专利名称:分布式mesh网络密钥管理方法和无线接入点设备的制作方法
技术领域:
本发明涉及移动通信技术,特别涉及一种分布式MESH网络链路加密方法和无线 接入点设备。
背景技术:
符合IEEE802. Ils标准的无线局域网称为网状(MESH)网络。目前,根据配置管理 方式和安全策略应用方式的不同,MESH网络分为集中控制式和分布式两种。在分布式MESH 网络中,网络中没有管理和配置中心,每一 MESH网络无线接入点(Mesh Access Point,MP) 独立运行,即每一个MP独立进行配置,独立应用安全策略,独立转发数据报文。分布式 MESH网络结构的一个具体实施例如图1所示,将图中所示的5个MP分别标记为MP1、MP2、 MP3、MP4和MP5,图中的点线表示MESH链路,各个MP之间通过MESH链路进行通信。MESH链路在传输数据时采用密钥对数据进行加密,即MESH链路的双方MP分别使 用密钥对数据加解密,因此密钥的管理是MESH安全体系中的关键部分。MESH网络中的密 钥管理方法称为MESH密钥分发者(MESHKey Distributor, MKD)分层密钥机制,在这一机 制中存在MKD、认证方与被认证方。MKD是MESH网络的密钥生成和分发者,是MESH网络的 安全认证中心。认证方(Authenticator)是建立MESH链路时的认证方,需要在MKD的协助 下完成认证过程。能担当Authenticator的MP必须已经获得MKD的认证,已经与MKD建立 了安全的通信通道,这样的MP也称为MESH认证方(Mesh Authenticator, ΜΑ)。被认证方 (Supplicant)是建立MESH链路时的被认证方。在一次安全认证过程中,Supplicant既可 以是未经MKD认证的MP,也可以是MA。当被认证方是MA时,虽然建立MESH链路的双方都 具备MA的资格,但是在本次认证中分任认证方和被认证方的角色。根据MKD为MESH网络划分MKD域。MKD域通过MKD域身份标识(MKDD-ID)进行标 识。每一个MKD域中只有一个MKD,并且至少有一个MA。在同一 MKD域内的MP执行相同的 安全认证策略。目前的实现中,每个MESH网络中都只有一个MKD域,即单域的MESH网络。MESH链路的密钥分为4个层次,图2为MESH链路密钥分层示意图,参见图2。其中 第一层密钥为预共享密钥(PSK),从用户配置的共享式密码生成,由MKD和被认证方持有。 第二层密钥为MKD成对主控密钥(PMK-MKD),从PSK生成,由MKD和被认证方持有,当同一个 MP通过建立多条MESH链路加入同一个MKD域时,所对应的PMK-MKD只有一个,如果一个MP 在同一个MKD域的不同MESH链路认证中得到的PMK-MKD不同,则该MP认为MESH链路安全 出现问题,因此将当前全部MESH链路关闭。第三层密钥为MA成对主控密钥(PMK-MA),从 PMK-MKD生成,由MKD、认证方和被认证方持有,与多个认证方建立MESH链路时,对应每一个 认证方生成不同的PMK-MA。第四层密钥为成对临时密钥(PTK),从PMK-MA生成,由认证方 和被认证方协商而得,共同持有,对于加入某一 MKD域内的某一 MP而言,PTK用于实际MESH 链路的加解密,不同的MESH链路有不同的PTK,而且每一链路的PTK在超过设定时间之后还 会自动更新,以降低破解密钥的概率。认证方和被认证方之间通过4次握手的方式协商PTK。其过程是MKD为被认4证方随机分配一个数值,称为MESH PTK A随机数(MPTK-Anonce),每一 MP —次只会分配 一个MPTK-Anonce。然后MKD为被认证方生成对应的PMK-MKD和PMK-MA,将PMK-MA和 MPTK-Anonce发送给认证方,通知认证方开始4次握手,与被认证方协商对应链路的PTK。4 次握手中,认证方向被认证方发送第1个报文,该报文携带MPTK-Anonce,被认证方通过第 1个报文携带的MPTK-Anonce计算出PMK-MKD、PMK-MA,并为对应的MESH链路随机分配的 随机数,称为MESH PTK S随机数(MPTK-Snonce),进而根据MPTK-Snonce计算出PTK。与 MPTK-Anonce不同,MP每次生成MPTK-Snonce都不同,而且在PTK自动更新时也会变化。被 认证方向认证方发送第2个报文,该报文携带MPTK-Snonce,认证方通过第2个报文携带的 MPTK-Snonce计算PTK。通过第3个和第4个报文,认证方发送组播密钥,并且双方验证计 算的PTK的一致性,最终认证方和被认证方获得一致的PTK。采用上述MESH链路密钥管理方法,在分布式MESH网络中,由于不存在安全认证和 管理中心,每一个MP上都同时存在作为MKD和作为认证方的两种功能。在建立MESH连接 时,两个MP分别为认证方和被认证方,这一结构的示意图如图3所示。在图1所示的分布式 MESH网络中,以MP2与MP3建立MESH连接为例,MP2为认证方,MP3为被认证方,则位于MP3 上的MKD功能部分作为上述MESH链路密钥管理方法中的MKD,负责完成对该链路的MESH安 全处理,生成PMK-MKD和PMK-MA、分配MPTK-Anonce,而MP2上的认证方功能部分则作为上 述MESH链路密钥管理方法中的认证方,根据PMK-MA和MPTK-Anonce等,与MP3协商和计算 出PTK。同样的,如果以MP3与MP5建立MESH链路为例,MP5为认证方,MP3为被认证方,则 MP5上的MKD功能部分作为上述MESH链路密钥管理方法中的MKD,为MP3生成PMK-MKD和 PMK-MA、分配MPTK-Anonce。在目前单域MESH网络的情况下,在上述两次建立MESH链路过 程中,因为MP3、MP2和MP5位于同一个MKD域中,因此要求这两次认证过程中MP3获得的 PMK-MKD必须相同,因而要求MP2与MP5为MP3生成的MPTK-Anonce必须相同。否则,如果 MP3在同一 MKD域内的不同MESH链路认证中收到不同的MPTK-Anonce,则MP3认为MKD不 一致,MESH链路安全出现问题,因此MP3会关闭当前全部MESH链路。为了保证同一 MP在同 一 MKD域内的不同MESH链路认证中收到的MPTK-Anonce相同,目前分布式MESH网络在为 被认证方分配MPTK-Anonce时,以MESH网络的标识符(MESH ID)和被认证方的物理(MAC) 地址作为MPTK-Anonce生成函数的种子,因为同一个MKD域的MESH ID和某一 MP的MAC地 址均固定不变,因此MPTK-Anonce固定不变的,同一 MP在同一 MKD域内的不同MESH链路认 证中收到的MPTK-Anonce相同。但是采用上述密钥管理方法,由于同一个MP加入同一网络的MPTK-Anonce固定不 变,并且在上述4次握手协商PTK的过程中,第1个报文携带的MPTK-Anonce并未加密,因 此同样的数值在4次握手的报文中反复出现,增大了 MPTK-Anonce被监听和获取的可能性, 因而增大了密钥被破解的可能性,从而降低了 MESH链路的安全性。
发明内容
本发明实施例提供一种分布式MESH网络密钥管理方法,以增大MESH链路密钥管 理的安全性。本发明实施例提供一种MP设备,以增大MESH链路密钥管理的安全性。针对第一个目的,本发明实施例的技术方案具体是这样实现的
一种分布式网状MESH网络密钥管理方法,包括以下步骤MESH网络中的无线接入点MP在与其它MP建立MESH链路时,由作为认证方的MP 作为MESH密钥分发者MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD 域,将MESH网络划分成多个MKD域;每个MKD域的MKD分别为本MKD域中作为被认证方的MP分配MESH成对临时密钥 A随机数MPTK-Anonce,属于多个MKD域的MP接收到不同的MPTK-Anonce ;在每个MKD域中,被认证方根据本MKD域的MKD分配的MPTK-Anonce与本MKD域 的认证方通过4次握手的方式协商成对临时密钥PTK。上述方案中,所述将MESH网络划分成多个MKD域之后进一步包括为每个MKD域配置不同的MKD域身份标识MKDD-ID,所述通过4次握手的方式协 商成对临时密钥PTK时,每个MKD域内的认证方和被认证方根据本MKD域的MKDD-ID计算 MKD成对主控密钥PMK-MKD。上述方案中,所述将MESH网络划分成多个MKD域之后进一步包括为同一 MESH网络中的所有MKD域配置相同的MKDD-ID,所述通过4次握手的方式 协商成对临时密钥PTK时,每个MKD域内的认证方和被认证方根据认证方的指定参数计算 MKD成对主控密钥PMK-MKD。上述方案中,所述认证方的指定参数为认证方的物理MAC地址。上述方案中,该方法进一步包括所述MESH网络中的无线接入点MP在与其它MP建立MESH链路时,作为被认证方 的MP在建立每一个初始MESH连接的同时,记录该连接对应的MKD域;当MP接收到MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP确定该 MPTK-Anonce 对应的 MKD 域;如果MP接收到两个或两个以上的MPTK-Anonce对应相同的MKD域,则MP断开在 该MKD域内自身的所有MESH链路;否则,不断开现有的MESH链路。针对第二个目的,本发明实施例是这样实现的一种无线接入点MP设备,该MP设备包括MKD功能模块,用于为作为被认证方的MP随机分配并发送MPTK-Anonce,计算生成 PMK-MKD和MA成对主控密钥PMK-MA并发送给认证方功能模块;认证方功能模块,根据MKD功能模块发来的PMK-MKD和PMK-MA与作为被认证方的 MP通过4次握手的方式协商PTK ;被认证方功能模块,接收作为MKD的MP发来的MPTK-Anonce,根据MPTK-Anonce与 作为认证方的MP通过4次握手的方式协商PTK ;控制模块,确定本MP所在的MKD域以及本MP的角色,如果本MP为认证方,将本MP 确定为MKD,将本MP和以本MP为认证方的被认证方MP确定为一个MKD域,启动MKD功能 模块和认证方功能模块;如果本MP为被认证方,将本MP作为被认证方的认证方MP确定为 MKD,并将该MP和以该MP为认证方的被认证方MP确定为一个MKD域,启动被认证方功能模块。上述方案中,所述认证方功能模块或被认证方功能模块为每个MKD域配置不同的MKDD-ID,所述通过4次握手的方式协商PTK时,根据本MKD域的MKDD-ID计算PMK-MKD。上述方案中,所述认证方功能模块或被认证方功能模块为同一 MESH网络中的所有MKD域配置 相同的MKDD-ID ;所述通过4次握手的方式协商PTK时,如果所述控制模确定本MP为认证方,则所 述认证方功能模块提供认证方指定参数并发送给被认证方;如果所述控制模确定本MP为 被认证方,则所述被认证方功能模块根据从认证方接收的认证方指定参数计算PMK-MKD。上述方案中,所述认证方指定参数为认证方的MAC地址。上述方案中,所述被认证方功能模块在建立每一个初始MESH连接的同时记录 该连接对应的MKD域,每当接收到作为MKD的MP发来的MPTK-Anonce时,根据发送该 MPTK-Anonce的认证方MP确定该MPTK-Anonce对应的MKD域,如果接收到两个或两个以上 的MPTK-Anonce对应相同的MKD域,则断开在该MKD域内自身的所有MESH链路;否则,不断 开现有的MESH链路。由上述的技术方案可见,本发明以认证方为中心将MESH网络划分成多个MKD域, 由作为认证方的MP作为MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个 MKD域,每个MKD域的MKD为本MKD域中的被认证方分配MPTK-Anonce,被认证方根据本MKD 域的MKD分配的MPTK-Anonce与本MKD域的认证方通过4次握手的方式协商PTK。由于根据 认证方将MESH网络划分为多个MKD域,每个MKD域独立为域内被认证方分配MPTK-Anonce, 因此,当某个MP作为被认证方加入不同的MKD域时,在不同的MKD域中获得的MPTK-Anonce 不同,而在密钥管理过程中根据MPTK-Anonce协商获得各层密钥,因此增加了密钥管理的 安全性和可靠性,降低了密钥被破解的概率。
图1为分布式MESH网络结构示意图;图2为MESH链路密钥分层示意图;图3为分布式MESH网络MP功能示意图;图4为本发明实施例分布式MESH网络密钥管理方法流程图;图5为本发明实施例分布式MESH网络中多MKD域划分的示意图;图6为本发明实施例MP内部结构示意图。
具体实施例方式为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对 本发明进一步详细说明。目前的MESH标准中并未限制同一个MESH网络只能存在一个MKD域,在本发明实 施例中,根据认证方将MESH网络划分成多个MKD域,每个MKD域独立计算MESH链路的各层 密钥。采用本发明实施例提出的划分多个MKD域的方法,分布式MESH网络链路密钥的管 理方法的流程如图4所示,具体包括以下步骤步骤401 根据认证方将MESH网络划分成多个MKD域。
本步骤中根据认证方将MESH网络划分成多个MKD域的具体方法是MESH网络中 的MP在与其它MP建立MESH链路时,由作为认证方的MP作为MKD,由该MP和所有以该MP 作为认证方的被认证方MP组成一个MKD域。因此,按照上述划分方法,同一个MP可以处于 多个MKD域中,但只能在其中一个MKD域中担当MKD角色,S卩只能在该MP作为认证方的MKD 域中作为MKD。步骤402 每个MKD域的MKD分别为本MKD域中作为被认证方的MP分配 MPTK-Anonce。
因此,如果某一个MP在多个MKD域中均作为被认证方,该MP将会分别接收来自不 同MKD域的多个MPTK-Anonce,上述多个MPTK-Anonce可能并不相同,与现有方法不同的是, 本发明实施例中该MP在接收到多个不同的MPTK-Anonce时,不再将所有MESH链路断开。为 实现MP在收到来自不同的MKD域的不同的MPTK-Anonce时不断开MESH链路,作为被认证 方的MP在建立每一个初始MESH连接的同时,记录该连接对应的MKD域,每当MP接收到一 个MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP确定该MPTK-Anonce对应的MKD 域。当MP接收到多个不同的MPTK-Anonce时,分别确定每个MPTK-Anonce对应的MKD域, 如果它们分别对应不同的MKD域,则不断开现有的MESH链路;如果它们对应同一个MKD域, 则MP断开在该MKD域内自身的所有MESH链路。步骤403 在每个MKD域中,被认证方根据本MKD域的MKD分配的MPTK-Anonce与 本MKD域的认证方通过4次握手的方式协商PTK。此步骤中,认证方与被认证方通过4次握手的方式协商PTK的方法与背景技术中 所述的相同,在此不再赘述。如果某一个MP在多个MKD域中均作为被认证方,该MP根据某 一个MKD域的MKD分配的MPTK-Anonce,与该MKD域的认证方通过4次握手的方式协商PTK, 并且采用同样的方法完成该MP所在的不同MKD域中的4次握手。下面以图1所示的分布式MESH网络为例,对图4所示的分布式MESH网络链路密 钥管理方法进行详细说明。首先,根据认证方将MESH网络划分成多个MKD域。以图1所示分布式MESH网路 为例,对其进行MKD域划分的示意图如图5所示。参见图5,以认证方为中心,将该网络划 分为3个MKD域,分别标记为MKD域1、MKD域2和MKD域3,具体划分方法为在建立MESH 链路时,以MP2作为认证方的被认证方包括MPl和MP3,则MP2为认证方和MKD,由MP2、MP1 和MP3三者组成MKD域1。在建立MESH链路时,以MP4作为认证方的被认证方仅包括MP2, 则MP4为认证方和MKD,由MP4和MP2 二者组成MKD域2。在建立MESH链路时,以MP5为认 证方的被认证方仅包括MP2,则MP5为认证方和MKD,由MP5和MP2 二者组成MKD域3。按 照上述多域划分方法,MP2位于多个MKD域中,但只有在MP2作为认证方的MKD域1中作为 MKD,在其它的MKD域中,MP2仅作为被认证方。然后,每个MKD域的MKD分别为本MKD域中作为被认证方的MP分配MPTK-Anonce。 按照图5所示进行MKD域划分的MESH网络,在MKD域1中,MP2作为MKD,为MPl和MP3分 别分配MPTK-Anonce。在MKD域2和MKD域3中,MP2作为被认证方,分别接收MP4和MP5 分配的MPTK-Anonce,因为来自MP4和MP5的MPTK-Anonce属于不同的MKD域,因此在本发 明实施例中当MP2接收到来自MP4和MP5的不同的MPTK-Anonce时,不断开MESH链路。最后,在进行4次握手协商PTK时,在MKDl域中,MPl与MP3分别根据MP2分配8的MPTK-Anonce与MP2通过4次握手的方式协商PTK。在MKD域2中,MP2根据MP4分配 的MPTK-Anonce与MP4通过4次握手的方式协商PTK。在MKD域3中,MP2根据MP5分配的 MPTK-Anonce与MP5通过4次握手的方式协商PTK。进一步地,在采用上述将MESH网络划分为多MKD域的链路密钥管理方法的基础 上,本发明实施例还提出对多MKD域的MKDD-ID进行更优化的改进。与现有的密钥管理方法相同的是,MKD域通过配置的MKDD-ID进行标识,在MP相 互认证过程中,通过MP的信标(Beacon)报文和探测O^robe)报文发送给其它MP。根据 MESH标准802. lls-draftl. 06,在4次握手协商PTK过程中的计算PMK-MKD时,需要用到 MKDD-ID。因此,可以为每个MKD域配置不同的MKDD-ID,也可以采取一种更优化的方法,其 具体如下所述。分布式MESH网络中,在建立MESH链路时,通过建立MESH链路的双方MP协商确定 某个MP担任认证方或被认证方角色,并且,当某一 MP在实际组网中不断移动时,对端MP在 不断变化,因此该MP所担任的角色也会不断变化,因此,如果不同MKD域配置不同MKDD-ID, 配置工作量巨大,而且网络规模的扩展性差。为此,本发明实施例提出,不区分MP所属的 MKD域,为同一 MESH网络中的所有MP配置相同的MKDD-ID,在Beacon报文和Probe报文中 对应的MKDD-ID中也填写该MKDD-ID ;但是,在实际计算PMK-MKD时,用认证方的指定参数 替换MKDD-ID进行计算,一种较优的方法是采用认证方的MAC地址作为该指定参数,也可以 采用其它可以认证方的相关参数作为指定参数。因此,既不必在每个MP上根据不同的MKD 域配置大量的MKDD-ID,也能够实现在多MKD域的划分的MESH网络中各个MKD域独立计算 PMK-MKD,进而独立计算MESH链路的各层密钥。采用本发明所述的划分多个MKD域的分布式MESH网络链路密钥的管理方法,需要 相应地对MP进行改进,本发明实施例中MP的内部结构如图6所示。参见图6,MP内部包括 MKD功能模块601、认证方功能模块602和被认证方功能模块603,在本发明实施例中,为实 现多MKD域划分的MESH网络链路密钥管理方法,在MP中加入控制模块604。MKD功能模块601,用于为作为被认证方的MP随机分配并发送MPTK-Anonce,计算 生成PMK-MKD和PMK-MA并发送给认证方功能模块602。认证方功能模块602,根据MKD功能模块601发来的PMK-MKD和PMK-MA与作为被 认证方的MP通过4次握手的方式协商PTK。被认证方功能模块603,接收作为MKD的MP发来的MPTK-Anonce,确定该 MPTK-Anonce对应的MKD域,根据MPTK-Anonce与作为认证方的MP通过4次握手的方式协 商PTK ;为实现MP在收到来自不同的MKD域的不同的MPTK-Anonce时不断开MESH链路,被 认证方功能模块603在建立每一个初始MESH连接的同时记录该连接对应的MKD域,每当接 收到一个MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP确定该MPTK-Anonce对应 的MKD域,分别确定每一个MPTK-Anonce对应的MKD域,如果不同的MPTK-Anonce对应不同 的MKD域,则不断开现有的MESH链路,如果两个或两个以上的MPTK-Anonce对应同一个MKD 域,则断开本MP在该MKD域内的MESH链路。控制模块604,确定本MP所在的MKD域以及本MP的角色,如果本MP为认证方,将 本MP确定为MKD,将本MP和以本MP为认证方的被认证方MP确定为一个MKD域,启动MKD 功能模块601和认证方功能模块602 ;如果本MP为被认证方,将本MP作为被认证方的认证方MP确定为MKD,并将该MP和以该MP为认证方的被认证方MP确定为一个MKD域,启动被 认证方功能模块603。由以上实施例可见,本发明根据认证方将MESH网络划分成多个MKD域,由作为认 证方的MP作为MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD域,每 个MKD域的MKD为本MKD域中的被认证方分配MPTK-Anonce,被认证方根据本MKD域的MKD 分配的MPTK-Anonce与本MKD域的认证方通过4次握手的方式协商PTK。由于根据认证方 将MESH网络划分为多个MKD域,每个MKD域独立为域内被认证方分配MPTK-Anonce,因此, 当某个MP作为被认证方加入不同的MKD域时,在不同的MKD域中获得的MPTK-Anonce不同, 而在密钥管理过程中根据MPTK-Anonce协商获得各层密钥,因此增加了密钥管理的安全性 和可靠性,降低了密钥被破解的概率。总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。 凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的 保护范围之内。
权利要求
1.一种分布式网状MESH网络密钥管理方法,其特征在于,包括以下步骤MESH网络中的无线接入点MP在与其它MP建立MESH链路时,由作为认证方的MP作为 MESH密钥分发者MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD域, 将MESH网络划分成多个MKD域;每个MKD域的MKD分别为本MKD域中作为被认证方的MP分配MESH成对临时密钥A随 机数MPTK-Anonce,属于多个MKD域的MP接收到不同的MPTK-Anonce ;在每个MKD域中,被认证方根据本MKD域的MKD分配的MPTK-Anonce与本MKD域的认 证方通过4次握手的方式协商成对临时密钥PTK。
2.如权利要求1所述的方法,其特征在于,所述将MESH网络划分成多个MKD域之后进 一步包括为每个MKD域配置不同的MKD域身份标识MKDD-ID,所述通过4次握手的方式协商成对 临时密钥PTK时,每个MKD域内的认证方和被认证方根据本MKD域的MKDD-ID计算MKD成 对主控密钥PMK-MKD。
3.如权利要求1所述的方法,其特征在于,所述将MESH网络划分成多个MKD域之后进 一步包括为同一 MESH网络中的所有MKD域配置相同的MKDD-ID,所述通过4次握手的方式协商 成对临时密钥PTK时,每个MKD域内的认证方和被认证方根据认证方的指定参数计算MKD 成对主控密钥PMK-MKD。
4.如权利要求3所述的方法,其特征在于,所述认证方的指定参数为认证方的物理MAC 地址。
5.如权利要求1至4中任意一项所述的方法,其特征在于,该方法进一步包括所述MESH网络中的无线接入点MP在与其它MP建立MESH链路时,作为被认证方的MP 在建立每一个初始MESH连接的同时,记录该连接对应的MKD域;当MP接收到MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP确定该 MPTK-Anonce 对应的 MKD 域;如果MP接收到两个或两个以上的MPTK-Anonce对应相同的MKD域,则MP断开在该MKD 域内自身的所有MESH链路;否则,不断开现有的MESH链路。
6.一种无线接入点MP设备,其特征在于,该MP设备包括MKD功能模块,用于为作为被认证方的MP随机分配并发送MPTK-Anonce,计算生成 PMK-MKD和MA成对主控密钥PMK-MA并发送给认证方功能模块;认证方功能模块,根据MKD功能模块发来的PMK-MKD和PMK-MA与作为被认证方的MP 通过4次握手的方式协商PTK ;被认证方功能模块,接收作为MKD的MP发来的MPTK-Anonce,根据MPTK-Anonce与作为 认证方的MP通过4次握手的方式协商PTK ;控制模块,确定本MP所在的MKD域以及本MP的角色,如果本MP为认证方,将本MP确 定为MKD,将本MP和以本MP为认证方的被认证方MP确定为一个MKD域,启动MKD功能模块 和认证方功能模块;如果本MP为被认证方,将本MP作为被认证方的认证方MP确定为MKD, 并将该MP和以该MP为认证方的被认证方MP确定为一个MKD域,启动被认证方功能模块。
7.如权利要求6所述的MP设备,其特征在于,所述认证方功能模块或被认证方功能模块为每个MKD域配置不同的MKDD-ID,所述通 过4次握手的方式协商PTK时,根据本MKD域的MKDD-ID计算PMK-MKD。
8.如权利要求6所述的MP设备,其特征在于,所述认证方功能模块或被认证方功能模块为同一 MESH网络中的所有MKD域配置相同 的 MKDD-ID ;所述通过4次握手的方式协商PTK时,如果所述控制模确定本MP为认证方,则所述认 证方功能模块提供认证方指定参数并发送给被认证方;如果所述控制模确定本MP为被认 证方,则所述被认证方功能模块根据从认证方接收的认证方指定参数计算PMK-MKD。
9.如权利要求8所述的MP设备,其特征在于,所述认证方指定参数为认证方的MAC地址。
10.如权利要求6至9中任意一项所述的MP设备,其特征在于,所述被认证方功能模块在建立每一个初始MESH连接的同时记录该连接对应的MKD域, 每当接收到作为MKD的MP发来的MPTK-Anonce时,根据发送该MPTK-Anonce的认证方MP 确定该MPTK-Anonce对应的MKD域,如果接收到两个或两个以上的MPTK-Anonce对应相同 的MKD域,则断开在该MKD域内自身的所有MESH链路;否则,不断开现有的MESH链路。
全文摘要
本发明提出一种分布式MESH网络密钥管理方法,以认证方为中心将MESH网络划分成多个MKD域,由作为认证方的MP作为MKD,由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD域,每个MKD域的MKD为本MKD域中的被认证方分配MPTK-Anonce,被认证方根据本MKD域的MKD分配的MPTK-Anonce与本MKD域的认证方协商各层密钥。本发明还提出了一种MP。采用本发明提出的分布式MESH网络密钥管理方法和MP,当某个MP作为被认证方加入不同的MKD域时,在不同的MKD域中根据不同的MPTK-Anonce协商密码,因此增加了密钥管理的安全性。
文档编号H04W84/12GK102056163SQ200910235979
公开日2011年5月11日 申请日期2009年11月3日 优先权日2009年11月3日
发明者吴蔷 申请人:杭州华三通信技术有限公司