CN101911637A - 在无线网状通信网络中用于发射组播数据的方法和设备 - Google Patents
在无线网状通信网络中用于发射组播数据的方法和设备 Download PDFInfo
- Publication number
- CN101911637A CN101911637A CN2008801226332A CN200880122633A CN101911637A CN 101911637 A CN101911637 A CN 101911637A CN 2008801226332 A CN2008801226332 A CN 2008801226332A CN 200880122633 A CN200880122633 A CN 200880122633A CN 101911637 A CN101911637 A CN 101911637A
- Authority
- CN
- China
- Prior art keywords
- node
- supplicant
- authenticator
- key
- multicast data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
所提供的一种用于在无线网状通信网络中发射组播数据的方法改善了组播数据的安全性。该方法包括:在请求方节点处理从鉴权器节点接收到的鉴权握手数据,其中,请求方节点是鉴权器节点远离根节点的下一跳邻居。然后,请求方节点存储从鉴权器节点接收到的组临时密钥(GTK)。接下来,请求方节点处理从第三节点接收到的鉴权握手数据,其中,第三节点是请求方节点远离根节点的下一跳邻居。然后,从请求方节点向第三节点发射GTK。然后,通过使用GTK来加密从鉴权器节点接收到的组播数据来在请求方节点处生成加密组播数据。最后,从请求方节点向第三节点发射加密组播数据。
Description
技术领域
本发明一般地涉及无线通信网络,并且具体地涉及在无线网状通信网络中提供组播数据的安全通信。
背景技术
许多无线通信系统要求独立的移动用户以及在用户节点之间的可靠通信的快速部署。诸如移动自组织网络(MANET)的网状网络基于通过具有有限带宽的无线链路来彼此进行通信的便携式设备的自配置的自主集合。网状网络是以分散方式组织的无线节点或者设备的集合,以通过允许跨多个跳跃到达节点来提供范围扩展。因此,在网状网络中,由源节点发送的通信分组在到达目的地节点之前,可以通过一个或多个中间节点来进行中继。网状网络可以被部署为临时分组无线电网络,该临时分组无线电网络不包含有效的支持基础设施(如果有的话)。作为采用采用固定基站的替代,在一些网状网络中,每个用户节点可以用作其他用户节点的路由器,因此支持可以迅速地低成本地建立的并且高度容错的扩展网络覆盖范围。在一些网状网络中,特殊的无线路由器也可以被用作中间基础设施节点。因此,可以使用智能接入点(IAP)来实现大的网络,智能接入点(IAP)也被称为网关或者门户,它们向无线节点提供对有线回程或者广域网(WAN)的接入。
网状网络可以在各种环境中提供重要的通信服务,包括,例如,支持警察和消防员、军事应用、工业设施和建筑工地的紧急服务。网状网络还用于提供家中、具有很少或者没有基本电信或者宽带基础设施的区域中和要求高速服务的区域(例如,大学、公司园区和密集的城市区域)中的通信服务。
然而,在网状通信网络中的节点之间建立安全通信可能是复杂的。诸如蜂窝电话的传统移动设备经常使用基于基础设施的鉴权过程来获得通信安全性。通常,通过连接到鉴权服务器的诸如基站的接入点(AP)来鉴权设备。可以例如使用包括局域网上的可扩展鉴权协议(EAPOL)的可扩展鉴权协议(EAP)分组来发射鉴权请求。该鉴权过程包括:发射和接收若干EAPOL分组,以EAP开始分组开始,并且以EAP成功消息分组或者EAP失败消息分组来结束。鉴权服务器存储被鉴权的移动设备(通常称为请求方)的鉴权证书。还可以将鉴权服务器连接到其他鉴权服务器,以获得没有进行本地存储的请求方鉴权证书。
在基于基础设施的移动网络中,经常遵循集中式过程,其中,单个AP处理对于在AP的范围内的所有请求方的鉴权过程。例如,遵循美国国家标准协会/电气与电子工程师协会(ANSI/IEEE)802.1X或者ANSI/IEEE 802.11i标准的现有系统利用这样的集中式过程。然而,因为可能经由AP来对每个请求方进行鉴权,所以这样的集中式过程在无线网状通信网络中是不实际的,该无线网状通信网络经常具有在智能AP(IAP)的无线范围外进行操作的节点。IAP是向无线网络节点提供WAN连接的接入点,该无线网络节点可能与IAP相距一个或多个跳跃。因此,无线网状通信网络经常包括在所有相邻的网络节点之间执行的复杂相互鉴权方法,这可能消耗大量时间和网络节点的处理器资源。
附图说明
在附图中,相同的附图标记在独立的视图中表示相同或者在功能上类似的元素,并且附图与下面的具体实施方式一起并入本说明书并且形成本说明书一部分,用于进一步说明各个实施例,并且解释所有根据本发明的各种原理和优点。
图1是是图示根据现有技术的在无线网状通信网络中的多个组临时密钥(GTK)的使用的示意图。
图2是图示根据本发明的一些实施例的在无线网状通信网络中的单个GTK的使用的示意图。
图3是图示根据本发明的一些实施例的在无线网状通信网络中的两个GTK的使用的示意图。
图4是图示根据本发明的一些实施例的在图3中示出的无线网状通信网络的修改的示意图。
图5是图示根据本发明的一些实施例的用于在无线网状通信网络中发射组播数据的方法的整体流程图。
图6是图示根据本发明的一些实施例的在图3中示出的无线网状通信网络的节点D的系统组件的框图。
本领域的技术人员可以明白,附图中的元素为了简单和清楚而进行图示,并且不必按照比例绘制。例如,在附图中的一些元素的尺寸可能相对于其他元素被夸大,以有助于促进对本发明的实施例的理解。
具体实施方式
在详细描述根据本发明的实施例之前,应当观察到,实施例主要在于与在无线网状通信网络中发射组播数据相关的方法步骤和装置组件的组合。因此,在适当时,在附图中用传统符号表示装置组件和方法步骤,仅示出了与理解本发明的实施例相关的那些特定细节,以便于不使对于受益于这里的描述的本领域的普通技术人员显而易见的细节混淆本公开。
在本文中,诸如第一和第二、顶和底等的关系术语可以仅用于将一个实体或者动作与另一个实体或者动作进行区分,而不必要求或者暗示在这样的实体或者动作之间的任何实际的这样的关系或者顺序。术语“包括”或者其任何其他变化形式意欲涵盖非排他性的包括,使得包括一系列元素的过程、方法、物品或者装置不仅包括那些元素,而且可以包括没有明确列出的或者这样的过程、方法、物品或者装置所固有的其他元素。由“包括...一”引导的元素在没有更多约束的情况下不排除在包括该元素的过程、方法、物品或者装置中存在另外的相同元素。
可以明白,在此描述的本发明的实施例可以包括一个或多个传统处理器和独特存储的程序指令,该独特存储的程序指令控制该一个或多个处理器来结合特定的非处理器电路来实现在此描述的在无线网状通信网络中发射组播数据的一些、大多数或者全部功能。非处理器电路可以包括但是不限于,无线电接收机、无线电发射机、信号驱动器、时钟电路、电源电路和用户输入设备。如此一来,这些功能可以被解释为在无线网状通信网络中用于发射组播数据的方法的步骤。替代地,可以通过不具有存储的程度指令的状态机或者在一个或多个专用集成电路(ASIC)中实现一些或所有功能,其中,特定功能的每个功能或者一些组合被实现为定制逻辑。当然,可以使用两种方法的组合。因此,已经在此描述了用于这些功能的方法和设备。而且,虽然由例如可用时间、当前技术和经济考虑而激发了可能很大的努力和许多设计选择,但是希望本领域的普通技术人员在由在此公开的思想或者原理引导时,将以最少的实验来容易地生成这样的软件指令和程序及IC。
在此描述的任何实施例不必被理解为比其他实施例优选或有利。说明性地提供在具体实施方式中描述的所有实施例,以使得本领域内的技术人员能够建立或者使用本发明,并且不限制由权利要求限定的本发明的范围。
根据一个方面,本发明的一些实施例定义了一种在无线网状通信网络中用于发射组播数据的方法。所述方法包括:在请求方节点,处理从鉴权器节点接收到的鉴权握手数据,其中,请求方节点是鉴权器节点远离根节点的下一跳邻居。然后,请求方节点存储从鉴权器节点接收到的组临时密钥。接下来,请求方节点处理从第三节点接收到的鉴权握手数据,其中,第三节点是请求方节点远离根节点的下一跳邻居。然后,响应于处理从所述第三节点接收到的所述鉴权握手数据,从所述请求方节点向所述第三节点发射所述组临时密钥。然后,通过使用所述组临时密钥加密从所述鉴权器节点接收到的组播数据来在所述请求方节点处生成加密组播数据。最后,从所述请求方节点向所述第三节点发射所述加密组播数据。
因此,本发明的一些实施例使得在使用相同组播根节点的所有网络节点处能够有效地同步组播密钥。这使得组业务能够用单个密钥在网络节点之间流动,由此消除了分组复制、多个密钥和复杂的密钥管理。而且,可以允许组业务在网络节点之间流动,在该网络节点之间先前没有建立安全链路。所述方法进一步提供组播路径冗余,其改善了组业务的可靠性,并且因此改善了整体网络服务质量(QoS)。
参考图1,示意图图示了根据现有技术的在无线网状通信网络100中的多个组临时密钥(GTK)的使用。GTK可以用于在与相邻的网络节点完成鉴权过程之后来加密、解密、鉴权和验证组播数据。无线网状通信网络100包括与第一无线节点110-n(即,无线节点110-1、110-2和110-3)的集合直接地进行无线通信的智能接入点(1AP)105。然后,第一无线节点110-n的集合与第二无线节点115-n(即,无线节点115-1、115-2和115-3)的集合直接地进行无线通信。为了安全地发射组播数据(即,在无线网状通信网络100中广播或者多播的数据),IAP 105和每个无线节点110-n、115-n必须保存多个组临时密钥,该多个组临时密钥在IAP 105、无线节点110-n和无线节点115-n之间的安全鉴权会话期间进行交换。例如,可以根据电气和电子工程师协会(IEEE)802.11i标准来交换这样的GTK。(可以在http://standards.ieee.org/getieee802/index.html或者通过联系在IEEE,445Hoes Lane,PO Box 1331,Piscataway,NJ 08855-1331,USA的IEEE来获得在此引用的IEEE标准或者规范)。
然而,根据诸如IEEE 802.11i标准的标准,GTK只是单向密钥。因此,诸如无线节点110-2的请求方节点不能使用由诸如IAP 105的其鉴权器节点提供的GTK来进行发射。相反,请求方节点可以仅使用这样的GTK来解密从鉴权器节点接收到的分组。因此,为了使得组播数据能够在IAP 105和无线节点110-2之间的任何方向上流动,必须在IAP105和无线节点110-2之间交换两个GTK:一个GTK用于发射数据,而一个GTK用于接收数据。类似地,第一无线节点110-n的集合和第二无线节点115-n的集合还必须与相邻的无线节点110-n、115-n交换多个GTK。
在诸如无线节点110-2的特定节点处保存多个GTK由于若干原因而有问题。首先,许多网络节点硬件实施方式不支持多个GTK。因此,交换多个GTK可能与在诸如无线网状通信网络100的网络中部署的现有硬件不兼容。其次,路由请求(RREQ)消息的广播可能要求在网状网络中的每个无线节点与每个相邻节点110-n、115-n共享其GTK。在大的无线网状通信网络中,它可以产生很大开销的处理负担。
参考图2,示意图图示了根据本发明的一些实施例的在无线网状通信网络200中的单个GTK的使用。无线网状通信网络200包括IAP 205,该IAP 205与第一无线节点210-n(即,无线节点210-1、210-2和210-3)的集合直接地进行无线通信。然后,第一无线节点210-n的集合与第二无线节点215-n(即,无线节点215-1、215-2和215-3)的集合直接地进行无线通信。如图所示,无线网状通信网络200被视作单个逻辑接入点(AP),其中,始终共享单个GTK。因此,GTK对于诸如IAP 205的单个公共根节点是唯一的。IAP 205用作组播根节点,并且可以根据IEEE 802.11i标准来导出GTK。然后,IAP 205将向第一无线节点210-n的集合传播GTK。然后,第一无线节点210-n的集合将GTK用作它们自己的GTK,并且随后向第二无线节点215-n的集合传播该GTK。
根据本发明的一些实施例,在无线网状通信网络中的每个节点包括支持由密钥标识(ID)指定的有限数目的GTK的硬件。可以帧本身中提供用于保护数据帧的GTK的密钥ID,如在IEEE 802.11i标准中所述。
在无线网状通信网络200中的诸如IAP 205的每个组播根节点首先计算当前GTK,并且安装该当前GTK以供进行发射和接收。组播根节点还初始化当前密钥ID。然后,从组播根节点发射的每个组播帧被标注有当前密钥ID,并且使用当前GTK来进行保护。当诸如无线节点210-2的非根下游请求方节点与诸如IAP 205的上游鉴权器节点进行鉴权时,鉴权器节点在握手阶段期间向请求方节点发送其当前GTK和密钥ID。这样的握手阶段可以包括,例如,使用成对主密钥(PMK)和成对临时密钥(PTK)的四路握手,如本领域内的普通技术人员公知。然后,请求方节点存储GTK和密钥ID。如果请求方节点随后将鉴权器节点选择为请求方节点的组播上行链路,则请求方节点可以将鉴权器节点的GTK和密钥ID用作其本身的。
根据本发明的一些实施例,GTK因此使得组播数据能够从根节点扩散(flood)通过无线网状通信网络。如本领域内的普通技术人员公知,扩散是根节点的邻居通过其向它们的下游邻居传播组业务的过程,并且那些邻居继而向它们的邻居传播该业务。因为单个节点可以从多个邻居接收组播传输,所以扩散可以提高组播传输的可靠性。
根节点可以定期地“滚动”(即,替换)其GTK,以便于限制GTK的时间范围。当这发生时,还对关联密钥ID进行滚动。GTK的有效性因此可以在预定时间段之后期满。而且,当非根节点采用不同的组播上行链路时,非根节点可以改变其GTK。当这样的改变发生时,可以以保持在节点之间的组播连接的方式来向下游节点(即,远离根节点的节点)传播新的GTK。当采用新的GTK时,节点首先安装新的GTK和新的密钥ID来仅用于数据接收,并且不改变其用于发射的GTK。然后,节点处理在网络中的鉴权链路的列表。对于该列表上的每个链路,节点确定其GTK先前是否已经被提供到相关的远程节点。如果如此,则在两个节点之间发起GTK更新握手。如本领域内的普通技术人员公知,这样的握手对于根据IEEE 802.11i标准的组密钥滚动来说是典型的。从鉴权器节点接收到的鉴权握手数据可以用于导出成对临时密钥(PTK)。仅在所有的远程节点已经完成了握手或者超时之后,才使用新的GTK来进行传输。
当非根漫游节点选取新的组播根节点时,新的上行链路密钥ID可以与先前的上行链路密钥ID相同。在这样的情况下,漫游节点不需要如上所述延迟用于发射的GTK的安装。因此,当请求方节点漫游到新的根节点域时,请求方节点可以确定新的根节点的组临时密钥标识符还没有期满,并且被高速缓存在请求方节点的存储器中。因此,请求方节点立即安装与组临时密钥标识符相关联的组临时密钥。
由于用于密钥ID的可用存储的物理限制,当从在漫游节点处的本地缓存器而不是从新的握手来安装GTK时,在漫游节点处的解密功能可能无法解密分组。这是因为不同的根节点可以使用相同密钥ID基准,并且漫游节点不可以在先前获取的和新获取的密钥ID之间立即进行区分。因此,漫游节点可以将解密失败事件与该可能的冲突相关联,并且将触发双路握手来获取新的GTK。如本领域内的普通技术人员可以明白,该解密失败和恢复之间的关系非常类似于在IEEE 802.11i标准中强制的其他机制。
根据本发明的一些实施例,当请求方节点和鉴权器节点完成相互鉴权过程时,可以仅在一个方向上从鉴权器节点向请求方节点分发GTK。在这样的相互鉴权之后,从安全性的角度,节点被看作等同的对等方,并且该节点可以使用GTK来加密、解密、鉴权和验证组播数据。然而,由于在网状网络中的改变,以前的请求方节点可能成为以前的鉴权器节点的组播上行链路。如果这发生,则以前的鉴权器节点可以请求以前的请求方节点来完成另一个相互鉴权过程。下面进一步详细地描述该情况。
参考图3,示意图图示了根据本发明的一些实施例的在无线网状通信网络300中的两个GTK的使用。无线网状通信网络300包括:第一根节点A 305,该第一根节点A 305操作地连接到广域网(WAN)310;以及第二根节点E 315,该第二根节点E 315也操作地连接到WAN 310。第一根节点A 305生成GTKA。在鉴权过程期间,第一根节点A 305然后鉴权节点B 320,包括将GTKA转发到节点B 320。然后,节点B 320鉴权节点D 325,并且还将GTKA转发到节点D 325。然后,节点D 325鉴权节点C 330,并且将GTKA转发到节点C 330。如果然后在第一根节点A 305处通过WAN 310来接收组播数据,则从第一根节点A 305向节点B 320、从节点B 320向节点D 325并且最后从节点D 325向节点C 330发射组播数据。节点320、325、330中的每一个可以使用GTKA来加密、解密、鉴权和验证组播数据。
类似地,第二根节点E 315生成GTKE,并且然后完成与节点F 335的鉴权,包括向节点F 335转发GTKE。因为节点F 335的下一跳上行链路是节点E 315,所以节点F 335使用GTKE。因此,无线网状通信网络300是包括多个不同GTK的混合网络。
本发明的一些实施例的益处是诸如节点B 320的“中间节点”可以仅安装一个GTK(即,GTKA),并且使用该GTK来用于所有组播数据的发射和接收。另一个益处是,因为节点可能从多个源接收组播数据,所以使得无线网状通信网络更强壮和可靠。例如,如果在无线网状通信网络300中改善了无线电状况,并且节点C 330可以开始从节点B 320接收传输,则节点C 330可以立即鉴权和验证从节点B 320接收到的组播数据。这是因为节点B 320和节点D 325使用相同GTKA。
参考图4,示意图图示了根据本发明的一些实施例的在图3中图示的布置之后发生的无线网状通信网络300的修改。考虑节点A 305变得不可用(例如,它被关闭或者以其他方式变得不可操作)。如果节点D 325在节点F 335的射频(RF)范围内,则节点D 325可以完成与节点F 335的鉴权过程,并且然后将节点F 335用作到WAN 310的上行链路。因此,节点D 325需要首先安装从节点F 335接收用于接收组播数据的新的GTK(GTKE)和关联密钥ID。节点D 325还没有改变其组临时密钥(GTKA)和关联密钥ID。然后,节点D 325处理其鉴权下行链路邻居的列表。对于在该列表中的每个链路,如果节点D 325先前在过去向下行链路节点提供了其组临时密钥,则它被迫使更新该密钥。为了如此进行,它发起组密钥更新握手。该握手对于IEEE 802.11i组密钥滚动来说是典型的,如本领域内的普通技术人员所公知。仅当包括节点B 320和节点C 330的所有远程节点已经完成了握手或者超时时,节点D 325才安装GTKE作为用于发射的当前密钥。注意,在该情况下,作为节点D 325的以前的鉴权器节点的节点B 320现在已经成为节点D 325的请求方节点,并且节点D 325成为节点B 320的鉴权器节点。然而,以前的请求方节点可以成为以前的鉴权器节点的组播上行链路节点。但是,在请求方节点成为鉴权器节点的组播上行链路节点之前,鉴权器节点请求在鉴权器节点和请求方节点之间的第二次鉴权握手。
参考图5,整体流程图图示了根据本发明的一些实施例的在无线网状通信网络中用于发射组播数据的方法500。在步骤505,请求方节点处理从鉴权器节点接收到的鉴权握手数据,其中,请求方节点是鉴权器节点远离根节点的下一跳邻居。例如,如上参考图3所述,节点D 325处理从节点B 320接收到的鉴权握手数据,其中,节点D 325是请求方节点,并且是节点B 320远离第一根节点A 305的下一跳邻居。
在步骤510,请求方节点存储从鉴权器节点接收到的组临时密钥。所述组临时密钥可以被存储在请求方节点处来在组播数据的发射和接收中进行使用。例如,在图3的网络配置下,节点D 325在从节点B 320接收到GTKA之后存储该GTKA。然后,节点D 325可以使用GTKA用于通过第一根节点A 305从WAN 310接收到的组播数据的发射和接收。
可以通过根节点来计算组临时密钥。例如,可以由第一根节点A305来计算GTKA。而且,请求方节点可以将鉴权器节点选作请求方节点的组播上行链路节点。
在步骤515,请求方节点处理从第三节点接收到的鉴权握手数据,其中,第三节点是请求方节点远离根节点的下一跳邻居。例如,在图3的网络配置下,节点D 325处理从节点C 330接收到的鉴权握手数据,其中,节点C 330是节点D 325远离第一根节点A 305的下一跳邻居。
在步骤520,请求方节点响应于处理从第三节点接收到的鉴权握手数据来向第三节点发射组临时密钥。例如,在图3的网络配置下,节点D 325响应于处理从节点C 330接收的鉴权握手数据来向节点C 330发射GTKA。可以使用密钥加密密钥(KEK)(其对于IEEE 802.11i组密钥滚动来说是典型的,如本领域内的普通技术人员公知)来执行从请求方节点向第三节点发射组临时密钥,使得未鉴权的邻居节点无法获得组临时密钥。
在步骤525,通过使用组临时密钥来加密从鉴权器节点接收到的组播数据来在请求方节点处生成加密组播数据。例如,在图3的网络配置下,节点D 325可以通过使用GTKA重新加密先前从节点B 320接收并且使用GTKA解密的组播数据来生成加密组播数据。
最后,在步骤530,从请求方节点向第三节点发射加密的组播数据。例如,在图3的网络配置下,节点D 325可以向节点C 330发射加密组播数据。
参考图6,框图图示了根据本发明的一些实施例的无线网状通信网络300的节点D 325的系统组件。节点D 325包括耦合到处理器615的随机存取存储器(RAM)605和可编程存储器610,该节点D325表示根据本发明的一些实施例的在无线网状通信网络中的节点的一个示例。处理器615还具有端口,该端口用于耦合到可能包括有线或者无线接口的网络接口620、625。
网络接口620、625可以用于使得节点D 325能够在无线网状通信网络300中与相邻节点进行通信。例如,网络接口620可以用于从节点B 320、节点C 330和节点F 335接收数据分组,并且向节点B 320、节点C 330和节点F 335发送数据分组。
可编程存储器610可以存储用于处理器615的操作代码(OC)和用于执行与节点D 325相关联的功能的代码。例如,可编程存储器610可以包括计算机可读程序代码组件635,用于执行在此所述的在无线网状通信网络中用于发射组播数据的方法。
因此,本发明的一些实施例的优点包括:使得能够在使用在相同组播根节点的所有网络节点处有效同步组播密钥。这使得组业务能够在用单个密钥在网络节点之间流动,由此消除了分组重复、多个密钥和复杂的密钥管理。而且,允许组业务在节点之间流动,在该节点之间先前没有建立安全链路。该方法进一步提供了组播路径冗余,这改善了组业务的可靠性,并且因此改善了整个网络服务质量(QoS)。
在上述的说明书中,已经描述了本发明的特定实施例。但是,本领域内的普通技术人员明白,在不偏离以下权利要求中所阐述的本发明的范围的情况下,可以进行各种修改和改变。因此,说明书和附图被看作是说明性的而不是限定性的意思,并且所有这样的修改意在被包括在本发明的范围中。益处、优点、对问题的解决方案和可以使得任何益处、优点或者解决方案发生或者变得更显著的任何一个或多个元素不应当被解释为任何或者所有权利要求的关键的、必需的或者必要的特征或者要素。本发明仅由所附权利要求来限定,包括在本申请未决期间进行的任何修改和所公布的那些权利要求的所有等同物。
Claims (20)
1.一种用于在无线网状通信网络中发射组播数据的方法,所述方法包括:
在请求方节点处,处理从鉴权器节点接收到的鉴权握手数据,其中,所述请求方节点是所述鉴权器节点远离根节点的下一跳邻居;
在所述请求方节点处,存储从所述鉴权器节点接收到的组临时密钥;
在所述请求方节点处,处理从第三节点接收到的鉴权握手数据,其中,所述第三节点是所述请求方节点远离所述根节点的下一跳邻居;
响应于处理从所述第三节点接收到的所述鉴权握手数据,从所述请求方节点向所述第三节点发射所述组临时密钥;
通过使用所述组临时密钥加密从所述鉴权器节点接收到的组播数据,来在所述请求方节点处生成加密组播数据;以及
从所述请求方节点向所述第三节点发射所述加密组播数据。
2.根据权利要求1所述的方法,其中,所述组临时密钥被存储在所述请求方节点处,用于在组播数据的发射和接收中使用。
3.根据权利要求1所述的方法,其中,所述组临时密钥被存储在所述第三节点处,用于在组播数据的发射和接收中使用。
4.根据权利要求1所述的方法,其中,所述组临时密钥由所述根节点来计算。
5.根据权利要求1所述的方法,其中,在所述请求方节点处存储从所述鉴权器节点接收到的所述组临时密钥之后,所述请求方节点选择所述鉴权器节点作为所述请求方节点的组播上行链路节点。
6.根据权利要求1所述的方法,其中,所述组临时密钥从所述根节点扩散通过所述无线网状通信网络。
7.根据权利要求1所述的方法,其中,所述组临时密钥的有效性在预定时间段之后期满。
8.根据权利要求1所述的方法,其中,在发射所述加密组播数据之后,所述请求方节点漫游到新的根节点域,确定新的根节点的组临时密钥标识符还没有期满并且被高速缓存在所述请求方节点的存储器中,以及由此安装与所述组临时密钥标识符相关联的组临时密钥。
9.根据权利要求1所述的方法,其中,所述组临时密钥对于单个公共根节点是唯一的。
10.根据权利要求1所述的方法,其中,从所述请求方节点向所述第三节点发射所述组临时密钥使用密钥加密密钥(KEK)。
11.根据权利要求1所述的方法,其中,所述组播数据包括广播或者多播数据。
12.根据权利要求1所述的方法,其中,在完成在所述请求方节点和所述鉴权器节点之间的所述鉴权握手后,所述请求方节点成为所述鉴权器节点的组播上行链路节点。
13.根据权利要求10所述的方法,其中,在所述请求方节点成为所述鉴权器节点的组播上行链路节点之前,所述鉴权器节点请求在所述鉴权器节点和所述请求方节点之间的第二次鉴权握手。
14.一种在无线网状通信网络中用于发射组播数据的设备,所述设备包括:
用于在请求方节点处理从鉴权器节点接收到的鉴权握手数据的计算机可读程序代码组件,其中,所述请求方节点是所述鉴权器节点远离根节点的下一跳邻居;
用于在所述请求方节点存储从所述鉴权器节点接收到的组临时密钥的计算机可读程序代码组件;
用于在所述请求方节点处理从第三节点接收到的鉴权握手数据的计算机可读程序代码组件,其中,所述第三节点是所述请求方节点远离所述根节点的下一跳邻居;
用于响应于处理从所述第三节点接收到的所述鉴权握手数据来从所述请求方节点向所述第三节点发射所述组临时密钥的计算机可读程序代码组件;
用于通过使用所述组临时密钥加密从所述鉴权器节点接收到的组播数据来在所述请求方节点处生成加密组播数据的计算机可读程序代码组件;以及
用于从所述请求方节点向所述第三节点发射所述加密组播数据的计算机可读程序代码组件。
15.根据权利要求14所述的设备,其中,所述组临时密钥被存储在所述请求方节点处,用于在组播数据的发射和接收中使用。
16.根据权利要求14所述的设备,其中,所述组临时密钥被存储在所述第三节点处,用于在组播数据的发射和接收中使用。
17.根据权利要求14所述的设备,其中,所述组临时密钥由所述根节点来计算。
18.根据权利要求14所述的设备,其中,在所述请求方节点处存储从所述鉴权器节点接收到的所述组临时密钥之后,所述请求方节点选择所述鉴权器节点作为所述请求方节点的组播上行链路节点。
19.根据权利要求14所述的设备,其中,所述组临时密钥从所述根节点扩散通过所述无线网状通信网络。
20.根据权利要求14所述的设备,其中,所述组临时密钥的有效性在预定时间段之后期满。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/965,430 | 2007-12-27 | ||
| US11/965,430 US20100023752A1 (en) | 2007-12-27 | 2007-12-27 | Method and device for transmitting groupcast data in a wireless mesh communication network |
| PCT/US2008/086909 WO2009085717A2 (en) | 2007-12-27 | 2008-12-16 | Method and device for transmitting groupcast data in a wireless mesh communication network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101911637A true CN101911637A (zh) | 2010-12-08 |
Family
ID=40750875
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008801226332A Pending CN101911637A (zh) | 2007-12-27 | 2008-12-16 | 在无线网状通信网络中用于发射组播数据的方法和设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20100023752A1 (zh) |
| EP (1) | EP2235909A2 (zh) |
| CN (1) | CN101911637A (zh) |
| CA (1) | CA2710433A1 (zh) |
| WO (1) | WO2009085717A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023160481A1 (zh) * | 2022-02-24 | 2023-08-31 | 华为技术有限公司 | Wlan系统、无线通信方法和装置 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011082529A1 (zh) * | 2010-01-08 | 2011-07-14 | 华为技术有限公司 | 一种组临时密钥更新方法、装置和系统 |
| CN101854244B (zh) * | 2010-06-07 | 2012-03-07 | 西安西电捷通无线网络通信股份有限公司 | 一种三段式安全网络架构建立和保密通信方法及其系统 |
| JP2012195774A (ja) * | 2011-03-16 | 2012-10-11 | Toshiba Corp | ノード及びプログラム |
| US8800010B2 (en) * | 2012-04-20 | 2014-08-05 | Cisco Technology, Inc. | Distributed group temporal key (GTK) state management |
| FR3009163B1 (fr) * | 2013-07-25 | 2015-09-04 | Thales Sa | Procede pour l'echange en securite d'une donnee sur un reseau ad-hoc mettant en oeuvre un service de diffusion xcast; noeud associe |
| US9788076B2 (en) | 2014-02-28 | 2017-10-10 | Alcatel Lucent | Internet protocol television via public Wi-Fi network |
| US10944734B2 (en) * | 2018-08-17 | 2021-03-09 | Cisco Technology, Inc. | Creating secure encrypted broadcast/multicast groups over wireless network |
| US11843939B2 (en) * | 2020-12-16 | 2023-12-12 | Itron, Inc. | Secure messaging for outage events |
| US12382282B2 (en) * | 2021-07-22 | 2025-08-05 | Apple Inc. | Group cast with retries (GCR) for multi-link operation (MLO) |
| CN114285555B (zh) * | 2021-12-15 | 2024-11-19 | 蚂蚁区块链科技(上海)有限公司 | 基于区块链的组播方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6330671B1 (en) * | 1997-06-23 | 2001-12-11 | Sun Microsystems, Inc. | Method and system for secure distribution of cryptographic keys on multicast networks |
| US20060126845A1 (en) * | 2004-10-27 | 2006-06-15 | Meshnetworks, Inc. | System and method for providing security for a wireless network |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5831975A (en) * | 1996-04-04 | 1998-11-03 | Lucent Technologies Inc. | System and method for hierarchical multicast routing in ATM networks |
| US6496928B1 (en) * | 1998-01-07 | 2002-12-17 | Microsoft Corporation | System for transmitting subscription information and content to a mobile device |
| US6584566B1 (en) * | 1998-08-27 | 2003-06-24 | Nortel Networks Limited | Distributed group key management for multicast security |
| US6263435B1 (en) * | 1999-07-06 | 2001-07-17 | Matsushita Electric Industrial Co., Ltd. | Dual encryption protocol for scalable secure group communication |
| US20050152305A1 (en) * | 2002-11-25 | 2005-07-14 | Fujitsu Limited | Apparatus, method, and medium for self-organizing multi-hop wireless access networks |
| JP4432350B2 (ja) * | 2003-04-18 | 2010-03-17 | ソニー株式会社 | データ処理方法、そのプログラム、その装置と受信装置 |
| CN1890920B (zh) * | 2003-10-31 | 2011-01-26 | 丛林网络公司 | 多播通信业务的安全传送 |
| US7657744B2 (en) * | 2004-08-10 | 2010-02-02 | Cisco Technology, Inc. | System and method for dynamically determining the role of a network device in a link authentication protocol exchange |
| US7672459B2 (en) * | 2005-02-18 | 2010-03-02 | Cisco Technology, Inc. | Key distribution and caching mechanism to facilitate client handoffs in wireless network systems |
| US7856001B2 (en) * | 2005-06-15 | 2010-12-21 | U4Ea Wireless, Inc. | Wireless mesh routing protocol utilizing hybrid link state algorithms |
| US7817986B2 (en) * | 2006-04-28 | 2010-10-19 | Motorola, Inc. | Method and system for providing cellular assisted secure communications of a plurality of ad hoc devices |
| DE102006036109B4 (de) * | 2006-06-01 | 2008-06-19 | Nokia Siemens Networks Gmbh & Co.Kg | Verfahren und System zum Bereitstellen eines Mesh-Schlüssels |
| US7804807B2 (en) * | 2006-08-02 | 2010-09-28 | Motorola, Inc. | Managing establishment and removal of security associations in a wireless mesh network |
| US7707415B2 (en) * | 2006-09-07 | 2010-04-27 | Motorola, Inc. | Tunneling security association messages through a mesh network |
| JP4179563B2 (ja) * | 2006-09-21 | 2008-11-12 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 暗号通信の暗号鍵を管理する技術 |
| US9198033B2 (en) * | 2007-09-27 | 2015-11-24 | Alcatel Lucent | Method and apparatus for authenticating nodes in a wireless network |
-
2007
- 2007-12-27 US US11/965,430 patent/US20100023752A1/en not_active Abandoned
-
2008
- 2008-12-16 WO PCT/US2008/086909 patent/WO2009085717A2/en not_active Ceased
- 2008-12-16 CN CN2008801226332A patent/CN101911637A/zh active Pending
- 2008-12-16 EP EP08866837A patent/EP2235909A2/en not_active Withdrawn
- 2008-12-16 CA CA2710433A patent/CA2710433A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6330671B1 (en) * | 1997-06-23 | 2001-12-11 | Sun Microsystems, Inc. | Method and system for secure distribution of cryptographic keys on multicast networks |
| US20060126845A1 (en) * | 2004-10-27 | 2006-06-15 | Meshnetworks, Inc. | System and method for providing security for a wireless network |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023160481A1 (zh) * | 2022-02-24 | 2023-08-31 | 华为技术有限公司 | Wlan系统、无线通信方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009085717A2 (en) | 2009-07-09 |
| EP2235909A2 (en) | 2010-10-06 |
| US20100023752A1 (en) | 2010-01-28 |
| WO2009085717A3 (en) | 2009-08-27 |
| CA2710433A1 (en) | 2009-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8385550B2 (en) | System and method for secure wireless multi-hop network formation | |
| CN101911637A (zh) | 在无线网状通信网络中用于发射组播数据的方法和设备 | |
| CA2662846C (en) | Method and apparatus for establishing security associations between nodes of an ad hoc wireless network | |
| KR101054202B1 (ko) | 인프라스트럭쳐 기반의 무선 멀티홉 네트워크 내의 보안 인증 및 키 관리 | |
| EP1650915B1 (en) | Method of authenticating a mobile network node for establishing a secure peer-to-peer context between a pair of communicating mobile network nodes | |
| EP1974553B1 (en) | Wireless router assisted security handoff (wrash) in a multi-hop wireless network | |
| US20100293378A1 (en) | Method, device and system of id based wireless multi-hop network authentication access | |
| US20100293370A1 (en) | Authentication access method and authentication access system for wireless multi-hop network | |
| US20090109870A1 (en) | Method for intelligent merging of ad hoc network partitions | |
| CN101371491A (zh) | 提供无线网状网络的方法和装置 | |
| JP2010503328A (ja) | メッシュネットワーク経由のセキュリティ接続メッセージのトンネル転送 | |
| WO2008021855A2 (en) | Ad-hoc network key management | |
| WO2009097789A1 (zh) | 建立安全关联的方法和通信系统 | |
| WO2009103214A1 (zh) | 网络认证通信方法及网状网络系统 | |
| JP2008547257A (ja) | アドホックネットワーク内でデータを安全に伝送するための方法および装置 | |
| Pužar et al. | Skimpy: A simple key management protocol for manets in emergency and rescue operations | |
| JP4498871B2 (ja) | 無線通信装置 | |
| EP4250641B1 (en) | Method, devices and system for performing key management | |
| Kulkarni et al. | Time stamp based cross layer MANET security protocol | |
| KR101222619B1 (ko) | 무선 메쉬 네트워크의 데이터 인증 방법 및 장치 | |
| WO2018072152A1 (zh) | 一种安全通信的方法、装置和系统 | |
| Yang | Security analysis and improvement for mesh mode in IEEE802. 16 | |
| Lee et al. | Efficient distributed authentication method with local proxy for wireless mesh networks | |
| Ramakrishna et al. | A Study on Multi Wireless Technologies–Architectures and Security Mechanisms | |
| Brys et al. | Mechanisms of Ad-hoc networks supporting Network Centric Warfare |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20101208 |