无线局域网鉴别与保密基础结构终端的预鉴别装置的制作方法

文档序号:7728200阅读:313来源:国知局
专利名称:无线局域网鉴别与保密基础结构终端的预鉴别装置的制作方法
技术领域
本实用新型涉及无线局域网(Wireless Local Area Networks,简称WLAN),尤其 涉及一种无线局域网鉴别与保密基础结构终端的预鉴别装置。
背景技术
无线局域网作为宽带无线IP (Internet Protocol,因特网协议)网络的一种典型 的实现形式,是指采用无线传输媒介的计算机局域网络,它能在难以布线的区域进行通信, 是传统有线局域网的重要补充。无线局域网技术是计算机网络技术与无线通信技术相结合 的产物,具有支持移动计算、架构灵活快捷、维护所需费用较低和可扩展性好等优点,为通 信的移动化和个人化提供了手段。 随着全球信息化的逐步深入,网络安全的重要性越来越明显,因为信息丢失、缺损 和泄漏所造成的损失额度之大远远超出了人们的预测,因此各国均将网络信息安全提升至 国家安全战略的位置。 现有技术中的WAPI (WLAN Authentication and Privacy Infrastructure,无线局 域网鉴别与保密基础结构)是一种提高无线局域网的安全性的机制。WAPI将基于三元对等 鉴别的访问控制方法应用于无线局域网技术领域,以保障合法客户端通过合法接入点接入 网络,并实现客户端和接入点间的保密通信。WAPI由无线局域网鉴别基础结构(WLAN Authentication Infrastructure, WAI)
和无线局域网保密基础结构(WLAN Privacy Infrastructure, WPI)两部分组成。 WAI是实现无线局域网中的身份鉴别和密钥管理的安全方案,用于完成
STA(STAtion,无线站点)和AP(Access Point,接入点)之间、STA和STA之间的双向身份
鉴别,并协商建立安全关联。WPI是用于实现无线局域网中数据传输保护的安全方案,包括
使用WAI过程中协商出的各密钥进行数据加密、数据鉴别和重放保护等功能。 其中,WAPI中的安全关联包含 >BKSA(Base Key Security Association,基密钥安全关联)是证书鉴别过程协 商的结果、或通过预共享密钥(PSK)导出的结果;其中包含BK(基密钥)、BK/BKSA的生存期 等参数; ^USKSA(单播密钥安全关联)是单播密钥协商(基于BK协商)的结果;其中包 含USK(单播密钥)、USK/USKSA的生存期等参数; >MSKSA(组播会话密钥安全关联)是组播密钥通告的结果;其中包含MSK(组播 会话密钥)、MSK/MSKSA的生存期等参数; > STAKeySA(站间密钥安全关联)是站间密钥通告的结果,其中包含STAKey(站 间密钥)等参数。 其中,若目的AP支持预鉴别,STA可以通过当前关联的AP和目的AP进行预鉴别, 但现有技术中缺少具体的预鉴别装置。
实用新型内容本实用新型要解决的技术问题是提供一种无线局域网鉴别与保密基础结构终端 的预鉴别装置。 为了解决上述问题,本实用新型提供了一种无线局域网鉴别与保密基础结构终端 的预鉴别装置,包括请求单元和证书鉴别单元,其中 请求单元,输出一预鉴别开始分组给目的接入点; 证书鉴别单元,接收目的接入点输出的鉴别激活分组,建立基密钥安全关联并输 出到第一缓存单元。 进一步地,上述装置还可具有以下特点,所述装置还包括预鉴别能力获取单元和 第二缓存单元,所述预鉴别能力获取单元将其产生的探询请求分组输出给目的接入点,接 收目的接入点输出的携带目的接入点的预鉴别能力信息的探询响应分组,输出目的接入点 的预鉴别能力信息至第二缓存单元。 进一步地,上述装置还可具有以下特点,所述装置还包括预鉴别能力获取单元和 第二缓存单元,其中 所述预鉴别能力获取单元,输出是否支持预鉴别的广播信息,接收各接入点返回 的预鉴别能力信息,输出所述预鉴别能力信息至第二缓存单元。 进一步地,上述装置还可具有以下特点,所述请求单元包括判断模块和发送模块, 其中 所述判断模块,从第二缓存单元提取目的接入点支持预鉴别的预鉴别能力信息, 输出一启动信号给发送模块; 所述发送模块,接收判断模块输出的启动信号,输出一预鉴别开始分组给目的接 入点。 本实用新型提供的预鉴别装置,实现了 STA在关联前和目的AP进行关联,减少了 STA的接入时间。

图1是本实用新型实施例一预鉴别方法流程图; 图2是本实用新型实施例二预鉴别方法流程图; 图3是本实用新型无线局域网鉴别与保密基础结构终端的预鉴别装置框图。
具体实施方式
为了更好地理解本实用新型,首先对本实用新型的工作原理和方法进行简要描 述。 如图1所示,为本实用新型实施例一预鉴别方法流程图,STA已和关联AP完成了 BKSA和USKSA的建立,STA需要和目的AP进行预鉴别,具体包括 步骤101, STA开始预鉴别过程,发送预鉴别开始分组给关联AP,关联AP将其转发 给目的AP ; 预鉴别开始分组中包含标识FLAG字段、USKID字段、ADDID字段、重放计数器和消 息鉴别码。其中标识FLAG字段的预鉴别标识比特值为1, ADDID字段的值为发起方STA的MAC地址I I目的AP的MAC地址;其中"I I "为链接操作。 关联AP收到预鉴别开始分组后,还需要检查重放计数器和消息鉴别码是否有效, 如果有效,才转发预鉴别开始分组给目的AP。 步骤102,目的AP收到预鉴别开始分组后,发送鉴别激活分组给STA,开始WAI的 证书鉴别过程。 其中,目的AP根据预鉴别开始分组中的ADDID字段向相应的STA发出鉴别激活分 组。 鉴别激活分组中包含标识字段、鉴别标识字段、本地ASU的身份字段、ECDH参数字 段,其中,标识字段的预鉴别标识比特值为1。 步骤103, STA发送接入鉴别请求分组给关联AP,关联AP将其转发给目的AP ; 步骤104,目的AP发送证书鉴别请求分组给ASU ; 步骤105, ASU发送证书鉴别响应分组给目的AP ; 步骤106,目的AP发送接入鉴别响应分组给关联AP,关联AP将其转发给STA。 至此,预鉴别过程完成,STA和目的AP之间建立BKSA并缓存该BKSA。当STA与预 鉴别过的AP进行关联后,可以利用该已缓存的BKSA进行单播密钥协商过程和组播密钥通 告过程。 图2是本实用新型实施例二 STA在目的AP信号范围外时预鉴别流程图,目的AP 和STA之间的消息由关联AP进行转发,具体包括 步骤201, STA开始预鉴别过程,发送预鉴别开始分组给关联AP,关联AP将其转发 给目的AP ; 预鉴别开始分组中包含标识FLAG字段、USKID字段、ADDID字段、重放计数器和消 息鉴别码。其中标识FLAG字段的预鉴别标识比特值为1, ADDID字段的值为发起方STA的 MAC地址I I目的AP的MAC地址;其中"I I "为链接操作。 关联AP收到预鉴别开始分组后,还需要检查重放计数器和消息鉴别码是否有效, 如果有效,才转发预鉴别开始分组给目的AP。 步骤202,目的AP收到预鉴别开始分组后,发送鉴别激活分组给STA,开始WAI的 证书鉴别过程。 其中,目的AP根据预鉴别开始分组中的ADDID字段向相应的STA发出鉴别激活分 组。 鉴别激活分组中包含标识字段、鉴别标识字段、本地ASU的身份字段、ECDH参数字 段,其中,标识字段的预鉴别标识比特值为1 ; 步骤203, STA发送接入鉴别请求分组给关联AP,关联AP将其转发给目的AP ; 步骤204,目的AP发送证书鉴别请求分组给ASU ; 步骤205, ASU发送证书鉴别响应分组给目的AP ; 步骤206,目的AP发送接入鉴别响应分组给关联AP,关联AP将其转发给STA。 在本实用新型另一实施例中,步骤101或步骤201之前还包括如下步骤 a) STA发送探询请求分组给关联AP,探询目的AP的预鉴别能力信息,关联AP将其 转发给目的AP; b)目的AP发送探询响应分组给STA,或者,通过关联AP转发该探询响应分组给STA ; c) STA根据该探询响应分组,判断目的AP是否支持预鉴别,如果支持,则执行步骤 101或步骤201,否则,结束。 本实用新型又一实施例中,步骤101或者步骤201中,关联AP收到预鉴别开始分 组后,首先发送探询请求分组给目的AP,根据目的AP返回的探询响应分组判断目的AP是否 支持预鉴别,如果支持,关联AP才转发该预鉴别开始分组给目的AP,否则,发送一响应分组 给STA,告知STA目的AP不支持预鉴别。 本实用新型再一实施例中,步骤101和步骤201之前还包括,关联AP进行是否支 持预鉴别的广播;关联AP保存各AP返回的预鉴别能力信息,步骤101或201中,关联AP收 到STA的预鉴别开始分组后,首先根据保存的各AP的预鉴别能力信息判断目的AP是否支 持预鉴别,如果支持,才转发预鉴别开始分组给目的AP,否则,发送一响应分组给STA,告知 STA目的AP不支持预鉴别。当STA充当接入点时,则由STA进行是否支持预鉴别的广播。 本实用新型提供一种无线局域网鉴别与保密基础结构终端的预鉴别装置,如图3 所示,该装置包括请求单元和证书鉴别单元,其中 请求单元,输出一预鉴别开始分组给目的接入点; 证书鉴别单元,接收目的接入点输出的鉴别激活分组,建立基密钥安全关联并输 出到第一缓存单元。
所述预鉴别装置还包括预鉴别能力获取单元和第二缓存单元,其中 所述预鉴别能力获取单元将其产生的探询请求分组输出给目的接入点,接收目的
接入点输出的携带目的接入点的预鉴别能力信息的探询响应分组,输出目的接入点的预鉴
别能力信息至第二缓存单元。 或者, 所述预鉴别能力获取单元,输出是否支持预鉴别的广播信息,接收各接入点返回
的预鉴别能力信息,输出所述预鉴别能力信息至第二缓存单元。
进一步地,所述请求单元包括判断模块和请求模块,其中 所述判断模块,从第二缓存单元提取目的接入点支持预鉴别的预鉴别能力信息, 输出一启动信号给请求模块; 所述请求模块,接收判断模块输出的启动信号,输出一预鉴别开始分组给目的接 入点。
权利要求一种无线局域网鉴别与保密基础结构终端的预鉴别装置,包括请求单元和证书鉴别单元,其中请求单元,输出一预鉴别开始分组给目的接入点;证书鉴别单元,接收目的接入点输出的鉴别激活分组,建立基密钥安全关联并输出到第一缓存单元。
2. 如权利要求1所述的装置,其特征在于,所述装置还包括预鉴别能力获取单元和第 二缓存单元,所述预鉴别能力获取单元将其产生的探询请求分组输出给目的接入点,接收 目的接入点输出的携带目的接入点的预鉴别能力信息的探询响应分组,输出目的接入点的 预鉴别能力信息至第二缓存单元。
3. 如权利要求1所述的装置,其特征在于,所述装置还包括预鉴别能力获取单元和第 二缓存单元,其中所述预鉴别能力获取单元,输出是否支持预鉴别的广播信息,接收各接入点返回的预 鉴别能力信息,输出所述预鉴别能力信息至第二缓存单元。
4. 如权利要求2或3所述的装置,其特征在于,所述请求单元包括判断模块和请求模 块,其中所述判断模块,从第二缓存单元提取目的接入点支持预鉴别的预鉴别能力信息,输出 一启动信号给请求模块;所述请求模块,接收判断模块输出的启动信号,输出一预鉴别开始分组给目的接入点。
专利摘要本实用新型提供了一种无线局域网鉴别与保密基础结构终端的预鉴别装置,包括请求单元和证书鉴别单元,请求单元输出一预鉴别开始分组给目的接入点;证书鉴别单元接收目的接入点输出的鉴别激活分组,建立基密钥安全关联并输出到第一缓存单元。本实用新型提供的预鉴别装置,实现了STA在关联前和目的AP进行关联,减少了STA的接入时间。
文档编号H04W12/04GK201479375SQ20092015068
公开日2010年5月19日 申请日期2009年5月22日 优先权日2009年5月22日
发明者刘建 申请人:中兴通讯股份有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1