[发明专利]网络认证通信方法及网状网络系统

权利要求书

1.一种网络认证通信方法，其特征在于包括：

网状密钥分发节点MKD及网络设备根据各自的密钥凭证信息及所述网络设备的设备标识，计算并记录二级密钥及相应的密钥标识，所述二级密钥及相应的密钥标识与所述网络设备的设备信息相关联、与所述网络设备中的每个射频模块MAC地址无关；

所述网络设备中的各个射频模块根据所述密钥标识分别与所述MKD建立安全关联。

2.根据权利要求1所述网络认证通信方法，其特征在于所述MKD及所述网络设备根据所述密钥凭证信息及所述设备标识计算所述二级密钥及相应的密钥标识包括：

所述网络设备与认证服务器AS进行初始认证，认证通过后返回主会话密钥MSK；

所述MKD及所述网络设备根据所述MSK及所述设备标识计算所述二级密钥及相应的密钥标识。

3.根据权利要求1所述网络认证通信方法，其特征在于所述MKD及所述网络设备根据所述密钥凭证信息及所述设备标识计算所述二级密钥及相应的密钥标识包括：所述MKD及所述网络设备根据各自预先共享的预共享密钥PSK及所述设备标识计算所述二级密钥及相应的密钥标识。

4.根据权利要求1所述网络认证通信方法，其特征在于所述二级密钥包括网状密钥分发密钥MKDK和与MKD共享的成对主密钥PMK-MKD，所述MKDK的密钥标识为网状密钥分发密钥标识MKDKName，所述PMK-MKD的密钥标识为与MKD共享的成对主密钥标识PMK-MKDName。

5.根据权利要求4所述网络认证通信方法，其特征在于所述网络设备中的各个射频模块根据所述密钥标识分别与所述MKD建立安全关联包括：

所述网络设备将该网络设备产生的MKDKName携带于第一握手消息中发送 给所述MKD；

所述MKD根据所述MKDKName索引得到该MKD产生的MKDK；

所述射频模块根据所述MKDK与所述MKD建立安全关联。

6.根据权利要求5所述网络认证通信方法，其特征在于将所述MKDKName携带于第一握手消息中发送给所述MKD包括：

所述第一握手消息为多跳行为帧，将所述MKDKName携带于所述多跳行为帧中的密钥标识字段中发送给所述MKD。

7.根据权利要求2所述网络认证通信方法，其特征在于所述计算并记录二级密钥及相应的密钥标识之前还包括：

所述网络设备将其所有的射频模块的MAC地址作为身份信息发送给所述MKD；

所述MKD将接收到的所述MAC地址与所述网络设备的设备标识相关联保存。

8.根据权利要求1所述网络认证通信方法，其特征在于所述网络设备中的各个射频模块根据所述密钥标识分别与所述MKD建立安全关联包括：

所述MKD根据在该MKD中相关联保存的所述MAC地址与所述网络设备的设备标识查找与该网络设备相应的MKDK；

所述MKD根据查找到的该MKDK与所述射频模块建立安全关联。

9.根据权利要求1-8任一所述网络认证通信方法，其特征在于所述设备标识包括：所述网络设备的用户名、主媒体访问控制层MAC地址标识或所述网络设备中通过初始认证的射频模块的MAC地址标识。

10.一种网状网络系统，其特征在于包括MKD和网络设备，其中，

所述MKD包括：

第一分发模块，用于根据密钥凭证信息及所述网络设备的设备标识，计算并记录二级密钥MKDK和PMK-MKD及相应的密钥标识MKDKName和PMK-MKDName，所述二级密钥及相应的密钥标识与所述网络设备的设备信息相关联、与所 述网络设备中的每个射频模块MAC地址无关；

第二分发模块，用于根据由第一分发模块得到的二级密钥及相应的密钥标识与所述网络设备建立安全关联；

所述网络设备包括：

第一设备模块，用于根据密钥凭证信息及所述网络设备的设备标识，计算并记录二级密钥MKDK和PMK-MKD及相应的密钥标识MKDKName和PMK-MKDName；

多个射频模块，用于根据由第一设备模块得到的二级密钥及相应的密钥标识与所述MKD建立安全关联。