專利名稱:一種802.11i密鑰管理方法
技術(shù)領(lǐng)域:
本發(fā)明無(wú)線局域網(wǎng)接入領(lǐng)域,具體地說(shuō)��,本發(fā)明涉及一種802.11i密鑰管理 方法�����。
背景技術(shù):
由于IEEE 802. 11-1999中WEP已被業(yè)界證明存在重大的缺陷���,而且并沒(méi)有 提供安全的認(rèn)證機(jī)制���。因此在2004年IEEE標(biāo)準(zhǔn)組提出IEEE 802. lli標(biāo)準(zhǔn),標(biāo) 準(zhǔn)中提出了 RSN以增強(qiáng)無(wú)線局域網(wǎng)接入的安全性��。RSN使用IEEE 802. IX標(biāo)準(zhǔn)完成對(duì)STA的接入認(rèn)證�����,并使用TKIP或CCMP加 密算法對(duì)傳輸數(shù)據(jù)進(jìn)行加密和完整性保護(hù)��。由于IEEE 802. IX認(rèn)證信息是通過(guò) 802.11的數(shù)據(jù)幀傳送的�����,因此RSN在STA與AP完成關(guān)聯(lián)后發(fā)生作用��。對(duì)于支持 RSN的STA接入過(guò)程可以分為以下幾個(gè)階段安全能力協(xié)商階段��,IEEE 802. IX 認(rèn)證階段��,密鑰協(xié)商階段���,傳輸數(shù)據(jù)轉(zhuǎn)發(fā)保護(hù)�����。在安全能力協(xié)商階段中�,STA完 成AP的探測(cè)�,與AP進(jìn)行開(kāi)放系統(tǒng)認(rèn)證以及關(guān)聯(lián)過(guò)程;在此階段中雙方通過(guò)在信 標(biāo)幀���,探詢幀��,關(guān)聯(lián)幀等管理幀中增加RSN IE(RSN信息元素)來(lái)確定并選擇RSN 中雙方共同支持的認(rèn)證����、加密方式。在IEEE802. IX認(rèn)證階段���,STA通過(guò)AP與AAA 服務(wù)器進(jìn)行雙向認(rèn)證�����,AP只對(duì)認(rèn)證成功的STA進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)�;在密鑰協(xié)商階段��, STA與AP協(xié)商出用于數(shù)據(jù)加密的密鑰���。最后在傳輸數(shù)據(jù)轉(zhuǎn)發(fā)保護(hù)階段�,STA通過(guò) 無(wú)線鏈路發(fā)送加密數(shù)據(jù)給AP����, AP將其解密并轉(zhuǎn)發(fā)給目的地址。802. lli標(biāo)準(zhǔn)中STA的接入認(rèn)證和密鑰管理定義在AP實(shí)體上����,這種網(wǎng)絡(luò)結(jié) 構(gòu)在大規(guī)模布設(shè)無(wú)線網(wǎng)絡(luò)時(shí)顯現(xiàn)了它的不足STA也不可能根據(jù)支持話音之類的實(shí)時(shí)應(yīng)用的需求執(zhí)行快速切換�;如果某個(gè)接入點(diǎn)遭遇盜竊或破壞���,安全將得不到保證���。由于無(wú)線接入點(diǎn)的數(shù)量較多����,當(dāng)運(yùn)營(yíng)商需要升級(jí)認(rèn)證控制功能時(shí),需要替換 大量的接入點(diǎn)�����,不易于升級(jí)��。每個(gè)無(wú)線接入點(diǎn)都需要與AAA服務(wù)器建立連接并維持相互之間的安全的關(guān) 聯(lián)��,這將增加AAA服務(wù)器的負(fù)擔(dān)���。STA在發(fā)生二層切換時(shí)���,在802. lli協(xié)商過(guò)程中需要花費(fèi)大量的時(shí)間進(jìn)行認(rèn) 證,因此不適合實(shí)時(shí)業(yè)務(wù)的開(kāi)展。另一方面���,在IETF RFC4118中�,根據(jù)IEEE 802. 11 MAC功能實(shí)現(xiàn)的不同���,將WLAN結(jié)構(gòu)劃分為本地MAC方式�����、分離MAC方式和遠(yuǎn)程MAC方式����。其中���,分離 MAC方式是將MAC功能中的非實(shí)時(shí)部分實(shí)現(xiàn)在集中式設(shè)備上�,而將和物理層聯(lián)系 比較緊密或?qū)崟r(shí)性要求比較強(qiáng)的部分實(shí)現(xiàn)在AP上�����?�?刂屏?AP成本����,利于開(kāi)展話 音業(yè)務(wù)和實(shí)現(xiàn)無(wú)線資源管理等高級(jí)管理功能���。為方便理解,下面列出本發(fā)明中出現(xiàn)的一些術(shù)語(yǔ)的中英文對(duì)照CCMP: Counter mode with CBC-MAC ProtocolPMK: Pairwise Master Key,對(duì)等主密鑰PMKID: Pairwise Master Key Identity,對(duì)等主密鑰標(biāo)識(shí)AP: Access Point, 接入點(diǎn)STA: Station客戶端EAP: Extensible Authentication Protocol, 可擴(kuò)展認(rèn)證協(xié)議 EAPOL: EAP Over LAN,局域網(wǎng)幀承載的EAP消息RADIUS: Remote Authentication Dial-In User Service,遠(yuǎn)禾呈用戶撥號(hào)認(rèn)i正系統(tǒng)TKIP: Temporal Key Integrity Protocol,瞬時(shí)密鑰完整性協(xié)議GRE: Generic Routing Encapsulation,通用路由封裝協(xié)議AAA: Authentication Authorization��、 Accounting,認(rèn)證�����、授權(quán)�����、計(jì)費(fèi)RSN: Robust Security Network,增強(qiáng)性安全網(wǎng)絡(luò)RSN IE: RSN Information Element,增強(qiáng)性安全網(wǎng)絡(luò)信息元素PTK: Pairwise Transient Key成對(duì)瞬時(shí)密鑰發(fā)明內(nèi)容本發(fā)明的目的是利用802. 11分離MAC技術(shù)���,提出一種集中式的802. lli認(rèn) 證密鑰管理方法。為實(shí)現(xiàn)上述發(fā)明目的���,本發(fā)明提供的802. lli密鑰管理方法��,基于采用 802.11分離MAC方案的系統(tǒng)構(gòu)架實(shí)現(xiàn)����,包括如下步驟1) 安全能力協(xié)商階段:STA與集中式設(shè)備之間完成安全能力協(xié)商;2) IEEE802. 1X認(rèn)證階段STA通過(guò)集中式設(shè)備與認(rèn)證服務(wù)器進(jìn)行消息交互�, 完成雙向認(rèn)證和主密鑰的協(xié)商;3) 密鑰協(xié)商階段:集中式設(shè)備獲得主密鑰后�����,與STA進(jìn)一步協(xié)商�,得到用于 業(yè)務(wù)流加密的密鑰;4)傳輸數(shù)據(jù)轉(zhuǎn)發(fā)保護(hù):STA利用用于業(yè)務(wù)流加密的密鑰給數(shù)據(jù)加密�����,然后將 加密數(shù)據(jù)發(fā)送給集中式設(shè)備��,集中式設(shè)備將其解密并轉(zhuǎn)發(fā)給目的地址����。上述技術(shù)方案中,所述步驟3)中���,所述集中式設(shè)備與STA的進(jìn)一步協(xié)商是 通過(guò)四次握手過(guò)程實(shí)現(xiàn)���。上述技術(shù)方案中,所述步驟3)中���,所述集中式設(shè)備獲得主密鑰后����,還將該主密鑰緩存到一個(gè)數(shù)據(jù)結(jié)構(gòu)變量中,該數(shù)據(jù)結(jié)構(gòu)變量存儲(chǔ)有每個(gè)STA的MAC地址���、主密鑰和主密鑰標(biāo)識(shí)����,形成主密鑰索引表����。上述技術(shù)方案中,所述數(shù)據(jù)結(jié)構(gòu)變量是鏈表����。 上述技術(shù)方案中��,所述認(rèn)證服務(wù)器是RADIUS服務(wù)器����。上述技術(shù)方案中,所述步驟4)中采用TKIP或CCMP加密算法對(duì)數(shù)據(jù)進(jìn)行加密��。上述技術(shù)方案中,當(dāng)STA發(fā)生二層切換時(shí)�,集中式設(shè)備根據(jù)STA提供的主密 鑰標(biāo)識(shí)查找主密鑰索引表,如果在主密鑰索引表中找到相應(yīng)的匹配項(xiàng)目����,則集中 式設(shè)備直接與STA進(jìn)一步協(xié)商,得到用于業(yè)務(wù)流加密的密鑰�����。上述技術(shù)方案中��,當(dāng)STA發(fā)生二層切換時(shí)���,密鑰管理方法包括如下步驟21) STA切換到新的AP上時(shí)����,與集中式設(shè)備進(jìn)行重新關(guān)聯(lián)����,關(guān)聯(lián)請(qǐng)求幀攜帶 著前一次認(rèn)證協(xié)商得到的主密鑰標(biāo)識(shí);22) 集中式設(shè)備按STA發(fā)送的主密鑰標(biāo)識(shí)查找本地的主密鑰索引表�;如果在 主密鑰索引表中找到相應(yīng)的匹配項(xiàng)目,則發(fā)起802. lli四次握手過(guò)程�����,得到 新的用于業(yè)務(wù)流加密的密鑰;23) STA利用新的用于業(yè)務(wù)流加密的密鑰給數(shù)據(jù)加密���,然后將加密數(shù)據(jù)發(fā)送 給集中式設(shè)備����,集中式設(shè)備將其解密并轉(zhuǎn)發(fā)給目的地址�。 上述技術(shù)方案中,所述主密鑰是PMK密鑰���。上述技術(shù)方案中�,所述用于業(yè)務(wù)流加密的密鑰是PTK密鑰���?��;诜蛛xMAC的802.11 i密鑰管理方案簡(jiǎn)化了 STA發(fā)生二層切換時(shí)的接入認(rèn) 證和密鑰協(xié)商過(guò)程�����,從而減少了整個(gè)二層切換的時(shí)延���。而且集中式密鑰管理方案 也解決了背景技術(shù)中提到的傳統(tǒng)密鑰管理的缺陷����。例如1、本發(fā)明的認(rèn)證處理 以及數(shù)據(jù)加密的兩個(gè)端點(diǎn)位于STA與集中設(shè)備上�,可以有效的防止黑客通過(guò)替換 AP等物理手段達(dá)到訪問(wèn)網(wǎng)絡(luò)的目的。2��、相對(duì)無(wú)線接入點(diǎn)AP來(lái)說(shuō)���,集中設(shè)備的 數(shù)量較少��,當(dāng)運(yùn)營(yíng)商需要升級(jí)認(rèn)證控制功能時(shí)��,僅需要升級(jí)集中設(shè)備即可��,因此 便于升級(jí)�����,減少了升級(jí)的成本��。
圖1是基于802.11分離MAC的密鑰管理示意及模塊2是基于分離MAC的密鑰管理信令時(shí)序3是切換過(guò)程中密鑰管理示意4是將密鑰下發(fā)給內(nèi)核High MAC模塊的處理圖具體實(shí)施方式
本發(fā)明由集中式設(shè)備負(fù)責(zé)對(duì)STA的認(rèn)證����,集中式設(shè)備維護(hù)著所有AP下接入 的STA認(rèn)證、密鑰等信息���。由于這些信息并不維護(hù)在每個(gè)AP上�����,當(dāng)STA從一個(gè) AP切換到另一個(gè)AP時(shí)�����,集中式設(shè)備并不需要對(duì)STA重新進(jìn)行整個(gè)認(rèn)證過(guò)程���,而 是根據(jù)STA在接入時(shí)提供的主密鑰索引,找到以前認(rèn)證時(shí)獲得的主密鑰�����,并直接 進(jìn)入密鑰協(xié)商中的四次握手過(guò)程���,從而減少整個(gè)二層切換的時(shí)延�����。下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步地描述�。 實(shí)施例1本實(shí)施例的系統(tǒng)構(gòu)架基于分離MAC方案�����,將MAC層拆分為兩部分���,即High MAC 部分和Low MAC部分����。其中�,High MAC部分實(shí)現(xiàn)在集中式設(shè)備上,以支持無(wú)線 資源的管理���、優(yōu)化移動(dòng)性管理��;LowMAC部分實(shí)現(xiàn)在接入點(diǎn)上���,主要是處理對(duì)實(shí) 時(shí)性要求比較高以及和物理層關(guān)系比較緊密的功能。High MAC部分實(shí)現(xiàn)的功能管理幀的處理�;能夠保證STA與AC之間的管理 幀交互;數(shù)據(jù)幀的處理���,包括分組和重組����;能夠?qū)TA發(fā)送的數(shù)據(jù)幀轉(zhuǎn)換成以太 網(wǎng)幀;或?qū)l(fā)送給STA的以太網(wǎng)幀轉(zhuǎn)換為802. 11數(shù)據(jù)幀��,發(fā)送給STA;轉(zhuǎn)發(fā)功 能����;數(shù)據(jù)報(bào)文的加密、解密���。Low MAC部分實(shí)現(xiàn)的功能控制幀的處理���;速率調(diào)整;信標(biāo)幀的產(chǎn)生�;探詢 幀的處理;節(jié)電模式的處理����。如附圖1所示,本實(shí)施例的集中式設(shè)備具有基于分離MAC的密鑰管理系統(tǒng)主 要涉及到以下幾個(gè)功能模塊認(rèn)證和密鑰協(xié)商模塊�、RADIUS客戶端模塊、內(nèi)核 中的High MAC模塊���。其中認(rèn)證和密鑰協(xié)商模塊主要完成與用戶端進(jìn)行認(rèn)證以及 密鑰握手通信���,其它模塊給予輔助。如圖2所示�����,本實(shí)施例中�,STA第一次接入時(shí)密鑰管理流程如下 (1)認(rèn)證和密鑰協(xié)商模塊在程序啟動(dòng)時(shí),初始化認(rèn)證和加密的方式���,以及網(wǎng)絡(luò) 套接口���、 Netlink套接口和本地套接口,然后進(jìn)入無(wú)限循環(huán)���,等待接收消息����。(2) 當(dāng)AP啟動(dòng)后��,向集中式設(shè)備發(fā)送注冊(cè)信息��,在成功注冊(cè)之后,集中式設(shè)備 的內(nèi)核通過(guò)Netlink套接口將AP信息發(fā)送至認(rèn)證和密鑰協(xié)商模塊�����。(3) STA接入網(wǎng)絡(luò)�����,與集中設(shè)備先后進(jìn)行開(kāi)放系統(tǒng)認(rèn)證�、關(guān)聯(lián),關(guān)聯(lián)過(guò)程中STA 與集中設(shè)備完成認(rèn)證和加密方式的協(xié)商����,即安全能力協(xié)商。該過(guò)程AP需 要將關(guān)聯(lián)請(qǐng)求幀通過(guò)GRE隧道轉(zhuǎn)發(fā)給集中設(shè)備���,成功之后內(nèi)核通過(guò) netlink套接口將STA的MAC地址��、認(rèn)證和加密方式等信息發(fā)送至認(rèn)證和 密鑰協(xié)商模塊����。此時(shí)在認(rèn)證和密鑰協(xié)商模塊中己經(jīng)維護(hù)一張與AP相關(guān)的 鏈表��,里面存放了AP的MAC�、及其RSN參數(shù)等相關(guān)信息�。同時(shí)也有了一 張與其關(guān)聯(lián)的STA相關(guān)的鏈表�,其中存放了STA的MAC ,及其RSN參數(shù) 等相關(guān)信息��。至此安全能力協(xié)商階段完成��。(4) 進(jìn)入802. IX認(rèn)證階段����,STA發(fā)送EAP0L開(kāi)始消息��,引發(fā)802. IX雙向認(rèn) 證(也可以由集中式設(shè)備直接發(fā)送EAPOL身份請(qǐng)求消息引發(fā)認(rèn)證)����。此時(shí) 集中式設(shè)備在STA與RADIUS服務(wù)器之間負(fù)責(zé)EAP消息的傳遞,STA與集 中式設(shè)備之間是EAP0L消息�����,集中式設(shè)備與RADIUS服務(wù)器之間是由 RADIUS協(xié)議承載的EAP消息(在集中式設(shè)備上由認(rèn)證和密鑰協(xié)商模塊解 析�、封裝和處理EAP0L消息,RADIUS客戶端模塊解析�����、封裝和處理RADIUS 消息,兩個(gè)模塊之間通過(guò)本地套接口發(fā)送內(nèi)部消息)(5) 當(dāng)雙向認(rèn)證在STA與RADIUS服務(wù)器之間成功完成之后����,服務(wù)器會(huì)將EAP 認(rèn)證成功消息以及PMK傳遞給集中式設(shè)備,集中式設(shè)備獲得PMK后���,將 該P(yáng)MK緩存到一個(gè)全局的的鏈表中��,該鏈表是一個(gè)存儲(chǔ)有STA的MAC地址���、 PMK和PMKID三元組的鏈表。(這一緩存表也可采用鏈表以外的其它數(shù)據(jù) 結(jié)構(gòu)實(shí)現(xiàn)�����,如采用哈西表的方式實(shí)現(xiàn)��,這是本領(lǐng)域技術(shù)人員容易理解的) 此時(shí)無(wú)線認(rèn)證結(jié)束��,向RADIUS客戶端模塊發(fā)送計(jì)費(fèi)消息給RADIUS服務(wù) 器���,并進(jìn)入密鑰協(xié)商階段�����。(6) 集中式設(shè)備將自己產(chǎn)生的隨機(jī)數(shù)以及MAC地址通過(guò)EAPOL-Key發(fā)送給 STA (即802. lli四次握手消息1)(7) STA發(fā)送四次握手消息2(其中包括STA的MAC地址和STA產(chǎn)生的隨機(jī)數(shù))���, 集中式設(shè)備利用消息中的信息產(chǎn)生PTK��,且由PTK推導(dǎo)出各種所需要的 密鑰���。并發(fā)送包含組播密鑰的消息3(8) STA以消息4最終確認(rèn),四次握手至此完成�。整個(gè)802. IX認(rèn)證密鑰協(xié)商 過(guò)程結(jié)束。(9) 集中式設(shè)備上的認(rèn)證和密鑰協(xié)商模塊下發(fā)PTK等密鑰材料給位于驅(qū)動(dòng)層 的802. 11 High MAC功能單元��,以供內(nèi)核驅(qū)動(dòng)程序加密數(shù)據(jù)(圖4)�����。(10) 最后����,STA發(fā)送加密數(shù)據(jù)給AP, AP使用GRE隧道直接將加密數(shù)據(jù)發(fā)送給 集中設(shè)備���,集中式設(shè)備中的802.11 HighMAC模塊使用一定加密算法(如TKIP或CCMP)和PTK對(duì)STA數(shù)據(jù)解密并轉(zhuǎn)發(fā)至目的地址�。 上述過(guò)程為STA首次接入認(rèn)證的過(guò)程��,當(dāng)STA己經(jīng)完成首次接入并發(fā)生切換 時(shí)的過(guò)程如下(圖3):(1) 當(dāng)STA要從原始AP移動(dòng)到新的AP的時(shí)候,與集中式設(shè)備上的High MAC 功能單元進(jìn)行重新關(guān)聯(lián)����,關(guān)聯(lián)請(qǐng)求幀攜帶著前一次認(rèn)證協(xié)商得到的 PMKID。集中式設(shè)備提取PMKID與本地的PMKID緩存表比較�����,發(fā)現(xiàn)對(duì)應(yīng)的 PMK已經(jīng)存在�,于是觸發(fā)二層切換的密鑰協(xié)商過(guò)程;(2) 觸發(fā)二層切換的集中式設(shè)備在與STA完成無(wú)線關(guān)聯(lián)之后直接發(fā)送四次握 手的第一個(gè)消息����,收到四次握手消息的客戶端于是也進(jìn)入四次握手?���?蛻?端和集中式設(shè)備利用第一次協(xié)商的PMK協(xié)商出全新的PTK;(3) 集中式設(shè)備上的認(rèn)證和密鑰協(xié)商模塊下發(fā)PTK等密鑰材料給位于驅(qū)動(dòng)層 的802. 11 High MAC功能單元,以供內(nèi)核驅(qū)動(dòng)程序加密數(shù)據(jù)(圖4)��。(4) 最后�,STA發(fā)送加密數(shù)據(jù)給新的AP,新的AP使用GRE隧道直接將加密數(shù) 據(jù)發(fā)送給集中設(shè)備�,集中式設(shè)備中的802. 11 High MAC模塊使用一定加密 算法(如TKIP或CCMP)和新的PTK對(duì)STA數(shù)據(jù)解密并轉(zhuǎn)發(fā)至目的地址。試驗(yàn)數(shù)據(jù)按圖4拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)搭建試驗(yàn)床進(jìn)行試驗(yàn),結(jié)果如下 第一次整個(gè)認(rèn)證和協(xié)商過(guò)程總共需要傳輸了 33個(gè)報(bào)文���,包括了 2個(gè)設(shè)備認(rèn)證��,2個(gè)無(wú)線關(guān)聯(lián)幀���,4個(gè)密鑰協(xié)商幀,剩下的全部為用戶認(rèn)證數(shù)據(jù)�,經(jīng)歷了約 400毫秒,這意味著只要客戶接入網(wǎng)絡(luò)就需要接近400毫秒的消耗��。如果客戶是 第一次接入網(wǎng)絡(luò)這個(gè)過(guò)程是必須的����,然而如果客戶通過(guò)認(rèn)證后在網(wǎng)內(nèi)移動(dòng)還需要 這種反復(fù)的認(rèn)證,這樣的延遲就是不能接受的���,這400毫秒時(shí)間這對(duì)普通人雖然 是轉(zhuǎn)瞬即逝,但是對(duì)于QoS要求高的應(yīng)用�,如VoIP業(yè)務(wù),用戶就可以明顯的感 覺(jué)到語(yǔ)音的中斷���。切換過(guò)程的認(rèn)證和密鑰協(xié)商試驗(yàn)�����。對(duì)于非集中式架構(gòu)的方案��,切換過(guò)程的接 入與第一次接入一樣需要花費(fèi)400毫秒����。而使用本發(fā)明的方案,切換過(guò)程只需要 傳輸8個(gè)報(bào)文��,消耗大約80毫秒�����,極大的提高了切換速度�。
權(quán)利要求
1、一種802.11i密鑰管理方法�����,基于采用802.11分離MAC方案的系統(tǒng)構(gòu)架實(shí)現(xiàn)��,STA通過(guò)分離MAC構(gòu)架中的集中式設(shè)備完成主密鑰協(xié)商��;在獲得主密鑰后�����,STA與所述集中式設(shè)備進(jìn)一步協(xié)商,獲得用于業(yè)務(wù)流加密的密鑰��;STA利用用于業(yè)務(wù)流加密的密鑰給數(shù)據(jù)加密�。
2、 按權(quán)利要求1所述的密鑰管理方法���,其特征在于���,該密鑰管理方法包括 如下步驟1) 安全能力協(xié)商階段:STA與集中式設(shè)備之間完成安全能力協(xié)商;2) IEEE802. 1X認(rèn)證階段STA通過(guò)集中式設(shè)備與認(rèn)證服務(wù)器進(jìn)行消息交互����, 完成雙向認(rèn)證和主密鑰的協(xié)商;3) 密鑰協(xié)商階段:集中式設(shè)備獲得主密鑰后��,與STA進(jìn)一步協(xié)商,得到用于 業(yè)務(wù)流加密的密鑰�;4) 傳輸數(shù)據(jù)轉(zhuǎn)發(fā)保護(hù):STA利用用于業(yè)務(wù)流加密的密鑰給數(shù)據(jù)加密,然后將 加密數(shù)據(jù)發(fā)送給集中式設(shè)備�����,集中式設(shè)備將其解密并轉(zhuǎn)發(fā)給目的地址����。
3、 按權(quán)利要求2所述的密鑰管理方法�����,其特征在于�����,所述步驟3)中��,所 述集中式設(shè)備與STA的進(jìn)一步協(xié)商是通過(guò)四次握手過(guò)程實(shí)現(xiàn)����。
4、 按權(quán)利要求2所述的密鑰管理方法�����,其特征在于�����,所述步驟3)中�,所 述集中式設(shè)備獲得主密鑰后���,還將該主密鑰緩存到一個(gè)數(shù)據(jù)結(jié)構(gòu)變量中,該數(shù)據(jù) 結(jié)構(gòu)變量存儲(chǔ)有每個(gè)STA的MAC地址�����、主密鑰和主密鑰標(biāo)識(shí)���,形成主密鑰索引表��。
5����、 按權(quán)利要求4所述的密鑰管理方法�,其特征在于,所述數(shù)據(jù)結(jié)構(gòu)變量是 鏈表����。
6、 按權(quán)利要求2所述的密鑰管理方法�,其特征在于,所述認(rèn)證服務(wù)器是 RADIUS服務(wù)器���。
7��、 按權(quán)利要求2所述的密鑰管理方法���,其特征在于,所述步驟4)中采用 TKIP或CCMP加密算法對(duì)數(shù)據(jù)進(jìn)行加密���。
8�、 按權(quán)利要求2所述的密鑰管理方法�����,其特征在于�����,當(dāng)STA發(fā)生二層切換 時(shí)�,集中式設(shè)備根據(jù)STA提供的主密鑰標(biāo)識(shí)查找主密鑰索引表,如果在主密鑰索 引表中找到相應(yīng)的匹配項(xiàng)目����,則集中式設(shè)備直接與STA進(jìn)一步協(xié)商,得到用于業(yè) 務(wù)流加密的密鑰���。
9��、 按權(quán)利要求2所述的密鑰管理方法�����,其特征在于�����,當(dāng)STA發(fā)生二層切換 時(shí)�����,密鑰管理方法包括如下步驟21) STA切換到新的AP上時(shí)�����,與集中式設(shè)備進(jìn)行重新關(guān)聯(lián)��,關(guān)聯(lián)請(qǐng)求幀攜帶 著前一次認(rèn)證協(xié)商得到的主密鑰標(biāo)識(shí)����;22) 集中式設(shè)備按STA發(fā)送的主密鑰標(biāo)識(shí)査找本地的主密鑰索引表;如果在 主密鑰索引表中找到相應(yīng)的匹配項(xiàng)目�,則發(fā)起802.11i四次握手過(guò)程,得到 新的用于業(yè)務(wù)流加密的密鑰����;23) STA利用新的用于業(yè)務(wù)流加密的密鑰給數(shù)據(jù)加密,然后將加密數(shù)據(jù)發(fā)送 給集中式設(shè)備��,集中式設(shè)備將其解密并轉(zhuǎn)發(fā)給目的地址。
10����、 按權(quán)利要求2或9所述的密鑰管理方法����,其特征在于����,所述主密鑰是 PMK密鑰�,所述用于業(yè)務(wù)流加密的密鑰是PTK密鑰����。
全文摘要
本發(fā)明涉及一種802.11i密鑰管理方法���,基于采用802.11分離MAC方案的系統(tǒng)構(gòu)架實(shí)現(xiàn),STA通過(guò)分離MAC構(gòu)架中的集中式設(shè)備完成主密鑰協(xié)商���;在獲得主密鑰后,STA與所述集中式設(shè)備進(jìn)一步協(xié)商�����,獲得用于業(yè)務(wù)流加密的密鑰;STA利用用于業(yè)務(wù)流加密的密鑰給數(shù)據(jù)加密�。本發(fā)明基于分離MAC的802.11i密鑰管理方案簡(jiǎn)化了STA發(fā)生二層切換時(shí)的接入認(rèn)證和密鑰協(xié)商過(guò)程����,從而減少了整個(gè)二層切換的時(shí)延��。本發(fā)明的認(rèn)證處理以及數(shù)據(jù)加密的兩個(gè)端點(diǎn)位于STA與集中設(shè)備上,可以有效的防止黑客通過(guò)替換AP等物理手段達(dá)到訪問(wèn)網(wǎng)絡(luò)的目的��。另外�,本發(fā)明還便于升級(jí)���,并減少了升級(jí)的成本����。
文檔編號(hào)H04L9/32GK101335621SQ20071011795
公開(kāi)日2008年12月31日 申請(qǐng)日期2007年6月26日 優(yōu)先權(quán)日2007年6月26日
發(fā)明者暉 唐, 鼎 唐, 濤 林, 譚紅艷, 趙志軍 申請(qǐng)人:中國(guó)科學(xué)院聲學(xué)研究所