在自组无线网络中安全处理认证密钥资料的方法和系统的制作方法

专利名称：在自组无线网络中安全处理认证密钥资料的方法和系统的制作方法
技术领域：
基于基础设施的无线网络，诸如蜂窝网络或卫星网络，通常 包括具有固定且有线连接的网关的通信网络。许多基于基础设施的无 线网络使用移动单元或主机，该移动单元或主机与耦合到有线网络的 固定基站通信。移动单元可以在进行位置迁移的同时通过无线链路与 基站通信。当移动单元移出一个基站的范围时，它可能连接或"切换" 到新的基站并通过新的基站开始与有线网络的通信。与基于基础设施的无线网络相比，自组网络是可以在没有任 何固定基础设施的情况下进行操作的自形成无线网络，并且在一些情 况中自组网络完全由移动单元构成。自组网络通常包括若干位置上分 散的、潜在的移动单元，有时被称为"节点"，这些移动单元通过一 个或多个链路(例如，射频通信信道)彼此无线连接。这些节点可以 通过无线媒介彼此通信，无需基于基础设施的网络或有线网络的支持。网状网络是基于移动节点自主集合的自组无线网络的一种 形式，所述移动节点通过具有有限带宽的无线链路彼此通信。网状网 络中的单独节点可以执行路由功能，这实现了，在到达目的地之前通 过从一个节点"跳跃"到另一个节点，而在阻塞路径或连接不良处重 新配置网状网络。网状网络因此被描述为自修复的，因为即使当特定 的节点损坏或离开网络时，网状网络仍然可以有效地操作。
4
由于无线通信网络，诸如网状网络，变得更加普遍，安全性
一直是通信网络提供商和终端用户关心的主要问题。在无线通信网状 网络中，由于数据很可能被许多节点接收和操纵，因此安全性环境成 为最大的挑战。在无线通信网状网络中使用的无线电链路将穿越网络 的信令和其他数据暴露给窃听者和/或所谓的黑客。在多跳无线通信网
状网络中，这需要网状设备之间的每个链路具有通过多跳认证和密钥 管理过程设立的唯一安全性关联。然后，可以通过设立的安全性关联 来保护在链路上通过空中发送的帧。


为使本发明容易地被理解和产生实际效果，现结合附图给出 示例实施例的说明，其中在不同的视图中，同样的附图标记指相同或 功能上相似的元素。附图连同下面的详细说明被并入说明书，并形成 说明书的一部分，用来进一步根据本发明示出实施例并且阐明各种原
理和优点，其中图1是示出根据本发明一些实施例的无线通信网状网络的 示意图。图2是示出根据本发明一些实施例的为了提供安全密钥传 输而在无线通信网状网络的元件之间进行的交互的消息序列图 (sequence chart)。图3是示出根据本发明一些实施例的网状密钥层级 (hierarchy)的框图。图4是示出根据本发明一些实施例的、在网状认证器(MA) 与网状密钥分发器(MKD)之间的网状密钥保持器安全性握手的消息 序列图。图5是示出根据本发明一些实施例的网状密钥保持器安全 性信息元素(MKHSIE)的示例性字段结构的框图，该MKHSIE可被 用于请求、传送或确认网状认证器成对主密钥(PMK-MA)。图6是示出根据本发明一些实施例的密钥传输拉式(pull)协议的消息序列图。图7是示出根据本发明一些实施例的网状已加密密钥信息 元素(MEKIE)的示例性字段结构的框图，该MEKIE可被用于请求、 传送，或确认PMK-MA。图8是示出根据本发明一些实施例的密钥传输推式(push) 协议的消息序列图。图9是示出根据本发明一些实施例，从MA视角，使用网 状密钥传输拉式协议将PMK-MA从MKD传送到MA的方法的通用流 程图。图10是示出根据本发明一些实施例，从MKD视角，使用 网状密钥传输拉式协议将PMK-MA从MKD传送到MA的方法的通用 流程图。图11是示出根据本发明一些实施例，从MA视角，对网状 网络中的认证密钥资料进行安全处理的方法的通用流程图。图12是示出根据本发明一些实施例的无线通信网状网络中 的MA的部件的框图。本领域技术人员将理解，在附图中的元素是为了简单和清楚 而示出的，并且没有必要按比例绘出。例如，相对其它的元素，附图 中一些元素的尺寸可能是夸大的以促进对本发明实施例的理解。
具体实施例方式在详细描述根据本发明的实施例之前，应当注意到，这些实 施例主要在于涉及自组无线网络中的认证密钥资料的安全处理的方法 步骤和装置部件的组合。相应地，在图中已经在合适时使用常规符号 描述了装置部件和方法步骤，只示出了那些与理解本发明实施例相关 的特定细节，以便不由于如下细节而模糊本发明，这些细节对那些从 此说明书受益的本领域技术人员来说是显而易见的。在本文档中，关系术语，诸如左和右，第一和第二等，可以仅仅用于区别一个实体或动作和另一个实体或动作，并非必然需要或 暗示这类实体或动作之间的任何实际的这种关系或顺序。术语"包括"， 或者任何其它变形，是用于覆盖非排它的包含，因此包括元素列表的 过程、方法、产品，或装置不仅包含那些元素，还可能包含没有清楚 列出或对于这些过程、方法、产品，或装置固有的其他元素。在没有 更多限制时，"包括......"之前的元素并不排除在包括该元素的过程、
方法、产品，或装置中存在附加的相同元素。将理解，在此描述的本发明的实施例可以由一个或多个常规 处理器和唯一存储程序指令组成，所述指令控制一个或多个处理器与 某些非处理器电路一起执行在此描述的在自组无线网络中的认证密钥 资料的安全处理功能的一些、大部分或所有。非处理器电路可以包括， 但不局限于，无线电接收机、无线电发射机、信号驱动器、时钟电路、 电源电路，和用户输入设备。同样地，这些功能可以被解释为在自组 无线网络中对认证密钥资料进行安全处理的方法步骤。替代地， 一些 或全部功能可以通过不具有存储的程序指令的状态机来实现，或在一
个或多个专用集成电路(ASIC)中实现，在ASIC中每个功能或特定 功能的某些组合以定制逻辑来实现。当然，也可以使用两个方法的组 合。因此，已经在此描述了用于这些功能的方法和装置。进一步地， 可以预期，尽管存在由例如可用时间、现有技术和经济考虑引起的可 能的重要努力和许多设计选择，但当被在此公开的构思和原理指导时， 本领域技术人员将能够容易地通过最少的实验生成这种软件指令、程 序和IC。参见图1，该图示出了根据本发明一些实施例的无线通信网 状网络100。网络100包括多个网状点(MP) 105，也可以称为网状节 点，所述网状点可以在网络100上使用无线链路，例如符合电子及电 气工程师学会(IEEE) 802.11标准的链路，来彼此通信。每个MP 105 可以包含，例如移动电话、双向无线电装置、笔记本电脑或其它的无 线通信设备。为提供在MP 105之间的安全通信，在网状认证器(MA)110与网状密钥分发器(MKD) 115之间设立安全性关联。MA 110通 常是具有特殊安全性资格的MP 105。网状密钥保持器安全性关联用来 在MA 110与MKD 115之间的传递的所有消息中提供消息完整性和数 据来源真实性。进一步地，网状密钥保持器安全性关联提供在密钥传 送协议期间提供对导出密钥和密钥上下文的加密。MKD115可以显著地提高网状安全性机制的效率。当MP 请求者120第一次联系网络100时，MKD 115可以从认证服务器(AS) 125获得网状点(MP)请求者120的主密钥资料，认证服务器(AS) 125可以充当认证、授权和记帐(AAA)服务器。然后，主密钥资料被 高速缓存在作为AAA客户端的MKD115。于是，随后可以使用从高速 缓存的主密钥资料获得的密钥来在MP请求者120与一个或多个 MP 105之间快速设立起安全性关联，而无需从AS 125获得附加安全 性信息。本发明的实施例因此在MA 110与MKD 115之间提供安全 密钥传输机制。安全密钥传输机制能够在由多个无线链路分隔的节点 之间分发密钥资料，以及还在MA 110与MKD 115之间提供数据来源 真实性和消息完整性保护。根据本发明的一些实施例，可以使用有效网状安全性关联 (EMSA)服务来允许在网络100中的两个MP 105之间的链路安全性的 有效设立。EMSA服务是通过使用网状密钥层级而被提供的，所述网 状密钥层级是通过使用预共享密钥(PSK)或当MP 105执行 IEEE 802.1X认证时被设立的所导出密钥的层级。EMSA的操作依赖于 实现于网络100内的MP 105中的网状密钥保持器。定义两种类型的网 状密钥保持器网状认证器(MA)，诸如MA 110，和网状密钥分发 器(MKD)，诸如MKD 115。使用EMSA，在初始关联期间在诸如MP请求者120的MP 105与诸如MA 110的MA之间交换信息，并且将该信息称为"初 始EMSA认证"。于是，对于同一网状安全性域(和同一无线局域网 (WLAN)网状，由网状ID标识出)之内的其它MA的随后关联，就 可以使用简化的EMSA握手机制。网状密钥保持器，MA和MKD，通过执行密钥导出和安全 密钥分发来管理网状密钥层级。网状安全性域是通过单个MKD (诸如 MKD115)的存在来定义的，该MKD在网状中的MP 105处实现。在 网状安全性域之内，可能存在若干MA，包括例如MA 110，每个MA 110 均在MP 105处实现，其中每个MA均保持去往MKD 115的路由和与 MKD 115的安全性关联。MKD 115导出密钥以创建网状密钥层级，并 向诸如MA 110的MA分发导出的密钥。实现MKD 115的设备也可以 实现MA实体。MA 110参与由MP请求者120发起的EMSA交换(包 括初始EMSA认证和简化的EMSA握手)。MA 110从MKD 115接收 导出的密钥，并导出用于使与MP请求者120的链路安全的附加密钥。参见图2，消息序列图示出了根据本发明一些实施例的、为 了提供安全密钥传输而在无线通信网状网络100的元件之间的交互。 在图线(line) 205，诸如MP 105的网状节点210与诸如另一个MP 105 的网状认证器215进行第一次联系，并在初始EMSA认证期间完成包 括发现MKD 115的初始安全性和路由建立过程。在图线220，经由在 网状节点210与MKD 115之间的网状动作来设立网状密钥保持器安全 性关联。在设立网状密钥保持器安全性关联之后，网状节点210就变 为MA 110，并且可以作为其它MP 105的网状认证器。为了清楚，在 本说明书的剩余部分中，网状节点210仅仅指MA 110。图线225、 230 和235示出将MP请求者120连接到网络100的快速链路设立。在图线 225，利用MA 110对MP请求者120进行认证。在图线230，网状认 证器成对主密钥(PMK-MA)被安全地从MKD 115传送到MA 110。 随后使用PMK-MA来完成MP请求者120与MA 110之间的关联和路 由过程。
参见图3，框图示出了根据本发明一些实施例的网状密钥层 级300。在该层级300的顶端，在块305处，是主共享密钥(MSK)， 该主共享密钥是在MA 110第一次加入网络100时安装的，并且是在网 状认证器可扩展认证协议(EAP)过程期间生成的。然后从MSK导出 两个附加密钥。在块310处，密钥分发密钥(KDK)是从MSK的一部 分导出的，并且作为主密钥传送密钥。在块315处，然后在网状认证 器安全性设立协议期间从KDK中导出用于密钥分发的成对瞬时密钥 (PTK-KD)，其将在下面详细描述。最后，PTK-KD再被分成两个单 独的密钥(未示出)，即用于密钥分发的密钥加密密钥(KEK-KD)和 密钥确认密钥(KCK-KD)，该密钥确认密钥(KCK-KD)用于在MA 110 与MKD 115之间交换的消息中提供数据来源真实性以用于密钥传送和 密钥保持器安全性关联。设立网状密钥保持器安全性关联开始于发现MKD115，后 面是由MA110发起的握手。安全性关联的结果是用于在MA110与 MKD 115之间提供安全性服务的PTK-KD。在发现MKD 115期间， MA 110学习MKD 115的MKD标识(MKD-ID)。MA 110在初始EMSA 认证期间获得MKD-ID，如图2中图线205所示。在该发现后，MA 110 可以通过联系由MKD-ID标识出的MKD 115来发起网状密钥保持器安 全性握手。网状密钥保持器安全性握手可以在MA110完成其初始 EMSA认证之后开始。该机制允许MA 110设立与MKD 115的安全性 关联，该MKD 115在初始EMSA认证期间导出网状密钥分发器成对主 密钥(PMK-MKD)。
网状认证器安全性设立参见图4，消息序列图示出了根据本发明一些实施例的在 MA 110与MKD 115之间的网状密钥保持器安全性握手。在图线405， MA 110通过构造网状密钥保持器安全性关联请求消息和发送该请求 消息至MKD 115来发起交换。例如，根据本发明的一些实施例，该请
10求消息包括以下
-在消息报头的目的地地址(DA)字段中的MKD115的媒体访问
控制(MAC)地址；
-在消息报头的源地址(SA)字段中的MA 110的MAC地址；
-网状标识(ID)信息元素(IE)，包括MA110在信标和探测响 应中通告的网状ID;
-网状安全性域信息元素(MSDIE)，包括网状安全性域标识符 (MSD-ID)的值，该标识符包含于在MA 110的初始EMSA认证期间 接收到的关联响应的MSDIE中(MA 110用MSDIE通告其作为MA的 状态，并通告其被包含在组成网状安全性域的MA组中)；以及
-网状密钥保持器安全性信息元素(MKHSIE)，其具有以下设定
值
-由MA 110随机设定的MA-Nonce值；
-设定为MP的MAC地址的MA-ID;
-设定为MKD 115的MAC地址的MKD-ID;以及
-设定为零的其它所有字段。在接收到请求消息时，MKD 115选择MKD-Nonce值，该值 是随机选择的，并使用在请求消息中接收的MA-Nonce和该 MKD-Nonce值计算用于密钥分发的成对瞬时密钥(PTK-KD)。在图 线410， MKD 115然后发送网状密钥保持器安全性信息响应消息。例 如，根据本发明的一些实施例，所述响应消息包括以下
-在消息报头的目的地地址(DA)字段中的MKD 115的媒体访问 控制(MAC)地址；
-在消息报头的源地址(SA)字段中的MA110的MAC地址；
-包括网状ID的网状标识(ID)信息元素(IE);
-网状安全性域信息元素(MSDIE)，包括网状安全性域标识符 (MSD-ID)的值；
-网状密钥保持器安全性信息元素(MKHSIE)，具有如下设定值
-MA-Nonce、 MA-ID，禾B MKD-ID值，被设定为在图线405上发
11送的请求消息中包含的值；
-MKD-Nonce值，被设定为由MKD 115随机选择的值；
-MIC控制字段的消息完整性校验(MIC)算法子字段，被设定为 指示用于计算MIC的加密算法；
-MIC控制字段的信息元素(IE)计数子字段，被设定为当前帧中 的信息元素的数量；
-以如下顺序的级联(concatenation)，通过由MIC算法子字段选 择的算法、使用用于密钥分发的密钥确认密钥(KCK-KD)而计算的 MIC值
-MA 110的MAC地址；
-MKD 115的MAC地址；
-握手序列号(l个八位字节)，被设定为值2;
-网状IDIE的内容；
-MSDIE的内容；以及
-MKHSIE的内容，其中MIC字段被设定为0。在本领域中众所周知，MIC是可以附有数据以提供关于其 完整性的保证的计算值。MIC计算的输入包括要被保护的数据，和保 密密钥。MIC向接收者提供数据来源真实性和消息完整性。数据来源 真实性向接收者保证发送者是拥有保密密钥的某人。另外，当仅有两 方知道保密密钥时，其向接收者提供发送者身份的保证。消息完整性 向接收者保证被保护数据在传输期间没有被修改。如本说明书中使用 的，MIC类似于密码学领域所知的"消息认证码"。本领域技术人员 将理解，根据本发明某些实施例，也可使用可提供数据来源真实性的 其它各种类型的数据来源信息和消息完整性来执行MIC操作。当在图线410接收到响应消息时，MA 110导出PTK-KD， 并且确认MKD 115已正确地导出了 PTK-KD。在图线415， MA 110发
送网状密钥保持器安全性关联确认消息。例如，根据本发明的一些实 施例，确认消息包括以下-在消息报头的目的地地址(DA)字段中的MKD 115的媒体访问 控制(MAC)地址；
-在消息报头的源地址(SA)字段中的MA110的MAC地址； -网状ID IE，包含在图线410上在响应消息中所接收的网状ID IE。 -MSDIE，包含在图线410上在响应消息中所接收的MSDIE。 -MKHSIE，被如下设定
-MA-Nonce、 MKD-Nonce 、 MA-ID，和MKD-ID值，被设定为 在图线410上接收到的响应消息中所包含的值；
-MIC控制字段的MIC算法子字段，被设定为指示用于计算MIC 的加密算法；
-MIC控制字段的信息元素计数子字段，被设定为当前帧中的信息 元素的数量。
-按以下顺序的级联，通过由MIC算法子字段选择的算法、使用用 于密钥分发的密钥确认密钥(KCK-KD)而计算的MIC值 -MA 110的MAC地址； -MKD 115的MAC地址；
-握手序列号(l个八位字节)，被设定为值3;
-网状IDIE的内容；
-MSDIE的内容；以及
-MKHSIE的内容，其中MIC字段被设定为0。参见图5，框图示出了根据本发明一些实施例的网状密钥保 持器安全性信息元素(MKHSIE)的示例性字段结构500，该信息元素 可被用于请求、传送或确认PMK-MA。块505是标识特定MKHSIE的 信息元素(IE)标识(ID)字段。块510是定义MKHSIE长度的长度 字段。块515是包括MIC算法字段和信息元素计数字段的MIC控制字 段，该信息元素计数字段包括包含在MIC计算中的信息元素的数量。 块520是MIC字段，其包括使用通过MIC控制字段的MIC算法字段 选择的算法而计算的MIC值。块525是MA-Nonce字段，其包含由 MAI 10选择的nonce值。块530是MKD-Nonce字段，其包括由MKD 115选择的nonce值。块535是MA-ID字段，其包括MA 110的MAC地 址。块540是MKD-ID字段，其包括MKD 115的MAC地址。
网状密钥传送本发明的实施例提供包括如下方法的网状密钥传输协议，通 过该方法，MKD 115将导出的PMK-MA与密钥上下文和附加相关信息 一起安全地传输到MA 110。附加管理协议允许MKD 115请求MA 110 删除先前传送的PMK-MA。根据本发明的一些实施例，针对PMK-MA的传送定义了两 个协议，每个由两个消息组成。拉式协议是由MA110通过发送 PMK-MA请求消息而发起的，随后MKD 115传送PMK-MA。推式协 议是由传送(未经请求的)PMK-MA的MKD 115发起的，随后MA 110 发送确认消息。MA 110和MKD 115保持单独的密钥重放计数器以供 这些协议使用。在拉式协议中，MA 110的密钥重放计数器用来保护 MA 110发送的第一消息。在推式协议中，MKD 115的密钥重放计数器 用来保护MKD 115发送的第一消息。在每个协议中，在发送第一消息前，发送者递增其重放计数 器的值。在接收到第一消息时，接收方验证第一消息中所包含的重放 计数器值是尚未被发送者在第一消息中使用的值。如果该重放计数器 值先前已经被使用过，则该消息被丢弃。因此，MA 110和MKD 115 均保持两个重放计数器的状态用于为从保持计数器的节点发送的第 一消息生成值的计数器，和用于检测在由保持计数器的节点接收的第 一消息中的重放的计数器。另外，每个协议的第二消息包含等于该协 议的第一消息中的值的重放计数器值，允许在协议实例中进行消息匹 配。
网状密钥传输拉式协议参见图6，消息序列图示出了根据本发明一些实施例的网状密钥传输拉式协议。在图线605，将PMK-MA请求消息从MA 110发 送到MKD 115。在图线610，将PMK-MA传送消息从MKD 115发送 到MA 110。两个消息都包含用于完整性保护的MIC，且传送的 PMK-MA是加密的。根据本发明的一些实施例，PMK-MA请求消息包括下列元 素。在消息报头的DA字段中提供MKD115的MAC地址，且在消息 报头的SA字段中提供MA 110的MAC地址。在构造PMK-MA请求消 息之前，与PTK-KD相关联的MA 110的重放计数器的值被递增1。然 后将MSDIE配置为由MA IIO在其信标和探测响应中进行通告。根据本发明的一些实施例，PMK-MA请求消息还包括网状 已加密密钥信息元素(MEKIE) 。 MEKIE的内容如下
-重放计数器，被设定为MA 110的重放计数器的值；
-请求者地址(SPA)，被设定为MP请求者120的MAC地址， 该MP请求者120在其初始EMSA认证期间生成包含被请求的 PMK-MA的网状密钥层级；
-PMK-MKD名称字段，被设定为从其导出被请求的PMK-MA的 密钥的标识符；
-MIC控制字段的MIC算法子字段，被设定为指示用于计算MIC 的加密算法；
-MIC控制字段的信息元素计数字段，被设定为2，为当前帧中的 信息元素的数量；
-按以下顺序的级联，通过由MIC算法子字段选择的算法、使用用 于密钥分发的密钥确认密钥(KCK-KD)而计算的MIC值
-MA 110的MAC地址；
-MKD 115的MAC地址；
-指示PMK-MA请求类型消息的字段，被设定为3; -MSDIE的内容；以及
-MEKIE的内容，其中MIC字段被设定为0;以及
15-ANonce和已加密内容长度字段，被设定为0。在接收到PMK-MA请求消息时，MKD 115验证MIC，并验 证MEKIE中的重放计数器字段包含在由MA 110发送的第一消息中的 尚未用于PTK-KD的值。如果得到验证，则MKD 115可以尝试使用由 PMK-MKD名称字段标识的密钥，来导出PMK-MA以在由SPA标识的 MP请求者120与发送了 PMK-MA请求消息的MA 110之间使用。随 后，MKD 115构造并发送PMK-MA传送消息。在MA 110从MKD 115接收到PMK-MA传送消息后， MA 110解密PMK-MA，然后使用PMK-MA继续进行与MP请求者120 的安全性设立。这实现了快速链路设立，该快速链路设立例如使用IEEE 802.11标准，而不需要使用更高层协议，来将MP请求者120连接到网 络100。参见图7，框图示出了根据本发明一些实施例的网状已加密 密钥信息元素(MEKIE)的示例性字段结构700，该MEKIE可被用于 请求、传送，或确认PMK-MA。块705是信息元素ID字段。块710 是指示MEKIE长度的长度字段。块715是具有下列子字段的MIC控 制字段块720是MIC算法字段，块725是预留字段，以及，块730 是指示由MIC保护的信息元素的数量的信息元素(IE)计数字段。块 735是消息完整性校验(MIC)字段，如上所述，包含使用成对密钥计 算的校验值。MIC的校验值保护MEKIE和附加报头信息的内容。块740是重放计数器字段，其允许在两消息序列中将第二消 息匹配到第一消息，并防止重放先前的消息。在序列的第一消息中， 重放计数器字段包含如下计数器值，该计数器值尚未被用于用来计算 MIC的密钥(即，用于密钥分发的密钥确认密钥(KCK-KD))。在 序列的第二消息中，重放计数器字段包含来自序列的第一消息的计数 器值。
块745是请求者地址(SPA)，其提供创建PMK-MA的MP 请求者120的地址。块750是MKD-ID字段，其包含参与当前MEKIE 交换的MKD 115的标识符。块755是PMK-MKD名称字段，其包含从 其导出PMK-MA的主密钥的标识符。块760是ANonce字段，其包含 在计算PMK-MKD名称字段期间由MKD 115使用的nonce。块765是 已加密内容长度字段，BP,块770显示的已加密内容字段的长度。已 加密内容字段是用于传输PMK-MA和相关信息(即，"上下文")的 可变长度字段，且该字段中的所有信息是使用诸如，在本领域中熟知 的算法例如，高级加密标准(AES)密钥封装(wrap)来加密的。根据本发明的一些实施例，密钥传输拉式协议的第二消息， PMK-MA传送消息，可以包含下列元素。在消息报头的DA字段中提 供的MA 110的MAC地址，和在消息报头的SA字段中提供的MKD 115 的MAC地址。MSDIE包含在PMK-MA请求消息中接收到的MSDIE 。密钥传输拉式协议的PMK-MA传送消息还包含MEKIE，包 括以下
-重放计数器，被设定为PMK-MA请求消息中的重放计数器的值；
-SPA，被设定为PMK-MA请求消息中所包含的值；
-PMK-MKD名称，如果已加密PMK-MA被包括在已加密内容字
段中，则PMK-MKD名称被设定为PMK-MA请求消息中包含的值(如
果已加密内容字段被省略，则PMK-MKD名称被设定为0);
-ANonce，被设定为由MKD 115为导出在PMK-MA请求消息中
指示的PMK-MKD名称而随机选择的值；
-已加密内容长度字段，被设定为已加密内容字段的八位字节的长
度，或者如果已加密内容字段被省略，则被设定为O;
-已加密内容被如下设定
-如果MKD 115没有要发送到MA 110的PMK-MA (例如，它不 能导出密钥)，则己加密内容字段被省略；
17-如果MKD 115发送PMK-MA到MA 110，则已加密内容字段包 含级联key—data(密钥数据)-(PMK-MAIIPMK-MA名称IILifetime KDE (生存期KDE) };
-生存期KDE是4个八位字节的值，其包含在PM - MA生存期中 剩余的秒数；
-如果MIC算法是，例如，本领域公知的基于哈希的消息认证码 HMAC-MD5，则级联密钥数据在被插入到已加密内容字段中之前，如 本领域公知的那样，使用KEK-KD和流密码ARC4被加密；
-如果MIC算法是，例如，本领域公知的基于哈希的消息认证码 HMAC-SHA1-128，则级联密钥数据在被插入到已加密内容字段之前， 如本领域公知的、在征求意见RFC3394中定义的那样，使用KEK-KD 和NIST AES密钥封装算法被加密；
-MIC控制字段的MIC算法，被设定为指示用于计算MIC的加密 算法；
-MIC控制字段的信息元素计数字段，被设定为2，即当前帧中的 信息元素的数量；
-按以下顺序的级联，通过由MIC算法子字段选择的算法、使用 KCK-KD而计算的MIC:
-MA 110的MAC地址；
-MKD 115的MAC地址；
-指示消息为PMK-MA拉式协议传送类型的字段，被设定为4; -MSDIE的内容；以及
-MEKIE的内容，其中MIC字段被设定为0。当接收到PMK-MA传送消息时，MA 110验证MIC，并验 证重放计数器字段包含PMK-MA请求消息给出的值。
网状密钥传输推式协议参见图8，消息序列图示出了根据本发明一些实施例的网状 密钥传输推式协议。在图线805，将PMK-MA传送消息从MKD 115
18发送到MA 110。在图线810，将PMK-MA确认消息从MA 110发送到 MKD 115。根据本发明的一些实施例，PMK-MA传送消息和PMK-MA 确认消息二者都包含用于完整性保护的MIC，并且传送的PMK-MA是 加密的。密钥传输推式协议的PMK-MA传送消息可以包含下列元素。 在消息报头的DA字段中提供MA 110的MAC地址，和在消息报头的 SA字段中提供MKD 115的MAC地址。在构造PMK-MA传送消息之 前，与PTK-KD相关联的MKD 115的重放计数器的值被递增1。 PMK-MA传送消息还包括包含MSD-ID的MSDIE。密钥传输推式协议的PMK-MA传送消息还包含MEKIE，包 括以下
-重放计数器，被设定为MKD115的重放计数器的值；
-SPA，被设定为MP请求者120的MAC地址，该MP请求者120
在其初始EMSA认证期间生成包括被传送的PMK-MA的网状密钥层
级；
-PMK-MKD名称，被设定从其导出被传送的PMK-MA的密钥的 标识符；
-ANonce ，被设定为由MKD为导出在当前消息中指示的 PMK-MKD名称而选择的随机值；
-已加密内容长度字段，被设定为已加密内容字段的八位字节的长
度；
-已加密内容字段，包含级联key—data (密钥数据) 二(PMK-MAIIPMK-MA名称II生存期KDE};
-生存期KDE是4个八位字节的值，包含在PMK-MA生存时间中 的剩余秒数；
-如果MIC算法是，例如，基于哈希的消息认证码HMAC-MD5， 则级联密钥数据在被插入到已加密内容字段之前使用KEK-KD和流密 码ARC4被加密；
19-如果MIC算法是，例如，HMAC-SHA1-128，则级联密钥数据在 被插入到己加密内容字段之前，如在征求意见RFC3394中定义的那样， 使用KEK-KD和NIST AES密钥封装算法被加密；
-MIC控制字段的MIC算法子字段，被设定为指示用于计算MIC 的加密算法；
-被设定为2的MIC控制字段的信息元素计数字段，当前帧中的信 息元素的数量；
-按以下顺序的级联，通过由MIC算法子字段选择的算法、使用 KCK-KD而计算的MIC:
-MA 110的MAC地址； -MKD 115的MAC地址；
-指示消息为PMK-MA推式协议传送类型的字段，被设定为值l; -MSDIE的内容；以及
-MEKIE的内容，其中MIC字段被设定为0。当接收到PMK-MA传送消息时，MA 110验证MIC，并验 证重放计数器字段包含在由MKD 115发送的第一消息中的先前尚未用 于PTK-KD的值。如果得以验证，贝l」MA 110然后向MKD 115发送 PMK-MA确认消息。根据本发明的一些实施例，密钥传输推式协议的第二消息， PMK-MA确认消息，可以包含下列元素。在消息报头的DA字段中提 供MKD 115的MAC地址，和在消息报头的SA字段中提供MA 110 的MAC地址。MSDIE包括在PMK-MA传送消息中接收的MSDIE 。密钥传输推式协议的PMK-MA确认消息还包含MEKIE，包
括以下
-重放计数器，被设定为PMK-MA传送消息中的重放计数器的值; -SPA、 PMK-MKD名称和ANonce，被设定为PMK-MA传送消息 中包含的值；-已加密内容长度字段，被设定为O(因为己加密内容字段被省略)；
-MIC控制字段的MIC算法子字段，被设定为指示用于计算MIC
的加密算法；
-被设定为2的MIC控制字段的信息元素计数字段，当前帧中的信 息元素的数量；以及
-按以下顺序的级联，通过由MIC算法子字段选择的算法、使用 KCK-KD而计算的MIC:
-MA 110的MAC地址；
-MKD 115的MAC地址；
-指示消息为PMK-MA确认类型的字段，被设定为值2; -MSDIE的内容；以及
-MEKIE的内容，其中MIC字段被设定为0。当接收到PMK-MA确认消息时，MKD 115验证MIC，并验
证重放计数器字段包含MKD 115在PMK-MA传送消息中发送的值。参见图9，通用流程图示出了根据本发明一些实施例，从 MA 110视角，使用网状密钥传输拉式协议将PMK-MA从MKD 115传 送到MA 110的方法900。在框905， MA 110接收来自于MP请求者 120的请求者加入指示。在框910， MA110从请求者请求中提取SPA、 MKD-ID禾B PMK-MKD名称值。在框915，将本地重放计数器递增。 在框920， MA IIO使用关于MP请求者120和当前重放计数器值的信 息来创建MEKIE。在框925， MA 110使用MAC地址上的KCK-KD、 类型和MEKIE值来计算MIC，并且将MIC插入到MEKIE中。然后将 PMK-MA请求消息从MA 110传输到MKD 115。在框930，MA 110等待并且然后从MKD 115接收PMK-MA 传送消息。在框935， MA 110确定MIC是否有效以及在PMK-MA传 送消息中的SPA和重放计数器是否与PMK-MA请求消息中的对应值匹 配。如果不是，则方法回到框930， MA 110继续等待另一个PMK-MA传送消息。如果MIC有效，且在PMK-MA传送消息中的SPA和重放 计数器与PMK-MA请求消息中的对应值匹配，则在框940，使用例如 PTK-KD的用于密钥分发的密钥加密密钥(KEK-KD)部分来解密 MEKIE的封装内容。最后，在框945， MA 110使用PMK-MA完成与 MP请求者120的安全性交换。参见图10，通用流程图示出了根据本发明的一些实施例， 从MKD 115视角，使用网状密钥传输拉式协议将PMK-MA从MKD 115 传送到MA 110的方法1000。在框1005， MKD 115接收来自MA 110 的PMK-MA请求消息。在框1010， MKD 115确定MIC是否有效以及 MKD 115自身的ID是否是在PMK-MA请求消息中的MKD-ID。如果 不是，则方法1000结束。如果是，则在框1015， MKD 115确定在 PMK-MA请求消息中的重放计数器是否大于用于MA 110的本地计数 器。如果不是，则方法1000结束。如果是，则在框1020， MKD115 将用于MA110的本地计数器设定为等于重放计数器。在框1025， MKD 115确定其是否具有由用于SPA的PMK-MKD名称值标识出的密 钥，该用于SPA的PMK-MKD名称值被标识在PMK-MA请求消息中。 如果不是，则方法1000结束。如果是，则在框1030， MKD 115生成 MEKIE， MEKIE具有来自PMK-MA请求消息的SPA、 MKD-ID、 PMK-MKD名称，和重放计数器值。存储的ANonce值针对SPA被插入。在框1035，方法1000继续，MKD 115针对SPA生成 PMK-MA禾B PMK-MA名称。在框1040， MKD 115使用PTK-KD的 KEK-KD部分来计算如下级联的AES密钥封装{PMK-MA||PMK-MA 名称||生存期}，以生成密钥传输密文，并将密钥传输密文插入到MEKIE 中。在框1045， MKD 115使用MAC地址上的PTK-KD的KCK-KD部 分、类型，和MEKIE值来计算MIC，并将MIC插入到MEKIE中。最 后，MKD 115创建PMK-MA传送消息并将其发送到MA 110。参见图11，通用流程图示出了根据本发明一些实施例，从 网状认证器视角，在自组无线网络中对认证密钥资料进行安全处理的
22方法。在框1105，使用网状密钥保持器安全性信息元素来导出用于密 钥分发的成对瞬时密钥。例如，如上所述涉及网状认证器安全性设立，
由MA 110使用MKHSIE在MA 110与MKD 115之间的网状密钥保持 器安全性握手期间导出PTK-KD。在框1110，使用包含数据来源信息的第一网状已加密密钥 信息元素，来请求网状认证器成对主密钥。例如，如上所述，在网状 密钥传输拉式协议中请求PMK-MA，在该协议中MA110传输包含 MEKIE的PMK-MA请求消息，并且MEKIE包含MIC形式的数据来 源信息。在框1115，使用用于密钥分发的成对瞬时密钥来解密第二 网状已加密密钥信息元素，以获得网状认证器成对主密钥。例如，如 上结合图9所述，由MA 110使用PTK-KD的KEK-KD部分在网状密 钥传输拉式协议期间来解密PMK-MA传送消息。在框1120，使用网状认证器成对主密钥，完成请求者安全 性交换。例如，如上所述，MA 110使用在网状密钥传输拉式协议期间 获得的PMK-MA，来完成与MP请求者120的请求者安全性交换。参见图12，框图示出了用于实施本发明一些实施例的无线 通信网状网络100中的网状认证器(MA) 110的部件。MA 110可以是 各种类型的无线通信设备中的一种，诸如，例如，移动电话、个人数 字助理、双向无线电装置或者笔记本电脑。MA 110，替代地，可以是 自组无线设备，诸如网状节点或者网状路由器。MA110包括可操作地 耦合到至少一个处理器1210的用户接口 1205。至少一个存储器1215 同样可操作地耦合到处理器1210。存储器1215具有足够的存储空间用 于操作系统1220、应用1225和通用文件存储装置1230。通用文件存 储装置1230可以存储，例如，与MKHSIE或者MEKIE信息元素相关 的值。用户接口 1205可以是包含如下用户接口的组合，所示用户接口 例如，但不限于小键盘、触摸屏、扬声器和麦克风。图形显示器1235可操作地耦合到处理器1210，该图形显示器1235还可以具有专用处理 器和/或存储器、驱动器等。 一个或多个收发信机，诸如第一收发信机 1240和第二收发信机1245，同样可操作地耦合到处理器1210。第一收 发信机1240和第二收发信机1245可以用于使用各种标准与各种无线 通信网络(诸如无线通信网状网络100)进行通信，各种标准例如，但 不限于，演进通用移动电信服务陆地无线电接入(E-UTRA)、通用移 动电信系统(UMTS)、增强UMTS (E-UMTS)、增强高速分组数据 (E-HRPD)、码分多址2000 (CDMA2000)、电子及电气工程师学会 (IEEE) 802.11、 IEEE 802.16，及其他标准。应当理解，图12仅用于说明目的，并示出了根据本发明的 一些实施例的MA 110的一些部件，而不旨在为可以实现本发明的各种 实施例所有网状认证器需要的各种部件和其间的连接的完整框图。存储器1215包括记录操作系统1220、应用1225和文件存 储装置1230的计算机可读介质。计算机可读的介质还包括用于对认证 密钥资料进行安全处理的计算机可读程序代码组件1250。当计算机可 读程序代码组件1250被处理器1210处理时，它们被建立以引起对方 法的执行，所述方法例如，如上所述的根据本发明一些实施例的方法 900和方法1100。在上述说明书中，已描述了本发明的特定实施例。然而，本 领域技术人员理解，在不偏离所附权利要求所提出的本发明的范围的 情况下，可以做出各种的修改和改变。相应地，说明书和附图被视为 说明性的而非限制性的，并且所有诸如此类的修改旨在被包含在本发 明的范围内。好处、优点、问题的解决方案，和任何可能引起好处、 优点，或者解决方案发生或者变得更明确的元素，不被认为是任意或 所有权利要求的关键的、必要或者基本的特征或元素。本发明仅仅由 所附权利要求以及这些权利要求的等效物来限定，所附权利要求包含 任何在申请未决期间提出的修改。
2权利要求
1. 一种用于在自组无线网络中对认证密钥资料进行安全处理的方法，所述方法包括使用网状密钥保持器安全性信息元素，导出用于密钥分发的成对瞬时密钥；使用包含数据来源信息的第一网状已加密密钥信息元素，请求网状认证器成对主密钥；使用所述用于密钥分发的成对瞬时密钥，解密第二网状已加密密钥信息元素，以获取所述网状认证器成对主密钥。
2. 如权利要求l所述的方法，进一步包括 使用所述网状认证器成对主密钥，完成请求者安全性交换。
3. 如权利要求l所述的方法，其中，所述网状密钥保持器安全性 信息元素包括消息完整性校验值。
4. 如权利要求l所述的方法，其中，导出所述用于密钥分发的成 对瞬时密钥的步骤包括处理与网状密钥分发器的三次消息握手。
5. 如权利要求l所述的方法，其中，所述用于密钥分发的成对瞬 时密钥包括密钥加密密钥和密钥确认密钥。
6. 如权利要求l所述的方法，其中，所述用于密钥分发的成对瞬 时密钥是基于在网状认证器的可扩展认证协议认证过程期间生成的主 密钥。
7. 如权利要求l所述的方法，其中，所述网状密钥保持器安全性 信息元素包括信息计数值，该信息计数值指示由消息完整性校验值保 护的信息元素的数量。
8. 如权利要求l所述的方法，其中，所述网状已加密密钥信息元 素包括重放计数器。
9. 如权利要求l所述的方法，其中，所述数据来源信息包括消息 完整性校验值。
10. —种用于在自组无线网络中对认证密钥资料进行安全处理的系统，所述系统包括用于使用网状密钥保持器安全性信息元素导出用于密钥分发的成 对瞬时密钥的装置；用于使用包含数据来源信息的第一网状已加密密钥信息元素请求 网状认证器成对主密钥的装置；用于使用所述用于密钥分发的成对瞬时密钥解密第二网状已加密 密钥信息元素以获取所述网状认证器成对主密钥的装置。
全文摘要
一种用于在自组无线网络中对认证密钥资料进行安全处理的方法和系统，实现了，在被多个无线链路分隔的网状认证器(110)与网状密钥分发器(115)之间的认证密钥资料的安全分发。该方法包括使用网状密钥保持器安全性信息元素(MKHSIE)，导出用于密钥分发的成对瞬时密钥(PTK-KD)。然后使用包括数据来源信息的第一网状已加密密钥信息元素(MEKIE)，请求网状认证器成对主密钥(PMK-MA)。然后使用用于密钥分发的成对瞬时密钥(PTK-KD)，解密第二网状已加密密钥信息元素(MEKIE)，以获得网状认证器成对主密钥(PMK-MA)。
文档编号G06F21/00GK101512537SQ200780033282
公开日2009年8月19日 申请日期2007年8月23日 优先权日2006年9月7日
发明者史蒂芬·P·埃梅奥特, 安东尼·J·布拉斯基奇 申请人:摩托罗拉公司