專利名稱:基于無線局域網(wǎng)安全標(biāo)準(zhǔn)wapi的無線交換網(wǎng)絡(luò)重認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線網(wǎng)絡(luò)安全的應(yīng)用方法�����,具體涉及無線網(wǎng)狀網(wǎng)絡(luò)中無線局域網(wǎng)安全標(biāo)準(zhǔn)WAPI(WLAN Authentication and Privacy Infrastructure�,無線局域網(wǎng)鑒別和保密基礎(chǔ)架構(gòu))的應(yīng)用方法。
背景技術(shù):
未來10到15年�,隨著無線和移動設(shè)備數(shù)量的激增,無線技術(shù)將會對下一代互聯(lián)網(wǎng)絡(luò)的發(fā)展產(chǎn)生重大影響��。無線環(huán)境下各種新型實時流媒體應(yīng)用對網(wǎng)絡(luò)漫游切換能力提出了全新的要求�,研究發(fā)現(xiàn),重認(rèn)證時延是影響漫游切換延時的關(guān)鍵因素��,因此在應(yīng)用無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)WAPI的無線網(wǎng)絡(luò)中���,提出采用預(yù)鑒別的機制來解決用戶快速移動切換的問題�����。但是這種預(yù)鑒別方法效率低��、不適合應(yīng)用在大規(guī)模無線網(wǎng)絡(luò)�����,特別是難以有效的應(yīng)用于大規(guī)模無線交換網(wǎng)絡(luò)(Wireless Switching Networks)中����。
在無線交換網(wǎng)絡(luò)中,無線交換機集中實現(xiàn)了鏈路層的功能����,訪問接入點AP(Access point)只是實現(xiàn)無線電波的收發(fā)功能。除了一些基本信息����,例如AP的編號�����、IP地址��、缺省網(wǎng)關(guān)���、無線交換機地址等參數(shù)之外�����,AP本身不再儲存任何無線網(wǎng)絡(luò)的配置信息�。AP在啟動的時候會從交換機下載啟動腳本和無線電波的配置參數(shù),這些啟動腳本和配置參數(shù)并不儲存在AP上��。這種架構(gòu)下的AP與傳統(tǒng)的AP完全不同��,不能夠單獨使用���。無線交換架構(gòu)有非常好的擴(kuò)展性����,如果需要增加新的功能����,可以通過升級交換機的軟件來實現(xiàn),而無須對部署的每一個AP進(jìn)行升級�。無線交換架構(gòu)另一大特點是AP和無線交換機之間通過某種隧道進(jìn)行通信,所有進(jìn)入AP的無線數(shù)據(jù)都是通過隧道傳輸?shù)浇粨Q機上進(jìn)行處理�����。即使AP和交換機不在同一個局域網(wǎng)內(nèi)部��,遠(yuǎn)端的AP只須預(yù)設(shè)相應(yīng)的隧道參數(shù)就可以與無線交換機通過Internet互連。簡而言之�����,無線交換網(wǎng)絡(luò)的特點是將無線電波的收發(fā)功能和無線網(wǎng)絡(luò)的鏈路層功能分別在AP和無線交換機上實現(xiàn)��,用以解決無線組網(wǎng)中的一些缺陷��。
根據(jù)現(xiàn)有WAPI標(biāo)準(zhǔn)�,當(dāng)終端STA(Station)從一個無線接入點AP切換到另一個AP上時,需要再次進(jìn)行STA和新AP的證書鑒別和密鑰協(xié)商過程�����,從而導(dǎo)致STA在兩個AP間重認(rèn)證時延過長�,影響漫游切換性能。為此��,現(xiàn)有WAPI標(biāo)準(zhǔn)提出預(yù)鑒別機制來解決這一問題漫游前���,STA通過當(dāng)前連接的AP進(jìn)行證書預(yù)鑒別過程,并生成基密鑰�����,分別存儲在STA和將要漫游的AP中;當(dāng)STA漫游到新AP上時�����,如果之前的預(yù)鑒別通過��,STA和AP則直接進(jìn)行單播密鑰的協(xié)商和組播密鑰的通告過程����,不用再次進(jìn)行WAPI證書鑒別過程。
然而��,通過分析發(fā)現(xiàn)WAPI預(yù)鑒別過程存在以下問題(1)需當(dāng)STA和所連接AP完成單播會話密鑰的協(xié)商并安裝密鑰之后才可啟動預(yù)鑒別過程����,因此需要占用STA和所連接AP已經(jīng)建立好的通信信道,影響AP和STA之間正常的數(shù)據(jù)通信����;(2)預(yù)鑒別過程中,由STA所連接AP來發(fā)現(xiàn)周圍的AP���,然后對其進(jìn)行預(yù)鑒別�。這種方法會受到發(fā)現(xiàn)機制的影響��,造成預(yù)鑒別的AP不是STA將要移動的目標(biāo)AP。若采用其他發(fā)現(xiàn)機制���,則會增加STA和AP的開銷�����;(3)預(yù)鑒別完成后�,在STA端會生成一個基密鑰的列表���。在大規(guī)模網(wǎng)絡(luò)中����,STA生成和維護(hù)這個列表會很復(fù)雜��,從而增加STA端的負(fù)擔(dān)���;(4)在大規(guī)模無線網(wǎng)絡(luò)中����,預(yù)鑒別方法滿足不了用戶的快速移動需求�,不利于網(wǎng)絡(luò)進(jìn)一步擴(kuò)展����。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種無線交換網(wǎng)絡(luò)中應(yīng)用WAPI機制的方法��,使用該方法可以減少WAPI機制應(yīng)用于無線交換網(wǎng)絡(luò)時的漫游切換重認(rèn)證時延�����,提高無線交換網(wǎng)絡(luò)中WAPI機制的應(yīng)用效率���。
本發(fā)明的特征在于,依次含有以下步驟步驟(1)把終端首次連接到無線交換網(wǎng)絡(luò)步驟(1.1)終端和所連接的無線接入點AP1按照WAPI規(guī)定的鑒別過程完成證書鑒別和密鑰協(xié)商�,在該終端和所連接的無線接入點AP1分別生成對應(yīng)的基密鑰和包括單播會話密鑰以及組播會話密鑰在內(nèi)的會話密鑰;步驟(1.2)步驟(1.1)中所述的無線接入點AP1把基密鑰標(biāo)識以及會話密鑰轉(zhuǎn)發(fā)給無線交換機處理�,所述基密鑰標(biāo)識至少包括基礎(chǔ)密鑰標(biāo)識,標(biāo)識了基密鑰安全關(guān)聯(lián)����;所連接終端的無線局域網(wǎng)媒體訪問控制MAC地址;該無線接入點AP1的無線局域網(wǎng)媒體訪問控制MAC地址�����;基礎(chǔ)密鑰�;生存期;步驟(1.3)步驟(1.2)中所連的無線交換機把收到的基密鑰標(biāo)識與會話密鑰綁定���,生成一個相互一一對應(yīng)的列表�,緩存;步驟(1.4)步驟(1.1)中所述的終端和無線接入點AP1各自打開受控端口����,準(zhǔn)備進(jìn)行終端在無線交換網(wǎng)絡(luò)中的通信;步驟(2)所述終端在無線交換網(wǎng)絡(luò)中移動時重新進(jìn)行連接步驟(2.1)所述終端漫游到網(wǎng)絡(luò)中其它無線接入點AP2時�,按WAPI標(biāo)準(zhǔn)向該AP2發(fā)送探尋請求;該AP2同時按WAPI標(biāo)準(zhǔn)向該終端發(fā)送探尋響應(yīng)��;步驟(2.2)該終端向所述AP2發(fā)送鏈路驗證請求�����,所述AP2向該終端發(fā)送鏈路驗證響應(yīng)�;
步驟(2.3)終端按WAPI標(biāo)準(zhǔn)鑒別機制的規(guī)定,向該AP2發(fā)送關(guān)聯(lián)請求��,其中包括下述WAPI信息元素已生成的基密鑰����;能力信息字段,為1�����,表明已經(jīng)進(jìn)行預(yù)鑒別緩存�����;基密鑰列表字段�����,為同上一個無線接入點AP1過去生成的基密鑰信息����;步驟(2.4)在所述AP2收到步驟(2.3)中所述的關(guān)聯(lián)請求后,按以下步驟處理步驟(2.4.1)向無線交換機發(fā)送鑒別請求分組�����,其中包括標(biāo)識��,表示該AP2向無線交換機發(fā)送基礎(chǔ)密鑰信息����;鑒別標(biāo)識,用隨機方法生成���,表示請求鑒別���;該AP2的MAC地址�;終端的MAC地址�;終端發(fā)送給當(dāng)前無線接入點AP2的基密鑰標(biāo)識;步驟(2.4.2)無線交換機收到步驟(2.4.1)中所述的鑒別請求后�,將其中的基密鑰標(biāo)識與緩存的基密鑰標(biāo)識對比,若存在��,則向該AP2返回鑒別響應(yīng)分組���,其中包括標(biāo)識���,表示無線交換機向所述AP2發(fā)送會話密鑰信息;鑒別標(biāo)識��,其值與步驟(2.4.1)所述鑒別請求分組中鑒別標(biāo)識字段值相同���;該AP2的MAC地址�;終端的MAC地址����;長度可變的會話密鑰信息,包括無線交換機中緩存的與基密鑰標(biāo)識對應(yīng)的會話密鑰;若無線交換機中無對應(yīng)的基礎(chǔ)密鑰標(biāo)識�,則會話密鑰信息為0,無論是何種情況��,都返回該鑒別響應(yīng)分組�;步驟(2.4.3)該AP2收到步驟(2.4.2)中所述的鑒別響應(yīng)分組后��,做以下處理先從該響應(yīng)分組中取出密鑰信息�����,按WAPI規(guī)定安裝會話密鑰����;再把受控端口打開,向終端發(fā)送按照WAPI標(biāo)準(zhǔn)生成的關(guān)聯(lián)響應(yīng)分組����;若會話密鑰字段為空,則執(zhí)行步驟(2.4.5)��;步驟(2.4.4)終端收到步驟(2.4.3)中所述的關(guān)聯(lián)響應(yīng)分組后���,與該AP2通信��;步驟(2.4.5)重新按WAPI標(biāo)準(zhǔn)進(jìn)行認(rèn)證����。
本發(fā)明對原有WAPI機制的改進(jìn),是在完成首次WAPI鑒別之后�����,將STA和AP生成的會話密鑰在無線交換機中進(jìn)行緩存�����,緩存的方式是將STA和所連接AP生成的基密鑰標(biāo)識與會話密鑰綁定��,也就是一個基密鑰標(biāo)識對應(yīng)一組會話密鑰��。當(dāng)STA漫游到網(wǎng)絡(luò)中其它AP上時�,在發(fā)送的關(guān)聯(lián)請求中包含WAPI信息,其中包含之前生成的基密鑰信息��。AP收到關(guān)聯(lián)請求后����,將其中包含的基密鑰信息發(fā)送到無線交換機中進(jìn)行對比,若無線交換機中緩存有對應(yīng)的基密鑰信息��,且在有效期內(nèi),則將與之綁定的會話密鑰發(fā)送給AP����。AP收到密鑰后啟動原語安裝會話密鑰,并將AP上受控端口置打開����。由于之前STA擁有這個會話密鑰,且在密鑰更新之前不會將它刪除���,所以此時STA和AP擁有相同的會話密鑰,且受控端口都已經(jīng)打開���,此時允許通信數(shù)據(jù)利用STA和AP擁有的單播或組播密鑰進(jìn)行保護(hù)傳輸�����,進(jìn)行WAPI加密保護(hù)下的數(shù)據(jù)通信過程���。
本發(fā)明針對無線交換網(wǎng)絡(luò)結(jié)構(gòu)特點,提出一套完整的無線交換網(wǎng)絡(luò)WAPI應(yīng)用機制��,與現(xiàn)有WAPI預(yù)鑒別機制相比具有以下優(yōu)勢(1)利用無線交換機對預(yù)鑒別緩存的方法���,在不改變原有WAPI認(rèn)證結(jié)構(gòu)情況下����,本發(fā)明的應(yīng)用使得STA在無線交換機管理下的任何一個AP上完成WAPI鑒別過程和密鑰協(xié)商過程后,漫游到無線交換機管理的其它AP上時不用再次進(jìn)行WAPI鑒別過程和密鑰協(xié)商過程�,大大縮短了STA在不同AP間切換的延遲時間。
(2)與原有預(yù)鑒別機制相比�,本發(fā)明的應(yīng)用可以實現(xiàn)在更大范圍內(nèi)STA的快速移動�����。
(3)本發(fā)明沒有增加STA的負(fù)擔(dān)�����,整個過程對于STA完全透明���。使得在減少WAPI AP和STA負(fù)擔(dān)的同時,以較短的時間完成了WAPI重新認(rèn)證的過程�。
(4)本發(fā)明適合應(yīng)用于大規(guī)模無線網(wǎng)絡(luò),有利于無線交換網(wǎng)絡(luò)大規(guī)模的擴(kuò)展��。
圖1STA首次連接到無線網(wǎng)絡(luò)中認(rèn)證過程流程圖�。
圖2基于預(yù)鑒別緩存機制的重新連接過程流程圖。
圖3鑒別請求分組數(shù)據(jù)字段格式示意圖標(biāo)識字段��,修改其中比特7(保留字段)的值為0,表示AP向無線交換機發(fā)送基礎(chǔ)密鑰信息過程�����;鑒別標(biāo)識�����,若標(biāo)識字段比特值第7位為0����,其值用隨機生成數(shù)生成算法生成;AP MAC(無線局域網(wǎng)媒體訪問控制)地址�����,長度為12個八位位組�����;STA MAC地址��,長度為12個八位位組�;基密鑰標(biāo)識BKID���,表示STA的基密鑰信息����,其值計算同現(xiàn)有WAPI標(biāo)準(zhǔn)一致。
圖4鑒別響應(yīng)分組數(shù)據(jù)字段格式示意圖標(biāo)識字段�����,同現(xiàn)有WAPI標(biāo)準(zhǔn)中定義一致���,其中比特值第7位(保留字段)為1���,表示無線交換機向AP發(fā)送會話密鑰信息過程;鑒別標(biāo)識����,若標(biāo)識字段比特7值為1,其值同鑒別請求分組中鑒別標(biāo)識字段值相同����;AP MAC地址,長度為12個八位位組�����;STA MAC地址,長度為12個八位位組�����;會話密鑰信息���,長度可變���,內(nèi)容包括無線交換機中緩存的與基密鑰標(biāo)識對應(yīng)的單播會話密鑰和組播會話密鑰。
圖5無線交換網(wǎng)絡(luò)中WAPI應(yīng)用結(jié)構(gòu)示意圖�。
具體實施例方式
下面結(jié)合附圖對本發(fā)明作進(jìn)一步詳細(xì)的描述。
在本應(yīng)用方法中利用無線交換機將之前的密鑰信息進(jìn)行緩存�����,當(dāng)STA到新的AP上時��,利用之前的這個密鑰信息完成快速的連接�,以適應(yīng)實時流媒體應(yīng)用對網(wǎng)絡(luò)所支持的移動性能的要求���。在完成切換的一段時間之后�,可以啟動現(xiàn)有WAPI標(biāo)準(zhǔn)密鑰更新過程���,在STA和AP之間協(xié)商出新基密鑰和會話密鑰�����。
基于預(yù)鑒別緩存機制的無線交換網(wǎng)絡(luò)WAPI應(yīng)用機制過程如下第一階段���,STA首次連接到無線交換網(wǎng)絡(luò)的過程���。
圖1為STA首次連接到無線交換網(wǎng)絡(luò)中認(rèn)證過程流程圖。具體步驟如下步驟1按照現(xiàn)有WAPI標(biāo)準(zhǔn)規(guī)定的鑒別過程完成證書鑒別和密鑰協(xié)商過程流程�����。在STA和AP上分別生了對應(yīng)的基礎(chǔ)密鑰���,單播會話密鑰以及組播會話密鑰(在本發(fā)明中統(tǒng)稱為會話密鑰)����。
步驟2本發(fā)明對于現(xiàn)有WAPI標(biāo)準(zhǔn)的改進(jìn)是��,在完成步驟1后���,由STA所連接的AP將生成的基密鑰標(biāo)識以及會話密鑰轉(zhuǎn)發(fā)給無線交換機進(jìn)行處理�����,具體處理過程見步驟3���。其中的基密鑰標(biāo)識同現(xiàn)有WAPI標(biāo)準(zhǔn)中定義的基密鑰標(biāo)識一致��,是基密鑰安全關(guān)聯(lián)的標(biāo)識�����,在證書鑒別過程完成后得到的結(jié)果��,在STA和AP中創(chuàng)建�����,包括以下內(nèi)容1)基密鑰標(biāo)識��,標(biāo)識基密鑰安全關(guān)聯(lián)���;2)STA的MAC(無線局域網(wǎng)媒體訪問控制)地址���;3)AP的MAC地址����;4)基礎(chǔ)密鑰;5)生存期�;6)其它安全參數(shù)。
步驟3無線交換機將收到的基密鑰標(biāo)識和會話密鑰綁定進(jìn)行緩存��,在無線交換機中生成一個列表���,通過這個列表將將基密鑰標(biāo)識與會話密鑰一一對應(yīng)��。
完成上述過程后�����,STA和AP雙方打開受控端口���,允許通信數(shù)據(jù)利用協(xié)商的單播或組播密鑰進(jìn)行保護(hù)傳輸。按照現(xiàn)有WAPI標(biāo)準(zhǔn)��,進(jìn)行STA在無線交換網(wǎng)絡(luò)中的通信過程�����。
第二階段,STA在無線交換網(wǎng)絡(luò)中移動時重新連接的過程����。
圖2為基于預(yù)鑒別緩存機制的重新連接過程流程圖。當(dāng)STA發(fā)生移動��,漫游到網(wǎng)絡(luò)中其它AP下時�����,重新建立物理連接過程如下步驟1按照現(xiàn)有WAPI標(biāo)準(zhǔn)規(guī)定�,STA向AP發(fā)送探尋請求。
步驟2按照現(xiàn)有WAPI標(biāo)準(zhǔn)規(guī)定���,AP向STA發(fā)送探尋響應(yīng)��。
步驟3按照現(xiàn)有WAPI標(biāo)準(zhǔn)規(guī)定����,STA向AP發(fā)送鏈路驗證請求��。
步驟4按照現(xiàn)有WAPI標(biāo)準(zhǔn)規(guī)定�,AP向STA發(fā)送鏈路驗證響應(yīng)。
步驟5按照現(xiàn)有WAPI標(biāo)準(zhǔn)預(yù)鑒別機制規(guī)定�,STA向AP發(fā)送關(guān)聯(lián)請求���,其中包括WAPI信息元素�,其中包含之前生成的基密鑰的信息。其中WAPI能力信息字段值設(shè)為1����,表明之前已經(jīng)進(jìn)行了預(yù)鑒別緩存?��;荑€列表字段為同上個連接AP生成的基密鑰信息��。
步驟6在AP收到STA的關(guān)聯(lián)請求后����,本發(fā)明對于現(xiàn)有WAPI標(biāo)準(zhǔn)的改進(jìn)是進(jìn)行如下處理a)向無線交換機發(fā)送鑒別請求分組�����,分組內(nèi)容包含STA之前的基密鑰標(biāo)識信息�,圖3所示為在本發(fā)明中定義鑒別請求分組數(shù)據(jù)字段格式。b)無線交換機收到鑒別請求后�,與緩存的基密鑰標(biāo)識進(jìn)行對比,若存在�����,則返回鑒別響應(yīng)分組給AP,圖4所示為在本發(fā)明中鑒別響應(yīng)分組數(shù)據(jù)字段格式�,分組內(nèi)容包含基密鑰標(biāo)識對應(yīng)的會話密鑰。若無線交換機中沒有緩存對應(yīng)的基礎(chǔ)密鑰��,則返回鑒別響應(yīng)分組中會話密鑰信息字段為空�。c)AP收到響應(yīng)分組后進(jìn)行如下處理驗證鑒別響應(yīng)分組中的會話密鑰信息字段是否為空。若不為空����,則取出其中的會話密鑰信息,并按照現(xiàn)有WAPI標(biāo)準(zhǔn)規(guī)定安裝會話密鑰���,包括單播會話密鑰和組播會話密鑰�����。并將AP中受控端口置為ON�����,并發(fā)送關(guān)聯(lián)響應(yīng)分組給STA���,關(guān)聯(lián)響應(yīng)分組格式同現(xiàn)有WAPI標(biāo)準(zhǔn)中定義的格式一致�。若會話密鑰信息字段為空����,則執(zhí)行步驟8。
步驟7STA收到AP發(fā)送的關(guān)聯(lián)響應(yīng)分組��。此時���,STA和AP雙方受控端口均已經(jīng)打開,允許通信數(shù)據(jù)利用協(xié)商的單播或組播密鑰按照現(xiàn)有WAPI標(biāo)準(zhǔn)規(guī)定進(jìn)行保護(hù)傳輸��。
步驟8若在步驟6中AP得到的鑒別響應(yīng)分組中會話密鑰信息字段為空����,即在無線交換機中沒有緩存相對應(yīng)的基密鑰標(biāo)識,此時WAPI AP中的受控端口仍然處于關(guān)閉狀態(tài)����,下一步則按照現(xiàn)有WAPI標(biāo)準(zhǔn)規(guī)定的鑒別機制進(jìn)行,在完成物理連接后需要進(jìn)行完整的WAPI認(rèn)證過程���。
完成上述過程后�����,STA和AP之間重新建立了連接�����,進(jìn)行WAPI加密保護(hù)下的數(shù)據(jù)通信過程��。圖5為無線交換網(wǎng)絡(luò)中WAPI應(yīng)用結(jié)構(gòu)示意圖���。
權(quán)利要求
1.基于無線局域網(wǎng)安全標(biāo)準(zhǔn)WAPI的無線交換網(wǎng)絡(luò)重認(rèn)證方法�����,其特征在于�����,依次含有以下步驟步驟(1)把終端首次連接到無線交換網(wǎng)絡(luò)步驟(1.1)終端和所連接的無線接入點AP1按照WAPI規(guī)定的鑒別過程完成證書鑒別和密鑰協(xié)商���,在該終端和所連接的無線接入點AP1分別生成對應(yīng)的基密鑰和包括單播會話密鑰以及組播會話密鑰在內(nèi)的會話密鑰;步驟(1.2)步驟(1.1)中所述的無線接入點AP1把基密鑰標(biāo)識以及會話密鑰轉(zhuǎn)發(fā)給無線交換機處理�,所述基密鑰標(biāo)識至少包括基礎(chǔ)密鑰標(biāo)識,標(biāo)識了基密鑰安全關(guān)聯(lián)��;所連接終端的無線局域網(wǎng)媒體訪問控制MAC地址���;該無線接入點AP1的無線局域網(wǎng)媒體訪問控制MAC地址���;基礎(chǔ)密鑰�����;生存期�;步驟(1.3)步驟(1.2)中所連的無線交換機把收到的基密鑰標(biāo)識與會話密鑰綁定����,生成一個相互一一對應(yīng)的列表���,緩存��;步驟(1.4)步驟(1.1)中所述的終端和無線接入點AP1各自打開受控端口�����,準(zhǔn)備進(jìn)行終端在無線交換網(wǎng)絡(luò)中的通信���;步驟(2)所述終端在無線交換網(wǎng)絡(luò)中移動時重新進(jìn)行連接步驟(2.1)所述終端漫游到網(wǎng)絡(luò)中其它無線接入點AP2時,按WAPI標(biāo)準(zhǔn)向該AP2發(fā)送探尋請求�;該AP2同時按WAPI標(biāo)準(zhǔn)向該終端發(fā)送探尋響應(yīng)�;步驟(2.2)該終端向所述AP2發(fā)送鏈路驗證請求�����,所述AP2向該終端發(fā)送鏈路驗證響應(yīng)����;步驟(2.3)終端按WAPI標(biāo)準(zhǔn)鑒別機制的規(guī)定,向該AP2發(fā)送關(guān)聯(lián)請求���,其中包括下述WAPI信息元素已生成的基密鑰�;能力信息字段�����,為1���,表明已經(jīng)進(jìn)行預(yù)鑒別緩存��;基密鑰列表字段�����,為同上一個無線接入點AP1過去生成的基密鑰信息����;步驟(2.4)在所述AP2收到步驟(2.3)中所述的關(guān)聯(lián)請求后,按以下步驟處理步驟(2.4.1)向無線交換機發(fā)送鑒別請求分組��,其中包括標(biāo)識�,表示該AP2向無線交換機發(fā)送基礎(chǔ)密鑰信息;鑒別標(biāo)識��,用隨機方法生成���,表示請求鑒別��;該AP2的MAC地址�����;終端的MAC地址;終端發(fā)送給當(dāng)前無線接入點AP2的基密鑰標(biāo)識��;步驟(2.4.2)無線交換機收到步驟(2.4.1)中所述的鑒別請求后��,將其中的基密鑰標(biāo)識與緩存的基密鑰標(biāo)識對比���,若存在���,則向該AP2返回鑒別響應(yīng)分組�����,其中包括標(biāo)識����,表示無線交換機向所述AP2發(fā)送會話密鑰信息�;鑒別標(biāo)識,其值與步驟(2.4.1)所述鑒別請求分組中鑒別標(biāo)識字段值相同�����;該AP2的MAC地址�����;終端的MAC地址����;長度可變的會話密鑰信息,包括無線交換機中緩存的與基密鑰標(biāo)識對應(yīng)的會話密鑰����;若無線交換機中無對應(yīng)的基礎(chǔ)密鑰標(biāo)識�����,則會話密鑰信息為0��,無論是何種情況�,都返回該鑒別響應(yīng)分組���;步驟(2.4.3)該AP2收到步驟(2.4.2)中所述的鑒別響應(yīng)分組后��,做以下處理先從該響應(yīng)分組中取出密鑰信息�����,按WAPI規(guī)定安裝會話密鑰����;再把受控端口打開����,向終端發(fā)送按照WAPI標(biāo)準(zhǔn)生成的關(guān)聯(lián)響應(yīng)分組���;若會話密鑰字段為空���,則執(zhí)行步驟(2.4.5)����;步驟(2.4.4)終端收到步驟(2.4.3)中所述的關(guān)聯(lián)響應(yīng)分組后�,與該AP2通信;步驟(2.4.5)重新按WAPI標(biāo)準(zhǔn)進(jìn)行認(rèn)證����。
全文摘要
基于無線局域網(wǎng)安全標(biāo)準(zhǔn)WAPI的無線交換網(wǎng)絡(luò)重認(rèn)證方法屬于無線網(wǎng)絡(luò)安全領(lǐng)域,其特征在于���,采用WAPI首次鑒別后���,把終端所連接入點生成的基密鑰標(biāo)識和會話密鑰發(fā)送給無線交換機,無線交換機把基密鑰標(biāo)識和會話密鑰列成一一對應(yīng)的列表后緩存����;當(dāng)終端漫游到下一個無線接入點發(fā)送包括基密鑰標(biāo)識的關(guān)聯(lián)請求后,該新接入點發(fā)送包括基密鑰標(biāo)識的鑒別請求��,經(jīng)無線交換機審核存在該基密鑰標(biāo)識后����,向新接入點發(fā)送包括對應(yīng)會話密鑰的響應(yīng)分組��,供新接入點用該會話密鑰分組與終端通信�,若不存在則重新開始認(rèn)證過程���。本發(fā)明縮短了終端在不同接入點間切換的延遲時間���,便于終端在更大范圍內(nèi)進(jìn)行移動,適用于大規(guī)模無線網(wǎng)絡(luò)����。
文檔編號H04L12/28GK101079891SQ20071011892
公開日2007年11月28日 申請日期2007年6月15日 優(yōu)先權(quán)日2007年6月15日
發(fā)明者李賀武, 張鵬, 李風(fēng)華, 陳榮第, 吳建平 申請人:清華大學(xué)