专利名称:在扩展服务集中建立安全关联的方法和系统的制作方法
技术领域:
本发明涉及无线局域网(Wireless Local Area Networks ,简称WLAN), 尤其涉及一种无线局域网中在ESS (Extended Service Set,扩展服务集)中 建立安全关联的方法和系统。
背景技术:
无线局域网作为宽带无线IP (Internet Protocol,因特网协议)网络的一 种典型的实现形式,是指采用无线传输媒介的计算机局域网络,它能在难以 布线的区域进行通信,是传统有线局域网的重要补充。无线局域网技术是计 算机网络技术与无线通信技术相结合的产物,具有支持移动计算、架构灵活 快捷、维护所需费用较低和可扩展性好等优点,为通信的移动化和个人化提 供了手段。
随着全球信息化的逐步深入,网络安全的重要性越来越明显,因为信息 丢失、缺损和泄漏所造成的损失额度之大远远超出了人们的预测,因此各国 均将网络信息安全提升至国家安全战略的位置。
现有技术中的WAPI ( WLAN Authentication and Privacy Infrastructure,
无线局域网鉴别与保密基础结构)是一种提高无线局域网的安全性的机制。 WAPI将基于三元对等鉴别的访问控制方法应用于无线局域网技术领域,以 保障合法客户端通过合法接入点接入网络,并实现客户端和接入点间的保密 通信。
WAPI由无线局域网鉴别基础结构(WLAN Authentication Infrastructure, WAI)和无线局域网j呆密基础结构(WLAN Privacy Infrastructure, WPI)两
部分组成。
WAI是实现无线局域网中的身份鉴别和密钥管理的安全方案,用于完成STA (STAtion,无线站点)和AP (Access Point,接入点)之间、STA 和STA之间的双向身份鉴别,并协商建立安全关联。WPI是用于实现无线 局域网中数据传输保护的安全方案,包括使用WAI过程中协商出的各密钥 进行数据加密、数据鉴别和重放保护等功能。
其中,WAPI中的安全关联包含
> BKSA (Base Key Security Association,基密钥安全关联)是证书鉴 别过程协商的结果、或通过预共享密钥(PSK)导出的结果;其中包含BK
(基密钥)、BK/BKSA的生存期等参数;
> USKSA (单播密钥安全关联)是单播密钥协商(基于BK协商)的 结果;其中包含USK (单播密钥)、USK/USKSA的生存期等参数;
> MSKSA (组播会话密钥安全关联)是组播密钥通告的结果;其中 包含MSK (组播会话密钥)、MSK/MSKSA的生存期等参数;
> STAKeySA (站间密钥安全关联)是站间密钥通告的结果,其中包 含STAKey (站间密钥)等参数。
在ESS中漫游的STA在关联后,执行证书鉴别过程或通过预共享密钥 直接建立BKSA,如图1所示为通过证书鉴别过程建立BKSA的流程图,包 括
步骤101 , STA发送关联请求给AP;
步骤102, AP发送关联响应给STA, STA和AP之间为已关联状态,
步骤103 ,进行证书鉴别过程,证书鉴别过程结束后,STA和AP建立 BKSA并缓存该BKSA;
步骤104,进行单播密钥协商过程,基于BKSA建立USKSA。
其中,步骤103具体包括步骤103a-103e; 步骤103a, AP发送鉴别激活分组给STA;STA发送接入鉴别请求分组给AP; AP发送证书鉴别请求分组给ASU; ASU发送证书鉴别响应分组给AP; AP发送接入鉴别响应分组给STA。
BKSA用来创建USKSA, BKSA在其生存期内被緩存。当STA在多个 AP之间进行切换时,每次都需要重新建立BKSA,增加了系统负担。
发明内容
本发明要解决的技术问题是提供一种在ESS中建立基密钥安全关联的 方法及系统,当STA在多个AP之间进行切换时,不需要每次重新建立 BKSA,降低系统负担。
为了解决上述技术问题,本发明提供了一种在扩展服务集中建立安全关 联的方法,站点移动到接入点后,当接入点和站点緩存有相同且有效的基密 钥安全关联BKSA时,接入点启用该BKSA,和站点进行单播密钥协商过程。
进一步地,上述方法还可具有以下特点,所述接入点和站点未緩存相同 且有效的基密钥安全关联BKSA时,所述接入点和站点执行证书鉴别过程或 使用预共享密钥建立并缓存BKSA后,进行单播密钥协商过程。
进一步地,上述方法还可具有以下特点,
所述站点发送关联请求或重新关联请求给所述接入点,所述关联请求或 重新关联请求中的WAPI信息元素中携带有效BKSA对应的基密钥标识 BKID;
所述接入点收到所述关联请求或重新关联请求后,判断所述接入点中是 否存在和所述BKID相对应且有效的BKSA,如果存在,则接入点和站点緩 存有相同且有效的基密钥安全关联BKSA,如果所述接入点判断所述关联请 求或重新关联请求中未携带BKID,或者,所述接入点中不存在和所述BKID 相对应且有效的BKSA,则接入点和站点未緩存有相同且有效的基密钥安全 关联BKSA。
步骤103b, 步骤103c, 步骤103d, 步骤103e,进一步地,上述方法还可具有以下特点,启用所述BKSA时,还延长所 述BKSA的生存期。
进一步地,上述方法还可具有以下特点,所述AP发送关联响应或重新 关联响应给STA时,在其WAPI信息元素中携带所述启用的BKSA的BKID 及其延长后的生存期,所述STA收到该关联响应或重新关联响应后,根据 其中携带的BKID及其延长后的生存期,修改该BKID对应的BKSA的生存期。
本发明还提出 一种在扩展服务集中建立安全关联的系统,包括站点和接 入点,其中,
站点包括基密钥安全关联协商单元和单播密钥协商单元
站点的基密钥安全关联协商单元,用于和接入点的基密钥安全关联协商 单元协商双方是否緩存有相同且有效的基密钥安全关联;
站点的单播密钥协商单元,用于和接入点的单播密钥协商单元进行单播 密钥协商;
接入点包括基密钥安全关联协商单元、启用单元和单播密钥协商单元
接入点的基密钥安全关联协商单元,用于和站点的基密钥安全关联协商 单元协商双方是否缓存有相同且有效的基密钥安全关联;
启用单元,用于在接入点的基密钥安全关联协商单元判断接入点和站点 均緩存有相同且有效的基密钥安全关联BKSA时,启用BKSA;
单播密钥协商单元,用于和站点的单播密钥协商单元进行单播密钥协商。
进一步地,上述系统还可具有以下特点,所述站点和接入点还包括基密 钥安全关联建立单元,
所述站点的基密钥安全关联建立单元,用于和接入点的基密钥安全关联 建立单元交互,建立BKSA并緩存该BKSA;
所述接入点的基密钥安全关联建立单元,用于在所述接入点的基密钥安全关联协商单元协商确定接入点和站点未緩存相同且有效的基密钥安全关
联BKSA时,和所述站点的基密钥安全关联建立单元交互,执行证书鉴别过 程或使用预共享密钥建立BKSA并緩存该BKSA。
进一步地,上述系统还可具有以下特点,
所述站点的基密钥安全关联协商单元,还用于发送关联请求或重新关联 请求给所述接入点的基密钥安全关联协商单元,所述关联请求或重新关联请 求中的WAPI信息元素中携带有效BKSA对应的基密钥标识BKID;
所述接入点的基密钥安全关联协商单元,还用于接收所述关联请求或重 新关联请求,判断所述AP中是否存在和所述BKID相对应且有效的BKSA: 如果存在,则说明双方緩存有相同且有效的BKSA;如果所述AP判断所述 关联请求或重新关联请求中未携带BKID,或者,所述AP中不存在和所述 BKID相对应且有效的BKSA,则双方未緩存相同且有效的BKSA。
进一步地,上述系统还可具有以下特点,所述启用单元还用于在启用所 述BKSA时,延长所述BKSA的生存期。
进一步地,上述系统还可具有以下特点,所述接入点的基密钥安全关联 协商单元,还用于发送关联响应给所述站点的基密钥安全关联协商单元,所 述关联响应或重新关联响应中的WAPI信息元素中携带所述启用的BKSA 的BKID及其延长后的生存期;
所述站点的基密钥安全关联协商单元,还用于接收该关联响应或重新关 联响应,根据其中携带的BKID及其延长后的生存期,修改该BKID对应的 BKSA的生存期。
本发明所述建立基密钥安全关联的方法及系统,通过启用本地缓存的 BKSA,避免了 STA在多个AP之间进行切换时,重新建立BKSA,降低了 系统负担。
图1是现有建立BKSA的方法流程图;图2是本发明在ESS中建立BKSA的方法流程图; 图3是本发明实施例一建立BKSA方法信令流程图; 图4是本发明实施例二建立BKSA方法信令流程图; 图5是本发明在ESS中建立BKSA的系统框图。
具体实施例方式
本发明的中心思想是,STA通过执行证书鉴别过程或预共享密钥建立 BKSA后,可緩存与ESS中某个AP建立的BKSA,当STA移动到该AP, AP和接入点緩存有相同且有效的BKSA时,AP启用该BKSA,和STA执 行单播密钥协商过程。具体实现方式可以是,STA可以在关联/重新关联请 求中的WAPI信息元素中包含一个或多个BKSA对应的BKID,若AP中有 和BKID相对应且有效的BKSA,则可以跳过证书鉴别过禾呈而直接进行单播 密钥协商过程;如果AP中没有和BKID对应有效的BKSA,或STA在关联/ 重新关联请求中的WAPI信息元素中没有包含BKID,则STA和AP必须通 过证书鉴别过程或预共享密钥建立BKSA。
下面结合附图和实施例进一步说明本发明。
图2是本发明实施例在ESS中建立基密钥安全关联的方法流程图。在 STA与某个AP已建立BKSA后,当STA移动到该AP时,其建立基密钥安 全关联的方法如下
步骤201, STA发送关联/重新关联请求给AP,该关联/重新关联请求中 的WAPI信息元素中包含一个或多个BKSA对应的BKID;
步骤202, AP收到该关联/重新关联请求后,判断是否有和所述关联/ 重新关联请求中保护的BKID相对应且有效的BKSA,如果有,转步骤203, 否则,AP转步骤204;
步骤203, AP确定双方緩存有相同且有效的BKSA,启用BKSA,发送 关联/重新关联响应给STA,转步骤205;
步骤204, AP确定双方未緩存相同且有效的BKSA,发送关联/重新关联响应给STA,执行证书鉴别过程或使用预共享密钥建立BKSA,并緩存该 BKSA;
步骤205, AP和STA进行单播密钥协商过程。
进一步地,在步骤203中,启用BKSA时,延长所述BKSA的生存期, 避免STA刚刚连接到AP后,BKSA由于生存期到期被删除,在关粉重新 关联响应的WAPI信息元素中携带BKID及其修改后的生存期,STA根据关 联/重新关联响应中携带的BKID及其修改后的生存期,相应修改该BKID对 应的BKSA的生存期。
图3是本发明实施例在ESS中建立基密钥安全关联的方法信令流程图。 该实施例中,STA与某个AP已建立BKSA,当STA移动到该AP时,STA 和AP处緩存有相同且有效的BKSA,其建立基密钥安全关联的方法如下
步骤301, STA发送关粉重新关联请求给AP,该关联/重新关联请求 中的WAPI信息元素中包含一个或多个BKSA对应的BKID;
步骤302, AP收到该关联/重新关联请求后,判断本地存在和所述关联/ 重新关联请求中保护的BKID相对应有效的BKSA;
步骤303, AP启用BKSA,发送关联/重新关联响应给STA;
步骤304, STA和AP之间使用所述BKSA进行单播密钥协商过程。
其中,步骤303中,AP启用BKSA时,还延长所述BKSA的生存期, 在关联/重新关联响应中的WAPI信息元素中携带BKID及其修改后的生存 期,STA根据关联/重新关联响应中携带的BKID及其修改后的生存期,相 应f务改本;也^f应的生存期。
图4是本发明实施例在ESS中建立基密钥安全关联的方法信令流程图。 该实施例中,STA与某个AP已建立BKSA,当STA移动到该AP时,AP 处无有效的BKSA,其建立基密钥安全关联的方法如下
步骤401, STA发送关联/重新关联请求给AP,该关联/重新关联请求 中的WAPI信息元素中包含一个或多个BKSA对应的BKID;步骤402, AP收到该关粉重新关联请求后,判断本地不存在和所述关 粉重新关联请求中携带的BKID相对应且有效的BKSA;
步骤403, AP发送关联/重新关联响应给STA;
步骤404, AP和STA执行证书鉴别过程,建立并緩存BKSA;
步骤405, STA和AP之间使用步骤404中得到的BKSA进4亍单#"密钥 协商过程。
图5是本发明实施例基密钥安全关联建立系统框图,包括站点和接入 点,站点和接入点均包括基密钥安全关联协商单元,基密钥安全关联建立单 元,单播密钥协商单元,接入点还包括启用单元,其中
站点中各单元具体描述如下
站点的基密钥安全关联协商单元,用于和接入点的基密钥安全关联协商 单元协商双方是否緩存有相同且有效的基密钥安全关联;站点的基密钥安全 关联协商单元发送关联请求或重新关联请求给所述接入点的基密钥安全关 联协商单元,所述关联请求或重新关联请求中的WAPI信息元素中携带有效 BKSA对应的基密钥标识BKID;
站点的基密钥安全关联建立单元,用于和接入点的基密钥安全关联建立 单元交互,建立BKSA并緩存该BKSA;
站点的单播密钥协商单元,用于和接入点的单播密钥协商单元进行单播 密钥协商;
才妻入点中各单元描述如下
接入点的基密钥安全关联协商单元,用于和站点的基密钥安全关联协商 单元协商双方是否緩存有相同且有效的基密钥安全关联;接入点的基密钥安 全关联协商单元接收所述关联请求或重新关联请求,判断所迷AP中是否存 在和所述BKID相对应且有效的BKSA:如果存在,则i兌明双方纟爰存有相同 且有效的BKSA;如果所述AP判断所述关联请求或重新关联请求中未携带 BKID,或者,所述AP中不存在和所述BKID相对应且有效的BKSA,则双方未緩存相同且有效的BKSA;
启用单元,用于在接入点的基密钥安全关联协商单元协商确定接入点和 站点均緩存有相同且有效的基密钥安全关联BKSA时,启用BKSA;
接入点的基密钥安全关联建立单元,用于在所述接入点的基密钥安全关 联协商单元协商确定接入点和站点未緩存相同且有效的基密钥安全关联 BKSA时,和所述站点的基密钥安全关联建立单元交互,执行证书鉴别过程 或使用预共享密钥建立BKSA并緩存该BKSA;
单播密钥协商单元,用于和站点的单播密钥协商单元进行单播密钥协商。
进一步地,所述启用单元还用于在启用所述BKSA时,延长所述BKSA 的生存期。
所述接入点的基密钥安全关联协商单元,还用于发送关联响应给所述站 点的基密钥安全关联协商单元,所述关联响应或重新关联响应中的WAPI 信息元素中携带所述启用的BKSA的BKID及其延长后的生存期;
所述站点的基密钥安全关联协商单元,还用于接收该关联响应或重新关 联响应,根据其中携带的BKID及其延长后的生存期,修改该BKID对应的 BKSA的生存期。
综上所述,本发明通过STA和AP进行协商,在协商确定双方緩存有有 效的BKSA时,启用该BKSA,直接进行单播密钥协商,避免了当STA在 AP间切换时,每次都重新建立BKSA,并且通过延长BKSA的生存期,避 免STA刚连接到AP时,BKSA因为生存期到期而被删除。
权利要求
1、一种在扩展服务集中建立安全关联的方法,其特征在于,站点移动到接入点后,当接入点和站点缓存有相同且有效的基密钥安全关联BKSA时,接入点启用该BKSA,和站点进行单播密钥协商过程。
2、 如权利要求l所述的方法,其特征在于,所述接入点和站点未緩存 相同且有效的基密钥安全关联BKSA时,所述接入点和站点执行证书鉴别过 程或使用预共享密钥建立并緩存BKSA后,进行单播密钥协商过程。
3、 如权利要求1所述的方法,其特征在于,所述方法还包括所述站点发送关联请求或重新关联请求给所述接入点,所述关联请求或 重新关联请求中的WAPI信息元素中携带有效BKSA对应的基密钥标识 BKID;所述接入点收到所述关联请求或重新关联请求后,判断所述接入点中是 否存在和所述BKID相对应且有效的BKSA,如果存在,则接入点和站点緩 存有相同且有效的基密钥安全关联BKSA,如果所述接入点判断所述关联请 求或重新关联请求中未携带BKID,或者,所述接入点中不存在和所述BKID 相对应且有效的BKSA,则接入点和站点未緩存有相同且有效的基密钥安全 关联BKSA。
4、 如权利要求1或3所述的方法,其特征在于,启用所述BKSA时, 还延长所述BKSA的生存期。
5、 如权利要求4所述的方法,其特征在于,所述AP发送关联响应或 重新关联响应给STA时,在其WAPI信息元素中携带所述启用的BKSA的 BKID及其延长后的生存期,所述STA收到该关联响应或重新关联响应后, 根据其中携带的BKID及其延长后的生存期,修改该BKID对应的BKSA的 生存期。
6、 一种在扩展服务集中建立安全关联的系统,其特征在于,包括站点 和4妄入点,其中,站点包括基密钥安全关联协商单元和单播密钥协商单元站点的基密钥安全关联协商单元,用于和接入点的基密钥安全关联协商 单元协商双方是否緩存有相同且有效的基密钥安全关联;站点的单播密钥协商单元,用于和接入点的单播密钥协商单元进行单播 密钥协商;接入点包括基密钥安全关联协商单元、启用单元和单播密钥协商单元;接入点的基密钥安全关联协商单元,用于和站点的基密钥安全关联协商 单元协商双方是否緩存有相同且有效的基密钥安全关联;启用单元,用于在接入点的基密钥安全关联协商单元判断接入点和站点 均緩存有相同且有效的基密钥安全关联BKSA时,启用BKSA;单播密钥协商单元,用于和站点的单播密钥协商单元进行单播密钥协商。
7、 如权利要求6所述的系统,其特征在于,所述站点和接入点还包括 基密钥安全关联建立单元,所述站点的基密钥安全关联建立单元,用于和接入点的基密钥安全关联 建立单元交互,建立BKSA并緩存该BKSA;所述接入点的基密钥安全关联建立单元,用于在所述接入点的基密钥安 全关联协商单元协商确定接入点和站点未緩存相同且有效的基密钥安全关 联BKSA时,和所述站点的基密钥安全关联建立单元交互,执行证书鉴别过 程或使用预共享密钥建立BKSA并緩存该BKSA。
8、 如权利要求6所述的系统,其特征在于,所述站点的基密钥安全关联协商单元,还用于发送关联请求或重新关联 请求给所述接入点的基密钥安全关联协商单元,所述关联请求或重新关联请 求中的WAPI信息元素中携带有效BKSA对应的基密钥标识BKID;所述接入点的基密钥安全关联协商单元,还用于接收所述关联请求或重 新关联请求,判断所述AP中是否存在和所述BKID相对应且有效的BKSA: 如果存在,则说明双方緩存有相同且有效的BKSA;如杲所述AP判断所述 关联请求或重新关联请求中未携带BKID,或者,所述AP中不存在和所述 BKID相对应且有效的BKSA,则双方未緩存相同且有效的BKSA。
9、 如权利要求6或8所述的系统,其特征在于,所述启用单元还用于 在启用所述BKSA时,延长所述BKSA的生存期。
10、 如权利要求9所述的系统,其特征在于,所述接入点的基密钥安全 关联协商单元,还用于发送关联响应给所述站点的基密钥安全关联协商单 元,所述关联响应或重新关联响应中的WAPI信息元素中携带所述启用的 BKSA的BKID及其延长后的生存期;所述站点的基密钥安全关联协商单元,还用于接收该关联响应或重新关 联响应,根据其中携带的BKID及其延长后的生存期,修改该BKID对应的 BKSA的生存期。
全文摘要
本发明提供了一种在扩展服务集中建立安全关联的方法,站点移动到接入点后,当接入点和站点缓存有相同且有效的基密钥安全关联BKSA时,接入点启用该BKSA,和站点进行单播密钥协商过程。本发明还提供一种在扩展服务集中建立安全关联的系统。本发明所述建立基密钥安全关联的方法及系统,通过启用本地缓存的BKSA,避免了STA在多个AP之间进行切换时,重新建立BKSA,降低了系统负担。
文档编号H04W84/12GK101527906SQ200910129179
公开日2009年9月9日 申请日期2009年3月31日 优先权日2009年3月31日
发明者建 刘 申请人:建 刘