管理区域受限网络、接收区域密钥的方法和设备的制作方法

管理区域受限网络、接收区域密钥的方法和设备的制作方法
【专利摘要】本发明公开一种管理区域受限网络、接收区域密钥的方法和设备，管理区域受限网络的方法包括：在第一区域受限网络中检测从一个或多个第二区域受限网络发送的一个或多个第二区域密钥；生成第一层次化区域密钥，其中所述第一层次化密钥与所述检测到的一个或多个第二区域密钥中的至少一个和所述第一区域受限网络生成的第一区域密钥两者相关；以及向所述第一区域受限网络内部发送所述第一层次化区域密钥。如此，根据本发明的各个实施例，能够在同时存在这种多层级的区域受限网络的情况下，保证在各个层级的区域受限网络中的设备都能正常和安全通信。
【专利说明】管理区域受限网络、接收区域密钥的方法和设备

【技术领域】
[0001] 本公开涉及区域受限网络技术，且更具体地，涉及管理区域受限网络、接收区域密 钥的方法和设备。

【背景技术】
[0002] 随着无线技术的不断发展，对于诸如蜂窝手机、膝上计算机、平板计算机、智能 手机、移动游戏机等的无线移动设备的各种应用也在不断发展。例如在端对端（Peer to Peer，P2P)无线通信领域中，需要研究无线移动设备的安全通信问题。
[0003] 目前，已经开发了无线移动设备在无线局域网（Wireless Local Area Network, WLAN)内的P2P通信的安全授权。例如，在Kore于2013年1月8日授予的题为"Apparatus and method for location-based access control in wireless network，' 的美国专利 No. US8350666B2中描述了一种从与无线网络相关的无线接入点处的设备接收无线信号的 方法。其还包括估计该设备的位置并确定该估计的位置是否位于一个指定的区域内。然后， 其响应于确定估计的位置位于该指定的区域内则允许该设备通过该无线网络来通信。该专 利仅由接入点设备来考虑该设备是否进入一个指定的区域，而并不能解决多个不同层级的 区域受限网络同时存在的情况下设备通信的安全问题。
[0004] 另夕卜，在Wang于2012年11月6日授权的题为"Method and system for dynamic information exchange on location aware mesh network devices，'美国专利 No. 8305935B2中，公开了一种网状网络设备，来与预定物理位置处的网络设备通信其位置 信息，且邀请网状网络设备的社交网络联系人去往该预定物理位置。这种动态的信息交换 包括用于允许进入安全区域的安全标识授权消息。该专利仅使用该网状网络本身和位置服 务器来确定设备的位置，仅考虑一个无线设备的物理位置，且仅考虑在各种网状网络中嵌 入的设备之间的数据传输。但是，该专利不能解决多个不同层级的区域受限网络同时存在 的情况下设备通信的安全问题。
[0005] 在Nanda 于 2010 年 3 月 9 日公开的题为"Distributed Hierarchical Scheduling in an Ad hoc Network"的美国专利No. 7676236B2中，其将ad hoc网状网络组织为具有匹 配流量的树拓补的分布式层级配置。在父网络当进行已经配置的与其各自的子网络的干扰 者相互传输时配置与子网络的通信的情况下，提供该分布式层级配置。但是其仅考虑各个 网状网络中的嵌入的设备之间的数据传输，而不考虑不同层级的区域受限网络同时存在的 情况下设备通信的安全问题。


【发明内容】

[0006] 本公开中提到的"区域受限网络"是本申请的 申请人:提出的一种网络形式（ 申请人: 还将其称为"区域受限Ad Hoc网络（Area Restricted Ad Hoc Network，区域受限Ad Hoc 网络)")，其指的是可以通过物理方式人为控制和任意调节其范围的唯一界定的区域。区 域受限网络可以由一个或多个信号发射器来界定。区域受限网络的例子包括但不限于通 过一个或多个红外线发射器发射的红外线（Infrared Ray, IR)交集来唯一界定的区域、通 过一个或多个灯光发射器发射的光线交集来唯一界定的区域(其中，该灯光发射器发射的 光线可以具有良好的指向性，优选地是发光二极管（Light Emitting Diode, LED)的光)、 通过一个或多个微波发射器发射的微波交集来唯一界定的区域、近场通信（Near Field C〇mmUnicati〇n，NFC)技术的受限区域、其他信号覆盖的受限区域等等。如图1A所示，可 见由四个信号发射器20c、20d、20e、20f来界定该区域受限网络，其中，该四个信号发射器 20c、20d、20e、20f各自在一定范围内发出信号，而该区域受限网络可以由这些信号发射器 的信号所共同覆盖的区域来构成。另外，在该区域受限网络内的授权设备之间可以通过已 有或其他的无线通信方式互相通信，而该区域受限网络内的授权设备不能与未授权设备以 及该区域受限网络外的其他设备进行通信。如图1A所示，在该区域受限网络内部的两个设 备30c和30d在被授权的情况下可以互相通信，但不能与该区域受限网络外部的设备进行 通信。
[0007] 可见，区域受限网络是一个物理层的概念。该区域受限网络的概念与传统的基于 WiFi(Wireless Fidelity,又称802. lib标准)或其他的无线通信网络的概念是不同的。该 区域受限网络的边界比传统的上述无线通信网络清晰，因为其可以是通过物理层的具有良 好指向性的例如多于两个信号发射器来界定的，且该区域受限网络可以较为容易地设置， 因为其可以通过例如随意地设置两个信号发射器的位置、发射的信号等等来容易地改变。 因此，这种区域受限网络可以在未来复杂的办公环境中体现优势。
[0008] 另外，本公开中提到的一个或多个"区域密钥"用于唯一地界定一个受限区域，其 可以从一个或多个区域密钥发射器发射，其中，该区域密钥发射器可以是红外线发射器、灯 光(优选地，LED)发射器、微波发射器等等，该区域密钥可以由红外线携带、由灯光携带、由 微波携带等等。该区域密钥可以包括、但不限于区域标识符（Identifier，ID)、随机密钥、时 间戳、和/或其他信息等信息。区域密钥中的区域ID信息可以用来唯一地界定一个受限区 域。区域密钥除了唯一地界定一个受限区域以外，还可以用来在通信时进行加密以保证安 全通信，其可以预先设定且固定不变的，也可以定期改变以保证更安全的通信。
[0009] 在未来的办公环境中，诸如在会议室中、在小隔间区域中、在桌面上等，可能存在 位于多个物理层级中的多个区域受限网络(例如无线ad hoc (点对点）网络)。不同物理层 级的含义可以包括在一个物理层级中的区域受限网络的覆盖范围包括了下一物理层级中 的区域受限网络。具体地，例如，如图1B所示，在会议室中存在一个物理层级的区域受限网 络10,其区域由例如分布在会议室对角点上的两个红外线发射器10-1和10-2来限定，而在 该会议室的区域受限网络10内部(例如由该两个红外线发射器10-1和10-2共同覆盖的区 域内），还存在两个位于会议室内的桌面上的区域受限网络20-1和20-2,其区域分别由例 如分布在各个桌面的对角点上的两个蓝牙发射器(未示出）来限定。在该情况下，该会议室 中的区域受限网络10可以被视为是该两个桌面上的两个区域受限网络20-1和20-2的上 一物理层级的区域受限网络，而该两个桌面上的两个区域受限网络20-1和20-2可以被视 为该会议室中的区域受限网络10的两个下一物理层级的区域受限网络。在该情况下，例如 桌面上的区域受限网络20-2中的笔记本计算机能够与该区域受限网络20-2中的另一笔记 本计算机进行通信，而由于这些笔记本计算机同时又处于会议室的区域受限网络20中，因 此为了某种目的，也可能需要使得该区域受限网络20-2中的笔记本计算机还能与同样位 于区域受限网络10中的打印机10-3通信。
[0010] 因此，在同时存在这种多层级的区域受限网络的情况下，需要一种保证在各个层 级的区域受限网络中的设备都能正常和安全通信的机制。
[0011] 根据本发明的第一方面，提供一种管理多个区域受限网络的方法，包括：在第一区 域受限网络中检测从一个或多个第二区域受限网络发送的一个或多个第二区域密钥；生成 第一层次化区域密钥，其中所述第一层次化密钥与所述检测到的一个或多个第二区域密钥 中的至少一个和所述第一区域受限网络生成的第一区域密钥两者相关；以及向所述第一区 域受限网络内部发送所述第一层次化区域密钥。
[0012] 根据本发明的第二方面，提供一种在第一区域受限网络中接收区域密钥的方法， 包括：接收从一个或多个第二区域受限网络发送的一个或多个第二层次化区域密钥，其中， 所述一个或多个第二层次化区域密钥通过根据本发明的第一方面的方法来管理；分析所述 一个或多个第二层次化区域密钥以确定处于哪个或哪些第二区域受限网络内部；以及使用 通过根据本发明的第一方面的方法来管理的第一层次化区域密钥或所述一个或多个第二 层次化区域密钥来与所确定的那个或那些第二区域受限网络内部的设备通信。
[0013] 根据本发明的第三方面，提供一种管理区域受限网络的设备，包括：检测装置，被 配置为在第一区域受限网络中检测从一个或多个第二区域受限网络发送的一个或多个第 二区域密钥；生成装置，被配置为生成第一层次化区域密钥，其中所述第一层次化密钥与 所述检测到的一个或多个第二区域密钥中的至少一个和所述第一区域受限网络生成的第 一区域密钥两者相关；以及发送装置，被配置为向所述第一区域受限网络内部发送所述第 一层次化区域密钥。
[0014] 根据本发明的第四方面，提供一种在第一区域受限网络中接收区域密钥的设备， 包括：接收装置，被配置为接收从一个或多个第二区域受限网络发送的一个或多个第二层 次化区域密钥，其中，所述一个或多个第二层次化区域密钥通过根据本发明的第一方面的 方法来管理；分析装置，被配置为分析所述一个或多个第二层次化区域密钥以确定所述设 备处于哪个或哪些第二区域受限网络内部；以及通信装置，被配置为使用通过根据本发明 的第一方面的方法来管理的第一层次化区域密钥或所述一个或多个第二层次化区域密钥 来与所确定的那个或那些第二区域受限网络内部的设备通信。

【专利附图】

【附图说明】
[0015] 图1A是示出区域受限网络的概念的示意图。
[0016] 图1B是示出多个层级的区域受限网络的应用环境的示意图。
[0017] 图1C是示出在单个区域受限网络中的管理主节点和从节点的通信的示例过程的 示意图。
[0018] 图2是示出根据本发明的一个实施例的管理多个区域受限网络的方法的流程图。
[0019] 图3A-3D示出根据本发明的一个实施例的在层次化区域受限网络组中传递层次 化区域密钥的方法。
[0020] 图4是示出根据本发明的一个实施例的设立层次化区域受限网络组的方法的流 程图。
[0021] 图5是示出根据本发明的一个实施例的接收区域密钥的方法的流程图。
[0022] 图6是示出根据本发明的另一个实施例的接收区域密钥的节点的方框图。
[0023] 图7是示出使用根据本发明的一个实施例得到的层次化区域密钥来进行授权的 方法的流程图。
[0024] 图8A-8C是示出使用根据本发明的另一个实施例得到的层次化区域密钥来进行 通信的示意图。
[0025] 图9是示出根据本发明的另一实施例的管理区域受限网络的设备的方框图。
[0026] 图10是示出根据本发明的另一实施例的在第一区域受限网络中接收区域密钥的 设备的方框图。

【具体实施方式】
[0027] 现在将详细参照本发明的具体实施例，在附图中例示了本发明的例子。尽管将结 合具体实施例描述本发明，但将理解，不是想要将本发明限于所述的实施例。相反，想要覆 盖由所附权利要求限定的在本发明的精神和范围内包括的变更、修改和等价物。应注意，这 里描述的方法步骤都可以由任何功能块或功能布置来实现，且任何功能块或功能布置可被 实现为物理实体或逻辑实体、或者两者的组合。
[0028] 为了使本领域技术人员更好地理解本发明，下面结合附图和【具体实施方式】对本发 明作进一步详细说明。
[0029] 在说明根据本发明的各个实施例之前，先通过参考图1C来介绍在区域受限网 络中的管理主节点和从节点的通信的过程。注意，在本公开中，"节点"可以表示设备的 含义，包括移动设备、例如蜂窝手机、笔记本计算机、个人数字助理（Personal Digital Assistant，PDA)、平板计算机、游戏机等等、或者其他设备、例如打印机、复印机、投影仪等 等设备。"主节点"和"从节点"也仅为了从功能上划分而取的名字，并不作为限制。
[0030] 图1C是示出在单个区域受限网络中的管理主节点和从节点的通信的示例过程的 示意图。
[0031] 在图1C中，假设用于限定该单个区域受限网络的多个信号发射器发射出的信号 被称为"区域信号"，且如果该区域受限网络中的设备(或称节点）接收到有效的区域信号 (例如，由该多个信号发射器发射出的信号的集合)，则可以确定该设备处于该区域受限网 络中（图1C中的步骤101)。否则，如果该设备接收到无效的区域信号(例如，接收到该多个 信号发射器中的仅一个信号发射器发出的信号)，则可以继续接收区域信号直到接收到有 效的区域信号（图1C中的步骤102)。在(接收到有效的区域信号而判断)该设备处于该区域 受限网络内的情况下，则可以开始探测过程，来探测在该区域受限网络中是否存在主节点 (步骤103)。在步骤104中，探测存在主节点吗？如果存在，则在步骤105中，使得该设备加 入已存在的主节点管理的通信会话中。如果不存在主节点（或者已有的主节点不在了），则 在步骤106中，使得该设备成为主节点(或者选择区域受限网络中的一个设备作为主节点)， 并建立由其管理的通信会话。其中，该通信会话可以使得再进入到该区域受限网络中的其 他设备(或称为"从节点"）加入到由该主节点管理的通信会话中，即、使得在该区域受限网 络中的所有设备都可以互相通信。在此，主节点管理的通信会话可以包括主节点向各个从 节点发出该区域受限网络唯一的区域密钥，以便各个设备利用该唯一的区域密钥来进行安 全的通信。这种区域密钥可以是固定或定期变化的。这种安全的通信一般可以采用利用区 域密钥来进行授权的方式。在同一 申请人:在2013年2月22日提交的题为"在受限区域内 进行授权的移动设备和系统及其方法"的申请号为201310056656.0的中国发明专利申请中 具体描述了如何利用区域密钥来进行授权的例子，在此，通过引用将该发明专利申请并入 本申请中。当然，利用区域密钥进行授权的方式也可以采用现有技术中通常采用的密钥授 权方式，在此不作为限制。
[0032] 以上描述了在单个区域受限网络的情况下如何进行管理单个区域受限网络中的 设备的安全通信的示例方式。下面将要描述根据本发明的在多个不同层级的区域受限网络 存在的情况下如何管理这多个区域受限网络的方法和设备的各个实施例。
[0033] 图2是示出根据本发明的一个实施例的管理多个区域受限网络的方法200的流程 图。
[0034] 如图2所示，根据本发明的一个实施例的管理多个区域受限网络的方法200包括： 步骤S201，在第一区域受限网络中检测从一个或多个第二区域受限网络发送的一个或多个 第二区域密钥；步骤S202,生成第一层次化区域密钥，其中所述第一层次化密钥与所述检 测到的一个或多个第二区域密钥中的至少一个和所述第一区域受限网络生成的第一区域 密钥两者相关；以及步骤S203,向所述第一区域受限网络内部发送所述第一层次化区域密 钥。
[0035] 通常，在区域受限网络中存在能够界定其范围的一个或多个信号发射器，而在区 域受限网络中还存在区域密钥生成器，其能够通过从这些信号发射器发射的各个信号，来 生成该区域受限网络自己的区域密钥(例如，通过将这些信号发射器发射的各个信号中携 带的信息组合而生成一个区域密钥，在同一 申请人:在2013年2月22日提交的题为"在受限 区域内进行授权的移动设备和系统及其方法"的申请号为201310056656.0的中国发明专利 申请中具体描述了如何通过将这些信号发射器发射的各个信号组合而生成一个区域密钥 的例子，在此，通过引用将该发明专利申请并入本申请中）。当然，利用不同信息来生成密钥 的方式也可以不通过从这些信号发射器发射的各个信号来生成，采用现有技术中通常采用 的密钥生成方式，在此不作为限制。
[0036] 通常，在仅存在单个区域受限网络而没有相互包含的多个层级的区域受限网络的 情况下，该单个区域受限网络中的区域密钥生成器能够生成自己的区域密钥，并将该自己 的区域密钥分发给该单个区域受限网络中的各个设备以用于它们之间的通信。
[0037] 而在存在相互包含的多个层级的区域受限网络的情况下，例如在一个或多个第二 区域受限网络包含所述第一区域受限网络的情况下，则该第一区域受限网络中的层次化区 域密钥生成器(用于生成层次化区域密钥的装置，其也采用其他名称，在此不作为限制）能 够检测到从一个或多个第二区域受限网络发送的一个或多个第二区域密钥(步骤S201)。
[0038] 然后，在步骤S202中，该层次化区域密钥生成器可以生成第一层次化区域密钥， 其中所述第一层次化密钥与所述检测到的一个或多个第二区域密钥中的至少一个和所述 第一区域受限网络中的区域密钥生成器生成的第一区域密钥两者相关。在此，如前所述，第 一区域受限网络中的区域密钥生成器能够生成其自己的第一区域密钥，该第一区域密钥没 有包括覆盖该第一区域受限网络的一个或多个第二区域受限网络的信息，也就是说，仅通 过该第一区域密钥不能得知该第一区域受限网络处于哪些第二区域受限网络中。而通过在 步骤S202中，生成与所述检测到的一个或多个第二区域密钥中的至少一个和该自己的第 一区域密钥两者相关的第一层次化区域密钥。如此，该第一层次化区域密钥可以包括覆盖 该第一区域受限网络的一个或多个第二区域受限网络的信息，从而使得接收到该第一层次 化区域密钥的设备能够通过分析来得知其处于哪些网络的覆盖中，从而可以得到层次化网 络的拓补结构。
[0039] 接下来，在步骤S203中，可以由该层次化区域密钥生成器向所述第一区域受限网 络内部发送所述第一层次化区域密钥。这样，使得处于第一区域受限网络内部的各个设备 (无论主节点还是从节点）都可以使用该第一层次化区域密钥来进行相互通信。同时，由于 该第一层次化区域密钥还包括了一个或多个第二区域受限网络的信息，因此，当第一区域 受限网络内部的设备想要与覆盖该第一区域受限网络的一个第二区域受限网络内的设备 通信时，其可以使用该第一层次化区域密钥或检测到的该第二区域受限网络的第二区域密 钥来与该第二区域受限网络内的设备通信。
[0040] 在使用检测到的该第二区域受限网络的第二区域密钥来与该第二区域受限网络 内的设备通信的情况下，简单地，使用该第二区域密钥就可以与该第二区域受限网络内的 设备进行通信，因为该第二区域受限网络内的设备也知道该第二区域密钥。另外，所述第一 区域受限网络内部的设备可以使用接收到的所述第一层次化区域密钥来与一个或多个第 二区域受限网络内部的其他设备通信。在使用第一层次化区域密钥来进行安全通信的情况 下，该第二区域受限网络内的设备接收到从第一区域受限网络发出的该第一层次化区域密 钥时，也可以分析该第一层次化区域密钥来得知该第一区域受限网络中的该设备是处于该 第二区域受限网络的覆盖中的(例如从该第一层次化区域密钥中可以分析出该第二区域受 限网络的第二区域密钥)，因此可以授权该第一区域受限网络中的设备与该第二区域受限 网络中的设备进行通信。
[0041] 因此，如前所述，在该第一区域受限网络中，所述第一区域受限网络内部的设备可 以使用接收到的所述第一层次化区域密钥来与该第一区域受限网络内部的其他设备通信。
[0042] 该方法200还可以包括：使用所述第一层次化区域密钥对进入所述第一区域受限 网络内部的未授权设备来进行授权处理。如前所述，在单个区域受限网络中，主节点能够 对进入该单个区域受限网络内部的未授权设备进行授权处理，同样，在该层次化结构中的 该第一区域受限网络中，也能够和管理单个区域受限网络一样，来管理进入该第一区域受 限网络内部的未授权设备的授权处理。该授权处理可以在在此引用的中国发明专利申请 201310056656. 0中找到，在此不赘述。当然，该授权处理还可以采用本领域中公知的其他授 权方式，只要是利用了密钥的授权方式都可以用在此处。
[0043] 在一个实施例中，所述第一区域受限网络生成的第一区域密钥可以与所述第一区 域受限网络的标识符和用于在所述第一区域受限网络内通信的区域安全密钥相关。
[0044] 在一个实施例中，所述第一层次化区域密钥可以是所述检测到的一个或多个第二 区域密钥中的至少一个和所述第一区域密钥的集合。
[0045] 在一个实施例中，所述一个或多个第二区域密钥可以包括一个或多个第二层次化 区域密钥。在也就是说，该一个或多个第二区域受限网络可能还处于其他第三区域受限网 络中，因此该一个或多个第二区域密钥（即，第二层次化区域密钥）可能是与从第三区域受 限网络发出的第三区域密钥和该第二区域受限网络生成的自己的第二区域密钥相关的第 二层次化区域密钥。
[0046] 此情况下，所述检测到的一个或多个第二区域密钥中的至少一个可以是所述第一 区域受限网络上一层的第二区域受限网络的第二层次化区域密钥。也就是说，在所述一个 或多个第二区域密钥可以包括一个或多个第二层次化区域密钥的情况下，所述在第一区域 受限网络中检测从一个或多个第二区域受限网络发送的一个或多个第二区域密钥的步骤 S201可以包括：步骤S2011(未示出），确定所述一个或多个第二区域密钥中哪个是从该第一 区域受限网络的上一层区域受限网络发出的。如上所述，由于第一层次化区域密钥和第二 层次化区域密钥都是包含了覆盖第一区域受限网络和覆盖了第二区域受限网络的其他网 络的信息的，因此通过这些层次化区域密钥是可以得到网络覆盖关系的网络拓补结构的， 因此可以得知所述一个或多个第二区域密钥中哪个是从该第一区域受限网络的上一层区 域受限网络发出的。
[0047] 在该情况下，所述生成第一层次化区域密钥的步骤S202可以包括：步骤S2021(未 示出），生成与确定为从该第一区域受限网络的上一层区域受限网络发出的第二区域密钥 与所述第一区域受限网络生成的第一区域密钥两者相关的第一层次化区域密钥。例如，当 在网络拓补中存在三层区域受限网络的层级结构时，例如，该第一区域受限网络位于最底 层，一个第二区域受限网络位于第二层(第二层的网络覆盖最底层的网络)，而另一第二区 域受限网络位于第三层(第三层的网络覆盖第二层和最底层的网络)，则该第一区域受限网 络可能检测到从该一个第二区域受限网络发出的层次化区域密钥(包括覆盖该一个第二区 域受限网络的该另一区域受限网络的信息）和从该另一第二区域受限网络两者发出的自己 的区域密钥，因此，通过分析检测到的各个区域密钥，可以得出这个网络覆盖关系的网络拓 补结构，即上述的该第一区域受限网络位于最底层，该一个第二区域受限网络位于第二层， 而该另一第二区域受限网络位于第三层，于是，可以容易地得知该一个第二区域受限网络 是该第一区域受限网络的上一层区域受限网络，因此，在步骤S2021 (未示出）中，生成与确 定为从该第一区域受限网络的上一层区域受限网络发出的第二区域密钥（也是一个层次化 区域密钥）与所述第一区域受限网络生成的自己的第一区域密钥两者相关的第一层次化区 域密钥。
[0048] 在一个实施例中，所述确定所述一个或多个第二区域密钥中哪个是从该第一区域 受限网络的上一层区域受限网络发出的步骤可以包括：确定所述一个或多个第二区域密钥 中哪个中包括相关的密钥的个数最多的那个第二区域密钥作为从该第一区域受限网络的 上一层区域受限网络发出的。因为如前所述，在一个实施例中，第一层次化区域密钥可以是 所述检测到的一个或多个第二区域密钥中的至少一个和所述第一区域密钥的集合，那么假 设第二层次化区域密钥也是所述检测到的一个或多个第三区域密钥中的至少一个和所述 第二区域密钥的集合(其中，第三区域密钥是从更上一层的区域受限网络中发出的)。以此 类推，即，所有的区域受限网络的层次化区域密钥都可以按照上述方式来生成。因此，根据 该层次化区域密钥的集合中相关的密钥的个数，例如，如果包含2个密钥，则可以确定该区 域受限网络位于从根区域受限网络往下数的第二层（因为这两个密钥中一个是根区域受限 网络发出的，一个是当前区域受限网络自己生成的)，如果包含3个密钥，则可以确定该区域 受限网络位于从根区域受限网络往下数的第三层（因为这3个密钥中一个是根区域受限网 络发出的区域密钥，一个是位于第二层的区域受限网络生成的区域密钥，一个是位于当前 区域受限网络生成的区域密钥)。以此类推，在此不赘述。当然，确定所述一个或多个第二 区域密钥中哪个是从该第一区域受限网络的上一层区域受限网络发出的步骤还可以通过 其他方式来实现，因为这些第二(层次化）区域密钥包含了层次化的区域受限网络的信息， 因此肯定可以找到一种方式来提取这种层次化信息，来确定哪个是当前的第一区域受限网 络的上一层。
[0049] 如此，通过生成包含了覆盖该区域受限网络的其他区域受限网络的信息的层次化 区域密钥，能够告知接收到该层次化区域密钥的设备当前的区域受限网络的网络覆盖的拓 补结构，从而允许位于同一区域受限网络内的设备(无论是否还处于另一区域受限网络内） 相互通信。例如，如图1B所示的，桌面上的区域受限网络20-2中的笔记本计算机能够与该 区域受限网络20-2中的另一笔记本计算机进行通信，而由于这些笔记本计算机同时又处 于会议室的区域受限网络20的覆盖中，因此通过本发明的各个实施例，也能够使得该区域 受限网络20-2中的笔记本计算机还能与同样位于区域受限网络10中的打印机10-3通信。 如此，根据本发明的各个实施例，能够在同时存在这种多层级的区域受限网络的情况下，保 证在各个层级的区域受限网络中的设备都能正常和安全通信。
[0050] 图3A-3D示出根据本发明的一个实施例的在层次化区域受限网络组中传递层次 化区域密钥的方法。
[0051] 图3A以分层结构的方式示出了两个层级的区域受限网络的示意图。如图3A所 示，最高层的（或称为根）区域受限网络（Area Restricted Network，ARN)(或者，称为根区 域受限网络）（例如图1B中的区域受限网络10)中的区域受限传感器（Area Restricted Sensor，ARS)(相当于包括了上述针对图2所描述的层次化区域密钥生成器和区域密钥生 成器）31向其覆盖区域以及其覆盖区域中的更低层(在该例子中是第二层）的区域受限网 络广播其自己的区域密钥(在此，由于不存在覆盖该最高层的区域受限网络的另一区域受 限网络，因此该最高层的区域受限网络不需要生成层次化区域密钥，而是其只需要利用上 述针对图2描述的区域密钥生成器来生成自己的区域密钥，并广播即可)。注意，该区域受 限网络30的物理覆盖范围覆盖了打印机节点34和两个第二层区域受限网络(例如图1B所 示的桌面上的区域受限网络20-1和20-2)。然后，该第二层的区域受限网络中的ARS32和 33向各自的覆盖范围内的节点发送与最高层的区域密钥和第二层的该区域受限网络自己 的区域密钥相关的层次化密钥。注意，其中一个第二层区域受限网络覆盖了节点35和36， 而另一个第二层区域受限网络覆盖了节点37和38。其中，一个区域受限网络(或ARS)上一 层的区域受限网络（或ARS)可以称为该一个区域受限网络(或ARS)的父区域受限网络(或 ARS)，而一个区域受限网络(或ARS)下一层的区域受限网络(或ARS)可以称为该一个区域 受限网络(或ARS)的子区域受限网络(或ARS)。
[0052] 图3B示出了根据本发明的另一个实施例的一个区域受限网络中的区域受限传感 器（ARS) 300的方框图。
[0053] 该区域受限传感器（ARS) 300可以包括：区域密钥接收器301，被配置为从一 个或多个父区域受限网络中的ARS接收区域密钥（Area Key，AK)或层次化区域密钥 (Hierarchical Area Key，HAK);区域密钥生成器（AK生成器）302,被配置为生成该区域受 限网络自己的区域密钥（AK);层次化区域密钥生成器（HAK生成器）303,被配置为生成HAK， 该HAK可以与接收到的其他网络的AK或HAK和自己生成的AK相关；（可选地)定时器304， 被配置为将HAK生成器303的两个输入（S卩，接收到的其他网络的AK或HAK和自己生成的 AK)同步到预定的时间窗中；以及HAK广播器305,被配置为向该区域受限网络的物理覆盖 范围内的节点(或设备、或其他子区域受限网络）广播该生成的HAK。
[0054] 在一个实施例中，该HAK生成器303可以简单地组合该接收到的其他网络的AK或 HAK和自己生成的AK来生成该区域受限网络的HAK，例如简单地将自己生成的AK排列在该 接收到的AK或HAK之后以成为集合，或者其他组合两种密钥的方式(只要从组合后的HAK 中能够通过分析来得知该HAK是从哪些AK或HAK组合而来的）。
[0055] 图3C示出了根据本发明的另一个实施例的将上一层区域受限网络的层次化拓补 结构传递到下一层区域受限网络的方法3000的流程图。
[0056] 该方法3000包括：步骤S3001，每个ARS从上一层可能的父ARS接收HAK (在此 是HAK而不是AK，因为假设该父区域受限网络的上面还有上一层的区域受限网络，因此，假 设该父区域受限网络中的ARS已经生成并广播了 HAK);步骤S3002,生成自己的AK ;步骤 S3003,通过接收到的父HAK和自己的AK来生成该区域受限网络的HAK ;步骤S3004,向当前 区域受限网络的（由上述一个或多个信号生成器发出信号）所覆盖的物理区域内部(包括设 备和可能的其他子区域受限网络）广播该生成的HAK。
[0057] 图3D是示出向下层的区域受限网络的传递AK或HAK的示意图。
[0058] 如图3D所示，在步骤S3001中，每个区域受限网络中的ARS可以从上一层可能的 父区域受限网络中的ARS接收HAKg，其中，HAKfMK^，. . . . AKk，. . . . AU。即，接收到的 该HAKg是可能的根区域受限网络区域受限网络root和其他区域受限网络区域受限网络 1，……区域受限网络k，……区域受限网络i_l发出的区域密钥 的集合。
[0059] 在步骤S3002中，可以生成自己的区域密钥AKit)在作为示例的一个实施例中，这 种生成自己的区域密钥AI的方法可以通过如下公式来实现：
[0060] AKi=(AIDi,ASKi (TwindJ)
[0061] 其中，A%是该区域受限网络i的唯一 ID (Identifier,标识符)，而ASH-) 是在Twindmt的时间窗内该区域受限网络i的区域安全密钥，该区域安全密钥ASKiCT^dJ也 可以在该时间窗内是唯一的，即，其可以在不同的时间窗之间变化，这是为了安全性起见， 因此该区域安全密钥可以随时间而改变。区域安全密钥ASKiCr^dJ的生成方 式可以采用现有技术中对于无线通信中的安全通信的已有的安全密钥生成方式，在此不赘 述。在不考虑层次化区域密钥的单个区域受限网络的情况下，区域受限网络内的各个节点 已经可以使用区域安全密钥ASKiCr^^)来进行授权、数据加密解密、安全通信等了。
[0062] 在步骤S3003中，可以通过接收到的父HAKh和自己的AI来生成该区域受限网络 的HAl。在作为示例的一个实施例中，可以通过下列公式来通过接收到的父HAKh和自己 的AI来生成该区域受限网络的HAl :
[0063] HAK^HAK^! U {AKj = {AKroot,.... AKk,.... AKj
[0064] S卩，该区域受限网络的HAl可以是简单地将自己生成的Al排列在该接收到的 HAKh之后而生成的集合。
[0065] 当然，这种简单地生成集合的方式仅是示例，也不是限制。例如，在另一个实施例 中，比如在时间点T，父HAK^是一个字符串〃001A0EFDCE00"，其中001A代表父区域的ID， 0EFDCE00是此时刻父区域的区域安全密钥，而自己的AI是〃001B878CCDEE〃，其中001B代 表自己的区域的ID，而878CXDEE是此时刻本区域的区域安全密钥。组合两者的一个例子就 是MergedKey=〃001A0EFDCE00#001B878CCDEE〃，其中"#"是两个密钥之间的预定义的分隔 符。当然，本领域技术人员可以想象其他将父HAKg和自己的AI组合成该区域受限网络的 HAl的方式，在此不赘述。
[0066] 在步骤S3004中，可以向该区域受限网络的（由上述一个或多个信号生成器发出 信号)所覆盖的物理区域内部(包括设备和可能的其他子区域受限网络)广播该生成的HAK it) [0067] 为了建立层次化的区域受限网络组，可以定义以下规则(但这不是限制，不满足以 下规则也可以实现本发明的各个实施例，仅是在以下规则之内可能可以实现更好的性能）：
[0068] (1)每个区域受限网络都能够从另一区域受限网络接收区域密钥AK或层次化区 域密钥HAK (如果有的话)，生成自己的区域密钥AK、并通过例如区域受限网络的无线信号 向其所在的区域受限网络所覆盖的物理区域广播其生成的HAK。如此，每种区域受限网络都 置于层次化区域受限网络组中的一个层级中。其层级由区域受限网络的ARS的信号接收的 能力、其自己的信号生成器的信号广播的覆盖区域的大小来确定。
[0069] (2)相同层级上的每个区域受限网络彼此不具有重叠的区域。如果存在重叠的区 域，则可以规定该重叠的区域属于哪个区域受限网络管理，从而避免相冲突的情况。
[0070] (3)每个区域受限网络中的子区域受限网络的最大数量可以通过其自己的信号覆 盖大小除以其子区域受限网络的覆盖大小来确定。当然，这是在数学上描述每个区域受限 网络中的子区域受限网络的最大数量，实际上还可以考虑信号的覆盖强度、衰减等等来确 定该最大数量。
[0071] 如此，可以通过分析该层次化区域密钥来得知该区域受限网络位于层次化网络的 拓补结构中的位置。
[0072] 具体地，在一个实施例中，通过如下公式来通过分析该层次化区域密钥来得知该 区域受限网络i位于层次化网络的拓补结构中的位置POSp
[0073] POS^POS (HAKj)=| HAKj
[0074] 其中，|*|的含义是HAI这个集合中的元素的个数。也就是说，由于如前所述，该区 域受限网络的HAl可以是简单地将自己生成的在该接收到的HAKh之后而生成的， 因此，可以通过排列了几个AK来判断，其处于整个层次化网络的拓补结构中的哪一层。当 然，这仅是个示例的简单方法。在HAK使用其他方式生成的情况下，也可以采用其他方式、 例如与生成方式相反的分解来得出一共有几个AK来推测其处于整个层次化网络的拓补结 构中的哪一层，本领域技术人员应该可以构思很多这样的方式，在此不赘述。
[0075] 任何父区域受限网络j (不管是上一层还是上两层或上多层)的区域安全密钥ASK』 可以通过如下公式来分析得出：
[0076] ASKj=f (HAKj) root<=j<=i
[0077] 也就是说，可以通过分析该区域受限网络i的层次化区域密钥HAl来得到该区域 受限网络i的任何一个父区域受限网络j的区域安全密钥ASK」，因为该区域受限网络i的 层次化区域密钥HAl中包含了任何一个父区域受限网络j的包含AS&的区域密钥AKj(或 层次化区域密钥HAKp的信息(参考先前的公式AKe (AIDi，ASl (TwindOT)))。也就是说，只要 接收到了任何的HAKp都可以得知其父区域受限网络是哪些网络，其区域安全密钥ASK』是 什么，从而使得该区域受限网络i内的节点能够利用该层次化区域密钥HAl来与其父区域 受限网络j内的的其他节点进行通信，因为它们都可以得出具有相同的区域安全密钥ASK』。 [0078] 如此，根据本发明的各个实施例，能够在同时存在这种多层级的区域受限网络的 情况下，保证在各个层级的区域受限网络中的设备都能正常和安全通信。
[0079] 而如果不通过父AK或HAK和自己的AK来生成HAK的情况下，所有的区域受限网 络仅传播其自己的AK，则不论是自己的区域受限网络中的设备，还是位于该区域受限网络 下一层的区域受限网络中的设备都会接收到该AK，而该下一层的区域受限网络中的设备并 不知道自己也位于上一层的区域受限网络内部，因此可能直接忽略该AK，或认为该AK是无 效的AK (入职前所述)，因此，无法仅利用该AK来与其上一层的区域受限网络内部的其他设 备(例如打印机设备）进行通信。因此，根据本发明的各个实施例的管理多个区域受限网络 的方式，能够在同时存在这种多层级的区域受限网络的情况下，保证在各个层级的区域受 限网络中的设备都能正常和安全通信。
[0080] 图4是示出根据本发明的一个实施例的设立层次化区域受限网络组的方法400的 流程图。
[0081] 该基于每个ARS和其受限区域属性来设立层次化区域受限网络组的方法400包 括：步骤S401，将区域密钥AK从最高层ARS向下一层的ARS传递以遍历所有层；步骤S402， 节点从ARS网络层次中的上一层区域受限网络的ARS接收HAK ;步骤S403，通过该HAK，这 些节点可以基于ARS网络层次来形成在不同层级处的区域受限网络组，进行授权、路由和 安全通信的网络操作，以形成层次化区域受限网络组的拓补结构；步骤S404,对于向其他 授权节点提供各种服务的节点，它们使用这种层次化区域受限网络组的拓补结构来限定服 务访问授权策略。例如，在会议室的区域受限网络10中，打印机节点10-3仅允许在相同区 域10中的节点或其子区域20-1和20-2中的节点访问其打印服务，而不允许在会议室的区 域受限网络10之外的节点访问其打印服务。
[0082] 其中，将区域密钥AK从最高层ARS向下一层的ARS传递以遍历所有层的步骤S401 可以采用上述参考图2或图3A-3D所示的方法，即每个ARS接收其父AK (或父HAK)，生成 其自己的AK，通过父AK (或父HAK)和自己的AK来生成自己的HAK，并向其自己的覆盖区域 广播该HAK。
[0083] 因此，生成并传播层次化区域密钥能够使得接收到该层次化区域密钥的节点得知 该层次化受限区域网络的拓补结构，从而基于该拓补结构来进行一系列的授权、安全通信、 访问服务等等的操作。如此，根据本发明的各个实施例，能够在同时存在这种多层级的区域 受限网络的情况下，保证在各个层级的区域受限网络中的设备都能正常和安全通信。
[0084] 图5是示出根据本发明的一个实施例的接收区域密钥的方法500的流程图。
[0085] 该在第一区域受限网络中接收区域密钥的方法500包括：步骤S501，接收从一个 或多个第二区域受限网络发送的一个或多个第二层次化区域密钥，其中，所述一个或多个 第二层次化区域密钥通过参考图2所示的方法来管理；步骤S502,分析所述一个或多个第 二层次化区域密钥以确定处于哪个或哪些第二区域受限网络内部；以及步骤S503,使用通 过参考图2所示的方法来管理的第一层次化区域密钥或所述一个或多个第二层次化区域 密钥来与所确定的那个或那些第二区域受限网络内部的设备通信。
[0086] 在步骤S503中，使用通过参考图2所示的方法来管理的第一层次化区域密钥或所 述一个或多个第二层次化区域密钥来与所确定的那个或那些第二区域受限网络内部的设 备通信。该步骤S503可以包括使用该第一层次化区域密钥或所述一个或多个第二层次化 区域密钥来生成用于与所确定的那个或那些第二区域受限网络内部的设备通信的区域安 全密钥。这是因为，如前所述，任何一个层级的父区域受限网络j的区域安全密钥ASK」可以 使用第一层次化区域密钥通过如下公式来分析得出；且可以使用任何一个层级的父区域受 限网络j的第二层次化区域密钥来参考先前的公式AKAIDDASKiO^^J)而直接得出：
[0087] ASKj=f (HAKj) root<=j<=i
[0088] 也就是说，可以通过分析该区域受限网络i中的节点使用的层次化区域密钥HAl 来得到该区域受限网络i的任何一个父区域受限网络j的区域安全密钥ASK」，因为该区域 受限网络i的层次化区域密钥HAl中包含了任何一个父区域受限网络j的包含ASK」的区 域密钥AKj (或层次化区域密钥HAKp的信息(参考先前的公式AKAIDi，ASl (TwindOT)))。 也就是说，只要接收到了任何的HAl，都可以得知其父区域受限网络是哪些网络，父区域受 限网络的区域安全密钥ASK」是什么，从而使得该区域受限网络i内的节点能够利用该层次 化区域密钥HAl来与其父区域受限网络j内的其他节点进行通信，因为它们都可以得出具 有相同的区域安全密钥ASK」。
[0089] 如此，根据本发明的各个实施例，能够在同时存在这种多层级的区域受限网络的 情况下，保证在各个层级的区域受限网络中的设备都能正常和安全通信。
[0090] 图6是示出根据本发明的另一个实施例的接收区域密钥的节点600的方框图。 [0091] 对于节点N (图6中示出为600)，取决于其ARS接收能力，它可能具有一个或多个 ARS接收器1、……、K、……、M，来同时接收多个ARS输入、即HAK (或根区域受限网络的 AK，但为了简便起见，以后统称为HAK，但注意，其实际上还包括根区域受限网络的情况下的 AK)。节点N从其一个或多个ARS接收器接收的所有HAK被统称为集合S。
[0092] S= {HAK" ? ? ? ?，HAKk}，k>=l
[0093] 该节点N中的HAK选择器模块601从该集合S中选择针对该节点N的上一层区 域受限网络（即与该节点N的区域受限网络紧挨着的上一层可能的区域受限网络（lowest possible area))的 HAK，将其标示为 LPA_HAK。
[0094] LPA_HAK=fLPA (S)=具有 max {POS (HAK)，? ? ? ?，POS (HAKk)}的 HAK
[0095] 也就是说，LPA_HAK是所有HAK的集合S中位置（S卩HAK这个集合的个数，如前所 述)最大的HAK，因为位置最大的HAK表示是接收到的所有HAK中位置最靠下的HAK，即是最 接近该区域受限网络的上一层区域受限网络的HAK。
[0096] 然后，该LPA_HAK被用作图5所示的用于与所确定的上一层第二区域受限网络内 部的设备通信的所述第二层次化区域密钥，节点N使用该LPA_HAK来生成与所确定的上一 层第二区域受限网络内部的设备通信的区域安全密钥(如前所述，从任何一个HAK都可以 生成其任何一个层级的父区域受限网络的ASK)，来进行与所确定的上一层第二区域受限网 络内部的设备的授权、路由和安全通信等操作。
[0097] 当然，该节点600中还可以包括但不限制为包括用于存储信息的存储器602、用于 进行运算的中央处理单元（Central Processing Unit,CPU)603、用于广播各种密钥和与其 他设备通信的无线模块604。但是这不是必须的。
[0098] 下面介绍用所确定的上一层第二区域受限网络发出的LPA_HAK来进行与所确定 的上一层第二区域受限网络内部的设备的授权、路由和安全通信等操作的流程图。
[0099] 图7是示出使用根据本发明的一个实施例得到的层次化区域密钥来进行授权的 方法700的流程图。
[0100] 如图7所示，在步骤S701中，在新节点进入该区域受限网络a的物理区域中时， 从该区域受限网络a的ARS检测HAK，并用该HAK扫描该区域受限网络a。
[0101] 在步骤S702中，判断该区域受限网络a的主节点是否存在。
[0102] 如果该区域受限网络a的主节点存在(是)，则进入步骤S707,主节点用该区域受 限网络a的HAK来对该新节点进行授权处理。授权处理的一个例子包括：主节点请求该新 节点的HAK，且将其与主节点自己接收的HAK进行比较，如果相同，则授权，不相同，则不授 权。当然，在此也可以采用现有公知的更复杂的授权方法、例如Wi-Fi受保护接入（Wi-Fi Protected Access，WPA)等等来适用于将HAK作为初始的授权密钥，在此不作为限制。
[0103] 如果该区域受限网络a中没有主节点存在（否)，则进入步骤S703,在此，该新节 点自己成为主节点。
[0104] 在成为主节点之后，在步骤S704,该主节点扫描整个层次化的区域受限网络的拓 补结构中的其上一层父区域受限网络0，来找到该父区域受限网络0的主节点。在此，需 要该当前主节点位于该父区域受限网络0的覆盖范围内。
[0105] 在步骤S705中，判断是否找到父网络0的主节点。
[0106] 如果找到父区域受限网络0的主节点，则在步骤S708中，当前主节点用当前区域 受限网络a的HAK来授权该父区域受限网络0的主节点。
[0107] 如果没有找到父区域受限网络的主节点，则在步骤S706中，当前主节点继续扫描 上上一层父区域受限网络，直到判断该父网络0是根区域受限网络。
[0108] 如果该父网络0是根区域受限网络，则进入步骤S709,在此，当前主节点广播其 自己的主节点信息来请求其覆盖的子网络的主节点来授权该当前主节点（如之前的步骤 S707 -样）。
[0109] 当然，该授权处理的实施例仅是例子，而本领域技术人员可以根据层次化区域密 钥和层次化区域受限网络的拓补结构的原理来构思其他和修改的授权处理的实施例。
[0110] 如此，根据本发明的各个实施例，能够在同时存在这种多层级的区域受限网络的 情况下，保证在各个层级的区域受限网络中的设备都能正常授权和安全通信。
[0111] 图8A-8C是示出使用根据本发明的另一个实施例得到的层次化区域密钥来进行 通信的示意图。
[0112] 图8A示出了具有两层结构的层次化区域受限网络(层次化区域受限网络组）网络 结构，其中，一共存在三个无线Ad Hoc网络。在一个例子中，该层次化区域受限网络组中的 顶层区域受限网络是例如会议室中的区域受限网络800,而底层的两个子区域受限网络是 例如会议室中的两个桌面上的区域受限网络801和802。每个区域受限网络都具有主节点 和从节点（或者称为正常节点）。
[0113] 图8B示出了图8A所示的层次化区域受限网络组的路由方法。首先，层次化区域受 限网络组的所有区域受限网络中的主节点8001、8011、8021保持路由表，该路由表包括该 父区域受限网络和两个子区域受限网络的主节点和各个区域受限网络中包括的从节点的 路由信息。然后，源节点（从节点之一)8012从其网络的主节点8011请求路由信息。然后， 主节点8011通过其父区域受限网络和其子区域受限网络的各个主节点来遍历该层次化区 域受限网络组，直到找到目标节点、例如节点8022。在该路由上的每个主节点然后基于该路 由历史来更新该路由表。
[0114] 图8C示出了图8A所示的该层次化区域受限网络组的安全通信的方法。在得到了 路由信息之后，该层次化区域受限网络组的层次结构中的每个节点都能够互相通信。例如， 源节点8012要向目标节点8022发送数据。它们使用其上一层的公共父区域受限网络（即 图8C中的区域受限网络800)的HAK作为安全密钥来对该通信加密。在此，直接使用其上一 层的公共父区域受限网络的HAK作为安全密钥仅是例子，实际上，也可以间接地使用当前 区域受限网络（即，图8C中的区域受限网络801)的HAK对该通信加密，这包括：通过当前区 域受限网络（即，图8C中的区域受限网络801)的HAK生成其父区域受限网络800的HAK，然 后将该父区域受限网络800的HAK作为安全密钥来进行通信。总之，当前区域受限网络中 的节点可以通过直接使用检测到的父区域受限网络的HAK来与父区域受限网络覆盖的节 点进行通信，也可以间接使用检测到的当前区域受限网络的HAK来与该节点进行通信。如 此，在源节点8012和目标节点8022之间建立确切的通信链接。当然，该通信链接的质量还 取决于源节点和目标节点之间的无线信号强度等。
[0115] 另外，这种通信链接可以包括两种情况：（1)如果两个节点处于彼此的无线信号 覆盖范围内，则该两个节点之间可以直接建立通信链接；（2)如果两个节点不处于彼此的 无线信号覆盖范围内，则该两个节点可以通过由层次化区域受限网络组的层次中的各个主 节点进行数据转发来建立通信链接(见图8C所示)。
[0116] 如此，整个层次化区域受限网络组层次中的所有节点都能够安全地彼此通信。当 一些节点向其他节点提供服务时，服务访问授权遵循基于区域受限网络的策略，该策略包 括：该层次中的仅某些物理区域被授权访问这些服务。例如，图1B所示的会议室区域受限 网络中的打印机节点能够向整个会议室、包括其子的桌面的区域受限网络中的节点提供打 印服务，而该会议室区域受限网络外的节点不能访问该打印服务。
[0117] 因此，基于区域受限网络的授权处理的一个例子可以包括：

【权利要求】
1. 一种管理多个区域受限网络的方法，包括： 在第一区域受限网络中检测从一个或多个第二区域受限网络发送的一个或多个第二 区域密钥； 生成第一层次化区域密钥，其中所述第一层次化密钥与所述检测到的一个或多个第二 区域密钥中的至少一个和所述第一区域受限网络生成的第一区域密钥两者相关；W及 向所述第一区域受限网络内部发送所述第一层次化区域密钥。
2. 根据权利要求1所述的方法，还包括如下中的至少一种： 使得所述第一区域受限网络内部的设备使用所述第一层次化区域密钥或第一区域密 钥来与该第一区域受限网络内部的其他设备通信； 使用所述第一层次化区域密钥或第一区域密钥对进入所述第一区域受限网络内部的 未授权设备来进行授权处理； 使得所述第一区域受限网络内部的设备使用所述第一层次化区域密钥或检测到的所 述一个或多个第二区域密钥来与一个或多个第二区域受限网络内部的其他设备通信。
3. 根据权利要求1所述的方法，其中所述第一区域受限网络生成的第一区域密钥与所 述第一区域受限网络的标识符和用于在所述第一区域受限网络内通信的区域安全密钥相 关。
4. 根据权利要求1所述的方法，其中，所述第一层次化区域密钥是所述检测到的一个 或多个第二区域密钥中的至少一个和所述第一区域密钥的集合。
5. 根据权利要求1所述的方法，其中，所述一个或多个第二区域密钥包括一个或多个 第二层次化区域密钥，其中所述检测到的一个或多个第二区域密钥中的至少一个包括所述 第一区域受限网络上一层的第二区域受限网络的第二层次化区域密钥。
6. 根据权利要求5所述的方法，其中， 所述在第一区域受限网络中检测从一个或多个第二区域受限网络发送的一个或多个 第二区域密钥的步骤包括： 确定所述一个或多个第二区域密钥中哪个是从该第一区域受限网络上一层的第二区 域受限网络发出的； 其中，所述生成第一层次化区域密钥的步骤包括： 生成与确定为从该第一区域受限网络的上一层区域受限网络发出的第二区域密钥与 所述第一区域受限网络生成的第一区域密钥两者相关的第一层次化区域密钥。
7. 根据权利要求6所述的方法，其中，所述确定所述一个或多个第二区域密钥中哪个 是从该第一区域受限网络的上一层区域受限网络发出的步骤包括： 确定所述一个或多个第二区域密钥中哪个中包括相关的密钥的个数最多的那个第二 区域密钥作为从该第一区域受限网络的上一层区域受限网络发出的。
8. -种在第一区域受限网络中接收区域密钥的方法，包括： 接收从一个或多个第二区域受限网络发送的一个或多个第二层次化区域密钥，其中， 所述一个或多个第二层次化区域密钥通过根据权利要求1的方法来管理； 分析所述一个或多个第二层次化区域密钥W确定处于哪个或哪些第二区域受限网络 内部；W及 使用通过根据权利要求1的方法来管理的第一层次化区域密钥或所述一个或多个第 二层次化区域密钥来与所确定的那个或那些第二区域受限网络内部的设备通信。
9. 一种管理区域受限网络的设备，包括： 检测装置，被配置为在第一区域受限网络中检测从一个或多个第二区域受限网络发送 的一个或多个第二区域密钥； 生成装置，被配置为生成第一层次化区域密钥，其中所述第一层次化密钥与所述检测 到的一个或多个第二区域密钥中的至少一个和所述第一区域受限网络生成的第一区域密 钥两者相关；W及 发送装置，被配置为向所述第一区域受限网络内部发送所述第一层次化区域密钥。
10. -种在第一区域受限网络中接收区域密钥的设备，包括： 接收装置，被配置为接收从一个或多个第二区域受限网络发送的一个或多个第二层次 化区域密钥，其中，所述一个或多个第二层次化区域密钥通过根据权利要求1的方法来管 理； 分析装置，被配置为分析所述一个或多个第二层次化区域密钥W确定所述设备处于哪 个或哪些第二区域受限网络内部；W及 通信装置，被配置为使用通过根据权利要求1的方法来管理的第一层次化区域密钥或 所述一个或多个第二层次化区域密钥来与所确定的那个或那些第二区域受限网络内部的 设备通信。
【文档编号】H04W76/02GK104469759SQ201310435574
【公开日】2015年3月25日 申请日期:2013年9月23日 优先权日:2013年9月23日
【发明者】王炜, 笪斌, 于海华, 张银东, 杨林举 申请人:株式会社理光