[发明专利]分布式MESH网络密钥管理方法和无线接入点设备

权利要求书

1.一种分布式网状MESH网络密钥管理方法，其特征在于，包括以下步骤：

MESH网络中的无线接入点MP在与其它MP建立MESH链路时，由作为认证方的MP作为MESH密钥分发者MKD，由该MP和所有以该MP作为认证方的被认证方MP组成一个MKD域，将MESH网络划分成多个MKD域；

每个MKD域的MKD分别为本MKD域中作为被认证方的MP分配MESH成对临时密钥A随机数MPTK-Anonce，属于多个MKD域的MP接收到不同的MPTK-Anonce；

在每个MKD域中，被认证方根据本MKD域的MKD分配的MPTK-Anonce与本MKD域的认证方通过4次握手的方式协商成对临时密钥PTK。

2.如权利要求1所述的方法，其特征在于，所述将MESH网络划分成多个MKD域之后进一步包括：

为每个MKD域配置不同的MKD域身份标识MKDD-ID，所述通过4次握手的方式协商成对临时密钥PTK时，每个MKD域内的认证方和被认证方根据本MKD域的MKDD-ID计算MKD成对主控密钥PMK-MKD。

3.如权利要求1所述的方法，其特征在于，所述将MESH网络划分成多个MKD域之后进一步包括：

为同一MESH网络中的所有MKD域配置相同的MKDD-ID，所述通过4次握手的方式协商成对临时密钥PTK时，每个MKD域内的认证方和被认证方根据认证方的指定参数计算MKD成对主控密钥PMK-MKD。

4.如权利要求3所述的方法，其特征在于，所述认证方的指定参数为认证方的物理MAC地址。

5.如权利要求1至4中任意一项所述的方法，其特征在于，该方法进一步包括：

所述MESH网络中的无线接入点MP在与其它MP建立MESH链路时，作为被认证方的MP在建立每一个初始MESH连接的同时，记录该连接对应的MKD域；

当MP接收到MPTK-Anonce时，根据发送该MPTK-Anonce的认证方MP确定该MPTK-Anonce对应的MKD域；

如果MP接收到两个或两个以上的MPTK-Anonce对应相同的MKD域，则MP断开在该MKD域内自身的所有MESH链路；否则，不断开现有的MESH链路。

6.一种无线接入点MP设备，其特征在于，该MP设备包括：

MKD功能模块，用于为作为被认证方的MP随机分配并发送MPTK-Anonce，计算生成PMK-MKD和MA成对主控密钥PMK-MA并发送给认证方功能模块；

认证方功能模块，根据MKD功能模块发来的PMK-MKD和PMK-MA与作为被认证方的MP通过4次握手的方式协商PTK；

被认证方功能模块，接收作为MKD的MP发来的MPTK-Anonce，根据MPTK-Anonce与作为认证方的MP通过4次握手的方式协商PTK；

控制模块，确定本MP所在的MKD域以及本MP的角色，如果本MP为认证方，将本MP确定为MKD，将本MP和以本MP为认证方的被认证方MP确定为一个MKD域，启动MKD功能模块和认证方功能模块；如果本MP为被认证方，将本MP作为被认证方的认证方MP确定为MKD，并将该MP和以该MP为认证方的被认证方MP确定为一个MKD域，启动被认证方功能模块。

7.如权利要求6所述的MP设备，其特征在于，

所述认证方功能模块或被认证方功能模块为每个MKD域配置不同的MKDD-ID，所述通过4次握手的方式协商PTK时，根据本MKD域的MKDD-ID计算PMK-MKD。

8.如权利要求6所述的MP设备，其特征在于，

所述认证方功能模块或被认证方功能模块为同一MESH网络中的所有MKD域配置相同的MKDD-ID；

所述通过4次握手的方式协商PTK时，如果所述控制模确定本MP为认证方，则所述认证方功能模块提供认证方指定参数并发送给被认证方；如果所述控制模确定本MP为被认证方，则所述被认证方功能模块根据从认证方接收的认证方指定参数计算PMK-MKD。

9.如权利要求8所述的MP设备，其特征在于，所述认证方指定参数为认证方的MAC地址。

10.如权利要求6至9中任意一项所述的MP设备，其特征在于，

所述被认证方功能模块在建立每一个初始MESH连接的同时记录该连接对应的MKD域，每当接收到作为MKD的MP发来的MPTK-Anonce时，根据发送该MPTK-Anonce的认证方MP确定该MPTK-Anonce对应的MKD域，如果接收到两个或两个以上的MPTK-Anonce对应相同的MKD域，则断开在该MKD域内自身的所有MESH链路；否则，不断开现有的MESH链路。