BSR)。在一个这样的 实施例中,BSR包括基站(BS)或提供BS功能的一个或多个模块、无线电网络控制器(RNC) 或提供RNC功能的一个或多个模块、以及网络网关(NG)或提供NG功能的一个或多个模块。 在这样的实施例中,RAN功能模块310支持典型地由基站路由器支持的任意功能。无线接口模块315提供一个或多个无线接口。由无线接口模块提供的无线接口可 包括以下项目中的一个或多个(1)支持与其他911-N0W节点通信的一个或多个无线网状 节点;(2)支持与现有网络架构通信的一个或多个无线回程接口 ;和/或(3)支持与一个 或多个管理设备通信的一个或多个无线管理接口。无线接口模块315支持多个空中接口 (Al) 316f316N (共同称为316),其提供支持与以下项目中的一个或多个关联的通信的无线 接口 一个或多个其他911-N0W节点、现有网络架构、和一个或多个管理设备。在一个实施例中,实施不具有无线接口模块315的911-N0W节点110(例如,如果 不期望911-N0W节点110需要无线网状、回程、或管理功能)。在一个实施例中,911-N0W节 点110包括无线接口模块315,其支持以下内容的子集一个或多个无线网状接口、一个或 多个无线回程接口、和一个或多个无线管理接口(即依据911-N0W节点110是否将需要无 线管理、网状、和/或回程功能来调节911-N0W节点)。在一个实施例中,911-N0W节点110 包括无线接口模块315,其支持以下内容中的每个一个或多个无线网状接口、一个或多个 无线回程接口、和一个或多个无线管理接口(即如果911-N0W节点110需要这样的无线功 能,则所有类型无线接口可用)。CORE网络功能模块320提供典型地从CORE网络可用的网络功能。例如,CORE网 络功能模块320可提供认证、授权和帐户(AAA)功能、域名系统(DNS)功能、动态主机配置 协议(DHCP)功能、呼叫/会话控制功能等,及其各种组合。本领域普通技术人员知晓哪些 功能是从CORE网络典型可用的。服务模块330提供服务。服务可包括能够向无线用户设备提供的任意服务。在一 个实施例中,例如,服务模块330可提供典型地由应用服务器、媒体服务器等、及其各种组合提供的服务。例如,服务可包括一个或多个语音服务、语音会议服务、数据传送服务(例如高速数据下载/上传、文件传送、传感器数据传送等)、视频服务、视频会议服务、多媒体 服务、多媒体会议服务、一键通服务、即时消息服务等、及其各种组合。本领域普通技术人员 知晓哪些服务典型地在RAN和CORE网络上可用。尽管这里主要示出和描述的911-N0W节点的特定配置包括分别提供无线功能(包 括RAN功能和可选的额外无线接口和关联接口功能)、C0RE网络功能和服务的3个模块,但 是911-N0W节点可使用提供无线功能、CORE网络功能和服务的其他配置来实施。类似地, 尽管这里主要示出和描述的提供特定无线功能、CORE网络功能和服务的功能模块的特定配 置,但是911-N0W节点的功能模块可使用提供无线功能、CORE网络功能和服务的其他配置 来实施。因此,可考虑使用更少的功能模块提供,或使用更多的功能模块提供以不同方式 可分布在各种功能模块之间的所述功能的至少一部分。此外,尽管主要示出和描述特定无 线功能(包括RAN功能和可选的一个或多个额外无线接口功能)、CORE网络功能、和服务, 但是可考虑通过911-N0W节点支持更少的或更多的无线功能(包括RAN功能和可选的一个 或多个额外无线接口功能)、C0RE网络功能、和/或服务。因此,911-N0W节点不受参照图3 所示和所述的实例性功能架构限制。在紧急情形下,应急交通工具通常在不同时间到达和离开紧急站点,这取决于应 急交通工具分派的位置和紧急站点的位置。此外,依据紧急情况的范围,可从一个或多个相 邻管辖区分派应急交通工具,以在响应紧急情况时进行协助。结果,可在紧急站点处已经建 立了可快速部署的无线网络(例如使用已经位于紧急站点处的应急交通工具上的快速可 部署节点)之后,应急交通工具可到达紧急站点,如参照图4所示和所述。图4示出图1的911-N0W通信网络架构,其中911-N0W节点到达紧急站点。尽管主 要在独立式无线网络(图示地,图1的独立式无线网络)的环境中示出和描述,但是本发明 还可用在集成无线网络中(例如图2的集成无线网络)。如图4所示,应急交通工具401 (示 出为消防车)到达紧急站点101。应急交通工具401包括额外911-N0W节点410(这里指定 为911-N0W节点410),其在到达紧急站点101时还没有关联于使用911-N0W节点110在紧 急站点101处已经建立的911-N0W通信网络100。应急交通工具401向紧急站点101运输应急人员402 (即用户402)。用户402具 有应急人员402打算彼此通信,以及与紧急站点101处的其他应急人员102通信,以及可选 地与紧急情况总部220和/或一个或多个其他911-N0W网状网络230通信所借助的用户设 备404。用户402可初始地经由911-N0W节点410通信,在用户402围绕紧急站点101移动 时,进而经由911-N0W节点110中的不同节点通信。在911-N0W节点410可加入911-N0W 通信网络100以支持与用户102和402的通信之前,911-N0W节点410必须被认证,并且进 而必须提供有一个或多个加密密钥,以使得911-N0W节点410能够从911-N0W通信网络100 中的其他911-N0W节点110安全地接收/发送信息。如图4所示,在911-N0W通信网络100的建立和配置期间,可将911-N0W节点110 之一(图示地,911-N0W节点110B)配置为主认证节点。主认证911-N0W节点IIOb执行节点 认证功能,包括节点认证协定功能和加密密钥分发功能。在一个实施例中,主认证911-N0W 节点IIOb可提供典型地由固定无线网络中的认证、授权和帐户(AAA)服务器提供的AAA功能(例如,其中作为911-N0W节点110提供的CORE功能的一部分支持这样的AAA功能)。 主认证911-NOW节点IIOb可使用RADIUS、DIAMETER、和适于用在执行节点认证协定功能、力口 密密钥分发功能、和类似AAA相关功能所需消息的安全交换中使用的类似协议来支持AAA 功能。
主认证节点IIOb负责认证尝试加入911-N0W通信网络100的911-N0W节点。主认 证节点IIOb管理在911-N0W节点被认证之后主认证节点IIOb必须向911-N0W节点分发的 一个或多个加密密钥。911-N0W节点110需要加密密钥,以与911-N0W通信网络100中的其 他911-NOff节点安全地通信。即,911-NOff节点110使用加密密钥来加密向其他911-NOff节 点110发送的信息,和解密从其他911-N0W节点110接收的信息。加密密钥可包括单播加 密密钥、多播加密密钥、和/或广播加密密钥。由于加密密钥可由多个911-N0W节点使用, 所以由911-N0W通信网络100中的911-N0W节点使用的加密密钥在这里可指的是组加密密 钥(或,更一般地,组密钥)。在额外911-N0W节点410到达紧急站点101时,直到主认证节点IIOb认证了 911-N0W节点410 (包括向额外911-N0W节点410分发加密密钥),911-N0W节点410不能够 访问911-N0W通信网络100,并且进而不能够与其他911-N0W节点110通信。在一个实施例 中,本发明使用可扩展认证协议(EAP)方法之一的变型,以执行节点认证功能,包括节点认 证协定和组加密密钥的分发。这里参照图5示出和描述可用于实施本发明的节点认证功能 的基于EAP架构的实施例。图5示出在请求加入911 -NOW网络的911 -NOW节点(指定为额外911 -NOW节点) 和被配置作为用于911-N0W网络的主认证节点911-N0W节点的911-N0W节点(指定为主认 证911-N0W节点)之间的通信。执行额外911-N0W节点和主认证911-N0W节点之间的交互, 用于认证额外911-N0W节点,包括向额外911-N0W节点分发一个或多个加密密钥。参照图 4所示和所述,额外911-N0W节点是911-N0W节点410,主认证911-N0W节点是911-N0W节 点 110B。如图5所示,911-N0W节点410和911-N0W节点IIOb交换适于使得911-N0W节 点IIOb能够认证911-N0W节点410的消息,包括认证参数的协定和一个或多个加密密钥从 911-N0W 节点 IIOb 到 911-N0W 节点 410 的分发。911-N0W 节点 410 和 911-N0W 节点 IIOb 使用911-N0W节点之间的关联无线网状连接112 (例如网状跳IP链路)经由中间911-N0W 节点IIOd和110。来交换消息。具体地,分别使用无线网状连接112,911-N0W节点410与 911-N0W节点IIOd通信,911-N0W节点IIOd与911-N0W节点IlOe通信,以及911-N0W节点 IlOc 与 911-N0W 节点 IIOb 通信。911 -NOW节点410和911 -NOW节点11 Ob通过使用修改的EAP (即使用现有EAP方法 之一的修改版本)交换消息来通信。可被修改以支持本发明的认证功能的EAP方法包括基 于证书的EAP方法(例如EAP-传输层安全(EAP-TLS)和类似EAP方法)、同样利用安全隧 道的基于证书的EAP方法(例如使用EAP-隧道传输层安全(EAP-TTLS),保护的-EAP (PEAP) 和类似EAP方法)等。与适于交换EAP认证消息的基于客户端_服务器的协议(例如远程 认证拨入用户服务(RADIUS)协议、DIAMETER协议、和类似协议)结合,使用EAP请求者-认 证者模型来实施本发明的修改的EAP方法。如图5所示,911-N0W节点410包括EAP请求者501和运行在RADIUS客户端504上的EAP认证者502,并且911-NOW节点IIOb包括运行在RADIUS服务器514上的EAP认证 者512,所述RADIUS服务器514具有关联的AAA数据库516。在EAP方法的现有方案中,EAP请求者和EAP认证者并非共置(即,EAP请求者是 例如膝上型电脑的最终用户设备,EAP认证者是例如WiFi热点节点的接入节点)。因此, 在EAP方法的这种现有方案中,EAP认证服务器和EAP请求者均可导出彼此独立的PMK,并 且EAP认证服务器将PMK提供至EAP认证者,从而EAP认证者和EAP请求者可使用PMK通 信(即,最终用户膝上型电脑可与包括认证者的接入节点安全地通信)。
在本发明的基于EAP方案中,如图5所示,EAP请求者501和EAP认证者502共置 在911-N0W节点410上。换句话说,911-N0W节点410包括EAP认证者功能和EAP请求者 功能。因此,由于EAP请求者501和EAP认证者502共置在911-N0W节点410上,911-N0W 节点410的EAP认证者502能够获得独立于EAP认证服务器512的PMK(因为EAP请求者 501能够导出独立于EAP认证服务器512的PMK,并内部地将PMK提供至EAP认证者502)。EAP请求者501和EAP认证者502使用内部消息来交换EAP消息(并非使用WiFi 或某些其他无线协议,这是在EAP请求者和EAP认证者没有共置于相同节点中的EAP方法 的现有方案中所需的)。换句话说,由于EAP请求者501和EAP认证者502共置在911-N0W 节点410中,所以911-N0W节点410支持在EAP请求者501和EAP认证者502之间的内部基 于EAP的消息传输。可使用用于EAP消息的内部通信的任意装置来实施在EAP请求者501 和EAP认证者502之间的内部基于EAP的消息传输。EAP认证者502和EAP认证服务器512使用RADIUS协议交换EAP消息。具体地,EAP 认证者502和EAP认证服务器512使用911-N0W节点410的RADIUS客户端504和911-N0W 节点IIOb的RADIUS服务器514之间的RADIUS消息传输来交换EAP消息。尽管主要示出 和描述使用RADIUS支持EAP认证者502和EAP认证服务器512之间的EAP消息传输,但是 可使用除了 RADIUS之外的协议来支持这样的EAP消息传输(例如使用DIAMETER或类似认 证协议)。在这些实施例中,RADIUS客户端504和RADIUS服务器514可通过用于交换EAP 消息的消息交换协议的类似客户端/服务器软件来代替。在911-N0W节点410上的EAP请求者501适于执行某些标准EAP功能,以及本发 明的额外认证功能。例如,当EAP请求者501仍旧导出PMK时,不使用PMK与接入节点安全 地通信,EAP请求者501使用内部消息传输将导出的PMK提供至EAP认证者502,所述内部 消息传输由EAP认证者502用在解密从911-N0W节点IIOb的EAP认证服务器向911-N0W节 点410的EAP认证者502提供的组加密密钥。911-NOff节点410上的EAP认证者502适于某些标准EAP功能,以及本发明的额 外认证功能。例如,当EAP认证者502仍旧与EAP认证服务器512通信时,不从EAP认证服 务器512接收PMK以及不使用PMK与最终用户设备安全地通信,EAP认证者使用从EAP请 求者501内部接收的PMK,以解密从911-N0W节点IIOb的EAP认证服务器向911-N0W节点 410的EAP认证者502提供的组加密密钥。911-N0W节点410上的EAP认证服务器512适于某些标准EAP认证功能,以及本发 明的额外认证功能。换句话说,EAP认证服务器512是在EAP标准中定义的现有EAP认证 服务器的修改版本。例如,除了执行标准认证参数协定功能,EAP认证服务器512使用导出 的PMK来加密组加密密钥,并将加密的组加密密钥提供至额外911-N0W节点410的EAP认证者502 (而并非将PMK提供至EAP认证者,由EAP认证者在认证远程EAP请求者时使用,即,用于认证最终用户设备);保持在PMK和额外911-NOW节点410之间的关联,以稍后使 用关联的PMK向额外911-NOW节点410分发组加密密钥(多个);以及执行类似功能,及其 各种组合。这里参照图6示出和描述使用EAP-TLS的修改版本认证基于911-N0W网络中的 911-N0W节点的方法,其中使用RADIUS来交换EAP消息。尽管这里主要示出和描述了使用 EAP-TLS和RADIUS的实施例,但是本发明可实施为通过使用各种其他EAP方案和关联EAP 消息交换协议来提供节点认证功能。因此,由于可使用各种不同EAP方案和关联EAP消息 交换协议来实施本发明的节点认证功能,所以这里参照图7示出和描述认证基于911-N0W 网络中的911-N0W节点的一般方法。图6示出根据本发明一个实施例的方法。具体地,图6的方法600包括无线网络 的主认证节点认证尝试加入无线网络的无线节点的方法(在其中使用EAP-TLS认证处理的 修改版本并将RADIUS用于交换认证消息的实施例的环境中示出和描述)。尽管这里主要 示出和描述连续执行,但是可同时,或以不同于参照图6所示和所述的顺序执行图6的方法 600的步骤的至少一部分。如图6所示,并且如这里参照图5所示和所述,911-N0W节点410的EAP请求者 501和EAP认证者502使用911-N0W节点410中的内部消息传输通信,并进而911-N0W节 点410的EAP认证者502 (经由RADIUS客户端504)使用外部消息传输(例如使用IP网状 跳)与911-N0W节点110B WEAP认证服务器512 (经由RADIUS服务器514)通信。尽管为 了清楚的目的从图6省略,但是在开始参照图6所示和所述的节点认证处理之前,911-N0W 节点410可向911-NOW节点IIOb声明其存在(例如使用存在通知消息、接入请求消息、或 类似消息)。在步骤602,认证者502通过向EAP请求者501提供EAP-请求身份消息来开始。 在步骤604,EAP请求者501通过向认证者502提供EAP-响应身份消息(可包括EAP请求 者501的标识符)来响应于EAP-请求身份消息。在步骤606,EAP认证者502使用RADIUS 接入请求消息(即作为RADIUS接入请求(ΕΑΡ-响应身份)消息)从EAP请求者501向EAP 认证服务器512发送EAP-响应身份消息。在EAP认证服务器512接收EAP-响应身份消息 之后,EAP认证服务器512开始与EAP请求者501的一个或多个回合的认证参数协定,以完 全认证911-N0W节点410 (包括向911-N0W节点410分发一个或多个组加密密钥)。在步骤608,EAP认证服务器512向EAP认证者502发送RADIUS接入提问消息(包 括EAP-请求消息)。在步骤610,EAP认证者502将EAP-请求消息(在来自EAP认证服务 器512的RADIUS消息中接收的)作为EAP-请求消息(其可指示所使用的EAP方法的类型, 图示地,EAP-TLS)转发至EAP请求者501。在步骤612,EAP请求者501通过向EAP认证者 502提供EAP-响应消息来响应EAP-请求身份消息。EAP-响应消息包括一个或多个认证参 数(例如EAP响应(TLSClientHello (randonO)消息)。在步骤614,EAP认证者502使用 RADIUS接入请求消息(即作为RADIUS接入请求(ΕΑΡ-响应(TLS ClientHello))消息)将 来自EAP请求者501的EAP-响应消息发送至EAP认证服务器512。在步骤616,EAP认证服务器512向EAP认证者502发送RADIUS接入提问消 息(包括EAP-请求消息)。在步骤618,EAP认证者502将EAP-请求消息(在来自EAP认证服务器512的RADIUS消息中接收的)作为EAP-请求消息转发至EAP请求者501。 EAP-请求消息(其可指示所使用的EAP方法的类型)包括一个或多个认证参数(例如 TLSClientHello(random2) > TLS Certificate、TLS server_key_exchange,禾口 TLS server— done)。在步骤620,EAP请求者501通过向EAP认证者502提供EAP-响应消息来响应于 EAP-请求消息。EAP-响应消息包括一个或多个认证参数(例如TLS client_key_exchange, TLS change_cipher_suite JPTLS finished)。在步骤 622,EAP 认证者 502 使用 RADIUS 接 入请求消息(即作为RADIUS接入请求(ΕΑΡ-响应)消息)将来自EAP请求者501的EAP-响 应消息发送至EAP认证服务器512。在步骤624,EAP认证服务器512向EAP认证者502发送RADIUS接入提问消息(包 括EAP-请求消息)。在步骤626,EAP认证者502将EAP-请求消息(在来自EAP认证服务 器512的RADIUS消息中接收的)作为EAP-请求消息转发至EAP请求者501。EAP-请求消 息包括一个或多个认证参数(例如TLS change_cipher_suite JPTLS finished)。在(经 由EAP认证者502)接收来自EAP认证服务器512的包括“TLS finished”指示符的EAP-请 求消息时,EAP请求者501知晓在EAP请求者501和EAP认证服务器512之间的TLS握手 完成,并因此EAP请求者501具有在TLS握手期间获得的足够信息,从而EAP请求者501可 导出主密钥(指定为MASTERKEY),并将导出的密钥提供至EAP认证服务器512。在步骤628,EAP请求者501导出主密钥。EAP请求者501使用伪随机函数(PRF) 导出主密钥,所述PRF将PREMASTERKEY、在TLS握手期间协定的“master secret”、第一随 机数(例如在步骤612从EAP请求者501向EAP认证者502发送的randoiV、和第二随机 数(例如在步骤618从EAP认证者502向EAP请求者501发送的random2)当作输入。在 步骤630,EAP请求者501向EAP认证者502提供EAP-响应消息。EAP-响应消息包括由 EAP请求者501计算的MASTERKEY。在步骤632,EAP认证者502将从EAP请求者501接收 的EAP-响应消息作为包括MASTERKEY的RADIUS接入请求消息(即作为RADIUS接入请求 (ΕΑΡ-响应)(MASTERKEY)消息)转发至EAP认证服务器512。在步骤633a,EAP请求者501导出独立于EAP认证服务器512的成对主密钥(PMK) (即,EAP认证服务器512不必向EAP请求者501提供PMK)。因此,由于EAP请求者501和 EAP认证者502共置在911-N0W节点410中,所以EAP认证者502能够从EAP请求者501内 部地获得PMK (并因此安全地),并且不依赖于EAP认证服务器512发送PMK。在步骤633z, EAP认证服务器512导出独立于EAP请求者501的成对主密钥(PMK)。在一个实施例中,EAP请求者501和EAP认证服务器512均使用伪随机函数(PRF) 导出PMK,所述PRF将EAP请求者501和EAP认证服务器512协定的认证参数的至少一部 分当作输入。在一个这样的实施例中,例如,EAP请求者501和EAP认证服务器512均使用 PRF 导出 PMK,所述 PRF 将 MASTERKEY、在 TLS 握手期间协定的 “client EAPencryption"参 数、第一随机数(例如在步骤612从EAP请求者501向EAP认证者502发送的randonO、和 第二随机数(例如在步骤618从EAP认证者502向EAP请求者501发送的random2)当作 输入。尽管示出和描述使用特定参数导出PMK,但是还可使用更少或更多参数,以及不同参 数。在步骤634,EAP认证服务器512向EAP认证者502发送RADIUSACCEPT (接受)消 息(包括EAP-成功消息)。EAP-成功消息包括由EAP认证服务器512使用PMK加密的组加密密钥。因此,本发明的基于EAP节点认证处理与现有基于EAP方案的不同在于,在本发明 的实施例中,EAP认证服务器512包括将组加密密钥包括在用于EAP请求者501的RADIUS ACCEPT消息中(并非将PMK包括在RADIUS ACCEPT消息中)。
换句话说,由于EAP请求者501能够导出PMK,并进而与911-N0W节点410中的 EAP认证者502共置,EAP认证者502能够使用内部消息传输从EAP请求者501局部获得 PMK(而不必从EAP认证服务器512接收RADIUS ACCEPT消息中的PMK)。因此,由于EAP认 证者502能够从共置的EAP请求者501局部获得PMK,所以本发明的EAP认证服务器512能 够通过使用PMK来加密组加密密钥,以使用PMK安全地向911-N0W节点410发送组加密密 钥。在步骤636,EAP认证者502将EAP-成功消息(在来自EAP认证服务器512的 RADIUS消息中接收的)作为EAP-成功消息转发至EAP请求者501。EAP-成功消息包括加 密的组加密密钥(使用PMK加密)。这样,尽管在EAP请求者501处接收的EAP-成功消息 不包括PMK (但是,在现有EAP方案中,EAP-成功消息包括PMK,而不包括不同密钥),但是 由于EAP请求者501导出PMK,所以共置的EAP认证者502能够解密在EAP-成功消息中接 收的加密的组加密密钥。在步骤638,EAP请求者501解密组加密密钥。EAP请求者501使用在EAP请求者 501导出的PMK解密加密的组加密密钥。在步骤640,EAP请求者501存储解密的组加密密 钥。在步骤642,方法600结束。此时,911-N0W节点410通过认证,并进而向其安全地提供 组加密密钥,其中911-N0W节点410可使用该组加密密钥与形成911-N0W网络的一个或多 个其他911-N0W节点110安全地通信。具体地,911-N0W节点410可使用组加密密钥来加 密用于其他911-N0W节点110的消息,并且可使用组加密密钥来解密从其他911-N0W节点 110接收的消息。图7示出根据本发明一个实施例的方法。具体地,图7的方法700包括无线网络 的认证服务器节点认证尝试加入无线网络的无线节点的方法。在一个实施例中,认证服务 器节点是图5和图6的EAP认证服务器512,尝试加入无线网络的无线节点是911-N0W节 点410,其包括图5和图6的EAP认证者502和EAP请求者501。换句话说,加入无线节点 是包括无线节点功能和目标节点(即请求者)功能的无线节点。因此,图7的方法700是图6的方法600的更一般版本(即因为在这里可使用协 议的许多不同组合来实施本发明的节点认证功能,所以未指定交换消息的协议)。尽管这里 主要示出和描述连续执行,但是可同时,或以不同于参照图7所示和所述的顺序执行图7的 方法700的步骤的至少一部分。方法700开始于步骤702,并进行到步骤704。在步骤704,加入无线节点(即期望由现有网络认证并加入现有网络的无线节点) 向认证服务器节点(即负责对尝试加入网络的节点认证的节点)发送到达通知。在步骤 706,认证服务器节点从加入无线节点接收到达通知。在步骤708,认证服务器节点向加入无 线节点发送到达确收。在步骤710,加入无线节点从认证服务器节点接收到达确收。在步骤711,在加入无线节点和认证服务器节点之间交换信息(例如认证参数)以 认证加入无线节点之前,加入无线节点和认证服务器节点可选地可建立安全隧道。在一个 实施例中,在加入无线节点和认证服务器节点之间交换任何信息之前是否建立安全隧道的 确定可取决于本发明的实施所基于的EAP协议的类型。例如,在使用EAP-TLS的修改版本实施本发明时,不建立安全隧道;然而,在使用EAP-TTLS、PEAP、或使用隧道的其他EAP类型 实施本发明时,建立安全隧道。 在一个实施例中,使用EAP-TTLS的修改版本实施本发明,认证服务器节点可包括 TTLS服务器,从而在加入无线节点和TTLS服务器之间建立TLS隧道,然后在TLS隧道上运 行EAP交换。在另一实施例中,使用PEAP的修改版本实施本发明,认证服务器节点可包括 PEAP服务器,从而在加入无线节点和PEAP服务器之间建立TLS隧道,然后在TLS隧道上运 行EAP交换。尽管这里主要示出和描述使用EAP-TTLS或PEAP隧道的修改版本,但是可使 用各种其他隧道类型。对于方法700,如果在加入无线节点和认证服务器节点之间不建立安全隧道,则使 用交换这种信息的任意装置来执行认证加入无线节点所借助的剩余步骤(其中在加入无 线节点和认证服务器节点之间交换信息)。类似地,对于方法700,如果在加入无线节点和 认证服务器节点之间建立安全隧道,则使用安全隧道执行认证加入无线节点所借助的剩余 步骤(其中在加入无线节点和认证服务器节点之间交换信息)。在步骤712,加入无线节点向认证节点发送认证请求。在步骤714,认证节点从加 入无线节点接收认证请求。在步骤716,加入无线节点和认证服务器节点执行认证协定, 由此加入无线节点和认证服务器节点交换消息,以协定认证参数。例如,在作为EAP-TLS 的修改版本实施本发明时,加入无线节点和认证服务器节点可交换EAP-请求和EAP-响应 消息,以协定并最终使认证参数达成一致(例如,以协定认证参数,例如randomp random2, TLS server_key_exchange、TLS change_cipher_suite 和类似认证参数,如参照图 6 的步 骤608-626所示和所述)。从步骤716,加入无线节点进行到步骤718a,认证服务器节点进行到718z,从而加 入无线节点和认证服务器节点两者均导出成对主密钥(PMK)。在步骤718A,加入无线节点 导出成对主密钥(PMK)。在步骤718z,认证服务器节点导出成对主密钥(PMK)。加入无线节 点和认证服务器节点均使用与认证节点协定的认证参数的至少一部分导出PMK。这样,由于 加入无线节点能够导出PMK(而不必等待认证服务器节点发送PMK),所以不需要认证服务 器节点向加入无线节点提供PMK,并进而,认证服务器节点可实际使用PMK,以向加入无线 节点安全地发送一个或多个其他加密密钥。从步骤718z,认证服务器节点进行到步骤720。在步骤720,认证服务器节点使用PMK来加密组加密密钥。在步骤722,认证服务 器节点向加入无线节点发送加密的组加密密钥。在步骤724,加入无线节点从认证服务器节 点接收加密的组加密密钥(即从步骤718A,加入无线节点等待从认证服务器节点接收加密 的组加密密钥(在步骤724))。在步骤726,加入无线节点使用由加入无线节点独立导出的 PMK来解密加密的组加密密钥。在步骤728,加入无线节点存储组加密密钥,然后加入无线 节点使用该组加密密钥与网络的其他节点安全地通信。在步骤728,方法700结束。尽管这里示出和描述了认证服务器节点向加入无线节点提供一个组加密密钥的 实施例,但是在本发明的某些实施例中,可从认证服务器节点向加入无线节点提供多个组 加密密钥。在这些实施例中,组加密密钥可包括单播加密密钥、多播加密密钥、和/或广播 加密密钥的任意组合。如上所述,在加入无线节点被认证服务器节点认证并加入无线网络,并且接收和 存储一个或多个组加密密钥之后,无线节点可使用组加密密钥(多个)与网络的其他无线节点安全地通信。在一个实施例中,例如,无线节点可使用WiFi通信,从而形成无线节点的网状网络。在一个实施例中,例如,无线节点在从无线节点所服务的无线用户设备接收分组 时可从存储器提取所存储的组加密密钥之一,使用组加密密钥加密所接收的分组,并向一 个或多个其他无线节点发送所加密的分组(即,以将加密的分组传播至一个或多个无线节 点,服务于分组被指定的一个或多个其他无线用户设备)。例如,在所接收的分组被指定用于一个其他无线用户设备时,无线节点可使用单 播加密密钥来加密所接收的分组。类似地,例如,在所接收的分组被指定用于其他无线用户 设备的子集时,无线节点可使用多播加密密钥来加密所接收的分组。类似地,例如,在所接 收的分组被指定用于网络中所有其他无线用户设备时,无线节点可使用广播加密密钥来加 密所接收的分组。在一个实施例中,例如,无线节点在从另一无线节点接收分组时可识别解密分组 所需的组加密密钥之一,从存储器提取所识别的组加密密钥之一,使用所提取的组加密密 钥来解密加密的分组,以及向分组所指定的无线用户设备(多个)发送所解密的分组。在 无线节点上存储多个组加密密钥的实施例中,无线节点可通过任意方式识别解密分组所需 的组加密密钥之一。尽管这里主要示出和描述了在无线网络中的无线节点之一(被配置为用于无线 网络的主认证节点的无线节点)执行本发明的认证功能的实施例,但是在其他实施例中, 本发明的认证功能可通过不同元件执行,或在多个网络元件之间分发。例如,这样的网络元 件可包括作为网状无线网络一部分的指定认证服务器节点(例如并非支持用户业务的无 线节点之一还负责提供认证功能的方案)、作为现有网络架构一部分的指定认证节点(例 如现有核心网络中的AAA服务器)、管理系统等,及其各种组合。尽管这里主要示出和描述了无线节点的初始认证,以及一个或多个组加密密钥向 认证的无线节点的初始分发,但是由于对于网络有效的组加密密钥的列表可随时间改变, 所以本发明还可用于向无线网络的现有无线节点分发更新的组加密密钥。参照图8示出和 描述根据在现有无线网络中分发更新的分组加密密钥的一个实施例的方法。图8示出根据本发明一个实施例的方法。具体地,图8的方法800包括无线网络 的认证服务器节点向无线网络的一个或多个无线节点分发更新的组加密密钥的方法。在无 线网络中的新组加密密钥的使用增加了无线网络的无线用户设备之间的通信安全。尽管这 里主要示出和描述连续执行,但是可同时,或以不同于参照图8所示和所述的顺序执行图8 的方法800的步骤的至少一部分。方法开始于步骤802,并进行到步骤804。在步骤804,认证服务器节点获得新组加密密钥。在一个实施例中,认证服务器节 点可导出新组加密密钥。在另一实施例中,认证服务器节点可接收新组加密密钥(例如在 新组加密密钥被不同网络元件导出并提供至认证服务器节点时)。新组加密密钥可以是新 组加密密钥或代替组加密密钥(即,被指定为代替现有组加密密钥(多个))。在这些实施例中,新组加密密钥可按任意方式导出,并用于任何理由。例如,可响 应于事件或条件等,及其各种组合,周期性导出新组加密密钥。在例如周期性导出新组加密 密钥的一个实施例中,每个组加密密钥可具有关联参数(多个),其表示组加密密钥有效的 时间长度(例如使用定时器、到期时间等),从而负责导出新组加密密钥的网络元件知晓何时需要导出和分发新组加密密钥。在步骤806,认证服务器节点识别应接收新组加密密钥的无线节点。在一个实施例 中,对于每个组加密密钥,认证服务器节点可保持组加密密钥到存储和使用组加密密钥的 每个无线节点(多个)的映射。在该实施例中,在新组加密密钥代替现有组加密密钥时,认 证服务器节点可识别使用在组加密密钥和无线节点之间的该映射应接收新组加密密钥的 无线节点(多个)。在每次新无线节点加入网络时,以及每当新组加密密钥被导出和分发至 无线节点时,可更新这个映射。与组加密密钥关联的无线节点数目(并因此,由认证服务器节点识别)取决于组 加密密钥是单播组加密密钥、多播组加密密钥、还是广播组加密密钥。例如,对于单播组加 密密钥或多播组加密密钥,无线网络中的某些或所有无线节点可被识别为应接收新组加密 密钥的无线节点。例如,对于广播组加密密钥,无线网络中的所有无线节点可被识别为应接 收新组加密密钥的无线节点。在步骤808,认证服务器节点获得用于所识别的无线节点的PMK(多个)。在一个 实施例中,认证服务器节点保持在网络中的每个无线节点和关联PMK之间的映射,其中所 述关联PMK是在无线节点加入网络时被导出用于该无线节点的(例如使用参照图7所示和 所述的分发700)。在认证服务器节点保持在每个组加密密钥与存储和使用该组加密密钥的 无线节点(多个)之间的映射的一个这种实施例中,映射还可包括PMK信息(即包括为每 个无线节点导出的PMK)。在步骤810,认证服务器节点使用所获得的PMK(多个)加密新组加密密钥。如果仅 存在一个必须将新组加密密钥发送至的无线节点,则仅需要新组加密密钥的一个副本(和 用于分发他的消息);然而,在存在多个必须将新组加密密钥发送至的无线节点时,可创建 新组加密密钥的多个副本,从而可使用与不同无线节点关联的不同PMK加密不同副本。在步骤812,认证服务器节点向所识别的无线节点(多个)提供新组加密密钥。 如上所述,在接收新组加密密钥时,接收加密的组加密密钥的无线节点使用PMK解密新组 加密密钥,并存储解密的新组加密密钥用于与网络的其他无线节点通信。在步骤814,方法 800结束。例如,在识别出3个不同无线节点(节点1、节点2、和节点3),并且他们分别具有 3个不同PMK (例如PMK1、PMK2、和PMK3)时,认证服务器节点需要创建新组加密密钥的3个 不同副本(即使用PMKl加密的第一副本、使用PMK2加密的第二副本、和使用PMK3加密的 第三副本)。在该实例中,认证服务器节点向所识别的无线节点提供新组加密密钥的不同加 密的副本(S卩,认证节点向节点1提供使用PMKl加密的第一副本,向节点2提供使用PMK2 加密的第二副本,以及向节点3提供使用PMK3加密的第三副本)。图9示出适用于执行这里所述功能的通用计算机的高级框图。如图9所示,系统 900包括处理器元件902 (例如CPU);存储器904,例如随机存储器(RAM)和/或只读存储 器(ROM);节点认证模块905 ;和各种输入/输出设备906 (例如存储设备包括但不限于,磁 带驱动器、软盘驱动器、硬盘驱动器或压缩盘驱动器、接收器、发射器、扬声器、显示器、输出 端口、和用户输入设备(例如键盘、键板、鼠标等))。应注意,本发明可例如使用专用集成电路(ASIC)、通用计算机或任意其他硬件等 同物在软件中和/或在软件和硬件的组合中实施。在一个实施例中,当前的节点认证处理905可加载到存储器904中,并由处理器902执行,以实施上述功能。这样,本发明的节点认 证处理905 (包括关联数据结构)可存储在计算机可读介质或载体上,例如RAM存储器、磁 盘或光盘驱动器或软盘等。尽管这里主要示出和描述了使用可快速部署节点(例如这里所示和所述的 911-N0W节点)在紧急响应情形中部署无线网络,但是还可使用可快速部署节点在各种其 他情形中部署无线网络。在一个实施例中,可快速部署节点可用在大批群众环境中。例如, 可快速部署节点可在大批群众事件期间部署,例如体育事件(例如在主办超级碗的城市 中,在主办奥林匹克的城市中等)、演唱会等。在一个实施例中,可快速部署节点可被用作用 于商业蜂窝网络的快速代替网络(即,在现有网络架构不可用时,代替这种架构)。在一个 实施例中,可快速部署节点可用在军事环境中(例如在战地上或在其他情形中形成可快速 部署网络)。因此,除了紧急响应应用之外,根据本发明的可快速部署节点还可用于各种其他 应用,因此可被部署在除了紧急情形之外的各种其他情形中。因此,术语“紧急站点”在这 里用于指示可部署一个或多个可快速部署节点以形成无线网络的地理位置,更一般地其可 称为“网络站点”(即,部署可快速部署节点以支持无线通信的站点)。类似地,与紧急应用 主要关联的其他术语可更一般地依据部署可快速部署节点的应用来称呼。换句话说,可将 任意数目的根据本发明的可快速部署节点部署在任意地理位置,以形成用于任何理由的无 线网络。此外,尽管这里主要示出和描述了可快速部署网络,但是本发明可用在各种其他 对等网络中。在节点可到达现有网络并请求被认证以能够加入网络的任意对等网络中,本 发明是有益的。本发明提供在对等网络中分发加密密钥的更安全方法。尽管主要示出和描 述了使用EAP-TLS的修改版本实施,但是本发明可使用各种其他EAP协议的修改版本来实 施。类似地,尽管这里主要示出和描述了使用EAP的修改版本实施,但是本发明还可使用其 他认证协议来实施。可理解,这里作为软件方法讨论的步骤中的某些可在硬件中实施,例如作为与处 理器协作以执行各种方法步骤的电路实施。本发明的某些部分可作为计算机程序产品实 施,其中在计算机处理时,计算机指令适应计算机的操作,从而调用或提供本发明的方法和 /或技术。调用本发明方法的指令可存储在固定或可移除介质中,可在广播或其他信号承载 介质中经由数据流发送,和/或可存储在根据指令操作的计算设备中的工作存储器中。尽管这里详细示出和描述了结合本发明的教导的各个实施例,但是本领域普通技术人员可容易设计出仍旧结合这些教导的许多其他改变的实施例。
权利要求
一种对请求加入无线网络的无线节点的认证方法,包括在认证服务器节点处接收来自所述无线节点的认证请求;与所述无线节点协定至少一个认证参数;使用所述至少一个认证参数导出第一加密密钥,其中在所述无线节点处独立地导出所述第一加密密钥;使用所述第一加密密钥加密第二加密密钥;以及向所述无线节点传播加密的第二加密密钥。
2.如权利要求1所述的方法,其中所述第一加密密钥包括可扩展认证协议(EAP)成对 主密钥(PMK)。
3.如权利要求1所述的方法,其中所述第二加密密钥包括单播加密密钥、多播加密密 钥、和广播加密密钥之一。
4.如权利要求1所述的方法,其中使用EAP方法执行与所述认证服务器节点协定至少 一个认证参数的步骤。
5.如权利要求1所述的方法,还包括在接收所述认证请求之后以及在协定所述至少一个认证参数之前,在所述无线节点和 所述认证服务器节点之间建立安全隧道;以及使用所述安全隧道与所述无线节点协定所述至少一个认证参数。
6.如权利要求5所述的方法,其中使用EAP-TTLS和PEAP之一建立所述安全隧道。
7.如权利要求1所述的方法,还包括响应于第三加密密钥可用于所述无线节点的确定,使用所述第一加密密钥加密所述第 三加密密钥,以及向所述无线节点传播加密的第三加密密钥。
8.如权利要求1所述的方法,其中所述无线节点包括接入节点部分和请求者节点部 分,其中所述请求者节点部分适于导出用于解密所述加密的第二加密密钥的所述第一加密 密钥。
9.一种对请求加入网络的目标节点的认证装置,包括 在认证服务器节点处接收来自所述无线节点的认证请求的部件; 与所述无线节点协定至少一个认证参数的部件;使用所述至少一个认证参数导出第一加密密钥的部件,其中在所述无线节点处独立地 导出所述第一加密密钥;使用所述第一加密密钥加密第二加密密钥的部件;以及 向所述无线节点传播加密的第二加密密钥的部件。
10.一种对请求加入网络的无线节点的认证方法,包括 与认证服务器节点协定至少一个认证参数;在所述无线节点处导出第一加密密钥,其中所述第一加密密钥是使用所述至少一个认 证参数导出的,其中在所述认证服务器节点处独立地导出所述第一加密密钥;以及从所述认证服务器节点接收包括加密的第二加密密钥的消息,其中所述加密的第二加 密密钥是使用所述第一加密密钥来加密的,其中所述第二加密密钥适用于由所述节点与所 述网络的至少一个其他节点通信。
全文摘要
本发明包括对请求加入网络的无线节点的认证方法和装置。方法包括从所述无线节点接收认证请求;与所述无线节点协定至少一个认证参数;使用所述至少一个认证参数导出第一加密密钥;使用所述第一加密密钥加密第二加密密钥;以及向所述无线节点传播所加密的第二加密密钥,其中所述无线节点独立地导出所述第一加密密钥,用于解密从所述认证服务器节点接收的所加密的第二加密密钥。所述无线节点解密所加密的第二加密密钥,并存储所述第二加密密钥,用于与网络的其他无线节点安全地通信。在一个实施例中,本发明可使用EAP-TLS协议的修改版本来实施,其中并非从认证服务器节点向无线节点发送成对主密钥(PMK),认证服务器节点和无线节点均导出PMK,并且认证服务器节点通过使用PMK加密组加密密钥,从而向无线节点安全地提供组加密密钥。
文档编号H04W12/04GK101810019SQ200880108732
公开日2010年8月18日 申请日期2008年9月23日 优先权日2007年9月27日
发明者C·帕耶特, M·M·布达伊科特 申请人:朗讯科技公司