專利名稱:無線局域網(wǎng)中預鑒別方法和系統(tǒng)的制作方法
技術(shù)領域:
本發(fā)明涉及無線局域網(wǎng)(Wireless Local Area Networks,簡稱WLAN), 尤其涉及一種無線局域網(wǎng)中預鑒別方法和系統(tǒng)��。
背景技術(shù):
無線局域網(wǎng)作為寬帶無線IP (InternetProtocol,因特網(wǎng)協(xié)議)網(wǎng)絡的一 種典型的實現(xiàn)形式���,是指采用無線傳輸媒介的計算機局域網(wǎng)絡,它能在難以 布線的區(qū)域進行通信��,是傳統(tǒng)有線局域網(wǎng)的重要補充���。無線局域網(wǎng)技術(shù)是計 算機網(wǎng)絡技術(shù)與無線通信技術(shù)相結(jié)合的產(chǎn)物,具有支持移動計算�、架構(gòu)靈活 快捷、維護所需費用較低和可擴展性好等優(yōu)點����,為通信的移動化和個人化提 供了手段。
隨著全球信息化的逐步深入���,網(wǎng)絡安全的重要性越來越明顯����,因為信息
均將網(wǎng)絡信息安全提升至國家安全戰(zhàn)略的位置。
現(xiàn)有技術(shù)中的WAPI ( WLAN Authentication and Privacy Infrastructure, 無線局域網(wǎng)鑒別與保密基礎結(jié)構(gòu))是一種提高無線局域網(wǎng)的安全性的機制�。 WAPI將基于三元對等鑒別的訪問控制方法應用于無線局域網(wǎng)技術(shù)領域,以 保障合法客戶端通過合法接入點接入網(wǎng)絡�,并實現(xiàn)客戶端和接入點間的保密 通信。
WAPI由無線局i或網(wǎng)鑒別基礎結(jié)構(gòu)(WLAN Authentication Infrastructure, WAI)和無線局域網(wǎng)保密基礎結(jié)構(gòu)(WLAN Privacy Infrastructure, WPI)兩
部分組成�。
WAI是實現(xiàn)無線局域網(wǎng)中的身份鑒別和密鑰管理的安全方案,用于完 成STA ( STAtion�,無線站點)和AP ( Access Point,接入點)之間、STA和STA之間的雙向身份鑒別�����,并協(xié)商建立安全關(guān)聯(lián)���。WPI是用于實現(xiàn)無線 局域網(wǎng)中數(shù)據(jù)傳輸保護的安全方案����,包括使用WAI過程中協(xié)商出的各密鑰 進行數(shù)據(jù)加密�����、數(shù)據(jù)鑒別和重放保護等功能�。
其中���,WAPI中的安全關(guān)聯(lián)包含
> BKSA ( Base Key Security Association,基密鑰安全關(guān)聯(lián))是證書鑒 別過程協(xié)商的結(jié)果�、或通過預共享密鑰(PSK)導出的結(jié)果;其中包含BK
(基密鑰)���、BK/BKSA的生存期等參數(shù)��;
> USKSA (單播密鑰安全關(guān)聯(lián))是單播密鑰協(xié)商(基于BK協(xié)商)的 結(jié)果����;其中包含USK (單播密鑰)����、USK/USKSA的生存期等參數(shù);
> MSKSA (組播會話密鑰安全關(guān)聯(lián))是組播密鑰通告的結(jié)果����;其中 包含MSK (組播會話密鑰)、MSK/MSKSA的生存期等參數(shù)�;
> STAKeySA (站間密鑰安全關(guān)聯(lián))是站間密鑰通告的結(jié)果,其中包 含STAKey (站間密鑰)等參數(shù)���。
其中���,若目的AP支持預鑒別�,STA可以通過當前關(guān)聯(lián)的AP和目的 AP進行預鑒別��,但現(xiàn)有技術(shù)中缺少具體的預鑒別方法����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種無線局域網(wǎng)中預鑒別方法和系統(tǒng), 減少STA接入時間���。
為了解決上述問題�����,本發(fā)明提供了一種無線局域網(wǎng)中預鑒別方法��,包括�����, 站點通過關(guān)聯(lián)接入點轉(zhuǎn)發(fā)一預鑒別開始分組給目的接入點�,請求開始預鑒 別���;目的接入點收到該預鑒別開始分組后����,向該站點發(fā)出鑒別激活分組��,開 始證書鑒別過程�,站點和該目的接入點間建立并緩存基密鑰安全關(guān)聯(lián)。
進一步地�,上述方法還可具有以下特點,所述站點在所述目的4妄入點的 信號范圍外時���,由所述關(guān)聯(lián)接入點轉(zhuǎn)發(fā)所述目的接入點與所述站點在證書鑒 別過程中交互的消息��。
進一步地�����,上述方法還可具有以下特點��,所述方法還包括�,所述站點在 發(fā)送預鑒別開始分組前����,通過關(guān)聯(lián)接入點發(fā)送探詢請求分組給目的接入點,根據(jù)目的接入點返回的探詢響應分組獲取目的接入點的預鑒別能力信息���,當 所述目的接入點支持預鑒別時��,才發(fā)送所述預鑒別開始分組給目的接入點�����。
進一步地����,上述方法還可具有以下特點,所述方法還包括���,所述關(guān)聯(lián)^妄 入點在轉(zhuǎn)發(fā)所述預鑒別開始分組前�,發(fā)送一探詢請求分組給目的接入點�,根 據(jù)目的接入點返回的探詢響應分組獲取目的接入點的預鑒別能力信息,當所 述目的接入點支持預鑒別時���,才轉(zhuǎn)發(fā)所述預鑒別開始分組給目的接入點�。
進一步地����,上述方法還可具有以下特點,所述方法還包括����,所述關(guān)聯(lián)接
入點進行是否支持預鑒別的廣播��,保存各接入點返回的預鑒別能力信息����;所
述關(guān)聯(lián)接入點在轉(zhuǎn)發(fā)所述預鑒別開始分組前��,根據(jù)保存的各接入點的預鑒別 能力信息判斷所述目的接入點支持預鑒別時����,才轉(zhuǎn)發(fā)所述預鑒別開始分組給 目的接入點�。
本發(fā)明還提供一種無線局域網(wǎng)中預鑒別系統(tǒng),包括站點����、關(guān)聯(lián)接入點和
目的接入點,其中
站點�����,用于通過關(guān)聯(lián)接入點轉(zhuǎn)發(fā)一預鑒別開始分組給目的接入點�,請求 開始預鑒別;還用于和目的接入點進行證書鑒別過程����,建立并緩存基密鑰安 全關(guān)聯(lián)�;
關(guān)聯(lián)接入點�����,用于轉(zhuǎn)發(fā)預鑒別開始分組給目的接入點�����;
目的接入點���,用于收到預鑒別開始分組后��,向站點發(fā)出鑒別激活分組��, 開始證書鑒別過程����,站點和該目的接入點間建立并緩存基密鑰安全關(guān)聯(lián)���。
進一步地�����,上述系統(tǒng)還可具有以下特點�����,所述關(guān)4關(guān)接入點�����,還用于所述 站點在所述目的接入點的信號范圍外時�����,轉(zhuǎn)發(fā)目的接入點與所述站點進行證 書鑒別過程中交互的消息��。
進一步地����,上述系統(tǒng)還可具有以下特點����,所述站點包括預鑒別能力獲取 單元和預鑒別開始單元,其中
所述預鑒別能力獲取單元���,用于通過關(guān)聯(lián)接入點發(fā)送#:詢請求分組給目 的接入點�,根據(jù)目的接入點返回的探詢響應分組獲取目的接入點的預鑒別能 力信息;所述預鑒別開始單元�,用于在所述預鑒別能力獲取單元獲知所述目的接 入點支持預鑒別時,才發(fā)送所述預鑒別開始分組給目的接入點�����。
進一步地���,上述系統(tǒng)還可具有以下特點��,所述關(guān)聯(lián)接入點還包括判斷預
鑒別能力獲取單元和轉(zhuǎn)發(fā)單元��,其中
所述預鑒別能力獲取單元����,用于發(fā)送一探詢請求分組給目的接入點�,根
據(jù)目的接入點返回的探詢響應分組獲取目的接入點的預鑒別能力信息;
所述轉(zhuǎn)發(fā)單元����,用于當所述預鑒別能力獲取單元獲知目的接入點支持預 鑒別時,才轉(zhuǎn)發(fā)所述預鑒別開始分組給目的接入點����。
進一步地���,上述系統(tǒng)還可具有以下特點,所述關(guān)聯(lián)接入點還包括預鑒別 能力獲取單元和轉(zhuǎn)發(fā)單元��,其中
所述預鑒別能力獲取單元��,用于進行是否支持預鑒別的廣播��,保存各接 入點返回的預鑒別能力信息�����;
所述轉(zhuǎn)發(fā)單元����,用于根據(jù)所述預鑒別能力獲取單元保存的給接入點的預 鑒別能力信息判斷目的接入點是否支持預鑒別�����,當所述目的接入點支持預鑒 別時����,才轉(zhuǎn)發(fā)所述預鑒別開始分組給目的接入點。
本發(fā)明提供的預鑒別方法和系統(tǒng)�����,實現(xiàn)了 STA在關(guān)聯(lián)前和目的AP進行 關(guān)聯(lián),減少了STA的接入時間��。
圖1是本發(fā)明實施例一預鑒別方法流程圖��; 圖2是本發(fā)明實施例二預鑒別方法流程圖�。
具體實施例方式
如圖1所示,為本發(fā)明實施例一預鑒別方法流程圖�����,STA已和關(guān)聯(lián)AP 完成了 BKSA和USKSA的建立��,STA需要和目的AP進行預鑒別�,具體包 括
步驟IOI, STA開始預鑒別過程,發(fā)送預鑒別開始分組給關(guān)聯(lián)AP,關(guān)聯(lián)AP將其轉(zhuǎn)發(fā)給目的AP;
預鑒別開始分組中包含標識FLAG字段�、USKID字段、ADDID字段���、 重放計數(shù)器和消息鑒別碼��。其中標識FLAG字段的預鑒別標識比特值為1����, ADDID字段的值為發(fā)起方STA的MAC地址||目的AP的MAC地址;其中 "||"為鏈接操作�����。
關(guān)聯(lián)AP收到預鑒別開始分組后��,還需要檢查重放計數(shù)器和消息鑒別碼 是否有效���,如果有效���,才轉(zhuǎn)發(fā)預鑒別開始分組給目的AP。
步驟102��,目的AP收到預鑒別開始分組后�,發(fā)送鑒別激活分組給STA, 開始WAI的證書鑒別過程。
其中��,目的AP根據(jù)預鑒別開始分組中的ADDID字段向相應的STA發(fā) 出鑒別激活分組�����。
鑒別激活分組中包含標識字段�����、鑒別標識字段�����、本地ASU的身份字段���、 ECDH參數(shù)字段��,其中��,標識字段的預鑒別標識比特值為1�。
步驟103�, STA發(fā)送接入鑒別請求分組給關(guān)聯(lián)AP,關(guān)聯(lián)AP將其轉(zhuǎn)發(fā)給 目的AP;
步驟104,目的AP發(fā)送證書鑒別請求分組給ASU;
步驟105�, ASU發(fā)送證書鑒別響應分組給目的AP;
步驟106,目的AP發(fā)送接入鑒別響應分組給關(guān)聯(lián)AP,關(guān)聯(lián)AP將其轉(zhuǎn) 發(fā)給STA。
至此��,預鑒別過程完成����,STA和目的AP之間建立BKSA并緩存該BKSA。 當STA與預鑒別過的AP進行關(guān)聯(lián)后����,可以利用該已緩存的BKSA進行 單播密鑰協(xié)商和組播密鑰通告過程�。
圖2是本發(fā)明實施例二 STA在目的AP信號范圍外時預鑒別流程圖��,目 的AP和STA之間的消息由關(guān)聯(lián)AP進行轉(zhuǎn)發(fā)�,具體包括
步驟201, STA開始預鑒別過程�����,發(fā)送預鑒別開始分組給關(guān)聯(lián)AP,關(guān) 聯(lián)AP將其轉(zhuǎn)發(fā)給目的AP;
8預鑒別開始分組中包含標識FLAG字段�����、USKID字段�、ADDID字段、 重放計數(shù)器和消息鑒別碼�����。其中標識FLAG字段的預鑒別標識比特值為1���, ADDID字段的值為發(fā)起方STA的MAC地址||目的AP的MAC地址;其中
"||"為鏈接操作�����。
關(guān)聯(lián)AP收到預鑒別開始分組后,還需要檢查重放計數(shù)器和消息鑒別碼 是否有效����,如果有效,才轉(zhuǎn)發(fā)預鑒別開始分組給目的AP����。
步驟202,目的AP收到預鑒別開始分組后,發(fā)送鑒別激活分組給STA��, 開始WAI的證書鑒別過程���。
其中���,目的AP根據(jù)預鑒別開始分組中的ADDID字段向相應的STA發(fā) 出鑒別激活分組。
鑒別激活分組中包含標識字段�����、鑒別標識字段����、本地ASU的身份字段、 ECDH參數(shù)字段,其中���,標識字段的預鑒別標識比特值為1;
步驟203��, STA發(fā)送接入鑒別請求分組給關(guān)聯(lián)AP����,關(guān)聯(lián)AP將其轉(zhuǎn)發(fā)給 目的AP;
步驟204,目的AP發(fā)送證書鑒別請求分組給ASU;
步驟205, ASU發(fā)送證書鑒別響應分組給目的AP;
步驟206,目的AP發(fā)送接入鑒別響應分組給關(guān)聯(lián)AP,關(guān)聯(lián)AP將其轉(zhuǎn) 發(fā)給STA���。
在本發(fā)明另一實施例中����,步驟101或步驟201之前還包括如下步驟
a) STA發(fā)送探詢請求分組給關(guān)聯(lián)AP,探詢目的AP的預鑒別能力信息�����, 關(guān)聯(lián)AP將其轉(zhuǎn)發(fā)給目的AP;
b) 目的AP發(fā)送探詢響應分組給STA����,或者,通過關(guān)聯(lián)AP轉(zhuǎn)發(fā)該探詢 響應分組給STA;
c) STA根據(jù)該探詢響應分組���,判斷目的AP是否支持預鑒別�,如果支 持,則執(zhí)行步驟101或步驟201���,否則,結(jié)束��。本發(fā)明又一實施例中����,步驟101或者步驟201中,關(guān)聯(lián)AP收到預鑒別 開始分組后����,首先發(fā)送探詢請求分組給目的AP,根據(jù)目的AP返回的探詢 響應分組判斷目的AP是否支持預鑒別,如果支持���,關(guān)聯(lián)AP才轉(zhuǎn)發(fā)該預鑒 別開始分組給目的AP�����,否則����,發(fā)送一響應分組《會STA�����,告知STA目的AP 不支持預鑒別。
在本發(fā)明再一實施例中���,步驟101和步驟201之前還包括�,關(guān)聯(lián)AP進 行是否支持預鑒別的廣播����;關(guān)聯(lián)AP保存各AP返回的預鑒別能力信息,步 驟101或201中���,關(guān)聯(lián)AP收到STA的預鑒別開始分組后����,首先根據(jù)保存的 各AP的預鑒別能力信息判斷目的AP是否支持預鑒別���,如果支持����,才轉(zhuǎn)發(fā) 預鑒別開始分組給目的AP���,否則��,發(fā)送一響應分組給STA�,告知STA目的 AP不支持預鑒別。
本發(fā)明還提供一種無線局域網(wǎng)中預鑒別系統(tǒng)��,包括站點�、關(guān)聯(lián)接入點和 目的4妄入點�����,其中
站點��,用于通過關(guān)聯(lián)接入點轉(zhuǎn)發(fā)一預鑒別開始分組給目的接入點��,請求 開始預鑒別��;還用于和目的接入點進行證書鑒別過程�����,建立并緩存基密鑰安 全關(guān)聯(lián)��;
關(guān)聯(lián)接入點���,用于轉(zhuǎn)發(fā)預鑒別開始分組給目的接入點�;還用于站點在所 述目的接入點的信號范圍外時,轉(zhuǎn)發(fā)目的接入點與所述站點進行證書鑒別過 程中交互的消息�����。
目的接入點���,用于收到預鑒別開始分組后�����,向站點發(fā)出鑒別激活分組����, 開始證書鑒別過程�����,站點和該目的接入點間建立并緩存基密鑰安全關(guān)聯(lián)����。
進一步地,站點包括預鑒別能力獲取單元和預鑒別開始單元����,其中
所述預鑒別能力獲取單元�,用于通過關(guān)聯(lián)接入點發(fā)送探詢請求分組給目 的接入點�����,根據(jù)目的接入點返回的探詢響應分組獲取目的接入點的預鑒別能 力信息����;所述預鑒別開始單元,用于在所述預鑒別能力獲取單元獲知所述目的沖妄 入點支持預鑒別時���,才發(fā)送所述預鑒別開始分組給目的接入點。
進一 步地����,所述關(guān)聯(lián)接入點還包括判斷預鑒別能力獲取單元和轉(zhuǎn)發(fā)單 元,其中
所述預鑒別能力獲取單元�,用于發(fā)送一探詢請求分組給目的接入點,根
據(jù)目的接入點返回的探詢響應分組獲取目的接入點的預鑒別能力信息����;
所述轉(zhuǎn)發(fā)單元,用于當所述預鑒別能力獲取單元獲知目的接入點支持預 鑒別時��,才轉(zhuǎn)發(fā)所述預鑒別開始分組給目的接入點�����。
或者,所述關(guān)聯(lián)接入點還包括預鑒別能力獲取單元和轉(zhuǎn)發(fā)單元�����,其中
所述預鑒別能力獲取單元�����,用于進行是否支持預鑒別的廣播�,保存各接 入點返回的預鑒別能力信息;
所述轉(zhuǎn)發(fā)單元�,用于根據(jù)所述預鑒別能力獲取單元保存的各接入點的預 鑒別能力信息判斷目的接入點是否支持預鑒別,當所述目的接入點支持預鑒 別時�,才轉(zhuǎn)發(fā)所述預鑒別開始分組給目的接入點。
權(quán)利要求
1���、一種無線局域網(wǎng)中預鑒別方法����,其特征在于�����,包括,站點通過關(guān)聯(lián)接入點轉(zhuǎn)發(fā)一預鑒別開始分組給目的接入點�����,請求開始預鑒別�;目的接入點收到該預鑒別開始分組后,向該站點發(fā)出鑒別激活分組����,開始證書鑒別過程,站點和該目的接入點間建立并緩存基密鑰安全關(guān)聯(lián)��。
2����、 如權(quán)利要求l所述的方法��,其特征在于�,所述站點在所述目的接入 點的信號范圍外時,由所述關(guān)聯(lián)接入點轉(zhuǎn)發(fā)所述目的接入點與所述站點在證 書鑒別過程中交互的消息����。
3、 如權(quán)利要求1所述的方法�����,其特征在于,所述方法還包括���,所述站 點在發(fā)送預鑒別開始分組前���,通過關(guān)聯(lián)接入點發(fā)送探詢請求分組給目的接入 點,根據(jù)目的接入點返回的探詢響應分組獲取目的接入點的預鑒別能力信 息����,當所述目的接入點支持預鑒別時,才發(fā)送所述預鑒別開始分組給目的接 入點�����。
4�、 如權(quán)利要求1所述的方法,其特征在于�,所述方法還包括,所述關(guān) 聯(lián)接入點在轉(zhuǎn)發(fā)所述預鑒別開始分組前�����,發(fā)送一探詢請求分組給目的接入 點,根據(jù)目的接入點返回的探詢響應分組獲取目的接入點的預鑒別能力信 息�,當所述目的接入點支持預鑒別時,才轉(zhuǎn)發(fā)所述預鑒別開始分組給目的接 入點���。
5����、 如權(quán)利要求1所述的方法��,其特征在于���,所述方法還包括�,所述關(guān) 聯(lián)接入點進行是否支持預鑒別的廣播����,保存各接入點返回的預鑒別能力信 息;所述關(guān)聯(lián)接入點在轉(zhuǎn)發(fā)所述預鑒別開始分組前�����,根據(jù)保存的各接入點的 預鑒別能力信息判斷所述目的接入點支持預鑒別時��,才轉(zhuǎn)發(fā)所述預鑒別開始 分組給目的接入點����。
6、 一種無線局域網(wǎng)中預鑒別系統(tǒng)���,其特征在于�����,包括站點���、關(guān)聯(lián)接入 點和目的接入點,其中站點�����,用于通過關(guān)聯(lián)接入點轉(zhuǎn)發(fā)一預鑒別開始分組給目的接入點����,請求 開始預鑒別;還用于和目的接入點進行證書鑒別過程�,建立并緩存基密鑰安 全關(guān)聯(lián);關(guān)聯(lián)接入點���,用于轉(zhuǎn)發(fā)預鑒別開始分組給目的接入點�;目的接入點,用于收到預鑒別開始分組后�����,向站點發(fā)出鑒別激活分組�����, 開始證書鑒別過程���,站點和該目的接入點間建立并緩存基密鑰安全關(guān)聯(lián)���。
7、 如權(quán)利要求6所述的系統(tǒng)�����,其特征在于���,所述關(guān)聯(lián)接入點����,還用于 所述站點在所述目的接入點的信號范圍外時��,轉(zhuǎn)發(fā)目的接入點與所述站點進 行證書鑒別過程中交互的消息�����。
8�、 如權(quán)利要求6所述的系統(tǒng),其特征在于�,所述站點包括預鑒別能力 獲取單元和預鑒別開始單元,其中所述預鑒別能力獲取單元���,用于通過關(guān)聯(lián)接入點發(fā)送探詢請求分組給目 的接入點���,根據(jù)目的接入點返回的探詢響應分組獲取目的接入點的預鑒別能 力信息;所述預鑒別開始單元���,用于在所述預鑒別能力獲取單元獲知所述目的接 入點支持預鑒別時���,才發(fā)送所述預鑒別開始分組給目的接入點。
9���、 如權(quán)利要求6所述的系統(tǒng)��,其特征在于�����,所述關(guān)聯(lián)接入點還包括判 斷預鑒別能力獲取單元和轉(zhuǎn)發(fā)單元�,其中所述預鑒別能力獲取單元,用于發(fā)送一探詢請求分組給目的接入點�����,根 據(jù)目的接入點返回的探詢響應分組獲取目的接入點的預鑒別能力信息����;所述轉(zhuǎn)發(fā)單元,用于當所述預鑒別能力獲取單元獲知目的接入點支持預 鑒別時�,才轉(zhuǎn)發(fā)所述預鑒別開始分組給目的接入點。
10�����、 如權(quán)利要求6所述的系統(tǒng)���,其特征在于��,所述關(guān)聯(lián)接入點還包括預 鑒別能力獲取單元和轉(zhuǎn)發(fā)單元��,其中所述預鑒別能力獲取單元�����,用于進行是否支持預鑒別的廣播�,保存各接 入點返回的預鑒別能力信息���;所述轉(zhuǎn)發(fā)單元�����,用于根據(jù)所述預鑒別能力獲取單元保存的各接入點的預 鑒別能力信息判斷目的接入點是否支持預鑒別�,當所述目的接入點支持預鑒 別時���,才轉(zhuǎn)發(fā)所述預鑒別開始分組給目的接入點����。
全文摘要
本發(fā)明提供了一種無線局域網(wǎng)中預鑒別方法����,包括,站點通過關(guān)聯(lián)接入點轉(zhuǎn)發(fā)一預鑒別開始分組給目的接入點����,請求開始預鑒別����;目的接入點收到該預鑒別開始分組后���,向該站點發(fā)出鑒別激活分組�,開始證書鑒別過程��,站點和該目的接入點間建立并緩存基密鑰安全關(guān)聯(lián)��。本發(fā)明還提供了一種無線局域網(wǎng)中預鑒別系統(tǒng)�����。本發(fā)明提供的預鑒別方法�,減少了站點接入時間。
文檔編號H04W84/02GK101568117SQ20091014294
公開日2009年10月28日 申請日期2009年5月14日 優(yōu)先權(quán)日2009年5月14日
發(fā)明者建 劉 申請人:建 劉