アドホック無線ネットワークのノード間においてセキュリティ・アソシエーションを確立するための方法及び装置
アドホック無線ネットワークのノード間においてセキュリティ・アソシエーションを確立するための方法及び装置には、2つの認証ステップが含まれる。即ち、初期の第1連絡ステップ(認証、認可、及びアカウンティング(AAA)ベースの認証)、並びに第1連絡時に生成される鍵材料を再利用する“軽量”ステップが含まれる。ネットワーク内のメッシュ・オーセンティケータは、2つの役割を提供する。第1の役割は、802.1Xポートアクセスエンティティ(PAE)を実装し、4段階ハンドシェークを介して、サプリカントメッシュ点での暗号化に用いる一時鍵を導出し、鍵ディストリビュータとのバックエンド通信を取り扱う。第2の役割は、AAAクライアントを実装し、また、第1連絡又は高速セキュリティ・アソシエーション時にメッシュ点を認証するために用いる鍵を導出する鍵ディストリビュータとしてのものである。鍵ディストリビュータ及びオンライン認証サーバは、これらのメッセージをメッシュリンク上でトランスポートすることなく互いに通信を行い得る。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般的に、無線通信に関し、特に、アドホック無線ネットワーク内におけるノード間のセキュリティ・アソシエーションの確立に関する。
【背景技術】
【0002】
インフラベースの無線ネットワークには、通常、固定及び有線のゲートウェイを備えた通信ネットワークが含まれる。インフラベースの無線ネットワークは、有線ネットワークに接続されている固定基地局と通信を行う移動ユニット又はホストを用いるものが多い。移動ユニットは、基地局への無線リンク上で通信を行いつつ、地理的に移動し得る。移動ユニットは、1つの基地局の範囲外に移動した場合、新しい基地局に接続、即ち、“ハンドオーバ”して、新しい基地局を介して有線ネットワークとの通信を開始し得る。
【0003】
セル方式ネットワーク又は衛星ネットワーク等のインフラベースの無線ネットワークとの比較において、アドホック・ネットワークは、何の固定インフラも無い状態で動作し得る自己形成ネットワークであり、場合によっては、アドホック・ネットワークは、全体が、移動ノードで形成されることもある。アドホック・ネットワークには、通常、多数の地理的に分散された潜在的な“ノード”と称し得る移動ユニットが含まれ、これらは、1つ以上のリンク(例えば、無線周波数通信チャネル)によって無線で互いに接続される。ノードは、インフラベース又は有線のネットワークのサポート無しで無線媒体を介して互いに通信を行い得る。
【0004】
無線通信ネットワークが益々普及するにつれて、セキュリティは、通信ネットワークプロバイダ及びエンドユーザ双方にとって、引き続き主要な関心事である。このことは、データを多くのノードによって容易に受信して操作し得るため、セキュリティ環境が最大の課題であり得る移動無線ネットワークを用いる場合、最も顕著である。無線ネットワークに用いられる無線リンクは、ネットワークを横断する伝送信号やデータを傍受者及び/又は自称ハッカーにさらす。マルチホップ無線ネットワークでは、これにより、メッシュ装置における各リンクは、マルチホップ認証及び鍵管理プロセスを通して、固有のセキュリティ・アソシエーションを確立する必要がある。そして、リンク上の電波フレームは、確立されたセキュリティ・アソシエーションにより保護することができる。
【0005】
現在のセキュリティ解決策では、通常、認証サーバとネットワークをつなぐノードとの間にセキュリティ・アソシエーションを確立する。残念なことに、ノードが、認証サーバとの認証を終えるのに10秒かかることがある。例えば、移動局が、アクセスポイントと連携する場合、利用可能な技法があり、これにより移動局は、ネットワークとの第1連絡中にそれが確立する鍵材料を用いて、ネットワークにおける他のアクセスポイントとの今後の再接続を加速することができる。例えば、IEEE802.11r規格に対して現在提案されている1つの解決策には、オンライン認証サーバによる完全な認証による第1連絡ステップと、第1連絡中に確立された鍵材料を再利用して、セキュリティハンドシェーク処理を加速する基本メカニズムとが含まれる。完全な認証は、後続のリンク確立に用いるための鍵階層構造を確立し、これによって、アクセスポイント間の高速の局移行をサポートする。
【0006】
メッシュノードが、メッシュネットワークをつなぎ、そのメッシュ近隣の1つとセキュリティ保護されたリンクを確立する場合、加速セキュリティメカニズムを提供し、メッシュノードと、素早くメッシュのメンバになる複数の他の隣接メッシュノードとの間のセキュアなリンクを可能にすることが、有益である。
【図面の簡単な説明】
【0007】
【図1】本発明の幾つかの実施形態に基づく代表的なアドホック無線ネットワークを示す図。
【図2】図1のネットワーク内における本発明の幾つかの実施形態の実装のためのメッシュ鍵階層構造を示す図。
【図3】本発明の幾つかの実施形態に基づく図1のネットワーク内において、サプリカントメッシュ点にメッシュ・オーセンティケータによって提供される様々なサービスをまとめた図。
【図4A】本発明の幾つかの実施形態に基づく図1のネットワーク内におけるビーコン及びプローブ応答フレーム用のメッセージフォーマットを示す図。
【図4B】本発明の幾つかの実施形態に基づく図4Aのメッセージフォーマットのメッシュセキュリティドメイン情報要素の代表的なフィールド構造を示すブロック図。
【図5】本発明の幾つかの実施形態に基づく図4Aのメッセージフォーマットの一部において定義された認証−鍵管理(AKM)スイートを示す図。
【図6】本発明の幾つかの実施形態に基づく図1のネットワークの要素間における代表的な対話を示すメッセージシーケンスチャート。
【図7A】本発明の幾つかの実施形態に基づく図6の代表的な対話の更なる詳細を示す図。
【図7B】本発明の幾つかの実施形態に基づく図6及び7Aの代表的な対話において用いるための効率的なメッシュセキュリティ・アソシエーション情報要素の代表的なフィールド構造を示すブロック図。
【図8】本発明の幾つかの実施形態に基づく図1のネットワーク内において動作するメッシュ・オーセンティケータの代表的な動作を示すフローチャート。
【図9】本発明の幾つかの実施形態に基づく図1のネットワークの要素間における対話を示すメッセージシーケンスチャートを示す図。
【図10】本発明の幾つかの実施形態に基づく図9のメッセージ伝達シーケンスチャートの更なる詳細を示す図。
【図11】本発明の幾つかの実施形態に基づくネットワーク内における図1のメッシュ・オーセンティケータの代表的な動作を示すフローチャート。
【発明を実施するための形態】
【0008】
当業者は、図の要素が、簡単明瞭に示されており、必ずしも縮尺通りに描かれていないことを認識されたい。例えば、図の要素には、本発明の実施形態の理解の改善を支援するために、他の要素に対して寸法が誇張されたものもある。
【0009】
本発明に基づく実施形態について詳細に述べる前に、本実施形態は、本来、アドホック無線ネットワークのノード間におけるセキュリティ・アソシエーションの確立に関連した方法ステップと装置構成要素の組合せに存することに留意されたい。従って、装置構成要素及び方法ステップは、図面において、適宜、従来の記号によって表されており、本明細書の説明の恩典を受ける当業者にとって自明の細部で本開示を不明瞭にしないように、本発明の実施形態の理解に関連する特定の細目だけを示している。
【0010】
本明細書において、第1及び第2、最上部及び底部等の関係を示す用語は、単に、1つのエンティティ又はアクションと他のエンティティ又はアクションとを、そのようなエンティティ又はアクション間におけるそのような何らかの実際の関係又は順番を必ずしも要求又は意味することなく、区別するために用い得る。用語「を含む」、「が含まれる」又はそのあらゆる他の派生語は、非排他的包含を網羅するように意図されており、これにより、一連の要素を含むプロセス、方法、物又は装置が、それらの要素だけでなく、明示的に列記されていない他の要素や、このようなプロセス、方法、物又は装置に固有の他の要素も含み得る。“(不定冠詞付きの名詞)が含まれる”が続く要素は、更なる制限を受けることなく、その要素が含まれるプロセス、方法、物又は装置における他の類似の要素の存在を除外しない。
【0011】
本明細書に述べた本発明の実施形態には、1つ以上の従来のプロセッサ並びに1つ以上のプロセッサを制御して、或る非プロセッサ回路と共に、本明細書に述べたアドホック無線ネットワークのノード間におけるセキュリティ・アソシエーションを確立する一部の、ほとんどの、又は全ての機能を実装する特有の記憶プログラム命令が含まれ得ることを認識されたい。非プロセッサ回路には、これらに限定するものではないが、無線受信機、無線送信機、信号ドライバ、クロック回路、電源回路、及びユーザ入力装置を含み得る。このように、これらの機能は、アドホック無線ネットワークのノード間におけるセキュリティ・アソシエーションを確立する方法のステップとして解釈し得る。他の選択肢として、幾つかの又は全ての機能は、記憶プログラム命令を有さない状態機械によって、又は1つ以上の特定用途向け集積回路(ASIC)において実装され得るが、この場合、各機能又は或る機能の幾つかの組合せは、個別仕様論理回路として実装される。もちろん、これら2つの取り組み方法の組合せを用いることもできる。従って、これらの機能のための方法及び手段について、本明細書に述べた。更に、当業者は、例えば、利用可能な時間、現在の技術、及び経済的な要件によって動機付けられる恐らく多大な労力や多くの設計選択肢にもかかわらず、本明細書に開示された概念及び原理によって導かれると、最小の実験作業でそのようなソフトウェア命令やプログラム及びICを容易に生成し得ることが期待される。
【0012】
メッシュネットワーク用の効率的なセキュリティ解決策は、2つの能力に依存する。即ち、サプリカントメッシュ点が、メッシュネットワークとのセキュアなアソシエーションを生成する能力と、サプリカントが、第1連絡で生成された鍵材料を再利用して、メッシュとの追加のリンクを効率的に確立する能力とに依存する。第2の特徴は、特に、厄介な実装上の問題、即ち、メッシュネットワークのメンバ間の各アソシエーションが、第1連絡と同じ時間(10秒を超えることもある)を要求する場合に起こり得る経路確立ボトルネックを回避する。
【0013】
サプリカントメッシュ点の近傍にあり得るノードの数は大きいことがあるため、また、ノードがその近隣にルーティングメッセージを送る前にセキュリティ・アソシエーションはノが必要であるため、次のことが重要である。つまり、あるメカニズムを各メッシュ・オーセンティケータの所定の位置に置き、それとメッシュ鍵ディストリビュータとの間で通信を行わせ、第1連絡時にサプリカントメッシュ点によって生成された鍵材料に基づき、導出された鍵を取得すること。更に、メッシュ・オーセンティケータが、サプリカントメッシュ点に、それが必要とする情報を提供させ、この鍵材料を識別し、また、それが、効率的なセキュリティ・アソシエーション交換を完了するために用いられるように要求することである。
【0014】
本発明には、セキュリティ・アソシエーションの効率的な確立をサポートするメッシュ・オーセンティケータメカニズムが含まれる。このメカニズムは、その近隣の能力及び基本設定に依存して、メッシュ・サプリカント又はメッシュ・オーセンティケータの役割のいずれかで動作することができ、メッシュ・オーセンティケータの役割で動作する場合、認証メッセージを中継し、また、メッシュ鍵ディストリビュータから鍵伝達を要求し得る。本発明に基づき実装されると、メッシュ・オーセンティケータは、情報をブロードキャストし、これによって、サプリカントメッシュ点は、メッシュに接続し、また、それ自体及びメッシュ鍵ディストリビュータとのセキュリティ・アソシエーションを確立し得る。更に、鍵配信階層構造からの鍵を維持するが、これらの鍵によって、サプリカントメッシュ点近隣とのセキュリティ・アソシエーションを確立するために用いられる鍵を要求し鍵のアンラップを行うことができる。最後に、オーセンティケータは、サプリカントメッシュ点から鍵ディストリビュータへの拡張可能認証プロトコル(EAP)の認証メッセージのトランスポートをサポートし、また、メッシュ鍵ディストリビュータからの鍵材料の配信をサポートする。
【0015】
本発明において備えられたメッシュ・オーセンティケータは、2つの組の導出鍵を維持する。1つは、それ自体と鍵ディストリビュータとの間の鍵トランスポート用、また、第2組目は、そのピアとの通信用である。これらの組の導出鍵は、メッシュ・オーセンティケータが、認証、認可、及びアカウンティング(AAA)サーバによるEAP認証を実施した時に生成された単一のマスタ鍵から生成される。これは、メッシュ・オーセンティケータの役割に対する明示的な別個の認証を要求するよりもむしろ、メッシュ・オーセンティケータを設定する効率的な方法を提示する。オーセンティケータは、サプリカントメッシュ点によって用いられる情報をブロードキャストするが、この情報は、第1連絡中にそれが生成した鍵階層構造の使用を許可するメッシュセキュリティドメインにおけるメッシュ点オーセンティケータを選択するために用いられる。オーセンティケータは、更に、レイヤ2プロトコル及び所定のデータフレームを用いて、鍵ディストリビュータと通信を行う。メッシュ鍵ディストリビュータと通信を行うためのレイヤ2プロトコルを用いるメッシュ・オーセンティケータの能力により、効率的なメッシュセキュリティ・アソシエーションを実装するのに必要なセキュリティプロトコルが可能になる。
【0016】
本発明では、効率的なメッシュセキュリティ・アソシエーション(EMSA)サービスは、無線メッシュネットワークにおける2つのメッシュ点(MP)間のリンクセキュリティの効率的な確立を行うために用いられる。EMSAサービスは、メッシュ鍵階層構造、即ち、事前共有鍵(PSK)を利用して確立される導出鍵の階層構造を利用して、又はMPが、AAAサーバによる認証(即ち、IEEE802.1X認証)を実施する際、提供される。
【0017】
EMSAの動作は、通常、無線メッシュネットワーク内のMPにおいて実装されるメッシュ鍵ホルダ(holder)に依拠する。2つの種類のメッシュ鍵ホルダ、即ち、メッシュ・オーセンティケータ(MA)及びメッシュ鍵ディストリビュータ(MKD)が、定義される。本発明の幾つかの実施形態において、メッシュセキュリティドメインにおける複数のメッシュ・オーセンティケータ用のメッシュ鍵ディストリビュータ(MKD)は、中央コントローラに実装され得るが、この中央コントローラは、有線ネットワークに存在し、また、メッシュポータルサービスを提供する複数のメッシュ点を介して、複数のメッシュ・オーセンティケータが到達可能なものである。
【0018】
EMSAは、MAとのMPの初期のアソシエーション中に交換される情報を提供するので、“初期EMSA認証”と称される。同じメッシュセキュリティドメイン(及びメッシュ識別情報(ID)によって識別される同じ無線ローカルエリアネットワーク(WLAN)メッシュ)内における他のMAとの後続のアソシエーションは、簡易EMSAハンドシェークメカニズムを用い得る。
【0019】
EMSAは、更に、メッシュ鍵ホルダ間のセキュアな通信のためのメカニズムを提供する。
図1は、本発明の幾つかの実施形態に基づく代表的なアドホック無線ネットワーク100を示す。アドホック無線ネットワーク100は、例えば、メッシュ型アーキテクチャ(MEA)ネットワーク又は802.11ネットワーク(即ち、802.11a、802.11b、802.11g、又は802.11s)であってよい。本発明に基づく通信ネットワーク100は、他の選択肢として、パケットが複数の無線ホップ間で転送される任意のパケット式通信ネットワークを含み得ることを当業者は、認識されるであろう。例えば、アドホック無線ネットワーク100は、OFDMA(直交周波数分割多元接続)、TDMA(時分割多元接続)、GPRS(汎用パケット無線サービス)及びEGPRS(エンハンスドGPRS)等のパケットデータプロトコルを利用するネットワークであってよい。更に、パケット式通信ネットワーク100の各無線ホップは、他のホップと同じパケットデータプロトコルを用いてもよく又はホップ毎に固有のパケットデータプロトコルを用いてもよい。
【0020】
図1に示すように、アドホック無線ネットワーク100には、認証サーバ(AS)105が含まれる。認証サーバ105は、アドホック無線ネットワーク100内における様々なノードに認証サービスを提供するように機能するが、以下説明する。一般的に、認証サーバ105は、オーセンティケータのためにサプリカントのクレデンシャルをチェックするために必要な認証機能を実施し、サプリカントが、ネットワークのサービスにアクセスすることが認可されているかどうかを示す。本発明の一実施形態において、認証サーバ105は、有線ネットワークセクション(ここで、ホストの物理的なセキュリティを提供可能)に配置される。例えば、認証サーバ105は、拡張可能認証プロトコル−トンネルトランスポートレイヤセキュリティ/拡張可能認証プロトコル−トランスポートレイヤプロトコル(EAP−TTLS/EAP−TLS)型のリモート認証ダイヤルインユーザサービス(RADIUS)サーバであって、集中認証用であってよい。
【0021】
認証サーバ105に通信可能に接続されているのは、メッシュ鍵ディストリビュータ(MKD)110である。メッシュ鍵ディストリビュータ110は、鍵を導出し、1つ以上のメッシュ・オーセンティケータ115−nに配信する。メッシュ鍵ディストリビュータ110は、更に、認証、認可、及びアカウンティング(AAA)クライアントを実装し、認可サーバ105とセキュリティメッセージを交換する。
【0022】
メッシュ鍵ディストリビュータ110に通信可能に接続されているのは、1つ以上のメッシュ・オーセンティケータ(MA)115−nである。2つのメッシュ・オーセンティケータ115−1、115−2を図1のアドホック無線ネットワーク100に示すが、1つの又は任意の複数のメッシュ・オーセンティケータを本発明に基づき用い得ることを認識されるであろう。メッシュ・オーセンティケータ115−nは、(a)サプリカント(即ち、メッシュ点(MP)サプリカント120)の接続を可能にするサービスを広告し、(b)EAP認証メッセージ転送サービスを提供し、(c)メッシュ鍵ディストリビュータ110から導出鍵を要求又は取得し、サプリカント120をアドホック・ネットワーク100に接続させ、又は、新しいセキュリティ・アソシエーションを確立させ、(d)対となる一時鍵(PTK)を導出して、サプリカント120とのリンクをセキュアにする。メッシュ・オーセンティケータ115−nは、メッシュ鍵ディストリビュータ110からセキュリティ・アソシエーションを確立するために用いられる鍵材料を取得する。
【0023】
本明細書に述べるように、図1のアドホック無線ネットワーク100等のネットワークに実装される本発明は、2種類の認証を提供する。即ち、初期EMSA認証と称する初期の第1連絡ステップ(AAAベースの認証)と、第1連絡中に生成された鍵材料を再利用する簡易EMSAハンドシェークと称する“軽量”ステップと、を提供する。
【0024】
本発明の幾つかの実施形態の動作中に、メッシュ鍵ホルダ、即ち、MA及びMKDは、鍵導出及びセキュアな鍵配信を実施することによって、メッシュ鍵階層構造を管理する。メッシュセキュリティドメインは、単一のMKD110の存在によって定義されるが、これは、本発明の幾つかの実施形態では、メッシュ中のメッシュ点(MP)に実装される。本明細書で上述したように、メッシュセキュリティドメイン内において、幾つかのMA115−nが存在し、各々、MPに実装され、また、各MA115−nは、MKD110への経路及びそれとのセキュリティ・アソシエーションの双方を維持する。
【0025】
MKD110は、鍵を導出して、メッシュ鍵階層構造を生成し、導出鍵をMA115−nに配信する。本発明の幾つかの実施形態において、MKDエンティティを実装する装置は、MAエンティティも実装する。MA115−nは、サプリカントMP120によって開始された効率的なメッシュセキュリティ・アソシエーション(EMSA)交換(初期EMSA認証及び簡易EMSAハンドシェークを含む)に加わる。MA115−nは、MKD110から導出鍵を受信し、サプリカントMP120とのリンクをセキュアにするために用いられる追加の鍵を導出する。
【0026】
図2は、本発明の幾つかの実施形態を実装するためのメッシュ鍵階層構造200を示す。本メッシュ鍵階層構造によって、MPは、IEEE802.1X認証を毎回実施することなく、ピアMPとのセキュアなアソシエーションを生成し得る。メッシュ鍵階層構造は、IEEE802.1X認証又は対となるセッション鍵(PSK)のいずれにも用い得る。本明細書での例示のために、PSKは、単一のMP及び単一のMKDに特有であると仮定する。
【0027】
本発明の鍵階層構造は、メッシュ内で用いるための2つのブランチを含む。リンクセキュリティブランチ240は、3つのレベルを含んでおり、メッシュ鍵ホルダ間の鍵の配信をサポートし、サプリカントMPとMAとの間の簡易EMSAハンドシェークを行わせる。鍵配信ブランチ245は、鍵を提供して、メッシュ鍵ホルダ間の鍵のトランスポート及び管理をセキュアにする。
【0028】
図2に示すように、マスタセッション鍵(MSK)205は、各サプリカント用に、それがメッシュに接続する時、生成される。マスタセッション鍵205は、MPの拡張可能認証プロトコル(EAP)認証中に生成され、また、メッシュ鍵ディストリビュータ110に(例えば、リモート認証ダイヤルインユーザサービス(RADIUS)を介して)配信される鍵材料である。XXKey210は、MSK205の一部である。XXKey210は、対となるセッション鍵(PSK)、又はマスタセッション鍵(MSK)の後半の256ビットのいずれかである。
【0029】
メッシュ鍵ディストリビュータ110は、AS105とサプリカントMP120との間の正常なIEEE802.1X認証から生じるPSK又はMSKのいずれかから両ブランチ用の第1レベル鍵を生成する。例えば、図示するように、第1導出鍵、対となるマスタ鍵メッシュ鍵ディストリビュータ(PMK−MKD)215は、MSK又はPSK及びメッシュIDの関数として導出される。それは、サプリカントMP120及びPMK−MKD鍵ホルダ、即ち、MKD110によって記憶される。この鍵は、サプリカントMP120及びMKD110によって互いに導出される。サプリカントMP120とメッシュセキュリティドメインとの間で導出された単一のPMK−MKD215だけが存在する。
【0030】
メッシュ鍵ディストリビュータ110は、鍵導出関数(KDF)を用いて、鍵階層構造における鍵を生成する。鍵導出関数は、入力として、秘密鍵(既知のマスタ鍵)及び秘密でない情報の双方を受け取り、また、導出鍵として知られている新しい秘密鍵を出力する関数である。鍵導出関数は、不可逆であり、これにより導出鍵及び秘密でない情報の双方の知識は、マスタ鍵に関する情報を一切提供しない。
【0031】
メッシュ鍵階層構造リンクセキュリティブランチ240の上位レベル鍵、PMK−MKD215は、ネゴシエートされたAKMから生じた鍵材料でサプリカントMACアドレス(SPA)、メッシュセキュリティドメイン識別子、及びメッシュIDを束縛する。PMK−MKD215は、次のように導出される:
PMK−MKD=KDF−256(XXKey,“MKD鍵導出”,メッシュID長||メッシュID||MSD−ID||0x00||SPA)
上式において、
●KDF−256は、長さ256ビットの鍵を生成するために用いられるKDFである。
●XXKeyは、MSKの後半の256ビット、又はPSKのいずれかである。
●“MKD鍵導出”は、0x4D4B44204B65792044657269766174696F6Eである。
●メッシュID長は、メッシュIDにおけるオクテットの数である値を有する単一のオクテットである。
●メッシュIDは、メッシュ識別子であり、ビーコン及びプローブ応答に出現する可変長オクテット列である。
●MSD−IDは、初期EMSA認証中に用いられたメッシュセキュリティドメイン情報要素からの48オクテット・メッシュセキュリティドメイン識別子フィールドである。
●SPAは、サプリカントMPのMACアドレスである。
【0032】
PMK−MKDは、次のように、参照され、また、命名される:
PMK−MKD名=Truncate−128(SHA−256(“MKD鍵名”||メッシュID長||メッシュID||MSD−ID||0x00||SPA||ANonce))
上式において、
●“MKD鍵名”は、0x4D4B44204B6579204E616D65である
●ANonceは、PMK−MKDホルダ(MKD)によって生成され、PMK−MAと共にMAに配信され、また、初期EMSA認証中にMAによってサプリカントMPに提供される予測不可能なランダムな値である。
●Truncate−128(−)は、その引数の前半の128ビットを返し、残りをセキュアに破壊する。
【0033】
MKD110は、更に、第2の導出鍵、対となるマスタ鍵メッシュ・オーセンティケータ(PMK−MA)220−nを生成し、高速セキュリティ・アソシエーションを可能にする。MKD110は、必要に応じて、各MA115−nに対して、固有のPMK−MA220−nを導出する。PMK−MA220−nは、適切なMA115−nに配信される。例えば、図2に示すように、PMK−MA220−1は、MA115−1に配信される。PMK−MA220−nは、サプリカントMP120及びMKD110によって互いに導出される。それは、MKD110によってMA115−nに配信され、サプリカントMP120とMA115−nとの間のメッシュハンドシェーク終了を許可する。
【0034】
メッシュ鍵階層構造リンクセキュリティブランチ240の第2レベル鍵、PMK−MA220−nは、PTK225を導出するために用いられる256ビット鍵である。PMK−MA220−nは、SPA、MKD、及びMAを束縛し、次のように導出される:
PMK−MA=KDF−256(PMK−MKD,“MA鍵導出”,PMK−MKD名||MA−ID||0x00||SPA)
上式において、
●KDF−256は、長さ256ビットの鍵を生成するために用いられるKDFである。
●“MA鍵導出”は、0x4D41204B65792044657269766174696F6Eである。
●MA−IDは、PMK−MAのホルダ(MA)の識別子である。
●SPAは、サプリカントMPのMACアドレスである。
【0035】
PMK−MAは、次のように、参照され、また、命名される:
PMK−MA名=Truncate−128(SHA−256(“MA鍵名”||PMK−MKD名||MA−ID||0x00||SPA))
上式において、“MA鍵名”は、0x4D41204B6579204E616D65である。
【0036】
一時鍵、対となる一時鍵(PTK)225は、MA115−n及びサプリカントMP120によってPMK−MA220−nから互いに導出される。PTK225は、IEEE802.11及びIEEE802.1X保護鍵を定義する第3レベルのリンクセキュリティブランチである。PTK225は、サプリカント120及びPMK−MA鍵ホルダ、即ち、MA115−nによって互いに導出される。
【0037】
メッシュ鍵階層構造リンクセキュリティブランチ240の第3レベル鍵は、PTK225である。この鍵は、サプリカントMP及びMAによって互いに導出され、鍵長さは、ネゴシエートされた暗号スイートの関数である。
【0038】
PTK導出は、次の通りである:
PTK=KDF−PTKLen(PMK−MA,“メッシュPTK鍵導出”,SNonce||ANonce||SPA||MAA||PMK−MA名)
上式において、
●KDF−PTKLenは、長さPTKLenのPTKを生成するために用いられるKDFである。
●PMK−MAは、サプリカントMPとMAとの間で共有される鍵である。
●“メッシュPTK鍵導出”は、0x4D6573682050544B204B65792064657269766174696F6Eである。
●SNonceは、サプリカントMPによって寄与される256ビットのランダムなビット文字列である。
●ANonceは、MKD又はMAによって寄与される256ビットのランダムな文字列である。
●SPAは、サプリカントMPのMACアドレスである。
●MAAは、MAのMACアドレスである。
●PMK−MA名は、以前導出された通り。
●PTKlenは、導出するビットの総数、例えば、PTKのビットの数である。この長さは、ネゴシエートされた暗号スイートに依存する。
【0039】
各PTKには、3つの関連する鍵、鍵確認鍵(KCK)、鍵暗号鍵(KEK)、及び時間鍵(TK)が含まれる。
PTKは、次のように、参照され、また、命名される:
PTK名=Truncate−128(SHA−256(PMK−MA名||“メッシュPTK名”||SNonce||ANonce||MAA||SPA))
上式において、“メッシュPTK名”は、0x4D6573682050544B204E616D65である。
【0040】
第2ブランチ、鍵配信ブランチ245は2つのレベルを含んでおり、MPがMAとなることを許可する際に用いられるPTK−KD235を生じ、また、MAとMKDとの間の通信をセキュアにする際に用いられる。鍵配信鍵(KDK)230は、第1レベルの鍵配信ブランチ245である。この鍵は、MSK又はPSK及びメッシュIDの関数として導出され、サプリカントMP120及びMKD110によって記憶される。この鍵は、サプリカントMP120及びMKD110によって互いに導出される。サプリカントMPとメッシュセキュリティドメインとの間で導出された単一のKDK230だけが存在する。
【0041】
鍵配信ブランチ245の第1レベル鍵、KDK230は、ネゴシエートされたAKMから生じる鍵材料でMA−ID(MPのMACアドレスがKDKを確立してMAになる)、メッシュセキュリティドメイン識別子、及びメッシュIDを束縛する。KDKは、PTK−KDを導出するために用いられる。
【0042】
KDKは、次のように導出される:
KDK=KDF−256(XXKey,“メッシュ鍵配信鍵”,メッシュID長||メッシュID||MSD−ID||0x00||MA−ID)
上式において、
●KDF−256は、長さ256ビットの鍵を生成するために用いられるKDFである。
●XXKeyは、MSKの後半の256ビット又はPSKのいずれかである。
●“メッシュ鍵配信鍵”は、0x4D657368204B657920446973747269627574696F6E204B6579である。
●メッシュID長は、メッシュIDにおけるオクテットの数である値を有する単一のオクテットである。
●メッシュIDは、メッシュ識別子であり、ビーコン及びプローブ応答に出現する可変長オクテット列である。
●MSD−IDは、初期EMSA認証中に用いられたメッシュセキュリティドメイン情報要素からの48オクテット・メッシュセキュリティドメイン識別子フィールドである。
●MA−IDは、MPのMACアドレスであり、KDKを導出し、MKDとの通信をセキュアにする際に用いる。
【0043】
KDKは、次のように、参照され、また、命名される:
KDK名=Truncate−128(SHA−256(“KDK名”||メッシュID長||メッシュID||MSD−ID||0x00||MA−ID))
上式において、
●“KDK名”は、0x4B444B204E616D65である。
●Truncate−128(−)は、その引数の前半の128ビットを返し、残りをセキュアに破壊する。
【0044】
対となる一時鍵、鍵配信(PTK−KD)235は、MA115−nとMKD110との間の通信用の保護鍵を定義する第2レベルの鍵配信ブランチである。PTK−KD235は、サプリカントMPによって(それが、MA115−nになる場合)及びMKD110によって互いに導出される。
【0045】
鍵配信ブランチ245の第2レベル鍵、PTK−KD235は、MA及びMKDによって互いに導出される256ビット鍵である。PTK−KDは、次のように導出される:
PTK−KD=KDF−256(KDK,“メッシュPTK−KD鍵”,MA−Nonce||MKD−Nonce||MA−ID||MKD−ID)
上式において、
●KDKは、本明細書で以前定義された鍵である。
●“メッシュPTK−KD鍵”は、0x4D6573682050544B2D4B44204B6579である。
●MA−Nonceは、MAによって与えられる256ビットのランダムな文字列である。
●MKD−Nonceは、MKDによって与えられる256ビットのランダムな文字列である。
●MA−IDは、MAのMACアドレスである。
●MKD−IDは、MKDのMACアドレスである。
【0046】
PTK−KDは、2つの関連する鍵、鍵確認鍵−鍵配信(KCK−KD)及び鍵暗号鍵−鍵配信(KEK−KD)を有し、次のように導出される。
KCK−KDは、PTK−KDの前半の128ビット(ビット0−127)として算出される。
【0047】
KCK−KD=L(PTK−KD,0,128)
上式において、L(−)は、8.5.1において定義される。
KCK−KDは、MAとMKDとの間で交換されるメッセージのデータ起源の真正性を提供するために用いられる。
【0048】
KEK−KDは、PTK−KDのビット128−255として算出される。
KEK−KD=L(PTK−KD,128,128)
KEK−KDは、MAとMKDとの間で交換されるメッセージにデータ機密性を提供するために用いられる。
【0049】
PTK−KDは、次のように、参照され、また、命名される:
PTK−KD名=Truncate−128(SHA−256(KDK名“PTK−KD名”||MA−Nonce||MKD−Nonce||MA−ID||MKD−ID))
上式において、“PTK−KD名”は、0x50544B2D4B44204E616D65である。
【0050】
PSK又はMSKから導出された全ての鍵の寿命は、PSK又はMSKの寿命に束縛される。例えば、802.1X AS 105は、MSK鍵寿命の間、MSK205と通信を行い得る。そのような属性が提供されると、PMK−MKD215及びKDK230の寿命は、MSK205の寿命を超えることはない。PTK225及びPMK−MA220−nの寿命は、上記において算出したように、PMK−MKD215の寿命と同じであり、PTK−KD235の寿命は、KDK230の寿命と同じである。鍵寿命が終了すると、各鍵ホルダは、それらそれぞれの導出鍵を削除する。
【0051】
鍵階層構造を構築すると、リンクセキュリティブランチ内における鍵材料の漏洩は、階層構造のその部分にのみ又は下位岐路に確実に隔離される。例えば、メッシュ・オーセンティケータだけが、そのPMK−MAから導出されるPTKによって保護されたセッションを復号する知識を有する。
【0052】
幾つかの鍵管理システムでは、PMK−MKD鍵は、PMK−MA鍵が導出された後、MKDによって削除し得る。そのような動作は、PMK−MKDがもはや必要とされない場合に鍵階層構造を保護するという良いセキュリティ慣行に適している。そのような場合には、鍵管理システムは、PMK−MA鍵に関する情報を維持しさえすればよい。そのようにPMK−MKD鍵を除去しても、鍵階層構造の価値がないことを示すものではない。
【0053】
図3は、各メッシュ・オーセンティケータ115−nによって各サプリカントメッシュ点120に提供される様々なサービスの概要を示す。図示するように、メッシュ・オーセンティケータ115−nは、次のサービスをサプリカントメッシュ点120に提供する。即ち、発見(300)、第1の連絡(305)、高速セキュリティ・アソシエーション(310)、及び鍵ホルダ(315)を提供する。
【0054】
発見300の場合、MAは、ブロードキャスト・ビーコンフレーム及びユニキャスト・プローブ応答フレームを用いて、その能力及び構成をピアにアドバタイズする。ビーコン及びプローブ応答を利用して、MAによって、サプリカントMPは、MAがEMSAサービスをサポートすることを発見し得る。メッシュID及びメッシュセキュリティドメインIDを提供することによって、MAにより、サプリカントは、第1連絡中にそれが生成した鍵階層構造がMAにおいて利用可能であるかどうかを判断し得る。
【0055】
図4Aは、ビーコン及びプローブ応答フレーム用のメッセージフォーマット400を示す。図示するように、メッシュ高速リンク確立をサポートするMPには、そのビーコン及びプローブ応答400に、認証及び鍵管理(AKM)スイートタイプ5及び/又は6のサポートをアドバタイズするロバストセキュリティネットワーク情報要素(RSN IE)405と、メッシュセキュリティドメイン情報要素(MSDIE)410と、が含まれる。RSN IE405は、AKMスイートリストにおいて、メッシュ高速リンク鍵階層構造を用いる能力をアドバタイズする。メッシュID415と共に、MSDIE410は、サプリカントに情報を提供して、その鍵階層構造が、ビーコン400をアドバタイズするMAにおいて利用可能であることを保証する。メッシュセキュリティドメイン情報要素410は、メッシュセキュリティドメイン識別子を含む。メッシュ・オーセンティケータは、メッシュセキュリティドメイン情報要素410を用いて、その状態をMAとしてアドバタイズし、また、それが、メッシュセキュリティドメインを構成するMAのグループに含まれることをアドバタイズする。
【0056】
図4Bは、メッシュセキュリティドメイン情報要素(MSDIE)410の代表的なフィールド構造を示すブロック図であるが、これは、メッシュ・オーセンティケータによって用いられ、MAとしてのその状態をアドバタイズし、また、メッシュセキュリティドメインを構成するMAのグループにそれが含まれることをアドバタイズする。ブロック420は、本明細書で更に詳述するように、特定の効率的なメッシュセキュリティ・アソシエーション情報要素(EMSAIE)を識別する情報要素(IE)識別(ID)フィールドである。ブロック425は、長さフィールドであり、これは、EMSAIEの長さを定義する。ブロック430は、メッシュセキュリティドメイン識別値を含む。
【0057】
図5は、RSN IE405において定義された認証−鍵管理(AKM)スイート500を示す。上述したように、本明細書では、RSN IE405は、ビーコン及びプローブ応答400においてアドバタイズされ、また、メッセージ交換に出現して、第1連絡及び高速セキュリティ・アソシエーションを促進する。
【0058】
図6は、本発明の幾つかの実施形態に基づく高速オーセンティケータサービスのための第1連絡を示すメッセージ伝達図600である。メッシュにおけるこの第1認証中、MPは、今後のリンクをセキュアにする際、簡易EMSAハンドシェークをサポートするために、メッシュ鍵階層構造の使用を可能にする。これは、初期EMSA認証メカニズムと称され、MPと、それが連携しようとしているMAとの間で交換される通信を含む。
【0059】
このシーケンスにおいて、MPは、それがメッシュ鍵階層構造を確立したいというインジケーション(MSDIE)を含むアソシエーション要求を発行する。MPは、MPが鍵導出を実施しリンクセキュリティを確立するのに必要な情報を含むアソシエーション応答メッセージを受信する。必要ならば、次に、802.1X認証が行われ、EMSA4段階ハンドシェークが続く。
【0060】
図示するように、802.11管理技法に基づく、例えば、サプリカント120とメッシュ・オーセンティケータ115との間のアソシエーション605は、メッシュ・オーセンティケータ115に応答して起こり、そのサービスをアドバタイズして、サプリカント120が接続できるようにする。次に、メッシュ・オーセンティケータ115により、サプリカント120は、EAP認証を実施することが可能になる。EAP認証610は、サプリカント120とメッシュ・オーセンティケータ115との間で、例えば、EAPOLを用いて実施される。また、EAP認証615が、メッシュ・オーセンティケータ115とメッシュ鍵ディストリビュータ110との間で、例えば、EAPを用いて実施される。更に、EAP認証620は、メッシュ鍵ディストリビュータ110と認証サーバ105との間で、例えば、RADIUSに対してEAPを用いて実施される。次に、鍵配信625が起こり、ここでは、メッシュ・オーセンティケータ115は、メッシュ鍵ディストリビュータ110から導出鍵を取得して、本明細書で上述したように、サプリカント120とのハンドシェークを可能にする。次に、メッシュ・オーセンティケータ115は、PTKを導出して、例えば、EAPOLによる4段階ハンドシェーク630を用いて、サプリカント120とのリンクをセキュアにする。次に、ルーティング設定635が、サプリカント120とメッシュ・オーセンティケータ115との間で行われる。最後に、鍵ホルダ設定ハンドシェーク640が、サプリカント120とメッシュ鍵ディストリビュータ110との間で実施される。
【0061】
図7Aは、図6の場合について本明細書で上述した第1連絡におけるサプリカント120とメッシュ・オーセンティケータ115との間のメッセージ通信の更なる詳細を示す。図7Aのメッセージ信号705及び710によって示すように、オープン認証が、最初に行われる。例えば、オープン認証は、802.11規格に基づき得る。オープン認証によって、あらゆる装置が、メッシュ・オーセンティケータで認証可能になり、そして、メッシュ・オーセンティケータとの通信を試行できる。オープン認証を用いて、あらゆる無線装置は、メッシュ・オーセンティケータで認証し得るが、その装置は、アソシエーション要求等の或るメッセージタイプだけを用いて、メッシュ・オーセンティケータと通信を行い得る。オープン認証は、ネットワーク100の認証サーバ105に依拠しない。図示するように、オープン認証を用いて、サプリカント120は、認証要求705をメッシュ・オーセンティケータ115に送り、メッシュ・オーセンティケータ115は、お返しに認証応答をサプリカント120に送る。
【0062】
次に、図7Aに示すように、サプリカント120は、アソシエーション要求715をメッシュ・オーセンティケータ(MA)115に送る。アソシエーション要求715には、まさにメッシュ・オーセンティケータ115によってアドバタイズされたようなMSDIE410と、PMKIDリストが空の状態のサプリカントのセキュリティ能力を含むRSN IE405が含まれる。メッシュ・オーセンティケータ115は、アソシエーション応答720で応じる。アソシエーション応答720には、まさにメッシュ・オーセンティケータ115によってアドバタイズされたようなMSDIE410が含まれる。アソシエーション応答720には、更に、効率的なメッシュセキュリティ・アソシエーション情報要素(EMSAIE)を含むが、これには、MA115が既存のセキュリティ・アソシエーションを有するMKD110を識別するMKD−IDと、メッセージを送るMA115を識別するMA−IDと、ゼロに設定された他の全てのフィールドと、が含まれる。アソシエーション応答720には、更に、PMKIDリストが空の状態で、MA115のセキュリティ能力について述べるRSN IE405が含まれる。
【0063】
図7Bは、効率的なメッシュセキュリティ・アソシエーション情報要素(EMSAIE)の代表的なフィールド構造を示すブロック図であるが、これは、本発明の幾つかの実施形態による簡易EMSAハンドシェーク中の認証シーケンスに用いられる。ブロック755は、特定のEMSAIEを識別する情報要素(IE)識別(ID)フィールドである。ブロック760は、長さフィールドであり、これは、EMSAIEの長さを定義する。ブロック762は、予約済みフィールド776、MICアルゴリズムフィールド774、及び情報要素カウントフィールド778が含まれるメッセージ完全性コード(MIC)制御フィールドであり、フィールド778には、MIC算出値に含まれる情報要素の数が含まれる。ブロック764は、MIC制御フィールドのMICアルゴリズムフィールドによって選択されたアルゴリズムを用いて算出されたMIC値が含まれるMICフィールドである。ブロック766は、メッシュ・オーセンティケータによって選択される当座値を含むANonceフィールドである。ブロック768は、サプリカントによって選択された当座値が含まれるSNonceフィールドである。ブロック770は、メッシュ・オーセンティケータのMACアドレスが含まれるMA−IDフィールドである。
【0064】
ブロック772は、1つ以上の情報パラメータを含み得るオプションのパラメータフィールドである。各情報パラメータには、ブロック780、情報の種類を識別する下位要素識別子と、情報の長さを識別する長さブロック782と、情報を含むデータブロック784と、が含まれる。
【0065】
図7Aに戻ると、正常なアソシエーション後、サプリカントMP及びMAは、必要ならば、IEEE802.1X認証に進む。IEEE802.1X交換は、IEEE802.11データフレームで搬送されるEAPOLメッセージを用いて、サプリカントMPとMAとの間で送られる。MAは、サプリカントMPとのIEEE802.1X交換を開始し、メッシュEAPメッセージトランスポート・プロトコルを用いて、802.1X交換をMKDにトランスポートする。
【0066】
事前共有鍵が用いられていない場合、EAP認証725は、サプリカント120とオンラインAAAサーバ105との間で行われ、MA115は、EAPメッセージのトランスポートを円滑化する。サプリカント120が、EAP認証725に従って、受け入れられると、MA115は、サプリカント120用のPMK−MA220を取得する。サプリカント120が拒否されると、MA115は、サプリカント120を分離する段階等の手順に従う。
【0067】
IEEE802.1X認証を正常に完了すると、MKDは、それ及びサプリカントMPに関連付けられたMSK及び認可属性を受信する。メッシュ鍵階層構造が、このサプリカントに既に存在する場合、MKDは、古いPMK−MKD及びPMK−MAセキュリティ・アソシエーションを削除する。そして、PMK−MKD及びPMK−MKD名を算出する。PMK−MKDセキュリティ・アソシエーションには、
●MSD−ID
●PMK−MKD
●PMK−MKD名
●SPA
●PMK−MKD寿命を含む認可情報
が含まれる。
【0068】
次に、MKDは、MA用のPMK−MAを生成する。PMK−MAセキュリティ・アソシエーションには、
●PMK−MA、
●PMK−MA寿命、
●PMK−MA名、
●MA−ID、
●PMK−MKD名
●SPA
が含まれる。
【0069】
そして、MKDは、PMK−MAをMAに配信する。一旦、PMK−MAが配信されると、MA及びサプリカントMPは、次に、EMSA4段階ハンドシェーク(730、735、740、745)を実施する。4段階ハンドシェークは、MA115によって開始され、例えば、802.11規格に基づき実施される。ハンドシェークは、EAPOL鍵メッセージを用いて搬送される。例えば、ハンドシェークメッセージ伝達は、802.11規格に基づき実装され得る。
【0070】
4段階ハンドシェーク#1メッセージ730は、ANonceを含むEAPOL鍵メッセージから構成されており、この場合、ANonceは、PMK−MA220の配信中に、MKD110からMA115によって受信された値である(サプリカント120用の鍵導出を実施するためにMKD110によって用いられる値である)。
【0071】
4段階ハンドシェーク#1メッセージ730を受信した後、サプリカント120は、ランダムなノンス(SNonce)を生成し、PTK225を算出する。
4段階ハンドシェーク#2メッセージ735は、SNonce、MIC、RSNIE、MSDIE、EMSAIE、及びGTK KDEを含むEAPOL鍵メッセージから構成される。
ここで、
●SNonceは、ランダムなノンスによって選択されたサプリカント120である。
●MICは、EAPOL鍵メッセージ(MICフィールド=0)の本文について算出されたメッセージ完全性コードである。
●RSNIE:PMKIDフィールドが、PMK−MA名を含む。他の全てのフィールドは、アソシエーション要求メッセージにおけるRSNIEに合致する。
●MSDIE:アソシエーション応答におけるのと全く同じ
●EMSAIE:アソシエーション応答におけるのと全く同じ
●GTK KDEは、サプリカント120のGTKを含むグループ時間鍵データカプセルである。
【0072】
当分野において公知のように、MICは、算出値であり、データに付随して、その完全性について確実性を提供し得る算出値である。MIC算出値への入力値には、保護されるデータ及び秘密鍵が含まれる。MICは、データ起源の真正性及びメッセージ完全性を受信者に提供する。データ起源の真正性は、送信者が、秘密鍵を所有する人であったことを受信者に保証する。2人の当事者だけが秘密鍵を知っている場合、それは、送信者のアイデンティティの保証を受信者に提供する。メッセージ完全性は、保護されたデータが、送信中に変更されなかったことを受信者に保証する。本明細書で用いるMICは、暗号化技術の分野で公知なように、“メッセージ認証コード”に類似している。本発明の幾つかの実施形態によれば、MICの動作は、更に、データ起源の真正性及びメッセージ完全性を提供し得る様々な他の種類のデータ起源情報を用いて、実施し得ることを当業者は、認識されるであろう。
【0073】
4段階ハンドシェーク#2メッセージ735を受信した後、MA115は、PTK225を算出し、MICを検証する。MA115は、PMK−MA名を算出し、それが4段階ハンドシェーク#2メッセージ735において送られる値に整合することを検証する。MA115は、他の内容が予想された通りであることを検証する。最後に、MA115は、サプリカント120からのマルチキャストトラフィックの復号に用いるためのGTKをインストールする。
【0074】
4段階ハンドシェーク#3メッセージ740は、ANonce、MIC、RSNIE、MSDIE、EMSAIE、GTK KDE、及び寿命KDEを含むEAPOL鍵メッセージから構成される。ここで、
●ANonceは、ハンドシェークメッセージ#1の値と同じである。
●MICは、EAPOL鍵フレーム(MICフィールド=0)の本文について算出される。
●RSNIE:PMKIDフィールドは、PMK−MA名を含む。他の全てのフィールドは、アソシエーション応答メッセージのRSNIEに合致する。
●MSDIE:アソシエーション応答におけるのと全く同じ
●EMSAIE:アソシエーション応答におけるのと全く同じ
●GTK KDEは、MA115のGTKを含むグループ時間鍵データカプセルである。
●寿命KDEは、PMK−MAの寿命における残りの秒数を含む4オクテットフィールドである。
【0075】
4段階ハンドシェーク#3メッセージ740を受信した後、サプリカント120は、MICを検証し、内容が予想された通りであることを検証する。サプリカント120は、MAからのマルチキャストトラフィックの復号に用いるためのGTKをインストールする。
【0076】
4段階ハンドシェーク#4メッセージ745は、MICを含むEAPOL鍵メッセージから構成されるが、ここで、MICは、EAPOL鍵フレーム(MICフィールド=0)の本文について算出される。
【0077】
4段階ハンドシェーク#4メッセージ745を受信した後、MA115は、MICを検証する。有効な場合、MA115は、サプリカント120との通信のために、PTK225をインストールする。
【0078】
手順が正常に完了した後、サプリカント120及びメッシュ・オーセンティケータ115は、関連付けられ、PTK225は、2つのメッシュ点(即ち、サプリカント120とメッシュ・オーセンティケータ115との)間のデータトラフィックの保護に用いられる。MA115によって、サプリカント120は、802.1X制御式ポートを介して、トラフィックを送り得るが、これには、PTK225を用いてトラフィックを保護することが必要である。
【0079】
図8は、本発明の幾つかの実施形態に基づく、第1連絡中のメッシュ・オーセンティケータの代表的な動作800を示すフローチャートである。図示するように、動作は、ステップ805で始まり、ここで、メッシュ・オーセンティケータは、MSDIEを含んだサプリカントからのアソシエーション要求を受信する。次に、ステップ810において、メッシュ・オーセンティケータは、MSDIEがメッシュ・オーセンティケータのセキュリティドメインをアドバタイズすることを検証し、また更に、選択されたRSNIEポリシーがローカルポリシーに整合することを検証する。次に、ステップ815において、全ての内容が、検証され容認可能であったかどうかを判断する。内容が検証されなかった場合、動作は、ステップ885に進み、そこで、サプリカントのリンクは、切断され、動作が終了する。
【0080】
ステップ815において、内容が検証される場合、動作は、ステップ820に継続され、そこで、メッシュ・オーセンティケータは、MSDIE、EMSAIE、及びRSNIEを構築し、アソシエーション応答を送るために用いる。言い換えると、メッシュ・オーセンティケータは、サプリカントと連携して、認証を許可する。メッシュ・オーセンティケータは、鍵文脈をサプリカントに提供し、サプリカントは、鍵の導出が可能になる(PMK−MA)。
【0081】
次に、ステップ825において、メッシュ・オーセンティケータは、MKDによる通信用のEAPトランスポート・プロトコルを用いて、サプリカントとのEAP認証を開始する。言い換えると、MAは、サプリカントから受信されたEAPメッセージをAAAクライアントに、また、その反対にトランスポートし、サプリカントの認証を可能にする。次に、ステップ830において、メッシュ・オーセンティケータは、MKDによる鍵転送プロトコルを実行して、PMK−MAを取得する。MAは、サプリカントの代わりに導出鍵を取得する。
【0082】
次に、ステップ835において、メッシュ・オーセンティケータは、MKDから受信されたANonceを含む4段階ハンドシェーク#1メッセージを構築する。次に、ステップ840において、メッシュ・オーセンティケータは、4段階ハンドシェーク#2メッセージを待機し、それを受信する。次に、メッシュ・オーセンティケータは、4段階ハンドシェーク#2メッセージにおけるSNonceを用いて、PTKを算出する。ステップ850において、メッシュ・オーセンティケータは、MICが有効であることを確認する。それが有効ではない場合、動作は、ステップ845に戻る。それが有効である場合、メッシュ・オーセンティケータは、ステップ855において、メッセージ内容が正しいかどうかを判断する。メッセージ内容が正しくない場合、動作は、ステップ885に進み、そこで、サプリカントのリンクは、切断され、動作が終了する。
【0083】
メッセージ内容が正しい場合、動作は、ステップ860に進み、そこで、メッシュ・オーセンティケータは、GTKを復号し、サプリカントのマルチキャストトラフィックを受信するためにそれをインストールする。次に、ステップ865において、メッシュ・オーセンティケータは、MAのGTKを含むMSDIE、EMSAIE、RSNIE、及び鍵データカプセル(KDE)を構築する。メッシュ・オーセンティケータは、更に、PTKを用いて、これらを暗号化し、4段階ハンドシェーク#3メッセージに挿入する。メッシュ・オーセンティケータは、更に、MICを算出し、メッセージに挿入し、そして、そのメッセージをサプリカントに送る。
【0084】
次に、ステップ870において、メッシュ・オーセンティケータは、4段階ハンドシェーク#4メッセージを待機し、それを受信する。そして、ステップ875において、メッシュ・オーセンティケータは、MICが有効かどうかを判断する。MICが有効ではない場合、動作は、ステップ870に戻る。MICが有効である場合、動作は、ステップ880に継続し、そこで、メッシュ・オーセンティケータは、802.1X制御式ポートを開き、サプリカントで用いるためにPTKをインストールする。そして、動作が終了する。
【0085】
図9は、本発明の幾つかの実施形態に基づく高速セキュリティ・アソシエーション中の代表的なネットワーク動作900のメッセージ伝達図を示す。簡易EMSAハンドシェークメカニズムは、初期EMSA認証を完了したサプリカントMPがその発見及び選択手順を完了した後、開始し得る。このメカニズムによって、サプリカントMPは、MAとノンスを交換し、アソシエーションの前にPTKを確立し得る。
【0086】
サプリカントMPは、MAが、(MSDIEによってアドバタイズされる)メッシュセキュリティドメイン、及びサプリカントMPが初期EMSA認証を実施した(メッシュID IEによってアドバタイズされる)メッシュのメンバでない限り、MAとの簡易EMSAハンドシェークを開始しない。簡易EMSAハンドシェークメカニズムを実施する場合、サプリカントMPは、4メッセージ交換を開始する。
【0087】
図9に示すように、メッシュ・オーセンティケータが、サプリカントの接続を可能にするサービスをアドバタイズした後、動作は、サプリカント120及びメッシュ・オーセンティケータ115が、例えば、802.11規格に基づく認証管理フレームを用いて、認証メッセージ905を交換して始まる。次に、メッシュ・オーセンティケータ115とメッシュ鍵ディストリビュータ110との間の鍵配信910が、実施され、そこで、メッシュ・オーセンティケータ115は、導出鍵を得て、サプリカント120とのハンドシェークが可能になる。そして、メッシュ・オーセンティケータ115は、PTKを導出して、サプリカントとのリンクをセキュアにし、その後、例えば、802.11規格に基づくアソシエーションフレームを用いて、サプリカント120とメッシュ・オーセンティケータ115との間のアソシエーションが、実施される。最後に、サプリカント120とメッシュ・オーセンティケータ115との間のルーティング設定920が、完了する。
【0088】
図10は、本発明の幾つかの実施形態に基づくサプリカント120とメッシュ・オーセンティケータ115との間の高速リンク確立のための通信を更に詳述するメッセージ伝達図1000を示す。図10に示すように、認証メッセージ#1 1005は、サプリカント120からメッシュ・オーセンティケータ115に送られる。認証メッセージ1 1005には、以下のものが含まれる:
●MSDIE:そのビーコン及びプローブ応答においてMAによってアドバタイズされた通りに構成される。
●EMSAIE:以下を含む;
●MA−IDは、メッシュ・オーセンティケータ115のMACアドレスに設定される、
●SNonceは、サプリカント120によってランダムに選択された値に設定される、
●ゼロに設定された他の全てのフィールド。
●RSN IE:
●PMKIDフィールドは、サプリカントの初期EMSA認証中に得たPMK−MKD名を含む、
●他の全てのフィールドは、サプリカント120の構成に従って設定される。
【0089】
MAは、第1メッセージを受信した後、PMK−MA名を算出する。PMK−MA名によって識別される鍵を保有していない場合、鍵転送プロトコルを用いて、それをMKDから検索し得る。
【0090】
そして、メッシュ・オーセンティケータ115は、認証メッセージ#2 1010をサプリカント120に送る。認証メッセージ#2 1010には、次のものが含まれる:
●MSDIE:そのビーコン及びプローブ応答においてMAによってアドバタイズされた通りに構成される。
●EMSAIE:以下を含む;
●第1認証メッセージ1005からのSNonce
●MA−ID:MAのMACアドレス
●ANonce:MAによってランダムに選択された値に設定される
●ゼロに設定された他の全てのフィールド
●RSN IE:
●第1認証メッセージ1005にあるように設定されたPMKIDフィールド
●ビーコン−プローブ応答においてMAによってアドバタイズされたRSNIEにあるような他の全てのフィールド。
【0091】
認証メッセージ#2 1010が伝達された後、サプリカント120は、PMK−MA及びPMK−MA名を算出し得る。更に、サプリカント及びMAは、双方共、PTK及びPTK名を算出する。
【0092】
次に、サプリカント120は、アソシエーション要求1015をメッシュ・オーセンティケータ115に送る。アソシエーション要求IEには、以下のものが含まれる:
●MSDIE:第1認証メッセージ1005にある通り
●EMSAIE:以下を含む;
●第2認証メッセージ1010にあるようなANonce、SNonce、及びMA−ID
●サプリカントMPのGTK(PTKを用いて暗号化済み)
●MICを算出するために用いられる暗号アルゴリズムを示すように設定されたMIC制御フィールドのMICアルゴリズムサブフィールド
●MIC制御フィールドの情報要素カウントフィールドは、このフレームにおける情報要素の数3に設定される。
【0093】
●MICは、PTKを用いて、MICアルゴリズムサブフィールドによって選択されたアルゴリズムによって、以下の順番での連結により、算出される。即ち、
○SPA(サプリカントMACアドレス)
○MA MACアドレス
○トランザクションシーケンス番号(1オクテット)、値3に設定
○MSDIEの内容
○EMSAIEの内容、MICフィールドは0に設定
○RSNIEの内容
●ゼロに設定された他の全てのフィールド
●RSN IE:PMKIDフィールドは、PMK−MA名を含んでおり、他の全てのフィールドは、サプリカント120の構成に基づき設定される。
【0094】
MAは、EMSAIEにおけるMICを検証し、メッセージが正しくない場合、それを廃棄する。MAは、GTKのアンラップを行い、サプリカントから受信されるブロードキャストメッセージの復号に用いるためにインストールする。
【0095】
最後に、メッシュ・オーセンティケータ115は、アソシエーション応答1020をサプリカント120に送る。アソシエーション応答IEには、以下のものが含まれる:
●MSDIE:第2認証メッセージ1010にある通り
●EMSAIE:以下を含む;
●第2認証メッセージ1010にあるようなMA−ID、ANonce、及びSNonce
●MAのGTK(PTKを用いて暗号化済み)
●MICを算出するために用いられる暗号アルゴリズムを示すように設定されたMIC制御フィールドのMICアルゴリズムサブフィールド
●MIC制御フィールドの情報要素カウントフィールドは、このフレームにおける情報要素の数3に設定するものとする。
【0096】
●MICは、PTKを用いて、MICアルゴリズムサブフィールドによって選択されたアルゴリズムによって、以下の順番での連結により、算出される。即ち、
○SPA(サプリカントMACアドレス)
○MA MACアドレス
○トランザクションシーケンス番号(1オクテット)、値4に設定
○MSDIEの内容
○EMSAIEの内容、MICフィールドは0に設定
○RSNIEの内容
●ゼロに設定された他の全てのフィールド
●RSN IE:PMKIDフィールドは、PMK−MA名を含んでおり、他の全てのフィールドは、ビーコン−プローブ応答において、MAによってアドバタイズされるRSNIEにあるように構成される。
【0097】
サプリカント120は、EMSAIEのMICを検証し、メッセージが正しくない場合、それを廃棄する。サプリカント120は、GTKのアンラップを行い、MA115から受信されるブロードキャストメッセージの復号に用いるために、それをインストールする。
【0098】
手順が正常に完了した後、MPは、関連付けられ、PTKは、2つのMP間のデータトラフィックの保護に用いられる。MAによって、サプリカントは、802.1X制御式ポートを介して、PTKを用いて、保護されたトラフィックを送り得る。
【0099】
図11は、本発明の幾つかの実施形態に基づく高速リンク確立中のメッシュ・オーセンティケータの代表的動作1100を示すフローチャートである。図11に示すように、動作は、ステップ1105で始まり、この時、メッシュ・オーセンティケータは、MSDIEを含む認証メッセージを受信する。次に、ステップ1110において、メッシュ・オーセンティケータは、受信認証要求のMSDIEがMAのセキュリティドメインをアドバタイズすること、及びRSNIEポリシーがローカルポリシーに整合することを検証する。次に、ステップ1115において、内容が検証されたかどうかを判断する。内容が検証されなかった場合、動作は、終了する。内容が検証された場合、動作は、ステップ1120に続き、そこで、メッシュ・オーセンティケータは、それが、PMK−MA名によって呼ばれる鍵のローカルコピーを有するかどうかを判断する。ローカルコピーを有しない場合、動作は、ステップ1125に進み、そこで、メッシュ・オーセンティケータは、第1認証メッセージにおいて識別されたMKDにより、鍵転送プロトコルを実行して、PMK−MAを受信する。
【0100】
次に、メッシュ・オーセンティケータが、鍵のローカルコピーを有する場合、動作は、ステップ1130に進み、そこで、メッシュ・オーセンティケータは、ランダムなANonceを選択し、MSDIE、EMSAIE、及びRSNIEを構築し、認証メッセージ#2を送る。
【0101】
次に、ステップ1135において、メッシュ・オーセンティケータは、第1の受信認証メッセージからのSNonce及びローカルに選択されたANonceを用いて、PTKを算出する。そして、メッシュ・オーセンティケータは、ステップ1140において、アソシエーション要求IEを待機し、受信する。受信すると、動作は、ステップ1145に続き、そこで、メッシュ・オーセンティケータは、MICが有効であるかどうかを判断する。MICが有効でない場合、動作は、ステップ1140に戻る。MICが有効である場合、動作は、ステップ1150に続き、そこで、メッシュ・オーセンティケータは、サプリカントのマルチキャストトラフィックを受信するためのGTKを復号し、インストールする。
【0102】
次に、ステップ1155において、メッシュ・オーセンティケータは、MSDIE、EMSAIE、及びRSNIEを構築し、PTKを用いて、そのGTKを暗号化し、それをEMSAIEに挿入し、MICを算出し、それをEMSAIEに挿入し、アソシエーション応答を構築し送る。最後に、メッシュ・オーセンティケータは、それ自体とサプリカントとの間のユニキャスト・トラフィックを保護するためのPTKをインストールする。
【0103】
本発明は、認証を2つのステップ、即ち、初期の第1連絡ステップ(AAAベースの認証)と、第1連絡中に生成された鍵材料を再利用する“軽量”ステップとに分離する。
本発明は、更に、オーセンティケータの役割を2つの部分に分割する。メッシュ・オーセンティケータの第1の役割は、802.1Xポートアクセスエンティティ(PAE)を実装し、4段階ハンドシェークを介して、サプリカントメッシュ点での暗号化に用いられる一時鍵を導出し、鍵ディストリビュータとのバックエンド通信を取り扱うことである。メッシュ・オーセンティケータの第2の役割は、AAAクライアントを実装し、また、第1連絡又は高速セキュリティ・アソシエーション中に、メッシュ点を認証するために用いられる鍵を導出する鍵ディストリビュータとしてのものである。鍵ディストリビュータ及びオンラインのAAAサーバは、これらのメッセージがメッシュリンク上でトランスポートされることなく、Radiusを用いて、互いに通信を行い得る。
【0104】
本発明は、更に、レイヤ2プロトコルを用いて、鍵配信課題を解決する。これは、EAP認証メッセージをサプリカントメッシュ点から鍵ディストリビュータにトンネルさせる。更に、メッシュ鍵ディストリビュータから鍵材料の配信を引き出す。これらのタスクを効率的に実施し、また、レイヤ2において指定し得るプロトコル及びフレームタイプを用いる。
【0105】
上記明細書において、本発明の特定の実施形態について述べた。しかしながら、当業者が理解されるように、以下の請求項に記載した本発明の範囲から逸脱することなく、様々な修正及び変更を行い得る。従って、明細書及び図は、限定的であるというよりもむしろ例示的であると見なすべきものであり、また、全てのそのような修正は、本発明の範囲内に含まれるものとする。恩恵、利点、問題に対する解決策、及び何らかの恩恵、利点、又は解決策を生じさせる又はより顕著にし得るあらゆる要素(1つ以上)は、全ての請求項の決定的な、必要な、若しくは不可欠な特徴又は要素と解釈すべきものではない。本発明は、添付の請求項によってのみ規定され、本出願の係属中になされるあらゆる補正や発効時のそれら請求項の全ての等価なものを含む。
【技術分野】
【0001】
本発明は、一般的に、無線通信に関し、特に、アドホック無線ネットワーク内におけるノード間のセキュリティ・アソシエーションの確立に関する。
【背景技術】
【0002】
インフラベースの無線ネットワークには、通常、固定及び有線のゲートウェイを備えた通信ネットワークが含まれる。インフラベースの無線ネットワークは、有線ネットワークに接続されている固定基地局と通信を行う移動ユニット又はホストを用いるものが多い。移動ユニットは、基地局への無線リンク上で通信を行いつつ、地理的に移動し得る。移動ユニットは、1つの基地局の範囲外に移動した場合、新しい基地局に接続、即ち、“ハンドオーバ”して、新しい基地局を介して有線ネットワークとの通信を開始し得る。
【0003】
セル方式ネットワーク又は衛星ネットワーク等のインフラベースの無線ネットワークとの比較において、アドホック・ネットワークは、何の固定インフラも無い状態で動作し得る自己形成ネットワークであり、場合によっては、アドホック・ネットワークは、全体が、移動ノードで形成されることもある。アドホック・ネットワークには、通常、多数の地理的に分散された潜在的な“ノード”と称し得る移動ユニットが含まれ、これらは、1つ以上のリンク(例えば、無線周波数通信チャネル)によって無線で互いに接続される。ノードは、インフラベース又は有線のネットワークのサポート無しで無線媒体を介して互いに通信を行い得る。
【0004】
無線通信ネットワークが益々普及するにつれて、セキュリティは、通信ネットワークプロバイダ及びエンドユーザ双方にとって、引き続き主要な関心事である。このことは、データを多くのノードによって容易に受信して操作し得るため、セキュリティ環境が最大の課題であり得る移動無線ネットワークを用いる場合、最も顕著である。無線ネットワークに用いられる無線リンクは、ネットワークを横断する伝送信号やデータを傍受者及び/又は自称ハッカーにさらす。マルチホップ無線ネットワークでは、これにより、メッシュ装置における各リンクは、マルチホップ認証及び鍵管理プロセスを通して、固有のセキュリティ・アソシエーションを確立する必要がある。そして、リンク上の電波フレームは、確立されたセキュリティ・アソシエーションにより保護することができる。
【0005】
現在のセキュリティ解決策では、通常、認証サーバとネットワークをつなぐノードとの間にセキュリティ・アソシエーションを確立する。残念なことに、ノードが、認証サーバとの認証を終えるのに10秒かかることがある。例えば、移動局が、アクセスポイントと連携する場合、利用可能な技法があり、これにより移動局は、ネットワークとの第1連絡中にそれが確立する鍵材料を用いて、ネットワークにおける他のアクセスポイントとの今後の再接続を加速することができる。例えば、IEEE802.11r規格に対して現在提案されている1つの解決策には、オンライン認証サーバによる完全な認証による第1連絡ステップと、第1連絡中に確立された鍵材料を再利用して、セキュリティハンドシェーク処理を加速する基本メカニズムとが含まれる。完全な認証は、後続のリンク確立に用いるための鍵階層構造を確立し、これによって、アクセスポイント間の高速の局移行をサポートする。
【0006】
メッシュノードが、メッシュネットワークをつなぎ、そのメッシュ近隣の1つとセキュリティ保護されたリンクを確立する場合、加速セキュリティメカニズムを提供し、メッシュノードと、素早くメッシュのメンバになる複数の他の隣接メッシュノードとの間のセキュアなリンクを可能にすることが、有益である。
【図面の簡単な説明】
【0007】
【図1】本発明の幾つかの実施形態に基づく代表的なアドホック無線ネットワークを示す図。
【図2】図1のネットワーク内における本発明の幾つかの実施形態の実装のためのメッシュ鍵階層構造を示す図。
【図3】本発明の幾つかの実施形態に基づく図1のネットワーク内において、サプリカントメッシュ点にメッシュ・オーセンティケータによって提供される様々なサービスをまとめた図。
【図4A】本発明の幾つかの実施形態に基づく図1のネットワーク内におけるビーコン及びプローブ応答フレーム用のメッセージフォーマットを示す図。
【図4B】本発明の幾つかの実施形態に基づく図4Aのメッセージフォーマットのメッシュセキュリティドメイン情報要素の代表的なフィールド構造を示すブロック図。
【図5】本発明の幾つかの実施形態に基づく図4Aのメッセージフォーマットの一部において定義された認証−鍵管理(AKM)スイートを示す図。
【図6】本発明の幾つかの実施形態に基づく図1のネットワークの要素間における代表的な対話を示すメッセージシーケンスチャート。
【図7A】本発明の幾つかの実施形態に基づく図6の代表的な対話の更なる詳細を示す図。
【図7B】本発明の幾つかの実施形態に基づく図6及び7Aの代表的な対話において用いるための効率的なメッシュセキュリティ・アソシエーション情報要素の代表的なフィールド構造を示すブロック図。
【図8】本発明の幾つかの実施形態に基づく図1のネットワーク内において動作するメッシュ・オーセンティケータの代表的な動作を示すフローチャート。
【図9】本発明の幾つかの実施形態に基づく図1のネットワークの要素間における対話を示すメッセージシーケンスチャートを示す図。
【図10】本発明の幾つかの実施形態に基づく図9のメッセージ伝達シーケンスチャートの更なる詳細を示す図。
【図11】本発明の幾つかの実施形態に基づくネットワーク内における図1のメッシュ・オーセンティケータの代表的な動作を示すフローチャート。
【発明を実施するための形態】
【0008】
当業者は、図の要素が、簡単明瞭に示されており、必ずしも縮尺通りに描かれていないことを認識されたい。例えば、図の要素には、本発明の実施形態の理解の改善を支援するために、他の要素に対して寸法が誇張されたものもある。
【0009】
本発明に基づく実施形態について詳細に述べる前に、本実施形態は、本来、アドホック無線ネットワークのノード間におけるセキュリティ・アソシエーションの確立に関連した方法ステップと装置構成要素の組合せに存することに留意されたい。従って、装置構成要素及び方法ステップは、図面において、適宜、従来の記号によって表されており、本明細書の説明の恩典を受ける当業者にとって自明の細部で本開示を不明瞭にしないように、本発明の実施形態の理解に関連する特定の細目だけを示している。
【0010】
本明細書において、第1及び第2、最上部及び底部等の関係を示す用語は、単に、1つのエンティティ又はアクションと他のエンティティ又はアクションとを、そのようなエンティティ又はアクション間におけるそのような何らかの実際の関係又は順番を必ずしも要求又は意味することなく、区別するために用い得る。用語「を含む」、「が含まれる」又はそのあらゆる他の派生語は、非排他的包含を網羅するように意図されており、これにより、一連の要素を含むプロセス、方法、物又は装置が、それらの要素だけでなく、明示的に列記されていない他の要素や、このようなプロセス、方法、物又は装置に固有の他の要素も含み得る。“(不定冠詞付きの名詞)が含まれる”が続く要素は、更なる制限を受けることなく、その要素が含まれるプロセス、方法、物又は装置における他の類似の要素の存在を除外しない。
【0011】
本明細書に述べた本発明の実施形態には、1つ以上の従来のプロセッサ並びに1つ以上のプロセッサを制御して、或る非プロセッサ回路と共に、本明細書に述べたアドホック無線ネットワークのノード間におけるセキュリティ・アソシエーションを確立する一部の、ほとんどの、又は全ての機能を実装する特有の記憶プログラム命令が含まれ得ることを認識されたい。非プロセッサ回路には、これらに限定するものではないが、無線受信機、無線送信機、信号ドライバ、クロック回路、電源回路、及びユーザ入力装置を含み得る。このように、これらの機能は、アドホック無線ネットワークのノード間におけるセキュリティ・アソシエーションを確立する方法のステップとして解釈し得る。他の選択肢として、幾つかの又は全ての機能は、記憶プログラム命令を有さない状態機械によって、又は1つ以上の特定用途向け集積回路(ASIC)において実装され得るが、この場合、各機能又は或る機能の幾つかの組合せは、個別仕様論理回路として実装される。もちろん、これら2つの取り組み方法の組合せを用いることもできる。従って、これらの機能のための方法及び手段について、本明細書に述べた。更に、当業者は、例えば、利用可能な時間、現在の技術、及び経済的な要件によって動機付けられる恐らく多大な労力や多くの設計選択肢にもかかわらず、本明細書に開示された概念及び原理によって導かれると、最小の実験作業でそのようなソフトウェア命令やプログラム及びICを容易に生成し得ることが期待される。
【0012】
メッシュネットワーク用の効率的なセキュリティ解決策は、2つの能力に依存する。即ち、サプリカントメッシュ点が、メッシュネットワークとのセキュアなアソシエーションを生成する能力と、サプリカントが、第1連絡で生成された鍵材料を再利用して、メッシュとの追加のリンクを効率的に確立する能力とに依存する。第2の特徴は、特に、厄介な実装上の問題、即ち、メッシュネットワークのメンバ間の各アソシエーションが、第1連絡と同じ時間(10秒を超えることもある)を要求する場合に起こり得る経路確立ボトルネックを回避する。
【0013】
サプリカントメッシュ点の近傍にあり得るノードの数は大きいことがあるため、また、ノードがその近隣にルーティングメッセージを送る前にセキュリティ・アソシエーションはノが必要であるため、次のことが重要である。つまり、あるメカニズムを各メッシュ・オーセンティケータの所定の位置に置き、それとメッシュ鍵ディストリビュータとの間で通信を行わせ、第1連絡時にサプリカントメッシュ点によって生成された鍵材料に基づき、導出された鍵を取得すること。更に、メッシュ・オーセンティケータが、サプリカントメッシュ点に、それが必要とする情報を提供させ、この鍵材料を識別し、また、それが、効率的なセキュリティ・アソシエーション交換を完了するために用いられるように要求することである。
【0014】
本発明には、セキュリティ・アソシエーションの効率的な確立をサポートするメッシュ・オーセンティケータメカニズムが含まれる。このメカニズムは、その近隣の能力及び基本設定に依存して、メッシュ・サプリカント又はメッシュ・オーセンティケータの役割のいずれかで動作することができ、メッシュ・オーセンティケータの役割で動作する場合、認証メッセージを中継し、また、メッシュ鍵ディストリビュータから鍵伝達を要求し得る。本発明に基づき実装されると、メッシュ・オーセンティケータは、情報をブロードキャストし、これによって、サプリカントメッシュ点は、メッシュに接続し、また、それ自体及びメッシュ鍵ディストリビュータとのセキュリティ・アソシエーションを確立し得る。更に、鍵配信階層構造からの鍵を維持するが、これらの鍵によって、サプリカントメッシュ点近隣とのセキュリティ・アソシエーションを確立するために用いられる鍵を要求し鍵のアンラップを行うことができる。最後に、オーセンティケータは、サプリカントメッシュ点から鍵ディストリビュータへの拡張可能認証プロトコル(EAP)の認証メッセージのトランスポートをサポートし、また、メッシュ鍵ディストリビュータからの鍵材料の配信をサポートする。
【0015】
本発明において備えられたメッシュ・オーセンティケータは、2つの組の導出鍵を維持する。1つは、それ自体と鍵ディストリビュータとの間の鍵トランスポート用、また、第2組目は、そのピアとの通信用である。これらの組の導出鍵は、メッシュ・オーセンティケータが、認証、認可、及びアカウンティング(AAA)サーバによるEAP認証を実施した時に生成された単一のマスタ鍵から生成される。これは、メッシュ・オーセンティケータの役割に対する明示的な別個の認証を要求するよりもむしろ、メッシュ・オーセンティケータを設定する効率的な方法を提示する。オーセンティケータは、サプリカントメッシュ点によって用いられる情報をブロードキャストするが、この情報は、第1連絡中にそれが生成した鍵階層構造の使用を許可するメッシュセキュリティドメインにおけるメッシュ点オーセンティケータを選択するために用いられる。オーセンティケータは、更に、レイヤ2プロトコル及び所定のデータフレームを用いて、鍵ディストリビュータと通信を行う。メッシュ鍵ディストリビュータと通信を行うためのレイヤ2プロトコルを用いるメッシュ・オーセンティケータの能力により、効率的なメッシュセキュリティ・アソシエーションを実装するのに必要なセキュリティプロトコルが可能になる。
【0016】
本発明では、効率的なメッシュセキュリティ・アソシエーション(EMSA)サービスは、無線メッシュネットワークにおける2つのメッシュ点(MP)間のリンクセキュリティの効率的な確立を行うために用いられる。EMSAサービスは、メッシュ鍵階層構造、即ち、事前共有鍵(PSK)を利用して確立される導出鍵の階層構造を利用して、又はMPが、AAAサーバによる認証(即ち、IEEE802.1X認証)を実施する際、提供される。
【0017】
EMSAの動作は、通常、無線メッシュネットワーク内のMPにおいて実装されるメッシュ鍵ホルダ(holder)に依拠する。2つの種類のメッシュ鍵ホルダ、即ち、メッシュ・オーセンティケータ(MA)及びメッシュ鍵ディストリビュータ(MKD)が、定義される。本発明の幾つかの実施形態において、メッシュセキュリティドメインにおける複数のメッシュ・オーセンティケータ用のメッシュ鍵ディストリビュータ(MKD)は、中央コントローラに実装され得るが、この中央コントローラは、有線ネットワークに存在し、また、メッシュポータルサービスを提供する複数のメッシュ点を介して、複数のメッシュ・オーセンティケータが到達可能なものである。
【0018】
EMSAは、MAとのMPの初期のアソシエーション中に交換される情報を提供するので、“初期EMSA認証”と称される。同じメッシュセキュリティドメイン(及びメッシュ識別情報(ID)によって識別される同じ無線ローカルエリアネットワーク(WLAN)メッシュ)内における他のMAとの後続のアソシエーションは、簡易EMSAハンドシェークメカニズムを用い得る。
【0019】
EMSAは、更に、メッシュ鍵ホルダ間のセキュアな通信のためのメカニズムを提供する。
図1は、本発明の幾つかの実施形態に基づく代表的なアドホック無線ネットワーク100を示す。アドホック無線ネットワーク100は、例えば、メッシュ型アーキテクチャ(MEA)ネットワーク又は802.11ネットワーク(即ち、802.11a、802.11b、802.11g、又は802.11s)であってよい。本発明に基づく通信ネットワーク100は、他の選択肢として、パケットが複数の無線ホップ間で転送される任意のパケット式通信ネットワークを含み得ることを当業者は、認識されるであろう。例えば、アドホック無線ネットワーク100は、OFDMA(直交周波数分割多元接続)、TDMA(時分割多元接続)、GPRS(汎用パケット無線サービス)及びEGPRS(エンハンスドGPRS)等のパケットデータプロトコルを利用するネットワークであってよい。更に、パケット式通信ネットワーク100の各無線ホップは、他のホップと同じパケットデータプロトコルを用いてもよく又はホップ毎に固有のパケットデータプロトコルを用いてもよい。
【0020】
図1に示すように、アドホック無線ネットワーク100には、認証サーバ(AS)105が含まれる。認証サーバ105は、アドホック無線ネットワーク100内における様々なノードに認証サービスを提供するように機能するが、以下説明する。一般的に、認証サーバ105は、オーセンティケータのためにサプリカントのクレデンシャルをチェックするために必要な認証機能を実施し、サプリカントが、ネットワークのサービスにアクセスすることが認可されているかどうかを示す。本発明の一実施形態において、認証サーバ105は、有線ネットワークセクション(ここで、ホストの物理的なセキュリティを提供可能)に配置される。例えば、認証サーバ105は、拡張可能認証プロトコル−トンネルトランスポートレイヤセキュリティ/拡張可能認証プロトコル−トランスポートレイヤプロトコル(EAP−TTLS/EAP−TLS)型のリモート認証ダイヤルインユーザサービス(RADIUS)サーバであって、集中認証用であってよい。
【0021】
認証サーバ105に通信可能に接続されているのは、メッシュ鍵ディストリビュータ(MKD)110である。メッシュ鍵ディストリビュータ110は、鍵を導出し、1つ以上のメッシュ・オーセンティケータ115−nに配信する。メッシュ鍵ディストリビュータ110は、更に、認証、認可、及びアカウンティング(AAA)クライアントを実装し、認可サーバ105とセキュリティメッセージを交換する。
【0022】
メッシュ鍵ディストリビュータ110に通信可能に接続されているのは、1つ以上のメッシュ・オーセンティケータ(MA)115−nである。2つのメッシュ・オーセンティケータ115−1、115−2を図1のアドホック無線ネットワーク100に示すが、1つの又は任意の複数のメッシュ・オーセンティケータを本発明に基づき用い得ることを認識されるであろう。メッシュ・オーセンティケータ115−nは、(a)サプリカント(即ち、メッシュ点(MP)サプリカント120)の接続を可能にするサービスを広告し、(b)EAP認証メッセージ転送サービスを提供し、(c)メッシュ鍵ディストリビュータ110から導出鍵を要求又は取得し、サプリカント120をアドホック・ネットワーク100に接続させ、又は、新しいセキュリティ・アソシエーションを確立させ、(d)対となる一時鍵(PTK)を導出して、サプリカント120とのリンクをセキュアにする。メッシュ・オーセンティケータ115−nは、メッシュ鍵ディストリビュータ110からセキュリティ・アソシエーションを確立するために用いられる鍵材料を取得する。
【0023】
本明細書に述べるように、図1のアドホック無線ネットワーク100等のネットワークに実装される本発明は、2種類の認証を提供する。即ち、初期EMSA認証と称する初期の第1連絡ステップ(AAAベースの認証)と、第1連絡中に生成された鍵材料を再利用する簡易EMSAハンドシェークと称する“軽量”ステップと、を提供する。
【0024】
本発明の幾つかの実施形態の動作中に、メッシュ鍵ホルダ、即ち、MA及びMKDは、鍵導出及びセキュアな鍵配信を実施することによって、メッシュ鍵階層構造を管理する。メッシュセキュリティドメインは、単一のMKD110の存在によって定義されるが、これは、本発明の幾つかの実施形態では、メッシュ中のメッシュ点(MP)に実装される。本明細書で上述したように、メッシュセキュリティドメイン内において、幾つかのMA115−nが存在し、各々、MPに実装され、また、各MA115−nは、MKD110への経路及びそれとのセキュリティ・アソシエーションの双方を維持する。
【0025】
MKD110は、鍵を導出して、メッシュ鍵階層構造を生成し、導出鍵をMA115−nに配信する。本発明の幾つかの実施形態において、MKDエンティティを実装する装置は、MAエンティティも実装する。MA115−nは、サプリカントMP120によって開始された効率的なメッシュセキュリティ・アソシエーション(EMSA)交換(初期EMSA認証及び簡易EMSAハンドシェークを含む)に加わる。MA115−nは、MKD110から導出鍵を受信し、サプリカントMP120とのリンクをセキュアにするために用いられる追加の鍵を導出する。
【0026】
図2は、本発明の幾つかの実施形態を実装するためのメッシュ鍵階層構造200を示す。本メッシュ鍵階層構造によって、MPは、IEEE802.1X認証を毎回実施することなく、ピアMPとのセキュアなアソシエーションを生成し得る。メッシュ鍵階層構造は、IEEE802.1X認証又は対となるセッション鍵(PSK)のいずれにも用い得る。本明細書での例示のために、PSKは、単一のMP及び単一のMKDに特有であると仮定する。
【0027】
本発明の鍵階層構造は、メッシュ内で用いるための2つのブランチを含む。リンクセキュリティブランチ240は、3つのレベルを含んでおり、メッシュ鍵ホルダ間の鍵の配信をサポートし、サプリカントMPとMAとの間の簡易EMSAハンドシェークを行わせる。鍵配信ブランチ245は、鍵を提供して、メッシュ鍵ホルダ間の鍵のトランスポート及び管理をセキュアにする。
【0028】
図2に示すように、マスタセッション鍵(MSK)205は、各サプリカント用に、それがメッシュに接続する時、生成される。マスタセッション鍵205は、MPの拡張可能認証プロトコル(EAP)認証中に生成され、また、メッシュ鍵ディストリビュータ110に(例えば、リモート認証ダイヤルインユーザサービス(RADIUS)を介して)配信される鍵材料である。XXKey210は、MSK205の一部である。XXKey210は、対となるセッション鍵(PSK)、又はマスタセッション鍵(MSK)の後半の256ビットのいずれかである。
【0029】
メッシュ鍵ディストリビュータ110は、AS105とサプリカントMP120との間の正常なIEEE802.1X認証から生じるPSK又はMSKのいずれかから両ブランチ用の第1レベル鍵を生成する。例えば、図示するように、第1導出鍵、対となるマスタ鍵メッシュ鍵ディストリビュータ(PMK−MKD)215は、MSK又はPSK及びメッシュIDの関数として導出される。それは、サプリカントMP120及びPMK−MKD鍵ホルダ、即ち、MKD110によって記憶される。この鍵は、サプリカントMP120及びMKD110によって互いに導出される。サプリカントMP120とメッシュセキュリティドメインとの間で導出された単一のPMK−MKD215だけが存在する。
【0030】
メッシュ鍵ディストリビュータ110は、鍵導出関数(KDF)を用いて、鍵階層構造における鍵を生成する。鍵導出関数は、入力として、秘密鍵(既知のマスタ鍵)及び秘密でない情報の双方を受け取り、また、導出鍵として知られている新しい秘密鍵を出力する関数である。鍵導出関数は、不可逆であり、これにより導出鍵及び秘密でない情報の双方の知識は、マスタ鍵に関する情報を一切提供しない。
【0031】
メッシュ鍵階層構造リンクセキュリティブランチ240の上位レベル鍵、PMK−MKD215は、ネゴシエートされたAKMから生じた鍵材料でサプリカントMACアドレス(SPA)、メッシュセキュリティドメイン識別子、及びメッシュIDを束縛する。PMK−MKD215は、次のように導出される:
PMK−MKD=KDF−256(XXKey,“MKD鍵導出”,メッシュID長||メッシュID||MSD−ID||0x00||SPA)
上式において、
●KDF−256は、長さ256ビットの鍵を生成するために用いられるKDFである。
●XXKeyは、MSKの後半の256ビット、又はPSKのいずれかである。
●“MKD鍵導出”は、0x4D4B44204B65792044657269766174696F6Eである。
●メッシュID長は、メッシュIDにおけるオクテットの数である値を有する単一のオクテットである。
●メッシュIDは、メッシュ識別子であり、ビーコン及びプローブ応答に出現する可変長オクテット列である。
●MSD−IDは、初期EMSA認証中に用いられたメッシュセキュリティドメイン情報要素からの48オクテット・メッシュセキュリティドメイン識別子フィールドである。
●SPAは、サプリカントMPのMACアドレスである。
【0032】
PMK−MKDは、次のように、参照され、また、命名される:
PMK−MKD名=Truncate−128(SHA−256(“MKD鍵名”||メッシュID長||メッシュID||MSD−ID||0x00||SPA||ANonce))
上式において、
●“MKD鍵名”は、0x4D4B44204B6579204E616D65である
●ANonceは、PMK−MKDホルダ(MKD)によって生成され、PMK−MAと共にMAに配信され、また、初期EMSA認証中にMAによってサプリカントMPに提供される予測不可能なランダムな値である。
●Truncate−128(−)は、その引数の前半の128ビットを返し、残りをセキュアに破壊する。
【0033】
MKD110は、更に、第2の導出鍵、対となるマスタ鍵メッシュ・オーセンティケータ(PMK−MA)220−nを生成し、高速セキュリティ・アソシエーションを可能にする。MKD110は、必要に応じて、各MA115−nに対して、固有のPMK−MA220−nを導出する。PMK−MA220−nは、適切なMA115−nに配信される。例えば、図2に示すように、PMK−MA220−1は、MA115−1に配信される。PMK−MA220−nは、サプリカントMP120及びMKD110によって互いに導出される。それは、MKD110によってMA115−nに配信され、サプリカントMP120とMA115−nとの間のメッシュハンドシェーク終了を許可する。
【0034】
メッシュ鍵階層構造リンクセキュリティブランチ240の第2レベル鍵、PMK−MA220−nは、PTK225を導出するために用いられる256ビット鍵である。PMK−MA220−nは、SPA、MKD、及びMAを束縛し、次のように導出される:
PMK−MA=KDF−256(PMK−MKD,“MA鍵導出”,PMK−MKD名||MA−ID||0x00||SPA)
上式において、
●KDF−256は、長さ256ビットの鍵を生成するために用いられるKDFである。
●“MA鍵導出”は、0x4D41204B65792044657269766174696F6Eである。
●MA−IDは、PMK−MAのホルダ(MA)の識別子である。
●SPAは、サプリカントMPのMACアドレスである。
【0035】
PMK−MAは、次のように、参照され、また、命名される:
PMK−MA名=Truncate−128(SHA−256(“MA鍵名”||PMK−MKD名||MA−ID||0x00||SPA))
上式において、“MA鍵名”は、0x4D41204B6579204E616D65である。
【0036】
一時鍵、対となる一時鍵(PTK)225は、MA115−n及びサプリカントMP120によってPMK−MA220−nから互いに導出される。PTK225は、IEEE802.11及びIEEE802.1X保護鍵を定義する第3レベルのリンクセキュリティブランチである。PTK225は、サプリカント120及びPMK−MA鍵ホルダ、即ち、MA115−nによって互いに導出される。
【0037】
メッシュ鍵階層構造リンクセキュリティブランチ240の第3レベル鍵は、PTK225である。この鍵は、サプリカントMP及びMAによって互いに導出され、鍵長さは、ネゴシエートされた暗号スイートの関数である。
【0038】
PTK導出は、次の通りである:
PTK=KDF−PTKLen(PMK−MA,“メッシュPTK鍵導出”,SNonce||ANonce||SPA||MAA||PMK−MA名)
上式において、
●KDF−PTKLenは、長さPTKLenのPTKを生成するために用いられるKDFである。
●PMK−MAは、サプリカントMPとMAとの間で共有される鍵である。
●“メッシュPTK鍵導出”は、0x4D6573682050544B204B65792064657269766174696F6Eである。
●SNonceは、サプリカントMPによって寄与される256ビットのランダムなビット文字列である。
●ANonceは、MKD又はMAによって寄与される256ビットのランダムな文字列である。
●SPAは、サプリカントMPのMACアドレスである。
●MAAは、MAのMACアドレスである。
●PMK−MA名は、以前導出された通り。
●PTKlenは、導出するビットの総数、例えば、PTKのビットの数である。この長さは、ネゴシエートされた暗号スイートに依存する。
【0039】
各PTKには、3つの関連する鍵、鍵確認鍵(KCK)、鍵暗号鍵(KEK)、及び時間鍵(TK)が含まれる。
PTKは、次のように、参照され、また、命名される:
PTK名=Truncate−128(SHA−256(PMK−MA名||“メッシュPTK名”||SNonce||ANonce||MAA||SPA))
上式において、“メッシュPTK名”は、0x4D6573682050544B204E616D65である。
【0040】
第2ブランチ、鍵配信ブランチ245は2つのレベルを含んでおり、MPがMAとなることを許可する際に用いられるPTK−KD235を生じ、また、MAとMKDとの間の通信をセキュアにする際に用いられる。鍵配信鍵(KDK)230は、第1レベルの鍵配信ブランチ245である。この鍵は、MSK又はPSK及びメッシュIDの関数として導出され、サプリカントMP120及びMKD110によって記憶される。この鍵は、サプリカントMP120及びMKD110によって互いに導出される。サプリカントMPとメッシュセキュリティドメインとの間で導出された単一のKDK230だけが存在する。
【0041】
鍵配信ブランチ245の第1レベル鍵、KDK230は、ネゴシエートされたAKMから生じる鍵材料でMA−ID(MPのMACアドレスがKDKを確立してMAになる)、メッシュセキュリティドメイン識別子、及びメッシュIDを束縛する。KDKは、PTK−KDを導出するために用いられる。
【0042】
KDKは、次のように導出される:
KDK=KDF−256(XXKey,“メッシュ鍵配信鍵”,メッシュID長||メッシュID||MSD−ID||0x00||MA−ID)
上式において、
●KDF−256は、長さ256ビットの鍵を生成するために用いられるKDFである。
●XXKeyは、MSKの後半の256ビット又はPSKのいずれかである。
●“メッシュ鍵配信鍵”は、0x4D657368204B657920446973747269627574696F6E204B6579である。
●メッシュID長は、メッシュIDにおけるオクテットの数である値を有する単一のオクテットである。
●メッシュIDは、メッシュ識別子であり、ビーコン及びプローブ応答に出現する可変長オクテット列である。
●MSD−IDは、初期EMSA認証中に用いられたメッシュセキュリティドメイン情報要素からの48オクテット・メッシュセキュリティドメイン識別子フィールドである。
●MA−IDは、MPのMACアドレスであり、KDKを導出し、MKDとの通信をセキュアにする際に用いる。
【0043】
KDKは、次のように、参照され、また、命名される:
KDK名=Truncate−128(SHA−256(“KDK名”||メッシュID長||メッシュID||MSD−ID||0x00||MA−ID))
上式において、
●“KDK名”は、0x4B444B204E616D65である。
●Truncate−128(−)は、その引数の前半の128ビットを返し、残りをセキュアに破壊する。
【0044】
対となる一時鍵、鍵配信(PTK−KD)235は、MA115−nとMKD110との間の通信用の保護鍵を定義する第2レベルの鍵配信ブランチである。PTK−KD235は、サプリカントMPによって(それが、MA115−nになる場合)及びMKD110によって互いに導出される。
【0045】
鍵配信ブランチ245の第2レベル鍵、PTK−KD235は、MA及びMKDによって互いに導出される256ビット鍵である。PTK−KDは、次のように導出される:
PTK−KD=KDF−256(KDK,“メッシュPTK−KD鍵”,MA−Nonce||MKD−Nonce||MA−ID||MKD−ID)
上式において、
●KDKは、本明細書で以前定義された鍵である。
●“メッシュPTK−KD鍵”は、0x4D6573682050544B2D4B44204B6579である。
●MA−Nonceは、MAによって与えられる256ビットのランダムな文字列である。
●MKD−Nonceは、MKDによって与えられる256ビットのランダムな文字列である。
●MA−IDは、MAのMACアドレスである。
●MKD−IDは、MKDのMACアドレスである。
【0046】
PTK−KDは、2つの関連する鍵、鍵確認鍵−鍵配信(KCK−KD)及び鍵暗号鍵−鍵配信(KEK−KD)を有し、次のように導出される。
KCK−KDは、PTK−KDの前半の128ビット(ビット0−127)として算出される。
【0047】
KCK−KD=L(PTK−KD,0,128)
上式において、L(−)は、8.5.1において定義される。
KCK−KDは、MAとMKDとの間で交換されるメッセージのデータ起源の真正性を提供するために用いられる。
【0048】
KEK−KDは、PTK−KDのビット128−255として算出される。
KEK−KD=L(PTK−KD,128,128)
KEK−KDは、MAとMKDとの間で交換されるメッセージにデータ機密性を提供するために用いられる。
【0049】
PTK−KDは、次のように、参照され、また、命名される:
PTK−KD名=Truncate−128(SHA−256(KDK名“PTK−KD名”||MA−Nonce||MKD−Nonce||MA−ID||MKD−ID))
上式において、“PTK−KD名”は、0x50544B2D4B44204E616D65である。
【0050】
PSK又はMSKから導出された全ての鍵の寿命は、PSK又はMSKの寿命に束縛される。例えば、802.1X AS 105は、MSK鍵寿命の間、MSK205と通信を行い得る。そのような属性が提供されると、PMK−MKD215及びKDK230の寿命は、MSK205の寿命を超えることはない。PTK225及びPMK−MA220−nの寿命は、上記において算出したように、PMK−MKD215の寿命と同じであり、PTK−KD235の寿命は、KDK230の寿命と同じである。鍵寿命が終了すると、各鍵ホルダは、それらそれぞれの導出鍵を削除する。
【0051】
鍵階層構造を構築すると、リンクセキュリティブランチ内における鍵材料の漏洩は、階層構造のその部分にのみ又は下位岐路に確実に隔離される。例えば、メッシュ・オーセンティケータだけが、そのPMK−MAから導出されるPTKによって保護されたセッションを復号する知識を有する。
【0052】
幾つかの鍵管理システムでは、PMK−MKD鍵は、PMK−MA鍵が導出された後、MKDによって削除し得る。そのような動作は、PMK−MKDがもはや必要とされない場合に鍵階層構造を保護するという良いセキュリティ慣行に適している。そのような場合には、鍵管理システムは、PMK−MA鍵に関する情報を維持しさえすればよい。そのようにPMK−MKD鍵を除去しても、鍵階層構造の価値がないことを示すものではない。
【0053】
図3は、各メッシュ・オーセンティケータ115−nによって各サプリカントメッシュ点120に提供される様々なサービスの概要を示す。図示するように、メッシュ・オーセンティケータ115−nは、次のサービスをサプリカントメッシュ点120に提供する。即ち、発見(300)、第1の連絡(305)、高速セキュリティ・アソシエーション(310)、及び鍵ホルダ(315)を提供する。
【0054】
発見300の場合、MAは、ブロードキャスト・ビーコンフレーム及びユニキャスト・プローブ応答フレームを用いて、その能力及び構成をピアにアドバタイズする。ビーコン及びプローブ応答を利用して、MAによって、サプリカントMPは、MAがEMSAサービスをサポートすることを発見し得る。メッシュID及びメッシュセキュリティドメインIDを提供することによって、MAにより、サプリカントは、第1連絡中にそれが生成した鍵階層構造がMAにおいて利用可能であるかどうかを判断し得る。
【0055】
図4Aは、ビーコン及びプローブ応答フレーム用のメッセージフォーマット400を示す。図示するように、メッシュ高速リンク確立をサポートするMPには、そのビーコン及びプローブ応答400に、認証及び鍵管理(AKM)スイートタイプ5及び/又は6のサポートをアドバタイズするロバストセキュリティネットワーク情報要素(RSN IE)405と、メッシュセキュリティドメイン情報要素(MSDIE)410と、が含まれる。RSN IE405は、AKMスイートリストにおいて、メッシュ高速リンク鍵階層構造を用いる能力をアドバタイズする。メッシュID415と共に、MSDIE410は、サプリカントに情報を提供して、その鍵階層構造が、ビーコン400をアドバタイズするMAにおいて利用可能であることを保証する。メッシュセキュリティドメイン情報要素410は、メッシュセキュリティドメイン識別子を含む。メッシュ・オーセンティケータは、メッシュセキュリティドメイン情報要素410を用いて、その状態をMAとしてアドバタイズし、また、それが、メッシュセキュリティドメインを構成するMAのグループに含まれることをアドバタイズする。
【0056】
図4Bは、メッシュセキュリティドメイン情報要素(MSDIE)410の代表的なフィールド構造を示すブロック図であるが、これは、メッシュ・オーセンティケータによって用いられ、MAとしてのその状態をアドバタイズし、また、メッシュセキュリティドメインを構成するMAのグループにそれが含まれることをアドバタイズする。ブロック420は、本明細書で更に詳述するように、特定の効率的なメッシュセキュリティ・アソシエーション情報要素(EMSAIE)を識別する情報要素(IE)識別(ID)フィールドである。ブロック425は、長さフィールドであり、これは、EMSAIEの長さを定義する。ブロック430は、メッシュセキュリティドメイン識別値を含む。
【0057】
図5は、RSN IE405において定義された認証−鍵管理(AKM)スイート500を示す。上述したように、本明細書では、RSN IE405は、ビーコン及びプローブ応答400においてアドバタイズされ、また、メッセージ交換に出現して、第1連絡及び高速セキュリティ・アソシエーションを促進する。
【0058】
図6は、本発明の幾つかの実施形態に基づく高速オーセンティケータサービスのための第1連絡を示すメッセージ伝達図600である。メッシュにおけるこの第1認証中、MPは、今後のリンクをセキュアにする際、簡易EMSAハンドシェークをサポートするために、メッシュ鍵階層構造の使用を可能にする。これは、初期EMSA認証メカニズムと称され、MPと、それが連携しようとしているMAとの間で交換される通信を含む。
【0059】
このシーケンスにおいて、MPは、それがメッシュ鍵階層構造を確立したいというインジケーション(MSDIE)を含むアソシエーション要求を発行する。MPは、MPが鍵導出を実施しリンクセキュリティを確立するのに必要な情報を含むアソシエーション応答メッセージを受信する。必要ならば、次に、802.1X認証が行われ、EMSA4段階ハンドシェークが続く。
【0060】
図示するように、802.11管理技法に基づく、例えば、サプリカント120とメッシュ・オーセンティケータ115との間のアソシエーション605は、メッシュ・オーセンティケータ115に応答して起こり、そのサービスをアドバタイズして、サプリカント120が接続できるようにする。次に、メッシュ・オーセンティケータ115により、サプリカント120は、EAP認証を実施することが可能になる。EAP認証610は、サプリカント120とメッシュ・オーセンティケータ115との間で、例えば、EAPOLを用いて実施される。また、EAP認証615が、メッシュ・オーセンティケータ115とメッシュ鍵ディストリビュータ110との間で、例えば、EAPを用いて実施される。更に、EAP認証620は、メッシュ鍵ディストリビュータ110と認証サーバ105との間で、例えば、RADIUSに対してEAPを用いて実施される。次に、鍵配信625が起こり、ここでは、メッシュ・オーセンティケータ115は、メッシュ鍵ディストリビュータ110から導出鍵を取得して、本明細書で上述したように、サプリカント120とのハンドシェークを可能にする。次に、メッシュ・オーセンティケータ115は、PTKを導出して、例えば、EAPOLによる4段階ハンドシェーク630を用いて、サプリカント120とのリンクをセキュアにする。次に、ルーティング設定635が、サプリカント120とメッシュ・オーセンティケータ115との間で行われる。最後に、鍵ホルダ設定ハンドシェーク640が、サプリカント120とメッシュ鍵ディストリビュータ110との間で実施される。
【0061】
図7Aは、図6の場合について本明細書で上述した第1連絡におけるサプリカント120とメッシュ・オーセンティケータ115との間のメッセージ通信の更なる詳細を示す。図7Aのメッセージ信号705及び710によって示すように、オープン認証が、最初に行われる。例えば、オープン認証は、802.11規格に基づき得る。オープン認証によって、あらゆる装置が、メッシュ・オーセンティケータで認証可能になり、そして、メッシュ・オーセンティケータとの通信を試行できる。オープン認証を用いて、あらゆる無線装置は、メッシュ・オーセンティケータで認証し得るが、その装置は、アソシエーション要求等の或るメッセージタイプだけを用いて、メッシュ・オーセンティケータと通信を行い得る。オープン認証は、ネットワーク100の認証サーバ105に依拠しない。図示するように、オープン認証を用いて、サプリカント120は、認証要求705をメッシュ・オーセンティケータ115に送り、メッシュ・オーセンティケータ115は、お返しに認証応答をサプリカント120に送る。
【0062】
次に、図7Aに示すように、サプリカント120は、アソシエーション要求715をメッシュ・オーセンティケータ(MA)115に送る。アソシエーション要求715には、まさにメッシュ・オーセンティケータ115によってアドバタイズされたようなMSDIE410と、PMKIDリストが空の状態のサプリカントのセキュリティ能力を含むRSN IE405が含まれる。メッシュ・オーセンティケータ115は、アソシエーション応答720で応じる。アソシエーション応答720には、まさにメッシュ・オーセンティケータ115によってアドバタイズされたようなMSDIE410が含まれる。アソシエーション応答720には、更に、効率的なメッシュセキュリティ・アソシエーション情報要素(EMSAIE)を含むが、これには、MA115が既存のセキュリティ・アソシエーションを有するMKD110を識別するMKD−IDと、メッセージを送るMA115を識別するMA−IDと、ゼロに設定された他の全てのフィールドと、が含まれる。アソシエーション応答720には、更に、PMKIDリストが空の状態で、MA115のセキュリティ能力について述べるRSN IE405が含まれる。
【0063】
図7Bは、効率的なメッシュセキュリティ・アソシエーション情報要素(EMSAIE)の代表的なフィールド構造を示すブロック図であるが、これは、本発明の幾つかの実施形態による簡易EMSAハンドシェーク中の認証シーケンスに用いられる。ブロック755は、特定のEMSAIEを識別する情報要素(IE)識別(ID)フィールドである。ブロック760は、長さフィールドであり、これは、EMSAIEの長さを定義する。ブロック762は、予約済みフィールド776、MICアルゴリズムフィールド774、及び情報要素カウントフィールド778が含まれるメッセージ完全性コード(MIC)制御フィールドであり、フィールド778には、MIC算出値に含まれる情報要素の数が含まれる。ブロック764は、MIC制御フィールドのMICアルゴリズムフィールドによって選択されたアルゴリズムを用いて算出されたMIC値が含まれるMICフィールドである。ブロック766は、メッシュ・オーセンティケータによって選択される当座値を含むANonceフィールドである。ブロック768は、サプリカントによって選択された当座値が含まれるSNonceフィールドである。ブロック770は、メッシュ・オーセンティケータのMACアドレスが含まれるMA−IDフィールドである。
【0064】
ブロック772は、1つ以上の情報パラメータを含み得るオプションのパラメータフィールドである。各情報パラメータには、ブロック780、情報の種類を識別する下位要素識別子と、情報の長さを識別する長さブロック782と、情報を含むデータブロック784と、が含まれる。
【0065】
図7Aに戻ると、正常なアソシエーション後、サプリカントMP及びMAは、必要ならば、IEEE802.1X認証に進む。IEEE802.1X交換は、IEEE802.11データフレームで搬送されるEAPOLメッセージを用いて、サプリカントMPとMAとの間で送られる。MAは、サプリカントMPとのIEEE802.1X交換を開始し、メッシュEAPメッセージトランスポート・プロトコルを用いて、802.1X交換をMKDにトランスポートする。
【0066】
事前共有鍵が用いられていない場合、EAP認証725は、サプリカント120とオンラインAAAサーバ105との間で行われ、MA115は、EAPメッセージのトランスポートを円滑化する。サプリカント120が、EAP認証725に従って、受け入れられると、MA115は、サプリカント120用のPMK−MA220を取得する。サプリカント120が拒否されると、MA115は、サプリカント120を分離する段階等の手順に従う。
【0067】
IEEE802.1X認証を正常に完了すると、MKDは、それ及びサプリカントMPに関連付けられたMSK及び認可属性を受信する。メッシュ鍵階層構造が、このサプリカントに既に存在する場合、MKDは、古いPMK−MKD及びPMK−MAセキュリティ・アソシエーションを削除する。そして、PMK−MKD及びPMK−MKD名を算出する。PMK−MKDセキュリティ・アソシエーションには、
●MSD−ID
●PMK−MKD
●PMK−MKD名
●SPA
●PMK−MKD寿命を含む認可情報
が含まれる。
【0068】
次に、MKDは、MA用のPMK−MAを生成する。PMK−MAセキュリティ・アソシエーションには、
●PMK−MA、
●PMK−MA寿命、
●PMK−MA名、
●MA−ID、
●PMK−MKD名
●SPA
が含まれる。
【0069】
そして、MKDは、PMK−MAをMAに配信する。一旦、PMK−MAが配信されると、MA及びサプリカントMPは、次に、EMSA4段階ハンドシェーク(730、735、740、745)を実施する。4段階ハンドシェークは、MA115によって開始され、例えば、802.11規格に基づき実施される。ハンドシェークは、EAPOL鍵メッセージを用いて搬送される。例えば、ハンドシェークメッセージ伝達は、802.11規格に基づき実装され得る。
【0070】
4段階ハンドシェーク#1メッセージ730は、ANonceを含むEAPOL鍵メッセージから構成されており、この場合、ANonceは、PMK−MA220の配信中に、MKD110からMA115によって受信された値である(サプリカント120用の鍵導出を実施するためにMKD110によって用いられる値である)。
【0071】
4段階ハンドシェーク#1メッセージ730を受信した後、サプリカント120は、ランダムなノンス(SNonce)を生成し、PTK225を算出する。
4段階ハンドシェーク#2メッセージ735は、SNonce、MIC、RSNIE、MSDIE、EMSAIE、及びGTK KDEを含むEAPOL鍵メッセージから構成される。
ここで、
●SNonceは、ランダムなノンスによって選択されたサプリカント120である。
●MICは、EAPOL鍵メッセージ(MICフィールド=0)の本文について算出されたメッセージ完全性コードである。
●RSNIE:PMKIDフィールドが、PMK−MA名を含む。他の全てのフィールドは、アソシエーション要求メッセージにおけるRSNIEに合致する。
●MSDIE:アソシエーション応答におけるのと全く同じ
●EMSAIE:アソシエーション応答におけるのと全く同じ
●GTK KDEは、サプリカント120のGTKを含むグループ時間鍵データカプセルである。
【0072】
当分野において公知のように、MICは、算出値であり、データに付随して、その完全性について確実性を提供し得る算出値である。MIC算出値への入力値には、保護されるデータ及び秘密鍵が含まれる。MICは、データ起源の真正性及びメッセージ完全性を受信者に提供する。データ起源の真正性は、送信者が、秘密鍵を所有する人であったことを受信者に保証する。2人の当事者だけが秘密鍵を知っている場合、それは、送信者のアイデンティティの保証を受信者に提供する。メッセージ完全性は、保護されたデータが、送信中に変更されなかったことを受信者に保証する。本明細書で用いるMICは、暗号化技術の分野で公知なように、“メッセージ認証コード”に類似している。本発明の幾つかの実施形態によれば、MICの動作は、更に、データ起源の真正性及びメッセージ完全性を提供し得る様々な他の種類のデータ起源情報を用いて、実施し得ることを当業者は、認識されるであろう。
【0073】
4段階ハンドシェーク#2メッセージ735を受信した後、MA115は、PTK225を算出し、MICを検証する。MA115は、PMK−MA名を算出し、それが4段階ハンドシェーク#2メッセージ735において送られる値に整合することを検証する。MA115は、他の内容が予想された通りであることを検証する。最後に、MA115は、サプリカント120からのマルチキャストトラフィックの復号に用いるためのGTKをインストールする。
【0074】
4段階ハンドシェーク#3メッセージ740は、ANonce、MIC、RSNIE、MSDIE、EMSAIE、GTK KDE、及び寿命KDEを含むEAPOL鍵メッセージから構成される。ここで、
●ANonceは、ハンドシェークメッセージ#1の値と同じである。
●MICは、EAPOL鍵フレーム(MICフィールド=0)の本文について算出される。
●RSNIE:PMKIDフィールドは、PMK−MA名を含む。他の全てのフィールドは、アソシエーション応答メッセージのRSNIEに合致する。
●MSDIE:アソシエーション応答におけるのと全く同じ
●EMSAIE:アソシエーション応答におけるのと全く同じ
●GTK KDEは、MA115のGTKを含むグループ時間鍵データカプセルである。
●寿命KDEは、PMK−MAの寿命における残りの秒数を含む4オクテットフィールドである。
【0075】
4段階ハンドシェーク#3メッセージ740を受信した後、サプリカント120は、MICを検証し、内容が予想された通りであることを検証する。サプリカント120は、MAからのマルチキャストトラフィックの復号に用いるためのGTKをインストールする。
【0076】
4段階ハンドシェーク#4メッセージ745は、MICを含むEAPOL鍵メッセージから構成されるが、ここで、MICは、EAPOL鍵フレーム(MICフィールド=0)の本文について算出される。
【0077】
4段階ハンドシェーク#4メッセージ745を受信した後、MA115は、MICを検証する。有効な場合、MA115は、サプリカント120との通信のために、PTK225をインストールする。
【0078】
手順が正常に完了した後、サプリカント120及びメッシュ・オーセンティケータ115は、関連付けられ、PTK225は、2つのメッシュ点(即ち、サプリカント120とメッシュ・オーセンティケータ115との)間のデータトラフィックの保護に用いられる。MA115によって、サプリカント120は、802.1X制御式ポートを介して、トラフィックを送り得るが、これには、PTK225を用いてトラフィックを保護することが必要である。
【0079】
図8は、本発明の幾つかの実施形態に基づく、第1連絡中のメッシュ・オーセンティケータの代表的な動作800を示すフローチャートである。図示するように、動作は、ステップ805で始まり、ここで、メッシュ・オーセンティケータは、MSDIEを含んだサプリカントからのアソシエーション要求を受信する。次に、ステップ810において、メッシュ・オーセンティケータは、MSDIEがメッシュ・オーセンティケータのセキュリティドメインをアドバタイズすることを検証し、また更に、選択されたRSNIEポリシーがローカルポリシーに整合することを検証する。次に、ステップ815において、全ての内容が、検証され容認可能であったかどうかを判断する。内容が検証されなかった場合、動作は、ステップ885に進み、そこで、サプリカントのリンクは、切断され、動作が終了する。
【0080】
ステップ815において、内容が検証される場合、動作は、ステップ820に継続され、そこで、メッシュ・オーセンティケータは、MSDIE、EMSAIE、及びRSNIEを構築し、アソシエーション応答を送るために用いる。言い換えると、メッシュ・オーセンティケータは、サプリカントと連携して、認証を許可する。メッシュ・オーセンティケータは、鍵文脈をサプリカントに提供し、サプリカントは、鍵の導出が可能になる(PMK−MA)。
【0081】
次に、ステップ825において、メッシュ・オーセンティケータは、MKDによる通信用のEAPトランスポート・プロトコルを用いて、サプリカントとのEAP認証を開始する。言い換えると、MAは、サプリカントから受信されたEAPメッセージをAAAクライアントに、また、その反対にトランスポートし、サプリカントの認証を可能にする。次に、ステップ830において、メッシュ・オーセンティケータは、MKDによる鍵転送プロトコルを実行して、PMK−MAを取得する。MAは、サプリカントの代わりに導出鍵を取得する。
【0082】
次に、ステップ835において、メッシュ・オーセンティケータは、MKDから受信されたANonceを含む4段階ハンドシェーク#1メッセージを構築する。次に、ステップ840において、メッシュ・オーセンティケータは、4段階ハンドシェーク#2メッセージを待機し、それを受信する。次に、メッシュ・オーセンティケータは、4段階ハンドシェーク#2メッセージにおけるSNonceを用いて、PTKを算出する。ステップ850において、メッシュ・オーセンティケータは、MICが有効であることを確認する。それが有効ではない場合、動作は、ステップ845に戻る。それが有効である場合、メッシュ・オーセンティケータは、ステップ855において、メッセージ内容が正しいかどうかを判断する。メッセージ内容が正しくない場合、動作は、ステップ885に進み、そこで、サプリカントのリンクは、切断され、動作が終了する。
【0083】
メッセージ内容が正しい場合、動作は、ステップ860に進み、そこで、メッシュ・オーセンティケータは、GTKを復号し、サプリカントのマルチキャストトラフィックを受信するためにそれをインストールする。次に、ステップ865において、メッシュ・オーセンティケータは、MAのGTKを含むMSDIE、EMSAIE、RSNIE、及び鍵データカプセル(KDE)を構築する。メッシュ・オーセンティケータは、更に、PTKを用いて、これらを暗号化し、4段階ハンドシェーク#3メッセージに挿入する。メッシュ・オーセンティケータは、更に、MICを算出し、メッセージに挿入し、そして、そのメッセージをサプリカントに送る。
【0084】
次に、ステップ870において、メッシュ・オーセンティケータは、4段階ハンドシェーク#4メッセージを待機し、それを受信する。そして、ステップ875において、メッシュ・オーセンティケータは、MICが有効かどうかを判断する。MICが有効ではない場合、動作は、ステップ870に戻る。MICが有効である場合、動作は、ステップ880に継続し、そこで、メッシュ・オーセンティケータは、802.1X制御式ポートを開き、サプリカントで用いるためにPTKをインストールする。そして、動作が終了する。
【0085】
図9は、本発明の幾つかの実施形態に基づく高速セキュリティ・アソシエーション中の代表的なネットワーク動作900のメッセージ伝達図を示す。簡易EMSAハンドシェークメカニズムは、初期EMSA認証を完了したサプリカントMPがその発見及び選択手順を完了した後、開始し得る。このメカニズムによって、サプリカントMPは、MAとノンスを交換し、アソシエーションの前にPTKを確立し得る。
【0086】
サプリカントMPは、MAが、(MSDIEによってアドバタイズされる)メッシュセキュリティドメイン、及びサプリカントMPが初期EMSA認証を実施した(メッシュID IEによってアドバタイズされる)メッシュのメンバでない限り、MAとの簡易EMSAハンドシェークを開始しない。簡易EMSAハンドシェークメカニズムを実施する場合、サプリカントMPは、4メッセージ交換を開始する。
【0087】
図9に示すように、メッシュ・オーセンティケータが、サプリカントの接続を可能にするサービスをアドバタイズした後、動作は、サプリカント120及びメッシュ・オーセンティケータ115が、例えば、802.11規格に基づく認証管理フレームを用いて、認証メッセージ905を交換して始まる。次に、メッシュ・オーセンティケータ115とメッシュ鍵ディストリビュータ110との間の鍵配信910が、実施され、そこで、メッシュ・オーセンティケータ115は、導出鍵を得て、サプリカント120とのハンドシェークが可能になる。そして、メッシュ・オーセンティケータ115は、PTKを導出して、サプリカントとのリンクをセキュアにし、その後、例えば、802.11規格に基づくアソシエーションフレームを用いて、サプリカント120とメッシュ・オーセンティケータ115との間のアソシエーションが、実施される。最後に、サプリカント120とメッシュ・オーセンティケータ115との間のルーティング設定920が、完了する。
【0088】
図10は、本発明の幾つかの実施形態に基づくサプリカント120とメッシュ・オーセンティケータ115との間の高速リンク確立のための通信を更に詳述するメッセージ伝達図1000を示す。図10に示すように、認証メッセージ#1 1005は、サプリカント120からメッシュ・オーセンティケータ115に送られる。認証メッセージ1 1005には、以下のものが含まれる:
●MSDIE:そのビーコン及びプローブ応答においてMAによってアドバタイズされた通りに構成される。
●EMSAIE:以下を含む;
●MA−IDは、メッシュ・オーセンティケータ115のMACアドレスに設定される、
●SNonceは、サプリカント120によってランダムに選択された値に設定される、
●ゼロに設定された他の全てのフィールド。
●RSN IE:
●PMKIDフィールドは、サプリカントの初期EMSA認証中に得たPMK−MKD名を含む、
●他の全てのフィールドは、サプリカント120の構成に従って設定される。
【0089】
MAは、第1メッセージを受信した後、PMK−MA名を算出する。PMK−MA名によって識別される鍵を保有していない場合、鍵転送プロトコルを用いて、それをMKDから検索し得る。
【0090】
そして、メッシュ・オーセンティケータ115は、認証メッセージ#2 1010をサプリカント120に送る。認証メッセージ#2 1010には、次のものが含まれる:
●MSDIE:そのビーコン及びプローブ応答においてMAによってアドバタイズされた通りに構成される。
●EMSAIE:以下を含む;
●第1認証メッセージ1005からのSNonce
●MA−ID:MAのMACアドレス
●ANonce:MAによってランダムに選択された値に設定される
●ゼロに設定された他の全てのフィールド
●RSN IE:
●第1認証メッセージ1005にあるように設定されたPMKIDフィールド
●ビーコン−プローブ応答においてMAによってアドバタイズされたRSNIEにあるような他の全てのフィールド。
【0091】
認証メッセージ#2 1010が伝達された後、サプリカント120は、PMK−MA及びPMK−MA名を算出し得る。更に、サプリカント及びMAは、双方共、PTK及びPTK名を算出する。
【0092】
次に、サプリカント120は、アソシエーション要求1015をメッシュ・オーセンティケータ115に送る。アソシエーション要求IEには、以下のものが含まれる:
●MSDIE:第1認証メッセージ1005にある通り
●EMSAIE:以下を含む;
●第2認証メッセージ1010にあるようなANonce、SNonce、及びMA−ID
●サプリカントMPのGTK(PTKを用いて暗号化済み)
●MICを算出するために用いられる暗号アルゴリズムを示すように設定されたMIC制御フィールドのMICアルゴリズムサブフィールド
●MIC制御フィールドの情報要素カウントフィールドは、このフレームにおける情報要素の数3に設定される。
【0093】
●MICは、PTKを用いて、MICアルゴリズムサブフィールドによって選択されたアルゴリズムによって、以下の順番での連結により、算出される。即ち、
○SPA(サプリカントMACアドレス)
○MA MACアドレス
○トランザクションシーケンス番号(1オクテット)、値3に設定
○MSDIEの内容
○EMSAIEの内容、MICフィールドは0に設定
○RSNIEの内容
●ゼロに設定された他の全てのフィールド
●RSN IE:PMKIDフィールドは、PMK−MA名を含んでおり、他の全てのフィールドは、サプリカント120の構成に基づき設定される。
【0094】
MAは、EMSAIEにおけるMICを検証し、メッセージが正しくない場合、それを廃棄する。MAは、GTKのアンラップを行い、サプリカントから受信されるブロードキャストメッセージの復号に用いるためにインストールする。
【0095】
最後に、メッシュ・オーセンティケータ115は、アソシエーション応答1020をサプリカント120に送る。アソシエーション応答IEには、以下のものが含まれる:
●MSDIE:第2認証メッセージ1010にある通り
●EMSAIE:以下を含む;
●第2認証メッセージ1010にあるようなMA−ID、ANonce、及びSNonce
●MAのGTK(PTKを用いて暗号化済み)
●MICを算出するために用いられる暗号アルゴリズムを示すように設定されたMIC制御フィールドのMICアルゴリズムサブフィールド
●MIC制御フィールドの情報要素カウントフィールドは、このフレームにおける情報要素の数3に設定するものとする。
【0096】
●MICは、PTKを用いて、MICアルゴリズムサブフィールドによって選択されたアルゴリズムによって、以下の順番での連結により、算出される。即ち、
○SPA(サプリカントMACアドレス)
○MA MACアドレス
○トランザクションシーケンス番号(1オクテット)、値4に設定
○MSDIEの内容
○EMSAIEの内容、MICフィールドは0に設定
○RSNIEの内容
●ゼロに設定された他の全てのフィールド
●RSN IE:PMKIDフィールドは、PMK−MA名を含んでおり、他の全てのフィールドは、ビーコン−プローブ応答において、MAによってアドバタイズされるRSNIEにあるように構成される。
【0097】
サプリカント120は、EMSAIEのMICを検証し、メッセージが正しくない場合、それを廃棄する。サプリカント120は、GTKのアンラップを行い、MA115から受信されるブロードキャストメッセージの復号に用いるために、それをインストールする。
【0098】
手順が正常に完了した後、MPは、関連付けられ、PTKは、2つのMP間のデータトラフィックの保護に用いられる。MAによって、サプリカントは、802.1X制御式ポートを介して、PTKを用いて、保護されたトラフィックを送り得る。
【0099】
図11は、本発明の幾つかの実施形態に基づく高速リンク確立中のメッシュ・オーセンティケータの代表的動作1100を示すフローチャートである。図11に示すように、動作は、ステップ1105で始まり、この時、メッシュ・オーセンティケータは、MSDIEを含む認証メッセージを受信する。次に、ステップ1110において、メッシュ・オーセンティケータは、受信認証要求のMSDIEがMAのセキュリティドメインをアドバタイズすること、及びRSNIEポリシーがローカルポリシーに整合することを検証する。次に、ステップ1115において、内容が検証されたかどうかを判断する。内容が検証されなかった場合、動作は、終了する。内容が検証された場合、動作は、ステップ1120に続き、そこで、メッシュ・オーセンティケータは、それが、PMK−MA名によって呼ばれる鍵のローカルコピーを有するかどうかを判断する。ローカルコピーを有しない場合、動作は、ステップ1125に進み、そこで、メッシュ・オーセンティケータは、第1認証メッセージにおいて識別されたMKDにより、鍵転送プロトコルを実行して、PMK−MAを受信する。
【0100】
次に、メッシュ・オーセンティケータが、鍵のローカルコピーを有する場合、動作は、ステップ1130に進み、そこで、メッシュ・オーセンティケータは、ランダムなANonceを選択し、MSDIE、EMSAIE、及びRSNIEを構築し、認証メッセージ#2を送る。
【0101】
次に、ステップ1135において、メッシュ・オーセンティケータは、第1の受信認証メッセージからのSNonce及びローカルに選択されたANonceを用いて、PTKを算出する。そして、メッシュ・オーセンティケータは、ステップ1140において、アソシエーション要求IEを待機し、受信する。受信すると、動作は、ステップ1145に続き、そこで、メッシュ・オーセンティケータは、MICが有効であるかどうかを判断する。MICが有効でない場合、動作は、ステップ1140に戻る。MICが有効である場合、動作は、ステップ1150に続き、そこで、メッシュ・オーセンティケータは、サプリカントのマルチキャストトラフィックを受信するためのGTKを復号し、インストールする。
【0102】
次に、ステップ1155において、メッシュ・オーセンティケータは、MSDIE、EMSAIE、及びRSNIEを構築し、PTKを用いて、そのGTKを暗号化し、それをEMSAIEに挿入し、MICを算出し、それをEMSAIEに挿入し、アソシエーション応答を構築し送る。最後に、メッシュ・オーセンティケータは、それ自体とサプリカントとの間のユニキャスト・トラフィックを保護するためのPTKをインストールする。
【0103】
本発明は、認証を2つのステップ、即ち、初期の第1連絡ステップ(AAAベースの認証)と、第1連絡中に生成された鍵材料を再利用する“軽量”ステップとに分離する。
本発明は、更に、オーセンティケータの役割を2つの部分に分割する。メッシュ・オーセンティケータの第1の役割は、802.1Xポートアクセスエンティティ(PAE)を実装し、4段階ハンドシェークを介して、サプリカントメッシュ点での暗号化に用いられる一時鍵を導出し、鍵ディストリビュータとのバックエンド通信を取り扱うことである。メッシュ・オーセンティケータの第2の役割は、AAAクライアントを実装し、また、第1連絡又は高速セキュリティ・アソシエーション中に、メッシュ点を認証するために用いられる鍵を導出する鍵ディストリビュータとしてのものである。鍵ディストリビュータ及びオンラインのAAAサーバは、これらのメッセージがメッシュリンク上でトランスポートされることなく、Radiusを用いて、互いに通信を行い得る。
【0104】
本発明は、更に、レイヤ2プロトコルを用いて、鍵配信課題を解決する。これは、EAP認証メッセージをサプリカントメッシュ点から鍵ディストリビュータにトンネルさせる。更に、メッシュ鍵ディストリビュータから鍵材料の配信を引き出す。これらのタスクを効率的に実施し、また、レイヤ2において指定し得るプロトコル及びフレームタイプを用いる。
【0105】
上記明細書において、本発明の特定の実施形態について述べた。しかしながら、当業者が理解されるように、以下の請求項に記載した本発明の範囲から逸脱することなく、様々な修正及び変更を行い得る。従って、明細書及び図は、限定的であるというよりもむしろ例示的であると見なすべきものであり、また、全てのそのような修正は、本発明の範囲内に含まれるものとする。恩恵、利点、問題に対する解決策、及び何らかの恩恵、利点、又は解決策を生じさせる又はより顕著にし得るあらゆる要素(1つ以上)は、全ての請求項の決定的な、必要な、若しくは不可欠な特徴又は要素と解釈すべきものではない。本発明は、添付の請求項によってのみ規定され、本出願の係属中になされるあらゆる補正や発効時のそれら請求項の全ての等価なものを含む。
【特許請求の範囲】
【請求項1】
アドホック無線ネットワークの1つ以上のノードとのセキュリティ・アソシエーションを確立するための方法であって、
ノードの初期認証を実施することと、初期認証は、
アソシエーション要求を前記ノードからオーセンティケータノードに送ることと、
アソシエーション応答をオーセンティケータノードから前記ノードに送ることと、アソシエーション応答はセキュリティ・アソシエーション情報要素を含むことと、セキュリティ・アソシエーション情報要素はオーセンティケータノードが既存のセキュリティ・アソシエーションを有する鍵ディストリビュータを識別する鍵ディストリビュータアドレスを含むことと、
前記ノード、オーセンティケータノード、鍵ディストリビュータ、及び認証サーバの間で認証を実施することと、
オーセンティケータノードと前記ノードとの間で4段階ハンドシェークを実施することによって、オーセンティケータノードに前記ノードを関連付けることと、
ディストリビュータアドレスに基づき、前記ノードから鍵ディストリビュータに鍵ホルダセキュリティ・アソシエーションメッセージを送ることによって、前記ノードと鍵ディストリビュータとの間の鍵ホルダセキュリティ・アソシエーションを設定することと、を含むことと、
簡易認証を実施することと、簡易認証は、
オーセンティケータノードで前記ノードを認証する段階と、
オーセンティケータノードと鍵ディストリビュータとの間で鍵配信を交換する段階と、
オーセンティケータノードと前記ノードとの間で簡易ハンドシェークを実施することによって、前記ノードをオーセンティケータノードに関連付けることと、を含むことと、
を含む方法。
【請求項2】
アドホック無線ネットワークであって、
認証サーバと、
認証サーバに通信用に接続された鍵ディストリビュータノードと、
鍵ディストリビュータノードに通信用に接続されたオーセンティケータノードと、
サプリカントノードと、を含み、
オーセンティケータノードは、
サプリカントノードをアドホック無線ネットワークに接続させる1つ以上のサービスのアドバタイズ、
サプリカントと鍵ディストリビュータノードとの間で認証メッセージを転送するための認証メッセージ転送サービスの提供、
サプリカントに1つ以上の新しいセキュリティ・アソシエーションを確立させる1つ以上の導出鍵を鍵ディストリビュータノードから取得すること、および、
サプリカントノードとのリンクをセキュアにするための対となる一時鍵の導出、を行う
アドホック無線ネットワーク。
【請求項3】
アドホック無線ネットワークのノードのセキュリティ・アソシエーションを確立するためのオーセンティケータノードであって、
サプリカントノードをアドホック無線ネットワークに接続させる1つ以上のサービスのアドバタイズ、
サプリカントと、オーセンティケータサーバに接続された鍵ディストリビュータノードとの間で認証メッセージを転送するための認証メッセージ転送サービスの提供、
サプリカントに1つ以上の新しいセキュリティ・アソシエーションを確立させる1つ以上の導出鍵を鍵ディストリビュータノードから取得すること、および、
サプリカントノードとのリンクをセキュアにするための対となる一時鍵の導出、を行うオーセンティケータノード。
【請求項4】
アドホック無線ネットワークのノードのセキュリティ・アソシエーションを確立するためのメッシュ・オーセンティケータの動作の方法であって、
サプリカントノードと初期認証中に通信を行い、サプリカントノードによって生成された1つ以上の鍵材料を受信することと、
鍵ディストリビュータノードと通信を行い、前記1つ以上の鍵材料に基づき1つ以上の導出鍵を取得することと、
サプリカントノードが1つ以上の他のノードとの1つ以上のセキュリティ・アソシエーション交換に用いる前記1つ以上の導出鍵に関連付けられた1つ以上の情報をサプリカントノードに提供することと、
を含む方法。
【請求項5】
前記提供することは、
サプリカントノードが1つ以上の他のノードとの1つ以上のセキュリティ・アソシエーション交換に用いる鍵ディストリビュータノードとのセキュリティ・アソシエーションを確立するために用いる前記1つ以上の導出鍵に関連付けられた1つ以上の情報をサプリカントノードに提供することを更に含む請求項4に記載の方法。
【請求項6】
初期認証に先立って、
認証サーバからマスタ鍵を受信することを含む、認証サーバで認証することを更に含み、
第1の連絡中に通信を行うことの後に、
鍵ディストリビュータによる鍵トランスポート用の第1組の鍵を導出することと、
サプリカントノードを含む前記ノードとの通信用の第2組の鍵を導出することと、を更に含む、
請求項4に記載の方法。
【請求項7】
アドホック無線ネットワークのノードのセキュリティ・アソシエーションを確立するためのメッシュ・オーセンティケータの動作の方法であって、
初期認証を実施することと、初期認証は、
サプリカントからアソシエーション要求を受信することと、アソシエーション要求はメッシュセキュリティドメイン情報要素(MSDIE)及びロバストセキュリティネットワーク情報要素(RSNIE)を含むことと、
認証を許すためにサプリカントにアソシエーション応答を送ることと、アソシエーション応答はMSDIE、効率的なメッシュセキュリティ・アソシエーション情報要素(EMSAIE)、及びRSNIEを含むことと、
メッシュ鍵ディストリビュータ及び認証サーバにサプリカントを認証させることと、
メッシュ鍵ディストリビュータと鍵転送プロトコルを実行して、サプリカントの代わりに導出鍵を取得することと、
サプリカントとの4段階ハンドシェークを実施することと、
802.1X制御式ポートを開き、サプリカントに用いるための対となる一時鍵をインストールすることと、を含むことと、
高速リンク確立を実施することと、高速リンク確立は、
MSDIEを含む認証メッセージを受信することと、
受信した認証要求におけるMSDIEがMAのセキュリティドメインをアドバタイズすることを検証することと、
RSNIEポリシーがローカルポリシーに整合することを検証することと、
ランダムなANonceを選択することと、
MSDIE、EMSAIE、及びRSNIEを含む認証応答を構築して送ることと、
受信した認証メッセージからのSNonce及びローカルに選択したANonceを用いて、PTKを算出することと、
アソシエーション要求情報要素を受信することと、
サプリカントのマルチキャストトラフィックを受信するためのGTKを復号してインストールすることと、
MSDIE、EMSAIE、及びRSNIEを含むアソシエーション応答を構築して送ることと、
メッシュ・オーセンティケータとサプリカントとの間のユニキャスト・トラフィックを保護するためのPTKをインストールすることと、を含むことと、
を含む方法。
【請求項8】
アソシエーション要求を受信した後、
MSDIEがメッシュ・オーセンティケータのセキュリティドメインをアドバタイズすることを検証することと、
選択したRSNIEポリシーがローカルポリシーに整合することを検証することと、
MSDIE又はRSNIEの検証が失敗したとき、サプリカントのリンクを切断することと、
を更に含む請求項7に記載の方法。
【請求項9】
アソシエーション応答は、鍵コンテキストをサプリカントに提供し、サプリカントにメッシュ・オーセンティケータにより対となるマスタ鍵を導出させることを更に含む請求項7に記載の方法。
【請求項10】
アドホック無線ネットワークの1つ以上のノード内におけるサプリカントノードの動作の方法であって、
オーセンティケータノードとの第1の連絡を実施することと、第1の連絡は、
アソシエーション応答フレームにおいてオーセンティケータノードからセキュリティ・アソシエーション情報要素を受信することと、セキュリティ・アソシエーション情報要素は鍵ディストリビュータノードのアドレスを含むことと、を含むことと、
鍵ディストリビュータとのセキュリティ・アソシエーションを確立するために鍵ディストリビュータノードのアドレスを処理することと、
確立したセキュリティ・アソシエーションを用いて、1つ以上の他のノードとの1つ以上のセキュリティ交換を実施することと、
を含む方法。
【請求項1】
アドホック無線ネットワークの1つ以上のノードとのセキュリティ・アソシエーションを確立するための方法であって、
ノードの初期認証を実施することと、初期認証は、
アソシエーション要求を前記ノードからオーセンティケータノードに送ることと、
アソシエーション応答をオーセンティケータノードから前記ノードに送ることと、アソシエーション応答はセキュリティ・アソシエーション情報要素を含むことと、セキュリティ・アソシエーション情報要素はオーセンティケータノードが既存のセキュリティ・アソシエーションを有する鍵ディストリビュータを識別する鍵ディストリビュータアドレスを含むことと、
前記ノード、オーセンティケータノード、鍵ディストリビュータ、及び認証サーバの間で認証を実施することと、
オーセンティケータノードと前記ノードとの間で4段階ハンドシェークを実施することによって、オーセンティケータノードに前記ノードを関連付けることと、
ディストリビュータアドレスに基づき、前記ノードから鍵ディストリビュータに鍵ホルダセキュリティ・アソシエーションメッセージを送ることによって、前記ノードと鍵ディストリビュータとの間の鍵ホルダセキュリティ・アソシエーションを設定することと、を含むことと、
簡易認証を実施することと、簡易認証は、
オーセンティケータノードで前記ノードを認証する段階と、
オーセンティケータノードと鍵ディストリビュータとの間で鍵配信を交換する段階と、
オーセンティケータノードと前記ノードとの間で簡易ハンドシェークを実施することによって、前記ノードをオーセンティケータノードに関連付けることと、を含むことと、
を含む方法。
【請求項2】
アドホック無線ネットワークであって、
認証サーバと、
認証サーバに通信用に接続された鍵ディストリビュータノードと、
鍵ディストリビュータノードに通信用に接続されたオーセンティケータノードと、
サプリカントノードと、を含み、
オーセンティケータノードは、
サプリカントノードをアドホック無線ネットワークに接続させる1つ以上のサービスのアドバタイズ、
サプリカントと鍵ディストリビュータノードとの間で認証メッセージを転送するための認証メッセージ転送サービスの提供、
サプリカントに1つ以上の新しいセキュリティ・アソシエーションを確立させる1つ以上の導出鍵を鍵ディストリビュータノードから取得すること、および、
サプリカントノードとのリンクをセキュアにするための対となる一時鍵の導出、を行う
アドホック無線ネットワーク。
【請求項3】
アドホック無線ネットワークのノードのセキュリティ・アソシエーションを確立するためのオーセンティケータノードであって、
サプリカントノードをアドホック無線ネットワークに接続させる1つ以上のサービスのアドバタイズ、
サプリカントと、オーセンティケータサーバに接続された鍵ディストリビュータノードとの間で認証メッセージを転送するための認証メッセージ転送サービスの提供、
サプリカントに1つ以上の新しいセキュリティ・アソシエーションを確立させる1つ以上の導出鍵を鍵ディストリビュータノードから取得すること、および、
サプリカントノードとのリンクをセキュアにするための対となる一時鍵の導出、を行うオーセンティケータノード。
【請求項4】
アドホック無線ネットワークのノードのセキュリティ・アソシエーションを確立するためのメッシュ・オーセンティケータの動作の方法であって、
サプリカントノードと初期認証中に通信を行い、サプリカントノードによって生成された1つ以上の鍵材料を受信することと、
鍵ディストリビュータノードと通信を行い、前記1つ以上の鍵材料に基づき1つ以上の導出鍵を取得することと、
サプリカントノードが1つ以上の他のノードとの1つ以上のセキュリティ・アソシエーション交換に用いる前記1つ以上の導出鍵に関連付けられた1つ以上の情報をサプリカントノードに提供することと、
を含む方法。
【請求項5】
前記提供することは、
サプリカントノードが1つ以上の他のノードとの1つ以上のセキュリティ・アソシエーション交換に用いる鍵ディストリビュータノードとのセキュリティ・アソシエーションを確立するために用いる前記1つ以上の導出鍵に関連付けられた1つ以上の情報をサプリカントノードに提供することを更に含む請求項4に記載の方法。
【請求項6】
初期認証に先立って、
認証サーバからマスタ鍵を受信することを含む、認証サーバで認証することを更に含み、
第1の連絡中に通信を行うことの後に、
鍵ディストリビュータによる鍵トランスポート用の第1組の鍵を導出することと、
サプリカントノードを含む前記ノードとの通信用の第2組の鍵を導出することと、を更に含む、
請求項4に記載の方法。
【請求項7】
アドホック無線ネットワークのノードのセキュリティ・アソシエーションを確立するためのメッシュ・オーセンティケータの動作の方法であって、
初期認証を実施することと、初期認証は、
サプリカントからアソシエーション要求を受信することと、アソシエーション要求はメッシュセキュリティドメイン情報要素(MSDIE)及びロバストセキュリティネットワーク情報要素(RSNIE)を含むことと、
認証を許すためにサプリカントにアソシエーション応答を送ることと、アソシエーション応答はMSDIE、効率的なメッシュセキュリティ・アソシエーション情報要素(EMSAIE)、及びRSNIEを含むことと、
メッシュ鍵ディストリビュータ及び認証サーバにサプリカントを認証させることと、
メッシュ鍵ディストリビュータと鍵転送プロトコルを実行して、サプリカントの代わりに導出鍵を取得することと、
サプリカントとの4段階ハンドシェークを実施することと、
802.1X制御式ポートを開き、サプリカントに用いるための対となる一時鍵をインストールすることと、を含むことと、
高速リンク確立を実施することと、高速リンク確立は、
MSDIEを含む認証メッセージを受信することと、
受信した認証要求におけるMSDIEがMAのセキュリティドメインをアドバタイズすることを検証することと、
RSNIEポリシーがローカルポリシーに整合することを検証することと、
ランダムなANonceを選択することと、
MSDIE、EMSAIE、及びRSNIEを含む認証応答を構築して送ることと、
受信した認証メッセージからのSNonce及びローカルに選択したANonceを用いて、PTKを算出することと、
アソシエーション要求情報要素を受信することと、
サプリカントのマルチキャストトラフィックを受信するためのGTKを復号してインストールすることと、
MSDIE、EMSAIE、及びRSNIEを含むアソシエーション応答を構築して送ることと、
メッシュ・オーセンティケータとサプリカントとの間のユニキャスト・トラフィックを保護するためのPTKをインストールすることと、を含むことと、
を含む方法。
【請求項8】
アソシエーション要求を受信した後、
MSDIEがメッシュ・オーセンティケータのセキュリティドメインをアドバタイズすることを検証することと、
選択したRSNIEポリシーがローカルポリシーに整合することを検証することと、
MSDIE又はRSNIEの検証が失敗したとき、サプリカントのリンクを切断することと、
を更に含む請求項7に記載の方法。
【請求項9】
アソシエーション応答は、鍵コンテキストをサプリカントに提供し、サプリカントにメッシュ・オーセンティケータにより対となるマスタ鍵を導出させることを更に含む請求項7に記載の方法。
【請求項10】
アドホック無線ネットワークの1つ以上のノード内におけるサプリカントノードの動作の方法であって、
オーセンティケータノードとの第1の連絡を実施することと、第1の連絡は、
アソシエーション応答フレームにおいてオーセンティケータノードからセキュリティ・アソシエーション情報要素を受信することと、セキュリティ・アソシエーション情報要素は鍵ディストリビュータノードのアドレスを含むことと、を含むことと、
鍵ディストリビュータとのセキュリティ・アソシエーションを確立するために鍵ディストリビュータノードのアドレスを処理することと、
確立したセキュリティ・アソシエーションを用いて、1つ以上の他のノードとの1つ以上のセキュリティ交換を実施することと、
を含む方法。
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図5】
【図6】
【図7A】
【図7B】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4A】
【図4B】
【図5】
【図6】
【図7A】
【図7B】
【図8】
【図9】
【図10】
【図11】
【公表番号】特表2010−503330(P2010−503330A)
【公表日】平成22年1月28日(2010.1.28)
【国際特許分類】
【出願番号】特願2009−527484(P2009−527484)
【出願日】平成19年8月23日(2007.8.23)
【国際出願番号】PCT/US2007/076594
【国際公開番号】WO2008/030705
【国際公開日】平成20年3月13日(2008.3.13)
【出願人】(390009597)モトローラ・インコーポレイテッド (649)
【氏名又は名称原語表記】MOTOROLA INCORPORATED
【Fターム(参考)】
【公表日】平成22年1月28日(2010.1.28)
【国際特許分類】
【出願日】平成19年8月23日(2007.8.23)
【国際出願番号】PCT/US2007/076594
【国際公開番号】WO2008/030705
【国際公開日】平成20年3月13日(2008.3.13)
【出願人】(390009597)モトローラ・インコーポレイテッド (649)
【氏名又は名称原語表記】MOTOROLA INCORPORATED
【Fターム(参考)】
[ Back to top ]