專利名稱:在無線網(wǎng)狀通信網(wǎng)絡(luò)中用于發(fā)射組播數(shù)據(jù)的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及無線通信網(wǎng)絡(luò),并且具體地涉及在無線網(wǎng)狀通信網(wǎng)絡(luò)中提供組 播數(shù)據(jù)的安全通信。
背景技術(shù):
許多無線通信系統(tǒng)要求獨立的移動用戶以及在用戶節(jié)點之間的可靠通信的快速 部署。諸如移動自組織網(wǎng)絡(luò)(MANET)的網(wǎng)狀網(wǎng)絡(luò)基于通過具有有限帶寬的無線鏈路來彼此 進行通信的便攜式設(shè)備的自配置的自主集合。網(wǎng)狀網(wǎng)絡(luò)是以分散方式組織的無線節(jié)點或者 設(shè)備的集合,以通過允許跨多個跳躍到達節(jié)點來提供范圍擴展。因此,在網(wǎng)狀網(wǎng)絡(luò)中,由源 節(jié)點發(fā)送的通信分組在到達目的地節(jié)點之前,可以通過一個或多個中間節(jié)點來進行中繼。 網(wǎng)狀網(wǎng)絡(luò)可以被部署為臨時分組無線電網(wǎng)絡(luò),該臨時分組無線電網(wǎng)絡(luò)不包含有效的支持基 礎(chǔ)設(shè)施(如果有的話)。作為采用采用固定基站的替代,在一些網(wǎng)狀網(wǎng)絡(luò)中,每個用戶節(jié)點 可以用作其他用戶節(jié)點的路由器,因此支持可以迅速地低成本地建立的并且高度容錯的擴 展網(wǎng)絡(luò)覆蓋范圍。在一些網(wǎng)狀網(wǎng)絡(luò)中,特殊的無線路由器也可以被用作中間基礎(chǔ)設(shè)施節(jié)點。 因此,可以使用智能接入點(IAP)來實現(xiàn)大的網(wǎng)絡(luò),智能接入點(IAP)也被稱為網(wǎng)關(guān)或者門 戶,它們向無線節(jié)點提供對有線回程或者廣域網(wǎng)(WAN)的接入。網(wǎng)狀網(wǎng)絡(luò)可以在各種環(huán)境中提供重要的通信服務(wù),包括,例如,支持警察和消防 員、軍事應(yīng)用、工業(yè)設(shè)施和建筑工地的緊急服務(wù)。網(wǎng)狀網(wǎng)絡(luò)還用于提供家中、具有很少或者 沒有基本電信或者寬帶基礎(chǔ)設(shè)施的區(qū)域中和要求高速服務(wù)的區(qū)域(例如,大學、公司園區(qū) 和密集的城市區(qū)域)中的通信服務(wù)。然而,在網(wǎng)狀通信網(wǎng)絡(luò)中的節(jié)點之間建立安全通信可能是復雜的。諸如蜂窩電話 的傳統(tǒng)移動設(shè)備經(jīng)常使用基于基礎(chǔ)設(shè)施的鑒權(quán)過程來獲得通信安全性。通常,通過連接到 鑒權(quán)服務(wù)器的諸如基站的接入點(AP)來鑒權(quán)設(shè)備??梢岳缡褂冒ň钟蚓W(wǎng)上的可擴展 鑒權(quán)協(xié)議(EAPOL)的可擴展鑒權(quán)協(xié)議(EAP)分組來發(fā)射鑒權(quán)請求。該鑒權(quán)過程包括發(fā)射 和接收若干EAPOL分組,以EAP開始分組開始,并且以EAP成功消息分組或者EAP失敗消息 分組來結(jié)束。鑒權(quán)服務(wù)器存儲被鑒權(quán)的移動設(shè)備(通常稱為請求方)的鑒權(quán)證書。還可以 將鑒權(quán)服務(wù)器連接到其他鑒權(quán)服務(wù)器,以獲得沒有進行本地存儲的請求方鑒權(quán)證書。在基于基礎(chǔ)設(shè)施的移動網(wǎng)絡(luò)中,經(jīng)常遵循集中式過程,其中,單個AP處理對于在 AP的范圍內(nèi)的所有請求方的鑒權(quán)過程。例如,遵循美國國家標準協(xié)會/電氣與電子工程師 協(xié)會(ANSI/IEEE)802. IX或者ANSI/IEEE 802. Ili標準的現(xiàn)有系統(tǒng)利用這樣的集中式過 程。然而,因為可能經(jīng)由AP來對每個請求方進行鑒權(quán),所以這樣的集中式過程在無線網(wǎng)狀 通信網(wǎng)絡(luò)中是不實際的,該無線網(wǎng)狀通信網(wǎng)絡(luò)經(jīng)常具有在智能AP(IAP)的無線范圍外進行 操作的節(jié)點。IAP是向無線網(wǎng)絡(luò)節(jié)點提供WAN連接的接入點,該無線網(wǎng)絡(luò)節(jié)點可能與IAP相 距一個或多個跳躍。因此,無線網(wǎng)狀通信網(wǎng)絡(luò)經(jīng)常包括在所有相鄰的網(wǎng)絡(luò)節(jié)點之間執(zhí)行的 復雜相互鑒權(quán)方法,這可能消耗大量時間和網(wǎng)絡(luò)節(jié)點的處理器資源。
在附圖中,相同的附圖標記在獨立的視圖中表示相同或者在功能上類似的元素, 并且附圖與下面的具體實施方式
一起并入本說明書并且形成本說明書一部分,用于進一步 說明各個實施例,并且解釋所有根據(jù)本發(fā)明的各種原理和優(yōu)點。圖1是是圖示根據(jù)現(xiàn)有技術(shù)的在無線網(wǎng)狀通信網(wǎng)絡(luò)中的多個組臨時密鑰(GTK)的 使用的示意圖。圖2是圖示根據(jù)本發(fā)明的一些實施例的在無線網(wǎng)狀通信網(wǎng)絡(luò)中的單個GTK的使用 的示意圖。圖3是圖示根據(jù)本發(fā)明的一些實施例的在無線網(wǎng)狀通信網(wǎng)絡(luò)中的兩個GTK的使用 的示意圖。圖4是圖示根據(jù)本發(fā)明的一些實施例的在圖3中示出的無線網(wǎng)狀通信網(wǎng)絡(luò)的修改 的示意圖。圖5是圖示根據(jù)本發(fā)明的一些實施例的用于在無線網(wǎng)狀通信網(wǎng)絡(luò)中發(fā)射組播數(shù) 據(jù)的方法的整體流程圖。圖6是圖示根據(jù)本發(fā)明的一些實施例的在圖3中示出的無線網(wǎng)狀通信網(wǎng)絡(luò)的節(jié)點 D的系統(tǒng)組件的框圖。本領(lǐng)域的技術(shù)人員可以明白,附圖中的元素為了簡單和清楚而進行圖示,并且不 必按照比例繪制。例如,在附圖中的一些元素的尺寸可能相對于其他元素被夸大,以有助于 促進對本發(fā)明的實施例的理解。
具體實施例方式在詳細描述根據(jù)本發(fā)明的實施例之前,應(yīng)當觀察到,實施例主要在于與在無線網(wǎng) 狀通信網(wǎng)絡(luò)中發(fā)射組播數(shù)據(jù)相關(guān)的方法步驟和裝置組件的組合。因此,在適當時,在附圖中 用傳統(tǒng)符號表示裝置組件和方法步驟,僅示出了與理解本發(fā)明的實施例相關(guān)的那些特定細 節(jié),以便于不使對于受益于這里的描述的本領(lǐng)域的普通技術(shù)人員顯而易見的細節(jié)混淆本公 開。在本文中,諸如第一和第二、頂和底等的關(guān)系術(shù)語可以僅用于將一個實體或者動 作與另一個實體或者動作進行區(qū)分,而不必要求或者暗示在這樣的實體或者動作之間的任 何實際的這樣的關(guān)系或者順序。術(shù)語“包括”或者其任何其他變化形式意欲涵蓋非排他性的 包括,使得包括一系列元素的過程、方法、物品或者裝置不僅包括那些元素,而且可以包括 沒有明確列出的或者這樣的過程、方法、物品或者裝置所固有的其他元素。由“包括...一” 引導的元素在沒有更多約束的情況下不排除在包括該元素的過程、方法、物品或者裝置中 存在另外的相同元素??梢悦靼祝诖嗣枋龅谋景l(fā)明的實施例可以包括一個或多個傳統(tǒng)處理器和獨特存 儲的程序指令,該獨特存儲的程序指令控制該一個或多個處理器來結(jié)合特定的非處理器電 路來實現(xiàn)在此描述的在無線網(wǎng)狀通信網(wǎng)絡(luò)中發(fā)射組播數(shù)據(jù)的一些、大多數(shù)或者全部功能。 非處理器電路可以包括但是不限于,無線電接收機、無線電發(fā)射機、信號驅(qū)動器、時鐘電路、 電源電路和用戶輸入設(shè)備。如此一來,這些功能可以被解釋為在無線網(wǎng)狀通信網(wǎng)絡(luò)中用于 發(fā)射組播數(shù)據(jù)的方法的步驟。替代地,可以通過不具有存儲的程度指令的狀態(tài)機或者在一個或多個專用集成電路(ASIC)中實現(xiàn)一些或所有功能,其中,特定功能的每個功能或者一 些組合被實現(xiàn)為定制邏輯。當然,可以使用兩種方法的組合。因此,已經(jīng)在此描述了用于這 些功能的方法和設(shè)備。而且,雖然由例如可用時間、當前技術(shù)和經(jīng)濟考慮而激發(fā)了可能很大 的努力和許多設(shè)計選擇,但是希望本領(lǐng)域的普通技術(shù)人員在由在此公開的思想或者原理引 導時,將以最少的實驗來容易地生成這樣的軟件指令和程序及IC。在此描述的任何實施例不必被理解為比其他實施例優(yōu)選或有利。說明性地提供 在具體實施方式
中描述的所有實施例,以使得本領(lǐng)域內(nèi)的技術(shù)人員能夠建立或者使用本發(fā) 明,并且不限制由權(quán)利要求限定的本發(fā)明的范圍。根據(jù)一個方面,本發(fā)明的一些實施例定義了一種在無線網(wǎng)狀通信網(wǎng)絡(luò)中用于發(fā)射 組播數(shù)據(jù)的方法。所述方法包括在請求方節(jié)點,處理從鑒權(quán)器節(jié)點接收到的鑒權(quán)握手數(shù) 據(jù),其中,請求方節(jié)點是鑒權(quán)器節(jié)點遠離根節(jié)點的下一跳鄰居。然后,請求方節(jié)點存儲從鑒 權(quán)器節(jié)點接收到的組臨時密鑰。接下來,請求方節(jié)點處理從第三節(jié)點接收到的鑒權(quán)握手數(shù) 據(jù),其中,第三節(jié)點是請求方節(jié)點遠離根節(jié)點的下一跳鄰居。然后,響應(yīng)于處理從所述第三 節(jié)點接收到的所述鑒權(quán)握手數(shù)據(jù),從所述請求方節(jié)點向所述第三節(jié)點發(fā)射所述組臨時密 鑰。然后,通過使用所述組臨時密鑰加密從所述鑒權(quán)器節(jié)點接收到的組播數(shù)據(jù)來在所述請 求方節(jié)點處生成加密組播數(shù)據(jù)。最后,從所述請求方節(jié)點向所述第三節(jié)點發(fā)射所述加密組 播數(shù)據(jù)。因此,本發(fā)明的一些實施例使得在使用相同組播根節(jié)點的所有網(wǎng)絡(luò)節(jié)點處能夠有 效地同步組播密鑰。這使得組業(yè)務(wù)能夠用單個密鑰在網(wǎng)絡(luò)節(jié)點之間流動,由此消除了分組 復制、多個密鑰和復雜的密鑰管理。而且,可以允許組業(yè)務(wù)在網(wǎng)絡(luò)節(jié)點之間流動,在該網(wǎng)絡(luò) 節(jié)點之間先前沒有建立安全鏈路。所述方法進一步提供組播路徑冗余,其改善了組業(yè)務(wù)的 可靠性,并且因此改善了整體網(wǎng)絡(luò)服務(wù)質(zhì)量(QoS)。參考圖1,示意示了根據(jù)現(xiàn)有技術(shù)的在無線網(wǎng)狀通信網(wǎng)絡(luò)100中的多個組臨 時密鑰(GTK)的使用。GTK可以用于在與相鄰的網(wǎng)絡(luò)節(jié)點完成鑒權(quán)過程之后來加密、解密、 鑒權(quán)和驗證組播數(shù)據(jù)。無線網(wǎng)狀通信網(wǎng)絡(luò)100包括與第一無線節(jié)點110-n(即,無線節(jié)點 110-1、110-2和110-3)的集合直接地進行無線通信的智能接入點(IAP) 105。然后,第一無 線節(jié)點110-n的集合與第二無線節(jié)點115-n( S卩,無線節(jié)點115-1、115-2和115-3)的集合 直接地進行無線通信。為了安全地發(fā)射組播數(shù)據(jù)(即,在無線網(wǎng)狀通信網(wǎng)絡(luò)100中廣播或 者多播的數(shù)據(jù)),IAP 105和每個無線節(jié)點110-n、115-n必須保存多個組臨時密鑰,該多個 組臨時密鑰在IAP 105、無線節(jié)點110-n和無線節(jié)點115_n之間的安全鑒權(quán)會話期間進行交 換。例如,可以根據(jù)電氣和電子工程師協(xié)會(IEEE)802. Ili標準來交換這樣的GTK。(可以 在 http//standards, ieee. org/getieee802/index, html 或者通過聯(lián)系在 IEEE,445Hoes Lane, PO Box 1331,Piscataway,NJ 08855-1331,USA 的 IEEE 來獲得在此引用的 IEEE 標準 或者規(guī)范)。然而,根據(jù)諸如IEEE 802. Ili標準的標準,GTK只是單向密鑰。因此,諸如無線節(jié) 點110-2的請求方節(jié)點不能使用由諸如IAP 105的其鑒權(quán)器節(jié)點提供的GTK來進行發(fā)射。 相反,請求方節(jié)點可以僅使用這樣的GTK來解密從鑒權(quán)器節(jié)點接收到的分組。因此,為了使 得組播數(shù)據(jù)能夠在IAP 105和無線節(jié)點110-2之間的任何方向上流動,必須在IAP105和 無線節(jié)點110-2之間交換兩個GTK:—個GTK用于發(fā)射數(shù)據(jù),而一個GTK用于接收數(shù)據(jù)。類
6似地,第一無線節(jié)點110-n的集合和第二無線節(jié)點115-n的集合還必須與相鄰的無線節(jié)點 110-n、115-n 交換多個 GTK。在諸如無線節(jié)點110-2的特定節(jié)點處保存多個GTK由于若干原因而有問題。首 先,許多網(wǎng)絡(luò)節(jié)點硬件實施方式不支持多個GTK。因此,交換多個GTK可能與在諸如無線網(wǎng) 狀通信網(wǎng)絡(luò)100的網(wǎng)絡(luò)中部署的現(xiàn)有硬件不兼容。其次,路由請求(RREQ)消息的廣播可能 要求在網(wǎng)狀網(wǎng)絡(luò)中的每個無線節(jié)點與每個相鄰節(jié)點110-n、115-n共享其GTK。在大的無線 網(wǎng)狀通信網(wǎng)絡(luò)中,它可以產(chǎn)生很大開銷的處理負擔。參考圖2,示意示了根據(jù)本發(fā)明的一些實施例的在無線網(wǎng)狀通信網(wǎng)絡(luò)200中 的單個GTK的使用。無線網(wǎng)狀通信網(wǎng)絡(luò)200包括IAP 205,該IAP 205與第一無線節(jié)點 210-n(即,無線節(jié)點210-1、210-2和210-3)的集合直接地進行無線通信。然后,第一無線 節(jié)點210-n的集合與第二無線節(jié)點215-n(S卩,無線節(jié)點215-1、215-2和215-3)的集合直接 地進行無線通信。如圖所示,無線網(wǎng)狀通信網(wǎng)絡(luò)200被視作單個邏輯接入點(AP),其中,始 終共享單個GTK。因此,GTK對于諸如IAP 205的單個公共根節(jié)點是唯一的。IAP 205用作 組播根節(jié)點,并且可以根據(jù)IEEE 802. Ili標準來導出GTK。然后,IAP 205將向第一無線節(jié) 點210-n的集合傳播GTK。然后,第一無線節(jié)點210-n的集合將GTK用作它們自己的GTK, 并且隨后向第二無線節(jié)點215-n的集合傳播該GTK。根據(jù)本發(fā)明的一些實施例,在無線網(wǎng)狀通信網(wǎng)絡(luò)中的每個節(jié)點包括支持由密鑰標 識(ID)指定的有限數(shù)目的GTK的硬件。可以幀本身中提供用于保護數(shù)據(jù)幀的GTK的密鑰 ID,如在IEEE 802. Ili標準中所述。在無線網(wǎng)狀通信網(wǎng)絡(luò)200中的諸如IAP 205的每個組播根節(jié)點首先計算當前GTK, 并且安裝該當前GTK以供進行發(fā)射和接收。組播根節(jié)點還初始化當前密鑰ID。然后,從組 播根節(jié)點發(fā)射的每個組播幀被標注有當前密鑰ID,并且使用當前GTK來進行保護。當諸如 無線節(jié)點210-2的非根下游請求方節(jié)點與諸如IAP 205的上游鑒權(quán)器節(jié)點進行鑒權(quán)時,鑒 權(quán)器節(jié)點在握手階段期間向請求方節(jié)點發(fā)送其當前GTK和密鑰ID。這樣的握手階段可以包 括,例如,使用成對主密鑰(PMK)和成對臨時密鑰(PTK)的四路握手,如本領(lǐng)域內(nèi)的普通技 術(shù)人員公知。然后,請求方節(jié)點存儲GTK和密鑰ID。如果請求方節(jié)點隨后將鑒權(quán)器節(jié)點選 擇為請求方節(jié)點的組播上行鏈路,則請求方節(jié)點可以將鑒權(quán)器節(jié)點的GTK和密鑰ID用作其 本身的。根據(jù)本發(fā)明的一些實施例,GTK因此使得組播數(shù)據(jù)能夠從根節(jié)點擴散(flood)通 過無線網(wǎng)狀通信網(wǎng)絡(luò)。如本領(lǐng)域內(nèi)的普通技術(shù)人員公知,擴散是根節(jié)點的鄰居通過其向它 們的下游鄰居傳播組業(yè)務(wù)的過程,并且那些鄰居繼而向它們的鄰居傳播該業(yè)務(wù)。因為單個 節(jié)點可以從多個鄰居接收組播傳輸,所以擴散可以提高組播傳輸?shù)目煽啃?。根?jié)點可以定期地“滾動”(即,替換)其GTK,以便于限制GTK的時間范圍。當這 發(fā)生時,還對關(guān)聯(lián)密鑰ID進行滾動。GTK的有效性因此可以在預定時間段之后期滿。而且, 當非根節(jié)點采用不同的組播上行鏈路時,非根節(jié)點可以改變其GTK。當這樣的改變發(fā)生時, 可以以保持在節(jié)點之間的組播連接的方式來向下游節(jié)點(即,遠離根節(jié)點的節(jié)點)傳播新 的GTK。當采用新的GTK時,節(jié)點首先安裝新的GTK和新的密鑰ID來僅用于數(shù)據(jù)接收,并 且不改變其用于發(fā)射的GTK。然后,節(jié)點處理在網(wǎng)絡(luò)中的鑒權(quán)鏈路的列表。對于該列表上 的每個鏈路,節(jié)點確定其GTK先前是否已經(jīng)被提供到相關(guān)的遠程節(jié)點。如果如此,則在兩個節(jié)點之間發(fā)起GTK更新握手。如本領(lǐng)域內(nèi)的普通技術(shù)人員公知,這樣的握手對于根據(jù)IEEE 802. Ili標準的組密鑰滾動來說是典型的。從鑒權(quán)器節(jié)點接收到的鑒權(quán)握手數(shù)據(jù)可以用于 導出成對臨時密鑰(PTK)。僅在所有的遠程節(jié)點已經(jīng)完成了握手或者超時之后,才使用新的 GTK來進行傳輸。當非根漫游節(jié)點選取新的組播根節(jié)點時,新的上行鏈路密鑰ID可以與先前的上 行鏈路密鑰ID相同。在這樣的情況下,漫游節(jié)點不需要如上所述延遲用于發(fā)射的GTK的安 裝。因此,當請求方節(jié)點漫游到新的根節(jié)點域時,請求方節(jié)點可以確定新的根節(jié)點的組臨時 密鑰標識符還沒有期滿,并且被高速緩存在請求方節(jié)點的存儲器中。因此,請求方節(jié)點立即 安裝與組臨時密鑰標識符相關(guān)聯(lián)的組臨時密鑰。由于用于密鑰ID的可用存儲的物理限制,當從在漫游節(jié)點處的本地緩存器而不 是從新的握手來安裝GTK時,在漫游節(jié)點處的解密功能可能無法解密分組。這是因為不同 的根節(jié)點可以使用相同密鑰ID基準,并且漫游節(jié)點不可以在先前獲取的和新獲取的密鑰 ID之間立即進行區(qū)分。因此,漫游節(jié)點可以將解密失敗事件與該可能的沖突相關(guān)聯(lián),并且將 觸發(fā)雙路握手來獲取新的GTK。如本領(lǐng)域內(nèi)的普通技術(shù)人員可以明白,該解密失敗和恢復之 間的關(guān)系非常類似于在IEEE 802. Ili標準中強制的其他機制。根據(jù)本發(fā)明的一些實施例,當請求方節(jié)點和鑒權(quán)器節(jié)點完成相互鑒權(quán)過程時,可 以僅在一個方向上從鑒權(quán)器節(jié)點向請求方節(jié)點分發(fā)GTK。在這樣的相互鑒權(quán)之后,從安全性 的角度,節(jié)點被看作等同的對等方,并且該節(jié)點可以使用GTK來加密、解密、鑒權(quán)和驗證組 播數(shù)據(jù)。然而,由于在網(wǎng)狀網(wǎng)絡(luò)中的改變,以前的請求方節(jié)點可能成為以前的鑒權(quán)器節(jié)點的 組播上行鏈路。如果這發(fā)生,則以前的鑒權(quán)器節(jié)點可以請求以前的請求方節(jié)點來完成另一 個相互鑒權(quán)過程。下面進一步詳細地描述該情況。參考圖3,示意示了根據(jù)本發(fā)明的一些實施例的在無線網(wǎng)狀通信網(wǎng)絡(luò)300中 的兩個GTK的使用。無線網(wǎng)狀通信網(wǎng)絡(luò)300包括第一根節(jié)點A 305,該第一根節(jié)點A 305 操作地連接到廣域網(wǎng)(WAN) 310;以及第二根節(jié)點E 315,該第二根節(jié)點E 315也操作地連接 到WAN 310。第一根節(jié)點A 305生成GTKa。在鑒權(quán)過程期間,第一根節(jié)點A 305然后鑒權(quán)節(jié) 點B 320,包括將GTKa轉(zhuǎn)發(fā)到節(jié)點B 320。然后,節(jié)點B 320鑒權(quán)節(jié)點D 325,并且還將GTKa 轉(zhuǎn)發(fā)到節(jié)點D 325。然后,節(jié)點D 325鑒權(quán)節(jié)點C 330,并且將GTKa轉(zhuǎn)發(fā)到節(jié)點C 330。如 果然后在第一根節(jié)點A 305處通過WAN 310來接收組播數(shù)據(jù),則從第一根節(jié)點A 305向節(jié) 點B 320、從節(jié)點B 320向節(jié)點D 325并且最后從節(jié)點D 325向節(jié)點C 330發(fā)射組播數(shù)據(jù)。 節(jié)點320、325、330中的每一個可以使用GTKa來加密、解密、鑒權(quán)和驗證組播數(shù)據(jù)。類似地,第二根節(jié)點E 315生成GTKE,并且然后完成與節(jié)點F 335的鑒權(quán),包括向 節(jié)點F 335轉(zhuǎn)發(fā)GTKe。因為節(jié)點F 335的下一跳上行鏈路是節(jié)點E 315,所以節(jié)點F 335使 用GTKe。因此,無線網(wǎng)狀通信網(wǎng)絡(luò)300是包括多個不同GTK的混合網(wǎng)絡(luò)。本發(fā)明的一些實施例的益處是諸如節(jié)點B 320的“中間節(jié)點”可以僅安裝一個 GTK(即,GTKA),并且使用該GTK來用于所有組播數(shù)據(jù)的發(fā)射和接收。另一個益處是,因為節(jié) 點可能從多個源接收組播數(shù)據(jù),所以使得無線網(wǎng)狀通信網(wǎng)絡(luò)更強壯和可靠。例如,如果在無 線網(wǎng)狀通信網(wǎng)絡(luò)300中改善了無線電狀況,并且節(jié)點C 330可以開始從節(jié)點B 320接收傳 輸,則節(jié)點C 330可以立即鑒權(quán)和驗證從節(jié)點B 320接收到的組播數(shù)據(jù)。這是因為節(jié)點B 320和節(jié)點D 325使用相同GTKa。
8
參考圖4,示意示了根據(jù)本發(fā)明的一些實施例的在圖3中圖示的布置之后發(fā) 生的無線網(wǎng)狀通信網(wǎng)絡(luò)300的修改??紤]節(jié)點A 305變得不可用(例如,它被關(guān)閉或者以其 他方式變得不可操作)。如果節(jié)點D 325在節(jié)點F 335的射頻(RF)范圍內(nèi),則節(jié)點D 325 可以完成與節(jié)點F 335的鑒權(quán)過程,并且然后將節(jié)點F 335用作到WAN 310的上行鏈路。因 此,節(jié)點D 325需要首先安裝從節(jié)點F 335接收用于接收組播數(shù)據(jù)的新的GTK(GTKe)和關(guān)聯(lián) 密鑰ID。節(jié)點D 325還沒有改變其組臨時密鑰(GTKa)和關(guān)聯(lián)密鑰ID。然后,節(jié)點D 325處 理其鑒權(quán)下行鏈路鄰居的列表。對于在該列表中的每個鏈路,如果節(jié)點D 325先前在過去 向下行鏈路節(jié)點提供了其組臨時密鑰,則它被迫使更新該密鑰。為了如此進行,它發(fā)起組密 鑰更新握手。該握手對于IEEE 802. Ili組密鑰滾動來說是典型的,如本領(lǐng)域內(nèi)的普通技術(shù) 人員所公知。僅當包括節(jié)點B 320和節(jié)點C 330的所有遠程節(jié)點已經(jīng)完成了握手或者超時 時,節(jié)點D 325才安裝GTKe作為用于發(fā)射的當前密鑰。注意,在該情況下,作為節(jié)點D 325 的以前的鑒權(quán)器節(jié)點的節(jié)點B 320現(xiàn)在已經(jīng)成為節(jié)點D 325的請求方節(jié)點,并且節(jié)點D 325 成為節(jié)點B 320的鑒權(quán)器節(jié)點。然而,以前的請求方節(jié)點可以成為以前的鑒權(quán)器節(jié)點的組 播上行鏈路節(jié)點。但是,在請求方節(jié)點成為鑒權(quán)器節(jié)點的組播上行鏈路節(jié)點之前,鑒權(quán)器節(jié) 點請求在鑒權(quán)器節(jié)點和請求方節(jié)點之間的第二次鑒權(quán)握手。參考圖5,整體流程示了根據(jù)本發(fā)明的一些實施例的在無線網(wǎng)狀通信網(wǎng)絡(luò)中 用于發(fā)射組播數(shù)據(jù)的方法500。在步驟505,請求方節(jié)點處理從鑒權(quán)器節(jié)點接收到的鑒權(quán)握 手數(shù)據(jù),其中,請求方節(jié)點是鑒權(quán)器節(jié)點遠離根節(jié)點的下一跳鄰居。例如,如上參考圖3所 述,節(jié)點D 325處理從節(jié)點B 320接收到的鑒權(quán)握手數(shù)據(jù),其中,節(jié)點D 325是請求方節(jié)點, 并且是節(jié)點B 320遠離第一根節(jié)點A 305的下一跳鄰居。在步驟510,請求方節(jié)點存儲從鑒權(quán)器節(jié)點接收到的組臨時密鑰。所述組臨時密鑰 可以被存儲在請求方節(jié)點處來在組播數(shù)據(jù)的發(fā)射和接收中進行使用。例如,在圖3的網(wǎng)絡(luò) 配置下,節(jié)點D 325在從節(jié)點B 320接收到GTKa之后存儲該GTKa。然后,節(jié)點D 325可以 使用GTKa用于通過第一根節(jié)點A 305從WAN 310接收到的組播數(shù)據(jù)的發(fā)射和接收??梢酝ㄟ^根節(jié)點來計算組臨時密鑰。例如,可以由第一根節(jié)點A305來計算GTKa。 而且,請求方節(jié)點可以將鑒權(quán)器節(jié)點選作請求方節(jié)點的組播上行鏈路節(jié)點。在步驟515,請求方節(jié)點處理從第三節(jié)點接收到的鑒權(quán)握手數(shù)據(jù),其中,第三節(jié)點 是請求方節(jié)點遠離根節(jié)點的下一跳鄰居。例如,在圖3的網(wǎng)絡(luò)配置下,節(jié)點D 325處理從節(jié) 點C 330接收到的鑒權(quán)握手數(shù)據(jù),其中,節(jié)點C 330是節(jié)點D 325遠離第一根節(jié)點A 305的 下一跳鄰居。在步驟520,請求方節(jié)點響應(yīng)于處理從第三節(jié)點接收到的鑒權(quán)握手數(shù)據(jù)來向第三 節(jié)點發(fā)射組臨時密鑰。例如,在圖3的網(wǎng)絡(luò)配置下,節(jié)點D 325響應(yīng)于處理從節(jié)點C 330接 收的鑒權(quán)握手數(shù)據(jù)來向節(jié)點C 330發(fā)射GTKa??梢允褂妹荑€加密密鑰(KEK)(其對于IEEE 802. Ili組密鑰滾動來說是典型的,如本領(lǐng)域內(nèi)的普通技術(shù)人員公知)來執(zhí)行從請求方節(jié) 點向第三節(jié)點發(fā)射組臨時密鑰,使得未鑒權(quán)的鄰居節(jié)點無法獲得組臨時密鑰。在步驟525,通過使用組臨時密鑰來加密從鑒權(quán)器節(jié)點接收到的組播數(shù)據(jù)來在請 求方節(jié)點處生成加密組播數(shù)據(jù)。例如,在圖3的網(wǎng)絡(luò)配置下,節(jié)點D 325可以通過使用GTKa 重新加密先前從節(jié)點B 320接收并且使用GTKa解密的組播數(shù)據(jù)來生成加密組播數(shù)據(jù)。最后,在步驟530,從請求方節(jié)點向第三節(jié)點發(fā)射加密的組播數(shù)據(jù)。例如,在圖3的網(wǎng)絡(luò)配置下,節(jié)點D 325可以向節(jié)點C 330發(fā)射加密組播數(shù)據(jù)。參考圖6,框示了根據(jù)本發(fā)明的一些實施例的無線網(wǎng)狀通信網(wǎng)絡(luò)300的節(jié)點D 325的系統(tǒng)組件。節(jié)點D 325包括耦合到處理器615的隨機存取存儲器(RAM)605和可編程 存儲器610,該節(jié)點D325表示根據(jù)本發(fā)明的一些實施例的在無線網(wǎng)狀通信網(wǎng)絡(luò)中的節(jié)點的 一個示例。處理器615還具有端口,該端口用于耦合到可能包括有線或者無線接口的網(wǎng)絡(luò) 接口 620,625ο網(wǎng)絡(luò)接口 620、625可以用于使得節(jié)點D 325能夠在無線網(wǎng)狀通信網(wǎng)絡(luò)300中與相 鄰節(jié)點進行通信。例如,網(wǎng)絡(luò)接口 620可以用于從節(jié)點B 320、節(jié)點C 330和節(jié)點F 335接 收數(shù)據(jù)分組,并且向節(jié)點B 320、節(jié)點C 330和節(jié)點F 335發(fā)送數(shù)據(jù)分組??删幊檀鎯ζ?10可以存儲用于處理器615的操作代碼(OC)和用于執(zhí)行與節(jié)點 D 325相關(guān)聯(lián)的功能的代碼。例如,可編程存儲器610可以包括計算機可讀程序代碼組件 635,用于執(zhí)行在此所述的在無線網(wǎng)狀通信網(wǎng)絡(luò)中用于發(fā)射組播數(shù)據(jù)的方法。因此,本發(fā)明的一些實施例的優(yōu)點包括使得能夠在使用在相同組播根節(jié)點的所 有網(wǎng)絡(luò)節(jié)點處有效同步組播密鑰。這使得組業(yè)務(wù)能夠在用單個密鑰在網(wǎng)絡(luò)節(jié)點之間流動, 由此消除了分組重復、多個密鑰和復雜的密鑰管理。而且,允許組業(yè)務(wù)在節(jié)點之間流動,在 該節(jié)點之間先前沒有建立安全鏈路。該方法進一步提供了組播路徑冗余,這改善了組業(yè)務(wù) 的可靠性,并且因此改善了整個網(wǎng)絡(luò)服務(wù)質(zhì)量(QoS)。在上述的說明書中,已經(jīng)描述了本發(fā)明的特定實施例。但是,本領(lǐng)域內(nèi)的普通技術(shù) 人員明白,在不偏離以下權(quán)利要求中所闡述的本發(fā)明的范圍的情況下,可以進行各種修改 和改變。因此,說明書和附圖被看作是說明性的而不是限定性的意思,并且所有這樣的修改 意在被包括在本發(fā)明的范圍中。益處、優(yōu)點、對問題的解決方案和可以使得任何益處、優(yōu)點 或者解決方案發(fā)生或者變得更顯著的任何一個或多個元素不應(yīng)當被解釋為任何或者所有 權(quán)利要求的關(guān)鍵的、必需的或者必要的特征或者要素。本發(fā)明僅由所附權(quán)利要求來限定,包 括在本申請未決期間進行的任何修改和所公布的那些權(quán)利要求的所有等同物。
權(quán)利要求
一種用于在無線網(wǎng)狀通信網(wǎng)絡(luò)中發(fā)射組播數(shù)據(jù)的方法,所述方法包括在請求方節(jié)點處,處理從鑒權(quán)器節(jié)點接收到的鑒權(quán)握手數(shù)據(jù),其中,所述請求方節(jié)點是所述鑒權(quán)器節(jié)點遠離根節(jié)點的下一跳鄰居;在所述請求方節(jié)點處,存儲從所述鑒權(quán)器節(jié)點接收到的組臨時密鑰;在所述請求方節(jié)點處,處理從第三節(jié)點接收到的鑒權(quán)握手數(shù)據(jù),其中,所述第三節(jié)點是所述請求方節(jié)點遠離所述根節(jié)點的下一跳鄰居;響應(yīng)于處理從所述第三節(jié)點接收到的所述鑒權(quán)握手數(shù)據(jù),從所述請求方節(jié)點向所述第三節(jié)點發(fā)射所述組臨時密鑰;通過使用所述組臨時密鑰加密從所述鑒權(quán)器節(jié)點接收到的組播數(shù)據(jù),來在所述請求方節(jié)點處生成加密組播數(shù)據(jù);以及從所述請求方節(jié)點向所述第三節(jié)點發(fā)射所述加密組播數(shù)據(jù)。
2.根據(jù)權(quán)利要求1所述的方法,其中,所述組臨時密鑰被存儲在所述請求方節(jié)點處,用 于在組播數(shù)據(jù)的發(fā)射和接收中使用。
3.根據(jù)權(quán)利要求1所述的方法,其中,所述組臨時密鑰被存儲在所述第三節(jié)點處,用于 在組播數(shù)據(jù)的發(fā)射和接收中使用。
4.根據(jù)權(quán)利要求1所述的方法,其中,所述組臨時密鑰由所述根節(jié)點來計算。
5.根據(jù)權(quán)利要求1所述的方法,其中,在所述請求方節(jié)點處存儲從所述鑒權(quán)器節(jié)點接 收到的所述組臨時密鑰之后,所述請求方節(jié)點選擇所述鑒權(quán)器節(jié)點作為所述請求方節(jié)點的 組播上行鏈路節(jié)點。
6.根據(jù)權(quán)利要求1所述的方法,其中,所述組臨時密鑰從所述根節(jié)點擴散通過所述無 線網(wǎng)狀通信網(wǎng)絡(luò)。
7.根據(jù)權(quán)利要求1所述的方法,其中,所述組臨時密鑰的有效性在預定時間段之后期、/斗倆。
8.根據(jù)權(quán)利要求1所述的方法,其中,在發(fā)射所述加密組播數(shù)據(jù)之后,所述請求方節(jié) 點漫游到新的根節(jié)點域,確定新的根節(jié)點的組臨時密鑰標識符還沒有期滿并且被高速緩存 在所述請求方節(jié)點的存儲器中,以及由此安裝與所述組臨時密鑰標識符相關(guān)聯(lián)的組臨時密 鑰。
9.根據(jù)權(quán)利要求1所述的方法,其中,所述組臨時密鑰對于單個公共根節(jié)點是唯一的。
10.根據(jù)權(quán)利要求1所述的方法,其中,從所述請求方節(jié)點向所述第三節(jié)點發(fā)射所述組 臨時密鑰使用密鑰加密密鑰(KEK)。
11.根據(jù)權(quán)利要求1所述的方法,其中,所述組播數(shù)據(jù)包括廣播或者多播數(shù)據(jù)。
12.根據(jù)權(quán)利要求1所述的方法,其中,在完成在所述請求方節(jié)點和所述鑒權(quán)器節(jié)點之 間的所述鑒權(quán)握手后,所述請求方節(jié)點成為所述鑒權(quán)器節(jié)點的組播上行鏈路節(jié)點。
13.根據(jù)權(quán)利要求10所述的方法,其中,在所述請求方節(jié)點成為所述鑒權(quán)器節(jié)點的組 播上行鏈路節(jié)點之前,所述鑒權(quán)器節(jié)點請求在所述鑒權(quán)器節(jié)點和所述請求方節(jié)點之間的第 二次鑒權(quán)握手。
14.一種在無線網(wǎng)狀通信網(wǎng)絡(luò)中用于發(fā)射組播數(shù)據(jù)的設(shè)備,所述設(shè)備包括用于在請求方節(jié)點處理從鑒權(quán)器節(jié)點接收到的鑒權(quán)握手數(shù)據(jù)的計算機可讀程序代碼 組件,其中,所述請求方節(jié)點是所述鑒權(quán)器節(jié)點遠離根節(jié)點的下一跳鄰居;2用于在所述請求方節(jié)點存儲從所述鑒權(quán)器節(jié)點接收到的組臨時密鑰的計算機可讀程 序代碼組件;用于在所述請求方節(jié)點處理從第三節(jié)點接收到的鑒權(quán)握手數(shù)據(jù)的計算機可讀程序代 碼組件,其中,所述第三節(jié)點是所述請求方節(jié)點遠離所述根節(jié)點的下一跳鄰居;用于響應(yīng)于處理從所述第三節(jié)點接收到的所述鑒權(quán)握手數(shù)據(jù)來從所述請求方節(jié)點向 所述第三節(jié)點發(fā)射所述組臨時密鑰的計算機可讀程序代碼組件;用于通過使用所述組臨時密鑰加密從所述鑒權(quán)器節(jié)點接收到的組播數(shù)據(jù)來在所述請 求方節(jié)點處生成加密組播數(shù)據(jù)的計算機可讀程序代碼組件;以及用于從所述請求方節(jié)點向所述第三節(jié)點發(fā)射所述加密組播數(shù)據(jù)的計算機可讀程序代 碼組件。
15.根據(jù)權(quán)利要求14所述的設(shè)備,其中,所述組臨時密鑰被存儲在所述請求方節(jié)點處, 用于在組播數(shù)據(jù)的發(fā)射和接收中使用。
16.根據(jù)權(quán)利要求14所述的設(shè)備,其中,所述組臨時密鑰被存儲在所述第三節(jié)點處,用 于在組播數(shù)據(jù)的發(fā)射和接收中使用。
17.根據(jù)權(quán)利要求14所述的設(shè)備,其中,所述組臨時密鑰由所述根節(jié)點來計算。
18.根據(jù)權(quán)利要求14所述的設(shè)備,其中,在所述請求方節(jié)點處存儲從所述鑒權(quán)器節(jié)點 接收到的所述組臨時密鑰之后,所述請求方節(jié)點選擇所述鑒權(quán)器節(jié)點作為所述請求方節(jié)點 的組播上行鏈路節(jié)點。
19.根據(jù)權(quán)利要求14所述的設(shè)備,其中,所述組臨時密鑰從所述根節(jié)點擴散通過所述 無線網(wǎng)狀通信網(wǎng)絡(luò)。
20.根據(jù)權(quán)利要求14所述的設(shè)備,其中,所述組臨時密鑰的有效性在預定時間段之后期滿。
全文摘要
所提供的一種用于在無線網(wǎng)狀通信網(wǎng)絡(luò)中發(fā)射組播數(shù)據(jù)的方法改善了組播數(shù)據(jù)的安全性。該方法包括在請求方節(jié)點處理從鑒權(quán)器節(jié)點接收到的鑒權(quán)握手數(shù)據(jù),其中,請求方節(jié)點是鑒權(quán)器節(jié)點遠離根節(jié)點的下一跳鄰居。然后,請求方節(jié)點存儲從鑒權(quán)器節(jié)點接收到的組臨時密鑰(GTK)。接下來,請求方節(jié)點處理從第三節(jié)點接收到的鑒權(quán)握手數(shù)據(jù),其中,第三節(jié)點是請求方節(jié)點遠離根節(jié)點的下一跳鄰居。然后,從請求方節(jié)點向第三節(jié)點發(fā)射GTK。然后,通過使用GTK來加密從鑒權(quán)器節(jié)點接收到的組播數(shù)據(jù)來在請求方節(jié)點處生成加密組播數(shù)據(jù)。最后,從請求方節(jié)點向第三節(jié)點發(fā)射加密組播數(shù)據(jù)。
文檔編號H04L29/06GK101911637SQ200880122633
公開日2010年12月8日 申請日期2008年12月16日 優(yōu)先權(quán)日2007年12月27日
發(fā)明者查爾斯·R·巴克爾, 歐哈德·沙蒂爾, 邁克爾·F·科魯斯, 鄭和云 申請人:摩托羅拉公司