Способ доступа с аутентификацией и система доступа с аутентификацией в беспроводной многоскачковой сети

Способ доступа с аутентификацией и система доступа с аутентификацией в беспроводной многоскачковой сети

Иллюстрации

Показать все

Реферат

Данная заявка притязает на приоритет заявки на патент (Китай) номер 200710307299.5, поданной в бюро патентов (Китай) 29 декабря 2007 года и озаглавленной "Authentication access method applicable to wireless multi-hop network", которая настоящим полностью содержится в данном документе по ссылке.

Область техники, к которой относится изобретение

Настоящее изобретение относится к способу доступа с аутентификацией в сети и, в частности, к способу и системе доступа с аутентификацией, применимым к беспроводной многоскачковой (многопролетной) сети.

Уровень техники

С развитием компьютерных сетей и технологий глобальной мобильной связи портативные устройства терминалов цифровой обработки, в том числе ноутбуки, персональные цифровые устройства (PDA), компьютерные периферийные устройства, мобильные телефоны, устройства поискового вызова, бытовые электронные приборы и т.д. становятся неотъемлемой частью повседневной жизни и работы людей. Все устройства обладают мощными вычислительными возможностями и большей емкостью для хранения, чтобы тем самым формировать личное рабочее пространство (POS). Тем не менее, в настоящее время информация должна, в общем, обмениваться между этими терминальными устройствами через кабельное соединение, что вызывает большое неудобство, и все в большей степени людям требуется соединять в беспроводном режиме эти терминальные устройства в личном рабочем пространстве, чтобы фактически предоставлять мобильную и автоматическую многостороннюю связь между терминальными устройствами, что упоминается как технология беспроводной многоскачковой сети. В беспроводной многоскачковой сети данные, передаваемые между несмежными терминальными устройствами, должны передаваться способом многоскачкового маршрута.

В беспроводной многоскачковой сети предусмотрены устройства, выполняющие четыре роли: терминальное устройство, координатор маршрутов, сетевой координатор и доверенный центр. Терминальное устройство может обмениваться данными с другими устройствами в сети, но не может перенаправлять данные для других устройств по сети, т.е. терминальное устройство не может выполнять функцию маршрутизации. В дополнение к функции терминального устройства координатор маршрутов также отвечает за перенаправление данных для других устройств в сети, т.е. координатор маршрутов может выполнять функцию маршрутизации. Сетевой координатор отвечает за передачу маякового радиосигнала сети, установление сети, управление сетевым узлом, сохранение информации сетевого узла, поиск маршрутного сообщения между парой узлов и непрерывный прием информации, а также может перенаправлять данные для других устройств в сети, т.е. сетевой координатор может выполнять функцию маршрутизации. Сетевой координатор и координатор маршрутов могут совместно упоминаться как координатор. Доверенный центр - это центр управления ключами сети, и он отвечает за конфигурирование всех устройств в сети с помощью информации ключей. Сетевой координатор или другое устройство, обозначенное в сети посредством сетевого координатора, могут выступать в качестве доверенного центра. Фиг.1A-1C иллюстрируют две структуры топологии сети, поддерживаемые посредством беспроводной многоскачковой сети: звездообразную структуру (как проиллюстрировано на фиг.1A) и сеть по протоколу "точка-точка", при этом сеть по протоколу "точка-точка" дополнительно может разделяться на ячеистую структуру (как проиллюстрировано на фиг.1B) и кластерную структуру (как проиллюстрировано на фиг.1C).

Для беспроводной многоскачковой сети текущие решения по безопасности включают в себя следующие два решения:

Первое решение по безопасности заключается в форме самоорганизующейся сети.

Устройство сначала подключается к беспроводной многоскачковой сети и затем обнаруживает информацию ключей динамически из беспроводной многоскачковой сети, к примеру, закрытый ключ на основе идентификаторов (криптография на основе идентификационной информации), обнаруженный из распределенного центра сертификации (CA) в беспроводной многоскачковой сети, и, в завершение, использует открытые и закрытые ключи на основе идентификаторов для защищенной связи.

Второе решение по безопасности заключается в форме соединения и затем аутентификации.

Сначала устройство подключается к беспроводной многоскачковой сети, затем сетевой координатор аутентифицирует устройство, и, в завершение, устройство использует согласованный сеансовый ключ для защищенной связи, к примеру, по стандарту IEEE802.15.4/ZigBee.

В первом решении по безопасности любое устройство может быть членом беспроводной многоскачковой сети без различения допустимых и недопустимых устройств, что, очевидно, является небезопасным. Во втором решении по безопасности, поскольку сетевой координатор не аутентифицирует устройство до тех пор, пока устройство не подключается к беспроводной многоскачковой сети, все устройства могут подключаться к беспроводной многоскачковой сети и обмениваться данными с другими устройствами в сети до того, как сетевой координатор удаляет их из сети, что также является небезопасным и приводит к потерям при связи.

Сущность изобретения

Задача изобретения заключается в том, чтобы предоставлять способ и систему доступа с аутентификацией, применимые к беспроводной многоскачковой сети, чтобы разрешать техническую проблему скрытого риска безопасности способа аутентификации для беспроводной многоскачковой сети в предшествующем уровне техники.

Технические решения изобретения следующие:

Способ доступа с аутентификацией, применимый к беспроводной многоскачковой сети, включает в себя:

задание неконтролируемого порта и контролируемого порта терминального устройства и координатора, при этом неконтролируемый порт пропускает пакет данных протокола аутентификации и управляющую информацию, а контролируемый порт пропускает пакет данных приложения;

передачу в широковещательном режиме посредством координатора, кадра маякового радиосигнала, содержащего наборы аутентификации и управления ключами, поддерживаемые посредством координатора;

выбор посредством терминального устройства при приеме кадра маякового радиосигнала координатора одного из наборов аутентификации и управления ключами и затем передачу в координатор команды запроса на установление соединения, содержащей наборы аутентификации и управления ключами, выбранные посредством терминального устройства;

выполнение посредством координатора при приеме команды запроса на установление соединения терминального устройства процесса аутентификации с терминальным устройством согласно наборам аутентификации и управления ключами, выбранным посредством терминального устройства, и при успешной аутентификации открытие контролируемого порта, чтобы обеспечивать доступ терминального устройства к беспроводной многоскачковой сети при одновременной передаче команды ответа по установлению соединения в терминальное устройство; и

открытие посредством терминального устройства при приеме команды ответа по установлению соединения координатора контролируемого порта, чтобы тем самым осуществлять доступ к беспроводной многоскачковой сети.

Предпочтительно в вышеприведенном техническом решении набор аутентификации и управления ключами включает в себя набор аутентификации и управления ключами на основе предварительно выданного общего ключа и набор аутентификации и управления ключами на основе идентификаторов.

Предпочтительно в вышеприведенном техническом решении процесс аутентификации включает в себя:

A. когда координатор знает из команды запроса на установление соединения, передаваемой из терминального устройства, что набор аутентификации и управления ключами, выбранный посредством терминального устройства, является набором аутентификации и управления ключами на основе идентификаторов, формирование запроса на аутентификацию координатора и передачу активации аутентификации, состоящей из запроса на аутентификацию координатора и открытого ключа координатора, в терминальное устройство;

B. когда верификация достоверности открытого ключа координатора проходит, формирование посредством терминального устройства при приеме активации аутентификации запроса на аутентификацию терминального устройства, идентификатора запроса аннулирования открытого ключа и временного открытого ключа терминального устройства и передачу запроса на аутентификацию, состоящего из запроса на аутентификацию терминального устройства, запроса на аутентификацию координатора, открытого ключа терминального устройства, идентификатора запроса аннулирования открытого ключа, временного открытого ключа терминального устройства и подписи терминального устройства из вышеуказанных пяти элементов информации, в координатор;

C. верификацию посредством координатора при приеме запроса на аутентификацию подписи запроса на аутентификацию на допустимость, запроса на аутентификацию координатора на согласованность и временного открытого ключа терминального устройства на достоверность; когда верификация проходит, определение согласно идентификатору запроса аннулирования открытого ключа того, выполнять или нет запрос аннулирования открытого ключа; если запрос аннулирования открытого ключа не должен выполняться, формирование временного открытого ключа координатора и результата доступа, затем передачу посредством координатора ответа по аутентификации, состоящего из идентификатора запроса аннулирования открытого ключа, запроса на аутентификацию терминального устройства, временного открытого ключа координатора, результата доступа и подписи координатора из вышеуказанных четырех элементов информации в терминальное устройство и затем выполнение этапа G; или если запрос аннулирования открытого ключа должен выполняться, передачу требования с запросом аннулирования открытого ключа;

D. верификацию посредством доверенного центра при приеме требования с запросом аннулирования открытого ключа информации требования с запросом аннулирования открытого ключа и затем передачу ответа на запрос аннулирования открытого ключа в координатор;

E. верификацию посредством координатора при приеме ответа на запрос аннулирования открытого ключа информации ответа на запрос аннулирования открытого ключа и затем передачу ответа по аутентификации в устройство; и также формирование основного ключа между терминальным устройством и координатором согласно временному открытому ключу терминального устройства и временному закрытому ключу координатора;

F. верификацию посредством терминального устройства при приеме ответа по аутентификации информации ответа по аутентификации, при этом, если верификация завершается неудачно, аутентификация завершается неудачно; иначе терминальное устройство формирует основной ключ между терминальным устройством и координатором согласно временному открытому ключу терминального устройства и временному закрытому ключу координатора, и аутентификация завершается удачно; и

G. верификацию посредством терминального устройства при приеме ответа по аутентификации, передаваемого на этапе C из координатора, подписи ответа по аутентификации на достоверность, запроса на аутентификацию терминального устройства на согласованность и результата доступа, при этом, если верификация завершается неудачно, аутентификация завершается неудачно; иначе терминальное устройство формирует основной ключ между терминальным устройством и координатором согласно временному открытому ключу терминального устройства и временному закрытому ключу координатора, и аутентификация завершается удачно.

Предпочтительно вышеприведенное техническое решение дополнительно включает в себя:

выполнение посредством терминального устройства при успешном подключении к координатору согласования одноадресного ключа с координатором.

Предпочтительно в вышеприведенном техническом решении согласование одноадресного ключа выполняется на следующих этапах:

когда одноадресный ключ должен создаваться или обновляться, формирование посредством координатора при успешной аутентификации запроса на согласование одноадресного ключа координатора и передачу запроса на согласование одноадресного ключа, состоящего из запроса на согласование одноадресного ключа координатора, в терминальное устройство;

формирование посредством терминального устройства при приеме запроса на согласование одноадресного ключа запроса на согласование одноадресного ключа терминального устройства, формирование одноадресного ключа между терминальным устройством и координатором согласно основному ключу, запросу на согласование одноадресного ключа координатора и запросу на согласование одноадресного ключа терминального устройства и затем передачу в координатор ответа по согласованию одноадресного ключа, состоящего из запроса на согласование одноадресного ключа координатора, запроса на согласование одноадресного ключа терминального устройства и кода аутентификации сообщения, при этом код аутентификации сообщения вычисляется посредством терминального устройства согласно запросу на согласование одноадресного ключа координатора и запросу на согласование одноадресного ключа терминального устройства;

вычисление посредством координатора при приеме ответа по согласованию одноадресного ключа одноадресного ключа согласно основному ключу, запросу на согласование одноадресного ключа координатора и запросу на согласование одноадресного ключа терминального устройства, затем верификацию запроса на согласование одноадресного ключа координатора на согласованность и кода аутентификации сообщения терминального устройства на достоверность, при этом, если верификация завершается неудачно, согласование одноадресного ключа завершается неудачно; иначе координатор передает подтверждение по согласованию одноадресного ключа, состоящее из запроса на согласование одноадресного ключа координатора и кода аутентификации сообщения, вычисленного для запроса на согласование одноадресного ключа терминального устройства, в терминальное устройство; и

верификацию посредством терминального устройства при приеме подтверждения по согласованию одноадресного ключа запроса на согласование одноадресного ключа терминального устройства на согласованность и кода аутентификации сообщения координатора на достоверность, при этом, если верификация завершается неудачно, согласование одноадресного ключа завершается неудачно; иначе согласование одноадресного ключа завершается удачно.

Предпочтительно в вышеприведенном техническом решении процесс аутентификации включает в себя:

a. когда координатор знает из команды запроса на установление соединения, передаваемой из терминального устройства, что набор аутентификации и управления ключами, выбранный посредством терминального устройства, является набором аутентификации и управления ключами на основе предварительно выданного общего ключа, расширение посредством координатора локально сохраненного, предварительно выданного общего ключа между координатором и терминальным устройством в соответствующий основной ключ, формирование запроса на аутентификацию предварительно выданного общего ключа координатора и затем передачи запроса на аутентификацию, состоящего из запроса на аутентификацию предварительно выданного общего ключа координатора, в терминальное устройство;

b. сначала расширение посредством терминального устройства при приеме запроса на аутентификацию локально сохраненного, предварительно выданного общего ключа между координатором и терминальным устройством в соответствующий основной ключ, формирование запроса на аутентификацию предварительно выданного общего ключа терминального устройства, формирование одноадресного ключа между терминальным устройством и координатором согласно основному ключу, запросу на аутентификацию предварительно выданного общего ключа координатора и запросу на аутентификацию предварительно выданного общего ключа терминального устройства и затем передачу в координатор ответа по аутентификации, состоящего из запроса на аутентификацию предварительно выданного общего ключа координатора, запроса на аутентификацию предварительно выданного общего ключа терминального устройства и кода аутентификации сообщения, при этом код аутентификации сообщения вычисляется из запроса на аутентификацию предварительно выданного общего ключа координатора и запроса на аутентификацию предварительно выданного общего ключа терминального устройства;

c. вычисление посредством координатора при приеме ответа по аутентификации, одноадресного ключа из основного ключа и запроса на аутентификацию предварительно выданного общего ключа координатора, сформированного на этапе a, и запроса на аутентификацию предварительно выданного общего ключа терминального устройства, затем верификацию запроса на аутентификацию предварительно выданного общего ключа координатора на согласованность и кода аутентификации сообщения терминального устройства на достоверность, при этом, если верификация завершается неудачно, аутентификация завершается неудачно; иначе координатор передает подтверждение аутентификации, состоящее из запроса на аутентификацию предварительно выданного общего ключа терминального устройства и кода аутентификации сообщения, вычисленного посредством координатора для запроса на аутентификацию предварительно выданного общего ключа терминального устройства, в терминальное устройство; и

d. верификацию посредством терминального устройства при приеме подтверждения аутентификации запроса на аутентификацию предварительно выданного общего ключа терминального устройства на согласованность и кода аутентификации сообщения координатора на достоверность, при этом, если верификация завершается неудачно, аутентификация завершается неудачно; иначе аутентификация завершается удачно.

Предпочтительно вышеприведенное техническое решение дополнительно включает в себя:

- выполнение посредством терминального устройства при успешном подключении к координатору согласования одноадресного ключа с координатором.

Предпочтительно в вышеприведенном техническом решении, когда одноадресный ключ должен создаваться или обновляться, координатор определяет то, является или нет согласование одноадресного ключа первым согласованием одноадресного ключа при успешной аутентификации с устройством, и если так, процесс согласования одноадресного ключа является идентичным процессу аутентификации; иначе, процесс согласования одноадресного ключа является идентичным процессу согласования одноадресного ключа на основе набора аутентификации и управления ключами на основе идентификаторов.

Предпочтительно вышеприведенное техническое решение дополнительно включает в себя:

выполнение посредством координатора и терминального устройства процесса уведомления с многоадресным ключом при выполнении согласования одноадресного ключа; и

если согласование одноадресного ключа проходит, и координатор должен выполнять согласование многоадресного ключа с терминальным устройством, выполнение посредством координатора процесса уведомления с многоадресным ключом с терминальным устройством.

Предпочтительно в вышеприведенном техническом решении процесс уведомления с многоадресным ключом включает в себя:

когда многоадресный ключ должен создаваться или обновляться, сначала вычисление посредством координатора при успешном согласовании одноадресного ключа многоадресного ключа из уведомляющего главного ключа, затем шифрование уведомляющего главного ключа с использованием ключа шифрования в одноадресном ключе, чтобы формировать идентификатор уведомления с многоадресным ключом, и в завершение передачу в терминальное устройство уведомления с многоадресным ключом, состоящего из идентификатора уведомления с многоадресным ключом, зашифрованного многоадресного уведомляющего главного ключа и кода аутентификации сообщения, при этом код аутентификации сообщения вычисляется посредством координатора из идентификатора уведомления с многоадресным ключом и зашифрованного многоадресного уведомляющего главного ключа с использованием ключа аутентификации в многоадресном ключе;

верификацию посредством терминального устройства при приеме уведомления с многоадресным ключом идентификатора уведомления с многоадресным ключом и вычисление многоадресного ключа из уведомляющего главного ключа, затем дополнительную верификацию кода аутентификации сообщения координатора на достоверность, и когда верификация проходит, передачу в координатор ответа с многоадресным ключом, состоящего из идентификатора уведомления с многоадресным ключом и кода аутентификации сообщения, при этом код аутентификации сообщения вычисляется посредством терминального устройства из идентификатора сообщения уведомления с многоадресным ключом с использованием ключа аутентификации в локально сформированном многоадресном ключе; и

верификацию посредством координатора при приеме ответа с многоадресным ключом идентификатора уведомления с многоадресным ключом на согласованность и кода аутентификации сообщения терминального устройства на достоверность, при этом, если верификация завершается неудачно, согласование многоадресного ключа завершается неудачно; иначе согласование многоадресного ключа завершается удачно.

Вариант осуществления изобретения дополнительно предоставляет систему доступа с аутентификацией, применимую к беспроводной многоскачковой сети, которая включает в себя терминальное устройство, координатор и доверенный центр, в которой:

терминальное устройство и координатор содержат неконтролируемый порт и контролируемый порт, при этом неконтролируемый порт пропускает пакет данных протокола аутентификации и управляющую информацию, а контролируемый порт пропускает пакет данных приложения;

координатор выполнен с возможностью передавать в широковещательном режиме кадр маякового радиосигнала, содержащий наборы аутентификации и управления ключами, поддерживаемые посредством координатора, выполнять процесс аутентификации с терминальным устройством и доверенным центром согласно набору аутентификации и управления ключами, выбранному посредством терминального устройства при приеме команды запроса на установление соединения терминального устройства, причем команда запроса на установление соединения содержит набор аутентификации и управления ключами, выбранный посредством терминального устройства, и открывать контролируемый порт, чтобы обеспечивать доступ терминального устройства к беспроводной многоскачковой сети, и при этом передавать команду ответа по установлению соединения в терминальное устройство при успешной аутентификации; и

терминальное устройство выполнено с возможностью выбора набора аутентификации и управления ключами и затем передавать команду запроса на установление соединения в координатор при приеме кадра маякового радиосигнала координатора, причем команда запроса на установление соединения содержит набор аутентификации и управления ключами, выбранный посредством терминального устройства, и открывать контролируемый порт, чтобы тем самым осуществлять доступ к беспроводной многоскачковой сети при приеме команды ответа по установлению соединения координатора; и

доверенный центр выполнен с возможностью упрощать процесс аутентификации координатора и терминального устройства.

Из вышеприведенных технических решений может быть очевидным то, что варианты осуществления изобретения предлагают следующие преимущества по сравнению с предшествующим уровнем техники:

1. Терминальное устройство может подключаться к координатору только после аутентификации, чтобы тем самым предоставлять доступ с аутентификацией терминального устройства к беспроводной многоскачковой сети. Терминальное устройство также может аутентифицировать координатор, чтобы тем самым определять согласно результату аутентификации, подключаться или нет к координатору. Следовательно, терминальное устройство может осуществлять доступ к беспроводной многоскачковой сети с повышенной безопасностью и производительностью.

2. Как терминальное устройство, так и координатор имеют заданные неконтролируемые и контролируемые порты и управляют портами согласно результату аутентификации, чтобы тем самым формировать систему управления доступом на основе портов и повышать безопасность доступа терминального устройства к беспроводной многоскачковой сети.

3. Терминальное устройство и координатор задают процесс согласования одноадресного ключа и процесс уведомления с многоадресным ключом для различных услуг обеспечения безопасности, чтобы тем самым обеспечивать безопасность связи между терминальным устройством и координатором.

4. В случае набора аутентификации и управления ключами на основе идентификаторов используется протокол трехэлементной взаимной аутентификации равноправных узлов, так что доверенный центр может предоставлять для терминального устройства и координатора таблицу аннулирования открытых ключей, чтобы предоставлять двунаправленную аутентификацию терминального устройства и координатора и повышать безопасность доступа терминального устройства к беспроводной многоскачковой сети.

5. В случае набора аутентификации и управления ключами на основе идентификаторов открытый ключ на основе идентификаторов по существу отличается аннулированием и имеет небольшую длину, так что как число запросов аннулирования открытого ключа, так и трафик обмена данными могут уменьшаться, чтобы тем самым повышать производительность доступа терминального устройства к беспроводной многоскачковой сети.

6. В случае набора аутентификации и управления ключами на основе идентификаторов информация, передаваемая из доверенного центра в координатор, транспортируется по защищенному каналу, который может устанавливаться без взаимодействия с помощью пар открытых и закрытых ключей координатора и доверенного центра, чтобы обходиться без процесса согласования ключей между координатором и доверенным центром и уменьшать сложность информации, передаваемой из доверенного центра в координатор, чтобы тем самым повышать производительность доступа терминального устройства к беспроводной многоскачковой сети.

Краткое описание чертежей

Чертежи, которые должны использоваться для описаний вариантов осуществления изобретения или в предшествующем уровне техники, кратко описываются ниже, чтобы прояснять технические решения в вариантах осуществления или в предшествующем уровне техники, и, очевидно, чертежи, которые описываются ниже, просто иллюстрируют некоторые варианты осуществления изобретения, и специалисты в данной области техники дополнительно могут извлекать из этих чертежей другие чертежи без изобретательских усилий.

Фиг.1 - это структурная схема топологии беспроводной многоскачковой сети, где фиг.1A - это структурная схема топологии звездообразной сети, фиг.1B - это структурная схема топологии ячеистой сети, фиг.1C - это структурная схема топологии кластерной сети, координатор обозначается с помощью "•", терминал обозначается с помощью "o", канал связи обозначается с помощью "↔", и S представляет сетевой координатор, выступающий в качестве доверенного центра сети;

Фиг.2 - это схематическая структурная схема системы доступа с аутентификацией беспроводной многоскачковой сети, где A представляет терминал, запрашивающий доступ с аутентификацией, B представляет координатор, ассоциированный с A, и S представляет доверенный центр беспроводной многоскачковой сети;

Фиг.3 - это схематичное представление процесса аутентификации на основе идентификаторов в способе изобретения;

Фиг.4 - это схематичное представление процесса согласования одноадресного ключа на основе идентификаторов в способе изобретения;

Фиг.5 - это схематичное представление процесса согласования многоадресного ключа в способе изобретения;

Фиг.6 - это схематичное представление процесса аутентификации на основе предварительно выданного общего ключа в способе изобретения; и

Фиг.7 - это блок-схема последовательности операций способа процесса аутентификации на основе идентификаторов в способе изобретения.

Ссылки с номерами на фиг.3, фиг.4, фиг.5 и фиг.6 задаются следующим образом:

N₁ - запрос на аутентификацию координатора;

N₂ - запрос на аутентификацию терминала;

N₃ - требование с запросом аннулирования открытого ключа координатора;

N₄ - запрос на согласование одноадресного ключа координатора;

N₅ - запрос на согласование одноадресного ключа терминала;

N_M - идентификатор уведомления с многоадресным ключом;

HMAC_CU - код аутентификации сообщения координатора в согласовании одноадресного ключа;

HMAC_TU - код аутентификации сообщения терминала в согласовании одноадресного ключа;

HMAC_CM - код аутентификации сообщения координатора в согласовании многоадресного ключа;

HMAC_TM - код аутентификации сообщения терминала в согласовании многоадресного ключа;

ADDID - конкатенированное значение MAC-адресов терминала и координатора;

P_ECC - параметр ECC-домена;

P_ID - открытый параметр на основе идентификаторов;

SK_ID-S - закрытый ключ доверенного центра;

PK_ID-S - открытый ключ доверенного центра;

SK_ID-T - закрытый ключ терминала;

PK_ID-T - открытый ключ терминала;

SK_ID-C - закрытый ключ координатора;

PK_ID-C - открытый ключ координатора;

ID_C - идентификатор координатора;

ID_T - идентификатор терминала;

ID_S-CA - идентификационные данные тела CA-сертификата доверенного центра в беспроводной многоскачковой сети;

ID_Net - идентификатор беспроводной многоскачковой сети;

TL_T-PK - период достоверности открытого ключа терминала;

TL_C-PK - период достоверности открытого ключа координатора;

QF_PK - идентификатор запроса аннулирования открытого ключа;

Re₁ - результат доступа;

Re_T - результат аннулирования открытого ключа терминала;

Re_C - результат аннулирования открытого ключа координатора;

Result_C-PK - результат запроса аннулирования открытого ключа координатора;

Sig_T - подпись запроса на аутентификацию терминала;

Sig_C - подпись ответа по аутентификации координатора;

Sig_S - подпись запроса аннулирования открытого ключа;

UEK - одноадресный ключ шифрования;

UCK - одноадресный ключ проверки целостности;

UMAK - одноадресный ключ аутентификации сообщения;

NMK - многоадресный уведомляющий главный ключ;

NMK_E - зашифрованный многоадресный уведомляющий главный ключ;

MEK - многоадресный ключ шифрования;

MCK - многоадресный ключ проверки целостности;

N₆ - запрос на аутентификацию предварительно выданного общего ключа координатора;

N₇ - запрос на аутентификацию предварительно выданного общего ключа терминала;

HMAC_CA - код аутентификации сообщения координатора в процессе аутентификации предварительно выданного общего ключа;

HMAC_TA - код аутентификации сообщения терминала в процессе аутентификации предварительно выданного общего ключа.

Подробное описание изобретения

Технические решения в вариантах осуществления изобретения описываются понятно и полностью ниже со ссылкой на чертежи в вариантах осуществления изобретения. Безусловно, описанные варианты осуществления являются только частью, а не всеми вариантами осуществления изобретения. На основе вариантов осуществления изобретения любые другие варианты осуществления, которые должны быть очевидны для специалистов в данной области техники без изобретательских усилий, должны попадать в рамки объема защиты изобретения.

Изобретение применимо к защищенному протоколу прикладного уровня при применении способа инфраструктуры секретности аутентификации в WLAN (WAPI) (способа управления доступом на основе трехэлементной взаимной аутентификации равноправных узлов (TePA)) к конкретной сети, в том числе беспроводной локальной вычислительной сети, беспроводной общегородской вычислительной сети и т.д.

В системе доступа с аутентификацией беспроводной многоскачковой сети аутентификация предназначена для цели установления доверенности между терминальным устройством (терминалом) и координатором, ассоциированным с терминалом, и защиты данных, передаваемых по линии связи между терминалом и координатором. Терминал и координатор, ассоциированный с ним, принадлежат одному домену управления, т.е. беспроводная многоскачковая сеть и доверенный центр беспроводной многоскачковой сети должны конфигурировать все устройства в беспроводной многоскачковой сети, например, конфигурировать информацию ключей для различных наборов аутентификации и управления ключами.

В системе доступа с аутентификацией беспроводной многоскачковой сети координатор передает в широковещательном режиме кадр маякового радиосигнала, терминал идентифицирует наборы аутентификации и управления ключами, поддерживаемые посредством координатора, из кадра маякового радиосигнала координатора и затем верифицирует, поддерживаются или нет наборы аутентификации и управления ключами в кадре маякового радиосигнала координатора, и если терминал поддерживает один из наборов аутентификации и управления ключами и содержит информацию ключей для этого набора аутентификации и управления ключами, терминал передает команду запроса на установление соединения в координатор. Если терминал поддерживает несколько наборов аутентификации и управления ключами в кадре маякового радиосигнала координатора и содержит информацию ключей для этих наборов аутентификации и управления ключами, терминал выбирает один из наборов аутентификации и управления ключами и затем передает команду запроса на установление соединения в координатор. Команда запроса на установление соединения включает в себя набор аутентификации и управления ключами, выбранный посредством терминала.

При приеме команды запроса на установление соединения терминала координатор выполняет процесс аутентификации с терминалом согласно набору аутентификации и управления ключами, выбранному посредством терминала, и затем передает команду ответа по установлению соединения в терминал. При успешной аутентификации координатор предоставляет терминалу доступ к беспроводной многоскачковой сети при одновременной передаче команды ответа по установлению соединения, включающей в себя определенную информацию по доступу, к примеру, выделенный сетевой адрес. Если аутентификация завершается удачно, и координатор должен выполнять согласование одноадресного ключа с терминалом, координатор и терминал выполняют процесс согласования одноадресного ключа. Если согласование одноадресного ключа проходит и координатор должен выполнять согласование многоадресного ключа с терминалом, координатор и терминал выполняют процесс уведомления с многоадресным ключом.

Терминал должен принимать команду ответа по установлению соединения, передаваемую из координатора, после выполнения процесса аутентификации с координатором и при приеме команды ответа по установлению соединения координатора, если аутентификация терминала с координатором завершается удачно, и команда ответа по установлению соединения, передаваемая из координатора, включает в себя определенную информацию по доступу, терминал подключается к координатору и таким образом осуществляет доступ к беспроводной многоскачковой сети. Если терминал принимает команду запроса на согласование одноадресного ключа, передаваемую из координатора, после осуществления доступа к сети, терминал и координатор выполняют процесс согласования одноадресного ключа. Если терминал пр