Verfahren und System zum Bereitstellen eines Mesh-Schlüssels

Die Erfindung betrifft ein Verfahren und ein System zum Bereitstellen eines Schlüssels zur Verschlüsselung von Nachrichten zwischen Knoten eines Mesh-Netzwerkes .

Ein drahtloses Maschen bzw. Mesh-Netzwerk ist ein vermaschtes Netz, das beispielsweise in einem Wireless Local Area Network (WLAN) implementiert ist. Bei einem Mesh-Netzwerk kann ein mobiler Knoten Daten, die von einem anderen mobilen Knoten stammen, an einen weiteren mobilen Knoten weiterleiten oder an eine Basisstation übertragen. In einem Maschennetzwerk bzw. Mesh-Network können weite Distanzen überspannt werden, insbesondere in unebenen oder schwierigen Terrain. Maschennetze arbeiten zudem sehr zuverlässig, da jeder mobile Knoten mit einigen anderen Knoten verbunden ist. Wenn ein Knoten ausfällt, beispielsweise auf Grund eines Hardware-Defekts, suchen dessen Nachbarknoten eine alternative Datenübertragungsroute. Maschennetze bzw. Mesh-Networks können feste oder mobile Geräte miteinbeziehen.

Fig. 1 zeigt schematisch ein Maschennetzwerk nach dem Stand der Technik. Die Knoten umfassen dedizierte Maschenknoten

(MN), die zur Infrastruktur des Netzwerkes gehören. Bei diesen dedizierten Maschenknoten kann es sich um eine feste Basisstation BS aber auch um eine mobile Station MS handeln. Neben den dedizierten Maschenknoten umfasst das Maschennetz- werk auch mobile Endgeräte bzw. mobile Knoten von Nutzern. Die mobilen Knoten können direkt mit einem anderen mobilen Knoten kommunizieren und oder direkt oder indirekt über weitere Knoten Daten mit einer Basisstation BS austauschen, die an einem Gateway GW eines Datennetzwerkes angeschlossen ist. Dabei werden Datenpakete DP von einem Gerät bzw. Knoten zum nächsten Gerät weitergeleitet bis das Zielgerät bzw. das Gateway GW erreicht ist. Die Weiterleitung der Datenpakte DP erfolgt dabei durch dynamisches Routing. Die Routen auf denen

die Datenpakte DP übertragen werden, werden dabei dynamisch auf Basis der Verfügbarkeit der Knoten und auf Basis der Netzauslastung berechnet. Allgemein zeichnen sich Maschennetzwerke durch eine hohe Netzabdeckung, eine hohe Zuverlas- sigkeit und durch einen sparsamen Umgang mit verfugbaren Ressourcen aus. Bei drahtlosen Maschennetzwerken wird die drahtlose Ubertragungstrecke herkommlicherweise durch eine WLAN (Wireless Local Area Network) Ubertragungsstrecke realisiert. Im Gegensatz zu einem Wireless Personal Area Network (WPAN) haben WLAN Netze größere Sendeleistungen und Reichweiten und bieten höhere Datenübertragungsraten.

Zur Authentisierung von Knoten bzw. Rechnern wird das so genannte EAP (Extensible Authentication Protocol) eingesetzt. Fig. 2 zeigt ein Signaldiagramm zur Darstellung eines Authen- tisierungsvorgangs bei einem herkömmlichen WLAN-Netz. Das EAP-Protokol wird bei WLAN zur Absicherung des Netzwerkzugangs verwendet. Vielfaltige konkrete Authentisierungsverfah- ren, so genannte EAP-Methoden, können über das EAP-Protokol transportiert werden, z.B. EAP-TLS, EAP-AKA, PEAP-MSChapv2. Bei der Authentisierung wird ein kryptographischer Schlüssel bzw. Sitzungsschlussel MSK, EMSK (MSK: Master-Session Key; EMSK: Extended Master Session Key) ermittelt der nachfolgend zum Schutz der Datenkommunikation, beispielsweise bei der Link-Layer-Verschlusselung verwendet wird. Die Authentisierung eines Teilnehmers erfolgt zwischen dem Teilnehmer (supplicant) und einem Authentisierungsserver (AAA-Server) . Bei erfolgreicher Authentisierung sendet der Authentisierungsserver das Ergebnis der Authentisierung und den aus der Authentisierung stammenden Sitzungsschlussel MSK an den Au- thentikator, beispielsweise einem WLAN-Access-Point AP. Die Kommunikation zwischen dem Zugangsknoten bzw. Access-Point AP und dem Authentisierungsserver erfolgt üblicherweise über das Radius- oder Diameter-Daten-Ubertragungs-Protokoll . Dabei wird der Sitzungsschlussel MSK als Datenattribut an den Zugangsknoten AP als Teil einer EAP-Success-Nachricht gesendet. Der übertragende Sitzungsschlussel MSK wird anschließend über einen 802.11 4-Wege-Handshake 4WHS zwischen dem Teilnehmer

und den Zugangsknoten gemäß dem 802.11 IEEE Standard eingesetzt .

Bei einem herkömmlichen Netzwerk handelt es sich bei dem Zu- gangsknoten AP um einen vertrauenswürdigen Knoten, d.h. um einen Knoten der Netzinfrastruktur. Bei dem Zugangsknoten handelt es sich bei einem herkömmlichen Netzwerk somit nicht um einen Endnutzerknoten.

Fig. 3 zeigt die Authentisierung zweier Knoten MPA, MPB bei einem herkömmlichen WLAN-Netz. Bei den beiden Knoten MPA, MPB kann es sich beispielsweise um zwei Maschenknoten eines Maschennetzwerkes bzw. Mesh-Networks handeln. Zum Aufbau einer Datenverbindung zwischen den beiden Knoten MPA, MPB authenti- siert sich zunächst der Endknoten MPA (als Supplicant) bei dem zugehörigen Authentisierungsserver AS-B mittels des EAP- Datenübertragungsprotokolls . In einer EAP-Success-Nachricht erhält der Knoten MPB (Authentikator) einen Sitzungsschlüssel MSKl. Anschließend führt der Knoten MPB mit dem Knoten MPA einen 4-Wege-Handshake durch und verwendet dabei den erhaltenen Sitzungsschlüssel MSKl. Anschließend führt der Knoten MPB (nun als Supplicant) eine Authentisierung an dem zughörigen Authentisierungsserver AS-A durch, und MPA (nun Authentikator) erhält in einer EAP-Success-Nachricht einen zweiten Sit- zungsschlüssel MSK2. Der Knoten MPA führt anschließend einen 4-Wege-Handshake mit dem Knoten MPB unter Verwendung des zweiten Sitzungsschlüssel MSK2 durch.

Bei der weiteren Kommunikation zwischen den beiden Knoten MPA, MPB kann diese durch einen der beiden Sitzungsschlüssel MSKl, MSK2 abgesichert werden.

Ein Nachteil der in Figur 3 dargestellten Vorgehensweise nach dem Stand der Technik besteht darin, dass es sich bei den Knoten MPA, MPB um Mesh-Knoten handeln kann, die nicht Teil der Netzzugangsinfrastruktur und somit manipulierbar sind.

Beispielsweise kann bei einer Authentisierung eines Mesh- Knotens MPA bei dessen Authentisierungsserver eine EAP- Authentisierungsnachricht über einen anderen Mesh-Knoten MPB weitergeleitet werden, der den erhaltenen Sitzungsschlüssel MSKl zu Manipulationszwecken einsetzt. Beispielsweise kann der Mesh-Knoten MPB den erhaltenen Sitzungsschlüssel MSK für andere Dienste einsetzen und dem anderen Mesh-Knoten MPA vorspiegeln, er sei beispielsweise ein VPN-Server (Virtual Private Network) . Aus der Sicht des Mesh-Knotens MPA wird sich der manipulierte Knoten MPB wie ein VPN-Server eines Firmen- Intranets verhalten.

Es ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren und System zum Bereitstellen eines Mesh-Schlüssels zu schaffen, welcher zur Verschlüsslung von Nachrichten zwischen zwei Knoten eines Mesh-Netzes einsetzbar ist, bei dem eine Manipulation ausgeschlossen ist.

Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den in Patentanspruch 1 angegebenen Merkmalen gelöst.

Die Erfindung schafft ein Verfahren zum Bereitstellen eines Mesh-Schlüssels, welcher zur Verschlüsselung von Nachrichten zwischen einem ersten Knoten und einem zweiten Knoten eines Mesh-Netzes einsetzbar ist, wobei bei einer Authentisierung des ersten Knotens bei einem Authentisierungsserver ein Sitzungsschlüssel generiert wird, aus dem der erste Knoten und der Authentisierungsserver oder ein Authentisierungs-Proxy- Server mittels einer vorgegebenen Schlüsselableitungsfunktion den Mesh-Schlüssel ableiten, welcher an den zweiten Knoten übertragen wird.

Bei der bevorzugten Ausführung des erfindungsgemäßen Verfahrens wird der Authentisierungsserver durch ein AAA-Server ge- bildet.

Bei einer weiteren Ausfuhrung des erfindungsgemaßen Verfahrens ist der AAA-Proxy-Server in einem Mesh-Gateway-Knoten vorgesehen .

Bei einer bevorzugten Ausfuhrung des erfindungsgemaßen Verfahrens wird der Sitzungsschlussel durch einen MSK-Schlussel (Master-Session-Key) gebildet.

Bei einer Ausfuhrung des erfindungsgemaßen Verfahrens wird die Schlusselableitungsfunktion KDF durch eine kryptographi- sche Hash-Funktion gebildet.

Bei einer bevorzugten Ausfuhrung des erfindungsgemaßen Verfahrens wird die Schlusselableitungsfunktion KDF durch eine HMAC-SHAl, HMAC-MD5, HMAC-SHA256, PRF, SHA-I, MD5 oder SHA256 Funktion gebildet.

Bei einer weiteren Ausfuhrung des erfindungsgemaßen Verfahrens wird der Mesh-Schlussel mittels einer Ableitungsfunktion KDF in Abhängigkeit des Sitzungsschlussels und einer Zeichenkette abgeleitet.

Die Zeichenkette setzt sich vorzugsweise aus mehreren verketteten Unterzeichenketten zusammen.

Bei einer bevorzugten Ausfuhrung des erfindungsgemaßen Verfahrens wird eine Unterzeichenkette durch eine Netzwerk- Identifizierung des Mesh-Netzes gebildet.

Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens wird eine Unterzeichenkette durch eine MAC-Adresse des zweiten Knotens gebildet.

Bei einer bevorzugten Ausfuhrungsform des erfindungsgemaßen Verfahrens zeigt bei einer übertragung des Mesh-Schlussels zu dem zweiten Knoten ein Flag an, dass der übertragene Schlüssel ein Mesh-Schlussel ist.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Authentisierung des ersten Knotens gemäß einem EAP-Protokoll.

Bei einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens tauscht der zweite Knoten mit dem Authentisie- rungsserver Nachrichten gemäß dem Radius oder Diameter- Protokoll aus.

Bei einem erfindungsgemäßen Verfahren wird dem zweiten Knoten anstatt des generierten Sitzungsschlüssels ein daraus abgeleiteter Mesh-Schlüssel bereitgestellt.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird der Authentisierungsserver auch für weitere Authentisie- rungen eingesetzt, die andere Kommunikationen als die Kommunikation zwischen den Mesh-Knoten betreffen.

Dabei werden bei Authentisierungen, welche die anderen Kommu- nikationen betreffen, vorzugsweise generierte Sitzungsschlüssel bereitgestellt. Der Mesh-Schlüssel ist vorzugsweise für die anderen Kommunikationen nicht als Sitzungsschlüssel verwendbar .

Die Erfindung schafft ferner ein System zum Bereitstellen eines Mesh-Schlüssels, welcher zur Verschlüsselung von Nachrichten zwischen einem ersten Knoten und einem zweiten Knoten eines Mesh-Netzes einsetzbar ist, wobei eine Authentisierung des ersten Knotens bei einem Authentisierungsserver ein Sit- zungsschlüssel generiert wird, aus dem der erste Knoten und der Authentisierungsserver oder ein Authentisierungs-Proxy- Server mittels einer vorgegebenen Schlüsselableitungsfunktion den Mesh-Schlüssel ableiten, welcher an den zweiten Knoten übertragbar ist.

Im Weiteren werden bevorzugte Ausführungsformen des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Systems un-

ter Bezugnahme auf die beigefügten Figuren zur Erläuterung erfindungswesentlicher Merkmale beschrieben.

Es zeigen:

Fig. 1 ein Maschennetzwerk nach dem Stand der Technik;

Fig. 2 ein Diagramm zur Erläuterung des Authentisierungsvor- ganges bei einem herkömmlichen WLAN Netzzugang;

Fig. 3 ein weiteres Diagramm zur Erläuterung des Authenti- sierungsvorganges bei einem herkömmlichen WLAN Netzzugang für zwei Knoten eines Mesh-Netzes;

Fig. 4 ein Signal-Diagramm zur Erläuterung einer ersten Ausführungsform des erfindungsgemäßen Verfahrens zum Bereitstellen eines Mesh-Schlüssels;

Fig. 5 ein weiteres Signal-Diagramm zur Erläuterung einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens zum Bereitstellen eines Mesh-Schlüssels.

Wie man aus Fig. 4 erkennen kann enthält ein Maschennetz bzw. Mesh-Network 1 mindestens zwei Knoten IA und IB, die direkt miteinander kommunizieren können. Bei den Maschenknoten IA, IB kann es sich um mobile Endgeräte aber auch um Feststationen handeln. Die Authentisierung eines Knotens IA, IB erfolgt mittels eines zugehörigen Authentisierungsservers 2. Dabei können die Knoten IA, IB einen gemeinsamen Authentisierungs- Server 2 aufweisen oder es können lokal getrennte Authenti- sierungsserver 2A, 2B für den jeweiligen Knoten IA, IB vorgesehen werden. Der Authentisierungsvorgang erfolgt bei der in Fig. 4 dargestellten Ausführungsform über einen Authentisie- rungs-Proxy-Server 3, der sich vorzugsweise in einem Gateway- Knoten GW eines Zugangsnetzwerkes befindet. Die Authentisierung eines Netzknotens IA bei dem Authentisierungsserver 2 erfolgt mittels des EAP-Datenprotokolls, wobei der Netzknoten IA eine zugehörige Teilnehmeridentität NAI an seinen Authen-

tisierungsserver 2 übertragt, der aus einer Tabelle einen zughorigen Sitzungsschlussel MSK ausliest bzw. der im Rahmen der Authentisierung mittels des EAP-Datenprotokolls generiert wird. Der Sitzungsschlussel MSK-A für den Netzknoten IA wird bei dem erfindungsgemaßen Verfahren in einer EAP-Success-

Nachricht an den Authentisierungs-Proxy-Server 3 übertragen, wie in Fig. 4 zu sehen ist. Der Authentisierungs-Proxy-Server 3 leitet aus den empfangenen Sitzungsschlussel MSK-A mittels einer Schlusselableitungsfunktion KDF (Key Derivation Functi- on) einen eindeutigen Mesh-Schlussel (Mesh-Key A) ab und u- bertragt diesen innerhalb einer EAP-Success-Nachricht an den zweiten Knoten IB.

Bei einer bevorzugten Ausfuhrungsform wird zusatzlich ein An- zeigeflag an den zweiten Knoten IB übertragen, welcher anzeigt, dass es sich bei dem übertragenen Schlüssel um einen Mesh-Schlussel handelt. Anschließend erfolgt ein 4-Wege- Handshake zwischen den beiden Knoten IA, IB unter Verwendung des übertragenen Mesh-Schlussels (Mesh-Key A) . Der abgeleite- te Mesh-Schlussel dient zur Sicherung von übertragenen Nachrichten in dem Mesh-Netzwerk und nicht für sonstige Dienste wie beispielsweise VPN.

Die Authentisierung des zweiten Knotens IB bei dem zugehori- gen Authentisierungsserver 2 erfolgt in gleicher Weise wie bei dem ersten Knoten IA. Nach übertragen einer Teilnehmer- identitat NAI des zweiten Knotens IB liest der Authentisierungsserver 2 einen zugehörigen Sitzungsschlussel MSK-B aus bzw. ermittelt ihn im Rahmen der Authentisierung mittels des EAP-Datenprotokolls und übertragt ihn zu dem Authentisierungs-Proxy-Server 3. Die Ableitung des Mesh-Schlussels (Mesh-Key B) mittels der Ableitungsfunktion KDF erfolgt durch den Authentisierungs-Proxy-Server 3, welcher den abgeleiteten Mesh-Schlussel (Mesh-Key B) mit einem zughorigen Anzeigeflag in einer EAP-Success-Nachricht an den anderen Knoten IA übertragt. Anschließend erfolgt ein 4-Wege-Handshake zwischen den beiden Knoten IA, IB, der durch den zweiten Mesh-Schlussel (Mesh-Key B) abgesichert wird.

Daraufhin ist eine abgesicherte Datenübertragung bzw. Kommunikation zwischen den beiden Knoten IA, IB unter Verwendung einer der beiden oder unter Verwendung von beiden Mesh- Schlüsseln (Mesh-Key A, Mesh-Key B) möglich.

Fig. 5 zeigt ein weiteres Signal-Diagramm zur Erläuterung des erfindungsgemäßen Verfahrens zum Bereitstellen eines Mesh- Schlüssels. Bei dem in Fig. 5 dargestellten Beispiel ist bei der Authentisierung des ersten Knotens IA der Authentisie- rungs-Proxy-Server 3 nicht in die Kommunikation zwischen dem Authentikator IB und dem Authentisierungsserver 2B eingebunden. In dieser Ausführungsform führt daher der Authentisierungsserver 3 nicht die Mesh-Schlüssel-Ableitungsfunktion durch. Vielmehr erhält der zweite Knoten IB direkt den Sitzungsschlüssel MSK-A. Wenn die von dem Knoten IB erhaltene EAP-Success-Nachricht kein Anzeigeflag enthält, welche anzeigt, dass es sich bei dem Schlüssel um einen Mesh-Schlüssel handelt, erkennt der Knoten IB, dass die Ableitungsfunktion KDF noch vorzunehmen ist. Der Knoten IB leitet daher aus dem empfangen Sitzungsschlüssel MSK-A mittels einer vorgegebenen Ableitungsfunktion KDF den Mesh-Schlüssel (Mesh-Key A) ab. Bei der anschließenden Authentisierung des anderen Knotens erfolgt die Authentisierung, wie in Fig. 4 bereits darge- stellt, über den Authentisierungs-Proxy-Server 3. Die Ableitung des zweiten Mesh-Schlüssels (Mesh-Key B) erfolgt dementsprechend durch den Authentisierungs-Proxy-Server 3.

Bei einer weiteren Ausführungsform erfolgt die Authentisie- rung beider Knoten IA, IB ohne Hilfe eines Authentisierungs- Proxy-Servers 3 direkt, wobei die Schlüsselableitung jeweils durch den anderen Knoten erfolgt.

Bei dem erfindungsgemäßen Verfahren wird aus dem im Authenti- sierungsvorganges ausgelesenen bzw. generierten Sitzungsschlüssel ein weiterer Schlüssel mittels einer vorgegebenen Schlüsselableitungsfunktion KDF abgeleitet, wobei der ursprüngliche Sitzungsschlüssel anhand des abgeleiteten Mesh-

Schlüssels nicht mehr rekonstruierbar ist. Durch die zusätzliche Schlüsselableitung wird die Sicherheit erhöht, da ein Knoten in dem vermaschten Netzwerk nur einen abgeleiteten Mesh-Schlüssel erhält, der nur innerhalb eines Mesh-Netzes verwendbar ist, jedoch nicht für andere Anwendungen für die in eine separate Authentisierung erfolgt.

Bei dem erfindungsgemäßen Verfahren wird dabei die bestehende Authentisierungsinfrastruktur eingesetzt .

In einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird der generierte Sitzungsschlüssel durch einen MSK-Schlüssel (Master-Session-Key) gebildet.

Bei der Schlüsselableitungsfunktion KDF (Key Derivation Function) handelt es sich vorzugsweise um eine kryptographische Hash-Funktion . Dabei werden vorzugsweise als Schlüsselableitungsfunktion eine HMAC-SHAl, HMAC-MD5, HMAC-SHA256, PRF, SHA-I, MD5 oder SHA256 Funktion eingesetzt. Aus dem mittels der kryptographischen Schlüsselableitungsfunktion KDF abgeleiteten Mesh-Schlüssel kann auf den ursprünglichen Sitzungsschlüssel MSK nicht zurückgeschlossen werden. Dadurch wird verhindert, dass ein Mesh-Knoten aus dem Mesh-Schlüssel den Sitzungsschlüssel ableitet und ihn zu Manipulationszwecken verwendet.

Die eigentliche Schlüsselableitung kann einerseits durch einen Authentisierungs-Proxy-Server 3 bzw. Authentisierungsser- ver 2 oder andererseits durch einen Knoten des Mesh-Netzes erfolgen. Die Schlüsselableitung wird vorzugsweise durch einen Authentisierungs-Proxy-Server 3, d.h. einen Radius-Proxy- Server oder einen Diameter-Proxy-Server, vorgenommen, der einen Teil eines Gateway-Knotens bildet und somit zu der Netzinfrastruktur gehört.

Bei einer alternativen Ausführungsform kann die Schlüsselableitung des Mesh-Keys bereits durch den Authentisierungsser- ver 2 selbst vorgenommen werden. In dieser Ausführungsform

kann der Sitzungsschlüssel MSK verwendet werden oder alternativ auch ein erweiterter Sitzungsschlüssel EMSK (Extended MSK) . Aus dem erweiterten Sitzungsschlüssel wird durch den Authentisierungsserver 2 der Mesh-Schlüssel abgeleitet.

Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens kann der Authentisierungsserver 2 den Sitzungsschlüssel MSK und den davon abgeleiteten Mesh-Schlüssel (Mesh-Key) übertragen. Der Authentisierungs-Proxy-Server 3 kann dann den nicht notwendigen Sitzungsschlüssel MSK einfach löschen bzw. ignorieren .

Bei einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird der Mesh-Schlüssel (Mesh-Key) mittels einer Schlüsselableitungsfunktion KDF in Abhängigkeit von dem Sitzungsschlüssel MSK und einer Zeichenkette (string) abgeleitet.

Dabei kann sich die Zeichenkette (string) aus mehreren Unter- zeichenketten zusammensetzen. Dabei wird vorzugsweise eine Unterzeichenkette durch eine Netzwerkidentifizierung des Mesh-Netzes (Mesh ID) gebildet.

Eine weitere Unterzeichenkette wird vorzugsweise durch eine MAC-Adresse eines Mesh-Knotens (MAC-Auth) gebildet.

Die Schlüsselableitung des Mesh-Schlüssels (Mesh-MSK) ergibt sich beispielsweise wie folgt:

Mesh-MSK = HMAC-SHAl (MSK, „Mesh-MSK | MAC-Auth | Mesh-ID")

Dabei steht das Symbol „ | " für die Konkatenation der Teil- Zeichenketten .

Die zusätzliche Schlüsselableitung gemäß dem erfindungsgemäßen Verfahren erhöht die Sicherheit der Datenübertragung wesentlich, da der Authentikator-Mesh-Knoten nur einen abgeleiteten Schlüssel erhält, der nur innerhalb eines Mesh-Netzes

verwendbar ist, jedoch nicht für andere Anwendungen bei den auch eine separate EAP-Authentisierung erfolgt, einsetzbar ist .