技術領域

本發明涉及異構網絡融合技術，尤其涉及一種網絡設備及其認證和密鑰管理方法。

背景技術

目前家庭網絡可以通過多種網絡技術接入，例如：以太網IEEE 802.3、電力線通信（PLC，Power Line Communication）、同軸電纜（MoCA，Multimedia over Coax Alliance）和無線局域網（WiFi，Wireless Fidelity）技術等等，每種接入技術都對應網絡系統模型的物理（PHY）層和媒體接入控制（MAC，Media Access Control）層。這些異構網絡技術的融合是實現家庭網絡信息共享和無縫連接的基礎。

如圖1所示，圖1是現有技術中異構網絡融合的結構示意圖。圖中的設備1和設備2是具有三種MAC層和PHY層接入技術的家庭網絡設備。由于各種網絡接入技術使用的通信介質、媒體控制接入方式和傳輸幀的格式等都不相同，因此對應的網絡系統的PHY層和MAC層使用的技術也不一樣。從而，當多種網絡接入技術在一個設備上實現時，需要一個融合控制模塊實現各種MAC層和PHY層技術的協調和調度，以實現無縫的技術融合。每個設備對應一個融合控制模塊，每個融合控制模塊可以協調和管理至少兩種的MAC層和PHY層功能模塊。

目前，家庭組網最常用的安全配置是通過用戶在網絡設備上輸入口令密碼的方式來實現的，雖然PLC、MoCA和WiFi等MAC層技術里都有支持用戶輸入口令密碼的安全配置方式，但是各種MAC層技術的認證和密鑰管理流程對用戶輸入的口令密碼的處理過程是不相同的，這就導致了各種安全管理處理流程互不相通。例如，在圖1中的設備1和設備2上同時配置了相同的用戶口令密碼，如果兩個設備僅通過PLC鏈路連接，那么他們將用戶口令密碼按照PLC的認證和密鑰協商過程進行處理并計算出PLC的鏈路加密密鑰；如果設備1和設備2通過了三種MAC層技術連接，那么這兩個設備需要使用用戶口令密碼分別按照三種MAC層指定的認證和密鑰協商過程進行處理，分別得到三種鏈路的鏈路加密密鑰。也就是說，現有技術中的安全認證和密鑰管理過程是對一個網絡設備上的各種MAC層接口執行的，而不是對設備本身執行的；由于各種MAC層的認證和密鑰管理方法都不相同，因此當網絡設備之間通過多種MAC層技術連接時，需要分別按照各MAC層指定的認證和密鑰協商過程進行處理，這無疑會造成執行認證過程的計算資源浪費。

發明內容

有鑒于此，本發明的主要目的在于提供一種網絡設備及其認證和密鑰管理方法，以解決現有技術中各種MAC層的認證和密鑰管理方法不相同，造成執行認證過程的計算資源浪費的問題。

為達到上述目的，本發明的技術方案是這樣實現的：

本發明提供了一種網絡設備的認證和密鑰管理方法，該方法包括：

網絡設備生成網絡密鑰NK；

所述網絡設備與通信對端設備進行認證協議交互，并根據認證協議交互的參數、以及所述NK，計算得到基礎會話密鑰BSK；

所述網絡設備根據所述BSK計算得到各種接入技術的媒體接入控制MAC和物理PHY層所使用的鏈路加密密鑰EK，并將各EK分別提供給對應的MAC和PHY層功能模塊。

較佳的，所述網絡設備根據獲取的口令密鑰生成NK、或者所述網絡設備通過在無線局域網WiFi中使用安全對碼按鈕的方式生成NK。

較佳的，在將各EK分別提供給對應的MAC和PHY層功能模塊之后，該方法還包括：

所述MAC和PHY層功能模塊根據獲取的EK，對所述網絡設備與通信對端設備通信的數據進行加解密保護。

較佳的，在網絡設備根據獲取的口令密碼生成NK之前，該方法還包括：

所述網絡設備和通信對端設備交互設備能力信息，并在確認雙方都支持特定的認證和密鑰管理功能時，才執行后續的處理操作。

較佳的，所述網絡設備根據BSK計算得到各種接入技術的MAC和PHY層所使用的EK，并將各EK分別提供給對應的MAC和PHY層功能模塊，包括：

將所述BSK輸入到哈希函數實現的密鑰推導算法進行計算，并按照各種接入技術的MAC和PHY層所需使用的EK長度，輸出對應長度的EK給對應的MAC和PHY層功能模塊。

較佳的，所述各種接入技術的MAC和PHY層包括：

電力線通信PLC的MAC和PHY層；

同軸電纜MoCA的MAC和PHY層；

無線局域網WiFi的MAC和PHY層。