[发明专利]在基于基础结构的无线多跳网络中的安全认证和密钥管理

权利要求书

1.一种在基于基础结构的无线多跳网络中的安全认证和密钥管 理的方法，所述方法包括：

利用认证服务器初始认证申请者，包括确定一个或多个被认证的 申请者角色属性；

由顶级密钥持有者从所述认证服务器获得一个或多个授权属性；

由所述顶级密钥持有者确定所述被认证的申请者角色属性是否是 第一级密钥持有者；

当所述被认证的申请者角色属性是第一级密钥持有者时，利用成 对主密钥PMK_0来启动在所述顶级密钥持有者和所述申请者之间的四 路握手，以得出密钥分发密钥KDK；以及

从所述顶级密钥持有者向第一级密钥持有者认证器传送第一 级成对主密钥PMK_1，

利用所述第一级成对主密钥PMK_1来启动在所述第一级密钥 持有者认证器和所述申请者之间的四路握手，以产生在所述申请者和 所述第一级密钥持有者认证器之间的安全通信，并且

在所述第一级密钥持有者认证器和所述申请者之间的安全链 路上通信。

2.根据权利要求1所述的在基于基础结构的无线多跳网络中的安 全认证和密钥管理的方法，其中，在所述顶级密钥持有者和所述申请 者之间的所述四路握手包括802.11i型四路握手，以得出在所述顶级密 钥持有者和所述申请者之间的KDK；而且其中，进一步地，在所述第 一级密钥持有者认证器和所述申请者之间的所述四路握手包括802.11i 型四路握手，以得出在所述第一级密钥持有者认证器和所述申请者之 间的成对瞬时密钥PTK。

3.根据权利要求1所述的在基于基础结构的无线多跳网络中的安 全认证和密钥管理的方法，其中，所述KDK被得出为：

KDK＝KDF-KDKLen(PMK_0，“KDK密钥得出”， SNonce||ANonce||AA||SPA)

其中：

KDF-256是预定数，

SNonce是由所述申请者产生的随机数，

ANonce是由所述顶级密钥持有者产生的随机数，

所述两个随机数在所述顶级密钥持有者和所述申请者之间的所述 四路握手的前两个消息期间交换，

AA是顶级密钥持有者MAC地址，并且

SPA是申请者MAC地址。

4.根据权利要求1所述的在基于基础结构的无线多跳网络中的安 全认证和密钥管理的方法，其中，所述初始认证步骤包括最后的“认 证成功”消息的通信，而且进一步地，其中，从所述最后的“认证成 功”消息获得所述一个或多个授权属性。

5.根据权利要求1所述的在基于基础结构的无线多跳网络中的安 全认证和密钥管理的方法，所述方法还包括：

由所述申请者启动对另一个第一级密钥持有者的重新认证，其中， 所述另一个第一级密钥持有者已经被认证，并且连接到在同一移动性 域中的顶级密钥持有者，其中，所述重新认证包括：

从所述申请者向所述另一个第一级密钥持有者传送具有快速 切换的消息；

当所述另一个第一级密钥持有者没有保留PMK_1时，所述另 一个第一级密钥持有者从所述顶级密钥持有者请求所述第一级成对主 密钥PMK_1；

从所述顶级密钥持有者向所述另一个第一级密钥持有者传送 所述第一级成对主密钥PMK_1；

在从所述顶级密钥持有者接收PMK_1时，从所述另一个第一 级密钥持有者向所述申请者传送所述PMK_1；

使用所述第一级成对主密钥PMK_1在所述另一个第一级密 钥持有者和所述申请者之间完成快速切换，以产生在所述申请者和所 述另一个第一级密钥持有者之间的安全的通信链路；并且

在所述另一个第一级密钥持有者和所述申请者之间的所述安 全链路上通信。