无线局域网鉴别与保密基础结构终端的安全关联建立装置的制作方法

专利名称：无线局域网鉴别与保密基础结构终端的安全关联建立装置的制作方法
技术领域：
本实用新型涉及无线局域网(Wireless Local Area Networks ，筒称 WLAN),尤其涉及一种无线局域网中WAPI (WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)终端的安全关联建 立装置。
背景技术：
无线局域网作为宽带无线IP (InternetProtocol,因特网协议)网络的一 种典型的实现形式，是指采用无线传输媒介的计算机局域网络，它能在难以 布线的区域进行通信，是传统有线局域网的重要补充。无线局域网技术是计 算机网络技术与无线通信技术相结合的产物，具有支持移动计算、架构灵活 快捷、维护所需费用较低和可扩展性好等优点，为通信的移动化和个人化提 供了手段。
随着全球信息化的逐步深入，网络安全的重要性越来越明显，因为信息 丟失、缺损和泄漏所造成的损失额度之大远远超出了人们的预测，因此各国 均将网络信息安全提升至国家安全战略的位置。
现有技术中的WAPI是一种提高无线局域网的安全性的机制。WAPI将 基于三元对等鉴别的访问控制方法应用于无线局域网技术领域，以保障合法 客户端通过合法接入点接入网络，并实现客户端和接入点间的保密通信。
WAPI由无线局域网鉴别基础结构(WLAN Authentication Infrastructure, WAI)和无线局;或网j呆密基础结构(WLAN Privacy Infrastructure, WPI)两
部分组成。
WAI是实现无线局域网中的身份鉴别和密钥管理的安全方案，用于完 成STA (STAtion,无线站点)和AP (Access Point,接入点)之间、STA和STA之间的双向身份鉴别，并协商建立安全关联。WPI是用于实现无线 局域网中数据传输保护的安全方案，包括使用WAI过程中协商出的各密钥 进行数据加密、数据鉴别和重放保护等功能。
其中，WAPI中的安全关耳关包含
> BKSA ( Base Key Security Association,基密钥安全关联)是证书鉴 别过程协商的结果、或通过预共享密钥(PSK)导出的结果；其中包含BK
(基密钥)、BK/BKSA的生存期等参数；
> USKSA (单播密钥安全关联)是单播密钥协商(基于BK协商)的 结果；其中包含USK (单播密钥)、USK/USKSA的生存期等参数；
> MSKSA (组播会话密钥安全关联)是组播密钥通告的结果；其中 包含MSK (组播会话密钥)、MSK/MSKSA的生存期等参数；
>STAKeySA (站间密钥安全关联)是站间密钥通告的结果，其中包 含STAKey (站间密钥)等参数。
在ESS中漫游的STA在关联后，执行证书鉴别过程或通过预共享密钥 直接建立BKSA，如图1所示为通过证书鉴别过程建立BKSA的流程图，包 括..
步骤IOI， STA发送关联请求给AP;
步骤102, AP发送关联响应给STA， STA和AP之间为已关联状态，
步骤103，进行证书鉴别过程，证书鉴别过程结束后，STA和AP建立 BKSA并緩存该BKSA;
步骤104,进行单播密钥协商过程，基于BKSA建立USKSA。
其中，步骤103具体包括步骤103a-103e; 步骤103a, AP发送鉴别激活分组给STA; 步骤103b, STA发送接入鉴别请求分组给AP;步骤103c, AP发送^E书鉴别请求分组给ASU; 步骤103d, ASU发送证书鉴别响应分组给AP; 步骤103e, AP发送接入鉴别响应分组给STA。
BKSA用来创建USKSA， BKSA在其生存期内被緩存。当STA在多个 AP之间进行切换时，每次都需要重新建立BKSA，增加了系统负担。

实用新型内容
本实用新型要解决的技术问题是提供一种无线局域网鉴别与保密基础 结构终端的安全关联建立装置，当终端在多个AP之间进行切换时，不需要 每次重新建立BKSA,降低系统负担。
为了解决上述技术问题，本实用新型提供了一种无线局域网鉴别与保密 基础结构终端的安全关联建立装置，该装置包括緩存单元、基密钥安全关联 协商单元和单播密钥协商单元，其中
基密钥安全关联协商单元输出其生成的包含一个或多个基密钥安全关 联对应的基密钥标识的关联或重新关联请求给通信对端；
单播密钥协商单元从通信对端接收包含所述一个或多个基密钥标识中 的一个基密钥标识的单播密钥协商请求分组，从緩存单元中提取所述基密钥 标识对应的基密钥安全关联，输出单播密钥协商响应分组给通信对端，从通 信对端接收单播密钥协商确认分组。
进一步地，上述装置还可具有以下特点，所述基密钥安全关联协商单元 包括生成模块和发送模块，其中
所述生成模块，从緩存单元提取一个或多个基密钥安全关联对应的基密 钥标识，输出其生成的包含一个或多个所述基密钥标识的关联或重新关联请 求到发送模块；
发送模块，发送所述关联或重新关联请求至通信对端。
进一步地，上述装置还可具有以下特点，所述装置还包括基密钥安全关联建立单元，所述基密钥安全关联建立单元包括请求模块和建立模块，其中
请求模块，接收通信对端输出的鉴别激活分组，输出其生成的接入鉴别
i貪求分组给通信对端；
建立模块，接收通信对端输出的接入筌别响应分组，输出其生成的基密 钥安全关联至緩存单元。
进一步地，上述装置还可具有以下特点，所述基密钥安全关联协商单元 还包括修改模块，所述修改模块，接收通信对端输出的包含通信对端启用的 基密钥安全关联的基密钥标识及其延长后的生存期的关联响应或重新关联 响应，从緩存单元中提取该基密钥标识对应的基密钥安全关联，修改其生存 期后输出该基密钥安全关联至緩存单元。
进一步地，上述装置还可具有以下特点，所述单播密钥协商单元包括响 应模块和确认模块，其中
所述响应模块从通信对端接收包含所述一个或多个基密钥标识中的一 个基密钥标识的单播密钥协商请求分组，从緩存单元中提取所述基密钥标识 对应的基密钥安全关联，输出其产生的单播密钥协商响应分组到通信对端；
所述确认模块，接收通信对端输出的单播密钥协商确认分组。
本实用新型所述无线局域网鉴别与保密基础结构终端的安全关联建立 装置，通过启用本地緩存的BKSA，避免了 STA在多个AP之间进行切换时， 重新建立BKSA,降低了系统负担。


图1是现有建立BKSA的方法流程图； 图2是本实用新型在ESS中建立BKSA的方法流程图； 图3是本实用新型实施例一建立BKSA方法信令流程图； 图4是本实用新型实施例二建立BKSA方法信令流程图； 图5是本实用新型WAPI终端的安全关联建立装置框图。
具体实施方式

本实用新型的中心思想是，STA通过执行证书鉴别过程或使用预共享密 钥建立BKSA后，可緩存与ESS中某个AP建立的BKSA,当STA移动到该 AP，该AP和接入点緩存有相同且有效的BKSA时，AP启用该BKSA,跳 过证书鉴别过程，直接和STA执行单播密钥协商过程。具体实现方式可以 是，STA可以在关联/重新关联请求中的WAPI信息元素中包含一个或多个 BKSA对应的BKID,若AP中有和BKID相对应且有效的BKSA,则可以跳 过证书鉴别过程而直接进行单播密钥协商过程；如果AP中没有和BKID对 应有效的BKSA,或STA在关联/重新关联请求中的WAPI信息元素中没有 包含BKID,则STA和AP必须通过证书鉴别过程或使用预共享密钥建立 BKSA。
为了更好地理解本实用新型，首先对本实用新型的工作原理和方法进行 简要描述。
图2是本实用新型实施例在ESS中建立基密钥安全关:f关的方法流程图。 在STA与某个AP已建立BKSA后，当STA移动到该AP时，其建立基密 钥安全关联的方法如下
步骤201, STA发送关联/重新关联请求给AP，该关联/重新关耳关请求中 的WAPI信息元素中包含一个或多个BKSA对应的BKID;
步骤202, AP收到该关联/重新关联请求后，判断是否有和所述关联/ 重新关联请求中包含的BKID相对应且有效的BKSA,如果有，转步骤203, 否则，AP转步骤204;
步骤203, AP确定双方缓存有相同且有效的BKSA,启用BKSA，发送 关联/重新关联响应给STA，转步骤205;
步骤204, AP确定双方未緩存相同且有效的BKSA,发送关耳关/重新关 联响应给STA,执行证书筌别过程或使用预共享密钥建立BKSA,并緩存该 BKSA;
步骤205， AP和STA进行单播密钥协商过程，具体包括205a, AP发送单播密钥协商请求分组给STA; 205b， STA发送单播密钥协商响应分组给AP; 205c, AP发送单播密钥协商确认分组给STA。
进一步地，在步骤203中，启用BKSA时，延长所述BKSA的生存期， 避免STA刚刚连接到AP后，BKSA由于生存期到期被删除，在关联/重新 关联响应的WAPI信息元素中携带BKID及其修改后的生存期，STA根据关 联/重新关联响应中携带的BKID及其修改后的生存期，相应修改该BKID对 应的BKSA的生存期。
图3是本实用新型实施例在ESS中建立基密钥安全关联的方法信令流 程图。该实施例中，STA与某个AP已建立BKSA，当STA移动到该AP 时，STA和AP处緩存有相同且有效的BKSA,其建立基密钥安全关联的方 法如下
步骤301, STA发送关联/重新关联请求给AP,该关联/重新关联请求 中的WAPI信息元素中包含一个或多个BKSA对应的BKID;
步骤302, AP收到该关联/重新关联请求后，判断本地存在和所述关联/ 重新关联请求中包含的BKID相对应有效的BKSA;
步骤303, AP启用BKSA,发送关联/重新关联响应给STA;
步骤304, STA和AP之间使用所述BKSA进行单播密钥协商过程。
其中，步骤303中，AP启用BKSA时，还延长所述BKSA的生存期， 在关4关/重新关联响应中的WAPI信息元素中携带BKID及其々,改后的生存 期，STA根据关联/重新关联响应中携带的BKID及其修改后的生存期，相 应》务改本;也^f应的生存期。
图4是本实用新型实施例在ESS中建立基密钥安全关联的方法信令流 程图。该实施例中，STA与某个AP已建立BKSA，当STA移动到该AP时，AP处无有效的BKSA,其建立基密钥安全关联的方法如下
步骤401, STA发送关联/重新关联请求给AP,该关联/重新关联请求 中的WAPI信息元素中包含一个或多个BKSA对应的BKID;
步骤402， AP收到该关if^/重新关联请求后，判断本地不存在和所述关 联/重新关联请求中携带的BKID相对应且有效的BKSA;
步骤403, AP发送关联/重新关联响应给STA;
步骤404, AP和STA执行证书鉴别过程，建立并緩存BKSA,具体包
括
步骤404a， AP发送鉴别激活分组给STA; 步骤404b， STA发送接入鉴别请求分组给AP; 步骤404c， AP发送证书鉴别请求分组给ASU; 步骤404d, ASU发送证书鉴别响应分组给AP;
步骤404e， AP发送接入鉴别响应分组给STA, STA建立并缓存BKSA。
步骤405, STA和AP之间使用步骤404中得到的BKSA进行单播密钥 协商过程。
图5是本实用新型无线局域网鉴别与保密基础结构终端的安全关联建 立装置框图，该安全关联建立装置包括緩存单元、基密钥安全关联协商单元、 基密钥安全关联建立单元和单播密钥协商单元，其中
所述基密钥安全关联协商单元，输出其生成的包含一个或多个基密钥安 全关联对应的基密钥标识的关联或重新关联请求给通信对端；
进一步地，所述基密钥安全关联协商单元包括生成模块、发送模块和修 改才莫块，其中
所述生成模块，从緩存单元提取一个或多个基密钥安全关联对应的基密 钥标识，输出其生成的包含一个或多个所述基密钥标识的关联或重新关联请 求到发送模块；
所述发送模块，发送所述关联或重新关联请求至通信对端；所述修改模块，接收通信对端输出的包含通信对端启用的基密钥安全关 联的基密钥标识及其延长后的生存期的关联响应或重新关联响应，从緩存单 元中提取该基密钥标识对应的基密钥安全关联，修改其生存期后输出该基密 钥安全关联至緩存单元。
基密钥安全关联建立单元包括请求模块和建立模块，其中
请求模块，接收通信对端输出的鉴别激活分组，输出其生成的接入鉴别
请求分组给通信对端；
建立模块，接收通信对端输出的接入鉴别响应分组，输出其生成的基密 钥安全关联至緩存单元。
单播密钥协商单元从通信对端接收包含所述一个或多个基密钥标识中 的一个基密钥标识的单播密钥协商请求分组，从緩存单元中提取所述基密钥 标识对应的基密钥安全关联，输出单播密钥协商响应分组给通信对端，从通 信对端接收单纟番密钥协商确认分组。
进一步地，所述单播密钥协商单元包括响应模块和确认模块，其中
所述响应模块从通信对端接收包含所述一个或多个基密钥标识中的一 个基密钥标识的单播密钥协商请求分组，从緩存单元中提取所述基密钥标识 对应的基密钥安全关联，输出其产生的单播密钥协商响应分组到通信对端；
所述确认模块，接收通信对端输出的单播密钥协商确认分组。
综上所述，本实用新型通过安全关联建立装置在和通信对端协商确定双 方緩存有有效的BKSA时，启用该BKSA,直接进行单播密钥协商，避免了 当STA在AP间切换时，每次都重新建立BKSA,还通过延长BKSA的生存 期，避免STA刚连接到AP时，BKSA因为生存期到期而被删除。
权利要求1、一种无线局域网鉴别与保密基础结构终端的安全关联建立装置，其特征在于，该装置包括缓存单元、基密钥安全关联协商单元和单播密钥协商单元，其中基密钥安全关联协商单元输出其生成的包含一个或多个基密钥安全关联对应的基密钥标识的关联或重新关联请求给通信对端；单播密钥协商单元从通信对端接收包含所述一个或多个基密钥标识中的一个基密钥标识的单播密钥协商请求分组，从缓存单元中提取所述基密钥标识对应的基密钥安全关联，输出单播密钥协商响应分组给通信对端，从通信对端接收单播密钥协商确认分组。
2、 如权利要求l所述的装置，其特征在于，所述基密钥安全关联协商 单元包括生成模块和发送模块，其中所述生成模块，从緩存单元提取一个或多个基密钥安全关联对应的基密 钥标识，输出其生成的包含一个或多个所述基密钥标识的关联或重新关联请 求到发送模块；发送模块，发送所述关联或重新关联请求至通信对端。
3、 如权利要求2所述的装置，其特征在于，所述装置还包括基密钥安 全关联建立单元，所述基密钥安全关联建立单元包括请求模块和建立模块， 其中请求模块，接收通信对端输出的鉴别激活分组，输出其生成的接入鉴别 请求分组给通信对端；建立模块，接收通信对端输出的接入鉴别响应分组，输出其生成的基密 钥安全关联至緩存单元。
4、 如权利要求2所述的装置，其特征在于，所述基密钥安全关联协商 单元还包括修改模块，所述修改模块，接收通信对端输出的包含通信对端启 用的基密钥安全关联的基密钥标识及其延长后的生存期的关联响应或重新 关联响应，从緩存单元中提取该基密钥标识对应的基密钥安全关联，修改其 生存期后输出该基密钥安全关联至緩存单元。
5、如权利要求1所述的装置，其特征在于，所述单播密钥协商单元包 括响应模块和确认模块，其中所述响应模块从通信对端接收包含所述一个或多个基密钥标识中的一 个基密钥标识的单播密钥协商请求分组，从緩存单元中提取所述基密钥标识 对应的基密钥安全关联，输出其产生的单播密钥协商响应分组到通信对端；所述确认模块，接收通信对端输出的单播密钥协商确认分组。
专利摘要本实用新型提供了一种无线局域网鉴别与保密基础结构终端的安全关联建立装置，该装置包括缓存单元、基密钥安全关联协商单元和单播密钥协商单元，基密钥安全关联协商单元输出其生成的包含一个或多个基密钥安全关联对应的基密钥标识的关联或重新关联请求给通信对端；单播密钥协商单元从通信对端接收包含所述一个或多个基密钥标识中的一个基密钥标识的单播密钥协商请求分组，从缓存单元中提取所述基密钥标识对应的基密钥安全关联，输出单播密钥协商响应分组给通信对端，从通信对端接收单播密钥协商确认分组。本实用新型通过协商启用本地缓存的BKSA，避免了STA重新建立BKSA，降低了系统负担。
文档编号H04W28/14GK201409222SQ200920152700
公开日2010年2月17日 申请日期2009年5月22日 优先权日2009年5月22日
发明者建 刘 申请人:建 刘