[发明专利]网络认证通信方法及网状网络系统

说明书

技术领域

本发明涉及一种网络认证通信方法及网状网络系统，尤其涉及一种可以对无线网状网络中的网络设备进行认证和设备之间建立密钥进行安全通信的方法及能够实现该方法的网状网络系统，属于无线通信技术领域。 

背景技术

网状网络(也称：Mesh网络)是一种新型的无线网络技术，网状网络中的每个节点都可以发送和接收信号，每个节点都可以与一个或者多个对等节点进行直接通信。各网络节点通过相邻的其他网络节点以无线多跳方式相连，可以大大增加无线系统的覆盖范围。 

如图1所示为现有网状网络的网络拓扑结构示意图。其中，网状网络包括四种逻辑网络设备。分别为终端(Station，简称：STA)，网状节点(Mesh Point，简称：MP)，网状接入节点(Mesh Access Point，简称：MAP)和带入口的网状节点(Mesh Point with a Portal，简称：MPP)。为了防止非法设备的接入和通信窃听，构建安全的接入认证和私密通信机制。 

在网状网络中，关于STA和AP之间的接入认证和通信安全802.11i标准已提供了成熟的解决方案，因此网状网络中MAP、MP、MPP之间节点的互相认证和通信安全是网状网络中亟需解决的问题。现有802.11s中无线网状网络安全框架主要思路是将整个无线网状网络的设备按照设备的主要逻辑功能进行划分，如图2所示，为现有无线网状网络的逻辑功能划分结构示意图。其中，MAP可看成在802.11AP(接入点，Access point)的基础之上增加MP逻辑节点的功能；MPP可看成是在portal的基础上增加MP逻辑节点的功能。因此，无线网 状网的安全问题归根于MP逻辑节点之间的互相认证和安全通信。具体地，在无线网状网络中增加一个称为网状密钥分发节点(Mesh Key Distributor，简称：MKD)的逻辑节点，对每一个节点进行认证，并为网状网络中的网状设备提供互相通信的主密钥。 

MKD对网络设备进行认证时的安全机制主要包括密钥层次、初始认证和认证后的安全关联三个部分。图3A所示为现有无线网状网络的网状密钥层次图。其中，MSK表示主会话密钥(Main Session Key)，PSK表示预共享密钥(Pre-Shared Key)，PMK表示成对主密钥(Pairwise Master Key)，MKDK表示网状密钥分发密钥(Mesh Key Distribution Key)，PTK表示成对瞬时密钥(Pairwise Transient Key)，PMK-MKD表示与MKD共享的成对主密钥(Mesh KeyDistributor PMK)，PMK-MA表示与MA共享的PMK(Mesh Authenticator PMK)，和MPTK-KD表示用于密钥分发的临时成对密钥(Mesh PTK for KeyDistribution)。图3B所示为现有MP节点的初始认证的流程图。图3C所示为现有两个MP节点认证后的安全关联流程图。 

现有技术的缺陷在于：现有的上述安全机制在进行认证建立密钥层次时与设备正在请求认证的射频的MAC地址绑定，当MP设备有多个射频时，每个射频有一个独立的媒体接入控制(Media Access Controlling，简称：MAC)地址。此时，上述安全机制会存在如下问题： 

1.网络设备的重复认证问题。 

由于现有对网络设备进行认证的过程是与密钥分配在一起的，通过认证建立密钥层次。但是各密钥层次都是与射频模块的MAC地址绑定的，而在有些情况下，为了增加系统容量，一个网络设备可能挂靠多个射频模块，几个射频模块同时工作在不同信道。如果一个网络设备，如：MP设备、MAP设备、MPP设备等具有多个射频模块，每个射频模块与其他网络设备的射频模块建立安全关联时，都需要通过认证建立各自相应的密钥层次。因此，具有多个射频模块的网络设备基于现有安全机制进行认证时需要重复多次认证。 

2.网络设备与MKD节点进行安全关联时的重复认证问题。 

现有安全机制中，网络设备与MKD节点关联时，MKD通过在与MP设备的握手消息中获得的MAC地址索引MKDK，因此，MKDK的索引也是与网络设备中的每个射频模块一一对应的。如果网络设备有多个射频模块，则需要为每个射频与MKD节点之间的安全关联进行重新认证并建立不同的MKDK。因此，对于多射频的设备在与MKD进行安全关联时也需要重复多次认证。