專利名稱:一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線局域網(wǎng)內(nèi)接入站(AP)與移動(dòng)終端之間的通信�����,特別涉及加密密鑰的分發(fā)方法���。
背景技術(shù):
無線局域網(wǎng)借助無線信道傳輸數(shù)據(jù)��、話音和視頻信號(hào)�����。相對(duì)于傳統(tǒng)布線網(wǎng)絡(luò),無線局域網(wǎng)具有安裝便捷��、使用靈活�、經(jīng)濟(jì)節(jié)約和易于擴(kuò)展等優(yōu)點(diǎn),因而日益受到重視�����。
無線局域網(wǎng)的可覆蓋區(qū)域稱為服務(wù)集���,一般分為基本服務(wù)集(BSS)12和擴(kuò)展服務(wù)集(ESS)11�����,其中基本服務(wù)集(BSS)12指由無線局域網(wǎng)中各單元的無線收發(fā)機(jī)以及地理環(huán)境所確定的通信覆蓋區(qū)域�����,常稱為小區(qū)��,范圍一般較小�,為了擴(kuò)大無線局域網(wǎng)覆蓋區(qū)域��,通常采用如圖1所示的方法�,即通過接入站(AP)121經(jīng)無線網(wǎng)關(guān)13將基本服務(wù)集(BSS)12與骨干網(wǎng)相連接�,使多個(gè)基本服務(wù)集(BSS)12中的移動(dòng)終端(MT)122經(jīng)由接入站(AP)121和無線網(wǎng)關(guān)13與有線骨干網(wǎng)連接��,從而構(gòu)成擴(kuò)展服務(wù)集11���。其中骨干網(wǎng)通常是指有線局域網(wǎng)����。
與有線傳輸相比��,無線傳輸?shù)谋C苄暂^差���,因此需要一些額外的安全措施來保證接入站(AP)和各移動(dòng)終端之間的通信安全����,比如用戶認(rèn)證���、信息加密等�����。無線局域網(wǎng)標(biāo)準(zhǔn)IEEE802.11采用有線對(duì)等加密(Wired Equivalent Privacy���,WEP)技術(shù)對(duì)信息進(jìn)行加密。WEP是一種對(duì)稱加密技術(shù)�,即加密通信雙方使用相同的密鑰進(jìn)行加解密。在實(shí)際應(yīng)用中����,出于安全性的考慮,不同用戶應(yīng)該使用不同的密鑰����。通常密鑰由網(wǎng)絡(luò)管理者分配,并存儲(chǔ)在通信雙方即移動(dòng)終端和接入站(AP)上�����。這種密鑰管理方法存在很多弊端�����。比如�����,在這種密鑰管理方式下��,為了支持用戶的漫游��,既允許用戶連接到不同的接入站(AP)上,每個(gè)接入站(AP)都應(yīng)該存儲(chǔ)所有用戶的密鑰�����。每次增加或修改某用戶的密鑰����,網(wǎng)絡(luò)管理者就要在所有的接入站(AP)上增加或修改該用戶的密鑰。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大�,密鑰管理任務(wù)將變得相當(dāng)繁重,而且接入站(AP)的存儲(chǔ)能力也可能達(dá)不到要求�����。因此��,這種預(yù)共享密鑰管理方式不適合于大型無線局域網(wǎng)絡(luò)�。
發(fā)明內(nèi)容
本發(fā)明的目的在于提出一種無線局域網(wǎng)內(nèi)動(dòng)態(tài)密鑰的分發(fā)方法,該方法將密鑰的分發(fā)和CHAP(Challenge Handshake Authentication Protocol)認(rèn)證過程結(jié)合起來�,利用認(rèn)證服務(wù)器的用戶名和密碼管理功能,對(duì)密鑰分發(fā)進(jìn)行管理�。用戶可以在大范圍內(nèi)漫游而不影響動(dòng)態(tài)密鑰的分發(fā)。接入站(AP)無需管理大量的用戶密鑰信息�,處理任務(wù)簡單,降低了成本。同時(shí)�,該方法為不同用戶和不同會(huì)話分發(fā)不同的密鑰,安全性更高���。
本發(fā)明需要認(rèn)證服務(wù)器、無線網(wǎng)關(guān)和移動(dòng)終端配合一起完成密鑰的動(dòng)態(tài)分配�。移動(dòng)終端存儲(chǔ)用戶名和密鑰,或提供接口�����,可由用戶輸入用戶名和密碼���。認(rèn)證服務(wù)器支持CHAP認(rèn)證協(xié)議���,同時(shí)存儲(chǔ)著用戶名和密碼。移動(dòng)終端和認(rèn)證服務(wù)器預(yù)先商定用于身份認(rèn)證和密鑰計(jì)算的算法S和F����。
本發(fā)明是通過下面的方法實(shí)現(xiàn)的。
一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法����,其過程如圖2所示,包括以下步驟認(rèn)證服務(wù)器、無線網(wǎng)關(guān)和移動(dòng)終端首先完成CHAP認(rèn)證過程����。
在通信雙方鏈路建立完成后,無線網(wǎng)關(guān)隨機(jī)產(chǎn)生提問信息��,并傳遞給移動(dòng)終端����。
該移動(dòng)終端根據(jù)CHAP協(xié)議,通過算法S計(jì)算出響應(yīng)��,并將該響應(yīng)發(fā)回給該無線網(wǎng)關(guān)��,同時(shí)該移動(dòng)終端使用算法F計(jì)算出密鑰K�����。其中算法S和算法F是一種單向散列算法�,能保證僅由輸出無法或者很難反推導(dǎo)出輸入,即很難由響應(yīng)推算出密碼�����,也很難由密鑰推算出密碼�����。它們既可以用軟件實(shí)現(xiàn),也可以用硬件實(shí)現(xiàn)��。單向散列函數(shù)S的輸入?yún)?shù)由本次認(rèn)證的標(biāo)識(shí)符����、密碼和提問信息構(gòu)成��;單向散列函數(shù)F的輸入?yún)?shù)包括用戶名����、密碼和提問信息。
該無線網(wǎng)關(guān)收到該響應(yīng)后�,將用戶名、提問信息和響應(yīng)發(fā)送給認(rèn)證服務(wù)器�。
該認(rèn)證服務(wù)器根據(jù)收到的信息以及存儲(chǔ)的用戶名、密碼判斷用戶的合法性�。首先認(rèn)證服務(wù)器根據(jù)用戶名得到用戶密碼,然后用同一算法S計(jì)算出驗(yàn)證值����,并將該驗(yàn)證值和該響應(yīng)進(jìn)行比較,若相符則認(rèn)證通過�,否則斷開連接,完成CHAP認(rèn)證。在CHAP認(rèn)證過程中���,不需要通過通信鏈路傳遞密碼��,因此相對(duì)與密碼認(rèn)證協(xié)議(Password Authentication Protocol����,PAP)安全性更高�����。
若用戶認(rèn)證成功��,移動(dòng)終端和認(rèn)證服務(wù)器都得到了提問信息�����,雙方可以根據(jù)提問信息以及用戶名和密碼用相同的算法計(jì)算出密鑰�����。認(rèn)證服務(wù)器使用該算法F計(jì)算出密鑰K�����,并發(fā)送給加密終結(jié)點(diǎn),從而完成密鑰的分發(fā)����,其中加密終結(jié)點(diǎn)可以是接入站也可以是無線網(wǎng)關(guān)。這樣移動(dòng)終端和加密終結(jié)點(diǎn)就擁有相同的密鑰K�����。
為進(jìn)一步提高安全性���,認(rèn)證服務(wù)器發(fā)送密鑰K給加密終結(jié)點(diǎn)時(shí)���,可以進(jìn)行加密�����。認(rèn)證服務(wù)器和加密終結(jié)點(diǎn)之間的加密方法和密鑰分配方法可以有多種�����。比如使用預(yù)共享的密鑰進(jìn)行加密���,或者使用上述移動(dòng)終端和認(rèn)證服務(wù)器之間分發(fā)密鑰的方法獲取密鑰后進(jìn)行加密���。
加密雙發(fā)得到分發(fā)的密鑰后���,可以在該密鑰的保護(hù)下,進(jìn)一步協(xié)商真正用于加密的密鑰�。
本發(fā)明的顯著效果為本發(fā)明的密鑰為動(dòng)態(tài)分發(fā)而非預(yù)共享,簡化了密鑰的管理任務(wù)����,特別適合大型無線局域網(wǎng)絡(luò);正由于密鑰為動(dòng)態(tài)派生而非靜態(tài)配置�,使同一用戶的不同會(huì)話也使用不同密鑰,因此安全性得到了提高���;也因?yàn)槊荑€由用戶名和密碼派生�,所以加密不影響用戶的漫游�,用戶可以在大范圍內(nèi)漫游而不影響動(dòng)態(tài)密鑰的分發(fā);而且AP無需管理大量的用戶密鑰���,簡化了處理任務(wù)����,降低了成本��;同時(shí)利用CHAP認(rèn)證過程中的提問信息來派生密鑰,簡化了密鑰協(xié)商過程����,容易實(shí)現(xiàn)。
圖1是無線局域網(wǎng)架構(gòu)的示意圖����;圖2是密鑰分發(fā)過程的示意圖;圖3是實(shí)施例密鑰分發(fā)過程的示意圖����。
具體實(shí)施例方式
下面結(jié)合附圖及實(shí)施例對(duì)本發(fā)明做進(jìn)一步的詳細(xì)描述。
本發(fā)明需要認(rèn)證服務(wù)器�����、無線網(wǎng)關(guān)和移動(dòng)終端配合一起完成密鑰的動(dòng)態(tài)分配���。移動(dòng)終端存儲(chǔ)用戶名和密鑰,或提供接口���,可由用戶輸入用戶名和密碼���。認(rèn)證服務(wù)器支持CHAP認(rèn)證協(xié)議��,同時(shí)存儲(chǔ)著用戶名和密碼����。
在密鑰的分發(fā)過程中��,移動(dòng)終端和無線網(wǎng)關(guān)之間的通信協(xié)議可以有多種�,比如PPPoE、PPP或802.1x�����。通信協(xié)議僅僅是信息承載的方式�����。同樣���,無線網(wǎng)關(guān)與認(rèn)證服務(wù)器之間的通信協(xié)議也可以有多種�����,一般常用的是Radius協(xié)議�。
加密在移動(dòng)終端和加密終結(jié)點(diǎn)之間進(jìn)行����,加密終結(jié)點(diǎn)可以是接入站也可以是無線網(wǎng)關(guān)����。即如果加密終結(jié)點(diǎn)是接入站(AP)�,則加密在移動(dòng)終端和接入站(AP)之間進(jìn)行;如果加密終結(jié)點(diǎn)是無線網(wǎng)關(guān)�����,則加密在移動(dòng)終端和無線網(wǎng)關(guān)之間進(jìn)行��。
在本實(shí)施例中移動(dòng)終端和無線網(wǎng)關(guān)之間通過802.1x協(xié)議通信�,無線網(wǎng)關(guān)和認(rèn)證服務(wù)器之間通過Radius協(xié)議通信,加密終結(jié)點(diǎn)為接入站(AP)����。實(shí)施例的信息交互過程如圖3所示,密鑰分發(fā)的具體步驟如下
1)移動(dòng)終端發(fā)送EAP_開始報(bào)文給無線網(wǎng)關(guān)����,請(qǐng)求接入�。
2)無線網(wǎng)關(guān)發(fā)送EAP_請(qǐng)求/身份報(bào)文給接入站(AP),要求移動(dòng)終端輸入用戶名�。
3)移動(dòng)終端接收用戶輸入���,得到用戶名和密碼,并用EAP_響應(yīng)/身份將用戶名發(fā)送給無線網(wǎng)關(guān)�。
4)無線網(wǎng)關(guān)隨機(jī)產(chǎn)生一個(gè)16字節(jié)的提問信息,用EAP_請(qǐng)求/提問信息報(bào)文發(fā)送給移動(dòng)終端���。
5)移動(dòng)終端利用MD5算法由本次認(rèn)證的標(biāo)識(shí)符����、密碼和提問信息計(jì)算響應(yīng)�,并用EAP_響應(yīng)/提問信息報(bào)文發(fā)送給無線網(wǎng)關(guān)。同時(shí)利用MD5算法根據(jù)用戶名�����、用戶密碼以及提問信息計(jì)算出用于加密的密鑰K�����。其中MD5算法是一種單向散列算法���,能保證僅由輸出無法或者很難反推導(dǎo)出輸入�,即很難由響應(yīng)推算出密碼,也很難由密鑰推算出密碼�。它可以用軟件實(shí)現(xiàn),也可以用硬件實(shí)現(xiàn)��。
6)無線網(wǎng)關(guān)將用戶名����、提問信息以及響應(yīng)用Radius-進(jìn)入報(bào)文上傳給Radius服務(wù)器。
7)該認(rèn)證服務(wù)器根據(jù)收到的信息以及存儲(chǔ)的用戶名�、密碼判斷用戶的合法性。首先認(rèn)證服務(wù)器根據(jù)用戶名得到用戶密碼�,然后利用MD5算法根據(jù)用戶名、密碼�����、提問信息計(jì)算得到響應(yīng)�����,并和收到的響應(yīng)比較���。如果相同則認(rèn)證成功��,利用MD5算法�,根據(jù)用戶名�、密碼以及提問信息計(jì)算密鑰K;如果不同則認(rèn)證失敗�。
8)認(rèn)證服務(wù)器發(fā)送Radius-接受報(bào)文給無線網(wǎng)關(guān)。報(bào)文中包含密鑰K����。
9)無線網(wǎng)關(guān)將密鑰K發(fā)送給接入站(AP)。
這樣接入站(AP)和移動(dòng)終端就都得到了密鑰K�。
為進(jìn)一步提高安全性,認(rèn)證服務(wù)器發(fā)送密鑰K給加密終結(jié)點(diǎn)時(shí)����,可以進(jìn)行加密。認(rèn)證服務(wù)器和加密終結(jié)點(diǎn)之間的加密方法和密鑰分配方法可以有多種����。比如使用預(yù)共享的密鑰進(jìn)行加密,或者使用上述移動(dòng)終端和認(rèn)證服務(wù)器之間分發(fā)密鑰的方法獲取密鑰后進(jìn)行加密�。
權(quán)利要求
1.一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法,其特征在于����,所述方法包含以下步驟a通信雙方鏈路建立完成后,所述無線網(wǎng)關(guān)隨機(jī)產(chǎn)生提問信息����,并傳遞給移動(dòng)終端��;b所述移動(dòng)終端根據(jù)CHAP認(rèn)證協(xié)議��,通過算法S由本次認(rèn)證的標(biāo)識(shí)符��、密碼和提問信息計(jì)算出響應(yīng)�����,并將所述響應(yīng)發(fā)回給所述無線網(wǎng)關(guān)�����;c所述移動(dòng)終端使用算法F計(jì)算出密鑰K��;d所述無線網(wǎng)關(guān)收到所述響應(yīng)后���,將用戶名、提問和響應(yīng)發(fā)送給認(rèn)證服務(wù)器�����;e所述認(rèn)證服務(wù)器首先根據(jù)用戶名得到用戶密碼�����,然后用同一算法S計(jì)算出驗(yàn)證值;f所述認(rèn)證服務(wù)器將所述驗(yàn)證值和所述響應(yīng)進(jìn)行比較��,若相符則認(rèn)證通過��,否則斷開連接���;g用戶認(rèn)證成功后,認(rèn)證服務(wù)器使用所述算法F計(jì)算出密鑰K�,并發(fā)送給加密終結(jié)點(diǎn)。
2.如權(quán)利要求1所述的一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法����,其進(jìn)一步特征在于,用于身份認(rèn)證的算法S和用于密鑰計(jì)算的算法F是移動(dòng)終端和認(rèn)證服務(wù)器預(yù)先商定好的�。
3.如權(quán)利要求1或2所述的一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法,其進(jìn)一步特征在于���,所述算法S是一種單向散列算法��,既可以用軟件實(shí)現(xiàn)���,也可以用硬件實(shí)現(xiàn)��,單向散列函數(shù)S的輸入?yún)?shù)由本次認(rèn)證的標(biāo)識(shí)符��、密碼和提問構(gòu)成�����。
4.如權(quán)利要求1或2所述的一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法�����,其進(jìn)一步特征在于����,所述算法F是一種單向散列算法���,既可以用軟件實(shí)現(xiàn)��,也可以用硬件實(shí)現(xiàn)���,單向散列函數(shù)F的輸入?yún)?shù)包括用戶名、密碼和提問����。
5.如權(quán)利要求1所述的一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法����,其進(jìn)一步特征在于�,所述加密終結(jié)點(diǎn)可以是接入站也可以是無線網(wǎng)關(guān)。
6.如權(quán)利要求1所述的一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法����,其進(jìn)一步特征在于�����,所述認(rèn)證服務(wù)器發(fā)送密鑰K給加密終結(jié)點(diǎn)時(shí)可以進(jìn)行加密���。
7.如權(quán)利要求6所述的一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法��,其進(jìn)一步特征在于����,認(rèn)證服務(wù)器和加密終結(jié)點(diǎn)之間的加密方法和密鑰分配方法可以有多種��,包括使用預(yù)共享的密鑰進(jìn)行加密�,或者使用上述移動(dòng)終端和認(rèn)證服務(wù)器之間分發(fā)密鑰的方法獲取密鑰后進(jìn)行加密。
全文摘要
本發(fā)明提出了一種無線局域網(wǎng)內(nèi)加密密鑰的分發(fā)方法�����,該方法將密鑰的分發(fā)和CHAP認(rèn)證結(jié)合起來,利用認(rèn)證服務(wù)器的用戶名和密碼管理功能�,對(duì)密鑰分發(fā)進(jìn)行管理。用戶可以在大范圍內(nèi)漫游而不影響動(dòng)態(tài)密鑰的分發(fā)���,同時(shí)由于同一用戶的不同會(huì)話使用不同的密鑰���,提高了安全性。采用該方法簡化了密鑰管理任務(wù)�,降低了成本,特別適合大型無線局域網(wǎng)絡(luò)���。
文檔編號(hào)H04B7/26GK1484409SQ02137020
公開日2004年3月24日 申請(qǐng)日期2002年9月17日 優(yōu)先權(quán)日2002年9月17日
發(fā)明者李永茂, 朱靜寧, 吳更石 申請(qǐng)人:華為技術(shù)有限公司