Способ и устройство для установления ассоциаций безопасности между узлами беспроводной самоорганизующейся одноранговой (ad-hoc) сети

Способ и устройство для установления ассоциаций безопасности между узлами беспроводной самоорганизующейся одноранговой (ad-hoc) сети

Иллюстрации

Показать все

Реферат

Область техники

Настоящее изобретение относится к беспроводной связи и, в частности, к установлению ассоциаций безопасности между узлами в беспроводной самоорганизующейся одноранговой (ad-hoc) сети.

Уровень техники

Инфраструктурная беспроводная сеть, как правило, включает в себя сеть связи со стационарными, проводными шлюзами. Во многих инфраструктурных беспроводных сетях используется мобильный узел или хост, который осуществляет связь со стационарной базовой станцией, подключенной к проводной сети. Мобильный узел может географически перемещаться и вместе с тем осуществлять связь через беспроводную линию связи с базовой станцией. Когда мобильный узел выходит из зоны покрытия одной базовой станции, он может присоединиться или выполнить "хэндовер" (переключение обслуживания) к новой базовой станции, после чего он осуществляет связь с проводной сетью через новую базовую станцию.

В отличие от инфраструктурных беспроводных сетей, таких как сотовые сети или спутниковые сети, ad-hoc-сети являются самоформирующимися сетями, которые могут функционировать при отсутствии какой-либо стационарной инфраструктуры, и в некоторых случаях ad-hoc-сеть формируется только из мобильных узлов. Ad-hoc-сеть, как правило, включает в себя некоторое количество географически распределенных потенциально мобильных узлов, на которые иногда ссылаются как на "узлы", которые беспроводным образом соединены друг с другом посредством одной или более линий связи (например, радиочастотных каналов связи). Узлы могут осуществлять связь друг с другом через беспроводную среду передачи без поддержки инфраструктурной или проводной сети.

По мере распространения беспроводных сетей связи безопасность становится главным вопросом как для поставщиков услуг связи, так и для конечных пользователей. Это особенно проявляется, когда используется мобильная беспроводная сеть, где прием и манипуляция данными может быть выполнена множеством узлов. Радиолинии связи, используемые в беспроводной сети, раскрывают проходящую по сети сигнализацию и данные прослушивающим объектам и/или потенциальным хакерам. В многосегментных беспроводных сетях для каждой линии связи в связанных устройствах требуется установление уникальной ассоциации безопасности путем процесса многосегментной аутентификации и управления ключом. Тогда радиокадры на этой линии могут быть защищены посредством установленных ассоциаций безопасности.

Согласно современным решениям в области безопасности, как правило, между сервером аутентификации и присоединяющимся к сети узлом устанавливается ассоциация безопасности. К сожалению, для завершения аутентификации на сервере аутентификации узлу может потребоваться десять секунд. Доступны способы, согласно которым, например, когда мобильная станция ассоциируется с точкой доступа, станция может использовать материал ключа, который она устанавливает во время первого контакта с сетью, чтобы в будущем ускорить выполнение повторных соединений с другими точками доступа в данной сети. Например, одно решение, предлагаемое для стандарта IEEE 802.11r, включает в себя этап первого контакта с полной аутентификацией на онлайновом сервере аутентификации и базовый механизм, который повторно использует материал ключа, установленный во время первого контакта, чтобы ускорить процесс защищенного рукопожатия. При полной аутентификации устанавливается иерархия ключей для использования при последующем установлении линии связи, благодаря чему поддерживается быстрый переход станции между точками доступа.

Когда узел ячейки присоединяется к ячеистой сети и устанавливает защищенную линию связи с одним из его соседей по ячейке, было бы полезным предоставить быстрый механизм безопасности, обеспечивающий возможность более быстрого установления защищенных линий связи между узлом ячейки и множеством соседних узлов ячейки, которые также являются членами этой ячейки.

Краткое описание чертежей

Прилагаемые чертежи, где одинаковые ссылочные номера обозначают идентичные или функционально схожие элементы во всех отдельных видах и которые объединены с нижеизложенным подробным описанием и формируют часть спецификации, служат для дополнительной иллюстрации различных вариантов осуществления и для разъяснения различных принципов и преимуществ согласно настоящему изобретению. На фигурах:

Фиг.1 - иллюстрация примера беспроводной ad-hoc-сети согласно некоторым вариантам осуществления настоящего изобретения;

Фиг.2 - иллюстрация иерархии ключей ячейки для реализации некоторых вариантов осуществления настоящего изобретения в сети с Фиг.1;

Фиг.3 - иллюстрация различных служб, предоставляемых аутентификатором ячейки запрашивающей точке ячейки внутри сети с Фиг.1 согласно некоторым вариантам осуществления настоящего изобретения;

Фиг.4A - иллюстрация формата сообщения для кадров маяка и ответа проверки в сети с Фиг.1 согласно некоторым вариантам осуществления настоящего изобретения;

Фиг.4B - структурная схема, иллюстрирующая пример структуры поля информационного элемента Области Безопасности Ячейки по формату сообщения с Фиг.4A согласно некоторым вариантам осуществления настоящего изобретения;

Фиг.5 - иллюстрация наборов аутентификации и управления ключами, определенных в части формата сообщения с Фиг.4A согласно некоторым вариантам осуществления настоящего изобретения;

Фиг.6 - схема последовательности обмена сообщениями, иллюстрирующая примеры взаимодействий между элементами сети с Фиг.1 согласно некоторым вариантам осуществления настоящего изобретения;

Фиг.7A - иллюстрация дополнительных деталей примеров взаимодействий с Фиг.6 согласно некоторым вариантам осуществления настоящего изобретения;

Фиг.7B - структурная схема, иллюстрирующая пример структуры поля информационного элемента Ассоциации Эффективной Безопасности Ячейки для использования в примерах взаимодействий с Фиг.6 и 7A согласно некоторым вариантам осуществления настоящего изобретения;

Фиг.8 - схема последовательности операций аутентификатора ячейки, действующего внутри сети с Фиг.1, согласно некоторым вариантам осуществления настоящего изобретения;

Фиг.9 - схема последовательности обмена сообщениями, иллюстрирующая примеры взаимодействий между элементами сети с Фиг.1 согласно некоторым вариантам осуществления настоящего изобретения;

Фиг.10 - иллюстрация дополнительных подробностей схемы последовательности обмена сообщениями с Фиг.9 согласно некоторым вариантам осуществления настоящего изобретения;

Фиг.11- схема последовательности операций аутентификатора ячейки, действующего внутри сети с Фиг.1, согласно некоторым вариантам осуществления настоящего изобретения.

Специалистам в данной области техники будет очевидно, что элементы на чертежах проиллюстрированы для простоты и ясности, и необязательно, чтобы они были вычерчены в масштабе. Например, размеры некоторых элементов на фигурах могут быть увеличены относительно других элементов, чтобы облегчить понимание вариантов осуществления настоящего изобретения.

Подробное описание

До изложения подробного описания вариантов осуществления настоящего изобретения следует отметить, что варианты осуществления представляют собой, главным образом, комбинации этапов способа и компонентов устройства, связанные с установлением ассоциации безопасности между узлами беспроводной самоорганизующейся одноранговой (ad-hoc) сети. Соответственно, компоненты устройства и этапы способа представлены, где это уместно, традиционными символами, иллюстрируя только те особые подробности, которые относятся к описанию вариантов осуществления настоящего изобретения, так чтобы не загружать раскрытие подробностями, которые будут очевидны специалистам в данной области техники.

В данном документе относительные термины, такие как первый и второй, верхний и нижний и т.п., могут использоваться исключительно для того, чтобы отличать один объект или действие от другого объекта или действия, и необязательно, чтобы требовалось или подразумевалось действительное такое относительное расположение или порядок между такими объектами или действиями. Термины "содержит", "содержащий" или какие-либо их вариации предназначены для охвата неисключительного включения, так что процесс, способ, изделие или устройство, которое содержит перечень элементов, включает в себя не только эти элементы, но он может также включать в себя другие элементы, которые не перечислены в явной форме или которые присущи такому процессу, способу, изделию или устройству. Элемент, перед которым стоит термин "содержит...", при отсутствии дополнительных ограничений не исключает существования дополнительных идентичных элементов в процессе, способе, изделии или устройстве, которое содержит данный элемент.

Очевидно, что описанные здесь варианты осуществления могут состоять из одного или более обычных процессоров и уникальных сохраненных программных инструкций, которые управляют одним или более процессорами, чтобы в сочетании с определенными, непроцессорными схемами, осуществлять некоторые, большинство или все функции описанного здесь установления ассоциации безопасности между узлами беспроводной ad-hoc-сети. Непроцессорные схемы могут включать в себя, но не ограничиваются перечисленным, радиоприемник, радиопередатчик, формирователь сигналов, схемы генерации опорных импульсов, схемы электропитания и устройства пользовательского ввода. По существу, подобные функции могут интерпретироваться как этапы способа для установления ассоциаций безопасности между узлами беспроводной ad-hoc-сети. Альтернативно, некоторые или все функции могут быть реализованы посредством конечного автомата, который не содержит сохраненных программных инструкций, или в одной или более специализированных интегральных схем, в которых каждая функция или некоторые комбинации определенных функций реализуются как специализированные логические схемы. Само собой разумеется, что может использоваться сочетание этих двух подходов. Так, здесь описаны способы и средства для этих функций. Кроме того, предполагается, что несмотря на возможные значительные усилия и множество выборов конструкций, обусловленных, например, доступным временем, текущим уровнем технологии и экономическими соображениями, руководствуясь раскрытыми здесь концепциями и принципами, специалисты в данной области техники с легкостью смогут генерировать программные инструкции и программы и интегральные схемы с минимальным объемом экспериментирования.

Эффективное решение безопасности для ячеистой сети зависит от двух способностей - способности запрашивающей точки ячейки создавать ассоциацию безопасности с ячеистой сетью и способности этой точки повторно использовать материал ключа, сгенерированный во время первого контакта, чтобы эффективно устанавливать дополнительные линии связи с ячейкой. Вторая особенность позволяет избежать проблемы сложной реализации, то есть проблемы установления маршрута, которая может иметь место, если каждая ассоциация между членами ячеистой сети требует такого же количества времени, что и при первом контакте, а это может составлять больше нескольких секунд.

Поскольку количество узлов, которые могут лежать в окружении запрашивающей точки ячейки, может быть большим и поскольку ассоциация безопасности требуется до того, как узел сможет передать маршрутное сообщение своему соседу, необходимо, чтобы в каждом аутентификаторе присутствовал механизм, обеспечивающий возможность связи с распределителем ключей ячейки, чтобы получать производные ключи на основании материала ключа, созданного запрашивающей точкой ячейки при первом контакте, и обеспечивающий возможность аутентификатору ячейки предоставлять запрашивающей точке ячейки информацию, которая необходима ей для идентификации этого материала ключа, и запрашивать использование этой информации для завершения эффективного обмена ассоциации безопасности.

Настоящее изобретение включает в себя механизм аутентификатора ячейки, поддерживающий эффективное установление ассоциаций безопасности. Этот механизм может функционировать либо в роли запрашивающей точки ячейки, либо в роли аутентификатора ячейки в зависимости от способностей и предпочтений его соседей, и при работе в режиме аутентификатора ячейки данный механизм может передавать сообщения аутентификации и запрашивать передачу ключа из распределителя ключей ячейки. Согласно настоящему изобретению аутентификатор ячейки рассылает информацию, позволяющую запрашивающим точкам ячейки присоединяться к ячейке и устанавливать ассоциации безопасности с аутентификатором ячейки и с распределителем ключей ячейки. Он также сохраняет ключи из иерархии доставки ключей, что позволяет ему запрашивать и разворачивать ключи, использованные для установления ассоциаций безопасности с соседями запрашивающей точки ячейки. В заключение, аутентификатор поддерживает передачу сообщений аутентификации по Расширяемому Протоколу Аутентификации (Extensible Authentication Protocol, EAP) от запрашивающих точек ячейки в распределитель ключей, а также доставку материала ключа от распределителя ключей ячейки.

Аутентификатор ячейки согласно настоящему изобретению сохраняет два набора производных ключей - один для передачи ключа между ним и распределителем ключей и второй набор для связи с одноранговыми узлами. Эти наборы производных ключей создаются из одного главного ключа, созданного, когда аутентификатор ячейки выполнил аутентификацию-EAP на сервере Аутентификации, Авторизации и Учета (Authentication, Authorization and Accounting, AAA). Благодаря этому предлагается эффективный способ для предоставления аутентификатора ячейки без необходимости отдельной, явной аутентификации для роли аутентификатора ячейки. Аутентификатор рассылает информацию, использованную запрашивающими точками ячейки для выбора аутентификатора точки ячейки в области безопасности ячейки, что позволяет использовать иерархию ключей, которую он создал во время первого контакта. Он также осуществляет связь с распределителем ключей, используя протоколы второго уровня и предопределенные кадры данных. Способность аутентификатора ячейки использовать протоколы второго уровня для связи с распределителем ключей ячейки позволяет протоколам безопасности реализовывать эффективные ассоциации безопасности ячейки.

В настоящем изобретении службы Ассоциаций Эффективной Безопасности Ячейки (Efficient Mesh Security Association, EMSA) используются для обеспечения возможности установления безопасности линии связи между двумя точками ячейки в беспроводной ячеистой сети. Службы EMSA предоставляются путем использования иерархии ключей ячейки, иерархии производных ключей, которая устанавливается путем использования Общего Ключа (Pre-Shared Key, PSK) или когда точка ячейки выполняет аутентификацию (например, аутентификацию IEEE 802.1X) на AAA-сервере.

Работа EMSA основывается на держателях ключей ячейки, которые, как правило, реализовываются в точках ячейки внутри беспроводной ячеистой сети. Определено два типа держателей ключей ячейки: Аутентификаторы Ячейки (Mesh Authenticator, MA) и Распределители Ключей Ячейки (Mesh Key Distributors, MKD). В некоторых вариантах осуществления настоящего изобретения распределитель ключей ячейки (MKD) для множества аутентификаторов ячейки в области безопасности ячейки может быть реализован в центральном контроллере, который находится в проводной сети и который доступен для множества аутентификаторов ячейки через множество точек ячейки, предоставляющих службы портала ячейки.

EMSA предоставляет информацию, которая должна обмениваться во время начальной ассоциации точки ячейки с аутентификатором ячейки. На это ссылаются как на "Начальную аутентификацию EMSA". Последующие ассоциации с другими аутентификаторами ячейки внутри одной и той же области безопасности ячейки (и одной и той же ячейке беспроводной локальной сети, идентифицируемой Идентификатором Ячейки (ID)) могут использовать Механизм Сокращенного Рукопожатия EMSA (Abbreviated EMSA Handshake).

EMSA также предоставляет механизмы для защищенной связи между держателями ключей ячейки.

Фиг.1 представляет собой иллюстрацию примера ad-hoc-сети 100 согласно некоторым вариантам осуществления настоящего изобретения. Беспроводная ad-hoc-сеть 100, например, может представлять собой сеть с архитектурой, позволяющей реализовывать ячейки, или сеть стандарта 802.11 (то есть 802.11a, 802.11b, 802.11g или 802.11s). Специалистам в данной области техники будет очевидно, что сеть 100 связи согласно настоящему изобретению может, альтернативно, содержать сеть пакетной передачи данных, где пакеты передаются по множеству беспроводных сегментов. Например, беспроводная ad-hoc-сеть 100 может представлять собой сеть, в которой используются протоколы пакетной передачи данных, такие как Множественный Доступ с Ортогональным Разделением Частот (Orthogonal Frequency Division Multiple Access, OFDMA), Множественный Доступ с Временным Разделением (Time Division Multiple Access, TDMA), Общая Служба Пакетной Радиопередачи (General Packet Radio Service, GPRS) и Усовершенствованная GPRS (Enhanced GPRS, EGPRS). В добавление, каждый беспроводной сегмент сети 100 пакетной передачи может либо использовать тот же протокол пакетной передачи данных, что и на других сегментах, либо использовать уникальный протокол пакетной передачи данных на каждом сегменте.

Как проиллюстрировано на Фиг.1, беспроводная ad-hoc-сеть 100 включает в себя сервер 105 аутентификации. Сервер 105 аутентификации, который подробно описан ниже, функционирует, чтобы предоставлять службы аутентификации различным узлам внутри беспроводной ad-hoc-сети 100. В целом, сервер 105 аутентификации выполняет функцию аутентификации, необходимую для проверки мандата запрашивающего узла от лица аутентификатора, и указывает, авторизован ли запрашивающий узел для доступа к службам сети. В одном варианте осуществления настоящего изобретения сервер 105 аутентификации расположен в секции проводной сети, где может быть обеспечена физическая безопасность хоста. Например, сервер 105 аутентификации может представлять собой сервер Службы Дистанционной Аутентификации Пользователей по Коммутируемым Линиям (Remote Authentications Dial-In User Service, RADIUS) с возможностью Расширяемого Протокола Аутентификации - Туннелированного Протокола Безопасности Транспортного Уровня/Расширяемого Протокола Аутентификации - Протокола Транспортного Уровня (EAP-TTLS/EAP-TLS)

для централизованной аутентификации.

К серверу 105 аутентификации подключен с возможностью осуществления связи распределитель 110 ключей ячейки. Распределитель 110 ключей ячейки выводит и распределяет ключи одному или более аутентификаторам 115-n ячейки. Распределитель 110 ключей ячейки, сверх того, реализует AAA-клиент и обменивается сообщениями безопасности с сервером 105 авторизации.

К распределителю 110 ключей ячейки подключен с возможностью осуществления связи, по меньшей мере, один аутентификатор 115-n ячейки. Несмотря на то что в беспроводной ad-hoc-сети 100 с Фиг.1 проиллюстрированы только два аутентификатора 115-1, 115-2 ячейки, согласно настоящему изобретению может использоваться любое количество аутентификаторов ячейки. Аутентификатор 115-n ячейки: (a) объявляет службы, позволяющие запрашивающим точкам (то есть запрашивающей точке 120 ячейки) присоединяться к сети; (b) предоставляет службы передачи сообщения EAP-аутентификации; (c) запрашивает или получает производные ключи от распределителя 110 ключей ячейки, предоставляя возможность запрашивающей точке 120 ячейки присоединиться к ad-hoc-сети 100 или установить новые ассоциации безопасности, и (d) производит Парный Временный Ключ (Pairwise Transient Key, PTK), чтобы защитить линию связи с запрашивающей точкой 120. Аутентификатор 115-n ячейки получает материал ключа, использованный, чтобы установить ассоциацию безопасности, из распределителя 110 ключей ячейки.

Как подробно описано ниже, при реализации в сети, такой как беспроводная ad-hoc-сеть 100 с Фиг.1, настоящее изобретение предоставляет два типа аутентификации: начальный этап первого контакта, на который ссылаются как на Начальную EMSA-Аутентификацию (аутентификацию на основе AAA); и "облегченный" этап, на который ссылаются как на Сокращенное Рукопожатие EMSA, при котором повторно используется материал ключа, сгенерированный во время первого контакта.

В некоторых вариантах осуществления настоящего изобретения держатели ключей ячейки, то есть аутентификаторы ячейки и распределители ключей ячейки, управляют иерархией ключей ячейки путем выполнения выработки ключей и защищенного распределения ключей. Область безопасности ячейки определяется присутствием одного распределителя 110 ключей ячейки, который в некоторых вариантах осуществления настоящего изобретения реализуется как точка ячейки в ячейке. Как упоминалось выше, в области безопасности ячейки могут существовать несколько аутентификаторов 115-n ячейки, каждый из которых реализован в точке ячейки, причем каждый аутентификатор 115-n ячейки поддерживает как маршрут, так и ассоциацию безопасности с распределителем 110 ключей ячейки.

Распределитель 110 ключей ячейки выводит ключи, чтобы создать иерархию ключей, и распределяет производные ключи аутентификаторам 115-n ячейки. В некоторых вариантах осуществления настоящего изобретения устройство, реализующее объект распределителя ключей ячейки, также реализует объект аутентификатора ячейки. Аутентификатор 115-n ячейки участвует в обменах EMSA, инициируемых запрашивающей точкой 120 ячейки (включая Начальную Аутентификацию EMSA и Сокращенное Рукопожатие EMSA). Аутентификатор 115-n ячейки принимает производные ключи от распределителя 110 ключей ячейки и выводит дополнительные ключи для использования при защите линии связи с запрашивающей точкой 120 ячейки.

Фиг.2 представляет собой иллюстрацию иерархии 200 ключей ячейки для реализации некоторых вариантов осуществления настоящего изобретения. Данная иерархия ключей ячейки позволяет точке ячейки создавать ассоциации безопасности с одноранговыми точками ячейки без необходимости каждый раз выполнять аутентификацию IEEE 802.1X. Иерархия ключей ячейки может использоваться либо вместе с аутентификацией IEEE 802.1X, либо вместе с Парным Ключом Сессии (Pairwise Session Key, PSK). Для целей настоящего примера предполагается, что PSK специфичен для одной точки ячейки и одного распределителя ключей ячейки.

Иерархия ключей согласно настоящему изобретению состоит из двух ветвей для использования в ячейке. Ветвь 240 безопасности линии состоит из трех уровней, поддерживающих распределение ключей между держателями ключей ячейки, чтобы обеспечивать возможность выполнения Сокращенного Рукопожатия EMSA между запрашивающей точкой ячейки и аутентификатором ячейки. Ветвь 245 распределения ключа предоставляет ключи, чтобы защитить передачу и управление ключами между держателями ключей ячейки.

Как проиллюстрировано на Фиг.2, Главный Ключ Сессии (Master Session Key, MSK) 205 создается для каждой запрашивающей точки, когда она присоединяется к ячейке. Главный Ключ 205 Сессии представляет собой материал ключа, который генерируется во время аутентификации точки ячейки по протоколу EAP и доставляется в распределитель 110 ключей ячейки (например, с помощью службы RADIUS). XXKey 210 является частью Главного Ключа 205 Сессии. XXKey 210 представляет собой либо Парный Ключ Сессии (Pairwise Session Key, PSK), либо вторые 256 битов Главного Ключа Сессии (Master Session Key, MSK).

Распределитель 110 ключей ячейки генерирует ключ первого уровня для обеих ветвей либо из PSK, либо из MSK, получающихся в результате успешной аутентификации IEEE 802.1X между сервером 105 аутентификации и запрашивающей точкой 120 ячейки. Например, как проиллюстрировано, первый производный ключ - Парный Главный Ключ Распределителя Ключей Ячейки (PMK-MKD) 215 выводится как функция от MSK или PSK и идентификатора ячейки. Он сохраняется запрашивающей точкой 120 ячейки и держателем ключа PMK-MKD, то есть MKD 110. Этот ключ совместно выводится запрашивающей точкой 120 ячейки и распределителем 110 ключей ячейки. Между запрашивающей точкой 120 ячейки и областью безопасности ячейки выводится только один ключ PMK-MKD 215.

Распределитель 110 ключей ячейки использует функцию вывода ключей (Key Derivation Function, KDF), чтобы генерировать ключи в иерархии ключей. Функция вывода ключей представляет собой функцию, которая принимает в качестве ввода секретный ключ (известный как главный ключ) и несекретную информацию, и выводит новый секретный ключ, известный как производный ключ. Функция вывода ключа является необратимой, так что знание производного ключа и несекретной информации не предоставляет какой-либо информации о главном ключе.

Ключ высшего уровня ветви 240 безопасности линии в иерархии ключей ячейки, то есть PMK-MKD 215, связывает MAC-адрес запрашивающей точки, идентификатор области безопасности ячейки и идентификатор ячейки с материалом ключа, получающимся в результате аутентификации и управления ключом. PMK-MKD 215 выводится следующим образом:

PMK-MKD=KDF-256(XXKey, "Вывод Ключа MKD", MeshIDlength||MeshID||MSD-ID||0x00||SPA),

где

• KDF-256 представляет собой функцию KDF, используемую для генерации ключа длиной 256 битов.

• XXKey представляет собой либо вторые 256 битов MSK, либо PSK.

• "Вывод ключа MKD" представляет собой 0x4D4B44204B65792044657269766174696F6E.

• MeshIDLength представляет собой октет, значение которого равно количеству октетов в идентификаторе ячейки.

• Mesh ID представляет собой идентификатор ячейки - последовательность из октетов переменной длины, присутствующую в Маяках и Ответах Проверки.

• MSD-ID представляет собой поле идентификатора области безопасности ячейки длиной 48 октетов из информационного элемента Области Безопасности Ячейки, который был использован во время Начальной Аутентификации EMSA.

• SPA представляет собой MAC-адрес запрашивающей точки ячейки.

Имя PMK-MKD образуется следующим образом:

PMK-MKDName=Truncate-128(SHA-256("Имя Ключа MKD" || MeshIDlength||MeshID||MSD-ID||0x00||SPA||ANonce)),

где

• "Имя Ключа MKD" представляет собой 0x4D4B44204B6579204E616D65.

• ANonce представляет собой непрогнозируемую случайную величину, генерируемую держателем PMK-MKD (MKD), которая доставляется вместе с PMK-MA аутентификатору ячейки и предоставляется аутентификатором ячейки запрашивающей точке ячейки во время Начальной Аутентификации EMSA.

• Truncate-128(-) возвращает первые 128 битов своего аргумента и надежно устраняет остальную часть.

MKD 110 также генерирует второй производный ключ: Парный Главный Ключ - Аутентификатор Ячейки (PMK-MA) 220-n, чтобы обеспечить возможность быстрой ассоциации безопасности. При необходимости, MKD 110 выводит уникальный PMK-MA 220-n для каждого аутентификатора 115-n ячейки. PMK-MA 220-n распространяется соответствующему аутентификатору 115-n ячейки. Например, как проиллюстрировано на Фиг.2, PMK-MA 220-1 распространяется аутентификатору 115-1 ячейки. PMK-MA 220-n совместно выводится запрашивающей точкой 120 ячейки и распределителем 110 ключей ячейки. Этот ключ доставляется распределителем 110 ключей ячейки в аутентификатор 115-n ячейки, чтобы разрешить завершение рукопожатия ячейки между запрашивающей точкой 120 ячейки и аутентификатором 115-n ячейки.

Ключ второго уровня ветви 240 безопасности линии в иерархии ключей ячейки, то есть PMK-MA 220-n представляет собой 256-битный ключ, используемый для вывода PTK 225. PMK-MA 220-n связывает SPA, MKD и аутентификатор ячейки и выводится следующим образом:

PMK-MA=KDF-256(PMK-MKD, "Вывод Ключа Аутентификатора Ячейки", PMK-MKDName||MA-ID||0x00||SPA),

где

• KDF-256 представляет собой функцию KDF, используемую для генерации ключа длиной 256 битов.

• "Вывод Ключа Аутентификатора Ячейки" представляет собой 0x4D41204B65792044657269766174696F6E.

• MA-ID представляет собой идентификатор держателя PMK-MA (Аутентификатора Ячейки).

• SPA представляет собой MAC-адрес запрашивающей точки ячейки.

Имя PMK-MA образуется следующим образом:

PMK-MAName=Truncate-128(SHA-256("Имя Ключа Аутентификатора Ячейки"||PMK-MKDName||MA-ID||0x00||SPA)),

где "Имя Ключа Аутентификатора Ячейки" представляет собой 0x4D41204B6579204E616D65.

Временный ключ, то есть Парный Временный Ключ (Pairwise Transient Key, PTK) 225 совместно выводится из PMK-MA 220-n аутентификатором 115-n ячейки и запрашивающей точкой 120 ячейки. PTK 225 представляет собой третий уровень ветви безопасности линии связи, который определяет ключи защиты IEEE 802.11 и IEEE 802.1X. PTK 225 совместно выводится запрашивающей точкой 120 ячейки и держателем ключа PMK-MA, то есть аутентификатором 115-n ячейки.

Ключ третьего уровня ветви 240 безопасности линии в иерархии ключей ячейки представляет собой PTK 225. Этот ключ совместно выводится запрашивающей точкой ячейки и аутентификатором ячейки, причем длина ключа является функцией от согласованных шифровальных пакетов.

Вывод PTK имеет следующий вид:

PTK=KDF-PTKLen(PMK-MA, "Вывод Ключа PTK Ячейки", SNonce||ANonce||SPA||MAA||PMK-MAName),

где

• KDF-PTKLen представляет собой KDF, используемый для генерации PTK с длиной PTKLen.

• PMK-MA представляет собой ключ, который является общим для запрашивающей точки ячейки и аутентификатора ячейки.

• "Вывод Ключа PTK Ячейки" представляет собой 0x4D6573682050544B204B65792064657269766174696F6E.

• SNonce представляет собой 256-битную случайную битовую строку, формируемую запрашивающей точкой ячейки.

• ANonce представляет собой 256-битную случайную битную строку, формируемую распределителем ключей ячейки или аутентификатором ячейки.

• SPA представляет собой MAC-адрес запрашивающей точки ячейки.

• MAA представляет собой MAC-адрес аутентификатора ячейки.

• PMK-MAName выводится, как описано выше.

• PTKlen представляет собой общее количество выводимых битов, например количество битов ключа PTK. Длина в этом случае зависит от согласованных шифровальных наборов.

Каждый PTK содержит три ассоциированных ключа: Ключ Подтверждения Ключа (Key Confirmation Key, KCK), Ключ Шифрования Ключа (Key Encryption Key, KEK) и Временный Ключ (Temporal Key, TK).

Имя PTK образуется следующим образом:

PTKName=Truncate-128(SHA-256(PMK-MAName||"Имя PTK Ячейки"||SNonce||ANonce||MAA||SPA)),

где "Имя PTK Ячейки" представляет собой 0x4D6573682050544B204E616D65.

Вторая ветвь, то есть ветвь 245 распределения ключей, состоит из двух уровней, и в данном случае результатом является PTK-KD 235 для использования при предоставлении возможности превращения точки ячейки в аутентификатор ячейки и при защите связей между аутентификатором ячейки и распределителем ключей ячейки. Ключ Распределения Ключа (Key Distribution Key, KDK) 230 представляет собой первый уровень ветви 245 распределения ключей. Этот ключ выводится как функция от MSK или PSK и идентификатора ячейки и сохраняется запрашивающей точкой 120 ячейки и распределителем 110 ключей ячейки. Этот ключ совместно выводится запрашивающей точкой 120 ячейки и распределителем 110 ключей ячейки. Между запрашивающей точкой 120 ячейки и областью безопасности ячейки выводится только один ключ KDK 230.

Ключ первого уровня ветви 245 распределения ключей, то есть KDK 230 связывает MA-ID (MAC-адрес точки ячейки, устанавливающей KDK, чтобы стать аутентификатором ячейки), идентификатор области безопасности ячейки и идентификатор ячейки с материалом ключа, получающимся в результате AKM. KDK используется для вывода PTK-KD.

KDK выводится следующим образом:

KDK=KDF-256(XXKey, "Ключ Распределения Ключей Ячейки", MeshIDLength||MeshID||MSD-ID||0x00||MA-ID),

где

• KDF-256 представляет собой функцию KDF, используемую для генерации ключа длиной 256 битов.

• XXKey представляет собой либо вторые 256 битов MSK, либо PSK.

• "Ключ Распределения Ключей Ячейки" представляет собой 0x4D657368204B657920446973747269627574696F6E204B6579.

• MeshIDLength представляет собой октет, значение которого равно количеству октетов в идентификаторе ячейки.

• Mesh ID представляет собой идентификатор ячейки - последовательность из октетов переменной длины, присутствующую в Маяках и Ответах Проверки.

• MSD-ID представляет собой поле идентификатора области безопасности ячейки длиной 48 октетов из информационного элемента Области Безопасности Ячейки, который был использован во время Начальной Аутентификации EMSA.

• MA-ID представляет собой MAC-адрес точки ячейки, выводящей KDK для использования при защите связи с распределителем ключей ячейки (MKD).

Имя KDK образуется следующим образом:

KDKName=Truncate-128(SHA-256("Имя KDK"||MeshIDLength||MeshID|]MSD-ID||0x00||MA-ID)),

где

• "Имя KDK" представляет собой 0x4B444B204E616D65.

• Truncate-128(-) возвращает первые 128 битов своего аргумента и надежно устраняет остальную часть.

Парный временный ключ - распределение ключей (PTK-KD) 235 представляет собой второй уровень ветви распределения ключей, который определяет ключи защиты для связи между аутентификатором 115-n ячейки и распределителем 110 ключей ячейки. PTK-KD 235 совместно выводится запрашивающей точкой ячейки (когда она становится аутентификатором 115-n ячейки) и распределителем 110 ключей ячейки.

Ключ второго уровня ветви 245 распределения ключей, то есть PTK-KD 235, представляет собой 256-битный ключ, который совместно выводится аутентификатором ячейки и распределителем ключей ячейки. PTK-KD 215 выводится следующим образом:

PTK-KD=KDF-256(KDK, "Ключ PTK-KD Ячейки", MA-Nonce||MKD-Nonce||MA-ID||MKD-ID),

где

• KDK представляет собой ключ, определенный, как описано выше.

• "Ключ PTK-KD Ячейки" представляет собой 0x4D6573682050544B2D4B44204B6579.

• MA-Nonce представляет собой 256-битную случайную строку, формируемую аутентификатором ячейки.

• MKD-Nonce представляет собой 256-битную случайную строку, формируемую распределителем ключей ячейки.

• MA-ID представляет собой MAC-адрес аутентификатора ячейки.

• MKD-ID представляет собой MAC-адрес распределителя ключей ячейки.

PTK-KD имеет два связанных ключа: Ключ подтверждения ключа- распределение ключа (KCK-KD) и Ключ шифрования ключа- распределение ключа (KEK-KD), которые вырабатываются следующим образом:

KCK-KD вычисляется как первые 128 битов (биты с 0 по 127) PTK-KD:

KCK-KD=L(PTK-KD, 0, 128),

где L(-) определен в 8.5.1.

KCK-KD используется для предоставления аутентичности источника данных в сообщениях, обмениваемых между аутентификатором ячейки и распределителем ключей ячейки.

KEK-KD вычисляется как биты 128-255 PTK-KD:

KCK-KD=L(PTK-KD, 128, 128)

KEK-KD используется для обеспечения конфиденциальности данных в сообщениях, обмениваемых между аутентификатором ячейки и распределителем ключей ячейки.

PTK-KD образуется следующим образом:

PTK-KDName=Truncate-128(SHA-256(KDKName||"Имя PTK-KD"||MA-Nonce||MKD-Nonce||MA-ID||MKD-ID)),

где "Имя PTK-KD" представляет собой 0x50544B2D4B44204E616D65.

Срок службы всех ключей, производных из PSK или MSK, привязан к сроку службы PSK или MSK. Например, сервер 105 аутентификации 802.1X может передавать срок службы ключа MSK вместе с MSK 205. Если предоставляется подобный атрибут, то сроки службы PMK-MKD 215 и KDK 230 не будут дольше, чем срок службы MSK 205. Срок службы PTK 225 и PMK-MA 220-n такой же, как у PMK-MKD 215, а срок службы PTK-KD 235 такой же, как у KDK 230. Когда срок службы ключа истекает, каждый держатель ключа удаляет соответствующие производные ключи.

Конструкция иерархии ключей гарантирует, что компрометация материала ключа в ветви безопасности линии изолируется только в этой части или подветви иерархии. Например, аутентификатор ячейки имеет сведения только для расшифровки сессий, которые защищены посредством PTK, производным из его PMK-MA.

В некоторых системах управления ключами ключ PMK-MKD может быть удален посредством MKD после вывода ключей PMK-MA. Подобный порядок работы подходит для высокого уровня защиты иерархии ключей в случаях, когда в PMK-MKD больше нет необходимости. В таких случаях системе управления ключами требуется только сохранять информацию о ключах PMK-MA. Подобное удаление ключа PMK-MKD не указывает на недействительность иерархии ключей.

Фиг.3 представляет собой иллюстрацию различных служб, предоставляемых каждым аутентификатором 115-n ячейки каждой запрашивающей точке 120 ячейки. Как проиллюстрировано, аутентификаторы 115-n ячейки предоставляют следующие службы запрашивающим точкам 120 ячейки: Обнаружение (300), Первый Контакт (305), Быстрая Ассоциация Безопасности (310) и Держатель Ключа (315).

Для обнаружения 300 аутентификатор ячейки объявляет свои способности и конфигурацию одноранговым узлам, используя кадры маяка широковещательной передачи и кадры ответа проверки одноадресной передачи. Путем использования маяка и ответов проверки аутентификация ячейки позволяет запрашивающим точкам ячейки обнаруживать, что аутентификатор ячейки поддерживает службы EMSA. Путем предоставления идентификатора ячейки и идентификаторов области безопасности ячейки аутентификатор ячейки позволяет запрашивающей точке определять, будет ли доступна созданна