Beschreibung

Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks

Die Erfindung betrifft ein Verfahren zum Bereitstellen eines drahtlosen Mesh-Netzwerks gemäß dem Oberbegriff des Anspruchs 1 sowie eine Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks gemäß dem Oberbegriff des Anspruchs 15.

Ein drahtloses Maschen- bzw. Mesh-Netzwerk ist ein vermasch- tes Netz von als Knoten bezeichneten Endgeraten, welches beispielsweise in einem Wireless Local Area Network (WLAN) implementiert ist. Bei den Konten kann es sich sowohl um Infra- strukturknoten als auch um so genannte Endbenutzerknoten, wie beispielsweise einem Notebook oder PDA handeln.

Bei einem Mesh-Netzwerk kann ein mobiler Knoten Daten, die von einem anderen mobilen Knoten stammen, an einen weiteren mobilen Knoten weiterleiten oder an eine Basisstation übertragen. In einem Maschennetzwerk bzw. Mesh-Network können weite Distanzen überspannt werden, insbesondere in unebenem oder schwierigem Terrain. Maschennetze arbeiten zudem sehr zuverlässig, da jeder mobile Knoten mit einigen anderen Kno- ten verbunden ist. Wenn ein Knoten ausfallt, beispielsweise auf Grund eines Hardware-Defekts, suchen dessen Nachbarknoten eine alternative Datenubertragungsroute . Maschennetze bzw. Mesh-Networks können feste oder mobile Gerate mit einbeziehen .

Im Rahmen der Aufnahme eines neuen, in der Regel mobilen Knotens, wird eine Authentisierung durchgeführt. Diese Authenti- sierung erfolgt in der Regel unter Verwendung eines Authenti- sierungsservers „AAA-Server", wobei das Mesh-Netzwerk über eine Gateway-Komponente oder einem Verschlusselungsmaterial liefernden so genannten Mesh-Key-Distributor mit einem Infrastrukturnetzwerk INFRASTRUCTURE NETWORK gekoppelt sein kann.

Zur Authentisierung von Knoten bzw. Rechnern wird im Allgemeinen das so genannte EAP (Extensible Authentication Proto- col) Protokoll eingesetzt. Das EAP-Protokoll wird bei WLAN zur Absicherung des Netzwerkzugangs verwendet. Vielfaltige konkrete Authentisierungsverfahren, sogenannte EAP-Methoden, können über das EAP-Protokoll transportiert werden, z.B. EAP- TLS, EAP-AKA, EAP-SIM, TTLS, PEAP-MSChapv2. Bei der Authentisierung wird ein kryptographischer Schlüssel bzw. Sitzungs- schlussel MSK, EMSK (MSK: Master-Session Key; EMSK: Extended Master Session Key) ermittelt, der nachfolgend zum Schutz der Datenkommunikation, beispielsweise bei der Link-Layer-Ver- schlusselung verwendet wird. Die Authentisierung eines Teilnehmers erfolgt zwischen dem Teilnehmer (Supplicant) und einem Authentisierungsserver (AAA-Server) . Bei erfolgreicher Authentisierung sendet der Authentisierungsserver das Ergebnis der Authentisierung und den aus der Authentisierung stammenden Sitzungsschlussel MSK an einen Authenticator, beispielsweise ein WLAN-Access-Point . Die Kommunikation zwischen dem Zugangsknoten bzw. Access-Point und dem Authentisierungs- server erfolgt üblicherweise über das Radius- oder Diameter- Daten-Ubertragungs-Protokoll . Dabei wird der Sitzungsschlussel MSK als Datenattribut an den Zugangsknoten AP als Teil einer EAP-Success-Nachπcht gesendet. Der übertragene Sit ^¬ zungsschlussel MSK wird anschließend in einem 802.11 4-Wege- Handshake 802.11 4WHS zwischen dem Teilnehmer und den Zugangsknoten gemäß dem 802.11 IEEE Standard eingesetzt.

Die Authentisierung auf Basis eines Authentisierungsservers AAA-Server unterscheidet also Rollen Supplicant und Authenti- cator, die im Detail die Folge hat, dass der Supplicant sich über den Authenticator gegenüber einem AAA-Server authenti- siert, welcher das Resultat wiederum dem Authenticator mitteilt. Abhangig vom Ergebnis gewahrt der Authenticator dem Supplicant dann Zugang zum Mesh-Netz oder nicht.

Wahrend in einem üblichen Netzwerk, z.B. aus Basis von WLAN, bei einer Netzwerkanmeldung jeweils ein Client Zugang zu einem Netzwerk bekommen mochte, ist die Situation in einem

Mesh-Netzwerk symmetrisch, da die Authentifikation zwischen zwei gleichartigen Mesh-Knoten erfolgt. So entsteht das Problem, dass festgelegt werden muss, welcher der beiden Knoten in der Authenticator-Rolle und welcher in der Supplicant- Rolle agiert.

Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde, ein verbessertes Verfahren sowie Anordnung zur Bereitstellung eines drahtlosen Mesh-Netzwerks anzugeben.

Diese Aufgabe wird ausgehend von dem Oberbegriff des An ^¬ spruchs 1 durch dessen kennzeichnende Merkmale sowie ausgehend vom Gattungsbegriff des Anspruchs 15 durch dessen kennzeichnende Merkmale gelost.

Gemäß dem erfindungsgemaßen Verfahren zum Bereitstellen eines drahtlosen lokalen Netzwerks, bei dem stationäre Kommunikationseinrichtungen sowie mobile Kommunikationseinrichtungen nach Art eines Mesh als Subnetzwerk verbunden sind, welches insbesondere an ein Infrastrukturnetzwerk angeschlossen wird, und derart ausgestaltet ist, dass es mit zumindest einer, insbesondere im Infrastrukturnetzwerk angeordneten, eine Au- thentisierungsfunktion bereitstellende Kommunikationseinrichtung Authentisierungsnachrichten austauschen kann, wird bei einem Versuch des Aufbaus eines ersten Links von einer mit der die Authentisierungsfunktion bereitstellenden Kommunikationseinrichtung eine Verbindung aufweisenden ersten Kommunikationseinrichtung zu einer mit der die Authentisierungsfunktion bereitstellenden Kommunikationseinrichtung eine Verbin- düng aufweisenden zweiten Kommunikationseinrichtung eine im Rahmen einer Authentisierung zu vergebende Authenticator- Rolle derjenigen der ersten und zweiten Kommunikationseinrichtung zugeordnet, bei der zumindest eine zur Verbindung korrelierende Eigenschaft auf die Erfüllung eines Kriteriums geprüft wird.

Durch das erfmdungsgemaße Verfahren wird die notwendige Rollenvergabe derart optimiert, dass Verbindungseigenschaften

mit berücksichtigt werden, so dass das Netzwerk effizienter arbeiten kann. Außerdem wird hierdurch im Mittel auch eine bessere Verteilung der Ressourcen erzielt.

Vorteilhafter Weise wird dabei bei einer Weiterbildung der Erfindung seitens der ersten und zweiten Kommunikationseinrichtung eine Erfassung der zur Verbindung korrelierenden Große erfolgen. Dies hat beispielsweise den Vorteil, dass der AAA-Server von solchen Ermittlungen entlastet ist und der er- findungsgemaße Grundeffekt, dass die Effizienz gesteigert und die Auslastung gleichmaßig verteilt wird, um ein weiteres Maß verbessert wird.

Vorzugsweise wird bei einer Weiterbildung als korrelierende Große die Anzahl der Hops zu der die Authentisierungsfunktion bereitstellenden Kommunikationseinrichtung erfasst, da durch diesen Wert eine gute Abschätzung der für eine Nachrichtenübermittlung benotigten Zeit ermöglicht wird, wobei bevorzugt als Kriterium mindestens eine gemäß einem Routing-Protokoll, insbesondere einem Mesh-Routing Protokoll, ermittelbare Große geprüft wird, insbesondere wird als Kriterium das Minimum der Anzahl von Hops geprüft, da somit diejenige Verbindung detek- tiert wird, die eine schnellere Abwicklung des Authentisie- rungsvorgangs verspricht.

Alternativ oder ergänzend gemäß einer weiteren vorteilhaften Ausgestaltung wird als korrelierende Große eine physikalische Eigenschaft der Verbindung, insbesondere die Funkgualitat, erfasst, wobei als Kriterium auf ein eine bessere Qualität indizierendes Maß geprüft wird. Durch diese Variante wird ebenfalls eine schnelle Abwicklung gewahrleistet, da bei ^¬ spielsweise wegen Unterbrechungen der physikalischen Verbindung erforderliche Mehrfachubertragungen vermieden werden.

Eine weitere vorteilhafte Ergänzung bzw. alternative Weiter ^¬ bildung ist gegeben, wenn als korrelierende Große eine Auslastung der Verbindung zur die Authentisierungsfunktion bereitstellenden Kommunikationseinrichtung und/oder von die

Verbindung zur die Authentisierungsfunktion bereitstellenden Kommunikationseinrichtung realisierender Kommunikationseinrichtungen erfasst wird, wobei als Kriterium ein Minimum der Auslastung geprüft wird. Diese Weiterbildung tragt ebenfalls wie die Vorgenannten neben der Effizienzsteigerung auch zur Gewahrleistung einer schnelleren Abwicklung bei. Ferner sorgt diese Vorgehensweise dabei für eine bessere Verteilung der Last innerhalb des Netzes.

Alternativ, vor allem aber auch als Ergänzung wird gemäß einer Weiterbildung als korrelierende Große die Art der Strom ^¬ versorgung derjenigen Kommunikationseinrichtung erfasst, welche die Authentisierungsfunktion bereitstellt und/oder welche die Verbindung zu der die Authentisierungsfunktion bereit- stellenden Kommunikationseinrichtung realisiert, wobei als

Kriterium auf Netzstromversorgung geprüft wird. Dies verhindert eine mögliche Unterbrechung aufgrund mangelnder Energie zum Betreiben der betreffenden Knoten, so dass auch hier Zeitverluste vermieden und die Schnelligkeit der Abwicklung erhöht wird.

Wird als alternative Weiterbildung oder als Ergänzung zu vorstehenden Ausgestaltungen als korrelierende Große die Beanspruchung der Prozessorleistung der bereitstellenden Kommuni- kationsemπchtung und/oder der die Verbindung zu der die Authentisierungsfunktion bereitstellenden Kommunikationseinrichtung realisierende Kommunikationseinrichtungen erfasst, wobei als Kriterium das Minimum des Maßes an Beanspruchung geprüft wird, so findet der erfmdungsgemaße Vorteil der Ver- teilung der Last zur effizienteren und im Ergebnis auch schnelleren Abwicklung weitere Unterstützung.

Erfolgt im Falle der übereinstimmung der Prufungsergebnisse die Vergabe der zu vergebenden Authenticator-Rolle auf Grund- läge eines Vergleichs der Media Access Control „MAC-"Adressen der ersten und zweiten Kommunikationseinrichtung, so ist eine Ruckfallposition gegeben, so dass auch m einem solchen Fall das System einen definierten Zustand einnehmen kann.

Vorzugsweise wird dabei derjenigen der ersten und zweiten Kommunikationseinrichtung die Rolle des Authenticators zuge ^¬ ordnet, deren MAC-Adresse kleiner ist.

Gemäß einer weiteren Weiterbildung der Erfindung wird für den Fall, dass die erste und zweite Kommunikationseinrichtung Verbindungen zu mehreren eine Authentisierungsfunktion bereitstellenden Kommunikationseinrichtungen (AAA-S, MKD) auf- weisen, a) eine Schnittmenge von eine Authentisierungsfunktion bereitstellenden Kommunikationseinrichtungen (AAA-S, MKD) gebildet, die diejenigen eine Authentisierungsfunktion bereitstellenden Kommunikationseinrichtungen enthalt, zu denen die erste und zweite Kommunikationseinrichtung jeweils beide eine Verbindung aufweisen, b) im Falle, dass die Schnittmenge zumindest eine erste und eine zweite eine Authentisierungsfunktion bereitstellende Kommunikationseinrichtungen (AAA-S, MKD) enthalt, derjenigen der ersten und zweiten Kommunikationseinrichtungen die Au- thenticator-Rolle zugewiesen wird, bei der die zumindest eine zur Verbindung korrelierende Eigenschaft das Kriterium am besten erfüllt, c) im Falle, dass die Schnittmenge eine leere Menge ist, der- jenigen der ersten und zweiten Kommunikationseinrichtung die

Rolle des Authenticators zugeordnet wird, deren zumindest eine zur Verbindung zu einer die Authentisierungsfunktion bereitstellende Kommunikationseinrichtung korrelierende Eigenschaft das Kriterium am besten erfüllt.

Hierdurch ist die Erfindung auch bei einer so genannten Skalierung anwendbar und gewahrleistet des Weiteren für ein solches Szenario eine schnelle Mesh-mterne Authentisierung.

Erfolgt auf Grundlage des Uberprufungsergebnisses eine Adap ^¬ tion der Authentisierungsmethode, insbesondere die Auswahl einer gemäß Extensible Authentication Protocol „EAP" defi-

nierten Methode, lasst sich die Abwicklung noch feingranula- rer auf die Gegebenheiten hin optimieren.

Die der Erfindung zugrunde liegende Aufgabe wird auch durch eine Anordnung zum Bereitstellen eines drahtlosen lokalen

Netzwerks, welche Mittel zur Durchfuhrung des Verfahrens aufweist, dadurch gelost, dass es die Realisierung des Verfahrens erlaubt.

Weitere Einzelheiten der Erfindung sowie Vorteile werden ausgehend von einem in der Figur 1 dargestellten Szenario anhand eines in der Figur 2 dargestellten Ausfuhrungsbeispiels naher erläutert werden. Dabei zeigt

Figur 1 ein beispielhaftes Mesh-Netzwerk,

Figur 2 schematisch ein Ausfuhrungsbeispiel der Erfindung in einem die Erfindung realisierenden Mesh-Netzwerk .

In Figur 1 ist, wie oben erläutert, ein Mesh-Netzwerk MESH, welches mit einem Infrastrukturnetzwerk INFRASTRUCTURE NETWORK verbunden ist, dargestellt. Zu erkennen ist, dass es neben Knoten MP auch Infrastrukturknoten wie einen Mesh-Key- Distributor MKD und einen „Authentication, Authoπzation, Ac- counting" Authentisierungsserver AAA-S aufweist.

Der Mesh-Key-Distributor MKD ist dabei ein Gateway-Knoten, der das Mesh-Netzwerk MESH mit dem Infrastrukturnetz INFRASTRUCTURE NETWORK koppelt und Schlusselverteilung regelt. Der Mesh-Key-Distributor MKD ist zudem ein Mesh-Knoten, der aber als Zusatzaufgabe die oben erwähnte Schlusselverteilung bzw. Gateway-Funktionalität innerhalb des Mesh-Netzwerks MESH übernimmt.

Ferner ist zu erkennen, dass zwischen einigen der dargestellten Knoten MP authentisierte direkte Verbindungen, d.h. Links

zwischen den Knoten MP, bestehen (durch den Blitz angedeutet) .

Für den Aufbau eines derartigen Links zwischen zwei Knoten MP bedarf es der Authentisierung durch den Authentisierungsser- ver mit der oben beschriebenen Rollenaufteilung zwischen Au- thenticator und Supplicant.

Damit einem der Knoten MP die Rolle des Authenticators zuge- wiesen werden kann, benotigt zumindest einer der Knoten eine Verbindung zu dem AAA-Server AAA-S. Diese Verbindung kann dabei über mehrere Links, d.h. über mehrere der Knoten MP; MKD, fuhren .

Falls nun nur einer der Mesh-Knoten eine Verbindung zum Au- thentisierungsserver AAA-S hat und somit als Authenticator agieren kann, ist die Rollenzuteilung eindeutig (falls keiner als Authenticator agieren kann, ist keine Authentifikation möglich) .

Falls aber beide Mesh-Knoten in der Lage sind, als Authenticator zu agieren, kommt das erfindungsgemaße Verfahren zum Tragen.

In Figur 2 sind hierzu ein erster Knoten MP-A und eine zweiter Knoten MP-B der Knoten MP als eine direkte Verbindung aufbauende Knoten hervorgehoben.

Dabei ist zu erkennen, dass sowohl der erste Knoten MP-A eine erste Verbindung zum Authentisierungsserver AAA-S aufweist, in der Figur 2 als punktierte Linie angedeutet, als auch der zweite Knoten eine zweite Verbindung zum Authentisierungsserver AAA-S aufweist, welche in der Figur 2 als langgestrichelte Linie angedeutet ist, so dass nun sowohl der erste Knoten MP-A als auch der zweite Knoten MP-B für die Rolle des Au ^¬ thenticators zur Verfugung stehen.

Das Ausfuhrungsbeispiel umfasst den erfmdungsgemaßen Kern der Erfindung, der darin besteht, dass ein Mesh-Knoten mit- hilfe eines "Information Elements" eine Metrik signalisiert, die angibt, wie „gut" die erste Verbindung und/oder zweite Verbindung zu dem für die Authentisierung verwendeten Authen- tisierungsserver AAA-S, den das Mesh-Netzwerk MESH mit dem Authentisierungsserver AAA-S verbindenden Mesh Key Distributor MKD oder einem anderen für Authentisierungen innerhalb des Mesh-Netzes zustandigen Knoten ist, auf Grund derer die Rolle des Authenticators vergeben wird.

Metrik bezeichnet bekannter Maßen im Allgemeinen ein System von Kennzahlen oder ein Verfahren zur Messung einer quantifizierbaren Große. Es wird also erfindungsgemaß ein mit der Verbindung zum Authentisierungsserver AAA-S korrelierender Wert ermittelt.

Dieser Wert ist somit ein Maß dafür, wie gut sich der Mesh- Knoten eignet, bei der Authentisierung die Authenticator- Rolle wahrzunehmen (der Authenticator benotigt eine Verbindung zu einem Authentisierungsserver; der Supplicant dagegen kommuniziert über den Authenticator, nicht direkt, mit dem Authentisierungsserver) .

Erfindungsgemaß kann es sich dabei bei der Metrik insbesondere um die Anzahl der Hops MKD_DISTANZl; MKD_DISTANZ2 zu dem Mesh Key-Distribution-Knoten MKD handeln. Auch eine andere Metrik, die aus den Daten des Mesh-Routing-Protokolls bestimmt wird, kann erfindungsgemaß alternativ oder zusätzlich herangezogen werden.

Hierzu kann ferner noch die Auslastung der Links oder die Qualität der den Links zugrunde liegenden Funkverbindung berücksichtigt werden. Weiterbildungen der Erfindung sehen auch vor, dass weitere Daten des Mesh-Knotens in die Metrik einge ^¬ hen, wie beispielsweise die Art der Stromversorgung (Netzan- schluss oder Batterie) , auch der Ladezustand der Batterie,

die aktuelle Belastung des Knotens („CPU Load") oder des Netzwerks („Network Load") .

Wie oben erläutert, wird die Entscheidung, welcher der Knoten MP-A; MP-B Authenticator sein soll, anhand der die bessere

Verbindung indizierenden Metrik gefallt. D.h. die ermittelten Werte, die entweder selbständig durch Messung erfolgen oder über (Protokoll-) Nachrichten angefordert werden, werden einem Vergleich unterzogen und der im Sinne einer optimalen Verbin- dungseigenschaft bessere Wert legt den mit der Rolle des Au- thenticators zu belegenden Knoten MP-A; MP-B fest.

Sind die Werte aber gleich, d.h. besteht die gleiche Metrik, wird erfindungsgemaß die Entscheidung aufgrund eines Ver- gleichs der MAC-Adressen der beiden Knoten MP-A; MP-B getroffen. Beispielsweise kann der Knoten mit der kleineren MAC- Adresse als Authenticator bestimmt werden oder umgekehrt. Das Gleiche kann erfolgen, falls die Metrik für einen oder beide Knoten nicht ermittelt werden kann.

Ergänzend kann, falls der dann mit der Supplicant belegte Knoten mehrere Authentisierungsmoglichkeiten (EAP-Methoden) unterstutzt, anhand der Metrik des Authenticators (und eige ^¬ ner Information wie beispielsweise den Batterie-Ladezustand) eine angepasste EAP-Methode für die Authentisierung auswählen: So kann bei einer schlechten Metrik eine effiziente EAP- Methode ausgewählt werden, bei der nur wenige Nachrichten zwischen Supplicant und Authentisierungsserver AAA-S ausgetauscht werden bzw. die nur einen geringen Stromverbrauch hat (z.B. da sie nur einfache kryptographische Operationen verwendet, also beispielsweise nur Secret-Key-basiert statt Pub- lic-Key-basiert) .

Neben der Auswahl der gemäß Extensible Authentication Proto- col „EAP" definierten Methode konnte auch eine Option innerhalb einer solchen Methode ausgewählt werden.

Beispiele dafür sind, z.B. innerhalb des EAP-TLS:

die verwendete Ciphersuite (z.B. AES oder DES-Verschlus- selung) ,

- das verwendete Credential (z.B. kurzer oder langer

Schlüssel / Zertifikat (1024 Bit RSA Key oder 2048 bit RSA key; Schlüssel/Zertifikat für RSA oder für ECC -> bei elliptische Kurven ECC sind die Schlüssel kleiner als bei vergleichbar starkem RSA) .

Dies stellt nur einen Teil der Optionen innerhalb von EAP Me ^¬ thoden dar. Erfindungsgemaß kann zur Anpassung und Optimierung im Grunde jede der möglichen Optionen von der erfin- dungsgemaßen Metrikauswertung abhangig gemacht werden.

Das Ausfuhrungsbeispiel zeigt zwar nur einen Mesh-Key- Distπbutor MKD bzw. einen hierüber erreichbaren Authentisie- rungsserver AAA-S, die Erfindung bietet aber auch Losungen für Netzwerke, bei denen in einem Netzwerk mehrere Authenti- sierungsserver AAA-S respektive Mesh-Key-Distributoren MKD vorhanden sind (Skalierung) .

Für diesen Fall wird erfindungsgemaß je Mesh-Knoten nicht nur eine Metrik für einen von ihm erreichbaren Authentisierungs- Server AAA-S bzw. einen Mesh-Key-Distπbutor MKD angegeben, sondern für mehrere in der Regel alle vom jeweiligen Knoten erreichbaren für die Authentisierung zustandigen Knoten AAA- S; MKD.

Der erfmdungsgemaße Ablauf für so einen Fall ist dergestalt, dass zuerst ein Vergleich erfolgt der den beiden Mesh-Knoten MP-A; MP-B bekannten für die Authentisierungsfunktion vorgesehenen Knoten AAA-S; MKD.

Zur Identifizierung der für die Authentisierungsfunktion vorgesehenen Knoten MKD, AAA-S und eindeutigen Zuordnung der jeweiligen ermittelten Metriken zu ihnen können dabei die so genannten MKD-Identifier bzw. die MAC-Adressen der für die

Authentisierungsfunktion vorgesehenen Knoten herangezogen werden .

Dazu vergleicht jeder der beiden Mesh-Knoten MP-A; MP-B die ihm bekannten für die Authentisierungsfunktion vorgesehenen Knoten AAA-S; MKD mit denen des jeweils anderen Mesh-Knotens MP-A; MP-B. Hierzu können die jeweiligen für die Authentisierungsfunktion vorgesehenen Knoten vorher gegenseitig in einer Nachricht, insbesondere als so genanntes „Announcement" aus- gestaltet, bekannt gemacht werden.

Ein Vorteil dieser erfindungsgemaßen Verfahrensweise liegt darin, dass im Falle des Vorliegens einer übereinstimmung eine schnelle, Meshnetz-interne Authentisierung möglich wird.

Erfindungsgemaß wird deshalb aus den gemeldeten für die Authentisierungsfunktion vorgesehenen Knoten AAA-S; MKD eine Schnittmenge gebildet, die die von den beiden Mesh-Knoten übereinstimmend bekannt gemachten für die Authentisierungs- funktion vorgesehenen Knoten AAA-S; MKD enthalt.

Aus dieser Schnittmenge wird dann dem erfindungsgemaßen Kerngedanken folgend derjenige aus den für die Authentisierungs ^¬ funktion vorgesehenen Knoten AAA-S; MKD ausgewählt, der die beste Metrik aufweist und die Rolle des Authenticators wird demjenigen Knoten MP-A; MP-B zugeteilt, für dessen Verbindung zu dem ausgewählten die Authentisierungsfunktion bereitstellenden Knoten AAA-S; MKD diese Metrik ermittelt wurde.

Die Erfindung berücksichtigt auch den Fall, dass kein gemeinsamer für die Authentisierungsfunktion vorgesehener Knoten AAA-S; MKD existiert, d.h. die Schnittmenge leer ist. Für diesen Fall wird demnach derjenige der für die Authentisierungsfunktion vorgesehenen Knoten AAA-S; MKD mit der besten Metrik unter allen bekannt gemachten AAA-S; MKD ausgewählt, wobei wiederum derjenige Knoten MP-A; MP-B Authenticator wird, für dessen Verbindung zu dem ausgewählten die Authenti-

sierungsfunktion bereitstellenden Knoten AAA-S; MKD diese Metrik ermittelt wurde.

Ein weiter Vorteil ergibt sich dabei dadurch, dass in dem Mesh-Netzwerk bei der Authentisierung weniger Ressourcen verglichen mit dem aus dem Stand der Technik bekannten Verfahren belegt werden, da die Authentisierungs-Nachrichten erfin- dungsgemaß stets über einen gunstigeren Pfad innerhalb des Mesh-Netzes transportiert werden.

Bei dem zu den oben beschriebenen möglichen Varianten zum leichteren Verständnis vergleichsweise einfach gehaltenen Ausfuhrungsbeispiel, welches in der Figur 2 dargestellt ist, ist angenommen, dass der erste Knoten MP-A und der zweite Knoten MP-B in einem ersten Schritt einen Link aufbauen wollen .

In einem zweiten Schritt signalisieren daraufhin beide Knoten MP-A; MP-B dem jeweils anderen bei dem gewählten Ausfuhrungs- beispiel als Metrik die Distanz MKD_DISTANZl ; MKD_DISTANZ2 , d.h. Anzahl der Hops zum Mesh Key Distributor MKD.

In der Zeichnung ist zu erkennen, dass eine erste Metrik MKD_DISTANZ1 für den ersten Knoten MP-A 3 (Hops) betragt, und für den zweiten Knoten MP-B betragt eine zweite Metrik MKD_DISTANZ2 2 Hops .

Erfmdungsgemaß wird bei dem Ausfuhrungsbeispiel derjenige der beiden Mesh-Knoten MP-A; MP-B mit der besseren Metrik (kleinerer Wert) Authenticator . Dazu werden die Werte der

Metrik verglichen, wobei in diesem Beispiel das Kriterium für die Auswahl die kleinere Anzahl von notwendigen Hops ist, so dass gemäß dem Ausfuhrungsbeispiel daher dem zweiten Knoten MP-B die Authenticator-Rolle zugewiesen wird.