技術領域

本發明涉及無線網絡通信技術，特別涉及一種分布式無線網狀(MESH) 網絡中產生密鑰的方法和裝置。

背景技術

根據配置管理方式和安全策略應用方式的不同，無線網狀(MESH)網 絡可以分為集中式和分布式兩種。其中，分布式MESH網絡結構如圖1所 示，無線網狀網絡接入點(MP)之間通過MESH鏈路進行通信，各MP獨 立配置，如果要組件同一個MESH網絡，則各MP上的MESH標識、MESH 密鑰分發域標識(MKD?Domain?ID)和安全策略等配置必須保持一致。

為了保證無線安全，在通過MESH鏈路進行數據傳輸時，需要對數據 進行加密，MESH網絡中的密鑰管理機制為密鑰分發者(MKD)分層密鑰 機制，涉及MESH網絡中密鑰的生成、協商和分發。在這一機制中主要存 在三個角色：MKD、認證方(Authenticator)和被認證方(Supplicant)，一 個MP可能同時作為MKD、認證方和被認證方中的一個或多個角色，其中， 將作為認證方的MP稱為MA。

MESH鏈路安全的密鑰如圖2所示，分為幾個層次，第一層為預共享密 鑰(PSK)，MKD和被認證方都持有；第二層為密鑰分發者對主密鑰 (PMK-MKD)，根據PSK生成，MKD和被認證方都持有；第三層為認證 方對主密鑰(PMK-MA)，根據PMK-MKD生成，MKD、認證方和被認證 方都持有；第四層為共享會話密鑰(PTK)，根據PMK-MA生成，該PTK 為最終用戶數據加密和解密的密鑰。對于MP而言，如果同時與多個作為認 證方的MP建立MESH鏈路，那么對應每一個認證方都生成不同的 PMK-MA；不同的MESH鏈路具有不同的PTK，且每一MESH鏈路的PTK 在超過一定時間后還會自動更新，以降低破解密鑰的概率。

在分布式MESH網絡中，組建同一個MESH網絡中的所有MP都位于 同一個MKD域中，同時，每個MP上都同時存在MKD和認證方兩種功能， 即同一個MKD域中的MKD功能分布在各MP上，分別完成域內的認證和 密鑰管理功能。仍以圖1為例，假設MP3為新加入MESH網絡的MP，MP3 與MP2建立MESH連接時，MP2為認證方，MP3為被認證方，那么MP2 上的MKD功能生成PMK-MKD和PMK-MA，并為MP3分配隨機數 MPK-Anonce；MP2上的認證功能根據PMK-MA和MPK-Anonce等與MP3 通過四次握手過程協商和計算出PTK。另外，MP3與MP5也建立MESH鏈 路，MP5為認證方，MP3為被認證方，MP5上的MKD功能也會為MP3生 成PMK-MKD和PMK-MA，并為MP3分配隨機數MPK-Anonce。由于MP3、 MP2和MP5位于同一個MESH域，因此，MP3生成的PMK-MKD應該相 同，這就要求MP2和MP5為MP3分配的MPK-Anonce相同，如果不同， 則MP3會認為MESH網絡出現問題而將當前連接的MESH鏈路關閉。

然而，同一個MESH域中的MKD分布在各MP上，各MP之間缺乏針 對同一MP產生相同MPK-Anonce的機制，如果采用固定的MPK-Anonce， 例如將MESH網絡標識或被認證方的MAC地址作為種子生成 MPK-Anonce，則會大大增加MPK-Anonce泄漏的概率，降低了MESH鏈路 的安全性。

發明內容

有鑒于此，本發明提供了一種分布式MESH網絡中產生密鑰的方法和 裝置，以便于在各MP上實現針對同一被認證方的MPK-Anonce同步，且提 高MESH鏈路的安全性。

一種MESH網絡中產生密鑰的方法，該方法包括：

A、作為被認證方的第一無線網狀網絡接入點MP接收到作為認證方的第二 MP發送的隨機數MPK-Anonce時，判斷所述第二MP是否為主密鑰分發者 MKD，如果是，執行步驟B，否則執行步驟C；

B、所述第一MP記錄接收到的所述MPK-Anonce，并和所述第二MP利用 所述MPK-Anonce協商PTK用于第一MP和第二MP之間的MESH鏈路數據 傳輸，結束流程；

C、所述第一MP將已經記錄的MPK-Anonce發送給所述第二MP，并和所 述第二MP利用已經記錄的MPK-Anonce協商PTK用于第一MP和第二MP之 間的MESH鏈路數據傳輸。

一種MP，該MP包括：協商單元、判斷單元和記錄單元；