無線網(wǎng)絡(luò)中的密鑰協(xié)商方法及裝置制造方法
【專利摘要】本申請公開了一種無線網(wǎng)絡(luò)中的密鑰協(xié)商方法及裝置�,其中,該方法包括:A��、AP向無線客戶端發(fā)送EAPOL-Key報文Message3���,并計時����;B�����、若在到達(dá)預(yù)定時間間隔之后����,AP仍未成功接收到無線客戶端發(fā)來的EAPOL-Key報文Message4,則執(zhí)行第一操作或第二操作��;重復(fù)執(zhí)行步驟A和步驟B��,直至Message3的重傳次數(shù)超過預(yù)設(shè)的重傳次數(shù)門限值時�����,確認(rèn)密鑰協(xié)商失敗���;其中���,第一操作是安裝密鑰,第二操作是卸載密鑰�,或者,第一操作是安裝新密鑰���,第二操作是安裝舊密鑰�����;在第2N-1次執(zhí)行步驟B時,執(zhí)行第一操作�,在第2N次執(zhí)行步驟B時,執(zhí)行第二操作�����,N為大于0的自然數(shù)����。本申請中����,AP最終能夠正確解密無線客戶端回復(fù)的密文的Message4���,并按照密鑰協(xié)商成功處理��,使得無線客戶端能夠成功認(rèn)證并接入AP����。
【專利說明】無線網(wǎng)絡(luò)中的密鑰協(xié)商方法及裝置
【技術(shù)領(lǐng)域】
[0001]本申請涉及無線網(wǎng)絡(luò)【技術(shù)領(lǐng)域】��,特別涉及一種無線網(wǎng)絡(luò)中的密鑰協(xié)商方法及裝置�。
【背景技術(shù)】
[0002]AP(Access Point,無線接入點(diǎn))是一種無線收發(fā)設(shè)備����,是無線網(wǎng)絡(luò)的接入點(diǎn),其一端通過無線網(wǎng)絡(luò)連接無線客戶端���,另一端連接有線網(wǎng)絡(luò)(例如Internet)����。AP可以將收到的來自無線客戶端的無線信號轉(zhuǎn)換成數(shù)據(jù)后轉(zhuǎn)發(fā)到有線網(wǎng)絡(luò)�,以及將收到的來自有線網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)換成無線信號后轉(zhuǎn)發(fā)給無線客戶端�����。為了無線網(wǎng)絡(luò)的安全性���,無線客戶端與AP在進(jìn)行通信時需要使用密鑰對報文進(jìn)行加密,這樣�,無線客戶端上線時,會與AP進(jìn)行密鑰協(xié)商��,雙方協(xié)商出相同的密鑰�,對報文進(jìn)行加解密處理。并且�,在無線客戶端上線成功之后,也會與AP定期進(jìn)行密鑰更新���。
[0003]目前,主要有RSN(Robust Security Network,固安網(wǎng)絡(luò))模式和 WPA(Wi_FiProtected Access, W1-Fi防護(hù)訪問)模式�。在RSN模式中,無線客戶端與AP之間通過四次 EAPOL-Key (Extensible Authenticat1n Protocol Over LAN-Key,基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議-密鑰)報文的交互�����,來完成用于對單播報文進(jìn)行加密的密鑰PTK(PairwiseTransient Key,成對臨時密鑰)和用于對非單播報文進(jìn)行加密的密鑰GTK (Group TemporalKey��,群組臨時密鑰)的協(xié)商;WPA模式的密鑰協(xié)商過程與RSN模式類似����,不同之處在于,無線客戶端與AP之間通過六次EAPOL-Key報文的交互完成PTK和GTK的協(xié)商�,其中在前四次EAPOL-Key報文的交互中僅完成PTK的協(xié)商,之后還需要再通過兩次EAPOL-Key報文的交互來協(xié)商GTK�����。
[0004]一般情況下��,無線客戶端是在發(fā)送完MeSSage4之后安裝密鑰����,但是,某些無線客戶端會提前安裝密鑰���,即�����,在收到Message3之后以及向AP回復(fù)Message4之前��,就安裝密鑰��,這種情況下���,無線客戶端回復(fù)的MeSSage4是加密的報文�����,而AP此時尚未安裝密鑰�,無法對加密的Message4進(jìn)行解密,只能丟棄加密的Message4,此時認(rèn)為沒有成功接收到Message4��。這樣,AP就會不斷重傳Message3,直至在超過重傳次數(shù)門限值時,按照密鑰協(xié)商失敗處理�。最終,導(dǎo)致無線客戶端認(rèn)證失敗����,無法接入AP。
【發(fā)明內(nèi)容】
[0005]有鑒于此�����,本申請?zhí)峁┝艘环N無線網(wǎng)絡(luò)中的密鑰協(xié)商方法及裝置�����。
[0006]本申請的技術(shù)方案如下:
[0007]—方面���,提供了一種無線網(wǎng)絡(luò)中的密鑰協(xié)商方法���,包括:
[0008]A、AP向無線客戶端發(fā)送EAPOL-Key報文Message3,并計時�����;
[0009]B����、若在到達(dá)預(yù)定時間間隔之后,AP仍未成功接收到無線客戶端發(fā)來的EAPOL-Key報文Message4,則執(zhí)行第一操作或第二操作��;
[0010]重復(fù)執(zhí)行步驟A和步驟B�,直至MeSSage3的重傳次數(shù)超過預(yù)設(shè)的重傳次數(shù)門限值時,確認(rèn)密鑰協(xié)商失?。?br>
[0011]其中�����,第一操作是安裝密鑰��,第二操作是卸載密鑰,或者��,第一操作是安裝新密鑰��,第二操作是安裝舊密鑰��;在第2N-1次執(zhí)行步驟B時�,執(zhí)行第一操作,在第2N次執(zhí)行步驟B時��,執(zhí)行第二操作��,N為大于O的自然數(shù)��。
[0012]另一方面���,還提供了一種無線網(wǎng)絡(luò)中的密鑰協(xié)商裝置��,該裝置應(yīng)用于無線網(wǎng)絡(luò)中的AP上�,該裝置包括:
[0013]接收模塊,用于接收無線客戶端發(fā)來的EAPOL-Key報文Message4 ����;
[0014]處理模塊,用于執(zhí)行步驟A和步驟B���,其中���,步驟A包括:向無線客戶端發(fā)送EAPOL-Key報文MeSSage3,并計時����;步驟B包括:若在到達(dá)預(yù)定時間間隔之后,接收模塊仍未成功接收到無線客戶端發(fā)來的EAPOL-Key報文Message4,則執(zhí)行第一操作或第二操作�����;
[0015]失敗確認(rèn)模塊�,用于控制處理模塊重復(fù)執(zhí)行步驟A和步驟B,直至Message3的重傳次數(shù)超過預(yù)設(shè)的重傳次數(shù)門限值時���,確認(rèn)密鑰協(xié)商失?��。?br>
[0016]其中����,第一操作是安裝密鑰,第二操作是卸載密鑰����,或者���,第一操作是安裝新密鑰,第二操作是安裝舊密鑰���;處理模塊在第2N-1次執(zhí)行步驟B時�,執(zhí)行第一操作�,處理模塊在第2N次執(zhí)行步驟B時,執(zhí)行第二操作���,N為大于O的自然數(shù)���。
[0017]本申請的以上技術(shù)方案中,在無線客戶端提前安裝密鑰的異常情況下��,AP在首次發(fā)送Message3時開始計時��,由于無線客戶端收到Message3后���、以及回復(fù)Message4前就安裝密鑰��,因此��,回復(fù)的Message4是加密后的密文報文�����,AP無法解密該密文的Message4�����,會做丟棄處理�,因此����,在預(yù)定時間間隔T到達(dá)之前,AP無法成功接收到Messaged則安裝密鑰后重傳Message3并開始計時�,此時該重傳的Message3是密文報文,無線客戶端可以正確解密收到的該密文的Message3并回復(fù)密文的Message4��,AP接收到該密文的Message4后可以使用安裝的密鑰進(jìn)行正確解密���,從而�,在預(yù)定時間間隔T到達(dá)之前���,AP成功接收到了Messaged則可以按照現(xiàn)有技術(shù)執(zhí)行后續(xù)相關(guān)處理��,確認(rèn)密鑰協(xié)商成功��?��?梢?���,按照上述方法�,AP最終能夠正確解密無線客戶端回復(fù)的密文的Message4,并按照密鑰協(xié)商成功處理,使得無線客戶端能夠成功認(rèn)證并接入AP��。
【專利附圖】
【附圖說明】
[0018]圖1是現(xiàn)有技術(shù)的RSN模式的密鑰協(xié)商過程的流程示意圖�����;
[0019]圖2是本申請實(shí)施例的無線網(wǎng)絡(luò)中的密鑰協(xié)商方法的流程示意圖�����;
[0020]圖3是本申請實(shí)施例中在無線客戶端提前安裝密鑰時的首次密鑰協(xié)商過程的示意圖����;
[0021]圖4是本申請實(shí)施例的無線網(wǎng)絡(luò)中的密鑰協(xié)商裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0022]如圖1所示����,現(xiàn)有技術(shù)的RSN模式的密鑰協(xié)商過程包括以下四個步驟:
[0023]步驟S102���,AP向無線客戶端發(fā)送攜帶有隨機(jī)數(shù)ANonce的EAPOL-Key報文Messagel ;
[0024]步驟S104��,無線客戶端接收到Messagel之后��,使用無線客戶端生成的隨機(jī)數(shù)SNonce����、已經(jīng)協(xié)商好的PMK (Pairwise Master Key����,成對主密鑰)、以及Messagel中攜帶的隨機(jī)數(shù)ANonce,來計算生成PTK,然后使用生成的PTK中的KCK (EAPOL-Key Confirmat1nKey,基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議-密鑰確認(rèn)密鑰)得到MIC(Message Integrity Check,信息完整性校驗(yàn))�����,向AP發(fā)送攜帶隨機(jī)數(shù)SNonce和MIC的EAPOL-Key報文Message2 �;
[0025]步驟S106,AP接收到Message2之后�����,使用隨機(jī)數(shù)ANonce、已經(jīng)協(xié)商好的PMK��、以及MeSSage2中攜帶的隨機(jī)數(shù)SNonce�����,來計算生成PTK�,然后使用生成的PTK中的KCK得到MIC,對Message2進(jìn)行MIC校驗(yàn),即��,將AP生成的MIC與Message2中攜帶的MIC進(jìn)行比較���,如果這兩個MIC相同�,則MIC校驗(yàn)成功��,否則���,MIC校驗(yàn)失敗��。在MIC校驗(yàn)成功后���,使用隨機(jī)值 GMK (Group Master Key,群組主密鑰)和 AP 的 MAC (Media Access Control,媒體訪問控制)地址生成GTK,并向無線客戶端發(fā)送攜帶用于通知無線客戶端安裝密鑰的標(biāo)記�����、MIC和GTK 的 EAPOL-Key 報文 Message3 ;
[0026]步驟S108�,無線客戶端接收到Message3之后,首先對Message3進(jìn)行MIC校驗(yàn)���,然后���,向AP發(fā)送攜帶用于安裝密鑰確認(rèn)標(biāo)記和MIC的EAPOL-Key報文Messaged之后,安裝PTK 和 GTK �����;
[0027]步驟S110�����,AP接收到Message4之后���,首先對Message4進(jìn)行MIC校驗(yàn),然后�,在校驗(yàn)成功后安裝PTK和GTK。
[0028]由上可見�,在RSN模式中��,如果無線客戶端提前安裝密鑰�����,即�,在收到Message3之后以及向AP回復(fù)Message4之前,就安裝密鑰�����,貝U無線客戶端回復(fù)的Message4是加密的報文�,而AP此時尚未安裝密鑰,無法對加密的Message4進(jìn)行解密,只能丟棄加密的Message4,此時AP認(rèn)為沒有成功接收到Message4。這樣,AP就會不斷重傳Message3,直至在超過重傳次數(shù)門限值時����,按照密鑰協(xié)商失敗處理。同樣����,在WPA模式中,在無線客戶端提前安裝密鑰的情況下���,在MeSSage3的重傳次數(shù)超過重傳次數(shù)門限值時��,也會按照密鑰協(xié)商失敗處理��。
[0029]為了解決現(xiàn)有技術(shù)中存在的上述問題����,本申請以下實(shí)施例中提供了一種無線網(wǎng)絡(luò)中的密鑰協(xié)商方法,以及一種可以應(yīng)用該方法的裝置�����。
[0030]以下實(shí)施例的無線網(wǎng)絡(luò)中包括:無線客戶端和AP�����。以下實(shí)施例的方法可以應(yīng)用于首次密鑰協(xié)商過程中�����,也可以應(yīng)用于后續(xù)的密鑰更新時的密鑰協(xié)商過程中���;可以應(yīng)用于RSN模式中,也可以應(yīng)用于WPA模式中��。
[0031]如圖2所示,本申請實(shí)施例的密鑰協(xié)商方法由AP執(zhí)行�,該方法包括以下步驟:
[0032]步驟S202,AP向無線客戶端發(fā)送EAPOL-Key報文Messagel �;
[0033]步驟S204�,AP接收到無線客戶端發(fā)來的EAPOL-Key報文Message2 �����;
[0034]步驟S202?步驟S204的【具體實(shí)施方式】可以參見現(xiàn)有技術(shù)����,這里不再贅述�����。
[0035]步驟S206,AP向無線客戶端發(fā)送EAPOL-Key報文Message3��,并計時;
[0036]在實(shí)際實(shí)施過程中�����,可以使用重傳定時器進(jìn)行計時��。向無線客戶端發(fā)送EAPOL-Key報文MeSSage3的【具體實(shí)施方式】可以參見現(xiàn)有技術(shù),這里不再贅述��。
[0037]步驟S208�����,AP判斷在到達(dá)預(yù)定時間間隔之前��,是否成功接收到了無線客戶端發(fā)來的EAPOL-Key報文Message4,若在到達(dá)預(yù)定時間間隔之前����,成功接收到了 Message4,則執(zhí)行步驟S210,若在到達(dá)預(yù)定時間間隔之后����,仍未成功接收到Messaged則執(zhí)行步驟S212 �����;
[0038]其中��,可以按照以下兩種情況確認(rèn)成功接收到了 Message4:
[0039]情況一:無線客戶端和AP均安裝了密鑰
[0040]此時,無線客戶端發(fā)來的Message4是經(jīng)過密鑰加密后的密文報文��,AP成功接收到了 MeSSage4指的是:AP使用當(dāng)前安裝的密鑰正確解密接收到的密文的MeSSage4����。
[0041]情況二:無線客戶端和AP均未安裝密鑰
[0042]此時����,無線客戶端發(fā)來的Message4是未經(jīng)密鑰加密的明文報文����,AP成功接收到了Message4指的是:AP接收到了該明文的Message4。
[0043]步驟S210,根據(jù)接收到的Message4進(jìn)行相關(guān)處理�����;
[0044]此處所說的相關(guān)處理包括:在RSN模式中�,對接收到的Message4進(jìn)行MIC校驗(yàn)成功,確認(rèn)密鑰協(xié)商成功���;在WPA模式中�,對接收到的MeSSage4進(jìn)行MIC校驗(yàn)成功����,與無線客戶端再進(jìn)行兩次EAPOL-Key報文的交互后,確認(rèn)密鑰協(xié)商成功�。
[0045]步驟S212,執(zhí)行第一操作或第二操作�;
[0046]其中,如果是首次密鑰協(xié)商過程�,則在第2N-1次執(zhí)行步驟S212時�����,執(zhí)行的是第一操作:安裝密鑰,在第2N次執(zhí)行步驟S212時�����,執(zhí)行的是第二操作:卸載密鑰����。如果是后續(xù)密鑰更新時的密鑰協(xié)商過程,則在第2N-1次執(zhí)行步驟S212時���,執(zhí)行的是第一操作:安裝新密鑰�����,在第2N次執(zhí)行步驟S212時���,執(zhí)行的是第二操作:安裝舊密鑰。N為大于O的自然數(shù)���。
[0047]由于現(xiàn)有的重傳定時器每次超時后���,會將計時時間延長等待下一次超時��,也就是說��,每次超時后���,會將自己的計時時間延長。因?yàn)锳P在接收到Message4后,根據(jù)不同的情況存在兩種操作方式����,此時需要將重傳延時延長設(shè)定為分別執(zhí)行一次不同操作后再進(jìn)行,從而避免不同操作之間重傳延時變長所造成的接入時間延長��。在本申請實(shí)施例的方法中��,重傳定時器每兩次超時后����,將自己的計時時間延長。例如��,重傳定時器的計時時間分別為5秒���、5秒�����、6秒����、6秒�����、8秒����、8秒......。
[0048]在本申請實(shí)施例的技術(shù)方案中�,AP向無線客戶端發(fā)送EAPOL-Key報文MeSSage3,并計時��,若在到達(dá)預(yù)定時間間隔之后��,仍未成功接收到無線客戶端發(fā)來的EAPOL-Key報文Message4,則AP執(zhí)行第一操作或第二操作�;重復(fù)執(zhí)行上述步驟,直至Message3的重傳次數(shù)超過預(yù)設(shè)的重傳次數(shù)門限值時�,確認(rèn)密鑰協(xié)商失敗����;其中���,第一操作是安裝密鑰,第二操作是卸載密鑰��,或者�����,第一操作是安裝新密鑰���,第二操作是安裝舊密鑰����;在第2N-1次執(zhí)行上述步驟時����,執(zhí)行第一操作,在第2N次執(zhí)行上述步驟時����,執(zhí)行第二操作,N為大于O的自然數(shù)。
[0049]這樣,在正常情況下��,AP在首次發(fā)送Message3時開始計時���,由于無線客戶端是在回復(fù)Message4之后安裝密鑰�,因此����,回復(fù)的Message4是未經(jīng)加密的明文報文,從而����,AP在預(yù)定時間間隔T到達(dá)之前��,接收到了該明文的Messaged則按照現(xiàn)有技術(shù)執(zhí)行后續(xù)相關(guān)處理�����,確認(rèn)密鑰協(xié)商成功���,使得無線客戶端能夠成功認(rèn)證并接入AP����。
[0050]在無線客戶端提前安裝密鑰的異常情況下,AP在首次發(fā)送Message3時開始計時�,由于無線客戶端收到Message3后、以及回復(fù)Message4前就安裝密鑰��,因此�,回復(fù)的Message4是加密后的密文報文,AP無法解密該密文的Message4�����,會做丟棄處理�,因此,在預(yù)定時間間隔T到達(dá)之前����,AP無法成功接收到Messaged則安裝密鑰后重傳MeSSage3并開始計時,此時該重傳的Message3是密文報文��,無線客戶端可以正確解密收到的該密文的Message3并回復(fù)密文的Message4,AP接收到該密文的Message4后可以使用安裝的密鑰進(jìn)行正確解密�����,從而�,在預(yù)定時間間隔T到達(dá)之前,AP成功接收到了 Messaged則可以按照現(xiàn)有技術(shù)執(zhí)行后續(xù)相關(guān)處理�,確認(rèn)密鑰協(xié)商成功���。可見����,按照上述方法,AP最終能夠正確解密無線客戶端回復(fù)的密文的Message4,并按照密鑰協(xié)商成功處理,使得無線客戶端能夠成功認(rèn)證并接入AP�����。
[0051]在首個Message3丟失的異常情況下,AP在首次發(fā)送Message3時開始計時�,由于該Message3在傳輸過程中丟失,無線客戶端收不到該Message3則不會回復(fù)Message4,因此,在預(yù)定時間間隔T到達(dá)之前,AP接收不到Message4,則安裝密鑰后重傳Message3并開始計時��,此時該重傳的MeSSage3是密文報文���,由于無線客戶端尚未安裝密鑰,因此無線客戶端收到該密文的Message3后無法正確解密,會丟棄該密文的Message3,不會回復(fù)Message4,從而����,在預(yù)定時間間隔T到達(dá)之前,AP接收不到Message4,則卸載密鑰后再次重傳Message3并開始計時,此時該重傳的Message3是明文報文,無線客戶端收到該明文的Message3后回復(fù)Message4并安裝密鑰,AP在預(yù)定時間間隔T到達(dá)之前接收到了該明文的Message4,則可以按照現(xiàn)有技術(shù)執(zhí)行后續(xù)相關(guān)處理���,確認(rèn)密鑰協(xié)商成功�����,使得無線客戶端能夠成功認(rèn)證并接入AP�����。
[0052]在首個Message4丟失的異常情況下�����,AP在首次發(fā)送Message3時開始計時,無線客戶端收到該Message3后回復(fù)明文的Message4并安裝密鑰�����,由于該明文的Message4在傳輸過程中丟失了���,因此�,AP在預(yù)定時間間隔T到達(dá)之前接收不到該明文的Messaged則安裝密鑰后重傳Message3并開始計時���,此時該重傳的Message3是密文報文����,無線客戶端可以使用安裝的密鑰正確解密收到的密文的MeSSage3�����,并回復(fù)密文的MeSSage4,AP在預(yù)定時間間隔T到達(dá)之前�,接收到了該密文的MeSSage4并使用安裝的密鑰進(jìn)行正確解密,則可以按照現(xiàn)有技術(shù)執(zhí)行后續(xù)相關(guān)處理�,確認(rèn)密鑰協(xié)商成功,使得無線客戶端能夠成功認(rèn)證并接入AP���。
[0053]以下以RSN模式下的首次密鑰協(xié)商過程中���,無線客戶端提前安裝密鑰時的一個具體實(shí)例來詳細(xì)說明上述方法。
[0054]如圖3所示�����,此時的密鑰協(xié)商方法包括以下步驟:
[0055]步驟S302����,AP向無線客戶端發(fā)送EAPOL-Key報文Messagel ;
[0056]無線客戶端接收到Messagel之后�,向AP發(fā)送EAPOL-Key報文Message2 ����;
[0057]步驟S304��,AP接收到無線客戶端發(fā)來的EAPOL-Key報文Message2 �;
[0058]步驟S306,AP向無線客戶端發(fā)送EAPOL-Key報文Message3,此時發(fā)送的Message3是明文報文�����;發(fā)送的同時�����,開啟重傳定時器�;
[0059]無線客戶端接收到MeSSage3之后,安裝密鑰�����,向AP發(fā)送加密后的EAPOL-Key報文Message4,此時發(fā)送的Message4是密文報文����;
[0060]步驟S308,由于AP此時尚未安裝密鑰�����,因此�,無線客戶端發(fā)來的密文的Message4被丟棄���,AP認(rèn)為沒有接收到MeSSage4 ;
[0061]步驟S310��,當(dāng)重傳定時器超時時��,由于沒有成功接收到無線客戶端發(fā)來的Message4,則安裝密鑰�����,由于此時Message3的重傳次數(shù)尚未超過預(yù)設(shè)的重傳次數(shù)門限值���,因此���,重傳Message3,此時發(fā)送的Message3是密文報文,同時開啟重傳定時器����;
[0062]無線客戶端接收到密文的MeSSage3之后,由于已經(jīng)安裝了密鑰�,因此,可以正確解密該密文的Message3,并按照現(xiàn)有技術(shù)回復(fù)密文的Message4 �����;
[0063]步驟S312�,AP接收到密文的Messaged由于已經(jīng)安裝了密鑰,因此�����,可以正確解密該密文的Message4,即���,在重傳定時器超時之前,成功接收到了 Message4,對解密得到的明文的Message4進(jìn)行MIC校驗(yàn)成功后,執(zhí)行相關(guān)處理,確認(rèn)密鑰協(xié)商成功��。
[0064]假設(shè)��,重傳定時器的超時時間平均為t�����,Message3的重傳次數(shù)門限值為η����。貝U���,現(xiàn)有技術(shù)中�,在無線客戶端提前安裝密鑰的情況下,密鑰協(xié)商成功所需的時間T(無線客戶端提前安裝密鑰)=tXn ;而采用本申請實(shí)施例的方法后���,密鑰協(xié)商成功所需的時間T(無線客戶端提前安裝密鑰)=tX2�����。
[0065]例如= 800ms, η = 7,則采用本申請實(shí)施例的方法后,密鑰協(xié)商成功所需的時間可以縮短4s�����。
[0066]可見����,在無線客戶端提前安裝密鑰的情況下����,使用本申請實(shí)施例的方法,AP最終可以正確解密無線客戶端回復(fù)的密文的Messaged并按照密鑰協(xié)商成功處理���,使得無線客戶端能夠成功認(rèn)證并接入AP�����。
[0067]以上僅以RSN模式為例進(jìn)行描述��,在WPA模式下���,進(jìn)行密鑰協(xié)商的過程相類似����,不再贅述����。
[0068]針對上述實(shí)施例的方法����,本申請實(shí)施例中還提供了一種無線網(wǎng)絡(luò)中的密鑰協(xié)商裝置,該裝置應(yīng)用于AP上��。
[0069]如圖4所示��,該裝置中包括以下模塊:接收模塊10����、處理模塊20、失敗確認(rèn)模塊30和成功確認(rèn)模塊40�,其中:
[0070]接收模塊10,用于接收無線客戶端發(fā)來的EAPOL-Key報文MeSSage4 �;
[0071]處理模塊20,用于執(zhí)行步驟A和步驟B,其中���,步驟A包括:向無線客戶端發(fā)送EAPOL-Key報文Message3��,并計時��;步驟B包括:若在到達(dá)預(yù)定時間間隔之后����,接收模塊10仍未成功接收到無線客戶端發(fā)來的EAPOL-Key報文Message4,則執(zhí)行第一操作或第二操作�;
[0072]失敗確認(rèn)模塊30,用于控制處理模塊20重復(fù)執(zhí)行步驟A和步驟B����,直至MeSSage3的重傳次數(shù)超過預(yù)設(shè)的重傳次數(shù)門限值時,確認(rèn)密鑰協(xié)商失?����?;
[0073]成功確認(rèn)模塊40,用于若在處理模塊20的計時時間到達(dá)預(yù)定時間間隔之前���,接收模塊10成功接收到了無線客戶端發(fā)來的EAPOL-Key報文Message4,則根據(jù)該Message4進(jìn)行相關(guān)處理���,確認(rèn)密鑰協(xié)商成功�;
[0074]其中����,第一操作是安裝密鑰,第二操作是卸載密鑰�,或者,第一操作是安裝新密鑰�,第二操作是安裝舊密鑰�����;處理模塊20在第2N-1次執(zhí)行步驟B時�����,執(zhí)行第一操作����,處理模塊20在第2N次執(zhí)行步驟B時,執(zhí)行第二操作�,N為大于O的自然數(shù);
[0075]其中�����,當(dāng)?shù)谝徊僮魇前惭b密鑰,第二操作是卸載密鑰時�,在處理模塊20第2N-1次執(zhí)行的步驟A中,向無線客戶端發(fā)送的Message是未經(jīng)密鑰加密的明文報文��;在處理模塊20第2N次執(zhí)行的步驟A中����,向無線客戶端發(fā)送的Message3是經(jīng)過密鑰加密后的密文報文。
[0076]其中����,當(dāng)?shù)谝徊僮魇前惭b新密鑰,第二操作是安裝舊密鑰時�����,在處理模塊20第2N-1次執(zhí)行的步驟A中��,向無線客戶端發(fā)送的Message3是經(jīng)過舊密鑰加密后的密文報文�����;在處理模塊20第2N次執(zhí)行的步驟A中��,向無線客戶端發(fā)送的是經(jīng)過新密鑰加密后的密文報文。
[0077]其中�����,成功確認(rèn)模塊40�����,具體用于當(dāng)無線客戶端發(fā)來的Message4是加密后的密文報文時�,接收模塊10使用當(dāng)前安裝的密鑰正確解密接收到的密文的Messaged則確定成功接收到了無線客戶端發(fā)來的Message4 ;當(dāng)無線客戶端發(fā)來的Message4是未經(jīng)密鑰加密的明文報文時,接收模塊10接收到了該明文的Messaged則確定成功接收到了無線客戶端發(fā)來的 Message4�。
[0078]其中,處理模塊20每執(zhí)行兩次步驟B之后���,延長預(yù)定時間間隔。
[0079]綜上����,本申請以上實(shí)施例可以達(dá)到以下技術(shù)效果:
[0080]在無線客戶端提前安裝密鑰的異常情況下,AP在首次發(fā)送MeSSage3時開始計時���,由于無線客戶端收到Message3后����、以及回復(fù)Message4前就安裝密鑰,因此�,回復(fù)的Message4是加密后的密文報文,AP無法解密該密文的Message4��,會做丟棄處理��,因此����,在預(yù)定時間間隔T到達(dá)之前,AP無法成功接收到Messaged則安裝密鑰后重傳MeSSage3并開始計時�,此時該重傳的Message3是密文報文,無線客戶端可以正確解密收到的該密文的Message3并回復(fù)密文的Message4,AP接收到該密文的Message4后可以使用安裝的密鑰進(jìn)行正確解密����,從而,在預(yù)定時間間隔T到達(dá)之前���,AP成功接收到了 Messaged則可以按照現(xiàn)有技術(shù)執(zhí)行后續(xù)相關(guān)處理�����,確認(rèn)密鑰協(xié)商成功�?��?梢?���,按照上述方法,AP最終能夠正確解密無線客戶端回復(fù)的密文的Message4,并按照密鑰協(xié)商成功處理,使得無線客戶端能夠成功認(rèn)證并接入AP�。
[0081]以上所述僅為本申請的較佳實(shí)施例而已,并不用以限制本申請����,凡在本申請的精神和原則之內(nèi),所做的任何修改����、等同替換、改進(jìn)等���,均應(yīng)包含在本申請保護(hù)的范圍之內(nèi)。
【權(quán)利要求】
1.一種無線網(wǎng)絡(luò)中的密鑰協(xié)商方法���,其特征在于��,包括: A����、無線接入點(diǎn)AP向無線客戶端發(fā)送基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議-密鑰EAPOL-Key報文Message3,并計時; B���、若在到達(dá)預(yù)定時間間隔之后���,所述AP仍未成功接收到無線客戶端發(fā)來的EAPOL-Key報文Message4,則執(zhí)行第一操作或第二操作; 重復(fù)執(zhí)行步驟A和步驟B�,直至MeSSage3的重傳次數(shù)超過預(yù)設(shè)的重傳次數(shù)門限值時,確認(rèn)密鑰協(xié)商失?�?��; 其中�,第一操作是安裝密鑰����,第二操作是卸載密鑰,或者�,第一操作是安裝新密鑰,第二操作是安裝舊密鑰����;在第2N-1次執(zhí)行所述步驟B時,執(zhí)行第一操作,在第2N次執(zhí)行所述步驟B時���,執(zhí)行第二操作��,N為大于O的自然數(shù)����。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,還包括: 若在到達(dá)預(yù)定時間間隔之前,成功接收到了所述Messaged則所述AP根據(jù)所述Message4進(jìn)行相關(guān)處理,確認(rèn)密鑰協(xié)商成功����。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于����,當(dāng)?shù)谝徊僮魇前惭b密鑰,第二操作是卸載密鑰時�, 在第2N-1次執(zhí)行的步驟A中,向所述無線客戶端發(fā)送的Message是未經(jīng)密鑰加密的明文報文�����; 在第2N次執(zhí)行的步驟A中����,向所述無線客戶端發(fā)送的Message是經(jīng)過密鑰加密后的密文報文。
4.根據(jù)權(quán)利要求1所述的方法����,其特征在于,當(dāng)?shù)谝徊僮魇前惭b新密鑰�����,第二操作是安裝舊密鑰時��, 在第2N-1次執(zhí)行的步驟A中�,向所述無線客戶端發(fā)送的Message是經(jīng)過舊密鑰加密后的密文報文; 在第2N次執(zhí)行的步驟A中���,向所述無線客戶端發(fā)送的是經(jīng)過新密鑰加密后的密文報文���。
5.根據(jù)權(quán)利要求2所述的方法,其特征在于��,所述成功接收到了所述Messaged包括: 當(dāng)所述無線客戶端發(fā)來的MeSSage4是經(jīng)過密鑰加密后的密文報文時����,AP使用當(dāng)前安裝的密鑰正確解密接收到的密文的Messaged則確定成功接收到了所述無線客戶端發(fā)來的Message4 ��; 當(dāng)所述無線客戶端發(fā)來的Message是未經(jīng)密鑰加密的明文報文時����,AP接收到了該明文的Message4,則確定成功接收到了所述無線客戶端發(fā)來的Message4�����。
6.根據(jù)權(quán)利要求1所述的方法��,其特征在于����,每執(zhí)行兩次所述步驟B之后,延長所述預(yù)定時間間隔����。
7.一種無線網(wǎng)絡(luò)中的密鑰協(xié)商裝置,其特征在于��,應(yīng)用于所述無線網(wǎng)絡(luò)中的無線接入點(diǎn)AP上,所述裝置包括: 接收模塊���,用于接收無線客戶端發(fā)來的基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議-密鑰EAPOL-Key報文 Message4 �����; 處理模塊���,用于執(zhí)行步驟A和步驟B,其中�����,步驟A包括:向無線客戶端發(fā)送EAPOL-Key報文Message�,并計時;步驟B包括:若在到達(dá)預(yù)定時間間隔之后���,所述接收模塊仍未成功接收到無線客戶端發(fā)來的EAPOL-Key報文Message4,則執(zhí)行第一操作或第二操作����; 失敗確認(rèn)模塊�,用于控制所述處理模塊重復(fù)執(zhí)行步驟A和步驟B,直至MeSSage3的重傳次數(shù)超過預(yù)設(shè)的重傳次數(shù)門限值時���,確認(rèn)密鑰協(xié)商失?���。? 其中���,第一操作是安裝密鑰���,第二操作是卸載密鑰,或者���,第一操作是安裝新密鑰�,第二操作是安裝舊密鑰���;所述處理模塊在第2N-1次執(zhí)行所述步驟B時�,執(zhí)行第一操作����,所述處理模塊在第2N次執(zhí)行所述步驟B時,執(zhí)行第二操作�����,N為大于O的自然數(shù)�����。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于����,還包括: 成功確認(rèn)模塊,用于若在所述處理模塊的計時時間到達(dá)所述預(yù)定時間間隔之前��,所述接收模塊成功接收到了所述Message4,則根據(jù)所述Message4進(jìn)行相關(guān)處理,確認(rèn)密鑰協(xié)商成功�。
9.根據(jù)權(quán)利要求7所述的裝置�����,其特征在于����,當(dāng)?shù)谝徊僮魇前惭b密鑰,第二操作是卸載密鑰時���, 在所述處理模塊第2N-1次執(zhí)行的步驟A中��,向所述無線客戶端發(fā)送的Message是未經(jīng)密鑰加密的明文報文�����; 在所述處理模塊第2N次執(zhí)行的步驟A中��,向所述無線客戶端發(fā)送的Message是經(jīng)過密鑰加密后的密文報文����。
10.根據(jù)權(quán)利要求7所述的裝置,其特征在于��,當(dāng)?shù)谝徊僮魇前惭b新密鑰�����,第二操作是安裝舊密鑰時�, 在所述處理模塊第2N-1次執(zhí)行的步驟A中,向所述無線客戶端發(fā)送的Message是經(jīng)過舊密鑰加密后的密文報文���; 在所述處理模塊第2N次執(zhí)行的步驟A中���,向所述無線客戶端發(fā)送的是經(jīng)過新密鑰加密后的密文報文。
11.根據(jù)權(quán)利要求8所述的裝置��,其特征在于�,所述成功確認(rèn)模塊,具體用于當(dāng)所述無線客戶端發(fā)來的Message是經(jīng)過密鑰加密后的密文報文時���,所述接收模塊使用當(dāng)前安裝的密鑰正確解密接收到的密文的Messaged則確定成功接收到了所述無線客戶端發(fā)來的Message4 ;當(dāng)所述無線客戶端發(fā)來的Message4是未經(jīng)密鑰加密的明文報文時,所述接收模塊接收到了該明文的Message4,則確定成功接收到了所述無線客戶端發(fā)來的Message4����。
12.根據(jù)權(quán)利要求7所述的裝置,其特征在于�,所述處理模塊每執(zhí)行兩次所述步驟B之后,延長所述預(yù)定時間間隔�。
【文檔編號】H04L29/06GK104270752SQ201410519532
【公開日】2015年1月7日 申請日期:2014年9月30日 優(yōu)先權(quán)日:2014年9月30日
【發(fā)明者】傅嘉嘉, 吳薔, 劉琛 申請人:杭州華三通信技術(shù)有限公司