BRPI0716507B1 - método de autenticação de segurança e de gerenciamento de chave e método para comunicação entre um mantenedor de chave de nível de topo e um mantenedor de chave de nível um - Google Patents
método de autenticação de segurança e de gerenciamento de chave e método para comunicação entre um mantenedor de chave de nível de topo e um mantenedor de chave de nível um Download PDFInfo
- Publication number
- BRPI0716507B1 BRPI0716507B1 BRPI0716507A BRPI0716507B1 BR PI0716507 B1 BRPI0716507 B1 BR PI0716507B1 BR PI0716507 A BRPI0716507 A BR PI0716507A BR PI0716507 B1 BRPI0716507 B1 BR PI0716507B1
- Authority
- BR
- Brazil
- Prior art keywords
- key
- maintainer
- level
- applicant
- pmk
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000007726 management method Methods 0.000 title claims description 20
- 101100083742 Caenorhabditis elegans pmk-1 gene Proteins 0.000 claims abstract description 32
- 230000008569 process Effects 0.000 claims abstract description 21
- 238000004891 communication Methods 0.000 claims description 22
- 238000009795 derivation Methods 0.000 claims description 11
- 238000012546 transfer Methods 0.000 claims description 11
- 238000013475 authorization Methods 0.000 claims description 9
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 claims description 2
- 230000001052 transient effect Effects 0.000 claims description 2
- 238000013459 approach Methods 0.000 abstract description 3
- 101000969594 Homo sapiens Modulator of apoptosis 1 Proteins 0.000 description 11
- 102100021440 Modulator of apoptosis 1 Human genes 0.000 description 11
- 101000979001 Homo sapiens Methionine aminopeptidase 2 Proteins 0.000 description 9
- 101000969087 Homo sapiens Microtubule-associated protein 2 Proteins 0.000 description 9
- 102100021118 Microtubule-associated protein 2 Human genes 0.000 description 9
- 230000032258 transport Effects 0.000 description 8
- 230000008901 benefit Effects 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 5
- 230000007704 transition Effects 0.000 description 5
- 108091007065 BIRCs Proteins 0.000 description 3
- 241000713321 Intracisternal A-particles Species 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000013467 fragmentation Methods 0.000 description 2
- 238000006062 fragmentation reaction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 101100131116 Oryza sativa subsp. japonica MPK3 gene Proteins 0.000 description 1
- 101100456045 Schizosaccharomyces pombe (strain 972 / ATCC 24843) map3 gene Proteins 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 108010041420 microbial alkaline proteinase inhibitor Proteins 0.000 description 1
- 238000009448 modified atmosphere packaging Methods 0.000 description 1
- 235000019837 monoammonium phosphate Nutrition 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
- H04L63/064—Hierarchical key distribution, e.g. by multi-tier trusted parties
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
- H04W84/22—Self-organising networks, e.g. ad-hoc networks or sensor networks with access to wired networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
autenticação de segurança e gerenciamento de chave dentro de uma rede multi-hop sem fio baseada em infraestrutura um sistema e um método da autenticação da segurança e do esquema da gerência chave em uma rede sem fio multi-hop fornecidos nisto com um modelo de segurança hop-by-hop. o esquema adapta a hierarquia 802.11r chave na rede engrenada do ap. nesta aproximação, um suporte chave superior (rokh) deriva e prende a chave por pares mestra da parte superior (pmk_o) para cada dispositivo sem fios do supplicant após o processo de autenticação. todo o authenticator ap toma ao nivel um papel chave do suporte (r1kh) e recebe a chave por pares mestra seguinte do nivel (pmk_1) de rokh. a chave da protecção de dados do nivel de ligação é derivada de pmk 1 através do aperto de mão da maneira 802 .11i 4.
Description
MÉTODO DE AUTENTICAÇÃO DE SEGURANÇA E DE GERENCIAMENTO DE CHAVE E MÉTODO PARA COMUNICAÇÃO ENTRE UM MANTENEDOR DE CHAVE DE NÍVEL DE TOPO E UM MANTENEDOR DE CHAVE DE NÍVEL UM
Campo da Invenção A presente invenção se refere geralmente a comunicações sem fio e, mais particularmente, a uma autenticação de segurança e a um gerenciamento de chave em uma rede de salto múltiplo sem fio baseada em infraestrutura.
Antecedentes Uma rede sem fio baseada em infraestrutura tipicamente inclui uma rede de comunicação com gateways fixos e com fio. Muitas redes sem fio baseadas em infraestrutura empregam uma unidade móvel ou host, a qual se comunica com uma estação base fixa que é acoplada a uma rede com fio. A unidade móvel pode se mover geograficamente enquanto está se comunicando por um enlace sem fio com a estação base. Quando a unidade móvel se move para fora de alcance de uma estação base, ela pode se conectar ou “transferir de ponto a ponto” para uma nova estação base e começar uma comunicação com a rede com fio através da nova estação base.
Em comparação com redes sem fio baseadas em infraestrutura, tais como redes celulares ou redes por satélite, as redes ad hoc são redes de autoformação as quais podem operar na ausência de qualquer infraestrutura fixa e, em alguns casos, a rede ad hoc é formada inteiramente por nós móveis. Uma rede ad hoc tipicamente inclui várias unidades móveis potencialmente distribuídas geograficamente, às vezes referidas como “nós”, os quais são conectados de forma sem fio a cada outro por um ou mais enlaces (por exemplo, canais de comunicação de freqüência de rádio). Os nós podem se comunicar uns com os outros por uma mídia sem fio sem o suporte de uma rede baseada em infraestrutura ou com fio.
Conforme as redes de comunicações se tornam mais prevalentes, a segurança continua a ser uma preocupação principal de provedores de rede de comunicação e usuários finais. Isto é mais evidente quando se usa uma rede sem fio móvel em que o ambiente de segurança pode oferecer os maiores desafios, uma vez que os dados podem ser prontamente recebidos e manipulados por muitos nós. Os enlaces de rádio usados em uma rede sem fio expõem a sinalização e os dados atravessando a rede a bisbilhoteiros e/ou a supostos hackers. Em uma rede sem fio de salto múltiplo, isto requer que cada enlace nos dispositivos em malha (mesh) tenha uma associação de segurança única estabelecida através do processo de autenticação de salto múltiplo e de gerenciamento de recurso. Então, os quadros de ar no enlace podem ser protegidos com as associações de segurança estabelecidas.
Breve Descrição dos Desenhos As figuras associadas, onde números de referência iguais se referem a elementos idênticos ou funcionalmente similares por todas as vistas separadas e os quais em conjunto com a descrição detalhada abaixo são incorporados em e fazem parte do relatório descritivo, servem para ilustração adicional de várias modalidades e para explicação dos vários princípios e vantagens, tudo de acordo com a presente invenção. A FIG. 1 ilustra uma rede sem fio de salto múltiplo baseada em infraestrutura de exemplo de acordo com algumas modalidades da presente invenção. A FIG. 2 ilustra um formato de mensagem de exemplo de algumas modalidades da presente invenção. A FIG. 3 é um fluxograma que ilustra um processo de distribuição de chave e de autorização de papel de acordo com algumas modalidades da presente invenção. A FIG. 4 ilustra um procedimento de autenticação de acordo com algumas modalidades da presente invenção. A FIG. 5 é um fluxograma de mensagem que ilustra mensagens de autenticação trocadas entre os vários elementos da rede da FIG. 1, de acordo com algumas modalidades da presente invenção. A FIG. 6 ilustra maiores detalhes da troca de mensagem da FIG. 5 de acordo com algumas modalidades da presente invenção.
Os técnicos versados apreciarão que elementos nas figuras são ilustrados por simplicidade e clareza e não foram desenhados necessariamente em escala. Por exemplo, as dimensões de alguns dos elementos nas figuras podem ser exageradas em relação a outros elementos, para se ajudar a melhorar o entendimento das modalidades da presente invenção.
Descrição Detalhada Antes de se descreverem em detalhes as modalidades que estão de acordo com a presente invenção, deve ser observado que as modalidades residem primariamente em combinações de etapas de método e componentes de aparelho relacionados à autenticação de segurança e ao gerenciamento de chave.
Assim sendo, os componentes de aparelho e as etapas de método foram representados, onde apropriado, por símbolos convencionais nos desenhos, mostrando apenas aqueles detalhes específicos que são pertinentes para o entendimento das modalidades da presente invenção, de modo a não se obscurecer a exposição com detalhes que serão prontamente evidentes para aqueles de conhecimento comum na técnica, tendo o benefício da descrição aqui.
Neste documento, termos relacionais tais como primeiro e segundo, topo e fundo e similares podem ser usados unicamente para se distinguir uma entidade ou ação de uma outra entidade ou ação, sem necessariamente requerer ou implicar qualquer relação ou ordem real como essa entre tais entidades ou ações. Os termos "compreende", "compreendendo" ou qualquer outra variação dos mesmos são pretendidos para cobrirem uma inclusão não exclusiva, de modo que um processo, método, artigo ou aparelho que compreende uma lista de elementos não inclua apenas aqueles elementos, mas também inclua outros elementos não expressamente listados ou inerentes nesse processo, método, artigo ou aparelho. Um elemento seguido por "compreende... um" não impede, sem maiores restrições, a existência de elementos idênticos adicionais no processo, método, artigo ou aparelho que compreende o elemento.
Será apreciado que modalidades da invenção descritas aqui podem ser compreendidas por um ou mais processadores convencionais e instruções de programa armazenadas únicas que controlam um ou mais processadores para a implementação, em conjunto com certos circuitos não de processador, de algumas, da maioria ou de todas as funções de autenticação de segurança e de gerenciamento de chave descritas aqui. Os circuitos não de processador podem incluir, mas não estão limitados a um receptor de rádio, um transmissor de rádio, controladores de sinal, circuitos de relógio, circuitos de fonte de potência e dispositivos de entrada de usuário. Como tal, estas funções podem ser interpretadas como etapas de um método para a realização de autenticação de segurança e de gerenciamento de chave. Alternativamente, algumas ou todas as funções poderiam ser implementadas por uma máquina de estado que não tenha instruções de programa armazenadas, ou em um ou mais circuitos integrados específicos de aplicação (ASICs), nos quais cada função ou algumas combinações de certas funções são implementadas como uma lógica personalizada. Obviamente, uma combinação das duas abordagens poderia ser usada. Assim, métodos e meios para estas funções foram descritos aqui. Ainda, é esperado que alguém de conhecimento comum, não obstante possivelmente motivados por esforço significativo e muitas escolhas de projeto, por exemplo, tempo disponível, tecnologia atual e considerações econômicas, quando guiado pelos conceitos e princípios mostrados aqui serão prontamente capazes pela geração de instruções de software e programas e ICs com experimentação mínima. A presente invenção provê um esquema de autenticação de segurança e de gerenciamento de chave para uma rede sem fio de salto múltiplo baseada em infraestrutura com um modelo de segurança de salto por salto. Os blocos de construção básicos da presente invenção são IEEE 802.11i e IEEE 802.1x. Para a transferência rápida, os recursos em 802.11r são incluídos. O IEEE 802.1x é uma nova tecnologia que provê uma capacidade de escalonamento quase ilimitada com uma supervisão de administração mínima. Ele também permite que métodos de autenticação diferentes sejam selecionados pelos usuários ou pelas operadoras. Na presente invenção, uma Segurança de Camada de Transporte Tunelada (TTLS) é usada para o usuário e a autenticação de dispositivo, devido a sua segurança forte relativa e ao custo de emprego mais baixo. Para os dispositivos, uma autenticação de Segurança de Camada de Transporte (TLS) é um recurso opcional.
Para uma autenticação centralizada e um suporte a 802.11r, o mantenedor de chave de nível de topo (R0KH) para a hierarquia de chave de 802.11r é projetado para estar localizado na rede com fio. O transporte de mensagem entre o mantenedor de chave de nível de topo (nível zero) e os mantenedores de chave de nível 2 (R1KH) pode ser na camada 2 ou na camada de Protocolo de Internet (IP).
Na presente invenção, uma hierarquia de chave baseada em 802.11r é adaptada dentre os pontos de acesso em malha, os quais assumem o papel dos mantenedores de chave de nível um. O fluxo de mensagem de gerenciamento de segurança dentre mantenedores de chave é provido. O gerenciamento de chave pode suportar estações sem fio em conformidade com 802.11i e 802.11r. Ele também pode suportar pontos de acesso virtuais com possíveis identificadores de conjunto de serviço múltiplos (SSID) empregados. O fluxo de mensagem de segurança dentre mantenedores de chave de nível zero e de nível um pode ser transportado pela camada 2 ou pela camada 3, dependendo da localização de mantenedor de chave de nível zero. Quando todos os mantenedores de chave de nível zero são empregados no mesmo segmento de camada 2 com os mantenedores de chave de nível 1, o transporte de comunicação de camada 2 pode ser usado e, caso contrário, o transporte de comunicação de camada 3 deve ser usado. Uma Chave de Distribuição de Chave (KDK) é derivada durante o processo de autenticação inicial e usada para assegurar o material de chave transportado a partir do mantenedor de chave de nível de topo para os mantenedores de chave de próximo nível. O papel do mantenedor de chave de chave de nível um R1KH é autorizado pelo mantenedor de chave de nível de topo com base na informação de autorização a partir do Servidor de Autenticação.
Um sistema e um método de esquema de autenticação de segurança e de gerenciamento de chave em uma rede sem fio de salto múltiplo são providos aqui, com um modelo de segurança de salto por salto. O esquema adapta a hierarquia de chave de 802.11r na rede de ponto de acesso (AP) em malha. Nesta abordagem, um mantenedor de chave de nível de topo (R0KH) deriva e mantém a Chave Mestra Formada em Pares de topo (PMK_0) para cada dispositivo sem fio requerente após o processo de autenticação. Todos os pontos de acesso de autenticador (AP) assumem o papel de mantenedor de chave de nível um (R1KH) e recebem a Chave Mestra Formada em Pares de próximo nível (PMK_1) a partir do mantenedor de chave de nível de topo R0KH. A chave de proteção de dados de nível de enlace é derivada a partir de PMK_1 através de um aperto de mão de 4 vias, tal como um aperto de mão de 4 vias de 802.11i. A FIG. 1 ilustra uma rede sem fio de salto múltiplo baseada em infraestrutura de exemplo 100 de acordo com algumas modalidades da presente invenção. Na rede de exemplo 100 da FIG. 1, os canais de comunicação de nível 2 dentre os mantenedores de chave são usados e um mantenedor de chave de nível de topo R0KH é anexado a um comutador de Ethernet central. Assim, o mantenedor de chave de nível de topo R0KH está no mesmo segmento de L2 com todos os dispositivos de ponto de acesso inteligente controlado (IAP) e ponto de acesso de malha (MAP) . Um cliente de serviço de usuário de discagem de autenticações remotas (RADIUS) e um autenticador de 802.1X também são implementados na rede 100, de acordo com algumas modalidades da presente invenção.
Será apreciado por aqueles de conhecimento comum na técnica que quando os canais de comunicação de camada de IP são usados para o mantenedor de chave de nível de topo R0KH e o mantenedor de chave de nível um R1KH, o R0KH pode estar localizado em qualquer localização. De acordo com uma implementação de exemplo, R0KH está localizado no mesmo host que o sistema de gerenciamento de rede. Todos os dispositivos de R1KH conectados ao mesmo R0KH são identificados através de um Identificador de Domínio de Mobilidade (MDI), o qual é anunciado em todos os quadros de sinal de orientação.
Conforme ilustrado, a rede 100 inclui um ou mais pontos de acesso de malha 135-n (MAP), os quais são usados para roteamento de pacotes de dados de um ou mais pontos de acesso inteligentes 130-n (IAP) para um ou mais dispositivos de assinante sem fio 140-n (SD) (também referidos como estações (STA)). Um ou mais IAPs 130-n então roteiam os pacotes para um comutador de Ethernet central 125 acoplado de forma comunicativa a um roteador central 115, e um mantenedor de chave de nível de topo (R0KH) 120. O roteador central 115 é acoplado através de uma espinha dorsal (backbone) com fio 110 para um servidor de autenticação 105. Embora apenas os percursos dos dispositivos de assinante (SD) para a rede com fio 125 sejam mostrados, será apreciado por aqueles de conhecimento comum na técnica que conexões em malha podem ser estabelecidas, desde que dois dispositivos vizinhos, tais como o dispositivo de assinante 140-1 e o dispositivo de assinante 140-2 possam se comunicar um com o outro. O servidor de autenticação 105 funciona para prover serviços de autenticação para o R0KH 120 e será descrito a partir deste ponto. Em geral, o servidor de autenticação 105 realiza uma função de autenticação necessária para se checarem as credenciais de um requerente em nome do autenticador e indica se o requerente está autorizado a acessar serviços de autenticador. Em uma modalidade da presente invenção, o servidor de autenticação 105 está localizado na seção de rede com fio em que a segurança física do host pode ser provida. Por exemplo, o servidor de autenticação 105 pode ser um servidor de serviço de usuário de discagem de autenticações remotas (RADIUS) habilitado para protocolo de autenticação extensível - Segurança de Camada de Transporte tunelada / protocolo de autenticação extensível - protocolo de camada de transporte (EAP-TTLS / EAP-TLS) para uma autenticação centralizada.
Conforme será apreciado por aqueles de conhecimento comum na técnica, os dispositivos de assinante 140-n na rede 100 podem ser requeridos para o envio e a recepção de dados encriptados. Qualquer dispositivo na rede 100 requerendo / desejando acesso aos serviços oferecidos pelo sistema de autenticador é referido como um requerente. Um dispositivo que autentica um outro dispositivo (requerente) o qual requer / deseja usar os serviços protegidos pelo autenticador é referido como um autenticador. O autenticador faz cumprir um controle de acesso com base no resultado do autenticador.
Conforme será apreciado por aqueles de conhecimento comum na técnica, cada nó na rede 100 (isto é, os IAPs 130-n, os MAPs 135-n e os SDs 140-n) é autenticado para a rede 100, antes de se unir à rede em malha. As credenciais para a autenticação podem ser com base, por exemplo, em uma senha, uma identificação (I.D.) de cartão de módulo de identidade de assinante (SIM) ou outra I.D. que seja única para o nó em particular e seja armazenada no servidor de autenticação 105. Cada nó usa esta relação com o servidor de autenticação 105 para autenticação para um MAP ou IAP em malha seguro de um salto, o qual estabeleceu uma conexão segura com o R0KH 120. O R0KH 120 usará os serviços de autenticação providos pelo servidor de autenticação 105. O servidor de autenticação 105 também ajuda ao nó em particular que esteja se autenticando para o estabelecimento de uma relação confiável com seus nós vizinhos pela distribuição de um material de chave mestra de sessão que é encriptado para o R0KH 120. O R0KH 120 deriva as Chaves Mestras Formadas em Pares de nível zero e de nível um (PMK_0, PMK_1) . O R0KH 12 0 também mantém PMK_0 e envia PMK_1 para o MAP ou IAP de autenticador, o qual está assumindo o papel de um mantenedor de chave de nível um.
Em uma modalidade da presente invenção, a rede 100 incorpora uma operabilidade de IEEE 802.11r. O 802.11r provê transições de BSS (“Conjunto de Serviço Básico”) rápidas. O 802.11r assim facilita a conectividade a bordo de veículos em movimento, com transferências rápidas de uma estação base para uma outra gerenciadas de uma maneira sem emendas. A aplicação primária atualmente divisada para o padrão 802.11r é em VoIP (“voz por IP” ou telefonia baseada em Internet) através de telefones móveis projetados para funcionarem com redes de Internet sem fio, ao invés de (ou além de) redes celulares padronizadas. O 802.11r refina o processo de transição de um cliente móvel, conforme ele se move entre os pontos de acesso. O protocolo permite que um cliente sem fio estabeleça um estado de segurança e de qualidade de serviço (QoS) em um novo ponto de acesso, antes de fazer uma transição, o que leva a uma perda de conectividade e uma perturbação de aplicação mínimas. As mudanças gerais no protocolo não introduzem quaisquer novas vulnerabilidades de segurança. Isto preserva o comportamento de estações e pontos de acesso atuais. O 802.11r provê mecanismos para roaming de clientes móveis para comunicação com pontos de acesso candidatos, estabelecimento de associações de segurança e reserva de recursos de QoS.
De acordo com a presente invenção, na rede 100 da FIG. 1, uma hierarquia de chave baseada em 802.11r é aplicada a um AP em malha, desse modo tornando uma transferência rápida possível para um ou mais APs móveis. Nesta hierarquia de chave, uma chave de nível de topo PMK_0 é gerada no R0KH 120 a partir do material de chave mestra recebido a partir do servidor de autenticação 105. No próximo nível, uma PMK_1 é derivada no R0KH 120 a partir da PMK_0. A PMK_1 é entregue para o R1KH. A chave transiente formada em pares (PTK) é derivada a partir de PMK_1 entre o requerente e o autenticador através de um aperto de mão de 4 vias de 802.11i. De acordo com algumas modalidades da presente invenção, o mantenedor de chave de nível de topo R0KH 120 está localizado na seção de rede com fio e afixado ao comutador de Ethernet central 125 e todos os outros pontos de acesso em malha (MAP) 135-n e os IAPs 130-n assumirão o papel de mantenedor de chave de nível um.
Em alguns empregos da presente invenção, o R0KH 120 pode estar contido em cada IAP 130-n, desse modo todo o MAP 135-n associado àquele IAP 130-n será R1KH sob aquele R0KH 120. (não mostrado) Quando os canais de comunicação de camada de IP são usados para R0KH e R1KH, os R0KH e R1KH podem estar localizados em um segmento de camada 2 diferente.
Proxy de EAPOL dentre Mantenedores de Chave Um protocolo de exemplo usado para comunicações entre os nós e o servidor 105 é um EAP (Protocolo de Autenticação Extensível). O protocolo de EAP define um formato de mensagem e um aperto de mão de troca para suporte de múltiplos métodos de autenticação. O EAP tipicamente roda diretamente por camadas de enlace de dados, tal como um Protocolo de Ponto a Ponto (PPP) ou IEEE 802, sem requerer um IP. O EAP provê seu próprio suporte para duplicação de eliminação e retransmissão, mas confia em garantias de ordenação de camada mais baixa. Uma fragmentação não é suportada no EAP em si. Contudo, métodos de EAP individuais podem suportar uma fragmentação, tal como EAP-TLS, onde dados de certificado longos precisam ser transmitidos em vários pacotes. Para 802.1X, por exemplo, as mensagens de EAP entre o requerente de autenticação e o R0KH 120 são encapsuladas em formatos de mensagem de EAPOL (EAP por rede de área local (LAN) ) . O EAP é flexível e extensível no suporte de múltiplos mecanismos de autenticação, tais como senha de usuário, autenticação baseada em certificado, senha de uso único, ficha de autenticação ou cartão inteligente, e similares. Ele provê um veículo para negociação e uso de mecanismos de autenticação apropriados incluindo aqueles os quais derivam um material de chaveamento no nó e o servidor de autenticação 105.
Um procedimento de autenticação começa quando um nó transmite uma requisição de autenticação usando, por exemplo, um Protocolo de Autenticação Extensível (EAP) compreendendo pacotes de EAP Por Rede de Área Local (EAPOL). O processo de autenticação envolve vários pacotes de EAPOL serem transmitidos e recebidos, começando com um pacote de começo de EAP e terminando com um pacote de mensagem de sucesso de EAP ou um pacote de mensagem de falha de EAP. O servidor de autenticação armazena as credenciais de autenticação de um dispositivo móvel (tipicamente denominado um Requerente) que está sendo autenticado. Os servidores de autenticação também podem ser conectados a outros servidores de autenticação para a obtenção de credenciais de autenticação de Requerente que não estejam armazenadas localmente.
Quando a hierarquia de chave de 802.11r é usada para o gerenciamento de chave, as mensagens de EAPOL para a autenticação e o gerenciamento de chave têm que ser transportadas entre o mantenedor de chave de nível de topo R0KH e o mantenedor de chave de próximo nível R1KH. A FIG. 2 ilustra um formato de mensagem 200 para uso na operação de algumas modalidades da presente invenção. Especificamente, a FIG. 2 ilustra uma encapsulação de mensagem de EAP para um quadro de com de mantenedor de chave de L2 de acordo com algumas modalidades da presente invenção. O cabeçalho de Controle de Acesso a Mídia (MAC) 205 contém os endereços de MAC de origem e de destino de cada salto. O cabeçalho de Roteamento Ad hoc (AHR) 210 contém os endereços de MAC de origem e de destino do autenticador e o dispositivo final de rota em malha (isto é, R1KH e R0KH). Um id de protocolo especial é colocado no campo de id de protocolo de cabeçalho de AHR 210 para representação do pacote de proxy de EAPOL. Um endereço de MAC de requerente 220 também é incluído entre o cabeçalho de AHR 210 e o pacote de EAPOL 230 no formato de mensagem 200. O formato de mensagem 200 inclui um indicador (flag) de i/r 215 no primeiro byte do corpo de carga útil de malha para suporte de requerentes de 802.11i e 802.11r. O formato de mensagem ainda inclui um item de informação de SSID 225 para suporte de APs virtuais. O endereço de MAC de requerente 220 é necessário para o R0KH 120 conhecer qual dispositivo requerente de modo a ser capaz de ligar a PMK_0 e a PMK_1 àquele requerente em particular. Quando o indicador (flag) de i/r 215 indica um requerente de 802.11i, o R0KH 120 deriva a PMK com base no padrão 802.11i e entrega a PMK para o R1KH. Quando o indicador (flag) de i/r 215 indica um requerente de 802.11r, o R0KH 120 deriva a PMK_0 e a PMK_1 com base na hierarquia de chave de 802.11r e entrega a PMK_1 para o autenticador (R1KH) . O SSID 225 é necessário para a derivação de PMK_0 e de PMK_1. Para APs virtuais, o requerente pode selecionar um SSID a partir de um número de SSIDs disponíveis.
De acordo com a presente invenção, quando as mensagens dentre mantenedores de chave são transportadas na camada de rede, o quadro de EAPOL 230 juntamente com os campos de i/r 215, de SPA 220 e SSID 225 são colocados na carga útil de pacote de IP (protocolo de internet). Adicionalmente, o envio do endereço de MAC de mantenedor de chave também é incluído na carga útil de IP, o que é necessário para a derivação de PMK_1.
Conforme é bem conhecido na técnica, conforme ilustrado na FIG. 2, o quadro de EAPOL 230 inclui uma versão de protocolo 235, a qual é um número binário não sinalizado, cujo valor é a versão do protocolo de EAPOL. O quadro de EAPOL 230 ainda inclui um tipo de pacote 240, o qual é um número binário não sinalizado, cujo valor determina o tipo de pacote conforme se segue: a) EAP-packet; b) EAPOL-Start; c) EAPOL- Logoff; d) EAPOL-Key; e) EAPOL-Encapsulated-ASF-Alert. O quadro de EAPOL 230 ainda inclui um comprimento de corpo de pacote 245, o qual é um binário não sinalizado, cujo valor define o comprimento em octetos do campo de corpo de pacote. O quadro de EAPOL 230 também inclui um corpo de pacote 250, o qual é apresentado, se o tipo de pacote contiver o valor EAP-Packet, EAPOL-Key; caso contrário, ele não é apresentado.
Conforme é bem conhecido na técnica, conforme ilustrado na FIG. 2, o corpo de pacote de EAP 250 inclui um campo de código 255, o qual identifica o tipo de pacote de EAP. Os códigos de EAP são atribuídos conforme se segue: 1 = Requisição; 2 = Resposta; 3 = Sucesso; 4 = Falha. O corpo de pacote de EAP 250 ainda inclui um campo de identificador 260, o qual ajuda na combinação de respostas com requisições. O corpo de pacote de EAP 250 ainda inclui um campo de comprimento 265, o qual indica o comprimento do pacote de EAP incluindo os campos de Código 255, Identificador 260, Comprimento 265 e de Dados 275. O corpo de pacote de EAP 250 ainda inclui um campo de tipo 270. O campo de tipo indica o tipo da requisição ou da resposta. Isto pode ser um tipo de identidade ou um método de autenticação em particular. O corpo de pacote de EAP 250 também inclui um campo de dados de tipo 275. O formato do campo de dados 275 é determinado pelo campo de dados de tipo 275. O formato do campo de dados 275 é determinado pelo campo de Código 255 e pelo campo de tipo 270.
Chave de Distribuição de Chave e Autorização de Papel Conforme será apreciado por aqueles de conhecimento comum na técnica, há dois tipos de dispositivos requerentes na rede 100. Os dois tipos de dispositivos requerentes na rede 100 são os dispositivos de MAP 135-n e os dispositivos de STA 140-n. De acordo com algumas modalidades da presente invenção, os dispositivos de MAP 135-n funcionam como R1KH para a hierarquia de chave de 802.11r. Para proteção da distribuição de PMK_1 a partir do mantenedor de chave de topo R0KH 120 para R1KH, uma Chave de Distribuição de Chave formada em pares (KDK) é derivada para cada par de R0KH e MAP/IAP, conforme ilustrado na FIG. 3. A FIG. 3 é um fluxograma que ilustra um processo de distribuição de chave e de autorização de papel 300 de acordo com algumas modalidades da presente invenção. Conforme ilustrado na FIG. 3, a operação começa com uma etapa de autenticação inicial 305. A autenticação inicial, por exemplo, pode ser uma autenticação de TTLS ou TLS inicial. Em seguida, na Etapa 310, o R0KH 120 obtém os atributos de autorização a partir do servidor de autenticação 105 na mensagem de “sucesso de autenticação” final para o requerente autenticado. Em seguida, na Etapa 315, é determinado se o atributo de papel de requerente autenticado é um mantenedor de chave de nível um, quando o atributo de papel de requerente autenticado é um mantenedor de chave de nível um, o processo continua para a Etapa 320, na qual o R0KH e o R1KH requerente iniciam um aperto de mão de 4 vias no estilo de 8902.11i com PMK_0 para a derivação da KDK.
Em seguida, na Etapa 320, a KDK é derivada como: KDK = KDF-KDKLen(PMK_0, “KDK Key derivation”, SNonce || ANonce || AA || SPA). onde: • KDF-256 é definida na Seção 8.5.A.3 de 802.11r. • SNonce é um número randômico gerado pode R1KH, e • ANonce é um número randômico gerado por R0KH. • Os dois números randômicos são trocados durante duas primeiras mensagens do aperto de mão de 4 vias.
• AA é o endereço de MAC de R0KH • SPA é o endereçamento e MAC de R1KH.
Será apreciado por aqueles de conhecimento comum na técnica que, quando R1KH se move, a KDK fica a mesma, a menos que R0KH inicie um novo aperto de mão de quatro vias de KDK.
Autenticação e Iniciação de Reautenticação A FIG. 4 ilustra um procedimento de autenticação 400 de acordo com algumas modalidades da presente invenção. Conforme ilustrado na FIG. 4, a operação começa com um nó 135-n se ativando na Etapa 405. Em seguida, na Etapa 415, o nó ouve / varre os quadros de sinal de orientação a partir de seus dispositivos vizinhos, os quais podem ser um MAP 135-n ou um IAP 130-n. Em seguida, na Etapa 415, o nó seleciona um IAP ou um MAP para começar o processo de autenticação pela escolha de um dispositivo que tenha indicado que ele tem uma conexão com um servidor de autenticação 105. Em seguida, na Etapa 420, uma primeira autenticação é completada para o nó com o dispositivo de MAP vizinho selecionado. Na Etapa 524, após a primeira autenticação, o nó pode iniciar uma reautenticação com outros dispositivos de MAP vizinhos os quais foram autenticados e conectados a um IAP no mesmo domínio de mobilidade. Esta reautenticação usa um processo de transferência rápida de 802.11r para se evitar uma transação de autenticação plena.
Fluxo de Mensagem de Autenticação A FIG. 5 é um fluxograma de mensagem 500 que ilustra mensagens de autenticação trocadas entre vários elementos da rede da FIG. 1 de acordo com algumas modalidades da presente invenção. Especificamente, a FIG. 5 é um fluxograma de mensagem 500 que ilustra mensagens trocadas entre um dispositivo requerente e um MAP (ou IAP) de R1KH. A porta controlada de 802.1x de MAP de R1KH é desbloqueada para aquelas mensagens a partir de um dispositivo não autenticado.
Um MAP de R1KH é um dispositivo de MAP ou de IAP o qual tem uma conexão segura para um R0KH; e é presumido já autenticado. Ele assumirá o papel de R1KH para o dispositivo requerente.
No cenário de exemplo do diagrama 500 da FIG. 5, o MAP1 de R1KH 135-1 e o MAP2 de R1KH 135-2 já estão autenticados e têm uma conexão segura com R0KH 120. Eles podem ser, por exemplo, um salto múltiplo a partir de R0KH 120, conforme ilustrado pelo percurso de salto múltiplo 505 da FIG. 5. O requerente (isto é, o dispositivo 140-1) neste cenário de exemplo, ainda não foi autenticado para o MAP1 de R1KH 135-1 e o MAP2 de R1KH 135-2, os quais são os vizinhos de um salto do requerente.
Neste cenário de exemplo, as mensagens entre R0KH 120 e o servidor de autenticação 105 são transportadas pelo protocolo de serviço de usuário de discagem de autenticação remota (RADIUS) baseado em Protocolo de Datagrama de Usuário (UDP) . As mensagens são protegidas pelo uso de um esquema de modulação e de codificação de segurança de protocolo RADIUS. Ainda, neste cenário de exemplo, as mensagens de autenticação entre R1KH 135-1 e R0KH 120 são transportadas pelo mecanismo de criação de proxy de protocolo de autenticação extensível por rede de área local (EAPOL) e os materiais de chave são protegidos com KDK entre o R0KH e o R1KH. O R1KH 135-1 notifica o R0KH 120 do SSID selecionado pelo requerente 140-1 para uma implementação de ponto de acesso (AP) virtual.
Conforme ilustrado na FIG. 5, o processo de autenticação começa quando o requerente 140-1 inicia uma requisição de associação 510 com seu MAP1 vizinho 135-1. Em resposta, o MAP1 135-1 envia uma resposta de associação 515. Por exemplo, o processo de autenticação 802.1x será começado pelo requerente 140-1 (EAPOL-Start a partir do requerente), se a autenticação de EAP de 802.1X 520 for selecionada através das duas primeiras mensagens de associação. Após uma autenticação de EAP de 802.1x bem sucedida, uma MSK será entregue a partir do servidor de autenticação 105 para o R0KH 120 na mensagem de Acesso Aceito em conjunto com o pacote de EAP-Success e outras atribuições de autorização. Após obter MSK, o R0KH 120 computa uma PMK_0 e uma PMK_1, conforme descrito no padrão 802.11r.
Para decidir se um processo de derivação de KDK é ou não para ser conduzido, o R0KH 120 checa o papel do requerente a partir dos atributos de autorização retornados a partir do servidor de autenticação de back end 105. Se o requerente 140-1 tiver um papel de R1KH, a troca de mensagem de derivação de KDK 525 será conduzida. Caso contrário, nenhum processo de derivação de KDK será iniciado para o requerente 140-1.
Para a geração dos nomes únicos para a PMK_0 e a PMK_1, o R0KH 120 gera um número randômico denominado ANonce a ser usado para a derivação do nome de PMK_0 e do nome de PMK_1. Este ANonce é enviado para o MAP1 135-1 em conjunto com a PMK_1 e o nome de PMK_1 na mensagem 530. O ANonce é para ser usado por MAP1 135-1 no aperto de mão de 4 vias com o requerente 140-1. O requerente 140-1 então usará o mesmo ANonce para derivar os mesmos nomes de chave.
Após receber a PMK_1 530 a partir do R0KH 120, o MAPI inicia um aperto de mão de 4 vias 535 com o requerente 1401 para a geração de uma PTK para proteção do enlace entre o requerente 140-1 e o MAP3 135-3 (não mostrado na FIG. 5) . Após isso, o MAP1 135-1 e o requerente 140-1 podem se comunicar em um enlace seguro 540. A FIG. 6 ilustra uma troca de mensagem detalhada de exemplo 600, conforme descrito previamente aqui na FIG. 5, quando a autenticação de 802.1x é EAP-TTLS, de acordo com algumas modalidades da presente invenção. Conforme ilustrado na FIG. 6, o requerente 140-1 envia um quadro EAPOL-start 605 para o MAP1 de R1KH 135-1, quando uma autenticação de 802.1x é selecionada. O R1KH 135-1 então transporta este quadro 610 para o R0KH 120. O R0KH 120 assume o controle de todo o fluxo de mensagem entre o requerente 140-1 e o servidor de autenticação 105. O MAP1 de R1KH 135-1 implementa uma máquina de estado de nova tentativa para o EAPOL-Start para envio para o R0KH 120. A última mensagem PMK_1 ACK 615 completa a máquina de estado em R0KH 120. A última mensagem 620 a partir de R0KH 120 para R1KH 135-1 contém PMK_1, R1Name e Anonce. Se o requerente 140-1 for um dispositivo de 802.11i, apenas a PMK de 802.11i será entregue para o R1KH 135-1.
Reautenticação (Transição Rápida) Com referência de volta à FIG. 5, após a primeira autenticação com o MAP1 135-1, o requerente 140-1 pode iniciar um processo de reautenticação (transferência rápida) com quaisquer dispositivos de MAP vizinhos 135-n, os quais tenham anunciado uma conexão segura com um servidor de autenticação 105 e estejam no mesmo domínio de mobilidade. O processo de reautenticação segue uma transição de BSS rápida de 802.11r; mecanismo de base pelo ar. A requisição de reautenticação inclui R0Name, R1Name, SNonce e seu nome de mantenedor de chave de nível de topo associado R0KH-ID. R0Name e R1Name também são para serem incluídos.
Conforme ilustrado na FIG. 5, após o procedimento de autenticação ser completado entre o requerente 140-1 e o MAP1 135-1, o requerente 140-1 inicia um procedimento de reautenticação com seu próximo dispositivo vizinho R1KH MAP2 135-2. Por exemplo, uma primeira mensagem com transferência rápida 545 é enviada a partir do requerente 140-1 para o MAP2 135-2. Em resposta, o MAP2 135-2 envia uma requisição de PMK 550 para o R0KH 120 requisitando a PMK_1 correspondente a partir do R0KH 120, se ele não mantiver aquela PMK_1 identificada por R1Name. A requisição de PMK_1 para o R0KH deve incluir o R0Name. Em resposta, o R0KH 120 envia a PMK_1 555 para o MAP2 135-2. Após isso, o MAP2 135-2 envia a segunda mensagem para o requerente 140, quando o MAP2 135-2 obtiver a PMK_1 correspondente. O requerente 140-1 e o MAP2 135-2 completam as mensagens de transferência rápida 560 e resultam em um enlace seguro 565. Será apreciado por aqueles de conhecimento comum na técnica que esta reautenticação de transferência rápida pode ser repetida para qualquer número de dispositivos de MAP ou de IAP no alcance de comunicação (na vizinhança) do requerente.
No relatório descritivo precedente, modalidades específicas da presente invenção foram descritas. Contudo, alguém de conhecimento comum na técnica aprecia que várias modificações e mudanças podem ser feitas, sem que se desvie do escopo da presente invenção, conforme estabelecido nas reivindicações abaixo. Assim sendo, o relatório descritivo e as figuras devem ser considerados em um sentido ilustrativo, ao invés de restritivo, e pretende-se que todas essas modificações sejam incluídas no escopo da presente invenção. Os benefícios, as vantagens, as soluções para problemas e qualquer (quaisquer) elemento(s) que possam fazer com que qualquer benefício, vantagem ou solução ocorram ou se tornem mais pronunciados não devem ser construídos como recursos críticos, requeridos ou essenciais ou elementos de qualquer uma ou de todas as reivindicações. A invenção é definida unicamente pelas reivindicações em apenso, incluindo quaisquer emendas feitas durante a pendência deste pedido e todos os equivalentes daquelas reivindicações, conforme emitido.
REIVINDICAÇÕES
Claims (11)
1. Método de autenticação de segurança e de gerenciamento de chave em uma rede de salto múltiplo sem fio baseada em infraestrutura, o método caracterizado pelo fato de compreender: inicialmente, a autenticação de um requerente incluindo a determinação de um ou mais atributos de papel de requerente autenticado com um servidor de autenticação; a obtenção de um ou mais atributos de autorização a partir do servidor de autenticação por um mantenedor de chave de nível de topo; determinar se o atributo de papel de requerente autenticado é um mantenedor de chave de nível um pelo mantenedor de chave de nível de topo; iniciar um aperto de mão de quatro vias entre o mantenedor de chave de nível de topo e o requerente com uma chave mestra formada em pares (PMK)_0 para a derivação de uma Chave de Distribuição de Chave (KDK) quando o atributo de papel de requerente autenticado for um mantenedor de chave de nível um; e quando o atributo de papel de requerente autenticado não for um mantenedor de chave de nível um: a comunicação de uma chave mestra formada em pares de nível um (PMK)_1 a partir do mantenedor de chave de nível de topo para um mantenedor de chave de nível um, a iniciação de um aperto de mão de quatro vias entre o mantenedor de chave de nível um e o requerente com a chave mestra formada em pares de nível um (PMK)_1 para a geração de um enlace de comunicação seguro entre o requerente e o mantenedor de chave de nível um, e a comunicação no enlace seguro entre o mantenedor de chave de nível um e o requerente.
2. Método de autenticação de segurança e de gerenciamento de chave em uma rede de salto múltiplo sem fio baseada em infraestrutura, de acordo com a reivindicação 1, caracterizado pelo fato de o aperto de mão de quatro vias entre o mantenedor de chave de nível de topo e o mantenedor de chave de nível um compreender um aperto de mão de quatro vias no estilo de 802.11i para a derivação de uma KDK entre o mantenedor de chave de nível de topo e o mantenedor de chave de nível um; e ainda onde o aperto de mão de quatro vias entre o mantenedor de chave de nível um e o requerente compreende um aperto de mão de quatro vias no estilo de 802.11i para a derivação de uma chave transiente formada em pares (PTK) entre o mantenedor de chave de nível um e o requerente.
3. Método de autenticação de segurança e de gerenciamento de chave em uma rede de salto múltiplo sem fio baseada em infraestrutura, de acordo com a reivindicação 1, caracterizado pelo fato de a KDK ser derivada como: KDK = KDF-KDKLen(PMK_0, “KDK Key derivation”, SNonce || ANonce || AA || SPA). onde: KDF-256 é um número pré-definido, SNonce é um número randômico gerado pelo requerente, ANonce é um número randômico gerado pelo mantenedor de chave de nível de topo, os dois números randômicos são trocados durante duas primeiras mensagens do aperto de mão de quatro vias, AA é o endereço de MAC de mantenedor de chave de nível de topo, e SPA é o endereço de MAC de requerente.
4. Método de autenticação de segurança e de gerenciamento de chave em uma rede de salto múltiplo sem fio baseada em infraestrutura, de acordo com a reivindicação 1, caracterizado pelo fato de a etapa de autenticação inicial incluir uma comunicação de uma mensagem de “sucesso de autenticação” final, e ainda onde um ou mais atributos de autorização são obtidos a partir da mensagem de “sucesso de autenticação” final.
5. Método de autenticação de segurança e de gerenciamento de chave em uma rede de salto múltiplo sem fio baseada em infraestrutura, de acordo com a reivindicação 1, caracterizado pelo fato de o método ainda compreender: a iniciação de uma reautenticação com um outro mantenedor de chave de nível um pelo requerente, onde o outro mantenedor de chave de nível um foi autenticado e conectado ao mantenedor de chave de nível de topo em um mesmo domínio de mobilidade, onde a reautenticação compreende: a comunicação de uma mensagem usando um processo de transferência rápida a partir do requerente para o outro mantenedor de chave de nível um; a comunicação da chave mestra formada em pares de nível um (PMK)_1 a partir do mantenedor de chave de nível de topo para o outro mantenedor de chave de nível um; a conclusão de uma transferência rápida entre o outro mantenedor de chave de nível um e o requerente usando a chave mestra formada em pares de nível um (PMK)_1 para a geração de um enlace de comunicação seguro entre o requerente e o outro mantenedor de chave de nível um; e a comunicação no enlace seguro entre o outro mantenedor de chave de nível um e o requerente.
6. Método para comunicação entre um mantenedor de chave de nível de topo e um mantenedor de chave de nível um para uma autenticação de segurança e um gerenciamento de chave em uma rede de salto múltiplo sem fio baseada em infraestrutura, caracterizado pelo fato de compreender: a comunicação de uma mensagem tendo um formato de mensagem que compreende: um cabeçalho de Controle de Acesso a Mídia (MAC) contendo um endereço de MAC de origem e de destino de pelo menos um salto; um cabeçalho de Roteamento Ad hoc (AHR) contendo: um endereço de MAC de origem e um de destino do mantenedor de chave de nível um e do mantenedor de chave de nível de topo, e uma identificação de protocolo representando um pacote de proxy de protocolo de autenticação extensível por uma rede de área local (EAPOL); um endereço de MAC de requerente; um indicador (flag) de i/r que é um indicador de padrão 802.11i ou 802.11r; e um identificador de conjunto de serviço (SSID).
7. Método, de acordo com a reivindicação 6, caracterizado pelo fato de o endereço de MAC de requerente identificar qual dispositivo requerente ligar a uma chave mestra formada em pares_0 (PMK_0) e uma PMK_1.
8. Método, de acordo com a reivindicação 6, caracterizado pelo fato de o indicador (flag) de i/r indicando um requerente de 802.11i identificar que a PMK é derivada com base no padrão 802.11i e a PMK é para ser enviada para um R1KH.
9. Método, de acordo com a reivindicação 6, caracterizado pelo fato de o indicador (flag) de i/r indicando um requerente de 802.11r identificar que PMK_0 e PMK_1 são derivadas com base em uma hierarquia de chave de 802.11r e a PMK_1 é para ser entregue para o autenticador.
10. Método, de acordo com a reivindicação 6, caracterizado pelo fato de o SSID ser usado para derivação de PMK_0 e PMK_1 para um ponto de acesso virtual, e ainda onde um requerente seleciona um SSID a partir de uma pluralidade de SSIDs disponíveis.
11. Método, de acordo com a reivindicação 6, caracterizado pelo fato de a mensagem ser transportada em uma camada de comunicação selecionada a partir do grupo que compreende uma camada 2 e uma camada 3, e ainda onde quando o formato de mensagem é colocado na carga útil de pacote de protocolo de internet (IP), um endereço de MAC de R1KH ser adicionado em conteúdos de mensagem.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/470,887 US7499547B2 (en) | 2006-09-07 | 2006-09-07 | Security authentication and key management within an infrastructure based wireless multi-hop network |
| US11/470.887 | 2006-09-07 | ||
| PCT/US2007/074422 WO2008030667A2 (en) | 2006-09-07 | 2007-07-26 | Security authentication and key management within an infrastructure-based wireless multi-hop network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| BRPI0716507A2 BRPI0716507A2 (pt) | 2013-10-08 |
| BRPI0716507B1 true BRPI0716507B1 (pt) | 2019-12-10 |
Family
ID=39157922
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| BRPI0716507-2A2 BRPI0716507B1 (pt) | 2006-09-07 | 2007-07-26 | método de autenticação de segurança e de gerenciamento de chave e método para comunicação entre um mantenedor de chave de nível de topo e um mantenedor de chave de nível um |
Country Status (11)
| Country | Link |
|---|---|
| US (2) | US7499547B2 (pt) |
| EP (1) | EP2060052B1 (pt) |
| JP (1) | JP4921557B2 (pt) |
| KR (1) | KR101054202B1 (pt) |
| CN (1) | CN101513092B (pt) |
| AU (2) | AU2007292516B2 (pt) |
| BR (1) | BRPI0716507B1 (pt) |
| CA (1) | CA2663168C (pt) |
| MX (1) | MX2009002507A (pt) |
| RU (1) | RU2407181C1 (pt) |
| WO (1) | WO2008030667A2 (pt) |
Families Citing this family (84)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB9722766D0 (en) | 1997-10-28 | 1997-12-24 | British Telecomm | Portable computers |
| US7890745B2 (en) * | 2006-01-11 | 2011-02-15 | Intel Corporation | Apparatus and method for protection of management frames |
| US8578159B2 (en) * | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
| US7499547B2 (en) * | 2006-09-07 | 2009-03-03 | Motorola, Inc. | Security authentication and key management within an infrastructure based wireless multi-hop network |
| US7734052B2 (en) * | 2006-09-07 | 2010-06-08 | Motorola, Inc. | Method and system for secure processing of authentication key material in an ad hoc wireless network |
| KR101018911B1 (ko) * | 2006-09-18 | 2011-03-02 | 인텔 코오퍼레이션 | 무선 메쉬 네트워크에서의 보안 정책 교섭을 위한 기술 |
| US20080072047A1 (en) * | 2006-09-20 | 2008-03-20 | Futurewei Technologies, Inc. | Method and system for capwap intra-domain authentication using 802.11r |
| US8607058B2 (en) * | 2006-09-29 | 2013-12-10 | Intel Corporation | Port access control in a shared link environment |
| US20080144579A1 (en) * | 2006-12-19 | 2008-06-19 | Kapil Sood | Fast transitioning advertisement |
| US8948046B2 (en) | 2007-04-27 | 2015-02-03 | Aerohive Networks, Inc. | Routing method and system for a wireless network |
| US9838365B2 (en) * | 2007-07-10 | 2017-12-05 | Qualcomm Incorporated | Peer to peer identifiers |
| US8094634B2 (en) * | 2007-09-06 | 2012-01-10 | Polytechnic Institute Of New York University | Sender and/or helper node modifications to enable security features in cooperative wireless communications |
| US8249256B2 (en) * | 2007-11-06 | 2012-08-21 | Motorola Solutions, Inc. | Method for providing fast secure handoff in a wireless mesh network |
| US8208635B2 (en) * | 2007-11-13 | 2012-06-26 | Rosemount Inc. | Wireless mesh network with secure automatic key loads to wireless devices |
| US20090150665A1 (en) * | 2007-12-07 | 2009-06-11 | Futurewei Technologies, Inc. | Interworking 802.1 AF Devices with 802.1X Authenticator |
| TWI345405B (en) * | 2007-12-26 | 2011-07-11 | Ind Tech Res Inst | Apparatus and method for executing the handoff process in wireless networks |
| US9246679B2 (en) * | 2007-12-28 | 2016-01-26 | Intel Corporation | Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks |
| CN101222325B (zh) * | 2008-01-23 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | 一种基于id的无线多跳网络密钥管理方法 |
| WO2009105721A2 (en) * | 2008-02-20 | 2009-08-27 | Zerog Wireless, Inc. | Wireless access point device |
| US8081568B2 (en) * | 2008-02-22 | 2011-12-20 | Cisco Technology, Inc. | Role determination for network devices |
| US8218502B1 (en) | 2008-05-14 | 2012-07-10 | Aerohive Networks | Predictive and nomadic roaming of wireless clients across different network subnets |
| US8474023B2 (en) * | 2008-05-30 | 2013-06-25 | Juniper Networks, Inc. | Proactive credential caching |
| JP5080406B2 (ja) * | 2008-09-05 | 2012-11-21 | 株式会社エヌ・ティ・ティ・ドコモ | 配信装置、端末装置及びシステム並びに方法 |
| JP5112229B2 (ja) * | 2008-09-05 | 2013-01-09 | 株式会社エヌ・ティ・ティ・ドコモ | 配信装置、端末装置及びシステム並びに方法 |
| US9674892B1 (en) | 2008-11-04 | 2017-06-06 | Aerohive Networks, Inc. | Exclusive preshared key authentication |
| US8483194B1 (en) | 2009-01-21 | 2013-07-09 | Aerohive Networks, Inc. | Airtime-based scheduling |
| CN101807998A (zh) * | 2009-02-13 | 2010-08-18 | 英飞凌科技股份有限公司 | 认证 |
| CN101815293B (zh) * | 2009-02-20 | 2012-08-15 | 华为技术有限公司 | 无线中继网络中的链路安全认证方法、装置和系统 |
| US8352741B2 (en) | 2009-06-11 | 2013-01-08 | Microsoft Corporation | Discovery of secure network enclaves |
| US9742560B2 (en) | 2009-06-11 | 2017-08-22 | Microsoft Technology Licensing, Llc | Key management in secure network enclaves |
| US9900251B1 (en) | 2009-07-10 | 2018-02-20 | Aerohive Networks, Inc. | Bandwidth sentinel |
| US11115857B2 (en) | 2009-07-10 | 2021-09-07 | Extreme Networks, Inc. | Bandwidth sentinel |
| US8385549B2 (en) * | 2009-08-21 | 2013-02-26 | Industrial Technology Research Institute | Fast authentication between heterogeneous wireless networks |
| JP5472977B2 (ja) * | 2009-08-27 | 2014-04-16 | 日本電気通信システム株式会社 | 無線通信装置 |
| JP5543812B2 (ja) * | 2010-03-23 | 2014-07-09 | 日東電工株式会社 | 粘着テープ貼付け方法および粘着テープ貼付け装置 |
| DE102010018285A1 (de) * | 2010-04-26 | 2011-10-27 | Siemens Enterprise Communications Gmbh & Co. Kg | Netzwerkzugangsknoten mit Schlüsselverteilerfunktion |
| DE102010018286A1 (de) * | 2010-04-26 | 2011-10-27 | Siemens Enterprise Communications Gmbh & Co. Kg | Schlüsselverteilerknoten für ein Netzwerk |
| CN101867930B (zh) * | 2010-06-04 | 2012-11-14 | 西安电子科技大学 | 无线Mesh网络骨干节点切换快速认证方法 |
| US8671187B1 (en) | 2010-07-27 | 2014-03-11 | Aerohive Networks, Inc. | Client-independent network supervision application |
| CN101908961B (zh) * | 2010-07-29 | 2012-07-11 | 北京交通大学 | 一种短密钥环境下多方秘密握手方法 |
| US9002277B2 (en) | 2010-09-07 | 2015-04-07 | Aerohive Networks, Inc. | Distributed channel selection for wireless networks |
| WO2012090332A1 (ja) * | 2010-12-28 | 2012-07-05 | 富士通株式会社 | 鍵設定方法、ノード、サーバ、およびネットワークシステム |
| CN102655584B (zh) * | 2011-03-04 | 2017-11-24 | 中兴通讯股份有限公司 | 一种远程呈现技术中媒体数据发送和播放的方法及系统 |
| US9264230B2 (en) | 2011-03-14 | 2016-02-16 | International Business Machines Corporation | Secure key management |
| US8619990B2 (en) | 2011-04-27 | 2013-12-31 | International Business Machines Corporation | Secure key creation |
| US8634561B2 (en) * | 2011-05-04 | 2014-01-21 | International Business Machines Corporation | Secure key management |
| US8566913B2 (en) | 2011-05-04 | 2013-10-22 | International Business Machines Corporation | Secure key management |
| US8755527B2 (en) | 2011-05-04 | 2014-06-17 | International Business Machines Corporation | Key management policies for cryptographic keys |
| US8789210B2 (en) | 2011-05-04 | 2014-07-22 | International Business Machines Corporation | Key usage policies for cryptographic keys |
| US9826571B2 (en) * | 2011-06-30 | 2017-11-21 | Aruba Networks, Inc. | Mesh node role discovery and automatic recovery |
| CN102958051B (zh) * | 2011-08-23 | 2016-06-08 | 上海贝尔股份有限公司 | Capwap架构的接入控制器及其密钥管理方法 |
| US10091065B1 (en) | 2011-10-31 | 2018-10-02 | Aerohive Networks, Inc. | Zero configuration networking on a subnetted network |
| CN103188662B (zh) * | 2011-12-30 | 2015-07-29 | 中国移动通信集团广西有限公司 | 一种验证无线接入点的方法以及装置 |
| US20130305332A1 (en) * | 2012-05-08 | 2013-11-14 | Partha Narasimhan | System and Method for Providing Data Link Layer and Network Layer Mobility Using Leveled Security Keys |
| US8787375B2 (en) | 2012-06-14 | 2014-07-22 | Aerohive Networks, Inc. | Multicast to unicast conversion technique |
| KR102220834B1 (ko) * | 2012-08-15 | 2021-02-26 | 더 보잉 컴파니 | 새로운 네트워크 패킷 구조에 기초한 지리위치 인증 시스템 및 방법 |
| US20150347751A1 (en) * | 2012-12-21 | 2015-12-03 | Seccuris Inc. | System and method for monitoring data in a client environment |
| US10389650B2 (en) | 2013-03-15 | 2019-08-20 | Aerohive Networks, Inc. | Building and maintaining a network |
| US9413772B2 (en) | 2013-03-15 | 2016-08-09 | Aerohive Networks, Inc. | Managing rogue devices through a network backhaul |
| US9465947B2 (en) * | 2013-08-05 | 2016-10-11 | Samsung Sds America, Inc. | System and method for encryption and key management in cloud storage |
| CN104469759B (zh) * | 2013-09-23 | 2018-12-21 | 株式会社理光 | 管理区域受限网络、接收区域密钥的方法和设备 |
| JP2015070571A (ja) * | 2013-09-30 | 2015-04-13 | サイレックス・テクノロジー株式会社 | 無線基地局装置、無線基地局装置の制御方法、及び、プログラム |
| US8743758B1 (en) | 2013-11-27 | 2014-06-03 | M87, Inc. | Concurrent uses of non-cellular interfaces for participating in hybrid cellular and non-cellular networks |
| EP3611951A1 (en) | 2013-12-13 | 2020-02-19 | M87, Inc. | Methods and systems of secure connections for joining hybrid cellular and non-cellular networks |
| JP6668598B2 (ja) * | 2014-05-19 | 2020-03-18 | 株式会社リコー | システム、及び通信方法 |
| KR20160000534A (ko) | 2014-06-24 | 2016-01-05 | (주)휴맥스 | 홈 네트워크 자동 연결형 영상 스트리밍 서비스 시스템 및 방법 |
| US10057766B2 (en) * | 2014-10-21 | 2018-08-21 | Qualcomm Incorporated | Methods and systems for authentication interoperability |
| US10129031B2 (en) * | 2014-10-31 | 2018-11-13 | Convida Wireless, Llc | End-to-end service layer authentication |
| CN104618090B (zh) * | 2015-01-08 | 2017-09-19 | 重庆邮电大学 | 一种适用于异构传感器网络的组密钥管理方法 |
| US10580312B2 (en) | 2015-07-24 | 2020-03-03 | Yamasee Ltd. | Method and system for obtaining and presenting turbulence data via communication devices located on airplanes |
| WO2018011791A2 (en) * | 2016-07-11 | 2018-01-18 | Yamasee Ltd. | Method and system for obtaining and presenting turbulence data via communication devices located on airplanes |
| CN105991600B (zh) | 2015-02-25 | 2019-06-21 | 阿里巴巴集团控股有限公司 | 身份认证方法、装置、服务器及终端 |
| CN107534658B (zh) | 2015-03-16 | 2020-11-17 | 康维达无线有限责任公司 | 使用公钥机制在服务层的端对端认证 |
| RU2738808C2 (ru) * | 2015-12-21 | 2020-12-17 | Конинклейке Филипс Н.В. | Сетевая система для безопасной связи |
| CN105636148B (zh) * | 2016-01-06 | 2019-01-04 | 中央军委装备发展部第六十三研究所 | 一种无线多跳网络数据传输方法 |
| US10791093B2 (en) * | 2016-04-29 | 2020-09-29 | Avago Technologies International Sales Pte. Limited | Home network traffic isolation |
| US10165608B2 (en) | 2016-06-02 | 2018-12-25 | Cisco Technology, Inc. | System and method to provide fast mobility in a residential Wi-Fi network environment |
| EP4114059B1 (en) | 2018-04-05 | 2025-11-26 | Nokia Technologies Oy | Unified subscription identifier management in communication systems |
| WO2019194155A1 (en) * | 2018-04-06 | 2019-10-10 | Nec Corporation | An authentication method for next generation systems |
| TWI695645B (zh) * | 2018-07-06 | 2020-06-01 | 小白投資有限公司 | 無線網路識別方法 |
| CN113132986B (zh) * | 2019-12-31 | 2023-02-03 | 青岛海尔科技有限公司 | 基于DPP协议实现WiFi的mesh网络的实现方法及装置、存储介质 |
| EP4201090A4 (en) * | 2020-08-24 | 2024-07-10 | Eleven Software Inc. | KEY MATCHING FOR EAPOL HANDSHAKE USING DISTRIBUTED COMPUTING |
| CN113141674A (zh) * | 2021-04-08 | 2021-07-20 | 成都极米科技股份有限公司 | 多链路系统中链路配置方法、设备、系统及存储介质 |
| US12520144B2 (en) | 2022-11-23 | 2026-01-06 | Hewlett Packard Enterprise Development Lp | Key distribution from an authentication server |
Family Cites Families (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7257836B1 (en) * | 2000-04-24 | 2007-08-14 | Microsoft Corporation | Security link management in dynamic networks |
| US7072650B2 (en) * | 2000-11-13 | 2006-07-04 | Meshnetworks, Inc. | Ad hoc peer-to-peer mobile radio access system interfaced to the PSTN and cellular networks |
| JP3880419B2 (ja) * | 2002-02-21 | 2007-02-14 | 日本電信電話株式会社 | 無線アクセスネットワーク、無線マルチホップネットワーク、認証サーバ、基地局及び無線端末 |
| US7165112B2 (en) * | 2001-06-22 | 2007-01-16 | Motorola, Inc. | Method and apparatus for transmitting data in a communication system |
| US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
| KR100555381B1 (ko) * | 2002-12-19 | 2006-02-24 | 멜코 인코포레이티드 | 암호키 설정시스템 및 암호키 설정방법 |
| US7263357B2 (en) * | 2003-01-14 | 2007-08-28 | Samsung Electronics Co., Ltd. | Method for fast roaming in a wireless network |
| US7275157B2 (en) * | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
| JP4158972B2 (ja) * | 2003-12-18 | 2008-10-01 | Kddi株式会社 | マルチホップ通信方法 |
| US7451316B2 (en) * | 2004-07-15 | 2008-11-11 | Cisco Technology, Inc. | Method and system for pre-authentication |
| US20060067272A1 (en) * | 2004-09-30 | 2006-03-30 | Wang Huayan A | Method and system for fast roaming of a mobile unit in a wireless network |
| US7643451B2 (en) * | 2004-10-15 | 2010-01-05 | Nortel Networks Limited | Method and apparatus for extending a mobile unit data path between access points |
| US7236477B2 (en) * | 2004-10-15 | 2007-06-26 | Motorola, Inc. | Method for performing authenticated handover in a wireless local area network |
| US7558388B2 (en) | 2004-10-15 | 2009-07-07 | Broadcom Corporation | Derivation method for cached keys in wireless communication system |
| US7904945B2 (en) * | 2004-10-27 | 2011-03-08 | Meshnetworks, Inc. | System and method for providing security for a wireless network |
| WO2006052759A2 (en) | 2004-11-05 | 2006-05-18 | Meshnetworks, Inc. | System and method for dynamic frequency selection in a multihopping wireless network |
| JP4561418B2 (ja) * | 2004-11-08 | 2010-10-13 | 沖電気工業株式会社 | メッセージ認証方法、通信端末装置及びメッセージ認証システム |
| TWI268083B (en) * | 2004-11-17 | 2006-12-01 | Draytek Corp | Method used by an access point of a wireless LAN and related apparatus |
| JP2006166362A (ja) | 2004-12-10 | 2006-06-22 | Sony Corp | 音響装置 |
| US8369830B2 (en) * | 2004-12-30 | 2013-02-05 | Telecom Italia S.P.A. | Method and system for detecting attacks in wireless data communications networks |
| US7814322B2 (en) * | 2005-05-03 | 2010-10-12 | Sri International | Discovery and authentication scheme for wireless mesh networks |
| US7738882B2 (en) * | 2005-06-13 | 2010-06-15 | Toshiba America Research, Inc. | Framework of media-independent pre-authentication improvements: including considerations for failed switching and switchback |
| US8270947B2 (en) * | 2005-12-19 | 2012-09-18 | Motorola Solutions, Inc. | Method and apparatus for providing a supplicant access to a requested service |
| US7483409B2 (en) * | 2005-12-30 | 2009-01-27 | Motorola, Inc. | Wireless router assisted security handoff (WRASH) in a multi-hop wireless network |
| US7804807B2 (en) | 2006-08-02 | 2010-09-28 | Motorola, Inc. | Managing establishment and removal of security associations in a wireless mesh network |
| US7793103B2 (en) * | 2006-08-15 | 2010-09-07 | Motorola, Inc. | Ad-hoc network key management |
| US7499547B2 (en) | 2006-09-07 | 2009-03-03 | Motorola, Inc. | Security authentication and key management within an infrastructure based wireless multi-hop network |
| US7508803B2 (en) * | 2006-09-07 | 2009-03-24 | Motorola, Inc. | Transporting management traffic through a multi-hop mesh network |
| US8578159B2 (en) | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
-
2006
- 2006-09-07 US US11/470,887 patent/US7499547B2/en active Active
-
2007
- 2007-07-26 KR KR1020097007071A patent/KR101054202B1/ko active Active
- 2007-07-26 RU RU2009112589/09A patent/RU2407181C1/ru active
- 2007-07-26 CA CA2663168A patent/CA2663168C/en active Active
- 2007-07-26 MX MX2009002507A patent/MX2009002507A/es active IP Right Grant
- 2007-07-26 BR BRPI0716507-2A2 patent/BRPI0716507B1/pt active IP Right Grant
- 2007-07-26 CN CN2007800333192A patent/CN101513092B/zh active Active
- 2007-07-26 EP EP07840526.3A patent/EP2060052B1/en active Active
- 2007-07-26 AU AU2007292516A patent/AU2007292516B2/en active Active
- 2007-07-26 JP JP2009527474A patent/JP4921557B2/ja active Active
- 2007-07-26 WO PCT/US2007/074422 patent/WO2008030667A2/en not_active Ceased
-
2009
- 2009-01-14 US US12/353,562 patent/US7793104B2/en active Active
-
2011
- 2011-04-12 AU AU2011201655A patent/AU2011201655B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008030667A3 (en) | 2008-07-03 |
| AU2011201655A1 (en) | 2011-05-12 |
| EP2060052B1 (en) | 2018-09-05 |
| AU2007292516B2 (en) | 2011-05-19 |
| US20080065888A1 (en) | 2008-03-13 |
| AU2007292516A1 (en) | 2008-03-13 |
| US20090210710A1 (en) | 2009-08-20 |
| US7499547B2 (en) | 2009-03-03 |
| AU2011201655B2 (en) | 2011-12-22 |
| MX2009002507A (es) | 2009-03-25 |
| CA2663168A1 (en) | 2008-03-13 |
| US7793104B2 (en) | 2010-09-07 |
| JP4921557B2 (ja) | 2012-04-25 |
| KR20090052895A (ko) | 2009-05-26 |
| RU2407181C1 (ru) | 2010-12-20 |
| EP2060052A2 (en) | 2009-05-20 |
| KR101054202B1 (ko) | 2011-08-03 |
| CN101513092A (zh) | 2009-08-19 |
| WO2008030667A2 (en) | 2008-03-13 |
| EP2060052A4 (en) | 2015-11-18 |
| CN101513092B (zh) | 2012-08-15 |
| BRPI0716507A2 (pt) | 2013-10-08 |
| JP2010503326A (ja) | 2010-01-28 |
| CA2663168C (en) | 2014-01-28 |
| RU2009112589A (ru) | 2010-10-20 |
| WO2008030667B1 (en) | 2008-08-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| BRPI0716507B1 (pt) | método de autenticação de segurança e de gerenciamento de chave e método para comunicação entre um mantenedor de chave de nível de topo e um mantenedor de chave de nível um | |
| CN101371491B (zh) | 提供无线网状网络的方法和装置 | |
| EP2168068B1 (en) | Method and arrangement for certificate handling | |
| JP5043114B2 (ja) | Eapからのケルベロス・ブートストラッピング(bke) | |
| US11902776B2 (en) | Authentication device, network device, communication system, authentication method, and non-transitory computer readable medium | |
| US7707412B2 (en) | Linked authentication protocols | |
| CN101595675B (zh) | 用于子网间预认证的方法和系统 | |
| BRPI0716621A2 (pt) | Gerenciamento de chave de rede ad-hoc | |
| JP2010503326A5 (ja) | インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法 | |
| WO2009152749A1 (zh) | 一种绑定认证的方法、系统和装置 | |
| CN102752298B (zh) | 安全通信方法、终端、服务器及系统 | |
| Marques et al. | Integration of the Captive Portal paradigm with the 802.1 X architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| B25D | Requested change of name of applicant approved |
Owner name: MOTOROLA SOLUTIONS, INC (US) |
|
| B06F | Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette] | ||
| B06T | Formal requirements before examination [chapter 6.20 patent gazette] | ||
| B15K | Others concerning applications: alteration of classification |
Free format text: AS CLASSIFICACOES ANTERIORES ERAM: H04L 9/00 , H04W 12/04 , H04W 12/06 , H04W 84/12 Ipc: H04L 9/08 (1990.01), H04L 9/32 (1990.01), H04W 12/ |
|
| B09A | Decision: intention to grant [chapter 9.1 patent gazette] | ||
| B16A | Patent or certificate of addition of invention granted |
Free format text: PRAZO DE VALIDADE: 10 (DEZ) ANOS CONTADOS A PARTIR DE 10/12/2019, OBSERVADAS AS CONDICOES LEGAIS. (CO) 10 (DEZ) ANOS CONTADOS A PARTIR DE 10/12/2019, OBSERVADAS AS CONDICOES LEGAIS |
|
| B25G | Requested change of headquarter approved |
Owner name: MOTOROLA SOLUTIONS, INC. (US) |
|
| B25A | Requested transfer of rights approved |
Owner name: ARRIS ENTERPRISES LLC (US) |