專利名稱:用于協(xié)商成對主密鑰以使無線網(wǎng)狀網(wǎng)絡(luò)中的對等鏈路安全的設(shè)備和方法
技術(shù)領(lǐng)域:
一般來說�,本發(fā)明的實(shí)施例涉及無線網(wǎng)絡(luò)。具體來說����,本發(fā)明的實(shí)施例涉及用于無 線自組織網(wǎng)絡(luò)中的認(rèn)證協(xié)議的設(shè)備和方法。
背景技術(shù):
近年來�����,向無線技術(shù)的轉(zhuǎn)變導(dǎo)致了無線產(chǎn)品的激增。幾乎所有產(chǎn)品都存在無線 版本��。在過去十年里顯著增長的無線技術(shù)領(lǐng)域是無線聯(lián)網(wǎng)�,更具體來說是無線局域網(wǎng) (“WLAN”)。無線網(wǎng)絡(luò)正變得越來越普及�,它們幾乎可在任何地方獲得。城市里部署了城市 范圍的無線網(wǎng)絡(luò)���,企業(yè)��、家庭���、圖書館、機(jī)場�����、甚至是咖啡店里都可獲得無線連接��。無線網(wǎng)絡(luò) 的好處勿庸置疑�����。它們極其方便����,從而提供了增加的移動性和效率。而且���,無線網(wǎng)絡(luò)易于擴(kuò) 展�����,并且易于部署�����。然而����,盡管無線網(wǎng)絡(luò)具有所有這些好處���,但WLAN仍存在安全性����、范圍和 速度的問題��。IEEE 802. 11協(xié)議是WLAN的指導(dǎo)標(biāo)準(zhǔn)。隨著無線聯(lián)網(wǎng)技術(shù)的發(fā)展�����,IEEE 802. 11標(biāo) 準(zhǔn)經(jīng)歷了多次修正����。每次修正都旨在解決無線網(wǎng)絡(luò)的特定缺點(diǎn)。這些修正通過在“802. 11” 后加一個字母來命名���,它們在原始802. 11標(biāo)準(zhǔn)上引入了各種改進(jìn)�。802. Ilb和802. Ilg標(biāo) 準(zhǔn)是廣泛用于實(shí)現(xiàn)家庭無線網(wǎng)絡(luò)的兩個調(diào)制修正��。802. Ili標(biāo)準(zhǔn)是對802. 11標(biāo)準(zhǔn)的修正����, 它用于實(shí)現(xiàn)無線網(wǎng)絡(luò)的各種安全機(jī)制。802. Ili標(biāo)準(zhǔn)引入了 WiFi保護(hù)接入2 ( “WPA2”)協(xié) 議�,它對有線等效保密(“WEP”)和WiFi保護(hù)接入(“WPA”)協(xié)議進(jìn)行了補(bǔ)充。WPA2在建 立安全鏈路時利用可擴(kuò)展認(rèn)證協(xié)議(“ΕΑΡ”)來提供成對主密鑰(“ΡΜΚ”)�����。當(dāng)前正在開發(fā)的對IEEE 802. 11標(biāo)準(zhǔn)的另一修正是802. Ils標(biāo)準(zhǔn)�����。802. Ils標(biāo)準(zhǔn) 受到特許以通過增加網(wǎng)能力(mesh capability)來提高無線網(wǎng)絡(luò)上的數(shù)據(jù)傳輸?shù)耐掏铝俊?網(wǎng)能力允許在由多個無線跳點(diǎn)組成的路徑上傳送數(shù)據(jù)��。在開發(fā)具有網(wǎng)能力的802. Ils標(biāo)準(zhǔn) 期間的主要焦點(diǎn)是提高流式視頻的性能�。然而,流式視頻限制了分配給將要建立的鏈路的 時間��,從而使得難以利用現(xiàn)有認(rèn)證協(xié)議建立安全鏈路�����。特定來說�����,困難在于在所分配的時間 期間協(xié)商PMK以建立經(jīng)過認(rèn)證的對等鏈路�。
通過下文考慮結(jié)合附圖而給出的對示范性實(shí)施例的詳細(xì)描述,將能更容易地理解 本發(fā)明��,附圖中圖1是根據(jù)本發(fā)明一個實(shí)施例的無線自組織局域網(wǎng)的圖����;圖2是根據(jù)本發(fā)明一個實(shí)施例的網(wǎng)點(diǎn)(mesh point)的示范性框圖;圖3是根據(jù)本發(fā)明一個實(shí)施例在網(wǎng)點(diǎn)之間交換的示范性流程圖數(shù)據(jù)�����;圖4是根據(jù)本發(fā)明一個實(shí)施例協(xié)商成對主密鑰(“PMK”)的示范性流程圖;圖5是根據(jù)本發(fā)明一個實(shí)施例協(xié)商成對主密鑰(“PMK”)的示范性流程圖�����;以及圖6是根據(jù)本發(fā)明一個實(shí)施例最終確定成對主密鑰的協(xié)商的示范性流程圖���。
具體實(shí)施例方式本發(fā)明的一個實(shí)施例涉及一種用于協(xié)商成對主密鑰(“PMK”)的系統(tǒng)���。PMK是允許 對在兩個網(wǎng)絡(luò)裝置之間傳送的數(shù)據(jù)進(jìn)行加密和解密的共享密鑰。PMK具有有限的壽命����,它還 可用于導(dǎo)出成對臨時密鑰(“PTK”)以執(zhí)行對數(shù)據(jù)的實(shí)際加密和解密。PMK可在兩個網(wǎng)絡(luò) 裝置之間的連接的整個持續(xù)時間內(nèi)使用�����,直到連接終止或失去為止��。盡管利用PMK的認(rèn)證 協(xié)議一般在無線網(wǎng)絡(luò)中使用�,但它們也可在有線網(wǎng)絡(luò)的實(shí)現(xiàn)中使用。每個網(wǎng)絡(luò)裝置包括處 理器�����、存儲裝置���、隨機(jī)數(shù)生成器以及能夠接收和傳送數(shù)據(jù)的通信裝置��。此外�����,每個網(wǎng)絡(luò)裝置 配置成在協(xié)商PMK之前選擇默認(rèn)PMK����。所選的默認(rèn)PMK可以是來自可用PMK列表的最高優(yōu) 先級PMK��,其中優(yōu)先級基于每個PMK的到期時間�。也可以使用將PMK列表排序的其它方法, 只要建立連接的兩個網(wǎng)點(diǎn)知道排列的基礎(chǔ)即可��。按照到期時間的順序排列的這種PMK列表 又稱為PMK標(biāo)識符列表��。PMK標(biāo)識符列表是兩個特定網(wǎng)點(diǎn)之間特有的����,并且包括在這兩個特 定網(wǎng)點(diǎn)之間共享并且可用于在這兩個特定網(wǎng)點(diǎn)之間建立連接的PMK的列表��。網(wǎng)絡(luò)裝置通過 在試圖形成連接時在開放消息中添加PMK標(biāo)識符列表來宣傳它可用的PMK���。每個網(wǎng)絡(luò)裝置 還配置成接收來自其它網(wǎng)絡(luò)裝置的PMK標(biāo)識符列表,并基于默認(rèn)PMK和它所接收和傳送的 PMK標(biāo)識符列表利用直譯算法來獨(dú)立地選擇協(xié)商PMK�����,S卩���,將在由這些網(wǎng)絡(luò)裝置建立的連接 的持續(xù)時間期間由這些網(wǎng)絡(luò)裝置使用的PMK���。在選擇了協(xié)商PMK之后,網(wǎng)絡(luò)裝置向正與它建 立鏈路的網(wǎng)絡(luò)裝置發(fā)送出確認(rèn)以完成該協(xié)議��。本發(fā)明的實(shí)施例允許在至少四個消息中協(xié)商 PMK���。這是通過使用有序PMK列表實(shí)現(xiàn)的�����,其中有序PMK列表根據(jù)各個PMK的到期時間排列 可用PMK��,從而允許網(wǎng)絡(luò)裝置在協(xié)商PMK之前選擇最高優(yōu)先級PMK作為在試圖連接時將在其 初始傳輸中使用的默認(rèn)PMK�����,���。術(shù)語“信號交換(handshake) ”是指信息技術(shù)、電信和相關(guān)領(lǐng)域中的信號交換�,其中 信號交換是在兩個實(shí)體之間建立的通信信道上的正常通信開始之前動態(tài)設(shè)置該信道的參 數(shù)的自動化協(xié)商過程。它在信道的物理建立之后���,并且在正常信息傳輸之前�����。信號交換可 用于協(xié)商對于通信信道兩端的設(shè)備和系統(tǒng)都可接受的參數(shù)����,包括但不限于信息傳輸速率���、 編碼字母表�、奇偶性��、中斷過程和其它協(xié)議或硬件特征�。信號交換使得通過通信信道連接相對異類的系統(tǒng)或設(shè)備變成可能�,而無需通過人 工介入來設(shè)置參數(shù)�����。信號交換的一個實(shí)例是調(diào)制解調(diào)器的信號交換���,調(diào)制解調(diào)器通常在第 一次建立連接時在短時期協(xié)商通信參數(shù)��,此后利用那些參數(shù)來按照其質(zhì)量和容量的函數(shù)在 信道上提供最佳信息傳輸���。由一些調(diào)制解調(diào)器制造的在建立連接之后立即有揚(yáng)聲器輸出的 “嘯叫”(這實(shí)際上是音調(diào)每秒變化100次的聲音)噪聲實(shí)際上是參加信號交換過程的兩端 的調(diào)制解調(diào)器的聲音;一旦過程結(jié)束�����,取決于驅(qū)動器���,揚(yáng)聲器便可靜默�。在計算機(jī)即將與裝置通信時發(fā)生的過程為該通信建立規(guī)則����。優(yōu)選地,網(wǎng)絡(luò)裝置配置成以無線方式傳送和接收數(shù)據(jù)。優(yōu)選地����,所述多個網(wǎng)絡(luò)裝置 是無線自組織網(wǎng)絡(luò)中的網(wǎng)點(diǎn)。優(yōu)選地��,開放消息包括與傳送PMK標(biāo)識符列表的網(wǎng)絡(luò)裝置相 關(guān)聯(lián)的網(wǎng)絡(luò)裝置標(biāo)識符�����;與傳送開放消息的網(wǎng)絡(luò)裝置相關(guān)聯(lián)的生成的隨機(jī)數(shù)�;與傳送開放 消息的網(wǎng)絡(luò)裝置相關(guān)聯(lián)的PMK的列表�����;與傳送開放消息的網(wǎng)絡(luò)裝置相關(guān)聯(lián)的默認(rèn)PMK ���;以及 用默認(rèn)PMK構(gòu)造而成的消息認(rèn)證碼��。優(yōu)選地���,PMK的列表基于與列表中的每個PMK相關(guān)聯(lián) 的到期時間排列。優(yōu)選地�����,基于直譯算法選擇協(xié)商PMK。優(yōu)選地�����,確認(rèn)消息包括與傳送確認(rèn)消息的網(wǎng)絡(luò)裝置相關(guān)聯(lián)的網(wǎng)絡(luò)裝置標(biāo)識符��;與接收確認(rèn)消息的網(wǎng)絡(luò)裝置相關(guān)聯(lián)的網(wǎng)絡(luò)裝 置標(biāo)識符��;與傳送確認(rèn)消息的網(wǎng)絡(luò)裝置相關(guān)聯(lián)的隨機(jī)生成數(shù)���;與接收確認(rèn)消息的網(wǎng)絡(luò)裝置 相關(guān)聯(lián)的隨機(jī)生成數(shù);協(xié)商PMK ��;以及用協(xié)商PMK構(gòu)造而成的消息認(rèn)證碼���。優(yōu)選地�����,基于直 譯算法選擇PMK����。本發(fā)明的一個備選實(shí)施例涉及一種用于在建立鏈路的網(wǎng)絡(luò)裝置之間協(xié)商成對主 密鑰(“PMK”)的方法。為了開始該過程��,在網(wǎng)絡(luò)裝置處創(chuàng)建用于建立鏈路的新示例���。然 后����,從網(wǎng)絡(luò)裝置可用的PMK中選擇默認(rèn)PMK��,并且網(wǎng)絡(luò)裝置利用所選的默認(rèn)PMK來構(gòu)造PMK 標(biāo)識符列表以向其它網(wǎng)絡(luò)裝置宣傳可用PMK�����。PMK標(biāo)識符列表包括網(wǎng)絡(luò)裝置可用的PMK�,這 些PMK按照優(yōu)先級順序排列�����,并且該網(wǎng)絡(luò)裝置與正在嘗試與它建立連接的特定網(wǎng)點(diǎn)共享這 些PMK ��;并且默認(rèn)PMK優(yōu)選是具有最高優(yōu)先級的PMK��。然后��,網(wǎng)絡(luò)裝置將PMK標(biāo)識符列表傳送 給其它網(wǎng)絡(luò)裝置,并接收由第二網(wǎng)絡(luò)裝置傳送的PMK標(biāo)識符列表����。一旦接收到PMK標(biāo)識符列 表����,網(wǎng)絡(luò)裝置便基于所接收的PMK標(biāo)識符列表利用直譯算法選擇協(xié)商PMK,撰寫(compose) 是否協(xié)商了 PMK的確認(rèn)消息并將該確認(rèn)消息傳送給第二網(wǎng)絡(luò)裝置�����。如果未成功選擇PMK���,則 不構(gòu)造或撰寫任何確認(rèn)消息�,并且丟棄鏈路示例。優(yōu)選地���,該方法包括以下步驟確定與第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第二默認(rèn)PMK �;構(gòu)造 與第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第二 PMK標(biāo)識符列表��;將第二 PMK標(biāo)識符列表傳送給第一網(wǎng)絡(luò)裝 置;接收由第一網(wǎng)絡(luò)裝置傳送的第一 PMK標(biāo)識符列表��;基于所接收的第一 PMK標(biāo)識符列表 獨(dú)立選擇第二 PMK ��;基于所選擇的第二 PMK撰寫第二確認(rèn)消息���;以及將第二確認(rèn)消息傳送給 第一網(wǎng)絡(luò)裝置���。優(yōu)選地,以無線方式執(zhí)行傳送步驟���。優(yōu)選地,第一網(wǎng)絡(luò)裝置和第二網(wǎng)絡(luò)裝置 是無線自組織網(wǎng)絡(luò)的網(wǎng)點(diǎn)��。本發(fā)明的另一實(shí)施例涉及一種用于在兩個網(wǎng)絡(luò)裝置之間協(xié)商成對主密鑰的方法�。 在該實(shí)施例中�����,兩個網(wǎng)絡(luò)裝置都創(chuàng)建用于建立鏈路的新示例�,并從每個網(wǎng)絡(luò)裝置可用的PMK 中選擇默認(rèn)PMK。網(wǎng)絡(luò)裝置利用這些PMK和它可用的PMK來撰寫PMK標(biāo)識符列表消息��,并 將PMK標(biāo)識符列表消息傳送給彼此。在兩個網(wǎng)絡(luò)裝置都接收到PMK標(biāo)識符列表之后���,每個 網(wǎng)絡(luò)裝置選擇PMK�����。在選擇了 PMK之后����,每個網(wǎng)絡(luò)裝置撰寫確認(rèn)消息并將確認(rèn)消息傳送給另 一方���。如果未成功選擇PMK�����,則不構(gòu)造或撰寫確認(rèn)消息����,并丟棄鏈路示例��。圖1是根據(jù)本發(fā)明一個實(shí)施例的無線自組織網(wǎng)絡(luò)的示范性圖����。盡管圖1中描繪的 無線網(wǎng)絡(luò)100示為具有五個網(wǎng)點(diǎn)�,即�,網(wǎng)點(diǎn)110、120���、130���、140和150,但無線網(wǎng)絡(luò)100可具有 任何數(shù)量的無線網(wǎng)點(diǎn)���。此外���,網(wǎng)點(diǎn)110、120���、130�����、140和150可以是任何類型的無線節(jié)點(diǎn)或網(wǎng) 絡(luò)器具,如膝上型計算機(jī)�、個人計算機(jī)、無線接入點(diǎn)等��。圖1中的圖描繪了一般無線網(wǎng)絡(luò),并 且由于無線網(wǎng)狀網(wǎng)絡(luò)的設(shè)計將隨網(wǎng)絡(luò)的應(yīng)用和實(shí)現(xiàn)變化很大���,所以圖1不包括可在無線網(wǎng) 狀網(wǎng)絡(luò)的其它實(shí)現(xiàn)中存在的無線網(wǎng)狀網(wǎng)絡(luò)的特征���。此外,盡管可通過本發(fā)明的示范性實(shí)施 例描述本發(fā)明���,但本發(fā)明的特征可在幾乎所有無線網(wǎng)狀網(wǎng)絡(luò)中實(shí)現(xiàn)���,并且在IEEE 802. Ils 標(biāo)準(zhǔn)的草案中接受本發(fā)明的實(shí)施例。圖2是可在本發(fā)明的實(shí)施例中使用的網(wǎng)點(diǎn)200的代表性框圖��。圖2中的網(wǎng)點(diǎn)200 的框圖可以代表如圖1所示的任一網(wǎng)點(diǎn)110�、120、130���、140或150�。網(wǎng)點(diǎn)200可以是幾乎任 何類型的無線網(wǎng)絡(luò)器具�,包括膝上型計算機(jī)、個人計算機(jī)(“PC”)�、個人數(shù)據(jù)助理(“PDA”)、 無線接入點(diǎn)等。圖2示出網(wǎng)點(diǎn)200可包括的各種基本組件���。網(wǎng)點(diǎn)200可包括經(jīng)過認(rèn)證的身 份210�����。經(jīng)過認(rèn)證的身份210可以是網(wǎng)點(diǎn)200的媒體接入控制(“MAC”)地址或網(wǎng)點(diǎn)200的任何其它唯一標(biāo)識符�����。網(wǎng)點(diǎn)200還可包括隨機(jī)數(shù)生成器220�����。隨機(jī)數(shù)生成器220可以是 作為網(wǎng)點(diǎn)200的操作系統(tǒng)的一部分的軟件應(yīng)用�����,或者隨機(jī)數(shù)生成器220可以是單獨(dú)的特定 獨(dú)立應(yīng)用�。隨機(jī)數(shù)生成器220可以在生成隨機(jī)數(shù)時符合ANSI X9. 31和ANSI X9. 82標(biāo)準(zhǔn)�。 網(wǎng)點(diǎn)200還可包括存儲器230。存儲器230可以是硬盤驅(qū)動器���、高速緩存存儲器���、或任何類 型的固態(tài)存儲器等。存儲器230存儲可供網(wǎng)點(diǎn)200用于與網(wǎng)狀網(wǎng)絡(luò)中的任何其它網(wǎng)點(diǎn)建立 鏈路�����、或執(zhí)行網(wǎng)點(diǎn)可執(zhí)行的任何其它任務(wù)的任何數(shù)據(jù)����。存儲在存儲器230中的數(shù)據(jù)可包括 PMK標(biāo)識符列表、可供網(wǎng)點(diǎn)200使用的PMK的列表��、用于任何已有鏈路的任何PMK�����、對應(yīng)于所 用的任何PMK的任何認(rèn)證密鑰等�。網(wǎng)點(diǎn)200還可包括處理器240。處理器240可以是設(shè)計 用于執(zhí)行網(wǎng)點(diǎn)200的功能的任何類型的裝置����。圖3是根據(jù)本發(fā)明一個實(shí)施例在協(xié)商PMK時交換消息的兩個網(wǎng)點(diǎn)310和320的代 表性框圖。盡管關(guān)于只具有兩個網(wǎng)點(diǎn)的無線自組織網(wǎng)絡(luò)描述本發(fā)明的實(shí)施例����,但本發(fā)明的 特征適用于具有任何數(shù)量的網(wǎng)點(diǎn)的無線網(wǎng)絡(luò)的實(shí)際上所有設(shè)計和配置。圖3中的網(wǎng)點(diǎn)310 和320可以是如圖1所示的任何網(wǎng)點(diǎn),它們可由圖2中的網(wǎng)點(diǎn)200的框圖表示��。根據(jù)本發(fā) 明的一個實(shí)施例����,在啟動PMK的協(xié)商時,至少一個網(wǎng)點(diǎn)示例化新鏈路示例�,選擇默認(rèn)PMK并 宣傳其相應(yīng)的PMK標(biāo)識符列表。PMK標(biāo)識符列表是兩個特定網(wǎng)點(diǎn)在建立連接時共享的PMK 的有序列表����,并且這些PMK優(yōu)選地基于PMK的到期時間按照優(yōu)先級順序排列。PMK對于網(wǎng)絡(luò) 中的每對網(wǎng)點(diǎn)是唯一的���,并且對于試圖建立連接的每對網(wǎng)點(diǎn)來說都是不同的�。在當(dāng)前的示 范性實(shí)施例中��,PMK標(biāo)識符列表包括網(wǎng)點(diǎn)310和320共享并且在與彼此建立連接時對于彼 此可用的PMK����。默認(rèn)PMK優(yōu)選是PMK標(biāo)識符列表中具有最高優(yōu)先級的PMK。在本發(fā)明的一 個示范性實(shí)施例中��,具有最高優(yōu)先級的PMK是具有最后到期時間的PMK��。在選擇了默認(rèn)PMK 之后,網(wǎng)點(diǎn)在開放消息中傳送PMK標(biāo)識符列表����。開放消息包括所構(gòu)造的PMK標(biāo)識符列表、網(wǎng) 點(diǎn)的經(jīng)過認(rèn)證的身份���、隨機(jī)生成數(shù)、所選的默認(rèn)PMK和通過從所選默認(rèn)PMK導(dǎo)出的消息認(rèn)證 碼密鑰計算的消息的消息認(rèn)證碼��。盡管描述了在構(gòu)造PMK標(biāo)識符列表之前選擇默認(rèn)PMK的 一個實(shí)施例���,但在另一實(shí)施例中�����,可在選擇默認(rèn)PMK之前構(gòu)造PMK標(biāo)識符列表��。網(wǎng)點(diǎn)的經(jīng)過 認(rèn)證的身份可以是如圖2所示的經(jīng)過認(rèn)證的身份210�,并且隨機(jī)生成數(shù)可通過隨機(jī)數(shù)生成 器220生成����。消息認(rèn)證碼可根據(jù)諸如高級加密標(biāo)準(zhǔn)(“AES”)的密碼標(biāo)準(zhǔn)生成。在本發(fā)明 的一個實(shí)施例中����,開放消息可根據(jù)如下方法構(gòu)造而成MP R L K Hiffi (MP R L K)其中MP是傳送網(wǎng)點(diǎn)的經(jīng)過認(rèn)證的身份����,R是隨機(jī)數(shù)�����,L是可供網(wǎng)點(diǎn)使用的 PMK的標(biāo)識符的列表���,K是所選默認(rèn)PMK的標(biāo)識符����,KK是從K導(dǎo)出的消息認(rèn)證碼密鑰�����, mffi(MP R| L| IK)是利用KK計算的消息認(rèn)證碼��,并且“| I)表示并置����。此外,每個網(wǎng)點(diǎn)的可 用PMK的列表按照預(yù)定順序排列����。由于每個PMK具有相關(guān)聯(lián)的持續(xù)時間�����,在這段時間它為 有效����,所以可用PMK的列表L中的PMK標(biāo)識符通過每個PMK的到期時間排序�����。L中的第一個 PMK標(biāo)識符標(biāo)識在L中所標(biāo)識的所有PMK中最后到期的PMK�,而L中的最后一個PMK標(biāo)識符 標(biāo)識在L中所標(biāo)識的所有PMK中首先到期的PMK���。所選默認(rèn)PMK —般是L中的第一個PMK 標(biāo)識符�����,即�,最后到期的PMK�����。在網(wǎng)點(diǎn)構(gòu)造完P(guān)MK標(biāo)識符列表并選擇了默認(rèn)PMK之后,將PMK標(biāo)識符列表包含在 開放消息中�����,并將其傳送給其它網(wǎng)點(diǎn)�����。在網(wǎng)點(diǎn)310啟動與網(wǎng)點(diǎn)320協(xié)商PMK的實(shí)施例中�,網(wǎng) 點(diǎn)310構(gòu)造PMK標(biāo)識符列表,將該列表包含在開放消息330中�,并將開放消息330傳送給網(wǎng)點(diǎn)320,這由箭頭335所示�����。在網(wǎng)點(diǎn)320啟動PMK的協(xié)商的實(shí)施例中����,網(wǎng)點(diǎn)320構(gòu)造PMK標(biāo) 識符列表,將該列表包含在開放消息340中����,并將開放消息340傳送給網(wǎng)點(diǎn)310,這由箭頭 345所示����。在兩個網(wǎng)點(diǎn)310和320都啟動協(xié)商的實(shí)施例中�,如箭頭335和345所示����,同時構(gòu) 造和傳送開放消息330和340.每個網(wǎng)點(diǎn)接收開放消息,并利用直譯算法做出關(guān)于將用于當(dāng)前鏈路的PMK的獨(dú)立 確定���,其中直譯算法基于網(wǎng)點(diǎn)的默認(rèn)PMK和PMK標(biāo)識符列表�。但是��,在只有一個網(wǎng)點(diǎn)啟動鏈 路的實(shí)施例中�����,這個步驟可在形成PMK標(biāo)識符列表之前進(jìn)行����。例如���,在網(wǎng)點(diǎn)310啟動與網(wǎng)點(diǎn) 320鏈接的實(shí)施例中��,網(wǎng)點(diǎn)310構(gòu)造PMK標(biāo)識符列表�����,將它包含在開放消息330中�,并將開放 消息330傳送給網(wǎng)點(diǎn)320。網(wǎng)點(diǎn)320接收開放消息330�����,并做出關(guān)于將用于當(dāng)前鏈路的PMK 的獨(dú)立確定����。在選擇了 PMK之后,網(wǎng)點(diǎn)320用選定的PMK構(gòu)造PMK標(biāo)識符列表����,并在開放消 息340中將PMK標(biāo)識符列表傳送給網(wǎng)點(diǎn)310.在兩個網(wǎng)點(diǎn)都構(gòu)造完P(guān)MK標(biāo)識符列表、在開放消息中傳送列表�、并基于所接收的 開放消息各自獨(dú)立地選擇將要使用的協(xié)商PMK之后,如果協(xié)商PMK相同�,則兩個網(wǎng)點(diǎn)撰寫確 認(rèn)消息并將確認(rèn)消息傳送給另一網(wǎng)點(diǎn)。在圖3中����,網(wǎng)點(diǎn)310撰寫確認(rèn)消息350,而網(wǎng)點(diǎn)320 撰寫確認(rèn)消息360。確認(rèn)消息包括兩個網(wǎng)點(diǎn)的經(jīng)過認(rèn)證的身份�����、由兩個網(wǎng)點(diǎn)在相應(yīng)PMK標(biāo)識 符列表中發(fā)送的隨機(jī)數(shù)�����、所選協(xié)商PMK����、和利用協(xié)商PMK計算的確認(rèn)消息的消息認(rèn)證碼。在 本發(fā)明的一個實(shí)施例中����,可根據(jù)如下方法撰寫從網(wǎng)點(diǎn)310發(fā)送到網(wǎng)點(diǎn)320的確認(rèn)消息MP310 I IMP320 | | R3101 | R3201 | K | | mKK (MP310 | | MP320 | | R3101 | R3201 | K)其中MP310是網(wǎng)點(diǎn)310的經(jīng)過認(rèn)證的身份,MP320是網(wǎng)點(diǎn)320的經(jīng)過認(rèn)證的身 份��,R31tl是由網(wǎng)點(diǎn)310生成并在其開放消息中傳送的隨機(jī)數(shù)�,R32tl是由網(wǎng)點(diǎn)320生成并 在其開放消息中傳送的隨機(jī)數(shù)�,K是所選協(xié)商PMK,KK是從K導(dǎo)出的消息認(rèn)證碼密鑰���, mffi(MP310| |MP320 R310 R320 K)是利用KK計算的消息認(rèn)證碼����,并且“ | | ”表示并置。為了 完成該協(xié)議����,網(wǎng)點(diǎn)320撰寫類似的確認(rèn)消息并將確認(rèn)消息傳送給網(wǎng)點(diǎn)310,以便確認(rèn)兩個網(wǎng) 點(diǎn)使用稱為K的所選PMK的約定���。由網(wǎng)點(diǎn)320撰寫和傳送的對應(yīng)確認(rèn)消息如下MP320 I IMP310 | | R3201 | R3101 | K | | mKK (MP320 | | MP310 | | R3201 | R3101 | K)其中MP320是網(wǎng)點(diǎn)320的經(jīng)過認(rèn)證的身份���,MP310是網(wǎng)點(diǎn)310的經(jīng)過認(rèn)證的身 份,R32tl是由網(wǎng)點(diǎn)320生成并在其開放消息中傳送的隨機(jī)數(shù)�����,R31tl是由網(wǎng)點(diǎn)310生成并 在其開放消息中傳送的隨機(jī)數(shù)���,K是所選協(xié)商PMK�����,KK是從K導(dǎo)出的消息認(rèn)證碼密鑰����, mffi(MP320| |MP310 R320 R310 K)是利用KK計算的認(rèn)證碼,并且“ | | ”表示并置�����。將兩個隨 機(jī)數(shù)包含在確認(rèn)消息中防止了重放攻擊�����,并向兩個網(wǎng)點(diǎn)確認(rèn)消息是新鮮的�。兩個確認(rèn)消息 350和360的傳輸由兩個箭頭355和365表示。但是�����,如果沒有成功協(xié)商PMK���,則不撰寫或 傳送確認(rèn)消息�。圖4是根據(jù)本發(fā)明一個實(shí)施例的方法400的代表性流程圖���,其中示出在獨(dú)立選擇 協(xié)商PMK時在網(wǎng)點(diǎn)處執(zhí)行的直譯算法的步驟�。關(guān)于分別如圖1和3所示的無線自組織網(wǎng)絡(luò) 100和網(wǎng)點(diǎn)310的元件和特征描述方法400的步驟��。但是��,方法400的步驟不限于所描述的 本發(fā)明的實(shí)施例��。方法400的第一個步驟是步驟405�,在步驟405,網(wǎng)點(diǎn)310正試圖建立鏈路�,并且因 此需要協(xié)商PMK。在為建立鏈路作準(zhǔn)備中����,網(wǎng)點(diǎn)310在步驟405期間為新鏈路創(chuàng)建新示例。 在步驟410���,網(wǎng)點(diǎn)310從它可用的PMK的列表中選擇默認(rèn)PMK����?���?捎肞MK可按照到期時間的順序排序,其中具有最后到期時間的PMK具有最高優(yōu)先級��,而時間上最快到期的PMK排在最 后�。優(yōu)選地,默認(rèn)PMK是具有最高優(yōu)先級的PMK(S卩��,最后到期的PMK)。在選擇了默認(rèn)PMK 之后��,在步驟415期間����,網(wǎng)點(diǎn)310構(gòu)造將置于如上所述的開放消息中的PMK標(biāo)識符列表。然 后���,在步驟420期間�,網(wǎng)點(diǎn)310將開放消息傳送給網(wǎng)絡(luò)100中的另一網(wǎng)點(diǎn)���。在步驟420中傳 送開放消息之后�,在步驟425期間���,網(wǎng)點(diǎn)310可從網(wǎng)絡(luò)100中的另一網(wǎng)點(diǎn)接收開放消息����。這 另一網(wǎng)點(diǎn)可以是如圖3所示的網(wǎng)點(diǎn)320��。在從另一網(wǎng)點(diǎn)接收開放消息之后����,網(wǎng)點(diǎn)310基于它可用的PMK和所接收的開放消 息獨(dú)立地選擇協(xié)商PMK���。如果在步驟430期間沒有選擇PMK�,則網(wǎng)點(diǎn)310終止當(dāng)前鏈路示例, 并再次開始方法400��。但是���,如果在步驟430期間選擇了 PMK��,則在步驟440期間����,網(wǎng)點(diǎn)310 撰寫如上所述的確認(rèn)消息���。然后��,網(wǎng)點(diǎn)310在步驟445期間傳送確認(rèn)消息��,并在步驟450期 間從另一網(wǎng)點(diǎn)接收確認(rèn)消息��。如果選定的PMK匹配�,則協(xié)議結(jié)束��,并且成功建立了鏈路。圖5是根據(jù)本發(fā)明一個實(shí)施例的方法500的示范性流程圖�����,方法500可在獨(dú)立選 擇PMK的方法400的步驟430期間在網(wǎng)點(diǎn)(如網(wǎng)點(diǎn)310)處由該網(wǎng)點(diǎn)執(zhí)行���。方法500可在 網(wǎng)點(diǎn)310試圖建立鏈路或在它已經(jīng)從試圖建立鏈路的另一網(wǎng)點(diǎn)接收了開放消息時在網(wǎng)點(diǎn) 310處執(zhí)行�。關(guān)于如圖1和3所示的無線自組織網(wǎng)絡(luò)100和網(wǎng)點(diǎn)310的元件和特征描述方 法500的步驟���。但是��,方法500的步驟不限于所描述的本發(fā)明的實(shí)施例�。在對方法500進(jìn) 行描述期間�,K表示可供該網(wǎng)點(diǎn)使用的PMK變量,K2表示在步驟505期間所接收的開放消息 中接收的PMK�,Ll表示可供網(wǎng)點(diǎn)310使用的PMK的列表,而L2表示可供傳送在步驟505期 間在網(wǎng)點(diǎn)310處接收的開放消息的網(wǎng)點(diǎn)使用的PMK的列表����。在步驟505期間,網(wǎng)點(diǎn)310從無線自組織網(wǎng)絡(luò)中的另一網(wǎng)點(diǎn)接收開放消息����。在判 定框510期間���,網(wǎng)點(diǎn)310確定它是否已經(jīng)具有將要使用的PMK(K)。如果確定已經(jīng)確立了將 要使用的PMK����,則在步驟515期間���,查看將要使用的PMK是否與在所接收的開放消息中所 包含的K2相同��。如果這兩個PMK匹配��,則在步驟530期間��,網(wǎng)點(diǎn)310撰寫并傳送具有所選 PMK(K2)的確認(rèn)消息���。如果這兩個PMK不匹配,則在步驟525期間丟棄開放消息�,并且方法 結(jié)束。在網(wǎng)點(diǎn)310不具有將要使用的PMK的情形中��,在判定框520期間����,網(wǎng)點(diǎn)310驗(yàn)證在 其可用PMK列表(Li)中是否包含K2�。如果Ll中不包含K2����,則丟棄開放消息,并且方法結(jié) 束�。但是,如果Ll中存在K2��,則在步驟535期間��,網(wǎng)點(diǎn)310查看K2是否是與其列表Ll中 的具有最高優(yōu)先級的PMK(Kl���,S卩����,具有最后到期時間的PMK)相同的PMK��。如果Kl和K2相 同����,則在步驟540期間,該網(wǎng)點(diǎn)將K2設(shè)置為將要使用的PMK����,并且因此撰寫和發(fā)送確認(rèn)消息�。 但是��,如果Kl和K2不相同�,則網(wǎng)點(diǎn)310查看Ll和L2中是否有任何共享的PMK。如果不存 在共享的PMK����,則協(xié)議結(jié)束。如果存在至少一個共同PMK���,則在步驟545期間,網(wǎng)點(diǎn)310確定 哪個PMK具有共享PMK的最高優(yōu)先級(最后到期時間)(Si)����。接著,在步驟550期間���,網(wǎng)點(diǎn) 310查看Sl和Kl是否相同����。如果Sl和Kl相同��,則網(wǎng)點(diǎn)310利用Kl構(gòu)造開放消息,并在對 應(yīng)的開放消息中發(fā)送該列表�����。但是����,如果Si和Kl不相同,則網(wǎng)點(diǎn)丟棄當(dāng)前的鏈路示例����,并 用Sl構(gòu)造新的開放消息以傳送給網(wǎng)點(diǎn)320。因此��,如果用方法500成功協(xié)商了 PMK����,則所得 協(xié)商PMK是在由這兩個網(wǎng)點(diǎn)共享的PMK中具有最高優(yōu)先級的PMK。圖6是根據(jù)本發(fā)明一個實(shí)施例的方法600的示范性流程圖����,方法600可在網(wǎng)點(diǎn)(如 網(wǎng)點(diǎn)310)接收到確認(rèn)消息時在方法400的步驟450期間在該網(wǎng)點(diǎn)處由該網(wǎng)點(diǎn)執(zhí)行,以便最終確定協(xié)商PMK��。關(guān)于如圖1和3所示的無線自組織網(wǎng)絡(luò)100和網(wǎng)點(diǎn)310的元件和特征描 述方法600的步驟���。但是���,方法600的步驟不限于所描述的本發(fā)明的實(shí)施例�。在步驟605期間�����,網(wǎng)點(diǎn)310接收確認(rèn)消息���。在判定框610�����,網(wǎng)點(diǎn)310確定它是否已 經(jīng)具有正在使用的PMK (K)��。如果所使用的PMK已經(jīng)確立,則在步驟615期間����,網(wǎng)點(diǎn)310查看 所使用的PMK是否與在確認(rèn)消息中所接收的PMK(K2)相同。如果這兩個PMK相同�����,則網(wǎng)點(diǎn) 310驗(yàn)證確認(rèn)消息中所包含的認(rèn)證碼。此后�,在步驟630和640期間,網(wǎng)點(diǎn)310撰寫和發(fā)送 對應(yīng)的確認(rèn)消息��,并結(jié)束該方法�����。如果這兩個PMK不相同����,則網(wǎng)點(diǎn)310丟棄確認(rèn)消息,并結(jié) 束方法�。但是,在PMK不具有已經(jīng)確立的PMK(K)的情形中����,在步驟620期間,網(wǎng)點(diǎn)查看K2 是否是與其可用PMK列表中基于到期時間具有最高優(yōu)先級的PMK(Kl)相同的PMK���。如果Kl 和K2相同���,則網(wǎng)點(diǎn)在步驟625期間將K2設(shè)置成其將要使用的PMK,并在步驟630和640期 間撰寫和發(fā)送對應(yīng)的確認(rèn)消息����。因此�����,盡管示出���、描述和指出了適用于若干實(shí)施例的本發(fā)明的基本新穎特征�,但將 了解�,在不背離本發(fā)明的精神和范圍的情況下,本領(lǐng)域技術(shù)人員可對所示實(shí)施例的形式和 細(xì)節(jié)及其操作做出各種省略��、替換和改變��。也完全想要和預(yù)期從一個實(shí)施例到另一實(shí)施例 的元件替換�����。本發(fā)明只由隨附權(quán)利要求及其中的敘述的等效物定義�。
權(quán)利要求
一種用于協(xié)商成對主密鑰(“PMK”)的系統(tǒng),包括至少第一網(wǎng)絡(luò)裝置和第二網(wǎng)絡(luò)裝置����,其中至少一個網(wǎng)絡(luò)裝置配置成在協(xié)商所述PMK之前從有序PMK標(biāo)識符列表中選擇默認(rèn)PMK��,并基于所述默認(rèn)PMK和所述有序PMK標(biāo)識符列表協(xié)商所述PMK。
2.如權(quán)利要求1所述的系統(tǒng)�,其中至少一個網(wǎng)絡(luò)裝置包括處理器、存儲裝置��、隨機(jī)數(shù)生成器和配置成傳送和接收數(shù)據(jù)的 通信裝置�����,并且其中所述第一網(wǎng)絡(luò)裝置配置成創(chuàng)建示例以建立鏈路�,選擇第一默認(rèn)PMK,構(gòu)造第一 PMK標(biāo)識符列表�����,撰寫包含所述第一 PMK標(biāo)識符列表的第一開放消息���,將所述第一開放消息 傳送給所述第二網(wǎng)絡(luò)裝置��,接收包括第二默認(rèn)PMK和由所述第二網(wǎng)絡(luò)裝置構(gòu)造的第二 PMK 標(biāo)識符列表的第二開放消息����,基于所述第一默認(rèn)PMK��、所述第一 PMK標(biāo)識符列表和所述第二 PMK標(biāo)識符列表獨(dú)立地選擇協(xié)商PMK���。
3.如權(quán)利要求2所述的系統(tǒng)�����,其中所述第一網(wǎng)絡(luò)裝置和所述第二網(wǎng)絡(luò)裝置是無線自組 織網(wǎng)絡(luò)中的網(wǎng)點(diǎn)����。
4.如權(quán)利要求2所述的系統(tǒng),其中所述第一開放消息包括與所述第一網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第一網(wǎng)絡(luò)裝置標(biāo)識符��;與所述第一網(wǎng)絡(luò)裝置相關(guān)聯(lián)的生成的隨機(jī)數(shù)�;包括與所述第一網(wǎng)絡(luò)裝置和所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的PMK的列表的所述第一 PMK標(biāo) 識符列表;與所述第一網(wǎng)絡(luò)裝置相關(guān)聯(lián)的所述第一默認(rèn)PMK ��;以及用所述第一默認(rèn)PMK構(gòu)造而成的消息認(rèn)證碼���。
5.如權(quán)利要求2所述的系統(tǒng)��,其中所述第二開放消息包括與所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第二網(wǎng)絡(luò)裝置標(biāo)識符����;與所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的生成的隨機(jī)數(shù)��;包括與所述第一網(wǎng)絡(luò)裝置和所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的PMK的列表的所述第二 PMK標(biāo) 識符列表����;與所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的所述第二默認(rèn)PMK ;以及用所述第二默認(rèn)PMK構(gòu)造而成的消息認(rèn)證碼��。
6.如權(quán)利要求2所述的系統(tǒng)��,其中所述第一PMK標(biāo)識符列表和所述第二 PMK標(biāo)識符列 表基于與每個所述列表中的所述PMK的至少其中之一相關(guān)聯(lián)的到期時間按照優(yōu)先級順序 排列����,所述第一默認(rèn)PMK是所述第一 PMK標(biāo)識符列表中的在所述第一 PMK標(biāo)識符列表中具 有最高優(yōu)先級的PMK,而所述第二默認(rèn)PMK是所述第二 PMK標(biāo)識符列表中的在所述第二 PMK 標(biāo)識符列表中具有最高優(yōu)先級的PMK���。
7.如權(quán)利要求6所述的系統(tǒng)�,其中將所述優(yōu)先級順序中的最高優(yōu)先級賦予最后到期的PMK�。
8.如權(quán)利要求2所述的系統(tǒng),其中所述協(xié)商PMK包括由所述第一網(wǎng)絡(luò)裝置和所述第二 網(wǎng)絡(luò)裝置共享的PMK中具有最高優(yōu)先級的PMK�����。
9.如權(quán)利要求2所述的系統(tǒng)��,其中所述第一網(wǎng)絡(luò)裝置和所述第二網(wǎng)絡(luò)裝置還配置成一 旦成功協(xié)商所述PMK則傳送第一確認(rèn)消息和第二確認(rèn)消息�����,其中成功協(xié)商包括所述第一默 認(rèn)PMK和所述第二默認(rèn)PMK是相同的PMK,所述第一確認(rèn)消息和所述第二確認(rèn)消息各自包括與所述第一網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第一網(wǎng)絡(luò)裝置標(biāo)識符���; 與所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第二網(wǎng)絡(luò)裝置標(biāo)識符����; 與所述第一網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第一隨機(jī)生成數(shù)���; 與所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第二隨機(jī)生成數(shù)�����; 所述協(xié)商PMK;以及用所述協(xié)商PMK構(gòu)造而成的消息認(rèn)證碼�����。
10.一種用于協(xié)商成對主密鑰(“PMK”)的方法�����,包括以下步驟 在協(xié)商所述PMK之前從有序PMK標(biāo)識符列表中選擇默認(rèn)PMK ��;以及 基于所述默認(rèn)PMK和所述有序PMK標(biāo)識符列表協(xié)商所述PMK����。
11.如權(quán)利要求10所述的方法,還包括以下步驟 創(chuàng)建示例以便建立鏈路�����;在第一網(wǎng)絡(luò)裝置處構(gòu)造與所述第一網(wǎng)絡(luò)裝置和第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第一 PMK標(biāo)識 符列表��;確定與所述第一網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第一默認(rèn)PMK ����; 將包含所述第一 PMK標(biāo)識符列表的第一開放消息傳送給第二網(wǎng)絡(luò)裝置����; 接收包括與所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第二 PMK標(biāo)識符列表的第二開放消息;以及 基于第一默認(rèn)PMK���、所述第一 PMK標(biāo)識符列表和所述第二 PMK標(biāo)識符列表獨(dú)立選擇協(xié)商PMK��。
12.如權(quán)利要求11所述的方法���,還包括以下步驟在所述第二網(wǎng)絡(luò)裝置處構(gòu)造與所述第二網(wǎng)絡(luò)裝置和所述第一網(wǎng)絡(luò)裝置相關(guān)聯(lián)的所述 第二 PMK標(biāo)識符列表;確定與所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第二默認(rèn)PMK �;將包含所述第二 PMK標(biāo)識符列表的所述第二開放消息傳送給所述第一網(wǎng)絡(luò)裝置; 接收包括由所述第一網(wǎng)絡(luò)裝置傳送的所述PMK標(biāo)識符列表的所述第一開放消息;以及 基于所接收的第一 PMK標(biāo)識符列表���、所述第二默認(rèn)PMK和所述第二 PMK標(biāo)識符列表獨(dú) 立選擇所述協(xié)商PMK��。
13.如權(quán)利要求12所述的方法�����,還包括以下步驟成功協(xié)商所述PMK��,其中成功協(xié)商包括所述第一默認(rèn)PMK與所述第二默認(rèn)PMK相同����; 在所述第一網(wǎng)絡(luò)裝置處基于所述協(xié)商PMK撰寫第一確認(rèn)消息���; 將所述第一確認(rèn)消息傳送給所述第二網(wǎng)絡(luò)裝置���;以及 從所述第二網(wǎng)絡(luò)裝置接收基于所述協(xié)商PMK的第二確認(rèn)PMK消息。
14.如權(quán)利要求13所述的方法���,還包括以下步驟成功協(xié)商所述PMK��,其中成功協(xié)商包括所述第一默認(rèn)PMK與所述第二默認(rèn)PMK相同����; 在所述第二網(wǎng)絡(luò)裝置處基于所述協(xié)商PMK撰寫所述第二確認(rèn)消息; 將所述第二確認(rèn)消息傳送給所述第一網(wǎng)絡(luò)裝置�;以及 從所述第一網(wǎng)絡(luò)裝置接收基于所述協(xié)商PMK的所述第一確認(rèn)消息。
15.如權(quán)利要求11所述的方法���,其中所述第一網(wǎng)絡(luò)裝置和所述第二網(wǎng)絡(luò)裝置是無線自 組織網(wǎng)絡(luò)的網(wǎng)點(diǎn)�。
16.如權(quán)利要求11所述的方法�����,其中所述第一開放消息包括 與所述第一網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第一網(wǎng)絡(luò)裝置標(biāo)識符�����;與所述第一網(wǎng)絡(luò)裝置相關(guān)聯(lián)的生成的隨機(jī)數(shù)���;包括與所述第一網(wǎng)絡(luò)裝置和所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的PMK的列表的所述第一 PMK標(biāo) 識符列表;與所述第一網(wǎng)絡(luò)裝置相關(guān)聯(lián)的所述第一默認(rèn)PMK ����;以及 用所述第一默認(rèn)PMK構(gòu)造而成的消息認(rèn)證碼。
17.如權(quán)利要求12所述的方法�,其中所述第二開放消息包括 與所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第二網(wǎng)絡(luò)裝置標(biāo)識符�;與所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的生成的隨機(jī)數(shù)�����;包括與所述第一網(wǎng)絡(luò)裝置和所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的PMK的列表的所述第二 PMK標(biāo) 識符列表�����;與所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的所述第二默認(rèn)PMK �����;以及 用所述第二默認(rèn)PMK構(gòu)造而成的消息認(rèn)證碼�����。
18.如權(quán)利要求11所述的方法��,其中所述協(xié)商PMK包括由所述第一網(wǎng)絡(luò)裝置和所述第 二網(wǎng)絡(luò)裝置共享的PMK中具有最高優(yōu)先級的PMK�。
19.如權(quán)利要求12所述的方法,其中所述第一PMK標(biāo)識符列表和所述第二 PMK標(biāo)識符 列表基于與每個所述列表中的所述PMK的至少其中之一相關(guān)聯(lián)的到期時間按照優(yōu)先級順 序排列�,所述第一默認(rèn)PMK是所述第一 PMK標(biāo)識符列表中的在所述第一 PMK標(biāo)識符列表中 具有最高優(yōu)先級的PMK,而所述第二默認(rèn)PMK是所述第二 PMK標(biāo)識符列表中的在所述第二 PMK標(biāo)識符列表中具有最高優(yōu)先級的PMK�����。
20.如權(quán)利要求19所述的方法,其中將所述優(yōu)先級順序中的最高優(yōu)先級賦予最后到期 的 PMK���。
21.如權(quán)利要求14所述的方法�����,其中所述第一確認(rèn)消息和所述第二確認(rèn)消息包括 與所述第一網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第一網(wǎng)絡(luò)裝置標(biāo)識符����;與所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第二網(wǎng)絡(luò)裝置標(biāo)識符�����; 與所述第一網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第一隨機(jī)生成數(shù)�; 與所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第二隨機(jī)生成數(shù)���; 所述協(xié)商PMK;以及用所述協(xié)商PMK構(gòu)造而成的消息認(rèn)證碼����。
22.如權(quán)利要求10所述的方法�����,還包括以下步驟 在所述第一網(wǎng)絡(luò)裝置處創(chuàng)建第一示例以建立鏈路; 在所述第二網(wǎng)絡(luò)裝置處創(chuàng)建第二示例以建立鏈路�����;在所述第一網(wǎng)絡(luò)裝置處構(gòu)造與所述第一網(wǎng)絡(luò)裝置和所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第一 PMK標(biāo)識符列表�;在所述第二網(wǎng)絡(luò)裝置處構(gòu)造與所述第二網(wǎng)絡(luò)裝置和所述第一網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第二 PMK標(biāo)識符列表;選擇與所述第一網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第一默認(rèn)PMK �; 選擇與所述第二網(wǎng)絡(luò)裝置相關(guān)聯(lián)的第二默認(rèn)PMK ;將包含所述第一 PMK標(biāo)識符列表的第一開放消息傳送給所述第二網(wǎng)絡(luò)裝置�; 將包含所述第二 PMK標(biāo)識符列表的第二開放消息傳送給所述第一網(wǎng)絡(luò)裝置; 在所述第二網(wǎng)絡(luò)裝置處接收所述第一開放消息���; 在所述第一網(wǎng)絡(luò)裝置處接收所述第二開放消息�����;在所述第一網(wǎng)絡(luò)裝置處基于所接收的第二 PMK標(biāo)識符列表獨(dú)立選擇協(xié)商PMK ���;以及 在所述第二網(wǎng)絡(luò)裝置處基于所接收的第一 PMK標(biāo)識符列表獨(dú)立選擇所述協(xié)商PMK。
23.如權(quán)利要求22所述的方法���,還包括以下步驟成功協(xié)商所述PMK�����,其中成功協(xié)商包括所述第一默認(rèn)PMK與所述第二默認(rèn)PMK相同����; 在所述第一網(wǎng)絡(luò)裝置處基于所述協(xié)商PMK撰寫第一確認(rèn)消息; 在所述第二網(wǎng)絡(luò)裝置處基于所述協(xié)商PMK撰寫第二確認(rèn)消息�; 將所述第一確認(rèn)消息傳送給所述第二網(wǎng)絡(luò)裝置; 將所述第二確認(rèn)消息傳送給所述第一網(wǎng)絡(luò)裝置�;在所述第二網(wǎng)絡(luò)裝置處從所述第一網(wǎng)絡(luò)裝置接收所述第一確認(rèn)消息;以及 在所述第一網(wǎng)絡(luò)裝置處從所述第二網(wǎng)絡(luò)裝置接收所述第二確認(rèn)消息�����。
全文摘要
一種用于在無線網(wǎng)狀網(wǎng)絡(luò)中協(xié)商成對主密鑰(“PMK”)的系統(tǒng)和方法����。該系統(tǒng)包括多個網(wǎng)點(diǎn),這些網(wǎng)點(diǎn)配置成在協(xié)商PMK和建立安全連接時執(zhí)行簡略的信號交換協(xié)議���。用于確立協(xié)商PMK的方法基于在傳送任何數(shù)據(jù)之前選擇PMK,并將預(yù)定列表中的可用PMK排列成使得可在有限次數(shù)的交換中協(xié)商PMK��。
文檔編號H04W84/18GK101911814SQ200880123657
公開日2010年12月8日 申請日期2008年12月1日 優(yōu)先權(quán)日2007年12月28日
發(fā)明者J·沃克, M·趙 申請人:英特爾公司