在基于基础结构的无线多跳网络中的安全认证和密钥管理

摘要

文中提供了一种在多跳无线网络中具有逐跳安全模型的安全认证和密钥管理方案的系统和方法。该方案将802.11r密钥层次适配到网状的AP网络中。在这种方法中，顶部密钥持有者(R0KH)在认证处理后，得出和保留用于每个申请者无线装置的顶部成对主密钥(PMK_0)。所有的认证器AP采取第一级密钥持有者(R1KH)角色，并且从R0KH接收下一级成对主密钥(PMK_1)。经由802.11i4路握手来从PMK_1得出链路级数据保护密钥。

说明书

技术领域

本发明一般地涉及无线通信，并且更具体地涉及在基于基础结构 的无线多跳网络中的安全认证和密钥管理。

背景技术

基于基础结构的无线网络通常包括具有固定和有线的网关的通信 网络。许多基于基础结构的无线网络使用移动单元或者主机，所述移 动单元或者主机与耦接到有线网络的固定基站通信。所述移动单元可 以在其通过无线链路与基站通信的同时在地理上移动。当移动单元移 出一个基站的范围时，它可以连接或者“切换”到新的基站，并且开 始通过所述新的基站与所述有线网络通信。

与基于基础结构的无线网络(诸如蜂窝网络或者卫星网络)相比 较，自组织(ad hoc)网络是可以在没有任何固定基础结构的情况下工 作的自行形成的网络，并且在一些情况下，所述自组织网络完全由移 动节点形成。自组织网络通常包括多个地理上分布的、可能移动的单 元，所述多个地理上分布的、可能移动的单元有时被称为“节点”， 它们通过一个或多个链路(例如，射频通信信道)而彼此无线地连接。 所述节点可以通过无线媒体在没有基于基础结构的或者有线的网络的 支持的情况下彼此通信。

随着无线通信网络变得更为普遍，安全对于通信网络提供商和终 端用户双方而言继续成为主要的关注问题。当使用移动无线网络时， 这一点最明显，在所述移动无线网络中，安全环境可以提供最大的挑 战，因为许多节点可以很容易地接收和操纵数据。在无线网络中使用 的无线链路将穿越所述网络的信令和数据暴露于窃听者和/或将要成为 的黑客。在多跳无线网络中，这要求在网状装置中的每个链路具有通 过多跳认证和密钥管理处理而建立的唯一安全关联。于是，可以利用 所建立的安全关联来保护在链路上的空中的帧。

附图说明

在附图中，在全部单独的视图中，相同的附图标号表示相同或者 功能上类似的元件，并且所述附图与下面的详细说明一起被包含在说 明书中并且形成说明书的一部分，用于进一步图示各种实施例，并且 解释所有根据本发明的各种原理和优点。

图1图示了根据本发明的一些实施例的示例性的基于基础结构的 多跳无线网络。

图2图示了根据本发明的一些实施例的示例性消息格式。

图3是图示根据本发明的一些实施例的密钥分发和角色授权处理 的流程图。

图4图示了根据本发明的一些实施例的认证过程。

图5是图示根据本发明的一些实施例的在图1的网络的各种元件之 间交换的认证消息的消息流图。

图6图示了根据本发明的一些实施例的图5的消息交换的更多细 节。

技术人员将理解，为了简单和清楚而图示附图中的元件，并且在 附图中的元件不一定按比例绘制。例如，附图中的一些元件的尺寸可 能相对于其他元件被放大，以有助于改善对于本发明的实施例的理解。

具体实施方式

在详细描述根据本发明的实施例之前，应当观察到，所述实施例 主要存在于与安全认证和密钥管理相关的方法步骤和设备部件的组合 中。因此，已经在适当的位置通过在附图中的常规的符号表示了所述 设备部件和方法步骤，所述常规符号仅仅示出了与理解本发明的实施 例相关的那些具体细节，以便不将本公开与受益于在此的描述的本领 域中的技术人员容易显而易见的细节混淆。

在本文中，诸如第一和第二、上和下等的关系术语可以唯一用于 将一个实体或者行为与另一个实体或者行为相区别，而不一定要求或 者暗示在这样的实体或者行为之间的任何实际的这样的关系或者顺 序。术语“包括”或者其任何变化形式旨在涵盖非独占性包括，以便 包括一列元素的处理、方法、制品或者设备不仅仅包括那些元素，而 且可以包括未明确地列出或者这样的处理、方法、制品或者设备固有 的其他元素。由“包括”开始的元素没有更多的限制地不排除在包括 所述元素的处理、方法、制品或者设备中存在另外的相同的元素。

应当理解，在此描述的本发明的实施例可以由一个或多个常规的 处理器和唯一存储的程序指令构成，所述唯一存储的程序指令控制所 述一个或多个处理器，以结合特定的非处理器电路实现在此描述的安 全认证和密钥管理的一些、大多数或者全部功能。所述非处理器电路 可以包括但是不限于无线电接收机、无线电发射机、信号驱动器、时 钟电路、电源电路和用户输入装置。同样，这些功能可以被解译为一 种执行安全认证和密钥管理的方法的步骤。替代地，可以通过状态机 来实现一些或者全部功能，所述状态机没有任何所存储的程序指令， 或者，一些或者全部功能可以被实现在一个或多个专用集成电路 (ASIC)中，其中，每个功能或者所述功能的特定的一些组合被实现 为定制逻辑。当然，可以使用所述两种方法的组合。因此，在此已经 说明了用于这些功能的方法和装置。而且，预期在尽管具有可能相当 的努力和由例如可用时间、当前技术和经济考虑而促使许多设计选择 的情况下，普通技术人员当被在此公开的思想和原理指导时，将很容 易能够以最少的试验来产生这样的软件指令和程序以及集成电路。

本发明提供了一种用于具有逐跳安全模型的基于基础结构的多跳 无线网络的安全认证和密钥管理方案。本发明的基本构件是IEEE 802.11i和IEEE 802.1x。对于快速的切换来说，包括在802.11r中的特征。

IEEE 802.1x是一种以最小的管理开销提供几乎无限的可扩展性的 新技术。其也允许用户或者运营商选择不同的认证方法。在本发明中， 隧道传输层安全(TTLS)由于其相对强的安全性和较低的部署成本而 用于用户和装置认证。对于所述装置来说，传输层安全(TLS)认证是 可选特征。

对于集中认证和802.11r支持来说，用于802.11r密钥层次的顶级密 钥持有者(R0KH)被设计成位于有线网络中。在顶级(第0级)密钥 持有者和第2级密钥持有者(R1KH)之间的消息传送可以在层2中或者 在因特网协议(IP)层中。

在本发明中，基于802.11r的密钥层次适应于在角色为第一级密钥 持有者的网状接入点之间。在密钥持有者之间的安全管理消息流被提 供。密钥管理可以支持符合802.11i和802.11r两者的无线站。其也可以 支持具有被部署的可能的多个服务集标识符(SSID)的虚拟接入点。 可以根据第0级密钥持有者的位置通过层2或者层3来传送在第0级和第 一级密钥持有者之间的安全消息流。当所有的第0级密钥持有者被部署 在与第一级密钥持有者相同的层2分段中时，可以使用层2通信传送， 否则将使用层3通信传送。密钥分发密钥(KDK)在初始认证处理期间 被得出，并且用于确保从顶级密钥持有者向下一级密钥持有者传送的 密钥材料的安全。第一级密钥持有者R1KH的角色被顶级密钥持有者基 于来自认证服务器的授权信息而授权。

在此，提供了在多跳无线网络中具有逐跳安全模型的安全认证和 密钥管理方案的系统和方法。所述方案将802.11r密钥层次适配到网状 的接入点(AP)网络中。在这种方法中，顶级密钥持有者(R0KH)在 认证处理后得出和保留用于每个申请者无线装置的顶部成对主密钥 (PMK_0)。所有的认证器接入点(AP)采取第一级密钥持有者(R1KH) 角色，并且从顶级密钥持有者R0KH接收下一级成对主密钥(PMK_1)。 经由诸如802.11i4路握手的4路握手来从PMK_1得出链路级数据保护密 钥。

图1图示了根据本发明的一些实施例的示例性的基于基础结构的 多跳无线网络100。在图1的示例性网络100中，使用在密钥持有者之间 的第2级通信信道，并且将顶级密钥持有者R0KH附接到中央的以太网 交换机。因此，顶级密钥持有者R0KH在与所有受控的智能接入点(IAP) 和网状接入点(MAP)装置相同的L2分段中。在根据本发明的一些实 施例的网络100中，也实现了远程认证拨入用户服务(RADIUS)客户 端和802.1X认证器。

本领域中的技术人员应当理解，当IP层通信信道用于顶级密钥持 有者R0KH和第一级密钥持有者R1KH时，R0KH可以位于任何位置。按 照示例性实现，R0KH位于与网络管理系统相同的主机中。通过在所有 的信标帧中通告的移动域标识符(MDI)来识别连接到同一R0KH的所 有R1KH装置。

如图所示，网络100包括一个或多个网状的接入点135-n(MAP)， 它们用于将数据分组从一个或多个智能接入点130-n(IAP)路由到一个 或多个无线用户装置140-n(SD)(也称为站(STA))。然后，一个 或多个IAP 130-n将分组路由到可通信地耦接到中央路由器115的中央 以太网交换机125和顶级密钥持有者(R0KH)120。中央路由器115经 由有线干线110而耦接到认证服务器105。虽然仅仅示出了从用户装置 (SD)到有线网络125的路径，但是，本领域中的技术人员应当理解， 可以建立网状的连接，只要诸如用户装置140-1和用户装置140-2的两个 相邻装置可以彼此通信。

认证服务器105工作以向R0KH 120提供认证服务，并且将在下面 对其进行描述。一般，认证服务器105执行代表认证器核查申请者的证 书所需要的认证功能，并且指示该申请者是否被授权访问认证器的服 务。在本发明的一个实施例中，认证服务器105位于其中可以提供主机 的物理安全的有线网络分段中。例如，认证服务器105可以是用于集中 认证的、可扩展的认证协议——隧道传输层安全/可扩展认证协议—— 传输层协议(EAP-TTLS/EAP-TLS)使能的远程认证拨入用户服务 (RADIUS)服务器。

如本领域中的技术人员应当理解的，可以要求在网络100中的用户 装置140-n发送和接收加密的数据。要求/期望访问由认证器的系统提供 的服务的在网络100中的任何装置被称为申请者。认证要求/期望使用由 认证器保护的服务的另一个装置(申请者)的装置被称为认证器。认 证器基于认证结果来实施访问控制。

如本领域中的技术人员应当理解的，在网络100中的每个节点(即 IAP 130-n、MAP 135-n和SD 140-n)在其加入网状网络之前对于网络100 被认证。用于所述认证的证书可以基于例如密码、用户识别模块(SIM) 卡标识(I.D.)或者对于特定的节点唯一并且被存储在认证服务器105 的其他I.D.。每个节点使用与认证服务器105的这个关系，以对已经建 立了到R0KH 120的安全连接的一跳安全网状MAP或者IAP认证。R0KH 120将使用由认证服务器105提供的认证服务。认证服务器105也帮助特 定节点，所述特定节点正在认证以通过分发相对于R0KH 120被加密的 会话主密钥材料而建立与其相邻的节点的信任关系。R0KH 120得出第0 级和第一级成对主密钥(PMK_0，PMK_1)。R0KH120也保留PMK_0， 并且向采取第一级密钥持有者角色的认证器MAP或者IAP发送PMK_1。

在本发明的一个实施例中，网络100包括IEEE 802.11r可操作性。 802.11r提供用于快速BSS(“基本服务集”)转变。802.11r因此便利 了在运动中的汽车上的连接性，并且以无缝的方式管理从一个基站向 另一个的快速切换。802.11r标准当前设想的主要应用是经由移动电话 的VOIP(“IP语音”或者基于因特网的电话)，所述移动电话被设计 成与无线因特网网络而不是(或者除了)标准蜂窝网络一起工作。

802.11r改进了当移动客户端在接入点之间移动时所述移动客户端 的转变过程。所述协议允许无线客户端在进行转变之前在新的接入点 建立安全和服务质量(QoS)状态，这导致最小的连接损耗和应用破坏。 对于所述协议的整体改变不引入任何新的安全弱点。这保护了当前站 和接入点的行为。802.11r提供了用于漫游移动客户端以与候选的接入 点通信、建立安全关联和保留QoS资源的机制。

根据本发明，在图1的网络100中，基于802.11r的密钥层次被应用 到网状的AP，由此使得对于一个或多个移动AP而言可以进行快速切 换。在这个密钥层次中，从认证服务器105接收的主密钥材料在R0KH 120中产生顶级密钥PMK_0。在下一个级中，从PMK_0在R0KH 120中 得出PMK_1。PMK_1被传递到R1KH。通过802.11i4路握手在申请者和 认证器之间从PMK_1得出成对瞬时密钥(PTK)。根据本发明的一些 实施例，顶级密钥持有者R0KH120位于有线网络分段中，并且被附接 到中央以太网交换机125，并且所有的其他网状接入点(MAP)135-n 和IAP 130-n将采取第一级密钥持有者的角色。

在本发明的一些部署中，R0KH 120可以被包含在每个IAP 130-n 中，因此，与那个IAP 130-n相关联的所有的MAP 135-n将是在那个 R0KH 120之下的R1KH(未示出)。当IP层通信信道用于R0KH和R1KH 时，R0KH和R1KH可以位于不同的第2层分段中。

在密钥持有者之间的EAPOL代理

用于在节点和服务器105之间通信的示例协议是EAP(可扩展认证 协议)。EAP协议定义了支持多种认证方法的消息格式和交换握手。 EAP通常直接地运行在诸如点到点协议(PPP)或者IEEE 802的数据链 路层上，而不要求IP。EAP提供对于重复消除和重发的其本身的支持， 但是依赖于较低层的定制保证。在EAP本身中不支持分片。但是，个别 的EAP方法可以支持分片，诸如EAP-TLS，其中，需要在几个包中发送 长的证书数据。例如，对于802.1X来说，以EAPOL(在局域网上的EAP) 消息格式来封装在认证申请者和R0KH 120之间的EAP消息。EAP在支 持诸如用户密码、基于证书的认证、一次密码和认证令牌或者智能卡 等上是灵活的和可扩展的。其提供了用于协商和使用适当的认证机制 的媒介物，所述适当的认证机制包括在节点和认证服务器105得出密钥 材料的那些机制。

当节点使用例如可扩展的认证协议(EAP)——包括在局域网上 的EAP(EAPOL)分组——来发送认证请求时，认证过程开始。所述 认证处理包括发送和接收几个EAPOL分组，以EAP开始分组开始，并 且以EAP成功消息分组或者EAP失败消息分组结束。认证服务器存储正 被认证的移动装置(通常被称为申请者)的认证证书。认证服务器也 可以连接到其他的认证服务器，以获得未本地存储的申请者认证证书。

当802.11r密钥层次用于密钥管理时，必须在顶级密钥持有者R0KH 和下一级密钥持有者R1KH之间传送用于认证和密钥管理的EAPOL消 息。

图2图示了用于本发明的一些实施例的操作的消息格式200。具体 地，图2图示了根据本发明的一些实施例的用于L2密钥持有者通信帧的 EAP消息封装。媒体访问控制(MAC)报头205包括每个跳的源和目的 地MAC地址。自组织路由(AHR)报头210包括认证器和网状的路由结 束装置(即R1KH和R0KH)的源和目的地MAC地址。一个特殊协议ID 位于AHR报头210协议ID字段中，以表示EAPOL代理分组。申请者MAC 地址220也被包括在消息格式200中的AHR报头210和EAPOL分组230之 间。消息格式200在用于支持802.11i和802.11r申请者的网格有效负荷体 的第一字节中包括i/r标记215。所述消息格式还包括SSID信息项225， 用于支持虚拟的AP。对于R0KH 120需要申请者MAC地址220，以知道 哪个申请者装置，以便能够将PMK_0和PMK_1绑定到那个特定的申请 者。当i/r标记215指示802.11j申请者时，R0KH120基于802.11i标准得出 PMK，并且向R1KH传递PMK。当i/r标记215指示802.11r申请者时， R0KH 120基于802.11r密钥层次来得出PMK_0和PMK_1，并且向认证器 (R1KH)传递PMK_1。SSID 225需要用于PMK_0和PMK_1的得出，。 对于虚拟AP来说，申请者可以从多个可用SSID选择一个SSID。

根据本发明，当在网络层中传送在密钥持有者之间的消息时， EAPOL帧230连同i/r215、SPA 220和SSID 225字段一起位于(因特网协 议)IP分组的有效负荷中。另外，发送的密钥持有者的MAC地址也被 包括在IP有效负荷中，其需要用于得出PMK_1。

如本领域中公知的，如图2所示中，EAPOL帧230包括协议版本235， 其是无符号的二进制数，其值是EAPOL协议的版本。EAPOL帧230还包 括分组类型240，其是无符号的二进制数，其值确定分组的类型如下： a)EAP分组；b)EAPOL开始；c)EAPOL注销；d)EAPOL密钥；e) EAPOL封装的ASF警告。EAPOL帧230还包括分组主体长度245，其是 无符号的二进制数，其值限定在分组主体字段的八位位组中的长度。 EAPOL帧230也包括分组主体250，如果分组类型包括值EAP分组、 EAPOL密钥，则提供分组主体250，否则不提供它。

如本领域中公知的，如图2中所示，EAP分组主体250包括代码字 段255，其识别EAP分组的类型。EAP代码被分配如下：1＝请求；2＝ 响应；3＝成功；4＝失败。EAP分组主体250还包括标识符字段260，其 有助于将响应与请求匹配。EAP分组主体250还包括长度字段265，其指 示包括代码255、标识符260、长度265和数据字段275的EAP分组的长度。 EAP分组主体250还包括类型字段270。类型字段指示请求或者响应的类 型。这可以是身份类型或者特定的认证方法。EAP分组主体250也包括 类型数据字段275。通过代码字段255和类型字段270来确定数据字段 275的格式。

密钥分发密钥和角色授权

如本领域中的技术人员应当理解的，在网络100中存在两种类型的 申请者装置。在网络100中的两种类型的申请者装置是MAP装置135-n 和STA装置140-n。根据本发明的一些实施例，MAP装置135-n用作 802.11r密钥层次的R1KH。为了保护从顶密钥持有者R0KH 120到R1KH 的PMK_1的分发，如图3所示，中对于每对R0KH和MAP/IAP得出成对 密钥分发密钥(KDK)。

图3是图示根据本发明的一些实施例的密钥分发和角色授权处理 300的流程图。如图3中所示，操作以初始认证步骤305开始。初始认证 例如可以是初始TTLS或者TLS认证。接着，在步骤310，R0KH 120在 用于被认证的申请者的最后的“认证成功”消息中获得来自认证服务 器105的授权属性。接着，在步骤315中，确定被认证的申请者角色属 性是否是第一级密钥持有者。当被认证的申请者角色属性是第一级密 钥持有者时，处理继续到步骤320，其中，R0KH和申请者R1KH启动与 PMK_0的802.11i型的4路握手，以得出KDK。

接着，在步骤320，KDK被得出为：

KDK＝KDF-KDKLen(PMK_0，“KDK密钥得出”， SNonce‖ANonce‖AA‖SPA)

其中：

●在802.11r章节8.5A.3中定义了KDF-256。

●SNonce是由R1KH产生的随机数，并且

●ANonce是由R0KH产生的随机数。

●在所述4路握手的前两个消息期间交换所述两个随机数

●AA是R0KH MAC地址

●SPA是R1KH MAC地址。

本领域中的技术人员应当理解，当R1KH移动时，KDK保持相同， 除非R0KH启动新的KDK四路握手。

认证和重新认证启动

图4图示了根据本发明的一些实施例的认证过程400。如图4所示 中，操作以节点135-n在步骤405加电开始。接着，在步骤415，节点从 其相邻的装置收听/扫描信标帧，所述其相邻的装置可以是MAP 135-n 或者IAP 130-n。接着，在步骤415，所述节点通过选择已经指示其具有 到认证服务器105的连接的装置来选择IAP或者MAP，以开始认证处理。 接着，在步骤420，利用所选择的相邻的MAP装置完成所述节点的第一 认证。在步骤425，在第一认证后，所述节点可以启动对于已经被认证 和连接到在同一移动性域中的IAP的其他相邻的MAP装置的重新认证。 这种重新认证使用802.11r快速切换处理，以避免完全的认证交易。

认证消息流

图5是图示根据本发明的一些实施例的在图1网络的各种元件之间 交换的认证消息的消息流图500。具体地，图5是图示在申请者装置和 R1KH MAP(或者IAP)之间交换的认证消息的消息流图500。对于来 自未经认证的装置的那些消息，R1KH MAP的802.1x受控的端口未被阻 挡。

R1KH MAP是具有到R0KH的安全连接的MAP或者IAP装置；并且 被假定已经被认证。其将采取用于申请者装置的R1KH角色。

在图5的图500的示例性情况下，R1KH MAP1 135-1和R1KH MAP2 135-2已经被认证，并且具有与R0KH 120的安全连接。它们可以例如是 从R0KH 120出来的多跳，如图5的多跳路径505所示。申请者(即装置 140-1)在这种示例性情况下还没有对于作为申请者的一跳邻居的R1KH MAP1 135-1和R1KH MAP2 135-2被认证。

在这种示例性情况下，通过基于用户数据报协议(UDP)的远程 认证拨入用户服务(RADIUS)协议而传送在R0KH 120和认证服务器 105之间的消息。通过使用RADIUS协议安全机制来保护所述消息。而 且，在这种示例性情况下，通过在局域网上的可扩展的认证协议 (EAPOL)代理机制来传送在R1KH 135-1和R0KH 120之间的认证消 息，并且利用在R0KH和R1KH之间的KDK来保护密钥材料。R1KH 135-1向R0KH 120通知由申请者140-1选择的SSID用于虚拟接入点(AP) 实现。

如图5所示中，当申请者140-1启动到其邻居MAP1 135-1的关联请 求510时，认证处理开始。作为响应，MAP1 135-1发送关联响应515。 例如，如果通过前两个相关消息选择了802.1X EAP认证520，则申请者 140-1将开始802.1x认证处理(来自申请者的EAPOL开始)。在成功的 802.1x EAP认证后，将在接入-接受消息中连同EAP成功分组和其他授 权属性中从认证服务器105向R0KH 120传递MSK。在获得MSK后， R0KH 120计算如在802.11r标准中所描述的PMK_0和PMK_1。

为了决定是否要进行KDK得出处理，R0KH 120从自后端认证服务 器105返回的授权属性核查申请者的角色。如果申请者140-1具有R1KH 角色，则进行KDK得出消息交换132。否则，对于申请者140-1不开始 任何KDK得出处理。

为了产生PMK_0和PMK_1的唯一名称，R0KH 120产生称为 ANonce的随机数，以用于得出PMK_0名称和PMK_1名称。这个ANonce 在消息530中与PMK_1和PMK_1名称一起被发送到MAP1 135-1。 ANonce被MAP1 135-1用于与申请者140-1的4路握手中。然后，申请者 140-1将使用同一ANonce来得出相同的密钥名称。

在从R0KH 120接收到PMK_1530后，MAP1启动与申请者140-1的4 路握手535，以产生PTK来保护在申请者140-1和MAP3 135-3中之间的链 路(图5未示出)。其后，MAP1 135-1和申请者140-1可以在安全链路 540中通信。

图6图示了根据本发明的一些实施例的当802.1x认证是EAP-TTLS 时预先在图5中所描述的示例性详细消息交换600。如图6中所示，当选 择802.1.x认证时，申请者140-1向R1KH MAP 135-1发送EAPOL开始帧 605。然后，R1KH 135-1将这个帧610传送到R0KH 120。R0KH 120控制 在申请者140-1和认证服务器105之间的所有的消息流。R1KH MAP 135-1实现用于EAPOL开始的重试状态机，以发送到R0KH 120。最后的 消息PMK_1 ACK 615在R0KH 120中完成所述状态机。从R0KH 120到 R1KH135-1的最后消息620包括PMK_1、R1Name和Anonce。如果申请 者140-1是802.11i装置，则仅向R1KH 135-1传递802.11i PMK。

重新认证(快速转变)

返回参考图5，在对MAP1 135-1的第一认证后，申请者140-1可以 启动对任何相邻的MAP装置135-n的重新认证(快速切换)处理，所述 任何相邻的MAP装置135-n已经向认证服务器105通告了安全连接，并 且在同一移动性域中。重新认证处理遵循802.11r快速BSS转变：在空中 的基本机制。重新认证请求包括R0Name、R1Name、Snonce及其相关 联的顶级密钥持有者名称R0KH-ID。R0Name和R1Name也被包括。

如图5中所示，在申请者140-1和MAP1 135-1之间完成认证过程后， 申请者140-1启动对其下一个邻居装置R1KH MAP2 135-2的重新认证过 程。例如，从申请者140-1向MAP2 135-2发送具有快速切换545的第一 消息。作为响应，如果MAP2 135-2没有保留由R1Name识别的PMK_1， 则MAP2 135-2向从R0KH 120发送PMK请求550，从R0KH 120请求所述 对应的PMK_1。向R0KH的PMK_1请求将包括R0Name。作为响应， R0KH 120向MAP2 135-2发送PMK_1555。其后，当MAP2 135-2获得对 应的PMK_1时，MAP2 135-2向申请者140发送第二消息。申请者140-1 和MAP2 135-2完成快速切换消息560，并且产生安全链路565。本领域 中的技术人员应当理解，可以对于在申请者的通信范围中(附近)的 任何数量的MAP或者IAP装置重复这个快速切换重新认证。

在前面的说明书中，已经描述了本发明的具体实施例。但是，本 领域中的技术人员理解，在不脱离如下面的权利要求中阐明的本发明 的范围的情况下，可以进行各种修改和改变。因此，应当在说明性而 不是限定性的意义上看待说明书和附图，并且所有这样的修改旨在被 包括在本发明的范围中。益处、优点、对于问题的解决方案和可以使 得任何益处、优点或者解决方案出现或者变得更显著的任何因素不应 当被解释为任何或者全部权利要求的关键的、要求的或者必要的特征。 所附的权利要求唯一地限定本发明，所述权利要求包括在本申请未决 期间进行的任何修改和所授权的那些权利要求的所有等同物中。

权利要求书(按照条约第19条的修改)

1.一种在基于基础结构的无线多跳网络中的安全认证和密钥管 理的方法，所述方法包括：

利用认证服务器初始认证申请者，包括确定一个或多个被认证的 申请者角色属性；

由顶级密钥持有者从所述认证服务器获得一个或多个授权属性；

由所述顶级密钥持有者确定所述被认证的申请者角色属性是否是 第一级密钥持有者；

当所述被认证的申请者角色属性是第一级密钥持有者时，利用成 对主密钥(PMK)_0来启动在所述顶级密钥持有者和所述申请者之间 的四路握手，以得出密钥分发密钥(KDK)；以及

当所述被认证的申请者角色属性不是第一级密钥持有者时：

从所述顶级密钥持有者向第一级密钥持有者传送第一级成对 主密钥(PMK)_1，

利用所述第一级成对主密钥(PMK)_1来启动在所述第一级 密钥持有者和所述申请者之间的四路握手，以产生在所述申请者和所 述第一级密钥持有者之间的安全通信，并且

在所述第一级密钥持有者和所述申请者之间的所述安全链路 上通信。

2.根据权利要求1所述的在基于基础结构的无线多跳网络中的安 全认证和密钥管理的方法，其中，在所述顶级密钥持有者和所述第一 级密钥持有者之间的所述四路握手包括802.11i型四路握手，以得出在 所述顶级密钥持有者和所述第一级密钥持有者之间的KDK；而且其中， 进一步地，在所述第一级密钥持有者和所述申请者之间的所述四路握 手包括802.11i型四路握手，以得出在所述第一级密钥持有者和所述申 请者之间的成对瞬时密钥(PTK)。

3.根据权利要求1所述的在基于基础结构的无线多跳网络中的安 全认证和密钥管理的方法，其中，所述KDK被得出为：

KDK＝KDF-KDKLen(PMK_0，“KDK密钥得出”， SNonce‖ANonce‖AA‖SPA)

其中：

KDF-256是预定数，

SNonce是由所述申请者产生的随机数，

ANonce是由所述顶级密钥持有者产生的随机数，

所述两个随机数在所述四路握手的前两个消息期间交换，

AA是顶级密钥持有者MAC地址，并且

SPA是申请者MAC地址。

4.根据权利要求1所述的在基于基础结构的无线多跳网络中的安 全认证和密钥管理的方法，其中，所述初始认证步骤包括最后的“认 证成功”消息的通信，而且进一步地，其中，从所述最后的“认证成 功”消息获得所述一个或多个授权属性。

5.根据权利要求1所述的在基于基础结构的无线多跳网络中的安 全认证和密钥管理的方法，所述方法包括还包括：

由所述申请者启动对另一个第一级密钥持有者的重新认证，其中， 所述另一个第一级密钥持有者已经被认证，并且连接到在同一移动性 域中的顶级密钥持有者，其中，所述重新认证包括：

使用快速切换处理从所述申请者向所述另一个第一级密钥持 有者传送消息；

从所述顶级密钥持有者向所述另一个第一级密钥持有者传送 所述第一级成对主密钥(PMK)_1；

使用所述第一级成对主密钥(PMK)_1在所述另一个第一级 密钥持有者和所述申请者之间完成快速切换，以产生在所述申请者和 所述另一个第一级密钥持有者之间的安全的通信链路；并且

在所述另一个第一级密钥持有者和所述申请者之间的所述安 全链路上通信。

6.一种用于在基于基础结构的无线多跳网络中的安全认证和密 钥管理的在顶级密钥持有者和第一级密钥持有者之间通信的方法，包 括：

传送具有消息格式的消息，所述消息格式包括：

媒体访问控制(MAC)报头，包含至少一个跳的源和目的地MAC 地址；

自组织路由(AHR)报头，包括：

所述第一级密钥持有者和所述顶级密钥持有者的源和目 的地MAC地址，以及

协议标识，表示在局域网上的可扩展的认证协议 (EAPOL)代理分组；

申请者MAC地址；

i/r标记；以及

SSID。

7.根据权利要求6所述的方法，其中，所述申请者MAC地址识 别哪个申请者装置要绑定成对主密钥_0(PMK_0)和PMK_1。

8.根据权利要求6所述的方法，其中，指示802.11i申请者的所 述i/r标记识别基于802.11i标准得出所述PMK，并且所述PMK要被 传递到R1KH。

9.根据权利要求6所述的方法，其中，指示802.11r申请者的所 述i/r标记识别基于802.11r密钥层次得出所述PMK_0和PMK_1，并 且所述PMK_1要被传递到所述认证器。

10.根据权利要求6所述的方法，其中，所述SSID用于虚拟接入 点的PMK_0和PMK_1得出，而且进一步地，其中，申请者从多个可 用SSID选择SSID。

11.根据权利要求6所述的方法，其中，在从包括层2和层3的 组中选择的通信层上传送所述消息，而且

进一步地，其中，所述消息格式被置于因特网协议(IP)分组有 效负荷中，将R1KH MAC地址添加到消息内容中。