[发明专利]用于导出保护对等链路的密钥的装置和方法

说明书

技术领域

本发明的实施例一般涉及用于建立安全端对端链路的装置和方法。

背景技术

可以用各种体系结构设计来构造通信网络。在设计许多此类通信网络时，安全性是一个整体组成部分。随着通信网络的新设计的发展，应当解决安全性问题。但是，安全性方案的实现包括使所需的内容传输增加延迟和/或复杂度的处理和过程。应当在不使传输中的服务质量降级的情况下，通过通信网络的增强的设计，实现在通信网络中建立安全连接的复杂度或时间的减少。

发明内容

本发明涉及一种方法，包括：

在将链路建立协议的第一消息发送到第二方以在第一方与所述第二方之间建立安全端对端链路之前，在所述第一方生成导出密钥的确认密钥和导出密钥的加密密钥，所述生成是利用所述第一方的标识符和所述第二方的标识符来执行的，所述标识符通过规则集相互相关；以及

在从所述第二方接收到所述链路建立协议的第一消息之后，在所述第一方生成临时密钥。

生成临时密钥包括根据(with respect to)成对主密钥对所述第一随机数字与所述第二随机数字之间的关系以及所述第一方的标识符与所述第二方的标识符之间的关系应用伪随机函数，所述关系呈现为(arranged as)指定的排序，所述伪随机函数对所述指定的排序进行操作。

本发明涉及一种装置，包括：

用于存储会话主验证密钥的存储器高速缓存；

经过验证的身份；

密钥导出函数，所述密钥导出函数的应用基于所述会话主验证密钥中选定的一个会话主验证密钥；以及

用于控制与另一个设备建立安全端对端通信链路的处理电路，所述处理电路包括：

用于控制在将链路建立协议的第一消息发送到所述另一个设备之前生成导出密钥的确认密钥和导出密钥的加密密钥的电路，所述生成基于对所述经过验证的身份和所述另一个设备的经过验证的身份应用所述密钥导出函数，所述经过验证的身份通过规则集相互相关；以及

用于控制在所述链路建立协议中从所述另一个设备接收到第一消息之后生成临时密钥的电路。

本发明涉及一种系统，包括：

用于与另一个系统通信的基本全向天线；

用于存储会话主验证密钥的存储器；

经过验证的身份；

密钥导出函数，所述密钥导出函数的应用基于所述会话主验证密钥中选定的一个会话主验证密钥；

随机数字生成器；

用于控制与所述另一个系统建立安全端对端通信链路的处理电路，所述处理电路包括：

用于控制在将链路建立协议的第一消息发送到所述另一个系统之前生成导出密钥的确认密钥和导出密钥的加密密钥的电路，所述生成基于对所述经过验证的身份和所述另一个系统的经过验证的身份应用所述密钥导出函数，所述经过验证的身份通过规则集相互相关；

用于控制在从所述另一个系统接收到所述链路建立协议的第一消息之后生成临时密钥的电路；和

用于在发送给所述另一个系统的所述第一消息中插入第一随机数字并从自所述另一个系统接收的所述第一消息中提取第二随机数字的电路。

附图说明

附图的各图中举例而非限制性地说明本发明的实施例，其中：

图1示出节点A与节点B之间的端对端通信链路的实施例的表示。

图2示出具有多个网格点的网格网络(mesh network)的实施例的特征，其中两个个别网格点之间的通信是建立在端对端基础上的。

图3示出在网格网络上的两个网格点之间进行对等链路建立协议执行期间导出密钥的方法的实施例的特征的流程图。

图4示出利用根据对本文的实施例的论述的算法导出的密钥层次。

图5示出在对等链路建立协议执行期间的密钥导出过程的实施例。

图6示出根据各个实施例用于在对等链路建立协议执行期间导出密钥的无线通信设备的实施例的框图。

图7示出根据各个实施例用于在对等链路建议协议执行期间导出密钥的系统的实施例的框图。

具体实施方式

以下详细描述参照附图，这些附图通过图解示出可以在其中实现本发明的细节和实施例。对这些实施例的描述足够详细以使本领域的技术人员能够实现本发明的实施例。可以利用其它实施例，并且在不偏离发明主题的情况下，可以做出结构、逻辑和电改变。本文公开的各个实施例不一定是互斥的，一些实施例可以与一个或多个其它实施例组合以形成新的实施例。因此，不应将以下详细描述视为是限制意义。