[发明专利]用于集成网状网认证和关联的系统和方法

说明书

背景

发明领域

本公开一般涉及邻域知悉网络(NAN)，且更具体而言涉及用于建立两个网 状网对等设备之间的网状网通信的系统、方法以及设备。

相关技术描述

等同方同时认证(SAE)是主要在点到点应用和无基础设施网络中使用的基 于口令的认证。SAE消息可以携带由参与交换的每一设备生成的“一次性数”。 使用所交换的“一次性数”，建立成对主密钥(PMK)。经认证网状网对等交换 协议(AMPE)交换各“一次性数”以促进成对瞬态密钥(PTK)的生成。

802.11s利用上述建立成对主密钥(PMK)的SAE认证与生成PTK的AMPE 协议的组合。出于安全原因，所生成的PTK不被执行AMPE的这两个设备交换。 取而代之的是，这两个设备对同一PTK的拥有是通过交换包含第二消息完好性码 (MIC)的消息来确认的。MIC是基于PTK来生成的。还使用AMPE协议来建立 群密钥。

在802.11s中的网状网对等化中使用SAE和AMPE协议是低效的，因为在建 立网状网对等关系之前，必须在每一对设备之间交换至少八个消息。因而，存在对 更高效的网状网对等化的需求。

发明概要

在802.11s中，现有群密钥管理过程具有相对高的开销且需要对状态信息的大 量维护。例如，每一网状网站确定其自己的传送网状网群密钥。该传送网状网群密 钥随后被用来加密去往网状网或群的任何群寻址的传输。每一网状网站被要求为每 一网状网对等方存储分别的接收网状网群密钥，这使该网状网站能够成功解密从每 一网状网对等方接收到的任何网状网消息。此外，在网状网的配置改变(例如使得 特定网状网对等设备离开该网络)时，每一剩余网状网设备可以丢弃其先前群密钥 并生成新的群密钥。新的群密钥适合可被重新分发给剩余群对等方中的每一者。

所公开的方法和系统提供了轻量网状网认证机制，这消除了上述复杂且繁重 的认证过程。首先，使用所提出的方法和系统，寻求加入社会Wi-Fi网络的非成员 站只被要求与一个网状网成员站进行认证/关联。如果认证/关联成功，则此新网状 网站就完全关联于该网状网网络。通过消除上述现有系统用于网状网通信的因站而 异的群密钥，至少部分地使这一简化办法成为可能。取而代之的是，共用群密钥被 用于与网状网网络相关联的所有设备。这一单个共用群密钥可由每一相关联的设备 用来加密和解密群寻址的网状网网络话务。一些方面还可使用共用群密钥来加密单 播分组——在这样的实现中，网状网话务也可使用群密钥来被加密。

所公开的方法和系统将与802.11ai中使用的快速初始链路设立(FILS)消息 类似的消息应用于社会Wi-Fi环境。新消息还纳入来自等同方同时认证(SAE)消 息的一些特征以只使用四路握手来实现网状网对等认证和关联。上述共用群密钥在 新成员设备经由所提出的四路握手进行成功关联之际与新成员设备共享。在认证/ 关联过程期间，PHY/MAC能力也可由这两个设备来交换。所提出的四路握手还建 立参与交换的每一设备的关联标识符。所提出的四路握手还可被用来建立要由参与 交换的每一设备在与另一方设备通信期间使用的IP地址。例如，所提出的消息中 的一些消息提供一种供参与交换的第一设备提议它优选要用于与该交换的第二设 备进行通信的IP地址的途径。其他消息提供一种用于供第一设备或第二设备在关 联过程完成之际指示另一方设备应当使用哪个IP地址的机制。

所公开的一个方面是一种在网状网网络中进行对等关联的方法。该方法包括：

经由网状网网络的非成员设备接收口令；经由非成员设备向网状网网络的成 员设备传送认证请求，该认证请求基于该口令；经由该非成员设备从成员设备接收 认证响应；基于该认证响应经由该非成员设备向该成员设备传送关联请求，该关联 请求进一步基于该口令；以及经由该非成员设备从该成员设备接收关联响应。