用于无线网格网络中的安全通信的密钥导出的技术.pdf

与用于网格网络的网格链路建立协议兼容的密钥导出流程和密钥层次。可使用是表示为kdfK的密钥导出函数的单加密原语，其中K是缓存的成对主密钥。函数kdfK的结果可用来导出密钥，所述密钥用于对链路建立和随后在该链路上交换的数据进行保护。

1.  一种用于在无线网格网络中建立安全链路的方法，包括：
响应于具有网格网络中的远程点的地址的消息，计算一个或多个加密密钥；
与所述网格网络的所述远程点交换一个或多个伪随机值；
至少部分基于所述一个或多个加密密钥和一个或多个伪随机值生成密钥值；以及
将所述生成的密钥值用于与所述网格网络的所述远程点的安全通信。

2.  如权利要求1所述的方法，其中，所述消息包括信标消息。

3.  如权利要求1所述的方法，其中，所述消息包括探测响应消息。

4.  如权利要求1所述的方法，其中，至少部分基于所述一个或多个加密密钥和一个或多个伪随机值生成密钥值包括估计：
KCK||KEK ←kdf_K(0x00||max(MPA，MPB)||min(MPA，MPB))
其中，“←”表示将kdf_K表达式赋值给变量KCK||KEK；且其中，“KCK||KEK”表示导出的密钥确认密钥与导出的密钥加密密钥的级联，所述密钥加密密钥在链路建立中用于分配广播密钥。

5.  如权利要求1所述的方法，其中，至少部分基于所述一个或多个加密密钥和一个或多个伪随机值生成密钥值包括估计：
KDK←kdf_K(0x01||max(MPA，MPB)||min(MPA，MPB))
其中，“←”表示将kdf_K表达式赋值给变量KDK；且其中，“KDK”表示导出的密钥导出密钥，将用于构建网格链路建立协议所建立的会话密钥。

6.  如权利要求1所述的方法，其中，至少部分基于所述一个或多个加密密钥和一个或多个伪随机值生成密钥值包括估计：
KCK||KEK||TK←kdf_K(max(MPA，MPB)||min(MPA，MPB)||max(RA，RB)||min(RA，RB))
其中，“←”表示将kdf_K表达式赋值给变量KCK||KEK||TK，且其中，“KCK||KEK||TK”表示导出的密钥确认密钥、导出的密钥加密密钥以及数据加密密钥的级联，RA是由所述网格网络的所述远程点所创建的随机值，而RB是由所述网格网络的本地点所创建的随机值。

7.  如权利要求1所述的方法，其中，与所述网格网络的所述远程点的安全通信包括依从IEEE 802.11s的通信。

8.  一种包括具有存储于其上的指令的有形计算机可读媒介的物件，所述指令在被一个或多个处理器执行时，使所述一个或多个处理器：
响应于具有网格网络中的远程点的地址的消息，计算一个或多个加密密钥；
与所述网格网络的所述远程点交换一个或多个伪随机值；
至少部分基于所述一个或多个加密密钥和一个或多个伪随机值生成密钥值；以及
将所述生成的密钥值用于与所述网格网络的所述远程点的安全通信。

9.  如权利要求8所述的物件，其中，所述消息包括信标消息。

10.  如权利要求8所述的物件，其中，所述消息包括探测响应消息。

11.  如权利要求8所述的物件，其中，使所述一个或多个处理器至少部分基于所述一个或多个加密密钥和一个或多个伪随机值生成密钥值的所述指令包括使所述一个或多个处理器对下列项进行估计的指令：
KCK||KEK←kdf_K(0x00max(MPA，MPB)||min(MPA，MPB))
其中，“←”表示将kdf_K表达式赋值给变量KCK||KEK；且其中，“KCK||KEK”表示导出的密钥确认密钥与导出的密钥加密密钥的级联，所述密钥加密密钥在链路建立中用于分配广播密钥。

12.  如权利要求8所述的物件，其中，使所述一个或多个处理器至少部分基于所述一个或多个加密密钥和一个或多个伪随机值生成密钥值的所述指令包括使所述一个或多个处理器对下列项进行估计的指令：
KDK←kdf_K(0x01||max(MPA，MPB)||min(MPA，MPB))
其中，“←”表示将kdf_K表达式赋值给变量KDK；且其中，“KDK”表示导出的密钥导出密钥，将用于构建网格链路建立协议所建立的会话密钥。

13.  如权利要求8所述的物件，其中，使所述一个或多个处理器至少部分基于所述一个或多个加密密钥和一个或多个伪随机值生成密钥值的所述指令包括使所述一个或多个处理器对下列项进行估计的指令：
KCK||KEK||TK←kdf_K(max(MPA，MPB)||min(MPA，MPB)||max(RA，RB)||min(RA，RB))
其中，“←”表示将kdf_K表达式赋值给变量KCK||KEK||TK，且其中，“KCK||KEK||TK”表示导出的密钥确认密钥、导出的密钥加密密钥以及数据加密密钥的级联，RA是由所述网格网络的所述远程点所创建的随机值，而RB是由所述网格网络的本地点所创建的随机值。

14.  如权利要求8所述的物件，其中，与所述网格网络的所述远程点的安全通信包括依从IEEE 802.11s的通信。

用于无线网格网络中的安全通信的密钥导出的技术
本申请要求2006年9月18日提交的US临时专利申请号60/845634的优先权。
技术领域
[0001]本发明的实施例涉及无线通信。更具体而言，本发明的实施例涉及无线网格网络(wireless mesh network)的安全性。
背景技术
[0002]IEEE 802.11s是对IEEE 802.11标准开发的改进，该标准完成时旨在提供给无线局域网(WLAN)标准增加网格能力的协议。网格体系结构允许数据在由多个无线跳(hop)构成的路径上转发。授权IEEE 802.11s以在转换时没有降低安全性且没有使服务质量(QoS)退化的情况下通过增加网格能力改善数据传输的吞吐量。该改进带来的优点之一是在网格网络上提供视频流媒体的能力。
发明内容
附图说明
在附图中，以示例方式而不以限制的方式示出本发明的实施例，图中相同参考标号是指类似单元。
图1是电子系统的一种实施例的框图。
图2示出网格网络的两点之间的链路建立的一种实施例。
图3是可如本文所述那样进行通信的两个网格点的一种实施例的框图。
具体实施方式
[0003]在以下描述中，给出了许多具体细节。但是没有这些具体细节也可实施本发明的实施例。在其它情况下，没有详细示出众所周知的电路、结构和技术以免混淆对本说明的理解。
[0004]视频流分配给网格网络设计施加了约束，因为必需建立网格上的对等链路而不管与Wi-Fi媒体有关的噪声。已存在针对安全对等链路建立过程是否可在足够短的时间帧中完成以满足视频流分配所施加的约束的关注。
[0005]一种技术是通过将安全握手覆盖在基本对等链路建立协议之上而加速建立安全对等链路的流程。如果无线LAN网格点(MeshPoint：MP)具有先验知识和先前建立的成对主密钥(Pairwise MasterKey：PMK)的控制，则该方案可允许它们省略安全链路建立过程中的某些步骤。假如MP频繁地丢失某些链路上的连通性，则该方法可增强网格上的视频流应用的用户体验。在一种实施例中，本文所述的技术在比使用802.11i密钥层次进行链路建立过程的更早阶段使用密钥，这意味着802.11i密钥流程以802.11s要求不能正确工作。
[0006]网格网络的各网格点可为电子系统。图1是电子系统的一种实施例的框图。图1中示出的电子系统旨在表示电子系统(有线的或无线的)的范围，包括例如桌上型计算机系统、膝上型计算机系统、蜂窝电话、包括蜂窝使能PDA的个人数字助理(PDA)、机顶盒。备选电子系统可包括更多、更少和/或不同组件。
[0007]电子系统100包括通信信息的总线105或其它通信装置以及耦合到总线105、可处理信息的处理器110。虽然以单个处理器示出电子系统100，但是电子系统100可包括多个处理器和/或协同处理器。电子系统100还可包括耦合到总线105并可存储信息以及可被处理器110执行的指令的随机存取存储器(RAM)或其它动态存储装置120(被称为主存储器)。主存储器120还可用于在处理器110执行指令期间存储临时变量或其它中间信息。
[0008]电子系统100还可包括耦合到总线105、可存储处理器110的静态信息和指令的只读存储器(ROM)和/或其它静态存储装置130。数据存储装置140可耦合到总线105以便存储信息和指令。例如磁盘或光盘的数据存储装置140及对应驱动器可耦合到电子系统100。
[0009]电子系统100还可经总线105耦合到例如阴极射线管(CRT)或液晶显示器(LCD)的显示装置150，以便向用户显示信息。包括字母数字和其它按键的字母数字输入装置160可耦合到总线105以向处理器110通信信息和命令选择。另一类型的用户输入装置是向处理器110通信方向信息和命令选择并控制显示器150上的光标移动的光标控制170，例如鼠标、跟踪球或光标方向按键。
[0010]电子系统100还可包括网络接口180以提供对例如局域网的网络的接入。例如，网络接口180可包括具有可表示一个或多个天线的天线185的无线网络接口。例如，网络接口180还可包括经由例如可为以太网电缆、同轴电缆、光缆、串行电缆或并行电缆的网络电缆187与远程装置通信的有线网络接口。
[0011]在一种实施例中，网络接口180可例如通过符合IEEE802.11标准而提供对局域网的接入，和/或无线网络接口可例如通过符合(蓝牙)标准而提供对个人区域网络的接入。是由Bluetooth SIG公司(Bluetooth SIG，Inc.)所拥有的注册商标。其它无线网络接口和/或协议也可被支持。
[0012]IEEE 802.11标准可包括例如IEEE 802.11b、IEEE 802.11g以及本文没有具体提到的其它IEEE 802.11标准。IEEE 802.11b与1999年9月16日核准的名为《局域网和城域网，第二部：无线LAN媒体接入控制(MAC)和物理层(PHY)规范：在2.4GHz波段的更高速物理层扩展》(″Local and Metropolitan Area Networks，Part 11：WirelessLAN Medium Access Control(MAC)and Physical Layer(PHY)Specifications：Higher-Speed Physical Layer Extension in the 2.4GHzBand″)的IEEE Std.802.11b-1999以及其它相关文档对应。IEEE802.11g与2003年6月27日核准的名为《局域网和城域网，第二部：无线LAN媒体接入控制(MAC)和物理层(PHY)规范，修订4：在2.4GHz波段的进一步更高速率扩展》(″Local and Metropolitan AreaNetworks，Part 11：Wireless LAN Medium Access Control(MAC)andPhysical Layer(PHY)Specifications，Amendment 4：Further Higher RateExtension in the 2.4GHz Band″)的IEEE Std.802.11g-2003以及其它相关文档对应。在由Bluetooth特别兴趣小组公司(Bluetooth SpecialInterest Group，Inc.)在2001年2月22日出版的《Bluetooth系统规范：核心、版本1.1》(″Specification of the Bluetooth System：Core，Version1.1″)中描述了Bluetooth协议。
[0013]本文所述的是与用于网格网络的网格四-消息链路建立协议兼容的密钥导出流程和密钥层次。在一种实施例中，可使用作为表示为kdf_K的密钥导出函数的单加密原语，其中K是缓存的成对主密钥。在一种实施例中，可使用kdf_K来导出对链路建立及随后在该链路上所交换数据进行保护的密钥。
[0014]密钥导出过程可在两个网格点之间完成。第一网格点被称为网格点A，并由其IEEE 802.11 MAC地址MPA标识。第二网格点被称为网格点B，并由其IEEE 802.11 MAC地址MPB标识。在一种实施例中，网格点A和网格点B可维持缓存的成对主密钥K。如在IEEE 802.11i中所定义，所述成对主密钥K可为授权令牌，授权令牌的拥有证明接入无线通信信道的授权。在备选实施例中，可用不同于MAC地址的信息获得标识。
[0015]以下描述假设成对主密钥K只在网格点A和网格点B之间被共享。该描述还假设K以超出本说明书范围的某种安全模式建立并可以本领域中已知的任意方式实现。
[0016]因为只有A和B知晓K，所以K可被用来向A认证B或向B认证A。因此，本文所述的技术假设A和B知晓K的预期目的，所述预期目的包括建立A和B之间的新链路。在一种实施例中，IEEE802.11MAC地址可以按编字典方式(lexicographically)排序，因此较大、较小、最小和最大的概念是定义明确的。
[0017]函数kdf可基于伪随机函数。这意味着即使密钥导出中使用的输入仅单个位不同，对于攻击者而言使由kdf根据K所计算出的两个不同密钥关联在运算上也是不可行的。图2示出网格网络的两点之间的链路建立的一种实施例。
[0018]在A或B希望与另一个建立安全链路时，它使用K来计算：
KCK||KEK←kdf_K(0x00||max(MPA，MPB)||min(MPA，MPB))
KDK←kdf_K(0x01||max(MPA，MPB)||min(MPA，MPB))
其中，“a←b”表示将表达式b赋值给变量a；“a||b”表示a和b的级联；KCK表示导出的密钥确认密钥(key confirmation key)——又称为授权密钥，在链路建立期间使用；KEK表示导出的密钥加密密钥(key encryption key)，在链路建立中用于分配广播密钥；KDK表示导出的密钥导出密钥(key derivation key)，其将用于构建由网格链路建立协议所建立的会话密钥。KDK用于与网格链路建立协议的第二消息合作导出IEEE 802.11数据加密密钥TK的网格模拟：
TK←kdf_KDK(max(RA，RB)||min(RA，RB))
其中，RA是由A在其第一链路建立消息中所提供的随机比特字符串，而RB是由B在其第一链路建立消息中所提供的随机比特字符串。
[0019]该过程将导出的密钥分别与A和B的MAC地址MPA和MPB结合。可断言导出的密钥只可用于A和B之间的通信。因为本文所述的技术假设kdf基于伪随机函数，所以对于攻击者而言从任意其它密钥知晓密钥之一在运算上是不可行的。
[0020]为保护链路建立协议，使用第一信息中的KCK和KEK是有利的，因为该协议工作于对等模型。这允许KCK在IEEE 802.11s网格中的使用比802.11i密钥导出所能够的更早，以便保护对等模型内的链路建立协议。在一种实施例中，802.11i密钥导出流程为：
KCK||KEK||TK←kdf_K(max(MPA，MPB)||min(MPA，MPB)||
max(RA，RB)||min(RA，RB))
其中，RA是由A产生的随机值，RB是由B产生的随机值。这将所述密钥结合到链路建立示例。
[0021]IEEE 802.11i协议可切实可行地利用这种技术，因为该技术基于客户机-服务器模型，在该模型中可推迟密钥使用直到第二链路建立消息。这种推迟在传统的对等模型中是不可能的。尤其是，如果在对等模型中将密钥导出推迟到第二消息，则对于A和B而言使用KCK来互相认证变得不可行。
[0022]图3是可如本文所述进行通信的两个网格点的一种实施例的框图。网格点300和网格点350可配置为更大的网格网络(在图3中未示出)的部分，并可利用本领域已知的任意无线协议、例如IEEE802.11标准进行通信。
[0023]各网格点可包括可被用来导出如上所述的加密密钥的密钥导出代理(310和380)。可将密钥导出代理实现为硬件、软件、固件或其任意组合。各网格点还可包括可用来存储要被如本文所述那样使用的密钥信息的高速缓冲存储器(330和370)。高速缓存存储器可以通信方式与对应密钥导出代理耦合。各网格点还可包括可用于网格网络内的安全通信的可认证身份(authenticated identity)(320和360)。各网格点还可包括其它组件和/或单元，例如处理器、存储装置、输入/输出装置等(图3中未示出)。
[0024]因此本文所述的技术能够将链路认证的构建和密钥加密密钥从会话加密密钥中分离。在IEEE 802.11i中，所有这些密钥被一起导出。这种分离使安全性能够被覆盖到网格链路建立协议之上。这种覆盖对使用IEEE 802.11i方法来做密钥导出不是可行的，因为在对等模型中相互认证对使用IEEE802.11i方法是不可行的，除非通过将链路建立消息的数量增加到超过四个。
[0025]在说明书中对“一种实施例”或“实施例”的引用表示结合该实施例所述的特定特征、结构或特性被包含在本发明的至少一种实施例中。短语“在一种实施例中”在本说明书中各个位置的出现不一定都指同一实施例。
[0026]既然已经根据若干实施例描述了本发明，那么本领域技术人员将理解本发明不限于所述实施例，而是可在随附权利要求书的精神和范围内进行改进和变更。本说明书因此要被视为示例性的而不是限制性的。