專利名稱:實(shí)現(xiàn)移動(dòng)終端在無線局域網(wǎng)內(nèi)漫游認(rèn)證的方法和接入點(diǎn)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線局域網(wǎng)(Wireless Local Area Network,WLAN)系統(tǒng),尤其涉及一 種實(shí)現(xiàn)移動(dòng)終端在無線局域網(wǎng)內(nèi)漫游認(rèn)證的方法和系統(tǒng)。
背景技術(shù):
隨著無線傳輸技術(shù)的發(fā)展,以及無線設(shè)備的日益增多,無線局域網(wǎng)已經(jīng)成為新一 代的高速接入網(wǎng)絡(luò),但是由于無線局域網(wǎng)傳輸媒介的開放性和共享性,使得所有未授權(quán)的 用戶可以輕松的接入無線局域網(wǎng),從而對無線局域網(wǎng)內(nèi)的用戶的信息進(jìn)行偵聽、篡改和假 冒;同時(shí)無線局域網(wǎng)原有的基于開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證已經(jīng)被證明為不安全的,因 此基于IEEE802. Ili (無線局域網(wǎng)中的認(rèn)證和加密協(xié)議)認(rèn)證加密協(xié)議的無線局域網(wǎng)在未 來的幾年中將會(huì)被大量的部署和應(yīng)用。IEEE802. Ili協(xié)議包括用戶接入的認(rèn)證方式(IEEE802. Ix)、密鑰的產(chǎn)生方式、 密鑰的管理、密鑰的更新幾個(gè)主要的部分。IEEE802. Ili協(xié)議涉及的實(shí)體有移動(dòng)終端 (Station, STA)、無線接入點(diǎn)(Access Point, AP)、認(rèn)證服務(wù)器(RADIUS)三部分,詳見圖 1。其中,無線接入點(diǎn)為移動(dòng)終端提供無線網(wǎng)絡(luò)的接入服務(wù);RADIUS用于驗(yàn)證移動(dòng)終端的 身份;移動(dòng)終端為無線局域網(wǎng)中的終端用戶,通過無線接入點(diǎn)接入到認(rèn)證服務(wù)器之后才能 使用無線局域網(wǎng),其中移動(dòng)終端可以為筆記本電腦、手機(jī)、個(gè)人數(shù)碼助理(PersonalDigital Assistant, PDA)以及其他手持設(shè)備等。圖2所示為移動(dòng)終端接入到采用IEEE802. Ili協(xié)議的無線局域網(wǎng)時(shí)的認(rèn)證和密鑰 協(xié)商過程。當(dāng)移動(dòng)終端接入基于IEEE802. Ili協(xié)議的無線局域網(wǎng)時(shí),需要經(jīng)過無線接入點(diǎn) 向遠(yuǎn)端的認(rèn)證服務(wù)器進(jìn)行IEEE802. Ix身份認(rèn)證,當(dāng)通過身份認(rèn)證之后移動(dòng)終端和認(rèn)證服 務(wù)器各自生成了會(huì)話主密鑰,然后認(rèn)證服務(wù)器將會(huì)話主密鑰分發(fā)給移動(dòng)終端關(guān)聯(lián)的無線接 入點(diǎn),從而使得移動(dòng)終端和無線接入點(diǎn)之間可以進(jìn)行4次握手(即圖中的信息1、信息2、信 息3和信息4所指示的信令)生成臨時(shí)的會(huì)話密鑰用于通信。IEEE802. Ili協(xié)議的認(rèn)證加密協(xié)議雖然提高了無線局域網(wǎng)的安全性,但是由于認(rèn) 證服務(wù)器一般位于廣域網(wǎng)中,且認(rèn)證協(xié)議交互比基于開放系統(tǒng)和共享密鑰的方式更加復(fù) 雜,因此移動(dòng)終端通過無線接入點(diǎn)和認(rèn)證服務(wù)器之間的認(rèn)證交互的延遲會(huì)比基于開放系統(tǒng) 和共享密鑰這兩種認(rèn)證方式要大的多。而且,當(dāng)移動(dòng)終端的移動(dòng)超出了它所關(guān)聯(lián)的無線接 入點(diǎn)的覆蓋范圍而需要切換到另外一個(gè)無線接入點(diǎn)進(jìn)行通信時(shí),移動(dòng)終端就需要重新向認(rèn) 證服務(wù)器進(jìn)行身份認(rèn)證,生成新的會(huì)話主密鑰和會(huì)話臨時(shí)密鑰。因此,采用IEEE802. Ili協(xié) 議認(rèn)證加密協(xié)議的無線局域網(wǎng)存在著以下的問題1.當(dāng)移動(dòng)終端正在進(jìn)行實(shí)時(shí)通信的會(huì)話時(shí),移動(dòng)終端在AP之間的切換就會(huì)由于 重新的身份認(rèn)證而產(chǎn)生更大的時(shí)延,從而影響實(shí)時(shí)通信質(zhì)量;2.當(dāng)移動(dòng)終端頻繁的移動(dòng)時(shí),每次切換時(shí)移動(dòng)終端都會(huì)向遠(yuǎn)端的認(rèn)證服務(wù)器請求 重新的身份認(rèn)證,當(dāng)移動(dòng)終端的數(shù)量較多時(shí)則會(huì)導(dǎo)致認(rèn)證服務(wù)器的負(fù)擔(dān)過重;3.單一的認(rèn)證服務(wù)器故障會(huì)導(dǎo)致整個(gè)無線局域網(wǎng)的癱瘓。
4
這些問題的存在導(dǎo)致現(xiàn)有的基于IEEE802. Ili協(xié)議的無線局域網(wǎng)對實(shí)時(shí)應(yīng)用的 支持不夠好,同時(shí)也限制了無線局域網(wǎng)自身的發(fā)展?,F(xiàn)在對IEEE802. Ili協(xié)議認(rèn)證加密協(xié) 議的改進(jìn)要么重新設(shè)計(jì)新的認(rèn)證加密協(xié)議,但是新的認(rèn)證加密協(xié)議就無法和已經(jīng)大量部署 的無線局域網(wǎng)兼容,從而不具有現(xiàn)實(shí)的可行性;要么以犧牲現(xiàn)有認(rèn)證加密協(xié)議的安全性或 者增加網(wǎng)絡(luò)的負(fù)擔(dān)為代價(jià),從而也很難應(yīng)用到現(xiàn)有的無線局域網(wǎng)中去。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種實(shí)現(xiàn)移動(dòng)終端在無線局域網(wǎng)內(nèi)漫游認(rèn)證的 方法及相應(yīng)的無線接入點(diǎn),降低移動(dòng)終端切換時(shí)延以保證實(shí)時(shí)通信的服務(wù)質(zhì)量,同時(shí)可以 減輕認(rèn)證服務(wù)器的負(fù)擔(dān)以解決單一故障點(diǎn)的問題。P2P技術(shù)作為一種較為成熟的互聯(lián)網(wǎng)技術(shù)廣泛應(yīng)用于文件共享、即時(shí)通訊、流媒 體、共享存儲(chǔ)以及對等計(jì)算等網(wǎng)絡(luò)應(yīng)用系統(tǒng)中,并以其卓越的搜索性能和可擴(kuò)展性得到越 來越多開發(fā)者的青睞。用戶可以通過P2P技術(shù)共享所有文件和目錄,且無需通過Web服務(wù) 器進(jìn)行搜索。而在無線局域網(wǎng)中,隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,信息的管理效率成為影響網(wǎng)絡(luò) 性能的重要因素,認(rèn)證信息即為上述信息中的一種。因此P2P技術(shù)的可擴(kuò)展性和高效的分 布式搜索,與WLAN中的信息管理需求不謀而合。Chord(無標(biāo)準(zhǔn)的中譯文)算法作為一種重要的結(jié)構(gòu)化P2P搜索技術(shù),其目標(biāo)是提 供一個(gè)適合于Chord環(huán)境的分布式資源發(fā)現(xiàn)服務(wù),它有以下的一些優(yōu)點(diǎn)l.Chord算法中采用一致性散列算法,所有節(jié)點(diǎn)以同等概率分擔(dān)系統(tǒng)負(fù)荷,保證了 算法的平衡性;2.采用Chord算法的P2P是純粹的分布式系統(tǒng),節(jié)點(diǎn)之間完全平等并完成同樣的 工作,這使得Chord算法具有很強(qiáng)的健壯性;3. Chord算法的開銷隨著系統(tǒng)規(guī)模增加以0(log η)的比例增力卩,因此可用于大規(guī) 模系統(tǒng);4. Chord算法要求節(jié)點(diǎn)根據(jù)網(wǎng)絡(luò)的變化動(dòng)態(tài)地更新路由表,因此能夠即時(shí)恢復(fù)路
由,使查找可靠?;贑hord算法的上述優(yōu)勢,提出了基于P2P的Chord算法的認(rèn)證信息管理方案。為了解決上述問題,本發(fā)明提供了一種實(shí)現(xiàn)移動(dòng)終端在無線局域網(wǎng)內(nèi)漫游認(rèn)證的 方法,包括無線局域網(wǎng)中的無線接入點(diǎn)(AP)利用點(diǎn)對點(diǎn)的Chord算法構(gòu)成Chord環(huán);移動(dòng)終端通過該Chord環(huán)中的AP首次接入無線局域網(wǎng),完成身份認(rèn)證后,該AP根 據(jù)認(rèn)證服務(wù)器分發(fā)的該移動(dòng)終端的會(huì)話主密鑰信息,與該移動(dòng)終端多次握手生成臨時(shí)會(huì)話 密鑰,完成認(rèn)證,該AP還將該會(huì)話主密鑰信息分發(fā)到該Chord環(huán)中物理地址散列值與該移 動(dòng)終端的物理地址散列值最接近的AP中;該移動(dòng)終端漫游并向該Chord環(huán)中另一 AP請求接入,該另一 AP根據(jù)該移動(dòng)終端 的物理地址散列值,從該Chord環(huán)中保存有該移動(dòng)終端會(huì)話主密鑰信息的AP獲取該會(huì)話主 密鑰信息,利用該會(huì)話主密鑰信息與該移動(dòng)終端多次握手,生成臨時(shí)會(huì)話密鑰,完成漫游認(rèn) 證。進(jìn)一步地,上述方法還可具有以下特點(diǎn)
5
該Chord環(huán)中的AP收到移動(dòng)終端的接入請求后,向該Chord環(huán)中物理地址散列 值與該移動(dòng)終端的物理地址散列值最接近的AP查詢是否有該移動(dòng)終端的有效的會(huì)話主密 鑰;如查詢結(jié)果是有,該收到接入請求的AP從所查詢的AP取得該移動(dòng)終端的會(huì)話主 密鑰信息,生成會(huì)話主密鑰的上下文環(huán)境,再和該移動(dòng)終端進(jìn)行多次握手生成臨時(shí)會(huì)話密 鑰,完成漫游認(rèn)證;如查詢結(jié)果是沒有,該收到接入請求的AP指示該移動(dòng)終端與認(rèn)證服務(wù)器進(jìn)行身 份認(rèn)證,得到該認(rèn)證服務(wù)器分發(fā)的該移動(dòng)終端的會(huì)話主密鑰信息后,和該移動(dòng)終端進(jìn)行多 次握手生成臨時(shí)會(huì)話密鑰,完成認(rèn)證,并將該會(huì)話主密鑰信息分發(fā)到所查詢的AP。進(jìn)一步地,上述方法還可具有以下特點(diǎn)該收到接入請求的AP分發(fā)該移動(dòng)終端的會(huì)話主密鑰信息時(shí),執(zhí)行以下步驟該收到接入請求的AP在該Chord環(huán)中定位到一物理地址散列值與該移動(dòng)終端的 物理地址散列值最接近的AP并向該定位到的AP發(fā)送保存會(huì)話主密鑰信息的請求;該定位到的AP收到該請求后,通知該收到接入請求的AP發(fā)送該會(huì)話主密鑰信息; 該收到接入請求的AP將該移動(dòng)終端的會(huì)話主密鑰信息發(fā)送到該定位到的AP ;該定位到的AP收到該移動(dòng)終端的會(huì)話主密鑰信息后,查找本地是否已有該移動(dòng) 終端的會(huì)話主密鑰信息,如是,先刪除原有的會(huì)話主密鑰信息,再將收到的會(huì)話主密鑰信息 添加到本地緩存,否則直接將收到的會(huì)話主密鑰信息添加到本地緩存并以移動(dòng)終端的物理 地址為索引。進(jìn)一步地,上述方法還可具有以下特點(diǎn)無線接入點(diǎn)啟動(dòng)時(shí),根據(jù)其邏輯標(biāo)識(shí)找到Chord環(huán)中相應(yīng)的前驅(qū)節(jié)點(diǎn)和后繼節(jié) 點(diǎn),加入Chord環(huán)中;該新加入的無線接入點(diǎn)從該后續(xù)節(jié)點(diǎn)中獲取物理地址散列值更接近于自己的物 理地址散列值的移動(dòng)終端的會(huì)話主密鑰信息,并以該移動(dòng)終端的物理地址為索引將獲取的 會(huì)話主密鑰信息添加到本地緩存;該后續(xù)節(jié)點(diǎn)刪除已發(fā)送到該新加入無線接入點(diǎn)的會(huì)話主密鑰信息。進(jìn)一步地,上述方法還可具有以下特點(diǎn)無線接入點(diǎn)退出Chord環(huán)時(shí),通知該Chord環(huán)中的前驅(qū)節(jié)點(diǎn)和后繼節(jié)點(diǎn)重新組織 Chord環(huán),并將所有緩存在本地的移動(dòng)終端的會(huì)話主密鑰信息發(fā)送到該后繼節(jié)點(diǎn);該后繼節(jié)點(diǎn)以移動(dòng)終端的物理地址為索引將收到的所有主會(huì)話密鑰信息添加到 本地緩存中;收到接入請求的AP向該Chord環(huán)中的另一 AP查詢是否有該移動(dòng)終端的有效的會(huì) 話主密鑰時(shí),在消息中攜帶該移動(dòng)終端的物理地址。進(jìn)一步地,上述方法還可具有以下特點(diǎn)移動(dòng)終端接入無線局域網(wǎng)時(shí)采用IEEE802. Ili協(xié)議規(guī)定的認(rèn)證加密機(jī)制。相應(yīng)地,本發(fā)明提供的無線接入點(diǎn)采用IEEE802. Ili協(xié)議規(guī)定的認(rèn)證加密機(jī)制, 包括第一認(rèn)證模塊、定位模塊、第二認(rèn)證模塊和分發(fā)模塊,其中所述定位模塊,用于在收到移動(dòng)終端的接入請求后,向該Chord環(huán)中的相應(yīng)節(jié)點(diǎn) 即物理地址散列值與該移動(dòng)終端的物理地址散列值最接近的節(jié)點(diǎn)查詢是否有該移動(dòng)終端的有效的會(huì)話主密鑰,如沒有,通知所述第一認(rèn)證模塊進(jìn)行認(rèn)證,如有,通知所述第二認(rèn)證 模塊進(jìn)行認(rèn)證;所述第一認(rèn)證模塊,用于在收到通知后,指示該移動(dòng)終端與認(rèn)證服務(wù)器進(jìn)行身份 認(rèn)證,得到認(rèn)證服務(wù)器分發(fā)的該移動(dòng)終端的會(huì)話主密鑰信息后,和該移動(dòng)終端進(jìn)行多次握 手生成臨時(shí)會(huì)話密鑰,完成認(rèn)證,并通知所述信息存儲(chǔ)模塊;所述第二認(rèn)證模塊,用于收到通知后,從該相應(yīng)節(jié)點(diǎn)取得該移動(dòng)終端的會(huì)話主密 鑰信息,生成相應(yīng)的會(huì)話主密鑰的上下文環(huán)境,再和該移動(dòng)終端進(jìn)行多次握手生成臨時(shí)會(huì) 話密鑰,完成漫游認(rèn)證;所述分發(fā)模塊,用于在收到通知后,根據(jù)該移動(dòng)終端的物理地址散列值將該會(huì)話 主密鑰信息分發(fā)到Chord環(huán)的該相應(yīng)節(jié)點(diǎn)中。進(jìn)一步地,上述無線接入點(diǎn)還可具有以下特點(diǎn)還包括一信息保存模塊,用于在收到另一 AP發(fā)來的移動(dòng)終端的會(huì)話主密鑰信息 后,查找本地是否已有該移動(dòng)終端的會(huì)話主密鑰信息,如是,先刪除原有的會(huì)話主密鑰信 息,再將收到的會(huì)話主密鑰信息添加到本地緩存,否則直接將收到的會(huì)話主密鑰信息添加 到本地緩存,并以該移動(dòng)終端的物理地址為索引。進(jìn)一步地,上述無線接入點(diǎn)還可具有以下特點(diǎn)還包括一啟動(dòng)模塊,用于在啟動(dòng)后,根據(jù)其邏輯標(biāo)識(shí)找到Chord環(huán)中相應(yīng)的前驅(qū) 節(jié)點(diǎn)和后繼節(jié)點(diǎn),加入Chord環(huán)中;以及從該后續(xù)節(jié)點(diǎn)中獲取物理地址散列值更接近于自 己的物理地址散列值的移動(dòng)終端的會(huì)話主密鑰信息,以該移動(dòng)終端的物理地址為索引將獲 取的會(huì)話主密鑰信息添加到本地緩存。進(jìn)一步地,上述無線接入點(diǎn)還可具有以下特點(diǎn)還包括一退出模塊,用于在退出Chord環(huán)時(shí),通知該Chord環(huán)中的前驅(qū)節(jié)點(diǎn)和后繼 節(jié)點(diǎn)重新組織Chord環(huán),并將所有緩存在本地的移動(dòng)終端的會(huì)話主密鑰信息發(fā)送到該后繼 節(jié)占.
I— /、、、 所述定位模塊在發(fā)送的查詢消息中攜帶移動(dòng)終端的物理地址。上述方案利用點(diǎn)對點(diǎn)(peer-to-peer,P2P)的Chord算法來實(shí)現(xiàn)無線局域網(wǎng)內(nèi)的 漫游認(rèn)證,移動(dòng)終端只需要在第一次接入該無線局域網(wǎng)的時(shí)候向遠(yuǎn)程的認(rèn)證服務(wù)器進(jìn)行一 次認(rèn)證,此后如果在無線接入點(diǎn)之間進(jìn)行切換則不需要再次向認(rèn)證服務(wù)器進(jìn)行認(rèn)證,從而 降低了移動(dòng)終端切換時(shí)延以保證實(shí)時(shí)通信的服務(wù)質(zhì)量,同時(shí)可以減輕認(rèn)證服務(wù)器的負(fù)擔(dān)以 解決單一故障點(diǎn)的問題。
圖1是現(xiàn)有技術(shù)基于IEEE802. Ili協(xié)議的無線局域網(wǎng)的基本框架結(jié)構(gòu)圖;圖2是現(xiàn)有技術(shù)移動(dòng)終端接入采用802. Ili協(xié)議的無線局域網(wǎng)的認(rèn)證和密鑰協(xié)商 過程;圖3是本發(fā)明實(shí)施例中無線接入點(diǎn)采用P2P的Chord算法在邏輯上組成的Chord 環(huán);圖4是本發(fā)明實(shí)施例中添加了 P2P Chord功能模塊之后無線接入點(diǎn)的狀態(tài)轉(zhuǎn)移 圖5是本發(fā)明實(shí)施例中無線接入點(diǎn)啟動(dòng)后加入Chord環(huán)的工作過程;圖6是本發(fā)明實(shí)施例中Chord環(huán)中存在移動(dòng)終端的會(huì)話主密鑰時(shí),移動(dòng)終端和無 線接入點(diǎn)進(jìn)行認(rèn)證的工作過程;圖7是本發(fā)明實(shí)施例中Chord環(huán)中不存在移動(dòng)終端的會(huì)話主密鑰時(shí),移動(dòng)終端接 入到無線接入點(diǎn)的詳細(xì)處理過程;圖8是本發(fā)明實(shí)施例中生成新的會(huì)話主密鑰之后將其添加到相應(yīng)的P2P節(jié)點(diǎn)中的 工作過程;圖9是本發(fā)明實(shí)施例中某一無線接入點(diǎn)退出Chord環(huán)時(shí)的工作過程。
具體實(shí)施例方式利用P2P的Chord算法組織無線局域網(wǎng)中的所有無線接入點(diǎn),將移動(dòng)終端經(jīng)過認(rèn) 證服務(wù)器身份認(rèn)證生成的會(huì)話主密鑰信息散列到相應(yīng)的Chord環(huán)中保存下來。當(dāng)移動(dòng)終端 切換到局域網(wǎng)中另外一個(gè)無線接入點(diǎn)的時(shí)候,只需要在Chord環(huán)中查找到它相應(yīng)的會(huì)話主 密鑰信息,然后直接進(jìn)行4次握手即可生成臨時(shí)會(huì)話密鑰信息,從而可以實(shí)現(xiàn)不需要再次 經(jīng)過認(rèn)證服務(wù)器的身份認(rèn)證即可完成移動(dòng)終端在無線局域網(wǎng)內(nèi)的漫游認(rèn)證。下面結(jié)合附圖詳細(xì)說明本發(fā)明的實(shí)施例。首先介紹無線接入點(diǎn)如何構(gòu)造Chord環(huán)。在采用了 P2P的Chord算法之后,無線 局域網(wǎng)中所有的無線接入點(diǎn)在邏輯上組成了 Chord環(huán),每個(gè)物理節(jié)點(diǎn)通過其物理地址(MAC 地址)散列之后映射到相應(yīng)的Chord環(huán)中的邏輯節(jié)點(diǎn)上,如圖3所示。當(dāng)WLAN中的第一 個(gè)無線接入點(diǎn)啟動(dòng)的時(shí)候,其自身組成一個(gè)Chord環(huán),之后的無線接入點(diǎn)啟動(dòng)時(shí)需要找到 自己的前驅(qū)節(jié)點(diǎn)和后繼節(jié)點(diǎn),然后加入該Chord環(huán)中。圖5給出了無線接入點(diǎn)啟動(dòng)后加入 Chord環(huán)的工作流程步驟501 新啟動(dòng)的無線接入點(diǎn)根據(jù)自己的邏輯標(biāo)識(shí)找到相應(yīng)的前驅(qū)節(jié)點(diǎn)和后繼 節(jié)點(diǎn)之后加入到該Chord環(huán)中;步驟502 無線接入點(diǎn)向Chord環(huán)中的后繼節(jié)點(diǎn)查詢是否有屬于它的會(huì)話主密鑰, Chord環(huán)中的后續(xù)節(jié)點(diǎn)查看是否有移動(dòng)終端的物理地址散列值更接近于新加入的無線接入 點(diǎn)的物理地址散列值;步驟503 如有,后繼節(jié)點(diǎn)將物理地址散列值更接近于新加入無線接入點(diǎn)物理地 址散列值的移動(dòng)終端的會(huì)話主密鑰信息發(fā)送給該無線接入點(diǎn);該步中,如沒有移動(dòng)終端的物理地址散列值更接近于新加入的無線接入點(diǎn)的物理 地址散列值,后續(xù)節(jié)點(diǎn)直接通知無線接入點(diǎn)即可,無須執(zhí)行后續(xù)的步驟504 506。步驟504:無線接入點(diǎn)以移動(dòng)終端的物理地址作為索引,將收到的所有會(huì)話主密 鑰信息添加到本地緩存中;對于無線接入點(diǎn)的緩存中已經(jīng)存在移動(dòng)終端的主密鑰信息,則更新原來會(huì)話主密 鑰信息;對于不存在的移動(dòng)終端的會(huì)話主密鑰信息,則直接將該會(huì)話主密鑰信息添加到本 地緩存并建立索引。步驟505 無線接入點(diǎn)向后繼節(jié)點(diǎn)發(fā)送刪除會(huì)話主密鑰的信息;步驟506 后繼節(jié)點(diǎn)收到刪除會(huì)話主密鑰的信息后,刪除本地緩存中相應(yīng)的會(huì)話 主密鑰信息,同時(shí)返回確認(rèn)信息。
8
當(dāng)有移動(dòng)終端需要使用無線局域網(wǎng),其選擇合適的無線接入點(diǎn)進(jìn)行關(guān)聯(lián),如圖1 所示。若移動(dòng)終端首次接入該無線局域網(wǎng),則需要進(jìn)行一次完整的IEEE802. Ili的認(rèn)證過 程,如圖2所示,包括移動(dòng)終端在選擇合適的無線接入點(diǎn)之后就需要和其交互一些安全 的參數(shù),用于決定使用何種認(rèn)證方式接入無線局域網(wǎng),當(dāng)使用IEEE802. Ili協(xié)議來接入無 線局域網(wǎng)時(shí),首先移動(dòng)終端通過無線接入點(diǎn)和認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證,通過身份認(rèn)證之 后產(chǎn)生會(huì)話主密鑰,之后和無線接入點(diǎn)之間使用會(huì)話主密鑰進(jìn)行4次握手生成臨時(shí)會(huì)話密 鑰。在生成會(huì)話主密鑰之后,該無線接入點(diǎn)要根據(jù)移動(dòng)終端的物理地址散列值將會(huì)話主密 鑰信息保存到Chord環(huán)的相應(yīng)無線接入點(diǎn),即物理地址散列值與該移動(dòng)終端的物理地址散 列值最接近的無線接入點(diǎn)。下面通過圖6至圖8分別闡述在本發(fā)明實(shí)施例中移動(dòng)終端使用 無線局域網(wǎng)的工作流程。當(dāng)Chord環(huán)中存在某一移動(dòng)終端的會(huì)話主密鑰時(shí),該移動(dòng)終端接入到無線接入點(diǎn) 的詳細(xì)處理過程如圖6所示步驟601 移動(dòng)終端向欲關(guān)聯(lián)的無線接入點(diǎn)發(fā)送接入請求(即關(guān)聯(lián)請求),請求使 用該無線局域網(wǎng);步驟602 接收到接入請求的無線接入點(diǎn)(以下也稱為欲關(guān)聯(lián)的無線接入點(diǎn))計(jì) 算該移動(dòng)終端的物理地址散列值,定位該移動(dòng)終端的會(huì)話主密鑰在Chord環(huán)中所在的節(jié)占.步驟603 欲關(guān)聯(lián)的無線接入點(diǎn)向會(huì)話主密鑰所在的無線接入點(diǎn)發(fā)送查詢該移動(dòng) 終端會(huì)話主密鑰信息的消息,消息中包括該移動(dòng)終端物理地址;步驟604 會(huì)話主密鑰所在的無線接入點(diǎn)根據(jù)收到的移動(dòng)終端物理地址在本地緩 存中查詢是否存在相應(yīng)的會(huì)話主密鑰信息并判斷到該會(huì)話主密鑰有效;如果在設(shè)定的一段時(shí)間內(nèi),移動(dòng)終端在WLAN內(nèi)沒有進(jìn)行數(shù)據(jù)收發(fā),則AP可以將該 移動(dòng)終端的會(huì)話主密鑰信息置為無效。步驟605 會(huì)話主密鑰所在的無線接入點(diǎn)將該會(huì)話主密鑰信息發(fā)送到欲關(guān)聯(lián)的無 線接入點(diǎn);步驟606 欲關(guān)聯(lián)的無線接入點(diǎn)提取該會(huì)話主密鑰信息并生成該移動(dòng)終端會(huì)話主 密鑰的上下文環(huán)境;步驟607 移動(dòng)終端和無線接入點(diǎn)之后利用此會(huì)話主密鑰信息的上下文環(huán)境進(jìn)行 4次握手,從而生成用于通信的臨時(shí)會(huì)話密鑰;具體的執(zhí)行過程如圖2所示;步驟608 移動(dòng)終端和無線接入點(diǎn)完成認(rèn)證并打開認(rèn)證端口。圖4是本發(fā)明實(shí)施例中添加了 P2P Chord功能模塊之后無線接入點(diǎn)的狀態(tài)轉(zhuǎn)移 圖,由此可以清晰的看出在存在會(huì)話主密鑰的條件下,移動(dòng)終端和無線接入點(diǎn)之間可以直 接利用會(huì)話主密鑰進(jìn)行4次握手完成認(rèn)證。當(dāng)Chord環(huán)中不存在會(huì)話主密鑰信息或會(huì)話主密鑰信息已經(jīng)過期時(shí)移動(dòng)終端接 入到無線接入點(diǎn)的詳細(xì)處理過程如圖7所示步驟701 移動(dòng)終端向欲關(guān)聯(lián)的無線接入點(diǎn)發(fā)送接入請求,請求使用該無線局域 網(wǎng);步驟702 欲關(guān)聯(lián)的無線接入點(diǎn)計(jì)算該移動(dòng)終端的物理地址散列值,定位該移動(dòng) 終端的會(huì)話主密鑰在Chord環(huán)中所在的節(jié)點(diǎn);
9
步驟703 欲關(guān)聯(lián)的無線接入點(diǎn)向該移動(dòng)終端的會(huì)話主密鑰所在的無線接入點(diǎn)發(fā) 送查詢該移動(dòng)終端會(huì)話主密鑰信息的消息,消息中包括移動(dòng)終端的物理地址;步驟704 接收到查詢信息的無線接入點(diǎn)根據(jù)收到的移動(dòng)終端的物理地址在本地 緩存中查詢;步驟705 如果接收到查詢信息的無線接入點(diǎn)在本地緩存中沒有找到該移動(dòng)終端 的會(huì)話主密鑰信息或者判斷為該會(huì)話主密鑰信息已經(jīng)過期,該無線接入點(diǎn)發(fā)送不存在該移 動(dòng)終端的會(huì)話主密鑰的信息給欲關(guān)聯(lián)的無線接入點(diǎn);步驟706 欲關(guān)聯(lián)無線接入點(diǎn)向移動(dòng)終端發(fā)送消息,要求其進(jìn)行IEEE802. Ix認(rèn) 證;步驟707 移動(dòng)終端和認(rèn)證服務(wù)器之間通過欲關(guān)聯(lián)的無線接入點(diǎn)進(jìn)行IEEE802. Ix 認(rèn)證,具體的執(zhí)行過程如圖2所示;步驟708 欲關(guān)聯(lián)的無線接入點(diǎn)將新生成的該移動(dòng)終端的會(huì)話密鑰添加到相應(yīng)的 Chord環(huán)中,執(zhí)行過程如圖8所示;步驟709 移動(dòng)終端和欲關(guān)聯(lián)的無線接入點(diǎn)之后利用此會(huì)話主密鑰的上下文環(huán)境 進(jìn)行4次握手,從而生成用于通信的臨時(shí)會(huì)話密鑰,如圖2所示。其中,欲關(guān)聯(lián)的無線接入點(diǎn)將新生成的移動(dòng)終端的會(huì)話主密鑰信息添加到Chord 環(huán)中的詳細(xì)處理過程如下步驟801 移動(dòng)終端和認(rèn)證服務(wù)器之間通過欲關(guān)聯(lián)的無線接入點(diǎn)生成會(huì)話主密鑰 fn息;步驟802 欲關(guān)聯(lián)的無線接入點(diǎn)計(jì)算該移動(dòng)終端的物理地址散列值,從而在Chord 環(huán)中定位該會(huì)話主密鑰應(yīng)該保存到環(huán)中的哪個(gè)節(jié)點(diǎn)并向該節(jié)點(diǎn)發(fā)送保存會(huì)話主密鑰信息 的請求;步驟803 定位到的節(jié)點(diǎn)發(fā)送消息通知欲關(guān)聯(lián)的無線接入點(diǎn)發(fā)送該會(huì)話主密鑰信 息;步驟804 欲關(guān)聯(lián)的無線接入點(diǎn)向定位到的節(jié)點(diǎn)發(fā)送該會(huì)話主密鑰信息;步驟805 收到會(huì)話主密鑰信息的無線接入點(diǎn)即定位到的節(jié)點(diǎn)查找是否已經(jīng)有該 會(huì)話主密鑰信息;步驟806 定位到的節(jié)點(diǎn)中如果已經(jīng)存在該會(huì)話主密鑰信息,則需要先將之前保 存的會(huì)話主密鑰信息刪除,然后再添加相應(yīng)的會(huì)話主密鑰信息到該節(jié)點(diǎn)的緩存中;如果不 存在則直接添加會(huì)話主密鑰信息到該節(jié)點(diǎn)的緩存中。當(dāng)有無線接入點(diǎn)退出Chord環(huán)時(shí),則需要將存放在它上面的所有的會(huì)話主密鑰信 息轉(zhuǎn)移到它的后繼節(jié)點(diǎn)存放;否則會(huì)導(dǎo)致信息的丟失而引起移動(dòng)終端的重復(fù)認(rèn)證。圖9是 本發(fā)明實(shí)施例中某一無線接入點(diǎn)退出Chord環(huán)時(shí)執(zhí)行的詳細(xì)過程步驟901 無線接入點(diǎn)退出Chord環(huán),通知該Chord環(huán)中的前驅(qū)和后繼節(jié)點(diǎn)重新組 織Chord環(huán);步驟902 該無線接入點(diǎn)將所有存放在本地的會(huì)話主密鑰信息發(fā)送到它在Chord 環(huán)中的后繼節(jié)點(diǎn);步驟903 后繼節(jié)點(diǎn)收到會(huì)話主密鑰信息之后將所有收到的主會(huì)話密鑰信息添加 到本地緩存中。
10
相應(yīng)地,本實(shí)施例無線接入點(diǎn)采用IEEE802. Ili協(xié)議規(guī)定的認(rèn)證加密機(jī)制,包括 第一認(rèn)證模塊、定位模塊、第二認(rèn)證模塊、分發(fā)模塊、信息保存模塊、啟動(dòng)模塊和退出模塊, 其中定位模塊,用于在收到移動(dòng)終端的接入請求后,向該Chord環(huán)中的相應(yīng)節(jié)點(diǎn)即物 理地址散列值與該移動(dòng)終端的物理地址散列值最接近的節(jié)點(diǎn)查詢是否有該移動(dòng)終端的有 效的會(huì)話主密鑰,攜帶移動(dòng)終端的物理地址,如沒有,通知所述第一認(rèn)證模塊進(jìn)行認(rèn)證,如 有,通知所述第二認(rèn)證模塊進(jìn)行認(rèn)證;第一認(rèn)證模塊,用于在收到通知后,指示該移動(dòng)終端與認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證, 得到認(rèn)證服務(wù)器分發(fā)的該移動(dòng)終端的會(huì)話主密鑰信息后,和該移動(dòng)終端進(jìn)行多次握手生成 臨時(shí)會(huì)話密鑰,完成認(rèn)證,并通知所述分發(fā)模塊;第二認(rèn)證模塊,用于收到通知后,從該相應(yīng)節(jié)點(diǎn)取得該移動(dòng)終端的會(huì)話主密鑰信 息,生成相應(yīng)的會(huì)話主密鑰的上下文環(huán)境,再和該移動(dòng)終端進(jìn)行多次握手生成臨時(shí)會(huì)話密 鑰,完成漫游認(rèn)證;分發(fā)模塊,用于在收到通知后,根據(jù)該移動(dòng)終端的物理地址散列值將該會(huì)話主密 鑰信息分發(fā)到Chord環(huán)的該相應(yīng)節(jié)點(diǎn)中。信息保存模塊,用于在收到另一 AP發(fā)來的移動(dòng)終端的會(huì)話主密鑰信息后,查找本 地是否已有該移動(dòng)終端的會(huì)話主密鑰信息,如是,先刪除原有的會(huì)話主密鑰信息,再將收到 的會(huì)話主密鑰信息添加到本地緩存,否則直接將收到的會(huì)話主密鑰信息添加到本地緩存, 并以該移動(dòng)終端的物理地址為索引。啟動(dòng)模塊,用于在啟動(dòng)后,根據(jù)其邏輯標(biāo)識(shí)找到Chord環(huán)中相應(yīng)的前驅(qū)節(jié)點(diǎn)和后 繼節(jié)點(diǎn),加入Chord環(huán)中;以及從該后續(xù)節(jié)點(diǎn)中獲取物理地址散列值更接近于自己的物理 地址散列值的移動(dòng)終端的會(huì)話主密鑰信息,以該移動(dòng)終端的物理地址為索引將獲取的會(huì)話 主密鑰信息添加到本地緩存。退出模塊,用于在退出Chord環(huán)時(shí),通知該Chord環(huán)中的前驅(qū)節(jié)點(diǎn)和后繼節(jié)點(diǎn)重新 組織Chord環(huán),并將所有緩存在本地的移動(dòng)終端的會(huì)話主密鑰信息發(fā)送到該后繼節(jié)點(diǎn)。本發(fā)明還可有其他多種實(shí)施方式,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下,熟悉 本領(lǐng)域的技術(shù)人員可根據(jù)本發(fā)明做出各種相應(yīng)的改變和變形,這些相應(yīng)的改變和變形都應(yīng) 屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍。
權(quán)利要求
一種實(shí)現(xiàn)移動(dòng)終端在無線局域網(wǎng)內(nèi)漫游認(rèn)證的方法,包括無線局域網(wǎng)中的無線接入點(diǎn)(AP)利用點(diǎn)對點(diǎn)的Chord算法構(gòu)成Chord環(huán);移動(dòng)終端通過該Chord環(huán)中的AP首次接入無線局域網(wǎng),完成身份認(rèn)證后,該AP根據(jù)認(rèn)證服務(wù)器分發(fā)的該移動(dòng)終端的會(huì)話主密鑰信息,與該移動(dòng)終端多次握手生成臨時(shí)會(huì)話密鑰,完成認(rèn)證,該AP還將該會(huì)話主密鑰信息分發(fā)到該Chord環(huán)中物理地址散列值與該移動(dòng)終端的物理地址散列值最接近的AP中;該移動(dòng)終端漫游并向該Chord環(huán)中另一AP請求接入,該另一AP根據(jù)該移動(dòng)終端的物理地址散列值,從該Chord環(huán)中保存有該移動(dòng)終端會(huì)話主密鑰信息的AP獲取該會(huì)話主密鑰信息,利用該會(huì)話主密鑰信息與該移動(dòng)終端多次握手,生成臨時(shí)會(huì)話密鑰,完成漫游認(rèn)證。
2.如權(quán)利要求1所述的方法,其特征在于該Chord環(huán)中的AP收到移動(dòng)終端的接入請求后,向該Chord環(huán)中物理地址散列值與該 移動(dòng)終端的物理地址散列值最接近的AP查詢是否有該移動(dòng)終端的有效的會(huì)話主密鑰;如查詢結(jié)果是有,該收到接入請求的AP從所查詢的AP取得該移動(dòng)終端的會(huì)話主密鑰 信息,生成會(huì)話主密鑰的上下文環(huán)境,再和該移動(dòng)終端進(jìn)行多次握手生成臨時(shí)會(huì)話密鑰,完 成漫游認(rèn)證;如查詢結(jié)果是沒有,該收到接入請求的AP指示該移動(dòng)終端與認(rèn)證服務(wù)器進(jìn)行身份認(rèn) 證,得到該認(rèn)證服務(wù)器分發(fā)的該移動(dòng)終端的會(huì)話主密鑰信息后,和該移動(dòng)終端進(jìn)行多次握 手生成臨時(shí)會(huì)話密鑰,完成認(rèn)證,并將該會(huì)話主密鑰信息分發(fā)到所查詢的AP。
3.如權(quán)利要求2所述的方法,其特征在于,該收到接入請求的AP分發(fā)該移動(dòng)終端的會(huì) 話主密鑰信息時(shí),執(zhí)行以下步驟該收到接入請求的AP在該Chord環(huán)中定位到一物理地址散列值與該移動(dòng)終端的物理 地址散列值最接近的AP并向該定位到的AP發(fā)送保存會(huì)話主密鑰信息的請求;該定位到的AP收到該請求后,通知該收到接入請求的AP發(fā)送該會(huì)話主密鑰信息;該收 到接入請求的AP將該移動(dòng)終端的會(huì)話主密鑰信息發(fā)送到該定位到的AP ;該定位到的AP收到該移動(dòng)終端的會(huì)話主密鑰信息后,查找本地是否已有該移動(dòng)終端 的會(huì)話主密鑰信息,如是,先刪除原有的會(huì)話主密鑰信息,再將收到的會(huì)話主密鑰信息添加 到本地緩存,否則直接將收到的會(huì)話主密鑰信息添加到本地緩存并以移動(dòng)終端的物理地址 為索引。
4.如權(quán)利要求1或2或3所述的方法,其特征在于無線接入點(diǎn)啟動(dòng)時(shí),根據(jù)其邏輯標(biāo)識(shí)找到Chord環(huán)中相應(yīng)的前驅(qū)節(jié)點(diǎn)和后繼節(jié)點(diǎn),加 入Chord環(huán)中;該新加入的無線接入點(diǎn)從該后續(xù)節(jié)點(diǎn)中獲取物理地址散列值更接近于自己的物理地 址散列值的移動(dòng)終端的會(huì)話主密鑰信息,并以該移動(dòng)終端的物理地址為索引將獲取的會(huì)話 主密鑰信息添加到本地緩存;該后續(xù)節(jié)點(diǎn)刪除已發(fā)送到該新加入無線接入點(diǎn)的會(huì)話主密鑰信息。
5.如權(quán)利要求4所述的方法,其特征在于無線接入點(diǎn)退出Chord環(huán)時(shí),通知該Chord環(huán)中的前驅(qū)節(jié)點(diǎn)和后繼節(jié)點(diǎn)重新組織Chord 環(huán),并將所有緩存在本地的移動(dòng)終端的會(huì)話主密鑰信息發(fā)送到該后繼節(jié)點(diǎn);該后繼節(jié)點(diǎn)以移動(dòng)終端的物理地址為索引將收到的所有主會(huì)話密鑰信息添加到本地緩存中;收到接入請求的AP向該Chord環(huán)中的另一 AP查詢是否有該移動(dòng)終端的有效的會(huì)話主 密鑰時(shí),在消息中攜帶該移動(dòng)終端的物理地址。
6.如權(quán)利要求1或2或3所述的方法,其特征在于,移動(dòng)終端接入無線局域網(wǎng)時(shí)采用 IEEE802. Ili協(xié)議規(guī)定的認(rèn)證加密機(jī)制。
7.一種無線接入點(diǎn),采用IEEE802. Ili協(xié)議規(guī)定的認(rèn)證加密機(jī)制,包括第一認(rèn)證模塊, 其特征在于,還包括定位模塊、第二認(rèn)證模塊和分發(fā)模塊,其中所述定位模塊,用于在收到移動(dòng)終端的接入請求后,向該Chord環(huán)中的相應(yīng)節(jié)點(diǎn)即物 理地址散列值與該移動(dòng)終端的物理地址散列值最接近的節(jié)點(diǎn)查詢是否有該移動(dòng)終端的有 效的會(huì)話主密鑰,如沒有,通知所述第一認(rèn)證模塊進(jìn)行認(rèn)證,如有,通知所述第二認(rèn)證模塊 進(jìn)行認(rèn)證;所述第一認(rèn)證模塊,用于在收到通知后,指示該移動(dòng)終端與認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證, 得到認(rèn)證服務(wù)器分發(fā)的該移動(dòng)終端的會(huì)話主密鑰信息后,和該移動(dòng)終端進(jìn)行多次握手生成 臨時(shí)會(huì)話密鑰,完成認(rèn)證,并通知所述分發(fā)模塊;所述第二認(rèn)證模塊,用于收到通知后,從該相應(yīng)節(jié)點(diǎn)取得該移動(dòng)終端的會(huì)話主密鑰信 息,生成相應(yīng)的會(huì)話主密鑰的上下文環(huán)境,再和該移動(dòng)終端進(jìn)行多次握手生成臨時(shí)會(huì)話密 鑰,完成漫游認(rèn)證;所述分發(fā)模塊,用于在收到通知后,根據(jù)該移動(dòng)終端的物理地址散列值將該會(huì)話主密 鑰信息分發(fā)到Chord環(huán)的該相應(yīng)節(jié)點(diǎn)中。
8.如權(quán)利要求7所述的無線接入點(diǎn),其特征在于還包括一信息保存模塊,用于在收到另一 AP發(fā)來的移動(dòng)終端的會(huì)話主密鑰信息后,查 找本地是否已有該移動(dòng)終端的會(huì)話主密鑰信息,如是,先刪除原有的會(huì)話主密鑰信息,再將 收到的會(huì)話主密鑰信息添加到本地緩存,否則直接將收到的會(huì)話主密鑰信息添加到本地緩 存,并以該移動(dòng)終端的物理地址為索引。
9.如權(quán)利要求7或8所述的無線接入點(diǎn),其特征在于還包括一啟動(dòng)模塊,用于在啟動(dòng)后,根據(jù)其邏輯標(biāo)識(shí)找到Chord環(huán)中相應(yīng)的前驅(qū)節(jié)點(diǎn) 和后繼節(jié)點(diǎn),加入Chord環(huán)中;以及從該后續(xù)節(jié)點(diǎn)中獲取物理地址散列值更接近于自己的 物理地址散列值的移動(dòng)終端的會(huì)話主密鑰信息,以該移動(dòng)終端的物理地址為索引將獲取的 會(huì)話主密鑰信息添加到本地緩存。
10.如權(quán)利要求9所述的無線接入點(diǎn),其特征在于還包括一退出模塊,用于在退出Chord環(huán)時(shí),通知該Chord環(huán)中的前驅(qū)節(jié)點(diǎn)和后繼節(jié) 點(diǎn)重新組織Chord環(huán),并將所有緩存在本地的移動(dòng)終端的會(huì)話主密鑰信息發(fā)送到該后繼節(jié)點(diǎn)。所述定位模塊在發(fā)送的查詢消息中攜帶移動(dòng)終端的物理地址。
全文摘要
一種實(shí)現(xiàn)移動(dòng)終端在無線局域網(wǎng)內(nèi)漫游認(rèn)證的方法和無線接入點(diǎn),無線局域網(wǎng)中的AP利用點(diǎn)對點(diǎn)的Chord算法構(gòu)成Chord環(huán);移動(dòng)終端通過AP首次接入無線局域網(wǎng)完成身份認(rèn)證后,該AP根據(jù)認(rèn)證服務(wù)器分發(fā)的該移動(dòng)終端的會(huì)話主密鑰信息與該移動(dòng)終端多次握手生成臨時(shí)會(huì)話密鑰,完成認(rèn)證,且將該會(huì)話主密鑰信息分發(fā)到該Chord環(huán)中的相應(yīng)AP中;該移動(dòng)終端漫游并向另一AP請求接入,該另一AP從保存有該主密鑰信息的AP獲取該會(huì)話主密鑰信息,利用該會(huì)話主密鑰信息與該移動(dòng)終端多次握手,生成臨時(shí)會(huì)話密鑰,完成漫游認(rèn)證。本發(fā)明可以降低移動(dòng)終端切換時(shí)延,保證實(shí)時(shí)通信的服務(wù)質(zhì)量,同時(shí)可以減輕認(rèn)證服務(wù)器的負(fù)擔(dān)以解決單一故障點(diǎn)的問題。
文檔編號(hào)H04W8/02GK101902722SQ200910141358
公開日2010年12月1日 申請日期2009年5月25日 優(yōu)先權(quán)日2009年5月25日
發(fā)明者魏元 申請人:南京中興軟件有限責(zé)任公司;中興通訊股份有限公司