专利名称:无线局域网安全接入控制方法
技术领域:
本发明涉及基于IEEE 802.11标准无线局域网的增强型安全接入控制方法,尤其增强了无线局域网媒体接入控制(MAC)层的安全接入控制功能,属于无线局域网安全技术领域。
背景技术:
无线局域网(Wireless Local Area Network,WLAN)是高速发展的现代无线通信技术在计算机网络中的应用,它采用无线多址信道的有效方式支持计算机之间的通信,并为通信的移动化、个人化和多媒体应用提供了实现的手段。然而,无线局域网环境下的安全需求由于其数据传输媒介的开放性,将比有线环境下更为苛刻。无线局域网的服务区并没有有效的界限,攻击者可以很方便的进入服务区实施非法的攻击,而不易被察觉;攻击者不仅可以对数据帧实施窃听、截取和篡改,甚至可以对管理帧和控制帧实施攻击,以造成无线媒体资源被盗用或者整个网络的瘫痪;合法用户的越权使用也是来自无线局域网内部的隐患之一。IEEE 802.11标准是IEEE制定的无线局域网媒体接入控制(MAC)和物理层(PHY)规范,标准中在MAC层的管理协议部分制定了最基本的安全接入控制业务,以希望能提供与有线相同的安全性能。事实上,IEEE 802.11标准中由于考虑无线信道的效率问题,更多的寄希望于高层协议的认证功能,因此在链路级仅采用了简化的安全接入控制方案,导致安全功能形同虚设,更使得本已脆弱的有线同等保密(Wired Equivalent Privacy,WEP)协议无法达到预期的数据保护作用。接入控制是数据保护的基础,对于合法用户的合法授权范围内的数据保护才有意义,而针对无线媒体资源的接入控制保护更不是高层协议能够完全实现的。现有标准的安全接入控制业务已无法满足无线局域网应用环境下的安全需求。由此可见,无线局域网要称之为安全的无线局域网,必须制定全新的安全接入控制业务方法,以符合无线局域网新应用条件下的安全需求。为增强现有标准的安全接入控制功能,IEEE 802.11工作组特别成立了任务组TGi,目的在于“增强当前802.11的媒体接入控制功能以改进无线局域网的安全性”。强安全网络(Robust Security Network,RSN)是TGi提出的改进的安全无线局域网模型。目前,新标准的制定工作仍处于草案阶段,2002年11月TGi发布了最新的草案版本Draft 3.0,在草案中设计了增强型安全接入控制方案和数据保护方案。草案采用IEEE 802.1x基于端口的网络接入控制协议实现了安全接入控制方案,包括IEEE 802.1x认证协议和IEEE 802.1x密钥管理协议。在无线终端网卡和接入点分别加入了802.1x的端口接入实体(PAE)模块,并通过RADIUS认证服务器实现认证。草案还规定了改进的数据保护方案,包括TKIP、AES-CCM和AES-OCB等。这些都增强了IEEE 802.11原有的安全性能。然而,在改进的过程中,为了与原有协议保持兼容,草案中仍保留了原协议的安全接入控制方案,但不关心其结果,而是在原有方案之后实现新的安全接入控制方案,这样使得原有方案过程成为一种浪费。此外,由于受协议规定范围的局限,草案试图只规定无线网侧,而不涉及分布系统的有线网侧,这使得协议未从系统的整体结构出发进行设计,导致漫游等功能的实现显得累赘。
发明内容
1、技术问题本发明的目的是提出一种针对IEEE 802.11标准的无线局域网安全接入控制方法,此方法不仅兼容了TGi Draft 3.0中提出的增强型安全接入控制方案,而且结合IEEE 802.11标准的已有功能,使得对现有设备的改进更为方便,同时降低了新的安全接入控制方案对包括漫游在内的原有无线局域网性能的影响。
2、技术方案本发明设计的无线局域网安全接入控制方法在功能上包括认证、密钥管理和授权三部分。认证功能实现了终端工作站(STA)与接入点(AP)之间的相互认证,主要通过STA与认证服务器(AS)的相互认证和AS与AP之间的信任关系来实现;密钥管理功能指STA与AP之间基于认证的动态密钥协商和密钥分配;授权功能指AP对STA接入请求的响应,如果AP与STA之间建立安全关联,则授权STA接入,否则拒绝STA的接入请求。方法中主要涉及无线局域网内的四种设备终端工作站STA、接入点AP、接入控制器(AC)和认证服务器AS。STA是移动用户终端设备,实现了用户侧的安全接入控制功能;AP是无线局域网接入服务的提供者,实现了安全接入控制的授权功能和密钥管理功能;AS是认证服务器设备,提供了服务器侧安全接入控制的认证功能;AC处于AP与AS之间,用于登记一次认证中AS对STA的认证结果以及STA与AP之间的安全关联信息。
本发明的无线局域网安全接入控制方法特征在于当未与任何AP建立安全关联的STA进入某一AP服务范围内,STA与AP建立连接并协商安全性能,随后由STA向AP发送建立安全关联的请求;由认证服务器AS采用IEEE 802.1x认证协议对STA进行认证,如果认证失败,AS通知AP拒绝STA的建立安全关联的请求;如果认证成功,在STA与AS之间协商了对等主密钥(PMK),AS将PMK发送给接入控制器AC登记相应STA的关联信息和PMK信息;由AC再将PMK发送给AP,STA和AP之间采用IEEE 802.1x密钥管理协议根据PMK动态协商对等临时密钥(PTK)和分配组临时密钥(GTK);如果密钥协商完成,由AP通过发送成功建立安全关联的应答消息授权STA的接入。当STA从已建立安全关联的AP服务范围内进入另一AP服务范围,STA与新的AP建立连接并协商安全性能,随后由STA向新的AP发送重新建立安全关联的请求;新的AP请求AC更新相应STA的关联信息并获得相应的PMK信息;STA和新的AP之间采用IEEE 802.1x密钥管理协议根据PMK动态协商新的PTK和分配新的GTK;如果密钥协商完成,由新的AP通过发送成功建立安全关联的应答消息授权STA的接入。
整个安全接入控制过程包括三个阶段建立连接和安全性能协商、建立安全关联以及重新建立安全关联。
第一阶段建立连接和安全性能协商。其特征在于由STA广播连接请求,所在区域的AP向STA发送连接应答消息,并在应答消息中声明所支持的802.1x认证和所有数据保护方法;STA向建立连接的AP发送IEEE 802.11的开放系统认证请求消息;AP向建立连接的SFA发送IEEE 802.11的开放系统认证应答消息;通过IEEE 802.11开放系统认证,STA向AP发送建立安全关联的请求,并在安全关联请求消息中声明支持802.1x认证和选定的数据保护方法。由此结束了建立连接和安全性能协商的阶段。
具体步骤特征如下
(1)STA广播连接请求消息。在IEEE 802.11标准中规定了管理帧ProbeRequest消息用于广播STA的连接请求。
(2)AP向STA发送连接应答消息。AP收到连接请求消息后,如果允许STA与之建立连接,则发送连接应答消息,并在消息中声明RSN信息单元。IEEE 802.11标准中规定了管理帧Probe Response消息用于应答STA的Probe Request消息。RSN信息单元根据TGi草案的规定格式声明AP所支持的802.1x认证和所有数据保护方法。
(3)STA向AP发送IEEE 802.11的开放系统认证请求消息。
(4)AP向STA发送IEEE 802.11的开放系统认证应答消息。为兼容IEEE802.11标准中原有的规定,增加了这两条认证消息。原标准中支持开放系统认证和共享密钥认证,在本发明的方法中强制为开放系统认证。
(5)STA向AP发送安全关联请求消息。如果通过了IEEE 802.11开放系统认证,STA发送安全关联请求消息,并在消息中声明RSN信息单元。IEEE 802.11标准中规定了管理帧Association Request消息用于发送安全关联请求。RSN信息单元根据TGi草案的规定格式声明STA支持802.1x认证和根据AP所提供的数据保护方法中选定的数据保护方法。
第二阶段建立安全关联。其特征在于AP收到STA的安全关联请求后,向AC发送802.1x认证请求消息,请求AC采用802.1x认证协议,利用AS对STA进行认证,如果认证成功,将在AS和STA之间建立相互的信任关系,并建立对等主密钥PMK,再根据由有线协议保证的AS、AC和AP之间的相互信任关系,实现了AP与STA之间的相互认证;AS将STA的PMK发送给AC,AC登记STA的关联信息和PMK信息后,将PMK发送给AP;AP收到PMK后采用802.1x密钥管理协议的四步握手协议,在STA与AP之间协商对等临时密钥PTK;AP再通过组密钥分配协议分配组临时密钥GTK;如果以上802.1x认证和密钥管理协议成功,AP向STA发送安全关联成功应答消息,否则AP向STA发送安全关联失败应答消息。由此结束了建立安全关联的阶段。
具体步骤特征如下
(6)AP向AC发送802.1x认证请求消息。AP采用IEEE 802.1x协议中规定的EAPOL-Start消息发起802.1x认证协议。
(7)STA、AC与AS实现802.1x认证协议过程。此时,STA为802.1x协议中的申请者Supplicant、AC为认证者Authenticator、AS为认证服务器。AP转发AC和STA之间的802.1x认证协议消息。IEEE802.1x标准规定了802.1x认证协议过程。如果802.1x认证失败,(8′)AS向AC发送认证失败消息。根据802.1x协议的规定,如果认证失败,认证服务器将向认证者发送认证失败消息。
(9′)AC向AP发送认证失败消息。802.1x协议规定的EAPOL-Logoff消息用于AC向AP发送认证失败消息。
(10′)AP向STA发送安全关联失败应答消息。IEEE 802.11标准中规定了管理帧Association Response用于发送安全关联应答消息。如果802.1x认证成功,(8)AS发送PMK到AC,AC登记STA的关联信息和PMK信息。AS通过802.1x协议中EAP Accept消息向AC发送PMK。AC登记STA的PMK和关联信息,其中关联信息指当前与STA建立安全关联的AP的信息。
(9)AC发送PMK到AP。AC通过AP与AC之间建立的安全隧道传递STA的PMK。AP与AC之间的安全隧道建立可以依赖与有线802.1x协议,此时AP为申请者、AC为认证者、AS为认证服务器。
(10)AP与STA实现802.11x密钥管理协议。TGi草案规定了AP和STA之间的802.1x密钥管理协议,即四步握手协议,在STA与AP之间协商对等临时密钥PTK。
(11)AP与STA实现组密钥分配协议。TGi草案规定了AP和STA之间的组密钥分配协议,用于AP向STA分配组临时密钥GTK。
(12)AP向STA发送安全关联应答消息。IEEE 802.11标准中规定了管理帧Association Response消息用于发送安全关联应答。如果四步握手协议和组密钥分配协议成功,AP向STA发送安全关联成功应答消息授权STA的接入,否则发送安全关联失败应答消息拒绝STA的接入。
第三阶段重新建立安全关联。其特征在于在漫游情况下,当STA从已建立安全关联的AP服务范围内进入AP*的服务范围内时,STA需要越区切换相关联的接入点。STA与AP*通过第一阶段的步骤建立连接并协商安全性能,所不同的是STA向AP*发送的安全关联请求为重新建立安全关联的请求;收到重新建立安全关联请求的AP*请求AC更新相应STA的关联信息,并获得STA的PMK;STA和AP*之间采用802.1x密钥管理协议动态协商PTK*和分配新的GTK*;如果密钥协商完成,由AP*通过发送重新建立安全关联的应答消息授权STA的接入。由此结束了STA与AP*重新建立安全关联的阶段。
具体步骤特征如下(13)STA进入AP*服务范围后完成步骤(1)~(4),其中AP改变为AP*。
(14)STA向AP*发送重新建立安全关联的请求消息。如果通过了IEEE802.11开放系统认证,STA发送安全关联请求消息,并在消息中声明RSN信息单元。IEEE 802.11标准中规定了管理帧ReassociationRequest消息用于发送重新建立安全关联请求。RSN信息单元根据TGi草案的规定格式声明STA支持802.1x认证和根据AP*所提供的数据保护方法中选定的数据保护方法。
(15)AP*向AC发送更新STA安全关联信息的请求。AP*收到STA重新建立安全关联请求消息后,请求AC将STA安全关联信息更新为STA与AP*建立安全关联。
(16)完成步骤(9)~(11),其中AP改变为AP*,PTK、GTK变为PTK*、GTK*。
(17)AP*向STA发送重新建立安全关联的应答消息。IEEE 802.11标准中规定了管理帧Reassociation Response消息用于发送重新建立安全关联的应答。如果四步握手协议和组密钥分配协议成功,AP*向STA发送重新建立安全关联成功答消息授权STA的接入,否则发送重新建立安全关联失败应答消息拒绝STA的接入。
3、有益效果本发明与现有技术相比具有以下优点本发明在深入分析IEEE 802.11标准和草案的基础上,不仅兼容了原有接入控制方案,而且利用了原方案的状态转移关系,使得新方案与原有方案有机得结合。本发明方案从实现整个无线局域网安全接入控制系统的角度出发,在有线网侧加入了实现分布业务的接入控制器,不仅落实了原协议中对分布业务的规定,而且提供了更加简洁的漫游方案。利用接入控制器实现IEEE 802.1x的认证者模块的功能,也在一定程度上降低了接入点的硬件复杂度。考虑到802.1x接入控制协议有增强的安全性,本发明方案采纳了草案提出的此协议。
本发明中所述的三个阶段构成了STA一次认证的安全接入控制方法。其中第一阶段和第二阶段完成了STA包括认证在内的首次接入的安全控制过程,而第三阶段则完成了在STA已接入条件下漫游的越区切换时接入的安全控制过程。通过AC的登记机制,第三阶段AP直接从AC获得PMK,而不必重新对STA进行不可预知时延的认证过程,从而使得STA漫游的越区切换所造成的时延在可预知的范围内,不至于对STA的通信质量造成大幅度的下降。特别指出的是STA可以在从AP切换到AP*之前完成第三阶段,当与AP*建立安全关联之后再断开与AP的连接,保证越区时的无缝切换。
本发明中引入的AC与AP共同构成了接入控制系统,并在AC上软件实现802.1x认证协议中认证者的角色,不仅降低了AP的硬件复杂度,而且为AP与AC建立安全隧道提供了基于IEEE 802.1x协议的解决方案。这一点真是本方法与TGi草案的最大不同之处。此外,充分利用IEEE 802.11协议中原有的关联服务,提出将802.1x认证协议、四步握手协议和组密钥分配协议归入建立安全关联的过程中,也是对TGi草案的改进。
此外,采用802.1x认证协议和802.1x密钥管理的四步握手协议,增强了认证和密钥管理的安全强度,实现了动态的密钥分配,并且允许不修改现有标准MAC层的前提下引入更强的认证方案,即在MAC层之上IP层之下,也即逻辑链路控制(LLC)层实现协议,这样不仅避免了对已有MAC层硬件技术做太大的改动,而且增强了认证和密钥管理方案的灵活性和可扩展性,便于选择更安全可靠的认证协议。
四
图1为无线局域网安全接入控制方法实施例组网示意图。
图2为无线局域网安全接入控制方法实施例树状设备关系图。其中有终端工作站STA、接入点AP、认证服务器AS、接入控制器AC、基本服务集BSS、扩展服务集ESS。
图3为无线局域网安全接入控制方法实施例第一、二阶段消息流程图。
图4为无线局域网安全接入控制方法实施例第三阶段消息流程图。
五具体实施例方式
下面结合附图所示实施例对本发明作进一步说明本发明的无线局域网安全接入控制方法特征在于当未与任何AP建立安全关联的STA进入某一AP服务范围内,STA与AP建立连接并协商安全性能,随后由STA向AP发送建立安全关联的请求;由认证服务器AS采用IEEE 802.1x认证协议对STA进行认证,如果认证失败,AS通知AP拒绝STA的建立安全关联的请求;如果认证成功,在STA与AS之间协商了对等主密钥(PMK),AS将PMK发送给接入控制器AC登记相应STA的关联信息和PMK信息;由AC再将PMK发送给AP,STA和AP之间采用IEEE 802.1x密钥管理协议根据PMK动态协商对等临时密钥(PTK)和分配组临时密钥(GTK);如果密钥协商完成,由AP通过发送成功建立安全关联的应答消息授权STA的接入。当STA从已建立安全关联的AP服务范围内进入另一AP服务范围,STA与新的AP建立连接并协商安全性能,随后由STA向新的AP发送重新建立安全关联的请求;新的AP请求AC更新相应STA的关联信息并获得相应的PMK信息;STA和新的AP之间采用IEEE 802.1x密钥管理协议根据PMK动态协商新的PTK和分配新的GTK;如果密钥协商完成,由新的AP通过发送成功建立安全关联的应答消息授权STA的接入。
整个安全接入控制过程包括三个阶段建立连接和安全性能协商、建立安全关联以及重新建立安全关联。
第一阶段建立连接和安全性能协商。其特征在于由STA广播连接请求,所在区域的AP向STA发送连接应答消息,并在应答消息中声明所支持的802.1x认证和所有数据保护方法;STA向建立连接的AP发送IEEE 802.11的开放系统认证请求消息;AP向建立连接的STA发送IEEE 802.11的开放系统认证应答消息;通过IEEE 802.11开放系统认证,STA向AP发送建立安全关联的请求,并在安全关联请求消息中声明支持802.1x认证和选定的数据保护方法。由此结束了建立连接和安全性能协商的阶段。
第二阶段建立安全关联。其特征在于AP收到STA的安全关联请求后,向AC发送802.1x认证请求消息,请求AC采用802.1x认证协议,利用AS对STA进行认证,如果认证成功,将在AS和STA之间建立相互的信任关系,并建立对等主密钥PMK,再根据由有线协议保证的AS、AC和AP之间的相互信任关系,实现了AP与STA之间的相互认证;AS将STA的PMK发送给AC,AC登记STA的关联信息和PMK信息后,将PMK发送给AP;AP收到PMK后采用802.1x密钥管理协议的四步握手协议,在STA与AP之间协商对等临时密钥PTK;AP再通过组密钥分配协议分配组临时密钥GTK;如果以上802.1x认证和密钥管理协议成功,AP向STA发送安全关联成功应答消息,否则AP向STA发送安全关联失败应答消息。由此结束了建立安全关联的阶段。
第三阶段重新建立安全关联。其特征在于在漫游情况下,当STA从已建立安全关联的AP服务范围内进入AP*的服务范围内时,STA需要越区切换相关联的接入点。STA与AP*通过第一阶段的步骤建立连接并协商安全性能,所不同的是STA向AP*发送的安全关联请求为重新建立安全关联的请求;收到重新建立安全关联请求的AP*请求AC更新相应STA的关联信息,并获得STA的PMK;STA和AP*之间采用802.1x密钥管理协议动态协商PTK*和分配新的GTK*;如果密钥协商完成,由AP*通过发送重新建立安全关联的应答消息授权STA的接入。由此结束了STA与AP*重新建立安全关联的阶段。
本发明实施例涉及两部分网络,即STA与AP组成的无线局域网和AP、AC、AS以及网关组成的接入网。AP作为无线局域网与接入网的接口,承担着桥接的作用,因此可以实现对STA的链路级接入控制功能。AC作为接入网与互联网的接口,承担着网络级的接入控制功能,但在本发明中主要用于实现802.1x认证协议的认证者以及登记STA的安全关联信息与PMK的功能,实现了IEEE802.11标准中的分布和关联服务。AS作为认证服务器可以是接入网内的本地认证服务器或处于互联网内的远程认证服务器,一般采用RADIUS协议或Diameter协议。因此,STA、AP、AC和AS构成了树状的设备关系图。
图3和图4展示了实施例三个阶段的消息流程,实现了本发明的安全接入控制方法。下面逐一介绍消息流程中对应的协议消息(1)连接请求IEEE 802.11 Probe Request;(2)连接应答+RSN信息单元IEEE 802.11 Probe Response+RSNIE;(3)802.11开放系统认证(请求)IEEE 802.11 Open Authentication(Request);(4)802.11开放系统认证(应答)IEEE 802.11 Open Authentication(Response);(5)安全关联请求+RSN信息单元IEEE 802.11 AssociationRequest+RSN IE;(6)802.1x请求IEEE 802.1x EAPOL-Start;(7)802.1x认证协议IEEE 802.1x/EAP;(8)802.1x失败应答IEEE 802.1xEAPOL-Logoff;(9)802.1x密钥管理协议TGi Draft 3.0 4-way handshake;(10)802.1x组密钥分配协议TGi Draft 3.0 Group Key delivery;(11)安全关联应答(成功)IEEE 802.11 Association Response(Success);(12)安全关联应答(失败)IEEE 802.11 Association Response(Failure);(13)重新建立安全关联请求+RSN信息单元IEEE 802.11Reassociation Request+RSN IE;
(14)重新建立安全关联应答(成功)IEEE 802.11 Association Response(Success);(15)重新建立安全关联应答(失败)IEEE 802.11 Association Response(Failure)。
权利要求
1.一种无线局域网安全接入控制方法,其特征在于当未与任何AP建立安全关联的STA进入某一AP服务范围内,STA与AP建立连接并协商安全性能,随后由STA向AP发送建立安全关联的请求;由认证服务器AS采用IEEE 802.1x认证协议对STA进行认证,如果认证失败,AS通知AP拒绝STA的建立安全关联的请求;如果认证成功,在STA与AS之间协商了对等主密钥PMK,AS将PMK发送给接入控制器AC登记相应STA的关联信息和PMK信息;由AC再将PMK发送给AP,STA和AP之间采用IEEE 802.1x密钥管理协议根据PMK动态协商对等临时密钥PTK和分配组临时密钥GTK;如果密钥协商完成,由AP通过发送成功建立安全关联的应答消息授权STA的接入,当STA从已建立安全关联的AP服务范围内进入另一AP服务范围,STA与新的AP建立连接并协商安全性能,随后由STA向新的AP发送重新建立安全关联的请求;新的AP请求AC更新相应STA的关联信息并获得相应的PMK信息;STA和新的AP之间采用IEEE 802.1x密钥管理协议根据PMK动态协商新的PTK和分配新的GTK;如果密钥协商完成,由新的AP通过发送成功建立安全关联的应答消息授权STA的接入,整个安全接入控制过程包括三个阶段建立连接和安全性能协商、建立安全关联以及重新建立安全关联。
2.根据权利要求1所述的无线局域网安全接入控制方法,其特征在于第一阶段即建立连接和安全性能协商阶段,由STA广播连接请求,所在区域的AP向STA发送连接应答消息,并在应答消息中声明所支持的802.1x认证和所有数据保护方法;STA向建立连接的AP发送IEEE 802.11的开放系统认证请求消息;AP向建立连接的STA发送IEEE 802.11的开放系统认证应答消息;通过IEEE802.11开放系统认证,STA向AP发送建立安全关联的请求,并在安全关联请求消息中声明支持802.1x认证和选定的数据保护方法,由此结束了建立连接和安全性能协商的阶段。
3.根据权利要求1所述的无线局域网安全接入控制方法,其特征在于第二阶段即建立安全关联阶段,AP收到STA的安全关联请求后,向AC发送802.1x认证请求消息,请求AC采用802.1x认证协议,利用AS对STA进行认证,如果认证成功,将在AS和STA之间建立相互的信任关系,并建立对等主密钥PMK,再根据由有线协议保证的AS、AC和AP之间的相互信任关系,实现了AP与STA之间的相互认证;AS将STA的PMK发送给AC,AC登记STA的关联信息和PMK信息后,将PMK发送给AP;AP收到PMK后采用802.1x密钥管理协议的四步握手协议,在STA与AP之间协商对等临时密钥PTK;AP再通过组密钥分配协议分配组临时密钥GTK;如果以上802.1x认证和密钥管理协议成功,AP向STA发送安全关联成功应答消息,否则AP向STA发送安全关联失败应答消息,由此结束了建立安全关联的阶段。
4.根据权利要求1所述的无线局域网安全接入控制方法,其特征在于第三阶段重新建立安全关联阶段,在漫游情况下,当STA从已建立安全关联的AP服务范围内进入AP*的服务范围,STA需要越区切换相关联的接入点,STA与AP*通过第一阶段的步骤建立连接并协商安全性能,所不同的是STA向AP*发送的安全关联请求为重新建立安全关联的请求;收到重新建立安全关联请求的AP*请求AC更新相应STA的关联信息,并获得STA的PMK;STA和AP*之间采用802.1x密钥管理协议动态协商PTK*和分配新的GTK*;如果密钥协商完成,由AP*通过发送重新建立安全关联的应答消息授权STA的接入,由此结束了STA与AP*重新建立安全关联的阶段。
全文摘要
无线局域网安全接入控制方法涉及基于IEEE802.11标准无线局域网的增强型安全接入控制方法,整个安全接入控制过程包括三个阶段建立连接和安全性能协商,由STA广播连接请求,所在区域的AP向STA发送连接应答消息,并在应答消息中声明所支持的802.1x认证和所有数据保护方法;建立安全关联,AP收到STA的安全关联请求后,向AC发送802.1x认证请求消息,请求AC采用802.1x认证协议,利用AS对STA进行认证;重新建立安全关联,在漫游情况下,当STA从已建立安全关联的AP服务范围内进入AP
文档编号H04L9/32GK1455556SQ0311347
公开日2003年11月12日 申请日期2003年5月14日 优先权日2003年5月14日
发明者曹秀英, 沈平, 郑晓蕾, 王璐, 耿嘉, 李枫 申请人:东南大学