[go: up one dir, main page]

JP2010503328A - メッシュネットワーク経由のセキュリティ接続メッセージのトンネル転送 - Google Patents

メッシュネットワーク経由のセキュリティ接続メッセージのトンネル転送 Download PDF

Info

Publication number
JP2010503328A
JP2010503328A JP2009527476A JP2009527476A JP2010503328A JP 2010503328 A JP2010503328 A JP 2010503328A JP 2009527476 A JP2009527476 A JP 2009527476A JP 2009527476 A JP2009527476 A JP 2009527476A JP 2010503328 A JP2010503328 A JP 2010503328A
Authority
JP
Japan
Prior art keywords
message
mesh
eap
field
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2009527476A
Other languages
English (en)
Inventor
ジェイ. ブラスキッシュ、アンソニー
ピー. エメオット、スティーブン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Motorola Solutions Inc
Original Assignee
Motorola Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Motorola Inc filed Critical Motorola Inc
Publication of JP2010503328A publication Critical patent/JP2010503328A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本開示は、セキュアリンクをメッシュオーセンティケーターとメッシュキーディストリビュータとの間に確立して、セキュリティ接続メッセージを転送する方法及び技術に関するものである。セキュアリンクによって、メッシュキーディストリビュータは、認証プロセスの結果をメッシュオーセンティケーターに通知することができる。

Description

本発明は概して無線通信に関し、特にマルチホップアドホックネットワークにおけるセキュリティに関する。
種々のタイプの無線ネットワークには、インフラストラクチャ型無線ネットワーク及びアドホック無線ネットワークが含まれる。
アドホックネットワークは自己形成ネットワークであり、自己形成ネットワークは固定インフラストラクチャが全く無い状態で動作することができ、或る場合には、アドホックネットワークは全体がモバイルノード群によって形成される。アドホックネットワークは通常、「ノード群」と表記されることがある多数の地理的に分散したモバイルユニットを潜在的に含み、これらのモバイルユニットは互いに対して、一つ以上のリンク(例えば、無線周波数通信チャネル)によって無線接続される。ノード群は互いに対して無線媒体を経由して、インフラストラクチャ型ネットワークまたは有線ネットワークのサポートを受けることなく通信することができる。これらのノードの間のリンクまたは接続は、既存のノード群がアドホックネットワーク内で移動するときに、新規のノード群がアドホックネットワークに参加するか、または入るときに、或いは既存のノード群がアドホックネットワークを離れるか、またはアドホックネットワークから出て行くときに任意の態様で動的に変化することができる。アドホックネットワークのトポロジーは極めて大きく変化することがあるので、アドホックネットワークを動的に調整することによりこれらの変化への追随を可能にする技術が必要になる。中央コントローラが配設されないので、多くのネットワーク制御機能をノード群に分散させて、これらのノードがトポロジー変化に応答して自己組織化及び再構成を行なうことができるようにする。
ノード群の一の特徴は、各ノードが短距離で1「ホップ」だけ離れたノード群と直接通信することができることである。このようなノード群は「隣接ノード群」と表記される。一つのノードがパケット群を一つの宛先ノードに送信し、そしてノード群が1つよりも多いホップだけ離れている(例えば、2つのノードの間の距離がノード群の無線送信距離よりも長い、または物理的障害物がノード群の間に存在する)場合、パケット群は、パケット群が宛先ノードに到達するまで中間ノード群を経由して中継することができる(「マルチホップ動作」)。このような状況では、各中間ノードは、パケット群がこれらのパケットの最終宛先に到達するまでパケット群(例えば、データ及び制御情報)を隣のノードにルートに沿ってルーティングする。
無線通信ネットワークが更に普及するにつれて、セキュリティが継続的に、通信ネットワークプロバイダ及びエンドユーザの双方にとって大きな関心事となっている。セキュリティが関心事となるこのような状況は、データを多くのノードによって容易に受信し、そして操作することができるので、セキュリティ環境が最も困難な解決課題をもたらすようなモバイル無線ネットワークを使用する場合に最も顕著に現われる。無線ネットワークに使用される無線リンクによって、ネットワークを経由する通信及びデータが盗聴者及び/又はハッカー予備軍に丸見えになってしまう。マルチホップ無線ネットワークでは、通信及びデータが丸見えになってしまうことによって、ノード群の間の各リンクに、マルチホップ認証及びキー管理プロセスによって固有のセキュリティ接続を確立する必要がある。従って、リンク経由の通信は、確立されたセキュリティ接続によって保護することができる。
携帯電話機、携帯情報端末(PDA)、及びノートブックコンピュータのようなモバイルノード群は多くの場合、遠く離れて位置するデータベースまたはネットワークにアクセスする場合に認証を受ける必要がある。従来のシステムでは、集中認証手順が、基地局のようなアクセスポイント(AP)がモバイル無線ネットワークと有線バックホールネットワークとの間のポータルとして機能する場合に続いて行なわれ、そして集中認証手順によってAPの通信距離内の全てのノードに関する認証プロセスを処理する。例えば、米国規格協会/米国電気電子学会(ANSI/IEEE)802.1X規格またはANSI/IEEE 802.11i規格に準拠するシステムは、このような集中手順を利用して、ネットワークリソースへのアクセスを制御する。
IEEE 802.1Xは、認証、アクセス制御、及びキー管理を有線ネットワーク及び無線ネットワークの両方において可能にするように最初に策定されたIEEE規格である。802.1Xに定義される3つのエンティティは、サプリカント、オーセンティケーター、及び認証サーバ(AS)である。サプリカントは認証及びアクセス許可を要求するノードである。認証・許可・課金サーバ(AAA)と表記されることがあるアクセスサーバ(AS)は、権限を付与される場合には、サプリカントに対して、サプリカント証明書に基づいてアクセスに対する認証を行ない、そしてアクセスを承認する。ASはオーセンティケーターと同じ場所に配置することができる。認証はサプリカントと認証サーバとの間で行なわれるのに対し、オーセンティケーターは認証メッセージの通過を決定する手段として機能する。オーセンティケーターは非制御ポート及び制御ポートをクライアントごとに有する。クライアントが認証を受ける前は、認証メッセージのみが非制御ポートを通過することが許可される。サプリカントが認証に成功した後にだけ、他のトラフィックが制御ポートを通過することができる。
サプリカントと認証サーバとの間のこれらの通信に使用されるプロトコルはEAP(拡張認証プロトコル)である。802.1Xの場合、サプリカントとオーセンティケーターとの間のEAPメッセージはEAPOL(EAPオーバローカルエリアネットワーク(LAN))メッセージフォーマットでカプセル化される。EAPは、ユーザパスワード、証明書利用認証、ワンタイムパスワード、認証トークン、またはスマートカードなどのような多数の認証機構を利用可能とするために柔軟かつ拡張可能である。EAPは、サプリカント及びASにおいてキーマテリアルを生成する機構を含む適切な認証機構と交渉し、そして認証機構を使用するための手段となる。
認証手順は、一つのノードが、例えばEAPオーバローカルエリアネットワーク(EAPOL)パケットを含む認証リクエストを、拡張可能認証プロトコル(EAP)を使用して送信すると開始することができる。認証プロセスでは、EAP開始パケットから始まってEAP成功メッセージパケットまたはEAP失敗メッセージパケットで終わる幾つかのEAPOLパケットが送信され、そして受信される。EAPは、新規のリクエストを、有効な応答を受信する前には送信することができないという意味で「ロックステップ」プロトコルである。これについては[RFC3748]を参照されたい。
認証サーバは、認証を受けているモバイル機器(通常、サプリカントと呼ばれる)の認証証明書を保存する。認証サーバはまた、他の認証サーバとの接続を行なって、自律的に保存されないサプリカント認証証明書を取得することができる。
ANSI/IEEE 802.11i−2004, July 2004に掲載された「情報技術のIEEE規格−システム間の電気通信及び情報授受−地方及び大都市エリアネットワーク−特定要件−パート11:無線LANメディアアクセス制御(MAC)及び物理レイヤ(PHY)仕様−補正6:メディアアクセス制御(MAC)セキュリティ強化」と題する論文に記載されているように、サプリカント(または、認証及びアクセス権を取得しようとするノード)は、アクセスを承認する、または拒否するオーセンティケーター(例えば、アクセスポイント(AP))から1ホップの距離に位置することが前提とされる。従来のIEEE 802.11iでは、サプリカントとオーセンティケーターとの間でのマルチホップ通信を考慮に入れていない。それぞれのサプリカントはAPを介してのみ認証を受けることができるので、サプリカントと、モバイル無線ネットワークと有線バックホールネットワークとの間のサービス授受を可能にするAPとの間の1ホップ通信を必要とするこのような集中手順は、APの無線通信範囲の外に位置するノード群を有するマルチホップアドホック無線通信ネットワークにおいては実用的ではない。
例示的な通信ネットワークのブロック図である。 本発明の或る実施形態の動作に使用される例示的なノードのブロック図である。 本発明の或る実施形態による、セキュアチャネルまたはリンクをメッシュオーセンティケーターノードとメッシュキーディストリビュータ140との間に、サプリカントノードが認証を受けている間に確立するEAPカプセル化プロセスのプロトコルを示すメッセージフロー図である。 本発明の或る実施形態によるメッシュ管理フレームのフォーマットを示すデータ構造である。 本発明の或る実施形態による汎用EAPカプセル化認証メッセージのフォーマットを示すデータ構造である。 本発明の或る実施形態によるメッシュEAPメッセージ転送プロトコルを示すメッセージフロー図である。 本発明の或る実施形態によるマルチホップネットワークにおけるメッシュオーセンティケーター(MA)でのEAPカプセル化の例示的なプロセスを示すフローチャートである。 本発明の或る実施形態によるマルチホップネットワークにおけるメッシュキーディストリビュータ(MKD)でのEAPカプセル化の例示的なプロセスを示すフローチャートである。
添付の図は以下の詳細な記述とともに本明細書の一部を構成し、かつ種々の実施形態を詳細に例示し、そして全てが本発明に基づく種々の原理及び利点を説明するために利用される。
当業者であれば、これらの図の構成要素は、図が分かり易く、かつ明瞭になるように示され、そして必ずしも寸法通りには描かれていないことが分かるであろう。例えば、これらの図における幾つかの構成要素の寸法を他の構成要素に対して誇張して描いて本発明の実施形態を理解し易くしている。
本発明による実施形態を詳細に説明する前に、これらの実施形態は、セキュアリンクをメッシュオーセンティケーターとメッシュキーディストリビュータとの間に確立して、拡張可能認証プロトコル(EAP)メッセージのようなセキュリティ接続メッセージを転送する操作に関連する方法ステップ及び装置要素の組み合わせとして主として提示されることを理解されたい。従って、装置要素及び方法ステップは必要に応じて、従来の記号によって図面の中に表示され、本発明の実施形態の理解に役立つ特定の詳細のみを示して、本明細書における記述の恩恵を享受することになるこの技術分野の当業者にとって容易に理解できる詳細によって本開示が不明瞭になることがないようにしている。
本文書では、「第1」及び「第2」などの関係を表わす用語は、一つのエンティティまたは作用を別のエンティティまたは作用から区別するためにのみ使用することができ、必ずしも、実際のこのような関係または順番を、このようなエンティティまたは作用の間に必要とする、または意味するという訳では決してない。「備える」、「備えている」という用語、または他の全てのこれらの変形は包括的な意味で適用されるものであり、一連の要素を備えるプロセス、方法、製品、または装置がこれらの要素のみを含むのではなく、明らかには列挙されていない、またはそのようなプロセス、方法、製品、または装置に固有の他の要素を含むことができる。「〜を備える」の前に来る一つの要素は、当該要素が更に制約されるというのではなく、更に別の同じ要素が、当該要素を備えるプロセス、方法、製品、または装置に含まれる状況を排除するものではない。
本明細書に記載される本発明の実施形態は一つ以上の従来のプロセッサ及び固有の保存プログラム命令により構成することができ、プログラム命令によって一つ以上のプロセッサを制御して、これらのプロセッサに、本明細書に記載されるように、セキュアリンクをメッシュオーセンティケーターとメッシュキーディストリビュータとの間に確立して、拡張可能認証プロトコル(EAP)メッセージのようなセキュリティ接続メッセージを転送する機能群の幾つか、ほとんど、または全てを所定の非プロセッサ回路と連携して実行させることを理解されたい。非プロセッサ回路は、これらには制限されないが、無線受信機、無線送信機、信号ドライバ、クロック回路、電源回路、及びユーザ入力装置を含むことができる。従って、これらの機能は、セキュアリンクをメッシュオーセンティケーターとメッシュキーディストリビュータとの間に確立して、拡張可能認証プロトコル(EAP)メッセージのようなセキュリティ接続メッセージを転送する方法のステップとして解釈することができる。別の構成として、幾つかの機能または全ての機能は、保存プログラム命令を格納していないステートマシンによって実行することができる、または一つ以上の特定用途向け集積回路(ASIC)の中で実行することができ、ASICでは、各機能、または機能群の内の所定の機能の組み合わせがカスタムロジックとして実行される。勿論、2つのアプローチの組み合わせを使用することができる。従って、これらの機能に対応する方法及び手段が本明細書において記載されている。更に、当業者であれば、例えば利用可能な時間、その時点での技術、及び経済環境に起因して相当な大きな努力及び多くのデザイン選択が生じ得るにも係わらず、本明細書が開示するコンセプト及び原理による示唆を得た暁には、このようなソフトウェア命令及びプログラム、及びICを最小限の実験により容易に想到し得るであろう。
「例示的な」という単語は本明細書においては、「一つの例、インスタンス、または例示として作用する」という意味に使用される。「例示的である」として本明細書において記載される実施形態は必ずしも、他の実施形態よりも好ましい、または有利であると捉えられるべきではない。この詳細な記述において記載されるこれらの実施形態の全ては、この技術分野の当業者が本発明を作製する、または使用することができるように提示される例示的な実施形態であり、請求項によって規定される本発明の範囲を制限するものではない。
頭文字の意味
以下の記述では、次の頭文字の内の少なくとも幾つかを使用する:
EAPIE EAPカプセル化情報エレメント
EMSA 高効率メッシュセキュリティ接続
EMSAIE EMSAハンドシェーク情報エレメント
KCK−KD キー配布用のキー確認用キー
KDK キー配布用のキー暗号化キー
MA メッシュオーセンティケーター
MA−ID メッシュオーセンティケーター識別子
MEKIE メッシュ暗号化キー情報エレメント
MDK メッシュキーディストリビュータ
MDK メッシュキーディストリビュータ識別子
MKHSIE メッシュキーホルダーセキュリティ情報エレメント
MSD−ID メッシュセキュリティドメイン識別子
MSDIE メッシュセキュリティドメイン情報エレメント
PMK ペアワイズマスターキー
PMK−MA メッシュオーセンティケーターPMK
PMK−MKD メッシュキーディストリビュータPMK
PTK−KD キー配布用のペアワイズ一時キー
例示的なアドホックマルチホップネットワーク
図1は、例示的なアドホックマルチホップ通信ネットワーク100のブロック図である。本明細書において使用するように、「マルチホップ通信ネットワーク」という用語は、ルーティングプロトコルをネットワークの一部であるノード群の間で用いる全てのタイプの無線ネットワークを指す。ネットワーク100は、複数のノードまたは「メッシュポイント(MPs)」110,132,134,136と、メッシュ認証(MA)ノード130と、例えばメッシュポイントポータル(MPP)141に実装することができるメッシュキーディストリビュータ(MKD)140と、これもMPP141に実装することができる認証・許可・課金クライアント(AAAクライアント)と、そして例えば認証・許可・課金サーバ(AAAサーバ)に実装することができる認証サーバ(AS)150と、を備える。図1に示す特定のネットワーク構成では、ノード110は「サプリカントノードまたはサプリカントメッシュノード」とも表記される。
サプリカントメッシュポイント110の隣接領域内に位置することができるノード群の数は非常に多くなり得るので、かつセキュリティ接続が、ノードがルーティングメッセージを当該ノードの隣接ノードに送信することができる前に必要になるので、機構を各メッシュオーセンティケーター130の所定位置に設けることにより、当該オーセンティケーターがメッシュキーディストリビュータ140と通信することができるようになって、サプリカントメッシュポイント110によって、当該ポイントが最初にメッシュネットワークとのコンタクトを行ない、そしてメッシュネットワークによる認証を受けている間に生成されるキーマテリアルを利用して生成キーを取得することができ、更にメッシュオーセンティケーター130はサプリカントメッシュポイント110に、当該オーセンティケーターがこのキーマテリアルを特定し、そして当該キーマテリアルの使用を要求して高効率のセキュリティ接続切り替えを完了するために必要な情報を供給することができることが重要である。
本発明は、セキュリティ接続を効率良く確立する操作をサポートするメッシュ認証機構を含む。この機構は、この機構の隣接要素の能力及び性質によって変わるが、メッシュサプリカントの役割を、またはメッシュオーセンティケーターの役割を果たすように動作することができ、そしてメッシュオーセンティケーターの役割を果たすように動作する場合は、EAP認証メッセージを中継し、そしてメッシュキーディストリビュータからのキー転送をリクエストすることができる。本発明に従って用いられる場合、メッシュオーセンティケーターは情報をブロードキャストすることにより、サプリカントメッシュポイントにメッシュに参加させ、そしてメッシュオーセンティケーター自体及びメッシュキーディストリビュータとのセキュリティ接続を確立させることができる。メッシュオーセンティケーターは更に、キー配布階層からのキーを維持し、キー配布階層によってメッシュオーセンティケーターは、サプリカントメッシュポイントの隣接ポイントとのセキュリティ接続を確立するために使用されるキーをリクエストし、そしてキーのロックを解除することができる。最後に、オーセンティケーターは、サプリカントメッシュポイントからキーディストリビュータへの拡張可能認証プロトコル(EAP)認証メッセージの転送をサポートし、そしてメッシュキーディストリビュータからのキーマテリアルの配布をサポートする。
図1に示す例示的なアドホックマルチホップ通信ネットワーク100では、ネットワークのインフラストラクチャ部分または「有線」部分はメッシュポイントポータル(MPP)141を含み、MPP141は、AS150にセキュア有線チャネルによって接続される。図1には示さないが、メッシュポイントポータル141はAS150にルータまたは他のエンティティ(図示せず)を介して接続することができる。この例示的なネットワークでは、メッシュキーディストリビュータ(MKD)140及びAAAクライアント142はメッシュポイントポータル(MPP)141に実装され、そしてプロセス間メッセージを使用して接続される。この例示的なネットワーク構成では、ノード136はMPP141から1ホップ目に位置し、ノード132,134はMPP141から2ホップ目に位置し、ノード130はMPP141から3ホップ目に位置し、そしてノード110はMPP141から4ホップ目に位置する。本発明の或る実施形態では、MKDエンティティを実装するメッシュポイントポータル141はMA(メッシュオーセンティケーター)エンティティも実装する。
図1に示す例示的なアドホックマルチホップ通信ネットワーク100では、メッシュキーディストリビュータ140は認証・許可・課金クライアント(AAAクライアント)142に接続され、クライアント142が今度は、認証・許可・課金サーバ(AAAサーバ)150に通信可能に接続される。MKD140は:(a)EAP認証メッセージ転送サービスをMAに対して行ない、そしてMAから受け、そしてAAAクライアントに対して行ない、そしてAAAクライアントから受ける;(b)キーを生成し、そして生成キーを一つ以上のメッシュオーセンティケーター140に配布することにより、サプリカント110がアドホックネットワーク100に参加する、または新規のセキュリティ接続を確立することができる;(c)ペアワイズの一時キーを生成してキー配布(PTK−KD)し、キー配布によって、MA130は、サプリカントメッシュポイントの隣接ポイントとのセキュリティ接続を確立するために使用されるキーをリクエストし、そしてキーのロックを解除することができ、そしてデータ送信元の信頼性、及びキー配布メッセージ及びEAP認証メッセージのメッセージ完全性を確認するために使用されるメッセージ完全性チェック値を挿入し、そしてチェック値の有効性を確認する。
メッシュキーディストリビュータ140は2セットの生成キーを維持し、1セットはメッシュオーセンティケーターと通信するために維持し、そして1セットはメッシュオーセンティケーターにキー配布して、サプリカントメッシュポイントがアドホックネットワークに参加する、または新規のセキュリティ接続を確立することができるようにするために維持する。これらのセットの生成キーは、当該オーセンティケーターが最初にメッシュネットワークとコンタクトしている間に、メッシュオーセンティケーターが認証・許可・課金(AAA)サーバによるEAP認証を受けたときに生成される単一のマスターキーから生成される。これにより、メッシュオーセンティケーターの役割を果たすために明示的な個別の認証を必要とするのではなく、メッシュオーセンティケーターを設定する効率的な方法が得られる。メッシュキーディストリビュータを例示的なアドホックマルチホップ通信ネットワーク100に配設することにより、メッシュセキュリティ領域を定義することができる。メッシュセキュリティ領域内では、各メッシュオーセンティケーターが一つのMPに実装される状態で幾つかのメッシュオーセンティケーターMA130を設けることができ、そして各MAはMKD140へのルート、及びMKD140とのセキュリティ接続の両方を維持する。
メッシュキーディストリビュータ140はメッシュオーセンティケーター130と、レイヤ2プロトコル及び所定のデータフレームを使用して通信する。レイヤ2プロトコルを使用してメッシュオーセンティケーターと通信する機能をメッシュキーディストリビュータ140が備えることによって、効率的なメッシュセキュリティ接続を行なうために必要なセキュリティプロトコルが実現する。本発明の或る実施形態では、メッシュセキュリティ領域の複数のメッシュオーセンティケーター130に対応するメッシュキーディストリビュータ(MKD)140は中央コントローラに実装することができ、中央コントローラは、有線ネットワーク上に設けられ、かつ複数のメッシュオーセンティケーターを、メッシュポータルサービスを提供する複数のメッシュポイントを介して制御することができる。
メッシュキーディストリビュータ140に通信可能に接続されるのは少なくとも一つのメッシュオーセンティケーター(MA)130である。一つのメッシュオーセンティケーター130が図1の例示的なアドホックマルチホップ通信ネットワーク100に示されるが、1つのメッシュオーセンティケーターを本発明に従って利用することができる、またはどのような数の複数のメッシュオーセンティケーターも本発明に従って利用することができることが理解できるであろう。メッシュオーセンティケーター130は:(a)サプリカント(すなわち、メッシュポイント(MP)サプリカント110)による参加を可能にするサービスを広告する;(b)EAP認証メッセージ転送サービスを提供する;(c)生成キーをメッシュキーディストリビュータ140に対してリクエストする、または生成キーをメッシュキーディストリビュータ140から取得することにより、サプリカント110によるアドホックネットワーク100への参加を可能にする、または新規のセキュリティ接続の確立を可能にする;(d)ペアワイズの一時キー(PTK)を生成してサプリカント110とのリンクの安全を確保する;そして(e)ペアワイズの一時キー(PTK)を生成してキー配布(PTK−KD)し、キー配布によって、MA130は、サプリカントメッシュポイントの隣接ポイントとのセキュリティ接続を確立するために使用されるキーをリクエストし、そしてキーのロックを解除することができ、そしてデータ送信元の信頼性、及びキー配布メッセージ及びEAP認証メッセージのメッセージ完全性を確認するために使用されるメッセージ完全性チェック値を挿入し、そしてチェック値の有効性を確認する。
本発明において設けることができるメッシュオーセンティケーター130は、2セットの生成キーを維持し、第1セットは、当該オーセンティケーター自体とキーディストリビュータとの間のキー転送のために維持し、そして第2セットは当該オーセンティケーターのピアと通信するために維持する。これらのセットの生成キーは、当該オーセンティケーターが最初にメッシュネットワークとコンタクトしている間に、メッシュオーセンティケーターが認証・許可・課金(AAA)サーバによるEAP認証を受けたときに生成される単一のマスターキーから生成される。これにより、メッシュオーセンティケーターの役割を果たすために明示的な個別の認証を必要とするのではなく、メッシュオーセンティケーターを設定する効率的な方法が得られる。オーセンティケーターは、サプリカントメッシュポイントによって使用されることにより、メッシュポイントオーセンティケーターをメッシュセキュリティ領域内で選択するための情報をブロードキャストし、この情報によって、オーセンティケーターが最初のコンタクトを行なっている間に生成したキー階層の使用が可能になる。オーセンティケーターはまた、キーディストリビュータと、レイヤ2プロトコル及び所定のデータフレームを使用して通信する。レイヤ2プロトコルを使用してメッシュキーディストリビュータと通信する機能をメッシュオーセンティケーターが備えることによって、効率的なメッシュセキュリティ接続を行なうために必要なセキュリティプロトコルが実現する。
ノード110,130,132,134,136は通常、インフラストラクチャレスモード及びインフラストラクチャードモードの両モードでの同時動作をサポートし、そしてインフラストラクチャ型ネットワーク(例えば、メッシュポイントポータル141を含むネットワーク)と、インフラストラクチャが全く無いクライアント型ピアツーピアネットワークとの間でシームレスに移動することができる。例えば、アドホックマルチホップ通信ネットワーク100は、複数のノード110,130,132,134,136(各ノードは無線中継器機能及び/又はルーティング機能を有する)と、任意であるが有線メッシュポイントポータル(MPP)141との間に形成することができる。この技術分野の当業者であれば、図1のアドホックネットワーク100がインフラストラクチャードモード(例えば、メッシュポイントポータル(MPP)141を含む)で動作するものとして示されているが、図1のアドホックネットワーク100には、ネットワークインフラストラクチャを全く設ける必要がないことが理解できるであろう。
アドホックマルチホップネットワーク100では、ノード110,130,132,134,136への通信、及び/又はノード110,130,132,134,136からの通信は、互いを通過して「ホップする」ことにより、ネットワークの他のノード110,130,132,134,136に到達するようにして行なうことができる。ノード110,130,132,134,136は一般的には、パケット化されたオーディオ情報、ビデオ情報、及び/又はデータ情報の受信を可能にするように設計される無線装置とすることができる。例示的なノードにおける、例示的なプロセッサ、送信機、受信機、及びアンテナのような構成要素群の内の或る構成要素を以下に図2に記載する。ノード110,130,132,134,136は情報を、搬送波周波数で送信されるデータパケット群として授受することができ、これらの搬送波周波数の各搬送波周波数上に一つ以上の無線通信チャネルが割り当てられる。
インフラストラクチャモードでは、MPP141は通常、有線ネットワーク(図示せず)に接続され、そしてオーディオ情報、ビデオ情報、及び/又はデータ情報を供給する一つ以上の供給源となることができる。MPP141は、例えばセルラー基地局または他の無線アクセスポイントとすることができる。
図1には示されないが、この技術分野の当業者であれば、ノード110,130,132,134,136は情報パケット群をセルラーネットワーク(図示せず)との間で、無線通信媒体を介して送受信することもでき、これらの無線通信媒体の各無線通信媒体は、セルラーネットワークにおいて利用されるマルチアクセス方式によって変わる一つ以上の無線通信チャネルを含む。
サプリカントノード110がメッシュネットワーク100への参加を試みる場合、サプリカントノード110はEAP認証トラフィックを認証サーバ(AS)150との間で授受する必要がある。例えば、セキュリティ接続をメッシュネットワークにおいて確立する一のアプローチでは、メッシュネットワーク100に参加する場合の最初のコンタクト時に、サプリカントノード110はメッシュオーセンティケーター(MA)130(隣接ノードに実装される)とコンタクトして、オンラインAAAサーバ150によるEAP認証を開始する。しかしながら、このアプローチでは、メッシュオーセンティケーターノード130はAAAクライアントサービスを提供することがなく、その代わり、メッシュキーディストリビュータ140と通信して、サプリカントノード110のために生成キーマテリアルを取得する。他の機能の他に、メッシュキーディストリビュータ140はAAAクライアント142に接続され、AAAクライアント142はAS150と、メッシュネットワークのノード群に代わって通信する。
図1に示すように多くの場合において、メッシュオーセンティケーター(MA)130はメッシュキーディストリビュータ(MKD)140から複数の無線ホップだけ離れて配置することができる。従って、サプリカントノード110からのEAPメッセージはメッシュオーセンティケーターノード130からメッシュキーディストリビュータ140に送信され、そしてEAPメッセージは逆方向にも転送される。別の表現をすると、サプリカントノード110からMA130によって受信されるEAPトラフィックはMKD140に転送されてAS150に、MKD140に接続されるAAAクライアント142によって送信される。同様に、AS150からのEAPトラフィックは、MKD140に接続されるAAAクライアント142によって受信され、次にMKD140からMA130に、サプリカントノード110に送信される前に転送する必要がある。
次に、例示的なノードの構成要素群の内の幾つかの構成要素について、図2を参照しながら説明する。
例示的なノード
図2は、例示的なノード200のブロック図である。ノード200はプロセッサ201と、送信機回路203及び受信機回路205を含むトランシーバ202と、アンテナ206と、ディスプレイ207と、入力デバイス208と、プロセッサ201が実行する動作命令を格納するプログラムメモリ209と、バッファメモリ211と、一つ以上の通信インターフェース213と、そして取り外し可能な記憶ユニット215と、を備える。図示はしないが、ノード200は更に、アンテナスイッチ、デュプレクサ、計算器、または情報パケット群を送信機回路203からアンテナ206に、そしてアンテナ206から受信機回路205に間欠的に供給し、かつ十分な隔離機能を有する他の隔離手段(図示せず)も含むことが好ましい。ノード200は、図2に示す要素群の全てだけでなく、ノード200が当該ノードの特定の機能を実行するために必要な他の全ての要素を少なくとも含む統合ユニットであることが好ましい。別の構成として、ノード200は、適切に相互接続されるユニット群またはデバイス群の集合体を備えることができ、このようなユニット群またはデバイス群は、ノード200の要素群が実行する機能群と同等の機能群を実行する。例えば、ノード200は、ラップトップコンピュータ及び無線LAN(ローカルエリアネットワーク)カードを備えることができる。
プロセッサ201は、一つ以上のマイクロプロセッサ、マイクロコントローラ、DSP(デジタル信号プロセッサ)、ステートマシン、論理回路、または情報を動作命令またはプログラミング命令に基づいて処理する他のいずれかのデバイスまたはデバイス群を含むことが好ましい。このような動作命令またはプログラミング命令は、プログラムメモリ209に格納されることが好ましい。プログラムメモリ209は、いずれかの方式のRAM(ランダムアクセスメモリ)またはROM(リードオンリメモリ)を含むIC(集積回路)メモリチップ、フロッピーディスク、CD−ROM(コンパクトディスクリードオンリメモリ)、ハードディスクドライブ、DVD(デジタルビデオディスク)、フラッシュメモリカード、またはデジタル情報を保存する他のいずれかの媒体とすることができる。この技術分野の当業者であれば、プロセッサ201が、ステートマシンまたは論理回路が実行するプロセッサの機能群の内の一つ以上の機能を有する場合、該当する動作命令を格納するメモリ209は、ステートマシンまたは論理回路の内部に埋め込むことができることが理解できるであろう。ノード200のプロセッサ201及び残りの要素が実行する動作について以下に詳細に説明する。
送信機回路203及び受信機回路205によってノード200は情報パケット群を他のノードとの間で授受し、そして情報パケット群を他のノードから取得することができる。この点に関して、送信機回路203及び受信機回路205は従来の回路を含むことにより、無線通信チャネルでのデジタル伝送またはアナログ伝送を可能にする。送信機回路203及び受信機回路205は、セルラー無線インターフェース(例えば、モバイル通信用グローバルシステム(GSM)、符号分割多重接続(CDMA)、広帯域CDMA(WCDMA),ユニバーサルモバイル電気通信システム(UMTS)など)及びアドホックネットワーク無線インターフェース(例えば、BLUETOOTH,802.11 WLAN(ワイヤレスローカルエリアネットワーク),802.16 WiMaxなど)の両方のインターフェースを介して動作するように構成される。
送信機回路203及び受信機回路205の実施形態は、ノード200の実施形態によって変わる。例えば、送信機回路203及び受信機回路205は、適切なワイヤレスモデムとして、または双方向無線通信装置の送信部品及び受信部品として用いることができる。送信機回路203及び受信機回路205をワイヤレスモデムとして用いる場合、モデムはノード200の内部に配置する、またはノード200内に挿入する(例えば、パーソナルコンピュータメモリカード国際協会(PCMCIA)カードに装着されるワイヤレス無線周波数(RF)モデムに埋め込む)ことができる。無線通信装置の場合、送信機回路203及び受信機回路205は、公知の技術による無線装置ハードウェア及びソフトウェアアーキテクチャの一部として用いることが好ましい。送信機回路203及び/又は受信機回路205の機能群の全てではないとしてもほとんどを、プロセッサ201のようなプロセッサに実装することができる。しかしながら、プロセッサ201、送信機回路203、及び受信機回路205に、ここでは意図的に区切りを付けて、理解が容易になるようにしている。
受信機回路205は、近接装置との通信がネットワーク通信の周波数帯域以外の周波数帯域で行なわれる場合、少なくとも一つの帯域に、そして任意であるが、それよりも多い帯域に含まれるRF信号の受信を可能にするように構成される。受信機回路205は任意であるが、第1受信機及び第2受信機を含むことができる、または2つ以上の帯域での受信を可能にするように構成される一つの受信機を含むことができる。トランシーバ202は、少なくとも1セットの送信機回路203を含む。少なくとも一つの送信機203は、複数の装置への複数の周波数帯域での送信を可能にするように構成することができる。受信機205と同じように、2つの送信機203を任意であるが用いることができ、この場合、一方の送信機を、こい近接ノードへの送信を行なうために、またはWLANとの直接リンクを確立するために用い、そして他方の送信機をセルラー基地局への送信を行なうために用いる。
アンテナ206は、無線搬送波周波数を含む周波数領域の電磁エネルギーを放出し、そして受信するいずれかの公知の構造、または将来時点で開発される構造を含む。
バッファメモリ211は、RAMのようないずれかの形態の揮発性メモリとすることができ、そして本発明による受信情報パケット群を一時的に保存するために使用される。
ノード200がビデオ情報をビデオソースから受信するように構成される場合、ノード200は更に、ビデオデコーダを含むことが好ましく、ビデオデコーダは、現在のムービングピクチャエキスパートグループ(MPEG)規格、または他の或るビデオ復号化規格に準拠した復号化を可能にするように構成される。ノード200が更に、ビデオ情報の送信を可能にするように構成される場合、ノード200は更に、ビデオエンコーダを含むことが好ましく、ビデオエンコーダは、ビデオデータを上に挙げたビデオ規格の内の少なくとも一つの規格に基づいて符号化することができるように構成される。このようなビデオエンコーダ及びデコーダは、プロセッサ201の一部として用いることが好ましい。
概要
ネットワーク100におけるセキュリティを強化するために、安全が確保された状態でEAPメッセージをメッシュオーセンティケーターノード130とメッシュキーディストリビュータ140との間で転送する機構を実現することが望ましい。相互接続性の観点から、安全が確保された状態でEAPメッセージを転送し、かつレイヤ2以下で動作する機構を実現することが望ましいが、これは、このような機構が、種々の機器ベンダーに、EAPメッセージを転送する共通の方法を提供することにより、ノード群、及び種々の機器ベンダーが供給する機器が相互接続することができるからである。
セキュアリンク(または、トンネル)をメッシュオーセンティケーターノード130とメッシュキーディストリビュータ140との間に確立して、拡張可能認証プロトコル(EAP)セキュリティメッセージのようなセキュリティ接続メッセージをメッシュオーセンティケーターノード130とメッシュキーディストリビュータ140との間で転送する方法及び技術が提供される。本発明に従って利用されるこのセキュアリンク(または、トンネル)によって、メッシュキーディストリビュータ140は、オンライン認証プロセスの結果(例えば、認証成功及び認証失敗)をメッシュオーセンティケーターノード130に通知することができる。
セキュリティメッセージ転送プロトコルも提供され、セキュリティメッセージ転送プロトコルでは、「メッシュアクション」フレームと呼ばれる特定タイプのメッシュ管理フレームを用いることによりメッセージを転送する。非制限的な一の例示的な実施形態では、開示するセキュリティメッセージ転送プロトコルは、IEEE 802.11sのようなIEEE 802.11規格に準拠する装置及びネットワークに関連して適用することができる。
「メッシュアクション」フレームを使用して、管理トラフィックを一つ以上のメッシュリンクで転送する。メッシュアクションフレームタイプによって、メッセージをデータフレームから区別することにより、コンテンツを適切な内部機能によって処理することができる。メッシュアクションフレームによって、メッシュノード群はユーザトラフィックと管理トラフィックとを区別することにより、効率的な転送をメッシュ経由で行なうことができるが、これは、ノード群がトラフィックを、転送対象のフレームのコンテンツを分析することなく転送することができるからである。メッシュアクションフレームを、該当フレームの宛先ノードに転送する中間ノードは、フレームをメッシュデータフレームと同じ態様で処理することができる。宛先ノードは「メッシュアクション」フレームタイプを使用して、フレーム受信時の処理を容易にすることができる。
メッシュアクションフレームは、カテゴリーフィールド及びアクションフィールドを含み、これらのフィールドの後にメッセージコンテンツが続く。カテゴリーフィールド及びアクションフィールドに含まれる数値は、情報エレメントを含むことができるメッセージコンテンツのフォーマットを独自に指定する。メッセージコンテンツを保護するために、メッシュアクションデータフレームのコンテンツは、メッシュデータフレームと同じ機構を使用してホップごとに暗号化される。
再び図1によれば、一旦、サプリカントノード110が、メッシュオーセンティケーターノード130によるEAP認証を受け始めると、メッシュオーセンティケーターノード130及びメッシュキーディストリビュータ140は、メッシュアクションフレームを互いに対して送信することができる。メッセージのカテゴリー値及びアクション値を特定の値に設定することにより、メッシュアクションフレームのコンテンツをEAP転送アプリケーション用にカスタマイズすることができる。例えば、メッシュオーセンティケーターノードは特定のメッシュアクションフレームを生成することができ、メッシュアクションフレームによって「メッシュセキュリティ」カテゴリー値及び「メッシュEAPカプセル化」アクション値を指定する。
種々の機能の中でもとりわけ一の機能として、開示する方法及び技術では、フィールドをEAPカプセル化フレームに追加することにより、プロトコルを正しく動作させるために必須となる情報をメッシュオーセンティケーターノード130とメッシュキーディストリビュータ140との間で授受することができ、更にメッセージ配布のエンドツーエンド完全性を確保することができる。例えば、この特定のメッシュアクションフレームは:完全性チェック用のメッセージ完全性チェック(MIC)フィールドと、各フレーム内のメッセージトークンと、を含み、このメッセージトークンを使用することにより、リクエストフレーム及び応答フレームから成るペア群を照合することができ、更にサプリカントノード110のアドレスを指定するフィールドと、そしてサプリカントノード110によって生成されるEAPフレームと、を含む。
メッセージ完全性チェック(MIC)フィールドによって、EAPメッセージを改ざんから保護する。MICによって、有効なEAPメッセージをMA130からサプリカントノード110に渡すことができる、またはMKD140から認証サーバ(AS)150に渡すことができる。特殊なEAPメッセージタイプを、最終応答メッセージに関して定義することにより、セキュリティ接続承認メッセージまたはセキュリティ接続拒否メッセージのような認証結果メッセージを送信して追加情報をMA130に供給する。特殊なEAPメッセージタイプは、MKD140において簡単に割り当てられるRADIUSコード[RFC 2865]に対応する。セキュリティ接続「承認」EAPメッセージタイプ及びセキュリティ接続「拒否」EAPメッセージタイプによって、MA130への通知を行なうことができるので、認証を受けているサプリカントノード110が適切なアクションを実行することができる。EAPメッセージタイプの完全性が保護される(MIC(メッセージ完全性チェック)によって)が、これは、これらのメッセージタイプがMAにおけるアクセス制御動作に影響を与えるからである。メッセージトークンによって、リクエストメッセージを応答メッセージと照合することができるので、当該トークンによって、EAP(拡張可能認証プロトコル)として使用されるロックステッププロトコルを実現することが可能となる。
このプロトコルによれば、EAPOLパケット内のEAPメッセージをメッシュオーセンティケーターノード130が受信すると、メッシュオーセンティケーターノード130は特定のメッシュアクションフレームをメッシュキーディストリビュータ140に送信する。特定のメッシュアクションフレームを受信すると、メッシュキーディストリビュータ140は、メッセージのコンテンツをオンラインAAAサーバ150に、Radiusのようなセキュリティメッセージ転送プロトコルを使用して転送することができ、そしてメッシュオーセンティケーターノード130に応答で返答することができる。別の構成として、メッシュキーディストリビュータ140は、オンラインRadiusクライアントのプロキシとして動作することができ、そしてメッセージのコンテンツをオンラインRadiusクライアントに、いずれかの専用メッセージ転送プロトコルを使用して転送することにより、処理及びプロトコル変換を更に行なうことができる。
図3は、本発明の或る実施形態による、セキュアチャネルまたはセキュアリンクをメッシュオーセンティケーターノード130とメッシュキーディストリビュータ140との間に、サプリカントノード110が認証を受けている間に確立するEAPカプセル化プロセス300のプロトコルを示すメッセージフロー図である。
プロセス300はステップ362から始まり、このステップでは、メッシュオーセンティケーターノード130が、サプリカントノード110に対するIEEE 802.1X認証を、初期EAPメッセージをサプリカントノード110に送信することにより開始する。初期EAPメッセージはEAPOLパケットに載せて送信される。
ステップ364では、サプリカントノード110は、初期EAPメッセージに対して、EAPメッセージをEAPOLパケットに載せてMAノード130に送信して、認証をメッシュオーセンティケーターノード130とサプリカントノード110との間で継続することにより応答する。
本明細書において使用するように、「EAPカプセル化リクエストメッセージ」という用語は、EAPメッセージタイプ「リクエスト」付きのEAPカプセル化メッシュアクションメッセージを指す。「EAPカプセル化応答メッセージ」という用語は、EAPメッセージタイプ「応答」付きのEAPカプセル化メッシュアクションメッセージを指す。「最終EAPカプセル化応答メッセージ」という用語は、EAPメッセージタイプ「承認」付きの、または「拒否」付きのEAPカプセル化メッシュアクションメッセージを指す。
MAノード130が、EAPOLパケット内のEAPメッセージをサプリカントノード110からステップ366で受信すると、MAノード130は、サプリカントノード110から受信したEAPメッセージを含むEAPカプセル化リクエストメッセージをMKD140に送信する。このメッセージは、メッシュキーディストリビュータ140に、メッシュオーセンティケーターノード130とメッシュキーディストリビュータ140との間のセキュアチャネル(例えば、トンネル)で送信される。
初期EAPカプセル化リクエストメッセージを受信すると、メッシュキーディストリビュータ140はメッセージのコンテンツをオンラインAAAサーバ150に有線リンクを介して、Radiusのようなセキュリティメッセージ転送プロトコルを使用して転送することができる。別の構成として、メッシュキーディストリビュータ140は、オンラインRadiusクライアントのプロキシとして動作し、そしてメッセージのコンテンツをオンラインRadiusクライアントに、いずれかの専用メッセージ転送プロトコルを使用して転送して、処理及びプロトコル変換を更に行なうことができる。
ステップ368では、メッシュキーディストリビュータ140は、サプリカントノード110宛てのEAP応答メッセージをAS150から受信し、そしてAS150から受信したEAP応答メッセージを含むEAPカプセル化応答メッセージをMAノード130に送信する。このメッセージは、メッシュオーセンティケーターノード130とメッシュキーディストリビュータ140との間のセキュアチャネル(例えば、トンネル)で送信される。ステップ370では、メッシュオーセンティケーターノード130はEAP応答メッセージをEAPOLパケットに載せてサプリカントノード110に転送する。
ステップ372では、サプリカントノード110はEAP応答メッセージに対して、EAPリクエストメッセージをEAPOLパケットに載せてメッシュオーセンティケーターノード130に送信することにより応答する。ステップ374では、メッシュオーセンティケーターノード130は、サプリカントノード110から受信したEAPメッセージを含むEAPカプセル化リクエストメッセージをメッシュキーディストリビュータ140に、メッシュオーセンティケーターノード130とメッシュキーディストリビュータ140との間のセキュアチャネル(例えば、トンネル)で送信する。EAPカプセル化リクエストメッセージを受信すると、メッシュキーディストリビュータ140は、メッセージのコンテンツをオンラインAAAサーバ150に有線リンクで、Radiusのようなセキュリティメッセージ転送プロトコルを使用して転送することができる。別の構成として、メッシュキーディストリビュータ140は、オンラインRadiusクライアントのプロキシとして動作することができ、そしてEAPカプセル化リクエストメッセージをオンラインRadiusクライアントに、いずれかの専用メッセージ転送プロトコルを使用して転送することにより、処理及びプロトコル変換を更に行なうことができる。
ステップ376では、メッシュキーディストリビュータ140はサプリカントノード110宛ての最終EAP応答メッセージをAS150から受信する。メッシュキーディストリビュータ140は、AS150から受信したEAP応答メッセージを含む最終EAPカプセル化応答メッセージをメッシュオーセンティケーターノード130に、メッシュオーセンティケーターノード130とメッシュキーディストリビュータ140との間のセキュアチャネル(例えば、トンネル)で送信する。
最終EAPカプセル化応答メッセージは特殊なEAPメッセージタイプを含む。サプリカントノード110に対するEAP認証が成功し、かつ「承認」通知がMKDに送信された場合、MKD140は、EAPメッセージタイプ「承認」付きの最終メッセージを送信してMA130に、サプリカントノード110によるアクセスを許可すべきであることを通知する。例えば、サプリカントノード110に対するEAP認証によって、サプリカントノード110が承認される場合、最終EAPカプセル化応答メッセージはEAPメッセージタイプ(例えば、メッセージタイプ=2)を含むことができ、このEAPメッセージタイプを使用することにより、サプリカントノード110が承認されることを通知することができる。別の構成として、EAP認証が失敗した場合、MKD140はタイプ「拒否」付きの最終メッセージをMA130に送信する。例えば、サプリカントノード110に対するEAP認証によって、サプリカントノード110が拒否された場合、最終EAPカプセル化応答メッセージは、サプリカントノード110が拒否されることを通知するEAPメッセージタイプ(例えば、メッセージタイプ=3)を含むことができる。タイプ「拒否」の最終EAPカプセル化応答メッセージを受信すると、MA130はサプリカントノード110との接続を終了させる。
ステップ378では、メッシュオーセンティケーターノード130は、最終EAP応答メッセージをEAPOLパケットに載せてサプリカントノード110に転送する。
図4は、本発明の或る実施形態によるメッシュ管理フレーム400のフォーマットを示すデータ構造である。メッシュ管理フレーム400は、フレーム制御フィールド402と、期間フィールド404と、受信側アドレスフィールド406と、送信側アドレスフィールド408と、宛先アドレスフィールド410と、シーケンス制御フィールド412と、送信元アドレスフィールド414と、メッシュ転送制御フィールド416と、ボディフィールド418と、そしてFCSフィールド420と、を含む。
フレーム制御フィールド402は、フレームをメッシュ管理フレームとして特定するために必要な情報を含む。更に、フレーム制御フィールドは、メッセージボディ418が暗号化されていることを通知することができる保護フレームサブフィールドを含む。
期間フィールド404は、フレームのビット長に比例する期間値を含む。メッシュ管理フレームに関する期間値の計算は、フレーム交換シーケンスの制御フレームが送信されるデータレートを決定するルールに基づいて行なわれる。
メッシュ管理フレーム400は、受信側アドレスフィールド406と、送信側アドレスフィールド408と、宛先アドレスフィールド410と、そして送信元アドレスフィールド414と、を含む4つのアドレスフィールドを含む。受信側アドレスフィールド406は、すぐ隣の所望のフレーム受信側となるノード(または「メッシュポイント」)のユニキャストアドレスである、またはすぐ隣の所望の複数のフレーム受信側となるノード群(または「メッシュポイント群」)のマルチキャストアドレスまたはブロードキャストアドレスである。送信側アドレスフィールド408は、フレームを送信しているノード(または「メッシュポイント」)のアドレスである。宛先アドレスフィールド410は、フレームボディフィールドに含まれるメッシュアクションデータユニットの宛先である。送信元アドレスフィールド414は、フレームボディフィールドに含まれるメッシュアクションデータユニットを発信したノード(または「メッシュポイント」)のアドレスである。ノード(または「メッシュポイント」)は、RA(受信側アドレス)フィールド406のコンテンツを使用して、受信決定のためのアドレス照合を行なう。RAフィールド406がグループアドレスを含む場合、SA(送信元アドレス)414も有効であることを確認することにより、ブロードキャストまたはマルチキャストが、受信側ノード(または「メッシュポイント」)がリンクを確立した相手のノード(または「メッシュポイント」)から発信されたされたことを確認する。ノード(または「メッシュポイント」)はTA(送信側アドレス)フィールド408のコンテンツを使用して、アクノリッジメントが必要である場合にアクノリッジメントを送信する。
シーケンス制御フィールド412の値は、送信側メッシュポイントによって設定されて、受信側メッシュポイントが、受信フレーム群をこれらのフレームが送信された順番に並べることにより受信フレーム群を正しく処理し、そして複製された受信フレーム群を削除することができるようにする。
メッシュ転送制御フィールド416は、エンドツーエンドシーケンス番号数値、及び生存時間値を含む。エンドツーエンドシーケンス番号値によって宛先ノードは、送信元ノードから受信するメッシュアクションデータユニットを正しく並べることができる。生存時間フィールドによって、メッシュネットワークにおける所定のルーティングエラーが起こる可能性を小さくする。
ボディフィールド418は、メッシュアクションデータユニット群、及びセキュリティヘッダ、及びセキュリティトレーラ(フレーム制御フィールドに含まれる保護フレームサブフィールドが1に設定される場合に、かつその場合のみに)を含む。メッシュアクションデータユニットはメッシュアクションフィールドを含み、メッシュアクションフィールドについては、図5を参照しながら以下に更に詳細に説明される。メッシュアクションフィールドは、カテゴリーフィールド及びアクション値フィールドを含み、これらのフィールドの後に、各メッシュアクションに関して定義される情報エレメントが続く。
FCSフィールド420は、巡回冗長検査値を含むことにより送信中に発生したフレーム中のエラーを検出する。
図5は、本発明の或る実施形態による汎用EAPカプセル化メッシュアクションメッセージ500のフォーマットを示すデータ構造である。EAPカプセル化メッシュアクションメッセージ500は、カテゴリーフィールド526(例えば、カテゴリー0)と、そしてメッシュアクション詳細と、を含み、メッシュアクション詳細は、アクション値528(例えば、アクション値6)と、そしてEAPカプセル化情報エレメント(EAPIE)530と、を含む。EAPカプセル化メッシュアクションメッセージは、特定タイプのメッシュアクションフレームである。EAPカプセル化情報エレメント530は、EAPメッセージ及び関連するセキュリティ情報の転送を行ない、そして完全性保護を行なうために使用される情報エレメントである。
EAPカプセル化情報エレメント530は、エレメント識別子(ID)フィールド502と、長さフィールド504と、メッセージ完全性チェック(MIC)制御フィールド506と、メッセージ完全性チェック(MIC)フィールド514と、EAPメッセージタイプフィールド516と、メッセージトークンフィールド518と、サプリカントアドレス(SPA)フィールド520と、そしてEAPメッセージフィールド522と、を含む。EAPカプセル化フレーム530に含まれるフィールド群によって、プロトコルの正しい動作に必須の情報をメッシュオーセンティケーターノード130とメッシュキーディストリビュータ140との間で授受し、そしてメッセージ配布のエンドツーエンド完全性を確保することができる。
長さフィールド504は、エレメントIDフィールド502及び長さフィールド504の後に続く情報フィールド506〜522におけるオクテット数を示す。
MIC制御フィールド506は、MICアルゴリズムフィールド508と、予約フィールド510と、そして情報エレメント(IE)カウントフィールド512と、を含む。MIC制御フィールド506のIEカウントフィールド512は、MICによって保護され、かつMIC計算に含まれる情報エレメントの数を示す。ゼロの値はMICが行なわれないことを示す。MICアルゴリズムフィールド508を使用して、利用可能なアルゴリズムを選択してMICの計算を行なう。例えば、MICアルゴリズムフィールド508は、IETF発行のRFC 2104及びIETF発行のRFC 1321に定義されているHMAC−MD5のような特定のMICアルゴリズムに対応する値を含むことができる。
MICフィールド514は、完全性チェックを行なうためのメッセージ完全性チェック値を含む。MICフィールド514はペアワイズキーと、そしてMIC制御フィールド506のMICアルゴリズムフィールド508によって選択されるアルゴリズムと、を使用して計算される。メッセージ完全性チェック(MIC)フィールド514は、このIE(例えば、EAPメッセージ)、及び更に別のヘッダ情報(例えば、宛先アドレス410及び送信元アドレス414)のコンテンツを改ざんから保護する。メッセージ完全性チェック(MIC)フィールド514によって、有効なEAPメッセージをサプリカントノード110にMA130から渡す、または認証サーバ(AS)150にMKD140から渡す動作を確保することができる。
EAPメッセージタイプフィールド516によって、EAPカプセル化メッセージのタイプを特定し、そしてリクエストメッセージと応答メッセージとを区別する。応答メッセージは更に、3つのサブタイプに区別される。特殊メッセージタイプを最終応答メッセージに関して定義して、セキュリティ接続承認メッセージまたはセキュリティ接続拒否メッセージのようなEAP認証の結果についての情報を送信することにより、更に別の情報をMA130に供給する。特殊メッセージタイプは、MKD140において簡単に割り当てられるRADIUSコード[RFC 2865]に対応する。接続「承認」メッセージタイプ、及び接続「拒否」メッセージタイプによって、MA130に通知を行なって、認証を受けているサプリカントノード110に適切なアクションを実行させる。メッセージタイプの完全性が保護される(MICを通して)が、これは、これらのメッセージタイプがMAにおけるアクセス制御動作に影響を与えるからである。
各フレームに含まれるメッセージトークンフィールド518を使用することにより、応答メッセージをリクエストメッセージと照合することができる(例えば、リクエストフレーム及び応答フレームから成るペア群を照合する)。リクエストメッセージ(例えば、リクエストタイプを有するメッセージ)では、メッセージトークンフィールド518はランダムなノンス値を含む。応答メッセージ(例えば、応答メッセージタイプ、セキュリティ接続承認メッセージタイプ、及びセキュリティ接続拒否メッセージタイプを有するメッセージ)では、メッセージトークンフィールド518は、該当するリクエストメッセージのメッセージトークンフィールドの値(例えば、応答メッセージが対応しているリクエストメッセージのメッセージトークンフィールドの値)を含む。メッセージトークンによって、リクエストメッセージを応答メッセージと照合することができるので、メッセージトークンによって、ロックステッププロトコルをEAP(拡張可能認証プロトコル)として使用することができる。
SPAフィールド520は、EAP認証を受けているサプリカントノード110のメディアアクセス制御(MAC)アドレスを含む。EAPメッセージフィールド522はIETF発行のRFC 3748に定義されているフォーマットのEAPパケットを含む。
図6は、本発明の或る実施形態によるメッシュEAPメッセージ転送プロトコル600を示すメッセージフロー図である。メッシュEAPメッセージ転送プロトコル600には、サプリカントノードに対する初期の高効率メッシュセキュリティ接続(EMSA)認証が行なわれている間に、MA130がサプリカントノード110に対するEAP認証をどのように開始し、そして実行するかについて記載されている。メッシュEAPメッセージ転送プロトコル600によって、MA130とMKD140との間でのメッシュネットワークを介するEAPリクエストメッセージ(サプリカントノード110によって発信され、かつAS150に向けて送信される)の転送、及びEAP応答メッセージ(AS150によって発信され、かつサプリカントノード110に向けて送信される)の転送が可能になる。
メッシュEAPメッセージ転送プロトコル600では、メッシュアクションフレームを利用してEAP認証メッセージを複数のメッシュキーホルダーの間で中継することにより、参加サプリカントノード110が中央AS150による認証を受けることができるようにする。
ステップ610では、MA130がEAPカプセル化メッシュアクションメッセージ(例えば、フレーム)をメッシュキーディストリビュータ140に送信して、EAPメッセージをサプリカントノード110から転送する、またはASにリクエストしてEAP認証を開始させることができる(「EAPスタート」)。ステップ610で送信されるEAPカプセル化メッシュアクションメッセージは、カ
テゴリーフィールド(例えば、カテゴリー0)と、そしてメッシュアクション詳細と、を含み、メッシュアクション詳細は、アクション値(例えば、EAPカプセル化メッセージを示すアクション値6)と、そしてEAPカプセル化情報エレメント530と、を含む。MKD140のMACアドレスをメッセージヘッダのDAフィールドにおいて有効にし、そしてMA130のMACアドレスをメッセージヘッダのSAフィールドにおいて有効にする。
MA130によって送信されるEAPカプセル化メッシュアクションメッセージがEAPカプセル化リクエストメッセージである場合、EAPカプセル化情報エレメントは、エレメントをEAPカプセル化IEとして特定するエレメント識別子(ID)フィールドと;長さフィールドと;MICの計算を行なうために利用可能なアルゴリズムを選択するために使用されるMICアルゴリズムフィールドを含むメッセージ完全性チェック(MIC)制御フィールドと;予約フィールド、及び一つのIEがMICによって保護され、かつMIC計算に取り込まれるように指定する情報エレメント(IE)カウントフィールドと;完全性チェックを行なうためのメッセージ完全性チェック値を含み、かつ有効なEAPメッセージがMKD140から認証サーバ(AS)150に確実に渡されるように作用するメッセージ完全性チェック(MIC)フィールドと;メッセージタイプがリクエストであることを指定する(例えば、値1によって)EAPメッセージタイプフィールドと;MAノード130が選択する固有のノンス値を指定するメッセージトークンフィールドと;EAP認証に参加しているサプリカントノード110のMACアドレスを指定するサプリカントアドレス(SPA)フィールドと;そしてIETF RFC 3748に定義されているフォーマットのEAPパケットを含むEAPメッセージフィールドと、を含む。上に述べたように、メッセージ完全性チェック(MIC)フィールド514は、このIE(情報エレメント)のコンテンツ(例えば、EAPメッセージ)、及び追加ヘッダ情報のコンテンツを改ざんから保護する。メッセージ完全性チェック(MIC)フィールドは、完全性チェックを行なうためのメッセージ完全性チェック値を含む。MICフィールドは、ペアワイズキー(例えば、MAノード130とMKD140との間で共有されるセキュリティキー)を使用して、MIC制御フィールドのMICアルゴリズムサブフィールドによって選択されるアルゴリズムによって、次の順番に連結して計算される:
― MAのMACアドレス,
― MKDのMACアドレス,
― MICフィールドが0に設定されるEPAカプセル化IEのコンテンツ。
MA130によって送信されるEAPカプセル化メッシュアクションメッセージがEAP開始通知メッセージである場合、EAPカプセル化情報エレメントは、EAPメッセージフィールドを省略することができることを除いて、同じフィールド群の内の多くのフィールドを含む。
EAPカプセル化リクエストメッセージをMA130から受信すると、MKD140はMICの検証を行ない、そしてメッセージトークンを保存して、EAPカプセル化応答メッセージを作成するために使用する。
ステップ620では、メッシュキーディストリビュータ140はMAノード130からのリクエストに応答し、そしてEAPカプセル化メッシュアクションメッセージをMA130に送信して、EAPメッセージをAS150から転送し、そしてシーケンスの最終応答メッセージに載せて、EAP認証の成功通知を行なう。EAPカプセル化メッシュアクションメッセージ(例えば、EAPカプセル化EMSAメッシュアクションフレーム)は、状況によって変わる少なくとも3つの異なるタイプの内の一つのタイプを有することができる。一つのタイプは「応答」タイプ(例えば、EAPカプセル化メッシュアクション応答メッセージ)である。別のタイプは「拒否」タイプ(例えば、EAPカプセル化メッシュアクション拒否メッセージ)である。別のタイプは「承認」タイプ(例えば、EAPカプセル化メッシュアクション承認メッセージ)である。これらのメッセージでは、MA130のMACアドレスを、メッセージヘッダのDAフィールドにおいて有効にすることができ、そしてMKD140のMACアドレスを、メッセージヘッダのSAフィールドにおいて有効にすることができる。
図6では、ステップ620で送信されるEAPカプセル化メッシュアクションメッセージはカテゴリーフィールド(例えば、カテゴリー0)と、そしてメッシュアクション詳細と、を含み、メッシュアクション詳細は、アクション値(例えば、EAPカプセル化メッセージを示すアクション値6)と、そして図5に示すようなEAPカプセル化情報エレメントと、を含む。
EAPカプセル化情報エレメントは、エレメントをEAPカプセル化IE(情報エレメント)として特定するエレメント識別子(ID)フィールドと;エレメントIDフィールド及び長さフィールドに続く情報フィールドにおけるオクテット数を示す長さフィールドと;MICの計算を行なうために利用可能なアルゴリズムを選択するために使用されるMICアルゴリズムフィールドを含むメッセージ完全性チェック(MIC)制御フィールドと;予約フィールド、及びフレームが、MICによって保護され、かつMIC計算に取り込まれる一つのIE(情報エレメント)を含むことを指定する情報エレメント(IE)カウントフィールドと;完全性チェックを行なうためのメッセージ完全性チェック値を含むことにより、有効なEAPメッセージがMA130からサプリカントノード110に確実に渡されるように作用するメッセージ完全性チェック(MIC)フィールドと;メッセージタイプがタイプ「応答」、「セキュリティ接続承認」、または「セキュリティ接続拒否」であることを指定する(例えば、値2,3,または11によって)EAPメッセージタイプフィールドと;応答メッセージが対応している該当するリクエストメッセージにおけるメッセージトークンフィールドの値を含むメッセージトークンフィールド(MAノード130によって選択され、かつMKD140に送信される固有のノンス値と同じノンス値を指定する)と;EAP認証を受けている、または認証に参加しているサプリカントノード110のMACアドレスを指定するサプリカントアドレス(SPA)フィールド(例えば、SPAフィールドは、このEAPカプセル化応答メッセージが対応しているEAPカプセル化リクエストメッセージに含まれる値に設定することができる)と;そしてIETF RFC 3748に定義されているフォーマットのEAPパケットを含むEAPメッセージフィールドと、を含む。
メッセージ完全性チェック(MIC)フィールドに含まれるメッセージ完全性チェック値は、ペアワイズキー(例えば、MAノード130とMKD140との間で共有されるセキュリティキー)を使用して、MIC制御フィールドのMICアルゴリズムサブフィールドによって選択されるアルゴリズムによって、次の順番に連結して計算される:
― MAのMACアドレス,
― MKD のMACアドレス,
― MICフィールドが0に設定されるEAPカプセル化IEのコンテンツ.
上で記載したように、メッセージタイプフィールドによって、EAPカプセル化メッシュアクションメッセージ(例えば、EAPカプセル化EMSAメッシュアクションフレーム)のメッセージ「タイプ」を指定する。メッセージタイプの完全性が保護される(MICによって)が、これは、これらのメッセージタイプがMA130におけるアクセス制御動作に影響を与えるからである。EAPカプセル化メッシュアクションメッセージは、状況によって変わる少なくとも3つの異なるタイプの内の一つのタイプを有することができる。
一つのタイプは「承認」タイプ(例えば、EAPカプセル化メッシュアクション承認メッセージ)である。例えば、一の実施形態では、EAPカプセル化メッシュアクションメッセージが、シーケンスの最終メッセージであり、かつサプリカントノード110に対するEAP認証によって、「承認」通知が出された場合、EAPメッセージタイプフィールドを2(例えば、0x02)に設定することにより「承認」を通知することができる(例えば、この「承認」通知は、サプリカントノード110が「承認」されたことを示すセキュリティ接続承認メッセージである)。
別のタイプは「拒否」タイプ(例えば、EAPカプセル化メッシュアクション拒否メッセージ)である。例えば、一の実施形態では、EAPカプセル化メッシュアクションメッセージが、シーケンスの最終メッセージであり、かつサプリカントノード110に対するEAP認証によって、「拒否」通知(例えば、サプリカントノード110が「拒否」されたことを示すセキュリティ接続拒否メッセージである)が出された場合、EAPメッセージタイプフィールドを3(例えば、0x03)に設定することにより「拒否」を通知することができる。
更に別のメッセージタイプは「応答」メッセージタイプ(例えば、EAPカプセル化メッシュアクション応答メッセージ)である。例えば、EAPカプセル化メッシュアクションメッセージが、EAPカプセル化メッシュアクション承認メッセージまたはEAPカプセル化メッシュアクション拒否メッセージではない場合、EAPメッセージタイプフィールドを11(例えば、0x0B)に設定することにより、「応答」メッセージタイプであることを通知することができる。
従って、「承認」メッセージタイプ及び「拒否」メッセージタイプをこのように使用することにより、通知をMA130に対して行なって、サプリカントノード110に対する認証手続きを行なう場合に適切なアクションを実行させることができる。
EAPカプセル化メッシュアクションメッセージをMKD140から受信すると、MA130はMICの検証を行なう。上にも記載しているように、各フレームのメッセージトークンフィールドを使用して、応答メッセージをリクエストメッセージと照合することができる(例えば、リクエストフレーム及び応答フレームから成るペア群を照合する)。従って、EAPカプセル化メッシュアクションメッセージをMKD140から受信すると、MA130は更に、応答メッセージに含めて受信されるメッセージトークンが、直近のリクエストメッセージに載せて送信された値と一致することを検証する。受信した最終応答メッセージがEAPメッセージタイプ「拒否」を有する場合、MA130はサプリカントノード110との接続を終了させることができる。
MA130で、かつメッシュキーディストリビュータ(MKD)140で、EAPカプセル化プロトコル600を使っている間に行なわれる処理について、図7及び8をそれぞれ参照しながら以下に更に詳細に説明する。
図7は、本発明の或る実施形態によるマルチホップネットワーク100におけるメッシュオーセンティケーター(MA)130でのEAPカプセル化の例示的なプロセス700を示すフローチャート700である。
プロセス700はステップ702から始まり、このステップでは、メッシュオーセンティケーター(MA)130は、サプリカントノード110がMA130との接続を行なったが、未だ認証されていないという通知を受信する。ステップ704では、メッシュオーセンティケーター(MA)130は、メッシュオーセンティケーター(MA)130が、第1EAPメッセージの送信を認識するかどうかを判断する。例えば、MA130は、サプリカントノード110のMACアドレスに基づいて、サプリカントノード110が使用するように構成される場合に使用する特定の認証プロトコルを認識し、更にサプリカントノード110に送信される必要がある認証プロトコルの第1メッセージのフォーマットを認識することができる。MA130が、送信される第1メッセージのフォーマットを認識することがない場合、MA130は、EAPカプセル化リクエストメッセージをMKDに送信して、認証プロトコルの第1メッセージをAS150が生成するようにリクエストすることができる。
メッシュオーセンティケーター(MA)ノード130が、第1EAPメッセージの送信を認識することがない場合、プロセス700はステップ706に進み、このステップでは、メッシュオーセンティケーター(MA)ノード130がEAPカプセル化情報エレメントを作成し、このEAPカプセル化情報エレメントは、メッセージタイプがリクエストである(例えば、1または0x01)ことを指定するEAPメッセージタイプフィールドと、MA130が選択する固有のノンス値を指定するメッセージトークンフィールドと、そしてEAP認証に参加しているサプリカントのMACアドレスを指定するサプリカントアドレス(SPA)フィールドと、を含む。ステップ706では、メッシュオーセンティケーター(MA)ノード130は更に、EAPメッセージタイプフィールドを除外し、そしてメッセージ完全性チェック(MIC)フィールドを計算し、そして挿入する。メッセージ完全性チェック(MIC)フィールドによって、このIE(例えば、EAPメッセージ)のコンテンツ、及び追加のヘッダ情報のコンテンツを改ざんから保護する。ステップ706では、メッシュオーセンティケーター(MA)ノード130は更に、メッシュアクションフレームを作成し、EAPカプセル化情報エレメントをメッシュアクションフレームに挿入し、そしてメッシュアクションフレームをMKD140に送信する。次に、プロセス700はステップ714に進む。
メッシュオーセンティケーター(MA)130が第1EAP(拡張可能認証プロトコル)メッセージの送信を認識する場合、プロセス700はステップ708に進み、このステップでは、メッシュオーセンティケーター(MA)130が第1EAPメッセージをEAPOLパケットに載せてサプリカントノード110に送信する。ステップ710では、メッシュオーセンティケーター(MA)130はEAPメッセージを待ち、そしてEAPOLパケットに載せて送られるEAPメッセージをサプリカントノード110から受信する。
ステップ712では、メッシュオーセンティケーター(MA)130はEAPカプセル化情報エレメントを作成し、このEAPカプセル化情報エレメントは、メッセージタイプがリクエスト(例えば、0x01)であることを指定するEAPメッセージタイプフィールドと、MAノード130が選択する固有のノンス値を指定するメッセージトークンフィールドと、そしてEAP認証に参加しているサプリカントノード110のMACアドレスを指定するサプリカントアドレス(SPA)フィールドと、を含む。ステップ712では、メッシュオーセンティケーター(MA)ノード130は更に、サプリカントノード110から取得するEAPメッセージを挿入し、そしてメッセージ完全性チェック(MIC)フィールドを計算し、そして挿入し、メッセージ完全性チェック(MIC)フィールドは、完全性チェック用のメッセージ完全性チェック値を含むことにより、有効なEAPメッセージが確実に認証サーバ(AS)150にMKD140から渡されるようにする。メッセージ完全性チェック(MIC)フィールドによって、このIE(例えば、EAPメッセージ)のコンテンツ、及び追加のヘッダ情報のコンテンツを改ざんから保護する。ステップ712では、メッシュオーセンティケーター(MA)ノード130は更に、メッシュアクションフレームを作成し、EAPカプセル化情報エレメントをメッシュアクションフレームに挿入し、そしてメッシュアクションフレームをMKD140に送信する。次に、プロセス700はステップ714に進む。
ステップ714では、メッシュオーセンティケーター(MA)ノード130はEAPカプセル化メッシュアクションメッセージを待ち、そしてEAPカプセル化メッシュアクションメッセージをMKD140から受信する。
一旦、メッシュオーセンティケーター(MA)ノード130がEAPカプセル化メッシュアクションメッセージをMKD140から受信すると、ステップ716において、メッシュオーセンティケーター(MA)130は、メッセージ完全性チェック(MIC)フィールドのメッセージ完全性チェック値が有効であるかどうかを判断する。上にも記載しているように、各フレームのメッセージトークンフィールドを使用して、EAPカプセル化応答メッセージをEAPカプセル化リクエストメッセージと照合することができる(例えば、リクエストフレーム及び応答フレームから成るペア群を照合する)。ステップ716では、メッシュオーセンティケーター(MA)130は更に、EAPカプセル化応答メッセージに含めて受信されるサプリカントアドレス(SPA)フィールドの中に指定したサプリカントノードのMACアドレス、及びメッセージトークンフィールドが、直近のEAPカプセル化リクエストメッセージの中に指定したMACアドレス及びトークンフィールドと一致するかどうかを判断する。
ステップ716における複数の条件の内の一つの条件が満たされない場合、プロセス700はステップ718に進み、このステップでは、プロセス700はステップ714に戻り、このステップでは、メッシュオーセンティケーター(MA)ノード130は別の、または新規のEAPカプセル化応答メッセージを待ち、そして当該メッセージをMKD140から受信する。これとは異なり、ステップ716における複数の条件の各条件が満たされる場合、プロセス700はステップ720に進み、このステップでは、メッシュオーセンティケーター(MA)130は、EAPメッセージをEAPOLパケットに載せてサプリカントノード110に送信する。
サプリカントノード110に対するEAP認証がAS150によって承認された場合、最終EAPカプセル化応答メッセージは、2(例えば、0x02)に等しいEAPメッセージタイプを有する。従って、ステップ722では、メッシュオーセンティケーター(MA)130は、最終EAPカプセル化応答メッセージがEAPメッセージタイプ2を含むかどうかを判断することにより、サプリカントノード110が承認されるかどうかを判断する。最終EAPカプセル化応答メッセージがEAPメッセージタイプ2を含む場合、ステップ724において、メッシュオーセンティケーター(MA)130は、「承認」処理を行ない、そしてプロセスはステップ726で終了する。
サプリカントノード110に対するEAP認証が失敗した場合、MKD140は、タイプ「拒否」付きの最終EAPカプセル化応答メッセージをMA130に送信する。従って、ステップ728では、メッシュオーセンティケーター(MA)130は、最終EAPカプセル化応答メッセージが、3(例えば、0x03)に等しいEAPメッセージタイプを有するかどうかを判断して、サプリカントノード110が拒否されるかどうかを判断する。タイプ「拒否」付きの最終EAPカプセル化応答メッセージを受信すると、MA130は、サプリカントノード110との接続を終了させる。ステップ730では、メッシュオーセンティケーター(MA)130は、「拒否」処理を行ない、そしてプロセス700はステップ726で終了する。
ステップ732では、プロセス700はステップ710に進み、このステップでは、メッシュオーセンティケーター(MA)130は、EAPOLパケットに載せて送られるEAPメッセージを待ち、そしてEAPメッセージをサプリカントノード110から受信する。この状況では、最終EAPカプセル化応答メッセージが、メッセージタイプ「承認」または「拒否」を含む最終EAPカプセル化応答メッセージではないと判断されているので、MKD140からの別のEAPカプセル化メッシュアクションメッセージを考慮に入れる必要がある。
図8は、本発明の或る実施形態によるマルチホップネットワーク100におけるメッシュキーディストリビュータ(MKD)140でのEAPカプセル化の例示的なプロセスを示すフローチャート800である。
プロセス800はステップ802から始まり、このステップでは、メッシュキーディストリビュータ(MKD)140は、図6を参照しながら説明したメッセージのようなEAPカプセル化リクエストメッセージを受信する。
ステップ804では、メッシュキーディストリビュータ(MKD)140は、EAPカプセル化メッシュアクションメッセージに含まれるMIC値が、受信メッセージの完全性を確保するために有効であるかどうかを判断する。EAPカプセル化メッシュアクションメッセージに含まれるMIC値が無効である場合、プロセスはステップ830で終了する。
EAPカプセル化リクエストメッセージに含まれるMIC値が有効である場合、ステップ806において、メッシュキーディストリビュータ(MKD)140は、EAPカプセル化リクエストメッセージに含まれるメッセージトークン及びサプリカントアドレス(SPA)を保存する。メッセージトークンフィールドは、MA130が選択する固有のノンス値を含む。SPAフィールドによって、EAP認証を受けている、またはEAP認証に参加しているサプリカントノード110のMACアドレスを指定する。
ステップ808では、メッシュキーディストリビュータ(MKD)140は、EAPメッセージが、EAPカプセル化リクエストメッセージに載せたEAPカプセル化IE(情報エレメント)に含まれるかどうかを判断する。IEがEAPメッセージを含まない場合、ステップ810において、メッシュキーディストリビュータ(MKD)140は、EAP開始通知をAAAクライアントに送信する。次に、プロセスはステップ814に進む。
EAPカプセル化リクエストメッセージに載せたEAPカプセル化IEがEAPメッセージを含む場合、ステップ812において、メッシュキーディストリビュータ(MKD)140は、EAPメッセージを、MKD140で実行されるAAAクライアントプロセスに送信してAS150に配布する。
ステップ814では、メッシュキーディストリビュータ(MKD)140は、AS150によって生成されるEAPメッセージを、MKD140で実行されるAAAクライアントプロセスから受信する。
ステップ816では、MKD140はEAPカプセル化情報エレメントを作成し、EAPカプセル化情報エレメントは、ステップ806で保存されるEAPカプセル化リクエストメッセージに含まれるメッセージトークン及びSPA(サプリカントアドレス)を含み、かつステップ814で受信されるAAAクライアントからのEAPメッセージを含む。
上に記載したように、AAAクライアントからのEAPメッセージはメッセージタイプフィールドを含むことになり、メッセージタイプフィールドは、EAPカプセル化応答メッセージのEAPメッセージタイプを指定する少なくとも3つの異なるタイプの内の一つのタイプを有することができる。
ステップ818では、メッシュキーディストリビュータ(MKD)140は、AAAクライアントがサプリカントノード110によるリクエストに対する「承認」を通知したかどうかを判断する。
AAAクライアントが承認を通知した場合、ステップ820において、メッシュキーディストリビュータ(MKD)140は、EAPカプセル化IEのEAPメッセージタイプフィールドを設定して、サプリカントノード110に対して「承認」を通知するようにする。例えば、一の実施形態では、EAPメッセージがシーケンスの最終メッセージであり、かつサプリカントノード110に対するEAP認証手続きを行なった結果として、「承認」通知が出された場合、EAPメッセージタイプフィールドを2(例えば、0x02)に設定することにより、「承認」を通知する(例えば、サプリカントノード110に対する「承認」を通知する)ことができる。次に、プロセス800はステップ828に進む。
AAAクライアントがステップ818で承認を通知しなかった場合、ステップ822において、メッシュキーディストリビュータ(MKD)140は、AAAクライアントがサプリカントノード110によるリクエストに対する「拒否」を通知したかどうかを判断する。
AAAクライアントがサプリカントノード110に対する認証の「拒否」を通知した場合、ステップ824において、メッシュキーディストリビュータ(MKD)140は、EAPカプセル化IEのEAPメッセージタイプフィールドを設定して、サプリカントノード110に対する「拒否」を通知するようにする。例えば、一の実施形態では、EAPメッセージがシーケンスの最終メッセージであり、かつサプリカントノード110に対するEAP認証手続きを行なった結果として、「拒否」通知が出された場合、EAPメッセージタイプフィールドを3(例えば、0x03)に設定することにより、「拒否」を通知する(例えば、サプリカントノード110に対する「拒否」を通知する)ことができる。
AAAクライアントが、サプリカントノード110によるリクエストに対する「拒否」を通知しなかった場合、ステップ826において、メッシュキーディストリビュータ(MKD)140は、EAPカプセル化IEのEAPメッセージタイプフィールドを「応答」メッセージタイプに設定する。例えば、一の実施形態では、EAPカプセル化応答メッセージが、「承認」または「拒否」を通知する最終EAPカプセル化応答メッセージではない場合、EAPカプセル化IEのEAPメッセージタイプフィールドを11(例えば、0x0B)に設定して、「応答」メッセージタイプを通知することができる。次に、プロセス800はステップ828に進む。
ステップ828では、メッシュキーディストリビュータ(MKD)140はMICの計算を行ない、MICをEAPカプセル化IEに挿入し、EAPカプセル化IEを含むメッシュアクションフレームを作成し、そしてメッシュアクションフレームをMA130に送信する。メッセージ完全性チェック(MIC)フィールドに含まれるメッセージ完全性チェック値は、ペアワイズキーを使用して、MIC制御フィールドのMICアルゴリズムサブフィールドによって選択されるアルゴリズムによって、MAのMACアドレス,MKDのMACアドレス,及び MICフィールドが0に設定されるEAPカプセル化IEのコンテンツの順番に連結して計算される。ステップ830では、プロセス800が終了する。
本明細書ではこれまで、本発明の特定の実施形態について説明してきた。しかしながら、この技術分野の当業者であれば、種々の変形及び変更を、以下の請求項に示す本発明の範囲から逸脱しない限り加え得ることが理解できるであろう。
従って、本明細書及び図は制限的な意味ではなく例示として捉えられるべきであり、そして全てのこのような変形は本発明の範囲に包含されるべきものである。効果、利点、問題解決法、及びいずれかの効果、利点、または問題解決法をもたらし、またはさらに顕著にし得る全ての要素(群)が、いずれかの請求項または全ての請求項の必須の、必要な、または基本的な特徴または要素であると解釈されるべきではない。本発明は、本出願の係属中に為される全ての補正を含む添付の請求項、及び発行された請求項の全ての等価物によってのみ規定される。

Claims (13)

  1. セキュリティ接続を無線通信ネットワークにおいて確立する方法であって、
    一つ以上のメッシュオーセンティケーターを認証サーバで認証するステップであって、前記認証サーバの認証・許可・課金(AAA)クライアントとしてメッシュキーディストリビュータを使用し、各メッシュオーセンティケーター用のマスターキーを作成し、前記マスターキーをメッシュキーディストリビュータに配布することを含む、前記認証するステップと、
    セキュア通信チャネルを一つ以上のレイヤ2プロトコルを使用して前記メッシュキーディストリビュータと一つ以上のメッシュオーセンティケーターとの間で維持するステップであって、 メッシュキーディストリビュータとメッシュオーセンティケーターとの間で通信を行なうための少なくとも一つの生成メッシュオーセンティケーターキーと、
    メッシュキーディストリビュータからメッシュオーセンティケーターにキー配布して新規のサプリカントセキュリティ接続を確立するための少なくとも一つの生成メッシュオーセンティケーターキーと、
    を各メッシュオーセンティケーター用の前記マスターキーから生成する、前記維持するステップと、
    サプリカントノードのセキュリティ接続を確立するステップであって、
    拡張認証プロトコル(EAP)リクエストメッセージを前記サプリカントノードから前記メッシュオーセンティケーター群の内の一つのメッシュオーセンティケーターに通信し、
    前記EAPリクエストメッセージを前記サプリカントノードから前記認証サーバに、前記EAPリクエストメッセージをEAPカプセル化リクエストメッセージに載せて前記メッシュオーセンティケーターから前記メッシュキーディストリビュータに、前記セキュア通信チャネルで前記通信用生成キーを使用して渡し、前記メッシュキーディストリビュータから前記認証サーバに渡すことにより通信し、
    EAP応答メッセージを前記認証サーバから前記メッシュキーディストリビュータに通信し、
    前記EAP応答メッセージ及びメッセージタイプを含むEAPカプセル化応答メッセージをメッシュキーディストリビュータからメッシュオーセンティケーターに通信し、
    前記EAP応答メッセージを前記メッシュオーセンティケーターから前記サプリカントノードに通信し、
    前記メッセージタイプが承認メッセージタイプである場合に、配布されたロック解除キーを使用して前記サプリカントノードの前記セキュリティ接続を確立する、
    ことを含む、前記サプリカントノードのセキュリティ接続を確立するステップと
    を備える、方法。
  2. 前記EAP応答メッセージを前記認証サーバから前記メッシュキーディストリビュータに通信する前に、前記認証サーバにおいて前記サプリカントノードを認証するステップ
    を更に備える、請求項1に記載の方法。
  3. 前記メッセージタイプは:
    前記サプリカントノードの前記認証が成功し、前記認証サーバが承認通知を前記メッシュキーディストリビュータに対して行なって、前記サプリカントノードが承認されることを通知した場合、承認メッセージタイプを含む、請求項2記載の方法。
  4. 前記メッセージタイプは:
    前記サプリカントノードの前記認証が失敗し、前記認証サーバが拒否通知を前記メッシュキーディストリビュータに対して行なって、前記サプリカントノードが拒否されることを通知した場合、拒否メッセージタイプを含む、請求項2に記載の方法。
  5. 前記メッシュオーセンティケーターが、前記拒否メッセージタイプを含む前記EAPカプセル化応答メッセージを受信する場合に、前記メッシュオーセンティケーターにおける前記サプリカントノードとの接続を終了させるステップ
    を更に備える、請求項4に記載の方法。
  6. 前記EAPカプセル化リクエストメッセージは:
    カテゴリーフィールドと、
    アクション値フィールドと、
    EAPカプセル化情報エレメントと
    を含む、請求項1に記載の方法。
  7. 前記EAPカプセル化情報エレメントは、
    完全性チェック用のメッセージ完全性チェック値を含み、有効EAPメッセージが確実にメ前記ッシュキーディストリビュータから前記認証サーバに渡されるように作用するメッセージ完全性チェック(MIC)フィールドと、
    前記メッセージタイプがリクエストであることを指定するEAPメッセージタイプフィールドと、
    前記メッシュオーセンティケーターによって選択される固有のノンス値を指定するメッセージトークンフィールドと、 前記EAPリクエストメッセージを含むEAPメッセージフィールドと、
    を含む、請求項6に記載の方法。
  8. 前記EAPカプセル化情報エレメントは、
    前記MICの計算を行なうアルゴリズムを選択するために使用されるMICアルゴリズムフィールドと、予約フィールドと、一つのIEが前記MICによって保護され、前記MIC計算に含まれるように指定する情報エレメント(IE)カウントフィールドとを含むメッセージ完全性チェック(MIC)制御フィールドと、
    前記サプリカントノードのメディアアクセス制御(MAC)アドレスを指定するアドレスフィールドと、
    を更に含む、請求項7に記載の方法。
  9. 前記EAPカプセル化リクエストメッセージを前記メッシュキーディストリビュータで受信するステップと、
    前記MIC値を検証するステップと、
    前記メッセージトークンフィールドの中に指定される前記固有のノンス値を保存して前記EAPカプセル化応答メッセージを作成するために使用するステップと
    を更に含む、請求項7に記載の方法。
  10. 前記EAPカプセル化応答メッセージは、
    カテゴリーフィールドと、
    アクション値と、
    EAPカプセル化情報エレメントと、
    を含む、請求項1に記載の方法。
  11. 前記EAPカプセル化情報エレメントは、
    完全性チェック用のメッセージ完全性チェック値を含んで、有効EAP応答メッセージが前記メッシュオーセンティケーターから前記サプリカントノードに渡される動作を実現するメッセージ完全性チェック(MIC)フィールドと、
    前記メッセージタイプを指定するEAPメッセージタイプフィールドと、
    メッセージトークンフィールドであって、前記メッセージトークンフィールドの値を、前記EAPカプセル化応答メッセージが対応している前記対応するEAPカプセル化リクエストメッセージに含み、前記メッシュオーセンティケーターによって選択される前記固有のノンス値と同一である値を指定する、メッセージトークンフィールドと、
    前記EAP応答メッセージを含むEAPメッセージフィールドと
    を含む、請求項10に記載の方法。
  12. 前記EAPカプセル化情報エレメントは、
    前記MICの計算を行なうアルゴリズムを選択するために使用されるMICアルゴリズムフィールドと、予約フィールドと、前記フレームが前記MICによって保護され、かつ前記MIC計算に含まれる一つのIEを含むように指定する情報エレメント(IE)カウントフィールドとを含むメッセージ完全性チェック(MIC)制御フィールドと、
    前記サプリカントノードのメディアアクセス制御(MAC)アドレスを指定するアドレスフィールドと
    を含む、請求項11記載の方法。
  13. 前記EAPカプセル化応答メッセージを前記メッシュキーディストリビュータから前記メッシュオーセンティケーターで受信した直後に、
    前記メッセージ完全性チェック値を前記メッシュオーセンティケーターで検証するステップと、
    前記メッセージトークンフィールドを使用して、前記EAPカプセル化応答メッセージに含めて受信される前記メッセージトークンが、前記対応するEAPカプセル化リクエストメッセージに含めて送信される前記メッセージトークンと一致することを検証するステップと
    を更に含む、請求項11記載の方法。
JP2009527476A 2006-09-07 2007-08-08 メッシュネットワーク経由のセキュリティ接続メッセージのトンネル転送 Withdrawn JP2010503328A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/470,973 US7707415B2 (en) 2006-09-07 2006-09-07 Tunneling security association messages through a mesh network
PCT/US2007/075439 WO2008030679A2 (en) 2006-09-07 2007-08-08 Tunneling security association messages through a mesh network

Publications (1)

Publication Number Publication Date
JP2010503328A true JP2010503328A (ja) 2010-01-28

Family

ID=39157927

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009527476A Withdrawn JP2010503328A (ja) 2006-09-07 2007-08-08 メッシュネットワーク経由のセキュリティ接続メッセージのトンネル転送

Country Status (11)

Country Link
US (1) US7707415B2 (ja)
EP (1) EP2060047A2 (ja)
JP (1) JP2010503328A (ja)
KR (1) KR20090067156A (ja)
CN (1) CN101512958A (ja)
AU (1) AU2007292528A1 (ja)
BR (1) BRPI0716186A2 (ja)
CA (1) CA2663176A1 (ja)
MX (1) MX2009002506A (ja)
RU (1) RU2009112627A (ja)
WO (1) WO2008030679A2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011504684A (ja) * 2007-11-13 2011-02-10 ローズマウント インコーポレイテッド 無線デバイスへの安全な自動鍵ロードを用いる無線メッシュネットワーク
WO2013058172A1 (ja) * 2011-10-21 2013-04-25 ソニー株式会社 受信装置及び方法、プログラム、並びに情報処理システム
JP2014529242A (ja) * 2011-08-23 2014-10-30 クゥアルコム・インコーポレイテッドQualcomm Incorporated ヘッダを圧縮するためのシステムおよび方法
US9515925B2 (en) 2011-05-19 2016-12-06 Qualcomm Incorporated Apparatus and methods for media access control header compression

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101009330B1 (ko) * 2006-01-24 2011-01-18 후아웨이 테크놀러지 컴퍼니 리미티드 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터
US8023478B2 (en) * 2006-03-06 2011-09-20 Cisco Technology, Inc. System and method for securing mesh access points in a wireless mesh network, including rapid roaming
US7734052B2 (en) * 2006-09-07 2010-06-08 Motorola, Inc. Method and system for secure processing of authentication key material in an ad hoc wireless network
US7707415B2 (en) 2006-09-07 2010-04-27 Motorola, Inc. Tunneling security association messages through a mesh network
US8578159B2 (en) * 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network
EP1936878A1 (en) * 2006-12-22 2008-06-25 IBBT vzw Method for channel assignment in multi-radio wireless mesh networks and corresponding network node
US8005224B2 (en) * 2007-03-14 2011-08-23 Futurewei Technologies, Inc. Token-based dynamic key distribution method for roaming environments
US20080244262A1 (en) * 2007-03-30 2008-10-02 Intel Corporation Enhanced supplicant framework for wireless communications
US8334787B2 (en) 2007-10-25 2012-12-18 Trilliant Networks, Inc. Gas meter having ultra-sensitive magnetic material retrofitted onto meter dial and method for performing meter retrofit
CA2716727A1 (en) * 2007-11-25 2009-05-28 Trilliant Networks, Inc. Application layer authorization token and method
US8138934B2 (en) 2007-11-25 2012-03-20 Trilliant Networks, Inc. System and method for false alert filtering of event messages within a network
CA2705074A1 (en) 2007-11-25 2009-05-28 Trilliant Networks, Inc. Energy use control system and method
US8144596B2 (en) 2007-11-25 2012-03-27 Trilliant Networks, Inc. Communication and message route optimization and messaging in a mesh network
CA2705091A1 (en) 2007-11-25 2009-05-28 Trilliant Networks, Inc. System and method for power outage and restoration notification in an advanced metering infrasturcture network
US20090136043A1 (en) * 2007-11-26 2009-05-28 Motorola, Inc. Method and apparatus for performing key management and key distribution in wireless networks
US20100023752A1 (en) * 2007-12-27 2010-01-28 Motorola, Inc. Method and device for transmitting groupcast data in a wireless mesh communication network
US8756675B2 (en) * 2008-08-06 2014-06-17 Silver Spring Networks, Inc. Systems and methods for security in a wireless utility network
CA2734953A1 (en) 2008-09-04 2010-03-11 Trilliant Networks, Inc. A system and method for implementing mesh network communications using a mesh network protocol
US8289182B2 (en) 2008-11-21 2012-10-16 Trilliant Networks, Inc. Methods and systems for virtual energy management display
US8966265B2 (en) * 2009-01-30 2015-02-24 Texas Instruments Incorporated Pairwise temporal key creation for secure networks
US8319658B2 (en) 2009-03-11 2012-11-27 Trilliant Networks, Inc. Process, device and system for mapping transformers to meters and locating non-technical line losses
KR101674947B1 (ko) * 2009-04-21 2016-11-10 엘지전자 주식회사 효율적인 보안 관련 처리
KR101683286B1 (ko) * 2009-11-25 2016-12-06 삼성전자주식회사 이동통신망을 이용한 싱크 인증 시스템 및 방법
DE102010018286A1 (de) * 2010-04-26 2011-10-27 Siemens Enterprise Communications Gmbh & Co. Kg Schlüsselverteilerknoten für ein Netzwerk
US9084120B2 (en) 2010-08-27 2015-07-14 Trilliant Networks Inc. System and method for interference free operation of co-located transceivers
CA2813534A1 (en) 2010-09-13 2012-03-22 Trilliant Networks, Inc. Process for detecting energy theft
US8555067B2 (en) * 2010-10-28 2013-10-08 Apple Inc. Methods and apparatus for delivering electronic identification components over a wireless network
US8725196B2 (en) * 2010-11-05 2014-05-13 Qualcomm Incorporated Beacon and management information elements with integrity protection
EP2641137A2 (en) 2010-11-15 2013-09-25 Trilliant Holdings, Inc. System and method for securely communicating across multiple networks using a single radio
US9282383B2 (en) 2011-01-14 2016-03-08 Trilliant Incorporated Process, device and system for volt/VAR optimization
US8970394B2 (en) 2011-01-25 2015-03-03 Trilliant Holdings Inc. Aggregated real-time power outages/restoration reporting (RTPOR) in a secure mesh network
EP3285458B1 (en) 2011-02-10 2022-10-26 Trilliant Holdings, Inc. Device and method for facilitating secure communications over a cellular network
WO2012122310A1 (en) 2011-03-08 2012-09-13 Trilliant Networks, Inc. System and method for managing load distribution across a power grid
US9001787B1 (en) 2011-09-20 2015-04-07 Trilliant Networks Inc. System and method for implementing handover of a hybrid communications module
US9215075B1 (en) 2013-03-15 2015-12-15 Poltorak Technologies Llc System and method for secure relayed communications from an implantable medical device
WO2014179722A1 (en) * 2013-05-02 2014-11-06 Interdigital Patent Holdings, Inc. Method for selecting an entity based on a total link quality
CN104426660A (zh) * 2013-09-04 2015-03-18 中兴通讯股份有限公司 一种Portal认证方法、BNG、Portal服务器和系统
CN105611533B (zh) * 2014-11-06 2020-01-07 中兴通讯股份有限公司 完整性校验码mic检查方法及装置
US20160212632A1 (en) * 2015-01-16 2016-07-21 Qualcomm Incorporated Efficient physical cell identifier collision and confusion avoidance using lte-direct
US9608963B2 (en) 2015-04-24 2017-03-28 Cisco Technology, Inc. Scalable intermediate network device leveraging SSL session ticket extension
JP6661288B2 (ja) * 2015-07-07 2020-03-11 キヤノン株式会社 シート給送装置、及び画像形成装置
FR3058290B1 (fr) * 2016-10-27 2019-08-02 Thales Equipement avionique avec signature a usage unique d'un message emis, systeme avionique, procede de transmission et programme d'ordinateur associes
CN109660334A (zh) * 2017-10-11 2019-04-19 华为技术有限公司 一种生成密钥的方法和装置
JP6698060B2 (ja) * 2017-11-08 2020-05-27 アライドテレシスホールディングス株式会社 無線通信装置および方法
WO2019165235A1 (en) * 2018-02-23 2019-08-29 Neji, Inc. Secure encrypted network tunnels using osi layer 2 protocol
CN114024708A (zh) * 2021-09-23 2022-02-08 广东电力信息科技有限公司 一种基于入侵检测技术的网络边界防护方法
US12244695B2 (en) * 2022-10-27 2025-03-04 Hewlett Packard Enterprise Development Lp Associating pre-shared keys with client devices based on message integrity check values

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5572528A (en) 1995-03-20 1996-11-05 Novell, Inc. Mobile networking method and apparatus
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
US7016949B1 (en) * 2000-11-20 2006-03-21 Colorado Computer Training Institute Network training system with a remote, shared classroom laboratory
US20020184487A1 (en) 2001-03-23 2002-12-05 Badamo Michael J. System and method for distributing security processing functions for network applications
US20020184055A1 (en) * 2001-05-29 2002-12-05 Morteza Naghavi System and method for healthcare specific operating system
US7043758B2 (en) * 2001-06-15 2006-05-09 Mcafee, Inc. Scanning computer files for specified content
DE60206715T2 (de) 2001-08-07 2006-07-13 Kabushiki Kaisha Toshiba Drahtloses Kommunikationssystem und drahtlose Station
US7039068B1 (en) 2001-09-26 2006-05-02 Cisco Technology, Inc. Packet assembly
US6996714B1 (en) * 2001-12-14 2006-02-07 Cisco Technology, Inc. Wireless authentication protocol
US7016948B1 (en) 2001-12-21 2006-03-21 Mcafee, Inc. Method and apparatus for detailed protocol analysis of frames captured in an IEEE 802.11 (b) wireless LAN
US7418596B1 (en) * 2002-03-26 2008-08-26 Cellco Partnership Secure, efficient, and mutually authenticated cryptographic key distribution
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US8630414B2 (en) * 2002-06-20 2014-01-14 Qualcomm Incorporated Inter-working function for a communication system
AU2003265434A1 (en) * 2002-08-12 2004-02-25 Wireless Security Corporation Fine grained access control for wireless networks
JP3992579B2 (ja) 2002-10-01 2007-10-17 富士通株式会社 鍵交換代理ネットワークシステム
US7448068B2 (en) * 2002-10-21 2008-11-04 Microsoft Corporation Automatic client authentication for a wireless network protected by PEAP, EAP-TLS, or other extensible authentication protocols
US7350077B2 (en) 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
JP3891145B2 (ja) 2003-05-16 2007-03-14 ソニー株式会社 無線通信装置、無線通信方法及びプログラム
US7275157B2 (en) 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
US7171555B1 (en) * 2003-05-29 2007-01-30 Cisco Technology, Inc. Method and apparatus for communicating credential information within a network device authentication conversation
US7693143B2 (en) 2003-08-15 2010-04-06 Accton Technology Corporation Forwarding and routing method for wireless transport service
WO2005045642A2 (en) 2003-11-04 2005-05-19 Nexthop Technologies, Inc. Secure, standards-based communications across a wide-area network
GB2412038B (en) 2004-03-10 2006-04-19 Toshiba Res Europ Ltd Packet format
US7231530B1 (en) 2004-04-06 2007-06-12 Cisco Technology, Inc. System and method for saving power in a wireless network by reducing power to a wireless station for a time interval if a received packet fails an integrity check
US20060002426A1 (en) 2004-07-01 2006-01-05 Telefonaktiebolaget L M Ericsson (Publ) Header compression negotiation in a telecommunications network using the protocol for carrying authentication for network access (PANA)
US7194763B2 (en) * 2004-08-02 2007-03-20 Cisco Technology, Inc. Method and apparatus for determining authentication capabilities
WO2006080623A1 (en) 2004-09-22 2006-08-03 Samsung Electronics Co., Ltd. Method and apparatus for managing communication security in wireless network
US7502331B2 (en) * 2004-11-17 2009-03-10 Cisco Technology, Inc. Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices
US7330696B2 (en) 2004-11-24 2008-02-12 Symbol Technologies, Inc. System and method for multi-mode radio operation
US7724732B2 (en) 2005-03-04 2010-05-25 Cisco Technology, Inc. Secure multipoint internet protocol virtual private networks
US7752441B2 (en) * 2006-02-13 2010-07-06 Alcatel-Lucent Usa Inc. Method of cryptographic synchronization
US8023478B2 (en) * 2006-03-06 2011-09-20 Cisco Technology, Inc. System and method for securing mesh access points in a wireless mesh network, including rapid roaming
JP4804983B2 (ja) * 2006-03-29 2011-11-02 富士通株式会社 無線端末、認証装置、及び、プログラム
US20070265965A1 (en) * 2006-05-15 2007-11-15 Community College Foundation Real-time status and event monitoring system for foster children with various user levels of access
US7508803B2 (en) 2006-09-07 2009-03-24 Motorola, Inc. Transporting management traffic through a multi-hop mesh network
US7707415B2 (en) 2006-09-07 2010-04-27 Motorola, Inc. Tunneling security association messages through a mesh network

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011504684A (ja) * 2007-11-13 2011-02-10 ローズマウント インコーポレイテッド 無線デバイスへの安全な自動鍵ロードを用いる無線メッシュネットワーク
US9515925B2 (en) 2011-05-19 2016-12-06 Qualcomm Incorporated Apparatus and methods for media access control header compression
JP2014529242A (ja) * 2011-08-23 2014-10-30 クゥアルコム・インコーポレイテッドQualcomm Incorporated ヘッダを圧縮するためのシステムおよび方法
US9125181B2 (en) 2011-08-23 2015-09-01 Qualcomm Incorporated Systems and methods for compressing headers
WO2013058172A1 (ja) * 2011-10-21 2013-04-25 ソニー株式会社 受信装置及び方法、プログラム、並びに情報処理システム

Also Published As

Publication number Publication date
RU2009112627A (ru) 2010-10-20
CA2663176A1 (en) 2008-03-13
EP2060047A2 (en) 2009-05-20
BRPI0716186A2 (pt) 2013-11-12
AU2007292528A1 (en) 2008-03-13
KR20090067156A (ko) 2009-06-24
WO2008030679A3 (en) 2008-10-09
CN101512958A (zh) 2009-08-19
US20080063205A1 (en) 2008-03-13
WO2008030679A2 (en) 2008-03-13
MX2009002506A (es) 2009-03-25
WO2008030679B1 (en) 2008-12-04
US7707415B2 (en) 2010-04-27

Similar Documents

Publication Publication Date Title
JP2010503328A (ja) メッシュネットワーク経由のセキュリティ接続メッセージのトンネル転送
US8561200B2 (en) Method and system for controlling access to communication networks, related network and computer program therefor
US7793103B2 (en) Ad-hoc network key management
US7499547B2 (en) Security authentication and key management within an infrastructure based wireless multi-hop network
US7483409B2 (en) Wireless router assisted security handoff (WRASH) in a multi-hop wireless network
KR101033345B1 (ko) 멀티홉 메시 네트워크를 통한 관리 트래픽 운송
US20080065884A1 (en) Method and apparatus for establishing security association between nodes of an ad hoc wireless network
KR100923176B1 (ko) 무선 네트워크에 보안성을 제공하기 위한 시스템 및 방법
BRPI0711079B1 (pt) Métodos para fornecer comunicação segura entre dispositivos ad-hoc e para operação de um dispositivo de comunicação e dispositivo de comunicação de modo dual
TW200922237A (en) Method, system, base station and relay station for establishing security associations in communications systems
WO2009097789A1 (zh) 建立安全关联的方法和通信系统
CN101911637A (zh) 在无线网状通信网络中用于发射组播数据的方法和设备
EP4250641B1 (en) Method, devices and system for performing key management

Legal Events

Date Code Title Description
A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20110126