專利名稱:無(wú)線網(wǎng)絡(luò)中快速漫游的方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及在快速安全的無(wú)線網(wǎng)絡(luò)中的漫游服務(wù),尤其提供一種用來(lái)減少漫游服務(wù)所需時(shí)間的安全密鑰方法�。
背景技術(shù):
局域網(wǎng)(Local Area Network)是一般在300m范圍內(nèi)共享一個(gè)公共通信鏈路的個(gè)人終端、主機(jī)和工作站的組合�。局域網(wǎng)是一種建立在使個(gè)人終端之間能夠準(zhǔn)確傳送電流或信號(hào)的距離內(nèi)的快速通信網(wǎng)。例如����,局域網(wǎng)在辦公室的設(shè)備之間提供連接,使員工能有效分享設(shè)備中的信息�����。在最初的發(fā)展階段��,局域網(wǎng)通常采用直接傳送電信號(hào)的有線通信鏈路�����。隨著無(wú)線協(xié)議的發(fā)展,無(wú)線網(wǎng)絡(luò)代替了有線網(wǎng)絡(luò)�����。使用無(wú)線網(wǎng)絡(luò)的局域網(wǎng)叫作WLAN(無(wú)線局域網(wǎng))或樓內(nèi)無(wú)線網(wǎng)絡(luò)���。WLAN是基于IEEE 802.11并且由U.S.IEEE(國(guó)際電氣與電子工程師學(xué)會(huì))組提出��?�;贗EEE 802.11的WLAN在近些年已經(jīng)有了很大的進(jìn)步和發(fā)展�����。由于便利的網(wǎng)絡(luò)連接���,我們可以很容易地預(yù)見(jiàn),將來(lái)WLAN會(huì)有廣泛的應(yīng)用�。為了滿足一種高速無(wú)線因特網(wǎng)的需求����,現(xiàn)有的WLAN系統(tǒng)漸漸成為快速無(wú)線公眾網(wǎng)的基礎(chǔ)��。WLAN之所以引人注意是因?yàn)閃LAN能提供一種高速鏈接而移動(dòng)通信系統(tǒng)卻不能����,而且WLAN憑借其保密技術(shù)的快速發(fā)展能為WLAN用戶保證安全的通信����。因此,WLAN保密技術(shù)和數(shù)據(jù)速率的增長(zhǎng)是實(shí)現(xiàn)WLAN系統(tǒng)的重要任務(wù)�����。
IEEE 802.11網(wǎng)絡(luò)MAC(媒體訪問(wèn)控制)規(guī)范考慮了兩種操作模式�,即特殊模式和基礎(chǔ)模式。在特殊模式中�,兩個(gè)或多個(gè)無(wú)線終端(STA)之間互相識(shí)別并且在沒(méi)有任何現(xiàn)有的基礎(chǔ)結(jié)構(gòu)的情況下建立對(duì)等通信,而在基礎(chǔ)模式中�,有一與接入點(diǎn)(AP)有關(guān)的固定實(shí)體��,所述接入點(diǎn)(AP)跨接與其相連的STA之間的所有數(shù)據(jù)�。AP和與其相連的STA組成一在未經(jīng)許可的RF(射頻)頻譜上通信的基本服務(wù)裝置(BSS)�。
圖1舉例說(shuō)明支持基礎(chǔ)模式的典型WLAN的結(jié)構(gòu)�。
參照?qǐng)D1��,多個(gè)AP(120a和120b)通過(guò)單分布式系統(tǒng)(DS)110連接���。DS110是有線網(wǎng)絡(luò)并且在AP120a和AP120b之間建立一通信鏈路���。AP120a和AP120b中的每一個(gè)都形成一預(yù)定服務(wù)區(qū)�����,并在服務(wù)區(qū)中在DS110和STA130a和STA130b(或130c和130d)之間橋接���。如上所述,AP和與其相連的STA組成一BSS并且可以在BSS的基礎(chǔ)上提供服務(wù)�����。AP120a和AP120b的組合能將BSSs擴(kuò)展成擴(kuò)充服務(wù)裝置(ESS)�。STA130a至STA130d分別驗(yàn)證各自的AP120a和AP120b以訪問(wèn)WLAN系統(tǒng)。換句話說(shuō)�����,STA130a至STA130d只有通過(guò)驗(yàn)證過(guò)程才能訪問(wèn)網(wǎng)絡(luò)��。驗(yàn)證包括狀態(tài)信息的發(fā)送���。狀態(tài)信息包含一個(gè)在DS和STA之間或AP和STA之間提供安全性的密鑰(在下文中叫作安全密鑰)��。
如上所述����,為了通過(guò)一特殊AP與DS進(jìn)行通信,STA需要一種安全密鑰��。在下文中,分配安全密鑰的過(guò)程叫作驗(yàn)證�����。驗(yàn)證過(guò)程包括加密密鑰分配和加密無(wú)線數(shù)據(jù)的加密算法����。
IEEE 802.11標(biāo)準(zhǔn)規(guī)定數(shù)據(jù)由WEP(有線等效加密)算法來(lái)加密,并且加密密鑰被預(yù)先共用和固定使用���。具體內(nèi)容參見(jiàn)“ISO/IEC����,‘Wireless LanMedium Access Control(MAC)and Physical Layer(PHY)Specification(無(wú)線LAN媒體訪問(wèn)控制(MAC)和物理層(PHY)規(guī)范)’����,ISO/IEC8802-11,ANSI/IEEE Std 802.11����,1999”����。
為了改正基于IEEE 802.11的WLAN系統(tǒng)中的無(wú)線保密缺陷�����,IEEE802.11i詳細(xì)規(guī)定了基于IEEE 802.1X/1aa訪問(wèn)控制、保密通話管理����、動(dòng)態(tài)密鑰交換和密鑰管理和用于無(wú)線數(shù)據(jù)保護(hù)的新對(duì)稱密鑰加密算法的應(yīng)用���。IEEE 802.1X/1aa提供了一種用于用戶驗(yàn)證和密鑰交換的框架�����,而IEEE802.11i規(guī)定IEEE 802.1X/1aa在用戶驗(yàn)證和密鑰交換中可以被用作一綜合框架����。IEEE802.11i進(jìn)一步規(guī)定4路信號(hào)交換作為密鑰交換方法����、密鑰分層和新密碼序列����。
圖12舉例說(shuō)明基于IEEE 802.1X/1aa和IEEE802.11i的WLAN保密訪問(wèn)信號(hào)流程圖��。如圖12中所標(biāo)注的,IEEE 802.11訪問(wèn),IEEE 802.1X驗(yàn)證,IEEE802.11i密鑰交換和IEEE 802.1aa驗(yàn)證在驗(yàn)證和密鑰交換過(guò)程中必須互相連接以通過(guò)AP得到與外部網(wǎng)絡(luò)的連接�����。
圖2舉例說(shuō)明典型WLAN中保密密鑰的分層結(jié)構(gòu)��。參照?qǐng)D2,保密密鑰包括一主密鑰(MK)�����,一雙(pairwise)主密鑰(PMK)和一雙瞬時(shí)密鑰(PTK)。一高層服務(wù)器���,一DS中的AAA(驗(yàn)證�����,許可和記賬)服務(wù)器從MK中導(dǎo)出PMK并通過(guò)與STA相連接的AP將PMK提供給STA���。AP和STA從PMK中導(dǎo)出PTK�����。由STA和AAA服務(wù)器已經(jīng)知道的MK來(lái)給STA和AAA服務(wù)器之間提供保密����。PTK在STA和AP之間提供保密��。PTK用作密鑰確認(rèn)碼(KCK)��、密鑰加密碼(KEK)和時(shí)間密鑰�����。PTK中的0-127比特位分配給KCK���,128-255比特位分配給KEK�,剩下的比特位分配給時(shí)間密鑰����。
圖3舉例說(shuō)明典型的WLAN中各個(gè)部分密鑰分配的一個(gè)例子�。密鑰分配先假設(shè)有一個(gè)新STA340要訪問(wèn)第一AP320(AP1)。參照?qǐng)D3�,AAA服務(wù)器310根據(jù)來(lái)自STA340的密鑰分配的請(qǐng)求,從已知的MK中產(chǎn)生PMK���,并將它發(fā)送給AP1��。AP1依序?qū)MK提供給STA340并從PMK中導(dǎo)出PTK��。STA340也從PMK中生成PTK�����。因此��,STA340知道MK�、PMK和PTK。RADIUS(遠(yuǎn)程驗(yàn)證撥號(hào)用戶服務(wù))服務(wù)器一般被用作AAA服務(wù)器310����。
由于如圖1所示結(jié)構(gòu)的WLAN具有可移動(dòng)的特性,所以STA可以從一個(gè)在先AP移動(dòng)到一個(gè)新AP。為了繼續(xù)由在先AP提供的持續(xù)性服務(wù)�,STA需要漫游服務(wù)。與STA之前有物理層連接的AP稱為在先AP或當(dāng)前AP���,而在漫游后與STA有物理層連接的AP稱為新AP�。
漫游過(guò)程指的是AP與STA之間信息交換的機(jī)制或順序。為了在漫游后在新AP中繼續(xù)持續(xù)性服務(wù)���,STA需要一種附加安全密鑰��,準(zhǔn)確地說(shuō)�����,是另一個(gè)PMK。
完整的漫游過(guò)程可以分成兩個(gè)不同的邏輯步驟發(fā)現(xiàn)和如下文所述的二次驗(yàn)證�。
1.發(fā)現(xiàn)由于移動(dòng)性�����,來(lái)自STA當(dāng)前AP的信號(hào)的信號(hào)強(qiáng)度和信噪比可能有所衰減�����,引起連接斷開(kāi)并啟動(dòng)越區(qū)切換�����。這時(shí),STA可能不能與其當(dāng)前AP(在先AP)進(jìn)行通信����。因此,STA要在有效范圍內(nèi)找到可能連接的AP�����。這通過(guò)MAC層掃描功能來(lái)完成。在掃描過(guò)程中�����,STA監(jiān)聽(tīng)由AP以10ms的周期在指定信道上定期發(fā)送的信標(biāo)消息��。因此,STA能建立一個(gè)按接收信號(hào)強(qiáng)度的優(yōu)先次序排列的AP列表�。
標(biāo)準(zhǔn)中定義有兩種掃描方法主動(dòng)和被動(dòng)。顧名思義�����,在被動(dòng)模式中��,STA只通過(guò)監(jiān)聽(tīng)信標(biāo)消息來(lái)搜索可能的AP��。在主動(dòng)模式中�����,除監(jiān)聽(tīng)信標(biāo)消息之外���,STA還在每個(gè)信道上發(fā)送探測(cè)廣播數(shù)據(jù)包,并接收來(lái)自AP的響應(yīng)���。因此,STA積極探測(cè)AP���。
2.二次驗(yàn)證STA要根據(jù)上述優(yōu)先次序列表對(duì)AP進(jìn)行二次驗(yàn)證���。二次驗(yàn)證的過(guò)程典型地包括驗(yàn)證和與新AP的再連接�。二次驗(yàn)證階段包括在先AP發(fā)送安全密鑰�。這可以通過(guò)IAPP(內(nèi)部接入點(diǎn)協(xié)議)來(lái)實(shí)現(xiàn)�。二次驗(yàn)證過(guò)程可以分為驗(yàn)證階段和再連接階段。
圖4舉例說(shuō)明傳統(tǒng)WLAN中由EAPTLS協(xié)議實(shí)現(xiàn)的用于漫游服務(wù)的二次驗(yàn)證過(guò)程。在圖示的情況下����,假設(shè)STA440從AP_A 420移動(dòng)到AP_B 430。這樣AP_A 420就是在先AP,AP_B 430就是新AP�����。參照?qǐng)D4�����,STA440在發(fā)現(xiàn)階段識(shí)別出AP_B 430是存在的鄰近AP�����,然后從AP_A 420請(qǐng)求用于與AP_B 430進(jìn)行通信的安全密鑰��。AP_A 420通過(guò)AP_B 430從AAA服務(wù)器410請(qǐng)求安全密鑰��。AAA服務(wù)器410生成一新PMK并將其提供給AP_B 430����。AP_B 430將PMK存儲(chǔ)起來(lái)然后將它提供給AP_A 420�����。AP_A 420依序?qū)MK提供給STA440。這樣STA440和AP_B 430就能從PMK中建立PTK����。當(dāng)STA440移動(dòng)到AP_B 430���,它就可以通過(guò)使用PTK來(lái)維持持續(xù)性服務(wù)��。
如上所述�����,在傳統(tǒng)的漫游過(guò)程中���,STA從當(dāng)前AP開(kāi)始移動(dòng)�,掃描所有可能的AP��,與具有最高RSSI(接收信號(hào)強(qiáng)度指示)的AP連接�����。連接過(guò)程以為一新AP請(qǐng)求PMK為開(kāi)始,以從PMK中建立PTK為結(jié)束��。
相應(yīng)地����,傳統(tǒng)漫游過(guò)程包括發(fā)現(xiàn)階段中的探測(cè)延遲��,和二次驗(yàn)證階段中的預(yù)驗(yàn)證延遲����。
1.探測(cè)延遲來(lái)自主動(dòng)掃描的用于漫游的消息即是探測(cè)消息���。這個(gè)過(guò)程的等待時(shí)間叫做探測(cè)延遲。STA在每個(gè)信道上發(fā)送探測(cè)請(qǐng)求消息�����,等待來(lái)自AP的響應(yīng)。探測(cè)等待時(shí)間定義為STA在發(fā)送探測(cè)請(qǐng)求之后等待某一專用信道的時(shí)間���。它可以通過(guò)后續(xù)的探測(cè)請(qǐng)求消息之間的時(shí)間差來(lái)測(cè)量。因此���,根據(jù)上述過(guò)程�,信道上的業(yè)務(wù)和探測(cè)響應(yīng)消息的時(shí)間影響探測(cè)等待時(shí)間��。
2.預(yù)驗(yàn)證延遲這是指出現(xiàn)在二次驗(yàn)證幀交換過(guò)程中的時(shí)間�����。預(yù)驗(yàn)證包括兩個(gè)或四個(gè)依據(jù)AP所使用的驗(yàn)證方法的連續(xù)幀。預(yù)驗(yàn)證延遲已經(jīng)通過(guò)圖4作了說(shuō)明����。
如上所述����,傳統(tǒng)WLAN在STA漫游過(guò)程包括各種延遲��。結(jié)果�����,整個(gè)漫游時(shí)間被延長(zhǎng)了1-13秒。這意味著STA的通信斷開(kāi)連接的時(shí)間加長(zhǎng)�����,這會(huì)負(fù)面影響服務(wù)質(zhì)量�����。并且���,當(dāng)STA通過(guò)新AP接收不到來(lái)當(dāng)前AP的用于通信的安全密鑰時(shí),快速漫游也是不能實(shí)現(xiàn)的了�。
發(fā)明內(nèi)容
本發(fā)明的一個(gè)目的是至少完全解決上述問(wèn)題和/或缺陷,并且提供以下優(yōu)點(diǎn)�����。相應(yīng)地��,本發(fā)明的一個(gè)目的是提供一種減少漫游過(guò)程中的延遲的方法�。
本發(fā)明的另一個(gè)目的是提供漫游服務(wù)方法,甚至在在先AP的保密系統(tǒng)損壞時(shí)也能排除在先AP的保密系統(tǒng)對(duì)新AP的影響。
本發(fā)明更進(jìn)一步的目的是提供一種通過(guò)使用有效高速緩存技術(shù)使相鄰AP擁有漫游所需的安全密鑰的方法�。
本發(fā)明的另一個(gè)目的是提供一種方法,所述方法利用STA當(dāng)前連接的AP所用的安全密鑰來(lái)為相鄰AP獲得安全密鑰���,并將安全密鑰提供給相鄰AP����。
本發(fā)明更進(jìn)一步的目的是提供一種方法,所述方法利用由STA當(dāng)前連接的AP管理的AP鄰近區(qū)域圖表來(lái)給鄰近AP提供安全密鑰����。
本發(fā)明的另一個(gè)目的是提供一種為與AP的相鄰AP分配安全密鑰的方法�����,所述AP是STA在驗(yàn)證服務(wù)器中當(dāng)前連接的AP��。
本發(fā)明更進(jìn)一步的目的是提供一種管理用于給當(dāng)前AP的相鄰AP分配安全密鑰的AP鄰近區(qū)域圖表方法,當(dāng)前AP是STA在高層服務(wù)器中當(dāng)前連接的AP����。
本發(fā)明的另一個(gè)目的是提供一種在漫游過(guò)程開(kāi)始之前利用分配給相鄰AP的安全密鑰在相鄰AP和STA之間實(shí)現(xiàn)漫游處理的方法。
上述本發(fā)明的目的通過(guò)提供一種用于快速安全無(wú)線網(wǎng)絡(luò)的漫游服務(wù)方法來(lái)實(shí)現(xiàn)。
根據(jù)本發(fā)明的一個(gè)方面����,提供了一種在無(wú)線網(wǎng)絡(luò)中支持漫游服務(wù)的方法,該無(wú)線網(wǎng)絡(luò)具有驗(yàn)證服務(wù)器�、以及與驗(yàn)證服務(wù)器相連接的多個(gè)接入點(diǎn)(AP)����,該方法包括當(dāng)終端(STA)嘗試與多個(gè)AP中的一個(gè)相關(guān)聯(lián)時(shí),從已知的主密鑰導(dǎo)出要在STA和STA嘗試關(guān)聯(lián)的AP之間共享的第一級(jí)安全密鑰����;從第一級(jí)安全密鑰導(dǎo)出要在STA和至少一個(gè)相鄰AP之間共享的第二級(jí)安全密鑰��;以及將第二級(jí)安全密鑰提供到所述至少一個(gè)相鄰AP�。其中��,所述至少一個(gè)相鄰AP與STA嘗試關(guān)聯(lián)的AP相鄰,并且,當(dāng)STA嘗試漫游到所述至少一個(gè)相鄰AP時(shí)�����,所述至少一個(gè)AP利用第二級(jí)安全密鑰來(lái)對(duì)STA進(jìn)行預(yù)驗(yàn)證�。
根據(jù)本發(fā)明的一個(gè)方面��,提供了一種在無(wú)線網(wǎng)絡(luò)中�、在多個(gè)接入點(diǎn)(AP)之一中支持漫游服務(wù)的方法����,該無(wú)線網(wǎng)絡(luò)具有驗(yàn)證服務(wù)器��、以及與驗(yàn)證服務(wù)器相連接的多個(gè)AP����,該方法包括當(dāng)終端(STA)嘗試與AP相關(guān)聯(lián)時(shí)�����,從驗(yàn)證服務(wù)器接收從已知的主密鑰導(dǎo)出的第一級(jí)安全密鑰�;從第一級(jí)安全密鑰導(dǎo)出用于至少一個(gè)相鄰AP的第二級(jí)安全密鑰;以及將第二級(jí)安全密鑰提供到所述至少一個(gè)相鄰AP���。其中���,所述至少一個(gè)相鄰AP與STA嘗試關(guān)聯(lián)的AP相鄰,并且�����,當(dāng)STA嘗試漫游到所述至少一個(gè)相鄰AP時(shí)�,所述至少一個(gè)AP利用第二級(jí)安全密鑰來(lái)對(duì)STA進(jìn)行預(yù)驗(yàn)證。
根據(jù)本發(fā)明的一個(gè)方面�,提供了一種在無(wú)線網(wǎng)絡(luò)中生成完全密鑰的方法����,該無(wú)線網(wǎng)絡(luò)具有驗(yàn)證服務(wù)器�����、以及與驗(yàn)證服務(wù)器相連接的多個(gè)接入點(diǎn)(AP)�,該方法包括從驗(yàn)證服務(wù)器接收從已知的主密鑰導(dǎo)出的第一級(jí)雙主密鑰���;從第一級(jí)雙主密鑰導(dǎo)出雙瞬時(shí)密鑰����;以及從第一級(jí)雙主密鑰將導(dǎo)出用于所述至少一個(gè)相鄰AP的第二級(jí)雙主密鑰。
根據(jù)本發(fā)明的一個(gè)方面�,提供了一種在無(wú)線網(wǎng)絡(luò)中、在與服務(wù)AP相關(guān)聯(lián)的終端(STA)嘗試漫游的目標(biāo)AP中生成安全密鑰的方法��,該無(wú)線網(wǎng)絡(luò)具有驗(yàn)證服務(wù)器��、以及與驗(yàn)證服務(wù)器相連接的多個(gè)接入點(diǎn)(AP)�����,該方法包括從服務(wù)AP接收第二級(jí)雙主密鑰����;從第二級(jí)雙主密鑰導(dǎo)出雙瞬時(shí)密鑰;以及從第二級(jí)雙主密鑰將導(dǎo)出用于至少一個(gè)相鄰AP的新的第二級(jí)雙主密鑰。
根據(jù)本發(fā)明的一個(gè)方面����,提供了一種在無(wú)線網(wǎng)絡(luò)中支持用于終端(STA)的漫游服務(wù)的方法����,該無(wú)線網(wǎng)絡(luò)具有用于驗(yàn)證STA和管理STA的記賬的服務(wù)器、以及連接到驗(yàn)證服務(wù)器的多個(gè)接入點(diǎn)(AP)�����,該方法包括在服務(wù)器中���,從作為多個(gè)AP之一的第一AP接收有關(guān)STA與第一AP相關(guān)聯(lián)的關(guān)聯(lián)信息;服務(wù)器向至少一個(gè)相鄰AP通知STA已與第一AP完全關(guān)聯(lián)�;當(dāng)所述至少一個(gè)相鄰AP請(qǐng)求用于STA的安全密鑰時(shí),將基于關(guān)聯(lián)信息而生成的安全密鑰發(fā)送到所述至少一個(gè)相鄰AP��。其中�,所述至少一個(gè)相鄰AP與第一AP相鄰,并且��,當(dāng)STA嘗試漫游到所述至少一個(gè)相鄰AP時(shí)�����,所述至少一個(gè)相鄰AP使用從服務(wù)器接收到的安全密鑰而驗(yàn)證STA���。
根據(jù)本發(fā)明的一個(gè)方面�,提供了一種在無(wú)線網(wǎng)絡(luò)中支持用于終端(STA)的漫游服務(wù)的方法�����,該無(wú)線網(wǎng)絡(luò)具有用于驗(yàn)證STA和管理STA的記賬的服務(wù)器�����、以及連接到驗(yàn)證服務(wù)器的多個(gè)接入點(diǎn)(AP)�,該方法包括當(dāng)STA嘗試與作為多個(gè)AP之一的第一AP相關(guān)聯(lián)時(shí)�����,由服務(wù)器導(dǎo)出要在STA和第一AP之間共享的第一級(jí)雙主密鑰���;從第一級(jí)雙主密鑰導(dǎo)出第二級(jí)雙主密鑰;以及將第二級(jí)雙主密鑰提供到與第一AP相鄰的至少一個(gè)相鄰AP�。其中,當(dāng)STA嘗試漫游到所述至少一個(gè)相鄰AP時(shí)�,所述至少一個(gè)相鄰AP使用第二級(jí)雙主密鑰而驗(yàn)證STA。
根據(jù)本發(fā)明的一個(gè)方面��,在無(wú)線網(wǎng)絡(luò)中�����,至少有兩個(gè)AP���,每個(gè)AP都有一個(gè)預(yù)定服務(wù)區(qū),和通過(guò)與作為至少兩個(gè)AP中的一個(gè)第一AP相連接(association)來(lái)接收通信服務(wù)的STA,為了支持STA漫游服務(wù)���,第一AP產(chǎn)生一具有STA很可能向其移動(dòng)的相鄰AP的AP鄰近區(qū)域圖表,根據(jù)從STA與第一AP的連接獲得的連接信息���,為相應(yīng)的相鄰AP獲得安全密鑰�,并通過(guò)有效緩存向相應(yīng)的鄰近AP發(fā)送安全密鑰�。這樣��,預(yù)驗(yàn)證就完成了,當(dāng)STA想要漫游到其中一個(gè)相鄰AP時(shí)��,通過(guò)提供給相鄰AP的安全密鑰就能實(shí)現(xiàn)快速漫游����。
根據(jù)本發(fā)明的另一個(gè)方面��,在無(wú)線網(wǎng)絡(luò)中至少有兩個(gè)AP,每個(gè)AP都有一個(gè)預(yù)定服務(wù)區(qū)�,和一個(gè)通過(guò)與作為至少兩個(gè)AP中的一個(gè)的第一AP連接來(lái)接收通信服務(wù)的STA��,為了支持STA漫游服務(wù),第一AP的相鄰AP��,它是由為第一AP繪制的AP相鄰區(qū)域圖表管理的AP��,接收來(lái)自第一AP的安全密鑰��,所述接收通過(guò)利用從STA與第一AP之間的連接信息獲得的連接信息,為相應(yīng)的相鄰AP高速緩存由第一AP產(chǎn)生的安全密鑰來(lái)實(shí)現(xiàn)���,當(dāng)STA想要漫游到相鄰AP時(shí),利用安全密鑰就能實(shí)現(xiàn)快速漫游��。
根據(jù)本發(fā)明更進(jìn)一步的方面�����,在無(wú)線網(wǎng)絡(luò)中至少有兩個(gè)AP,每個(gè)AP都有一個(gè)預(yù)定服務(wù)區(qū)����,和一個(gè)通過(guò)與作為至少兩個(gè)AP中的一個(gè)的第一AP連接來(lái)接收通信服務(wù)的STA�����,為了支持第一AP和與第一AP的相鄰AP���,它是由為第一AP繪制的AP相鄰區(qū)域圖表管理的AP,之間的漫游服務(wù)�����,根據(jù)連接信息為相應(yīng)的相鄰AP獲取安全密鑰��,通過(guò)高速緩存向相應(yīng)的AP發(fā)送安全密鑰�����。這里�,連接信息是由第一AP從STA和第一AP之間的連接信息中獲得的����。相鄰AP接收來(lái)自第一AP的安全密鑰�����,當(dāng)STA想要漫游到相鄰AP時(shí)��,利用安全密鑰來(lái)實(shí)現(xiàn)快速漫游。
優(yōu)選地����,連接信息包括PMK和由第一AP獲得的RK��,和STA和相鄰AP的MAC地址����。
再根據(jù)本發(fā)明的另一個(gè)方面�����,在無(wú)線網(wǎng)絡(luò)中至少有兩個(gè)AP��,每個(gè)AP都有一個(gè)預(yù)定服務(wù)區(qū)�,一個(gè)通過(guò)與作為至少兩個(gè)AP中的一個(gè)的第一AP連接來(lái)接收通信服務(wù)的STA,驗(yàn)證STA的驗(yàn)證服務(wù)器(AS)和為STA提供記賬的記賬服務(wù)器�,為了支持STA漫游服務(wù)����,記賬服務(wù)器為第一AP生成一AP鄰近區(qū)域圖表來(lái)管理相鄰AP�����,所述相鄰AP是STA從第一AP很可能移動(dòng)到的AP�����。當(dāng)?shù)谝籄P向記賬服務(wù)器報(bào)告完整的STA與第一AP的連接信息時(shí),記賬服務(wù)器將所述連接信息通知給相鄰AP��。作為對(duì)記賬服務(wù)器發(fā)送的通知的響應(yīng),每個(gè)相鄰AP都向AS請(qǐng)求安全密鑰��。作為對(duì)相鄰AP的請(qǐng)求的響應(yīng)�����,AS根據(jù)STA和第一AP之間的連接信息為每個(gè)相鄰AP生成一個(gè)安全密鑰����,并將安全密鑰發(fā)送給每一個(gè)相鄰AP����。當(dāng)STA想要漫游到相鄰AP中的一個(gè)上時(shí)����,STA準(zhǔn)備與其建立連接的相鄰AP執(zhí)行預(yù)驗(yàn)證���,利用提供給相鄰AP的安全密鑰來(lái)實(shí)現(xiàn)快速漫游�。
優(yōu)選地,連接信息包括MK���、分配給第一AP的PMK和STA和相鄰AP的MAC地址。
本發(fā)明的上述和其它目的����、特點(diǎn)和優(yōu)點(diǎn)通過(guò)下面結(jié)合附圖的詳細(xì)說(shuō)明將變得更加清楚�,其中圖1表示作為無(wú)線網(wǎng)絡(luò)中一個(gè)例子的典型WLAN的結(jié)構(gòu)圖����;圖2表示在典型WLAN中安全密鑰的分層結(jié)構(gòu)���;圖3表示在典型WLAN中給各個(gè)部分分配密鑰的例子����;圖4表示在傳統(tǒng)的WLAN中漫游所需的安全密鑰分配圖���;圖5A和5B表示根據(jù)本發(fā)明的AP鄰近區(qū)域圖表的產(chǎn)生圖�����;圖6表示根據(jù)本發(fā)明所描述的STA漫游路徑的例子��;圖7表示根據(jù)本發(fā)明實(shí)施例中安全密鑰的產(chǎn)生過(guò)程����;圖8A�,8B和8C表示根據(jù)本發(fā)明實(shí)施例的漫游過(guò)程圖����;圖9是根據(jù)本發(fā)明實(shí)施例的漫游過(guò)程中信號(hào)流程圖��;圖10A到10E表示根據(jù)本發(fā)明另一個(gè)實(shí)施例的漫游過(guò)程�����;
圖11表示為特殊的STA漫游模式生成的PMK的實(shí)例����;圖12是典型WLAN中初始連接的信號(hào)流程圖��;圖13是根據(jù)本發(fā)明第二實(shí)施例����,在漫游之前的信號(hào)流程圖��;圖14是根據(jù)本發(fā)明第二實(shí)施例�,漫游后的信號(hào)流程圖�����;以及圖15是傳統(tǒng)漫游方案(完全驗(yàn)證)的試驗(yàn)結(jié)果和根據(jù)本發(fā)明(二次驗(yàn)證)的漫游方案的結(jié)果的比較圖�。
具體實(shí)施例方式
本發(fā)明的優(yōu)選實(shí)施例將在下面參照附圖進(jìn)行說(shuō)明。在下面的描述中����,為了避免造成本發(fā)明內(nèi)容不所需的混亂,對(duì)于現(xiàn)有的功能或結(jié)構(gòu)不再作具體說(shuō)明����。
在WLAN中有三種方案能被認(rèn)為支持快速漫游。
第一��,每一個(gè)AP都保存漫游所需的所有安全密鑰��。每個(gè)AP都為漫游服務(wù)保留存儲(chǔ)空間�����,在存儲(chǔ)器中存儲(chǔ)漫游服務(wù)所需的所有安全密鑰���,需要的時(shí)候就從存儲(chǔ)器中搜索出一個(gè)安全密鑰���。這個(gè)方案明顯的缺陷在于需要大容量的存儲(chǔ)器。
第二個(gè)方案通過(guò)使用由IAPP協(xié)議實(shí)現(xiàn)的高速緩存來(lái)為相鄰AP提供漫游所需的安全密鑰�����。為了實(shí)現(xiàn)上述方案,每個(gè)AP利用AP鄰近區(qū)域圖表來(lái)管理其相鄰AP的信息����。同時(shí)����,AP使用已知的安全密鑰為相鄰AP生成安全密鑰并將生成的安全密鑰通過(guò)高速緩存提供給相鄰AP�����。
第三個(gè)方案是高層服務(wù)器(記賬服務(wù)器)為每個(gè)AP管理相鄰AP����,并且當(dāng)STA訪問(wèn)AP時(shí),給相鄰AP提供漫游所需的安全密鑰。為實(shí)現(xiàn)該方案�����,高層服務(wù)器為每個(gè)AP管理AP鄰近區(qū)域圖表。高層服務(wù)器可以是現(xiàn)有的AAA服務(wù)器或可分離使用的服務(wù)器�。許多高層服務(wù)器能夠依據(jù)與被管理的AP鄰近區(qū)域圖表相關(guān)的信息總數(shù)而被使用。
上述第二和第三方案作為本發(fā)明的第一和第二實(shí)施例被實(shí)現(xiàn)�。這些實(shí)施例都需要用來(lái)為每個(gè)AP管理相鄰AP的AP鄰近區(qū)域圖表。他們的不同在于在第一實(shí)施例中每個(gè)AP管理它自己的AP鄰近區(qū)域圖表���,而在第二實(shí)施例中是高層服務(wù)器管理AP鄰近區(qū)域圖表��。在本發(fā)明的實(shí)施例中���,進(jìn)一步包括為可能的AP提供漫游所需的安全密鑰的過(guò)程�����。在本發(fā)明中���,假設(shè)在初始化通信服務(wù)之前分配安全密鑰。由于可能的AP是STA可能移動(dòng)過(guò)去的一組AP�,所以在兩個(gè)實(shí)施例中都需要AP鄰近區(qū)域圖表。AP鄰近區(qū)域圖表定義了STA和其可能的AP之間的連接信息�����,所述可能的AP是STA通過(guò)漫游可能連接的AP�����。因此,在詳細(xì)描述本發(fā)明的實(shí)施例之前���,先說(shuō)明一下如何建立AP鄰近區(qū)域圖表的過(guò)程���。
1.AP鄰近區(qū)域圖表的生成實(shí)現(xiàn)本發(fā)明所需的AP鄰近區(qū)域圖表可以根據(jù)WLAN中位置來(lái)生成���。因?yàn)榭赡艿腁P與每個(gè)AP不同�,AP鄰近區(qū)域圖表是為每個(gè)AP而建立的��。這可以通過(guò)三種方面來(lái)實(shí)現(xiàn)�����。一種方法是管理員根據(jù)AP的位置為各個(gè)AP人工生成AP鄰近區(qū)域圖表并將它們注冊(cè)����。每次AP布局有改變時(shí)�����,管理員就更新AP鄰近區(qū)域圖表。另一種方法是由管理員注冊(cè)AP鄰近區(qū)域圖表�,每次AP布局有變化時(shí)自動(dòng)更新����。
第三種方法是為每個(gè)AP自動(dòng)生成AP鄰近區(qū)域圖表�����,在每次AP布局變化時(shí)自動(dòng)更新�。但是,根據(jù)這種方法���,直到AP鄰近區(qū)域圖表產(chǎn)生后傳統(tǒng)的漫游過(guò)程才實(shí)現(xiàn)漫游。換句話說(shuō)�,需要一個(gè)檢查連接每個(gè)AP的過(guò)程����。例如�����,如果連接于AP_A的STA想要漫游到STA從沒(méi)有去過(guò)的AP_B�,那么AP_B就要執(zhí)行IAPP過(guò)程來(lái)接收來(lái)自AP_A的關(guān)于STA的內(nèi)容。然后AP_A和AP_B確認(rèn)它們之間存在用于漫游的連接��,然后才能更新它們的AP鄰近區(qū)域圖表���。更新以后��,STA才能夠在不執(zhí)行IAPP過(guò)程的情況下從AP_A漫游到AP_B或從AP_B漫游到AP_A����。
在上述任何構(gòu)造AP鄰近區(qū)域圖表的方法中,AP之間的物理路徑和距離都是要考慮的因素��。要在AP鄰近區(qū)域圖表中繪制AP之間的連接信息����,必須在AP之間存在一條沒(méi)有穿過(guò)任何其他AP的物理連接�����。同樣��,物理連接的AP之間的距離也不應(yīng)該超過(guò)門(mén)限值�����。事實(shí)上STA一般是與附近的AP建立通信而不是漫游到遠(yuǎn)端的AP。
下面將說(shuō)明AP鄰近區(qū)域圖表的一個(gè)實(shí)例��。
圖5A表示應(yīng)用本發(fā)明的WLAN中AP布局的一個(gè)實(shí)例�,圖5B表示基于AP布局構(gòu)造的AP鄰近區(qū)域圖表����。
參照?qǐng)D5A����,AP_C位于只有一個(gè)入口的封閉空間里����。因此AP_B是STA能從AP_C移動(dòng)過(guò)去的唯一的AP�。這意味著對(duì)在AP_C的STA只允許到AP_B的漫游。同時(shí)����,在AP_B的STA能移動(dòng)到AP_A���,AP_D���,AP_E和AP_C中的任何一個(gè),因?yàn)閺腁P_B到上述AP之間都有走廊(物理連接)��。也就是說(shuō)����,STA可以從AP_B自由漫游到圖5A中所示的所有AP。如果STA位于AP_A����,它只能從AP_A不經(jīng)過(guò)任何其他AP的移動(dòng)到AP_B或AP_E�����。因此,STA能夠從AP_A漫游到AP_B或AP_E��。AP_E可以直接連接除了AP_C之外的所有AP�,所以���,位于AP_E的STA可以漫游到除了AP_C之外的任何一個(gè)AP。STA從AP_D到AP_B和AP_E的直接漫游被禁止���。從AP_A到AP_D的漫游���,或從AP_D到AP_A的漫游由于它們之間的距離長(zhǎng)而不允許�����。代替漫游����,STA在漫游到AP_D或AP_A之前與AP_B重新連接。
參照?qǐng)D5B�����,所示的AP鄰近區(qū)域圖表給出了WLAN中AP之間所有的連接。但是��,上述第二種鄰近區(qū)域圖表產(chǎn)生方法只有在每個(gè)AP都能知道它可能連接的可能AP時(shí)才可用。例如��,對(duì)AP_A來(lái)說(shuō)AP_A知道AP_B和AP_E作為可能的AP是十分所需的�,對(duì)AP_B來(lái)說(shuō)知道AP_A��,AP_C���,AP_D和AP_E作為可能的AP是十分所需的�。另一方面����,在第三種鄰近區(qū)域圖表產(chǎn)生方法中�����,記賬服務(wù)器為每個(gè)AP管理AP鄰近區(qū)域圖表。
如早先提到的���,AP鄰近區(qū)域圖表由管理員人工生成或由傳統(tǒng)越區(qū)切換過(guò)程自動(dòng)生成����。
在每個(gè)AP自動(dòng)生成AP鄰近區(qū)域圖表的情況下���,根據(jù)來(lái)自STA的重新分配請(qǐng)求消息的接收�,AP決定是否存在瞬時(shí)存儲(chǔ)的有關(guān)STA的內(nèi)容。所述AP對(duì)STA來(lái)說(shuō)是新AP。如果所述內(nèi)容存在����,那意味著AP早已經(jīng)建立了包含與STA連接的在先AP的AP鄰近區(qū)域圖表。相反���,如果所述內(nèi)容不存在,那就意味著在AP鄰近區(qū)域圖表中還沒(méi)有定義與在先AP的連接���。接著���,新AP利用傳統(tǒng)的IAPP過(guò)程從在先AP接收與STA相關(guān)的內(nèi)容,并更新AP鄰近區(qū)域圖表以使在AP鄰近區(qū)域圖表中繪制出在先AP與新AP之間的連接。
以此方式�����,AP鄰近區(qū)域圖表由本發(fā)明的第一實(shí)施例產(chǎn)生��,其中本發(fā)明以在每個(gè)AP的AP鄰近區(qū)域圖表的管理為特點(diǎn)。同時(shí)��,在本發(fā)明的第二實(shí)施例中�,由于是高層服務(wù)器來(lái)為每個(gè)AP管理AP鄰近區(qū)域圖表,當(dāng)新的連接建立時(shí)����,相應(yīng)的AP就向高層服務(wù)器報(bào)告該新的連接�,以使AP的AP鄰近區(qū)域圖表能更新為最新的信息�����。如果STA漫游到一個(gè)新的AP��,那么下述操作也是可能的��,即高層服務(wù)器通過(guò)將AP看作是在先AP的相鄰AP而將新AP添加到圖表上�,來(lái)為在先AP更新AP鄰近區(qū)域圖表。
2.第一實(shí)施例AP為由AP鄰近區(qū)域圖表管理的相鄰AP生成PMK�,并利用由IAPP協(xié)議實(shí)現(xiàn)的高速緩存技術(shù)將PMK發(fā)送給相鄰AP��。當(dāng)STA漫游到相鄰AP中的一個(gè)時(shí),保密系統(tǒng)根據(jù)提供給相鄰AP的PMK進(jìn)行操作����,因此能實(shí)現(xiàn)快速漫游����。
有效高速緩存技術(shù)指的是一種方案��,在這種方案中每個(gè)AP利用它的AP鄰近區(qū)域圖表來(lái)識(shí)別可能與其連接的可能的AP,為可能的AP生成PMK�����,將PMK發(fā)送給相鄰AP���。因此����,漫游過(guò)程中包含的二次驗(yàn)證等待時(shí)間就減少了。有效高速緩存技術(shù)是移動(dòng)原理的局部性。在這種環(huán)境下�,STA連接特性是在一給定的時(shí)間間隔內(nèi)與STA相關(guān)連的AP序列�����。
本發(fā)明的第一實(shí)施例將參照附圖作詳細(xì)的說(shuō)明。這里假設(shè)每個(gè)AP來(lái)管理它自己的AP鄰近區(qū)域圖表���。
圖6是根據(jù)本發(fā)明�����,通過(guò)有效高速緩存技術(shù)從理論上說(shuō)明漫游過(guò)程����。預(yù)先假設(shè)漫游過(guò)程中STA從AP_A移動(dòng)到AP_B�。
參照?qǐng)D6����,在步驟1,STA向AP_A發(fā)送一連接請(qǐng)求����。AP_A以常用的驗(yàn)證過(guò)程來(lái)驗(yàn)證STA并獲得一安全密鑰�����。STA已經(jīng)知道用于STA和AAA服務(wù)器(未示出)之間用于保密的MK��,并從AAA服務(wù)器接收PMK��。AP_A從AAA服務(wù)器接收到PMK��。然后�����,STA和AP_A都得到PTK和RK(漫游密鑰)����。接著生成RK需要的隨機(jī)數(shù)(RN)�,并且利用PMK來(lái)實(shí)現(xiàn)4路信號(hào)交換來(lái)生成PTK�。在4路信號(hào)交換過(guò)程中生成RN。顯然����,也可以用其他任何方式來(lái)生成RN���。驗(yàn)證之后,AP_A向STA發(fā)送對(duì)連接請(qǐng)求的響應(yīng)���。這樣�,STA就能與AP_A進(jìn)行通信了。
在此�����,AP_A為相鄰AP��,AP_B生成PMK���,所述AP_B由它的AP鄰近區(qū)域圖表來(lái)管理�,讓用于相鄰AP的PMK成為PMKnext�����。通過(guò)PRF(偽隨機(jī)功能)用RK�、當(dāng)前PMK�,PMKcurr、STA的MAC地址���,STAmac和新AP的MAC地址,nextAPmac來(lái)生成PMKnext���,表達(dá)式為PMKnext=PRF(RK���,PMKcurr����,STAmac���,nextAPmac)……(1)其中,STAmac在通信過(guò)程中對(duì)AP_A來(lái)說(shuō)是已知的�����,nextAPmac是AP_A通過(guò)IAPP協(xié)議接收到的信息或是從AAA服務(wù)器接收到的信息��。
在步驟2,AP_A向AP_B發(fā)送PMKnext�。在圖6所示的情況下,假設(shè)一AP為可能的AP�,如果存在很多可能的AP,AP_A就向它們每一個(gè)都發(fā)送PMK和為各個(gè)可能的AP計(jì)算出來(lái)的PMKnext�。AP_B將PMKnext存儲(chǔ)在高速緩存中��。在步驟3,當(dāng)STA沿圖示的路徑移動(dòng)到AP_B�,STA就請(qǐng)求與AP_B的重新連接�����。為了維持響應(yīng)于重新連接請(qǐng)求的持續(xù)性通信服務(wù),在AP_B和STA之間必須建立一保密系統(tǒng)�����。也就是說(shuō)���,在AP_B和STA之間必須獲得一用于保密的PTK����。所述PTK由PMK導(dǎo)出,即PMKnext�。因此�����,AP_B將PMKnext設(shè)置為PMK��,這樣AP_B就能與STA通信了�。其中�����,STA可以通過(guò)多種方式來(lái)獲得PMKnext��。例如�,AP_A或AP_B給STA提供PMKnext�����?�;蛘逽TA可以用從AP_A或AP_B接收到的nextAPmac來(lái)直接生成PMKnext�。
當(dāng)AP_B和STA得到同樣的PMK時(shí),可以采用傳統(tǒng)的方法來(lái)建立PTK��,以使在AP_B和STA之間建立常規(guī)的保密系統(tǒng)。這樣�,傳統(tǒng)的預(yù)驗(yàn)證所包含的等待時(shí)間就減少了,因此可以實(shí)現(xiàn)快速漫游,并能實(shí)現(xiàn)加速操作���。同時(shí),為了給STA漫游到其它任何相鄰AP做準(zhǔn)備���,AP_B利用與PTK一起得到的RK來(lái)生成PMKnext�,并向相鄰AP發(fā)送PMKnext。
根據(jù)本發(fā)明的實(shí)施例�����,有效緩存技術(shù)用來(lái)提供用于在STA和至少一個(gè)將與STA連接的預(yù)設(shè)的新AP之間保密的安全密鑰���。除漫游過(guò)程之外,有效高速緩存包括從在先AP向可能的新AP發(fā)送安全密鑰�����。為實(shí)現(xiàn)有效高速緩存技術(shù)�����,必須為每個(gè)AP預(yù)設(shè)可能的新AP�。這個(gè)已經(jīng)在AP鄰近區(qū)域圖表的相關(guān)內(nèi)容中作了詳細(xì)說(shuō)明��。
圖7表示根據(jù)本發(fā)明的第一實(shí)施例所述的安全密鑰的產(chǎn)生過(guò)程。
參照?qǐng)D7,AAA服務(wù)器為AP�����,STA最初想要訪問(wèn)的APcurr生成PMKcurrr�,并將PMKcurr發(fā)送給APcurr。APcurr從PMKcurr中獲得PTK和RK����。RK由使用PRF的下屬表達(dá)式來(lái)確定RK=PRF(PMK����,“Roam Key”�����,APnonce,STAnonce)……(2)其中����,APnonce是由APcurr設(shè)置的隨機(jī)數(shù),STAnonce是由STA設(shè)置的隨機(jī)數(shù)���,“Roam Key”是在4路信號(hào)交換中產(chǎn)生的RN�。
由等式(2)得到RK后,通過(guò)等式(1)計(jì)算出用于相鄰AP的PMK�����,PMKnext��,通過(guò)高效緩存技術(shù)將其發(fā)送給APnext��。在多個(gè)相鄰AP面前����,產(chǎn)生與相鄰AP數(shù)目相同的PMK、PMKnext�。
下面將結(jié)合附圖8A���、8B和8C來(lái)詳細(xì)說(shuō)明如何通過(guò)使用高效緩存技術(shù)來(lái)提供能減少連接等待時(shí)間的快速漫游服務(wù)�。下面的描述是在假設(shè)STA最初與AP_A相連接的條件下進(jìn)行的,AP_B和AP_E是AP_A的相鄰AP���。
圖8A表示當(dāng)STA開(kāi)始想要訪問(wèn)AP_A時(shí)如何獲得在AP_A和STA中所需的安全密鑰�����。STA獲得的安全密鑰是MK��、PMKcurr�、PTKcurr和RK�,AP_A需要的安全密鑰是PMKcurr�����、PTKcurr和RK��。由于在前面已經(jīng)介紹了獲得安全密鑰的過(guò)程�����,所以在這里就不再重復(fù)了。
圖8B表示在AP_A中利用安全密鑰為相鄰AP產(chǎn)生PMK以及利用高效緩存技術(shù)將其從AP_A發(fā)送到相鄰AP的過(guò)程��。在這里實(shí)施例中����,AP_A的相鄰AP是AP_B和AP_E�。用于AP_B的PMKnext(PMK(AP_B)next)由下式確定PMK(AP_B)next=PRF(RK����,PMKcurr,STAmac�����,AP_Bmac)……(3)用于AP_E的PMKnext(PMK(AP_E)next)由下式確定PMK(AP_E)next=PRF(RF,PMKcurr��,STAmac���,AP_Emac)……(4)由于隨后會(huì)出現(xiàn)漫游��,STA必須知道與相鄰AP對(duì)應(yīng)的PMKnext�。根據(jù)本發(fā)明的第一實(shí)施例,STA可以通過(guò)兩種方式獲取與相鄰AP對(duì)應(yīng)的PMKnext���,AP_A直接向STA提供發(fā)送給相鄰AP的PMKnext��;和AP_A向STA提供為相鄰AP計(jì)算PMKnext所需的MAC地址����。在后一種情況��,STA通過(guò)等式(3)和等式(4)為各個(gè)AP計(jì)算出PMKnext�。
圖8C表示在STA從AP_A移動(dòng)到AP_B以后,AP_B利用PMKnext恢復(fù)由AP_A提供的通信服務(wù)���。AP_B將從AP_A接收到的PMKnext轉(zhuǎn)化為自己的PMK��。如果STA想要訪問(wèn)AP_B��,AP_B就從PMK中導(dǎo)出一PTK�。同樣�����,STA利用已知的PMKnext來(lái)獲取PTK。這樣�,STA就在AP_B繼續(xù)了由AP_A提供的通信服務(wù)。同時(shí)����,AP_B也得到PTK和RK。利用RK���,AP_B為它的相鄰AP生成PMK,其相鄰AP都由各自的AP相鄰區(qū)域圖表來(lái)管理��。AP_B利用高效緩存技術(shù)向相鄰AP發(fā)送PMK�����。
盡管圖8A�、8B和8C所示的情況是在假設(shè)STA從AP_A漫游到AP_B的情況下進(jìn)行說(shuō)明的,但是STA從AP_B漫游到AP_A的過(guò)程也一樣�����。
圖9是解釋根據(jù)本發(fā)明第一實(shí)施例的漫游過(guò)程中STA和AP之間的信號(hào)流程圖�。假設(shè)AP_A是在先AP,AP_B是新的AP��。由于STA訪問(wèn)AP_A,在漫游之后是以傳統(tǒng)方式在AP_B進(jìn)行操作的�����,所以下面的描述著重說(shuō)明漫游過(guò)程中的信號(hào)流程���。
參照?qǐng)D9�,在步驟901����,STA和AP_A從來(lái)自AAA服務(wù)器的PMK中導(dǎo)出PTK和RK,以使它們能互相通信����。在步驟903���,AP_A為它的相鄰AP導(dǎo)出PMK、PMKnext,在步驟905到907將PMK發(fā)送給其相鄰AP��。這樣�,當(dāng)STA移動(dòng)到相鄰AP時(shí)����,相鄰AP就能有將用于保密的PMK了�。
當(dāng)STA漫游到AP_B����,在步驟909���,STA和AP_B從PMKnext中導(dǎo)出PTK和RK����,以使STA和AP_B之間建立一種能將AP_A提供的通信服務(wù)在AP_B繼續(xù)的保密系統(tǒng)�。在步驟911��,AP_B為它的相鄰AP生成PMK����、PMKnext,在步驟913到915����,將PMK發(fā)送給它的相鄰AP�����。
根據(jù)本發(fā)明的第一實(shí)施例����,由于不需要訪問(wèn)用于預(yù)驗(yàn)證的AAA服務(wù)器����,所述預(yù)驗(yàn)證用來(lái)為STA提供漫游服務(wù),所以漫游所需的時(shí)間就減少了。這就意味著建立了快速漫游����。
3.第二實(shí)施例高層服務(wù)器通過(guò)相鄰AP的AP相鄰區(qū)域圖表來(lái)為各個(gè)AP管理其相鄰AP。必要時(shí)�����,服務(wù)器為與一特定的AP的相鄰AP生成PMK并將其發(fā)送給相鄰AP�。因此��,當(dāng)STA漫游到相鄰AP其中的一個(gè)時(shí)���,利用已知的PMK的保密系統(tǒng)開(kāi)始操作,這樣就可以提供一種快速漫游����。
本發(fā)明的第二實(shí)施例預(yù)先假設(shè)AP鄰近區(qū)域圖表由新高層服務(wù)器���、記賬服務(wù)器來(lái)管理。記賬服務(wù)器可以合并在一現(xiàn)有的AAA服務(wù)器中���,也可以由一單獨(dú)的服務(wù)器來(lái)實(shí)現(xiàn)����。同樣����,可以根據(jù)與管理的AP鄰近區(qū)域圖表有關(guān)的信息總量來(lái)決定使用記賬服務(wù)器的數(shù)量���。假設(shè)下面的說(shuō)明是與獨(dú)立于現(xiàn)有的AAA服務(wù)器的記賬服務(wù)器有關(guān)的�����,并且將不具備記賬功能的AAA服務(wù)器稱為驗(yàn)證服務(wù)器(AS)�����。
參照?qǐng)D10A到10E��,將詳細(xì)描述利用來(lái)自高層服務(wù)器的安全密鑰分配的快速漫游����,其中假設(shè)STA最初訪問(wèn)AP_A,AP_B和AP_E與AP_A相鄰�。
參照?qǐng)D10A����,當(dāng)STA開(kāi)始與AP_A連接時(shí)��,AP_A和STA都獲取它們必須的安全密鑰����。MK�、PMK和PTK是用于STA的安全密鑰�,而PMK和PTK是用于AP_A的安全密鑰�����。如何獲取上述密鑰已經(jīng)在前面作了詳細(xì)說(shuō)明�����,這里就不再重復(fù)了�。安全密鑰的獲得就相當(dāng)于在STA和AP_A之間建立起了允許通信的保密系統(tǒng)����。
參照?qǐng)D10B���,AP_A通知記賬服務(wù)器STA的通信服務(wù)已經(jīng)啟動(dòng)�,例如通過(guò)一個(gè)記賬請(qǐng)求消息。這樣�,記賬服務(wù)器為STA執(zhí)行記賬計(jì)算功能�����,并向相鄰AP通知STA與AP_A之間的通信服務(wù)已經(jīng)啟動(dòng)。
參照?qǐng)D10C�����,記賬服務(wù)器使用AP鄰近區(qū)域圖表搜索相鄰AP,其中所述的AP鄰近區(qū)域圖表由記賬服務(wù)器來(lái)為AP_A進(jìn)行管理����,并通過(guò)一通知請(qǐng)求消息向相鄰AP��,AP_B和AP_E通知STA已經(jīng)連接到AP_A�����。所述通知請(qǐng)求消息包括STA的MAC地址��,STA-mac-Addr��。根據(jù)接收到的通知請(qǐng)求消息����,AP_B和AP_E考慮STA可能會(huì)從AP_A移向它們中的哪個(gè)。
參照?qǐng)D10D��,AS向相鄰AP(如AP_B)提供PMK����,所述PMK在STA漫游到相鄰AP時(shí)能使它與STA進(jìn)行通信,AP_B向AS發(fā)送一包括從記賬服務(wù)器接收到的STA-mac-Addr的訪問(wèn)請(qǐng)求消息�,AS通過(guò)下式為AP_B生成PMK����,PMKBPMKB=TLS-PRF(MK���,PMKA����,STAmac,AP_Bmac)……(5)其中����,PMKA是分配給AP_A的PMK�,STAmac和AP_Bmac分別是STA和AP_B的MAC地址����。這里,TLS是傳輸層安全性��。
AS向AP_BF發(fā)送一包含PMKB的訪問(wèn)接收消息���。通過(guò)接收訪問(wèn)接收消息���,當(dāng)STA移動(dòng)到AP_B時(shí)����,AP_B獲得用于STA和AP_B之間保密的PMK。圖10D解釋說(shuō)明了在AP_B和AS之間的操作�,同樣的操作在AP_E也適用���。
參照?qǐng)D10E�����,當(dāng)STA移動(dòng)到AP_B時(shí),提供給STA漫游服務(wù)�����。當(dāng)STA想要訪問(wèn)AP_B時(shí)���,AP_B向記賬服務(wù)器報(bào)告這種訪問(wèn)����。接著記賬服務(wù)器更新用于AP_B的AP鄰近區(qū)域圖表�����。其中�����,STA通過(guò)下面的表達(dá)式來(lái)獲取建立AP_B保密系統(tǒng)所需的PMK,PMKBPMKB=TLS-PRF(MK���,PMKB�����,STAmac����,AP_Bmac)……(6)其中PMKA是分配給AP_A的PMK,STAmac和AP_Bmac分別是STA和AP_B的MAC地址��。STA已經(jīng)知道PMKA和STAmac,但是如果沒(méi)有一外部設(shè)備的幫助�,STA就不能知道AP_Bmac。因此�����,STA在移動(dòng)到AP_B以后接收來(lái)自AP_A和AP_B的AP_Bmac���。或者�,STA可以接收來(lái)自AP_B的PMKB�����,而不是直接生成PMKB�����。這在如前面描述過(guò)的��,假設(shè)AP_B具有PMKB的情況下是可能的�����。
一旦AP_B和STA知道了PMKB�,它們就能用現(xiàn)有的技術(shù)來(lái)從PMKB中獲取PTK。因此����,從PMKB中導(dǎo)出PTK的方法在這里就不再介紹了�。
在上面所述的過(guò)程中����,STA和AP_B共享同一個(gè)PTK。這意味著在STA和AP_B之間已經(jīng)建立起了保密系統(tǒng)。因此,由AP_A提供的通信服務(wù)就能在AP_N和STA之間被繼續(xù)�����。
圖11表示當(dāng)STA以AP_A���、AP_B���、和AP_C和AP_D的順序漫游時(shí)PMK產(chǎn)生的例子。
參照?qǐng)D11,當(dāng)STA最初與AP_A相連接時(shí)���,PMK0在第一代階段生成�����。在第二代階段�,AS從PMK0中生成用于AP_B的PMKB,用來(lái)為STA漫游到AP_B作準(zhǔn)備��。在第三代階段�,當(dāng)STA漫游到AP_B時(shí)���,AS從PMKB中生成用于AP_C的PMKC���,用來(lái)為STA漫游到AP_C作準(zhǔn)備���。在第四代階段,AS從PMKB中生成用于AP_D的PMKD和從PMKC中生成用于AP_B的PMKB��,用來(lái)為STA漫游到AP_D和AP_B作準(zhǔn)備�。在第五代階段,AS從PMKD中生成用于AP_B的PMKB和用于AP_E的PMKE���,用來(lái)為STA從AP_D漫游到AP_B或AP_E作準(zhǔn)備�����。
前面已經(jīng)描述了從前一個(gè)PMK中產(chǎn)生用于下一個(gè)AP的PMK的連續(xù)產(chǎn)生過(guò)程和從前一個(gè)PMK中產(chǎn)生用于下一個(gè)PMK的PMK的連續(xù)產(chǎn)生過(guò)程。在上面的介紹中�,只考慮了從一個(gè)AP到相鄰AP的PMK的正常傳輸。但是����,由于當(dāng)相鄰AP因?yàn)殄e(cuò)誤的PMK傳輸而不能獲取PMK時(shí)��,相鄰AP能在傳統(tǒng)的漫游過(guò)程中獲取PMK,所以錯(cuò)誤的PMK傳輸不會(huì)引起任何保密問(wèn)題�����。
圖13是根據(jù)本發(fā)明第二實(shí)施例在STA漫游前的信號(hào)流程圖。圖13中�����,STA一開(kāi)始連接的AP叫做第一AP,STA可能移去的可能AP分別叫做第一和第二相鄰AP���。
參照?qǐng)D13�����,在STA���、第一AP和AS之間實(shí)現(xiàn)初始連接過(guò)程,如圖12所示�,用來(lái)獲取初始連接所必需的安全密鑰����。在步驟1301第一AP通過(guò)包含有Acct-Multi-Session-ID和PMK-Generation的記賬請(qǐng)求消息向記賬服務(wù)器通知與STA的通信服務(wù)開(kāi)始�。依據(jù)接收到的記賬請(qǐng)求消息,記賬服務(wù)器決定是否管理用于第一AP的AP鄰近區(qū)域圖表���,并在步驟1303中向第一AP發(fā)送一記賬響應(yīng)消息����。同時(shí),記賬服務(wù)器確認(rèn)第一和第二相鄰AP存在于第一AP的AP鄰近區(qū)域圖表中�。
在步驟1305,記賬服務(wù)器向第一相鄰AP發(fā)送一通知請(qǐng)求消息����,在步驟1307向第二相鄰AP發(fā)送一通知請(qǐng)求消息。所述通知請(qǐng)求消息表示出STA與第一AP之間的連接信息�����。這個(gè)消息傳送有關(guān)Acct-Session-ID���、Acct-Multi-Session-ID和PMK-Generation的信息����。通過(guò)接收通知請(qǐng)求消息����,第一和第二相鄰相鄰AP考慮STA可能會(huì)從第一AP移動(dòng)到它們這里�。在步驟1309,第一相鄰AP向記賬服務(wù)器發(fā)送一通知響應(yīng)消息�,在步驟1311����,第二相鄰AP向記賬服務(wù)器發(fā)送另一個(gè)通知響應(yīng)消息�。
在步驟1313和1317�����,第一和第二相鄰AP分別向AS發(fā)送包含有Acct-Session-ID�、Acct-Multi-Session-ID和PMK-Generation的訪問(wèn)請(qǐng)求消息。
根據(jù)從第一相鄰AP接收到的訪問(wèn)請(qǐng)求消息���,AS為第一相鄰AP生成一PMK���。在步驟1315,AS向第一相鄰AP發(fā)送一包含有生成的PMK的訪問(wèn)接收消息����。所述訪問(wèn)接收消息傳送有關(guān)Acct-Session-ID�、Acct-Multi-Session-ID���、PMK-Generation、PMK和斷開(kāi)時(shí)間的信息����。通過(guò)接收所述訪問(wèn)接收消息,第一相鄰AP獲取用于保密系統(tǒng)的PMK�����,所述PMK允許在STA移動(dòng)到第一相鄰AP后進(jìn)行保密通信���。
根據(jù)從第二相鄰AP接收到的訪問(wèn)請(qǐng)求消息�����,AS為第二相鄰AP生成一PMK�����,并在步驟1319�,AS向第二相鄰AP發(fā)送一包含有生成的PMK的訪問(wèn)接收消息�。所述訪問(wèn)接收消息傳送有關(guān)Acct-Session-ID���、Acct-Multi-Session-ID����、PMK-Generation、PMK和斷開(kāi)時(shí)間的信息�。通過(guò)接收所述訪問(wèn)接收消息,第二相鄰AP獲取用于保密系統(tǒng)的PMK,所述PMK允許在STA移動(dòng)到第二相鄰AP后進(jìn)行保密通信�����。
其中��,STA和第一AP執(zhí)行用于它們之間通信服務(wù)所需的典型的操作�,例如通過(guò)4路信號(hào)交換來(lái)獲取PTK。當(dāng)通信服務(wù)有效時(shí)�,STA和第一AP發(fā)送/接收通信服務(wù)數(shù)據(jù)�����。
圖14是解釋說(shuō)明根據(jù)本發(fā)明第二實(shí)施例STA漫游之后的信號(hào)的圖表�����。圖14中����,STA從第一AP移動(dòng)到第一相鄰AP����,第一AP和第二相鄰AP就成為第一相鄰AP的相鄰AP。
參照?qǐng)D14��,在步驟1401,STA移動(dòng)到第一相鄰AP以后�����,STA想要通過(guò)向第一相鄰AP發(fā)送一探測(cè)請(qǐng)求消息與第一相鄰AP重新連接�。在步驟1403,第一相鄰AP向STA發(fā)送一探測(cè)響應(yīng)消息作為對(duì)所述探測(cè)請(qǐng)求消息的響應(yīng)。在步驟1409����,STA向第一相鄰AP發(fā)送一重新連接請(qǐng)求RSN IE,在步驟1411��,第一相鄰AP向STA發(fā)送一重新連接響應(yīng)RSN IE��。
其中����,在步驟1413�,第一相鄰AP向記賬服務(wù)器發(fā)送一記賬請(qǐng)求消息來(lái)報(bào)告STA與第一相鄰AP之間的重新連接信息�����。記賬請(qǐng)求消息包含關(guān)于Acct-Multi-Session-ID和PMK-Generation的信息。根據(jù)接收到的記賬請(qǐng)求消息�����,記賬服務(wù)器更新與第一相鄰AP相應(yīng)的AP鄰近區(qū)域圖表��。在步驟1415�����,記賬服務(wù)器向第一相鄰AP發(fā)送一記賬響應(yīng)消息��,這時(shí)����,記賬服務(wù)器通過(guò)AP鄰近區(qū)域圖表確認(rèn)第一AP和第二相鄰AP與第一相鄰AP相鄰��。
在步驟1417和步驟1419�,記賬服務(wù)器分別向第一AP和第二相鄰AP發(fā)送通知請(qǐng)求消息。所述通知請(qǐng)求消息表示出STA與第一相鄰AP之間的連接信息。這個(gè)消息傳送與Acct-Session-ID�����、Acct-Multi-Session-ID��、PMK-Generation有關(guān)的信息��。通過(guò)接收所述通知請(qǐng)求消息�,第一AP和第二相鄰AP考慮STA可能會(huì)從第一相鄰AP移動(dòng)到它們上。在步驟1421����,第一AP向記賬服務(wù)器發(fā)送一通知響應(yīng)消息�����,在步驟1423�����,第二相鄰AP向記賬服務(wù)器發(fā)送另一個(gè)通知響應(yīng)消息�。
根據(jù)接收到的通知請(qǐng)求消息��,在步驟1425���,第一AP向AS發(fā)送一訪問(wèn)請(qǐng)求消息����。所述訪問(wèn)請(qǐng)求消息包含與Acct-Session-ID�����、Acct-Multi-Session-ID和PMK-Generation有關(guān)的信息。
根據(jù)從第一AP接收到的通知請(qǐng)求消息�����,AP為第一AP生成一PMK�,例如��,訪問(wèn)請(qǐng)求消息中包含的信息�����。然后,在步驟1427�����,AS向第一AP發(fā)送一訪問(wèn)接收消息��。所述訪問(wèn)接收消息包括與Acct-Session-ID����、Acct-Multi-Session-ID�����、PMK-Generation���、PMK和斷開(kāi)時(shí)間有關(guān)的信息。通過(guò)接收所述訪問(wèn)接收消息��,第一AP獲取用于保密系統(tǒng)的PMK,所述PMK允許STA在移動(dòng)到第一AP之后進(jìn)行保密通信����。
依據(jù)接收到的通知請(qǐng)求消息,在步驟1429�,第二相鄰AP發(fā)送一訪問(wèn)請(qǐng)求消息給AS����。所述訪問(wèn)請(qǐng)求消息包括與Acct-Session-ID、Acct-Multi-Session-ID和PMK-Generation有關(guān)的信息。
根據(jù)從第二相鄰AP接收到的通知請(qǐng)求消息����,AS為第二相鄰AP生成一PMK,如包含在訪問(wèn)請(qǐng)求消息中的信息�。接著�,在步驟1431,AS發(fā)送一訪問(wèn)接收消息給第二相鄰AP�。所述訪問(wèn)接收消息包括與Acct-Session-ID、Acct-Multi-Session-ID����、PMK-Generation、PMK和斷開(kāi)時(shí)間有關(guān)的信息����。通過(guò)接收改訪問(wèn)接收消息�,第二相鄰AP獲取用于保密系統(tǒng)的PMK����,所述PMK允許STA在移動(dòng)到第二相鄰AP之后進(jìn)行保密通信。
其中�����,STA和第一相鄰AP執(zhí)行用于它們之間通信服務(wù)所需的典型的操作��,例如通過(guò)4路信號(hào)交換來(lái)獲取PTK����。當(dāng)通信服務(wù)有效時(shí)��,STA和第一相鄰AP發(fā)送/接收通信服務(wù)數(shù)據(jù)��。
確定是否在STA和AP之間應(yīng)用上述發(fā)明的漫游技術(shù)的步驟通過(guò)使用除了根據(jù)本發(fā)明的第一和第二實(shí)施例以外的過(guò)程來(lái)實(shí)現(xiàn)可以作為其它的實(shí)施例��。例如�����,STA通過(guò)使用重新連接請(qǐng)求消息中RSN IE中保留的比特中的一個(gè)來(lái)通知報(bào)告是否支持快速漫游。AP通過(guò)使用重新連接響應(yīng)消息中的同樣的比特來(lái)通知報(bào)告是否支持快速漫游����。STA所需的PMK可以由上述比特來(lái)提供���。
圖15表示傳統(tǒng)的漫游方案(完全驗(yàn)證)與根據(jù)本發(fā)明(二次驗(yàn)證)的漫游方案比較的結(jié)果圖�。如圖15所示�,在完全驗(yàn)證中可以看到由800ms的等待時(shí)間����,而在二次驗(yàn)證中等待時(shí)間被減少到平均50ms�。因此,可以得到本發(fā)明的漫游方案支持快速漫游的結(jié)論�。
如上所述,本發(fā)明提供了一種簡(jiǎn)化的漫游過(guò)程并且減少了漫游時(shí)間��,使WLAN中STA與新AP之間的通信操作加速�。同時(shí)��,也保證了穩(wěn)定的服務(wù)質(zhì)量和并使快速漫游成為可能。
雖然本發(fā)明是通過(guò)上述一些優(yōu)選的實(shí)施例來(lái)進(jìn)行說(shuō)明的����,但是作為本領(lǐng)域技術(shù)人員可以理解,在不偏離如權(quán)利要求所限定的本發(fā)明的精神和范圍的條件下�,可以作出各種形式上和細(xì)節(jié)上的改變����。
權(quán)利要求
1.一種在無(wú)線網(wǎng)絡(luò)中支持漫游服務(wù)的方法�����,該無(wú)線網(wǎng)絡(luò)具有驗(yàn)證服務(wù)器、以及與驗(yàn)證服務(wù)器相連接的多個(gè)接入點(diǎn)(AP)��,該方法包括當(dāng)終端(STA)嘗試與多個(gè)AP中的一個(gè)相關(guān)聯(lián)時(shí)�����,從已知的主密鑰導(dǎo)出要在STA和STA嘗試關(guān)聯(lián)的AP之間共享的第一級(jí)安全密鑰��;從第一級(jí)安全密鑰導(dǎo)出要在STA和至少一個(gè)相鄰AP之間共享的第二級(jí)安全密鑰����;以及將第二級(jí)安全密鑰提供到所述至少一個(gè)相鄰AP,其中�,所述至少一個(gè)相鄰AP與STA嘗試關(guān)聯(lián)的AP相鄰��,并且���,當(dāng)STA嘗試漫游到所述至少一個(gè)相鄰AP時(shí)����,所述至少一個(gè)AP利用第二級(jí)安全密鑰來(lái)對(duì)STA進(jìn)行預(yù)驗(yàn)證。
2.如權(quán)利要求1所述的方法��,其中,第一級(jí)安全密鑰是第一級(jí)雙主密鑰�,而第二級(jí)安全密鑰是第二級(jí)雙主密鑰
3.如權(quán)利要求2所述的方法,還包括在STA嘗試關(guān)聯(lián)的AP中��,從第一級(jí)雙主密鑰導(dǎo)出雙瞬時(shí)密鑰。
4.如權(quán)利要求2所述的方法���,還包括在所述至少一個(gè)相鄰AP中���,從第二級(jí)雙主密鑰導(dǎo)出雙瞬時(shí)密鑰。
5.如權(quán)利要求2所述的方法���,其中,從第一級(jí)安全密鑰導(dǎo)出要在STA和至少一個(gè)相鄰AP之間共享的第二級(jí)安全密鑰包括考慮到STA的介質(zhì)訪問(wèn)控制(MAC)地址�����,從第一級(jí)雙主密鑰導(dǎo)出第二級(jí)雙主密鑰。
6.如權(quán)利要求1所述的方法���,其中,所述至少一個(gè)相鄰AP是STA可在不通過(guò)另一個(gè)AP的情況下漫游的AP���。
7.如權(quán)利要求6所述的方法�,其中�,STA嘗試通過(guò)從所述至少一個(gè)相鄰AP漫游,而與AP關(guān)聯(lián)���。
8.一種在無(wú)線網(wǎng)絡(luò)中���、在多個(gè)接入點(diǎn)(AP)之一中支持漫游服務(wù)的方法���,該無(wú)線網(wǎng)絡(luò)具有驗(yàn)證服務(wù)器�����、以及與驗(yàn)證服務(wù)器相連接的多個(gè)AP�����,該方法包括當(dāng)終端(STA)嘗試與AP相關(guān)聯(lián)時(shí)��,從驗(yàn)證服務(wù)器接收從已知的主密鑰導(dǎo)出的第一級(jí)安全密鑰��;從第一級(jí)安全密鑰導(dǎo)出用于至少一個(gè)相鄰AP的第二級(jí)安全密鑰�����;以及將第二級(jí)安全密鑰提供到所述至少一個(gè)相鄰AP�,其中����,所述至少一個(gè)相鄰AP與STA嘗試關(guān)聯(lián)的AP相鄰���,并且��,當(dāng)STA嘗試漫游到所述至少一個(gè)相鄰AP時(shí)���,所述至少一個(gè)AP利用第二級(jí)安全密鑰來(lái)對(duì)STA進(jìn)行預(yù)驗(yàn)證�。
9.如權(quán)利要求8所述的方法,其中���,第一級(jí)安全密鑰是第一級(jí)雙主密鑰,而第二級(jí)安全密鑰是第二級(jí)雙主密鑰
10.如權(quán)利要求9所述的方法��,還包括從第一級(jí)雙主密鑰導(dǎo)出雙瞬時(shí)密鑰�。
11.如權(quán)利要求9所述的方法�����,還包括在所述至少一個(gè)相鄰AP中,從第二級(jí)雙主密鑰導(dǎo)出雙瞬時(shí)密鑰����。
12.如權(quán)利要求9所述的方法��,其中���,從第一級(jí)安全密鑰導(dǎo)出用于至少一個(gè)相鄰AP的第二級(jí)安全密鑰包括考慮到STA的介質(zhì)訪問(wèn)控制(MAC)地址�����,從第一級(jí)雙主密鑰導(dǎo)出第二級(jí)雙主密鑰。
13.如權(quán)利要求8所述的方法����,其中,所述至少一個(gè)相鄰AP是STA可在不通過(guò)另一個(gè)AP的情況下漫游的AP�����。
14.如權(quán)利要求13所述的方法�,其中,STA嘗試通過(guò)從所述至少一個(gè)相鄰AP漫游�����,而與AP關(guān)聯(lián)����。
15.一種在無(wú)線網(wǎng)絡(luò)中生成完全密鑰的方法,該無(wú)線網(wǎng)絡(luò)具有驗(yàn)證服務(wù)器���、以及與驗(yàn)證服務(wù)器相連接的多個(gè)接入點(diǎn)(AP)����,該方法包括從驗(yàn)證服務(wù)器接收從已知的主密鑰導(dǎo)出的第一級(jí)雙主密鑰����;從第一級(jí)雙主密鑰導(dǎo)出雙瞬時(shí)密鑰�;以及從第一級(jí)雙主密鑰將導(dǎo)出用于所述至少一個(gè)相鄰AP的第二級(jí)雙主密鑰����。
16.如權(quán)利要求15所述的方法��,還包括在所述至少一個(gè)相鄰AP中��,從第二級(jí)雙主密鑰導(dǎo)出雙瞬時(shí)密鑰���。
17.如權(quán)利要求16所述的方法����,其中,從第一級(jí)雙主密鑰將導(dǎo)出用于所述至少一個(gè)相鄰AP的第二級(jí)雙主密鑰包括考慮到終端(STA)的介質(zhì)訪問(wèn)控制(MAC)地址�,從第一級(jí)雙主密鑰導(dǎo)出第二級(jí)雙主密鑰。
18.一種在無(wú)線網(wǎng)絡(luò)中、在與服務(wù)AP相關(guān)聯(lián)的終端(STA)嘗試漫游的目標(biāo)AP中生成安全密鑰的方法�,該無(wú)線網(wǎng)絡(luò)具有驗(yàn)證服務(wù)器、以及與驗(yàn)證服務(wù)器相連接的多個(gè)接入點(diǎn)(AP)���,該方法包括從服務(wù)AP接收第二級(jí)雙主密鑰����;從第二級(jí)雙主密鑰導(dǎo)出雙瞬時(shí)密鑰;以及從第二級(jí)雙主密鑰將導(dǎo)出用于至少一個(gè)相鄰AP的新的第二級(jí)雙主密鑰���。
19.如權(quán)利要求18所述的方法����,其中����,從第二級(jí)雙主密鑰將導(dǎo)出用于至少一個(gè)相鄰AP的新的第二級(jí)雙主密鑰包括考慮到STA的介質(zhì)訪問(wèn)控制(MAC)地址����,從第二級(jí)雙主密鑰導(dǎo)出新的第二級(jí)雙主密鑰。
20.一種在無(wú)線網(wǎng)絡(luò)中支持用于終端(STA)的漫游服務(wù)的方法��,該無(wú)線網(wǎng)絡(luò)具有用于驗(yàn)證STA和管理STA的記賬的服務(wù)器�、以及連接到驗(yàn)證服務(wù)器的多個(gè)接入點(diǎn)(AP),該方法包括在服務(wù)器中�����,從作為多個(gè)AP之一的第一AP接收有關(guān)STA與第一AP相關(guān)聯(lián)的關(guān)聯(lián)信息��;服務(wù)器向至少一個(gè)相鄰AP通知STA已與第一AP完全關(guān)聯(lián);當(dāng)所述至少一個(gè)相鄰AP請(qǐng)求用于STA的安全密鑰時(shí)�����,將基于關(guān)聯(lián)信息而生成的安全密鑰發(fā)送到所述至少一個(gè)相鄰AP���,其中�����,所述至少一個(gè)相鄰AP與第一AP相鄰���,并且���,當(dāng)STA嘗試漫游到所述至少一個(gè)相鄰AP時(shí),所述至少一個(gè)相鄰AP使用從服務(wù)器接收到的安全密鑰而驗(yàn)證STA�。
21.如權(quán)利要求20所述的方法,其中����,關(guān)聯(lián)信息包括第一級(jí)雙主密鑰、以及STA的介質(zhì)訪問(wèn)控制(MAC)地址�。
22.如權(quán)利要求21所述的方法,其中��,由第一AP從主密鑰導(dǎo)出第一級(jí)雙主密鑰�����。
23.如權(quán)利要求21所述的方法�,服務(wù)器發(fā)送到所述至少一個(gè)相鄰AP的安全密鑰是從第一級(jí)雙主密鑰導(dǎo)出的第二級(jí)雙主密鑰。
24.一種在無(wú)線網(wǎng)絡(luò)中支持用于終端(STA)的漫游服務(wù)的方法��,該無(wú)線網(wǎng)絡(luò)具有用于驗(yàn)證STA和管理STA的記賬的服務(wù)器、以及連接到驗(yàn)證服務(wù)器的多個(gè)接入點(diǎn)(AP)�,該方法包括當(dāng)STA嘗試與作為多個(gè)AP之一的第一AP相關(guān)聯(lián)時(shí),由服務(wù)器導(dǎo)出要在STA和第一AP之間共享的第一級(jí)雙主密鑰����;從第一級(jí)雙主密鑰導(dǎo)出第二級(jí)雙主密鑰;以及將第二級(jí)雙主密鑰提供到與第一AP相鄰的至少一個(gè)相鄰AP,其中��,當(dāng)STA嘗試漫游到所述至少一個(gè)相鄰AP時(shí)�����,所述至少一個(gè)相鄰AP使用第二級(jí)雙主密鑰而驗(yàn)證STA。
25.如權(quán)利要求24所述的方法�,其中�����,第一AP將STA的介質(zhì)訪問(wèn)控制(MAC)地址發(fā)送到服務(wù)器���,以便生成第一級(jí)雙主密鑰�����。
26.如權(quán)利要求25所述的方法���,其中���,導(dǎo)出第一級(jí)雙主密鑰包括由服務(wù)器從服務(wù)器已知的主密鑰導(dǎo)出第一級(jí)雙主密鑰���。
27.如權(quán)利要求24所述的方法�,其中����,從第一級(jí)雙主密鑰導(dǎo)出第二級(jí)雙主密鑰包括由服務(wù)器考慮到所述至少一個(gè)相鄰AP的MAC地址,從第一級(jí)雙主密鑰導(dǎo)出第二級(jí)雙主密鑰��。
全文摘要
提供了用于快速并且安全的無(wú)線網(wǎng)絡(luò)的漫游服務(wù)方法���。在本發(fā)明的一個(gè)實(shí)施例中�,與STA相連接的AP向與AP的相鄰AP發(fā)送漫游所必需的安全密鑰����。當(dāng)STA移動(dòng)到其中一個(gè)相鄰AP時(shí),利用已經(jīng)提供的安全密鑰在STA和相鄰AP之間建立重新連接��。在本發(fā)明的另一個(gè)實(shí)施例中�����,驗(yàn)證服務(wù)器向STA很可能移動(dòng)到的相鄰AP發(fā)送漫游所需的安全密鑰���,以使當(dāng)STA移動(dòng)到其中一個(gè)相鄰AP時(shí)�,利用已經(jīng)提供的安全密鑰在STA與相鄰AP之間建立重新連接���。
文檔編號(hào)H04L29/06GK101043746SQ20071000624
公開(kāi)日2007年9月26日 申請(qǐng)日期2004年1月14日 優(yōu)先權(quán)日2003年1月14日
發(fā)明者李仁琁, 張景訓(xùn), 申珉昊, 威廉·A·阿博, 阿魯內(nèi)什·米什拉 申請(qǐng)人:三星電子株式會(huì)社, 馬里蘭大學(xué)