專利名稱:通過網(wǎng)格網(wǎng)絡(luò)隧道傳送安全關(guān)聯(lián)消息的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總體上涉及無線通信,并且更特別地涉及多跳自組織(Ad Hoc)網(wǎng)絡(luò)中的安全。
背景技術(shù):
無線網(wǎng)絡(luò)的類型包括基于基礎(chǔ)設(shè)施的無線網(wǎng)絡(luò)和Ad Hoc無線網(wǎng)絡(luò)。
Ad Hoc網(wǎng)絡(luò)是可以在沒有任何固定基礎(chǔ)設(shè)施的情況下操作的自 行形成的網(wǎng)絡(luò),并且在一些情況下,AdHoc網(wǎng)絡(luò)完全由移動節(jié)點形成。 Ad Hoc網(wǎng)絡(luò)通常包括許多在地理上分布的潛在移動單元,所述移動單 元有時稱為"節(jié)點",它們通過一個或多個鏈路(例如射頻通信信道) 而相互無線地連接。所述節(jié)點可以在沒有基礎(chǔ)設(shè)施網(wǎng)絡(luò)或有線網(wǎng)絡(luò)支 持的情況下通過無線媒體來相互通信。當現(xiàn)有節(jié)點在AdHoc網(wǎng)絡(luò)內(nèi)移 動時、當新的節(jié)點加入或進入AdHoc網(wǎng)絡(luò)時或當現(xiàn)有節(jié)點離開或退出 Ad Hoc網(wǎng)絡(luò)時,這些節(jié)點之間的鏈路或連接可以以任意方式動態(tài)地變 化。由于Ad Hoc網(wǎng)絡(luò)的拓撲結(jié)構(gòu)可以顯著變化,所以需要可以允許 AdHoc網(wǎng)絡(luò)動態(tài)地調(diào)整至這些變化的技術(shù)。由于沒有中央控制器,所 以許多網(wǎng)絡(luò)控制功能可以被分布在節(jié)點之間,以便節(jié)點可以響應(yīng)于拓 撲結(jié)構(gòu)變化而自行組織和重新配置。
節(jié)點的一個特征在于每個節(jié)點可以通過短程與相隔單"跳"遠的 節(jié)點直接通信。此類節(jié)點有時稱為"鄰居節(jié)點"。當節(jié)點向目的地節(jié) 點發(fā)射分組并且節(jié)點相隔超過一個跳(例如,兩個節(jié)點之間的距離超 過節(jié)點的無線電傳輸范圍,或者節(jié)點之間存在物理障礙)時,可以經(jīng) 由中間節(jié)點來中繼分組("多跳")直到分組到達目的地節(jié)點。在此
5類情況下,每個中間節(jié)點沿著路線將分組(例如,數(shù)據(jù)和控制信息) 路由到下一個節(jié)點,直到分組到達其最終目的地。
隨著無線通信網(wǎng)絡(luò)變得更加普及,安全繼續(xù)成為通信網(wǎng)絡(luò)提供商 和最終用戶都關(guān)注的主要問題。這在使用其中安全環(huán)境可以提供最大 挑戰(zhàn)的移動無線網(wǎng)絡(luò)時最明顯,因為許多節(jié)點可以很容易地接收并操 縱數(shù)據(jù)。無線網(wǎng)絡(luò)中使用的無線電鏈路將穿越所述網(wǎng)絡(luò)的信令和數(shù)據(jù) 暴露于給竊聽者和/或?qū)⒁蔀榈暮诳?。在多跳無線網(wǎng)絡(luò)中,這要求節(jié) 點之間的每個鏈路具有通過多跳認證和密鑰管理進程而建立的唯一安 全關(guān)聯(lián)。然后,可以利用所建立的安全關(guān)聯(lián)來保護鏈路上的通信。
諸如蜂窩式電話、個人數(shù)字助理(PDA)和筆記本計算機等移動 節(jié)點在接入遠程數(shù)據(jù)庫或網(wǎng)絡(luò)時常常要求認證。在現(xiàn)有系統(tǒng)中,遵循
集中認證程序,其中諸如基站等接入點(AP)充當移動無線網(wǎng)絡(luò)與有 線回程網(wǎng)絡(luò)之間的入口并且處理在AP范圍內(nèi)的所有節(jié)點的認證過程。 例如,遵守美國國家標準學會/電氣和電子工程師學會(ANSI/IEEE) 802.1X或ANSI/UEEE 802.1 li標準的系統(tǒng)利用此類集中式程序來控制 接入網(wǎng)絡(luò)資源。
IEEE 802.1X是最初被設(shè)計成在有線和無線網(wǎng)絡(luò)中提供認證、接入 控制以及密鑰管理的IEEE標準。在802.1X中定義的三個實體是申請 者(supplicant)、認證器(authenticator)和認證服務(wù)器(AS)。所述 申請者是尋求認證和接入授權(quán)的節(jié)點。接入服務(wù)器(AS)(有時也稱 為認證、授權(quán)和計費(AAA)服務(wù)器)如果被授權(quán)則基于申請者的證 書而認證并準予接入申請者。AS可以與認證器共址。認證可以在認證 器充當認證消息傳遞站(pass-through)的同時在申請者和認證服務(wù)器 之間進行。對于每個客戶端,認證器具有不受控端口和受控端口。在 認證客戶端之前,只允許認證消息通過不受控端口。只有在成功地認 證申請者之后,才可以經(jīng)由受控端口來傳遞其它業(yè)務(wù)。
6用于申請者與認證服務(wù)器之間的這些通信的協(xié)議是EAP (可擴展
認證協(xié)議)。對于802.1X,以EAPOL (局域網(wǎng)(LAN)上的EAP)消 息格式來封裝在申請者和認證器之間的EAP消息。EAP在支持諸如用 戶密碼、基于證書的認證、 一次性密碼、認證令牌或智能卡等多種認 證機制方面是靈活并且可擴展的。其提供了用于協(xié)商并使用適當?shù)恼J 證機制的媒介物,所述適當?shù)恼J證機制包括在申請者和AS處導出密鑰 材料的那些認證機制。
認證程序可以當節(jié)點使用例如包括局域網(wǎng)上的EAP (EAPOL)分 組的可擴展認證協(xié)議(EAP)分組來發(fā)射認證請求時開始。所述認證過 程涉及被發(fā)射和接收、以EAP開始分組開始并以EAP成功消息分組或 EAP失敗消息分組結(jié)束的多個EAPOL分組。EAP是"鎖步"協(xié)議,因 為在接收到有效的響應(yīng)之前無法發(fā)送新的請求。參見[RFC 3748]。
所述認證服務(wù)器存儲正在被認證的移動設(shè)備(通常稱為申請者) 的認證證書。也可以將認證服務(wù)器連接到其它認證服務(wù)器以獲得未被 本地存儲的申請者認證證書。
如2004年7月的ANSI/IEEE 802.1 li-2004 "信息技術(shù)IEEE標準 一系統(tǒng)間電信和信息交換-局域網(wǎng)和城域網(wǎng)-特定要求-第11部 分無線局域網(wǎng)媒體接入控制(MAC)和物理層(PHY)規(guī)范一修改 件6:媒體接入控制(MAC)安全增強"中所述,申請者(或?qū)で笳J證 和獲得接入的節(jié)點)被假定為來自同意或拒絕接入的認證器(例如接 入點(AP))的一個跳。傳統(tǒng)的802.11i不考慮在申請者和認證器之間 的多跳通信。因為每個申請者可以僅經(jīng)由AP來認證,所以在具有AP 無線通信范圍外的節(jié)點的多跳AdHoc無線通信網(wǎng)絡(luò)中,要求申請者與 AP之間的單跳通信的此類集中式程序可能不實用,所述AP提供在移 動無線網(wǎng)絡(luò)和有線回程網(wǎng)絡(luò)之間的橋接服務(wù)。
附圖連同下文的詳細說明一起構(gòu)成本說明書的一部分,并用于進 一步圖示各種實施例并且解釋所有依照本發(fā)明的原理和優(yōu)點。
圖1是示例性通信網(wǎng)絡(luò)的框圖2是在本發(fā)明的一些實施例的操作中使用的示例性節(jié)點的框
圖3是示出依照本發(fā)明的一些實施例、用于在申請者節(jié)點的認證 期間在網(wǎng)格認證器節(jié)點和網(wǎng)格密鑰分配器140之間提供安全信道或鏈 路的EAP封裝進程的協(xié)議的消息流圖4是示出依照本發(fā)明的一些實施例的網(wǎng)格管理幀的格式的數(shù)據(jù)
結(jié)構(gòu);
圖5是示出依照本發(fā)明的一些實施例的通用EAP封裝認證消息的 格式的數(shù)據(jù)結(jié)構(gòu);
圖6是示出依照本發(fā)明的一些實施例的網(wǎng)格EAP傳輸協(xié)議的消息
流圖7是示出依照本發(fā)明的一些實施例的用于在多跳網(wǎng)絡(luò)中的網(wǎng)格 認證器(MA)處的EAP封裝的示例性過程的流程圖;以及
圖8是示出依照本發(fā)明的一些實施例的用于在多跳網(wǎng)絡(luò)中的網(wǎng)格 密鑰分配器(MKD)處的EAP封裝的示例性過程的流程圖。
技術(shù)人員將理解,圖中的元件是為簡單和清楚的目的而圖示的, 并且不一定按比例繪制。例如,圖中的一些元件的尺寸可以相對于其 它元件被放大以幫助改善對本發(fā)明的實施例的理解。
具體實施例方式
在詳細描述依照本發(fā)明的實施例之前,應(yīng)當注意,所述實施例主 要屬于與在網(wǎng)格認證器和網(wǎng)格密鑰分配器之間建立用于傳輸諸如可擴 展認證協(xié)議(EAP)消息等安全關(guān)聯(lián)消息的安全鏈路有關(guān)的方法步驟和 裝置組件的組合。因此,已經(jīng)在附圖中用常規(guī)符號在適當之處表示了 所述裝置組件和方法步驟,僅示出了與理解本發(fā)明的實施例有關(guān)的那
8些特定細節(jié),以免由于對獲益于本文描述的本領(lǐng)域技術(shù)人員來說很容 易顯而易見的細節(jié)而使本公開模糊。
在本文檔中,諸如第一和第二等關(guān)系術(shù)語可以僅僅用來將一個實 體或動作與另一個實體或動作區(qū)別開,而不一定要求或暗示此類實體 或動作之間的任何實際的此類關(guān)系或順序。術(shù)語"包括"、"包含" 或其任何其它變體旨在涵蓋非排他性包括,以便包括一列元件的過程、 方法、制品或裝置不僅包括那些元件,而且可以包括未明確列出或為 此類過程、方法、制品或裝置所固有的其它元件。以"包括"開始的 元素在沒有更多約束的情況下不排除在包括該元素的過程、方法、制 品或裝置中存在另外的相同元素。
應(yīng)當理解,本文所述的本發(fā)明的實施例可以由一個或多個常規(guī)處 理器和唯一存儲程序指令組成,所述唯一存儲程序指令結(jié)合某些非處 理器電路控制所述一個或多個處理器實現(xiàn)用于在網(wǎng)格認證器和網(wǎng)格密 鑰分配器之間建立用于傳輸諸如本文所述的可擴展認證協(xié)議(EAP)消 息等安全關(guān)聯(lián)消息的安全鏈路的一些、大多數(shù)或所有功能。所述非處 理器電路可以包括但不限于無線電接收機、無線電發(fā)射機、信號驅(qū)動 器、時鐘電路、電源電路以及用戶輸入設(shè)備。同樣地,可以將這些功 能解釋為用于在網(wǎng)格認證器和網(wǎng)格密鑰分配器之間建立用于傳輸諸如
本文所述的可擴展認證協(xié)議(EAP)消息等安全關(guān)聯(lián)消息的安全鏈路的
方法的步驟。替代地, 一些或所有功能可以由不具有存儲的程序指令
的狀態(tài)機或在一個或多個專用集成電路(ASIC)中實現(xiàn),其中,每個 功能或某些功能的一些組合被實現(xiàn)為定制邏輯。當然,可以使用兩種 方法的組合。因此,本文已經(jīng)描述了用于這些功能的方法和裝置。此 外,預期本領(lǐng)域的技術(shù)人員雖然可能相當?shù)呐陀衫缈捎脮r間、 當前技術(shù)以及經(jīng)濟考慮所激發(fā)的許多設(shè)計選擇,但是當由本文所公開 的構(gòu)思和原理引導時,將很容易被設(shè)計成允許以最少的實驗來生成此 類軟件指令和程序以及IC。在本文中使用詞語"示例性"意指"充當示例、實例或例證"。 在本文中被描述為"示例性"的任何實施例不一定被解釋為比其它實 施例更優(yōu)選或有利。本具體實施方式
中描述的所有實施例是為了使本 領(lǐng)域的技術(shù)人員能夠制造或使用本發(fā)明而提供的示例性實施例,并且 不限制由權(quán)利要求限定的本發(fā)明的范圍。
縮寫詞
以下說明使用下列縮寫詞中的至少一些EAPIEEAP封裝信息元素
EMSA高效網(wǎng)格安全關(guān)聯(lián)
EMSAIEEMSA握手信息元素
KCK-KD用于密鑰分配的密鑰確認密鑰
KDK密鑰分配密鑰
KEK-KD用于密鑰分配的密鑰加密密鑰
MA網(wǎng)格認證器
MA-ID網(wǎng)格認證器標識符
MEKIE網(wǎng)格加密密鑰信息元素
MKD網(wǎng)格密鑰分配器
MKD-ID網(wǎng)格密鑰分配器標識符
MKHSIE網(wǎng)格密鑰持有者安全信息元素
MSD國ID網(wǎng)格安全域標識符
MSDIE網(wǎng)格安全域信息元素
PMK成對主密鑰
PMK陽MA網(wǎng)格認證器PMK
PMK扁MKD網(wǎng)格密鑰分配器PMK
PTK國KD用于密鑰分配的成對瞬時密鑰
示例性Ad Hoc多跳網(wǎng)絡(luò)
圖1是示例性Ad Hoc多跳通信網(wǎng)絡(luò)100的框圖。如本文所使用的, 術(shù)語"多跳通信網(wǎng)絡(luò)"指的是在作為網(wǎng)絡(luò)的一部分的節(jié)點之間采用路
10由協(xié)議的任何類型的無線網(wǎng)絡(luò)。網(wǎng)絡(luò)100包括多個節(jié)點或"網(wǎng)格點
(MP) " 110、 132、 134、 136、網(wǎng)格認證器(MA)節(jié)點130、可以在 例如網(wǎng)格點入口 (MPP) 141處實現(xiàn)的網(wǎng)格密鑰分配器(MKD) 140、 也可以在MPP141處實現(xiàn)的認證、授權(quán)和計費客戶端(AAA客戶端) 142以及可以在例如認證、授權(quán)和計費服務(wù)器(AAA服務(wù)器)處實現(xiàn) 的認證服務(wù)器(AS) 150。在圖l所示的特定網(wǎng)絡(luò)配置中,節(jié)點110也 稱為"申請者節(jié)點或申請者網(wǎng)格節(jié)點"。
由于可以存在于申請者網(wǎng)格點110的鄰居內(nèi)的節(jié)點數(shù)目可以很 多,并且由于在節(jié)點可以向其鄰居發(fā)送路由消息之前需要安全關(guān)聯(lián), 所以重要的是一種機制在每個網(wǎng)格認證器130處的適當位置,從而允 許網(wǎng)格認證器130在其與網(wǎng)格網(wǎng)絡(luò)的首次接觸和認證期間與網(wǎng)格密鑰 分配器140通信以基于由申請者網(wǎng)格點110創(chuàng)建的密鑰材料而獲得導 出的密鑰,并且允許網(wǎng)格認證器130為申請者網(wǎng)格點110提供其需要 的信息以識別此密鑰材料并請求將其用于完成高效的安全關(guān)聯(lián)交換。
本發(fā)明包括支持安全關(guān)聯(lián)的高效建立的網(wǎng)格認證器機制。此機制 可以根據(jù)其鄰居的能力和偏好而以網(wǎng)格申請者或網(wǎng)格認證器的角色操 作,并且當以網(wǎng)格認證器的角色操作時可以中繼EAP認證消息并從網(wǎng) 格密鑰分配器請求密鑰傳輸。當依照本發(fā)明來實現(xiàn)時,網(wǎng)格認證器廣 播允許申請者網(wǎng)格點加入網(wǎng)格并與其本身和網(wǎng)格密鑰分配器建立安全 關(guān)聯(lián)的信息。其還保持來自密鑰傳遞分級結(jié)構(gòu)的密鑰,該密鑰允許其 請求并解開用來與申請者網(wǎng)格點鄰居建立安全關(guān)聯(lián)的密鑰。最后,認 證器支持可擴展認證協(xié)議(EAP)認證消息從申請者網(wǎng)格點傳輸?shù)矫荑€ 分配器,并且支持傳遞來自網(wǎng)格密鑰分配器的密鑰材料。
在圖1所示的示例性Ad Hoc多跳通信網(wǎng)絡(luò)100中,所述網(wǎng)絡(luò)的基 礎(chǔ)設(shè)施或"有線"部分包括通過安全有線信道而耦合到AS 150的網(wǎng)格 點入口 (MPP) 141。雖然圖l未示出,但是網(wǎng)格點入口 141可以經(jīng)由 路由器或其它實體(未示出)而耦合到AS 150。在此示例性網(wǎng)絡(luò)中,
11網(wǎng)格密鑰分配器(MKD) 140和AAA客戶端142可以在網(wǎng)格點入口 (MPPM41處實現(xiàn)并使用進程間消息來耦合。在此示例性網(wǎng)絡(luò)配置中, 節(jié)點136與MPP 141相距一個跳,節(jié)點132、 134與MPP 141相距兩 個跳,節(jié)點130與MPP 141相距三個跳,并且節(jié)點110與MPP 141相 距四個跳。在本發(fā)明的一些實施例中,實現(xiàn)MKD實體的網(wǎng)格點入口 141也實現(xiàn)MA實體。
在圖1所示的示例性AdHoc多跳通信網(wǎng)絡(luò)100中,網(wǎng)格密鑰分配 器140耦合到認證、授權(quán)和計費客戶端(AAA客戶端)142,后者又可 通信地耦合到認證、授權(quán)和計費服務(wù)器(AAA服務(wù)器)150。 MKD 140:
(a)從MA向AAA客戶端或從AAA客戶端向MA提供EAP認證消 息轉(zhuǎn)發(fā)服務(wù);(b)導出密鑰并將導出的密鑰傳遞到一個或多個網(wǎng)格認 證器140,允許申請者110加入Ad Hoc網(wǎng)絡(luò)100或建立新的安全關(guān)聯(lián);
(c)導出用于密鑰分配的成對瞬時密鑰(PTK-KD),其允許MA130 請求并解開用來允許與申請者網(wǎng)格點鄰居建立安全關(guān)聯(lián),并且插入和 驗證消息完整性檢査值的密鑰,所述消息完整性檢查值用來確認數(shù)據(jù) 來源真實性和密鑰傳遞及EAP認證消息的消息完整性。
網(wǎng)格密鑰分配器140包括兩組導出的密鑰, 一組用于與網(wǎng)格認證 器通信,并且一組用于向網(wǎng)格認證器傳遞密鑰以允許申請者網(wǎng)格點加 入AdHoc網(wǎng)絡(luò)或建立新的安全關(guān)聯(lián)。這些導出的密鑰組是根據(jù)單一主 密鑰而創(chuàng)建的,所述單一主密鑰是當網(wǎng)格認證器在其與網(wǎng)格網(wǎng)絡(luò)的首 次接觸期間與認證、授權(quán)和計費(AAA)服務(wù)器執(zhí)行EAP認證時創(chuàng)建 的。這提供設(shè)置網(wǎng)格認證器的高效方法,而不需要用于網(wǎng)格認證器角 色的明確、單獨的認證。在示例性AdHoc多跳通信網(wǎng)絡(luò)100中存在的 網(wǎng)格密鑰分配器限定了網(wǎng)格安全域。在網(wǎng)格安全域內(nèi),可以存在多個 網(wǎng)格認證器MA 130,每個在MP處實現(xiàn),并且每個MA保持到MKD 140 的路線和與MKD 140的安全關(guān)聯(lián)。
網(wǎng)格密鑰分配器140使用層2協(xié)議和預定數(shù)據(jù)幀與網(wǎng)格認證器130通信。網(wǎng)格密鑰分配器140利用層2協(xié)議來與網(wǎng)格認證器通信的能力 允許實現(xiàn)高效網(wǎng)格安全關(guān)聯(lián)所需的安全協(xié)議。在本發(fā)明的一些實施例
中,用于網(wǎng)格安全域中的多個網(wǎng)格認證器130的網(wǎng)格密鑰分配器(MKD 140)可以在中央控制器中實現(xiàn),該中央控制器存在于有線網(wǎng)絡(luò)上并且 可經(jīng)由提供網(wǎng)格入口服務(wù)的多個網(wǎng)格點到達所述多個網(wǎng)格認證器。
可通信地耦合到網(wǎng)格密鑰分配器140的是至少一個網(wǎng)格認證器 (MA) 130。雖然在圖1的示例性AdHoc多跳通信網(wǎng)絡(luò)100中圖示了 一個網(wǎng)格認證器130,但是應(yīng)當理解,依照本發(fā)明可以利用一個或任何 多個網(wǎng)格認證器。網(wǎng)格認證器130: (a)通告使申請者(即網(wǎng)格點(MP) 申請者IIO)能夠加入的服務(wù);(b)提供EAP認證消息轉(zhuǎn)發(fā)服務(wù);(c) 從網(wǎng)格密鑰分配器140請求或獲得導出的密鑰,從而允許申請者110 加入Ad Hoc網(wǎng)絡(luò)100或建立新的安全關(guān)聯(lián);(d)導出成對瞬時密鑰 (PTK)以保證與申請者110的鏈路;以及(e)導出用于密鑰分配的 成對瞬時密鑰(PTK-KD),其允許MA 130請求并解開用來與申請者 網(wǎng)格點鄰居建立安全關(guān)聯(lián)并插入和驗證消息完整性檢査值的密鑰,所 述消息完整性檢査值用來確認數(shù)據(jù)來源真實性和密鑰傳遞及EAP認證 消息的消息完整性。
本發(fā)明中提供的網(wǎng)格認證器130保持兩組導出的密鑰, 一組用于 其本身與密鑰分配器之間的密鑰傳輸,并且第二組用于與其對等實體 通信。這些導出的密鑰組是根據(jù)單一主密鑰而創(chuàng)建的,所述單一主密 鑰是當網(wǎng)格認證器在其與網(wǎng)格網(wǎng)絡(luò)的首次接觸期間對認證、授權(quán)和計 費(AAA)服務(wù)器執(zhí)行EAP認證時創(chuàng)建的。這提供設(shè)置網(wǎng)格認證器的 高效方法,而不需要用于網(wǎng)格認證器角色的明確、單獨的認證。所述 認證器廣播被申請者網(wǎng)格點用來在網(wǎng)格安全域中選擇允許使用其在首 次接觸期間創(chuàng)建的密鑰分級結(jié)構(gòu)的網(wǎng)格點認證器的信息。認證器還使 用層2協(xié)議和預定的數(shù)據(jù)幀與密鑰分配器通信。網(wǎng)格認證器利用層2 協(xié)議來與網(wǎng)格密鑰分配器通信的能力允許實現(xiàn)高效網(wǎng)格安全關(guān)聯(lián)所需 的安全協(xié)議。
13節(jié)點110、 130、 132、 134、 136通常支持無基礎(chǔ)設(shè)置模式和有基 礎(chǔ)設(shè)施模式下的同時操作,并且可以在基于基礎(chǔ)設(shè)施的網(wǎng)絡(luò)(包括, 例如網(wǎng)格點入口 141的那些)與無任何基礎(chǔ)設(shè)施的基于客戶端的對等 網(wǎng)絡(luò)之間無縫地移動。例如,可以在多個節(jié)點110、 130、 132、 134、 136 (每個具有無線重發(fā)器和/或路由能力)與可選的有線網(wǎng)格點入口 (MPP) 141之間創(chuàng)建Ad Hoc多跳通信網(wǎng)絡(luò)100。本領(lǐng)域的技術(shù)人員 應(yīng)當理解,雖然圖1的AdHoc網(wǎng)絡(luò)IOO被示為在有基礎(chǔ)設(shè)施的模式(例 如,包括網(wǎng)格點入口 (MPP) 141)下操作,但是圖1的Ad Hoc網(wǎng)絡(luò) 100不需要任何網(wǎng)絡(luò)基礎(chǔ)設(shè)施存在。
在AdHoc多跳網(wǎng)絡(luò)100中,向和/或從節(jié)點110、 130、 132、 134、 136的通信可以相互"跳"以到達網(wǎng)絡(luò)中的其它節(jié)點110、 130、 132、 134、 136。節(jié)點110、 130、 132、 134、 136通??梢允潜辉O(shè)計成允許 接收分組化音頻、視頻和/或數(shù)據(jù)信息的無線設(shè)備。下面在圖2中描述 示例性節(jié)點中的一些組件,諸如示例性處理器、發(fā)射機、接收機和天 線。節(jié)點110、 130、 132、 134、 136可以交換信息作為通過載波頻率 而發(fā)射的數(shù)據(jù)分組,每個包括一個或多個無線通信信道。
在基礎(chǔ)設(shè)施模式下,MPP 141通常耦合到有線網(wǎng)絡(luò)(未示出), 并且可以提供音頻、視頻和/或數(shù)據(jù)信息的一個或多個源。MPP 141可 以是例如蜂窩基站或其它無線接入點。
雖然圖1未示出,但本領(lǐng)域的技術(shù)人員應(yīng)當理解,節(jié)點110、 130、 132、 134、 136也可以通過無線通信介質(zhì)而與基于蜂窩的網(wǎng)絡(luò)(未示出) 傳送信息分組,每個根據(jù)基于蜂窩的網(wǎng)絡(luò)中使用的多址接入方案而包 括一個或多個無線通信信道。
當申請者節(jié)點110嘗試加入網(wǎng)格網(wǎng)絡(luò)100時,申請者節(jié)點110需 要與認證服務(wù)器(AS) 150交換EAP認證業(yè)務(wù)。例如,在用于在網(wǎng)格
14網(wǎng)絡(luò)中建立安全關(guān)聯(lián)的一種方法中,在加入網(wǎng)格網(wǎng)絡(luò)100時的首次接
觸中,申請者節(jié)點110接觸網(wǎng)格認證器(MA) 130 (在相鄰節(jié)點處實 現(xiàn)),以便開始對在線AAA服務(wù)器150的EAP認證。然而,在這種 方法中,網(wǎng)格認證器節(jié)點130不提供AAA客戶端服務(wù),而是與網(wǎng)格密 鑰分配器140通信以獲得用于申請者節(jié)點110的導出密鑰材料。除其 它功能之外,網(wǎng)格密鑰分配器140還耦合到代表網(wǎng)格網(wǎng)絡(luò)中的節(jié)點與 AS 150通信的AAA客戶端142。
在許多情況下,如圖1所示,網(wǎng)格認證器(MA) 130可以位于與 網(wǎng)格密鑰分配器(MKD) 140相距多個無線跳的位置。因此,將來自 申請者節(jié)點110的EAP消息從網(wǎng)格認證器節(jié)點130發(fā)送到網(wǎng)格密鑰分 配器140,并且還在相反的方向上傳輸EAP消息。換言之,由MA130 從申請者節(jié)點110接收到的EAP業(yè)務(wù)被傳送到MKD140,以便由耦合 到MKD 140的AAA客戶端142發(fā)送到AS 150。同樣地,由耦合到 MKD 140的AAA客戶端142接收來自AS 150的EAP業(yè)務(wù),然后必須 在EAP業(yè)務(wù)被發(fā)送到申請者節(jié)點IIO之前將其從MKD 140發(fā)送到MA 130。
現(xiàn)在將相對于圖2來提供示例性節(jié)點的一些組件的說明。 示例性節(jié)點
圖2是示例性節(jié)點200的框圖。節(jié)點200包括處理器201、包括 發(fā)射機電路203和接收機電路205的收發(fā)機202、天線206、顯示器207、 輸入設(shè)備208、用于存儲由處理器201執(zhí)行的操作指令的程序存儲器 209、緩沖存儲器211、 一個或多個通信接口 213以及可移動存儲單元 215。雖然未示出,但是節(jié)點200還優(yōu)選地包括天線開關(guān)、雙工器、循 環(huán)器或用于間歇地從發(fā)射機電路203向天線206以及從天線206向接 收機電路205提供信息分組的其它高度隔離裝置(未示出)。節(jié)點200 優(yōu)選為至少包含圖2所示的所有元件的集成單元以及節(jié)點200執(zhí)行其 特定功能所需的任何其它元件。替代地,節(jié)點200可以包括許多適當互連的單元或設(shè)備,其中,此類單元或設(shè)備執(zhí)行等同于節(jié)點200的元
件所執(zhí)行功能的功能。例如,節(jié)點200可以包括膝上型計算機和無線 LAN (局域網(wǎng))卡。
處理器201優(yōu)選地包括一個或多個微處理器、微控制器、DSP (數(shù) 字信號處理器)、狀態(tài)機、邏輯電路或任何其它設(shè)備或基于操作或編 程指令來處理信息的設(shè)備。此類操作或編程指令優(yōu)選地存儲在程序存 儲器209中。程序存儲器209可以是IC (集成電路)存儲器芯片,其 包含任何形式的RAM (隨機存取存儲器)或ROM (只讀存儲器)、 軟盤、CD-ROM (壓縮磁盤只讀存儲器)、硬盤驅(qū)動器、DVD (數(shù)字 視頻磁盤)、閃速存儲卡或用于存儲數(shù)字信息的任何其它介質(zhì)。本領(lǐng) 域中的普通技術(shù)人員應(yīng)當認識到,當處理器201使其一個或多個功能 由狀態(tài)機或邏輯電路來執(zhí)行時,可以在狀態(tài)機或邏輯電路內(nèi)嵌入包含 相應(yīng)操作指令的存儲器209。下面將詳細描述由處理器201或節(jié)點200 的其余部分執(zhí)行的操作。
發(fā)射機電路203和接收機電路205使節(jié)點200能夠向另一節(jié)點傳 送信息分組并從所述另一節(jié)點獲取信息分組。在這點上,發(fā)射機電路 203和接收機電路205包括常規(guī)電路以使得能夠通過無線通信信道進行 數(shù)字或模擬傳輸。發(fā)射機電路203和接收機電路205被設(shè)計成通過蜂 窩式空中接口 (例如全球移動通信系統(tǒng)(GSM)、碼分多址(CDMA)、 寬帶CDMA(WCDMA)、通用移動通信系統(tǒng)(UMTS)等等)和Ad Hoc 網(wǎng)絡(luò)空中接口 (例如,BLUETOOTH、 802.11 WLAN (無線局域網(wǎng))、 802.16 WiMax等等)來操作。
發(fā)射機電路203和接收機電路205的實現(xiàn)取決于節(jié)點200的實現(xiàn)。 例如,可以將發(fā)射機電路203和接收機電路205實現(xiàn)為適當?shù)臒o線調(diào) 制解調(diào)器,或者實現(xiàn)為雙向無線通信設(shè)備的常規(guī)發(fā)射和接收組件。在 發(fā)射機電路203和接收機電路205被實現(xiàn)為無線調(diào)制解調(diào)器的情況下, 調(diào)制解調(diào)器可以在節(jié)點200內(nèi)部或者可插入節(jié)點200 (例如,在個人計
16算機存儲器卡國際聯(lián)合會(PCMCIA)卡上實現(xiàn)的無線射頻(RF)調(diào) 制解調(diào)器中體現(xiàn))。對于無線通信設(shè)備,優(yōu)選地將發(fā)射機電路203和 接收機電路205實現(xiàn)為依照已知技術(shù)的無線設(shè)備硬件和軟件體系結(jié)構(gòu) 的一部分。發(fā)射機電路203和/或接收機電路205的大部分(如果不是 全部)功能可以在諸如處理器201等處理器中實現(xiàn)。然而,在本文中 已將處理器201、發(fā)射機電路203、和接收機電路205人為地分開以有 利于更好的理解。
接收機電路205被設(shè)計成如果與最近設(shè)備的通信在除網(wǎng)絡(luò)通信頻 帶之外的頻帶中,則允許接收來自至少一個帶寬或可選的更多帶寬內(nèi) 的RF信號。接收機電路205可以可選地包括第一接收機和第二接收機, 或被設(shè)計成允許在兩個或更多帶寬內(nèi)接收的一個接收機。收發(fā)機202 包括至少一組發(fā)射機電路203。所述至少一個發(fā)射機203包括可以被設(shè) 計成允許向多個頻帶上的多個設(shè)備發(fā)射。如同接收機205 —樣,可以 可選地采用雙發(fā)射機203,其中一個發(fā)射機用于到最近節(jié)點的傳輸或到 WLAN的直接鏈路建立,并且另一發(fā)射機用于到蜂窩基站的傳輸。
天線206包括任何已知或開發(fā)的用于在包含無線載波頻率的頻率 范圍內(nèi)放射和接收電磁能的結(jié)構(gòu)。
緩沖存儲器211可以是諸如RAM等任何形式的易失性存儲器, 并依照本發(fā)明用于臨時存儲接收到的信息分組。
當節(jié)點200被構(gòu)造成從視頻源接收視頻信息時,節(jié)點200優(yōu)選地 還包括被設(shè)計成允許將當前運動圖像專家組(MPEG)標準或某種其它 視頻解碼標準解碼的視頻解碼器。當節(jié)點200被進一步設(shè)計成允許發(fā) 射視頻信息時,節(jié)點200優(yōu)選地還包括被設(shè)計成允許將視頻數(shù)據(jù)編碼 成至少一個前述視頻標準的視頻編碼器。此類視頻編碼器和解碼器優(yōu)
選地被實現(xiàn)為處理器201的一部分。為了加強網(wǎng)絡(luò)100中的安全,理想地將是提供用于在網(wǎng)格認證器 節(jié)點130和網(wǎng)格密鑰分配器140之間安全地傳輸EAP消息的機制。從 互操作性觀點來看,理想的將是提供在層2處或以下處操作的用于安 全地傳輸EAP消息的機制,因為此類機制可以為不同的設(shè)備供應(yīng)商提 供用于傳輸EAP消息的通用技術(shù),從而允許來自不同設(shè)備供應(yīng)商的節(jié) 點和設(shè)備互操作。
提供了用于在網(wǎng)格認證器節(jié)點130和網(wǎng)格密鑰分配器140之間建 立用于在網(wǎng)格認證器節(jié)點130和網(wǎng)格密鑰分配器140之間傳輸諸如可 擴展認證協(xié)議(EAP)安全消息等安全關(guān)聯(lián)消息的安全鏈路(或隧道) 的技術(shù)和工藝。這種依照本發(fā)明而實現(xiàn)的安全鏈路(或隧道)可以允 許網(wǎng)格密鑰分配器140將在線認證過程的結(jié)果(例如,認證成功和失 敗)傳送到網(wǎng)格認證器節(jié)點130。
還提供了安全消息傳輸協(xié)議,其采用稱為"網(wǎng)格動作"幀的特定 類型的網(wǎng)格管理幀,,用于傳輸消息。在一個非限制性的示例性實現(xiàn) 中,所公開的安全消息傳輸協(xié)議可以在遵守諸如IEEE 802.11s等IEEE 802.11標準的設(shè)備和網(wǎng)絡(luò)環(huán)境下應(yīng)用。
"網(wǎng)格動作"幀用來跨越一個或多個網(wǎng)格鏈路傳輸管理業(yè)務(wù)。網(wǎng) 格動作幀類型將消息與數(shù)據(jù)幀區(qū)別開,從而允許由適當?shù)膬?nèi)部功能來 處理內(nèi)容。所述網(wǎng)格動作幀允許網(wǎng)格節(jié)點在用戶業(yè)務(wù)與管理業(yè)務(wù)之間 進行區(qū)別以允許通過網(wǎng)格高效的轉(zhuǎn)發(fā),因為節(jié)點可以在不檢査正在轉(zhuǎn) 發(fā)的幀的內(nèi)容的情況下轉(zhuǎn)發(fā)業(yè)務(wù)。將網(wǎng)格動作幀轉(zhuǎn)發(fā)到其目的地節(jié)點 的中間節(jié)點可以以與網(wǎng)格數(shù)據(jù)幀相同的方式來處理幀。所述目的地幀 可以使用"網(wǎng)格動作"幀類型,以有利于在接收到幀時的處理。
網(wǎng)格動作幀包含種類和動作字段,后面是消息內(nèi)容。種類和動作 字段中的數(shù)值唯一地指定消息內(nèi)容的格式,其可以包括信息元素。為
18了保護消息內(nèi)容,使用與網(wǎng)格數(shù)據(jù)幀相同的機制在每個跳處將網(wǎng)格動 作數(shù)據(jù)幀的內(nèi)容加密。
再次參照圖1, 一旦申請者節(jié)點110開始對網(wǎng)格認證器節(jié)點130
的EAP認證,網(wǎng)格認證器節(jié)點130和網(wǎng)格密鑰分配器140可以相互發(fā) 射網(wǎng)格動作幀。該消息的種類和動作值被設(shè)置成允許網(wǎng)格動作幀的內(nèi) 容被自定義成用于EAP傳輸應(yīng)用的特定值。例如,網(wǎng)格認證器節(jié)點可 以生成指定"網(wǎng)格安全"種類和"網(wǎng)格EAP封裝"動作值的特定網(wǎng)格 動作幀。
連同其它特征一起,所公開的技術(shù)和工藝可以在EAP封裝幀中實 現(xiàn)另外的字段,以允許在網(wǎng)格認證器節(jié)點130和網(wǎng)格密鑰分配器140 之間交換對于協(xié)議的正確操作所必不可少的信息并保證消息傳遞的端 到端完整性。例如,這種特定網(wǎng)格動作幀包括用于完整性檢查的消 息完整性檢查(MIC)字段、特殊的EAP消息類型字段、可以用來將 請求和響應(yīng)幀匹配的每個幀中的消息令牌、指定申請者節(jié)點110的地 址的字段以及由申請者節(jié)點110生成的EAP幀。
消息完整性檢査(MIC)字段保護EAP消息不被修改。MIC保證 有效的EAP從MA 130被傳遞到申請者節(jié)點110,或者從MKD 140被 傳遞到認證服務(wù)器(AS) 150。所述特殊的EAP消息類型是為最終響 應(yīng)消息而定義的,所述最終響應(yīng)消息用于傳送諸如安全關(guān)聯(lián)接受消息 或安全關(guān)聯(lián)拒絕消息等認證結(jié)果消息以向MA 130提供附加信息。所述 特殊的EAP消息類型對應(yīng)于用于MK 140處的簡單分配的RADIUS代 碼[RFC 2865]。所述安全關(guān)聯(lián)"接受"EAP消息類型和安全關(guān)聯(lián)"拒絕" EAP消息類型向MA 130提供對認證申請者節(jié)點110執(zhí)行適當動作的 指示。EAP消息類型受到完整性保護(經(jīng)由MIC),因為它們影響MA 處的接入控制特性。由于消息令牌允許請求消息與響應(yīng)消息匹配,所 以其使得能夠?qū)崿F(xiàn)與EAP兼容的鎖步協(xié)議。
19根據(jù)該協(xié)議,當網(wǎng)格認證器節(jié)點130接收到EAPOL分組內(nèi)的EAP 消息時,網(wǎng)格認證器節(jié)點130向網(wǎng)格密鑰分配器140發(fā)射特定網(wǎng)格動 作幀。在接收到該特定網(wǎng)格動作幀時,網(wǎng)格密鑰分配器140可以使用 諸如Radius等安全消息傳輸協(xié)議將消息的內(nèi)容轉(zhuǎn)發(fā)到在線AAA服務(wù)器 150,并用響應(yīng)來回復網(wǎng)格認證器節(jié)點130。替代地,網(wǎng)格密鑰分配器 140可以充當用于在線Radius客戶端的代理,并使用用于進一步處理 和協(xié)議轉(zhuǎn)換的任何私有消息傳輸協(xié)議將消息的內(nèi)容轉(zhuǎn)發(fā)到在線Radius 客戶端。
圖3是示出依照本發(fā)明的一些實施例、用于在申請者節(jié)點110的 認證期間在網(wǎng)狀認證器節(jié)點130和網(wǎng)狀密鑰分發(fā)器140之間提供安全 信道或鏈路的EAP封裝進程300的協(xié)議的消息流圖。
當網(wǎng)格認證器節(jié)點130通過向申請者節(jié)點IIO發(fā)送初始EAP消息 來發(fā)起對申請者節(jié)點110的IEEE 802.1X認證時,進程300在步驟362 開始。所述初始EAP消息在EAPOL分組內(nèi)被承載。
在步驟364,申請者節(jié)點110通過將在EAPOL分組內(nèi)的EAP消 息發(fā)射到MA節(jié)點130來對初始EAP消息作出響應(yīng),以便繼續(xù)在網(wǎng)格 認證器節(jié)點130和申請者節(jié)點IIO之間的認證。
如本文所使用的,術(shù)語"EAP封裝請求消息"指的是具有EAP消 息類型"請求"的EAP封裝網(wǎng)格動作消息。術(shù)語"EAP封裝響應(yīng)消息" 指的是具有EAP消息類型"響應(yīng)"的EAP封裝網(wǎng)格動作消息。術(shù)語"最 終EAP封裝響應(yīng)消息"指的是具有EAP消息類型"接受"或"拒絕" 的EAP封裝網(wǎng)格動作消息。
當MA節(jié)點130從申請者節(jié)點110接收到EAPOL分組內(nèi)的EAP 消息時,在步驟366, MA節(jié)點130向MKD 140發(fā)送包含從申請者節(jié) 點110接收到的EAP消息的EAP封裝請求消息。該消息通過在網(wǎng)格認證器節(jié)點130和網(wǎng)格密鑰分配器140之間的安全信道(例如隧道)被 發(fā)送到網(wǎng)格密鑰分配器140。
在接收到初始EAP封裝請求消息時,網(wǎng)格密鑰分配器140可以使 用諸如Radius等安全消息傳輸協(xié)議通過有線鏈路將消息的內(nèi)容轉(zhuǎn)發(fā)到 在線AAA服務(wù)器150。替代地,網(wǎng)格密鑰分配器140可以充當用于在 線Radius客戶端的代理,并使用用于進一步處理和協(xié)議轉(zhuǎn)換的任何私 有消息傳輸協(xié)議將消息的內(nèi)容轉(zhuǎn)發(fā)到在線Radius客戶端。
在步驟368,網(wǎng)格密鑰分配器140從AS 150接收目的地為申請者 節(jié)點110的EAP響應(yīng)消息,并向MA節(jié)點130發(fā)送包含從AS 150接 收到的EAP響應(yīng)消息的EAP封裝響應(yīng)消息。通過在網(wǎng)格認證器節(jié)點 130和網(wǎng)格密鑰分配器140之間的安全信道(例如,隧道)來發(fā)送該消 息。在步驟370,網(wǎng)格認證器節(jié)點130將EAP響應(yīng)消息在EAPOL分組 內(nèi)轉(zhuǎn)發(fā)到申請者節(jié)點110。
在步驟372,申請者節(jié)點110通過將在EAPOL分組內(nèi)的EAP請 求消息發(fā)射到網(wǎng)格認證器節(jié)點130來對EAP響應(yīng)消息作出響應(yīng)。在步 驟374,網(wǎng)格認證器節(jié)點130通過在網(wǎng)格認證器節(jié)點130和網(wǎng)格密鑰分 配器140之間的安全信道(例如,隧道)將包含從申請者節(jié)點110接 收到的EAP消息的EAP封裝請求消息發(fā)送到網(wǎng)格密鑰分配器140。在 接收到EAP封裝請求消息時,網(wǎng)格密鑰分配器140可以使用諸如Radius 等安全消息傳輸協(xié)議通過有線鏈路將消息的內(nèi)容轉(zhuǎn)發(fā)到在線AAA服務(wù) 器150。替代地,網(wǎng)格密鑰分配器140可以充當用于在線Radius客戶 端的代理,并使用用于進一步處理和協(xié)議轉(zhuǎn)換的任何私有消息傳輸協(xié) 議將EAP封裝請求消息轉(zhuǎn)發(fā)到在線Radius客戶端。
在步驟376,網(wǎng)格密鑰分配器140從AS 150接收目的地為申請者 節(jié)點IIO的最終EAP響應(yīng)消息。網(wǎng)格密鑰分配器140通過在網(wǎng)格認證 器節(jié)點130和網(wǎng)格密鑰分配器140之間的安全信道(例如,隧道)將包含從AS 150接收到的EAP響應(yīng)消息的最終EAP封裝響應(yīng)消息發(fā)送 到網(wǎng)格認證器節(jié)點130。
所述最終EAP封裝響應(yīng)消息包含特殊的EAP消息類型。如果申 請者節(jié)點110的EAP認證成功并且"接受"指示被提供給MKD,則 MKD 140發(fā)送具有EAP消息類型"接受"的最終消息以指示MA 130 申請者節(jié)點IIO應(yīng)被準予接入。例如,如果申請者節(jié)點IIO的EAP認 證導致申請者節(jié)點110被接受,則最終EAP封裝響應(yīng)消息可以具有可 以用來指示接受申請者節(jié)點110的EAP消息類型(例如,消息類型-2)。 替代地,如果EAP認證失敗,則MKD 140向MA 130發(fā)送具有類型"拒 絕"的最終消息。例如,如果申請者節(jié)點IIO的EAP認證導致申請者 節(jié)點110被拒絕,則最終EAP封裝響應(yīng)消息可以具有指示拒絕申請者 節(jié)點110的EAP消息類型(例如,消息類型二3)。在接收到類型"拒 絕"的最終EAP封裝響應(yīng)消息時,MA 130終止與申請者節(jié)點110的 關(guān)聯(lián)。
在步驟378,網(wǎng)格認證器節(jié)點130將最終EAP響應(yīng)消息在EAPOL 分組內(nèi)轉(zhuǎn)發(fā)到申請者節(jié)點110。
圖4是示出依照本發(fā)明的一些實施例的網(wǎng)格管理幀400的格式的 數(shù)據(jù)結(jié)構(gòu)。網(wǎng)格管理幀400包括幀控制字段402、持續(xù)時間字段404、 接收機地址字段406、發(fā)射機地址字段408、目的地地址字段410、序 列控制字段412、源地址字段412、網(wǎng)格轉(zhuǎn)發(fā)控制字段416、主體字段 418禾卩FCS字段420。
幀控制字段402包含將幀識別為網(wǎng)格管理幀所需的信息。此外, 幀控制字段包含可以指示加密消息主體418的受保護幀子字段。
持續(xù)時間字段404包含與以位為單位的幀長度成比例的持續(xù)時間 值。用于網(wǎng)格管理幀的持續(xù)時間值計算是基于確定用以發(fā)射幀交換序
22列中的控制幀的數(shù)據(jù)速率的規(guī)則。
網(wǎng)格管理幀400包括四個地址字段,包括接收機地址字段406、 發(fā)射機地址字段408、目的地地址字段410以及源地址字段414。接收 機地址字段406是作為幀的即刻計劃(immediate intended)接收機的 節(jié)點(或"網(wǎng)格點")的單播地址或作為幀的即刻計劃接收機的節(jié)點
(或"網(wǎng)格點")的多播或廣播地址。發(fā)射機地址字段408是正在發(fā) 射幀的節(jié)點(或"網(wǎng)格點")的地址。目的地地址字段410是幀主體 字段中的網(wǎng)格動作數(shù)據(jù)單元的目的地。源地址字段414是發(fā)起幀主體 字段中的網(wǎng)格動作數(shù)據(jù)單元的節(jié)點(或"網(wǎng)格點")的地址。節(jié)點(或
"網(wǎng)格點")使用RA字段406的內(nèi)容來執(zhí)行用于接收判定的地址匹配。 在RA字段406包含組地址的情況下,SA 414也被驗證以保證來源于 接收節(jié)點(或"網(wǎng)格點")已具有與之建立的鏈路的節(jié)點(或"網(wǎng)格 點")的廣播或多播。節(jié)點(或"網(wǎng)格點")使用TA字段408的內(nèi)容 來指示應(yīng)答,如果需要應(yīng)答。
通過發(fā)射網(wǎng)格點來設(shè)置序列控制字段412,以允許接收網(wǎng)格點通 過按照幀被發(fā)送的順序來設(shè)置接收到的幀來正確地處理接收到的幀并 消除重復接收到的幀。
網(wǎng)格轉(zhuǎn)發(fā)控制字段416包含數(shù)字端到端序列號值和生存時間值。
端到端序列號值允許目的地節(jié)點適當?shù)貙脑垂?jié)點接收到的網(wǎng)格動作 數(shù)據(jù)單元排序。生存時間字段降低在網(wǎng)格網(wǎng)絡(luò)中的某些路由錯誤的可能性。
主體字段418包括網(wǎng)格動作數(shù)據(jù)單元以及安全報頭和安全報尾 (當且僅當幀控制字段中的受保護幀子字段被設(shè)置為1時)。所述網(wǎng) 格動作數(shù)據(jù)單元包含下面將參照圖5更詳細地描述的網(wǎng)格動作字段。 所述網(wǎng)格動作字段包括種類和動作值字段,后面是為每個網(wǎng)格動作定 義的信息元素。
23FCS字段420包含循環(huán)冗余校驗,以檢測在傳輸期間可能已發(fā)生
的幀錯誤。
圖5是示出依照本發(fā)明的一些實施例的通用EAP封裝網(wǎng)格動作消 息500的格式的數(shù)據(jù)結(jié)構(gòu)。EAP封裝網(wǎng)格動作消息500包括種類字段 526 (例如,種類0)和包括動作值528 (例如,動作值6)的網(wǎng)格動作 細節(jié)及EAP封裝信息元素(EAPIE) 530。 EAP封裝網(wǎng)格動作消息是特 定類型的網(wǎng)格動作幀。EAP封裝信息元素530是用來提供EAP消息及 相關(guān)安全信息的傳輸并提供完整性保護的信息元素。
EAP封裝信息元素530包括元素標識符(ID)字段502、長度字 段504、消息完整性檢查(MIC)控制字段506、消息完整性檢査(MIC) 字段514、EAP消息類型字段516、消息令牌字段518、申請者地址(SPA) 字段520和EAP消息字段522。 EAP封裝幀530中的字段可以允許在 網(wǎng)格認證器節(jié)點130和網(wǎng)格密鑰分配器140之間交換對于協(xié)議的正確 操作必不可少的信息并保證消息傳遞的端到端完整性。
長度字段504包含指示元素ID 502和長度504字段后面的信息字 段506-522中的八位字節(jié)的數(shù)目。
MIC控制字段506包括MIC算法字段508、預留字段510和信息 元素(IE)計數(shù)字段512。 MIC控制字段506的IE計數(shù)字段512指示 受到MIC保護并包括在MIC計算中的信息元素的數(shù)目。零值指示不存 在MIC。MIC算法字段508用來選擇計算MIC的可用算法。例如,IETF 如RFC 2104禾tl IETF RFC 1321所定義的,MIC算法字段508可以包含 對應(yīng)于特定MIC算法的值,諸如HMAC-MD5。
MIC字段514包含用于完整性檢查的消息完整性檢查值。使用成 對密鑰和由MIC控制字段506的MCI算法字段508所選擇的算法來計
24算MIC字段514。消息完整性檢査(MIC)字段514保護此IE (例如, EAP消息)及附加報頭信息(例如,目的地地址410和源地址414)的 內(nèi)容不被修改。消息完整性檢查(MIC)字段514保證有效的EAP從 MA 130被傳遞到申請者節(jié)點IIO,或者從MKD 140被傳遞到認證服務(wù) 器(AS) 150。
EAP消息類型字段516識別EAP封裝消息的類型,并將請求消息 和響應(yīng)消息區(qū)別開。響應(yīng)消息被進一步區(qū)分成三種子類型。對于諸如 安全關(guān)聯(lián)接受消息或安全關(guān)聯(lián)拒絕消息等用于傳送關(guān)于EAP認證結(jié)果 的信息的最終響應(yīng)消息定義了特殊的消息類型,以向MA130提供附加 信息。所述特殊的消息類型對應(yīng)于用于MKD 140處的簡單分配的 RADIUS代碼[RFC 2865]。所述關(guān)聯(lián)"接受"消息類型和關(guān)聯(lián)"拒絕" 消息類型向MA130提供對認證申請者節(jié)點IIO執(zhí)行適當動作的指示。 消息類型受到完整性保護(經(jīng)由MIC),因為其影響MA處的接入控 制特性。
每個幀中的消息令牌字段518可以用來使響應(yīng)消息與請求消息匹 配(例如,將請求和響應(yīng)幀對匹配)。在請求消息(例如,具有請求 類型的消息)中,消息令牌字段518包含隨機亂數(shù)(random nonce)。 在響應(yīng)消息(例如,具有響應(yīng)消息類型、安全關(guān)聯(lián)接受消息類型以及 安全關(guān)聯(lián)拒絕消息類型的消息)中,消息令牌字段518包含相應(yīng)請求 消息中的消息令牌字段的值(例如,響應(yīng)消息對應(yīng)的請求消息中的消 息令牌字段的值)。由于消息令牌允許使請求消息與響應(yīng)消息匹配, 所以其使得能夠?qū)崿F(xiàn)與EAP兼容的鎖步協(xié)議。
SPA字段520包含經(jīng)歷EAP認證的申請者節(jié)點110的媒體接入控 制(MAC)地址。EAP消息字段522包含具有如IETF RFC 3748中定 義的格式的EAP分組。
圖6是示出依照本發(fā)明的一些實施例的網(wǎng)格EAP消息傳輸協(xié)議600的消息流圖。網(wǎng)格EAP消息傳輸協(xié)議600描述MA 130如何在申 請者節(jié)點的初始高效網(wǎng)格安全關(guān)聯(lián)(EMSA)認證期間發(fā)起并對申請者 節(jié)點110執(zhí)行EAP認證。網(wǎng)格EAP消息傳輸協(xié)議600允許通過在MA 130和MKD 140之間的網(wǎng)格網(wǎng)絡(luò)來傳輸EAP請求消息(由申請者節(jié)點 110發(fā)起并針對AS 150)并且傳輸EAP響應(yīng)消息(由AS 150發(fā)起并針 對申請者節(jié)點110)。
網(wǎng)格EAP消息傳輸協(xié)議600可以利用網(wǎng)格動作幀來在網(wǎng)格密鑰持 有者之間中繼EAP認證消息以允許加入的申請者節(jié)點110對中央AS 150認證。
在步驟610, MA 130向網(wǎng)格密鑰分配器140發(fā)送EAP封裝網(wǎng)格 動作消息(例如,幀),以傳輸來自申請者節(jié)點IIO的EAP消息或請 求AS發(fā)起EAP認證("EAP開始")。在步驟610發(fā)射的EAP封裝 網(wǎng)格動作請求消息包括種類字段(例如,種類0)和包括動作值(例如, 指示EAP封裝消息的動作值6)的網(wǎng)格動作細節(jié)及EAP封裝信息元素 530。MKD 140的MAC地址在消息報頭的DA字段中聲明,并且MA 130 的MAC地址在消息報頭的SA字段中聲明。
當由MA 130發(fā)送的EAP封裝網(wǎng)格動作消息是EAP封裝請求消息 時,EAP封裝信息元素包括元素標識符(ID)字段,其將該元素識別 為EAP封裝IE;長度字段;包括用來選擇計算MIC的可用算法的MIC 算法字段的消息完整性檢查(MIC)控制字段、預留字段和指定一個 正受到MIC保護并包括在MIC計算中的信息元素(IE)計數(shù)字段;消 息完整性檢查(MIC)字段,其包含用于完整性檢査并保證有效的EAP 消息從MKD 140被傳遞到認證服務(wù)器(AS) 150的消息完整性檢査值; EAP消息類型字段,其指定消息類型是請求(例如,值為1);消息令 牌字段,其指定由MA節(jié)點130選擇的唯一亂數(shù)值;申請者地址(SPA) 字段,其指定參與EAP認證的申請者節(jié)點IIO的MAC地址;以及EAP 消息字段,其包含具有如IETF RFC 3748中定義的格式的EAP分組。
26如上所述,消息完整性檢查(MIC)字段514保護此IE (例如,EAP 消息)和附加報頭信息的內(nèi)容不被修改。消息完整性檢査(MIC)字段 包含用于完整性檢査的消息完整性檢查值。對按以下順序的級聯(lián)通過 以下的MIC控制字段的MIC算法子字段所選擇的算法而使用成對密鑰 (例如,在MA節(jié)點130和MKD 140之間共享的安全密鑰)來計算
MIC字段
MA MAC地址, MKD MAC地址,
EAP封裝IE的內(nèi)容,MIC字段被設(shè)置為O。
當由MA 130發(fā)送的EAP封裝網(wǎng)格動作消息是EAP開始通知消息 時,EAP封裝信息元素除可以省略的EAP消息字段之外包括許多相同 的字段。
在接收到來自MA 130的EAP封裝請求消息時,MKD 140檢驗 MIC并存儲用于構(gòu)造EAP封裝響應(yīng)消息的消息令牌。
在步驟620,網(wǎng)格密鑰分配器140對來自MA節(jié)點130的請求作 出響應(yīng)并向MA 130發(fā)送EAP封裝網(wǎng)格動作消息以傳輸來自AS 150的 EAP消息,并在序列的最終響應(yīng)消息中提供EAP認證成功的指示。EAP 封裝網(wǎng)格動作消息(例如,EAP封裝EMSA網(wǎng)格動作幀)可以根據(jù)上 下文而具有至少三種不同類型之一。 一種類型是"響應(yīng)"類型(例如, EAP封裝網(wǎng)格動作響應(yīng)消息)。另一種類型是"拒絕"類型(例如, EAP封裝網(wǎng)格動作拒絕消息)。再一種類型是"接受"類型(例如, EAP封裝網(wǎng)格動作接受消息)。在這些消息中,MA130的MAC地址 可以在消息報頭的DA字段中聲明,并且MKD 140的MAC地址可以 在消息報頭的SA字段中聲明。
在圖6中,在步驟620發(fā)射的EAP封裝網(wǎng)格動作消息包括種類字 段(例如,種類0)和包括動作值(例如,指示EAP封裝消息的動作
27值6)的網(wǎng)格動作細節(jié)及EAP封裝信息元素,諸如圖5所示的。
EAP封裝信息元素包括元素標識符(ID)字段,其將元素識別為 EAP封裝IE;長度字段,其指示元素ID和長度字段之后的信息字段中 的八位字節(jié)的數(shù)目;消息完整性檢査(MIC)控制字段,其包括用來選 擇用于計算MIC的可用算法的MIC算法字段、預留字段和指定幀包括 將受到MIC保護并包括在MIC計算中的一個IE的信息元素(IE)計 數(shù)字段;消息完整性檢査(MIC)字段,其包含用于完整性檢査的消息 完整性檢查值以保證有效的EAP消息從MA 130被傳遞到申請者節(jié)點 110; EAP消息類型字段,其指定消息類型是響應(yīng)、安全關(guān)聯(lián)接受或安 全關(guān)聯(lián)拒絕類型(例如,值2、 3或11);消息令牌字段,其包含在響 應(yīng)消息對應(yīng)的相應(yīng)請求消息中的消息令牌字段的值(例如,指定與MA 130所選擇的唯一亂數(shù)值相同并被發(fā)射到MKD 140的亂數(shù)值);申請 者地址(SPA)字段,其指定正在經(jīng)歷或參與EAP認證的申請者節(jié)點 110的MAC地址(例如,SPA字段可以被設(shè)置成包含在此EAP封裝響 應(yīng)消息對應(yīng)的EAP封裝請求消息中的值);以及EAP消息字段,其包 含具有如IETF RFC 3748中定義的格式的EAP分組。
對按以下順序的級聯(lián)通過以下的MIC控制字段的MIC算法子字 段所選擇的算法而使用成對密鑰(例如,在MA節(jié)點130和MKD 140 之間共享的安全密鑰)來計算在消息完整性檢查(MIC)字段中的消息 完整性檢査值
MA MAC地址,
MKDMAC地址,
EAP封裝IE的內(nèi)容,MIC字段被設(shè)置為O。
如上所述,消息類型字段指定EAP封裝網(wǎng)格動作消息的消息"類 型"(例如,EAP封裝EMSA網(wǎng)格動作幀)。消息類型受到完整性保 護(經(jīng)由MIC),因為它們影響MA 130處的接入控制特性。EAP封 裝網(wǎng)格動作消息可以根據(jù)上下文而具有至少三種不同類型之一。一種類型是"接受"類型(例如,EAP封裝網(wǎng)格動作接受消息)。 例如,在一種實現(xiàn)中,如果EAP封裝網(wǎng)格動作消息是序列的最終消息, 并且申請者節(jié)點110的EAP認證導致"接受"指示,則EAP消息類型 字段可以被設(shè)置為二 (例如,0x02)以指示"接受"(例如,為指示 申請者節(jié)點110的"接受"的安全關(guān)聯(lián)接受消息)。
另一種類型是"拒絕"類型(例如,EAP封裝網(wǎng)格動作拒絕消息)。 例如,在一種實現(xiàn)中,如果EAP封裝網(wǎng)格動作消息是序列的最終消息, 并且申請者節(jié)點110的EAP認證導致"拒絕"指示(例如,指示申請 者節(jié)點110的"拒絕"的安全關(guān)聯(lián)拒絕消息),則EAP消息類型字段 可以為三(例如,0x03)以指示"拒絕"。
還有另一種消息類型是"響應(yīng)"消息類型(例如,EAP封裝網(wǎng)格 動作響應(yīng)消息)。例如,如果EAP封裝網(wǎng)格動作消息不是EAP封裝網(wǎng) 格動作接受消息或EAP封裝網(wǎng)格動作拒絕消息,則EAP消息類型字段 可以被設(shè)置為11 (例如,0x0B)以指示"響應(yīng)"消息類型。
因此,"接受"消息類型和"拒絕"消息類型可以由此被用來當 認證申請者節(jié)點110時向MA 130提供執(zhí)行適當動作的指示。
在接收到來自MKD 140的EAP封裝網(wǎng)格動作消息時,MA 130檢 驗MIC。而且如上所述,在每個幀中的消息令牌字段可以被用來使響 應(yīng)消息與請求消息匹配(例如,將請求和響應(yīng)幀對匹配)。同樣地, 在接收到來自MKD140的EAP封裝網(wǎng)格動作消息時,MA130也檢驗 在響應(yīng)消息中接收到的消息令牌與在最近請求消息中發(fā)送的值匹配。 如果最后響應(yīng)消息接收具有EAP消息類型"拒絕",則MA 130可以 終止與申請者節(jié)點110的關(guān)聯(lián)。
下面將相對于圖7和8分別進一步描述在EAP封裝協(xié)議600期間
29在MA節(jié)點130和網(wǎng)格密鑰分配器(MKD) 140處發(fā)生的處理。
圖7是示出依照本發(fā)明的一些實施例的用于多跳網(wǎng)絡(luò)100中的網(wǎng) 格認證器(MA) 130處的EAP封裝的示例性過程700的流程圖700。
當網(wǎng)格認證器(MA) 130接收到申請者節(jié)點110已經(jīng)執(zhí)行與MA 130的關(guān)聯(lián)但尚未被認證的指示時,過程700在步驟702開始。在步驟 704,網(wǎng)格認證器(MA) 130確定網(wǎng)格認證器(MA) 130是否知道要 發(fā)送的第一 EAP消息。例如,MA 130可以基于申請者節(jié)點110的MAC 地址知道配置申請者節(jié)點110使用的特定認證協(xié)議,并且還可以知道 必須被發(fā)送到申請者節(jié)點110的認證協(xié)議的第一消息的格式。如果MA 130不知道要發(fā)送的第一消息的格式,則其可以向MKD發(fā)送EAP封裝 請求消息,以便請求由AS 150生成認證協(xié)議的第一消息。
如果網(wǎng)格認證器(MA)節(jié)點BO不知道要發(fā)送的第一EAP消息, 則過程700繼續(xù)進行到步驟706,其中網(wǎng)格認證器(MA)節(jié)點130利 用指定消息類型為請求(例如,l或0x01)的EAP消息類型字段、指 定MA節(jié)點130所選擇的唯一亂數(shù)值的消息令牌字段以及指定參與 EAP認證的申請者的MAC地址的申請者地址(SPA)字段來構(gòu)造EAP 封裝信息元素。在步驟706,網(wǎng)格認證器(MA)節(jié)點130也省略EAP 消息字段,并且計算和插入消息完整性檢査(MIC)字段。消息完整性 檢査(MIC)字段保護此IE (例如,EAP消息)和附加報頭信息的內(nèi) 容不被修改。在步驟706,網(wǎng)格認證器(MA)節(jié)點130也構(gòu)造網(wǎng)格動 作幀,將EAP封裝信息元素插入網(wǎng)格動作幀中,并將該網(wǎng)格動作幀發(fā) 送到MKD140。然后,過程700繼續(xù)進行到步驟714。
如果網(wǎng)格認證器(MA) 130知道要發(fā)送的第一EAP消息,則過程 700繼續(xù)進行到步驟708,其中網(wǎng)格認證器(MA) 130將第一EAP消 息在EAPOL分組內(nèi)發(fā)送到申請者節(jié)點110。在步驟710,網(wǎng)格認證器 (MA) 130等待并接收來自申請者節(jié)點110的EAPOL分組內(nèi)的EAP
30消息。
在步驟712,網(wǎng)格認證器(MA) 130利用指定消息類型為請求(例 如,0x01)的EAP消息類型字段、指定MA節(jié)點130所選擇的唯一亂 數(shù)值的消息令牌字段以及指定參與EAP認證的申請者節(jié)點110的MAC 地址的申請者地址(SPA)字段來構(gòu)造EAP封裝信息元素。在步驟712, 網(wǎng)格認證器(MA)節(jié)點130也插入從申請者節(jié)點110獲得的EAP消 息,并且計算和插入消息完整性檢査(MIC)字段,該消息完整性檢査 (MIC)字段包含用于完整性檢査的消息完整性檢査值以保證有效的 EAP消息從MKD 140被傳遞到認證服務(wù)器(AS) 150。消息完整性檢 査(MIC)字段保護此IE (例如,EAP消息)和附加報頭信息的內(nèi)容 不被修改。在步驟712,網(wǎng)格認證器(MA)節(jié)點130也構(gòu)造網(wǎng)格動作 幀,將EAP封裝信息元素插入網(wǎng)格動作幀中,并將網(wǎng)格動作幀發(fā)送到 MKD140。然后,過程700繼續(xù)進行到步驟714。
在步驟714,網(wǎng)格認證器(MA)節(jié)點130等待并接收來自MKD 140 的EAP封裝網(wǎng)格動作消息。
一旦網(wǎng)格認證器(MA)節(jié)點130接收到來自MKD 140的EAP封 裝網(wǎng)格動作消息,則在步驟716,網(wǎng)格認證器(MA) 130確定來自消 息完整性檢査(MIC)字段的消息完整性檢査值是否有效。而且如上所 述,在每個幀中的消息令牌字段可以被用來使EAP封裝響應(yīng)消息與 EAP封裝請求消息匹配(例如,將請求和響應(yīng)幀對匹配)。在步驟716, 網(wǎng)格認證器(MA) 130還確定在EAP封裝響應(yīng)消息中接收到的申請者 地址(SPA)字段和消息令牌字段中指定的申請者節(jié)點的MAC地址是 否與在最近EAP封裝請求消息中指定的那些地址匹配。
如果在步驟716這些條件之一不滿足,則過程700繼續(xù)進行到718, 其中過程700返回到網(wǎng)格認證器(MA)節(jié)點130等待并接收來自MKD 140的另一或新EAP封裝響應(yīng)消息的步驟714。相反,如果滿足了步驟
31716的每個條件,則過程700繼續(xù)進行到網(wǎng)格認證器(MA) 130將EAP 消息在EAPOL分組內(nèi)發(fā)送到申請者節(jié)點110的步驟720。
如果申請者節(jié)點110的EAP認證被AS 150接受,則最終EAP封 裝響應(yīng)消息具有等于2 (例如,0x02)的EAP消息類型。同樣地,在 步驟722,網(wǎng)格認證器(MA) 130確定最終EAP封裝響應(yīng)消息是否包 含EAP消息類型2,以確定申請者節(jié)點110是否被接受。如果最終EAP 封裝響應(yīng)消息包含EAP消息類型2,則在步驟724,網(wǎng)格認證器(MA) 130執(zhí)行"接受"處理,并且過程700在步驟726結(jié)束。
如果申請者節(jié)點110的EAP認證失敗,則MKD 140向MA 130 發(fā)送具有類型"拒絕"的最終EAP封裝響應(yīng)消息。同樣地,在步驟728, 網(wǎng)格認證器(MA) 130確定最終EAP封裝響應(yīng)消息是否具有等于3 (例 如,0x03)的EAP消息類型,以確定申請者節(jié)點110是否被拒絕。在 接收到類型"拒絕"的最終EAP封裝響應(yīng)消息時,MA 130終止與申 請者節(jié)點110的關(guān)聯(lián)。在步驟730,網(wǎng)格認證器(MA) 130執(zhí)行"拒 絕"處理,并且過程700在步驟726結(jié)束。
在步驟732,過程700進行到網(wǎng)格認證器(MA) 130等待并接收 來自申請者節(jié)點110的EAPOL分組內(nèi)的另一 EAP消息的步驟710。在 這種情況下,己經(jīng)確定EAP封裝響應(yīng)消息不是包含EAP消息類型"接 受"或"拒絕"的最終EAP封裝響應(yīng)消息,并且因此,應(yīng)當考慮來自 MKD 140的另一 EAP封裝網(wǎng)格動作消息。
圖8是示出依照本發(fā)明的一些實施例的用于在多跳網(wǎng)絡(luò)100中的 網(wǎng)格密鑰分配器(MKD)140處的EAP封裝的示例性過程的流程圖800。
當網(wǎng)格密鑰分配器(MKD) 140接收到諸如參照圖6描述的EAP 封裝請求消息時,過程800在步驟802開始。(MKD) 140確定在EAP封裝網(wǎng)格 動作消息中的MIC值是否有效,以保證接收到的消息的完整性。如果 在EAP封裝網(wǎng)格動作消息中的MIC值無效,則該過程在步驟830結(jié)束。
如果在EAP封裝請求消息中的MIC值有效,則在步驟806,網(wǎng)格 密鑰分配器(MKD) 140存儲來自EAP封裝請求消息的消息令牌和申 請者地址(SPA)。消息令牌字段包含由MA130選擇的唯一亂數(shù)值。 所述SPA字段指定正在經(jīng)歷或參與EAP認證的申請者節(jié)點110的MAC 地址。
在步驟808,網(wǎng)格密鑰分配器(MKD) 140確定EAP消息是否被 包括在EAP封裝請求消息內(nèi)的EAP封裝IE中。如果IE不包括EAP 消息,則在步驟810,網(wǎng)格密鑰分配器(MKD) 140向AAA客戶端發(fā) 送EAP開始指示。然后,該過程繼續(xù)進行到步驟814。
如果在EAP封裝請求消息內(nèi)的EAP封裝IE不包括EAP消息,則 在步驟812,網(wǎng)格密鑰分配器(MKD) 140向正運行在MKD 140上的 客戶端進程提供EAP消息用于傳遞到AS 150。
在步驟814,網(wǎng)格密鑰分配器(MKD) 140從正運行在MKD 140 上的AAA客戶端進程接收由AS 150生成的EAP消息。
在步驟816, MKD 140構(gòu)造EAP封裝信息元素,該EAP封裝信 息元素包括來自在步驟806存儲的EAP封裝請求消息的消息令牌和 SPA,并包括來自在步驟814中接收到的AAA客戶端的EAP消息。
如上所述,來自AAA客戶端的EAP消息將包括消息類型字段, 該消息類型字段可以具有指定EAP封裝響應(yīng)消息的EAP消息類型的至 少三種不同類型之一。
33在步驟818,網(wǎng)格密鑰分配器(MKD) 140確定AAA客戶端是否 指示申請者節(jié)點110請求的"接受"。
如果AAA客戶端指示接受,則在步驟820,網(wǎng)格密鑰分配器 (MKD) 140設(shè)置EAP封裝IE的EAP消息類型字段,以指示申請者 節(jié)點110的"接受"。例如,在一種實現(xiàn)中,如果EAP消息是序列的 最終消息,并且申請者節(jié)點110的EAP認證導致"接受"指示,則EAP 消息類型字段可以被設(shè)置為二 (例如0x02),以指示"接受"(例如, 指示申請者節(jié)點110的"接受")。然后,過程800繼續(xù)進行到步驟 828。
如果在步驟818中AAA客戶端未指示接受,則在步驟822,網(wǎng)格 密鑰分配器(MKD) 140確定AAA客戶端是否指示申請者節(jié)點110請 求的"拒絕"。
如果AAA客戶端指示申請者節(jié)點110認證的"拒絕",則在步驟 824,網(wǎng)格密鑰分配器(MKD) 140設(shè)置EAP封裝IE的EAP消息類型 字段以指示申請者節(jié)點110的"拒絕"。例如,在一種實現(xiàn)中,如果 EAP消息是序列的最終消息,并且申請者節(jié)點110的EAP認證導致"拒 絕"指示,則EAP消息類型字段可以是三(例如,0x03)以指示"拒 絕"(例如,指示申請者節(jié)點110的"拒絕")。
如果AAA客戶端未指示申請者節(jié)點110請求的"拒絕",則在步 驟826,網(wǎng)格密鑰分配器(MKD) 140將EAP封裝IE的EAP消息類 型字段設(shè)置成"響應(yīng)"消息類型。例如,在一種實現(xiàn)中,如果EAP封 裝響應(yīng)消息不是指示"接受"或"拒絕"的最終EAP封裝響應(yīng)消息, 則EAP封裝IE的EAP消息類型字段可以被設(shè)置為11 (例如,0x0B) 以指示"響應(yīng)"消息類型。然后,過程800繼續(xù)進行到步驟828。
在步驟828,網(wǎng)格密鑰分配器(MKD) 140計算MIC,將其插入 EAP封裝IE中,構(gòu)造包含EAP封裝IE的網(wǎng)格動作幀,并將該網(wǎng)格動
34作幀發(fā)送到MA 130。對按以下順序的級聯(lián)通過以下的MIC控制字段 的MIC算法子字段所選擇的算法而使用成對密鑰來計算消息完整性檢 查(MIC)字段中的消息完整性檢査值MA MAC地址、MKD MAC 地址以及MIC字段設(shè)置為0的EAP封裝IE的內(nèi)容。在步驟830,過程 800結(jié)束。
在前述說明書中,己經(jīng)描述了本發(fā)明的特定實施例。然而,本領(lǐng) 域的技術(shù)人員理解,在不脫離如以下權(quán)利要求所闡明的本發(fā)明的范圍 的情況下可以進行各種修改和變更。
因此,本說明書和附圖應(yīng)當被視為說明性而非限制性的,并且所 有此類修改旨在被包括在本發(fā)明的范圍內(nèi)。益處、優(yōu)點、問題解決方 案以及可能使得任何益處、優(yōu)點或解決方案發(fā)生或變得更加明顯的任 何元素不應(yīng)被解釋為任何或全部權(quán)利要求的關(guān)鍵、要求或必要特征或 元素。本發(fā)明僅由權(quán)利要求單獨地限定,權(quán)利要求包括在本申請待決 期間進行的任何修改和授權(quán)的那些權(quán)利要求的所有等同物。
權(quán)利要求
1. 一種網(wǎng)絡(luò),包括第一節(jié)點,被配置成向網(wǎng)格認證器節(jié)點發(fā)射第一分組,其中,所述第一分組包括EAP請求消息;網(wǎng)格認證器節(jié)點,被配置成接收所述第一分組并發(fā)射第一EAP封裝請求消息,其中,所述第一EAP封裝請求消息包括所述EAP請求消息;網(wǎng)格密鑰分配器,被配置成通過在所述網(wǎng)格認證器節(jié)點和網(wǎng)格密鑰分配器之間的安全信道來接收所述第一EAP封裝請求消息;以及認證服務(wù)器,被配置成通過有線鏈路從所述網(wǎng)格密鑰分配器接收所述第一EAP封裝消息的內(nèi)容以認證所述第一節(jié)點,生成最終EAP響應(yīng)消息,并且將所述最終EAP響應(yīng)消息發(fā)射到所述網(wǎng)格密鑰分配器,其中,所述網(wǎng)格密鑰分配器被配置成從所述認證服務(wù)器接收所述最終EAP響應(yīng)消息,向所述網(wǎng)格認證器節(jié)點生成最終EAP封裝響應(yīng)消息,并且通過所述安全信道將所述最終EAP封裝響應(yīng)消息發(fā)射到所述網(wǎng)格認證器,其中,所述最終EAP封裝響應(yīng)消息包括EAP響應(yīng)消息并具有消息類型。
2. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò),其中,所述第一EAP封裝消息包括EAP封裝請求消息,包括第一EAP封裝信息元素。
3. 根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò),其中,所述第一EAP封裝信息元素包括第一消息完整性檢查(MIC)字段,包含用于完整性檢査的消息完整性檢查值并保證有效的EAP消息從所述網(wǎng)格密鑰分配器被傳遞到所述認證服務(wù)器;第一EAP消息類型字段,指定所述消息類型是請求;第一消息令牌字段,指定由所述網(wǎng)格認證器節(jié)點選擇的唯一亂數(shù)值;以及第一EAP消息字段,包含EAP請求消息。
4. 根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò),其中,所述第一EAP封裝信息元素還包括第一消息完整性檢査(MIC)控制字段,包括用來選擇計算所述MIC的算法的MIC算法字段、預留字段和信息元素(IE)計數(shù)字段,該信息元素計數(shù)字段指定一個IE受到所述MIC保護并包括在所述MIC計算中;以及第一地址字段,指定所述第一節(jié)點的所述MAC地址。
5. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò),其中,所述最終EAP封裝響應(yīng)消息還包括第二 EAP封裝信息元素。
6. 根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò),其中,所述第二EAP封裝信息元素包括第二消息完整性檢查(MIC)字段,包含用于完整性檢査的消息完整性檢査值以保證有效的EAP響應(yīng)消息將從所述網(wǎng)格認證器節(jié)點被傳遞到所述第一節(jié)點;第二EAP消息類型字段,指定所述消息類型;第二消息令牌字段,包含在所述EAP封裝響應(yīng)消息對應(yīng)的相應(yīng)EAP封裝請求消息中的所述消息令牌字段的所述值,其中,所述第二消息令牌字段指定與所述網(wǎng)格認證器節(jié)點所選擇的所述唯一亂數(shù)值相同的值;以及第二EAP消息字段,包含EAP響應(yīng)消息。
7. 根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò),其中,所述第二EAP封裝信息元素還包括第二消息完整性檢查(MIC)控制字段,包括用來選擇計算所述MIC的算法的MIC算法字段、預留字段和信息元素(IE)計數(shù)字段,該信息元素計數(shù)字段指定所述幀包括將受到所述MIC保護并包括在所述MIC計算中的一個IE;以及第二地址字段,指定所述第一節(jié)點的所述MAC地址。
8. —種方法,包括將第一分組從第一節(jié)點發(fā)射到第二節(jié)點,其中,所述第一分組包括EAP請求消息;在所述第二節(jié)點處接收所述第一分組;通過在所述第二節(jié)點和網(wǎng)格密鑰分配器之間的所述安全信道將第一 EAP封裝請求消息從所述第二節(jié)點發(fā)射到所述網(wǎng)格密鑰分配器,其中,所述第一EAP封裝請求消息包括所述EAP請求消息;以及通過在所述第二節(jié)點和所述網(wǎng)格密鑰分配器之間的所述安全信道將最終EAP封裝響應(yīng)消息從所述網(wǎng)格密鑰分配器發(fā)射到所述第二節(jié)點,其中,所述最終EAP封裝響應(yīng)消息包括消息類型的指示。
9. 根據(jù)權(quán)利要求8所述的方法,還包括將所述第一 EAP封裝請求消息的內(nèi)容從所述網(wǎng)格密鑰分配器傳遞到認證服務(wù)器;在所述認證服務(wù)器處認證所述第一節(jié)點,并在所述網(wǎng)格密鑰分配器處生成最終EAP封裝響應(yīng)消息,以及將所述最終EAP封裝響應(yīng)消息發(fā)射到所述第二節(jié)點,其中所述最終EAP封裝響應(yīng)消息包括EAP響應(yīng)消息并具有消息類型;以及在所述第二節(jié)點處接收來自所述網(wǎng)格密鑰分配器的所述最終EAP封裝響應(yīng)消息。
10. 根據(jù)權(quán)利要求8所述的方法,其中,所述第一EAP封裝消息包括EAP封裝請求消息,包括第一種類字段;第一動作值字段;以及第一EAP封裝信息元素。
全文摘要
本公開涉及用于在網(wǎng)格認證器和網(wǎng)格密鑰分配器之間建立用于傳輸安全關(guān)聯(lián)消息的安全鏈路的工藝和技術(shù)。該安全鏈路可以允許網(wǎng)格密鑰分配器將認證過程的結(jié)果傳送到網(wǎng)格認證器。
文檔編號H04L9/00GK101512958SQ200780033309
公開日2009年8月19日 申請日期2007年8月8日 優(yōu)先權(quán)日2006年9月7日
發(fā)明者史蒂芬·P·埃梅奧特, 安東尼·J·布拉斯基奇 申請人:摩托羅拉公司