对无线网络中的节点的认证方法和装置

摘要

本发明包括对请求加入网络的无线节点的认证方法和装置。方法包括：从所述无线节点接收认证请求；与所述无线节点协定至少一个认证参数；使用所述至少一个认证参数导出第一加密密钥；使用所述第一加密密钥加密第二加密密钥；以及向所述无线节点传播所加密的第二加密密钥，其中所述无线节点独立地导出所述第一加密密钥，用于解密从所述认证服务器节点接收的所加密的第二加密密钥。所述无线节点解密所加密的第二加密密钥，并存储所述第二加密密钥，用于与网络的其他无线节点安全地通信。在一个实施例中，本发明可使用EAP-TLS协议的修改版本来实施，其中并非从认证服务器节点向无线节点发送成对主密钥(PMK)，认证服务器节点和无线节点均导出PMK，并且认证服务器节点通过使用PMK加密组加密密钥，从而向无线节点安全地提供组加密密钥。

说明书

技术领域

本发明涉及通信网络领域，更具体地，涉及无线网络。

背景技术

紧急响应组织愈发地依赖于无线通信技术，以在紧急情况期间提供通信。然而，不利的是，紧急情况通常导致现有网络架构的损坏，或有时候甚至是现有网络架构的破坏，从而阻止了应急人员之间的通信。换句话说，现有通信架构缺乏生存性。此外，即使现有通信架构的某些部分在紧急情况时幸存，现有通信架构也不能够处理在紧急情况期间典型增加的业务负载。具体地，由于应急人员和一般公众尝试各种类型的通信，所以现有通信架构的剩余部分可能被过载。这样的缺陷在2001年9月11日事件期间、以及在飓风卡特里娜事件期间变得明显。

通常，广泛地研究了在静态网络中对于网络节点和用户设备的认证问题的解决方案，并且在文献中描述了若干算法，并且在实践中实施。类似地，近年来，还研究了在不具有任何中心化控制或认证数据库的对等网络中的网络节点和用户设备的认证问题。然而，不利的是，现有解决方案太复杂或太不实际，进而完全不适用于在其中为一个或多个节点分配作为用于网络中的其他节点的认证服务器(多个)运行的特定角色的网络架构。

发明内容

可通过一种对请求加入无线网络的无线节点的认证方法和装置的本发明来解决现有技术的各种缺陷。方法包括：从所述无线节点接收认证请求；与所述无线节点协定至少一个认证参数；使用所述至少一个认证参数导出第一加密密钥；使用所述第一加密密钥加密第二加密密钥；以及向所述无线节点传播所加密的第二加密密钥，其中所述无线节点独立地导出所述第一加密密钥，用于解密从所述认证服务器节点接收的所加密的第二加密密钥。所述无线节点解密所加密的第二加密密钥，并存储所述第二加密密钥，用于与网络的其他无线节点安全地通信。

本发明可使用不同的可扩展认证协议(EAP)版本之一的修改版本来实施。

在一个实施例中，本发明可使用EAP-TLS协议、或某些其他基于EAP的协议的修改版本来实施，其中并非从认证服务器节点向无线节点发送成对主密钥(PMK)，认证服务器节点和无线节点均导出PMK，并且认证服务器节点通过使用PMK加密组加密密钥，从而向无线节点安全地提供组加密密钥。在该实施例中，因为无线节点包括接入节点(认证者)功能和目标节点(请求者)功能，即，认证者和请求者共置于无线节点中，所以组加密密钥的安全分发是可能的。

在一个实施例中，本发明可使用EAP-TTLS或PEAP、或某些其他基于EAP的协议的修改版本来实施，其中在认证服务器节点和无线节点之间建立TLS隧道。在该实施例中，通过与使用EAP-TLS协议的修改版本的方案类似方式，发生无线节点的认证和组加密密钥(多个)的分发；然而，使用TLS隧道交换在认证服务器节点和无线节点之间交换的EAP消息。在该实施例中，类似于EAP-TLS实施例，因为无线节点包括接入节点和目标节点功能，所以组加密密钥的安全分发是可能的。

附图说明

通过结合附图考虑以下具体实施方式，可容易理解本发明的教导，其中：

图1示出独立于任意现有网络架构的独立式911-NOW通信网络架构；

图2示出集成911-NOW无线网络架构，其利用911-NOW网状网络和现有网络架构；

图3示出911-NOW节点的一个实施例的高级框图；

图4示出图3的911-NOW通信网络架构，其中额外911-NOW节点到达紧急站点；

图5是额外911-NOW节点与用于认证额外911-NOW节点和向额外911-NOW节点分发加密密钥的主要911-NOW节点之间的通信；

图6示出根据本发明一个实施例的方法；

图7示出根据本发明一个实施例的方法，其中根据本发明修改了EAP-TTL协议；

图8示出根据本发明一个实施例的方法；以及

图9示出适用于执行这里所述功能的通用计算机的高级框图。

为了便于理解，在可能的情况下，使用了相同的标号来指定对于附图共同的相同元素。

具体实施方式

在可快速部署的无线网络(这里指定为911车轮上的网络(network onwheels)，即911-NOW网络)的环境中描述本发明；然而，本发明还适用于各种其他网络。通过将911-NOW节点(多个)放置在移动平台(多个)上来形成911-NOW网络，从而当为网络站点派发移动平台(多个)时，911-NOW节点(多个)提供无线通信网络。如上所述，可部署一个或多个911-NOW节点以形成无线网络。911-NOW网络可以是独立于现有网络架构的独立式无线网络或利用现有网络架构的集成无线网络。

图1示出独立于任意现有网络架构的独立式911-NOW通信网络架构。具体地，独立式911-NOW通信网络架构100包括多个911-NOW节点110_A-110_G(共同称为911-NOW节点110)，他们支持在紧急站点101处的无线通信。由于911-NOW节点110中的每个支持RAN功能、CORE网络功能、和服务，所以独立式911-NOW通信网络架构100提供全功能网络。如图1所示，911-NOW节点110中的每个位于或安装于移动平台上，并且被运输至紧急站点101。911-NOW节点110在紧急站点101处形成无线网络。

紧急站点101可以是需要无线网络的任何位置或位置组合。紧急站点101可以是局部化站点、局部化站点的集合、广泛分布站点、广泛分布站点的集合等、及其各种组合。例如，紧急站点101可以是城镇或城市中的一个位置、多个位置，或者甚至跨越一个或多个县、州、国家或甚至大陆。911-NOW网络不受紧急站点的范围的限制。紧急站点101可关联于任意类型的紧急情况。例如，紧急站点101可关联于自然灾害(例如洪水、飓风、龙卷风等)、人为灾害(例如化学溢出、恐怖袭击等)等等、及其各种组合。

如图1所示，应急人员(这里指定为911-NOW网络100的用户102)响应于紧急情况。用户102正在紧急站点101的不同区域处执行各种不同功能。例如，用户可能正在控制灾害，参与撤退操作，参与搜索和救援操作等，及其各种组合。用户102在响应于紧急情况时使用设备，包括能够无线接收和发送信息的设备(这里指定为用户102的无线用户设备104)。无线用户设备104包括通信设备，并且可包括各种其他类型的紧急设备(依据紧急情况的类型、紧急情况的严重性、紧急站点的后勤、和各种其他因素)。

例如，无线用户设备104可包括应急人员携带的无线设备，用于与其他应急人员通信，在紧急站点处接收用于响应的信息，在紧急站点处收集信息，在紧急站点处监视条件等，及其各种组合。例如，无线用户设备104可包括例如无线电话机、无线耳机、蜂窝电话、个人数字助理(PDA)、膝上型电脑等及其各种组合的设备。无线用户设备104可包括各种其他设备，例如监视器(例如用于监视呼吸、脉搏、和其他特征；用于监视温度、降水、和其他环境特征；等)、传感器(例如用于检测空气质量改变、化学或生物制剂的存在、辐射强度等)、以及各种其他设备。

如图1所示，通过向紧急站点101部署911-NOW节点110(图示地，911-NOW节点110_A-110_G)，在紧急站点101处建立基于911-NOW的网络。911-NOW节点110可使用移动平台来部署。911-NOW节点110可使用独立式移动平台来部署。例如，911-NOW节点110可位于背包、手提箱、和可由个人携带的类似移动箱体中。911-NOW节点110可使用移动交通工具来部署，包括陆基交通工具、海基交通工具、和/或空基交通工具。例如，911-NOW节点可位于(和/或安装于)警车、反恐特警卡车、消防车、救护车、悍马车、快艇、直升机、飞艇、飞机、无人机、卫星等，及其各种组合。911-NOW节点110可使用各种其他移动平台来部署。

如图1所示，911-NOW节点110_A使用消防车来部署，911-NOW节点110_B使用消防车来部署，911-NOW节点110_C使用消防车来部署，911-NOW节点110_D被部署为独立式节点，911-NOW节点110_E使用飞艇来部署，911-NOW节点110_F被部署为独立式节点，而911-NOW节点110_G使用消防车来部署。911-NOW节点110的固有移动性能够在需要时快速和灵活部署无线网络(例如在需要无线网络时，在需要无线网络处、以及如何需要无线网络)，从而提供由应急人员需要的按需服务的可伸缩能力和覆盖。由于每个911-NOW节点110支持RAN功能、CORE网络功能、和各种服务器功能，所以即使1个911-NOW节点的部署也能生成全功能无线网络。

如图1所示，911-NOW节点110支持用于无线用户设备104的无线通信(这里指定为无线接入通信)。无线接入通信包括在911-NOW节点110和该911-NOW节点110所服务的无线用户设备之间的无线通信。911-NOW节点110包括一个或多个无线接入接口，其使用在无线用户设备104和911-NOW节点110之间建立的各个无线接入连接111支持用于无线用户设备104的无线通信。911-NOW节点110还支持在紧急站点101处用户设备104的移动性，从而在用户102围绕紧急站点101移动时，在911-NOW节点110之间无缝地传送在那些用户102的无线用户设备104和911-NOW节点110之间的通信会话。

如图1所示，911-NOW节点110支持911-NOW节点110之间的无线通信(这里指定为无线网状通信)。无线网状通信包括911-NOW节点110之间的无线通信，包括在无线用户设备104之间传送的信息、在911-NOW节点110之间交换的控制信息等，及其各种组合。911-NOW节点110可包括一个或多个无线网状接口，其支持与一个或多个其他911-NOW节点110的无线通信。使用在911-NOW节点110之间建立的无线网状连接112来支持911-NOW节点110之间的无线网状通信。

如图1所示，以下成对的911-NOW节点110使用各个无线网状连接112来通信：911-NOW节点110_A和110_B、911-NOW节点110_A和110_C、911-NOW节点110_A和110_D、911-NOW节点110_B和110_C、911-NOW节点110_C和110_D、911-NOW节点110_B和110_E、911-NOW节点110_C和110_F、911-NOW节点110_D和110_G、911-NOW节点110_E和110_F、911-NOW节点110_F和110_G。这样，图1的911-NOW节点110通信，以形成无线网状网络。尽管参照图1示出和描述特定无线网状配置，但是911-NOW节点110可通信以形成各种其他无线网状配置，并且可在条件改变时实时修改网状配置。

如图1所示，911-NOW节点110支持用于一个或多个管理设备105的无线通信(这里指定为无线管理通信)。无线管理通信包括911-NOW节点110和该911-NOW节点110所服务的管理设备(多个)105之间的无线通信。911-NOW节点110包括支持用于管理设备(多个)105的无线通信的一个或多个无线管理接口。可使用管理设备105和911-NOW节点110_D之间建立的无线管理连接113来支持管理设备105和911-NOW节点110_D之间的无线管理通信。

管理设备105可操作用于配置和控制独立式911-NOW网络100。例如，管理设备105可用于配置和再配置一个或多个911-NOW节点110，控制对911-NOW节点的访问，控制911-NOW节点110支持的功能和服务，升级911-NOW节点110，执行用于911-NOW节点或911-NOW节点的组合的元件/网络管理功能(例如故障、性能、和类似管理功能)等，及其各种组合。管理设备105可通过使用现有设备(例如膝上型电脑、PDA等)、或使用新设计的设备(适于支持这样的管理功能)来实施。管理设备105可直接和/或使用有线和/或无线接口间接连接至一个或多个911-NOW节点110。

911-NOW节点110使用一个或多个无线技术来支持无线通信。为了无线接入通信，每个911-NOW节点110可支持一个或多个不同无线技术，例如全球移动通信系统(GSM)、通用分组无线业务(GPRS)、演进-数据优化(1xEV-DO)、通用移动电信系统(UTMS)、高速下行链路分组接入(HSDPA)、微波存取全球互通(WiMAX)等。为了无线网状通信，每个911-NOW节点110可支持无线保真(WiFi)或WiMAX技术、微波技术、或任意其他无线技术。为了无线管理通信，每个911-NOW节点110可支持一个或多个这样的蜂窝技术，并且可进一步支持WiFi技术、蓝牙技术、或任意其他无线技术。

911-NOW节点110支持的无线通信传送用户信息、控制信息等，及其各种组合。例如，用户信息可包括语音通信(例如语音呼叫、音频会议、一键通等)、数据通信(例如基于文本的通信、高速数据下载/上传、文件传输等)、视频通信(例如视频广播、会议等)、多媒体通信等、及其各种组合。911-NOW节点110支持的通信可传送内容的各种组合，例如音频、文本、图像、视频、多媒体等，及其各种组合。例如，控制信息可包括网络配置信息、网络控制信息、管理信息等，及其各种组合。因此，911-NOW节点110支持任意信息的无线通信。

尽管示出和描述部署特定数目的911-NOW节点110以形成911-NOW网络，但是还可部署更少或更多911-NOW节点以形成911-NOW网络，以支持提供有效紧急情况响应所需的通信。类似地，尽管示出和描述部署911-NOW节点110的特定配置以形成911-NOW网络，但是还可在各种其他配置中部署911-NOW节点(包括在一个紧急站点处或多个紧急站点之间的不同位置、911-NOW节点之间的网状连接的不同组合等，及其各种组合)以形成独立式911-NOW网络，其支持RAN功能、CORE网络功能、的各种服务，从而支持提供有效紧急响应的多媒体通信。

如上所述，尽管一个或多个911-NOW节点110能够形成不依赖于现有架构(固定或可变的)的全功能的独立式网状无线网络，其中存在有现有架构(其没有被损坏或破坏)，但是独立式911-NOW无线网络可影响现有网络架构，以形成能够支持各种额外功能的集成911-NOW无线网络(例如支持与一个或多个其他独立式911-NOW无线网络的通信，支持与一个或多个远程紧急情况管理总部的通信，支持与其他资源的通信等，及其各种组合)。参照图2示出和描述集成911-NOW无线网络，其包括与现有网络架构通信的网状911-NOW网络。

图2示出包括911-NOW网状网络和现有网络架构的集成911-NOW通信网络架构。具体地，集成911-NOW通信网络架构200包括911-NOW网状网络100(参照图1所示和所述)和现有网络架构201。现有网络架构201可包括适于支持用于911-NOW网状网络100的通信的任意现有通信架构(例如包括无线通信功能、回程功能、网络功能、服务等，及其各种组合)。

现有网络架构201可包括无线接入功能(例如无线电接入网络、卫星接入网络等，及其各种组合)、回程功能(例如支持移动管理功能、路由功能、和网关功能、及其各种其他相关功能的公共和/或私有、有线和/或无线、回程网络)、核心网络功能(例如AAA功能、DNS功能、DHCP功能、呼叫/会话控制功能等)、服务功能(例如应用服务器、媒体服务器等)等等，及其各种组合。由于911-NOW节点110也支持这样的功能，所以在某些实施例中，可在必要时依赖于现有网络架构201的这些功能的至少一部分。

如图2所示，现有网络架构201支持无线回程连接。具体地，现有网络架构201支持来自911-NOW网状网络100的两个无线回程连接。现有网络架构201使用卫星202支持与911-NOW节点110_E的第一无线回程连接214，其中卫星202在因特网206的边缘处与卫星回程节点203进行无线回程通信。现有网络架构201使用蜂窝基站204支持与911-NOW节点110_G的第二无线回程连接214，其中蜂窝基站204在因特网206的边缘处与蜂窝回程节点205进行有线回程通信。

如图2所示，现有网络架构201还支持可与紧急站点101的用户102通信的其他位置的其他连接。现有网络架构201包括路由器207，其支持用于紧急情况总部220的通信(可包括例如应急人员和/或紧急系统)。现有网络架构201包括蜂窝回程节点208和关联基站209，其支持用于一个或多个其他911-NOW网状网络2301-230N的通信(即在远程紧急站点建立的一个或多个独立式911-NOW网络)。

现有网络架构201支持用于911-NOW网状网络100的通信。现有网络架构201可支持在911-NOW网状网络100的无线用户设备104之间的通信(例如实施在独立式911-NOW网络100的911-NOW节点110之间的无线网状通信)。现有网络架构201可支持在911-NOW网状网络100的无线用户设备104和其他应急人员和/或紧急系统之间的通信。例如，现有网络架构201可支持在911-NOW网状网络100的无线用户设备104和紧急情况总部220、一个或多个其他911-NOW网状网络230(例如在与紧急站点101远程的紧急站点)等、及其各种组合之间的通信。

如图2所示，除了支持一个或多个无线接入接口、一个或多个无线网状接口、和一个或多个无线管理接口，911-NOW节点110还支持一个或多个无线回程接口，其支持在911-NOW节点110和现有网络架构(图示地，现有网络架构201)之间的通信。使用在911-NOW节点110和现有网络架构201之间建立的无线回程连接214来支持在911-NOW节点110和现有网络架构201之间的无线回程通信。无线回程连接214可使用一个或多个无线技术来提供，例如GSM、GPRS、EV-DO、UMTS、HSDPA、WiFi、WiMAX、微波、卫星等，及其各种组合。

通过使用与现有网络架构201的无线回程连接与911-NOW节点110提供的回程网络功能组合，由911-NOW节点110提供的网状网络功能能够在一个紧急站点的应急人员之间(例如连接至独立式911-NOW网状网络的911-NOW节点110的用户之间)、在不同紧急站点的应急人员之间(例如连接至不同独立式无线网状网络的911-NOW节点110的用户之间)、在一个或多个紧急站点的应急人员和紧急管理人员之间(例如位于紧急情况总部220的用户)等及其各种组合进行通信。

因此，911-NOW节点110均可支持4个不同类型的无线接口。911-NOW节点110支持用户设备104可访问911-NOW节点110所借助的一个或多个无线接入接口。911-NOW节点110支持用户设备104可与其他911-NOW节点110通信所借助的一个或多个无线网状接口。911-NOW节点110支持911-NOW节点110与现有网络架构通信所借助的一个或多个无线回程接口。911-NOW节点110支持网络管理员可管理基于911-NOW的无线网络所借助的一个或多个无线管理接口。可参照图3更好地理解911-NOW节点110的功能。

图3示出911-NOW节点的一个实施例的高级框图。具体地，如图3所示，911-NOW节点110包括功能模块301、处理器340、存储器350、和支持电路360(以及支持911-NOW节点110的各个功能所需的各种其他处理器、模块、存储设备、支持电路等)。功能模块301与处理器340、存储器350、和支持电路360协作，以提供911-NOW节点110的各种功能(如上所示和所述)。

处理器340控制911-NOW节点110的操作，包括在功能模块301、存储器350和支持电路(多个)360之间的通信。存储器350包括程序351、应用352、支持数据353(例如用户概况、服务质量概况等，及其各种组合)、和用户数据354(例如用于向/从与911-NOW节点110关联的用户设备通信的任意信息)。存储器350可存储其他类型的信息。支持电路(多个)360可包括适于支持911-NOW节点110的任意电路或模块，例如电源、电源放大器、收发器、编码器、解码器等，及其各种组合。

功能模块301包括无线功能模块309、核心(CORE)网络功能模块320、和服务模块330。无线功能模块309包括无线电接入网络(RAN)功能模块310和可选的无线接口模块315。CORE网络功能模块320提供CORE网络功能。服务模块330提供一个或多个服务。RAN功能模块310(以及，当存在时，无线接口模块315)与CORE网络功能模块320和服务模块330两者通信，并且CORE网络功能模块320和服务模块330通信，以提供这里所示和所述的功能。

无线功能模块309、CORE网络功能模块320、和服务模块330协作(与处理器340、存储器350、和支持电路360、以及任意其他所需模块、控制器等组合，为了清楚的目的可忽略)，以提供可快速部署的无线节点，其可形成：(1)单节点，独立式无线网络；(2)多节点，独立式无线网络(即，使用911-NOW节点之间的无线网状连接)；或(3)集成无线网络(即，使用一个或多个911-NOW节点和现有网络架构之间的无线回程连接，和可选地使用911-NOW节点之间的无线网状连接)。

RAN功能模块310提供RAN功能。RAN功能包括支持用于与无线用户设备关联的通信的一个或多个无线接入接口。具体地，RAN功能模块310支持多个空中接口(AI)311₁-311_N(共同称为AI 311)。AI 311提供支持与无线用户设备关联的通信的无线接入接口。例如，AI 311可支持典型地由基础收发器站(BTS)提供的功能。

RAN功能模块310提供控制功能。控制功能可包括典型地由无线电接入网络中的控制器执行的任意控制功能。例如，控制功能可包括例如准入控制、电源控制、分组调度、负载控制、切换控制、安全功能等及其各种组合的功能。例如，在一个实施例中，控制功能可包括典型地由RAN网络控制器(RNC)或类似无线网络控制器执行的功能。

RAN功能模块310提供网络网关功能。网络网关功能可包括典型地被执行以桥接RAN和CORE网络的任意功能，例如IP会话管理功能、移动管理功能、分组路由功能等，及其各种组合。例如，在使用基于CDMA2000的无线技术时，网络网关功能可包括典型地由分组数据服务节点(PDSN)执行的功能。例如，在使用基于GPRS和/或基于UMTS的无线技术时，网络网关功能可包括典型地由GPRS网关支持节点(GGSN)和服务GPRS支持节点(SGSN)的组合执行的功能。

在一个实施例中，RAN功能模块310可实现为基站路由器(BSR)。在一个这样的实施例中，BSR包括基站(BS)或提供BS功能的一个或多个模块、无线电网络控制器(RNC)或提供RNC功能的一个或多个模块、以及网络网关(NG)或提供NG功能的一个或多个模块。在这样的实施例中，RAN功能模块310支持典型地由基站路由器支持的任意功能。

无线接口模块315提供一个或多个无线接口。由无线接口模块提供的无线接口可包括以下项目中的一个或多个：(1)支持与其他911-NOW节点通信的一个或多个无线网状节点；(2)支持与现有网络架构通信的一个或多个无线回程接口；和/或(3)支持与一个或多个管理设备通信的一个或多个无线管理接口。无线接口模块315支持多个空中接口(AI)316₁-316_N(共同称为316)，其提供支持与以下项目中的一个或多个关联的通信的无线接口：一个或多个其他911-NOW节点、现有网络架构、和一个或多个管理设备。

在一个实施例中，实施不具有无线接口模块315的911-NOW节点110(例如，如果不期望911-NOW节点110需要无线网状、回程、或管理功能)。在一个实施例中，911-NOW节点110包括无线接口模块315，其支持以下内容的子集：一个或多个无线网状接口、一个或多个无线回程接口、和一个或多个无线管理接口(即依据911-NOW节点110是否将需要无线管理、网状、和/或回程功能来调节911-NOW节点)。在一个实施例中，911-NOW节点110包括无线接口模块315，其支持以下内容中的每个：一个或多个无线网状接口、一个或多个无线回程接口、和一个或多个无线管理接口(即如果911-NOW节点110需要这样的无线功能，则所有类型无线接口可用)。

CORE网络功能模块320提供典型地从CORE网络可用的网络功能。例如，CORE网络功能模块320可提供认证、授权和帐户(AAA)功能、域名系统(DNS)功能、动态主机配置协议(DHCP)功能、呼叫/会话控制功能等，及其各种组合。本领域普通技术人员知晓哪些功能是从CORE网络典型可用的。

服务模块330提供服务。服务可包括能够向无线用户设备提供的任意服务。在一个实施例中，例如，服务模块330可提供典型地由应用服务器、媒体服务器等、及其各种组合提供的服务。例如，服务可包括一个或多个语音服务、语音会议服务、数据传送服务(例如高速数据下载/上传、文件传送、传感器数据传送等)、视频服务、视频会议服务、多媒体服务、多媒体会议服务、一键通服务、即时消息服务等、及其各种组合。本领域普通技术人员知晓哪些服务典型地在RAN和CORE网络上可用。

尽管这里主要示出和描述的911-NOW节点的特定配置包括分别提供无线功能(包括RAN功能和可选的额外无线接口和关联接口功能)、CORE网络功能和服务的3个模块，但是911-NOW节点可使用提供无线功能、CORE网络功能和服务的其他配置来实施。类似地，尽管这里主要示出和描述的提供特定无线功能、CORE网络功能和服务的功能模块的特定配置，但是911-NOW节点的功能模块可使用提供无线功能、CORE网络功能和服务的其他配置来实施。

因此，可考虑使用更少的功能模块提供，或使用更多的功能模块提供以不同方式可分布在各种功能模块之间的所述功能的至少一部分。此外，尽管主要示出和描述特定无线功能(包括RAN功能和可选的一个或多个额外无线接口功能)、CORE网络功能、和服务，但是可考虑通过911-NOW节点支持更少的或更多的无线功能(包括RAN功能和可选的一个或多个额外无线接口功能)、CORE网络功能、和/或服务。因此，911-NOW节点不受参照图3所示和所述的实例性功能架构限制。

在紧急情形下，应急交通工具通常在不同时间到达和离开紧急站点，这取决于应急交通工具分派的位置和紧急站点的位置。此外，依据紧急情况的范围，可从一个或多个相邻管辖区分派应急交通工具，以在响应紧急情况时进行协助。结果，可在紧急站点处已经建立了可快速部署的无线网络(例如使用已经位于紧急站点处的应急交通工具上的快速可部署节点)之后，应急交通工具可到达紧急站点，如参照图4所示和所述。

图4示出图1的911-NOW通信网络架构，其中911-NOW节点到达紧急站点。尽管主要在独立式无线网络(图示地，图1的独立式无线网络)的环境中示出和描述，但是本发明还可用在集成无线网络中(例如图2的集成无线网络)。如图4所示，应急交通工具401(示出为消防车)到达紧急站点101。应急交通工具401包括额外911-NOW节点410(这里指定为911-NOW节点410)，其在到达紧急站点101时还没有关联于使用911-NOW节点110在紧急站点101处已经建立的911-NOW通信网络100。

应急交通工具401向紧急站点101运输应急人员402(即用户402)。用户402具有应急人员402打算彼此通信，以及与紧急站点101处的其他应急人员102通信，以及可选地与紧急情况总部220和/或一个或多个其他911-NOW网状网络230通信所借助的用户设备404。用户402可初始地经由911-NOW节点410通信，在用户402围绕紧急站点101移动时，进而经由911-NOW节点110中的不同节点通信。在911-NOW节点410可加入911-NOW通信网络100以支持与用户102和402的通信之前，911-NOW节点410必须被认证，并且进而必须提供有一个或多个加密密钥，以使得911-NOW节点410能够从911-NOW通信网络100中的其他911-NOW节点110安全地接收/发送信息。

如图4所示，在911-NOW通信网络100的建立和配置期间，可将911-NOW节点110之一(图示地，911-NOW节点110_B)配置为主认证节点。主认证911-NOW节点110_B执行节点认证功能，包括节点认证协定功能和加密密钥分发功能。在一个实施例中，主认证911-NOW节点110_B可提供典型地由固定无线网络中的认证、授权和帐户(AAA)服务器提供的AAA功能(例如，其中作为911-NOW节点110提供的CORE功能的一部分支持这样的AAA功能)。主认证911-NOW节点110_B可使用RADIUS、DIAMETER、和适于用在执行节点认证协定功能、加密密钥分发功能、和类似AAA相关功能所需消息的安全交换中使用的类似协议来支持AAA功能。

主认证节点110_B负责认证尝试加入911-NOW通信网络100的911-NOW节点。主认证节点110_B管理在911-NOW节点被认证之后主认证节点110_B必须向911-NOW节点分发的一个或多个加密密钥。911-NOW节点110需要加密密钥，以与911-NOW通信网络100中的其他911-NOW节点安全地通信。即，911-NOW节点110使用加密密钥来加密向其他911-NOW节点110发送的信息，和解密从其他911-NOW节点110接收的信息。加密密钥可包括单播加密密钥、多播加密密钥、和/或广播加密密钥。由于加密密钥可由多个911-NOW节点使用，所以由911-NOW通信网络100中的911-NOW节点使用的加密密钥在这里可指的是组加密密钥(或，更一般地，组密钥)。

在额外911-NOW节点410到达紧急站点101时，直到主认证节点110_B认证了911-NOW节点410(包括向额外911-NOW节点410分发加密密钥)，911-NOW节点410不能够访问911-NOW通信网络100，并且进而不能够与其他911-NOW节点110通信。在一个实施例中，本发明使用可扩展认证协议(EAP)方法之一的变型，以执行节点认证功能，包括节点认证协定和组加密密钥的分发。这里参照图5示出和描述可用于实施本发明的节点认证功能的基于EAP架构的实施例。

图5示出在请求加入911-NOW网络的911-NOW节点(指定为额外911-NOW节点)和被配置作为用于911-NOW网络的主认证节点911-NOW节点的911-NOW节点(指定为主认证911-NOW节点)之间的通信。执行额外911-NOW节点和主认证911-NOW节点之间的交互，用于认证额外911-NOW节点，包括向额外911-NOW节点分发一个或多个加密密钥。参照图4所示和所述，额外911-NOW节点是911-NOW节点410，主认证911-NOW节点是911-NOW节点110_B。

如图5所示，911-NOW节点410和911-NOW节点110_B交换适于使得911-NOW节点110_B能够认证911-NOW节点410的消息，包括认证参数的协定和一个或多个加密密钥从911-NOW节点110_B到911-NOW节点410的分发。911-NOW节点410和911-NOW节点110_B使用911-NOW节点之间的关联无线网状连接112(例如网状跳IP链路)经由中间911-NOW节点110_D和110_C来交换消息。具体地，分别使用无线网状连接112，911-NOW节点410与911-NOW节点110_D通信，911-NOW节点110_D与911-NOW节点110_C通信，以及911-NOW节点110_C与911-NOW节点110_B通信。

911-NOW节点410和911-NOW节点110_B通过使用修改的EAP(即使用现有EAP方法之一的修改版本)交换消息来通信。可被修改以支持本发明的认证功能的EAP方法包括基于证书的EAP方法(例如EAP-传输层安全(EAP-TLS)和类似EAP方法)、同样利用安全隧道的基于证书的EAP方法(例如使用EAP-隧道传输层安全(EAP-TTLS)，保护的-EAP(PEAP)和类似EAP方法)等。与适于交换EAP认证消息的基于客户端-服务器的协议(例如远程认证拨入用户服务(RADIUS)协议、DIAMETER协议、和类似协议)结合，使用EAP请求者-认证者模型来实施本发明的修改的EAP方法。

如图5所示，911-NOW节点410包括EAP请求者501和运行在RADIUS客户端504上的EAP认证者502，并且911-NOW节点110_B包括运行在RADIUS服务器514上的EAP认证者512，所述RADIUS服务器514具有关联的AAA数据库516。

在EAP方法的现有方案中，EAP请求者和EAP认证者并非共置(即，EAP请求者是例如膝上型电脑的最终用户设备，EAP认证者是例如WiFi热点节点的接入节点)。因此，在EAP方法的这种现有方案中，EAP认证服务器和EAP请求者均可导出彼此独立的PMK，并且EAP认证服务器将PMK提供至EAP认证者，从而EAP认证者和EAP请求者可使用PMK通信(即，最终用户膝上型电脑可与包括认证者的接入节点安全地通信)。

在本发明的基于EAP方案中，如图5所示，EAP请求者501和EAP认证者502共置在911-NOW节点410上。换句话说，911-NOW节点410包括EAP认证者功能和EAP请求者功能。因此，由于EAP请求者501和EAP认证者502共置在911-NOW节点410上，911-NOW节点410的EAP认证者502能够获得独立于EAP认证服务器512的PMK(因为EAP请求者501能够导出独立于EAP认证服务器512的PMK，并内部地将PMK提供至EAP认证者502)。

EAP请求者501和EAP认证者502使用内部消息来交换EAP消息(并非使用WiFi或某些其他无线协议，这是在EAP请求者和EAP认证者没有共置于相同节点中的EAP方法的现有方案中所需的)。换句话说，由于EAP请求者501和EAP认证者502共置在911-NOW节点410中，所以911-NOW节点410支持在EAP请求者501和EAP认证者502之间的内部基于EAP的消息传输。可使用用于EAP消息的内部通信的任意装置来实施在EAP请求者501和EAP认证者502之间的内部基于EAP的消息传输。

EAP认证者502和EAP认证服务器512使用RADIUS协议交换EAP消息。具体地，EAP认证者502和EAP认证服务器512使用911-NOW节点410的RADIUS客户端504和911-NOW节点110_B的RADIUS服务器514之间的RADIUS消息传输来交换EAP消息。尽管主要示出和描述使用RADIUS支持EAP认证者502和EAP认证服务器512之间的EAP消息传输，但是可使用除了RADIUS之外的协议来支持这样的EAP消息传输(例如使用DIAMETER或类似认证协议)。在这些实施例中，RADIUS客户端504和RADIUS服务器514可通过用于交换EAP消息的消息交换协议的类似客户端/服务器软件来代替。

在911-NOW节点410上的EAP请求者501适于执行某些标准EAP功能，以及本发明的额外认证功能。例如，当EAP请求者501仍旧导出PMK时，不使用PMK与接入节点安全地通信，EAP请求者501使用内部消息传输将导出的PMK提供至EAP认证者502，所述内部消息传输由EAP认证者502用在解密从911-NOW节点110_B的EAP认证服务器向911-NOW节点410的EAP认证者502提供的组加密密钥。

911-NOW节点410上的EAP认证者502适于某些标准EAP功能，以及本发明的额外认证功能。例如，当EAP认证者502仍旧与EAP认证服务器512通信时，不从EAP认证服务器512接收PMK以及不使用PMK与最终用户设备安全地通信，EAP认证者使用从EAP请求者501内部接收的PMK，以解密从911-NOW节点110_B的EAP认证服务器向911-NOW节点410的EAP认证者502提供的组加密密钥。

911-NOW节点410上的EAP认证服务器512适于某些标准EAP认证功能，以及本发明的额外认证功能。换句话说，EAP认证服务器512是在EAP标准中定义的现有EAP认证服务器的修改版本。例如，除了执行标准认证参数协定功能，EAP认证服务器512使用导出的PMK来加密组加密密钥，并将加密的组加密密钥提供至额外911-NOW节点410的EAP认证者502(而并非将PMK提供至EAP认证者，由EAP认证者在认证远程EAP请求者时使用，即，用于认证最终用户设备)；保持在PMK和额外911-NOW节点410之间的关联，以稍后使用关联的PMK向额外911-NOW节点410分发组加密密钥(多个)；以及执行类似功能，及其各种组合。

这里参照图6示出和描述使用EAP-TLS的修改版本认证基于911-NOW网络中的911-NOW节点的方法，其中使用RADIUS来交换EAP消息。尽管这里主要示出和描述了使用EAP-TLS和RADIUS的实施例，但是本发明可实施为通过使用各种其他EAP方案和关联EAP消息交换协议来提供节点认证功能。因此，由于可使用各种不同EAP方案和关联EAP消息交换协议来实施本发明的节点认证功能，所以这里参照图7示出和描述认证基于911-NOW网络中的911-NOW节点的一般方法。

图6示出根据本发明一个实施例的方法。具体地，图6的方法600包括无线网络的主认证节点认证尝试加入无线网络的无线节点的方法(在其中使用EAP-TLS认证处理的修改版本并将RADIUS用于交换认证消息的实施例的环境中示出和描述)。尽管这里主要示出和描述连续执行，但是可同时，或以不同于参照图6所示和所述的顺序执行图6的方法600的步骤的至少一部分。

如图6所示，并且如这里参照图5所示和所述，911-NOW节点410的EAP请求者501和EAP认证者502使用911-NOW节点410中的内部消息传输通信，并进而911-NOW节点410的EAP认证者502(经由RADIUS客户端504)使用外部消息传输(例如使用IP网状跳)与911-NOW节点110_B的EAP认证服务器512(经由RADIUS服务器514)通信。尽管为了清楚的目的从图6省略，但是在开始参照图6所示和所述的节点认证处理之前，911-NOW节点410可向911-NOW节点110_B声明其存在(例如使用存在通知消息、接入请求消息、或类似消息)。

在步骤602，认证者502通过向EAP请求者501提供EAP-请求身份消息来开始。在步骤604，EAP请求者501通过向认证者502提供EAP-响应身份消息(可包括EAP请求者501的标识符)来响应于EAP-请求身份消息。在步骤606，EAP认证者502使用RADIUS接入请求消息(即作为RADIUS接入请求(EAP-响应身份)消息)从EAP请求者501向EAP认证服务器512发送EAP-响应身份消息。在EAP认证服务器512接收EAP-响应身份消息之后，EAP认证服务器512开始与EAP请求者501的一个或多个回合的认证参数协定，以完全认证911-NOW节点410(包括向911-NOW节点410分发一个或多个组加密密钥)。

在步骤608，EAP认证服务器512向EAP认证者502发送RADIUS接入提问消息(包括EAP-请求消息)。在步骤610，EAP认证者502将EAP-请求消息(在来自EAP认证服务器512的RADIUS消息中接收的)作为EAP-请求消息(其可指示所使用的EAP方法的类型，图示地，EAP-TLS)转发至EAP请求者501。在步骤612，EAP请求者501通过向EAP认证者502提供EAP-响应消息来响应EAP-请求身份消息。EAP-响应消息包括一个或多个认证参数(例如EAP响应(TLSClientHello(random₁))消息)。在步骤614，EAP认证者502使用RADIUS接入请求消息(即作为RADIUS接入请求(EAP-响应(TLS ClientHello))消息)将来自EAP请求者501的EAP-响应消息发送至EAP认证服务器512。

在步骤616，EAP认证服务器512向EAP认证者502发送RADIUS接入提问消息(包括EAP-请求消息)。在步骤618，EAP认证者502将EAP-请求消息(在来自EAP认证服务器512的RADIUS消息中接收的)作为EAP-请求消息转发至EAP请求者501。EAP-请求消息(其可指示所使用的EAP方法的类型)包括一个或多个认证参数(例如TLSClientHello(random₂)、TLS Certificate、TLS server_key_exchange，和TLS server_done)。在步骤620，EAP请求者501通过向EAP认证者502提供EAP-响应消息来响应于EAP-请求消息。EAP-响应消息包括一个或多个认证参数(例如TLS client_key_exchange，TLS change_cipher_suite，和TLS finished)。在步骤622，EAP认证者502使用RADIUS接入请求消息(即作为RADIUS接入请求(EAP-响应)消息)将来自EAP请求者501的EAP-响应消息发送至EAP认证服务器512。

在步骤624，EAP认证服务器512向EAP认证者502发送RADIUS接入提问消息(包括EAP-请求消息)。在步骤626，EAP认证者502将EAP-请求消息(在来自EAP认证服务器512的RADIUS消息中接收的)作为EAP-请求消息转发至EAP请求者501。EAP-请求消息包括一个或多个认证参数(例如TLS change_cipher_suite，和TLS finished)。在(经由EAP认证者502)接收来自EAP认证服务器512的包括“TLS finished”指示符的EAP-请求消息时，EAP请求者501知晓在EAP请求者501和EAP认证服务器512之间的TLS握手完成，并因此EAP请求者501具有在TLS握手期间获得的足够信息，从而EAP请求者501可导出主密钥(指定为MASTERKEY)，并将导出的密钥提供至EAP认证服务器512。

在步骤628，EAP请求者501导出主密钥。EAP请求者501使用伪随机函数(PRF)导出主密钥，所述PRF将PREMASTERKEY、在TLS握手期间协定的“master secret”、第一随机数(例如在步骤612从EAP请求者501向EAP认证者502发送的random₁)、和第二随机数(例如在步骤618从EAP认证者502向EAP请求者501发送的random₂)当作输入。在步骤630，EAP请求者501向EAP认证者502提供EAP-响应消息。EAP-响应消息包括由EAP请求者501计算的MASTERKEY。在步骤632，EAP认证者502将从EAP请求者501接收的EAP-响应消息作为包括MASTERKEY的RADIUS接入请求消息(即作为RADIUS接入请求(EAP-响应)(MASTERKEY)消息)转发至EAP认证服务器512。

在步骤633_A，EAP请求者501导出独立于EAP认证服务器512的成对主密钥(PMK)(即，EAP认证服务器512不必向EAP请求者501提供PMK)。因此，由于EAP请求者501和EAP认证者502共置在911-NOW节点410中，所以EAP认证者502能够从EAP请求者501内部地获得PMK(并因此安全地)，并且不依赖于EAP认证服务器512发送PMK。在步骤633_Z，EAP认证服务器512导出独立于EAP请求者501的成对主密钥(PMK)。

在一个实施例中，EAP请求者501和EAP认证服务器512均使用伪随机函数(PRF)导出PMK，所述PRF将EAP请求者501和EAP认证服务器512协定的认证参数的至少一部分当作输入。在一个这样的实施例中，例如，EAP请求者501和EAP认证服务器512均使用PRF导出PMK，所述PRF将MASTERKEY、在TLS握手期间协定的“client EAPencryption”参数、第一随机数(例如在步骤612从EAP请求者501向EAP认证者502发送的random₁)、和第二随机数(例如在步骤618从EAP认证者502向EAP请求者501发送的random₂)当作输入。尽管示出和描述使用特定参数导出PMK，但是还可使用更少或更多参数，以及不同参数。

在步骤634，EAP认证服务器512向EAP认证者502发送RADIUSACCEPT(接受)消息(包括EAP-成功消息)。EAP-成功消息包括由EAP认证服务器512使用PMK加密的组加密密钥。因此，本发明的基于EAP节点认证处理与现有基于EAP方案的不同在于，在本发明的实施例中，EAP认证服务器512包括将组加密密钥包括在用于EAP请求者501的RADIUS ACCEPT消息中(并非将PMK包括在RADIUS ACCEPT消息中)。

换句话说，由于EAP请求者501能够导出PMK，并进而与911-NOW节点410中的EAP认证者502共置，EAP认证者502能够使用内部消息传输从EAP请求者501局部获得PMK(而不必从EAP认证服务器512接收RADIUS ACCEPT消息中的PMK)。因此，由于EAP认证者502能够从共置的EAP请求者501局部获得PMK，所以本发明的EAP认证服务器512能够通过使用PMK来加密组加密密钥，以使用PMK安全地向911-NOW节点410发送组加密密钥。

在步骤636，EAP认证者502将EAP-成功消息(在来自EAP认证服务器512的RADIUS消息中接收的)作为EAP-成功消息转发至EAP请求者501。EAP-成功消息包括加密的组加密密钥(使用PMK加密)。这样，尽管在EAP请求者501处接收的EAP-成功消息不包括PMK(但是，在现有EAP方案中，EAP-成功消息包括PMK，而不包括不同密钥)，但是由于EAP请求者501导出PMK，所以共置的EAP认证者502能够解密在EAP-成功消息中接收的加密的组加密密钥。

在步骤638，EAP请求者501解密组加密密钥。EAP请求者501使用在EAP请求者501导出的PMK解密加密的组加密密钥。在步骤640，EAP请求者501存储解密的组加密密钥。在步骤642，方法600结束。此时，911-NOW节点410通过认证，并进而向其安全地提供组加密密钥，其中911-NOW节点410可使用该组加密密钥与形成911-NOW网络的一个或多个其他911-NOW节点110安全地通信。具体地，911-NOW节点410可使用组加密密钥来加密用于其他911-NOW节点110的消息，并且可使用组加密密钥来解密从其他911-NOW节点110接收的消息。

图7示出根据本发明一个实施例的方法。具体地，图7的方法700包括无线网络的认证服务器节点认证尝试加入无线网络的无线节点的方法。在一个实施例中，认证服务器节点是图5和图6的EAP认证服务器512，尝试加入无线网络的无线节点是911-NOW节点410，其包括图5和图6的EAP认证者502和EAP请求者501。换句话说，加入无线节点是包括无线节点功能和目标节点(即请求者)功能的无线节点。

因此，图7的方法700是图6的方法600的更一般版本(即因为在这里可使用协议的许多不同组合来实施本发明的节点认证功能，所以未指定交换消息的协议)。尽管这里主要示出和描述连续执行，但是可同时，或以不同于参照图7所示和所述的顺序执行图7的方法700的步骤的至少一部分。方法700开始于步骤702，并进行到步骤704。

在步骤704，加入无线节点(即期望由现有网络认证并加入现有网络的无线节点)向认证服务器节点(即负责对尝试加入网络的节点认证的节点)发送到达通知。在步骤706，认证服务器节点从加入无线节点接收到达通知。在步骤708，认证服务器节点向加入无线节点发送到达确收。在步骤710，加入无线节点从认证服务器节点接收到达确收。

在步骤711，在加入无线节点和认证服务器节点之间交换信息(例如认证参数)以认证加入无线节点之前，加入无线节点和认证服务器节点可选地可建立安全隧道。在一个实施例中，在加入无线节点和认证服务器节点之间交换任何信息之前是否建立安全隧道的确定可取决于本发明的实施所基于的EAP协议的类型。例如，在使用EAP-TLS的修改版本实施本发明时，不建立安全隧道；然而，在使用EAP-TTLS、PEAP、或使用隧道的其他EAP类型实施本发明时，建立安全隧道。

在一个实施例中，使用EAP-TTLS的修改版本实施本发明，认证服务器节点可包括TTLS服务器，从而在加入无线节点和TTLS服务器之间建立TLS隧道，然后在TLS隧道上运行EAP交换。在另一实施例中，使用PEAP的修改版本实施本发明，认证服务器节点可包括PEAP服务器，从而在加入无线节点和PEAP服务器之间建立TLS隧道，然后在TLS隧道上运行EAP交换。尽管这里主要示出和描述使用EAP-TTLS或PEAP隧道的修改版本，但是可使用各种其他隧道类型。

对于方法700，如果在加入无线节点和认证服务器节点之间不建立安全隧道，则使用交换这种信息的任意装置来执行认证加入无线节点所借助的剩余步骤(其中在加入无线节点和认证服务器节点之间交换信息)。类似地，对于方法700，如果在加入无线节点和认证服务器节点之间建立安全隧道，则使用安全隧道执行认证加入无线节点所借助的剩余步骤(其中在加入无线节点和认证服务器节点之间交换信息)。

在步骤712，加入无线节点向认证节点发送认证请求。在步骤714，认证节点从加入无线节点接收认证请求。在步骤716，加入无线节点和认证服务器节点执行认证协定，由此加入无线节点和认证服务器节点交换消息，以协定认证参数。例如，在作为EAP-TLS的修改版本实施本发明时，加入无线节点和认证服务器节点可交换EAP-请求和EAP-响应消息，以协定并最终使认证参数达成一致(例如，以协定认证参数，例如random₁、random₂、TLS server_key_exchange、TLS change_cipher_suite和类似认证参数，如参照图6的步骤608-626所示和所述)。

从步骤716，加入无线节点进行到步骤718_A，认证服务器节点进行到718_Z，从而加入无线节点和认证服务器节点两者均导出成对主密钥(PMK)。在步骤718_A，加入无线节点导出成对主密钥(PMK)。在步骤718_Z，认证服务器节点导出成对主密钥(PMK)。加入无线节点和认证服务器节点均使用与认证节点协定的认证参数的至少一部分导出PMK。这样，由于加入无线节点能够导出PMK(而不必等待认证服务器节点发送PMK)，所以不需要认证服务器节点向加入无线节点提供PMK，并进而，认证服务器节点可实际使用PMK，以向加入无线节点安全地发送一个或多个其他加密密钥。从步骤718_Z，认证服务器节点进行到步骤720。

在步骤720，认证服务器节点使用PMK来加密组加密密钥。在步骤722，认证服务器节点向加入无线节点发送加密的组加密密钥。在步骤724，加入无线节点从认证服务器节点接收加密的组加密密钥(即从步骤718_A，加入无线节点等待从认证服务器节点接收加密的组加密密钥(在步骤724))。在步骤726，加入无线节点使用由加入无线节点独立导出的PMK来解密加密的组加密密钥。在步骤728，加入无线节点存储组加密密钥，然后加入无线节点使用该组加密密钥与网络的其他节点安全地通信。在步骤728，方法700结束。

尽管这里示出和描述了认证服务器节点向加入无线节点提供一个组加密密钥的实施例，但是在本发明的某些实施例中，可从认证服务器节点向加入无线节点提供多个组加密密钥。在这些实施例中，组加密密钥可包括单播加密密钥、多播加密密钥、和/或广播加密密钥的任意组合。

如上所述，在加入无线节点被认证服务器节点认证并加入无线网络，并且接收和存储一个或多个组加密密钥之后，无线节点可使用组加密密钥(多个)与网络的其他无线节点安全地通信。在一个实施例中，例如，无线节点可使用WiFi通信，从而形成无线节点的网状网络。

在一个实施例中，例如，无线节点在从无线节点所服务的无线用户设备接收分组时可从存储器提取所存储的组加密密钥之一，使用组加密密钥加密所接收的分组，并向一个或多个其他无线节点发送所加密的分组(即，以将加密的分组传播至一个或多个无线节点，服务于分组被指定的一个或多个其他无线用户设备)。

例如，在所接收的分组被指定用于一个其他无线用户设备时，无线节点可使用单播加密密钥来加密所接收的分组。类似地，例如，在所接收的分组被指定用于其他无线用户设备的子集时，无线节点可使用多播加密密钥来加密所接收的分组。类似地，例如，在所接收的分组被指定用于网络中所有其他无线用户设备时，无线节点可使用广播加密密钥来加密所接收的分组。

在一个实施例中，例如，无线节点在从另一无线节点接收分组时可识别解密分组所需的组加密密钥之一，从存储器提取所识别的组加密密钥之一，使用所提取的组加密密钥来解密加密的分组，以及向分组所指定的无线用户设备(多个)发送所解密的分组。在无线节点上存储多个组加密密钥的实施例中，无线节点可通过任意方式识别解密分组所需的组加密密钥之一。

尽管这里主要示出和描述了在无线网络中的无线节点之一(被配置为用于无线网络的主认证节点的无线节点)执行本发明的认证功能的实施例，但是在其他实施例中，本发明的认证功能可通过不同元件执行，或在多个网络元件之间分发。例如，这样的网络元件可包括作为网状无线网络一部分的指定认证服务器节点(例如并非支持用户业务的无线节点之一还负责提供认证功能的方案)、作为现有网络架构一部分的指定认证节点(例如现有核心网络中的AAA服务器)、管理系统等，及其各种组合。

尽管这里主要示出和描述了无线节点的初始认证，以及一个或多个组加密密钥向认证的无线节点的初始分发，但是由于对于网络有效的组加密密钥的列表可随时间改变，所以本发明还可用于向无线网络的现有无线节点分发更新的组加密密钥。参照图8示出和描述根据在现有无线网络中分发更新的分组加密密钥的一个实施例的方法。

图8示出根据本发明一个实施例的方法。具体地，图8的方法800包括无线网络的认证服务器节点向无线网络的一个或多个无线节点分发更新的组加密密钥的方法。在无线网络中的新组加密密钥的使用增加了无线网络的无线用户设备之间的通信安全。尽管这里主要示出和描述连续执行，但是可同时，或以不同于参照图8所示和所述的顺序执行图8的方法800的步骤的至少一部分。方法开始于步骤802，并进行到步骤804。

在步骤804，认证服务器节点获得新组加密密钥。在一个实施例中，认证服务器节点可导出新组加密密钥。在另一实施例中，认证服务器节点可接收新组加密密钥(例如在新组加密密钥被不同网络元件导出并提供至认证服务器节点时)。新组加密密钥可以是新组加密密钥或代替组加密密钥(即，被指定为代替现有组加密密钥(多个))。

在这些实施例中，新组加密密钥可按任意方式导出，并用于任何理由。例如，可响应于事件或条件等，及其各种组合，周期性导出新组加密密钥。在例如周期性导出新组加密密钥的一个实施例中，每个组加密密钥可具有关联参数(多个)，其表示组加密密钥有效的时间长度(例如使用定时器、到期时间等)，从而负责导出新组加密密钥的网络元件知晓何时需要导出和分发新组加密密钥。

在步骤806，认证服务器节点识别应接收新组加密密钥的无线节点。在一个实施例中，对于每个组加密密钥，认证服务器节点可保持组加密密钥到存储和使用组加密密钥的每个无线节点(多个)的映射。在该实施例中，在新组加密密钥代替现有组加密密钥时，认证服务器节点可识别使用在组加密密钥和无线节点之间的该映射应接收新组加密密钥的无线节点(多个)。在每次新无线节点加入网络时，以及每当新组加密密钥被导出和分发至无线节点时，可更新这个映射。

与组加密密钥关联的无线节点数目(并因此，由认证服务器节点识别)取决于组加密密钥是单播组加密密钥、多播组加密密钥、还是广播组加密密钥。例如，对于单播组加密密钥或多播组加密密钥，无线网络中的某些或所有无线节点可被识别为应接收新组加密密钥的无线节点。例如，对于广播组加密密钥，无线网络中的所有无线节点可被识别为应接收新组加密密钥的无线节点。

在步骤808，认证服务器节点获得用于所识别的无线节点的PMK(多个)。在一个实施例中，认证服务器节点保持在网络中的每个无线节点和关联PMK之间的映射，其中所述关联PMK是在无线节点加入网络时被导出用于该无线节点的(例如使用参照图7所示和所述的分发700)。在认证服务器节点保持在每个组加密密钥与存储和使用该组加密密钥的无线节点(多个)之间的映射的一个这种实施例中，映射还可包括PMK信息(即包括为每个无线节点导出的PMK)。

在步骤810，认证服务器节点使用所获得的PMK(多个)加密新组加密密钥。如果仅存在一个必须将新组加密密钥发送至的无线节点，则仅需要新组加密密钥的一个副本(和用于分发他的消息)；然而，在存在多个必须将新组加密密钥发送至的无线节点时，可创建新组加密密钥的多个副本，从而可使用与不同无线节点关联的不同PMK加密不同副本。

在步骤812，认证服务器节点向所识别的无线节点(多个)提供新组加密密钥。如上所述，在接收新组加密密钥时，接收加密的组加密密钥的无线节点使用PMK解密新组加密密钥，并存储解密的新组加密密钥用于与网络的其他无线节点通信。在步骤814，方法800结束。

例如，在识别出3个不同无线节点(节点1、节点2、和节点3)，并且他们分别具有3个不同PMK(例如PMK1、PMK2、和PMK3)时，认证服务器节点需要创建新组加密密钥的3个不同副本(即使用PMK1加密的第一副本、使用PMK2加密的第二副本、和使用PMK3加密的第三副本)。在该实例中，认证服务器节点向所识别的无线节点提供新组加密密钥的不同加密的副本(即，认证节点向节点1提供使用PMK1加密的第一副本，向节点2提供使用PMK2加密的第二副本，以及向节点3提供使用PMK3加密的第三副本)。

图9示出适用于执行这里所述功能的通用计算机的高级框图。如图9所示，系统900包括处理器元件902(例如CPU)；存储器904，例如随机存储器(RAM)和/或只读存储器(ROM)；节点认证模块905；和各种输入/输出设备906(例如存储设备包括但不限于，磁带驱动器、软盘驱动器、硬盘驱动器或压缩盘驱动器、接收器、发射器、扬声器、显示器、输出端口、和用户输入设备(例如键盘、键板、鼠标等))。

应注意，本发明可例如使用专用集成电路(ASIC)、通用计算机或任意其他硬件等同物在软件中和/或在软件和硬件的组合中实施。在一个实施例中，当前的节点认证处理905可加载到存储器904中，并由处理器902执行，以实施上述功能。这样，本发明的节点认证处理905(包括关联数据结构)可存储在计算机可读介质或载体上，例如RAM存储器、磁盘或光盘驱动器或软盘等。

尽管这里主要示出和描述了使用可快速部署节点(例如这里所示和所述的911-NOW节点)在紧急响应情形中部署无线网络，但是还可使用可快速部署节点在各种其他情形中部署无线网络。在一个实施例中，可快速部署节点可用在大批群众环境中。例如，可快速部署节点可在大批群众事件期间部署，例如体育事件(例如在主办超级碗的城市中，在主办奥林匹克的城市中等)、演唱会等。在一个实施例中，可快速部署节点可被用作用于商业蜂窝网络的快速代替网络(即，在现有网络架构不可用时，代替这种架构)。在一个实施例中，可快速部署节点可用在军事环境中(例如在战地上或在其他情形中形成可快速部署网络)。

因此，除了紧急响应应用之外，根据本发明的可快速部署节点还可用于各种其他应用，因此可被部署在除了紧急情形之外的各种其他情形中。因此，术语“紧急站点”在这里用于指示可部署一个或多个可快速部署节点以形成无线网络的地理位置，更一般地其可称为“网络站点”(即，部署可快速部署节点以支持无线通信的站点)。类似地，与紧急应用主要关联的其他术语可更一般地依据部署可快速部署节点的应用来称呼。换句话说，可将任意数目的根据本发明的可快速部署节点部署在任意地理位置，以形成用于任何理由的无线网络。

此外，尽管这里主要示出和描述了可快速部署网络，但是本发明可用在各种其他对等网络中。在节点可到达现有网络并请求被认证以能够加入网络的任意对等网络中，本发明是有益的。本发明提供在对等网络中分发加密密钥的更安全方法。尽管主要示出和描述了使用EAP-TLS的修改版本实施，但是本发明可使用各种其他EAP协议的修改版本来实施。类似地，尽管这里主要示出和描述了使用EAP的修改版本实施，但是本发明还可使用其他认证协议来实施。

可理解，这里作为软件方法讨论的步骤中的某些可在硬件中实施，例如作为与处理器协作以执行各种方法步骤的电路实施。本发明的某些部分可作为计算机程序产品实施，其中在计算机处理时，计算机指令适应计算机的操作，从而调用或提供本发明的方法和/或技术。调用本发明方法的指令可存储在固定或可移除介质中，可在广播或其他信号承载介质中经由数据流发送，和/或可存储在根据指令操作的计算设备中的工作存储器中。

尽管这里详细示出和描述了结合本发明的教导的各个实施例，但是本领域普通技术人员可容易设计出仍旧结合这些教导的许多其他改变的实施例。