[发明专利]一种分布式MESH网络中产生密钥的方法和装置

说明书

技术领域

本发明涉及无线网络通信技术，特别涉及一种分布式无线网状(MESH) 网络中产生密钥的方法和装置。

背景技术

根据配置管理方式和安全策略应用方式的不同，无线网状(MESH)网 络可以分为集中式和分布式两种。其中，分布式MESH网络结构如图1所 示，无线网状网络接入点(MP)之间通过MESH链路进行通信，各MP独 立配置，如果要组件同一个MESH网络，则各MP上的MESH标识、MESH 密钥分发域标识(MKD Domain ID)和安全策略等配置必须保持一致。

为了保证无线安全，在通过MESH链路进行数据传输时，需要对数据 进行加密，MESH网络中的密钥管理机制为密钥分发者(MKD)分层密钥 机制，涉及MESH网络中密钥的生成、协商和分发。在这一机制中主要存 在三个角色：MKD、认证方(Authenticator)和被认证方(Supplicant)，一 个MP可能同时作为MKD、认证方和被认证方中的一个或多个角色，其中， 将作为认证方的MP称为MA。

MESH链路安全的密钥如图2所示，分为几个层次，第一层为预共享密 钥(PSK)，MKD和被认证方都持有；第二层为密钥分发者对主密钥 (PMK-MKD)，根据PSK生成，MKD和被认证方都持有；第三层为认证 方对主密钥(PMK-MA)，根据PMK-MKD生成，MKD、认证方和被认证 方都持有；第四层为共享会话密钥(PTK)，根据PMK-MA生成，该PTK 为最终用户数据加密和解密的密钥。对于MP而言，如果同时与多个作为认 证方的MP建立MESH链路，那么对应每一个认证方都生成不同的 PMK-MA；不同的MESH链路具有不同的PTK，且每一MESH链路的PTK 在超过一定时间后还会自动更新，以降低破解密钥的概率。

在分布式MESH网络中，组建同一个MESH网络中的所有MP都位于 同一个MKD域中，同时，每个MP上都同时存在MKD和认证方两种功能， 即同一个MKD域中的MKD功能分布在各MP上，分别完成域内的认证和 密钥管理功能。仍以图1为例，假设MP3为新加入MESH网络的MP，MP3 与MP2建立MESH连接时，MP2为认证方，MP3为被认证方，那么MP2 上的MKD功能生成PMK-MKD和PMK-MA，并为MP3分配随机数 MPK-Anonce；MP2上的认证功能根据PMK-MA和MPK-Anonce等与MP3 通过四次握手过程协商和计算出PTK。另外，MP3与MP5也建立MESH链 路，MP5为认证方，MP3为被认证方，MP5上的MKD功能也会为MP3生 成PMK-MKD和PMK-MA，并为MP3分配随机数MPK-Anonce。由于MP3、 MP2和MP5位于同一个MESH域，因此，MP3生成的PMK-MKD应该相 同，这就要求MP2和MP5为MP3分配的MPK-Anonce相同，如果不同， 则MP3会认为MESH网络出现问题而将当前连接的MESH链路关闭。

然而，同一个MESH域中的MKD分布在各MP上，各MP之间缺乏针 对同一MP产生相同MPK-Anonce的机制，如果采用固定的MPK-Anonce， 例如将MESH网络标识或被认证方的MAC地址作为种子生成 MPK-Anonce，则会大大增加MPK-Anonce泄漏的概率，降低了MESH链路 的安全性。

发明内容

有鉴于此，本发明提供了一种分布式MESH网络中产生密钥的方法和 装置，以便于在各MP上实现针对同一被认证方的MPK-Anonce同步，且提 高MESH链路的安全性。

一种MESH网络中产生密钥的方法，该方法包括：

A、作为被认证方的第一无线网状网络接入点MP接收到作为认证方的第二 MP发送的随机数MPK-Anonce时，判断所述第二MP是否为主密钥分发者 MKD，如果是，执行步骤B，否则执行步骤C；

B、所述第一MP记录接收到的所述MPK-Anonce，并和所述第二MP利用 所述MPK-Anonce协商PTK用于第一MP和第二MP之间的MESH链路数据 传输，结束流程；

C、所述第一MP将已经记录的MPK-Anonce发送给所述第二MP，并和所 述第二MP利用已经记录的MPK-Anonce协商PTK用于第一MP和第二MP之 间的MESH链路数据传输。

一种MP，该MP包括：协商单元、判断单元和记录单元；