專利名稱：具有密鑰分配功能的網(wǎng)絡(luò)接入節(jié)點(diǎn)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種用于無線結(jié)合到網(wǎng)絡(luò)中的終端設(shè)備的網(wǎng)絡(luò)接入節(jié)點(diǎn)、一種包括這些網(wǎng)絡(luò)接入節(jié)點(diǎn)中的至少一個(gè)的網(wǎng)絡(luò)、一種用于在該網(wǎng)絡(luò)中準(zhǔn)備轉(zhuǎn)換(Handover)過程的方法、一種用于配置該網(wǎng)絡(luò)的構(gòu)成的方法、以及一種具有與本發(fā)明方法相對(duì)應(yīng)的指令的計(jì)算機(jī)程序。本發(fā)明可以在因特網(wǎng)協(xié)議承載語音(Voice-over-IP)應(yīng)用和視頻點(diǎn)播 (Video-on-Demand)應(yīng)用中、尤其是在局部網(wǎng)絡(luò)、尤其是WLAN中使用。本發(fā)明可以專門在網(wǎng)狀網(wǎng)絡(luò)中使用。
背景技術(shù)：
無線網(wǎng)絡(luò)在家用領(lǐng)域和辦公領(lǐng)域中越來越多地得到推廣。這種網(wǎng)絡(luò)的基本標(biāo)準(zhǔn)是 IEEE 802. 11標(biāo)準(zhǔn)。網(wǎng)狀網(wǎng)絡(luò)是具有靈活布局的無線網(wǎng)絡(luò)。網(wǎng)狀網(wǎng)絡(luò)的有聯(lián)網(wǎng)能力的節(jié)點(diǎn)具有用于識(shí)別布局變化或用于建立備用路由的特征。對(duì)于因特網(wǎng)來說，諸如因特網(wǎng)協(xié)議承載語音(VoIP)和視頻點(diǎn)播(VoD)的實(shí)時(shí)應(yīng)用是已知的。實(shí)時(shí)通信的終點(diǎn)通常是所謂的“站點(diǎn)”或“客戶端”，即沒有聯(lián)網(wǎng)能力的終端設(shè)備。為了結(jié)合到網(wǎng)狀網(wǎng)絡(luò)中，這些終端設(shè)備必須與網(wǎng)狀網(wǎng)絡(luò)的接入節(jié)點(diǎn)相聯(lián)合。響應(yīng)于網(wǎng)狀網(wǎng)絡(luò)的布局變化或終端設(shè)備經(jīng)由網(wǎng)狀網(wǎng)絡(luò)接入節(jié)點(diǎn)的多個(gè)無線電小區(qū)的移動(dòng)，在此設(shè)置轉(zhuǎn)換過程，在這些轉(zhuǎn)換過程中，與接入節(jié)點(diǎn)聯(lián)合的終端設(shè)備重新與網(wǎng)狀網(wǎng)絡(luò)的另一接入節(jié)點(diǎn)相聯(lián)合。轉(zhuǎn)換過程的速度特別是對(duì)于實(shí)時(shí)應(yīng)用來說在采用無線連接的情況下對(duì)于這種實(shí)時(shí)應(yīng)用的質(zhì)量和可實(shí)施性是決定性的。因此，為了使沒有聯(lián)網(wǎng)能力的終端設(shè)備實(shí)現(xiàn)實(shí)時(shí)能力，應(yīng)該從一個(gè)接入節(jié)點(diǎn)向另一個(gè)接入節(jié)點(diǎn)盡可能無延遲地和無分組損失地運(yùn)行轉(zhuǎn)換過程。802. 11網(wǎng)絡(luò)利用通常經(jīng)由有線連接來彼此通信的靜止接入節(jié)點(diǎn)工作。在網(wǎng)狀網(wǎng)絡(luò)中，用于接入節(jié)點(diǎn)之間的密鑰分配的通信由于無線傳輸而比在有線通信的情況下更不可靠，并且由于多跳通信而具有提高的延遲。這導(dǎo)致了網(wǎng)狀網(wǎng)絡(luò)中的較緩慢的轉(zhuǎn)換過程。由于網(wǎng)狀節(jié)點(diǎn)以及終端設(shè)備或站點(diǎn)的移動(dòng)性，轉(zhuǎn)換過程在網(wǎng)狀網(wǎng)絡(luò)中此外更加經(jīng)常地發(fā)生。網(wǎng)狀節(jié)點(diǎn)以及終端設(shè)備的移動(dòng)性可導(dǎo)致轉(zhuǎn)換過程的數(shù)量提高。在網(wǎng)狀網(wǎng)絡(luò)中，接入節(jié)點(diǎn)經(jīng)由無線媒體運(yùn)行易有故障的通信，該通信附加地大多經(jīng)由多次無線跳躍來執(zhí)行。由必須與終端設(shè)備重新聯(lián)合的接入節(jié)點(diǎn)來請(qǐng)求PMK-Rl密鑰因此需要時(shí)間，并且轉(zhuǎn)換經(jīng)受延遲。IEEE 802. 1IF標(biāo)準(zhǔn)展示了 802. 11網(wǎng)絡(luò)中的轉(zhuǎn)換機(jī)制，并且記載在“ IEEE Trial-Use Recommended Practice for Multi-Vendor Access Point Interoperability via an Inter-Access Point Protocol Across Distribution Systems Supporting IEEE 802.11 Operation, 2003”中。該IEEE 802. IlF標(biāo)準(zhǔn)不含有用于優(yōu)化轉(zhuǎn)換過程的機(jī)制。802. 21標(biāo)準(zhǔn)涉及在不同網(wǎng)絡(luò)之間轉(zhuǎn)換過程的通信和執(zhí)行，并且記載在“Mandardfor Media Independent Handover Services, IEEE Computer Society/Local and Metropolitan Area Networks, Draft 802. 21-Standard, 2004，，中。Bruce McMurdo 著的“Cisco Fast Secure Roaming，2004”展示了在發(fā)起轉(zhuǎn)換之后的鑒權(quán)的加速。為了力口速轉(zhuǎn)換過程，在 Catherine Rosenberg, Edwin K. F. Chong, Hosame Abu-Amara, Jeongjoon Lee 著的"Efficient Roaming over Heterogeneous Wireless Networks, Proceedings of WNCG Wireless Networking Symposium, 2003” 中展不了多接口的使用。為此已經(jīng)用新的接入節(jié)點(diǎn)執(zhí)行了鑒權(quán)，而站點(diǎn)經(jīng)由第二接口還與舊的接入節(jié)點(diǎn)連接。用于無線802. 11網(wǎng)絡(luò)中的快速轉(zhuǎn)換過程的標(biāo)準(zhǔn)化在“Draft Amendment to Standard for Information Technology-Telecommunications and Information Exchange between Systems-LAN/MAN Specific Requirements-Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications: Amendment 2: Fast BSS Transition, D2. O, 2006 年 3 月”中展示。為了優(yōu)化轉(zhuǎn)換過程，根據(jù)無線802. 11網(wǎng)絡(luò)中的IEEE 802. Ilr標(biāo)準(zhǔn)，使用專門的密鑰等級(jí)。密鑰分配的該標(biāo)準(zhǔn)化的變型是這樣的，即在可以傳送用于轉(zhuǎn)換過程的PMK-Rl密鑰之前，必須首先在移動(dòng)域控制器(Mobility Domain Controller，MDC)處請(qǐng)求與PMK-RO密鑰保持器(Keyholder)的安全關(guān)系。這延遲了轉(zhuǎn)換過程。在圖2中示意性地說明根據(jù)IEEE 802. Ilr標(biāo)準(zhǔn)的轉(zhuǎn)換過程中的通信。每一個(gè)接入節(jié)點(diǎn)在其在移動(dòng)域內(nèi)的初始登記之后計(jì)算出PMK-RO密鑰。該P(yáng)MK-RO 密鑰借助移動(dòng)域控制器MDC建立與PMK-RO密鑰保持器的安全關(guān)系。該P(yáng)MK-RO密鑰保持器在成功鑒權(quán)之后從所協(xié)定的主密鑰中導(dǎo)出，并且存儲(chǔ)在接入節(jié)點(diǎn)MAPI上，新的接入節(jié)點(diǎn) MAP2首次在該接入節(jié)點(diǎn)MAPI處登記。該接入節(jié)點(diǎn)MAPI也稱為PMK-RO密鑰保持器。隨后從PMK-RO密鑰中導(dǎo)出所謂的PMK-Rl密鑰，該P(yáng)MK-Rl密鑰形成了用于保護(hù)與接入節(jié)點(diǎn)MAP2 的通信的基礎(chǔ)。新的有聯(lián)網(wǎng)能力的接入節(jié)點(diǎn)MAP2從終端設(shè)備STA獲得鑒權(quán)請(qǐng)求，由此發(fā)起了轉(zhuǎn)換過程。如果終端設(shè)備STA在步驟Sl中發(fā)起轉(zhuǎn)換過程，則新的接入節(jié)點(diǎn)MAP2在步驟SO中借助移動(dòng)域控制器MDC建立與接入節(jié)點(diǎn)MAPI的安全關(guān)系，該接入節(jié)點(diǎn)MAPI是PMK-RO密鑰保持器。在接入節(jié)點(diǎn)MAP2處，該接入節(jié)點(diǎn)MAP2在步驟S2中請(qǐng)求“自己的” PMK-Rl密鑰，該 PMK-Rl密鑰用來作為保護(hù)在終端設(shè)備STA和新的接入節(jié)點(diǎn)MAP2之間的新通信關(guān)系的基礎(chǔ)。 接入節(jié)點(diǎn)MAPI為此在步驟S3中從PMK-RO密鑰中導(dǎo)出PMK-Rl密鑰，并且在步驟S4中向新的接入節(jié)點(diǎn)MAP2發(fā)送該P(yáng)MK-Rl密鑰。新的接入節(jié)點(diǎn)MAP2于是在步驟S5中向終端設(shè)備發(fā)送鑒權(quán)應(yīng)答，終端設(shè)備隨即在步驟S6中與新的接入節(jié)點(diǎn)MAP2相聯(lián)合，由此可以在不必對(duì)終端設(shè)備重新鑒權(quán)的情況下成功地終止轉(zhuǎn)換過程。

發(fā)明內(nèi)容
本發(fā)明的任務(wù)是，為無線結(jié)合到網(wǎng)絡(luò)中的終端設(shè)備改進(jìn)在第一和第二接入節(jié)點(diǎn)或新的接入節(jié)點(diǎn)之間的轉(zhuǎn)換過程的速度和/或質(zhì)量。本發(fā)明為此涉及用于無線結(jié)合到網(wǎng)絡(luò)中的終端設(shè)備的網(wǎng)絡(luò)接入節(jié)點(diǎn)，包括a)存儲(chǔ)裝置，其具有用于網(wǎng)絡(luò)中的終端設(shè)備的第二接入節(jié)點(diǎn)的至少一個(gè)第一密鑰和地址代碼，
b)至少一個(gè)數(shù)據(jù)通信裝置，用于與第二接入節(jié)點(diǎn)進(jìn)行數(shù)據(jù)交換，
c)一個(gè)或多個(gè)處理器，其與存儲(chǔ)裝置和數(shù)據(jù)通信裝置處于連接中，所述處理器具有用于以下情況的功能
d)從第一密鑰中導(dǎo)出第二密鑰，其中第二密鑰用于保護(hù)在終端設(shè)備和第二接入節(jié)點(diǎn)之間的連接，
e)在使用從第一密鑰中導(dǎo)出的密鑰的情況下安全地聯(lián)合終端設(shè)備，
f)響應(yīng)于功能d)的實(shí)施，通過數(shù)據(jù)通信裝置利用通過地址代碼的尋址經(jīng)由安全的連接來發(fā)送用于保護(hù)在終端設(shè)備和第二接入節(jié)點(diǎn)之間的連接的第二密鑰。根據(jù)本發(fā)明，第二密鑰還包括采用于步驟e)的密鑰。在此，第一密鑰優(yōu)選是PMK-RO密鑰，并且第二密鑰是PMK-Rl密鑰。本發(fā)明因此實(shí)現(xiàn)了，將例如PMK-Rl密鑰的第二密鑰向網(wǎng)絡(luò)接入節(jié)點(diǎn)的鄰近節(jié)點(diǎn)或與網(wǎng)絡(luò)接入節(jié)點(diǎn)具有共同的移動(dòng)域的所有接入節(jié)點(diǎn)分配。因此在轉(zhuǎn)換的情況下，沒有由于請(qǐng)求所需要的密鑰而產(chǎn)生附加的延遲。所述網(wǎng)絡(luò)接入節(jié)點(diǎn)有利地是網(wǎng)狀網(wǎng)絡(luò)的節(jié)點(diǎn)。第二密鑰可以對(duì)終端設(shè)備的專有特征、尤其是MAC地址進(jìn)行編碼。第一和第二密鑰尤其是成對(duì)對(duì)稱的密鑰，例如PMK-RO密鑰和PMK-Rl密鑰。地址代碼尤其是與網(wǎng)絡(luò)接入節(jié)點(diǎn)具有共同的移動(dòng)域的所有接入節(jié)點(diǎn)的地址代碼。地址代碼也可以是第二接入節(jié)點(diǎn)的地址代碼，這些第二接入節(jié)點(diǎn)的無線電小區(qū)與用于網(wǎng)絡(luò)一部分的網(wǎng)絡(luò)接入節(jié)點(diǎn)的無線電小區(qū)形成群。因此可以有針對(duì)性地向網(wǎng)絡(luò)接入節(jié)點(diǎn)的近鄰分配第二密鑰。在向網(wǎng)絡(luò)接入節(jié)點(diǎn)的鄰近接入節(jié)點(diǎn)分配PMK-Rl密鑰時(shí)，有利地引起相對(duì)小的帶寬需求。要導(dǎo)出的和要分配的第二密鑰的數(shù)量因此對(duì)于網(wǎng)絡(luò)接入節(jié)點(diǎn)來說是相對(duì)小的。例如可以借助EAPOL密鑰幀來實(shí)現(xiàn)PMK-Rl密鑰的發(fā)送。用于交換密鑰的具體的幀格式不是IEEE 802. Ilr標(biāo)準(zhǔn)的部分。在向與網(wǎng)絡(luò)接入節(jié)點(diǎn)具有共同的移動(dòng)域的所有接入節(jié)點(diǎn)分配PMK-Rl密鑰時(shí)，在網(wǎng)狀網(wǎng)絡(luò)中在采用反應(yīng)的或混合的路由選擇協(xié)議時(shí)，有利地對(duì)于PMK-Rl密鑰的分配沒有觸發(fā)不可忽略的路由選擇首部，并且少引起用于生成移動(dòng)域的所有接入節(jié)點(diǎn)的密鑰的計(jì)算成本。在移動(dòng)域中的終端設(shè)備是激活的期間，本發(fā)明的網(wǎng)絡(luò)接入節(jié)點(diǎn)必要時(shí)附加地將所導(dǎo)出的第二密鑰的一部分重新分配給添加到移動(dòng)域中的接入節(jié)點(diǎn)并且在其存儲(chǔ)裝置中更新地址代碼。為此在網(wǎng)絡(luò)中可以使用與該過程相匹配的、在鑒權(quán)服務(wù)器和網(wǎng)絡(luò)接入節(jié)點(diǎn)之間的通信。本發(fā)明的網(wǎng)狀網(wǎng)絡(luò)包括至少一個(gè)本發(fā)明的網(wǎng)絡(luò)接入節(jié)點(diǎn)和多個(gè)、尤其是多于3 個(gè)、尤其是多于4個(gè)、尤其是多于9個(gè)第二接入節(jié)點(diǎn)，必要時(shí)包括沒有終端設(shè)備的網(wǎng)絡(luò)接入功能的轉(zhuǎn)發(fā)節(jié)點(diǎn)。在此，根據(jù)本發(fā)明通過在網(wǎng)絡(luò)接入節(jié)點(diǎn)和第二接入節(jié)點(diǎn)之間的安全連接必要時(shí)經(jīng)由轉(zhuǎn)發(fā)節(jié)點(diǎn)來建立所述網(wǎng)絡(luò)，并且通向至少一個(gè)優(yōu)選移動(dòng)域控制器和至少一個(gè)優(yōu)選鑒權(quán)服務(wù)器。在具有本發(fā)明網(wǎng)絡(luò)接入節(jié)點(diǎn)的本發(fā)明網(wǎng)狀網(wǎng)絡(luò)中，尤其是這樣定義群，即在所述網(wǎng)絡(luò)接入節(jié)點(diǎn)和每一個(gè)第二接入節(jié)點(diǎn)之間利用群中的無線電小區(qū)建立經(jīng)由最多三個(gè)、尤其是最多兩個(gè)、尤其是最多一個(gè)接入節(jié)點(diǎn)的連接。第二接入節(jié)點(diǎn)中的至少一部分、尤其是所有第二接入節(jié)點(diǎn)可以是根據(jù)本發(fā)明的網(wǎng)絡(luò)接入節(jié)點(diǎn)。為了發(fā)送第二密鑰中的至少若干個(gè)，所述網(wǎng)絡(luò)優(yōu)選具有用于如下情況的功能
g)通過更新網(wǎng)絡(luò)接入節(jié)點(diǎn)中的地址代碼來重新定義群，以響應(yīng)于終端設(shè)備與網(wǎng)絡(luò)接入節(jié)點(diǎn)的聯(lián)合的實(shí)施。作為PMK-RO密鑰保持器的本發(fā)明網(wǎng)絡(luò)接入節(jié)點(diǎn)于是可以配備用于借助要定義的度量(Metrik)來確定與其鄰近的接入節(jié)點(diǎn)并向這些接入節(jié)點(diǎn)發(fā)送其PMK-Rl密鑰的功能， 所述功能專門在每次轉(zhuǎn)換過程之后實(shí)施，從而在另外的轉(zhuǎn)換情況下，新的接入節(jié)點(diǎn)的近鄰也具有PMK-Rl密鑰并因此可以使延遲最小化。于是這種近鄰度量的示例是這樣的，即在網(wǎng)絡(luò)中與參與轉(zhuǎn)換過程的網(wǎng)絡(luò)接入節(jié)點(diǎn)相距不多于一跳的所有接入節(jié)點(diǎn)被定義為近鄰。跳躍數(shù)量的另外有意義的最大值例如是二或三。在本發(fā)明網(wǎng)絡(luò)中，轉(zhuǎn)發(fā)節(jié)點(diǎn)、即沒有接入節(jié)點(diǎn)功能性的網(wǎng)狀節(jié)點(diǎn)、也稱為轉(zhuǎn)發(fā)器 (!forwarder)可以轉(zhuǎn)發(fā)數(shù)據(jù)，以便改進(jìn)網(wǎng)絡(luò)中的、尤其是網(wǎng)狀網(wǎng)絡(luò)中的連接性。跳躍數(shù)量的最大值可以與跳躍數(shù)量的提高相匹配，該提高在網(wǎng)絡(luò)中由于接入節(jié)點(diǎn)之間的轉(zhuǎn)發(fā)節(jié)點(diǎn)的存在而引起。跳躍數(shù)量的最大值可以與一種狀況相匹配，在該狀況下，終端設(shè)備可以與兩個(gè)網(wǎng)絡(luò)接入節(jié)點(diǎn)通信，但是這些網(wǎng)絡(luò)接入節(jié)點(diǎn)互相之間不直接進(jìn)行無線通信，即客戶端位于兩個(gè)接入節(jié)點(diǎn)之間的中心并且見到兩者，但是接入節(jié)點(diǎn)互相看不見。通過實(shí)施本發(fā)明網(wǎng)絡(luò)接入節(jié)點(diǎn)和/或網(wǎng)絡(luò)的上述功能得出了本發(fā)明的方法。特別地，本發(fā)明的方法在方法權(quán)利要求中定義。本發(fā)明網(wǎng)絡(luò)在具有安全關(guān)系的網(wǎng)絡(luò)的接入節(jié)點(diǎn)之間具有連接。在一種實(shí)施方式中，本發(fā)明網(wǎng)絡(luò)中的至少一個(gè)網(wǎng)絡(luò)接入節(jié)點(diǎn)也可以構(gòu)成為具有鑒權(quán)服務(wù)器和/或移動(dòng)域控制器的功能的節(jié)點(diǎn)，以便首先在較小的網(wǎng)狀網(wǎng)絡(luò)中節(jié)省例如鑒權(quán)服務(wù)器那樣的硬件資源， 并替代于此地設(shè)置優(yōu)秀的節(jié)點(diǎn)。由本發(fā)明實(shí)現(xiàn)的密鑰分配策略與802. 11網(wǎng)絡(luò)相比是與網(wǎng)狀網(wǎng)絡(luò)的特別特性相匹配的，其中在請(qǐng)求對(duì)于轉(zhuǎn)換過程所需要的PMK-Rl密鑰時(shí)減少了延遲。因此可以加速網(wǎng)狀網(wǎng)絡(luò)中的轉(zhuǎn)換過程，并更好地支持諸如因特網(wǎng)協(xié)議承載語音的實(shí)時(shí)應(yīng)用?？梢耘c網(wǎng)絡(luò)中的情形有關(guān)地來優(yōu)化密鑰分配和密鑰管理。


以下參照附圖來說明本發(fā)明的方案和示例性實(shí)施方式，其中 圖1示意地說明網(wǎng)絡(luò)接入節(jié)點(diǎn)；
圖2示意性地說明根據(jù)IEEE 802. Ilr標(biāo)準(zhǔn)的轉(zhuǎn)換過程中的通信； 圖3示意性地說明根據(jù)本發(fā)明的通信； 圖4說明與終端設(shè)備連接的本發(fā)明的網(wǎng)絡(luò)。
具體實(shí)施例方式在本發(fā)明在圖1中所示的網(wǎng)絡(luò)接入節(jié)點(diǎn)中，處理器3經(jīng)由總線4與存儲(chǔ)裝置1和數(shù)據(jù)通信裝置2連接。該存儲(chǔ)裝置存儲(chǔ)了 PMK-RO密鑰和具有網(wǎng)絡(luò)接入節(jié)點(diǎn)的網(wǎng)絡(luò)的第二接入節(jié)點(diǎn)MAP2，…，MAPn的地址代碼。圖4示出與終端設(shè)備STA連接的本發(fā)明的網(wǎng)狀網(wǎng)絡(luò)。該網(wǎng)絡(luò)具有五個(gè)有聯(lián)網(wǎng)能力的接入節(jié)點(diǎn)MAPI，MAP2, MAP3, MAP4, MAP5和三個(gè)轉(zhuǎn)發(fā)節(jié)點(diǎn)MP1，MP2，MP3、一個(gè)鑒權(quán)服務(wù)器 AS和一個(gè)移動(dòng)域控制器MDC。作為終端設(shè)備STA的沒有聯(lián)網(wǎng)能力的移動(dòng)站點(diǎn)與該網(wǎng)絡(luò)處于連接中。圖3說明了圖4中所示的網(wǎng)絡(luò)中的通信。所有有聯(lián)網(wǎng)能力的接入節(jié)點(diǎn)MAPI，MAP2，MAP3，MAP4，MAP5已經(jīng)在鑒權(quán)服務(wù)器AS處得到鑒權(quán)，并且因此是所示網(wǎng)狀網(wǎng)絡(luò)的激活的組成部分。站點(diǎn)STA初始通過接入節(jié)點(diǎn)MAPI 進(jìn)行鑒權(quán)，其中該接入節(jié)點(diǎn)MAPI向鑒權(quán)服務(wù)器AS轉(zhuǎn)發(fā)鑒權(quán)信息。鑒權(quán)服務(wù)器AS執(zhí)行接入權(quán)的檢驗(yàn)，并在成功鑒權(quán)的情況下生成主密鑰。鑒權(quán)服務(wù)器AS隨后將該主密鑰傳送給初始的接入節(jié)點(diǎn)MAPI，該接入節(jié)點(diǎn)MAPI從中導(dǎo)出PMK-RO密鑰。在其作為PMK-RO密鑰保持器的功能中，該初始的接入節(jié)點(diǎn)MAPI將PMK-RO密鑰本地存儲(chǔ)在其存儲(chǔ)裝置1中。網(wǎng)絡(luò)接入節(jié)點(diǎn)MAPI直接在STA的鑒權(quán)之后導(dǎo)出用于接入節(jié)點(diǎn)MAP3，MAP2, MAP4和MAP5的四個(gè)另外的PMK-Rl密鑰。在初始的網(wǎng)絡(luò)接入節(jié)點(diǎn)MAPI和現(xiàn)在與網(wǎng)狀網(wǎng)絡(luò)相聯(lián)合的站點(diǎn)STA之間，PMK-Rl密鑰形成了用于保護(hù)通信關(guān)系的基礎(chǔ)。在借助移動(dòng)域控制器MDC建立了與所有這些接入節(jié)點(diǎn)的安全關(guān)系之后，由MAPI向相應(yīng)的接入節(jié)點(diǎn)MAP3，MAP2, MAP4和MAP5傳送 PMK-Rl密鑰。如果該站點(diǎn)在稍后的時(shí)刻發(fā)起例如通向新的接入節(jié)點(diǎn)MAP4的轉(zhuǎn)換過程，則該接入節(jié)點(diǎn)MAP4已經(jīng)具有合適的PMK-Rl密鑰。該新的接入節(jié)點(diǎn)MAP4因此可以在沒有與移動(dòng)域控制器MDC和作為PMK-RO密鑰保持器的網(wǎng)絡(luò)接入節(jié)點(diǎn)的進(jìn)一步通信的情況下來執(zhí)行轉(zhuǎn)換過程。在圖4中所說明的網(wǎng)絡(luò)中，相應(yīng)地設(shè)置了在圖3中所說明的方法，該方法具有以下步驟
SlO在初始的網(wǎng)絡(luò)接入節(jié)點(diǎn)MAPI和所有另外的接入節(jié)點(diǎn)MAP2，MAP3, MAP4, MAP5之間建立安全關(guān)系，這些接入節(jié)點(diǎn)的地址代碼由移動(dòng)域控制器MDC接收并且存儲(chǔ)在初始的網(wǎng)絡(luò)接入節(jié)點(diǎn)MAPI的存儲(chǔ)裝置1中，其中在鑒權(quán)服務(wù)器AS處對(duì)接入節(jié)點(diǎn)MAPI，MAP2, MAP3, MAP4, MAP5進(jìn)行鑒權(quán)，
Sll 通過實(shí)施以下的步驟，在初始的網(wǎng)絡(luò)接入節(jié)點(diǎn)MAPI處發(fā)起終端設(shè)備STA的鑒
權(quán)
-經(jīng)由初始的網(wǎng)絡(luò)接入節(jié)點(diǎn)MAPI向鑒權(quán)服務(wù)器AS發(fā)送終端設(shè)備的鑒權(quán)信息， -由鑒權(quán)服務(wù)器AS驗(yàn)證鑒權(quán)信息，并隨即生成主密鑰， -向初始的網(wǎng)絡(luò)接入節(jié)點(diǎn)MAPI發(fā)送主密鑰，
-由初始的網(wǎng)絡(luò)接入節(jié)點(diǎn)(MAPI)從主密鑰中導(dǎo)出PMK-RO密鑰，并將第一密鑰存儲(chǔ)在初始網(wǎng)絡(luò)接入節(jié)點(diǎn)的存儲(chǔ)裝置1中，
在從用于終端設(shè)備STA的PMK-RO密鑰中導(dǎo)出PMK-Rl密鑰并因此安全地聯(lián)合終端設(shè)備之后，進(jìn)行以下的步驟512由初始的網(wǎng)絡(luò)接入節(jié)點(diǎn)MAPlO導(dǎo)出另外的PMK-Rl密鑰，和
513向至少接入節(jié)點(diǎn)MAP2，MAP3, MAP4, MAP5發(fā)送所述另外的PMK-Rl密鑰。替代地，初始的網(wǎng)絡(luò)接入節(jié)點(diǎn)在初始鑒權(quán)之后不向移動(dòng)域的所有其他的激活的接入節(jié)點(diǎn)、而是僅向例如距其最多η跳的鄰近的接入節(jié)點(diǎn)傳送站點(diǎn)STA的PMK-Rl密鑰，其中η 是1至3，優(yōu)選是2。初始的接入節(jié)點(diǎn)MAPI于是直接在站點(diǎn)STA的初始鑒權(quán)之后計(jì)算出例如用于鄰近接入節(jié)點(diǎn)MAP3和MAP4的PMK-Rl密鑰并且將它們傳送給接入節(jié)點(diǎn)MAP3和MAP4。 在該分配策略中，也可以在沒有與MDC和PMK-RO密鑰保持器的進(jìn)一步通信的情況下來執(zhí)行站點(diǎn)的稍后的轉(zhuǎn)換過程。但是，緊接在成功的轉(zhuǎn)換過程之后，必須通知作為PMK-RO密鑰保持器的接入節(jié)點(diǎn)MAPI，以便該接入節(jié)點(diǎn)MAPI可以導(dǎo)出另外的PMK-Rl密鑰并向另外的鄰近該新的接入節(jié)點(diǎn)MAP4的接入節(jié)點(diǎn)分配。在上面的示例中，這是接入節(jié)點(diǎn)MAP2和MAP5。附圖標(biāo)記列表
1存儲(chǔ)裝置
2數(shù)據(jù)通信裝置
3處理器
4總線
AS鑒權(quán)服務(wù)器
STA終端設(shè)備
MAPI初始的網(wǎng)絡(luò)接入節(jié)點(diǎn)
MAP2,…MAPn第二接入節(jié)點(diǎn)
MP1，MP2，MP3轉(zhuǎn)發(fā)節(jié)點(diǎn)
MDC移動(dòng)域控制器
權(quán)利要求
1.一種用于無線結(jié)合到網(wǎng)絡(luò)中的終端設(shè)備(STA)的網(wǎng)絡(luò)接入節(jié)點(diǎn)(MAPI)，包括a)存儲(chǔ)裝置(1)，其具有用于網(wǎng)絡(luò)中的終端設(shè)備(STA)的第二接入節(jié)點(diǎn)(MAP2，…， MAPn)的至少一個(gè)第一密鑰和地址代碼，b)至少一個(gè)數(shù)據(jù)通信裝置(2)，用于與第二接入節(jié)點(diǎn)進(jìn)行數(shù)據(jù)交換，c ) 一個(gè)或多個(gè)處理器(3 )，其與存儲(chǔ)裝置(1)和數(shù)據(jù)通信裝置(2 )處于連接中，所述處理器(3)具有用于以下情況的功能d)從第一密鑰中導(dǎo)出第二密鑰，其中第二密鑰用于保護(hù)在終端設(shè)備(STA)和第二接入節(jié)點(diǎn)之間的連接，e)在使用從第一密鑰中導(dǎo)出的密鑰的情況下安全地聯(lián)合終端設(shè)備，f)響應(yīng)于功能d)的實(shí)施，通過數(shù)據(jù)通信裝置經(jīng)由安全的連接和利用通過地址代碼的尋址來發(fā)送用于保護(hù)在終端設(shè)備(STA)和第二接入節(jié)點(diǎn)之間的連接的第二密鑰，其特征在于，第二密鑰還包括用于步驟e)的密鑰。
2.按照權(quán)利要求1的網(wǎng)絡(luò)接入節(jié)點(diǎn)(MAPI)，其特征在于，所述網(wǎng)絡(luò)接入節(jié)點(diǎn)是網(wǎng)狀網(wǎng)絡(luò)的節(jié)點(diǎn)。
3.按照權(quán)利要求1的網(wǎng)絡(luò)接入節(jié)點(diǎn)(MAPI)，其特征在于，所述第二密鑰對(duì)終端設(shè)備 (STA)的專有特征、尤其是MAC地址進(jìn)行編碼。
4.按照前述權(quán)利要求之一的網(wǎng)絡(luò)接入節(jié)點(diǎn)(MAPI)，其特征在于，所述第一和第二密鑰是成對(duì)對(duì)稱的密鑰。
5.按照權(quán)利要求2至4之一的網(wǎng)絡(luò)接入節(jié)點(diǎn)(MAPI)，其特征在于，所述地址代碼是網(wǎng)絡(luò)中所有接入節(jié)點(diǎn)的地址代碼，這些接入節(jié)點(diǎn)與所述網(wǎng)絡(luò)接入節(jié)點(diǎn)(MAPI)具有共同的移動(dòng)域。
6.按照權(quán)利要求2至4之一的網(wǎng)絡(luò)接入節(jié)點(diǎn)(MAPI)，其特征在于，所述地址代碼是在第二接入節(jié)點(diǎn)中的接入節(jié)點(diǎn)的地址代碼，這些第二接入節(jié)點(diǎn)的無線電小區(qū)與用于網(wǎng)絡(luò)一部分的所述網(wǎng)絡(luò)接入節(jié)點(diǎn)(MAPI)的無線電小區(qū)形成群。
7.一種網(wǎng)絡(luò)，包括至少一個(gè)按照前述權(quán)利要求之一的網(wǎng)絡(luò)接入節(jié)點(diǎn)(MAPI)，和多個(gè)、尤其是多于3個(gè)、尤其是多于4個(gè)、尤其是多于9個(gè)第二接入節(jié)點(diǎn)，必要時(shí)的轉(zhuǎn)發(fā)節(jié)點(diǎn)(MP1，MP2，MP3)，其中所述網(wǎng)絡(luò)通過在網(wǎng)絡(luò)接入節(jié)點(diǎn)和第二接入節(jié)點(diǎn)之間的安全連接必要時(shí)經(jīng)由轉(zhuǎn)發(fā)節(jié)點(diǎn)(MP1，MP2，MP3)來建立，并且具有通向至少一個(gè)優(yōu)選移動(dòng)域控制器(MDC)和至少一個(gè)優(yōu)選鑒權(quán)服務(wù)器(AS)的安全連接。
8.按照權(quán)利要求7的網(wǎng)絡(luò)，其中所述網(wǎng)絡(luò)接入節(jié)點(diǎn)(MAPI)是按照權(quán)利要求6的網(wǎng)絡(luò)接入節(jié)點(diǎn)，并且所述群被這樣定義，即在所述網(wǎng)絡(luò)接入節(jié)點(diǎn)(MAPI)和每一個(gè)第二接入節(jié)點(diǎn) (MAP2, -,MAPn)之間利用群中的無線電小區(qū)建立經(jīng)由最多三個(gè)、尤其是最多兩個(gè)、尤其是最多一個(gè)接入節(jié)點(diǎn)的連接。
9.按照權(quán)利要求7或8的網(wǎng)絡(luò)，其特征在于，至少一部分、尤其是所有第二接入節(jié)點(diǎn) (MAP2,…，MAPn)是按照權(quán)利要求1至6之一的網(wǎng)絡(luò)接入節(jié)點(diǎn)。
10.按照權(quán)利要求9的網(wǎng)絡(luò)，包括用于以下情況的功能，g)響應(yīng)于功能e)的實(shí)施，在按照權(quán)利要求6的網(wǎng)絡(luò)接入節(jié)點(diǎn)(MAPI)中通過更新所述網(wǎng)絡(luò)接入節(jié)點(diǎn)中的地址代碼來重新定義群。
11.一種用于準(zhǔn)備在按照權(quán)利要求7至10之一的網(wǎng)絡(luò)中的轉(zhuǎn)移過程的方法，所述網(wǎng)絡(luò)具有按照權(quán)利要求2至6之一的初始網(wǎng)絡(luò)接入節(jié)點(diǎn)(MAPI)，其中其地址代碼存儲(chǔ)在初始網(wǎng)絡(luò)節(jié)點(diǎn)(MAPI)的存儲(chǔ)裝置(1)中的所有第二接入節(jié)點(diǎn)在鑒權(quán)服務(wù)器處被鑒權(quán)，并且在初始網(wǎng)絡(luò)節(jié)點(diǎn)處通過實(shí)施以下步驟來發(fā)起終端設(shè)備(STA) 的鑒權(quán)-經(jīng)由初始網(wǎng)絡(luò)節(jié)點(diǎn)(MAPI)向鑒權(quán)服務(wù)器(AS)發(fā)送終端設(shè)備的鑒權(quán)信息， -由鑒權(quán)服務(wù)器(AS)驗(yàn)證鑒權(quán)信息，并隨即生成根密鑰， -向初始網(wǎng)絡(luò)節(jié)點(diǎn)(MAPI)發(fā)送根密鑰，-由初始網(wǎng)絡(luò)節(jié)點(diǎn)(MAPI)從根密鑰中導(dǎo)出第一密鑰并且將第一密鑰存儲(chǔ)在初始網(wǎng)絡(luò)節(jié)點(diǎn)的存儲(chǔ)裝置(1)中，其中利用初始網(wǎng)絡(luò)節(jié)點(diǎn)(MAPI)實(shí)施以下的步驟 d’)從第一密鑰中導(dǎo)出第二密鑰，和e)通過使用第二密鑰安全地聯(lián)合終端設(shè)備，以及響應(yīng)于步驟d’ )的實(shí)施，實(shí)施以下特征性的步驟 d)由第一網(wǎng)絡(luò)節(jié)點(diǎn)導(dǎo)出另外的第二密鑰，f)向網(wǎng)絡(luò)的至少一部分、尤其是所有第二接入節(jié)點(diǎn)發(fā)送所述另外的第二密鑰。
12.按照權(quán)利要求11的方法，其中初始網(wǎng)絡(luò)節(jié)點(diǎn)(MAPI)是按照權(quán)利要求5的網(wǎng)絡(luò)節(jié)點(diǎn)，并且步驟f)中的另外的第二密鑰被分別發(fā)送給網(wǎng)絡(luò)的與初始網(wǎng)絡(luò)節(jié)點(diǎn)具有由移動(dòng)域控制器(MDC)定義的共同移動(dòng)域的所有接入節(jié)點(diǎn)。
13.按照權(quán)利要求11的方法，其中初始網(wǎng)絡(luò)節(jié)點(diǎn)(MAPI)是按照權(quán)利要求6的網(wǎng)絡(luò)節(jié)點(diǎn)，并且步驟f)中的另外的第二密鑰被分別發(fā)送給其無線電小區(qū)形成群的所有第二接入節(jié)點(diǎn)(MAP2，…，ΜΑΡη)。
14.一種用于配置按照權(quán)利要求10的網(wǎng)絡(luò)的方法，包括按照權(quán)利要求13的方法的實(shí)施并且其特征在于功能g)的實(shí)施。
15.一種計(jì)算機(jī)程序，其特征在于與按照權(quán)利要求11至14之一的方法相對(duì)應(yīng)的指令。
全文摘要
無線結(jié)合到網(wǎng)絡(luò)中的終端設(shè)備(STA)的網(wǎng)絡(luò)接入節(jié)點(diǎn)(MAP1)，包括a)存儲(chǔ)裝置(1)，其具有用于網(wǎng)絡(luò)中的終端設(shè)備(STA)的第二接入節(jié)點(diǎn)(MAP2，…，MAPn)的至少一個(gè)第一密鑰和地址代碼，b)至少一個(gè)數(shù)據(jù)通信裝置(2)，用于與第二接入節(jié)點(diǎn)進(jìn)行數(shù)據(jù)交換，c)一個(gè)或多個(gè)處理器(3)，其與存儲(chǔ)裝置(1)和數(shù)據(jù)通信裝置(2)處于連接中，所述處理器(3)具有用于以下情況的功能d)從第一密鑰中導(dǎo)出第二密鑰，其中第二密鑰用于保護(hù)在終端設(shè)備(STA)和第二接入節(jié)點(diǎn)之間的連接，e)在使用從第一密鑰中導(dǎo)出的密鑰的情況下安全地聯(lián)合終端設(shè)備，f)響應(yīng)于功能d)的實(shí)施，通過數(shù)據(jù)通信裝置經(jīng)由安全的連接和利用通過地址代碼的尋址來發(fā)送用于保護(hù)在終端設(shè)備(STA)和第二接入節(jié)點(diǎn)之間的連接的第二密鑰，其特征在于，第二密鑰還包括用于步驟e)的密鑰。
文檔編號(hào)H04W12/04GK102474522SQ201180002399
公開日2012年5月23日 申請(qǐng)日期2011年4月15日 優(yōu)先權(quán)日2010年4月26日
發(fā)明者施溫根施勒格爾 C., 巴爾 M., 羅特 M., 加梅爾 T. 申請(qǐng)人:西門子企業(yè)通訊有限責(zé)任兩合公司