本公開涉及無線通信，具體涉及一種密鑰生成方法、系統(tǒng)、設(shè)備及存儲介質(zhì)。

背景技術(shù)：

1、在現(xiàn)代無線局域網(wǎng)(wlan)中，設(shè)備的無縫漫游成為提高用戶體驗的關(guān)鍵。ieee802.11r標(biāo)準(zhǔn)，即快速過渡(fast?transition，ft)協(xié)議，旨在解決設(shè)備在不同接入點之間切換時的延遲問題。通過提出三層密鑰結(jié)構(gòu)，802.11r能夠在設(shè)備漫游時快速完成重新認(rèn)證，確保網(wǎng)絡(luò)連接的連續(xù)性和安全性。

2、為了實現(xiàn)快速漫游，802.11r標(biāo)準(zhǔn)規(guī)定了一系列密鑰生成和分發(fā)機制。r0kh(pmk-r0?key?holder?in?the?authenticator，認(rèn)證者端的pmk-r0密鑰管理實體，認(rèn)證者端為目標(biāo)ap端)在初次認(rèn)證時生成pmk_r0和每個ap(access?point，接入點)對應(yīng)的pmk_r1(pairwise?master?key_r1，成對主密鑰r1)，并在移動域(mobility?domain，md)內(nèi)的所有接入點(access?point，ap)之間分發(fā)pmk_r1。各個ap使用這些密鑰與終端(station，sta)進行快速過渡認(rèn)證，以生成新的ptk(pairwise?transient?key，成對臨時密鑰)用于加密通信。由于協(xié)議未規(guī)定pmk_r1密鑰的分發(fā)方式，導(dǎo)致密鑰分發(fā)機制的實現(xiàn)因廠商不同而有所差異，無法進行快速漫游。而有線進行ap之間的pmk_r1的key密鑰分發(fā)，使用場景有限制。

3、在802.11r協(xié)議中，當(dāng)sta首次與移動域md進行初始化關(guān)聯(lián)時，r0kh生成主密鑰pmk_r0(pairwise?master?key_r0，成對主密鑰r0)，并為每個r1kh(pmk-r1?key?holder?inthe?authenticator，認(rèn)證者端的pmk-r1密鑰管理實體，認(rèn)證者端為目標(biāo)ap端)計算對應(yīng)的子密鑰pmk_r1。隨后，r0kh將這些pmk_r1分發(fā)給md內(nèi)的各個r1kh。此后sta在進行漫游時，可以通過事先配發(fā)的pmk_r1計算出ptk；若目標(biāo)ap的r1kh未存儲sta要求的pmk_r1，r0kh則基于r1kh_id重新計算pmk_r1和pmkrlname，并將其發(fā)送到請求的r1kh，以實現(xiàn)快速漫游認(rèn)證。此密鑰分發(fā)的過程如圖1所示，圖1中，wtp(wireless?transaction?protocol，無線交易協(xié)議)是一種用于無線網(wǎng)絡(luò)環(huán)境中的通信協(xié)議，用于在移動設(shè)備之間進行數(shù)據(jù)傳輸和交易處理；r0kh和r1kh為認(rèn)證者(目標(biāo)ap)一端的密鑰管理實體，pmk_r0和pmk_r1的計算由r0kh控制，r0kh同時還要負(fù)責(zé)提供pmk_r1給r1kh，ptk的計算由r1kh控制。s0kh為申請者(sta)端的pmk-s0密鑰管理實體，s1kh為申請者(sta)端的pmk-s1密鑰管理實體，s0kh與s1kh的功能與r0kh、r1kh相對應(yīng)；r0kh-id是r0kh的標(biāo)識(nas—id)，按ieee標(biāo)準(zhǔn)為1-48字節(jié)長，可由廠商自定義，r0kh-id和r1kh-id都是認(rèn)證者的mac地址。s0kh-id和s1kh-id都為申請者(sta)的mac地址。由此過程可見，pmk_r1的分發(fā)貫穿于整個漫游認(rèn)證流程，但由于不同芯片方案分發(fā)pmk_r1的方式使用的協(xié)議差別較大，無法實現(xiàn)互通。因此，需要一種本地密鑰管理和分發(fā)機制，以實現(xiàn)不同芯片方案之間的互通。

技術(shù)實現(xiàn)思路

1、本公開實施例提供一種密鑰生成方法、系統(tǒng)、設(shè)備及存儲介質(zhì)，以解決或緩解現(xiàn)有技術(shù)中的以上一個或多個技術(shù)問題。

2、根據(jù)本公開的一個方面，提供一種密鑰生成方法，包括：

3、在快速漫游過程中，目標(biāo)ap獲取sta空口幀；

4、根據(jù)空口幀中的信息計算pmk_r1；

5、根據(jù)pmk_r1計算隨機值rnonce；

6、目標(biāo)ap通過回復(fù)空口幀將隨機值rnonce返回至sta。

7、在一種可能的實現(xiàn)方式中，目標(biāo)ap通過回復(fù)空口幀將隨機值rnonce返回至sta之后包括：

8、sta收到隨機值rnonce后，利用隨機值rnonce和sta自身的snonce計算出ptk；

9、通過ptk完成sta與目標(biāo)ap的重新關(guān)聯(lián)。

10、在一種可能的實現(xiàn)方式中，包括：

11、空口幀中的信息包含ssid、mdid、r0kh_id和s0kh_id，ssid是服務(wù)集標(biāo)識符；mdid是mesh分布式標(biāo)識符；r0kh_id是目標(biāo)ap端的pmk-r0密鑰管理實體標(biāo)識符；s0kh_id是sta端的pmk-s0密鑰管理實體標(biāo)識符。

12、在一種可能的實現(xiàn)方式中，根據(jù)空口幀中的信息計算pmk_r1包括：

13、根據(jù)ssid字符串長度計算ssidlength，ssidlength是ssid的長度；

14、根據(jù)r0kh_id字符串長度計算r0khlength，r0khlength是r0kh_id的長度；

15、根據(jù)ssidlength、ssid、mdid、r0khlength、r0kh_id、s0kh_id計算pmk_r0；

16、再根據(jù)pmk_r0以及空口幀中的r1kh_id和r0kh_id計算pmk_r1。

17、在一種可能的實現(xiàn)方式中，pmk_r0的計算公式為：

18、r0_key_data＝kdf_384(xxxkey,"ft_r1",ssidlength||ssid

19、||mdid||r0khlength||r0kh_id||s0kh_id)

20、pmk_r0＝l(r0_key_data,0,256)；

21、式中，r0_key_data表示r0密鑰數(shù)據(jù)；kdf_384表示使用384位輸出的密鑰派生函數(shù)；xxxkey表示預(yù)先共享的密鑰；"ft_r1"表示標(biāo)識符，為固定值；pmk_r0表示成對主密鑰r0；l(r0_key_data,0,256)表示從r0_key_data的第0位開始取256位作為pmk_r0的值。

22、在一種可能的實現(xiàn)方式中，pmk_r1的計算公式為：

23、pmk_r1＝kdf_256(pmk_r0,"ft_r1","r1kh_id"||"r0kh_id")；

24、式中，pmk_r1表示成對主密鑰r1；kdf_256表示使用256位輸出的密鑰派生函數(shù)；r1kh_id表示目標(biāo)ap端的pmk-r1密鑰管理實體標(biāo)識符。

25、根據(jù)本公開的一個方面，提供一種密鑰生成系統(tǒng)，包括：

26、目標(biāo)ap，用于在快速漫游過程中，獲取sta空口幀；

27、根據(jù)空口幀中的信息計算pmk_r1；

28、根據(jù)pmk_r1計算隨機值rnonce；

29、目標(biāo)ap通過回復(fù)空口幀將隨機值rnonce返回至sta。

30、在一種可能的實現(xiàn)方式中，密鑰生成系統(tǒng)還包括：

31、sta，用于在收到隨機值rnonce后，利用隨機值rnonce和sta自身的snonce計算出ptk；

32、重新關(guān)聯(lián)單元，用于通過ptk完成sta與目標(biāo)ap的重新關(guān)聯(lián)。

33、本公開具有以下有益效果：本公開設(shè)計了一種基于802.11r本地生成key的方法，對于pmk?r1的分發(fā)可以通過pmk-r0、r1kh_id、r0kh_id等信息進行本地計算，無需通過以太幀進行pmk?r1密鑰的分發(fā)，使得不同制造商生產(chǎn)的無線網(wǎng)絡(luò)設(shè)備之間能夠使用802.11r快速漫游協(xié)議進行無縫連接和通信。

34、本技術(shù)的一個或多個實施例的細(xì)節(jié)在下面的附圖和描述中提出。本技術(shù)的其它特征和優(yōu)點將從說明書附圖變得明顯。應(yīng)當(dāng)理解的是，以上的一般描述和后文的細(xì)節(jié)描述僅是示例性和解釋性的，并不能限制本公開。