无线网状网络中的用户通信数据的传输方法和装置

摘要

无线网状网络中的用户通信数据的传输方法和装置，该方法主要包括：Mesh网络中的STA(终端)的可信网元设备接收STA使用PTK(临时会话密钥)加密后发送的会话数据，所述STA的可信网元设备使用PTK对所述会话数据进行解密处理，并将解密处理后的会话数据输出。上述可信网元设备包括：所述STA的用户配置的设备，运营商配置的设备或者可信第三方配置的设备。利用本发明，可以解决STA通过非可信的MAP(接入点)接入Mesh网络时，STA的通信数据在Mesh网络中安全传输。

说明书

技术领域

本发明涉及无线通信技术领域，尤其涉及一种Mesh(无线网状)网络中的用户通信数据的传输方法和装置。

背景技术

WLAN(Wireless Local Area Network，无线局域网)为用户提供的接入带宽越来越高，802.11b/a/g空口技术提供了11Mbps、54Mbps的宽带接入，在最新的准标准802.11n中更是提供了600Mbps的带宽，目前，正在进行的VHT(Very High Throughput，高吞吐量)小组正在试图将WLAN的空口无线技术的目标速率提高到1Gbps。WLAN的高宽带特性及无线带来的移动性，使得WLAN成为面向用户接入的重要的一种方式。

如果在一个城市铺设大量的WLAN的AP(Access Point，无线接入节点)接入点，为用户提供一个真正的、广泛的、无所不在的高速宽带接入，便可以实现“无线城市”。但是，由于覆盖一个城市的无线热点多，如果完全由运营商单方部署AP，将会造成很多的成本压力。基于此，出现了用户部署的AP参与建网，该用户部署的AP和运营商部署的AP共享无线接入功能，所有共享的AP构成一个共享的Mesh网络。

上述共享的Mesh网络比起传统的WLAN网络对用户的通信安全提出了更高的要求。在传统的WLAN网络中，AP设备基本上可认为是可信的，而在Mesh网络中，AP设备或者无线中继节点如MP(Mesh point，Mesh节点)、MPP(Mesh point with a portal，Mesh门户节点)等的可信度因其设备的属性不同而大打折扣。

在Mesh网络中，由于无线的开发性，失去了有线网络的封闭型。因此，在Mesh网络中，不管为用户提供网络接入服务的实体是否可信，如何为用户提供一个与有线同等的封闭、安全通道，使用户能安全的接入这种无线网络，保证用户的通信在这种开放的无线通信环境中能做到密态传输，是一个非常关键的要素。

现有技术中的一种WLAN网络中用户终端接入的安全性的解决方案基于IEEE(Institute of Electrical and Electronics Engineers，电子电气工程师协会)802.1X框架，主要处理过程包括：

STA(station，终端)在接入AP时，利用EAPOL(EAP over LANs，在局域网之上的可扩展认证协议)认证协议通过AP向后端的AS(Authentication Server，认证服务器)发起认证，认证通过之后，AS发送PMK(Paiwise Master Key，对等主密钥)给AP，STA和AP根据相同的PMK，进行四次握手协商产生PTK(Pairwise Transient Key，临时会话密钥)。在后续的通信中，STA和AP使用PTK实现秘密的安全通信，保证无线接口的封闭性。

在实现本发明的过程中，发明人发现上述WLAN网络中用户终端接入的安全性的解决方案至少存在如下缺点：该方案中STA的AP总是知道STA的PTK，因此要求STA的AP对该STA而言是一个可信的设备。而在共享的Mesh网络中，由于存在用户部署的MAP(Mesh Access Point，Mesh接入节点)，无法保证STA的MAP对该STA而言都是可信的设备，当一个非可信的MAP知道STA的PTK时，将无法保证STA的通信信息的安全。

发明内容

本发明的实施例提供了一种Mesh网络中的用户通信数据的传输方法和装置，以提高STA的通信信息的安全性。

一种无线网状Mesh网络中的会话密钥生成方法，包括：

接入控制节点接收对等主密钥，所述对等主密钥通过终端和认证服务器的认证后产生；

所述接入控制节点接收所述终端发起的临时会话密钥协商，与所述终端协商后利用所述对等主密钥计算临时会话密钥。

一种无线网状Mesh网络中的用户通信数据传输的方法，包括：

Mesh网络中的终端的可信网元设备接收终端使用临时会话密钥加密后发送的会话数据；

所述终端的可信网元设备使用所述临时会话密钥对所述会话数据进行解密，并将解密处理后的会话数据输出。

一种无线网状Mesh网络中的接入控制节点，包括：

对等主密钥接收模块，用于接收对等主密钥，所述对等主密钥通过终端和认证服务器认证后产生；

临时会话密钥计算模块，用于接收所述终端发起的临时会话密钥协商，和所述终端协商后利用所述对等主密钥计算临时会话密钥。

一种无线网状Mesh网络中的用户通信数据的传输装置，其特征在于，为终端的可信网元设备，具体包括：

会话数据接收模块，用于接收终端使用临时会话密钥加密后发送的会话数据；

会话数据处理模块，用于使用所述临时会话密钥对所述会话数据接收模块所接收的会话数据进行解密，并将解密处理后的会话数据输出。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例通过AC只将PTK发送给STA的可信网元，可以解决STA通过非可信的接入点MAP接入Mesh网络时，STA的通信数据在Mesh网络中安全传输。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的STA通过Mesh网络接入时的认证和密钥分配方法的处理流程图；

图2为本发明实施例二提供的Mesh网络中的用户通信数据的传输方法的处理流程图；

图3为本发明实施例三提供的Mesh网络中的用户通信数据的传输方法的处理流程图；

图4为本发明实施例四提供的Mesh网络中的用户通信数据的传输方法的处理流程图

图5为一种多出口网关的Mesh网络的组网示意图；

图6为本发明实施例提供的一种Mesh网络中的AC的具体结构示意图；

图7为本发明实施例提供的Mesh网络中的用户通信数据的传输装置具体结构示意图。

具体实施方式

在本发明实施例中，Mesh网络中的AC(Access Control，接入控制节点)接收AS发送过来的终端和AS认证通过后产生的对等主密钥；所述接入控制节点接收所述终端发起的PTK协商，所述AC和所述终端通过协商后，利用所述对等主密钥计算PTK。

进一步地，所述AC获取所述终端的可信网元设备信息；当所述终端的可信网元设备信息包括除了所述AC之外的其它网元设备时，所述AC向所述其它网元设备发送PTK通知请求，在接收到所述其它网元设备发送的PTK请求后，所述AC将所述PTK发送给所述其它网元设备。

在本发明实施例中，Mesh网络中的STA的可信网元设备接收STA使用PTK加密后发送的会话数据，所述STA的可信网元设备使用PTK对所述会话数据进行解密处理，并将解密处理后的会话数据输出。

进一步地，所述STA的可信网元设备包括：所述STA的用户配置的设备，运营商配置的设备或者可信第三方配置的设备。

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

本发明实施例将共享的Mesh网络中的网元设备(MAP、MP等)分为可信网元设备和非可信网元设备，该可信网元设备和非可信网元设备需要针对具体的STA来划分。针对一个用户的STA，如果某个网元设备是该用户自己的设备，运营商配置的设备或者可信第三方配置的设备，则该网元设备是该用户的STA的可信网元设备；否则，则该网元设备是该用户的STA的非可信网元设备。

Mesh网络中的AC相当于Mesh网络的管理节点，当用户或运营商要在Mesh网络中配置一个设备时，都要经过AC的参与，AC总是知道Mesh网络中设备是由谁配置的。因此，根据上述可信网元设备的定义，Mesh网络中的AC可以获取各个STA的可信网元设备和非可信网元设备的信息。

实施例一

该实施例提供的STA通过Mesh网络接入时的认证和密钥分配方法的处理流程如图1所示，包括如下步骤：

步骤11、STA在接入网络时，向邻近的接入点MAP发起认证请求。

步骤12、MAP在收到STA发送的上述认证请求后，将该认证请求的数据包封装成Mesh多跳帧格式后，通过Mesh网络发送给Mesh网络的出口网关MPP。

步骤13、MPP收到上述MAP发送的上述Mesh多跳帧后，使用与AC之间的协议(如capwap协议)对该Mesh多跳帧进行封装后，发送给Mesh网络的AC。

步骤14、AC收到上述MPP发送的Mesh多跳帧后，通过radius/diameter协议向AS发起上述STA的认证请求。

步骤15、AS与STA之间使用双向认证协议，如EAP-TLS或者WAP协议等，进行相互认证；如认证通过，则STA和AS可分别计算认证后产生的PMK。

步骤16、AS将认证通过结果传递给AC，并将PMK发送给AC。

步骤17、AC将接收到的认证通过结果传递给MPP。

步骤18、MPP通过Mesh网络，将认证通过结果发送给MAP；

步骤19、MAP告知STA其认证已经通过；

步骤110、STA获取认证通过的结果后，通过MAP向AC发起PTK协商，AC和STA协商后，基于所述PMK计算PTK；

通过上述流程，STA和AC之间建立了相同的PTK。然后，AC选择将该PTK发送给该STA的可信网元设备。如：MAP或者MPP为可信网元，AC就将PTK发送给MAP或者MPP；如果Mesh接入网络中找不到该STA的可信网元设备，此时AC自己作为可信网元设备，AC不发送该PTK给其它网元设备。

不管接入网络的可信度如何，STA的通信机制和策略都不改变，STA使用认证产生的PTK保证无线接口的安全性，只是根据接入网络的可信网元的不同，STA的信息可能在MAP处加解密，或者在MPP处加解密，或者直接在AC处加解密。

该实施例实现了STA通过Mesh网络的AC进行接入认证，并且AC选择将认证产生的PTK发送给该STA的可信网元设备。

实施例二

在该实施例中，STA的Mesh网络的接入点(MAP)为可信网元时，实施例提供的Mesh网络中的用户通信数据的传输方法的处理流程如图2所示，包括如下处理步骤：

步骤21、STA在接入网络后，按照上述图1所示的处理流程，与AS之间使用上层的双向认证协议进行相互认证，如认证通过，则STA和AS可分别计算认证后产生的PMK。AS认证通过结果传递给AC，并将PMK发送给AC。

AC使用与MPP之间的协议(如capwap协议)向MPP发送MAP的PTK通知请求，MPP收到该PTK通知请求后，将该PTK通知请求进行协议转换后，通过Mesh多跳管理帧转发给MAP。

步骤22、MAP收到上述PTK通知请求后，使用Mesh多跳管理帧向MPP发起PTK请求，MPP收到该Mesh多跳管理帧后，将该多跳管理帧进行协议格式转换，并使用MPP与AC之间的协议进行封装后，发送给AC。

步骤23、AC收到上述多跳管理帧后，使用与MPP之间的秘密控制信道把PTK传送给MPP，MPP使用与MAP间的安全密钥通道把该PTK通过多跳管理帧传送给MAP。

至此，STA和MAP之间建立了相同的PTK。

步骤24、STA在发送会话数据时，根据IEEE802.11i或者WAPI的标准，使用PTK对会话数据进行加密，发送给MAP。

步骤25、MAP使用已获得的PTK对上述会话数据进行解密，然后组装成Mesh多跳数据帧并发送给MPP，MPP再将接收到的Mesh多跳数据帧进行路由分发到internet。

STA在接收到MAP发送过来的由MAP进行了加密处理的会话数据后，则使用已获得的PTK对该会话数据进行解密。

该实施例实现了STA通过Mesh网络的AC进行接入认证，并且AC选择将认证产生的PTK发送给MAP，由MAP使用PTK对STA加密后发送的会话数据进行解密。

实施例三

在该实施例中，STA的mesh网络的接入点(MAP)为非可信网元时，STA的mesh网络出口网关(MPP)为可信网元，该实施例提供的Mesh网络中的用户通信数据的传输方法的处理流程如图3所示，包括如下处理步骤：

步骤31、STA在接入网络后，按照上述图1所示的处理流程，与AS之间使用上层的双向认证协议进行相互认证，如认证通过，则STA和AS可分别计算认证后产生的PMK。AS认证通过结果传递给AC，并将PMK发送给AC。

AC通过与MPP之间的通信协议向MPP发送PTK通知请求。

步骤32、MPP通过与AC之间的通信协议向AC发起PTK请求。

步骤33、AC通过与MPP之间的通信协议将PTK秘密传送给MPP。

至此，STA和MPP之间建立了相同的PTK。

步骤34、STA在发送会话数据时，根据IEEE802.11i或者WAPI的标准，使用PTK对会话数据进行加密，发送给mesh网络的接入点MAP。

步骤35、MAP根据其角色配置，将STA发送的密钥会话数据包添加meshheader、加密标识及加密双方(STA、MAP)的MAC地址，并封装成mesh多跳数据帧后，将该mesh多跳数据帧通过mesh网络发送给MPP。

步骤36、MPP根据上述mesh多跳数据帧中的加密双方(STA、MAP)的MAC地址索引该STA的PTK，使用该密钥解密上述mesh多跳数据帧。然后，将该mesh多跳数据帧进行路由分发到internet。

STA在接收到MAP发送过来的由MPP进行了加密处理的会话数据后，则使用已获得的PTK对该会话数据进行解密。

在该实施例中，可信网元MPP是一个逻辑实体，如果mesh接入网中存在多个MPP，则可信网元可以通过分布式技术分布式实现在多个MPP上，此时多个MPP通过分布式系统充当上述STA的可信网元。

该实施例实现了STA通过Mesh网络的AC进行接入认证，并且AC选择将认证产生的PTK发送给MPP，由MPP使用PTK对STA加密后发送的会话数据进行解密。

实施例四

在该实施例中，STA的Mesh网络的接入点(MAP)、Mesh网络出口网关(MPP)都为非可信网元时，该实施例提供的Mesh网络中的用户通信数据的传输方法的处理流程如图4所示，包括如下处理步骤：

步骤41、STA在接入网络后，按照上述图1所示的处理流程，与AS之间使用上层的双向认证协议进行相互认证，如认证通过，则STA和AS可分别计算认证后产生的PMK。AS认证通过结果传递给AC，并将PMK发送给AC。

此时，AC为STA的可信网元，AC不需发送PTK给其他网元。

步骤42、STA在发送会话数据时，根据IEEE802.11i或者WAPI的标准，使用PTK对会话数据进行加密，发送给Mesh网络的接入点MAP。

步骤43、MAP根据其角色配置，将STA发送的密钥会话数据包添加Meshheader、加密标识及加密双方(STA、MAP)的MAC地址，并封装成Mesh多跳数据帧后，将该Mesh多跳数据帧通过Mesh网络发送给MPP。

步骤44、MPP收到上述Mesh多跳数据帧后，对该Mesh多跳数据帧进行解析，使用与AC之间的通信协议对该Mesh多跳数据帧进行重封装后，发送给AC。

步骤45、AC收到上述Mesh多跳数据帧后，根据上述Mesh多跳数据帧中的加密双方(STA、MAP)的MAC地址索引该STA的PTK，使用该密钥解密上述Mesh多跳数据帧。然后，将该Mesh多跳数据帧进行路由分发到internet。

STA在接收到MAP发送过来的由AC进行了加密处理的会话数据后，则使用已获得的PTK对该会话数据进行解密。

在Mesh网络中，为提高Mesh网络的出口带宽，通常采用多出口网关，其中部分出口网关是可信的。一种多出口网关的Mesh网络的组网示意图如图5所示。在图5中，MPP-1、MPP-2、MPP-3为可信网关，构成一个可信网关组，MPP-4为非可信网关但向该Mesh网络共享其internet有线接入，STA选择的接入点MAP-1为非可信网元，但可为用户提供网络接入服务。MAP-1在为STA提供接入服务时，可根据自己的路由策略选择单个或者多个MPP。

STA通过MAP-1接入Mesh网络时，MAP-1为STA选择的出口网关为非可信网元MPP-4。

STA与AS之间使用上层的双向认证协议进行相互认证，如认证通过，则STA和AS可分别计算认证后产生的PMK。AS认证通过结果传递给AC，并将PMK发送给AC。AC将上述PTK发送给可信的出口网关MPP-1、MPP-2、MPP-3。然后，AC在接收到MPP-4发送过来的Mesh多跳数据帧后，将该Mesh多跳数据帧发送给上述可信的出口网关MPP-1、MPP-2、MPP-3。该可信的出口网关MPP-1、MPP-2、MPP-3根据获取的PTK解密接收到的Mesh多跳数据帧，再将该Mesh多跳数据帧进行路由分发到internet。

当MAP-1为STA选择的出口网关为可信网元MPP-1、MPP-2、MPP-3时，则可信网元MPP-1、MPP-2、MPP-3接收到MAP-1发送过来的Mesh多跳数据帧后，不再发送给AC，而是根据获取的PTK直接解密接收到的Mesh多跳数据帧，再将该Mesh多跳数据帧进行路由分发到internet。

该实施例实现了STA通过Mesh网络的AC进行接入认证，并且AC不将PTK发送给其他网元，由AC使用PTK对STA加密后发送的会话数据进行解密；或者，AC选择将认证产生的PTK发送给不是MAP选择的可信的MPP，由该可信的MPP使用PTK对STA加密后发送的会话数据进行解密。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

本发明实施例还提供了一种Mesh网络中的AC，其具体结构如图6所示，具体包括：

对等主密钥接收模块61，用于接收对等主密钥，所述对等主密钥通过终端和认证服务器认证后产生；

临时会话密钥计算模块62，用于接收所述终端发起的临时会话密钥协商，和所述终端协商后利用所述对等主密钥计算临时会话密钥。

所述AC还可以包括：

可信网元设备信息获取模块63，用于获取所述终端的可信网元设备信息；

临时会话密钥发送模块64，用于当所述可信网元设备信息获取模块所获取的终端的可信网元设备信息包括除了所述接入控制节点之外的其它网元设备时，向所述其它网元设备发送临时会话密钥通知请求，在接收到所述其它网元设备发送的临时会话密钥请求后，所述接入控制节点将所述临时会话密钥发送给所述其它网元设备；

当所述可信网元设备信息获取模块所获取的终端的可信网元设备只有所述接入控制节点时，不向其它网元设备发送临时会话密钥通知请求。

本发明实施例还提供了一种Mesh网络中的用户通信数据的传输装置，为终端STA的可信网元设备，即为STA的用户配置的设备，运营商配置的设备或者可信第三方配置的设备，其具体结构如图7所示，具体包括：

会话数据接收模块71，用于接收STA使用临时会话密钥PTK加密后发送的会话数据；

会话数据处理模块72，用于使用PTK对所述会话数据接收模块所接收的会话数据进行解密处理，并将解密处理后的会话数据输出。

所述的传输装置可以为：MAP、MPP或AC。

所述的会话数据处理模块72具体包括：

第一处理模块721，用于当所述终端的可信网元设备为Mesh接入节点时，通过所述Mesh接入节点接收终端发送的会话数据，所述会话数据由所述终端使用临时会话密钥进行加密，通过所述Mesh接入节点使用已获得的临时会话密钥对所述会话数据进行解密后，生成Mesh多跳数据帧并发送给Mesh网关节点，所述多跳数据帧由所述Mesh网关节点进行路由分发；

第二处理模块722，用于当所述终端的可信网元设备为终端对应的Mesh网关节点时，通过所述Mesh接入节点接收终端发送的会话数据，所述会话数据由终端使用临时会话密钥进行加密，通过所述Mesh接入节点在所述会话数据中添加所述终端的媒质接入控制层MAC地址信息，并封装成Mesh多跳数据帧，将该Mesh多跳数据帧通过Mesh网络发送给终端对应的可信的Mesh网关节点，所述Mesh多跳数据帧由所述可信的Mesh网关节点使用所述临时会话密钥解密后分发；

第三处理模块723，用于当所述终端的可信网元设备为接入控制节点时，通过所述Mesh接入节点接收终端发送的会话数据，所述会话数据由所述终端使用临时会话密钥进行加密，通过所述Mesh接入节点在所述加密后的会话数据中添加所述终端的MAC地址信息，并封装成Mesh多跳数据帧，将所述Mesh多跳数据帧发送给Mesh网关节点，所述Mesh多跳数据帧再由所述Mesh网关节点发送给接入控制节点，并且所述Mesh多跳数据帧由所述接入控制节点使用所述临时会话密钥解密后进行分发。

综上所述，本发明实施例可以解决STA通过非可信的接入点MAP接入mesh网络时，STA的通信数据在mesh网络中安全传输，从而保障用户的个人身份信息和通信数据在共享的Mesh网络中的私密性，保障了用户和运营商的利益。

传统WLAN的接入安全保证了用户终端与接入点AP之间无线链路的安全，当用户终端通过共享的接入点AP接入internet时，用户通信的私密性无法保证；本发明实施例不需修改用户终端，只需在接入网络的网元设备上做修改，就可以保证用户终端通信的私密性。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。