[发明专利]一种网络设备及其认证和密钥管理方法

说明书

技术领域

本发明涉及异构网络融合技术，尤其涉及一种网络设备及其认证和密钥管理方法。

背景技术

目前家庭网络可以通过多种网络技术接入，例如：以太网IEEE 802.3、电力线通信（PLC，Power Line Communication）、同轴电缆（MoCA，Multimedia over Coax Alliance）和无线局域网（WiFi，Wireless Fidelity）技术等等，每种接入技术都对应网络系统模型的物理（PHY）层和媒体接入控制（MAC，Media Access Control）层。这些异构网络技术的融合是实现家庭网络信息共享和无缝连接的基础。

如图1所示，图1是现有技术中异构网络融合的结构示意图。图中的设备1和设备2是具有三种MAC层和PHY层接入技术的家庭网络设备。由于各种网络接入技术使用的通信介质、媒体控制接入方式和传输帧的格式等都不相同，因此对应的网络系统的PHY层和MAC层使用的技术也不一样。从而，当多种网络接入技术在一个设备上实现时，需要一个融合控制模块实现各种MAC层和PHY层技术的协调和调度，以实现无缝的技术融合。每个设备对应一个融合控制模块，每个融合控制模块可以协调和管理至少两种的MAC层和PHY层功能模块。

目前，家庭组网最常用的安全配置是通过用户在网络设备上输入口令密码的方式来实现的，虽然PLC、MoCA和WiFi等MAC层技术里都有支持用户输入口令密码的安全配置方式，但是各种MAC层技术的认证和密钥管理流程对用户输入的口令密码的处理过程是不相同的，这就导致了各种安全管理处理流程互不相通。例如，在图1中的设备1和设备2上同时配置了相同的用户口令密码，如果两个设备仅通过PLC链路连接，那么他们将用户口令密码按照PLC的认证和密钥协商过程进行处理并计算出PLC的链路加密密钥；如果设备1和设备2通过了三种MAC层技术连接，那么这两个设备需要使用用户口令密码分别按照三种MAC层指定的认证和密钥协商过程进行处理，分别得到三种链路的链路加密密钥。也就是说，现有技术中的安全认证和密钥管理过程是对一个网络设备上的各种MAC层接口执行的，而不是对设备本身执行的；由于各种MAC层的认证和密钥管理方法都不相同，因此当网络设备之间通过多种MAC层技术连接时，需要分别按照各MAC层指定的认证和密钥协商过程进行处理，这无疑会造成执行认证过程的计算资源浪费。

发明内容

有鉴于此，本发明的主要目的在于提供一种网络设备及其认证和密钥管理方法，以解决现有技术中各种MAC层的认证和密钥管理方法不相同，造成执行认证过程的计算资源浪费的问题。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供了一种网络设备的认证和密钥管理方法，该方法包括：

网络设备生成网络密钥NK；

所述网络设备与通信对端设备进行认证协议交互，并根据认证协议交互的参数、以及所述NK，计算得到基础会话密钥BSK；

所述网络设备根据所述BSK计算得到各种接入技术的媒体接入控制MAC和物理PHY层所使用的链路加密密钥EK，并将各EK分别提供给对应的MAC和PHY层功能模块。

较佳的，所述网络设备根据获取的口令密钥生成NK、或者所述网络设备通过在无线局域网WiFi中使用安全对码按钮的方式生成NK。

较佳的，在将各EK分别提供给对应的MAC和PHY层功能模块之后，该方法还包括：

所述MAC和PHY层功能模块根据获取的EK，对所述网络设备与通信对端设备通信的数据进行加解密保护。

较佳的，在网络设备根据获取的口令密码生成NK之前，该方法还包括：

所述网络设备和通信对端设备交互设备能力信息，并在确认双方都支持特定的认证和密钥管理功能时，才执行后续的处理操作。

较佳的，所述网络设备根据BSK计算得到各种接入技术的MAC和PHY层所使用的EK，并将各EK分别提供给对应的MAC和PHY层功能模块，包括：

将所述BSK输入到哈希函数实现的密钥推导算法进行计算，并按照各种接入技术的MAC和PHY层所需使用的EK长度，输出对应长度的EK给对应的MAC和PHY层功能模块。

较佳的，所述各种接入技术的MAC和PHY层包括：

电力线通信PLC的MAC和PHY层；

同轴电缆MoCA的MAC和PHY层；

无线局域网WiFi的MAC和PHY层。